12

AULA
Outros modelos e normas
de Governana
Meta da aula
Apresentar os conceitos bsicos sobre a
ISO 20000, a ISO 27000, a ISO 385000,
o eSCM-SP e o eSCM-CL e exemplificar
como tudo pode se encaixar dentro de
um projeto de Governana emTI.
objetivos

Ao final desta aula, voc dever ser capaz de:

1 reconhecer e explicar o que e para que servem a
ISO 20000, a ISO 27000, a ISO 38500, o eSCM-SP e
o eSCM-CL;
2 reconhecer e explicar como os diversos modelos
de boas prticas, normas e padres podem ser
aplicados em um projeto.

Pr-requisito
pr-requisito para esta aula ter completado os
objetivos de todas as aulas anteriores.
Governana em Tecnologia da Informao | Outros modelos e normas de Governana

INTRODUO

O que Governana, afinal? A esta altura acreditamos

que voc j consegue responder a esta questo. Nesta
aula iremos estudar algumas outras normas e boas pr-
ticas que tm auxiliado muitas empresas a melhorar os
seus processos em diversas reas da TI. Ao final da
aula, vamos discutir um pouco as questes de projeto.
tima aula!

Voc deve lembrar que, logo no incio deste curso, dissemos que Governana
era um conceito bem amplo e que no se resumia somente ao COBIT e
ITIL. Algumas vezes ns comentamos esse fato e dissemos que vrios outros
modelos, conjuntos de boas prticas e mesmo normas de TI podem auxiliar
a empresa a melhorar suas reas de processo a fim de amadurecer rumo
plenitude da Governana em TI.
Nesta aula iremos estudar alguns dos exemplos que mais tm sido utilizados no
mercado. Porm, tenha em mente que ns no nos aprofundaremos da mesma
forma que fizemos com relao ITIL v2, ITIL v3 ou ao COBIT v4.1.
Isso porque a maioria destes modelos tambm possui dezenas de processos
ou controles e seria invivel abord-los todos em um mesmo curso (ainda mais
em uma nica aula). Porm acreditamos que, com tudo que foi visto at agora,
mais o que veremos nesta aula (mesmo que resumidamente), voc ter uma
viso completa sobre como participar ou at mesmo gerenciar um projeto de
Governana em TI.

A ISO 20000 (GERNCIA DE SERVIOS DE TI)

A famlia ISO 20000 um conjunto de normas mundiais baseadas

nas normas britnicas da famlia BS 15000 (British Standards). A ISO
20001 conhecida como a norma de requisitos de gerenciamento de
servios de TI da ISO.

300 Governana: Gesto, Auditoria e Tecnologia da Informao

Essa norma possui exatamente o mesmo objetivo que a ITIL, ou seja, melhorar

12
o gerenciamento de servios de TI com base em processos bem definidos na

AULA
organizao. No toa que seu nome em ingls information technology
service management.

Processos de entrega
Gerenciamento Gerenciamento do nvel Gerenciamento da segu-
da capacidade do servio rana da informao

Gerenciamento Fornecer relatrio do servio Oramento e prestao

da disponibilidade de contas
e da continuidade
Processos de controle
Gerenciamento de configurao
Gerenciamento de mudana
Processos de Processos de
liberao relacionamento
Processos de
Gerenciamento do
Gerenciamento resoluo relacionamento com o
de liberao negcio
Gerenciamento de incidente
Gerenciamento de
Gerenciamento de problemas fornecedores

Figura 12.1: Processo da ISO 20000.Baseado na norma ISO 20000:2005.

E de onde surgiu a ISO 20000? Ora, surgiu como surgem todas as

normas ISO: a partir de um consenso mundial em torno de um determi-
nado assunto. No caso da ISO 20000, ela um consenso em torno das
boas prticas da ITIL v2, que foram modificadas e adaptadas para se
tornar requisitos de uma norma mundial. Segue abaixo um pouco sobre
o histrico desta norma.
Em 2000, a ITIL foi revisada, dando origem ITIL v2, que
acabou ganhando notoriedade mundial. O bero da ITIL, como sabe-
mos, foi o Reino Unido. Por isso, no demorou muito at que aquele
pas transformasse a ITIL v2 em uma norma nacional. Assim, em 2003,
o Reino Unido publicou a BS 15000, que era a ITIL v2 na forma de
requisitos, ou seja, certas empresas na Inglaterra precisavam aderir a
essa norma e atender a todos os requisitos. J sabemos que isso significa
desenvolver, implantar e gerenciar vrios processos de TI.
A partir da estava aberto o caminho para que a comunidade
mundial, devido adoo das prticas da ITIL v2 como padro de fato
em vrios pases, criasse uma norma que seguisse a linha da BS 15000.
Isso aconteceu em 15 de dezembro de 2005, quando a ISO 20000 foi
publicada. Podemos dizer que a ISO 20000 a prpria BS 15000 com
algumas adaptaes para o contexto mundial.

CEC I E R J E X T E N S O E M G O V E R N A N A 301
Governana em Tecnologia da Informao | Outros modelos e normas de Governana

E qual a diferena entre uma empresa que utiliza as boas prticas

da ITIL e uma empresa que possui a certificao ISO 20000? Bem, se
voc se lembra da diferena entre norma e boa prtica, voc sabe bem
qual a resposta... Se no se lembra, voc precisa revisar esse assunto
imediatamente!

No endereo http://www.isoiec20000certification.com/ voc poder obter

informaes sobre a ISO 20000 e sobre o nmero de organizaes certifi-
cadas no mundo. L voc poder ver que o total de empresas certificadas
no mundo de 399, sendo que apenas 4 empresas esto no Brasil. Japo
e China so os pases com maior nmero de certificados (68 e 54, respec-
tivamente). O Reino Unido, onde a norma nasceu, possui 39 empresas
certificadas ISO 20000. Pgina acessada em 30 de dezembro de 2009.

Uma das grandes diferenas (ou inovaes) da ISO 20000 com

relao ITIL v2 foi o fato de que a norma inclui processos como o de
gerenciamento de fornecedores e o de gerenciamento do relacionamen-
to, algo para o que a ITIL v2 no dava a devida ateno. Na verdade,
muitas das ideias que surgiram nas discusses desta norma direcionaram
as modificaes que viriam a ser realizadas mais tarde na ITIL v3.
importante que voc saiba que as empresas no tm notado
grandes retornos com relao certificao ISO 20000. Passados quatro
anos desde a publicao da norma, h menos de 400 empresas certificadas
no mundo todo. Muito pouco, quando comparado penetrao que a
ISO 27000, por exemplo, alcanou no mesmo perodo.

A ISO 27000 (SEGURANA DA INFORMAO)

Por falar nisso, o que podemos dizer da famlia de normas ISO 27000?
Assim como o embrio da ISO 20000 foi concebido na Inglaterra na forma
de boas prticas, a ISO 27000 tambm nasceu na Inglaterra. Porm, j nasceu
na forma de uma norma britnica denominada BS 7799.

Cdigo de prticas

BS 7799-1 ISO 17799 ISO 17799 ISO 27002

1995 2000 2005 2005

Especificao dos requisitos

BS 7799-2 BS 7799-2 ISO 27001 ISO 27001

1998 2002 2005 2005
Figura 12.2: Evoluo da ISO 27001.

