Você está na página 1de 348

Disciplina: Governança em Tecnologia da

Informação

Aula 1: Governança corporativa e de TI


Apresentação

A globalização da economia e os avanços tecnológicos acirraram a concorrência entre as empresas, o que fez surgir
mercados cada vez mais dinâmicos e competitivos. Diariamente as decisões impactam as empresas e pessoas ao redor do
mundo. Em um cenário assim existe a necessidade das organizações agirem com rapidez e eficiência. Ao mesmo tempo,
não existe mais espaço para a falta de controle e de planejamento no ambiente empresarial.

As organizações tiveram que repensar seu processo de gestão e assim surgiu a governança corporativa e de TI para garantir
a uniformidade das ações de gestão, bem como a efetividade, eficácia e eficiência das organizações.

Nesta aula, compreenderemos as motivações para a implementação da governança corporativa e de TI. Identificaremos as
principais motivações e características de cada uma das governanças e suas relações, analisando o processo decisório de
TI e como os arquétipos deste processo decisório pode influenciar nas ações de TI. Conheceremos ainda a importância da
elaboração de um plano de Tecnologia da Informação como ferramenta de gestão na implementação da governança de TI.

Bons estudos!

Objetivos

Examinar o papel da governança corporativa nas organizações;

Analisar o papel da governança de TI nas organizações;

Identificar os objetivos e a importância do Plano de Tecnologia da Informação.


Governança corporativa
A governança corporativa surgiu devido a uma série de eventos que ocorreram ao longo do século XX, como a globalização, que
teve como consequência a expansão das transações financeiras em escala global. No mesmo período, ocorreram diversas crises
mundiais e uma série de escândalos financeiros que impactaram negativamente a administração das organizações.

 Gerenciamento de negócio | Fonte: Panchenko Vladimir / Shutterstock

Esses desafios sociais e ambientais globais, regionais e locais da época afetaram as organizações, suas estratégias e suas
cadeias de valor, impondo transformações na rotina operacional e administrativa das empresas.

As transformações ocasionaram uma mudança na estrutura de controle das empresas com a separação da propriedade e da
gestão empresarial.

Essa separação deu origem à discussão sobre a governança corporativa e aos conflitos entre o melhor interesse da organização
e os interesses dos sócios e executivos (conflito de agência).

Você conhece a teoria do agente principal?


Nesse novo modelo, o principal, o titular da propriedade delega ao agente o poder de decisão sobre esse bem.

Delega poder de decisão


Uma vez que os interesses do primeiro
nem sempre estão alinhados aos do
último, podem ocorrer conflitos.

A teoria do agente principal ou teoria da firma teve sua origem com a publicação de estudo realizado pelos economistas Jensen
e Meckling em empresas norte-americanas e britânicas, em 1976.

Baseado no estudo, os dois pesquisadores chegaram à conclusão que executivos contratados por acionistas tenderiam a agir em
interesse próprio, focando em seus próprios benefícios (mais poder, salários maiores, estabilidade) em detrimento dos interesses
da empresa, dos acionistas e demais partes interessadas.

Para mitigar o problema e garantir o sucesso da empresa, foi sugerida a adoção de uma série de medidas para o alinhamento
dos interesses dos envolvidos que incluíam entre outras ações:

 
1 2

Monitoramento Controle


3

Divulgação de informações

Essas medidas receberam o nome de governança corporativa. Ao mesmo tempo, houve a necessidade de mudança nas ações
praticadas nas organizações, de forma a atender os ganhos financeiros e também os anseios sociais e ambientais.

Como podemos de nir governança corporativa?


Segundo o Guia das Melhores práticas de Governança corporativa, publicado pelo Instituto Brasileiro de Governança Corporativa
(IBGC):


Governança corporativa é o sistema pelo qual as empresas e demais organizações são
dirigidas, monitoradas e incentivadas, envolvendo os relacionamentos entre sócios,
conselho de administração, diretoria, órgãos de fiscalização e controle e demais partes
interessadas.

De acordo com o IT Governance Institute, governança corporativa é:


Conjunto de responsabilidades e práticas exercidas pela diretoria e pela gerência
executiva com os objetivos de fornecer uma direção estratégica, garantir que as metas
sejam atingidas, certificar-se de que os riscos sejam gerenciados corretamente e garantir
que os recursos da empresa sejam utilizados de modo responsável.

Governança corporativa, portanto, é:


Um conjunto de práticas que envolvem processos, pessoas e ferramentas, que convertem princípios em recomendações
objetivas, alinhado aos interesses da organização, com a finalidade de preservar e otimizar o valor da organização, contribuindo
para sua longevidade.
Princípios da governança corporativa
É importante compreendermos os princípios da boa governança, segundo o IBGC, e que deverão nortear as ações da
organização. Veja a seguir:

Clique nos botões para ver as informações.


Transparência 

Obrigação e desejo de informar resultados e ações.

Equidade 

Tratamento igual para todos os acionistas.

Prestação de contas 

Os agentes da governança corporativa prestam contas e são responsáveis pelos seus atos e omissões.

Responsabilidade corporativa 

Os agentes de governança devem zelar pela sustentabilidade das organizações, visando sua longevidade, incorporando
considerações de ordem social e ambiental na definição dos negócios e operações.
A governança corporativa deve garantir que esses princípios sejam efetivos, seja por sua vontade expressa ou requerida, face ao
ambiente regulatório em que a organização se encontra. Desse modo, as organizações lançam mão de modelos de controle
interno e gestão de risco para garantir essa efetividade.

Dependendo do negócio da organização, existem vários marcos reguladores e que obrigatoriamente devem ser seguidos.

Exemplo

Instituições financeiras e bancos devem atender, entre outras leis e regulamentações, às normas e resoluções do Banco Central
do Brasil, como a Resolução 33801 .

Será que as regulamentações impactam na área de TI?

As regulamentações possuem forte impacto na área de TI e devem fazer parte do modelo de


governança de TI, pois dependendo da natureza da instituição devem ser contempladas pelo
alinhamento estratégico.

Uma das consequências na sua implementação é que a qualidade da informação ganha destaque e importância, tendo em vista
o impacto direto na qualidade dos sistemas automatizados e dos processos organizacionais, considerando que a confiabilidade
dos relatórios financeiros depende diretamente de um ambiente de TI com controles eficientes e efetivos.

A empresa que utiliza as boas práticas de governança corporativa tem como referência:

1 2

Transparência Prestação de contas

3 4

Equidade Responsabilidade corporativa

Para obter sucesso na implementação da governança, o conselho de administração da organização deve exercer seu papel:

Estabelecendo estratégias para a empresa.

Elegendo e destituindo o principal executivo da organização.


Fiscalizando e avaliando o desempenho da gestão.

Escolhendo a auditoria independente.

Para auxiliar as organizações na implementação da governança corporativa, a Organização para a Cooperação e


Desenvolvimento Econômico (OCDE) desenvolveu uma lista de princípios de governança corporativa para promover
periodicamente, em diversos países, mesa de discussão e avaliação dessas práticas.

Outra fonte de inspiração é o Committee of Sponsoring Organizations of Treadway Commission (COSO), uma organização
voluntária do setor privado que se dedica a orientar operações de negócios mais eficazes, eficientes e éticas.

No Brasil, existe o Instituto Brasileiro de Governança


Corporativa (IBGC), organização sem fins lucrativos, principal
referência do Brasil para o desenvolvimento das melhores
práticas de governança corporativa.

Saiba mais

Para saber mais sobre regulamentação de governança, leia o texto “Lei Sarbanes-Oxley (SOX) <galeria/aula1/docs/Lei_Sarbanes-
Oxley(SOX).pdf> ”.

Atividade
1 - A governança corporativa é norteada por diferentes princípios que são seguidos pelas organizações.

Qual é o nome do princípio que trata que todos os acionistas devem ser tratados da mesma forma, com imparcialidade e sem
distinção?

Governança de TI
Segundo o IT Governance Institute, a governança de TI é de responsabilidade dos executivos e diretorias e consiste na liderança,
nos processos e nas estruturas organizacionais que garantem que a TI da empresa apoie e expanda as estratégias e os objetivos
da organização. Para que a governança de TI atue em toda a extensão da organização, é preciso estabelecer os mecanismos de
processo de decisão e o alinhamento estratégico com o negócio da organização.
 Gerentes reunidos em volta de uma mesa com computador | Fonte: Gorodenkoff / Shutterstock

São objetivos da governança de TI:

1 2

Posicionamento da TI Alinhamento e priorização das iniciativas


Promover o posicionamento mais claro e consistente da TI em de TI
relação às demais áreas de negócios da empresa. Promover o alinhamento e a priorização das iniciativas de TI
com a estratégia do negócio.

Alinhamento da arquitetura de TI
Promover o alinhamento da arquitetura de TI, sua
infraestrutura e aplicações às necessidades do negócio, em
termos de presente e futuro.

4 5

Implantação e melhoria dos processos Gestão de risco e de compliance


operacionais Prover a TI da estrutura de processos que possibilite a gestão
Promover a implantação e melhoria dos processos do seu risco e compliance para a continuidade operacional da
operacionais e de gestão necessários para atender aos empresa.
serviços de TI, conforme padrões que satisfaçam as
necessidades do negócio.

Responsabilidade sobre a decisão e ações


de TI
Promover o emprego de regras claras para as
responsabilidades sobre decisões e ações relativas à TI no
âmbito da empresa.
A governança de TI aborda um conjunto de práticas que destinam o gerenciamento, o controle e a qualidade dos processos com
foco em aumento de valor para o negócio e deve ser estruturada de forma que facilite a definição de papéis dos envolvidos e suas
responsabilidades.

A governança de TI deve estabelecer os relacionamentos formais e informais e conferir direitos decisórios a um papel ( CEO2 ),
ou a um grupo de papéis específicos ( CFO, CPO, CIO, entre outros3 ) no lado normativo, e focar na definição de mecanismos,
formalizando relacionamentos e estabelecendo regras e procedimentos operacionais que proporcionarão que os objetivos sejam
atingidos.

Nesse caso, é importante conhecermos o ciclo de governança de TI que é composto por quatro etapas:
Processo decisório de TI

Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online

Um dos objetivos da governança de TI é prover o emprego de regras claras para as responsabilidades sobre decisões e ações
relativas à TI no âmbito organizacional e, nesse sentido, precisamos compreender as questões que envolvem esse processo
decisório que basicamente pretendem responder as seguintes questões:

Quais decisões devem ser tomadas para garantir a gestão e o uso eficaz da TI?
Quem deve tomar estas decisões?
Como essas decisões serão tomadas e monitoradas?

As decisões devem considerar necessariamente os diferentes aspectos que envolvem a área de TI:

Vejamos cada aspecto detalhadamente:


Clique nos botões para ver as informações.
Investimentos de TI 

Devem ser analisadas quais as iniciativas de TI que receberão investimentos financeiros e de quanto será este investimento.
Essa decisão será fundamental para a priorização de investimentos e deve ser institucional, de forma que a alta
administração possa decidir onde colocar o dinheiro, muito provavelmente alinhado aos objetivos e metas do negócio.

Princípios de TI 

Devem ser definidos os princípios de TI da organização, que refletirão um comportamento adequado tanto para os
profissionais quanto para os usuários de TI e devem esclarecer pelo menos três expectativas para a TI na empresa:
• Qual o modelo operacional de TI desejado na organização?
• Como a TI dará suporte ao modelo desejado?
• Como a TI será financiada?

Arquitetura de TI 

Devem ser definidos os requisitos de integração e padronização da tecnologia e de negócio por meio da organização lógica
dos dados, de aplicações e infraestrutura.

Necessidade de aplicações de negócios 

Devem ser especificadas as necessidades de negócio de aplicações de TI, que podem ser adquiridas no mercado ou
desenvolvidas internamente na organização.

Estratégias de infraestrutura de TI 

Devem ser definidos os serviços compartilhados de TI e de suporte, de modo a prover serviços confiáveis para a
organização.

Como acabamos de ver, as decisões de TI devem considerar cada um dos aspectos discutidos acima e o desafio encontrado
pelas organizações é identificar quem deve tomar a decisão nas diferentes situações de governança. Por isso é importante
conhecermos os diferentes arquétipos que identificam o tipo de função envolvida na tomada de decisão de TI:
Monarquia de Negócio Monarquia de TI
Altos executivos de negócio tomam as decisões de TI que A decisão é tomada pelos especialistas de TI.
afetarão toda a empresa.

Feudalismo
Cada unidade de negócio toma decisões independentes.
Duopólio de TI Federalismo
A decisão envolve dois grupos, um deles o de TI e um Combinação entre o centro corporativo e as unidades de
outro grupo da organização. negócio, com ou sem envolvimento do pessoal de TI.

Anarquia
Tomada de decisões individuais ou por pequenos grupos
de modo isolado, com base somente em suas
necessidades locais.

Atividade
2 - Um dos desafios das organizações no processo decisório de TI é identificar quem deve tomar a decisão nas diferentes
situações de governança. Como é o processo decisório no arquétipo denominado Feudalismo?
Framework de governança de TI
Devido ao elevado valor dos investimentos, é muito comum a alta direção das organizações colocar em dúvida o valor dos
investimentos realizados na área de TI. Outro ponto importante é que a falta de controle e de organização na área de TI
proporciona que sejam percebidos pela alta direção:

1 2

Sistemas que necessariamente não aprimoram os processos Investimentos em software e hardware sem o retorno
de negócios esperado

3 4

Aumento de despesas anuais sem justificativa plausível Interrupção das operações

Na maioria das vezes, a solução adotada pela alta direção da organização é de demitir o CIO ou de terceirizar a área, o que
necessariamente não irá solucionar a questão.

É importante a implementação de um framework de governança como forma de proporcionar


a harmonia entre a estratégia da organização da empresa, os arranjos de governança de TI e
as metas de desempenho de negócio.

Weill e Ross (2006) propõem um framework de governança de TI que ajuda as organizações a entender, projetar, comunicar e
sustentar uma governança eficaz. Observe a seguir.
Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online

Alinhamento estratégico da TI com o negócio

O processo de alinhamento estratégico da Tecnologia da Informação procura determinar qual deve ser o alinhamento da TI com
as necessidades presentes e futuras do negócio:

Arquitetura


Infraestrutura


Aplicações

Processos


Organização

É o processo de transformar a estratégia do negócio em estratégias e ações de TI que garante que os objetivos de negócio sejam
apoiados. Com os avanços tecnológicos atuais, esse processo de alinhamento passou a ser bidirecional e a TI também pode
potencializar as estratégias de negócio nas organizações.

O principal produto do processo de alinhamento é o Plano de Tecnologia da Informação,


documento que contém as informações que permitirão que a organização compreenda com
clareza os objetivos, produtos e serviços da área de TI.

Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online


O plano deve apoiar toda a operação da organização, considerando a possibilidade de desenvolvimento de novas soluções caso
seja necessário para o negócio, deve abranger a manutenção de soluções já existentes, dos aplicativos e dos demais ativos de TI,
da implantação e manutenção de soluções de serviços associados ao uso dos ativos e da infraestrutura.

Nesse caso, será importante a definição do portfólio de TI para auxiliar na priorização dos investimentos de TI com base no
alinhamento com os objetivos estratégicos do negócio e facilitar para a organização identificar onde deve investir. Ele também é
utilizado para o monitoramento e o gerenciamento de projetos, serviços, inovações e ativos para estabelecer as regras sobre o
que entra e sai do portfólio ao longo do tempo:

Normalmente, um plano de Tecnologia da Informação é elaborado por um determinado período de tempo e revisado anualmente.
O plano deve contemplar as seguintes informações:

1 2

Princípios de TI Arquitetura de TI

3 4

Infraestrutura de TI Necessidades de aplicações

5 6

Objetivos de desempenho e níveis de serviço e metas Capacidade de atendimento

7 8

Organização das operações de serviços de TI Estratégia para fornecedores de serviços


9 10

Competências requeridas Políticas de segurança da informação

11 12

Investimentos e custeio Roadmap de TI

O alinhamento estratégico ocorre em diferentes momentos na organização:

• Quando a organização se reúne para definir objetivos de negócio de médio e longo prazos e
estabelece estratégias para atingir esses objetivos, produzindo um plano estratégico ou um
plano de negócios que posteriormente é desmembrado em planos táticos e operacionais para
implementação.

• Quando este plano estratégico é realinhado face a novas oportunidades de negócios.

• Quando os próprios clientes demandam por novas soluções.

Atividade
3 - Complete a frase:
O digite a resposta é o processo de transformar a estratégia do negócio em estratégias e ações de TI que garantam que
os objetivos de negócio sejam apoiados pela TI. O digite a resposta é o seu principal produto.

Notas

Resolução 3380 1

A Resolução 3380 determina que instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do
Brasil implementem estrutura de gerenciamento do risco operacional. Nesse caso, o risco operacional é a possibilidade de
ocorrência de perdas resultantes de falha, deficiência ou inadequação de processos internos, pessoas e sistemas, ou de eventos
externos.

CEO 2

Chief Enterprise Officer: Diretor geral ou presidente da empresa.


CFO, CPO, CIO, entre outros 3

CFO - Chief Financial Officer: Diretor financeiro.


CPO - Chief Product Officer: Diretor de produtos.
CIO - Chief Information Officer: Diretor de TI.
COO - Chief Operating Officer: Diretor de operações.
CTO - Chief Technical Officer: Diretor técnico.
CHRO - Chief Human Resources Officer: Diretor de RH.
CMO - Chief Marketing Officer: Diretor de marketing.
CLO - Chief Legal Officer: Diretor jurídico.
CKO - Chief Knowledge Officer: Diretor de conhecimento.

Referências

BANCO CENTRAL DO BRASIL. Resolução 3380 — Dispõe sobre a implementação de estrutura de gerenciamento do risco
operacional. Disponível em: https://www.bcb.gov.br/pre/normativos/res/2006/pdf/res_3380_v2_l.pdf
<https://www.bcb.gov.br/pre/normativos/res/2006/pdf/res_3380_v2_l.pdf> Acesso em: 8 jan. 2019.

INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA (IBGC). Código das melhores práticas de governança corporativa. 5.
ed. Disponível em: http://conhecimento.ibgc.org.br/Paginas/Publicacao.aspx?PubId=21138
<http://conhecimento.ibgc.org.br/Paginas/Publicacao.aspx?PubId=21138> Acesso em: 8 jan. 2019.

______. Disponível em: https://www.ibgc.org.br/ <https://www.ibgc.org.br/> Acesso em: 8 jan. 2019.

FERNANDES, A. A.; ABREU, V. F. Implantando a Governança de TI: da Estratégia à Gestão dos Processos e Serviços. 4. ed. Rio de
Janeiro: Brasport, 2014.

Próxima aula

Gestão de desempenho da TI;

Implementação de controles de TI;

Análise dos riscos e do compliance.

Explore mais

Assista ao filme Os mais espertos da sala <http://www.adorocinema.com/filmes/filme-59325/> , que trata sobre a empresa
Enron, caso que deu origem a Lei SOX.

Leia o texto 4 falhas de governança corporativa <https://cio.com.br/4-falhas-de-governanca-corporativa/> .

Conheça o Portal da Transparência <http://www.portaltransparencia.gov.br/> do Governo Brasileiro.

Conheça o TransparênciaBrasil <https://www.transparencia.org.br/quem-somos#estrutura> .


Disciplina: Governança em Tecnologia da
Informação

Aula 2: Gestão de desempenho em TI


Apresentação

Na aula anterior discutimos os conceitos básicos da governança corporativa e de TI, suas motivações, características e a
necessidade de controlar as ações da organização. Nesta aula, vamos nos aprofundar nos conceitos de controle de TI e em
como os indicadores podem auxiliar e alavancar as ações de governança.

Compreenderemos a importância da implementação de um sistema de medição, confirmando que em uma empresa só é


possível gerenciar aquilo que se mede, só se mede aquilo que se define, e só se define aquilo que se compreende. Por isso,
os indicadores são grandes aliados para a gestão da organização, pois eles medem a diferença entre a situação desejada
pela gestão da organização, a meta e a situação atual, o resultado. Eles apontam o caminho, são um referencial para a
gestão e fornecem uma base objetiva para identificar problemas, definem prioridades e identificam os esforços necessários
para a melhoria da organização.

Analisaremos como a gestão de riscos auxilia a governança de TI e como utilizá-la em uma abordagem de balanceamento
de custos e benefícios das ações de TI, auxiliando a organização na melhoria contínua de seus serviços e resultados. Por
fim, abordaremos o conceito de compliance como uma ferramenta para aferição de conformidade da área de TI a
regulamentos internos e externos.

Objetivos

Identificar a importância da gestão de desempenho da TI;

Estabelecer a importância da implementação de controles e indicadores de TI;

Identificar a importância da análise dos riscos e do compliance.


Gestão de desempenho de TI
Na aula anterior, identificamos as ações que são a base da governança corporativa e que são utilizadas para detectar o
cumprimento dos interesses de todos os envolvidos nas organizações:

 (Fonte: Shutterstock)

Analisamos, também, os princípios básicos da boa governança sendo o IBGC:

Transparência Prestação de contas

Equidade Responsabilidade Corporativa

Entre esses princípios identificamos dois fundamentais e motivadores para a implementação da gestão de desempenho nas
organizações:

Transparência Prestação de contas


Trata da obrigação e do desejo de informar resultados e Trata da prestação de contas e responsabilidade por
ações. partes dos agentes de governança.

Para garantir que esses princípios sejam efetivos, as organizações lançam mão de modelos
de controle interno e gestão de risco.

Vamos falar de controle?


O controle está relacionado diretamente com as demais funções do processo administrativo:

PLANEJAMENTO
 DIREÇÃO
 ORGANIZAÇÃO

Ele fornece feedback, além do estabelecimento de padrões, mensuração de desempenho e correção de desvio, por isso a
importância da sua utilização na melhoria contínua das ações organizacionais.

Avaliação
Mensuração
 Ação empresarial
 dos
resultados
Todas as ações de TI independentemente se são resultados da prestação de serviços, de
planos estratégicos ou de projetos, só podem ser gerenciadas se tiverem medições e
indicadores.

Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online

É possível mensurar qualquer atividade que gere números ou valores para a organização. A grande questão é descobrir quais são
os indicadores mais importantes para o negócio e para a organização de forma a não perder tempo acompanhando os que são
menos relevantes.

Exemplos de controles de TI:

Administrativos e gerenciais

Segurança e privacidadePreparação e captação de dados

Entrada de dados

Processamento

Saída e de emissão de relatórios

Gravação e recuperação de dados

A organização deverá adotar um sistema de medição que definirá o desempenho da empresa, baseado em um conjunto de
indicadores previamente estabelecidos e que atendam à demanda do negócio.

 (Fonte: Shutterstock)

Medir é importante para que se entenda o que está acontecendo na gestão, quais mudanças devem ser feitas e quais foram os
impactos das mudanças já realizadas. Com essas respostas, é possível acompanhar se as metas para a organização estão
sendo alcançadas e medir qual a porcentagem de melhoria ou piora em relação às medições anteriores.
Existem diversos tipos de indicadores, cada qual com uma finalidade. Para definir indicadores que sejam relevantes para a área
de TI, é necessário compreender qual é a função dessa área na organização e seu direcionamento estratégico. Exemplos de
indicadores:

Clique nos botões para ver as informações.


Rentabilidade 

Trata da relação entre o lucro e o investimento de uma empresa medido em percentual.


Exemplo: Na empresa ABC foram investidos R$1.000.000,00. Foi obtido um lucro de R$60.000,00; neste caso, a rentabilidade
foi de 6%.

Capacidade 

Trata da relação entre a quantidade e o tempo de produção de uma determinada organização.


Exemplo: A empresa ABC tem capacidade de produzir 300 produtos Y por mês.

Produtividade 

Trata da relação entre o produto gerado por uma determinada tarefa e o recurso utilizado para sua execução.
Exemplo: Um carpinteiro consegue produzir 30 peças em uma hora e outro profissional, no mesmo período, produz 10
peças.

Lucratividade 

Trata da relação entre o lucro e as vendas totais de uma organização medido em percentual.
Exemplo: A empresa ABC vendeu R$600.000,00 em horas de consultoria e apurou um lucro de R$60.000,00. Portanto a
lucratividade foi de 10%.

Qualidade 

Trata da relação entre todos os itens produzidos de um determinado produto e os itens deste mesmo produto que não
apresentaram defeitos ou inconformidades.
Exemplo: 4.900 peças adequadas a cada 5.000 produzidas (98% de conformidade).

Gestão de desempenho de TI
A gestão do desempenho de TI tem como objetivos:

Entender os motivos da variação positiva ou negativa dos resultados obtidos em comparação com os resultados
1 2
Verificar se o objetivo de TI foi atendido conforme planejado pela organização.
planejados.
Caso os resultados apresentem variação negativa, ações corretivas, preventivas ou de melhorias no processo devem ser
recomendadas, monitoradas e implementadas, e posteriormente monitoradas.

Os resultados de TI são as medições derivadas de toda a prestação de serviços em termos de entrega de projetos e serviços e do
atendimento a planos estratégicos e táticos. Esses resultados podem ser avaliados por meio:

1 2

Da execução e do gerenciamento de processos e serviços de Do gerenciamento dos níveis de serviços.


TI.

Do gerenciamento da estratégia de TI.

1 2

Do gerenciamento de projetos de TI. Do gerenciamento do portfólio de TI.

Para que esses resultados possam ser efetivamente medidos e monitorados, a organização deverá lançar mão da utilização de
indicadores de desempenho.

Indicadores de desempenho
Um indicador de desempenho, também conhecido como KPI (sigla em inglês para Key Performance Indicator) é utilizado para:

Medir e avaliar o desempenho de processos, e gerenciá-los da Medir e avaliar as metas e objetivos previamente estipulados
maneira mais eficaz e eficiente possível. pelas organizações.

Um indicador é uma informação estruturada que permite comparações, inclusive com indicadores de outras organizações. Serve
para comparar a métrica com um valor-base definido previamente (baseline) ou com um resultado esperado.

As funções de um indicador são:


 Fonte: Shutterstock

Mensurar os resultados e gerir o desempenho.

 Fonte: Shutterstock

Embasar a análise crítica dos resultados obtidos e do processo de tomada decisão.

 Fonte: Shutterstock

Contribuir para a melhoria contínua dos processos organizacionais.

 Fonte: Shutterstock

Facilitar o planejamento e o controle do desempenho.

 Fonte: Shutterstock

Viabilizar a análise comparativa do desempenho da organização.

A medição é necessária para confirmar que os esforços dispendidos na melhoria tiveram efeito e, assim, apoiar o sistema de
melhoria contínua da organização.

Os indicadores precisam ser apurados e documentados regularmente. Para que esse controle seja feito, é necessário definir as
diretrizes de controle para cada indicador, ou seja, devem estar presentes na documentação de cada indicador:
Indicador (nome do indicador)

Descrição Fórmula

O que o indicador mede e qual a sua finalidade. Como o indicador é calculado e a unidade de medida (número percentual, valor etc.)

Cada organização deve escolher o conjunto de indicadores relevantes para o seu negócio. Os indicadores de desempenho (KPI)
devem observar as seguintes características:

Refletir os objetivos da empresa como um todo.

Ser utilizados pela gestão da organização para


administrar e tomar decisões, pois têm caráter
estratégico.

Ter alto grau de aderência ao negócio da


organização.

Ter relevância em todos os níveis da empresa.

Ser baseados em dados confiáveis e


mensuráveis.

Ser fáceis de entender (ou pelo menos rápidos


de serem explicados.

Servir como insumo para uma ação ou um plano


de ações.

A organização deverá definir o objetivo estratégico a ser medido. Todos os objetivos estratégicos de uma determinada área da
organização devem ser mensurados individualmente, a partir de indicadores.

Para realizar o monitoramento, a organização poderá criar dashboards de gestão, agrupando os indicadores em diferentes níveis:
Clique nos botões para ver as informações.
Indicadores estratégicos 

São os indicadores primários da organização, que serão acompanhados pela diretoria. O principal propósito é demonstrar
de forma rápida se os objetivos estratégicos estão sendo alcançados.
Exemplo: Faturamento bruto.

Indicadores táticos 

São indicadores secundários, que serão acompanhados pelas gerências de cada departamento. Apesar de não serem
estratégicos, seus resultados devem ser ligados aos resultados dos indicadores estratégicos.
Exemplo: Faturamento por linha de produto ou por canal de vendas.

Indicadores operacionais 

Indicadores que serão acompanhados pelos especialistas de cada área. Esses indicadores têm a função de fornecer mais
detalhes para entendimento dos resultados dos indicadores táticos e estratégicos.
Exemplo: Número de vendedores por canal de vendas.

O monitoramento do desempenho ocorre quando o resultado atingido é comparado com os resultados esperados, normalmente
a intervalos regulares. Esse monitoramento deve responder as seguintes perguntas:

• Qual é o nosso desempenho atual?


• Existem diferenças entre o realizado e o previsto?
• O que está causando desvios?
• Qual é a tendência do desempenho?
• Como estamos em relação a referenciais de mercado (benchmarking)?
• Quais eventos causam variação positiva ou negativa no desempenho?
• Qual é o padrão de desempenho?

A partir desse monitoramento, a organização deverá estabelecer um plano de ação para atingir corrigir os possíveis desvios
encontrados. O plano de ação deve deixar claro tudo o que deverá ser feito para o cumprimento dos objetivos e metas.
Comunicação
A maneira mais eficiente de comunicação do desempenho
organizacional é por meio da criação de dashboard que
permita ao executivo consultar e entender, de forma rápida, o
desempenho da TI.

No dashboard nem todos os indicadores serão estratégicos,


mas todos deverão ter a função de monitorar o desempenho
dos processos atuais ou o andamento em relação aos
objetivos estratégicos da organização. A partir desse
monitoramento, a organização estabelecerá um plano de ação
para atingir e corrigir os possíveis desvios encontrados.

Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online

Saiba mais

Você sabe o que é um Dashboard?


A exibição de relatórios e informações relevantes em uma única tela, permitindo analisar os dados de forma rápida e com maior
facilidade de compreensão. Compreendendo a importância e o significado global de um conjunto de informação com maior
precisão, há a possibilidade de realizar comparações entre os diferentes tipos de gráficos.

Com a visão global dos dados, é possível identificar tendências e relações, levando o gestor a uma percepção mais profunda da
situação, fornecendo uma visão geral do que está acontecendo no ambiente organizacional e permitindo diagnosticar por que
algo ocorreu e sua origem.

Gestão de risco
Você sabe o que é risco?


As organizações de todos os tipos e tamanhos enfrentam influências e fatores internos e
externos que tomam incerto se e quando elas atingirão seus objetivos. O efeito que essa
incerteza tem sobre os objetivos da organização é chamado de risco.”

ABNT NBR ISO 31000:2009 — Gestão de Risco, Princípios e Diretrizes


É qualquer impacto em potencial nos objetivos da empresa causado por um evento não planejado deve ser identificado,
analisado e avaliado.

A organização deve dar uma atenção especial aos riscos de TI, que podem comprometer a operação da organização e gerar
impacto nos negócios. Por isso, deve criar e manter uma estrutura de gestão de risco que documente os riscos de TI, as
estratégias de mitigação e os riscos residuais1 .

Estratégias de mitigação de risco devem ser adotadas para minimizar os riscos residuais a níveis aceitáveis. O resultado da
avaliação deve ser entendido pelas partes interessadas, e expresso em termos financeiros, para permitir que as partes
interessadas alinhem o risco a níveis de tolerância aceitáveis. Entretanto, precisamos considerar que nem sempre o risco
percebido é o risco verdadeiro.

Segundo a norma ISO 31000, o processo de gestão de riscos envolve as seguintes atividades:

A gestão de riscos contempla uma série de atividades relacionadas à forma como uma organização lida com o risco. Cobre todo
o ciclo de vida de tratamento de risco, desde sua identificação até a comunicação às partes envolvidas.

1) A fase de identi cação dos riscos


É o processo de busca, reconhecimento e descrição de riscos. Essa busca pode envolver dados históricos, análises teóricas,
opiniões de pessoas informadas e especialistas, e as necessidades das partes interessadas. Nessa fase é preciso identificar:

Fonte de risco: É um elemento que, individualmente ou combinado, tem o potencial intrínseco para dar origem ao risco.

Evento: Representa a ocorrência ou alteração em um conjunto específico de circunstâncias. Um evento pode consistir em
uma ou mais ocorrências, podendo ter várias causas.

Consequência: É o resultado de um evento que afeta os objetivos. Um evento pode levar a uma série de consequências. Uma
consequência pode ser certa ou incerta e pode ter efeitos positivos ou negativos sobre os objetivos.

• Probabilidade: É a chance de algo acontecer.


• Perfil de risco: É a descrição de um conjunto qualquer de riscos que dizem respeito a toda a organização, parte da organização,
ou referente ao que tiver sido definido.
2) A fase de análise dos riscos
Contempla todos os levantamentos em relação às possibilidades de algum objetivo de TI não se concretizar, as causas do
problema, ameaças, vulnerabilidades, probabilidades e impacto aos quais os ativos estão sujeitos.

3) A fase de avaliação de risco


É o processo de avaliar regularmente a probabilidade e o impacto de todos os riscos identificados, utilizando métodos
qualitativos e quantitativos.

QUALITATIVO QUANTITATIVO
Em vez de usarmos valores numéricos para A métrica é feita por meio de uma metodologia na


estimar os componentes do risco, trabalhamos qual tentamos quantificar em termos numéricos os
com menções mais subjetivas como alto, médio e componentes associados ao risco. O risco é
baixo. O que torna o processo mais rápido. Os representando em termos de possíveis perdas
resultados dependem muito do conhecimento do financeiras.
profissional que atribuiu notas aos componentes
do risco que foram levantados.

Os critérios de risco representam os termos de referência contra a qual o significado de um risco é avaliado. Eles são baseados
nos objetivos organizacionais e no contexto externo e interno, e podem ser derivados de normas, leis, políticas e outros requisitos.

O nível de risco representa a magnitude de um risco, expressa em termos da combinação das consequências e de suas
probabilidades.

A probabilidade e o impacto associado ao risco inerente e residual devem ser determinados individualmente, por categoria, e
com base no portfólio da organização.

Na fase de tratamento dos riscos diferentes ações podem ser implementadas:

1 2

Preventivas Corretivas
Controles que reduzem a probabilidade do risco se concretizar Reduzem o impacto da ocorrência do risco.
ou diminuem o grau do impacto de sua ocorrência.

Detectivas
Disparam medidas reativas, tentando evitar a concretização
do risco.

A comunicação dos riscos identificados pelo processo de gestão de risco deverá ser feita para todas as partes envolvidas no
processo, que precisem ter conhecimento dos riscos, tenham eles sido tratados ou não.

 Fonte: Shutterstock

Aceitar um risco é uma das maneiras de tratá-lo. Ocorre quando o custo de proteção contra
um determinado risco não vale a pena.
Compliance

 Fonte: Shutterstock

Qual a diferença entre ser compliance e estar compliance?

Ser compliance é conhecer as normas da


organização, seguir os procedimentos
Estar em compliance é estar em conformidade com
recomendados, agir em conformidade e sentir o
leis e regulamentos internos e externos.
quanto é fundamental a ética e a idoneidade em
todas as nossas atitudes.

O compliance vai além das barreiras legais e regulamentares, incorporando princípios de integridade e conduta ética.

Diferença entre auditoria e compliance:

AUDITORIA

Realiza seus trabalhos de forma aleatória e temporal, por meio de amostragens, a fim de certificar o cumprimento das
normas e processos instituídos pela Alta Administração.

COMPLIANCE

Realiza suas atividades de forma rotineira e permanente, sendo responsável por monitorar e assegurar de maneira
corporativa e tempestiva que as diversas unidades da Instituição estejam respeitando as regras aplicáveis a cada negócio,
por meio do cumprimento das regulamentações, dos processos internos, da prevenção e do controle de riscos envolvidos em
cada atividade.

• Para que a função de compliance seja eficaz nas organizações, é necessário o comprometimento da alta administração.
• O compliance deve fazer parte da cultura organizacional, contando com o comprometimento de todos os funcionários.
• Todos são responsáveis por compliance.
• Em relação à área de TI, o compliance refere-se à conformidade da área de TI da organização a regulamentos internos e
externos impostos às suas atividades.
Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online

Atividade
1. A digite a resposta tem objetivo verificar se o objetivo de TI foi atendido conforme planejado pela organização e
entender os motivos da variação positiva ou negativa dos resultados obtidos em comparação com os resultados planejados.

2. Os digite a resposta são indicadores primários da organização, que serão acompanhados diretamente pela diretoria e
seu principal propósito é demonstrar de forma rápida se os objetivos digite a resposta estão sendo alcançados.

3. Na avaliação dos riscos existem dois métodos que podem ser aplicados. O método em que trabalhamos com menções mais
subjetivas como alto, médio e baixo, chama-se:

Notas
-

Riscos residuais 1

Riscos que não podem ser completamente eliminados; a porção do risco existente após todas as medidas de tratamento terem
sido tomadas.

Referências

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS (ABNT). NBR ISO 31000:2018. Gestão de riscos — Princípios e diretrizes. São
Paulo: ABNT, 2018.

FERNANDES, A. A.; ABREU, V. F. Implantando a Governança de TI: da Estratégia à Gestão dos Processos e Serviços. 4. ed. Rio de
Janeiro: Brasport, 2014.

FUNDAÇÃO NACIONAL DA QUALIDADE (FNQ). Indicadores de desempenho: estruturação do sistema de indicadores


organizacionais. São Paulo: FNQ, 2014.

PARMENTER, D. Key performance indicators: Developing, Implementing, and Using Winning KPIs. Nova Jersey, Estados Unidos:
Wiley, 2015. 

Próxima aula

Modelo de governança de TI apresentado pela ISO 38500;

Modelo de governança de TI apresentado pelo COBIT;

Diferenças entre os dois modelos.


Explore mais

Assista ao vídeo Gestão por indicadores <https://www.youtube.com/watch?v=v5aGv9iVZlU&t=13s> .

Baixe o ebook gratuito Guia completo para ter uma empresa competitiva <http://www.fnq.org.br/informe-se/publicacoes/e-
books> .
Disciplina: Governança em Tecnologia da
Informação

Aula 3: Governança de TI
Apresentação

Com a velocidade do desenvolvimento de novas tecnologias, da globalização, de novos hábitos tecnológicos, pessoais e
organizacionais, da necessidade de vantagem competitiva e da sustentabilidade das organizações, a TI ganha destaque e
vira ferramenta fundamental para alavancar os negócios das organizações.

Nesse contexto, devemos considerar que os investimentos realizados pelas organizações com a área de tecnologia podem
representar uma proporção significativa dos recursos financeiros e humanos, e, para isso, as empresas necessitam de
métodos e ferramentas que possam orientar suas decisões e o caminho a ser seguido em consonância com as
necessidades de negócio.

Nesta aula, analisaremos duas ferramentas importantes para a implementação da boa governança: A ISO 38500 e o COBIT.
Compreenderemos os modelos de governança de TI apresentado e suas principais diferenças.

Bons estudos!

Objetivos

Explicar o modelo de governança de TI da ISO 38500;

Analisar o modelo de governança de TI do COBIT.


Norma ISO/IEC 38500

O objetivo da norma ISO 38500 é estabelecer um vocabulário comum, definições e princípios


para a Governança de TI, além de oferecer um modelo de estrutura de governança para que
as organizações possam avaliar, direcionar e monitorar o uso da tecnologia da informação.

Como as organizações devem proceder?


Cada organização deverá identificar as ações necessárias para a implementação desses princípios considerando a sua natureza,
os riscos e as oportunidades para a utilização da TI. Assim, a norma ISO 38500 pode ser aplicada a qualquer organização e de
qualquer porte: pública, privada ou organizações sem fins lucrativos.

Como já falamos nas aulas anteriores, atualmente, a TI é uma ferramenta fundamental para alavancar os negócios da
organização e, nesse sentido, as despesas com a TI podem representar uma proporção significativa dos recursos financeiros e
humanos da empresa. Desse modo, será essencial que a organização utilize um método para orientar suas decisões e o caminho
a seguir.

O modelo de governança de TI
A norma 31800 propõe um modelo de Governança de TI em que as organizações sejam governadas por meio de três principais
tarefas:

Garantia do uso eficaz da TI e do atendimento aos objetivos de negócio da organização, por meio da
implementação de estratégias e políticas.

Monitoramento da conformidade das políticas estabelecidas e do desempenho em relação as estratégias


implementadas.

Avaliação do uso atual e futuro da TI.


Um ponto destacado pela norma é quanto à delegação de responsabilidades. Ela deixa claro
que a responsabilidade pelo uso efetivo, eficiente e aceitável da TI é da estrutura de
governança e não pode ser delegada. No entanto, a responsabilidade pelos aspectos
específicos de TI pode ser delegada aos gerentes da organização.

O modelo proposto está baseado em três pilares:

Vamos conhecê-los com mais detalhe:

Clique nos botões para ver as informações.


Avaliar 

As organizações devem continuamente examinar e avaliar o uso atual e futuro da Tecnologia da Informação, considerando
as pressões internas e externas que atuam sobre a empresa, como mudanças tecnológicas, tendências econômicas e
sociais, obrigações regulatórias, de forma a atender os objetivos atuais e futuros da organização, assim como a
manutenção da vantagem competitiva.

Dirigir 

Trata do estabelecimento de responsabilidades e da implementação de estratégias e políticas de TI, e de uma cultura de


governança. As estratégias devem estabelecer a direção a ser seguida e a as políticas devem orientar quanto aos
investimentos, objetivos e comportamentos para utilização da TI.

Monitorar 

Trata da medição do desempenho da TI, que deve estar de acordo com as estratégias estabelecidas, em atendimento aos
objetivos de negócio e em conformidade com as obrigações externas (regulatórias, legislativas e contratuais) e as práticas
internas da organização.
Atividade
1 - A norma ISO 31800 propõe um modelo de governança de TI baseado em três pilares: avaliar, dirigir e monitorar. Analise as
questões a seguir e correlacione as colunas com as definições de cada um dos pilares:

Avaliar 1 Dirigir 2 Monitorar 3

a) Trata da medição do desempenho da TI e que esteja de acordo com as estratégias estabelecidas, os objetivos de negócio e em conformidade com as
obrigações externas e internas da organização.

1 2 3

b) As organizações devem continuamente examinar e avaliar o uso atual e futuro da Tecnologia da Informação, considerando as pressões internas e
externas que atuam sobre a organização.

1 2 3

c) Trata do estabelecimento de responsabilidades e implementação de estratégias e políticas de TI e ainda de uma cultura de governança.

1 2 3

Gabarito

Princípios da governança de TI
Na implementação da boa governança, a norma ISO 38500 define seis princípios para o uso efetivo, eficiente e aceitável de TI e
que devem ser seguidos pelas organizações:

1 2

Responsabilidade Estratégia

Aquisição
1 2

Desempenho Conformidade

Comportamento Humano

Cada princípio trata de uma área específica e tem uma relação direta com os pilares do modelo de governança proposto pela
norma:

Princípio da responsabilidade

Trata do conhecimento e da conscientização por parte dos indivíduos e grupos da organização de suas responsabilidades em
relação ao fornecimento e demanda de TI.

Nas relações com os pilares:

Avaliar Dirigir
A estrutura de governança deve avaliar a competência dos A estrutura de governança deve orientar que a área de TI
responsáveis pelas tomadas de decisões de TI e as preste contas e siga as estratégias já pela organização.
atribuições das responsabilidades em relação ao uso atual e
futuro da TI.

Monitorar
A estrutura de governança deve monitorar o desempenho das
pessoas responsáveis pela governança de TI e também se os
mecanismos apropriados de governança estão estabelecidos.
Princípio da Estratégia

Trata de como a estratégia da organização considera as capacidades de TI atuais e futuras da organização.

Nas relações com os pilares:

Avaliar Dirigir
As organizações devem avaliar e garantir que o uso da TI e As organizações devem garantir a definição de estratégias e
das atividades de TI estejam alinhadas com os objetivos políticas de forma que as organizações se beneficiem com a
organizacionais e baseados em boas práticas. Devem, ainda, utilização da TI, além de fomentar a prospecção e inovação da
avaliar a evolução dos processos de TI e de negócios de forma utilização da tecnologia de forma a melhorar seus processos
a garantir que atendam as necessidades futuras da ou atender a novos desafios.
organização.

Monitorar
As organizações devem monitorar a implementação das
propostas e o uso da TI, de forma a garantir que atendam aos
objetivos propostos.

Princípio da Aquisição

Trata das aquisições de TI e do equilíbrio adequado entre benefícios, oportunidades, custos e riscos, em curto e longo prazo. As
aquisições devem ser realizadas baseadas em análise apropriadas.

Nas relações com os pilares:


Avaliar Dirigir
A estrutura de governança deve avaliar as opções A estrutura de governança da organização deve garantir que
tecnológicas, considerando a relação custo-benefício, de os ativos de TI sejam adquiridos dentro da capacidade
forma a atender as propostas já aprovadas. necessária aos negócios das organizações.

Monitorar
A ideia é um olhar sobre os investimentos realizados em TI, de
forma a garantir que forneçam as capacidades necessárias.

Princípio do Desempenho

Trata da adequação dos serviços fornecidos pela TI, os níveis de serviço e a qualidade destes serviços de forma a atender aos
requisitos atuais e futuros da organização.

Nas relações com os pilares:


Avaliar Dirigir
A estrutura de governança deve avaliar os planos de TI de As estruturas de governança da organização devem garantir
forma a garantir que os processos de negócio sejam que os recursos de TI sejam suficientes para garantir que a
realmente apoiados pela TI, considerando a continuidade de necessidade da organização seja atendida.
negócio e os riscos de TI envolvidos.

Monitorar
A estrutura de governança deve monitorar se os recursos e
orçamentos utilizados pela área de TI são suficientes e foram
priorizados de acordo com os objetivos de negócio da
organização e se as políticas de TI são seguidas
adequadamente.

Princípio da Conformidade

Trata do atendimento do uso da TI às leis e aos regulamentos obrigatórios.

Nas relações com os pilares:


Avaliar Dirigir
A estrutura de governança deve avaliar se a TI está atendendo Deve garantir que sejam estabelecidos mecanismos regulares
as regulamentações (legislativas e contratuais), políticas e para garantir que a utilização da TI atenda as
normas internas. regulamentações externas e norma internas da organização,
assim como deve ter preocupação com o comportamento e
desenvolvimento profissional dos profissionais da TI e seu
comportamento ético.

Monitorar
Deve garantir a satisfação da organização em relação a TI e
sua conformidade através da relatórios e práticas de
auditorias.

Princípio do Comportamento humano

Trata de como as políticas, práticas e decisões de TI demonstram respeito pelo comportamento humano.

Nas relações com os pilares:


Avaliar Dirigir
A estrutura de governança deve garantir que os Deve garantir que os riscos, oportunidades e problemas
comportamentos humanos das atividades de TI sejam possam ser identificados e relatados por qualquer pessoa e
identificados e considerados. tratados a qualquer momento pelos decisores responsáveis.

Monitorar
Deve monitorar as práticas de trabalho da TI de forma a
garantir que sejam condizentes com o seu uso adequado.

Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online


Atividade
2 - Na implementação da boa governança, a norma ISO 38500 define seis princípios para o uso efetivo, eficiente e aceitável de TI
e que devem ser seguidos pelas organizações. Cada princípio trata de uma área específica e tem uma relação direta com os
pilares do modelo de governança proposto pela norma.

Avalie o pilar a seguir e marque o princípio a que ele corresponde: “Com o pilar avaliar, a estrutura de governança deve avaliar se a
TI está atendendo as regulamentações (legislativas e contratuais), políticas e normas internas.”

a) Responsabilidade
b) Estratégia
c) Aquisição
d) Desempenho
e) Conformidade

Cobit

O Cobit (Control Objectives for Information and related Technology) fornece um modelo que
auxilia as organizações a atingirem seus objetivos de governança e gestão de TI.

As organizações criam valor por meio da TI, considerando os benefícios, os riscos e os recursos utilizados. Pela norma ISO
38500, o Cobit pode ser aplicado a qualquer organização, de qualquer porte, pública, privada ou organizações sem fins lucrativos.

Ele foi criado em 1994, pela ISACF281 , a partir do seu conjunto inicial de objetivos de controle e vem, desde então, evoluindo
com a incorporação de padrões internacionais técnicos, profissionais, regulatórios e específicos para processos de TI.

Princípios do Cobit
O Cobit baseia-se em cinco princípios para a implementação da boa governança e gestão de TI nas organizações:
Vamos conhecer cada princípio com mais detalhe a seguir.

1º Princípio: Atender a necessidades das partes interessadas

Consiste no atendimento das partes interessadas, por meio da criação de valor como um
objetivo de governança, considerando a otimização do risco e avaliando a relação de custo-
benefício.

Esse princípio baseia-se no processo:

 Objetivos da Governança: Criação de Valor

Nesse processo, a governança negocia sobre a avaliação dos recursos, benefícios e riscos, e decide entre interesses de valor das
diferentes partes interessadas. Desse modo, as necessidades das partes interessadas devem ser transformadas em uma
estratégia exequível pela organização.

Em relação às necessidades das partes interessadas, temos:


Saiba mais

Para saber mais sobre esse assunto, leia o texto “Necessidades das partes interessadas <galeria/aula3/docs/necessidades.pdf>
”.

2º Princípio: Cobrir a organização de ponta a ponta

No modelo ofertado pelo Cobit, a governança de TI é integrada à governança corporativa, e a


governança e a gestão da informação e da tecnologia são abordadas sob a ótica de toda a
organização. Desse modo, ele abrange todas as funções e processos necessários para
regular e controlar as informações da organização e tecnologias de TI onde quer que essas
informações possam ser processadas.

Esse princípio baseia-se no processo:

 Objetivos da Governança: Criação de Valor

Nesse processo, as organizações podem definir diferentes visões para a aplicação da governança. Lá, poderá ser aplicada a toda
a organização, uma entidade, um ativo tangível ou intangível. Por isso, será essencial que a organização defina bem o escopo de
governança.

É importante também a definição de quem está envolvido na governança, como estão envolvidos, o que fazem e como interagem
dentro do escopo de governança definido. Desse modo, é essencial a definição clara de funções, atividades e relacionamento:
3º princípio: Aplicar um modelo único integrado

O Cobit pode ser utilizado como o principal integrador do modelo de governança e gestão,
considerando que ele consegue se alinhar com eficiência a outros padrões, modelos e
práticas, permitindo a construção de uma arquitetura robusta de governança com uma
linguagem comum, não técnica, agnóstico-tecnológica.

No desenvolvimento do Cobit foi considerada uma série de padrões e modelos de referência, amplamente utilizados e
amadurecidos.

Saiba mais

Leia o artigo “As vantagens de um negócio agnóstico <http://blogs.pme.estadao.com.br/blog-do-empreendedor/as-vantagens-


de-um-negocio-agnostico/> ”.

4º Princípio: Permitir uma abordagem holística


O COBIT descreve sete categorias de habilitadores que podem influenciar se algo irá funcionar ou não dentro do modelo
proposto:

Para que possam ter sucesso na implementação da boa governança e atingir os principais objetivos corporativos, é importante
que esses habilitadores trabalhem de forma interligada, pois:
1 2

Os princípios, as políticas e os modelos orientam de forma Os processos descrevem de forma organizada as práticas e
prática o comportamento desejado na gestão diária. atividades para que a organização possa atingir o objetivo
desejado.

As estruturas organizacionais permitem a tomada de decisão


na organização.

Alguns desses habilitadores também são recursos da organização e, desse modo, devem ser gerenciados:

A informação, que perpassa por toda a organização. Os serviços de infraestrutura e aplicativos.

As pessoas, habilidades e competências.

Cada habilitador descrito é desdobrado em quatro dimensões:


Vamos conhecer cada dimensão com mais detalhe:
Clique nos botões para ver as informações.
Ciclo de vida 

Cada habilitador tem um ciclo de vida que apresenta as seguintes fases:


• Planejar
• Projetar
• Desenvolver
• Usar/operar
• Avaliar/monitorar
• Atualizar/descartar

Boas práticas 

As boas práticas apoiam o atingimento das metas de cada habilitador. Elas sugerem formas de como implementar o
habilitador da melhor forma possível, seus possíveis produtos, entradas e saídas.

Partes interessadas 

Cada habilitador tem partes interessadas que podem ser internas à organização ou externas e todas possuem seus próprios
interesses e necessidades.

Metas 

Cada habilitador tem diversas metas e, ao atingir suas metas, criam valor para a organização. Estas metas podem ser:
resultados esperados ou aplicativo ou operação do próprio habilitador.

Como sabemos se nossos resultados são positivos ou não?

Segundo o Cobit, as seguintes perguntas devem ser respondidas para que possamos controlar o desempenho dos
habilitadores:

As necessidades das partes interessadas foram consideradas?

As metas do habilitador foram atingidas?

O ciclo da vida do habilitador é controlado?

Boas práticas foram aplicadas?


5º Princípio: Distinguir a governança da gestão
O Cobit faz distinção entre a governança e gestão, já que essas disciplinas possuem atividades diferentes e requerem estruturas
organizacionais distintas:

Governança Gestão
Garante que as necessidades das partes interessadas Responsável pelo planejamento, desenvolvimento,
sejam desdobradas em objetivos corporativos acordados execução e monitoramento das atividades em
e priorizados, monitorando o desempenho e a consonância com os objetivos corporativos já definidos.
conformidade com os objetivos estabelecidos.

No Cobit não existe uma forma rígida para a implementação dos dois conceitos. As organizações podem decidir e organizar seus
processos de governança e gestão da forma que julgarem melhor, de modo que todos os objetivos de governança e gestão sejam
cobertos.

Para auxiliar as organizações na implementação, o Cobit apresenta um modelo de referência dividido em dois domínios de
processos principais, governança e gestão. O domínio de governança possui cinco processos e o domínio de gestão é dividido
em quatro domínios e subdivididos em 32 processos:

Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online


Observe que:
Clique nos botões para ver as informações.
Alinhar, Planejar e Organizar (APO) 

Tem abrangência estratégica e tática. Envolve planejamento, comunicação e gerenciamento. Identifica como a TI pode
melhorar os objetivos de negócio.

Construir, Adquirir e Implementar (BAI) 

Trata do desenvolvimento e/ou aquisição de soluções de TI para executar a estratégia de TI estabelecida, assim como a
implementação e integração junto aos processos de negócio.

