Você está na página 1de 151

Universidade Federal de Santa Catarina

Departamento de Informtica e Estatstica


Curso de Cincia da Computao

Uma Anlise Comparativa de Metodologias para


Governana de Tecnologia da Informao ITIL e COBIT

MARLIA GABRIELA SODR


SUZANA MARIA DE SOUZA

Florianpolis SC
Ano 2007 / 1

MARLIA GABRIELA SODR


SUZANA MARIA DE SOUZA

Uma Anlise Comparativa de Metodologias para


Governana de Tecnologia da Informao ITIL e COBIT

Trabalho de concluso de curso apresentado como parte dos requisitos para


obteno do grau de Bacharel em Cincia da Computao

Orientadora: Profa. Dra. Eng. Maria Marta Leite

Banca Examinadora
Profa. Dra. Eng. Aline Frana de Abreu
Prof. Dr. Eng. Joo Bosco da Mota Alves

DEDICATRIA(S) (opcional)

AGRADECIMENTO(S) (opcional)

Resumo

A Governana de TI destaca-se no atual cenrio dinmico e competitivo


dos negcios como um conjunto de mecanismos que permitem estabelecer
objetivos, formular controles, executar estratgias e avaliar os resultados obtidos
pela Tecnologia da Informao. A tecnologia deixou de ser apenas uma rea de
suporte para tornar-se um parceiro estratgico no alcance dos objetivos do negcio.
As organizaes que compreendem este conceito e conseguem incorporar os
objetivos da governana em sua estrutura adquirem condies para aperfeioar o
gerenciamento de sua infra-estrutura e servios de TI.
Aprimorar controles e processos requer investimento e comprometimento
das partes envolvidas, assim, necessrio que a organizao avalie seus objetivos
de acordo com quais resultados devero ser alcanados e quais so as prioridades
para o negcio. Para tal, esto disponveis diversos modelos (frameworks) de
melhores prticas consolidadas em diversas organizaes. Tais prticas atuam como
guias para o estabelecimento de controles e mtricas que se alinham para o alcance
da governana. Neste trabalho realiza-se uma reviso bibliogrfica de dois modelos
de destaque nessa rea: o COBIT, como um framework de melhores prticas para
governana e auditoria de TI, e o ITIL, um framework para gerncia de servios e
infra-estrutura de TI. Individualmente ou integradas, estas ferramentas constituem
um poderoso recurso para aderncia aos objetivos da governana, aprimoramento
dos controles internos e conformidade s prticas regulatrias, como a Lei
Sabarnes- Oxley1 .
Palavras-chave:

Tecnologia

da

Informao,

Governana

de

TI,

Alinhamento Estratgico, Gerncia de TI, COBIT, ITIL, modelo de maturidade,


melhores prticas, auditoria de sistemas, controle, conformidade, Sarbanes-Oxley,
normas, padres.

Abstract
1

Decreto para proteger os investidores e o pblico em geral de erros na contabilidade e prticas


fraudulentas na organizao (SOX, 2002 apud Holm; Khn; Viborg, 2006, p. 3).

In the current dynamic and competitive scene of the businesses, the IT


Governance is distinguished as a set of mechanisms that allows establishing
objectives, to formulate controls, to execute strategies and to evaluate the
Information Technologys results. The technology isnt more only an area of support.
Now, its a strategical partner in the reach of the businesss objectives. The
organizations that understand this concept and obtain to incorporate the objectives of
the governance in your structure, acquire conditions to perfect the management of
your infrastructure and IT services.
Improving controls and processes requires investment and compromising
of the involved parts. Thus, its necessary that the organization evaluates its
objectives in accordance with which results will have to be reached and which are the
priorities for the business. For such, they are available diverse frameworks of better
practical consolidated in diverse organizations. Such practices act as guides for the
establishment of metrics and controls that are line up for the reach of the
governance. In this work, a bibliographical revision of two models of prominence is
become fulfilled: COBIT, as a framework of best practices for governance and IT
audit, and ITIL, a framework for services management and IT infrastructure.
Individually or integrated, these tools constitute a powerful resource for adhesion to
the objectives of the governance, improvement of the internal controls and conformity
to the regulator practices, as the Sarbanes-Oxley law.
Keywords: Information Technology, IT Governance, Strategical Alignment, IT
Management, COBIT, ITIL, model of maturity, best practices, systems audit, control,
conformity, Sarbanes-Oxley, norms, standards.

Sumrio
1

INTRODUO.............................................................................................................. 13
1.1 APRESENTAO.............................................................................................................15
1.2 FORMULAO DO PROBLEMA.........................................................................................15
1.3 JUSTIFICATIVAS............................................................................................................. 16
1.4 OBJETIVOS................................................................................................................... 17
1.4.1 Objetivo Geral......................................................................................................18
1.4.2 Objetivos Especficos...........................................................................................18
1.5 DELIMITAO DO ESCOPO..............................................................................................18
1.6 METODOLOGIA DE DESENVOLVIMENTO............................................................................19
1.6.1 A Pesquisa e o Mtodo.........................................................................................19
1.6.2 Caracterizao da Pesquisa.................................................................................20
1.7 ORGANIZAO DO TRABALHO........................................................................................21

REFERENCIAL TERICO............................................................................................22
2.1 PLANEJAMENTO ESTRATGICO DOS NEGCIOS...............................................................22
2.2 PLANEJAMENTO ESTRATGICO DE TI...............................................................................24
2.3 ALINHAMENTO ESTRATGICO DA TI.................................................................................27
2.3.1 Alinhamento Esttico e Alinhamento Dinmico.....................................................37
2.3.2 Anlise de Alinhamento........................................................................................37
2.4 A LEI SARBANES OXLEY...............................................................................................38
2.4.1 Implicaes da SOX quanto governana de TI..................................................41

GOVERNANA EM TECNOLOGIA DE INFORMAO..............................................45


3.1 INTRODUO.................................................................................................................45
3.2 FATORES MOTIVADORES.................................................................................................50
3.3 OBJETIVOS DA GOVERNANA DE TI................................................................................52
3.4 FRAMEWORKS PARA GOVERNANA DE TI........................................................................53

O COBIT - VERSO 4.0 ..............................................................................................61


4.1 O CRIADOR.................................................................................................................... 61
4.2 ORGANIZAO OS SEIS COMPONENTES DO COBIT.......................................................62
4.3 RESUMO EXECUTIVO......................................................................................................62
4.4 O FRAMEWORK COBIT..................................................................................................70
4.4.1 Por que adotar um framework..............................................................................70
4.4.2 A quem se destina o framework............................................................................73
4.4.3 Focado no Negcio..............................................................................................73
4.4.5 Baseado em Controles.........................................................................................77
4.4.6 Direcionado Medio.........................................................................................79
4.5 A ESTRUTURA DO FRAMEWORK DO COBIT.....................................................................84
4.6 OS DOMNIOS DO COBIT..............................................................................................87
4.7 ACEITABILIDADE DO COBIT............................................................................................91

O ITIL............................................................................................................................ 93
5.1 O CRIADOR................................................................................................................93
5.2 O FRAMEWORK ITIL......................................................................................................94
5.3 OS LIVROS DO ITIL - VERSO 2.....................................................................................98
5.3.1 Prestao de Servio.........................................................................................101

5.3.1.1 Gerenciamento de Nveis de Servio...........................................................102


5.3.1.2 Gerenciamento Financeiro para os Servios de TI......................................103
5.3.1.3 Gerenciamento da Capacidade...................................................................106
5.3.1.4 Gerenciamento da Continuidade dos Servios de TI...................................108
5.3.1.5 Gerenciamento da Disponibilidade..............................................................109
5.3.2 Suporte de Servio.............................................................................................111
5.3.2.1 Servio de Atendimento ao Cliente..............................................................111
5.3.2.2 Gerenciamento de Incidentes......................................................................112
5.3.2.3 Gerenciamento de Problemas.....................................................................112
5.3.2.4 Gerenciamento de Mudanas......................................................................113
5.3.2.5 Gerenciamento de Verses..........................................................................114
5.3.2.6 Gerenciamento de Configurao.................................................................114
5.3.2 perspectiva do negcio.......................................................................................115
5.3.3 Gerenciamento de Infra-Estrutura de TI - ICT.....................................................115
5.3.4 Gerenciamento das Aplicaes..........................................................................116
5.3.5 Gerenciamento e Organizao...........................................................................117
5.3.6 Planejamento e Implementao.........................................................................118
5.3.7 Gerenciamento da Segurana............................................................................118
6

ANLISE DO FRAMEWORK COBIT.........................................................................120

ANLISE DO FRAMEWORK ITIL..............................................................................123

ANLISE COMPARATIVA DOS FRAMEWORKS COBIT E ITIL...............................126

9
INTEGRAO DAS METODOLOGIAS E PADRES PARA GOVERNANA E/OU
GESTO DE TI...................................................................................................................129
10
INTEGRAO DOS FRAMEWORKS COBIT E ITIL PARA UM PROCESSO DE
IMPLANTAO DE GOVERNANA DE TI.......................................................................133
11

CONCLUSO.........................................................................................................138
11.1 CONSIDERAES FINAIS......................................................................................138
11.2 QUANTO AOS OBJETIVOS ESPECFICOS................................................................141
11.2.1 Objetivo Especfico I.........................................................................................141
11.2.2 Objetivo Especfico II........................................................................................141
11.2.3 Objetivo Especfico III.......................................................................................142
11.2.4 Objetivo Especfico IV.......................................................................................143
11.2.5 Objetivo Especfico V........................................................................................144
11.2.6 Objetivo Especfico VI.......................................................................................145
11.2.7 Objetivo Especfico VII......................................................................................145
11.3 QUANTO AO OBJETIVO GERAL.............................................................................146
11.4 QUANTO S PERSPECTIVAS DE CONTINUIDADE..............................................146
11.5 LIMITAES DA PESQUISA....................................................................................147

12

REFERNCIAS.......................................................................................................148

ndice de Figuras
FIGURA 2.1 - ESTRUTURA PARA ALINHAMENTO DE ESTRATGIAS, PROCESSOS E TI. ......28
FIGURA 2.2 - O ALINHAMENTO ESTRATGICO COMO PONTO DE PARTIDA PARA SE
ALCANAR O MXIMO POTENCIAL DA TI. .................................................................29
FIGURA 2.3 - A CAPTURA DE VALOR NA OBTENO DE RESULTADOS CONCRETOS DAS
INICIATIVAS DE TI. ..................................................................................................30
FIGURA 2.4 - MODELO DE ROCKART & MORTON (1984). ..............................................30
FIGURA 2.5 - MODELO DE MACDONALD (1991).............................................................31
FIGURA 2.6 - MODELO DE WALTON (1993)...................................................................32
FIGURA 2.7 - MODELO DE YETTON, JOHNSTON & CRAIG (1994). ...................................33
FIGURA 2.8 - MODELO DE MCGEE & PRUSAK (1994). ..................................................33
FIGURA 2.9 - MODELO ADAPTADO DE CHAIN ET AL. (1997). .........................................34
FIGURA 2.10 MODELO DE REZENDE & ABREU (2000). ..............................................35
FIGURA 2.11 - MODELO DE HENDERSON & VENKATRAMAN (1993).................................36
FIGURA 4.1 GERENCIAMENTO DA INFORMAO...........................................................65
FIGURA 4.2 REAS FOCO DA GOVERNANA DE TI......................................................67
FIGURA 4.3 INTER-RELACIONAMENTO ENTRE OS COMPONENTES DO COBIT................69
FIGURA 4.4 PRINCPIO BSICO DO COBIT.................................................................74
FIGURA 4.5 - REPRESENTAO GRFICA DO MODELO DE MATURIDADE.........................80
FIGURA 4.6 - RELACIONAMENTO ENTRE PROCESSOS, OBJETIVOS E MTRICAS. ...............84
FIGURA 4.7 GERENCIAMENTO, CONTROLE, ALINHAMENTO E MONITORAMENTO DO
COBIT.................................................................................................................85
FIGURA 4.8 O CUBO DO COBIT................................................................................86
FIGURA 4.9 O FRAMEWORK DO MODELO COBIT........................................................87
FIGURA 4.10 DOMNIOS E PROCESSOS DO COBIT......................................................91
FIGURA 5.1 LIVROS DO ITIL.......................................................................................98
FIGURA 5.2 DIAGRAMA DO ITIL................................................................................100
FIGURA 5.3 ESTRUTURA DO FRAMEWORK ITIL.........................................................101
FIGURA 9.1 RELACIONAMENTO ENTRE OS MODELOS, PADRES E SUAS REAS DE
ATUAO..............................................................................................................132

ndice de Grficos e Tabelas


TABELA 2.1 - IMPLICAES DA SOX PARA TI.................................................................42
TABELA 3.1 - CICLO DA GOVERNANA DE TI..................................................................46
TABELA 3.2 - OS COMPONENTES DA ETAPA ALINHAMENTO ESTRATGICO E COMPLIANCE.
.............................................................................................................................47
TABELA 3.3 - OS COMPONENTES DA ETAPA DECISO, COMPROMISSO, PRIORIZAO E
ALOCAO DE RECURSOS......................................................................................49
TABELA 3.4 - OS COMPONENTES DA ETAPA ESTRUTURA, PROCESSOS, OPERAES E
GESTO.................................................................................................................49
TABELA 3.5 - OS COMPONENTES DA ETAPA DE MEDIO DO DESEMPENHO DA TI...........49
TABELA 3.6 - ALGUNS MODELOS APLICVEIS GOVERNANA DE TI................................59
TABELA 4.1 - FERRAMENTAS FORNECIDAS PELO COBIT PARA ALINHAMENTO AO NEGCIO
.............................................................................................................................74
TABELA 4.2 - DOMNIOS DO COBIT...............................................................................75
TABELA 4.3 - IMPACTOS DO SISTEMA DE CONTROLES INTERNOS DA ORGANIZAO NA TI
.............................................................................................................................78
TABELA 4.4 - MODELO GENRICO DE MATURIDADE........................................................80
TABELA 4.5 - O COBIT E AS REAS FOCO DA GOVERNANA DE TI.................................91
TABELA 9.1 - QUADRO COMPARATIVO DE MODELOS E SEUS OBJETIVOS.........................129
TABELA 10.1 - RELACIONAMENTO ENTRE OS LIVROS DO ITIL E OS OBJETIVOS DO COBIT
PARA GOVERNANA DE TI.....................................................................................133
TABELA 10.2 - INTEGRAO DOS FRAMEWORKS COBIT E ITIL.....................................134

Lista de Abreviaturas e Siglas


ABNT Associao Brasileira de Normas Tcnicas
ASL - Application Services Library
BS - British Standard
BSC Balanced Scorecard
CCO Cincias da Computao
CEO - Chief Executive Officer
CFO Chief Financial Officer
CIO Chief Information Officer
CMM: Capability Maturity Model
CMMI Capability Maturity Model Integration (Modelo Integrado de Maturidade de
Processos)
COBIT Control Objectives for Information and Related Technology (Objetivos de
Controle para Informao e Tecnologias Relacionadas)
COO Chief Operation Officer
IEC - International Electrotechnical Commission
ISACA Information Systems Audit and Control Association
ISO - International Organization for Standardization
IT Information Technology
ITGI - IT Governance Institute
ITIL Information Technology Infrastructure Library (Biblioteca de Infra-estrutura
para Tecnologia da Informao)
ITSMF - IT Service Management
PMBoK Project Management Body of Knowledge (Corpo de Conhecimento de
Gerenciamento de Projetos)

PRINCE2 Projects in Controlled Environments

(Projetos em ambientes

controlados)
SAS70: Statements on Auditing Standards for Service Organizations
SOX - Sarbanes-Oxley Act of 2002
TI Tecnologia da Informao

13

1 INTRODUO
No cenrio atual das organizaes, a Tecnologia da Informao (TI) tem,
paulatinamente, deixado de ser uma rea de suporte. Ela tem exercido cada vez
mais papel fundamental para as estratgias de negcio das organizaes. Com isso,
as exigncias quanto organizao e controle da rea de TI tambm aumentaram
dentro das empresas.
Visando suportar a estratgia definida e a demanda de servios de
Tecnologia da Informao (TI), as organizaes buscam diversas alternativas para
melhor planejar e direcionar seus projetos e investimentos em TI.
A administrao eficaz dos recursos de TI tornou-se um fator impactante
para o desenvolvimento, fortalecimento e sucesso de uma organizao no mercado,
considerando fatores como:

o potencial de contribuio para as prticas do negcio, criando novas


oportunidades e reduzindo custos;

a dependncia das informaes e dos recursos tecnolgicos, que pode


ser crtica dependendo da natureza do negcio;

a relao custo x benefcio dos investimentos em TI;

a segurana da informao e dos sistemas de informao.

As operaes de TI envolvem altos riscos e demandam grandes


investimentos. Alinhar os objetivos da TI ao negcio da empresa e gerenci-los
tornou-se uma tarefa complexa e, sem o auxlio de mtodos confiveis difcil
garantir o atendimento das necessidades com eficincia, eficcia e cumprimento dos
prazos.
Nesse contexto surge a necessidade da implantao da Governana de
TI, objetivando o gerenciamento prudente dos recursos, o aprimoramento dos
controles internos e a mitigao dos riscos envolvidos.
O processo de implantao da governana de TI em uma organizao
necessita de investimentos, estruturas e processos que garantam que a TI da

14

empresa suporta e contribui para os objetivos do negcio. Este processo aborda,


tambm, a institucionalizao de boas prticas e mtricas de controle e auditoria,
que garantam que os objetivos estabelecidos estejam sendo cumpridos conforme
especificado.
Os principais objetivos da Governana de TI so:

alinhamento e entrega de valor por parte da rea de TI para o negcio;

correta alocao e medio dos recursos envolvidos;

a mitigao dos riscos em TI;

medio e avaliao do desempenho;

alinhamento estratgico.

Para a implantao da governana necessria a especificao de


controles que descrevam os processos e seus responsveis, os recursos envolvidos
e formas de garantir os resultados esperados. Para auxiliar as empresas neste
processo esto disponveis no mercado diversos modelos ou padres que
contribuem para a Governana em TI, dentre eles: COBIT (Control Objectives for
Information and related Technology), ITIL (Information Technology Infrastructure
Library), CMMI (Capability Maturity Model Integration), PMBoK (Project Management
Body of Knowledge) e padres de segurana e melhores prticas como a ISO/IEC
17799, ISSO/IEC 20000 e BS 15000. Alguns desses modelos agregam, em
estruturas denominadas frameworks, um conjunto de melhores prticas testadas
com sucesso em vrias empresas de grande, mdio e pequeno porte, e servem
como suporte para a definio dos caminhos a seguir no gerenciamento e no
processo de governana de TI.
proposta neste trabalho uma apresentao da Governana de TI, sua
contextualizao na governana corporativa, e como alcan-la fazendo uso dos
modelos acima descritos. Pretende-se realizar uma anlise especifica dos
frameworks de melhores prticas de controle e gerncia de TI, COBIT e ITIL,
abordando suas aplicaes para o alcance da governana de TI. Pretende-se, ainda,

15

evidenciar casos de aplicao em empresas que tenham implantado as prticas


propostas por essas metodologias na busca por melhores resultados.
Outro objetivo deste trabalho apresentar outros modelos e padres que
facilitem o processo de governana, destacando os objetivos e estratgias de
integrao destes modelos com o COBIT e ITIL, visando seus escopos de aplicao.

1.1 APRESENTAO
Este trabalho teve incio com uma pesquisa sobre ferramentas para
auditoria dos controles no ambiente de TI, ferramentas para implantao da
governana de TI e um posterior estudo dos modelos COBIT e ITIL. Observou-se a
carncia de material em portugus sobre estes modelos e a necessidade de
informaes mais detalhadas sobre seus escopos de aplicao. Atravs desta
pesquisa inicial percebeu-se que muitas organizaes reconhecem os benefcios
que poderiam obter com a aplicao da governana de TI, porm verificou-se que
estabelecer os critrios de implantao pode ser problemtico.
Tendo sido levantada essa questo, a proposta foi estudar em detalhes o
modelo COBIT (visto que ele oferece as ferramentas iniciais para avaliao e
verificao da situao de um ambiente de TI) e o modelo ITIL (que oferece as
diretrizes de gerenciamento para otimizao dos servios). Percebeu-se, porm, que
estas ferramentas no cobririam todas as reas da implantao de um processo de
governana de TI e, como segundo foco, a apresentao de outras ferramentas
deveria ser abordada.

1.2 FORMULAO DO PROBLEMA


Para muitas organizaes a Tecnologia de Informao representa um
recurso precioso e um fator crtico para o negcio. O setor de TI apresenta-se como
um ambiente altamente competitivo e dinmico. Alm de ser requerida uma

16

excelente habilidade gerencial e a reduo de custos, necessrio que os controles


da rea garantam a continuidade dos negcios, suportem a estratgia da empresa e
atendam aos requisitos legais e auditorias. Balancear todas estas questes e
coloc-las em prtica um grande desafio para os gestores de TI.
As etapas envolvidas na implantao de um processo de governana so
problemticas e envolvem a definio de controles em diversos nveis. Apenas os
controles, contudo, no garantem resultados. preciso garantir o comprometimento
dos envolvidos e, em muitos casos, promover uma mudana na cultura da empresa.
Uma avaliao incorreta das prticas de controle e do impacto que suas
aplicaes podem causar na organizao, pode levar a resultados indesejados,
burocracia excessiva e inviabilidade de aplicao prtica.
Diante do exposto, o problema que este trabalho busca solucionar reside
no estudo e avaliao dos modelos de governana e gerncia de TI e de como
integr-los em um processo de implantao da governana. Estudar as prticas
atravs de seus documentos originais um processo denso, assim, apresentaremos
um resumo dos dois modelos mais aceitos (COBIT e ITIL), bem como, uma breve
descrio de outros modelos e padres auxiliares.

1.3 JUSTIFICATIVAS
A administrao prudente de TI um elemento essencial para o sucesso
corporativo. A rea de TI das empresas sofre grande presso por resultados
tangveis, sustentveis e seguros. Pretende-se com este trabalho, reunir
informaes sobre governana de TI e os modelos de melhores prticas, para
apontar caminhos que possibilitem melhorar a tomada de deciso do profissional de
TI e facilitar o alinhamento estratgico do negcio.
Embora qualquer modelo de governana de TI possa ser aplicado em
uma empresa, ou ainda desenvolvido de acordo com suas necessidades, os
padres mais amplamente aceitos so COBIT e ITIL. Eles so mundialmente
reconhecidos como guias das melhores prticas, utilizados para auditoria de

17

sistemas, consultoria de TI e aplicveis a processos de certificao legal, como a


legislao SOX - Sarbanes Oxley (todas as empresas que negociam aes nos
Estados Unidos precisam estar aderentes a esta legislao, que ser oportunamente
comentada) e a NBR ISO/IEC 17799.
Um fator que motivou a escolha do ITIL, que se trata de uma biblioteca
de informaes utilizada como auxlio gerncia da infra-estrutura e servios de TI.
A estrutura composta por diretrizes, independente de qualquer aplicativo ou
plataforma e, portanto, pode ser aplicada em qualquer empresa. O COBIT, criado em
1996, tornou-se praticamente padro para auditores e para adequao legislao
SOX. O motivo de sua escolha foi a independncia de plataforma de seus padres.
H

aproximadamente

300

objetivos

genricos

no

COBIT, agrupados

em

componentes. Este framework consiste de um conjunto de diretrizes, voltado para a


mitigao de risco, integridade, confiabilidade e segurana dos processos internos.
Segundo Fagundes (2004), o COBIT um guia para a gesto de TI
recomendado pelo ISACF (Information Systems Audit and Control Foundation), que
inclui recursos tais como sumrio executivo, framework de objetivos de controle,
guias de auditoria, um conjunto de ferramentas de implementao e um guia com
tcnicas de gerenciamento. As prticas de gesto do COBIT ajudam a otimizar os
investimentos de TI e fornecem mtricas para avaliao dos resultados.
Ampliar o conhecimento acerca das melhores prticas e esclarecer que a
aplicao de controles, documentao e formalizao de processos trazem
benefcios reais para os administradores de TI, o fator motivador deste estudo.
Objetiva-se mostrar que a governana de TI permite que a empresa utilize suas
informaes para maximizar benefcios, capitalizar oportunidades e ganhar
vantagens competitivas atravs do alinhamento estratgico.

1.4 OBJETIVOS
Este trabalho baseia-se em um objetivo principal e outros especficos,
descritos a seguir.

18

1.4.1 OBJETIVO GERAL


O principal objetivo desse trabalho realizar um estudo sobre a
governana de TI e a relevncia de sua aplicao nas organizaes, apresentando
uma anlise detalhada dos dois modelos mais aceitos no mercado (COBIT e ITIL),
aplicveis em um processo de implantao da governana de TI.
1.4.2 OBJETIVOS ESPECFICOS
i. Apresentar o conceito de governana em TI e a importncia dos controles
para a otimizao dos processos de TI.
ii. Apresentar detalhadamente a metodologia aplicvel para alcance da
governana de TI COBIT.
iii. Apresentar detalhadamente a metodologia aplicvel para alcance da
governana de TI ITIL.
iv. Apresentar outros modelos e padres que possam ser integrados ao COBIT
e ITIL, buscando cobrir reas da governana de TI que no estejam
contempladas nestes modelos.
v. Apresentar uma anlise comparativa, delimitando o escopo de
aplicao dos modelos.
vi. Citar casos de aplicao dos frameworks no mercado, evidenciando sua
eficcia.
vii. Apresentar a integrao dos modelos com foco na implantao de um
processo de governana de TI.

1.5 DELIMITAO DO ESCOPO


Pretende-se neste trabalho realizar um estudo terico da governana de
TI e dos modelos COBIT e ITIL, aplicveis em um processo de implantao da
governana. O objetivo realizar uma anlise detalhada de suas caractersticas,

19

similaridades e diferenas, buscando identificar os escopos genricos de aplicao e


um modelo de integrao.
Este trabalho no contempla uma aplicao prtica da integrao
proposta ou de um dos modelos isoladamente, o que se pretende apresentar uma
estrutura genrica dos modelos e um quadro de integrao que possa ser
compreendida e aplicada em empresas de qualquer porte, que busquem implantar
governana de TI.
Sabendo-se que apenas COBIT e ITIL no cobrem todos os aspectos de
um processo geral de implantao de governana, desenvolvimento de software ou
gerncia de projeto, por exemplo, pretende-se indicar outros modelos que possam
ser utilizados em complemento, tais como: CMMI (Capability Maturity Model
Integrated), ISO (International Organization for Standardization) 17799, 20000 e a
famlia 27000, PMBoK (Project Management Body of Knowledge), entre outros.
Ressalta-se que no pertence ao escopo deste trabalho um estudo detalhado destes
modelos.
A opo pelos modelos COBIT e ITIL deve-se ao fato que essas
metodologias vm se consolidando como padres de melhores prticas no mercado.
Outro fator relevante na escolha foi que estas metodologias so independentes de
plataforma, facilmente integrveis a outros padres e aplicveis governana de TI
de uma forma geral.

1.6 METODOLOGIA DE DESENVOLVIMENTO


Este trabalho ser desenvolvido conforme apresentado nas prximas
sees.
1.6.1 A PESQUISA E O MTODO
Segundo Leite (1978, p. 15), a pesquisa cientfica um processo
consciente e racional de aprendizagem destinado a promover a compreenso e
explicao de determinados fenmenos de interesse coletivo com a finalidade de
interpretao, previso e controle. O autor defende que "o mtodo cientfico difere do

20

mtodo comum por utilizar processos sistemticos de averiguao, anlise e


concluso

ao invs do processo aleatrio e assistemtico das observaes,

indagaes e concluses leigas".


Esta pesquisa est baseada na reviso bibliogrfica. Portanto, pode-se
dizer que a tcnica de pesquisa utilizada a documentao indireta, j que a
documentao direta baseia-se em entrevistas ou questionrios.
O mtodo cientfico um instrumento formado por um conjunto de
procedimentos, mediante os quais os problemas so formulados e as hipteses so
examinadas (GALLIANO, 1979 apud PEREIRA et al., sem data). Sabbatini &
Cardoso (1998 apud PEREIRA et al., sem data) afirmam que mtodo cientfico
um conjunto de abordagens, tcnicas e processos utilizado pela Cincia para
formular e resolver problemas de aquisio objetiva do conhecimento de uma
maneira sistemtica. Mas, segundo Galliano (1979 apud PEREIRA et al., sem data)
o mtodo cientfico no d receitas infalveis, no um receiturio nem milagroso.
Nader (1996 apud PEREIRA et al., sem data) diz que os mtodos podem ser
considerados como tcnicas ou como orientao de pesquisa.
Quanto aos mtodos de procedimento, este trabalho utiliza o mtodo
comparativo. O mtodo comparativo visa explicar semelhanas e dessemelhanas
atravs de observaes de duas pocas, ou dois fatos (MEDEIROS, 1997). No caso
deste trabalho, feita a comparao entre duas metodologias para governana em
tecnologia da informao, COBIT e ITIL, apontando suas diferenas e semelhanas,
e identificando situaes em que cada qual se sobressai.
1.6.2 CARACTERIZAO DA PESQUISA
Ao selecionar um assunto, o estudioso leva em considerao seu gosto
pessoal, de valor relevante, terico ou prtico, para o grupo a que pertence
(MEDEIROS, 1997). Medeiros diz ainda que "o assunto dever estar de acordo com
a formao intelectual do pesquisador". A introduo deste trabalho tenta explicar a
relevncia do assunto escolhido.
De modo geral, este trabalho pode ser classificado como uma pesquisa
aplicada, j que se baseia na aplicao de teoria j elaborada, ou seja, no visa

21

descobrir teoria. Ele tambm pode ser considerado uma pesquisa qualitativa, pois
no tem como interesse medir variveis. Seu objetivo est relacionado com a
compreenso e a interpretao do processo, no sendo necessrio o uso da
estatstica.
Considerando seus objetivos, esta pesquisa explicativa, pois visa
registrar e analisar fatos, interpretando-os e identificando suas causas. Quanto
obteno de dados, o trabalho caracteriza-se como uma pesquisa bibliogrfica, j
que tem como base, principalmente, a leitura e a anlise de textos.

