Explorar E-books
Categorias
Explorar Audiolivros
Categorias
Explorar Revistas
Categorias
Explorar Documentos
Categorias
Informação
A globalização da economia e os avanços tecnológicos acirraram a concorrência entre as empresas, o que fez surgir
mercados cada vez mais dinâmicos e competitivos. Diariamente as decisões impactam as empresas e pessoas ao redor do
mundo. Em um cenário assim existe a necessidade das organizações agirem com rapidez e eficiência. Ao mesmo tempo,
não existe mais espaço para a falta de controle e de planejamento no ambiente empresarial.
As organizações tiveram que repensar seu processo de gestão e assim surgiu a governança corporativa e de TI para garantir
a uniformidade das ações de gestão, bem como a efetividade, eficácia e eficiência das organizações.
Nesta aula, compreenderemos as motivações para a implementação da governança corporativa e de TI. Identificaremos as
principais motivações e características de cada uma das governanças e suas relações, analisando o processo decisório de
TI e como os arquétipos deste processo decisório pode influenciar nas ações de TI. Conheceremos ainda a importância da
elaboração de um plano de Tecnologia da Informação como ferramenta de gestão na implementação da governança de TI.
Bons estudos!
Objetivos
Esses desafios sociais e ambientais globais, regionais e locais da época afetaram as organizações, suas estratégias e suas
cadeias de valor, impondo transformações na rotina operacional e administrativa das empresas.
As transformações ocasionaram uma mudança na estrutura de controle das empresas com a separação da propriedade e da
gestão empresarial.
Essa separação deu origem à discussão sobre a governança corporativa e aos conflitos entre o melhor interesse da organização
e os interesses dos sócios e executivos (conflito de agência).
Uma vez que os interesses do primeiro
nem sempre estão alinhados aos do
último, podem ocorrer conflitos.
A teoria do agente principal ou teoria da firma teve sua origem com a publicação de estudo realizado pelos economistas Jensen
e Meckling em empresas norte-americanas e britânicas, em 1976.
Baseado no estudo, os dois pesquisadores chegaram à conclusão que executivos contratados por acionistas tenderiam a agir em
interesse próprio, focando em seus próprios benefícios (mais poder, salários maiores, estabilidade) em detrimento dos interesses
da empresa, dos acionistas e demais partes interessadas.
Para mitigar o problema e garantir o sucesso da empresa, foi sugerida a adoção de uma série de medidas para o alinhamento
dos interesses dos envolvidos que incluíam entre outras ações:
1 2
Monitoramento Controle
3
Divulgação de informações
Essas medidas receberam o nome de governança corporativa. Ao mesmo tempo, houve a necessidade de mudança nas ações
praticadas nas organizações, de forma a atender os ganhos financeiros e também os anseios sociais e ambientais.
Governança corporativa é o sistema pelo qual as empresas e demais organizações são
dirigidas, monitoradas e incentivadas, envolvendo os relacionamentos entre sócios,
conselho de administração, diretoria, órgãos de fiscalização e controle e demais partes
interessadas.
Conjunto de responsabilidades e práticas exercidas pela diretoria e pela gerência
executiva com os objetivos de fornecer uma direção estratégica, garantir que as metas
sejam atingidas, certificar-se de que os riscos sejam gerenciados corretamente e garantir
que os recursos da empresa sejam utilizados de modo responsável.
Equidade
Prestação de contas
Os agentes da governança corporativa prestam contas e são responsáveis pelos seus atos e omissões.
Responsabilidade corporativa
Os agentes de governança devem zelar pela sustentabilidade das organizações, visando sua longevidade, incorporando
considerações de ordem social e ambiental na definição dos negócios e operações.
A governança corporativa deve garantir que esses princípios sejam efetivos, seja por sua vontade expressa ou requerida, face ao
ambiente regulatório em que a organização se encontra. Desse modo, as organizações lançam mão de modelos de controle
interno e gestão de risco para garantir essa efetividade.
Dependendo do negócio da organização, existem vários marcos reguladores e que obrigatoriamente devem ser seguidos.
Exemplo
Instituições financeiras e bancos devem atender, entre outras leis e regulamentações, às normas e resoluções do Banco Central
do Brasil, como a Resolução 33801 .
Uma das consequências na sua implementação é que a qualidade da informação ganha destaque e importância, tendo em vista
o impacto direto na qualidade dos sistemas automatizados e dos processos organizacionais, considerando que a confiabilidade
dos relatórios financeiros depende diretamente de um ambiente de TI com controles eficientes e efetivos.
A empresa que utiliza as boas práticas de governança corporativa tem como referência:
1 2
3 4
Para obter sucesso na implementação da governança, o conselho de administração da organização deve exercer seu papel:
Outra fonte de inspiração é o Committee of Sponsoring Organizations of Treadway Commission (COSO), uma organização
voluntária do setor privado que se dedica a orientar operações de negócios mais eficazes, eficientes e éticas.
Saiba mais
Para saber mais sobre regulamentação de governança, leia o texto “Lei Sarbanes-Oxley (SOX) <galeria/aula1/docs/Lei_Sarbanes-
Oxley(SOX).pdf> ”.
Atividade
1 - A governança corporativa é norteada por diferentes princípios que são seguidos pelas organizações.
Qual é o nome do princípio que trata que todos os acionistas devem ser tratados da mesma forma, com imparcialidade e sem
distinção?
Governança de TI
Segundo o IT Governance Institute, a governança de TI é de responsabilidade dos executivos e diretorias e consiste na liderança,
nos processos e nas estruturas organizacionais que garantem que a TI da empresa apoie e expanda as estratégias e os objetivos
da organização. Para que a governança de TI atue em toda a extensão da organização, é preciso estabelecer os mecanismos de
processo de decisão e o alinhamento estratégico com o negócio da organização.
Gerentes reunidos em volta de uma mesa com computador | Fonte: Gorodenkoff / Shutterstock
1 2
Alinhamento da arquitetura de TI
Promover o alinhamento da arquitetura de TI, sua
infraestrutura e aplicações às necessidades do negócio, em
termos de presente e futuro.
4 5
A governança de TI deve estabelecer os relacionamentos formais e informais e conferir direitos decisórios a um papel ( CEO2 ),
ou a um grupo de papéis específicos ( CFO, CPO, CIO, entre outros3 ) no lado normativo, e focar na definição de mecanismos,
formalizando relacionamentos e estabelecendo regras e procedimentos operacionais que proporcionarão que os objetivos sejam
atingidos.
Nesse caso, é importante conhecermos o ciclo de governança de TI que é composto por quatro etapas:
Processo decisório de TI
Um dos objetivos da governança de TI é prover o emprego de regras claras para as responsabilidades sobre decisões e ações
relativas à TI no âmbito organizacional e, nesse sentido, precisamos compreender as questões que envolvem esse processo
decisório que basicamente pretendem responder as seguintes questões:
Quais decisões devem ser tomadas para garantir a gestão e o uso eficaz da TI?
Quem deve tomar estas decisões?
Como essas decisões serão tomadas e monitoradas?
As decisões devem considerar necessariamente os diferentes aspectos que envolvem a área de TI:
Devem ser analisadas quais as iniciativas de TI que receberão investimentos financeiros e de quanto será este investimento.
Essa decisão será fundamental para a priorização de investimentos e deve ser institucional, de forma que a alta
administração possa decidir onde colocar o dinheiro, muito provavelmente alinhado aos objetivos e metas do negócio.
Princípios de TI
Devem ser definidos os princípios de TI da organização, que refletirão um comportamento adequado tanto para os
profissionais quanto para os usuários de TI e devem esclarecer pelo menos três expectativas para a TI na empresa:
• Qual o modelo operacional de TI desejado na organização?
• Como a TI dará suporte ao modelo desejado?
• Como a TI será financiada?
Arquitetura de TI
Devem ser definidos os requisitos de integração e padronização da tecnologia e de negócio por meio da organização lógica
dos dados, de aplicações e infraestrutura.
Devem ser especificadas as necessidades de negócio de aplicações de TI, que podem ser adquiridas no mercado ou
desenvolvidas internamente na organização.
Estratégias de infraestrutura de TI
Devem ser definidos os serviços compartilhados de TI e de suporte, de modo a prover serviços confiáveis para a
organização.
Como acabamos de ver, as decisões de TI devem considerar cada um dos aspectos discutidos acima e o desafio encontrado
pelas organizações é identificar quem deve tomar a decisão nas diferentes situações de governança. Por isso é importante
conhecermos os diferentes arquétipos que identificam o tipo de função envolvida na tomada de decisão de TI:
Monarquia de Negócio Monarquia de TI
Altos executivos de negócio tomam as decisões de TI que A decisão é tomada pelos especialistas de TI.
afetarão toda a empresa.
Feudalismo
Cada unidade de negócio toma decisões independentes.
Duopólio de TI Federalismo
A decisão envolve dois grupos, um deles o de TI e um Combinação entre o centro corporativo e as unidades de
outro grupo da organização. negócio, com ou sem envolvimento do pessoal de TI.
Anarquia
Tomada de decisões individuais ou por pequenos grupos
de modo isolado, com base somente em suas
necessidades locais.
Atividade
2 - Um dos desafios das organizações no processo decisório de TI é identificar quem deve tomar a decisão nas diferentes
situações de governança. Como é o processo decisório no arquétipo denominado Feudalismo?
Framework de governança de TI
Devido ao elevado valor dos investimentos, é muito comum a alta direção das organizações colocar em dúvida o valor dos
investimentos realizados na área de TI. Outro ponto importante é que a falta de controle e de organização na área de TI
proporciona que sejam percebidos pela alta direção:
1 2
Sistemas que necessariamente não aprimoram os processos Investimentos em software e hardware sem o retorno
de negócios esperado
3 4
Na maioria das vezes, a solução adotada pela alta direção da organização é de demitir o CIO ou de terceirizar a área, o que
necessariamente não irá solucionar a questão.
Weill e Ross (2006) propõem um framework de governança de TI que ajuda as organizações a entender, projetar, comunicar e
sustentar uma governança eficaz. Observe a seguir.
Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online
O processo de alinhamento estratégico da Tecnologia da Informação procura determinar qual deve ser o alinhamento da TI com
as necessidades presentes e futuras do negócio:
Arquitetura
Infraestrutura
Aplicações
Processos
Organização
É o processo de transformar a estratégia do negócio em estratégias e ações de TI que garante que os objetivos de negócio sejam
apoiados. Com os avanços tecnológicos atuais, esse processo de alinhamento passou a ser bidirecional e a TI também pode
potencializar as estratégias de negócio nas organizações.
Nesse caso, será importante a definição do portfólio de TI para auxiliar na priorização dos investimentos de TI com base no
alinhamento com os objetivos estratégicos do negócio e facilitar para a organização identificar onde deve investir. Ele também é
utilizado para o monitoramento e o gerenciamento de projetos, serviços, inovações e ativos para estabelecer as regras sobre o
que entra e sai do portfólio ao longo do tempo:
Normalmente, um plano de Tecnologia da Informação é elaborado por um determinado período de tempo e revisado anualmente.
O plano deve contemplar as seguintes informações:
1 2
Princípios de TI Arquitetura de TI
3 4
5 6
7 8
11 12
• Quando a organização se reúne para definir objetivos de negócio de médio e longo prazos e
estabelece estratégias para atingir esses objetivos, produzindo um plano estratégico ou um
plano de negócios que posteriormente é desmembrado em planos táticos e operacionais para
implementação.
Atividade
3 - Complete a frase:
O digite a resposta é o processo de transformar a estratégia do negócio em estratégias e ações de TI que garantam que
os objetivos de negócio sejam apoiados pela TI. O digite a resposta é o seu principal produto.
Notas
Resolução 3380 1
A Resolução 3380 determina que instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do
Brasil implementem estrutura de gerenciamento do risco operacional. Nesse caso, o risco operacional é a possibilidade de
ocorrência de perdas resultantes de falha, deficiência ou inadequação de processos internos, pessoas e sistemas, ou de eventos
externos.
CEO 2
Referências
BANCO CENTRAL DO BRASIL. Resolução 3380 — Dispõe sobre a implementação de estrutura de gerenciamento do risco
operacional. Disponível em: https://www.bcb.gov.br/pre/normativos/res/2006/pdf/res_3380_v2_l.pdf
<https://www.bcb.gov.br/pre/normativos/res/2006/pdf/res_3380_v2_l.pdf> Acesso em: 8 jan. 2019.
INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA (IBGC). Código das melhores práticas de governança corporativa. 5.
ed. Disponível em: http://conhecimento.ibgc.org.br/Paginas/Publicacao.aspx?PubId=21138
<http://conhecimento.ibgc.org.br/Paginas/Publicacao.aspx?PubId=21138> Acesso em: 8 jan. 2019.
FERNANDES, A. A.; ABREU, V. F. Implantando a Governança de TI: da Estratégia à Gestão dos Processos e Serviços. 4. ed. Rio de
Janeiro: Brasport, 2014.
Próxima aula
Explore mais
Assista ao filme Os mais espertos da sala <http://www.adorocinema.com/filmes/filme-59325/> , que trata sobre a empresa
Enron, caso que deu origem a Lei SOX.
Na aula anterior discutimos os conceitos básicos da governança corporativa e de TI, suas motivações, características e a
necessidade de controlar as ações da organização. Nesta aula, vamos nos aprofundar nos conceitos de controle de TI e em
como os indicadores podem auxiliar e alavancar as ações de governança.
Analisaremos como a gestão de riscos auxilia a governança de TI e como utilizá-la em uma abordagem de balanceamento
de custos e benefícios das ações de TI, auxiliando a organização na melhoria contínua de seus serviços e resultados. Por
fim, abordaremos o conceito de compliance como uma ferramenta para aferição de conformidade da área de TI a
regulamentos internos e externos.
Objetivos
(Fonte: Shutterstock)
Entre esses princípios identificamos dois fundamentais e motivadores para a implementação da gestão de desempenho nas
organizações:
Para garantir que esses princípios sejam efetivos, as organizações lançam mão de modelos
de controle interno e gestão de risco.
PLANEJAMENTO
DIREÇÃO
ORGANIZAÇÃO
Ele fornece feedback, além do estabelecimento de padrões, mensuração de desempenho e correção de desvio, por isso a
importância da sua utilização na melhoria contínua das ações organizacionais.
Avaliação
Mensuração
Ação empresarial
dos
resultados
Todas as ações de TI independentemente se são resultados da prestação de serviços, de
planos estratégicos ou de projetos, só podem ser gerenciadas se tiverem medições e
indicadores.
É possível mensurar qualquer atividade que gere números ou valores para a organização. A grande questão é descobrir quais são
os indicadores mais importantes para o negócio e para a organização de forma a não perder tempo acompanhando os que são
menos relevantes.
Administrativos e gerenciais
Entrada de dados
Processamento
A organização deverá adotar um sistema de medição que definirá o desempenho da empresa, baseado em um conjunto de
indicadores previamente estabelecidos e que atendam à demanda do negócio.
(Fonte: Shutterstock)
Medir é importante para que se entenda o que está acontecendo na gestão, quais mudanças devem ser feitas e quais foram os
impactos das mudanças já realizadas. Com essas respostas, é possível acompanhar se as metas para a organização estão
sendo alcançadas e medir qual a porcentagem de melhoria ou piora em relação às medições anteriores.
Existem diversos tipos de indicadores, cada qual com uma finalidade. Para definir indicadores que sejam relevantes para a área
de TI, é necessário compreender qual é a função dessa área na organização e seu direcionamento estratégico. Exemplos de
indicadores:
Capacidade
Produtividade
Trata da relação entre o produto gerado por uma determinada tarefa e o recurso utilizado para sua execução.
Exemplo: Um carpinteiro consegue produzir 30 peças em uma hora e outro profissional, no mesmo período, produz 10
peças.
Lucratividade
Trata da relação entre o lucro e as vendas totais de uma organização medido em percentual.
Exemplo: A empresa ABC vendeu R$600.000,00 em horas de consultoria e apurou um lucro de R$60.000,00. Portanto a
lucratividade foi de 10%.
Qualidade
Trata da relação entre todos os itens produzidos de um determinado produto e os itens deste mesmo produto que não
apresentaram defeitos ou inconformidades.
Exemplo: 4.900 peças adequadas a cada 5.000 produzidas (98% de conformidade).
Gestão de desempenho de TI
A gestão do desempenho de TI tem como objetivos:
Entender os motivos da variação positiva ou negativa dos resultados obtidos em comparação com os resultados
1 2
Verificar se o objetivo de TI foi atendido conforme planejado pela organização.
planejados.
Caso os resultados apresentem variação negativa, ações corretivas, preventivas ou de melhorias no processo devem ser
recomendadas, monitoradas e implementadas, e posteriormente monitoradas.
Os resultados de TI são as medições derivadas de toda a prestação de serviços em termos de entrega de projetos e serviços e do
atendimento a planos estratégicos e táticos. Esses resultados podem ser avaliados por meio:
1 2
1 2
Para que esses resultados possam ser efetivamente medidos e monitorados, a organização deverá lançar mão da utilização de
indicadores de desempenho.
Indicadores de desempenho
Um indicador de desempenho, também conhecido como KPI (sigla em inglês para Key Performance Indicator) é utilizado para:
Medir e avaliar o desempenho de processos, e gerenciá-los da Medir e avaliar as metas e objetivos previamente estipulados
maneira mais eficaz e eficiente possível. pelas organizações.
Um indicador é uma informação estruturada que permite comparações, inclusive com indicadores de outras organizações. Serve
para comparar a métrica com um valor-base definido previamente (baseline) ou com um resultado esperado.
Fonte: Shutterstock
Fonte: Shutterstock
Fonte: Shutterstock
Fonte: Shutterstock
A medição é necessária para confirmar que os esforços dispendidos na melhoria tiveram efeito e, assim, apoiar o sistema de
melhoria contínua da organização.
Os indicadores precisam ser apurados e documentados regularmente. Para que esse controle seja feito, é necessário definir as
diretrizes de controle para cada indicador, ou seja, devem estar presentes na documentação de cada indicador:
Indicador (nome do indicador)
Descrição Fórmula
O que o indicador mede e qual a sua finalidade. Como o indicador é calculado e a unidade de medida (número percentual, valor etc.)
Cada organização deve escolher o conjunto de indicadores relevantes para o seu negócio. Os indicadores de desempenho (KPI)
devem observar as seguintes características:
A organização deverá definir o objetivo estratégico a ser medido. Todos os objetivos estratégicos de uma determinada área da
organização devem ser mensurados individualmente, a partir de indicadores.
Para realizar o monitoramento, a organização poderá criar dashboards de gestão, agrupando os indicadores em diferentes níveis:
Clique nos botões para ver as informações.
Indicadores estratégicos
São os indicadores primários da organização, que serão acompanhados pela diretoria. O principal propósito é demonstrar
de forma rápida se os objetivos estratégicos estão sendo alcançados.
Exemplo: Faturamento bruto.
Indicadores táticos
São indicadores secundários, que serão acompanhados pelas gerências de cada departamento. Apesar de não serem
estratégicos, seus resultados devem ser ligados aos resultados dos indicadores estratégicos.
Exemplo: Faturamento por linha de produto ou por canal de vendas.
Indicadores operacionais
Indicadores que serão acompanhados pelos especialistas de cada área. Esses indicadores têm a função de fornecer mais
detalhes para entendimento dos resultados dos indicadores táticos e estratégicos.
Exemplo: Número de vendedores por canal de vendas.
O monitoramento do desempenho ocorre quando o resultado atingido é comparado com os resultados esperados, normalmente
a intervalos regulares. Esse monitoramento deve responder as seguintes perguntas:
A partir desse monitoramento, a organização deverá estabelecer um plano de ação para atingir corrigir os possíveis desvios
encontrados. O plano de ação deve deixar claro tudo o que deverá ser feito para o cumprimento dos objetivos e metas.
Comunicação
A maneira mais eficiente de comunicação do desempenho
organizacional é por meio da criação de dashboard que
permita ao executivo consultar e entender, de forma rápida, o
desempenho da TI.
Saiba mais
Com a visão global dos dados, é possível identificar tendências e relações, levando o gestor a uma percepção mais profunda da
situação, fornecendo uma visão geral do que está acontecendo no ambiente organizacional e permitindo diagnosticar por que
algo ocorreu e sua origem.
Gestão de risco
Você sabe o que é risco?
As organizações de todos os tipos e tamanhos enfrentam influências e fatores internos e
externos que tomam incerto se e quando elas atingirão seus objetivos. O efeito que essa
incerteza tem sobre os objetivos da organização é chamado de risco.”
A organização deve dar uma atenção especial aos riscos de TI, que podem comprometer a operação da organização e gerar
impacto nos negócios. Por isso, deve criar e manter uma estrutura de gestão de risco que documente os riscos de TI, as
estratégias de mitigação e os riscos residuais1 .
Estratégias de mitigação de risco devem ser adotadas para minimizar os riscos residuais a níveis aceitáveis. O resultado da
avaliação deve ser entendido pelas partes interessadas, e expresso em termos financeiros, para permitir que as partes
interessadas alinhem o risco a níveis de tolerância aceitáveis. Entretanto, precisamos considerar que nem sempre o risco
percebido é o risco verdadeiro.
Segundo a norma ISO 31000, o processo de gestão de riscos envolve as seguintes atividades:
A gestão de riscos contempla uma série de atividades relacionadas à forma como uma organização lida com o risco. Cobre todo
o ciclo de vida de tratamento de risco, desde sua identificação até a comunicação às partes envolvidas.
Fonte de risco: É um elemento que, individualmente ou combinado, tem o potencial intrínseco para dar origem ao risco.
Evento: Representa a ocorrência ou alteração em um conjunto específico de circunstâncias. Um evento pode consistir em
uma ou mais ocorrências, podendo ter várias causas.
Consequência: É o resultado de um evento que afeta os objetivos. Um evento pode levar a uma série de consequências. Uma
consequência pode ser certa ou incerta e pode ter efeitos positivos ou negativos sobre os objetivos.
QUALITATIVO QUANTITATIVO
Em vez de usarmos valores numéricos para A métrica é feita por meio de uma metodologia na
estimar os componentes do risco, trabalhamos qual tentamos quantificar em termos numéricos os
com menções mais subjetivas como alto, médio e componentes associados ao risco. O risco é
baixo. O que torna o processo mais rápido. Os representando em termos de possíveis perdas
resultados dependem muito do conhecimento do financeiras.
profissional que atribuiu notas aos componentes
do risco que foram levantados.
Os critérios de risco representam os termos de referência contra a qual o significado de um risco é avaliado. Eles são baseados
nos objetivos organizacionais e no contexto externo e interno, e podem ser derivados de normas, leis, políticas e outros requisitos.
O nível de risco representa a magnitude de um risco, expressa em termos da combinação das consequências e de suas
probabilidades.
A probabilidade e o impacto associado ao risco inerente e residual devem ser determinados individualmente, por categoria, e
com base no portfólio da organização.
1 2
Preventivas Corretivas
Controles que reduzem a probabilidade do risco se concretizar Reduzem o impacto da ocorrência do risco.
ou diminuem o grau do impacto de sua ocorrência.
Detectivas
Disparam medidas reativas, tentando evitar a concretização
do risco.
A comunicação dos riscos identificados pelo processo de gestão de risco deverá ser feita para todas as partes envolvidas no
processo, que precisem ter conhecimento dos riscos, tenham eles sido tratados ou não.
Fonte: Shutterstock
Aceitar um risco é uma das maneiras de tratá-lo. Ocorre quando o custo de proteção contra
um determinado risco não vale a pena.
Compliance
Fonte: Shutterstock
organização, seguir os procedimentos
Estar em compliance é estar em conformidade com
recomendados, agir em conformidade e sentir o
leis e regulamentos internos e externos.
quanto é fundamental a ética e a idoneidade em
todas as nossas atitudes.
O compliance vai além das barreiras legais e regulamentares, incorporando princípios de integridade e conduta ética.
AUDITORIA
Realiza seus trabalhos de forma aleatória e temporal, por meio de amostragens, a fim de certificar o cumprimento das
normas e processos instituídos pela Alta Administração.
COMPLIANCE
Realiza suas atividades de forma rotineira e permanente, sendo responsável por monitorar e assegurar de maneira
corporativa e tempestiva que as diversas unidades da Instituição estejam respeitando as regras aplicáveis a cada negócio,
por meio do cumprimento das regulamentações, dos processos internos, da prevenção e do controle de riscos envolvidos em
cada atividade.
• Para que a função de compliance seja eficaz nas organizações, é necessário o comprometimento da alta administração.
• O compliance deve fazer parte da cultura organizacional, contando com o comprometimento de todos os funcionários.
• Todos são responsáveis por compliance.
• Em relação à área de TI, o compliance refere-se à conformidade da área de TI da organização a regulamentos internos e
externos impostos às suas atividades.
Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online
Atividade
1. A digite a resposta tem objetivo verificar se o objetivo de TI foi atendido conforme planejado pela organização e
entender os motivos da variação positiva ou negativa dos resultados obtidos em comparação com os resultados planejados.
2. Os digite a resposta são indicadores primários da organização, que serão acompanhados diretamente pela diretoria e
seu principal propósito é demonstrar de forma rápida se os objetivos digite a resposta estão sendo alcançados.
3. Na avaliação dos riscos existem dois métodos que podem ser aplicados. O método em que trabalhamos com menções mais
subjetivas como alto, médio e baixo, chama-se:
Notas
-
Riscos residuais 1
Riscos que não podem ser completamente eliminados; a porção do risco existente após todas as medidas de tratamento terem
sido tomadas.
Referências
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS (ABNT). NBR ISO 31000:2018. Gestão de riscos — Princípios e diretrizes. São
Paulo: ABNT, 2018.
FERNANDES, A. A.; ABREU, V. F. Implantando a Governança de TI: da Estratégia à Gestão dos Processos e Serviços. 4. ed. Rio de
Janeiro: Brasport, 2014.
PARMENTER, D. Key performance indicators: Developing, Implementing, and Using Winning KPIs. Nova Jersey, Estados Unidos:
Wiley, 2015.
Próxima aula
Baixe o ebook gratuito Guia completo para ter uma empresa competitiva <http://www.fnq.org.br/informe-se/publicacoes/e-
books> .
Disciplina: Governança em Tecnologia da
Informação
Aula 3: Governança de TI
Apresentação
Com a velocidade do desenvolvimento de novas tecnologias, da globalização, de novos hábitos tecnológicos, pessoais e
organizacionais, da necessidade de vantagem competitiva e da sustentabilidade das organizações, a TI ganha destaque e
vira ferramenta fundamental para alavancar os negócios das organizações.
Nesse contexto, devemos considerar que os investimentos realizados pelas organizações com a área de tecnologia podem
representar uma proporção significativa dos recursos financeiros e humanos, e, para isso, as empresas necessitam de
métodos e ferramentas que possam orientar suas decisões e o caminho a ser seguido em consonância com as
necessidades de negócio.
Nesta aula, analisaremos duas ferramentas importantes para a implementação da boa governança: A ISO 38500 e o COBIT.
Compreenderemos os modelos de governança de TI apresentado e suas principais diferenças.
Bons estudos!
Objetivos
Como já falamos nas aulas anteriores, atualmente, a TI é uma ferramenta fundamental para alavancar os negócios da
organização e, nesse sentido, as despesas com a TI podem representar uma proporção significativa dos recursos financeiros e
humanos da empresa. Desse modo, será essencial que a organização utilize um método para orientar suas decisões e o caminho
a seguir.
O modelo de governança de TI
A norma 31800 propõe um modelo de Governança de TI em que as organizações sejam governadas por meio de três principais
tarefas:
Garantia do uso eficaz da TI e do atendimento aos objetivos de negócio da organização, por meio da
implementação de estratégias e políticas.
As organizações devem continuamente examinar e avaliar o uso atual e futuro da Tecnologia da Informação, considerando
as pressões internas e externas que atuam sobre a empresa, como mudanças tecnológicas, tendências econômicas e
sociais, obrigações regulatórias, de forma a atender os objetivos atuais e futuros da organização, assim como a
manutenção da vantagem competitiva.
Dirigir
Monitorar
Trata da medição do desempenho da TI, que deve estar de acordo com as estratégias estabelecidas, em atendimento aos
objetivos de negócio e em conformidade com as obrigações externas (regulatórias, legislativas e contratuais) e as práticas
internas da organização.
Atividade
1 - A norma ISO 31800 propõe um modelo de governança de TI baseado em três pilares: avaliar, dirigir e monitorar. Analise as
questões a seguir e correlacione as colunas com as definições de cada um dos pilares:
a) Trata da medição do desempenho da TI e que esteja de acordo com as estratégias estabelecidas, os objetivos de negócio e em conformidade com as
obrigações externas e internas da organização.
1 2 3
b) As organizações devem continuamente examinar e avaliar o uso atual e futuro da Tecnologia da Informação, considerando as pressões internas e
externas que atuam sobre a organização.
1 2 3
c) Trata do estabelecimento de responsabilidades e implementação de estratégias e políticas de TI e ainda de uma cultura de governança.
1 2 3
Gabarito
Princípios da governança de TI
Na implementação da boa governança, a norma ISO 38500 define seis princípios para o uso efetivo, eficiente e aceitável de TI e
que devem ser seguidos pelas organizações:
1 2
Responsabilidade Estratégia
Aquisição
1 2
Desempenho Conformidade
Comportamento Humano
Cada princípio trata de uma área específica e tem uma relação direta com os pilares do modelo de governança proposto pela
norma:
Princípio da responsabilidade
Trata do conhecimento e da conscientização por parte dos indivíduos e grupos da organização de suas responsabilidades em
relação ao fornecimento e demanda de TI.
Avaliar Dirigir
A estrutura de governança deve avaliar a competência dos A estrutura de governança deve orientar que a área de TI
responsáveis pelas tomadas de decisões de TI e as preste contas e siga as estratégias já pela organização.
atribuições das responsabilidades em relação ao uso atual e
futuro da TI.
Monitorar
A estrutura de governança deve monitorar o desempenho das
pessoas responsáveis pela governança de TI e também se os
mecanismos apropriados de governança estão estabelecidos.
Princípio da Estratégia
Avaliar Dirigir
As organizações devem avaliar e garantir que o uso da TI e As organizações devem garantir a definição de estratégias e
das atividades de TI estejam alinhadas com os objetivos políticas de forma que as organizações se beneficiem com a
organizacionais e baseados em boas práticas. Devem, ainda, utilização da TI, além de fomentar a prospecção e inovação da
avaliar a evolução dos processos de TI e de negócios de forma utilização da tecnologia de forma a melhorar seus processos
a garantir que atendam as necessidades futuras da ou atender a novos desafios.
organização.
Monitorar
As organizações devem monitorar a implementação das
propostas e o uso da TI, de forma a garantir que atendam aos
objetivos propostos.
Princípio da Aquisição
Trata das aquisições de TI e do equilíbrio adequado entre benefícios, oportunidades, custos e riscos, em curto e longo prazo. As
aquisições devem ser realizadas baseadas em análise apropriadas.
Monitorar
A ideia é um olhar sobre os investimentos realizados em TI, de
forma a garantir que forneçam as capacidades necessárias.
Princípio do Desempenho
Trata da adequação dos serviços fornecidos pela TI, os níveis de serviço e a qualidade destes serviços de forma a atender aos
requisitos atuais e futuros da organização.
Monitorar
A estrutura de governança deve monitorar se os recursos e
orçamentos utilizados pela área de TI são suficientes e foram
priorizados de acordo com os objetivos de negócio da
organização e se as políticas de TI são seguidas
adequadamente.
Princípio da Conformidade
Monitorar
Deve garantir a satisfação da organização em relação a TI e
sua conformidade através da relatórios e práticas de
auditorias.
Trata de como as políticas, práticas e decisões de TI demonstram respeito pelo comportamento humano.
Monitorar
Deve monitorar as práticas de trabalho da TI de forma a
garantir que sejam condizentes com o seu uso adequado.
Avalie o pilar a seguir e marque o princípio a que ele corresponde: “Com o pilar avaliar, a estrutura de governança deve avaliar se a
TI está atendendo as regulamentações (legislativas e contratuais), políticas e normas internas.”
a) Responsabilidade
b) Estratégia
c) Aquisição
d) Desempenho
e) Conformidade
Cobit
O Cobit (Control Objectives for Information and related Technology) fornece um modelo que
auxilia as organizações a atingirem seus objetivos de governança e gestão de TI.
As organizações criam valor por meio da TI, considerando os benefícios, os riscos e os recursos utilizados. Pela norma ISO
38500, o Cobit pode ser aplicado a qualquer organização, de qualquer porte, pública, privada ou organizações sem fins lucrativos.
Ele foi criado em 1994, pela ISACF281 , a partir do seu conjunto inicial de objetivos de controle e vem, desde então, evoluindo
com a incorporação de padrões internacionais técnicos, profissionais, regulatórios e específicos para processos de TI.
Princípios do Cobit
O Cobit baseia-se em cinco princípios para a implementação da boa governança e gestão de TI nas organizações:
Vamos conhecer cada princípio com mais detalhe a seguir.