Entregar, Reparar e Suportar (DSS) 

Trata da entrega propriamente dita dos serviços requeridos, incluindo gerenciamento de segurança e continuidade, reparo
de equipamentos e demais itens relacionados, suporte aos serviços para os usuários, gestão dos dados e da infraestrutura
operacional.

Monitorar, Avaliar e Medir (MEA) 

Trata da qualidade dos processos de TI e sua governança e também da conformidade com os objetivos de controle internos
ou externos à organização.

Saiba mais

Para saber mais sobre esse assunto, leia o texto “Processos de TI <galeria/aula3/docs/processos.pdf> ”.
Modelo de capacidade de processo

Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online

O Cobit, em sua versão 5, apresenta um modelo de capacidade de processo baseado na ISO 15504 e reconhecido
internacionalmente. Ele oferece às organizações meios de medir o desempenho de qualquer um dos processos de governança ou
gestão e, desse modo, permitirá identificar as áreas que precisam sem melhoradas. Neste modelo, um processo pode atingir até
seis níveis de capacidade:

Nível 0
O processo não foi implementado ou não atingiu seu objetivo. Não existem evidências.

Nível 1
O processo atinge seu objetivo, pelo menos um atributo do processo.

Nível 2
O processo é implementado de forma administrativa, isto é, planejado, monitorado e ajustado.

Nível 3
O processo é implementado utilizando um processo definido capaz de atingir resultados.

Nível 4
O processo é implementado utilizando um processo definido capaz de atingir resultados dentro dos limites definidos.

Nível 5
O processo é continuamente melhorado com o objetivo de atingir os objetivos corporativos atuais ou previstos.
Atividade
3 - O Cobit apresenta um modelo de referência dividido em dois domínios de processos principais, governança e gestão. O
domínio de gestão possui quatro domínios, listados a seguir. Faça a correlação entre as colunas:

Alinhar, Planejar e Organizar (APO) 1 Construir, Adquirir e Implementar (BAI) 2

Entregar, Reparar e Suportar (DSS) 3 Monitorar, Avaliar e Medir (MEA) 4

a) Trata do desenvolvimento e/ou aquisição de soluções de TI para c) Tem abrangência estratégica e tática. Envolve planejamento,
executar a estratégia de TI estabelecida, assim como a implementação e comunicação e gerenciamento. Identifica como a TI pode melhorar os
integração junto aos processos de negócio. objetivos de negócio.

1 2 3 4 1 2 3 4

b) Trata da qualidade dos processos de TI e sua governança e também da d) Trata da entrega propriamente dita dos serviços requeridos, incluindo
conformidade com os objetivos de controle sejam internos ou externos à gerenciamento de segurança e continuidade, reparo de equipamentos e
organização. demais itens relacionados, suporte aos serviços para os usuários, gestão
dos dados e da infraestrutura operacional.
1 2 3 4
1 2 3 4

Gabarito

4 - O Cobit, em sua versão 5, apresenta um modelo de capacidade de processo, de modo a permitir que as organizações possam
medir o desempenho de qualquer um dos processos de governança ou gestão. Qual o nível de capacidade em que o processo é
implementado utilizando um processo definido capaz de atingir resultados dentro dos limites definidos?

a) Nível 1 - Processo executado


b) Nível 2 – Processo gerenciado
c) Nível 3 – Processo estabelecido
d) Nível 4 – Processo previsível
e) Nível 5 – Processo otimizado

Notas

ISACF28 1

Information Systems Audit and Control Foundation, ligado à ISACA — Information Systems Audit and Control Association.

Referências

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 38500:2018. São Paulo: ABNT, 2018.
FERNANDES, A. A.; ABREU, V. F. Implantando a Governança de TI: da Estratégia à Gestão dos Processos e Serviços. 4. ed. Rio de
Janeiro: Brasport, 2014.
ISACA. Cobit 5 - Modelo Corporativo para a Governança e gestão de TI da Organização. Ilinois, Estados Unidos: ISACA, 2012.

Próxima aula

Conceitos e princípios do TOGAF;

Visão geral de análise de negócios a partir do Guia para o Corpo de Conhecimento de Análise de Negócios (BABOK);

Visão geral do gerenciamento de processos de negócio a partir do Guia para o Gerenciamento de Processos de Negócio -
Corpo Comum de Conhecimento (BPM CBOK).

Explore mais

Assista ao vídeo:

Balanced Score Card (BSC) <https://www.youtube.com/watch?v=R9Y3R4tuKzc> ;


Disciplina: Governança em Tecnologia da
Informação

Aula 4: Arquitetura de TI, gestão de processo e de


negócio
Apresentação

Com os avanços tecnológicos e consequente escalada dos custos de TI, é inevitável que as organizações tenham interesse
na racionalização de seus investimentos. As áreas de TI sofrem com a necessidade de atendimento a prazos curtos bem
como com as cobranças em relação à transparência e efetividade dos investimentos e de suas ações.  

A TI necessita de um realinhamento do ponto de vista de processos, métodos, serviços e controles para atender a crescente
demanda por inovação e serviços de alto valor agregado e com máxima prontidão e escalabilidade.

As organizações estão investindo na implementação de uma arquitetura corporativa, na análise de negócio e de processo
para otimizar seus custos operacionais e tecnológicos, reduzir os custos de desenvolvimento e ter uma operação de TI mais
eficiente.

Bons estudos!

Objetivos

Definir os conceitos e princípios do TOGAF;

Enunciar uma visão geral de análise de negócios por meio do Guia para o Corpo de Conhecimento de Análise de
Negócios (BABOK);

Estabelecer uma visão geral do gerenciamento de processos de negócio por meio do Guia para o Gerenciamento de
Processos de Negócio — Corpo Comum de Conhecimento (BPM CBOK).
TOGAF
O modelo foi desenvolvido por The Open Group, um consórcio global que permite a realização de objetivos de negócios por meio
de padrões de tecnologia.

 Gerenciamento em tecnologia da informação | Fonte: ESB Professional / Shutterstock

A empresa The Open Group trabalha com:

1 2

Clientes (compradores) fornecedores

3 4

consórcios Outros organismos padronizadores

Qual o seu papel?

1 Capturar, entender e tratar requisitos atuais e emergentes.

2 Estabelecer políticas e compartilhar melhores práticas para facilitar a interoperabilidade.

Desenvolver consenso e evoluir e integrar especificações de tecnologias open source e operar certificações, incluindo
3 certificação UNIX.
Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online

Evolução do TOGAF

O modelo é aplicado para o projeto e a implementação de arquiteturas de negócio, de sistemas de informação e de tecnologia.

 
Essas arquiteturas podem ser projetadas e implementadas a partir da arquitetura base do TOGAF (The Open Group Architecture
Framework) ou de outros padrões da indústria, de fornecedores e de ativos de arquitetura que a empresa já possua, como COBIT,
CMMI, ITIL, entre outros, relativos a processos de TI.
Documentação

Parte I – Introdução
Fornece uma introdução de alto nível dos principais conceitos da arquitetura corporativa. Contém as definições de
termos usados em todo o padrão.

Parte II – Método de desenvolvimento de arquitetura


É o núcleo do framework TOGAF, descreve o método passo a passo para o desenvolvimento de uma arquitetura
corporativa.

Parte III – Diretrizes e técnicas do TOGAF ADM


Contém uma coleção de diretrizes e técnicas disponíveis para uso na aplicação da abordagem do TOGAF e do TOGAF
ADM. Diretrizes e técnicas adicionais também estão na biblioteca do TOGAF.

Parte IV – Framework de conteúdo de arquitetura


Descreve a estrutura de conteúdo do TOGAF, incluindo um metamodelo estruturado para artefatos de arquitetura, o uso
de blocos de construção de arquitetura reutilizáveis (ABBs) e uma visão geral dos produtos de arquitetura.

Parte V – Enterprise continuum and tools


Discute taxonomias e ferramentas apropriadas para categorizar e armazenar os resultados da atividade de arquitetura
dentro de uma organização.

Parte VI – Framework de capacidade de arquitetura


Discute a organização, processos, habilidades, funções e responsabilidades necessárias para estabelecer e operar uma
prática de arquitetura dentro de uma empresa.

O modelo
O padrão TOGAF pode ser utilizado pelas organizações para o desenvolvimento de uma arquitetura corporativa que atenda às
necessidades diferentes organizações.

Observe a estrutura:
 Fonte: MegaSoft <http://www.megasoft.com.eg/togaf> .

Observe que a parte Central do TOGAF é o Architecture Development Method (ADM), documentado na Parte II do padrão. A
capacidade de arquitetura (documentada na Parte VI do padrão) opera o método.

 
O método é apoiado por várias diretrizes e técnicas (documentadas na Parte III do padrão e na Biblioteca TOGAF). Isso produz
conteúdo a ser armazenado no repositório (documentado na Parte IV do padrão), que é classificado de acordo com o Enterprise
Continuum (documentado na Parte V do padrão).

O repositório pode ser inicialmente preenchido com os modelos de referência do TOGAF e outros materiais de referência
(documentados na Biblioteca do TOGAF).

Atividade
1 - Complete a frase: Modelo que é utilizado para o projeto e a implementação de arquiteturas de negócio, de sistemas de
informação e de tecnologia digite a resposta .

Architecture Development Method (ADM)


A parte principal do padrão TOGAF é o método — o Architecture Development Method
(ADM) que trata do desenvolvimento de uma arquitetura corporativa que atenda às
necessidades do negócio.

 Desenho de arquitetura da área de Tecnologia da Informação | Fonte: Ohmega1982 / Shutterstock

O ADM descreve como derivar uma arquitetura corporativa especí ca da organização que
trata dos requisitos de negócios. O ADM é o principal componente do framework TOGAF e
fornece orientação para arquitetos em vários graus:

Para fases de desenvolvimento de arquitetura (arquitetura de negócios, arquiteturas de sistemas de informações,

1 arquitetura de tecnologia) em um ciclo, como um modelo de processo geral para a atividade de desenvolvimento de
arquitetura.

Uma definição da estrutura e das entregas do conteúdo da arquitetura (uma descrição detalhada das entradas de fase e
2 saídas de fase é fornecida no Architecture Content Framework).
Abrange o desenvolvimento de quatro tipos de arquitetura subconjunto de uma arquitetura corporativa geral:

Empresarial Dados
Estratégia de negócios, governança, organização e Fornece um modelo de estrutura dos recursos de dados
principais processos de negócios. lógicos e físicos e recursos de gerenciamento de dados de
uma organização.

Aplicação Tecnologia
Fornece um modelo para os aplicativos individuais a Descreve os recursos de software básico e hardware
serem implantados, suas interações e seus necessários para apoiar a implantação de serviços de
relacionamentos com os principais processos de negócios negócios, dados e aplicativos. Isso inclui infraestrutura de
da organização. TI, middleware, redes, comunicações, processamento e
padrões.

Benefícios na sua implementação


Existe uma série de benéficos na adoção do modelo, segundo o The Open Group e, entre eles, podemos destacar:

Redução de custos de desenvolvimento.

Operação mais e ciente de TI.

Melhoria da interoperabilidade.

Maior portabilidade das aplicações.

Modularidade da infraestrutura de TI.

Reaproveitamento de componentes de sistemas.

Saiba mais

Assista ao vídeo TOGAF 9.2 – o que tem de novo? <https://www.youtube.com/watch?v=zMdZoXBmUyY&t=41s>


Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online

Análise de negócio
Segundo o guia do BABOK, publicado pelo Instituto Internacional de Análise de Negócios (IIBA), a análise de negócio é a prática de
viabilizar mudanças nas organizações por meio do conhecimento e entendimento das necessidades dos usuários e
recomendações de soluções que agreguem valor para as partes interessadas. Ela pode ser realizada a partir de diferentes visões
e cenários organizacionais:

O analista de negócios é o responsável por esclarecer as necessidades reais das partes interessadas, e não simplesmente suas
expectativas, e pode atuar como facilitador entre as unidades de negócio e a TI.

As organizações que utilizam o BABOK conseguem obter os seguintes benefícios com sua utilização:

Ser mais e ciente e e caz no processo de análise de negócio.

Ser mais assertivo na identi cação dos problemas.


Analista de negócio
O analista de negócio é qualquer pessoa que possa executar tarefas de análise de negócio na organização e não precisa
necessariamente ser um profissional da área de TI.

Imagem por mohamed_hassan na Pixabay

Não existe um cargo ou função organizacional predefinida e, geralmente, alguns cargos desempenham esse papel:
Qual é a responsabilidade dos analistas de negócio?

É de responsabilidade dos analistas de negócio a descoberta, síntese e análise das


informações, por meio da elicitação1 das necessidades das partes interessadas, o
estabelecimento das suas expectativas, a fim de determinar as causas para desenvolver
uma solução, fazer o design da solução de forma que agregue valor às partes interessadas e,
consequentemente, à organização.

Elicitação1

É a criação de sistema solicitado pelo cliente.

Ação ou efeito de elicitar, de fazer sair, de expulsar; eliciação.

Obtenção de informações detalhadas sobre o que se pretende fazer.

Estímulo que desencadeia comportamentos típicos.

Ato de provocar uma resposta ou reação em algo ou alguém.


DISPONÍVEL EM: https://www.dicio.com.br/elicitacao/ <https://www.dicio.com.br/elicitacao/>

Atividade
2 - Complete a frase: digite a resposta é a prática de viabilizar mudanças nas organizações por meio do conhecimento
e entendimento das necessidades dos usuários e recomendações de soluções que agreguem valor para as partes interessadas.
Ela pode ser realizada a partir de diferentes visões e cenários organizacionais.

O guia BABOK

O principal objetivo do guia para o BABOK é servir de orientação para os profissionais


e envolvidos em análise de negócio.

Ele contém atividades, técnicas e ferramentas para profissionais de análise de negócios utilizarem em seu dia a dia. O guia não
diz como fazer a análise de negócio, mas orienta os profissionais da área sobre o que precisa ser feito, propiciando um maior
grau de padronização na forma como os produtos dos projetos são concebidos e seus requisitos são especificados, alocados
aos componentes do produto e avaliados quanto ao seu atingimento ou não.

O BABOK apresenta um conteúdo central que é composto de tarefas de análise de negócio organizadas em:
Cada área de conhecimento descreve uma coleção de tarefas relacionadas logicamente, mas não sequencialmente. As seis áreas
de conhecimento são divididas em:

Fonte: Babok 3.0

Onde

1 2

Planejamento e monitoramento da análise de negócio Elicitação e colaboração

Gestão do ciclo de vida dos requisitos

4 5

Análise de estratégia Análise de requisitos e definição de design

Avaliação de solução
Saiba mais

Para conhecer cada área, leia o texto“Competências fundamentais do BABOK”. <galeria/aula4/docs/BABOK.pdf>

Competências fundamentais
O capítulo de técnicas Fundamentais descreve as características, comportamentos, habilidades, qualidade e conhecimentos
pessoais do analista de negócio. Observe:

Modelo conceitual central de análise de negócio (BACCM)


Na descrição do modelo conceitual (BACCM), é apresentado um framework conceitual para o analista de negócio aplicar as
práticas de análise de negócio. Ele descreve a profissão do analista de negócio, estabelece uma terminologia comum e o domínio
da análise de negócio.

 
São identificados seis elementos principais que devem ser considerados em toda a iniciativa que envolva a análise de negócios:
Vamos conhecer cada elemento:

1 2

Necessidade Partes interessadas


Uma oportunidade ou um problema que a organização deseja Pessoas da organização que têm necessidades que precisam
aproveitar ou resolver. Uma necessidade de negócio precisa ser satisfeitas com a solução.
ser claramente compreendida.

3 4

Contexto Solução
Conjunto de elementos relevantes que devem ser Tudo aquilo que satisfaz as necessidades das partes
considerados em uma análise de negócio, pois será onde interessadas em um contexto.
ocorrerá a mudança.

5 6

Valor Mudança
Conjunto de benefícios entregues pela solução desenvolvida. Modificação controlada que ocorre nas operações do negócio
em função de uma necessidade.
Técnicas referenciadas
Esta área de conhecimento apresenta um conjunto de aproximadamente 50 técnicas aplicáveis a uma ou mais tarefas dentro
das áreas de conhecimento já apresentadas.

Exemplos de algumas técnicas:

Definição de critérios de aceite e avaliação; Análise de decisão;

Benchmarking; Análise de documento;

Brainstorming; Estimativa;

Análise de regras de negócio; Grupos focais;

Dicionário de dados e glossário; Análise de interface;

Diagrama de fluxo de dados (DFD); Entrevistas;

Decomposição funcional; Mapas mentais;

Modelagem de dados/classes; Prototipagens.

Perspectivas de análise de negócio


O BABOK discute diferentes perspectivas em que o analista de negócio, por meio de diferentes visões, poderá desempenhar melhor
seu trabalho:
Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online

Você sabe o que é BPM CBOK?

É um Guia para o Corpo Comum de Conhecimentos sobre BPM, que tem como finalidade
principal fornecer uma visão geral das áreas de conhecimento necessárias para a prática de
BPM.

Oferece, também, um glossário de terminologia sobre o assunto, de modo a auxiliar os profissionais da área. Sua publicação teve
como motivação o vasto conhecimento já publicado sobre o assunto e a necessidade de padronização. O guia está organizado
em nove áreas de conhecimento divididas em duas perspectivas:
Vamos conhecer cada área de conhecimento da perspectiva de Processo:
Clique nos botões para ver as informações.
Gerenciamento de processos de negócios 

Nesta área de conhecimento são abordados os conceitos de BPM, definições-chave, tipos de processo, componentes de
um processo, seu ciclo de vida e ainda as bases para explorar as demais áreas de conhecimento.
 
São definidos os conceitos de negócio, o que é processo, o que é BPM, quais os tipos de processos, como é o ciclo de vida
proposto e, ainda, o estabelecimento da diferença entre BPM — que é uma disciplina de gestão —, e BPMS — que trata de
tecnologia.

 
Segundo o guia BPM CBOK, o temo negócio refere-se a pessoas que interagem para executar um conjunto de atividades de
entrega de valor para a organização e gerar retorno de investimento.

Saiba mais

Para saber mais sobre esse assunto, leia o texto “Gerenciamento de processos de negócios
<galeria/aula4/docs/Gerenciamento.pdf> ”.

Modelagem de processos 

Esta área de conhecimento fornece uma visão geral sobre a modelagem de processos, os benefícios de sua implementação
e a habilitação de indivíduos para empreender, comunicar, medir e gerenciar os componentes primários de processos de
negócio.

São discutidas técnicas, atividades correspondentes, padrões e ferramentas para a realização da modelagem. Os modelos
de processos são representações simplificadas de uma atividade ou de um conjunto de atividades de negócio e servem
para documentar os diversos aspectos de um processo de negócio, criando uma representação detalhada dos processos de
negócios e sobre seu funcionamento.

O CBOK apresenta uma rápida descrição das principais notações de modelagem de processo. Entre elas, podemos destacar
a notação BPMN (Bussiness process Model and Notation) desenvolvida pelo Object Management Group.

Você sabe o que é uma notação de processo? 

É um conjunto padronizado de símbolos e regras que determinam o significado desses símbolos.

Análise de processos 

Esta área de conhecimento envolve a compreensão dos processos de negócio e sua eficiência e eficácia.
 
As atividades compreendem decomposição de processos e utilização de técnicas analíticas e podem ser conduzidas
através de vários níveis, desde uma visão resumida da organização, até uma visão detalhada de passos no nível da
execução.  

No nível conceitual, é uma poderosa ferramenta visual para identificar processos desconectados da organização e utilizar
esta análise para repensar processos e priorizar ações no nível estratégico. Já no nível tático, é muito útil para padronização
de execução e trabalho e melhoria do desempenho e criação de uma rotina mais eficiente.
Desenho de processos 

Esta área de conhecimento trata da concepção de novos processos e a especificação de como funcionarão, serão medidos,
controlados e gerenciados.

O desenho de um processo trata do impacto que a mudança deste processo (TO BE) trará no atingimento de metas e
estratégias organizacionais.

Serão discutidos planos e diretrizes sobre fluxo de trabalho, plataforma tecnológicas, aplicações de negócio, controle
financeiro e boas práticas de desenho de processo, simulação e outras técnicas e padrões comuns ao desenho de processo.

A ideia da discussão desta área de conhecimento não é estabelecer uma metodologia, mas, sim, ajudar aos analistas de
processo na compreensão de uma abordagem técnica.

Gerenciamento de desempenho de processos 

Esta área de conhecimento envolve simultaneamente a compreensão sobre o que medir e de como medir. Trata do
monitoramento formal e planejado da execução e do desempenho de processos com o objetivo de verificar a eficácia e a
eficiência dos processos organizacionais.

Esse gerenciamento ocorre tanto no fluxo de processos quanto no fluxo de trabalho. O objetivo é identificar atrasos e
realinhar o trabalho.

A informação coletada nesta área de conhecimento é utilizada para comparar o desempenho real com as metas definidas
para os processos e tomar decisões necessárias para realinhar, melhorar ou descontinuar o processo.

Transformação de processos 

Esta área de conhecimento trata sobre as mudanças em processos. O objetivo é encontrar a melhor maneira do processo
realizar seu trabalho.

São discutidas diferentes abordagens de melhoria, redesenho, reengenharia e mudança de paradigma do processo.

Essa melhoria pode representar muitas vezes a introdução de um novo equipamento ou tecnologia da informação, novas
abordagens de negócio ou novas capacidades.

Normalmente, a transformação de processos é difícil de implementar, já que requer uma investigação quanto à sua
viabilidade ou não. Também é discutido o tema relacionado a gestão de mudança muito pertinente neste contexto.
Tecnologias BPM 

Esta área de conhecimento discute sobre as tecnologias de apoio a modelagem, análise, desenho, execução e
monitoramento de processos.

A estratégia de negócio das organizações deve determinar o tipo de tecnologia a ser implementada, necessária para traduzir
a visão estratégica das organizações em operações de negócio.

São abordados temas relacionados a sistemas, arquiteturas e tecnologia, de modo a facilitar a implementação de BPM nas
organizações.

Saiba mais

Para saber mais sobre esse assunto, leia o texto “Tecnologias BPM <galeria/aula4/docs/BPM.pdf> ”.

Processos do CBOK sobre visão organizacional

A seguir vamos conhecer as etapas do processo de CBOK sob a perspectiva


organizacional:

01 - Organização do gerenciamento de processos


Esta área de conhecimento apresenta uma estrutura organizacional, papéis e responsabilidades de modo a dar suporte às
organizações orientadas a processo. São discutidos os conceitos de uma organização orientada a processo, a importância da
governança de processos e os conceitos de escritório de processo.

02 - Gerenciamento corporativo de processos


Esta área de conhecimento trata dos requisitos de gerenciamento corporativo de processos, apresenta um modelo de referência
e de avaliação de maturidade de processo, discute uma estrutura de trabalho para processos, apresenta as melhores práticas de
gerenciamento corporativo de processo, de portfólio e repositório.

Atividade
3 - Complete a frase:

digite a resposta é a área de conhecimento que trata da concepção de novos processos e a especificação de como funcionarão,
serão medidos, controlados e gerenciados. digite a resposta de um processo trata do impacto que a mudança deste processo (TO
BE) trará no atingimento de metas e estratégias organizacionais.
Referências

BENEDICT, Tony; BILODEAU, Nancy; VITKUS, Phil; POWELL, Emmett; et al. BPM CBOK, Guia para o gerenciamento de Processos
de Negócio.ABPMP BPM CBOK V3.0, 1.ed., 2013.
INTERNATIONAL INSTITUTE BUSINESS ANALYSES (IIBA). Um guia para o Corpo de conhecimento de Análise de Negócios (Guia
BABOK) versão 2.0. IIBA, 2011.

FERNANDES, Aguinaldo Aragon; ABREU, Vladimir Ferraz. Implantando a Governança de TI. Da estratégia à gestão de processos e
serviços. 4.ed. Rio de Janeiro: Brasport, 2008.

NEVES, Marcelo.Um breve resumo do guia BABOK V3 de análise de negócios. Edição do autor, versão Kindle, 2015.

Próxima aula

Grupos de processos e áreas de conhecimento propostos pelo PMBOK;

Sete temas e processos do Prince2;

Valores, eventos, papéis e artefatos do Scrum.

Explore mais

Conheça os sites:

The Open Group <https://www.opengroup.org/>

IIBA <https://www.iiba.org/standards-and-resources/babok/>

Object Management Group <http://www.omg.org/>

ABPMP <https://www.abpmp.org/>

Assista ao vídeo The Open Group <https://www.youtube.com/watch?time_continue=19&v=tX2hjd-37pw> (legendas em


português).
Disciplina: Governança em Tecnologia da
Informação

Aula 5: Gov. de Projetos – PMBOK, Prince2 e Scrum


Apresentação

O avanço da tecnologia, a necessidade de atingir melhores resultados em um curto espaço de tempo e a manutenção da
vantagem competitiva em um mundo globalizado, torna fundamental a utilização, pelas empresas, de métodos e
ferramentas de apoio à gestão.

Por essa razão, o gerenciamento de projetos tem crescido de maneira acentuada nos últimos anos. As organizações
necessitam de velocidade e competência para atingir bons resultados. Nesta aula, conheceremos as motivações, os
princípios e conceitos básicos de um projeto e analisaremos as principais metodologias em gerenciamento de projetos:
PMBOK, Prince2 e Scrum.

Apesar de terem origens, processos e formas de implementação diferenciadas, todas podem auxiliar as organizações na
governança de seus projetos e agregar valor aos negócios para auxiliar na implementação da boa governança.

Objetivos

Analisar os grupos de processos e áreas de conhecimento proposto pelo PMBOK;

Identificar os sete temas e processos que compõem o Prince2;

Esclarecer os valores, eventos, papéis e artefatos do Scrum.


Por que precisamos de projetos?
Os ambientes organizacionais atuais são caracterizados pela alta velocidade de mudanças e pela competitividade entre as
organizações.

Para atender as demandas de maneira eficaz, é indispensável um modelo de gerenciamento com foco em prioridades e objetivos.
Por essa razão, o gerenciamento de projetos tem crescido de maneira tão acentuada no mundo nos últimos anos.

As organizações necessitam de velocidade e competência para que possa atingir seus resultados:

Interdependência de atividades;

Importância do empreendimento;

Tamanho do empreendimento;

Reputação da organização;

Mudança de mercado;

Compartilhamento de recursos.

Existe uma conexão entre gestão de projetos e estratégia organizacional?


A implantação de uma estratégia organizacional depende do alinhamento dos recursos internos, de modo que eles atuem em
harmonia com os requisitos do cumprimento da estratégia
Seleção de projetos e estratégias
A tomada de decisão sobre projetos deve buscar a alternativa que apresente o melhor desempenho estratégico, a melhor
avaliação, ou ainda, o melhor equilíbrio entre as expectativas e os resultados.

O que é um projeto?
Os projetos possuem metas claras e definidas, sendo realizados em um período definido de tempo, e não indefinidamente, como
trabalhos rotineiros. Principais características de um projeto:
Clique nos botões para ver as informações.
Temporariedade 

Todo projeto possui um início e um fim definidos, ou seja, é um evento com duração finita, determinada em seu objetivo. O
fato de um projeto ser temporário não significa que dure pouco. Não é a duração que define se um esforço é um projeto ou
não. Pode se ter um projeto de uma hora, um dia, um mês ou dez anos.

Individualidade 

Cada projeto é inédito, diferente. Isso é facilmente observável porque tudo muda no decorrer do tempo: as equipes, os
gestores, e a tecnologia.

Limitação de recursos 

Inexistência de todos os recursos necessários sempre disponíveis e dentro dos critérios desejados para se realizar um
projeto, exigindo dos gerentes de projetos um conjunto de atividades e habilidades para buscar o sucesso do
empreendimento.

Podemos concluir que o objetivo principal de um projeto é atingir as metas e os objetivos propostos, dentro dos limites
financeiros estabelecidos, no prazo acordado, com a qualidade desejada, respeitando as regras e os regulamentos, e sempre
seguindo os melhores padrões éticos.

Diferença entre projeto, programa e portfólio

Dependendo da complexidade e do tamanho de um projeto, ele pode ser dividido em subprojetos.

Subprojetos 

Podem ser uma pequena parte de um projeto total ou por


fases extremamente específicas e podem ser terceirizados
ou desenvolvidos por grupos isolados. Um subprojeto não
tem sentido se tratado isoladamente e não existe sem
projeto.
Programa 

É utilizado para identificar um grupo de projetos que não são necessariamente do mesmo assunto, mas que de alguma
forma estão relacionados. Desse modo, todos os projetos de um programa são gerenciados e coordenados de modo
integrado, obtendo os benefícios e os controles que não existem ao gerenciá-los individualmente.

Portfólio 

É um conjunto de projetos e programas agrupados para facilitar o atingimento dos objetivos estratégicos do negócio em
uma visão unificada, mensurável, ordenada e priorizável. Normalmente, é utilizado pela esfera estratégica da organização.
O PMI

Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online

O Instituto de Gerenciamento de Projetos (Project Management Institute PMI), é uma das maiores associações para profissionais
de gerenciamento de projetos. Ela desenvolveu vários padrões para gerenciamento projetos, programa e de portfolio, que, cada
vez mais, vêm se tornando o modelo para o gerenciamento de projetos em empresas e governos.

Uma das publicações do PMI é o PMBOK que, atualmente, encontra-se na versão 6 e fornece os conceitos fundamentais em
gerenciamento de projetos.

O PMI estima que aproximadamente 25% do PIB mundial são gastos em projetos e cerca de 16,5 milhões de profissionais estão
envolvidos diretamente com gerência de projetos no mundo.

Esse volume de projetos e as mudanças no cenário mundial, cada vez mais competitivo, geram a necessidade de resultados mais
rápidos, com qualidade maior e custo menor.

Ciclo de vida de um projeto


Um projeto pode ser subdividido em partes denominadas grupos de processos, permitindo melhor controle do total de recursos
gastos para atingir as metas estabelecidas. Cada grupo de processos define:

Qual é o trabalho que deve ser realizado;

Quais são os resultados e as entregas esperados;

Quem deve estar envolvido.

O conjunto de fases em um projeto é chamado ciclo de vida e permite avaliar as similaridades que podem ser encontradas em
outros projetos, independentemente de seu contexto, aplicabilidade ou área de atuação:
Os cinco grupos de Processos definidos pelo PMI são:

Iniciação
São as atividades iniciais do projeto que ocorrem a partir da identificação de uma determinada necessidade e quando ela é
transformada em um problema estruturado a ser resolvido. Nesse momento, um gerente de projeto é selecionado, a reunião
inicial do projeto realizada e são definidos a justificativa, o objetivo e o caso de negócio do projeto.

Planejamento
Nesta fase, é detalhado tudo aquilo que será realizado pelo projeto, desde estratégias, cronogramas, interdependências entre
atividades, alocação dos recursos envolvidos, análise de custos e demais ações necessárias de planejamento para que, no final, o
projeto esteja pronto para ser executado.

Execução
Nesta fase, tudo que foi planejado é colocado em prática e implementado. Grupo de processos que materializa o que foi
planejado anteriormente. Caso algum erro tenha ocorrido na fase de planejamento, será percebido nesse momento.

Monitoramento e Controle
Ocorrem ao longo do projeto e paralelo às demais atividades. Têm como objetivo acompanhar e controlar o que está sendo
realizado pelo projeto.

Área de gerenciamento de projetos


O PMBOK apresenta dez áreas de conhecimento que trabalham de forma integrada e em que cada processo tem um
detalhamento específico e uma abrangência própria:
Gerenciamento da integração
Integra todas as outras áreas de conhecimento de modo que todos os elementos do projeto sejam adequadamente coordenados
e integrados.

Gerenciamento do escopo
Garante que somente as atividades necessárias para a conclusão do projeto de maneira bem-sucedida sejam incluídas e que
nenhuma atividade desnecessária seja executada.

Gerenciamento do cronograma
Inclui os processos necessários para gerenciar o término pontual do projeto.

Gerenciamento dos custos


Trata dos processos envolvidos em estimativas, orçamentos e controle dos custos, de modo que o projeto possa ser terminado
dentro do orçamento aprovado.

Gerenciamento da qualidade
Visa assegurar que o projeto satisfaça as necessidades do cliente e envolve todas as atividades do projeto pelo seu ciclo de vida.

Gerenciamento dos recursos


Trata dos recursos do projeto e inclui os processos para identificar, adquirir e gerenciar os recursos necessários para a conclusão
bem-sucedida do projeto.

Gerenciamento das comunicações


Trata dos processos para assegurar que as informações do projeto sejam adequadamente obtidas e disseminadas.

Gerenciamento dos riscos


Inclui os processos necessários para gerenciar o término pontual do projeto.

Gerenciamento dos custos


Trata dos processos de condução do planejamento, identificação, análise, planejamento de respostas, implementação das
respostas e monitoramento dos riscos em um projeto.

Gerenciamento das aquisições


Engloba os processos requeridos para adquirir bens e serviços de fora da organização promotora.

Gerenciamento das partes interessadas


Engloba os processos requeridos para garantir que as partes interessadas no sejam identificadas, avaliadas e estrategicamente
gerenciadas.
Saiba mais

Conheça um mapa com todas as áreas de conhecimento, processos e seus relacionamentos.


Disponível em: http://rvdownloads.s3.amazonaws.com/uploads/downloads/pmbok-
6ed/pt/ricardo_vargas_pmbok_flow_6ed_color_PT-A0.pdf <http://rvdownloads.s3.amazonaws.com/uploads/downloads/pmbok-
6ed/pt/ricardo_vargas_pmbok_flow_6ed_color_PT-A0.pdf> Acesso em: 1 fev. 2019.

Prince 2
Surgiu na década de 1970, através dos governos de quatro países constituintes do Reino Unido – Inglaterra, Escócia, Irlanda do
Norte e País de Gales que identificaram a necessidade de um método que trouxesse eficiência para o gerenciamento de seus
projetos.

Ao longo do tempo o método foi testado e refinado em milhares de projetos até que sua generalidade e flexibilidade fossem
desenvolvidas. Em 1989, foi rebatizado como Prince2 e, por força de lei, foi adotado como padrão para todos os projetos do
governo do Reino Unido, e ganhou o mundo.

O Método apresenta seis aspectos de desempenho que necessitam ser gerenciados para que um projeto tenha sucesso.

Esses aspectos também podem ser denominados de objetivos de projeto ou variáveis de gerenciamento.

Elementos integrados
O Prince está estruturado para ser aplicado a projetos de qualquer tipo, tamanho, organização, cultura ou região geográfica.

O que possibilita essa flexibilidade são os sete princípios nos quais o método é baseado.

Os princípios são os fundamentos, as bases, o alicerce do método. O Prince é formado por quatro elementos integrados:
Vamos detalhar os três primeiros:

Princípios
O Prince apresenta sete princípios aos quais o método foi estruturado. Eles formam o alicerce sobre o qual serão assentados os
temas e processos e, portanto, nada no método pode desrespeitar seus princípios. Se um dos princípios estiver ausente, o Prince
não está sendo utilizado:

Justificativa contínua para o negócio;

Papéis e responsabilidades definidos;

Aprendizado com a experiência;

Gerenciamento por estágios;

Gerenciamento por exceção;

Foco no produto;

Adequação ao ambiente do projeto.

Temas
Os temas definem as disciplinas ou áreas de conhecimento do gerenciamento de projetos no Prince. Eles representam os
aspectos do gerenciamento de projetos que precisam ser tratados ao longo de um projeto.

Existem sete temas definidos, que podem ser adaptados segundo a complexidade do projeto, porém todos têm que ser utilizados:
1 Business Case: Justificativa do projeto;

2 Organização: Definição e nomeação de papéis e responsabilidades do projeto;

3 Qualidade: Parte descritiva dos produtos, engloba o escopo;

Planos: Parte estrutural do escopo (EAP – Estrutura Analítica de Produtos), do tempo (cronograma) e do custo
4 (orçamento);

5 Riscos: Detecção e tratamento das ameaças e oportunidades do projeto;

6 Mudanças: Conhecimento para gerenciar as mudanças;

7 Progresso: Monitoramento e controle do projeto.


Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online

Processos
Os processos definidos no Prince estabelecem um fluxo cronológico das ações para gerenciar um projeto de ponta a ponta.

Um processo é um conjunto de atividades que visa atingir um objetivo específico. No Prince existem sete processos:

Starting up a project (SU): Tem como objetivo reunir as informações que permitam verificar se vale a pena ou não iniciar o
1 projeto.

Directing a project (DP): Tem como objetivo tomar as decisões no projeto, normalmente é exercido por um comitê de
2 projeto, o Comitê Diretor do Projeto;
3 Initiating a Project (IP): Trata do início do projeto através da definição da linha de base para cada uma das seis variáveis de
gerenciamento: escopo, tempo, custo, qualidade, riscos e benefícios;

Managing a Stage Boundary (SB): Trata do gerenciamento das fronteiras entre os estágios, avaliando o estágio atual e
4 também desenvolvendo o plano do estágio seguinte ou plano de exceção;

5 Controlling a Stage (CS): Trata do controle do que ocorre em um determinado estágio;

6 Managing a Product Delivery (MP): Trata do desenvolvimento, do controle de qualidade e da entrega dos produtos;

7 Closing a Project (CP): Trata do encerramento do projeto, seja ele um encerramento planejado ou prematuro.
Scrum

Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online

Apesar da utilização de outras metodologias de projetos e da utilização de escritórios de projetos (PMO), não é raro vermos
indicadores e gráficos mostrando a porcentagem de projetos de TI que fracassaram nas empresas. Neste caso, nos referimos
em termos financeiros, de prazos e qualidade.

Ao longo do tempo, as equipes envolvidas começaram a se questionar como poderiam obter melhores resultados e em que
estariam errando já que existiam diferentes metodologias e práticas no mercado.

As empresas começaram a observar os resultados positivos em projetos gerados pelo desenvolvimento ágil e se interessaram
pelos principais termos mencionados, pela metodologia e pelo framework.

O Scrum é um dos métodos ágeis, iterativo e incremental mais difundidos hoje no mercado de TI. Ele é fundamentado nas
teorias empíricas de controle de processo, ou empirismo.

A teoria é construída a partir do conhecimento que vem da experiência e de tomada de decisões baseadas no que é conhecido.
Existem três pilares que apoiam a implementação de controle de processo empírico:
Transparência
Determina que os aspectos significativos do processo devem estar visíveis aos responsáveis pelos resultados. Quando um item
do backlog do produto ou um incremento é descrito como pronto, por exemplo, todos devem entender o que o pronto significa.
Embora, isso possa variar por Time Scrum, os integrantes devem ter um entendimento compartilhado do que significa o trabalho
estar completo, assegurando a transparência.

Inspeção
A inspeção por parte dos usuários Scrum aos artefatos e ao progresso em direção ao objetivo da sprint garante a detecção de
variações indesejadas.

Adaptação
Permite que o processo ou o produto possa ser ajustado, caso um ou mais aspectos estejam fora dos limites aceitáveis,
resultando em um produto inaceitável.

Estrutura do modelo Scrum


O Scrum está estruturado em um conjunto de práticas conduzidas por equipes em papéis específicos, organizadas em um fluxo
de atividades/eventos de duração fixa totalmente controlado, com artefatos e regras bem definidos, que visa à obtenção de
produtos utilizáveis em intervalos curtos de tempo.

O modelo contempla papéis, artefatos e cerimônias e, segundo o Guia do Scrum, devem existir apenas três funções, ou seja, três
papéis que irão compor o Time Scrum:

Scrum Master
O Scrum Master é o principal fomentador do Scrum na organização. Ele auxilia no entendimento da teoria, valores, regras e
práticas definidas no Guia Scrum. Auxilia a todos da organização no entendimento das interações e relacionamentos do Scrum.

Time Scrum
O time Scrum tem como atribuição o desenvolvimento e a entrega de um incremento do produto potencialmente pronto ao final
de cada sprint.

Como o time tem autonomia e autorização da organização para gerenciar seu próprio trabalho, a sinergia e cooperação entre a
equipe aumenta a eficácia e eficiência do grupo como um todo e, consequentemente, potencializa o resultado final.

Segundo o Guia do Scrum, são características do time de desenvolvimento:


E qual o tamanho ideal de um time de desenvolvimento?
Baseado no Guia do Scrum, o tamanho ideal do time de desenvolvimento é pequeno o suficiente para se manter ágil e grande o
bastante para completar um trabalho significativo dentro da sprint.

O mínimo recomendado pelo autores são times com pelo menos três integrantes. Equipes maiores, com mais de nove pessoas,
apresentam grande complexidade de coordenação e podem apresentar menor produtividade.

Product Owner
O dono do produto é o responsável por gerenciar o backlog do produto, mesmo quando delega essa função ao time de
desenvolvimento. Para que suas ações sejam efetivas, é necessário que a organização reconheça sua autoridade.

Uma consequência da sua boa atuação é a maximização do valor do produto entregue pela equipe de desenvolvimento.
Valores do SCRUM

À medida que o time trabalha com os eventos, papéis, artefatos e pilares propostos pelo Scrum e vivenciam os cinco valores
apresentados pelo método comprometimento, coragem, foco, transparência e respeito, é construída a confiança entre todos os
envolvidos e formado um time coeso e comprometido em alcançar os objetivos comuns da equipe. Desse modo, espera-se que
cada indivíduo tenha coragem para fazer a coisa certa e trabalhar em problemas difíceis.

Eventos no Scrum
Os eventos no SCRUM, também chamados de cerimônias, tem como objetivos:

Criar regularidade nos eventos de trabalho;

Diminuir a necessidade de reuniões intempestivas;

Criar oportunidade de inspecionar;

Adaptar alguma necessidade.

Essas cerimônias possuem um tempo de duração pré-fixado normalmente conhecidas como time-box e com controle rígido, não
podem ser aumentados ou diminuídos.

Antes de iniciar uma cerimônia Scrum, deve ser desenvolvido o documento de visão do produto com as necessidades de negócio,
premissas, prioridade e justificativas do projeto e a definição do pronto do produto, ou seja, os parâmetros para identificar quando
o produto resultante dessa cerimônia está finalizado.

A cerimônia principal do Scrum é a sprint, que pode ser comparada a um projeto, já que são são utilizadas para realizar algo. E
assim como os projetos elas possuem:

Uma meta do que é para ser construído;

Um plano previsto e flexível que irá guiar a construção;

O trabalho e o produto resultante do incremento.

Normalmente, a duração de uma cerimônia de sprint dura 30 dias e, neste período, o incremento de um produto liberável é criado.
Planejamento de uma sprint
Reunião realizada no primeiro dia da sprint, com duração de aproximadamente oito horas para uma sprint de um mês de
duração. Essa reunião define o início de uma sprint e pode ser dividida em dois períodos de quatro horas.

É o evento para planejar todo o trabalho que será realizado na sprint;

O product owner apresenta o backlog de produto;

É alinhado com a equipe quais itens poderão ser entregues.

É criado um plano com todo o trabalho colaborativo do time de desenvolvimento.

Segundo o Guia do Scrum, esta fase serve para responder as seguintes perguntas:

O que pode ser entregue como resultado do incremento da próxima Sprint?

Como o trabalho necessário para entregar o incremento será realizado?


Reunião diária
Reunião que ocorre todos os dias durante o período de uma sprint, normalmente, no mesmo horário e local.

Ela é realizada com um time-box de 15 minutos em que a equipe de desenvolvimento compartilha conhecimento e o
planejamento do trabalho para as próximas 24 horas.

Segundo o Guia do Scrum, nesta atividade pretende-se responder as seguintes perguntas:

O que eu fiz ontem que ajudou o time de desenvolvimento a atingir a meta da sprint?

O que eu farei hoje para ajudar o time de desenvolvimento atingir a meta da sprint?

Eu vejo algum obstáculo que impeça a mim ou o time de desenvolvimento no atingimento da meta da sprint?

Assuntos que não respondem essas perguntas deverão ser tratados em outra reunião. Ao término da reunião, o time de
desenvolvimento ou membros da equipe se encontram imediatamente para adaptar ou replanejar o restante do trabalho da
sprint.

Revisão da sprint
Reunião realizada ao término de uma sprint, com o objetivo de inspecionar o incremento e adaptar o backlog do produto se
necessário. Ela tem uma duração de no máximo quatro horas para uma sprint de um mês. A equipe de desenvolvimento
demonstra o que foi realizado na sprint e o product owner aprova ou não a entrega.

Retrospectiva da Sprint
Reunião realizada ao término de uma sprint, para que toda a equipe reflita sobre o andamento da sprint e identifique possíveis
melhorias.

Nesse momento, o time tem a oportunidade de verificar seu próprio desempenho e o trabalho desenvolvido e, caso tenha
necessidade de algum ajuste, poderá ser criado um plano de melhorias a serem aplicadas na próxima sprint.

A retrospectiva ocorre depois da revisão da sprint e antes do planejamento da próxima sprint, e sua duração é de no máximo três
horas para uma sprint de um mês.
Artefatos do Scrum
Agora vamos falar sobre os artefatos do Scrum, suas características e papel dentro de uma sprint. Eles têm um papel importante,
pois representam o trabalho ou o valor para o fornecimento de transparência e oportunidades para inspeção e adaptação no
processo de melhoria contínua.

Backlog do produto
O backlog do produto é uma lista ordenada de tudo que é conhecido ser necessário no produto, ou seja, a lista de todas as
características, requisitos, funções, correções e melhorias.

Ele é mantido exclusivamente pelo product owner, que é o responsável pela sua disponibilidade, atualização e ordenação.

Como o backlog é constantemente refinado ao longo do processo de desenvolvimento do produto, nunca está completo. Toda e
qualquer mudança a ser realizada no produto deve ser implementada a partir deste backlog.

Backlog da sprint
O backlog da sprint é um recurso gerado a partir do backlog do produto. Ele é um subconjunto de itens selecionados do backlog
do produto para uma determinada sprint.

É criado na cerimônia de planejamento da sprint e contém todas as atividades identificadas como necessárias pelo time de
desenvolvimento para atingir o objetivo da sprint.

Para garantir a melhoria contínua no processo, normalmente, é incluído pelo menos um item sobre melhoria do processo
identificado na reunião de retrospectiva da sprint anterior.

Incremento do produto
À medida que as sprints vão acontecendo, um novo incremento de produto é gerado em cada sprint.

Ele é a soma de todos os itens que compõem o backlog do produto, completado ou pronto, durante uma determinada sprint e o
somatório de todos os incrementos das sprints anteriores.

Um incremento na condição de pronto para o Scrum significa que deve estar na condição de ser utilizado e todos os envolvidos
devem ter um entendimento comum de que o trabalho está completo.
Atividade
1. É na fase ______________________________________ do PMI que é detalhado tudo aquilo que será realizado pelo projeto, desde as
estratégias, cronogramas, interdependências entre atividades, alocação dos recursos envolvidos, análise de custos e demais
ações necessárias de planejamento para que, no final, o projeto esteja pronto para ser executado.

2. No Prince2, ao longo de um projeto, o ___________________________será a base para a tomada de decisão em relação à viabilidade
do projeto.

3. O Scrum é baseado na teoria ______________________, construída a partir do conhecimento que vem da experiência e de tomada
de decisões baseadas no que é conhecido.

Notas

Título modal 1

Lorem Ipsum é simplesmente uma simulação de texto da indústria tipográfica e de impressos. Lorem Ipsum é simplesmente
uma simulação de texto da indústria tipográfica e de impressos. Lorem Ipsum é simplesmente uma simulação de texto da
indústria tipográfica e de impressos.

Título modal 1

Lorem Ipsum é simplesmente uma simulação de texto da indústria tipográfica e de impressos. Lorem Ipsum é simplesmente
uma simulação de texto da indústria tipográfica e de impressos. Lorem Ipsum é simplesmente uma simulação de texto da
indústria tipográfica e de impressos.
Referências

CALÔBA, Guilherme; KLAES, Mario. Gerenciamento de projetos com PDCA: Conceitos e técnicas para planejamento,
monitoramento e avaliação do desempenho de projetos e portfólios. Rio de Janeiro: Alta Books, 2016.

FERNANDES, Aguinaldo Aragon; ABREU, Vladimir Ferraz. Implantando a Governança de TI. Da estratégia à gestão de processos e
serviços. 4.ed. Rio de Janeiro: Brasport, 2008.

SCHWABER, Ken; SUTHERLAND, Jeff. Guia do Scrum — Um guia definitivo para o Scrum: As regras do Jogo, 2017. Disponível em:
https://www.scrumguides.org/docs/scrumguide/v2017/2017-Scrum-Guide-Portuguese-Brazilian.pdf
<https://www.scrumguides.org/docs/scrumguide/v2017/2017-Scrum-Guide-Portuguese-Brazilian.pdf> Acesso em: 1 fev. 2019.

SILVA, Angelo Aldacir da; LUKOSEVICIUS, Alessandro Prudencio. Prince2 — O método de gerenciamento de Projetos. Rio de
Janeiro: Brasport, 2016.

VARGAS, Ricardo. Gerenciamento de Projetos estabelecendo diferenciais competitivos. 8.ed. Rio de Janeiro: Brasport, 2018.
Próxima aula

Conceitos básicos, princípios e melhores práticas em segurança da informação;

Conceitos e princípios de um sistema de gestão de segurança da informação;

Importância da governança da segurança da informação.


Explore mais

Assista aos vídeos


Elaboração do Fluxo de Processos do PMBOK® Guide 6ª Edição ;

DISPONÍVEL EM: https://www.youtube.com/watch?v=rvDnS_wWwJs <https://www.youtube.com/watch?v=rvDnS_wWwJs>


ACESSO EM: 1 FEV. 2019.

An Introduction to the Scrum Framework ;

DISPONÍVEL EM: https://www.scrum.org/resources/what-is-scrum?gclid=CjwKCAiA99vhBRBnEiwAwpk-


uNyN3LOGvuJtOsQCYen1XI0ENaU_Eh8sp5laKsdigWkXXHvDsiOUzBoC0IMQAvD_BwE
<https://www.scrum.org/resources/what-is-scrum?gclid=CjwKCAiA99vhBRBnEiwAwpk-
uNyN3LOGvuJtOsQCYen1XI0ENaU_Eh8sp5laKsdigWkXXHvDsiOUzBoC0IMQAvD_BwE> ACESSO EM: 1 FEV. 2019.

Prince2 in 100 seconds .

DISPONÍVEL EM: https://www.axelos.com/best-practice-solutions/prince2/what-is-prince2 <https://www.axelos.com/best-


practice-solutions/prince2/what-is-prince2> ACESSO EM: 1 FEV. 2019.

Faça o download do Scrum Guide , em português.

DISPONÍVEL EM: https://www.scrumguides.org/docs/scrumguide/v2017/2017-Scrum-Guide-Portuguese-Brazilian.pdf


<https://www.scrumguides.org/docs/scrumguide/v2017/2017-Scrum-Guide-Portuguese-Brazilian.pdf> ACESSO EM: 1 FEV.
2019.
Disciplina: Governança em Tecnologia da
Informação

Aula 6: Governança de segurança


Apresentação

A segurança da informação tornou-se uma questão-chave, considerando o novo posicionamento da informação nas
organizações. À medida que cresce o número de ataques e falhas, que podem impactar negativamente na reputação da
organização, também é crescente o surgimento de normas, padrões e regulamentações no assunto.

As organizações que ainda não possuem maturidade em segurança da informação necessitam de um ponto de partida para
o desenvolvimento de diretrizes específicas de segurança para a organização. Existem vários padrões e normas que podem
suprir essa necessidade e um exemplo são as normas da família ISO 27000.

Nesta aula, abordaremos as normas ISO 27000, essencial na construção dos conceitos fundamentais e do vocabulário
comum em segurança da Informação; ISO 27002, utilizada para a implementação de controles de segurança; e a ISO 27014,
com um processo para orientar as organizações na governança da segurança da informação.

Bons estudos!

Objetivos

Identificar os conceitos básicos, princípios e melhores práticas em segurança da informação;

Descrever os conceitos e princípios de um sistema de gestão de segurança da informação;

Realçar a importância da governança da segurança da informação.


Segurança da informação
Com o avanço da internet e a adoção cada vez maior de tecnologia da informação para a implementação dos negócios das
organizações, a segurança tornou-se uma questão-chave para que as empresas garantam a proteção das informações
consideradas relevantes e críticas.

 Segurança da informação | Fonte: Pixabay

O valor da informação para as empresas é considerado, na atualidade, algo


imensurável, já que apresenta valor estratégico e/ou financeiro para a organização.

Ao longo dos anos, e com o amadurecimento da tecnologia e das organizações, a informação ganhou valor, trouxe conhecimento
para as organizações e, posteriormente, trouxe inteligência aos processos de negócio, conforme ilustra o esquema a seguir.

Esse amadurecimento tem auxiliado as organizações da seguinte forma:

1 2
No processo de tomada de decisão Na diferenciação de seus produtos

Na vantagem competitiva

Desse modo, a demanda gradual por armazenamento de conhecimento tem levado à necessidade de administração desses
dados de forma confiável.

Uma ação maliciosa bem-sucedida pode ter um impacto direto na reputação da organização. Com o objetivo de mitigar os riscos,
as organizações têm investido esforços e dinheiro na implementação de processos, métodos, ferramentas e recursos humanos
qualificados em segurança da informação.

Ao mesmo tempo em que cresceu o número de ações maliciosas, surgiram também regulamentações, padrões e boas práticas
no assunto, como algumas normas da família ISO 27000, específica de segurança da informação.

Com as normas da família ISO 27000, as organizações podem desenvolver e implementar uma estrutura para gerenciar a
segurança de seus ativos de informação e também para a implementação de uma Sistema de Gestão de Segurança da
Informação (SGSI).

Veja as normas da ISO 27000 e o que trata cada uma:

ISO 27000 Fornece um vocabulário comum em segurança da informação.

ISO 27001 Fornece as diretrizes para a implementação e manutenção de um sistema de


gestão de segurança da informação (SGSI).

ISO 27002 Fornece um código de práticas para a implementação de controles de segurança


da informação.

ISO 27014 Fornece um processo para a governança da segurança da informação.

Vamos conhecê-las com mais detalhe a seguir.

Norma ISO 27000


A norma ISO 27000 estabelece uma revisão sobre aspectos e importância da segurança da
informação no contexto organizacional, evidencia ainda sobre o estabelecimento e a
importância de implementação de um Sistema de Gestão de Segurança da Informação
(SGSI) e apresenta um vocabulário comum sobre o assunto.

