2328 Bookgovernancati

Governança em TI
www.esab.edu.br
Governança em TI
Vila Velha (ES)

2014
Escola Superior Aberta do Brasil
Diretor Geral
Nildo Ferreira
Diretora Acadêmica
Beatriz Christo Gobbi
Coordenadora do Núcleo de Educação a Distância
Beatriz Christo Gobbi
Coordenadora do Curso de Administração EAD
Rosemary Riguetti
Coordenador do Curso de Pedagogia EAD
Claudio David Cari
Coordenador do Curso de Sistemas de Informação EAD
David Gomes Barboza
Produção do Material Didático-Pedagógico

Delinea Tecnologia Educacional / Escola Superior Aberta do Brasil
Diretoria Executiva Designer Educacional

Charlie Anderson Olsen Adriana Novelli
Larissa Kleis Pereira Aline Batista
Margarete Lazzaris Kleis Roberta Martins
Conteudista Revisão Gramatical
Marcelo Medeiros Bárbara Seger Zeni
Coordenação de Projeto Érica Valduga
Andreza Regina Lopes da Silva Designer Gráfico
Supervisão de Conteúdo Laura Rodrigues
Renata Oltramari Neri Gonçalves Ribeiro
Liderança Técnica Design Gráfico Diagramação

Fernando Andrade Cassiana Mendonça Pottmaier
Dilsonir José Martins Junior
Liderança Técnica Revisão Gramatical
Tiago Costa Pereira Equipe Acadêmica da ESAB
Laís Gonçalves Natalino Coordenadores dos Cursos
Docentes dos Cursos
Copyright © Todos os direitos desta obra são da Escola Superior Aberta do Brasil.
www.esab.edu.br
Av. Santa Leopoldina, nº 840
Coqueiral de Itaparica - Vila Velha, ES
CEP 29102-040
Apresentação
Caro estudante,
Seja bem-vindo à disciplina de Governança em TI, um estudo do crescimento da

Tecnologia da Informação (TI) e da consequente necessidade de táticas que permitam
o alinhamento dos recursos de TI com o planejamento estratégico das instituições.
Neste estudo são avaliados os benefícios desse alinhamento com a definição de
responsabilidades de todos os envolvidos no processo.
Para tanto, serão avaliados os desafios da Governança em TI, os principais modelos

relacionados à Governança Corporativa e aos fundamentos do Alinhamento
Estratégico.
Hoje, é fundamental para o profissional que deseja ser um especialista em Tecnologia

da Informação ter habilidades e competências que permitam avaliar e propor
investimentos em TI. Além disso, saiba como definir e avaliar o portfólio de produtos
da empresa, com gerenciamento de riscos, responsabilidade e conhecimento de
técnicas que melhorem a performance de TI nas instituições.
Nesta disciplina, tendo como base os autores Albertin e Albertin (2010), Lucas Jr.
(2006), Fernandes e Abreu (2008), estudaremos os principais modelos de Governança
em TI e o conceito de Governança Corporativa, de forma que o profissional possa
administrar os recursos de infraestrutura da instituição, gerenciar os recursos
humanos e financeiros, implantar, monitorar e documentar as tarefas associadas
a TI e analisar, entender e avaliar os impactos sociais e econômicos resultantes da
produção, gestão e incorporação das Tecnologias da Informação.
Bom estudo!
Objetivo
Conhecer, analisar e implantar de forma integrada a Governança em TI como
estratégia de alinhamento do planejamento estratégico junto aos objetivos gerais
de negócio da instituição.
Habilidades e competências
• Interpretar e aplicar as práticas e disciplinas de Governança de TI em diferentes
ambientes de trabalho.
• Identificar as melhores práticas de governança.
• Alinhar a TI aos objetivos gerais do negócio.
• Conhecer, de forma integrada, como aplicar a Governança em TI.
• Definir uma estratégica para planejamento de Governança de TI.
• Estabelecer processos para institucionalizar as práticas de Governança de TI.
Ementa
A evolução da função da TI nos negócios. Estrutura da Governança de TI. A
necessidade de controles para a Governança em TI. Relacionamento entre a
Governança Corporativa e a Governança de TI, de forma a permitir o entendimento
da dependência das relações estratégicas existentes entre ambas as práticas.
Planejamento e organização dos recursos de TI. Aquisição e implementação de
recursos de TI. Entrega e suporte de soluções em TI. Ferramentas e modelos de
melhores práticas para Governança em TI.
Sumário
1. Governança Corporativa e a Governança em TI.................................................................8
2. Introdução à Governança em TI – Parte I.......................................................................17
3. Introdução à Governança em TI – parte II......................................................................25
4. Modelo de Governança em TI – parte I..........................................................................32
5. Modelo de Governança em TI – parte II.........................................................................40
6. Modelo de Governança em TI – parte III........................................................................47
7. Modelo de Governança em TI – parte IV........................................................................56
8. Modelo de Governança em TI – parte V.........................................................................64
9. Planejamento, implementação e gerenciamento da Governança em TI.........................71
10. Regulamentações de compliance – parte I....................................................................78
11. Regulamentações de compliance – parte II...................................................................85
12. Introdução aos modelos de melhores práticas e
ao modelo de Governança em TI – parte I......................................................................91
13. Introdução aos modelos de melhores práticas e
ao modelo de Governança em TI – parte II...................................................................101
14. Modelo de melhores práticas Control Objectives for Information and Related Technology
(COBIT) – parte I..........................................................................................................112
(COBIT) – parte II.........................................................................................................119
(COBIT) – parte III........................................................................................................128
17. Modelo de melhores práticas VAL-IT (modelo complementar ao COBIT) – parte I........134
18. Modelo de melhores práticas VAL-IT (modelo complementar ao COBIT) – parte II.......140
19. Modelo de melhores práticas Capability Maturity Model Integration
(CMMI) – parte I..........................................................................................................151
(CMMI) – parte II.........................................................................................................162
(CMMI) – parte III........................................................................................................173
22. Modelo de melhores práticas Information Technology Infrastructure Library
(ITIL) – parte I..............................................................................................................182
(ITIL) – parte II.............................................................................................................189
(ITIL) – parte III............................................................................................................196
25. Modelo de melhores práticas ISO/IEC 20000 – complemento ao modelo ITIL..............206
26. Modelo de melhores práticas eSourcing Capability Model for Service Providers
(eSCM-SP) – parte I.....................................................................................................214
27. Modelo de melhores práticas eSourcing Capability Model for Service Providers
(eSCM-SP) – parte II....................................................................................................221
28. Modelo de melhores práticas eSourcing Capability Model for Client Organization
(eSCM-CL) – parte I.....................................................................................................231
29. Modelo de melhores práticas eSourcing Capability Model for Client Organization
(eSCM-CL) – parte II....................................................................................................237
30. Modelos ISO de melhores práticas – parte I.................................................................245
31. Modelos ISO de melhores práticas – parte II................................................................253
32. Modelos de gestão de projetos – parte I......................................................................264
33. Modelos de gestão de projetos – parte II.....................................................................272
34. Modelos de gestão de projetos – parte III....................................................................281
35. Modelos de gestão de projetos – parte IV....................................................................288
36. Modelo de melhores práticas Projects in Controlled Environments (PRINCE2)..............298
37. Modelo de melhores práticas Seis Sigma – parte I.......................................................307
38. Modelo de melhores práticas Seis Sigma – parte II......................................................314
39. Modelo de avaliação financeira, clientes, processos e aprendizado:
Balanced Scoredcard (BSC) – parte I............................................................................321
40. Modelo de avaliação financeira, clientes, processos e aprendizado:
Balanced Scoredcard (BSC) – parte II...........................................................................328
41. Modelo de alinhamento entre TI e o negócio da instituição:
Open Group Architecture Framework (TOGAF) – parte I...............................................334
42. Modelo de alinhamento entre TI e o negócio da instituição:
Open Group Architecture Framework (TOGAF) – parte II..............................................341
43. Auditoria de organizações de serviços de TI: Norma SAS 70 – parte I...........................350
44. Auditoria de organizações de serviços de TI: Norma SAS 70 – parte II..........................356
45. Boas práticas para elaboração de um projeto de
Governança em TI eficiente – parte I............................................................................362
46. Boas práticas para elaboração de um projeto de
Governança em TI eficiente – parte II...........................................................................369
47. Segurança da informação em Governança em TI:
Normas ISO/IEC 27001 e 27002 – parte I.....................................................................376
48. Segurança da informação em Governança em TI:
Normas ISO/IEC 27001 e 27002 – parte II....................................................................382
Glossário.............................................................................................................................391
Referências.........................................................................................................................406
Governança Corporativa e a
1 Governança em TI
Objetivo
Apresentar o conceito de Governança Corporativa e a necessidade de
integração com a Governança em TI.
Iniciaremos nossa disciplina apresentando a origem do termo

Governança em TI, em nível mundial e nacional, a importância da
Governança Corporativa, sua estrutura de funcionamento e o seu papel
junto à Governança em TI.
O material desta unidade foi desenvolvido com base nas bibliografias de

Albertin e Albertin (2010), Lucas Jr. (2006) e Fernandes e Abreu (2008).
1.1 Introdução à Governança Corporativa

