Itil Cobit Governanca em Ti

Governana em TI
Mrcio Giovanni Oliveira Souza
Copyright Universidade Tiradentes Autor: Mrcio Giovanni Oliveira Souza Jr. Revisor de Texto: 1 reviso: Ancjo Santana Resende 2 reviso: Alfredo Luiz Menezes Portugal Castro 3 reviso: Maria Amlia Faanha Berger Capa: Rebecca Wanderley Nepomuceno Agra Silva Folha de Rosto: Walmir Oliveira Santos Jnior Ilustraes: Adelson Tavares de Santana Walmir Oliveira Santos Jnior Wandeth Graziaany Soto Tello Jaciuk Editorao Eletrnica: Alexandre Meneses Chagas Ancelmo Santana dos Santos Astolfo Marques Pinto Bandeira Claudivan da Silva Santana Edivan Santos Guimares Redao: Pr-Reitoria Adjunta de Ensino a Distncia Av. Murilo Dantas, 300 - Farolndia - Prdio da Reitoria - Sala 40 - CEP: 49.032-490 - Aracaju - SE Tel.: (79) 3218-2186 E-mail: infoproead@unit.br Site: http://www.proead.unit.br
Impresso: Grca da Universidade Tiradentes Av. Murilo Dantas, 300 - Farolndia - CEP: 49032-490 Aracaju - Sergipe - e-mail: graca@unit.br
Sumrio
UNIDADE I - Introduo a Governana de TI ........................................ 10 TEMA I - Conceitos fundamentais sobre Governana .............................. 10
1.1 O que Governana ............................................................................... 12 1.2 O que Governana de TI ........................................................................ 13 1.3 Utilizando prticas de Governana de TI ....................................................... 14 1.3.1 Os principais objetivos de TI ............................................................... 16 1.4 Percepo das organizaes sobre TI ........................................................... 17 1.4.1 Os principais desaos imediatos da rea de TI ......................................... 18 Atividades do Tema I ................................................................................ 20
TEMA II - A Origem da Governana de TI ........................................... 21

2.1.1 Motivaes Internas: Maximizao dos Investimentos ..................................... 23 2.1.2 Motivaes Externas: Exigncias Legais A Lei Sarbanes-Oxley ....................... 23 2.2 A Basilia II ......................................................................................... 27 2.3 Verdades sobre Governana de TI .............................................................. 28 Atividades do Tema II ............................................................................... 30
UNIDADE II - Conhecendo os Principais Frameworks de Governana ........... 31 TEMA III - Conhecendo o COBIT.........................................................31
3.1 O que COBIT ...................................................................................... 33 3.2 Os Domnios do COBIT ............................................................................. 34 3.3 Desenvolvimento do COBIT ....................................................................... 36 3.3.1 Objetivo: ...................................................................................... 36 3.4 Benefcios do COBIT ............................................................................... 37 3.4.1 Quanto aos Recursos e Processos em TI ................................................... 37 3.5 Ferramentas de Gerenciamento do COBIT ..................................................... 40 3.6 Observaes nais ................................................................................. 41 3.6.1 Mais informaes e referncias desse TEMA ............................................. 41 Atividades do Tema III .............................................................................. 44
TEMA IV - Conhecendo o COSO ......................................................... 45

4.1 Entendendo o COSO8 .............................................................................. 47 4.2 O Trabalho do COSO ............................................................................... 48 4.2.1 Denio COSO (Controle Interno na Organizao) ................................... 48 4.2.2 Processo de Controles Internos ............................................................. 48 Atividades do Tema IV.................................................................................. 50
TEMA V - Conhecendo a implementao do ITIL ................................... 51

5.1 O Que o ITIL ...................................................................................... 53 5.2 O que no ITIL .................................................................................... 53 5.3 Conhecendo a estrutura do ITIL ................................................................. 54
5.3.1 Service Desk (Central de Servios) ............................................................ 56 5.3.2 Service Support (Suporte a Servios): .................................................... 56 5.3.3 Service Delivery (Entrega de Servios): .................................................. 57 5.3.4 Os outros livros do ITIL ...................................................................... 58 5.5.1 Custos da implantao .......................................................................... 60 5.5.2 Implementao de um projeto ITIL........................................................ 61 5.5.3 Retorno de Investimento e reduo de custos com o ITIL.............................. 61 5.6 Service Desk (Central de Servios do ITIL) ..................................................... 61 5.4 Por que usar o ITIL ................................................................................. 59 5.6.1 Principais Tipos de Service Desk ........................................................... 63 5.6.2 Principais benefcios do Service Desk na viso do ITIL.................................. 65 5.7 Ferramentas de Apoio ............................................................................. 66 5.7.1 Ferramentas Operacionais ITIL ............................................................. 66 5.7.2 Congurao dos Ativos de TI .............................................................. 67 5.7.3 Disponibilidade e Uso dos Ativos de TI .................................................... 68 5.7.4 Controle e Distribuio Centralizados de Software ..................................... 68 5.7.5 Pesquisa de Satisfao do Atendimento .................................................. 69 5.7.6 Ferramentas Tticas de ITIL ................................................................ 70 5.8 Certicao ITIL .................................................................................... 70 5.8.1 Fazer o exame na V2 ou na V3? ............................................................ 71 5.9 O papel do CIO na Organizao Aspectos Culturais Corporativos ........................... 72
RESUMO: ................................................................................... 79 Atividades do Tema V .................................................................... 80 TEMA VI - Norma NBR ISO/IEC 17799 ................................................. 83
6.1 Segurana da Informao ......................................................................... 85 6.2 Norma NBR ISO/IEC 17799 ........................................................................ 85 6.2.1 Estrutura da Norma NBR ISO/IEC 17799................................................... 86
Atividades do Tema VI.................................................................... 89 Referncias Bibliogrcas ............................................................... 91
Apresentao da Disciplina
Caro (a) Aluno (a), Atualmente, impossvel imaginar uma empresa sem uma forte rea de sistemas de informaes (TI), para manipular os dados operacionais e prover informaes gerenciais aos executivos para tomadas de decises. A criao e manuteno de uma infra-estrutura de TI, incluindo prossionais especializados requerem altos investimentos. Algumas vezes a alta direo da empresa coloca restries aos investimentos de TI por duvidarem dos reais benefcios da tecnologia. Entretanto, a ausncia de investimentos em TI pode ser o fator chave para o fracasso de um empreendimento em mercados cada vez mais competitivos. Por outro lado, alguns gestores de TI no possuem habilidade para demonstrar os riscos associados ao negcio sem os corretos investimentos em TI. Para melhorar o processo de anlise de riscos e tomada de deciso necessrio um processo estruturado para gerenciar e controlar as iniciativas de TI nas empresas, para garantir o retorno de investimentos e adio de melhorias nos processos empresariais. Esse novo movimento conhecido como Governana em TI, ou IT Governance. O termo IT governance denido como uma estrutura de relaes e processos que dirige e controla uma organizao a m de atingir seu objetivo de adicionar valor ao negcio atravs do gerenciamento balanceado do risco com o retorno do investimento de TI. Para muitas organizaes, a informao e a tecnologia que suportam o negcio representa o seu mais valioso recurso. Alm disso, num ambiente de negcios altamente competitivo e dinmico requerido uma excelente habilidade gerencial, onde TI deve suportar as tomadas de deciso de forma rpida, constante e com custos cada vez mais baixos. Temos como objetivo no estudo dessa disciplina, fornecer informaes necessrias para que possam assimilar criticamente os conceitos que permitam a compreenso das teorias e que os mesmos forneam uma base suciente para que sejam feitas anlises crticas da realidade do mercado, buscando entender e fazer uso das principais tcnicas de Governana em Tecnologia da Informao. Possibilitar atividades sistemticas de uma organizao humana, voltada para o meio administrativo, visando benefcios especficos: com nfase nas necessidades do cliente e estratgias voltadas para o mercado. Propiciar conhecimentos para efetivao de transaes nanceiras, clculos e lanamentos pertinentes rea contbil comercial. CONTEDO PROGRAMTICO UNIDADE I: Introduo a Governana de TI Apresentao da Unidade Estudaremos os conceitos fundamentais sobre Governana, a sua origem e aspectos que motivam a sua implementao, abordando desde a Governana Corporativa at a de Tecnologia da Informao, buscando o entendimento das estruturas de tomada de decises e a busca constante em aliar a TI ao negcio da empresa. Nessa Unidade tambm conheceremos a principais Leis que orientam e regem estruturas de Governana e a sua aplicao.
Habilidades e Competncias desenvolvidas na Unidade Ter conhecimento dos conceitos de Governana e Corporativa e de TI; Identicar os principais ativos da empresa; Conhecer os principais desaos e objetivos de TI; Compreender as Razes e Motivaes para implementar a Governana de TI; Entender a Lei Sarbanes-Oxley; Conhecer o que Six Sigma; Conhecer o que a Basilia. O que iremos aprender! TEMA I: Conceitos fundamentais sobre Governana TEMA II: A Origem da Governana de TI TEMA I: Conceitos fundamentais sobre Governana; Habilidades e Competncias desenvolvidas no Tema Ter conhecimento dos conceitos de Governana e Corporativa e de TI; Identicar os principais ativos da empresa; Conhecer os principais desaos e objetivos de TI; O que iremos aprender! O que Governana; O que Governana de TI; Utilizando prticas de Governana de TI; Percepo das organizaes sobre TI; Os principais desaos imediatos da rea de TI. METODOLOGIA DE AVALIAO No processo de avaliao sero realizadas provas escritas com perguntas objetivas contextualizadas; atividades prticas em laboratrio; atividades de pesquisa e avaliao de relatrio sobre pesquisa de campo. As avaliaes devero ocorrer de modo presencial, atravs de provas escritas com questes objetivas de acordo com o calendrio da disciplina, disponvel no quadro de avisos e durante o processo; atravs de atividades regulares indicadas pelo professor-tutor como: atividades prticas dos softwares, objetos do estudo, recursos didticos utilizados, relatrios e fruns de discusso. A pontuao das atividades obedece ao seguinte critrio: 30% - Interesse, participao e cumprimento de tarefas (encontros presenciais, atividades tericas e prticas de laboratrio e exerccios); 70% - Prova.
Atividades e Exerccios Visando contribuir para maior compreenso dos assuntos, as atividades que integram este mdulo esto disponveis no nal de cada unidade. Formadas basicamente por exerccios com questes abertas, textos complementares, reunies de discusso nos chats, atividades de pesquisa e exerccios com questes de mltipla escolha eles pretendem auxiliar na consolidao do seu conhecimento e, ao mesmo tempo, servirem como parte da avaliao. METODOLOGIA DE ENSINO A metodologia a ser utilizada dever contribuir para que o aluno tenha domnio de contedos apresentados na ementa, buscando a relao teoria-prtica no processo de formao acadmica e prossional. As atividades didtico/pedaggicas sero desenvolvidas atravs do auto-estudo, dos encontros presenciais organizados em grupos de estudos, debates, pesquisa bibliogrca e atividades de pesquisa. Os recursos didticos e tecnolgicos para tais ns compreendem: ambiente virtual de aprendizagem material instrucional on-line, projetor, vdeo, plantes de tutoria on-line, por meio do correio eletrnico, DDG 0800 284 7117 e outros conforme as necessidades e possibilidades de ampliar a interao e diminuir a tendncia ao isolamento. Mantenha contato, em caso de dvidas, com seu tutor. Voc tem alguma dvida sobre o que acabamos de informar? Para tirar suas dvidas sobre o contedo, a tutoria, as avaliaes, os encontros presenciais ou o suporte tcnico sobre como utilizar a ferramenta da Unit Virtual, importante que voc envie um e-mail para infoproead@unit.br, telefone para o nmero 0800-284 7117 ou envie correspondncia via fax (79) 3218-2200 ou correio para o endereo do PROEAD/Campus Aracaju Farolndia - Av. Murilo Dantas, 300 - Farolndia, CEP 49032-490 - Aracaju/SE. Se a dvida for sobre o contedo, lembre-se de fazer referncia ao ponto da aula que trata do assunto. Por exemplo: Fiquei com uma dvida na Unidade 01/Tema 01/pgina 02, na frase ...., qual a dvida? No caso dos exerccios, tambm fazer referncia matria, tema e pgina. Isso para que possamos localizar e agilizar o atendimento, podendo, assim, solucionar suas dvidas. Ento, bem-vindo (a) disciplina Histria do Brasil Repblica.
OBS.: Ao nal de cada unidade, teremos exerccios e trabalhos que sero contabilizados para a nota da unidade e que devero ser respondidos e entregues antes das provas.
BIBLIOGRAFIA BSICA Fernandes, Aguinaldo Aragon e Abreu, Vladimir Ferraz. Implantando a Governana de TI - da Estratgia Gesto de Processos e Servios. Rio de Janeiro Brasport, 2006. Este livro apresenta uma viso integrada e inovadora da Governana de TI que pode ser adaptada a vrios ambientes organizacionais. A partir de um modelo genrico, os autores detalham as etapas de implementao da Governana de TI, abrangendo o alinhamento estratgico da TI ao negcio, a elaborao do Portfolio de TI, as operaes e servios de TI, os modelos de relacionamento com usurios, clientes e fornecedores e, por m, a gesto de desempenho da TI. So analisadas as caractersticas e benefcios de mais de 20 modelos de melhores prticas que podem ser aplicados aos processos de TI, dentre eles CobiT, CMMI, ITIL, PMBOK, PRINCE2, BSC, BS 7799, ISO 27001, ISO 12207, ISO 9001, eSCM-sp, SAS 70 etc., assim como as implicaes de regulamentaes externas como a Sarbanes-Oxley e o Acordo da Basilia II sobre as atividades de TI. Outro ponto relevante do livro um captulo inteiramente dedicado ao outsourcing, que aborda os principais elementos da Governana de TI que inuenciam a gesto de servios terceirizados e mostra como os modelos de melhores prticas podem ser usados nesse contexto. MAGALHES, Ivan Luizio e PINHEIRO, Walfrido Brito. Gerenciamento de Servios de TI na Prtica - Uma abordagem com base na ITIL. So Paulo: Novatec, 2007. Com o crescente aumento da dependncia das organizaes em relao Tecnologia da Informao (TI), a importncia do Gerenciamento de Servios de TI torna-se maior a cada dia. uma excelente oportunidade para a TI demonstrar seu valor e competncia no sentido de alavancar e levar inovao aos processos de negcio. Mas no uma tarefa simples. Demanda clareza de foco e muita ateno da rea de TI. Na opinio dos autores, a abordagem estruturada da ITIL, que rene um conjunto de melhores prticas, prov um abrangente e consistente mtodo para a identicao de processos-chave e o alinhamento dos Servios de TI s necessidades da organizao. Sua abordagem qualitativa para o uso econmico, efetivo, ecaz e eciente da infra-estrutura de TI, prepara a organizao para a reduo de custos em funo do aumento da ecincia na entrega e no suporte dos Servios de TI, incrementando a capacidade de gerao de receita e a concentrao de esforos em novos projetos alinhados estratgia de negcio da organizao. Este livro apresenta uma abordagem prtica para a implementao do Gerenciamento de Servios de TI com base na ITIL (Information Technology Infrastructure Library), a partir da estruturao de um sistema de gerenciamento apoiado na viso de processos industriais, tanto para a fase do projeto de implantao quanto para a fase de operao dos processos e entrega dos resultados. Weill, Peter e Ross , Jeanne W. Governana de TI: Tecnologia da Informao. So Paulo: Makron Books, 2005. Com base num estudo feito junto a 250 empresas de todo o mundo, Weill e Ross armam que o valor de negcios de TI resulta diretamente de uma governana de TI ecaz ? da alocao, pela empresa, da responsabilidade e dos direitos decisrios. Suas pesquisas revelam que empresas com governana de TI superior tem lucros no mnimo 20% maiores do que as com m governana, considerados os mesmos objetivos estratgicos. Mas somente 38% da alta gerncia conseguem descrever com preciso sua governaa de TI ? como, ento, os demais gerentes podero tomar boas decises pela empresa a esse respeito? Em Governana de TI, os autores mostram como conceber e implementar um sistema de direitos decisrios que endereem tres questes fundamentais: Quais decises devem ser tomadas para garantir um uso e uma gesto apropriados da TI? Quem deve tomar estas decises? Como tom-las e monitor-las? Com suas ilustraes vividas de sistemas de governana usados pelas empresas de melhor desempenho
nos setores pblico e com ns lucrativos ? incluindo a Du Pont, a UPS, a UNICEF, a State Street Corporation, a Motorola e a Panalpina. BIBLIOGRAFIA COMPLEMENTAR MANSUR, Ricardo. Governana de TI. So Paulo, Brasport, 2007. ROSSETTI, Jos Paschoal e ANDRADE, Adriana. Governana Corporativa: Fundamentos, Desenvolvimento e Tendncias. So Paulo: Atlas, 2004.
UNIDADE I
Introduo a Governana de TI
TEMA I
Conceitos fundamentais sobre Governana
Competncias e Habilidades
Ter conhecimento dos conceitos de Governana e Corporativa e de TI; Identificar os principais ativos da empresa; Conhecer os principais desafios e objetivos de TI;
O que iremos aprender

