Escolar Documentos
Profissional Documentos
Cultura Documentos
Livro Governanca de TI
Livro Governanca de TI
para concursos
Volume terico
Sumrio
Sumrio
A Srie de Volumes Tericos
Prefcio
Direitos Autorais
Autores
Canais de Comunicao
11
Princpios de Governana de TI
12
1.1 Governana Corporativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
1.2 Governana de TI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
14
17
17
17
17
18
18
20
21
23
25
25
25
26
26
26
27
27
28
28
29
29
30
30
Sumrio
2.4.3
2.5
2.6
2.7
3
3
www.handbookdeti.com.br
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
. 31
. 31
. 31
. 32
. 33
. 33
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
33
34
34
35
35
36
37
38
39
39
40
40
42
43
43
43
45
48
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
63
63
64
65
66
66
66
67
67
68
68
69
70
70
71
72
72
72
76
76
77
78
Sumrio
3.6
3.7
3.8
3.9
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
4
www.handbookdeti.com.br
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
80
80
83
86
88
90
90
92
94
96
98
100
102
104
106
108
110
110
112
114
116
118
120
122
124
124
126
128
130
132
134
136
138
140
142
144
146
148
150
150
152
154
156
.
.
.
.
.
.
.
.
159
159
160
160
161
Sumrio
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
162
165
170
170
172
173
174
174
175
175
175
178
179
184
185
189
190
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
192
192
193
195
198
199
200
200
201
203
204
204
205
208
209
211
212
213
213
216
218
218
220
4.3
4.4
ndice Remissivo
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
226
5
www.handbookdeti.com.br
6
www.handbookdeti.com.br
Prefcio
Prefcio
Segundo o IT Governance Institute, Governana de TI uma parte integral da Governana
Corporativa e formada pela liderana, estruturas organizacionais e processos que garantem
que a TI sustente e melhore a estratgia das organizaes, permitindo que elas alcancem seus
objetivos. Em termos prticos, a governana de TI engloba a adoo de padres de mercado,
como ITIL, Cobit, CMMI, BSC, entre outros.
Compreender esses padres e ser capaz de implement-los nas organizaes pblicas e privadas tm se tornado requisitos bsicos para os profissionais da rea de TI. Por isso, em quase
todos os concursos pblicos na rea de TI tm sido exigidos conhecimentos de ITIL, Cobit,
entre outros padres de mercado.
Para suprir essa necessidade, o Grupo Handbook de TI preparou este volume, trazendo e
detalhando os principais temas em governana de TI para voc se preparar ainda melhor para
as provas do seu interesse.
Bons estudos,
Grupo Handbook de TI
7
www.handbookdeti.com.br
Direitos Autorais
Direitos Autorais
Este material registrado no Escritrio de Direitos Autorais (EDA) da Fundao Biblioteca
Nacional. Todos os direitos autorais referentes a esta obra so reservados exclusivamente aos
seus autores.
Os autores deste material no probem seu compartilhamento entre amigos e colegas prximos de estudo. Contudo, a reproduo, parcial ou integral, e a disseminao deste material de
forma indiscriminada atravs de qualquer meio, inclusive na Internet, extrapolam os limites
da colaborao. Essa prtica desincentiva o lanamento de novos produtos e enfraquece a comunidade concurseira Handbook de TI.
A srie Handbook de TI Volumes Tericos uma produo independente e contamos com voc
para mant-la sempre viva.
Grupo Handbook de TI
8
www.handbookdeti.com.br
Autores
Autores
O Grupo Handbook de TI garante a alta qualidade do contedo produzido atravs de uma
equipe de autores altamente capacitada, que inclui profissionais de peso que mesclam vasto
conhecimento prtico e acadmico. Na linha de frente da operao e produo do Grupo
Handbook de TI, esto os seguintes profissionais:
Andr Camatta
Andr Camatta Engenheiro de Computao pela Universidade Federal do Esprito Santo,
e atualmente trabalha como Analista de Sistemas no BNDES. Atuou tambm por 2 anos como
Analista de Sistemas da Petrobras, administrando sistemas SAP. Andr tem timos conhecimentos nas reas de programao, desenvolvimento de sistemas e de banco de dados. Andr
um dos fundadores do Grupo Handbook de TI.
Bruno Zanetti
Bruno Engenheiro de Computao e Mestre em Engenharia Eltrica pela Universidade Federal do Esprito Santo. Bruno especialista em computao de alto desempenho, busca e classificao automtica de informaes, e atualmente um integrante do brao acadmico do
Grupo Handbook de TI. Bruno um dos fundadores do Grupo Handbook de TI.
Diogo Gobira
Diogo Gobira Engenheiro de Computao pela Universidade Federal do Esprito Santo, e
atualmente trabalha como Analista de Sistemas no BNDES. Atuou tambm como Analista de
Sistemas na Petrobras por 2 anos, gerenciando projetos corporativos de Segurana da Informao e Integrao de Sistemas. Diogo possui timos conhecimentos em redes, segurana da
informao e integrao de sistemas. Diogo um dos fundadores do Grupo Handbook de TI.
Felipe Thomaz
Felipe Thomaz Engenheiro e Mestre em Computao pela Universidade Federal do Esprito
Santo, sendo especialista nas reas de arquitetura de computadores e sistemas operacionais
e, atualmente, trabalha como Engenheiro de Desenvolvimento de Produto na Embraer. Tem
vasto conhecimento em computao de alto desempenho e pesquisador em diversas reas
de TI. Assim como Bruno, Felipe compe o brao acadmico do Grupo Handbook de TI.
Ricardo Vargas
Ricardo Vargas Engenheiro de Computao e Mestre em Engenharia Eltrica pela Universi-
9
www.handbookdeti.com.br
Autores
dade Federal do Esprito Santo. Atualmente, trabalha como Analista de Sistemas da Petrobras.
Possui vasto conhecimento nas reas de programao e administrao de clusters. No Grupo
Handbook, Ricardo desempenha o papel fundamental de editor, sendo responsvel pela implementao de processos de melhoria contnua nos materiais publicados.
10
www.handbookdeti.com.br
Canais de Comunicao
Canais de Comunicao
O Grupo Handbook de TI disponibiliza diversos canais de comunicao para os concurseiros
de TI.
Loja Handbook de TI
Acesse a nossa loja virtual em http://www.handbookdeti.com.br
Servio de Atendimento
Comunique-se diretamente conosco atravs do e-mail faleconosco@handbookdeti.com.
br
Twitter do Handbook de TI
Acompanhe de perto promoes e lanamentos de produtos pelo nosso Twitter http://
twitter.com/handbookdeti
11
www.handbookdeti.com.br
Captulo 1
Princpios de Governana de TI
1.1
Governana Corporativa
1.2
Governana de TI
A governana corporativa, por sua vez, pode ter derivaes. A Governana Tecnolgica, ou
Governana de TI, uma delas, englobando a gesto tecnolgica e das informaes de forma
alinhada aos objetivos estratgicos das empresas.
Segundo Peter Weill e Jeanne Ross, autores de Governana de TI, em virtude deste forte
alinhamento a estratgia da empresa, uma boa estrutura de governana de TI deve ser capaz
de responder as seguintes questes:
Os investimentos em TI esto gerando retorno para a empresa?
Como garantir o uso e a gesto apropriada dos recursos de TI?
12
www.handbookdeti.com.br
13
www.handbookdeti.com.br
Captulo 2
15
www.handbookdeti.com.br
16
www.handbookdeti.com.br
2.1
Desde os anos 90, ITIL considerada Padro de Fato. Ou seja, o prprio mercado de servios
de TI passou a adotar, sem nenhum tipo de imposio governamental ou algo do gnero, essa
biblioteca e as suas recomendaes de boas prticas. Em relao a padres relacionados ITIL,
podemos citar:
2.1.1
BS 15000
A sigla BS significa British Standard (Padro Britnico). Este foi o primeiro padro elaborado
exclusivamente para gerenciamento de servios de TI, lanado em 2005. Ele descreve um conjunto de processos para uma efetiva entrega de servios ao negcio e aos seus clientes. Ele
composto pelo BS 15000-1 e pelo BS 15000-2.
O primeiro a parte certificvel deste padro. Ou seja, ele que contm a especificao dos
requisitos mnimos a serem cumpridos pelas instituies que buscam estar conformes em relao a este padro. J o BS 15000-2 tido como um documento para as instituies utilizarem
durante as suas preparaes para o processo de certificao dentro do escopo do BS 15000-1.
Assim como a ITIL, o BS 15000-2 tambm traz uma srie de boas prticas para gerenciamento
de servios de TI.
2.1.2
ISO 20000
Em 2006 o padro BS 15000 foi submetido ISO (International Organization for Standardization), dando origem ao ISO 20000. Com isso, de certa forma, o BS 15000 passou a ser um
padro mundial.
Assim como no padro britnico, o ISO 20000 composto por dois volumes: ISO 20000-1
(sucessor do BS 15000-1) e ISO 2000-2 (sucessor do BS 15000-2). As suas ltimas revises se
deram, respectivamente, em 2011 e 2005.
A forma mais fcil de se obter o padro ISO 20000 no prprio website oficial da instituio:
http://www.iso.org. Esse padro completo pode ser adquirido por, aproximadamente,
U$ 300.
2.1.3
COBIT
COBIT um framework para governana de TI. Ele foi elaborado e continua sendo mantido
pela ISACA (Information Systems Audit and Control Association), que foi fundada nos EUA
em 1967. O website oficial da ISACA o www.isaca.org.
O COBIT destinado primordialmente a auditores, sejam eles internos ou externos. Isso
porque ele enfatiza o que pode ser auditado e como isso pode ser feito. Ele no norteia de
forma detalhada os profissionais que operam de fato os processos auditveis.
importante perceber que o COBIT e a ITIL no so publicaes concorrentes, nem mesmo
mutuamente excludentes. Elas podem ser utilizadas em conjunto pela organizao. A ITIL
prov as melhores prticas para o gerenciamento e a melhoria continua dos processos destinados entrega de servios de TI de alta qualidade. J o COBIT prov um guia de como os
17
www.handbookdeti.com.br
2.1.4
CMMI
CMMI (Capability Maturity Model Integration) um modelo de maturidade proprietrio desenvolvido pela Software Engineering Institute (SEI), um rgo da Carnegie Mellon University. Essa universidade fica nos EUA. Ela mantm um website com mais informaes sobre o
CMMI: www.sei.cmu.edu/cmmi.
Apesar do CMMI e da ITIL tratarem de assuntos com vrios pontos de interseo, entendese que eles tambm no so mutuamente excludentes. O CMMI prov as melhores prticas
aplicadas aos processos de desenvolvimento, manuteno e integrao de sistemas computacionais. J a ITIL prov as melhores prticas para o gerenciamento e a melhoria continua dos
processos, mais relacionados infraestrutura de TI (software e hardware), destinados a entrega de servios de TI de alta qualidade.
Perceba, portanto, que enquanto o foco do CMMI auxiliar a organizao a ganhar cada vez
mais competncia e experincia em como desenvolver, manter e integrar sistemas; o foco da
ITIL auxiliar o alinhamento de todos os processos de TI em relao aos processos da rea de
negcio da organizao.
2.2
A sua primeira verso, denominada ITIL Original, durou de 1986 at 1999. Ao longo da sua
existncia, ela chegou a ser composta por cerca de 40 livros. Essa a razo do termo biblioteca.
A sua segunda verso (ITIL V2) durou de 1999 at 2007. O foco principal dessa reviso foi
a consolidao das publicaes anteriores em conjuntos lgicos que agrupam os processos
relacionados aos diferentes aspectos do gerenciamento de TI. O conjunto de Gerenciamento de
Servio de TI (Service Support e Service Delivery) o mais conhecido e aplicado. Contudo,
a biblioteca prov um conjunto de melhores prticas bem mais extenso, que alcana tambm
o gerenciamento estratgico, de operaes e at mesmo financeiro. Os sete principais livros
(volumes) da verso 2 da ITIL so:
Grupo de Gerenciamento de Servio de TI
1. Service Delivery (Entrega de Servio)
2. Service Support (Suporte de Servio)
Grupo de Guias Operacionais
3. ICT Infrastructure Management (Gerenciamento de Infraestrutura de TI e Comunicaes)
4. Security Management (Gerenciamento de Segurana)
5. The Business Perspective (A Perspectiva do Negcio)
6. Application Management (Gerenciamento de Aplicao)
7. Software Asset Management (Gerenciamento de Recursos de Software)
18
www.handbookdeti.com.br
2.3
Como j foi mencionado, a ITIL mantida pela Office for Government Commerce. Essa instituio assegura, em alto nvel, a qualidade da estrutura atual e futura da ITIL. Alm dessa
instituio, h outras envolvidas com o tema de gerenciamento de servios de TI.
APM Group Ltd
Aps o lanamento da verso 3 da ITIL, a OGC responsabilizou o APM Group por definir os
padres dos exames, os provedores de treinamento, os instrutores e os prprios materiais de
treinamento. Alm disso, a APM Group tambm passou a definir as instituies examinadores.
So as instituies examinadores que tm os instrutores e executam de fato os treinamentos e
exames.
Atualmente, h vrias instituies examinadores certificadas:
APMG-International
BCS-ISEB
CERT-IT
CSME
DANSK IT
DF Certifiering AB
EXIN
Loyalist Certification ServicesLoyalist Certification Services
PEOPLECERT Group
20
www.handbookdeti.com.br
2.4
21
www.handbookdeti.com.br
22
www.handbookdeti.com.br
Figura 2.4: relacionamento entre as fases do ciclo de vida de servio e o prprio negcio. Figura retirada do documento itSMF_ITILV3_Intro_Overview.pdf, disponvel em http:
//www.itsmfi.org.
O ciclo de vida inicia a partir de requisies do negcio. Essas requisies so identificadas
e acordadas durante a fase de Service Strategy no chamado Service Level Package (SLP). O
SLP passado como entrada da prxima fase do ciclo (Service Design), onde as solues de
servios e o Service Design Package (SDP) so desenvolvidos. O SDP por sua vez entregue
fase de Service Transition. Nesse ponto o servio avaliado, testado e validado. O Service
Knowledge Management System (SKMS) atualizado e o servio transferido para o ambiente de produo, quando inicia ento a fase de Service Operation. Sempre que possvel, em
qualquer uma das fases do ciclo, a Continual Service Improvement identifica oportunidades
de melhorias dos pontos fracos ou de falha.
