Escolar Documentos
Profissional Documentos
Cultura Documentos
da Informao
Volume nico
TI
Apoio:
Material Didtico
Departamento de Produo
ORGANIZAO
EDITORA
ILUSTRAO
Alessandra Nogueira
REVISO TIPOGRFICA
CAPA
Equipe CEDERJ
Alessandra Nogueira
COORDENAO DE
PRODUO
PRODUO GRFICA
Vernica Paranhos
Carlos Cordeiro
S237g
Santos, Luis Claudio dos.
Governana em Tecnologia da Informao: v. 1 /
Luis Claudio dos Santos, Lcia Blondet Baruque. Rio de Janeiro:
Fundao CECIERJ, 2010.
336 p.; 19 x 26,5 cm.
ISBN: 978-85-7648-662-6
1. Governana. 2. Tecnologia da Informao. I. Baruque, Lcia
Blondet. II. Ttulo.
CDD: 004
2010/1
Referncias Bibliogrficas e catalogao na fonte, de acordo com as normas da ABNT e AACR2.
Governador
Srgio Cabral Filho
Universidades Consorciadas
UENF - UNIVERSIDADE ESTADUAL DO
NORTE FLUMINENSE DARCY RIBEIRO
Reitor: Almy Junior Cordeiro de Carvalho
Governana em Tecnologia
da Informao
SUMRIO
Volume nico
Prefcio ........................................................................................................ 7
Aguinaldo Aragon Fernandes
Introduo ............................................................................................... 11
Lcia Blondet Baruque / Luis Claudio dos Santos
prefcio
CEC I E R J E X T E N S O E M G O V E R N A N A
introduo
Governana em TI
| Introduo
INTRODUO
CEC I E R J E X T E N S O E M G O V E R N A N A
13
Governana em TI
| Introduo
STAKEHOLDERS
So as partes interessadas de um
negcio, projeto etc.
De maneira abrangente, podemos
pensar que h trs
grupos de stakeholders: aquelas pessoas
ou instituies que
possuem algum tipo
de envolvimento
profissional ou pessoal com a empresa
(investidores, clientes, funcionrios,
fornecedores, credores, acionistas,
usurios, parceiros
etc.); as pessoas que
podem ser afetadas,
de alguma forma,
pelos resultados da
operao da empresa
(uma comunidade
contrria construo de um viaduto
etc.).
14
INTRODUO
Governana
Corporativa
Governana
em TI
Governana
Empresarial
15
Governana em TI
GOVERNANA
| Introduo
EM
TI
de responsabilidade da diretoria e
gerncia executiva,
sendo uma parte
integrante da Governana Empresarial e
consiste de liderana,
estruturas e processos organizacionais
que asseguram que a
TI apoia e amplia as
estratgias e os objetivos da organizao.
O COBIT
Control Objectives
for Information and
related Technology
um guia elaborado
pelo Information
Systems Audit and
Control Association,
estruturado como
framework, orientado a processo, que
apresenta objetivos
de controle a serem
aplicados desde o
planejamento da TI
at a sua avaliao,
de forma a ajudar
no gerenciamento da
TI, maximizando o
retorno sobre seus
investimentos.
ITIL (INFORMATION
TECHNOLOGY INFRASTRUCTURE LIBRARY)
um conjunto de
boas prticas para
elaborao, implantao e gerenciamento de processos de
TI, criada pela secretaria de comrcio
(Office of Government Commerce
OGC) do governo
ingls, tendo como
foco a descrio dos
processos necessrios
para gerenciar a
infraestrutura de TI
de forma eficiente e
eficaz e objetivando
garantir os nveis de
servio acordados
com os clientes internos e externos.
16
INTRODUO
Sociedade da Informao
aquela cujo modelo de desenvolvimento social e
econmico baseia-se na informao como meio de criao do
co
conhecimento. Ela desempenha papel fundamental na produo de
riqueza e na contribuio para o bem-estar e a qualidade de
vida dos cidados. Tal sociedade encontra-se em processo de formao e expanso.
Este material foi projetado para ser autoinstrucional. Entretanto, voc pode interagir com outros profissionais da rea ou
mesmo realizar atividades adicionais com feedback do tutor, ao
participar do nosso curso no ambiente virtual de aprendizagem
da Fundao.
Para maiores informaes, acesse: http://www.cederj.edu.br/
extensao/governanca/index.htm
CEC I E R J E X T E N S O E M G O V E R N A N A
17
Governana em TI
| Introduo
Objetivo geral
Capacitar os participantes na aplicao de ferramentas e tcnicas para a
construo de processos baseados nos controles
do COBIT, nas boas prticas da ITIL e em outros
mo
modelos e normas visando gesto eficaz e eficiente da
Gove
Governana em TI, atendendo aos requisitos de responsabilidade, prestao de contas e transparncia.
Objetivos especficos
Aps este curso, o participante ir adquirir as seguintes capacidades:
Reconhecer e aplicar conceitos fundamentais da Governana em TI, tais
como eficincia operacional, eficcia estratgica, alinhamento estratgico
da TI, modelos de maturidade e objetivos de controle.
Realizar avaliao de maturidade em todas as reas de processo da TI com
base no COBIT.
Gerenciar ou participar de projetos de Governana em TI com base nos controles do COBIT.
Gerenciar ou participar de projetos para a construo de processos de TI com
base nas boas prticas da ITIL (v.2 ou v.3).
Verificar o que so e para que servem, no contexto da Governana em TI, outras
normas, padres ou modelos de boas prticas, como a ISO 38500, a ISO 20000, a
ISO 27000, o eSCM e o MOF.
Pblico-alvo
Este curso destinado a profissionais com curso superior interessados em
adquirir capacidades e desenvolver habilidades relacionadas ao contexto da
Governana em TI, principalmente com base no COBIT e na ITIL.
Ementa
Conceitos relacionados Governana em TI.
Conformidade regulatria versus Tecnologia da Informao.
ITIL v.2: o gerenciamento de servios de TI.
ITIL v.3: o ciclo de vida de servios de TI.
O COBIT v.4.1: conceitos e fundamentos.
reas de processo e objetivos de controle do COBIT.
Outros modelos e normas para a Governana em TI.
Projeto de Governana em TI.
Carga horria: 45 horas-aula.
18
INTRODUO
CEC I E R J E X T E N S O E M G O V E R N A N A
19
Governana em TI
| Introduo
20
AULA
Conceitos relacionados
Governana
Meta da aula
objetivos
INTRODUO
Voc j deve ter ouvido em algum lugar que hoje em dia a TI cada
vez mais importante para todas as empresas. Nesta aula voc aprender como se pode medir de maneira objetiva o nvel de importncia
da TI em uma empresa atravs de ferramentas muito simples. Alm
disso, voc aprender o que , afinal, o to almejado alinhamento
estratgico da TI.
CONCEITOS INICIAIS
A evoluo da TI nas organizaes
Vrios autores buscaram definir a evoluo da TI nas organizaes.
Laurindo (2008) considera uma srie de outros estudos e apresenta divises que podem ser vistas como eras da evoluo da TI. Vamos utilizar
uma diviso derivada daquelas apresentadas em Laurindo e que servir
bem aos propsitos de nossas aulas de agora em diante.
22
AULA
CEC I E R J E X T E N S O E M G O V E R N A N A
23
O padro IEEE
802.11 uma tecnologia desenvolvida
pelo IEEE para
transmisso de dados
em redes locais sem
fio. O WIMAX (o
padro IEEE 802.16)
uma tecnologia
desenvolvida pela
mesma entidade para
transmisso em redes
sem fio em longas
distncias.
O Bluetooth (o
padro IEEE 802.15)
usado para transmisso a distncias
muito pequenas (1m
a 3m) em aplicaes
como home theater
sem fio, equipamentos embarcados em
automveis etc.
3G uma denominao genrica recebida
pelas tecnologias de
telefonia celular que
atendem a certos
requisitos de capacidade de transmisso
e mobilidade. Por
exemplo, as tecnologias WCDMA e
UMTS de telefonia
celular. Muitos pases
possuem redes 3G
que atingem todo o
seu territrio, como
o caso do Japo
e alguns pases da
Europa. No caso do
Brasil, a tecnologia
3G s est disponvel
nos grandes centros
urbanos.
Tecnologia da Informao
O que essa expresso representa para voc?
Alguns autores, principalmente os europeus, se referem TI
usando a expresso TIC (Tecnologia da Informao e Comunicaes)
para se referir tambm s Telecomunicaes.
Atualmente muitos autores se referem ao conceito de TI (Tecnologia da Informao) como algo amplo que engloba no somente hardware
e software, mas tambm outros ativos como processos, procedimentos,
tecnologia e o prprio conhecimento explcito e documentado. Nesse
contexto amplo, as telecomunicaes tambm fazem parte do que
chamamos de TI.
24
AULA
A eficincia operacional da TI
Qual o maior problema que a TI enfrenta hoje? Poderamos
dizer, sem medo de errar, que um dos maiores problemas da TI (se no,
o maior) a questo do excesso de solues existentes no mercado.
A grande concorrncia, aliada rpida reproduo das solues prontas,
leva as empresas a um cenrio de muita competio. As empresas optam
por investir todos os seus recursos e esforos em eficincia operacional
pura e simples, em detrimento da eficcia estratgica.
Note que essa deciso semelhante a apostar no pensamento:
No importa muito o que ns fazemos aqui. O que importa mesmo
que fazemos cada vez mais rpido e com menos recursos.
Ser que mesmo um objetivo plausvel e coerente fazer tudo cada
vez mais rpido e com cada vez menos recursos? At mesmo aquilo que
no precisaria ser feito? Muito bem. Se voc respondeu corretamente
a essas perguntas, voc entende perfeitamente bem a diferena entre
eficincia operacional e eficcia estratgica da TI.
A eficcia estratgica da TI
O termo eficcia responde a questes como:
O que importante para a empresa?
O que importante para a TI?
Que projetos, servios e operaes so importantes para a TI e
para a empresa? Quais no so?
Em vrias situaes podemos observar projetos sendo iniciados
e encerrados sem a avaliao estratgica adequada. O termo eficcia
est diretamente relacionado ao alinhamento estratgico. Para comear,
as primeiras coisas! Zelar pela eficcia zelar por iniciar projetos e
operaes de TI somente quando eles estiverem alinhados ao plano
diretor de TI (PDTI) que, por sua vez, dever estar alinhado ao plano
estratgico organizacional.
CEC I E R J E X T E N S O E M G O V E R N A N A
25
Procedimentos
Procedimentos
Procedimentos
Sadas
Entradas
Atividade
Regras
Atividade
Regras
26
Atividade
Regras
AULA
sua formalizao precisa ter, no mnimo, a definio de quais so as entradas, quais so as sadas e quais so as ferramentas e tcnicas utilizadas
para transformar as entradas em sadas durante cada atividade ou tarefa
intermediria, ou seja, documentar um processo descrever a suas:
Entradas.
Sadas.
Atividades intermedirias.
Ferramentas e tcnicas.
Act
Plan
Check
Do
CEC I E R J E X T E N S O E M G O V E R N A N A
27
Onde Estou?
Aonde quero
chegar?
Projetos &
Operaes
Projetos &
Operaes
Cheguei?
No
Sim
28
E agora aonde
quero chegar?
AULA
CEC I E R J E X T E N S O E M G O V E R N A N A
29
30
AULA
Atividade
Preencha as lacunas:
Dois exemplos de boas prticas so ________________, para gerenciamento de projetos, e __________________, para gerenciamento de servios de TI. Dois exemplos de
famlias de normas desenvolvidas para a rea de TI pela ISO so a _______________ e
a _____________________.
Resposta
Dois exemplos de boas prticas so PMBOK, para gerenciamento de projetos, e
ITIL, para gerenciamento de servios de TI. Dois exemplos de famlias de normas
desenvolvidas para a rea de TI pela ISO so a ISO 20000 e a ISO 27000.
CEC I E R J E X T E N S O E M G O V E R N A N A
31
Pessoas
Processos
Tecnologia
32
AULA
O PLANEJAMENTO ESTRATGICO DA TI
Sobre o termo estratgia
Voc sabia que a competio natural nas empresas evolucionria
e dirigida pelas leis das probabilidades, o que diferente da estratgia, que
tende a ser revolucionria e dirigida tambm pela intuio. A estratgia
visa a acelerar o ritmo das mudanas favorecendo quem as provocou.
A palavra "estratgia" vem do grego stratego, que significa general. O termo estratgia se originou na rea militar, assim como
os conceitos de nvel operacional, ttico e estratgico. Essa ideia
estudada desde a Grcia antiga. Naquela poca, no campo de
batalha, os generais definiam as estratgias (Devemos tomar
aquela cidade amanh, porque depois isso no ser mais possvel.),
os coronis escolhiam as tticas mais adequadas (Vamos iniciar
a invaso amanh ao anoitecer, nos aproximando pelo mar.),
e aos sargentos e soldados s restava a operacionalizao (Vamos
entrar no barco amanh ao anoitecer, remar, desembarcar, apontar
as armas, disparar e, se tivermos sorte, permanecer vivos!).
CEC I E R J E X T E N S O E M G O V E R N A N A
33
Atividade
2
2
Resposta
Algumas tcnicas possveis so: perodo de payback, Taxa Interna de Retorno
(TIR), Valor Presente Lquido (VPL) e anlise de custo-benefcio. O perodo de
payback baseado no tempo que, segundo o plano de negcios, os lucros oriundos do produto do projeto tero compensado seu investimento. Quanto menor o
perodo de payback, melhor. A anlise de custo-benefcio leva em considerao
vrios fatores positivos e negativos e tenta mensur-los de maneira sistemtica,
a fim de chegar a uma concluso sobre quais projetos so mais atrativos para a
empresa. Os benefcios somados precisam ser maiores que os custos somados.
Taxa Interna de Retorno (TIR) e Valor Presente Lquido (VPL) envolvem anlises
mais avanadas do setor financeiro e contbil da organizao. Essas tcnicas visam
a selecionar no presente um projeto em detrimento de outros com base no retorno
financeiro obtido sobre o capital investido, com base em aspectos econmicos
(como inflao prevista no perodo) ou com base em aspectos temporais
(como a durao dos projetos analisados).
34
1
AULA
CEC I E R J E X T E N S O E M G O V E R N A N A
35
Uma
ideia que precisamos definir agora e no
abandonar mais a de que
n h como conseguir um bom
no
a
alinhamento
estratgico da TI
se a empresa no possuir um
plano estratgico organizacional.
36
AULA
CEC I E R J E X T E N S O E M G O V E R N A N A
37
Por outro lado, a ameaa de novos entrantes o que faz com que
outro fornecedor possa comear a oferecer o mesmo produto ou servio,
segmentando o mercado. Em alguns setores, muito fcil o surgimento
de concorrentes, literalmente da noite para o dia, como o caso das
vendas pela internet. Em outros, o surgimento de novos concorrentes
no acontece com tanta facilidade, como no caso do setor de aviao.
O poder de barganha dos clientes o que deve
ANLISE SWOT
Na conquista do objetivo
Interna
(organizao)
Ajuda
Atrapalha
Foras
Fraquezas
Externa
(ambiente)
Ameaas
38
AULA
Atividade 3
Por que a grande maioria das empresas no se preocupa em conhecer o ambiente
2
interno e o ambiente externo nos quais opera e em selecionar projetos de acordo
com seu contexto? Explique a consequncia disso.
_____________________________________________________________________________
_____________________________________________________________________________
______________________________________________________________________________
______________________________________________________________________________
______________________________________________________________________________
______________________________________________________________________________
______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________
Resposta
A maioria das empresas age dessa forma porque opera em ambientes cada
vez mais competitivos, em que as presses por resultados imediatos supera a
necessidade de planejamento estratgico de mdio e longo prazos. A consequncia desse cenrio o fato de que h setores em que as empresas apenas
reproduzem entre si uma cartilha com os mesmos processos, vendem os mesmos
produtos e fornecem os mesmos servios, limitando-se a fazer sempre a mesma
coisa, apenas buscando eficincia naquilo que fazem. Esse cenrio prejudica o
pensamento estratgico, pois dificulta qualquer tentativa de garantir o alinhamento que seria conseguido atravs das escolhas que a empresa deveria fazer
com relao aos seus produtos e servios.
CEC I E R J E X T E N S O E M G O V E R N A N A
39
Atividade 4
Vimos que a estratgia da TI pode ser uma impulsionadora da estratgia da orga- 2
nizao. Encontre exemplos na Internet ou em seu ambiente de trabalho de que
isso acontece ou aconteceu e descreva-os resumidamente.
_____________________________________________________________________________
______________________________________________________________________________
______________________________________________________________________________
______________________________________________________________________________
______________________________________________________________________________
______________________________________________________________________________
______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________
__________________________________________________________________________
40
1
AULA
Resposta
H vrios exemplos de empresas em que o avano tecnolgico acabou mudando o prprio negcio tradicional das empresas. H empresas que nasceram
no mercado tradicional e que, por conta dos avanos da tecnologia, possuem
hoje boa parte de suas operaes migradas para o mundo digital. Podemos
citar como exemplo lojas de varejo, como a Americanas, livrarias, como a FNAC
etc. Existem exemplos em que a tecnologia influenciou tanto a empresa que o
seu nascimento j aconteceu no mundo digital e elas no possuem nenhuma
operao moda tradicional, como no caso de livrarias como a Amazon, sites de
leilo como o Mercado Livre etc. Tambm existem setores que conseguem lucrar
mais, tanto atravs da prestao de servios pela Internet e quanto atravs do
modelo tradicional, a exemplo dos bancos, das companhias areas, das agncias
de turismo, das redes de hotis etc.
Impacto da TI no presente
TI Suporte
(maufatura
tradicional)
TI Estratgica
(bancos e telecom)
TI Mudana
(e-commece)
CEC I E R J E X T E N S O E M G O V E R N A N A
41
42
AULA
Refinaria de
petrleo
Bancos e
finaceiras
Cimento
CEC I E R J E X T E N S O E M G O V E R N A N A
43
Atividade
Comentrio
A resposta depende do seu ambiente. A aplicao do grid estratgico e da matriz
de informao ser feita com o auxlio do tutor nas atividades online.
44
AULA
O alinhamento estratgico da TI
O que voc concluiu at agora? O que o alinhamento estratgico
da TI e como ele poderia ser conseguido? Note que a resposta para essas
perguntas parece ser bastante simples, porm a implementao da frmula nem tanto. Ora, o alinhamento estratgico da TI se d quando tudo que
a TI faz (ou quase tudo) possui alguma importncia diretamente retirada
do pensamento estratgico organizacional. Somente assim poderemos
dizer que os projetos e as operaes da TI acontecem com o objetivo de
cumprir ou ajudar a cumprir a misso da organizao.
Ento, claro que seria impossvel seguir adiante se a prpria
organizao no possusse um rumo estratgico bem definido. por isso
que projetos de elaborao do plano diretor de TI s vezes comeam
j com grande probabilidade de serem malsucedidos, porque se espera
governar a TI em uma empresa que no valoriza o pensamento estratgico. Por mais que isso parea bvio, precisamos ressaltar aqui que esse
caminho no dar certo. a mudana feita de baixo para cima que custa
mais tempo e mais esforo do que custaria caso a mudana acontecesse
seguindo as etapas necessrias.
O alinhamento depende de mudanas na forma como a organizao conduz seus projetos em todas as reas e departamentos (que, como
vimos, cada vez mais dependem da TI para ser bem-sucedidos).
O caminho natural para a obteno do alinhamento estratgico
da TI seria, partindo do plano estratgico da empresa, construir o plano
diretor de TI.
CONCLUSO
Vimos nesta aula que a TI tem se tornado cada vez mais importante
em todas as empresas, e isso requer que os profissionais de TI acompanhem
tal evoluo e comecem a enxergar a TI como um provedor de servios.
muito importante que voc comece a construir, desde j, um pensamento
voltado tanto para a estratgia organizacional quanto para a estratgia da
TI, independente do seu cargo e de suas funes na empresa.
CEC I E R J E X T E N S O E M G O V E R N A N A
45
Atividade online
3
A
Agora
que voc j conhece vrios conceitos iniciais relacionados Governana em
TI, v sala de aula virtual e resolva a atividade proposta pelo tutor. Nessa atividade,
voc ir elaborar um questionrio de avaliao a fim de aplicar o grid estratgico e a
matriz de informao na sua empresa para determinar o grau de importncia que a TI
tem para a sua organizao.
RESUMO
Assim como vrios outros autores, usaremos em nossas aulas um
conceito amplo para a expresso TI que abrange hardware, software,
telecomunicaes, pessoas, processos e procedimentos da rea de TI.
Eficcia fazer o que deve ser feito. Eficincia fazer algo com menos
recursos. possvel ser eficiente sem ser eficaz e vice-versa.
Processos transformam uma ou mais entradas em uma ou mais sadas
atravs de atividades. Cada atividade executada segundo regras utilizando
tcnicas e ferramentas diversas (automatizadas ou no).
Podemos utilizar um conjunto de boas prticas em partes, pois nada nas
boas prticas mandatrio.
As normas ou padres devem ser implementados na sua totalidade, embora
a empresa possa optar por no adot-los;
Regulamentos ou leis so mandatrios, ou seja, toda empresa que atua
na rea afetada pelo regulamento precisa obedecer. s vezes uma lei exige
o atendimento de determinados padres e normas do mercado.
46
1
AULA
CEC I E R J E X T E N S O E M G O V E R N A N A
47
Atividades Finais
1) Ns conclumos, ao longo do texto, que no recomendado elaborar um plano diretor
de TI em uma organizao que no possua um plano estratgico organizacional. Voc
conhece um exemplo onde aconteceu? O resultado foi satisfatrio?
2) Analise a sua prpria organizao e defina o principal produto (ou servio) oferecido
por ela. Depois responda com relao sua empresa:
a. Qual o papel e importncia da TI?
b. Qual a importncia da informao no produto final?
3) A melhor definio de processo :
a. (
b. (
c. (
d. (
4) Um diretor leu um artigo sobre uma nova metodologia para a implantao acelerada
de um mdulo de sistema ERP. Essa metodologia promete reduzir em 50% o tempo
normal de implantao. Sem titubear, o diretor pede ao gerente que utilize tal metodologia, pois isso economizar tempo no projeto que j se encontra atrasado. Esse um
exemplo tpico de:
a. (
b. (
c. (
d. (
48
1
AULA
Respostas
1. A mudana que acontece sem apoio da alta direo nunca o melhor caminho.
Pode-se at conseguir algum sucesso, mas com certeza o sucesso vir de forma
muito mais traumtica e demorada do que poderia vir caso houvesse um comprometimento da alta direo e um compromisso com o pensamento estratgico em
todos os departamentos. Alm disso, sempre que esse tipo de abordagem acaba
dando certo, verificamos que existiu por trs do projeto a participao de uma pessoa
com extrema capacidade de relacionamento interpessoal e outras habilidades que,
nem sempre, est disponvel em todas as empresas. E, vale ressaltar, a empresa
deve evitar, sempre que possvel, depender de habilidades interpessoais para aquilo
que deveria ser feito atravs de processos bem definidos.
2. Essa atividade importante, pois faz com que o aluno pense sobre tudo que foi
falado dentro do seu contexto. Por isso ela aparece ao longo da aula vrias vezes.
A resposta a esta questo depender do contexto do aluno e ser respondida na
atividade on line indicada.
3. Alternativa b. Os outros itens contm informaes que esto relacionadas ao processo, mas no contm a definio de processo que o que a questo solicita.
CEC I E R J E X T E N S O E M G O V E R N A N A
49
50
AULA
Governana em TI
Meta da aula
objetivos
| Governana em TI
INTRODUO
GOVERNANA EMPRESARIAL
Governana Empresarial o conjunto de processos, costumes,
polticas e procedimentos que regulam a maneira como uma empresa
administrada em todas as suas reas. Portanto, a Governana Empresarial
inclui tambm o estudo do relacionamento entre os diversos atores desse
cenrio, isto , todas as pessoas envolvidas. Citamos alguns exemplos tpicos desses atores (embora a lista ainda possa ser aumentada). So eles:
52
Acionistas.
AULA
Conselho de administrao.
Funcionrios do nvel executivo.
Funcionrios em geral.
Fornecedores e parceiros.
Usurios e clientes.
Instituies reguladoras.
Figura 2.1: Governana Empresarial no sculo XXI.
Voc ficou curioso quando dissemos que a lista pode ser aumentada? Bem, basta pensar que, nos dias de hoje, as questes envolvendo
o meio ambiente e a forma com que as sociedades podem alter-lo em
benefcio de seus negcios tambm tm ganhado importncia cada vez
maior. E como isso afeta a TI? Ora, voc j ouviu falar da TI Verde?
A filosofia por trs desta ideia pode ser resumida da seguinte forma:
na hora de decidir sobre a aquisio de uma plataforma de
CLUSTERS
Um CLUSTER um
conjunto de computadores que utiliza
sistemas operacionais distribudos
que permitem o
compartilhamento
de recursos e tarefas
de processamento.
Um cluster pode ser
construdo inclusive
a partir de computadores convencionais,
com baixo poder de
processamento; uma
vez operando em
cluster, esses computadores passam a
funcionar como se
fossem uma nica
mquina com poder
de processamento
avanado capaz de
realizar atividades
complexas muito
mais rapidamente.
CEC I E R J E X T E N S O E M G O V E R N A N A
53
| Governana em TI
Vale ressaltar que o nosso assunto principal nesta aula, a Governana em TI, um subconjunto da Governana Empresarial, que um
guarda-chuva maior para a governana.
GOVERNANA EM TI
Voc sabia que vrios autores procuraram definir a Governana
em TI e no h uma forma comum a eles? Sempre h ligeiras diferenas.
Por exemplo, em Weill (2006) encontramos a seguinte definio: "Governana em TI consiste em um ferramental para a especificao dos direitos
de deciso das responsabilidades, visando encorajar comportamentos
desejveis no uso da TI."
J o ITGI (IT Governance Institute) define Governana em TI
como algo que "responsabilidade da alta administrao, incluindo
diretores e executivos, na liderana, nas estruturas organizacionais e
nos processos que garantam que a TI da empresa sustente e estenda as
estratgias e objetivos da organizao".
O ITGI (IT Governance Institute) foi criado em 1998 em reconhecimento ao aumento cada vez maior da importncia da TI
para o sucesso de todas as empresas. O ITGI presta assistncia
a lderes de TI e altos executivos empresariais com relao ao
objetivo maior de promover o alinhamento estratgico da TI.
Voc pode acessar o site do ITGI no endereo: http://www.itgi.
org. Esse site foi acessado em 30 de dezembro de 2009.
54
A Era da
Informao
Governana
TI como
Prestadora de
Servios
Governana em TI
2
Integrao
Tecnologia
AULA
Ambiente de
negcios
Segurana da
Informao
Dependncia do
Negcio em
Relao TI
Marcos de
Regulao
Ambiente de negcio da TI
O ambiente de negcio se caracteriza pela intensa competio,
o que origina a necessidade de inovao constante e a busca diria pela
eficincia operacional em detrimento da eficcia estratgica. A concorrncia agora global, e o poder dos clientes e fornecedores alto na
maioria dos setores. Tudo isso aumenta muito os riscos que podem afetar
qualquer negcio.
Integrao tecnolgica
A partir da dcada de 1970, que chamamos de era dos sistemas
de informaes gerenciais, os sistemas comearam a sofrer integrao ou
migrao para outros sistemas com suporte s funes de gerenciamento
de bancos de dados. Na mesma poca surgiram vrias novas linguagens
de programao que permitiam o rpido desenvolvimento de sistemas de
software. Esse movimento foi consolidado na dcada de 1990.
Rapidamente as empresas comearam a passar por alguns
problemas srios, com o excesso de solues para tudo (o que parece
no ter sido solucionado at hoje...). Durante esses anos, os sistemas
ERP (Enterprise Resource Planning) ou sistemas de gesto empresarial integrada comearam a tentar unir essa "colcha de retalhos".
No cenrio atual, vrias siglas convivem e tentam manter o controle
sobre o ativo mais importante da organizao, que a informao.
CEC I E R J E X T E N S O E M G O V E R N A N A
55
| Governana em TI
Data
Mining
BI
ERP
CRM
Data Mining.
Data Warehouse.
ECommerce
EBusiness
BI (Business Inteligence).
CRM (Customer Relationship
Management).
B2C
B2B
Segurana da informao
A segurana da informao no foi preocupao nos primeiros anos da TI, mas hoje
representa um papel cada vez mais importante.
VPN sigla em
ingls para Rede
Privada Virtual
(Virtual Private
Network) um
conceito utilizado quando uma
empresa utiliza
uma rede de dados
pblica (por exemplo, a internet)
para comunicao
com funcionrios
que trabalham
remotamente (em
casa, no aeroporto
etc.) ou com outras
empresas (parceiros, fornecedores
etc.). Normalmente as VPNs utilizam criptografia
e outras tcnicas
para garantir a
segurana da
informao.
56
Dependncia do negcio
Apenas para citar um exemplo, digamos que a empresa est pensando em investir na proteo de seus ativos contra ataques pela internet.
Quanto ela deve investir? A resposta depende do que ela quer proteger.
Esse item deixa claro que a importncia da TI para o negcio precisa
ser determinada, a fim de que todo investimento feito em TI possua uma
razo diretamente extrada de seu plano estratgico.
AULA
Marcos regulatrios
Toda empresa est sujeita a algum grau de controle por parte
do Estado ou por parte de entidades privadas. Esse controle tem sido
cada vez maior. Os exemplos da Lei Sarbanes-Oxley e do Acordo da
Basileia (que estudaremos no final desta aula) so os mais importantes
do ponto de vista mundial. Porm, dependendo da rea, a empresa
precisa atender a uma srie de questes regulatrias e a TI ir precisar
acompanhar a empresa fornecendo os meios para o atendimento desses
requisitos legais.
A Era da Informao
Como voc sabe, hoje em dia h muito mais conectividade, muito
mais informao, maiores demandas por novos servios, centenas de
fornecedores das mesmas solues, dezenas de ferramentas e tcnicas
consagradas pelo mercado, muito mais modelos de gesto etc.