302 Governana: Gesto, Auditoria e Tecnologia da Informao

 12
As normas BS 7799 foram publicadas em meados da dcada de
1990. Os ingleses usavam a filosofia de publicar vrias normas dentro de

AULA
uma mesma famlia para tratar de um tema. Assim, a BS 7799-1 lidava com
o cdigo de prticas, a BS 7799-2 continha a especificao de requisitos e
assim por diante. A Figura 12.2 esquematiza como se deu a evoluo das
vrias normas, tanto de especificao de requisitos quanto do cdigo de
prticas, at chegar famlia ISO 27000, que utilizada atualmente.
Observe que, em alguns anos, os profissionais da rea tinham que
conviver com requisitos de uma norma e cdigo de prticas de outra.
Isso porque o avano na normatizao no aconteceu concomitante-
mente. Por exemplo: em 2000 a ISO lanou a ISO 17799 contendo o
cdigo de prticas do SGSI (Sistema de Gerenciamento de Segurana da
Informao), mas sugeria que o mundo continuasse usando a BS 7799
como especificao de requisitos do SGSI. Em 2005, por sua vez, ela
lanou uma norma contendo as especificaes do SGSI, a ISO 27001,
mas apenas revisou os cdigos de prticas da ISO 17799. Porm, ainda
no mesmo ano, a 27002 substituiu a ISO 17799 e finalmente tivemos
uma famlia de normas mundiais para a segurana da informao:
a famlia ISO 27000!
A confuso em torno do assunto to grande que, at hoje,
possvel encontrar editais de licitao, editais de concurso pblico ou
requisies de proposta que ainda mencionam a ISO 17799 ou que
mencionam tanto a ISO 17799 quanto a ISO 27002. Neste ltimo caso,
o erro maior, pois a 27000 substitui a 17799 (embora, na prtica, o
seu contedo seja o mesmo...).

Domnios e objetivos de controle da ISO 27001

Mas voc deve estar se perguntando para que serve a ISO 27000
e qual o seu contedo. Bem, vamos falar da norma 27001, que contm
os requisitos de auditoria. essa norma que concentra as informaes
mais importantes desta famlia e ela que o auditor lder tem em mos
(no mnimo...) durante a auditoria de certificao da empresa.
somente no anexo A da norma ISO 27001 que encontramos
o contedo mais diretamente voltado para os profissionais da rea de
segurana que devem efetivar aes para a melhoria dos processos.
Todo esse contedo apresentado na forma de objetivos de controle

CEC I E R J E X T E N S O E M G O V E R N A N A 303
Governana em Tecnologia da Informao | Outros modelos e normas de Governana

e de controles do SGSI (Sistema de Gerenciamento da Segurana da

Informao). Os objetivos so divididos em 11 reas (alguns chamam
as reas de domnios da norma):

A.5 Poltica de segurana.

A.6 Segurana da informao organizacional.
A.7 Gerenciamento de ativos.
A.8 Segurana de recursos humanos.
A.9 Segurana fsica e do ambiente.
A.10 Gerenciamento das operaes e comunicaes.
A.11 Controle de acesso.
A.12 Aquisio, desenvolvimento e manuteno de sistemas de
informao.
A.13 Gerenciamento de incidentes de segurana da informao.
A.14 Gesto da continuidade do negcio.
A.15 Conformidade.

Cada rea (ou domnio) dividida em subreas (ou subdomnios).

Dentro de cada subrea encontramos os objetivos de controle e os con-
troles propriamente ditos. Como dissemos no incio da aula, no vamos
nos aprofundar na norma e vamos ficar por aqui...
Brincadeira! Vamos dar pelo menos um exemplo para que fique
claro...
Vejamos por exemplo o domnio A.7 (Gesto de ativos).
Na norma, ele se divide em A.7.1 (Responsabilidade pelos ativos) e A.7.2
(Classificao da informao) da seguinte forma:

A.7.1 Responsabilidade pelos ativos

O objetivo de controle geral alcanar e manter a proteo

adequada dos ativos da organizao.
O A.7.1 possui trs objetivos de controle especficos:
Inventrio dos ativos (A.7.1.1), cujo controle visa a assegurar que todo
ativo identificado e um inventrio de ativos importantes estrutura-
do e mantido; Proprietrio dos ativos (A.7.1.2), cujo controle visa a
garantir que todas as informaes e ativos associados aos recursos
de processamento da informao possuem um proprietrio designado
por uma parte definida da organizao; e Uso aceitvel dos ativos
(A.7.1.3), cujo controle visa a assegurar que existem regras identifica-

304 Governana: Gesto, Auditoria e Tecnologia da Informao

 12
das, documentadas e implementadas para que seja permitido o uso de
informaes e ativos associados ao processamento da informao.

AULA
A.7.2 Classificao da informao

O objetivo geral assegurar que a informao receba um nvel

adequado de proteo.
O A.7.2 possui dois objetivos de controle especficos:
Recomendaes para classificao (A.7.2.1), cujo objetivo asse-
gurar que a informao seja classificada em termos do seu valor,
requisitos legais e sensibilidade para a organizao; e Rtulos
e tratamento da informao (A.7.2.2), cujo objetivo garantir
que haja um conjunto apropriado de procedimentos para rotular
e tratar a informao de acordo com o esquema de classificao
adotado pela organizao.

Note que a norma contm vrios objetivos de controle gerais, e

cada um deles subdividido em objetivos de controles especficos. Cada
objetivo, por sua vez, possui uma descrio do controle associado.
Agora sim, vamos parar por aqui, pois existem outros 37 objeti-
vos de controle gerais (so 39 ao todo) e mais 133 objetivos de controle
especficos (ao todo so 139!). Voc h de convir que assunto suficiente
para outro curso... Observe que o formato da norma ISO 27001 se asse-
melha ao formato do COBIT (reas de processo, objetivos de controle,
controles etc.). Na verdade, esta apresentao facilita estudar e consultar
a norma no dia a dia.
Alm disso, vale lembrar que a norma ISO 27002, que contm o
cdigo de prticas, possui um detalhamento maior dos 139 objetivos de
controle e pode ser muito til na implementao dos controles e estudo
sobre o assunto.

Se, por um lado, o nmero de empresas certificadas ISO 20000 no passa de 400, o
nmero de empresas certificadas ISO 27000 de quase 6.000. S o Japo, que tambm
lder em empresas certificadas nessa norma, possui 3.321 organizaes certificadas.
A ndia, segunda colocada, possui 482 empresas. O Brasil o 21 pas em nmero de
certificaes, com 23 empresas certificadas, perdendo na Amrica Latina apenas para
o Mxico (com 27) e ficando frente de pases como Frana, Canad e Portugal, com
12, 5 e 3 certificaes, respectivamente. Voc pode obter estes e outros nmeros sobre
a ISO 27001 no endereo http://www.iso27001certificates.com/. Pgina acessada em 30
de dezembro de 2009.

CEC I E R J E X T E N S O E M G O V E R N A N A 305
Governana em Tecnologia da Informao | Outros modelos e normas de Governana

As normas ISO possuem direitos de cpia, uso e distribuio. Elas devem ser compradas a
partir do endereo http://www.iso.org/iso/iso_catalogue.htm ou outro local autorizado. Por
exemplo, somente a ISO 20000-1, que possui a especificao de requisitos para o gerenciamento
de servios de TI em 24 pginas, custa aproximadamente US$ 86. J a ISO 27000-2, que contm
o cdigo de prticas para implementao do SGSI em 44 pginas, custa aproximadamente US$
130. Pgina acessada em 30 de dezembro de 2009.

Atividade 1
Como a ISO 20000 e a ISO 27000 se encaixam no contexto da Governana em TI? 1

Resposta
Primeiro deve-se observar que ambas so normas. A empresa precisa decidir
se ela quer partir para a obteno da certificao que um processo muito
desgastante (e cujo retorno nem sempre acontece) ou se ela quer apenas
conhecer o contedo da norma e aplic-lo sem compromisso. No caso da ISO
20000, a aplicao sem compromisso pode ser feita utilizando a ITIL v3, pois,
como vimos, exatamente para isso que as boas prticas servem. Na verdade,
o nico compromisso com a melhoria dos processos de TI. Com relao ISO
27000, no existe um conjunto de prticas para a segurana da informao e, por
isso, muito comum as empresas buscarem amadurecimento nos processos de
segurana da informao por meio de consultorias especializadas na ISO 27000.
Porm, isso pode ser feito sem que a empresa opte pela certificao formal, o que
implicaria um compromisso (e investimento) maior de atender a todos os requisitos,
o que nem sempre um atrativo para as empresas. Por fim, ambas podem auxiliar
no contexto da Governana melhorando processos em reas especficas da TI.