2.4.1
O Volume Service Strategy fornece orientaes sobre como projetar, desenvolver e implementar a gesto de servios de TI, no apenas como uma capacidade organizacional, mas tambm
como um ativo estratgico da organizao como um todo. So fornecidas orientaes sobre os
23
www.handbookdeti.com.br
2.4.2
26
www.handbookdeti.com.br
28
www.handbookdeti.com.br
29
www.handbookdeti.com.br
30
www.handbookdeti.com.br
2.4.3
31
www.handbookdeti.com.br
32
www.handbookdeti.com.br
34
www.handbookdeti.com.br
2.4.4
Este volume incorpora as prticas de gesto de operaes de servios de TI. Ele inclui orientaes sobre como alcanar a eficcia e a eficincia na entrega e no suporte de servios, de
modo a garantir o cumprimento dos ANSs estabelecidos e tambm a entrega efetiva de valor
ao cliente por meio de uma adequada prestao de servios.
Os objetivos estratgicos so, em ltima anlise, realizados atravs de operaes de servio,
tornando-se, portanto, numa capacidade crtica. Neste processo, so fornecidas orientaes
sobre formas de manter a estabilidade nas operaes de servios, permitindo mudanas no
design, na escala, no mbito e em nveis de servio.
Organizaes so providas com detalhadas orientaes de processos, mtodos e ferramentas
para uso em duas perspectivas de controle: reativa e pr-ativa. J os gestores e os profissionais
so providos com conhecimentos que lhes permitem tomar melhores decises em reas como
a gesto da disponibilidade dos servios, controle de demanda, otimizao da capacidade utilizada, agendamento de operaes e resoluo de problemas.
As orientaes so fornecidas em apoio s operaes por meio de novos modelos e arquiteturas, tais como: servios compartilhados, computao sob demanda, servios web e comrcio
eletrnico utilizando dispositivos mveis.
A Service Operation composta por 5 processos, que so resumidos a seguir.
Event Management (Gerenciamento de Evento)
A ITIL traz a seguinte definio em relao a eventos. Um evento uma mudana de estado
que tem significncia para o gerenciamento de um item de configurao ou servio de TI..
O Gerenciamento de Evento trata do monitoramento, da deteco, da filtragem, da classificao e do tratamento de todos os eventos que ocorrem na infraestrutura de TI como um todo,
de forma a possibilitar uma operao normal dos seus servios. Este processo tambm prov
mecanismos de notificao a cerca dos servios de TI e dos itens de configurao. Notificaes
essas que incluem informaes operacionais, alertas e erros. De uma maneira geral, tais mecanismos so utilizados para a automatizao de diversas atividades relacionadas a operao de
servios de TI.
A ttulo de exemplificao, podemos citar as seguintes causas de evento:
problema de funcionamento que cause ou possa vir a causar incidentes;
necessidade de execuo de tarefas de produo ou manutenes rotineiras;
restabelecimento de servios.
35
www.handbookdeti.com.br
36
www.handbookdeti.com.br
39
www.handbookdeti.com.br
2.4.5
Este volume fornece orientaes sobre a criao e a manuteno de valor para os clientes por
meio de um melhor design, deployment e operao dos servios de TI. Ele combina os princpios, as prticas e os mtodos de gesto de qualidade, gesto de mudanas e melhoria de
capacidade.
O seu principal foco identificar e garantir que melhorias continuas sejam aplicadas aos
servios, infraestrutura e ao processo de gesto de servios de TI como um todo. A preocupao com os servios se d em qualquer uma das suas fases do ciclo de vida. Este processo
tambm enderea prticas de medio, verificao e gerao de relatrios que comprovem se
as melhorias aplicadas foram adequadas e efetivas.
A Continual Service Improvement composta por 3 processos, que so resumidos a seguir.
The 7 Improvement Process (Processo de Melhoria em 7 Etapas)
De uma maneira geral, este processo levanta questes sobre o que medir e onde encontrar as
informaes a serem medidas de forma a possibilitar implementaes de aes corretivas e
evolutivas.
40
www.handbookdeti.com.br
2.5
A Figura 2.8 apresenta uma viso alto nvel sobre em quais publicaes cada processo da ITIL
V3 explorado. Essa viso engloba todos os 26 processos em ordem alfabtica. As siglas que
aparecem nessa figura dizem respeito aos estgios do ciclo de vida de servio de TI: Service
Strategy (SS), Service Design (SD), Service Transition (ST), Service Operation (SO) e Continual
43
www.handbookdeti.com.br
Figura 2.8: referncias entre os processos e publicaes da ITIL V3. Figura retirada do documento itSMF_ITILV3_Intro_Overview.pdf, disponvel em http://www.itsmfi.org.
44
www.handbookdeti.com.br
2.6
Exames e Qualificaes
No incio deste Captulo, foi frisado que ITIL um conjunto de boas prticas e que, justamente
por isso, ela no estabelece nenhuma relao mnima de requisitos para qualquer tipo de certificao. Muito embora o foco da ITIL no seja certificar organizaes, ela define uma srie
de cursos e exames de qualificao oficiais para os profissionais de TI. Esta Seo descreve de
forma sucinta o esquema de qualificao adotado pela ITIL V3.
importante ter em mente que esse esquema de qualificao dinmico. Informaes especficas e atualizadas podem ser buscadas no prprio website oficial da ITIL (http://www.
itil-officialsite.com).
O atual sistema de qualificao ITIL dividido em 4 nveis: ITIL Foundation, ITIL Intermediate Level, ITIL Expert Level e ITIL Master Qualification. Ao analisar a Figura 2.9, possvel
perceber que boa parte do sistema de qualificao segue a mesma estrutura modular da ITIL
V3. Essa abordagem favorece aos candidatos flexibilidade e foco gradual nas vrias disciplinas
da ITIL.
O esquema funciona no sistema de crditos, onde cada mdulo corresponde a certa quantidade de crditos. Praticamente todas as qualificaes relacionadas a outros frameworks ou
padres que tratam de gerenciamento de servio de TI tambm so reconhecidos no esquema
de qualificao da ITIL. Na prpria Figura 2.9 esto indicados quantos pontos so associados
a qual mdulo ou certificao.
45
www.handbookdeti.com.br
46
www.handbookdeti.com.br
2.7
Ao longo deste Captulo vrias ferramentas e conceitos foram apresentados. Nesta Seo eles
so agrupados e descritos em ordem alfabtica.
A proposta aqui termos uma breve definio das principais ferramentas e conceitos relacionados ITIL. No a inteno deste material cobrir absolutamente todos os conceitos, termos e ferramentas.
Grande parte das definies trazidas nesta Seo so tradues oficiais das prprias publicaes da ITIL V3. Outra parte so tradues livres das publicaes oficiais.
Application Portfolio - Portflio de Aplicativo
Um banco de dados ou documento estruturado usado para gerenciar os aplicativos durante
os seus ciclos de vida. O portflio de aplicativos contm os atributos principais de todos os
aplicativos. O portflio de aplicativo algumas vezes implementado como parte do portflio
de servio ou como parte do Sistema de Gerenciamento de Configurao (SGC).
Availability Plan - Plano de Disponibilidade
Plano que garante que os requisitos de disponibilidade existentes e futuros de servios de
TI possam ser fornecidos com boa relao custo-benefcio.
Baseline - Linha de Base
Refere-se a um instantneo, momento ou retrato que usado como um ponto de referncia.
48
www.handbookdeti.com.br
50
www.handbookdeti.com.br
52
www.handbookdeti.com.br
53
www.handbookdeti.com.br
55
www.handbookdeti.com.br
56
www.handbookdeti.com.br
58
www.handbookdeti.com.br
60
www.handbookdeti.com.br
62
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
Captulo 3
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
informaes necessrias para suportar os objetivos e os requisitos do negcio, utilizando um
conjunto estruturado de processos e recursos de forma eficiente.
Para atingir uma governana efetiva, os executivos exigem que controles sejam implementados pelos gerentes operacionais. Os objetivos de controle do COBIT esto organizados em
processos, proporcionando uma ligao entre os requisitos de Governana, processos e controles.
O COBIT influencia diferentes nveis de usurio numa organizao:
Alta Direo: para obter valor do investimento de TI, balancear riscos e controlar investimentos em um ambiente de TI s vezes imprevisto;
Executivos de Negcios: para assegurar que a gerncia e o controle dos servios de TI
esto funcionando de modo adequado;
Executivos de TI: para prover os servios de TI para suportar a estratgia de negcios de
maneira controlada e gerenciada;
Auditores: prover recomendaes sobre controles internos para os executivos.
Os benefcios de implementar o COBIT como um modelo de governana de TI so:
Um melhor alinhamento baseado no foco do negcio;
Uma viso clara para os executivos sobre o que TI faz;
Uma clara diviso das responsabilidades baseada na orientao para processos;
Aceitao geral por terceiros e rgos reguladores;
Entendimento compreendido entre todas as partes interessadas, baseado em uma linguagem comum;
Cumprimento dos requisitos do COSO (Committe of Sponsoring Organisations of the Treadway Commissions Internal Control - Integrated Framework) para controle do ambiente de
TI.
O COBIT bastante utilizado por empresas de capital aberto para suprir uma deficincia na
lei Sarbanes-Oxley (SOx), pois esta lei requer a avaliao da infraestrutura e das operaes
de TI e do pessoal envolvido. Porm, esta lei no faz meno sobre quais controles precisam
ser estabelecidos dentro da TI para estar em conformidade com o SOx. Ento, como o COBIT fortemente baseado em controles para os processos TI e um modelo independente de
plataforma e tecnologia, as empresas adotam o COBIT para definir os objetivos de controle da
TI, assim ficando em conformidade com a lei SOx.
Este material foi elaborado tendo como principal referncia o Manual do COBIT 4.1, disponvel
em http://www.isaca.org/Knowledge-Center/cobit/Pages/Downloads.aspx. Tambm foi utilizado o livro Implantando a Governana de TI da Estratgia Gesto dos Processos
e Servios - Aguinaldo Aragon Fernandes e Vladimir Ferraz de Abreu.
3.1.1
Evoluo do COBIT
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
Ano
Verso
1996
COBIT 1.0
1998
COBIT 2.0
2000
COBIT 3.0
2002
Lei SOx
2005
COBIT 4.0
2007
COBIT 4.1
Descrio
ISACA (Information Systems Audit and Control Association - www.isaca.org) lana um
conjunto de objetivos de controle para as aplicaes de negcio
Inclui uma ferramenta de suporte implementao e a especificao de alto nvel
Inclui as normas e guias associados a gesto
Lanamento da lei SOx, influenciando diretamente o COBIT
Melhorias dos controles para assegurar a segurana e disponibilidade de ativos de TI na organizao
As principais melhorias em relao verso 4.0
foram nos objetivos de controle
Objetivo Principal
Auditoria
Controle
Gesto
Governana
Governana
Tabela 3.1: apresentao das verses do COBIT de acordo com os respectivos anos de lanamento.
3.1.2
Produtos do COBIT
A Figura 3.1 apresenta no formato de pirmide os produtos do COBIT. Neste diagrama, cada
produto do COBIT est relacionado com perguntas, mostrando onde cada produto oferece suporte.
O produto Board Briefing on IT Governance (2nd Edition) auxilia os executivos a entender o motivos de que a governana importante para a organizao, mostrando as principais questes
e o papel deles em gerenci-las. As Diretrizes de Gerenciamento / Modelo de Maturidade
oferecem suporte na definio de responsabilidades, avaliao de desempenho, benchmark e
deficincias de capacidade. O produto Objetivos de Controle oferece um conjunto de requisitos de alto nvel a serem considerados pelos executivos para controle efetivo de cada Processo
de TI. O produto IT Governance Implementation Guide: Using COBIT and Val IT TM (2nd Edition)
possui um mapa para implementar a governana numa organizao. O produto COBIT Control
Practices: Guidance to Achieve Control Objectives for Successful IT Governance (2nd Edition) explica
os motivos de implementar os controles e como implement-los. O produto IT Assurance Guide:
Using COBIT traz como o COBIT suporta as diversas atividades de avaliao.
65
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
3.2
Conceitos Bsicos
Nesta Seo apresentamos os conceitos bsicos utilizados no COBIT, como Objetivos de Negcios, de TI, de Processo, de Atividade, de Controle; os Critrios de Informao; os Recursos; e
o Controle Interno.
3.2.1
Objetivos
66
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
Objetivos de TI, de Processo e de Atividade
As organizaes utilizam a TI para suportarem as operaes de negcios e por isso investem
grandes quantias de dinheiro na rea de TI. Ento importante que a rea de TI esteja alinhada
com os Objetivos de Negcio da organizao.
Os objetivos so definidos do nvel estratgico para o nvel operacional, isto , de cima para
baixo, de forma que os Objetivos de Negcio determinem os vrios Objetivos de TI (IT Goals),
tornando a TI alinhada com a estratgia da empresa. Uma vez que esses objetivos esto alinhados, eles precisam ser monitorados para garantir que eles esto sendo atingidos.
Um objetivo de TI atingido atravs de um processo ou da interao de vrios processos.
Ou seja, o objetivo de TI define vrios Objetivos de Processo (Process Goals), que por sua vez,
cada objetivo de processo requer vrias atividades, definindo os Objetivos de Atividade (Acitivity Goals).
A Figura 3.2 fornece um exemplo de relacionamento entre os Objetivos de Negcios, de TI,
de Processos e de Atividade.
Figura 3.2: exemplo de relacionamento de objetivos de negcios, de TI, de processo e de atividade. Fonte: ISACA.
Objetivos de Controle
Para garantir uma governana efetiva na organizao, os executivos exigem que controles sejam implementados pelos gerentes operacionais com base em uma metodologia de controles
definida para cada processo de TI. Desta maneira, para cada processo de TI existem os Objetivos de Controle. Assim, o COBIT proporciona uma clara ligao entre os requisitos de
negcio, processos de TI e controle de TI.