O que Governana; O que Governana de TI; Utilizando prticas de Governana de TI; Percepo das organizaes sobre TI; Os principais desafios imediatos da rea de TI.
12
Governana em TI Teorias da Histria 1.1 O que Governana
Governana, ato de governar-se, segundo os dicionrios, a palavra da moda. Governana de TI (Tecnologia da Informao) uma derivao de Governana Corporativa, termo que tem hoje grandes aplicaes no mundo empresarial. O conceito de governana corporativa surgiu nos Estados Unidos e na Inglaterra no nal dos anos 90 e est relacionado forma como as empresas so dirigidas e controladas. a designao dos direitos de deciso em domnio de resolues relevantes. Isso signica que as empresas precisam saber quem toma as decises e quais os processos pelas quais essas decises so tomadas. No vale para qualquer atitude adotada numa companhia, deliberaes sem grande relevncia. Vale para decises importantes, de grande valor para as organizaes (Weill, Peter e Ross , Jeanne W. 2006). Tambm devemos levar em considerao que uma boa governana corporativa importante para os investidores prossionais. Grandes instituies atribuem governana corporativa o mesmo peso que aos indicadores nanceiros quando avaliam decises de investimento. Estudos comprovam que investidores prossionais se dispem at mesmo a pagar um grande gio para investir em empresas com altos padres de governana. Um estudo da McKinsey constatou que investidores prossionais se dispem at mesmo a pagar um grande gio para investir em empresas com altos padres de governana, chegando a elevar o valor do mercado dessas empresas entre 10% e 12% (Weill, Peter e Ross , Jeanne W. 2006). Em sua essncia a governana corporativa tem como principal objetivo recuperar e garantir a conabilidade em uma determinada empresa para os seus acionistas. Tarefa esta difcil, pois como na vida real, a conana uma vez abalada, demora-se para se recuperar a conabilidade em uma determinada pessoa. Assim tambm com as empresas (Ccero Lopes, 2006 www.imasters.com.br). Para que haja aderncia da Governana ao negcio da empresa, e sua estratgia focamos seis ativos principais: Ativos humanos: pessoas, habilidades, planos de carreira, treinamento, relatrio, mentoring, competncias, etc. Ativos nanceiros: dinheiro, investimentos, passivo, uxo de caixa, contas a receber, etc. Ativos fsicos: prdios, fbricas, equipamentos, manuteno, segurana, utilizao, etc. Ativos de PI: Propriedade Intelectual (PI), incluindo o know-how de produtos, servios e processos devidamente patenteado, registrando ou embutindo nas pessoas e nos sistemas da empresa. Ativos de informao e TI: dados digitalizados, informaes e conhecimentos sobre clientes, desempenho de processos, nanas, sistemas de informao e assim por diante. Ativos de relacionamento: relacionamentos dentro da empresa, marca e reputao junto a clientes, fornecedores, unidades de negcio, rgos reguladores, concorrentes, revendas autorizadas, etc. A governana destes ativos ocorre por meio de um grande nmero
Teorias da Histria Governana em TI
13
de mecanismos organizacionais (por exemplo, estruturas, processos, comits, procedimentos e auditorias). A maturidade na governana desses ativos varia signicativamente na maioria das empresas de hoje, com os ativos nanceiros e fsicos sendo tipicamente os mais bem governados, e os ativos de informao gurando entre os piores (Weill, Peter e Ross , Jeanne W. 2006). Controlar e monitorar estes ativos no tarefa fcil, e necessita de uma forte receptividade da direo da empresa. Dentro de todos estes se destaca os Ativos de informao e TI, uma vez que as informaes disponibilizadas pela tecnologia da informao sustentaro a empresa, pois todos os controles, processos, procedimentos e mtricas partiro de TI. a que entra a Governana de TI!
1.2 O que Governana de TI
Para governar TI, podemos fazer uma analogia com uma boa governana nanceira e corporativa. Por exemplo, o CFO1(Chief Financial Ofcer) - Diretor Financeiro, no assina todos os cheques nem autoriza todos os pagamentos. Em vez disso, ele estabelece uma governana nanceira especicando quem pode tomar essas decises e como. Em seguida, ele examina a carteira de investimentos da empresa e administra o uxo de caixa e a exposio a riscos. Este Gestor acompanha uma srie de indicadores para administrar os ativos nanceiros da empresa, intervindo somente quando houver problemas ou oportunidades de melhorias no processo. Princpios similares aplicam-se a quem pode comprometer a empresa com um contrato ou parceria. Toda esta analogia deve ser aplicada GOVERNANA DE TI. A Governana de TI ganha fora no atual cenrio de competitividade do mundo dos negcios. Um mundo onde cada vez maior a necessidade de adoo pelas reas de TI de mecanismos que permitam estabelecer objetivos, avaliar resultados, examinar, de forma detalhada e concreta se as metas foram alcanadas. A experincia mostra que os antigos manuais de procedimentos utilizados pelas organizaes j no atendem mais aos requisitos das empresas. No passado, era uma simples questo de gesto e organizao. Arrumava-se a organizao, indicavam-se as funes e as questes eram resolvidas por gesto. Hoje, no mais possvel resolver as coisas dessa maneira. O turbulento ambiente empresarial, que se apia na tecnologia, vive em constante mutao e exige formas mais geis e exveis de gerenciamento. Os negcios esto em transformao. A Tecnologia da Informao, igualmente, est em processo de mudana. Por isso, ao invs de se prescrever as decises em manuais como se fazia no passado necessrio designar poderes de deciso da melhor maneira possvel. Internamente, a governana visa designar os direitos de deciso nas questes de real valor tendo por m atingir os objetivos de negcio. Em sua essncia a governana determina quem toma decises. Mas para se tomar decises necessrio que haja informaes, controles, processos e procedimentos, todo um framework de responsabilidades
1 Essas siglas vm se estabelecendo no mundo dos negcios CEO (Chief Executive Ofcer) o diretor executivo, diretor geral ou presidente da empresa; CFO (Chief Financial Ofcer) o diretor nanceiro; COO (Chief Operation Ofcer) o diretor operacional; o CIO (Chief Information Ofcer) o diretor ou gerente de TI.
14
Governana em TI Teorias da Histria
para estimular comportamentos desejveis na utilizao de TI. Hoje quanto mais rpida e precisa for informao, mais ecaz a gesto e o direcionamento da rea de TI e do negcio para o sucesso. O foco permitir que as perspectivas de negcios, de infra-estrutura de pessoas e de operaes sejam levadas em considerao no momento de denio do que mais interessa empresa, alinhando a tecnologia da informao sua estratgia. Dentro destes conceitos, uma GOVERNANA DE TI ecaz deve tratar de trs questes: Quais decises devem ser tomadas para garantir a gesto e o uso ecaz de TI? Quem deve tomar essas decises? Como essas decises sero tomadas e monitoradas? Todos estes controles, tambm estimulam a transparncia das instituies para com os seus investidores, mostrando a real aplicao dos valores e o retorno esperado e o alcanado at o momento.
1.3 Utilizando prticas de Governana de TI
Por que adotar prticas de Governana de TI? Para responder esta pergunta o primeiro passo o entendimento da viso da alta administrao sobre a tecnologia. A seguir temos os problemas mais comuns associados a TI (Mansur, 2007). Proviso inadequada de servios. Falta de comunicao e entendimento Gastos excessivos com infra-estrutura Justicativas insucientes ou pouco fundamentadas para os custos. Falta de sincronismo entre mudanas e objetivos de negcio. Entrega dos projetos com atrasos e acima do oramento. Na Figura 1 temos um modelo que representa qual a viso da alta administrao sobre TI. Este modelo mostra que no primeiro momento de TI deve buscar a excelncia operacional objetivando a previsibilidade e a constncia, para que no mdio prazo alcance a condio de ser rea de suporte ao negcio.
Figura 01 Percepo da alta administrao sobre a rea de TI Fonte: MANSUR (2007)
15
um fato que os gestores do negcio do pouca importncia para a conquista da excelncia operacional, pois na viso deles a otimizao dos recursos o mnimo que a rea de TI deveria realizar. Para os gestores do negcio, a rea de TI deve oferecer uma taxa de retorno melhor do que simplesmente funcionar com ecincia e eccia. A demanda por uma taxa de retorno maior do que apenas a excelncia operacional ca clara quando observamos que TI apresenta uma baixa percepo de importncia para o negcio no cenrio de elevada percepo da capacidade de TI. A percepo pelo negcio de que TI um rea de suporte signica na realidade que ela vista como um mal necessrio e, por conseqncia, um centro de custos. A excelncia operacional com estrutura otimizada de custos e riscos o primeiro passo que TI deve dar para aumentar a sua credibilidade junto alta administrao e aos gestores do negcio. O aumento da credibilidade e da evoluo para ser parte integrante do negcio est diretamente relacionado com a capacidade de TI em demonstrar os resultados obtidos com as suas iniciativas. Ao alcanar o nvel de parte integrante do negcio TI passa a ser vista como centro de investimentos, e as suas atividades ganham importncia, signicncia e valor dentro da empresa. O pice ocorre quando a empresa tem a viso de que TI o negcio e os investimentos na rea so vistos como fundamentais para gerar lucros. Nesse nvel, o grau de maturidade de TI grande, pois questes como excelncia operacional, alinhamento com os negcios e resultados esto consolidados em um patamar elevado. O uso das melhores prticas de gerenciamento de servios, focados em Governana, direciona as principais questes em relao ao posicionamento estratgico de TI na organizao, como a excelncia operacional, otimizao do uso dos recursos, previsibilidade, alinhamento com o negcio, dentre outros. Os principais desaos dos gestores de TI para conquistar a credibilidade e a excelncia operacional so:
16
Racionalizar a complexidade; Incrementar a efetividade dos servios; Estender o ciclo de vida da tecnologia; Remover gargalos; Assegurar a aderncia evoluo dos negcios. Os gestores de TI tm como meta superar quatro grandes desaos que assolam as empresas, independente do porte e atuao, so eles (Mansur, 2007): 1. Na viso do negcio os recursos de TI so subutilizados, complexos em excesso, e, em geral, so barreiras pela falta de exibilidade; 2. O prazo de entrega dos projetos de TI, que demandam, em geral, por seis ou nove meses de implantao madura (sem bugs) em cenrio no qual as empresas trabalham com oportunidades de dois ou trs meses (Mansur, 2007); 3. O ciclo de vida da tecnologia , sem sombra de dvida, o desao dos gestores de TI, pois um ativo diretamente ligado produo depreciado em 60 meses, e os ativos de TI possuem mdia de 36 meses; 4. A necessidade de implementao de mtricas (indicadores de desempenho), processos e uxos um dos desaos mais relevantes para a melhoria da rea de TI. Estes quatro desaos crescem cada vez mais em importncia, pois as vantagens competitivas das empresas esto cada vez mais relacionadas ao uso da tecnologia e cada vez menos relacionadas com a posse dos ativos de TI. Em termos de complexidade e facilidades, a meta ideal para TI seria se tornar uma caneta. O uso da caneta ensinado aos alunos logo no incio da vida, e aps este treinamento esto aptos a utilizar os mais diversos tipos e modelos de canetas ao longo da sua vida, sem treinamentos adicionais. Mansur, 2007. Integrao, simplicao, excelncia operacional, previsibilidade e constncia de propsitos so os valores que permitiro que TI alcance a conana dos gestores do negcio.
1.3.1 Os principais objetivos de TI
Em funo dos desaos, o mercado entende que os principais objetivos de TI so (Mansur, 2007): 1. Atuar com foco nos processos; 2. Atuar de forma preventiva e proativa; 3. Atuar com foco no cliente (usurio); 4. Apresentar solues integradas e de gerenciamento centralizado, mas com abrangncia distribuda; 5. Apresentar a demonstrao dos resultados obtidos de forma clara; 6. Estar permanentemente alinhada com o negcio. Esses seis pontos esto presentes nos mais diversos tipos e tamanhos de negcios e, em linha geral, constituem as expectativas da alta
17
administrao sobre TI. Podemos observar que os objetivos representam um forte equilbrio entre excelncia operacional, otimizao dos custos, alinhamento com o negcio e agregao de valor.
1.4 Percepo das organizaes sobre TI
Segundo Mansur (2007), TI ainda uma caixa preta nas empresas, principalmente em funo das suas diculdades na demonstrao de resultados. Isto abre espao para que a alta administrao crie uma viso negativa baseada em alguns casos pontuais de atendimento, no relatrio anual de custos e investimentos, na crescente demanda por recursos, no grau de satisfao dos usurios, dentre outros. O inadequado g erenciamento de comunicaes de TI criou na direo das empresas as seguintes imagens: Proviso inadequada de servios. A inexistncia de SLAs2, denidos e comunicados para a empresa, faz com que cada usurio ache que o seu servio mais importante e deve ser atendido imediatamente. No entanto, os recursos existentes no permitem este tipo de atendimento e todas as vezes que o nvel de recursos foi aumentado a insatisfao dos usurios tambm aumentou, pois os recursos continuam insucientes para atender todos ao mesmo tempo. Resumindo, a empresa cou com a impresso de que TI no sabe qual a real necessidade de recursos. Falta de comunicao e entendimento. Em geral os usurios ficam sem respostas em virtude da falta de uxos de informao bem denidos. O help desk mais conhecido com help esquece. Alm do usurio no ter a resposta no momento em que ele precisa a falta de conhecimento das necessidades do negcio por TI fez crescer a viso que no existe comunicao entre usurios e TI. Gastos excessivos com infra-estrutura / Justicativas insucientes ou pouco fundamentadas para os custos. Toda vez que se analisa um gasto sem ver o benefcio ca a impresso de que o custo foi excessivo. Esta percepo est relacionada com a ausncia de uma correta demonstrao de resultados para a alta administrao da empresa. Quando no se tm relatrios de como esto a disponibilidade, o nvel de atendimento, o uso dos recursos de TI, etc., os gestores do negcio apenas vem na sua frente os gastos. Em geral, os resultados de um projeto so disponibilizados por um simples e-mail para a diretoria e apenas na sua fase nal de implantao. Qual foi o esforo de trabalho do time? Quem era o time do projeto? Quais eram as metas? Qual resultado foi obtido? Qual resultado ser alcanado nos prximos meses? Estes e muitos pontos cam totalmente esquecidos
SLA Service Level Agreements (os acordos de nvel de servio). So acordos/contratos que a rea de TI estabelece com os seus clientes (internos ou externos) e/ou com seus fornecedores, buscando o alinhamento das regras de prestao dos servios (prazos de atendimento e resoluo, qualidade, especicao, etc.).
18
durante grande parte do tempo e s no nal do ano, na hora de aprovar o oramento do ano seguinte, que a alta administrao lembra que os nmeros de TI so grandes. No entanto, nenhum dos gestores sabe dizer com clareza o que foi realizado com recursos investidos em TI. Esta falha no gerenciamento das comunicaes faz com que as justicativas de TI parecem sempre insucientes ou pouco fundamentadas. Falta de sincronismo entre as mudanas e os objetivos de negcio. A falta de alinhamento com o negcio provoca esta sensao. Por exemplo, realizar manuteno na energia eltrica no fechamento contbil ou da folha de pagamentos, ou a inexibilidade de TI de mudar os planos de manuteno, atualizao, etc. no momento de uma nova e inesperada oportunidade de negcio so exemplos comuns que ilustram por que os executivos tm esta percepo sobre TI. Um calendrio anual de manutenes previstas, negociado com a empresa, seria uma soluo muito simples e fcil para alguns dos problemas de sincronismo. Entrega de projetos com atrasos e acima do oramento. Esta percepo talvez a mais comum e abrangente no mercado. TI sempre alega que os usurios mudaram os requisitos dos projetos e por isso o prazo e o oramento no foram cumpridos, mas onde esto estas informaes? A alta administrao teve como acompanhar o projeto e ser informada com antecipao? Os projetos so longos o suciente para que o ambiente de negcios e requisitos mudem por evoluo natural? TI realiza esforos para aumentar a produtividade e reduzir o tempo de entrega dos projetos? O grande ponto em questo aqui a demonstrao de resultados, o calcanhar de Aquiles de TI. cada vez mais importante que sejam disponibilizados na linguagem da alta gerncia relatrios sobre o andamento dos projetos. Em projetos de milhes de dlares normal o efeito dissonncia cognitiva, aumentando a insegurana e a ansiedade. A demonstrao dos resultados o melhor remdio para controlar este efeito.
1.4 Os principais desaos imediatos da rea de TI
E m f u n o d a p e r c e p o d a al t a g e r n c i a s obr e TI, reduo constante dos oramentos, dependncia que os negcios tm em relao tecnologia, existem alguns desafios que devem ser enfrentados imediatamente (Mansur, 2007): Incrementar a efetividade dos servios. O nvel de servios de TI deve ser claricado e comunicado com SLAs e respectivos custos. Ainda existem erros operacionais,
19
ausncia de uxos de informaes, etc. que podem e devem ser eliminados. Aes que resultem na reduo da quantidade de chamados abertos, como a proatividade no gerenciamento, produzem resultados signicativos no discurso fazer mais com menos. Estender o ciclo de vida da tecnologia. Um ciclo normal de uma ferramenta industrial de cinco anos, e muitas chegam a atingir o dobro do tempo. Quando se fala que a vida til de um computador de 18 meses, este discurso soa com desconana no ouvido dos executivos. Hoje em dia, o poder de processamento dos PCs elevado o suciente para que um computador de quatro a cinco anos de vida atenda as necessidades dos usurios em geral. Tambm necessrio que a troca de ativos no seja apenas focada em aspectos subjetivos, mas que os custos sejam o grande fator motivacional, ou seja, toda vez que a manuteno de um bem for mais cara que o seu valor residual, este o momento para a troca do ativo. Remover gargalos. O ambiente de tecnologia muitas vezes impacta negativamente o ambiente de negcios. As diculdades para implantar um sistema ou promover a integrao entre parceiros de negcios, ou, ainda exigncias exageradas de segurana, so exemplos de como TI pode fazer a empresa perder oportunidades importantes de negcio. Os gargalos tambm podem vir na esfera de ausncia de recursos na infra-estrutura de TI, como por exemplo o processamento de um novo sistema que vise melhorar a produtividade da empresa, mas no existam recursos sucientes para tal. Este, no entanto, um caso bem simples, onde basta realizar o investimento no ativo que representa o gargalo que o problema estar resolvido. Entretanto, quando o gargalo vem de normas, procedimentos, pessoas, etc. o problema bem mais grave. Normas de segurana so importantes e salutares, mas a avaliao do impacto dos riscos fundamental, ou seja, TI necessita fazer a anlise de risco focando no negcio e no na tecnologia. TI ainda tem que galgar signicativos passos na direo de ajustar a sua capacidade de reao com as necessidades da empresa. Racionalizar a complexidade. Ao ambiente de TI s muito recentemente ganhou um contorno de padres fortes pela criao dos fruns de tecnologia, na qual usurios, fornecedores e desenvolvedores esto presente discutindo normas e padres. O ambiente hbrido, no entanto, acabou se tornando a congurao mais comum nas empresas, uma vez que o entendimento das necessidades envolvia produtos de fabricantes diferentes, gateways de comunicao, conversores, tradutores de protocolos, interpretadores de linguagem, etc. tudo isto acabou
20
criando uma parafernlia que fez do ambiente de tecnologia algo complexo. A complexidade custa caro, diculta a gesto e TI tem agora como misso a adoo de padres para simplicar o ambiente e eliminar gateways, conversores, etc. TI sempre ser um ambiente com alguma complexidade, mas deve se evitar que o ambiente seja o mais complexo que o necessrio. Assegurar a aderncia evoluo dos negcios. Os negcios so dinmicos, mudando rapidamente regras, parceiros, condies da economia, com isto, a empresa ajusta os uxos e processos de negcios todo o tempo. Como os processos de negcio esto apoiados em TI, pode ser necessrio realizar ajustes nos aplicativos e infra-estrutura em funo das mudanas. O alinhamento aos negcios s ser pleno quando TI conseguir acompanhar estas mudanas dinamicamente.
Atividades do Tema I
01-Qual o principal objetivo da governana corporativa?
02 Para que haja aderncia ao negcio e suas estratgias so citadas seis ativos principais. Descreva os elementos essenciais de cada ativo: 03- Segundo Mansur quais os problemas mais comuns associados a TI? 04- Quais so os quatro grandes desaos que assolam as empresas na viso dos gestores de TI? 05 Em geral, qual a percepo das organizaes sobre TI?
TEMA II
A Origem da Governana
Compreender as Razes e Motivaes para implementar a Governana de TI; Entender a Lei Sarbanes-Oxley; Conhecer o que Six Sigma; Conhecer o que a Basilia.

