Apresentação

WBA0049_v2.
GOVERNANÇA EM TI
Patrícia Bonezi Nunes da Mota
Governança em TI
1ª edição
Londrina
Editora e Distribuidora Educacional S.A.
2019
2
Autoria: Profa. Patrícia Bonezi Nunes da Mota.
Revisão: Prof. Washington Henrique Carvalho Almeida.
Como citar este documento: MOTA, Patrícia Bonezi Nunes da. Governança em TI.
Valinhos: 2019.
2019
Editora e Distribuidora Educacional S.A.
Avenida Paris, 675 – Parque Residencial João Piza
CEP: 86041-100 — Londrina — PR
e-mail: editora.educacional@kroton.com.br
Homepage: http://www.kroton.com.br/
3
GOVERNANÇA EM TI
SUMÁRIO
Apresentação da disciplina 5
Governança em TI: preparado para a mudança? 6
Modelos de governança e compliance 26
ITIL: um modelo de governança 42
ITIL: modelo de serviços, como implantar? 60
COBIT: o cubo na estratégia das empresas 76
Gestão de projetos e os modelos ágeis 92
Visão geral de compliance: COSO e resultados 107
4
Apresentação da disciplina
A disciplina de Governança em TI se apresenta com o objetivo de

trabalhar os conceitos de Governança Corporativa e Governança de TI.
Para tanto, traz as normas, processos e indicadores de desempenho
para a área de TI, a fim de que os líderes e gestores possam entender
as diferenças e aplicabilidades.
Também trabalha com o conceito das melhores práticas em processos

e serviços de TI, utilizando os guias de gestão: Cobit (Control Objectives
for Information and Related Technology), para que as lideranças extraiam
por meio de indicadores os valores para a tomada de decisão e ITIL
(Information Technology Infrastructure Library), como forma de organizar
a TI e seus serviços, permitindo que o dia a dia da empresa seja
administrado e acompanhado e, desta forma, traga os resultados para
que o Cobit também produza seus resultados.
Apresentar os conceitos de modelos ágeis, com o Scrum como

modelo de gestão e governança. Entender que as empresas agora
não mais conseguem esperar dois anos para que os projetos
aconteçam. Os modelos e metodologias ágeis chegaram para que
os resultados de projetos apareçam em menor tempo.
Apresentar a ISO 38500 e o COSO, como governança e risco.

Ao final, portanto, você conseguirá estabelecer uma relação
entre governança corporativa e a Governança de TI, entender as
melhores práticas de mercado e escolher quais poderá utilizar a
fim de atingir resultados esperados.
5
Governança em TI:
preparado para a mudança?
Autora: Patrícia Bonezi
Objetivos
• Apresentar o tema Governança, na perspectiva de TI.
• Apresentar as características e diferenças entre

Governança de TI e Governança Corporativa.
• Apresentar ITIL, CobiT, ISO38500 e COSO,

bem como os seus respectivos benefícios.
6
1. Governança na perspectiva da TI
Esta leitura fundamental tem como objetivo preparar o aluno para

entender o conceito de governança, as diferenças sobre governança
de TI e corporativa e, também, quais os benefícios e dificuldades de
cada uma delas.
O texto também busca apresentar alguns modelos e ferramentas

que possam sustentar a implantação mínima possível segundo as
necessidades da empresa. Mas, ao mesmo tempo, permita a evolução
ao longo do tempo, considerando as mudanças que possam impactar
o negócio, os momentos de pivotagem ou mesmo o alcance de outros
patamares de atuação.
PARA SABER MAIS

O livro aborda o tema governança em TI com muita
experiência e maturidade, apresentando uma visão
integrada e inovadora na forma de exemplificar as formas
de se fazer gestão em TI e apresentar diferentes soluções
de governança, presente nos ambientes organizacionais.
Leia o livro: FERNANDES, Aguinaldo Aragon; ABREU, Vladimir
Ferraz de. Implantando a Governança de TI: da Estratégia
à Gestão dos Processos e Serviços. 4. ed. São Paulo:
Saraiva, 2014.
2. Governança em TI e seus benefícios:

preparado para a mudança?
A tecnologia permeia as corporações e está intimamente ligada aos

negócios. Conforme aponta Fernandes (2014), as empresas hoje
7
entendem que tecnologia faz parte do negócio e do sucesso e estão
convencidas de que, para se tornarem competitivas, os empresários têm
que investir em tecnologia e, somente desta forma, estar à frente dos
concorrentes diretos e indiretos.
Quando se fala em tecnologia, o assunto gira em torno de sistemas,

redes, banco de dados, telecomunicações e, também, necessariamente,
dinheiro para investimento nesses itens.
Falando especificamente em desenvolvimento de sistemas, os itens

supracitados trazem conforto e permitem agregar valor às empresas
e ao portfólio de produtos ou serviços ofertados. Mas, além disso,
permitem que as ações das empresas listadas na Bolsa de Valores,
por exemplo, ganhem expressividade, e este dinheiro empenhado em
tecnologia, então, possa ser chamado de investimento.
Não obstante, a grande questão quando se fala de sistemas é entender

o quão abrangente este assunto é para as empresas e seus aportes
financeiros. O quanto realmente se precisa e quer investir em sistemas,
além de como e quais sistemas são realmente necessários. A dificuldade
está em entender o que é realmente necessário e não fazer a aquisição
de tecnologias somente por uma questão de mercado ou tendência, ou
porque o concorrente está investindo em tecnologia, pois nem sempre
atenderá às necessidades específicas da empresa. A análise dever ser
baseada em saber aonde se quer chegar por meio do investimento em
TI e no que investir.
Para tornar o processo mais assertivo em termos de tomada de decisão,

portanto, as primeiras reflexões devem ser: aonde se quer chegar? Qual
é o patamar ideal para colocar a empresa? Quanto de investimento será
necessário? Qual o retorno e em quanto tempo?
Normalmente, estas respostas devem estar atreladas ao momento

econômico do país, do mundo, do produto que se fabrica e comercializa,
para onde vai o mercado em que se atua para, depois, então, conseguir
respostas assertivas para embasar a tomada de decisão.
8
A governança atende a estas questões, mas, para isso, é necessário
entender o que é TI, o que abrange e quais modelos e ferramentas se
tem disponível para atingir tais respostas.
No início deste movimento de informatização e tecnologia, a ideia e a

vontade era automatizar o que era feito manualmente para se ganhar
tempo com o que poderia ser substituído pela máquina e, também, ser
realizado suprimindo erros humanos.
A ocasião remete à década de 1950, no século passado, onde os

computadores eram do tamanho de uma sala de jantar e serviam como
grandes calculadoras que armazenavam os dados e os transformavam
em informações.
De outro modo, ainda na década de 1950, somente as grandes empresas

investiam em tecnologia, pois era caro e não se sabia ao certo para que
usar aquela “traquitana” toda.
Não se acreditava, naquela época, que os computadores estariam

nas casas das pessoas e muito menos nas mãos – formato que hoje
chamamos de smartphones ou mesmo tablets –, pois eram muito caros
e grandes.
Na ocasião, as empresas que conseguiam ter acesso a estes

computadores pagavam grandes somas de dinheiro para ver sua
empresa automatizada. E, portanto, os computadores, com toda a sua
capacidade de processar a informação, era privilégio dos grandes.
A capacidade de informatizar, automatizar e ter os computadores

fazendo coisas que os humanos faziam, cobravam para isso e ainda
muitas vezes erravam, caiu no gosto dos empresários. Desta forma,
cada vez mais os computadores com o mínimo de inteligência, mas
bastante programação para a automação, começaram a substituir a
mão de obra humana.
9
Ao final do século XX, a microinformática entrou em definitivo nas
empresas, mesmo que inicialmente de forma não organizada, e passou
a ocupar posições estratégicas para que o humano dependesse cada
vez mais da informação gerada por essas máquinas. Tornaram-se
computadores de mesa, estações de trabalho, tablets e celulares, e
entraram nos lares também, com seus aplicativos que substituíram a
máquina de escrever.
A evolução da tecnologia não para e não existe mais possibilidade

de reversão desse processo. Então, o jeito é entender e fazer uso da
tecnologia da melhor forma, como aliada, para conseguir que a empresa
obtenha lucros maiores e esteja dentro das normas mundiais, para que
possa se posicionar entre as melhores do mundo no segmento.
Ainda no atual contexto, o mundo globalizado não permite que as

empresas tenham um endereço físico, mas sim tenham um endereço
eletrônico e atendam seus clientes em casa, por meio do e-commerce, e
para tanto, dependam sim da tecnologia como parte do negócio.
Mas essa necessidade de estabelecer negócios e comercializar pela

internet passou por um processo evolutivo e até chegar no e-commerce
sofreu uma evolução dos sistemas.
Há 20 anos, quando o assunto era sistema, a moda nas empresas

eram os sistemas de gestão, sistemas que surgiram para interligar os
departamentos e consolidar os dados a fim de que os empresários e
pessoas que tomavam decisões pudessem ter informações à mão, para
decidirem o que comprar ou vender na empresa. Conforme Pinheiro,
as organizações sabiam, por meio dos sistemas ERP (Enterprise Resource
Planning), o quanto a empresa faturava e o que seria mais lucrativo para
fazer o planejamento estratégico dos próximos anos.
Os sistemas, até então, traziam de forma ordenada a informação que

permitia a tomada de decisão. Mas como organizar esta informação
para que ela, de fato, trouxesse algum valor para as empresas?
10
10
Bom, para que estes sistemas ERP funcionassem, havia necessidade de
interligar toda a infraestrutura via cabos e redes.
As redes, portanto, foram criadas para interligar os computadores e

permitir a troca de informações. Conforme Tanembaum, outra função
da rede é para o compartilhamento de periféricos e, assim, conseguir
imprimir usando uma única impressora para vários computadores.
Em linhas gerais, o investimento em infraestrutura contempla
estrutura física e de redes de computadores de uma empresa.
Com o advento da internet, a infraestrutura está cada dia mais

presente nas empresas e figura como um investimento necessário para
comportar e permitir ter a informatização necessária.
3. Governança em TI, o que muda?
Os assuntos “banco de dados” e “telecomunicações” são dois itens que

fazem parte de tecnologia presente nas empresas. Em outras épocas, a
preocupação com eles era bem menor e o investimento também.
Na busca de um resultado melhor, o investimento em tecnologia cada

vez mais foi aumentando nas empresas e agora a maioria delas enxerga
que o negócio deles muitas vezes é TI e que dependem de tecnologia
para serem competitivos.
Desta forma, a necessidade de controles, de pontos de verificação,

de estarem dentro de normas e padrões exigidos pelas ISO’s e
de outras certificações que garantam a qualidade dos produtos
e serviços prestados e entregues fez com que se estabelecesse a
governança nas empresas e para que a governança possa ser seguida
e estabelecida, as pessoas envolvidas, gestores, clientes, acionistas
e pessoas interessadas nestas empresas devem trabalhar dentro da
conformidade e a todo tempo obedecer a normas que foram um dia
propostas e aceitas por todos.
11
A governança deve ser divulgada a todos os envolvidos, em uma
linguagem clara e de fácil compreensão – ter uma cartilha em um
formato de política para que seja entendida – e deve também ser
seguida após ter sido acordada entre todos.
Na governança em TI, o que muda? A governança em TI é parte

da governança corporativa e deve estar alinhada e apoiada pelas
lideranças, para ser cumprida como prometido nas certificações
(FERNANDES, 2014).
Toda governança está ligada na forma de gerir uma empresa ou mesmo

uma área, e uma forma de fazer isso é usar a tecnologia como meio.
De acordo com o autor Fernandes (2014), governança significa governar,

mas o conceito em si extrapola tal definição. É preciso governar de
acordo com as normas, leis e padrões definidos pelas regras de uma
sociedade. Ou melhor, estar inserido na sociedade, respeitando as
normas e padrões definidos como corretos.
A governança requer disciplina e acompanhamento do que se pretende

fazer sobre a gestão e seus resultados. Estar alinhado à governança é
muito mais do que simplesmente seguir as normas, mas sim trabalhar
alinhado para que as normas sejam convertidas em resultados.
Desta forma, a governança de TI faz parte da governança corporativa.

Não é uma questão de diferenças, mas entender duas práticas de
governança implica em uni-las para que se atinja melhores resultados.
Nesse ponto, torna-se fundamental entender o papel da TI nos modelos
de gestão (MOLINARI; RAMOS, 2015).
A governança corporativa define um padrão que as empresas são guiadas

ou mesmo as organizações são dirigidas e gerenciadas. Apesar da
definição de cada uma das governanças, em TI ou mesmo a corporativa,
estar interligada, cada uma delas possui seus próprios objetivos.
12
12
Dentro da governança corporativa, as boas práticas regem que a
transparência nos processos deve envolver acionistas, diretores,
auditores, conselho fiscal e a sociedade, que invariavelmente
participam da empresa.
No meio corporativo, a governança de TI foi elaborada com o

objetivo de planejar e elaborar meios e estratégias para ter vantagens
competitivas. Nesse ínterim, as ferramentas de TI implantadas em uma
empresa têm a missão de conseguir fazer com que isso aconteça.
Algumas práticas que cabem dentro das melhores práticas do mercado,

para a TI, permitem que se criem serviços absolutamente confiáveis e
disponíveis de forma que se alcance excelência, tornando a empresa
mais competitiva.
Para que se aumente esta competitividade e os melhores processos

sejam garantidos dentro de uma corporação, existem algumas
ferramentas e modelos que são recomendados. De outro modo, a
utilização de ferramentas, modelos ou frameworks é necessária para
colocar a empresa em outro patamar no mercado.
Mas vale ressaltar que, enquanto ferramentas e modelos, não é possível

estabelecer uma solução pronta, mas sim citar modelos a serem
seguidos para se atingir os resultados perseguidos, permitindo que a
empresa tenha lucro e se posicione de forma diferente no mercado.
Estas ferramentas são importantes para a geração e controle da

qualidade dos serviços. Garantir a qualidade dos produtos e serviços
significa permitir que o alinhamento dos recursos - como softwares e
sistemas – esteja alinhado aos objetivos da empresa.
Estas ferramentas, quando implantadas, devem ser utilizadas e

respeitadas por todos os envolvidos na empresa. O resultado só
aparecerá se estas ferramentas forem utilizadas pelos usuários,
gestores, diretores, acionistas e outras pessoas interessadas
na empresa.
13
Dentre as ações que são descritas nos modelos e ferramentas para a
governança de TI, estão aquelas que também garantem a segurança
de informação nos processos executados dentro de uma empresa.
A segurança garante a confiabilidade, integridade e segurança dos
dados que são trabalhados e gerados pelas empresas.
A ISO 27000 é uma forma de garantir essa integridade e

confiabilidade com segurança, garantindo que os dados gerados
são reais e que podem ser utilizados como forma de aferir o valor
da empresa e suas ações. Mas, novamente, as ações de segurança
que estarão descritas na ISO 27000 devem ser seguidas dentro do
contexto que elas foram descritas e pactuadas com os auditores na
certificação ou na recertificação. Portanto, se uma empresa já possui
uma das certificações da ISO, no caso a 27000, tudo fica mais fácil
para a governança.
4. Modelos e ferramentas
Estes modelos e/ou ferramentas propostos para a governança de TI

atendem propósitos específicos, e cada um deles atende a diferentes
requisitos e entregam resultados específicos. Por vezes, alguns deles
são complementares e trabalham juntos para que faça sentido os
resultados apresentados.
A seguir, uma lista com alguns modelos para apoiar os resultados

esperados na governança em TI:
4.1 ITIL (IT Infrastructure Library)
Uma biblioteca de melhores práticas para a entrega e operação de

serviços de TI, utilizando bibliotecas separadas por módulos focados
em serviços.
14
14
Figura 1 – ITIL (IT Infrastructure Library)
Fonte: elaborada pelo autor.
Este modelo funciona em empresas de serviços de tecnologia ou

para mapear e validar os serviços prestados no Service Desk de
qualquer empresa.
O objetivo do Service Desk é centralizar, controlar e aplicar as definições

da ITIL na gestão estratégica e planejada de serviços de TI, centralizando
os registros e as necessidades de uma empresa em um único lugar
para manter um controle sobre o que foi feito, mantendo as análises
e acompanhamento do atendimento e da resolução dos problemas,
mapeando os dados e informações do atendimento.
Deve ser implantado com uma ferramenta (ou sistema) de tecnologia

para que os usuários possam abrir as solicitações e ter suas
necessidades em sistemas e tecnologias resolvidas e, desta forma,
mapeado o que foi solicitado pelos usuários e como foram tratadas e
resolvidas as demandas.
15
4.2 COBIT (Control Objectives for Information and related Technology)
Este framework complementa-se com o ITIL na governança de TI e