Consiste no atendimento das partes interessadas, por meio da criação de valor como um
objetivo de governança, considerando a otimização do risco e avaliando a relação de custo-
benefício.
Nesse processo, a governança negocia sobre a avaliação dos recursos, benefícios e riscos, e decide entre interesses de valor das
diferentes partes interessadas. Desse modo, as necessidades das partes interessadas devem ser transformadas em uma
estratégia exequível pela organização.
Para saber mais sobre esse assunto, leia o texto “Necessidades das partes interessadas <galeria/aula3/docs/necessidades.pdf>
”.
Nesse processo, as organizações podem definir diferentes visões para a aplicação da governança. Lá, poderá ser aplicada a toda
a organização, uma entidade, um ativo tangível ou intangível. Por isso, será essencial que a organização defina bem o escopo de
governança.
É importante também a definição de quem está envolvido na governança, como estão envolvidos, o que fazem e como interagem
dentro do escopo de governança definido. Desse modo, é essencial a definição clara de funções, atividades e relacionamento:
3º princípio: Aplicar um modelo único integrado
O Cobit pode ser utilizado como o principal integrador do modelo de governança e gestão,
considerando que ele consegue se alinhar com eficiência a outros padrões, modelos e
práticas, permitindo a construção de uma arquitetura robusta de governança com uma
linguagem comum, não técnica, agnóstico-tecnológica.
No desenvolvimento do Cobit foi considerada uma série de padrões e modelos de referência, amplamente utilizados e
amadurecidos.
Saiba mais
Para que possam ter sucesso na implementação da boa governança e atingir os principais objetivos corporativos, é importante
que esses habilitadores trabalhem de forma interligada, pois:
1 2
Os princípios, as políticas e os modelos orientam de forma Os processos descrevem de forma organizada as práticas e
prática o comportamento desejado na gestão diária. atividades para que a organização possa atingir o objetivo
desejado.
Alguns desses habilitadores também são recursos da organização e, desse modo, devem ser gerenciados:
Boas práticas
As boas práticas apoiam o atingimento das metas de cada habilitador. Elas sugerem formas de como implementar o
habilitador da melhor forma possível, seus possíveis produtos, entradas e saídas.
Partes interessadas
Cada habilitador tem partes interessadas que podem ser internas à organização ou externas e todas possuem seus próprios
interesses e necessidades.
Metas
Cada habilitador tem diversas metas e, ao atingir suas metas, criam valor para a organização. Estas metas podem ser:
resultados esperados ou aplicativo ou operação do próprio habilitador.
Segundo o Cobit, as seguintes perguntas devem ser respondidas para que possamos controlar o desempenho dos
habilitadores:
Governança Gestão
Garante que as necessidades das partes interessadas Responsável pelo planejamento, desenvolvimento,
sejam desdobradas em objetivos corporativos acordados execução e monitoramento das atividades em
e priorizados, monitorando o desempenho e a consonância com os objetivos corporativos já definidos.
conformidade com os objetivos estabelecidos.
No Cobit não existe uma forma rígida para a implementação dos dois conceitos. As organizações podem decidir e organizar seus
processos de governança e gestão da forma que julgarem melhor, de modo que todos os objetivos de governança e gestão sejam
cobertos.
Para auxiliar as organizações na implementação, o Cobit apresenta um modelo de referência dividido em dois domínios de
processos principais, governança e gestão. O domínio de governança possui cinco processos e o domínio de gestão é dividido
em quatro domínios e subdivididos em 32 processos:
Tem abrangência estratégica e tática. Envolve planejamento, comunicação e gerenciamento. Identifica como a TI pode
melhorar os objetivos de negócio.
Trata do desenvolvimento e/ou aquisição de soluções de TI para executar a estratégia de TI estabelecida, assim como a
implementação e integração junto aos processos de negócio.
Trata da entrega propriamente dita dos serviços requeridos, incluindo gerenciamento de segurança e continuidade, reparo
de equipamentos e demais itens relacionados, suporte aos serviços para os usuários, gestão dos dados e da infraestrutura
operacional.
Trata da qualidade dos processos de TI e sua governança e também da conformidade com os objetivos de controle internos
ou externos à organização.
Saiba mais
Para saber mais sobre esse assunto, leia o texto “Processos de TI <galeria/aula3/docs/processos.pdf> ”.
Modelo de capacidade de processo
O Cobit, em sua versão 5, apresenta um modelo de capacidade de processo baseado na ISO 15504 e reconhecido
internacionalmente. Ele oferece às organizações meios de medir o desempenho de qualquer um dos processos de governança ou
gestão e, desse modo, permitirá identificar as áreas que precisam sem melhoradas. Neste modelo, um processo pode atingir até
seis níveis de capacidade:
Nível 0
O processo não foi implementado ou não atingiu seu objetivo. Não existem evidências.
Nível 1
O processo atinge seu objetivo, pelo menos um atributo do processo.
Nível 2
O processo é implementado de forma administrativa, isto é, planejado, monitorado e ajustado.
Nível 3
O processo é implementado utilizando um processo definido capaz de atingir resultados.
Nível 4
O processo é implementado utilizando um processo definido capaz de atingir resultados dentro dos limites definidos.
Nível 5
O processo é continuamente melhorado com o objetivo de atingir os objetivos corporativos atuais ou previstos.
Atividade
3 - O Cobit apresenta um modelo de referência dividido em dois domínios de processos principais, governança e gestão. O
domínio de gestão possui quatro domínios, listados a seguir. Faça a correlação entre as colunas:
a) Trata do desenvolvimento e/ou aquisição de soluções de TI para c) Tem abrangência estratégica e tática. Envolve planejamento,
executar a estratégia de TI estabelecida, assim como a implementação e comunicação e gerenciamento. Identifica como a TI pode melhorar os
integração junto aos processos de negócio. objetivos de negócio.
1 2 3 4 1 2 3 4
b) Trata da qualidade dos processos de TI e sua governança e também da d) Trata da entrega propriamente dita dos serviços requeridos, incluindo
conformidade com os objetivos de controle sejam internos ou externos à gerenciamento de segurança e continuidade, reparo de equipamentos e
organização. demais itens relacionados, suporte aos serviços para os usuários, gestão
dos dados e da infraestrutura operacional.
1 2 3 4
1 2 3 4
Gabarito
4 - O Cobit, em sua versão 5, apresenta um modelo de capacidade de processo, de modo a permitir que as organizações possam
medir o desempenho de qualquer um dos processos de governança ou gestão. Qual o nível de capacidade em que o processo é
implementado utilizando um processo definido capaz de atingir resultados dentro dos limites definidos?
Notas
ISACF28 1
Information Systems Audit and Control Foundation, ligado à ISACA — Information Systems Audit and Control Association.
Referências
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 38500:2018. São Paulo: ABNT, 2018.
FERNANDES, A. A.; ABREU, V. F. Implantando a Governança de TI: da Estratégia à Gestão dos Processos e Serviços. 4. ed. Rio de
Janeiro: Brasport, 2014.
ISACA. Cobit 5 - Modelo Corporativo para a Governança e gestão de TI da Organização. Ilinois, Estados Unidos: ISACA, 2012.
Próxima aula
Visão geral de análise de negócios a partir do Guia para o Corpo de Conhecimento de Análise de Negócios (BABOK);
Visão geral do gerenciamento de processos de negócio a partir do Guia para o Gerenciamento de Processos de Negócio -
Corpo Comum de Conhecimento (BPM CBOK).
Explore mais
Assista ao vídeo:
Com os avanços tecnológicos e consequente escalada dos custos de TI, é inevitável que as organizações tenham interesse
na racionalização de seus investimentos. As áreas de TI sofrem com a necessidade de atendimento a prazos curtos bem
como com as cobranças em relação à transparência e efetividade dos investimentos e de suas ações.
A TI necessita de um realinhamento do ponto de vista de processos, métodos, serviços e controles para atender a crescente
demanda por inovação e serviços de alto valor agregado e com máxima prontidão e escalabilidade.
As organizações estão investindo na implementação de uma arquitetura corporativa, na análise de negócio e de processo
para otimizar seus custos operacionais e tecnológicos, reduzir os custos de desenvolvimento e ter uma operação de TI mais
eficiente.
Bons estudos!
Objetivos
Enunciar uma visão geral de análise de negócios por meio do Guia para o Corpo de Conhecimento de Análise de
Negócios (BABOK);
Estabelecer uma visão geral do gerenciamento de processos de negócio por meio do Guia para o Gerenciamento de
Processos de Negócio — Corpo Comum de Conhecimento (BPM CBOK).
TOGAF
O modelo foi desenvolvido por The Open Group, um consórcio global que permite a realização de objetivos de negócios por meio
de padrões de tecnologia.
1 2
3 4
Desenvolver consenso e evoluir e integrar especificações de tecnologias open source e operar certificações, incluindo
3 certificação UNIX.
Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online
Evolução do TOGAF
O modelo é aplicado para o projeto e a implementação de arquiteturas de negócio, de sistemas de informação e de tecnologia.
Essas arquiteturas podem ser projetadas e implementadas a partir da arquitetura base do TOGAF (The Open Group Architecture
Framework) ou de outros padrões da indústria, de fornecedores e de ativos de arquitetura que a empresa já possua, como COBIT,
CMMI, ITIL, entre outros, relativos a processos de TI.
Documentação
Parte I – Introdução
Fornece uma introdução de alto nível dos principais conceitos da arquitetura corporativa. Contém as definições de
termos usados em todo o padrão.
O modelo
O padrão TOGAF pode ser utilizado pelas organizações para o desenvolvimento de uma arquitetura corporativa que atenda às
necessidades diferentes organizações.
Observe a estrutura:
Fonte: MegaSoft <http://www.megasoft.com.eg/togaf> .
Observe que a parte Central do TOGAF é o Architecture Development Method (ADM), documentado na Parte II do padrão. A
capacidade de arquitetura (documentada na Parte VI do padrão) opera o método.
O método é apoiado por várias diretrizes e técnicas (documentadas na Parte III do padrão e na Biblioteca TOGAF). Isso produz
conteúdo a ser armazenado no repositório (documentado na Parte IV do padrão), que é classificado de acordo com o Enterprise
Continuum (documentado na Parte V do padrão).
O repositório pode ser inicialmente preenchido com os modelos de referência do TOGAF e outros materiais de referência
(documentados na Biblioteca do TOGAF).
Atividade
1 - Complete a frase: Modelo que é utilizado para o projeto e a implementação de arquiteturas de negócio, de sistemas de
informação e de tecnologia digite a resposta .
O ADM descreve como derivar uma arquitetura corporativa especí ca da organização que
trata dos requisitos de negócios. O ADM é o principal componente do framework TOGAF e
fornece orientação para arquitetos em vários graus:
1 arquitetura de tecnologia) em um ciclo, como um modelo de processo geral para a atividade de desenvolvimento de
arquitetura.
Uma definição da estrutura e das entregas do conteúdo da arquitetura (uma descrição detalhada das entradas de fase e
2 saídas de fase é fornecida no Architecture Content Framework).
Abrange o desenvolvimento de quatro tipos de arquitetura subconjunto de uma arquitetura corporativa geral:
Empresarial Dados
Estratégia de negócios, governança, organização e Fornece um modelo de estrutura dos recursos de dados
principais processos de negócios. lógicos e físicos e recursos de gerenciamento de dados de
uma organização.
Aplicação Tecnologia
Fornece um modelo para os aplicativos individuais a Descreve os recursos de software básico e hardware
serem implantados, suas interações e seus necessários para apoiar a implantação de serviços de
relacionamentos com os principais processos de negócios negócios, dados e aplicativos. Isso inclui infraestrutura de
da organização. TI, middleware, redes, comunicações, processamento e
padrões.
Melhoria da interoperabilidade.
Saiba mais
Análise de negócio
Segundo o guia do BABOK, publicado pelo Instituto Internacional de Análise de Negócios (IIBA), a análise de negócio é a prática de
viabilizar mudanças nas organizações por meio do conhecimento e entendimento das necessidades dos usuários e
recomendações de soluções que agreguem valor para as partes interessadas. Ela pode ser realizada a partir de diferentes visões
e cenários organizacionais:
O analista de negócios é o responsável por esclarecer as necessidades reais das partes interessadas, e não simplesmente suas
expectativas, e pode atuar como facilitador entre as unidades de negócio e a TI.
As organizações que utilizam o BABOK conseguem obter os seguintes benefícios com sua utilização:
Não existe um cargo ou função organizacional predefinida e, geralmente, alguns cargos desempenham esse papel:
Qual é a responsabilidade dos analistas de negócio?
Elicitação1
Atividade
2 - Complete a frase: digite a resposta é a prática de viabilizar mudanças nas organizações por meio do conhecimento
e entendimento das necessidades dos usuários e recomendações de soluções que agreguem valor para as partes interessadas.
Ela pode ser realizada a partir de diferentes visões e cenários organizacionais.
O guia BABOK
Ele contém atividades, técnicas e ferramentas para profissionais de análise de negócios utilizarem em seu dia a dia. O guia não
diz como fazer a análise de negócio, mas orienta os profissionais da área sobre o que precisa ser feito, propiciando um maior
grau de padronização na forma como os produtos dos projetos são concebidos e seus requisitos são especificados, alocados
aos componentes do produto e avaliados quanto ao seu atingimento ou não.
O BABOK apresenta um conteúdo central que é composto de tarefas de análise de negócio organizadas em:
Cada área de conhecimento descreve uma coleção de tarefas relacionadas logicamente, mas não sequencialmente. As seis áreas
de conhecimento são divididas em:
Onde
1 2
4 5
Avaliação de solução
Saiba mais
Competências fundamentais
O capítulo de técnicas Fundamentais descreve as características, comportamentos, habilidades, qualidade e conhecimentos
pessoais do analista de negócio. Observe:
São identificados seis elementos principais que devem ser considerados em toda a iniciativa que envolva a análise de negócios:
Vamos conhecer cada elemento:
1 2
3 4
Contexto Solução
Conjunto de elementos relevantes que devem ser Tudo aquilo que satisfaz as necessidades das partes
considerados em uma análise de negócio, pois será onde interessadas em um contexto.
ocorrerá a mudança.
5 6
Valor Mudança
Conjunto de benefícios entregues pela solução desenvolvida. Modificação controlada que ocorre nas operações do negócio
em função de uma necessidade.
Técnicas referenciadas
Esta área de conhecimento apresenta um conjunto de aproximadamente 50 técnicas aplicáveis a uma ou mais tarefas dentro
das áreas de conhecimento já apresentadas.
Brainstorming; Estimativa;
É um Guia para o Corpo Comum de Conhecimentos sobre BPM, que tem como finalidade
principal fornecer uma visão geral das áreas de conhecimento necessárias para a prática de
BPM.
Oferece, também, um glossário de terminologia sobre o assunto, de modo a auxiliar os profissionais da área. Sua publicação teve
como motivação o vasto conhecimento já publicado sobre o assunto e a necessidade de padronização. O guia está organizado
em nove áreas de conhecimento divididas em duas perspectivas:
Vamos conhecer cada área de conhecimento da perspectiva de Processo:
Clique nos botões para ver as informações.
Gerenciamento de processos de negócios
Nesta área de conhecimento são abordados os conceitos de BPM, definições-chave, tipos de processo, componentes de
um processo, seu ciclo de vida e ainda as bases para explorar as demais áreas de conhecimento.
São definidos os conceitos de negócio, o que é processo, o que é BPM, quais os tipos de processos, como é o ciclo de vida
proposto e, ainda, o estabelecimento da diferença entre BPM — que é uma disciplina de gestão —, e BPMS — que trata de
tecnologia.
Segundo o guia BPM CBOK, o temo negócio refere-se a pessoas que interagem para executar um conjunto de atividades de
entrega de valor para a organização e gerar retorno de investimento.
Saiba mais
Para saber mais sobre esse assunto, leia o texto “Gerenciamento de processos de negócios
<galeria/aula4/docs/Gerenciamento.pdf> ”.
Modelagem de processos
Esta área de conhecimento fornece uma visão geral sobre a modelagem de processos, os benefícios de sua implementação
e a habilitação de indivíduos para empreender, comunicar, medir e gerenciar os componentes primários de processos de
negócio.
São discutidas técnicas, atividades correspondentes, padrões e ferramentas para a realização da modelagem. Os modelos
de processos são representações simplificadas de uma atividade ou de um conjunto de atividades de negócio e servem
para documentar os diversos aspectos de um processo de negócio, criando uma representação detalhada dos processos de
negócios e sobre seu funcionamento.
O CBOK apresenta uma rápida descrição das principais notações de modelagem de processo. Entre elas, podemos destacar
a notação BPMN (Bussiness process Model and Notation) desenvolvida pelo Object Management Group.
Análise de processos
Esta área de conhecimento envolve a compreensão dos processos de negócio e sua eficiência e eficácia.
As atividades compreendem decomposição de processos e utilização de técnicas analíticas e podem ser conduzidas
através de vários níveis, desde uma visão resumida da organização, até uma visão detalhada de passos no nível da
execução.
No nível conceitual, é uma poderosa ferramenta visual para identificar processos desconectados da organização e utilizar
esta análise para repensar processos e priorizar ações no nível estratégico. Já no nível tático, é muito útil para padronização
de execução e trabalho e melhoria do desempenho e criação de uma rotina mais eficiente.
Desenho de processos
Esta área de conhecimento trata da concepção de novos processos e a especificação de como funcionarão, serão medidos,
controlados e gerenciados.
O desenho de um processo trata do impacto que a mudança deste processo (TO BE) trará no atingimento de metas e
estratégias organizacionais.
Serão discutidos planos e diretrizes sobre fluxo de trabalho, plataforma tecnológicas, aplicações de negócio, controle
financeiro e boas práticas de desenho de processo, simulação e outras técnicas e padrões comuns ao desenho de processo.
A ideia da discussão desta área de conhecimento não é estabelecer uma metodologia, mas, sim, ajudar aos analistas de
processo na compreensão de uma abordagem técnica.
Esta área de conhecimento envolve simultaneamente a compreensão sobre o que medir e de como medir. Trata do
monitoramento formal e planejado da execução e do desempenho de processos com o objetivo de verificar a eficácia e a
eficiência dos processos organizacionais.
Esse gerenciamento ocorre tanto no fluxo de processos quanto no fluxo de trabalho. O objetivo é identificar atrasos e
realinhar o trabalho.
A informação coletada nesta área de conhecimento é utilizada para comparar o desempenho real com as metas definidas
para os processos e tomar decisões necessárias para realinhar, melhorar ou descontinuar o processo.
Transformação de processos
Esta área de conhecimento trata sobre as mudanças em processos. O objetivo é encontrar a melhor maneira do processo
realizar seu trabalho.
São discutidas diferentes abordagens de melhoria, redesenho, reengenharia e mudança de paradigma do processo.
Essa melhoria pode representar muitas vezes a introdução de um novo equipamento ou tecnologia da informação, novas
abordagens de negócio ou novas capacidades.
Normalmente, a transformação de processos é difícil de implementar, já que requer uma investigação quanto à sua
viabilidade ou não. Também é discutido o tema relacionado a gestão de mudança muito pertinente neste contexto.
Tecnologias BPM
Esta área de conhecimento discute sobre as tecnologias de apoio a modelagem, análise, desenho, execução e
monitoramento de processos.
A estratégia de negócio das organizações deve determinar o tipo de tecnologia a ser implementada, necessária para traduzir
a visão estratégica das organizações em operações de negócio.
São abordados temas relacionados a sistemas, arquiteturas e tecnologia, de modo a facilitar a implementação de BPM nas
organizações.
Saiba mais
Para saber mais sobre esse assunto, leia o texto “Tecnologias BPM <galeria/aula4/docs/BPM.pdf> ”.
Atividade
3 - Complete a frase:
digite a resposta é a área de conhecimento que trata da concepção de novos processos e a especificação de como funcionarão,
serão medidos, controlados e gerenciados. digite a resposta de um processo trata do impacto que a mudança deste processo (TO
BE) trará no atingimento de metas e estratégias organizacionais.
Referências
BENEDICT, Tony; BILODEAU, Nancy; VITKUS, Phil; POWELL, Emmett; et al. BPM CBOK, Guia para o gerenciamento de Processos
de Negócio.ABPMP BPM CBOK V3.0, 1.ed., 2013.
INTERNATIONAL INSTITUTE BUSINESS ANALYSES (IIBA). Um guia para o Corpo de conhecimento de Análise de Negócios (Guia
BABOK) versão 2.0. IIBA, 2011.
FERNANDES, Aguinaldo Aragon; ABREU, Vladimir Ferraz. Implantando a Governança de TI. Da estratégia à gestão de processos e
serviços. 4.ed. Rio de Janeiro: Brasport, 2008.
NEVES, Marcelo.Um breve resumo do guia BABOK V3 de análise de negócios. Edição do autor, versão Kindle, 2015.
Próxima aula
Explore mais
Conheça os sites:
IIBA <https://www.iiba.org/standards-and-resources/babok/>
ABPMP <https://www.abpmp.org/>
O avanço da tecnologia, a necessidade de atingir melhores resultados em um curto espaço de tempo e a manutenção da
vantagem competitiva em um mundo globalizado, torna fundamental a utilização, pelas empresas, de métodos e
ferramentas de apoio à gestão.
Por essa razão, o gerenciamento de projetos tem crescido de maneira acentuada nos últimos anos. As organizações
necessitam de velocidade e competência para atingir bons resultados. Nesta aula, conheceremos as motivações, os
princípios e conceitos básicos de um projeto e analisaremos as principais metodologias em gerenciamento de projetos:
PMBOK, Prince2 e Scrum.
Apesar de terem origens, processos e formas de implementação diferenciadas, todas podem auxiliar as organizações na
governança de seus projetos e agregar valor aos negócios para auxiliar na implementação da boa governança.
Objetivos
Para atender as demandas de maneira eficaz, é indispensável um modelo de gerenciamento com foco em prioridades e objetivos.
Por essa razão, o gerenciamento de projetos tem crescido de maneira tão acentuada no mundo nos últimos anos.
As organizações necessitam de velocidade e competência para que possa atingir seus resultados:
Interdependência de atividades;
Importância do empreendimento;
Tamanho do empreendimento;
Reputação da organização;
Mudança de mercado;
Compartilhamento de recursos.
O que é um projeto?
Os projetos possuem metas claras e definidas, sendo realizados em um período definido de tempo, e não indefinidamente, como
trabalhos rotineiros. Principais características de um projeto:
Clique nos botões para ver as informações.
Temporariedade
Todo projeto possui um início e um fim definidos, ou seja, é um evento com duração finita, determinada em seu objetivo. O
fato de um projeto ser temporário não significa que dure pouco. Não é a duração que define se um esforço é um projeto ou
não. Pode se ter um projeto de uma hora, um dia, um mês ou dez anos.
Individualidade
Cada projeto é inédito, diferente. Isso é facilmente observável porque tudo muda no decorrer do tempo: as equipes, os
gestores, e a tecnologia.
Limitação de recursos
Inexistência de todos os recursos necessários sempre disponíveis e dentro dos critérios desejados para se realizar um
projeto, exigindo dos gerentes de projetos um conjunto de atividades e habilidades para buscar o sucesso do
empreendimento.
Podemos concluir que o objetivo principal de um projeto é atingir as metas e os objetivos propostos, dentro dos limites
financeiros estabelecidos, no prazo acordado, com a qualidade desejada, respeitando as regras e os regulamentos, e sempre
seguindo os melhores padrões éticos.
Subprojetos
É utilizado para identificar um grupo de projetos que não são necessariamente do mesmo assunto, mas que de alguma
forma estão relacionados. Desse modo, todos os projetos de um programa são gerenciados e coordenados de modo
integrado, obtendo os benefícios e os controles que não existem ao gerenciá-los individualmente.
Portfólio
É um conjunto de projetos e programas agrupados para facilitar o atingimento dos objetivos estratégicos do negócio em
uma visão unificada, mensurável, ordenada e priorizável. Normalmente, é utilizado pela esfera estratégica da organização.
O PMI
O Instituto de Gerenciamento de Projetos (Project Management Institute PMI), é uma das maiores associações para profissionais
de gerenciamento de projetos. Ela desenvolveu vários padrões para gerenciamento projetos, programa e de portfolio, que, cada
vez mais, vêm se tornando o modelo para o gerenciamento de projetos em empresas e governos.
Uma das publicações do PMI é o PMBOK que, atualmente, encontra-se na versão 6 e fornece os conceitos fundamentais em
gerenciamento de projetos.
O PMI estima que aproximadamente 25% do PIB mundial são gastos em projetos e cerca de 16,5 milhões de profissionais estão
envolvidos diretamente com gerência de projetos no mundo.
Esse volume de projetos e as mudanças no cenário mundial, cada vez mais competitivo, geram a necessidade de resultados mais
rápidos, com qualidade maior e custo menor.
O conjunto de fases em um projeto é chamado ciclo de vida e permite avaliar as similaridades que podem ser encontradas em
outros projetos, independentemente de seu contexto, aplicabilidade ou área de atuação:
Os cinco grupos de Processos definidos pelo PMI são:
Iniciação
São as atividades iniciais do projeto que ocorrem a partir da identificação de uma determinada necessidade e quando ela é
transformada em um problema estruturado a ser resolvido. Nesse momento, um gerente de projeto é selecionado, a reunião
inicial do projeto realizada e são definidos a justificativa, o objetivo e o caso de negócio do projeto.
Planejamento
Nesta fase, é detalhado tudo aquilo que será realizado pelo projeto, desde estratégias, cronogramas, interdependências entre
atividades, alocação dos recursos envolvidos, análise de custos e demais ações necessárias de planejamento para que, no final, o
projeto esteja pronto para ser executado.
Execução
Nesta fase, tudo que foi planejado é colocado em prática e implementado. Grupo de processos que materializa o que foi
planejado anteriormente. Caso algum erro tenha ocorrido na fase de planejamento, será percebido nesse momento.
Monitoramento e Controle
Ocorrem ao longo do projeto e paralelo às demais atividades. Têm como objetivo acompanhar e controlar o que está sendo
realizado pelo projeto.
Gerenciamento do escopo
Garante que somente as atividades necessárias para a conclusão do projeto de maneira bem-sucedida sejam incluídas e que
nenhuma atividade desnecessária seja executada.
Gerenciamento do cronograma
Inclui os processos necessários para gerenciar o término pontual do projeto.
Gerenciamento da qualidade
Visa assegurar que o projeto satisfaça as necessidades do cliente e envolve todas as atividades do projeto pelo seu ciclo de vida.
Prince 2
Surgiu na década de 1970, através dos governos de quatro países constituintes do Reino Unido – Inglaterra, Escócia, Irlanda do
Norte e País de Gales que identificaram a necessidade de um método que trouxesse eficiência para o gerenciamento de seus
projetos.
Ao longo do tempo o método foi testado e refinado em milhares de projetos até que sua generalidade e flexibilidade fossem
desenvolvidas. Em 1989, foi rebatizado como Prince2 e, por força de lei, foi adotado como padrão para todos os projetos do
governo do Reino Unido, e ganhou o mundo.
O Método apresenta seis aspectos de desempenho que necessitam ser gerenciados para que um projeto tenha sucesso.
Esses aspectos também podem ser denominados de objetivos de projeto ou variáveis de gerenciamento.
Elementos integrados
O Prince está estruturado para ser aplicado a projetos de qualquer tipo, tamanho, organização, cultura ou região geográfica.
O que possibilita essa flexibilidade são os sete princípios nos quais o método é baseado.
Os princípios são os fundamentos, as bases, o alicerce do método. O Prince é formado por quatro elementos integrados:
Vamos detalhar os três primeiros:
Princípios
O Prince apresenta sete princípios aos quais o método foi estruturado. Eles formam o alicerce sobre o qual serão assentados os
temas e processos e, portanto, nada no método pode desrespeitar seus princípios. Se um dos princípios estiver ausente, o Prince
não está sendo utilizado:
Foco no produto;
Temas
Os temas definem as disciplinas ou áreas de conhecimento do gerenciamento de projetos no Prince. Eles representam os
aspectos do gerenciamento de projetos que precisam ser tratados ao longo de um projeto.
Existem sete temas definidos, que podem ser adaptados segundo a complexidade do projeto, porém todos têm que ser utilizados:
1 Business Case: Justificativa do projeto;
Planos: Parte estrutural do escopo (EAP – Estrutura Analítica de Produtos), do tempo (cronograma) e do custo
4 (orçamento);
Processos
Os processos definidos no Prince estabelecem um fluxo cronológico das ações para gerenciar um projeto de ponta a ponta.
Um processo é um conjunto de atividades que visa atingir um objetivo específico. No Prince existem sete processos:
Starting up a project (SU): Tem como objetivo reunir as informações que permitam verificar se vale a pena ou não iniciar o
1 projeto.
Directing a project (DP): Tem como objetivo tomar as decisões no projeto, normalmente é exercido por um comitê de
2 projeto, o Comitê Diretor do Projeto;
3 Initiating a Project (IP): Trata do início do projeto através da definição da linha de base para cada uma das seis variáveis de
gerenciamento: escopo, tempo, custo, qualidade, riscos e benefícios;
Managing a Stage Boundary (SB): Trata do gerenciamento das fronteiras entre os estágios, avaliando o estágio atual e
4 também desenvolvendo o plano do estágio seguinte ou plano de exceção;
6 Managing a Product Delivery (MP): Trata do desenvolvimento, do controle de qualidade e da entrega dos produtos;
7 Closing a Project (CP): Trata do encerramento do projeto, seja ele um encerramento planejado ou prematuro.
Scrum
Apesar da utilização de outras metodologias de projetos e da utilização de escritórios de projetos (PMO), não é raro vermos
indicadores e gráficos mostrando a porcentagem de projetos de TI que fracassaram nas empresas. Neste caso, nos referimos
em termos financeiros, de prazos e qualidade.
Ao longo do tempo, as equipes envolvidas começaram a se questionar como poderiam obter melhores resultados e em que
estariam errando já que existiam diferentes metodologias e práticas no mercado.
As empresas começaram a observar os resultados positivos em projetos gerados pelo desenvolvimento ágil e se interessaram
pelos principais termos mencionados, pela metodologia e pelo framework.
O Scrum é um dos métodos ágeis, iterativo e incremental mais difundidos hoje no mercado de TI. Ele é fundamentado nas
teorias empíricas de controle de processo, ou empirismo.
A teoria é construída a partir do conhecimento que vem da experiência e de tomada de decisões baseadas no que é conhecido.
Existem três pilares que apoiam a implementação de controle de processo empírico:
Transparência
Determina que os aspectos significativos do processo devem estar visíveis aos responsáveis pelos resultados. Quando um item
do backlog do produto ou um incremento é descrito como pronto, por exemplo, todos devem entender o que o pronto significa.
Embora, isso possa variar por Time Scrum, os integrantes devem ter um entendimento compartilhado do que significa o trabalho
estar completo, assegurando a transparência.
Inspeção
A inspeção por parte dos usuários Scrum aos artefatos e ao progresso em direção ao objetivo da sprint garante a detecção de
variações indesejadas.
Adaptação
Permite que o processo ou o produto possa ser ajustado, caso um ou mais aspectos estejam fora dos limites aceitáveis,
resultando em um produto inaceitável.
O modelo contempla papéis, artefatos e cerimônias e, segundo o Guia do Scrum, devem existir apenas três funções, ou seja, três
papéis que irão compor o Time Scrum:
Scrum Master
O Scrum Master é o principal fomentador do Scrum na organização. Ele auxilia no entendimento da teoria, valores, regras e
práticas definidas no Guia Scrum. Auxilia a todos da organização no entendimento das interações e relacionamentos do Scrum.
Time Scrum
O time Scrum tem como atribuição o desenvolvimento e a entrega de um incremento do produto potencialmente pronto ao final
de cada sprint.
Como o time tem autonomia e autorização da organização para gerenciar seu próprio trabalho, a sinergia e cooperação entre a
equipe aumenta a eficácia e eficiência do grupo como um todo e, consequentemente, potencializa o resultado final.
O mínimo recomendado pelo autores são times com pelo menos três integrantes. Equipes maiores, com mais de nove pessoas,
apresentam grande complexidade de coordenação e podem apresentar menor produtividade.
Product Owner
O dono do produto é o responsável por gerenciar o backlog do produto, mesmo quando delega essa função ao time de
desenvolvimento. Para que suas ações sejam efetivas, é necessário que a organização reconheça sua autoridade.
Uma consequência da sua boa atuação é a maximização do valor do produto entregue pela equipe de desenvolvimento.
Valores do SCRUM
À medida que o time trabalha com os eventos, papéis, artefatos e pilares propostos pelo Scrum e vivenciam os cinco valores
apresentados pelo método comprometimento, coragem, foco, transparência e respeito, é construída a confiança entre todos os
envolvidos e formado um time coeso e comprometido em alcançar os objetivos comuns da equipe. Desse modo, espera-se que
cada indivíduo tenha coragem para fazer a coisa certa e trabalhar em problemas difíceis.
Eventos no Scrum
Os eventos no SCRUM, também chamados de cerimônias, tem como objetivos:
Essas cerimônias possuem um tempo de duração pré-fixado normalmente conhecidas como time-box e com controle rígido, não
podem ser aumentados ou diminuídos.