Vejamos os aspectos dessa norma.

Segurança da Informação

É baseada em três princípios fundamentais, conhecidos como a tríade CID ou, em inglês, AIC ou CIA:

Segundo a norma, a segurança da informação está garantida quando um ou os três princípios estão assegurados.

Em alguns casos, outras propriedades de segurança também podem ser envolvidas como a autenticidade, prestação de contas
ou não repúdio e a confiabilidade.

Vamos conhecer cada princípio:

Clique nos botões para ver as informações.


Con dencialidade 

As informações não serão disponibilizadas ou divulgadas a indivíduos, entidades ou processos. Significa garantir que
apenas as pessoas que devem ter conhecimento a seu respeito poderão acessá-la.
Autenticidade 

Uma entidade é o que se afirma ser.

Disponibilidade 

Ser acessível e utilizável sob demanda por uma entidade autorizada. Uma informação disponível é aquela que pode ser
acessada por aqueles que dela necessitam, no momento em que precisam.

Integridade 

Exatidão e integridade. Significa proteger as informações contra alterações em seu estado original.

Não repúdio 

Capacidade de provar a ocorrência de um evento ou ação reivindicada e suas entidades de origem.

Con abilidade 

Comportamento e resultados pretendidos consistentes.

Incidente de segurança da informação

A norma apresenta também o conceito de incidente de segurança da informação, que representa um único ou uma série de
eventos indesejados ou inesperados de segurança da informação que tenham probabilidade de comprometer operações
comerciais e ameaçar a segurança da informação de uma organização.

O esquema a seguir ilustra a ocorrência desses eventos:

Vamos conhecer esses eventos com mais detalhe.


Clique nos botões para ver as informações.
Vulnerabilidade 

Fraqueza de um ativo ou controle, que pode ser explorada por uma ou mais ameaças.

Ativos 

São aqueles que produzem, processam, transmitem ou armazenam informações em uma organização. Podem ser físicos
(sala, arquivo, cofre), tecnológicos (servidor, e-mail, sistema) ou humanos (funcionário, porteiro, secretária).

Ameaça 

Causa potencial de um incidente indesejado, que pode resultar em danos a um sistema ou organização. Pode ser física
(incêndio, apagão, inundação), tecnológica (vírus, bug software, invasão web) e humana (sabotagem, fraude, erro humano).

Risco 

Efeito ou incerteza sobre o atingimento de um objetivo. Indica a probabilidade de uma determinada ameaça se concretizar,
combinada com os impactos que ela trará. Quanto maior a probabilidade de uma determinada ameaça ocorrer e o impacto
que ela trará, maior será o risco associado a este incidente.

Norma ISO 27002

Apresenta um conjunto de melhores práticas a serem seguidas pelas organizações e pode ser o ponto de partida para a
implementação da segurança da informação pelas organizações.

Ela apresenta os conceitos básicos sobre segurança da informação e como estabelecer os requisitos de segurança nas
organizações. Esses requisitos são identificados por meio de:

Com os requisitos de segurança, os riscos identificados e as decisões para o tratamento dos riscos tomadas, as organizações
devem selecionar e implementar os controles apropriados para que possam assegurar que os riscos sejam reduzidos a um nível
aceitável.

O esquema a seguir ilustra esse processo:

 
Análise / avaliação Tratamento
sistemática dos riscos dos riscos

 
Riscos identificados Nível aceitável

A norma ISO 27002 contém 14 seções:

 Gestão da continuidade do negócio.

Cada uma das 14 seções apresenta:

 Um objetivo de controle declarando o que se espera ser alcançado.

Um ou mais controles que podem ser aplicados para se alcançar o


 objetivo do controle.
Saiba mais

Para conhecer cada seção da norma ISO 27002, leia o texto “Seções da norma ISO 27002”
<galeria/aula6/anexos/secoes_da_norma_ISO_27002.pdf> .

Na implementação desses controles de segurança, as organizações devem considerar o ciclo de vida da informação.

Esse ciclo de vida é composto e identificado pelos em que os ativos físicos, tecnológicos e humanos fazem uso da informação,
sustentando processos que mantêm a operação da empresa.

Observe o ciclo a seguir:

Atividade
1 - Complete a frase:

A Norma digite a resposta apresenta um conjunto de boas práticas e controles em segurança da informação que
servem de guias para as organizações.

ISO 27001
A norma ISO 27001 tem como objetivo oferecer um modelo para que as organizações
possam estabelecer, implementar, operar, monitorar e analisar criticamente um sistema de
gestão de segurança da informação (SGSI).

Não adianta as organizações aplicarem uma série de dispositivos de segurança da informação sem uma estrutura que garanta
sua permanente atualização, adequação e avaliação de efetividade. No estabelecimento de seu sistema de gestão (SGSI), a
organização deve determinar o escopo e abrangência do sistema.

A norma ISO 27001 adota em seu processo de gestão o ciclo PDCA1 para estruturar todos os processos envolvidos em um
SGSI.

Observe o ciclo PDCA a seguir:

 Fonte: Shutterstock.

O PDCA é uma ferramenta gerencial que possibilita a melhoria contínua de processos, bem como a solução de problemas por
meio de um ciclo de revisões periódicas.

Vamos conhecer melhor cada etapa do ciclo:

Clique nos botões para ver as informações.


Planejar 

São estabelecidos os objetivos e processos necessários para garantir que as metas e objetivos planejados serão atingidos.

Executar 

São executados os processos e as atividades planejados na etapa anterior e ainda coletados os dados para serem
executados na etapa seguinte.
Veri car 

São analisados os dados coletados na etapa anterior e comparados com as metas estabelecidas na etapa de planejamento,
determinando possíveis desvios.

Agir 

São analisados as causa dos desvios, se existirem, e implementadas as ações corretivas no processo. Podem ser realizadas
ações de melhoria ou ainda ações preventivas como forma de mitigar problemas futuros.

Atividade
2 - Qual é a norma que trata dos requisitos para a implementação de um sistema de Gestão de segurança da informação?

ISO 27014
Com a abrangência das ações de segurança nas organizações é essencial que exista um alinhamento dessas ações com os
objetivos e estratégias de negócio da organização.

É essencial que a organização implemente a governança da segurança da informação


e que esta seja alinhada com os objetivos e estratégias do negócio e em conformidade
com leis, regulamentos e contratos.
 Segurança da informação | Fonte: Pixabay.

São responsabilidades do corpo diretivo as decisões e o desempenho da governança de segurança nas organizações. Ele deve
garantir que a abordagem de segurança da informação da organização seja eficiente, eficaz, aceitável e alinhada com os
objetivos e estratégias de negócios, considerando às expectativas das partes interessadas. São objetivos da governança da
segurança da informação:

1 2

Alinhar objetivos e estratégia da segurança da informação Garantir que os riscos de segurança são adequadamente
com os objetivos e a estratégia de negócio da organização identificados e tratados

Agregar valor ao negócio do negócio (alinhamento estratégico)

Assim como as demais governanças implementadas na organização, a governança de segurança apresenta seis princípios
importantes para o sucesso de sua implementação:

Clique nos botões para ver as informações.


Estabelecer a segurança da informação em toda a organização 

A segurança da informação deve ser tratada considerando o negócio da organização e aplicada a toda a organização de
forma integrada.

Adotar uma abordagem baseada em riscos 

A governança da segurança da informação deve ser fundamentada em decisões baseadas nos riscos e integrada à
abordagem de risco global da organização.
Estabelecer a direção de decisões de investimento 

Deve ser estabelecida uma estratégia de investimento em segurança da informação baseada em resultados de negócios
alcançados com visões de curto e de longo prazos.

Assegurar conformidade com os requisitos internos e externos 

A governança de segurança deve garantir que as políticas e práticas de segurança da informação atendam à legislação e a
regulamentações pertinentes obrigatórias, assim como aos requisitos de negócio ou contratuais e aos outros requisitos
externos ou internos.

Promover um ambiente positivo de segurança 

A governança de segurança da informação deve promover e apoiar a coordenação das atividades das partes interessadas
para alcançar uma direção coerente para a segurança da informação, viabilizando a implantação de programas de
educação, treinamento e conscientização em segurança.

Analisar criticamente o desempenho em relação aos resultados de negócios 

A governança da segurança da informação deve garantir que seja adotada uma abordagem para proteger a informação de
forma adequada aos interesses da organização e que o desempenho da segurança seja mantido nos níveis necessários
para atender aos requisitos de negócio da organização atuais e futuros.

A norma ISO 27014 apresenta um modelo de processo de governança de segurança em que o corpo diretivo executa os
seguintes processos de:

Direção
Avaliação É o processo que direciona quais objetivos e
É o processo que verifica se os objetivos de
segurança atuais e previstos foram atingidos ou
não e possíveis ajustes quando necessário.
1 2 estratégia da segurança da informação precisam
ser implementados. Envolvem ações como
alocação de recursos, priorização de atividades e
gestão de risco.

Monitoramento Comunicação
É o processo que permite ao corpo diretivo avaliar
se os objetivos estratégicos foram atingidos ou
não.
3 4 Processo bidirecional, entre o corpo diretivo e as
partes interessadas, que trocam informações sobre
a segurança da informação.

Garantia
Processo por meio do qual o corpo diretivo
encomenda/autoriza auditorias, análises críticas ou
certificações independentes e objetivas.
5
O corpo diretivo da organização executa os processos de avaliação, direção, monitoração e comunicação para governar a
segurança da informação.

E por meio do processo de garantia poderá solicitar auditorias, análises críticas e certificações independentes, conforme ilustra o
processo a seguir:

Vejamos agora quais são benefícios com a implementação da governança da segurança da informação:

 Agilidade na tomada de decisão em relação aos riscos de segurança.

 Eficiência e eficácia nos investimentos de segurança.

Conformidade com os requisitos externos (legais, regulamentares ou


 contratuais).

 Transparência sobre as ações de segurança da informação.

Você sabe a diferença entre uma ameaça e um ataque?

Segundo a RFC 2828, Internet security glossary:

Ameaça Ataque

 
Potencial para violação da Um ataque à segurança do
segurança quando há uma
circunstância, capacidade, ação
ou evento que pode quebrar a
 sistema, derivado de uma ameaça
inteligente, ou seja, um ato
inteligente que é uma tentativa
segurança e causar danos. Ou deliberada (especialmente no
seja, uma ameaça é um possível sentido de um método ou técnica)
perigo que pode explorar uma de burlar os serviços de
vulnerabilidade. segurança e violar a política de
segurança de um sistema.
Exemplo

Em nosso país, o responsável por manter as Normas de Gestão de Segurança da Informação (ISO 27000) é a ABNT,
representante da ISO no Brasil e responsável por normatizar essa questão. Todo o trabalho relacionado à elaboração e/ou
adaptação das normas ISO na ABNT é realizado por meio de trabalho voluntário e está associado a um dos comitês da ABNT. Na
área de informática, o comitê que trata de assuntos relacionados a área é o comitê CB-021.

ABNT/CB-021 <http://www.abnt.org.br/> - Comitê Brasileiro de Computadores e Processamento de Dados Âmbito de atuação:


Normalização no campo de computadores e processamento de dados compreendendo
automação bancária, comercial, industrial e do controle de acesso por bilhetes
codificados; automação e informática na geração, transmissão e distribuição de dados;
segurança em instalações de informática; técnicas criptográficas; gerenciamento em OSI;
protocolo de serviços de níveis interiores e cabos e conectores para redes locais, no que
concerne a terminologia, requisitos, métodos de ensaio e generalidades.

Atividade
3 - A governança da segurança da informação deve garantir que seja adotada uma abordagem para proteger a informação de
forma adequada aos interesses da organização. Sabendo disso, responda à pergunta:

Qual a norma que apresenta um processo para a sua implementação?

Notas

PDCA 1

Plan, Do, Check, Act.


Referências

ABNT NBR. ISO/IEC 2701. Tecnologia da Informação. Técnicas de Segurança. Sistema de gestão de segurança da Informação.
Requisitos, ABNT, 2013.

______. ISO/IEC 2702. Tecnologia da Informação. Técnicas de Segurança. Código de práticas para controle de segurança. ABNT,
2013.

______. ISO/IEC 2714. Tecnologia da Informação. Técnicas de Segurança. Governança de segurança da informação. ABNT, 2013.

ISO/IEC 27000:2018, Information technology. Security techniques. Information security management systems — Overview and
vocabular. 5.ed. Disponível em: www.iso.org <https://www.iso.org/home.html> Acesso em: 26 fev. 2019.

THE INTERNET SOCIETY. RFC 2828: Internet Security Glossary. IETF, 2000. Disponível em: https://tools.ietf.org/html/rfc2828
<https://tools.ietf.org/html/rfc2828> Acesso em: 26 fev. 2019.

Próxima aula

Conceitos básicos e princípios da Governança de dados e do DAMA-DMBOK;

Princípios e conceito da Governança de Terceirização: eSCM-SP;

Princípios e conceito da Governança de Terceirização: eSCM-CL.

Explore mais

Conheça os sites:

ABNT <https://www.abntcatalogo.com.br/> ;

Cert.br <https://www.cert.br/> ;

NIST <http://csrc.nist.gov/> ;

SecuriTeam <http://www.securiteam.com/> ;

SecurityFocus <http://www.securityfocus.com/> .

Conheça, ainda, a cartilha do Cert.br <https://cartilha.cert.br/> .


Disciplina: Governança em Tecnologia da
Informação

Aula 7: Governança de dados e de terceirização


Apresentação

Nesta aula, conheceremos dois conceitos importantes na implementação da governança de TI nas organizações: a
governança de dados, apresentado pelo DMBOK, e a governança de sourcing, nos modelos eSCM- SP e eSCM-CL.

A governança de dados é a gestão de políticas, processos, pessoas e tecnologias, de forma a estruturar os ativos de
informação dentro da organização. A importância de realizar uma boa governança de dados está no fato de que sua
implementação garante a qualidade dos dados utilizados nesta organização e, consequentemente, ocasiona melhora no
processo de tomada de decisão e na eficiência operacional.

Na governança de sourcing, precisamos considerar que cada vez mais organizações delegam suas atividades de negócio
em TI a provedores externos, como forma de diminuir custos e também gerar inovação e transformação em sua prática
operacional.

Dessa forma, é crucial que as organizações tenham métodos e boas práticas na implementação de ambas as governanças.

Objetivos

Definir os conceitos básicos da governança de dados e do DAMA-DMBOK;

Listar os princípios da governança de terceirização (eSCM-SP);

Explicar a noção de governança de terceirização (eSCM-CL).


Governança de dados
Antes de falarmos de governança de dados, precisamos compreender a diferença entre dados, informação, conhecimento e
sabedoria.

Dados
São a base de todo o processo para geração da sabedoria empresarial. Eles são a matéria-prima necessária para conseguir o
que todas as empresas desejam:

Utilizar o conhecimento das informações para tomar decisões ágeis e corretas.

Eles representam fatos por meio de um conjunto de caracteres primitivos e isolados, geralmente, representados por textos,
números, imagens, sons ou vídeos. De uma forma isolada, os dados não possuem qualquer significado relevante dentro de um
contexto de negócio e podem estar em formato eletrônico digital ou em forma não eletrônica; neste caso, falamos do dado em
impresso em papel.

Exemplos de dados digitais:

Informação estruturada de uma planilha eletrônica Vídeos digitais

Postagens em redes sociais Documentos produzidos por editor de texto


Os dados podem também ser classificados como:

Estruturados São aqueles geralmente armazenados em bancos de dados ou arquivos planos.

Não estruturados São armazenados em planilhas, imagens, sons e áudio. Estima-se que 80% dos dados
das organizações estejam armazenados em formas não estruturadas.

Clique nos botões para ver as informações.


Informação 

Ordenação e organização dos dados de forma a transmitir algum significado e compreensão dentro de um determinado
contexto. Possui algum valor na gestão empresarial, mas ainda abrangente e dispersivo. Geralmente, é obtida por meio do
processamento de uma transação sistêmica ou da utilização de um sistema de apoio à decisão.

Conhecimento 

Quando a informação é processada por meio de padrões de comportamento, tendências e valores agregados por um
conjunto de regras e características de manipulação e são utilizadas como subsídio para o processo de tomada de decisão
e solução de problemas.

Sabedoria 

É a utilização do conhecimento com eficácia e eficiência. Como essa ação depende do comportamento e da competência
humana, muitos autores não reconhecem a sabedoria como o último estágio da cadeia.

Comentário

A ciência de dados é uma ciência que trata de obter conhecimento e informação de forma sistemática, bem como normalizar e
organizar o conhecimento relacionado ao dado. Ela estuda o dado em todo o seu ciclo de vida, da produção ao descarte.

A governança de dados é responsável por gerir os princípios de organização e o


controle de dados e informações.

Envolve a interface com diversas outras funções e estabelece políticas e diretrizes corporativas para governar os dados, além de
atribuir papéis e responsabilidades. É responsável por alinhar tecnologia, processos e pessoas para definir os papéis, as
responsabilidades e os processos necessários para gerir os dados estratégicos da empresa.

Tem como princípios básicos a gestão de dados estratégica, a existência de um ou vários patrocinador(es), além de ser um
programa contínuo na organização. Tem como principais objetivos:

1 2

Permitir melhor tomada de decisão Reduzir o atrito operacional

Proteger as necessidades das partes interessadas


(stakeholders)

4 5

Institucionalizar uma gerência comum no tratamento de Construir padrões, processos e metodologias que possam ser
problemas de dados disseminadas pela organização

Garantir a transparência dos processos por meio da qualidade


dos dados
Como todo processo de governança, é composta por processo, pessoas e tecnologia. Em sua documentação, devem constar os
seguintes documentos:

Clique nos botões para ver as informações.


Estratégia de dados 

É o principal documento que formaliza e reconhece as atividades de gestão e governança de dados na empresa. Por meio
dela, conseguimos dar reconhecimento formal às atividades e também institucionalizar áreas e organizações de apoio que
irão atuar na gestão dos dados da empresa. Também é importante destacar no documento o reconhecimento do dado
como um importante ativo da empresa.

Política de dados 

As políticas de dados são regras gerais e fundamentais que devem ser adotadas pelos profissionais envolvidos com os
dados, desde o seu projeto, criação e utilização até o descarte. Nesse caso, ela pode ser composta por vários documentos
distintos:

• Política para arquitetura de dados;


• Política para modelagem de dados;
• Política para integração de dados;
• Normas e padrões.

Documentos que regulamentam a criação de artefatos resultantes das atividades previstas dentro dos processos de gestão
de dados têm caráter normativo, ou seja, o cumprimento do que está escrito no documento deve ser respeitado. Eles
descrevem o que fazer e o que não fazer. São diferentes dos procedimentos e roteiros, que descrevem como fazer.

Procedimentos 

Ao contrário de normas e padrões, que são documentos normativos, os procedimentos têm como principal característica
orientar as pessoas na execução de algo para atingir algum propósito, seja ele uma simples requisição, produção de um
artefato ou operação de manipulação dos dados. É o documento mais operacional do processo.

Data Management Association (DAMA)


A Data Management Association (DAMA) é uma organização dedicada aos profissionais de gestão de dados e cujo propósito é
promover o entendimento, o desenvolvimento e a prática dos assuntos ligados à gestão de dados.

Sua principal publicação é o Guia Dama-DMbok, conjunto de boas práticas de gestão de dados reunidas em um documento
estruturado em forma de um framework. O conteúdo do guia foi elaborado com a contribuição de diferentes profissionais que
atuam na área de gestão de dados no mundo. Por se tratar de um guia de boas práticas, o documento faz referência a diversas
fontes de informação e conteúdo especializado em cada uma das dez funções de gestão de dados propostas no documento.

Principais objetivos do modelo:

1. Orientar as organizações na definição de premissas para a implementação da gestão de dados nas organizações;

2. Fornecer as diretrizes e a base para a avaliação da eficácia e maturidade da gestão de dados nas organizações;

3. Ser utilizada como referência na melhoria contínua do uso da gestão de dados.

O framework está estruturado em duas visões principais:


Vamos ver cada um deles?

Gestão de dados
A visão de gestão de dados prevê dez funções em que o centro das demais funções é a governança de dados:

Gestão da arquitetura de dados 

Definir em âmbito corporativo os dados necessários para a empresa e também por manter o controle dos modelos
corporativos e demais artefatos da arquitetura de dados corporativa alinhados à arquitetura empresarial da organização.

Desenvolvimento de dados 

Gerir todo o ciclo de vida de criação das estruturas de dados que serão utilizadas nas aplicações. Engloba as atividades de
levantamento dos dados, modelagem dos dados, ajustes, avaliação dos modelos de dados, implementação física e
manutenção das bases de dados relacionadas com os componentes das soluções adotadas.

Gestão operacional de dados 

Gerir os dados estruturados, geralmente armazenados em sistemas gerenciadores de banco de dados, em todo o ciclo de
vida do dado, respeitando as diretrizes estabelecidas nas outras funções de gestão de dados.

Gestão de segurança de dados 

Garantir privacidade, confidencialidade e acesso apropriado a dados e informações.

Gestão de dados mestres e de referência 

Planejar, definir arquitetura, implementar e controlar o uso dos dados mestres e de referência da empresa, mantendo a sua
consistência e exatidão.

Gestão de data warehousing & business intelligence 

Planejar, implementar e controlar processos para prover dados de suporte à decisão e à implementação de análises de
dados sob várias dimensões de análise.

Gestão de conteúdo e documentos 

Planejamento, implementação e controle de atividades para armazenar, proteger e acessar dados estruturados ou não (fora
de bases de dados).

Gestão de metadados 

Integração, controle e entrega de metadados sobre a arquitetura de dados e informações.

Gestão da Qualidade de dados 

Definição, monitoramento e melhoria da qualidade de dados.


Elementos ambientais
Os elementos ambientais representam as variáveis que geram grande influência na seleção, no escopo e na forma de adoção da
disciplina gestão de dados na organização.

São divididos em duas classes: elementos básicos, estão presentes em todas as dez funções de gestão de dados, e elementos
de apoio, necessariamente não estão presentes em todas as funções já que dependem da natureza da função.

A Governança de dados auxilia e direciona as organizações na


composição de todo o sistema de gerenciamento de dados,
possibilitando a estruturação de todos os processos
relacionados à estruturação, ao compartilhamento, ao
armazenamento, à utilização e à qualidade dos dados.

Dessa forma, permite que os dados sejam tratados como


ativos de uma organização, sendo gerenciados e utilizados em
todos os processos da organização, que sejam estratégicos,
decisórios ou operacionais.

Terceirização
Com os avanços tecnológicos dos últimos anos, o crescimento da internet e a globalização dos negócios e da economia, cada
vez mais as organizações delegam atividades de negócios de TI a provedores de serviços externos.

Essas atividades de negócio de TI variam desde tarefas estratégicas até tarefas rotineiras e não críticas. As principais motivações
para essa iniciativa por parte das organizações foram:

Concentração em competências essenciais para o seu Carência de suas próprias necessidades internas
próprio negócio

Oportunidade de maior eficiência nos processos de TI

Excelência operacional Inovação e a redução de custos

O grande desafio enfrentado pelas organizações atualmente é o atendimento das suas expectativas nesses relacionamentos
entre empresas, a contratante e a contratada.

Modelos de recursos de eSourcing foram desenvolvidos para fornecer orientação aos


clientes e provedores de serviços nesses relacionamentos.

O eSourcing Capability Model (eSCM) é um modelo desenvolvido pelo Information Technology Services Qualification Center
(ITSqc), da Carnegie Mellon University (CMU) que apresenta as melhores práticas voltadas à capacidade e qualidade de serviços
de TI ou suportados por TI, especificamente nos serviços e relacionamentos de terceirização ou sourcing (outsourcing e
insourcing).

O eSCM é dividido em dois modelos:

1 2

eSCM-SP eSCM-CL
Modelo de Recursos de eSourcing para provedores de (Modelo de Recursos de eSourcing para Organizações de
Serviços) para organizações que prestam serviço Clientes) para as organizações contratantes.
eSCM-SP
O Modelo de Recursos de eSourcing para Provedores de Serviços foi desenvolvido com o objetivo de complementar os modelos
de qualidade já existentes e implementado nas organizações e auxiliar as organizações de terceirização a gerenciar e reduzir os
riscos e melhorar suas capacidades em todo o seu ciclo de vida de fornecimento. Ele apresenta 84 práticas que são distribuídas
em três dimensões:

Áreas de capacidade de eSCM-SP


O modelo eSCM-SP apresenta dez áreas de capacidade que fornecem agrupamentos de práticas que podem auxiliar no
gerenciamento do modelo:

Gestão do conhecimento Compartilhamento do conhecimento com todos da organização.

Gestão de pessoas Atividades que envolvem o comprometimento e a participação das pessoas no âmbito da
organização. Contratação, definição de papéis e responsabilidades, desenvolvimento de
competências e carreira e ainda feedback periódico de desempenho.

Gerenciamento de desempenho Definição dos objetivos organizacionais e das metas de desempenho, medição da capacidade
organizacional e implantação de melhorias de desempenho.

Gestão de relacionamento Ações que envolvem o relacionamento com cliente, fornecedores e parceiros como: obtenção
do feedback do cliente, oportunidades de adicionar valor ao cliente, seleção de fornecedores
etc.

Gerenciamento de tecnologia Gerenciamento das aquisições em tecnologia, da integração tecnológica e otimização de


desempenho, da integração da tecnologia da organização com a do cliente e ainda do
gerenciamento das tecnologias licenciadas.

Gerenciamento de ameaças Compromisso com as políticas de gestão de riscos, gestão da segurança e recuperação de
desastres e monitoramento de requisitos de compliance1 .

Contratação Entendimento dos requisitos do cliente, da análise da capacidade da organização para atender
às necessidades e aos requisitos do cliente, da determinação das premissas dos serviços a
serem realizados e definição de um acordo formal.

Design e implantação de serviços Especificação dos serviços a serem fornecidos ao cliente, sua implantação e verificação se está
atendendo ou não as especificações acordadas com o cliente.

Prestação de serviços Planejamento e monitoramento das atividades de entrega dos serviços de acordo com os
requisitos do cliente que abrange a identificação e controle de mudanças e identificação de
problemas.

Transferência de serviço Gerenciamento da transferência dos recursos de volta para o cliente ou para um novo provedor
de serviço e da garantia de continuidade de serviço durante o processo de transferência de
recursos.

Nível de capacidade
O modelo eSCM-SP apresenta cinco níveis de maturidade para os fornecedores de serviços:

1 Indica que a organização está fornecendo um serviço.

Indica que a organização tem procedimentos em vigor para permitir que ela atenda consistentemente aos
2 requisitos de seus clientes. 
Indica que uma organização é capaz de gerenciar seu desempenho de forma consistente em todos os
3 compromissos.

4 Indica que uma organização é capaz de agregar valor aos seus serviços por meio da inovação.

5 indica que uma organização provou que pode sustentar a excelência por um período de pelo menos dois anos.

Ciclo de vida de fornecimento


O ciclo de vida de fornecimento é composto pelas seguintes fases:

 Ciclo de vida. Fonte: Elaborada pelo autor

Vamos conhecer essas fases:


Clique nos botões para ver as informações.
Ongoing 

Ocorre ao longo de todo o ciclo de sourcing e representa as funções gerenciais. Abrange as seguintes atividades:
• Gerenciar e motivar os recursos humanos envolvidos na entrega efetiva dos serviços;
• Gerenciar a infraestrutura de TI utilizada como suporte para a entrega dos serviços;
• Gerenciar a informação e o conhecimento, de forma que todos os envolvidos no processo possam usá-los para
desempenhar seu trabalho;
• Gerenciar os relacionamentos com clientes, fornecedores e parceiros de negócios;
• Monitorar o desempenho organizacional e tomar ação corretiva em caso de desvio;
• Gerenciar as ameaças que possam afetar à organização no atendimento aos seus objetivos e aos requisitos dos clientes.

Iniciação 

Contempla as seguintes atividades relacionadas ao início do processo de sourcing:


• Entender os requisitos do cliente;
• Analisar a capacidade da organização no atendimento dos requisitos do cliente;
• Discutir junto ao cliente as premissas do trabalho;
• Estabelecer um acordo formal com o cliente;
• Identificar a especificação dos serviços a serem prestados;
• Monitorar se os serviços especificados estão atendendo aos requisitos acordados com o cliente;
• Gerenciar o processo de design e implantação do serviço.

Entrega 

A fase de entrega abrange as seguintes atividades:


• Planejamento e controle da entrega dos serviços conforme acordado com o cliente;
• Treinamento dos clientes e usuários finais nos novos serviços, caso necessário;
• Gerenciamento os aspectos financeiros dos serviços entregues;
• Gestão de mudança e incidentes dos serviços entregues.

Encerramento 

A fase encerramento contempla as seguintes atividades:


• Gerenciamento da transferência do serviço para outro provedor ou para o próprio cliente;
• Garantia da continuidade do negócio durante a fase de transferência de serviço.

eSCM-CL

A ITSqc desenvolveu outro modelo de recursos de eSourcing para Organizações de Cliente, em que são apresentadas práticas
que permitem às empresas clientes avaliarem e aprimorarem seus relacionamentos com fornecedores, transformando esses
relacionamentos mais duradouros e confiáveis.

Ele aborda um conjunto completo de tarefas desde o desenvolvimento da estratégia de sourcing da organização, planejamento
para seleção e seleção de fornecedores de serviços, até o gerenciamento da prestação de serviços e sua finalização.

Os principais objetivos do modelo são auxiliar as empresas clientes a:


1. Melhorar suas capacidades em relação às atividades de sourcing;
2. Auxiliar na melhoria contínua das relações de sourcing;
3. Auxiliar na mitigação dos riscos nas relações de sourcing;
4. Auxiliar a criar competência na gestão das atividades de sourcing;
5. Avaliar suas próprias capacidades em serviços de sourcing de TI.

O modelo apresenta 95 práticas que abordam os recursos críticos necessários aos clientes de serviços habilitados para TI, em
que cada prática do modelo é organizada em três dimensões:
Áreas de capacidade de eSCM-CL
Gestão da estratégia de sourcing Tem como objetivo o estabelecimento de objetivos organizacionais ou metas para o sourcing e
a definição da sua estratégia: estrutura, o que contratar, as formas de contratação, o
desenvolvimento de parcerias etc.

Gestão da governança Define a estrutura organizacional e dos processos gerenciais organizacionais, procedimentos e
processos específicos para o sourcing. Realiza ainda o alinhamento das atividades de sourcing
com o negócio.

Gestão do relacionamento Enfatiza a importância do estabelecimento e o gerenciamento de relacionamentos de longo


prazo com os provedores de serviços e sua gestão.

Gestão do valor Fomenta a cultura de melhoria contínua no processo de sourcing, garantindo o alinhamento
com os objetivos da organização e promovendo a inovação, de forma a superar as expectativas
das partes interessadas.

Gestão da mudança organizacional Trata do planejamento para a gestão de mudança e comunicação que a organização como um
todo sofrerá, considerando o processo de sourcing e as novas formas de trabalho.

Gestão de pessoas Aborda o desenvolvimento das competências necessárias e o gerenciamento dos recursos e do
ambiente necessários para a implementação do sourcing na organização.

Gestão do conhecimento Trata do compartimento entre todos da organização para desempenhar seu trabalho em
relação ao sourcing e lições aprendidas.

Gestão da tecnologia Aborda a gestão da estratégia e arquitetura tecnológica, assim como o monitoramento e
gerenciamento da infraestrutura, incluindo a gestão da mudança e a gestão dos ativos da
organização.

Gestão de ameaças Trata do gerenciamento ativo de ameaças, gestão de riscos, proteção contra ameaças,
continuidade do negócio e compliance.

Análise de oportunidades de Trata da identificação de áreas, processos ou funções da organização com potencial para serem
sourcing terceirizadas em parte ou totalmente.

Abordagem de sourcing Trata do modelo de sourcing possível de implementação pela organização. Apresenta temas
como análise de impacto e risco, abordagem de sourcing e elaboração de bussiness case.

Planejamento de sourcing Trata do planejamento da implementação das iniciativas de sourcing planejadas da abordagem
de sourcing para as iniciativas planejadas. Cobre temas como projeto de sourcing, plano de
sourcing e definição de requisitos e acordos.

Avaliação do fornecedor de serviço Trata da identificação dos potenciais fornecedores de serviços e da seleção dos principais
fornecedores.

Acordos de serviços Trata da definição de metas e medições, a confirmação de capacidades e negociações dos
níveis serviços de sourcing.

Transferência de serviços Trata da gestão da transferência dos serviços, do conhecimento, pessoas e recursos entre o
cliente e o fornecedor.

Gestão dos serviços contratados Trata da capacidade da organização (gestão de desempenho, financeira, mudanças) para o
gerenciamento dos serviços contratados e da gestão de problemas em relação ao andamento
dos serviços.

Encerramento do sourcing Trata das atividades de encerramento do relacionamento da contratante e contratada, da


garantia da continuidade dos serviços e encerramento formal.

Ciclo de vida de sourcing


A estrutura do ciclo de vida de sourcing na visão do cliente é similar ao do ciclo de vida de fornecedor (eSCM-SP) visto
anteriormente, porém com a inclusão de mais uma atividade, a análise.
Clique nos botões para ver as informações.
Ongoing 

Esta fase ocorre durante todo o ciclo do processo de sourcing. Contempla as atividades necessárias para definição da
estratégia de sourcing e o gerenciamento das informações necessárias para que os envolvidos possam desempenhar suas
atividades. É nesta fase que também são realizados o gerenciamento das necessidades de mudanças organizacionais e o
monitoramento do desempenho e na melhoria contínua das atividades de sourcing.

Análise 

Nesta fase, ocorre o entendimento da situação atual da organização e cliente e os critérios relevantes para selecionar
oportunidades de sourcing. Para cada nova opção deverá ser desenvolvida a análise de impacto e os riscos associados, o
caso de negócio e a decisão se será realizada ou não o sourcing.

Início 

Na fase de início são avaliados os potenciais fornecedores de serviços, ocorre a seleção do serviço e o critério de seleção.
São definidos também os níveis de serviço e as medições de desempenho do fornecedor. É estabelecido o acordo formal
com as responsabilidades de ambas as partes.

Entrega 

Nesta fase, ocorre o planejamento e controle das atividades de gestão de sourcing de forma a garantir que os serviços
sejam entregues de acordo com os níveis de serviço acordados. A parte financeira de cada entrega deverá ser gerenciada e
identificada e deve ser monitorado e resolvido os problemas que possam impactar na entrega do serviço. Deve ser
assegurado nesta fase que a provisão de serviço agregue valor para a organização contratante.

Conclusão 

Nesta fase, há o gerenciamento da finalização do serviço e a garantia da continuidade do negócio durante a fase de
transferência de serviço.

Nível de capacidade
O modelo eSCM-CL apresenta cinco níveis de maturidade para caminho de evolução do cliente de serviços rumo à excelência em
gestão de sourcing:

Executando o Sourcing: Indica que a organização cliente possui poucas práticas do modelo implementadas,
1 pouca capacidade de gestão e, consequentemente, alto risco de insucesso no sourcing e pouco alinhamento com
as necessidades do negócio.

Gerenciando o sourcing consistentemente: Indica que a organização cliente tem procedimentos formalizados
2 para o gerenciamento de suas atividades de sourcing e é capaz de gerenciar o sourcing, mas não da mesma
maneira no âmbito da organização inteira.

Gerenciando o desempenho do sourcing em âmbito organizacional: Indica que a organização cliente é capaz de
gerenciar o desempenho do sourcing de acordo com a estratégia da organização, de entender o mercado e os
3 provedores de serviços (incluindo atributos culturais), de identificar e gerenciar os riscos e de gerenciar o sourcing
com base em processos organizacionais estabelecidos. Além disso, tentam melhorar, de forma contínua, sua
capacidade de gerenciamento do sourcing. Entretanto, a melhoria das atividades ainda é reativa.

Aperfeiçoando o valor proativamente: Indica que a organização cliente é capaz de inovar continuamente para
adicionar valor significativo às atividades de sourcing, estando aptas a customizar sua abordagem de sourcing em
4 função de vários fornecedores e tipos de serviços, a desenvolver relacionamentos que agreguem valor ao negócio,
encorajando inovação, a entender o valor de suas atividades de sourcing e a prever o desempenho baseado em
experiências prévias.

Sustentando a Excelência: Indica que a organização cliente mantém a excelência em serviços, executando as 95
5 práticas dos níveis 2, 3 e 4 durante duas ou mais avaliações de certificação consecutivas, em um período de pelo
menos dois anos. Não há práticas adicionais neste nível.

Atividade
1. A área responsável por alinhar tecnologia, processos e pessoas para definir os papéis, as responsabilidades e os processos
necessários para gerir os dados estratégicos da empresa é:

a) Governança de dados.
b) Governança de terceirização.
c) Governança de ativos.
d) Governança de operações.
e) Governança de processos.

2. O Modelo de Recursos de eSourcing para Provedores de Serviços foi desenvolvido com o objetivo de auxiliar as organizações
de terceirização a gerenciar e reduzir os riscos e melhorar suas capacidades em todo o seu ciclo de vida de fornecimento. Quais
são as áreas de capacidade para auxiliar as organizações no gerenciamento do modelo?

3. Qual é o modelo em que são apresentadas práticas que permitem às empresas e aos clientes avaliarem e aprimorarem seus
relacionamentos com fornecedores, transformando estes relacionamentos mais duradouros e confiáveis? Explique-o.

Notas

Compliance 1

Você sabe o que é compliance?


Uma empresa estar compliance significa que esta organização atende aos normativos dos órgãos reguladores de acordo com as
atividades desta organização. É estar de acordo com leis e regulamentos internos e externos desta organização.

Exemplos de órgãos reguladores no Brasil: ANATEL, ANS, ANVISA, ANCINE, BACEN. .

Referências

ARAGON, A.F.; ABREU, V. F. Implantando a Governança de TI: da Estratégia à Gestão dos Processos e Serviços. 4.ed. Rio de
Janeiro: Brasport, 2014.

REGO, B.L. Gestão e Governança de dados: promovendo dados como ativo de valor nas empresas. Rio de Janeiro: Brasport,
2013.

Próxima aula
Modelo de processo de software apresentado pelo ISO 12207;

Modelo de processo de software apresentado pelo CMMI e MPS-SW;

Modelo de processo de software apresentado pelos métodos ágeis.

Explore mais

Assista ao vídeo:

O que é governança de dados? <https://www.youtube.com/watch?v=icIgspqFbFo&t=37s>

Leia o texto:

eSCM-SP – Certified organizations <http://www.itsqc.org/certification/certified-sp.html>

Conheça:

The Global Data Management Community — DAMA International <https://dama.org/content/body-knowledge>

Conheça os eSourcing Capability Models  – ITSqc <http://www.itsqc.org/> .


Disciplina: Governança em Tecnologia da
Informação

Aula 8: Governança de software


Apresentação

No cenário de globalização da economia, a tecnologia tornou-se parte das soluções de negócio das organizações. Os
recursos de Tecnologia de Informação ocupam cada vez mais posições estratégicas como forma de agregar valor ao
negócio e viabilizar o diferencial competitivo das empresas.

Torna-se cada vez mais evidente a importância da revisão dos modelos de gestão pelas organizações a fim de que elas
possam perceber se estão no caminho certo ou não.

A área de processos de software talvez seja a área para os quais mais modelos de melhores práticas foram desenvolvidos
ao longo dos anos. O que fica mais evidente no momento é que o os processos de software precisam ser integrados e
tratados de forma interdisciplinar.

Objetivos

Compreender os modelos de processo de software apresentados por: ISO 12207, CMMI e MPS-SW;

Exemplificar esses modelos.


ISO 12207
O objetivo da norma ISO/IEC 12207 é criar um framework que possibilite uma linguagem comum para a criação e o
gerenciamento do software.

Sua criação foi motivada, anos atrás, pela necessidade de padrões na área de software. Tem como objetivo auxiliar a produção de
software por meio de processos bem definidos, proporcionando uma definição clara de papéis dos envolvidos e um
entendimento comum das atividades a serem executadas.

Como é orientada a “Processos de Ciclo de Vida do Software”, ela cobre todo o ciclo, desde a concepção do software até o seu
descarte, incluindo os processos para aquisição e suprimento de produtos de software e serviços, assim como os processos
para controle e melhoria. Porém, ela não especifica como implementar ou desempenhar as atividades e tarefas incluídas nos
processos.

A norma está organizada em 7 seções e 4 anexos, vejamos:

Escopo e campo de aplicação Referências normativas

Definições Aplicação da norma

Processos fundamentais do ciclo de vida Processos de apoio ao ciclo de vida

Processos organizacionais do ciclo de vida Anexos

Estrutura de processo
Os processos do modelo são divididos em três categorias:
Fundamentais Apoio

Atendem às partes fundamentais do processo (cliente, Contribui para a qualidade e o sucesso do projeto de
fornecedor, desenvolvedor, operador do software). software e é realizado, quando necessário, e por outro
processo.

Organizacionais

Tratam da melhoria contínua dos processos e da


estrutura.

Cada categoria é desmembrada nos seguintes processos:


Veremos os processos de cada etapa:
PROCESSOS FUNDAMENTAIS

Clique nos botões para ver as informações.


Aquisição 

Define as atividades de aquisição do produto de software, sistema ou serviço de acordo com as necessidades do cliente.
Fazem parte deste processo as atividades de identificação:
• das necessidades;
• da preparação de proposta de aquisição;
• da preparação do contrato;
• do monitoramento do fornecedor e
• da aceitação do produto ou serviço.

Fornecimento 

Define as atividades do fornecedor do sistema, software ou serviço de acordo com os requisitos acordados com o cliente.
Fazem parte deste processo as atividades de:
• revisão dos requisitos;
• preparação de resposta;
• contratação;
• planejamento
• execução e controle;
• revisão e avaliação; e
• entrega.

Desenvolvimento de software 

Define as atividades do desenvolvedor do software para transformar um conjunto de requisitos em um produto de software
ou sistema que atenda às necessidades expressas pelo cliente. Fazem parte deste processo as seguintes atividades:
• implementação do processo;
• análise dos requisitos;
• projeto da arquitetura;
• projeto detalhado;
• codificação e teste;
• instalação do software e
• suporte de aceitação do software.

Operação 

Define as atividades para operar o produto de software. Fazem parte desse processo as seguintes atividades:
• gestão de incidentes;
• problemas e mudança;
• teste operacional;
• operação do sistema e
• suporte ao usuário.
Manutenção 

Define as atividades de gerenciamento das modificações do produto após sua entrega para corrigir falhas, melhorar seu
desempenho ou características. Fazem parte desse processo as seguintes atividades:
• implementação do processo (recebimento de solicitações e interface com gestão da configuração);
• análise de problemas e modificações;
• implementação da modificação;
• migração e desativação do software.
PROCESSOS FUNDAMENTAIS

Clique nos botões para ver as informações.


Documentação 

Define as atividades para o desenvolvimento e registro das informações pelos processos do ciclo de vida do software.
Fazem parte desse processo as seguintes atividades:
• implementação do processo de padronização da documentação (estrutura, formato, versionamento dos documentos);
• projeto;
• desenvolvimento;
• produção e
• manutenção da documentação.

Gerência de con guração 

Define as atividades para o estabelecimento e a manutenção da integridade de todos os produtos de trabalho de um


processo. Fazem parte desse processo as seguintes atividades:
• implementação do processo;
• identificação;
• controle;
• status;
• avaliação e
• gestão de versão das configurações dos produtos de trabalho.

Garantia da qualidade 

Define as atividades para assegurar, objetivamente, que o produto de software e os processos estejam em conformidade
com os requisitos especificados e aderentes aos planos estabelecidos. Fazem parte desse processo as seguintes
atividades:
• implementação do processo;
• garantia do produto;
• garantia do processo e
• garantia da qualidade do sistema.

Veri cação 

Define as atividades para a verificação se o produto reflete os requisitos especificados. Fazem parte desse processo as
atividades de verificação durante todo o ciclo de vida do produto de software:
• contrato;
• processo;
• requisitos;
• projeto;
• código;
• integração e
• documentação.
Validação 

Define as atividades para confirmar se os requisitos de uso específico e definidos para o software foram atendidos. Fazem
parte desse processo as atividades:
• definição das atividades (para o comprador, o fornecedor ou para uma terceira parte independente) de validação dos
produtos dos projetos de software;
• implementação do processo;
• realização de teste de desempenho, de segurança, de aceitação.

Revisão conjunta 

Define as atividades para avaliar o progresso obtido em relação aos objetivos acordados com os stakeholders. Fazem parte
desse processo as seguintes atividades:
• implementação do processo;
• revisões de gestão do projeto e
• revisões técnicas.

Auditoria 

Define as atividades para determinar a conformidade dos produtos de software com:


• requisitos;
• planos e
• contratos.

Usabilidade 

Define as atividades para minimizar as chances de rejeição dos produtos de software pelos usuários, considerando os
interesses e as necessidades dos envolvidos.

Resolução de problemas 

Define as atividades para assegurar que todos os problemas identificados sejam analisados e resolvidos,
independentemente da sua natureza e origem.

Avaliação do produto 

Define as atividades para executar de forma sistemática o exame e as medições no produto para garantir que o mesmo
atenda às necessidades especificadas pelos usuários.
PROCESSOS FUNDAMENTAIS

Clique nos botões para ver as informações.


Gerência 

Define as atividades básicas de gestão dos processos (iniciação e execução) de forma a atingir as metas de acordo com
organização.

Infraestrutura 

Define as atividades para o estabelecimento da estrutura de suporte de um processo de ciclo de vida por meio da
manutenção de um ambiente estável e confiável (hardware e software).

Melhoria 

Define as atividades para estabelecer, avaliar, medir, controlar e melhorar o processo de ciclo de vida de software.

Recursos humanos 

Define as atividades para fornecer os recursos humanos adequados e com as competências necessárias para o
atendimento às necessidades de negócio da organização.

Gestão de ativos 

Define as atividades de gerenciamento do ciclo de vida dos ativos reutilizáveis desde sua concepção até sua
descontinuidade.

Gestão de programa de reuso 

Define as atividades de gestão do programa de reuso e, sistematicamente, explorar as oportunidades de reúso.

Engenharia de domínio 

Define as atividades para o desenvolvimento e a manutenção de modelos, arquiteturas e ativos de domínio.


 Fonte: Unplash.com

CMMI
Na década de 1980, o Instituto de Engenharia de Software (SEI) foi criado com o objetivo de fornecer software de qualidade para
o Departamento de Defesa dos EUA e aumentar a capacitação da indústria de software.

Após uma avaliação da indústria de software, foi criado o Modelo de Maturidade da Capacitação (CMM) e, posteriormente, vários
outros modelos semelhantes e compatíveis com o CMM foram definidos, sendo um deles o CMM para Software.

O principal fundamento do CMM é que a medida que a maturidade do processo aumenta, a


qualidade do produto melhora.

Com o objetivo de integrar os modelos de capacitação que foram surgindo, o SEI propôs o CMM Integrado (CMMI), que define:
Áreas de processos
O CMMI define 22 áreas de processos que são organizadas em quatro grupos:
Clique nos botões para ver as informações.
Gerência de processo 

• Definição de processo organizacional;


• Foco no processo organizacional;
• Treinamento organizacional;
• Desempenho de processo organizacional;
• Inovação e implantação organizacional.

Gerência de projetos 

• Planejamento de projeto;
• Monitoração e controle de projeto;
• Gerenciamento de acordo com fornecedores;
• Gerenciamento de projeto integrado;
• Gerenciamento de riscos;
• Gerenciamento quantitativo de projeto.

Engenharia 

• Gerenciamento de requisitos;
• Desenvolvimento de requisitos;
• Solução técnica;
• Integração de produto.

Apoio 

• Gerenciamento de configuração;
• Gerenciamento de qualidade de processo e produto;
• Medição e análise;
• Análise de decisão e resolução;
• Análise causal e resolução;
• Verificação;
• Validação.

Os objetivos de área descrevem um estado desejado a ser atingido pela organização.

As práticas para alcançar os objetivos descrevem maneiras de se atingir um objetivo. São as


atividades consideradas importantes para o atendimento dos objetivos específicos de cada
área.

Representação
O CMMI possui duas abordagens:
por estágios contínua

Essas abordagens foram reunidas na versão 1.3 do CMMI, em um mesmo documento, dentro do conceito de “constelação”. Uma
constelação é uma coleção de componentes gerada a partir do framework CMMI e engloba:

1. Um modelo fundamental;

2. Materiais de treinamento;

3. Documentação relacionada a avaliações específicas.

As seguintes constelações fazem parte do escopo do CMMI:

1 2

CMMI-DEV (CMMI para Desenvolvimento) CMMI-SVC (CMMI para Serviços)


Fornece diretrizes para o monitoramento, a medição e o Fornece diretrizes para entrega de serviços dentro das
gerenciamento do processo de desenvolvimento de software. organizações e para clientes externos.

CMMI-ACQ (CMMI para Aquisições)


Fornece diretrizes para suporte às questões relacionadas à
aquisição de produtos e serviços.

Representação por estágio

Ela descreve os objetivos que devem ser alcançados em cada nível de maturidade. Um nível de maturidade pode ser considerado
um degrau evolucionário para o nível seguinte.

Permite avaliação da maturidade do processo em 5 níveis de maturidade:


Representação contínua

Permite que cada uma de suas áreas de processo seja implementada de forma independente e evolutiva. A organização escolhe
as áreas de processos para as quais deseja implementar.

As práticas são agrupadas em 4 níveis de capacidade:

Nível 0: Incompleto
Processo não é executado ou é parcialmente executado, ou
seja, uma (ou mais) das metas específicas de sua área de
processo não é satisfeita.

Nível 1: Executado
O processo satisfaz todas as metas específicas de sua área de
processo e realiza o trabalho necessário para gerar os seus
produtos.

Nível 2: Gerenciado
O processo é planejado e executado de acordo com políticas
organizacionais, utiliza recurso humano habilitado e recursos
adequados para gerar saídas de forma controlada.

Nível 3: Definido
O processo é gerenciado e adaptado a partir de um conjunto
de processos padronizados da organização.

E qual das abordagens utilizar, por estágio ou contínua?


Abordagem contínua Abordagem por estágios

É recomendada para organizações que tenham É recomendada para organizações que estão
preferências por uma evolução gradual na sua familiarizadas com a incorporação de melhorias nos
capacidade. A vantagem desse modelo está na diluição seus processos organizacionais por meio de modelos
do investimento a ser feito no programa de melhoria ao de qualidade baseados na melhoria simultânea e
longo do tempo, entretanto, existe a desvantagem de integrada de vários processos.
maior esforço para gerenciar a evolução segregada de
cada prática.

 
Níveis de capacidade Níveis de maturidade

Agrupamento de áreas de processo Agrupamento de área de processo


por categoria por nível

Avaliação da capacidade nas áreas de Avalialção da organização/unidade


processo organizacional como um todo

Níveis capacidade X maturidade

Capacidade (Contínua) Maturidade (Por estágio)


Maturidade (Por estágio)

Nível 0 – Incompleto (Ad hoc)

Nível 1 - Executado Nível 1- Inicial (Ad hoc)

Nível 2 - Gerenciado Nível 2 -Gerenciado

Nível 3 - Definido Nível 3 - Definido

Nível 4 – Quantitativamente Gerenciado

Nível 5 – Otimizado
Modelo MPS-SW
Foi criado um modelo em 2003 — pela SOFTex, em parceria com o Ministério da Ciência, Tecnologia, Inovação e comunicações
(MCTIC) do governo brasileiro — com o objetivo de melhorar a capacidade de desenvolvimento de software, serviços e práticas de
gestão na indústria de TIC.

Uma das motivações criá-lo foi o alto custo para a obtenção, por parte das empresas nacionais, em modelos específicos
orientados a processo de software como o CMMI. No início do século XXI, era comum às empresas brasileiras de software a
utilização da norma ISO 9000 como modelo de qualidade, em vez de modelos específicos orientados a processos de software
(tais como o CMM – Capability Maturity Model). O modelo tem como base técnica a NBR ISO/IEC 12207 e o CMMI-DEV.

Segundo a Softex, o modelo permanece no ranking de melhoria da capacidade de desenvolvimento de software e serviços TI,
como o número 1 nas empresas brasileiras.

O modelo MPS-BR oferece três modelos de referência:


MPS-SW MPS-SV
Software Serviços

Detalha o Modelo de Referência MPS para Software Detalha o Modelo de Referência MPS para Serviços
(MR-MPS-SW), seus componentes e suas definições (MR-MPS-SV), seus componentes e suas definições
comuns necessárias para seu entendimento e sua comuns necessárias para seu entendimento e
aplicação. aplicação.

MPS-RH
Gestão de Pessoas

Detalha Modelo de Referência MPS para Gestão de


Pessoas (MR-MPS-RH), seus componentes e suas
definições comuns necessárias para seu entendimento
e aplicação.

Níveis de maturidade

O modelo apresenta 7 níveis de maturidade. Cada nível estabelece um patamar de evolução do processo e representa um estágio
de melhoria para a implementação de processos na organização. A cada nível está associado um conjunto de processos e de
atributos de processo.

Capacidade de processos

A capacidade de um processo expressa o grau de refinamento e institucionalização com o qual o processo é executado na
organização. À medida que a organização evolui nos níveis e na maturidade apresentados pelo modelo MPS-SW um maior nível
de capacidade dever ser atingido.

A tabela abaixo apresenta os níveis de maturidade do modelo, os processos, atributos de processo correspondente e a
correspondência com os níveis do CMMI.
 Fonte: Adaptado do Guia Geral MPS de Software, Softex
Segundo o Guia geral do MPS de Software, os atributos de processo AP 4.1, AP 4.2, AP 5.1 e AP 5.2 somente devem ser
implementados em processos críticos da organização selecionados para análise de desempenho. Os demais atributos de
processos devem ser implementados para todos os processos.

 Fonte: Shutterstock
Processos do modelo MPS-SW

Gerência de projetos
O objetivo do processo é estabelecer e manter planos que definem atividades, recursos, responsabilidades e informações do
projeto de forma a realinhar os desvios.

Gerência de requisitos
O objetivo deste processo é realizar a gestão dos requisitos do produto e dos componentes do produto do projeto, e identificar
inconsistências entre os requisitos, os planos do projeto e os produtos de trabalho do projeto.