306 Governana: Gesto, Auditoria e Tecnologia da Informao

 12
AULA
Voc sabe a diferena entre a ISO 20001, a ISO 20002 e a famlia ISO 20000? A ISO, quando
padroniza um tema, geralmente o faz atravs de vrias normas reunidas em uma famlia.
Assim, a famlia ISO 20000 possui vrias normas. A ISO 20001 contm os requisitos propriamente
ditos; a ISO 20002 contm os cdigos de prticas (aes que devem ser conduzidas para atender
aos requisitos). Vale ressaltar que a famlia ISO 20000 possui uma norma bsica, chamada ISO
20000, que contm um vocabulrio de termos sobre o gerenciamento de servios de TI (defini-
o de incidente, de problema, de ativo etc.). No confunda a norma ISO 20000 com a famlia
ISO 20000! O mesmo acontece com a famlia ISO 27000 e vrias outras famlias de normas ISO.
Ou seja, existe a ISO 27000 (vocabulrio de termos usados nas normas da famlia), a ISO 27001
(especificao de requisitos de segurana da informao), a ISO 27002 (cdigo de prticas) etc.
Normalmente as trs primeiras normas da famlia so o vocabulrio de termos, as especificaes
de requisitos e o cdigo de prticas. Porm, a famlia pode ter mais de dez normas, tratando
de questes especficas sobre o tema padronizado.

Um profissional pode ser certificado ISO 20000, ISO 27000 etc.? Bem, a rigor, no. A empresa
pode ser certificada, mas o profissional no. Porm, existem diversas certificaes de audito-
res ISO. Assim, existe, por exemplo, a figura do auditor lder em uma norma (auditor lder ISO
20000, auditor lder ISO 27000 etc.). Os auditores lderes, entre outras coisas, so responsveis
por conduzir auditorias de certificao (ou re-certificao) que conferem a uma empresa o
ttulo de empresa certificada. Para se tornar um auditor lder o profissional precisa realizar
treinamentos em uma das entidades credenciadas pela ISO e passar em uma ou mais provas.
Normalmente o processo leva de 30 dias a 90 dias e tem um custo relativamente alto, alm
de exigir alguns pr-requisitos do candidato a auditor. Algumas empresas que possuem tais
treinamentos e esto autorizadas a formar auditores lderes das normas ISO so a BSI Brasil
(http://www.bsibrasil.com.br/), o Bureau Veritas Brasil (http://www.bureauveritas.com.br/) e a
Fundao Vanzolini (http://www.vanzolini.org.br/).

O eSCM

O eSCM (eSourcing Capability Maturity Model) um conjunto

de boas prticas de terceirizao e fornecimento de servios desen-
volvido pelo SEI (Software Engineering Institute) da Universidade de
Carnegie Mellon. O SEI tambm foi responsvel por criar e desenvolver
o CMM-I, que mencionamos em aulas anteriores. Por isso, ele herda
os conceitos de maturidade e capacidade largamente utilizados no
mundo da Governana (inclusive pelo COBIT, como vimos).

Figura 12.3: A fora da ter-

ceirizao.

CEC I E R J E X T E N S O E M G O V E R N A N A 307
Governana em Tecnologia da Informao | Outros modelos e normas de Governana

E qual o objetivo desse outro conjunto de boas prticas? Perceba

que a ITIL j possua um processo que lidava com a questo da tercei-
rizao de servios. Bem, devido grande demanda por terceirizao
(ou, de acordo com outros termos, outsourcing, body shop etc.), o SEI
desenvolveu um conjunto completo de prticas voltadas somente para
a terceirizao de servios.
A primeira verso foi desenvolvida para as empresas que forneciam
servios ou produtos. Esse conjunto de prticas foi denominado eSCM-SP
(eSCM for Service Provider). Logo depois o SEI publicou um conjunto
de prticas voltadas para o contratante do servio. Essa nova publicao
foi denominada eSCM-CL (eSCM for Client Organizations).
Assim como a ITIL possui o ITSMF para desenvolver as melhores
prticas, cuidar das publicaes, homologar centros de treinamento,
acreditar certificaes, o SEI criou o ITSQC (Information Technology
Services Qualification Center) para cuidar dessas questes com relao
ao eSCM. O Brasil representado no ITSQC pelo Instituto Luiz Coimbra
de Ps-Graduao e Pesquisa de Engenharia (COPPE) da UFRJ.

O eSCM-SP (eSCM FOR SERVICE PROVIDER)

A primeira verso do eSCM-SP foi publicada em 2001. Atual-

mente est na verso 2.1 publicada em 2006. E qual seria o objetivo do
eSCM-SP?
Basicamente:
Fornecer ao provedor de servios orienta-
o para melhorar a sua capacidade ao longo
do ciclo de fornecimento (sourcing);
Prover aos clientes meios objetivos para
avaliar a capacidade de um fornecedor.

Figura 12.4: Governana consequncia

de vrios eventos.
O eSCM-SP tambm define um ciclo de
vida do servio, porm, ele dividido em 4 etapas
e no 5: operao (ongoing), iniciao (initiation), entrega (delivery) e
concluso (completion). Note que existe uma diferena com relao ao
ciclo de vida do servio da ITIL. Ora, mas e da!? So modelos desen-
volvidos por entidades distintas, no mesmo? Voc s precisa entender
as semelhanas e diferenas entre ambos e saber quando aplic-los. No

308 Governana: Gesto, Auditoria e Tecnologia da Informao

 12
caso, as semelhanas so maiores que as diferenas.
A fase denominada produo (ongoing) acontece enquanto o

AULA
servio est em produo, ou seja, durante a vida do servio. nesta
etapa que o valor esperado agregado (ou no) operao da empresa.
As fases de iniciao (initiation), entrega (delivery) e concluso (com-
pletion) acontecem tanto para um novo servio que est sendo entregue
quanto para servios em operao cujas caractersticas esto sendo
modificadas.

Nveis de capacidade e processos do eSCM-SP

O eSCM for Service Provider tambm possui um modelo de

maturidade baseado em cinco nveis de capacidade dos processos.
Os nveis de so:

Nvel 1: Provendo servios.

Nvel 2: Atendendo requisitos consistentemente.
Nvel 3: Gerenciando o desempenho organizacional.
Nvel 4: Fornecendo valor proativamente.
Nvel 5: Sustentando a excelncia.

Atingir um determinado nvel de maturidade exige que alguns

processos especficos possuam determinado nvel de capacidade. Se no
ficou claro, fique tranquilo. Ainda vamos explicar isso melhor.
O eSCM-SP v2.1 possui dez reas (indicadas logo abaixo) e dentro
destas reas existem ao todo 84 objetivos que podem ser alcanados
atravs de boas prticas. A empresa no precisa implementar todas as
prticas de uma vez, mas existe um nmero pr-definido para cada nvel
de maturidade. No s um nmero, mas a indicao de quais so, exa-
tamente, as prticas que devem ser adotadas para que a empresa atinja
o nvel de maturidade desejado.
Enfim, vamos deixar um pouco mais claro. As dez reas de pro-
cesso so:

Gerenciamento do conhecimento (produo).

Gerenciamento de recursos humanos (produo).
Gerenciar desempenho (produo).
Gerenciar relacionamento (produo).
Gerenciar tecnologia (produo).

CEC I E R J E X T E N S O E M G O V E R N A N A 309
Governana em Tecnologia da Informao | Outros modelos e normas de Governana

Gerenciar ameaas (produo).

Gerenciar contratos (iniciao).
Desenho do servio & desenvolvimento (iniciao).
Transferncia do servio (iniciao ou concluso).
Entrega de servio (entrega).