A Governança Corporativa surgiu na década de 1950 como prática
para as diferentes organizações tratarem aspectos gerenciais como
conselhos, acionistas e sóciocontrolador. Essa nova prática representava
grandes mudanças no sistema pelo qual as organizações eram dirigidas
e gerenciadas naquele período. Porém, foi na década de 1990, no Reino
Unido e nos Estados Unidos, que a Governança Corporativa ganhou
representatividade. No início da década de 2000, com escândalos
corporativos nos Estados Unidos que resultaram na falência de grandes
instituições, na demissão de colaboradores e na desconfiança do
mercado devido à maquiagem de indicadores econômicos, a Governança
Corporativa se destacou como mecanismo para formalização de direitos
e responsabilidades entre os integrantes das corporações, fossem eles
diretores, gerentes, acionistas, estabelecendo regras e procedimentos para
a tomada de decisões.
www.esab.edu.br 8
Segundo Lucas Jr. (2006), o ano de 2000 representou uma crise
na Governança Corporativa devido ao uso de informações falsas e
enganadoras e a consequente perda da confiança do acionista nas
empresas e na bolsa de valores.
Saiba mais
Os escândalos da década de 2000, envolvendo
empresas como Enron, Worldcom e Tyco,
marcaram a economia americana no que se
refere à participação de empresas no mercado
de capital e à gestão compartilhada de empresas
por acionistas, administradores e executivos. Você
pode ampliar seus estudos sobre esse assunto
lendo o texto publicado no site do Estadão,
disponível clicando aqui.
No Brasil, a abertura econômica, a partir de 1990, incentivou a criação

de novas organizações, formadas por conjunto de empresas nacionais
e multinacionais, que envolviam acionistas, cotistas, investidores
e prestação de contas. Esse novo cenário evidenciou a necessidade
de implementação de práticas de Governança Corporativa pelas
organizações e, como consequência, a criação de novos segmentos e a
elaboração de códigos de Governança Corporativa, como a Comissão de
Valores Monetários e Instituto Brasileiro de Governança Corporativa.
A partir da década de 1990, as grandes instituições passaram a ser

gerenciadas por conselhos formados por acionistas, investidores,
proprietários, ou seja, vários participantes com desejos, objetivos e
interesses nem sempre em comum. Para que não houvesse um caos, sem
a definição de qual caminho gerencial seguir, acentuou-se a necessidade
de uma estratégia que garantisse o desempenho e o atendimento aos
objetivos elencados para as empresas. Em decorrência desses fenômenos,
surge a Governança Corporativa.
www.esab.edu.br 9
Segundo Silveira (2005 apud ALBERTIN; ALBERTIN, 2010, p. 32),
o tema Governança Corporativa provoca “[...] amplas discussões que
apontam para a necessidade do pensamento em como melhor organizar
o processo decisório nas corporações, tanto pela perspectiva do direito
político de votar quanto pelo ângulo do direito administrativo de gerir”.
Conforme Rotta, Hillbrecht e Balbinotto Neto (2005 apud ALBERTIN;

ALBERTIN, 2010), a Governança Corporativa se compõe de práticas
que alinham interesses de diferentes partes, visando a aumentar o valor
da empresa e viabilizando seu acesso ao capital, a fim de ganhar ou se
manter no mercado. Lucas Jr. (2006) destaca como uma das principais
práticas da Governança Corporativa o uso ético da informação,
relacionado à privacidade, à propriedade intelectual, à coleta de dados
online, especialmente de indivíduos visitando diferentes websites com
pirataria de conteúdo digital, monitoramento do local de trabalho etc.
Todas essas práticas e pessoas envolvidas com a Governança Corporativa

necessitam de organização para que todo esse sistema e atividades
sejam executados em harmonia e com um único propósito: o sucesso
da organização. Por isso é fundamental compreender como funciona a
Governança Corporativa.
Saiba mais
A existência do CEO (Chief Executive Officer, em
inglês, o que equivaleria ao Diretor Executivo,
em português) nas organizações tem se tornado
fundamental para que estas alcancem resultados
mais positivos e expressivos no mercado. Amplie
seus conhecimentos lendo o texto publicado
no site de uma organização de fomento ao
empreendedorismo, disponível clicando aqui.
www.esab.edu.br 10
1.2 Como funciona a Governança Corporativa
A Governança Corporativa deve ser entendida como um sistema que
é influenciado por características culturais e do modelo de negócio da
instituição, portanto, em seu planejamento devem-se considerar essas
influências em detrimento de resultados negativos ou inesperados.
Por exemplo, uma instituição mantém uma política de benefícios aos
funcionários, como plano de cargos e salários, remuneração dentro dos
patamares do mercado e dos concorrentes. E mesmo nesse caso, sempre
haverá colaboradores que se sentem injustiçados com a promoção de
outros funcionários, ou consideram sua remuneração abaixo do esperado.
Esses problemas fazem parte do dia a dia da empresa, são culturais, e
influenciam nos resultados alcançados. Além dessas características, outros
aspectos, como o sistema de gestão da instituição, os participantes do
conselho, a finalidade desse sistema e os objetivos elencados, determinam
o funcionamento da Governança Corporativa.
Segundo o Instituto Brasileiro de Governança Corporativa (2006 apud

ALBERTIN; ALBERTIN, 2010, p. 33), a Governança Corporativa é:
[...] o sistema pelo qual as sociedades são dirigidas e monitoradas, envolvendo os

relacionamentos entre acionistas/cotistas, conselho de administração, diretoria,
auditoria independente e conselho fiscal. As boas práticas de governança corporativa
têm a finalidade de aumentar o valor da sociedade, facilitar o seu acesso ao capital e
contribuir para a sua perenidade.
O papel da Governança Corporativa é definir objetivos, criar estruturas,

estabelecer metas e monitorar os resultados, por meio de políticas, medidas
e controles que possibilitam às organizações obterem melhores resultados.
Por exemplo, é papel da Governança Corporativa criar mecanismos
de fiscalização dos atos administrativos da organização, verificar o
cumprimento dos deveres legais e estatutários, analisar o balancete e
demais demonstrações financeiras elaboradas periodicamente pela empresa.
Para tanto, há a necessidade da definição de um corpo de

administradores, stakeholders, acionistas, conselho fiscal, auditores
e executivos a fim de determinar as responsabilidades de cada um na
tomada de decisões, conforme representado na Figura 1. Acompanhe:
www.esab.edu.br 11
Figura 1 – Os participantes da Governança Corporativa.
Fonte: Albertin e Albertin (2010, p. 37).
Os stakeholders representam os colaboradores com poder de decisão

e que participam diretamente do planejamento da empresa; além
disso, possuem uma visão ampla de todos os processos executados
na instituição. Os stakeholders devem se reportar ao conselho
administrativo da empresa. Esse grupo de colaboradores possui
autoridade formal na instituição e avalia as decisões a serem tomadas,
inclusive as decisões do CEO (diretor executivo ou cargo máximo da
empresa), verificando se as metas e objetivos estipulados serão atingidos
com as ações executadas. O corpo de administração pode e deve ser
formado por acionistas e investidores, que, em paralelo, podem avaliar
a situação financeira da empresa e como estão os negócios. Porém, para
que os processos da empresa, de forma geral, sejam realizados de forma
transparente, é necessário a participação do conselho fiscal e de auditores,
evitando, dessa forma, que dados e indicadores sejam manipulados. É
uma ação em conjunto, todos estão envolvidos e possuem como único
objetivo garantir o perfeito funcionamento da instituição com base no
seu planejamento estratégico.
www.esab.edu.br 12
Cabe a cada participante seguir uma estrutura que possibilite o
alinhamento de objetivos, metas e expectativas que garantam os
resultados elencados. Por exemplo, cabe ao CEO (executivo principal)
a tarefa de manter o contato com acionistas, sócios e investidores,
informando a todos a situação econômica da empresa. O CEO é a pessoa
com maior autoridade, tanto que os demais executivos, como gerentes e
diretores, reportam suas atividades diretamente a ele.
Albertin e Albertin (2010) destacam os seguintes papéis para essa

estrutura de Governança Corporativa:
• estabelecer e buscar objetivos, metas e expectativas;

• determinar uma maneira para atingir os objetivos por meio de
atividades da empresa e da utilização de recursos;
• estabelecer e controlar um conjunto de diretrizes de monitoramento
e divulgação de desempenho; e
• implementar uma estrutura bem definida e as responsabilidades
adequadas para a governança efetiva.
É importante salientar que a estrutura da Governança Corporativa
é complexa e dinâmica e está sempre alinhada aos objetivos, metas e
expectativas da empresa. Para tanto, as atividades organizacionais são
realizadas utilizando os recursos tangíveis e intangíveis da organização,
exigindo um controle transparente e que envolva a todos os executivos,
evitando assim que os dados sejam manipulados. Esse fluxo dos
dados entre todas as partes envolvidas deve garantir a veracidade das
informações, conforme pode ser visualizado na Figura 2. Acompanhe:
Figura 2 – Fluxo de processos da Governança Corporativa.