1.7 ORGANIZAO DO TRABALHO


Este item mostra o modo como o trabalho est organizado. Esta
introduo apresenta o tema, os motivos que levaram sua escolha e os objetivos
do trabalho. O captulo 2 traz informaes sobre Planejamento e Alinhamento
Estratgico, alm de abordar a Lei Sarbanes-Oxley. O captulo 3 trata da
Governana de TI. Os captulos 4 e 5, partes vitais deste trabalho, apresentam o
COBIT e o ITIL, respectivamente. Nos captulos 6 e 7, esto contidas as anlises
individuais dos Frameworks COBIT e ITIL. No captulo 8 feita uma anlisa
comparativa desses frameworks. O captulo 9 traz a integrao das metodologias e
padres para governana de TI. O captulo 10 apresenta a integrao dos
frameworks COBIT e ITIL para um processo de implantao de governana de ti.
No captulo 11 esto as concluses. Por fim, as referncias utilizadas na
pesquisa encontram-se no captulo 12.

22

2 REFERENCIAL TERICO

2.1 PLANEJAMENTO ESTRATGICO DOS NEGCIOS


Segundo Chiavenato (2003), o planejamento estratgico a formulao
de estratgias organizacionais, onde se busca a insero da organizao e de sua
misso no ambiente em que ela est atuando. Oliveira (2001, p.46) conceitua o
planejamento estratgico como um processo gerencial que possibilita ao executivo
estabelecer o rumo a ser seguido pela empresa, com vistas a obter um nvel de
otimizao na relao da empresa com o seu ambiente. Drucker (1997, p.77) define
planejamento estratgico como

o processo contnuo de tomar decises atuais que envolvam riscos, organizar


sistematicamente as atividades necessrias execuo dessas decises e
atravs de um feedback organizado e sistemtico, medir os resultados
dessas decises em confronto com as expectativas alimentadas.

A atividade de planejar est associada ao destino a ser dado para a


organizao e ao modo como se pretende atingi-lo. Alm disso, importante definir
caminhos alternativos em caso de imprevistos, na tentativa de redirecionar as
decises e suportar os problemas (MONTANA; CHARNOV, 1999).
O planejamento uma atividade extremamente complexa, composta por
uma srie de aes, as quais so executadas tendo em vista o alcance dos objetivos
e metas definidos pela empresa (OLIVEIRA, 2001). Neste sentido, Stoner e
Freeman (1995) colocam que o planejamento estratgico o processo de
estabelecer os objetivos e as linhas de ao adequadas para alcan-los.
Atravs do planejamento estratgico, segundo Oliveira (2001, p.46), a
empresa espera:
conhecer e melhor utilizar seus pontos fortes;
conhecer e eliminar ou adequar seus pontos fracos;
conhecer e usufruir das oportunidades externas;

23

conhecer e evitar as ameaas externas;


obter um efetivo plano de trabalho estabelecendo as premissas
bsicas, as expectativas e os caminhos desejados pela empresa.
Cobra (1992) coloca que tudo comea com a auto avaliao acerca do
negcio da organizao, observando-se o ponto em que o negcio est e em qual
deveria estar. O estabelecimento dos objetivos a serem alcanados o ponto de
partida do planejamento. Uma vez alcanados os objetivos, estes passam a ser
realidade (CHIAVENATO, 1993).
Segundo Oliveira (2001, p.43) a estrutura das organizaes subdivide-se
em trs categorias de decises que formam o planejamento empresarial. Essas
decises ocorrem em nvel estratgico, nvel ttico e nvel operacional. O
planejamento estratgico abrange a empresa como um todo, enquanto os
planejamentos ttico e operacional se preocupam com as metas restritas a
determinada rea da empresa. Cada tipo de planejamento possui um escopo
distinto, porm as decises definidas so complementares e interdependentes.
Uma das caractersticas principais a preocupao em analisar o
ambiente externo e harmonizar as estratgias da empresa com a realidade do
mercado.
Resumidamente Oliveira (2001) define que:
Planejamento estratgico um processo gerencial de responsabilidade
dos nveis mais altos da empresa. Possibilita ao executivo estabelecer o
rumo a ser seguido pela empresa, com objetivo de estabelecer um nvel
de otimizao da organizao como seu meio ambiente. O planejamento
estratgico tem uma viso de longo prazo para a empresa como um
todo.
Planejamento ttico, desenvolvido pelas gerncias de nvel mdio,
vislumbra um perodo mais curto do que o planejamento estratgico e
trabalha com a decomposio do estratgico, examinando o que
especfico de cada rea de atuao.

24

Planejamento operacional, de responsabilidade das lideranas dos


nveis mais baixos de cada rea, consiste na definio dos planos de
ao de curto prazo: mensais, semanais e dirios.
Referente a importncia da aplicao do Planejamento Estratgico nas
empresas, Oliveira (2001) coloca que o exerccio contnuo do planejamento
proporciona o desenvolvimento de processos, tcnicas e atitudes administrativas
que tendem a reduzir a incerteza envolvida no processo decisrio.
[...] os gestores deveriam entender que primordial as empresas obterem um
planejamento estratgico estruturado, pois s assim poderiam delinear um
futuro esperado para suas empresas e maneiras de alcanar ou se aproximar
o mais possvel desse futuro desejado. Inclusive, se uma maneira no deu
certo, o gestor sabe como direcionar para outra opo no momento certo e de
forma adequada. (OLIVEIRA, 2001)

O objetivo do Planejamento Estratgico prover direo, concentrao de


esforo, constncia de propsito, e flexibilidade, como um negcio continuamente
empenhado em impor sua posio em todas as reas estratgicas (BOAR, 1994).
Na literatura esto disponveis diversos modelos para desenvolvimento de
um Planejamento Estratgico, cada empresa necessita avaliar o que melhor se
enquadra a sua realidade. Alm dos fatores internos, preciso considerar as
condies externas que rodeiam a empresa e que lhe impem desafios e
oportunidades, como explica Chiavenato (1993).

2.2 PLANEJAMENTO ESTRATGICO DE TI


A combinao dos objetivos estratgicos e a seleo de capacidades de
negcio utilizadas para atingir os objetivos o que constitui a estratgia da empresa.
As empresas, de modo geral, procuram desenvolver um conjunto de capacidades de
negcio para atingir seus objetivos estratgicos. Estes, suportados por investimentos
necessrios nas capacidades de TI, podem levar a empresa ao sucesso em seus
negcios. (MARCHAND; KETTINGER; ROLLINS, 2001 apud GARCIA, 2005).
Marchand; Kettinger; Rollins (2001 apud GARCIA, 2005) classificam os
objetivos estratgicos em quatro categorias de prioridades estratgias: criao de

25

novas oportunidades de negcios, encantar os clientes, minimizar riscos e reduzir


custos. Eles tambm identificaram cinco capacidades chave dos negcios: estrutura
organizacional, processos, pessoas, relacionamento externo e capacidades de
informao. As capacidades de informao so: importncia e utilizao da
informao, prticas de gerenciamento da informao e prticas de TI. Para eles o
gerenciamento efetivo de cada uma das trs capacidades de informao, maximiza
os resultados obtidos atravs da TI, contribuindo significativamente para a melhoria
da performance dos negcios.
O Planejamento Estratgico da Tecnologia da Informao (PETI) um
processo

dinmico

interativo

que

visa

estruturar

estratgica,

ttica

operacionalmente as informaes organizacionais, a TI , os sistemas de informao


(estratgicos, gerenciais e operacionais), as pessoas envolvidas e a infra-estrutura
necessria para o atendimento de todas as decises, aes e respectivos processos
da organizao (PREMKUMAR; KING, 1992; BOAR, 1993; TURBAN; MCLEAN;
WETHERBE, 1996; STAIR, 1996; KEARNS; LEDERER, 1997; REZENDE; ABREU,
2000 apud REZENDE; ABREU, 2001).
Maas (1999 apud GARCIA, 2005) afirma que o PETI, para ser
totalmente eficaz, deve ser coerente com o Plano Estratgico da empresa. Segundo
Fernandes; Abreu (2006), no processo de PETI a TI participa na definio dos
objetivos e estratgias da empresa, sugerindo novas oportunidades de negcio com
o uso da TI ou apoiando os demais objetivos e estratgias. Para os autores, o PETI
no deve servir apenas para eliminar um ponto da auditoria, e sim ser um elemento
de apoio gesto do CIO e dos demais gerentes, em toda a operao.
Analogamente, Spohr; Sauv (2003) afirmam que o processo de
Planejamento Estratgico de TI procura avaliar as necessidades da empresa
baseando-se no conhecimento de sua estrutura de TI e sugerindo opes para a
melhor estratgia de seus negcios com o uso, reestruturao, aquisio,
implantao, ou melhoria dos processos de TI.
Para Amaral; Varajo (2000 apud GARCIA, 2005), o processo de PETI
tem sofrido diversas evolues quanto s suas finalidades e sua insero na
atividade organizacional. Segundo os autores, o processo de PETI visto como um

26

processo dedicado construo de diversas arquiteturas que permitam suportar a


estratgia organizacional. O principal foco de ateno o desenho das arquiteturas,
especialmente

da

Informao,

procurando

simultaneamente

um

melhor

alinhamento entre os requisitos da organizao e a aplicao da TI, a integrao dos


sistemas existentes e a identificao e priorizao dos projetos de desenvolvimento.
O processo de PETI, segundo Boar (2002), composto pelas seguintes
etapas:

Avaliao - a atividade de desenvolver um conhecimento claro e


profundo da situao do negcio. Culmina na identificao de
concluses que localizam os aspectos que exigem uma ateno
estratgica. Duas etapas principais so usadas para gerar as
concluses: posicionamento e anlise da situao. A etapa de
posicionamento oferece um modo grfico de entender a posio ou o
estado da tecnologia da informao em todas as reas estratgicas
relevantes. A etapa de anlise da situao usa vrios mtodos
analticos para interpretar os dados sobre a organizao e seu
ambiente.

Estratgia - consiste em identificar os objetivos especficos a serem


alcanados e as mudanas estratgicas necessrias para se perceber
os futuros estados e objetivos. Para dar suporte realizao dos
objetivos, tambm so desenvolvidos um plano de comprometimento,
para focalizar a tenso da organizao aos objetivos e um plano de
gerenciamento de mudana, para antecipar e reduzir a resistncia s
mudanas.

Execuo - coloca o plano em movimento. Transforma a inteno em


realidade. As estratgias tornam-se operacionais por meio de
programas de implementao que so particionados em vrios
projetos. Uma etapa de monitorao e controle do processo usada
para ajustar e sintonizar os projetos, oferecer feedback de aprendizado
a partir das experincias do projeto, observar o ambiente quanto a
situaes adicionais que exijam resposta estratgica.

27

Pode-se dizer que o planejamento estar completo quando estiver


formado o Portflio de TI Aprovado, ou seja, quando estiverem decididas as
prioridades de investimentos e manuteno de itens de custeio. O Portflio Aprovado
dever ser executado e guiar a organizao de TI (FERNANDES; ABREU, 2006).

2.3 ALINHAMENTO ESTRATGICO DA TI


Segundo Fernandes e Abreu (2006), alinhamento estratgico a
transformao da estratgia do negcio em estratgias e aes de TI que garantam
o apoio dos objetivos de negcio. Para Pinho (2005), alinhamento estratgico de TI
sintetiza o propsito de tornar a Tecnologia da Informao um fator crtico na
modelagem da estratgia organizacional. Segundo o autor existe a abordagem de
conceitos, estratgias, polticas pblicas e tecnologias, para demonstrar que a TI se
configura como um forte instrumento para consolidar e viabilizar os objetivos
institucionais das esferas pblicas, bem como as vantagens competitivas das
empresas modernas.
De acordo com Boar (2002), a organizao da TI existe a fim de haver
competitividade para o restante da empresa. A direo precisa estar alinhada com as
necessidades e os requisitos da empresa maior.
Como explanam Fernandes e Abreu (2006), o mercado de cada empresa
define a estrutura do negcio, criando elementos competitivos. Esses elementos tm
impacto na forma como a empresa descobre novas oportunidades de negcio,
desenvolve produtos e servios, realiza as suas vendas e aquisies de insumos e
recursos e, tambm, como ela os transforma em produtos e servios, e assim
sucessivamente.
Alm de definir a estrutura do negcio, o mercado tambm fornece
informaes sobre possveis ameaas a ele (o negcio). Assim, como afirmam
Fernandes e Abreu (2006), as linhas de produtos e servios da empresa podem
pedir o uso simultneo de vrias estratgias, que, por sua vez, podem requerer
processos de negcio distintos, do ponto de vista operacional e da gesto. Isso

28

constitui um impacto significativo na definio da arquitetura e da infra-estrutura de


TI, visando obter o mximo de compartilhamento de recursos.
A figura 2.1 mostra uma estrutura para alinhamento de estratgias,
processos e TI, apresentada por Spohr & Sauv (2003).

Figura 2.1 - Estrutura para alinhamento de estratgias, processos e TI (SPOHR; SAUV, 2003).

Segundo Ramirez; Sender (2003), o objetivo do alinhamento de TI


extrair o mximo da estratgia e da arquitetura de TI. Os riscos da m aplicao da
TI devem ser reduzidos ou eliminados. Projetos de TI abortados antes do seu
trmino e iniciativas implementadas e nunca utilizadas tambm so fatores de risco.
Entretanto, o principal risco do no alinhamento o alto nvel de insatisfao entre
os diretores corporativos e superintendentes de negcios, com servios e produtos
de TI.

29

O alinhamento da estratgia de TI com a estratgia da empresa,


continuam os autores, o ponto de partida para se alcanar o mximo potencial
dessa rea, como mostra a figura 2.2.

Figura 2.2 - O alinhamento estratgico como ponto de partida para se alcanar o mximo
potencial da TI (SPOHR; SAUV, 2003).

Para Ramirez; Sender (2003), o alinhamento de TI estratgia permite


uma ao pr-ativa com a direo da rea de TI, na identificao de oportunidades
nessa rea, como mostra a figura 2.3. Essas oportunidades podem ser provenientes
de mudanas no mercado, na regulamentao e da propriedade. Outros fatores
externos tambm podem gerar a necessidade de rever a estratgia de TI.
Atualmente, o alinhamento estratgico bidirecional, ou seja, da estratgia
do negcio para a estratgia de TI e vice-versa, pois a TI pode potencializar
estratgias de negcio que seriam impossveis de serem implantadas sem o
auxlio da tecnologia da informao. (FERNANDES; ABREU, 2006, p.35)

30

Figura 2.3 - A captura de valor na obteno de resultados concretos das iniciativas de TI


(RAMIREZ; SENDER, 2003).

A seguir, da figura 2.4 figura 2.11, esto apresentados os esquemas de


alguns modelos de alinhamento estratgico de TI, apresentados por Rezende
(2002).

Modelo de Rockart & Morton (1984)

Figura 2.4 - Modelo de Rockart & Morton (1984) (REZENDE, 2002).

31

O modelo de Rockart e Morton baseado em cinco elementos do


funcionamento corporativo: estratgias da organizao, tecnologias, estrutura
organizacional

cultura

corporativa,

processos

de

gesto

(planejamento,

oramentos e recompensas), e indivduos e papis. Esses cinco elementos so


circundados pela fronteira da organizao, em forma de diamante. Nesse modelo
est implcita a adequao tecnolgica, objetivando o alinhamento dos negcios da
organizao por meio da TI. O esquema da TI para contribuir nesse modelo e
beneficiar a organizao, formado por computadores, tecnologia de comunicaes,
estaes de trabalho, robtica e codificao inteligente em chips (MORTON, 1988
apud RAMIREZ, 2007).

Modelo de MacDonald (1991)

Figura 2.5 - Modelo de Macdonald (1991) (REZENDE, 2002).

O modelo de Macdonald (1991) transforma o modelo terico de


alinhamento estratgico de Rockart e Morton (1984) com o objetivo de explorar
resultados organizacionais. O processo estabelece o co-alinhamento transversal da
estratgia de negcios com os processos e infra-estrutura de SI, da estratgia de TI
com a organizao e gesto dos processos e infra-estrutura organizacional, e entre
esses dois eixos. O co-alinhamento acontece a partir das consideraes das
operaes internas e externas organizao, das relaes entre competidores, das
necessidades dos consumidores, das oportunidades dos fornecedores, das

32

tendncias do segmento do negcio, entre outras operaes (VENKATRAMAN,


1989 apud RAMIREZ, 2007).

Modelo de Walton (1993)

Figura 2.6 - Modelo de Walton (1993) (REZENDE, 2002).

A proposta de Walton (1993) para o alinhamento do PETI ao PEE o


tringulo estratgico. Esse tringulo visa a criao da viso estratgica como uma
ampla concepo dos aspectos-chave para a organizao no futuro. Essa viso
deve abranger a estratgia competitiva (PORTER, 1990 apud RAMIREZ, 2007) e os
modelos organizacionais que podero direcionar ou serem direcionados pelos
sistemas de TI, que devem abranger os trs ngulos do tringulo. As empresas
orientadas para o comprometimento mercadolgico devem estar fundamentadas na
capacitao tecnolgica (ZUBOFF, 1988 apud RAMIREZ, 2007) e na estratgia de
organizao (CHANDLER, 1962 apud WALTON, 1993 apud RAMIREZ, 2007) onde a
estrutura organizacional, os SI e as habilidades pessoais podem contribuir ou
restringir o alinhamento estratgico de negcios (MILES; SNOW, 1978 apud
RAMIREZ, 2007).

Modelo de Yetton, Johnston & Craig (1994)

33

Figura 2.7 - Modelo de Yetton, Johnston & Craig (1994) (REZENDE, 2002).

O modelo de Yetton, Johnston e Craig (1994) uma adaptao do modelo de


Rockart e Morton (1984) a partir da anlise dos resultados obtidos num estudo de caso
em uma empresa australiana, que mostra a TI como impulsionadora da mudana e
alinhamento estratgico por meio da alterao das responsabilidades dos papis e
habilidades individuais, de processos de gesto, da estrutura organizacional e das
estratgias do negcio. Esse caminho de alinhamento dinmico mais precisamente
representado com a interveno do nvel de tecnologia, seguido da transformao dos
papis e das habilidades individuais, da mudana na estrutura e, subseqente,
alinhamento e integrao nos processos de gesto (REZENDE, 2002).

Modelo de McGee & Prusak (1994)

Figura 2.8 - Modelo de Mcgee & Prusak (1994) (REZENDE, 2002).

34

As variveis informao e TI devem ser consideradas relevantes e crticas


potenciais dentro do processo de definio de estratgias. No modelo de
alinhamento estratgico de Mcgee e Prusak (1994) as alternativas de negcio so
definidas em paralelo com as alternativas de TI, mantendo um fluxo contnuo de
interao e troca de informaes. O alinhamento das estratgias de negcios e as
de TI procura evidenciar as potencialidades da TI, considerando-a como um recurso
a ser observado durante o processo de definio ou de redesenho de estratgias
(EVANS; WURSTER, 1997 apud REZENDE, 2002).

Modelo de Chan, Huff, Barclay e Copeland (1997)

Figura 2.9 - Modelo adaptado de Chan et al. (1997) (REZENDE, 2002).

O modelo de Chan, Huff, Barclay e Copeland voltado para a obteno


de resultados. Nesse modelo as estratgias de negcios e de SI so alinhadas para
proporcionar a efetividade dos SI, gerando o desempenho dos negcios
organizacionais. Esse modelo uma extenso dos trabalhos de outros
pesquisadores precursores (COPELAND; MCKENNEY, 1988; HENDERSON;
VENKATRAMAN, 1993; LUFTMAN; LEWIS; OLDACH, 1993; CHAN; HUFF, 1993
apud RAMIREZ, 2007).

Modelo de Rezende e Abreu (2000)

35

Figura 2.10 Modelo de Rezende & Abreu (2000) (REZENDE, 2002).

A integrao dos negcios ou funes empresariais estratgicas com a TI


abrange outras variveis no modelo de alinhamento de Rezende e Abreu (2000).
Nesse modelo, o alinhamento acontece pela coerncia vertical e horizontal
(representada pela cruz) entre o PEE e o PETI, onde o PEE est integrado ao
planejamento estratgico dos negcios ou das funes empresariais e aos
respectivos planos dos Sistemas de Informao, Tecnologia da Informao e
Recursos Humanos ou Pessoas (RH/P). Nesse modelo de alinhamento os objetivos
do PEE com o uso da TI so: investigar as oportunidades de ganho e as vantagens
competitivas por meio do melhor uso de tecnologias, estabelecer objetivos e fatores
crticos de sucesso para a empresa, facilitar a consecuo dos objetivos
empresariais mediante a anlise de seus fatores crticos de sucesso, determinar
quais informaes podem auxiliar a gesto na melhor realizao do seu trabalho,
priorizar o uso da TI em funo das necessidades da empresa, criar um modelo
funcional e de dados do negcio, de modo que permita alta administrao
visualizar o negcio em termos dos objetivos, funes, informaes, fatores crticos
de sucesso e estrutura organizacional (REZENDE, 2002).

Modelo de Henderson & Venkatraman (1993)

36

Figura 2.11 - Modelo de Henderson & Venkatraman (1993) (REZENDE, 2002).

O modelo proposto por Henderson & Venkatraman (1993), como


comentam Fernandes; Abreu (2006), mostra que a estratgia de TI influencia e
influenciada pela estratgia de negcio, interagindo bidirecionalmente com a infraestrutura e os processos organizacionais e de TI.
O alinhamento estratgico ocorre em vrios momentos na vida da empresa.
Um momento quando o board da organizao se rene para definir
objetivos de negcio de mdio e longo prazo e estabelece estratgias para
atingir esses objetivos. [...]
Outros momentos acontecem quando este mesmo board redefine
aleatoriamente o seu plano de negcios em funo de novas oportunidades
ou cenrios macroeconmicos e microeconmicos de negcios.
Por fim, esse alinhamento ocorre no dia-a-dia, quando os clientes de TI
demandam solues novas que mudam os requisitos do negcio
estabelecidos no alinhamento esttico, quando foi feito o plano de tecnologia.
Neste caso a TI tem que ser bastante flexvel. (FERNANDES; ABREU, 2006,
p.37)

37

2.3.1 ALINHAMENTO ESTTICO E ALINHAMENTO DINMICO


Alinhamento esttico a derivao da estratgia de TI a partir do Plano
Estratgico da empresa. J o alinhamento dinmico, a alterao da estratgia de
TI em funo da mudana aleatria da estratgia de negcios da empresa. Para ser
efetivo e robusto, um modelo de Governana de TI deve contemplar esses dois
alinhamentos (FERANDES; ABREU, 2006).
Como acreditam os autores, inicialmente, o Plano de Tecnologia provm
do alinhamento esttico. Durante a implantao das estratgias de negcio, ocorrem
mudanas no cenrio do mercado, da economia ou da poltica, fazendo com que as
estratgias originais sofram modificaes. As novas estratgias precisaro de um
novo alinhamento da TI, o alinhamento dinmico.

2.3.2 ANLISE DE ALINHAMENTO


Segundo Boar (2002), a situao ideal de planejamento estratgico exige
simultaneidade e entrelaamento entre as atividades de planejamento estratgico da
empresa e da organizao de TI. Assim, o planejamento de TI deve acontecer em
paralelo com o planejamento da empresa, que precisa da participao ativa do CIO.
De acordo com o autor, nessa situao, o grau de colaborao, coordenao,
comunicao e alinhamento maximizado, mas, geralmente, falta uma estratgia
formal da empresa para oferecer as diretivas e hipteses necessrias. Esse
problema pode ser minimizado atravs de uma anlise de alinhamento. Como
coloca Boar (2002), a anlise de alinhamento, envolve quatro conceitos:

Impulsionadores da empresa Foras externas empresa, que


precisa responder criativa e agressivamente a elas. Exemplos:
regulamentao,

globalizao,

advento

de

novos

canais

de

distribuio.

Impulsionadores da tecnologia Foras do setor de TI, que precisam


ser respondidas criativa e agressivamente pelas organizaes de TI.
Exemplos: Internet, terceirizao seletiva, padres de tecnologia.

38

Principais iniciativas da empresa Classes de respostas para os


impulsionadores da empresa. Exemplos: oferecer cuidado inicial com o
cliente, simplificar os processos comerciais, atender a um cliente
global.

Requisitos de TI Impacto das iniciativas da empresa ou dos


impulsionadores da tecnologia na organizao de TI. Exemplos:
oferecer uma viso nica do cliente, atualizar o treinamento da fora de
trabalho, equilibrar a criao e a compra de novos sistemas de
software.

De acordo com a concluso de Boar (2002), a lgica do alinhamento a


seguinte: devido aos impulsionadores da empresa, necessrio que ela tome
iniciativas de negcios importantes. Para execut-las, alguns requisitos de TI
precisam

ser

atendidos,

possibilitando

tambm

reao

criativa

aos

impulsionadores da tecnologia, que criam oportunidades nessa rea para a


organizao e/ou tornam obsoletos os investimentos existentes.

2.4 A LEI SARBANES OXLEY


Em 2001, grandes empresas, como Enron, Tyco, Worldcom e MCI,
envolveram-se em escndalos corporativos. Esses escndalos tiveram graves
impactos financeiros, impactando a confiana dos investidores e, coseqentemente,
derrubando os preos das aes no mundo todo, principalmente nos Estados
Unidos.

Como

medida

preventiva

para

tais

irregularidades,

congresso

estadunidense decretou o Ato Sarbanes-Oxley (SOX) em agosto de 2002.


Para Mendes (2006), o SOX representou a maior reforma sobre a
regulamentao das empresas depois do New Deal, nome dado a um conjunto de
medidas elaboradas nos anos 30 para tentar sanar a situao financeira dos
Estados Unidos aps a quebra da bolsa em 1929.

39

O SOX est relacionado com a forma como as empresas de capital aberto


relatam suas finanas. De acordo com Ramos (2004 apud FERNANDES, ABREU,
2006, p. 22): O termo controle interno sobre relatrios financeiros definido como o
processo projetado por, ou sob a superviso do principal executivo e do principal
responsvel por finanas do emitente, ou pessoas que desempenham funes
similares, efetivado pelo comit de diretores do emitente, pela gerncia ou outras
pessoas, para prover garantia razovel relacionada confiabilidade de emisso de
relatrios financeiros e a preparao de relatrios de resultados financeiros para
propsitos externos, de acordo com princpios de contabilidade geralmente aceitos.
Tais controles incluem polticas e procedimentos para:

Manter registros que, em razovel detalhe, com exatido e de forma


correta, reflitam as transaes e disposies dos ativos do emitente;

prover garantia de que as transaes sejam registradas quando


necessrio para permitir a preparao de declaraes de resultados
financeiros de acordo com os princpios contbeis geralmente aceitos,
e que as receitas e despesas do emitente sejam feitas somente de
acordo com autorizaes da gerncia e diretores do emitente;

prover garantia relacionada preveno ou deteco, no momento


preciso, de aquisies no autorizadas, uso ou disposio dos ativos
do emitente que possam ter um efeito material nas declaraes dos
resultados financeiros.