contempla recursos atrelados ao sumário executivo, controles, mapas
e indicadores de metas, além de um guia de gerenciamento. Ele
acompanha a governança de TI e deve ser utilizado para garantir a
qualidade dos serviços de TI.
Figura 2 – CoBIT (Control Objectives for Information and related Technology)
Fonte: elaborada pelo autor.
Este modelo é comumente recomendado por especialistas da área de

tecnologia, atende aos líderes e gestores da empresa, dando subsídios
para tomada de decisões e também será detalhado mais adiante.
A seguir, as 5 áreas de foco do Cobit:
• Alinhamento estratégico;
• Entrega de valor;
• Gerenciamento de riscos;
• Gerenciamento de recursos;
• Mensuração de desempenho.
16
16
4.3 SOX (Lei Sarbannes-Oxley)
A SOX é a abreviação de uma lei norte-americana de 2001, que tem o

objetivo de regulamentar a atuação de empresas que querem colocar
suas ações para serem comercializadas na bolsa de valores americana.
Esta lei surgiu após problemas com a bolha de internet e o problema

da Eron e, consequentemente, a quebra de algumas empresas que não
garantiam lastro nas ações que vendiam e quando eram comercializadas
nem sempre valiam o que falavam que valiam.
A regulamentação exige que todas as áreas da empresa estejam dentro

da conformidade e não seria diferente para a área de TI. Os requisitos
determinados nesta lei devem estar implantados na empresa e ser
seguidos de acordo.
4.3 PMI (Project Management Institute)
O PMI é um instituto norte-americano que elabora, há anos, um

modelo de gestão de projetos que passa por evolução constante.
Este modelo de gestão atende a gerenciamento de projetos na
área de TI ou em outra qualquer. Para tanto, existe um manual de
boas práticas, chamado o body of knowledge em Gerenciamento de
Projetos (PMBoK), que serve como um guia de melhores práticas em
gestão de projetos.
Para ser um profissional de gestão de projetos, entende-se que

a certificação do PMI, a mais conhecida chamada PMP (Project
Management Professional), é essencial. Esta certificação evolui de
tempos em tempos e é necessária mantê-la.
17
Figura 3 – Modelos ágeis (Scrum)
Fonte: pixabay.com.
Métodos ágeis surgiram na engenharia de software para melhor

desenvolvimento de sistemas. E, como o sucesso deste foi grande,
passou a integrar a lista de modelos de gestão de projetos.
Por ser ágil, ele tem a missão de finalizar e entregar de forma que se
adapte a mudanças e entregue qualquer projeto. As análises e pontos
de verificação, por sua vez, são diários e permitem uma correção de rota
rápida antes de comprometer as entregas, prazo e custo do projeto.
As empresas não têm mais tempo para esperar um projeto de dois ou

três anos para ver um resultado ou uma mudança acontecer. Desta
forma, o método ágil permite que o prazo, que poderia ser um ofensor,
seja um aliado no término do projeto em um tempo adequado.
Dentro deste modelo não existe mais um perfil de gerente dos

projetos, mas sim uma liderança técnica que possa fazer-acontecer e,
desta forma, os resultados apareçam em menor tempo. Não obstante,
o projeto é dividido em Sprints e cada uma delas conduzida por um
Scrum Master (liderança técnica), pode levar de 2 a 8 semanas. Cada
Sprint compõe uma fase do projeto e ao término de uma fase já é
possível ver resultados.
Como os resultados dentro do planejamento estratégico de uma

empresa são importantes – e estas hoje estão voltadas para os
18
18
resultados pactuados –, cumprir prazos, dentro do escopo, com
qualidade, dentro do custo, causa impacto positivo.
Desta forma, este modelo de gestão entra para a governança de TI como

parte integrante do resultado da empresa.
4.4 ISO/IEC 38500 – Governança Corporativa de Tecnologia da

Informação
Esta norma fornece uma estrutura de princípios para que os gestores

e partes interessadas possam utilizar no gerenciamento e avaliação no
uso da tecnologia da informação nas corporações. Para ter acesso a ela,
entre no site da Associação Brasileira de Normas Técnicas e procure pela
NBR ISO/IEC 38500:2009.
Figura 4 – ISO/IEC 38500 – Governança Corporativa

de Tecnologia da Informação
Fonte: pixabay.com.
Esta norma é aceita em qualquer organização, sendo ela pública ou

privada, com o objetivo de trabalhar a Tecnologia da Informação
nas empresas.de modo eficiente e com qualidade. A sua utilização
garante aos acionistas e a todas as partes interessadas que a
empresa tenha Governança em TI, seguindo normas e padrões de
forma a estar mais preparada para avaliações necessárias e garantir
a governança, gerar mais responsabilidade por parte de todos e
aproximar a empresa das certificações.
19
Esta norma passa por 6 princípios:
Responsabilidade: contempla a responsabilidade colocada para cada

um dos participantes dentro de uma organização, onde os mesmos
compreendem e trabalham em suas responsabilidades com as
necessidades das demandas de TI. Responsáveis pelo desempenho de
cada uma de suas ações e resultados.
Estratégia: considerando as necessidades da organização, a estratégia

deve estar alinhada à capacidade atual e futura da TI. O planejamento
estratégico de tecnologia deve satisfazer as necessidades atuais e
contínuas da estratégia de negócio da organização.
Aquisição: as aquisições de TI devem ser feitas para atender às

necessidades da continuidade do negócio. Devem ser feitas por motivos
que justifiquem e de forma que a análise feita seja adequada. Deve ser
tomado o devido cuidado no entendimento dos benefícios a curto e
longo prazo e os custos assumidos. Ou seja, feito de forma consciente.
Desempenho: trabalho em conjunto com qualidade, onde a tecnologia

entra para apoiar as empresas no fornecimento do serviço adequado,
com a qualidade esperada aferida dentro do nível de serviço acordado.
Conformidade: cumprimento da legislação e dos regulamentos

obrigatórios. Estar em conformidade implica em atender as políticas e
práticas que foram implantadas, definidas e devidamente fiscalizadas.
Comportamento humano: seguir todas as recomendações definidas

nas políticas e decisões que dizem respeito ao comportamento humano
pelas pessoas envolvidas em todo processo dentro de uma empresa.
Cuidar e garantir que se consiga ter integridade, confiabilidade,
confidencialidade dos dados de uma empresa.
Aliado a estes princípios, existem três principais tarefas:
20
20
• Avaliar: o uso da TI e seu futuro, definindo estratégias e a onde se
quer chegar.
• Orientar: preparar e implantar planos e políticas para atingir os

planos para a tecnologia da informação.
• Monitorar: as políticas implantadas definidas pelos planos.
Dentro dos seis princípios devem ser incorporados o ciclo Avaliar-

Orientar-Monitorar e assim estabelecer uma forma para que cada
um dos princípios atue na defesa da governança e estabeleça a
responsabilidade, estratégia, aquisição, desempenho, conformidade e
comportamento humano.
5. Quais resultados a governança de TI

pode trazer?
Os resultados são inúmeros, a começar pela definição de processos

claros e bem definidos, implantação de normas de segurança da
informação que circula pela empresa, e garantem a conformidade,
confidencialidade e integridade dos produtos ou serviços que são
produzidos ou entregues e que estão nos sistemas de uma organização
(FERNANDES, 2014).
Desta forma, fica mais fácil tratar alguns assuntos, tais como:
• Evitar os vazamentos de dados importantes da empresa.
• Automatização dos processos e minimização dos custos com

pessoas e processos ineficazes.
• Boa utilização dos recursos de TI e suas ferramentas.
• Melhoria contínua dos processos da empresa.
• Identificar e tratar os incidentes antes mesmo que eles se tornem

problemas e comprometam a empresa.
21
Muito antes de implementar a governança de TI e corporativa, é
importante lembrar que a preparação frente a essa mudança envolve
todas as partes interessadas, muito trabalho, mas tudo isso será
recompensado quando a empresa estiver com bons resultados, bem
posicionada no mercado e procurada tanto por clientes quanto por
pessoas que querem fazer parte dessa organização.
E você, está preparado para a mudança?
6. Consideração finais
A governança nas empresas envolve a todos. Sendo governança

corporativa, ou mesmo governança de TI, o processo é responsabilidade
de todos da organização.
Além disso, a governança tem o papel de orientar a empresa,

estabelecer normas e padrões que estão diretamente voltados à missão,
visão e valores da mesma. Esta só consegue se tornar competitiva
se investir de forma séria e correta para tirar o melhor resultado da
governança corporativa e de TI.
TEORIA EM PRÁTICA
Reflita sobre a seguinte situação: você entrou em uma

empresa, na área de controladoria, e nesse momento ela
não possui nenhum mecanismo ou modelo de governança
que funcione de forma efetiva, pois os líderes, gestores e
diretores da empresa não apoiam de verdade a governança,
por não acreditarem nesse modelo, e boicotam, mesmo
inconscientemente, qualquer ação proposta pela área.
22
22
Como você, enquanto participante deste processo de uma
área paralela à área de governança, pode ajudar a solidificar
o modelo, trocando ou sugerindo mudanças a fim de que
todos se beneficiem na empresa, inclusive os próprios
diretores, que não conseguem ver a importância disso?
VERIFICAÇÃO DE LEITURA
1. Quais os objetivos do Service Desk?
a. Somente centralizar os registros e as necessidades de

uma empresa em um único lugar.
b. Centralizar, controlar e aplicar as definições da ITIL na

gestão estratégica e planejada de serviços de TI.
c. Aplicar as definições da ITIL na gestão estratégica e

planejada de serviços de TI.
d. Centralizar os registros e as necessidades de uma

empresa em um único lugar, para manter um controle
sobre o que foi feito.
e. Manter as análises em dia.
2. A ISO/IEC 38500 possui 3 tarefas, que são:
a. Analisar, Avaliar, Monitorar.
b. Orientar, Avaliar, Julgar.
23
c. Monitorar, Descrever, Analisar.
d. Avaliar, Orientar, Monitorar.
e. Monitorar, Escrever, Analisar.
3. É um framework, complementa-se com o ITIL na

governança de TI e contempla recursos atrelados ao
sumário executivo, controles, mapas e indicadores de
metas, além de um guia de gerenciamento.
O trecho acima trata do(a):
a. ITIL.
b. Scrum.
c. CobiT.
d. PMI.
e. ISO38500.
Referências bibliográficas
FERNANDES, Aguinaldo Aragon; ABREU, Vladimir Ferraz de. Implantando a
Governança de TI: da Estratégia à Gestão dos Processos e Serviços. 4. ed.
São Paulo: Saraiva, 2014.
MAGALHÃES, Ivan Aluizio; PINHERO, Walfrido Brito. Gerenciamento de Serviços
de TI na Prática – uma abordagem com base no ITIL. 5. ed. São Paulo: Novatec
Editora, 2010.
MOLINARO, Luis Fernando Ramos; RAMOS, Karoll Haussler Carneiro. Gestão de
Tecnologia da Informação. Rio de Janeiro: LTC, 2015.
Tanenbaum, Andrew S. Redes de Computadores. 4. ed. São Paulo: Prentice
Hall, 2003.
24
24
Gabarito
Questão 1 – Resposta: B
Resolução: Centralizar, controlar e aplicar as definições da ITIL na

gestão estratégica e planejada de serviços de TI, centralizando
os registros e as necessidades de uma empresa em um único
lugar para manter um controle sobre o que foi feito, mantendo as
análises e acompanhamento do atendimento e da resolução dos
problemas, mapeando os dados e informações do atendimento.
O Service Desk vai além de somente manter os chamados, mas
está voltado para gerar resultados sobre os atendimentos.
Questão 2 – Resposta: D
Resolução: Avaliar, Orientar, Monitorar.
• Avaliar: o uso da TI e seu futuro, definindo estratégias e aonde

se quer chegar.
• Orientar: preparar e implantar planos e políticas para atingir os

planos para a tecnologia da informação.
• Monitorar: as políticas implantadas definidas pelos planos.
Questão 3 – Resposta: C
Resolução: O Cobit é um framework, complementa-se com o ITIL

na governança de TI e contempla recursos atrelados ao sumário
executivo, controles, mapas e indicadores de metas além de um
guia de gerenciamento.
25
Modelos de governança
e compliance
Objetivos
• Compreender preceitos sobre alinhamento

estratégico, entrega de valor e, também,
gerenciamento de recursos na governança.
• Compreender o conceito de compliance.
• Conhecer a ISO 38500/2018.
26
26
1. Introdução
Esta leitura fundamental tem como objetivo apresentar a você um

modelo de governança, contemplando o conceito de compliance e
auditoria como formas de garantir a integridade das informações e
confiabilidade da empresa.
O modelo de governança aqui discutido considera implantar a ISO

38500/2018 juntamente a seus princípios – que norteiam as empresas
que se aventuram em usar a governança como apoio para mudança de
patamar nos negócios.
PARA SABER MAIS

A título de aprofundamento acerca do assunto, vale a pena
a leitura do livro Implantando a Governança de TI (2014), do
autor Aguinaldo e Vladimir, abaixo sinalizado.
Vale dizer que não há nenhuma pretensão em esgotarmos

os assuntos tratados na disciplina e, por isso, é de extrema
importância que você pesquise, sempre de maneira
autônoma e crítica, para melhor atuar no mercado
de trabalho.
Leia o livro:
FERNANDES, Aguinaldo Aragon; ABREU, Vladimir Ferraz de.

Implantando a Governança de TI: da Estratégia à Gestão
dos Processos e Serviços. 4. ed. São Paulo: Saraiva, 2014.
27
Figura 1 – Modelo de governança e compliance
Fonte: airdone/iStock.com.
O processo de implantação dos modelos de governança nas empresas

é um desafio que envolve a todos. Além disso, possui a missão de
ajudar as organizações a se estruturarem e mapearem os seus
processos, atingindo outros patamares via aumento de controle
e ampliação de decisões mais assertivas, bem como gerenciar as
inconformidades que possam surgir.
Tomando isso como base e considerando em paralelo a governança

corporativa ou de TI, em algumas empresas, quem administra o
compliance é a área financeira ou mesmo uma área de controles
internos, que exige que sejam cumpridas as normas dentro das
conformidades e leis.
1.1 Compliance e governança no controle
De acordo com o Fernandes (2014), compliance é inerente à Governança.

Compliance, é uma forma de controlar e auditar para evitar e administrar
eventuais problemas que possam comprometer a operação da empresa,
bem como sua reputação.
28
28
Compliance, do inglês, significa estar de acordo ou em conformidade a
um conjunto de normas que se organizam com base em leis, padrões,
regulamentações, políticas e direções estabelecidas para o negócio
da empresa, bem como evitar, detectar e tratar quaisquer desvios na
conduta de normas, leis e politica que possam comprometer o bom
andamento da empresa via geração de inconformidades no processo de
governança propriamente dito (MAGALHÃES, 2010).
Não obstante, dentro das corporações existem áreas de controles

internos e auditoria que se alinham aos propósitos do compliance. Estas
áreas são chamadas de unidades de negócios ou departamentos.
Estes departamentos são compostos por pessoas que participaram do

processo de definições da Governança, estabelecem as normas a serem
seguidas e certificam a empresa, de acordo com as leis do país que estão
localizados. As leis estão atreladas ao cumprimento destas normas, para
que a empresa esteja em alinho ao Compliance.
Se considerarmos os custos que as não conformidades e o não

cumprimento da lei geram, torna-se mais interessante o investimento
em modelos que garantam o Compliance, ou seja, o atendimento às
normais e padrões estabelecidos no nicho de atuação da empresa,
evitando assim gastos com multas e processos jurídicos, manchas
na reputação da empresa, perda de clientes e perda também da
presença de mercado.
1.2 Compliance e sua história
Por estar diretamente ligada à necessidade de cumprir a lei, evitar as

fraudes e caçar na empresa qualquer irregularidade, certamente o
Compliance pode não ser o departamento favorito dos funcionários
da empresa. De outra maneira, apesar de ser uma área bastante
importante, os funcionários podem, portanto, apresentar certo
comportamento de receio ou resistência.
29
Na verdade, esta área não está na empresa para punir as pessoas ou
mesmo entregar as falhas, mas sim controlar, criar mecanismos de
verificação e controle, auditar internamente, a fim de que sejam atendidas
às normas e leis e que estas sejam cumpridas com transparência.
A partir do momento que as pessoas que fazem parte desta empresa se

conscientizem de que trabalhar de forma correta é o melhor para todos,
o Compliance deixa de ser uma obrigação e passa a ser um aliado para
que a empresa cumpra seu papel e esteja entre as melhores empresas
do mundo no segmento, cuidando da sua reputação.
As pessoas que atuam no Compliance são preparadas para administrar

um programa de Compliance que atenda à área de atuação da empresa.
Como exemplo, é possível citar as empresas que estão ligadas ao
mercado financeiro, que são regidas pelas normas impostas pelo
Banco Central, bem como pela lei norte americana Sarbanes-Oxley
(SOX). Estas instituições que trabalham com o dinheiro do cliente estão
sujeitas a normas e sanções mais severas e, para tanto, o investimento
no compliance é maior. E é mesmo necessário que seja assim para que
eles possam abrir as portas do mercado de investimentos exterior, por
exemplo, quando pensamos em risco-país.
Independentemente do segmento de atuação da empresa, normalmente