Um objetivo de controle (Control Objective) uma declarao do resultado desejado ou de um
propsito a ser atingido com a implementao de um procedimento de controle em um processo em particular. Procedimentos so definidos como parte de processos e entende-se por
procedimento os passos necessrios para executar uma atividade.
A definio de Objetivos de Controle proporciona um completo conjunto de requisitos de alto
nvel para os executivos, permitindo um controle efetivo de cada processo de TI.
67
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
3.2.2
Critrios de Informao
Para atender aos Objetivos de Negcio, as informaes precisam estar adequadas a determinados critrios, os quais o COBIT chama de Requisitos de Negcio, ou necessidades de informao ou Critrios de Informao (Information Criteria). Com base em requisitos de qualidade,
segurana e fiducirios (que revela confiana), os Critrios de Informao so:
Efetividade (Effectiveness): a capacidade de alcanar metas e resultados. Trata a informao como sendo relevante e pertinente para o processo de negcio to bem como a
mesma sendo entrega em tempo, correta, consistente e utilizvel;
Eficincia (Efficiency): a capacidade de produzir o mximo com o mnimo de recurso.
Diz respeito proviso da informao atravs do uso otimizado dos recursos, isto ,
entrega da informao utilizando da melhor forma (mais produtivo e econmico) os recursos na organizao;
Confidencialidade (Confidentiality): diz respeito proteo da informao sigilosa contra
acessos no autorizados;
Integridade (Integrity): relaciona a preciso e a perfeio da informao bem como a sua
validade em conformidade com os valores e expectativas do negcio;
Disponibilidade (Availability): relaciona a informao disponibilizada quando solicitada
pelo processo de negcio hoje e no futuro. Diz respeito tambm proteo dos recursos
necessrios e capacidades associadas;
Conformidade (Compliance): trata do cumprimento das leis, dos regulamentos e dos contratos os quais o processo est sujeito, isto , critrio de negcios imposto bem como
polticas internas;
Confiabilidade (Reliability): relaciona-se com a entrega da informao apropriada para os
executivos para administrar a organizao e para exercer suas responsabilidades fiducirias
e de governana.
Os critrios Efetividade e Eficincia esto relacionado aos requisitos de qualidade; Confidencialidade, Integridade e Disponibilidade esto relacionados aos requisitos de segurana; e Conformidade e Confiabilidade esto relacionados aos requisitos fiducirios.
O COBIT relaciona os Objetivos de Negcio com os objetivos de TI e os Critrios de informao para cada processo de TI.
3.2.3
Recursos de TI
A organizao precisa investir nos recursos necessrios a fim de criar capacidades que atendam aos requisitos de negcio para alcanar o retorno desejado.
Os recursos de TI (IT Resources) identificados no COBIT pode ser definido como:
Aplicativos (Applications): sistemas automatizados para usurios e procedimentos manuais que processam a informao;
Informaes (Information): dados em todas as suas formas, a entrada, o processamento e
a sada fornecida pelo sistema de informao em qualquer formato a ser utilizado pelos
negcios;
68
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
Infraestrutura (instalaes) (Infrastructure): refere-se tecnologia e aos recursos (hardware,
sistemas operacionais, banco de dados, etc..) que possibilitam o processamento de aplicativos;
Pessoas (People): pessoal necessrio para planejar, organizar, adquirir, implementar, entregar, prestar suporte, monitorar e avaliar os sistemas de informao e servios. Eles
podem ser internos, terceirizados ou contratados, de acordo com a necessidade.
Os Recursos de TI utilizando a experincia das pessoas e a infraestrutura tecnolgica e um
conjunto de processos claramente definidos entrega as informaes necessrias para os aplicativos de negcios process-las, aprimorando as informaes de negcios. Esses recursos em
conjunto com os processos constituem a Arquitetura Corporativa de TI.
3.2.4
Crontrole Interno
Conforme a definio no modelo COSO, controle interno Iternal Control um processo desenvolvido para garantir, com razovel certeza, que sejam atingidos os objetivos da organizao,
nas seguintes categorias:
Eficincia e efetividade operacional (objetivos de desempenho ou estratgia) - esta categoria esta relacionada com objetivos bsicos da organizao, inclusive com objetivos e
metas de rentabilidade, bem como da segurana e da qualidade dos ativos;
Confiana nos registros contbeis/financeiros (objetivos de informao) - todas as transaes
devem ser registradas, todos os registros devem refletir transaes reais, registradas pelos valores e enquadramentos corretos;
Conformidade (objetivos de conformidade) - com leis e normas aplicveis entidade e
sua rea de atuao.
O Controle Interno de responsabilidade de toda a organizao e um elemento que compe
o processo de gesto da organizao.
Pelo COSO, o controle interno um processo constitudo por cinco elementos, que esto interrelacionados e presentes em todo o controle interno:
Ambiente de controle - a conscincia de controle da organizao, sua cultura de controle. Ou seja, os funcionrios sabem o que deve ser feito e como fazer;
Avaliao e gerenciamento de riscos - a identificao e anlise dos riscos associados a
no comprimento das metas e objetivos;
Atividade de Controle - so as atividades que quando executadas e tempo de maneira
adequada, permitem a reduo ou administrao dos riscos. As atividades podem ser de
preveno ou deteco;
Informao e Comunicao - esto relacionadas ao fluxo de informao dentro de uma
organizao, em todos os nveis hierrquicos (dos superiores aos inferiores e vice-versa).
Ou seja, as informaes sobre planos, riscos, atividades de controle e desempenho devem
ser transmitidas para toda a organizao e informaes de fontes externas, devem ser
identificadas, capturadas e verificadas;
69
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
Monitoramento - a avaliao dos controles internos para saber se os controles internos
esto sendo efetivos ou no.
O COSO (e outras metodologias similares) geralmente aceito como uma metodologia de
controle interno para corporaes. O COBIT um modelo de controles internos geralmente
aceitos para a rea de TI.
3.3
Caractersticas do COBIT
Com base nas necessidades de Governana de TI (o valor de TI, controlar riscos e informaes),
o COBIT foi criado para ser focado nos negcios, orientado a processos, baseado em controles
e direcionados a medies.
3.3.1
Foco nos negcios o principal tema do COBIT, que visa sempre manter os objetivos da TI
alinhados com os objetivos de negcio de uma organizao.
Para manter o foco nos negcios, o modelo COBIT baseado nos seguintes princpios (vide
Figura 3.3): Informao organizacional, Requisitos de Negcio, Recursos de TI e Processos
de TI. Esses princpios fazem com que a organizao invista, gerencie e controle os Recursos
de TI utilizando um conjunto estruturado de Processos de TI de modo a prover servios que
disponibilizam as informaes para organizao. Essas informaes adequadas a determinados Critrios de Informao e aos Objetivos de Negcios e de TI fornecem uma base para o
estabelecimento dos Requisitos de Negcio da organizao e o desenvolvimento de mtricas,
que permitem avaliar se esses objetivos esto sendo atendidos.
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
Ento, conforme ilustra a Figura 3.4, a estratgia da empresa dever ser traduzida pela rea
de negcios, isto , pelos executivos da organizao em objetivos relacionados s iniciativas
da rea de TI (Objetivos de Negcios para TI), que por sua vez devem levar a uma definio
clara dos prprios objetivos da rea de TI (Objetivos de TI). Com esses objetivos definidos de
forma clara, organizao definir os recursos e capacidades de TI (Arquitetura Corporativa
de TI) necessrias para a rea de TI executar de forma bem sucedida a parte que lhe cabe na
estratgia da empresa. Uma vez os Objetivos de Negcios e de TI alinhados, eles precisam
ser monitorados para garantir que as entregas realizadas pela rea de TI atendam as expectativas da organizao. Isso realizado por mtricas derivadas dos objetivos e capturadas pelo
Scorecard (indicadores) de TI.
3.3.2
Orientado a Processos
Em uma organizao, as tradicionais reas de responsabilidade de TI so planejamento, construo, processamento e monitoramento. Para mapear essas reas, o COBIT promove a organizao das atividades de TI em torno de processos de TI fornecendo um modelo para as
organizaes adotarem e adaptarem conforme necessrio. Um modelo baseado em processos
incentiva a determinao dos proprietrios, facilitando a definio de responsabilidades.
O COBIT define as atividades de TI em um modelo de processos genricos em quatro domnios:
Planejar e Organizar (Plan and Organise), Adquirir e Implementar (Acquire and Implement),
Entregar e Suportar (Deliver and Support) e Monitorar e Avaliar (Monitor and Evaluate). Dentro desses quatro domnios, o COBIT identifica 34 processos de TI.
71
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
3.3.3
Baseado em Controles
No nvel operacional, os gerentes utilizam os processos para organizar e gerenciar as atividades de TI. Como o modelo proposto pelo COBIT organiza as atividades de TI em torno de
processos, para se alcanar uma governana efetiva, controles precisam ser implementados
para todos os processos de TI. Desta maneira, consegue uma ligao clara entre os requisitos
de negcio, processos de TI e controle de TI.
3.3.4
Direcionado a Medies
Uma necessidade bsica de toda organizao entender o status dos seus sistemas de TI e
decidir que nvel de gerenciamento e controle deve adotar. As empresas precisam medir onde
elas esto e onde as melhorias so necessrias. Para lidar com essas questes, o COBIT fornece
Modelos de Maturidade; Objetivos de performance e mtricas para os processos de TI; e Objetivos de Atividade.
3.4
Estrutura
72
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
Com base no princpio bsico, o modelo COBIT est pautado em trs componentes: Processos
de TI, Recursos de TI e Requisitos de Negcio, que formam o cubo do COBIT (vide Figura
3.6). Ou seja, os Recursos de TI esto definidos em Aplicaes, Informaes, Infraestrutura e
Pessoas; os Processos de TI esto divididos em Domnios, que por sua vez esto subdividos
em Processos os quais esto divididos em Atividades; e os Requisitos de Negcios atendem
aos critrios de Efetividade, Eficincia, Confidencialidade, Integridade, Disponibilidade, Conformidade e Confiabilidade.
73
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
74
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
75
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
3.5
Domnios
3.5.1
O domnio Planejar e Organizar preocupa-se com a identificao da forma que a TI pode ser
utilizada de maneira a contribuir com os Objetivos de Negcios. Este domnio preocupa-se
com a ttica e a estratgia da organizao, isto , a estratgia precisa ser planejada, comunicada
e gerenciada por diferentes perspectivas utilizando uma infraestrutura tecnolgica adequada.
Este domnio est divido em 10 processos, os quais so:
PO1 - Definir um Planejamento Estratgico de TI (Define a strategic IT plan): criao de
um plano estratgico e de um plano ttico para a TI de forma a manter a TI alinhada com
as prioridades do negcio;
PO2 - Definir a Arquitetura da Informao (Define the information architecture): definio
de uma arquitetura de informao de modo a integrar as aplicaes nos processos de
negcio e fornecer informaes seguras e confiveis;
76
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
PO3 - Determinar o Direcionamento Tecnolgico (Determine technological direction): elaborao de um plano de infraestrutura tecnolgica para permitir a integrao e padronizao de aplicativos e recursos com uma boa relao de custo benefcio;
PO4 - Definir os Processos, Organizao e os Relacionamentos de TI (Define the IT processes, organisation and relationships): definio de estruturas organizacionais de TI em
uma estrutura de processos de TI com definies claras de papis e de responsabilidade;
PO5 - Gerenciar o Investimento de TI (Manage the IT investment): estabelece e mantm
uma estrutura para gerenciar os investimentos em TI, permitindo uma melhora na relao custo-benefcio da TI e na lucratividade do negcio;
PO6 - Comunicar as Diretrizes e Expectativas da Diretoria (Communicate management aims
and direction): a Direo desenvolve uma estrutura de controles de TI e define, aprova e
comunica polticas por meio de um programa de comunicao contnuo, afim de tornar
as polticas, procedimentos e diretrizes compreensveis em toda a organizao;
PO7 - Gerenciar os Recursos Humanos de TI (Manage IT human resources): definio de
prticas de recrutamento, treinamento, avaliao de desempenho, promoo e desligamento com o objetivo de ter uma fora de trabalho competente e motivada para entregar
os servios de TI para o negcio;
PO8 - Gerenciar a Qualidade (Manage quality): desenvolvimento e manuteno de um sistema de gesto de qualidade que gere requisitos, procedimentos e polticas de qualidade
de forma clara;
PO9 - Avaliar e Gerenciar os Riscos de TI (Assess and manage IT risks): criar e manter uma
estrutura de gesto de riscos na qual exista riscos TI acordados, estratgias de mitigao
e riscos residuais;
PO10 - Gerenciar Projetos (Manage projects): implementar uma estrutura de gesto de
projeto para o gerenciamento dos projetos na rea de TI, assegurando a coordenao e
priorizao dos projetos.
O domnio PO suporta as seguintes dvidas gerenciais:
As estratgias de TI e de negcios esto alinhadas?
A empresa est obtendo um timo uso dos seus recursos?
Todos na organizao entendem os objetivos de TI?
Os riscos de TI so entendidos e esto sendo gerenciados?
A qualidade dos sistemas de TI adequada s necessidades de negcios?
3.5.2
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
AI1 - Identificar Solues Automatizadas (Identify automated solutions): este processo
est relacionado a tomadas de decises entre adquirir ou desenvolver uma aplicao
necessria para que os requisitos de negcio sejam alcanados, mas sempre buscando
automatizar as solues;
AI2 - Adquirir e Manter Software Aplicativo (Acquire and maintain application software):
este processo contempla a disponibilizao de aplicaes alinhadas aos requisitos do
negcio;
AI3 - Adquirir e Manter Infraestrutura de Tecnologia (Acquire and maintain technology
infrastructure): as organizaes precisam ter uma abordagem planejada de aquisio,
manuteno e proteo da infraestrutura alinhada s estratgicas tecnolgicas e prover
ambientes de desenvolvimento e teste;
AI4 - Habilitar Operao e Uso (Enable operation and use): documentos e manuais para
usurios e para a TI so elaborados e treinamentos so promovidos para assegurar a
operao e uso apropriado das aplicaes e infraestrutura de TI;
AI5 - Adquirir Recursos de TI (Procure IT resources): este processo requer a definio e
aplicao de procedimentos de aquisio, seleo de fornecedores, estabelecimento de
arranjos contratuais e a aquisio de fato do modo que os recursos de TI sejam adquiridos;
AI6 - Gerenciar Mudanas (Manage changes): as mudanas (manutenes e correes) na
infraestrutura e nas aplicaes no ambiente de produo devem ser registradas, avaliadas e autorizadas antes da implementao, e depois da implementao elas devem ser
revisadas;
AI7 - Instalar e Homologar Solues e Mudanas (Install and accredit solutions and changes):
para um sistema entrar em produo, necessrio realizar testes, definir instrues de
implantao e migrao, planejar a liberao do sistema e revisar aps a implantao.