A conformidade Sarbanes-Oxley requer documentao e estabelecimento


de controles financeiros e avaliao da infra-estrutura. Os onze ttulos que compem
a SOX so:

Ttulo I: Public Company Accounting Oversight Board ONG


responsvel por registrar as auditorias e estabelecer os padres
relativos aos controles financeiros das empresas abertas;

Ttulo

II:

Auditor

Independence

auditores

independentes

rotatividade entre empresas de auditoria;

Ttulo III: Corporate Responsibility responsabilidades corporativas;

40

Ttulo IV: Enhanced Financial Disclosures novas regras para a


elaborao e publicao de resultados financeiros;

Ttulo V: Analyst Conflicts of Interest regras preventivas contra


conflitos de interesse entre analistas de corretoras de valores ou de
administrao de fundos;

Ttulo VI: Commission Resources and Authority regras para a


autorizao de fundos para a Stock Exchange Commission (SEC), e
autoridade da SEC para suspender empresas e auditores;

Ttulo VII: Studies and Reports autoridade da SEC para realizar


estudos e relatrios;

Ttulo VIII: Corporate and Criminal Fraud Accountability regras e


penalidades para a destruio de registros corporativos, alterao de
dados e falsificaes;

Ttulo IX: White-Collar Crime Penalty Enhancements penalidades


para crimes de colarinho branco;

Ttulo X: Corporate Tax Returns o CEO (Chief Executive Officer)


obrigado a assinar o imposto de renda de pessoa jurdica;

Ttulo

XI:

Corporate

Fraud

Accountability

responsabilidade

corporativa atravs da comunicao de informaes financeiras de


resultados fraudulentos.
Em relao TI, segundo Charlley Luz (2006), as seguintes adequaes
so necessrias lei: protees tcnicas apropriadas que obriguem a organizao
ao cumprimento de polticas e controles (workflows); proteo da integridade do
ambiente de informao, armazenamento e reteno de dados; facilitar a
demonstrao de controles que possam aumentar a integridade e auditoria dos
processos de TI e sistemas (registro do processo de produo de TI - gerenciamento
de projetos); reforar o bloqueio de acesso de perfis no autorizados aos sistemas
financeiros e negcios (segurana da informao).

41

As sees 302 e 404 da SOX esto diretamente relacionadas TI. Suas


implicaes esto descritas a seguir.

2.4.1 IMPLICAES DA SOX QUANTO GOVERNANA DE TI


As sees 302 e 404 da SOX especificam controles que envolvem
impacto (direta ou indiretamente) relacionado rea de TI. Segundo Fernandes e
Abreu (2006), a seo 302 especifica que:

o CEO e o CFO devem revisar os relatrios financeiros;

os relatrios no contm nenhuma declarao falsa de um fato


material ou omisso;

outras informaes financeiras includas representam corretamente a


condio financeira, resultados de operaes e fluxos de caixa nos
perodos representados pelos relatrios;

o CEO e o CFO so responsveis por manter e estabelecer controles e


procedimentos sobre a emisso de relatrios financeiros e controles
internos sobre tais relatrios;

os sistemas de controle interno sobre a emisso de relatrios


financeiros devem ser projetados sob a superviso do CEO e do CFO,
incluindo as subsidirias;

os sistemas de controle interno sobre relatrios financeiros tambm


devem ser projetados sob a superviso do CEO e do CFO;

deve ser avaliada a efetividade do sistema de controle sobre a emisso


de relatrios financeiros;

devem ser comunicadas mudanas nos controles internos sobre


relatrios financeiros, considerando o ltimo ano fiscal;

devem ser comunicadas as deficincias dos sistemas de controle


interno que possam afetar a habilidade da empresa em registrar,
processar, sumarizar e comunicar informaes financeiras;

42

deve ser comunicada qualquer fraude que envolva a gerncia ou


outros empregados que tenham um papel significante nos registros do
controle interno sobre relatrios financeiros.

A seo 404 especifica que:

a administrao tem a responsabilidade de estabelecer e manter uma


estrutura adequada de controle interno e procedimentos para relatrios
financeiros;

a administrao deve avaliar a efetividade do sistema de controle


interno sobre relatrios financeiros;

deve ser realizada uma auditoria externa especfica sobre a avaliao


interna da efetividade do sistema de controle interno feita pela
administrao.

De acordo com Fernandes e Abreu (2006), num sistema de controle


interno, os riscos so identificados e mitigados, os controles so estabelecidos e
executados, os registros e sistemas de controle so desenvolvidos e mantidos e
toda a sistemtica monitorada. Os autores afirmam ainda, que a Tecnologia da
Informao uma fonte de risco para a continuidade do negcio e para o
atendimento ao Ato Sarbanes-Oxley.
A Tabela 2.1 apresenta algumas implicaes da SOX em relao TI,
como apresentado em Fernandes; Abreu (2006, p. 27).
Tabela 2.1 - Implicaes da SOX para TI
Requisitos de qualidade
da informao
O contedo da
informao deve ser
apropriado.

Implicaes do SOX
Processo de desenvolvimento de requisitos de software;
Processo de gerenciamento de requisitos de software;
Mtodos de engenahria de software;
Processos de verificao (teste);
Processos de validao (aceitao pelos usurios);

43
Processos de segurana da informao empregados nos
aplicativos;
Processos de aceitao de produtos de terceiros;
Processo de gesto da mudana e da configurao.
A informao deve estar
disponvel no momento

Disponibilidade de aplicativos;
Disponibilidade de infra-estrutura;

em que for necessria.


Gerenciamento de incidentes e problemas no ambiente de
produo;
Suporte aos usurios;
Gesto de aplicativos e de ativos de TI;
Processos de gerenciamento da infra-estrutura;
Segurana da infra-estrutura;
Gerenciamento da contingncia;
Gerenciamento de disponibilidade e desempenho.
A informao atual ou
pelo menos a ltima

Processos de gerenciamento de dados;


Planejamento e gerenciamento da contingncia e de desastres;

disponvel.
Segurana da informao na infra-estrutura.
Os dados e as
informaes esto

Segurana da informao em aplicativos;


Segurana da infra-estrutura de TI;

corretas.
Teste de software;
Controle da mudana e da configurao;
Gerenciamento de dados;
Gerenciamento de requisitos.
A informao acessvel

Segurana da informao referente a controle de acessos e

aos usurios

privilgios;

interessados.

H um sistema de
controle interno sobre

Controle de autorizaes.

Avaliao de riscos de TI;


Gesto de qualidade;

relatrios financeiros.
Planos de desatres e recuperao;
Fonte: FERNANDES; ABREU (2006, p. 27)

44

Resumidamente, a criao de novas aplicaes e funcionalidades,


melhoria dos processos de TI para mitigar riscos, criao de novos processos de TI,
desenvolvimento de novos indicadores de desempenho e monitorao constante
dos riscos de TI, so alguns dos impactos do Ato Sarbanes-Oxley na governana de
TI.
Os requisitos do Ato Sarbanes-Oxley de 2002 no diminuem com base no
tamanho ou receita de uma empresa. Empresas com departamento de TI de
tamanho pequeno a mdio enfrentaro desafios nicos, tanto oramentrios quanto
com pessoal, em seus esforos para corresponder ao Ato Sarbanes-Oxley.(Lahti,
Peterson, 2006 p.26).

45

3 GOVERNANA EM TECNOLOGIA DE INFORMAO

3.1 INTRODUO
Segundo o dicionrio da lngua portuguesa Aurlio (1999), governana o
ato de governar(-se). A governana de TI provm da governana corporativa, que
passou a ter destaque depois dos escndalos financeiros de diversas empresas, em
meados de 2002.
Governana corporativa o sistema pelo qual as sociedades so dirigidas e
monitoradas, envolvendo os relacionamentos entre Acionistas/Cotistas,
Conselho de Administrao, Diretoria, Auditoria Independente e Conselho
Fiscal. As boas prticas de governana corporativa tm a finalidade de
aumentar o valor da sociedade, facilitar seu acesso ao capital e contribuir
para a sua perenidade (Instituto Brasileiro de Governana Corporativa
IBCG).

A governana corporativa um elemento crucial no aumento da eficincia


econmica. Ela proporciona a estrutura que define os objetivos da empresa, bem
como a maneira de atingi-los e fiscalizar o desempenho. A boa governana
corporativa deve estimular o conselho de administrao e a diretoria, para que os
objetivos da empresa e dos acionistas sejam perseguidos, e para facilitar a
fiscalizao, incentivando o uso dos recursos de maneira mais eficiente (OCDE,
1999).
De acordo com o IT Governance Institute (2005 apud Fernandes; Abreu,
2006, p.11), a governana de TI de responsabilidade da alta administrao
(incluindo diretores e executivos), na liderana, nas estruturas organizacionais e nos
processos que garantem que a TI da empresa sustente e estenda as estratgias e
objetivos da organizao.
J para Weill; Ross (2006), Governana de TI a especificao dos
direitos

decisrios

do

framework

de

comportamentos desejveis na utilizao da TI.

responsabilidades

para

estimular

46

A Governana de TI, para Fernandes; Abreu (2006), busca o


compartilhamento das decises de TI com outros dirigentes da organizao, alm de
instituir as regras, a organizao e os processos necessrios para dirigir o uso da
tecnologia da informao pelos usurios, departamentos, divises, negcios da
organizao, fornecedores e clientes, e tambm determinar de que forma a TI deve
prover os servios para a empresa.
A OCDE

(Organizao

para

Cooperao

Desenvolvimento

Econmico) (2000 apud WEILL; ROSS, 2006) articulou dois lados complementares
da governana: o comportamental e o normativo. O lado comportamental da
governana de TI, segundo Weill; Ross (2006), define os relacionamentos formais e
informais, conferindo direitos decisrios a indivduos ou grupos de indivduos. J o
lado

normativo

define

mecanismos,

formalizando

os

relacionamentos

estabelecendo regras para assegurar que os objetivos sejam atingidos.


Fernandes e Abreu (2006) sugerem o Ciclo da Governana de TI,
composto por quatro etapas, conforme apresentado na Tabela 3.1.

Tabela 3.2 - Ciclo da Governana de TI


Etapas

Descrio
Refere-se ao planejamento
estratgico de TI, que considera
as estratgias da empresa para

Alinhamento estratgico e

seus produtos e segmentos de

compliance

atuao, bem como os


requisitos de compliance
externos, como o ato SarbanesOxley.

Deciso, compromisso,
2

priorizao e alocao de
recursos

Refere-se s responsabilidades
pelas decises relativas TI,
bem como definio dos
mecanismos de deciso.

Estrutura, processos,

Refere-se estrutura

operaes e gesto

organizacional e funcional de TI,


aos processos de gesto e
operao dos produtos e

47
servios de TI, alinhados com as
necessidades estratgicas e
operacionais da empresa.
Refere-se determinao, coleta
e gerao de indicadores de
resultados dos processos,
4

Medio do desempenho da TI produtos e servios de TI e


sua contribuio para as
estratgias e objetivos do
negcio.

Cada etapa do Ciclo da Governana de TI engloba componentes que,


segundo Fernandes e Abreu (2006), permitem o desdobramento da estratgia de TI
at a operao dos produtos e servios correlatos.
De acordo com os autores, a etapa de Alinhamento estratgico e
compliance possui doze componentes apresentados na Tabela 3.2.
Tabela 3.3 - Os componentes da etapa Alinhamento Estratgico e Compliance.
Componentes

Descrio
Determina qual deve ser o alinhamento da TI, com relao

Alinhamento estratgico

arquitetura, infra-estrutura, s aplicaes, aos


processos e organizao, com as necessidades
presentes e futuras do negcio.
So regras que auxiliam tomadas de deciso acerca da

Princpios de TI

arquitetura e infra-estrutura de TI, aquisio e


desenvolvimento de aplicaes, entre outros.
Dizem respeito s aplicaes de TI que so necessrias

Necessidades de aplicaes

para atender continuidade e s estratgias do negcio,


determinando quais aplicaes devem ser mantidas,
melhoradas, substitudas e implantadas.
a organizao lgica dos dados, aplicaes e infraestruturas, definida a partir de um conjunto de polticas,

Arquitetura de TI

relacionamentos e opes tcnicas adotadas para obter a


padronizao e a integrao tcnicas e de negcio
desejadas. (WEILL; ROSS, 2006, p. 32)

Infra-estrutura de TI

a base da capacidade planejada de TI (tanto tcnica

48
como humana) disponvel em todo o negcio, na forma de
servios compartilhados e confiveis, e utilizada por
aplicaes mltiplas. (WEILL; ROSS, 2006, p.37)
Direcionam a administrao de TI para atingir metas de
Objetivos de desempenho

desempenho compatveis com os objetivos traados para


a prestao de servios.
Define a quantidade de recursos computacionais e

Capacidade de atendimento

humanos necessrios para atender demanda por

da TI

sistemas e servios, indicando se a infra-estrutura atual


tem condies de atend-la.
Deve decidir, por exemplo, como fazer o outsourcing, o
que ser feito por ele e como gerenci-lo. O Outsourcing

Estratgia de outsourcing

um acordo para contratar outras partes para


desempenhar funes ou servios que antes eram feitos
internamente[...]. (MIRANDA; REIS, 2007, p. 75)
Determinao de diretrizes e aes referentes

Segurana da informao

segurana dos aplicativos, da infra-estrutura, dos dados,


das pessoas e das organizaes.

Competncias

Habilidades e conhecimentos necessrios para o


desenvolvimento e implantao das iniciativas de TI.
Determinam a forma como os servios e produtos de TI

Processos e organizao

sero desenvolvidos, gerenciados e entregues aos


usurios e clientes.
o principal produto do alinhamento estratgico. Contm

Plano de TI

informaes sobre todos os outros componentes dessa


etapa.

A etapa de Deciso, compromisso, priorizao e alocao de


recursos possui dois componentes, apresentados na tabela 3.3.
Tabela 3.4 - Os componentes da etapa Deciso, Compromisso, Priorizao e Alocao
de Recursos.
Componentes
Mecanismos de deciso
Portflio de TI

Descrio
Definem quem toma quais decises em relao TI dentro
da organizao.
Metodologia para a priorizao dos investimentos de TI.
baseada no retorno de projetos e ativos para a
organizao, e no seu alinhamento com os objetivos

49
estratgicos do negcio. O portflio de projetos permite
que a organizao saiba onde deve investir.

A etapa de Estrutura, processos, operaes e gesto possui trs


componentes, como mostra a tabela 3.4.
Tabela 3.5 - Os componentes da etapa Estrutura, Processos, Operaes e Gesto.
Componentes

Descrio
Locais onde geralmente ocorre o atendimento de servios

Operaes de servios

de TI. Podem ser, por exemplo, operaes de sistemas, de


suporte tcnico, de infra-estrutura etc.

Relacionamento com o
cliente

Diz respeito relao dos usurios internos ou externos


com a rea de TI. Abrange processos que definem, por
exemplo, a capacidade da TI para atender aos usurios.

Relacionamento com os
fornecedores

Diz respeito relao dos fornecedores com a rea de TI.


Trata, entre outros aspectos, da forma como as
solicitaes so encaminhadas para os fornecedores.

A etapa de Medio do desempenho da TI possui um componente,


apresentado na tabela 3.5.
Tabela 3.6 - Os componentes da etapa de Medio do Desempenho da TI.
Componentes

Descrio

Gesto do desempenho da

Monitoramento dos objetivos de desempenho das

TI

operaes de servios.

3.2 FATORES MOTIVADORES


Os fatores motivadores da governana de TI podem ser divididos em
internos e externos. As motivaes internas so:

os investimentos em TI aumentam progressivamente;

integrao da rea de TI com os demais setores da empresa,


aumentando o risco que a TI representa para o negcio;

50

importncia cada vez maior da segurana da informao para a


empresa, devido, por exemplo, a ataques e vrus;

os clientes esto cada vez mais exigentes em relao aos produtos e


servios;

a vida dos produtos e dos servios est cada vez mais curta;

a transparncia nos negcios cada vez mais exigida.

Por trs da aplicao de recursos financeiros em TI, est a preocupao


das empresas em melhorar seus processos operacionais, reduzir custos, aumentar a
eficincia dos funcionrios, aperfeioar a relao com fornecedores, parceiros e
clientes. As organizaes de TI encontram dificuldades para manter os custos
operacionais sob controle devido, entre outros fatores, elevada complexidade de
gerenciamento. Isso acaba forando as organizaes a aumentar o oramento e as
equipes. Na verdade, so poucas as empresas que sabem, efetivamente, o retorno
que os investimentos em TI trazem. A implantao da governana de TI busca criar
formas de controlar e quantificar os resultados das otimizaes (Esmeraldo, 2006).
Como motivaes externas podem ser citadas:

garantia de tica na organizao;

criao e proteo de benefcios para os acionistas;

adequao ao Ato Sarbanes-Oxley (SOX), que apesar de representar


restries ao negcio, atrai gerao de lucros. O SOX tem artigos
diretamente relacionados com a rea de TI.

Segundo o ITGI, a TI tem potencial para ser a principal motivadora da


riqueza econmica no sculo XXI. Se hoje a TI j um fator crtico para o sucesso
da empresa, fornecendo oportunidades para obter vantagem competitiva e aumentar
a produtividade, no futuro ela ser ainda mais importante.
De acordo com estudos feitos por Weill; Ross (2006), empresas com fins
lucrativos que seguem uma estratgia especfica e apresentam um desempenho
acima da mdia na Governana de TI, tm lucros superiores em relao s demais.

51

Com o aumento da importncia da Tecnologia da Informao, continuam


os autores, as equipes de alta gerncia vem-se cada vez mais desafiadas a
control-la e geri-la a fim de garantir que ela gere valor. Por essa razo, muitas
empresas vm criando ou refinando estruturas de Governana de TI. Com isso, elas
pretendem direcionar melhor os gastos com Tecnologia da Informao. Segundo
Weill; Ross (2006), a TI pervasiva, ou seja, ela est presente em todas as reas da
empresa, mais um motivo para no deixar de dar a devida importncia governana
de TI.
Outro fator relevante a rpida introduo de novas tecnologias, que vem
gerando ameaas e oportunidades estratgicas. Os autores alertam para a
previdncia em estabelecer a infra-estrutura correta na hora certa, permitindo a
rpida implementao de novas iniciativas comerciais com base eletrnica, e a
consolidao e reduo de custos de processos comerciais correntes. Essa
previdncia torna-se mais provvel se existirem processos de governana
formalizados para harmonizar os comportamentos desejveis e os princpios de TI.
A incapacidade de reagir a mudanas de mercado tecnologicamente induzidas pode
ameaar a sobrevivncia de uma empresa (WEILL; ROSS, 2006, p.16).
Ainda seguindo o raciocnio de Weill; Ross (2006), uma governana eficaz
permite s empresas o debate do valor potencial e a formalizao do aprendizado.
Formalizando processos de exceo, as empresas podem aprender muito, quando
abordagens que no so consideradas padro so usadas por boas razes. Uma
governana eficaz deixa explcito o aprendizado pelas excees e difunde por toda a
empresa quaisquer novas prticas sempre que apropriado (WEILL; ROSS, 2006,
p.17).
Os papis dos tecnlogos e dos lderes de negcio esto num processo
progressivo de interligao. A tomada de decises de TI transforma-se numa tomada
de deciso conjunta. Alm de tomar boas decises de TI, empresas de sucesso
envolvem as pessoas certas no processo. Isso proporciona maiores nmeros de
aplicaes

estratgicas

ndices

de

adeso.

Uma

governana

de

TI

cuidadosamente planejada torna o processo decisrio claro e transparente,


condizente com a viso da alta gerncia e, ao mesmo tempo, estimulante para a

52

criatividade geral. Isso importante, j que a alta gerncia no tem como atender
todas as requisies relativas TI. (WEILL; ROSS, 2006)

3.3 OBJETIVOS DA GOVERNANA DE TI


O principal objetivo da Governana de TI o alinhamento da TI aos
requisitos do negcio, que se baseia na continuidade do negcio e no atendimento
s suas estratgias e aos marcos de regulao externos.
Fernandes e Abreu (2006), desdobraram esse objetivo principal em outros
seis objetivos:

permitir TI um posicionamento mais claro e consistente em relao


s outras reas da empresa;

alinhar e priorizar as iniciativas de TI com a estratgia do negcio;

alinhar a arquitetura e a infra-estrutura de TI s necessidades do


negcio, pensando no s no presente, mas tambm no futuro;

munir a TI com processos operacionais e de gesto, necessrios para


atender os servios de TI, conforme padres que atendam s
exigncias do negcio;

garantir TI uma estrutura de processos que possibilite a gesto do


seu risco para a continuidade operacional da empresa;

prover regras claras para as responsabilidades sobre decises e aes


relativas TI, no mbito da empresa.

3.4 FRAMEWORKS PARA GOVERNANA DE TI


Atualmente, existem vrios modelos de melhores prticas para TI. Eles
auxiliam na implantao da governana de TI. Holm; Khn; Viborg (2006, p. 1-5)
apresentam dezessete desses modelos:

53

ITIL (Information Technology Infrastructure Library) - o padro


mundial em Gerncia de Servio (Behr et al., 2004 apud Holm; Khn;
Viborg, 2006, p. 2). ITIL estabelece melhores prticas compreensivas e
consistentes, baseadas na experincia coletiva de milhares de
profissionais de TI. (Niessink; van Vliet, 2001 apud Holm; Khn; Viborg,
2006, p. 2). ITIL est focado em processos crticos de negcio e
disciplinas necessrias para que se tenha servios de alta qualidade.
Fora do framework ITIL, surgiu o British Standard BS15000, o primeiro
padro do mundo para gerenciamento de servios de TI. Toda
atividade classificada em dois grupos: Gerncia de Servio e
Prestao de Servio. Isso define qualidade de TI como o nvel de
alinhamento entre servios de TI e as efetivas necessidades de
negcio (Niessink; van Vliet, 2000 apud Holm; Khn; Viborg, 2006, p.
2 ). Como resultado, as organizaes podem amadurecer suas
melhores prticas sem ter que levar em considerao tecnologias
especficas.

COBIT (Control Objectives for Information and Related Technology) Foi desenvolvido como um padro genericamente aplicvel para boas
prticas de segurana e controle de TI (Lainhart, 2000 apud Holm;
Khn; Viborg, 2006, p.2). As ferramentas incluem: elementos de
medio de desempenho; uma lista de Fatores Crticos de Sucesso
(FCS); modelos de Maturidade para auxiliar nos testes de desempenho
e na tomada de decises.

ASL (Application Services Library) - uma coleo de melhores


prticas para gerenciar o desenvolvimento e a manuteno de
aplicaes. o padro de domnio pblico para o gerenciamento de
aplicaes, diferente do ITIL, mas ligado a ele em termos de aderncia
para padres de gerenciamento de processos e provimento de um
coerente, rigoroso e de domnio pblico conjunto de orientaes.
(Bastiens, 2004; van der Pols, 2004 apud Holm; Khn; Viborg, 2006, p.
3). ASL uma parte do IT Service Management (ITSM) Library.ASL

54

reconhece trs tipos de controle: funcional, aplicao e tcnico.


Enquanto o ITIL um padro geralmente aceito para organizar o
gerenciamento tcnico, o ASL oferece um framework para a
organizao do gerenciamento de aplicao (Meijer, 2003 apud Holm;
Khn; Viborg, 2006, p. 3).

Seis Sigma - Essa metodologia prov as tcnicas e ferramentas para


melhorar a capacidade e reduzir os defeitos em qualquer processo. Ela
aperfeioa qualquer processo de negcio atravs de constante reviso
(Hammer, 2002 apud Holm; Khn; Viborg, 2006, p. 3). Para isso, a Seis
Sigma

usa

uma

metodologia

conhecida

por

DMAIC

(Definir

oportunidades, Medir desempenho, Analisar oportunidades, Melhorar


desempenho, Controlar desempenho) (Puzdek, 2003 apud Holm;
Khn; Viborg, 2006, p. 3). Estes so os principais elementos do
Processo

de

Aperfeioamento

Seis

Sigma:

requerimentos

do

consumidor, qualidade do projeto, mtricas e medidas, envolvimento


do empregado e aperfeioamento contnuo.

CMM/CMMI (Capability Maturity Model/ Capability Maturity Model


Integrated) - Metodologia utilizada para desenvolver e refinar um
processo de desenvolvimento de software da organizao. O modelo
descreve um caminho evolutivo de cinco nveis de crescimento
organizado e sistematicamente processos mais maduros. CMM foi
desenvolvido pelo Software Engineering Institute (SEI), um centro de
pesquisa e desenvolvimento patrocinado pelo U.S. Department of
Defense (DoD). Os cinco nveis sugeridos pelo CMM so: o inicial, o
repetitivo, o definido, o gerenciado e o otimizado (Mathieassen e
Srensen, 1996 apud Holm; Khn; Viborg, 2006, p. 3). O CMM
baseado no modelo clssico de cascata. J o CMMI baseia-se no
desenvolvimento iterativo e mais orientado aos resultados.

IT Service CMM - um modelo de crescimento de maturidade focado


nos provedores de servios de TI (Niessink, 2003 apud Holm; Khn;
Viborg, 2006, p. 3). uma evoluo do CMM para desenvolvimento de
software e incorpora estgios de maturidade similares.Origina-se dos

55

esforos para desenvolver um framework de aperfeioamento de


qualidade para empresas de servios (Niessink; van Vliet, 1998 apud
Holm; Khn; Viborg, 2006, p. 3). O modelo no mede a maturidade
servios, projetos ou unidades da orgaizao individualmente. Ele
mede a maturidade de toda a organizao, cobrindo o processo de
prestao do servio (Niessink et al., 2005 apud Holm; Khn; Viborg,
2006, p. 3). Esse modelo delimitado pelo cobrimento do
desenvolvimento de novos servios.

SAS70 (Statements on Auditing Standards, No. 70 for Service


Organizations) - um padro de auditoria projetado para permitir que
um auditor independente avalie e opine nos controles de uma
organizao de servios. Desenvolvido pelo American Institute of
Certified

Public

Accountants

(AICPA),

internacionalmente

reconhecido. Uma auditoria SAS70 altamente reconhecida, porque


representa que a empresa foi exposta a uma auditoria profunda, por
uma firma independente de contabilidade e auditoria, das atividades de
controle, as quais geralmente incluem controles sobre TI e seus
processos. As organizaes devem demonstrar que possuem controles
adequados quando armazenam ou processam dados dos seus
consumidores. Objetivos e atividades de controle deveriam tambm ser
organizados de maneira a permitir ao usurio auditor e organizao
identificar quais controles suportam as informaes dos relatrios
financeiros.

ISO 17799 - Padro para segurana da informao que inclui um


conjunto compreensvel de controles e melhores prticas. O padro
pretende servir como um ponto de referncia para identificar o conjunto
de controles necessrios para a maioria das situaes onde os
sistemas de informaes so usados na indstria e no comrcio. A
aderncia ao padro garante que a organizao tem estabelecido um
determinado nvel de concordncia para cada uma das dez categorias
cobertas (Ma; Pearson, 2005 apud Holm; Khn; Viborg, 2006, p. 3):
poltica de segurana, organizao da segurana, classificao e

56

controle de valor, segurana de pessoal, segurana fsica e ambiental,


gerenciamento de comunicaes e operaes, controle de acesso,
desenvolvimento e manuteno de sistemas, gerenciamento de
continuidade de negcio, e concordncia (ISO 2000, BS 2002).

SOX (Sarbanes-Oxley Act of 2002) - Decreto para proteger os


investidores e o pblico em geral de erros na contabilidade e prticas
fraudulentas na organizao (SOX, 2002 apud Holm; Khn; Viborg,
2006, p. 3). Essa lei no afeta s o lado financeiro da corporao, mas
tambm o departamento de TI, cuja funo armazenar os registros
eletrnicos da corporao. O SOX define que todos os registros do
negcio, incluindo registros e mensagens eletrnicas, devem ser
salvos por pelo menos cinco anos (Alles et al., 2004 apud Holm; Khn;
Viborg, 2006, p. 3-4). As conseqncias do no cumprimento so
multas, priso ou ambos. A concordncia ao SOX traz implicaes
significantes para a funo de TI (Moore; Swartz, 2003 apud Holm;
Khn; Viborg, 2006, p. 4). Os requerimentos do SOX esto cada vez
mais integrados s iniciativas de gerenciamento de riscos (Beasley et
al., 2004; Sammer, 2004 apud Holm; Khn; Viborg, 2006, p. 4).

SysTrust - Servio de garantia desenvolvido pelo American Institute of


Certified Public Accountants (AICPA) em conjunto com o Canadian
Institute of Chartered Accountants (CICA). projetado para aumentar o
conforto da gerncia, dos clientes e dos parceiros de negcio com
sistemas que suportam um negcio ou atividade particular (Pacini et
al., 2000 apud Holm; Khn; Viborg, 2006, p. 4). Numa implantao
SysTrust, o participante avalia e testa se um sistema especfico
confivel

quando

medido

sob

trs

princpios

essenciais:

disponibilidade, segurana e integridade (McPhie, 2000 apud Holm;


Khn; Viborg, 2006, p. 4).

PRINCE2 (Projects IN Controlled Environments) - PRINCE um


mtodo de gerenciamento de projetos que cobre a organizao, o
gerenciamento e o controle dos projetos. A princpio, ele foi
desenvolvido como um padro do governo britnico. Desde ento, o

57

PRINCE tem sido largamente utilizado nos setores pblico e privado e,


agora, um padro de facto no Reino Unido. PRINCE foi desenvolvido
inicialmente para projetos de TI, mas usado tambm em muitos
projetos que no so de TI. O PRINCE2, a ltima verso dessa
metodologia, foi desenvolvido para incorporar requerimentos de
usurios existentes e melhorar o mtodo em direo a uma abordagem
genrica de melhores prticas para a gerncia de todos os tipos de
projetos (OGC, 2005 apud Holm; Khn; Viborg, 2006, p. 4).