Tudo isso contribui para alimentar o crculo vicioso (ou virtuoso) da Era da Informao. Cada um de ns gera mais informao na
medida em que tudo digitalizado (fotos, documentos, msicas, livros
etc.) e compartilhamos mais informao por meio de aplicaes diversas
(Twitter, Facebook, LinkedIN, Youtube, Emule, Kazaa etc.). Isso sem
falar em contedos completos de cursos de graduao e MBAs que esto
sendo totalmente digitalizados e adaptados para o formato EAD, tal
como este nosso curso!
CEC I E R J E X T E N S O E M G O V E R N A N A
57
| Governana em TI
Atividade
Voc j entendeu a filosofia por trs da Governana em TI? Pesquise pelo menos 1
mais uma dimenso que pode fazer parte do contexto da Governana em TI e
explique a relao existente.
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
_____________________________________________________________________________
Resposta
Assim como a Governana Empresarial no pode prescindir da filosofia voltada
para o meio ambiente, bvio que a Governana em TI tambm no pode mais
viver sem pensar no verde. Portanto, outra dimenso que se enquadra no contexto
do estudo da Governana em qualquer contexto a dimenso das questes
ambientais e ecolgicas, ou seja, a chamada TI Verde.
CONFORMIDADE REGULATRIA
Sarbanes-Oxley (SOX)
A Lei Sarbanes-Oxley tem como objetivo proteger investidores da
bolsa de valores contra fraudes contbeis e financeiras das companhias
americanas que forjavam dados de seus balanos anuais a fim de evitar
perdas no valor de suas aes.
58
2
AULA
Esta lei contm vrias diretrizes sobre a gerao, uso e armazenamento de informaes, diretrizes
para auditoria, define papis e responsabilidades
da alta direo, discorre sobre a imputabilidade de
gerentes financeiros, diretores e presidentes no caso
de fraudes e trata de vrios outros temas.
O maior benefcio da SOX para a TI mundial
foram os ensinamentos obtidos a partir de sua publicao nos Estados Unidos. Vrias empresas fecharam
as portas porque no conseguiram se adequar aos seus
artigos a um custo aceitvel para o negcio ou porque
no foi mais possvel falsificar informaes e sair impune (ou, pelo menos, isso ficou muito mais difcil).
CEC I E R J E X T E N S O E M G O V E R N A N A
59
| Governana em TI
Acordo da Basileia
Trata-se de um acordo internacional assinado por representantes
de vrios bancos centrais de vrios pases do mundo na cidade de Basileia,
Sua. Esse acordo afetou todos os pases signatrios, entre eles o Brasil.
O Acordo da
Basileia possui trs pilares:
Estabelece procedimentos mnimos
para o clculo dos riscos de capital (risco de
crdito e risco operacional), buscando atingir
objetivos comuns mesmo quando a abordagem de
gerenciamento de risco distinta.
Define regras para auditorias em instituies financeiras, visando a avaliar os mtodos de identificao,
anlise, monitoramento e controle dos riscos.
Estabelece regras para tornar pblicas as informaes acerca do grau de exposio ao risco
ao qual est sujeita uma instituio,
face aos resultados obtidos em
auditorias.
Regulamentao no Brasil
No Brasil h excesso de regulamentao sobre qualquer tema.
Enquanto a constituio norte-americana, por exemplo, a mesma desde
1787 e possui menos que dez artigos e no mais que trinta emendas, a
constituio brasileira em vigor a oitava, possui mais de 250 artigos e
j passou por mais cinquenta emendas. Alm disso, leis e decretos completam uma lista imensa de regulamentaes em todos os setores.
60
AULA
CEC I E R J E X T E N S O E M G O V E R N A N A
61
| Governana em TI
Atividade 2
O Brasil est passando por um momento de adequao contbil e fiscal fortemente 2
direcionado pelos avanos na rea de TI. Essa adequao tem sido chamada de
Sped Contbil e Sped Fiscal. Pesquise o que isso e explique o que tem a ver com a
questo da Governana em TI.
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
______________________________________________________________________________
_______________________________________________________________________________
______________________________________________________________________________
Resposta
O Sped Contbil e o Sped Fiscal o maior exemplo de necessidade de adequao
pelo qual as empresas esto passando no momento aqui no Brasil, por fora de
regulamentao. A exigncia (que legal e, portanto, mandatria) est acontecendo principalmente por causa dos avanos alcanados pelos rgos pblicos
na rea de TI. Vrias empresas esto se adequando aos novos tempos e em ritmo
acelerado, pois o rgo regulamentador (no caso, a Receita Federal do Brasil)
estipulou datas para tal adequao. As empresas esto migrando aos poucos (por
setor da economia e regime contbil), para que a mudana acontea com menor
impacto. Aps a data limite estipulada para cada setor, a empresa que no estiver
regulamentada passar a ser multada mensalmente pelo no cumprimento
da lei. E de que consiste tal adequao? Diminuir a quantidade de papis fiscais
e contbeis (livros, notas fiscais, guias de pagamento etc.) e passar tudo para o
formato digital utilizando conceitos avanados de criptografia.
62
2
AULA
Voc sabe o que o Sped Contbil e Sped Fiscal? Esses so uns dos
maiores exemplos de evoluo tecnolgica visando diminuio
da burocracia contbil e fiscal jamais vistos no Brasil. O Sped
Contbil trata da substituio dos livros da escriturao mercantil
das empresas pelos seus equivalentes digitais. O Sped Fiscal est
relacionado escriturao fiscal digital, que baseada em arquivos digitais que sero assinados (digitalmente utilizando recursos
de criptografia e assinatura digital) e transmitidos, via internet,
para a Receita Federal do Brasil. Saiba mais em http://www1.
receita.fazenda.gov.br/default.htm. Esse site foi acessado em 30
de dezembro de 2009.
CEC I E R J E X T E N S O E M G O V E R N A N A
63
Planejamento
Estratgico da
Empresa
| Governana em TI
Alinhamento
Campliance
Plano Diretor
de TI
Deciso e
Alocao
Gesto e
Operao
Medio e Desempenho
64
so mandatrios.
AULA
O plano diretor
de TI contm diretrizes para
a rea de TI de curto, mdio e longo
prazos. Embora esses valores no sejam
absolutos, pois devem variar de empresa
para empresa e de setor para setor, o que o
p
mercado tem praticado para curto, mdio
e longo prazos na rea de TI : um ano,
dois a trs anos e cinco a seis
anos, respectivamente.
CEC I E R J E X T E N S O E M G O V E R N A N A
65
| Governana em TI
Atividade
Resposta Comentada
O primeiro passo para a elaborao do modelo de Governana em TI o exame do plano
estratgico da empresa, onde suas diretrizes esto definidas e documentadas. O segundo passo
examinar as questes de regulamentao, pois elas podem ter impacto direto nos projetos
e operaes da TI. Somente aps as etapas anteriores que o plano diretor de TI poder ser
escrito de forma consistente, pois suas metas devem ser extradas e desdobradas diretamente
do prprio plano estratgico da empresa. Por fim, restar equipe de TI tomar as decises de
alocao, pois tais decises definiro quais projetos e operaes sero de fato executados. Finalmente, cabe ao provedor de TI o gerenciamento efetivo de seu portflio para que os objetivos
da TI, e consequentemente os da empresa, sejam atingidos.
66
AULA
O PLANO DIRETOR DE TI
Definio do PDTI
O plano diretor de TI
(PDTI) um documento de alto nvel,
ou seja, elaborado pelo diretor de TI com o
auxlio de outras partes interessadas e do prprio
pessoal do provedor de TI. Ele deve conter informaes
menos detalhadas, porm, mais abrangentes.
O plano diretor de TI precisa ser um documento vivo. Isso
quer dizer que deve ser revisado periodicamente (no
caso da TI, aconselha-se pelo menos uma reviso
a cada trimestre). As metas do PDTI devem
estar alinhadas s metas da
organizao.
Contedo do PDTI
Todo plano visa a responder questes simples do tipo:
O que ser feito?
Quem far?
Quando far?
Por que far?
Onde far?
Como far?
Quanto custar?
Note que o PDTI deve responder a
essas questes para a rea de TI de forma
menos detalhada, porm, suficiente para
que ocorra o detalhamento posterior na
forma de polticas, procedimentos e outros
documentos que completam a informao
do PDTI. Os gerentes de TI so responsveis por detalhar o plano diretor de TI e
operacionalizar suas diretrizes na forma de
projetos e operaes.
CEC I E R J E X T E N S O E M G O V E R N A N A
67
| Governana em TI
Elaborao do PDTI
Note que o PDTI deve ser feito de forma interdisciplinar, envolvendo pessoas de outras reas da organizao. Tal necessidade ser tanto
maior quanto maior for a importncia estratgica da TI para o negcio.
Observe que todas as reas envolvidas devem ter cincia de que existe
um plano estratgico organizacional e que a elaborao do PDTI parte
desse plano maior sob todos os aspectos.
O PDTI deve conter o portflio de TI da empresa, ou seja, deve
guiar a todos com relao ao que a TI faz na forma de projetos ou operaes continuadas e o que a TI no faz. Que servios a TI fornece e que
servios ela no fornece.
Voc pode esperar algumas dificuldades tpicas no processo de
elaborao do plano. Citamos algumas:
Tendncia a detalhar informaes mais do que o necessrio.
Tendncia a ser demasiadamente otimista ao selecionar as diretrizes em detrimento dos recursos de TI disponveis.
Reatividade da equipe de TI acostumada a lidar somente com
questes operacionais.
68
AULA
COBIT
Imagine que voc o diretor de TI de uma empresa com mais de
oito mil funcionrios em uma mesma planta e a TI possua oitenta pessoas
que atuam nas mais diversas reas. O que voc deve fazer para saber se o
gerenciamento de projetos de TI bom ou ruim? Que critrios adotar para
medir seu trabalho e comparar com o que outras organizaes fazem?
Planejamento Estratgico
PRINCE 2
eSCM-CL
eSCM-SP
PMBOK
ISO 9000
ISO 20000
TI Proativa
TI Reativa
Controles de TI (COBIT)
SCRUM
ISO 27000
eTom
MOF
ITIL
ISO 31000
Seis Sigma
A Empresa
CEC I E R J E X T E N S O E M G O V E R N A N A
69
| Governana em TI
servios e no est? Enfim, mais uma vez, o COBIT possui todas essas
respostas.
ITIL
Existem, porm, algumas perguntas que o COBIT no responder. So aquelas perguntas comeadas com Como.... Isso porque
o COBIT possui informaes sobre os controles que devem ser perseguidos e os indicadores-chave de desempenho em todas as reas da
TI, mas no possui informaes sobre como a organizao ir suprir
as lacunas (gaps) para amadurecer em alguma rea. a que entram as
o PMBOK etc.
CONCLUSO
Vimos que a Governana em TI muito mais prxima de uma
filosofia do que de algo que possa ser implantado ou adquirido por
intermdio de consultorias. Mesmo porque a governana est fortemente
ligada ao pensamento estratgico da empresa, ou seja, intimamente ligada
personalidade da organizao. Voc deve ter plena conscincia de que,
antes de pensar em Governana em TI, a empresa como um todo deve
estar comprometida com a mudana que precisar ser implementada
em todas as reas.
70
AULA
tudo a ver com governana. Resumindo de maneira muito simples, o modelo de governana depende da elaborao do plano estratgico da empresa.
Por sua vez, o modelo de Governana da TI depende do plano diretor de
TI, que, por sua vez, ser elaborado a partir do plano estratgico.
Por fim, lembre-se de que o conceito de Governana em TI
um conceito muito abrangente. Envolve vrias dimenses e precisa
estar atento a muitos fatores que podem afetar as operaes da TI e,
consequentemente, da empresa. Como vimos na aula passada, o grau de
afetao ser tanto maior quanto maior for a dependncia da empresa
em relao TI.
Atividade online
A
Agora que voc j conhece bastante coisa sobre o conceito de Governana em TI, 4
v sala de aula virtual e resolva a atividade proposta pelo tutor. O instrutor ir
trabalhar com modelo padronizado (template) de um plano diretor de TI. O objetivo
explicar como acontece a elaborao de um PDTI a partir de um modelo genrico.
RESUMO
CEC I E R J E X T E N S O E M G O V E R N A N A
71
| Governana em TI
Atividades Finais
1) Analise as afirmaes abaixo (V para Verdadeiro e F para Falso).
a) Acionistas, executivos, funcionrios, instituies e o meio ambiente fazem parte
do contexto da Governana em TI.
b) Uma empresa brasileira sem filial no exterior pode ser auditada com base na Lei
Sarbanes-Oxley por uma empresa estrangeira.
c) A TI Verde esta relacionada s reas de TI das empresas cujas atividades possuem
alto impacto no meio ambiente, tais como indstria petrolfera, usinas etc.
2) Assinale I para ITIL e C para COBIT:
a) ( ) Possui controles para o que deve ser feito na rea de TI.
b) ( ) Contm detalhes sobre como atingir metas de processo.
c) ( ) Possui detalhes sobre entradas e sadas de processos.
d) ( ) Contm informaes sobre metas de negcio.
e) ( ) Possui modelos de maturidade para reas de processo.
72
2
AULA
CEC I E R J E X T E N S O E M G O V E R N A N A
73
| Governana em TI
Respostas
1.
a. Verdadeiro.
b. Verdadeiro.
c. Falso. TI Verde se aplica a qualquer tipo de empresa.
2.
so comunicao efetiva. Veremos mais tarde que o COBIT possui processos que
tratam especificamente destas questes.
5) Os exemplos so muitos e dependem do momento por que a organizao est
passando. Alguns exemplos seriam:
A TI investir em treinamento e certificao dos analistas em eSCM.
A TI investir no relacionamento com os clientes atuais capacitando os profissionais alocados em clientes em habilidades interpessoais.
A TI iniciar uma campanha com outros departamentos para o fornecimento
de recursos humanos no s na modalidade outsourcing, mas tambm na
nova modalidade body shop (alocao de profissionais e mo de obra na
organizao cliente para serem gerenciados por ele).
6) As etapas so: elaborar o plano estratgico, examinar questes de conformidade
regulatria, elaborar o plano diretor de TI, decidir e fazer alocaes, gerir a operao
e controlar o desempenho. Note que a elaborao do plano estratgico vem antes.
Cada etapa, por sua vez, pode ser melhor detalhada segundo critrios especficos
que podem variar de setor para setor e de empresa para empresa. Por exemplo, as
etapas da elaborao do PDTI podem variar etc.
7) Alternativa E. Esta questo interessante, pois ressalta o fato de que o retorno
obtido com aes de Governana tambm acontece na forma de recursos financeiros
diretos, principalmente no caso de empresas de capital aberto.
74
AULA
Meta da aula
objetivos
Pr-requisitos
So pr-requisitos para esta aula ter atingido
os objetivos da Aula 1, Conceitos relacionados
Governana, e os objetivos da Aula 2, A Governana em TI.
INTRODUO
76
3
AULA
A ITIL
no uma metodologia. um conjunto de boas
prticas para construir processos
para a rea de TI nas organizaes. Esses
processos podem ser idnticos aos que
existem nos livros de ITIL, ou adaptados de acordo com a realidade
da empresa.
Nvel de maturidade
Melhoria
contnua
Alinhamento
estratgico da TI
Planejar, Executar,
Avaliar resultados,
novas aes
Melhoria
contnua
Tempo
Figura 3.1: Nveis de maturidade e melhoria contnua.
CEC I E R J E X T E N S O E M G O V E R N A N A
77
Por incrvel que parea, ainda nos dias de hoje, esse pensamento
no acompanha a maioria dos profissionais de TI em seu ambiente de
produo e, quando acompanha, muitas vezes faltam processos adequados na organizao para que tal pensamento de fato se reflita em
melhoria no servio prestado.
Imagine que algum pergunte a voc, apontando para um equipamento servidor em plena produo: Quanto custa este servidor?. Nessa
situao, voc pode dar duas respostas. Uma levar em considerao
apenas o valor do hardware conforme a nota fiscal do fornecedor. Outra
resposta levar em conta o valor do ativo em produo (configurado,
instalado e operacional), o valor das informaes armazenadas por ele,
o valor dos servios que dependem dele, o valor dos impactos negativos
caso ele fique inoperante e, claro, o valor do prprio hardware (em muitos
casos, o mais barato de todos os itens). Percebeu a diferena?
78
AULA
Em 2001, mais 500 empresas j faziam parte do consrcio patrocinador das comunidades do ITSMF para discusso das melhores prticas
em gerenciamento de servios de TI em todo o mundo. Segundo Magalhes (2007), uma pesquisa da empresa Forrester Research apontou que,
das empresas com faturamento igual ou superior a US$ 1 bilho em 2008,
80% utilizavam boas prticas baseadas na ITIL em suas reas, sees
ou departamentos de TI (contra 40% em 2006 e 13% em 2004).
ISO20.000
BSI15000
OGCITIL2
ITIL
Idade
Escura da TI
1970
1980
1990
2000
2005
CEC I E R J E X T E N S O E M G O V E R N A N A
79
A verso dois ser estudada nesta e nas prximas duas aulas deste
curso. Dos livros indicados aqui, somente os livros Entrega de servios de
TI e Suporte a servios de TI sero estudados (o que praxe mesmo nos
cursos oficiais). Embora esta deduo encontre muitas crticas, muitos
dizem que os outros cinco livros da ITIL no so to estudados porque
80
AULA
Gerenciamento da segurana
T
N
E
C
Gerenciamento de servio
G
C
I
A perspectiva da
negociao
Suporte de servio
Gerenciamento da
infraestrutura de TIC
Entrega de servio
N
O
L
O
Gerenciamento
da segurana
Gerenciamento de aplicaes
G
I
A
CEC I E R J E X T E N S O E M G O V E R N A N A
81
Projeto de
servio
Estratgia
do servio
lho
r
do ia co
ser nt
vi nua
o
Me
nu
nt
co
ria vio
lho ser
do
T
do ran
se si
rv o
io
Me
o
ra
Ope rvio
e
de s
ITIL
82
AULA
mente que estudar a ITIL significa estudar processos. Nada mais, nada
menos... A ITIL v.2 possui sete livros; dois deles so muito mais utilizados
pelo mercado, pois tratam de questes mais prximas do nvel de maturidade atual da maioria das organizaes. So os livros: Suporte a servios
de TI e o de Entrega de servios de TI.
Observe que o contedo desses dois livros composto pela
descrio de dez processos, cinco em cada um deles, tratando de aspectos do gerenciamento de servios de TI. No livro de suporte temos os
seguintes processos:
Gerenciamento de incidentes de TI.
Gerenciamento de problemas de TI.
Gerenciamento de mudanas na infraestrutura de TI.
Gerenciamento de liberaes na infraestrutura de TI.
Gerenciamento de configurao na infraestrutura de TI.
No livro de entrega temos os seguintes processos:
Gerenciamento do nvel de servio.
Gerenciamento da capacidade.
Gerenciamento da disponibilidade.
Gerenciamento da continuidade.
Gerenciamento financeiro da TI.
Voc vai precisar aguardar um pouco para conhec-los, pois
estudaremos os processos do livro de suporte na Aula 4 e os processos
do livro de entrega na Aula 5.
Indicadores-chave de desempenho
Talvez voc j tenha ouvido falar da sigla KPI (Key Performance
Indicator), que em portugus significa indicador-chave de desempenho.
Todo processo visa melhoria contnua. Como dissemos, no h como
melhorar algo se no tivermos um meio de medir o que se quer melhorar.
Lembra-se das caractersticas que devem ser definidas para qualquer
processo?
CEC I E R J E X T E N S O E M G O V E R N A N A
83
Relembrando:
Metas e objetivos.
Papis e responsabilidades.
Indicadores-chave de desempenho.
84
3
AULA
A definio dos
indicadores-chave de desempenho uma das principais formas de
m
manter o pensamento da organizao voltad
do para a melhoria contnua dos processos e,
no contexto da ITIL, tarefa imprescindvel desde o incio da construo
dos processos.
O Guia PMBOK possui 42 processos que contm as boas prticas do mercado para o gerenciamento de projetos em qualquer
rea. Um desses processos denominado Elaborar o Termo de
Abertura do Projeto e um processo de iniciao do projeto.
nesse processo que acontece a escolha do projeto com base em
algum critrio de seleo e que a organizao decide se o projeto
ou no importante para atingir alguma meta estratgica, ou
seja, se a metodologia for bem construda, existir um processo
que impedir a execuo de projetos que no contribuam para a
estratgia da empresa.
CEC I E R J E X T E N S O E M G O V E R N A N A
85
86
AULA
Atividade
CEC I E R J E X T E N S O E M G O V E R N A N A
87
Resposta
Letra b. Do ponto de vista do usurio, ele relata sempre um incidente. papel
do provedor de TI fazer a classificao. Nesse caso, a questo conhecida e
a soluo tambm. O que falta uma atitude proativa do provedor no sentido
de atacar a causa-raiz do problema. Note que o problema no o fato de os
cabos estarem desconectados (isso o efeito relatado pelo usurio). O problema
o que faz com que tal incidente se repita recorrentemente. Veremos como lidar
com essa questo em detalhes na prxima aula.
Provedor de servios
88
AULA
Atividade
Na maior parte das situaes, relativamente fcil identificar o usurio dos servios 1
de TI. Porm, a identificao do cliente, aquele que paga pelo servio, no to
simples. Isso acontece principalmente nas situaes em que o ncleo de negcios
da empresa no a prestao de servios de TI. Por exemplo: em uma empresa que
fabrica tecidos, quem o cliente da rea de TI? Explique a sua resposta com base nos
conceitos da ITIL.
_____________________________________________________________________________
______________________________________________________________________________
______________________________________________________________________________
______________________________________________________________________________
______________________________________________________________________________
_____________________________________________________________________________
Resposta
O cliente aquele que paga pelo servio. Deve ficar claro que o pagamento nem
sempre acontece em dinheiro. Normalmente, no caso em que a TI presta servios
internamente, o cliente a pessoa dentro da organizao que tem o poder de
alocar mais (ou menos) verbas para a aquisio de recursos, contratao de pessoal, realizao de treinamentos etc. Em ltima instncia, ela quem paga pelo
servio. Em determinadas situaes, o chefe do departamento para o qual a TI est
prestando um servio (um diretor) tambm pode ser visto e tratado como o cliente,
uma vez que a sua percepo pode afetar diretamente a percepo daquele que
responsvel por distribuir os recursos em toda a organizao (um presidente).
No caso da empresa de tecidos, como em qualquer outro caso, a ideia a mesma.
Cliente aquele que paga pelo servio, de uma forma ou de outra.
CEC I E R J E X T E N S O E M G O V E R N A N A
89
Atividade
90
1. Cliente.
2. Usurio.
3. Provedor de TI.
4. Servio.
5. Produto.
6. Incidente.
7. Problema.
8. Solicitao de dervio.
9. Indicador de desempenho.
3
AULA
Resposta
( 4 ) Consultoria, capacitao e instalao um servio.
( 9 ) Nmero de incidentes por ms um indicador.
( 6 ) Evento com soluo conhecida um incidente.
( 2 ) Aquele que usa o servio o usurio.
( 7 ) Evento sem causa-raiz definida um problema.
( 1 ) Aquele que paga pelo servio o cliente.
( 5 ) Documentos, relatrios e servidores so produtos.
( 3 ) Executa as funes da TI o provedor de TI.
( 8 ) Solicitao de alterao de senha uma solicitao.
A CENTRAL DE SERVIOS
Vamos agora conhecer o conceito de central de servios. A central
de servios uma funo da ITIL. Grave bem esse conceito e procure
entend-lo nos prximos pargrafos. A central de servios no um dos
processos da ITIL, mas sim uma funo desempenhada por uma ou
mais pessoas dentro do provedor de TI.
O maior objetivo da central implantar um ponto nico de contato
entre o usurio e o provedor de TI. Em alguns ambientes, a expresso
ponto nico de contato ou de acesso substituda pela sigla em ingls
SPOC (Single Point of Contact). O ponto nico de acesso pode ser um
nmero de telefone, um email de suporte, uma pgina para abertura de
chamado atravs da intranet da empresa etc.
No curto prazo, a adoo do SPOC costuma gerar reatividade
por parte dos usurios, mas, a mdio e longo prazos, na medida em
que os resultados concretos comeam a aparecer, a maior eficincia na
prestao de servios falar mais alto. Por isso, o projeto de melhoria
na prestao de servios de TI atravs das prticas da ITIL precisar
de apoio formal da alta direo, principalmente em sua fase inicial.
E, diga-se de passagem, a implantao da central de servios o primeiro
passo dentro de um projeto como esse.
CEC I E R J E X T E N S O E M G O V E R N A N A
91
H atuamente no mercado uma srie de empresas que fabricam software com funcionalidades inspiradas na biblioteca ITIL. Muitas empresas, ao iniciar o seu projeto de construo de processos com base nessa biblioteca, optam por adquirir uma dessas ferramentas.
Muitas delas so relativamente caras. Vale ressaltar que no obrigatria a aquisio
de qualquer tipo de software para melhorar o gerenciamento de servios de TI. Porm,
isso muito recomendado em ambientes de mdio e grande porte simplesmente para
automatizar certas tarefas. Lembre-se de que a soluo ser dada pelas pessoas e que as
tecnologias s iro potencializar as decises (sejam elas corretas ou no). Para ver uma lista
de fabricantes de ferramentas para gerenciamento de servio de TI homologados acesse:
http://www.pinkelephant.com/ResourceCenter/PinkVerify/PINKVERIFY-Toolsets.htm
O link foi acessado em 30 de dezembro de 2009.
92
AULA
CEC I E R J E X T E N S O E M G O V E R N A N A
93
94
AULA
CEC I E R J E X T E N S O E M G O V E R N A N A
95
CONCLUSO
A ITIL surgiu numa poca em que vrias boas prticas, normas e
padres estavam surgindo no mundo todo em diversos setores da indstria. Seu objetivo, desde o incio, era melhorar a qualidade na prestao
de servios de TI na Inglaterra. Hoje, aps mais de duas dcadas de
evoluo, o mundo inteiro utiliza a ITIL para melhorar seus servios
de TI. Alm do objetivo inicial, a ITIL hoje cumpre tambm o objetivo de
fazer com que o profissional de TI adote uma postura mais estratgica na
empresa, ou seja, que adote um pensamento mais voltado para o ciclo
de vida dos servios que ele ajuda a prestar.
No Brasil, a ITIL largamente adotada em vrias empresas.
Porm, alm de seus processos, existe uma filosofia por trs da sua adoo
que precisa estar muito clara para qualquer um que queria utiliz-la, quer
seja em um projeto na empresa, quer seja para adquirir conhecimentos ou
mesmo obter uma certificao profissional. Nesta aula vimos os conceitos
iniciais, inclusive a ideia da central de servios; nas prximas iremos
tratar especificamente de cada um dos processos mencionados.
96
3
AULA
Atividade online
Pronto! J hora de fazermos algumas atividades online para consolidar os conhecimentos
com relao ITIL antes de partirmos para as aulas que iro tratar dos processos de suporte
e de entrega. V sala de aula virtual e resolva a atividade proposta pelo tutor. O objetivo da
atividade determinar como a central de servio poderia ser implementada na sua empresa.
Lembre-se de que isso ir depender de vrios fatores e decises, porm, para estar aderente s
boas prticas, as principais funes da central de servio devero ser garantidas.
RESUMO
A ITIL foi desenvolvida pelo governo britnico, e sua primeira verso foi
publicada no final da dcada de 1980.
CEC I E R J E X T E N S O E M G O V E R N A N A
97
Atividades Finais
1) Foi visto ao longo da aula que a central de servio no necessariamente um local
fsico com pessoas dedicadas unicamente a tal funo. Como a central de servio seria
implementada na sua empresa?
2) Quais das atividades abaixo no se referem central de servio (escolha duas
opes):
a. Ser o ponto nico de acesso entre o usurio e o provedor de TI.
b. Registrar todos os incidentes e solicitaes de servio do usurio.
c. Investigar a causa das interrupes do servio.
d. Restaurar o nvel de servio rapidamente e sempre que possvel.
e. Impedir a comunicao entre o usurio e o provedor de TI.
f. Registrar informaes e lies aprendidas.
3) De acordo com a filosofia que vem sendo adotada desde a dcada de 1980, qual seria
a melhor definio para a ITIL, dentre as listadas a seguir?
a. Um padro internacional para o gerenciamento de servios de TI.
b. Uma metodologia para a proviso de servios de TI.
c. Um modelo que contm diretrizes para a TI em todas as reas.
d. Uma referncia baseada naquilo que mais aceito no mercado.
4) O que so indicadores de desempenho e qual a sua funo na ITIL?
5) Qual o papel do processo e do indicador de desempenho no processo de melhoria
contnua do gerenciamento de servios de TI?
6) (Analista de Segurana MEC FGV/2009) A ITIL demonstra as melhores prticas que podem
ser utilizadas na aplicao de seus conceitos. Ela permite o mximo de alinhamento entre as
98
3
AULA
Respostas
1. Esta atividade importante, e a resposta a esta questo depender do contexto
do aluno e ser respondida na atividade on line indicada. A central de servio precisa cumprir certos objetivos e a ITIL diz quais seriam eles. Porm fica a critrio da
organizao a implementao da forma mais adequada s suas necessidades e
aos seus recursos disponveis. O SPOC, ou ponto nico de acesso entre provedor e
usurio, pode ser implementado via telefone, email ou ferramenta web. As equipes
de soluo podem ser divididas em mais de um nvel. A triagem e o acompanhamento dos chamados podem ser feitos por pessoas alocadas exclusivamente para
isso, ou podem ser uma tarefa feita pela prpria equipe de soluo (dependendo
de quantas pessoas h na equipe de TI e do nmero de chamados).
2. Alternativas c e e. A central de servio no investiga a causa das interrupes
do servio, pois isso funo dos responsveis pelo gerenciamento de problemas.
Alm disso, a central no impede a comunicao entre o usurio e o provedor de
TI. Ela apenas estabelece um processo eficaz para que a comunicao acontea de
forma efetiva.
3. Alternativa d. A ITIL no um padro nem uma metodologia. Por outro lado, a
ITIL no contm informaes para todas as reas da TI, pois ela menos abrangente
(com menos viso de negcio, p. ex.).
4. Os indicadores de desempenho so itens do processo que podem ser quantificados
(medidos) a fim de permitir alguma forma de comparao entre os resultados desejados pelo processo e os resultados que esto sendo obtidos. Um processo pode ser
construdo com o objetivo de diminuir o nmero de incidentes em uma determinada
CEC I E R J E X T E N S O E M G O V E R N A N A
99
rea X da empresa de 1.000 por ms para 800 por ms. Assim, um indicador
de desempenho do processo seria o nmero de incidentes na rea X por ms.