O domnio AI trata as seguintes questes:
Os novos projetos fornecero solues que atendam s necessidades de negcios?
Os novos projetos sero entregues no tempo e oramento previstos?
Os novos sistemas ocorreram apropriadamente quando implementado?
As alteraes ocorrero sem afetar as operaes de negcios atuais?
3.5.3
O domnio Entregar e Suportar trata da entrega dos servios solicitados, o que inclui entrega
de servio, gerenciamento da segurana e continuidade, servios de suporte para os usurios
e o gerenciamento de dados e recursos operacionais.
Este domnio est divido em 13 processos, os quais so:
DS1 - Definir e Gerenciar Nveis de Servios (Define and manage service levels): definido
e documentado um acordo para permitir comunicao eficaz entre a Direo de TI e os
clientes de negcio sobre os servios necessrios de TI e os nveis de servio esperado;
78
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
DS2 - Gerenciar Servios de Terceiros (Manage third-party services): este processo requer
uma efetiva gesto da terceirizao a fim de assegurar que os servios prestados por
fornecedores esto satisfazendo os requisitos do negcio;
DS3 - Gerenciar Capacidade e Desempenho (Manage performance and capacity): anlise
crticas de desempenho e da capacidade dos atuais recursos de TI so realizadas com
certa frequncia com o objetivo de gerenciar o desempenho e a capacidades desses recursos;
DS4 - Assegurar Continuidade de Servios (Ensure continuous service): este processo visa
prover a continuidade dos servios de TI essenciais para o negcio afim de minimizar o
impacto de uma interrupo de um servio de TI nos processos crticos de negcio;
DS5 - Assegurar a Segurana dos Servios (Ensure systems security): uma gesto de segurana implementada com objetivo de manter a integridade da informao e proteger os
ativos de TI;
DS6 - Identificar e Alocar Custos (Identify and allocate costs): construo e a operao de
um sistema para capturar, alocar e reportar os custos de TI aos usurios dos servios a
fim de que a organizao tome decises mais embasadas sobre o uso dos servios;
DS7 - Educar e Treinar os Usurios (Educate and train users): neste processo definido
e executado uma estratgia eficaz de treinamento e medio de resultados em cima das
necessidades identificadas de treinamento dos usurios finais e da prpria equipe de TI;
DS8 - Gerenciar a Central de Servio e os Incidentes (Manage service desk and incidents):
implantao de uma central de servios para atendimento a dvidas e problemas de
usurios de TI, tratamento de incidentes, registro, encaminhamento, anlise de tendncia, anlise de causa-raiz e resoluo;
DS9 - Gerenciar a Configurao (Manage the configuration): este processo requer o estabelecimento e manuteno de um repositrio de configurao preciso e completo para
assegurar a integridade das configuraes de hardware e software na organizao;
DS10 - Gerenciar os Problemas (Manage problems): este processo requer uma efetiva gesto
de problemas que identifique e classifique o problema, anlise as causas-raiz, prove
solues, identifica a recomendao de melhorias, realiza a manuteno dos registros
de problemas e revisa a situao das aes corretivas;
DS11 - Gerenciar os Dados (Manage data): definio de uma gesto dos dados que identifique os requisitos de dados, estabelea procedimentos efetivos para controlar mdia,
backups, recuperao de dados e dispensa de mdias;
DS12 - Gerenciar o Ambiente Fsico (Manage the physical environment): neste processo
so definidos requisitos do local fsico, instalaes apropriadas, questes acessos fsicos
e monitoramento dos fatores ambientes a fim de prover instalaes fsicas planejadas e
gerenciadas para a proteo de pessoas e dos equipamentos;
DS13 - Gerenciar as Operaes (Manage operations): este processo requer a definio de
polticas e procedimentos de operaes para a gerncia eficaz de processamentos agendados, proteo de resultados sigilosos, monitoramento de infraestrutura e manuteno
preventiva de hardware.
O domnio DS trata as seguintes questes:
79
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
Os servios de TI esto sendo entregues de acordo com as prioridades de negcios?
Os custos de TI esto otimizados?
A fora de trabalho est habilitada para utilizar os sistemas de TI de maneira produtiva
e segura?
Os aspectos de confidencialidade, integridade e disponibilidade esto sendo contemplados para garantir a segurana da informao
3.5.4
3.6
Controles
Controle pode ser definido como polticas, procedimentos, prticas e estruturas organizacionais elaborados para fornecer uma razovel garantia de que os objetivos de negcio de
uma organizao sejam alcanados e eventos indesejveis sejam prevenidos ou detectados e
corrigidos.
80
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
Um controle efetivo reduz risco, aumenta a probabilidade da entrega de valor e aumenta a
eficincia porque existiro poucos erros e um gerenciamento mais consistente.
O modelo COBIT para o gerenciamento de processos de TI foi desenvolvido com uma nfase forte em controles. Cada processo de TI do COBIT tem um objetivo de controle alto nvel
e um nmero de objetivos de controle detalhados. Os objetivos de controle detalhados so
identificados por dois caracteres do domnio mais o nmero do processo e o nmero do objetivo de controle. Alm dos objetivos de controle detalhados, cada processo do COBIT tem
necessidades de um controle genrico que so identificadas por PCn (Process Control Number). Eles devero ser considerados juntos com os objetivos de controle detalhados para ter a
viso completas das necessidades de controle. Os PCn so:
PC1 - Metas e Objetivos do Processo (Goals and Objectives): define e comunica as metas
e objetivos especficos no tempo apropriado (SMARRT) para efetiva execuo de cada
processo de TI;
PC2 - Propriedade dos Processos (Process Owner): atribui um proprietrio a cada processo
e define claramente os papis e responsabilidades do proprietrio;
PC3 - Repetibilidade dos Processos (Repeatability): elabora e estabelece cada processo
chave de TI de forma que ele possa ser repetido e produza de maneira consistente os
resultados esperados;
PC4 - Papis e Responsabilidades (Roles and Responsibilities): define as atividades chaves
e as entregas do processo; designa e comunica os papis e responsabilidades para uma
efetiva e eficiente execuo das atividades chaves bem com a responsabilidade pelo processo e as entregas;
PC5 - Polticas, Planos e Procedimentos (Policy, Plans and Procedures): define e comunica
como todas as polticas, planos e procedimentos que direcionam os processos de TI so
documentados, revisados, mantidos, aprovados, armazenados, comunicados e utilizados para treinamento. Designa responsabilidades para cada uma dessas atividades e em
momentos apropriados verifica se elas so executadas corretamente. Assegura que as
polticas, planos e procedimentos sejam acessveis, corretos, entendidos e atualizados;
PC6 - Melhoria da Performance do Processo (Process Perfomance): identifica um conjunto
de mtricas que fornecem direcionamento para os resultados e performance dos processos; estabelece metas que refletem nos objetivos dos processos e indicadores de performance que permitem atingir os objetivos dos processos; define como os dados so
obtidos; compara as medies reais com as metas e toma medidas quanto aos desvios
quando necessrio; alinha mtricas, metas e mtodos com o enfoque de monitoramento
de performance geral da TI.
Alm dos controles necessrios, os proprietrios dos processos precisam entender quais entradas eles precisam receber de outros processos e quais processos dependem de seu processo.
O entendimento dos papis e responsabilidades de cada processo essencial para uma efetiva
governana. Para facilitar esse entendimento, o COBIT fornece uma tabela chamada RACI
(vide Seo 1.9) para cada processo.
Alm dos objetivos de controles, o COBIT tambm define os seguintes controles internos: Controle Gerais de TI e Controle de Aplicativos. Os controles gerais de TI so controles nos processos de TI e servios, por exemplo, desenvolvimento de sistemas, gerenciamento de mudanas,
81
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
segurana e operaes de computadores. Os controles de aplicativos so controles inseridos
nos aplicativos de processos de negcios, por exemplo, totalidade, veracidade, validade, autorizao e segregao de funes.
O COBIT considera que o projeto e a implementao dos controles de aplicativos so de responsabilidade da rea de TI. A responsabilidade pelo controle e gerenciamento operacional
dos controles de aplicativos no da rea de TI, mas do proprietrio do processo de negcio,
conforme ilustrado na Figura 3.10. Ou seja, a responsabilidade pelos controles de aplicativos
compartilhada entre as reas de negcios e de TI:
rea de negcio responsvel por definir os requisitos funcionais e de controles; e utilizar os servios automatizados;
rea de TI responsvel por automatizar e implementar os requisitos funcionais e de
controles; e estabelecer controles para manter a integridade dos controles de aplicativos.
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
AC2 Entrada e Coleta de Dados Fontes (Source Data Collection and Entry): estabelece que
a entrada de dados seja executada por pessoal autorizado e qualificado, e no caso de
dados inseridos de forma errada, a correo e o reenvio de no devem comprometer a
autorizao da transao original;
AC3 Testes de Veracidade, Totalidade e Autenticidade (Accuracy, Completeness and Authenticity Checks): assegura que transaes sejam exatas, completas e vlidas;
AC4 Processamento ntegro e Vlido (Processing Integrity and Validity): mantm a integridade e validade dos dados no ciclo de processamento. A deteco de transaes errneas
no interrompe o processamento de transaes vlidas;
AC5 Reviso de Sadas, Reconciliao e Manuseio de Erros (Output Review, Reconciliation
and Error Handling): define procedimentos e responsabilidades para assegurar que sadas
so manuseadas de forma autorizada, entregues ao destinatrios corretos e protegidos
durante a transmisso;
AC6 Autenticao e Integridade das Transaes (Transaction Authentication and Integrity):
assegura que a autenticidade da origem, o endereamento e integridade do contedo so
verificados antes de transportar os dados das transaes entre aplicativos e as funes de
negcios/operacionais.
3.7
Modelo de Maturidade
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
84
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
Nvel
Nome
Descrio
Inexistente
Inicial/Ad hoc
Processo definido
Gerenciado e Mensurvel
Otimizado
85
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
3.8
Medio de Desempenho
Figura 3.12: exemplo de medidas de resultado com os respectivos objetivos. Fonte: ISACA.
As Medidas de Resultado normalmente so expressas em termos de critrios de informao:
Disponibilidade da informao necessria para suportar as necessidades de negcios;
Ausncia de riscos de integridade e confidencialidade;
86
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
Eficincia de custos de processos e operao;
Confirmao de fidedignidade, efetividade e conformidade.
Na mtrica Indicador de Performance, os indicadores so medidos antes que os resultados sejam claros e so chamados de indicadores futuros (lead indicators). Esta mtrica define medidas
que determinam quo bem os negcios ou processos de TI esto sendo executados para permitir que os objetivos sejam atingidos. s vezes, os Indicadores de Performance so chamados
de direcionadores de performance, pois um servio entregue pela TI pode ser um objetivo de
TI e tambm um indicador de performance para o negcio.
As Medidas de Resultados no nvel menor tornam-se Indicadores de Performance para o nvel
maior. Por exemplo, conforme apresentado nas Figuras 3.2 e 3.12, uma Medida de Resultado
indicando que deteco e soluo de um acesso no autorizado (Objetivo de Processo) esto
nas metas ir possivelmente indicar que os servios de TI podem resistir a ataques e se recuperar deles (Objetivo de TI). Esse exemplo mostra que uma Medida de Resultado para um
Objetivo de Processo pode ser um direcionador de performance para um Objetivo de TI. A
Figura 3.13 ilustra direcionadores de performance para os exemplos das Figuras 3.2 e 3.12.
87
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
3.9
Processos
88
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
Entrega de valor: a TI entrega os benefcios previstos na estratgia da organizao,
concentrando-se em otimizar custos e prover valor intrnseco;
Gesto de recursos: melhor utilizao dos investimentos e gerenciamento apropriado
dos recursos crticos de TI;
Gesto de risco: entendimento claro e transparncia dos riscos da empresa e dos requerimentos da empresa e insero do gerenciamento dos riscos nas atividades da empresa;
Mensurao de desempenho: acompanha e monitora a implementao da estratgia,
trmino do projeto, uso dos recursos, processo de performance e entrega dos servios;
No COBIT as reas de Governana so definidas em termos de relacionamento primrio (P) e
secundrio (S) para cada processo.
A matriz RACI indica quem responsvel, responsabilizado, consultado e informado de acordo
com as atividades nos processos de TI. O termo responsabilizado, representado pela letra A,
significa que a responsabilidade deste indivduo, isto , esta a pessoa que d orientaes
e autoriza uma atividade. A responsabilidade, representado pela letra R, atribuda pessoa
que faz com que a tarefa seja executada. O consultado e informado, representado pelas letras C e I respectivamente, asseguram que todos que precisam sero envolvidos e suportam o
processo. As seguintes responsabilidades so mapeadas na matriz RACI:
Chief executive officer (CEO);
Chief financial officer (CFO);
Executivo de Negcio;
Chief information officer (CIO);
Proprietrio do Processo de Negcio;
Chefe de Operaes;
Responsvel por Arquitetura;
Responsvel por Desenvolvimento;
Responsvel pela Administrao de TI (nas grandes empresas, o responsvel por funes
como recursos humanos, oramentos e controles internos);
Project management officer (PMO) ou funo equivalente;
Conformidade, auditoria, riscos e segurana (grupos como responsabilidades por controles mas no de operaes de TI);
Ao estudar os processos do COBIT tenha sempre em mente que o COBIT concentra-se no que
deve ser obtido e no como atingir uma governana efetiva.
Vale lembrar que as entradas, as sadas, as responsabilidades, as mtricas e os objetivos definidas
no COBIT so ilustrativos e no uma receita completa ou exaustiva. Eles fornecem uma base
de conhecimento a partir da qual cada organizao deve selecionar o que se aplica de maneira
eficiente e eficaz considerando-se a estratgia, os objetivos e as polticas da organizao.