Voc deve ter observado que cada rea est relacionada a uma
ou mais etapas do ciclo de vida do fornecimento (iniciao, entrega,
concluso e produo). Alm disso, cada objetivo estar relacionado
a um nvel de maturidade (1, 2, 3, 4 ou 5). Veja os exemplos das reas
Gerenciar tecnologia e Gerenciar contratos. Estas reas possuem seis e
onze objetivos, respectivamente. Observe que as prticas de gerencia-
mento da tecnologia so mais ligadas produo no ciclo de vida do
fornecimento. Por outro lado, as prticas de gerenciamento de contratos
so mais ligadas iniciao.

Gerenciar tecnologia (produo)

Adquirir tecnologia - nvel 2.

Adquirir licenas de uso - nvel 2.
Controlar a tecnologia - nvel 2.
Integrar a tecnolgica - nvel 2.
Otimizar o uso da tecnologia - nvel 3.
Introduzir proativamente a tecnologia - nvel 4.

Gerenciar contratos (iniciao)

Negociar - nvel 3.
Precificar - nvel 2.
Confirmar a viabilidade - nvel 2.
Obter informaes de mercado - nvel 3.
Elaborar um plano de negociaes - nvel 2.
Coletar requisitos - nvel 2.
Rever requisitos - nvel 2.
Responder aos requisitos - nvel 2.
Definir papis contratuais - nvel 2.
Elaborar contratos - nvel 2.
Aditivar contratos - nvel 2.'

310 Governana: Gesto, Auditoria e Tecnologia da Informao

 12
Observe que para uma empresa atingir o nvel de maturidade 2 entre
os 84 objetivos, todos aqueles relacionados ao nvel 2 (so 48 dos 84) pre-

AULA
cisam ser implementados no mnimo com nvel de capacidade 2. Caso
a empresa decida atingir o nvel de maturidade 3, todos os 48 processos
necessrios ao nvel de maturidade 2 precisam amadurecer e atingir o
nvel de capacidade 3. Alm disso, os processos necessrios ao nvel 3
(neste caso seriam mais 26) precisariam ser implementados com nvel
de capacidade 3. Assim, no final, a empresa teria ao todo 74 processos
implementados (48 mais 26) com nvel de capacidade 3, o que valeria a
ela o nvel de maturidade 3 em terceirizao de servios.
Voc percebeu que o nvel de maturidade atingido pela empresa
e o nvel de capacidade atingido pelo processo? Segundo o eSCM-SP, o
fornecedor de servios amadurece na medida em que os seus processos
adquirem mais capacidade.

O eSCM-CL (eSCM FOR CLIENT ORGANIZATIONS)

A primeira verso do eSCM-CL foi publicado em 2003. Atu-

almente ele est na verso 1.1, publicada em 2006 juntamente com o
eSCM-SP. Seus objetivos so basicamente os mesmos do conjunto de
boas prticas para o fornecedor, mas assumindo o ponto de vista da
empresa contratante:

Ajudar as organizaes clientes a estabelecer, gerenciar e susten-

tar melhoria contnua nas suas relaes de contratao;
Ajudar as organizaes clientes a criar competncias e avaliar
capacidades na gesto das atividades de contratao.

O eSCM-CL possui as mesmas fases de produo (ongoing),

iniciao (initiation), entrega (delivery) e concluso (completion). Alm
disso, introduz mais uma fase de anlise (analysis). Portanto, o eSCM for
Client Organizations possui um ciclo de vida do fornecimento baseado
em cinco fases.

Nveis de capacidade e processos do eSCM-CL

O eSCM for Client Organizations tambm possui um modelo

de maturidade baseado em cinco nveis de capacidade dos processos.
So eles:

CEC I E R J E X T E N S O E M G O V E R N A N A 311
Governana em Tecnologia da Informao | Outros modelos e normas de Governana

Nvel 1: Desempenhando a contratao.

Nvel 2: Gerenciando a contratao consistentemente.
Nvel 3: Gerenciando o desempenho da contratao.
Nvel 4: Melhorando o valor proativamente.
Nvel 5: Sustentando a excelncia.

O eSCM-CL v1.1 possui 17 reas (indicadas logo abaixo). Dentro

dessas reas existem ao todo 95 objetivos que podem ser alcanados
atravs de boas prticas. As reas so:

Gerenciamento da estratgia de fornecimento (produo).

Gerenciamento da governana (produo).
Gerenciamento do relacionamento (produo).
Gerenciamento de valor (produo).
Gerenciamento de mudana organizacional (produo).
Gerenciamento de pessoas (produo).
Gerenciamento do conhecimento (produo).
Gerenciamento da tecnologia (produo).
Gerenciamento de ameaas (produo).
Gerenciamento de oportunidades (anlise).
Abordagem de fornecimento (anlise).
Planejamento do fornecimento (iniciao).
Avaliao do fornecedor de servio (iniciao).
Acordos de fornecimento (iniciao).
Transferncia do servio (iniciao).
Gerenciamento de servios fornecidos (entrega).
Concluso do fornecimento (concluso).

Por simplicidade, como dissemos, no vamos exemplificar as

prticas e objetivos do eSCM-CL.
Ressaltamos que, tanto com relao ao eSCM-SP quanto com
relao ao eSCM-CL, fizemos vrias referncias s boas prticas
e usamos tambm a expresso ter uma prtica implementada.
No contexto do eSCM do SEI, boa prtica significa tudo que j dissemos
sobre o assunto e, alm disso, encerra em si a ideia dos objetivos que a
empresa precisa atingir em uma determinada rea. O objetivo ser atin-
gido quando processos que garantam a efetivao das prticas sugeridas
forem implementados na organizao. No final das contas, uma ideia
semelhante dos objetivos de controle do COBIT, com a diferena que o

312 Governana: Gesto, Auditoria e Tecnologia da Informao

 12
COBIT diz quais so os objetivos a serem atingidos e o eSCM foca mais
as prticas a serem adotadas. Assim, o eSCM possui reas de processo

AULA
com boas prticas e o COBIT possui reas de processo com objetivos
de controle. Obviamente, desnecessrio dizer a esta altura que, com
relao ao contedo em si, o COBIT (objetivos de controle para a TI)
e o eSCM (boas prticas para terceirizao) so muito diferentes.
Precisamos ainda garantir que tenha ficado clara para voc a dife-
rena sutil que h entre os nveis de maturidade da empresa e os nveis
de capacidade do processo. Lembre-se de que a empresa amadurece na
medida em que seus processos adquirem maior capacidade.

Atividade 2
Como o COBIT e o eSCM se encaixam dentro do contexto da Governana em TI? 1

Resposta
Ainda vale a mesma regra. Primeiro usamos o COBIT para definir o nvel de matu-
ridade das 34 reas de processo da TI. De acordo com as diretrizes estratgicas da
empresa, algumas reas merecero maior destaque. As reas de processo AI2 (Adquirir
e manter softwares aplicativos), AI3 (Adquirir e manter infraestrutura tecnolgica) e DS2
(Gerenciar servios de terceiros), por exemplo, tm muito a se beneficiar do contedo do
eSCM, pois so reas diretamente ligadas terceirizao. A avaliao inicial por meio
do COBIT pode determinar que os objetivos destas reas no esto sendo atingidos
e a empresa pode, em seguida, utilizar o eSCM para construir novos processos (ou
alterar os existentes), a fim de melhorar os ndices obtidos pelos indicadores de meta e
de desempenho do COBIT.