Um processo pode ter vrios indicadores de desempenho.
5. O processo permite empresa iniciar o ciclo de melhoria contnua. A cada
execuo do processo a empresa tem a oportunidade de melhor-lo, a fim de
execut-lo, da prxima vez, de maneira mais eficiente. Quando no h processo,
cada pessoa na organizao executa o seu prprio processo e, pior, a mesma
pessoa pode executar uma mesma atividade de forma diferente a cada vez.
Um processo, por pior que seja, torna-se a forma com que todos executam uma
mesma atividade. Assim, cada um pode dar a sua contribuio. O indicador de
desempenho formalizar, em cada processo, o que a empresa quer medir a fim
de tomar decises. A melhoria contnua acontece no momento em que analisamos
indicadores e tomamos decises.
6. Alternativa b. A ITIL fortemente baseada em processos. Seu contedo praticamente todo descrito na forma de processos.
7. Alternativa e. Identificar tendncias, controlar erros e revisar problemas funo
do gerenciamento de problemas. Gerenciar equipes de suporte funo dos gerentes,
coordenadores etc.; no da central.
AULA
Meta da aula
objetivos
Pr-requisitos
So pr-requisitos para esta aula ter atingido os
objetivos das duas primeiras aulas do curso, que
tratam do planejamento estratgico e da governana em TI, e ter atingido os objetivos da Aula 3,
que apresentou o histrico da ITIL e os
principais conceitos relacionados a ela.
INTRODUO
Ns iremos ver nesta aula os processos do livro de suporte a servios de TI, aos
quais muitas pessoas se referem como processos operacionais da ITIL.
AULA
GERENCIAMENTO DE INCIDENTES
O principal objetivo deste processo solucionar incidentes e restabelecer o nvel de servio
o mais rapidamente possvel atravs da central
de servio. Esse processo lida com os incidentes
do dia a dia da TI, e ns j vimos que incidentes de TI so aqueles eventos que interrompem um servio (ou diminuem o seu nvel de
qualidade), mas que possuem soluo conhecida. Ou seja, em todos os casos, chamaremos
de incidentes de TI algum evento cuja soluo
de contorno seja conhecida e aplicvel. Sempre
existir uma soluo conhecida e imediatamente
aplicvel para um incidente!
Esse processo traz como benefcio imediato para a TI o fato de que os chamados incndios do dia a dia comeam a ser controlados por meio de processos e, dessa forma, passam
a ser tratados de forma cada vez mais eficiente (lembre-se do conceito
de melhoria contnua). Note que, de fato, a tendncia que o foco da
execuo desse processo seja mesmo mais operacional, porm so aes
operacionais voltadas para atingir objetivos definidos nos outros nveis
de deciso da empresa.
CEC I E R J E X T E N S O E M G O V E R N A N A
103
Descrio do processo
A principal entrada desse processo o registro de um chamado,
normalmente feito pelo usurio atravs de central de servio. A principal
sada o usurio satisfeito. As atividades desse processo so:
Deteco do incidente.
Registro do incidente.
Classificao do incidente.
Priorizao do incidente.
Escalonamento.
Restaurao.
Fechamento.
GERENCIAMENTO DE PROBLEMAS
O principal objetivo desse processo lidar
com os problemas que afetam a rea de TI. Voc
se lembra da diferena entre incidente e problema,
no? Chamamos de problema o evento que, assim
como o incidente, interrompe um servio (ou diminui o seu nvel de qualidade), mas para o qual no
temos uma soluo conhecida e aplicvel.
A implantao dos processos de gerenciamento de incidentes em conjunto com o gerenFigura 4.2: Gerenciamento de problemas de TI.
AULA
CEC I E R J E X T E N S O E M G O V E R N A N A
105
Priorizao do problema.
Escalonamento.
Diagnstico da causa-raiz.
Relatrio de registro na BDGC (Base de Dados de Gerenciamento da Configurao).
Requisio de mudana.
Erradicao do erro.
Indicadores de desempenho do processo
Nmero de problemas por rea de negcio.
Nmero de problemas por departamento.
Nmero de problemas por tipo de servio.
Nmero de requisies de mudana geradas.
Nmero de erros erradicados da infraestrutura.
Tempo mdio para resoluo de problemas.
Atividade 1
2
Considere um usurio que est sendo afetado pela interrupo de um servio 1
por causa de um erro existente na infraestrutura de TI da empresa. O usurio
entra em contato com a central de servio para reclamar. Liste e explique todas as etapas,
desde quando o usurio percebe a falta do servio at o diagnstico da causa-raiz pelo
provedor de TI. Faa isso obedecendo sequncia em que elas devem ser executadas
de acordo com os processos de gerenciamento de incidente e de problemas da ITIL.
Resposta
Em primeiro lugar, o usurio identifica a falta do servio e entra em contato com
a central de servio. A central registra o chamado abrindo um registro para um
novo incidente na BDGC. Ressalte-se que, do ponto de vista da central,
o usurio sempre abre um chamado para um incidente;
4
AULA
Erro na
infraestrutura
Incidente
Problema
Erro
conhecido
Requisio
de mudana
Resoluo e
fechamento
Figura 4.3: Sequncia de eventos na ITIL v2.
Gerenciamento da configurao
O gerenciamento da configurao o processo responsvel por
criar e manter a BDGC. O conceito da BDGC um dos conceitos mais
importantes da ITIL. Mas o que seria uma base de dados de gerenciamento da configurao, afinal? Ela tem a ver com o conceito de banco
de dados? Sim, tem muito a ver.
CEC I E R J E X T E N S O E M G O V E R N A N A
107
Voc pode chegar a uma empresa e pedir para ver a BDGC que d
suporte aos processos de gerenciamento de servios de TI. Na verdade,
a melhor solicitao nesse caso seria acessar a BDGC. A BDGC uma
SGBDs, ou sistemas
de gerenciamento de
banco de dados, so
sistemas automatizados para permitir
acesso rpido e
seguro a grandes
quantidades de
informaes em formatos de registros,
tabelas e campos.
Exemplos de SGBDs
proprietrios so o
Oracle, o SQLServer (da Microsoft).
Um exemplo bem
conhecido de SGBD
gratuito o MySQL,
utilizado principalmente em sistemas operacionais
baseados em Unix
e Linux. Muitos
fabricantes oferecem
softwares que do
suporte construo
e operacionalizao
de um BDGC de
acordo com os processos criados a partir das boas prticas
da ITIL e tambm
so compatveis com
vrios bancos de
dados.
os ativos muito grande, voc ter uma ideia de como sistemas como
AULA
CEC I E R J E X T E N S O E M G O V E R N A N A
109
Construo da BDGC.
AULA
Alimentao da BDGC.
Alterao da BDGC.
Acompanhamento e auditoria da BDGC.
Indicadores de desempenho do processo
Quantidade de itens de configurao na BDGC.
Quantidade de atributos por itens de configurao.
Nvel de detalhamento por tipo de item de configurao.
Alteraes na BDGC na ltima semana.
Itens de configurao por servio prestado.
Atividade
Um consultor, ao visitar a empresa pela primeira vez, pede para ver a BDGC da 3
empresa. Como deve ser interpretada essa pergunta e o que o consultor espera obter
de informao ao visualizar a BDGC? Quais so os riscos que o consultor est correndo
ao confiar na BDGC? Como a BDGC deve ser protegida? Explique sua resposta.
Resposta
Em princpio no h nada de errado com a pergunta. A BDGC pode ser visualizada
atravs de uma ferramenta de software que permita isso, pois ela uma base
de dados armazenada em um sistema de gerenciamento de banco de dados
que contm informaes sobre a infraestrutura de TI da empresa. Espera-se que,
em um ambiente de gerenciamento de servios de TI maduro, a BDGC reflita a
realidade da organizao da maneira mais fidedigna possvel. O maior risco
nesse caso o consultor confiar na BDGC e, na prtica, verificar
CEC I E R J E X T E N S O E M G O V E R N A N A
111
GERENCIAMENTO DE MUDANAS
O principal objetivo deste
processo aprovar mudanas para
que elas sejam feitas de melhor
forma possvel e sem gerar impactos
inesperados. As mudanas podem ser
categorizadas em menores, normal,
significativas e urgentes.
Um dos benefcios que se
obtm com esse processo o fato
Figura 4.5: Gerenciamento de mudanas.
Mas e se os mesmos usurios ligarem duas ou trs vezes por dia para
AULA
GERENCIAMENTO DE LIBERAES
O processo de gerenciamento de liberaes est diretamente relacionado com a garantia de que apenas softwares e hardwares testados e
aprovados estejam em uso. Assim, ele coordena liberaes na infraestrutura de TI, quer seja de atualizaes das verses existentes (upgrades),
quer seja de substituies completas de hardware e software por outros
novos. Apenas hardwares e softwares homologados devem estar em uso
na organizao.
CEC I E R J E X T E N S O E M G O V E R N A N A
113
Completa (full)
AULA
Descrio do processo
Esse processo tem como principal entrada uma mudana na
infraestrutura que foi autorizada pelo processo de gerenciamento de
mudanas. A principal sada ser a mudana liberada na infraestrutura.
As atividades desse processo so:
Solicitao de mudana aprovada.
Elaborao do plano de liberao.
Testes.
Comunicao e preparao.
Execuo do plano de liberao.
Relatrio de registro para a BDGC.
ROLL OUT
um termo muito
usado dentro da
ITIL. Ao ouvir tal
expresso, entenda
algo como executar
todas as atividades
relacionadas liberao a fim de tornla efetiva e operacional na organizao.
bastante til, s
vezes, sintetizar uma
frase inteira em uma
expresso pequena.
Por isso, comece a
se familiarizar com
certas expresses em
ingls que so muito
usadas pelo mercado
ao se referir aos processos da ITIL.
CEC I E R J E X T E N S O E M G O V E R N A N A
115
Atividade 3
Considere um usurio que est sendo afetado pela interrupo de um
4
5
servio por causa de um erro existente na infraestrutura de TI da empresa.
O usurio entra em contato com a central de servios para reclamar. Liste e explique
todas as etapas, desde quando o usurio percebe a falta do servio at o momento em
que o servio restabelecido pelo provedor de TI. Faa isso obedecendo sequncia
em que elas devem ser executadas de acordo com todos os processos de suporte a
servios de TI da ITIL.
Resposta
Vimos na atividade anterior que as atividades, desde a identificao at o diagnstico da causa-raiz, seriam: identificao, registro do incidente, classificao do
incidente, registro do problema, classificao do problema, priorizao do problema, escalonamento do problema e diagnstico da causa-raiz do problema. Aps o
diagnstico da causa-raiz, a prxima atividade no processo de gerenciamento de
problema seria enviar um relatrio de registro para a BDGC a fim de documentar
o erro mais rapidamente possvel e elaborar uma requisio de mudana para
a avaliao e aprovao (ou no) das mudanas necessrias na infraestrutura.
Depois, a mudana deve ser registrada, classificada, priorizada e autorizada pelo
processo de gerenciamento de mudanas. Caso a mudana seja aprovada,
seus planos de desenvolvimento e retrocesso devem ser elaborados e um
relatrio de registro para a BDGC deve ser enviado para que
4
AULA
CEC I E R J E X T E N S O E M G O V E R N A N A
117
AULA
CONCLUSO
Vimos nesta aula como a ITIL lida com questes como incidentes
do dia a dia e problemas na rea de TI. A ideia mais importante dessa aula
a de que a filosofia da ITIL prega que a abordagem dessas questes
atravs de processos a melhor forma de combater a falta de qualidade
na prestao de servios de TI. Lembre-se do fato de que o mundo j
adotou a ideia de que o trabalho nas empresas acontece melhor, em todas
as reas, quando acontece atravs de processos.
Em princpio, pode parecer complicada a ideia de lidar com tudo
de maneira to sistemtica. Repetimos que, de fato, o que os processos
da ITIL fazem explicitar o que todos j fazemos normalmente. Todos
ns temos nossa forma de identificar incidentes e problemas e lidamos
de maneiras diferentes com tais questes. Todas as empresas procuram,
de uma forma ou de outra, construir procedimentos para autorizao
e execuo de mudanas. Porm, na falta de processos nicos e documentados, cada um segue sua prpria maneira de fazer as coisas, o que
normalmente gera retrabalho, ineficincia, ineficcia, desmotivao e
tantos outros prejuzos que j conhecemos.
Finalmente, voc deve observar que muito comum encontrar
empresas que construram seus processos por tentativa e erro. fcil
notar nesses casos que, aps vrios tropeos, o resultado final na organizao um processo muito parecido (s vezes idntico) com os processos
descritos na ITIL. E voc acha que isso acontece por acaso? Claro que
no. A ITIL um conjunto de boas prticas e, obviamente, ela contm
prticas consideradas boas e que so adotadas no mercado pela maioria
das empresas que deram certo. Por que reinventar a roda, ento?
CEC I E R J E X T E N S O E M G O V E R N A N A
119
Atividade online
C
Como
implementar os processos de suporte a servios em uma empresa? V sala 6
de aula virtual e resolva a atividade proposta pelo tutor. O objetivo da atividade
determinar como os processos de suporte a servios poderiam ser implementados na
sua empresa. Lembre-se de que, embora a implementao dependa de vrios fatores, as
principais funes de cada um dos cinco processos de suporte a servios de TI devero
ser garantidas.
RESUMO
4
AULA
CEC I E R J E X T E N S O E M G O V E R N A N A
121
Atividades Finais
1) Qual o foco principal do processo de gerenciamento da configurao?
2) Qual o principal objetivo da BDGC?
3) Por que no podemos dizer que um software de gerenciamento de ativos suficiente
para dar suporte criao, alterao e manuteno de uma BDGC?
4) Qual a principal diferena entre a base de dados do gerenciamento da configurao
e o registro de informaes sobre ativos de TI?
a. A BDGC um sistema e ativos podem ser hardware e software.
b. Ambos os conceitos so usados indistintamente na ITIL.
c. A BDGC registra informaes alm daquelas sobre hardware.
d. A BDCG relaciona todos os atributos dos itens armazenados.
5) Os funcionrios de uma empresa esto habituados a trabalhar em casa um dia por
semana (home office). Recentemente, vrios funcionrios tm comunicado que uma
nova configurao de segurana adicional exigida para a conexo remota est causando
desempenho insatisfatrio durante a navegao. Uma soluo temporria foi identificada pelos prprios usurios. Quais processos, alm do processo de gerenciamento de
incidente, esto envolvidos na aplicao de uma soluo sistmica e definitiva para essa
questo?
a. Mudana, configurao, liberaes e problemas.
b. Configurao, problemas e liberaes.
c. Mudanas e liberaes.
d. Mudanas, liberaes e configurao.
e. Problemas e liberaes.
6. (Analista do MPE-SE FCC/2009) Auxilia a gesto do ambiente de TI por intermdio do
registro de todos os seus itens em um banco de dados o que permite controlar os componentes de infraestrutura envolvidos na realizao dos servios de TI. O processo ITIL
referente a esta definio o Gerenciamento de:
a. Incidentes.
b. Problemas.
c. Configurao.
d. Mudanas.
e. Verses.
7. (Analista Administrativo ANATEL CESPE/2009) Tendo como base o ITIL, julgue os itens
seguintes.
a. Incidente qualquer evento que faz parte da operao padro de um servio e que
pode causar sua interrupo ou a reduo da qualidade do servio. Incidentes que
no podem ser resolvidos imediatamente pelo service desk devem ser tratados por
especialistas.
b. A gerncia de configuraes trata o hardware, o software e a documentao como
itens de configurao; difere de gerenciamento de ativos, pois no considera o registro contbil de depreciao e no mantm informaes acerca dos relacionamentos
entre ativos.
122 Governana: Gesto, Auditoria e Tecnologia da Informao
4
AULA
Respostas
1. O gerenciamento da configurao cumpre vrios papis. O mais importante est
relacionado BDGC. graas ao gerenciamento da configurao que a BDGC
criada, mantida e atualizada.
2. A BDGC uma base de dados que tem como objetivo armazenar diversas informaes teis para a empresa e informaes teis para a prpria efetivao de todos
os outros processos. Podemos dizer que todos os processos da ITIL dependem, em
maior ou menor grau, da BDGC. Assim, fica bvio concluir que a qualidade da BDGC
se reflete diretamente na qualidade de todos os outros processos. Na verdade, da
qualidade do processo de gerenciamento da configurao depende a qualidade de
todos os outros processos da ITIL .
3. O que o mercado chama de softwares de gerenciamento de ativos so, na maior
parte dos casos, softwares de gerenciamento de ativos de hardware apenas. A BDGC
se preocupa com todos os ativos, ou seja, no s ativos de hardware, mas tambm
ativos de software, processos etc. E principalmente a BDGC vai muito mais alm,
pois possui informaes sobre todos os relacionamentos entre os ativos.
CEC I E R J E X T E N S O E M G O V E R N A N A
123
AULA
A entrega de servios de TI
na ITIL v2
Meta da aula
objetivos
Pr-requisitos
So pr-requisitos para esta aula ter atingido os objetivos das duas
primerias aulas do curso, que tratam do planejamento estratgico e
da Governana em TI, e ter atingido os objetivos da Aula 3, que apresentou o histrico da ITIL e os principais conceitos relacionados a
ela. Alm disso, recomendado que o aluno tenha atingido os objetivos da Aula 4, sobre suporte a servios de TI.
INTRODUO
Ns iremos ver nesta aula os processos do livro Entrega de servios de TI, aos
quais muitas pessoas se referem como processos tticos da ITIL.
PROCESSOS TTICOS
Fazemos aqui uma observao: seria mais adequado dizer que
esses processos possuem foco maior em atividades tticas, e no que
eles so processos tticos. O processo de gerenciamento da capacidade,
por exemplo, um processo que fornece informaes gerenciais para
a tomada de decises no nvel ttico, porm depende diretamente de
implementaes operacionais para ser efetivo. Enfim, como tudo em
TI hoje em dia, os processos no podem estar rigidamente restritos a
um ou outro nvel organizacional, pois todos lidam com informaes
de todos os nveis. Assim, repetimos nesta aula o que dissemos na aula
anterior sobre a ITIL. Embora, devido ao cargo que voc ocupe, possa
atuar na maior parte do tempo em atividades consideradas tticas, voc
precisa ter bom entendimento das questes operacionais e das questes
estratgicas relacionadas a tudo o que voc faz. Ou seja, voc precisa
ter viso sistmica das suas funes!
Enfim, vamos aos processos de entrega!
J vimos que cada processo, por definio, composto por entradas, sadas e atividades intermedirias. O que faz a ITIL ser muito til
para a TI o fato de ela descrever os processos completos para resolver
questes muito importantes em nosso dia a dia. muito importante que
voc mantenha em mente a ideia de que fazendo opes sobre como
desempenhar uma das atividades do processo descrito na ITIL que a
empresa ir adequ-lo ao seu perfil.
126 Governana: Gesto, Auditoria e Tecnologia da Informao
AULA
CEC I E R J E X T E N S O E M G O V E R N A N A
127
O contrrio tambm acontece, mas com cada vez menos frequncia. Isso
porque, como vimos nas primeiras aulas, a sensao do usurio de que
precisa cada vez mais da TI (o que de certa forma um fato).
Mas como balancear tais exigncias? At que ponto a TI
deve se esforar para atender a todas as solicitaes de todos
os usurios para todos os servios? A resposta bem simples.
At o ponto em que o investimento realizado para atender a tais
demandas seja justificado pelo retorno obtido para o negcio.
Os benefcios obtidos com a implantao desse processo
esto relacionados ao balanceamento de toda a demanda com
o seu fornecimento atendendo aos requisitos de forma alinhada
ao negcio e de acordo com a capacidade da TI. Podemos listar
os objetivos desta forma:
Melhorar o relacionamento entre o cliente e o provedor.
Melhorar o entendimento dos requisitos do servio.
Balancear a demanda do cliente e o custo da proviso do servio.
Mensurar os nveis de servio prestados e buscar sua melhoria.
Assim como em outros processos, este processo tambm possui alguns
termos prprios.
5
Provedor de TI
Cliente TI
ANS
Service Level
Management
ANS
AULA
Contexto Negcios
ANO
rea A
rea B
rea C
...
CA
Portflio
Servios
Provedor Externo
servio deve ser prestado, do ponto de vista do usurio, e o que para ele
visto como prioritrio, importante, secundrio ou pouco relevante.
Descrio do processo
A principal entrada deste processo so os requisitos dos usurios
de TI. A principal sada o servio prestado atendendo aos requisitos.
As atividades deste processo so:
CEC I E R J E X T E N S O E M G O V E R N A N A
129
Indicadores de desempenho
Quantidade de servios prestados que no esto no catlogo.
Quantidade de servios que no possuem requisitos acordados.
Quantidade de servios que no atendem aos requisitos.
Atividade 1
Um usurio instala em sua mquina de trabalho um software que lhe foi indicado por 1
um amigo. Aps alguns dias de uso, o computador do usurio comea a apresentar
problemas toda vez que o novo software inicializado. Que processo, se implementado
na organizao, poderia ter impedido que o usurio instalasse o software sem comunicar
TI? Que processo, se implementado na organizao, poderia identificar a presena do
software desconhecido na configurao da empresa? Explique sua resposta.
Resposta
O processo de gerenciamento do nvel de servio implementa o catlogo de servio
que responsvel por informar aos usurios quais so os softwares homologados
para os quais a TI prestar servios. O processo de gerenciamento da liberao o
responsvel por garantir que somente softwares liberados correta e oficialmente na
empresa estejam presentes na configurao da infraestrutura de TI.
AULA
GERENCIAMENTO DA CAPACIDADE
O que acontece se a TI no tem capacidade para atender aos requisitos de servio
solicitados pelos usurios? Com certeza a resposta no muito boa. Neste processo, quando
falamos de capacidade, estamos nos referindo
no somente a questes de hardware e software, mas tambm a questes de competncias dos
profissionais, eficincia dos processos de TI e
tudo o mais que possa afetar o fornecimento
do servio por incapacidade operacional. Note
que, conforme a filosofia da ITIL, o foco aqui
CEC I E R J E X T E N S O E M G O V E R N A N A
131
Gerenciamento da demanda
Este processo atua tentando controlar a demanda por servios dentro da organizao ou equilibrando os requisitos do nvel de
servio. Um dos caminhos mais comuns obedece lei da oferta e da
procura. Quando a demanda aumenta, o valor cobrado pelo servio
tende a aumentar at que a oferta acompanhe ou supere a demanda.
O contrrio tambm verdade. Assim, o provedor de TI pode cobrar
mais por servios cujos requisitos de qualidade estabelecidos pelo usurio sejam altos. Mas como fazer isso quando o provedor de TI possui
usurios e clientes internos, ou seja, a TI pertence a uma empresa cujo
ncleo de negcios no propriamente a prestao de servios de TI?
Veremos ainda nesta aula que o processo de gerenciamento financeiro
da TI oferece caminhos para tornar efetiva essa cobrana mesmo em
ambientes como esse.
Descrio do processo
A principal entrada deste processo so as demandas da organizao por servios. A principal sada o atendimento a tais demandas
de maneira sustentvel pelo negcio, ou seja, a um custo vivel para a
organizao. As atividades deste processo so:
Determinar as demandas de negcio atuais e futuras.
Determinar as demandas por recursos atuais.
Elaborar relatrios de avaliao da capacidade.
Elaborar relatrios de utilizao da capacidade.
Elaborar requisies de mudana.
Controlar e monitorar a demanda.
AULA
Indicadores de desempenho
Tipos e quantidade de recursos de hardware em uso.
Tipos e quantidade de recursos de software em uso.
Habilidades dos recursos humanos do provedor de TI.
Capacidades dos recursos humanos do provedor de TI.
Tipos e quantidades de demandas futuras.
Atividade 2
Ainda considerando o cenrio da questo anterior, imagine que, aps avaliao
Resposta
Inicialmente o gerenciamento de incidentes ser o processo responsvel por receber e
registrar os chamados do usurio. O gerenciamento de problemas ser o responsvel
por detectar a causa-raiz do comportamento estranho do software. Uma requisio
de mudana ser tratada pelo gerenciamento de mudana para avaliar e aprovar a
homologao do software. O gerenciamento de liberao ser o responsvel por fazer as
instalaes e por armazenar as cpias do software homologado no depsito de software
definitivo. O gerenciamento da capacidade ser o responsvel por avaliar as questes de
capacidade envolvidas. Ressalte-se que, neste caso, no se trata somente do conceito
bsico de capacidade, ou seja, se as mquinas possuem ou no capacidade
CEC I E R J E X T E N S O E M G O V E R N A N A
133
GERENCIAMENTO DA DISPONIBILIDADE
Qual a diferena entre capacidade da TI e disponibilidade? Espero que voc no fique confuso com essa
pergunta, pois a diferena total. Embora ambos os
conceitos estejam relacionados, eles no so uma coisa
s. Tanto no so que a ITIL possui dois processos
distintos para tratar de cada uma dessas ideias dentro
Figura 5.4: Gerenciamento da
disponibilidade.
Disponibilidade (availability)
A disponibilidade de um servio afetada tanto pela quantidade
de falhas do servio quanto pelo tempo mdio necessrio para repar-lo.
Dois servios, A e B, podem sofrer uma nica interrupo no perodo de
uma hora. Porm, se um for reparado em cinco minutos e o outro em
vinte, certamente a sensao de disponibilidade do usurio com relao
ao primeiro servio ser maior. O clculo da disponibilidade feito por
meio da determinao do tempo mdio entre falhas (TMEF). Quanto
maior esse tempo, maior ser a disponibilidade do servio.
Confiabilidade (reliability)
A confiabilidade de um servio est ligada somente ao nmero
de falhas do servio. Observando o exemplo dos servios A e B do
item anterior, embora o servio A seja mais disponvel (possua TMEF
maior), ambos so igualmente confiveis (ou no confiveis...), pois
ambos possuem ndice de uma falha a cada hora no perodo analisado.
AULA
Sustentabilidade (resilience)
A sustentabilidade, s vezes chamada de resistncia ou resilincia.
Est ligada ao grau de manuteno do servio mesmo quando uma falha
acontece. A sustentabilidade medida com relao ao tempo necessrio
para restabelecer o servio aps alguma interrupo ou queda no nvel
acordado com o usurio. Em alguns casos, a sustentabilidade to
grande que, mesmo com a falha total de alguns recursos, o usurio no
nota a interrupo ou a queda no nvel de servio. Nesse caso, o tempo
de recuperao nulo. Isso possvel nos casos em que o provedor de
TI investe na redundncia na prestao de alguns servios prioritrios
para a organizao. A sustentabilidade medida por meio do ndice de
tempo mdio para reparar (TMPR). Quanto menor esse tempo, maior
ser a sustentabilidade.
TMPR
Reparo
Identificao
Incidente
Diagnstico
Recuperao total
Incidente
Recuperao parcial
TMEF
TMEI
Tempo
Figura 5.5: ndices de gerenciamento da disponibilidade.
CEC I E R J E X T E N S O E M G O V E R N A N A
135
Descrio do processo
A principal entrada deste processo a solicitao dos usurios
por aumento na disponibilidade, confiabilidade ou sustentabilidade dos
servios. A principal sada a prestao de servios que possuam ndices
de disponibilidade, confiabilidade e sustentabilidade compatveis com
as necessidades da empresa, nem mais, nem menos. As atividades deste
processo so:
Determinar as demandas de negcio atuais e futuras.
Determinar as demandas por disponibilidade atuais.
Determinar ndices de disponibilidade dos servios.
Realizar o mapeamento dos servios.
Determinar pontos nicos de falha.
Elaborar requisies de mudana.
Controlar e monitorar a disponibilidade.
Indicadores de desempenho
Tempo mdio entre falhas dos servios (TMEF).
Tempo mdio para reparar os servios (TMPR).
Tempo mdio entre incidentes do sistema (TMEI).
Servios que j esto mapeados na infraestrutura.
Atividade 3
Imagine que voc est no aeroporto usando um carto de internet mvel de 60 3
minutos. Exatamente dez minutos aps comear a usar o servio, a bateria do
seu notebook acaba e o todo processo de reinicializao e autenticao no provedor
leva cinco minutos. Voc continua usando o servio e, aps vinte minutos, o acesso
interrompido. Voc liga para a central do carto e informado de que o servio ser
restabelecido em minutos. Ao todo, a segunda interrupo leva dez minutos. Voc se
conecta novamente e usa a Internet at que os 60 minutos acabam. Quais so os ndices
TMEF, TMPR e TMEI para esse servio? possvel pensar em disponibilidade dos servios
de TI mesmo quando o usurio o responsvel pela interrupo? Explique.
5
AULA
Resposta
TMEF = [60 (10 + 5)] / 2 = 22,5;
TMPR = (10 + 5) / 2 = 7,5;
TMEI = TMEF + TMPR = 30.
Note que o tempo em que o servio ficou fora do ar por culpa do usurio tambm
entra nos clculos. Para ele, assim como para a empresa, no interessa a causa da
indisponibilidade, mas sim o fato de que um servio importante no estava disponvel.
Em muitos ambientes, as empresas investem em treinamentos dos usurios para
diminuir as causas de indisponibilidade. J em outros, infelizmente, os provedores
de TI no se preocupam tanto com a indisponibilidade quando a culpa no
deles. Vale lembrar que a disponibilidade de um servio depende de vrios itens da
configurao cuja falha pode influenciar negativamente o servio.
GERENCIAMENTO DA CONTINUIDADE
Este processo lida com o que pode afetar o
negcio como um todo. Ele procura responder a
questes como: Que eventos podem ocasionar o
fechamento da empresa antes que ela possa reagir?
At que ponto a operao da TI est sujeita a catstrofes naturais? Caso elas aconteam, em quanto
tempo os servios voltaro a ser oferecidos, ainda que
em nveis de qualidade menores? Em quanto tempo
a operao normal poder ser restabelecida?
Note que, pela primeira vez estamos falando
137
Plano de contingncia
Chamamos de aes de contingncia os procedimentos que so
executados aps um evento de graves propores, a fim de manter os
servios em operao. Perceba que as aes de contingncia so reativas.
Ora, mas o plano de contingncia, assim como qualquer plano, deve
ser elaborado antecipadamente? bvio que sim. Porm, as aes de
contingncia sero executadas, de fato, aps o incidente (ou acidente).