Governana de TI - Razes e Motivaes; A Basilia II; Verdades sobre Governana de TI.
23
2.1 Governana de TI - Razes e Motivaes

2.1.1 Motivaes Internas: Maximizao dos Investimentos
A adoo acelerada de processos de gesto de infra-estrutura nas empresas, dentro do conceito de Governana de TI, tem como principal motivao, internamente, a cobrana crescente sobre as responsveis pelas operaes de tecnologia da informao quanto maximizao do uso dos investimentos j realizados. O apelo faz sentido. Nos ltimos anos, os investimentos em TI cresceram de maneira dramtica. Em 2003, os gastos mundiais com infra-estrutura de TI atingiram US$ 1 trilho. Nos Estados Unidos e Europa, segundo o instituto de pesquisas Gartner Group, as empresas investem, em mdia, cerca de 4% de sua receita em TI. No Brasil, a mdia de investimento foi de 4,9% do faturamento lquido das empresas, contra 1,23% registrado em 1988, informa um levantamento efetuado pela Fundao Getlio Vargas. Por trs de tamanha dedicao na aplicao dos recursos nanceiros em TI est a preocupao das empresas em melhorarem seus processos operacionais, reduzirem custos, aumentarem a ecincia de seus funcionrios, aperfeioarem a relao com fornecedores, parceiros e clientes. Alm dos ganhos diretos com a adoo de melhores prticas e conforme estudamos no Item 1.1, investidores se dispem at mesmo a pagar um grande gio para investir em empresas com altos padres de governana.
2.1.2 Motivaes Externas: Exigncias Legais A Lei Sarbanes-Oxley
As necessidades da governana de TI originam-se pelas demandas de controle, transparncia e monitorao das organizaes. As origens destas demandas datam do comeo dos anos 90, mas o crescimento exuberante da economia mundial acabou mascarando a sua necessidade, e por conseqncia atrasando por alguns anos a sua sedimentao nas empresas. Com as crises do Mxico, sia e Rssia na segunda metade dos anos 90, os investidores mudaram de comportamento passando a exigir dos CEOs, um maior acerto nas previses oramentrias. Na tica dos investidores, quando a empresa tinha um lucro menor do que a previso, o CEO foi incompetente na gesto da empresa, e quando ocorria o inverso, ele, investidor, foi enganado, pois poderia ter investido muito mais naquela empresa. Esta nova atitude alavancou as necessidades de governana corporativa, a partir de 1998. No entanto a lucratividade e crescimento da economia ainda eram grandes o suciente, para impedir que o tema governana alcanasse o nvel de essencial nas organizaes. O status de desejvel j era por si s um enorme avano, mas no forte o suciente para implantar mudanas estruturais nas empresas. Novos fatos deveriam ocorrer para que as organizaes entendessem que o tema governana, era questo de vida e morte na continuidade dos negcios.
24
Framework (leque de diretrizes = melhores prticas)
Diante da necessidade de pelo menos um fato relevante, o mercado apresentou uma seqncia de fatos que tiraram da gaveta dos executivos os projetos de governana. Estes fatos foram fortes o suciente para que o assunto fosse classicado do nvel de normas e regulamentaes e em um segundo momento fosse elevado para lei. Os dois primeiros fatos vieram praticamente juntos, que foi a exploso da bolha da internet e o bug do milnio. O bug do milnio demandou investimentos de TI, poucas vezes registrados na histria, baseado em um discurso terrorista. A prtica mostrou que a maioria dos investimentos era desnecessria, uma vez que empresas com oramentos muito menores administraram os riscos sem interrupo dos servios. O segredo destas empresas, que elas conheciam o seu parque de ativos de tecnologia, e a gesto dos riscos foi feita em funo de conhecimento e impactos. Ao ser aprofundada, a questo dos investimentos realizados, foi estimado que 70% dos valores gastos nos projetos do bug, foram destinados, apenas para identicar os ativos de TI e os seus relacionamentos. Ou seja, foram gastos milhes de dlares, apenas para que os CIOs soubessem, o que tinham em casa e estavam gerenciando. O mercado concluiu, que se o CIO sequer sabia o que tinha em casa, o nvel de servios, considerado pobre pelo mercado, era conseqncia de falhas gerenciais. A desconana nos investimentos realizados em TI provocou um maior rigor nas auditorias em TI, que haviam perdido o flego nos anos anteriores, por falta de informaes. Segundo Mansur, 2007, o COBIT, por ter mtricas claras, acabou sendo a metodologia adotada pelos auditores, e a governana de TI ganhou impulso para salvar a carreira dos CIOs. Os CIOs que antes do bug, estavam em vo livre na direo da alta administrao, tiveram o seu plano de vo abortado, voltando ao guarda chuva do CFO, que detinha a auditoria, controles e mtricas. A auditoria alm de medir, via COBIT, buscava tambm melhorar o desempenho da rea de TI, e neste momento apareceu a oportunidade para os CIOs de introduzirem a dupla ITIL x COBIT para medir e melhorar. Estudaremos os Frameworks3 COBIT e ITIL no TEMA III e TEMA V, respectivamente. O segundo fato marcante, foi a bolha de internet, que mostrou oramentos inados, superestimativas de faturamento e lucros pelas empresas da nova economia. Os investidores, reagiram aos prejuzos, com normas e regulamentaes para reduzir os riscos dos investimentos, emprstimos, etc, resultando na norma conhecida como a Basilia II, estudada no TEMA II Item 2.2. Este novo contorno de regulamentao visou melhorar a gesto dos riscos e o mecanismo encontrado para tal, foi a governana corporativa. Mesmo com todo esse movimento em busca da governana, o mercado ainda assim apresentou novas distores de informaes, como os fatos ocorridos em 2002 nos Estados Unidos, que evidenciaram uma srie de escndalos corporativos (Tyco, Global Crossing, Qwest, Merck, Halliburton, Lucent, Vivendi, Xerox e Parmalat entre outras), que colo-
25
cou na ordem do dia questes como tica nos negcios, transparncia, governana corporativa, conitos de interesse entre acionistas e gestores das corporaes, conitos de interesse entre acionistas minoritrios e os controladores, conitos de interesse entre as corporaes e a sociedade Stakeholders4. Por m, colocaram em xeque os sistemas de gesto at ento vigentes e que prejudicaram milhares de investidores. Estes casos mostraram que apesar da fora das normas e regulamentaes, este ainda no era o instrumental com fora suciente para combater a doena. A lei SarbanesOxley (SOX), ento foi aprovada, e passou a responsabilizar o CEO e CFO pelas informaes das empresas. Representando a maior reforma sobre a regulamentao das empresas depois do New Deal, nome dado a um conjunto de medidas elaboradas nos anos 30 para tentar sanar a situao nanceira dos Estados Unidos aps a quebra da bolsa em 1929 A lei prev inclusive penas de multas ou priso para os executivos da companhia no caso de apresentao de informaes incorretas ou imprecisas. Apesar de sua abrangncia restrita, a SOX passou, no entanto a ser referncia para todas as grandes empresas que hoje j demonstram preocupao com a aderncia aos padres de governana (Mansur, 2007). Neste momento, a governana deixou a condio de desejvel e foi elevada para o status de essencial aos negcios da empresa. Os controles, monitorao e transparncia esto agora disponveis como ferramentas de gesto das organizaes. Como os negcios demandaram recursos de TI, e as informaes estavam na sua maioria no formato digital, a rea passou a ter um papel vital na governana. A auditoria, que trabalhava com as mtricas do COBIT, comparava os resultados tanto no mbito interno como externo da empresa, mas isto ainda era pouco, e os CIOs passaram a adotar o ITIL e as suas melhores prticas para melhorar os processos de TI, aumentando a qualidade e reduzindo os custos. Ao combinar ITIL, COBIT, ISO, Six Sigma e outros frameworks, o CIO trouxe para si a responsabilidade de criar os ciclos de melhoria de TI, baseando-se em metodologias consagradas no mercado. Conforme arma Ricardo Mansur (2007), esta oportunidade, no apenas estabilizou a rota de queda da carreira do CIO, como ainda ajudou no sentido de criar novas expectativas e permitir um crescimento futuro na carreira deles. O que Six Sigma? Sigma uma unidade estatstica de medida que reete quo bom o desempenho de um processo; Quando o nmero de defeitos em um processo ou produto diminui, o rendimento e o valor sigma aumentam; Por denio, Six Sigma medida estatstica quantitativa signicando menos que 4 defeitos por milho de oportunidades; A medida Six Sigma signica que os produtos e processos satis-
4 Stakeholders (Acionistas, controladores, gestores, funcionrios, etc.)
26
fazem o cliente 99,99966% do tempo. A viso clssica de qualidade 99% Bom 5.000 Operaes Cirrgicas incorretas por semana 2 Pousos Curtos ou Longos nos maiores Aeroportos diariamente 200.000 Prescries de Remdios erradas a cada ano A viso Six Sigma de Qualidade 99,99966% Bom 1.7 Operaes Cirrgicas incor retas por Semana 1 Pousos Curto ou Longo nos maiores Aeroportos a cada 5 ano 68 Prescries de Remdios erradas a cada ano HTTP://www.isixsigma.com A combinao destas metodologias (ITIL x COBIT x Six Sigma, ISO, etc.) forte o suciente para atender a gesto de riscos, demandada pelo mercado, e tambm para criar um novo ciclo de crescimento de TI. Segundo Mansur, 2007, as mtricas claras e objetivas permitiro medir a real contribuio da rea em relao a sua contribuio nos lucros, reduo dos custos, melhoria dos servios e principalmente transmitir aos investidores de que agora temos no p da empresa o sapato de nmero correto. O ITIL, trata a gesto de riscos de diversas formas, por exemplo, como quando enderea questes que vo alm do SLA mdio, como a reduo da sua variabilidade, o resultado nal um aumento na conana nos servios de TI. O aumento de conana traduz-se em reduo de riscos, pois o grau de certeza de que uma determinada atividade, que tem TI como meio de execuo, seja realizada, tornou-se maior. Daqui para frente, a expectativa que a SOX se torne universal, de uma forma ou de outra, e os principais mercados mundiais sero pautados nos princpios de transparncia, controle, monitorao e demonstrao de resultados. No Brasil, o tema da governana corporativa avana, forado inclusive pela crescente presso do mercado. J em 1995 foi fundado o Instituto Brasileiro de Governana Corporativa (IBGC), focado especicamente nesta questo e responsvel por uma denio de governana corporativa amplamente utilizada - o sistema pelo qual as sociedades so dirigidas e monitoradas, envolvendo os relacionamentos entre Acionistas/Cotistas, Conselho de Administrao, Diretoria, Auditoria Independente e Conselho Fiscal. Fonte: http://www.ibgc.org.br/ Alerta ainda o Instituto para a necessidade de utilizao das boas prticas de governana como meio de aumentar o valor das empresas, facilitar o acesso ao capital e contribuir para a sua perenidade. No so poucos os fatos que comprovam tal teoria. S como exemplo, podemos citar a criao em 2001 pela Bovespa do Novo Mercado - um segmento de listagem, destinado negociao de aes emitidas por empresas que se comprometem, voluntariamente, com a adoo de prticas de governana corporativa -, a valorizao acima
27
da mdia dessas aes no mercado e o anncio do lanamento para o primeiro semestre deste ano do segmento Bovespa Mais, com o objetivo de incentivar a ida de pequenas e mdias empresas rmemente comprometidas com o seu crescimento, com boas prticas de governana corporativa e com a busca da liquidez das suas aes no mercado secundrio bolsa. Fonte: http://www.ibgc.org.br/ Praticar a governana corporativa signica muito mais do que trabalhar a imagem externa das organizaes. As empresas que adotam como linhas mestras a transparncia, a prestao de contas e a eqidade so capazes de atrair no s os acionistas, mas tambm, consumidores e fornecedores. Conseguem tambm formar um quadro de pessoal de maior qualidade, atraindo, desenvolvendo e retendo talentos. (Mansur 2005)
2.2 A Basilia II
Com a criao pelo Bank of International Settlements (BIS), o Banco Central dos Bancos Centrais que regula o setor no mundo inteiro, de um Novo Acordo de Capitais, o Basilia II, as instituies nanceiras comearam a se preocupar com a ecincia de seus controles internos e da gesto de riscos operacionais. As recomendaes do Comit de Superviso da Basilia, que criou o Novo Acordo da Basilia, publicado em Junho de 2004 pelo documento Convergncia Internacional de Mensurao e Padres de Capital: Uma estrutura Revisada (Basilia II), tratam do estabelecimento de critrios mais adequados ao nvel de riscos associados s operaes conduzidas pelas instituies nanceiras para ns de requerimento de capital regulamentar, exigindo que as perdas operacionais previstas sejam deduzidas da base de capital, impondo que as instituies tenham a mensurao, gesto e controle do Risco Operacional. Este ltimo, conforme descrito pelo Comit da Basilia em 2001, o risco de perdas diretas e indiretas, resultante de falhas em processos internos ou de eventos externos5, tais como fraudes, relaes trabalhistas, danos a ativos, interrupo do negcio e falhas de 17 sistemas, execuo e gesto de processo. Na prtica, o novo acordo atinge os bancos da seguinte maneira: a instituio que no possuir controles internos ecientes e uma metodologia de avaliao de riscos implementada ser obrigada a manter uma quantidade maior de recursos prprios em sua estrutura patrimonial, enquanto que, instituies que investirem nesses itens tero que reter menor volume de recursos, o que tem um impacto determinante na competitividade dos bancos. Do ponto de vista da rea de TI, ser necessrio a adoo de uma gesto de riscos operacionais para garantir total segurana e condencialidade dos dados dos clientes, sem o comprometimento da instituio. Alm de oferecer uma infra-estrutura de sistemas que assegure a integridade da base de dados e dos relatrios gerenciais, sendo preciso adaptar sistemas e procedimentos dos bancos relacionados anlise e medio do risco operacional. Para permitir uma estratgia de gerenciamento do risco o Basilia II exige a captao, arquivamento e estruturao de dados histricos relacionados com a instituio nos ltimos cinco anos,
28
consolidando na base de dados todas as informaes sobre fraudes, lavagem de dinheiro, padres de operaes e comportamentos suspeitos, garantindo a existncia de um ambiente adequado de controles.
2.3 Verdades sobre Governana de TI
O que Governana de TI? Esta uma questo que muitos CIOs esto fazendo. Isto ocorre devido diversidade de ferramentas e conceitos que surgem no mercado, gerando dvidas e denies incorretas sobre o tema. Os grandes equvocos que ocorrem freqentemente so de denio, onde se conceitua a Governana de TI (GTI) como um painel de indicadores, ou como um processo de gesto de portflio dos projetos estratgicos. Existem algumas frentes defensoras do conceito de que com a implementao de alguns processos baseados em apenas uma das melhores prticas (como Balanced Scoredcards - BSC, COBIT, ou ITIL) por si s, garantem a Governana, entretanto este conceito est incorreto. A premissa mais importante da Governana de TI o alinhamento entre as diretrizes e objetivos estratgicos da organizao com as aes de TI. A denio do professor da FGV Joo R. Peres demonstra este conceito de forma abrangente, atribuindo os papis e as responsabilidades conforme abaixo: Governana de TI um conjunto de prticas, padres e relacionamentos estruturados, assumidos por executivos, gestores, tcnicos e usurios de TI de uma organizao, com a nalidade de garantir controles efetivos, ampliar os processos de segurana, minimizar os riscos, ampliar o desempenho, otimizar a aplicao de recursos, reduzir os custos, suportar as melhores decises e conseqentemente alinhar TI aos negcios.. Fonte: (Carlos Augusto da Costa Carvalho, 2006 www. imasters.com.br)
Figura 02 Ambiente de impacto para a adoo de melhores prticas. Fonte: ITIL The Key to Managing IT Services - Fundamentos Est denio deixa clara a importncia da Governana de TI em organizaes que almejam atender a crescente demanda por aumento de qualidade de produtos e processos, a alta competitividade do mercado
29
globalizado e a busca por menores custos e maiores lucros. Outra denio que se encaixa em Governana de TI de consider-la como a Gesto da Gesto, demonstrando seu papel principal que de auxiliar o CIO (Governante de TI) a avaliar os rumos a serem tomados para o alcance dos objetivos da organizao, onde um direcionamento errado pode levar a empresa ao fracasso em pouco tempo. Devemos levar em considerao que casos de sucesso de um programa de Governana aplicados a uma empresa no do a garantia do mesmo sucesso outra. Estes casos so muito instrutivos e importantes para auxiliar nos caminhos da elaborao de um programa prprio. A implementao efetiva da Governana de TI s possvel com o desenvolvimento de um framework (modelo) organizacional especco. Para tanto, devem ser utilizadas, em conjunto, as melhores prticas existentes como o BSC, PMBok, COBIT, ITIL, CMMI5 e ISO 17.799, de onde devem ser extrados os pontos que atinjam os objetivos do programa de Governana. Na gura 03, podemos ver o uso das melhores prticas conforme a necessidade da empresa e a sua fase de maturidade. Alm disso, imprescindvel levar em conta os aspectos culturais e estruturais da empresa, devido mudana dos paradigmas existentes. O grande desao do Governante de TI o de transformar os processos em engrenagens que funcionem de forma sincronizada a ponto de demonstrar que a TI no apenas uma rea de suporte ao negcio e sim parte fundamental da estratgia das organizaes. (Carlos Augusto da Costa Carvalho, 2006 www.imasters.com.br) Fluxo da Melhoria Contnua em TI
Figura 03 - Usando os Frameworks conforme a necessidade do processo. Fonte: ITIL The Key to Managing IT Services - Fundamentos
5 O CMMI tem como foco o desenvolvimento e a manuteno de software. E tem como objetivo disponibilizar modelos para melhorar os processos e habilidades das empresas no desenvolvimento, compra ou manuteno de produtos e servios.
30
Atividades do Tema II
01 - Fale sobre a lei SarbanesOxley (SOX)?
02 - Cite duas denies de Governana de TI? 03 - Fale sobre o Six Sigma?
04 Cite os principais frameworks com foco em governana do Mercado?
05 Baseado na pergunta dois, que trata das denies de Governana, qual a premissa mais importante da Governana de TI?
UNIDADE II
Conhecendo os Principais Frameworks de Governana
TEMA III
Conhecendo o COBIT
Compreender o COBIT; Conhecer a origem do COBIT; Entender a aplicao, os objetivos e benefcios do COBIT. Conhecer os quatro domnios do COBIT; Entender os Recursos e Processos do COBIT; Conhecer os conceitos de Service Desk, Service Support e Service Delivery; Entender a aplicao das ferramentas operacionais do ITIL; Entender o processo de certificao do ITIL; Compreender o papel do CIO na Organizao; Conhecer os conceitos de Segurana da Informao; Conhecer Histrico da Norma NBR ISO/IEC 17799; Compreender a estrutura da Norma NBR ISO/IEC 17799;

O que COBIT; Os Domnios do COBIT; Desenvolvimento do COBIT; Benefcios do COBIT; Ferramentas de Gerenciamento do COBIT.
33
Apresentao da Unidade Estudaremos nessa Unidade os principais framework de governana de TI, buscando o entendimento de cada um deles e tcnicas bsicas de implementao desses frameworks dentro das empresas. Conheceremos tambm onde se aplica cada framework e as interaes entre eles.
3.1 O que COBIT

No TEMA II estudamos a SOX. Nele foram abordados assuntos como: sua denio, seus efeitos na Organizao e os impactos provocados na TI. Comentamos tambm sobre os frameworks e, dentre eles, foi citado o COBIT, que estudaremos nesse TEMA. O termo COBIT vem do ingls: Control Objectives for Information and related Technology. um framework, ou seja, um leque de diretrizes que tem como base: a metodologia COSO6, estudaremos o COSO no TEMA IV. Framework = leque de diretrizes = melhores prticas O COBIT um guia para a gesto de TI recomendado pelo ISACF (Information Systems Audit and Control Foundation, www.isaca.org). O COBIT inclui recursos tais como um sumrio executivo, um framework, controle de objetivos, mapas de auditoria, um conjunto de ferramentas de implementao e um guia com tcnicas de gerenciamento. As prticas de gesto do COBIT so recomendadas pelos peritos em gesto de TI que ajudam a otimizar os investimentos em TI e fornecem mtricas para avaliao dos resultados. O COBIT independe das plataformas de TI adotadas nas empresas. O COBIT orientado ao negcio. Fornece informaes detalhadas para gerenciar processos baseados em objetivos de negcios. O COBIT projetado para auxiliar trs funes distintas: 1. Gerentes que necessitam avaliar o risco e controlar os investimentos de TI em uma organizao. 2. Usurios que precisam ter garantias de que os servios de TI que dependem os seus produtos e servios para os clientes internos e externos esto sendo bem gerenciados. 3. Auditores que podem se apoiar nas recomendaes do COBIT para avaliar o nvel da gesto de TI e aconselhar o controle interno da organizao. O COBIT est dividido em quatro domnios: I. II. III. IV. Planejamento e organizao. Aquisio e implementao. Entrega e suporte. Monitorao.
COSO The Comitee of Sponsoring Organizations (Comit das Organizaes Patrocinadoras). um Framework que se tornou padro para o gerenciamento de controles e risco.
6
A gura 04 ilustra a estrutura do COBIT com os quatro domnios, onde claramente est ligado aos processos de negcio da organizao. Os mapas de controle fornecidos pelo COBIT auxiliam os auditores e
34
gerentes a manter controles sucientes para garantir o acompanhamento das iniciativas de TI e recomendar a implementao de novas prticas, se necessrio. O ponto central o gerenciamento da informao com os recursos de TI para garantir o negcio da organizao.
Figura 04: Os quatro domnios do COBIT http://www.isaca.org
3.2 Os Domnios do COBIT