CEC I E R J E X T E N S O E M G O V E R N A N A 313
 Governana em Tecnologia da Informao | Outros modelos e normas de Governana

A ISO 38500 (Governana em TI)

Voc sabia que existe uma norma ISO para a Gover-

nana em TI? Isso mesmo! A ISO 38500 (Standard for
Corporate Governance of Information Technology) uma
norma publicada em 2008. E voc sabe qual foi a sua ori-
gem? Neste caso, a origem no foi uma norma inglesa, mas
sim a norma australiana AS 8015 (Australian Standard).
Segundo a ISO, a norma 38500 pode ser aplicada
em organizaes de todos os tipos e tamanhos. O padro
fornece um modelo para efetivar a Governana em TI
Figura 12.5: Todos pela Governana.
auxiliando os responsveis pelo negcio a entender e
cumprir obrigaes legais, regulatrias e ticas com relao ao uso da
Tecnologia da Informao.
O modelo sugerido possui definies, princpios e um modelo
baseado em seis princpios para a boa Governana da TI:

Responsabilidade.
Conformidade.
Estratgia.
Aquisio.
Desempenho.
Comportamento humano.

O propsito do padro promover o uso eficaz, eficiente e acei-

tvel da TI em toda a organizao:

Assegurando aos responsveis pelo negcio que, se o padro

for seguido, eles podem confiar na Governana em TI da
empresa.
Guiando diretores atravs dos controles que devem existir sobre
o uso da TI por toda a empresa.
Fornecendo as bases para a avaliao da Governana em TI.

Esta norma no possui a descrio de processos e boas prticas

como na ITIL ou objetivos de controle como no COBIT. Porm ela
possui em seu texto vrias definies e conceitos gerais sobre Governana
que podem servir para eliminar discusses que s vezes ficam no campo
da subjetividade e da abstrao em torno do assunto. Desse modo, a

314 Governana: Gesto, Auditoria e Tecnologia da Informao

 12
ISO 38500 cumpre papel importante, pois responde, de uma vez por
todas, pergunta: O que Governana em TI e quais os requisitos

AULA
para atingi-la?

A ISO 38500:2008 relativamente nova e no uma famlia de normas. Trata-se de apenas

um documento (uma norma). No existem empresas certificadas ISO 38500 e, por hora, no
este o seu objetivo. A norma ISO 38500 pode ser obtida no endereo http://www.iso.org/iso/
iso_catalogue.htm ou outro local autorizado, a um custo de aproximadamente US$ 86.

Por ltimo ressaltamos que vrios autores e estudiosos tm se pre-

ocupado em listar os princpios que regem a Governana Empresarial.

PROJETO DE GOVERNANA

Neste curso tivemos a preocupao de abordar as publicaes

mais conhecidas do mundo da Governana em TI (a ITIL e o COBIT)
e, atravs de outros exemplos menos conhecidos, deixar claro para voc
como esse campo vasto. Existem, literalmente, dezenas (ou centenas)
de outras normas, padres ou boas prticas que poderiam fazer parte
deste curso. Obviamente, no haveria espao nem tempo para abordar
tudo com os detalhes necessrios.
Voc pode estar pensando que existem tantas boas prticas e
normas que, no final das contas, resolvemos um problema e criamos
outro. O que devemos adotar na empresa, afinal, e como fazer isso? Uma
norma mundial como a ISO 38500, por exemplo, a ltima palavra
sobre o assunto?
Com relao segunda pergunta, embora a ISO tenha um alcance
mundial, nem todos os pases so representados nas discusses e nem
todos do a mesma importncia a uma norma ou a adotam com a mesma
rapidez. E, alm disso, nem mesmo normas discutidas ao longo de anos
por profissionais do mundo inteiro so infalveis. Embora elas sejam
uma compilao de tudo que j foi falado e escrito sobre um assunto,
elas no so a ltima palavra.

CEC I E R J E X T E N S O E M G O V E R N A N A 315
Governana em Tecnologia da Informao | Outros modelos e normas de Governana

Por isso
imprescindvel que voc
entenda a filosofia fundamental por
trs da Governana em TI e que aplique seus
conceitos e princpios. Em outras palavras, entenda
primeiro o que Governana e depois pense em aplicar
COBIT, ITIL, ISO 27000, eSCM etc. O padro ou conjunto de
boas prticas servir apenas como fonte de conhecimento para
acelerar seu trabalho. Para ser bem-sucedido, independentemente
do caminho escolhido (isto , da norma ou boa prtica), voc pre-
cisa saber para onde a empresa est indo e por que ela est indo.
A partir disso, o resto ficar mais fcil. Governana em TI a
preocupao com a melhoria contnua sob todas as formas de
relacionamento entre a TI e o negcio, envolvendo os nveis
estratgico, ttico e operacional, no curto, mdio e
longo prazos de todos os seus projetos, operaes
e processos, obedecendo a princpios tc-
nicos, ticos, morais e legais.

O processo de criao de uma norma envolve discusso em congressos, seminrios e workshops

ao longo de vrios anos. Hoje, 162 pases, como Afeganisto, Cuba, Etipia, Honduras, Coria,
Chile, Japo, Mauritnia, Sua, Ucrnia e Alemanha so representados junto ISO. Os Esta-
dos Unidos, por exemplo, so representados atravs da ANSI (American National Standards
Institute). O Brasil representado pela ABNT (Associao Brasileira de Normas Tcnicas). Estes
rgos enviam profissionais para os eventos da ISO que visam a discutir normas que viro a
se tornar padres mundiais. Outra funo das entidades que representam os pases na ISO
fazer adaptaes nacionais s normas. Isso necessrio quando as normas afetam a indstria,
o meio ambiente, as relaes trabalhistas etc., pois essas reas possuem especificidades que
variam de pas para pas. No endereo http://www.iso.org/iso/about/iso_members.htm h uma
lista de todos os pases membros. Pgina acessada em 30 de dezembro de 2009.

Com relao questo sobre o que devemos adotar na empresa e

como fazer isso, vamos dar um exemplo resumido sobre quais seriam os pas-
sos de um projeto nessa rea, conforme tem sido praticado no mercado.

Diviso do projeto em fases

Uma regra de ouro em qualquer projeto a sua diviso em fases,

etapas ou atividades menores para melhor gerenciamento. Normalmente
os projetos de Governana, por envolver grandes mudanas na empresa,
acabam se tornando complexos, e muito fcil perder o controle sobre
a sua execuo e no alcanar os objetivos pretendidos.

316 Governana: Gesto, Auditoria e Tecnologia da Informao

 12
Um caminho comum dividir o projeto em duas fases, no mnimo:

AULA
Fase de pr-projeto (ou projeto bsico)
Nesta fase so definidos os objetivos do projeto de acordo com
as metas de negcio; o nvel de maturidade da organizao em
prestar servios de TI determinado; a empresa decide quais
reas devem ser melhoradas, em que ordem isso deve acon-
tecer e at que ponto melhorar; a empresa tambm escolhe,
nesse momento, quais padres, normas e boas
prticas relevantes sero utilizados.

Normalmente o principal produto da fase de

pr-projeto um esboo do plano de projeto
embasado na anlise do ambiente atual da
organizao. Em alguns casos, a fase de pr-
projeto envolve tambm a capacitao atravs
da realizao de treinamentos, palestras etc.
para garantir envolvimento e comprometi-
mento de todos os interessados, direta ou
indiretamente, no projeto.

Fase de projeto
Na fase de projeto, as mudanas reais iro acontecer.
Ou seja, na fase anterior foi decidido aonde se quer chegar
e que caminho percorrer para chegar aonde se deseja. Nesta
fase, percorrido o caminho em si. Assim, o sucesso desta fase
depende muito das escolhas feitas na fase anterior.

O resultado final obtido nesta fase a mudana organizacional,

seja na forma de novos processos implantados, seja na forma
de mudanas e melhorias em processos j em andamento na
empresa. na fase de projeto que os recursos so consumidos
em maior quantidade, por isso imprescindvel uma anlise
do tipo go-no go (seguir ou no seguir...) entre o final da fase
de pr-projeto e o incio da fase de projeto. Isso impede que a
empresa inicie um projeto complexo da maneira errada e note
o erro apenas quando for tarde demais para voltar atrs sem
assumir prejuzos altos.