Elas podero ser ensaiadas e treinadas (o que at recomendado), mas
sero executadas na sua totalidade e realidade apenas de forma reativa
por ocasio da confirmao do evento previsto. At porque muitas aes
de contingncia (como mudana da base de operao para um outro
prdio) so muito custosas para a organizao.
Plano de continuidade
Este, sim, um plano que contm aes que visam a garantir a
continuidade da organizao e vrias aes que so tomadas, independentemente da ocorrncia dos eventos desfavorveis. O plano de continuidade define a necessidade de realizar acordos com parceiros (ou mesmo
concorrentes), a fim de que ambos tenham uma alternativa operacional
em caso de acidentes graves. Afinal, muitas aes de contingncia e de
recuperao de desastre s sero possveis se a organizao tiver realizado
AULA
CEC I E R J E X T E N S O E M G O V E R N A N A
139
Descrio do processo
A principal entrada deste processo a necessidade de qualquer
empresa de se manter e permanecer no mercado. A principal sada
a existncia de um plano de continuidade efetivo. As atividades deste
processo so:
Determinar as demandas de negcio atuais e futuras.
Identificar riscos para a operao de TI.
Analisar os riscos para a operao de TI.
Elaborar o plano de continuidade.
Elaborar requisies de mudana.
Revisar e testar o plano de continuidade.
Indicadores de desempenho
Quantidade de itens cobertos no plano de continuidade.
Quantidade de revises feitas no plano de continuidade.
Atividade
O seu diretor de TI informa que todos iro se reunir para discutir os itens do plano 4
de continuidade das operaes de TI. Um gerente lembra que a empresa j possui
um plano de continuidade que pode ser muito til. Porm, um analista diz que o plano
ajudar pouco, pois no trata de questes de Tecnologia da Informao. Quem est
certo? Explique.
5
AULA
Resposta
bvio que um plano de continuidade j elaborado pela empresa ajudar a equipe de TI
a elaborar o seu plano de continuidade. O gerente est certo (por isso ele o gerente...).
Na verdade, a questo da continuidade, como ressaltamos, to sistmica que
dificilmente poder ser tratada apenas dentro do escopo da TI. O recomendado e
seguido por muitas empresa elaborar um nico plano de continuidade abordando
aspectos de todas as reas, inclusive da TI. Isso porque a soluo para questes
que envolvem causas de fora maior, tais como incndios, terremotos e furaces,
geralmente a mesma para vrias reas. Obviamente, existem questes essencialmente de TI, como cpias de segurana e sistemas redundantes, que
devero ser tratadas parte neste plano geral.
GERENCIAMENTO FINANCEIRO
Quanto voc custa por ms para a sua
organizao? E quanto voc traz de retorno?
Estenda essas perguntas para que elas contemplem todas as pessoas e recursos envolvidos na
prestao de servios de TI e voc ter como
resposta aquilo que o principal objetivo do
processo de gerenciamento financeiro da TI.
Este processo fornece meios para que a TI
possa informar e controlar os custos da entre-
Oramentao
Este um subprocesso que determina quanto custam os servios.
Observe que no to simples determinar o custo de um servio, pois ele
normalmente depende de recursos diretos e indiretos que possuem custos
que podem ser fixos ou variveis, dependendo do uso. A rigor, deveria se
considerar o valor homem/hora, o tipo e a quantidade de equipamentos
utilizados, a depreciao dos materiais usados, servios de terceiros
etc. Lembre-se de que justamente no nvel de detalhamento para a
construo desses custos que a empresa estar adaptando o processo da
ITIL sua realidade. Em resumo, estamos dizendo que a atividade de
CEC I E R J E X T E N S O E M G O V E R N A N A
141
definio dos custos dos servios pode ser realizada de vrias maneiras
dependendo do nvel de preciso de que a empresa necessite.
Contabilidade
A contabilizao servir para definir a forma de agregao dos
custos dos servios. Ela pode ser feita por usurio, por cliente, por departamento, por rea etc. Depende de que tipo de resposta a empresa quer
obter. Qual o valor dos servios prestados pela TI para o departamento
X? Qual o valor dos servios prestados pela TI para os projetos da rea
de negcio Y?
Cobrana
Assim, uma vez que o provedor de TI sabe os custos dos servios
prestados e sabe contabiliz-lo de acordo com uma demanda especfica,
s restar realizar a cobrana. Nesse caso, a cobrana dos servios poder
ser real, nocional ou inexistente. A cobrana real envolve emisso de
fatura e nota fiscal, recebimento e gerao de impostos. Toda empresa
cujo provedor de TI presta servios para clientes externos realiza a
cobrana real. A cobrana nocional acontece em empresas em que o total
a ser pago debitado de uma conta fictcia existente para que as reas
ou departamentos possuam certo grau de independncia, funcionando
como empresas dentro da empresa. H exemplos na indstria em que a
cobrana nocional j acontece.
A realidade que poucas empresas realizam a cobrana nocional.
Empresas cujo ncleo de negcio a prestao de servios de TI ou fabricao de produtos de tecnologia certamente realizam a cobrana real,
pois sem isso elas no existiriam. Algumas poucas empresas realizam
a cobrana nocional. Voc conhece alguma empresa em que a cobrana nocional feita pela TI? Conhece alguma empresa em que existe a
cobrana nocional, mas no dentro da rea de TI?
AULA
Atividade 5
Numa empresa, em uma reunio semestral para tratar de questes de oramento, 5
um dos vice-presidentes defende que a TI precisa de mais investimentos; outro
diz que o investimento feito nos ltimos anos no tem significado nenhum resultado
palpvel. Qual processo ajudaria a responder essa questo? Explique o que deveria ser
feito antes da sua implementao.
Resposta
O gerenciamento financeiro tem como objetivo responder a questes de retorno
sobre o investimento atravs da oramentao (que define como mensurar os custos
de cada servio), contabilizao (que define como agregar e relacionar os custos na
empresa) e cobrana (que permite recuperar todos os custos por meio da cobrana
real ou nocional). Como na empresa os vice-presidentes discutem investimento
e retorno com base apenas na emoo (feeling), fica claro que ela no possui
processos definidos, documentados e maduros. Assim, antes que o gerenciamento
financeiro seja implementado, vrios processos de suporte e entrega precisam ser
criados e implementados na empresa. O gerenciamento financeiro depende de
informaes de todos os outros processos, e sem eles o gerenciamento
financeiro no ser efetivo.
Descrio do processo
A principal entrada deste processo a necessidade que a empresa
possui de determinar os custos operacionais da TI e a necessidade da
TI de recuperar esses custos por meio de alguma forma de cobrana.
As principais sadas so a determinao dos custos dos servios prestados pela TI, a sua contabilizao e a sua cobrana. As atividades deste
processo so:
Realizar a oramentao dos servios de TI.
Realizar a contabilizao dos servios de TI.
Realizar a cobrana dos servios de TI.
CEC I E R J E X T E N S O E M G O V E R N A N A
143
Indicadores de desempenho
Quantidade de servios para os quais o custo foi definido.
Quantidade de servios para os quais h contabilizao.
Quantidade de servios para os quais se realiza cobrana.
AULA
quanto tempo ele pode ficar sem o servio XYZ, o que voc acha que ele
responder? Ser que ele dir algo como: Eu no posso ficar sem este
servio e ponto final? Perceba que isso significa TMPR igual a zero, o
que implica redundncia total em todos os servios! No s redundncia total, mas tambm a garantia de que a redundncia implementada
tambm no falhar em hiptese alguma. Sabemos que, pela "Lei de
Murphy", impossvel dar tal garantia.
Normalmente os projetos de implantao de processos de gerenciamento de servios de TI baseados na ITIL v2 abordaram em sua
primeira fase os processos de gerenciamento de incidente, problema,
configurao, mudana e liberao, mais o processo de gerenciamento
de nvel de servio. Algumas empresas pararam por a.
Outras seguiram adiante, implementando um processo para
gerenciamento da capacidade e da disponibilidade nas fases seguintes.
Algumas abordaram tambm o gerenciamento da continuidade nessa
segunda fase de construo e amadurecimento dos processos. Como o
gerenciamento da continuidade se ocupa de questes que dificilmente
podem ficar restritas ao ambiente de TI, normalmente a elaborao de um
plano de continuidade pela TI trocada pela elaborao de um plano de
continuidade para a organizao. Em alguns casos, o esforo por melhorar os processos de gerenciamento de servios de TI traz essa questo
tona pela primeira vez na empresa. Em outros casos, a empresa j possui
um plano de continuidade, que apenas adaptado para abordar tambm
as questes de TI ou revisado para que tais questes sejam abordadas de
maneira aderente s boas prticas que esto sendo implantadas.
Um ponto em comum na maioria dos casos o fato de que a maior
parte das organizaes no implantou o gerenciamento financeiro da
TI ou adequou alguma funcionalidade j existente nas reas financeiras
da organizao para mensurar os custos da TI. Nesses casos, alguns
benefcios se tornam muito mais difceis, como o controle da demanda
atravs da cobrana nocional, tal como vimos quando discutimos o
gerenciamento financeiro.
CEC I E R J E X T E N S O E M G O V E R N A N A
145
CONCLUSO
Esta foi a ltima aula sobre a verso 2 da ITIL. Nela ns lidamos
com questes como a qualidade dos servios prestados e o custo desses
servios. A ideia mais importante desta aula a de que a filosofia da
ITIL prega que todo servio tem um custo que deve ser determinado
pelo provedor e esse custo deve ser recuperado na forma de benefcios
para o usurio e para a empresa, ou seja, a relao custo-benefcio dos
servios muito importante.
Observe que, no fundo, todos os processos de entrega giram em
torno desta ideia. Eles so orientados a determinar quais so as necessidades da empresa, se as necessidades esto sendo atendidas e, principalmente, qual o custo de atender demanda atual e qual ser o retorno
obtido com isso. O clculo da demanda aparece na forma de requisitos
de qualidade, disponibilidade, capacidade e continuidade dos servios.
O gerenciamento financeiro explicita esses custos na forma de valores
monetrios e, dependendo do caso, cobra por esses servios.
Ficou claro? Caso ainda restem dvidas, no deixe de participar
do frum e de realizar as atividades online, pois ambos iro reforar
estas ideias.
5
AULA
Atividade online
C
Como
implementar os processos de entrega de servios em uma empresa? V 6
sala de aula virtual e resolva a atividade proposta pelo tutor. O objetivo da atividade
determinar como os processos de entrega de servios poderiam ser implementados
na sua empresa. Lembre-se de que, embora a implementao dependa de vrios fatores, as principais funes de cada um dos cinco processos de entrega de servios de TI
devero ser garantidas.
RESUMO
CEC I E R J E X T E N S O E M G O V E R N A N A
147
Atividades Finais
1) Uma organizao deseja passar a utilizar funcionalidades de videoconferncia e
telepresena em sua rede local. Alguns analistas informam que, em decorrncia do
volume de dados, ser necessrio realizar um upgrade da largura de banda da rede.
Qual processo responsvel pela aprovao do aumento na largura de banda?
a. Gerenciamento de problema.
b. Gerenciamento de disponibilidade.
c. Gerenciamento de mudana.
d. Gerenciamento de capacidade.
2) Qual das opes NO elemento do gerenciamento da disponibilidade?
a. Tempo mdio entre falhas.
b. Confiabilidade.
c. Confidencialidade.
d. Sustentabilidade.
3) Qual das opes NO elemento do gerenciamento financeiro da TI?
a. Oramentao.
b. Contabilizao.
c. Cobrana.
d. Negociao.
5
AULA
CEC I E R J E X T E N S O E M G O V E R N A N A
149
Respostas
1. Alternativa c. Normalmente todos os processos interagem entre si em vrias
situaes, inclusive neste caso. Porm o processo responsvel pela aprovao da
mudana o gerenciamento de mudana.
2. Alternativa c. Confidencialidade um conceito do processo de gerenciamento
da segurana, que tratado em outro livro da ITIL v2.
3. Alternativa d. Negociao no um conceito do gerenciamento financeiro.
4. Alternativa b. Um servio sustentvel quando ele resistente (ou resiliente).
Esse conceito est relacionado ao fato de que um servio consegue continuar
operando mesmo que alguns de seus componentes falhem, ou, caso ele seja interrompido, suas caractersticas permitem que ele seja restabelecido rapidamente. O
menor nmero de falhas no quer dizer necessariamente que o servio seja mais
sustentvel (ele pode falhar muito, mas, dependendo da redundncia, o usurio
nem notar as falhas).
5. Alternativa d. Restaurar a operao normal de forma gil no um objetivo do
gerenciamento da continuidade. As outras alternativas se referem a outros processos.
6. Ambos os conceitos esto diretamente ligados, e a falta de capacidade pode
obviamente gerar indisponibilidade. Porm, os conceitos so diferentes e os processos
que lidam com ambos tambm o so. Ambos os processos lidam com demandas
do usurio por mais recursos (maior disponibilidade ou maior capacidade). Ambos
precisam avaliar o custo-benefcio para atender s demandas. Podemos ter o gerenciamento da capacidade identificando a necessidade real de aquisio de novos servidores (troca) e o gerenciamento da disponibilidade no recomendando a aquisio
de servidores a mais (redundncia). Afinal, pode estar claro para a empresa que os
servidores antigos no suportam mais os novos servios ( necessrio trocar); mas,
por outro lado, pode estar claro que a demanda por disponibilidade 24/7 (24 horas
por dia, sete dias por semana) no justificada pelas caractersticas do provedor de
TI (se falhar, o suporte tomar as medidas cabveis). Por exemplo, uma empresa de
varejo que atende ao pblico fisicamente (apenas) em suas lojas de departamentos
e s funciona de segunda a sexta em horrio comercial no precisa de disponibilidade
24/7 (mas precisa de alta disponibilidade durante o horrio comercial).
7. Alternativa c. As outras alternativas misturam conceitos de dois ou mais processos
sempre de maneira incorreta.
8. Alternativa d. Decorre diretamente da teoria sobre o processo de gerenciamento
da continuidade.
AULA
Meta da aula
objetivos
Pr-requisito
pr-requisito para esta aula ter atingido os objetivos
das cinco primeiras aulas do curso que tratam do Planejamento Estratgico, da Governana em TI, da evolu
o da ITIL e dos livros de entrega
INTRODUO
Voc sabe qual a principal diferena entre a ITIL v2 e a ITIL v3? a abordagem baseada no servio prestado pelo provedor de TI e no seu ciclo de vida!
Nessa nova abordagem os processos foram agrupados de forma mais interdependente e de acordo com o ciclo de vida do servio. Na verso de 2000, os
processos podiam ser estudados de forma relativamente independente um do
outro, o que gerava alguns erros de interpretao dos objetivos principais do
gerenciamento de servios de TI. Vamos tratar dessas questes nesta aula.
6
AULA
CEC I E R J E X T E N S O E M G O V E R N A N A
153
AULA
eTOM
um acrnimo para
mapa avanado de
operaes de telecomunicaes (em
ingls, Enhanced
Telecom Operations
Map). Ele um
padro criado por
empresas do setor de
Telecomunicaes
(fabricantes e operadoras de telefonia)
que define processos
para a prestao de
servios nessa rea.
Podemos dizer que
o eTOM est para o
setor de Telecomunicaes assim como
a ITIL est para o
setor de Tecnologia
da Informao. Voc
pode obter maiores
informaes sobre
o eTOM em http://
www.tmforum.org.
Esse site foi acessado
em 30 de dezembro
de 2009.
O que a chamada convergncia digital? Embora no haja uma definio formal para tal
expresso, existem alguns consensos. Um deles relacionado ao fato de que a convergncia
digital define o fenmeno da convergncia de mdias e meios de acesso informao digital.
Convergncia de meios a partir do momento que cada vez mais simples estar conectado
a partir de qualquer lugar e a todo momento. Isso pode acontecer atravs dos acessos
tradicionais (discado, linha privada, via cabo etc.), atravs da rede celular 3G, via satlite,
via redes WiFi e WiMax ou mesmo via rede de energia eltrica, haja vista que o padro PLC
(Power Line Communication) foi recentemente homologado no Brasil. A convergncia de
mdias acontece quando a informao em si passa a ser gerada por todos (mquinas digitais, filmadoras etc.) e compartilhada por todos atravs das redes sociais (Twiter, Facebook,
You tube, etc.) e outras ferramentas colaborativas (blogs, Emule, Kazaa etc.).
CEC I E R J E X T E N S O E M G O V E R N A N A
155
6
AULA
Voc sabe a diferena entre body shop e outsourcing? Outsourcing, como sabemos,
sinnimo de terceirizao. A prtica de body shop no recente e hoje o mercado utiliza uma expresso especfica para essa prtica. Trata-se da situao em que profissionais
so alocados no cliente e so gerenciados por ele em projetos ou operaes do dia a dia.
A rigor, contratado um nmero especfico de horas de um profissional com um determinado perfil, mas o escopo do trabalho em que ele estar envolvido no definido a
priori. Essa prtica facilita a contratao de mo de obra sem que o escopo do trabalho
seja conhecido antecipadamente (como nas contrataes a preo fixo) e tambm elimina
do contratante o compromisso de longo prazo e encargos sociais de uma contratao em
regime CLT. Vale ressaltar que, nesse caso, h uma relao contratual entre as duas empresas
e que o profissional alocado dever possuir um vnculo empregatcio com uma delas (a que
fornecedora de profissionais em regime body shop).
que diz respeito a essas questes. Hoje o Guia PMBOK est na sua
CEC I E R J E X T E N S O E M G O V E R N A N A
157
AULA
Atividade
processos para a rea de TI, qual verso da ITIL deve ser escolhida? Justifique sua
resposta com base nas diferenas entre as verses vistas nessa aula.
Resposta
O fato que, neste momento, no existe uma resposta absoluta e vlida em
todos os casos. Embora a ITIL v3 v substituir a ITIL v2 em um futuro prximo,
as empresas nada perdem em iniciar o projeto pela verso 2. Isso porque o
contedo no mudou muito de uma verso para a outra. Porm, a forma de
apresentao dos processos na verso 3 faz com que a filosofia da ITIL fique
clara desde o incio da explicao dos processos. E a sim, no entender a filosofia central por trs da ITIL um erro grave e perigosssimo (independentemente
da verso escolhida). Quantos profissionais j tiveram contato com a verso 2?
E com a verso 3? Quantos ativos (livros, documentos, informaes, conhecimento
etc.) a empresa possui que podem auxili-la na escolha? Enfim , caso nada direcione
a empresa para uma verso, o aconselhvel obviamente manter todos os
esforos voltados para a verso mais recente, haja vista que ela uma verso atualizada e reflete as filosofias de outros modelos de boas prticas, normas e padres
de governana mais modernos.
159
dimento desses dois livros (foco maior dessa aula), dizer que o livro Estratgia do servio voltado para a ideia do alinhamento estratgico e que o
livro Melhoria contnua do servio voltado para a ideia de eficincia e da
eficcia. Voc se lembra destes trs conceitos? Ns os estudamos nas duas
primeiras aulas.
Observe que um conceito novo que aparece nos processos de estratgia do servio o SLP, sigla em ingls para Pacote de Nvel de Servio
(Service Level Package). Os SLPs renem os requisitos estratgicos de um
servio. Esse pacote contm principalmente as necessidades de negcio
(metas e objetivos) que sero atendidas pelo servio descritas ainda em
um nvel macro, ou seja, menos detalhado. Os SLPs so gerados atravs
da execuo dos processos do livro Estratgia do Servio.
Gerenciamento Financeiro
Lembra-se do processo Gerenciamento Financeiro do livro Entrega
de Servios da ITIL v2? Pois bem, aqui est ele de novo. Esse processo
visa a gerenciar o ciclo financeiro de todo o portflio de servios de TI
de forma a garantir a sua sustentao econmica. Permanecem como
objetivos principais desse processo a oramentao dos servios levando em considerao o custo de todos os ativos envolvidos na prestao
do servio, a definio de uma estrutura de agregao dos custos a ser
adotadas na organizao.
Na verso 3 da ITIL o ROI (Return Over Investiment) recebe
uma ateno especial, pois ele precisa representar com a maior fidelidade
possvel a relao entre os custos envolvidos na prestao dos servios e
o valor que cada servio agrega ao negcio.
Gerenciamento do Portflio
Este um processo novo nesta verso. Pelo menos no era um
dos processos tradicionalmente estudados nos livros Entrega de servios de TI e Suporte a servios de TI. Ele procura responder a questes
como: quais so os servios que devem fazer parte da lista de servios
prestados pela TI no curto, mdio e longo prazo? Quais servios devem
ser otimizados? quais devem ser interrompidos?
Esse processo formaliza a definio, a anlise, a aprovao e a
oficializao de novos servios. Na prxima aula iremos explicar os
processos Gerenciamento do catlogo de servios e Gerenciamento do
nvel de servio. Nessa ocasio voc ir notar que esses dois processos
esto muito ligados ao Gerenciamento do portflio. Porm, guarde desde
j o conceito de que a perspectiva aqui mais estratgica e a perspectiva
l ser mais ttico-operacional.
Por conta disso, a ITIL v3 cita duas categorias de servio:
Servios de negcio
So aqueles definidos diretamente pelo negcio. Por exemplo,
a implantao de servios de vdeo conferncia para diminuir
custos com passagem area tendo em vista a restrio oramentria ocasionada por uma crise que afetou a demanda pelos
produtos da empresa.
Servios de TI
So aqueles definidos para atender a demandas dos usurios.
Por exemplo, o suporte aos usurios de uma sesso de vdeo
conferncia para o seu estabelecimento, manuteno e encerramento.
sigla de Retorno
Sobre Investimento
(em ingls, Return
Over Investment).
Embora tambm
existam vrias
definies, o fato
que no existe uma
formalizao aceita
em todas as reas
para o que seja ROI.
De qualquer modo,
a ideia bsica
obviamente simples.
Trata-se do retorno
que a empresa obtm
para o investimento
que ela faz em algo.
Muitos procuram
definir uma frmula
para computar os
custos e os retornos
com projetos ou operaes na empresa.
Alguns custos vm
na forma de aquisies de hardware e
software, depreciao de equipamentos
e instalaes, pagamento de pessoal e
servios terceiros,
encargos e impostos,
premiaes, prejuzo
imagem e marca
etc. Alguns retornos
aparecem na forma
de aumento nas
receitas, valorizao
da imagem, aquisio de conhecimentos, habilidades e
competncias (know
how) etc. Uma regra
geral que, em qualquer setor, o ROI
deve considerar custos tangveis e custos
intangveis.
A chamada maximizao do ROI
significa aumentar o
retorno obtido sem,
necessariamente,
aumentar o
investimento.
161
ROI
AULA
Gerenciamento da demanda
Lembra-se de que, quando estudamos o Gerenciamento da capacidade, ns dividimos aquele processo em trs subprocessos? Um desses
subprocessos era o Gerenciamento da demanda, pois na ITIL v3 este
subprocesso se tornou um processo isolado.
A ideia aqui exatamente a mesma: gerenciar o ciclo de produo dos servios e o ciclo de demanda por servios a fim de garantir um
equilbrio entre ambos, o que extremamente necessrio para sustentar
o negcio.
A tcnica principal a mesma: combinar pacotes de servios customizados, cujas funcionalidades sejam adequadas a perfis diferenciados
de usurios ou a atividades especficas de negcio. Uma forma de regular
oferta e demanda, como vimos, a cobrana diferenciada quando a
demanda supera a oferta.
Por exemplo, cobrar mais para os diretores que necessitem de
suporte 24 horas por dia, sete dias por semana. A moral da histria que,
se algum diretor necessita desse tipo de servio, os resultados que ele deve
gerar por usar tais servios devem superar os custos da sua prestao
diferenciada. Trocando em midos, se o custo de manter um suporte
24 horas no justificado por mais negcios fechados pelo diretor em
questo, melhor no prestar tal suporte e solicitar ao diretor que trabalhe apenas em horrio comercial, j que as suas horas extras no tm
necessariamente gerado maior receita para a empresa.
AULA
Relatrio do servio
No se pode melhorar o que no se pode medir e, obviamente,
voc no mede algo de que voc no toma conhecimento. Os relatrios
cumprem o papel de levar ao conhecimento dos interessados informaes
relevantes sobre os servios prestados pela TI.
A empresa deve estabelecer padres de relatrios assim como a
sua periodicidade para cada servio.
Medio do servio
O gerenciamento parte do princpio de que a medio ser realizada. Os resultados das medies devem, na medida do possvel, refletir
quantitativamente os benefcios para a organizao. Somente assim as
decises sobre a manuteno ou no de um servio, ou mesmo a sua
melhoria, podero ser tomadas com o embasamento desejado.
CEC I E R J E X T E N S O E M G O V E R N A N A
163
Identificar
Viso.
Estratgia.
Objetivos Tticos.
Objetivos Operacionais.
7. Implementar
aes corretivas.
Metas
3. Coleta de dados:
Quem? Como? Onde?
Integridade dos dados?
4. Processamento de dados:
Frequncia? Formato?
Sistema? Preciso?
AULA
Atividade
Resposta
Dentro do ciclo de vida do servio duas etapas so estratgicas: a prpria estratgia
que escolhe o que importante de acordo com os objetivos e metas de negcio e
a melhoria contnua que garante a eficincia e a eficcia. Ou seja, os servios escolhidos pelos processos de estratgia do servio de TI so especificados, entregues e
gerenciados pelos outros processos da ITIL v3. Uma vez em operao, os processos
de melhoria contnua garantem a melhoria na forma com que os servios so prestados. Seus processos interagem com os processos de estratgia a fim de identificar
pontos de melhoria nos servios em operao (eficincia), novos servios que so
necessrios ou at mesmo servios que so desnecessrios (eficcia). Perceba que
a eficcia est intimamente ligada ao alinhamento estratgico.
CEC I E R J E X T E N S O E M G O V E R N A N A
165
CONCLUSO
Voc aprendeu nesta aula que a ITIL v3 evoluiu para tornar mais
clara a ideia de que todo profissional de TI precisa ter uma viso estratgica do servio que ele presta, do usurio para o qual o servio prestado
e do cliente que fornece os recursos para que o servio seja prestado.
A ITIL v3 fortalece esse vnculo apresentando os seus livros de forma
intimamente ligada ao ciclo de vida do servio que abrange, inclusive,
o conceito de melhoria contnua na sua prestao.
A ITIL v3 ir substituir totalmente a ITIL v2? Sim. Talvez esteja
demorando um pouco mais que o esperado em virtude da reatividade
natural com relao mudana. Esperamos que voc tenha percebido que
a reatividade , de certa forma, injustificada uma vez que o contedo da
ITIL v2 e da ITIL v3 se equivalem. Apenas a nova abordagem escolhida
se tornou mais fortemente ligada filosofia que a ITIL sempre teve.
Em outras palavras, a empresa que comeou pela ITIL v2 entendendo a sua filosofia central (foco na prestao do servio para o usurio
de acordo com as estratgicas organizacionais) no ter absolutamente
nenhuma dificuldade em se adaptar rapidamente ITIL v3. Por outro
lado, a empresa que estiver comeando um projeto de construo de
processos para o melhor gerenciamento de servios de TI, no ter mais
dificuldade escolhendo a nova verso de que teria se escolhesse a antiga.
A nica dificuldade real o fato de que existe menos informao disponvel sobre a ITIL v3 do que sobre a ITIL v2. Mas esse problema vai
diminuir gradativamente na medida em que a adoo da verso mais
recente da ITIL for acontecendo, no mesmo?
AULA
Atividade online
Existem ferramentas que ajudam a implementar os processos dos livros 2
3
Estratgia do servio e Melhoria contnua? V sala de aula virtual e resolva a atividade proposta pelo tutor. O objetivo da atividade exemplificar pelo menos
uma forma de, na prtica, implementar os processos desses livros na sua empresa.
Lembre-se de que tal implementao depende de vrios fatores e que o objetivo dessa
atividade que cada um encontre uma resposta mais adequada para a sua realidade na
sua organizao.
RESUMO
A ITIL v3, publicada em 2007, possui cinco livros que foram escritos para
se encaixarem perfeitamente no ciclo de vida dos servios de TI.
Os cinco livros da ITIL v3 so: Estratgia do servio; Desenho do servio;
Transio do servio; Operao do servio; e Melhoria contnua do
servio.
Segundo a ITIL v3, o ciclo de vida do servio de TI composto por:
(i) definio das estratgias de servio; (ii) desenho e planejamento
do servio; (iii) transio e liberao do servio; (iv) gerenciamento da
operao do servio; e (v) melhoria contnua do servio.
A ITIL v2, publicada em 2000, possua, alm dos livros Entrega de servios
e Suporte a servios, outros livros que nunca foram muito estudados.
Um dos objetivos principais da ITIL v3 foi fazer com que o estudo das boas
prticas de Gerenciamento de Servios de TI no deixasse de considerar
questes importantes do planejamento estratgico e por isso ela tornou
os livros e seus processos muito mais interdependentes do que eram na
ITIL v2.
O livro Estratgia do servio possui trs processos com forte apelo para
o pensamento estratgico e est no centro do ciclo de vida dos servios.
Esse livro est mais ligado ao conceito de alinhamento estratgico.
O livro Melhoria contnua do servio possui dois processos que visam
a oferecer um servio cada vez melhor (eficincia operacional) e
adaptar a sua prestao s variaes do ambiente de negcios (eficcia
estratgica).
CEC I E R J E X T E N S O E M G O V E R N A N A
167
AULA
Atividades Finais
1. Um diretor de TI discute com sua equipe questes de melhoria na TI. Alguns dizem
que todos os processos devem ser melhorados, outros dizem que apenas aqueles considerados mais importantes devem receber investimentos. O diretor diz que a deciso
no deve ser tomada segundo critrios emocionais, mas sim com base no processo que
cuida justamente desse tipo de deciso. Qual o processo em questo?
a. Gerenciamento financeiro.
b. Gerenciamento do portflio.
c. Gerenciamento da demanda.
d. Perspectiva do negcio.
2. O livro ______________________est diretamente relacionado ao fato de que, sob as
mesmas condies, a TI ir procurar sempre oferecer um servio mais ___________, ou
seja, fazer a mesma coisa com menos recursos e mais ___________, ou seja, fazer o que
precisa ser feito para atingir as metas da empresa. Qual alternativa preenche corretamente as lacunas acima?
a. Melhoria contnua eficiente eficaz.
b. Melhoria contnua eficaz eficiente.
c. Estratgia do servio eficiente eficaz.
d. Estratgia do servio eficaz eficiente.