Cada domnio cobre um conjunto de processos para garantir a completa gesto de TI, somando 34 processos:
Teorias da Histria Governana em TI Planejamento e Organizao
35
1. Dene o plano estratgico de TI 2. Dene a arquitetura da informao 3. Determina a direo tecnolgica 4. Dene a organizao de TI e seus relacionamentos 5. Gerencia os investimentos de TI 6. Gerencia a comunicao das direes de TI 7. Gerencia os recursos humanos 8. Assegura o alinhamento de TI com os requerimentos externos 9. Avalia os riscos 10. Gerencia os projetos 11. Gerencia a qualidade
Aquisio e implementao
1. Identica as solues de automao 2. Adquire e mantm os softwares 3. Adquire e mantm a infra-estrutura tecnolgica 4. Desenvolve e mantm os procedimentos 5. Instala e certica softwares 6. Gerencia as mudanas
Entrega e suporte
1. Dene e mantm os acordos de nveis de servios (SLA) 2. Gerencia os servios de terceiros 3. Gerencia a performance e capacidade do ambiente 4. Assegura a continuidade dos servios 5. Assegura a segurana dos servios 6. Identica e aloca custos 7. Treina os usurios 8. Assiste e aconselha os usurios 9. Gerencia a congurao 10. Gerencia os problemas e incidentes 11. Gerencia os dados 12. Gerencia a infra-estrutura 13. Gerencia as operaes
Monitorao
1. Monitora os processos 2. Analisa a adequao dos controles internos 3. Prove auditorias independentes
36
4. Prove segurana independente
Figura 05 - Viso dos Domnios do COBIT Fonte: ITIL The Key to Managing IT Services - Fundamento
3.3 Desenvolvimento do COBIT

A primeira publicao foi em 1996 enfocando o controle e anlise dos sistemas de informao. Sua segunda edio em 1998 ampliou a base de recursos adicionando o guia prtico de implementao e execuo. A edio atual, j coordenada pelo IT Governance Institute, introduz as recomendaes de gerenciamento de ambientes de TI dentro do modelo de maturidade de governana. O COBIT recebe um conjunto de contribuies de vrias empresas e organismos internacionais, entre eles: Padres tcnicos da ISO; Os cdigos de conduta emitidos pelo Conselho de Europa, ISACA; Critrios de qualicao para TI e processos: ITSEC, TCSEC, ISO 9000; Padres prossionais para controle internos e auditoria: COSO, IFAC, CICA, ISACA; Prticas e exigncias dos fruns da indstria e das plataformas recomendadas pelos governos; Exigncias das indstrias emergentes como operao bancria, comrcio eletrnico e engenharia de software.
Teorias da Histria Governana em TI 3.3.1 Objetivo:
37
O propsito de sua criao apoiar os gestores e os prossionais no controle e gerenciamento dos processos de TI de forma lgica e estruturada, tendo como foco: o relacionamento entre os objetivos de negcio com os objetivos de TI. Vale destacar que o COBIT um modelo utilizado internacionalmente como um instrumento (de fomento) da Governana de TI, contendo prticas e tcnicas de controle e gerenciamento, a m de: auxiliar na preparao para auditorias, acompanhamento/monitoramento, a avaliao dos processos de TI e , nalmente, auxiliar no alcance de metas na organizao.
3.4 Benefcios do COBIT
Na era da dependncia eletrnica dos negcios e da tecnologia, as organizaes devem demonstrar controles crescentes em segurana. Cada organizao deve compreender seu prprio desempenho e deve medir seu progresso. O benchmarking com outras organizaes deve fazer parte da estratgia da empresa para conseguir a melhor competitividade em TI. As recomendaes de gerenciamento do COBIT com orientao no modelo de maturidade em governana, auxiliam os gerentes de TI no cumprimento de seus objetivos alinhados com os objetivos da organizao. Os guidelines de gerenciamento do COBIT focam na gerncia por desempenho usando os princpios do balanced scorecard. Seus indicadores chaves identicam e medem os resultados dos processos, avaliando seu desempenho e alinhamento com os objetivos dos negcios da organizao.
3.4.1 Quanto aos Recursos e Processos em TI
Com o foco nos negcios, o COBIT vem a apoiar de forma signicativa a rea de TI. Suas diretrizes pertencem a um conjunto de 318 controles, distribudos em 34 processos, cada qual visando, segundo a COBIT, um Objetivo de Controle. Conforme vimos no Item 3.2 Os Domnios do COBIT. Seus Recursos: framework; mapas de auditoria; sumrio executivo; control objectives - Objetivos de Controle (propsito a ser alcanado ou o resultado a ser atingido); guia - tcnicas de gerenciamento e ferramentas - quanto implementao do modelo. No necessariamente nesta ordem, mas estes so os recursos que podem auxiliar na implantao de um modelo na TI e permitir
38
uma anlise mais precisa quanto aos processos e resultados. Importante ressaltar que a rea em questo deve manter os olhos no alinhamento dos negcios e, ao mesmo tempo, car atento ao gerenciamento de riscos. Vale frisar ainda que, quando falamos em controles voltados ao COBIT, estamos falando de: procedimentos; prticas; regras de negcios (organizao) e polticas A soma destes ingredientes serve de preparo as exigncias da boa governana em TI quanto s expectativas do mercado, legislao, automao, a organizao em si, aos acionistas, aos clientes internos, auditores, etc. No entanto, a TI atravs do COBIT, dever fornecer todas as informaes (slidas) e mtricas necessrias quando solicitadas - com base no KGI7 (Key Goal Indicators), ROI (Return on Investment), KPI (Key Performance Indicator) para que a organizao possa monitorar a sua performance e resultado das suas metas com o menor risco possvel. Este um ponto primordial. Vale analisar que talvez, haja a necessidade da interao entre a rea nanceira da empresa e a TI. O Modelo de Governana do COBIT constitudo por componentes associados, que tornam TI um habilitador do negcio. Componentes do modelo: Fatores Crticos de Sucesso (CSFs - Critical Success Factors) - O que h de mais importante a ser feito para permitir que uma tarefa ou processo sejam concludos; Indicadores de Meta (KGIs - Key Goal Indicators) - So os parmetros utilizados para reconhecer se o Processo alcanou as metas denidas (associadas aos objetivos); Indicadores de Desempenho (KPIs - Key Performance Indicators) - Denem quo bem o desempenho do Processo, em direo ao que foi denido como objetivo. O Management Guidelines inclui modelos de maturidade (MM) Estudado no Item 3.5 Ferramentas de Gerenciamento do COBIT. Um Processo deve alcanar os objetivos de negcio denidos nos Indicadores de Metas (KGIs). Um habilitador, resultante da combinao dos recursos de TI necessrios e dos Fatores Crticos de Sucesso (CSFs) denidos para alcanar os referidos objetivos, fornece a informao segundo os Critrios de Informao necessrios e monitorado por Indicadores de Desempenho (KPIs). Os Critrios de Informao podem ser: Eccia, Ecincia, Condencialidade, Integridade, Disponibilidade, Conformidade e Conabilidade (Weill, Peter e Ross , Jeanne W. 2006). O Management Guidelines tambm fornece os fatores crticos de sucesso (FCSs), os KGIs (key goal indicators) e os KPIs (key performance indicators) que podem ser teis quando do esforo para se alcanar um certo nvel de maturidade. Os fatores crticos de sucesso
7 KGI (Key Goal Indicators) Indicadores de Meta. ROI (Return on Investment) Clculo de Retorno sobre o investimento. KPI (Key Performance Indicator) Indicadores de Desempenho.
39
so os elementos mais importantes que uma organizao deve ter como meta para contribuir com o processo de TI no cumprimento de seus objetivos. KGIs so elementos de negcios indicando o qu deve ser cumprido. Eles representam os objetivos do processo de TI. Os KPIs so orientados a processo, focando no como, e indicando quo bem os processos de TI permitem que o objetivo seja alcanado. Os FCSs, KPIs e KGIs para o processo Denio e Gerenciamento de Nveis de servio esto resumidos abaixo: Fatores Crticos de Sucesso - Os nveis de servio so expressos nos termos de negcio do usurio nal, sempre que possvel. - Anlise das causas deve ser executada sempre que o nvel de servio acordado no seja atendido. - Habilidades e ferramentas esto disponveis para fornecer informaes sobre o nvel de servio periodicamente - A dependncia em TI de processos crticos de negcio est denida e coberta pelas SLAs. - As responsabilidades de TI esto ligadas aos nveis de servio. - A rea de TI pode identicar as fontes de variao de custos. - Esclarecimentos detalhados e consistentes sobre as variaes de custo esto disponveis. - Um sistema para o acompanhamento de mudanas individuais est disponvel. KGIs - Declarao pela unidade estratgica dos negcios que os nveis de servio esto alinhados com os objetivos de negcio. - Concordncia do cliente que o nvel de servio atende as expectativas. - Nveis de servio compatveis com os custos orados. - Porcentagem de todos os processos crticos de negcios dependentes de TI cobertos pelos SLAs. - Porcentagem de SLAs revistas no perodo acordado. - Porcentagem de servios de TI que atendem SLAs. KPIs - Tempo de tratamento de um pedido de mudana nos nveis de servio. - Freqncia de levantamento da satisfao do cliente. - Tempo de tratamento de assuntos relacionados a nveis de servio. - Impacto da quantidade de recursos nanceiros adicionais para o atendimento do nvel de servio denido.
Existe um relacionamento de causa-e-efeito importante entre KGIs e KPIs. KGIs, tais como a Concordncia do cliente que o nvel de servio atende as expectativas, sem KPIs, tais como o Tempo de tratamento para um pedido de mudana nos nveis de servio, no comunica como o resultado ser obtido. E KPIs sem KGIs pode levar a investimentos signicativos sem uma medida apropriada indicando se a estratgia SLM escolhida efetiva. Alguns KPIs tero obviamente um grande impacto em KGIs especcos, comparados com outros. importante identicar os KGIs mais importantes para um determinado ambiente e monitorar de perto os KPIs que mais contribuem com eles.
40
Governana em TI Teorias da Histria 3.5 Ferramentas de Gerenciamento do COBIT
Um modelo de maturidade um mtodo de avaliao que permite a uma organizao graduar a sua maturidade para um determinado processo, de no-existente (0) at otimizado (5) e assim avaliar-se quanto as melhores prticas e padres do mercado. Dessa forma, as decincias podem ser identicadas e aes especcas podem ser denidas para se atingir as posies desejadas. Pode-se mover para um nvel mais alto quando todas as condies descritas em um determinado nvel de maturidade so cumpridas. O modelo de maturidade para o processo Denio e Gerenciamento de Nveis de servio est resumido abaixo: 0. Inexistente: falta absoluta de elementos reconhecveis do processo. 1. Inicial (ad hoc): reconhece-se, de forma despadronizada, o interesse em tratar da necessidade, ainda que caso a caso. 2. Repetitivo mas intuitivo: procedimentos similares seguidos por pessoas distintas, para o mesmo tipo de atividade. 3. Processos denidos: procedimentos padronizados e documentados, comunicados por meio de treinamento. 4. Processos gerenciveis e medidos: possvel monitorar e medir a conformidade com os procedimentos. 5. Processos otimizados: processo automatizado e baseado nas melhores prticas. A Maturidade deve ser avaliada em cada um dos Processos. O nvel timo correspondente determinado individualmente, de acordo com a natureza da instituio, ameaas e oportunidades viabilizadas por TI. O COBIT fornece orientaes, especcas para cada processo, do que deve ser trabalhado para atingir determinado nvel de Maturidade. Essa abordagem derivada do modelo de maturidade para desenvolvimento de software, Capability Maturity Model for Software (SW-CMM), proposto pelo Software Engineering Institute (SEI). A partir desses nveis, foi desenvolvido para cada um dos 34 processos do COBIT um roteiro: Onde a organizao est hoje; O atual estgio de desenvolvimento da indstria (best-in-class); O atual estgio dos padres internacionais; Aonde a organizao quer chegar; Os fatores crticos de sucesso denem os desaos mais importantes ou aes de gerenciamento que devem ser adotadas para colocar sobre controle a gesto de TI. So denidas as aes mais importantes do ponto de vista do que fazer a nvel estratgico, tcnico, organizacional e de processo. Os indicadores de objetivos denem como sero mensurados os progressos das aes para atingir os objetivos da organizao, usualmente expressos nos seguintes termos: Disponibilidade das informaes necessrias para suportar as necessidades de negcios;
41
Riscos de falta de integridade e condencialidade das informaes; Ecincia nos custos dos processos e operaes; Conrmao de conabilidade, efetividade e conformidade das informaes. Indicadores de desempenho denem medidas para determinar como os processos de TI esto sendo executados e se eles permitem atingir os objetivos planejados; so os indicadores que denem se os objetivos sero atingidos ou no; so os indicadores que avaliam as boas prticas e habilidades de TI.
3.6 Observaes nais
O COBIT procura ocupar o espao entre a Gesto de Riscos voltada para o Negcio (atendida, por exemplo, pelo COSO - Comitee of Sponsoring Organizations, estudado no TEMA IV), a Gesto de Servios em TI (atendida por meio do ITIL, estudado no TEMA V) e a Gesto da Segurana da Informao (por exemplo, tratada pela NBR ISO/IEC 17799, estudada no TEMA VI). Esses modelos de gesto consistem de boas prticas especcas segundo sua rea foco, e possuem funes complementares. Dessa forma, o COBIT permite alinhar os objetivos dessas reas de conhecimento s estratgias e princpios de governana corporativa, garantindo, assim, que os processos e atividades desempenhadas pelas respectivas reas e funes corporativas concorram de forma sistemtica para o alcance dos objetivos do negcio e para a reduo dos riscos operacionais. O COBIT assegura aos usurios a existncia de controles, inclusive tornando-os responsveis por parte desses controles, e auxilia o trabalho dos auditores de sistemas e de segurana da informao. Interessante saber que, qualquer organizao pode utilizar as boas prticas do COBIT, pois independe do tipo de negcio, infra-estrutura, sistemas ou tecnologia utilizada. E vale lembrar que, o papel do COBIT no determinar como os processos devem ser estruturados, mas utiliz-lo da melhor forma, a m de, estruturar e gerar as informaes que a empresa realmente necessita, levando em considerao, conforme j citado, o relacionamento entre os objetivos de negcio da organizao e os objetivos da rea em questo (a TI), atingindo assim, suas metas com base na governana. Portanto, seu papel descobrir a soluo do desalinhamento entre TI e Negcio diante das principais regulamentaes (normas regulatrias) existentes no mercado, por exemplo: a Basilia e a SOX. Agora, cabe ao prprio gestor ou prossional da rea conhecer as necessidades da empresa e utilizar o COBIT a favor. Talvez aqui esteja a grande dica: conhecer as reais necessidades, para s ento, integrar os recursos oferecidos pelo COBIT.
3.6.1 Mais informaes e referncias desse TEMA
Muitas informaes do COBIT so padres abertos e disponveis
42
gratuitamente para download no site do IT Governance Institues http://www.itgovernance.org ou no site do Information System Audit & Control Association http://www.isaca.org Exemplos Prticos - Uso e Certicao do COBIT
A fora do COBIT
Trabalho em equipe
O gerente snior Fbio Braz comanda cerca de 500 funcionrios na rea de infra-estrutura e operaes da empresa de call center Contax. Formando em engenharia eletrnica, Braz fez parte da primeira turma de ps-graduao em governana de TI do Instituto de Pesquisas Tecnolgicas do Estado de So Paulo (IPT) e tem a certicao em ITIL. A Cobit Foudation surgiu em 2006, antes de ele conseguir a vaga na Contax. Ao buscar essas certicaes, d para avaliar se as prticas esto de acordo com o que est sendo feito em empresas do mundo todo, arma Braz. Ele lembra que o Cobit muito eciente para eliminar vcios de gesto da TI. No entanto, por indicar onde e como a empresa est pisando na bola, a implementao deve ser feita de forma gradual para no assustar a rea de negcios. Mas impossvel implementar 100% do Cobit, diz Braz conta que j treinou outros 12 gerentes da Contax que faro a prova. OPO PARA OS NOVATOS Para quem acaba de sair da faculdade, a certicao em Cobit um bom diferencial no currculo. O primeiro contato de Daniel Pacheco, 24 anos, com o Cobit foi na faculdade de engenharia da computao da Universidade Federal de Itajub, em Minas Gerais. O interesse aumentou quando ele fez um intercmbio com a Universidade de Dresden, na Alemanha. Na volta, recm-formado, foi contratado como auditor de sistemas da informao da consultoria Ernest & Young. Pacheco tirou a certicao do Cobit Foundation no nal do ms de outubro. Segundo ele, a certicao um critrio conceituado no mercado, que permite aplicar a mesma rigorosidade em diferentes pases. O certicado um diferencial que o prossional ter em outras oportunidades que surgirem, arma. De acordo com o auditor, a Ernest & Young d incentivos em forma de cursos no programa de universidade corporativa, alm de benefcios atrelados ao desempenho do prossional, como reembolso de treinamentos e certicaoes, Aps conseguir o certicado em Cobit, Pacheco ir ainda este ano tenatr CISA (Certied Information Systems Auditor), que tem como coco os prossionais da rea de auditoria. COMO CHEGAR L O rgo ocial que representa o Cobit a Isaca (Information
43
Systems Audit and Control Association), responsvel por atualizar as verses e emitir os certicados pelo mundo. Apesar de a Isaca no divulgar um nmero ocial de prossionais com a certicao em Cobit, mais de mil pessoas j passaram nas provas realizadas pelas consultorias certicadas. No Brasil, so as empresas IT Partners, Big Five consulting e World Pass que oferecem o curso e o teste. Tem empresas que ainda esto aprendendo a adotar o Cobit, mas em trs anos ser requisito bsico para rea de auditoria de TI, arma Agnaldo Aragon Fernandes, scio-fundador da Aragon Consultores Associados e autor do livro Implantando a Governana de TI da Estratgia Gesto dos Processos e Servios. Diferentemente do que acontece com outras certicaes, no h uma estimativa corrente no mercado de remunerao para prossionais certicados em Cobit. Mas, para um consultor independente, por exemplo, um retorno garantido. Um prossional consegue passar de 80 para 100 ou 120 reais por hora de trabalho, arma. Apesar de todo o material do Cobit estar disponvel na Internet, o investimento num curso preparatrio (veja tabela) importante para quem no est em dia com o ingls, j que o material e a prova so nessa lngua. Os cursos tambm apresentam projetos realizados em outras companhias, alm de permitir a troca de gurinhas com prossionais de TI de outras empresas. Segundo Andr Pitkowski, diretor da Isaca, a procura dos cursos por parte das corporaes que realizam treinamentos internos. Pitkowski, que coordenou a adoo de normas de TI no Grupo Po de Acar, arma que substituir cursos uma boa estratgia para empresas que querem promover prossionais com muito conhecimento tcnico, mas que cam devendo na viso de gerenciamento. O Brasil o segundo pas do mundo em nmero de prossionais certicados em Cobit, arma Pitkowski. Segundo ele, j existem grandes projetos no Brasil, como o da Visanet, que certicou 80 prossionais da sua equipe de TI. O consultor conta que a Isaca acaba de escolher o pas para traduzir a prova de Cobit para o portugus. Alguns cursos de ps-graduao e MBA com foco em gesto de TI, como os IPT, FIAP, Mau e FGV, j incluem o Cobit. CURSOS DE COBIT Veja os trs cursos que so credenciados pela Isaca no Brasil. Carga Horria (HORAS) BIG 5 CONSULTING IT PARTNERS WORLD PASS 16 16 16 + 8 de reviso Preo (R$)(1) 2.300,00 2.350,00 1.700,00 Onde Encontrar www.b5c.com.br www.itpartners.com.br www.worldpass.com.br
(1) Inclui o treinamento e aprova Fonte: Revista INFO Exame, n 261, Novembro de 2007. pg. 71
44
Exemplos Prticos Um projeto de Governana no acontece do dia para a noite e consiste em um procedimento perene de melhorias contnuas, inovao e busca por melhores prticas. Na Nossa Caixa, o projeto de governana de TI nasceu em 2004, a partir de um plano mais amplo de governana corporativa, que pressupe o alinhamento estratgico com os interesses da corporao. A partir do mapeamento dos 34 processos do COBIT, a Nossa Caixa fez a anlise do que estava faltando para, ento formular os projetos. Costumo dizer que o COBIT o grande guarda-chuva, sob o qual esto todos os projetos e metodologias. Temos CMMi para desenvolvimento de software, ITIL para servios e PMBOK para projetos; mas quem faz a regncia de tudo o COBIT, conta o gerente de diviso de planejamento de tecnologia do banco, Carlos Eduardo Pereira Lago. Fonte: Revista Information Week Ano 9 N 187
Atividades do Tema III