CEC I E R J E X T E N S O E M G O V E R N A N A 317
 Governana em Tecnologia da Informao | Outros modelos e normas de Governana

Voc deve observar que ambas as fases

do projeto de Governana possuem obviamente
incio, meio e fim. O que chamamos de meio
tar Fechar da fase normalmente composto por pelo
ar Execu
r Planej menos uma etapa de planejamento e uma de
Inicia
execuo.
Assim, cada fase obedecer, no mnimo,
a um ciclo de vida de projeto genrico, com as
Figura 12.6: Ciclo genrico de projeto. etapas de iniciao, planejamento, execuo e
fechamento.

A fase de pr-projeto

Para tornar o gerenciamento do projeto mais simples (ou menos

complexo) e para aumentar suas chances de sucesso, um bom pr-projeto
essencial.

Iniciar

O incio da fase de pr-projeto envolve as escolhas e decises

da organizao e a busca por resposta para questes como:
a empresa sabe o que Governana em TI e o que se pode
esperar dela? Por que a empresa precisa de Governana em
TI? Existem boas prticas (ITIL, eSCM etc.) ou normas (ISO
27000, ISO 38500 etc.) que a empresa precisar adotar por
causa de algum fator estratgico interno ou externo? De que
quantidade de recursos a empresa dispe para o projeto e como
ela espera recuperar esse investimento?

Planejar

O planejamento envolve a definio de como a execuo do

projeto acontecer. Um dos maiores objetivos do pr-projeto
o mapeamento da organizao, e o planejamento deve progra-
mar como isso ser feito. Sero realizadas entrevistas formais,
individuais e presenciais? Quem ser entrevistado e quantas
entrevistas sero feitas? A empresa contar com a participa-
o de consultoria externa ou o projeto contar apenas com
recursos humanos de dentro da empresa? Haver necessidade

318 Governana: Gesto, Auditoria e Tecnologia da Informao

 12
de treinamento dos envolvidos no projeto? Nesse momento
o COBIT, a ISO 38500 e o prprio COSO podem ajudar

AULA
a tomar tais decises e, na etapa seguinte, podero ajudar a
executar as entrevistas, a capacitao etc.

Executar

Observe que o resultado concreto a ser entregue ao final desta

fase a documentao do que dever ser feito na prxima.
Assim, a sua execuo envolve principalmente a elaborao de
um plano de projeto para a prxima fase, com as estimativas
de custo e durao para atender ao escopo pretendido. Esse
resultado servir como base para as decises que a organizao
precisar tomar sobre o projeto. Em alguns casos, geralmente
quando a empresa tem como certa a realizao do projeto
em si, a etapa de execuo envolver tambm a realizao da
capacitao das equipes (atravs de treinamentos formais) e
a conscientizao das pessoas dentro da organizao (atravs
de palestras, reunies ou treinamentos).

As avaliaes sobre o cenrio atual da organizao tambm

acontecem nesse momento (por meio de entrevistas com
pessoas-chave etc.). Tambm necessrio conhecer os projetos
e operaes de TI em andamento na empresa e documentar os
processos da TI. Dependendo de vrios fatores, desde o porte
da empresa at a forma com que o pr-projeto conduzido,
esse trabalho pode levar at seis meses. Como o caminho
mais comum atualmente adotar o COBIT para a definio
de objetivos de controle, esta etapa normalmente envolve a
determinao do grau de maturidade das 34 reas de processo
de TI, conforme estudamos nas aulas anteriores.

Encerrar

A etapa de encerramento da fase de pr-projeto envolve

principalmente a anlise dos resultados obtidos e a deciso
de comear ou no (go-no go) a fase seguinte (o projeto em
si). Note que, dependendo do cenrio atual da organizao,
os custos do projeto podem inviabilizar o escopo ideal e a

CEC I E R J E X T E N S O E M G O V E R N A N A 319
Governana em Tecnologia da Informao | Outros modelos e normas de Governana

empresa pode optar por amadurecer os processos de apenas

algumas de suas reas. Embora seja bvio pensar que o certo
seria melhorar todas as reas e todos os processos, o conceito
de eficcia estratgica (fazer o que deve ser feito) nos remete
novamente seguinte realidade: nem sempre possvel fazer o
ideal, e a deciso sobre o que fazer e o que no fazer pode ser
a diferena entre fechar as portas ou permanecer no mercado.
Assim, em alguns casos, a resposta para a questo colocada
pelo go - no go : no go!

A fase de projeto

Todas as etapas do projeto acontecero de acordo com o que foi

definido na fase de pr-projeto. Lembre-se de que o sucesso do projeto,
portanto, depende muito de um bom pr-projeto.

Iniciar

A iniciao do projeto, neste caso, envolve a anlise do esboo

do plano de projeto elaborado na fase anterior e a verificao
do cenrio atual. H mudanas de cenrio que justifiquem
alterar o plano? H reas que se tornaram mais relevantes?
Existem outras prticas de TI que passaram a merecer mais
ateno no cenrio mundial? Novas verses do COBIT, da
ITIL etc. foram publicadas? Desde capacitao e treinamento,
houve alterao no quadro de pessoal? No cenrio de TI
necessrio considerar essas questes, pois, como sabemos, ele
bastante dinmico.

Planejar

Na fase de pr-projeto foi elaborado um esboo de plano. Esse

esboo deve ser revisado e mais bem detalhado, a fim de gerar
um plano de projeto que contemple tudo que importante
para a boa execuo do projeto em si. A equipe, o cliente, o
usurio e demais interessados devem conhecer e concordar
com o escopo do que ser feito; um cronograma deve conter
as datas de incio e fim das atividades do projeto; um ora-
mento e uma previso de desembolso devem ser produzidos

320 Governana: Gesto, Auditoria e Tecnologia da Informao

 12
para que se tenha controle efetivo sobre as finanas do projeto;
os requisitos de qualidade e critrios de aceitao devem ser

AULA
explicitados; os principais riscos devem ser identificados e
analisados; as necessidades de aquisio externa (se for o caso)
devem ser documentadas etc.

Executar

A execuo desta fase envolve a construo ou melhoria

dos processos. Nesta etapa todo o conhecimento sobre boas
prticas e normas de TI til. Se a empresa quer melhorar
o gerenciamento de incidente, de problemas, quer criar uma
central de servios etc., a ITIL uma das opes mais indi-
cadas. Se a empresa v como crtico o seu nvel de maturidade
em segurana da informao, as normas da famlia ISO 27000
contm informaes riqussimas. Caso a empresa queira adotar
uma filosofia de terceirizao ou mesmo melhorar o controle
sobre servios terceirizados (muito importante para rgos do
governo), as prticas do eSCM-SP e eSCM-CL podem ser muito
teis. Se a empresa decide que o gerenciamento de projetos de
TI precisa melhorar, conhecer o PMBOK ou o PRINCE2 (ou
ambos), certamente ser o melhor caminho para construir
uma boa metodologia de gerenciamento de projetos. Enfim,
nesta fase a mudana acontecer e ela poder acontecer de
vrias formas. Quanto maior for o conhecimento sobre o que
o mercado possui para auxiliar a TI, maior ser a probabili-
dade de sucesso.

Encerrar

O encerramento pode significar vrias coisas. Um projeto pode

ser encerrado porque a empresa chega concluso de que ele
no atingir os objetivos estabelecidos inicialmente (a pior
forma de encerramento). Ou, por outro lado, porque os obje-
tivos foram todos atingidos. Assim, para ter uma ideia clara
de quando o projeto termina, imprescindvel dizer aonde ele
que chegar... Ou seja, quais so os objetivos.