3. O livro _______________________ possui foco mais voltado para o __________________
e est no centro do ____________________ dos servios para deixar clara a ideia da necessidade de direcionar e justificar todo o investimento feito no provimento de servios de
TI. Qual alternativa preenche corretamente as lacunas acima?
a. Melhoria contnua alinhamento estratgico ciclo de vida.
b. Melhoria contnua ciclo de vida alinhamento estratgico.
c. Estratgia do servio alinhamento estratgico ciclo de vida.
d. Estratgia do servio ciclo de vida alinhamento estratgico.
4. Nesta aula foram discutidos os contedos dos livros da ITIL v2. Explique qual foi o
objetivo dessa discusso e o que ele tem a ver com o contedo da ITIL v3.
5. Quando se explicam as diferenas entre a ITIL v2 e a ITIL v3, uma diferena principal
sempre citada. Cite e explique essa diferena.
6. (Analista de Finanas e Controle da CGU ESAF/2008) A ITIL Information Technology
Infrastructure Library composta por um conjunto das melhores prticas para a definio
dos processos necessrios ao funcionamento de uma rea de TI. Os objetivos da ITIL so:
a. definir os processos a serem implementados na rea de TI.
b. fornecer um guia para o planejamento de processos padronizados, funes e atividades
para os integrantes da equipe de TI.
c. permitir o mximo alinhamento entre a rea de TI e as demais reas de negcio da
organizao.
d. tornar-se uma referncia para as organizaes que necessitam de informaes para a
melhoria do Gerenciamento de Servios de TI.
e. aumentar a qualidade e diminuir o custo alocado dos servios de TI.
CEC I E R J E X T E N S O E M G O V E R N A N A
169
Respostas
1. Alternativa b. o processo Gerenciamento do portflio o responsvel por
lidar com as questes relacionadas a quais projetos e processos operacionais
devem fazer parte do portflio da TI.
2. Alternativa a. O livro Melhoria contnua possui processos voltados para a
busca da eficincia e da eficcia a despeito das mudanas de mercado que possam
afetar a empresa. A questo tambm evoca a definio de eficincia e eficcia,
to discutida neste curso.
3. Alternativa c. O livro Estratgia do Servio lida com o alinhamento estratgico,
ou seja, tudo que se faz precisa trazer um retorno para a empresa. Esse livro est
no centro da verso 3 ITIL.
4. Os contedos dos livros da ITIL v2 foram discutidos para que as novidades
da ITIL v3 sejam mais bem interpretadas. Na verdade, muito do que citado
como novo na verso 3 no tem nada de novo, pois j eram assuntos abordados
na verso 2, porm naqueles livros no chegaram a ficar famosos. O principal
objetivo da discusso mostrar que, embora muitos assim digam, a ITIL v3 no
possui grandes modificaes no seu contedo central.
5. A diferena bsica est na abordagem, que agora privilegia todo o ciclo de
vida dos servios. Embora boa parte do contedo seja o mesmo, a forma com que
os processos da ITIL v3 so apresentados faz com que o seu estudo seja, obrigatoriamente, voltado para a prestao do servio. Isso traz benefcios bvios e um dos
principais o fato de que relativamente difcil estudar um dos livros deixando outros
de lado. Todo o contedo aparece intimamente relacionado na verso 3.
6. Alternativa b. Questo interessante. Nunca esquea que a ITIL ajuda muito
no alinhamento estratgico, mas este no o foco dela, mas, sim, o do COBIT. A
ITIL um guia para o planejamento de processos (veja bem: ela um guia para o
planejamento dos processos; no uma definio dos processos).
7. Alternativa c. Conforme visto nesta aula, os processos da etapa de estratgia do
servio so 03: gerenciamento do portflio, gerenciamento financeiro e gerenciamento
da demanda; os processos da etapa de melhoria contnua do servio so dois: medio
e controle dos processos e relatrio de desempenho dos processos.
AULA
Meta da aula
objetivos
Pr-requisito
pr-requisito para esta aula ter atingido os objetivos
das cinco primeiras aulas do curso, que tratam do Planejamento Estratgico, da Governana em TI, da evolu
o da ITIL e dos livros de entrega
INTRODUO
dos servios na ITIL v3. Nesta aula, vamos estudar os processos reunidos nos
livros tidos como os mais ttico-operacionais da ITIL v3. Observe que vale
Os processos
em cada um destes livros
renem, respectivamente, a ideia de
especificar (desenho), planejar e entregar (transio)
e manter (operao) o servio. E como tudo isso deve
acontecer? Ora, a especificao, a entrega e a manuteno
do servio devem acontecer de forma eficiente e eficaz (foco
d
d
do livro Estratgia do servio) garantindo o seu alinhamento
estratgico (foco do livro Melhoria contnua)! Ou seja, tudo
exatamente de acordo com os processos dos outros dois
livros. Percebeu como os cinco livros se integram
no ciclo de vida do processo?
AULA
ITIL parece bvio e simples, no mesmo? Mas essa mesmo a ideia central
e ideias centrais, por definio, precisam ser simples!
Porm, como o foco da ITIL descrever tudo na forma de processos genricos
que sirvam para qualquer tipo de provedor de servios de TI, o seu contedo s
vezes no totalmente bvio e nem sempre interpretado adequadamente.
Para que isso nunca acontea com voc, tenha sempre em mente que os cinco
livros interagem da forma como descrevemos anteriormente.
CEC I E R J E X T E N S O E M G O V E R N A N A
173
Vale lembrar ainda que o livro Desenho do servio leva em considerao no somente os aspectos tecnolgicos, mas tambm aspectos
relacionados s pessoas e aos processos. Lembre-se de que um conceito
importante das boas prticas da ITIL o trip formado por pessoas,
processos e tecnologias.
Um conceito novo e importante que aparece nos processos de
especificao e desenho o SDP, sigla em ingls para pacote de desenho
de servio (service design package). Os SDPs renem todos os requisitos
operacionais de um servio de acordo com os requisitos estratgicos.
Este pacote contm principalmente o escopo do servio conforme os
requisitos de qualidade, capacidade e disponibilidade a serem atendidos. Os SDPs so gerados atravs da execuo dos processos do livro
Desenho do servio.
AULA
Gerenciamento da capacidade
Assim como na verso anterior, este processo visa a assegurar que
a capacidade da infraestrutura de TI suficiente para absorver todas
as demandas atuais e futuras a um custo que possa ser suportado pelo
negcio. De fato, o contedo deste processo em si permaneceu exatamente
o mesmo com relao ao seu contedo na verso 2 da ITIL .
Gerenciamento da disponibilidade
Assim como na verso anterior, este processo visa a assegurar
a disponibilidade, a confiabilidade e a sustentabilidade dos servios.
Assim como o gerenciamento da capacidade, o contedo deste processo
tambm permaneceu o mesmo com relao ao seu contedo na verso
2 da ITIL .
Gerenciamento da continuidade
Este processo visa a assegurar a continuidade do negcio tratando
de questes de continuidade, contingncia e recuperao de desastres.
Na ITIL v3 so feitas consideraes sobre o plano de derenciamento da
continuidade da organizao e o plano de gerenciamento da continuidade
dos servios de TI.
Embora sempre no seja novidade que ambos os planos esto
diretamente relacionados, pois as aes de continuidade (reativas ou
proativas) podem ser as mesmas independentemente do setor da empresa, a ITIL v3 resolveu formalizar isso tambm, ou seja, se a empresa
possui um plano de gerenciamento da continuidade, o trabalho deste
processo deve se limitar a analisar este plano e verificar quais questes
especficas da TI no foram abordadas. O conselho que elas sejam
inseridas neste plano maior da empresa e no que seja desenvolvido um
plano de gerenciamento da continuidade especfico para a rea de TI.
Isso deve ser feito, repetimos, por causa do carter universal da maioria
das aes deste tipo de plano.
CEC I E R J E X T E N S O E M G O V E R N A N A
175
ISO 20000
uma da norma ISO
publicada em 2005.
Ela foi originada
da BS 15000 que
uma norma britnica publicada em
2003. Na verdade,
a norma ISO foi
originada da norma
BS (British Standard)
que, por sua vez, se
originou da verso
2 da ITIL . Ou seja,
a ISO 20000 trata
do gerenciamento de
servios de TI, assim
como na ITIL ,
porm, na forma de
requisitos e no na
forma de boas prticas. Ela fortemente
baseada em processos e tem como
filosofia principal a
melhoria contnua
conforme o ciclo
PDCA.
Gerenciamento de fornecedores
Do mesmo modo, engana-se quem diz que a ITIL no tratava
deste assunto. Tratava, mas no nos livros consagrados de entrega e
suporte. Tanto tratava que a ISO 20000 (que estudaremos resumidamente
em nossa ltima aula) possua este processo claramente citado como
fonte de alguns de seus requisitos (lembre-se de que a ISO 20000 era
uma norma e, portanto, possua requisitos). Ns veremos ainda neste
curso o que a ISO 20000 tem a ver com a ITIL .
AULA
externos e dos contratos firmados com eles para a prestao dos servios de TI. Note que imprescindvel que o provedor de servios de TI
gerencie bem os seus fornecedores, caso contrrio, a falta de qualidade
deles poder ter reflexo direto no nvel de servio percebido pelo usurio. E, do ponto de vista do usurio, as causas da diminuio do nvel
de servio no importam muito. Para eles, o importante se os servios
que constam no catlogo de servios esto ou no esto disponveis e se
atendem ou no atendem os nveis combinados.
Atividade
Resposta
Estes processos tm como funo principal fornecer as especificaes necessrias
para criar ou modificar servios de acordo com as metas e objetivos almejados pela
empresa. Assim, suas entradas so originadas, principalmente, nos processos do livro
Estratgia do servio. J as suas sadas so direcionadas, principalmente, para os
processos do livro Transio do servio, que tero como funo entregar os servios
conforme as especificados.
177
Gerenciamento de mudanas
Voc se lembra deste processo? Pois . Ele exatamente o mesmo
e sua funo e contedo tambm. O gerenciamento de mudanas avalia
e aprova as mudanas necessrias para entregar os servios de forma a
atender aos requisitos de usurios e clientes.
AULA
CEC I E R J E X T E N S O E M G O V E R N A N A
179
ou inteligncia de
negcio, uma
expresso para
definir um conceito
que se tornou forte
e popular na dcada
de 1990. At hoje
a BI no ocupa nas
empresas o patamar
que deveria (ou
poderia) ocupar.
O conceito relativamente simples e
est ligado ideia da
construo de processos para coleta,
gerao, armazenamento, manuteno,
utilizao e descarte
da informao a
fim de gerar conhecimento til para o
negcio. BI envolve
o uso eficiente de
ferramentas automatizadas, a definio
de processos adequados para a organizao e a gerao de
valor agregado para
o negcio a partir do
conhecimento quer
seja na escolha de
melhores projetos,
quer seja na alterao de seus processos. Algumas caractersticas essenciais
dos sistemas de BI
modernos permitir
a busca rpida de
relaes de causa e
efeito e a extrao e
integrao de dados
oriundos de mltiplas fontes.
Avaliao
Voc se lembra das revises ps-implementao que eram
citadas tanto no processo Gerenciamento de problemas quanto no
processo Gerenciamento de mudanas do livro Suporte a servios da
ITIL v2? Agora o processo Avaliao se ocupa, formalmente, destas
questes.
A avaliao confirma a efetividade de uma mudana na infraestrutura a fim de assegurar que, aps a mudana, os objetivos almejados
tenham sido alcanados.
Gerenciamento do conhecimento
Aqui sim, podemos dizer que ITIL inovou em um processo...
Na verdade, a questo de que a BDGC era muito rica em informaes
e que poderia ser utilizada para alimentar ou mesmo suportar sistemas
de B U S I N E S S
INTELIGENCE
AULA
Atividade prtica 2
Explique como os processos do livro Transio do servio se integram no ciclo de
vida do servio de TI.
Resposta
Estes processos tm como funo principal planejar e executar as aes necessrias para
entregar servios de acordo com as suas especificaes. Assim, suas entradas so originadas,
principalmente, nos processos do livro Desenho do servio. J as suas sadas so direcionadas, principalmente, para os processos do livro Operao do servio, que tero como funo
manter a operao dos servios para atender as necessidades dos usurios.
181
Este livro possui cinco processos que discutiremos nesta aula, a saber:
Gerenciamento de eventos.
Cumprimento de requisies.
Gerenciamento de acesso.
Gerenciamento de incidentes.
Gerenciamento de problemas.
Os processos deste livro esto relacionados aos servios que
Figura 7.3: Operao do servio.
7
AULA
Exceo
Evento
Aviso
Filtro
Informao
Figura 7.4: Eventos na ITIL v3.
Gerenciamento de eventos
O Gerenciamento de eventos tem como principal objetivo detectar eventos e analisar qual processo da operao o mais apropriado
para lidar com eles. Assim, este processo lida com qualquer questo que
implique mudana de estado na infraestrutura, tal como requisies,
alertas que necessitam de interveno humana, eventos tratados de
forma automatizada, incidentes, problemas e at mesmo mudanas na
infraestrutura.
Este processo divide os eventos em:
Excees
As excees so as requisies do usurio, os incidentes, os problemas e as mudanas na infraestrutura. Note que existe um processo
dentro do livro Operao do servio que lida com cada um destes
tipos de excees possveis. A saber, Cumprimento de requisies,
Gerenciamento de incidentes, Gerenciamento de problemas e
Gerenciamento de mudanas, respectivamente.
Advertncias
As advertncias so eventos que alteram o estado da infraestrutura, mas que no precisam ser tratados, a princpio, por
um processo especfico. Por exemplo, alertas que necessitam de
interveno humana e alertas que so tratados de forma automatizada. Um alerta pode dar origem a algum outro tipo de evento
dependendo de suas consequncias.
CEC I E R J E X T E N S O E M G O V E R N A N A
183
Informaes
Informaes so eventos que necessitam apenas de seu registro
na base de dados para possibilitar uso futuro. Toda informao
poder ser usada pelo processo Gerenciamento do conhecimento
do livro Transio do servio.
Observe que, uma vez detectado tipo de evento, o gerenciamento
de eventos deve encaminhar o seu tratamento para o processo mais
adequado.
Cumprimento de requisies
Uma vez que o cliente ou usurio selecionou um servio no catlogo de servios, a solicitao deve ser tratada a fim de fornecer o servio
solicitado. Cada solicitao gerada a partir do catlogo de servio e
documentada em um registro atravs do sistema de gerenciamento da
configurao com todas as informaes relevantes.
Uma solicitao um tipo de evento que no se enquadra nas
outras categorias. Este processo lida, por exemplo, com questes como
a solicitao de uma nova senha quando a original foi esquecida pelo
usurio. Ou seja, algo que no deve ser tratado pelo provedor de TI
nem como um incidente nem como um problema. Por outro lado, no
deixa de ser um servio que deve fazer parte do catlogo de servios do
provedor de TI.
Assim como no caso de incidente e problemas, uma vez que a
requisio foi atendida, o registro deve ser fechado.
Gerenciamento de acesso
Podemos dizer que este processo tambm relativamente novo,
uma vez que ele no aparecia na verso anterior (pelo menos no de
maneira formal).
Quais usurios possuem acesso legtimo a um determinado servio?
Este acesso pode acontecer segundo diferentes graus de funcionalidades?
Enfim, caso a empresa possua tais restries, certamente ela precisar
regular o acesso ao servio de forma que somente usurios com direitos
legtimos podero ter o acesso liberado. Esse processo trabalha com
polticas de acesso e outros procedimentos do provedor de TI e possui
um relacionamento muito prximo ao processo de gerenciamento da
segurana do livro de desenho do servio.
184 Governana: Gesto, Auditoria e Tecnologia da Informao
AULA
Gerenciamento de incidentes
Esse processo permanece como era na verso 2. Ele visa a restaurar
a operao o mais rapidamente possvel atravs da aplicao de uma
soluo de contorno conhecida.
Gerenciamento de problemas
Esse processo tambm permanece como era na verso 2. Como
j sabemos, ele visa a investigar a causa-raiz de problemas e a erradicar
erros conhecidos da infraestrutura de TI.
Estratgia
do servio
Resultados
(SLPs)
Desenho
do servio
Lies de
melhoria
Resultados
(SDPs)
Transio
do servio
Resultados
Lies de
melhoria
Operao
do servio
CEC I E R J E X T E N S O E M G O V E R N A N A
185
Atividade
Resposta
Estes processos tm como funo principal a manuteno da operao dos servios
de acordo com as necessidades dos usurios. Assim, suas entradas so originadas,
principalmente, nos processos do livro Transio do servio. J as suas sadas so
direcionadas, principalmente, para os processos do livro Estratgia do servio, que
tero como funo garantir que a operao est agregando valor a um custo que
pode ser justificado e suportado pelo negcio.
CONCLUSO
OK. Terminamos com esta aula mais uma etapa do nosso curso.
Esperamos que voc tenha percebido que a ITIL v3 quis principalmente
confirmar a sua filosofia inicial sobre o pensamento mais voltado para
a prestao de servios de TI com foco nos requisitos dos usurio e nas
necessidades de negcio do cliente. Ela novamente chamou a ateno
para a necessidade de quebrar o paradigma que associa o trabalho na
TI com o gerenciamento de tecnologia pura e simplesmente. Trabalhar
com TI , cada vez mais, sinnimo de trabalhar com pessoas e processos
tendo, obviamente, a tecnologia como principal aliada!
Ressaltamos que, por maior que seja a resistncia, a substituio
completa da ITIL v2 pela ITIL v3 acontecer em breve. Mesmo assim,
conforme tudo o que foi discutido, aqueles mais reativos que teimarem em
comear pela ITIL v2 no cometero um erro que o impea de atingir os
principais objetivos da ITIL. Objetivos estes que no mudaram desde a
sua concepo ainda na dcada de 1980: atingir timos resultados atravs
AULA
Atividade online
Existem ferramentas que ajudam a implementar os processos de dese- 1
2
3
nho, transio e operao? V sala de aula virtual e resolva a atividade
proposta pelo tutor. O objetivo da atividade exemplificar pelo menos uma forma de,
na prtica, implementar os processos destes livros na sua empresa. Lembre-se de que
tal implementao depende de vrios fatores e que o objetivo desta atividade que cada
um encontre uma resposta mais adequada para a sua realidade na sua organizao.
CEC I E R J E X T E N S O E M G O V E R N A N A
187
RESUMO
AULA
Atividades Finais
1. O diretor de TI, juntamente com sua equipe de gerentes e coordenadores, determina
vrios servios que devero ser agregados ao portflio da organizao ao longo dos
prximos quatro trimestres. Ele encaminha vrios documentos denominados Termos
de Abertura. Os processos responsveis por interpretar e detalhar esses termos podem
ser encontrados em qual livro da ITIL v3?
a. Estratgia do servio.
b. Desenho do servio.
c. Transio do servio.
d. Operao do servio.
2. A TI se rene na sexta-feira para analisar SDPs prioritrios e deseja disponibilizar aqueles
urgentes j durante o final de semana. A mudana acaba sendo aprovada pelo comit
formado pelo gerente de TI, pelo coordenador da rea afetada e por sua equipe. Qual
processo da ITIL v3 passa a ser o mais importante nesse momento?
a. Gerenciamento de incidentes.
b. Gerenciamento da mudana.
c. Gerenciamento da liberao e implantao.
d. Gerenciamento da configurao e de ativos.
CEC I E R J E X T E N S O E M G O V E R N A N A
189
3. Uma plataforma que sustenta servios crticos de uma empresa est preparada para
chavear entre dois sistemas redundantes, automaticamente, na falha de algum componente vital. Durante o final de semana, um problema acontece e a plataforma funciona
to bem que ningum percebe qualquer diferena no servio na segunda-feira. Que
processo responsvel por lidar com esta situao?
a. Gerenciamento da configurao de ativos.
b. Gerenciamento de capacidade.
c. Gerenciamento de problemas.
d. Gerenciamento de eventos.
4. A ITIL v2 possui o processo Gerenciamento da liberao no livro Suporte a servios.
A ITIL v3 possui o processo Gerenciamento da liberao e implantao no livro Transio
do servio. Explique as semelhanas e diferenas entre esses dois processos.
5. A ITIL v2 possui o processo Gerenciamento da configurao no livro Entrega de servios. A ITIL v3 possui o processo de Gerenciamento da configurao e de ativos no livro
Transio do servio. Explique as semelhanas e diferenas entre esses dois processos.
6. (Tcnico Superior PGE-RJ FCC/2009) O processo de Gerenciamento de Configurao
e de Ativos de Servio do ITIL definido no estgio do ciclo de vida:
a. Operao de servios.
b. Melhoria contnua de servios.
c. Estratgias de servios.
d. Projeto de servios.
e. Transio de servios.
7. (Analista Judicirio do TRT-15 FCC/2009) Segundo o ITIL, o controle dos riscos de fracasso
e rompimento do objetivo principal do Gerenciamento de Servios, que garantir que os
servios de TI estejam alinhados com as necessidades de negcio, realizado no estgio:
a. Service Strategy.
b. Service Design.
c. Service Operation.
d. Service Transition.
8. (Analista Judicirio do TRT-15 FCC/2009) As arquiteturas e os padres para gerenciamento
de servios, segundo o ITIL, so definidos no estgio:
a. Continual Service Improvement.
b. Service Operation.
c. Service Strategy.
d. Service Transition.
e. Service Design.
9. (Analista de Finanas e Controle da CGU ESAF/2008) Na ITIL, o processo de Gerenciamento
do Nvel de Servio a base para o gerenciamento dos servios que a rea de TI aprovisiona
para a organizao. Assinale a opo que contm um subprocesso que pertence ao Gerenciamento do Nvel de Servio.
7
AULA
a. Monitorao do desempenho.
b. Dimensionamento da aplicao.
c. Planejamento do crescimento dos servios.
d. Projeo dos recursos.
e. Garantia da existncia de um plano de recuperao do servio.
Respostas
1.Alternativa b. So os processos de desenho que detalham as decises tomadas
no nvel estratgico. Esses processos colhem especificaes de alto nvel do servio,
podendo inclusive se reportar aos processos de estratgia caso algo precise ser
esclarecido antes do planejamento e execuo das aes de entrega dos servios.
Termo de abertura um documento citado, explicado e utilizado em empresas
que adotam a filosofia PMI para gerenciamento de projetos.
2. Alternativa c. Como os SDPs foram criados, a questo indica que o servio
est na etapa de transio. Uma vez que a mudana foi aprovada, resta apenas
a liberao do servio na infraestrutura. Os processos que aparecem nas outras
alternativas sero importantes em outros momentos do ciclo de vida do servio.
3. Alternativa d. Esta situao no boa, pois o provedor de TI precisa identificar, na
segunda-feira, que o chaveamento ocorreu e restaurar as funcionalidades do sistema
que falhou. Esse tipo de situao requer funcionalidades de alertas automatizados
que indiquem alteraes na infraestrutura. Inicialmente, a resposta automtica. Em
um segundo momento, haver necessidade de interveno humana. Perceba que
esse tipo de situao no necessariamente um incidente ou um problema, pois o
usurio no afetado diretamente (pelo menos no no primeiro momento).
4. So mais semelhanas do que diferenas. O contedo em si do processo permanece
o mesmo, com ligeiras alteraes que no comprometem a ideia bsica. Uma das alteraes acontece no prprio nome do processo. Isso se deve ao fato de que, na verso
2, muitos diziam que este processo lidava com a liberao de software na infraestrutura.
Na verdade, este processo lida com a liberao de funcionalidades na infraestrutura,
independentemente de que tipo de servio seja e dos ativos relacionados.
5. Valem as mesmas observaes da questo anterior, ou seja, o contedo do processo em si permanece o mesmo com ligeiras alteraes que no comprometem
a idia bsica. Neste caso, muitos confundiam gerenciamento da configurao com
gerenciamento de ativos. A ITIL v3 quis deixar claro que ambos so preocupaes
deste processo, mas que tratam de coisas muito distintas.
6. Alternativa e. Conforme visto na teoria.
7. Alternativa d. nos processos de transio que os servios passam a fazer parte da
operao, de fato. neste momento que os riscos de as estratgias serem esquecidas
se manifestam. Por isso os processos de validao e testes e de avaliao do servio
foram definidos. Alm disso, o processo de gerenciamento de mudanas tambm
desempenha um papel importante neste contexto.
CEC I E R J E X T E N S O E M G O V E R N A N A
191
AULA
Meta da aula
objetivos
sobre o COBIT .
Pr-requisitos
So pr-requisitos para esta aula ter atingido os objetivos das primeiras aulas que tratam do Planejamento
Estratgico, da Governana em TI e das duas verses da
ITIL, a saber, a verso 2 e a verso 3.
INTRODUO
AULA
CEC I E R J E X T E N S O E M G O V E R N A N A
195
fato que essa era a ideia desde a verso 2, mas esse objetivo
foi inteiramente atingido atravs do novo formato da verso 4
de 2005. Talvez por conta disso, essa verso tenha tornado o
COBIT mais conhecido em todo o mundo.
2007: Verso 4.1
Em 2007 houve apenas um incremento do COBIT. A maior
mudana aconteceu nos objetivos de controle de cada rea de
processo, que foram revisados para orientar melhor a empresa
com relao eficcia estratgica da TI, ou seja, a criao de
processos efetivos que culminem no alcance de metas e objetivos de negcio. Um fato que chamou a ateno foi o de que o
COBIT v4.1 continuou tendo 34 reas de processo. Embora
os objetivos de controle tenham diminudo um pouco (de 214
na verso 4 para 210 na verso 4.1), a comunidade passou a
crer que o COBIT atingiu a sua maturidade. Isso porque o
seu contedo, no que diz respeito s macro reas de processo,
parece ter se estabilizado.
AULA
Voc sabia que a ISACA foi fundada antes de o homem ir lua? Em 1967 um pequeno
grupo de indivduos com profisses e interesses similares que atuavam em auditoria e testes
em sistemas computacionais se encontraram para discutir uma forma de criar um conjunto
centralizado de diretrizes de auditoria. Na poca esses sistemas j se tornavam cada vez mais
crticos e complexos. Em 1969, ano em que o homem pisou na lua principalmente por causa
dos avanos nos sistemas embarcados em aeronaves, o grupo foi fundado formalmente.
Hoje a ISACA possui mais de 86.000 membros com os perfis diferenciados de vrios setores
da economia e em mais de 160 pases. O site oficial da ISACA o http://www.isaca.org.
J o ITGI (IT Governance Institute) foi criado somente em 1998 em reconhecimento ao fato
de que a TI se tornava cada vez mais importante dentro das empresas e passava a ser vista
como uma rea crtica para o sucesso em atingir os objetivos de negcio. O site oficial do
ITGI o http://www.itgi.org. Esse site foi acessado em 30 de dezembro de 2009.
CONCEITOS ESSENCIAIS
Misso e princpios do COBIT
Agora pare e pense: qual seria a misso do COBIT? A sua misso, conforme descrio no documento do COBIT v4.1, pesquisar,
desenvolver, publicar e promover um modelo para a Governana em TI
confivel, atualizado e internacionalmente aceito que possa ser adotado
por empresas e utilizado no dia a dia por gerentes de negcio, profissionais de TI e auditores.
Mas afinal, partindo dessa misso, em que o COBIT pode auxiliar
voc no seu trabalho dirio? Bem, talvez ele no lhe ajude diretamente,
mas com certeza ele poder auxiliar muito a sua empresa a atingir o
alinhamento estratgico da TI, seja qual for o setor onde ela atua.
CEC I E R J E X T E N S O E M G O V E R N A N A
197
COSO (C O M MITTEE OF
SPONSORING
O R G A N I Z AT I O N S
OF THE TREADW AY C O M M I S SION)
um comit criado em 1985 nos
EUA para prevenir
fraudes em demonstraes contbeis.
Trata-se de uma
organizao sem fins
lucrativos formada
por representantes
das principais associaes de classes
ligadas rea financeira. Dedica-se
melhoria nos relatrios financeiros,
sobretudo pelo cumprimento de controles internos e pela
aplicao da tica
profissional. Atualmente as recomendaes do COSO
so amplamente
praticadas em todo
o mundo, inclusive
no Brasil. Voc pode
obter mais informaes sobre o COSO
no site http://www.
coso.org/.
que
responde a
Requisitos do
negcio
direciona os
investimentos em
Informao
empresarial
COBIT
que so
usados para
Processos de TI
Recursos
de TI
para entregar
8
AULA
Por ser
mais focado em objetivos de negcio, o contedo do
COBIT muito abrangente, mas pouco
detalhado no que diz respeito a como os
processos devem ser implementados. Perceba que vale aqui a seguinte ideia: O COBIT
contm muito sobre o que deve ser feito e
para
p
que deve ser feito e, por outro lado,
contm pouco sobre o como deve
ser feito.
CEC I E R J E X T E N S O E M G O V E R N A N A
199
problemas operacionais causados por aplicaes que geraram paralisao nos servios; ou atravs do percentual de usurios satisfeitos com
as funcionalidades que foram entregues.
Voc pode se perguntar: Como afinal o COBIT ajudaria?
Em absolutamente tudo. Todas as respostas (e at mesmo as perguntas) no exemplo acima foram extradas do texto do COBIT.
O mapeamento com o COBIT imediato bastando para isso analisar
a meta estratgica e determinar qual preocupao com relao TI ela
expressa. Normalmente as metas estratgicas estaro relacionadas a
uma das reas foco da Governana (ou a mais de uma). As reas foco
da Governana, segundo o COBIT, so: alinhamento estratgico da TI;
entrega de valor pela TI; gerenciamento do risco da TI; gerenciamento
dos recursos de TI; e anlise de desempenho da TI. Estudaremos essas
reas em nossa prxima aula.
Nesse exemplo, para facilitar, a meta j mencionava o alinhamento
estratgico da TI. Porm, em qualquer outro caso, traduzir as aspiraes
do plano estratgico para as reas foco da Governana no ser difcil.
Bem, essa uma forma simples de se pensar em como o COBIT poderia ajudar na prtica. Durante essa aula ainda iremos analisar outros
exemplos.