IT Audit - Uma reviso de TI deveria focar em trs principais reas:


tecnologia, organizao de TI e processos de TI (Sisco, 2002 apud
Holm; Khn; Viborg, 2006, p. 4). Como a organizao tecnolgica
possui muitas partes funcionais, uma quantificao da estrutura
organizacional de TI incluir: infraestrutura (redes) e aplicaes de
negcio (pesquisa & desenvolvimento e suporte) (Sisco, 2002 apud
Holm; Khn; Viborg, 2006, p. 4).

IT Due Diligence - Sisco (2002b apud Holm; Khn; Viborg, 2006, p. 4)


estabelece que o objetivo do plano de continuidade precisa estar
claramente definido. Para isso, sugere que ele seja quebrado em sete
partes: operao corrente de TI, planos de riscos e contingncia, plano
financeiro, requerimentos de investimento de capital, planos de
oportunidades de inovao e recomendaes, plano de transio e
relatrio de continuidade.

IT Governance Review - Contm as seguintes atividades: mapear a


governana

atual

das

organizaes

com

ferramentas

de

um

Governance Design Framework (GDF) e de uma Governance


Arrangements Matrix (GAM), comparar o GDF e a GAM, realizar
auditoria em mecanismos de governana de TI, projetar a estrutura da
futura governana de TI, transformar a verso futura do GDF e da GAM
da organizao, e focar em comunicar, ensinar, convencer, refinar e
medir o sucesso da governana de TI (Weill; Ross, 2006).

58

IT Governance Assessment - um framework para avaliar o


desempenho da governana de TI. A performance da governana deve
ser avaliada para analisar quo bem as suas estruturas encorajam
comportamentos desejveis (Weill; Ross, 2006). Por essa razo, o
framework prope que a gorvernana de TI deve abordar cinco fatores
importantes, que so: a configurao da empresa, as estruturas da
governana, o desempenho da governana, e o desempenho
financeiro.

IT Governance Checklist - Damianides (2005 apud Holm; Khn;


Viborg, 2006, p. 4) sugere um checklist para governana de TI,
contendo um conjunto de 44 questes de diagnstico. Para cada uma
das questes existe uma extenso para: valor da prestao de TI,
alinhamento

estratgico

de

TI,

gerenciamento

de

risco

e/ou

desempenho. O questionrio contm trs subgrupos: assuntos de TI,


relao da gerncia com assuntos de TI e auto-avaliao da prtica de
governana de TI com relao diretoria e gerncia.

IT Governance Assessment Process (ITGAP) Model - Peterson


(2004 apud Holm; Khn; Viborg, 2006, p. 4-5) sugere um processo de
quatro estgios para avaliar governana de TI. Os estgios so:
descrio e avaliao dos valores impulsionadores da governana de
TI, descrio e avaliao da diferenciao da autoridade de tomada de
deciso de TI para o portflio de atividades de TI, descrio e
avaliao das capacidades de governana de TI e descrio e
avaliao da realizao de valor de TI.

Alm dos modelos apresentados acima, existem outros padres como o


BS (British Standard) 7799 e o ISO/IEC 27001, relativos segurana da informao,
o PMBOK (Project Management Body of Knowledge) base de conhecimento em
gesto de projeto, o Balanced Scorecard (BSC) relativo ao planejamento e
gesto da estratgia, o ISO/IEC 9001 e o conjunto de normas ISO/IEC 27000. Os
objetivos de cada um desses modelos, com base na obra de Fernandes; Abreu

59

(2006) e no Instituto de Educao Tecnolgica (IETEC) esto apresentados na


tabela 3.6 a seguir:
Tabela 3.7 - Alguns modelos aplicveis Governana de TI
Modelo

Descrio
Objetiva identificar o subconjunto do
conjunto de conhecimentos em
gerenciamento de projetos (PMI, 2004 apud
Fernandes, Abreu, 2006, p.205);

PMBOK

Fornece uma viso geral do conjunto de


conhecimentos (PMI, 2004 apud Fernandes,
Abreu, 2006, p.205);
No uma ferramenta de gerenciamento de
projetos.
A sua primeira parte deu origem ISO/IEC
17799

BS 7799
A sua segunda parte deu origem ISO/IEC
27001
Estabelece diretrizes para iniciar, manter e
melhorar a gesto da segurana da
informao em uma organizao;
Visa atender aos requisitos identificados
ISO/IEC 17799

atravs da anlise de risco;


Serve como guia para desenvolver
procedimentos de segurana da
informao e prticas eficientes de gesto
da segurana para a organizao.
Norma criada para estabelecer, implantar,
operar, monitorar, rever, manter e melhorar
um Sistema de Gesto da Segurana da

ISO/IEC 27001

Informao (ISMS);
Pode ser usada visando a avaliao da
conformidade por partes interessadas
internas e externas.

Balanced Scorecard (BSC)

um sistema de gesto estratgica;

60
Traduz a estratgia da empresa em termos
operacionais;
Alinha a organizao estratgia;
Transforma a estratgia em tarefas de
todos;
Converte a estratgia em processo
contnuo;
Mobiliza a mudana por meio da liderana
executiva.
Especifica requisitos para um sistema de
gesto de qualidade;
ISO/IEC 9001

Todos os seus requisitos so genricos;


Pode ser combinada com outros modelos.

BS 15000

Deu origem ISO/IEC 20000


Apresenta um conjunto de requisitos
certificveis para a gesto de servios em
TI;
Est alinhada s recomendaes previstas

ISO/IEC 20000

pelo ITIL;
Foi publicada em duas partes. A primeira
trata das especificaes e a segunda
aborda o cdigo de boas prticas para a
gesto de servios em TI.

Dentre os modelos apresentados, dois sero apresentados com detalhes


nos prximos captulos: o ITIL e o COBIT.

61

4 O COBIT - VERSO 4.0 2


Este captulo apresenta o modelo COBIT Control Objectives for
Information and Related Technology um padro internacional aberto, cuja proposta
reunir as melhores prticas para Governana, Segurana e Controle de TI. Sua
estrutura proporciona uma verificao dos processos de TI atravs da empresa,
podendo ser utilizado internamente e por auditorias internas e externas.
Este captulo no contm referncias, trata-se de um resumo do
documento COBIT 4.0 disponibilizado pelo ITGI (IT Governance Institute) em 2005.

4.1 O CRIADOR
O IT Governance Institute (ITGI) foi estabelecido em 1998 com o objetivo
de avanar os padres internacionais sobre gesto e controle da Tecnologia de
Informao de um empreendimento.
O ITGI (proprietrio do COBIT) projetou e criou a publicao COBIT
4.0, principalmente como um recurso educacional para profissionais da rea de TI,
administradores, diretores e profissionais que atuam com o controle de TI. O objetivo
era demonstrar a efetividade da governana de TI e como ela atua no suporte ao
negcio, aperfeioa o investimento empresarial na TI e administra adequadamente
riscos e oportunidades relacionadas TI.
O material no faz referncia a nenhum tipo de teste e seu autor no
garante um resultado prspero referente aplicao da metodologia, salienta ainda,
que a aplicao deve considerar o juzo do profissional de controle em avaliar as
particularidades do sistema ou ambiente de tecnologia em questo.

4.2 ORGANIZAO OS SEIS COMPONENTES DO COBIT


O COBIT est organizado em seis componentes:
2

Este captulo um resumo do documento COBIT 4.0 disponibilizado pelo ITGI, 2005.

62

Resumo executivo: Apresenta os conceitos e princpios chaves.

Estrutura: Base para a abordagem e para os elementos do


framework COBIT. Apresenta o modelo do processo e seus quatro
domnios.

Planejamento e organizao: domnio do COBIT onde so


definidos o plano estratgico, a arquitetura das informaes e a
estrutura de TI.

Aquisio e implementao: domnio do COBIT onde ocorre a


aquisio de softwares aplicativos, infra-estrutura tecnolgica e
recursos de TI.

Distribuio e suporte: domnio do COBIT onde so gerenciados:


nveis de servio, servios de terceiros, desempenho e capacidade,
atendimento aos clientes, problemas e incidentes, configuraes e
dados.

Monitorao

avaliao:

domnio

do

COBIT

onde

so

monitorados e avaliados o desempenho e os controles internos da


TI.

4.3 RESUMO EXECUTIVO


Segundo o IT Governance Institute (ITGI, 2005), para diversas
organizaes, a tecnologia de informao representa seu mais valioso, mas
freqentemente menos compreendido recurso.
Empreendimentos de sucesso reconhecem os benefcios de tecnologia de
informao e usam isto para dirigir seus negcios. Estas empresas tambm
entendem e administram os riscos associados TI, como a crescente necessidade
de medidas regulatrias e de conformidade e a dependncia crtica de muitos
processos em relao TI.

63

A necessidade de garantia sobre o valor da TI, a administrao dos riscos


com ela relacionados e as exigncias crescentes de prticas de controle sobre a
informao, so atualmente compreendidas como elementos-chaves de governana
empresarial. Valor, risco e controle constituem o ncleo da governana de TI.
Governana de TI responsabilidade dos executivos e diretores,
necessitando de liderana, estrutura organizacional e processos que garantam que a
TI da organizao suporte as estratgias organizacionais e objetivos.
O objetivo da governana de TI integrar e institucionalizar as prticas
que garantam que a empresa suporta os objetivos do negcio.
A governana da TI habilita a empresa a obter o mximo dos benefcios
de suas informaes, criando oportunidades e ganhando vantagem competitiva.
Para atingir estes objetivos necessrio um framework para controlar a TI, que
satisfaa e suporte o Committee of Sponsoring Organisations of the Treadway
Commission (COSO) Internal Control Integrated Framework,o mais amplamente
aceito framework de controle para governana empresarial e gerenciamento de
risco.
Organizaes necessitam satisfazer os requisitos de qualidade, confiana
e segurana de suas informaes. O gerenciamento pode otimizar o uso dos
recursos de TI disponveis, incluindo aplicaes, informaes, infra-estrutura e
pessoal. Para atingir estes objetivos, o gerenciamento ajuda a compreender a
arquitetura da empresa e como a governana e o controle podem contribuir para a
TI.
O Control Objectives for Information and related Technology (COBIT)
prov um conjunto de boas prticas atravs de um framework composto de domnios
e processos, apresentando atividades dispostas em uma estrutura manejvel e
lgica. O COBIT prov um modelo de processo genrico que representa todos os
processos freqentemente encontrados nas atividades de TI, disponibilizando um
modelo de referncia compreensvel para gerentes operacionais de TI e de
negcios. As boas prticas do COBIT representam o consenso de peritos.
O framework fortemente focado em controle e menos em execuo.
Suas prticas ajudam a aperfeioar os investimentos em TI, assegurar a prestao

64

de servios e prover uma medida para avaliar quando algo no est sendo feito
como deveria. Para obter xito em suas metas e estar de acordo com as exigncias
empresariais, a administrao necessita adotar um sistema de controle interno ou
framework para TI.
O framework de controle COBIT contribui para estas necessidades
fornecendo:
Um mecanismo para alinhar a TI com os objetivos do negcio.
Organizar as atividades da TI em um modelo de processo amplamente
aceito.
Identificar os melhores investimentos em recursos de TI.
Definir os objetivos de controle que a administrao deve considerar.
A orientao empresarial do COBIT consiste em unir os objetivos do
negcio (metas da empresa) com os objetivos da TI e prov mtricas e modelos de
maturidade para avaliar a satisfao o cumprimento de tais objetivos, identificando
as responsabilidades associadas aos processos.
A estrutura do COBIT organizada em um modelo de processo que
subdivide a TI em 34 processos alinhados com a responsabilidade das reas de
planejamento, construo, execuo e monitoramento (auditoria), provendo uma
viso fim-a-fim da TI.
Em resumo, para prover a informao que a empresa precisa para atingir
seus objetivos, os recursos de TI precisam ser administrados por um conjunto de
processos naturalmente agrupados.
A questo como uma empresa aplica um controle rigoroso sobre sua TI
e ainda garante a prestao de servios e cumprimento dos prazos que o
empreendimento requer? Como gerenciar os riscos e a segurana da TI? Como
assegurar que a TI alcana seus objetivos e apia o negcio?
Inicialmente, a administrao precisa de objetivos de controle que
definam como metas a implementao de polticas, procedimentos, prticas e
estruturas organizacionais que ofeream uma garantia razovel de:

65

que os objetivos do negcio esto sendo satisfeitos;

que eventos indesejados (sinistros) esto sendo prevenidos,


detectados e corrigidos com eficincia e eficcia.

Posteriormente, diante da complexidade dos ambientes atuais, a gerncia


busca continuamente por informao condensada e oportuna, que possibilite a
tomada rpida de decises difceis, que envolvam risco, e controlar situaes
inesperadas com sucesso. O que necessita ser avaliado e como? As empresas
necessitam de uma forma de avaliar seu estado atual e quais os objetivos a serem
alcanados. Necessitam ainda, implementar uma ferramenta de gerenciamento para
monitorar as melhorias pretendidas.
A Figura 4.1 mostra algumas questes tradicionais e as ferramentas de
informao utilizadas para respond-las, mas para isso necessrio que seja feito
um levantamento, utilizando indicadores e medidas de comparao.

Figura 4.12 Gerenciamento da Informao (IT Governance Institute, Information Systems


Audit and Control Foundation, COBIT 4.0, 2005).

Uma resposta para estas exigncias de determinar e monitorar os


controles apropriados de TI e nveis de desempenho so as definies especficas
do COBIT para:

66

Benchmarking da capacidade dos processos de TI, expressos como


modelos de maturidade, derivados do Software Engineering
Institutes Capability Maturity Model (CMMI).
Metas e mtricas para os processos de TI, para definir e medir o
resultado e o desempenho, baseados nos princpios de Robert
Kaplan e David Norton balanced business scorecard.
Metas das atividades para manter estes processos sob controle,
baseadas nos objetivos de controle detalhados do COBIT.
A avaliao dos processos baseada no modelo de maturidade do COBIT
parte fundamental na implantao da governana de TI. Depois de identificados os
processos e controles crticos, possvel atravs de uma anlise de gap,
demonstrar os nveis de maturidade desejados e identifica-los para posterior
gerenciamento. Em uma prxima etapa, podem ser desenvolvidos planos de ao
para trazer estes processos at o nvel de maturidade desejado.
Assim, o COBIT apia a governana de TI, provendo um framework que
assegura que:
a TI esteja alinhada ao negcio;
a TI contribui para o negcio e maximiza benefcios;
os recursos da TI so utilizados com responsabilidade;
os riscos envolvidos na TI so administrados adequadamente.
A medida de desempenho essencial para a governana de TI. Ela
suportada pelo COBIT, que inclui ainda ferramentas para monitorar os objetivos de
controle, apontando o que os processos de TI devem entregar (produto final dos
processos) e como estes servios esto sendo entregues (maturidade dos
processos e desempenho).
Muitas pesquisas identificaram que a falta de transparncia dos custos da
TI, de seu valor e de seus riscos so um dos grandes objetivos da governana de TI.
A transparncia alcanada principalmente pela medida de desempenho. A Figura
4.2 destaca as reas foco da governana de TI.

67

Figura 4.13 reas foco da governana de TI (IT Governance Institute, Information


Systems Audit and Control Foundation, COBIT 4.0, 2005).

Estas reas focadas pela governana de TI, descrevem os tpicos que a


gerncia executiva precisa dirigir para governar a TI em sua empresa.
A gerncia operacional usa processos para organizar e administrar as
atividades da TI continuamente. O COBIT prov um modelo genrico que representa
todos os processos normalmente encontrados na TI e funciona como um modelo de
referncia comum, compreensvel para gerentes operacionais de TI e gerentes de
negcio. O modelo de processos do COBIT foi mapeado para as reas-foco da
governana de TI, provendo uma ponte entre o que os gerentes operacionais
precisam executar e o que os executivos desejam governar.
Para alcanar a governana efetivamente, os executivos esperam
controles que possam ser implementados por gerentes operacionais dentro de um
framework de controle definido para todos os processos de TI. Os objetivos de
controle do COBIT so organizados por processos da TI; ento, o framework prov
uma relao entre as exigncias da governana de TI, os processos da TI e os
controles da TI.
O enfoque do COBIT no que exigido alcanar uma administrao
adequada e um controle satisfatrio para o ambiente de TI; e posicionado em um
alto nvel. O COBIT tem sido alinhado e utilizado com outros frameworks e guias

68

mais detalhados de melhores prticas de TI. O COBIT atua como um integrador


destes guias diferenciados, sintetizando objetivos-chave que unem governana e as
exigncias do negcio.
O COSO (e frameworks semelhantes) geralmente aceito como o
frameworks de controle interno para as organizaes. O COBIT framework mais
aceito de controle interno para TI.
Os componentes do COBIT foram organizados em trs nveis, destinados
para apoiar:

A gerncia executiva.

O gerenciamento do negcio e da TI.

A governana, confiabilidade e profissionais de controle, auditoria e


segurana.

O principal interesse dos executivos entender porque a governana de


TI importante, quais so seus principais tpicos e qual a responsabilidade
envolvida em administr-la. O principal interesse dos responsveis em gerenciar o
negcio e a TI satisfeito pelas Diretrizes de Gerenciamento (Management
Guidelines), que foi integrado quarta verso do livro do COBIT. Trata-se de uma
ferramenta para auxiliar nas definies de responsabilidades, avaliao de
desempenho e benchmarks para verificao do nvel de maturidade dos processos.
As diretrizes ajudam a prover respostas para as questes tpicas de administrao:
Quanto devemos nos aprofundar nos controles de TI e o benefcio justifica o custo?
Quais so os indicadores de bom desempenho? Quais so as prticas chaves de
administrao que devemos aplicar? Como outras organizaes lidam com isso?
Como medir e comparar?
O principal interesse para a governana, confiabilidade e profissionais de
controle, segurana e auditoria concentram-se no framework (como o COBIT
organiza os objetivos da governana de TI e melhores prticas em domnios e
processos, estabelecendo vnculos com as exigncias empresariais), nos objetivos
de controle e no modelo de maturidade.

69

Todos os componentes do COBIT se relacionam e provem apoio


governana, administrao, controle e auditoria, que segundo os autores constituem
o pblico alvo da metodologia, como apresentado na Figura 4.3.

Figura 4.14 Inter-relacionamento entre os componentes do COBIT (IT Governance


Institute, Information Systems Audit and Control Foundation, COBIT 4.0, 2005).

O COBIT um framework que disponibiliza aos gerentes um guia para


administrar as exigncias de controle, os assuntos tcnicos e os riscos empresariais
e ainda reportar estes nveis de controle aos interessados (investidores, diretores e
afins). O COBIT habilita o desenvolvimento de uma poltica clara e boas prticas
para TI compatvel com outros padres.
Conseqentemente, o COBIT se tornou o integrador das melhores
prticas para governana de TI, ajudando a entender e administrar os riscos e
benefcios associados TI. A estrutura de processos do COBIT e seu alto-nvel
orientado ao negcio, provem uma viso fim-a-fim da TI.
Os benefcios de implementar o COBIT como um framework de
governana de TI incluem:

Melhor alinhamento, baseado em um enfoque empresarial.

70

Uma viso, compreensvel para a administrao, do que a TI


faz.

Esclarecimento das definies de responsabilidades, baseado


em orientao a processo.

Bom nvel de aceitabilidade entre rgos reguladores.

Fornecimento de informao em linguagem clara para os


investidores.

Satisfao das exigncias do COSO para os controles no


ambiente de TI.

4.4 O FRAMEWORK COBIT

4.4.1 POR QUE ADOTAR UM FRAMEWORK


Crescentemente, os administradores esto observando o impacto
significante que a informao pode causar no sucesso do empreendimento.
importante para a administrao das empresas compreender como a TI
est sendo gerenciada e como obter vantagens competitivas sobre seus recursos
tecnolgicos. Em particular, a alta administrao precisa saber se a TI est sendo
administrada de forma que:
Contribua para os objetivos da empresa.
Evolua e adapte-se s necessidades da organizao.
Os riscos enfrentados sejam criteriosamente gerenciados.
Oportunidades sejam identificadas e aproveitadas.
Empreendimentos prsperos entendem os riscos e exploram os
benefcios da TI, encontrando modos para:

71

Alinhar a estratgia da TI com a estratgia empresarial.


Prover estruturas organizacionais que facilitem a implementao de
estratgias e metas da empresa.
Criar relaes construtivas e comunicao efetiva entre o negcio, a
TI e scios externos.
Medir o desempenho da TI.
Os autores do ITGI afirmam que as empresas no podem lidar
efetivamente com os requisitos de governana coorporativa sem adotar e
implementar um framework de governana para a TI que:
Faa um vnculo com as exigncias empresariais.
Faa o desempenho diante destas exigncias ser transparente.
Organize suas atividades em um modelo de processo largamente aceito.
Identifique os principais recursos a serem empregados.
Defina os objetivos de controle gerenciais a serem considerados.
Alm disso, os frameworks de governana e controle esto se tornando
parte importante das melhores prticas de gerenciamento de TI e so facilitadores
da consolidao da governana de TI e do atendimento das crescentes exigncias
dos rgos reguladores e de controle.
As melhores prticas de TI ganharam significativa importncia devido a
vrios fatores:

Gerentes

de

negcio

esperam

melhores

retornos

dos

investimentos em TI e garantias de que a TI atende s


exigncias do negcio.

O nvel crescente do custo de investimentos em TI revela-se um


fator importante a ser considerado.

72

A necessidade de satisfazer as exigncias dos rgos


reguladores para os controles no ambiente de TI, principalmente
em questes como sigilo e relatrios financeiros (por exemplo,
as leis Sarbanes-Oxley e Basilia II3 e rgos fiscalizadores
como o Banco Central e a Controladoria Geral da Unio no
Brasil).

A seleo de fornecedores de servio e a administrao da


terceirizao de servio e aquisio de produtos.

O crescente risco relacionado com a TI como segurana em


redes.

As iniciativas de governana de TI, que incluem a adoo de


frameworks de controle e melhores prticas para ajudar a
monitorar e melhorar as atividades crticas da TI e aumentar o
valor dos investimentos, reduzindo os riscos.

A necessidade de reduzir os custos aplicando, quando possvel,


prticas j testadas e adotadas com sucesso em outras
organizaes.

maturidade

crescente

aceitao

conseqente

de

frameworks mundialmente aceitos como COBIT, ITIL, ISO


17799, ISO 9001, CMM e PMBok.

A necessidade de compreender como a empresa se comporta


diante dos padres geralmente aceitos e diante de seus prprios
padres j estabelecidos (benchmarking)

4.4.2 A QUEM SE DESTINA O FRAMEWORK


Um framework de controle e governana de TI, segundo o ITGI, destinase investidores internos e externos e a todos os profissionais envolvidos com
questes como:

Acordo que estipula requisitos de capital mnimo para as instituies financeiras.

73

Obter o mximo retorno sobre os investimentos em TI: profissionais


que tomam decises sobre os investimentos, que decidem sobre os
requisitos, que utilizam os servios da TI.
Disponibilizao de servios: profissionais que gerenciam a
organizao e os processos da TI, desenvolvedores e operadores
de servio.
Responsabilidade de controle dos riscos: profissionais com
responsabilidades sobre sigilo, segurana e/ou risco, que executam
atividades de compliance ou ainda que utilizam ou disponibilizam
servios que requerem alto grau de confiabilidade.
4.4.3 FOCADO NO NEGCIO
Para satisfazer as necessidades descritas anteriormente, o COBIT foi
elaborado de forma a ser focado ao negcio, orientado ao processo, baseado em
controles e direcionado medio.
O enfoque no negcio o principal tema do COBIT, pois foi projetado
para ser utilizado em qualquer organizao e no somente por fornecedores,
usurios e auditores de TI. O COBIT baseado no princpio de prover a informao
que a empresa requer para alcanar seus objetivos, e na necessidade da empresa
em gerenciar e controlar os recursos de TI usando um conjunto estruturado de
processos para prestar os servios de informao requeridos. Na Figura 4.4 podemse observar os princpios bsicos do COBIT.

74

Figura 4.15 Princpio bsico do COBIT (IT Governance Institute, Information Systems
Audit and Control Foundation, COBIT 4.0, 2005).

COBIT

fornece

ferramentas

para

auxiliar

alinhamento

necessidades do negcio, conforme pode ser observado na Tabela 4.1.


Tabela 4.8 - Ferramentas fornecidas pelo COBIT para alinhamento ao negcio
Ferramenta do COBIT

Descrio

Para satisfazer os objetivos do negcio, as informaes


precisam de critrios de controle, aos quais o COBIT se refere
como requerimentos do negcio relativos informao.
Baseados em requerimentos de segurana, qualidade e
confiabilidade, so sete os critrios de informao: Efetividade,

Critrios de Informao

Eficincia, Confidencialidade, Integridade, Disponibilidade,


Conformidade e Confiabilidade.

Fornece um mtodo genrico para definir os requisitos do


negcio.

Objetivos de Negcio e TI

Prov uma base mais relacionada ao negcio e mais refinada


para estabelecer os requerimentos do negcio e desenvolver
as mtricas que permitem avaliar o alcance dos objetivos.

Muitas empresas utilizam a TI para viabilizar o alcance de suas


metas e isto pode ser representado como os objetivos da TI,
os quais devem direcionar a arquitetura de TI da empresa. O
COBIT disponibiliza em sua 4 edio disponibiliza uma matriz
de objetivos genricos do negcio e da TI e o relacionamento
destes com os critrios de informao.

75

A Figura 4.6 ilustra o relacionamento entre os objetivos do


negcio e da TI.

Para responder s exigncias do negcio para a TI, a empresa


necessita investir nos recursos requeridos para criar uma
potencialidade tcnica adequada para suportar uma
potencialidade do negcio, com o objetivo de alcanar o

Recursos de TI

resultado desejado.

Os recursos identificados no COBIT so: Aplicaes,


Informao, Infra-estrutura e Pessoal.

O COBIT define as atividades de TI em um modelo genrico de processo,


composto de quatro domnios: Planejamento e Organizao (PO), Aquisio e
Implementao (AI), Prestao e Suporte (DS), e Monitoramento e Avaliao (ME).
Estes domnios esto detalhados na Tabela 4.2 e podem ser mapeados
respectivamente para as tradicionais reas de responsabilidade de TI: Planejamento,
Construo, Execuo e Monitoramento. Incorporar um modelo operacional e uma
linguagem comum para todas as partes do negcio envolvidas com a TI, uma das
etapas mais importantes para atingir a boa governana.
Tabela 4.9 - Domnios do COBIT
Domnio

Descrio

Cobre aspectos estratgicos e tticos organizacionais;

Identifica a melhor forma atravs da qual a TI possa contribuir


para o alcance dos objetivos do negcio;

A realizao da viso estratgica precisa ser planejada,


comunicada e gerenciada por diferentes perspectivas;

Planejamento e

Organizao (PO)

Este domnio preocupa-se com questes de gerenciamento


como:

A TI e o negcio esto estrategicamente alinhados? A empresa


est maximizando o uso de seus recursos? As pessoas
compreendem os objetivos da TI? Os riscos so
compreendidos e gerenciados de forma apropriada? A
qualidade dos sistemas est de acordo com a necessidade dos
negcios?

76

Para realizar a estratgia da TI, solues de TI precisam ser


identificadas, desenvolvidas ou adquiridas, como tambm
implementadas e integradas ao processo do negcio;

Modificaes e manuteno de sistemas existentes so


cobertas neste domnio, para que continuem alinhados aos
objetivos do negcio.

Aquisio e
Implementao (AI)

Este domnio preocupa-se com questes de gerenciamento


como:

Os novos projetos esto aptos prover as solues que o


negcio requer no prazo e sem falhas? Os novos sistemas
implementados esto operando apropriadamente quando
implementados?

Focado na prestao dos servio requeridos, incluindo:


prestao do servio, gerenciamento de segurana e
continuidade do negcio, suporte aos usurios, e
gerenciamento de dados e estruturas operacionais.

Prestao e Suporte (DS)

Este domnio preocupa-se com questes de gerenciamento


como:

Os servios de TI esto sendo entregues de acordo com as


prioridades do negcio? Os custos da TI esto otimizados? A
mo-de-obra est apta a utilizar os sistemas produtivamente e
com segurana? A integridade, confidencialidade e
disponibilidade dos dados est de acordo?

Os processos de TI precisam ser regularmente testados para


garantir sua qualidade e conformidade com os requerimentos
de controle. Este domnio trata do gerenciamento de
desempenho, monitoramento de controles internos,
conformidade com as regulamentaes e provimento de
governana em TI.

Monitoramento e
Avaliao (ME)

Este domnio preocupa-se com questes de gerenciamento


como:

A TI est preparada para identificar os problemas em tempo


hbil? O gerenciamento assegura que os controles internos so
efetivos e eficientes? O risco, controle, conformidade e
performance so monitorados e reportados?