Aquisição
O objetivo desse processo é gerenciar a aquisição de produtos que satisfaçam às necessidades de negócio da organização e do
cliente.

Gerência de configuração
O objetivo desse processo é estabelecer e manter a integridade de todos os produtos de trabalho de um processo ou projeto e
disponibilizá-los a todos os envolvidos.

Gerência de portfólio de projetos


O objetivo desse processo é monitorar continuamente os projetos a fim de validar o atendimento dos objetivos estratégicos de
maneira suficiente e sustentável, e sua continuidade ou não.

Garantia da qualidade
O objetivo é garantir a conformidade dos produtos e dos processos com os planos, procedimentos e padrões estabelecidos.

Medição
O objetivo desse processo é realizar a medição dos dados relativos aos produtos, processos e projetos como forma de apoiar os
objetivos organizacionais.

Avaliação e melhoria do processo organizacional


O objetivo desse processo é a intensidade da contribuição dos processos organizacionais no atingimento dos objetivos de
negócio da organização e fomentar um processo de melhoria contínua nos processos.

Definição do processo organizacional


O objetivo desse processo é a manutenção de um conjunto de ativos de processo organizacional e padrões do ambiente de
trabalho necessários e essencial ao negócio da organização.

Gerência de Recursos Humanos


O objetivo desse processo é o provimento dos recursos humanos e a manutenção das suas competências nos projetos e na
organização para atender às necessidades de negócio.
Gerência de reutilização
O objetivo desse processo é a gestão do ciclo de vida dos ativos reutilizáveis.

Desenvolvimento de requisitos
O objetivo desse processo é a definição dos requisitos do cliente, do produto e dos componentes do produto.

Integração do produto
O objetivo desse processo é gestão dos componentes do produto para garantir um produto integrado e consistente com seu
projeto e que os requisitos funcionais e não funcionais sejam satisfeitos.

Projeto e construção do produto


O objetivo desse processo é o projeto, desenvolvimento e a implementação de soluções para atender aos requisitos.

Validação
O objetivo desse processo é a confirmação que um produto ou componente do produto atenderá a seu uso pretendido quando
colocado no ambiente para o qual foi desenvolvido.

Verificação
O objetivo desse processo é a confirmação de que cada serviço e/ ou produto de trabalho do processo ou do projeto atenda
apropriadamente aos requisitos especificados.

Desenvolvimento para reutilização


O objetivo desse processo é identificar e estabelecer um programa de reutilização de ativos da organização a partir da engenharia
de domínios de aplicação.

Gerência de decisões
Tem como objetivo analisar possíveis decisões críticas usando um processo formal, com critérios estabelecidos, para avaliação
das alternativas identificadas.

Gerência de riscos
O objetivo desse processo é identificar, analisar, tratar, monitorar e reduzir continuamente os riscos no nível de projeto e
organizacional.

Atividade
1. O objetivo da norma ISO/IEC 12207 é criar um framework que possibilite uma linguagem comum para a criação e o
gerenciamento do software. Nesse modelo, os processos são divididos em quais categorias? Explique-as.

2. O Modelo de Maturidade da Capacitação Integrado (CMMI) tem como principal fundamento o seguinte: à medida que a
maturidade do processo aumenta, a qualidade do produto melhora.

Esse modelo apresenta duas abordagens para sua implementação. Cite-as e explique-as.

3. O modelo MPS-BR desenvolvido pela Softex apresenta quais modelos de referência como forma de auxiliar as organizações?

Referências

ARAGON, A.F.; ABREU, V. F. Implantando a Governança de TI: da Estratégia à Gestão dos Processos e Serviços. 4.ed. Rio de
Janeiro: Brasport, 2014.

ISO/IEC 12207:2011 Systems and software engineering – Software life cycle processes.

SOFTEX, Guia Geral MPS de Software, 2016. Disponível em: https://www.softex.br/wp-


content/uploads/2018/11/MPS.BR_Guia_Geral_Software_2016-com-ISBN.pdf <https://www.softex.br/wp-
content/uploads/2018/11/MPS.BR_Guia_Geral_Software_2016-com-ISBN.pdf> . Acesso em: 4 fev. 2019.

Próxima aula

Modelos de gestão de serviços apresentados por ITIL (ISO 20000), CMMI (MPS-BR) e USMBOK (MOF).

Explore mais

Para saber mais sobre os assuntos estudados nesta aula, acesse os seguintes portais:
• CMMI Institute <http://cmmiinstitute.com/> .
• Software Engineering Institute <http://www.sei.cmu.edu/process/index.cfm> .
• ISO – International Organization for Standardization <https://www.iso.org/home.html> .
29/05/2020 Estácio - Disciplina online
Acessibilidade  A+ A-

Tópicos da aula

ITIL ISO 20000 Atividade Sistema de gestão de serviço (SGS) Requisitos de um sistema de gestão de serviços CMMI-SVC Atividade Modelo MPS-SV Processos do
modelo MPS-SV Atividade

Disciplina: Governança em Tecnologia da Informação

Aula 9: Governança de serviços

Apresentação
Como discutimos na aula passada, a tecnologia tornou-se parte das soluções de negócio das organizações. Consequentemente os recursos de Tecnologia de Informação
ocupam cada vez mais posições estratégicas agregando valor ao negócio e viabilizando o diferencial competitivo das organizações.

Desta forma os negócios da organização que são sustentados pela Tecnologia da Informação necessitam de velocidade e competência para que possa atingir altos
resultados.

Nesta aula analisaremos os principais modelos de boas práticas e recomendações internacionais que podem auxiliar as organizações na gestão da TI.

Bons estudos!

Objetivos
Examinar o modelo de gestão de serviços apresentado pelo ITIL;
Analisar o modelo de gestão de serviços do ISO 20000;
Descrever o modelo de gestão de serviços de CMMI-SVC, MPS-BR.

ITIL

11:37

O ITIL foi desenvolvido na década de 1980, na Inglaterra, com o objetivo de auxiliar as empresas britânicas, com uma abordagem de melhores práticas para gerenciar
a utilização eficiente e responsável dos recursos de TI.


Fonte: Pixabay.

estacio.webaula.com.br/Classroom/index.asp?191C757E76=484125312A49B6F19DC3C17C0E7D5F6656FE92C055DDA5ED2325A06F8F072… 1/18
29/05/2020 Estácio - Disciplina online

Em 2007 foi lançada a versão V3 que, entre outras implementações, apresentou uma organização de processos de gerenciamento de serviços baseado em uma estrutura
de ciclo de vida de serviço. Outra novidade na época foi a convergência com outros modelos e padrões, como, por exemplo, o COBIT, CMMI, ISO 20000, entre
outros.

O principal objetivo do ITIL é ser uma fonte de melhores práticas para as organizações no gerenciamento de serviço.

O ITL oferece em seu núcleo cinco publicações que descrevem as melhores práticas de gerenciamento de serviço em cada um dos estágios do ciclo de vida de um
serviço, e possui 26 processos que estão agrupados de acordo com o estágio do ciclo de vida de serviço (volumes) a que pertencem.

O esquema a seguir demonstra essas publicações.

estacio.webaula.com.br/Classroom/index.asp?191C757E76=484125312A49B6F19DC3C17C0E7D5F6656FE92C055DDA5ED2325A06F8F072… 2/18
29/05/2020 Estácio - Disciplina online

Vamos conhecer cada etapa.

Clique nos botões para ver as informações.Objeto com interação.


Estratégia de serviço

Esta fase orienta as organizações sobre o desenho, desenvolvimento e implementação das políticas e dos processos de gerenciamento de serviço como ativos
estratégicos ao longo do ciclo de vida de serviço. Estão incluídos nesta publicação tópicos como ativos de serviço, catálogo de serviço, gerenciamento financeiro,
gerenciamento do portfólio de serviços, desenvolvimento organizacional, riscos estratégicos etc.

estacio.webaula.com.br/Classroom/index.asp?191C757E76=484125312A49B6F19DC3C17C0E7D5F6656FE92C055DDA5ED2325A06F8F072… 3/18
29/05/2020 Estácio - Disciplina online

Desenho de serviço

Esta fase orienta as organizações quanto ao desenho e desenvolvimento de serviços. É neste estágio que são detalhados os aspectos do gerenciamento do catálogo de
serviços, do nível de serviço, da capacidade da disponibilidade, da segurança da informação, da continuidade, dos fornecedores. Também são identificadas mudanças e
melhorias necessárias para manter ou agregar valor aos clientes ao longo do ciclo de vida do serviço.

Transição de serviço

Esta fase orienta as organizações sobre como efetivar a transição de serviços modificados ou novos para operações implementadas, detalhando os processos de
planejamento e suporte à transição, gerenciamento de mudanças, gerenciamento da configuração e dos ativos de serviço, gerenciamento de liberação e da distribuição,
teste e validação de serviço, avaliação e gerenciamento do conhecimento.

estacio.webaula.com.br/Classroom/index.asp?191C757E76=484125312A49B6F19DC3C17C0E7D5F6656FE92C055DDA5ED2325A06F8F072… 4/18
29/05/2020 Estácio - Disciplina online

Operação de serviço

Esta fase do ciclo de vida do gerenciamento de serviços é responsável pelas atividades do dia a dia. Ela fornece orientação sobre como garantir a entrega e o suporte a
serviços de forma eficiente e eficaz, detalhando os processos de gerenciamento de eventos, incidentes, problemas, acesso e de execução de requisições.

Melhoria de serviço continuada


estacio.webaula.com.br/Classroom/index.asp?191C757E76=484125312A49B6F19DC3C17C0E7D5F6656FE92C055DDA5ED2325A06F8F072… 5/18
29/05/2020 Estácio - Disciplina online
Esta fase orienta sobre como fazer melhorias incrementais e de larga escala na qualidade dos serviços, nas metas de eficiência operacional, na continuidade dos
serviços com base no modelo PDCA.

Saiba mais

Para conhecer mais sobre cada etapa desse processo, leia o texto “Melhores práticas de gerenciamento de serviço”.

ISO 20000

estacio.webaula.com.br/Classroom/index.asp?191C757E76=484125312A49B6F19DC3C17C0E7D5F6656FE92C055DDA5ED2325A06F8F072… 6/18
29/05/2020 Estácio - Disciplina online

09:33

O objetivo da norma ISO 20000 é definir um padrão para o gerenciamento de serviços de TI, por meio do estabelecimento de conceitos e de um processo de gestão de
forma a permitir que provedores de serviços de TI independentemente do tamanho, natureza e tipo compreendam como poderão planejar, executar, verificar e melhorar
continuamente a qualidade dos serviços entregues, em conformidade com os requisitos estabelecidos junto ao negócio e a seus clientes.


Fonte: Pixabay.

estacio.webaula.com.br/Classroom/index.asp?191C757E76=484125312A49B6F19DC3C17C0E7D5F6656FE92C055DDA5ED2325A06F8F072… 7/18
29/05/2020 Estácio - Disciplina online

A norma está estruturada em cinco partes que tratam especificamente de Requisitos do Sistema de Gestão de serviços, Código de prática, Diretrizes de escopo, Modelo
de referência de processos e Exemplo de Plano de implementação. Conheça cada parte a seguir.

Parte 1
Requisitos do sistema de gestão de serviços

Apresenta a especificação formal da norma e os requisitos para o gerenciamento de serviços, em conformidade com os requisitos de negócio dentro de um nível de
qualidade aceitável.

estacio.webaula.com.br/Classroom/index.asp?191C757E76=484125312A49B6F19DC3C17C0E7D5F6656FE92C055DDA5ED2325A06F8F072… 8/18
29/05/2020 Estácio - Disciplina online
2

Parte 2
Código de prática

Apresenta as melhores práticas baseadas em experiências de mercado em relação aos requisitos definidos na Parte 1.

Parte 3
Diretrizes de escopo

Contêm orientações para definição do escopo e da aplicabilidade da norma aos diferentes tipos de organizações de serviços de TI.

Parte 4
Modelo de referência de processos

Apresenta um modelo para a implementação de um sistema de gestão de serviço.

Parte 5
Exemplo de plano de implementação

Exemplificação do plano.

Atividade
1. Espinha dorsal da norma da norma ISO 20000, e inclui todas as políticas, os objetivos, os planos, os processos, os documentos e os recursos de gerenciamento de
serviços requeridos para o desenho, a transição, a entrega e a melhoria dos serviços. Neste caso, estamos falando de: ____________________.

Gabarito

Gabarito comentado

Sistema de Gestão de Serviço (SGS). Esse sistema é a espinha dorsal da norma e inclui todas as políticas, os objetivos, os planos, os processos, os documentos e os
recursos de gerenciamento de serviços requeridos para o desenho, a transição, a entrega e a melhoria dos serviços e para atender aos requisitos preconizados pela
norma. Ele dirige e controla as atividades de gerenciamento de serviços do provedor.

Sistema de gestão de serviço (SGS)


É a espinha dorsal da norma e inclui todas as políticas, os objetivos, os planos, os processos, os documentos e os recursos de gerenciamento de serviços requeridos para
o desenho, a transição, a entrega e a melhoria dos serviços e para atender aos requisitos preconizados pela norma. Ele dirige e controla as atividades de gerenciamento
de serviços do provedor.

A figura a seguir ilustra o SGC.

estacio.webaula.com.br/Classroom/index.asp?191C757E76=484125312A49B6F19DC3C17C0E7D5F6656FE92C055DDA5ED2325A06F8F072… 9/18
29/05/2020 Estácio - Disciplina online

 Fonte: ARAGON, 2014.

Requisitos de um sistema de gestão de serviços


A norma ISO 20000 apresenta os requisitos gerais para a implementação de um sistema de gestão de serviço:

Responsabilidade da Direção;

Governança de processos operados por outras partes;

Gerenciamento da documentação;

Gerenciamento de recursos;

Estabelecimento e melhoria do SGS (PDCA);

Desenho e transição de serviços novos ou modificados1;

Processos de relacionamento;

Processos de resolução2;

Processos de controle3.

CMMI-SVC

estacio.webaula.com.br/Classroom/index.asp?191C757E76=484125312A49B6F19DC3C17C0E7D5F6656FE92C055DDA5ED2325A06F8F07… 10/18
29/05/2020 Estácio - Disciplina online

11:08

Como estudamos na aula anterior, na década de 1980, o Instituto de Engenharia de Software (SEI) foi criado com o objetivo de fornecer software de qualidade para o
Departamento de Defesa dos Estados Unidos e aumentar a capacitação da indústria de software.

O Modelo de Maturidade da Capacitação (CMM) foi criado e, à medida que novos modelos surgiram, foram integrados em um modelo único — o CMMI.

A implementação de gestão de serviço, o CMMI-SVC, tem como objetivo fornecer diretrizes para entrega de serviços dentro das organizações e para clientes externos.

O modelo foi desenvolvido levando em consideração o próprio CMMI e outros modelos como ITIL, COBIT, ISO/ IEC 20000 e o Information Technology Services
Capability Model (ITSCMM) e tem como propósito ser um guia para a implantação de melhores práticas para organizações provedoras de serviços.

O CMMI-SVC abrange as atividades necessárias para estabelecer, fornecer e gerenciar serviços, que, conforme definido no contexto do CMMI, é um produto
intangível e não armazenável. O modelo apresenta a mesma estrutura de maturidade e capacidade do modelo CMMI-DEV na representação por estágio.

A representação por estágios permite avaliação da maturidade do processo em cinco níveis:

Essa representação descreve os objetivos que devem ser alcançados em cada nível de maturidade. Um nível de maturidade pode ser considerado um degrau
evolucionário para o nível seguinte.

Vamos conhecer melhor os níveis de 2 a 5.

Clique nos botões para ver as informações.Objeto com interação.


Nível 2 - Gerenciado

Neste nível, a organização do serviço é gerenciado e entregue conforme o planejado e atende aos requisitos do cliente. O provedor tem a capacidade de medir o
desempenho do serviço.

Observe o processo desse nível:

Gestão de Configuração;
Medição e Análise;
Garantia da qualidade do Processo e Produto;
Gestão de Requisitos;
Gestão de acordo com o Fornecedor;
Entrega de Serviço;
Controle e monitoração do trabalho;
Planejamento do trabalho.

Nível 3 - Definido

estacio.webaula.com.br/Classroom/index.asp?191C757E76=484125312A49B6F19DC3C17C0E7D5F6656FE92C055DDA5ED2325A06F8F07… 11/18
29/05/2020 Estácio - Disciplina online
Neste nível, o provedor de serviços utiliza processos definidos e os serviços apresentam garantias de continuidade e disponibilidade. Os processos são melhorados
continuadamente.

Observe o processo desse nível:

Gestão de disponibilidade (CAM);


Análise e resolução de decisão (DAR);
Resolução de prevenção de incidente (IRP);
Gestão integrada do trabalho (IWM);
Definição do processo organizacional (OPD);
Foco no processo organizacional (OPF);
Treinamento organizacional (OT);
Gestão de risco (RSKM);
Continuidade de negócio (SCON);
Desenvolvimento do sistema de serviços (SSD);
Transição do sistema do Serviço (STSM);
Gestão estratégica do serviço (STSM).

Nível 4 - Gerenciado quantitativamente

Neste nível, os processos são gerenciados a partir do seu desempenho. A capacidade do processo é compreendida.

Observe o processo desse nível:

Desempenho organizacional (OPP);


Gestão quantitativa do trabalho (QWM).

Nível 5 - Otimizado

Neste nível, os processos são melhorados continuamente com o entendimento dos objetivos do negócio e as necessidades de desempenho e por meio de inovações.

Observe o processo desse nível:

Gestão do desempenho organizacional (OPM);


Análise e resolução de causas (CAR).


Fonte: Pixabay.

Atividade
2. O modelo CMMI-SVC apresenta a mesma estrutura de maturidade utilizada no CMMI-DEV, que é a representação

Gabarito

Gabarito comentado

estacio.webaula.com.br/Classroom/index.asp?191C757E76=484125312A49B6F19DC3C17C0E7D5F6656FE92C055DDA5ED2325A06F8F07… 12/18
29/05/2020 Estácio - Disciplina online
Por estágio. O modelo apresenta a mesma estrutura de maturidade e capacidade do modelo CMMI-DEV, que é a representação por estágio, que permite avaliação da
maturidade do processo em 5 níveis: Inicial (1), Gerenciado (2), Definido (3), Gerenciado Quantitativamente (4) e Otimizado (5).

Modelo MPS-SV
O modelo MPS-SV foi criado em 2003, em conjunto com o modelo MPS-SW, pela SOFTex em parceria com o Ministério da Ciência, Tecnologia, Inovação e
Comunicações (MCTIC). Ele tem como objetivo melhorar a capacidade de serviços na indústria de TIC. Na sua elaboração foram utilizados como referência Técnica a
ISO/IEC 20000 e o CMMI-SVC.

Na aula anterior, estudamos o modelo MR-MPS-SW, que trata de software, e conhecemos os níveis de maturidade e seu modelo de capacidade. No modelo para
serviço também existem níveis de maturidade que são uma combinação entre processos e sua capacidade. Assim:

Capacidade do processo
Trata de como um processo atinge os objetivos de negócio, atuais e futuros e permite avaliar e atribuir graus de aderência ao modelo de referência na definição e
execução dos processos em uma organização.


Níveis de maturidade
Tratam de como a organização se encontra na evolução e melhoria desses processos.

Níveis de maturidade
O modelo apresenta sete níveis de maturidade. Cada nível estabelece um patamar de evolução do processo e representa um estágio de melhoria para a implementação
de processos na organização. A cada nível está associado um conjunto de processos e de atributos de processo. Esses níveis são:

Capacidade de processos

estacio.webaula.com.br/Classroom/index.asp?191C757E76=484125312A49B6F19DC3C17C0E7D5F6656FE92C055DDA5ED2325A06F8F07… 13/18
29/05/2020 Estácio - Disciplina online
A capacidade de um processo expressa o grau de refinamento e institucionalização com que o processo é executado na organização.

À medida que a organização evolui nos níveis e na maturidade apresentados pelo modelo MPS-SV, um maior nível de capacidade deve ser atingido.


Fonte: Pixabay.

estacio.webaula.com.br/Classroom/index.asp?191C757E76=484125312A49B6F19DC3C17C0E7D5F6656FE92C055DDA5ED2325A06F8F07… 14/18
29/05/2020 Estácio - Disciplina online
Saiba mais

Para conhecer os níveis de maturidade do modelo CMMI, leia o texto “Níveis de maturidade do modelo CMMI”.

Processos do modelo MPS-SV


Veja a seguir os processos desse modelo.

Gerência de Incidentes e de Solicitações de Serviço – GIS


O objetivo do processo é assegurar que as solicitações de serviços ou a ocorrência de um incidente sejam tratados dentro dos limites dos acordos de nível de serviços
combinados (ANS/SLA).

Gerência da Operação do Serviço – GOS


O objetivo do processo é a implementação dos planos que definem atividades, recursos e responsabilidades da operação dos serviços, além do fornecimento de
informações sobre o andamento desses serviços, de forma a permitir o alinhamento em caso de desvio quanto ao desempenho esperado.

Aquisição
O objetivo do processo é gerenciar as atividades que envolvem o processo de aquisição de serviços e produtos alinhadas com as necessidades e requisitos de negócio.

Gerência de Configuração
O propósito do processo é estabelecer e manter a integridade de todos os produtos de trabalho de um processo ou operação do serviço e disponibilizá-los a todos os
envolvidos.

Garantia da Qualidade
O propósito do processo é assegurar que os produtos de trabalho e a execução dos processos estejam em conformidade com os planos, procedimentos e padrões
estabelecidos.

Gerência de Problemas
O objetivo é mitigar a ocorrência de interrupções do serviço por meio da investigação da causa raiz de um ou mais incidentes que impactam na operação do serviço ou
ainda no cumprimento dos acordos de nível de serviço estabelecidos.

Gerência de Portfólio de Operação de Serviços


O propósito do processo é iniciar e manter operações de serviço que sejam necessários, suficientes e sustentáveis, de forma a atender os objetivos de negócio da
organização.

Medição
O propósito do processo é definir os objetivos da medição, identificar, documentar e manter um conjunto adequado de medidas, definir os procedimentos para coleta,
armazenamento e análise das medidas, assim como, coletar, armazenar, analisar e relatar os dados relativos às operações de serviço e aos processos implementados na
organização, de forma a apoiar os objetivos de negócio da organização.

Avaliação e Melhoria do Processo Organizacional


O propósito do processo é determinar o quanto os processos padrão da organização contribuem para alcançar os objetivos de negócio da organização e para apoiar a
organização a planejar, definir e implantar melhorias contínuas nos processos com base no entendimento de seus pontos fortes e fracos.

Definição do Processo Organizacional


O propósito do processo é estabelecer e manter um conjunto de ativos de processo organizacional e padrões do ambiente de trabalho usáveis e aplicáveis às
necessidades de negócio da organização.

Gerência de Recursos Humanos


O propósito do processo é prover a organização e as operações de serviços com os recursos humanos necessários e manter suas competências adequadas às
necessidades do negócio.

Desenvolvimento do Sistema de Serviços


O objetivo do processo é analisar, projetar, desenvolver, integrar, verificar e validar o sistema de serviços e todos os seus componentes de forma a satisfazer acordos
existentes ou previstos.

Orçamento e Contabilização de Serviços


O objetivo do processo é fazer a gestão do orçamento e a contabilização dos serviços fornecidos.

Gerência da Capacidade
O objetivo é garantir que o provedor de serviços tenha capacidade para atender os requisitos atuais e futuros acordados.

Gerência da Continuidade e Disponibilidade dos Serviços


O objetivo do processo é assegurar que acordos de níveis de serviços sejam cumpridos conforme acordado.

Gerência de Decisões

estacio.webaula.com.br/Classroom/index.asp?191C757E76=484125312A49B6F19DC3C17C0E7D5F6656FE92C055DDA5ED2325A06F8F07… 15/18
29/05/2020 Estácio - Disciplina online
O objetivo da é analisar possíveis decisões críticas através de um processo formal e com critérios estabelecidos.

Gerência de Liberação
O objetivo do processo é implantar de forma controlada as liberações de serviços e componentes de serviços em um ambiente de produção.

Gerência de Riscos
O objetivo do processo é identificar, analisar, tratar, monitorar e reduzir continuamente os riscos em nível organizacional e da operação do serviço.

Gerência da Segurança da Informação


O objetivo do processo é gerenciar a segurança da informação durante todo o ciclo de vida da operação do serviço e de acordo com os níveis de segurança previamente
acordado.

Relatos de Serviços
O objetivo do processo é a produção e disponibilização de informações periódicas sobre os resultados alcançados nos processos relacionados às operações dos serviços
de forma a apoiar a tomada de decisão.

Atividade
3. No modelo MPS-SV a gerência que tem a responsabilidade de mitigar a ocorrência de interrupções do serviço por meio da investigação da causa raiz é a:
____________________.

Gabarito

Gabarito comentado

Gerência de Problemas. O objetivo da Gerência de Problemas é mitigar a ocorrência de interrupções do serviço por meio da investigação da causa raiz de um ou mais
incidentes que impactam na operação do serviço ou ainda no cumprimento dos acordos de nível de serviço estabelecidos.

Notas

Desenho e transição de serviços novos ou modificados 1

Processos de entrega de serviço;


Gerenciamento da continuidade e disponibilidade do serviço;
Orçamento e contabilização para serviços;
Gerenciamento da capacidade;
Gerenciamento da segurança da informação.

Processos de resolução 2

Gerenciamento de incidentes e requisições de serviço;


Gerenciamento de problemas.

Processos de controle 3

Gerenciamento da configuração;
Gerenciamento de mudanças;
Gerenciamento de liberação e implantação.

Referências

ARAGON, A.F.; ABREU, V. F. Implantando a Governança de TI: da Estratégia à Gestão dos Processos e Serviços. 4.ed. Rio de Janeiro: Brasport, 2014.

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ISO/IEC 20000-1:2011. Tecnologia da Informação. Gestão de serviço, parte 1: Requisitos do sistema de
gestão de serviços, 2011.

AXELOS. ITIL Maturity Model and Self-assesssment Service, User Guide, 2013. Disponível em:
https://www.axelos.com/Corporate/media/Files/Misc%20Qualification%20Docs/ITIL-Maturity-Model.pdf Acesso em: 1 abr. 2019.

SOFTEX. Guia Geral MPS de Serviço, 2015. Disponível em: https://www.softex.br/wp-content/uploads/2018/11/MPS.BR_Guia_Geral_Servicos_2015.pdf Acesso em:
1 abr. 2019.

Próxima aula
estacio.webaula.com.br/Classroom/index.asp?191C757E76=484125312A49B6F19DC3C17C0E7D5F6656FE92C055DDA5ED2325A06F8F07… 16/18
29/05/2020 Estácio - Disciplina online
×

Os conceitos e princípios da TI verde;


O modelo de Governança Verde;
Os conceitos e práticas de sustentabilidade de TI.

Explore mais

Aprofunde seus conhecimentos em gestão de serviços, conhecendo o CMMI-SVC versão 1.3;


Conheça as diferenças entre a versão 1.3 e 2.0 do CMMI-SVC acesse o CMMI Institute;
Visite o site da ISO.

Acessibilidade

A Estácio, sempre preocupada com a necessidade de levar seus serviços a um maior número de pessoas, mudou seu site. Atenta às inovações de tecnologia e às
principais tendências mundiais, está trazendo um site com recursos de acessibilidade, seguindo as recomendações do WCAG (Web Content Accessibility Guidelines),
do W3C (World Wide Web Consortium), principal organização de padronização da World Wide Web, que desenvolve especificações técnicas e orientações para o
mercado.

Com isso, pessoas com deficiência visual, baixa visão, daltonismo e mobilidade reduzida podem navegar em nosso site por meio de recursos que foram implementados
para garantir este acesso, tais como alto contraste, aumento de fonte, teclas de atalho e navegação por teclado.

Para aumentar a fonte, é só clicar no símbolo de A+ em nossa barra de acessibilidade. Caso queira voltar ao tamanho de fonte original, é só clicar em A-.

Se for necessário, você também pode usar o zoom nativo do seu navegador, pressionando as teclas “Ctrl” e “+” para aumentar todo o site e “Ctrl” e “-“ para diminuir.
Para voltar ao padrão, pressione “Ctrl” e “0”.

Este site tem melhor acessibilidade quando acessado nas versões mais atualizadas do seu navegador web. Utilize sempre a versão mais recente de seu software.

Navegação por tabulação


Use a tecla Tab para navegar por elementos que recebem ação do usuário no site, tais como links, botões, campos de formulário e outros na ordem em que eles são
apresentados na página, e Shift + Tab para retornar. Use as setas direcionais para acessar as informações textuais.

Sugestões de programas disponíveis para pessoas com deficiência


- Nitrous Voice Flux: controla o computador por voz. Gratuito;
- NVDA: software livre para ler tela – vários idiomas (Windows);
- YeoSoft Text: leitor de tela em inglês e português;
- Jaws for Windows: leitor de tela – vários idiomas;
- Virtual Vision: leitor de telas em português do Brasil;
- DOSVOX: sistema para deficientes visuais (Windows ou Linux).

Fechar
×

Título do vídeo.

Créditos
Redator: Monica Veiga
Designer Instrucional: Laís Silva
Web Designer: Rodrigo Cavalcante

Referências


Próxima aula

estacio.webaula.com.br/Classroom/index.asp?191C757E76=484125312A49B6F19DC3C17C0E7D5F6656FE92C055DDA5ED2325A06F8F07… 17/18
29/05/2020 Estácio - Disciplina online
Explore Mais

estacio.webaula.com.br/Classroom/index.asp?191C757E76=484125312A49B6F19DC3C17C0E7D5F6656FE92C055DDA5ED2325A06F8F07… 18/18
Disciplina: Governança em Tecnologia da
Informação

Aula 10: Governança de TI verde


Apresentação

Nesta aula, conheceremos os conceitos básicos e as motivações para a adoção da TI Verde nas organizações. A TI Verde é
um dos termos mais importantes no mercado tecnológico na atualidade, relacionada à preservação do meio ambiente e à
sustentabilidade, tendo em vista a conscientização da sociedade sobre o impacto que os resíduos tecnológicos podem
contribuir para a degradação do meio ambiente.

Grande parte desses resíduos é composto de dispositivos tecnológicos descartados pela população de forma incorreta.
Como a tendência é que essa proporção cresça cada dia mais, existe a preocupação quanto à forma correta de descarte
desses produtos, já que liberam substâncias tóxicas ao meio ambiente. Os resíduos tecnológicos devem ter um destino
correto para que danos ambientais não sejam presenciados.

Estudaremos a importância da implementação de um modelo de governança verde e as vantagens de sua adoção.


Identificaremos também boas práticas em sustentabilidade de TI e o conceito de compras sustentáveis.

Objetivos

Analisar os conceitos e princípios da TI verde;

Esclarecer o modelo de governança verde;

Descrever os conceitos e as práticas de sustentabilidade de TI.


TI Verde

TI Verde ou Green IT é uma abordagem que tem como objetivo


a preservação do meio ambiente e a sustentabilidade,
considerando o impacto que os resíduos tecnológicos, de
fabricação ou uso, possam contribuir para a degradação do
meio ambiente.

A TI Verde trata também da utilização de recursos


tecnológicos que consumam menos energia.

 Fonte: Hafizi (Shutterstock).

Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online

• Otimizar o consumo de energia. • Reduzir a emissão de gás


• Melhorar os custos de gestão carbônico.
operacional. • Reduzir ou eliminar as fontes de
resíduos (energia, refrigeração e
materiais).
Existe um ecossistema de TI presente nas organizações:

Ecosistema de TI

Hardware, software, rede de computadores Estratégia de compras, implementação, operação e


descarte

Pessoas e cultura organizacional Sistema e rede que se conectam com fornecedores,


clientes e parceiros
Responsabilidade ambiental
É cuidado com o bem-estar do ambiente e da saúde, o equilíbrio e a diversidade de recursos humanos e naturais. Quando a
organização pensa em Tecnologia da Informação, deve considerar:

• Realizar operações com menor consumo de energia.

• O impacto ambiental durante a criação, fabricação, distribuição, uso e descarte de equipamentos eletrônicos.

Mudança climática global

Atenção com as atividades humanas que podem contribuir para o aumento da emissão de gases que
causam o efeito estufa na atmosfera terrestre, aumentando a temperatura na superfície.

Leitura

Leia o texto Emissões de dióxido de carbono sobem pela 1ª vez em quatro anos, diz agência da ONU.
Desenvolvimento sustentável

Como as organizações preservarão os recursos naturais e irão suprir suas necessidades atuais sem
comprometer a natureza e o meio ambiente de forma a preservar a capacidade das futuras gerações
de atender suas próprias necessidades.

Responsabilidade (social) corporativa


Cuidado com o bem-estar da sociedade e do meio ambiente. A organização demonstra seu compromisso público por meio da
implementação de metas empresariais sustentáveis. Podemos concluir que:

TI Verde

Práticas que reduzem o impacto ecológico negativo das


operações de TI de uma organização

Como a tecnologia muda rapidamente, existe um fluxo constante de material obsoleto que pode criar problemas ambientais.

É necessário que as organizações desenvolvam políticas verdes e inteligentes para a aquisição, o uso e descarte de equipamentos
de TI.

Você sabe qual é o impacto da TI no meio ambiente? Assista ao vídeo <https://nacoesunidas.org/china-enfrenta-montanha-


digital-de-lixo-eletronico-video/> China enfrenta “montanha” digital de lixo eletrônico.

Impactos
Podemos pensar nesses impactos por três aspectos distintos:
Clique nos botões para ver as informações.
Utilização dos recursos 

A obsolescência dos equipamentos de TI é um ponto importante, já que ficam ultrapassados tecnologicamente com muita
velocidade, considerando que novas tecnologias são implementadas ou descobertas a cada dia.

Normalmente, os equipamentos de TI duram entre três e cinco anos, e são substituídos por novos. Os equipamentos
obsoletos são descartados pelas empresas, produzindo lixo eletrônico.

Segundo a ONU, o volume de lixo eletrônico em 2016 estava em torno de 40 milhões de toneladas métricas, com
crescimento previsto até 2021 de 17%, considerando que nem tudo que é descartado é reciclado.

Consumo de energia elétrica 

Segundo o Greenpeace, os datacenters consomem cerca de 1,5 a 2% da eletricidade global. Nesse contexto, é importante
considerar que as máquinas servidoras dessas organizações (correio eletrônico, servidores Web, servidores de aplicação
etc.) ficam ligadas 24 horas por dia e 7 dias por semana. Como os equipamentos de TI precisam funcionar em ambiente
refrigerado, nem toda a energia elétrica usada pela TI é referente apenas aos seus equipamentos.

Ciclo de vida dos equipamentos 

No processo de fabricação de equipamentos de Tecnologia da Informação, são consumidos muitos recursos e energia
elétrica. É importante observarmos também que o consumo de energia elétrica não é só necessário para a fabricação, mas
para a utilização da TI nas organizações. Em um escritório, por exemplo, a utilização de equipamentos de TI como desktop,
notebooks, roteadores e impressoras, representam parte do consumo de energia da organização.

Lixo eletrônico

Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online


É qualquer dispositivo eletrônico ou elétrico que esteja
quebrado, obsoleto ou, de alguma forma, não tenha mais
serventia para a organização. Uma das preocupões atuais é
que o seu crescimento poderá causar imensos estoques de
lixo e impacto negativo dos resíduos eletrônicos na saúde
humana. Esse tipo de resíduo é extremamente perigoso, já que
é composto por substâncias tôxicas e nocivas para o
ambiente.

Uma das soluções para reduzir o perigo são as leis e tratados


internacionais que obrigam as fábricas a evitar a utilização de
materiais perigosos e substituir esses materias por produtos
 Fonte: AlexLMX (Shutterstock).
biodegradáveis, recicláveis ou reutilizáveis.

Leitura

Leia os textos:

Brasil produziu 1,4 milhão de toneladas de resíduos eletrônicos em 2014, afirma novo relatório da ONU;
<https://nacoesunidas.org/brasil-produziu-14-milhao-de-toneladas-de-residuos-eletronicos-em-2014-afirma-novo-
relatorio-da-onu/>

Um terço do lixo da América Latina e Caribe acaba em aterros ou na natureza, diz ONU; <https://nacoesunidas.org/um-
terco-do-lixo-da-america-latina-e-caribe-acaba-em-aterros-ou-na-natureza-diz-onu/>

Lixo eletrônico representa ‘crescente risco’ ao meio ambiente e à saúde humana, diz relatório da ONU;
<https://nacoesunidas.org/lixo-eletronico-representa-crescente-risco-ao-meio-ambiente-e-a-saude-humana-diz-relatorio-
da-onu/>

Ação do Banco Mundial com Eletrobras transforma lixo eletrônico em recursos para projetos sociais.
<https://nacoesunidas.org/acao-do-banco-mundial-com-eletrobras-transforma-lixo-eletronico-em-recursos-para-
projetos-sociais/>

Pacto Global
O Pacto Global  foi uma iniciativa voluntária, lançado em 2000, com sede em Nova York e com o objetivo fornecer diretrizes para a
promoção do crescimento sustentável e da cidadania. Podem participar empresas de pequeno, médio e grande porte, públicas ou
privadas. Ele apresenta dez princípios:
Fonte: http://pactoglobal.org.br/10-principios/

Saiba mais

Em conjunto com a ONU, o Pacto Global <https://pactoglobal.org.br/ods> apresenta 17 Objetivos de Desenvolvimento


Sustentável (ODS) para as empresas participantes.

Para compreender cada objetivo e como as organizações podem contribuir acesse o site do Pacto Global , clique em cada
objetivo, e depois assista aos vídeos.
Regulamentações verdes – um pouco de história

1992
Governo dos EUA lançou o programa “Energy
Star”.

1997
Protocolo de Quioto, redução de emissão de
carbono.

2003
União Europeia adotou a diretiva RoHS
(Restriction of Hazardous Substances)

2005
Colocado em prática o selo EPEAT (Eletronic
Products Environmental Assessment) pelo
conselho de Eletrônicos verdes.

Governança de TI Verde
Em 2010, a Connection Research, uma empresa australiana com foco em tecnologias sustentáveis e digitais, e atuante na área de
TIC Verde, publicou, em conjunto com a RMIT University, um framework para apoiar as organizações na implementação das
práticas de TI verde, o Green ICT Framework. Ele foi estruturado em quatro pilares:

Ciclo de vida do equipamento Usuário nal

Organização e Datacenter Emissão de carbono


Ciclo de vida do equipamento de TIC
Este pilar definido pelo Green ICT Framework (2010) cobre todo o ciclo de vida de um equipamento de TIC, desde sua aquisição
até sua eliminação ou reciclagem de forma ambientalmente responsável.

Segundo o Green ICT, todo equipamento possui um ciclo de vida.

Desse modo, este pilar define o ciclo de vida de um equipamento, que compreende o intervalo de tempo desde a aquisição por
parte da organização até a eliminação ou reciclagem de forma sustentável.

É importante considerarmos que o descarte de um equipamento nem sempre significa que ele foi destruído. O equipamento pode
ser vendido, dado ou doado a outra pessoa ou organização onde terá um novo ciclo de vida.

Segundo o Green IT Framework (2010), dentro do ciclo de vida de um equipamento devemos considerar três fases importantes:
Clique nos botões para ver as informações.
Aquisição 

Para que a organização possa transformar suas aquisições em aquisição verde é importante considerar e incluir em seu
processo formal de aquisição as orientações da Agência de Proteção Ambiental (Environmental Protection Agency, EPA
<https://www.epa.gov/> ) sobre o assunto.
Investigar os atributos ambientais em todo o ciclo de vida do serviço ou produto;

Fazer um benchmark dos impactos ambientais de produtos e serviços antes da aquisição;

Incluir na rotina de aquisição considerações ambientais e sobre prevenção da poluição.

As organizações devem considerar em suas aquisições o consumo de energia gasto na fabricação dos equipamentos e
ainda o consumo deste equipamento durante o seu ciclo de vida.

O Green ICT Framework (2010) orienta sobre dois padrões ambientais que podem ser
utilizados pelas organizações para auxiliar na escolha dos equipamentos

Rótulo Energy Star

O Green ICT Framework (2010) informa que o rótulo Energy Star foi criado para contribuir na redução dos gases do efeito
estufa e de outros gases presentes em equipamentos de TI. Equipamentos que possuem o selo são identificados como
equipamentos que foram otimizados para utilizar energia de forma eficiente sem comprometer seu desempenho e suas
características.

No processo de aquisição de novos produtos, as organizações podem identificar e escolher quais equipamentos são mais
energeticamente eficientes que outros. Equipamentos que possuem o selo oferecem quatro modos de operação:
Ferramenta EPEAT

A certificação EPEAT, criada em 2004, tem o objetivo de encorajar a produção de eletrônicos que não causem danos ao meio
ambiente. Os equipamentos eletrônicos são avaliados por diferentes categorias, como por exemplo:

A redução/eliminação das substâncias perigosas;

A utilização de componentes ecológicos;

O consumo de energia.

Leitura

Visualize os critérios utilizados pelo EPEAT <https://greenelectronicscouncil.org/wp-content/uploads/2019/04/List-of-Criteria-


2018-v2.pdf> por categoria de equipamento.

O EPEAT desenvolveu 23 critérios requeridos e 28 opcionais. A partir da avaliação, os equipamentos recebem uma etiqueta
que pode ser classificada em:

Etiqueta de ouro: 23 critérios requeridos e pelo menos 75% dos critérios opcionais reconhecidos;

Etiqueta de prata: 23 critérios requeridos e pelo menos 50% dos critérios opcionais reconhecidos;

Etiqueta de bronze: 23 critérios requeridos cumpridos.

Os produtos são certificados para cada país onde é fabricado ou comercializado, ou seja, um mesmo modelo de
equipamento que é certificado para um determinado país, pode não ser certificado para outro em virtude de o fabricante não
estar presente naquele país, ou ainda não ter implementado tais políticas naquela localidade.

O Green IT Framework (2010) sugere que as organizações considerem dois aspectos em um processo de aquisição:

Equipamento No processo de aquisição de novos equipamentos as organizações devem considerar o quanto foi gasto de energia no
processo de fabricação do equipamento e quanto consumirá de energia em todo o seu ciclo de vida.

Fornecedor No processo de aquisição de novos equipamentos as organizações devem considerar também a aderência dos
fornecedores a questões de sustentabilidade ambiental. Devem ser considerados:
- Os valores e as práticas de sustentabilidade e ambientais do fornecedor no projeto e na fabricação do equipamento;
- Como realiza a gestão dessas ações;
- A conformidade da organização com leis ambientais e códigos de prática relevantes;
- A verificação de como o fornecedor recupera e recicla equipamentos antigos dos clientes.
Reciclagem e reutilização 

À medida que a tecnologia avança e sofre atualizações, é comum as organizações sentirem necessidade de também
atualizar seu parque computacional. Essa motivação ocorre tanto pela obsolescência do equipamento quanto pela
necessidade de garantia e suporte por parte do fabricante.

É importante observar o ciclo de vida do equipamento para que ele seja substituído somente quando necessário. Por isso, é
importante que as organizações tenham alguma estratégia para a substituição de equipamentos fora da garantia e/ou
obsoletos, considerando que nem sempre existe a necessidade de atualizar todos os equipamentos da organização ao
mesmo tempo.

De acordo com o Green ICT Framework (2010), deve ser considerado que mesmo com as atualizações constantes de
softwares que podem requerer equipamentos mais potentes, nem sempre todos da organização terão a mesma
necessidade. Assim, a atualização poderá ocorrer para quem realmente tem necessidade de novo equipamento e os
equipamentos antigos poderão ser repassados para outras partes da organização com atividades menos críticas.

Dica

O descarte de um equipamento nem sempre significa que ele foi destruído, ele poderá também ser vendido, dado ou doado a
outra pessoa ou organização, onde terá um novo ciclo de vida.

Descarte 

Apesar da política de reuso e reciclagem das organizações, em que uma organização pode estender a vida útil do
equipamento por meio da sua reutilização e, até mesmo, vender o equipamento já utilizado, sempre haverá equipamentos
que deverão ser descartados fisicamente.

Segundo o Green ICT Framework (2010), para isso, a organização deverá utilizar práticas de descarte de TI Verde de forma a
reduzir os danos ambientais causados pelo lixo eletrônico.

O Green ICT Framework orienta que os equipamentos descartados sejam recebidos por empresa especializada no assunto,
onde serão classificados e posteriormente separados com base em seus componentes principais.

Posteriormente, serão desmontados e, suas partes úteis, utilizadas em outros equipamentos. O restante do equipamento
será moído e enviado para a reciclagem para se tornar matéria-prima novamente.

Usuário nal
''''

 Fonte: NicoElNino (Shutterstock).


Este é o pilar proposto pelo Green ICT Framework que se encontra fora da área de TI, porém fundamental, por cobrir toda a
organização e ter um grande efeito sobre as atitudes e comportamentos ecológicos na força de trabalho da organização.

Como existe uma grande variedade de tecnologias que podem auxiliar na redução do consumo de energia e liberação de CO2 na
organização, foi dividido em quatro subáreas.

1) Estação de trabalho

Em empresas com um grande número de funcionários, o elevado número de estações de trabalho pode afetar o consumo de
energia da organização se não for adotada uma política de gerenciamento de energia, como o desligamento do equipamento
quando não tiver em uso.

No processo de aquisição ou aluguel, a empresa deve preferir a adoção de equipamentos com o selo Energy Star ou a
substituição desses equipamentos pela utilização de clientes magros (thin client).

2) Computação móvel

Com o avanço das tecnologias e da mobilidade, muitos usuários estão fazendo seus trabalhos fora das estações de trabalho e
utilizando outros dispositivos, como netbooks, smartphones e PDAs (personal digital assistants) para acessar a organização.
Uma opção para a redução de energia e de recursos é a avaliação pela organização da utilização da computação em nuvem.

3) Computação departamental

As organizações devem ter uma atenção especial quanto à existência de equipamentos de TI (servidores, dispositivos de
armazenamento e periféricos) em outros departamentos e longe do controle do departamento de TIC.

Nesse caso, existe a necessidade de criação de políticas e ações para o controle do uso ineficiente de energia e de recursos
desses equipamentos.

4) Impressão e insumos

Atualmente, a impressão é um dos maiores consumidores de recursos na área de TI, seja energia, papel, ou toner ou tinta. Por
ficarem ociosas, ou mesmo ligadas desnecessariamente, são consumidas quantidades significativas de energia que acabam
impactando de forma global na organização.

Quanto à utilização do papel ou da tinta existe um efeito significativo no meio ambiente tanto na produção do insumo como no
seu descarte.

Para mitigar o impacto ecológico das impressoras e reduzir o gasto com papel, algumas ações de TI verde podem ser
implementadas:
1 2

Con guração em padrão preto e branco Impressão de mais páginas por folha

3 4

Equipamento multifunção (scanner, por Gerenciamento de energia


exemplo)

5 6

Aumento da distância entre o usuário e a Impressão frente e verso


impressora

7 8

Impressão sob demanda Utilização de papel com certi cação PEFC


ou FSC

9 10

Controle e políticas de impressão Utilização de documentos eletrônicos

Dica

A certificação FSC garante que os produtos certificados são originados do bom manejo florestal. Ela surgiu devido à preocupação
com as florestas mundiais e oferece uma ligação confiável entre a produção e o consumo responsável de produtos florestais,
possibilitando que o consumidor e empresas tomem decisões responsáveis em defesa das pessoas e do ambiente.

A certificação PEFC é o maior sistema de certificação florestal do mundo e trabalha apoiado no sistema nacional de certificação
florestal, desenvolvido por meio de processos com várias partes interessadas e adaptado às prioridades e condições locais. No
Brasil, a ABNT faz esse trabalho em conjunto com PEFC.
Computação corporativa
Segundo o Green ICT Framework (2010), este é um pilar controlado diretamente pelo departamento de TI e, normalmente,
composto por itens de Tecnologia da Informação que são utilizados corporativamente por todos da organização.

Datacenter

 Fonte: Oleksiy Mark (Shutterstock)

O Datacenter de uma organização é um local Por serem equipamentos especializados e, normalmente,


especializado que concentra os equipamentos mais de grande capacidade são grandes consumidores de
importantes da organização, no caso energia. À medida que o número de servidores ou
servidores/mainframes e dispositivos de armazenamento. processadores aumentam, consequentemente, o
consumo de energia também aumenta.

Uma prática que tem se tornado comum como forma de


mitigar o aumento crescente da utilização de energia é a
virtualização de servidores e de armazenamento. A
virtualização reduz o número de servidores físicos e
otimiza a sua utilização. Como consequência ocorre a
redução do consumo de energia.

É importante considerar que o consumo de energia nos Datacenters vem aumentando mesmo com a utilização da virtualização,
considerando que existe também um aumento de demanda por parte das organizações e que os dispositivos de TI para essas
demandas também estão se tornando mais potentes.
Para o funcionamento de um Datacenter, existem equipamentos que não são de TI e que podem consumir muito mais energia do
que os equipamentos de TI e que abrangem os seguintes aspectos:

Clique nos botões para ver as informações.


Fonte de energia 

Para a autonomia do Datacenter e manutenção da continuidade do negócio da organização é imprescindível que um


datacenter tenha fonte de alimentação dedicada e, muitas vezes, fonte de energia redundante.

Refrigeração e iluminação 

Um ponto de atenção em todo Datacenter é o projeto de refrigeração e de iluminação, já que os equipamentos modernos de
TIC normalmente demandam quantidades significativas de resfriamento, seja refrigeração a ar ou resfriamento a água. Um
equívoco de projeto de refrigeração e iluminação com o mal posicionamento da iluminação, dos equipamentos e das saídas
de refrigeração pode aumentar o consumo de energia.

Instalação predial 

Assim como no projeto de refrigeração e iluminação, no projeto de instalação física de um Datacenter existem pontos a
serem considerados que poderão afetar o consumo de energia.

Resíduos digitais
Os resíduos digitais que consomem espaço de armazenamento são divididos nas seguintes categorias:

DADOS INVOLUNTÁRIOS DADOS DEGRADADOS


São dados que foram criados de uma forma involuntária, São dados que de alguma forma perderam sua
como por exemplo, um erro de processo ou sistêmico, e, qualidade.
dessa forma não têm serventia.

DADOS INDESEJADOS DADOS ÚTEIS


São dados que foram obtidos da forma correta, porém São dados que serviram ou servem para o seu propósito.
nunca foram úteis para os usuários.

Redes de computadores
 Fonte: SeventyFour (Shutterstock).

De acordo com o Green ICT Framework (2010), atualmente as redes de comunicação desempenham um papel importante nas
empresas, já que viabilizam o funcionamento da organização por meio da utilização de aplicativos, sistemas, funções de
armazenamento de dados e acesso à internet. Por isso, é crescente nas organizações a utilização das redes locais (LAN), redes
de longa distância (WAN) e redes sem fio.

Na implementação das redes, além do cabeamento estruturado, também utilizamos equipamentos de comunicação tais como,
switches, roteadores, modens, firewall e balanceadores de link que, quando não utilizados corretamente, podem aumentar o
gasto energético da organização. Por isso, é necessário atenção especial aos projetos executados.

Terceirização

Segundo o Green ICT Framework (2010), atualmente existe a discussão pelas vantagens de terceirizar serviços como forma
de diminuir custos, ter um serviço mais especializado em detrimento da execução dos mesmo na própria organização ou
por profissionais da organização que muitas vezes não possuem a especialidade necessária para a execução do mesmo.

Normalmente, essa discussão se concentra nas questões de custo e capacidade, porém atualmente foi agregada a questão
da sustentabilidade que adicionou uma nova dimensão ao debate sobre terceirização de TIC.

Muitas empresas que oferecem serviço estão destacando suas credenciais ecológicas como uma nova forma de auxiliar as
organizações na implementação da TI verde e agregar valor ao negócio.

Arquitetura de software

Dependendo da arquitetura de software escolhida pela organização, ela poderá ter um efeito significativo na quantidade ou tipo
de hardware usado e consequentemente no consumo de energia desses equipamentos.

Desse modo, será essencial que a organização planeje corretamente a sua necessidade de negócio e a arquitetura de software
necessária, de forma a não aumentar os custos energéticos desnecessariamente.

Emissão de Carbono
Esse último pilar definido pelo Green ICT Framework (2010)
trata da participação da área de TI na emissão de carbono no
mundo.

Estima-se que essa emissão esteja em torno de 2% do valor


total e ocorre principalmente pelo uso de eletricidade para
operar o hardware necessário para a execução dos serviços
de TI.

 Fonte: Aapsky (Shutterstock).

O foco é tratar os reais benefícios da implementação da TIC Verde nas organizações e como a utilização da TIC poderá auxiliar a
organização e a comunidade em geral a reduzir suas próprias emissões de CO2. Assim, esse pilar trata de diferentes visões:

Governança e Compliance;

Teletrabalho e Colaboração;

Gerenciamento de processo de negócio;

Aplicações de negócio;

Gerenciamento da emissão de CO2.

Segundo o Green ICT Framework (2010), na visão de


Governança e Compliance, ocorreu um aumento da
conscientização da necessidade de um comportamento verde
e sustentável. Como consequência, aumentou o perfil da
sustentabilidade nas organizações que estão tentando ampliar
suas credenciais ecológicas.

 Fonte: Nong Mars (Shutterstock).

Outra visão apresentada pelo Green ICT Framework (2010)


trata sobre o tema de Teletrabalho e Colaboração, bem
discutido nas organizações, atualmente, e que abrange uma
gama de tecnologias e práticas relacionadas ao teletrabalho,
teleconferência, videoconferência e telepresença (uma forma
de videoconferência de alta resolução) que podem auxiliar na
redução do carbono. Essa redução de carbono está
principalmente relacionada à redução da necessidade de
viagens pessoais — se as pessoas não tiverem que dirigir um
carro ou pegar um avião para fazer seu trabalho, elas estarão
reduzindo a liberação de CO2.

 Fonte: Andrey Popov (Shutterstock).


Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online

Gerenciamento de processo de negócio


Segundo o Green ICT Framework (2010), o Business Process Management (BPM) é a disciplina que pode auxiliar as organizações
no gerenciamento de processos de negócio. O objetivo desse gerenciamento é conhecer a forma como uma organização ou um
indivíduo faz suas atividades, tornando-as mais eficientes, com menos etapas ou efeitos secundários.