o departamento de compliance está dentro das empresas por uma
necessidade da atuação efetiva e diária.
Desta forma, a necessidade de manter a empresa dentro das

normas e leis fez surgir a vontade de se ter um departamento que
pudesse se dedicar exclusivamente a isso e, assim, criou-se a área de
controles internos.
Vale citar que o surgimento do compliance se deu nos Estados Unidos,

com a criação do FDA (Food and Drugs Act) no final do século XX, com o
advento da internet e a necessidade de as agências reguladoras atuarem
mais efetivamente nas empresas, como forma de regulamentar as
atividades relacionadas à área da saúde e alimentos.
30
30
Mas foi devido às instituições financeiras que o compliance avançou, e
a partir do ano 2001 as instituições que têm ações na bolsa de valores
precisam necessariamente estar alinhadas com esta lei e alinhadas
também com esta área.
Figura 2 – Compliance, ícone da conformidade
Fonte: shutteratakan/iStock.com.
Importante dizer que as empresas que estão atendendo às normas

propostas dentro desta lei, ou seja, assistindo tais normas, em caso de
irregularidades ou inconformidades terão as penas mais leves.
Com o crescente número de regulações e normas, nas mais

diferentes empresas e segmentos de mercado, o compliance atende
a diferentes necessidades, como regulação antifraudes, controle do
direito ambiental, controle do processo de exportações e lavagem
de dinheiro. Daí a importância da abordagem contingencial da
administração e a necessidade de os profissionais serem autônomos
e críticos na hora de buscar resoluções para os problemas de cada
empresa, em cada possível cenário.
Outro motivo: os programas de compliance devem atender às normas

de cada país e de cada empresa e seus segmentos. Nos Estados
Unidos, aplica-se a normas sobre antilavagem de dinheiro para
garantir que não ocorram fraudes no sistema bancário e trabalha no
sentido de evitar e combater o terrorismo.
31
1.3 Os programas de compliance e o COAF
Nestes programas existem alguns princípios básicos, como o

programa e as regras do compliance devem ser escritos por um
membro da empresa, garantir a detecção e denúncia a atos suspeitos,
garantir a privacidade dos negócios e estar em conformidade com
as leis, formação contínua das pessoas envolvidas em todo processo
dentro das empresas.
No Brasil, além dos princípios que devem ser seguidos, deve ser
avisado ao COAF (Conselho de Controle de Atividades Financeiras)
em caso de suspeitas de fraudes, como determina as boas práticas.
De acordo com a publicação da Revista Exame (2019), o COAF é um
órgão ligado ao ministério da Fazenda, responsável por informar sobre
atividades financeiras que levantem suspeitas sobre fraudes e lavagem
de dinheiro. Saques e depósitos acima de 30 mil reais são sempre
comunicados. Este órgão não executa, porém, qualquer investigação e,
vale dizer, foi criado pela lei nº. 9613/98.
Conforme dados informados pela revista Exame (2019), “o maior

número de relatórios foi produzido em casos que envolvem
investigações sobre corrupção. Foram 9,4 mil comunicações entre
o Coaf e órgãos de investigação sobre o crime. Fraude (4,5 mil) e
tráfico (4,3 mil) vêm logo em seguida. E ainda sonegação (2,2 mil) e
investigações sobre facções criminosas (1,5 mil)”.
Em se tratando de Brasil, em meados do ano 2010, as

regulamentações tornaram-se mais sérias devido aos grandes
escândalos voltados à economia e política, causando perdas nas
empresas e tornando a economia do país mais enfraquecida. Devido à
má fama e baixa nota do país (como risco-país influenciando a taxa de
juros, por exemplo), as empresas reforçaram as normas para garantir
o Compliance dentro das empresas e “mantê-las de pé”, sem a ameaça
do boicote dos países investidores no Brasil.
32
32
Ética e governança, neste sentido, estão caminhando lado a lado, e
a política de governança inclui atividades que regem o modo como
as empresas investem e crescem aportando em outros países e
tornando-se globais.
Com a implantação do compliance nas empresas, no período

compreendido entre 2010 e 2019, as empresas passam a valorizar os
programas de responsabilidade social como proposta para combater o
crime de corrupção.
Dentro de um programa de compliance que tem objetivo de combater

a corrupção, tem como norte os princípios de manter a alta direção
envolvida, comprometida com as ações, códigos de ética e conduta,
manter os controles internos, autonomia, treinamento e análise
constante de riscos.
Colocar inteligência no compliance significa investir em análises,

monitoramento e auditorias em riscos, como forma de estar em
conformidade com a lei. A tecnologia pode apoiar em grande medida
esta prática, vide as possibilidades com relação a blockchain (tecnologia
por detrás da moeda virtual Bitcoin).
Figura 3 – Leis e o compliance
Fonte: PhonlamaiPhoto/iStock.com.
33
1.4 As certificações e seus modelos de governança e a
ISO 38500/2018
A necessidade de implantar uma governança forte nas empresas fez

com que as certificações e preparação dos recursos para atuar em
compliance se intensificassem, e os modelos que podem trazer os
resultados esperados estão sendo buscados, tais como ITIL, Cobit, BSC,
CMMI, COSO e a ISO 38500/2018.
A certificação em cada um dos modelos citados é uma consequência da

necessidade de buscar os resultados e fazer com que eles aconteçam na
empresa, de acordo com Fernandes (2014).
Figura 4 – ISO
Fonte: porcorex/iStock.com.
Dentre as certificações citadas, a abordagem desta leitura é em cima da

ISSO 38500/2018.
ISO/IEC 38500 é uma norma internacional que atende a governança

corporativa de tecnologia da informação, sendo divulgada
pela Organização Internacional de Normalização (ISO) e a Comissão
Eletrotécnica Internacional (IEC).
34
34
Esta norma tem um framework para a governança em TI, onde apoia
o mais alto nível das organizações a entender e fazer com que as
normas sejam atendidas em suas obrigações legais, regulamentares
e éticas dentro da utilização da tecnologia e organizações.
ISO/IEC 38500 pode ser implantada em diversos tipos de

organização, de todos os tamanhos que queiram estar dentro da
norma, incluindo órgãos públicos, entidades governamentais e
organizações não-lucrativas.
Esta norma tem como objetivo trabalhar nos princípios básicos e

orientadores sobre a governança em TI e seus usos de forma eficiente
e eficaz da Tecnologia da Informação (TI) para as lideranças e diretoria.
O modelo passa por definições e princípios.
Ele estabelece seis princípios para a boa governança corporativa de TI,

trabalhando nas diretrizes básicas:
• Responsabilidade.
• Estratégia.
• Aquisição.
• Desempenho.
• Conformidade.
• Comportamento humano.
1.4.1 Responsabilidade
Dentre os seis princípios para a implantação da ISO38500, existe

a Responsabilidade, que entende que as pessoas fazem parte da
organização e estas devem compreender e empregar os princípios de
35
responsabilidade dentro da empresa como provedor de TI e na procura
de melhores soluções para o desempenho na empresa, com foco em
resultados, inovação e tecnologia, dentro de uma conduta ética, alinhada
com os valores da empresa.
1.4.2 Estratégia
Dentro de uma organização, a estratégia para o negócio contempla as

capacidades de TI atuais e futuras, determinadas no plano estratégico
como forma de obtenção dos resultados da empresa. Esta estratégia
está atrelada ao respeito que a organização coloca com parte da
estratégia de negócio dentro da governança.
1.4.3 Aquisição
As aquisições para a área de tecnologia de uma organização são

concretizadas por razões que determinam onde se necessita chegar,
com base em análises fundamentadas, com decisões óbvias e
transparentes, dentro de um equilbrio entre os oportunidades e riscos
em curto e longo prazos.
1.4.4 Desempenho
Capacidade de absorção da empresa e a necessidade de recursos para

avaliar o desempenho do negócio. Desta forma, a necessidade de mais
ou menos tecnologia depende de onde se quer chegar, e estes valores
devem ser constantementes auferidos por meio de métricas que targam
resultados que permitam a tomada de decisão e mudanças de rumo.
1.4.5 Conformidade
A conformidade em TI é estar de acordo com a legislação e

regulamentos aplicáveis, alinhada a uma postura adequada para com as
organizações dentro de uma sociedade e praticar a sustentabilidade.
36
36
1.4.6 Comportamento humano
Determinar as políticas aplicadas à tecnologia está ligado ao respeito

pelo ser humano, respeitando as necessidades e comportamento
humano, envolvendo as pessoas como parte mais importante no
processo de governança das empresas para se alcançar a excelência e a
Governança em TI.
É possível entender que em governança os recursos humanos são

fundamentais para que se tenha sucesso e chegue nos resultados
esperados.
Esta importância aparece em destaque pela ISO/IEC 38500/2018, por

meio dos seis princípios que a compõem.
Desta forma, deve ser feita sempre a pergunta: as pessoas que

compõem a equipe de tecnologia em uma empresa estão mesmo
empenhadas no processo de governança e conhecem o processo de
governança de TI?
Figura 5 – As necessidades e ganhos com a ISO
Fonte: Melpomenem/iStock.com.
37
2. Considerações finais
Em todo processo de governança dentro de uma empresa é necessário

identificar quais são as metas que se quer atingir, aonde se quer chegar,
qual o limite de controles que a empresa suporta ou, se depender de
aspectos legais, como conseguir estar dentro destes limites a fim de ter
governança e controles pelo compliance sem que seja algo inatingível.
O Compliance nas empresas, hoje, garante a integridade e confiabilidade,

portanto entende-se que a organização está dentro das conformidades,
elevando a sua credibilidade, inclusive. De outro modo, é possível fazer
negócios com esta empresa, pois ela garante a qualidade de entrega
dos produtos ou serviços, trabalha com ética e transparência, possuindo
processos claros de combate a fraudes e corrupção.
Por fim, vale destacar que envolver as pessoas e capacitar a todos no

entendimento sobre governança como um todo e principalmente a
governança em TI faz parte de um processo de amadurecimento para se
chegar na excelência de serviços.
TEORIA EM PRÁTICA
Reflita sobre a seguinte situação: você trabalha em uma
empresa em que a governança foi aplicada somente a
processos que estão muito bem estruturados. Você, por sua
vez, está no papel de um consultor que trabalha na área de
auditoria e, sim, você faz parte do processo de governança e
precisa implantar um modelo de compliance.
Qual seria a melhor solução neste caso? Por onde começar
para se ter sucesso no modelo de compliance?
38
38
1. Qual modelo proposto no texto, aplicado à Governança,

que propõe a avaliação de riscos do negócio?
a. PMI.
b. COSO.
c. ITIL
d. Cobit.
e. Scrum.
2. O que propõe o princípio de Desempenho da ISO38500?
a. A procura de melhores soluções para o desempenho

na empresa, com foco em resultados, inovação e
tecnologia, dentro de uma conduta ética, alinhada
com os valores da empresa.
b. É possível entender que em governança os

recursos humanos são fundamentais para que se
tenha sucesso e chegue aos resultados esperados.
Esta importância aparece em destaque pela ISO/
IEC 38500:2009, por meio dos seis princípios que
a compõem.
c. A necessidade de mais ou menos tecnologia depende

de onde se quer chegar, e estes valores devem ser
constantementes aferidos por meio de métricas que
tragam resultados que permitam a tomada de decisão
e mudanças de rumo
39
d. Determinar as políticas aplicadas à tecnologia está
ligado ao respeito pelo ser humano, respeitando as
necessidades e comportamento humano, envolvendo
as pessoas como parte mais importante no processo
de governança das empresas para se alcançar a
excelência e a Governança em TI.
e. Dentro de uma organização a estratégia para o

negócio contempla as capacidades de TI atuais e
futuras, determinadas no plano estratégico como
forma de obtenção dos resultados da empresa.
3. Dentro do Compliance e Governança, de acordo com o

texto, o que é o COAF?
a. Departamento de defesa do Brasil sobre maus tratos,

implantado pelo Ministério da Fazenda.
b. Lugar onde as pessoas estão quando cometem

fraudes e desvios de dinheiro.
c. Conselho de Controle de Ativistas Fiscais em

caso de suspeitas de roubo, como determina as
boas práticas.
d. Conselho de Controle de Atividades Financeiras em

caso de suspeitas de fraudes, como determina as
boas práticas.
e. Conselho de Controle de Atitudes Fiscais em caso de

suspeitas de comércio ilegal.
40
40
Corrupção é o crime que mais movimenta dados entre Coaf e investigadores.

Disponível em: https://exame.abril.com.br/brasil/corrupcao-e-o-crime-que-mais-
movimenta-dados-entre-coaf-e-investigadores/. Acesso em: 6 out. 2019.
Governança de TI: da Estratégia à Gestão dos Processos e Serviços. 4. ed. São
Paulo: Saraiva, 2014.
de TI na Prática – uma abordagem com base no ITIL. 5. ed. São Paulo, Novatec
Editora, 2010.
Tecnologia da Informação. Rio de Janeiro, LTC, 2015.
Gabarito
Resolução: COSO, certificação em Riscos e Compliance em
Governança Corporativa.
Resolução: Desempenho, capacidade de absorção da empresa
e a necessidade de recursos para avaliar o desempenho
do negócio. Desta forma, a necessidade de mais ou menos
tecnologia depende de onde se quer chegar, e estes valores
devem ser constantementes aferidos por meio de métricas
que tragam resultados que permitam a tomada de decisão e
mudanças de rumo.
Resolução: De acordo com a revista Exame (2019), COAF é o
Conselho de Controle de Atividades Financeiras em caso de
suspeitas de fraudes, como determina as boas práticas.
41
ITIL: um modelo de governança
Objetivos
• Visão geral da ITIL: gerenciamento de serviços de TI.
• A fase de estratégia de serviço.
42
42
1. Visão geral da ITIL: gerenciamento de
serviços de TI
Esta leitura fundamental tem como objetivo apresentar a você a ITIL

como uma biblioteca de obtenção da governança de TI, que traz o
intuito de as empresas conseguirem fornecer resultados e indicadores
para trabalhar na economia, crescimento, organização e melhores
resultados nos serviços de TI.
A implantação e utilização de uma biblioteca como a ITIL permite

resultados claros e a geração de indicadores para que as lideranças
consigam assumir resultados factíveis para uma boa gestão da empresa
e da área de tecnologia. A ITIL nos dias de hoje é fundamental para a
boa gestão de tecnologia.
PARA SABER MAIS

Mais uma vez, a leitura do livro abaixo poderá ajudar na
compreensão do tópico. Sugestão: busque o título na
Biblioteca Virtual da faculdade.
Leia o livro: FERNANDES, Aguinaldo Aragon; ABREU,
Vladimir Ferraz de. Implantando a Governança de TI:
da Estratégia à Gestão dos Processos e Serviços. 4. ed.
1.1 ITIL, um modelo de governança
Para efetivamente ter a governança de TI é necessário conseguir que

os modelos de gestão escolhidos (ITIL, Cobit, ISXO 38500, COSO, etc.)
forneçam resultados para a tomada de decisão. Estes modelos, por
meio de ferramentas de TI, como software apropriado, ajudam a gerar
43
os resultados para a liderança decidir os melhores caminhos. A ITIL,
portanto, faz parte desse grupo de modelos e processos para buscar
os resultados. Não obstante, a biblioteca ITIL permite a configuração do
ambiente para obtenção dos resultados pactuados por meio de software.
Figura 1 – ITIL
Fonte: DaLiu/iStock.com.
Dentre tantos modelos que são aderentes à governança para a gestão

de TI, a ITIL é o que mais está presente nas empresas, dada a facilidade
de utilização e os resultados aparecerem muito rapidamente após o
início do uso.
De acordo com Fernandes (2014), a implementação da ITIL só deve ser

feita após análise cuidadosa de processos, estabelecer quais são os
resultados importantes para a empresa, para a TI e classificar o que
realmente é preciso para fazer a gestão de TI.
A título de síntese: a ITIL é uma biblioteca de melhores práticas para a

administração de infraestrutura de TI, ou seja, Information Technology
Infrastructure Library. Neste modelo ou biblioteca de melhores práticas,
como é conhecida, por ser uma biblioteca mesmo, temos uma lista de
itens que são atendidos pela ITIL; dentro desta lista de itens é necessário
definir os parâmetros para que os resultados apareçam.
44
44
Vale dizer que esta biblioteca foi elaborada no Reino Unido e
atualmente, apesar de ser administrada por um órgão do governo,
ela é de domínio público.
Não obstante, as recomendações tratadas na ITIL têm como objetivos

a gestão com foco no cliente e com atendimento de qualidade nos
serviços de TI.
1.2 Estrutura da ITIL
A ITIL estabelece estruturas com processos claros para a gestão,

apresentando uma lista desses processos que são de fácil
entendimento para todos os níveis da TI, mesmo profissionais técnicos
que saibam pouco ou nada de gestão. Estes processos são organizados
em disciplinas que permitem a gestão tática e operacional de uma
empresa com foco em negócios.
As disciplinas são disponibilizadas em dois grupos: SERVICE SUPPORT