Foco no negcio
De acordo com sua misso, voc sabe qual o principal objetivo
do COBIT? Seu principal objetivo ser orientado ao negcio! Mas o
que seria um modelo orientado ao negcio afinal? Um modelo orientado
ao negcio um modelo construdo no s para os profissionais responsveis pelo provimento dos servios de TI, mas principalmente para
os executivos responsveis pelo negcio. O COBIT oferece diretrizes
claras para que estes executivos possam tomar decises sobre a TI.
O ciclo bsico do COBIT exemplificado na Figura 8.2. Nela os
requisitos de negcio direcionam investimento em recursos de TI. Recursos de TI so utilizados por processo de TI. Processos de TI entregam
dados que devem atender aos critrios de informao. A informao
utilizada para gerar requisitos de negcio.
Nesse contexto, informaes teis podem ser previses sobre
aspectos econmicos que afetaro o mercado onde a empresa atua;
desejo ou necessidade de clientes e usurios por acompanhar inova-
AULA
CEC I E R J E X T E N S O E M G O V E R N A N A
201
Atividade 1
Complete as lacunas:
Respostas
1. Os princpios bsicos da Governana so a responsabilidade, a prestao de
contas e a transparncia.
2. O COBIT contm muito sobre o que deve ser e para que deve ser feito e, por
outro lado, contm pouco sobre como deve ser feito.
8
AULA
Os recursos de TI
ERP (E N T E R RESOURCE
PLANNING)
PRISE
CEC I E R J E X T E N S O E M G O V E R N A N A
203
Critrios de informao
Uma das caractersticas mais curiosas do COBIT sua abordagem
baseada na informao e nos chamados critrios de informao. Voc
deve estar se perguntando o que seriam (ou quais seriam) esses critrios.
Bem, para satisfazer os objetivos de negcio, a informao precisa ser
adequada a certos critrios de controle, aos quais o COBIT se refere
como requisitos de negcio para a informao. Com base em filosofias
e em reas distintas como a qualidade, a segurana da informao e a
rea financeira, foram definidos sete critrios. So eles:
Eficcia
AULA
CEC I E R J E X T E N S O E M G O V E R N A N A
205
Atividade 2
1. Qual dos itens abaixo no um tipo de recurso de TI segundo o COBIT?
a. ( ) Aplicaes.
b. ( ) Informao.
c. ( ) Relatrios.
d. ( ) Pessoas.
Respostas
1. Letra c. Os tipos de informao so as aplicaes, a informao, a infra-estrutura
tecnologia e as pessoas.
2. Letra d. So sete os critrios: eficincia e a eficcia; confidencialidade, integridade e disponibilidade; confiabilidade e conformidade regulatria.
3. O atendimento conformidade regulatria pode ser uma exigncia externa, tal
como uma lei ou um regulamento do setor ou uma exigncia interna, tal como um
contrato estabelecido com um terceiro, parceiro ou cliente.
AULA
CEC I E R J E X T E N S O E M G O V E R N A N A
207
AULA
operacionais inicialmente definidos (metas de processo referentes operao). Em ingls, voc deve lembrar, os indicadores
de desempenho so conhecidos com KPIs (Key Performance
Indicators).
CEC I E R J E X T E N S O E M G O V E R N A N A
209
Atividade 3
1. O que mede o indicador-chave de meta?
a. (
b. (
c. (
d. (
) Nveis de maturidade.
) Desempenho dos processos.
) Grau de controle.
) Alcance de objetivos.
) Nveis de maturidade.
) Desempenho dos processos.
) Grau de controle.
) Alcance de objetivos.
Respostas
1. Letra d. O indicador de meta est relacionado eficcia do processo, ou seja,
aos objetivos finais que precisam ser alcanados atravs do processo.
2. Letra b. O indicador de desempenho est relacionado eficincia do processo,
ou seja, ao desempenho obtido ao executar suas atividades.
DOMNIOS DO COBIT
A maior parte do contedo do COBIT v4.1 composta pela descrio de 210 objetivos de controle divididos em 34 reas de processo.
Essas 34 reas so, por sua vez, divididas em domnios que, de certa
forma, tambm obedecem mesma filosofia da melhoria contnua.
Note que a TI dever perseguir a melhoria contnua de cada um
dos 210 processos. Por outro lado, a melhoria de todos os processos dentro de um domnio (PO, AI, DS ou ME), tambm significar um esforo
AULA
INFORMAO
ME
Eficincia,
Efetividade,
Conformidade
regulatria e
Confiabilidade
Integridade,
Disponibilidade e Confidencialidade
PO
Planejar e organizar
Monitorar e avaliar
DS
AI
Adquirir e implementar
CEC I E R J E X T E N S O E M G O V E R N A N A
211
AULA
Atividade 4
Os domnios do COBIT so apresentados na forma de um ciclo que se assemelha
ao ciclo PDCA. Que paralelo pode ser feito entre os quatro domnios e o ciclo?
Resposta
Embora parea muito bvio, deve-se atentar para o fato de que relacionamento no
do tipo um-para-um simplesmente. O domnio PO possui processos cujas atividades tm mais a ver com o P (Plan) do PDCA. J os domnios AI e DS esto mais
relacionados ao D (Do) do ciclo PDCA. O ME tem a ver tanto com o C (Check),
CEC I E R J E X T E N S O E M G O V E R N A N A
213
CONCLUSO
No incio dessa aula dissemos que a evoluo do COBIT aconteceu ao longo dos anos de modo a deixar para trs o modelo baseado no controle e auditoria para passar a ser um modelo baseado em
Governana. Mas o controle no necessrio? Claro que . No s
necessrio como o COBIT estudado como um conjunto de controles
para a rea de TI. Mas qual o mistrio afinal? O COBIT ou no
um conjunto de controles?
A diferena sutil mais uma vez. Sutil, porm extremamente
importante. O fato que o COBIT, principalmente da verso 4 em diante, passou a ter controles definidos e orientados pelas metas e objetivos
de negcio. Percebeu agora a diferena? A TI continua sendo controlada
e auditada, porm, o controle parte de objetivos diretamente ligados s
metas da organizao. Essa a chave do alinhamento estratgico e a
principal ideia dessa aula.
Esperamos que voc tenha entendido que o COBIT um documento mais voltado para o negcio cujo contedo foi escrito para ser
interpretado por pessoas com perfis diferenciados, principalmente da
rea executiva, que tm como misso garantir o alinhamento das metas
da TI com as metas de negcio.
8
AULA
Atividade online
2
Como as empresas tm implementado a Governana em TI? V sala de aula vir- 1
tual e resolva a atividade proposta pelo tutor. O objetivo da atividade , atravs de
pesquisa e consulta bibliografia, estudar alguns casos reais de projetos de Governana.
RESUMO
O COBIT pode ser visto como um modelo com objetivos de controle para
a TI voltados para o alinhamento estratgico e Governana.
Os princpios da Governana herdados do COSO pelo COBIT so a
responsabilidade, a prestao de contas e a transparncia.
Os recursos da TI so classificados no COBIT como aplicaes, informao,
infraestrutura tecnolgica e pessoas.
Os critrios de informao so a eficincia, a eficcia, a confidencialidade,
a integridade, a disponibilidade, a confiabilidade e a conformidade
regulatria.
O COBIT possui um conjunto de 210 objetivos de controle divididos em
34 reas de processo.
As 34 reas de processo do COBIT so agrupadas em quatro domnios
que representam um ciclo semelhante ao ciclo PDCA.
CEC I E R J E X T E N S O E M G O V E R N A N A
215
Atividades Finais
1. A melhor definio para o COBIT seria:
a. um conjunto de boas prticas para a TI que contm 34 objetivos de
controle divididos em 04 domnios.
b. um conjunto de controles para a TI que contm 210 objetivos de controle
divididos em 34 domnios.
c. um conjunto de boas prticas para a TI que contm 34 objetivos de controle
divididos em 04 reas de processo.
d. um conjunto de controles para a TI que contm 210 objetivos de controle
divididos em 34 reas de processo.
8
AULA
2. Como o COBIT pode ser usado em uma empresa em conjunto com outros
padres e boas prticas tais como a ITIL v.3 e a ISO 27000?
a. Para melhorar o entendimento desses padres.
b. Como um guia para a escolha ou no destes modelos.
c. Para validar a correo de cada modelo.
d.. Como uma segunda viso sobre os mesmos assuntos.
3. O COBIT v.4.1 promove um elo entre:
a. Expectativas dos gestores e responsabilidades da TI.
b. Expectativas de auditores e responsabilidade dos gestores.
c.. Expectativas do pessoal de TI e responsabilidades dos auditores.
d. Expectativas do pessoal de TI e responsabilidade dos gestores.
4. (Analista do MPE-SE FCC/2009) A correta correspondncia entre uma dimenso do
modelo COBIT (cubo) e um de seus elementos dimensionais, respectivamente,
a. Information Criteria e Fiduciary.
b. IT Process e Quality.
c. IT Process e People.
d. IT Resources e Fiduciary.
e. Information Criteria e Process.
5. Explique o que so os domnios, os objetivos de controle e as reas de processo
do COBIT v.4.1.
CEC I E R J E X T E N S O E M G O V E R N A N A
217
8
AULA
Repostas
1. Alternativa d. O COBIT contm 210 objetivos de controle divididos em 34
reas de processo. As 34 reas de processo so divididas em 04 domnios.
2. Alternativa b. O COBIT abrange todas as reas que os outros modelos abordam. Ele servir como um guia mais estratgico a ser utilizado pelos gestores do
negcio a fim de definir onde e por que a TI deve melhorar. Uma vez que essa
deciso tenha sido tomada, podero entrar em cena (ou no) outros padres,
normas e boas prticas.
3. Alternativa a. As expectativas dos gestores da empresa so o reflexo dos requisitos de negcio. O gerenciamento dos processos de TI responsabilidade da TI que
deve ser cumprida para que as expectativas da alta direo sejam atendidas.
4. Alternativa a. Examinar o cubo do COBIT e lembrar que os critrios de informao foram baseados em trs reas: qualidade (quality), financeira (fiduciary)
e segurana (security).
5. Os domnios so agrupamentos das reas de processo de acordo com as
similaridades de seus objetivos. Na verso 4.1 do COBIT, eles so quatro (PO, AI,
DS e ME) e normalmente so representados segundo um ciclo que se assemelha
muito ao ciclo PDCA. As reas de processo da TI so reas para as quais devem
existir processos bem definidos. So 34 reas divididas nos quatro domnios que
abordam (ou pretendem abordar) todos os aspectos da TI. Os objetivos de controle
representam as metas a serem alcanadas pelos processos de cada rea. Na verso
4.1 h 210 objetivos de controle divididos nas 34 reas de processo.
6. Afirmao falsa. Fatores crticos de sucesso so itens que devem ser atendidos para
que as mudanas citadas possam ocorrer (condio sine qua non). Os indicadores
de meta so mais adequados quando se quer mensurar resultados da execuo de
processo. E o que se quer no proposto (implantao de controles gerenciais).
7. Alternativa b. So 04 domnios do COBIT e requisitos e processos no um
deles.
8. Alternativa d. Decorre diretamente da definio de indicador-chave de desempenho.
9. Alternativa c. So os indicadores-chave os responsveis por tornar efetiva a
padronizao, medio e controle de processos.
CEC I E R J E X T E N S O E M G O V E R N A N A
219
AULA
Meta da aula
objetivos
sobre o COBIT .
Pr-requisitos
So pr-requisitos para esta aula: ter atingido os objetivos das primeiras aulas que tratam do planejamento
estratgico, da Governana em TI e das duas verses
da ITIL, a saber, a verso 2 e a verso 3. Alm disso,
primordial ter entendido plenamente os conceitos des
critos na aula de introduo ao COBIT .
INTRODUO
A esta altura voc j conhece muita coisa sobre a filosofia do COBIT , sobre
a sua evoluo e sobre alguns de seus principais conceitos. Nesta aula vamos
explicar outros conceitos importantes relacionados integrao de tudo que
Processos
Atividades
Re
Pessoas
Infraestrutura
Aplicaes
Processos de TI
Domnios
Informao
Requisitos de Negcio
de de ade ade ade
a
ia lid a lid id
id
cia nc ncia grid ibi rm abil
n fo fi
c ci e
e
Efi Efi nfid Int ispo on on
C
C
D
Co
cu
s
rso
de
TI
tenham entendimento
muito claro sobre os conceitos que estamos abordando.
AULA
CEC I E R J E X T E N S O E M G O V E R N A N A
223
Em 1992, o COSO publicou seu modelo de controles internos integrados (COSO Report: Internal Control An Integrated Framework).
Este modelo abordava 26 princpios do controle interno, entre eles,
Integridade e valores ticos; Importncia do corpo de diretores;
Tecnologia da Informao etc. O modelo do COSO tambm possua
um cubo onde os 26 princpios eram associados a cinco componentes: Monitoramento, Informao e Comunicao, Atividades de
controle, Avaliao de risco e Ambiente de controle (face frontal).
Alm disso, os objetivos do controle interno esto divididos em
Operacionais, Relatrio financeiro e Conformidade regulatria
(face superior), e os controles devem ser implementados em todas
as reas de negcio, Unidades organizacionais e Atividades da
empresa (face lateral). Voc pode obter mais informaes sobre
o COSO no site http://www.coso.org/. Esse site foi acessado em 1
de novembro de 2009.
OPE
ES
E
IA
IO CEIRO MIDADLATR
R
AT AN ONFOR REGU
REL FIN
ATIVIDADE 2
ATIVIDADES de CONTROLE
UNIDADE A
INFORMAO E COMUNICAO
ATIVIDADE 1
MONITORAMENTO
UNIDADE B
AVALIAO de RISCO
AMBIENTE de CONTROLE
Figura 9.2: Cubo do COSO.
PROJETOS
e (ME4).
Note que so processos mais ligados direo da TI e ao seu alinhamento com o negcio. Esta uma outra diferena: a ITIL no tem
preocupaes relativas gesto executiva da TI e ao seu gerenciamento
estratgico, muito embora ela contribua bastante para isso.
Voc deve ter sempre em mente que, mesmo quando um processo aparece tanto no COBIT quanto na ITIL, isso acontece de forma
muito diferente. O contedo do COBIT voltado para o controle,
gerenciamento e medio de cada processo. Seu foco est na tomada
de deciso estratgica e alinhamento da TI com as metas de negcio. J
o contedo da ITIL mais voltado para a construo e execuo do
processo em si, isto , l encontramos informaes sobre quais so as
principais entradas do processo, quais so as suas principais atividades
e quais so as suas principais sadas. A ITIL, por exemplo, define claramente alguns indicadores de desempenho do processo, mas no trata
dos indicadores de meta do processo. No fique ansioso, pois voc ter
ainda nesta aula mais uma oportunidade de entender essas diferenas
no item em que abordaremos a aplicao do COBIT.
CEC I E R J E X T E N S O E M G O V E R N A N A
225
OPERAES e
AULA
Meta de Negcio
Manter a reputao
da empresa e
liderana no
mercado
Nmero de
incidentes que se
tornaram pblicos
Meta de TI
Meta de Processo
Assegurar que
os servios de TI
podem resistir a
ataques
Detectar e
solucionar acesso
no autorizado aos
recursos de TI
Meta de Atividade
Entender requisitos
de segurana,
vulnerabilidade e
ameaas
Nmero de
incidentes devido a
acesso no
autorizados
Frequncia de
reviso dos eventos
a serem
monitorados
Nmero de
incidentes de TI
com impacto no
negcio
9
AULA
Peter Druker nasceu na ustria em 1909. Atuou principalmente nas reas da economia e administrao, tendo se tornado
conhecido mundialmente como pai da gesto moderna.
Em seus livros, discutiu questes como a globalizao, a liderana e a motivao das pessoas nas empresas. Vrios deles,
escritos h muitos anos, permanecem atuais at hoje e ainda
so frequentemente citados como bibliografia de referncia.
Druker atuou por mais de sete dcadas, e suas ideias e filosofias
influenciaram enormemente a gesto moderna. Ele escreveu
dezenas de livros e publicou centenas (ou milhares) de artigos.
Dois de seus ltimos livros so The Daily Drucker: 366 Days of
Insight and Motivation for Getting the Right Things Done (2004)
e The Effective Executive in Action (2005).
Atividade
Figura: P. Druker
Resposta
A resposta pode variar. Do prprio texto do COBIT, extramos uma das metas que
ele cita para esta rea. Meta: definir como os requisitos funcionais para aplicaes
so transformados pela empresa em solues automatizadas efetivas e eficientes.
Mtrica: nmero de projetos onde os benefcios pretendidos no foram obtidos
devido a premissas incorretas sobre os requisitos.
CEC I E R J E X T E N S O E M G O V E R N A N A
227
Objetivos de controle
Voc pode ler este texto e tentar ainda imaginar o que existe de
concreto no COBIT para auxiliar a controlar a TI. Voc pode perguntar
algo como: Como so esses controles, afinal? O COBIT possui uma
descrio de vrios objetivos de controle relacionados a cada uma das 34
rea de processo. Ao todo so 210, como dissemos na aula passada.
Vejamos um exemplo disso. Considere a rea de processo Definir
O termo BASELINE
muito utilizado
no mundo das boas
prticas. Sua traduo ao p da letra
seria linha de base.
Uma baseline um
retrato do estado
atual de um sistema,
de um processo ou
de qualquer coisa
cujas caractersticas
possam ser modeladas e parametrizadas. A baseline
contm as informaes necessrias
sobre o estado atual
para comparaes
futuras. Podemos
dizer, por exemplo,
que um cronograma
de planejamento
contm a baseline
de tempo do projeto. Durante a execuo do projeto,
essa baseline ser
comparada com a
realidade para que
possam ser tomadas
medidas preventivas ou corretivas.
Outro exemplo so
as informaes de
configurao de um
sistema. Podemos
extrair uma baseline dos valores de
cada parmetro de
configurao do
sistema antes de
uma mudana, para
que, em caso de
problema, o sistema
possa pelo menos
ser reconfigurado
conforme seu estado
anterior mudana.
AULA
Um PROJETO tudo o
que tem incio, meio
e fim bem definidos
em que a empresa
investe esforo e
recursos para gerar
um resultado ou
produto exclusivo.
Um PROGRAMA um
conjunto de projetos inter-relacionados. Por exemplo,
um programa para
levar o homem
a Marte envolve
vrios projetos
inter-relacionados,
desde a construo
da plataforma de
lanamento at o
tipo de mistura
gasosa que ser
respirada pelos
marcionautas.
Um PORTFLIO um
conjunto de projetos, programas
e operaes no
necessariamente
inter-relacionados,
ou seja, o portflio
da TI, expresso
muito usada no
COBIT, envolve
no s as operaes
de TI (os processos), mas tambm
os projetos de TI e
tudo mais que for
da alada da TI na
empresa.
CEC I E R J E X T E N S O E M G O V E R N A N A
229
Voc pode obter uma cpia em formato .pdf de vrios documentos sobre
o COBIT, inclusive a sua verso 4.1, no endereo:
http://www.isaca.org/Template.cfm?Section=COBIT6&Template=/TaggedPage/TaggedPageDisplay.cfm&TPLID=55&ContentID=7981.
necessrio o cadastro no site e alguns contedos so pagos. Esse site foi
acessado em 30 de dezembro de 2009.
Alinhamento estratgico
Assegura o elo entre o negcio e os planos de TI e alinha as
operaes de TI s operaes da empresa. H preocupao em
definir, manter e validar as proposies de valor sobre os servios
prestados pela TI e contrast-las com o retorno esperado pelo
negcio.
AULA
Entrega de valor
Executa as aes que concretizam o valor esperado pelos servios
ao longo do seu ciclo de vida e assegura que a TI entrega os benefcios prometidos, comprovando o valor esperado.
En
de tre
Va ga
lo
r
o
ent
ram nce
a
nito
Mo erfom
P
de
Domnios
Governana
de TI
Ger
enc
de iamen
Risc
t
os o
to
en o
am gic
h
in t
Al stra
E
Gerenciamento
de Recurso
Figura 9.6: reas foco da Governana.
Gerenciamento de riscos
Requer que os executivos tenham conscincia do nvel de risco
que esto dispostos a aceitar, que sejam transparentes sobre os
riscos significativos para o negcio e que tenham definio clara
de responsabilidades com relao ao gerenciamento de risco.
Medio de desempenho
Monitora a implementao da estratgia, o encerramento de projetos, o uso de recursos, o desempenho de processos e a entrega
de servios, a fim de determinar qual o desempenho que est
sendo atingido pelos processos de TI. O desempenho medido
com foco no alcance de metas.
CEC I E R J E X T E N S O E M G O V E R N A N A
231
Gerenciamento de recursos
Assegura a otimizao e o gerenciamento adequado do investimento em recursos crticos de TI, ou seja, aplicaes, informaes,
infraestrutura e pessoas.
Atividade 2
Qual a relao entre reas foco da Governana, reas de processo e objetivos de
controle do COBIT?
Resposta
No COBIT, cada rea de processo (ou processo) possui objetivos de controle
bem determinados. Ao todo so 34 processos e 210 objetivos de controle.
Os processos (juntamente com todos os seus objetivos de controle) esto relacionados s reas de Governana porque, atingindo os objetivos de controle do
processo, a empresa estar contribuindo mais para algumas reas de Governana.
Obviamente, atingindo todos os 210 objetivos de controle, todas as cinco reas
sero beneficiadas. O COBIT indica com P (primary) quando um processo mais
importante para uma rea de Governana e com S (secondary) quando ele menos
importante. Esse mapeamento (P ou S) feito a partir de todos os 34 processos
para as cinco reas de Governana.
A MATRIZ RACI
J dissemos que o COBIT herdou do COSO os princpios da
Governana (responsabilidade, prestao de contas e transparncia).
Desse modo, uma preocupao importante em todas as reas de processo
a definio dos papis e de responsabilidades.
No COBIT isso feito de forma simples e efetiva. Essas definies so feitas nas matrizes denominadas matriz RACI. So 34 matrizes,
como no exemplo a seguir, em que so definidos os principais papis e
responsabilidades para cada processo.
232 Governana: Gesto, Auditoria e Tecnologia da Informao
AULA
Valter Meireles
Testador
Arthur Gomes
Consultor
Ferreira Neto
Consultor
Hlio de Souza
Desenvolvedor
Atividade
Augusto Ribeiro
Gerente de Projeto
mada (Informed).
Descrio do sistema
Diagrama de atividades
Diagrama de sequncia
Diagrama de classes
Diagrama de relacionamento
...
...
...
...
...
Mdulo movimentao
...
...
...
...
...
Mdulo base
...
...
...
...
...
Requisitos de implantao
...
...
...
...
...
Testes
...
...
...
...
...
Homologao
...
...
...
...
...
Treinamento
...
...
...
...
...
CEC I E R J E X T E N S O E M G O V E R N A N A
233
AULA
APLICAO DO COBIT
NVEL 5
Otimizado
NVEL 4
Gerencivel e
Mensurvel
NVEL 3
Processos
Definidos
NVEL 2
Repetitivo
Intuitivo
NVEL 1
Inicial/
Por demanda
NVEL 0
Inexistente
Figura 9.8: Nveis de maturidade.
Nveis de maturidade
A TI da sua empresa madura? Voc conhece ou j ouviu falar do
conceito de nveis de maturidade? Os nveis de maturidade representam,
obviamente, a maturidade que a empresa atingiu em uma rea de processo. Assim, como o COBIT lida com 34 reas de processo, voc j deve
imaginar que haver 34 modelos de maturidade. E isso mesmo.
Na verdade, o modelo um s, baseado no CMM (Capability
Maturity Model) j conhecido dos profissionais da rea de desenvolvimento de software desde a dcada de 1980. Desse modelo o COBIT
aproveitou os nveis de maturidade, que so cinco (seis, se considerarmos
o nvel 0):
CEC I E R J E X T E N S O E M G O V E R N A N A
235
Nvel 0 - Inexistente
Este nvel caracterizado pela ausncia completa do processo e
at mesmo da conscincia de que deveria haver um processo para
a rea. A empresa nem mesmo reconhece que existe algo com que
se preocupar.
Nvel 1 Inicial
Neste nvel j existe a conscincia da necessidade de construir e
implementar o processo. Porm, no h padronizao e documentao. Em vez disso, h iniciativas que tendem a ser aplicadas de
forma reativa e individual, caso a caso, conforme as necessidades
que apaream.
Nvel 2 Repetitivo
Neste estgio o processo foi suficientemente documentado para
que possa ser repetido, ou seja, pessoas diferentes executam o
mesmo processo e podem obter o mesmo resultado. Porm, ainda
h alto grau de confiana de que o conhecimento algo pessoal
que dificilmente pode ser explicitado. Portanto, h uma alta probabilidade de que aconteam erros, e por isso a empresa ainda
no se beneficia da previsibilidade do processo.
Nvel 3 Definido
Neste estgio os procedimentos esto documentados, padronizados e so comunicados por meio de treinamentos. Seguir o
processo mandatrio. A empresa j se beneficia de resultados
previsveis do processo (ou cujas variaes permanecem dentro
de limites esperados). Porm ainda podem ser notados desvios em
que o processo abandonado, principalmente em momentos de
crise ou de grande presso.
Nvel 4 Gerenciado e mensurvel
Aqui so tomadas medidas por meio de procedimentos formais.
Os processos esto sob constante melhoria e fornecem boas
prticas dentro da empresa. Automao e ferramentas ainda so
usadas de maneira limitada ou fragmentada.
Nvel 5 Otimizado
AULA
O CMM (Capability Maturity Model) foi criado pelo SEI (Software Engineering Institute) da
Universidade de Carnegie Mellon (http://www.cmu.edu) na dcada de 1980. Inicialmente seu
objetivo era definir um modelo de determinao de capacidades de processos e maturidade de
organizaes no desenvolvimento de software; por isso, ele se chamava CMM-SW. A primeira
verso do CMM-SW foi publicada em 1989, com o nome de Managing the Software Process
(Gerenciando o processo de software). Esse modelo tornou-se to popular que no ano 2000
foram lanadas novas verses do CMM, agora no mais voltadas para a rea de software, mas
para produtos, servios e aquisies. Essas verses se chamam CMM-I (CMM - Integration). Voc
pode obter mais informaes em http://www.sei.cmu.edu/cmmi. Acesso em 01 de novembro
de 2009.
CEC I E R J E X T E N S O E M G O V E R N A N A
237
APLICAO DO COBIT
E como o COBIT aplicado na prtica? Voc saberia responder? simples. Pelo COBIT possvel saber em que nvel de maturidade a empresa se encontra em cada uma das reas de processo.
Imagine que uma consultoria tenha avaliado uma empresa e
determinado, com base no que est escrito no prprio texto do COBIT,
que seu nvel de maturidade na rea PO1 (Definir o plano estratgico
da TI) 2. Do mesmo modo, que seu nvel de maturidade na rea PO2
(Definir a arquitetura da informao) 3, e que o nvel de maturidade
na rea PO3 (Determinar a direo tecnolgica) 2. E assim por diante,
at os processos do domnio de monitoramento e avaliao (ME). Por
exemplo, ela disse que a empresa nvel 3 na rea ME3 (Assegurar a
conformidade com requisitos externos) e nvel 2 na rea ME4 (Fornecer a Governana de TI). Enfim, um grau de maturidade de 1 a 5
para cada uma das 34 reas de processo.
Como a empresa de consultoria chegou at essas informaes?
Voc acha que o COBIT tambm ajudou? Sim, claro que ajudou. Para
cada rea o COBIT descreve o cenrio corporativo que caracteriza
os nveis, desde o inexistente (tambm chamado de catico) at o
otimizado. Ele faz isso 34 vezes, descrevendo todos os seis nveis, no
de maneira genrica, como fizemos no item acima, mas de maneira
especfica para a rea em questo.
Bem, e depois, o que vem? Depois que a empresa sabe qual o
seu nvel de maturidade, ela precisar decidir aonde ela quer chegar, ou
seja, que nvel de maturidade ela almeja em cada rea. Perceba que, j
nesse momento, importantssimo que os requisitos de negcio estejam
claros, pois todo o investimento em recursos para aumentar o nvel de
maturidade dos processos precisar estar ligado a alguma necessidade
organizacional. De forma mais simples, a partir desse ponto que
AULA
Atividade
Uma empresa decidiu melhorar todos os seus processos de TI. Qual o primeiro passo
a ser tomado e como os nveis de maturidade das reas de processo do COBIT so
usados nesse momento?
CEC I E R J E X T E N S O E M G O V E R N A N A
239
Resposta
Trata-se de um desejo de mudana (mudana para melhor, obviamente).
O planejamento de qualquer mudana sempre possui trs etapas (macro). Definir
onde se est, definir aonde se quer chegar e definir como se chegar ao destino
pretendido. Assim, a primeira etapa definir em que nvel esto os processos atuais
da empresa, pois somente com essa informao a empresa poder tomar decises
e seguir adiante. Os nveis de maturidade do COBIT auxiliam tanto na determinao
do nvel de maturidade atual quanto, em um momento posterior, na determinao
do que deve ser feito para atingir nveis de maturidade mais elevados (aonde se
quer chegar). A etapa "como chegar l" tambm pode se beneficiar do COBIT, mas
neste caso, dependendo do processo que se quer amadurecer, tambm indicada
a utilizao de outras formas do conhecimento, normas, padres etc.
CONCLUSO
Agora voc deve se lembrar de que na aula passada ns estudamos
definies importantes sobre o COBIT, como recursos de TI, critrios
da informao, indicadores de desempenho e de metas, domnios, reas
de processo e objetivos de controle. Nesta aula ns terminamos a fase
de apresentao de conceitos, com definies importantes como a das
reas de Governana, matriz RACI e os nveis de maturidade.
Voc deve conseguir explicar todos esses conceitos isoladamente
e, por outro lado, deve entender como eles se integram do ponto de vista
da aplicao do COBIT como guia para a implementao de processos
de TI visando Governana.
9
AULA
Atividade online
C
Como
as empresas tm implementado a Governana em TI? V sala de 1
2
aula virtual e resolva a atividade proposta pelo tutor. O objetivo da atividade
, por meio de pesquisa e consulta bibliografia, estudar alguns casos reais de projetos
de Governana.