Antes de iniciar uma cerimônia Scrum, deve ser desenvolvido o documento de visão do produto com as necessidades de negócio,
premissas, prioridade e justificativas do projeto e a definição do pronto do produto, ou seja, os parâmetros para identificar quando
o produto resultante dessa cerimônia está finalizado.
A cerimônia principal do Scrum é a sprint, que pode ser comparada a um projeto, já que são são utilizadas para realizar algo. E
assim como os projetos elas possuem:
Normalmente, a duração de uma cerimônia de sprint dura 30 dias e, neste período, o incremento de um produto liberável é criado.
Planejamento de uma sprint
Reunião realizada no primeiro dia da sprint, com duração de aproximadamente oito horas para uma sprint de um mês de
duração. Essa reunião define o início de uma sprint e pode ser dividida em dois períodos de quatro horas.
Segundo o Guia do Scrum, esta fase serve para responder as seguintes perguntas:
Ela é realizada com um time-box de 15 minutos em que a equipe de desenvolvimento compartilha conhecimento e o
planejamento do trabalho para as próximas 24 horas.
O que eu farei hoje para ajudar o time de desenvolvimento atingir a meta da sprint?
Eu vejo algum obstáculo que impeça a mim ou o time de desenvolvimento no atingimento da meta da sprint?
Assuntos que não respondem essas perguntas deverão ser tratados em outra reunião. Ao término da reunião, o time de
desenvolvimento ou membros da equipe se encontram imediatamente para adaptar ou replanejar o restante do trabalho da
sprint.
Revisão da sprint
Reunião realizada ao término de uma sprint, com o objetivo de inspecionar o incremento e adaptar o backlog do produto se
necessário. Ela tem uma duração de no máximo quatro horas para uma sprint de um mês. A equipe de desenvolvimento
demonstra o que foi realizado na sprint e o product owner aprova ou não a entrega.
Retrospectiva da Sprint
Reunião realizada ao término de uma sprint, para que toda a equipe reflita sobre o andamento da sprint e identifique possíveis
melhorias.
Nesse momento, o time tem a oportunidade de verificar seu próprio desempenho e o trabalho desenvolvido e, caso tenha
necessidade de algum ajuste, poderá ser criado um plano de melhorias a serem aplicadas na próxima sprint.
A retrospectiva ocorre depois da revisão da sprint e antes do planejamento da próxima sprint, e sua duração é de no máximo três
horas para uma sprint de um mês.
Artefatos do Scrum
Agora vamos falar sobre os artefatos do Scrum, suas características e papel dentro de uma sprint. Eles têm um papel importante,
pois representam o trabalho ou o valor para o fornecimento de transparência e oportunidades para inspeção e adaptação no
processo de melhoria contínua.
Backlog do produto
O backlog do produto é uma lista ordenada de tudo que é conhecido ser necessário no produto, ou seja, a lista de todas as
características, requisitos, funções, correções e melhorias.
Ele é mantido exclusivamente pelo product owner, que é o responsável pela sua disponibilidade, atualização e ordenação.
Como o backlog é constantemente refinado ao longo do processo de desenvolvimento do produto, nunca está completo. Toda e
qualquer mudança a ser realizada no produto deve ser implementada a partir deste backlog.
Backlog da sprint
O backlog da sprint é um recurso gerado a partir do backlog do produto. Ele é um subconjunto de itens selecionados do backlog
do produto para uma determinada sprint.
É criado na cerimônia de planejamento da sprint e contém todas as atividades identificadas como necessárias pelo time de
desenvolvimento para atingir o objetivo da sprint.
Para garantir a melhoria contínua no processo, normalmente, é incluído pelo menos um item sobre melhoria do processo
identificado na reunião de retrospectiva da sprint anterior.
Incremento do produto
À medida que as sprints vão acontecendo, um novo incremento de produto é gerado em cada sprint.
Ele é a soma de todos os itens que compõem o backlog do produto, completado ou pronto, durante uma determinada sprint e o
somatório de todos os incrementos das sprints anteriores.
Um incremento na condição de pronto para o Scrum significa que deve estar na condição de ser utilizado e todos os envolvidos
devem ter um entendimento comum de que o trabalho está completo.
Atividade
1. É na fase ______________________________________ do PMI que é detalhado tudo aquilo que será realizado pelo projeto, desde as
estratégias, cronogramas, interdependências entre atividades, alocação dos recursos envolvidos, análise de custos e demais
ações necessárias de planejamento para que, no final, o projeto esteja pronto para ser executado.
2. No Prince2, ao longo de um projeto, o ___________________________será a base para a tomada de decisão em relação à viabilidade
do projeto.
3. O Scrum é baseado na teoria ______________________, construída a partir do conhecimento que vem da experiência e de tomada
de decisões baseadas no que é conhecido.
Notas
Título modal 1
Lorem Ipsum é simplesmente uma simulação de texto da indústria tipográfica e de impressos. Lorem Ipsum é simplesmente
uma simulação de texto da indústria tipográfica e de impressos. Lorem Ipsum é simplesmente uma simulação de texto da
indústria tipográfica e de impressos.
Título modal 1
Lorem Ipsum é simplesmente uma simulação de texto da indústria tipográfica e de impressos. Lorem Ipsum é simplesmente
uma simulação de texto da indústria tipográfica e de impressos. Lorem Ipsum é simplesmente uma simulação de texto da
indústria tipográfica e de impressos.
Referências
CALÔBA, Guilherme; KLAES, Mario. Gerenciamento de projetos com PDCA: Conceitos e técnicas para planejamento,
monitoramento e avaliação do desempenho de projetos e portfólios. Rio de Janeiro: Alta Books, 2016.
FERNANDES, Aguinaldo Aragon; ABREU, Vladimir Ferraz. Implantando a Governança de TI. Da estratégia à gestão de processos e
serviços. 4.ed. Rio de Janeiro: Brasport, 2008.
SCHWABER, Ken; SUTHERLAND, Jeff. Guia do Scrum — Um guia definitivo para o Scrum: As regras do Jogo, 2017. Disponível em:
https://www.scrumguides.org/docs/scrumguide/v2017/2017-Scrum-Guide-Portuguese-Brazilian.pdf
<https://www.scrumguides.org/docs/scrumguide/v2017/2017-Scrum-Guide-Portuguese-Brazilian.pdf> Acesso em: 1 fev. 2019.
SILVA, Angelo Aldacir da; LUKOSEVICIUS, Alessandro Prudencio. Prince2 — O método de gerenciamento de Projetos. Rio de
Janeiro: Brasport, 2016.
VARGAS, Ricardo. Gerenciamento de Projetos estabelecendo diferenciais competitivos. 8.ed. Rio de Janeiro: Brasport, 2018.
Próxima aula
A segurança da informação tornou-se uma questão-chave, considerando o novo posicionamento da informação nas
organizações. À medida que cresce o número de ataques e falhas, que podem impactar negativamente na reputação da
organização, também é crescente o surgimento de normas, padrões e regulamentações no assunto.
As organizações que ainda não possuem maturidade em segurança da informação necessitam de um ponto de partida para
o desenvolvimento de diretrizes específicas de segurança para a organização. Existem vários padrões e normas que podem
suprir essa necessidade e um exemplo são as normas da família ISO 27000.
Nesta aula, abordaremos as normas ISO 27000, essencial na construção dos conceitos fundamentais e do vocabulário
comum em segurança da Informação; ISO 27002, utilizada para a implementação de controles de segurança; e a ISO 27014,
com um processo para orientar as organizações na governança da segurança da informação.
Bons estudos!
Objetivos
Ao longo dos anos, e com o amadurecimento da tecnologia e das organizações, a informação ganhou valor, trouxe conhecimento
para as organizações e, posteriormente, trouxe inteligência aos processos de negócio, conforme ilustra o esquema a seguir.
1 2
No processo de tomada de decisão Na diferenciação de seus produtos
Na vantagem competitiva
Desse modo, a demanda gradual por armazenamento de conhecimento tem levado à necessidade de administração desses
dados de forma confiável.
Uma ação maliciosa bem-sucedida pode ter um impacto direto na reputação da organização. Com o objetivo de mitigar os riscos,
as organizações têm investido esforços e dinheiro na implementação de processos, métodos, ferramentas e recursos humanos
qualificados em segurança da informação.
Ao mesmo tempo em que cresceu o número de ações maliciosas, surgiram também regulamentações, padrões e boas práticas
no assunto, como algumas normas da família ISO 27000, específica de segurança da informação.
Com as normas da família ISO 27000, as organizações podem desenvolver e implementar uma estrutura para gerenciar a
segurança de seus ativos de informação e também para a implementação de uma Sistema de Gestão de Segurança da
Informação (SGSI).
Segurança da Informação
É baseada em três princípios fundamentais, conhecidos como a tríade CID ou, em inglês, AIC ou CIA:
Segundo a norma, a segurança da informação está garantida quando um ou os três princípios estão assegurados.
Em alguns casos, outras propriedades de segurança também podem ser envolvidas como a autenticidade, prestação de contas
ou não repúdio e a confiabilidade.
As informações não serão disponibilizadas ou divulgadas a indivíduos, entidades ou processos. Significa garantir que
apenas as pessoas que devem ter conhecimento a seu respeito poderão acessá-la.
Autenticidade
Disponibilidade
Ser acessível e utilizável sob demanda por uma entidade autorizada. Uma informação disponível é aquela que pode ser
acessada por aqueles que dela necessitam, no momento em que precisam.
Integridade
Exatidão e integridade. Significa proteger as informações contra alterações em seu estado original.
Não repúdio
Con abilidade
A norma apresenta também o conceito de incidente de segurança da informação, que representa um único ou uma série de
eventos indesejados ou inesperados de segurança da informação que tenham probabilidade de comprometer operações
comerciais e ameaçar a segurança da informação de uma organização.
Fraqueza de um ativo ou controle, que pode ser explorada por uma ou mais ameaças.
Ativos
São aqueles que produzem, processam, transmitem ou armazenam informações em uma organização. Podem ser físicos
(sala, arquivo, cofre), tecnológicos (servidor, e-mail, sistema) ou humanos (funcionário, porteiro, secretária).
Ameaça
Causa potencial de um incidente indesejado, que pode resultar em danos a um sistema ou organização. Pode ser física
(incêndio, apagão, inundação), tecnológica (vírus, bug software, invasão web) e humana (sabotagem, fraude, erro humano).
Risco
Efeito ou incerteza sobre o atingimento de um objetivo. Indica a probabilidade de uma determinada ameaça se concretizar,
combinada com os impactos que ela trará. Quanto maior a probabilidade de uma determinada ameaça ocorrer e o impacto
que ela trará, maior será o risco associado a este incidente.
Apresenta um conjunto de melhores práticas a serem seguidas pelas organizações e pode ser o ponto de partida para a
implementação da segurança da informação pelas organizações.
Ela apresenta os conceitos básicos sobre segurança da informação e como estabelecer os requisitos de segurança nas
organizações. Esses requisitos são identificados por meio de:
Com os requisitos de segurança, os riscos identificados e as decisões para o tratamento dos riscos tomadas, as organizações
devem selecionar e implementar os controles apropriados para que possam assegurar que os riscos sejam reduzidos a um nível
aceitável.
Análise / avaliação Tratamento
sistemática dos riscos dos riscos
Riscos identificados Nível aceitável
Para conhecer cada seção da norma ISO 27002, leia o texto “Seções da norma ISO 27002”
<galeria/aula6/anexos/secoes_da_norma_ISO_27002.pdf> .
Na implementação desses controles de segurança, as organizações devem considerar o ciclo de vida da informação.
Esse ciclo de vida é composto e identificado pelos em que os ativos físicos, tecnológicos e humanos fazem uso da informação,
sustentando processos que mantêm a operação da empresa.
Atividade
1 - Complete a frase:
A Norma digite a resposta apresenta um conjunto de boas práticas e controles em segurança da informação que
servem de guias para as organizações.
ISO 27001
A norma ISO 27001 tem como objetivo oferecer um modelo para que as organizações
possam estabelecer, implementar, operar, monitorar e analisar criticamente um sistema de
gestão de segurança da informação (SGSI).
Não adianta as organizações aplicarem uma série de dispositivos de segurança da informação sem uma estrutura que garanta
sua permanente atualização, adequação e avaliação de efetividade. No estabelecimento de seu sistema de gestão (SGSI), a
organização deve determinar o escopo e abrangência do sistema.
A norma ISO 27001 adota em seu processo de gestão o ciclo PDCA1 para estruturar todos os processos envolvidos em um
SGSI.
Fonte: Shutterstock.
O PDCA é uma ferramenta gerencial que possibilita a melhoria contínua de processos, bem como a solução de problemas por
meio de um ciclo de revisões periódicas.
São estabelecidos os objetivos e processos necessários para garantir que as metas e objetivos planejados serão atingidos.
Executar
São executados os processos e as atividades planejados na etapa anterior e ainda coletados os dados para serem
executados na etapa seguinte.
Veri car
São analisados os dados coletados na etapa anterior e comparados com as metas estabelecidas na etapa de planejamento,
determinando possíveis desvios.
Agir
São analisados as causa dos desvios, se existirem, e implementadas as ações corretivas no processo. Podem ser realizadas
ações de melhoria ou ainda ações preventivas como forma de mitigar problemas futuros.
Atividade
2 - Qual é a norma que trata dos requisitos para a implementação de um sistema de Gestão de segurança da informação?
ISO 27014
Com a abrangência das ações de segurança nas organizações é essencial que exista um alinhamento dessas ações com os
objetivos e estratégias de negócio da organização.
São responsabilidades do corpo diretivo as decisões e o desempenho da governança de segurança nas organizações. Ele deve
garantir que a abordagem de segurança da informação da organização seja eficiente, eficaz, aceitável e alinhada com os
objetivos e estratégias de negócios, considerando às expectativas das partes interessadas. São objetivos da governança da
segurança da informação:
1 2
Alinhar objetivos e estratégia da segurança da informação Garantir que os riscos de segurança são adequadamente
com os objetivos e a estratégia de negócio da organização identificados e tratados
Assim como as demais governanças implementadas na organização, a governança de segurança apresenta seis princípios
importantes para o sucesso de sua implementação:
A segurança da informação deve ser tratada considerando o negócio da organização e aplicada a toda a organização de
forma integrada.
A governança da segurança da informação deve ser fundamentada em decisões baseadas nos riscos e integrada à
abordagem de risco global da organização.
Estabelecer a direção de decisões de investimento
Deve ser estabelecida uma estratégia de investimento em segurança da informação baseada em resultados de negócios
alcançados com visões de curto e de longo prazos.
A governança de segurança deve garantir que as políticas e práticas de segurança da informação atendam à legislação e a
regulamentações pertinentes obrigatórias, assim como aos requisitos de negócio ou contratuais e aos outros requisitos
externos ou internos.
A governança de segurança da informação deve promover e apoiar a coordenação das atividades das partes interessadas
para alcançar uma direção coerente para a segurança da informação, viabilizando a implantação de programas de
educação, treinamento e conscientização em segurança.
A governança da segurança da informação deve garantir que seja adotada uma abordagem para proteger a informação de
forma adequada aos interesses da organização e que o desempenho da segurança seja mantido nos níveis necessários
para atender aos requisitos de negócio da organização atuais e futuros.
A norma ISO 27014 apresenta um modelo de processo de governança de segurança em que o corpo diretivo executa os
seguintes processos de:
Direção
Avaliação É o processo que direciona quais objetivos e
É o processo que verifica se os objetivos de
segurança atuais e previstos foram atingidos ou
não e possíveis ajustes quando necessário.
1 2 estratégia da segurança da informação precisam
ser implementados. Envolvem ações como
alocação de recursos, priorização de atividades e
gestão de risco.
Monitoramento Comunicação
É o processo que permite ao corpo diretivo avaliar
se os objetivos estratégicos foram atingidos ou
não.
3 4 Processo bidirecional, entre o corpo diretivo e as
partes interessadas, que trocam informações sobre
a segurança da informação.
Garantia
Processo por meio do qual o corpo diretivo
encomenda/autoriza auditorias, análises críticas ou
certificações independentes e objetivas.
5
O corpo diretivo da organização executa os processos de avaliação, direção, monitoração e comunicação para governar a
segurança da informação.
E por meio do processo de garantia poderá solicitar auditorias, análises críticas e certificações independentes, conforme ilustra o
processo a seguir:
Vejamos agora quais são benefícios com a implementação da governança da segurança da informação:
Ameaça Ataque
Potencial para violação da Um ataque à segurança do
segurança quando há uma
circunstância, capacidade, ação
ou evento que pode quebrar a
sistema, derivado de uma ameaça
inteligente, ou seja, um ato
inteligente que é uma tentativa
segurança e causar danos. Ou deliberada (especialmente no
seja, uma ameaça é um possível sentido de um método ou técnica)
perigo que pode explorar uma de burlar os serviços de
vulnerabilidade. segurança e violar a política de
segurança de um sistema.
Exemplo
Em nosso país, o responsável por manter as Normas de Gestão de Segurança da Informação (ISO 27000) é a ABNT,
representante da ISO no Brasil e responsável por normatizar essa questão. Todo o trabalho relacionado à elaboração e/ou
adaptação das normas ISO na ABNT é realizado por meio de trabalho voluntário e está associado a um dos comitês da ABNT. Na
área de informática, o comitê que trata de assuntos relacionados a área é o comitê CB-021.
Normalização no campo de computadores e processamento de dados compreendendo
automação bancária, comercial, industrial e do controle de acesso por bilhetes
codificados; automação e informática na geração, transmissão e distribuição de dados;
segurança em instalações de informática; técnicas criptográficas; gerenciamento em OSI;
protocolo de serviços de níveis interiores e cabos e conectores para redes locais, no que
concerne a terminologia, requisitos, métodos de ensaio e generalidades.
Atividade
3 - A governança da segurança da informação deve garantir que seja adotada uma abordagem para proteger a informação de
forma adequada aos interesses da organização. Sabendo disso, responda à pergunta:
Notas
PDCA 1
ABNT NBR. ISO/IEC 2701. Tecnologia da Informação. Técnicas de Segurança. Sistema de gestão de segurança da Informação.
Requisitos, ABNT, 2013.
______. ISO/IEC 2702. Tecnologia da Informação. Técnicas de Segurança. Código de práticas para controle de segurança. ABNT,
2013.
______. ISO/IEC 2714. Tecnologia da Informação. Técnicas de Segurança. Governança de segurança da informação. ABNT, 2013.
ISO/IEC 27000:2018, Information technology. Security techniques. Information security management systems — Overview and
vocabular. 5.ed. Disponível em: www.iso.org <https://www.iso.org/home.html> Acesso em: 26 fev. 2019.
THE INTERNET SOCIETY. RFC 2828: Internet Security Glossary. IETF, 2000. Disponível em: https://tools.ietf.org/html/rfc2828
<https://tools.ietf.org/html/rfc2828> Acesso em: 26 fev. 2019.
Próxima aula
Explore mais
Conheça os sites:
ABNT <https://www.abntcatalogo.com.br/> ;
Cert.br <https://www.cert.br/> ;
NIST <http://csrc.nist.gov/> ;
SecuriTeam <http://www.securiteam.com/> ;
SecurityFocus <http://www.securityfocus.com/> .
Nesta aula, conheceremos dois conceitos importantes na implementação da governança de TI nas organizações: a
governança de dados, apresentado pelo DMBOK, e a governança de sourcing, nos modelos eSCM- SP e eSCM-CL.
A governança de dados é a gestão de políticas, processos, pessoas e tecnologias, de forma a estruturar os ativos de
informação dentro da organização. A importância de realizar uma boa governança de dados está no fato de que sua
implementação garante a qualidade dos dados utilizados nesta organização e, consequentemente, ocasiona melhora no
processo de tomada de decisão e na eficiência operacional.
Na governança de sourcing, precisamos considerar que cada vez mais organizações delegam suas atividades de negócio
em TI a provedores externos, como forma de diminuir custos e também gerar inovação e transformação em sua prática
operacional.
Dessa forma, é crucial que as organizações tenham métodos e boas práticas na implementação de ambas as governanças.
Objetivos
Dados
São a base de todo o processo para geração da sabedoria empresarial. Eles são a matéria-prima necessária para conseguir o
que todas as empresas desejam:
Eles representam fatos por meio de um conjunto de caracteres primitivos e isolados, geralmente, representados por textos,
números, imagens, sons ou vídeos. De uma forma isolada, os dados não possuem qualquer significado relevante dentro de um
contexto de negócio e podem estar em formato eletrônico digital ou em forma não eletrônica; neste caso, falamos do dado em
impresso em papel.
Não estruturados São armazenados em planilhas, imagens, sons e áudio. Estima-se que 80% dos dados
das organizações estejam armazenados em formas não estruturadas.
Ordenação e organização dos dados de forma a transmitir algum significado e compreensão dentro de um determinado
contexto. Possui algum valor na gestão empresarial, mas ainda abrangente e dispersivo. Geralmente, é obtida por meio do
processamento de uma transação sistêmica ou da utilização de um sistema de apoio à decisão.
Conhecimento
Quando a informação é processada por meio de padrões de comportamento, tendências e valores agregados por um
conjunto de regras e características de manipulação e são utilizadas como subsídio para o processo de tomada de decisão
e solução de problemas.
Sabedoria
É a utilização do conhecimento com eficácia e eficiência. Como essa ação depende do comportamento e da competência
humana, muitos autores não reconhecem a sabedoria como o último estágio da cadeia.
Comentário
A ciência de dados é uma ciência que trata de obter conhecimento e informação de forma sistemática, bem como normalizar e
organizar o conhecimento relacionado ao dado. Ela estuda o dado em todo o seu ciclo de vida, da produção ao descarte.
Envolve a interface com diversas outras funções e estabelece políticas e diretrizes corporativas para governar os dados, além de
atribuir papéis e responsabilidades. É responsável por alinhar tecnologia, processos e pessoas para definir os papéis, as
responsabilidades e os processos necessários para gerir os dados estratégicos da empresa.
Tem como princípios básicos a gestão de dados estratégica, a existência de um ou vários patrocinador(es), além de ser um
programa contínuo na organização. Tem como principais objetivos:
1 2
4 5
Institucionalizar uma gerência comum no tratamento de Construir padrões, processos e metodologias que possam ser
problemas de dados disseminadas pela organização
É o principal documento que formaliza e reconhece as atividades de gestão e governança de dados na empresa. Por meio
dela, conseguimos dar reconhecimento formal às atividades e também institucionalizar áreas e organizações de apoio que
irão atuar na gestão dos dados da empresa. Também é importante destacar no documento o reconhecimento do dado
como um importante ativo da empresa.
Política de dados
As políticas de dados são regras gerais e fundamentais que devem ser adotadas pelos profissionais envolvidos com os
dados, desde o seu projeto, criação e utilização até o descarte. Nesse caso, ela pode ser composta por vários documentos
distintos:
Documentos que regulamentam a criação de artefatos resultantes das atividades previstas dentro dos processos de gestão
de dados têm caráter normativo, ou seja, o cumprimento do que está escrito no documento deve ser respeitado. Eles
descrevem o que fazer e o que não fazer. São diferentes dos procedimentos e roteiros, que descrevem como fazer.
Procedimentos
Ao contrário de normas e padrões, que são documentos normativos, os procedimentos têm como principal característica
orientar as pessoas na execução de algo para atingir algum propósito, seja ele uma simples requisição, produção de um
artefato ou operação de manipulação dos dados. É o documento mais operacional do processo.
Sua principal publicação é o Guia Dama-DMbok, conjunto de boas práticas de gestão de dados reunidas em um documento
estruturado em forma de um framework. O conteúdo do guia foi elaborado com a contribuição de diferentes profissionais que
atuam na área de gestão de dados no mundo. Por se tratar de um guia de boas práticas, o documento faz referência a diversas
fontes de informação e conteúdo especializado em cada uma das dez funções de gestão de dados propostas no documento.
1. Orientar as organizações na definição de premissas para a implementação da gestão de dados nas organizações;
2. Fornecer as diretrizes e a base para a avaliação da eficácia e maturidade da gestão de dados nas organizações;
Gestão de dados
A visão de gestão de dados prevê dez funções em que o centro das demais funções é a governança de dados:
Definir em âmbito corporativo os dados necessários para a empresa e também por manter o controle dos modelos
corporativos e demais artefatos da arquitetura de dados corporativa alinhados à arquitetura empresarial da organização.
Desenvolvimento de dados
Gerir todo o ciclo de vida de criação das estruturas de dados que serão utilizadas nas aplicações. Engloba as atividades de
levantamento dos dados, modelagem dos dados, ajustes, avaliação dos modelos de dados, implementação física e
manutenção das bases de dados relacionadas com os componentes das soluções adotadas.
Gerir os dados estruturados, geralmente armazenados em sistemas gerenciadores de banco de dados, em todo o ciclo de
vida do dado, respeitando as diretrizes estabelecidas nas outras funções de gestão de dados.
Planejar, definir arquitetura, implementar e controlar o uso dos dados mestres e de referência da empresa, mantendo a sua
consistência e exatidão.
Planejar, implementar e controlar processos para prover dados de suporte à decisão e à implementação de análises de
dados sob várias dimensões de análise.
Planejamento, implementação e controle de atividades para armazenar, proteger e acessar dados estruturados ou não (fora
de bases de dados).
Gestão de metadados
São divididos em duas classes: elementos básicos, estão presentes em todas as dez funções de gestão de dados, e elementos
de apoio, necessariamente não estão presentes em todas as funções já que dependem da natureza da função.
Terceirização
Com os avanços tecnológicos dos últimos anos, o crescimento da internet e a globalização dos negócios e da economia, cada
vez mais as organizações delegam atividades de negócios de TI a provedores de serviços externos.
Essas atividades de negócio de TI variam desde tarefas estratégicas até tarefas rotineiras e não críticas. As principais motivações
para essa iniciativa por parte das organizações foram:
Concentração em competências essenciais para o seu Carência de suas próprias necessidades internas
próprio negócio
O grande desafio enfrentado pelas organizações atualmente é o atendimento das suas expectativas nesses relacionamentos
entre empresas, a contratante e a contratada.
O eSourcing Capability Model (eSCM) é um modelo desenvolvido pelo Information Technology Services Qualification Center
(ITSqc), da Carnegie Mellon University (CMU) que apresenta as melhores práticas voltadas à capacidade e qualidade de serviços
de TI ou suportados por TI, especificamente nos serviços e relacionamentos de terceirização ou sourcing (outsourcing e
insourcing).
1 2
eSCM-SP eSCM-CL
Modelo de Recursos de eSourcing para provedores de (Modelo de Recursos de eSourcing para Organizações de
Serviços) para organizações que prestam serviço Clientes) para as organizações contratantes.
eSCM-SP
O Modelo de Recursos de eSourcing para Provedores de Serviços foi desenvolvido com o objetivo de complementar os modelos
de qualidade já existentes e implementado nas organizações e auxiliar as organizações de terceirização a gerenciar e reduzir os
riscos e melhorar suas capacidades em todo o seu ciclo de vida de fornecimento. Ele apresenta 84 práticas que são distribuídas
em três dimensões:
Gestão de pessoas Atividades que envolvem o comprometimento e a participação das pessoas no âmbito da
organização. Contratação, definição de papéis e responsabilidades, desenvolvimento de
competências e carreira e ainda feedback periódico de desempenho.
Gerenciamento de desempenho Definição dos objetivos organizacionais e das metas de desempenho, medição da capacidade
organizacional e implantação de melhorias de desempenho.
Gestão de relacionamento Ações que envolvem o relacionamento com cliente, fornecedores e parceiros como: obtenção
do feedback do cliente, oportunidades de adicionar valor ao cliente, seleção de fornecedores
etc.
Gerenciamento de ameaças Compromisso com as políticas de gestão de riscos, gestão da segurança e recuperação de
desastres e monitoramento de requisitos de compliance1 .
Contratação Entendimento dos requisitos do cliente, da análise da capacidade da organização para atender
às necessidades e aos requisitos do cliente, da determinação das premissas dos serviços a
serem realizados e definição de um acordo formal.
Design e implantação de serviços Especificação dos serviços a serem fornecidos ao cliente, sua implantação e verificação se está
atendendo ou não as especificações acordadas com o cliente.
Prestação de serviços Planejamento e monitoramento das atividades de entrega dos serviços de acordo com os
requisitos do cliente que abrange a identificação e controle de mudanças e identificação de
problemas.
Transferência de serviço Gerenciamento da transferência dos recursos de volta para o cliente ou para um novo provedor
de serviço e da garantia de continuidade de serviço durante o processo de transferência de
recursos.
Nível de capacidade
O modelo eSCM-SP apresenta cinco níveis de maturidade para os fornecedores de serviços:
Indica que a organização tem procedimentos em vigor para permitir que ela atenda consistentemente aos
2 requisitos de seus clientes.
Indica que uma organização é capaz de gerenciar seu desempenho de forma consistente em todos os
3 compromissos.
4 Indica que uma organização é capaz de agregar valor aos seus serviços por meio da inovação.
5 indica que uma organização provou que pode sustentar a excelência por um período de pelo menos dois anos.
Ocorre ao longo de todo o ciclo de sourcing e representa as funções gerenciais. Abrange as seguintes atividades:
• Gerenciar e motivar os recursos humanos envolvidos na entrega efetiva dos serviços;
• Gerenciar a infraestrutura de TI utilizada como suporte para a entrega dos serviços;
• Gerenciar a informação e o conhecimento, de forma que todos os envolvidos no processo possam usá-los para
desempenhar seu trabalho;
• Gerenciar os relacionamentos com clientes, fornecedores e parceiros de negócios;
• Monitorar o desempenho organizacional e tomar ação corretiva em caso de desvio;
• Gerenciar as ameaças que possam afetar à organização no atendimento aos seus objetivos e aos requisitos dos clientes.
Iniciação
Entrega
Encerramento
eSCM-CL
A ITSqc desenvolveu outro modelo de recursos de eSourcing para Organizações de Cliente, em que são apresentadas práticas
que permitem às empresas clientes avaliarem e aprimorarem seus relacionamentos com fornecedores, transformando esses
relacionamentos mais duradouros e confiáveis.
Ele aborda um conjunto completo de tarefas desde o desenvolvimento da estratégia de sourcing da organização, planejamento
para seleção e seleção de fornecedores de serviços, até o gerenciamento da prestação de serviços e sua finalização.
O modelo apresenta 95 práticas que abordam os recursos críticos necessários aos clientes de serviços habilitados para TI, em
que cada prática do modelo é organizada em três dimensões:
Áreas de capacidade de eSCM-CL
Gestão da estratégia de sourcing Tem como objetivo o estabelecimento de objetivos organizacionais ou metas para o sourcing e
a definição da sua estratégia: estrutura, o que contratar, as formas de contratação, o
desenvolvimento de parcerias etc.
Gestão da governança Define a estrutura organizacional e dos processos gerenciais organizacionais, procedimentos e
processos específicos para o sourcing. Realiza ainda o alinhamento das atividades de sourcing
com o negócio.
Gestão do valor Fomenta a cultura de melhoria contínua no processo de sourcing, garantindo o alinhamento
com os objetivos da organização e promovendo a inovação, de forma a superar as expectativas
das partes interessadas.
Gestão da mudança organizacional Trata do planejamento para a gestão de mudança e comunicação que a organização como um
todo sofrerá, considerando o processo de sourcing e as novas formas de trabalho.
Gestão de pessoas Aborda o desenvolvimento das competências necessárias e o gerenciamento dos recursos e do
ambiente necessários para a implementação do sourcing na organização.
Gestão do conhecimento Trata do compartimento entre todos da organização para desempenhar seu trabalho em
relação ao sourcing e lições aprendidas.
Gestão da tecnologia Aborda a gestão da estratégia e arquitetura tecnológica, assim como o monitoramento e
gerenciamento da infraestrutura, incluindo a gestão da mudança e a gestão dos ativos da
organização.
Gestão de ameaças Trata do gerenciamento ativo de ameaças, gestão de riscos, proteção contra ameaças,
continuidade do negócio e compliance.
Análise de oportunidades de Trata da identificação de áreas, processos ou funções da organização com potencial para serem
sourcing terceirizadas em parte ou totalmente.
Abordagem de sourcing Trata do modelo de sourcing possível de implementação pela organização. Apresenta temas
como análise de impacto e risco, abordagem de sourcing e elaboração de bussiness case.
Planejamento de sourcing Trata do planejamento da implementação das iniciativas de sourcing planejadas da abordagem
de sourcing para as iniciativas planejadas. Cobre temas como projeto de sourcing, plano de
sourcing e definição de requisitos e acordos.
Avaliação do fornecedor de serviço Trata da identificação dos potenciais fornecedores de serviços e da seleção dos principais
fornecedores.
Acordos de serviços Trata da definição de metas e medições, a confirmação de capacidades e negociações dos
níveis serviços de sourcing.
Transferência de serviços Trata da gestão da transferência dos serviços, do conhecimento, pessoas e recursos entre o
cliente e o fornecedor.
Gestão dos serviços contratados Trata da capacidade da organização (gestão de desempenho, financeira, mudanças) para o
gerenciamento dos serviços contratados e da gestão de problemas em relação ao andamento
dos serviços.