89
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
3.9.1
Planejar e Organizar
90
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
Nmero
Nome
PO1.1
Gerenciamento de Valor da TI
PO1.2
PO1.3
PO1.4
Plano Estratgico de TI
PO1.5
Planos Tticos de TI
PO1.6
Gerenciamento do Portflio de TI
91
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
Nvel
Descrio
1
2
3
4
92
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
93
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
Nmero
Nome
PO2.1
PO2.2
PO2.3
PO2.4
Gerenciamento de Integridade
94
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
95
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
Nmero
Nome
PO3.1
PO3.2
PO3.3
PO3.4
Padres Tecnolgicos
PO3.5
Conselho de Arquitetura de TI
96
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
97
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
Nmero
Nome
PO4.1
Estrutura de Processos de TI
PO4.2
Comit Estratgico de TI
PO4.3
Comit Executivo de TI
PO4.4
PO4.5
Estrutura Organizacional de TI
PO4.6
PO4.7
PO4.8
PO4.9
PO4.10
Superviso
PO4.11
Segregao de Funes
PO4.12
Recrutamento de pessoal de TI
PO4.13
Pessoal Chave de TI
PO4.14
PO4.15
Relacionamentos
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
Os Requisitos de Negcio, os Recursos de TI e as reas foco da Governana so mostrados na
Figura 3.19 (a), (b) e (c), respectivamente.
99
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
Nmero
Nome
PO5.1
PO5.2
PO5.3
Processo de Oramento de TI
PO5.4
Gerenciamento de Custo
PO5.5
Gerenciamento de Benefcios
100
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
101
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
Nmero
Nome
PO6.1
PO6.2
PO6.3
Gerenciamento de Polticas de TI
PO6.4
Distribuio da Poltica
PO6.5
102
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
103
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
Nmero
Nome
PO7.1
PO7.2
Competncias Pessoais
PO7.3
Preenchimento de Vagas
PO7.4
Treinamento do Pessoal
PO7.5
Dependncia de Indivduos
PO7.6
PO7.7
PO7.8
104
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
105
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
Nmero
Nome
PO8.1
PO8.2
PO8.3
PO8.4
Foco no Cliente
PO8.5
Melhoria Contnua
PO8.6
106
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
107
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
Nmero
Nome
PO9.1
PO9.2
PO9.3
Identificao de Eventos
PO9.4
Avaliao de Risco
PO9.5
Resposta ao Risco
PO9.6
108
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
109
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
Nmero
Nome
PO10.1
PO10.2
PO10.3
PO10.4
PO10.5
PO10.6
PO10.6
PO10.6
Recursos do Projeto
PO10.6
PO10.6
PO10.6
PO10.6
PO10.6
PO10.6
Concluso do Projeto
3.9.2
Adquirir e Implementar
110
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
Os Requisitos de Negcio, os Recursos de TI e as reas foco da Governana so mostrados na
Figura 3.25 (a), (b) e (c), respectivamente.
111
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
Nmero
Nome
AI1.1
AI1.2
AI1.3
AI1.4
112
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
113
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
Nmero
Nome
AI2.1
AI2.2
Projeto Detalhado
AI2.3
AI2.4
AI2.5
AI2.6
AI2.7
AI2.8
AI2.9
AI2.10
114
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
115
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
Nmero
Nome
AI3.1
AI3.2
AI3.3
Manuteno da Infraestrutura
AI3.4
116
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
117
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
Nmero
Nome
AI4.1
AI4.2
AI4.3
AI4.4
118
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
119
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
Nmero
Nome
AI5.1
Controle de Aquisio
AI5.2
AI5.3
Seleo de Fornecedores
AI5.4
Aquisio de Recursos de TI
120
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
121
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
Nmero
Nome
AI6.1
AI6.2
AI6.3
Mudanas de Emergncia
AI6.4
AI6.5
122
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
123
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
Nmero
Nome
AI7.1
Treinamento
AI7.2
Plano de Teste
AI7.3
Plano de Implementao
AI7.4
Ambiente de Testes
AI7.5
AI7.6
Teste de Mudana
AI7.7
AI7.8
AI7.9
Reviso ps-implementao
3.9.3
Entregar e Suportar
124
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
125
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
Nmero
Nome
DS1.1
DS1.2
Definio de Servios
DS1.3
DS1.4
DS1.5
DS1.6
126
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
127
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
Nmero
Nome
DS2.1
DS2.2
DS2.3
DS2.4
128
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
129
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
Nmero
Nome
DS3.1
DS3.2
DS3.3
DS3.4
Disponibilidade de Recursos de TI
DS3.5
Monitoramento e Relatrios
130
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
131
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
Nmero
Nome
DS4.1
Estrutura de Continuidade
DS4.2
Planos de Continuidade de TI
DS4.3
Recursos Crticos de TI
DS4.4
DS4.5
DS4.6
DS4.7
DS4.8
DS4.9
DS4.10
132
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
133
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
Nmero
Nome
DS5.1
Gesto da Segurana de TI
DS5.2
Plano de Segurana de TI
DS5.3
Gesto de Identidade
DS5.4
DS5.5
DS5.6
DS5.7
DS5.8
DS5.9
DS5.10
Segurana de Rede
DS5.11
134
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
135
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
Nmero
Nome
DS6.1
Definio de Servios
DS6.2
Contabilidade de TI
DS6.3
DS6.4
136
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
137
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
Nmero
Nome
DS7.1
DS7.2
DS7.3
138
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
139
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
Nmero
Nome
DS8.1
Central de Servio
DS8.2
DS8.3
Escalonamento de Incidentes
DS8.4
Encerramento de Incidente
DS8.5
140
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
141
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
Nmero
Nome
DS9.1
DS9.2
DS9.3
142
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
143
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
Nmero
Nome
DS10.1
DS10.2
DS10.3
Encerramento do Problema
DS10.4
144
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
145
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
Nmero
Nome
DS11.1
DS11.2
DS11.3
DS11.4
DS11.5
Backup e Restaurao
DS11.6
146
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
147
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
Nmero
Nome
DS12.1
DS12.2
DS12.3
Acesso Fsico
DS12.4
DS12.5
148
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
149
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
Nmero
Nome
DS13.1
DS13.2
Agendamento de Jobs
DS13.3
Monitoramento da Infraestrutura de TI
DS13.4
DS13.5
3.9.4
Monitorar e Avaliar
150
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
151
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
Nmero
Nome
ME1.1
Abordagem de Monitoramento
ME1.2
ME1.3
Mtodo de Monitoramento
ME1.4
Avaliao de Desempenho
ME1.5
ME1.6
Aes Corretivas
152
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
153
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
Nmero
Nome
ME2.1
ME2.2
Reviso Gerencial
ME2.3
ME2.4
ME2.5
ME2.6
ME2.7
Aes Corretivas
154
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
155
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
Nmero
Nome
ME3.2
ME3.3
ME3.4
Assegurar a Conformidade
ME3.5
Informes Integrados
ME3.1
156
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
157
www.handbookdeti.com.br
Captulo 3. COBIT 4.1 - Control Objectives for Information and related Technology
Nmero
Nome
ME4.1
ME4.2
Alinhamento Estratgico
ME4.3
Entrega de Valor
ME4.4
Gerenciamento de Recursos
ME4.5
Gesto de Riscos
ME4.6
Medio de Desempenho
ME4.7
Avaliao Independente
158
www.handbookdeti.com.br
Captulo 4
Conceitos Bsicos
159
www.handbookdeti.com.br
4.2
4.2.1
Normas da ISO
ISO 9000:2000
As normas publicadas pela Organizao Internacional de Normalizao (International Organization for Standardization), a ISO, tm uma grande aceitao no mercado. Um exemplo
disso a norma ISO 9001:2000, que trata da Gesto da Qualidade, considerada como a mais
difundida norma de qualidade do mundo.
As normas da famlia NBR ISO 9000:2000 foram desenvolvidas para apoiar organizaes de
todos os tipos e tamanhos, no somente as de software, nas atividades de implementao e na
operao de sistemas de gesto da qualidade.
A norma ISO 9000 apresenta a plataforma bsica dos sistemas de gesto da qualidade que
constituem o objeto da famlia NBR ISO 9000.
A famlia NBR ISO 9000 composta de uma srie de normas, sendo a ISO 9001 a mais completa, abrangendo todo o ciclo de vida de um produto ou servio, cobrindo os requisitos para
a garantia da qualidade em projetos, desenvolvimento, produo, instalao e servios associados.
Os princpios bsicos da famlia ISO 9000:2000 baseada na experincia de vrias organizaes e so listadas abaixo:
160
www.handbookdeti.com.br
4.2.2
ISO 9001:2000
O sistema de gesto da qualidade de uma empresa deve possuir um conjunto de diretrizes que
permite aos clientes avaliarem a capacidade da organizao em fornecer produtos e servios,
que atendam aos requisitos especificados de forma consistente, fornecendo ainda uma estrutura para melhoria contnua do desempenho da organizao. A ISO 9001 define o padro no
s para sistemas de gesto da qualidade, mas para sistemas de gesto em geral. Ela a norma
de qualidade mais difundida, sendo utilizada, atualmente, por mais de 750 mil organizaes
em 161 pases.
A ISO 9001 adequada para qualquer organizao independente do seu porte ou setor. Entretanto, as companhias que esto preparadas para implement-la em toda a organizao, ao
invs de faz-lo em localidades especficas, tendem a conseguir resultados mais eficientes.
A norma ISO 9001:2000 exige a elaborao de seis procedimentos: Controle de Documentos, Controle de Registros, Auditoria Interna, Controle da No-Conformidade de Produtos,
Ao Corretiva e Ao Preventiva.
A existncia de procedimentos, instrues e registros de trabalho formalizam todas as atividades que afetam a qualidade. Isso exige a participao de todos os indivduos da organizao, aumentando o comprometimento com a qualidade, uma vez que todos participam diretamente da implementao do sistema da qualidade. A Figura 4.1 uma representao grfica
da norma ISO 9001:2000.
161
www.handbookdeti.com.br
4.2.3
ISO/IEC 12207
Na dcada de 90, houve uma grande preocupao com modelagem e melhorias no processo
de software. Para tratar o tema, entre as iniciativas abordadas, foi criada a norma internacional
ISO/IEC 12207 Tecnologia da Informao Processos de Ciclo de Vida de Software, que
foi publicada em agosto de 1995. A verso brasileira foi encaminhada para votao na ABNT
em junho de 1997 e publicada em 1998.
A norma ISO/IEC 12207 possui o objetivo de fornecer uma estrutura nica para ser executada
durante os processos de aquisio, fornecimento, operao, desenvolvimento e manuteno
de software, utilizando uma linguagem comum.
Essa estrutura nica serve como referncia no desenvolvimento de produtos e servios de
software, abordando a sistematizao e a gesto dos processos de apoio ao ciclo de vida do
software. No entanto, os seguintes elementos ficam fora do escopo da norma: detalhes de
implementao, detalhes de documentao, definio do modelo de ciclo de vida e o mtodo
de desenvolvimento de software. Alm disso, a norma internacional ISO/IEC 12207 no
passvel de certificao, funcionando apenas como um referencial de mercado.
O pblico alvo da norma so compradores, fornecedores, operadores, desenvolvedores, mantenedores, gerentes, profissionais de qualidade e usurios. Entre as suas aplicaes esto:
Aquisio de sistemas e produtos ou servios de software;
fornecimento, desenvolvimento, operao e manuteno de software;
relaes contratuais entre as partes envolvidas em um projeto de software.
A arquitetura da norma ISO/IEC 12207 composta por processos, atividades e tarefas. Possui
a vantagem de ser flexvel, modular e adaptvel s necessidades da organizao que deseja
162
www.handbookdeti.com.br
163
www.handbookdeti.com.br
164
www.handbookdeti.com.br
4.2.4
165
www.handbookdeti.com.br
Figura 4.4: ISO 15504-2 define os nveis de capacidade e os requisitos para os modelos e mtodos de avaliao.
Os nveis de capacidade do ISO/IEC 15504 so descritos na Figura 4.5 e so baseados nos
nveis de capacidade do SW-CMM.
167
www.handbookdeti.com.br
168
www.handbookdeti.com.br
169
www.handbookdeti.com.br
4.3
4.3.1
CMMI
Histrico e Objetivos do CMMI
Um modelo de maturidade uma coleo bem estruturada de elementos cujo objetivo descrever determinados aspectos da maturidade de uma organizao.
Em 1986, deu-se incio a um modelo de capacitao de processos de software, conhecido como
SW-CMM, desenvolvido pelo SEI (Software Engineering Institute Carnegie Mellon University) e patrocinado pelo Departamento de Defesa Americano (DoD). A verso 1.0 foi publicada em agosto de 1991. E j em fevereiro de 1993, foi publicada a verso 1.1. Este modelo
no contemplava outras reas importantes das organizaes, tais como Recursos Humanos e
Engenharia de Sistemas, pois era especfico para a rea de software.
Desde o incio, o SW-CMM descrevia os princpios e prticas que formam a base da maturidade
do processo de software, tendo por objetivo auxiliar as organizaes de software a melhorar
a maturidade de seus processos em termos de um caminho evolutivo partindo de processos
caticos e eventuais em direo a processos de software maduros e disciplinados. Neste contexto, o SW-CMM no pode ser classificado como uma metodologia, j que indica apenas o que
deve ser efeito para alcanar a maturidade dos processos, sem indicar como efetuar as atividades necessrias para atingir esse intento. Ou seja, ele no descreve processo algum, apenas
orienta.
170
www.handbookdeti.com.br
4.3.2
4.3.3
Representao Contnua
173
www.handbookdeti.com.br
4.3.4
Representao em Estgios
175
www.handbookdeti.com.br
4.3.5
Figura 4.9: na representao contnua, cada rea de processo pode se localizar em um nvel de
capacidade.
Por outro lado, a representao por estgios possui as seguintes vantagens:
Fornece uma rota de implementao por meio de: grupos de rea de processo e implementao em sequncia;
Progride por um caminho pr-definido e comprovado de nveis sucessivos, cada um
servindo de base para o prximo.
Estrutura herdada do SW-CMM, facilitando a vida de quem vem dessa rea;
Habilidade de gerenciar processos ao longo da organizao.