(suporte) – Operational Management (Gerência Operacional), com as
seguintes disciplinas:
• Configuration Management (Gerência de Configuração).
• Service Desk.
• Problem Management (Gerência de Problemas).
• Incident Management (Gerência de Incidentes).
• Change Management (Gerência de Mudança).
• S/W Control & Distribution (Controle e Distribuição de Software).
E SERVICE DELIVERY – Tactical Management (Entregas):
• Service Level Management (SLA, Acordo de Nível de Serviços).
• Capacity Management (Gerência de Capacidade).
45
• Availability Management (Gerência de Disponibilidade).
• Contingency Planning (Planejamento de Contingência).
• Cost Management (Gerência de Custos).
Cada uma das disciplinas atende a uma parte da governança de TI,

sendo que o grupo de suporte atende às necessidades do suporte
de TI e a estratégica atende às configurações para que sejam feitas
as entregas.
Cada uma das disciplinas será detalhada e explicada com relação à

forma como interagem para dar resultados. Veja a seguir.
Importante destacar que a biblioteca de melhores práticas está na sua

versão 4, com poucas, mas significativas mudanças em relação à sua
versão anterior, o ITIL 3. Os módulos continuam os mesmos, com a
diferença que agora a ITIL 4 vem com apelo maior para metodologias
ágeis, com foco no Lean e no DevOps, além de referências à importância
de boas práticas de liderança de TI e gerenciamento organizacional.
Figura 2 – DevOps + ITIL
Fonte: Hanna Ferentc/iStock.com.
Apenas como forma de contextualizar, aparecem dois termos que

complementam a ITIL, mas não fazem parte das disciplinas, que são
DevOps e Lean.
46
46
O termo DevOps é uma junção da palavra Desenvolvimento +
Operações. Utilizada em engenharia de software, com o intuito de juntar
o desenvolvimento de software (Dev) e a operação de software (Ops).
Sua principal característica é estar alinhada à automação e monitorar as
fases do desenvolvimento de software, da integração, teste, liberação
para implantação e gerenciamento de infraestrutura. A DevOps trabalha
em ciclos de desenvolvimento menores, com maior monitoramento,
aumento na implantação, liberações alinhadas às necessidades de
negócio e, por estar em Operações, está compreendida dentro da ITIL,
sem fazer parte das suas disciplinas.
Lean faz parte da governança, inspirado no modelo de gestão de

práticas e modelos do sistema Toyota. Utilizado como forma de obter
resultados, focado em indicadores e melhores práticas. Não é parte da
ITIL, mas caminha ao lado dela.
1.3 ITIL e suas disciplinas
Em Suporte, o trabalho é para manter o ambiente operacional,

onde cada um dos módulos é focado em uma visão simplesmente
operacional na manutenção do ambiente no dia a dia, ou seja, manter
o ambiente dentro de boas práticas e nas soluções dos incidentes ou
problemas que ocorram.
Nesta lista de suporte, temos: Gerência de Configurações (Configuration

Management), Service Desk, Gerência de Problemas (Problem
Management), Gerência de Incidentes (Management Incident), Gerência
de Mudanças (Change Management) e Controle e Distribuição de
Software (S/W Control & Distribution). Em entregas, nas configurações e
preparação do ambiente, temos: Service Level Management (SLA, Acordo
de Nível de Serviços), Capacity Management (Gerência de Capacidade),
Availability Management (Gerência de Disponibilidade), Contingency
Planning (Planejamento de Contingência) e Cost Management (Gerência
de Custos), como apresentado no item anterior. E todos trabalham em
conjunto para que os resultados apareçam.
47
Cada uma das disciplinas tem suas características e propósitos que são
abordados nos itens que seguem.
1.4 Gerência de configurações
O primeiro item da lista, a Gerência de Configurações, tem como

objetivo ajudar na gestão das configurações dos equipamentos e
softwares nas empresas, no controle da infraestrutura e os serviços
de TI, administrando as configurações de forma lógica, identificando,
mantendo e controlando as versões dos itens de configuração (CI),
atualizando as existentes.
Dentro deste módulo, as metas de configuração dizem respeito desde

os registros de todos os ativos e suas configurações, como prover a
informação sobre estas configurações e documentação, a fim de apoiar
os processos de Gestão de Serviços, entregar uma base confiável,
segura e íntegra para que a Gerência de Incidentes possa controlar os
incidentes do ambiente e eventualmente encaminhar o processo para
gerência de Problemas, Gerência de Mudanças e controle de versões.
E, também, manter os registros de configuração para confrontá-los
com a infraestrutura, na tentativa de correções no ambiente e mantê-
lo em funcionamento. Não é possível movimentar uma impressora e
não atualizar a documentação que está em Gerência de Configuração,
indicando onde a impressora estava e onde está agora, com suas
características e conexão com a rede.
Nesta gerência, as atividades básicas para a manutenção da informação

são: Planejamento, Identificação, Controle, Registro de Status e
Verificação e Auditoria.
Em Planejamento, como atividade inicial, a equipe planeja com o objetivo

de definir o propósito, metas e objetivos, políticas e procedimentos, para
manter o processo organizacional da Gerência de Configuração.
48
48
Na sequência, a próxima atividade desta gerência é a Identificação.
Desta forma, identificar as estruturas de configurações, de toda a
infraestrutura, incluindo as áreas de interesse e que se beneficiam
com isto, bem como o cliente, manter o interrelacionamento entre
eles e a documentação atualizada. Nesta atividade, é incluída também
a utilização de indicadores e números de CI´s como identificadores,
mantendo o banco de dados atualizado – este banco é conhecido como
CMDB (Configuration Management DataBase, ou seja, a Base de Dados da
Gerência de Configuração).
A atividade de Controle permite assegurar que somente os ativos

autorizados e identificados serão registrados e estarão à disposição,
garantindo que nenhum ativo adicionado, modificado ou substituído,
removido, perca o controle e não consiga ser tratado em outra gerência
como problemas e mudanças, ou mesmo na tratativa de incidentes.
Na tentativa de se manter o controle, a próxima atividade da lista

é o Registro de Status, onde se manter a informação atualizada e
os históricos ligados a cada ativo permite que as outras gerências
tenham sucesso e possam manter os ativos rastreáveis a ponto de
terem agilidade e sejam mais assertivos quando necessário tratar um
incidente, problema ou mesmo em uma mudança.
A última atividade da lista da gerência de configuração é a Verificação

e Auditoria, que permite a verificação da existência física do ativo
listado, a fim de manter os registros corretamente no sistema de
Gerência de Configuração.
Dentro da Gerência de Configuração existe um termo, que é o DSL.

É o termo usado para a biblioteca, na qual as versões autorizadas e
definitivas são armazenadas de forma definitiva.
É uma biblioteca física ou repositório de armazenamento onde são

identificados e colocados os originais das versões de cada software
do ambiente.
49
Figura 3 – Gerência de configuração e seus arquivos
Fonte: z_wei/iStock.com.
1.5 Disciplina SERVICE DESK
O segundo item da biblioteca ITIL que figura na lista operacional é o

Service Desk, também conhecida como suporte técnico que atende às
necessidades e suporta todas as áreas da empresa quando se tem
problemas de tecnologia com hardware ou software. De acordo com
Fernandes (2014), sempre trabalham sobre pressão, de forma reativa,
pois atendem os chamados abertos pelos usuários quando algum
problema acontece com as ferramentas de trabalho. Como estão
sempre agindo de forma reativa, atuam de forma desconecta, gastando
muito tempo e apagando incêndios, em geral, sobrevivendo ao dia a dia.
De toda forma, esta área é bastante importante, e com a ITIL deve

funcionar de forma estruturada, por meio de registros e tratamento de
chamados, mesmo no momento de apagar incêndios.
Dentro das empresas, quando se trata do suporte ou de uma estrutura

de suporte, não existe nenhum mecanismo estruturado de apoio
ao cliente – o cliente não confia sempre no atendimento, bem como
os recursos que fazem o atendimento não são bem gerenciados e
continuam atuando no sentido de resolver o problema temporariamente
50
50
para atender à necessidade do momento, mas não existe um tratamento
efetivo do problema a fim de erradicá-lo. Esta pouca atenção à gestão
do suporte resulta em falhas e inconsistências nos dados gerados pelo
suporte e falta de apoio ao negócio da empresa.
Conforme Magalhães (2010), uma solução para os problemas constantes

encontrados no Service Desk é estabelecer normas e padrões de
atendimento, desenvolver scripts de atendimento, separar em níveis os
graus de dificuldade nos atendimentos, trabalhar na solução definitiva
dos problemas junto do usuário, se necessário com equipe de apoio, e
registrar todo e qualquer atendimento que for feito aos usuários.
Figura 4 – Atendimento do suporte (Sevice Desk)
Fonte: Mary Ne/iStock.com.
Depois que um usuário abre um chamado, este chamado deve ser

categorizado, sendo colocado na caixa em que ele será tratado.
Para tanto, este chamado pode ser colocado em Gerência de Incidentes,

Gerência de Problemas ou mesmo Gerência de Mudanças.
51
Desde 2010, as empresas do segmento financeiro têm como meta
estabelecer um modelo de atendimento como o citado no parágrafo
anterior, como forma de organizar o atendimento, mas também de
fazer sentido para os usuários e permitir que desta forma estruturada
os resultados apareçam. E para que o atendimento do suporte técnico
faça a diferença na estrutura de tecnologia e agregue valor ao negócio,
como é a proposta do suporte. Tente ficar um dia sem o suporte
técnico da sua empresa.
1.6 Gerência de incidentes na tratativa dos chamados
Iniciando pela Gerência de Incidentes, esta gerência tem como missão

restabelecer a operação normal do serviço o mais depressa o quanto
possível, monitorando e cuidando para ser menor o impacto nas
operações da empresa, mantendo o melhor nível de qualidade de
serviço e disponibilidade. O prazo disponível para a entrega do serviço
está de acordo com o estabelecido no acordo de nível de serviço (SLA).
Na biblioteca ITIL, o incidente é definido por qualquer evento ocorrido

que não está dentro da operação padrão e que cause ou possa causar
algum prejuízo ou, ainda, redução de qualidade do nível de serviço,
entretanto, algo que não é uma falha ou incidente da infraestrutura é
chamado de pedido de serviço.
Na gerência de incidentes, as atividades vão de detecção de incidentes

e correção, como classificação inicial, identificação do suporte ideal para
atender ao chamado, recurso preparado para fazer as investigações
necessárias e solução.
52
52
Figura 5 – Fluxo de incidentes
Fonte: Eternal_Monday/iStock.com.
1.7 Gerência de problemas
Na sequência da tratativa dos incidentes há a Gerência de Problemas,

onde o objetivo é minimizar o impacto de incidentes e problemas
causados por falhas e pausas na infraestrutura, além de evitar as
recorrências destes problemas ou mesmo falhas. Para que a falha
ou o problema não se repita, deve ser tratada a causa raiz e iniciar as
ações corretivas.
Toda empresa que tem a Gerência de Incidentes, naturalmente

implanta a Gerência de Problemas, pois a atuação desta é sempre de
forma pró-ativa na tentativa de trabalhar em cima do incidente a fim de
identificar a causa para que esta não mais se repita.
53
As atividades que estão dentro desta gerência vão de controle de
problemas até controle dos erros, identificação de mudanças e revisão
após a implementação da solução.
1.8 Gerência de mudanças
O controle de mudanças vem justamente no momento em que

mudanças e ajustes, implantações e correções devem acontecer, após os
problemas e/ou incidentes. A gestão de mudanças registra o que deverá
ser corrigido ou mudado, de forma planejada, para que os problemas
não existam e fique registrado o que aconteceu ao longo do período.
O objetivo desta gerência é garantir que os métodos e procedimentos

serão usados para garantir que qualquer correção ou alteração seja
um sucesso, sem riscos para o ambiente de TI. Para a decisão de se
fazer uma mudança, deve ser considerada a avaliação de riscos e
a continuidade do negócio, a avaliação de impacto e, finalmente, a
aprovação para a mudança.
De acordo com o modelo proposto na biblioteca, qualquer mudança

deve ser aprovada pelo comitê de mudanças, também chamado de
CAB (Change Advisory Board), que aprova as mudanças ou reprova com
base nas informações que foram passadas na abertura da solicitação de
mudança. Neste comitê estão presentes todas as partes interessadas
para que a mudança aconteça com segurança.
Em caso de mudanças, uma mudança (ou Change) ocorre sempre que

se faz uma adição ou subtração de um equipamento ou software que
esteja instalado no ambiente de TI.
Outra condição é que toda mudança tenha um plano de retorno testado

em caso de falha na implantação da mudança. E a mesma só termina
quando é testada pelo usuário e aprovada.
Dentre todas as gerências para suporte também existem as gerências

que dão apoio a operação, e nesta parte da ITIL existem as gerências
54
54
de capacidade e disponibilidade, gerência de custo, plano de
contingência e SLA.
Começando pelo SLA (Service Level Agreement) – ou acordo de nível de

serviço –, que contempla manter e promover e melhora da qualidade
dos serviços de TI, focando nas necessidades de negócio. As principais
características deste módulo são as seguintes atividades: como definir o
catálogo de serviços, as requisições, definir os acordos do que pode ou
não ser atendido, especificando os serviços e um plano de qualidade.
Deve ser previsto o monitoramento, bem como a revisão e os relatórios
para a gestão e para a tomada de decisão.
Os benefícios de se definir os níveis de serviços são conseguir

estabelecer medidas e comparativos entre serviço prestado e o que foi
contratado e permitir que o cliente avalie o que foi entregue de acordo
com o que foi pago, ajudando a estabelecer um relacionamento de
confiança com o cliente.
Figura 6 – Gestão de mudanças
Fonte: Alexsl/iStock.com.
A governança de TI por meio da ITIL permite que a Gerência de

Capacidade e a Gerência de disponibilidade andem juntas, sendo
bastante importante para que a primeira estabeleça a capacidade de
atendimento, de monitorar o desempenho, de gerenciar demandas
e o planejamento futuro para atendê-las e manter o nível de serviço
55
acordado. Enquanto a Gerência de Disponibilidade otimiza a capacidade
da infraestrutura de TI suportar a empresa com relação aos serviços de
TI, com um custo adequado, permitindo que a empresa seja competitiva
e esteja alinhada ao negócio.
O plano de contingência tem como missão apoiar a continuidade do

negócio, item que está na governança de forma bastante importante e
fundamental para que os serviços de TI estejam estabelecidos dentro
de um prazo mínimo para não impactar os negócios. Ter um plano de
contingência implica reduzir custo e tempo de recuperação do ambiente
de TI, por questões de sobrevivência.
Os custos também fazem parte da ITIL como forma de fornecer

informações para monitorar e manter as necessidades dos serviços de
TI, como também identificar os custos dos prestadores, e desta forma
manter os custos dentro do esperado, ou seja, fazer a gestão.
Os módulos da ITIL apresentados neste documento são somente uma

parte de uma solução para uma boa gestão e obter os resultados para a
tomada de decisão.
A importância da implantação de um modelo que atenda à liderança

da empresa é conseguir ter números e indicadores que nos permitam
colocar a empresa em outro patamar.
Figura 7 – Capacidade x Disponibilidade
Fonte: Stas_V/iStock.com.
56
56
A biblioteca de boas práticas como a ITIL é fundamental para organizar a

empresa com relação aos serviços de TI, que sem dúvida nos dias de hoje
fazem parte dos negócios da empresa. Toda organização que depende de
tecnologia para abrir as portas deve ter implantado um modelo de gestão
que conduza as tomadas de decisão no sentido de permitir melhores
investimentos e economia que se precisa para sobreviver.
TEORIA EM PRÁTICA
Reflita sobre a seguinte situação: um colega, que se
formou com você na universidade, faz um convite de
um desafio de trabalho para você. Nesta empresa
pequena, mas com vontade de crescer, não existe
nenhuma governança de TI implantada, mas caberá
a você estabelecer um modelo de governança de TI.
Desta forma, aceitando o desafio, qual serão suas
primeiras ações para a implantação de um modelo?
1. O objetivo desta gerência é garantir que os métodos

e procedimentos serão usados para garantir que
qualquer correção ou alteração seja um sucesso,
sem riscos para o ambiente de TI. Para a decisão
de se fazer uma mudança, deve ser considerada a
avaliação de riscos e a continuidade do negócio, a
avaliação de impacto e, finalmente, a aprovação para
a mudança. A qual gerência nos referimos?
57
a. SLA.
b. Gerência de Incidentes.
c. Gerência de Problemas.
d. Gerência de Mudanças.
e. Gerencia de Estratégias.
2. Iniciando pela Gerência de Incidentes, esta gerência

tem como missão restabelecer a operação normal
do serviço o mais depressa possível, monitorando e
cuidando para ser menor o impacto nas operações da
empresa, mantendo o melhor nível de qualidade de
serviço e disponibilidade. O prazo disponível para a
entrega do serviço está de acordo com o estabelecido
no acordo. De qual acordo falamos?
a. SLA.
b. Acordo da Basileia.
c. Acordo de Trento.
d. GMUD.
e. Acordo Suiço.
3. O termo DevOps é uma junção de duas palavras.