Esta fase ocorre durante todo o ciclo do processo de sourcing. Contempla as atividades necessárias para definição da
estratégia de sourcing e o gerenciamento das informações necessárias para que os envolvidos possam desempenhar suas
atividades. É nesta fase que também são realizados o gerenciamento das necessidades de mudanças organizacionais e o
monitoramento do desempenho e na melhoria contínua das atividades de sourcing.
Análise
Nesta fase, ocorre o entendimento da situação atual da organização e cliente e os critérios relevantes para selecionar
oportunidades de sourcing. Para cada nova opção deverá ser desenvolvida a análise de impacto e os riscos associados, o
caso de negócio e a decisão se será realizada ou não o sourcing.
Início
Na fase de início são avaliados os potenciais fornecedores de serviços, ocorre a seleção do serviço e o critério de seleção.
São definidos também os níveis de serviço e as medições de desempenho do fornecedor. É estabelecido o acordo formal
com as responsabilidades de ambas as partes.
Entrega
Nesta fase, ocorre o planejamento e controle das atividades de gestão de sourcing de forma a garantir que os serviços
sejam entregues de acordo com os níveis de serviço acordados. A parte financeira de cada entrega deverá ser gerenciada e
identificada e deve ser monitorado e resolvido os problemas que possam impactar na entrega do serviço. Deve ser
assegurado nesta fase que a provisão de serviço agregue valor para a organização contratante.
Conclusão
Nesta fase, há o gerenciamento da finalização do serviço e a garantia da continuidade do negócio durante a fase de
transferência de serviço.
Nível de capacidade
O modelo eSCM-CL apresenta cinco níveis de maturidade para caminho de evolução do cliente de serviços rumo à excelência em
gestão de sourcing:
Executando o Sourcing: Indica que a organização cliente possui poucas práticas do modelo implementadas,
1 pouca capacidade de gestão e, consequentemente, alto risco de insucesso no sourcing e pouco alinhamento com
as necessidades do negócio.
Gerenciando o sourcing consistentemente: Indica que a organização cliente tem procedimentos formalizados
2 para o gerenciamento de suas atividades de sourcing e é capaz de gerenciar o sourcing, mas não da mesma
maneira no âmbito da organização inteira.
Gerenciando o desempenho do sourcing em âmbito organizacional: Indica que a organização cliente é capaz de
gerenciar o desempenho do sourcing de acordo com a estratégia da organização, de entender o mercado e os
3 provedores de serviços (incluindo atributos culturais), de identificar e gerenciar os riscos e de gerenciar o sourcing
com base em processos organizacionais estabelecidos. Além disso, tentam melhorar, de forma contínua, sua
capacidade de gerenciamento do sourcing. Entretanto, a melhoria das atividades ainda é reativa.
Aperfeiçoando o valor proativamente: Indica que a organização cliente é capaz de inovar continuamente para
adicionar valor significativo às atividades de sourcing, estando aptas a customizar sua abordagem de sourcing em
4 função de vários fornecedores e tipos de serviços, a desenvolver relacionamentos que agreguem valor ao negócio,
encorajando inovação, a entender o valor de suas atividades de sourcing e a prever o desempenho baseado em
experiências prévias.
Sustentando a Excelência: Indica que a organização cliente mantém a excelência em serviços, executando as 95
5 práticas dos níveis 2, 3 e 4 durante duas ou mais avaliações de certificação consecutivas, em um período de pelo
menos dois anos. Não há práticas adicionais neste nível.
Atividade
1. A área responsável por alinhar tecnologia, processos e pessoas para definir os papéis, as responsabilidades e os processos
necessários para gerir os dados estratégicos da empresa é:
a) Governança de dados.
b) Governança de terceirização.
c) Governança de ativos.
d) Governança de operações.
e) Governança de processos.
2. O Modelo de Recursos de eSourcing para Provedores de Serviços foi desenvolvido com o objetivo de auxiliar as organizações
de terceirização a gerenciar e reduzir os riscos e melhorar suas capacidades em todo o seu ciclo de vida de fornecimento. Quais
são as áreas de capacidade para auxiliar as organizações no gerenciamento do modelo?
3. Qual é o modelo em que são apresentadas práticas que permitem às empresas e aos clientes avaliarem e aprimorarem seus
relacionamentos com fornecedores, transformando estes relacionamentos mais duradouros e confiáveis? Explique-o.
Notas
Compliance 1
Referências
ARAGON, A.F.; ABREU, V. F. Implantando a Governança de TI: da Estratégia à Gestão dos Processos e Serviços. 4.ed. Rio de
Janeiro: Brasport, 2014.
REGO, B.L. Gestão e Governança de dados: promovendo dados como ativo de valor nas empresas. Rio de Janeiro: Brasport,
2013.
Próxima aula
Modelo de processo de software apresentado pelo ISO 12207;
Explore mais
Assista ao vídeo:
Leia o texto:
Conheça:
No cenário de globalização da economia, a tecnologia tornou-se parte das soluções de negócio das organizações. Os
recursos de Tecnologia de Informação ocupam cada vez mais posições estratégicas como forma de agregar valor ao
negócio e viabilizar o diferencial competitivo das empresas.
Torna-se cada vez mais evidente a importância da revisão dos modelos de gestão pelas organizações a fim de que elas
possam perceber se estão no caminho certo ou não.
A área de processos de software talvez seja a área para os quais mais modelos de melhores práticas foram desenvolvidos
ao longo dos anos. O que fica mais evidente no momento é que o os processos de software precisam ser integrados e
tratados de forma interdisciplinar.
Objetivos
Compreender os modelos de processo de software apresentados por: ISO 12207, CMMI e MPS-SW;
Sua criação foi motivada, anos atrás, pela necessidade de padrões na área de software. Tem como objetivo auxiliar a produção de
software por meio de processos bem definidos, proporcionando uma definição clara de papéis dos envolvidos e um
entendimento comum das atividades a serem executadas.
Como é orientada a “Processos de Ciclo de Vida do Software”, ela cobre todo o ciclo, desde a concepção do software até o seu
descarte, incluindo os processos para aquisição e suprimento de produtos de software e serviços, assim como os processos
para controle e melhoria. Porém, ela não especifica como implementar ou desempenhar as atividades e tarefas incluídas nos
processos.
Estrutura de processo
Os processos do modelo são divididos em três categorias:
Fundamentais Apoio
Atendem às partes fundamentais do processo (cliente, Contribui para a qualidade e o sucesso do projeto de
fornecedor, desenvolvedor, operador do software). software e é realizado, quando necessário, e por outro
processo.
Organizacionais
Define as atividades de aquisição do produto de software, sistema ou serviço de acordo com as necessidades do cliente.
Fazem parte deste processo as atividades de identificação:
• das necessidades;
• da preparação de proposta de aquisição;
• da preparação do contrato;
• do monitoramento do fornecedor e
• da aceitação do produto ou serviço.
Fornecimento
Define as atividades do fornecedor do sistema, software ou serviço de acordo com os requisitos acordados com o cliente.
Fazem parte deste processo as atividades de:
• revisão dos requisitos;
• preparação de resposta;
• contratação;
• planejamento
• execução e controle;
• revisão e avaliação; e
• entrega.
Desenvolvimento de software
Define as atividades do desenvolvedor do software para transformar um conjunto de requisitos em um produto de software
ou sistema que atenda às necessidades expressas pelo cliente. Fazem parte deste processo as seguintes atividades:
• implementação do processo;
• análise dos requisitos;
• projeto da arquitetura;
• projeto detalhado;
• codificação e teste;
• instalação do software e
• suporte de aceitação do software.
Operação
Define as atividades para operar o produto de software. Fazem parte desse processo as seguintes atividades:
• gestão de incidentes;
• problemas e mudança;
• teste operacional;
• operação do sistema e
• suporte ao usuário.
Manutenção
Define as atividades de gerenciamento das modificações do produto após sua entrega para corrigir falhas, melhorar seu
desempenho ou características. Fazem parte desse processo as seguintes atividades:
• implementação do processo (recebimento de solicitações e interface com gestão da configuração);
• análise de problemas e modificações;
• implementação da modificação;
• migração e desativação do software.
PROCESSOS FUNDAMENTAIS
Define as atividades para o desenvolvimento e registro das informações pelos processos do ciclo de vida do software.
Fazem parte desse processo as seguintes atividades:
• implementação do processo de padronização da documentação (estrutura, formato, versionamento dos documentos);
• projeto;
• desenvolvimento;
• produção e
• manutenção da documentação.
Garantia da qualidade
Define as atividades para assegurar, objetivamente, que o produto de software e os processos estejam em conformidade
com os requisitos especificados e aderentes aos planos estabelecidos. Fazem parte desse processo as seguintes
atividades:
• implementação do processo;
• garantia do produto;
• garantia do processo e
• garantia da qualidade do sistema.
Veri cação
Define as atividades para a verificação se o produto reflete os requisitos especificados. Fazem parte desse processo as
atividades de verificação durante todo o ciclo de vida do produto de software:
• contrato;
• processo;
• requisitos;
• projeto;
• código;
• integração e
• documentação.
Validação
Define as atividades para confirmar se os requisitos de uso específico e definidos para o software foram atendidos. Fazem
parte desse processo as atividades:
• definição das atividades (para o comprador, o fornecedor ou para uma terceira parte independente) de validação dos
produtos dos projetos de software;
• implementação do processo;
• realização de teste de desempenho, de segurança, de aceitação.
Revisão conjunta
Define as atividades para avaliar o progresso obtido em relação aos objetivos acordados com os stakeholders. Fazem parte
desse processo as seguintes atividades:
• implementação do processo;
• revisões de gestão do projeto e
• revisões técnicas.
Auditoria
Usabilidade
Define as atividades para minimizar as chances de rejeição dos produtos de software pelos usuários, considerando os
interesses e as necessidades dos envolvidos.
Resolução de problemas
Define as atividades para assegurar que todos os problemas identificados sejam analisados e resolvidos,
independentemente da sua natureza e origem.
Avaliação do produto
Define as atividades para executar de forma sistemática o exame e as medições no produto para garantir que o mesmo
atenda às necessidades especificadas pelos usuários.
PROCESSOS FUNDAMENTAIS
Define as atividades básicas de gestão dos processos (iniciação e execução) de forma a atingir as metas de acordo com
organização.
Infraestrutura
Define as atividades para o estabelecimento da estrutura de suporte de um processo de ciclo de vida por meio da
manutenção de um ambiente estável e confiável (hardware e software).
Melhoria
Define as atividades para estabelecer, avaliar, medir, controlar e melhorar o processo de ciclo de vida de software.
Recursos humanos
Define as atividades para fornecer os recursos humanos adequados e com as competências necessárias para o
atendimento às necessidades de negócio da organização.
Gestão de ativos
Define as atividades de gerenciamento do ciclo de vida dos ativos reutilizáveis desde sua concepção até sua
descontinuidade.
Engenharia de domínio
CMMI
Na década de 1980, o Instituto de Engenharia de Software (SEI) foi criado com o objetivo de fornecer software de qualidade para
o Departamento de Defesa dos EUA e aumentar a capacitação da indústria de software.
Após uma avaliação da indústria de software, foi criado o Modelo de Maturidade da Capacitação (CMM) e, posteriormente, vários
outros modelos semelhantes e compatíveis com o CMM foram definidos, sendo um deles o CMM para Software.
Com o objetivo de integrar os modelos de capacitação que foram surgindo, o SEI propôs o CMM Integrado (CMMI), que define:
Áreas de processos
O CMMI define 22 áreas de processos que são organizadas em quatro grupos:
Clique nos botões para ver as informações.
Gerência de processo
Gerência de projetos
• Planejamento de projeto;
• Monitoração e controle de projeto;
• Gerenciamento de acordo com fornecedores;
• Gerenciamento de projeto integrado;
• Gerenciamento de riscos;
• Gerenciamento quantitativo de projeto.
Engenharia
• Gerenciamento de requisitos;
• Desenvolvimento de requisitos;
• Solução técnica;
• Integração de produto.
Apoio
• Gerenciamento de configuração;
• Gerenciamento de qualidade de processo e produto;
• Medição e análise;
• Análise de decisão e resolução;
• Análise causal e resolução;
• Verificação;
• Validação.
Representação
O CMMI possui duas abordagens:
por estágios contínua
Essas abordagens foram reunidas na versão 1.3 do CMMI, em um mesmo documento, dentro do conceito de “constelação”. Uma
constelação é uma coleção de componentes gerada a partir do framework CMMI e engloba:
1. Um modelo fundamental;
2. Materiais de treinamento;
1 2
Ela descreve os objetivos que devem ser alcançados em cada nível de maturidade. Um nível de maturidade pode ser considerado
um degrau evolucionário para o nível seguinte.
Permite que cada uma de suas áreas de processo seja implementada de forma independente e evolutiva. A organização escolhe
as áreas de processos para as quais deseja implementar.
Nível 0: Incompleto
Processo não é executado ou é parcialmente executado, ou
seja, uma (ou mais) das metas específicas de sua área de
processo não é satisfeita.
Nível 1: Executado
O processo satisfaz todas as metas específicas de sua área de
processo e realiza o trabalho necessário para gerar os seus
produtos.
Nível 2: Gerenciado
O processo é planejado e executado de acordo com políticas
organizacionais, utiliza recurso humano habilitado e recursos
adequados para gerar saídas de forma controlada.
Nível 3: Definido
O processo é gerenciado e adaptado a partir de um conjunto
de processos padronizados da organização.
É recomendada para organizações que tenham É recomendada para organizações que estão
preferências por uma evolução gradual na sua familiarizadas com a incorporação de melhorias nos
capacidade. A vantagem desse modelo está na diluição seus processos organizacionais por meio de modelos
do investimento a ser feito no programa de melhoria ao de qualidade baseados na melhoria simultânea e
longo do tempo, entretanto, existe a desvantagem de integrada de vários processos.
maior esforço para gerenciar a evolução segregada de
cada prática.
Níveis de capacidade Níveis de maturidade
Nível 5 – Otimizado
Modelo MPS-SW
Foi criado um modelo em 2003 — pela SOFTex, em parceria com o Ministério da Ciência, Tecnologia, Inovação e comunicações
(MCTIC) do governo brasileiro — com o objetivo de melhorar a capacidade de desenvolvimento de software, serviços e práticas de
gestão na indústria de TIC.
Uma das motivações criá-lo foi o alto custo para a obtenção, por parte das empresas nacionais, em modelos específicos
orientados a processo de software como o CMMI. No início do século XXI, era comum às empresas brasileiras de software a
utilização da norma ISO 9000 como modelo de qualidade, em vez de modelos específicos orientados a processos de software
(tais como o CMM – Capability Maturity Model). O modelo tem como base técnica a NBR ISO/IEC 12207 e o CMMI-DEV.
Segundo a Softex, o modelo permanece no ranking de melhoria da capacidade de desenvolvimento de software e serviços TI,
como o número 1 nas empresas brasileiras.
Detalha o Modelo de Referência MPS para Software Detalha o Modelo de Referência MPS para Serviços
(MR-MPS-SW), seus componentes e suas definições (MR-MPS-SV), seus componentes e suas definições
comuns necessárias para seu entendimento e sua comuns necessárias para seu entendimento e
aplicação. aplicação.
MPS-RH
Gestão de Pessoas
Níveis de maturidade
O modelo apresenta 7 níveis de maturidade. Cada nível estabelece um patamar de evolução do processo e representa um estágio
de melhoria para a implementação de processos na organização. A cada nível está associado um conjunto de processos e de
atributos de processo.
Capacidade de processos
A capacidade de um processo expressa o grau de refinamento e institucionalização com o qual o processo é executado na
organização. À medida que a organização evolui nos níveis e na maturidade apresentados pelo modelo MPS-SW um maior nível
de capacidade dever ser atingido.
A tabela abaixo apresenta os níveis de maturidade do modelo, os processos, atributos de processo correspondente e a
correspondência com os níveis do CMMI.
Fonte: Adaptado do Guia Geral MPS de Software, Softex
Segundo o Guia geral do MPS de Software, os atributos de processo AP 4.1, AP 4.2, AP 5.1 e AP 5.2 somente devem ser
implementados em processos críticos da organização selecionados para análise de desempenho. Os demais atributos de
processos devem ser implementados para todos os processos.
Fonte: Shutterstock
Processos do modelo MPS-SW
Gerência de projetos
O objetivo do processo é estabelecer e manter planos que definem atividades, recursos, responsabilidades e informações do
projeto de forma a realinhar os desvios.
Gerência de requisitos
O objetivo deste processo é realizar a gestão dos requisitos do produto e dos componentes do produto do projeto, e identificar
inconsistências entre os requisitos, os planos do projeto e os produtos de trabalho do projeto.
Aquisição
O objetivo desse processo é gerenciar a aquisição de produtos que satisfaçam às necessidades de negócio da organização e do
cliente.
Gerência de configuração
O objetivo desse processo é estabelecer e manter a integridade de todos os produtos de trabalho de um processo ou projeto e
disponibilizá-los a todos os envolvidos.
Garantia da qualidade
O objetivo é garantir a conformidade dos produtos e dos processos com os planos, procedimentos e padrões estabelecidos.
Medição
O objetivo desse processo é realizar a medição dos dados relativos aos produtos, processos e projetos como forma de apoiar os
objetivos organizacionais.
Desenvolvimento de requisitos
O objetivo desse processo é a definição dos requisitos do cliente, do produto e dos componentes do produto.
Integração do produto
O objetivo desse processo é gestão dos componentes do produto para garantir um produto integrado e consistente com seu
projeto e que os requisitos funcionais e não funcionais sejam satisfeitos.
Validação
O objetivo desse processo é a confirmação que um produto ou componente do produto atenderá a seu uso pretendido quando
colocado no ambiente para o qual foi desenvolvido.
Verificação
O objetivo desse processo é a confirmação de que cada serviço e/ ou produto de trabalho do processo ou do projeto atenda
apropriadamente aos requisitos especificados.
Gerência de decisões
Tem como objetivo analisar possíveis decisões críticas usando um processo formal, com critérios estabelecidos, para avaliação
das alternativas identificadas.
Gerência de riscos
O objetivo desse processo é identificar, analisar, tratar, monitorar e reduzir continuamente os riscos no nível de projeto e
organizacional.
Atividade
1. O objetivo da norma ISO/IEC 12207 é criar um framework que possibilite uma linguagem comum para a criação e o
gerenciamento do software. Nesse modelo, os processos são divididos em quais categorias? Explique-as.
2. O Modelo de Maturidade da Capacitação Integrado (CMMI) tem como principal fundamento o seguinte: à medida que a
maturidade do processo aumenta, a qualidade do produto melhora.
Esse modelo apresenta duas abordagens para sua implementação. Cite-as e explique-as.
3. O modelo MPS-BR desenvolvido pela Softex apresenta quais modelos de referência como forma de auxiliar as organizações?
Referências
ARAGON, A.F.; ABREU, V. F. Implantando a Governança de TI: da Estratégia à Gestão dos Processos e Serviços. 4.ed. Rio de
Janeiro: Brasport, 2014.
ISO/IEC 12207:2011 Systems and software engineering – Software life cycle processes.
Próxima aula
Modelos de gestão de serviços apresentados por ITIL (ISO 20000), CMMI (MPS-BR) e USMBOK (MOF).
Explore mais
Para saber mais sobre os assuntos estudados nesta aula, acesse os seguintes portais:
• CMMI Institute <http://cmmiinstitute.com/> .
• Software Engineering Institute <http://www.sei.cmu.edu/process/index.cfm> .
• ISO – International Organization for Standardization <https://www.iso.org/home.html> .
29/05/2020 Estácio - Disciplina online
Acessibilidade A+ A-
Tópicos da aula
ITIL ISO 20000 Atividade Sistema de gestão de serviço (SGS) Requisitos de um sistema de gestão de serviços CMMI-SVC Atividade Modelo MPS-SV Processos do
modelo MPS-SV Atividade
Apresentação
Como discutimos na aula passada, a tecnologia tornou-se parte das soluções de negócio das organizações. Consequentemente os recursos de Tecnologia de Informação
ocupam cada vez mais posições estratégicas agregando valor ao negócio e viabilizando o diferencial competitivo das organizações.
Desta forma os negócios da organização que são sustentados pela Tecnologia da Informação necessitam de velocidade e competência para que possa atingir altos
resultados.
Nesta aula analisaremos os principais modelos de boas práticas e recomendações internacionais que podem auxiliar as organizações na gestão da TI.
Bons estudos!
Objetivos
Examinar o modelo de gestão de serviços apresentado pelo ITIL;
Analisar o modelo de gestão de serviços do ISO 20000;
Descrever o modelo de gestão de serviços de CMMI-SVC, MPS-BR.
ITIL
11:37
O ITIL foi desenvolvido na década de 1980, na Inglaterra, com o objetivo de auxiliar as empresas britânicas, com uma abordagem de melhores práticas para gerenciar
a utilização eficiente e responsável dos recursos de TI.
Fonte: Pixabay.
estacio.webaula.com.br/Classroom/index.asp?191C757E76=484125312A49B6F19DC3C17C0E7D5F6656FE92C055DDA5ED2325A06F8F072… 1/18
29/05/2020 Estácio - Disciplina online
Em 2007 foi lançada a versão V3 que, entre outras implementações, apresentou uma organização de processos de gerenciamento de serviços baseado em uma estrutura
de ciclo de vida de serviço. Outra novidade na época foi a convergência com outros modelos e padrões, como, por exemplo, o COBIT, CMMI, ISO 20000, entre
outros.
O principal objetivo do ITIL é ser uma fonte de melhores práticas para as organizações no gerenciamento de serviço.
O ITL oferece em seu núcleo cinco publicações que descrevem as melhores práticas de gerenciamento de serviço em cada um dos estágios do ciclo de vida de um
serviço, e possui 26 processos que estão agrupados de acordo com o estágio do ciclo de vida de serviço (volumes) a que pertencem.
estacio.webaula.com.br/Classroom/index.asp?191C757E76=484125312A49B6F19DC3C17C0E7D5F6656FE92C055DDA5ED2325A06F8F072… 2/18
29/05/2020 Estácio - Disciplina online
Esta fase orienta as organizações sobre o desenho, desenvolvimento e implementação das políticas e dos processos de gerenciamento de serviço como ativos
estratégicos ao longo do ciclo de vida de serviço. Estão incluídos nesta publicação tópicos como ativos de serviço, catálogo de serviço, gerenciamento financeiro,
gerenciamento do portfólio de serviços, desenvolvimento organizacional, riscos estratégicos etc.
estacio.webaula.com.br/Classroom/index.asp?191C757E76=484125312A49B6F19DC3C17C0E7D5F6656FE92C055DDA5ED2325A06F8F072… 3/18
29/05/2020 Estácio - Disciplina online
Desenho de serviço
Esta fase orienta as organizações quanto ao desenho e desenvolvimento de serviços. É neste estágio que são detalhados os aspectos do gerenciamento do catálogo de
serviços, do nível de serviço, da capacidade da disponibilidade, da segurança da informação, da continuidade, dos fornecedores. Também são identificadas mudanças e
melhorias necessárias para manter ou agregar valor aos clientes ao longo do ciclo de vida do serviço.
Transição de serviço
Esta fase orienta as organizações sobre como efetivar a transição de serviços modificados ou novos para operações implementadas, detalhando os processos de
planejamento e suporte à transição, gerenciamento de mudanças, gerenciamento da configuração e dos ativos de serviço, gerenciamento de liberação e da distribuição,
teste e validação de serviço, avaliação e gerenciamento do conhecimento.
estacio.webaula.com.br/Classroom/index.asp?191C757E76=484125312A49B6F19DC3C17C0E7D5F6656FE92C055DDA5ED2325A06F8F072… 4/18
29/05/2020 Estácio - Disciplina online
Operação de serviço
Esta fase do ciclo de vida do gerenciamento de serviços é responsável pelas atividades do dia a dia. Ela fornece orientação sobre como garantir a entrega e o suporte a
serviços de forma eficiente e eficaz, detalhando os processos de gerenciamento de eventos, incidentes, problemas, acesso e de execução de requisições.
Saiba mais
Para conhecer mais sobre cada etapa desse processo, leia o texto “Melhores práticas de gerenciamento de serviço”.
ISO 20000
estacio.webaula.com.br/Classroom/index.asp?191C757E76=484125312A49B6F19DC3C17C0E7D5F6656FE92C055DDA5ED2325A06F8F072… 6/18
29/05/2020 Estácio - Disciplina online
09:33
O objetivo da norma ISO 20000 é definir um padrão para o gerenciamento de serviços de TI, por meio do estabelecimento de conceitos e de um processo de gestão de
forma a permitir que provedores de serviços de TI independentemente do tamanho, natureza e tipo compreendam como poderão planejar, executar, verificar e melhorar
continuamente a qualidade dos serviços entregues, em conformidade com os requisitos estabelecidos junto ao negócio e a seus clientes.
Fonte: Pixabay.
estacio.webaula.com.br/Classroom/index.asp?191C757E76=484125312A49B6F19DC3C17C0E7D5F6656FE92C055DDA5ED2325A06F8F072… 7/18
29/05/2020 Estácio - Disciplina online
A norma está estruturada em cinco partes que tratam especificamente de Requisitos do Sistema de Gestão de serviços, Código de prática, Diretrizes de escopo, Modelo
de referência de processos e Exemplo de Plano de implementação. Conheça cada parte a seguir.
Parte 1
Requisitos do sistema de gestão de serviços
Apresenta a especificação formal da norma e os requisitos para o gerenciamento de serviços, em conformidade com os requisitos de negócio dentro de um nível de
qualidade aceitável.
estacio.webaula.com.br/Classroom/index.asp?191C757E76=484125312A49B6F19DC3C17C0E7D5F6656FE92C055DDA5ED2325A06F8F072… 8/18
29/05/2020 Estácio - Disciplina online
2
Parte 2
Código de prática
Apresenta as melhores práticas baseadas em experiências de mercado em relação aos requisitos definidos na Parte 1.
Parte 3
Diretrizes de escopo
Contêm orientações para definição do escopo e da aplicabilidade da norma aos diferentes tipos de organizações de serviços de TI.
Parte 4
Modelo de referência de processos
Parte 5
Exemplo de plano de implementação
Exemplificação do plano.
Atividade
1. Espinha dorsal da norma da norma ISO 20000, e inclui todas as políticas, os objetivos, os planos, os processos, os documentos e os recursos de gerenciamento de
serviços requeridos para o desenho, a transição, a entrega e a melhoria dos serviços. Neste caso, estamos falando de: ____________________.
Gabarito
Gabarito comentado
Sistema de Gestão de Serviço (SGS). Esse sistema é a espinha dorsal da norma e inclui todas as políticas, os objetivos, os planos, os processos, os documentos e os
recursos de gerenciamento de serviços requeridos para o desenho, a transição, a entrega e a melhoria dos serviços e para atender aos requisitos preconizados pela
norma. Ele dirige e controla as atividades de gerenciamento de serviços do provedor.
estacio.webaula.com.br/Classroom/index.asp?191C757E76=484125312A49B6F19DC3C17C0E7D5F6656FE92C055DDA5ED2325A06F8F072… 9/18
29/05/2020 Estácio - Disciplina online
Responsabilidade da Direção;
Gerenciamento da documentação;
Gerenciamento de recursos;
Processos de relacionamento;
Processos de resolução2;
Processos de controle3.
CMMI-SVC
estacio.webaula.com.br/Classroom/index.asp?191C757E76=484125312A49B6F19DC3C17C0E7D5F6656FE92C055DDA5ED2325A06F8F07… 10/18
29/05/2020 Estácio - Disciplina online
11:08
Como estudamos na aula anterior, na década de 1980, o Instituto de Engenharia de Software (SEI) foi criado com o objetivo de fornecer software de qualidade para o
Departamento de Defesa dos Estados Unidos e aumentar a capacitação da indústria de software.
O Modelo de Maturidade da Capacitação (CMM) foi criado e, à medida que novos modelos surgiram, foram integrados em um modelo único — o CMMI.
A implementação de gestão de serviço, o CMMI-SVC, tem como objetivo fornecer diretrizes para entrega de serviços dentro das organizações e para clientes externos.
O modelo foi desenvolvido levando em consideração o próprio CMMI e outros modelos como ITIL, COBIT, ISO/ IEC 20000 e o Information Technology Services
Capability Model (ITSCMM) e tem como propósito ser um guia para a implantação de melhores práticas para organizações provedoras de serviços.
O CMMI-SVC abrange as atividades necessárias para estabelecer, fornecer e gerenciar serviços, que, conforme definido no contexto do CMMI, é um produto
intangível e não armazenável. O modelo apresenta a mesma estrutura de maturidade e capacidade do modelo CMMI-DEV na representação por estágio.
Essa representação descreve os objetivos que devem ser alcançados em cada nível de maturidade. Um nível de maturidade pode ser considerado um degrau
evolucionário para o nível seguinte.
Neste nível, a organização do serviço é gerenciado e entregue conforme o planejado e atende aos requisitos do cliente. O provedor tem a capacidade de medir o
desempenho do serviço.
Gestão de Configuração;
Medição e Análise;
Garantia da qualidade do Processo e Produto;
Gestão de Requisitos;
Gestão de acordo com o Fornecedor;
Entrega de Serviço;
Controle e monitoração do trabalho;
Planejamento do trabalho.
Nível 3 - Definido
estacio.webaula.com.br/Classroom/index.asp?191C757E76=484125312A49B6F19DC3C17C0E7D5F6656FE92C055DDA5ED2325A06F8F07… 11/18
29/05/2020 Estácio - Disciplina online
Neste nível, o provedor de serviços utiliza processos definidos e os serviços apresentam garantias de continuidade e disponibilidade. Os processos são melhorados
continuadamente.
Neste nível, os processos são gerenciados a partir do seu desempenho. A capacidade do processo é compreendida.
Nível 5 - Otimizado
Neste nível, os processos são melhorados continuamente com o entendimento dos objetivos do negócio e as necessidades de desempenho e por meio de inovações.
Fonte: Pixabay.
Atividade
2. O modelo CMMI-SVC apresenta a mesma estrutura de maturidade utilizada no CMMI-DEV, que é a representação
Gabarito
Gabarito comentado
estacio.webaula.com.br/Classroom/index.asp?191C757E76=484125312A49B6F19DC3C17C0E7D5F6656FE92C055DDA5ED2325A06F8F07… 12/18
29/05/2020 Estácio - Disciplina online
Por estágio. O modelo apresenta a mesma estrutura de maturidade e capacidade do modelo CMMI-DEV, que é a representação por estágio, que permite avaliação da
maturidade do processo em 5 níveis: Inicial (1), Gerenciado (2), Definido (3), Gerenciado Quantitativamente (4) e Otimizado (5).
Modelo MPS-SV
O modelo MPS-SV foi criado em 2003, em conjunto com o modelo MPS-SW, pela SOFTex em parceria com o Ministério da Ciência, Tecnologia, Inovação e
Comunicações (MCTIC). Ele tem como objetivo melhorar a capacidade de serviços na indústria de TIC. Na sua elaboração foram utilizados como referência Técnica a
ISO/IEC 20000 e o CMMI-SVC.
Na aula anterior, estudamos o modelo MR-MPS-SW, que trata de software, e conhecemos os níveis de maturidade e seu modelo de capacidade. No modelo para
serviço também existem níveis de maturidade que são uma combinação entre processos e sua capacidade. Assim:
Capacidade do processo
Trata de como um processo atinge os objetivos de negócio, atuais e futuros e permite avaliar e atribuir graus de aderência ao modelo de referência na definição e
execução dos processos em uma organização.
Níveis de maturidade
Tratam de como a organização se encontra na evolução e melhoria desses processos.
Níveis de maturidade
O modelo apresenta sete níveis de maturidade. Cada nível estabelece um patamar de evolução do processo e representa um estágio de melhoria para a implementação
de processos na organização. A cada nível está associado um conjunto de processos e de atributos de processo. Esses níveis são:
Capacidade de processos
estacio.webaula.com.br/Classroom/index.asp?191C757E76=484125312A49B6F19DC3C17C0E7D5F6656FE92C055DDA5ED2325A06F8F07… 13/18
29/05/2020 Estácio - Disciplina online
A capacidade de um processo expressa o grau de refinamento e institucionalização com que o processo é executado na organização.
À medida que a organização evolui nos níveis e na maturidade apresentados pelo modelo MPS-SV, um maior nível de capacidade deve ser atingido.
Fonte: Pixabay.
estacio.webaula.com.br/Classroom/index.asp?191C757E76=484125312A49B6F19DC3C17C0E7D5F6656FE92C055DDA5ED2325A06F8F07… 14/18
29/05/2020 Estácio - Disciplina online
Saiba mais
Para conhecer os níveis de maturidade do modelo CMMI, leia o texto “Níveis de maturidade do modelo CMMI”.
Aquisição
O objetivo do processo é gerenciar as atividades que envolvem o processo de aquisição de serviços e produtos alinhadas com as necessidades e requisitos de negócio.
Gerência de Configuração
O propósito do processo é estabelecer e manter a integridade de todos os produtos de trabalho de um processo ou operação do serviço e disponibilizá-los a todos os
envolvidos.