01 O que vem a ser COBIT?
02 Descreva as trs funes da empresa que se beneciam com o uso do COBIT: 03 Qual o objetivo do COBIT?
04 Quais os recursos utilizados pelo COBIT?
05 Tomando como base a anlise Crtica no nal da Unidade II, faa um resumo do COBIT?
TEMA IV
Conhecendo o COSO
Conhecer os conceitos de controle interno; Entender a origem do COSO; Compreender os objetivos principais dos controles internos; Entender a relao do COSO com outros Framework; Entender a aplicao, os objetivos e benefcios Segurana da Informao, interagindo com outros Frameworks; Compreender a estrutura da Norma ISO/IEC 27000 e sua relao com a ISO 17799;

Entendendo o COSO; O Trabalho do COSO.
47
4.1 Entendendo o COSO8

Muito se tem falado sobre controles internos. O que um controle interno? um normativo? um sistema? Anal, para que serve um controle interno? uma ferramenta para auxiliar as operaes de uma empresa ou para atrapalhar? um instrumento que s til auditoria ou a toda empresa? Estas perguntas eram respondidas de diferentes maneiras, conforme a quem se perguntava. Gerentes tinham uma opinio sobre controle interno que no era a mesma dos auditores internos, que por sua vez tinham uma viso diferente dos funcionrios da controladoria. A falta de um denominador comum ajudava a aumentar a confuso sobre o papel e signicado dos controles internos para a empresa (Mansur, 2007). Em 1985, foi criada, nos Estados Unidos, a National Commission on Fraudulent Financial Reporting (Comisso Nacional sobre Fraudes em Relatrios Financeiros), uma iniciativa independente, para estudar as causas da ocorrncia de fraudes em relatrios nanceiros/contbeis. Esta comisso era composta por representantes das principais associaes de classe de prossionais ligados rea nanceira. Seu primeiro objeto de estudo foram os controles internos. Em 1992 publicaram o trabalho Internal Control - Integrated Framework (Controles Internos Um Modelo Integrado). Esta publicao tornou-se referncia mundial para o estudo e aplicao dos controles internos, e a base que fundamenta o presente texto. Posteriormente a Comisso transformou-se em Comit, que passou a ser conhecido como COSO The Comitee of Sponsoring Organizations (Comit das Organizaes Patrocinadoras). O COSO uma entidade sem ns lucrativos, dedicada melhoria dos relatrios nanceiros atravs da tica, efetividade dos controles internos e governana corporativa. patrocinado por cinco das principais associaes de classe de prossionais ligados rea nanceira nos Estados Unidos, a saber: AICPA American Institute of Certied Public Accounts AAA American Accounting Association Financial Executives Internacional FEI The Insititute of Internal Auditors IIA IMA Institute of Management Accountants Instituto Americano de Contadores Pblicos Certicados Associao Americana de Contadores Executivos Financeiros Internacional Instituto dos Auditores Internos Instituto dos Contadores Gerenciais
O Comit trabalha com independncia, em relao a suas entidades patrocinadoras. Seus integrantes so representantes da indstria, dos contadores, das empresas de investimento e da Bolsa de Valores de Nova York. O primeiro presidente foi James C. Treadway, de onde veio o nome Treadway Comission.
8 Coso. Disponvel em: http://www.auditoriainterna.com.br/coso.htm. Acesso em: 20/12/2007
48
4.2 O Trabalho do COSO

4.2.1 Denio COSO (Controle Interno na Organizao)
Para os integrantes do COSO, o ponto de partida a denio de controle interno. O que e para que servem os controles internos? O grupo chegou seguinte denio: Controle Interno um processo, desenvolvido para garantir, com razovel certeza, que sejam atingidos os objetivos da empresa, nas seguintes categorias: Ecincia e efetividade operacional (objetivos de desempenho ou estratgia): esta categoria est relacionada com os objetivos bsicos da entidade, inclusive com os objetivos e metas de desempenho e rentabilidade, bem como da segurana e qualidade dos ativos; Conana nos registros contbeis/nanceiros (objetivos de informao): todas as transaes devem ser registradas, todos os registros devem reetir transaes reais, consignadas pelos valores e enquadramentos corretos; Conformidade (objetivos de conformidade) com leis e normativos aplicveis entidade e sua rea de atuao.. Fonte: Internal Control - Integrated Framework - http://www.coso.org; De acordo com a denio acima, o objetivo principal dos controles internos auxiliar a entidade atingir seus objetivos. Controle interno um elemento que compe o processo de gesto. O controle interno responsabilidade de todos e proporciona uma garantia razovel, nunca uma garantia absoluta. Controle interno efetivo auxilia a entidade na consecuo de seus objetivos, mas no garante que eles sero atingidos, por vrios motivos: custo/benefcio: todo controle tem um custo, que deve ser inferior perda decorrente da consumao do risco controlado; conluio entre empregados: da mesma maneira que as pessoas so responsveis pelos controles, estas pessoas podem valer-se de seus conhecimentos e competncias para burlar os controles, com objetivos ilcitos. eventos externos: eventos externos esto alm do controle de qualquer organizao. Exemplo disso foram os acontecimentos do dia 11/09/20019, nos Estados Unidos. Quem poderia prever ou controlar os fatos ocorridos?
4.2.2 Processo de Controles Internos
Como vimos, controle interno um processo. Este processo constitudo de 5 elementos, que esto inter-relacionados entre si, e presentes em todo o controle interno. Os 5 elementos so:
Ataque ao Word Trade Center, que chegou a extinguir empresas em virtude da destruio dos seus principais ativos (conhecimento, informaes, recursos humanos e equipamentos).
9
1. Ambiente de Controle 2. Avaliao e Gerenciamento dos Riscos
49
3. Atividade de Controle 4. Informao e Comunicao 5. Monitoramento Fonte: Understanding Internal Controls, - http://www.oc.ca.gov/audit.
Anlise Crtica
Conforme estudamos, o COSO um Framework que se tornou padro para o gerenciamento de controles e riscos. Mas podemos considerar que a estrutura de trabalho muito genrica, com viso de auditoria. Por isso, muita gente usa o COBIT (Control Objectives foi Information and Related Technology) para aplicar o COSO. Estudamos o COBIT no TEMA III. Na prtica, o que acontece que empresas adotam o COSO de forma geral, para controles internos, principalmente nanceiros, associados ou no a controladoria. A rea de TI, por sua vez, adota o COBIT e/ou ITIL, como guarda-chuva para diversas metodologias e melhores prticas indicadas para tecnologia da informao. Exemplos Prticos CIOs j esto envolvidos com a lei Sarbanes-Oxley LUCIANA COEN Desde 30 de julho de 2002 empresas que possuem aes nas bolsas norte-americanas NYSE (New York Stock Exchange) e Nasdaq esto trabalhando na adequao de seus departamentos nanceiros para tornarem-se mais transparentes. Os grandes impulsionadores deste movimento foram dois deputados, Paul Sarbanes e Michael Oxley, que conseguiram aprovar no congresso norte-americano a chamada Lei de Responsabilidade Fiscal Sarbanes-Oxley, conforme estudamos do TEMA II Item 2.1.2. Depois de receber uma pr-auditoria da Ernest & Young, Paulo Nascimento, da Alcan, alocou cinco funcionrios de sua rea em tempo integral para trabalhar no projeto de Sarbanes-Oxley, sob superviso do gerente de aplicaes de negcios Jos Carrasco. A equipe, juntamente com a consultoria brasileira ITXL, fez um levantamento de vulnerabilidades, classicando-as em verde (adequada), amarelo (que exige melhorias) e vermelho (precisa ser implementada), com base em 26 pontos do COSO. Um dos nossos pontos vulnerveis, por exemplo, era o gerenciamento de conguraes, arma Nascimento. A empresa no possua controle adequado de implementaes de sistemas, upgrades e mudanas. Atualmente, este ponto j est remediado. Alm de resolvermos o processo, a lei tambm exige que tenhamos a evidncia de que h controle, explica o CIO. O uso do COSO imprescindvel para a anlise dos processos e identicao das necessidades de melhorias e correes. At 30 de setembro, quando a auditoria PriceWaterhouseCoopers vir auditar a lial, todos os processos estaro adequados lei, sem qualquer investimento em novos softwares. A Alcan decidiu manter o
50
Risk Navigator, uma ferramenta j existente na companhia para gesto de riscos de processos. Outros sistemas utilizados na empresa, como o Lotus Notes, esto passando por uma reavaliao para melhoria de processos e sua documentao. H alguns pontos no projeto da Alcan que esto transformando a obrigatoriedade na adequao lei em vantagem competitiva para a companhia. O principal deles a viso de que melhores processos devem ser implementados no apenas para auditores, mas para melhorar a qualidade dos servios de TI. Os 30 funcionrios de TI da empresa tm esta viso e esto empenhados de uma forma ou de outra no Sarbanes-Oxley. A lei foi muito bem divulgada e comunicada internamente. Por isso, este um projeto em que no estamos enfrentando mudanas culturais, diz Nascimento.
Atividades do Tema IV
01 O que vem a ser COSO?
02 Por que a implementao de controles internos no garante em 100% a inexistncia de problemas? 03 Quais os cinco elementos que constituem o controle interno? 04 Explique a relao COBIT x COSO?
TEMA V
Conhecendo a implementao do ITIL

Conhecer a origem do ITIL; Compreender a estrutura do ITIL; Entender a aplicao, os objetivos e benefcios do ITIL. Conhecer os conceitos de Service Desk, Service Support e Service Delivery; Entender a aplicao das ferramentas operacionais do ITIL; Entender o processo de certicao do ITIL; Compreender o papel do CIO na Organizao;

O Que o ITIL; O que no ITIL; Conhecendo a estrutura do ITIL; Por que usar o ITIL; Service Desk (Central de Servios do ITIL); Ferramentas de Apoio;
53
5.1 O Que o ITIL

O nome vem do ingls Information Technology Infrastructure Library ou Biblioteca de Infra-estrutura de TI, nada mais que um conjunto de melhores prticas para a operao de servios da Tecnologia da Informao. A biblioteca foi desenvolvida na dcada de 80 pela agncia de tecnologia inglesa - Central Computer and Telecommunications (CCTA), e em sua primeira verso consistia em 30 livros. Em seu contedo, eram abordadas as melhores prticas acumuladas atravs dos anos, interna e externamente, com empresas de todo o mundo. Bem como outras agncias, a CCTA consolidou suas prticas no Ofce of Government Commerce, ou OGC (o que explica a marca que aparece em todos os livros do ITIL), com isso, o governo ingls adotou como misso por em prtica todos aqueles documentos em prol da excelncia das operaes do seu setor pblico, melhorando a ecincia dos seus investimentos e entrega dos seus programas e projetos de TI. A sigla ITIL (Information Technology Infrastructure Library, ou Biblioteca de Infra-Estrutura de TI) j bastante conhecida hoje. Entretanto, muita gente ainda no sabe o verdadeiro signicado dela. O erro mais comum chamar ITIL de metodologia. Precisamos entender que o ITIL no receita de bolo, cada empresa pode e deve adaptar o uso das prticas ao seu contexto e momento. A idia no era criar um produto que pudesse ser comercializado, o seu objetivo era apenas conceber um guia para orientar o governo frente falta de padres e regras vivenciadas at ento em seus projetos de TI. Implementado com sucesso comprovado, rapidamente se percebeu que o compartilhamento desse conjunto de melhores prticas poderia aumentar a ecincia no s no setor pblico, mas quando aplicado no setor privado tambm. O copyright dos livros pertence ao governo e a coroa inglesa, bem como os nomes ITIL e Information Technology Infrastructure Library, e para cada reviso ou incluso de novos textos h uma comisso que avalia o seu contedo garantindo a qualidade do contedo. Alm dos membros do governo, empresas fornecedoras e outras empresas privadas de todo mundo contriburam (e continuam contribuindo) com a criao dos textos inclusos nos livros. Com o passar dos anos a credibilidade do ITIL cresceu e se consolidou como padro para a indstria de TI, isso fez com contribusse com o ISO/IEC 20000 Service Management Standard10 o primeiro padro internacional para gesto de servios de TI, e base para o British standard BS15000. Fonte: (http://blogs.technet.com/rodias/ default.aspx)
5.2 O que no ITIL
10 http://www.itil-itsm-world.com/ itsm-kit.htm http://www.iso.org/iso/en/commcentre/pressreleases/archives/2005/ Ref985.html
Para entendermos melhor o que o ITIL, interessante comear dizendo o que ele no . J vimos que ITIL no metodologia, e sim
54
uma estrutura exvel que pode ser adaptada s necessidades de cada companhia. ITIL tambm no um manual de instrues. Por exemplo, os livros sugerem em que momento se deve comear a escalonar um incidente dentro da TI. Como fazer isso, ca a cargo de cada organizao. Por ltimo, o ITIL no contm mapas detalhados de processos de TI, mas fornece os fundamentos e informaes necessrios para cri-los e melhor-los. Na Unidade I, ns j estudamos os ganhos para as empresas que adotam boas prticas de governana de TI, mas porque deveramos utilizar o ITIL? A adoo das prticas do ITIL pode trazer vrios benefcios ao funcionamento da rea de TI e sua relao com a empresa. Alguns deles so: Reduo no tempo de execuo dos servios e de soluo de problemas; Aumento dos nveis de satisfao dos usurios e clientes; Reduo de custos operacionais; Melhor controle e gesto do setor. Como outros modelos de gesto, no entanto, no espere que o ITIL traga a resposta a todos os problemas. A implantao das melhores prticas pode custar tempo, dinheiro e acima de tudo, exige um certo grau de maturidade ainda que, em tese, possa ser adotado em empresas de qualquer porte. As empresas de grande porte j esto maduras, mas as de mdio e pequeno porte ainda no chegaram nesse estgio. Ainda h muito a se caminhar diz o coordenador do Instituto Infnet e Gerente da Atos Origin, Francis Berenger. Fonte: http://www.timaster.com.br Acesso em 10/01/2008.
5.3 Conhecendo a estrutura do ITIL
O ITIL preocupa-se, basicamente, com a entrega e o suporte aos servios de forma apropriada e aderente aos requisitos do negcio, e o modelo de referncia para gerenciamento dos servios de TI mais aceito mundialmente. Em geral, os servios de TI so fornecidos atravs da infra-estrutura de hardware, software, procedimentos, documentao, base de conhecimento, comunicaes e pessoas. O ITIL descreve os processos que so necessrios para dar suporte utilizao e ao gerenciamento dessa infra-estrutura. Outro princpio fundamental do ITIL o fornecimento de qualidade de servio aos clientes de TI com custos justicveis, isto , relacionar os custos dos servios de tecnologia e como estes trazem valor estratgico ao negcio. Do conjunto original de contedo do ITIL foram concebidos sete livros focando em implementaes e gesto de servios e ativos de uma operao de TI. Podemos ver essa estrutura na Figura 06. Esses livros so: 1. Planning to Implement Service Management
55
2. Service Support 3. Service Delivery 4. ICT Infrastructure Management 5. Applications Management 6. Security Management 7. The Business Perspective
Figura 06 Estrutura da biblioteca do ITIL Fonte: http://www.itsmf.com.br11 As disciplinas de Gerenciamento de Servios (Service Management) que esto no centro da biblioteca do ITIL esto divididas em dois grupos distintos: Service Support e Service Delivery. O IT Service Support (Suporte a Servios) e o IT Service Delivery (Entrega de Servios) descrevem os processos chaves para melhorar a qualidade dos Servios de TI. As competncias podem ser agrupadas em operacionais e tticas. Os Servios de Suporte esto focados na operao do dia a dia e no suporte aos servios de TI enquanto os Servios de Entrega consideram processos de planejamento de longo prazo. Conforme gura 07, os processos esto separados de acordo com a necessidade de suporte ou entrega de servio, tendo o Service Desk (ponto nico de entrada de chamados) uma funo que permeia todos os processos.
11
O itSMF IT Service Management Forum, o nico frum independente, reconhecido internacionalmente, dedicado ao desenvolvimento e melhores prticas em gerenciamento de servios de TI.
56
Figura 07 Estrutura do Service Desk (ponto nico de entrada de chamados) Cada um dos sete livros contm uma srie de tpicos referentes ao ttulo em questo, mas estudaremos a seguir os dois mais utilizados pelas empresas atualmente, o Service Support e Service Delivery e a sua integrao com o Service Desk.
5.3.1 Service Desk (Central de Servios)
Aborda de maneira detalhada como implementar e gerenciar o Service Desk (h uma clara intenso em se aposentar o termo Helpdesk), o ponto central de contatos e requisies de servios. A Central de Servios no um processo, trata-se de uma funo. Estudaremos de forma mais abrangente a Central de Servios no Item 5.6 Service Desk e 5.7.1 Ferramentas Operacionais ITIL.
5.3.2 Service Support (Suporte a Servios):
12 CI - conguration items, so todos os ativos de tecnologia que devem ser gerenciados em um processo de governana. Por exemplo: CI - Computador do usurio Jos: Hardware, Software, Segurana (antivrus, polticas de segurana), Aplicativos (ERP, Intranet), Interligao com a Rede de Dados.
O livro traz as referncias mais difundidas de toda biblioteca, nele se encontram todos os tpicos de identicao e registro dos ativos de TI (os conguration items12), alm de processos que nos mostram como gerenciamos mudanas, problemas, incidentes. Os tpicos que esto includos no livro do Service Support so: Incident Management (Gerenciamento de Incidentes): Como o nome j sugere, o tpico aborda como tratar incidentes falhas que acontecem dentro de uma operao, como reestabelecer a operao o quanto antes e como gerenciar essas ocorrncias. Problem Management (Gerenciamento de Problemas): A Gesto de Problemas tem a meta de identicar as causas dos incidentes e corrigir os erros de forma preventiva. O processo dene as atividades e responsabilidades para solucionar os erros e reduzir o tempo necessrio para resolver os problemas dentro dos nveis de servios acordados. Change Management (Gerenciamento de Mudanas): A Gesto de Mudanas discute processos e procedimentos que sero utilizados para um rpido e eciente controle de todas as mudanas proposta na
57
infra-estrutura, de modo a evitar impactos no negcio da empresa. Release Management (Gerenciamento de Liberaes): A meta deste processo assegurar que somente verses autorizadas e corretas estejam disponibilizadas, e que apenas softwares licenciados sejam instalados. O processo assegura que todos os aspectos (tcnicos ou no) sejam atendidos. Conguration Management (Gerenciamento da Congurao): Tem a meta de controlar a infra-estrutura de TI assegurando o uso de hardware e software homologados. O processo dene as atividades de controle e relacionamento dos itens de congurao que compem a infra-estrutura de TI.
5.3.3 Service Delivery (Entrega de Servios):
Uma vez planejado, hora de fazer a entrega dos servios oferecidos. O livro de Service Delivery contm tambm prticas amplamente aplicadas pelas empresas com nvel de maturidade diferenciado no mercado, ele cobre aspectos que contemplam no s a entrega como a manuteno dos servios. Availability Management (Gerenciamento da Disponibilidade): A meta deste processo aperfeioar a infra-estrutura, servios e suporte de TI para que a disponibilidade (com custos aceitveis) permita que o negcio alcance os seus objetivos. O processo dene com o negcio os requisitos da infra-estrutura, servios e suporte de TI, para enderear as necessidades da oferta e demanda da disponibilidade de TI. Capacity Management (Gerenciamento da Capacidade): Como prever futuras necessidades de TI da empresa? A Gesto de Capacidade contm mtodos para evitar surpresas quando se trata de crescimento ou mudanas. O processo dene as atividades de gesto e previso dos recursos de TI atravs da monitorao, anlise e planejamento das mtricas e condies operacionais. IT Service Continuity Management (Gerenciamento da Continuidade dos Servios de TI): Aps um desastre ou outra interrupo no negcio ocorrido devido a falhas nos servios providos por TI, o tpico traz prticas de como gerenciar a continuidade de negcios com os nveis de acordo estabelecidos. Alm de denir um ciclo contnuo de avaliao de riscos, medidas de contorno, reviso dos cenrios e planos de contingncia para garantir a aderncia contnua ao Plano de Continuidade do Negcio. Service Level Management (Gerenciamento do Nvel do Servio): A Gesto de Nvel de Servio estabelece, monitora e reporta o comportamento da operao. O tpico tambm traz prticas para mitigar baixa performance de servios. Financial Management for IT Services (Gerenciamento Financeiro para Servios de TI): Tem como meta dar transparncia aos custos de TI. Viso geral de como administrar recursos nanceiros, como proviso, contabilidade e cobrana dos servios de TI. Ao usar o ITIL, a organizao se torna capaz de melhorar a qualidade, ecincia e eccia na prestao de servios, alm de diminuir a exposio ao risco operacional. Os processos ITIL precisam ser im-
58
plementados para cada organizao, pois correspondem a um modelo (apresentado na Figura 08) e no uma regra rgida a ser seguida.
Figura 08 Nova viso da estrutura da biblioteca do ITIL Fonte: http://www.timaster.com.br