Quais são elas?
58
58
a. Devolver e Agir.
b. Devolver e Opcional.
c. Desenvolvimento e Ação.
d. Desenvolvimento e Operação.
e. Desenvolvimento e Implantação.
Editora, 2010.
Tecnologia da Informação. Rio de Janeiro: LTC, 2015
O que é LEAN? Disponível em: https://www.lean.org.br/o-que-e-lean.aspx.
Acesso em: 14 out. 2019.
Gabarito
Resolução: A necessidade de documentar a mudança está na
gestão de mudanças.
Questão 2 – Resposta: A
Resolução: SLA, Acordo de nível de serviço.
Resolução: Desenvolvimento e Operação.
59
ITIL: modelo de serviços,
como implantar?
Objetivos
• Os objetivos perpassam a visão geral da ITIL sobre:
• A fase de desenho e transição de serviços.
• A fase de operação de serviço.
• A fase de melhoria contínua de serviço.
60
60
1. Visão geral da ITIL
Esta leitura fundamental tem como objetivo apresentar ao aluno

um modelo de como implantar a ITIL e suas possibilidades iniciais e
resultados obtidos. Esta proposta pode e deve ser alterada caso o
aluno perceba que as empresas não são iguais e cada uma delas tem
um processo diferente e necessidades diferentes dado o momento da
empresa e economia.
PARA SABER MAIS

Aproveite para conhecer mais sobre o assunto no livro de
Fernandes e Abreu (2014), indicado abaixo.
Leia o livro:
dos Processos e Serviços. 4.ed. São Paulo: Saraiva, 2014.
2. Controlando serviços, gerando valores:

implantando a ITIL
Figura 1 – ITIL
Fonte: Elena Pimukova/iStock.com.
61
A criticidade em perder o controle dos negócios, ou mesmo ficar sem
acesso aos dados por falta de gestão da TI em monitorar o ambiente de
infraestrutura, assusta e certamente coloca seu negócio em uma posição
vulnerável e desprotegida. A necessidade de manter as mudanças e
ocorrências no ambiente de tecnologia ajuda no sentido de fazer com
que as empresas tenham esse tão esperado e necessário controle.
A necessidade de se manter em primeiro lugar no mercado, a fim de

manter o valor da empresa no topo, exige que se tenha alguma maneira
de se controlar as alterações e manutenções de TI.
As empresas que querem competir no mercado têm que se dedicar e

investir em tecnologia a ponto de poderem se antecipar aos problemas
que surjam, ligados à TI.
Desde o ano 2000, com a chegada efetivamente da internet, as pessoas

não vivem mais desconectadas. A necessidade e carência de ter um
ambiente robusto e saudável faz com que as empresas invistam em TI
para se tornarem ágeis e competitivas, para no fim serem lucrativas.
Dentro do cenário econômico, considerando o ambiente corporativo,

é assumido pela gestão das empresas, mesmo aquelas que têm
gestores menos abertos a tecnologia, que as empresas que investem
em TI conseguem estar mais à frente do que aquelas que não se
empenham nesse sentido.
3. A fase de desenho e transição de serviços
Os processos são modelos de trabalho definidos, que fazem com que

as pessoas trabalhem dentro de um padrão estabelecido dentro das
normas ou leis, e estes dados geram informações que chegam aos
executivos para a tomada de decisão.
62
62
Figura 2 – Processos
Fonte: Sodafish/iStock.com.
Estes processos somados à governança das corporações permitem

que de forma ordenada as lideranças consigam estar próximas
aos resultados que surgiriam com a implantação da ITIL e outras
ferramentas.
Os processos fazem parte da implantação de um modelo para

governança e permitem que estes modelos, ou mesmo ferramentas,
consigam gerar os indicardores e resultados para a tomada de decisão.
A implantação da ITIL é apenas mais uma forma de conseguir, por

meio desta biblioteca, atingir os resultados, ou melhor, conseguir
ter os resultados.
Após a revisão dos processos, a área de TI, gestão de TI e seus

participantes devem começar a definir como funcionará o catálogo
de serviços do atendimento do Service Desk e preparar a estrutura de
tecnologia, e a empresa a fazer a implantação de uma governança e
transicionar os serviços, sempre com foco em resultados.
Processos claros e bem definidos têm como consequência resultados

esperados efetivos para a tomada de decisões e permite colocar
a empresa em outro patamar no mercado e com relação a seus
concorrentes.
63
a. Catálogo de serviços e suas bases para a implantação da ITIL
O catálogo de serviços é um dos primeiros itens a serem trabalhados

e definidos, com foco em definir quais os serviços que serão prestados
pela tecnologia para as outras áreas.
O catálogo de serviços deve ser detalhado a ponto de especificar o

que a área de tecnologia faz e o que não faz, o que atende e o que não
será de sua responsabilidade. Neste catálogo de serviços deverá conter
os itens que serão suportados pelas equipes de suporte, como serão
atendidos e reportados.
Na definição do catálogo, é importante estabelecer os processos

e descrevê-los de forma simples e direta, provocando um fácil
entendimento dos usuários e dos técnicos que irão atendê-los.
A necessidade de ser direto e de fácil entendimento é para que os

resultados sejam facilmente alcançados. Se não conseguir entender de
forma clara o que se pede, como será alimentado o sistema e entendido
que não é problema de infra, mas sim de sistemas.
Estabelecer as metas é algo que deve estar alinhado com o serviço

prestado. Caso o objetivo seja atingir resultados mais simples, deve-
se focar em estabelecer metas com menor complexidade, minizando
possíveis dúvidas e incompatibilidade entre metas e resultados.
O desenho dos serviços vem na sequência da decisão do catálogo

dos serviços, onde é determinado por meio de um fluxo, como seria a
entrega e a apuração dos resultados.
Desenhar esse fluxo em uma planilha facilita a visualização dos serviços

a serem entregues e o que se espera do mesmo.
Abaixo, um exemplo de uma definição básica de um catálogo de

serviços feito em uma planilha para depois ser implantado no sistema
de controle do Service Desk.
64
64
Tabela 1 – Tabela de catálogo de serviços
Tempo de Quem Forma de

Serviço Descrição SLA Prioridade
Atendimento solicita Solicitação
Atendimento Abertura de
Suporte a
na configura- 1 h 4h Alta Usuário chamado
impressoras
ção da rede via intranet
Atendimen- Abertura de
Suporte a
to na tro- 1h 4h Média Usuário chamado
impressoras
ca do Tonner via intranet
Fonte: elaborada pela autora.
A tabela como exemplo mostra um modelo de como desenhar o

catálogo, basicamente com as especificações.
O catálogo não é feito em Excel, mas pode primeiramente se fazer um

rascunho em Excel para depois implantar em uma ferramenta, como
dito anteriormente.
Desenhar os processos dentro do suporte de serviços oferecidos faz

parte da implantação da ITIL e a definição dos resultados esperados.
b. SLA, o Service Desk e a implantação da ITIL
Os principais processos que devem ser desenhados e minimamente

implantados como uma primeira fase de obtenção de resultados é
descrever os papéis do Service Desk, estabelecer o SLA (Service Level
Agreement) de cada perfil dos usuários da empresa, estabelecer a gestão
de mudanças e seus critérios, estabelecer o que será tratado como
incidentes e/ou problemas.
65
Figura 3 – Service Desk
Fonte: BrianAJackson/iStock.com.
Ao descrever os papéis e responsabilidades do Service Desk, está se

definindo o SLA proposto dentro do orçamento planejado.
O nível de serviço ou SLA tem a missão de atender aos usuários dentro

dos limites orçamentários, para tanto, identifique quem são os usuários,
quais são as necessidades de cada usuário e quais serviços eles
necessitam e utilizam.
Desta forma, descrevê-los é escrever um documento em tabelas, com

os perfis e cada um dos serviços ofertados e o tempo de espera e
atendimento em horas para todos os perfis.
Esse documento deve ser elaborado pelo time de tecnologia e aprovado

de acordo com as necessidades junto à direção da empresa, e assim que
aprovado deve ser apresentado aos usuários para que eles saibam qual
o tempo de espera por cada serviço.
Mas a apresentação deste documento é individual, sem que um usuário

de fato tenha conhecimento dos tempos e perfis dos outros usuários.
A apresentação, sendo individual, torna mais fácil a aceitação e apoio.
66
66
Desta forma, está pronto o catálogo de serviços e o SLA de cada um
dos usuários. Quanto ao Service Desk, deve ser indicado como será o
atendimento.
O Service Desk é o processo do atendimento telefônico, ou mesmo

atendimento por meio da intranet ou sistema, que permite a abertura
(ou registro) de um chamado para que então, após abertura deste
chamado ou solicitação, a mesma seja categorizada e então feito o
atendimento, primeiramente pelo nível 1, atendimento básico, onde o
suporte tentará resolver remotamente o problema e, não tendo sucesso,
o chamado irá para o nível 2, um suporte mais especializado e que
tentará entender o problema para resolver, e se este não resolver, então
é acionado o nível 3, que pode ser o desenvolvedor da solução.
As corporações que já possuem a ISO, independente de qual delas,

certamente devem ter os processos de trabalho bem-definidos e a
implantação da ITIL é muito tranquila, bastando formalizar somente
como serão os atendimentos, as partes envolvidas já estão acostumadas
a trabalhar dentro de um modelo e não se importarão em ter mais este
na área de TI como forma de estabelecer resultados para a empresa.
c. Processo de abertura de chamados
Voltando à ITIL, os usuários devem abrir os chamados por um ramal,

telefone ou mesmo por um site (intranet) para formalizar os problemas
que estão enfrentando. O chamado necessariamente é atendido por
um suporte primeiro nível, que categoriza o tipo de chamado que
está sendo aberto, e como primeiro nível, seguindo um script, eles
tentam solucionar o problema e encerrar o chamado após a devida
categorização, como já apresentado no capítulo anterior.
Toda a necessidade de se ter um correto registro do chamado é para

que seja contabilizado de forma correta no book (livro com os registros e
tudo o que aconteceu na operação ao longo do mês) de atividades.
67
Quando este chamado não consegue ser resolvido no primeiro nível,
deve ser direcionado para o segundo nível da área específica. Neste
momento, algum especialista irá atender o usuário e classificar
o chamado.
Figura 4 – Arquivamento
Fonte: Nirat/iStock.com.
As categorias referidas no texto vão além de dizer se o chamado é sobre

uma impressora que está parada ou mesmo um sistema que cisma
em não funcionar, mas sim para dizer se aquele atendimento é um
incidente, problema ou mesmo uma mudança.
4. A fase de operação de serviço
Sempre é classificada como mudança algo que irá mudar o ambiente,

tanto físico como lógico (no caso da instalação de software), qualquer
alteração na forma de operação. A necessidade de classificar uma
solicitação como mudança é por mexer na estrutura atual e qualquer
mudança pode sim causar um impacto no ambiente.
Antes mesmo de executar esta mudança, devem ser feitos testes e

passar por aprovações em um comitê que entenda o que acontecerá
com o ambiente após a mudança.
68
68
Este comitê é formado por pessoas técnicas e gestores que podem
aprovar ou rejeitar a mudança por não ser seguro para o ambiente que
se faça tal mudança.
Em caso de aprovação, segue-se o fluxo e é agendada uma data para

que ocorra, em caso de rejeição, esta solicitação de mudança retorna
para o planejamento e deve ser revisada, replanejada, corrigido seus
pontos de vulnerabilidades e assim retornar para o comitê para nova
tentativa de aprovação.
Figura 5 – Transformação, mudança
Fonte: Mathisa_s/iStock.com.
Essas validações podem levar meses, caso não se tenha segurança

de que a mudança não interferirá na operação da empresa com
relação à TI.
Mudanças são importantes, necessárias e o resultado de uma

mudança bem planejada e bem feita resulta no sucesso e na evolução
do ambiente. Este processo faz parte do crescimento da empresa.
A empresa tem que investir em tecnologia e sistemas, para implantar
essas inovações são necessárias mudanças e estas mudanças passam
pela ITIL devem ser mapeadas e acompanhadas, registradas e devem
entrar para o book de atividades do final do período.
69
As mudanças impactam também a gerência de configurações
automaticamente. A cada mudança no ambiente, muitas vezes atualização
de software ou sistemas, deve ser documentada linha a linha da alteração
para que se possa acompanhar o pós-migração e, caso ocorra algum
imprevisto, esta alteração pode ser revista e cancelada por meio de
retorno ou rollback. Estas novas versões devem estar documentadas na
gerência de configuração, ou seja, após mudanças, a documentação da
gerência de configurações é necessariamente atualizada.
a. Gerência de incidentes na ITIL
Caso o chamado não seja para alteração do ambiente, mas sim para
resolver algum incidente, este deve ser categorizado para a gerência
de incidentes.
Desta forma, a equipe que atua no chamado tem a preocupação de

restabelecer o ambiente, colocá-lo funcional para depois se preocupar
em entender o que aconteceu de fato.
O trabalho da equipe de incidentes, apesar da urgência em disponibilizar

o ambiente no caso de alguma interrupção ou mesmo restabelecer
a impressora que parou, deve ter um processo bem definido, e para
a implantação deste processo dentro da ITIL na TI é descrito em um
documento que estabelece como será feito o atendimento e qual
objetivo que se quer atingir.
A gerência de incidentes deve registar o ocorrido e descrever como foi

a solução para que o ambiente voltasse ao normal. Este detalhamento
contribuirá para a solução do problema.
As análises para identificar o que realmente causou o incidente podem

levar dias, meses e, se novamente o incidente acontecer nesse período,
o problema torna-se crítico e a direção da empresa normalmente é
envolvida para a tomada de decisões.
70
70
Ao término da solução do problema, é registrado o que aconteceu,
qual a causa e a solução definitiva para que ele não mais ocorra.
Este registro é feito em um sistema e também deve estar na
classificação ao final do período.
Normalmente, a solução para os problemas termina em investimentos

que devem ser feitos para a troca de equipamentos, aquisições de
novos sistemas ou mesmo substituição de uma tecnologia. Para tanto,
envolve-se a gestão de aquisições e para que sejam feitas as mudanças,
novamente acionando a gerência de mudanças que se preparará para
atender a essa mudança e o ciclo que se reinicia.
5. Melhoria contínua, um ciclo
A melhoria contínua estabelece um ciclo que se reinicia sempre quando

ocorre a necessidade de exercitar um trabalho contínuo e melhorado
a cada ciclo na empresa com relação à tecnologia, como forma de
amadurecimento.
Cada processo ou gerência da ITIL permite que se apure os resultados

parciais e que se estabeleça o que se quer nesse ciclo.
Necessariamente. as empresas que investem em ter a ITIL como modelo

de gestão de tecnologia compreendem que as estratégias da empresa
devem ser acompanhadas por TI.
A ITIL é uma biblioteca de melhores práticas que traz maturidade no

processo de gestão de TI das empresas.
A implantação deste modelo pode ser iniciada de forma simples,

como o exemplo de gestão apresentado neste texto, e evoluir para
outras gerências que têm a missão de incrementar os valores que a TI
entregará para a empresa.
As corporações cada vez mais reconhecem que a TI é parte do negócio e

a ITIL ajuda na apresentação de forma estruturada deste valor.
71
Figura 6 – Melhoria contínua
Fonte: Olivier Le Moal/iStock.com.
O início da implantação de um modelo é sempre bastante difícil por

passar pela revisão de processos, mas ao longo da implantação,
percebe-se o quão importante é ter esse processo bem definido e o
valor que trará para a empresa. Desta forma, as pessoas envolvidas
na implantação se envolvem para fazer o melhor e naturalmente o
processo aparece e a ITIL se encaixa nele. Após os primeiros meses, os
valores começam a aparecer. Portanto, o investimento nos modelos de
gestão sempre é bem-vindo nas empresas que têm necessidade de se
organizarem para crescer. Invista nisso!
TEORIA EM PRÁTICA
Reflita sobre a seguinte situação: você é convidado
para entrar em uma empresa bastante famosa, mas
sem um modelo de ITIL bem definido. Desta forma,
é sua missão minimamente rever os processos e
72
72
implantar a ITIL de forma efetiva. Descreva um modelo
que seja efetivo mediante análise e justifique o porquê
deste modelo proposto e quais serão os ganhos reais
para a gestão a empresa.
1. Mudanças são importantes, necessárias e o resultado

de uma mudança bem planejada e bem feita resulta
no sucesso e na evolução do ambiente. Este processo
faz parte do crescimento da empresa. A empresa tem
que investir em tecnologia e sistemas, para implantar
essas inovações são necessárias mudanças e estas
mudanças passam pela ITIL e devem ser mapeadas e
acompanhadas, registradas e devem entrar para o book
de atividades do final do período. Mudanças fazem parte
de qual grupo de processos?
a. Gerência de Incidentes.
b. SLA.
c. Gerência de Problemas.
d. Gerência de Configuração.
e. Gerência de Mudanças.
2. A necessidade de se manter em primeiro lugar no

mercado, a fim de manter o valor da empresa no topo,
exige que se tenha alguma maneira de se controlar as
alterações e manutenções de TI. Isto é feito pelo:
73
a. Cobit.
b. SLA.
c. ITIL.
d. PMI.
e. Scrum.
3. Ao término da solução do problema é registrado o que

aconteceu, qual a causa e a solução definitiva para que
ele não mais ocorra. Este registro é feito em um sistema
e também deve estar na classificação ao final do período.
Qual gerência tem essa responsabilidade?
a. Gerência de Problemas.
b. Gerência de Configuração.
c. Gerência de Incidentes.
d. Gerência de Mudanças.
e. Gerência de Escopo.
Editora, 2010.
74
74
Gabarito
Questão 1 – Resposta: E
Resolução: Toda mudança é tratada na Gerência de Mudanças.
Resolução: ITIL permite gerar resultados que entregam valores.
Resolução: Gerência de Problemas, pois trata em definitivo o
problema na sua causa raiz.
75
COBIT: o cubo na estratégia
das empresas
Objetivos
• Conhecer a visão geral e o propósito do COBIT.
• Entender a estrutura do COBIT como framework

integrado único.
• Conhecer o modelo de processos do COBIT.
• Conhecer as diretrizes de Implementação do COBIT.
76
76
1. O propósito do COBIT
Esta leitura fundamental tem como objetivo apresentar a você o

framework COBIT e suas possibilidades iniciais e resultados obtidos.
Esta proposta pode e deve ser alterada caso você perceba que as
empresas não são iguais e cada uma delas tem um processo diferente
e necessidades diferentes, dado o momento da empresa e, também,
da economia.
PARA SABER MAIS