Fonte: Albertin e Albertin (2010, p. 38).
www.esab.edu.br 13
Albertin e Albertin (2010, p. 38) destacam:
A estrutura de governança corporativa engloba o alinhamento de objetivos, metas e

expectativas em atividades que deem suporte, alinhamento e obtenção do resultado
esperado. Para tanto, os recursos tangíveis e intangíveis precisam ser devidamente
alocados, de modo que todo o potencial seja maximizado. Os resultados desse
processo precisam ser devidamente relatados e comunicados para os stakeholders.
A Governança Corporativa acontece por um conjunto de processos,

normas, políticas, leis e procedimentos que afetam o modo como a
empresa é administrada. A Governança Corporativa visa a garantir as
relações entre os envolvidos e os objetivos para os quais a corporação é
governada. Porém, tudo isso se torna muito complicado e inatingível
sem o uso da Tecnologia da Informação e a sua governança. Por exemplo,
para que os stakeholders possam se reportar ao conselho administrativo
é fundamental a compilação de dados e informações das atividades
diárias da instituição. Esses dados requerem organização e análise em
tempo hábil para as tomadas de decisão, o que é praticamente impossível
sem o uso de ferramentas computacionais, tais como: CRM (Gestão de
Relacionamento com o Cliente), ERP (Sistema Integrado de Gestão da
Empresa) e BI (Sistema de Inteligência Empresarial).
A seguir veremos a importância da integração da Governança de TI e da

Governança Corporativa.
1.3 Governança em TI e Governança Corporativa:

Aplicando a gestão alinhada ao negócio
Na seção anterior, você pôde estudar a Governança Corporativa a partir
de conceitos, do seu histórico e do seu funcionamento. Você viu que,
por se tratar de uma estratégia aplicada nas instituições, a Governança
Corporativa é fortemente influenciada por questões culturais (hábitos
e convenções) e pela estrutura organizacional (processos e fluxos de
trabalho dentro da instituição). Portanto, é fundamental o uso de
ferramentas que possibilitem a definição de orçamentos, precificação,
estabelecimento de prioridades e monitoramento dos processos,
garantindo a todos os envolvidos a informação precisa do que está sendo
realizado e por quem, para que os resultados elencados sejam alcançados.
www.esab.edu.br 14
Albertin e Albertin (2010) destacam que a Governança Corporativa
representa um papel importante ao fornecer as diretrizes para que a
Governança em TI possa ter o melhor entendimento dos objetivos
organizacionais, através da participação de comitês, do conhecimento e
da troca de informação entre TI e negócios.
Fernandes e Abreu (2008, p.14) destacam o papel da Governança em

TI como:
[...] o compartilhamento de decisões de TI com os demais dirigentes da organização,

assim como estabelece as regras, a organização e os processos que nortearão o uso
da tecnologia da informação pelos usuários, departamentos, divisões, negócios da
organização, fornecedores e clientes, determinando como a TI deve prover os serviços
para a empresa.
A Governança Corporativa é importante e fundamental para o correto

funcionamento das instituições, mas por outro lado, exige maior
transparência e responsabilidade de todos os envolvidos. Por exemplo, é
necessário a identificação e análise dos riscos assumidos pela organização,
a definição de políticas e procedimentos para garantir um modelo
confiável de gestão financeira, gerencial e das operações corporativas.
Pensar em uma estratégia de gestão que permita todo esse

monitoramento para garantir o alinhamento das atividades corporativas
em consonância com o planejamento estratégico da instituição, sem o
uso de ferramentas de TI, se torna algo improvável e até inviável.
Portanto, é fundamental que a Governança Corporativa seja elaborada e

realizada em paralelo com a Governança em TI, uma complementando
a outra, como forma de garantir controles e procedimentos internos que
assegurem a confidencialidade, integridade e disponibilidade de informações
e tornando-se assim uma prática constante para as organizações.
Para Fernandes e Abreu (2008, p.13), a Governança em TI é “[...] de

responsabilidade da alta administração (incluindo diretores e executivos),
na liderança, nas estruturas organizacionais e nos processos que garantem
que a TI da empresa sustente e estenda as estratégias e objetivos da
www.esab.edu.br 15
organização”. Portanto, a Governança em TI busca o compartilhamento
das decisões de TI com os demais colaboradores da instituição, baseada
em regras, normas, sob gerência de um grupo de diretores e executivos.
Nesta unidade, você pôde conhecer a Governança Corporativa a partir

de um breve histórico da sua origem em nível mundial e nacional, bem
como contextualizar a sua importância como uma estratégia de gestão
organizacional que prima pela transparência por meio da delegação de
responsabilidades a cada envolvido na estrutura da instituição, desde
auditores, executivos, gerentes até investidores. Pôde compreender
também que para a perfeita execução da Governança Corporativa é
necessária a implementação de ferramentas e métodos que permitam
o monitoramento das atividades da organização. Viu ainda que o uso
dessas ferramentas e métodos deve ser gerenciado pela Governança em
TI, que é o tema principal desta disciplina e que começará a ser estudada
na próxima unidade. Vamos lá?
www.esab.edu.br 16
Introdução à Governança em TI –
2 parte I
Objetivo
Apresentar os conceitos de Governança em TI, seus componentes e
alinhamentos estratégicos.
Na unidade anterior, você estudou a Governança Corporativa a partir

de um breve histórico da sua origem em nível mundial e nacional e sua
importância como uma estratégia de gestão organizacional. Viu também
que para a perfeita execução da Governança Corporativa é necessária a
implementação de ferramentas e métodos e que o uso destas estratégias
e instrumentos deve ser gerenciado pela Governança em TI. Nesta
unidade, com o auxílio do trabalho de Fernandes e Abreu (2008), Lucas
Jr. (2006) e Albertin e Albertin (2010), você será apresentado ao conceito
de Governança em TI, bem como ao seu papel dentro das organizações
como estratégia para o alinhamento junto ao planejamento das
instituições, e como ferramenta de apoio ao planejamento estratégico.
2.1 O que é Governança em TI e seus Objetivos

O contexto de atuação da Governança em TI é muito amplo, integrando
as áreas de prestação de serviço, tecnologias, segurança da informação, as
regulamentações e principalmente o ambiente de negócio da empresa. E,
quando se imagina toda essa integração, não podemos esquecer as pessoas
(colaboradores, clientes e fornecedores), os processos (atividades e tarefas)
e os conhecimentos associados (um bem intangível), gerando, assim,
um cenário desafiador, que deve ser bem gerenciado para o perfeito
funcionamento das instituições.
Devido a esse cenário muito abrangente, complexo e extenso, definir

e conceituar o que é Governança em TI não é tarefa simples, por isso
a conceituaremos a partir de vários aspectos que a Governança em TI
aborda. Partindo desses aspectos, chegaremos, então, a um conceito formal.
www.esab.edu.br 17
Para Fernandes e Abreu (2008, p. 13):
A Governança em TI é de responsabilidade da alta administração (incluindo diretores e

executivos), na liderança, nas estruturas organizacionais e nos processos que garantem
que a TI da empresa sustente e estenda as estratégias e objetivos da organização.
Para sua reflexão

Portanto, a Governança em TI busca o
compartilhamento das decisões de TI com os
demais colaboradores da instituição. A Governança
em TI é fundamentada em regras, normas e
está sob gerência de um grupo de diretores
e executivos. Por exemplo, disponibilizar um
gerenciador de documentos com a descrição
dos processos, normas e políticas de segurança
da informação, na forma de um sistema
computacional, possibilitando o acesso aos
documentos com registro da data de acesso e
leitura, pode garantir o compartilhamento das
informações a todos os colaboradores.
Assim, perceba que estamos enfatizando como é importante que

toda empresa tenha um “manual do colaborador” que determine os
direitos e deveres do colaborador, regras como horas de descanso,
como registrar o horário de entrada e saída, forma de justificar as faltas,
uso das dependências da empresa etc. Mesmo que no primeiro dia de
trabalho todos os colaboradores recebam formalmente esse documento,
a maior parte desses trabalhadores, depois de algum tempo de casa,
provavelmente não saberá onde deixou o documento. Para evitar a
impressão de novos manuais, o que representaria gastos e envolve a
participação de colaboradores para avaliar os pedidos, imprimi-los
e entregá-los a cada solicitante, a empresa pode disponibilizar este
documento, além de todos os de normas e procedimentos, em uma rede
interna de computadores, disponível para qualquer colaborador somente
com uso de sua senha.
www.esab.edu.br 18
Fernandes e Abreu (2008, p. 14) destacam o papel da Governança em
TI como:
[...] o compartilhamento de decisões de TI com os demais dirigentes da organização,

assim como estabelece as regras, a organização e os processos que nortearão o uso
da tecnologia da informação pelos usuários, departamentos, divisões, negócios da
organização, fornecedores e clientes, determinando como a TI deve prover os serviços
para a empresa.
Observe que o papel principal da Governança em TI é destacado por

Fernandes e Abreu (2008) como o uso organizado dos recursos de
Tecnologia da Informação. Ou seja, o uso desses recursos com base em
regras, e gerenciado por grupos, diretores e executivos com a finalidade
de atender às necessidades em consonância com os negócios da empresa.
Fernandes e Abreu (2008, p. 15) destacam que “[...] o principal objetivo

da Governança em TI é alinhar TI os requisitos do negócio”. É importante
reforçar um aspecto que deve estar presente em todos os conceitos
apresentados até aqui: de forma direta ou indireta, o alinhamento com
a TI procura fazer com que todos realizem suas tarefas com a mesma
finalidade, isto é, a execução dos serviços essenciais da empresa.
Para Fernandes e Abreu (2008), os objetivos específicos da Governança

em TI são:
• permitir à TI ter um posicionamento mais claro e consistente em

relação às demais áreas de negócio da empresa;
• alinhar e priorizar as iniciativas de TI com a estratégia do negócio;
• alinhar a arquitetura de TI, sua infraestrutura e aplicações às
necessidades do negócio, em termos de presente e futuro;
• prover a TI dos processos operacionais e de gestão necessários
para atender os serviços de TI, conforme padrões que atendam as
necessidades do negócio;
• prover a TI da estrutura de processos que possibilite a gestão do seu
risco para continuidade operacional da empresa; e
www.esab.edu.br 19
• prover regras claras para as responsabilidades sobre as decisões e
ações relativas a TI no âmbito da empresa.
Note que em todos os itens que apresentamos, e é fundamental reforçar,
a Governança em TI é executada sempre com foco na empresa, nas
suas regras de negócio e de funcionamento, auxiliando-a de forma a
garantir a estabilidade dos serviços essenciais, no presente e no futuro,
sob gestão e coordenação da própria empresa, de forma clara e objetiva.
A Governança em TI deve ser uma atividade planejada, monitorada e
documentada na forma de um ciclo de atividades. No Quadro 1 são
apresentadas as atividades do ciclo de vida da Governança em TI, na
ordem de execução, e conforme sua finalidade. Acompanhe:
Ordem Atividade Finalidade

Avaliação e definição do planejamento das
1 Alinhamento estratégico Tecnologias da Informação com base nas estratégias
da empresa para seus produtos e serviços.
Avaliação e definição das necessidades de
Decisão, compromisso,
infraestrutura, arquitetura de TI, investimentos e seus
2 priorização e alocação
executores (responsáveis). Definição do Portfólio de TI
de recursos
da empresa.
Estrutura, processos, Avaliação e definição dos processos de gestão
3
operações e gestão organizacional dos produtos e serviços da empresa.
Medição de Avaliação, coleta e definição dos indicadores dos
4
desempenho processos e serviços.
Quadro 1 – Ciclo da Governança em TI.