Garantia da Qualidade
O propósito do processo é assegurar que os produtos de trabalho e a execução dos processos estejam em conformidade com os planos, procedimentos e padrões
estabelecidos.
Gerência de Problemas
O objetivo é mitigar a ocorrência de interrupções do serviço por meio da investigação da causa raiz de um ou mais incidentes que impactam na operação do serviço ou
ainda no cumprimento dos acordos de nível de serviço estabelecidos.
Medição
O propósito do processo é definir os objetivos da medição, identificar, documentar e manter um conjunto adequado de medidas, definir os procedimentos para coleta,
armazenamento e análise das medidas, assim como, coletar, armazenar, analisar e relatar os dados relativos às operações de serviço e aos processos implementados na
organização, de forma a apoiar os objetivos de negócio da organização.
Gerência da Capacidade
O objetivo é garantir que o provedor de serviços tenha capacidade para atender os requisitos atuais e futuros acordados.
Gerência de Decisões
estacio.webaula.com.br/Classroom/index.asp?191C757E76=484125312A49B6F19DC3C17C0E7D5F6656FE92C055DDA5ED2325A06F8F07… 15/18
29/05/2020 Estácio - Disciplina online
O objetivo da é analisar possíveis decisões críticas através de um processo formal e com critérios estabelecidos.
Gerência de Liberação
O objetivo do processo é implantar de forma controlada as liberações de serviços e componentes de serviços em um ambiente de produção.
Gerência de Riscos
O objetivo do processo é identificar, analisar, tratar, monitorar e reduzir continuamente os riscos em nível organizacional e da operação do serviço.
Relatos de Serviços
O objetivo do processo é a produção e disponibilização de informações periódicas sobre os resultados alcançados nos processos relacionados às operações dos serviços
de forma a apoiar a tomada de decisão.
Atividade
3. No modelo MPS-SV a gerência que tem a responsabilidade de mitigar a ocorrência de interrupções do serviço por meio da investigação da causa raiz é a:
____________________.
Gabarito
Gabarito comentado
Gerência de Problemas. O objetivo da Gerência de Problemas é mitigar a ocorrência de interrupções do serviço por meio da investigação da causa raiz de um ou mais
incidentes que impactam na operação do serviço ou ainda no cumprimento dos acordos de nível de serviço estabelecidos.
Notas
Processos de resolução 2
Processos de controle 3
Gerenciamento da configuração;
Gerenciamento de mudanças;
Gerenciamento de liberação e implantação.
Referências
ARAGON, A.F.; ABREU, V. F. Implantando a Governança de TI: da Estratégia à Gestão dos Processos e Serviços. 4.ed. Rio de Janeiro: Brasport, 2014.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ISO/IEC 20000-1:2011. Tecnologia da Informação. Gestão de serviço, parte 1: Requisitos do sistema de
gestão de serviços, 2011.
AXELOS. ITIL Maturity Model and Self-assesssment Service, User Guide, 2013. Disponível em:
https://www.axelos.com/Corporate/media/Files/Misc%20Qualification%20Docs/ITIL-Maturity-Model.pdf Acesso em: 1 abr. 2019.
SOFTEX. Guia Geral MPS de Serviço, 2015. Disponível em: https://www.softex.br/wp-content/uploads/2018/11/MPS.BR_Guia_Geral_Servicos_2015.pdf Acesso em:
1 abr. 2019.
Próxima aula
estacio.webaula.com.br/Classroom/index.asp?191C757E76=484125312A49B6F19DC3C17C0E7D5F6656FE92C055DDA5ED2325A06F8F07… 16/18
29/05/2020 Estácio - Disciplina online
×
Explore mais
Acessibilidade
A Estácio, sempre preocupada com a necessidade de levar seus serviços a um maior número de pessoas, mudou seu site. Atenta às inovações de tecnologia e às
principais tendências mundiais, está trazendo um site com recursos de acessibilidade, seguindo as recomendações do WCAG (Web Content Accessibility Guidelines),
do W3C (World Wide Web Consortium), principal organização de padronização da World Wide Web, que desenvolve especificações técnicas e orientações para o
mercado.
Com isso, pessoas com deficiência visual, baixa visão, daltonismo e mobilidade reduzida podem navegar em nosso site por meio de recursos que foram implementados
para garantir este acesso, tais como alto contraste, aumento de fonte, teclas de atalho e navegação por teclado.
Para aumentar a fonte, é só clicar no símbolo de A+ em nossa barra de acessibilidade. Caso queira voltar ao tamanho de fonte original, é só clicar em A-.
Se for necessário, você também pode usar o zoom nativo do seu navegador, pressionando as teclas “Ctrl” e “+” para aumentar todo o site e “Ctrl” e “-“ para diminuir.
Para voltar ao padrão, pressione “Ctrl” e “0”.
Este site tem melhor acessibilidade quando acessado nas versões mais atualizadas do seu navegador web. Utilize sempre a versão mais recente de seu software.
Fechar
×
Título do vídeo.
Créditos
Redator: Monica Veiga
Designer Instrucional: Laís Silva
Web Designer: Rodrigo Cavalcante
Referências
Próxima aula
estacio.webaula.com.br/Classroom/index.asp?191C757E76=484125312A49B6F19DC3C17C0E7D5F6656FE92C055DDA5ED2325A06F8F07… 17/18
29/05/2020 Estácio - Disciplina online
Explore Mais
estacio.webaula.com.br/Classroom/index.asp?191C757E76=484125312A49B6F19DC3C17C0E7D5F6656FE92C055DDA5ED2325A06F8F07… 18/18
Disciplina: Governança em Tecnologia da
Informação
Nesta aula, conheceremos os conceitos básicos e as motivações para a adoção da TI Verde nas organizações. A TI Verde é
um dos termos mais importantes no mercado tecnológico na atualidade, relacionada à preservação do meio ambiente e à
sustentabilidade, tendo em vista a conscientização da sociedade sobre o impacto que os resíduos tecnológicos podem
contribuir para a degradação do meio ambiente.
Grande parte desses resíduos é composto de dispositivos tecnológicos descartados pela população de forma incorreta.
Como a tendência é que essa proporção cresça cada dia mais, existe a preocupação quanto à forma correta de descarte
desses produtos, já que liberam substâncias tóxicas ao meio ambiente. Os resíduos tecnológicos devem ter um destino
correto para que danos ambientais não sejam presenciados.
Objetivos
Ecosistema de TI
• O impacto ambiental durante a criação, fabricação, distribuição, uso e descarte de equipamentos eletrônicos.
Atenção com as atividades humanas que podem contribuir para o aumento da emissão de gases que
causam o efeito estufa na atmosfera terrestre, aumentando a temperatura na superfície.
Leitura
Leia o texto Emissões de dióxido de carbono sobem pela 1ª vez em quatro anos, diz agência da ONU.
Desenvolvimento sustentável
Como as organizações preservarão os recursos naturais e irão suprir suas necessidades atuais sem
comprometer a natureza e o meio ambiente de forma a preservar a capacidade das futuras gerações
de atender suas próprias necessidades.
TI Verde
Como a tecnologia muda rapidamente, existe um fluxo constante de material obsoleto que pode criar problemas ambientais.
É necessário que as organizações desenvolvam políticas verdes e inteligentes para a aquisição, o uso e descarte de equipamentos
de TI.
Impactos
Podemos pensar nesses impactos por três aspectos distintos:
Clique nos botões para ver as informações.
Utilização dos recursos
A obsolescência dos equipamentos de TI é um ponto importante, já que ficam ultrapassados tecnologicamente com muita
velocidade, considerando que novas tecnologias são implementadas ou descobertas a cada dia.
Normalmente, os equipamentos de TI duram entre três e cinco anos, e são substituídos por novos. Os equipamentos
obsoletos são descartados pelas empresas, produzindo lixo eletrônico.
Segundo a ONU, o volume de lixo eletrônico em 2016 estava em torno de 40 milhões de toneladas métricas, com
crescimento previsto até 2021 de 17%, considerando que nem tudo que é descartado é reciclado.
Segundo o Greenpeace, os datacenters consomem cerca de 1,5 a 2% da eletricidade global. Nesse contexto, é importante
considerar que as máquinas servidoras dessas organizações (correio eletrônico, servidores Web, servidores de aplicação
etc.) ficam ligadas 24 horas por dia e 7 dias por semana. Como os equipamentos de TI precisam funcionar em ambiente
refrigerado, nem toda a energia elétrica usada pela TI é referente apenas aos seus equipamentos.
No processo de fabricação de equipamentos de Tecnologia da Informação, são consumidos muitos recursos e energia
elétrica. É importante observarmos também que o consumo de energia elétrica não é só necessário para a fabricação, mas
para a utilização da TI nas organizações. Em um escritório, por exemplo, a utilização de equipamentos de TI como desktop,
notebooks, roteadores e impressoras, representam parte do consumo de energia da organização.
Lixo eletrônico
Leitura
Leia os textos:
Brasil produziu 1,4 milhão de toneladas de resíduos eletrônicos em 2014, afirma novo relatório da ONU;
<https://nacoesunidas.org/brasil-produziu-14-milhao-de-toneladas-de-residuos-eletronicos-em-2014-afirma-novo-
relatorio-da-onu/>
Um terço do lixo da América Latina e Caribe acaba em aterros ou na natureza, diz ONU; <https://nacoesunidas.org/um-
terco-do-lixo-da-america-latina-e-caribe-acaba-em-aterros-ou-na-natureza-diz-onu/>
Lixo eletrônico representa ‘crescente risco’ ao meio ambiente e à saúde humana, diz relatório da ONU;
<https://nacoesunidas.org/lixo-eletronico-representa-crescente-risco-ao-meio-ambiente-e-a-saude-humana-diz-relatorio-
da-onu/>
Ação do Banco Mundial com Eletrobras transforma lixo eletrônico em recursos para projetos sociais.
<https://nacoesunidas.org/acao-do-banco-mundial-com-eletrobras-transforma-lixo-eletronico-em-recursos-para-
projetos-sociais/>
Pacto Global
O Pacto Global foi uma iniciativa voluntária, lançado em 2000, com sede em Nova York e com o objetivo fornecer diretrizes para a
promoção do crescimento sustentável e da cidadania. Podem participar empresas de pequeno, médio e grande porte, públicas ou
privadas. Ele apresenta dez princípios:
Fonte: http://pactoglobal.org.br/10-principios/
Saiba mais
Para compreender cada objetivo e como as organizações podem contribuir acesse o site do Pacto Global , clique em cada
objetivo, e depois assista aos vídeos.
Regulamentações verdes – um pouco de história
1992
Governo dos EUA lançou o programa “Energy
Star”.
1997
Protocolo de Quioto, redução de emissão de
carbono.
2003
União Europeia adotou a diretiva RoHS
(Restriction of Hazardous Substances)
2005
Colocado em prática o selo EPEAT (Eletronic
Products Environmental Assessment) pelo
conselho de Eletrônicos verdes.
Governança de TI Verde
Em 2010, a Connection Research, uma empresa australiana com foco em tecnologias sustentáveis e digitais, e atuante na área de
TIC Verde, publicou, em conjunto com a RMIT University, um framework para apoiar as organizações na implementação das
práticas de TI verde, o Green ICT Framework. Ele foi estruturado em quatro pilares:
Desse modo, este pilar define o ciclo de vida de um equipamento, que compreende o intervalo de tempo desde a aquisição por
parte da organização até a eliminação ou reciclagem de forma sustentável.
É importante considerarmos que o descarte de um equipamento nem sempre significa que ele foi destruído. O equipamento pode
ser vendido, dado ou doado a outra pessoa ou organização onde terá um novo ciclo de vida.
Segundo o Green IT Framework (2010), dentro do ciclo de vida de um equipamento devemos considerar três fases importantes:
Clique nos botões para ver as informações.
Aquisição
Para que a organização possa transformar suas aquisições em aquisição verde é importante considerar e incluir em seu
processo formal de aquisição as orientações da Agência de Proteção Ambiental (Environmental Protection Agency, EPA
<https://www.epa.gov/> ) sobre o assunto.
Investigar os atributos ambientais em todo o ciclo de vida do serviço ou produto;
As organizações devem considerar em suas aquisições o consumo de energia gasto na fabricação dos equipamentos e
ainda o consumo deste equipamento durante o seu ciclo de vida.
O Green ICT Framework (2010) orienta sobre dois padrões ambientais que podem ser
utilizados pelas organizações para auxiliar na escolha dos equipamentos
O Green ICT Framework (2010) informa que o rótulo Energy Star foi criado para contribuir na redução dos gases do efeito
estufa e de outros gases presentes em equipamentos de TI. Equipamentos que possuem o selo são identificados como
equipamentos que foram otimizados para utilizar energia de forma eficiente sem comprometer seu desempenho e suas
características.
No processo de aquisição de novos produtos, as organizações podem identificar e escolher quais equipamentos são mais
energeticamente eficientes que outros. Equipamentos que possuem o selo oferecem quatro modos de operação:
Ferramenta EPEAT
A certificação EPEAT, criada em 2004, tem o objetivo de encorajar a produção de eletrônicos que não causem danos ao meio
ambiente. Os equipamentos eletrônicos são avaliados por diferentes categorias, como por exemplo:
O consumo de energia.
Leitura
O EPEAT desenvolveu 23 critérios requeridos e 28 opcionais. A partir da avaliação, os equipamentos recebem uma etiqueta
que pode ser classificada em:
Etiqueta de ouro: 23 critérios requeridos e pelo menos 75% dos critérios opcionais reconhecidos;
Etiqueta de prata: 23 critérios requeridos e pelo menos 50% dos critérios opcionais reconhecidos;
Os produtos são certificados para cada país onde é fabricado ou comercializado, ou seja, um mesmo modelo de
equipamento que é certificado para um determinado país, pode não ser certificado para outro em virtude de o fabricante não
estar presente naquele país, ou ainda não ter implementado tais políticas naquela localidade.
O Green IT Framework (2010) sugere que as organizações considerem dois aspectos em um processo de aquisição:
Equipamento No processo de aquisição de novos equipamentos as organizações devem considerar o quanto foi gasto de energia no
processo de fabricação do equipamento e quanto consumirá de energia em todo o seu ciclo de vida.
Fornecedor No processo de aquisição de novos equipamentos as organizações devem considerar também a aderência dos
fornecedores a questões de sustentabilidade ambiental. Devem ser considerados:
- Os valores e as práticas de sustentabilidade e ambientais do fornecedor no projeto e na fabricação do equipamento;
- Como realiza a gestão dessas ações;
- A conformidade da organização com leis ambientais e códigos de prática relevantes;
- A verificação de como o fornecedor recupera e recicla equipamentos antigos dos clientes.
Reciclagem e reutilização
À medida que a tecnologia avança e sofre atualizações, é comum as organizações sentirem necessidade de também
atualizar seu parque computacional. Essa motivação ocorre tanto pela obsolescência do equipamento quanto pela
necessidade de garantia e suporte por parte do fabricante.
É importante observar o ciclo de vida do equipamento para que ele seja substituído somente quando necessário. Por isso, é
importante que as organizações tenham alguma estratégia para a substituição de equipamentos fora da garantia e/ou
obsoletos, considerando que nem sempre existe a necessidade de atualizar todos os equipamentos da organização ao
mesmo tempo.
De acordo com o Green ICT Framework (2010), deve ser considerado que mesmo com as atualizações constantes de
softwares que podem requerer equipamentos mais potentes, nem sempre todos da organização terão a mesma
necessidade. Assim, a atualização poderá ocorrer para quem realmente tem necessidade de novo equipamento e os
equipamentos antigos poderão ser repassados para outras partes da organização com atividades menos críticas.
Dica
O descarte de um equipamento nem sempre significa que ele foi destruído, ele poderá também ser vendido, dado ou doado a
outra pessoa ou organização, onde terá um novo ciclo de vida.
Descarte
Apesar da política de reuso e reciclagem das organizações, em que uma organização pode estender a vida útil do
equipamento por meio da sua reutilização e, até mesmo, vender o equipamento já utilizado, sempre haverá equipamentos
que deverão ser descartados fisicamente.
Segundo o Green ICT Framework (2010), para isso, a organização deverá utilizar práticas de descarte de TI Verde de forma a
reduzir os danos ambientais causados pelo lixo eletrônico.
O Green ICT Framework orienta que os equipamentos descartados sejam recebidos por empresa especializada no assunto,
onde serão classificados e posteriormente separados com base em seus componentes principais.
Posteriormente, serão desmontados e, suas partes úteis, utilizadas em outros equipamentos. O restante do equipamento
será moído e enviado para a reciclagem para se tornar matéria-prima novamente.
Usuário nal
''''
Como existe uma grande variedade de tecnologias que podem auxiliar na redução do consumo de energia e liberação de CO2 na
organização, foi dividido em quatro subáreas.
1) Estação de trabalho
Em empresas com um grande número de funcionários, o elevado número de estações de trabalho pode afetar o consumo de
energia da organização se não for adotada uma política de gerenciamento de energia, como o desligamento do equipamento
quando não tiver em uso.
No processo de aquisição ou aluguel, a empresa deve preferir a adoção de equipamentos com o selo Energy Star ou a
substituição desses equipamentos pela utilização de clientes magros (thin client).
2) Computação móvel
Com o avanço das tecnologias e da mobilidade, muitos usuários estão fazendo seus trabalhos fora das estações de trabalho e
utilizando outros dispositivos, como netbooks, smartphones e PDAs (personal digital assistants) para acessar a organização.
Uma opção para a redução de energia e de recursos é a avaliação pela organização da utilização da computação em nuvem.
3) Computação departamental
As organizações devem ter uma atenção especial quanto à existência de equipamentos de TI (servidores, dispositivos de
armazenamento e periféricos) em outros departamentos e longe do controle do departamento de TIC.
Nesse caso, existe a necessidade de criação de políticas e ações para o controle do uso ineficiente de energia e de recursos
desses equipamentos.
4) Impressão e insumos
Atualmente, a impressão é um dos maiores consumidores de recursos na área de TI, seja energia, papel, ou toner ou tinta. Por
ficarem ociosas, ou mesmo ligadas desnecessariamente, são consumidas quantidades significativas de energia que acabam
impactando de forma global na organização.
Quanto à utilização do papel ou da tinta existe um efeito significativo no meio ambiente tanto na produção do insumo como no
seu descarte.
Para mitigar o impacto ecológico das impressoras e reduzir o gasto com papel, algumas ações de TI verde podem ser
implementadas:
1 2
Con guração em padrão preto e branco Impressão de mais páginas por folha
3 4
5 6
7 8
9 10
Dica
A certificação FSC garante que os produtos certificados são originados do bom manejo florestal. Ela surgiu devido à preocupação
com as florestas mundiais e oferece uma ligação confiável entre a produção e o consumo responsável de produtos florestais,
possibilitando que o consumidor e empresas tomem decisões responsáveis em defesa das pessoas e do ambiente.
A certificação PEFC é o maior sistema de certificação florestal do mundo e trabalha apoiado no sistema nacional de certificação
florestal, desenvolvido por meio de processos com várias partes interessadas e adaptado às prioridades e condições locais. No
Brasil, a ABNT faz esse trabalho em conjunto com PEFC.
Computação corporativa
Segundo o Green ICT Framework (2010), este é um pilar controlado diretamente pelo departamento de TI e, normalmente,
composto por itens de Tecnologia da Informação que são utilizados corporativamente por todos da organização.
Datacenter
É importante considerar que o consumo de energia nos Datacenters vem aumentando mesmo com a utilização da virtualização,
considerando que existe também um aumento de demanda por parte das organizações e que os dispositivos de TI para essas
demandas também estão se tornando mais potentes.
Para o funcionamento de um Datacenter, existem equipamentos que não são de TI e que podem consumir muito mais energia do
que os equipamentos de TI e que abrangem os seguintes aspectos:
Refrigeração e iluminação
Um ponto de atenção em todo Datacenter é o projeto de refrigeração e de iluminação, já que os equipamentos modernos de
TIC normalmente demandam quantidades significativas de resfriamento, seja refrigeração a ar ou resfriamento a água. Um
equívoco de projeto de refrigeração e iluminação com o mal posicionamento da iluminação, dos equipamentos e das saídas
de refrigeração pode aumentar o consumo de energia.
Instalação predial
Assim como no projeto de refrigeração e iluminação, no projeto de instalação física de um Datacenter existem pontos a
serem considerados que poderão afetar o consumo de energia.
Resíduos digitais
Os resíduos digitais que consomem espaço de armazenamento são divididos nas seguintes categorias:
Redes de computadores
Fonte: SeventyFour (Shutterstock).
De acordo com o Green ICT Framework (2010), atualmente as redes de comunicação desempenham um papel importante nas
empresas, já que viabilizam o funcionamento da organização por meio da utilização de aplicativos, sistemas, funções de
armazenamento de dados e acesso à internet. Por isso, é crescente nas organizações a utilização das redes locais (LAN), redes
de longa distância (WAN) e redes sem fio.
Na implementação das redes, além do cabeamento estruturado, também utilizamos equipamentos de comunicação tais como,
switches, roteadores, modens, firewall e balanceadores de link que, quando não utilizados corretamente, podem aumentar o
gasto energético da organização. Por isso, é necessário atenção especial aos projetos executados.
Terceirização
Segundo o Green ICT Framework (2010), atualmente existe a discussão pelas vantagens de terceirizar serviços como forma
de diminuir custos, ter um serviço mais especializado em detrimento da execução dos mesmo na própria organização ou
por profissionais da organização que muitas vezes não possuem a especialidade necessária para a execução do mesmo.
Normalmente, essa discussão se concentra nas questões de custo e capacidade, porém atualmente foi agregada a questão
da sustentabilidade que adicionou uma nova dimensão ao debate sobre terceirização de TIC.
Muitas empresas que oferecem serviço estão destacando suas credenciais ecológicas como uma nova forma de auxiliar as
organizações na implementação da TI verde e agregar valor ao negócio.
Arquitetura de software
Dependendo da arquitetura de software escolhida pela organização, ela poderá ter um efeito significativo na quantidade ou tipo
de hardware usado e consequentemente no consumo de energia desses equipamentos.
Desse modo, será essencial que a organização planeje corretamente a sua necessidade de negócio e a arquitetura de software
necessária, de forma a não aumentar os custos energéticos desnecessariamente.
Emissão de Carbono
Esse último pilar definido pelo Green ICT Framework (2010)
trata da participação da área de TI na emissão de carbono no
mundo.
O foco é tratar os reais benefícios da implementação da TIC Verde nas organizações e como a utilização da TIC poderá auxiliar a
organização e a comunidade em geral a reduzir suas próprias emissões de CO2. Assim, esse pilar trata de diferentes visões:
Governança e Compliance;
Teletrabalho e Colaboração;
Aplicações de negócio;
Nesse contexto, o BPM refere-se ao processo geral de gerenciamento e à melhoria dos processos de negócios, e a TI tem um
papel importante a desempenhar nessa melhoria. Ela fornece ferramentas para modelar os processos e tecnologias de ativação
para sua execução. Ao otimizar seus processos de negócios e, consequentemente, melhorando sua eficiência, as organizações
podem contribuir para a redução da emissão de carbono.
SCM CRM
Sistema de Gerenciamento da Cadeia de Suprimentos Sistema de Gerenciamento de Relacionamento com o
Cliente
O objetivo na adoção de tais sistemas é agilizar os processos de trabalho e de negócio da organização, reduzir custos, obter
vantagem competitiva e, consequentemente, contribuir com a TI verde.
Outra visão apresentada pelo Framework é a Gestão da emissão de CO2 que trata da emissão de carbono da organização como
um todo.
Atividades de TI Verde
O Green ICT Framework apresenta cinco componentes horizontais, ou ações que descrevem abordagens para os quatros pilares
apresentados anteriormente:
ATITUDE
Trata da atitude da organização em relação à TI Verde. Descreve como a organização pensa e o seu desejo de mudar
demonstrado por meio das ações em TI verde implementadas, o envolvimento da Alta direção e da medição da eficácia
destas ações.
PRÁTICA
Envolve a alteração de hábitos e mentalidades da organização por meio da implementação de novos hábitos sustentáveis e
em conformidade com as práticas verdes. Especificamente, refere-se às técnicas e aos comportamentos que os indivíduos e
organizações podem adotar e que ajudam diretamente na implementação da TI Verde.
TECNOLOGIA
Considera que a TI verde não é só tecnologia, é apenas parte do processo, que envolve também conscientização, mudança de
comportamento e atitude.
Clique nos botões para ver as informações.
Políticas
Segundo o Green ICT Framework (2010), a organização deve estabelecer uma política de TI Verde e, como qualquer política,
deve, necessariamente, seguir o ciclo do PDCA e:
Ser estabelecida;
Ser comunicada;
Ser melhorada.
Desse modo, a organização deverá estabelecer uma política holística, coerente e adequadamente gerenciada e monitorada.
Métricas
Como forma de garantir que os projetos de TI verde sejam bem-sucedidos ao longo do tempo, a organização deve escolher
ferramentas adequadas para medir, monitorar, gerenciar e mitigar o consumo de energia e as emissões de carbono, tanto
dentro como fora do departamento de TIC.
Para que as organizações possam compreender seu nível de capacidade em TI Verde, o Framework do Green ICT (2010),
desenvolveu, a partir do modelo do CMM criado pela Carnegie Mellon University, um modelo de maturidade em cinco níveis,
que deve ser aplicado em cada um dos cinco aspectos apresentados pelo framework de TI verde.
2 - Repetitível 3 – De nido
A organização implementou ações de forma ad hoc, mas Programas formais foram definidos, porém a
não possui estratégia definida. implementação ainda é imatura.
4 – Gerenciado 5 – Otimizado
Implementação metódica, com medição e gerenciamento. Todas as atividades são monitoradas e gerenciadas.
Melhoria contínua. Melhores prática.
2) Existe uma preocupação mundial com seu crescimento, já que poderá gerar imensos estoque de lixo e agredir ao meio
ambiente. Podemos definir lixo eletrônico como: digite a resposta
3) Para que as organizações possam compreender seu nível de capacidade em TI Verde, é possível utilizar o modelo apresentado
Referências
pelo Green ICT Framework. Neste modelo, qual o significado do nível de capacidade 3?
FOREST STEWARDSHIP COUNCIL (FSC). Disponível em: https://br.fsc.org/pt-br <https://br.fsc.org/pt-br> Acesso em: 1 abr. 2019.
PHILIPSON, G. Green ICT Framework. Sidney, Australia: Connection Research, 2010. Disponível em:
https://contractingsite.com.au/wp-content/uploads/2015/02/A_Green_ICT_Framework_CR.pdf
<https://contractingsite.com.au/wp-content/uploads/2015/02/A_Green_ICT_Framework_CR.pdf> Acesso em: 1 abr. 2019.
PROGRAMME FOR THE ENDORSEMENT OF FOREST CERTIFICATION (PEFC). Disponível em: https://www.pefc.org/
<https://www.pefc.org/> Acesso em: 1 abr. 2019.
PROGRAMME FOR THE ENDORSEMENT OF FOREST CERTIFICATION (PEFC). Brazilian Forest Certification Programme
(CERFLOR). Disponível em: https://www.pefc.org/about-pefc/membership/national-members/31-Brazil
<https://www.pefc.org/about-pefc/membership/national-members/31-Brazil> Acesso em: 1 abr. 2019.
Explore mais
Leia os textos:
Data Center Efficiency Efficiency Opportunities: What Managers Should Know <https://www.youtube.com/watch?
v=ZhQxy1QkDy8>
Data Center Efficiency Efficiency Opportunities: What Managers Should Know(2) <https://www.youtube.com/watch?
v=hXkPN-dF2-Q>
Data Center Efficiency Efficiency Opportunities: What Managers Should Know(3) <https://www.youtube.com/watch?v=1F2A-
HJkgfQ>
Data Center Efficiency Efficiency Opportunities: What Managers Should Know(4) <https://www.youtube.com/watch?
v=uzFaqg2ri-M>
Data Center Efficiency Efficiency Opportunities: What Managers Should Know(5) <https://www.youtube.com/watch?
v=2iAMbnnK3Kw>
1ª edição
Governança em Tecnologia da Informação
C
CM
MY
CY
CMY
K
GOVERNANÇA EM
TECNOLOGIA DA
INFORMAÇÃO
autor
REGINALDO GOTARDO
1ª edição
SESES
rio de janeiro 2015
Conselho editorial regiane burger; roberto paes; gladis linhares; karen fernanda
bortoloti; helcimara affonso de souza
Todos os direitos reservados. Nenhuma parte desta obra pode ser reproduzida ou transmitida
por quaisquer meios (eletrônico ou mecânico, incluindo fotocópia e gravação) ou arquivada em
qualquer sistema ou banco de dados sem permissão escrita da Editora. Copyright seses, 2015.
ISBN 978-85-5548-027-0
Prefácio 7
2. Processo de Decisão na
Governança de Tecnologia da Informação 33
Objetivos 34
2.1 Tomada de Decisão na Governança de TI 35
2.2 Capacidades e Processos sobre Direitos Decisórios 38
2.3 Framework de Governança de TI 44
2.4 Controles para Governança de TI 49
2.5 Controle no Desenvolvimento de Sistemas 51
2.6 Controle de Operações 51
2.7 Segurança 52
2.8 Auditando Sistemas de Informação 53
Atividades 53
Reflexão 54
Referências bibliográficas 55
3. Introdução ao COBIT 5 57
Objetivos 58
3.1 Histórico e Apresentação 59
3.2 Governança Empresarial de TI 62
3.3 Princípios do COBIT 5 64
3.3.1 Princípio 1 – Atender às Necessidades das Partes Interessadas 67
3.3.2 Princípio 2 – Cobrir a Organização de Ponta a Ponta 75
3.3.3 Princípio 3 – Aplicar um Framework Único e Integrado 76
3.4 Princípio 4 – Permitir uma Abordagem Holística 77
3.5 Princípio 5 – Distinguir a Governança da Gestão 78
3.6 Modelo de Referência e Domínios de Processo no COBIT 5 85
3.6.1 Avaliar, Dirigir e Monitorar (EDM) 86
3.6.2 Alinhar, Planejar e Organizar (APO) 87
3.6.3 Construir, Adquirir e Implementar (BAI) 89
3.6.4 Entregar, Serviço e Suporte (DSS) 90
3.6.5 Monitorar, Avaliar e Analisar (MEA) 91
3.7 Implementação 91
3.8 Aceitação do Modelo 93
Atividades 93
Reflexão 95
Referências bibliográficas 95
Objetivos 98
4.1 Val IT 99
4.2 O Conceito de Valor 102
4.3 COBIT 5 e Val IT 102
4.4 CMMI 104
4.5 CMMI - Abordagem de Implementação por Estágios 106
4.6 CMMI - Abordagem de Implementação Contínua 108
4.7 Áreas dos Processos CMMI 110
4.8 ISO 27001 e 27002 112
Atividades 115
Reflexão 116
Referências bibliográficas 116
Objetivos 118
5.1 Breve História 119
5.2 Mas o que significa “sigma”? 120
5.3 O Six Sigma 120
5.4 Six Sigma – Papéis e Responsabilidades 123
5.5 DMAIC 124
5.6 DFSS 127
5.7 DMAVD 128
5.8 As 7 Ferramentas da Qualidade 129
5.8.1 Fluxograma 129
5.8.2 Diagramas de Dispersão 131
5.8.3 Folhas de Verificação 131
5.8.4 Gráficos de Pareto 133
5.8.5 Diagrama de Causa e Efeito 133
5.8.6 Histograma 134
5.8.7 Cartas de Controle 135
Atividades 139
Reflexão 140
Referências bibliográficas 140
Gabarito 141
Prefácio
Prezados(as) alunos(as),
Bons estudos!
7
1
Introdução à
Governança
Corporativa
O termo Governança Corporativa é dominante em negócios atualmente, pois,
nas últimas décadas tivemos uma série de casos envolvendo escândalos corpo-
rativos. A possibilidade de instabilidades financeiras nas empresas por falhas
de gestão minou perspectivas de vários investidores, e isso causou muita des-
confiança nos diversos setores de negócio.
Basicamente, a preocupação é “Como as empresas podem proteger seus
stakeholders?”.
Os investimentos em Governança Corporativa refletem no valor da empre-
sa. Possuir uma boa Governança (altos padrões de como fazê-la) pode fazer com
que investidores aceitem pagar mais caro pelas ações da empresa. Isso ocorre,
pois trata-se de: relação confiança. A melhor governança gera melhor confiança
no mercado e gera melhor economia para empresa.
Perceba que não estamos falando na produção e venda de produtos ou ser-
viços, mas sim na capacidade de manter os processos funcionando adequada-
mente e entregando valor aos stakeholders.
OBJETIVOS
Neste capítulo, os objetivos principais são:
10 • capítulo 1
1.1 Introdução à Governança Corporativa
O uso do termo “governance” surgiu a partir de reflexões do Banco Mundial
sobre as gestões públicas mundiais. Em 1992, foi apresentado um documento
sobre o tema intitulado: Governance and Development. Já no prefácio do do-
cumento, encontramos a noções fundamentais desse tema, escrito, na época,
pelo Presidente Lewis T. Preston, do Banco Mundial, em abril de 1992, onde
lemos:
capítulo 1 • 11
A Governança Corporativa define um conjunto de ações, normas, costumes,
gestão e filosofia, que regulam a direção e gestão de uma empresa e sua relação
com os diversos atores que a constitui: chamados de stakeholders.