RESUMO
CEC I E R J E X T E N S O E M G O V E R N A N A
241
Atividades Finais
1) O COBIT v4.1 ajuda a empresa no atendimento a requisitos regulatrios:
a) Fornecendo objetivos de controle impostos pelos rgos regulatrios.
b) Demonstrando controles adequados sobre as atividades de TI.
c) Definindo objetivos de controle que satisfaam a maior parte dos regulamentos
e leis de TI conhecidos.
d) Definindo prticas de controle precisas para atender maior parte dos regulamentos e leis de TI conhecidos.
2) Os modelos de maturidade do COBIT v4.1 fornecem uma maneira de identificar:
a) Mtricas e um mtodo para acompanhar metas.
b) Objetivos de melhoria e um mtodo para acompanhar o progresso.
c) Controles e um mtodo para acompanhar prticas de controle.
d) Critrios de informao e um mtodo para acompanhar controles.
3) Qual item contm uma ideia coerente com a misso do COBIT v4.1?
a) Fornecer servios de consultoria global em Governana em TI.
b) Produzir normas e padres mundiais para a TI.
c) Certificar empresas e profissionais na rea de Governana em TI.
d) Criar objetivos de controle internacionalmente reconhecidos.
9
AULA
Respostas
1) Alternativa c. O COBIT compatvel com regulamentos e leis mundiais que afetam
a rea de TI em todo o mundo, tais como a Lei Sarbanes-Oxley, por exemplo. Ele define
objetivos de controle e no prticas de controle.
2) Alternativa b. A empresa pode definir onde ela est e aonde quer chegar com relao ao
processo (objetivo de melhoria) e, aps (ou durante) a execuo de aes de melhoria o modelo
pode ser usado para mensurar em que nvel a empresa se encontra (aonde j chegou).
3) Alternativa d. Decorre diretamente da prpria misso do COBIT.
4) Alternativa d. Entregar mais do que foi acordado no visto como uma boa prtica,
pois envolve recursos da empresa (que poderiam ser alocados em outros servios) sem o
devido retorno. O custo deve ser aceitvel e no necessariamente baixo. O risco precisa ser
gerenciado e no necessariamente baixo.
5) Alternativa a. O enunciado trs a definio de modelo de maturidade.
6) Afirmao falsa. A rea de Governana em questo o Gerenciamento de recursos.
CEC I E R J E X T E N S O E M G O V E R N A N A
243
10
AULA
Meta da aula
objetivos
Pr-requisitos
So pr-requisitos para esta aula ter atingido os objetivos das primeiras aulas que tratam do Planejamento
Estratgico e da Governana em TI. Alm disso, primordial ter entendido plenamente os conceitos descri
tos nas duas aula anteriores de introduo ao COBIT .
INTRODUO
10
AULA
Meta de TI
Assegurar que
os servios de TI
podem resistir a
ataques
Nmero de
incidentes de TI
com impacto no
negcio
Meta de Processo
Meta de Atividade
Frequncia de
reviso dos eventos a serem
monitorados
Nesta e na prxima aula ns daremos pelo menos um exemplo de meta de processo e um indicador para medir o alcance da meta mencionada. Porm tenha
sempre em mente que os exemplos de metas de processo no so os nicos
possveis e que, alm disso, ainda poderiam ser dados exemplos de metas de TI
e de metas de atividades, conforme o relacionamento indicado na (Figura 10.1).
Observe ainda que isso vale tambm para os respectivos indicadores.
O.K., agora sim vamos em frente!
CEC I E R J E X T E N S O E M G O V E R N A N A
247
Segundo o COBIT,
controle o conjunto
de polticas, procedimentos, prticas e
estruturas organizacionais desenvolvidas para
dar garantia razovel
de que os objetivos de
negcio sero atingidos
e de que os eventos
indesejveis sero prevenidos ou detectados
e corrigidos. Um objetivo de controle define
o resultado desejado
ou o propsito a ser
atingido atravs do controle. O COBIT v4.1
descreve 210 objetivos
de controle na forma de
requisitos de alto nvel
a serem considerados
pelos gestores para que
haja controle efetivo
de cada processo de TI.
Eles aparecem sempre
na segunda seo de
cada rea de processo,
na forma de declaraes
de aes genricas sobre
as prticas mnimas
para assegurar que o
processo est sob controle. Assim, como j
dissemos, no COBIT
v4.1, PO, AI, DS e ME
indicam os domnios;
PO1, PO2, ..., AI1, ...,
ME3, ME4, indicam
os processos (ou reas
de processo); e PO1.1,
PO1.2, PO1.3, ...,
PO10.14, AI1.1, ...,
ME1.1, ..., ME4.7 indicam os objetivos de controle. Ressaltamos que
os objetivos de controle
so descritos genericamente e no na forma
de indicadores de meta
ou de desempenho em
uma seo especfica da
rea de processo (Control Objectives).
Os indicadores do processo aparecem logo
abaixo, na seo de
diretrizes para o gerenciamento (Management
Guidelines).
OPERAES
e PROJETOS. O conceito de
projetos e operaes muito forte no
mbito das boas prticas de gerenciamento de
projetos, sobretudo no Guia PMBOK. Costuma-se
dizer que tudo que acontece na empresa acontece na
forma de projetos ou na forma de operaes. Projetos
tm
t
incio, meio e fim bem definidos e geram um produto
ou
o servio cujas caractersticas so singulares. J as operaes no tm necessariamente um fim e geram resultados
que
q no so necessariamente exclusivos, ou seja, existem
para gerar o mesmo resultado continuamente.
10
AULA
CEC I E R J E X T E N S O E M G O V E R N A N A
249
com questes como a construo e a manuteno de uma base de dados para BI (Business Intelligence),
MINING
DATA
10
AULA
CEC I E R J E X T E N S O E M G O V E R N A N A
251
PO4 Definir processos de TI, sua organizao e seus relacionamentos (Define the IT processes, organisation and
relationships)
Existem funes, processos ou unidades organizacionais que no
esto sendo contempladas pelo PDTI e que deveriam estar? Existem atividades tpicas da rea de TI que no so contempladas na empresa?
Um provedor de TI definido: pelo seu pessoal (staff); por suas
habilidades e capacidades; por suas funes, papis e responsabilidades;
por definies de alada, autoridade, coordenao, superviso, gerncia
e direo; por seus procedimentos, processos, polticas e planos; por seus
sistemas de gerenciamento da qualidade e do risco etc. Esse processo
deve produzir essas definies e estabelecer critrios de relacionamento
na rea. Os objetivos de controle so:
PO4.1 Criar o modelo de processo de TI.
PO4.2 Atuao do comit de estratgia de TI.
PO4.3 Atuao do comit de controle de TI.
PO4.4 Alocao das funes de TI na organizao.
PO4.5 Definio da estrutura organizacional da TI.
PO4.6 Definio de papis e responsabilidades.
PO4.7 Responsabilidade pela garantia da qualidade.
PO4.8 Responsabilidade pela gesto do risco e segurana.
PO4.9 Propriedade dos dados e sistemas.
PO4.10 Superviso.
PO4.11 Segregao de tarefas.
PO4.12 Gerenciamento do pessoal de TI.
PO4.13 Gerenciamento de pessoas-chave.
PO4.14 Definio de polticas e procedimentos de contratao.
PO4.15 Gerenciamento dos relacionamentos.
O processo desta rea atinge o nvel mximo de amadurecimento
quando: a estrutura do provedor de TI flexvel; as boas prticas da
indstria so utilizadas em todos os aspectos; a tecnologia extensivamente utilizada para dar suporte quando a estrutura de TI complexa
e geograficamente distribuda etc.
10
AULA
responsabilidades e donos dos processos de TI, assim como os relacionamentos com as partes interessadas". Uma das formas de medir
o alcance desta meta determinar o percentual de clientes, usurios e
patrocinadores satisfeitos com a efetividade e presteza com que a TI
atende s solicitaes de servio (do ingls responsiveness).
Esse processo prioritrio para o gerenciamento de riscos e para
o gerenciamento de recursos da Governana.
Custo de
Hardware
Custo de
Software
Arquitetura de
dados
Outros
custos
TCO
Suporte e
manuteno
Tempo de
implantao
Treinamento de
usurios
Riscos de
tecnologia
CEC I E R J E X T E N S O E M G O V E R N A N A
253
O TCO (Total Cost of Ownership) ou custo total de propriedade uma estimativa que procura considerar os custos totais (diretos e indiretos) relacionados
propriedade de um ativo. O TCO envolve no somente as questes relacionadas aquisio, mas manuteno e at mesmo desativao ou o descarte
do ativo. Envolve tambm os custos de treinamento de usurios e operadores,
custos de falha ou paradas para manuteno, riscos de incidentes ou acidentes
(e possveis consequncias), custos de armazenamento fsico, teste, garantia de
qualidade, atualizao etc. um parmetro importante para que a empresa
decida sobre a aquisio de um ou outro ativo. Por exemplo, vale mais pena
utilizar um computador pessoal com sistema baseado em Linux ou com sistema
Windows na sua empresa? Fcil! As licenas de uso do Linux so gratuitas e
as do Windows so pagas. O.K., mas preciso considerar o TCO de ambos os
sistemas, isto , os custos de treinamento no uso do sistema, a integrao com
os sistemas servidores da empresa, o suporte do fabricante, as questes de segurana da informao etc. Muitas empresas, aps refletirem sobre esta situao,
ainda preferem utilizar sistemas operacionais proprietrios.
10
AULA
PO6 Comunicar objetivos e direo do gerenciamento (Communicate management aims and direction)
Voc deve entender que esse processo est diretamente ligado a
questes como: quantas pessoas na empresa conhecem e entendem as polticas adotadas pela TI? At que ponto o insucesso em atingir as metas de
TI tem prejudicado a empresa em atingir as suas prprias metas? Quantas
interrupes no negcio foram causadas por interrupes na TI?
Observe que todos na empresa devem estar cientes da misso, dos
objetivos dos servios, polticas e procedimentos da TI. Essa comunicao dar o suporte necessrio para que a TI atinja os seus objetivos,
assegurando que haver conscincia e entendimento dos riscos, objetivos
e diretrizes de negcio. Seus objetivos de controle so:
PO6.1 Poltica de TI e ambiente de controle.
PO6.2 Riscos de TI e modelo de controle.
PO6.3 Gerenciamento das polticas de TI.
PO6.4 Execuo de procedimentos, polticas e padres.
PO6.5 Comunicao dos objetivos e diretrizes de TI.
Esse processo atinge seu estgio mximo de otimizao quando:
o controle est alinhado com a estratgia de negcio; a viso da empresa
periodicamente revista, atualizada e reforada; a tecnologia utilizada
para otimizar a comunicao atravs de ferramentas automatizadas
etc.
"Uma meta a ser alcanada por esse processo : Desenvolver um
conjunto compreensvel de polticas de TI e comunic-lo efetivamente
na organizao". O alcance dessa meta pode ser medido atravs da
determinao do percentual de clientes, usurios, patrocinadores etc.,
que conhecem e entendem as polticas da TI".
Esse processo est diretamente relacionado ao alinhamento estratgico e ao gerenciamento do risco da Governana em TI.
CEC I E R J E X T E N S O E M G O V E R N A N A
255
10
AULA
CEC I E R J E X T E N S O E M G O V E R N A N A
257
10
AULA
NVEL 5
Otimizado
Esse processo visa definio de uma metodologia de gerenciamento de projetos de TI. Essa metodologia deve dar suporte ao gerente
desde a seleo e priorizao dos projetos at o seu encerramento,
passando pela elaborao de um plano de gerenciamento de projeto e
a sua correta aplicao no controle o monitoramento. So objetivos de
controle desta rea:
PO10.1 Gerenciamento de programas.
PO10.2 Gerenciamento de projetos.
PO10.3 Metodologia de gerenciamento de projeto.
PO10.4 Comunicao com as partes interessadas.
PO10.5 Definio do escopo.
PO10.6 Iniciao do projeto.
PO10.7 Planejamento integrado do projeto.
PO10.8 Gerenciamento de recursos do projeto.
PO10.9 Gerenciamento do risco do projeto.
PO10.10 Planejamento da qualidade do projeto.
PO10.11 Controle de mudanas no projeto.
PO10.12 Planejamento de mtodos de garantia do projeto.
PO10.13 Controle e monitoramento do desempenho.
PO10.14 Encerramento do projeto.
Esse processo atinge o nvel mximo de maturidade
quando: existe uma metodologia de gerenciamento de projetos
de TI envolvendo todo o seu ciclo de vida, que faz parte da
cultura da empresa; h iniciativas contnuas para identificar
e institucionalizar as melhores prticas de gerenciamento de
projetos; existe uma entidade organizacional responsvel por
projetos e programas de TI etc.
CEC I E R J E X T E N S O E M G O V E R N A N A
259
O COBIT utiliza em seu texto a expresso escritrio de projetos, ou PMO (Project Management Office), dentro do PO10. O escritrio de projetos uma estrutura dentro da empresa cujas funes variam muito em cada
caso, dependendo do nvel de maturidade que a empresa possui com relao ao gerenciamento de projetos.
Um PMO pode exercer funes que vo do simples apoio aos gerentes de projeto, auxiliando-os em suas atividades, at o gerenciamento de todo o portflio da organizao, exercendo atividades estratgicas diretamente
ligadas direo do negcio. Os tipos de PMO tambm variam muito. Alguns possuem estrutura menor e so
compostos por duas ou trs pessoas; outros possuem estrutura maior, com dezenas de funcionrios. Alguns
nascem dentro de um departamento e tratam dos projetos de uma nica rea; outros lidam com projetos de
vrios departamentos. O PO10, quando cita o escritrio de projetos, est se referindo a um PMO de TI, que
exemplo muito comum no mercado atual em todo o mundo.
Atividade 1
Com relao s reas foco da Governana, quais processos so prioritrios ao
mesmo tempo para o alinhamento estratgico e para o gerenciamento de riscos?
Explique.
Alguma rea foco da Governana em TI no foi citada? Explique.
10
AULA
Resposta
Somente o PO6 e o PO9 esto relacionados como prioritrios para ambos
os casos. As concluses so diversas. O objetivo aqui iniciar um raciocnio
integrado sobre o COBIT. Uma concluso, por exemplo, notar que o PO6
(que trata da comunicao de objetivos, metas e diretrizes) primordial para o
alinhamento estratgico. Como sabemos, a realidade do mercado outra. Muitos
at possuem uma definio de misso, viso etc., mas poucos a comunicam
efetivamente pela organizao. O alinhamento entre a TI e o negcio, segundo
o COBIT, depende totalmente disso.
Com relao segunda questo, a medio de desempenho no foi citada.
Isso porque esse no o foco dos processos do domnio PO. Mesmo assim, vale
ressaltar que a medio de desempenho aparece, sim, vrias vezes como uma
rea de Governana em TI secundria para alguns dos processos do domnio de
planejamento e organizao (s listamos o mapeamento das reas da Governana
que so primrias para o processo). Os controles do COBIT so estrategicamente interligados, de forma que raro um processo possuir objetivos com reflexos
somente em uma rea. Na verdade, isso s acontece com um processo: o processo
DS13 (Gerenciar operaes), que veremos na prxima aula.
CEC I E R J E X T E N S O E M G O V E R N A N A
261
10
AULA
CEC I E R J E X T E N S O E M G O V E R N A N A
263
10
AULA
plo, por meio do nmero de incidentes causados pela falta de documentao sobre os procedimentos ou pela falta de treinamento da equipe.
Esse processo um dos que so diretamente responsveis pela
entrega de valor da Governana em TI.
CEC I E R J E X T E N S O E M G O V E R N A N A
265
10
AULA
CEC I E R J E X T E N S O E M G O V E R N A N A
267
Atividade
10
AULA
Resposta
Os processos do domnio AI possuem foco mais voltado para a operacionalizao dos servios. Isso notado quando observamos que os sete processos
deste domnio refletem preocupaes de analisar a viabilidade, adquirir e manter
softwares aplicativos e infraestrutura, documentar e compartilhar informaes
de uso e manuteno, efetivar a compra dos recursos necessrios, gerenciar as
mudanas, testar o servio e torn-lo operacional, ou seja, de forma muito simplificada, podemos dizer que se trata das etapas do ciclo que vo da solicitao pelo
usurio ou cliente at a sua operacionalizao. E para que servem os processos
do domnio PO? Ora, tudo que acontece em outros processos acontece segundo
as sadas dos processos de planejamento e organizao, ou seja, segundo as
diretrizes, metas, planos e metodologias gerados quando aqueles processos so
conduzidos pela empresa.
CONCLUSO
Os processos vistos nesta aula se encaixam nos dois primeiros
domnios citados do COBIT. Voc se lembra de como o relacionamento entre o ciclo PDCA e os domnios PO e AI? O domnio PO
possui processos cujas atividades tm mais a ver com o P (Plan) do
PDCA. O domnio AI, por sua vez, est mais relacionado ao D (Do)
do ciclo PDCA. importante que, a partir disso, voc entenda que o
amadurecimento dos processos de aquisio e implementao depende
do amadurecimento dos processos de planejamento e organizao.
Alm disso, outro fato importante que o alinhamento estratgico, que apenas uma das cinco reas foco da Governana, depende de
vrios processos. Por outro lado, um processo pode ser importante para
mais de uma rea foco da Governana em TI.
Tudo isso, de certa forma, responde questo sobre por que
difcil evoluir uma rea deixando outra em segundo plano. Embora
tenhamos dito que os processos do COBIT foram construdos de forma
integrada, na verdade, na prtica, os processos esto de fato integrados.
O COBIT apenas reflete a realidade daquelas empresas onde as coisas
funcionam direito.
CEC I E R J E X T E N S O E M G O V E R N A N A
269
Finalmente, ressaltamos que, alm de ter atingido as metas definidas pela empresa para cada objetivo de controle, comum ao nvel
mximo de maturidade de todos os processos: seguir efetivamente a
filosofia da melhoria contnua; gerar documentao e registros necessrios
dentro da prpria metodologia do processo; e, obviamente, garantir que
as metas de TI so obtidas de acordo com as metas de negcio.
Atividade online
O COBIT no possui uma descrio detalhada sobre como implementar o 1
2
processo (entradas, atividades, procedimentos, regras, sadas etc.). Pelo menos
no esta a sua principal preocupao, haja vista que ele um documento estratgico e,
portanto, menos detalhado. Nesta aula vimos os processos dos domnios PO e AI. O objetivo
desta atividade pesquisar como os processos da ITIL v3 so mapeados no COBIT, ou
seja, que processo da ITIL v3 tem a ver com qual rea do COBIT (e vice-versa).
RESUMO
10
AULA
CEC I E R J E X T E N S O E M G O V E R N A N A
271
Atividades Finais
1) O relacionamento entre o PO3 (Determinar direo tecnolgica) e o AI3 (Adquirir e
manter infraestrutura tecnolgica) est no fato de que:
a. Os objetivos de controle do AI3 seguem as definies do PO3.
b. Os objetivos de controle do PO3 seguem as definies do AI3.
c. Ambos abordam o acompanhamento de tendncias tecnolgicas.
d. Ambos abordam questes sobre manuteno da infraestrutura.
2) Com relao ao PO5 (Gerenciar o investimento em TI) e ao AI5 (Comprar recursos
de TI) INCORRETO afirmar que:
a. O AI5 lida com o gerenciamento de contratos de fornecedores.
b. O PO5 lida com questes de oramento, custo e benefcio.
c. O processo PO5 responsvel por planejar as aquisies.
d. O processo AI5 responsvel por efetivar as aquisies.
3) Com relao ao PO10 (Gerenciar projetos) e ao AI6 (Gerenciar mudanas) podemos
afirmar que:
a. O AI6 lida somente com mudanas em sistemas aplicativos.
b. O AI6 no aborda mudanas no ambiente operacional.
c. O PO10 no aborda projetos de desenvolvimento de software.
d. O PO10 diz respeito criao de metodologia.
4) Um coordenador de TI afirma que, para atender s metas definidas pelos indicadores
da rea de processo Gerenciamento da qualidade (PO8) do COBIT, necessrio e suficiente implementar o processo Gerenciamento do nvel de servio do livro Desenho do
servio da ITIL v3. Julgue e explique esta afirmao.
5) (Analista do MPE-SE FCC/2009) Uma das reas de processo do domnio PO ( Planejamento e Organizao ), no modelo COBIT,
a. Ensure Systems Security.
b. Obtain Independent Assurance.
c. Assist and Advise Customers.
d. Assess Risks.
e. Manage Changes.
6) Costumamos dizer que o COBIT mais abrangente que outros modelos e conjuntos
de boas prticas. Com relao ITIL, cite um exemplo de rea (do domnio PO ou AI) que
descreve um processo no contemplado pela ITIL.
7) (Analista Judicirio do STJ CESPE/2008) Quanto ao modelo COBIT, julgue os seguintes itens.
a. No domnio adquirir e implementar (acquire and implement), h o processo adquirir
e manter infraestrutura de tecnologia (acquire and maintain technology infrastructure),
que tem como objetivos: desenvolver e executar um plano de garantia de qualidade de
software; desenvolver e manter uma estratgia e um plano para a manuteno dos softwares
aplicativos.
10
AULA
b. Considere que, no que diz respeito ao processo avaliar e gerenciar riscos de TI (assess
and manage IT risks), uma organizao apresente as seguintes caractersticas: existe
uma abordagem para avaliar riscos; para cada projeto, implementar a avaliao de riscos
depende de deciso do gerente do projeto; a gerncia de riscos aplicada apenas aos
principais projetos ou em resposta a problemas. Nessa situao, o nvel de maturidade
da referida organizao, em relao a tal processo, gerenciado e mensurvel (managed
and measurable).
Resposta
1) Alternativa a. As aquisies resultantes dos processos do domnio AI seguem o
planejamento resultante dos processos do domnio PO. Somente o PO3 acompanha
tendncias de tecnologias e padres e somente o AI3 lida com questes de manuteno
da infraestrutura.
2) Alternativa c. errado afirmar que o PO5 planeja as aquisies. Na verdade, ele aprova oramentos, analisa a relao custo-benefcio de aquisies e prioriza investimentos.
Porm, as compras necessrias (quando aprovadas dentro do oramento), so conduzidas
pelo AI5. Conduzir as compras significa planejar (definir quando ser comprado, quem
ser o fornecedor etc.), executar (fechar a compra, receber o equipamento ou servio
etc.), controlar (acionar a garantia etc.) e encerrar (entregar para a implementao e
operacionalizao).
3) Alternativa d. A empresa precisa ter metodologia para gerenciar projetos. O processo
PO10 possui objetivos de controle direcionados para esse fim, ou seja, a criao de uma
metodologia de gerenciamento de projetos de TI na organizao.
4) A afirmao est errada. O objetivo do PO8 definir indicadores para a adoo (ou
no) de sistemas, filosofias e mtodos da qualidade dentro do mbito da TI, tais como
a ISO 9000 e Seis Sigma etc. O processo Gerenciamento do nvel de servio da ITIL lida
com o estabelecimento de acordos entre as partes envolvidas para a determinao e
atendimento de requisitos, desejos e expectativas com relao aos servios. Obviamente,
como tudo no COBIT, uma coisa acaba ajudando a outra.
5) Alternativa a. Ressalte-se que os nomes das reas esto em ingls (prtica comum) e
que o correto seria Assess and manage IT risks.
6) A resposta pode variar. Um exemplo marcante o do PO7, que lida com o gerenciamento
de recursos humanos no que diz respeito contratao, reteno, motivao, treinamento
e avaliao de pessoas. A ITIL no d muita ateno a essa questo, embora o assunto
seja citado superficialmente nos textos que abordam a central de servios.
7.a) Falso. O processo mencionado lida com questes da infraestrutura. o processo Adquirir
e manter softwares aplicativos (Acquire and maintain application software), do mesmo
domnio, que lida com as questes citadas.
7.b) Falso. No nvel gerenciado e mensurado (nvel quatro) no existe cabimento em avaliar
riscos dependendo da deciso do gerente (de forma subjetiva) e muito menos em aplicar o
processo apenas aos principais projetos (falta de escalabilidade do processo) ou em resposta
a problemas (reativo ao invs de proativo).
CEC I E R J E X T E N S O E M G O V E R N A N A
273
11
AULA
Meta da aula
objetivos
Pr-requisitos
pr-requisito para esta aula ter atingido os objetivos
das primeiras aulas que tratam do Planejamento Estratgico e da Governana em TI, alm disso, primordial
ter entendido plenamente os conceitos descritos nas
INTRODUO
Se voc tivesse que escolher um modelo, padro ou conjunto de boas prticas para a Governana em TI qual
seria ele? No nenhum absurdo dizer que, na atualida
de, o COBIT o principal documento que trata dessa
rea. Nessa aula vamos finalizar o estudo desse importante modelo de controles para Governana em TI.
Bom estudo!
Chegamos nossa ltima aula sobre o COBIT ! Na aula anterior, estudamos dois
domnios cujos processos esto mais voltados para o planejamento e para a construo dos servios de TI. Nesta aula iremos estudar 13 processos mais ligados aos
servios que sustentam a operao e a produo diria da TI e quatro processos
que visam avaliao do desempenho de todos os outros processos.
Voc deve perceber que o conjunto de reas de processo que estudaremos nessa
que diz respeito sua importncia (mais estratgica, no caso do COBIT ; mais
no caso da ITIL ).
Alm disso, voc deve se lembrar tambm do o fato de que ser mais voltado
para a estratgia ou para a operao no quer dizer estar restrito a estes nveis.
11
Enfim, voc j deve ter percebido que um dos domnios ainda no estudados
AULA
terceirizados etc.
DS1 Definir e gerenciar nveis de servio (Define and manage service levels)
CEC I E R J E X T E N S O E M G O V E R N A N A
277
11
AULA
CEC I E R J E X T E N S O E M G O V E R N A N A
279
Assim, muitos costumam citar que esse processo lida com questes como terremotos, tsunamis, incndios etc. Claro que so apenas
exemplos. O que a empresa deve se perguntar : que evento pode afetar
a continuidade do negcio? Ser que um concorrente pode subornar
um estagirio para que ele apague informaes de todos os servidores
no nosso data center? Bem, dependendo do pas em que a empresa opera
(e do data center onde ela instalou os servidores), essa hiptese bem
mais provvel que a do tsunami etc. E pode, sim, levar paralisao da
empresa! Os objetivos de controle so:
DS4.1 Modelo de continuidade da TI.
DS4.2 Planos de continuidade da TI.
DS4.3 Recursos crticos de TI.
DS4.4 Manuteno do plano de continuidade da TI.
DS4.5 Teste do plano de continuidade da TI.
DS4.6 Treinamento do plano de continuidade da TI.
DS4.7 Distribuio do plano de continuidade da TI.
DS4.8 Recuperao dos servios de TI.
DS4.9 Local externo de armazenamento de backup.
DS4.10 Reviso ps-recuperao.
Este processo atinge o nvel cinco (otimizado) quando: o plano de
continuidade da TI est perfeitamente integrado ao plano de continuidade
do negcio; so realizados testes sistmicos do plano e os resultados desses
testes so utilizados para atualizar o plano; a TI pode garantir que no
haver paralisao completa dos servios devido a um ponto nico de
falha na ocorrncia de incidentes graves ou de fora maior etc.
Uma meta muito bvia deste processo : "Elaborar, aprovar,
comunicar e testar um plano de continuidade de negcios." O alcance
dessa meta pode ser medido atravs da quantidade de processos crticos
de negcio dependentes da TI que so cobertos pelo plano.
As reas da Governana em TI mais importantes para esse processo
so a entrega de valor e o gerenciamento de risco.
11
AULA
CEC I E R J E X T E N S O E M G O V E R N A N A
281
11
que haja processos para a educao de usurios com relao ao uso dos
AULA
283
11
AULA
285
Bem, aqui podemos dizer que o COBIT traz algo novo com
11
AULA
que ns j vimos.
Os seus objetivos de controle so:
DS12.1 Seleo de local.
DS12.2 Medidas de segurana fsica.
DS12.3 Acesso fsico.
CEC I E R J E X T E N S O E M G O V E R N A N A
287
forma de projetos. Logo, assim como existe uma rea no COBIT que
trata do gerenciamento de projetos, existe tambm uma rea que define
os objetivos de controle para o processo de gerenciamento de operaes.
Os seus objetivos de controle so:
DS13.1 Instrues e procedimentos operacionais.
DS13.2 Agendamento de trabalho.
DS13.3 Monitoramento da infraestrutura de TI.
DS13.4 Documentos sensveis e dispositivos de sada.
DS13.5 Manuteno preventiva de hardware.
O nvel cinco desse processo atingido quando: a empresa possui
um suporte operacional efetivo, eficiente e suficientemente flexvel a
ponto de garantir o nvel de servio acordado mesmo em momentos de
crise; os procedimentos operacionais so documentados e divulgados e
11
AULA
Atividade
Na ltima aula discutimos as diferenas entre os processos das reas PO5 e AI5.
Nesta aula vimos mais um processo que lida com as questes financeiras da TI: o
Resposta
O PO5 trata de questes de planejamento do investimento em TI. O AI5 responsvel por efetivar as compras de acordo com as decises de investimento.
O DS6, visto nesta aula, est relacionado aos custos diretos e indiretos da prestao de servios e sua cobrana (real ou nocional). So, portanto, trs enfoques
completamente diferentes.
CEC I E R J E X T E N S O E M G O V E R N A N A
289
11
AULA
CEC I E R J E X T E N S O E M G O V E R N A N A
291
Este processo visto como um processo que atingiu sua maturidade plena quando h um processo de melhoria contnua dos mecanismos
de controle interno e autoavaliao baseado em lies aprendidas e boas
prticas da indstria; a empresa utiliza tcnicas e ferramentas integradas
que permitem a avaliao dos controles mais crticos da TI etc.
Uma meta desse processo : "Identificar aes de melhoria no
processo de controle (interno) dos processos de TI." Um indicador
importante o nmero de iniciativas de melhoria no controle tomadas
pela empresa. Outro indicador a frequncia de incidentes relacionados
ao controle (relatrios no compatveis com a realidade, demonstrao
de resultados em desacordo com a realidade etc.).
O gerenciamento de riscos e a entrega de valor so as principais
reas foco de Governana.
11
AULA
293
Atividade 2
Quais so as diferenas entre os quatro processos de monitoramento e controle do
domnio ME do COBIT ?
Resposta
AULA
11
CONCLUSO
Os processos vistos nesta aula se encaixam nos dois ltimos
Atividade online
A
Assim
como fizemos na aula passada, vamos agora fazer o mapeamento
2
1
dos processos dos domnios DS e ME para os processos da ITIL v3 (ou viceversa). Aps o trmino da atividade, voc observar que haver uma correspondncia
muito maior com o domnio DS. Por que voc acha que isso acontece?