Fonte: Fernandes e Abreu (2008, p. 15).
Observe que para a implantação da Governança em TI são necessários o

planejamento, a alocação de recursos, a gestão do processo e a contínua
avaliação dos resultados obtidos. A primeira atividade do ciclo é o
alinhamento estratégico, avaliando os objetivos e metas da empresa e
como os recursos de TI, tais como: a infraestrutura, os softwares, os
modelos de documentação e os equipamentos, que podem auxiliar
no dia a dia da empresa. Para tanto, são necessários investimentos e a
definição dos responsáveis pela execução das atividades. E assim como
há a necessidade de recursos, produtos de TI, e envolvimento dos
colaboradores, há também outro ponto importante que é a existência
da gestão de produtos, avaliando quais desses são necessários e quais
www.esab.edu.br 20
são obsoletos. Tudo isso monitorado por avaliação dos indicadores dos
serviços e produtos comercializados.
Por exemplo, decidir pela continuidade ou melhoria de um produto

não é uma tarefa simples, envolve, além de vários colaboradores, o
cliente acostumado com o produto, a marca da empresa associada ao
produto e pode representar um espaço de mercado aos concorrentes
com um produto similar. Para que esta decisão não seja precipitada a
empresa deve avaliar, por meio de indicadores, como estão as vendas
desses produtos, a sua aceitação, o número de reclamações, sugestões de
melhorias, o preço da concorrência, ou seja, usar ou desenvolver uma
ferramenta computacional que permita um diagnóstico amplo sobre a
situação do produto.
Para a correta gestão de todas essas atividades, é fundamental a

utilização de componentes que permitam avaliar os resultados obtidos
e replanejar os objetivos a curto e longo prazo, garantindo a vantagem
competitiva da empresa.
Para Lucas Jr. (2006), as etapas do ciclo de atividades da Governança em

TI necessitam desenvolver estratégias que identifiquem os recursos que
darão à empresa uma vantagem competitiva.
2.2 Componentes da Governança de TI

Por ser abrangente e multidisciplinar, a Governança em TI disponibiliza
e se fundamenta em um conjunto de componentes. Esse conjunto
de componentes são mecanismos para a implantação, gestão e
monitoramento da Governança em TI. Cada um desses componentes
possui um contexto bem definido de aplicação, que, integrados,
permitem a sua operacionalidade.
Podemos entender os componentes como partes da Governança em

TI, cada um deles com um contexto de atuação predefinido, atuando
no alinhamento estratégico, na priorização de recursos, na gestão dos
processos e na medição de desempenho, como pode ser observado na
Figura 3, que apresenta os componentes da Governança em TI e seus
domínios de atuação. Acompanhe:
www.esab.edu.br 21
Figura 3 – Os domínios e componentes da Governança em TI.
A partir de agora, daremos ênfase a cada um desses componentes:

alinhamento estratégico, decisão, estrutura e medição de desempenho,
conceituando e detalhando sua finalidade na Governança em TI.
www.esab.edu.br 22
2.3 Componentes da etapa de Alinhamento
Estratégico
O primeiro passo para implantação da Governança em TI, com base no
seu ciclo de vida, é a determinação do seu alinhamento estratégico. E esse
alinhamento visa à definição das necessidades de TI da empresa, atuais
e futuras, em requisitos como: arquitetura, infraestrutura, aplicações e
processos, resultando no artefato Plano de Tecnologia da Informação
(PTI). O PTI é um documento formal que descreve as necessidades de
TI da empresa. Você pode verificar a finalidade de cada requisito do PTI
no Quadro 2. Acompanhe:
Requisito Finalidade
Definição das regras que norteiam o uso de Tecnologia da
Princípios de TI Informação na empresa, no que tange infraestrutura, arquitetura de
TI, aplicações e processos.
Definição das aplicações essenciais para o funcionamento da
Necessidades de empresa, atendendo às necessidades que garantem as estratégias
Aplicações de negócio. Determinam quais e como essas aplicações serão
mantidas.
Planejamento e definição das necessidades de recursos técnicos,
Infraestrutura de
físicos e humanos para a execução das atividades de TI. Avalia se os
TI e Capacidade de
recursos humanos e físicos atendem às condições para estabilidade
Atendimento de TI
dos serviços de TI.
Definição das metas (qualidade) de níveis de serviços a serem
Objetivos de
prestados aos clientes, que servirão de indicadores para
Desempenho
monitoramentos futuros e avaliação dos resultados obtidos.
Definição de quais atividades (meio) podem ser transferidas para
Estratégia de
que parceiros a executem, como gerenciar esses processos, escolher
outsourcing
os parceiros, o que pode ou não ser transferido.
Segurança da Definição da política de segurança a ser aplicada na empresa com
Informação diretriz, ações e normas para colaboradores e fornecedores.
Definição das habilidades e conhecimentos necessários para a
Competências
implantação da Governança em TI.
Processos e Apresentam como os serviços e produtos de TI serão implantados e
Organização gerenciados na empresa.
Quadro 2 – Requisitos do Plano de Tecnologia da Informação.

Fonte: Adaptado de Fernandes e Abreu (2008).
www.esab.edu.br 23
Observe que a implantação da Governança em TI necessita de uma avaliação
criteriosa de requisitos que avaliam o uso da Tecnologia da Informação,
no que se refere às aplicações essenciais para a execução das atividades da
empresa, como, por exemplo, o planejamento para manter os recursos
técnicos e humanos sempre gerenciados por processos organizacionais.
Para Albertin e Albertin (2010), o alinhamento estratégico é uma

ferramenta de gestão que busca a coesão entre as áreas por meio de uma
integração que será refletida nos planos estratégicos da organização.
Saiba mais
O alinhamento estratégico e sua integração
com a gestão de Tecnologia da Informação são
fundamentais para qualquer organização. Você
pode ampliar seus estudos sobre esse assunto
lendo o texto da Administração de Empresas em
Revista clicando aqui.
Nesta unidade, você pôde estudar o conceito de Governança em

TI de forma mais ampla e geral. Estudou a apresentação da sua
contextualização, sempre alinhada com as estratégias de negócio
da empresa, na forma de um complemento, para que as atividades
da empresa sejam realizadas de forma estável e eficiente. Viu ainda
os componentes que compõem a Governança em TI, ou seja, os
mecanismos que possibilitam a aplicação e execução em cenários bem
definidos, de planejamento, execução e monitoramento dos resultados
obtidos. Por fim, você foi apresentado ao primeiro componente da
Governança em TI, o planejamento estratégico, que visa a definir quais
as necessidades de infraestrutura, arquitetura, aplicações e serviços
essenciais à empresa e como mantê-los em pleno funcionamento. Na
próxima unidade, daremos sequência aos estudos dos componentes da
Governança em TI, com foco na definição das prioridades e alocação de
recursos com os demais componentes, a etapa de decisão sobre estrutura,
processos e medição de desempenho.
www.esab.edu.br 24
Introdução à Governança em TI –
3 parte II
Objetivo
Destacar os fatores motivadores da Governança em TI.
Na unidade anterior, estudamos o primeiro componente da Governança

em TI, que tem como principal objetivo a definição das necessidades de
infraestrutura para os serviços e produtos de Tecnologia da Informação
essenciais para o funcionamento da empresa. No Quadro 2 da unidade
anterior, apresentamos e descrevemos os requisitos que compõem esse
primeiro componente e que se materializa no Plano de Tecnologia da
Informação (PTI).
Já nesta terceira unidade, com o aporte teórico de Fernandes e Abreu

(2008) e Albertin e Albertin (2010), estudaremos ainda os componentes
da Governança em TI, porém com foco na definição das prioridades
e alocação de recursos. Essa definição e priorização de recursos é parte
da gestão dos processos e da medição de desempenho. Basicamente,
aprenderemos que a Governança em TI necessita de recursos, de gestão
e monitoramento dos resultados, por meio de indicadores que permitam
avaliar se os objetivos estão sendo alcançados e se os colaboradores estão
motivados em desenvolver a Governança em TI.
3.1 Componentes da etapa de Decisão