Nesse contexto, o BPM refere-se ao processo geral de gerenciamento e à melhoria dos processos de negócios, e a TI tem um
papel importante a desempenhar nessa melhoria. Ela fornece ferramentas para modelar os processos e tecnologias de ativação
para sua execução. Ao otimizar seus processos de negócios e, consequentemente, melhorando sua eficiência, as organizações
podem contribuir para a redução da emissão de carbono.

Aplicações de negócios e Gestão de emissão de CO2


O Green ICT Framework (2010) apresenta e discute a importância das organizações utilizarem aplicativos de negócios, como:
SFMI ERP
Sistema de Informações de Gerenciamento Financeiro Sistema de Planejamento de Recursos Empresariais

SCM CRM
Sistema de Gerenciamento da Cadeia de Suprimentos Sistema de Gerenciamento de Relacionamento com o
Cliente

O objetivo na adoção de tais sistemas é agilizar os processos de trabalho e de negócio da organização, reduzir custos, obter
vantagem competitiva e, consequentemente, contribuir com a TI verde.

Outra visão apresentada pelo Framework é a Gestão da emissão de CO2 que trata da emissão de carbono da organização como
um todo.

Atividades de TI Verde
O Green ICT Framework apresenta cinco componentes horizontais, ou ações que descrevem abordagens para os quatros pilares
apresentados anteriormente:

ATITUDE
Trata da atitude da organização em relação à TI Verde. Descreve como a organização pensa e o seu desejo de mudar
demonstrado por meio das ações em TI verde implementadas, o envolvimento da Alta direção e da medição da eficácia
destas ações.

PRÁTICA
Envolve a alteração de hábitos e mentalidades da organização por meio da implementação de novos hábitos sustentáveis e
em conformidade com as práticas verdes. Especificamente, refere-se às técnicas e aos comportamentos que os indivíduos e
organizações podem adotar e que ajudam diretamente na implementação da TI Verde.

TECNOLOGIA
Considera que a TI verde não é só tecnologia, é apenas parte do processo, que envolve também conscientização, mudança de
comportamento e atitude.
Clique nos botões para ver as informações.
Políticas 

Segundo o Green ICT Framework (2010), a organização deve estabelecer uma política de TI Verde e, como qualquer política,
deve, necessariamente, seguir o ciclo do PDCA e:
Ser estabelecida;

Ser comunicada;

Ser medida quanto à eficácia;

Ser melhorada.

Desse modo, a organização deverá estabelecer uma política holística, coerente e adequadamente gerenciada e monitorada.

Métricas 

Como forma de garantir que os projetos de TI verde sejam bem-sucedidos ao longo do tempo, a organização deve escolher
ferramentas adequadas para medir, monitorar, gerenciar e mitigar o consumo de energia e as emissões de carbono, tanto
dentro como fora do departamento de TIC.
Para que as organizações possam compreender seu nível de capacidade em TI Verde, o Framework do Green ICT (2010),
desenvolveu, a partir do modelo do CMM criado pela Carnegie Mellon University, um modelo de maturidade em cinco níveis,
que deve ser aplicado em cada um dos cinco aspectos apresentados pelo framework de TI verde.

0 - Não implementado 1 – Inicial


A organização não possui consciência em TI verde. A organização já possui alguma consciência, mas ainda
não implementou nenhuma ação

2 - Repetitível 3 – De nido
A organização implementou ações de forma ad hoc, mas Programas formais foram definidos, porém a
não possui estratégia definida. implementação ainda é imatura.

4 – Gerenciado 5 – Otimizado
Implementação metódica, com medição e gerenciamento. Todas as atividades são monitoradas e gerenciadas.
Melhoria contínua. Melhores prática.

Fonte: Green ICT Framework (2010).


Atividade
1) A digite a resposta preocupa-se com o bem-estar do ambiente e com a saúde, o equilíbrio e a diversidade de
recursos humanos e naturais.

2) Existe uma preocupação mundial com seu crescimento, já que poderá gerar imensos estoque de lixo e agredir ao meio
ambiente. Podemos definir lixo eletrônico como: digite a resposta

3) Para que as organizações possam compreender seu nível de capacidade em TI Verde, é possível utilizar o modelo apresentado
Referências
pelo Green ICT Framework. Neste modelo, qual o significado do nível de capacidade 3?

FOREST STEWARDSHIP COUNCIL (FSC). Disponível em: https://br.fsc.org/pt-br <https://br.fsc.org/pt-br> Acesso em: 1 abr. 2019.

GREENPEACE. Guide to Greener Electronics, 2017. Disponível em: https://www.greenpeace.org/usa/reports/greener-electronics-


2017/ <https://www.greenpeace.org/usa/reports/greener-electronics-2017/> Acesso em: 1 abr. 2019.

PHILIPSON, G. Green ICT Framework. Sidney, Australia: Connection Research, 2010. Disponível em:
https://contractingsite.com.au/wp-content/uploads/2015/02/A_Green_ICT_Framework_CR.pdf
<https://contractingsite.com.au/wp-content/uploads/2015/02/A_Green_ICT_Framework_CR.pdf> Acesso em: 1 abr. 2019.

PROGRAMME FOR THE ENDORSEMENT OF FOREST CERTIFICATION (PEFC). Disponível em: https://www.pefc.org/
<https://www.pefc.org/> Acesso em: 1 abr. 2019.

PROGRAMME FOR THE ENDORSEMENT OF FOREST CERTIFICATION (PEFC). Brazilian Forest Certification Programme
(CERFLOR). Disponível em: https://www.pefc.org/about-pefc/membership/national-members/31-Brazil
<https://www.pefc.org/about-pefc/membership/national-members/31-Brazil> Acesso em: 1 abr. 2019.

Explore mais

Leia os textos:

Lista <https://www.greenpeace.org/usa/reports/greener-electronics-2017/>  do Greenpeace com as empresas mais


amigáveis ao meio ambiente;

Como a TI virou a vilã na emissão de CO2; <https://cio.com.br/como-a-ti-virou-a-vila-na-emissao-de-co2/>

Qual é a importância do Brasil no Acordo do clima de Paris; <https://nacoesunidas.org/artigo-qual-e-a-importancia-do-


brasil-no-acordo-do-clima-de-paris/>

Padrões publicados pelo EPEAT. <https://greenelectronicscouncil.org/epeat-criteria/>

Assista aos vídeos:

Data Center Efficiency Efficiency Opportunities: What Managers Should Know <https://www.youtube.com/watch?
v=ZhQxy1QkDy8>

Data Center Efficiency Efficiency Opportunities: What Managers Should Know(2) <https://www.youtube.com/watch?
v=hXkPN-dF2-Q>
Data Center Efficiency Efficiency Opportunities: What Managers Should Know(3) <https://www.youtube.com/watch?v=1F2A-
HJkgfQ>

Data Center Efficiency Efficiency Opportunities: What Managers Should Know(4) <https://www.youtube.com/watch?
v=uzFaqg2ri-M>

Data Center Efficiency Efficiency Opportunities: What Managers Should Know(5) <https://www.youtube.com/watch?
v=2iAMbnnK3Kw>

Conheça o trabalho da Rede Brasil do Pacto Global da ONU . <https://www.youtube.com/watch?


time_continue=50&v=waVtIK5SKkY >
Governança em Tecnologia da Informação - Capa 7mm.pdf 1 11/06/2015 15:44:40

1ª edição
Governança em Tecnologia da Informação
C

CM

MY

CY

CMY

K
GOVERNANÇA EM
TECNOLOGIA DA
INFORMAÇÃO

autor
REGINALDO GOTARDO

1ª edição
SESES
rio de janeiro  2015
Conselho editorial  regiane burger; roberto paes; gladis linhares; karen fernanda
bortoloti; helcimara affonso de souza

Autor do original  reginaldo aparecido gotardo

Projeto editorial  roberto paes

Coordenação de produção  gladis linhares

Coordenação de produção EaD  karen fernanda bortoloti

Projeto gráfico  paulo vitor bastos

Diagramação  bfs media

Revisão linguística  amanda carla duarte aguiar

Imagem de capa  artur marciniec | dreamstime.com

Todos os direitos reservados. Nenhuma parte desta obra pode ser reproduzida ou transmitida
por quaisquer meios (eletrônico ou mecânico, incluindo fotocópia e gravação) ou arquivada em
qualquer sistema ou banco de dados sem permissão escrita da Editora. Copyright seses, 2015.

Dados Internacionais de Catalogação na Publicação (cip)

G683g Gotardo, Reginaldo


Governança em tecnologia da informação / Reginaldo Gotardo.
Rio de Janeiro : SESES, 2015.
144 p. : il.

ISBN 978-85-5548-027-0

1. Governança de TI. 2. Governança corporativa. 3. Tomada de decisão.


4. Gestão de TI. I. SESES. II. Estácio.
CDD 658.004

Diretoria de Ensino — Fábrica de Conhecimento


Rua do Bispo, 83, bloco F, Campus João Uchôa
Rio Comprido — Rio de Janeiro — rj — cep 20261-063
Sumário

Prefácio 7

1. Introdução à Governança Corporativa 9


Objetivos 10
1.1  Introdução à Governança Corporativa 11
1.2  A Organização Empresarial 14
1.3  Breve Histórico da Governança 16
1.4  Princípios, Conceitos e Responsabilidades 16
1.5  Lei Sarbanes-Oxley (SOX) 19
1.6  Modelos de Governança Corporativa 20
1.7  Alinhamento de TI à Governança Corporativa 21
1.8  Responsabilidades da Governança de TI 23
1.9  Ciclo da Governança de TI 25
1.10  Balanced Scorecard 26
Atividades 30
Reflexão 31
Referências bibliográficas 32

2. Processo de Decisão na
Governança de Tecnologia da Informação 33

Objetivos 34
2.1  Tomada de Decisão na Governança de TI 35
2.2  Capacidades e Processos sobre Direitos Decisórios 38
2.3  Framework de Governança de TI 44
2.4  Controles para Governança de TI 49
2.5  Controle no Desenvolvimento de Sistemas 51
2.6  Controle de Operações 51
2.7  Segurança 52
2.8  Auditando Sistemas de Informação 53
Atividades 53
Reflexão 54
Referências bibliográficas 55

3. Introdução ao COBIT 5 57
Objetivos 58
3.1  Histórico e Apresentação 59
3.2  Governança Empresarial de TI 62
3.3  Princípios do COBIT 5 64
3.3.1  Princípio 1 – Atender às Necessidades das Partes Interessadas 67
3.3.2  Princípio 2 – Cobrir a Organização de Ponta a Ponta 75
3.3.3  Princípio 3 – Aplicar um Framework Único e Integrado 76
3.4  Princípio 4 – Permitir uma Abordagem Holística 77
3.5  Princípio 5 – Distinguir a Governança da Gestão 78
3.6  Modelo de Referência e Domínios de Processo no COBIT 5 85
3.6.1  Avaliar, Dirigir e Monitorar (EDM) 86
3.6.2  Alinhar, Planejar e Organizar (APO) 87
3.6.3  Construir, Adquirir e Implementar (BAI) 89
3.6.4  Entregar, Serviço e Suporte (DSS) 90
3.6.5  Monitorar, Avaliar e Analisar (MEA) 91
3.7 Implementação 91
3.8  Aceitação do Modelo 93
Atividades 93
Reflexão 95
Referências bibliográficas 95

4. Val IT, CMMI e ISO 27001 e 27002 97

Objetivos 98
4.1  Val IT 99
4.2  O Conceito de Valor 102
4.3  COBIT 5 e Val IT 102
4.4 CMMI 104
4.5  CMMI - Abordagem de Implementação por Estágios 106
4.6  CMMI - Abordagem de Implementação Contínua 108
4.7  Áreas dos Processos CMMI 110
4.8  ISO 27001 e 27002 112
Atividades 115
Reflexão 116
Referências bibliográficas 116

5. Seis Sigma e as Ferramentas de Qualidade 117

Objetivos 118
5.1  Breve História 119
5.2  Mas o que significa “sigma”? 120
5.3  O Six Sigma 120
5.4  Six Sigma – Papéis e Responsabilidades 123
5.5 DMAIC 124
5.6 DFSS 127
5.7 DMAVD 128
5.8  As 7 Ferramentas da Qualidade 129
5.8.1 Fluxograma 129
5.8.2  Diagramas de Dispersão 131
5.8.3  Folhas de Verificação 131
5.8.4  Gráficos de Pareto 133
5.8.5  Diagrama de Causa e Efeito 133
5.8.6 Histograma 134
5.8.7  Cartas de Controle 135
Atividades 139
Reflexão 140
Referências bibliográficas 140

Gabarito 141
Prefácio
Prezados(as) alunos(as),

Na disciplina de Governança em Tecnologia da Informação você aprenderá


sobre os principais conceitos de Governança Corporativa, sobre a Governança
em Tecnologia da Informação e sobre os modelos que podem ser usados para
aplicação da mesma nas empresas.
Na disciplina, nós começamos estudando a origem da Governança Corpora-
tiva, os conceitos envolvidos na sua definição e implantação. Depois estudamos
a Governança de Tecnologia de Informação, sua aplicação nas empresas e os
desafios envolvidos na tomada de decisão que envolve tecnologia.
Na sequência falaremos de um framework, o COBIT, para alinhamento
entre os objetivos de negócio e a tecnologia da informação. Falaremos tam-
bém sobre frameworks para tecnologia propriamente e sobre processos de
melhoria.
Temos uma grande jornada pela frente.
Aproveite o que preparamos, pesquise e estude outras fontes indicadas para
se aperfeiçoar no tema.

Bons estudos!

7
1
Introdução à
Governança
Corporativa
O termo Governança Corporativa é dominante em negócios atualmente, pois,
nas últimas décadas tivemos uma série de casos envolvendo escândalos corpo-
rativos. A possibilidade de instabilidades financeiras nas empresas por falhas
de gestão minou perspectivas de vários investidores, e isso causou muita des-
confiança nos diversos setores de negócio.
Basicamente, a preocupação é “Como as empresas podem proteger seus
stakeholders?”.
Os investimentos em Governança Corporativa refletem no valor da empre-
sa. Possuir uma boa Governança (altos padrões de como fazê-la) pode fazer com
que investidores aceitem pagar mais caro pelas ações da empresa. Isso ocorre,
pois trata-se de: relação confiança. A melhor governança gera melhor confiança
no mercado e gera melhor economia para empresa.
Perceba que não estamos falando na produção e venda de produtos ou ser-
viços, mas sim na capacidade de manter os processos funcionando adequada-
mente e entregando valor aos stakeholders.

OBJETIVOS
Neste capítulo, os objetivos principais são:

•  Aprender o que é Governança Corporativa;


•  Saber por que a Governança Corporativa está sendo cada vez mais utilizada nas empresas;
•  Conhecer a Lei Sabarnes-Oxley (SOX) e seus impactos na área de TI;
•  Identificar os mecanismos da boa Governança Corporativa;
•  Relacionar a governança de TI com a Governança Corporativa.
•  Saber a importância do alinhamento entre estratégia corporativa e TI.
•  Conhecer a técnica do Balanced Scorecard (BSC).
•  Saber o que é Governança de TI.
•  Identificar as responsabilidades da Governança de TI.
•  Relacionar a Governança de TI com modelos e ferramentas utilizadas.

10 • capítulo 1
1.1  Introdução à Governança Corporativa
O uso do termo “governance” surgiu a partir de reflexões do Banco Mundial
sobre as gestões públicas mundiais. Em 1992, foi apresentado um documento
sobre o tema intitulado: Governance and Development. Já no prefácio do do-
cumento, encontramos a noções fundamentais desse tema, escrito, na época,
pelo Presidente Lewis T. Preston, do Banco Mundial, em abril de 1992, onde
lemos:

A boa governança é um complemento essencial para a saúde das políticas econômi-


cas. A gestão eficiente e responsável pelo setor público, um quadro político previsível
e transparente são fundamentais para a eficiência dos mercados e governos, e, conse-
quentemente, para o desenvolvimento econômico.

A definição de governança foi apresentada no documento em linhas ge-


rais como: o uso da autoridade, controle, administração e o exercício do poder
tendo em vista questões sociais e econômicas, visando seu legitimo desenvol-
vimento. A partir dessa vertente, a capacidade governativa não seria avaliada
apenas pelos resultados das políticas governamentais, mas pela forma como
o governo exerce o poder, essa visão mais abrangente envolvem as dimensões
sociais do fazer político.
Ultimamente, é comum o uso do termo governança nas áreas administrati-
va, constituindo o planejamento estratégico da Empresa, o uso do termo acon-
tece, principalmente, pelo seu amplo conceito. Segundo definição apresentada
pelo Guia do Instituto Brasileiro de Governança Corporativa (IBGC, página 19):

Governança é o sistema pelo qual as organizações são dirigidas, monitoradas e incenti-


vadas, envolvendo o relacionamento entre Conselho, equipe executiva e demais órgãos
de controle. As boas práticas de governança convertem princípios em recomendações
objetivas, alinhando interesses com a finalidade de preservar a reputação da organiza-
ção e de otimizar seu valor social, facilitando seu acesso a recursos e contribuindo para
sua longevidade.

capítulo 1 • 11
A Governança Corporativa define um conjunto de ações, normas, costumes,
gestão e filosofia, que regulam a direção e gestão de uma empresa e sua relação
com os diversos atores que a constitui: chamados de stakeholders.
O termo stakeholders é formado pelas palavras inglesas: Stake que significa
interesse, participação, risco, e Holder que significa aquele possui. Sendo as-
sim, podemos definir como “aquele que possui participação” ou melhor “parte
interessada”.
Um dos princípios da Governança é promover a equidade, igualdade e jus-
tiça entre os membros, porém em empresas de capital aberto, os acionistas
(shareholders), o conselho, e os executivos, são os stakeholders mais influentes.
São também stakeholders os colaboradores, clientes, bancos, fornecedores,
governo, a comunidade onde a empresa atua e a relação com o meio ambiente.

Internal External Stakeholders


Stakeholders
Suppliers
Society
Employees

Government

Manager Company

Creditors

Owners

Shareholders
Customers

Figura 1.1 – Stakeholders da Empresa. Fonte: http://upload.wikimedia.org/wikipedia/com-


mons/4/4c/Stakeholder_(en).png

Stakeholders Internos:

•  Empregados:
•  Gerentes:
•  Proprietários:

12 • capítulo 1
Stakeholders Externos:

•  Fornecedores
•  Sociedade
•  Governo
•  Credores
•  Acionistas
•  Consumidores

De maneira geral, os sistemas informartizados de governança corporativa


e, claro, os princípios de governança devidamente aplicados, podem ajudar a
evitar fracassos como abusos de poder (diretorias sobre acionistas, acionistas
majoritários sobre minoritários), erros estratégicos (concentração de poder e
decisões concentrados num executivo apenas) e fraudes (uso de informações
privilegiadas em benefício próprio).
O que nós veremos ao longo deste material são conceitos de Governança,
modelos, frameworks, que visam alinhar a Tecnologia de Informação à Gestão
Empresarial.
Boas práticas de Governança Corporativa podem trazer benefícios qualita-
tivos e quantitativos às organizações. Desde melhores decisões até redução de
custos e impactos financeiros.

Stakeholder refere-se às diversas partes interessadas em projetos, na administração


ou na governança das empresas. De maneira geral, refere-se aos envolvidos em pro-
cessos (é duradouro, há recorrência) ou projetos (esforços temporários).

A relação com “as partes interessadas” faz parte de uma boa governança e
tem que estar definido nos planejamentos estratégicos e táticos da corporação.
Os stakeholders influenciam interna e externamente na empresa, podendo ofe-
recer benefícios ou dificuldades para as corporações. Um exemplo de benefício
são as parcerias empresariais, e um exemplo de dificuldade são as ações gover-
namentais como excesso de burocracia, corrupção e impostos abusivos.

capítulo 1 • 13
1.2  A Organização Empresarial
A globalização da economia baseada no capitalismo acirrou a concorrência en-
tre as empresas e trouxe mercados cada vez mais dinâmicos ou turbulentos.
Diariamente (ou em questão de segundos) as decisões impactam empresas e
pessoas ao redor do mundo todo.
Há a crescente necessidade de agir com rapidez perante este cenário. No
entanto, as empresas, em geral grandes e médias, preconizam modelos de or-
ganizações pautados em estruturas de trabalhos e funções, ou seja, modelos
baseados nos estudos de Frederick Taylor e Henri Fayol.
O desempenho da empresa fica relacionado ao desempenho de suas unida-
des funcionais. De forma geral toda empresa precisará produzir algo, usando
um conjunto de ferramentas, processos e pessoas. Esta produção pode resultar
em produtos ou serviços (1). A empresa também precisará inserir o produto ou
serviço no mercado e atrair clientes, além de possuir um controle no pós venda
para melhoria de seus produtos/serviços (2). A empresa precisará da estimativa
de custos e preços, prestação de contas e previsão de resultados (3). E, por fim,
a empresa precisa de pessoas. Precisa treiná-las, adequá-las ao ambiente de tra-
balho, definir habilidades e tarefas (4).

Produção

Produtos
Vendas Finanças e
ou
e MKT Contabilidade
Serviços

Recursos
Humanos

Figura 1.2 – Áreas funcionais de uma empresa. Fonte: Elaborado pelo autor.

14 • capítulo 1
Assim, como visto na figura, uma empresa precisa de grupos de tarefas para
funcionar. As proximidades das competências nestas tarefas geram as unida-
des funcionais (às vezes chamadas de silos funcionais).
Uma organização pode ser vista como um conjunto de pessoas com um
objetivo em comum. Normalmente essas pessoas se organizam de forma hie-
rárquica e essa organização hierárquica gera o que já comentamos: unidades
funcionais baseadas nas características em comum do trabalho a ser realizado.

Níveis Hierárquicos ou Stakeholders


de Responsabilidade
Nível Gerentes
Estratégico Seniores

Nível Gerentes
Gerencial Médios

Trabalhadores do
Nível de
Conhecimento
Conhecimento
de Dados

Nível Gerentes
Operacional Operacionais

Áreas ou Vendas e Recursos


Fabricação Finanças Contabilidade
Departamentos Marketing Humanos

Figura 1.3 – Áreas funcionais de uma empresa. Fonte: Adaptado de (LAUDON e LAUDON,
2007).

A gestão das áreas funcionais é baseada em hierarquia de níveis gerenciais.


Como pode ser visto na figura anterior, existem vários níveis gerenciais que
permeiam a estrutura funcional da empresa. Os gerentes operacionais atuam
diretamente ligados aos processos que produzem o conhecimento diário da
empresa, que atendem clientes, que entregam valor aos clientes externos da or-
ganização. Os demais níveis gerenciais atuam de forma tática e estratégica para
o bom funcionamento da empresa, alinhando os interesses da organização à
operacionalização dos resultados.

capítulo 1 • 15
1.3  Breve Histórico da Governança
Quando o Banco Mundial redigiu o documento sobre Governança e Desenvolvi-
mento, o cenário mundial vivia uma crise crescente de desconfiança, tanto nos
setores públicos quanto privado.
Entre os anos de 1990 e 2002, as crises na Ásia, o enfraquecimento econô-
mico da Europa e escândalos em empresas americanas, culminaram na tenta-
tiva de que as relações comerciais e governamentais fossem pautadas por ações
mais assertivas e honestas.
A Governança Corporativa surgiu nesse cenário, e veio para atender tam-
bém aos anseios sociais e ambientais, e não apenas aos ganhos financeiros. Na
gestão privada, durante a Era Industrial, o planejamento estratégico era estabe-
lecido, principalmente, por grandes investidores e acionistas (shareholders), as
negociações e articulações aconteciam com portas fechadas.
As questões sociais e ambientais não apareciam como parte do planejamen-
to estratégicos das empresas.
Outro fator que alavancou o conceito de governança foi a globalização. Com
a era da Informação foi apresentado ao mundo situações e condições de gover-
nabilidade desumanas, ditatoriais e de alto impacto ambiental, a propagação
das informações resultaram em demonstrações de repudio por todo o mundo.
Sendo essas situações inaceitáveis e comprovadamente insustentáveis, ace-
nava-se para a necessidade de as empresas criarem relações socioambientais
mais justas.

1.4  Princípios, Conceitos e Responsabilidades


Os preceitos da governança apontam para equidade e transparência com to-
dos os stakeholders, criando o conceito de organização sustentável, que visa o
equilíbrio social, a participação, a distribuição dos lucros, e o desenvolvimento
de todos os envolvidos, isto é, num processo onde todos devam participar e ga-
nhar. Esse novo modelo propõe além do retorno financeiro, retorno e desen-
volvimento socioambiental.
Os princípios que norteiam a governança tanto pública, tanto públi-
ca como corporativa, são: Transparência, Equidade, Prestação de contas,
Responsabilidade, Participação, Decisões orientadas por consenso, Efetividade
e eficiência.

16 • capítulo 1
•  O princípio de transparência propõe que a informação deva ocorrer es-
pontaneamente e que sobrepondo ao conceito de “obrigação de informar” que
deva haver na corporação um “desejo de informar.” Mais do que informar o que
é imposto contratual e legalmente, é necessário que haja transparência nas re-
lações e que todas as informações da empresa estejam disponíveis aos interes-
sados. A atuação transparente desenvolve um clima de mútua confiança entre
todos os envolvidos. Melhorando tanto as relações internas como externas.

CONEXÃO
No Brasil, podemos ver ações como “A Transparência Brasil” que é uma organização inde-
pendente e autônoma, fundada em 2000 por um grupo de indivíduos e organizações não-
governamentais comprometidos com o combate à corrupção.

Disponível em: http://www.transparencia.org.br/

Segundo o dicionário Houaiss, Equidade nos termos do Direito significa: “O respeito pelo
direito de cada pessoa, adequando a norma ao caso concreto, pelo que se considera justo. É
a apreciação e julgamento justo em virtude do senso de justiça imparcial, visando a igualdade
no julgamento.” Dicionário Houaiss.

Disponível em http://houaiss.uol.com.br/busca.jhtm.

•  Sobre o Princípio da Equidade: A palavra equidade tem origem no latim


aequitas que significa igualdade, simetria, retidão, imparcialidade, conformi-
dade. Quando pensamos em equidade, devemos ter em mente os critérios de
igualdade e justiça. Esse conceito revela equivalência entre os stakeholders, su-
gerindo imparcialidade ao reconhecer o direito de cada um.
•  No Princípio da Prestação de Contas (Accountability) os agentes de gover-
nança – associados, conselheiros, executivos, conselheiros fiscais e auditores –
devem prestar contas de sua atuação, assumindo integralmente as consequên-
cias de seus atos e omissões.
•  Sobre a Responsabilidade a governança deve atender as questões de sus-
tentabilidade, com ações no âmbito social e ambiental que resultarão em sus-
tentabilidade e longevidade à organização, atendendo igualmente as expectati-
vas dos stakeholders.

capítulo 1 • 17
•  O Princípio da Participação visa oferecer aos stakeholders, liberdade de
expressão, de questionamentos, acesso a informações, possibilitando a parti-
cipação direto ou indireta.
•  Nas Decisões Orientadas por Consenso deve-se considerar o consenso
nas relações sociais, as decisões devem ser tomadas de forma participativa, cla-
ra e explicita, considerando os diferentes pontos de vistas. Assegurando a to-
dos os membros que façam parte das decisões da corporação. Projetando ações
que visam resultados a médio e longo prazo, para atingir o desenvolvimento
sustentável.
•  Na Efetividade e Eficiência há a busca em garantir processos que produ-
zam bons resultados fazendo o melhor uso possível dos recursos disponíveis.
Garantindo a sustentabilidade.
Como vemos, os princípios da governança estão pautados no comparti-
lhamento e transparência de informações, na responsabilidade fiscal, social
e ambiental. As empresas que aderem à Governança Corporativa têm ganhos
de imagem e reputação, considerados ativos intangíveis, esses ganhos têm de-
monstrado o quanto pode-se criar valor através de boas ações mercadológicas.
A governança tem como seus principais ativos:

•  Ativos Humanos: pessoas, treinamentos, planos de carreira;


•  Ativos Financeiros: dinheiro, investimentos, fluxo de caixa, etc;
•  Ativos Físicos: prédios, fábricas, equipamentos, manutenção, etc;
•  Ativos de Propriedade Intelectual: know-how de produtos, serviços, pro-
cesso com patentes ou registros;
•  Ativos de relacionamento: interno à empresa, relacionamento com clien-
tes, reputação, fornecedores, governo;
•  Tecnologia da Informação: dados, informações, sistemas de informação,
dados dos processos, etc.

Estes ativos devem ser protegidos e controlados pela governança através de


estruturas gerenciais, processos, comitês, conselhos e auditores.
A conformidade da gestão pode ser verificada com auditorias externas con-
tratadas pela empresa ou por órgãos regulatórios como a ANATEL (telecomuni-
cações no Brasil), ANEEL (energia elétrica), Banco Central do Brasil (financei-
ro), dentre outros. Alguns destes órgãos regulatórios causam forte impacto na
área de TI, e isso deverá ser tratado no modelo de governança de TI e alinhado
estrategicamente ao negócio.

18 • capítulo 1
1.5  Lei Sarbanes-Oxley (SOX)
O Sabarnes-Oxley Act (SARBANE e OXLEY, 2002) foi motivado pelos escândalos
financeiros em companhias abertas nos Estados Unidos que determinaram a
perda de confiança de investidores no mercado de capital americano. A bolsa
de valores nos Estados Unidos é um dos principais meios de investimento das
famílias norte-americanas. Assim, era importante manter a credibilidade das
empresas e do funcionamento dos sistemas.
A Lei foi sancionada pelo presidente dos Estados Unidos, George W. Bush
em julho de 2002, e afetou a divulgação financeira de empresas que têm ações
negociadas em bolsas dos Estados Unidos.
A lei visa regular tanto empresas norte-americanas com ações nas bolsas
americanas quanto empresas estrangeiras com ações nas bolsas americanas.
Pela lei, CEO e o CFO das empresas estão sujeitos a sanções pecuniárias de
US$ 1.000.000 a US$ 5.000.000 e/ou 10 a 20 anos de reclusão, caso não atendam
aos requisitos da Securities and Exchange Commission (SEC).
Para a TI, os requisitos do SOX que a afetam estão nas seções 302 e 404 da
lei. A seção 302 especifica, dentre outros itens, que:

•  O CEO e CFO devem revisar os relatórios financeiros


•  O CEO e CFO declaram ter conhecimento dos resultados e atestam que os
relatórios financeiros não contêm declaração falsa ou omissão de dados;
•  O CEO e CFO são responsáveis por manter e estabelecer controles e proce-
dimentos sobre a emissão de relatórios financeiros e controles internos sobre
eles.
•  As deficiências dos sistemas de controle interno que possam afetar a ha-
bilidade da empresa em registrar, processar, sumarizar, e comunicar informa-
ções financeiras devem ser comunicadas.
•  Qualquer fraude que envolva a gerência ou outros funcionários que te-
nham um papel significante nos registros do controle interno sobre relatório
financeiro deve ser comunicada.

A seção 404 especifica que:

•  A administração tem a responsabilidade de estabelecer e manter uma


estrutura adequada de controles e procedimentos para emissão de relatórios
financeiros.

capítulo 1 • 19
•  A administração deve avaliar a efetividade do sistema de controle interno
para emissão de relatórios financeiros.
•  A administração deve realizar uma auditoria independente, para atestar e
divulgar a avaliação feita pela administração sobre os controles e procedimen-
tos internos para emissão de relatórios financeiros.

Para atender aos requisitos do SOX as informações financeiras devem aten-


der a alguns princípios:

•  O conteúdo da informação deve ser apropriado.


•  A informação deve estar disponível de acordo com a necessidade
•  A informação deve representar a última atualização, ou seja ser atual.
•  Os dados e informações devem estar corretos.
•  A informação é acessível aos usuários interessados autorizados
•  Deve haver um sistema de controle interno sobre relatórios financeiros
para garantir a veracidade dos itens anteriores.

As informações financeiras e os resultados da empresa são oriundos de pro-


cessos de negócio. Há, neste caso, a geração de fatos contábeis e financeiros na
empresa. Assim, os sistemas transacionais (geradores de informações na em-
presa e que estão no nível operacional – consulte a figura da seção 2) devem ser
considerados quando se tratar da SOX.

1.6  Modelos de Governança Corporativa


De acordo com o Instituto Brasileiro de Governança Corporativa (IBGC) cada
país institui melhores práticas de governança corporativa com base em seus
modelos econômicos, corporativos, regulatórios e seu ambiente social. O pró-
prio IBGC afirma que torna-se impossível descrever de forma detalhada todos
os modelos de governança vigentes no mundo.
Mas, é possível observar os tipos de modelos de governança através da análi-
se do que o mercado pratica. Há, segundo o IBGC, duas grandes categorias que
compreendem os modelos adotados pelo mundo:

20 • capítulo 1
•  Outsider System: trata-se de um sistema de Governança anglo-saxão (Estados Uni-
dos e Reino Unido) onde há muitos acionados (pulverização) e, normalmente, fora do
comando diários das operações das empresas. Há também foco grande na maximiza-
ção do retorno para acionistas. A propriedade fica dispersa, até por conta da natureza
dos acionistas.
•  Insider System: trata-se de um sistema de Governança da Europa Continental e
Japão onde há grandes acionistas relacionados ao comando das operações diárias das
empresas ou pessoas indicadas por estes acionistas. A estrutura de propriedade é mais
concentrada e há a presença de grandes grupos empresariais.

O modelo de governança corporativa no Brasil se aproxima mais do Insider


System com propriedades mais concentradas e forte presença de empresas fa-
miliares ou empresas controladas pelo Estado.
Algumas exigências legais e regulatórias devem ser cumpridas para a obten-
ção de uma boa governança corporativa. Isto deve ser feito pela criação de um
conjunto de mecanismos externos e internos eficientes que assegurem o com-
portamento dos executivos alinhado aos interesses dos acionistas.
Como mecanismos internos podem ser considerados o conselho de admi-
nistração, a concentração acionária e a atuação de investidores institucionais.
Os mecanismos externos pode ser a proteção legal aos investidores, o grau de
competição do mercado, a fiscalização de agentes do mercado, e a própria es-
trutura de capital.
O conselho de administração deve exercer seu papel com a elaboração de
estratégias para a empresa e deve eleger (e destituir) o executivo principal, fis-
calizar e avaliar o desempenho da gestão e executar auditorias de forma inde-
pendente, refletindo, assim, as boas práticas da governança corporativa e tem
como objetivo os princípios vistos na seção 4.

1.7  Alinhamento de TI à Governança


Corporativa

O fato ds organizações estarem enfrentando um mercado cada vez mais com-


petitivo e globalizado, faz com que necessitem de informações sob demanda

capítulo 1 • 21
e personalizadas, para ajudar na sua gestão de forma mais inteligente. No en-
tanto, para que isto se torne uma realidade é necessário que o planejamento
estratégico da área de Tecnologia da Informação esteja alinhado ao planeja-
mento estratégico do negócio de forma coerente. A área de TI deve trabalhar
com seus esforços voltados para as ações que possam agregar valor ao negócio
da empresa, sendo flexível para acomodar as frequentes mudanças, antecipar
informações, simular cenários e avaliar tendências.
O alinhamento da área de TI com a área de negócio é o ingrediente principal
para a criação da governança de TI sob a guarda da governança corporativa.
A Governança Corporativa nos apresenta a sua importância para a organi-
zação e para os investidores nas empresas e mostra que, em conjunto com o
planejamento estratégico de TI alinhado ao negócio, influencia diretamente a
estruturação da governança de TI.
Várias práticas de governança em outras áreas, como a governança finan-
ceira, podem oferecer guias gerais na construção de uma governança de TI. Por
exemplo, o Chief Financial Officer (CFO – Diretor Financeiro) delega autorida-
de e especifica quem pode assinar os cheques, os valores limites para cada fun-
ção na empresa, quem pode realizar pagamentos, quais os valores, tudo isto
para estabelecer uma governança financeira. Ele também administra o fluxo de
caixa da empresa e avalia riscos. Este formato de delegação e controle, com dis-
tribuição de tarefas e responsabilidades pode e deve ser utilizado para modelos
de governança de TI.
A governança de TI pode ser definida como (WEILL e ROSS, 2006):
“A especificação dos direitos decisórios e do framework de responsabilida-
des para estimular comportamentos desejáveis na utilização de TI”.
Assim, a governança de TI determina os tomadores de decisão, como,
por exemplo, quem decidirá sobre o investimento em TI e qual o valor do
investimento.
A governança de TI também deve abordar as seguintes questões (WEILL e
ROSS, 2006):
•  Quais decisões devem ser tomadas para garantir a gestão e o uso eficazes
de TI?
•  Quem deve tomar essas decisões?
•  Como essas decisões serão tomadas e monitoradas?

22 • capítulo 1
O IT Governance Institute (ITGI) descreve a governança como:
“Responsabilidade dos executivos e da alta direção que consiste na lide-
rança, em aspectos estruturais organizacionais, em processos que garantam
que a TI da organização fornece suporte e aprimore objetivos e estratégias da
empresa.”
Assim, outras questões devem ser debatidas e respondidas como:
Como a empresa consegue implementar controles na área de TI de forma
que TI entregue as informações que a empresa precisa?
Como a empresa gerencia os riscos e garante a segurança dos recursos de TI
dos quais é tão dependente?
Como a empresa assegura que a área de TI atinja seus objetivos e atenda ao
negócio?

O ITGI é um Instituto criado em 1998 para melhoria e controle de padrões internacio-


nais sobre tecnologia da informação nas empresas.

Por sua vez, a governança de TI deverá ser vista como parte da governança
corporativa de forma que agregue valor ao negócio e vise:

•  Manter a TI ainhada ao negócio;


•  Implementar medidas para a continuidade do negócio em caso de falhas
ou interrupções;
•  Incluir marcos regulatórios externos como o SOX, que já citamos.

A ISO 38500:2009, fundamentada nos princípios de Responsabilidade,


Estratégia, Aquisições, Desempenho, Conformidade e Comportamento
Humano, é a norma da International Organization for Standardization (ISO –
www.iso.org) voltada à Governança Corporativa para Tecnologia da Informação.

1.8  Responsabilidades da Governança de TI


Os pilares (ou princípios) da Governança Cooporativa são: transparência, equi-
dade, prestação de contas e responsabilidade corporativa. A transparência re-
laciona-se com a comunicação interna e externa de forma espontânea, direta e

capítulo 1 • 23
franca. A equidade reporta-se ao tratamento justo e igualitário entre os stake-
holders. A prestação de contas (Accountability) remete a informação clara so-
bre todos os atos praticados pelos executivos; e a responsabilidade corporativa
zela pela sustentabilidade da companhia e sua perpetuação.
A Governança de TI tem como objetivo principal armazenar, processar e
disponibilizar informações com qualidade e segurança, atendendo a tríade
Confidencialidade, Integridade e Disponibilidade (CID).
Com os princípios revistos, a implantação da governança deve estar arti-
culada com a gestão estratégica e com os papeis e responsabilidades de cada
entidade bem definidas. A definição de papeis, elenca o responsável (CEO) ou
responsáveis (CIO e ou CFO) pelas tomadas de decisões, e a definição dos me-
canismos que serão articulados.
Uma das responsabilidades da Governança de TI é avaliar os valores dos
stakeholders para o consenso, direcionando ações de valor para o negócio. Veja
na imagem abaixo:

Stakeholder Responsabilidade da Governança de TI


Direciona valor

Estratégia Direciona

Recursos:
• Desempenho Utilizam
Processos
Confirmam • Informação Medem
ou mudam • Capacidade
Reportam

Melhoram
Resultados
• Desempenho
• Resultado
• Riscos

Figura 1.4 – Responsabilidades da Governança de TI. Fonte: Material Estácio WebAula.

Utilizando as estratégias descritas acima, há um direcionamento na utiliza-


ção dos processos com os resultados mensurados e analisados, é possível ade-
quar ou confirmar o uso das estratégias disponíveis para o fluxo dos processos.

24 • capítulo 1
1.9  Ciclo da Governança de TI
O “Ciclo da Governança de TI”, é composto por 4 etapas:

1. Alinhamento estratégico e Compliance


2. Decisão
3. Estrutura e Processos
4. Medição de desempenho da TI

Veja como o Ciclo é representado na imagem abaixo (FERNANDES e ABREU,


2008):

Ciclo da Governança de TI

1 2 3 4

Alinhamento Decisão, compromisso, Estrutura, processos Medição do


estratégico e priorização e alocação operações e gestão desempenho
compliance de recursos

Figura 1.5 – Ciclo da Governança e TI. Fonte: Material Estácio WebAula.

1. Alinhamento Estratégico e Compliance trata de que o planejamento estra-


tégico da TI estejam alinhadas as estratégicas da organização considerando seus
produtos e segmento de atuação, cumprindo as normas legais e regulamentares,
as politicas e diretrizes estabelecidas evitando qualquer desvio ou inconformidade.
2. Decisão, Compromisso, priorização e alocação de recursos trata das
responsabilidades pelas decisões envolvendo a TI, respondendo por quem, o
que, como e onde as decisões serão tomadas, e diz respeito a investimentos,
necessidades de aplicações, arquitetura de TI, serviços de infra-estrutura, etc.
Estrutura, Processos, Operações e Gestão trata da estrutura organizacional e
funcional de TI. São alinhadas as operações de sistemas, infra-estrutura, supor-
te técnico, segurança da informação, trata dos processos de gestão e operação
dos produtos e serviços de TI.
3. Medição do Desempenho trata da seleção, coleta, e geração dos indica-
dores de resultados dos processos, produtos e serviços de TI e do seu impacto
sobre as estratégias e objetivos do negócio.

capítulo 1 • 25
1.10  Balanced Scorecard
O Balanced Scorecard (BSC) é um método usado pelas organizações para a im-
plantação das estratégias estabelecidas. Usando o BSC é possível desenhar um
mapa estratégico para interpretar a missão e visão da organização e criar mé-
tricas de desempenho a partir desse alinhamento estratégico. O BSC tem sua
métrica alinhada a quatro requisitos, relacionando-as, dessa forma, qualquer
medida escolhida deve estar articulada a uma cadeia de relações de causa e
efeito proporcionando melhoria no desempenho financeiro.

Financeiro
Para ter sucesso
financeiramente, como
nós devemos aparecer
para os nossos
investidores?

Cliente Processos Internos


Para alcançar nossa Visão Para satisfazer os
visão, como devemos e clientes, em quais
ser vistos Estratégia processos devemos
pelos clientes nos sobressair?

Aprendizado e
Crescimento
Para alcançar nossa
visão, como sustentar a
habilidade de mudar
e progredir?

Figura 1.6 – Perspectivas do BSC. Fonte: Material Estácio WebAula

O objetivo no BSC é alcançado pelas seguintes ações e respostas às questões:

•  Integração da Visão: onde queremos chegar? Com a estratégia definida o que fazer
para alcança-la?
•  Articular com o setor Financeiro: como ter e mostrar ter sucesso financeiro?
•  E com os clientes: Como devemos ser vistos pelo cliente?
•  Integração da Visão: onde queremos chegar? Com a estratégia definida o que fazer
para alcança-la?

26 • capítulo 1
•  Articular com o setor Financeiro: como ter e mostrar ter sucesso financeiro?
•  E com os clientes: Como devemos ser vistos pelo cliente?
•  Revendo os processos internos: Quais processo/ações são mais atraentes aos
clientes?
•  Usando o Aprendizado e crescimento: usar as experiências para mudar e progredir.
•  Esclarecer e traduzir a visão e a estratégia, esse método também contribui para a
construção de consensos entre os gestores e sobre a visão e estratégia da organização.

Atender as demandas dos quatro requisitos possibilita o ajuste continuo da


estratégia. A busca constante por resposta, permite levantar mensuras simul-
taneamente financeiras e não financeiras, inerentes ao sistema de informação
tangível a todos os níveis da organização. Alinha os indicadores externos e os
indicadores internos, compreendendo investimentos, processos, inovação,
aprendizagem e crescimento; alinha os resultados do esforço passado e os in-
dicadores dos desempenhos futuros; alinha indicadores quantificáveis e indi-
cadores subjetivo de desempenho.
Na perspectiva Financeira o que normalmente se vê é a estratégia de cres-
cimento, rentabilidade e risco do negócio. Os objetivos financeiros servem de
foco para as perspectivas seguintes do BSC. Na perspectiva do Cliente, busca-
se alinhamento de resultados, proporcionando satisfação, fidelidade, capta-
ção e lucratividade. Já na terceira perspectiva vem os Processos Internos, onde
ocorre uma análise dos processos mais críticos, levando em consideração as
duas primeiras perspectivas. A última perspectiva, denominada Aprendizado
e Crescimento, oferece sustentação, suporte à mudança, e inovação e o cres-
cimento organizacional para as três primeiras perspectivas alcançarem seus
objetivos.
Abaixo, segue um conjunto com alguns indicadores de desempenho rela-
cionados à abordagem do FPNQ (Fundação Programa Nacional de Qualidade)
e do BSC (Balanced Scorecard) baseados em (OLIVEIRA, 2007):

capítulo 1 • 27
Perspectivas do Mercado e dos Clientes:

•  Participação no Mercado: Qual a representatividade (%) das vendas da empresa


no mercado.
•  Fidelidade: Percentual de clientes regulares.
•  Conquista de Novos Clientes: Número de clientes novos por segmento e quanti-
dade de vendas a estes clientes.
•  Insatisfação: Quantidade (%) de clientes que apontaram itens que influenciaram
negativamente em suas decisões de compra.
•  Satisfação: Percentual de clientes declarados satisfeitos.
•  Informação: Intensidade com que o mercado potencial recebe informações positivas
da empresa.
•  Imagem: Percentual de pessoas com visão positiva da empresa.
•  Conhecimento: Lembrança da marca (ou produtos). Percentual.
•  Valor Relativo do Produto ou Serviço: Outros valores associados aos produtos/
serviços como pontualidade, qualidade, atendimento, etc.
•  Manifestações dos Clientes: Reclamações e devoluções registradas e procedentes.
•  Relacionamento: Prazo médio para solução dos problemas com os clientes.

Perspectivas Financeiras:

•  Valor Econômico Agregado: Valor dos bens produzidos depois de deduzido o custo
dos insumos (EVA – Economic Value Added).
•  Rentabilidade sobre Patrimônio Líquido: Lucro líquido dividido pelo Patrimônio
líquido. Ou seja, é um indicador de atratividade, pois indica qual o retorno sobre o pa-
trimônio investido.
•  Liquidez Corrente: Mede a capacidade da empresa de saldar seus compromissos
imediatos. Ativo circulante dividido pelo passivo circulante.
•  Crescimento de Receita: Receita no período atual dividida pela receita no período
anterior

28 • capítulo 1
•  Margem Bruta: Total das vendas menos o custo de produtos e serviços vendidos
dividido pelo total das vendas. Equilibrio entre receita e despesa.
•  Geração de Caixa: Saldo médio de caixa dividido pelo Total das vendas. Equilíbrio
entre contas a receber e a pagar.
•  Vendas: Capacidade de fazer previsões e concretizá-las. Médias das vendas reais
(últimos 12 meses) dividido pela Média das Vendas Previstas (mesmo período).

Perspectivas dos Processos

•  Conformidade do Produto em relação ao Padrão: Especificação determinada


pelo cliente ou empresa, norma ou legislação.
•  Conformidade do serviço em relação ao padrão: Entrega de serviços no prazo
previsto (%).
•  Produtividade: Custo real do processo dividido pelo custo ideal.
•  Eficiência Operacional: % utilizado da capacidade de produção da empresa.
•  Conformidade do Processo Crítico: Número de não conformidades que são críti-
cas para o negócio.

•  Desperdício: % de materiais perdidos no processo.


•  Qualidade do Planejamento: % realizado da programação de produção.
•  Flexibilidade: Prazo médio entre pedido e entrega.
•  Análise do Processo de Inovação: Tempo do ciclo do projeto e custos em pesquisa
e desenvolvimento.
•  Análise do Processo de Operações: Tempo do ciclo do pedido do cliente, percentu-
al de não-conformidades no processo, custo do processo e percentual de produtividade.
•  Análise do Serviço de Pós-Venda: Prazo médio para solução de problemas (recla-
mações) e custo desta assistência.

capítulo 1 • 29
Perspectivas de Aprendizado, Inovação e Crescimento

•  Tempo para recuperar investimentos: Meses necessários para retorno.


•  Receita de novos produtos: % de receita obtida com novos produtos ou serviços.
•  Conformidade do Processo: Número de não-conformidades ou alterações.
•  Conformidade do Projeto: Idem anterior, mas por projeto.
•  Geração de Idéias: % de idéias de produtos ou serviços em relação as pessoas
envolvidas nisso.
•  Aceitação de Novos Produtos ou Serviços: % de novos produtos/serviços vendi-
dos em relação a venda prevista.

ATIVIDADES
Com base no conteúdo apresentado neste capítulo e com base na figura abaixo, responda
as seguintes questões:

Mapa estratégico da empresa XPTO

Perspectiva Mapa da estratégia Objetivos Indicadores Metas Ações


- Crescimento - Crescimento
Lucros do negócio; - Lucro operacional do negócio; - Crescimento do negócio;
Financeira Receitas - Participação no - Market share - Participação no - Participação no mercado
mercado mercado
- Percentual de - 80% retenção
Qualidade
retenção cliente clientes - ano
de serviço - Retenção do
- Percentual de - 10% crescimento - Mudar agência de propaganda
Cliente cliente;
crescimento vendas vendas - ano - Aumentar número de campanhas
Excelência - Clientes novos
- Quantidade de - 10% clientes
no serviço
clientes novos novos - ano
- Melhorar o - Quantidade de - Máximo de 5% do
Processos Competências - Implantar novo software de atendimento
atendimento ao reclamações do número de clientes
internos pessoais - Rever processo de atendimento
cliente; clientes ativos (ano)

- Identificar
- Aumento de 15% - Oferecer bolsas de estudo
Aprendizagem Capacitação necessidades de - Produtividade
na produtividade - Oferecer treinamentos in company
e Crescimento das pessoas treinamento; individual
individual - ano - Incentivar participação em congressos
- Treinar equipe;

Figura 1.7 – Mapa Estratégico da Empresa XPTO. Fonte: Material Estácio WebAula.

01. Estabeleça a relação entre a Estratégia de Geração Receitas e Lucros e os indicadores


apresentados.

02. Disserte como as metas possuem relação com os objetivos na figura.

30 • capítulo 1
REFLEXÃO
Como vimos neste capítulo, a Governança Corporativa é um conceito e reúne práticas para
melhor atender os interesses das partes interessadas da empresa. Vimos também que a
Tecnologia da Informação está intrinsicamente relacionada a isso. Neste contexto, faça uma
reflexão sobre a seguinte questão: Como a Governança Corporativa e Governança de TI
podem auxiliar na Gestão Empresarial e na tomada de decisões melhores?

LEITURA
Para complementar seu aprendizado sobre Governança Corporativa e Governança de TI,
visite esses sites:

•  COSO: http://www.coso.org
•  IBGC: http://www.ibgc.org.br
•  Basileia II: http://www.bis.org/publ/bcbsca.htm
•  http://www.bacen.gov.br/?BASILEIA2
•  SOX: http://www.sec.gov/about/laws.shtml
•  http://www.sec.gov/about/laws/soa2002.pdf (texto original)
•  ITGI (governança de TI): http://www.itgi.org
•  ISACA: http://www.isaca.org

Também sugiro a leitura de livros como:

•  Balanced Scorecard: KAPLAN, Robert S.; NORTON, David P. "Mapas Estratégicos: conver-
tendo ativos intangíveis em resultados tangíveis". Rio de Janeiro. Editora campus, 4ª edição,
2004.
E sugiro a visita ao site abaixo com informação histórica sobre Governança e uma linha
do tempo:

•  www.ibgc.org.br/inter.php?id=18887

capítulo 1 • 31
REFERÊNCIAS BIBLIOGRÁFICAS
LAUDON, K. C.; LAUDON, J. P. Sistemas de informação gerenciais. 7. ed. São Paulo: Pearson
Prentice Hall, 2007.
SARBANES, P.; OXLEY M. G. Sarbanes-Oxley Act of 2002. House of Representatives 107th
Congress, 2nd session, Report 107-601. July 24th, 2002.
WEILL P.; ROSS W. J. Governança de Tecnologia da Informação. Makron Books, São Paulo, 2006.
IBGC, INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA. Guia das Melhores Práticas
de Governança para Fundações e Institutos Empresariais. Acesso em 01/02/2015. Disponível
em: http://www.institutocamargocorrea.org.br/Documents/guia_governanca.pdf
FERNANDES A. A.; ABREU V. F. Implantando a Governança de TI: da estratégia à gestão dos
processos e serviços. Brasport, 2008.
MARANHÃO, M. e MACIEIRA, M. E. B. O processo nosso de cada dia: modelagem de processos de
trabalho. Rio de Janeiro - RJ: Qualitymark. 2004.
OLIVEIRA, D. D. P. R. D. Administração de Processos: conceitos, metodologia, práticas. São Paulo -
SP: Atlas. 2007.

32 • capítulo 1
2
Processo de
Decisão na
Governança de
Tecnologia da
Informação
A tomada de decisão deve ser assertiva e em tempo hábil. A Governança de TI
está principalmente envolvida com a tomada de decisão. Pesquisas apontam
que empresas que possuem modelos eficazes de Governança de TI e com re-
sultados melhores do que seus concorrentes executam de forma consistente as
melhores decisões sobre a TI.
As empresas sempre estão diante do desafio de acertar na decisão tomada.
Um líder poderia decidir uma ação de formal informal, como dizem “bater o
martelo”. Mas em uma organização essa questão é bem mais complexa, envol-
vem riscos e incertezas.
Um arranjo organizacional eficiente conta com o parecer de vários colabora-
dores que contribuem com a análise da decisão, apresentando seu ponto de vista
e as projeções de impacto nas áreas que atuam. É necessário a presença de lideres
hábeis, aberto as criticas e sugestões, e empáticos para entender a dimensão que
cada membro traz de sua vivência dentro da empresa. A tomada de decisão pode
também ter a ajuda de pesquisas realizadas entre os membros internos e externos
da organização. É importante que haja um escopo, um mapeamento de ações com
levantamento de questões que devem ser respondidas prospectando ambiente
interno, externo, relações entre os stakeholders e impactos presentes e futuros.
Nesse aspecto, algumas questões são levantadas como você pode ver nos
seus objetivos sobre aprendizagem.