O termo stakeholders é formado pelas palavras inglesas: Stake que significa
interesse, participação, risco, e Holder que significa aquele possui. Sendo as-
sim, podemos definir como “aquele que possui participação” ou melhor “parte
interessada”.
Um dos princípios da Governança é promover a equidade, igualdade e jus-
tiça entre os membros, porém em empresas de capital aberto, os acionistas
(shareholders), o conselho, e os executivos, são os stakeholders mais influentes.
São também stakeholders os colaboradores, clientes, bancos, fornecedores,
governo, a comunidade onde a empresa atua e a relação com o meio ambiente.
Government
Manager Company
Creditors
Owners
Shareholders
Customers
Stakeholders Internos:
• Empregados:
• Gerentes:
• Proprietários:
12 • capítulo 1
Stakeholders Externos:
• Fornecedores
• Sociedade
• Governo
• Credores
• Acionistas
• Consumidores
A relação com “as partes interessadas” faz parte de uma boa governança e
tem que estar definido nos planejamentos estratégicos e táticos da corporação.
Os stakeholders influenciam interna e externamente na empresa, podendo ofe-
recer benefícios ou dificuldades para as corporações. Um exemplo de benefício
são as parcerias empresariais, e um exemplo de dificuldade são as ações gover-
namentais como excesso de burocracia, corrupção e impostos abusivos.
capítulo 1 • 13
1.2 A Organização Empresarial
A globalização da economia baseada no capitalismo acirrou a concorrência en-
tre as empresas e trouxe mercados cada vez mais dinâmicos ou turbulentos.
Diariamente (ou em questão de segundos) as decisões impactam empresas e
pessoas ao redor do mundo todo.
Há a crescente necessidade de agir com rapidez perante este cenário. No
entanto, as empresas, em geral grandes e médias, preconizam modelos de or-
ganizações pautados em estruturas de trabalhos e funções, ou seja, modelos
baseados nos estudos de Frederick Taylor e Henri Fayol.
O desempenho da empresa fica relacionado ao desempenho de suas unida-
des funcionais. De forma geral toda empresa precisará produzir algo, usando
um conjunto de ferramentas, processos e pessoas. Esta produção pode resultar
em produtos ou serviços (1). A empresa também precisará inserir o produto ou
serviço no mercado e atrair clientes, além de possuir um controle no pós venda
para melhoria de seus produtos/serviços (2). A empresa precisará da estimativa
de custos e preços, prestação de contas e previsão de resultados (3). E, por fim,
a empresa precisa de pessoas. Precisa treiná-las, adequá-las ao ambiente de tra-
balho, definir habilidades e tarefas (4).
Produção
Produtos
Vendas Finanças e
ou
e MKT Contabilidade
Serviços
Recursos
Humanos
Figura 1.2 – Áreas funcionais de uma empresa. Fonte: Elaborado pelo autor.
14 • capítulo 1
Assim, como visto na figura, uma empresa precisa de grupos de tarefas para
funcionar. As proximidades das competências nestas tarefas geram as unida-
des funcionais (às vezes chamadas de silos funcionais).
Uma organização pode ser vista como um conjunto de pessoas com um
objetivo em comum. Normalmente essas pessoas se organizam de forma hie-
rárquica e essa organização hierárquica gera o que já comentamos: unidades
funcionais baseadas nas características em comum do trabalho a ser realizado.
Nível Gerentes
Gerencial Médios
Trabalhadores do
Nível de
Conhecimento
Conhecimento
de Dados
Nível Gerentes
Operacional Operacionais
Figura 1.3 – Áreas funcionais de uma empresa. Fonte: Adaptado de (LAUDON e LAUDON,
2007).
capítulo 1 • 15
1.3 Breve Histórico da Governança
Quando o Banco Mundial redigiu o documento sobre Governança e Desenvolvi-
mento, o cenário mundial vivia uma crise crescente de desconfiança, tanto nos
setores públicos quanto privado.
Entre os anos de 1990 e 2002, as crises na Ásia, o enfraquecimento econô-
mico da Europa e escândalos em empresas americanas, culminaram na tenta-
tiva de que as relações comerciais e governamentais fossem pautadas por ações
mais assertivas e honestas.
A Governança Corporativa surgiu nesse cenário, e veio para atender tam-
bém aos anseios sociais e ambientais, e não apenas aos ganhos financeiros. Na
gestão privada, durante a Era Industrial, o planejamento estratégico era estabe-
lecido, principalmente, por grandes investidores e acionistas (shareholders), as
negociações e articulações aconteciam com portas fechadas.
As questões sociais e ambientais não apareciam como parte do planejamen-
to estratégicos das empresas.
Outro fator que alavancou o conceito de governança foi a globalização. Com
a era da Informação foi apresentado ao mundo situações e condições de gover-
nabilidade desumanas, ditatoriais e de alto impacto ambiental, a propagação
das informações resultaram em demonstrações de repudio por todo o mundo.
Sendo essas situações inaceitáveis e comprovadamente insustentáveis, ace-
nava-se para a necessidade de as empresas criarem relações socioambientais
mais justas.
16 • capítulo 1
• O princípio de transparência propõe que a informação deva ocorrer es-
pontaneamente e que sobrepondo ao conceito de “obrigação de informar” que
deva haver na corporação um “desejo de informar.” Mais do que informar o que
é imposto contratual e legalmente, é necessário que haja transparência nas re-
lações e que todas as informações da empresa estejam disponíveis aos interes-
sados. A atuação transparente desenvolve um clima de mútua confiança entre
todos os envolvidos. Melhorando tanto as relações internas como externas.
CONEXÃO
No Brasil, podemos ver ações como “A Transparência Brasil” que é uma organização inde-
pendente e autônoma, fundada em 2000 por um grupo de indivíduos e organizações não-
governamentais comprometidos com o combate à corrupção.
Segundo o dicionário Houaiss, Equidade nos termos do Direito significa: “O respeito pelo
direito de cada pessoa, adequando a norma ao caso concreto, pelo que se considera justo. É
a apreciação e julgamento justo em virtude do senso de justiça imparcial, visando a igualdade
no julgamento.” Dicionário Houaiss.
Disponível em http://houaiss.uol.com.br/busca.jhtm.
capítulo 1 • 17
• O Princípio da Participação visa oferecer aos stakeholders, liberdade de
expressão, de questionamentos, acesso a informações, possibilitando a parti-
cipação direto ou indireta.
• Nas Decisões Orientadas por Consenso deve-se considerar o consenso
nas relações sociais, as decisões devem ser tomadas de forma participativa, cla-
ra e explicita, considerando os diferentes pontos de vistas. Assegurando a to-
dos os membros que façam parte das decisões da corporação. Projetando ações
que visam resultados a médio e longo prazo, para atingir o desenvolvimento
sustentável.
• Na Efetividade e Eficiência há a busca em garantir processos que produ-
zam bons resultados fazendo o melhor uso possível dos recursos disponíveis.
Garantindo a sustentabilidade.
Como vemos, os princípios da governança estão pautados no comparti-
lhamento e transparência de informações, na responsabilidade fiscal, social
e ambiental. As empresas que aderem à Governança Corporativa têm ganhos
de imagem e reputação, considerados ativos intangíveis, esses ganhos têm de-
monstrado o quanto pode-se criar valor através de boas ações mercadológicas.
A governança tem como seus principais ativos:
18 • capítulo 1
1.5 Lei Sarbanes-Oxley (SOX)
O Sabarnes-Oxley Act (SARBANE e OXLEY, 2002) foi motivado pelos escândalos
financeiros em companhias abertas nos Estados Unidos que determinaram a
perda de confiança de investidores no mercado de capital americano. A bolsa
de valores nos Estados Unidos é um dos principais meios de investimento das
famílias norte-americanas. Assim, era importante manter a credibilidade das
empresas e do funcionamento dos sistemas.
A Lei foi sancionada pelo presidente dos Estados Unidos, George W. Bush
em julho de 2002, e afetou a divulgação financeira de empresas que têm ações
negociadas em bolsas dos Estados Unidos.
A lei visa regular tanto empresas norte-americanas com ações nas bolsas
americanas quanto empresas estrangeiras com ações nas bolsas americanas.
Pela lei, CEO e o CFO das empresas estão sujeitos a sanções pecuniárias de
US$ 1.000.000 a US$ 5.000.000 e/ou 10 a 20 anos de reclusão, caso não atendam
aos requisitos da Securities and Exchange Commission (SEC).
Para a TI, os requisitos do SOX que a afetam estão nas seções 302 e 404 da
lei. A seção 302 especifica, dentre outros itens, que:
capítulo 1 • 19
• A administração deve avaliar a efetividade do sistema de controle interno
para emissão de relatórios financeiros.
• A administração deve realizar uma auditoria independente, para atestar e
divulgar a avaliação feita pela administração sobre os controles e procedimen-
tos internos para emissão de relatórios financeiros.
20 • capítulo 1
• Outsider System: trata-se de um sistema de Governança anglo-saxão (Estados Uni-
dos e Reino Unido) onde há muitos acionados (pulverização) e, normalmente, fora do
comando diários das operações das empresas. Há também foco grande na maximiza-
ção do retorno para acionistas. A propriedade fica dispersa, até por conta da natureza
dos acionistas.
• Insider System: trata-se de um sistema de Governança da Europa Continental e
Japão onde há grandes acionistas relacionados ao comando das operações diárias das
empresas ou pessoas indicadas por estes acionistas. A estrutura de propriedade é mais
concentrada e há a presença de grandes grupos empresariais.
capítulo 1 • 21
e personalizadas, para ajudar na sua gestão de forma mais inteligente. No en-
tanto, para que isto se torne uma realidade é necessário que o planejamento
estratégico da área de Tecnologia da Informação esteja alinhado ao planeja-
mento estratégico do negócio de forma coerente. A área de TI deve trabalhar
com seus esforços voltados para as ações que possam agregar valor ao negócio
da empresa, sendo flexível para acomodar as frequentes mudanças, antecipar
informações, simular cenários e avaliar tendências.
O alinhamento da área de TI com a área de negócio é o ingrediente principal
para a criação da governança de TI sob a guarda da governança corporativa.
A Governança Corporativa nos apresenta a sua importância para a organi-
zação e para os investidores nas empresas e mostra que, em conjunto com o
planejamento estratégico de TI alinhado ao negócio, influencia diretamente a
estruturação da governança de TI.
Várias práticas de governança em outras áreas, como a governança finan-
ceira, podem oferecer guias gerais na construção de uma governança de TI. Por
exemplo, o Chief Financial Officer (CFO – Diretor Financeiro) delega autorida-
de e especifica quem pode assinar os cheques, os valores limites para cada fun-
ção na empresa, quem pode realizar pagamentos, quais os valores, tudo isto
para estabelecer uma governança financeira. Ele também administra o fluxo de
caixa da empresa e avalia riscos. Este formato de delegação e controle, com dis-
tribuição de tarefas e responsabilidades pode e deve ser utilizado para modelos
de governança de TI.
A governança de TI pode ser definida como (WEILL e ROSS, 2006):
“A especificação dos direitos decisórios e do framework de responsabilida-
des para estimular comportamentos desejáveis na utilização de TI”.
Assim, a governança de TI determina os tomadores de decisão, como,
por exemplo, quem decidirá sobre o investimento em TI e qual o valor do
investimento.
A governança de TI também deve abordar as seguintes questões (WEILL e
ROSS, 2006):
• Quais decisões devem ser tomadas para garantir a gestão e o uso eficazes
de TI?
• Quem deve tomar essas decisões?
• Como essas decisões serão tomadas e monitoradas?
22 • capítulo 1
O IT Governance Institute (ITGI) descreve a governança como:
“Responsabilidade dos executivos e da alta direção que consiste na lide-
rança, em aspectos estruturais organizacionais, em processos que garantam
que a TI da organização fornece suporte e aprimore objetivos e estratégias da
empresa.”
Assim, outras questões devem ser debatidas e respondidas como:
Como a empresa consegue implementar controles na área de TI de forma
que TI entregue as informações que a empresa precisa?
Como a empresa gerencia os riscos e garante a segurança dos recursos de TI
dos quais é tão dependente?
Como a empresa assegura que a área de TI atinja seus objetivos e atenda ao
negócio?
Por sua vez, a governança de TI deverá ser vista como parte da governança
corporativa de forma que agregue valor ao negócio e vise:
capítulo 1 • 23
franca. A equidade reporta-se ao tratamento justo e igualitário entre os stake-
holders. A prestação de contas (Accountability) remete a informação clara so-
bre todos os atos praticados pelos executivos; e a responsabilidade corporativa
zela pela sustentabilidade da companhia e sua perpetuação.
A Governança de TI tem como objetivo principal armazenar, processar e
disponibilizar informações com qualidade e segurança, atendendo a tríade
Confidencialidade, Integridade e Disponibilidade (CID).
Com os princípios revistos, a implantação da governança deve estar arti-
culada com a gestão estratégica e com os papeis e responsabilidades de cada
entidade bem definidas. A definição de papeis, elenca o responsável (CEO) ou
responsáveis (CIO e ou CFO) pelas tomadas de decisões, e a definição dos me-
canismos que serão articulados.
Uma das responsabilidades da Governança de TI é avaliar os valores dos
stakeholders para o consenso, direcionando ações de valor para o negócio. Veja
na imagem abaixo:
Estratégia Direciona
Recursos:
• Desempenho Utilizam
Processos
Confirmam • Informação Medem
ou mudam • Capacidade
Reportam
Melhoram
Resultados
• Desempenho
• Resultado
• Riscos
24 • capítulo 1
1.9 Ciclo da Governança de TI
O “Ciclo da Governança de TI”, é composto por 4 etapas:
Ciclo da Governança de TI
1 2 3 4
capítulo 1 • 25
1.10 Balanced Scorecard
O Balanced Scorecard (BSC) é um método usado pelas organizações para a im-
plantação das estratégias estabelecidas. Usando o BSC é possível desenhar um
mapa estratégico para interpretar a missão e visão da organização e criar mé-
tricas de desempenho a partir desse alinhamento estratégico. O BSC tem sua
métrica alinhada a quatro requisitos, relacionando-as, dessa forma, qualquer
medida escolhida deve estar articulada a uma cadeia de relações de causa e
efeito proporcionando melhoria no desempenho financeiro.
Financeiro
Para ter sucesso
financeiramente, como
nós devemos aparecer
para os nossos
investidores?
Aprendizado e
Crescimento
Para alcançar nossa
visão, como sustentar a
habilidade de mudar
e progredir?
• Integração da Visão: onde queremos chegar? Com a estratégia definida o que fazer
para alcança-la?
• Articular com o setor Financeiro: como ter e mostrar ter sucesso financeiro?
• E com os clientes: Como devemos ser vistos pelo cliente?
• Integração da Visão: onde queremos chegar? Com a estratégia definida o que fazer
para alcança-la?
26 • capítulo 1
• Articular com o setor Financeiro: como ter e mostrar ter sucesso financeiro?
• E com os clientes: Como devemos ser vistos pelo cliente?
• Revendo os processos internos: Quais processo/ações são mais atraentes aos
clientes?
• Usando o Aprendizado e crescimento: usar as experiências para mudar e progredir.
• Esclarecer e traduzir a visão e a estratégia, esse método também contribui para a
construção de consensos entre os gestores e sobre a visão e estratégia da organização.
capítulo 1 • 27
Perspectivas do Mercado e dos Clientes:
Perspectivas Financeiras:
• Valor Econômico Agregado: Valor dos bens produzidos depois de deduzido o custo
dos insumos (EVA – Economic Value Added).
• Rentabilidade sobre Patrimônio Líquido: Lucro líquido dividido pelo Patrimônio
líquido. Ou seja, é um indicador de atratividade, pois indica qual o retorno sobre o pa-
trimônio investido.
• Liquidez Corrente: Mede a capacidade da empresa de saldar seus compromissos
imediatos. Ativo circulante dividido pelo passivo circulante.
• Crescimento de Receita: Receita no período atual dividida pela receita no período
anterior
28 • capítulo 1
• Margem Bruta: Total das vendas menos o custo de produtos e serviços vendidos
dividido pelo total das vendas. Equilibrio entre receita e despesa.
• Geração de Caixa: Saldo médio de caixa dividido pelo Total das vendas. Equilíbrio
entre contas a receber e a pagar.
• Vendas: Capacidade de fazer previsões e concretizá-las. Médias das vendas reais
(últimos 12 meses) dividido pela Média das Vendas Previstas (mesmo período).
capítulo 1 • 29
Perspectivas de Aprendizado, Inovação e Crescimento
ATIVIDADES
Com base no conteúdo apresentado neste capítulo e com base na figura abaixo, responda
as seguintes questões:
- Identificar
- Aumento de 15% - Oferecer bolsas de estudo
Aprendizagem Capacitação necessidades de - Produtividade
na produtividade - Oferecer treinamentos in company
e Crescimento das pessoas treinamento; individual
individual - ano - Incentivar participação em congressos
- Treinar equipe;
Figura 1.7 – Mapa Estratégico da Empresa XPTO. Fonte: Material Estácio WebAula.
30 • capítulo 1
REFLEXÃO
Como vimos neste capítulo, a Governança Corporativa é um conceito e reúne práticas para
melhor atender os interesses das partes interessadas da empresa. Vimos também que a
Tecnologia da Informação está intrinsicamente relacionada a isso. Neste contexto, faça uma
reflexão sobre a seguinte questão: Como a Governança Corporativa e Governança de TI
podem auxiliar na Gestão Empresarial e na tomada de decisões melhores?
LEITURA
Para complementar seu aprendizado sobre Governança Corporativa e Governança de TI,
visite esses sites:
• COSO: http://www.coso.org
• IBGC: http://www.ibgc.org.br
• Basileia II: http://www.bis.org/publ/bcbsca.htm
• http://www.bacen.gov.br/?BASILEIA2
• SOX: http://www.sec.gov/about/laws.shtml
• http://www.sec.gov/about/laws/soa2002.pdf (texto original)
• ITGI (governança de TI): http://www.itgi.org
• ISACA: http://www.isaca.org
• Balanced Scorecard: KAPLAN, Robert S.; NORTON, David P. "Mapas Estratégicos: conver-
tendo ativos intangíveis em resultados tangíveis". Rio de Janeiro. Editora campus, 4ª edição,
2004.
E sugiro a visita ao site abaixo com informação histórica sobre Governança e uma linha
do tempo:
• www.ibgc.org.br/inter.php?id=18887
capítulo 1 • 31
REFERÊNCIAS BIBLIOGRÁFICAS
LAUDON, K. C.; LAUDON, J. P. Sistemas de informação gerenciais. 7. ed. São Paulo: Pearson
Prentice Hall, 2007.
SARBANES, P.; OXLEY M. G. Sarbanes-Oxley Act of 2002. House of Representatives 107th
Congress, 2nd session, Report 107-601. July 24th, 2002.
WEILL P.; ROSS W. J. Governança de Tecnologia da Informação. Makron Books, São Paulo, 2006.
IBGC, INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA. Guia das Melhores Práticas
de Governança para Fundações e Institutos Empresariais. Acesso em 01/02/2015. Disponível
em: http://www.institutocamargocorrea.org.br/Documents/guia_governanca.pdf
FERNANDES A. A.; ABREU V. F. Implantando a Governança de TI: da estratégia à gestão dos
processos e serviços. Brasport, 2008.
MARANHÃO, M. e MACIEIRA, M. E. B. O processo nosso de cada dia: modelagem de processos de
trabalho. Rio de Janeiro - RJ: Qualitymark. 2004.
OLIVEIRA, D. D. P. R. D. Administração de Processos: conceitos, metodologia, práticas. São Paulo -
SP: Atlas. 2007.
32 • capítulo 1
2
Processo de
Decisão na
Governança de
Tecnologia da
Informação
A tomada de decisão deve ser assertiva e em tempo hábil. A Governança de TI
está principalmente envolvida com a tomada de decisão. Pesquisas apontam
que empresas que possuem modelos eficazes de Governança de TI e com re-
sultados melhores do que seus concorrentes executam de forma consistente as
melhores decisões sobre a TI.
As empresas sempre estão diante do desafio de acertar na decisão tomada.
Um líder poderia decidir uma ação de formal informal, como dizem “bater o
martelo”. Mas em uma organização essa questão é bem mais complexa, envol-
vem riscos e incertezas.
Um arranjo organizacional eficiente conta com o parecer de vários colabora-
dores que contribuem com a análise da decisão, apresentando seu ponto de vista
e as projeções de impacto nas áreas que atuam. É necessário a presença de lideres
hábeis, aberto as criticas e sugestões, e empáticos para entender a dimensão que
cada membro traz de sua vivência dentro da empresa. A tomada de decisão pode
também ter a ajuda de pesquisas realizadas entre os membros internos e externos
da organização. É importante que haja um escopo, um mapeamento de ações com
levantamento de questões que devem ser respondidas prospectando ambiente
interno, externo, relações entre os stakeholders e impactos presentes e futuros.
Nesse aspecto, algumas questões são levantadas como você pode ver nos
seus objetivos sobre aprendizagem.
OBJETIVOS
Neste capítulo, você irá tomar conhecimento sobre:
34 • capítulo 2
2.1 Tomada de Decisão na Governança de TI
A governança de TI aborda um conjunto de práticas que destinam o gerencia-
mento, o controle e a qualidade dos processos com foco em aumento de valor
para o negócio. Além das abordagens de controle de risco, as ações estratégicas
envolvem toda a gestão da organização. Viabilizando ações de melhoria, bus-
cando a eficiência e eficácia, integrando a tecnologia e o fluxo de informações
ao objetivo de negócio da organização.
Para que a Governança de TI atue em toda a extensão da empresa, é preciso
estabelecer os mecanismos de processo de decisão e o alinhamento estratégico
com o negócio. A seguir, quais capacidades devam estar disponíveis:
capítulo 2 • 35
A norma fundamenta-se em seis princípios que oferecem as diretrizes
para a implantação e manutenção de Governança de TI, veja a seguir:
1. Responsabilidade: Todos os participantes da organização devem ter
clareza sobre suas responsabilidades na procura e fornecimento de informa-
ções na TI. A ética e a distribuição de responsabilidades devem estar claras.
2. Estratégia: Diz respeito a como será realizada a abordagem na busca
por mudanças de comportamentos da equipe que beneficiarão a organização.
As mudanças de comportamento têm que trazer motivação ao grupo e estar
integrada ao cotidiano da organização.
3. Aquisição: Definidas as responsabilidades e adotadas as estratégias,
o 3º item, a Aquisição, busca identificar o que será necessário adquirir para
dar andamento às estratégias em busca do comportamento almejado, pode
ser através de workshops, treinamentos, vivencias, consultorias, etc. A análise
e medição dos processos são importantes, pois indicam os objetivos alcança-
dos, ou não.
4. Desempenho: Deve ser medido e monitorado, com metas e métricas
bem definidas, para que a gestão possa avaliar os resultados obtidos e se ne-
cessário, realize ações corretivas necessárias.
5. Conformidade: a adoção de comportamento ético é imprescindível
para o sucesso da Governança. É fundamental atuar de forma irrepreensível em
relação aos aspectos legais, estatutários, contratuais, regulatórios que envol-
vem a organização, alinhando esses preceitos a adoção de uma postura trans-
parente e adequada para com o mercado, a sociedade e a sustentabilidade.
6. Comportamento Humano: a busca pela melhora nas relações e no
comportamento é enfatizado nesse 6º principio, ficam evidentes a importân-
cia do capital humano e da integração dos grupos para o pleno desenvolvimen-
to da Governança.
36 • capítulo 2
Como pode ser visto na figura abaixo, a norma apresentada sugere que a
Governança de TI seja pautada na implementação de planos e políticas que ali-
nhem a TI aos objetivos do negócio e ficando em monitoramento do desempe-
nho para avaliação da conformidade das ações com o que foi planejado e pro-
postas que avaliem constantemente as ações implementadas.
Avaliar
Dirigir Monitorar
Propostas
Políticas
Planos
Conformidade
Desempenho
Processos do Negócio
Projetos TI Operações TI
• Quais decisões devem ser tomadas para garantir a gestão e o uso eficazes
da TI?
• Quem deve tomar essas decisões?
• Como essas decisões serão tomadas e monitoradas?
capítulo 2 • 37
2.2 Capacidades e Processos sobre Direitos
Decisórios
38 • capítulo 2
– Adotar a organização lógica dos dados, aplicações de infraestrutura, definida a
partir de um conjunto de politícas, relacionamentos e opções técnicas adotadas para
obter padronização e integração do negócio almejado.
– As decisões sobre a arquitetura de TI são fundamentais tanto para a gestão
quanto para a boa utilização de Tecnologia da Informação.
– A integração e a padronização moldam a capacidade de TI.
• Necessidades de aplicações de negócios: Mesmo que todas as decisões de TI
envolvam o valor de negócio da Tecnologia da Informação, são as necessidades de
aplicações desse negócio que geram valor diretamente. Para articular essas neces-
sidades é preciso uma boa dose de criatividade aliada à disciplina. Enquanto que a
criatividade busca inovação, a disciplina sustenta que a inovação pretendida, não irá
contrariar os princípios da arquitetura adotados pela empresa.
• Estratégias de infraestrutura de TI: A base do planejamento de TI esta em de-
terminar os serviços compartilhados e os serviços de suporte. Tanto a parte técnica
quanto à humana devem estar disponíveis para que os serviços sejam compartilhados e
confiáveis. Investimentos excessivos ou errados aparecem como desperdício humanos
e não humanos, causando atrasos e imcompatibilidades entre sistemas. Já a empresa
com investimento reduzido, abaixo do que seria necessário, trabalha com implanta-
ções apressadas a fim de atender prazos, por exemplo automação local sem integração
com o restante da empresa, e compartilhamento restrito de recursos. Esses exemplos
ajudam a ilustrar a responsabilidade que o gestor de TI tem em mãos, pois a falta de
requisitos e recursos comprometem todo o trabalho e principalmente a imagem da
equipe de TI, mesmo que essa equipe tenha se esforçado para atender o que lhes foi
pedido, não souberam impor seu conhecimento e análise para argumentar sobre as
melhores decisões. Em contrapartida a organização que entende e é convencida das
reais necessidades de investimento em infraestrutura, terá seu investimento retornado
em forma de valor, imagem e agilidade.
capítulo 2 • 39
A tabela a seguir resume os pontos vistos.
Especificação da neces-
sidade de negócio de
aplicações de TI, adqui-
ridas no mercado ou de-
senvolvida internamente.
Tabela 2.1 – Decisões sobre a Governança de TI. Fonte: Material Estácio WebAula.
40 • capítulo 2
O uso de arquétipos identifica o tipo de cada função envolvida na tomada
de decisões de TI:
capítulo 2 • 41
42 •
MATRIZ DE ARRANJOS DE GOVERNANÇA – QUAIS ARQUÉTIPOS DE GOVERNANÇA
SÃO USADOS POR DIFERENTES TIPOS DE DECISÃO?
capítulo 2
Estratégia de Necessidades
Decisão Investimentos
Princípios de TI Arquitetura de TI Infraestrutura de aplicação de
Arquétipo em TI
de TI negócio
Monarquia de negócio
Monarquia de TI
Feudalismo
Federalismo
Duopólio
Não se sabe
Tabela 2.2 – Matriz de Arranjos de Governança em TI. Fonte: Material Estácio WebAula.
Veja a tabela a seguir e analise você também.
Necessidades
Estratégias de Investimentos
Decisão Princípios de TI Arquitetura de TI de aplicações
infraestrutura em TI
Arquétipo de negócio
Público Privado Público Privado Público Privado Público Privado Público Privado
Monarquia de Negócio 0,0% 12,0% 0,0% 6,0% 5,6% 12,0% 5,6% 20,0% 11,1% 32,0%
Monarquia de TI 50,0% 40,0% 72,2% 60,0% 61,1% 68,0% 44,4% 32,0% 33,3% 16,0%
Feudalismo 5,6% 8,0% 5,6% 8,0% 0,0% 4,0% 0,0% 12,0% 0,0% 4,0%
Federalismo 5,6% 8,0% 0,0% 0,0% 5,6% 0,0% 5,6% 0,0% 0,0% 4,0%
Duopólio 27,8% 32,0% 5,6% 12,0% 11,1% 12,0% 33,3% 28,0% 38,9% 28,0%
Anarquia 11,1% 8,0% 16,7% 4,0% 16,7% 4,0% 11,1% 8,0% 16,7% 16,0%
Padrões de decisão comuns em todas as empresas pesquisadas segundo Weill e Ross (2006)
capítulo 2
Tabela 2.3 – Matriz de Arranjos de Governança em TI numa pesquisa com gestores em Natal. Fonte: http://www.scielo.br/img/revistas/rap/
• 43
v47n2/a08qua03.jpg
2.3 Framework de Governança de TI
A todo o momento a alta gerência das empresas precisa avaliar o valor dos in-
vestimentos em TI e há muitas dúvidas sobre o ROI (retorno sobre investimen-
to) gerado. Muitos sistemas implementados não geram retorno compatível,
ou não aprimoram os processos, gerando apenas aumento de despesas anuais
sem justificativas. Muitas vezes, ocorrem até interrupções nas operações por
sistemas mal implementados. O que vemos com frequência no mercado, atual-
mente, é a terceirização da área de TI adotando modelos de Cloud Computing
como:
44 • capítulo 2
Como pode ser visto na figura, um framework de governança deve buscar
a harmonização entre a estratégia e a organização da empresa, os arranjos de
Governança de TI e as metas de desempenho de negócio.
A estratégia e a organização da empresa definem comportamentos espe-
rados que motivam a governança. As empresas criam arranjos de governança
para cada um de seus ativos, habilitando e influenciando a estratégia. Os arran-
jos de governança atribuem direitos decisórios para as decisões de cada ativo.
O desempenho das ações é medido por métricas obtidas nos sistemas e geren-
ciamento de TI e alinhados às decisões de governança.
Governança Financeira
Arranjos de
Governança TI
Mecanismos de Decisões
Governança de TI de TI
capítulo 2 • 45
De acordo com (FERNANDES e ABREU, 2008) o planejamento do Programa
de Governança de TI deve adotar conceitos de Gestão de Projetos e Programas
contendo:
46 • capítulo 2
CONTEXTUALIZAÇÃO ISO 38500
controle valor
COBIT Governança Val IT
SOX de TI Risk IT
Plan. e Estrat.
Contratações
Arquitetura
Aplicações
Segurança
Qualidade
ITIL
Serviços
Projetos
ISO 20000 TOGAF
BS 15000
ISO 9000
CMMI Gestãode TI
Six Sigma
MPS.BR
ISO 17799 PMBOK eSCM-CL
ISO 15504 COBIT
ISO 27000 PRINCE2 eSCM-SP
BSC-TI
Figura 2.3 – Os diversos Modelos e Frameworks para Governança e Gestão de TI nas Em-
presas. Fonte: Material Estácio WebAula
capítulo 2 • 47
• TOGAF (The Open Group Architecture Framework): framework de arqui-
tetura de negócio, aplicações e tecnologia;
• NBR ISO/IEC 38500: Governança Corporativa de Tecnologia da
Informação
• BPM (Business Process Management): Gerenciamento de Processos de
Negócio;
• SAS 70 (Statement on Auditing Standards No. 70 Service Organizations):
Regras de auditoria para empresas de serviços.
TOGAF é um framework de arquitetura corporativa. Sugiro que leia mais sobre ele:
http://www.opengroup.org/togaf/
48 • capítulo 2
O apoio da alta gestão da organização é fundamental para o sucesso da Go-
vernança de TI. O desafio é conduzir as mudanças necessárias, fazendo enten-
der que é preciso alterar a estrutura e a forma da atuação da TI. É importante
que a empresa perceba a Governança de TI como um benefício e não uma buro-
cracia. Não se consegue alcançar o sucesso na Governança de TI sem o amparo
da alta gestão da empresa e sem a participação do corpo funcional.
CONEXÃO
Veja, por exemplo, os Mecanismos de Governança de TI do Tribunal de Contas da União
(TCU) – acesso em 05/02/2015:
http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/governanca_ti/meca-
nismos_governanca_ti
capítulo 2 • 49
Na empresa os controles acontecem em todos os níveis da organização. A
figura a seguir, apresenta algumas ferramentas de controle administrativo bas-
tante usado:
- Orçamento - Supervisão
Gerência intermediária - Hierarquia - Comitês
administrativa examinadores
- Procedimentos - Auditorias
- Supervisão - Hierarquia administrativa
Gerência inferior
50 • capítulo 2
2.5 Controle no Desenvolvimento de
Sistemas
capítulo 2 • 51
mundo se mobilizou e com muito trabalho resolveram a tempo o que seria o
o bug do milênio.