Começaremos nossos estudos pelo componente da etapa de Decisão, são
eles: compromisso, priorização e alocação de recursos, que complementa
o PTI, com a definição de quem, o quê, quando e com quais recursos
faz. Essa etapa se formaliza com a definição do portfólio de TI. Esse
portfólio, que é um documento formal, descreve e apresenta todos os
produtos e serviços existentes na empresa, com suas qualidades, estilo,
garantias, benefícios, diferenciais, embalagens, formas de pagamento,
www.esab.edu.br 25
processos de instalação, preços, custos etc. O portfólio é necessário
para que os diretores e executivos possam avaliar e determinar quais
projetos, serviços e aplicações serão priorizados na empresa e, a partir
dessa análise, verificar como a Governança em TI pode ajudá-los
na melhoria e continuidade do produto. Por exemplo, as empresas
necessitam avaliar como recursos limitados serão investidos em melhorias
nos serviços e produtos de TI, de forma constante. Para tanto, é
necessário identificar quais são os serviços prioritários e essenciais para
o correto funcionamento da empresa. Não conhecer os produtos de
TI da empresa pode levar ao investimento em serviços que não são
essenciais, resultando em produtos que não atendem às expectativas dos
clientes e colaboradores. Vejamos, tendo em vista que uma empresa sabe
por indicadores que as vendas estão abaixo das metas elaboradas e se a
empresa não possui um serviço de pós-venda, seja pela internet (site),
envio de e-mails com questionamentos sobre o produto e estações de
atendimento telefônico, como poderá avaliar a aceitação do produto no
mercado, o que pode ser melhorado? Sem estas informações a empresa
pode erroneamente investir em outras soluções de TI, como sistemas de
controle de frota, logística, monitoramento das cargas em tempo real,
sistemas caros e complexos, que nesse momento não são tão prioritários
quanto saber o motivo das vendas tão baixas.
Fernandes e Abreu (2008, p. 21) afirmam que “[...] os serviços de TI

abrangem todos os serviços de TI, desde o atendimento a uma solicitação
de manutenção de sistemas, ou um novo projeto de sistemas, até os
serviços associados à infraestrutura de TI”.
Com relação ao portfólio de TI, Fernandes e Abreu (2008) o conceituam

como um instrumento para a priorização de investimentos de TI, com
base no retorno de projetos ativos da organização, bem como o seu
alinhamento com os objetivos estratégicos do negócio.
Por exemplo, você já imaginou um possível cliente entrar em contato

com a empresa, ou enviar um e-mail, solicitando informações sobre um
determinado produto, como preço, vantagens, sua finalidade e como
adquiri-lo e o colaborador informar que a empresa não possui esse produto?
www.esab.edu.br 26
Para que situações como estas não aconteçam, a instituição deve possuir
um portfólio de seus produtos, com os seus diferenciais, prazos de
entrega, formas de pagamento, benefícios e qualidades. E tão importante
quanto ter um portfólio é a sua divulgação a todos os colaboradores da
empresa, independentemente do seu departamento de atuação.
Note que novamente o alinhamento com os objetivos estratégicos da

empresa é que norteia as atividades da Governança em TI, e o portfólio
visa a apresentar um cenário mais realista e objetivo dos projetos, ou seja,
os serviços e produtos que a empresa oferece, facilitando a definição de
onde investir e como investir.
Fernandes e Abreu (2008) afirmam que é objetivo do portfólio de TI:
• tornar mais claras as regras de priorização de projetos e ativos; e

• fazer com que a Administração saiba onde deve investir.
Portanto, a implantação do portfólio é fundamental para a definição das
prioridades de investimentos de TI por parte da organização, melhorando
a utilização dos recursos, uma vez que elimina a redundância de
investimento em projetos semelhantes ou problemáticos, a partir da análise
dos riscos dos investimentos. O portfólio, portanto, fortalece e direciona as
atividades da empresa no que se refere à Tecnologia da Informação.
Observe que a etapa de decisão visa à definição dos produtos e serviços

essenciais para empresa. Porém, essa definição deve estar alinhada à
gestão dos processos executados no dia a dia da empresa, evitando a
escolha errada de serviços a serem priorizados.
3.2 Componentes da etapa de Estrutura e Processos

Na etapa de Estrutura e Processos, o foco do componente está na
estruturação, organização e gestão dos processos executados no dia a dia
da empresa e que se relacionam com os serviços e produtos de Tecnologia
da Informação. Fernandes e Abreu (2008) afirmam que essa etapa tem
como objetivo responder aos seguintes questionamentos:
www.esab.edu.br 27
• Como o cliente solicita o serviço?
• Quem pode solicitar o serviço?
• Como os serviços são avaliados?
• Quais os canais de comunicação?
• Como as responsabilidades são atribuídas em projetos, entre os
usuários e a TI?
• Como a TI é capacitada a atender aos usuários e ao negócio, e como
os usuários são capacitados sobre o uso da TI?
• Como os projetos são desenvolvidos em conjunto com o cliente?
Observe que essa etapa, primeiramente, é fundamental na relação
entre o usuário de TI e a empresa, como se dá a relação entre eles,
principalmente no dia a dia, nos atendimentos aos chamados e
solicitações cotidianas e que envolvem as operações de TI. Esse usuário
de TI pode ser interno (colaborador) ou externo (cliente).
Fernandes e Abreu (2008) destacam também que as principais operações

de TI são:
• operações de sistemas: contemplam o desenvolvimento e

manutenção de sistemas;
• operações de suporte técnico: contemplam atendimento aos usuários
quanto ao uso dos softwares e infraestrutura da instalação;
• operações de infraestrutura: contemplam serviços de infraestrutura
de TI, suporte de TI, entrega e suporte a serviços, entre outras;
• operações de Segurança da Informação: contemplam serviços de
planejamento de segurança da informação e monitoramento diário
de riscos etc.;
• operações de Suporte ao Chief Information Officer (CIO):
contemplam atividades de planejamento da TI, orçamento da TI,
gerenciamento de contratos etc.;
• operações de projetos: projetos de elaboração, melhoria e
implantação de processos de negócio; e
• outras operações: serviços de garantia de qualidade, grupo de
engenharia de software, grupo de novas tecnologias.
www.esab.edu.br 28
Além do foco no cliente, essa etapa visa também ao acompanhamento
das atividades de TI entre empresa e fornecedor, com a finalidade de
avaliar alguns aspectos.
• As solicitações são encaminhadas para os fornecedores?

• O fornecedor responde à solicitação?
• Os acordos de nível operacional (ou OLA – Operational Level
Agreements, isto é, acordos entre as áreas de TI da empresa e as áreas
de suprimento e contratos) são controlados?
• A qualidade dos serviços é avaliada e melhorada?
• O desempenho do fornecedor é avaliado?
Note que as atividades de Tecnologia da Informação têm como missão
contribuir com: as áreas de negócio, a entrega dos serviços de TI e a
qualidade e continuidade desses serviços.
Para tanto, a TI precisa estar organizada, estruturada e preparada para entregar

os serviços, principalmente aqueles que são essenciais para o negócio.
Por fim, a TI precisa implementar uma gestão efetiva dos serviços,

auxiliando: o gerenciamento, a tomada de decisão e as ações preventivas
e corretivas.
3.3 Componentes da etapa de Medição de Desempenho

A etapa de Medição de Desempenho visa ao monitoramento das
operações de serviço com base nas metas definidas nas etapas de
planejamento e com base nas prioridades estipuladas a partir das opções
do portfólio de TI. Esses serviços compreendem atividades entre a
empresa e o usuário de TI, e empresa e fornecedores. Para Fernandes e
Abreu (2008, p. 22), essa etapa
“[...] refere-se ao monitoramento dos objetivos de desempenho das operações de

serviços em termos de desenvolvimento de aplicações, suporte a serviços, segurança
da informação, [...], assim como dos acordos de nível de serviço, acordos de nível
operacional [...].
www.esab.edu.br 29
Atualmente a maioria dos serviços executados na empresa depende de
um sistema informatizado, é praticamente impossível pensar o que a
empresa consegue fazer sem a Tecnologia da Informação. Mas, o que
fazer caso esses sistemas parem de funcionar por algum motivo, por
exemplo, o computador com todos os dados dos sistemas seja invadido
por um criminoso cibernético e tenha que ser desligado? Quanto tempo
para reparar o problema, quem fará o conserto, quando e como?
Os acordos de nível operacional e de serviço visam definir estas regras,

quem deverá e como realizar o suporte aos sistemas e em quanto tempo
serão restabelecidos. Essas regras podem visar o atendimento que será
realizado pelo suporte da empresa, mas também do suporte de terceiros
e fornecedores, como no caso da distribuidora de energia elétrica. Em
caso de indisponibilidade do serviço, em quanto tempo a operadora
deverá restabelecer o serviço, quais as garantias e qual o percentual de
disponibilidade do serviço que a operadora garante, por exemplo, 99%
dos dias do ano com energia disponível. Esses acordos visam definir: o
que é o serviço, quando deve ser fornecido e por quanto.
3.4 Fatores motivadores da Governança em TI –

gestão a partir dos componentes da Governança em TI
A Governança em TI visa a atender e fortalecer o negócio da empresa,
por isso a necessidade de um alinhamento estratégico e dinâmico. Esse
alinhamento analisa a realidade atual da organização, mas não deixa
de olhar para aspectos futuros. Isto por si só já motiva a realização da
Governança em TI, pois possibilita um crescimento equilibrado e seguro
da instituição. Além disso, a estruturação dos processos e a medição dos
desempenhos possibilitam um equilíbrio entre negócio e tecnologia,
como resultado da gestão da Tecnologia da Informação que está em
constante evolução, diminuindo os riscos e facilitando a tomada de
decisões no dia a dia da empresa.
Albertin e Albertin (2010) destacam que a adoção da Governança

em TI nas organizações pode melhorar o tratamento da TI e a forma
mediante a qual ela precisa ser estruturada, a fim de atender os objetivos
organizacionais e apresentar reflexos positivos no desempenho empresarial.
www.esab.edu.br 30
Nesta unidade, você pôde dar sequência aos estudos dos componentes
que fazem parte da Governança em TI, estudando os aspectos que
determinam como os recursos devem ser alocados nos projetos de
TI, tendo como base a definição de um portfólio de TI, que auxilia
na otimização dos recursos alocados. Essa definição se dá na etapa
de Decisão. Com a definição das prioridades, há necessidade de uma
gestão das operações de TI que envolve a empresa e os usuários de TI,
bem como a empresa e os fornecedores, com o objetivo de avaliar a
comunicação entre as partes e como os resultados são monitorados.
Chamamos essa etapa de Estrutura e Processos. Por fim, uma
Governança de TI não pode ser aplicada sem uma etapa de Medição de
Desempenhos, que avalia os resultados com base nas metas estipuladas
para os serviços de TI.
Na próxima unidade, veremos uma proposta de modelo genérico

e flexível de Governança em TI, composto por um conjunto de
componentes que pode ser adaptado às necessidades da organização.
Vamos lá?
www.esab.edu.br 31
Modelo de Governança em TI –
4 parte I
Objetivo
Apresentar um modelo genérico de Governança em TI com base em
prioridades, necessidades e disponibilidades da organização.
Na unidade anterior, você estudou os componentes da Governança em