OBJETIVOS
Neste capítulo, você irá tomar conhecimento sobre:

1. As principais decisões que devem ser tomadas na Governança de TI.


2. O conjunto de mecanismos de Governança de TI adotados pelas empresas.
3. Quais os principais arquétipos de Governança de TI utilizados por diferentes tipos de
decisão.
4. Quais os requisitos importantes para a implementação da Governança de TI.
5. Quais componentes são necessários para executar a gestão do ciclo de vida opera-
cional da Governança de TI.
6. Os mecanismos de controles de uma forma geral.
7. A importância de controle no ambiente operacional de TI, comércio eletrônico, na
Internet e no desenvolvimento de sistemas.

34 • capítulo 2
2.1  Tomada de Decisão na Governança de TI
A governança de TI aborda um conjunto de práticas que destinam o gerencia-
mento, o controle e a qualidade dos processos com foco em aumento de valor
para o negócio. Além das abordagens de controle de risco, as ações estratégicas
envolvem toda a gestão da organização. Viabilizando ações de melhoria, bus-
cando a eficiência e eficácia, integrando a tecnologia e o fluxo de informações
ao objetivo de negócio da organização.
Para que a Governança de TI atue em toda a extensão da empresa, é preciso
estabelecer os mecanismos de processo de decisão e o alinhamento estratégico
com o negócio. A seguir, quais capacidades devam estar disponíveis:

•  Estruturas formais de integração: definição dos executivos e as áreas de atuação,


institucionalizar os comitês e conselhos.
•  Processos formais de integração: Alinhar e documentar os procedimentos de to-
mada de decisão estratégica de TI.
•  Integração: Envolve o momento de tomada de decisões da TI. E acontece de várias
maneiras como: integrando a área administrativa e a TI em relação ao compartilha-
mento do cronograma e orçamento. De maneira sequencial: as decisões de negócio
endereçam as tomadas de decisão de TI; De maneira reciproca, quando as decisões de
negocio e TI articulam-se mutuamente, e integralmente quando as decisões de negócio
e TI caminham num mesmo processo.

A norma NBR ISO/IEC 38500 (2009), trata da Governança Corporativa de


Tecnologia da Informação e oferece princípios para orientar os dirigentes das
organizações (incluindo proprietários, membros do conselho de administra-
ção, diretores, parceiros, executivos seniores ou similares) sobre o uso eficaz,
eficiente e aceitável da Tecnologia de Informação (TI) dentro de suas organi-
zações.
Essa norma em especial, enfatiza a importância das relações humanas
para o desenvolvimento integral das Governanças. Também auxilia a alta
administração das organizações no entendimento e cumprimento das obri-
gações legais, regulamentares e éticas com relação ao uso da Tecnologia da
Informação.

capítulo 2 • 35
A norma fundamenta-se em seis princípios que oferecem as diretrizes
para a implantação e manutenção de Governança de TI, veja a seguir:
1. Responsabilidade: Todos os participantes da organização devem ter
clareza sobre suas responsabilidades na procura e fornecimento de informa-
ções na TI. A ética e a distribuição de responsabilidades devem estar claras.
2. Estratégia: Diz respeito a como será realizada a abordagem na busca
por mudanças de comportamentos da equipe que beneficiarão a organização.
As mudanças de comportamento têm que trazer motivação ao grupo e estar
integrada ao cotidiano da organização.
3. Aquisição: Definidas as responsabilidades e adotadas as estratégias,
o 3º item, a Aquisição, busca identificar o que será necessário adquirir para
dar andamento às estratégias em busca do comportamento almejado, pode
ser através de workshops, treinamentos, vivencias, consultorias, etc. A análise
e medição dos processos são importantes, pois indicam os objetivos alcança-
dos, ou não.
4. Desempenho: Deve ser medido e monitorado, com metas e métricas
bem definidas, para que a gestão possa avaliar os resultados obtidos e se ne-
cessário, realize ações corretivas necessárias.
5. Conformidade: a adoção de comportamento ético é imprescindível
para o sucesso da Governança. É fundamental atuar de forma irrepreensível em
relação aos aspectos legais, estatutários, contratuais, regulatórios que envol-
vem a organização, alinhando esses preceitos a adoção de uma postura trans-
parente e adequada para com o mercado, a sociedade e a sustentabilidade.
6. Comportamento Humano: a busca pela melhora nas relações e no
comportamento é enfatizado nesse 6º principio, ficam evidentes a importân-
cia do capital humano e da integração dos grupos para o pleno desenvolvimen-
to da Governança.

Veja que todos os princípios que compõe a ISO/IEC 38500:2008 priorizam a


mudança comportamental daqueles que representam a organização, a TI e por
conseqüência a própria organização.

36 • capítulo 2
Como pode ser visto na figura abaixo, a norma apresentada sugere que a
Governança de TI seja pautada na implementação de planos e políticas que ali-
nhem a TI aos objetivos do negócio e ficando em monitoramento do desempe-
nho para avaliação da conformidade das ações com o que foi planejado e pro-
postas que avaliem constantemente as ações implementadas.

Pressões Governança Necessidades


do negócio corporativa de TI do negócio

Avaliar
Dirigir Monitorar

Propostas
Políticas
Planos

Conformidade
Desempenho
Processos do Negócio

Projetos TI Operações TI

Figura 2.1 – A Governança de TI e a relação com as ações da Empresa. Fonte: Material


Estácio WebAula.

Sobre os princípios da boa governança de TI, a empresa precisa abordar al-


gumas questões para obtê-la (WEILL e ROSS, 2006):

•  Quais decisões devem ser tomadas para garantir a gestão e o uso eficazes
da TI?
•  Quem deve tomar essas decisões?
•  Como essas decisões serão tomadas e monitoradas?

capítulo 2 • 37
2.2  Capacidades e Processos sobre Direitos
Decisórios

Cada decisão deve considerar Investimentos em TI, Princípios da TI, Arquitetura,


Necessidades de Aplicações de Negócios e Estratégias de Infraestrutura de TI:

•  Investimentos em TI: Escolhendo quais iniciativas financiar e quanto gastar. Weill e


Ross (2006) apresentam três dilemas enfrentados nas decisões sobre investimentos
em TI: quanto gastar, em que gastar e como conciliar as necessidades de diferentes
grupos de interesse. Nenhum framework ou análise substitui uma direção estratégica
clara. Uma vez entendidos os objetivos de negócio, investimentos em TI costumam
gerar retornos significativos.
•  Princípios da TI: Uma vez definidos, os princípios de TI tornam-se parte do vocabu-
lário da empresa e podem ser discutidos, apoiados, aprimorados ou recusados. Assim,
para saber se a TI e a administração estão em acordo é só analisar a integração entre
os setores e a fluidez das atividades. A TI é uma boa ferramenta para exercitar a or-
ganização das tarefas e educar os executivos sobre as estratégias tecnológicas e as
decisões de investimento em tecnologia. Os princípios trazidos pela TI estabelecem
uma cultura empresarial voltada para as politicas, normas e diretrizes. Algumas ações
estimuladas pela TI são habilitar o negócio, assegurar a integridade das informações,
criar uma visão comum entre os clientes, administrar a TI como investimento. Os prin-
cípios de TI devem refletir um comportamento adequado tanto para os profissionais
quanto para os usuários de TI. Os princípios de TI devem esclarecer pelo menos três
expectativas para a TI na empresa (WEILL e ROSS, 2006):
– Qual é o modelo operacional desejado na empresa?
– Como a TI dará suporte ao modelo desejado?
– Como a TI será financiada?
Veja que as duas primeiras questões são para esclarecer o formato que a empresa
deve desenvolver produtos e serviços, antecipando ações futuras. Já a terceira questão
busca estabelecer as regras direcionadas aos investimentos em TI.
•  Arquitetura: Para que a arquitetura de TI seja eficiente e responda as demandas do
projeto, é necessário:
– A definição dos requisitos de intergração e padronização dos processos na em-
presa.

38 • capítulo 2
– Adotar a organização lógica dos dados, aplicações de infraestrutura, definida a
partir de um conjunto de politícas, relacionamentos e opções técnicas adotadas para
obter padronização e integração do negócio almejado.
– As decisões sobre a arquitetura de TI são fundamentais tanto para a gestão
quanto para a boa utilização de Tecnologia da Informação.
– A integração e a padronização moldam a capacidade de TI.
•  Necessidades de aplicações de negócios: Mesmo que todas as decisões de TI
envolvam o valor de negócio da Tecnologia da Informação, são as necessidades de
aplicações desse negócio que geram valor diretamente. Para articular essas neces-
sidades é preciso uma boa dose de criatividade aliada à disciplina. Enquanto que a
criatividade busca inovação, a disciplina sustenta que a inovação pretendida, não irá
contrariar os princípios da arquitetura adotados pela empresa.
•  Estratégias de infraestrutura de TI: A base do planejamento de TI esta em de-
terminar os serviços compartilhados e os serviços de suporte. Tanto a parte técnica
quanto à humana devem estar disponíveis para que os serviços sejam compartilhados e
confiáveis. Investimentos excessivos ou errados aparecem como desperdício humanos
e não humanos, causando atrasos e imcompatibilidades entre sistemas. Já a empresa
com investimento reduzido, abaixo do que seria necessário, trabalha com implanta-
ções apressadas a fim de atender prazos, por exemplo automação local sem integração
com o restante da empresa, e compartilhamento restrito de recursos. Esses exemplos
ajudam a ilustrar a responsabilidade que o gestor de TI tem em mãos, pois a falta de
requisitos e recursos comprometem todo o trabalho e principalmente a imagem da
equipe de TI, mesmo que essa equipe tenha se esforçado para atender o que lhes foi
pedido, não souberam impor seu conhecimento e análise para argumentar sobre as
melhores decisões. Em contrapartida a organização que entende e é convencida das
reais necessidades de investimento em infraestrutura, terá seu investimento retornado
em forma de valor, imagem e agilidade.

capítulo 2 • 39
A tabela a seguir resume os pontos vistos.

PRINCIPAIS DECISÕES SOBRE A GOVERNANÇA DE TI

Decisões sobre os princípios de TI


Declarações de alto nível sobre como a TI é utilizada no negócio

Decisões sobre a Decisões sobre a Decisões sobre os


arquitetura de TI infraestrutura de TI investimentos e a
prioridade da TI
Organização lógica de Servições de TI coorde-
dados, aplicações e in- nados de maneira cen- Decisões sobre quanto
fraestruturas, definidas a tralizada e compartilha- e onde investir em TI, in-
partir de um conjunto de dos, que promove a base cluindo a aprovação de
políticas, relacionamen- para a capacidade de TI projetos e as técnicas de
tos e opções técnicas da empresa. justificativas.
adotadas para obter a
padronização e a integra-
ção técnica e de negócio Necessidades de
desejadas. aplicações de negócio

Especificação da neces-
sidade de negócio de
aplicações de TI, adqui-
ridas no mercado ou de-
senvolvida internamente.

Tabela 2.1 – Decisões sobre a Governança de TI. Fonte: Material Estácio WebAula.

40 • capítulo 2
O uso de arquétipos identifica o tipo de cada função envolvida na tomada
de decisões de TI:

•  Monarquia de Negócios: Altos executivos de negócio tomam as decisões de TI que


afetarão toda a empresa.
•  Monarquia de TI: A decisão é tomada pelos especilistas de TI.
•  Feudalismo: As decisões são tomadas pelas unidades de negócio da empresa de
forma independente.
•  Federalismo: Há uma combinação das unidades de negócio com uma central corpo-
rativa podendo ou não haver envolvimento do pessoal de TI.
•  Duopólio de TI: A decisão envolve dois grupos, sendo um deles os especialistas
de TI e outro grupo pode ser formado por líderes da unidade de negócio ou gerentes
executivos.
•  Anarquia: A tomada de decisão é individual ou feita de forma isolada por pequenos
grupos com base em necessidades locais.

Assim, através de uma matriz de relacionamento entre as decisões e os ar-


quétipos é possível enumerar quem deve tomar a decisão de TI em diferentes
situações. No entanto, há o constante desafio das empresas em identificar
quem será o responsável por cada tipo de decisão de governança. Essa matriz
recebe o nome de Matriz de Arranjos de Governança (WEILL e ROSS, 2006).
No artigo intitulado “Governança de Tecnologia da Informação: um estudo
do processo decisório em organizações públicas e privadas” foi desenvolvida
uma pesquisa com 44 gestores da área de TI da cidade de Natal. Eram gestores
de organizações públicas e privadas.
Pelo quadro é possível observar que as decisões envolvem o Arquétipo Mo-
narquia de TI tanto em instituições públicas quanto privadas, exceto quando o
tema é investimento em TI. Abaixo, há o desenho da Matriz de Arranjos obtida
após este survey.
Ou seja, de acordo com a opinião dos próprios pesquisadores:
“Os resultados sugerem que os gestores de TI são os principais atores do
processo decisório tanto nas organizações públicas quanto privadas, sobretu-
do para as decisões-chave que envolvem os princípios, arquitetura e estratégias
de infraestrutura de TI.”

capítulo 2 • 41
42 •
MATRIZ DE ARRANJOS DE GOVERNANÇA – QUAIS ARQUÉTIPOS DE GOVERNANÇA
SÃO USADOS POR DIFERENTES TIPOS DE DECISÃO?

capítulo 2
Estratégia de Necessidades
Decisão Investimentos
Princípios de TI Arquitetura de TI Infraestrutura de aplicação de
Arquétipo em TI
de TI negócio

Monarquia de negócio

Monarquia de TI

Feudalismo

Federalismo

Duopólio

Não se sabe

Tabela 2.2 – Matriz de Arranjos de Governança em TI. Fonte: Material Estácio WebAula.
Veja a tabela a seguir e analise você também.

Necessidades
Estratégias de Investimentos
Decisão Princípios de TI Arquitetura de TI de aplicações
infraestrutura em TI
Arquétipo de negócio

Público Privado Público Privado Público Privado Público Privado Público Privado

Monarquia de Negócio 0,0% 12,0% 0,0% 6,0% 5,6% 12,0% 5,6% 20,0% 11,1% 32,0%

Monarquia de TI 50,0% 40,0% 72,2% 60,0% 61,1% 68,0% 44,4% 32,0% 33,3% 16,0%

Feudalismo 5,6% 8,0% 5,6% 8,0% 0,0% 4,0% 0,0% 12,0% 0,0% 4,0%

Federalismo 5,6% 8,0% 0,0% 0,0% 5,6% 0,0% 5,6% 0,0% 0,0% 4,0%

Duopólio 27,8% 32,0% 5,6% 12,0% 11,1% 12,0% 33,3% 28,0% 38,9% 28,0%

Anarquia 11,1% 8,0% 16,7% 4,0% 16,7% 4,0% 11,1% 8,0% 16,7% 16,0%

Padrões de decisão comuns em todas as empresas pesquisadas segundo Weill e Ross (2006)

Padrão observado na pesquisa

capítulo 2
Tabela 2.3 – Matriz de Arranjos de Governança em TI numa pesquisa com gestores em Natal. Fonte: http://www.scielo.br/img/revistas/rap/

• 43
v47n2/a08qua03.jpg
2.3  Framework de Governança de TI
A todo o momento a alta gerência das empresas precisa avaliar o valor dos in-
vestimentos em TI e há muitas dúvidas sobre o ROI (retorno sobre investimen-
to) gerado. Muitos sistemas implementados não geram retorno compatível,
ou não aprimoram os processos, gerando apenas aumento de despesas anuais
sem justificativas. Muitas vezes, ocorrem até interrupções nas operações por
sistemas mal implementados. O que vemos com frequência no mercado, atual-
mente, é a terceirização da área de TI adotando modelos de Cloud Computing
como:

•  HaaS: Hardware as a Service (Hardware como Serviço) é uma forma de disponibili-


zar recursos de hardware para que emrpesas possam contratá-los via locação, sem se
preocupar em tê-los disponíveis localmente.
•  SaaS: Software as a Service (Software como Serviço) é quando o cliente não precisa
se preocupar com instalação de softwares, configurações de rede, servidores, licenças
de programas. O fornecedor do serviço cobra uma taxa de uso para disponibilizar o ser-
viço e dar o suporte necessário. O software pode funcionar 100% pela Internet ou ter
alguma instalação local. Exemplos disto são Webmails como Gmail, Ymail ou pacotes
como o Office 365.
•  PaaS: Platform as a Service (Plataforma como Serviço) é um ambiente de compu-
tação em camadas e soluções como serviço. É parecido com o SaaS, mas ao invés
de software entregue pela Internet oferece um ambiente para criação, hospedagem
e controle de software. Possui uma série de recursos para escalabilidade, segurança
integrada e integração com outros serviços Web. Exemplos são o Google AppEngine e
o Force.com da SalesForce.
•  IaaS: Infrastructure as a Service (Infraestrutura como Serviço) é uma forma de entregar
toda infraestrutura de servidores, armazenamento, serviços de backup, e outros, numa
combinação entre nuvens públicas e privadas. Possui alta escalabilidade e ferramentas
com monitoramento avançado. Exemplos são o EC2 da Amazon e o Azure da Microsoft.

No entanto, muitas vezes, a grande questão da empresa são mecanismos de


governança mal concebidos ou mal gerenciados e não necessariamente ques-
tões isoladas de Tecnologia da Informação.

44 • capítulo 2
Como pode ser visto na figura, um framework de governança deve buscar
a harmonização entre a estratégia e a organização da empresa, os arranjos de
Governança de TI e as metas de desempenho de negócio.
A estratégia e a organização da empresa definem comportamentos espe-
rados que motivam a governança. As empresas criam arranjos de governança
para cada um de seus ativos, habilitando e influenciando a estratégia. Os arran-
jos de governança atribuem direitos decisórios para as decisões de cada ativo.
O desempenho das ações é medido por métricas obtidas nos sistemas e geren-
ciamento de TI e alinhados às decisões de governança.

Estratégia e Governança de Metas de


Organização Relacionamentos Desempenho
da Empresa do Negócio
Governança de
Ativos Físicos
Governança de PI
Organização de TI Propriedade Intelectual Métricas e
e comportamentos responsabilidades
desejáveis Governança de RH de TI

Governança Financeira
Arranjos de
Governança TI
Mecanismos de Decisões
Governança de TI de TI

Figura 2.2 – Framework de Governança em TI. Fonte: Material Estácio WebAula

A implementação da Governança de TI é pautada em três aspectos:

•  Abordagens de Comunicação: visa disseminar os princípios e políticas de governança


de TI, além dos resultados dos processos decisórios. É feita por comunicados e canais
internos diversos.
•  Estruturas de Tomada de Decisão: compreende as unidades e papéis organizacionais
que visam a tomada de decisão de TI como os comitês, as equipes executivas e os
gerentes de relacionamento entre negócio e TI.
•  Processos de Alinhamento: refletem a organização das atividades da empresa e sua
execução cotidiana. Devem estar consistentes com as políticas de TI, respeitar acordos
de níveis de serviço (definem as entregas), métricas, e consumo de recurso.

capítulo 2 • 45
De acordo com (FERNANDES e ABREU, 2008) o planejamento do Programa
de Governança de TI deve adotar conceitos de Gestão de Projetos e Programas
contendo:

•  Escopo do Programa com a lista de processos a serem implementados;


•  Sequência de implantação dos processos, considerando precedência dos
processos;
•  Cronograma para implantação dos processos;
•  Plano de recursos estimado para o Programa;
•  Serviços a serem adquiridos;
•  Orçamento estimado para os projetos e o Programa;
•  Benefícios esperados;
•  O formato de gerenciamento do Programa;
•  Riscos;
•  A estratégia para gerenciamento de mudança;
•  Modelo de comunicação.

A implementação do Programa de Governança de TI necessita do emprego


de uma série de técnicas baseadas nos modelos considerados como os melho-
res do mercado.
Para inicio das atividades é comum a escolha pelo COBIT (Control
Objectives for Information and Related Technology), como referência global
para os processos de TI, após a identificação dos processos através do COBIT,
deve-se escolher modelos específicos para cada processo e adaptá-los as neces-
sidades da empresa. Segue a tabela que apresenta as principais ferramentas
utilizadas na Governança de TI.
Já falamos sobre algumas dessas ferramentas. A Tecnologia da Informação
passa agora a fazer parte de um modelo mais amplo de gestão e governança.
Diversos são os modelos e frameworks existentes no mercado para as diversas
funções da TI.

46 • capítulo 2
CONTEXTUALIZAÇÃO ISO 38500

controle valor
COBIT Governança Val IT
SOX de TI Risk IT

Plan. e Estrat.
Contratações

Arquitetura
Aplicações
Segurança

Qualidade
ITIL

Serviços

Projetos
ISO 20000 TOGAF
BS 15000

ISO 9000
CMMI Gestãode TI
Six Sigma
MPS.BR
ISO 17799 PMBOK eSCM-CL
ISO 15504 COBIT
ISO 27000 PRINCE2 eSCM-SP
BSC-TI

Figura 2.3 – Os diversos Modelos e Frameworks para Governança e Gestão de TI nas Em-
presas. Fonte: Material Estácio WebAula

COBIT, SOX atuam com mecanismos de controle, enquanto VAL IT e Risk


IT visam avaliação de valor. O alinhamento da Governança de TI à Gestão de TI
vem pelo controle dos diversos aspectos da empresa, desde os serviços ofere-
cidos, até a arquitetura empresarial. Podemos citar alguns dos modelos e fra-
meworks existentes:

•  COBIT (Control Objectives for Information and related Technology):


Governança e Controle;
•  VAL IT: Investimentos em TI;
•  ITIL e ISO 20000: Serviço;
•  CMMI e MPS BR: Engenharia de Software;
•  ISO 27000 a ISO 27008: Segurança da Informação;
•  BSC (Balanced Scorecard): Planejamento e desempenho da empresa;
•  PMBOK (Project Management Body of Knowledge): Projeto;
•  Six Sigma: Qualidade de processo;
•  eSCM-CL (The eSourcing Capability Model for Client): práticas de estraté-
gia e gerenciamento de outsourcing de serviços de TI que o cliente utiliza;
•  eSCM-SP (The eSourcing Capability Model for Service Providers): práticas
que o provedor de serviços de TI utiliza em outsourcing;

capítulo 2 • 47
•  TOGAF (The Open Group Architecture Framework): framework de arqui-
tetura de negócio, aplicações e tecnologia;
•  NBR ISO/IEC 38500: Governança Corporativa de Tecnologia da
Informação
•  BPM (Business Process Management): Gerenciamento de Processos de
Negócio;
•  SAS 70 (Statement on Auditing Standards No. 70 Service Organizations):
Regras de auditoria para empresas de serviços.

TOGAF é um framework de arquitetura corporativa. Sugiro que leia mais sobre ele:

http://www.opengroup.org/togaf/

A Implementação da Governança de TI nas empresas é um processo de lon-


go prazo e visa atender diversos requisitos, como (FERNANDES e ABREU, 2008):

•  Liderança para Mudança;


•  Instituição de um Programa de Governança de TI;
•  Envolvimento dos executivos da organização;
•  Abordagem de Gestão de Mudança Cultural;
•  Entendimento dos estágios de maturidade em que a organização de TI está;
•  Equipe qualificada;
•  Modelo de Governança de TI;
•  Verificação da satisfação aos objetivos pretendidos pela Governança de TI;
•  Atacar vulnerabilidades principais;
•  Implementar marketing interno para a TI.

A recomendação para o fortalecimento das ações estratégicas em TI é que as


equipes sejam permanentes, com funções bem distribuídas, em organizações
de grande porte, normalmente, há uma área especifica para a Governança de
TI, como um departamento ou Gerência. Já nas empresas de menor porte a Go-
vernança de TI tem suas atividades exercidas por uma equipe temporária, que
se forma sob demanda, atuando em diferentes frentes, como medindo os bene-
fícios alcançados, e em outro momento verificando as melhorias em processos.

48 • capítulo 2
O apoio da alta gestão da organização é fundamental para o sucesso da Go-
vernança de TI. O desafio é conduzir as mudanças necessárias, fazendo enten-
der que é preciso alterar a estrutura e a forma da atuação da TI. É importante
que a empresa perceba a Governança de TI como um benefício e não uma buro-
cracia. Não se consegue alcançar o sucesso na Governança de TI sem o amparo
da alta gestão da empresa e sem a participação do corpo funcional.

CONEXÃO
Veja, por exemplo, os Mecanismos de Governança de TI do Tribunal de Contas da União
(TCU) – acesso em 05/02/2015:
http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/governanca_ti/meca-
nismos_governanca_ti

2.4  Controles para Governança de TI


Vamos analisar como funciona um sistema que serve como modelo para ex-
plicar o funcionamento de um controle de forma geral. Existe um padrão que
é ajustado para o valor desejado como, por exemplo, um ar condicionado, a
temperatura solicitada é de um ambiente em 22°, aciona-se 22°, um sensor
fica verificando a temperatura real do ambiente. A temperatura desejada e a
temperatura real são comparadas através de um dispositivo de comparação e,
caso haja diferença significativa além da tolerável, o dispositivo de comparação
envia um sinal para que alguma ação seja tomada. Este ciclo se repete até que
alguma ação seja tomada de forma que o padrão e o sensor possam apresentar
uma diferença insignificante para o dispositivo de comparação.
Este conceito pode ser utilizado para a compreensão da lógica envolvida no
funcionamento dos controles dentro de uma empresa. Sendo assim, nas em-
presas os administradores estabelecem padrões e vão acompanhando as varia-
ções que ocorrem no dia-a-dia da organização, usualmente, através de indica-
dores. Quando algum desses indicadores sai do padrão, a administração toma
providências para que a organização volte para o controle.

capítulo 2 • 49
Na empresa os controles acontecem em todos os níveis da organização. A
figura a seguir, apresenta algumas ferramentas de controle administrativo bas-
tante usado:

Administração superior - Estrutura


organizacional
- Comitês de estrutura
- Gratificações

- Orçamento - Supervisão
Gerência intermediária - Hierarquia - Comitês
administrativa examinadores

- Procedimentos - Auditorias
- Supervisão - Hierarquia administrativa

Gerência inferior

Figura 2.4 – Controle na Organização. Fonte: Material Estácio WebAula.

O Controle é realizado através dos cargos de supervisores, gerentes e admi-


nistradores. Observe que na base da pirâmide aparece a gerência inferior com
diversos procedimentos para indicar como as operações serão realizadas.
As auditorias regulares estão presentes como forma importante de controle.
E a hirerquia administrativa estão bem definida.
Na 2ª camada da pirâmide, observe que os gerentes intermediários utilizam
o orçamento como forma de controle. A gerência analisa os relatórios demons-
trativos de orçamento, analisam o desempenho em relação às metas e em fun-
ção dos resultados e controlam os gastos, exercem ainda supervisão sobre seus
subordinados e sempre que necessitam utilizam dessa hierarquia para obter
informações que não lhe estão acessíveis diretamente. Muitas vezes, os geren-
tes intermediários formam comitês organizadores para manter maior controle
sobre a gestão.
Como podemos ver, na camada mais alta da figura há Administração Su-
perior que pode usar a estrutura da empresa para delegar as responsabilida-
des aos seus subordinados. Os subordinados delegam responsabilidades aos
outros até envolver todos os níveis gerenciais. Esta forma de distribuição em
pirâmide permite a distribuição de responsabilidades com cobrança direta a
alguns poucos colaboradores.

50 • capítulo 2
2.5  Controle no Desenvolvimento de
Sistemas

Em poucos anos assistimos uma evolução nos sistemas de controle, os siste-


mas de informação automatizados contribuíram significativamente para o au-
mento de controle. Principalmente, se considerarmos os dispositivos que tro-
cam as informações em tempo real. Ainda é possível integrar vários sistemas
através do conceito de Serviços (Web Services)
Todas as facilidades criam possibilidades, mas também novos desafios, no-
vos problemas de controle surgem, principalmente quando se trata de sistemas
maiores.
Os grandes sistemas dificilmente terão um responsável capaz de atuar de
forma integral em todos os quesitos como sistemas e controles. Para esses
grandes sistemas será preciso que se tenham novos controles como, por exem-
plo, a segregação de uso através da criação de perfis.

2.6  Controle de Operações


Você se lembra do BUG do milênio?
Aproximando-se do ano 2000 houve muitas especulações, não se sabia
como os computadores iriam se comportar a partir de 01/01/2000. O fato é
que na época haviam muitos sistemas antigos que, para economizar espaço
(o custo de armazenamento de informação era caro), memorizavam apenas
as duas posições finais do ano. Como exemplo, o ano de 1999 era lido apenas
com os dois últimos dígitos 99. A lógica era bastante simples e toda vez que
chegava o final do ano se adicionava 1 ao ano corrente para se obter o ano se-
guinte. Ou seja, para passar de 98 para 99 bastava adicionar 1 ao ano corrente.
Tudo bem, até que chegasse o ano 2000. Se nada fosse feito nos programas,
ao se somar 1 a 99 iria obter 00. E, na sequência da lógica antiga, ao se conca-
tenar com 19 o ano passaria a ser 1900. Ou seja, passaria de 1999 para 1900.
Imagine todos os desdobramentos que poderiam ocorrer por erro de con-
ta se nada fosse feito. Como se comportariam os aviões e as torres de con-
trole? E o que dizer dos sinais de trânsito? Como ficariam os rendimentos
financeiros? E as bombas de abastecimento de combustível? Felizmente o

capítulo 2 • 51
mundo se mobilizou e com muito trabalho resolveram a tempo o que seria o
o bug do milênio.
Atualmente, as preocupações de controle, passam por políticas antivírus,
monitoramento para evitar a invasão da rede e a segmentação de acesso são
apenas alguns exemplos. Outra ajuda, foi a Lei SOX que também colaborou
com as empresas para controlar melhor os seus processos.

Será que o BUG do Milênio vai atacar novamente? (Acesso em 05/02/2015)


http://pt.wikipedia.org/wiki/Problema_do_ano_2000
http://www.tecmundo.com.br/historia/8795-2038-o-bug-do-milenio-atacara-no-
vamente.htm

2.7  Segurança
As trocas de informações entre pessoas e empresas crescem a cada dia. Empre-
sas de todos os segmentos e portes utilizam como canal de comunicação, seu
portal, seu Website, buscando novos negócios. Através desses novos canais as
empresas passaram a trocar informações com outras empresas ou com pessoas
físicas, muitas vezes confidenciais e de interesse de terceiros. Logo, programas
maliciosos invadiram na mesma rapidez e se ocupam em monitorar uma rede
e interceptar informações para serem utilizadas posteriormente e permitir o
domínio dessa rede, ou usufruir de dados confidenciais como contas bancárias
e cartões de crédito.
Novas tecnologias, novos programas maliciosos, novas técnicas de contro-
le! Para dar conta do recado foi aperfeiçoado novas técnicas de proteção, me-
lhoraram o uso da criptografia e surgiram novos mercados especializados em
Segurança da Informação.
Os novos desafios exigiram novas especializações das empresas de Seguran-
ça da Informação já existentes. Programas de antivírus, programas de moni-
toração de ambiente, roteadores e firewalls são utilizados para proteger perí-
metros pré-estabelecidos, onde se configuram regras para permitir apenas os
acessos autorizados e o controle sobre o uso de programas. Além disso, existe
um serviço prestado pelas empresas especializadas que gera um relatório de

52 • capítulo 2
vulnerabilidades envolvendo a rede, os servidores e as estações de trabalho,
permitindo que a empresa analisada possa tratar esses pontos vulneráveis e fi-
car cada vez mais protegida.

2.8  Auditando Sistemas de Informação


As empresas preocupam-se em saber se as informações que afetam as transa-
ções financeiras estão sob controle. É comum, seja por necessidade leiga, ou
iniciativa própria que haja realização de auditorias nas empresas. O auditor
analisa os processos, faz entrevistas, analisa banco de dados e apresenta um
parecer sobre sua avaliação.
É de praxe o auditor verificar se as informações estão corretas e disponíveis
corretamente, se as informações estão protegidas contra fraudes; se existe au-
ditoria para verificar os acessos de uma determinada transação; se o acesso às
informações está segregado por perfis; se as instalações e os equipamentos es-
tão protegidos; e, se existe um plano para situações emergenciais que permita
a continuidade do negócio. Empresas maiores costumam ter áreas de auditoria
para manter os sistemas sempre sob controle.

CONEXÃO
Leia mais sobre auditoria nos sistemas de informação – acesso em 05/02/2015:
http://pt.wikipedia.org/wiki/Auditoria_de_sistemas
http://www.profissionaisti.com.br/2012/04/auditoria-de-sistemas-de-informacao-co-
nheca-mais-sobre-o-assunto/

ATIVIDADES
Para complementar o seu conhecimento, responda as seguintes questões objetivas:

01. Quando os Altos Executivos tomam as decisões de TI que afetam toda a empresa nós
temos um(a):
a) Monarquia de Negócios c) Feudalismo e) Duopólio de TI
b) Monarquia de TI d) Federalismo

capítulo 2 • 53
02. Quando uma empresa cobra apenas uma Taxa de Uso e suporte por seus softwares nós
temos um:
a) IaaS
b) HaaS
c) SaaS
d) PaaS

REFLEXÃO
A tomada de decisão é fator importante na Governança de Tecnologia da Informação. Para
nos guiar nessa difícil tarefa existem conceitos e modelos que vimos neste capítulo. Seja nos
sistemas que atuam em operações do dia a dia da empresa, no desenvolvimento de novos
sistemas, na gestão da segurança e ativos da empresa, sempre teremos decisões complexas
a serem tomadas.

LEITURA
Como sugestão de leitura separei alguns modelos e frameworks para vocês:
•  VAL IT: Investimentos em TI
•  ISO 27000 a ISO 27008: Segurança da Informação
–– http://pt.wikipedia.org/wiki/ISO_/_IEC_27000 (Acesso em 05/02/2015)
–– http://www.itgovernance.co.uk/shop/p-730-iso27008-isoiec-27008-guide-
lines-for-auditors-on-information-security-controls.aspx#.VQA-Z_zF9WI (Acesso em
05/02/2015)
•  TOGAF (The Open Group Architecture Framework): framework de arquitetura de negócio,
aplicações e tecnologia
–– http://pt.wikipedia.org/wiki/TOGAF (Acesso em 05/02/2015)
–– https://www.ibm.com/developerworks/community/blogs/tlcbr/entry/togaf?lan-
g=en (Acesso em 05/02/2015)
•  BPM (Business Process Management): Gerenciamento de Processos de Negócio
–– http://pt.wikipedia.org/wiki/Gerenciamento_de_processos_de_neg%C3%B3cio
(Acesso em 05/02/2015)

54 • capítulo 2
REFERÊNCIAS BIBLIOGRÁFICAS
WEILL P.; ROSS W. J. Governança de Tecnologia da Informação. Makron Books, São Paulo, 2006.
IBGC, INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA. Guia das Melhores Práticas
de Governança para Fundações e Institutos Empresariais. Acesso em 01/02/2015. Disponível
em: http://www.institutocamargocorrea.org.br/Documents/guia_governanca.pdf
FERNANDES A. A.; ABREU V. F. Implantando a Governança de TI: da estratégia à gestão dos
processos e serviços. Brasport, 2008.

capítulo 2 • 55
56 • capítulo 2
3
Introdução ao
COBIT 5
Neste capítulo, você aprenderá sobre o framework COBIT 5 e sobre como ele
pode ser usado para a Governança Empresarial de TI. Também conhecerá um
pouco sobre as mudanças envolvidas neste framework e o relacionamento com
a empresa, outros modelos e frameworks do mercado.

OBJETIVOS
Ao final deste capítulo você será capaz de:

•  Conhecer um resumo da história do modelo COBIT 5;


•  Entender os conceitos gerais do novo framework para Governança Empresarial;
•  Conhecer os preceitos do modelo de gestão e governança do COBIT 5;
•  Entender os 5 princípios do COBIT 5;
•  Conhecer seu modelo de Referência, seus Domínios e um Resumo de seus processos;
•  Conhecer as fases para a implementação do framework.

58 • capítulo 3
3.1  Histórico e Apresentação
O COBIT é um acrônimo para Control Objectives for Information and Related
Technology. Em português Objetivos de Controle para Informação e Tecnolo-
gia Relacionada (tecnologia que provê informação que o negócio precisa). No
COBIT 5 o termo COBIT passa a ser visto como marca e não mais acrônimo.
Este modelo (ou framework) foi desenvolvido pela ISACA que é uma insti-
tuição sem fins lucrativos que desenvolve pesquisas, modelos e certificações
para os profissionais de Auditoria de TI, Segurança, Governança, dentre outros.
O COBIT tem como principais características:

•  Orientação a processos da TI: são 34 processos de TI no COBIT 4.1 e no CO-


BIT 5 são 37 processos. Muitos processos são relacionados ao ITIL, CMMI, PMBOK,
ISO 27001, dentre outros modelos do mercado.
•  Baseado em Controles: disponibiliza vários recursos para auditoria.
•  Fornece Indicadores: permite acompanhar os processos e visualizar os resultados.
•  Focado no Negócio: o COBIT parte da premissa de que a TI deve oferecer valor ao
negócio e que deve se orientar pelo negócio.

É importante citar que o COBIT visa uma perfeita integração e cascateamen-


to entre Processos da Empresa, Metas de TI e Metas de Negócio. Servindo para
identificar o que a TI precisa melhorar para atender as metas da Organização.
O COBIT não substitui ITIL, CMMI ou PMBOK, mas sim é utilizado em con-
junto, como norteador estratégico do uso da TI e de como direcioná-la para
atender os requisitos de negócio.
COBIT também é um guia, um instrumento para diagnóstico e auditoria,
mas não é usado para certificação, ou seja, uma empresa não será certificada
COBIT. Há, contudo, as certificações para profissionais que falaremos mais
adiante.
O documento de referência contém os detalhes do COBIT, como você pode
ver na figura do índice a seguir.

capítulo 3 • 59
ÍNDICE
Agradecimentos........................................................................................................................................................................ 3
Índice.................................................................................................................................................................................................. 9
Lista de Figuras...................................................................................................................................................................... 11
COBIT 5: Um Modelo Corporativo para a Governança e Gestão de TI da Organização..... 13
Sumário Executivo................................................................................................................................................................ 15
Capítulo 1 – Visão Geral do COBIT 5................................................................................................................. 17
Visão Geral desta Publicação................................................................................................................................... 18
Capítulo 2: 1o Princípio: Atenderás às Nessecidades das Partes Interessadas............... 19
Introdução.................................................................................................................................................................................. 19
Cascata dos Objetivos do COBIT 5....................................................................................................................... 19
1o Passo: Os Direcionadores das Partes Interessadas em Objetivos
Corporativos.............................................................................................................................................................................. 19
1o Passo: Desdobramento das Necesidades das Partes Interessadas em Objetivos
Corporativos.............................................................................................................................................................................. 19
3o Passo: Cascata dos Objetivos Corporativos em Objetivos de TI............................................ 20
4o Passo: Cascata dos Objetivos de TI em Metas do Habilitador................................................ 20
Usando a Cascata de Objetivos do COBIT 5................................................................................................. 22
Usando a Cascata de Objetivos do COBIT 5 com Atenção.............................................................. 22
Usando a Cascata de Objetivos do COBIT 5 na Prática...................................................................... 22
Perguntas sobre Governança e Gestão de TI............................................................................................... 23

Figura 3.1 – Parte do índice do documento de referência do COBIT 5. Fonte: (ISACA, 2012).

CONEXÃO
O download do modelo é gratuito e pode ser feito pelo site em:
•  http://www.isaca.org/COBIT/Pages/COBIT-5-portuguese.aspx
Você pode baixar informando seus dados (não-membro).

60 • capítulo 3
O COBIT é mundialmente adotado e utilizado. No Brasil, é utilizado pelo governo, por
exemplo o Tribunal de Contas da União tem auditado as unidades de TI do Governo
com base nos processos do COBIT. Bancos também são grandes usuários devido à
grande complexidade de seus processos.
•  Veja um exemplo em: http://www.telesintese.com.br/tcu-recomenda-aos-correios-
melhoria-no-sistema-de-gestao/ Acesso em 01/01/2015

O framework provido pelo COBIT visa ajudar as organizações na entrega de va-


lor por meio da boa governança e gestão da TI. Uma característica muito impor-
tante é a implementação de processos auditáveis que são dedicados a governança
e ao gerenciamento de TI e o uso de métricas mensuráveis de desempenho.
O COBIT é utilizado por diversos profissionais como gerente de processos,
gerentes de TI, auditores e profissionais ligados a processos de negócio.
Antes da existência do COBIT, antes de 1996, as empresas chamadas BIG
FOUR (Pricewaterhouse Coopers, Deloitte Touch Tohmatsu, KPMG e Ernst
Young), as quatro maiores empresas contábeis do mundo especializadas em
auditoria e consultoria, tinham sua própria metodologia para auditar as em-
presas. O COBIT 1 teve foco em servir como instrumento para auditoria de TI.
A primeira versão do COBIT data de 1996 e tratava de uma lista de verifi-
cação sobre auditoria em TI. Por isso, COBIT está fortemente ligado a contro-
le, pois tem origem em checklist para auditoria. A segunda versão, em 1998,
atualizou os itens de controle e ampliou a atuação do COBIT. Em 2000, com
escândalos de Wall Street e empresas que forjavam dados, sobretudo contábeis
e fiscais, escondendo informações de seus acionistas, foi criada a Lei Sarbanes
& Oxley (SOX) e o COBIT incorporou princípios de gestão dessa lei. Neste ano, a
versão 3 do COBIT trouxe os conceitos de Governança Corporativa.
Já na quarta versão, em 2005, o COBIT 4 passou a ganhar a forma que possue
hoje, no COBIT 5. O COBIT passou a ter foco em Governança de TI e não apenas
em auditoria, que marcou a origem do COBIT. A ideia geral a partir do COBIT 4
era o uso do controle pelas medições de indicadores de TI.

capítulo 3 • 61
Em 2007 o COBIT recebeu uma atualização, com alguns refinamentos, e,
por isto, sua versão foi chamada de COBIT 4.1.
Em 2011 surgiu a versão COBIT 5 que é a base da nossa discussão sobre o mo-
delo. Durante as discussões, faremos algumas referências à versão COBIT 4.1.
Na figura a seguir vemos o resumo da evolução do COBIT.

Governance of Enterprise IT

Governança de TI
Evolução do escopo

Val IT 2.0
Gerenciamento (2008)

Controle
Risk IT
(2009)
Auditoria

COBIT 1 COBIT 2 COBIT 3 COBIT 4.0/4.1 COBIT 5

1996 1998 2000 2005/7 2012

Figura 3.2 – Versões COBIT.

O COBIT 5 também integra o conteúdo existente entre outros frameworks e


publicações da ISACA como VAL IT e Risk IT, além do Business Model for Infor-
mation Security (BMIS), IT Assurance Framework (ITAF), Taking Governance
Foward (TGF) e Board Briefing on IT Governance. Ou seja, além de evoluir do
COBIT 4.1 para o COBIT 5 o modelo se integra a perspectiva de Governança
Empresarial de TI de forma mais completa.

3.2  Governança Empresarial de TI


O COBIT é focado em Negócios, como já citamos, formado por um conjunto
de princípios norteadores. Como podemos ver na figura o COBIT concentra-se
em requisitos de negócio que direcionam os investimentos a serem feitos em
recursos de TI. Os recursos de TI são usados pelas diversas áreas da empresa
através dos processos de TI.

62 • capítulo 3
Que Requisitos de Direcionam
responde a Negócio investimentos em

Informação Para
CobiT
Organizacional Entregar

Para Processos de TI Que são


Entregar usados por

Figura 3.3 – COBIT e o foco em Negócios. Fonte: Conteúdo Online Estácio

Esses processos suportam os processos de negócio, ou seja, os processos


que envolvem tecnologia da informação suprem necessidades dos processos
de trabalho da empresa. Os processos de negócio geram valor informacional,
ou seja, geram ativos de conhecimento, também chamados de capital intelec-
tual. Este capital está inserido no negócio, responderá e gerará novos requisitos
de negócio, com novas necessidades de investimento e demandas de TI.
Com o COBIT 5 a Governança de TI ganhou uma modificação e nova deno-
minação: Governança Empresarial de TI
A Governança Empresarial de TI (Enterprise Governance of IT) é o principal
norteador do COBIT 5 e é o termo que a ISACA lançou com seu framework. A
Governança Empresarial de TI incorpora outros termos:

•  Business Governance of IT: analisa e observa a TI como elemento incorporado aos


objetivos de negócio.
•  Functional Governance of IT: analisa a TI como departamento dentro da estrutura
organizacional e seus aspectos de eficiência e eficácia.
•  Corporate Governance: analisa a conformidade da empresa com requisitos e leis. TI
manuseia informações de negócio e, por isto, terá requisitos que se referem a Gover-
nança Corporativa.

capítulo 3 • 63
Enterprise Governance of IT
Corporate Governance
(corporate, legal and
regulatory compliance)

Entity Governance Asset Governance

Business Governance of IT
All assets including:
All lines of business,
IT services, applications,
functions, etc., including:
infrastructure, facilities,
IT function
resources, etc.
Functional Governance of IT

Figura 3.4 – Governança Empresarial da TI. Fonte: http://www.isaca.org/Journal/Past-Issues/2009/


Volume-1/Pages/In-Summary-The-Taking-Governance-Forward-Mapping-Initiative1.aspx

3.3 Princípios do COBIT 5


Na visão do COBIT 5 os princípios fornecem a informação que a empresa preci-
sa para atingir seus objetivos de negócio. Para isso, são necessários investimen-
tos, gerenciamento e controle de recursos de TI utilizados pelos processos da
empresa para prover serviços que vão disponibilizar as informações necessá-
rias para a organização.
O COBIT 5 trouxe uma família de produtos que contém um modelo para Go-
vernança e Gestão de TI da organização. Está família de produtos traz publica-
ções para profissionais de áreas distintas, como pode ser visto na figura a seguir.

COBIT® 5

Guias de Habilitadores do COBIT® 5


COBIT® 5 COBIT® 5 Outros Guias
Processos Habilitadores Informações Habilitadoras de Habilitadores

Guias Profissionais de Orientação do COBIT® 5


COBIT® 5 COBIT® 5
COBIT® 5 Para Garantia COBIT® 5 Outros
Para Segurança Para Risco Guias Profissionais
Implementação da Informação (Assurance)

Ambiente Colaborativo online do COBIT® 5

Figura 3.5 – Família de Produtos do COBIT 5. Fonte: (ISACA, 2012).

64 • capítulo 3
Os guias profissionais ajudam em áreas distintas da empresa e facilitam a
distribuição dos conteúdos entre as pessoas interessadas. Por exemplo, a pu-
blicação geral COBIT 5 Habilitador Processos possui um detalhamento prático
de como lidar com ativos de informação. No guia COBIT 5 Implementação, há
fases para implementação de um programa de governança. No guia COBIT 5
Assurance há uma guia para validação e auditoria de processos.
O Guia Geral de Habilitadores pode ser baixado no site para ISACA para
membros e não membros (via preenchimento de cadastros). Os demais podem
ser baixados pelos membros. Para se tornar membro é preciso para a manuten-
ção de uma taxa anual em torno de 100 dólares (o valor pode variar do momento
da escrita deste material até quando você pesquisar no site, ok?).
O modelo do COBIT 5 se baseia em cinco princípios básicos com ampla
orientação sobre os habilitadores de Governança e Gestão de TI na organiza-
ção. Habilitadores são fatores que, individualmente e coletivamente, influen-
ciam o funcionamento da governança e do gerenciamento sobre a TI.
Os princípios do COBIT 5 estão apresentados na figura a seguir e os descre-
veremos na sequência do texto.

1. Atender às
necessidades
das partes
interessadas

5. Distinguir a 2. Cobrir a
governança empresa de
da gestão ponta a ponta
Princípios do
COBIT 5

4. Permitir uma 3. Aplicar um


abordagem Framework
holística único e integrado

Figura 3.6 – Princípios do COBIT 5. Fonte: (ISACA, 2012).

capítulo 3 • 65
No COBIT 5 Habilitadores, são fatores que influenciam o funcionamento de algo. Exis-
tem 7 categorias de habilitadores no COBIT 5, definidos à frente na figura 3.14.

O COBIT 5 nos fornece um modelo para que as organizações atinjam seus


objetivos de Governança e Gestão de TI, através da criação de valor por meio da
TI e da manutenção do equilíbrio de benefícios nos recursos. Na visão do CO-
BIT 5 a TI pode ser governada e gerida de forma holística, sempre abrangendo
o negócio de ponta a ponta e em todas as áreas e funções da TI. Cabe ressaltar
que o modelo pode ser aplicado a empresas de todos os portes, sejam comer-
ciais, sem fins lucrativos, ou empresas públicas. Os princípios são detalhados
a seguir:
10. Atender às Necessidades das Partes Interessadas: criar e gerenciar va-
lor para os Stakeholders é algo que já discutimos aqui. As empresas devem exis-
tir para isso e para busca entre os benefícios que vai oferecer e a otimização no
uso dos recursos e nos riscos desta utilização e oferta de valor.
11. Cobrir a Organização de Ponta a Ponta: o COBIT 5 não se concentra
apenas na função de TI, mas nas tecnologias relacionadas como ativos.
12. Aplicar um Framework Único e Integrado: o COBIT 5 se alinha a outros
padrões e modelos, pois existem várias normas e modelos relacionadas à TI.
13. Permtir uma Abordagem Holística: na visão holística busca-se a inter-
ligação entre os diversos componentes e os resultados destas interligações. O
melhor exemplo ilustrativo da visão holística que eu me lembro é a questão da
água. Se você analisar a molécula da água ela é formada por dois átomos de hi-
drogênio e um átomo de oxigênio, ou seja, H2O. Se estudarmos o hidrogênio e
o oxigênio veremos que são combustíveis (ao menos no formato gasoso, não?).
Pois bem, quando juntos, na proporção 2 para 1, formando a molécula de água,
esta propriedade de combustão muda (ou desaparece?). A grande questão é que
a união das partes pode trazer à tona outras propriedades não observadas ou
não existentes. Na visão holística é precioso observar as interligações das áreas
de TI na empresa e nas áreas de negócio.
14. Distinguir a Governança da Gestão: a Governança visa garantir os inte-
resses das partes interessadas (Stakeholders), avaliando os objetivos corporati-
vos que foram acordados, priorizando metas, tomando decisões e monitorando

66 • capítulo 3
o desempenho e conformidade desses objetivos. A Gestão precisa cuidar do
planejamento, do projeto, da execução e do monitoramento das atividades de
acordo com o que foi definido pela governança para atingir os objetivos estraté-
gicos. Assim, em muitas organizações a Governança fica a cargo do conselho de
administração sob a liderança do presidente. Já a Gestão é feita pela diretoria
executiva liderada pelo Chief Executive Officer (CEO), ou diretor executivo.

3.3.1  Princípio 1 – Atender às Necessidades das Partes


Interessadas

As organizações existem para criar valor aos Stakeholders (partes interessadas).


Stakeholders podem ter interesses diferentes. Proprietários querem que a em-
presa gere lucro e clientes querem o atendimento a uma necessidade.
A criação de valor envolve geração de benefícios com riscos otimizados e
custo adequado. Por exemplo, uma empresa de TV por assinatura gera valor
aos seus clientes fornecendo meios de acesso (hardware e software) aos seus
conteúdos licenciados e transmitidos. Órgãos públicos também devem ofere-
cer valor à comunidade, por exemplo, entregando saneamento à população.

Necessidades
das Partes
Interessadas
Direcionam

Objetivo da Governança: Criação de Valor

Realização Otimização Otimização


de de de
Benefícios Riscos Recursos

Figura 3.7 – Criação de Valor no COBIT 5. Fonte: (ISACA, 2012).

capítulo 3 • 67
Imagine agora que você seja usuário de um serviço de emissão de passa-
gens por celular. Sem dúvidas é um benefício, evita filas, perda de tempo do
cliente. Mas, o valor só será obtido se houver risco controlado e custo adequa-
do. Imagine que este serviço seja muito vulnerável a falhas e você poderia ter
suas compras canceladas. Ou seja, você perderia viagens marcadas. Por outro
lado, imagine também que a empresa cobre de você uma taxa bem alta para
usar o recurso de emissão de passagens por celular para compensar os custos
operacionais. Assim, se o custo for alto para o cliente, o interesse irá baixar. Se
o risco for alto, o mesmo ocorre. Há a necessidade de balanceamento destes
itens.
Em relação à TI, está instrinsecamente relacionado ao exemplo anterior.
Ou seja, a emissão de passagens, o controle e o pagamento necessitam de in-
fraestrutura e serviços de TI. E, o alinhamento adequado entre TI e requisitos
de negócio pode ajudar na otimização do risco e no uso de recursos.
Nas necessidades das partes interessadas são transformadas em ações es-
tratégicas. O COBIT 5 tem mecanismos para tradução dessas necessidades em
objetivos corporativos, objetivos de TI e objetivos habilitadores. Isto é chama-
do no COBIT de COBIT 5 Goals Cascade (Cascata dos Objetivos).
Como pode ser visto na figura a seguir, os direcionadores dos Stakeholders
influenciam suas necessidades: mudanças de estratégia, mudanças de tecno-
logias, mudanças de regulamentos, etc.
As necessidades dos Stakeholders são desdobradas em objetivos corporati-
vos usando o Balanced Scorecard (BSC) como apoio.
Os objetivos corporativos são desdobrados em objetivos de TI com o BSC
de TI.

68 • capítulo 3
Direcionadores das partes interessadas
(ambiente, evolução tecnológica etc.)

Influência

Necessidades das partes interessadas


Realização de Otimização Otimização
benefícios do risco dos recursos

Desdobra em Apêndice D

Objetivos corporativos Figura 5

Desdobra em Apêndice B

Objetivos de TI Figura 6

Desdobra em Apêndice C

Objetivos de habilitador

Figura 3.8 – Cascata de Objetivos no COBIT 5. Fonte: (ISACA, 2012).