Atualmente, as preocupações de controle, passam por políticas antivírus,
monitoramento para evitar a invasão da rede e a segmentação de acesso são
apenas alguns exemplos. Outra ajuda, foi a Lei SOX que também colaborou
com as empresas para controlar melhor os seus processos.
2.7 Segurança
As trocas de informações entre pessoas e empresas crescem a cada dia. Empre-
sas de todos os segmentos e portes utilizam como canal de comunicação, seu
portal, seu Website, buscando novos negócios. Através desses novos canais as
empresas passaram a trocar informações com outras empresas ou com pessoas
físicas, muitas vezes confidenciais e de interesse de terceiros. Logo, programas
maliciosos invadiram na mesma rapidez e se ocupam em monitorar uma rede
e interceptar informações para serem utilizadas posteriormente e permitir o
domínio dessa rede, ou usufruir de dados confidenciais como contas bancárias
e cartões de crédito.
Novas tecnologias, novos programas maliciosos, novas técnicas de contro-
le! Para dar conta do recado foi aperfeiçoado novas técnicas de proteção, me-
lhoraram o uso da criptografia e surgiram novos mercados especializados em
Segurança da Informação.
Os novos desafios exigiram novas especializações das empresas de Seguran-
ça da Informação já existentes. Programas de antivírus, programas de moni-
toração de ambiente, roteadores e firewalls são utilizados para proteger perí-
metros pré-estabelecidos, onde se configuram regras para permitir apenas os
acessos autorizados e o controle sobre o uso de programas. Além disso, existe
um serviço prestado pelas empresas especializadas que gera um relatório de
52 • capítulo 2
vulnerabilidades envolvendo a rede, os servidores e as estações de trabalho,
permitindo que a empresa analisada possa tratar esses pontos vulneráveis e fi-
car cada vez mais protegida.
CONEXÃO
Leia mais sobre auditoria nos sistemas de informação – acesso em 05/02/2015:
http://pt.wikipedia.org/wiki/Auditoria_de_sistemas
http://www.profissionaisti.com.br/2012/04/auditoria-de-sistemas-de-informacao-co-
nheca-mais-sobre-o-assunto/
ATIVIDADES
Para complementar o seu conhecimento, responda as seguintes questões objetivas:
01. Quando os Altos Executivos tomam as decisões de TI que afetam toda a empresa nós
temos um(a):
a) Monarquia de Negócios c) Feudalismo e) Duopólio de TI
b) Monarquia de TI d) Federalismo
capítulo 2 • 53
02. Quando uma empresa cobra apenas uma Taxa de Uso e suporte por seus softwares nós
temos um:
a) IaaS
b) HaaS
c) SaaS
d) PaaS
REFLEXÃO
A tomada de decisão é fator importante na Governança de Tecnologia da Informação. Para
nos guiar nessa difícil tarefa existem conceitos e modelos que vimos neste capítulo. Seja nos
sistemas que atuam em operações do dia a dia da empresa, no desenvolvimento de novos
sistemas, na gestão da segurança e ativos da empresa, sempre teremos decisões complexas
a serem tomadas.
LEITURA
Como sugestão de leitura separei alguns modelos e frameworks para vocês:
• VAL IT: Investimentos em TI
• ISO 27000 a ISO 27008: Segurança da Informação
–– http://pt.wikipedia.org/wiki/ISO_/_IEC_27000 (Acesso em 05/02/2015)
–– http://www.itgovernance.co.uk/shop/p-730-iso27008-isoiec-27008-guide-
lines-for-auditors-on-information-security-controls.aspx#.VQA-Z_zF9WI (Acesso em
05/02/2015)
• TOGAF (The Open Group Architecture Framework): framework de arquitetura de negócio,
aplicações e tecnologia
–– http://pt.wikipedia.org/wiki/TOGAF (Acesso em 05/02/2015)
–– https://www.ibm.com/developerworks/community/blogs/tlcbr/entry/togaf?lan-
g=en (Acesso em 05/02/2015)
• BPM (Business Process Management): Gerenciamento de Processos de Negócio
–– http://pt.wikipedia.org/wiki/Gerenciamento_de_processos_de_neg%C3%B3cio
(Acesso em 05/02/2015)
54 • capítulo 2
REFERÊNCIAS BIBLIOGRÁFICAS
WEILL P.; ROSS W. J. Governança de Tecnologia da Informação. Makron Books, São Paulo, 2006.
IBGC, INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA. Guia das Melhores Práticas
de Governança para Fundações e Institutos Empresariais. Acesso em 01/02/2015. Disponível
em: http://www.institutocamargocorrea.org.br/Documents/guia_governanca.pdf
FERNANDES A. A.; ABREU V. F. Implantando a Governança de TI: da estratégia à gestão dos
processos e serviços. Brasport, 2008.
capítulo 2 • 55
56 • capítulo 2
3
Introdução ao
COBIT 5
Neste capítulo, você aprenderá sobre o framework COBIT 5 e sobre como ele
pode ser usado para a Governança Empresarial de TI. Também conhecerá um
pouco sobre as mudanças envolvidas neste framework e o relacionamento com
a empresa, outros modelos e frameworks do mercado.
OBJETIVOS
Ao final deste capítulo você será capaz de:
58 • capítulo 3
3.1 Histórico e Apresentação
O COBIT é um acrônimo para Control Objectives for Information and Related
Technology. Em português Objetivos de Controle para Informação e Tecnolo-
gia Relacionada (tecnologia que provê informação que o negócio precisa). No
COBIT 5 o termo COBIT passa a ser visto como marca e não mais acrônimo.
Este modelo (ou framework) foi desenvolvido pela ISACA que é uma insti-
tuição sem fins lucrativos que desenvolve pesquisas, modelos e certificações
para os profissionais de Auditoria de TI, Segurança, Governança, dentre outros.
O COBIT tem como principais características:
capítulo 3 • 59
ÍNDICE
Agradecimentos........................................................................................................................................................................ 3
Índice.................................................................................................................................................................................................. 9
Lista de Figuras...................................................................................................................................................................... 11
COBIT 5: Um Modelo Corporativo para a Governança e Gestão de TI da Organização..... 13
Sumário Executivo................................................................................................................................................................ 15
Capítulo 1 – Visão Geral do COBIT 5................................................................................................................. 17
Visão Geral desta Publicação................................................................................................................................... 18
Capítulo 2: 1o Princípio: Atenderás às Nessecidades das Partes Interessadas............... 19
Introdução.................................................................................................................................................................................. 19
Cascata dos Objetivos do COBIT 5....................................................................................................................... 19
1o Passo: Os Direcionadores das Partes Interessadas em Objetivos
Corporativos.............................................................................................................................................................................. 19
1o Passo: Desdobramento das Necesidades das Partes Interessadas em Objetivos
Corporativos.............................................................................................................................................................................. 19
3o Passo: Cascata dos Objetivos Corporativos em Objetivos de TI............................................ 20
4o Passo: Cascata dos Objetivos de TI em Metas do Habilitador................................................ 20
Usando a Cascata de Objetivos do COBIT 5................................................................................................. 22
Usando a Cascata de Objetivos do COBIT 5 com Atenção.............................................................. 22
Usando a Cascata de Objetivos do COBIT 5 na Prática...................................................................... 22
Perguntas sobre Governança e Gestão de TI............................................................................................... 23
Figura 3.1 – Parte do índice do documento de referência do COBIT 5. Fonte: (ISACA, 2012).
CONEXÃO
O download do modelo é gratuito e pode ser feito pelo site em:
• http://www.isaca.org/COBIT/Pages/COBIT-5-portuguese.aspx
Você pode baixar informando seus dados (não-membro).
60 • capítulo 3
O COBIT é mundialmente adotado e utilizado. No Brasil, é utilizado pelo governo, por
exemplo o Tribunal de Contas da União tem auditado as unidades de TI do Governo
com base nos processos do COBIT. Bancos também são grandes usuários devido à
grande complexidade de seus processos.
• Veja um exemplo em: http://www.telesintese.com.br/tcu-recomenda-aos-correios-
melhoria-no-sistema-de-gestao/ Acesso em 01/01/2015
capítulo 3 • 61
Em 2007 o COBIT recebeu uma atualização, com alguns refinamentos, e,
por isto, sua versão foi chamada de COBIT 4.1.
Em 2011 surgiu a versão COBIT 5 que é a base da nossa discussão sobre o mo-
delo. Durante as discussões, faremos algumas referências à versão COBIT 4.1.
Na figura a seguir vemos o resumo da evolução do COBIT.
Governance of Enterprise IT
Governança de TI
Evolução do escopo
Val IT 2.0
Gerenciamento (2008)
Controle
Risk IT
(2009)
Auditoria
62 • capítulo 3
Que Requisitos de Direcionam
responde a Negócio investimentos em
Informação Para
CobiT
Organizacional Entregar
capítulo 3 • 63
Enterprise Governance of IT
Corporate Governance
(corporate, legal and
regulatory compliance)
Business Governance of IT
All assets including:
All lines of business,
IT services, applications,
functions, etc., including:
infrastructure, facilities,
IT function
resources, etc.
Functional Governance of IT
COBIT® 5
64 • capítulo 3
Os guias profissionais ajudam em áreas distintas da empresa e facilitam a
distribuição dos conteúdos entre as pessoas interessadas. Por exemplo, a pu-
blicação geral COBIT 5 Habilitador Processos possui um detalhamento prático
de como lidar com ativos de informação. No guia COBIT 5 Implementação, há
fases para implementação de um programa de governança. No guia COBIT 5
Assurance há uma guia para validação e auditoria de processos.
O Guia Geral de Habilitadores pode ser baixado no site para ISACA para
membros e não membros (via preenchimento de cadastros). Os demais podem
ser baixados pelos membros. Para se tornar membro é preciso para a manuten-
ção de uma taxa anual em torno de 100 dólares (o valor pode variar do momento
da escrita deste material até quando você pesquisar no site, ok?).
O modelo do COBIT 5 se baseia em cinco princípios básicos com ampla
orientação sobre os habilitadores de Governança e Gestão de TI na organiza-
ção. Habilitadores são fatores que, individualmente e coletivamente, influen-
ciam o funcionamento da governança e do gerenciamento sobre a TI.
Os princípios do COBIT 5 estão apresentados na figura a seguir e os descre-
veremos na sequência do texto.
1. Atender às
necessidades
das partes
interessadas
5. Distinguir a 2. Cobrir a
governança empresa de
da gestão ponta a ponta
Princípios do
COBIT 5
capítulo 3 • 65
No COBIT 5 Habilitadores, são fatores que influenciam o funcionamento de algo. Exis-
tem 7 categorias de habilitadores no COBIT 5, definidos à frente na figura 3.14.
66 • capítulo 3
o desempenho e conformidade desses objetivos. A Gestão precisa cuidar do
planejamento, do projeto, da execução e do monitoramento das atividades de
acordo com o que foi definido pela governança para atingir os objetivos estraté-
gicos. Assim, em muitas organizações a Governança fica a cargo do conselho de
administração sob a liderança do presidente. Já a Gestão é feita pela diretoria
executiva liderada pelo Chief Executive Officer (CEO), ou diretor executivo.
Necessidades
das Partes
Interessadas
Direcionam
capítulo 3 • 67
Imagine agora que você seja usuário de um serviço de emissão de passa-
gens por celular. Sem dúvidas é um benefício, evita filas, perda de tempo do
cliente. Mas, o valor só será obtido se houver risco controlado e custo adequa-
do. Imagine que este serviço seja muito vulnerável a falhas e você poderia ter
suas compras canceladas. Ou seja, você perderia viagens marcadas. Por outro
lado, imagine também que a empresa cobre de você uma taxa bem alta para
usar o recurso de emissão de passagens por celular para compensar os custos
operacionais. Assim, se o custo for alto para o cliente, o interesse irá baixar. Se
o risco for alto, o mesmo ocorre. Há a necessidade de balanceamento destes
itens.
Em relação à TI, está instrinsecamente relacionado ao exemplo anterior.
Ou seja, a emissão de passagens, o controle e o pagamento necessitam de in-
fraestrutura e serviços de TI. E, o alinhamento adequado entre TI e requisitos
de negócio pode ajudar na otimização do risco e no uso de recursos.
Nas necessidades das partes interessadas são transformadas em ações es-
tratégicas. O COBIT 5 tem mecanismos para tradução dessas necessidades em
objetivos corporativos, objetivos de TI e objetivos habilitadores. Isto é chama-
do no COBIT de COBIT 5 Goals Cascade (Cascata dos Objetivos).
Como pode ser visto na figura a seguir, os direcionadores dos Stakeholders
influenciam suas necessidades: mudanças de estratégia, mudanças de tecno-
logias, mudanças de regulamentos, etc.
As necessidades dos Stakeholders são desdobradas em objetivos corporati-
vos usando o Balanced Scorecard (BSC) como apoio.
Os objetivos corporativos são desdobrados em objetivos de TI com o BSC
de TI.
68 • capítulo 3
Direcionadores das partes interessadas
(ambiente, evolução tecnológica etc.)
Influência
Desdobra em Apêndice D
Desdobra em Apêndice B
Objetivos de TI Figura 6
Desdobra em Apêndice C
Objetivos de habilitador
capítulo 3 • 69
70 •
DIMENSÃO
OBJETIVO CORPORATIVO RELAÇÃO COM OBJETIVOS DA GOVERNANÇA
DSC
capítulo 3
de de de
Benefícios Risco Recursos
5. Transparência financeira P S
capítulo 3
• 71
Estes objetivos empresariais genéricos já estavam presentes no COBIT 4.1.
Na tabela a seguir estão os 17 objetivos de TI. Não há uma relação direta (um
para um) entre os objetivos das duas tabelas. Mas, os objetivos de TI também
se encaixam num BSC para enumerar o que a TI pode fazer, em termos de ob-
jetivos genéricos.
Cliente
72 • capítulo 3
DIMENSÃO OBJETIVO DA INFORMAÇÃO E TECNOLOGIA
BSC DE TI RELACIONADA
09 Agilidade de TI
capítulo 3 • 73
Objetivo Corporativo
regulamentos externos
Compromisso da gerência executiva
03 P S S S S S P S S
com a tomada de decisões de TI
04 Gestão do risco organizacional de TI P S P S P S S S
Benefícios obtidos pelo investimento de
05 P P S S S S P S S
TI e portfólio de serviços
06 Transparência dos custos e riscos de TI S S P S P P
74 • capítulo 3
• [S] 8 - Uso adequado de aplicativos, informações e soluções Tecnológicas
• [S] 9 - Agilidade de TI
• [P] 11 - Otimização de ativos, recursos e capacidades de TI
• [S] 12 - Capacitação e apoio dos processos de negócio através da integra-
ção de aplicativos e tecnologia nos processos de negócio
• [P] 13 - Entregas de programas fornecendo benefícios, dentro do prazo,
orçamento, e atendendo requisitos e padrões de qualidade
• [S] 14 - Disponibilidade de informações úteis e confiáveis para a tomada
de decisão
• [S] 16 - Equipes de TI e de negócios motivadas e qualificadas
• [S] 17 - Conhecimento, expertise e iniciativas para a inovação dos negócios
Perceba que alguns dos objetivos são “Primários” enquanto outros sáo “Se-
cundários”. Isso será considerado na implementação das ações da TI.
Habilitadores Escopo
da governança da governança
capítulo 3 • 75
Como visto na figura anterior, a abordagem da Governança de Ponta a Ponta
do COBIT 5 apresenta os Habilitadores de Governança que são recursos orga-
nizacionais usados como práticas, princípios e estruturas, o escopo da Gover-
nança que representa as áreas envolvidas da empresa e as funções, atividades e
relações que definem envolvidos, suas responsabilidades e interação nos pro-
cessos.
Os Proprietários e Partes Interessadas delegam poderes e geram necessida-
des para os responsáveis pela Governança, o Conselho de Administração. Este
Conselho define direções para o Corpo Diretivo que instrui e alinha o pessoal
de Operações e Execução.
O pessoal de Operações e Execução reporta ao Corpo Diretivo informações
de monitoramento para que seja verificado se os objetivos de Governança es-
tão sendo alcançados.
Por sua vez, o Corpo Diretivo reporta ao Conselho de Administração que
tem como função prestar contas aos Proprietários e Stakeholders.
Essa abordagem é usada tanto na Governança Empresarial, quanto na Go-
vernança de TI. O COBIT 5 mapeia todos os papéis envolvidos no sistema de
governança e não só papéis relacionados à TI.
76 • capítulo 3
3.4 Princípio 4 – Permitir uma Abordagem
Holística
6. Serviços, 7. Pessoas,
5. informação Infraestrutura Habilidades e
e Aplicativos Competências
Recursos
capítulo 3 • 77
5. Informação: TI entrega informação (de clientes, financeiras) para o
negócio.
6. Serviços, Infraestruturas e Aplicativos: TI oferece para gerenciamento
de informação.
7. Pessoas, Habilidades e Competências: pessoas que realizarão as ativi-
dades precisarão ter algumas características para conseguir realizá-las.
Necessidades do Negócio
Governança
Avaliar
Gestão
78 • capítulo 3
Com isto, no COBIT 5 os processos abrangem toda a gama de negócios e
atividades relacionadas à Governança e Gestão de TI das empresas, visando o
modelo de processo para toda a organização.
Requisitos de Negócios
e
ad de e
a lid e da de ad
a d e
c i a n c i
a d i b i l i
m ida i lid
e ri d r b
vid ên id on nfo onfi
a
eti Efici Conf Integ Disp Co
Ef C
Pessoas
Infraestrutura
Domínios
Informações
Aplicativos
Processos de TI
Processos
e TI
Atividades o sd
c urs
Re
capítulo 3 • 79
• Infraestrutura
• Pessoas
CONEXÃO
O COBIT 4.1, apesar de agora substituído pelo COBIT 5 é de interessante leitura:
http://www.isaca.org/Knowledge-Center/cobit/Documents/cobit41-portuguese.pdf
80 • capítulo 3
Objetivos de Negócio
Objetivos de Governança
Critérios de
Informação
Eficácia
ME • Eficiência PO
• Confidencialidade
Monitorar e • Integridade Planejar e
Avaliar • Disponibilidade Organizar
• Conformidade
• Confiabilidade
Recursos
de TI
• Aplicativos
• Informações
• Infraestrutura
• Pessoas
DS AI
Entregar e Adquirir e
Suportar Implementar
capítulo 3 • 81
COBIT 4.1 COBIT 5
82 • capítulo 3
A Maturidade do processo no COBIT 4.1 foi alterada para avaliação da ca-
pacidade (Capability Assessment) e esta foi baseada na ISO/IEC 15504 de En-
genharia de Software, contendo uma escala de 0 a 5 e com significados dife-
rentes do COBIT 4.1. Um dos maiores desafios da organização é o de conseguir
entender o quanto de aprofundamento deve ser adotado pelos mecanismos de
controle e medição de desempenho. É importante saber o que deve ser medido,
como e onde obter os dados, como analisar os resultados e qual o caminho a ser
percorrido mantendo a relação de custo versus benefício.
Na figura a seguir podemos ver o resumo do modelo de capacidade do
COBIT 5.
Modelo de avaliação de
Processo COBIT 5 - indicadores
Modelo de Avaliação de Processos do COBIT 5
de desempenho - Indicadores de Capacidade
Resultado do Processo
Práticas Produtos de
Básicas Produtos Práticas Recursos
(práticas de do trabalho trabalho
(entradas Genéricas Genéricos
governança genéricos
/ gestão) / saídas)
A abordagem do COBIT 4.1 para essas questões era feita através de Modelos
de maturidade, Metas e medições de desempenho e Objetivos de atividades.
No COBIT 5 essa abordagem é feita pela Capacidade de Processo. Vejamos na
comparação a seguir.
capítulo 3 • 83
CAPACIDADE DE PROCESSO NO
COBIT 4.1 – NÍVEL DO MODELO COBIT 5, BASEADA NA ISO/IEC
DE MATURIDADE 15504
0 – Não existente: falta qualquer Nível 0 – Processo Incompleto: processo
processo reconhecível. não implementado ou não alcança seu
propósito.
84 • capítulo 3
3.6 Modelo de Referência e Domínios de
Processo no COBIT 5
capítulo 3 • 85
Avaliar, Dirigir e Monitorar
ISO/IEC 38500
CMMI
Figura 3.17 – Cobertura de Outros Padrões e Modelos pelo COBIT 5. Fonte: (ISACA 2012)
86 • capítulo 3
• EDM04 – Garantir a Otimização dos Recursos: visa assegurar que as capacidades
adequadas e suficientes relacionadas à TI (pessoas, processos e tecnologia) estão
disponíveis para apoiar os objetivos da organização de forma eficaz a um custo ótimo.
• EDM05 – Garantir a Transparência para as Partes Interessadas: visa assegurar que
a medição e relatórios de desempenho e conformidade da TI corporativa sejam trans-
parentes para os stakeholders aprovarem as metas, métricas e as ações corretivas
necessárias.
capítulo 3 • 87
portfólio de serviços para execução; monitorar o desempenho de todo o portfó-
lio de serviços e programas, propondo os ajustes necessários em resposta ao
programa e desempenho do serviço ou mudança de prioridades da organização.
• APO06 – Gerenciar Orçamento e Custos: visa administrar as atividades fi-
nanceiras relacionadas a TI tantos nas funções de negócios e de TI, abrangendo
orçamento, gestão de custos e benefícios e priorização dos gastos com o uso de
práticas formais de orçamento e de um sistema justo e equitativo de alocação
de custos para a organização.
• APO07 – Gerenciar Recursos Humanos: visa fornecer uma abordagem es-
truturada para garantir a estruturação ideal, colocação, direitos de decisão e as
habilidades dos recursos humanos, incluindo a comunicação de papéis e res-
ponsabilidades definidas, planos de aprendizagem e de crescimento, e as ex-
pectativas de desempenho, com o apoio de pessoas competentes e motivadas.
• APO08 – Gerenciar Relacionamentos: visa gerenciar o relacionamento en-
tre o negócio e TI de uma maneira formal e transparente, que garanta foco na
realização de um objetivo comum.
• APO09 – Gerenciar Contratos de Prestação de Serviços: visa alinhar servi-
ços de TI e níveis de serviço com as necessidades e expectativas da organização,
incluindo identificação, especificação, projeto, publicação, acordo, e acompa-
nhamento de serviços de TI, níveis de serviço e indicadores de desempenho.
• APO10 – Gerenciar Fornecedores: visa gerenciar serviços relacionados a
TI prestados por todos os tipos de fornecedores para atender às necessidades
organizacionais, incluindo a seleção de fornecedores, gestão de relacionamen-
tos, gestão de contratos e revisão e monitoramento de desempenho de fornece-
dores para a efetividade e conformidade.
• APO11 – Gerenciar Qualidade: visa definir e comunicar os requisitos de
qualidade em todos os processos, os procedimentos e os resultados das organi-
zações, incluindo controles, monitoramento contínuo, e o uso de práticas com-
provadas e padrões na melhoria contínua e esforços de eficiência.
• APO12 – Gerenciar Riscos: visa identificar continuamente, avaliar e redu-
zir os riscos relacionados a TI dentro dos níveis de tolerância estabelecidos pela
diretoria executiva da organização.
• APO13 – Gerenciar Segurança: visa definir, operar e monitorar um sistema
para a gestão de segurança da informação.
88 • capítulo 3
3.6.3 Construir, Adquirir e Implementar (BAI)
capítulo 3 • 89
• BAI07 – Gerenciar Aceitação e Transição da Mudança: visa aceitar e pro-
duzir formalmente novas soluções operacionais, incluindo planejamento de
implementação do sistema, e conversão de dados, testes de aceitação, comuni-
cação, preparação de liberação, promoção para produção de processos de ne-
gócios e serviços de TI novos ou alterados, suporte de produção e uma revisão
pós-implementação.
• BAI08 – Gerenciar Conhecimento: visa manter a disponibilidade de conhe-
cimento relevante, atual, validado e confiável para suportar todas as atividades
do processo e facilitar a tomada de decisão; também visa um plano para a identi-
ficação, coleta, organização, manutenção, utilização e retirada de conhecimento.
• BAI09 – Gerenciar Ativos: visa gerenciar os ativos de TI através de seu ciclo
de vida para assegurar que seu uso agregue valor a um custo ideal.
• BAI10 – Gerenciar Configuração: visa definir e manter as descrições e as
relações entre os principais recursos e as capacidades necessárias para prestar
serviços de TI, incluindo a coleta de informações, de configuração, o estabele-
cimento de linhas de base, verificação e auditoria de informações de configura-
ção e atualizar o repositório de configuração.
90 • capítulo 3
necessários, mantém a disponibilidade de informações em um nível aceitável
para a organização.
• DSS05 – Gerenciar Serviços de Segurança: visa proteger informações da
organização para manter o nível de risco aceitável para a segurança da informa-
ção da organização, de acordo com a política de segurança. Estabelece e man-
tém as funções de segurança da informação e privilégios de acesso e realiza o
monitoramento de segurança.
• DSS06 – Gerenciar Controles do Processo de Negócio: visa definir e man-
ter controles de processo de negócio apropriados para assegurar que as infor-
mações relacionadas e processadas satisfaçam todos os requisitos de controle
de informações relevantes.
3.7 Implementação
No capítulo 7 do framework há informações sobre a implementação do CO-
BIT 5. Há, por exemplo, a indicação de reconhecimento de pontos de dor ou
eventos de gatilho para serem usados como disparadores de mudança na orga-
nização.
capítulo 3 • 91
Alguns exemplos de pontos de dor seriam: fracassos em projetos de TI, fa-
lha no cumprimento de regulamentação, custos elevados de TI para resolver o
negócio, dentre outros.
Ou seja, quando a organização começa a ter problemas com a TI, pontos de
dor, ela passa a se interessar com a governança de TI e isto pode ser usado como
disparadores, argumentos para realização de melhorias.
O Ciclo de vida de implementação do COBIT é uma forma das empresas
usarem o COBIT 5 para lidar com os desafios encontrados ao longo da imple-
mentação da Governança de TI. Como podemos ver na figura a seguir há ques-
tões externas, motivadores (drivers) para nos orientar. Para cada questão há 3
níveis de ações em componentes. No ciclo de vida do COBIT 5 há a divisão em
3 componentes:
• Gestão do Programa (Anel Externo)
• Capacitação da Mudança (Anel Intermediário)
• Ciclo de Vida de Melhoria Contínua (Anel Interno)
Reconhecer a
Monitorar
necessidade
e analisar
de agir
Operar e Avaliar o
Medir estado
atual
Definir o
Implementar
estado
melhorias
alvo
Construir
melhorias
Figura 3.18 – As Sete Fases do Ciclo de Vida da Implementação do COBIT 5. Fonte: (ISACA
2012)
92 • capítulo 3
Os detalhes da implementação estão em outras documentações não gratui-
tas fornecidas pela ISACA.
ATIVIDADES
Com base no conteúdo apresentado neste capítulo, responda as seguintes questões objetivas:
capítulo 3 • 93
02. Quais são os prováveis públicos para uso do COBIT?
I – Gerentes de Processos de TI
II – Gestores de TI
III – Executivos de Negócio
IV – Auditores de TI
a) I e IV
b) I e III
c) III e IV
d) II, III, e IV
e) I, II, III e IV
94 • capítulo 3
REFLEXÃO
Nesse capítulo, nós vimos os conceitos iniciais de um Framework amplo para Governança
de TI, o COBIT 5. Mesmo com todos os nossos estudos e discussões é possível observar
que o COBIT 5 e a Governança possuem muitos detalhes a serem estudados, analisados
e implementados. Quero que você pense nas diversas pessoas envolvidas num modelo de
Governança de TI e tente imaginar como ficaria o dia a dia dessas pessoas antes, durante e
depois da implantação de um modelo de Governança como o COBIT 5.
LEITURA
Para esse capítulo eu recomendo uma ampla leitura da publicação gratuita do Fra-
mework disponível em: http://www.isaca.org/COBIT/Pages/COBIT-5-Portuguese.aspx
(basta preencher o formulário e é possível fazer o download desta parte do framework sem
custo – acesso em 01/02/2015)
E também do material da ISACA que compara as versões 4.1 e 5 disponível em:
http://www.isaca.org/COBIT/Documents/Compare-with-4.1.pdf
REFERÊNCIAS BIBLIOGRÁFICAS
ISACA. COBIT 5 – Modelo Corporativo para Governança e Gestão de TI da Organização, 2012.
Disponível para acesso pessoal em www.isaca.org.
FERNANDES, A. A.; ABREU, V. F. Governança de TI: da Estratégia à Gestão dos Processos e
Serviços. Rio de Janeiro: Editora Brasport, 2008.
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO/IEC 38500 – Corporate
governance of information technology. ISO, 2008, 22p.
COBIT 5: A Business Framework for the Governance and Management of Enterprise IT. USA,
2012
ISACA. COBIT 5: Enabling Process. USA, 2012.
capítulo 3 • 95
96 • capítulo 3
4
Val IT, CMMI e ISO
27001 e 27002
Vimos conceitos sobre a Governança de Tecnologia de Informação nas empre-
sas, o alinhamento destes conceitos com o negócio e um framework, o COBIT.
Mas, existem outros frameworks e modelos no mercado, por exemplo, para o
processo de desenvolvimento de software que permite as empresas acompa-
nharem o aumento da competitividade do mercado com processos bem defi-
nidos e alinhados.
Um destes exemplos é o CMMI (Capability Maturity Model Integration) que
versa sobre modelos de maturidade/capacidade dos processos da empresa. Ve-
remos um pouco mais dele nesta unidade.
Já a ISO 27001, por exemplo, é um padrão para a Gestão de Segurança da
Informação e para a criação dos SGSI (Sistemas de Gerenciamento de Seguran-
ça da Informação). Segurança da Informação é outro aspecto relacionado aos
diversos processos de TI que devem dar suporte ao negócio.
Também falaremos sobre o conceito de valor atrelado à TI e ao negócio e
como o Val IT o especifica.
OBJETIVOS
Ao final deste capítulo você será capaz de:
98 • capítulo 4
4.1 Val IT
O Val IT visa auxiliar os executivos em duas das quatro decisões fundamentais
de TI:
Estamos
Estamos
fazendo as
conseguindo
coisas
benefícios?
certas?
Estamos Estamos
fazendo de conseguindo
forma fazê-las
certa? bem?
Are we Are we
doing getting
the right them done
way? well?
Figura 4.1 – Val IT e COBIT Relacionamento Sinérgico. Fonte: Material Estácio WebAula
O modelo acima ocorreu até a versão 4.1 do COBIT, como veremos. O COBIT
5 incorporou as práticas do Val IT.
Face às exigências de ambientes de TI cada vez mais complexos, novas de-
mandas de hardware e software e a rápida obsolescência destes, o IT Governan-
ce Institute (ITGI) iniciou o chamado Value of Information Technology (Val IT)
para criar uma estrutura que auxilie gestores na avaliação, seleção, gestão e
mensuração dos retornos sobre investimento (ROI) em Tecnologia da Informa-
ção. Na maior parte das vezes os executivos de negócio não conseguem visuali-
zar esse retorno facilmente.
capítulo 4 • 99
A primeira versão do Val IT foi publicada em 2006 e a versão Val IT 2.0 em 2008.
O Val IT foi desenhado para se complementar ao Modelo do COBIT e forne-
cer um ciclo completo de Governança de TI integrando os processos do COBIT
à visão do portfólio de investimentos do Val IT que fornece princípios, proces-
sos e práticas de apoio para compreensão das atividades relacionadas aos in-
vestimentos em TI.
O Relacionamento entre Val IT e COBIT pode ser visto da seguinte forma:
Questão Estratégica:
Questão de Valor:
Questão de Arquitetura:
Questão Estratégica:
100 • capítulo 4
FOCO NA FOCO NO PROCESSO FOCO NO PORTFÓLIO
GOVERNANÇA
capítulo 4
• 101
Val IT avalia o resultado final para que empresas possam medir, monitorar e oti-
lhores práticas do mercado e contribuir para o processo de criação de valor. O
O COBIT 4.1 visa entregar serviços de TI de alta qualidade, utilizando as me-
mizar o valor, financeiro e não financeiro, dos investimentos habilitados por TI.
4.2 O Conceito de Valor
Definir valor é complexo, específico ao contexto e dinâmico (ITGI, 2008). O re-
sultado que se espera ao fazermos um investimento em TI é, em geral, finan-
ceiro. Mas pode ser uma combinação entre aspectos financeiros e aspectos
não financeiros. Por exemplo, ter um servidor mais ágil e melhorar o tempo
de resposta num processo de suporte podendo deixar o cliente mais satisfeito.
Há um resultado financeiro indireto (satisfação do cliente). Mas, para alguns
clientes isto não fará sentido algum (aqueles que não precisarem de suporte).
Portanto, o conceito de valor relaciona-se ao atendimento de expectivativas
dos stakeholders e os recursos que serão necessários para isso.
A gestão de valor precisa otimizar o valor da conciliação das diferenças de
interesses entre os diferentes stakeholders e permitir que a empresa:
• Defina e comunique claramente a sua visão do que constitui valor e para quem;
• Selecione e execute investimentos;
• Gerencie seus ativos e otimize valor com a utilização de recursos de forma
econômica e nível de risco aceitável.