TI, porém com foco na definição das prioridades e alocação de recursos.
Já nesta unidade você será apresentado a uma proposta de modelo
genérico e flexível de Governança em TI, composto por um conjunto
de componentes que pode ser adaptado às necessidades da organização.
Faremos isso com o auxílio do trabalho de Fernandes e Abreu (2008) e
Albertin e Albertin (2010) e iniciaremos com uma introdução sobre esse
modelo genérico.
4.1 Introdução ao modelo de Governança em TI

O conceito de modelo de Governança em TI não deve ser confundido
como uma norma ou regra que garanta a implantação e execução da
Governança em TI. Deve ser compreendido como uma referência na
qual os requisitos do modelo devem se fundamentar. A implantação e
execução do modelo de Governança em TI dependem do planejamento
estratégico e do envolvimento de todos os colaboradores da instituição.
Fernandes e Abreu (2008, p. 34) destacam que “O alinhamento
estratégico é o ponto de partida para a Governança em TI.”
Os modelos de Governança em TI servem como um guia para

implantação, execução e monitoramento da Gestão de TI, incluindo
recursos como: controle de objetivos, auditoria e técnicas de
gerenciamento. O que se deseja com esses modelos é otimizar os
investimentos de TI e ter indicadores para avaliação dos resultados.
www.esab.edu.br 32
Cada modelo visa ao gerenciamento e operação de infraestrutura
tecnológica. É um conjunto de boas práticas desenvolvido para promover
a gestão com foco no cliente e na qualidade dos serviços de TI.
Com o auxílio desses modelos e seus processos e procedimentos, uma

organização pode fazer sua gestão e alcançar o alinhamento estratégico
com os negócios.
Estudo complementar
A Governança em TI é aplicada em instituições
privadas e públicas e é independente do ramo de
atividade. O Serviço Federal de Processamento de
Dados (Sepro) é uma empresa pública vinculada
ao Ministério da Fazenda que desenvolve
programas e serviços que permitem maior
controle e transparência sobre a receita e os gastos
públicos. Você pode ampliar seus estudos sobre
essa Governança em TI, lendo o texto publicado no
site do Sepro. Clicando aqui.
A seguir, iremos analisar e estudar como os componentes da Governança

em TI alinhamento, decisão, estrutura e desempenho são implantados e
monitorados na forma de um modelo proposto de Governança em TI.
4.2 Alinhamento estratégico no modelo de Governança

Vimos que o alinhamento estratégico visa a analisar a situação atual
da empresa, assim como planejar o futuro da empresa, avaliando e
prospectando estratégias de marketing, vendas, produção, utilização
de recursos físicos e humanos. O ponto fundamental para o modelo
de Governança em TI é lembrar sempre do Plano de Tecnologia da
Informação, ou seja, a arquitetura, a infraestrutura, as aplicações e os
processos de TI que possibilitam as atividades-meio e fim da empresa.
www.esab.edu.br 33
Esse alinhamento estratégico aliado ao PTI determina os objetivos
do negócio da empresa a curto, médio e longo prazo. Observe que as
estratégias do negócio (atividades-fim) são sustentadas pelo PTI, uma vez
que as atividades de TI (atividades-meio) garantem a execução do que foi
planejado e projetado. Por exemplo, uma empresa de vendas pela internet
tem como atividade-fim a comercialização de produtos na loja virtual.
Essa empresa deseja ser a maior do mercado; para isso é necessário
um conjunto de ferramentas de TI que permita avaliar o estoque e
disponibilidade dos produtos. Mesmo que a atividade-fim da empresa
seja a comercialização de produtos de sua loja virtual, é preciso gerenciar
a entrega dos produtos vendidos com rastreamento, controle de rotas,
confirmação de entrega e gerenciamento da devolução de produtos. Essas
atividades são fundamentais para que a empresa atenda com qualidade
seus clientes, mas, como vimos, não é sua atividade-fim, é, portanto, uma
atividade-meio, que pode ser realizada por ela ou por parceiros.
Fernandes e Abreu (2008) destacam que os princípios de TI, ou seja,

regras que norteiam o uso de Tecnologia da Informação na empresa,
no que tange infraestrutura, arquitetura de TI, aplicações e processos,
orientam as escolhas estratégicas contidas no Plano de Tecnologia da
Informação. Porém, caso não existam, defini-los será mais uma tarefa do
alinhamento estratégico.
O planejamento estratégico é o processo de transformar a estratégia do

negócio em estratégias e ações de TI que garantam que os objetivos de
negócio sejam apoiados (FERNANDES; ABREU, 2008).
Note que o alinhamento estratégico e as atividades de TI devem ser

planejados em conjunto, de forma que o planejamento estratégico
fortaleça as estratégias de TI e que as atividades de TI potencializem os
negócios da empresa com o uso da Tecnologia da Informação.
Fernandes e Abreu (2008, p. 37) afirmam que “Atualmente, o

alinhamento estratégico é bidirecional, ou seja, da estratégia de negócio
para a estratégia de TI, e vice-versa [...].” Dessa forma, a estratégia de
negócio necessita da TI para alcançar seus objetivos e metas. Sem o uso
das ferramentas tecnológicas, processos e procedimentos, a gestão se
torna complexa e muito suscetível a grandes problemas, como o uso de
www.esab.edu.br 34
indicadores errados ou falsos. Mas, por outro lado, sem o planejamento
da estratégia de negócio, definir quais ferramentas, aplicativos,
procedimentos e normas devem ser implantados na TI para auxiliar
e complementar as atividades da empresa é praticamente impossível.
As duas estratégias, de negócio e de TI, devem caminhar em paralelo,
complementando-se.
Uma importante ferramenta que auxilia no alinhamento da Governança

em TI com o planejamento estratégico é o portfólio de TI. Como vimos,
o portfólio orienta as decisões da empresa diante das mudanças na
definição e priorização dos negócios. As mudanças no negócio resultam
em mudanças no planejamento de TI. E esta é uma dinâmica do dia a
dia das empresas, sendo fundamental que os executivos, investidores e
demais colaboradores conheçam todos os produtos e serviços da empresa
e suas demandas, e esse é o papel do portfólio de TI. Por exemplo, o
setor de vendas de uma determinada empresa detecta a necessidade de
novos modelos de relatórios com indicadores para análise dos resultados
dos últimos anos para auxiliar na tomada de decisão. Inicialmente
esse refinamento do sistema de vendas não contemplava esses ajustes.
Entretanto, o sistema faz parte das prioridades do portfólio de TI, que
determina que um estudo deve ser realizado a fim de determinar: os
impactos, os responsáveis pelos ajustes, os prazos e custos dessas mudanças.
Atenção, se o sistema não fizer parte do portfólio de produtos de TI, será
preciso encontrar outra forma para atender a demanda do setor de vendas,
ou seja, encontrar meios para que os novos modelos de relatório sejam
gerados, sem afetar os demais produtos e serviços que são prioritários.
Observe que o alinhamento da Governança em TI com o planejamento

estratégico da empresa deve ser um processo dinâmico, flexível e que
se ajuste às mudanças de objetivos e estratégias do negócio, exigindo
o gerenciamento e monitoramento constante das ações de TI. Nesse
contexto, Fernandes e Abreu (2008, p. 35) destacam que:
[...] não deveria ser permitido o atendimento de demandas que não estejam
enquadradas no portfólio. Mudanças deveriam ser negociadas e, se forem
importantes e requeridas pelo negócio, deveriam ser atendidas, como mudanças ou
refinamentos nos objetivos e estratégias do negócio.
www.esab.edu.br 35
Com relação à mudança nos objetivos de negócio da empresa, o
alinhamento estratégico ocorre em dois momentos:
• na definição das estratégias da empresa para alcançar os objetivos

de negócio a médio e longo prazo. Normalmente, na criação ou no
início das atividades da empresa (alinhamento estático); e
• em função de novas oportunidades de mercado (alinhamento dinâmico).
Em ambos os casos, a Governança em TI é um requisito fundamental a
ser avaliado e planejado, assim como as estratégias de marketing, vendas,
alocação de recursos etc. (FERNANDES; ABREU, 2008).
Segundo Albertin e Albertin (2010), o projeto de Governança em TI

está dividido em dois blocos: na definição de configuração do modelo
(requisitos) e nos mecanismos de integração (avaliação).
Agora que conhecemos e definimos o planejamento estratégico da empresa,

as necessidades de Governança em TI, o próximo passo é formalizar todo
esse conhecimento nos modelos que serão aplicados na organização, na
forma de normas, procedimentos, políticas e ferramentas de TI.
4.3 Avaliação e definição de requisitos para o modelo

Conforme vimos em nossos estudos, um modelo de Governança em
TI é pautado por um conjunto de ações que deve envolver todos os
colaboradores da instituição e visa a garantir que os objetivos e estratégias
de negócio, definidos no planejamento estratégico, estático e dinâmico,
sejam alcançados. Para tanto, é fundamental que se tenha conhecimento
de todos os produtos e serviços de TI da empresa (o que pode ser
conseguido com a implantação do portfólio de TI). Mas isso não
garantirá o sucesso para o que foi planejado, é preciso também avaliar:
• como a TI atende às demandas; e