Para entender melhor as aplicações do COBIT, leia o livro de
Aguinaldo e Vladimir sobre o processo de implantação da
governança em TI nas organizações.
Leia o livro:
1.1 COBIT: O Cubo na Estratégia das Empresas
Desenvolvido pelo ISACA*, o COBIT (Control Objectives for Information

and Related Technologies) é um framework de boas práticas de
governança de TI, que contribui na entrega de resultados para a alta
direção das empresas, em uma solução de modelos de processos
que podem ser implementados. Este framework tem recursos que
atendem como um modelo de governança de TI e principalmente ao
negócio, tendo como parte do modelo um sumário executivo, com
controles e mapas de auditoria, onde são descritas suas ferramentas
de implementação e gerenciamento.
77
Como uma associação global independente e sem fins lucrativos, a
ISACA se engaja no desenvolvimento, adoção e uso de conhecimentos
e práticas mundialmente aceitos e líderes do setor para sistemas de
informação. Anteriormente conhecida como Associação de Auditoria e
Controle de Sistemas de Informação, a ISACA agora segue apenas seu
acrônimo, para refletir a ampla gama de profissionais de governança de TI
que atende. (ISACA, 2019, s/p)
Conforme a ISACA, o COBIT foi lançado em 1996, sendo originalmente

um conjunto de objetivos de controle para ajudar a comunidade de
auditoria financeira a lidar melhor com ambientes relacionados à TI.
Tendo como ponto forte o seu valor na expansão do framework além do

domínio de auditoria, a ISACA lançou uma versão mais ampla, a 2 em
1998 e expandiu ainda mais, adicionando diretrizes de gerenciamento na
versão 3 na década de 2000. O desenvolvimento de ambos os padrões
[AS 8015]: Australian Standard for Corporate Governance of Information
and Communication Technology em janeiro de 2005 e o padrão mais
internacional ISO/IEC DIS 29382 (que logo se tornou ISO/IEC 38500 em janeiro
de 2007 ) aumentaram a conscientização sobre a necessidade de mais
componentes de governança tecnologias de informação e comunicação (TIC).
Inevitavelmente a ISACA adicionou componentes/frameworks relacionados
com as versões 4 e 4.1 em 2005 e 2007, respectivamente, «abordando os
processos e responsabilidades de negócios relacionados à TI na criação de
valor (Val IT) e gerenciamento de risco (Risk IT). (ISACA, 2019, s/p)
O COBIT 5 foi liberado em 2012, é a atual versão do framework. Sua

principal característica é a integração com outros conjuntos de boas
práticas e metodologias, como padrões ISO, ITIL, entre outros modelos.
Este modelo foi construído e integrado com base em 20 anos

de desenvolvimento em governança, mantendo sua história
inicial na comunidade de auditoria de TI, o COBIT se tornou um
framework de Governança e Gerenciamento de TI mais abrangente,
compreensivo e aceito.
78
78
O COBIT 5 foi adicionalmente complementado com os frameworks Val IT
e Risk IT, incorporados [ISACA, 2019].
De acordo com o ISACA, o COBIT é composto de 5 fundamentos:
• Atender às necessidades das partes interessadas dentro

de uma organização.
• Permear todas as áreas das organizações com seu framework.
• Framework integrado e único para toda a empresa.
• Estabelecer uma visão holística.
• Deixar claro as diferenças entre Governança e Gerenciamento.
O COBIT é recomendado para as empresas que possuem o objetivo de

melhorar o controle do investimento de TI, permitindo que o aporte seja
retornado em um tempo estabelecido pela gestão, sendo estes números
incorporados às métricas e indicadores de desempenho.
O resultado que o COBIT pode trazer independe de softwares específicos

ou mesmo arquiteturas definidas pela TI, nem tão pouco depende do
negócio da empresa, este framework cabe em qualquer segmento onde
o objetivo é apresentar melhores resultados da TI.
O valor agregado às empresas fez com que o COBIT se tornasse popular

nas gestões, como modelo ligado diretamente ao negócio na geração de
valor para as corporações. Ou seja, desde 1996, quando o ISACA lançou
sua primeira versão, o COBIT está presente nas empresas que almejam
outro patamar no mercado.
O valor agregado permite que a empresa cresça e atinja outro patamar

nos negócios. A necessidade de se ter governança e implantar modelos
para buscar resultados é justamente crescer de forma saudável e
79
planejada, ou seja, crescer em faturamento implica em crescer em
pessoas e infraestrutura. Como isso é estimado para que a empresa
cresça, mas não fique inchada? Por meio dos resultados gerados pels
ITIL e Cobit.
Desde 2012, até os dias de hoje, ele interfere diretamente em processos

de auditoria, onde o foco é responder às questões de investimento em
TI e onde se quer chegar, atendendo às leis e normas dentro de cada
segmento. Empresas que já possuem alguma certificação de qualidade,
como a ISO, facilmente incorporam o COBIT dentro do processo já
organizado e otimizado.
1.2 COBIT 5,0 e os processos
Na primeira década do século XXI, as empresas identificaram a

necessidade de um controle mais acirrado em riscos, depois da bolha
da internet aprimorar a identificação do que realmente seria importante
para as empresas e buscar uma maior agregação de valor ao negócio, foi
então que o ISACA investiu na atualização da versão do COBIT, depois de
algumas melhorias surgiu o COBIT 5.
Figura 1 – Processos
Fonte: Sodafish/iStock.com.
80
80
Processos bem definidos permitem que os resultados apareçam de
forma simples e rápida. Uma das principais vantagens de se possuir
uma governança corporativa forte é o reflexo dessa gestão na TI.
Uma vez estando consolidada, as partes interessadas trabalham
fortemente para entregar o resultado, pois sabem da sua importância.
Em sua versão 5, o COBIT incorporou neste framework o VAL IT e

o RISK IT. O primeiro deles incorpora valor ao negócio, foco em
trabalhar com processos de negócios bem definidos, e o segundo
avalia os riscos intrínsecos ao negócio, tornando mais robusto o
modelo, com foco em resultados.
O framework é um conjunto de processos genéricos, com foco em

gerenciamento de TI, onde são definidos por entradas e saídas,
trabalhando com KPA’s e KPI’s como medida de desempenho e boas
práticas para o processo de governança e controle de sistemas de
informação e tecnologia, a fim de alinhar o negócio com a tecnologia.
2. O framework
O COBIT é representado por um cubo, seus processos e recursos estão

dentro deste cubo que atende às necessidades da busca pelos resultados.
Figura 2 – O cubo do COBIT
Fonte: www.isaca.org. Acesso em: 15 out. 2019.
81
O funcionamento dele é intrínseco e apoiado em 4 domínios que regem
este modelo para a TI, ou seja, permeia os processos. Os 4 domínios são:
• Alinhar, Planejar e Organizar.
• Construir, Adquirir e Implementar.
• Entregar, Servir e Suportar.
• Monitorar, Avaliar e Analisar.
Além de 32 processos alinhados com as áreas de responsabilidade de

planejar, construir, executar e monitorar, funcionando exatamente como
um cubo, será abordado com mais detalhes na sequência deste texto.
Todos os processos atendem ao mais alto nível da gestão de TI,

entregando os resultados alinhados com outros modelos de governança,
como COSO, ISO 38500, ITIL, PMBoK (PMI) e Scrum, todos muito bem
posicionados no mercado e funcionam como uma engrenagem.
Figura 3 – Engrenagens e processos
Fonte: NicoElNino/iStock.com.
Essa engrenagem funciona interligando-se com cada um dos processos

que fazem parte de cada um dos domínios, como mostrado na figura
em forma de tabela no final do texto, e todos colaboram para o
resultado final.
82
82
Quando bem utilizado, este framework funciona como um guarda-
chuvas de soluções que garante a conformidade e regula as normas
para atender às certificações ou leis, podendo também trabalhar com
processos que realmente importam e que gerem valor para a empresa,
desprezando dados que não importam em nada a tomada de decisões,
auxiliando no cumprimento de cronogramas, planilhas exatas, etc., de
forma integrada.
Figura 4 – Integração
Fonte: UnitoneVector/iStock.com.
2.1 Componentes do COBIT
De forma integrada, o COBIT possui os seguintes componentes:
• Organizador de processos de governança atrelados a boas

práticas e domínios de processos de TI, com os requisitos
de negócios.
• Controlar um conjunto completo de resultados para o alto nível

de gestão, mapeando áreas para que ocorra o planejamento,
construção, execução e monitoramento.
• Maturidade em processos de gestão, governança e diretrizes

de gerenciamento em diversos modelos, mantendo-se no topo
da governança.
83
2.2 O cubo
O modelo em cubo utilizado pelo COBIT está estruturado como segue,

dividido, mas trabalhando junto.
Tabela 1 – Requisitos de negócio

Ser efetivo na geração de informações e dados
Efetividade importantes para o processo de negócio,
informações corretas e consistentes.
Entrega da informação de forma mais
Eficiência
produtiva, econômica e rápida.
Entrega com proteção dos dados a fim de garantir
Confidencialidade
segurança contra divulgação indevida.
Entrega da informação inteira, de forma
Integridade
que ela seja confiável, íntegra.
Entrega de informação que esteja acessível e
Disponibilidade
utilizável quando necessária ao negócio.
Estar de acordo com as leis, regulamentos e
Conformidade
obrigações contratuais relacionadas ao negócio.
Confiabilidade Entrega da informação apropriada para tomada de decisão.
Os Recursos de TI, que estão dentro do cubo, interagem com as

necessidades de negócio por meio de:
Tabela 2 – Interação entre recursos de TI e as necessidades do negócio

Sistemas presentes na estrutura das empresas
Aplicações
para geração de informação.
Infraestrutura Infraestrutura de dados, servidores, redes de dados e voz.
Dados gerados e usados pelos sistemas de

Informações
informação para a geração de resultados.
Pessoas, recursos humanos que trabalharão nos

Pessoas procesos para planejar, organizar, adquirir, entregar,
dar suporte, monitorar todos os procesos de TI.
84
84
Os processos de TI dentro deste cubo são respectivamente:
• Domínios.
• Processos.
• Atividades.
E cada processo deve conter os seguintes pontos:
• Nome do processo.
• Descrição do processo.
• Critérios de informação.
• Declaração genérica de ações.
• Indicadores de performance.
• Recursos de TI envolvidos.
• Objetivos de controle detalhados.
• Diretrizes de gerenciamento.
• Entradas.
• Saídas.
• Matrizes de responsabilidade.
• Objetivos e métricas.
• Modelo de maturidade.
Cada um dos itens pontuados acima deve ser colocado na

documentação da governança em TI, que armazenará a informação
devidamente preenchida. Desta forma, temos os requisitos para
obtenção das informações.
85
A tabela que segue, elaborada pelo ISACA, mostra devidamente cada um
dos processos que compõem o framework e seus devidos papéis:
Figura 4 – Tabela dos processos e domínios do COBIT
Fonte: adaptado de http://manoelveras.com.br/blog. Acesso em: 15 jan. 2020.
Cada um dos itens descritos na figura 4, representando uma tabela de

domínios e seus processos, compõe o COBIT que deve ser mapeado e
implantado.
Em cada uma das camadas desta tabela, são apresentados

4 grupos de processos conhecidos como domínios, sendo: “avaliar, dirigir e
monitorar” (também conhecidos como Evaluate, Direct and Monitor – EDM).
Esta parte da tabela atende à alta direção da gestão de TI, com

processos claros para a tomada de decisão, que são alimentados pelos
outros grupos de processos ou domínios.
86
86
Este domínio e seus processos devem permitir que se criem valores
para a TI da empresa, bem como os domínios que estão abaixo deste
(os 4 domínios).
Como ele está posicionado no mais alto nível da organização, cada

um dos processos estabelecidos nesta tabela deve ser descrito na
documentação da governança que farão a governança em TI funcionar.
A parte de Processos de Gestão de Governança em TI para as empresas

é composta de 4 domínios, já comentados anteriormente, e dentro de
cada um desses domínios, suas necessidades especificadas.
O primeiro domínio deles é o APO (Alinhar, Planejar e Organizar).

voltado para a identificação de como a TI pode melhorar e aprimorar
sua contribuição com os objetivos de negócio, estando alinhados com a
estratégia e táticas de TI, além de contribuir para a gerência dos projetos.
O domínio BAI (Construir, Adquirir e Implementar) concretiza a

estratégia de TI, identificando os requisitos para a TI e gerenciando o
programa de investimentos em TI e suas áreas relacionadas, além de
gerenciar a capacidade; mudanças (TI); ativos e configuração.
O próximo domínio é o DSS (Entregar, Servir e Suportar) referente aos

serviços de TI necessários para atender aos planos táticos e estratégicos,
cuidando das operações da TI e áreas afins.
O útimo dominio é aquele que Monitora, Avalia e Analisa como forma

de finalizar e trabalhar na melhoria contínua.
Para cada domínio independentemente, pode-se criar sub processos

para atender às necessidades da empresa com detalhamento maior,
caso necessário.
É importante estabelecer na empresa quais são os resultados desejados

e, em um primeiro momento, trabalhar para colocar o COBIT em
domínios que façam a diferença.
87
Não quer dizer que existe um domínio mais importante do que o outro,
mas sim o valor que cada um deles pode trazer para a organização,
considerando o seu momento dentro do cenário econômico.
3. Diretrizes de implementação
O processo de implantação do COBIT, fazer o mesmo funcionar e trazer

os resultados esperados pela alta gestão da empresa dependem da
maturidade de governança que se tem.
Os resultados esperados provenientes do COBIT dependem dos

resultados obtidos por ferramentas e softwares, e também da boa
configuração e funcionamento adequado da biblioteca ITIL.
O COBIT é meramente um framework que separa os dados e traduz

em informações com base no que ele recebe das outras ferramentas
de gestão.
Se o dado que é fornecido ao COBIT estiver inconsistente, certamente o

resultado não será satisfatório.
Para uma boa implementação, verifique inicialmente quais informações

são relevantes no momento para a empresa e trabalhe antes nas
informações que são passadas pelos outros modelos de governança.
Isso vale não somente para ITIL, mas modelo de gestão de projetos,
independente do modelo escolhido pela empresa, pela ISO implantada
(se é que a empresa possui uma certificação ISO) e todos os modelos de
governança aplicados, para se ter um resultado.
Como implantar? Inicialmente revise todos os processos da empresa.