5.3.4 Os outros livros do ITIL
Planning to Implement Service Management: O livro oferece direcionamentos para a implementao de servios. Planejamento o foco desse livro que explica os passos necessrios para identicar como uma organizao pode alcanar e usufruir os benefcios da ITIL. ICT Infrastructure Management: este livro aborda os processos, organizao e ferramentas necessrios para prover uma infra-instrutora estvel de TI e de Comunicaes. Application Management: Mesmo no sendo o ponto forte do ITIL, a biblioteca traz tambm um livro de melhores prticas que aborda o ciclo de vida de desenvolvimento de software, dando nfase aos requisitos, denies e implementaes Security Management: este livro tem conexes com vrios outros domnios da ITIL, explicando como gerenciar melhor os nveis de segurana da infra-estrutura de TI. The Business Perspective: Voltados para Gerentes de Negcios, o livro traz um contedo que ajuda essa classe de prossionais como planejar e alinhar os projetos de TI aos negcios da empresa. Ele ainda cobre o relacionamento gerencial, parcerias e outsourcing, melhoria contnua de qualidade, comunicao, entre outros tpicos.
Teorias da Histria Governana em TI 5.4 Por que usar o ITIL
59
Figura xx Cinco razes para usar o ITIL Fonte: ITIL The Key to Managing IT Services - Fundamentos 1. orientado a qualidade de servios; 2. Possui uma abordagem integrada e coordenada a oferta de servios; 3. Tem sido crescentemente adotado em nvel mundial; 4. Permite a organizao comparar-se a outras no que se refere a gesto de servios de TI (benchmarking); 5. adaptvel a qualquer tipo de organizao atravs de um modelo consistente e claramente orientado a processos. Anlise Crtica: Conforme j vimos nos Itens anteriores, o ITIL uma coleo de livros, mas apenas ler esse conjunto de livros e aplicar o seu contedo em seu dia-a-dia no ir fazer com que os servios das empresas se transformem. Muito alm de l-los, imprescindvel absorver os conceitos e a essncia por traz daqueles milhares de pargrafos, e o mais importante de tudo... estar de acordo com esses conceitos, o que signica abandonar alguns paradigmas! O ITIL no diz exatamente o que devemos fazer, mas de maneira bem assertiva, ele sugere e nos mostra os caminhos para um bom planejamento e entrega de servios com qualidade, ou seja, ele denitivamente no um manual de instrues, mas sim um conjunto de conceitos e boas prticas. Anlise Crtica: Como posso melhorar o desempenho dos negcios da minha empresa com o ITIL? Uma empresa com uma rea de TI bem organizada no s traz como benefcio uma infra-estrutura e entrega de servios mais ajustados,
60
mas tambm ajuda as pessoas a desenvolver suas tarefas relacionadas ao negcio da empresa de maneira mais eciente. A TI de uma empresa no s pode, como deve inuenciar positivamente no desempenho dos funcionrios. No raro encontrarmos casos de empresas que conseguem aumentos considerveis de produtividade dos seus funcionrios atravs de simples processos de reestruturao do seu Service Desk. A implementao do ITIL no precisa ser necessariamente realizada por completo, ou seja, a empresa pode estabelecer nveis de maturidade para essas implementaes. Uma reestruturao de um Service Desk um bom exemplo de comeo, atravs dele, podemos fazer com que a empresa j introduza processo de Gerenciamento de Incidentes, evoluindo para Gerenciamento de Problemas, Mudanas, etc. A idia justamente que essa implementao no seja feita de forma massiva, e sim aos poucos, pois esse tipo de mudana vai, muitas vezes, contra o modo com que as pessoas executam suas tarefas, o gera um impacto na cultura da empresa e consequentemente surgem focos de resistncias s mudanas. Portanto, uma dica, iniciar em doses homeopticas, mas com metas bem denidas! Muitas vezes, temos que parar para analisar quantos processos do ITIL sero implementados na nossa empresa, em alguns casos talvez no seja interessante implementar o processo A ou B e sim C ou D, ou at mais. Nada impede que esses processo sejam adaptados para que se encaixem a cultura da empresa. De novo, o ITIL no um manual de instrues, e sim um conjunto de melhores prticas. Em suma, o ITIL nos prov uma abordagem sistemtica e prossional do gerenciamento dos servios e da infra-estrutura de TI, oferecendo muitos benefcios, como por exemplo: Reduo de custos de TI; Melhoria dos Servios de TI atravs da utilizao de melhores prticas comprovadas pelo mercado; Melhoria da satisfao dos usurios atravs de uma abordagem mais prossional da entrega de servios; Padres e direcionamentos; Melhoria da produtividade; Melhoria no relacionamento e contratao dos fornecedores de servios, utilizando as especicaes do ITIL como padro de comparao em entrega de servios.
5.5.1 Custos da implantao
muito difcil estimar o custo da implantao de um projeto de ITIL, pois como vimos, o custo depende diretamente do escopo da implantao (o que ser implantado e em que perodo). Implantar o ITIL envolve a aquisio dos livros, na forma fsica ou em formato eletrnico. Alm disso, h tambm os custos de treinamento. A durao dos cursos varia de acordo com o nvel de certicao ou conhecimento demandado, geralmente um curso para a certicao Foundation dura dois a trs dias, e os mais complexos como os da srie
61
Practioner podem durar mais de uma semana. Alm desses custos de material e treinamento, h tambm outros intangveis, em princpio os de re-engenharia de alguns processos para que os mesmos se adequem ao ITIL, procedimentos operacionais, ajustes no helpdesk, etc. Em muitos casos as empresas preferem contratar consultorias especializadas na implantao, elevando assim o seu custo, mas reduzindo o tempo de aprendizado.
5.5.2 Implementao de um projeto ITIL
Sempre bom lembrar que o ITIL no um projeto, um processo de mudana cultural para a melhoria na gesto de servios de TI. Devemos levar em considerao que a pea chave vender essa idia para as partes envolvidas e interessadas nesse processo, pois uma vez denida a estratgia, o time deve se comprometer a seguir esse novo mtodo para entregar os servios. Em processos de implementao ITIL os resultados costumam aparecer em meses, e em certos casos j podem ser observados em semanas isso partindo do pr-suposto que a equipe interna j est treinada. A quebra de paradigmas sem dvida o grande obstculo nas implementaes.
5.5.3 Retorno de Investimento e reduo de custos com o ITIL
H relatos de corporaes que obtiveram reduo de custos impressionantes com a total implementao do ITIL. Empresas de consultoria em ITIL reportam casos impressionantes de empresas que obtiveram economia de aproximadamente US$ 500 milhes em quatro anos, reduzindo o nmero de chamados e otimizando procedimentos operacionais. Outras, como a Nationwide Insurance, que reduziram quedas em sistemas na ordem de 40%, tendo o ROI (Retorno sobre o investimento) de 3 anos em um investimento de US$ 4,3 milhes. Esses e outros casos de sucesso podem ser explorados no documento pblico Benets of ITIL da Pink Elephant13, que relata como empresas de grande porte e rgos pblicos obtiveram sucesso na implementao do ITIL. Fonte: Rodrigo Dias http://blogs.technet. com/rodias/archive/tags/ITIL/default.aspx
5.6 Service Desk (Central de Servios do ITIL)
A demanda crescente dos usurios em relao a TI e a globalizao das empresas fazem com que a entrega de servios alta qualidade e de classe mundial torne-se muitas vezes a diferena entre o fracasso e o sucesso de um empreendimento. A compreenso da necessidade dos usurios e do negcio fundamental para o desenvolvimento e a entrega dos servios. Devemos
13 Benets of ITIL da Pink Elephant. http://www.pinkelephant.com/NR/ rdonlyres/
62
Figura 09 Service Desk Centralizado Fonte: ITIL The Key to Managing IT Services - Fundamentos A resposta rpida as questes, reclamaes e problemas dos usurios deve ser o objetivo primrio do atendimento para que a qualidade nal dos servios possa ser atingida. A melhor forma de controlar as demandas pelos servios de suporte o processo de Service Desk Centralizado, conforme Figura 09. Em muitas organizaes a presso pela reduo dos custos e o aumento da qualidade dos servios de TI leva o departamento de suporte a atuar de forma reativa, pois normalmente esses fatores so proporcionais, conforme podemos ver na Figura 10. Exigindo da equipes que esse processo seja otimizado para atender exatamente as necessidades da empresa. Abaixo esto algumas das situaes comumente encontradas em diversas organizaes: Falta de uma estrutura de suporte adequada; Baixa conana/percepo do usurio; Sistemas (aplicaes) de suporte inadequados; Pouco gerenciamento dos recursos de suporte; Equipes sempre apagando incndios Problemas repetitivos; Interrupes contnuas; Alta dependncia de pessoas chaves Perda de foco; Mudanas no coordenadas e no registradas; Incapacidade de mudar de acordo com as necessidades do negcio; Falta de clareza sobre os custos e necessidade de recursos Inconsistncia nas respostas e irregularidades os tempos de
63
atendimento; Falta de informaes gerenciais.
Figura 10 Relao Custo x Qualidade dos Servios Fonte: MANSUR (2007)