77

4.4.5 BASEADO EM CONTROLES


O controle definido como sendo polticas, procedimentos, prticas e
estruturas organizacionais projetadas para prover uma seguridade razovel de que
os objetivos de negcio sero alcanados e que eventos indesejveis sero
prevenidos ou detectados e corrigidos de forma adequada.
Um objetivo de controle de TI uma frase que representa o desejo de um
resultado ou propsito que se espera atingir atravs da implementao dos
procedimentos de controle em uma atividade particular de TI. Os objetivos de
controle de TI do COBIT so o mnimo requerido para um controle efetivo de cada
processo de TI.
O COBIT apresenta um modelo de processo genrico que representa
todos os processos normalmente encontrados em funes de TI, provendo um
modelo de referncia comum compreensvel por gerentes operacionais de TI e de
negcio. O COBIT organiza os controles de TI em processos e o framework permite
uma ligao direta entre os requerimentos de governana de TI, os processos de TI
e os controles de TI. Cada processo de TI possui um objetivo de controle de alto
nvel e um nmero de objetivos de controle detalhados. Como um todo, representam
as caractersticas de um processo bem gerenciado.
Cada processo do COBIT possui requerimentos de controle genricos,
tais como: proprietrio do processo, repetitividade, metas e objetivos, papis e
responsabilidades, desempenho do processo, e polticas, planos e procedimentos.
Controles efetivos reduzem o risco e aumentam a eficincia dos
processos, pois havero menos erros e um gerenciamento mais consistente.
Alm disso, o COBIT apresenta exemplos ilustrativos de entradas e
sadas genricas dos processos, atividades e guia em papis e responsabilidades
atravs de um grfico RACI (que estabelece quem o responsvel , quem autoriza
e direciona e quem deve ser informado e consultado em cada processo) metas
chave das atividades e mtricas.

78

O sistema de controles internos da organizao impacta a TI em trs


nveis, conforme demonstrado na Tabela 4.3.
Tabela 4.10 - Impactos do Sistema de Controles Internos da Organizao na TI
Nvel

Descrio

Objetivos de negcio so definidos, polticas so estabelecidas e


decises so tomadas de como implantar e gerenciar os recursos da
empresa para executar sua estratgia;

Gerncia Executiva

A abordagem geral, de governana e de controle, estabelecida pela


diretoria e informada para a empresa;

O ambiente de controle da TI dirigido por este conjunto de objetivos


e polticas de alto nvel.

Controles aplicados atividades especficas de negcio;

Maior parte dos controles e aplicaes deste nvel so


automatizados;

Nvel de Processos

Os controles so conhecidos como controles de aplicao e alguns,


como autorizao de transaes, permanecem manuais;

do Negcio

Os controles neste nvel so uma combinao de controles manuais,


de negcio e automatizados por aplicaes e existe responsabilidade
do negcio em definir e gerenciar os controles. Os controles de
aplicaes requerem o suporte da TI para projeto e desenvolvimento.

Para suportar os processos do negcio a TI prov os servios de TI,


usualmente como servios compartilhados por vrios processos de
negcio;

Suporte de
Processos de
Negcio

Os controles aplicados para todos os servios de TI so conhecidos


como controles gerais de TI e a operao confivel desses controles
gerais necessria para a dependncia ser colocada nos controles
de aplicao.

Controles gerais so controles aplicados aos processos e servios de TI,


tais como: desenvolvimento de aplicao, gerenciamento de mudanas, segurana e
operao de computadores. Existem ainda, os controles de aplicao como:
completitude, exatido, validade, autorizao e segregao de funes.

79

O COBIT assume como responsabilidade da TI projetar e implementar


controles de aplicao automatizados, sendo cobertos no domnio de Aquisio e
Implementao. O gerenciamento operacional e o controle so tarefas do
responsvel pelo processo. O COBIT trata de controles gerais de TI, uma vez que
controles de aplicao so integrados aos processos do negcio.
Alguns objetivos de controle de aplicao recomendados so: origem de
dados e controles de autorizao, controles da entrada de dados, controles do
processamento de dados, controles da sada de dados e controles de segurana de
dados.

4.4.6 DIRECIONADO MEDIO


Uma necessidade bsica para qualquer empresa compreender e
posicionar-se sobre seus sistemas de TI e decidir qual nvel de gerenciamento e
controle aplicar. Para decidir o nvel de maturidade em que se encontram seus
processos de TI, os gerentes precisam avaliar quanto de controle necessitam aplicar
e se o benefcio obtido justifica os custos. O COBIT prov trs ferramentas para
auxiliar neste processo de anlise: modelos de maturidade, metas de
desempenho e mtricas para o processo de TI, e metas de atividades.
Partindo dos processos do COBIT e dos objetivos de controle de alto
nvel, o responsvel por um processo deve poder aperfeio-lo, de forma a alcanar
o controle pretendido. Os modelos de maturidade o auxiliam em trs questes
bsicas: definir o estado atual do processo, definir de forma eficiente onde pretendese chegar e uma forma de medir o progresso em busca deste objetivo.
Os modelos de maturidade e controle sobre os processos de TI so
baseados em um mtodo de avaliar a organizao, desde o nvel de no existncia
(0) at otimizado (5). O objetivo dessas avaliaes verificar onde se encontram os
problemas e definir as prioridades para aperfeioamento. O propsito no avaliar o
nvel de aderncia aos objetivos de controle.

80

Os nveis de maturidade foram projetados como perfis de processos de


TI, onde a empresa reconheceria como descries de possveis estados atuais e
futuros. No um modelo de limiares, onde devem ser cumpridos todos os
requisitos de um nvel inferior para se poderem cumprir os do nvel superior. Usando
o modelo de maturidade desenvolvido para os 34 processos de TI, a gerncia pode
identificar: o desempenho atual, o status atual do cenrio (comparao) e o alvo da
empresa para aperfeioamento. O ranking utilizado nesta avaliao est
apresentado na Figura 4.5.
I nexistente
0

I nicial

Repetitivo

Definido

Administrado

Otimizado

Situao atual da organizao

Melhores prticas

Padro de mercado

Estratgia da organizao

0 Inexistente
1 Inicial
organizados
2 Repetitivo
3 Definido
4 Gerenciado
5 Otimizado
automatizadas

- No so aplicados processos de gesto

Os

processos

so

eventuais

(ad

hoc)

no

- Os processos seguem um padro regular


- Os processos esto documentados e divulgados
- Os processos so monitorados e mensurados
As
melhores
prticas
so
seguidas

Figura 4.16 - Representao Grfica do Modelo de Maturidade.(Adaptado de: IT


Governance Institute, Information Systems Audit and Control Foundation, COBIT 4.0, 2005).

O desenvolvimento dos nveis de cada processo foi baseado em um


modelo de maturidade genrico, como apresentado na Tabela 4.4.
Tabela 4.11 - Modelo Genrico de Maturidade
Nvel

0 No Existente

Descrio

Completa falta de qualquer processo reconhecvel;

A empresa nem reconheceu que existe a necessidade de se


gerenciar tal processo.

1 Inicial

Existe evidncia de que a empresa reconheceu a necessidade de

81
gerenciamento do processo;

Entretanto, no existem ainda processos padronizados, e


somente, abordagens ad hoc esto sendo aplicadas em casos
individuais;

No geral, a abordagem de gerenciamento est desorganizada.

Procedimentos similares so seguidos por diferentes pessoas


para a execuo de uma mesma tarefa;

2 Repetitivo

No h treinamento formal ou procedimentos formalizados de


comunicao, a responsabilidade individual;

Existe grande dependncia dos conhecimentos individuais e,


logo, erros so comuns.

Procedimentos so padronizados e documentados, e


comunicados atravs de treinamento;

3 Definido

deixado para as pessoas seguirem esses processos, tornando


difcil detectar os desvios;

Os procedimentos no so sofisticados, mas a formalizao


refere-se prticas existentes.

possvel monitorar e medir a concordncia com os


procedimentos e tomar medidas prudentes quando os processos
parecem no estar trabalhando efetivamente;

4 Gerenciado

Processos esto em constante melhoramento e provem boas


prticas;

Automao e ferramentas so usadas de forma limitada ou


fragmentada.

Os processos foram refinados a um nvel de melhores prticas,


baseados em resultados de melhoramento contnuo e
modelagem de maturidade com outras empresas,

5 Otimizado

A TI usada de forma integrada para automatizar o fluxo de


trabalho, provendo ferramentas para melhorar a qualidade e
efetividade, tornando a empresa rpida em adaptaes.

A vantagem de uma abordagem de modelo de maturidade que se torna


relativamente fcil para a gerncia localizar o status atual na escala e avaliar os

82

recursos envolvidos, caso determinado melhoramento de desempenho seja


requerido. A escala de zero a cinco usada para mostrar como um processo pode
evoluir da inexistncia at a otimizao.
O gerenciamento da capacidade de um processo no o mesmo que o
desempenho do processo. A capacidade requerida, como determinada pelas metas
do negcio e TI, pode no ser necessariamente aplicada no mesmo nvel em todo o
ambiente de TI da organizao. A avaliao de desempenho essencial para
determinar qual o desempenho atual da organizao em seus processos de TI.
Enquanto uma capacidade propriamente aplicada reduz os riscos, a empresa ainda
precisa os controles necessrios para garantir que os riscos so mitigados e o valor
obtido, alinhado com as necessidades do negcio.
Capacidade, desempenho e controle so as dimenses da maturidade de
um processo. O modelo de maturidade uma forma de mensurar quo bem
desenvolvidos os processos esto, mas quanto ainda precisam ser desenvolvidos
depende da estratgia da empresa e das necessidades do negcio.
O modelo do COBIT foca em capacidades, e no necessariamente em
desempenho. Os nveis foram projetados para serem sempre aplicveis, provendo
uma descrio onde uma empresa pode reconhecer como melhor se adequariam
aos seus processos. O nvel correto se define devido ao tipo de empresa, seu
ambiente e sua estratgia. O desempenho, ou como uma capacidade usada e
implantada, baseado em decises de custo-benefcio. Quanto maior o nvel de
maturidade, maior o controle sobre o processo. Os mecanismos de controle so
baseados nos objetivos de controle do COBIT e focados no que deve ser realizado
no processo, enquanto o modelo de maturidade se preocupa mais em quo bem o
processo gerenciado. Um ambiente de controle propriamente implementado
alcanado quando os trs aspectos da maturidade (capacidade, desempenho e
controle) so mapeados. Melhorar a maturidade reduz riscos e melhora a eficincia,
leva a menos erros, processos mais previsveis e ao uso dos recursos de forma mais
eficiente em relao ao custo. As metas e mtricas de performance so definidas
pelo COBIT em trs nveis: mtricas e objetivos da TI (definem as expectativas do
negcio em relao a TI), metas e mtricas de processo (definem que servios os

83

processos de TI devem prover para suportar os objetivos da TI) e mtricas de


desempenho (para medir o quo bem os processos so executados).
O COBIT utiliza dois tipos de mtricas: indicadores de metas e de
desempenho. Indicadores de metas de um nvel inferior se tornam indicadores de
desempenho em um nvel superior. Os Key Goal Indicators (KGI) ou Indicadores
de metas chave - definem medidas para avaliar o processo quanto ao alcance dos
seus requerimentos do negcio, sendo expressos usualmente em termos de critrios
de informao como: disponibilidade de informao, controle dos riscos de
integridade e sigilo, custo e eficincia dos processos e operaes, efetividade e
conformidade.
Os indicadores de desempenho chave definem mtricas para se medir
quo bem um processo est sendo executado para viabilizar o alcance de uma
meta.
A Figura 4.6 ilustra o relacionamento entre processos, objetivos da TI e do
negcio e mtricas. As metas so definidas de cima para baixo, naqueles objetivos
de negcio que determinaro um certo nmero de objetivos de TI para suport-los.
Os objetivos da TI decidiro os diferentes objetivos de processos necessrios e cada
objetivo de processo demandar certos objetivos de atividades. O alcance de
objetivos medido por metas chamadas key goal indicators ou KGIs, que
direcionam os objetivos de nvel superior. A performance verificada pelas mtricas
chamadas key performance indicators (KPI). As mtricas permitem gerncia
corrigir o desempenho e o realinhamento do processo com os objetivos.

84

Figura 4.17 - Relacionamento entre processos, objetivos e mtricas (IT Governance


Institute, Information Systems Audit and Control Foundation, COBIT 4.0, 2005).

4.5 A ESTRUTURA DO FRAMEWORK DO COBIT


O framework do COBIT une os requerimentos do negcio por informao
e governana com os objetivos das funes de TI. O modelo de processo permite
que atividades de TI e os recursos que as suportam sejam propriamente
gerenciados e controlados baseado nos objetivos de controle do COBIT, e alinhadas
e monitoradas usando as mtricas KGI e KPI, conforme ilustrado na Figura 4.7.

85

Figura 4.18 Gerenciamento, Controle, Alinhamento e Monitoramento do COBIT (Adaptado


de: IT Governance Institute, Information Systems Audit and Control Foundation, COBIT 4.0,
2005).

Resumindo, os recursos de TI so gerenciados por processos de TI para


alcanarem metas de TI que respondam aos objetivos do negcio. Este o princpio
bsico do framework COBIT, que representado pelo cubo COBIT, como mostrado
na Figura 4.8.

86

Figura 4.19 O Cubo do COBIT (Adaptado de: IT Governance Institute, Information


Systems Audit and Control Foundation, COBIT 4.0, 2005).

Em detalhes, o COBIT pode ser demonstrado graficamente como na


Figura 4.9, com um modelo de processo composto de 4 domnios, contendo 34
processos genricos, gerenciando os recursos de TI para prestar informao ao
Objetivos do Negcio

negcio, de acordo com os requerimentos de governana e com as necessidades do


negcio.

Informao
PO1 Definir Plano de Alinhamento
Efetividade
Estratgico.
Eficincia
Figura 4.20 O Framework do Modelo COBIT (Adaptado de:
IT Governance
PO2 Definir
a Arquitetura de Institute,
Confidencialidade
Informao.
Information Systems Audit and Control Foundation,
IntegridadeCOBIT 4.0, 2005).
PO3 Determinar Direo Tecnolgica.
ME1 Monitorar e Avaliar Desempenho de TI.
Disponibilidade
PO4 Definir os Processos de TI,
ME2 Monitorar e Avaliar Controle Interno.
Concordncia
Organizao e Relaes
ME3 Garantir Concordncia com Regulamentao.
Confiabilidade
PO5 Gerenciar os Investimentos em TI.
ME4 Prover Governncia em TI.

Processos e Domnios do COBIT

Governana de TI

4.6 OS Monitoramento
DOMNIOS
DO COBIT
e
Avaliao

Recursos de TI
Aplicaes

PO6 Comunicar a Gerncia e a Direo.


PO7 Gerenciar os Recursos Humanos
de TI.
PO8 Gerenciar Qualidade.
PO9 Avaliar e Gerenciar Riscos de TI.
PO10 Gerenciar Projetos.

Informao
Os quatro domnios do COBIT,
descritos na Tabela 4.2, abordam
Infra-Estrutura

Pessoal
dimenses detalhadas em
34 processos (objetivos
de controle de alto nvel) e estes,
Prestao e
Planejamento e

Suporte

possuem 318 objetivos de controle que permitem uma viso ampla


sobre o que
Organizao
DS1 Definir e Gerenciar Nveis de Servio.

DS2 Gerenciar da
Servios
de Terceiros.
requerido
rea
de TI em suas atividades para suportar os objetivos do negcio e
DS3 Gerenciar Desempenho e Capacidade.
DS4 Garantir Servio Contnuo.
DS5 Garantir Segurana de Sistemas.
DS6 Identificar e Alocar Custos.
DS7 Educar e Treinar Usurios.
DS8 Gerenciar Servio de Atendimento e Incidentes.
DS9 Gerenciar a Configurao.
DS10 Gerenciar Problemas.
DS11 Gerenciar Dados.
DS12 Gerenciar o Ambiente Fsico.
DS13 Gerenciar Operaes.

e de TI. Cada domnio e seus


mitigar os riscos, fazendo uso adequado dosAquisio
recursos
Implementao

AI1 Identificar Solues Automatizadas.


AI2 Adquirir e Manter Software Aplicativo.
AI3 Adquirir e Manter Infra-Estrutura Tecnolgica.
AI4 Promover Operao e Uso.
AI5 Obter Recursos de TI.
AI6 Gerenciar Mudanas.

87

respectivos processos atingem, de forma primria ou secundria, os critrios de


informao e utilizam determinados recursos, conforme descrito na Figura 4.10.
Para cada um dos 34 processos o COBIT fornece, alm dos objetivos de
controle, os fatores crticos de sucesso, os indicadores de resultado e os indicadores
de performance, permitindo uma abordagem ampla sobre o que se espera do
processo, como se medem os resultados esperados e como se avalia a
performance.

Domino

Processo

Planejamento e PO1 Definir um plano


Organizao

estratgico de TI
PO2 Definir a arquitetura

das informaes
PO3 Determinar a direo
tecnolgica
PO4 Definir a estrutura e o
relacionamento de TI
PO5 Gerenciar o

investimento em TI
PO6 Divulgar os objetivos

e a orientao da
gerncia
PO7 Gerenciar os recursos P

humanos
PO8 Gerenciar qualidade

PO9 Avaliar os riscos

PO

Gerenciar os projetos

Informaes

Infra-estrutura de TI

Aplicaes

Pessoas

Recursos de TI
Envolvidos

Confiabilidade

Conformidade

Disponibilidade

Integridade

Confidencialidade

Eficincia

Efetividade

Critrios de Informao
Envolvidos

88
10
PO

Gerenciar a qualidade P

11
Aquisio
Implementao

Identificar solues
AI1
AI2

automatizadas
Adquirir e prestar

manuteno em
softwares aplicativos
AI3

Adquirir e realizar

manuteno na infraestrutura tecnolgica


AI4

Documentar e

informar sobre uso e


operao dos
sistemas
AI5

Aquisio de recursos P

de TI
AI6

Gerenciar alteraes

AI7

Instalar e certificar

DS2 Gerenciar servios de P

solues e mudanas
Distribuio
Suporte

e DS1 Definir e gerenciar


nveis de servios
terceiros
DS3 Gerenciar

desempenho e
capacidade
DS4 Assegurar a
continuidade do
servio
DS5 Assegurar a

segurana dos
sistemas
DS6 Identificar e alocar

custos
DS7 Educar e treinar
usurios

89
DS8 Gerenciar o

atendimento aos
clientes e incidentes
DS9 Gerenciar as

configuraes
DS
10
DS

Gerenciar problemas

e incidentes
Gerenciar dados

Gerenciar as

11
DS
12
DS
13
Monitoramento
e Avaliao

instalaes
Gerenciar as

operaes

MA1 Monitorar e avaliar a


performance da TI
MA2 Monitorar e avaliar os
controles internos da
TI
MA3 Assegurar
conformidade com as
prticas regulatrias
MA4 Prover a governana
de TI

(P)primrio (S) secundrio (X) aplicvel

Figura 4.21 Domnios e processos do COBIT (Adaptado de: IT Governance Institute,


Information Systems Audit and Control Foundation, COBIT 4.0, 2005).

4.7 ACEITABILIDADE DO COBIT


O COBIT baseado na anlise e harmonizao de padres existentes de
TI e de melhores prticas, convergindo com as prticas de governana mais aceitas.
Ele atua como um integrador de outros framewoks e prticas de governana e foi

90

projetado para ser usado em uma implementao de governana de TI juntamente


com um outro padro ou conjunto de melhores prticas.
O COBIT orientado em direo aos objetivos e escopo da governana
de TI, garantindo que seu framework de controle compreensivo e alinhado com os
princpios de governana corporativa, atendendo as demandas das diretorias,
gerncias (executiva, negcio e TI), auditores e reguladores. Ele foi desenvolvido e
mantido pelo Instituto de Governana de TI ITGI, trata-se de um instituto
independente que se dedica pesquisas contnuas na rea de governana e
controle.
Os objetivos de controle do COBIT podem ser mapeados nas cinco reas
foco da governana de TI conforme a Tabela 4.5.
Tabela 4.12 - O COBIT e as reas foco da governana de TI

Objetivos
Alinhamento
estratgico

Alvo Primrio

Entrega de Valor

Alvo

Risco

Secundrio

Gerenciamento de

Alvo

Recursos

Desempenho

Secundrio
Alvo Primrio

Prticas

Modelos

de

Maturidade

Alvo Primrio

Alvo Primrio

Gerenciamento de

Avaliao de

Mtricas

Alvo Primrio

Alvo
Secundrio
Alvo Primrio

Alvo Primrio

Alvo Primrio
Alvo
Secundrio
Alvo Primrio
Alvo
Secundrio

91

5 O ITIL4
Este captulo apresenta o modelo ITIL Information Technology
Infrastructure Library ou biblioteca para infra-estrutura de Tecnologia da Informao
um padro internacional aberto, composto de documentos que renem as
melhores prticas para gerenciamento de servios de TI e que pode ser utilizado por
qualquer empresa que detenha uma rea de TI e queira gerenciar/otimizar sua
gerncia de servios. O ITIL um framework genrico baseado na experincia de
profissionais da rea, focando o gerenciamento e proviso dos servios operacionais
de TI e a formalizao dos processos dentro das organizaes.
Este captulo no contem referncias, trata-se de um resumo dos
documentos que compe o ITIL , disponibilizados e mantidos pelo ITSMF - The IT
Service Management Forum.

5.1 O CRIADOR
O ITIL (ITSMF, 2003) foi inicialmente desenvolvido pela Central Computer
and Telecommunications Agency (CCTA) do governo britnico, sendo originalmente
conhecido como Government IT Infrastructure Management Method (GITIMM). Em
1989, as melhores prticas informadas por diferentes organizaes do setor pblico,
privado e empresas de consultoria, foram consolidadas, integradas e nominadas
como ITIL. Em 2001, o CCTA fundiu-se ao Office of Government Commerce (OGC),
o qual atualmente possui os direitos sobre o material publicado sobre o ITIL. A partir
de 2001, o modelo ganhou popularidade, consolidando-se na Europa e sendo
reconhecido por diversas organizaes como um guia para gerncia efetiva de
servios de TI.
O ITIL, alm de conter uma srie de livros teis apresentando as
melhores prticas em gerncia de recursos de TI, envolve vrias organizaes,
ferramentas, servios de treinamento e consultoria, outros frameworks relacionados
4

Este captulo um resumo dos documentos que compe o ITIL Verso 2 disponibilizado pelo ITSMF, 2003.

92

e publicaes. O ITIL tambm considerado, alm de um framework, uma


abordagem e filosofia difundida entre aqueles o utilizam em seu trabalho. Um
aspecto que deve ser ressaltado do ITIL que ele oferece um framework genrico
baseado em experincias prticas de usurios profissionais em uma infra-estrutura
de TI.

5.2 O FRAMEWORK ITIL

O IT Infrastructure Library (ITIL) um conjunto de prticas para prover


servios eficientes e efetivos de TI, alm do gerenciamento da infra-estrutura de TI.
O desenvolvimento do ITIL foi motivado pelo fato das organizaes
estarem cada vez mais dependentes de TI para alcanarem os objetivos
coorporativos traados. Essa dependncia levou a necessidade de servios de TI
com qualidade correspondendo aos objetivos de negcio de cada organizao e
atingindo os requerimentos e expectativas de seus clientes. Paulatinamente, a
nfase da TI tem mudado do desenvolvimento de aplicaes para o gerenciamento
de servios. Os servios de TI devem ser confiveis, consistentes, de alta qualidade
e com um custo aceitvel. Considerando-se o ciclo de vida dos produtos de TI,
estima-se que a fase operacional represente 70 a 80% do custo e tempo
empregados. Isto demonstra a necessidade de uma gerncia de servios eficiente
para garantir o sucesso da rea de TI.
O gerenciamento de servios de TI aborda a proviso e suporte do
servio de TI personalizado s necessidades de cada organizao. O ITIL foi
desenvolvido para disseminar as melhores prticas em gerenciamento de servios
de TI de forma sistemtica e coesa. A abordagem se baseia na qualidade do servio
e no desenvolvimento de processos efetivos e eficientes.
O ITIL oferece um framework comum para todas as atividades do
departamento de TI, como parte do provimento do servio, sendo baseado na infraestrutura de TI. Estas atividades so divididas em processos, os quais criam um

93

framework efetivo para tornar mais maduro o gerenciamento dos servios de TI.
Cada um dos processos cobre uma ou mais atividades pertinentes ao departamento
de TI. Esta abordagem de processos permite descrever as melhores prticas de TI
de forma independente da estrutura organizacional do departamento de TI.
Muitas destas melhores prticas so claramente identificadas e de fato
usadas em alguma extenso pela maior parte das organizaes de TI. O ITIL
apresenta essas prticas de forma coerente. Os livros do ITIL descrevem como
estes processos, algumas vezes identificveis, podem ser otimizados e como a
iterao entre os processos pode ser melhorada. Alm disso, explicam como os
processos podem ser formalizados dentro da organizao. Os livros do ITIL ainda
provm um quadro de referncia para a organizao com terminologias relevantes,
que ajuda a definir os objetivos e determinar o esforo requerido para alcan-los.
Usando a abordagem de processos, o ITIL primariamente descreve o que
deve ser includo no gerenciamento de TI para prover servios de TI com a
qualidade requerida. A estrutura e alocao de tarefas e responsabilidades entre
funes e departamentos dependem do tipo de organizao. Estas estruturas
normalmente variam entre os departamentos de TI. A descrio da estrutura dos
processos prov um ponto em comum de referncia que muda lentamente e pode
ajudar a manter a qualidade dos servios de TI durante e depois de reorganizaes
entre provedores e parceiros.
O ITIL surge em um contexto, onde as tendncias de mercado apontam
dificuldades crescentes no setor TI, tais como:

custo crescente da prestao de servios de TI (entrega e


manuteno);

aumento do nvel de exigncia quanto a qualidade e justificativa dos


recursos empregados nos servios de TI;

complexidade crescente da infra-estrutura e mudanas aceleradas em


sua composio;

dependncia de diversas reas do negcio quanto aos servios


prestados pela TI.

94

As organizaes esto cada vez mais dependentes da TI, e esta


necessita ter seus objetivos incorporados s necessidades do negcio.
O autor coloca que o ITIL no uma metodologia, nem fornece um livro
de receita. Trata-se de um framework no-proprietrio e de domnio pblico. O ITIL
no acadmico, ele baseado em exemplos coletados das melhores prticas
aplicadas em empresas reais.
A lista que segue identifica algumas vantagens e desvantagens do
framework. A lista no definitiva e depende dos interesses de cada organizao e
da forma como elas aplicaro o ITIL.
Algumas vantagens do uso do ITIL para os consumidores/usurios finais
da TI so:

O provimento dos servios de TI torna-se mais focado nos


consumidores e acordos sobre o melhoramento na qualidade do
servio melhoram o relacionamento;

os servios so mais bem descritos, em linguagem inteligvel para o


cliente, e em um detalhe apropriado;

a qualidade e os custos dos servios so mais bem gerenciados;

a comunicao com a organizao de TI melhorada pelo acordo


atravs de pontos de contato.

Vantagens observadas para a organizao da prpria rea de TI que


utilizar o ITIL so as que seguem:

A organizao da TI desenvolve uma estrutura mais clara, tornando-se


mais eficiente e focada nos objetivos corporativos;

o gerenciamento mais controlvel e mudanas tornam-se mais


facilmente gerenciveis;

uma estrutura de processos efetiva prov um framework para uma


efetiva terceirizao de elementos de servios de TI;

o seguimento das melhores prticas providas pelo ITIL encoraja uma


mudana cultural em direo ao provimento de servio e suporta a

95

introduo de um sistema de gerenciamento de qualidade baseado na


norma ISO-9000, e

o ITIL prov um quadro de referncia para comunicao interna e com


os provedores e a padronizao e identificao de procedimentos.

Alguns problemas potenciais relativos ao ITIL so:

a introduo pode tomar um longo tempo e esforo significante,


requerendo uma mudana de cultura organizacional;

uma ambiciosa introduo pode levar a frustrao, porque os objetivos


podem nunca ser alcanados;

se a estrutura do processo torna-se o objetivo final, a qualidade da


prestao de servio pode acabar sendo influenciada;

a burocracia includa com processos definidos pode se tornar


obstculo a ser evitado quando possvel;

pode existir nenhuma melhora devido a falta de compreenso sobre o


que os processos deveriam prover, quais os indicadores de
desempenho chaves e como os processos podem ser controlados;

o melhoramento na prestao dos servios e as redues de custo


esperadas so insuficientemente visveis;

uma implantao para alcanar sucesso necessita envolvimento e


comprometimento de todo o pessoal em todos os nveis da
organizao, e

insuficiente investimento em ferramentas de suporte pode acarretar


com que os processos no sejam abordados de maneira justa e o
servio de maneira geral no melhore. Recursos adicionais e mo-deobra extra podem ser necessrios se a organizao j estiver
sobrecarregada pela rotina e atividades do gerenciamento de servios
de TI.

96

5.3 OS LIVROS DO ITIL - VERSO 2


Esta subseo abordar a forma como o ITIL est organizado e,
descrever de forma sucinta, os livros mais conhecidos do ITIL. Convm citar que
muitas outras publicaes relacionadas esto disponveis no mercado.
Este trabalho abordar os 7 (sete) principais conjuntos do ITIL, agrupados
em seus nveis de atuao conforme ilustrado na Figura 5.1.

Figura 5.22 Livros do ITIL. (Adaptado de: ITSMF, ITIL, 2003).