CEC I E R J E X T E N S O E M G O V E R N A N A
295
RESUMO
AULA
11
Atividades Finais
1) Os processos de qual domnio do COBIT so os que possuem maior abrangncia quando mapeados pela ITIL?
a) Planejar e organizar.
b) Adquirir e implementar.
c) Entregar e dar suporte.
d) Monitorar e controlar.
2) Ao utilizar uma aplicao terceirizada, os dados de uma transao so corrompidos e o usurio no consegue mais, a partir da interface da aplicao,
obter informaes sobre o estado do procedimento que ele tentou realizar.
Qual processo responsvel por receber a reclamao do usurio sobre tal
situao?
a) Gerenciamento de terceiros.
b) Gerenciamento da central de servio e de incidentes.
c) Gerenciamento de problemas.
d) Gerenciamento de dados.
3) A rea de processo que trata do armazenamento de mdias crticas de backup
em local externo e seguro a de:
a) Gerenciamento da continuidade do servio.
b) Gerenciamento da segurana de sistemas.
c) Gerenciamento do ambiente fsico.
d) Gerenciamento de dados.
4) Julgue a afirmao: Ao contrrio do que acontece na ITIL, questes de disponibilidade dos servios de TI no so abordadas pelo COBIT
5) (Analista do MPE-SE FCC/2009) Uma das reas de processo do domnio DS
(Entrega e Suporte), no modelo COBIT,
a) Definir a Arquitetura da Informao.
b) Monitorar o Processo.
c) Comunicar a Direo e as Metas Gerenciais.
d) Desenvolver e Manter Procedimentos.
e) Identificar e Alocar Custos.
6) Julgue a seguinte afirmao: O processo Fornecer a governana de TI (ME4) tem
como objetivo a concretizao de fato das aes visando implementao do que
chamamos de Governana em TI.
7) (Analista de Controle Interno SAD-PE FGV/2009) Governana de TI um conjunto
de prticas, padres e relacionamentos estruturados, assumidos por executivos,
gestores, tcnicos e usurios de TI de uma organizao, com a finalidade de
garantir controles efetivos, ampliar os processos de segurana, minimizar os riscos,
ampliar o desempenho, otimizar a aplicao de recursos, reduzir os custos, suportar
as melhores decises e consequentemente alinhar TI aos negcios.
CEC I E R J E X T E N S O E M G O V E R N A N A
297
No que diz respeito aos objetivos de controle no framework Cobit 4.1, o processo
Gerenciar Service Desk e Incidentes inclui o seguinte procedimento:
a) a criao e operao de um sistema de captura, alocao e reporte dos custos
da TI para os usurios de servios.
b) a definio e execuo de uma estratgia para um treinamento efetivo, medio
de resultados e anlise de incidentes.
c) a implementao da funo da central de servios com registro, escalao,
tendncias, anlise de causas raiz e resoluo de incidentes.
d) a avaliao dos servios instalados que minimizam a probabilidade e o impacto
de interrupes de servio sobre funes e processos de negcio.
e) a monitorao e o reporte em tempo para os stakeholders sobre o cumprimento
dos nveis de servios, que habilitam o alinhamento entre os servios da TI o
os requisitos sobre o negcio.
RESPOSTAS
1) Alternativa c. Conforme discutido nesta aula.
2) Alternativa b. O processo de gerenciamento de incidentes, ou gerenciamento
central de servio e de incidentes, sempre o que recebe as solicitaes e as
requisies dos usurios.
3) Alternativa a. Ter procedimentos documentados para armazenamento de dados
em mdias de backup tarefa do Gerenciamento de dados. Porm, decidir que
dados so crticos a ponto de serem armazenados em locais externos tarefa do
Gerenciamento da continuidade. Muitas reas do COBIT possuem objetivos que se
confundem e, por isso, necessrio entender claramente o foco de cada uma.
4) A afirmao falsa. Na verdade, os processos de gerenciamento da capacidade
e de gerenciamento da disponibilidade da ITIL so tratados em uma nica rea
do COBIT, a saber, Gerenciar desempenho e capacidade (DS3). O DS3 possui um
objetivo de controle relacionado disponibilidade.
5) Alternativa E. Conforme visto na teoria.
6) A afirmao falsa. O ME4 um processo de monitoramento e controle, e no um
processo que visa execuo, ou seja, no capaz de produzir resultados concretos
por si s. Desse modo, embora ele no seja nem mais nem menos importante, no
haveria sentido algum implementar o ME4 (ou qualquer outro processo do domnio
ME) sem implementar outros processos do COBIT. E, obviamente, as aes concretas
visando Governana em TI so tomadas atravs de todos os outros processos.
7)Alternativa c. Observe que o enunciado traz uma boa definio de Governana
em TI. A resposta bvia, pois somente a alternativa c traz algo relacionado ao
processo Gerenciar Service Desk e Incidentes.
12
AULA
Meta da aula
objetivos
Pr-requisito
pr-requisito para esta aula ter completado os
objetivos de todas as aulas anteriores.
INTRODUO
Voc deve lembrar que, logo no incio deste curso, dissemos que Governana
era um conceito bem amplo e que no se resumia somente ao COBIT e
ITIL. Algumas vezes ns comentamos esse fato e dissemos que vrios outros
modelos, conjuntos de boas prticas e mesmo normas de TI podem auxiliar
a empresa a melhorar suas reas de processo a fim de amadurecer rumo
plenitude da Governana em TI.
Nesta aula iremos estudar alguns dos exemplos que mais tm sido utilizados no
mercado. Porm, tenha em mente que ns no nos aprofundaremos da mesma
forma que fizemos com relao ITIL v2, ITIL v3 ou ao COBIT v4.1.
Isso porque a maioria destes modelos tambm possui dezenas de processos
ou controles e seria invivel abord-los todos em um mesmo curso (ainda mais
em uma nica aula). Porm acreditamos que, com tudo que foi visto at agora,
mais o que veremos nesta aula (mesmo que resumidamente), voc ter uma
viso completa sobre como participar ou at mesmo gerenciar um projeto de
Governana em TI.
12
Essa norma possui exatamente o mesmo objetivo que a ITIL, ou seja, melhorar
AULA
Processos de entrega
Gerenciamento
da capacidade
Gerenciamento do nvel
do servio
Gerenciamento
da disponibilidade
e da continuidade
Oramento e prestao
de contas
Processos de controle
Gerenciamento de configurao
Processos de
liberao
Gerenciamento
de liberao
Gerenciamento de mudana
Processos de
resoluo
Processos de
relacionamento
Gerenciamento do
relacionamento com o
negcio
Gerenciamento de incidente
Gerenciamento de problemas
Gerenciamento de
fornecedores
301
BS 7799-1
1995
ISO 17799
2000
ISO 17799
2005
ISO 27002
2005
BS 7799-2
2002
ISO 27001
2005
ISO 27001
2005
BS 7799-2
1998
12
AULA
CEC I E R J E X T E N S O E M G O V E R N A N A
303
12
AULA
Se, por um lado, o nmero de empresas certificadas ISO 20000 no passa de 400, o
nmero de empresas certificadas ISO 27000 de quase 6.000. S o Japo, que tambm
lder em empresas certificadas nessa norma, possui 3.321 organizaes certificadas.
A ndia, segunda colocada, possui 482 empresas. O Brasil o 21 pas em nmero de
certificaes, com 23 empresas certificadas, perdendo na Amrica Latina apenas para
o Mxico (com 27) e ficando frente de pases como Frana, Canad e Portugal, com
12, 5 e 3 certificaes, respectivamente. Voc pode obter estes e outros nmeros sobre
a ISO 27001 no endereo http://www.iso27001certificates.com/. Pgina acessada em 30
de dezembro de 2009.
CEC I E R J E X T E N S O E M G O V E R N A N A
305
As normas ISO possuem direitos de cpia, uso e distribuio. Elas devem ser compradas a
partir do endereo http://www.iso.org/iso/iso_catalogue.htm ou outro local autorizado. Por
exemplo, somente a ISO 20000-1, que possui a especificao de requisitos para o gerenciamento
de servios de TI em 24 pginas, custa aproximadamente US$ 86. J a ISO 27000-2, que contm
o cdigo de prticas para implementao do SGSI em 44 pginas, custa aproximadamente US$
130. Pgina acessada em 30 de dezembro de 2009.
Atividade 1
Como a ISO 20000 e a ISO 27000 se encaixam no contexto da Governana em TI?
Resposta
Primeiro deve-se observar que ambas so normas. A empresa precisa decidir
se ela quer partir para a obteno da certificao que um processo muito
desgastante (e cujo retorno nem sempre acontece) ou se ela quer apenas
conhecer o contedo da norma e aplic-lo sem compromisso. No caso da ISO
20000, a aplicao sem compromisso pode ser feita utilizando a ITIL v3, pois,
como vimos, exatamente para isso que as boas prticas servem. Na verdade,
o nico compromisso com a melhoria dos processos de TI. Com relao ISO
27000, no existe um conjunto de prticas para a segurana da informao e, por
isso, muito comum as empresas buscarem amadurecimento nos processos de
segurana da informao por meio de consultorias especializadas na ISO 27000.
Porm, isso pode ser feito sem que a empresa opte pela certificao formal, o que
implicaria um compromisso (e investimento) maior de atender a todos os requisitos,
o que nem sempre um atrativo para as empresas. Por fim, ambas podem auxiliar
no contexto da Governana melhorando processos em reas especficas da TI.
12
AULA
Voc sabe a diferena entre a ISO 20001, a ISO 20002 e a famlia ISO 20000? A ISO, quando
padroniza um tema, geralmente o faz atravs de vrias normas reunidas em uma famlia.
Assim, a famlia ISO 20000 possui vrias normas. A ISO 20001 contm os requisitos propriamente
ditos; a ISO 20002 contm os cdigos de prticas (aes que devem ser conduzidas para atender
aos requisitos). Vale ressaltar que a famlia ISO 20000 possui uma norma bsica, chamada ISO
20000, que contm um vocabulrio de termos sobre o gerenciamento de servios de TI (definio de incidente, de problema, de ativo etc.). No confunda a norma ISO 20000 com a famlia
ISO 20000! O mesmo acontece com a famlia ISO 27000 e vrias outras famlias de normas ISO.
Ou seja, existe a ISO 27000 (vocabulrio de termos usados nas normas da famlia), a ISO 27001
(especificao de requisitos de segurana da informao), a ISO 27002 (cdigo de prticas) etc.
Normalmente as trs primeiras normas da famlia so o vocabulrio de termos, as especificaes
de requisitos e o cdigo de prticas. Porm, a famlia pode ter mais de dez normas, tratando
de questes especficas sobre o tema padronizado.
Um profissional pode ser certificado ISO 20000, ISO 27000 etc.? Bem, a rigor, no. A empresa
pode ser certificada, mas o profissional no. Porm, existem diversas certificaes de auditores ISO. Assim, existe, por exemplo, a figura do auditor lder em uma norma (auditor lder ISO
20000, auditor lder ISO 27000 etc.). Os auditores lderes, entre outras coisas, so responsveis
por conduzir auditorias de certificao (ou re-certificao) que conferem a uma empresa o
ttulo de empresa certificada. Para se tornar um auditor lder o profissional precisa realizar
treinamentos em uma das entidades credenciadas pela ISO e passar em uma ou mais provas.
Normalmente o processo leva de 30 dias a 90 dias e tem um custo relativamente alto, alm
de exigir alguns pr-requisitos do candidato a auditor. Algumas empresas que possuem tais
treinamentos e esto autorizadas a formar auditores lderes das normas ISO so a BSI Brasil
(http://www.bsibrasil.com.br/), o Bureau Veritas Brasil (http://www.bureauveritas.com.br/) e a
Fundao Vanzolini (http://www.vanzolini.org.br/).
O eSCM
O eSCM (eSourcing Capability Maturity Model) um conjunto
de boas prticas de terceirizao e fornecimento de servios desenvolvido pelo SEI (Software Engineering Institute) da Universidade de
Carnegie Mellon. O SEI tambm foi responsvel por criar e desenvolver
o CMM-I, que mencionamos em aulas anteriores. Por isso, ele herda
os conceitos de maturidade e capacidade largamente utilizados no
mundo da Governana (inclusive pelo COBIT, como vimos).
CEC I E R J E X T E N S O E M G O V E R N A N A
307
12
AULA
CEC I E R J E X T E N S O E M G O V E R N A N A
309
12
AULA
os 84 objetivos, todos aqueles relacionados ao nvel 2 (so 48 dos 84) precisam ser implementados no mnimo com nvel de capacidade 2. Caso
a empresa decida atingir o nvel de maturidade 3, todos os 48 processos
necessrios ao nvel de maturidade 2 precisam amadurecer e atingir o
nvel de capacidade 3. Alm disso, os processos necessrios ao nvel 3
(neste caso seriam mais 26) precisariam ser implementados com nvel
de capacidade 3. Assim, no final, a empresa teria ao todo 74 processos
implementados (48 mais 26) com nvel de capacidade 3, o que valeria a
ela o nvel de maturidade 3 em terceirizao de servios.
Voc percebeu que o nvel de maturidade atingido pela empresa
e o nvel de capacidade atingido pelo processo? Segundo o eSCM-SP, o
fornecedor de servios amadurece na medida em que os seus processos
adquirem mais capacidade.
CEC I E R J E X T E N S O E M G O V E R N A N A
311
12
AULA
Atividade 2
Como o COBIT e o eSCM se encaixam dentro do contexto da Governana em TI?
Resposta
Ainda vale a mesma regra. Primeiro usamos o COBIT para definir o nvel de maturidade das 34 reas de processo da TI. De acordo com as diretrizes estratgicas da
empresa, algumas reas merecero maior destaque. As reas de processo AI2 (Adquirir
e manter softwares aplicativos), AI3 (Adquirir e manter infraestrutura tecnolgica) e DS2
(Gerenciar servios de terceiros), por exemplo, tm muito a se beneficiar do contedo do
eSCM, pois so reas diretamente ligadas terceirizao. A avaliao inicial por meio
do COBIT pode determinar que os objetivos destas reas no esto sendo atingidos
e a empresa pode, em seguida, utilizar o eSCM para construir novos processos (ou
alterar os existentes), a fim de melhorar os ndices obtidos pelos indicadores de meta e
de desempenho do COBIT.
CEC I E R J E X T E N S O E M G O V E R N A N A
313
12
ISO 38500 cumpre papel importante, pois responde, de uma vez por
AULA
Por ltimo ressaltamos que vrios autores e estudiosos tm se preocupado em listar os princpios que regem a Governana Empresarial.
PROJETO DE GOVERNANA
Neste curso tivemos a preocupao de abordar as publicaes
mais conhecidas do mundo da Governana em TI (a ITIL e o COBIT)
e, atravs de outros exemplos menos conhecidos, deixar claro para voc
como esse campo vasto. Existem, literalmente, dezenas (ou centenas)
de outras normas, padres ou boas prticas que poderiam fazer parte
deste curso. Obviamente, no haveria espao nem tempo para abordar
tudo com os detalhes necessrios.
Voc pode estar pensando que existem tantas boas prticas e
normas que, no final das contas, resolvemos um problema e criamos
outro. O que devemos adotar na empresa, afinal, e como fazer isso? Uma
norma mundial como a ISO 38500, por exemplo, a ltima palavra
sobre o assunto?
Com relao segunda pergunta, embora a ISO tenha um alcance
mundial, nem todos os pases so representados nas discusses e nem
todos do a mesma importncia a uma norma ou a adotam com a mesma
rapidez. E, alm disso, nem mesmo normas discutidas ao longo de anos
por profissionais do mundo inteiro so infalveis. Embora elas sejam
uma compilao de tudo que j foi falado e escrito sobre um assunto,
elas no so a ltima palavra.
CEC I E R J E X T E N S O E M G O V E R N A N A
315
Por isso
imprescindvel que voc
entenda a filosofia fundamental por
trs da Governana em TI e que aplique seus
conceitos e princpios. Em outras palavras, entenda
primeiro o que Governana e depois pense em aplicar
COBIT, ITIL, ISO 27000, eSCM etc. O padro ou conjunto de
boas prticas servir apenas como fonte de conhecimento para
acelerar seu trabalho. Para ser bem-sucedido, independentemente
do caminho escolhido (isto , da norma ou boa prtica), voc precisa saber para onde a empresa est indo e por que ela est indo.
A partir disso, o resto ficar mais fcil. Governana em TI a
preocupao com a melhoria contnua sob todas as formas de
relacionamento entre a TI e o negcio, envolvendo os nveis
estratgico, ttico e operacional, no curto, mdio e
longo prazos de todos os seus projetos, operaes
e processos, obedecendo a princpios tcnicos, ticos, morais e legais.
12
AULA
CEC I E R J E X T E N S O E M G O V E R N A N A
317
Inicia
ar
Planej
Execu
tar
Fechar
fechamento.
A fase de pr-projeto
Para tornar o gerenciamento do projeto mais simples (ou menos
complexo) e para aumentar suas chances de sucesso, um bom pr-projeto
essencial.
Iniciar
O incio da fase de pr-projeto envolve as escolhas e decises
da organizao e a busca por resposta para questes como:
a empresa sabe o que Governana em TI e o que se pode
esperar dela? Por que a empresa precisa de Governana em
TI? Existem boas prticas (ITIL, eSCM etc.) ou normas (ISO
27000, ISO 38500 etc.) que a empresa precisar adotar por
causa de algum fator estratgico interno ou externo? De que
quantidade de recursos a empresa dispe para o projeto e como
ela espera recuperar esse investimento?
Planejar
O planejamento envolve a definio de como a execuo do
projeto acontecer. Um dos maiores objetivos do pr-projeto
o mapeamento da organizao, e o planejamento deve programar como isso ser feito. Sero realizadas entrevistas formais,
individuais e presenciais? Quem ser entrevistado e quantas
entrevistas sero feitas? A empresa contar com a participao de consultoria externa ou o projeto contar apenas com
recursos humanos de dentro da empresa? Haver necessidade
12
AULA
Executar
Observe que o resultado concreto a ser entregue ao final desta
fase a documentao do que dever ser feito na prxima.
Assim, a sua execuo envolve principalmente a elaborao de
um plano de projeto para a prxima fase, com as estimativas
de custo e durao para atender ao escopo pretendido. Esse
resultado servir como base para as decises que a organizao
precisar tomar sobre o projeto. Em alguns casos, geralmente
quando a empresa tem como certa a realizao do projeto
em si, a etapa de execuo envolver tambm a realizao da
capacitao das equipes (atravs de treinamentos formais) e
a conscientizao das pessoas dentro da organizao (atravs
de palestras, reunies ou treinamentos).
As avaliaes sobre o cenrio atual da organizao tambm
acontecem nesse momento (por meio de entrevistas com
pessoas-chave etc.). Tambm necessrio conhecer os projetos
e operaes de TI em andamento na empresa e documentar os
processos da TI. Dependendo de vrios fatores, desde o porte
da empresa at a forma com que o pr-projeto conduzido,
esse trabalho pode levar at seis meses. Como o caminho
mais comum atualmente adotar o COBIT para a definio
de objetivos de controle, esta etapa normalmente envolve a
determinao do grau de maturidade das 34 reas de processo
de TI, conforme estudamos nas aulas anteriores.
Encerrar
A etapa de encerramento da fase de pr-projeto envolve
principalmente a anlise dos resultados obtidos e a deciso
de comear ou no (go-no go) a fase seguinte (o projeto em
si). Note que, dependendo do cenrio atual da organizao,
os custos do projeto podem inviabilizar o escopo ideal e a
CEC I E R J E X T E N S O E M G O V E R N A N A
319
A fase de projeto
Todas as etapas do projeto acontecero de acordo com o que foi
definido na fase de pr-projeto. Lembre-se de que o sucesso do projeto,
portanto, depende muito de um bom pr-projeto.
Iniciar
A iniciao do projeto, neste caso, envolve a anlise do esboo
do plano de projeto elaborado na fase anterior e a verificao
do cenrio atual. H mudanas de cenrio que justifiquem
alterar o plano? H reas que se tornaram mais relevantes?
Existem outras prticas de TI que passaram a merecer mais
ateno no cenrio mundial? Novas verses do COBIT, da
ITIL etc. foram publicadas? Desde capacitao e treinamento,
houve alterao no quadro de pessoal? No cenrio de TI
necessrio considerar essas questes, pois, como sabemos, ele
bastante dinmico.
Planejar
Na fase de pr-projeto foi elaborado um esboo de plano. Esse
esboo deve ser revisado e mais bem detalhado, a fim de gerar
um plano de projeto que contemple tudo que importante
para a boa execuo do projeto em si. A equipe, o cliente, o
usurio e demais interessados devem conhecer e concordar
com o escopo do que ser feito; um cronograma deve conter
as datas de incio e fim das atividades do projeto; um oramento e uma previso de desembolso devem ser produzidos
12
AULA
Executar
A execuo desta fase envolve a construo ou melhoria
dos processos. Nesta etapa todo o conhecimento sobre boas
prticas e normas de TI til. Se a empresa quer melhorar
o gerenciamento de incidente, de problemas, quer criar uma
central de servios etc., a ITIL uma das opes mais indicadas. Se a empresa v como crtico o seu nvel de maturidade
em segurana da informao, as normas da famlia ISO 27000
contm informaes riqussimas. Caso a empresa queira adotar
uma filosofia de terceirizao ou mesmo melhorar o controle
sobre servios terceirizados (muito importante para rgos do
governo), as prticas do eSCM-SP e eSCM-CL podem ser muito
teis. Se a empresa decide que o gerenciamento de projetos de
TI precisa melhorar, conhecer o PMBOK ou o PRINCE2 (ou
ambos), certamente ser o melhor caminho para construir
uma boa metodologia de gerenciamento de projetos. Enfim,
nesta fase a mudana acontecer e ela poder acontecer de
vrias formas. Quanto maior for o conhecimento sobre o que
o mercado possui para auxiliar a TI, maior ser a probabilidade de sucesso.
Encerrar
O encerramento pode significar vrias coisas. Um projeto pode
ser encerrado porque a empresa chega concluso de que ele
no atingir os objetivos estabelecidos inicialmente (a pior
forma de encerramento). Ou, por outro lado, porque os objetivos foram todos atingidos. Assim, para ter uma ideia clara
de quando o projeto termina, imprescindvel dizer aonde ele
que chegar... Ou seja, quais so os objetivos.
CEC I E R J E X T E N S O E M G O V E R N A N A
321
12
AULA
Atividade 3
Nesta seo descrevemos, de forma resumida, os passos a serem seguidos na conduo de
um projeto de Governana em TI. Em que os conceitos apresentados foram baseados?
Resposta
Os conceitos foram baseados nas boas prticas de gerenciamento de projetos do
PMBOK e do PRINCE2. Embora estejamos lidando com a Governana em TI, existe
muito em comum com relao arte de gerenciar projetos, independentemente da
rea, que pode ser aplicado em qualquer contexto. Foi isso que fizemos aqui dentro
do contexto de um projeto de Governana em TI. Observe que, em alguns casos, o
PMBOK (ou o PRINCE2) poder ser usado de maneira recursiva e ajudar duas vezes
a empresa. Por um lado, as boas prticas de gerenciamento de projetos serviro para
conduzir todo o esforo em implementar processos adequados para as reas da TI,
conforme discutido nesta seo. Por outro lado, se uma das reas de processo a ser
melhorada a prpria rea de gerenciamento de projetos de TI (PO10 do COBIT),
as boas prticas de projeto acabam sendo utilizadas novamente para construir a
metodologia dentro da organizao.
CONCLUSO
Lembre-se sempre de que as boas prticas, normas e padres de
TI no fazem o trabalho por si ss! Voc deve se esforar por se manter
CEC I E R J E X T E N S O E M G O V E R N A N A
323
Atividade online
V
Vamos
elaborar um esboo de plano de projeto que poderia ser o resultado 1
2
da fase de pr-projeto de um projeto de Governana em TI na sua organizao. Nesta atividade vamos poder compartilhar modelos de plano e outros artefatos
voltados para projetos de Governana em TI.
AULA
12
RESUMO
CEC I E R J E X T E N S O E M G O V E R N A N A
325
Atividades Finais
1) As normas ISO 27000, ISO 27001 e ISO 27002 possuem, respectivamente:
a. Vocabulrio, cdigo de prticas e especificao de requisitos.
b. Vocabulrio, especificao de requisitos e cdigo de prticas.
c. Especificao de requisitos, cdigo de prticas, e vocabulrio.
d. Cdigo de prticas, especificao de requisitos e vocabulrio.
2) Na ISO 27001, poltica de segurana, segurana da informao organizacional, gerenciamento de ativos e segurana de recursos humanos so:
a. Objetivos de controle genricos.
b. Objetivos de controle especficos.
c. reas da segurana da informao.
d. Controles da segurana da informao.
3) A norma ISO 38500 inaugura uma nova srie de princpios que devem reger a Governana em TI. Qual das alternativas abaixo contm somente princpios indicados na norma:
a. Desempenho, conformidade e comportamento humano.
b. Imparcialidade, estratgia e aquisio.
c. Confiabilidade, estratgia e aquisio.
d. Responsabilidade, estratgia e integridade.
4) Qual a diferena entre sucesso do projeto e sucesso operacional do projeto? D um
exemplo.
12
AULA
Respostas
1) Alternativa b. importante lembrar que ISO 20000 pode se referir a uma norma
(vocabulrio) ou a um conjunto de normas. preciso especificar.
2) Alternativa c. No anexo A a ISO 27001 se refere ao A.5 (poltica), A.6 (segurana
organizacional), A.7 (ativos) e A.8 (recursos humanos) como reas da segurana da
informao.
3) Alternativa a. Uma das dificuldades na aplicao de uma norma costuma ser
a sua interpretao. importante conhecer os princpios que regem a norma, pois
quando a interpretao estiver difcil ou duvidosa os princpios clarificaro os conceitos.
Seis princpios so descritos na ISO 38500: responsabilidade, estratgia, aquisio,
desempenho, conformidade e comportamento humano.
CEC I E R J E X T E N S O E M G O V E R N A N A
327
Referncias
Governana em TI
CEDERJ
329
Aula 1
330
CEDERJ
Aula 4
Aula 5
CEDERJ
331
Aula 6
Aula 7
Aula 8
332
CEDERJ
Aula 9
COBIT v.4.1 Control Objectives for Information and related Technology. Illinois:
IT Governance Institute, 2007.
COMMITTEE of Sponsoring Organizations. Disponvel em: <http://www.coso.org/>.
Acesso em: 01 nov. 2009.
FERNANDES, A. A.; ABREU, V. F. Implantando a governana de TI. 2. ed. Porto
Alegre: Brasport, 2008.
ISACA. Information Systems Audit and Control Association. Disponvel em: http://
www.isaca.org/. Acesso em 01 de novembro de 2009.
ITGI IT Governance Institute. Disponvel em: <http://www.itgi.org/>. Acesso em:
01 nov. 2009.
LAURINDO, F. J. B. Gesto da tecnologia da informao. So Paulo: Atlas, 2008.
MAGALHES, I. L.; PINHEIRO, W. B. Gerenciamento de servios de TI na prtica.
So Paulo: Novatec, 2007.
CEDERJ
333
Aula 10
COBIT 4.1. Control objectives for information and related technology. Illinois: IT
Governance Institute, 2007.
COSO.- Committee of sponsoring organizations. Disponvel em: <http://www.coso.
org/>. Acesso em: 01 nov. 2009.
FERNANDES, A. A., ABREU, V. F. Implantando a governana de TI. 2. ed. Porto
Alegre: Brasport, 2008.
ISACA. Information systems audit and control association. Disponvel em: <http://
www.isaca.org/>. Acesso em: 01 nov. 2009.
ITGI. IT Governance Institute. Disponvel em: <http://www.itgi.org/>. Acesso em: 01
nov. 2009.
LAURINDO, F. J. B. Gesto da tecnologia da informao. So Paulo: Atlas, 2008.
MAGALHES, I. L., PINHEIRO, W. B. Gerenciamento de servios de TI na prtica.
So Paulo: Novatec, 2007.
REZENDE, D. A. Planejamento de sistemas de informao e informtica. 3. ed. So
Paulo: Atlas, 2008.
WEILL, P.; ROSS, W. J. Governana de TI. 2. ed. So Paulo: Makron Books, 2006.
334
CEDERJ
Aula 11
COBIT 4.1. Control objectives for information and related technology. Illinois: IT
Governance Institute, 2007.
COSO.- Committee of sponsoring organizations. Disponvel em: <http://www.coso.
org/>. Acesso em: 01 nov. 2009.
FERNANDES, A. A., ABREU, V. F. Implantando a governana de TI. 2. ed. Porto
Alegre: Brasport, 2008.
ISACA. Information systems audit and control association. Disponvel em: <http://
www.isaca.org/>. Acesso em: 01 nov. 2009.
ITGI. IT Governance Institute. Disponvel em: <http://www.itgi.org/>. Acesso em: 01
nov. 2009.
LAURINDO, F. J. B. Gesto da tecnologia da informao. So Paulo: Atlas, 2008.
MAGALHES, I. L., PINHEIRO, W. B. Gerenciamento de servios de TI na prtica.
So Paulo: Novatec, 2007.
REZENDE, D. A. Planejamento de sistemas de informao e informtica. 3. ed. So
Paulo: Atlas, 2008.
WEILL, P.; ROSS, W. J. Governana de TI. 2. ed. So Paulo: Makron Books, 2006.
Aula 12
CEDERJ
335
ISACA - Information Systems Audit and Control Association. Disponvel em: http://
www.isaca.org/. Acesso em 01 de novembro de 2009.
ITGI - IT Governance Institute. Disponvel em: http://www.itgi.org/. Acesso em 01 de
novembro de 2009.
COSO - Committee of Sponsoring Organizations. Disponvel em: http://www.coso.
org/. Acessado em 30 de dezembro de 2009.
ISO International Organization for Standardization. Disponvel em: http://www.iso.
org/. Acessado em 30 de dezembro de 2009.
PMBOK - Project Management Base of Knowledgement, PMI, USA, 2008. Disponvel
em http://www.pmi.org/. Acessado em 30 de dezembro de 2009.
336
CEDERJ