Por fim, os objetivos de TI são desdobrados em objetivos habilitadores. Ha-


bilitadores são os elementos tangíveis e intangíveis usados na governança e no
gerenciamento.
Este cascateamento do COBIT nos permite organizar e entender como a TI
pode atender as metas da organização.
O COBIT lista 17 objetivos empresariais genéricos, comuns às empresas e
que possuem informações como a dimensão BSC sob a qual o objetivo corpo-
rativo se enquadra e a relação entre os três principais objetivos da governança:
realização de benefícios, otimização do risco e otimização dos recursos.
Na tabela, “P” representa uma relação primária e “S” relação secundária, ou
seja, uma relação mais fraca.

capítulo 3 • 69
70 •
DIMENSÃO
OBJETIVO CORPORATIVO RELAÇÃO COM OBJETIVOS DA GOVERNANÇA
DSC

Realização Otimização Otimização

capítulo 3
de de de
Benefícios Risco Recursos

1. Valor dos investimentos da organização percebidos pelas partes


F P S
interessadas.

2. Portfólio de produtos e serviços competitivos. P S


Financeira
3. Gestão de risco do negócio (salvaguarda de ativos) P

4. Conformidades com as leis e regulamentos externos P S S

5. Transparência financeira P S

6. Cultura de serviço orientada ao cliente P

7. Continuidade e disponibilidade de serviço do negócio. P S

Cliente 8. Respostas rápidas para um ambiente de negócios em mudança P P P

9. Tomada de decisão estratégica com base na informação P P

10. Otimização dos custos de prestação de serviços. P P


DIMENSÃO
OBJETIVO CORPORATIVO RELAÇÃO COM OBJETIVOS DA GOVERNANÇA
DSC

11. Otimização da funcionalidade do processo de negócio. P P

12. Otimização dos custos do processo de negócio. P P S

Interna 13. Gestão de programas de mudanças de negócios. P P

14. Produtividade operacional e da equipe. P

15. Conformidade com as políticas internas; S P P

16. Pessoas qualificadas e motivadas. P


Treinamen-
to
e Cresci- 17. Cultura de inovação de produtos e negócios
mento

capítulo 3
• 71
Estes objetivos empresariais genéricos já estavam presentes no COBIT 4.1.
Na tabela a seguir estão os 17 objetivos de TI. Não há uma relação direta (um
para um) entre os objetivos das duas tabelas. Mas, os objetivos de TI também
se encaixam num BSC para enumerar o que a TI pode fazer, em termos de ob-
jetivos genéricos.

DIMENSÃO OBJETIVO DA INFORMAÇÃO E TECNOLOGIA


BSC DE TI RELACIONADA

01 Alinhamento da estratégia de negócios e de TI

Conformidade de TI e suporte para conformidade do ne-


02
gócio com as leis e regulamentos externos

Compromisso da gerência executiva com a tomada de


03
decisões de TI
Financeira

04 Gestão de risco organizacional de TI

Benefícios obtidos pelo investimento de TI e portfólio de


05
serviços

06 Transparência dos custos, benefícios e riscos de TI

Prestação de serviços de TI em consonância com os re-


07
quisitos de negócio

Cliente

Uso adequado de aplicativos, informações e soluções


08
tecnológicas

72 • capítulo 3
DIMENSÃO OBJETIVO DA INFORMAÇÃO E TECNOLOGIA
BSC DE TI RELACIONADA

09 Agilidade de TI

Segurança de informações, infraestrutura de processa-


10
mento e aplicativos

11 Otimização de ativos, recursos e capacidades de TI

Capacidade e apoio aos processos de negócios através


12
Interna da integração de aplicativos e tecnologias

Entrega de programas: fornecendo benefícios, dentro do


13
prazo, orçamento e atendendo requisitos

Disponibilidade de informações úteis e confiáveis para a


14
tomada de decisão

15 Conformidade de TI com as políticas internas

16 Equipes de TI e de negócios motivadas e qualificadas


Treinamento
e Crescimento Conhecimento, expertise e iniciativas para inovação dos
17
negócios

Figura 3.2 – Objetivos de TI do COBIT 5. Fonte: (ISACA, 2012)

Como já mencionado, não há mapeamento direto entre as metas. Há no do-


cumento do Framework (página 52) uma tabela de mapeamento, como vista a
seguir. Esta tabela define como os objetivos corporativos de TI são mapeados
entre si. Com esta tabela é possível identificar o que a TI precisa fazer para aten-
der objetivos corporativos.

capítulo 3 • 73
Objetivo Corporativo

Valor dos investimentos em negócios para as partes interesadas

Respostas rápidas para um ambiente de negócios em mudança


Tomadas de decisão estratégica baseada na informação

Otimização da funcionalidade do processo de negócio


Continuidade e disponibilidade do serviço de negócio
Gestão de risco organizacional (salvagarda de ativos)
Conformidade com as leis e regulamentos externos.

Programa para gestão de mudanças no negócio


Otimização dos custos do processo de negócio
Otimização dos custos da prestação de serviço
Portfólio de produtos e serviços competitivos

Cultura de inovação de produtos e negócios


Conformidade com as políticasinternas
Cultura de serviço orientada ao cliente

Produtividade operacional e da equipe

Pessoas qualificadas e motivadas


Transparência financeira
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17
Objetivo de TI Financeira Cliente Interna A&C
Alinhamento da estratégia de TI e de
01 P P S P S P P S P S P S S
negócios
Conformidade de TI e apoio para a
02 conformidade do negócio com as leis e S P P
Financeira

regulamentos externos
Compromisso da gerência executiva
03 P S S S S S P S S
com a tomada de decisões de TI
04 Gestão do risco organizacional de TI P S P S P S S S
Benefícios obtidos pelo investimento de
05 P P S S S S P S S
TI e portfólio de serviços
06 Transparência dos custos e riscos de TI S S P S P P

Figura 3.3 – Mapeamento dos Objetivos Corporativos do COBIT 5 em Objetivos de TI (trata-


se de um recorte, a tabela completa está na página 50 do framework). Fonte: (ISACA, 2012).

Vejamos um exemplo, imagine que empresa quer aumentar sua participa-


ção no mercado. Para isto, foi decidido que o objetivo corporativo a ser atingido
é o número 2: “Portifólio de Produtos e Serviços Competitivos”. Feito isto, quais
seriam as metas de TI relacionadas a este objetivo corporativo? Bastaria olhar
na tabela e ver que são os objetivos:
•  [P] 1 – Alinhamento da estratégia de TI e de negócios
•  [P] 3 – Compromisso da gerência executiva com a tomada de decisões de TI
•  [P] 5 – Benefícios obtidos pelo investimento de TI e porftólio de serviços
•  [S] 6 - Transparência dos custos, benefícios e riscos de TI
•  [P] 7 - Prestação de serviços de TI em consonância com os requisitos de
negócio

74 • capítulo 3
•  [S] 8 - Uso adequado de aplicativos, informações e soluções Tecnológicas
•  [S] 9 - Agilidade de TI
•  [P] 11 - Otimização de ativos, recursos e capacidades de TI
•  [S] 12 - Capacitação e apoio dos processos de negócio através da integra-
ção de aplicativos e tecnologia nos processos de negócio
•  [P] 13 - Entregas de programas fornecendo benefícios, dentro do prazo,
orçamento, e atendendo requisitos e padrões de qualidade
•  [S] 14 - Disponibilidade de informações úteis e confiáveis para a tomada
de decisão
•  [S] 16 - Equipes de TI e de negócios motivadas e qualificadas
•  [S] 17 - Conhecimento, expertise e iniciativas para a inovação dos negócios

Perceba que alguns dos objetivos são “Primários” enquanto outros sáo “Se-
cundários”. Isso será considerado na implementação das ações da TI.

3.3.2  Princípio 2 – Cobrir a Organização de Ponta a Ponta

O COBIT 5 integra a Governança Empresarial de TI dentro da Governança Em-


presarial. Uma organização pode ter Governança Financeira, Corporativa, Em-
presarial. A Governança de TI precisa se comunicar com essas outras estruturas
da Empresa.
Na documentação do COBIT cada um dos 37 processos possui uma matriz
RACI com os papéis envolvidos em cada processo.

Objetivo da Governança: criação de valor

Realização Otimização Otimização


de de dos
benefícios riscos recursos

Habilitadores Escopo
da governança da governança

Funções, atividades e relacionamentos

Figura 3.9 – Governança e Gestão de TI no COBIT 5. Fonte: (ISACA, 2012)

capítulo 3 • 75
Como visto na figura anterior, a abordagem da Governança de Ponta a Ponta
do COBIT 5 apresenta os Habilitadores de Governança que são recursos orga-
nizacionais usados como práticas, princípios e estruturas, o escopo da Gover-
nança que representa as áreas envolvidas da empresa e as funções, atividades e
relações que definem envolvidos, suas responsabilidades e interação nos pro-
cessos.
Os Proprietários e Partes Interessadas delegam poderes e geram necessida-
des para os responsáveis pela Governança, o Conselho de Administração. Este
Conselho define direções para o Corpo Diretivo que instrui e alinha o pessoal
de Operações e Execução.
O pessoal de Operações e Execução reporta ao Corpo Diretivo informações
de monitoramento para que seja verificado se os objetivos de Governança es-
tão sendo alcançados.
Por sua vez, o Corpo Diretivo reporta ao Conselho de Administração que
tem como função prestar contas aos Proprietários e Stakeholders.
Essa abordagem é usada tanto na Governança Empresarial, quanto na Go-
vernança de TI. O COBIT 5 mapeia todos os papéis envolvidos no sistema de
governança e não só papéis relacionados à TI.

Funções, Atividades e Relacionamentos

Proprietários Delegam Define Orientação Instrui e Alinha


Conselho de Corpo Operações e
e Partes
Administração Diretivo Execução
Interessadas Responsabiliza Monitora Reportam

Figura 3.10 – Governança e Gestão de TI no COBIT 5. Fonte: (ISACA, 2012)

3.3.3  Princípio 3 – Aplicar um Framework Único e Integrado

Dentro do COBIT 5 vamos encontrar nos processos de TI práticas referindo-se


ao VAL IT e ao RISK IT, outros frameworks da ISACA.
O COBIT 5 também se alinha com as normas e frameworks mais relevantes
usadas por empresas no mundo todo como ISO 9.000, TOGAF, CMMI, PMBOK,
dentre outros.
Assim, o COBIT 5 pode ser usado como um framework integrador. Esta é
uma das principais diferenças em relação ao COBIT 4.1.

76 • capítulo 3
3.4  Princípio 4 – Permitir uma Abordagem
Holística

O COBIT 5 tem habilitadores divididos em 7 categorias, como visto na figura a


seguir.

3. Estruturas 4. Cultura, Ética


2. Processos
Organizacionais e Comportamento

1. Princípios, Políticas e Frameworks

6. Serviços, 7. Pessoas,
5. informação Infraestrutura Habilidades e
e Aplicativos Competências

Recursos

Figura 3.11 – Habilitadores Corporativos no COBIT 5. Fonte: (ISACA, 2012)

1. Princípios, Políticas e Frameworks: guias e direcionamentos para esta-


belecimento de arquiteturas, para lidar com as informações, a orientação das
estruturas organizacionais.
2. Processos: Processos de TI usados para gerenciar as atividades de TI
que geram saídas e resultados visando ao atendimento de objetivos de TI e, por
conseguinte, objetivos empresariais.
3. Estruturas Organizacionais: comitês, estruturas de governança, ou
seja, entidades que auxiliam a tomada de decisão.
4. Cultura, Ética e Comportamento: aquilo que as pessoas fazem, seus há-
bitos, influenciam a gestão e a governança e será preciso adaptar alguns desses
hábitos.

capítulo 3 • 77
5. Informação: TI entrega informação (de clientes, financeiras) para o
negócio.
6. Serviços, Infraestruturas e Aplicativos: TI oferece para gerenciamento
de informação.
7. Pessoas, Habilidades e Competências: pessoas que realizarão as ativi-
dades precisarão ter algumas características para conseguir realizá-las.

3.5  Princípio 5 – Distinguir a Governança da


Gestão

O COBIT 5 divide os processos de governança e gestão de TI em duas principais


áreas: Governança e Gestão, como vemos na figura a seguir.

Necessidades do Negócio

Governança
Avaliar

Dirigir Feedback da Gestão Monitorar

Gestão

Planejar Construir Entregar Monitorar


(APO) (BAI) (DSS) (MEA)

Figura 3.12 – Divisão no COBIT 5. Fonte: (ISACA, 2012)

De acordo com o Framework do COBIT 5 a Governança assegura que os


objetivos de negócio da empresa sejam alcançados de acordo com as necessi-
dades das partes interessadas. O Gerenciamento planeja, constrói, entrega e
monitora atividades alinhadas com a direção estabelecida com a equipe de go-
vernança e sob a liderança do Chief Executive Officer (CEO).

78 • capítulo 3
Com isto, no COBIT 5 os processos abrangem toda a gama de negócios e
atividades relacionadas à Governança e Gestão de TI das empresas, visando o
modelo de processo para toda a organização.

No COBIT 4 havia a perspectiva do Cubo onde existiam 4 recursos de TI.


Agora, como vimos, o COBIT 5 tratam-nos como Habilitadores e são sete.

Requisitos de Negócios

e
ad de e
a lid e da de ad
a d e
c i a n c i
a d i b i l i
m ida i lid
e ri d r b
vid ên id on nfo onfi
a
eti Efici Conf Integ Disp Co
Ef C

Pessoas
Infraestrutura
Domínios

Informações
Aplicativos
Processos de TI

Processos

e TI
Atividades o sd
c urs
Re

Figura 3.13 – Domínios da Governança de TI. Fonte: http://www.joww.net/blog/wp-content/


uploads/2010/10/CuboCobit.png

Os habilitadores, ora Recursos de TI no COBIT 4.1, ao lado direito do Cubo,


continham os seguintes recursos de TI:
•  Aplicativos
•  Informações

capítulo 3 • 79
•  Infraestrutura
•  Pessoas

Alguns princípios, políticas e frameworks eram mencionados no COBIT 4.1,


em alguns processos. A estrutura organizacional estava implícita através dos
papéis na matriz RACI (Responsible, Accountable, Consulted, Informed – Res-
ponsável, Cobrado, Consultado, Informado).
•  Domínios
•  Processos
•  Atividades
Requisitos de Negócio:
•  Efetividade
•  Eficiência
•  Confidencialidade
•  Integridade
•  Disponibilidade
•  Conformidade
•  Confiabilidade

CONEXÃO
O COBIT 4.1, apesar de agora substituído pelo COBIT 5 é de interessante leitura:
http://www.isaca.org/Knowledge-Center/cobit/Documents/cobit41-portuguese.pdf

No COBIT 4.1 as atividades de TI eram definidas por um modelo de pro-


cessos genéricos, conforme figura abaixo, com os quatro seguintes domínios:
Planejar e Organizar; Adquirir e Implementar; Entregar e Suportar; e, Monito-
rar e Avaliar. Utilizando o ciclo tradicional de melhoria contínua (PDCA), esses
domínios são distribuídos nos 34 processos mostrados na figura e mapeiam os
agrupamentos usuais existentes em uma organização de TI.

80 • capítulo 3
Objetivos de Negócio

Objetivos de Governança

Critérios de
Informação

Eficácia
ME • Eficiência PO
• Confidencialidade
Monitorar e • Integridade Planejar e
Avaliar • Disponibilidade Organizar
• Conformidade
• Confiabilidade

Recursos
de TI

• Aplicativos
• Informações
• Infraestrutura
• Pessoas
DS AI

Entregar e Adquirir e
Suportar Implementar

Figura 3.14 – Modelo do COBIT 4.1. Fonte: Material Online Estácio

Já o COBIT 5 traz uma organização diferente. A primeira mudança é na


quantidade de processos e domínios. Na versão 4.1 eram 4 domínios e 34 pro-
cessos. Na versão 5 agora são 5 domínios e 37 processos. Agora há os processos
de Governança onde há um domínio Evaluate, Direct and Monitor (EDM – Ava-
liar, Dirigir e Acompanhar) que possui 5 processos. Os demais domínios do CO-
BIT 4.1 sofreram algumas mudanças e se distribuem da forma a seguir:

capítulo 3 • 81
COBIT 4.1 COBIT 5

Align, Plan and Organize (Alinhar, Plane-


Plan and Organize (Planejar e Organizar)
jar e Organizar)
– 10 processos
– 13 processos

Acquire and Implement (Adquirir e Build, Acquire and Implement


Implementar) (Construir, Adquirir e Implementar)
– 7 processos – 10 processos

Deliver and Support (Entregar e Deliver, Service and Support (Entregar,


Suportar) Servir e Suportar)
– 13 processos – 6 processos

Monitor and Evaluate (Monitorar e Monitor, Evaluate and Assess (Monito-


Avaliar) rar, Avaliar e Analisar
– 4 processos – 3 processos

Evaluate, Direct and Monitor (Avaliar,


– Dirigir e Acompanhar)
– 5 processos

Total = 34 processos Total = 37 processos

82 • capítulo 3
A Maturidade do processo no COBIT 4.1 foi alterada para avaliação da ca-
pacidade (Capability Assessment) e esta foi baseada na ISO/IEC 15504 de En-
genharia de Software, contendo uma escala de 0 a 5 e com significados dife-
rentes do COBIT 4.1. Um dos maiores desafios da organização é o de conseguir
entender o quanto de aprofundamento deve ser adotado pelos mecanismos de
controle e medição de desempenho. É importante saber o que deve ser medido,
como e onde obter os dados, como analisar os resultados e qual o caminho a ser
percorrido mantendo a relação de custo versus benefício.
Na figura a seguir podemos ver o resumo do modelo de capacidade do
COBIT 5.

Atributos Genéricos de Capacidade de Processo


PA 2.2
Atributos de PA 3.2
PA 2.1 Gestão PA 3.1 PA 4.1 PA 4.2 PA 5.1 PA 5.2
execução Imple-
Gestão dos Definição Gestão Controle Inovação Otimização
(PA) 1.1 mentação
da produtos do do do do do
execução do do
execução de processo processo processo processo processo
processo processo
trabalho

Processo Processo Processo Processo Processo Processo


Inexistente Executado Gerenciado Estabelecido Previsível Otimizado
0 1 2 3 4 5

Modelo de avaliação de
Processo COBIT 5 - indicadores
Modelo de Avaliação de Processos do COBIT 5
de desempenho - Indicadores de Capacidade
Resultado do Processo

Práticas Produtos de
Básicas Produtos Práticas Recursos
(práticas de do trabalho trabalho
(entradas Genéricas Genéricos
governança genéricos
/ gestão) / saídas)

Figura 3.15 – Modelo de Capacidade de Processo do COBIT 5. Fonte: (ISACA 2012)

A abordagem do COBIT 4.1 para essas questões era feita através de Modelos
de maturidade, Metas e medições de desempenho e Objetivos de atividades.
No COBIT 5 essa abordagem é feita pela Capacidade de Processo. Vejamos na
comparação a seguir.

capítulo 3 • 83
CAPACIDADE DE PROCESSO NO
COBIT 4.1 – NÍVEL DO MODELO COBIT 5, BASEADA NA ISO/IEC
DE MATURIDADE 15504
0 – Não existente: falta qualquer Nível 0 – Processo Incompleto: processo
processo reconhecível. não implementado ou não alcança seu
propósito.

1 – Inicial / Ad hoc: a organização reco- Nível 1 – Processo realizado: processo


nhece que há questões a serem tratadas, alcança seu objetivo.
mas não há processos padronizados.
Existem algumas abordagens aplicadas
caso a caso e de forma desorganizada.

2 – Repetível, porém intuitivo: processos Nível 2 – Processo Gerenciado: o nível


caminham para procedimentos similares, 1 é agora implementado de forma que
com repetição. Não há ainda treinamen- possa ser planejado, monitorado e ajus-
tos ou comunicações formais. Há muita tado com produtos estabelecidos em
confiança na responsabilidade individual, seus resultados.
podendo ocasionar erros.

3 – Definido: procedimentos são padro- Nível 3 – Processo Estabelecido: o nível


nizados e documentados. Os processos 2 agora tem um processo definido alcan-
devem ser seguidos e mesmo não sendo çando resultados de processo.
sofisticados representam a formalização
das práticas existentes.

4 – Gerenciado e Mensurável: há moni- Nível 4 – Processo Previsível: o nível 3


toria da gerência e medições de confor- opera nos limites de qualidade estabe-
midade. Processos são revisados para lecidos.
melhorias e há alguma automação de
tarefas.

5 – Otimizado: processos são refinados Nível 5 – Processo em Otimização: o ní-


a níveis de boas práticas, a TI é usada de vel 4 agora é melhorado continuamente.
forma integrada e automatiza fluxos de
trabalho, fornece ferramentas para me-
lhoria de qualidade.


84 • capítulo 3
3.6  Modelo de Referência e Domínios de
Processo no COBIT 5

Como podemos ver são 5 domínios de processo. Na parte em cinza há os pro-


cessos relacionados à Governança: Avaliar, Dirigir e Monitorar (EDM). E na
parte azul há mais 4 domínios relacionados ao Gerenciamento de TI: Alinhar,
Planejar e Organizar (APO), Construir, Adquirir e Implementar (BAI), Entregar,
Serviço e Suporte (DSS), Monitorar, Avaliar e Analisar (MEA).
Os quatro domínios de Gerenciamento de TI são muito parecidos com os
processos e domínios do COBIT 4.1. Já no COBIT 5 há os processos de Gover-
nança ao todo são 37 processos, ao invés dos 34 anteriores.

Processos de Governança Corporativa de TI


Avaliar, Dirigir e Monitorar
EDM01 Garantir
EDM05 Garantir
a definição e EDM02 Garantir EDM03 Garantir EDM04 Garantir
transparência para
Manutenção do a realização a otimização a otimização
as partes
modelo de de benefícios do risco dos recursos
interessadas
governança

Alinhar, Planejar e Organizar Monitorar,


Avaliar e
APO01 Gerenciar APO02 Gerenciar APO06 Gerenciar
a estrutura de
APO02 Gerenciar
arquitetura
APO04 Gerenciar APO05 Gerenciar o
orçamento e
APO07 Gerenciar Analisar
a estratégia inovação portfólio recursos humanos
gestão de TI da organização custos
MEA01 Monitorar,
avaliar e analisar
APO09 Gerenciar desempenho e
APO08 Gerenciar contratos de APO10 Gerenciar APO11 Gerenciar APO11 Gerenciar APO13 Gerenciar conformidade
relacionamentos prestação de fornecedores qualidade riscos segurança
serviços

Construir, Adquirir e Implementar


BAI03 Gerenciar BAI05 Gerenciar BAI07 Gerenciar
BAI01 Gerenciar BAI02 Gerenciar BAI04 Gerenciar
identificação e capacidade de BAI06 Gerenciar aceitação e
programas e definição disponibilidade e
desenvolvimento mudança mudanças transição MEA02 Monitorar,
projetos de requisitos capacidade
de soluções organizacional da mudança avaliar e analisar
o sistema de
controle interno
BAI08 Gerenciar BAI02 Gerenciar BAI02 Gerenciar
conhecimento ativos configuração

Entregar, Atender e Dar Suporte


MEA03 Monitorar,
DSS02 Gerenciar DSS06 Gerenciar avaliar e analisar
DSS05 Gerenciar
DSS01 Gerenciar solicitações e DSS03 Gerenciar DSS04 Gerenciar os controles do conformidade com
serviços de
operações incidentes problemas continuidade processo requisitos externos
segurança
de serviços de negócio

Processos de gerenciamento de TI corporativa

Figura 3.16 – Modelo de Referência de Processo do COBIT 5. Fonte: (ISACA 2012)

Na figura a seguir nós podemos ver alguns dos frameworks mapeados e


como os domínios de processos relacionam-se a eles.

capítulo 3 • 85
Avaliar, Dirigir e Monitorar

ISO/IEC 38500

Alinhar, Planejar e Organizar ISO/IEC


31000
TOGAF
ISO/IEC
PRINCE2/PMBOK 27000

CMMI

Construir, Adquirir e Implementar

ITIL V3 2011 and ISO/IEC 20000 Monitorar,


Avaliar
Entregar, Serviço e Suporte e Analizar

Figura 3.17 – Cobertura de Outros Padrões e Modelos pelo COBIT 5. Fonte: (ISACA 2012)

A seguir vamos resumir as características dos principais processos nos do-


mínios com base no conteúdo do material ISACA. Para mais detalhes consulte
o framework e a publicação COBIT 5 Enabling Process.

3.6.1  Avaliar, Dirigir e Monitorar (EDM)

•  EDM01 – Garantir a Definição e Manutenção do Modelo de Governança: visa anali-


sar os requisitos para Governança de TI da organização e colocar em prática os princí-
pios e processos, esclarecendo as responsabilidades e autoridades para alcance das
missões, das metas e dos objetivos da organização.
•  EDM02 – Garantir a Realização de Benefícios: visa otimizar e entregar o valor ao
negócio pelos serviços de TI, pelos ativos e pelos próprios processos de negócio.
•  EDM03 – Garantir a Otimização do Risco: visa assegurar o gerenciamento do risco, o
entendimento do risco empresarial e a análise da tolerância do mesmo.

86 • capítulo 3
•  EDM04 – Garantir a Otimização dos Recursos: visa assegurar que as capacidades
adequadas e suficientes relacionadas à TI (pessoas, processos e tecnologia) estão
disponíveis para apoiar os objetivos da organização de forma eficaz a um custo ótimo.
•  EDM05 – Garantir a Transparência para as Partes Interessadas: visa assegurar que
a medição e relatórios de desempenho e conformidade da TI corporativa sejam trans-
parentes para os stakeholders aprovarem as metas, métricas e as ações corretivas
necessárias.

Fonte: COBIT 5, Enabling Process

3.6.2  Alinhar, Planejar e Organizar (APO)

•  APO01 – Gerenciar a Estrutura de Gestão de TI: visa esclarecer e manter


a missão e visão da Governança de TI da organização; implementar e man-
ter mecanismos e autoridades para gerenciar a informação e o uso da TI na
organização.
•  APO02 – Gerenciar a Estratégia: visa fornecer uma visão holística do ne-
gócio e ambiente de TI atual, a direção futura, e as iniciativas necessárias para
migrar para o ambiente futuro desejado.
•  APO03 – Gerenciar a Arquitetura de Governança: visa estabelecer uma ar-
quitetura comum que consiste em processos de negócios, informações, dados,
aplicação e tecnologia para realizar de forma eficaz e eficiente as estratégias de
negócio e de TI por meio da criação de modelos e práticas-chave que descrevem
a arquitetura de linha de base.
•  APO04 – Gerenciar a Inovação: visa manter uma consciência de TI e ten-
dências de serviços relacionados, identifica oportunidades de inovação e pla-
neja como se beneficiar da inovação em relação às necessidades do negócio; in-
fluenciar o planejamento estratégico e as decisões de arquitetura corporativa.
•  APO05 – Gerenciar Portfólio: visa executar o conjunto de orientações estra-
tégicas para os investimentos alinhados com a visão de arquitetura corporativa e
as características desejadas do investimento e considerar as restrições de recur-
sos e de orçamento; avaliar, priorizar programas e serviços, gerenciar demanda
dentro das restrições de recursos e de orçamento, com base no seu alinhamen-
to com os objetivos estratégicos e risco; mover programas selecionados para o

capítulo 3 • 87
portfólio de serviços para execução; monitorar o desempenho de todo o portfó-
lio de serviços e programas, propondo os ajustes necessários em resposta ao
programa e desempenho do serviço ou mudança de prioridades da organização.
•  APO06 – Gerenciar Orçamento e Custos: visa administrar as atividades fi-
nanceiras relacionadas a TI tantos nas funções de negócios e de TI, abrangendo
orçamento, gestão de custos e benefícios e priorização dos gastos com o uso de
práticas formais de orçamento e de um sistema justo e equitativo de alocação
de custos para a organização.
•  APO07 – Gerenciar Recursos Humanos: visa fornecer uma abordagem es-
truturada para garantir a estruturação ideal, colocação, direitos de decisão e as
habilidades dos recursos humanos, incluindo a comunicação de papéis e res-
ponsabilidades definidas, planos de aprendizagem e de crescimento, e as ex-
pectativas de desempenho, com o apoio de pessoas competentes e motivadas.
•  APO08 – Gerenciar Relacionamentos: visa gerenciar o relacionamento en-
tre o negócio e TI de uma maneira formal e transparente, que garanta foco na
realização de um objetivo comum.
•  APO09 – Gerenciar Contratos de Prestação de Serviços: visa alinhar servi-
ços de TI e níveis de serviço com as necessidades e expectativas da organização,
incluindo identificação, especificação, projeto, publicação, acordo, e acompa-
nhamento de serviços de TI, níveis de serviço e indicadores de desempenho.
•  APO10 – Gerenciar Fornecedores: visa gerenciar serviços relacionados a
TI prestados por todos os tipos de fornecedores para atender às necessidades
organizacionais, incluindo a seleção de fornecedores, gestão de relacionamen-
tos, gestão de contratos e revisão e monitoramento de desempenho de fornece-
dores para a efetividade e conformidade.
•  APO11 – Gerenciar Qualidade: visa definir e comunicar os requisitos de
qualidade em todos os processos, os procedimentos e os resultados das organi-
zações, incluindo controles, monitoramento contínuo, e o uso de práticas com-
provadas e padrões na melhoria contínua e esforços de eficiência.
•  APO12 – Gerenciar Riscos: visa identificar continuamente, avaliar e redu-
zir os riscos relacionados a TI dentro dos níveis de tolerância estabelecidos pela
diretoria executiva da organização.
• APO13 – Gerenciar Segurança: visa definir, operar e monitorar um sistema
para a gestão de segurança da informação.

Fonte: COBIT 5, Enabling Process

88 • capítulo 3
3.6.3  Construir, Adquirir e Implementar (BAI)

•  BAI01 – Gerenciar Programas e Projetos: visa gerenciar todos os progra-


mas e projetos do portfólio de investimentos em alinhamento com a estratégia
da organização e de forma coordenada; iniciar, planejar, controlar e executar
programas e projetos, e finalizar com uma revisão pós-implementação.
•  BAI02 – Gerenciar Definição de Requisitos: visa identificar soluções e ana-
lisar os requisitos antes da aquisição ou criação para assegurar que eles estão em
conformidade com os requisitos estratégicos corporativos que cobrem os proces-
sos de negócio, aplicações, informações/dados, infra-estrutura e serviços; coorde-
nar com as partes interessadas afetadas a revisão de opções viáveis, incluindo cus-
tos e benefícios, análise de risco e aprovação de requisitos e soluções propostas.
•  BAI03 – Gerenciar Identificação e Desenvolvimento de Soluções: visa es-
tabelecer e manter soluções identificadas em conformidade com os requisitos
da organização abrangendo design, desenvolvimento, aquisição/terceirização
e parcerias com fornecedores/vendedores; gerenciar configuração, teste de pre-
paração, testes, requisitos de gestão e manutenção dos processos de negócio,
aplicações, informações/dados, infraestrutura e serviços.
•  BAI04 – Gerenciar Disponibilidade e Capacidade: visa equilibrar as ne-
cessidades atuais e futuras de disponibilidade, desempenho e capacidade de
prestação de serviços de baixo custo; incluir a avaliação de capacidades atuais,
a previsão das necessidades futuras com base em requisitos de negócios, ana-
lisar impactos nos negócios e avaliação de risco para planejar e implementar
ações para atender as necessidades identificadas.
•  BAI05 – Gerenciar Capacidade de Mudança Organizacional: maximizar a
probabilidade de implementar com sucesso a mudança organizacional susten-
tável em toda a organização de forma rápida e com risco reduzido, cobrindo o
ciclo de vida completo da mudança e todas as partes interessadas e afetadas no
negócio e TI.
•  BAI06 – Gerenciar Mudanças: visa gerenciar todas as mudanças de uma
maneira controlada, incluindo mudanças de padrão e de manutenção de emer-
gência relacionadas com os processos de negócio, aplicações e infraestrutura,
incluindo os padrões de mudança e procedimentos, avaliação de impacto, prio-
rização e autorização, mudanças emergenciais, acompanhamento, elaboração
de relatórios, encerramento e documentação.

capítulo 3 • 89
•  BAI07 – Gerenciar Aceitação e Transição da Mudança: visa aceitar e pro-
duzir formalmente novas soluções operacionais, incluindo planejamento de
implementação do sistema, e conversão de dados, testes de aceitação, comuni-
cação, preparação de liberação, promoção para produção de processos de ne-
gócios e serviços de TI novos ou alterados, suporte de produção e uma revisão
pós-implementação.
•  BAI08 – Gerenciar Conhecimento: visa manter a disponibilidade de conhe-
cimento relevante, atual, validado e confiável para suportar todas as atividades
do processo e facilitar a tomada de decisão; também visa um plano para a identi-
ficação, coleta, organização, manutenção, utilização e retirada de conhecimento.
•  BAI09 – Gerenciar Ativos: visa gerenciar os ativos de TI através de seu ciclo
de vida para assegurar que seu uso agregue valor a um custo ideal.
•  BAI10 – Gerenciar Configuração: visa definir e manter as descrições e as
relações entre os principais recursos e as capacidades necessárias para prestar
serviços de TI, incluindo a coleta de informações, de configuração, o estabele-
cimento de linhas de base, verificação e auditoria de informações de configura-
ção e atualizar o repositório de configuração.

Fonte: COBIT 5, Enabling Process

3.6.4  Entregar, Serviço e Suporte (DSS)

•  DSS01 – Gerenciar Operações: visa coordenar e executar as atividades e


procedimentos operacionais necessários para entregar serviços de TI internos
e terceirizados, incluindo a execução de procedimentos operacionais, padrões
pré-definidos e as atividades exigidas.
•  DSS02 – Gerenciar Solicitações e Incidentes de Serviços: visa fornecer uma
resposta rápida e eficaz às solicitações dos usuários e resolução de todos os tipos
de incidentes; restaurar o serviço normal; reportar e atender às solicitações dos
usuários e registro, investigar, diagnosticar, escalar e solucionar incidentes.
•  DSS03 – Gerenciar Problemas: visa identificar e classificar os problemas
e suas causas raízes e fornece solução para prevenir incidentes recorrentes.
Fornece recomendações de melhorias.
•  DSS04 – Gerenciar Continuidade: visa estabelecer e manter um pla-
no para permitir ao negócio e a TI responder a incidentes e interrupções, a
fim de continuar a operação de processos críticos de negócios e serviços de TI

90 • capítulo 3
necessários, mantém a disponibilidade de informações em um nível aceitável
para a organização.
•  DSS05 – Gerenciar Serviços de Segurança: visa proteger informações da
organização para manter o nível de risco aceitável para a segurança da informa-
ção da organização, de acordo com a política de segurança. Estabelece e man-
tém as funções de segurança da informação e privilégios de acesso e realiza o
monitoramento de segurança.
•  DSS06 – Gerenciar Controles do Processo de Negócio: visa definir e man-
ter controles de processo de negócio apropriados para assegurar que as infor-
mações relacionadas e processadas satisfaçam todos os requisitos de controle
de informações relevantes.

Fonte: COBIT 5, Enabling Process

3.6.5  Monitorar, Avaliar e Analisar (MEA)

•  MEA01 – Monitorar, Avaliar e Analisar Desempenho e Conformidade: visa


coletar, validar e avaliar os objetivos e métricas do processo de negócios e de TI;
monitorar se os processos estão realizando conforme metas e métricas de de-
sempenho e conformidade acordadas e fornece informação que é sistemática
e oportuna.
•  MEA02 – Monitorar, Avaliar e Analisar o Sistema de Controle Interno: visa
monitorar e avaliar continuamente o ambiente de controle, incluindo auto-ava-
liações e análises de avaliações independentes.
•  MEA03 – Monitorar, Avaliar e Analisar Conformidade com Requisitos
Externos: visa avaliar se processos de TI e processos de negócios suportados pela
TI estão em conformidade com as leis, regulamentos e exigências contratuais.

Fonte: COBIT 5, Enabling Process

3.7  Implementação
No capítulo 7 do framework há informações sobre a implementação do CO-
BIT 5. Há, por exemplo, a indicação de reconhecimento de pontos de dor ou
eventos de gatilho para serem usados como disparadores de mudança na orga-
nização.

capítulo 3 • 91
Alguns exemplos de pontos de dor seriam: fracassos em projetos de TI, fa-
lha no cumprimento de regulamentação, custos elevados de TI para resolver o
negócio, dentre outros.
Ou seja, quando a organização começa a ter problemas com a TI, pontos de
dor, ela passa a se interessar com a governança de TI e isto pode ser usado como
disparadores, argumentos para realização de melhorias.
O Ciclo de vida de implementação do COBIT é uma forma das empresas
usarem o COBIT 5 para lidar com os desafios encontrados ao longo da imple-
mentação da Governança de TI. Como podemos ver na figura a seguir há ques-
tões externas, motivadores (drivers) para nos orientar. Para cada questão há 3
níveis de ações em componentes. No ciclo de vida do COBIT 5 há a divisão em
3 componentes:
•  Gestão do Programa (Anel Externo)
•  Capacitação da Mudança (Anel Intermediário)
•  Ciclo de Vida de Melhoria Contínua (Anel Interno)

Reconhecer a
Monitorar
necessidade
e analisar
de agir

Operar e Avaliar o
Medir estado
atual

Definir o
Implementar
estado
melhorias
alvo
Construir
melhorias

Figura 3.18 – As Sete Fases do Ciclo de Vida da Implementação do COBIT 5. Fonte: (ISACA
2012)

92 • capítulo 3
Os detalhes da implementação estão em outras documentações não gratui-
tas fornecidas pela ISACA.

3.8  Aceitação do Modelo


O COBIT é baseado nas boas práticas que o mercado de TI possui e adequa-
se aos princípios de Governança de TI visados e aceitos. Com isto, sua proposta
influencia diferentes usuários:

•  Alta direção: foco na obtenção de valor dos investimentos de TI e no balanceamento


de riscos com os investimentos;
•  Executivos de Negócios: foco na entrega da informação usando recursos econô-
micos e produtivos;
•  Executivos de TI: foco na promoção dos serviços de TI que o negócio precisa para
suportar as estratégias definidas na empresa;
•  Auditores: foco na promoção de recomendações sobre controles internos para os
executivos.

ATIVIDADES
Com base no conteúdo apresentado neste capítulo, responda as seguintes questões objetivas:

01. Relacione as versões do COBIT com sua principal característica:


A – COBIT 1 I – Governança de TI
B – COBIT 2 II – Auditoria
C – COBIT 3 III – Gerenciamento de TI
D – COBIT 4 IV – Controle
E – COBIT 5 V – Governança Empresarial de TI

a) A-II, B-IV, C-III, D-V, E-IV


b) A-III, B-II, C-IV, D-I, E-V
c) A-II, B-I, C-III, D-IV, E-V
d) A-I, B-II, C-III, D-IV, E-V
e) A-II, B-IV, C-III, D-I, E-V

capítulo 3 • 93
02. Quais são os prováveis públicos para uso do COBIT?
I – Gerentes de Processos de TI
II – Gestores de TI
III – Executivos de Negócio
IV – Auditores de TI
a) I e IV
b) I e III
c) III e IV
d) II, III, e IV
e) I, II, III e IV

03. O COBIT provê um framework (modelo) de referência para a:


a) Governança de TI e gerenciamento de TI
b) Apenas Governança de TI
c) Apenas Gerenciamento de TI

04. Responda Verdadeiro ou Falso nas Questões a seguir:


a) O COBIT é de uso exclusivo do pessoal da TI?
[ ] Verdadeiro [ ] Falso
b) COBIT 5 é um acrônimo para Control Objectives for Information and Related Technology.
[ ] Verdadeiro [ ] Falso
c) O COBIT 5 também visa cobrir uma organização de ponta a ponta, definindo responsa-
bilidades de estruturas fora da TI, mas relacionadas aos processos de TI.
[ ] Verdadeiro [ ] Falso
d) O COBIT 5 é um framework totalmente novo em relação ao COBIT 4.1.
[ ] Verdadeiro [ ] Falso
e) O COBIT 5 possui 4 habilitadores.
[ ] Verdadeiro [ ] Falso
f) O COBIT 5 não se alinha a outras práticas de mercado e outros padrões e modelos, pois
possui as suas próprias.
[ ] Verdadeiro [ ] Falso

94 • capítulo 3
REFLEXÃO
Nesse capítulo, nós vimos os conceitos iniciais de um Framework amplo para Governança
de TI, o COBIT 5. Mesmo com todos os nossos estudos e discussões é possível observar
que o COBIT 5 e a Governança possuem muitos detalhes a serem estudados, analisados
e implementados. Quero que você pense nas diversas pessoas envolvidas num modelo de
Governança de TI e tente imaginar como ficaria o dia a dia dessas pessoas antes, durante e
depois da implantação de um modelo de Governança como o COBIT 5.

LEITURA
Para esse capítulo eu recomendo uma ampla leitura da publicação gratuita do Fra-
mework disponível em: http://www.isaca.org/COBIT/Pages/COBIT-5-Portuguese.aspx
(basta preencher o formulário e é possível fazer o download desta parte do framework sem
custo – acesso em 01/02/2015)
E também do material da ISACA que compara as versões 4.1 e 5 disponível em:
http://www.isaca.org/COBIT/Documents/Compare-with-4.1.pdf

REFERÊNCIAS BIBLIOGRÁFICAS
ISACA. COBIT 5 – Modelo Corporativo para Governança e Gestão de TI da Organização, 2012.
Disponível para acesso pessoal em www.isaca.org.
FERNANDES, A. A.; ABREU, V. F. Governança de TI: da Estratégia à Gestão dos Processos e
Serviços. Rio de Janeiro: Editora Brasport, 2008.
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO/IEC 38500 – Corporate
governance of information technology. ISO, 2008, 22p.
COBIT 5: A Business Framework for the Governance and Management of Enterprise IT. USA,
2012
ISACA. COBIT 5: Enabling Process. USA, 2012.

capítulo 3 • 95
96 • capítulo 3
4
Val IT, CMMI e ISO
27001 e 27002
Vimos conceitos sobre a Governança de Tecnologia de Informação nas empre-
sas, o alinhamento destes conceitos com o negócio e um framework, o COBIT.
Mas, existem outros frameworks e modelos no mercado, por exemplo, para o
processo de desenvolvimento de software que permite as empresas acompa-
nharem o aumento da competitividade do mercado com processos bem defi-
nidos e alinhados.
Um destes exemplos é o CMMI (Capability Maturity Model Integration) que
versa sobre modelos de maturidade/capacidade dos processos da empresa. Ve-
remos um pouco mais dele nesta unidade.
Já a ISO 27001, por exemplo, é um padrão para a Gestão de Segurança da
Informação e para a criação dos SGSI (Sistemas de Gerenciamento de Seguran-
ça da Informação). Segurança da Informação é outro aspecto relacionado aos
diversos processos de TI que devem dar suporte ao negócio.
Também falaremos sobre o conceito de valor atrelado à TI e ao negócio e
como o Val IT o especifica.

OBJETIVOS
Ao final deste capítulo você será capaz de:

1. Conhecer o histórico e os objetivos do Val IT;


2. Aprender a relacionar o COBIT com o Val IT;
3. Aprender o conceito de valor;
4. Conhecer a dinâmica de funcionamento do Val IT;
5. Conhecer o histórico do CMMI;
6. Conhecer os objetivos do modelo CMMI;
7. Conhecer o conceito de constelação;
8. Conhecer os dois tipos de representação do CMMI;
9. Aprender a diferença entre níveis de capacidade e níveis de maturidade;
10. Conhecer as áreas de processo e os componentes de cada área;
11. Conhecer sobre a ISO 27001 e 27002

98 • capítulo 4
4.1  Val IT
O Val IT visa auxiliar os executivos em duas das quatro decisões fundamentais
de TI:

•  Estamos fazendo as coisas certas? (a questão estratégica)


•  Estamos conseguindo benefícios? (a questão de valor).
•  O COBIT, por outro lado, ajuda os executivos a responder as questões:
•  Estamos fazendo de forma certa? (a questão da arquitetura)
•  Estamos conseguindo fazê-las bem? (a questão da entrega).
Are we
Are we
doing the
getting the
right
benefits?
things?

Estamos
Estamos
fazendo as
conseguindo
coisas
benefícios?
certas?

Estamos Estamos
fazendo de conseguindo
forma fazê-las
certa? bem?

Are we Are we
doing getting
the right them done
way? well?

Figura 4.1 – Val IT e COBIT Relacionamento Sinérgico. Fonte: Material Estácio WebAula

O modelo acima ocorreu até a versão 4.1 do COBIT, como veremos. O COBIT
5 incorporou as práticas do Val IT.
Face às exigências de ambientes de TI cada vez mais complexos, novas de-
mandas de hardware e software e a rápida obsolescência destes, o IT Governan-
ce Institute (ITGI) iniciou o chamado Value of Information Technology (Val IT)
para criar uma estrutura que auxilie gestores na avaliação, seleção, gestão e
mensuração dos retornos sobre investimento (ROI) em Tecnologia da Informa-
ção. Na maior parte das vezes os executivos de negócio não conseguem visuali-
zar esse retorno facilmente.

capítulo 4 • 99
A primeira versão do Val IT foi publicada em 2006 e a versão Val IT 2.0 em 2008.
O Val IT foi desenhado para se complementar ao Modelo do COBIT e forne-
cer um ciclo completo de Governança de TI integrando os processos do COBIT
à visão do portfólio de investimentos do Val IT que fornece princípios, proces-
sos e práticas de apoio para compreensão das atividades relacionadas aos in-
vestimentos em TI.
O Relacionamento entre Val IT e COBIT pode ser visto da seguinte forma:

Questão Estratégica:

•  O investimento está alinhado com nossa visão;


•  Está consistente com nossos princípios de negócio;
•  Está contribuindo para nossos objetivos estratégicos;
•  Está oferecendo valor, num custo razoável e em nível aceitável de risco.

Questão de Valor:

•  Temos um entendimento claro e compartilhado dos benefícios esperados;


•  Temos elucidadas as responsabilidades pela realização dos benefícios;
•  Temos métricas relevantes;
•  Temos um processo efetivo de realização de benefícios.

Questão de Arquitetura:

•  O investimento está alinhado com nossa arquitetura;


•  Está alinhado com outras iniciativas;
•  Está consistente com nossos princípios de arquitetura.

Questão Estratégica:

•  Temos processos de gerenciamento efetivos de entrega e mudanças;


•  Temos recursos de negócio e técnicos disponíveis para entregar;
•  Temos as capacidades requeridas.

100 • capítulo 4
FOCO NA FOCO NO PROCESSO FOCO NO PORTFÓLIO
GOVERNANÇA

– Concentração do programa e iniciação – Gerência do portfólio de


Governança – Realização de Benefícios investimento
Val IT
de TI na empresa – Investimento contínuo na gestão de – Fornecimento de uma visão geral
valor de todos os processos de desempenho do portfólio

– Gerência do portfólio de projetos


e apoio ao programa de TI
nvestimento
– Entrega de soluções de TI
Governança – Gerência dos serviços de TI,
COBIT Implantação de TI
de TI ativos e outros recursos
Entrega de serviço de TI
– Fornecimento de informações
sobre o desempenho dos serviços
de TI, ativos e outros recursos

Tabela 4.1 – Val IT e COBIT 4.1. Fonte: Material Estácio WebAula.

capítulo 4
• 101
Val IT avalia o resultado final para que empresas possam medir, monitorar e oti-
lhores práticas do mercado e contribuir para o processo de criação de valor. O
O COBIT 4.1 visa entregar serviços de TI de alta qualidade, utilizando as me-

mizar o valor, financeiro e não financeiro, dos investimentos habilitados por TI.
4.2  O Conceito de Valor
Definir valor é complexo, específico ao contexto e dinâmico (ITGI, 2008). O re-
sultado que se espera ao fazermos um investimento em TI é, em geral, finan-
ceiro. Mas pode ser uma combinação entre aspectos financeiros e aspectos
não financeiros. Por exemplo, ter um servidor mais ágil e melhorar o tempo
de resposta num processo de suporte podendo deixar o cliente mais satisfeito.
Há um resultado financeiro indireto (satisfação do cliente). Mas, para alguns
clientes isto não fará sentido algum (aqueles que não precisarem de suporte).
Portanto, o conceito de valor relaciona-se ao atendimento de expectivativas
dos stakeholders e os recursos que serão necessários para isso.
A gestão de valor precisa otimizar o valor da conciliação das diferenças de
interesses entre os diferentes stakeholders e permitir que a empresa:

•  Defina e comunique claramente a sua visão do que constitui valor e para quem;
•  Selecione e execute investimentos;
•  Gerencie seus ativos e otimize valor com a utilização de recursos de forma
econômica e nível de risco aceitável.

4.3  COBIT 5 e Val IT


Val IT e Risk IT são frameworks criados pela ISACA para gerenciamento de
entrega de valor e mitigação de riscos, respectivamente.
Eles possuiam suas próprias especificações e processos. No COBIT 5 a ISA-
CA fez a incorporação destes frameworks, visando tornar-se mais completa e
integradora.

102 • capítulo 4
CONEXÃO
Estude e compreenda mais sobre o Risk IT. Acesse o conteúdo oficial da ISACA em (Acesso
em 28/01/2015):
http://www.isaca.org/knowledge-center/risk-it-it-risk-management/pages/default.aspx

Orientação
Novos
ISACA Outros
Materiais
(COBIT, Padrões e
de Orientação
Val IT, Risk IT, Frameworks
da ISACA
BMIS, ...)

Base de Conhecimento
do COBIT 5
Habilitadores
• Orientação e conteúdo atuais do COBIT 5
• Estrutura para conteúdos futuros

Filtro de Conteúdo para


a Base de Conhecimento

Família de produtos COBIT 5

COBIT 5

Guias de Habilitadores do COBIT

Guias profissionais do COBIT 5

Ambiente Colaborativo
On-line do COBIT 5

Figura 4.2 – Val IT e COBIT 5. Fonte: (ISACA 2012)

capítulo 4 • 103
Como vimos no capítulo 3, um dos princípios do COBIT 5, o 3º Princípio,
trata sobre a aplicação de um modelo único integrado. Assim, o COBIT 5 ali-
nha-se com outros padrões recentes para ser usado como principal modelo in-
tegrador. Ele integra o conhecimento de outros modelos como Val IT, Risk IT,
BMIS e ITAF.

4.4  CMMI
A história do CMMI tem seu início numa encomenda feita pelo DoD (Departa-
mento de Defesa norte-americano) à Carnegie Mellon University (CMU), atra-
vés do Software Engineering Institute (SEI). Esta encomenda era para a criação
de um modelo de qualidade para o processo de engenharia de software. Em
1991 foi criado o Capability Maturity Model for Software (SW-CMM) (CMU/SEI,
2010; FERNANDES e ABREU, 2008).

O CMMI pode ser definido como um modelo para melhoria de processo que fornece
às empresas os elementos para obtenção de processos eficazes e melhoria de desem-
penho.

O CMMI combinava três modelos: o Capability Maturity Model for Softwa-


re (SW-CMM), o Systems Engineering Capability Model (SECM) e o Integrated
Product Development Capability Maturity Model (IPD-CMM).
Atualmente, a versão 1.3, publicada em 2010, inclui melhorias significativas
e refinamentos nos níveis de maturidade para aproximação de outros modelos.
A versão 1.3 do CMMI apresenta as abordagens de implementação por Está-
gios ou Contínua. Ambas estão num mesmo documento e reunidas em escopos
chamados Constelação.
“Uma constelação é um conjunto de componentes CMMI utilizados para
construir modelos, materiais de treinamento e documentos de avaliação rela-
cionados a uma área de interesse.” (CMU/SEI 2010).

104 • capítulo 4
Atualmente, existem três constelações:

•  CMMI para Desenvolvedores (CMMI-DEV): contém diretrizes para monitorar, mensu-


ar e gerenciar processos de desenvolvimento;
•  CMMI para Serviços (CMMI-SVC): diretrizes para entrega de serviços dentro e fora
das empresas;
•  CMMI para Aquisições (CMMI-ACQ): diretrizes para suporte às decisões relaciona-
das à aquisição de produtos e serviços.

O CMMI oferece duas opções para abordar a avaliação e melhoria dos pro-
cessos:

•  Representação contínua – A organização escolhe uma determinada área de pro-


cesso (ou grupo de áreas de processo) e trabalha na melhoria desses processos;
•  Representação por estágios – Utiliza conjuntos predefinidos de áreas de processo
para estabelecer um caminho de melhoria para uma organização.

O progresso da melhoria de um processo é verificado pelos níveis de capa-


cidade e níveis de maturidade. Os níveis de capacidade aplicam-se a áreas de
processo individuais e servem para melhorar de forma incremental processos
de uma determinada área. Existem seis níveis (0 a 5) de capacidade. Os níveis
de maturidade são aplicados a áreas de processos e auxiliam na previsão dos
resultados em projetos futuros. Existem cinco níveis de maturidade (1 a 5).

CONEXÃO
Estude mais sobre os detalhes do CMMI em (Acesso em 28/01/2015):
http://cmmiinstitute.com/
http://www.sei.cmu.edu/process/index.cfm

capítulo 4 • 105
4.5  CMMI - Abordagem de Implementação
por Estágios

De forma geral, as organizações começam com processos caóticos e sem orga-


nização, num ambiente sem estabilidade e vão caminhando, progredindo dis-
ciplinarmente até adquirirem padrões de repetição de processos e conseguir
chegar num nível onde há melhoria contínua dos mesmos.

Otimizado
Organizações com
Melhoria Contínua
Gerenciado
Organizações
Previsíveis
Definido
Organizações
Padronizadas
Repetível
Organizações
Disciplinadas
Inicial
Organizações
Caóticas

Figura 4.3 – Implementação por Estágios. Fonte: Material Estácio WebAula.

Na abordagem de Implementação por Estágios o nível de maturidade é


como um degrau de evolução na melhoria do processo organizacional da em-
presa e atende as áreas como um todo.

Níveis de maturidade

Áreas de processo

Metas Específicas Metas Genéricas

Práticas Práticas
Específicas Genéricas

Figura 4.4 – Implementação por Estágios. Fonte: Material Estácio WebAula.