Tenha certeza de que a empresa trabalha de forma a conseguir
resultados que de verdade contribuam para o próprio crescimento.
88
88
Todo o processo de implantação deste framework demanda tempo,

dedicação e ter na empresa a certeza de que o COBIT, assim como os
outros modelos de governança em TI, é importante para a tomada
de decisão de colocar a empresa em outro patamar. Ao término da
implantação não existe um fim, mas sim um trabalho contínuo de
constante melhoria nos processos. Sucesso!
TEORIA EM PRÁTICA
Descreva uma solução de implantação do COBIT em uma
empresa cujo foco é gestão de Projetos. Desta forma,
utilizando Planejar e Organizar, PO10 – Gerenciar Projetos.
Definir quais objetivos devem ser atendidos nessa solução.
1. Domínio voltado para a identificação de como a TI pode
melhorar e aprimorar sua contribuição com os objetivos
de negócio, estando alinhados com a estratégia e táticas
de TI, além de contribuir para a gerência dos projetos.
De qual domínio do COBIT estamos falando?
a. DSS.
b. BAI.
c. APO.
d. AII.
e. CSS.
89
2. Os processos de TI dentro deste cubo são,
respectivamente:
a. Domínios e processos.
b. Analise, avaliação e descrição.
c. Diretrizes e normas.
d. Domínios, processos e atividades.
e. Desenvolvimento e aperfeiçoamento.
3. Os recursos de TI, que estão dentro do cubo, interagem

com as necessidades de negócio por meio de:
a. Domínios e processos.
b. Informações e somente pessoas.
c. Infraestrutura e Recursos Humanos.
d. Aplicações e suporte.
e. Aplicações, infraestrutura, informações e pessoas.
Editora, 2010.
Information Systems Audit and Control Association. Disponível em: www.isaca.org.
Acesso em: 15 out. 2019.
90
90
Gabarito
Resolução: Alinhar, planejar e organizar.
Resolução: Domínios, processos e atividades respectivamente
nessa ordem e dependência.
Resolução: Aplicações, infraestrutura, informações e pessoas,
respectivamente que se complementam no cubo.
91
Gestão de projetos
e os modelos ágeis
Objetivos
• Conhecer o método ágil Scrum.
• Discutir o impacto da implementação

do ágil na gestão de projetos.
• Localizar o uso de métodos ágeis

na gestão de projetos.
92
92
1. A gestão de projetos e modelos ágeis
Esta leitura tem como objetivo apresentar a você a gestão de projetos de

forma ágil, a fim de conseguir os resultados dos projetos trabalhando de
forma mais rápida e assertiva. Esta proposta pode e deve ser alterada
a cada caso em específico, pois diferentes empresas, em diferentes
contextos, requerem adaptações para sua gestão. De outro modo, cada
organização apresenta processos e necessidades diferentes, dado a
economia e/ou o momento onde se encontra a empresa.
PARA SABER MAIS

Para conhecer mais sobre a metodologia ágil Scrum, leia o
título abaixo:
Leia o livro:
SUTHERLAND, Jeff. Scrum – A Arte de Fazer o Dobro de
Trabalho na Metade do Tempo. São Paulo: Ed. Leya, 2014.
1.1 Modelos, métodos ou metodologias ágeis
Ágil, conceito de agilidade, de acordo com Sutherland, é resolver as

coisas e atuar em mudanças de forma rápida, resolver dificuldades de
forma simples.
Modelos ou métodos (metodologia) ágeis surgiram em desenvolvimento

de software, tema abordado em livros de engenharia de software ou
mesmo em temas ligados à ciência da computação.
Há vários modelos para desenvolvimento ágil no mercado, permitindo

que os projetos sejam concluídos em menos tempo e menor riscos em
curtos períodos. Tais modelos são considerados iterativos. As entregas
ou fases consomem em torno de uma a duas semanas.
93
Os processos iterativos são características de modelos ágeis, que
contribuem para que cada fase funcione como um pequeno projeto,
incluindo funcionalidades dentro de cada incremento do projeto ou
como planejamento, análise de requisitos, projeto, codificação, teste e
documentação em desenvolvimento de software.
Os modelos ágeis surgiram para resolver problemas de desenvolvimento

de software com prazos extensos. que normalmente perdia-se ao longo
do tempo, causando erros, retrabalhos, afetando o custo e o prazo dos
projetos.
Trabalhar com métodos ou modelos ágeis é manter o foco em se

comunicar em tempo real. Entre outras características marcantes dos
modelos ágeis, há a produção de menos documentações e papéis.
O modelo Scrum é proveniente do Desenvolvimento Ágil de Software

e um dos modelos ágeis, composto de um conjunto de processos e
práticas que são utilizados para a criação de um produto e até então um
software, mas este modelo não se apresenta limitado a desenvolvimento
de software.
As metodologias e frameworks, portanto, estão dentro do conceito de

desenvolvimento ágil. Abaixo, uma imagem que representa os ciclos
iterativos previstos na metodologia ágil:
Figura 1 – Modelos ou metodologias ágeis
Fonte: 300_librarians/iStock.com.
94
94
1.2 O modelo Scrum
Desenvolvido por Jeff Sutherland, o modelo Scrum foi criado para atender
às necessidades de gerenciamento de desenvolvimento de sistemas de
forma rápida e eficaz, assim deixando de ter um projeto de software
desenvolvido durante longos meses, ou mesmo em anos, e ao final o
resultado não ser conforme planejado ou pactuado no início do projeto.
Elaborado há 20 anos, baseado no modelo cascata de desenvolvimento

de sistemas, Sutherland desenvolveu o Scrum para que os resultados
dos projetos aparecessem de forma rápida. Observou por tempos
como as pessoas realmente trabalham e não como elas dizem o que
fazer, e desta forma, mudou-se completamente a forma de se planejar
um projeto.
O planejamento interminável, a fim de atingir a perfeição imutável,

não serve para nada quando o assunto são startups, por exemplo, e
empresas que caminham na direção da Indústria 4.0.
Este conceito, como mesmo diz Sutherland, mudou a forma de trabalhar

de gestores de projetos e desenvolvedores de sistema, fazendo com que
os resultados apareçam.
O termo Scrum vem do Rugbi, referindo-se à forma como um time

trabalha e joga o esporte dentro de campo, trabalhando junto para
avançar com a bola no campo, de forma cuidadosa, com unidade de
propósito, clareza de objetivo, unindo-se e deixando claro o que a
equipe quer fazer.
95
Figura 2 – Definição de modelo ágil Scrum
Fonte: pikepicture/iStock.com.
Tradicionalmente existe uma expectativa que os projetos sejam

controlados, com escopo bem definido e documentação robusta, mas
na vida real, observados por Sutherland, não é assim que os resultados
aparecem e nem sequer dentro do tempo esperado. Desta forma,
consomem-se meses de esforço para o planejamento de todos os
detalhes, a fim de não ocorrer erros dentro dos projetos e de se manter
dentro do orçamento e no prazo.
O Scrum tem como missão apoiar projetos em contextos de incerteza

e considerando a variável da criatividade. Permite que no processo
de aprendizagem as equipes possam criar dentro do que já fizeram,
aproveitando as equipes de trabalho que estão disponíveis, mantendo a
velocidade e a qualidade de seu trabalho.
De acordo com Sutherland, o Scrum tem como base uma ideia simples:
ao começar um projeto, verificar de tempos em tempos o que está
sendo feito e como está sendo feito, mantendo reuniões diárias
rápidas onde é possível entender o que e como as atividades estão
se desenrolando. Ao longo dessas verificações, há a possibilidade de
aprimorar como o desenvolvimento e aferir os resultados. Este processo
dentro do Scrum é chamado de ciclo de “Inspeção e Adaptação”.
96
96
Os resultados finais do Scrum ao término do projeto, dentro dos
objetivos e escopo, as equipes melhoraram definitivamente a
produtividade, sendo capazes de entregar o projeto de forma mais
efetiva e com menos impactos negativos aos projetos.
O Scrum, por mais que esteja dentro do conceito ágil, não é uma
metodologia, pois não existe de verdade um método a seguir, mas
sim concluir com sucesso, onde são priorizadas as pessoas e não os
processos em si.
Trabalhar de forma ágil é uma máxima que está alinhada ao conceito do

“Manifesto Ágil” que, inclusive, não está alinhado ao propósito do Scrum
de Sutherland.
A proposta de trabalhar com um modelo definido antecipadamente e

fazer com que os processos sejam mais importantes que as pessoas vai
contra a proposta do Scrum. Desta forma, estabelece-se que as pessoas
são o centro do projeto e verifica-se sistematicamente, diariamente, o
que está sendo concluído, coloca-se o projeto em um ciclo que determina
o que e como será feito na sequência. Ademais, verifica-se também se as
atividades e objetivos foram atingidos e assim sucessivamente.
Figura 3 – Esboço do ciclo do Scrum
Fonte: VectorMine/iStock.com.
97
Ainda sobre Scrum, leia o trecho o a seguir:
No Scrum chamamos esses ciclos de Sprint [corrida de velocidade de curta

distância]. No início de cada ciclo, acontece uma reunião para planejar o
Sprint. A equipe decide a quantidade de trabalho que acredita ser capaz
de realizar nas duas semanas seguintes. Eles escolhem as tarefas na lista
de prioridades, as anotam em post-its e os colam na parede. A equipe
decide quantas tarefas será capaz de executar em duas semanas. No final
do Sprint, a equipe se reúne e mostra o que conseguiu realizar naquele
tempo. Eles analisam quantos dos post-its da parede realmente foram
concluídos. Será que tinham escolhido tarefas demais e não conseguiram
concluir todas? Ou será que haviam escolhido poucas? O importante era
que começassem a estabelecer uma base para sentir o ritmo do trabalho
— a velocidade que conseguiam atingir. (Sutherland, 2014)
Trabalhar com Sprints no Scrum é permitir que estes ciclos governem

o modo de gerenciar projetos e permitir que, com as repetições nos
ciclos, é possível estabelecer a cadência do tempo em que serão feitas
as entregas e depois então determinar como serão as próximas Sprints e
qual o tempo efetivamente que serão terminadas.
1.3 PDCA
Os ciclos ou Sprints do Scrum trabalham com base no ciclo PDCA (Plan-

Do-Check-Act), ou seja, esse ciclo permite trabalhar na melhoria contínua
e, desta forma, sem um modelo engessado, é possível descrever cada
um dos passos que devem ser seguidos, como planejar, fazer, checar e
acionar, e assim sucessivamente. Este ciclo segue-se até o término da
entrega do projeto.
98
98
Figura 4 – Ciclo PDCA
Fonte: orsonsurf/iStock.com.
Cada uma das letras desta sigla tem um significado, como P (Plan),
planejar para somente depois executar. Mas planejar não é algo longo,
tampouco depende de grandes cronogramas, mas sim planejamento
rápido, focado em um resultado específico. A letra D (Do) significa fazer,
ou seja, após o planejamento, faça! Execute a atividade planejada do
seu projeto. A letra C (Check) significa checar, ou verificar cada execução,
verificar cada ciclo de execução das atividades do seu projeto, verificar
erros antes do projeto terminar. Por fim, a letra A (Act) significa agir. Aja
para que as correções sejam feitas a tempo. Para que não percamos o
projeto, o objetivo é identificar e corrigir qualquer problema ou desvio.
O Scrum trabalha desta mesma forma, dentro de um ciclo que é

chamado de Sprints, e cada uma das Sprints possui validações diárias
para que eventuais erros ou atrasos sejam identificados inicialmente.
Tais ciclos iterativos fomentam os elementos ilustrados a seguir:
99
Figura 5 – Esboço do SCRUM
Fonte: VectorMine/iStock.com.
1.4 Os papéis dentro do Scrum
Existem diversos papéis exercidos por diversos personagens dentro de

um ciclo do Scrum, o primeiro deles é o mais é falado no processo, o
Scrum Master, ocupado por um líder que acompanhará o projeto como
um gerente de projetos.
Cabe ao Scrum Master conduzir as reuniões diárias, também chamadas

de Daily Scrum, e conduzir a equipe para que a sprint seja concluída.
O Scrum Master é também responsável por alinhar o Team (time

composto pela equipe técnica) e os pedidos do Product Owner, o sponsor
do projeto.
O Product Owner é o sponsor do projeto, o demandante, a pessoa que

contratou a equipe para realizar o projeto, o dono do projeto, ele quem
demanda como devem ser realizadas as sprints e como realizar as ações
e suas ordenações. Ele pode interferir no projeto a ponto de alinhar as
entregas de acordo com as necessidades e ajustes no escopo do projeto.
100
100
O Team é composto pela equipe técnica do projeto e é quem realizará
as atividades do projeto ou as listas de atividades. Responsáveis pelas
entregas, reportam-se diretamente ao Scrum Master.
As atividades que serão desenvolvidas pelo time estão organizadas

em listas, que são conhecidas como Product Backlog. Estas listas são
alinhadas entre o Product Owner e o Scrum Master ao início do projeto,
identificando quais atividades serão feitas ao longo dos ciclos e
organizando-as para que sejam cumpridas como necessário.
1.5 O ciclo Scrum
As sprints são formas de controlar o tempo, controlar os ciclos de cada

etapa do projeto. As sprints são processos cíclicos que podem ter de
duas a oito semanas de duração e sempre ao final vão entregar uma
parte do projeto de fato.
O acompanhamento do ciclo ao longo do seu processo é feito por meio

de reuniões diárias chamadas Daily Scrum, que acontecem 15 (quinze)
minutos antes do dia efetivamente começar. As pessoas que compõem
o Team de projeto, junto com o Scrum Master e o Product Owner que
podem participar destas reuniões, acompanham as atividades que
aconteceram ontem, irão acontecer hoje, e quais problemas foram
enfrentados neste dia. Três questões que posicionam as atividades e
permitem que toda a equipe trabalhe no projeto, entendendo quais são
as dificuldades e pendências neste sprint.
Uma forma de apresentação deste “cronograma” tratado nas Daily

Scrum é no formato Kanban, modelo aplicado no projeto da Toyota e que
passou a fazer parte dos projetos como forma de controle das atividades
por ser simples, de fácil entendimento e, o mais importante, ágil.
101
Figura 6 – Kanban
Fonte: Quarta_/iStock.com.
O Kanban, adaptado para o modelo Scrum, para atender ao ciclo, é

composto por um quadro onde são colocadas as atividades que ainda
estão por fazer, a que está sendo feita, as pendentes e as atividades
concluídas e, por meio de post-its, são colocadas as atividades nos
momentos em que elas estão dentro das sprints.
A troca destes post-its coloridos no quadro indica o andamento da sprint

e o cumprimento das atividades dentro desta lista.
Figura 7 – Reunião Scrum
Fonte: SurfUpVector/iStock.com.
102
102
As reuniões diárias devem ser rápidas e conclusivas para que a equipe
consiga trabalhar naquele dia no projeto. Mas além desta reunião diária
dentro do ciclo Scrum, ao término de uma sprint, temos a reunião de
review ou revisão para que seja tratado o que ficou pendente, quais as
dificuldades enfrentadas e discutir as lições aprendidas no processo.
Ao término de todas as sprints, ao final da entrega do projeto para o

Product Owner, é feita uma reunião de Retrospective, ou Retrospectiva,
para dividir com o grupo como foi feito o projeto, como foram
concluídas as sprints e como se chegou ao final.
Figura 6 – Planejamento ágil
Fonte: eduardrobert/iStock.com.
A forma de acompanhar cada uma das sprints dentro de um modelo

Scrum permite que sejam usadas diversas ferramentas, onde o
objetivo final é concluir o projeto que pode ou não ter mudado ao
longo do tempo.
Este projeto pode ter durado meses, ou mesmo anos, mas a cada ciclo
foi entregue algo com valor ao cliente, uma experiência boa, pois a cada
103
ciclo é permitido se aprimorar e se reinventar. Como já citado, permite-
se entregar a cada semana algo melhor para o cliente, e o projeto que
duraria anos, dura uma semana.
A sensação de agilidade nas entregas permite que os sponsor dos

projetos tenham certeza que cada integrante da equipe deu seu melhor
e que todos que participaram do projeto sabem exatamente o que
aconteceu em cada fase e que cada um contribuiu ativamente para que
a cada semana fosse entregue a respectiva parte do projeto.
Escolher um modelo que seja ágil, independentemente de ser o Scrum,

permite o exercício diário da busca pela qualidade e entrega do projeto
de forma surpreendente. O cliente tem certeza que cada membro da
equipe sabe o que exatamente foi entregue e que este desenvolvimento
foi feito de forma única. Sucesso!
TEORIA EM PRÁTICA
Dentro de um modelo ágil acontecem reuniões diárias,
com no máximo 15 minutos, para que sejam tratadas
e alinhadas as atividades da lista que serão executadas
naquele dia. Exercite uma reunião diária com membros da
sua equipe onde cada um deles tenha claro o que será feito
na data. No dia seguinte exercite as 3 questões:
1. O que você fez ontem para ajudar a equipe a

concluir o sprint?
2. O que você vai fazer hoje para ajudar a equipe a

concluir o sprint?
3. Que obstáculos a equipe está enfrentando?
Anote os resultados.
104
104
1. No modelo Scrum existem as reuniões diárias para

acompanhamento da lista de atividades, como é
chamada essa reunião tecnicamente dentro do Scrum?
a. Scrum Master.
b. Product Owner.
c. Daily Scrum.
d. Review.
e. Retrospective.
2. Como é conhecido no Scrum o líder das equipes de

projetos que diariamente acompanha as atividades
de projetos?
a. Daily Scrum.
b. Scrum Master.
c. Team.
d. Product Owner.
e. Sponsor.
3. As reuniões que acontecem ao final do projeto

permitem a todos que verifiquem o que aconteceu
ao longo de todas as sprints. Como é conhecida
esta reunião?
105
a. Sprint.
b. Daily Scrum.
c. Scrum Master.
d. Review.
e. Retrospective.
SUTHERLAND, Jeff. Scrum – A Arte de Fazer o Dobro de Trabalho na Metade do
Tempo. São Paulo: Ed. Leya, 2014.
Gabarito
Resolução: Daily Scrum.
Resolução: Scrum Master.
Resolução: Retrospective.
106
106
Visão geral de compliance:
COSO e resultados
Objetivos
• Entender processos de compliance.
• Ser capaz de compreender a importância do COSO.
• Articular COSO com resultados.
107
1. Compliance: COSO e resultados
Esta leitura tem como objetivo apresentar a você o COSO e suas

possibilidades iniciais e resultados obtidos. Esta proposta pode e deve
ser alterada caso perceba que as empresas não são iguais e cada uma
delas tem um processo diferente e necessidades diferentes, dado o
momento da empresa e da economia.
PARA SABER MAIS