CEC I E R J E X T E N S O E M G O V E R N A N A 321
Governana em Tecnologia da Informao | Outros modelos e normas de Governana

Portanto, antes de iniciar o projeto, tenha certeza de que os

documentos de iniciao contm frases como: Este projeto
visa a implementar processos nas reas X, Y e Z, garantin-
do pelo menos que os objetivos de controle segundo o COBIT
sejam atendidos at o nvel 3. Ou ainda: Este projeto visa a
Sabemos que h
melhorar os processos das reas A, B e C de forma que o
casos em que um
projeto entrega o nvel de maturidade atual, que N1, N2, e N3, atinja os
produto ou resul-
tado conforme os nveis L1, L2, e L3, respectivamente, conforme os controles
requisitos estabele-
cidos pelas partes
estabelecidos pelo COBIT.
interessadas, mas
durante a utilizao A, sim, ficar claro quando o projeto deve terminar.
do produto ele no
traz o retorno espe-
rado. Nesse caso O controle das fases do projeto
podemos dizer que o
projeto foi malsuce- Em ambas as fases, o controle do projeto deve estar ativo em todos
dido? Para responder
a essa pergunta os momentos e em todas as etapas. Os responsveis pelo projeto devem
necessrio entender
o conceito de suces- responder, a todo instante, a questes como: o projeto est alinhado
so operacional do estrategicamente com os objetivos da organizao? Os documentos
projeto e SUCESSO DO
PROJETO. Dizemos que de iniciao do projeto consideram os critrios de seleo do projeto e
sucesso operacional
entregar o produto as metas organizacionais que ele ir ajudar a alcanar? Houve tempo
final do projeto aten-
adequado para planejar o projeto abordando todas as reas necessrias?
dendo aos objetivos
de escopo, tempo e A execuo do projeto est se desviando do plano inicialmente elaborado?
custo e aos requisitos
de qualidade prees- As mudanas necessrias esto sendo analisadas de maneira adequada
tabelecidos. Porm,
o sucesso do projeto
para que no se perca o controle sobre o que est sendo feito? Os res-
em si depende do ponsveis pela aceitao dos resultados finais de cada fase foram ouvidos
ciclo de vida do pro-
duto, ou seja, de sua durante a iniciao da fase? Os riscos que podem afetar os objetivos
utilizao pela orga-
nizao contratante. foram determinados? Novos riscos surgiram durante a execuo?
No exemplo acima, Enfim, controlar e monitorar um projeto envolve todo o esforo
houve sucesso ope-
racional, mas no dos gerentes e da prpria equipe de projeto em garantir que o trabalho
sucesso do projeto
em si. Note que o de planejamento no ter sido em vo e que as aes corretivas e pre-
conceito de suces-
ventivas necessrias sero tomadas em tempo hbil.
so de projeto est
diretamente ligado No caso especfico da Governana em TI, vrias questes de con-
eficcia estratgica, e
o conceito de suces- trole so importantes. O projeto envolve criao e implantao de novos
so operacional est
diretamente ligado
processos de TI? Quais os resultados esperados dos processos, uma vez
eficincia opera- que eles estejam em produo? Neste caso, note que o SUCESSO DO PROJETO
cional.
depende dos resultados iniciais do processo criado (ou modificado), uma
vez que ele esteja em produo. Por isso, em alguns casos, o controle

322 Governana: Gesto, Auditoria e Tecnologia da Informao

 12
do projeto visando melhoria contnua e captura de lies aprendidas
pode inclusive extrapolar os limites do projeto e permanecer ativo aps

AULA
o seu encerramento.

Atividade 3
Nesta seo descrevemos, de forma resumida, os passos a serem seguidos na conduo de
2
um projeto de Governana em TI. Em que os conceitos apresentados foram baseados?

Resposta
Os conceitos foram baseados nas boas prticas de gerenciamento de projetos do
PMBOK e do PRINCE2. Embora estejamos lidando com a Governana em TI, existe
muito em comum com relao arte de gerenciar projetos, independentemente da
rea, que pode ser aplicado em qualquer contexto. Foi isso que fizemos aqui dentro
do contexto de um projeto de Governana em TI. Observe que, em alguns casos, o
PMBOK (ou o PRINCE2) poder ser usado de maneira recursiva e ajudar duas vezes
a empresa. Por um lado, as boas prticas de gerenciamento de projetos serviro para
conduzir todo o esforo em implementar processos adequados para as reas da TI,
conforme discutido nesta seo. Por outro lado, se uma das reas de processo a ser
melhorada a prpria rea de gerenciamento de projetos de TI (PO10 do COBIT),
as boas prticas de projeto acabam sendo utilizadas novamente para construir a
metodologia dentro da organizao.

CONCLUSO

Lembre-se sempre de que as boas prticas, normas e padres de

TI no fazem o trabalho por si ss! Voc deve se esforar por se manter

CEC I E R J E X T E N S O E M G O V E R N A N A 323
Governana em Tecnologia da Informao | Outros modelos e normas de Governana

atualizado e conhecer o que escrito sobre o assunto e, principalmente, o

que se torna consenso no mercado mundial. Porm, no caia na armadilha
de achar que tudo importante! Quando tudo importante, na verdade,
nada o .
Governana em TI saber o que melhor para a empresa e definir
quando, como e onde fazer as mudanas. Boas prticas de TI devem ser
conhecidas, para que voc no precise reinventar a roda. Normas devem
ser seguidas para que sua empresa no se coloque em uma posio de infe-
rioridade perante os concorrentes. Padres devem ser adotados para que a
sua organizao possa competir em mercados diferenciados.
O novo cenrio internacional tambm obriga a TI a pensar em
obrigaes legais, regulatrias e ticas, alm da eterna busca por eficincia
operacional e eficcia estratgica. A Governana em TI se ocupa da melhoria
contnua sob todas as formas de relacionamento entre o portflio da TI e o
negcio, em todos os nveis, no curto, mdio e longo prazos. Nesse cenrio,
em que tudo parece ser importante, o essencial garantir a existncia de uma
boa Governana em TI que decida, entre o tudo e o nada, o que de fato ser
feito em prol da organizao sem assumir riscos desnecessrios e a um custo
que possa ser absorvido pelo negcio.

INFORMAES SOBRE FRUM

Vamos discutir os assuntos desta aula no frum desta semana?

Ttulo: O projeto de Governana em TI.
Objetivo: Acabamos de estudar, de forma resumida, um projeto de Governana em TI. Hoje em dia,
quando usamos a palavra projeto, no mais possvel dissoci-la das prticas do Guia PMBOK e do
PRINCE2, embora este ltimo ainda seja pouco conhecido e utilizado no Brasil. Vamos discutir neste
frum um pouco mais a questo do projeto de Governana. Voc j participou de um projeto de gover-
nana? Os objetivos de escopo, tempo e custo foram claramente definidos no incio do projeto? Alm
da ITIL e do COBIT, o que mais fez parte do escopo do projeto? O projeto foi bem-sucedido? As boas
prticas de gerenciamento de projetos foram utilizadas? Enfim, vamos discutir estas e outras questes
no frum desta semana.

Atividade online
V
Vamos elaborar um esboo de plano de projeto que poderia ser o resultado 1 2
da fase de pr-projeto de um projeto de Governana em TI na sua organi-
zao. Nesta atividade vamos poder compartilhar modelos de plano e outros artefatos
voltados para projetos de Governana em TI.

324 Governana: Gesto, Auditoria e Tecnologia da Informao

RESUMO

12
AULA
A ISO 20000 uma famlia de normas publicadas em 2005 derivadas das
normas britnicas BS 15000 (que so de 2003). Ambas so diretamente
baseadas na ITIL v2 (publicada em 2000). Ou seja, so as boas prticas da
ITIL que evoluram e foram transformadas em requisitos de um padro.
A ISO 27000 uma famlia de normas publicadas em 2005 com objetivos
de controle reunidos em 11 reas relacionadas segurana da informao.
So 33 objetivos gerais de controle que renem 139 objetivos especficos.
O eSCM-SP e o eSCM-CL so conjuntos de boas prticas para a terceirizao
escritos pelo SEI, mesmo instituto que desenvolveu o CMM-SW e, mais tarde
o CMM-I, que deu origem aos modelos de maturidade to utilizados pela
Governana.
O eSCM-SP um conjunto de boas prticas de terceirizao para a
organizao fornecedora (service provider). Sua primeira verso foi escrita
em 2001. A verso atual, a 2.1, de 2006.
O eSCM-CL um conjunto de boas prticas de terceirizao para a
organizao contratante (client organization). Sua primeira verso foi escrita
em 2003. A verso atual, a 1.1, de 2006.
A ISO 38500 uma norma recentemente publicada (em 2008) sobre a
Governana em TI com definies, princpios e diretrizes sobre o tema
que pretendem se tornar padro mundial sobre o tema os setores da
indstria.
Um projeto de Governana em TI um projeto como outro qualquer.
O mais importante entender o que Governana e conduzir o trabalho
utilizando boas prticas de gerenciamento de projetos.
As normas, padres e boas prticas relacionadas Tecnologia da
Informao s iro ajudar a organizao se ela souber onde, como, quando
e por que aplic-los.