5.6.1 Principais Tipos de Service Desk
Call Center: nfase no atendimento de um grande nmero de chamadas telefnicas. Help Desk: Funo primria de gerenciar, coordenar e resolver incidentes no menor tempo possvel garantindo que nenhuma solicitao perdida, esquecida ou ignorada. Service Desk: Amplia o alcance dos servios e possui uma abordagem global, permitindo que os processos de negcio sejam integrados a infra-estrutura da Gesto dos Servios de TI. No trata apenas de incidentes e da soluo de questes, mas tambm proporciona interfaces com outras atividades tais como: solicitaes de mudanas pelo usurio, contratos de manuteno, licenciamento de softwares e diversos outros processos. Muitos Call Centers evoluem naturalmente para Service Desks e estendem os seus servios para atender os usurios e o negcio de forma mais ampla. Todas as trs funes tm as seguintes caractersticas e comum: Representam o provedor de servios; Focam na satisfao e percepo do usurio; Dependem de outros processos, pessoas e tecnologias. A interao do Service Desk com o usurio poder ocorrer atravs de diversos meios. Os servios podem ser melhorados e estendidos aos usurios expandido-se os mtodos de registro, atualizao e consulta. Conforme podemos ver na Figura 11.
64
Figura 11 Interao com os usurios do Service Desk Fonte: ITIL The Key to Managing IT Services - Fundamentos Isto pode ser conseguido atravs do uso de e-mail, intranets e de aplicaes Internet: web, Chat, webcams, etc. Estes mtodos podem ser utilizados para atividades que no so crticas para os negcios, o que pode incluir o registro de solicitaes no urgentes, tais como: Compra de produtos Perguntas sobre aplicativos em geral Solicitaes sobre mudanas de layout, instalaes e melhorias em geral Requisio de suprimentos Para a equipe de suporte os benefcios incluem: Diminuio de interrupes desnecessrias; Melhor gerenciamento do trabalho Podemos ver nas guras 12 e 13 os modelos bsicos de Service Desk Local e Centralizado com os respectivos nveis de atendimento.
Figura 12 Service Desk Local Fonte: ITIL The Key to Managing IT Services - Fundamentos
65
Figura 13 Service Desk Centralizado Fonte: ITIL The Key to Managing IT Services - Fundamentos
5.6.2 Principais benefcios do Service Desk na viso do ITIL
O uso do Service Desk traz vrios benefcios para as empresas. Podemos destacar os seguintes benefcios operacionais: Melhoria na qualidade dos servios; Acessibilidade (ponto nico de contato/informaes/comunicao) Qualidade e velocidade no atendimento; Melhoria da comunicao e trabalho em equipe; Maior produtividade e uso dos recursos de suporte; Controle e gerenciamento da infra-estrutura; Alm dos benefcios operacionais, o Service Desk traz benefcios de carter gerencial, como podemos ver na gura 14.
Figura 14 Benefcios Gerenciais do Service Desk Fonte: ITIL The Key to Managing IT Services - Fundamentos
66
Dentre os vrios benefcios advindos do uso de um Service Desk destaca-se a gerao de informaes gerenciais que permitem: Acompanhar a qualidade dos servios oferecidos Conhecer a percepo do usurio sobre os servios que recebem; Otimizar o gerenciamento dos recursos de TI As informaes geradas pelo Service Desk devem incluir: Utilizao dos recursos humanos; Decincia nos servios; Desempenho dos servios; Necessidade de treinamento dos usurios; Custos.
5.7 Ferramentas de Apoio
Para a implantao das melhores prticas foram desenvolvidas algumas ferramentas de apoio. Existem as ferramentas certicadas que, alm de obedecerem s melhores prticas, tambm tm os seus processos aderentes ao ITIL. O mercado demanda neste momento por ferramentas que facilitem a implementao das competncias operacionais do ITIL e que podem ser classicadas nas seguintes categorias: Service Desk Gerenciamento e controle de ativos de TI. Gerenciamento, distribuio e instalao de software centralizado. Gerenciamento de redes corporativas. Gerenciamento de pesquisas de satisfao. As competncias tticas tm uma menor gama de ferramentas, mas com pequenos ajustes o BI, ERP, BSC, planilhas, etc. podem ser utilizados para facilitar a implementao da metodologia em termos da gesto de TI.
5.7.1 Ferramentas Operacionais ITIL
As ferramentas operacionais tm como base o Service Desk, tambm estudado no Item 5.6. A gura 15 apresenta o seu diagrama funcional:
Figura 15 Diagrama de funes de um Service Desk tpico Fonte: MANSUR (2007)
67
O diagrama mostrado nas gura 15 tambm facilita o entendimento do comportamento das ferramentas, desde a abertura de um chamado at o fechamento do incidente, com as atualizaes na base de conhecimento. Na gura 16 so destacados os trs Ps (pessoas, processos e produtos) denindo a implantao e na gura 11 do Item 5.6.1 Principais Tipos de Service Desk, mostrado o uxo de comunicaes do Service Desk.
Figura 16 Estrutura lgica genrica do Service Desk Fonte: MANSUR (2007) A ferramenta de Service Desk deve oferecer recursos para: Centralizar o recebimento de chamadas atravs de mltiplos canais; Classicar, priorizar e escalonar; Identicar os pontos de falhas; Fornecer feedbacks e follow-ups Integrar com outros processos; Atualizar a base de dados de conguraes Gerar relatrios de desempenho resumidos e detalhados. A ferramenta para o Service Desk o ponto central para a construo da base de conhecimento das melhores prticas, mas necessita estar integrada com outras ferramentas.
5.7.2 Congurao dos Ativos de TI
O sistema de inventrio o responsvel por manter uma base atualizada de informaes sobre os ativos de TI. Quanto melhor for a integrao entre o Service Desk e o Sistema de Inventrio menor ser o tempo de atendimento ao usurio e maior ser a disponibilidade dos ativos. Um sistema de inventrio no deve tratar apenas do hardware e do software dos micros e servidores mas de todos os componentes da
68
rede, como hubs, switches, roteadores, etc. O sistema ter responsabilidade de manter os micros apenas com os aplicativos e arquivos homologados pela empresa, permitindo assim um controle eciente de licenas, eliminando ou reduzindo os riscos de pirataria, de imprevisibilidade de comportamento do ambiente e aumentando a segurana. Uma das consequncias de uso de um sistema de inventrio a melhora da performance global dos equipamentos pela eliminao de aplicativos e softwares desnecessrios, reduzindo o uso de disco e CPU. Para o gestor de TI este fator muito importante, pois sempre que ele for justicar a atualizao do parque dos ativos de TI ele ter a certeza de que no existem desperdcios de recursos e poder estar constantemente alinhado com as necessidades do negcio. Alm da gesto e controle do hardware e software, um dos maiores benefcios de um sistema de inventrio o aumento da performance e da previsibilidade do ambiente de TI.
5.7.3 Disponibilidade e Uso dos Ativos de TI
O sistema de gerenciamento o responsvel por monitorar os recursos de TI, fornecendo aos gestores alertas em caso de falhas e sobrecargas. A segunda grande competncia do sistema prover relatrios do nvel de uso dos recursos, permitindo aos gestores analisar o ritmo de crescimento do ambiente de TI e proporcionando um melhor planejamento da capacidade atual e futura do parque. O sistema de gerenciamento tambm deve fornecer as informaes para o rateio dos custos de investimentos e despesas de TI com base no nvel de utilizao dos recursos pelos usurios. A integrao do sistema de gerenciamento com o Service Desk muito importante, pois o atendente poder ter na sua tela informaes sobre a situao dos servidores, comunicaes, segurana e outros ativos. reduzindo assim o tempo de diagnstico e encaminhamento dos chamados.
5.7.4 Controle e Distribuio Centralizados de Software
O sistema de distribuio de pacotes o responsvel pela atualizao dos aplicativos, patches de correes, implantao e manuteno das polticas de segurana. O sistema realiza uma checagem no ambiente, vericando se as condies mnimas de congurao esto sendo atendidas antes de iniciar qualquer processo de atualizao, e, ao nal do processo, envia para os administradores relatrios de como foi o processo do envio e instalao dos pacotes. Em caso de falhas, so gerados relatrios e alertas demonstrando os motivos pelos quais um pacote no foi instalado. Tambm deve existir a facilidade de um rpido retorno para a situao imediatamente anterior.
69
Alm dos micros e servidores, importante que este sistema tambm possa ser utilizado pelos outros componentes da rede, como hubs, switches, roteadores, dentre outros. A integrao com o Service Desk permite ao atendente saber sobre a situao atual do micro do usurio, em termos de aplicativos e verses, reduzindo assim o tempo de diagnstico e resoluo dos incidentes. Um dos resultados desta integrao que o atendente poder confrontar a situao atual do micro do usurio com a situao em que ele deveria estar, possibilitando assim aes corretivas de curto prazo. Este sistema tambm pode ser utilizado como uma poderosa ferramenta de proatividade do Service Desk, eliminado problemas antes mesmo que eles ocorram. A integrao permitir que a base de conhecimento permanea atualizada com as novas conguraes dos aplicativos e respectivas verses aps a implantao.
5.7.5 Pesquisa de Satisfao do Atendimento
O prximo elo desta cadeia o grau de satisfao do usurio com os servios de TI. Uma clara sinalizao de como foi o atendimento permitir ao gestor ajustar os planos da rea conforme as necessidades do negcio. A integrao deste sistema com o Service Desk permitir ao atendente saber como foram os ltimos chamados e quais foram os pontos fortes e fracos, conduzindo assim a um ciclo de melhoria contnua. As informaes sobre como o perl do usurio, suas necessidades, preferncias, motivaes e opinies possibilitaro um atendimento personalizado, usurio por usurio. O feedback do usurio importante para os gestores de TI, pois eles tero uma clara viso do nvel de informaes e servios que o usurio deseja e com isso podero implantar programas e aes para transform-los em parceiros de TI. O Service Desk integrado com os sistemas de inventrio, gerenciamento, distribuio de pacotes e pesquisa de satisfao permite: Otimizao e reduo do tempo de diagnstico dos incidentes e problemas; Adoo de procedimentos proativos controlando e mimizando as indisponibilidades; Implantao, controle e manuteno das polticas de segurana; Rateio dos investimentos e despesas conforme o uso; Administrao e controle de licenas e verses dos aplicativos; Aumento da previsibilidade e reduo da variabilidade do ambiente; Aumento da segurana pela eliminao de arquivos e softwares no homologados; Ambiente exvel permitindo customizaes usurio por usurio ou por grupos; Reduo dos custos pela eliminao dos desperdcios de re-
70 cursos;
Rpida recuperao em caso de erros e falhas; Anlises de tendncia permitindo melhor dimensionamento dos equipamentos e eliminao da capacidade ociosa dos sistemas; Aumento da conabilidade e reduo das margens de segurana; Melhor planejamento das atividades; Reduo do nmero de atendentes pela reduo da quantidade e tempo de atendimento dos chamados; Aumento da satisfao do usurio por um atendimento dentro das suas expectativas e necessidades; Estabelecimento de mtricas claras para o nvel dos servios.
5.7.6 Ferramentas Tticas de ITIL
As competncias tticas da metodologia esto focadas em administrao, controle e demonstrao de resultados. Apesar do Service Desk ser uma base de conhecimento excepcional, neste caso ele necessita estar integrado com os sistemas de ERP, BPM14, BSC. para gerar uma base de dados gerencial de TI. Esta base ser a ferramenta que facilitar a atuao dos gestores de TI na busca de um alinhamento dinmico entre tecnologia e necessidade do negcio. Temas como gesto de recursos e custos aumentam de importncia aps a consolidao do ambiente operacional (disponibilidade, previsibilidade, conabilidade e metas claras). Com a divulgao das metas e resultados, as conquistas e os esforos realizados so visveis pelo negcio. Com isso, aumenta a credibilidade de TI, gerando os incentivos necessrios para novos desaos e projetos. No caso das competncias tticas, cada caso se comporta de forma individualizada e tanto uma simples planilha como um sosticado sistema podem ser as ferramentas necessrios para a implementao das melhores prticas tticas em uma organizao.
5.8 Certicao ITIL
Existem trs nveis de certicao em ITIL Foundation Certicate Teste de aproximadamente 1hora com questes de mltipla escolha sobre o entendimento dos conceitos bsicos e a terminologia do ITIL. Practioners Certicate
14 BPM ou BPMS (Business Process Management Software). uma categoria de softwares que viso atender o ciclo completo da Gesto de Processos, composta por: modelagem, redesenho, implementao, monitoramento e otimizao de processos.
Certicao especca para cada disciplina do ITIL. O certicado destinado para cada um dos processos (competncia Ttica e operacional) e tem como pr-requisito pelo menos trs anos no gerenciamento de TI e o Foundation Certicate.
71
Managers Certicate Avaliao profunda sobre todos os aspectos do ITIL, 3 exames dissertativos de 3 horas, aps treinamento de aproximadamente 14 semanas e pr-qualicao.
5.8.1 Fazer o exame na V2 ou na V3?
A ITIL v3 foi lanada em julho de 2007, mas a prova de certicao da EXIN continuar sendo baseada na verso 2 at nal 2008. Os processos e conceitos que voc ir aprender na ITIL V2 continuam sendo mantidos na V3. Quem fez ou far a certicao ITIL Foundation na V2 no ter obrigao de renovar o seu ttulo. Uma vez que voc fez a prova e passou, o ttulo vale para sempre. A certicao na ITIL v2 poder ser utilizada para acumular pontos para o Diploma ITIL v3. Anlise Crtica O MAPA DA MINA H trs tipos de certicao em ITIL: Foudation (bsica), Practitioner (intermediria e direcionada a cada um dos processos ou grupos de processos) e Service Manager (mxima, com foco na gesto de TI). O Brasil tem hoje cerca de 5500 prossionais certicados em ITIL Foundation e 65 em Service Manager. Em Practitioner no h uma estimativa, uma vez que so muitas categorias. A cada certicado obtido, o salrio aumenta. O Foundation quase uma obrigao, mas com o Practitioner, o aumento visvel de 1250 reais a 2500 reais a mais. Quem chega a Service Manager ganha de 11 mil a 16 mil reais, dependendo da experincia e da senioridade que possua. Para se dar bem em ITIL, preciso ter conhecimentos de administrao, engenharia, economia, cincias da computao e at psicologia, entendimento pleno das prticas preconizadas na biblioteca e muita experincia em implantao, enumera Sergio Rubinato Filho, vice-presidente do itSMF Brasil, frum da comunidade ITIL. Alm disso, o prossional precisa bancar os cursos e a prova. No Foundation, por exemplo, o curso ocial custa entre 1600 e 2300 reais, dependendo dos meios de aprendizado. No Practitioner, o valor salta para uma mdia de 4 mil reais, e no service Manager pode custar at 17 mil reais. O custo um fator que restringe a busca pelo ttulo mximo. O curso de preparao dura, segundo Csar Monteiro, diretorgeral da IT Partners, empresa de consultoria e treinamento, 12 dias, em mdia. No caso do IT Partners, esses 12 dias so divididos em dois perodos: cinco dias no primeiro ms e sete dias no segundo ms. Motivo: necessrio que o aluno tenha um tempo entre os mdulos para estudar e incorporar o aprendizado. Para o Service Manager, so dois dias de exame, com durao de trs horas por dia. Ribeiro fez a prova dissertativa em ingls (hoje, j possvel fazer em portugus), ao custo de mil reais cada um. Em um
72
dia escreveu 23 pginas e, no segundo, 17. O tempo foi curto, e as questes no so fceis, diz Ribeiro. Para passar, preciso fazer pelo menos 50 pontos em uma prova que vale 100. Pelas estatsticas do mercado, o nmero de aprovados inferior a 20% no Brasil e a 50% no mundo. PADRO INTERNACIONAL Apesar das diculdades, Rubinato Filho ressalta que o ITIL ajuda a pessoa a se prossionalizar mais a se alinhar com as normas reconhecidas internacionalmente (ISSO/IEC 20000). Por isso, Joel Oliveira, 51 anos, executivo de projetos da rea de outsourcing da IBM Brasil, decidiu estudar o ITIL. Ele fez a prova para o Practitioner. O mercado demanda certicao. Nas licitaes pblicas e privadas, j exigem prossionais certicados, arma. Mesmo na certicao bsica, o ITIL ajudou Guilherme Jardim, 30 anos, gerente de projetos de TI da Friboi, a obter o emprego. Fez a diferena na entrevista e contou pontos a meu favor, conta. Jardim resolveu apostar no ITIL ao sair do emprego anterior e continua investindo recentemente ele fez a prova para a certicao Service Manager, cujo resultado s sai em trs meses. Fonte: Revista Info Exame N 256 Junho de 2007, pgina 87
5.9 O papel do CIO na Organizao Aspectos Culturais Corporativos
Segundo Mansur, 2007, os principais papis do CIO numa organizao so: Gerenciar a infra-estrutura de TI. Gerenciar as inovaes e agregar valor s informaes. Gerenciar o tempo e custo. Os objetivos do CIO esto relacionados com o aumento da credibilidade e a reduo da dependncia das reas de negcio em TI. A reduo da dependncia pode parecer no primeiro momento como um tiro no p, mas vital para que TI deixe ser um centro de custo. Dimenso Credibilidade Aes Excelncia operacional. Manter e aumentar os talentos. Demonstrao de resultados Gerenciar as informaes. Gerenciar relacionamentos. Desenvolver o Catlogo de Servios (Service Catalog).
Dependncia
73
Para deixar de ser percebido como um centro de custo, TI deve realizar aes para que seus servios no gerem dependncias e sejam considerados fundamentais para o negcio. Dimenso Credibilidade Dependncia Aes Inovao atravs de TI Liderana Agregar valor ao negcio Planejamento alinhado.
O CIO deve desenvolver as seguintes habilidades: Dimenso Inteligncia Paixo Coragem Habilidade Desenvolver ou usar tecnologias que agreguem valor ao negcio Ter a sua viso corporativa e da organiza o de TI entendida e compartilhada pela empresa Desenvolver um gerenciamento dos riscos efetivo
O executivo de TI deve ser capaz de tomar decises rapidamente e, por isso, deve desenvolver as seguintes competncias: Dimenso Criatividade Comunicao Engenharia Vendas Equilbrio Conhecimento Estrutural Competncia Capacidade de ser criativo na soluo dos problemas. Capacidade de saber perguntar e entender as respostas Capacidade de ter pensamento sistmico e lgico para melhorar os processos Capacidade de vender o seu ponto de vista. Capacidade de equilibrar os interesses. Capacidade de adquirir e transferir conhecimento. Capacidade de organizar logicamente atividades e processos.
As habilidades do CIO so de enorme importncia para equilibrar os conitos entre TI e negcios. A gura 17 apresenta os conitos mais comuns entre os negcios e tecnologia em termos de estratgia (Mansur, 2007).
74
Dimenso Tempo Abrangncia Viso de Negcio
Negcio Curto Prazo Especialista Caso a Caso
TI Mdio e longo prazo Genrica Integrao
Figura 17 Conitos entre as estratgias de TI e dos negcios. Fonte: MANSUR (2007) Os principais conitos esto em termos de tempo e abrangncia, pois o negcio busca solues de curto prazo e especialista, e a tecnologia desenvolve as suas estratgias com a viso de mdio e longo prazo, alm das solues genricas que devem atender toda a corporao. O modelo da gura 18 mostra que necessrio um equilbrio entre excelncia operacional, cultura negcios, segurana, desempenho e impacto para que os conitos sejam identicados e equilibrados. A meta de TI conseguir atuar para atender as necessidades da empresa de uma maneira mais signicativa do que ser apenas um centro de custos.
Figura 18 Modelo de Governana Fonte: MANSUR (2007) Mansur, 2007, considera que para atingir este objetivo TI deve desempenhar um novo papel na estruturao dos negcios. A gura 19 mostra o comportamento atual de TI e qual deve ser o seu novo papel para deixar de ser um centro de custos. Organizao de TI TI Tradicional TI Moderna Atividades operacionais TI orientada tecnologia Foco na operao Ausncia de previsibilidade Foco individual Servios de TI TI orientado ao negcio Foco nos processos Previsibilidade pelo uso das melhores prticas Foco coletivo
75
Proativa Reativa Conitos constantes com os usurios Qualidade pela eliminao de servios pobres Ambiente integrado Ambiente no integrado Inteligncia do mercado Inteligncia interna Figura 19 Transformao de TI Fonte: MANSUR (2007) As melhores prticas ajudam muito este processo de mudanas de TI, pois conforme observamos na gura 20, as fases do projeto esto diretamente relacionadas com a estrutura da organizao.
Figura 20 Relacionamento do ITIL e Estrutura Organizacional Fonte: MANSUR (2007) Seguindo este modelo de adoo do ITIL, TI pode transformar o modelo de gesto com base na tecnologia em um novo modelo com base no negcio. Exemplos Prticos: Aposta na governana Maior frigorco do mundo, o Grupo JBS-Friboi tinha at o ms passado um help desk de empresa mdia. Com a adoo do ITIL, a situao mudou. Murilo Ohl O Grupo JBS-Friboi, maior frigorco do mundo, uma das companhias que mais cresceram no Brasil na ltima dcada. Hoje, a empresa fatura 11,5 bilhes de dlares e tem 40 mil funcionrios nos quatro pases onde atua. O crescimento rpido impediu, porm, que o departamento de TI tivesse tempo de organizar a prestao dos servios para as reas usurias. Havia pouca documentao das prticas e parte importante do conhecimento sobre os processos do grupo estava apenas na cabea dos prossionais de TI. O atendimento s reas de negcio era confuso e criava expectativas errneas sobre a qualidade do suporte provido pelo departamento
76
de tecnologia. Com o objetivo de reparar a situao, a Friboi comeou a implementar, neste ano, uma srie de melhores prticas de governana de TI. Precisvamos dar visibilidade e transparncia para o resto do grupo e assegurar condies para que a empresa continuasse crescendo sem ver a TI como uma barreira, arma Rogrio DAlcntara Peres, diretor de tecnologia do JBS-Friboi. No ms passado, foram concludos uma iniciativa de adeso s prticas do ITIL e mais o treinamento de 35 gerentes e coordenadores da rea de desenvolvimento interno no guia PMBOK de gesto de projetos. Essas duas iniciativas se juntam certicao CMMi, que a empresa j possui h cinco anos. O projeto mais abrangente o do ITIL, que teve incio em junho, com a contratao da consultoria IT Partners, especializada nas prticas da biblioteca de TI. Um grupo de 30 funcionrios da tecnologia recebeu treinamento em ITIL Foundation. Desses, seis devem continuar o treinamento para receber a certicao na disciplina. O investimento total foi de cerca de 250 mil reais e inclui consultoria, treinamento e mais um investimento em uma ferramenta web, fornecida pela Automdia, que responsvel pelo registro dos chamados online ao service desk. Catlogo de servios A adoo do ITIL ocorre em etapas. Na fase inicial, recm-concluda, os trabalhos se concentraram na organizao do service desk e nos processos de gerenciamento de incidentes e gesto de congurao dos dispositivos usados na empresa. Mas o processo mais importante abordado foi o gerenciamento do nvel de servios, que gerou a criao de um catlogo especco. a partir das denies presentes nesse documento que a TI pactua e comunica para a organizao quais so (e quais no so) suas atribuies. A elaborao do catlogo foi importante para dizer o que a TI pode fazer, arma Guilherme Jardim, gerente de projetos do JBS-Friboi. A aceitao das reas usurias foi muito boa. Agora as pessoas se sentem confortveis para fazer os chamados, arma Jardim. O service desk passou a ser o ponto nico de contato entre os usurios e a TI. Antes da adoo do ITIL, era necessrio falar com vrios ncleos na TI: um que cuidava da gesto do ERP, outro dos aplicativos, um terceiro responsvel pela infra-estrutura e assim por diante. Agora o usurio pode abrir um chamado por telefone, e-mail ou intranet. O help desk trata o chamado de forma padronizada, com base nos repositrios de conhecimento que foram estabelecidos com a adoo do ITIL. Quando ocorre um pedido de servio, o prossional do atendimento da TI d ao usurio uma previso sobre o tempo de correo do problema. Depois, a ferramenta com interface web mantm o autor do chamado informado sobre a resoluo do problema por meio de e-mails automticos. O usurio tambm pode acompanhar o chamado pelo site do service desk na intranet. Gerenciamento de riscos Na seqncia do projeto, devem ser tratados os processos de ger-
77
enciamento de mudana e liberao, gerenciamento de disponibilidade e capacidade, alm da gesto nanceira. Esses so projetos de curto prazo, arma Peres. Dentro do planejamento de governana de TI, mas ainda sem data denida, o JBS-Friboi tambm pretende adotar prticas do COBIT e obter a certicao BS7799, para melhorar principalmente o gerenciamento de riscos na infra-estrutura. Nossa meta car cada vez mais dentro dos padres internacionais, arma Peres. Fonte: http://computerworld.uol.com.br/governanca/2008/01/16/ jbs-friboi-ve-melhoria-nos-servicos-de-ti-apos-adocao-do-itil/ Anlise Crtica: COBIT e/ou ITIL? COBIT uma estrutura complementar ao ITIL. As empresas que desejam pr seu programa de ITIL no contexto de uma estrutura mais ampla de controle e de governana devem usar COBIT. Conforme estudamos no TEMA III, o COBIT (Control Objectives for Information and Related Technology) uma estrutura (ou framework) de controle de TI e tambm um modelo da maturidade. A nalidade do COBIT assegurar que os recursos de TI esto alinhados com os objetivos de negcio de uma empresa, de modo que servios e informaes quando entregues, renam qualidade, eccia e a segurana necessrias. Pretende tambm fornecer um mecanismo para balancear riscos e retornos. Revisando a estrutura do COBIT, vimos que a biblioteca possui 34 processos signicativos, reunindo 318 tarefas e atividades relacionadas, implementando uma estrutura interna de controle. O COBIT introduzido frequentemente em uma empresa atravs das falhas descobertas numa auditoria. Em conseqncia disso, os gerentes frequentemente vem o COBIT como uma ameaa suas posies, antes de uma estrutura til e poderosa para avaliar a sua eccia para o negcio. Os processos do COBIT e os objetos de controle so segmentados em quatro domnios: Planejamento e Organizao (PO) Aquisio e Implementao (AI) Entregas e Suporte (DS) Monitorao (M) O COBIT baseado em estruturas estabelecidas, tais como o modelo de capacidade e maturidade do Software Engineering Institute, ISO 9000 e o mais importante neste contexto, a Information Technology Infrastructure Library (ITIL). Entretanto, o COBIT no inclui as regras ou prticas, que so o nvel mais baixo dos detalhes. Ao contrrio do ITIL, estudado no TEMA V, o COBIT no inclui etapas e tarefas, porque uma estrutura de controle e no uma estrutura de processos. O COBIT focaliza no que a empresa necessita fazer e no como necessita fazer, e a audincia alvo so os auditores, gerncia executiva e gerncia de TI. O ITIL baseado nos modelos de melhores-prticas para TI, cuidando da entrega e sustentao dos servios, ao invs de fornecer
78
uma estrutura de controle gerencial. O ITIL focaliza nos mtodos. O ITIL tem um espao muito mais restrito do que o COBIT por causa de seu foco na gerncia dos servios, denindo um conjunto detalhado dos processos dentro do escopo da entrega e da sustentao dos servios. O ITIL mais detalhista e indicado nas tarefas envolvidas nestes processos e tem como sua audincia alvo, a gerncia de TI e servio. Os princpios atrs das estruturas do COBIT e do ITIL so consistentes. Os auditores frequentemente utilizam o COBIT em combinao com o manual de boas prticas do ITIL, para avaliar o ambiente da gerncia do servio entregue e suportado. O COBIT fornece um conjunto de indicadores de desempenho, e os fatores crticos do sucesso para cada um de seus processos. Estes adicionam valor ao ITIL porque estabelecem a base para controlar os processos do ITIL. Algumas empresas combinaram os dois para fornecer um modelo mais compreensivo de governana de TI e do ambiente de operaes. Podemos ter uma viso completa dos processos na gura 21.
Figura 21 Viso dos processos do COBIT e ITIL Fonte: ITIL The Key to Managing IT Services - Fundamentos Muitos dos processos do COBIT - particularmente aqueles no domnio da entrega e suporte, mapeiam bem um ou mais processos do ITIL, tais como o nvel de servio, congurao, problemas, incidentes, liberao, capacidade, disponibilidade ou a gerncia nanceira. Similarmente, os processos da gerncia da mudana encaixam-se bem nos modelos de gerenciamento de mudanas do ITIL e outros processos de suporte, tais como a gerncia da liberao, dentre outros. Podemos ver essas interaes na gura 22.
79
Figura 22 Relao dos processos do COBIT x ITIL Fonte: ITIL The Key to Managing IT Services - Fundamentos No ITIL falta a cobertura direta em outros trs domnios do COBIT, mas ele contribui em alguns deles, com um foco mais restrito na gerncia dos servios de TI. Por exemplo, o ITIL enfatiza as comunicaes consistentes e a participao da comunidade de usurios. Similarmente, os princpios do COBIT da gesto da qualidade so coerentes com o ITIL, na forma inerente em que ambos abordam o tema da qualidade. O ITIL no cobre a gerncia de projetos, mas este coberto na metodologia de gesto de Projetos do PMI15. Os processos do desenvolvimento das duas estruturas (COBIT e ITIL) no so ligados e ambos podem se beneciar de uma colaborao mais prxima e o seu uso conjunto.
RESUMO:
A adoo do COBIT e do ITIL no mutuamente exclusiva e pode ser combinada para fornecer uma poderosa estrutura de governana de TI, controlando e estabelecendo as melhores prticas na gerncia de TI e dos servios. As empresas que querem pr seu programa de ITIL no contexto de uma estrutura mais ampla de controle e da governana devem usar o COBIT. Fonte: Gartner Group, Traduo: Paulo Vaz Anlise Crtica Estudo: 64% dizem que ITIL a chave para melhorar a reputao da TI. Pesquisa da Axios Systems revela que a maior parte dos execu15 PMI Project Management Institute, responsvel pela edio do PMbok, que pode ser classicado com um framework de melhores prticas de gesto de projetos. Conhecido e utilizado mundialmente.
80
tivos de tecnologia acredita no ITIL como forma de retomar a imagem da rea de TI. Aproximadamente dois teros dos prossionais de TI (64%) com interesse nas melhores prticas de ITIL acreditam que usar o framework a chave para aprimorar a reputao dos departamentos de TI, de acordo com uma pesquisa global realizada pela empresa de servios de gerenciamento de TI, Axios Systems. A pesquisa descobriu que mais organizaes esto considerando a adoo da biblioteca ITIL depois do lanamento da sua verso 3, mas os resultados tambm mostram que, apesar deste crescimento no interesse, muitos prossionais ainda continuam confusos sobre os benefcios do ITIL v3 e no esto certos sobre qual verso adotar. Baseado na opinio de 255 executivos de TI de organizaes globais ouvidas pela pesquisa em eventos ao redor do mundo, o estudo revela que a esmagadora maioria das empresas (87%) agora seguem as dicas de prticas de ITIL, com uma em cada trs pretendendo adotar o ITIL dentre de um prazo de um ano. Entre as principais razes dadas para priorizar seu uso, outros dois teros dos respondentes (70%) vem o ITIL como um acelerador para reunies e melhorias dos acordos de nveis de servios (SLAs). Outros benefcios incluem a reduo na manuteno do tempo e custos, melhorias na primeira linha de resposta aos usurios, seguida por melhor comunicao interna. Os resultados tambm revelam que o ITIL est ajudando muitas organizaes a entrar em conformidade com as requisies de compliance, incluindo o ISSO/IEC 20000, Cobit e a lei norte-americana Sarbanes-Oxley. Mas a pesquisa tambm aponta uma falta de entendimento no mercado sobre os benefcios do ITIL v3, com um tero dos respondentes no planejando adotar a nova verso devido falta de conhecimento. Daquelas organizaes com planos de adotar o ITIL, quase uma a cada trs (30%) viu entre as barreiras para isso o tempo e o alto custo para desenvolvimento. Fonte: Computerworld, UK (http://computerworld.uol.com.br/governanca) 30 de janeiro de 2008
Atividades do Tema V
01 - O Que o ITIL? 02 Quais os benefcios para funcionamento da rea de TI com a adoo do ITIL?
81
03 Descreva de forma sucinta os livros da biblioteca do ITIL. 04 Quais so os componentes do Service Support (Suporte a Servios)? 05 Quais so os principais benefcios do Service Desk na viso do ITIL?
TEMA VI
Norma NBR ISO/IEC 17799
Conhecer os conceitos de Segurana da Informao; Conhecer Histrico da Norma NBR ISO/IEC 17799; Compreender a estrutura da Norma NBR ISO/IEC 17799; Entender a aplicao, os objetivos e benefcios Segurana da Informao, interagindo com outros Frameworks; Compreender a estrutura da Norma ISO/IEC 27000 e sua relao com a ISO 17799;