Em uma avaliao, atribui um nvel de maturidade em que a organizao se encontra,
permitindo, assim, comparar organizaes de forma direta.
178
www.handbookdeti.com.br
Figura 4.10: na representao por estgios, todas as reas de processos de determinado nvel
de maturidade devem ser satisfeitas.
4.3.6
Constelaes
A partir da verso 1.2, foi criado o conceito de constelaes. Constelao uma coleo de
componentes que inclui modelo, material de treinamento e documentos de avaliao para uma
rea de interesse.
Na verso 1.3, so trs as constelaes: desenvolvimento (CMM for Development); servios
(CMM for Services) e aquisio (CMM for Acquisition). Os componentes includos em uma
determinada constelao dependem do seu propsito.
O CMMI para Desenvolvimento (CMMI-DEV) um modelo de maturidade destinado ao desenvolvimento de produtos e servios, e composto pelas melhores prticas associadas a atividades de desenvolvimento e de manuteno que cobrem o ciclo de vida do produto desde a
concepo at a entrega e manuteno.
Os setores que mais utilizam o CMMI-DEV so os setores de software, bancrio, aeroespacial, hardware de computador, defesa, indstria automobilstica entre outros.
O CMMI para Servios (CMMI-SVC) um modelo de referncia CMMI que cobre as atividades de prestao e gesto de servios de qualquer natureza. Organizaes de setores importantes como sistema financeiro, telecomunicaes, hotelaria so o pblico-alvo do CMMI para
Servios.
O CMMI para Aquisio (CMMI-ACQ) um modelo de referncia CMMI que cobre as atividades de aquisio de desenvolvimento de produtos e de prestao de servios. O modelo
CMMI for Acquisition engloba, alm das prticas comuns, prticas especficas tais como as de
aquisio e de gesto de fornecedores.
O CMMI Model Foundation (CMF) fornece um conjunto consistente de componentes que
deve estar presente em qualquer modelo CMMI. Ou seja, engloba os componentes que esto
envolvidos com as reas de Processos aplicveis em qualquer propsito, seja ele de desenvolvimento, de servios ou de aquisio.
179
www.handbookdeti.com.br
180
www.handbookdeti.com.br
181
www.handbookdeti.com.br
182
www.handbookdeti.com.br
183
www.handbookdeti.com.br
4.4
MPS.Br
Um dos principais problemas para a adeso do CMMI nas empresas brasileiras o alto custo
para a realizao das avaliaes do modelo para obter a certificao. Geralmente o custo fica
entre 200 mil reais e um milho de reais dependendo da complexidade do processo. Alm
disso, para se chegar a um nvel de maturidade mais alto gasta-se em mdia de 4 a 8 anos.
Essas dificuldades contrastam com a realidade das empresas brasileiras.
Devido a essas dificuldades, foi criada uma parceria entre a Softex (Associao para Promoo
da Excelncia do Software Brasileiro), o governo e as universidades. Assim, surgiu o projeto
MPS.Br (melhoria de processo de software brasileiro), que a soluo brasileira compatvel
com o modelo CMMI e em conformidade com as normas ISO/IEC 12207 e 15504, alm de ser
adaptada ao mercado brasileiro.
Embora tenha sido criado com o mesmo propsito que o CMMI, o foco de atuao dos modelos so diferentes. O MPS.Br foi criado em funo das mdias e pequenas empresas, enquanto
o CMMI possui um foco global e mais voltado para as empresas de grande porte.
Abaixo, um breve histrico do desenvolvimento do MPS.Br:
Dezembro de 2003: Incio do programa mobilizador;
Maio de 2005: lanada verso 1.0;
Maio de 2006: lanada verso 1.1;
Junho de 2007: lanada verso 1.2;
Junho de 2009: lanada verso :2009;
Junho de 2011: lanada verso :2011.
O MPS.Br dividido em 3 componentes:
MR-MPS Modelo de referncia para melhoria do processo de software;
MA-MPS Mtodo de avaliao para melhoria do processo de software;
MN-MPS Modelo de negcio para melhoria do processo de software.
Na Figura 4.15, podemos identificar a estrutura do modelo MPS.Br:
O Guia Geral do MPS.Br descreve o Modelo de Referncia para Melhoria do Processo de
Software (MR-MPS) e fornece uma viso geral sobre os demais guias que apoiam os processos
de avaliao e de aquisio.
O Guia de Aquisio do MPS.Br descreve um processo de aquisio de software e servios
correlatos. Apoia organizaes que desejem adquirir produtos e servios possuindo como base
o MR-MPS.
O Guia de Avaliao do MPS.Br descreve o processo e o mtodo de avaliao MA-MPS, os
requisitos para avaliadores lderes, avaliadores adjuntos e Instituies Avaliadoras (IA).
O Guia de Implementao do MPS.Br uma srie de onze documentos que fornecem orientaes para implementar os nveis de maturidade descritos no Modelo de Referncia MR-MPS.
184
www.handbookdeti.com.br
4.4.1
MR-MPS
Segundo o Guia Geral do MPS.Br: O modelo de referncia MR-MPS contm os requisitos que
os processos das unidades organizacionais devem atender para estar em conformidade com
o MR-MPS. Ele contm as definies dos nveis de maturidade, processos e atributos do processo. Alm disso, o guia cita que o MR-MPS est em conformidade com os requisitos da
Norma Internacional ISO/IEC 15504-2.
O MPS.Br apresenta sete nveis de maturidade, conforme Figura 4.16, e so eles: A (Em Otimizao), B (Gerenciado Quantitativamente), C (Definido), D (Largamente Definido), E (Parcialmente Definido), F (Gerenciado) e G (Parcialmente Gerenciado).
Para alcanar um nvel de maturidade, necessrio que os atributos dos processos (AP), dos
processos do nvel correspondente, tenham seus resultados esperados atingidos. A possibilidade de se realizar avaliaes com mais nveis permite uma visibilidade dos resultados de
melhoria de processos em prazos mais curtos. A Figura 4.17 apresenta uma comparao entre
os nveis de maturidade do MPS.Br e do CMMI. Em ambos os casos, os nveis so acumulativos, ou seja, se a organizao est no nvel F, ela atende os resultados esperados de todos os
processos dos nveis G e F.
A capacidade do processo expressa o grau de refinamento e institucionalizao com que o
processo executado, ou seja, est relacionada com o atendimento dos atributos associados
aos processos de cada nvel de maturidade. Os diferentes nveis de capacidade dos processos
so descritos por nove Atributos de Processo (APs) em acordo com a ISO/IEC 15504-2, so
eles: AP 1.1 (O processo executado), AP 2.1 (O processo gerenciado), AP 2.2 (Os produtos
de trabalho do processo so gerenciados), AP 3.1 (O processo definido), AP 3.2 (O processo
est implementado), AP 4.1 (O processo medido), AP 4.2 (O processo controlado), AP 5.1
(O processo objeto de melhorias incrementais e inovaes) e AP 5.2 (O processo otimizado
continuamente). Nas Figuras 4.18 e 4.19 so listados os processos e atributos de processos em
cada um dos nveis de maturidade descritos no Guia Geral.
185
www.handbookdeti.com.br
186
www.handbookdeti.com.br
Figura 4.17: comparao entre os nveis de maturidade do MPS.Br:2009 e do CMMI for Development 1.2.
187
www.handbookdeti.com.br
188
www.handbookdeti.com.br
4.4.2
MA-MPS
189
www.handbookdeti.com.br
4.4.3
MN-MPS
Segundo o Guia Geral, o Modelo de Negcio MN-MPS descreve regras de negcio para implementao do MR-MPS pelas Instituies Implementadoras (II), avaliao seguindo o MAMPS pelas Instituies Avaliadoras (IA), organizao de grupos de empresas pelas Instituies
Organizadoras de Grupos de Empresas (IOGE) para implementao do MR-MPS e avaliao
MA-MPS, certificao de Consultores de Aquisio (CA) e programas anuais de treinamento
do MPS.BR por meio de cursos, provas e workshops.
Ou seja, o MN-MPS descreve as relaes de negcios que envolvem as atividades de difuso
do MPS.Br com a orquestrao da Softex (Associao para Promoo da Excelncia do Software Brasileiro), um sistema de empresas que rene mais de 1600 empresas de todo o territrio
nacional e integrado com uma ampla rede de agentes regionais. A Figura 4.20 apresenta um
organograma do modelo de negcio.
190
www.handbookdeti.com.br
191
www.handbookdeti.com.br
Captulo 5
Arquitetura Corporativa
5.1.1
Framework Zachman
Para construir uma casa, precisamos de diversas plantas de arquitetura, por exemplo: eltrica,
hidrulica e estrutura. Alm do mais, seria ideal que cada uma dessas plantas fosse voltada
a cada um de seus pblicos, por exemplo: os engenheiros envolvidos, o mestre de obras, o
cliente que encomendou a casa e a prefeitura que vai liberar o Habite-se. Zachman enxergou
que, com as organizaes, as necessidades no so diferentes.
O framework Zachman representado, principalmente, por uma tabela bidimensional onde
constam 36 clulas (6 linhas x 6 colunas). As colunas correspondem s clssicas perguntas
5W1H (What/Who/Where/When/Why/How), que so voltadas organizao e detalhadas
a seguir:
What: Qual informao necessria para organizao? Normalmente, so as informaes mantidas pela organizao.
How: De que maneira funciona a organizao? Como seus dados so processados? Ou
seja, quais so os processos e como eles funcionam?
Where: Onde as tarefas da organizao so executadas? Basicamente, so informaes
geogrficas (localizao).
Who: Quem so as pessoas que pertencem organizao e quais os seu papis? Engloba
informaes sobre pessoas e estruturas organizacionais.
When: Quando ocorrem as atividades?
Why: Qual o motivo da execuo dessas atividades? Permeia as motivaes da organizao como, por exemplo, resultantes de seu plano estratgico.
As linhas da tabela representam os pontos de vista e nveis de detalhe da informao:
A primeira linha representa o escopo e o contexto. Basicamente, so informaes de mais
alto nvel necessrias para a realizao de um planejamento estratgico da organizao,
por exemplo.
A segunda linha representa os conceitos de negcio. a viso do lder executivo e com
descrio tipicamente detalhada no nvel de processos de negcio.
A terceira linha representa informaes sobre os sistemas de informao em um nvel
compatvel com a viso dos arquitetos de sistemas.
A quarta linha representa informaes sobre a infraestrutura tecnolgica da organizao.
Basicamente, a viso dos engenheiros enquanto construtores.
A quinta linha representa a descrio dos componentes utilizados pela a organizao
para operar. a viso dos tcnicos que vo implementar os sistemas.
193
www.handbookdeti.com.br
5.1.2
O The Open Group Architecture Framework (TOGAF) um framework para o desenvolvimento de uma arquitetura corporativa e foi desenvolvido pelos mesmbros do Open Group. A
verso 1 foi lanada em 1995 e se baseou no Technical Architecture Framework for Information
Management (TAFIM), inicialmente desenvolvido pelo Departamento de Defesa Americano.
O TOGAF nos permite criar, avaliar e construir a arquitetura correta para nossa organizao.
A Figura 5.2 representa a viso de uma arquitetura corporativa segundo o TOGAF.
196
www.handbookdeti.com.br
Figura 5.4: Architecture Development Method (ADM) do TOGAF. Imagem retirada de http:
//msdn.microsoft.com/pt-br/library/bb466232.aspx.
197
www.handbookdeti.com.br
5.1.3
Federal Enterprise Architecture (FEA) a mais completa de todas as metodologias para se criar
uma arquitetura corporativa. Entretanto, ela ainda est em fase inicial, visto que a maior parte
dos seus itens est disponvel desde 2006, apenas. FEA possui uma taxonomia abrangente,
como Zachman, e um processo arquitetural, como o TOGAF. Ela foi concebida para abranger
tudo o que necessrio para a construo de uma arquitetura corporativa para o governo
norte-americano.
Um Segmento de rea de Misso Central aquele segmento que fundamental para a misso da empresa. Ou seja, o segmento da rea-fim da empresa. Um Segmento de Servios do
Negcio engloba atividades que so essenciais, mas que no fazem parte do negcio principal. Por exemplo, o servio de gerncia financeira essencial em qualquer empresa. Servio
corporativo um servio que trabalha de maneira unificada em todas as sees da empresa,
por exemplo: o servio de gerenciamento de segurana. Na Figura 5.5 podemos notar a organizao dos segmentos do governo federal dos EUA.
Figura 5.5: mapa segmentado do governo federal dos EUA. Imagem retirada de http://
msdn.microsoft.com/pt-br/library/bb466232.aspx.
198
www.handbookdeti.com.br
5.1.4
Metodologia Gartner
5.2
Marcos de Regulao
Os marcos de regulao so leis, acordos e tratados governamentais que representam restries ao negcio da organizao. O termo compliance tambm utilizado para descrever a
aderncia a esses marcos de regulao.
5.2.1
Foreign Corrupt Practices Act of 1977 (FCPA) uma lei pioneira em relao ao combate a corrupo. Foi promulgada em 1977 e motivada por um escndalo de corrupo conhecido como
Caso Watergate.
A FCPA criou sanes penais e cveis para empregados, administradores e representantes de
empresas que pratiquem atos de corrupo no estrangeiro, quer realizados diretamente pelas
matrizes das empresas americanas ou por suas subsidirias em qualquer pas.
As subsidirias de multinacionais americanas esto sujeitas FCPA tanto quanto suas matrizes. Assim, sob a FCPA, uma empresa no pode dar, oferecer, prometer ou autorizar que
se d qualquer coisa de valor a uma autoridade estrangeira, quer diretamente ou por meio de
intermedirio, tal como um agente, procurador ou advogado, a fim de influenciar a ao do
funcionrio para obter vantagens imprprias.
O que faz com que a FCPA tenha um grande impacto na prtica que ela responsabiliza a
empresa por atos praticados por terceiros que ajam em nome dela. E, na aplicao da FCPA,
as autoridades americanas no admitem o argumento de que a empresa desconhecia a ao do
terceiro. Para evitar essa situao, as empresas devem se assegurar que seus agentes cumpram
o que est estabelecido na lei. comum a realizao de Due Diligence para investigar as
atividades e a reputao de terceiros que tenham ou que possam vir a ter relaes com a empresa.