Para aprofundar nos estudos das aplicações citadas no
decorrer desta leitura, buscar o assunto no respectivo
capítulo do livro indicado abaixo:
Leia o livro:
2. Visão geral de compliance: COSO e resultados

a. Compliance: controles e regras
Figura 1 – Compliance
Fonte: Warchi/iStock.com.
108
108
O compliance é um conjunto de normas e disciplinas que regem o
cumprimento das leis e normas, políticas, diretrizes definidas pela
organização, a fim de tratar eventuais desvios ou inconformidades
que possam ocorrer. Para garantia do compliance nas empresas,
surgiu o COSO.
O COSO é formado por representantes da American Accounting

Association, American Institute of Certified Public Accountants, Financial
Executives Internationl, Institute of Managements Accountants e pelo
Institute of Internal Auditors, ao qual está ligado a AUDIBRA – Instituto
dos Auditores Internos do Brasil, através da FLAI – Federação latino-
americana de Auditores Internos.
Desta forma, há cerca de 10 (dez) anos o Committee of Sponsoring

Organizations of the Treadway Commission (COSO) elaborou e publicou
a Internal Control – Integrated Framework para apoiar as organizações
na governança, avaliar e aperfeiçoar o modo como são feitos os
controles internos. Entidade sem fins lucrativos têm como missão
melhorar os resultados financeiros das empresas de forma que elas
apliquem a ética e mantenham o cumprimento dos controles internos
no Brasil e no mundo.
A partir deste momento, à estrutura do COSO foi incorporada as normas

e políticas das organizações, com o objetivo de cumprir os objetivos
determinados e atingir o compliance requerido pelo mercado. Neste
momento também se aumentou o foco com gerenciamento de riscos,
sendo cada vez maior a preocupação com a administração de riscos.
Em 2001, a COSO se preocupou em trabalhar na melhoria dos

processos de governança corporativa e gerenciamento de riscos,
atribuídos a novas leis e padrões a serem seguidos.
O objetivo de ter uma estrutura de gerenciamento de riscos

corporativos, capaz de fornecer os princípios, de forma fácil, com
109
orientações e direcionamentos claros, tornou-se ainda mais necessária.
Nos Estados Unidos, com grande apelo, existe a Lei Sarbanes-Oxley,
promulgada e implantada em 2002, e legislação semelhante está
sendo implantada ou mesmo promulgada em outros países. Essa lei
norte-americana estabelece a exigência de que empresas com capital
aberto mantenham sistemas de controle interno com certificações e
tenham os serviços de auditores independentes para atestar a eficácia
dos referidos sistemas.
A COSO, com sua regulamentação, constantemente vem sendo testada,

o que garante mais ainda sua aceitação para o atendimento dos
requisitos de comunicação.
Figura 2 – Regulamentações
Fonte: DNY59/iStock.com.
A estrutura do COSO é mantida por pessoas ligadas às empresas,

empresários e entidades de classe que se beneficiavam com manter o
compliance nas empresas, ou seja, todas as partes interessadas.
No COSO, sua estrutura cúbica permite mais facilidade em análise,

como apresentado na figura na sequência:
110
110
Figura 3 – Cubo do COSO
Para a implantação do COSO, faz-se necessário manter a governança

por meio da revisão de processos a fim de garantir que as normas estão
mapeadas e sendo seguidas.
Na busca por essa governança e na implementação do COSO, as

empresas trabalham nos seguintes itens:
• Comprometimento com a integridade e ética.
• Independência dos executivos nos controles internos.
• Responsabilidades com relação aos objetivos claros a

todos da empresa.
• Monitoramento e avaliação clara de riscos.
• Identificação dos riscos e cuidados a possíveis fraudes.
111
• Avaliação a mudanças e controle dos riscos e fraudes.
• Apoio à tecnologia como parte do processo de análise.
• Medidas e ações corretivas em caso de identificação de fraudes.
• Comunicação assertiva dos processos e mudanças.
• Atitude proativa nos posicionamentos com relação a riscos.
b. Avaliação de riscos e o COSO
Inicialmente, em uma implantação do COSO, é necessário o

mapeamento dos riscos intrínsecos aos processos das empresas.
Os riscos mapeados e o entendimento claro do que é um risco
dentro do ambiente corporativo é essencial para se iniciar uma
implantação do COSO.
Toda organização existe para gerar valor às partes interessadas, este é o

valor de cada organização e inerente ao negócio.
Independentemente disso, as organizações enfrentam incertezas, e a

grande batalha de seus administradores é entender e aceitar o ponto
de risco, assim como determinar que os riscos e incertezas podem
comprometer o esforço para gerar valor às partes interessadas.
Possibilidades de se ter ameaças representam riscos e

oportunidades, com potencial não construir ou mesmo acrescentar
valor. O gerenciamento de riscos corporativos permite aos líderes
conciliarem as incertezas que trazem um risco, ameaças e as
oportunidades integradas, com o foco em geração de valor.
112
112
Figura 4 – Risco, você está pronto?
Fonte: gustavofrazao/iStock.com.
3. Riscos corporativos
Bom, o entendimento de riscos corporativos é a gestão dos riscos e

sua tratativa de oportunidades que comprometem a criação e/ou a
manutenção de valor, tendo a seguinte definição:
O gerenciamento de riscos corporativos é um processo conduzido em

uma organização pelo conselho de administração, diretoria e demais
empregados, aplicado no estabelecimento de estratégias, formuladas para
identificar em toda a organização eventos em potencial, capazes de afetá-
la, e administrar os riscos de modo a mantê-los compatível com o apetite a
risco da organização e possibilitar garantia razoável do cumprimento dos
seus objetivos. (PriceWaterouseCoopers, 2001, s.p.)
O gerenciamento de riscos em uma corporação é compreendido por

um processo contínuo que flui pela organização; conduzido pelos
profissionais envolvidos na estratégia de mapear os riscos em todos os
níveis da organização, aplicado às suas estratégias, incluindo a todos os
riscos a que a organização está exposta.
113
O processo de estabelecer a gerência de riscos é estimado de modo
que identifique eventos em potencial e a possibilidade de ocorrência
do risco pode afetar a organização. A administração dos riscos e sua
gerência devem ser cuidados de acordo com o apetite ao risco da
empresa dentro do contexto econômico mundial.
4. Gestão dos riscos
A gestão de riscos é dinâmica, pois envolve pessoas e processos que

evoluem ao longo do tempo e não dá para somente estabelecer o plano
de risco e não mais revisitar de acordo com o tempo.
O gerenciamento de riscos é conduzido pelo conselho de

administração, diretoria, pelos executivos e empregados envolvidos
com riscos. É feita por pessoas que estão nas empresas, mediante o
que fazem e o que dizem.
Na gestão, são as pessoas que determinam a estratégia e os objetivos

da organização e implantam os processos de gerenciamento de riscos
corporativos. Desta forma, à gestão de riscos pertence as atividades
das pessoas, por se comunicarem e desempenharem as funções de
forma consistente.
As pessoas trazem para as empresas o que elas acreditam e na história

pelas quais elas passaram e geraram suas habilidades e competências.
Desta forma, cada um dos indivíduos, além de possuir necessidades
e prioridades diferentes e desta forma contribuir para mudanças e a
implantação do COSO.
114
114
Figura 5 – Pessoas e gestão de riscos
Fonte: Cecilie_Arcurs/iStock.com.
a. Valor dos riscos
Os riscos pertencem a uma empresa quando esta estabelece

estratégias e objetivos para alcançar o equilíbrio para o crescimento
dentro do esperado e dentro das metas e retorno de investimentos
e, desta forma, os riscos a elas associados, com a exploração dos
seus recursos com eficácia e eficiência na busca dos objetivos da
organização. A finalidade do gerenciamento de riscos corporativos é:
• Alinhar o apetite a risco com a estratégia adotada.
• Identificar e administrar riscos múltiplos e entre empreendimentos.
• Fortalecer as decisões em resposta aos riscos.
• Aproveitar oportunidades.
• Reduzir as surpresas e prejuízos operacionais.
• Otimizar o capital.
115
O gerenciamento de riscos no ambiente corporativo colabora para uma
comunicação eficaz e o cumprimento de leis e regulamentações, assim
como ajudar no trabalho de evitar problemas com reputação e suas
consequências, ajudando a atingir seus objetivos.
Figura 6 – Leis e regulamentações
Fonte: NicoElNino/iStock.com.
b. O COSO
Voltando ao cubo, após a análise e mapeamento dos riscos e sua

gerência, é importante entender como funciona o cubo do COSO e como
implantar e utilizar para garantir o compliance.
Figura 7 – Cubo
Fonte: serts/iStock.com.
116
116
O ambiente interno é a base para todos os outros componentes
do gerenciamento de riscos considerando o COSO. Dentro do
corporativo, o ambiente é que propicia disciplina e estrutura,
influencia a forma como as estratégias e objetivos devem ser
estabelecidos. Os negócios são estruturados e os riscos são
identificados, avaliados e geridos.
O ambiente influencia inclusive no desenho e na forma como

funcionam as atividades de controle das atividades, inclusive de
monitoramento. Influencia também os valores éticos da organização,
a competência e o desenvolvimento de pessoal.
Ter uma política adequada, onde estão inseridos os valores éticos e

a forma como é feito o desenvolvimento humano, interfere muito no
resultado de como se quer os resultados do COSO.
O cubo estabelece uma relação de trabalho onde a empresa tem que

se apoiar nas relações da empresa com o mercado e estabelecer de
forma clara o que é a gestão de risco e os resultados das avaliações de
apetite ao risco.
Estabelecer uma política onde são considerados os objetivos e

processos claros e transparentes é fundamental para que o COSO
funcione de forma integrada à implantação da política.
Todo este processo de implantação do COSO demanda tempo,

dedicação e ter na empresa a certeza de que o modelo, assim como
os outros modelos de governança de TI, é importante para a tomada
de decisão de colocar a empresa em outro patamar. Ao término da
implantação, não existe um fim, mas sim um trabalho contínuo de
constante melhoria nos processos.
Sucesso!
117
TEORIA EM PRÁTICA
Reflita sobre a seguinte situação: dentro de uma
organização que está se preparando para a implantação
do COSO, a diretoria não consegue ter o mesmo
posicionamento com relação à gestão de pessoas que o RH.
O que deve ser providenciado para que a implantação seja
um sucesso?
Estabeleça um plano e determine os riscos intrínsecos.
Definir quais objetivos devem ser atendidos nesta solução.
1. O gerenciamento de riscos em uma corporação é

compreendido por um processo contínuo, que flui
pela organização, conduzido pelos profissionais.
O que é importante na gerência de riscos, quando
se fala em profissionais?
a. Pessoas.
b. Riscos.
c. Trabalho.
d. COSO.
e. Gerencia.
2. Na gerência de riscos é importante não perder o foco

em mapear os riscos antes de quaisquer decisões.
118
118
Desta forma, após mapear os riscos, o que deve ser
feito na sequência?
a. Restabelecer os processos.
b. Implantar o COSO.
c. Determinar incerteza e apetite ao risco.
d. Contratar pessoas.
e. Implantar um sistema.
3. O cubo estabelece uma relação de trabalho onde

a empresa tem que se apoiar nas relações da
empresa com o mercado e estabelecer de
forma clara. Quais são as relações?
a. Avaliação da empresa e viabilidade.
b. Gestão de risco e avaliação da empresa.
c. Gestão de projetos e custos.
d. A gestão de risco e os resultados das avaliações

de apetite ao risco.
e. A governança e o compliance.
MOELLER, Robert R. Executive’s guide to COSO Internal Controls. ED. Wiley, 2016.
119
Gabarito
Resolução: Pessoas.
Resolução: Determinar incerteza e apetite ao risco.
Resolução: A gestão de risco e os resultados das avaliações de
apetite ao risco.
120
120
121

Apresentação

Enviado por

Dados do documento

Descrição original:

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Apresentação

Enviado por

Direitos autorais:

Formatos disponíveis

WBA0049_v2.

Governança em TI: preparado para a mudança? 6

Modelos de governança e compliance 26

ITIL: um modelo de governança 42

ITIL: modelo de serviços, como implantar? 60

COBIT: o cubo na estratégia das empresas 76

Gestão de projetos e os modelos ágeis 92

Visão geral de compliance: COSO e resultados 107

A disciplina de Governança em TI se apresenta com o objetivo de

Também trabalha com o conceito das melhores práticas em processos

Apresentar os conceitos de modelos ágeis, com o Scrum como

Apresentar a ISO 38500 e o COSO, como governança e risco.

• Apresentar o tema Governança, na perspectiva de TI.

• Apresentar as características e diferenças entre

• Apresentar ITIL, CobiT, ISO38500 e COSO,

Esta leitura fundamental tem como objetivo preparar o aluno para

O texto também busca apresentar alguns modelos e ferramentas

PARA SABER MAIS

2. Governança em TI e seus benefícios:

A tecnologia permeia as corporações e está intimamente ligada aos

Quando se fala em tecnologia, o assunto gira em torno de sistemas,

Falando especificamente em desenvolvimento de sistemas, os itens

Não obstante, a grande questão quando se fala de sistemas é entender

Para tornar o processo mais assertivo em termos de tomada de decisão,

Normalmente, estas respostas devem estar atreladas ao momento

No início deste movimento de informatização e tecnologia, a ideia e a

A ocasião remete à década de 1950, no século passado, onde os

De outro modo, ainda na década de 1950, somente as grandes empresas

Não se acreditava, naquela época, que os computadores estariam

Na ocasião, as empresas que conseguiam ter acesso a estes

A capacidade de informatizar, automatizar e ter os computadores

A evolução da tecnologia não para e não existe mais possibilidade

Ainda no atual contexto, o mundo globalizado não permite que as

Mas essa necessidade de estabelecer negócios e comercializar pela

Há 20 anos, quando o assunto era sistema, a moda nas empresas

Os sistemas, até então, traziam de forma ordenada a informação que

As redes, portanto, foram criadas para interligar os computadores e

Com o advento da internet, a infraestrutura está cada dia mais

3. Governança em TI, o que muda?

Os assuntos “banco de dados” e “telecomunicações” são dois itens que

Na busca de um resultado melhor, o investimento em tecnologia cada

Desta forma, a necessidade de controles, de pontos de verificação,

Na governança em TI, o que muda? A governança em TI é parte

Toda governança está ligada na forma de gerir uma empresa ou mesmo

De acordo com o autor Fernandes (2014), governança significa governar,

A governança requer disciplina e acompanhamento do que se pretende

Desta forma, a governança de TI faz parte da governança corporativa.

A governança corporativa define um padrão que as empresas são guiadas

No meio corporativo, a governança de TI foi elaborada com o

Algumas práticas que cabem dentro das melhores práticas do mercado,

Para que se aumente esta competitividade e os melhores processos

Mas vale ressaltar que, enquanto ferramentas e modelos, não é possível

Estas ferramentas são importantes para a geração e controle da

Estas ferramentas, quando implantadas, devem ser utilizadas e

A ISO 27000 é uma forma de garantir essa integridade e

Estes modelos e/ou ferramentas propostos para a governança de TI

A seguir, uma lista com alguns modelos para apoiar os resultados

4.1 ITIL (IT Infrastructure Library)

Uma biblioteca de melhores práticas para a entrega e operação de

Fonte: elaborada pelo autor.

Este modelo funciona em empresas de serviços de tecnologia ou

O objetivo do Service Desk é centralizar, controlar e aplicar as definições

Deve ser implantado com uma ferramenta (ou sistema) de tecnologia