• as ações que serão executadas no dia a dia da empresa, ponderando
sobre: cada produto ou serviço específico; a estratégia de negócio
planejada; e como a TI pode auxiliar na realização dessa estratégia.
www.esab.edu.br 36
Definir quais os requisitos que o modelo de Governança em TI deve
atender é complexo, pois há uma variedade de produtos e serviços que
são essencias ao negócio da empresa, e são influenciados pelo seu objetivo
principal, que pode ser: lucro, ganho de espaço no mercado, a entrada
no mercado com produto inovador, a implantação de uma nova fábrica,
a manutenção do negócio etc. A definição dos requisitos deve atender
exclusivamente ao objetivo principal. Por exemplo, se a empresa deseja
entrar no mercado com um novo produto, os requisitos serão alinhados
com o setor de vendas, marketing e publicidade da empresa. Para tanto,
serão utilizadas ferramentas que podem pesquisar e formatar o preço dos
concorrentes, vantagens e desvantagens dos produtos similares, embalagens
e nomes dos produtos, criando uma base de conhecimento para a tomada
de decisões que possa garantir o sucesso desse novo produto.
Perceba que, para que isso aconteça, algumas estratégias são importantes,
sejam elas: acompanhar nas redes sociais as opiniões sobre determinados
produtos, verificar o número de visitantes em sites de produtos
concorrentes e compará-lo com o número de acessos no portal do
produto da empresa, analisar a frequência com que um termo associado
ao produto é pesquisado na internet etc. Todas estas estratégias visam:
a análise do mercado, verificando os consumidores e fornecedores; e a
pesquisa de coleta de dados, que posteriormente deverá processada por
sistemas computacionais, transformando-se em indicadores que auxiliem
na tomada de decisão.
No Quadro 3, você verá um modelo que pode auxiliar na definição do

produto de TI, a ação empresarial, as estratégias elencadas e como a TI
pode auxiliar na execução das atividades para obtenção dos resultados
desejados. Esse processo é uma atividade que envolve toda expertise dos
executores, fundamentado por seus conhecimentos do planejamento
estratégico da empresa, de preferência que sejam stakeholder do processo
com poder de decisão. Por exemplo, caso a empresa tenha como objetivo
a redução do número de produtos que hoje compõem o seu portfólio
de produtos comercializados, é necessário que o grupo de trabalho
seja formado por executivos de vendas, mercado, desenvolvimento
dos produtos, contábil e financeiro. Cada especialista em sua área
tem uma visão diferenciada do produto, o setor de vendas e mercado,
por exemplo, tem um contexto de aceitação do produto, avaliação da
www.esab.edu.br 37
qualidade e números de vendas. Já o setor de desenvolvimento tem o
cenário das pessoas envolvidas, da complexidade no desenvolvimento e os
prazos. O setor contábil e financeiro, por sua vez, tem os dados de custos
e formação de preço. Todas essas informações compiladas permitirão
avaliar quais produtos deverão ter sua produção encerrada.
Ação Estratégia Requisito

O que se deseja. Como se deseja. O que a TI deve prover.
Quadro 3 – Definição de Requisitos.

Fonte: Adaptado de Fernandes e Abreu (2008).
Fernandes e Abreu (2008, p. 40) destacam com relação à construção

desses requisitos que esse
[...] exercício de interpretação deve ser feito para cada célula de produto-segmento,
ou seja, a interpretação deve ser realizada para cada segmento de mercado em que a
empresa atua, com produtos específicos ou derivados de plataformas de produto.
No Quadro 4, você verá um exemplo de preenchimento do Quadro

3, com informações pertinentes ao processo de padronização da
documentação dos projetos de software da empresa.
Ação Estratégia Requisito

(O quê se deseja) (Como se deseja) (O que a TI deve prover)
A TI deve apoiar fortemente
os processos de redução de
Desenvolvimento Padronização dos projetos custo com normatização dos
de um padrão de de software e aumento da registros de documentação
documentação dos aceitação do produto por dos projetos de software e
projetos de software. parte do usuário final. disponibilidade de programas
computacionais de documentação
e compartilhamento de projetos.
Quadro 4 – Definição de requisitos – Padrão de documentação.

Fonte: Elaborado pelo autor (2014).
Observe que na coluna Ação está descrito claramente o que deve ser
realizado. Já na coluna Estratégia estão descritas como as estratégias
www.esab.edu.br 38
serão executadas. Finalmente, na coluna Requisito, está um exemplo de
como a TI deverá complementar a ação. No caso do desenvolvimento de
um padrão de documentação de projetos, os resultados que se esperam
são a melhoria na qualidade do produto e uma maior aceitação do
mercado. Para isso caberá à TI padronizar o registro dos projetos, como
documentação, horas trabalhadas, atividades realizadas, executores, para
que se tenham indicadores de produção, teste e validação dos produtos.
Nesta unidade, você pôde estudar o modelo dinâmico de Governança

em TI, um conjunto de ações que promove a implantação e execução
da Governança em TI, com definição dos requisitos sobre os quais o
modelo deve se fundamentar. Além disso, você viu como esses requisitos
estão sempre alinhados com o planejamento estratégico, seja estático ou
dinâmico, e envolvem a todos os colaboradores da empresa. Lembrando
que o alinhamento estático é definido normalmente na criação da
empresa, sendo de longo e médio prazo e é diferente do alinhamento
dinâmico, que acontece no dia a dia da empresa, em função de novas
oportunidades de mercado.
A definição dos requisitos, ou seja, a definição das ações de TI que

garantem que os objetivos de negócio da empresa serão alcançados deve
ser associada ao conjunto de produtos e serviços de TI da empresa, que
pode ser levantado por meio do portfólio de TI.
Por fim, você foi apresentado a um quadro que pode ser utilizado para
levantamento dos requisitos de TI, avaliando os produtos e serviços da
empresa, as ações empresariais, as estratégias e como a TI deverá prover
essas ações.
Na próxima unidade, você dará sequência aos estudos da estrutura de um

modelo de Governança em TI, com o estudo de um modelo genérico,
que pode ser aplicado em qualquer instituição, a partir da integração e
avaliação do plano funcional e especificação de indicadores que não são
apenas de aspectos financeiros e contábeis.
www.esab.edu.br 39
5 parte II
Objetivo
Apresentar o que é um Plano de Tecnologia da Informação e sua
integração com o modelo genérico de Governança em TI.
Nesta unidade, você dará sequência aos estudos da estrutura de um

modelo de Governança em TI. Nas unidades anteriores, apresentamos
três importantes aspectos que devem fundamentar um modelo de
Governança em TI: o alinhamento com o planejamento estratégico, a
definição de um portfólio de TI (projetos, serviços, ativos e aplicações)
e a avaliação e definição dos requisitos para o modelo. Nesta quinta
unidade, veremos o que são planos funcionais e como avaliá-los por meio
de indicadores mais abrangentes que os dados contábeis e financeiros.
Aprenderemos a avaliar esses planos funcionais por meio da técnica de
Balanced Scoredcard. Fundamentaremos nossos estudos em Fernandes e
Abreu (2008) e Albertin e Albertin (2010).
5.1 Análise dos planos funcionais

Para que haja integração do modelo de Governança em TI com o
alinhamento estratégico da empresa, é preciso que objetivos estejam
bem definidos e formais, pois eles norteiam as decisões do dia a dia da
empresa. Para Fernandes e Abreu (2008, p. 44), eles
[...] são derivados dos desdobramentos das estratégias estabelecidas para o negócio.
[...] refletem as estratégias em programas, projetos, serviços e ações e constituem-
se em ótimas fontes de informação para que se possam identificar necessidades de
aplicações em TI.
Esse aspecto de integração é fundamental para que a TI possa auxiliar

na definição de quais e como os recursos serão aplicados na empresa,
www.esab.edu.br 40
garantindo, assim, que os objetivos elencados no planejamento
estratégico sejam alcançados.
Para Fernandes e Abreu (2008), esses objetivos são chamados de Planos

Funcionais e devem representar as estratégias que garantem o negócio
da empresa.
Observe que é fundamental o alinhamento das ações, projetos e serviços

de TI aos objetivos estratégicos do negócio. Para tanto, são necessárias
técnicas que possibilitem o monitoramento constante de aspectos
financeiros, humanos, comerciais da empresa com cliente e fornecedores,
processos internos da empresa e a gestão do conhecimento. Uma técnica
muito utilizada se chama Balanced Scorecard ou simplesmente BSC.
Essa é uma técnica empresarial desenvolvida pelos professores de Harvard
Kaplan e Norton, em 1996 (FERNANDES; ABREU, 2008).
5.2 Introdução à técnica Balanced Scorecard - BSC

O principal aspecto da técnica Balanced Scorecard (BSC), a qual se
tornou revolucionária no ano de 1996 quando foi implementada pela
primeira vez, é considerar que a medição de desempenho das empresas
fundamentadas apenas em indicadores financeiros estava obsoleta, pois
não possibilitava a visão futura da economia da instituição. O grande
diferencial dessa técnica é considerar, além dos indicadores financeiros,
outros indicadores, como medições das entregas de produtos e serviços
aos clientes, o tempo de desenvolvimento de novos produtos, os serviços
e produtos entregues pelos fornecedores.
www.esab.edu.br 41
Nesse contexto, Fernandes e Abreu (2008) afirmam que a Balanced
Scorecard é organizada por quatro perspectivas, sejam elas: financeira,
dos clientes, dos processos internos e a do aprendizado e conhecimento.
A Figura 4 apresenta a integração das perspectivas da BSC:
Figura 4 - Perspectivas da Balanced Scorecard.