Alm disso, as empresas sob o FCPA so obrigadas a manter sistemas de controle que ofeream garantias de que as transaes sero registradas em conformidade com os princpios
contbeis. Em vista disso, os auditores independentes do AICPA (American Institute of Certified
Public Accountants) pregam que a administrao deve estabelecer uma estrutura de controle
interna composta por trs elementos: Ambiente de Controle, Sistema Contbil e Procedimento
de Controle. No sentido de desenvolver uma definio comum de controle interno com diretrizes processuais, criou-se o COSO, Comit das Organizaes Patrocinadoras. O COSO foi
responsvel pelo desenvolvimento de um dos mais importantes modelos de controle interno.
200
www.handbookdeti.com.br
5.2.2
Lei Sarbanes-Oxley
A Sarbanes-Oxley (SOx), uma lei criada nos Estados Unidos para aperfeioar os controles
financeiros das empresas que possuem capital na Bolsa de Nova York. Ela foi criada em decorrncia dos escndalos financeiros das empresas Enron, Worldcom entre outras no incio do
sculo 21. A lei prev multas que variam de um milho a cinco milhes de dlares e penas de
recluso entre 10 e 20 anos para os CEOs (Chief Executive Officer) e CFOs (Chief Finance Officer) das empresas que no a respeitarem. Segundo a maioria dos analistas, esta lei representa a
maior reforma do mercado de capitais americano desde a introduo de sua regulamentao,
logo aps a crise financeira de 1929.
A SOx se aplica a todas as empresas, sejam elas americanas ou estrangeiras, que tenham aes
registradas na SEC (Securities and Exchange Comission, o equivalente americano da CVM
brasileira). Ela afeta dezenas de empresas brasileiras que mantm ADRs (American Depositary Receipts) negociadas na Bolsa de Nova York, como a Petrobras, a GOL Linhas Areas, a
Sabesp,a CPFL (Companhia Paulista de Fora e Luz),a TAM Linhas Areas, a Brasil Telecom,
Ultrapar (Ultragaz), a Companhia Brasileira de Distribuio (Grupo Po de Acar), Banco
Ita, TIM, Vale S.A., Vivo Participaes S.A. Companhia Energtica de Minas Gerais (Cemig)
e a Natura Cosmticos S.A..
Dividida em onze ttulos (captulos) e perfazendo um total de 69 sees (artigos), a SOx define
por lei uma sries de medidas que j eram consideradas boas prticas de governana corporativa. A lei obriga as organizaes a reestruturarem seus processos para aumentar os controles,
a segurana e a transparncia na conduo dos negcios, na administrao financeira, nas escrituraes contbeis e na gesto e divulgao das informaes.
Em particular, a Seo 302 determina a responsabilidade dos diretores das empresas, que devem assinar os relatrios certificando que as demonstraes e outras informaes financeiras
includas no relatrio do perodo, apresentam todos os fatos materiais e que no contm nenhuma declarao falsa ou que fatos materiais tenham sido omitidos. Tambm devem declarar
que divulgaram todas e quaisquer deficincias significativas de controles, insuficincias materiais e atos de fraude ao seu Comit de Auditoria.
J a Seo 404 determina uma avaliao anual dos controles e procedimentos internos para
a emisso de relatrios financeiros. Alm disso, o auditor independente deve emitir um relatrio distinto que ateste a assero da administrao sobre a eficcia dos controles internos e
dos procedimentos executados para a emisso dos relatrios financeiros.
A rea de Tecnologia da Informao uma fonte de risco para a continuidade do negcio e
para o atendimento das Sees 302 e 404 da SOx. A Seo 404 do Ato Sarbanes-Oxley o
principal foco de ateno das empresas, por trazer as determinaes sobre os controles de processos internos e sistemas contbeis.
A conformidade Sarbanes-Oxley apresenta um impacto significativo sobre a rea de TI da
maioria das empresas. A rea de TI deve cobrir todos os aspectos de segurana e controle
das informaes digitais da empresa, devendo desenhar processos de controle das aplicaes
para assegurar a confiabilidade do sistema operacional, a veracidade dos dados de sada e a
proteo de equipamentos e arquivos. Para cumprir essas exigncias, os CIOs devem rever
todos os processos internos cobrindo desde as metodologias de desenvolvimento de sistemas
201
www.handbookdeti.com.br
Figura 5.6:
relao entre SOx, COSO e COBIT. Imagem retirada de http://
separationofduties.com/it-relation-between-sox-404-coso-and-cobit.
Logo depois da criao, em 2002, nos EUA, da lei Sarbanes-Oxley (SOx), a Unio Europia
resolveu enfrentar o mesmo assunto. A chamada E-SOx, ou Euro-SOx, um conjunto de normas que dizem respeito aos assuntos tratados pela SOx dos EUA. Da mesma maneira, o Japo
tambm decidiu fazer sua lei sobre o tema. J-SOx o nome informal dado a um conjunto de
normas japonesas relativas a controles internos e divulgao de relatrios financeiros (ICFR)
que fazem parte da Lei Japonesa sobre Instrumentos Financeiros e Bolsas (Japanese Financial
Instruments and Exchange Law).
202
www.handbookdeti.com.br
5.2.3
Em 1988, foi introduzido um acordo de capital ratificado por mais de 100 pases, visando a internacionalizao da atividade bancria. Inicialmente, o acordou visou fixar limites mnimos
de solvabilidade dos bancos. Para tanto, fixou limites mximos de alavancagem e mecanismos
de mensurao de riscos de crdito. Esse acordo hoje conhecido como Acordo de Basileia I.
Devido s deficincias que foram identificadas no primeiro acordo, em janeiro de 2001, foi
divulgado um acordo mais complexo e extenso que o anterior conhecido como Acordo de
Basileia II. As principais mudanas esto no fim da padronizao generalizada por um enfoque mais flexvel. Por ser mais sensvel ao risco que os bancos assumem, o acordo admite
que os limites podem variar de acordo o risco do capital. O prazo para o cumprimento do
acordo foi 2007 para os pases do G10. No Brasil, a previso da implementao total do acordo
2013.
O Acordo de Basileia II estruturado em trs pilares:
Capital: Determinao dos requisitos mnimos de fundos prprios para a cobertura dos
riscos de crdito, de mercado e operacional;
Reviso pela Superviso: Convergncia das polticas e prticas de superviso, regulando a participao e o papel do regulador (no Brasil, o Banco Central) no processo de
superviso bancria e de avaliao da governana de risco das instituies e como estas
gerenciam o capital para fazer frente aos riscos incorridos;
Disciplina de Mercado: Prestao de informao ao mercado e ao pblico em geral,
de modo a assegurar maior transparncia sobre a situao financeira e a solvabilidade
das instituies. Sendo necessrio criar instrumentos e condies para reduzir o risco
sistmico gerado pela assimetria da informao, estimulando e favorecendo a disciplina
de mercado.
Sob o ponto de vista da Governana Corporativa de TI, o Acordo Basileia II se aplica exigncia da criao de polticas de gerenciamento de riscos para garantir total segurana e confidencialidade dos dados de clientes. Isso exige que as empresas do setor alterem processos e
sistemas para cumprir as regras do acordo. Basicamente, os pilares Reviso pela Superviso
e Disciplina de Mercado acabam obrigando os bancos a adotarem polticas de governana
mais srias.
A implantao de um gerenciamento de riscos sofisticado fora uma srie de alteraes nos
diversos sistemas existentes dentro das organizaes e exige o mapeamento de riscos nos processos operacionais. Ou seja, exige das instituies financeiras considerveis investimentos
em tecnologia da informao, desenvolvimento de ferramentas de gesto, governana corporativa, cultura de risco e ajustes nas prticas de gesto. Por exemplo, os seguintes riscos
operacionais devem ser avaliados:
203
www.handbookdeti.com.br
5.3
5.3.1
Um framework pode ser definido como um arcabouo de conceitos, modelos, processos, tcnicas, documentos, relatrios e outros artefatos que podem ser aplicados em um determinado
204
www.handbookdeti.com.br
5.3.2
COSO
O tema controle interno tem um marco regulatrio importante nos Estados Unidos em dezembro de 1987, quando foi aprovado pelo Congresso Americano o Foreign Corrupt Practices Act
(FCPA). Este ato que passou a obrigar as sociedades annimas abertas (com aes comercializadas em bolsas de valores americanas) a criar, implementar e manter sistemas de controle
para garantir a correo e a conformidade legal de seus relatrios contbeis.
Foi neste contexto que comeou a surgir o Committee of Sponsoring Organizations of the
Treadway Commission (COSO), uma organizao voluntria do setor privado dedicada a
prover um guia para o gerenciamento e governana da tica nos negcios, dos controles internos, do gerenciamento de riscos corporativos, da preveno de fraudes e dos relatrios fi-
205
www.handbookdeti.com.br
5.4
Observa-se no mercado uma forte tendncia de terceirizao (ou Sourcing, ou e-Sourcing) dos
chamados servios de TI, sendo este movimento motivado, em grande parte das vezes, pela
reduo de custos e aumento da eficincia. Para que estes objetivos sejam alcanados, o processo de terceirizao deve ser marcado pela estabilidade na prestao dos servios, respeitando ainda o custo, a qualidade, a segurana e os SLAs definidos no contrato.
No entanto, alcanar este objetivo no uma tarefa trivial, e muitas organizaes tem en208
www.handbookdeti.com.br
5.4.1
O eSCM-SP (eSourcing Capability Model for Service Providers) um modelo de referncia que foi
desenvolvido pela Carnegie Mellon University (CMU) e que tem por objetivo estabelecer um
209
www.handbookdeti.com.br
Usamos a expresso servios de TI como traduo da expresso em ingls IT enabled services, cujo uso se
tornou comum em diversas normas e metodologias escritas em ingls. Embora a expresso servios habilitados
em TI ainda no tenha se difundido no mercado, vale a pena atentar para esta possibilidade
210
www.handbookdeti.com.br
5.4.2
O eSCM-CL (eSourcing Capability Model for Clients), assim como o eSCM-SP, foi desenvolvido
pela Carnegie Mellon University e tem por objetivo estabelecer um conjunto de requisitos para
o bom desempenho na contratao de servios de TI. Este conjunto de requisitos que permite
ao cliente avaliar e melhorar sua capacidade desenvolver e gerir relacionamentos de terceirizao de servios de TI.
As dimenses do modelo so as mesmas do eSCM-SP: Sourcing Life-cycle, Capability Area
e Capability Level. Os modelos so iguais entre si na dimenso Capability Level. Ou seja, os
capability levels nos dois modelo so os mesmos. Na dimenso Sourcing Life-cycle, o eSCMCL difere do modelo irmo, tendo a seguinte estrutura de fases:
1. Analysis
2. Initiation
3. Delivery
4. Completion.
J na dimenso Capability Areas, o eSCM-CL traz 17 delas:
1. Sourcing Strategy Management
2. Government Management
3. Relationship Management
4. Value Management
5. Organizational Change Management
6. People Management
211
www.handbookdeti.com.br
5.4.3
SAS 70
O Statement on Auditing Standards 70 Service Organizations (SAS 70) um padro de auditoria do American Institute of Certified Public Accountants (AICPA), o instituto americano
de contadores pblicos certificados.
Este padro prov um guia para a elaborao de relatrios de auditorias em organizaes
prestadoras de servio, sendo um relevante instrumento de governana em virtude crescente
movimento de terceirizao nas empresas. Destaque-se que, originalmente, o SAS 70 era
chamado de Reports on the Processing of Transactions by Service Organizations, pelo fato
de se tratar de um padro voltado para a auditoria de servios.
Exemplos de organizaes prestadoras de servios de TI so os datacenters, os application
service providers (ASPs), operadoras de carto de crdito e outros servios de pagamento etc.
Como os servios de TI prestados por estes e outros tipos de empresas guardam relao direta
com o core-business das organizaes, faz-se necessrio utilizar instrumentos de controle to
rigorosos quanto os utilizados para os processos e servios executados no mbito da organizao. este, portanto, o contexto de aplicao da SAS 70 ao mundo da tecnologia da informao.
Alm disso, com a introduo da Lei Sarbanes-Oxley (SOx), em 2002, o SAS 70 assumiu
ainda mais importncia, uma vez que esta lei deu ainda mais nfase nos controles internos
dos processos que pudessem vir a comprometer os relatrios financeiros das empresas. Nesse
contexto, o mercado identificou que o SAS 70 como mtodo aceitvel para garantir controles
relacionados a servios terceirizados.
212
www.handbookdeti.com.br
5.5
5.5.1
O Seis Sigma um processo de controle e melhoria de qualidade que foi desenvolvido pela
Motorola em meados de 1986, quando a empresa lutava para competir com empresas estrangeiras, e havia o reconhecimento da alta administrao de que a qualidade de seus processos e de seus produtos estava baixa. Nesse contexto, o presidente da Motorola estabeleceu
a ambiciosa meta de melhorar a qualidade dos produtos em dez vezes para atingir a satisfao
dos clientes, tudo isso dentro de um prazo de 5 anos.
Para cumprir esta meta, os engenheiros de qualidade da Motorola, liderados por Bill Smith,
criaram o que chamaram de Seis Sigma, um processo de melhoria de qualidade de forte embasamento estatstico voltado para a reduo de defeitos a nveis considerados aceitveis. O
nome do processo Seis Sigma faz aluso ao conceito estatstico de desvio padro, que
simbolizado pela letra grega sigma (), e uma medida de como os valores de uma amostra
ou populao esto dispersos em torno da mdia.
Um importante conceito do Seis Sigma o de Oportunidades de Defeito, que leva em considerao trs variveis importantes:
1. Todos os diferentes defeitos que ocorrem em um produto;
2. O nmero de lugares em que os defeitos podem ocorrer no produto;
3. Todos os passos de produo que poderiam causar um ou mais desses defeitos no produto.
2
Na verdade, as aes da Petrobras so negociadas nos Estados Unidos atravs das chamadas ADRs - American
Depositary Receipts, e no diretamente. No entanto, para fins de auditoria e conformidade com as leis americanas
e para atendimento das exigncias dos investidores, a Petrobras segue em suas operaes globais partes da Lei
Sarbanes-Oxley e, por consequncia, pode ter que seguir a SAS 70, como fazem as empresas americanas.