106 • capítulo 4
As características dos níveis de maturidade são:

•  Nível 5 – Otimizado: No nível de maturidade 5, uma organização melhora conti-


nuamente os seus processos com base num entendimento quantitativo das causas
comuns de variações inerentes ao processo.
•  Nível 4 – Gerenciado Quantitativamente: No nível de maturidade 4, a organização
e os projetos estabelecem objetivos quantitativos para qualidade e para desempenho de
processo, utilizando-os como critérios na gestão de processos. Objetivos quantitativos
baseiam-se nas necessidades dos clientes, dos usuários finais, da organização e dos res-
ponsáveis pela implementação de processos. A qualidade e o desempenho de processo
são entendidos em termos estatísticos e gerenciados ao longo da vida dos processos.
•  Nível 3 – Definido: No nível de maturidade 3, os processos são bem caracterizados
e entendidos, e são descritos em padrões, procedimentos, ferramentas e métodos. O
conjunto de processos-padrão da organização, que é a base para o nível de maturi-
dade 3, é estabelecido e melhorado ao longo do tempo. Estes processos-padrão são
utilizados para estabelecer uniformidade no contexto da organização. Os projetos es-
tabelecem seus processos definidos ao adaptar o conjunto de processos-padrão da
organização de acordo com as diretrizes para adaptação.
•  Nível 2 – Gerenciado: No nível de maturidade 2, os projetos da organização têm
a garantia de que os processos são planejados e executados de acordo com uma po-
lítica; os projetos empregam pessoas experientes que possuem recursos adequados
para produzir saídas controladas; envolvem partes interessadas relevantes; são monito-
rados, controlados e revisados; e são avaliados para verificar sua aderência em relação
à descrição de processo. A disciplina de processo refletida pelo nível de maturidade
2 contribui para que as práticas existentes sejam mantidas durante períodos críticos.
Quando essas práticas estão em vigor, os projetos são executados e gerenciados de
acordo com seus planos documentados.
•  Nível 1 – Inicial: No nível de maturidade 1, geralmente os processos são ad hoc e
caóticos. Esse tipo de organização não fornece um ambiente estável para apoiar os
processos. O sucesso depende da competência e do heroísmo das pessoas e não do
uso dos processos comprovados. Apesar deste caos, organizações no nível de maturi-
dade 1 frequentemente produzem produtos e serviços que funcionam. Entretanto, com
frequência, eles extrapolam seus orçamentos e não cumprem seus prazos.

http://www.sei.cmu.edu/library/assets/whitepapers/
cmmi-dev_1-2_portuguese.pdf

capítulo 4 • 107
4.6  CMMI - Abordagem de Implementação
Contínua

Nessa abordagem, o CMMI permite que cada uma das áreas de processos sejam
implementadas de forma evolutiva e independente.

Áreas de processo Níveis de maturidade

Metas Específicas Metas Genéricas

Práticas Práticas
Específicas Genéricas

Figura 4.5 – Abordagem de Implementação Contínua. Fonte: Material Estácio WebAula.

As características dos níveis de capacidade são:

•  Nível 0 – Incompleto: Um “processo incompleto” é um processo que não é executa-


do ou é executado parcialmente. Uma ou mais metas específicas da área de processo
não são satisfeitas e não existem metas genéricas para este nível, já que não há razão
para institucionalizar um processo executado parcialmente. Nível 1 – Executado: Um
processo de nível de capacidade 1 é caracterizado como um “processo executado”. É
um processo que satisfaz às metas específicas da área de processo, apoiando e viabi-
lizando o trabalho necessário para produzir os produtos de trabalho.
•  Nível 2 – Gerenciado: Um processo de nível de capacidade 2 é caracterizado como
um “processo gerenciado”. É um processo executado (nível de capacidade 1) que dis-
põe de infraestrutura adequada para apoiar o processo; é planejado e executado de
acordo com uma política; emprega pessoas experientes que possuem recursos ade-
quados para produzir saídas controladas; envolve partes interessadas relevantes; é mo-
nitorado, controlado e revisado; e sua aderência em relação à descrição de processo
é avaliada. A disciplina de processo refletida pelo nível de capacidade 2 contribui para
assegurar que as práticas existentes sejam mantidas durante períodos críticos.

108 • capítulo 4
•  Nível 3 – Definido: Um processo de nível de capacidade 3 é caracterizado como
um “processo definido”. É um processo gerenciado (nível de capacidade 2), adaptado
a partir do conjunto de processos-padrão da organização de acordo com as diretrizes
para adaptação da organização, e contribui com produtos de trabalho, medidas e outras
informações de melhoria de processo para os ativos de processo da organização.

http://www.sei.cmu.edu/library/assets/whitepapers/
cmmi-dev_1-2_portuguese.pdf

A versão CMMI 1.3 trouxe algumas alterações nos níveis de capacidade que
antes eram 6 (CMMI 1.2) e agora são 4. Veja a comparação dos modelos de ca-
pacidade e maturidade no CMMI 1.3.

CONTINUOUS STAGED
LEVEL REPRESENTATION REPRESENTATION
CAPABILITY LEVELS

LEVEL 0 Incomplete

LEVEL 1 Conformed Initial

LEVEL 2 Managed Managed

LEVEL 3 Defined Defined

Quantitatively
LEVEL 4 Managed

LEVEL 5 Optimizing

Tabela 4.3 – Níveis de Capacidade x Maturidade. Fonte: Especificação CMMI 1.3 - http://
www.sei.cmu.edu/reports/10tr033.pdf página 23.

capítulo 4 • 109
4.7  Áreas dos Processos CMMI
De acordo com a estrutura de inter-relacionamento funcional na visão de me-
lhoria corporativa de processos o CMMI sugere que as suas 22 áreas de processos
sejam agrupadas em quatro categorias: Gestão do Processos, Gestão de Projeto,
Engenharia e Suporte:

•  Gestão de Processos: Contêm atividades transversais aos projetos, relacionadas


à definição, ao planejamento, à implantação, à implementação, ao monitoramento, ao
controle, à avaliação, à medição e à melhoria de processo. Contém as áreas:
– Foco nos Processos da Organização (OPF): Planejar, implementar e implantar
melhorias nos processos organizacionais com base na compreensão dos pontos fortes
e dos pontos fracos dos processos e dos ativos de processo da organização.
– Definição dos Processos da Organização (OPD): Manter um conjunto de políti-
cas, descrições de Processos, critérios, diretrizes, métricas e outras documentações
num formato de biblioteca de componentes reutilizáveis.
– Treinamento na Organização (OT): Identificar as necessidades estratégicas de
treinamento da organização, assim como as necessidades táticas que são comuns aos
projetos e grupos de suporte.
– Desempenho dos Processos da Organização (OPP): Estabelecer objetivos
quantitativos para qualidade e para desempenho de processo a partir dos objetivos
estratégicos da organização. A organização fornece aos projetos e grupos de suporte:
medidas comuns, baselines de desempenho de processo e modelos de desempenho
de processos.
– Gestão do Desempenho Organizacional: Gerenciar o desempenho da organiza-
ção para alcance dos objetivos de negócio definidos.
•  Gestão de Projeto: Tratam das atividades de gestão relacionadas a planejamento,
monitoramento e controle de projeto. Contém as áreas:
– Planejamento de Projeto (PP): Elaborar o plano de projeto, o envolvimento apro-
priado das partes interessadas, a obtenção de comprometimento com o plano e sua
manutenção.
– Monitoramento e Controle de Projeto (PMC): Monitorar e implementar ações cor-
retivas. As ações corretivas são implementadas (incluindo replanejamento) conforme
apropriado, quando o status do projeto desvia significativamente dos valores esperados.

110 • capítulo 4
– Gestão de Contrato com Fornecedores (SAM): Tratar das necessidades de aqui-
sição de partes do trabalho que são produzidas por fornecedores. As fontes de produtos
utilizadas para satisfazer aos requisitos de projetos são identificadas proativamente. O
fornecedor é selecionado, e é estabelecido um contrato para que se possa gerenciá-lo.
– Gestão Integrada de Projeto (IPM): Estabelecer e manter o processo definido
para o projeto que é adaptado a partir do conjunto de processos-padrão da organização.
– Gestão de Riscos (RSKM): Implementar uma abordagem proativa e em regime
contínuo para a gestão de riscos por meio de atividades que incluem identificação de
parâmetros para riscos, avaliação de riscos e mitigação de riscos.
– Gestão Quantitativa de Projeto (QPM): Aplicar técnicas quantitativas e estatísti-
cas para gerenciar o desempenho de processo e a qualidade de produto. Os objetivos
para qualidade e desempenho de processo para o projeto são baseados nos objetivos
estabelecidos pela organização.
– Gestão de Requisitos (REQM): Gerenciar requisitos técnicos e não técnicos num
projeto, checando inconsistências e tratando os impactos de mudança.
•  Engenharia: tratam de atividades de desenvolvimento e manutenção das diversas
disciplinas de Engenharia.
– Desenvolvimento de Requisitos (RD): Identificar as necessidades do cliente e
traduzir essas necessidades em requisitos de produto.
– Solução Técnica (TS): Desenvolver pacotes de dados técnicos para componentes
de produto que serão utilizados pela área de processo Integração de Produto ou pela
área de processo Gestão de Contrato com Fornecedores. Soluções alternativas são
examinadas a fim de escolher o melhor projeto com base em critérios previamente
estabelecidos.
– Integração de Produto (PI): Utilizar as práticas específicas associadas à geração
da melhor sequência de integração possível, envolvendo a integração de componentes
de produto e a entrega do produto ao cliente.
– Validação (VAL): Validar produtos, de forma incremental, relacionados às neces-
sidades do cliente. A validação tanto pode ser realizada no ambiente real de operação
quanto no ambiente operacional simulado.

http://www.sei.cmu.edu/library/assets/whitepapers/
cmmi-dev_1-2_portuguese.pdf

capítulo 4 • 111
•  Suporte: visa auxiliar nos demais processos qualificando os processos com ativida-
des ao longo dos projetos de desenvolvimento ou manutenção de produtos. Contém
as seguintes áreas:
– Gestão da Configuração (CM): Controlar e manter a integridade dos produtos
de trabalho.
– Garantia da Qualidade do Processo e do Produto (PPQA): Fornecer visibilidade
sobre andamento dos processos e produtos.
– Medição e Análise (MA): Manter e desenvolver formas de medição para atender
necessidades de informações gerenciais.
– Análise de Decisões e Resolução (DAR): Usar processo de avaliação formal para
tomar decisões.
– Análise e Resolução de Causas (CAR): Identificar causas e corrigir defeitos além
de ações de prevenção de novas ocorrências.

4.8  ISO 27001 e 27002


A gestão Segurança da Informação e a Gestão da Tecnologia da Informação
compreendem áreas complexas, com normas exigentes para tratar de aspectos
específicos. Adotar um Sistema de Gestão de Segurança da Informação (SGSI)
e de Gestão da Tecnologia da Informação fazem parte da gestão estratégica da
Governança Corporativa. A implementação do SGSI e do GTI devem ser guia-
das pelas suas necessidades e objetivos, requisitos de segurança e estrutura da
organização.
A ISO 27001 e 27002 oferece normas com reconhecimento e certificação
internacional para o desenvolvimento da SGSI e da GTI. A Governança trata
em linha gerais da direção, controle e monitoramento, e pode ser implantada
em vários eixos, como:
•  Governança Corporativa
•  Governança de Tecnologia da Informação
•  Governança de Segurança da Informação
•  Governança de Projetos

112 • capítulo 4
•  Governança de Indicadores
Vamos trabalhar com os conceitos listados anteriormente, consideran-
do que a Governança de Segurança da Informação e a Governança da Tecno-
logia da Informação, são eixos fundamentais para a gestão da Governança
Corporativa.
Bem, mas como a ISO pode colaborar com a Tecnologia da Informação e a
Segurança da Informação?
Criado em 1947, ISO é sigla para International Organization for
Standardization – Organização Internacional para Normalização. Em língua
francesa: "L'Organisation Internationale de Normalisation". Com sede em Ge-
nebra na Suíça, é uma entidade não governamental que congrega a padroniza-
ção/normalização de 170 países.
Tem como objetivo promover o desenvolvimento da normalização e ativi-
dades relacionadas com a intenção de facilitar o intercâmbio internacional de
bens e serviços.
Os membros da ISO são os representantes das entidades oficiais de nor-
malização nos respectivos países como, por exemplo, ANSI (American National
Standards Institute), BSI (British Standards Institute), DIN (Deutsches Institut
für Norman).

“No Brasil, sua representante é ABNT, Associação Brasileira de Normas e Técnicas.


Fundada em 1940, a ABNT é uma entidade privada, sem fins lucrativos, é o órgão res-
ponsável pela normalização técnica no país, fornecendo a base necessária ao desen-
volvimento tecnológico brasileiro. É membro fundador da ISO (International Organiza-
tion for Standardization), da COPANT (Comissão Panamericana de Normas Técnicas)
e da AMN (Associação MERCOSUL de Normalização).”
Fontes: (Acesso em 05/02/2015)
http://pt.wikipedia.org/wiki/Associa%C3%A7%C3%A3o_Brasileira_de_Nor-
mas_T%C3%A9cnicas
http://www.absev.org.br/a-absev-ingressa-como-associada-mantenedora-da-abnt/

No Brasil, quando uma empresa segue as normas e padrões indicados pela


ISO/ABNT a empresa convoca uma auditoria e recebe a certificação ISO. As cer-
tificações ISO.

capítulo 4 • 113
Sobre as certificações ISO, selecionamos algumas das normas mais utilizadas:

•  ISO 9000 Gestão de Qualidade: em ambientes de produção;


•  ISO 14000 - ISO 14064 Normas de Gestão do Ambiente: em ambientes de
produção;
•  ISO/IEC 17799 Tecnologia da Informação: código de conduta para a
Gestão da Segurança da Informação;
•  ISO/IEC 12207 Tecnologia da Informação: define processo de desenvolvi-
mento de software;
•  ISO 26000 Responsabilidade Social;
•  ISO 50001 Gestão de Energia;
•  ISO 31000 Gestão de Risco;
•  ISO 22000 Gestão de Segurança Alimentar;
•  ISO 27001 Gestão da Segurança da Informação;
•  ISO 27002 Gestão da Tecnologia da Informação.

A ISO 27002 (anteriormente chamado ISO 17799) trata-se de um código de


práticas para a Segurança da Informação. Nesses códigos estão detalhados
centenas de controles específicos que aplicados protegem informações e ati-
vos relacionados.
Já a ISO 27001 trata-se de um padrão de especificações para Sistema de Ges-
tão de Segurança da Informação, SGSI, em inglês ISMS - Information Security
Management System. Foi publicado em 2005 pela Organização Internacional
de Normalização.
Suas especificações fornecem estrutura para auditorias e certificação na
área Segurança da Informação.
A versão mais atual da ISO 27001 foi instituída em 2013. Aplicadas as nor-
mas e solicitado o selo de certificação pelo ABNT (no Brasil) fica certificado que
a empresa segue todas as exigências legais e padrões internacionais. Seu uso
reduz custos e riscos gerados por problemas na Segurança da Informação, pois
além de analisar a estrutura da segurança, também incorpora em seus pré-re-
quisitos a preocupação com os riscos do negócio.
Ambas as normas destinam-se a todas as organizações, sejam elas comer-
ciais, ou de serviços e auxilia na responsabilidade da Segurança da Informação.
As ISO 27001 e ISO 27002 oferecem requisitos diferentes, mas ambas se
complementam, a primeira cuida dos sistemas e recursos e a segunda dos con-
troles de proteção.

114 • capítulo 4
A Informação é um ativo estratégico essencial para as organizações e neces-
sita de proteção adequada. Esta proteção precisa ser tanto física quanto técnica
e organizacional. Lidar com a Segurança da Informação implica em manter as
informações confidenciais, íntegras e disponíveis (Confidentiality, Integrity,
Avaliability):

•  Confidencialidade: assegurar que a informação não seja divulgada (disclosed) a


indivíduos ou grupos não autorizados;
•  Integridade: manter a informação, garantindo que essa não seja modificada por
agentes desautorizados. Se houver autorização, os agentes devem apenas alterá-la de
forma apropriada.
•  Disponibilidade: assegurar que a informação esteja sempre disponível (available) de
forma ágil a todos os agentes autorizados.

ATIVIDADES
Considerando o conteúdo apresentando neste capítulo, utilize as seguintes questões para
avaliar o seu conhecimento:

01. Qual dos modelos abaixo apresenta o conceito de valor sobre o investimento em TI?
a) COBIT 4.1
b) ISO 27001
c) Val IT
d) Risk IT

02. Qual dos modelos refere-se à implementação de um Sistema de Gestão de Segurança


da Informação?
a) COBIT 4.1
b) ISO 27001
c) ISO 27002
d) Val IT
e) Risk IT

capítulo 4 • 115
REFLEXÃO
A Tecnologia da Informação tem diferentes processos em diferentes áreas. São diversos
os modelos conhecidos para auxiliar a boa gestão e gerenciamento desses, nessa unidade
apresentamos alguns entre os mais relevantes. Fica a dica para que você se aprofunde em
outros modelos citados no material, aplicando o mais adequado nas situações necessárias.

LEITURA
Como leituras sugiro que consulte as referências, sobretudo o site da ISACA (www.isaca.
org), pois lá há ampla documentação dos Modelos COBIT 5, Val IT e Risk IT, além de muitos
artigos interessantes.
Sobre a ISO, neste link há um FAQ com perguntas mais frequentes sobre ISO 27001
(Acesso em 28/01/2015):
http://www.vanzolini.org.br/areas/certificacao/auditores/pdf/PROCED/p.com.34.pdf

REFERÊNCIAS BIBLIOGRÁFICAS
SEI. CMU/SEI-2010-TR-032 – CMMI for Acquisition, version 1.3, Novembro de 2010 (2010a).
SEI. CMU/SEI-2010-TR-032 – CMMI for Development, version 1.3, Novembro de 2010 (2010b).
SEI. CMU/SEI-2010-TR-032 – CMMI for Services, version 1.3, Novembro de 2010 (2010c).
Appraisal Method for Process Improvement (SCAMPI) V1.2 -www.sei.cmu.edu/reports/06hb002.pdf
CMMI Version 1.3 DEV / ACQ / SVC - www.sei.cmu.edu/cmmi
ISACA. COBIT 5 - Modelo Corporativo para Governança e Gestão de TI da Organização, 2012.
Disponível para acesso pessoal em www.isaca.org.
FERNANDES, A. A.; ABREU, V. F. Governança de TI: da Estratégia à Gestão dos Processos e
Serviços. Rio de Janeiro: Editora Brasport, 2008.
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO/IEC 38500 – Corporate
governance of information technology. ISO, 2008, 22p.
COBIT 5: A Business Framework for the Governance and Management of Enterprise IT. USA, 2012
ISACA. COBIT 5: Enabling Process. USA, 2012.
ITGI. Enterprise Value: Governance of IT Investments – The Val IT Framework 2.0 Extract, 2008.
Disponível em: http://www.isaca.org/Knowledge-Center/Val-IT-IT-Value-Delivery-/Documents/Val-IT-
Framework-2.0-Extract-Jul-2008.pdf acesso em 05/02/2015.

116 • capítulo 4
5
Seis Sigma e as
Ferramentas de
Qualidade
Neste capítulo, veremos como o Six Sigma pode ajudar na melhoria de proces-
sos. Um dos aspectos fundamentais da Governança é justamente melhorar
continuamente os processos existentes. Veremos também algumas ferramen-
tas a serem utilizadas no Controle de Qualidade.

OBJETIVOS
Neste capítulo os objetivos da sua aprendizagem são:

•  Conhecer o histórico e objetivos do Six Sigma;


•  Aprender a lógica de funcionamento do Six Sigma;
•  Saber quais são as ferramentas e técnicas utilizadas no Six Sigma;
•  Saber quais são os papéis e responsabilidades envolvidos no Six Sigma;
•  Saber qual é a colaboração da tecnologia da informação no Six Sigma;
•  Conhecer a aplicabilidade e alguns benefícios do modelo;

118 • capítulo 5
5.1  Breve História
As empresas, atualmente, concorrem com mercados do mundo todo. Com tan-
tos concorrentes e a crescente rapidez nos processos e na comunicação, essas
estão obrigadas a manterem os processos internos cada vez mais eficazes e efi-
cientes. A gestão da qualidade tem ganhado destaque no cenário mundial, e a
busca por melhorias tem garantido o bom desempenho e a sobrevivência de
muitas empresas.
Em meados de 1987, funcionários da Motorola buscando diminuir o núme-
ro de fabricação de peças defeituosas, desenvolveram uma metodologia com
padrões matemáticos para controle de qualidade nas peças. No ano seguinte,
1988, a empresa recebe o Prêmio Malcolm Baldrige de Qualidade, a implan-
tação do programa chamado Six Sigma alavancou o crescimento da Motorola.
A divulgação dos ganhos obtidos pela Motorola chamou a atenção de di-
versas empresas. Assim, várias empresas passaram a usar o Six Sigma, como:
Texas Instruments (em 1988), IBM (em 1990), ABB - Asea Brown Boveri (em
1993), Allied Signal e Kodak (em 1994) e a General Electric (em 1996).
Com a aplicação do Six Sigma, a General Electric (GE) ganhou notoriedade
após a adoção do programa. A empresa alcançou notável crescimento na mar-
gem do lucro operacional. Três anos após a implantação, foi registrado uma
economia de mais de US$ 1,5 bilhões, obtendo destaque entre as corporações
de sucesso dos Estados Unidos.
O sucesso alcançado por essa metodologia fez com que em 1991, a Motorola
construísse uma indústria ao redor do Six Sigma, e introduzisse treinamentos
para a formação de especialista em Six Sigma, chamados de Black Belts. Em
1992, a metodologia foi difundida para outras empresas. Em 2002 a Motorola
voltou a ganhar o prêmio de qualidade MBNQA, Malcolm Baldrige National
Quality Award, provando a eficácia do programa definitivamente, expandindo
sua atuação nas indústrias e áreas funcionais. Estabelecendo-se como uma me-
todologia orientada para obtenção de resultados. Hoje, milhares de empresas
utilizam o Six Sigma para otimizar os processos e consequentemente, aumentar
os lucros. O Seis Sigma chegou ao Brasil em torno de 1997. O Grupo Brasmotor,
adotou o programa em suas atividades e em 1999, apresentou ganhos em torno
de de R$ 20 milhões (WERKEMA, 2002a).

capítulo 5 • 119
5.2  Mas o que significa “sigma”?
A letra sigma Σ vem do alfabeto grego sendo sua 18ª letra ou caractere e cor-
responde ao nosso S.

É utilizada pela estatística para medir o desvio-padrão de uma população.


Em qualidade, o sigma é uma medida de variabilidade usada para indicar quan-
to dos dados insere-se nos requisitos do cliente. Quanto maior o sigma do pro-
cesso, melhores os produtos ou serviços ou menor o número de defeitos.

Na Matemática a letra Σ (sigma maiúscula) é utilizada como símbolo de um somatório


(somas definidas em alguma sequência, como uma progressão aritmética), ou de vari-
áveis estatísticas. Assim como a letra minúscula de sigma σ representa Desvio Padrão.

Portanto, os seis sigmas, usam variáveis estatísticas para controlar o desvio


de padrão.

5.3  O Six Sigma


O Six Sigma proporciona aperfeiçoamento dos processos através da diligência
dos métodos aplicados e controlados. Para Pande, Neuman e Cavanagh (2001),
Seis Sigma é:

“[...] um sistema abrangente e flexível para alcançar, sustentar e maximizar o sucesso


empresarial. Six Sigma é singularmente impulsionado por uma estreita compreensão
das necessidades dos clientes, pelo uso disciplinado dos fatos, dados e análise estatísti-
ca e pela atenção diligente à gestão, melhoria e reinvenção dos processos do negócio."

O Six Sigma também pode ser visto como uma metodologia estruturada que
incrementa a qualidade por meio do aperfeiçoamento continuo dos processos

120 • capítulo 5
de produção de bem ou serviço, da otimização das operações, da eliminação
sistemática dos defeitos, falhas e erros, levando em consideração todos os as-
pectos importantes do negócio que possam diferenciar a empresa junto aos
seus clientes.
Smith & Adams (2000) consideram que “alcançar o Six Sigma significa redu-
zir a zero (praticamente) defeitos, erros e falhas de desempenho dos processos”.
De certa forma, o objetivo prático é introduzir uma sistematização de redução
de falhas e defeitos e diminuir a variabilidade dos processos. Isto é feito com
a melhor organização da informação e dos processos e pode ser aplicado nos
diversos setores econômicos, não apenas se restringindo às cadeias produtivas.
Vemos que os autores citados enfatizam que a metodologia oferece a busca
de padrão e a redução perto de zero de erros, falhas ou defeitos. Segundo con-
siderações de Fernandes & Abreu (2008) a melhoria de desempenho do negócio
através da melhoria de processos, tendo como meta um processo que apresente
3,4 defeitos por milhão de oportunidades (DPMO) ou Six Sigma, que equivale a
um rendimento de 99,9997% de resultados dos processos isentos de defeitos”.
Observando a escala Sigma, vamos pensar na aplicação da metodologia
numa fabrica que produz peças para automóveis, vemos que com a aplicação
de um sigma a qualidade aumenta 31%, mas os erros por milhão ainda são altos
690.000 defeitos. Pense no impacto que causam esses números de perdas de
peças numa fábrica.
Acompanhando a evolução dos sigmas, encontramos na adoção dos seis
sigmas 3 ou 4 peças deituosas por milhão, o que corresponde a um padrão de
qualidade de 99,9997%.
O valor do sigma indica a variabilidade do processo, significando que, quan-
to maior o número de sigmas, a partir da média da distribuição (µ), torna-se
menos provável que um processo produza defeitos.
A tabela a seguir mostra o que significa o Six Sigma, em termos de qualidade
e defeitos por milhão de oportunidades.

capítulo 5 • 121
DEFEITOS POR
ESCALA MILHÃO DE
QUALIDADE
SIGMA OPORTUNIDADES
(DPMO)

6s 99,9997% 3,4 Classe mundial

5s 99,9767% 233

4s 99,379% 6210
Média da
indústria
3s 93,32% 66807

2s 69,1% 308537

Não
1s 31% 690000
competitiva

Tabela 5.1 – Qualidade e defeitos Sigm. Fonte: Material Estácio WebAula.

A metodologia Six Sigma como falamos inicialmente pode ser aplicada para
melhoria de produtos e serviços em empresas de portes pequenos, médio ou
grande.
Usando como referencial o quadro com os resultados obtidos a partir da im-
plantação dos Sigmas, vamos pensar numa empresa de serviços, com contato
direto com o cliente, usando os Seis Sigmas, a reprovação no atendimento
atingiria os mesmos números, 3 ou 4 perdas de clientes por milhão atendi-
dos. Contando com a satisfação de 99,9997% dos clientes.

122 • capítulo 5
CONEXÃO
Atualmente, muito tem se falado sobre o termo Lean Six Sigma. O Lean Six Sigma é uma
integração entre Lean Manufacturing e Six Sigma. O Lean Manufacturing é a busca pela
eliminação de desperdício enquanto o Six Sigma, como vemos, aumenta rendimento e a
lucratividade pela melhoria de qualidade de processos e produtos. Veja mais em (Acesso em
02/02/2015):
http://www.villanovau.com/resources/six-sigma/six-sigma-vs-lean-six-sigma/#.
VQLOLfzF9WI

O Six Sigma difere dos programas de qualidade convencionais porque pro-


põem através de dados estatísticos ações que solucionam problemas de forma
organizada e sistemática, chegando a alcançar quase zero de erros ou falhas. Os
programas de qualidade convencionais trabalhavam em torno da filosofia da
qualidade, propondo treinamentos, a subjetividade dessas ações não resultava
em dados tangíveis.
Como vimos na tabela acima. Esses resultados são mensurados, contabi-
lizados e previstos. Os resultados da aplicação da metodologia são tangiveis,
representados pelo retorno financeiro.
A Governança de TI, segundo (WEILL e ROSS, 2006), implica em conceder
poderes a todos os funcionários da empresa. Os processos de alinhamento per-
mitem que as decisões estratégicas orientem a ações cotidianas. Os processos
de alinhamento proporcionam que experiências do dia a dia com a TI entregue
feedback ao processo estratégico. Os mecanismos de tomada de decisões con-
centram-se em trabalhar estratégias de negócios.

5.4  Six Sigma – Papéis e Responsabilidades


O Six Sigma funciona sob o conhecimento técnico da metdologia alia-
do à operacionalização do trabalho feito pelas pessoas. Para a aplicação da
Metodologia do Six Sigma é preciso definir papéis e responsabilidades:

capítulo 5 • 123
•  Executivo Líder: representado pela alta gerência. Tem como responsabilidades a
implantação do Six Sigm, o compromisso com o sucesso da implantação da estratégia
de melhoria do processo e a condução das iniciativas. Além disto, incentiva e supervi-
siona tais iniciativas e verifica os benefícios financeiros alcançados. Também seleciona
os executivos para desempenhar o papel de campeões;
•  Campeões: tem como responsabilidades a liderança dos executivos-chave, organi-
zar e conduzir o começo, o desdobramento e a implementação do Six Sigma na orga-
nização. Campeões devem dominar o Six Sigma de forma prática e teórica e facilitar as
mudanças necessárias. Serão os responsáveis por definir as pessoas que disseminarão
o Six Sigma na empresa.
•  Master Black Belt: responsáveis pela conscientização e implantação do Six
Sigma na empresa, além de ajudar com as mudanças na organização e ajudar os cam-
peões nos projetos de melhoria. Devem dedicar 100% de seu tempo ao Six Sigma e
estarem preparados para solução de problemas estatísticos, além de treinar e instruir
Black Belts e Green Belts.
•  Black Belts: trabalham sob ordens do Master Black Belt e devem possuir algumas
habilidades como bom relacionamento interpessoal e comunicação, devem buscar al-
cançar resultados e possuir influência no setor em que atuam, além de saber trabalhar
em equipe. Black Belts devem possuir conhecimento técnico avançado na área de atu-
ação, pois aplicarão as ferramentas e conhecimentos em projetos específicos. Normal-
mente, recebem treinamento amplo em técnicas estatísticas e treinam os Green Belts.
•  Green Belts: estão na chefia intermediária da organização. Os Green Belts executa-
rão as tarefas do Six Sigma em seu cotidiano e auxiliarão os Black Belts na coleta de
dados e experimentos.

5.5  DMAIC
O ciclo DMAIC é a metodologia adotada na solução de problemas. A sigla
representa:

•  D – Define (definir), •  I – Improve (melhorar),


•  M – Measure (medir), •  C – Control (controlar).
•  A – Analyse (analisar),

124 • capítulo 5
Com a utilização dessa sequência de ações é possível melhorar produtos,
serviços e processos. Há semelhanças entre o DMAIC e o PDCA, alguns auto-
res consideram que ambos oferecem métodos similares. Sendo assim, o méto-
do PDCA também trabalha com melhorias, criado na década de 30 por Walter
A. Shewart, foi popularizado somente nos anos de 1950, por William Edward
Deming. A metodologia ganhou reconhecimento mundial por ter sido aplica-
da no Japão após a devastação da segunda guerra mundial, sendo considerado
junto com o Programa de Qualidade 5S, relevantes motriz para o desenvolvi-
mento estratégico das empresas japonesas.
A sigla PDCA refere-se a:

•  P – Plan (Planejar)
•  D – Do (Executar)
•  C – Check (Checar, verificar)
•  A – Act (Atuar, agir)

Essa metodologia trabalha em ciclo contínuo e auxilia tanto na implantação


de novos projetos como na solução de problemas. No DMAIC, Pande, Neuman
e Cavanagh (2001) indicam estratégias na filosofia Seis Sigma:

•  Estratégia de melhoria do processo: que visa aplicar soluções que eliminem as cau-
sas-raiz dos problemas que afetam o desempenho de uma empresa, mantendo a es-
trutura básica do processo.
•  Estratégia de projeto/reprojeto: visa trocar parte ou todo o processo por outro refor-
mulado.

A metodologia DMAIC (Define, Mesure, Analyse, Improve, Control) é


uma interpretação do Seis Sigma baseada no ISO 9000 e no TQM (Teoria da
Qualidade Total). Sua implantação está alicerçada nas análises estatísticas
como ferramenta central, que integra outras várias ferramentas de controle de
qualidade seguindo as cinco fases bem determinadas.

capítulo 5 • 125
Define
(definir)

Control Measure
(Controlar) (medir)

Improve Analyse
(Melhorar) (Analisar)

Tabela 5.1 – Cinco fases DMAIC. Fonte: Material Estácio WebAula.

•  Definição: são definidos processos cujos desempenhos podem comprometer con-


sideravelmente a conquista das metas estratégicas e que perturbam as expectativas
do consumidor. Devem ser identificadas qual o produto, quem é o cliente, e quais suas
expectativas.
•  Medição: Escolhidos os processos que devam ser melhorados, analisa-se a capa-
cidade dos processos atuais que serão melhorados, e suas condições de atender os
produtos e processos de acordo com as exigências definidas. Acontece a execução do
mapa de processo e a elaboração da matriz de causa e efeito. No término dessa etapa,
percebe-se as fases críticas do processo e são elencados uma seleção de variáveis do
processo que serão melhor analisadas. Essa fase define quais pontos críticos devem
ser atacados primeiro.
•  Análise: Chegando a essa etapa já se tem definida o que e quais processos devem
ter prioridade. Agora, são mapeados as causas raízes de defeitos e seus impactos.
•  Melhoria: Após, a identificação, medição e análise é hora de executar a melhoria,
são desenvolvidas soluções para alterar o processo defeituoso e reduzir significativa-
mente os níveis desses defeitos.

126 • capítulo 5
•  Controle: Essa etapa mantém a melhoria aplicada, pois é através do controle esta-
tístico do processo com medições e monitoramento que mantem-se a performance do
desempenho alcançado.
•  Considera-se que a melhoria contínua se dá pela aplicação do DMAIC para outros
projetos ligados aos mesmo processos, e não ficar revisando projetos já concluídos.
Outras ferramentas do Six Sigma como o Design for Six Sigma e o DMADV viabilizam
sucessivos aperfeiçoamentos até que todas as correções e intervenções sejam apli-
cadas.

5.6  DFSS
Enquanto que o ciclo DMAIC é a metodologia adotada na solução de problemas.
A metodologia DFSS (Design for Six Sigma) trata da qualidade no projeto de no-
vos produtos, sendo aplicável em processos produtivos ou de serviços e que ao
estarem prontos atinjam o nível de excelência dos Seis Sigmas. O Design para
seis Sigma também serve para a aplicação em processos que apresentam baixo
nível de desempenho, e que a aplicação do DMAIC não seja possível pelo com-
prometimento do processo, sendo assim é necessário um novo design. O DFSS
serve para projetar um novo produto ou serviço, ou reprojetar os já existentes.
O diferencial do DFSS é que a metodologia traz valor ao produto ou serviço
através da inovação e da satisfação das necessidades reais dos clientes. Além de
também melhorar a qualidade e reduzir custo de produção ou serviço. Como o
Design for Six Sigma atua em novos projetos o programa é visto como um facili-
tador no controle de qualidade.

capítulo 5 • 127
5.7  DMAVD
A metodologia DMADV (Definição, Medição, Análise, Projeto e Verificação)
também apresenta cinco fases bem determinadas:

Verify design
Identify functions. Generate and
Define the project performance.
select concepts.
Implement design.

D M A D V
Define Measure Analyze Design Verify

Develop, test/optimise
Determine customer
design components and
requirements and wishes.
complete design.

Figura 5.2 – Metodologia DMADV. Fonte: http://cerasis.com/wp-content/uploads/2013/10/


what-is-lean-six-sigma-dmadv.png.

•  Na “Definição” identifica-se o que será projetado e os objetivos almeja-


dos. A utilização de um quadro de projeto auxilia na execução do projeto man-
tendo o foco da equipe nas diretrizes estratégicas.
•  Na "Medição" analisa-se as expectativas e necessidades dos clientes rela-
tivas ao novo produto ou serviço, mapeando-as e definindo assim, os atributos
que são críticos para a qualidade (CTQ – Controle Total de Qualidade) do proje-
to. Dessa forma, tem-se mapeados os requisitos gerais que a equipe desenvol-
verá, nas próximas etapas.
•  Na "Análise" usa-se a Matriz de Pugh para a definição do melhor conceito
de design entre os disponíveis.
•  No "Design" é realizado o design de alto nível, detalhando cada fase.
Fazem parte dessa etapa a descrição detalhada do conceito do produto ou servi-
ço, mapas de processos e a execução das instalações com equipamentos e ma-
teriais ou suprimentos necessários.
•  A "Verificação" serve para testar e validar o projeto. Nessa etapa, a equipe
irá acompanhar o desempenho dos CTQs (Controle Total de Qualidade) do pro-
duto ou serviço através das cartas de controle.

128 • capítulo 5
O CTQ, Controle de Qualidade Total, busca atender as necessidades de con-
sumo do mercado, definindo a finalidade de uso, o preço de venda, e a oferta do
produto e serviços no mercado.

CONEXÃO
Faça uma leitura com mais detalhes e comparações nas metodologias do Six Sigma:
http://www.camilomarcelino.com/sixsigma.htm

5.8  As 7 Ferramentas da Qualidade


Tratam-se de sete ferramentas básicas de qualidade para auxílio na resolução
de problemas e melhoria de processos. Promovendo a identificação de proble-
mas e obtenção da melhoria contínua nos processos.
1. Fluxograma
2. Diagrama de Dispersão
3. Folhas de Verificação
4. Gráficos de Pareto
5. Diagrama de Causa e Efeito
6. Histograma
7. Cartas de Controle

5.8.1  Fluxograma

Utilizado para representar a execução das atividades num processo, trata-se


de uma das técnicas mais antigas e mais utilizadas para documentação. É um
um diagrama, uma representação esquemática de um processo, feito através
de gráficos que ilustram a transição de informações entre os elementos que os
compõem.

capítulo 5 • 129
Podemos dizer também que trata-se da documentação dos passos necessá-
rios para a execução de um processo.
Por exemplo, a figura a seguir ilustra um fluxograma para representar as
atividades realizadas na empresa ao longo da compra de um produto por um
cliente.

Processo Compra de Produto pelo Cliente


Cliente

Fazer Pedido Pedido Recebido


Comercial
Depto.

Dados do Cadastrar
Cliente Cliente
Financeiro
Depto.

Dados Faturar
Financeiro Pedido
Estoque

Registrar a baixa
no estoque
Logística

Enviar para
Fim
o Cliente

Tabela 5.3 – Exemplo de um Fluxgorama. Fluxograma são uteis para documentação, análise
e primeiros passos para melhoria de processos de negócio e tecnologia da informação, pois
permitem uma visão de como as atividades estão sendo executadas.

130 • capítulo 5
5.8.2  Diagramas de Dispersão

Diagramas de Dispersão ou Gráficos de Dispersão, ou ainda Correlação, são usa-


dos para comprovar relação entre causas e efeitos através de análise quantitativa.

Diagrama de Dispersão - Custo Real x Estimado


7.500
7.000
6.500
6.000
5.500
5.000
4.500
4.000
3.500
3.000
3.000 3.500 4.000 4.500 5.000 5.500 6.000 6.500 7.000 7.500
Custo Aparente Real
Coef. Correlação = 0,94 Primeira Bissetriz

Figura 5.4 – Exemplo de Diagrama de Dispersão . Fonte: http://3.bp.blogspot.com/--VdwZf-


4jZbo/T_sGS8iMUKI/AAAAAAAAA4k/ardzWYe7xTE/s1600/imagem2.jpg

O gráfico permite identificar a correlação entre duas variáveis. Isso pode estar
relacionado a um fator de causa e efeito e será usado na resolução de problemas.

5.8.3  Folhas de Verificação

São formulários para coleta e registro de dados a serem verificados e defini-


dos previamente. Visa facilitar a coleta de dados no processo de investigação
de causas e efeitos. Além de ter como função dispor os dados de forma mais
organizada.

capítulo 5 • 131
COMPONENTE: CONJUNTO ABC SEÇÃO: LINHA DE MONTAGEM

132 •
PROCESSO DE TRABALHO: MONTAGEM DATA DA PRODUÇÃO: 30/03/05
QUANTIDADE PRODUZIDA: 1.000 PEÇAS INSPETOR:

Tipo de Frequ do % %
Tabulação Class
defeito item individual acumulada

capítulo 5
Alinhamento ///// ///// // 12 6° 06%

Solda ///// ///// ///// ///// / 21 5° 10%

Parafuso
///// ///// ///// ... ///// /// 68 1° 34%
solto

Junção ///// ///// ///// 15 5° 07%

lugli.com.br/wp-content/uploads/2008/02/pareto1.png
Sujeira ///// ///// ///// ... ///// / 41 2° 20%

Riscos ///// ///// ///// ... ///// //// ///// ///// 29 3° 14%

Trinca ///// ///// 10 7° 05%

Rebarba ///// / 06 8° 03%

Bolha / 01 9° 01%

Totais 202 – 100%

Tabela 5.2 – Exemplo de Folha de Verificação para Defeitos em Peças. Fonte: http://www.
5.8.4  Gráficos de Pareto

Gráficos de Pareto, propostos por Vilfredo Pareto, um economista e sociólogo


italiano, estabelecem o princípio ou Regra 80-20. Os gráficos visam a análise dos
problemas e identificação das causas essenciais, pois, de acordo com pesquisas:
•  80% das causas triviais são responsáveis por cerca de 20% dos resultados
mais importantes
•  20% de causas essenciais são responsávies por 80% dos resultados mais
importantes

Causas/Ações Efeitos/Resultados

20%

80%
triviais
80%

20%
triviais

Figura 5.6 - Princípio de Pareto. Fonte: (MARANHÃO e MACIEIRA, p. 171,2004).

5.8.5  Diagrama de Causa e Efeito

O Diagrama de Causa e Efeito foi criado por Kaoru Ishikawa na década de 1940.
Também é chamado de Diagrama Ishikawa ou Espinha de Peixe. No diagrama,
estabelece-se uma região de causas e uma região de efeitos. O trabalho de aná-
lise consiste em conectar uns aos outros e tentar identificar a origem, ou as ori-
gens do problema (efeito) em si.

capítulo 5 • 133
Atitude do Espera
garçom
Longa espera para
Rude fechamento de conta
Computador
Confusa fora do ar
Apressado Muitas
mesas Garçom inexperiente
Espera desconfortável por mesa
Assentos na
Mau atendimento Treinamento área de espera
nas mesas inadequado
Efeito
Tapetes sujos
Comida servida fria
Treinamento Sala de jantar fria
da faxineira
Garçons incertos sobre Programa inadequado
quando a comida esta pronta de limpeza
inadequado Janelas abertas
Sistema de notificação
do garçom inadequado

Comida Ambiente

Tabela 5.7 – Exemplo de Diagrama de Causa e Efeito para atendimento de Reclamações de


clientes num restaurante. Fonte: www.ogerente.com.br/qual/dt/qualidade-dt-diagrama_cau-
sa_efeito.htm

Veja que as causas do exemplo foram organizadas em subsistemas lógicos


(módulos) específicos para cada atividade do restaurante. Cada módulo possui
as suas causas, como mostra a figura. O nível de detalhe depende da abrangên-
cia do problema.

5.8.6  Histograma

O Histograma é uma ferramenta para a visualização gráfica da distribuição de


freqüências ou probabilidades dos resultados da execução (no caso de freqüên-
cia) de um processo e análise de comportamento deste processo (usado em
Cartas de Controle).
Por exemplo, na figura a seguir é mostrada a distribuição do Índice de Massa
Corporal de um grupo de pessoas que foi monitorado.

134 • capítulo 5
Indivíduo
“fora da curva”

16 18 20 22 24 26 28 30 32 34 34 36 40
x = 25
Magreza “Normalidade” Obesidade
LIE LSE
Legenda: LIE = Limite Inferior Especificado
LSE = Limite Superior Especificado

Figura 5.8 – Exemplo de Histograma . Fonte: (MARANHÃO e MACIEIRA, 2004) página 176

5.8.7  Cartas de Controle

As cartas de controle são construídas baseadas em históricos do processo e


possibilitam a supervisão do sistema. Através de amostragens registradas ao
longo do processo podemos aferir resultados, com um conjunto de dados em
mãos calculam-se as estatísticas (média, amplitude, variância) que devem es-
tar de acordo com os limites definidos nas cartas ou gráficos. São usadas para
mostrar as tendências observadas de um processo num período de tempo. Elas
funcionam como informações de tendência com acréscimo de limites de con-
trole. Os limites de controle são calculados aplicando-se fórmulas aos dados do
processo.

De maneira bem resumida, as cartas de controle referem-se a um conjunto de histogra-


mas calculados sobre dados observados ao longo de um tempo.

capítulo 5 • 135
po
o tem
h ad
Lin

10 h - Histograma das 9h

9 h - Histograma das 9h

8 h - Histograma das 8h

Eixo da característica medida

Figura 5.9 – Compreensão das Cartas de Controle. Fonte: (MARANHÃO e MACIEIRA, p.


178, 2004).

O histograma, como vimos, reflete uma análise dos dados coletados.


Imagine que estes dados são informações de um processo produtivo. Logo, de
maneira estática, olhando para um histograma podemos ver o comportamento
do processo e verificar se obedece a uma curva normal.
Processos são dinâmicos, ou seja, seus resultados têm variações (mesmo
que pequenas) ao longo do tempo.
Ao verificar o histograma com dados do processo (indicadores) a partir
de amostras de resultados é possível verificar se o processo encontra-se “Sob
Controle” ou “Fora de Controle”:

•  Processo sob controle: causas especiais foram eliminadas e o processo permanece


estável ao longo do tempo, ou seja, a média e a variabilidade permanecem estáveis ao
longo do tempo.
•  Processo fora de controle: existe variação da média e da dispersão e isto ocorre
devido à presença de causas especiais no processo.

136 • capítulo 5
Controle do Processo
17h
16h
15h
po
em
doT
ha
Lin
b) Sob controle
(causas especiais eliminadas)
10h
9h a) Fora de Controle
(presença de causas especiais)
8h

Eixo dos Tamanhos das Peças

Figura 5.10 – Controle do Processo. Fonte: (MARANHÃO e MACIEIRA, p. 183, 2004).

Os processos de negócio são influenciados por dois tipos de causas ou fa-


tores: as causas especiais e as causas comuns (ou determináveis). As causas es-
peciais são fatores que não podem ser explicados facilmente e, normalmente,
são imprevisíveis. São fatores que não fazem parte do sistema. Muitas vezes a
presença de uma única causa entre as especiais provocará uma variação muito
grande no processo, tornando-a facilmente detectável. Por exemplo, matéria-
-prima (insumo) ruim pode resultar num produto final de péssima qualidade
(muitos itens não-conformes às normas estabelecidas).
Já as causas comuns são variações que fazem parte do sistema. São causas
também chamadas de aleatórias. Este tipo de causa está sempre presente e di-
ficilmente desaparecem. No entanto, são causas facilmente detectáveis e que
podem estar sob controle na execução do processo.
As cartas de controle, usadas para verificar se um processo encontra-se sob
controle estatístico são formadas por 3 linhas básicas:

•  LM = Linha Média – valor provável ou esperado do processo


•  LSC = Limite Superior de Controle – maiores resultados esperados do
processo
•  LIC = Limite Inferior de Controle – menores resultados esperados do
processo

capítulo 5 • 137
Podemos adicionar também 2 outras linhas que são o Limite Superior de
Especificação (LSE) e Limite Inferior de Especificação (LIE). São valores impos-
tos pela especificação do produto ou serviço e não medidos no processo. São
usados para verificar se o processo está dentro da norma exigida.

LSE
LSC
Média
Medições (Y)
LIC
LIE

Tempo (X)

Figura 5.11 – Limites para Verificação do Processo

Um processo estará sob controle se todos os pontos medidos estiverem den-


tro dos limites estabelecidos e se a disposição dos pontos for aleatória.
Um processo não estará sob controle se houver periodicidade em intervalos
regulares de tempo, ou se houver tendências para cima ou para baixo, ou ainda
se houver mudanças no desempenho do processo.
Veja um exemplo de uma medição para um processo de produção de pistões
automotivos. A medição leva em consideração o diâmetro das amostras. Veja
que o processo está dentro dos limites estabelecidos.

74.0180
Medida do Diâmetro – X

LSC = 74.0135 Limite Superior de Controle = LSC


74.0135
74.0090
74.0045
74.0000 LM
73.9955
73.9910
LIC = 73.9865 Limite Inferior de Controle = LIC
73.9865
73.9820

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
Número da Amostra
Carta de controle para o diâmetro de um pistão automotivo

Figura 5.12 – Processo sob Controle. Fonte: (MARANHÃO e MACIEIRA, p. 185, 2004)

138 • capítulo 5
Como já comentamos, as cartas de controle apresentam de maneira dinâ-
mica o comportamento do processo (ao longo do tempo, ou seja, a cada amos-
tragem) e podemos, de maneira resumida, usá-las para:
•  Reduzir a variabilidade de um processo
•  Monitorar seu desempenho ao longo do tempo (amostragens)
•  Permitir a correção do processo
•  Detectar tendências e pontos fora de controle.

ATIVIDADES
Nestas atividades separei algumas leituras e questões para vocês:
Faça essas leituras (Acesso em 01/02/2015):
http://www.producao.ufrgs.br/arquivos/disciplinas/388_apostilacep_2012.pdf
http://redsang.ial.sp.gov.br/site/docs_leis/pd/pd11.pdf

A) E responda:

01. Qual o objetivo das Cartas de Controle?

02. O que são causas comuns? E causas especiais?

03. O que é um processo estável? E um processo instável?

04. Como você definiria LC, LSC e LIC?

B) Sobre o Six Sigma:

01. Qual a diferença entre DMAIC, DMAVD e DFSS?

02. Apresente de forma concisa os papéis e responsabilidades no Six Sigma.

C) Faça o tutorial abaixo para criar histogramas no Excel:


http://support.microsoft.com/kb/214269/pt-br

capítulo 5 • 139
REFLEXÃO
A melhoria de processos é pilar fundamental da Governança. Práticas especiais são encon-
tradas no Six Sigma. Como reflexão, sugiro que pense e investigue como as empresas tem
adotado esses processos no Brasil tanto na gestão de empresas públicas quanto privadas.
Comente sobre o desempenho de uma empresa brasileira que adotou o Six Sigma em
relação a suas concorrentes.

LEITURA
Para complementar os conhecimentos apresentados sugiro a leitura do texto: “Aplicação do
programa Seis Sigma no Brasil: resultados de um levantamento tipo survey exploratório-des-
critivo e perspectivas para pesquisas futuras” disponível em:
http://www.scielo.br/pdf/gp/v14n2/01.pdf com acesso em 01/02/2015.
Trata-se de um trabalho sobre resultados de um estudo de campo para levantar práticas
relativas à adoção do programa Six Sigma em empresas que o adotaram.

REFERÊNCIAS BIBLIOGRÁFICAS
PANDE, P.; NEUMAN, R.; CAVANAGH, R. Estratégia Seis Sigma: como a GE, a Motorola e outras
grandes empresas estão aguçando seu desempenho. Tradução: Cristina Bazán Tecnologia e
Lingüística. Rio de Janeiro: Qualitymark, 2001.
FERNANDES A. A.; ABREU V. F. Implantando a Governança de TI: da estratégia à gestão dos
processos e serviços. Brasport, 2008.
MARANHÃO, M.; MACIEIRA, M. E. B. O processo nosso de cada dia: modelagem de processos de
trabalho. Rio de Janeiro - RJ: Qualitymark, 2004.
SMITH, B.; ADAMS, E. LeanSigma: advanced quality. Proc. 54th Annual Quality Congress of the
American Society for Quality, Indianapolis, Indiana, maio, 2000.
WEILL P.; ROSS W. J. Governança de Tecnologia da Informação. Makron Books, São Paulo, 2006.
WERKEMA, M. C. C. (2002). Criando a cultura Six Sigma. Série Six Sigma Volume 1. Rio de Janeiro:
Qualitymark, 2002.

140 • capítulo 5
GABARITO
Capítulo 1

01. Os indicadores apresentados são Market Share e Lucro Operacional. Lucro é o retorno
positivo sobre um investimento, no caso, a empresa. O Lucro Operacional é lucro sobre o fun-
cionamento da empresa. O Market Share é a participação da empresa no mercado em que
atua. Assim, no quadro, foram estabelecidas metas de aumento do lucro ao ano (em 15%)
e aumento de 10% na participação de mercado. Isto, com ações como abertura de novos
pontos de venda, opções de crédito.
02. As metas estão diretamente relacionadas aos objetivos, pois constituem as formas de
alcança-los, através da estratégia. Por exemplo, melhorar o atendimento ao cliente foi tradu-
zido em metas de máximo de 5% de reclamações por clientes atendidos.

Capítulo 2

01. a
02. c

Capítulo 3

01. e
02. e
03. a
04.
a) falso
b) falso
c) verdadeiro
d) falso
e) falso
f) falso

capítulo 5 • 141
Capítulo 4

01. c
02. b

Capítulo 5

a)
01. É uma técnica estatística aplicada à produção para reduzir de forma sistemática a varia-
bilidade nas características da qualidade e contribuir para melhorar a qualidade do resultado
de um processo.
02. Causas Comuns são fontes de variação atuando de forma aleatória no processo. São
tratadas como varialibidade inerente ao processo, um padrão natural decorrente do próprio
processo em si. Causas Especiais não seguem padrão aleatórios e não são pequenas cau-
sas, consistindo em falhas de operação.
03. Processo Estável apresenta apenas Causas Comuns pois a variabilidade é a mesma ao
longo do tempo; Processo Instável apresenta Causas Especiais.
04. Limites Superiores e Inferiores de Controle (LSC e LIC) são limitações impostas pelo
padrão de qualidade exigido. O processo deverá atender tais limites. Limite de Controle (LC
ou LM) é o limite da média do processo.

b)
01. O DFSS é o design, a metodologia para ser aplicada em processos produtivos ou execu-
ção de serviços. DMAVD é o ciclo para criação de um novo design de produto ou processo e
o DMAIC é usado para processos de negócio existente.
02. Executivo Líder implanta o Six Sigma, Campeões lideram os Master BB, Master Black
Belts conscientizam a implantação ajudam campeões, Black Belts buscam os resultados,
Green Belts executam tarefas cotidianas do Six Sigma.

142 • capítulo 5
ANOTAÇÕES

capítulo 5 • 143
ANOTAÇÕES

144 • capítulo 5

Você também pode gostar