CEC I E R J E X T E N S O E M G O V E R N A N A 325
Governana em Tecnologia da Informao | Outros modelos e normas de Governana

Informao sobre a prxima aula

Chegamos ao final do nosso curso. Esperamos que voc

tenha aproveitado o seu contedo e que tenha entendido os
conceitos.

Esperamos ver voc em outros nossos prximos cursos!

Atividades Finais
1) As normas ISO 27000, ISO 27001 e ISO 27002 possuem, respectivamente:

a. Vocabulrio, cdigo de prticas e especificao de requisitos.

b. Vocabulrio, especificao de requisitos e cdigo de prticas.
c. Especificao de requisitos, cdigo de prticas, e vocabulrio.
d. Cdigo de prticas, especificao de requisitos e vocabulrio.

2) Na ISO 27001, poltica de segurana, segurana da informao organizacional, geren-

ciamento de ativos e segurana de recursos humanos so:

a. Objetivos de controle genricos.

b. Objetivos de controle especficos.
c. reas da segurana da informao.
d. Controles da segurana da informao.

3) A norma ISO 38500 inaugura uma nova srie de princpios que devem reger a Governan-
a em TI. Qual das alternativas abaixo contm somente princpios indicados na norma:

a. Desempenho, conformidade e comportamento humano.

b. Imparcialidade, estratgia e aquisio.
c. Confiabilidade, estratgia e aquisio.
d. Responsabilidade, estratgia e integridade.

4) Qual a diferena entre sucesso do projeto e sucesso operacional do projeto? D um

exemplo.

326 Governana: Gesto, Auditoria e Tecnologia da Informao

 12
5) (Analista Tcnico de TI SUSEP ESAF/2006) A prtica Conformidade com requisitos

AULA
legais da ISO/IEC 17799 est relacionada, no COBIT, com os processos

a. Gerencia a comunicao das direes de TI; Assegura o alinhamento de TI

com os requisitos externos; Gerencia Dados; Monitora processos e Prov
Auditorias independentes.
b. Identifica as solues de automao e Prov Auditorias independentes.
c. Identifica as solues de automao; Monitora processos e Gerencia Mudanas.
d. Adquire e mantm os softwares; Assegura segurana dos servios; Monitora
processos e Gerencia Mudanas.
e. Adquire e mantm os softwares; Assegura segurana dos servios e Prov
Auditorias independentes.

6) (Analista Tcnico de TI SUSEP ESAF/2006) O relacionamento entre o COBIT e a ISO/

IEC 17799 permite que se faa um mapeamento entre as estratgias de negcios do
COBIT e a aplicao das prticas da ISO/ IEC 17799. Com relao a esse relacionamento,
correto afirmar que o processo

a. DS1 define e mantm os acordos de nveis de servio do COBIT est relacionado

prtica Segurana de arquivos do sistema da ISO/IEC 17799:2000.
b. DS5 assegura segurana dos dados do COBIT est relacionado prtica Geren-
ciamento da Rede da ISO/IEC 17799:2000.
c. DS11 gerencia os dados do COBIT est relacionado prtica Requisitos do
negcio para controle de acesso da ISO/IEC 17799:2000.
d. AI5 instala e certifica software do COBIT est relacionado prtica Treinamento
dos usurios da ISO/IEC 17799:2000.
e. AI3 adquire e mantm a infraestrutura Tecnolgica do COBIT est relacionado
prtica Responsabilidades do usurio da ISO/IEC 17799:2000.

7) As prticas descritas no eSCM utilizam modelos de capacidade e de maturidade semelhan-

tes ao modelo de maturidade do COBIT. Como o nvel de maturidade obtido, por exemplo,
pelo DS2 do COBIT pode ser mapeado em um nvel de capacidade do eSCM-SP?

Respostas
1) Alternativa b. importante lembrar que ISO 20000 pode se referir a uma norma
(vocabulrio) ou a um conjunto de normas. preciso especificar.

2) Alternativa c. No anexo A a ISO 27001 se refere ao A.5 (poltica), A.6 (segurana

organizacional), A.7 (ativos) e A.8 (recursos humanos) como reas da segurana da
informao.

3) Alternativa a. Uma das dificuldades na aplicao de uma norma costuma ser

a sua interpretao. importante conhecer os princpios que regem a norma, pois
quando a interpretao estiver difcil ou duvidosa os princpios clarificaro os conceitos.
Seis princpios so descritos na ISO 38500: responsabilidade, estratgia, aquisio,
desempenho, conformidade e comportamento humano.

CEC I E R J E X T E N S O E M G O V E R N A N A 327
Governana em Tecnologia da Informao | Outros modelos e normas de Governana

4) Sucesso operacional entregar um produto na data acordada, atendendo aos

requisitos do cliente e sem estourar o oramento previsto. O sucesso do projeto
depende da utilizao do produto e dos resultados que sero alcanados atravs
dele durante a sua vida til.

5) Alternativa a. Para responder a esta questo necessrio conhecer bem a

ISO 17799 (ou ISO 27001). Observe que as outras alternativas trazem itens como
identificao de solues automatizadas e aquisio de software que no tm
tanto a ver com a conformidade. A alternativa correta traz processos do domnio
monitorar e avaliar (ME), e outros processos importantes que so citados na ISO
27001 (antiga ISO 17799). Observe ainda que a questo - de 2006 - menciona
a ISO 17799 em vez da ISO 27000 (que j havia sido publicada desde 2005).

6) Alternativa d. Esta questo tambm exige conhecimento mais profundo da

norma que define o SGSI segundo a ISO. Observe que freqente a necessida-
de de se fazer o mapeamento entre o COBIT e a ISO 17799 conforme vimos
ao longo do curso. Caso tenha se interessado, voc pode obter uma cpia das
normas ISO 27001 (requisitos) e ISO 27002 (cdigo de prticas) e estudar o seu
relacionamento com os controles do COBIT. uma tima forma de aprender mais
sobre a boa Governana.

7) O nvel de maturidade do COBIT definido para um processo de acordo com o

modelo de maturidade. O eSCM-SP possui 84 boas prticas para terceirizao e
possvel pensar em um processo para cada boa prtica. Neste caso, cada processo
pode receber um nvel de capacidade. Uma abordagem ver o DS2 do COBIT como
um processo e as 84 prticas do eSCM-SP como subprocessos. Lendo o modelo
de maturidade do COBIT para o DS2 fica fcil identificar quais boas prticas so
essenciais para cada nvel e, portanto, quais dos 84 processos devem ser priorizados
dependendo do nvel que a empresa queira atingir. Perceba que o nvel de maturidade
do processo pode ser obtido desta forma (segundo o COBIT), ou pode ser obtido
do prprio eSCM-SP, que diz exatamente quais prticas tm a ver com quais nveis
de maturidade. Esta segunda abordagem til quando a empresa est pensando
somente nas questes da terceirizao e que usar somente o eSCM-SP de maneira
isolada (embora esta no seja a abordagem ideal, pois vai de encontro ideia da
Governana em TI).

328 Governana: Gesto, Auditoria e Tecnologia da Informao