Cada livro do ITIL endereado a uma parte do framework. Cada um


prov uma descrio geral do que necessrio para organizar o gerenciamento dos
servios de TI. O ITIL define os objetivos e atividades, as entradas e sadas para os
processos de TI. Entretanto, no uma descrio especfica de como deve ser
implementado o processo. A nfase na abordagem que tem sido aprovada na

97

prtica, mas, que dependendo da circunstncia, pode ser implementada de vrias


maneiras. O ITIL no um mtodo, mas um framework para planejar os processos
mais comuns, papis e atividades, indicando as ligaes entre eles e quais linhas de
comunicao so necessrias.
O ITIL baseado na necessidade de se prestar servios de alta
qualidade, com nfase nas relaes com os clientes. A organizao de TI dever
cumprir os acordos com o cliente, o que significa manter boas relaes com os
clientes e parceiros, tais como fornecedores. Parte da filosofia do ITIL baseada em
sistemas de qualidade, como a norma ISO-9000, e frameworks de qualidade, como
o da European Foundation for Quality Management (EFQM). O ITIL suporta tais
sistemas de qualidade atravs de uma descrio clara dos processos e melhores
prticas em gerncia de servios de TI, o que poder reduzir significativamente
reduzir o tempo requerido para obter as certificaes ISO.
Originalmente o ITIL consistia em um grande nmero de livros ncleo,
cada um descrevendo uma rea especifica de manuteno e operao da infraestrutura de TI. Os livros Suporte de Servio e Prestao de Servio so
considerados

corao

do

ITIL.

Existem

aproximadamente

40

livros

complementares que tratam do assunto Gerenciamento de Servios de TI.


O ITIL se organiza em dois livros ncleo, sendo que um trata de Suporte
de Servio e, outro, Prestao de Servio. Os cinco elementos bsicos principais do
framework esto ilustrados na Figura 5.2 conhecida como o quebra-cabea do ITIL.
O diagrama tenta ilustrar como os conceitos dentro do ITIL trabalham juntos.

98

Figura 5.23 Diagrama do ITIL (Adaptado de: ITSMF, ITIL, 2003).

Os elementos de cada grupo podem ser definidos separadamente,


entretanto na prtica, ao analisar os processos mais detalhadamente verifica-se que
os elementos se sobrepe em alguma extenso.
Os cinco elementos principais do ITIL so: Suporte de Servio, Prestao
de Servio, Perspectiva do Negcio, Gerenciamento de Infra-Estrutura de TI e
Gerenciamento de Aplicaes. Outro elemento existente o Planejamento para
Implementar Gerenciamento de Servio, o qual explica os passos necessrios para
identificar como uma organizao pode esperar os benefcios do ITIL e como se
organizar para repetir estes benefcios.
O quebra-cabea do ITIL tambm comparado a placas tectnicas, ou
continentes colidindo e sobrepondo-se, pois difcil identificar as fronteiras de cada
elemento e tambm existe clara frico e estresse nessas fronteiras. Na Figura 5.3
pode-se observar a estrutura do ITIL e seus componentes.

99

Figura 5.24 Estrutura do Framework ITIL (Adaptado de: ITSMF, ITIL, 2003).

5.3.1 PRESTAO DE SERVIO


O conjunto de livros Prestao de Servio juntamente com o Suporte de
Servio, formam o ncleo do ITIL. Este livro descreve os servios que os clientes
requerem e o que necessrio para prestar esses servios. Os principais objetivos
deste conjunto so:

definir que tipos de servios e que nveis sero suportados e


prestados;

assegurar que os servios acordados esto disponveis dentro dos


nveis acordados;

assegurar que os servios acordados esto sendo prestados conforme


requerido;

100

assegurar que os servios acordados estaro disponveis em caso de


interrupo, como parte do gerenciamento de continuidade dos
negcios;

assegurar que o oramento, os clientes e a capacidade dos servios


de TI esto definidas.

Os assuntos abordados por este conjunto e que sero tratados nas


prximas subsees so: Gerenciamento de Nveis de Servio, Gerenciamento
Financeiro dos Servios de TI, Gerenciamento de Capacidade, Gerenciamento da
Continuidade do Servio de TI e Gerenciamento de Disponibilidade.
5.3.1.1 Gerenciamento de Nveis de Servio
O Gerenciamento dos Nveis de Servio trata do processo de negociao,
definio, medio, gerenciamento e aperfeioamento da qualidade dos servios de
TI com um custo aceitvel. Este tpico aponta como encontrar um balanceamento
entre a qualidade e a demanda, a satisfao do cliente e o custo dos servios de TI.
O principal objetivo do gerenciamento de nveis de servio tornar claros
os acordos sobre os servios de TI requeridos pelos clientes e como implement-los.
Conseqentemente, este Gerenciamento necessita de informaes sobre as
necessidades dos clientes, facilidades providas pela organizao da TI e os recursos
financeiros disponveis. O foco deste processo o cliente e os servios providos so
dirigidos para as necessidades do consumidor final.
Este captulo do livro Prestao de Servios inclui o design, concordncia
e manuteno de SLAs (Service Level Agreement), OLAs (Operational Level
Agreements), UCs (Underpinning Contracts), Planos de Qualidade de Servio e
descreve ainda:

como um SLA claramente definido pode otimizar os servios de TI com


um custo justificvel para o cliente;

como o servio pode ser monitorado e discutido;

os servios so suportados por fornecedores e contratos secundrios.

101

O Gerenciamento de Nveis de Servios o processo que liga o provedor


de servios de TI ao cliente dos servios. Dentre seus objetivos pode-se citar:

Integrar os elementos requeridos para proviso de servios;

criar documentos que descrevam claramente os servios e seus vrios


elementos;

descrever o servio prestado ao cliente em uma terminologia que ele


compreenda e possa relatar;

alinhar as estratgias da TI com as necessidades do negcio;

aperfeioar a Prestao de Servios da TI de forma organizada.

Na descrio do processo o ITIL coloca, de forma clara, as atividades


envolvidas no processo, como ele se relaciona com os outros processos e livros, as
atividades envolvidas em sua execuo, os custos e possveis problemas que
podem surgir, alm dos controles necessrios em seu gerenciamento.
5.3.1.2 Gerenciamento Financeiro para os Servios de TI
O Gerenciamento Financeiro caracteriza-se por controlar os recursos
monetrios na sustentao dos objetivos organizacionais, assegurando que as
atividades se acoplem para atender as exigncias definidas na gerncia do nvel de
servio e que estejam justificadas quanto ao custo e ao oramento.
Observa-se no mercado, de forma crescente, que os negcios esto cada
vez mais dependentes da TI para suportar suas operaes. Como conseqncia, o
nmero de clientes finais da TI foi dramaticamente incrementado, assim como o total
de recursos financeiros empregados em seus processos (oramento da TI).
Proporcionalmente ao alto investimento na rea, aumentou tambm a
cobrana das reas clientes por aumento da qualidade e o incremento da eficincia
dos servios providos pela TI.
A dificuldade encontrada pelas organizaes de TI consiste em expor de
forma clara e linguagem no-tcnica para as demais reas envolvidas no negcio e
para os clientes em geral, os custos reais e benefcios dos servios prestados.

102

Geralmente, os clientes e administradores ficam relutantes em investir em


servios de TI, visto que no possuem uma viso clara dos custos envolvidos e dos
benefcios gerados para o negcio. O Gerenciamento Financeiro para os Servios
de TI do ITIL, tem como objetivo tornar os custos claros, estabelecer um mtodo de
cobrana e proporcionar aos clientes uma idia sobre a relao qualidade/preo. Em
outras palavras, o Gerenciamento Financeiro promove a execuo dos servios de
TI como uma operao do negcio.
O ITIL foi projetado para gerenciar a infra-estrutura de TI promovendo o
uso econmico e eficiente dos recursos de TI. Prover servios de TI com custos
razoveis depende de trs fatores: qualidade (em termos operacionais de
capacidade, disponibilidade, performance, contingncia e suporte), custo (em
termos de investimento e despesa) e requerimentos do cliente (o custo e a
qualidade devem estar alinhados com as necessidades dos negcio e do cliente).
Os dois primeiros fatores esto constantemente em conflito, j que incrementar a
qualidade normalmente significa aumentar o custo, enquanto reduzir custos
normalmente est associado a diminuir a qualidade. Contudo, estes dois fatores
podem ser balanceados quando o foco est nas necessidades do cliente.
O Gerenciamento Financeiro objetiva auxiliar o setor de TI com um
gerenciamento efetivo do custo dos recursos de TI requeridos para a proviso dos
servios. Por esta razo, o processo tende a promover uma ruptura no custo dos
servios da TI, associando- os com os vrios servios prestados. Assim, o processo
de tomadas de decises referentes ao investimento em TI torna-se mais simples.
Os principais objetivos da implantao do Gerenciamento Financeiro so:

determinar os custos dos servios de TI;

identificar e classificar a estrutura de custos;

alocar razoavelmente os custos dos servios de TI prestados para


clientes internos e externos;

introduzir mtodos de cobrana para o uso dos servios de TI quando


necessrio;

103

operar o departamento de TI como uma unidade do negcio quando


requerido;

recuperar todos os custos, incluindo custos de capital (investimento,


depreciao, reembolso e interesses) do cliente;

checar as cobranas em intervalos regulares para determinar se elas


esto realsticas e aceitveis;

estabelecer um mapa do comportamento dos clientes e usurios,


construindo uma conscincia dos custos e amarrando os custos
diretamente aos servios.

Os principais benefcios da Gerncia Financeira de TI para os servios de


TI so:

a contabilidade de TI suporta a Gerncia de Servios de TI;

situao dos custos dos servios de TI individualmente;

facilidade nas decises essenciais sobre os servios prestados pela TI


e os investimentos requeridos;

dados para justificar as despesas;

facilidade na elaborao de planejamentos e oramentos;

viso geral dos custos oriundos de falhas de servio, como uma base
para a justificativa de despesas no planejamento estratgico;

os usurios podem acompanhar os custos dos servios que esto


utilizando.

Os fatores crticos de sucesso para a Gerncia Financeira dos servios de


TI so:

envolver peritos financeiros/contabilidade no processo;

conect-lo com os outros processos da Gerncia de Servios de TI;

a monitorao do custo deve fornecer detalhes e justificativas da


despesa;

104

a gerncia da organizao deve estar inteiramente ciente do impacto e


dos custos da introduo da gerncia financeira na TI e deve estar
comprometida com este aspecto;

a Gerncia de Configurao deve prover informaes relevantes sobre


a estrutura dos servios para que uma contabilidade apropriada seja
executada;

os resultados dos servios devem ser direcionados para os clientes.

Os principais possveis problemas na implantao da Gerncia Financeira


de TI so:

as atividades requeridas para a implantao e monitoramento dos


custos so freqentemente um assunto novo para o pessoal de TI e
deve ser introduzido aos poucos;

difcil encontrar mo-de-obra familiarizada com aspectos tcnicos de


TI e contabilidade;

os sistemas, possivelmente, no foram desenvolvidos/documentados


claramente e torna-se difcil considerar os investimentos necessrios;

os benefcios do processo freqentemente no so compreendidos de


forma suficiente, tendo por resultado uma cooperao insuficiente dos
envolvidos.

5.3.1.3 Gerenciamento da Capacidade


O Gerenciamento da Capacidade busca assegurar que todos os aspectos
atuais e futuros da infra-estrutura de TI, conseguem atender as demandas do
negcio da maneira mais econmica, efetiva e oportuna possvel. Trata-se de um
processo de otimizao do custo, tempo de aquisio e implantao dos recursos de
TI para suportar os acordos com os clientes.
Este gerenciamento compreende diversas sub-atividades ou subprocessos, dentre eles destaca-se: gerenciamento de recursos, gerenciamento de
desempenho, gerenciamento de demanda, modelagem, plano de capacidade,

105

gerenciamento de capacidade, gerenciamento de carga e dimensionamento de


aplicaes.
As responsabilidades desta gerncia envolvem:

monitorar o desempenho e as sadas dos servios de TI;

empreender atividades de ajuste, tornando o uso dos recursos mais


eficiente;

compreender as demandas correntes, que esto sendo direcionadas


para os atuais recursos de TI e produzir previses para as exigncias
futuras;

ajudar a influenciar/justificar as demandas de recurso, conjuntamente


com a Gerncia Financeira;

produzir um Plano de Capacidade, predizendo os recursos de TI


necessrios, que permitiro fornecer servios da qualidade definida
nas SLAs.

O Gerente da capacidade de controlar os processos e assegurar-se de


que o Plano de Capacidade esteja desenvolvido e atualizado, assegurar que as
bases de dados da capacidade esteja atualizadas e que os relatrios requeridos so
produzidos.
Os benefcios da aplicao desta gerncia envolvem:

os recursos so controlados eficazmente, e o desempenho do


equipamento monitorado continuamente;

o impacto de aplicaes novas/modificadas em sistemas existentes


conhecido;

os investimentos so feitos em um tempo apropriado, nem demasiado


cedo, nem demasiado tarde;

necessidade de mudanas urgentes resulta de estimativas incorretas


da capacidade;

106

eficincia alta e demandas prioritrias so equilibradas e avaliadas


com antecedncia;

as despesas controladas, ou mesmo reduzidas, capacity-related como


a capacidade so usadas mais eficientemente ;

os gastos com recursos de capacidade, assim como o custo dos


recursos existentes, mais eficiente, ou mesmo reduzido, quando
gerenciado.

Os fatores crticos de sucesso, na implantao da Gerncia de


Capacidade so:

realizar previses exatas do negcio;

necessrio ter conhecimento da estratgia da TI e dos planos


estabelecidos; sendo necessrio que eles sejam precisos;

necessrio haver uma compreenso das tecnologias atuais e futuras;

habilidade em demonstrar a relao custo X eficincia requerida;

necessidade de interao com outros processos eficazes da gerncia


de servio;

necessidade de habilidade em planejar e executar a Capacidade de TI


apropriada para satisfazer os requerimentos do negcio.

5.3.1.4 Gerenciamento da Continuidade dos Servios de TI


Trata-se do processo de planejamento e coordenao tcnica, financeira
e gerenciamento de recursos requeridos para garantir a continuidade dos servios
aps um desastre, conforme acordado com o cliente.
Este gerenciamento concentra-se em controlar a habilidade de uma
organizao de continuar a fornecer um pr-determinado e acordado nvel de
servios de TI para suportar as exigncias mnimas do negcio quando da
ocorrncia de interrupo/sinistro. O processo est focado na preparao e
planejamento de medidas para recuperao de desastres nos servios de TI, em um
evento de interrupo do negcio.

107

O objetivo principal suportar a gerncia total da continuidade do


negcio, assegurando que a infra-estrutura de TI e os servios de TI requeridos,
incluindo suporte, podem ser restaurados em um tempo limite especificado, aps o
desastre.
As responsabilidades desta gerncia envolvem:

avaliar o impacto da interrupo dos servios de TI aps um desastre;

identificar os servios crticos para o negcio, que requerem medidas


de preveno adicionais;

definir os perodos para que os servios sejam restaurados;

definir a abordagem a ser usada para restaurar os servios;

desenvolver, testar e manter um plano de recuperao, com detalhes


suficientes para sobreviver a um desastre e para restaurar os servios
normalmente aps um perodo definido.

Os benefcios principais da aplicao desta gerncia so:

gerncia do risco e a reduo conseqente do impacto da falha;

aderncia aos requerimentos dos rgos reguladores;

possvel economia quando do contrato de seguros;

desenvolvimento de uma abordagem mais pr-negcio durante a


recuperao do desastre;

reduo na interrupo do negcio durante um incidente;

aumento da confiana do cliente e credibilidade organizacional.


Os fatores crticos de sucesso envolvem:

um processo eficaz de Gerncia de Configurao (ver descrio desta


no detalhamento do conjunto Suporte de Servios);

sustentao e compromisso da organizao;

ferramentas eficazes e atualizadas;

108

treinamento dedicado para todos os envolvidos nos testes regulares;

realizao de testes peridicos do plano de recuperao.

5.3.1.5 Gerenciamento da Disponibilidade


O objetivo deste processo garantir uma implantao dos recursos de TI
apropriada, alm de mtodos e tcnicas, para suportar a disponibilidade acordada
com os clientes dos servios de TI. Esto envolvidas atividades como a otimizao
da manuteno e a avaliao de medidas para minimizar o nmero de incidentes.
Assim, pretende-se atingir um nvel eficaz e sustentvel de disponibilidade, que
permita atender aos objetivos do negcio.
Este captulo oferece vrias tcnicas e mtodos auxiliares na definio
dos nveis de disponibilidades necessrios, citamos: Component Failure Impact
Analysis (CFIA), Fault Tree Analysis (FTA), CCTA Risk Analysis Management
Method (CRAMM), Service Outage Analysis (SOA), Technical Observation Post
(TOP).
As responsabilidades desta gerncia envolvem:

determinar as exigncias de disponibilidade em termos do negcio;

predizer e projetar a disponibilidade para nveis aceitveis;

otimizar a disponibilidade com monitoramento e relatrios;

produzir um Plano de Disponibilidade e estabelecer prazos para as


melhorias.

Os benefcios principais da aplicao desta gerncia so:

define exigncias fundamentais do negcio para a disponibilidade;

projeta os servios para atender as exigncias;

fornece uma disponibilidade com custo justificvel;

avalia a disponibilidade necessria para suportar os SLAs;

reduz a incidncia de interrupes do servio.

109

Os fatores crticos de sucesso envolvem:

os objetivos de disponibilidade do negcio devem estar claramente


definidos,

a Gerncia do Nvel de Servio deve ter sido ajustada para formalizar


os acordos;

o negcio e a rea de TI devem estar cientes dos benefcios da


Gerncia de Disponibilidade.

5.3.2 SUPORTE DE SERVIO


Este livro descreve os processos associados com o suporte rotineiro e a
manuteno das atividades associadas com a prestao dos servios de TI. Os
assuntos abordados por este conjunto e que sero tratados nas prximas subsees
so: Atendimento ao Cliente, Gerenciamento de Incidentes, Gerenciamento de
Problemas, de Configurao, de Mudanas e de Verses.
Os principais objetivos deste conjunto so:

resolver os incidentes conforme sua ocorrncia;

identificar as causas principais dos incidentes e submeter RFCs


(Request for changes) para solucion-las;

unificar e centralizar os contatos com os usurios dos servios da TI;

assegurar que mtodos padres e procedimentos so aplicados para


tratamento das fragilidades detectadas;

gerenciar as verses de hardware e software como partes do


gerenciamento de Mudanas efetivo;

gerenciar informaes tcnicas considerando a verso, estado,


proprietrios e relacionamentos entre os recursos de TI.

5.3.2.1 Servio de Atendimento ao Cliente


O ITIL considera este tpico como uma funo e no um processo. Seu
objetivo fornecer um ponto central estratgico de contato com os cliente e um

110

nico ponto operacional de contato para incidentes e solues. Alm disso, o


Atendimento ao Cliente manipula as solicitaes de servio.
As atividades envolvidas neste processo so:

melhorar os servios em benefcio do negcio;

fornecer orientao aos clientes;

fornecer restaurao rpida dos servios;

realizar as expectativas acordadas nos SLAs;

comunicar e promover os servios da TI;

Os benefcios principais da aplicao deste processo so: a melhora do


servio prestado ao cliente, facilidade nos acessos aos servios, com a unificao
do ponto de contato, e as melhorias na comunicao com a rea de TI e dentro dela.
Os fatores crticos de sucesso envolvem a resistncia para seguir os
procedimentos, a possvel sobrecarga no setor de TI, a falta de uma poltica
organizacional adequada e a comum dificuldade de comunicao encontrada na
rea de TI.
5.3.2.2 Gerenciamento de Incidentes
O objetivo deste processo restaurar a operao normal dos servios to
rpido quanto possvel e minimizar o impacto adverso nos negcios. Este processo
considera que um incidente qualquer evento fora do padro de operaes de um
servio e que causa, ou pode causar, uma interrupo ou reduo na qualidade
daquele servio.
Sob a tica do negcio, a implantao desta gerncia agrega os
seguintes benefcios: reduo do impacto de incidentes no negcio e identificao
pr-ativa de incidentes.
Sob a tica da TI, a implantao desta gerncia agrega os seguintes
benefcios: aumento do monitoramento das SLAs, melhora na documentao de
incidentes e utilizao deste conhecimento para ganho de eficincia.

111

Os fatores crticos de sucesso envolvem a possvel inexistncia de um


responsvel por gerenciar e documentar os incidentes, a falta de conhecimento para
resoluo dos incidentes, treinamento inadequado, falta de integrao com os outros
processos e a no proviso de nveis de servio adequados.
5.3.2.3 Gerenciamento de Problemas
O objetivo deste processo minimizar o impacto adverso no negcio, de
incidentes e problemas causados por erros na infra-estrutura de TI e prevenir a
reincidncia destes erros. O Gerenciamento de Problemas busca encontrar a causa
principal dos problemas e iniciar a ao que eliminar o erro.
Esta gerncia considera um problema uma condio identificada de
mltiplos incidentes que exibem sintomas comuns ou um nico incidente bastante
significante, que indica um erro cuja causa desconhecida.
A

implantao

desta

gerncia

agrega

os

seguintes

benefcios:

manipulao mais eficiente e efetiva dos incidentes, incremento na qualidade dos


servios, reduo no nmero de problemas e incidentes e desenvolvimento de
solues permanentes.
Os fatores crticos de sucesso envolvem a implantao de um
procedimento de controle de incidentes, processos de avaliao e implantao de
uma base de conhecimento.
5.3.2.4 Gerenciamento de Mudanas
O objetivo deste processo assegurar que mtodos e procedimentos
padronizados esto sendo utilizados para a manipulao eficiente de todas as
mudanas, minimizando o impacto dos incidentes relacionados s mudanas e
aprimorando as operaes dirias.
Este gerenciamento considera que uma mudana uma ao que resulta
em um novo estado para um ou mais itens da configurao da infra-estrutura de TI,
sendo que preciso garantir que as mudanas ocorram de forma organizada e
coordenada, seguindo-se um caminho de definio, planejamento, construo e
teste, aceitao, implementao e avaliao.

112

A implantao desta gerncia agrega os seguintes benefcios: melhora no


alinhamento dos servios prestados pela TI com os requerimentos do negcio;
garantias de que todas as mudanas sero formalmente aprovadas, diminuio das
chances de problemas durante o processo de mudana, aumento da produtividade
dos usurios e aumento da capacidade de gerenciar um grande nmero de
mudanas ao mesmo tempo.
Os fatores crticos de sucesso envolvem a viso de que este pode ser um
processo puramente burocrtico, dificuldades culturais em aceitar o gerenciamento
de mudanas, falta de auditorias que verifiquem a conformidade do processo do
Gerenciamento de Mudanas e a caracterizao de todas as mudanas como
urgentes.
5.3.2.5 Gerenciamento de Verses
O objetivo deste processo garantir o sucesso no lanamento de
verses, incluindo integrao, teste e armazenamento. Esta gerncia garante que
somente verses corretas e testadas de software e hardware autorizados so
entregues, estando profundamente relacionada s atividades de Gerenciamento de
Configurao e Mudanas. A entrega de verses vista como uma mudana para
um servio de TI e necessrio assegurar que todos os aspectos, tcnicos ou no,
so considerados juntos.
As verses com classificadas em categorias que podem ser: verso
completa, verso delta, pacote de verses, verso emergencial ou de poltica.
A implantao desta gerncia agrega os seguintes benefcios: aumento
da consistncia no processo de atualizao de verses, melhora dos nveis de
expectativas, manuteno de um histrico de dados relacionados s verses
lanadas, reduo no risco de verses no autorizadas ou softwares ilegais.
Os fatores crticos de sucesso envolvem a resistncia inicial s
mudanas, responsabilidades no estabelecidas e formalizadas e a presso por
mudanas e liberaes rpidas de verses.

113

5.3.2.6 Gerenciamento de Configurao


O objetivo deste processo garantir o controle da mudana na infraestrutura de TI, atravs de padronizao e monitoramento. Esta gerncia realiza a
identificao dos itens de configurao (inventrio, ligaes mtuas, verificao e
registro) e coleta/gerencia a documentao sobre a infra-estrutura de TI, provendo
informao para todos os outros processos. Este processo requer a implantao de
um CMDB Base de dados da gerncia de configurao, onde todos os itens da
infra-estrutura que pertencerem ao escopo deste processo devem ser armazenados
e gerenciados.
A

implantao

desta

gerncia

agrega

os

seguintes

benefcios:

disponibilidade de informao precisa e atualizada sobre os itens de configurao,


aderncia s obrigaes legais, contribuio ao plano de continuidade dos servios,
auxlio no planejamento financeiro.
Os fatores crticos de sucesso envolvem o nvel de comprometimento da
gerncia e o detalhamento exagerado dos processos.

5.3.2 PERSPECTIVA DO NEGCIO


Este conjunto de livros do ITIL descreve muitos assuntos relacionados a
compreenso e apreciao de servios de TI como um aspecto integrado da
gerncia do negcio. O conjunto Perspectivas do Negcio, assim como o livro de
mesmo ttulo (que eventualmente refere-se ao conjunto) trata dos seguintes
assuntos: Gerenciamento de Continuidade de Negcio, Parcerias e Terceirizao,
Sobrevivncia Mudanas e Adaptao do Negcio Mudanas Radicais. Outros
livros que abordam alguns aspectos deste elemento so o de Gerenciamento da
Gesto de Facilidades e o de Gerenciamento da Gesto de Fornecedores.

114

5.3.3 GERENCIAMENTO DE INFRA-ESTRUTURA DE TI - ICT


O ICT Information & Communications Technology Infrastructure
Management cobre todos os aspectos do gerenciamento da infra-estrutura de
informaes e comunicaes, desde a identificao dos requerimentos do negcio,
os testes, instalaes, distribuio, operao e otimizao dos componentes da
infra-estrutura de TI e seus servios. Alguns assuntos que so tratados neste
contexto so o planejamento e controle das redes e comunicaes da organizao,
a operacionalizao dos servios de TI, o gerenciamento das instalaes,
equipamentos e processos correlatos.
O

conjunto

descreve

maioria

dos

processos

envolvidos

no

gerenciamento de todas as reas e aspectos da TI e inclui os livros : Gerenciamento


e Administrao, Planejamento e Projeto, Operaes, Suporte Tcnico e
Distribuio.
Um gerenciamento slido desta infra-estrutura essencial para o bom
funcionamento do conjunto de processos Gerenciamento de Servios. Esta gerncia
busca transmitir os requerimentos do cliente para uma estruturada e gerenciada
estrutura de servios de TI (Prestao de Servios) e controlar a prestao de
servios de infra-estrutura para o cliente (Suporte de Servios).
Dentre os benefcios da aplicao desta gerncia esto: melhor
coordenao entre os planos de negcio e as atividades, ganho de produtividade
proporcional ao bom gerenciamento da infra-estrutura, diminuio do custo e ganho
de eficincia para os servios prestados, melhor gerenciamento da informao
acerca dos servios e processos do negcio, diminuio do risco de falhas dos
servios, aumento da capacidade de implementao de projetos e mudanas,
melhor controle dos servios terceirizados e sua performance.

5.3.4 GERENCIAMENTO DAS APLICAES


O gerenciamento de aplicaes no contexto do ITIL considerado como
um gerenciamento de ativos que deve assegurar que os sistemas de informao da
organizao podem responder com flexibilidade s mudanas de mercado. Os

115

objetivos desta gerncia subdividem-se em: selecionar a abordagem estratgica


apropriada entre os processos do negcio e as aplicaes; e assegurar que a
organizao da TI pode gerenciar as aplicaes durante seu ciclo de vida.
Dentre os benefcios da aplicao desta gerncia esto: melhor controle
dos processos de TI sobre o ciclo de vida dos aplicativos, garantindo que estejam
alinhados com as regras estabelecidas pela organizao e assegurando que os
investimentos corretos esto sendo efetuados e facilidade da definio de
estratgias de testes e mudanas.
Os principais processos envolvidos so: suporte ao ciclo de vida do
aplicativo e testes dos servios operacionais de TI.
A atividade de suporte objetiva acompanhar todo o ciclo de vida do
software, incluindo o projeto, construo, teste, instalao, operao, manuteno e,
eventualmente, o desuso. Alm disso, a seleo de um modelo de ciclo de vida de
software pode impactar significativamente os servios de TI. Os testes visam garantir
que a operao apropriada de servios de TI, novos ou modificados, esteja testada
antes de entrar em operao. Alguns testes podem ser realizados para validao da
aplicao, tais como de sistema, instalao e aceitao de usurio.

5.3.5 GERENCIAMENTO E ORGANIZAO


Este conjunto do ITIL inclui alguns livros que se concentram em assuntos
de nvel estratgico, como o desenvolvimento de polticas e planejamento de longo
prazo para os servios de TI. Alm desses tpicos so abordados ainda: a qualidade
no gerenciamento de servios de TI, a organizao dos servios de TI e o
planejamento e controle dos servios de TI.
A atividade de qualidade no gerenciamento de servios de TI relaciona os
padres ISO-9000 com os mdulos do ITIL e aborda a introduo de um sistema de
qualidade na organizao incluindo como definir e implementar a poltica de
qualidade e o gerenciamento do sistema de qualidade, incluindo auditorias.