102 • capítulo 4
CONEXÃO
Estude e compreenda mais sobre o Risk IT. Acesse o conteúdo oficial da ISACA em (Acesso
em 28/01/2015):
http://www.isaca.org/knowledge-center/risk-it-it-risk-management/pages/default.aspx
Orientação
Novos
ISACA Outros
Materiais
(COBIT, Padrões e
de Orientação
Val IT, Risk IT, Frameworks
da ISACA
BMIS, ...)
Base de Conhecimento
do COBIT 5
Habilitadores
• Orientação e conteúdo atuais do COBIT 5
• Estrutura para conteúdos futuros
COBIT 5
Ambiente Colaborativo
On-line do COBIT 5
capítulo 4 • 103
Como vimos no capítulo 3, um dos princípios do COBIT 5, o 3º Princípio,
trata sobre a aplicação de um modelo único integrado. Assim, o COBIT 5 ali-
nha-se com outros padrões recentes para ser usado como principal modelo in-
tegrador. Ele integra o conhecimento de outros modelos como Val IT, Risk IT,
BMIS e ITAF.
4.4 CMMI
A história do CMMI tem seu início numa encomenda feita pelo DoD (Departa-
mento de Defesa norte-americano) à Carnegie Mellon University (CMU), atra-
vés do Software Engineering Institute (SEI). Esta encomenda era para a criação
de um modelo de qualidade para o processo de engenharia de software. Em
1991 foi criado o Capability Maturity Model for Software (SW-CMM) (CMU/SEI,
2010; FERNANDES e ABREU, 2008).
O CMMI pode ser definido como um modelo para melhoria de processo que fornece
às empresas os elementos para obtenção de processos eficazes e melhoria de desem-
penho.
104 • capítulo 4
Atualmente, existem três constelações:
O CMMI oferece duas opções para abordar a avaliação e melhoria dos pro-
cessos:
CONEXÃO
Estude mais sobre os detalhes do CMMI em (Acesso em 28/01/2015):
http://cmmiinstitute.com/
http://www.sei.cmu.edu/process/index.cfm
capítulo 4 • 105
4.5 CMMI - Abordagem de Implementação
por Estágios
Otimizado
Organizações com
Melhoria Contínua
Gerenciado
Organizações
Previsíveis
Definido
Organizações
Padronizadas
Repetível
Organizações
Disciplinadas
Inicial
Organizações
Caóticas
Níveis de maturidade
Áreas de processo
Práticas Práticas
Específicas Genéricas
106 • capítulo 4
As características dos níveis de maturidade são:
http://www.sei.cmu.edu/library/assets/whitepapers/
cmmi-dev_1-2_portuguese.pdf
capítulo 4 • 107
4.6 CMMI - Abordagem de Implementação
Contínua
Nessa abordagem, o CMMI permite que cada uma das áreas de processos sejam
implementadas de forma evolutiva e independente.
Práticas Práticas
Específicas Genéricas
108 • capítulo 4
• Nível 3 – Definido: Um processo de nível de capacidade 3 é caracterizado como
um “processo definido”. É um processo gerenciado (nível de capacidade 2), adaptado
a partir do conjunto de processos-padrão da organização de acordo com as diretrizes
para adaptação da organização, e contribui com produtos de trabalho, medidas e outras
informações de melhoria de processo para os ativos de processo da organização.
http://www.sei.cmu.edu/library/assets/whitepapers/
cmmi-dev_1-2_portuguese.pdf
A versão CMMI 1.3 trouxe algumas alterações nos níveis de capacidade que
antes eram 6 (CMMI 1.2) e agora são 4. Veja a comparação dos modelos de ca-
pacidade e maturidade no CMMI 1.3.
CONTINUOUS STAGED
LEVEL REPRESENTATION REPRESENTATION
CAPABILITY LEVELS
LEVEL 0 Incomplete
Quantitatively
LEVEL 4 Managed
LEVEL 5 Optimizing
Tabela 4.3 – Níveis de Capacidade x Maturidade. Fonte: Especificação CMMI 1.3 - http://
www.sei.cmu.edu/reports/10tr033.pdf página 23.
capítulo 4 • 109
4.7 Áreas dos Processos CMMI
De acordo com a estrutura de inter-relacionamento funcional na visão de me-
lhoria corporativa de processos o CMMI sugere que as suas 22 áreas de processos
sejam agrupadas em quatro categorias: Gestão do Processos, Gestão de Projeto,
Engenharia e Suporte:
110 • capítulo 4
– Gestão de Contrato com Fornecedores (SAM): Tratar das necessidades de aqui-
sição de partes do trabalho que são produzidas por fornecedores. As fontes de produtos
utilizadas para satisfazer aos requisitos de projetos são identificadas proativamente. O
fornecedor é selecionado, e é estabelecido um contrato para que se possa gerenciá-lo.
– Gestão Integrada de Projeto (IPM): Estabelecer e manter o processo definido
para o projeto que é adaptado a partir do conjunto de processos-padrão da organização.
– Gestão de Riscos (RSKM): Implementar uma abordagem proativa e em regime
contínuo para a gestão de riscos por meio de atividades que incluem identificação de
parâmetros para riscos, avaliação de riscos e mitigação de riscos.
– Gestão Quantitativa de Projeto (QPM): Aplicar técnicas quantitativas e estatísti-
cas para gerenciar o desempenho de processo e a qualidade de produto. Os objetivos
para qualidade e desempenho de processo para o projeto são baseados nos objetivos
estabelecidos pela organização.
– Gestão de Requisitos (REQM): Gerenciar requisitos técnicos e não técnicos num
projeto, checando inconsistências e tratando os impactos de mudança.
• Engenharia: tratam de atividades de desenvolvimento e manutenção das diversas
disciplinas de Engenharia.
– Desenvolvimento de Requisitos (RD): Identificar as necessidades do cliente e
traduzir essas necessidades em requisitos de produto.
– Solução Técnica (TS): Desenvolver pacotes de dados técnicos para componentes
de produto que serão utilizados pela área de processo Integração de Produto ou pela
área de processo Gestão de Contrato com Fornecedores. Soluções alternativas são
examinadas a fim de escolher o melhor projeto com base em critérios previamente
estabelecidos.
– Integração de Produto (PI): Utilizar as práticas específicas associadas à geração
da melhor sequência de integração possível, envolvendo a integração de componentes
de produto e a entrega do produto ao cliente.
– Validação (VAL): Validar produtos, de forma incremental, relacionados às neces-
sidades do cliente. A validação tanto pode ser realizada no ambiente real de operação
quanto no ambiente operacional simulado.
http://www.sei.cmu.edu/library/assets/whitepapers/
cmmi-dev_1-2_portuguese.pdf
capítulo 4 • 111
• Suporte: visa auxiliar nos demais processos qualificando os processos com ativida-
des ao longo dos projetos de desenvolvimento ou manutenção de produtos. Contém
as seguintes áreas:
– Gestão da Configuração (CM): Controlar e manter a integridade dos produtos
de trabalho.
– Garantia da Qualidade do Processo e do Produto (PPQA): Fornecer visibilidade
sobre andamento dos processos e produtos.
– Medição e Análise (MA): Manter e desenvolver formas de medição para atender
necessidades de informações gerenciais.
– Análise de Decisões e Resolução (DAR): Usar processo de avaliação formal para
tomar decisões.
– Análise e Resolução de Causas (CAR): Identificar causas e corrigir defeitos além
de ações de prevenção de novas ocorrências.
112 • capítulo 4
• Governança de Indicadores
Vamos trabalhar com os conceitos listados anteriormente, consideran-
do que a Governança de Segurança da Informação e a Governança da Tecno-
logia da Informação, são eixos fundamentais para a gestão da Governança
Corporativa.
Bem, mas como a ISO pode colaborar com a Tecnologia da Informação e a
Segurança da Informação?
Criado em 1947, ISO é sigla para International Organization for
Standardization – Organização Internacional para Normalização. Em língua
francesa: "L'Organisation Internationale de Normalisation". Com sede em Ge-
nebra na Suíça, é uma entidade não governamental que congrega a padroniza-
ção/normalização de 170 países.
Tem como objetivo promover o desenvolvimento da normalização e ativi-
dades relacionadas com a intenção de facilitar o intercâmbio internacional de
bens e serviços.
Os membros da ISO são os representantes das entidades oficiais de nor-
malização nos respectivos países como, por exemplo, ANSI (American National
Standards Institute), BSI (British Standards Institute), DIN (Deutsches Institut
für Norman).
capítulo 4 • 113
Sobre as certificações ISO, selecionamos algumas das normas mais utilizadas:
114 • capítulo 4
A Informação é um ativo estratégico essencial para as organizações e neces-
sita de proteção adequada. Esta proteção precisa ser tanto física quanto técnica
e organizacional. Lidar com a Segurança da Informação implica em manter as
informações confidenciais, íntegras e disponíveis (Confidentiality, Integrity,
Avaliability):
ATIVIDADES
Considerando o conteúdo apresentando neste capítulo, utilize as seguintes questões para
avaliar o seu conhecimento:
01. Qual dos modelos abaixo apresenta o conceito de valor sobre o investimento em TI?
a) COBIT 4.1
b) ISO 27001
c) Val IT
d) Risk IT
capítulo 4 • 115
REFLEXÃO
A Tecnologia da Informação tem diferentes processos em diferentes áreas. São diversos
os modelos conhecidos para auxiliar a boa gestão e gerenciamento desses, nessa unidade
apresentamos alguns entre os mais relevantes. Fica a dica para que você se aprofunde em
outros modelos citados no material, aplicando o mais adequado nas situações necessárias.
LEITURA
Como leituras sugiro que consulte as referências, sobretudo o site da ISACA (www.isaca.
org), pois lá há ampla documentação dos Modelos COBIT 5, Val IT e Risk IT, além de muitos
artigos interessantes.
Sobre a ISO, neste link há um FAQ com perguntas mais frequentes sobre ISO 27001
(Acesso em 28/01/2015):
http://www.vanzolini.org.br/areas/certificacao/auditores/pdf/PROCED/p.com.34.pdf
REFERÊNCIAS BIBLIOGRÁFICAS
SEI. CMU/SEI-2010-TR-032 – CMMI for Acquisition, version 1.3, Novembro de 2010 (2010a).
SEI. CMU/SEI-2010-TR-032 – CMMI for Development, version 1.3, Novembro de 2010 (2010b).
SEI. CMU/SEI-2010-TR-032 – CMMI for Services, version 1.3, Novembro de 2010 (2010c).
Appraisal Method for Process Improvement (SCAMPI) V1.2 -www.sei.cmu.edu/reports/06hb002.pdf
CMMI Version 1.3 DEV / ACQ / SVC - www.sei.cmu.edu/cmmi
ISACA. COBIT 5 - Modelo Corporativo para Governança e Gestão de TI da Organização, 2012.
Disponível para acesso pessoal em www.isaca.org.
FERNANDES, A. A.; ABREU, V. F. Governança de TI: da Estratégia à Gestão dos Processos e
Serviços. Rio de Janeiro: Editora Brasport, 2008.
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO/IEC 38500 – Corporate
governance of information technology. ISO, 2008, 22p.
COBIT 5: A Business Framework for the Governance and Management of Enterprise IT. USA, 2012
ISACA. COBIT 5: Enabling Process. USA, 2012.
ITGI. Enterprise Value: Governance of IT Investments – The Val IT Framework 2.0 Extract, 2008.
Disponível em: http://www.isaca.org/Knowledge-Center/Val-IT-IT-Value-Delivery-/Documents/Val-IT-
Framework-2.0-Extract-Jul-2008.pdf acesso em 05/02/2015.
116 • capítulo 4
5
Seis Sigma e as
Ferramentas de
Qualidade
Neste capítulo, veremos como o Six Sigma pode ajudar na melhoria de proces-
sos. Um dos aspectos fundamentais da Governança é justamente melhorar
continuamente os processos existentes. Veremos também algumas ferramen-
tas a serem utilizadas no Controle de Qualidade.
OBJETIVOS
Neste capítulo os objetivos da sua aprendizagem são:
118 • capítulo 5
5.1 Breve História
As empresas, atualmente, concorrem com mercados do mundo todo. Com tan-
tos concorrentes e a crescente rapidez nos processos e na comunicação, essas
estão obrigadas a manterem os processos internos cada vez mais eficazes e efi-
cientes. A gestão da qualidade tem ganhado destaque no cenário mundial, e a
busca por melhorias tem garantido o bom desempenho e a sobrevivência de
muitas empresas.
Em meados de 1987, funcionários da Motorola buscando diminuir o núme-
ro de fabricação de peças defeituosas, desenvolveram uma metodologia com
padrões matemáticos para controle de qualidade nas peças. No ano seguinte,
1988, a empresa recebe o Prêmio Malcolm Baldrige de Qualidade, a implan-
tação do programa chamado Six Sigma alavancou o crescimento da Motorola.
A divulgação dos ganhos obtidos pela Motorola chamou a atenção de di-
versas empresas. Assim, várias empresas passaram a usar o Six Sigma, como:
Texas Instruments (em 1988), IBM (em 1990), ABB - Asea Brown Boveri (em
1993), Allied Signal e Kodak (em 1994) e a General Electric (em 1996).
Com a aplicação do Six Sigma, a General Electric (GE) ganhou notoriedade
após a adoção do programa. A empresa alcançou notável crescimento na mar-
gem do lucro operacional. Três anos após a implantação, foi registrado uma
economia de mais de US$ 1,5 bilhões, obtendo destaque entre as corporações
de sucesso dos Estados Unidos.
O sucesso alcançado por essa metodologia fez com que em 1991, a Motorola
construísse uma indústria ao redor do Six Sigma, e introduzisse treinamentos
para a formação de especialista em Six Sigma, chamados de Black Belts. Em
1992, a metodologia foi difundida para outras empresas. Em 2002 a Motorola
voltou a ganhar o prêmio de qualidade MBNQA, Malcolm Baldrige National
Quality Award, provando a eficácia do programa definitivamente, expandindo
sua atuação nas indústrias e áreas funcionais. Estabelecendo-se como uma me-
todologia orientada para obtenção de resultados. Hoje, milhares de empresas
utilizam o Six Sigma para otimizar os processos e consequentemente, aumentar
os lucros. O Seis Sigma chegou ao Brasil em torno de 1997. O Grupo Brasmotor,
adotou o programa em suas atividades e em 1999, apresentou ganhos em torno
de de R$ 20 milhões (WERKEMA, 2002a).
capítulo 5 • 119
5.2 Mas o que significa “sigma”?
A letra sigma Σ vem do alfabeto grego sendo sua 18ª letra ou caractere e cor-
responde ao nosso S.
O Six Sigma também pode ser visto como uma metodologia estruturada que
incrementa a qualidade por meio do aperfeiçoamento continuo dos processos
120 • capítulo 5
de produção de bem ou serviço, da otimização das operações, da eliminação
sistemática dos defeitos, falhas e erros, levando em consideração todos os as-
pectos importantes do negócio que possam diferenciar a empresa junto aos
seus clientes.
Smith & Adams (2000) consideram que “alcançar o Six Sigma significa redu-
zir a zero (praticamente) defeitos, erros e falhas de desempenho dos processos”.
De certa forma, o objetivo prático é introduzir uma sistematização de redução
de falhas e defeitos e diminuir a variabilidade dos processos. Isto é feito com
a melhor organização da informação e dos processos e pode ser aplicado nos
diversos setores econômicos, não apenas se restringindo às cadeias produtivas.
Vemos que os autores citados enfatizam que a metodologia oferece a busca
de padrão e a redução perto de zero de erros, falhas ou defeitos. Segundo con-
siderações de Fernandes & Abreu (2008) a melhoria de desempenho do negócio
através da melhoria de processos, tendo como meta um processo que apresente
3,4 defeitos por milhão de oportunidades (DPMO) ou Six Sigma, que equivale a
um rendimento de 99,9997% de resultados dos processos isentos de defeitos”.
Observando a escala Sigma, vamos pensar na aplicação da metodologia
numa fabrica que produz peças para automóveis, vemos que com a aplicação
de um sigma a qualidade aumenta 31%, mas os erros por milhão ainda são altos
690.000 defeitos. Pense no impacto que causam esses números de perdas de
peças numa fábrica.
Acompanhando a evolução dos sigmas, encontramos na adoção dos seis
sigmas 3 ou 4 peças deituosas por milhão, o que corresponde a um padrão de
qualidade de 99,9997%.
O valor do sigma indica a variabilidade do processo, significando que, quan-
to maior o número de sigmas, a partir da média da distribuição (µ), torna-se
menos provável que um processo produza defeitos.
A tabela a seguir mostra o que significa o Six Sigma, em termos de qualidade
e defeitos por milhão de oportunidades.
capítulo 5 • 121
DEFEITOS POR
ESCALA MILHÃO DE
QUALIDADE
SIGMA OPORTUNIDADES
(DPMO)
5s 99,9767% 233
4s 99,379% 6210
Média da
indústria
3s 93,32% 66807
2s 69,1% 308537
Não
1s 31% 690000
competitiva
A metodologia Six Sigma como falamos inicialmente pode ser aplicada para
melhoria de produtos e serviços em empresas de portes pequenos, médio ou
grande.
Usando como referencial o quadro com os resultados obtidos a partir da im-
plantação dos Sigmas, vamos pensar numa empresa de serviços, com contato
direto com o cliente, usando os Seis Sigmas, a reprovação no atendimento
atingiria os mesmos números, 3 ou 4 perdas de clientes por milhão atendi-
dos. Contando com a satisfação de 99,9997% dos clientes.
122 • capítulo 5
CONEXÃO
Atualmente, muito tem se falado sobre o termo Lean Six Sigma. O Lean Six Sigma é uma
integração entre Lean Manufacturing e Six Sigma. O Lean Manufacturing é a busca pela
eliminação de desperdício enquanto o Six Sigma, como vemos, aumenta rendimento e a
lucratividade pela melhoria de qualidade de processos e produtos. Veja mais em (Acesso em
02/02/2015):
http://www.villanovau.com/resources/six-sigma/six-sigma-vs-lean-six-sigma/#.
VQLOLfzF9WI
capítulo 5 • 123
• Executivo Líder: representado pela alta gerência. Tem como responsabilidades a
implantação do Six Sigm, o compromisso com o sucesso da implantação da estratégia
de melhoria do processo e a condução das iniciativas. Além disto, incentiva e supervi-
siona tais iniciativas e verifica os benefícios financeiros alcançados. Também seleciona
os executivos para desempenhar o papel de campeões;
• Campeões: tem como responsabilidades a liderança dos executivos-chave, organi-
zar e conduzir o começo, o desdobramento e a implementação do Six Sigma na orga-
nização. Campeões devem dominar o Six Sigma de forma prática e teórica e facilitar as
mudanças necessárias. Serão os responsáveis por definir as pessoas que disseminarão
o Six Sigma na empresa.
• Master Black Belt: responsáveis pela conscientização e implantação do Six
Sigma na empresa, além de ajudar com as mudanças na organização e ajudar os cam-
peões nos projetos de melhoria. Devem dedicar 100% de seu tempo ao Six Sigma e
estarem preparados para solução de problemas estatísticos, além de treinar e instruir
Black Belts e Green Belts.
• Black Belts: trabalham sob ordens do Master Black Belt e devem possuir algumas
habilidades como bom relacionamento interpessoal e comunicação, devem buscar al-
cançar resultados e possuir influência no setor em que atuam, além de saber trabalhar
em equipe. Black Belts devem possuir conhecimento técnico avançado na área de atu-
ação, pois aplicarão as ferramentas e conhecimentos em projetos específicos. Normal-
mente, recebem treinamento amplo em técnicas estatísticas e treinam os Green Belts.
• Green Belts: estão na chefia intermediária da organização. Os Green Belts executa-
rão as tarefas do Six Sigma em seu cotidiano e auxiliarão os Black Belts na coleta de
dados e experimentos.
5.5 DMAIC
O ciclo DMAIC é a metodologia adotada na solução de problemas. A sigla
representa:
124 • capítulo 5
Com a utilização dessa sequência de ações é possível melhorar produtos,
serviços e processos. Há semelhanças entre o DMAIC e o PDCA, alguns auto-
res consideram que ambos oferecem métodos similares. Sendo assim, o méto-
do PDCA também trabalha com melhorias, criado na década de 30 por Walter
A. Shewart, foi popularizado somente nos anos de 1950, por William Edward
Deming. A metodologia ganhou reconhecimento mundial por ter sido aplica-
da no Japão após a devastação da segunda guerra mundial, sendo considerado
junto com o Programa de Qualidade 5S, relevantes motriz para o desenvolvi-
mento estratégico das empresas japonesas.
A sigla PDCA refere-se a:
• P – Plan (Planejar)
• D – Do (Executar)
• C – Check (Checar, verificar)
• A – Act (Atuar, agir)
• Estratégia de melhoria do processo: que visa aplicar soluções que eliminem as cau-
sas-raiz dos problemas que afetam o desempenho de uma empresa, mantendo a es-
trutura básica do processo.
• Estratégia de projeto/reprojeto: visa trocar parte ou todo o processo por outro refor-
mulado.
capítulo 5 • 125
Define
(definir)
Control Measure
(Controlar) (medir)
Improve Analyse
(Melhorar) (Analisar)
126 • capítulo 5
• Controle: Essa etapa mantém a melhoria aplicada, pois é através do controle esta-
tístico do processo com medições e monitoramento que mantem-se a performance do
desempenho alcançado.
• Considera-se que a melhoria contínua se dá pela aplicação do DMAIC para outros
projetos ligados aos mesmo processos, e não ficar revisando projetos já concluídos.
Outras ferramentas do Six Sigma como o Design for Six Sigma e o DMADV viabilizam
sucessivos aperfeiçoamentos até que todas as correções e intervenções sejam apli-
cadas.
5.6 DFSS
Enquanto que o ciclo DMAIC é a metodologia adotada na solução de problemas.
A metodologia DFSS (Design for Six Sigma) trata da qualidade no projeto de no-
vos produtos, sendo aplicável em processos produtivos ou de serviços e que ao
estarem prontos atinjam o nível de excelência dos Seis Sigmas. O Design para
seis Sigma também serve para a aplicação em processos que apresentam baixo
nível de desempenho, e que a aplicação do DMAIC não seja possível pelo com-
prometimento do processo, sendo assim é necessário um novo design. O DFSS
serve para projetar um novo produto ou serviço, ou reprojetar os já existentes.
O diferencial do DFSS é que a metodologia traz valor ao produto ou serviço
através da inovação e da satisfação das necessidades reais dos clientes. Além de
também melhorar a qualidade e reduzir custo de produção ou serviço. Como o
Design for Six Sigma atua em novos projetos o programa é visto como um facili-
tador no controle de qualidade.
capítulo 5 • 127
5.7 DMAVD
A metodologia DMADV (Definição, Medição, Análise, Projeto e Verificação)
também apresenta cinco fases bem determinadas:
Verify design
Identify functions. Generate and
Define the project performance.
select concepts.
Implement design.
D M A D V
Define Measure Analyze Design Verify
Develop, test/optimise
Determine customer
design components and
requirements and wishes.
complete design.
128 • capítulo 5
O CTQ, Controle de Qualidade Total, busca atender as necessidades de con-
sumo do mercado, definindo a finalidade de uso, o preço de venda, e a oferta do
produto e serviços no mercado.
CONEXÃO
Faça uma leitura com mais detalhes e comparações nas metodologias do Six Sigma:
http://www.camilomarcelino.com/sixsigma.htm
5.8.1 Fluxograma
capítulo 5 • 129
Podemos dizer também que trata-se da documentação dos passos necessá-
rios para a execução de um processo.
Por exemplo, a figura a seguir ilustra um fluxograma para representar as
atividades realizadas na empresa ao longo da compra de um produto por um
cliente.
Dados do Cadastrar
Cliente Cliente
Financeiro
Depto.
Dados Faturar
Financeiro Pedido
Estoque
Registrar a baixa
no estoque
Logística
Enviar para
Fim
o Cliente
Tabela 5.3 – Exemplo de um Fluxgorama. Fluxograma são uteis para documentação, análise
e primeiros passos para melhoria de processos de negócio e tecnologia da informação, pois
permitem uma visão de como as atividades estão sendo executadas.
130 • capítulo 5
5.8.2 Diagramas de Dispersão
O gráfico permite identificar a correlação entre duas variáveis. Isso pode estar
relacionado a um fator de causa e efeito e será usado na resolução de problemas.
capítulo 5 • 131
COMPONENTE: CONJUNTO ABC SEÇÃO: LINHA DE MONTAGEM
132 •
PROCESSO DE TRABALHO: MONTAGEM DATA DA PRODUÇÃO: 30/03/05
QUANTIDADE PRODUZIDA: 1.000 PEÇAS INSPETOR:
Tipo de Frequ do % %
Tabulação Class
defeito item individual acumulada
capítulo 5
Alinhamento ///// ///// // 12 6° 06%
Parafuso
///// ///// ///// ... ///// /// 68 1° 34%
solto
lugli.com.br/wp-content/uploads/2008/02/pareto1.png
Sujeira ///// ///// ///// ... ///// / 41 2° 20%
Riscos ///// ///// ///// ... ///// //// ///// ///// 29 3° 14%
Bolha / 01 9° 01%
Tabela 5.2 – Exemplo de Folha de Verificação para Defeitos em Peças. Fonte: http://www.
5.8.4 Gráficos de Pareto
Causas/Ações Efeitos/Resultados
20%
80%
triviais
80%
20%
triviais
O Diagrama de Causa e Efeito foi criado por Kaoru Ishikawa na década de 1940.
Também é chamado de Diagrama Ishikawa ou Espinha de Peixe. No diagrama,
estabelece-se uma região de causas e uma região de efeitos. O trabalho de aná-
lise consiste em conectar uns aos outros e tentar identificar a origem, ou as ori-
gens do problema (efeito) em si.
capítulo 5 • 133
Atitude do Espera
garçom
Longa espera para
Rude fechamento de conta
Computador
Confusa fora do ar
Apressado Muitas
mesas Garçom inexperiente
Espera desconfortável por mesa
Assentos na
Mau atendimento Treinamento área de espera
nas mesas inadequado
Efeito
Tapetes sujos
Comida servida fria
Treinamento Sala de jantar fria
da faxineira
Garçons incertos sobre Programa inadequado
quando a comida esta pronta de limpeza
inadequado Janelas abertas
Sistema de notificação
do garçom inadequado
Comida Ambiente
5.8.6 Histograma
134 • capítulo 5
Indivíduo
“fora da curva”
16 18 20 22 24 26 28 30 32 34 34 36 40
x = 25
Magreza “Normalidade” Obesidade
LIE LSE
Legenda: LIE = Limite Inferior Especificado
LSE = Limite Superior Especificado
Figura 5.8 – Exemplo de Histograma . Fonte: (MARANHÃO e MACIEIRA, 2004) página 176
capítulo 5 • 135
po
o tem
h ad
Lin
10 h - Histograma das 9h
9 h - Histograma das 9h
8 h - Histograma das 8h
136 • capítulo 5
Controle do Processo
17h
16h
15h
po
em
doT
ha
Lin
b) Sob controle
(causas especiais eliminadas)
10h
9h a) Fora de Controle
(presença de causas especiais)
8h
capítulo 5 • 137
Podemos adicionar também 2 outras linhas que são o Limite Superior de
Especificação (LSE) e Limite Inferior de Especificação (LIE). São valores impos-
tos pela especificação do produto ou serviço e não medidos no processo. São
usados para verificar se o processo está dentro da norma exigida.
LSE
LSC
Média
Medições (Y)
LIC
LIE
Tempo (X)
74.0180
Medida do Diâmetro – X
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
Número da Amostra
Carta de controle para o diâmetro de um pistão automotivo
Figura 5.12 – Processo sob Controle. Fonte: (MARANHÃO e MACIEIRA, p. 185, 2004)
138 • capítulo 5
Como já comentamos, as cartas de controle apresentam de maneira dinâ-
mica o comportamento do processo (ao longo do tempo, ou seja, a cada amos-
tragem) e podemos, de maneira resumida, usá-las para:
• Reduzir a variabilidade de um processo
• Monitorar seu desempenho ao longo do tempo (amostragens)
• Permitir a correção do processo
• Detectar tendências e pontos fora de controle.
ATIVIDADES
Nestas atividades separei algumas leituras e questões para vocês:
Faça essas leituras (Acesso em 01/02/2015):
http://www.producao.ufrgs.br/arquivos/disciplinas/388_apostilacep_2012.pdf
http://redsang.ial.sp.gov.br/site/docs_leis/pd/pd11.pdf
A) E responda:
capítulo 5 • 139
REFLEXÃO
A melhoria de processos é pilar fundamental da Governança. Práticas especiais são encon-
tradas no Six Sigma. Como reflexão, sugiro que pense e investigue como as empresas tem
adotado esses processos no Brasil tanto na gestão de empresas públicas quanto privadas.
Comente sobre o desempenho de uma empresa brasileira que adotou o Six Sigma em
relação a suas concorrentes.
LEITURA
Para complementar os conhecimentos apresentados sugiro a leitura do texto: “Aplicação do
programa Seis Sigma no Brasil: resultados de um levantamento tipo survey exploratório-des-
critivo e perspectivas para pesquisas futuras” disponível em:
http://www.scielo.br/pdf/gp/v14n2/01.pdf com acesso em 01/02/2015.
Trata-se de um trabalho sobre resultados de um estudo de campo para levantar práticas
relativas à adoção do programa Six Sigma em empresas que o adotaram.
REFERÊNCIAS BIBLIOGRÁFICAS
PANDE, P.; NEUMAN, R.; CAVANAGH, R. Estratégia Seis Sigma: como a GE, a Motorola e outras
grandes empresas estão aguçando seu desempenho. Tradução: Cristina Bazán Tecnologia e
Lingüística. Rio de Janeiro: Qualitymark, 2001.
FERNANDES A. A.; ABREU V. F. Implantando a Governança de TI: da estratégia à gestão dos
processos e serviços. Brasport, 2008.
MARANHÃO, M.; MACIEIRA, M. E. B. O processo nosso de cada dia: modelagem de processos de
trabalho. Rio de Janeiro - RJ: Qualitymark, 2004.
SMITH, B.; ADAMS, E. LeanSigma: advanced quality. Proc. 54th Annual Quality Congress of the
American Society for Quality, Indianapolis, Indiana, maio, 2000.
WEILL P.; ROSS W. J. Governança de Tecnologia da Informação. Makron Books, São Paulo, 2006.
WERKEMA, M. C. C. (2002). Criando a cultura Six Sigma. Série Six Sigma Volume 1. Rio de Janeiro:
Qualitymark, 2002.
140 • capítulo 5
GABARITO
Capítulo 1
01. Os indicadores apresentados são Market Share e Lucro Operacional. Lucro é o retorno
positivo sobre um investimento, no caso, a empresa. O Lucro Operacional é lucro sobre o fun-
cionamento da empresa. O Market Share é a participação da empresa no mercado em que
atua. Assim, no quadro, foram estabelecidas metas de aumento do lucro ao ano (em 15%)
e aumento de 10% na participação de mercado. Isto, com ações como abertura de novos
pontos de venda, opções de crédito.
02. As metas estão diretamente relacionadas aos objetivos, pois constituem as formas de
alcança-los, através da estratégia. Por exemplo, melhorar o atendimento ao cliente foi tradu-
zido em metas de máximo de 5% de reclamações por clientes atendidos.
Capítulo 2
01. a
02. c
Capítulo 3
01. e
02. e
03. a
04.
a) falso
b) falso
c) verdadeiro
d) falso
e) falso
f) falso
capítulo 5 • 141
Capítulo 4
01. c
02. b
Capítulo 5
a)
01. É uma técnica estatística aplicada à produção para reduzir de forma sistemática a varia-
bilidade nas características da qualidade e contribuir para melhorar a qualidade do resultado
de um processo.
02. Causas Comuns são fontes de variação atuando de forma aleatória no processo. São
tratadas como varialibidade inerente ao processo, um padrão natural decorrente do próprio
processo em si. Causas Especiais não seguem padrão aleatórios e não são pequenas cau-
sas, consistindo em falhas de operação.
03. Processo Estável apresenta apenas Causas Comuns pois a variabilidade é a mesma ao
longo do tempo; Processo Instável apresenta Causas Especiais.
04. Limites Superiores e Inferiores de Controle (LSC e LIC) são limitações impostas pelo
padrão de qualidade exigido. O processo deverá atender tais limites. Limite de Controle (LC
ou LM) é o limite da média do processo.
b)
01. O DFSS é o design, a metodologia para ser aplicada em processos produtivos ou execu-
ção de serviços. DMAVD é o ciclo para criação de um novo design de produto ou processo e
o DMAIC é usado para processos de negócio existente.
02. Executivo Líder implanta o Six Sigma, Campeões lideram os Master BB, Master Black
Belts conscientizam a implantação ajudam campeões, Black Belts buscam os resultados,
Green Belts executam tarefas cotidianas do Six Sigma.
142 • capítulo 5
ANOTAÇÕES
capítulo 5 • 143
ANOTAÇÕES
144 • capítulo 5