213
www.handbookdeti.com.br
DPMO
3.4 DPMO
233 DPMO
6.210 DPMO
66.807 DPMO
308.538 DPMO
691.462 DPMO
Livre de Defeitos
99,9997%
99,98% livre de defeitos
99,4% livre de defeitos
93,3% livre de defeitos
69,1% livre de defeitos
30,9% livre de defeitos
214
www.handbookdeti.com.br
Por fim, para complementar os conhecimentos quantitativos apresentados sobre o Seis Sigma,
vamos agora nos ater um pouco do processo DMAIC, que vastamente utilizado no mercado
para a implementao desta metodologia. DMAIC um acrnimo para:
D: Definio de oportunidade
M: Medio de desempenho
215
www.handbookdeti.com.br
DPMO
933193
841345
691492
500000
308538
158655
66807
22750
6210
1350
233
32
3.4
5.5.2
BSC
O (Balanced Scorecard, ou simplesmente BSC, uma metodologia de medio e gesto estratgica de desempenho. O aspecto balanceado se deve ao fato de a escolha dos indicadores de uma organizao no se restringirem unicamente no foco econmico-financeiro,
englobando tambm aspectos mais intangveis como o desempenho junto aos clientes, desempenhos dos processos internos e das pessoas, inovao e tecnologia. Acredita-se que a somatria destes fatores o que permite alavancar o desempenho desejado pelas organizaes,
criando valor futuro.
216
www.handbookdeti.com.br
217
www.handbookdeti.com.br
5.6
5.6.1
A ISO/IEC 38500 uma norma voltada para a definio de princpios e prticas para a boa
governana de TI, promovendo o uso efetivo, eficiente e aceitvel dos recursos de tecnologia
da informao nas organizaes. Ainda conforme esta norma, estes objetivos so alcanados:
atravs da garantia aos stakeholders de que, caso a norma seja seguida, eles podem confiar na governana de TI da organizao;
informando e guiando os diretores para uma boa governana de TI na organizao;
provendo uma base para a avaliao da governana de TI na organizao.
218
www.handbookdeti.com.br
219
www.handbookdeti.com.br
5.6.2
Val IT
O Val IT um framework de governana que tem por objetivo permitir a criao de valor para
o negcio a partir de investimentos em TI, ou como o mercado gosta de dizer, a partir dos
chamados IT-enabled services. Assim como o COBIT, o Val IT foi desenhado pela ISACA (Information Systems Audit and Control Association).
Segundo esta associao, o Val IT foi projetado para se alinhar e para complementar o COBIT, sendo constitudo de um conjunto de princpios prticos e comprovados de governana,
processos, e diretrizes para auxiliar os lderes das organizaes a otimizar a criao de valor a
partir de investimentos em TI.
Segundo o documento que define o Val IT, entender o relacionamento entre estes dois frameworks (Val IT e COBIT) uma tarefa vital. Da sua parte, o Val IT ajuda os lderes da organizao
a se focarem em duas das quatro questes fundamentais relacionadas a governana de TI:
220
www.handbookdeti.com.br
221
www.handbookdeti.com.br
224
www.handbookdeti.com.br
225
www.handbookdeti.com.br
ndice Remissivo
ndice Remissivo
reas de Processos, 173
1st Level Support, 39
2nd Level Support, 39
3rd Level Support, 39
4 Ps da Estratgia de Servio, 24
4 Ps do Desenho de Servio, 27
Ao Corretiva, 161
Ao Preventiva, 161
Access Management, 39
Access Manager, 39
ACn, 82
Acordo de Basileia, 203
Acordo de Confidencialidade, 189
Acquire and Implement, 71
AGATE, 193
Alinhamento estratgico, 88
American Accounting Association (AAA), 206
American Institute of Certified Public Accountants (AICPA), 206
An exemplar process assessment model, 166
ANSI/IEEE 1471:2000, 192
APM Group Ltd, 20
Application Management, 18
Application Portfolio, 48
Arquitetura Corporativa, 71, 192
Atributo de Controle de Processo (AP 4.2), 168
Atributo de Definio de Processo (AP 3.1),
168
Atributo de Desempenho do Processo (AP 1.1),
168
Atributo de Gerncia de Produto de Trabalho
(AP 2.2), 168
Atributo de Gerncia do Desempenho (AP 2.1),
168
Atributo de Inovao de Processo (AP 5.1), 168
Atributo de Instanciao de Processo (AP 3.2),
168
Atributo de Medio de Processo (AP 4.1), 168
Atributo de Otimizao de Processo (AP 5.2),
169
226
www.handbookdeti.com.br
ndice Remissivo
CMMI-ACQ, 179
CMMI-DEV, 179
CMMI-SVC, 179
COBIT, 17, 63
COCO, 205
Comisso de Valores Mobilirios (CVM), 203
Comit das Organizaes Patrocinadoras, 200
Concepts and Vocabulary, 165
Confiabilidade, 68
Confidencialidade, 68
Configuration Item (CI), 51
Configuration Management, 19
Configuration Management Database (CMDB),
51
Configuration Management System (CMS), 52
Configuration Manager, 34
Configuration Record, 52
Conformidade, 68
Conselho Monetrio Nacional (CMN), 204
Constelaes, 179
Consultores de Aquisio, 190
Continual Service Improvement, 40
Continuum Corporativo, 196
Continuum Enterprise, 196
Contract Portfolio, 52
Controle da No-Conformidade de Produtos,
161
Controle de Documentos, 161
Controle de Registros, 161
Controle Interno, 69
COSO, 69, 200, 205
COSO 2, 207
COSO ERM, 207
Cost Center, 52
Critical Success Factor (CSF), 53
Critical Success Factors (CSFs), 43
CSI Manager, 43
Customer Agreement Portfolio, 53
Customer Portfolio, 53
Definitive Media Library (DML), 53
Definitive Software Library (DSL), 53
Deliver and Support, 71
Demand Management, 26
Dimenso da Capacidade do Processo, 169
Dimenso de Processo, 169
Disciplina de Mercado, 203
Disponibilidade, 68
DMAIC, 215
DoDAF, 193
DOE, 216
DPMO, 214
DTR (Draft Technical Report), 165
Due Diligence, 200
e-Sourcing, 208
E-SOx, 202
Efetividade, 68
Effectiveness, 53
Efficiency, 54
Eficincia, 68
EIA 731, 171
Emergency Change, 54
Emergency Change Advisory Board (ECAB),
34, 54
Entrega de valor, 89
eSCM-CL, 211
eSCM-SP, 209
Evaluation, 34
Event Management, 35
Facilities Manager, 40
Federal Enterprise Architecture (FEA), 193, 198
Financial Executives International (FEI), 206
Financial Management, 19, 25
Financial Manager, 26
FMEA, 216
Foreign Corrupt Practices Act (FCPA), 205
Framework Zachman, 193
Functional Escalation, 54
Gartner, 192
Gerenciamento de Processos, 174
Gerenciamento de Projetos, 174
Gerenciamento de Servios de TI, 14
Gerenciar Requisitos, 173
Gesto da Qualidade, 160
Gesto de recursos, 89
Gesto de risco, 89
Governana, 12
Governana Corporativa, 12
Governana de TI, 12, 63
Guidance on performing an assessment, 166
Guidance on using assessment results, 166
Hierarchic Escalation, 54
ICT Infrastructure Management, 18
Identity Management, 39
Incident Management, 19, 36
227
www.handbookdeti.com.br
ndice Remissivo
Incident Manager, 40
Indicadores de Performance, 86
Information Security Management, 29, 54
Information Security Policy, 54
Instituio Avaliadora, 189
Instituies Organizadoras de Grupos de Empresas (IOGE), 190
Institute of Internal Auditors (IIA), 206
Institute of Management Accountants (IMA),
206
Integridade, 68
International Organization for Standardization,
160
Investment management (IM), 222
ISACA (Information Systems Audit and Control Association), 17
Ishikawa Diagram, 54
ISO (International Organization for Standardization), 17, 165
ISO 20000, 17
ISO 9000:2000, 160
ISO 9001:2000, 161
ISO/IEC 12207, 162, 165
ISO/IEC 15288, 166
ISO/IEC 15504, 165, 189
ISO/IEC TR 15504, 165
IT Designer/Architect, 30
IT Operations Manager, 40
IT Operator, 40
IT Planner, 30
IT Service Continuity Management, 29
IT Service Continuity Manager, 30
IT Service Continuity Plan, 55
IT Steering Group (ISG), 26
ITIL Expert Level, 47
ITIL Foundation, 47
ITIL Intermediate Level, 47
ITIL Master Qualification, 48
ITIL Original, 18
ITIL V2, 18
ITIL V3, 14
itSMF, 21
J-SOx, 202
Kano Model, 55
Kepner and Tregoe Analysis, 55
Key Goal Indicators (KGI), 86
Key Performance Indicators (KPI), 43, 86
King Report, 205
Knowledge Management, 33
Knowledge Manager, 34
Known Error Database (KEDB), 55
Lei de Reforma do Gerenciamento da Tecnologia de Informao, 192
MA-MPS, 167, 184, 189
Maintenance Plan, 55
Major Incident Team, 40
Major Problem Review, 38
Management Information System (MIS), 55
Matriz de Rastreabilidade, 173
Matriz RACI, 88, 224
Mean Time Between Failures (MTBF), 55
Mean Time Between Service Incidents (MTBSI),
56
Mean Time to Repair (MTTR), 56
Mean Time to Restore Service (MTRS), 56
Medidas de Resultados, 86
Mensurao de desempenho, 89
Minor Change Deployment, 32
MN-MPS, 190
MODAF, 193
Modelo de Maturidade, 83
Modelo de Processo, 159
Modelo de Referncia de Processo, 166
Modelo de Referncia para Melhoria de Processo, 165
Modelo para Avaliao de Processo, 166
Modelos de Provimento de Servio, 25
Modularidade, 163
Monitor and Evaluate, 71
MPS.Br, 167
MR-MPS, 166, 184, 185
Nveis de Capacidade, 165
NBR ISO 9000:2000, 160
Objetivos de Atividade, 67
Objetivos de Controle, 67
Objetivos de Negcio, 66
Objetivos de Processo, 67
Objetivos de TI, 67
OGC (Office for Government Commerce), 14
OOSpice, 166
Open Group, 192
Operational Level Agreement (OLA), 56
Oportunidades de Defeito, 213
Organizao Orientada para a Estratgia, 217
228
www.handbookdeti.com.br
ndice Remissivo
Pareto Principle, 56
PCAOB, 202
PCn, 81
PDTR (Previous Draft Technical Report), 165
People-CMM, 171
Performing an Assessment, 165
Plan and Organise, 71
Plan, Do, Check and Act (PDCA), 56
Planejar e Preparar Avaliao, 189
Planning to Implement Service Management,
19
Plano de Avaliao, 189
Pontuao Z, 215
Portfolio management (PM), 222
Post-implementation Review (PIR), 57
Problem Management, 19, 37
Problem Manager, 40
Process Manager, 57
Processo de Aquisio, 163
Processo de Auditoria, 164
Processo de Desenvolvimento, 163
Processo de Documentao, 163
Processo de Formao, 164
Processo de Fornecimento, 163
Processo de Garantia da Qualidade, 163
Processo de Gesto, 164
Processo de Gesto de Configuraes, 163
Processo de Infraestrutura, 164
Processo de Manuteno, 163
Processo de Melhoria, 164
Processo de Operao, 163
Processo de Resoluo de problemas, 164
Processo de Reviso, 164
Processo de Software, 159
Processo de Validao, 163
Processo de Verificao, 163
Processos de Ciclo de Vida de Software, 162
Processos de Suporte, 163
Processos de TI, 70
Processos Organizacionais, 163
Processos Primrios, 163
Processos Principais, 163
Product Manager, 26
Profit Center, 57
Project Charter, 57
Project Manager, 34
Project Plan, 57
Project Portfolio, 57
229
www.handbookdeti.com.br
ndice Remissivo
Service Design, 26
Service Design Manager, 30
Service Design Package (SDP), 23, 59
Service Desk, 59
Service Desk Manager, 40
Service Desk Supervisor, 40
Service Improvement Plan (SIP), 60
Service Knowledge Management System, 23,
60
Service Level Agreement (SLA), 60
Service Level Management, 19, 27
Service Level Manager, 30
Service Level Package (SLP), 23, 60
Service Level Report (SLR), 61
Service Level Requirement (SLR), 61
Service Lifecycle, 61
Service Manager, 43
Service Measurement, 42
Service Operation, 35
Service Owner, 30
Service Portfolio, 61
Service Portfolio Management, 25
Service Portfolio Manager, 26
Service Reporting, 43
Service Request Fulfilment Group, 40
Service Specsheet, 61
Service Strategy, 23
Service Support, 18
Service Transition, 31
Service Transition Manager, 35
Service Transition Plan, 57
Service Utility, 25
Service Validation and Testing, 33
Service Warranty, 25
Sistema de Acompanhamento de Requisitos,
173
Softex, 190
Software Asset Management, 18
Software Engineering Institute (SEI), 18
Software Process Assessment, 165
Software Process Improvement and Capability Determination, 165
Sourcing, 208
SPICE, 165
Strategy Generation, 25
Supplier and Contract Database (SCD), 61
Supplier and Contract Management Information System (SCMIS), 62
Supplier Management, 30
Supplier Manager, 30
SW-CMM, 165, 171, 178
T-Teste, 216
Tabela de caracterizao de atributos do processo, 190
TAFIM, 192
Technical Architecture Framework for Information Management, 192
Test Manager, 35
The 7 Improvement Process, 40
The Business Perspective, 18
The Open Group Architecture Framework, 192,
195
Tipos de Provedores de Servio, 25
TOGAF, 195
TOGAF Architecture Development Method (ADM),
196
TOGAF Resource Base, 196
TOGAF Standards Information Base (SIB), 196
TOGAF Technical Reference Model (TRM), 196
TR (Technical Report), 165
Transition Planning and Support, 31
Turnbull Report, 205
Underpinning Contract (UC), 62
Value governance (VG), 222
Vital Business Function (VBF), 62
Workaround, 62
230
www.handbookdeti.com.br