116

A organizao de servios de TI trata da estrutura da organizao de TI,


descrevendo como a organizao pode ser analisada e avaliada, particularmente em
termos de atividades, autoridade e responsabilidade. As principais atividades do
processo de organizao incluem a determinao e definio da estrutura
organizacional e a descrio de papis e funes.
O planejamento e controle dos servios de TI objetiva prover um sistema
coerente de planejamento, relatrio e controle da organizao de TI para garantir
que a organizao atinja seus objetivos e requerimentos baseado nas estratgias de
negcio e da TI, o que inclui a coordenao do planejamento e reporte de vrios
processos de gerenciamento de servios de TI.

5.3.6 PLANEJAMENTO E IMPLEMENTAO


Este conjunto trata do planejamento e implementao de processos de
otimizao do gerenciamento de servios de TI na organizao. Considera aspectos
como onde e quando comear, cultura organizacional, planejamento de projetos e
programas, definies de processos e otimizao de performance.
O

processo

de

anlise

das

necessidades

da

organizao

implementao das solues requeridas requer que a organizao se prepare para


isso. Analisar as necessidades da organizao e implementar a soluo necessria
pode requerer a criao de uma organizao temporria. Isto pode ser considerado
como um projeto ou uma srie de projetos em um programa de implantao. Uma
vantagem que este processo permitir organizao estar apta a perceber pontos
claros de deciso para identificar os processos que devem ser eliminados,
continuados ou modificados no projeto. Neste contexto os livros do ITIL recomendam
a adoo de metodologias de gerenciamento de projetos, como o PRINCE2
(Projects In Controlled Environments).
Cada projeto baseado numa anlise da situao atual, a situao
desejada e o caminho entre ambas. Na maioria dos casos, as alternativas sero
comparadas baseando-se em requisitos como: vantagens para a organizao,

117

riscos, obstculos, problemas potenciais, custos transitrios, custos de longa


durao e custos de continuar a abordagem atual.

5.3.7 GERENCIAMENTO DA SEGURANA


Este conjunto trata do planejamento e implementao de nveis de
segurana na organizao, tal que estejam de acordo com a disponibilidade da infraestrutura e dos servios de TI, assim como com os processos do negcio, sem
compromet-los. Esta atividade busca ainda, assegurar que a segurana esteja de
acordo com os requerimentos legais, polticas de privacidade e as SLAs.
Fazem parte deste processo o estudo das demandas de segurana,
vulnerabilidade, relacionamentos com terceirizados e fornecedores, riscos de
segurana e definio de uma estratgia de segurana. O processo do
gerenciamento de segurana flexvel e necessita ser revisado continuamente para
assegurar que est atualizado, devendo ser planejado, executado e monitorado
como um ciclo contnuo.

118

6 ANLISE DO FRAMEWORK COBIT


O COBIT considerado a metodologia base para a governana de TI,
projetado para ser uma ferramenta de gesto da rea de Tecnologia da Informao
que ajuda a compreender e gerenciar os riscos e benefcios associados com a
informao e relacionados com TI (ITGI, 2000).
Conforme exposto no captulo 4, o COBIT no determina como os
processos devem ser estruturados, e sim os controles que eles devem possuir para
que TI cumpra seus objetivos em termos de governana, ou seja: alinhamento e
entrega de valor por parte da rea de TI para o negcio; correta alocao e medio
dos recursos envolvidos; a mitigao dos riscos em TI.
Originalmente uma ferramenta de auditoria, o COBIT usado para avaliar
o alinhamento estratgico da tecnologia com as reas de negcio, aprimorando os
processos desde a alta direo da empresa at o departamento de TI e auxiliando a
associao entre os riscos de negcio, as necessidades de controle e os aspectos
tecnolgicos.
No existem dvidas sobre o benefcio da tecnologia aplicada aos
negcios. Entretanto, para serem bem sucedidas, as organizaes devem
compreender e controlar os riscos associados no uso das novas tecnologias. O
COBIT uma ferramenta eficiente para auxiliar o gerenciamento e controle das
iniciativas de TI nas empresas (FAGUNDES, 2004).
O principal objetivo do COBIT pesquisar, desenvolver, publicar e
promover um conjunto atualizado, autorizado e com foco internacional, de objetivos
de controle geralmente aceitos e aplicveis TI para o uso por gestores de TI,
administradores, usurios e auditores de sistemas (ITGI, 2000).
O COBIT pode ser considerado como um caminho para a governana de
TI, devendo ser adaptado real situao da organizao onde ser implantado. Em
sua essncia, sua implantao consiste na determinao de controle de objetivos
que determinam o que deve ser executado e supervisionado (CAMPBELL, 2006).

119

A estrutura do COBIT cobre todos os aspectos da tecnologia da


informao, alm do detalhamento dos processos. Cada um dos 34 processos de
alto nvel est associado s Diretrizes de Auditoria (Audit Guidelines) para facilitar a
reviso dos processos de TI e dos 318 objetivos de controle detalhados e
recomendados pelo COBIT (ITGI, 2000).
Para conseguir obter benefcios do COBIT, preciso entender suas
competncias e avaliar as evolues. A correta utilizao de suas diretrizes pode
ajudar os gestores de TI a atingir suas metas, integradas com as metas da empresa.
Os guias de gerenciamento do COBIT se baseiam na administrao da qualidade e
performance dos servios prestados pela rea de TI, utilizando os fundamentos do
Balanced Scorecard (CACIATO, 2005).
Alguns cases de aplicao de COBIT com sucesso conhecidos:

A Sun Microsystems multinacional americana utilizou o COBIT


para atingir a conformidade SOX e alinhar os objetivos da TI ao
negcio (ISACA, 2007);

A Unisys - multinacional americana - utilizou o COBIT para padronizar


a estratgia de TI visando suportar as operaes globais da empresa,
alinhar a infra estrutura da TI ao negcio e obter a conformidade SOX
(ISACA, 2007);

A Curtin University universidade australiana a equipe de auditoria


de sistemas adotou o COBIT como padro e obteve bons resultados na
organizao da rea de TI e economicidade nos processos (ISACA,
2007);

A Harley-Davidson - multinacional americana utilizou o COBIT para


otimizar o gerenciamento de TI, auditoria e controles internos e obteve
resultados significativos na gerncia de riscos (ISACA, 2007);

A WEG Equipamentos Eltricos realizou uma avaliao de


maturidade em seus controles e processos de TI atravs do COBIT, e
obteve como resultados a identificao do nvel de maturidade atual e
o desejado para a empresa, a definio de uma matriz de prioridades
para atuar naquelas atividades que gerassem um melhor retorno e a

120

elaborao de um plano de ao baseado nas no conformidades


(CNASI,2007).

A Dell Computer usa o COBIT como parte da sua poltica corporativa


Control Self-Assesment (CSA), um conjunto de controles e verificaes
que

ajudam

companhia

manter

sua

alta

qualidade

(MORAES,2006);
Como principais resultados da aplicao do COBIT citamos: otimizao
da gesto e controle do ambiente de TI, melhor distribuio das responsabilidades,
levantamento detalhado dos processos, facilidade da anlise da relao custo x
benefcio, levantamento dos indicadores de desempenho, levantamento dos fatores
crticos de sucesso, levantamento dos riscos e identificao do nvel de maturidade
dos processos.

121

7 ANLISE DO FRAMEWORK ITIL


O ITIL tem sido utilizado em diversos setores atuantes na rea de TI como
um guia, um modelo para a gesto de servios tambm aplicado em consultoria,
educao, suporte e auditoria. Seu foco a infra-estrutura, concentrando-se em seis
domnios de atuao: prestao de servios, suporte, gerenciamento de infraestrutura (hardware) e aplicaes (software), alinhamento aos objetivos do negcio e
servios de TI. Trata-se de uma ferramenta til, proporcionando identificao,
organizao, otimizao e padronizao dos processos envolvidos nestas seis
esferas.
Os principais objetivos do ITIL so: fornecer um guia para a gesto
estratgica, ttica e operacional da infra-estrutura de TI, melhorar a eficincia dos
processos, reduzir riscos, prover compatibilidade com os requerimentos das normas
e melhores prticas do mercado.
Segundo Lorenzato (apud Ferreira, 2005), o ITIL uma cartilha do bom
senso na administrao de TI, no sendo necessrio implementar tudo o que o
modelo apresenta e sim apenas o essencial para a empresa e seus negcios.
Atravs da aplicao do ITIL, a rea de TI passa a conhecer o impacto
que pode provocar na organizao e a disponibilidade dos recursos passa a ser
transparente para os clientes (FERREIRA, 2005).
O ITIL funciona de maneira horizontal, ou seja, no departamento de TI.
Em alguns casos pode atingir as reas de negcios pelos processos combinados
entre os departamentos, obtendo integrao e sinergia, este padro de
documentao de hardware, software, procedimentos e processos o TOP do
momento e cada vez mais empresas buscam conhecer seus benefcios (INFO
CORPORATE, 2007).
A utilizao do ITIL para gesto dos servios de TI no obriga a adoo
de uma nova maneira de gerir o negcio da empresa. A utilizao do framework
apenas fornece uma plataforma onde encaixar as atividades, mtodos e processos
existentes em um contexto estruturado.

122

O ITIL mostra-se bastante eficaz tambm na implantao de processos


pontuais. Ricardo Mansur (2004) aplicou o modelo na implantao de um sistema de
inventrio, com prazo de dois dias, e o resultado demonstrou que diversos
aplicativos no estavam em uso pela empresa e que as licenas poderiam ser
disponibilizadas para os usurios que estavam solicitando a aquisio destes
produtos proporcionando a racionalizao dos recursos.
Alguns cases de aplicao de ITIL com sucesso conhecidos:

A Procter & Gamble multinacional americana - que inicialmente


reduziu em 10% as chamadas no HelpDesk aps implantao do ITIL e
em um segundo momento do projeto reduziu entre 6 e 8% os custos
operacionais de tecnologia (ITIL SURVIVAL, 2007);

A Cartepillar multinacional americana - que aps aplicar os


princpios de ITIL aumentou de 60 para 90% o nvel de acerto do
Helpdesk para os incidentes (MANSUR,2004);

A Mead e a Westvaco - as duas maiores empresas de embalagens e


produtos qumicos dos Estados Unidos - se fundiram em 2002 e Jim
McGrane (CIO da empresa) formalizou um plano de reconstruir seu
departamento de TI usando ITIL. Como resultado eliminou mais de 100
mil dlares anuais em contratos de manuteno de TI e obteve 10% de
aumento na estabilidade operacional (MANSUR,2004);

Na Pershing, empresa norte-americana de servios financeiros, que


adotou o ITIL em janeiro de 2004, desde que o Helpdesk foi
estruturado seguindo as diretrizes do ITIL, o tempo de resposta a
incidentes caiu 50% (COMPANYWEB apud CIO,2007);

O Governo de Ontario, Canad, adotou ITIL para melhorar o servio


de 25.000 usurios em 1.000 locais. Criou um service desk que
melhorou a resposta e reduziu os custos com chamados em 40%
(MORAES,2006);

O ABN Amro Bank iniciou a aplicao do ITIL em 2001 datacenter e


implantao de equipamentos do banco, incluindo agncias. Promoveu
a centralizao do help-desk com aumento de chamados de 20.000

123

para 60.000 (aumentou o controle, no os chamados), teve seu tempo


de atendimento reduzido em 20%, volume de reclamaes reduzido
em 80% e 94% dos atendimentos completados em menos de 20
segundos (MORAES,2006);

A UNICEF implantou o ITIL com foco na gerncia de infra-estrutura e


atravs da coleta sistemtica de dados, monitoramento de chamadas e
gesto de problemas conseguiu com que os recursos fossem
direcionados para as reas que exigem correo rpida e eficaz
(WEILL; ROSS, 2006).

Como principais resultados da aplicao do ITIL, citamos: fortalecimento


dos controles e da gesto dos ambientes de TI; orientao a processos com
significativa reduo nos tempos de execuo e distribuio de servios; diminuio
gradativa da indisponibilidade dos recursos e sistemas de tecnologia da informao;
causados por falhas no planejamento das mudanas e implantaes em ti; elevao
dos nveis de satisfao dos usurios internos e clientes com relao
disponibilidade e qualidade dos servios de TI; reduo dos custos operacionais de
TI;

reconhecimento

da

colaboradores e clientes.

capacidade

de

gerenciamento

pelos

acionistas,

124

8 ANLISE COMPARATIVA DOS FRAMEWORKS COBIT


E ITIL
Atualmente a TI dirige os negcios para diversas organizaes em
variados setores da economia. O sucesso da empresa no mercado depende da alta
disponibilidade, segurana e desempenho dos servios de TI. Esta dependncia
determinou o desenvolvimento de ferramentas, tcnicas e metodologias que
propem prticas para implantao da governana e gesto eficaz dos servios de
TI. O crescimento dos investimentos, aumento das exigncias dos rgos
reguladores e da complexidade das operaes de TI, levou as empresas a buscarem
modelos que facilitassem a descrio e os objetivos dos vrios servios e ambientes
de TI, a representao de como esses servios se inter-relacionam e orientao
para a implementao e controle destes servios.
A governana de TI um fator relevante diante do cenrio apresentado e
os modelos estudados mostram-se eficazes para sua implantao em uma
organizao.
A anlise dos frameworks apresentados torna claro que seus objetivos
no so os mesmos, embora apresentem algumas similaridades:

tratam do gerenciamento de processos genricos,

no restringem o segmento de negcio da organizao que deseja


aplicar o modelo para a otimizao na gesto de TI;

no abordam detalhes especficos de como implantar os controles em


cada rea de TI;

so compatveis com a maioria das ferramentas, modelos e normas


para boas prticas de governana de TI existentes no mercado;

permitem a realizao de um benchmark entre a situao da


organizao e a situao do mercado;

abordam de forma abrangente todo o gerenciamento de TI de uma


organizao;

125

so orientados processos e segmentam esses processos em


objetivos/atividades;

geram produtos para todos os nveis da organizao :

para o operacional, aplicam-se as recomendaes do que se deve


fazer e como;

para o nvel ttico, aplicam-se as mtricas para se avaliar a execuo


dos processos de TI;

para o nvel estratgico, aplica-se o alinhamento dos objetivos do


negcio com os objetivos de TI da organizao.

O COBIT o modelo indicado para mapear a situao da rea de TI de


uma organizao, como ela se posiciona em relao as melhores organizaes do
seu ramo e em relao aos padres internacionais e onde a organizao deseja
chegar. Para esta tarefa so definidos os indicadores de desempenho que mediro
se a performance dos processos de TI est na direo correta para se atingir os
objetivos. Este processo auxiliar a organizao na definio do que precisa ser
implementado para que o nvel acordado de controle seja efetivamente alcanado.
O COBIT deve ser utilizado como uma ferramenta para avaliao dos
riscos e os resultados de sua aplicao podem ser utilizados para informar aos
administradores se os processos de TI esto de acordo com os requerimentos do
negcio.
Por apresentar modelos genricos de processo, modelos de maturidade e
avaliao e guias de auditoria definidos, o COBIT aplica-se como um modelo para
auditoria de sistemas eficaz.
Conforme exposto, O COBIT no determina como os processos devem
ser estruturados, e sim os controles que eles devem possuir para que TI cumpra
seus objetivos em termos de governana, ou seja: alinhamento e entrega de valor
por parte da rea de TI para o negcio; correta alocao e medio dos recursos
envolvidos; a mitigao dos riscos em TI.

126

O COBIT no apresenta formas para estruturar os processos ou implantar


os controles, apenas aponta que controles devem ser implantados. Nesta
estruturao surge a necessidade da utilizao de ferramentas, conceitos e modelos
que o complementem, umas delas o ITIL.
O ITIL apresenta um foco menos estratgico, mais ttico e operacional,
voltado identificao, organizao, execuo e padronizao dos processos.
Atravs da sua aplicao, pode-se atingir a eficincia dos processos, reduo de
riscos e conformidade estabelecidos atravs do COBIT.
Conforme colocado anteriormente, o COBIT voltado para os gerentes,
que necessitam avaliar os riscos e controlar os investimentos de TI; os usurios, que
precisam assegurar a qualidade dos servios prestados para clientes internos e
externos; e os auditores de sistemas que necessitam avaliar a gesto da TI e
apontar recomendaes para o aperfeioamento do controle interno da organizao.
O ITIL aponta as melhores prticas para todas as atividades gerenciais s
quais for aplicado, relembramos algumas: gerenciamento de incidentes, de
problemas, financeiro, para servios de TI e suporte, entre outras.
importante ressaltar que os autores dos dois modelos colocam que no
se trata de receitas ou frmulas prontas. Ambos devem ser encarados como quadros
de referncia para as estruturas dos processos de TI visando sua otimizao e no
como um algoritmo de como se deve implementar os processos de TI. Devem ser
utilizados como guias para melhorar a estrutura de TI da organizao.
Para que as metodologias empregadas tenham resultados, preciso que
exista comprometimento da administrao e investimento de recursos. necessrio
ainda, realizar uma avaliao dos processos para a identificao das fragilidades e
dos pontos fortes de TI na organizao, preciso identificar quais processos
realmente precisam ser implantados, quais os pontos de maior risco e qual ser o
impacto nos outros setores da empresa.

127

9 INTEGRAO DAS METODOLOGIAS E PADRES


PARA GOVERNANA E/OU GESTO DE TI
O objetivo deste captulo apresentar uma viso geral de como alguns
dos principais modelos e padres aplicveis TI disponveis no mercado se
relacionam e podem contribuir em um processo de implantao da governana de
TI. A integrao dos modelos COBIT e ITIL ser apresentada de forma detalhada no
captulo 10.
Visto que cada modelo foca em um aspecto especfico da governana e
gesto de TI, apresentaremos neste captulo alternativas de integrao de seus
processos. O COBIT focado na implantao da governana de TI e no controle dos
processos, o ITIL focado no gerenciamento de servios, porm algumas atividades
so complementares.
Existem vrias metodologias disponveis no mercado e cada uma foca em
um aspecto especfico da governana ou gesto de TI, conforme apresentado na
Tabela 9.1.
Tabela 9.13 - Quadro comparativo de modelos e seus objetivos
Modelo

Objetivo

Foco Primrio

BSC

Planejamento e gesto estratgica

Governana Coorporativa

COBIT

Governana e controle de processos

Governana de TI

ITIL

Gerenciamento de servios

Gerenciamento de TI

CMMI

Desenvolvimento de solues

Gerenciamento de TI

ISSO/IEC 9001

Qualidade de processos e produtos

Governana Coorporativa

PMBok

Gerenciamento de projetos

Gerenciamento de TI

Segurana da Informao

Gerenciamento de TI

ISSO/IEC 20000

Gesto de Servios

Gerenciamento de TI

Conjunto de normas

Gerncia da Segurana da

Gerenciamento de TI

ISO/IEC 17799 e BS
7799

128

ISSO/IEC 27000

Informao

BS 15000

Gesto de Servios

Governana de TI

PRINCE2

Gerenciamento de projetos

Gerenciamento de TI

As normas BS 15000 e ISO/IEC 20000 so consideradas normas de


Gesto de Servios. A BS 15000 foi a primeira norma formal para gesto de servios
de TI desenvolvido pela British Standards Institution (BSI). Embora seja baseada no
modelo de processos do ITIL, fornece especificaes claras para implementao de
um processo de gesto de servios em TI.
A BS 15000 dividida em 2 partes, sendo que a primeira parte especifica
13 processos e a base para implementar e certificar um sistema de gerenciamento
para fornecimento de servios de TI. A segunda parte um cdigo de prticas que
amplia os requerimentos da primeira. Fazem parte de seu escopo:

escopo dos servios de sistema de gesto;

termos e definies;

planejamento e implementao dos processos de gesto de servios;

planejamento e implementao de gesto de novos servios ou


modificaes dos servios existentes.

A ISO 20000 surgiu como uma evoluo da ISO 15000, e embora as


alteraes sejam mnimas, trata-se de um formato internacional mais adequado.
Assim como sua predecessora, a ISO 20000 dividida em duas partes: a ISO
20000-1, promove a adoo de processos integrados para a gesto de servios a
fim de alcanar os requerimentos dos clientes e do negcio; e a ISO 20000-2 um
cdigo de prticas e descreve as melhores prticas para a gesto de servios dentro
do escopo da ISO 2000-1.
As normas BS 15000 e ISO 20000 so alinhadas em seus objetivos com
o modelo ITIL, sendo que, o ITIL fornece o conjunto de melhores prticas que, uma
vez adotadas, auxiliaro as organizaes a encontrarem a qualidade de gesto de
servio requerida pelas normas BS 15000 e ISO 20000. O modelo ITIL serviu de

129

base para o desenvolvimento da BS 15000, que por sua vez serviu de base para o
desenvolvimento da ISO 20000.
A norma britnica BS 7799 British Standard 7799 - publicada em 1995,
um cdigo de prticas planejado para ser usado como uma referncia para os
gerentes e responsveis pela segurana da informao nas organizaes. Deve
servir de base para a criao de uma poltica de segurana e aborda os seguintes
tpicos: avaliao de riscos, gesto de riscos, implementao de meios de
segurana, declarao de aplicabilidade. A BS 7799 foi internacionalizada pelo
padro ISO/IEC 17799, que tem como equivalente brasileiro a ABNT NBR ISO/IEC
17799.
A srie ISO 27000 est de acordo com outros padres de sistemas de
gerncia ISO, como a ISO 9001. A ISO/IEC 27001 um padro para sistema de
gerncia da segurana da informao (ISMS - Information Security Management
System) publicado em outubro de 2005. Seu objetivo ser usado em conjunto com
ISO 17799, o cdigo de prticas para gerncia da segurana da informao, que
lista objetivos do controle de segurana e recomenda um conjunto de especificaes
de controles de segurana. Organizaes que implementam um ISMS de acordo
com as melhores prticas da ISO 17799 esto simultaneamente em acordo com os
requisitos da ISO 27001. Esta famlia de normas contempla tambm padres
especficos para: Vocabulrio de Gesto da Segurana da Informao, Gesto de
Risco, Mecanismos de Mediao e de Relatrio de um Sistema de Gesto de
Segurana da Informao e Implementao, Monitoramento e Melhoria Contnua do
Sistema de Controles.
Informaes detalhadas e outras normas para tecnologia da informao e
gerncia de TI continuam a ser publicadas pela ISO e podem ser adquiridas no site
oficial da organizao.
Embora com objetivos distintos, existem diversas reas de interseo
entre os modelos apresentados. O framework COBIT e os padres ISO 9001 e ISO
17799 podem ser utilizados na identificao do que deve ser gerenciado; para como
deve ser efetuada a gerncia pode-se utilizar o COBIT, CMMI, ISO 17799 e PMBoK;
para o que deve ser executado pode-se utilizar o ITIL, CMMI, ISO 17799 e PMBoK;

130

para os detalhes da execuo necessrio a utilizao de outras ferramentas e


mtodos especficos. Estes relacionamentos esto horizontalmente ilustrados na
Figura 9.1.

Figura 9.25 Relacionamento entre os modelos, padres e suas reas de atuao


(Adaptado de: Project Management University, 2006).

As melhores prticas de TI devem ser alinhas s exigncias do negcio e


integradas com os procedimentos internos de cada organizao. O COBIT pode ser
utilizado em um nvel mais elevado, fornecendo uma estrutura de controle baseada
nos processos de TI. As reas especficas devem ser cobertas por outros padres
como o ITIL ou as normas BS e padres ISO, que podem ser integradas ao COBIT.

131

10 INTEGRAO DOS FRAMEWORKS COBIT E ITIL


PARA UM PROCESSO DE IMPLANTAO DE
GOVERNANA DE TI
Com os processos de cada modelo classificados e detalhados, torna-se
necessrio realizar um mapeamento de correspondncia entre os processos para
que ambos os modelos possam ser usados conjuntamente em um processo de
implantao da governana de TI.
Durante um processo de implantao da governana de TI em uma
organizao, prudente a utilizao de frameworks que abordem os aspectos
relacionados com as reas foco da governana: Alinhamento Estratgico, Entrega
de Valor, Gerncia de Recursos, Gerncia de Riscos e Medio de Desempenho.
Realizando-se uma anlise dos padres COBIT e ITIL possvel
estabelecer uma matriz genrica de correspondncias e relacionamento entre os
seus processos, visando a implantao da governana de TI, conforme demonstrado
na Tabela 10.1.
Tabela 10.14 - Relacionamento entre os livros do ITIL e os objetivos do COBIT para
governana de TI
Livros do ITIL
Prestao de Servio
Suporte de Servio
Gerenciamento da Infra-Estrutura
Gerenciamento de Aplicaes
Planejamento para Implementao do
Gerenciamento de Servios
Perspectiva do Negcio

Objetivos de Controle Relacionados


do COBIT
PO9, AI1, DS1, DS2, DS3, DS4, DS5,
DS6, DS8, DS9, MA3
DS8, DS9, DS10, AI5, AI6
PO1, PO3, PO4, AI1,AI3, AI5, DS8,
DS10, DS12, DS13, MA2
AI1, AI2, AI5, PO2, PO6
PO4, PO6, DS1, DS2, MA1
PO1, DS1, DS2, MA1

132

Atendimento ao Cliente

PO8, DS8, MA2

Gerenciamento da Segurana

PO9, DS5, DS11, DS12, MA2,

Os objetivos de controle do COBIT no se relacionam diretamente s


atividades descritas no ITIL. Para integr-los preciso observar os objetivos
detalhados. Esta anlise apresentada na Tabela 10.2.

Tabela 10.15 - Integrao dos frameworks COBIT e ITIL

Atendimento ao Cliente

Planejamento e Implementao

Gerenc. Da Segurana

Gerenc. Da Infra-Estrutura

Gerenc. De Aplicaes

Perspectiva do Negcio

Gerenc. De Disponibilidade

Gerenc. De Continuidade

Gerenc. De Capacidade

Gerenc. Financeiro

Prestao de Servio

Gerenc. De Nveis de Serv.

Gerenc. De Configurao

Gerenc. De Verses

Gerenc. De Mudanas

Gerenc. De Problemas

reas do ITIL

Suporte de Servio

Gerenc. De Incidentes

Domnios e Objetivos
de Controle do
COBIT

PO - Planejamento e
Organizao
PO1 - Definir um plano

estratgico de TI
PO2 - Definir a arquitetura das

informaes
PO3 - Determinar a direo

tecnolgica
PO4 - Definir a estrutura e o

relacionamento de TI
PO5 - Gerenciar o investimento

em TI
PO6 - Divulgar os objetivos e a

orientao da gerncia
PO7 - Gerenciar os recursos
humanos
PO8 Gerenciar qualidade

133

PO9 - Avaliar os riscos

PO10 - Gerenciar os projetos


AI Aquisio e Implementao
AI1 Identificar solues

automatizadas
AI2 Adquirir e prestar

manuteno em softwares
aplicativos
AI3 Adquirir e realizar

manuteno na infra-estrutura
tecnolgica
AI4 Documentar e informar
sobre uso e operao dos
sistemas
AI5 Aquisio de recursos de

TI
AI6 Gerenciar alteraes
AI7 Instalar e certificar
solues e mudanas
DS Distribuio e Suporte
DS1 Definir e gerenciar nveis

de servios
DS2 Gerenciar servios de
terceiros
DS3 Gerenciar desempenho e
capacidade

Atendimento ao Cliente

Planejamento e Implementao

Gerenc. Da Segurana

Gerenc. Da Infra-Estrutura

Gerenc. De Aplicaes

Perspectiva do Negcio

Gerenc. De Disponibilidade

Gerenc. De Continuidade

Gerenc. De Capacidade

Gerenc. Financeiro

Prestao de Servio

Gerenc. De Nveis de Serv.

Gerenc. De Configurao

Gerenc. De Verses

Gerenc. De Mudanas

Gerenc. De Problemas

reas do ITIL

Suporte de Servio

Gerenc. De Incidentes

Domnios e Objetivos
de Controle do
COBIT

134

DS4 Assegurar a continuidade

Atendimento ao Cliente

Planejamento e Implementao

Gerenc. Da Segurana

Gerenc. Da Infra-Estrutura

Gerenc. De Aplicaes

Perspectiva do Negcio

Gerenc. De Disponibilidade

Gerenc. De Continuidade

Gerenc. De Capacidade

Gerenc. Financeiro

Prestao de Servio

Gerenc. De Nveis de Serv.

Gerenc. De Configurao

Gerenc. De Verses

Gerenc. De Mudanas

Gerenc. De Problemas

reas do ITIL

Suporte de Servio

Gerenc. De Incidentes

Domnios e Objetivos
de Controle do
COBIT

do servio
DS5 Assegurar a segurana

dos sistemas
DS6 Identificar e alocar custos

DS7 Educar e treinar usurios


DS8 Gerenciar o atendimento

aos clientes e incidentes


DS9 Gerenciar as

configuraes
DS10 Gerenciar problemas e

incidentes
DS11 Gerenciar informaes

DS12 Gerenciar as

instalaes
DS13 Gerenciar as operaes

MA Monitoramento e
Avaliao
MA1 Monitorar e avaliar a

performance da TI
MA2 Monitorar e avaliar os

controles internos da TI
MA3 Assegurar conformidade

com as prticas regulatrias


MA4 Prover a governana de
TI
(X) Processos que tratam de temas correlatos, so complementares ou podem ser integrados.