Segurana da Informao; Norma NBR ISO/IEC 17799; Norma ISO/IEC 27000
85
6.1 Segurana da Informao

A informao um conjunto de dados que, como qualquer outro ativo importante, essencial para os negcios de uma organizao e conseqentemente necessita de cuidado e proteo. Como a interconectividade tem crescido, a informao vem sendo cada vez mais exposta pessoas, ameaas e riscos. Independente de qual seja a forma que a informao est representada sempre recomendado que ela seja protegida adequadamente. Com isso segurana da informao a proteo da informao das ameaas na busca de manter a continuidade do negcio, diminuir os riscos e maximizar retornos. A segurana da informao obtida atravs da implementao de um conjunto de controles e tcnicas adequadas, para a proteo da informao. Estas tcnicas precisam ser trabalhadas para que sejam atendidas as necessidades de segurana.
6.2 Norma NBR ISO/IEC 17799
O DTI (Departamento de Comrcio e Indstria do Reino Unido), com a necessidade de criar uma estratgia de segurana para as informaes do Reino Unido, criou em 1987 o CCSC (Comercial Computer Security Center), que tinha como objetivo criar uma norma de segurana que os atendesse. Como a necessidade era alta, vrias empresas e instituies internacionais buscaram estabelecer metodologias e padres que melhor ajudasse o mercado em suas pendncias relativas Segurana da Informao. Em 1989 depois de ter criado vrios documentos preliminares o CCSC criou a BS 7799 (Brithish Standart 7799), essa foi uma norma de segurana da informao destinada a empresas, criada na Inglaterra em 1995 e disponibilizada para consulta pblica dividida em duas partes: a primeira (BS 7799-1) em 1995, a segunda (BS 7799-2) em 1998. A (BS 7799-1) a parte da norma que planejada como um documento de referncia para pr em execuo boas prticas de segurana na empresa. A (BS 7799-2) a parte da norma que tem o objetivo de proporcionar uma base para gerenciar a segurana da informao dos sistemas da empresa. Aps um trabalho rduo de internacionalizao e consultas pblicas, foi aceita em dezembro de 2000, a BS 7799 como padro internacional pelos pases membros as ISO. Isto implica na juno de duas organizaes ISO (International Standartization Organization) e IEC (International Engineering Consortium), sendo assim denominada ISO / IEC 17799:2000. A ISO uma organizao internacional formada por um conselho e comits com membros oriundos de vrios pases. Seu objetivo criar normas e padres universalmente aceitos sobre a realizao de atividades comerciais, industriais, cientcas e tecnolgicas. A IEC uma organizao voltada ao aprimoramento da indstria da informao. Com isso em dezembro de 2000 a ABNT (Associao Brasileira de Normas Tcnicas) tambm resolveu acatar a norma ISO como pa-
86
dro brasileiro sendo publicada em 2001 como: NBR 17799 Cdigo de Prtica para a Gesto da Segurana da Informao. O importante que a partir dessa publicao passamos a ter um referencial de aceitao internacional. No segundo semestre de 2005 foi lanada nova verso da norma, a norma ISO / IEC 17799:2005, que cancela e substitui a edio anterior.
6.2.1 Estrutura da Norma NBR ISO/IEC 17799
A Norma 17799 um padro de fcil compreenso e implementao, contendo um grande nmero de requisitos de controle. A primeira parte o cdigo da prtica para a segurana das informaes, contendo as dez sees e controles chaves para a criao da estrutura de segurana das informaes. A segunda parte a base para a certicao, contendo cem controles que foram detalhados e ajustados conforme os objetivos e controles da primeira parte. A BS 7799 um padro de segurana organizado em dez sees: Planejamento da continuidade do negcio; Controle de acesso aos sistemas; Manuteno e desenvolvimento dos sistemas; Segurana fsica e do ambiente; Conformidade legal; Segurana pessoal; Segurana da organizao; Segurana da rede e dos computadores; Controle e classicao dos bens; Poltica de segurana. A BS 7799 abrange a segurana, desde a denio e documentao das polticas de segurana at a conformidade com as normas, regulamentaes e legislaes de proteo de dados, passando pelos treinamentos em segurana, relatrios dos incidentes de segurana, controle de vrus, etc. O objetivo do Security Management (ITIL) assegurar que os dados e a infra-estrutura estejam protegidos com garantias de Condencialidade, Integridade, Disponibilidade e Autenticidade (CIDA) (Mansur, 1997). Conhecemos o Security Management no Item 5.3 Conhecendo a estrutura do ITIL. O gerenciamento deve denir, documentar, negociar, comunicar, monitorar e executar a poltica de segurana da corporao com base em trs premissas: 1. Nos objetivos; 2. Na rea de Atuao; 3. Nas leis, normas e regulamentaes da segurana. O gerenciamento deve estar presente em todos os processos do
87
Security Management atravs das seguintes atividades: Categorizao da criticidade dos processos; Determinao da estratgia para a infra-estrutura crtica; Identicao dos processos, componentes e relacionamentos; Denio, documentao, negociao e comunicao dos processos crticos; Identicao dos pontos fracos; Avaliao da incidncia de ameaas; Avaliao dos impactos das ameaas para o CIDA. Segundo Mansur (2007), a otimizao dos investimentos da segurana das informaes pode ser ameaada pela avaliao dos impactos nas atividades crticas, pela aceitao de setores menos protegidos e pela priorizao de acordo com o impacto. Para a implementao da segurana so necessrios recursos nanceiros e humanos, mtricas de monitorao, plano de segurana para os sistemas, plano de emergncia, padres e normas.
Figura 23 Fluxograma de Segurana Fonte: MANSUR (2007)

6.3 Norma ISO/IEC 27000
Este conjunto de normas ISO/IEC o mais importante referencial de Segurana da Informao. Estas normas substituram a normas BS 7799-2 (referente Gesto de Segurana da informao) e ISO 17799 (Cdigo de Boas Prticas da Gesto de Segurana da Informao). A norma ISO 27001:2005 a norma BS7799-2:2002 revisada, com melhorias e adaptaes, contemplando o ciclo PDCA de melhorias e a viso de processos que as normas de sistemas de gesto j incorporaram. A reviso foi feita por um comit tcnico de mbito internacional, formado pela ISO e pelo IEC (The International Eletrotechnical Comission) o ISO/IEC JTC. Na famlia 27000, novos segmentos sero abordados sob normas que variam de 27000 27009. Fonte: (FARIAS JR., Ariosto. A Famlia ISO/IEC 27000 em Security Review: Contedo Editorial, Janeiro/fevereiro 2006, ano II, nmero 66). No Brasil, poucas organizaes conseguiram obter o certicado
88
ISO27001, dentre elas: Serasa, Banco Matone, Samarco, Mdulo Security, Unisys e SERPRO. De acordo com rgos certicadores ser concedido um tempo para as empresas certicadas em BS7799-2:2002 se adequarem a nova norma ISO/IEC 27001. A mdia de um ano e meio, ento todas as empresas certicadas, se quiserem manter o seu certicado, devero revisar seus sistemas e passar por uma auditoria de recerticao migrando para a norma ISO/IEC 27001. A tendncia natural que as empresas passem a buscar a nova norma e aumente o nmero de certicaes no mundo, devido a maior aceitao do padro ISO com referncia universal. Como resultado destas novas normas, a listagem das normas ISO de Segurana da Informao ser renovada, onde podemos destacar as seguintes: NMERO: ISO IEC NWIP 27000 TTULO: Information Security Management Systems - Fundamentals and Vocabulary APLICAO: Este projeto de norma tem como objetivo apresentar os principais conceitos e modelos relacionados com segurana da informao SITUAO: Este projeto de norma encontra-se ainda nos primeiros estgios de desenvolvimento, denominado de NWIP-New Work Item Proposal. A previso para publicao como norma internacional 2008-2009. NMERO: ISO IEC 27001:200522 TTULO: Information Security Management Systems-Requirements SITUAO: Norma aprovada e publicada pela ISO em Genebra, em 15.10.2005. No Brasil, a ABNT publicou como Norma Brasileira NBR ISO IEC 27001 no primeiro trimestre de 2006. APLICAO: Esta norma aplicvel a qualquer organizao, independente do seu ramo de atuao, e dene requisitos para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar um Sistema de Gesto de Segurana da Informao. A ISO IEC 27001 a norma usada para ns de certicao e substitui a norma Britnica BS 7799-2:2002. Portanto, uma organizao que deseje implantar um SGSI deve adotar como base a ISO IEC 27001. NMERO: ISO IEC 27002:2005 TTULO: Information Technology - Code of practice for information Security Management SITUAO: Norma aprovada e publicada pela ISO em Genebra, em 15.06.2005. No Brasil, a ABNT publicou como Norma Brasileira NBR ISO IEC 17799 no dia 24 de agosto de 2005. APLICAO: Esta norma um guia prtico que estabelece diretrizes e princpios gerais para iniciar, implementar, manter e melhorar a gesto de segurana da informao em uma organizao. Os objetivos de controle e os controles denidos nesta norma tm como nalidade atender aos requisitos identicados na anlise/avaliao de
89
riscos. Fonte: Mdulo Security Magazine (O estado da arte em sistemas de gesto da segurana da Informao: Norma ISO/IEC 27001:2005) http://www.modulo.com.br
Atividades do Tema VI
01 Descreva as Normas BS 7799-1 e BS 7799-2
02 Descreva a estrutura da Norma NBR ISO/IEC 17799
03 Como vimos na pergunta anterior, a BS 7799 um padro de segurana organizado em vrias sees. Quantas so e Quais?
04 O Security Management do ITL baseado na Norma 17799 e busca assegurar que os dados e a infra-estrutura estejam protegidos com garantias de que tipo? 05 Pesquise quantas empresas no Brasil esto certicadas em norma de Gesto de Segurana da Informao.
90
Anotaes
91
Referncias Bibliogrficas
Instituto Brasileiro de Governana Corporativa (IBGC), http://www. ibgc.org.br/ Acesso em Fev de 2008. Carvalho, Carlos Augusto da Costa, 2006 Disponvel em www.imasters.com.br, Acesso em Dez de 2007. Apostila ITIL The Key to Managing IT Services Fundamentos. 2004 IT Partners verso 5.0 Revista Info Exame, n 261, Novembro de 2007, pgina 71 Revista Info Exame n 256 Junho de 2007, pgina 87 Revista Information Week Ano 9 N 187 Internal Control - Integrated Framework - http://www.coso.org, Acesso em Jan de 2008 Understanding Internal Controls, http://www.oc.ca.gov/audit, Acesso em Fev de 2008 http://blogs.technet.com/rodias/default.aspx, Acesso em Dez de 2007 http://www.itil-itsm-world.com/itsm-kit.htm, Acesso em Dez de 2007 http://www.iso.org/iso/en/commcentre/pressreleases/archives/2005/Ref985.html, Acesso em Jan de 2008. http://www.timaster.com.br, Acesso em Jan de 2008. itSMF IT Service Management Forum - http://www.itsmf.com.br, Acesso em Dez de 2007. Rodrigo Dias http://blogs.technet.com/rodias/archive/tags/ITIL/default.aspx, Acesso em Fev de 2008 Matria: Aposta na governana http://computerworld.uol.com.br/governanca/2008/01/16/jbs-friboi-ve-melhoria-nos-servicos-de-ti-apos-adocao-do-itil/, Acesso em Fev de 2008 Gartner Group, Traduo: Paulo Vaz, Acesso em Fev de 2008 www.tracesistemas.com.br/tech_journal/2006/fevereiro/
92
Computerworld, UK (http://computerworld.uol.com.br/governanca, Acesso em Fev de 2008 FARIAS JR., Ariosto. A Famlia ISO/IEC 27000 em Security Review: Contedo Editorial, Janeiro/fevereiro 2006, ano II, nmero 66; Mdulo Security Magazine (O estado da arte em sistemas de gesto da segurana da Informao: Norma ISO/IEC 27001:2005) http://www. modulo.com.br, Acesso em Fev de 2008
93
Anotaes
94
Anotaes

Itil Cobit Governanca em Ti

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Itil Cobit Governanca em Ti

Enviado por

Direitos autorais:

Formatos disponíveis

Governana em TI

Mrcio Giovanni Oliveira Souza

TEMA II - A Origem da Governana de TI ........................................... 21

TEMA IV - Conhecendo o COSO ......................................................... 45

TEMA V - Conhecendo a implementao do ITIL ................................... 51

Atividades do Tema VI.................................................................... 89 Referncias Bibliogrcas ............................................................... 91

O que iremos aprender

Governana em TI Teorias da Histria 1.1 O que Governana

Teorias da Histria Governana em TI

Governana em TI Teorias da Histria

Figura 01 Percepo da alta administrao sobre a rea de TI Fonte: MANSUR (2007)

Teorias da Histria Governana em TI

Governana em TI Teorias da Histria

Teorias da Histria Governana em TI

Governana em TI Teorias da Histria

Teorias da Histria Governana em TI

Governana em TI Teorias da Histria

O que iremos aprender

Teorias da Histria Governana em TI

2.1 Governana de TI - Razes e Motivaes

Governana em TI Teorias da Histria

Framework (leque de diretrizes = melhores prticas)

Teorias da Histria Governana em TI

4 Stakeholders (Acionistas, controladores, gestores, funcionrios, etc.)

Governana em TI Teorias da Histria

Teorias da Histria Governana em TI

Governana em TI Teorias da Histria

Teorias da Histria Governana em TI

Governana em TI Teorias da Histria

02 - Cite duas denies de Governana de TI? 03 - Fale sobre o Six Sigma?

04 Cite os principais frameworks com foco em governana do Mercado?

O que iremos aprender

Teorias da Histria Governana em TI

3.1 O que COBIT

Governana em TI Teorias da Histria

Figura 04: Os quatro domnios do COBIT http://www.isaca.org

3.2 Os Domnios do COBIT

Teorias da Histria Governana em TI Planejamento e Organizao

Governana em TI Teorias da Histria

4. Prove segurana independente

3.3 Desenvolvimento do COBIT

Teorias da Histria Governana em TI 3.3.1 Objetivo:

Governana em TI Teorias da Histria

Teorias da Histria Governana em TI

Governana em TI Teorias da Histria 3.5 Ferramentas de Gerenciamento do COBIT

Teorias da Histria Governana em TI

Muitas informaes do COBIT so padres abertos e disponveis

Governana em TI Teorias da Histria

Teorias da Histria Governana em TI

Governana em TI Teorias da Histria

Atividades do Tema III

04 Quais os recursos utilizados pelo COBIT?

O que iremos aprender

Teorias da Histria Governana em TI

4.1 Entendendo o COSO8

Governana em TI Teorias da Histria

4.2 O Trabalho do COSO

1. Ambiente de Controle 2. Avaliao e Gerenciamento dos Riscos

Teorias da Histria Governana em TI

Governana em TI Teorias da Histria

Conhecendo a implementao do ITIL

O que iremos aprender

Teorias da Histria Governana em TI