135

No mapeamento apresentado nas tabelas 10.1 e 10.2 considera-se os


macro-processos, e os objetivos de controle detalhados, respectivamente, apenas
dos modelos COBIT e ITIL. Porm, em ITGI (2007) encontram-se mapeamentos
genricos entre estes e outros modelos, como o padro BS7799.
Os processos que se encontram marcados na Tabela 10.2 apresentam
correspondncia direta entre seus objetivos, contudo realizando uma anlise mais
ampla observa-se que, devido ao fato de ambos os modelos apresentarem como
objetivo estratgico o alcance da governana de TI, a aplicao de atividades que
aparentemente no esto relacionadas contribui para um mesmo fim: aprimorar os
controles no ambiente de TI e conseqentemente atingir os objetivos da governana.

136

11 CONCLUSO

11.1 CONSIDERAES FINAIS


Para muitas organizaes a Tecnologia da Informao representa um
recurso precioso e um fator crtico para o negcio. Os desafios enfrentados na
administrao de TI so significativos e progressivos: os objetivos estratgicos do
negcio dependem do desempenho da TI; a criticidade dos servios prestados pela
TI requer aumento da confiabilidade, disponibilidade e qualidade dos servios; o
aumento da complexidade e do custo dos recursos de TI precisa ser gerenciado
dinamicamente; medidas regulatrias e demandas legais aumentam a visibilidade do
desempenho e das fragilidades da rea de TI.
Estes desafios atuam como motivadores para a implantao da
governana de TI. Segundo o ITGI (2006), as empresas bem sucedidas
compreendem os benefcios da Tecnologia de Informao e usam este
conhecimento para agregar valor ao negcio.
A introduo da governana de TI na cultura de uma organizao requer
mudanas estruturais profundas, que necessitam de esforo e investimento. Neste
processo, necessria uma anlise da relao custo x benefcio e dos objetivos que
a organizao pretende atingir. consenso entre os autores pesquisados que,
adotar um framework de melhores prticas para implantao da governana de TI
recomendvel. As melhores prticas internacionais disponveis representam a
experincia prtica acumulada por inmeras empresas, profissionais de TI e
auditores, o que poupa as organizaes do esforo de desenvolv-las, test-las e,
conseqentemente, minimizando a possibilidade de erros.
Para empresas que necessitam adequar-se legislao SOX ou que
pretendem estar de acordo com as conformidades estabelecidas por esta e outras
legislaes, visando maior competitividade no mercado ou buscando expanso
internacional, as melhores prticas apresentam-se como guias estratgicos de
diretrizes a seguir. Embora existam vrios padres que uma empresa pode usar na

137

definio e documentao de seus controles internos para governana de TI, a


maioria das organizaes e auditores adotou o COBIT.
Constatou-se que em um processo de implantao da governana de TI
em uma organizao, uma abordagem inicial utilizando-se o modelo COBIT
recomendada. O COBIT foca na definio de estruturas organizacionais, controles,
processos e responsabilidades, permitindo que as partes interessadas (executivos,
alta direo, gerentes, investidores, auditores etc.) tenham um diagnstico da
situao da rea de TI. Seu objetivo garantir que a TI sustente as estratgias do
negcio e contribua para o alcance das metas da organizao. Para atingir este
resultado, o COBIT aponta diversos controles sobre os recursos de TI, apresentados
neste trabalho. A aplicao desses controles objetiva assegurar a qualidade,
confiabilidade, disponibilidade e segurana das informaes. Os objetivos de
controle focam nas cinco reas principais da governana de TI: alinhamento
estratgico, gerncia de recursos, gerncia de riscos, entrega de valor e mtricas de
desempenho.
Conforme apresentado neste trabalho, o COBIT atua em um nvel
estratgico, apontando o que precisa ser feito para atingir a governana de TI, mas
sem mais especificaes de como este processo deve ser realizado. Assim, em uma
segunda etapa do processo de implantao da governana ou de aprimoramento
dos controles internos da rea de TI, recomenda-se a utilizao de outros modelos,
como o ITIL.
O ITIL consiste em um conjunto de livros, que traz uma descrio
detalhada de recomendaes e melhores prticas para gerenciamento de servios e
infra-estrutura de TI. Seus objetivos principais so alinhar os objetivos da TI aos
objetivos do negcio, melhorar a qualidade do servio prestado e reduzir custos. A
aplicao do ITIL contribui para a implantao da governana em um nvel mais
ttico, cobrindo aspectos relevantes para o gerenciamento de TI, em nveis distintos
de detalhamento. O ITIL aborda a TI como uma prestadora de servio que fornece
requisitos bsicos para a operao do negcio e que necessita garantir a prestao
dos servios dentro dos parmetros definidos. Dentre os controles estabelecidos
para garantir o funcionamento deste processo, destaca-se os acordos de nveis de

138

servio, que buscam formalizar a confiabilidade (suporte ao negcio), qualidade


(disponibilidade e desempenho) e custo estabelecidos. Uma estratgia inicial para
implementar ITIL realizar uma avaliao dos processos da organizao utilizando
COBIT, desta forma pode-se identificar as fraquezas e foras da estrutura de TI.
Estas avaliaes podem se repetir posteriormente para avaliar o progresso do
projeto.
Existem outros modelos e padres com focos em aspectos especficos da
governana e gesto de TI, este trabalho procurou citar normas e outras
metodologias que podem ser integradas ao COBIT e ITIL em um processo de
governana, tais como CMMI, Prince2 e PMBoK, alm de outras normas e padres
internacionais.
A integrao dos modelos COBIT e ITIL apresentada neste trabalho teve
como objetivo relacionar de forma simplificada o maior nmero possvel de
controles. Visto que, em um processo de governana, quanto maior o nmero de
atividades estiver em consonncia com as melhores prticas, maiores chances de
alcance do alinhamento estratgico.
Os autores citados neste estudo deixam claro que as melhores prticas
no so frmulas mgicas. Devem ser encaradas como quadros de referncia para
as estruturas dos processos de TI, visando sua melhoria, e no como receitas de
como se deve implementar os processos. Alm disso, podem ser utilizadas como
guias para melhor estruturar a TI da organizao.
Destaca-se que os padres e as melhores prticas no garantem sucesso
na implantao da governana, sua eficcia depende de como foram executados e
do comprometimento com a continuidade do processo. Porm, so bastante teis
quando aplicados como um guia para implantar e organizar procedimentos de
controle especficos. Para evitar o obstculo da resistncia, a gerncia e a equipe
devem compreender o que fazer, como fazer e por que importante.
Conforme exposto ao longo deste estudo, a organizao pode
implementar tantos processos, ou controles sugeridos pelos modelos apresentados,
quanto necessrio, sempre observando se o custo e os benefcios da implantao
esto de acordo com as estratgias do negcio. Os modelos e padres

139

apresentados, assim como a integrao proposta neste trabalho, permitem realizar


uma avaliao detalhada da estrutura de TI, facilitando o gerenciamento e controle
dos processos, e conseqentemente, contribuindo para os objetivos da governana.

11.2 QUANTO AOS OBJETIVOS ESPECFICOS


Para cada objetivo estabelecido no incio do trabalho, sucederam-se
tarefas no sentido de alcanar os resultados esperados. Considerando-se que este
trata-se de um trabalho terico, o mecanismo utilizado foi uma vasta pesquisa e
reviso de material bibliogrfico, que serviu como base para os captulos
apresentados. A seguir apresenta-se a lista de objetivos e os resultados de cada
etapa.
11.2.1 OBJETIVO ESPECFICO I
I Apresentar o conceito de governana em TI e a importncia dos
controles para a otimizao dos processos de TI.
Para o estudo da governana de TI foi utilizada uma vasta reviso
bibliogrfica baseada em livros e artigos que abordam o assunto, o resultado
apresenta-se no captulo 3. Acredita-se que este objetivo foi alcanado, uma vez que
atravs da leitura do captulo pode-se perceber o que a governana de TI, a que
ela se prope, formas de implant-la e quais objetivos deve-se pretender na
implantao de um processo de governana.
11.2.2 OBJETIVO ESPECFICO II
II - Apresentar detalhadamente as metodologias aplicveis para alcance
da governana de TI COBIT.
Para o estudo do COBIT, foram utilizadas as referncias bibliogrficas
apresentadas em ITGI (2005), sendo a principal o documento do COBIT na ntegra,
constitudo pelo Sumrio Executivo, Estrutura do Framework e os quatro livros
correspondentes aos domnios ou processos-macro: Planejamento e organizao,
Aquisio e implementao, Distribuio e suporte e Monitorao e avaliao.

140

Aps a leitura e anlise do material, apresentou-se um resumo do


framework, no captulo 4. Acredita-se que este captulo proporciona ao leitor uma
viso abrangente e detalhada do modelo e suas propostas. Como a organizao do
captulo segue a mesma estrutura do documento original, ele atua tambm como
guia, propiciando ao leitor uma viso de em que parte do COBIT procurar a
informao que necessita.
Acredita-se que o COBIT bastante til em um processo de implantao
da governana de TI e recomenda-se o seu uso na fase inicial, para levantamento e
avaliao do nvel de maturidade dos processos. Aps esta etapa, o COBIT pode ser
utilizado como um guia para definio dos objetivos estratgicos que devem ser
alcanados pela TI para atender os objetivos do negcio. Este processo envolve o
uso dos indicadores de desempenho e requer um benchmark com os controles
apresentados pelo modelo.
Observou-se tambm que o COBIT vem sendo adotado pelos rgos
reguladores e fiscalizadores de alguns setores da economia, assim ele se mostra
igualmente til para administradores de TI que necessitam atingir a conformidade
com as prticas exigidas pelo mercado e para auditores que necessitam verificar se
os processos de TI esto aderentes s melhores prticas.
Os desenvolvedores do COBIT, ISACA Systems Audit and Control
Association e IT Governance Institute, acreditam que o modelo incorpora e
aprofunda as prticas internacionais de Governana de TI j mencionadas por outros
frameworks como ITIL, ISO/IEC 17799, ISO/IEC 13335, ISO/IEC 15408, TickIT, NIST
e COSO.
O COBIT pode ser utilizado como base na definio de planos de
auditoria em TI, visto que contempla todos os processos principais de um
departamento de tecnologia.
11.2.3 OBJETIVO ESPECFICO III
III - Apresentar detalhadamente as metodologias aplicveis para alcance
da governana de TI ITIL.

141

Para o estudo do ITIL, foram utilizadas as referncias bibliogrficas


apresentadas em ITSMF(2003), sendo a principal o documento IT Service
Management, que traz uma descrio dos conceitos e caractersticas que so
aprofundadas nos mais de 40 livros e materiais componentes do modelo. Por tratarse de um mateiral bastante extenso, optou-se por apresentar uma viso geral dos 7
livros principais, que proporcionasse ao leitor uma base do corao do framework e
atuasse como guia para os demais assuntos.
O resumo apresentado no captulo 5 apresentou um resumo do modelo,
sua estrutura e os detalhes de seus componentes principais: Prestao de Servio e
Suporte de Servio. Foram abordadas todas as reas cobertas por estes 2 livros,
com foco nos controles que devem ser gerenciados em cada um.
Acredita-se que o ITIL, assim como o COBIT, bastante til em um
processo de implantao e aprimoramento da governana de TI em uma
organizao. Observa-se porm, que este deve ser implantado em uma segunda
etapa, aps a avaliao e identificao dos controles necessrios, o ITIL revela-se
uma ferramenta poderosa para mapear os recursos de infra-estrutura de TI e
estabelecer critrios para gerenci-la com foco na prestao de servio. O ITIL
considera a rea de TI uma prestadora e, em algumas organizaes, o cliente o
prprio negcio. Atravs do ITIL, possvel desenvolver estruturas que garantam a
continuidade da prestao de servio, a qualidade do servio prestado e a gerncia
responsvel dos recursos envolvidos. Por trata-se de um conjunto de prticas j
testadas e aprovadas, a chance de sucesso na implantao de processos do ITIL
maior. Ainda que seu objetivo principal no seja a governana de TI, este modelo
busca em seus processos o alinhamento estratgico como resultado final e seus
resultados colaboram com os objetivos da governana de TI.

11.2.4 OBJETIVO ESPECFICO IV


IV - Apresentar outros modelos e padres que possam ser integrados ao
COBIT e ITIL, buscando cobrir reas da governana de TI que no estejam
contempladas nestes modelos.

142

Atravs do estudo dos modelos COBIT e ITIL observou-se que estes no


so suficientes para contemplar todos os aspectos da implantao de um processo
de governana de TI. Assim, no captulo 9 foi apresentada uma viso geral de como
alguns dos principais modelos e padres aplicveis TI disponveis no mercado se
relacionam e podem contribuir com este processo. A pesquisa baseou-se em
verificar as reas especficas no cobertas pelo COBIT e ITIL, ou cobertas apenas
superficialmente, e posteriormente em identificar outros modelos disponveis no
mercado. Conforme previsto, os modelos e principais normas e padres foram
citados, abordando-se resumidamente sua compatibilidade com os 2 principais
frameworks analisados. Acredita-se que o captulo informa ao leitor, resumidamente,
quais modelos procurar (alm de COBIT e ITIL) para implantar e aprimorar os
controles no ambiente de TI, ressaltando-se que para os detalhes da execuo
necessrio a utilizao de outras ferramentas e mtodos especficos que variam de
acordo com a necessidade da organizao e o problema enfrentado durante o
processo de governana.
Acredita-se que as melhores prticas de TI devem ser alinhas s
exigncias do negcio e integradas aos procedimentos internos de cada
organizao. O COBIT pode ser utilizado em um nvel mais elevado, fornecendo
uma estrutura de controle baseada nos processos de TI. As reas especficas devem
ser cobertas por outros padres como o ITIL, as normas BS e padres ISO, e
demais modelos apresentados.
11.2.5 OBJETIVO ESPECFICO V
V - Apresentar uma anlise comparativa, delimitando o escopo de
aplicao dos modelos.
No captulo 8, tomando-se como base a reviso dos captulos 4 e 5,
realizou-se uma anlise comparativa do COBIT e ITIL, resumindo suas principais
caracteristicas, finalidades, semelhanas e pontos de diferenciao. Neste captulo
pretendeu-se realizar uma concluso geral sobre todos os aspectos estudados sobre
os frameworks, situando suas indicaes em um processo de governana de TI.

143

11.2.6 OBJETIVO ESPECFICO VI


VI - Citar casos de aplicao dos frameworks no mercado, evidenciando
sua eficcia.
A anlise individual do modelo COBIT e os casos pesquisados de
aplicao foram apresentados no captulo 6, tomando como base a reviso
executada no captulo 4 e artigos correlatos. No captulo 7 seguiu-se o mesmo
procedimento para o modelo ITIL, tomando como base a reviso do captulo 5 e
artigos correlatos. As informaes apresentadas dos casos de aplicao dos
modelos analisados, foram pesquisadas em artigos e sites de organizaes, cujas
referncias podem ser obtidas nos captulos de anlise e no captulo de Referncias
Bibliogrficas.

11.2.7 OBJETIVO ESPECFICO VII


VII - Apresentar a integrao dos modelos com foco na implantao de
um processo de governana de TI.
Nos captulos 8 e 10 observa-se a maior contribuio deste trabalho.
Conforme descrito acima, no captulo 8 apresentou-se uma anlise comparativa dos
modelos COBIT e ITIL, j no captulo 10 apresentou-se um esboo de integrao
dos modelos. A tcnica adotada foi elencar os domnios do COBIT e seus objetivos
de controle e relacion-los com as atividades tratadas nos livros do ITIL, de forma a
proporcionar ao leitor maior facilidade na busca de informaes. O objetivo foi
relacionar o maior nmero possvel de controles, visto que, em um processo de
governana, quanto maior o nmero de atividades estiverem em consonncia com
as melhores prticas, maiores chances de alcance do alinhamento estratgico.

144

11.3 QUANTO AO OBJETIVO GERAL


Acredita-se que o objetivo principal deste trabalho foi atingido,
compreendeu-se os conceitos da governana de TI e a relevncia de sua aplicao
nas organizaes, e apresentou-se uma anlise detalhada dos dois modelos mais
aceitos no mercado (COBIT e ITIL), aplicveis em um processo de implantao da
governana de TI. Todos os objetivos especficos foram atingidos e foi apresentada
ainda, uma integrao dos modelos estudados.

11.4 QUANTO S PERSPECTIVAS DE CONTINUIDADE


Por tratar-se de um assunto bastante extenso e complexo, muitas
questes poderiam ser aprofundadas a partir dos conceitos aqui apresentados.
Estudos que dariam continuidade a este trabalho na rea de
conhecimento de Auditoria de Sistemas seriam os seguintes:

desenvolvimento de uma metodologia de auditoria de sistemas


baseada no COBIT e ITIL;

desenvolvimento de planos de auditoria especficos com base nos


modelos aqui apresentados;

modelagem de um sistema para automatizao de avaliao

de maturidade baseado no COBIT.

Estudos que dariam continuidade a este trabalho na rea de


conhecimento de Governana e Gerncia de TI seriam os seguintes:

verificao prtica da aplicabilidade da integrao proposta no


ambiente de uma organizao;

aplicao

dos

conceitos

apresentados

em

estudos

de

caso,

especificamente processos de implantao de governana de TI, para


se comprovar na prtica os resultados.

145

Estudos que dariam continuidade a este trabalho em outras reas de


conhecimento:

ampliar o escopo da integrao proposta, abordando-se outros


frameworks.

11.5 LIMITAES DA PESQUISA


Este trabalho limitou-se a identificar o que a governana de TI, suas
caractersticas e benefcios de sua implementao. Sendo que o processo de
implantao da governana bastante amplo, elegeram-se dois frameworks de
melhores prticas para estudo. Assim, o escopo deste trabalho restringiu-se a uma
pesquisa terica da aplicao dos modelos COBIT e ITIL , sem entrar em detalhes
sobre outros modelos ou testes prticos.

146

12 REFERNCIAS
Aplicaes Ou Casos De Sucesso. Disponvel em:
<http://www.cnasi.com.br/casosdesucesso>.
BOAR, Bernard H. Tecnologia da informao: a arte do planejamento estratgico.
So Paulo: Berkeley, 2002.
BOAR, Bernard H. Practical Steps for Aligning Information Technology with
Business Strategies: How to Achieve a Competitive Advantage.
John Wiley & Sons, 1994.
BOAR, Bernard H. The art of strategic planning for information technology:
crafting strategy for the 90s. USA: John Wiley & Sons, 1993.
CACIATO, Luciano Eduardo. Mtricas e metodologias do gerenciamento de TI.
REVISTA TI, 25 de janeiro de 2005.
CAMPBELL, Philip L. A COBIT Primer Article. 2006. Disponvel em:
<http://www.osti.gov/bridge> Acesso em: 03 de agosto de 2007.
CARVALHO, T. C. Falta a Chamada Governana de TI. 2004. Disponvel em:
<http://www.itweb.com.br/colunista/artigo.asp?id=50613>.
Casos de Sucesso COBIT. Disponvel em: <http://www.isaca.org/Template.cfm?
Section=COBIT6&CONTENTID=22129&TEMPLATE=/ContentManag
ement/ContentDisplay.cfm>.
CHIAVENATO, Idalberto. Introduo teoria geral da Administrao. 4. ed. So
Paulo: Makron Books, 1993.
CHIAVENATO, Idalberto. Administrao nos novos tempos. 2 ed. Rio de Janeiro:
Campus, 2003.
COBRA Risk Consultant http://www.securitypolicy.co.uk/risk.htm. Acessado em
20 de fevereiro de 2003.
COBRA, Marcos. Administrao de Marketing. 2. ed. So Paulo: Atlas, 1992.
CONGRESSO NACIONAL DE AUDITORIA DE SISTEMAS E SEGURANA DA
INFORMAO, 2007. So Paulo. CNASI.
Conhea o que o ITIL e o que o COBIT. Info Corporate. Disponvel em:
<http://www.path.com.br/noticia22.html>. Acesso em: 14 agosto
2007.

147

DRAFT BS 7799-2:2002, Information Security Management - Part2: Specification for


Information Security Management System. BSI, Novembro de 2001.
DRUCKER, Peter F. Como reagir s mudanas. Revista HSM Management L,
maio/abril, 1997.
ESMERALDO, Ccero. Governana de TI: Conceitos bsicos de Governana de TI
e a sua importancia para os negcios. 2006. Disponvel em:
<http://www.tradein.com.br/default.asp?key=art&idi=5>.
FAGUNDES, Eduardo Mayer. Um Kit de Ferramentas para a Excelncia na
Gesto de TI. 2004. Disponvel em:
<http://www.efagundes.com/Artigos/Arquivos_pdf/COBIT.pdf>
FERNANDES, Aguinaldo Aragon; ABREU, Vladimir Ferraz de. Implantando a
Governana de TI: da Estratgia Gesto dos Processos e
Servios. Rio de Janeiro: Brasport, 2006.
FERREIRA, Aurlio Buarque de Holanda. Dicionrio da Lngua Portuguesa. Rio
de Janeiro: Nova Fronteira, 1999.
FERREIRA, Cludio. Governana: A nova direo de TI alinhada aos resultados
corporativos. TI Inside, So Paulo, v. 1, n. 3, jun. 2005.
GARCIA, Wandair Jos. Modelo de Planejamento Estratgico de Tecnologia da
Informao em Empresas Globais. 2005. Dissertao (mestrado
em Engenharia de Produo). Universidade Federal de Santa
Catarina.
HOLM, Michael Larsen; KHN, Mogens Pedersen; VIBORG, Kim Andersen. IT
Governance: Reviewing 17 IT Governance Tools and Analysing the
Case of Novozymes A/S. Proceedings of the 39th Hawaii
International Conference on Systems Sciences - 2006. IEEE. Koloa,
Kauai. Janeiro, 2006, p. 11.
IBGC. Governana Corporativa. Disponvel em:
<http://www.ibgc.org.br/ibConteudo.asp?IDArea=2>
IETEC- Instituto de Educao Tecnolgica. ISO IEC 27000 e 20000 - os padres
para gerenciar a TI. Disponvel em:
<http://www.ietec.com.br/ietec/cursos/area_tecnologia_da_informaca

148

o/2007/05/24/2007_05_24_0001.2xt/materia_gestao/2007_05_24_03
44.2xt/dtml_boletim_interna>
ISACA - Information Systems Audit and Control Association 2006. Disponvel
em: <http://www.isaca.org>
ISO HOME http://www.iso.org/iso/store.htm
ISO 17799 World - http://www.iso-17799-security-world.co.uk/. Acesso em 20 de
fevereiro de 2003
ISO 17799. Nascimento, Neide Landim Teixeirense do Nascimento, UNEB - COPEX,
Setembro de 2001.
ISO IEC INFORMATION CENTRE - http://www.standardsinfo.net/isoiec/stdcat.html
IT GOVERNANCE INSTITUTE COBIT 4.0 . 2005 - 2006. Disponvel em:
<http://www.itgi.org>
ITIL na Prtica. CIO. 09/10/2005. Data da publicao no Web site da
CompanyWeb 26/01/2007. Disponvel em:
<http://www.companyweb.com.br/lista_artigos.cfm?id_artigo=255>
Acesso em: 14 agosto 2007.
ITSMF - <http://www.itsmf.com.br/itsmf/site/index.asp>
KOTLER, Philip. Administrao de Marketing: a edio do novo milnio. So
Paulo: Prentice Hall, 2000.
LAHTI, Christian B.; PETERSON, Roderick. Sarbanes-Oxley: Conformidade TI
usando COBIT e ferramentas open source. Rio de Janeiro: Alta
Books, 2006.
LEITE, Jos Alfredo Amrico. Metodologia de Elaborao de Teses. So Paulo:
McGraw-Hill do Brasil Ltda, 1978.
LUZ, Charlley. A SOX um bicho-de-sete-cabeas? 2006. Disponvel em:
<http://www.intranetportal.com.br/colab1/bicho>. Acesso em: 24
agosto 2007.
MANSUR, Ricardo. O que ITIL? 2004. Disponvel em:
<http://www.profissionaisdetecnologia.com.br/modules.php?
name=News&file=article&sid=47> Acesso em: 14 agosto 2007.
MEDEIROS, Joo Bosco. Redao Cientfica: A Prtica de Fichamentos, Resumos,
Resenhas. So Paulo: Atlas, 1997.

149

MENDES, Patrcia de Aquino. A Lei Sarbanes-Oxley (SOX) e a governana de TI.


2006. Disponvel em:
<http://webinsider.uol.com.br/index.php/2006/02/07/a-lei-sarbanesoxley-sox-e-a-governanca-de-ti/>. Acesso em: 24 agosto 2007.
MIRANDA, Arnaldo Jos de; REIS, Rodrigo Quites. Aplicao de Outsourcing no
desenvolvimento e customizao de software em Medicina
Transfusional: impacto no Gerenciamento da Qualidade. 2007. III
Workshop Um Olhar Sociotcnico sobre a Engenharia de Software
WOSES. Universidade Federal do Par (UFPA).
MONTANA, Patrick J.; CHARNOV, Bruce H. Administrao. So Paulo:
Saraiva, 1999.
MORAES, Marcos. Governana de TI e Gesto da Segurana da Informao.
2006. Disponvel em:
<http://www.ms.senac.br/uploads/13223936.ppt> Acesso em: 14
agosto 2007.
OLIVEIRA, Djalma Pinho Rebouas de. Planejamento estratgico: conceitos,
metodologias e prticas. 16. ed. So Paulo: Atlas, 2001.
Organizao para a Cooperao e o Desenvolvimento Econmico. OECD
Principles of Corporate Governance, 2004. pgina 11. Disponvel
em: <http://www.oecd.org/dataoecd/32/18/31557724.pdf>
PEREIRA, Adriano de Souza; KRUGER, Erika Iorio; SILVEIRA, Jorge Alves da;
FRANA, Karla Fabiana Cavalcante de; MOREIRA, Lauro Nobre
Machado; VIEIRA, Marina da Silva; PATRCIO Mario Ney Campos
Gomes Monteiro Rosemberg de Oliveira. Induo e Deduo:
Consideraes sobre o Mtodo Cientfico. Programa de
Engenharia de Transportes, COPPE/UFRJ. Data no disponvel.
Disponvel em: <http://www.ldcinf.com.br/forum/detalhes.asp?
local=res&id=41>
PINHO, Carlos Tadeu A. de. Software livre - uma alternativa estratgica para as
organizaes pblicas e privadas? 2005. Disponvel em:
<http://www.dicas-l.com.br/dicas-l/20050418.php>. Acesso em: 04 de
setembro de 2007.

150

Portal ISO 17799 - http://www.iso17799.hpg.ig.com.br/. Acesso em 20 de fevereiro


de 2003.
RAMIREZ, Jean-Claude; SENDER, Claudia. Alinhando a tecnologia da
informao estratgia. Bain & Company, 2003.
RAMIREZ, Pedro A. R.. Alinhamento Estratgico de Negcios e TI Em um
Ambiente de Hipercompetio. 2007. Disponvel em:
<http://www.suesc.com.br/extensao/conteudo/revista_online/06_artig
o03.pdf>
REZENDE, Denis Alcides. Alinhamento do Planejamento Estratgico da
Tecnologia da Informao ao Planejamento Empresarial:
proposta de um modelo e verificao da prtica em grandes
empresas brasileiras. 2002. 278 f. Tese (Doutorado em engenharia
de Produo), Universidade Federal de Santa Catarina, Florianpolis.
REZENDE, Denis Alcides; ABREU, Aline Frana de. Planejamento Estratgico da
Tecnologia de Informao Alinhado ao Planejamento Estratgico
de Empresas. Artigo publicado na REVISTA DE ADMINISTRAO
MACKENZIE, Ano 3, n.2, p. 39-51, 2001.
RICCIARDI, Gianni. IT Governance - Artigo III - Otimizao da estrutura dos
processos de TI COBIT, ITIL e demais conceitos, metodologias e
ferramentas. 2005. Disponvel em: <http://www.anefac.com.br/m5.asp?
cod_noticia=337&cod_pagina=903.htm>.

RICCIARDI, Gianni. IT Governance - Artigo V - Consolidao da IT Governance Gesto da Mudana nas estruturas de TI e monitoramento dos
indicadores. 2005. Disponvel em: <http://www.anefac.com.br/m5.asp?
cod_noticia=371&cod_pagina=903.htm>.

SPOHR, Elizabet M. de Medeiros; SAUV, Jacques P. Avaliao do Impacto de


Tecnologias da Informao Emergentes nas Empresas. Rio de
Janeiro: Qualymark, 2003.
WEILL, Peter; ROSS Jeanne. Governana de TI: Tecnologia da Informao. So
Paulo: Mbooks, 2006.

151

Who in the US has implemented ITIL and what was the outcome? ITIL survival.
Disponvel em: <http://www.itilsurvival.com> Acesso em: 14 agosto
2007.