Fonte: Elaborada pelo autor (2014).
Ainda, segundo Fernandes e Abreu (2008, p. 45),
De acordo com esta técnica, o resultado financeiro é o resultado da satisfação do

cliente, que continua a usar os serviços e/ou produtos da empresa, cuja experiência
de consumo dos serviços e/ou produtos depende dos seus processos internos, os
quais, por fim, são apoiados pelo aprendizado e crescimento (recursos humanos,
conhecimentos, patentes etc.).
www.esab.edu.br 42
Essa análise geral da empresa por meio da BSC poderá tornar-se uma
ferramenta para o modelo de Governança em TI e para a gestão de
desempenho de toda a organização.
Agora que já temos informações gerais da BSC, vamos aplicá-la ao modelo

de Governança em TI?
5.3 BSC aplicada ao modelo

Você viu que o principal papel da BSC no modelo de Governança em
TI é ampliar as medidas de desempenho da empresa, tendo em vista
que o resultado financeiro é consequência de outros fatores (humanos,
processuais, internos, externos, clientes etc.).
Partindo desse pressuposto, temos que a técnica BSC possibilita

transformar os objetivos e estratégias em ações operacionais. Estas
estão constituídas em visão da empresa sobre a sua realidade e o que
se deseja no futuro, o que precisa ser feito, por quem, quando, a partir
dos indicadores do dia a dia da empresa, em um processo contínuo de
alinhamento da organização à estratégia.
Albertin e Albertin (2010) destacam a BSC como uma ferramenta

que facilita a tradução e visão estratégica em um conjunto coerente de
medidas de desempenho.
O modelo de Governança em TI possibilita, com uso da BSC, avaliar

resultados dos seguintes listados a seguir.
• Financeiros: resultados esperados em termos financeiros tradicionais,

como preço, lucro, percentual de venda etc.
• Cliente: avaliação da relação da empresa com o cliente, qual a relação
de valor entre as partes, por exemplo, o atendimento, qualidade dos
serviços, forma de contato etc.
• Operacional: avaliação dos processos internos, as ações e atividades
internas e externas executadas no dia a dia da empresa. As
atividades realizadas no dia a dia da empresa, em todos os níveis
www.esab.edu.br 43
organizacionais, por exemplo, em uma empresa que fabrica sapatos,
a avaliação dos processos de fabricação dos calçados, bem como de
venda, percentual de desperdício de material, horas de produção etc.
• Conhecimento: avaliação dos ativos intangíveis, ou seja, o
conhecimento, gerados com os processos internos e externos e
que representam valor na relação entre a empresa e o cliente e seus
colaboradores. Por exemplo, nessa mesma empresa de fabricação de
calçados, a avaliação do processo de trocas de peças com defeitos, o
contato com clientes para avaliar a satisfação com o produto, campanhas
de sugestão para novos tipos de sapatos junto aos clientes etc.
A aplicação da BSC junto ao modelo de Governança em TI, além de um
instrumento de alinhamento e desdobramento da estratégia da empresa,
representa a mudança de uma sistemática de medição de indicadores,
antes apenas os financeiros eram considerados. A partir dessa técnica,
pode-se pensar em uma gestão estratégica, em que os processos são tão
importantes quanto os resultados obtidos, relacionando objetivos com
medições, metas e iniciativas.
Estudo complementar
Você pode ampliar seus estudos sobre a aplicação
da BSC nas empresas, lendo o texto “Experiências
Comparadas de Implantação do Balanced
Scorecard no Brasil”, publicado no site do Instituto
de Economia, da UFRJ. Clicando aqui.
Observe que a BSC constitui uma poderosa ferramenta para o

alinhamento estratégico da TI e o negócio da empresa, auxiliando na
definição e monitoramento das iniciativas que precisam ser executadas
para que os objetivos do planejamento sejam realizados e alcançados,
sendo usado como um mecanismo de gestão do dia a dia.
Fernandes e Abreu (2008, p. 372) destacam que
[...] há uma dificuldade intrínseca na medição dos benefícios quantitativos na adoção

do BSC, pois o resultado de uma empresa está condicionado a muitas variáveis que
não estão sob seu controle.
www.esab.edu.br 44
As características socioculturais, valores e costumes da sociedade
influenciam no desempenho e na atividade da empresa. Além disso,
o estilo de vida da população e seus valores sociais podem alterar os
resultados das metas estipuladas para a instituição e criar mecanismos
para avaliar esses indicadores é complexo, pois como decidir quais as
variáveis devem ser avaliadas?
Por exemplo, uma grande empresa de produtos de beleza, destaque no

mercado nacional, possuía um produto líder de vendas, um xampu
feminino. Em comemoração ao sucesso do produto, foi decidido
desenvolver para o produto uma nova embalagem, mais bonita,
moderna, mantendo a quantidade e qualidade do produto.
Depois de alguns meses do produto no mercado com a nova embalagem

disponível, a empresa, por meio do atendimento ao cliente, começou a
receber várias reclamações, como a de que a embalagem atual não ficava de
cabeça para baixo quando o produto estava acabando, fato que acontecia
com a embalagem antiga, podendo utilizar o máximo do produto. Como
consequência, a empresa voltou a adotar a embalagem antiga.
Ou seja, avaliar indicadores socioculturais é muito difícil sem o uso da BSC.
O uso de indicadores de desempenho e a sua integração com a TI

permite avaliar mais do que dados contábeis e financeiros; permite
a análise de qualidade e produtividade, o que resulta em uma maior
interseção entre a TI e os negócios. Esses indicadores fornecem subsídios
para o acompanhamento e controle dos processos da empresa, visando a
melhorar a aceitação dos produtos comercializados e serviços prestados.
Os indicadores são a base para a tomada de decisão. Esses indicadores

são fundamentados em dados e informações como qualidade dos
serviços, segurança da informação, riscos, geradas em consonância com o
planejamento estratégico da empresa.
De forma geral, podemos entender a BSC como uma técnica para

medir a efetividade e sucesso da Governança em TI, por meio do grau
www.esab.edu.br 45
de integração entre a TI e o planejamento estratégico da empresa,
facilitando a evolução e melhorias constantes nessa relação.
Nesta unidade, você pôde conhecer uma técnica importante de avaliação

do desempenho das empresas, a Balanced Scorecard ou BSC, que
é fundamental para o alinhamento do planejamento estratégico e a
Governança em TI. Essa técnica possibilita a gestão e planejamento
de toda a organização. O principal diferencial da BSC é valorizar os
processos e não apenas os resultados, uma vez que o resultado financeiro
é consequência de outros fatores, tais como: fatores humanos, processuais
internos e externos, os clientes etc.
Na próxima unidade, estudaremos os aspectos de arquitetura de TI e

infraestrutura que devem ser gerenciados pela Governança em TI de
forma a garantir o sucesso do negócio e que os objetivos sejam alcançados.
www.esab.edu.br 46
6 parte III
Objetivo
Abordar a integração de um modelo genérico de Governança em TI e
o planejamento estratégico da instituição.
Na unidade anterior, você conheceu uma técnica importante de avaliação

do desempenho das empresas, a Balanced Scorecard ou BSC. Viu que
essa é uma técnica fundamental para o alinhamento do planejamento
estratégico e a Governança em TI.
Utilizaremos, para estudar o alinhamento da Governança em TI com

os princípios de TI, as contribuições de Fernandes e Abreu (2008) e
Albertin e Albertin (2010).
Os princípios de TI são declarações sobre como a TI deve ser usada para

suporte do negócio da organização. Esses princípios de TI fazem parte do
modelo genérico de Governança em TI e visam a projetar as necessidades
de arquitetura e infraestrutura de TI, na forma de políticas, diretrizes e
alternativas técnicas para padronização e integração de dados, aplicações
e processos de negócios. Fernandes e Abreu (2008, p. 45) destacam que
[...] esses princípios são derivados diretamente da estratégia da empresa e das

necessidades do negócio. Uma vez estabelecidos, servem de orientadores para
desdobramento das ações necessárias de TI em projetos e serviços.
Os princípios de TI servem também para guiar o comportamento

das pessoas e da administração em relação ao uso da Tecnologia da
Informação. Esses princípios devem estar alinhados ao negócio, e a razão
adicional para sua importância é que eles afetam o custo da operação de
TI (FERNANDES; ABREU, 2008).
www.esab.edu.br 47
Para a definição de como se dará o alinhamento entre os princípios
de TI e os negócios da instituição, dentro de um modelo genérico de
Governança em TI, é necessário um mecanismo flexível que se ajuste
às mudanças constantes nas estratégias da empresa. Esse mecanismo é
chamado de Plano de Tecnologia da Informação (Plano de TI) e é
sobre o Plano de TI que estudaremos a seguir.
6.1 Definição de um Plano de TI

O Plano de TI pode ser formal ou informal, acontece em períodos
curtos, uma vez que as estratégias das empresas são afetadas por
mudanças políticas, econômicas e sociais, principalmente as empresas
brasileiras; e em paralelo à definição do planejamento estratégico da
empresa. Você deve entender o Plano de TI como um dos itens a serem
elencados na definição dos objetivos e estratégias da empresa, durante o
alinhamento estratégico.
Como atividade paralela,
[...] a TI participa na definição dos objetivos e estratégias da empresa, sugerindo

novas oportunidades de negócio com uso da tecnologia da informação ou apoiando
os demais objetivos e estratégias funcionais, de marketing e vendas, manufatura,
logística, recursos humanos etc. (FERNANDES; ABREU, 2008, p. 48)
O Plano de TI é um aspecto fundamental no modelo de Governança

em TI, pois garante que os objetivos elencados no planejamento
estratégico sejam efetivados. Isso porque o Plano de TI mantém todas
as operações da empresa a partir do desenvolvimento de novas soluções
para as necessidades do negócio ou manutenção das soluções já existentes
dos aplicativos, serviços, equipamentos e demais recursos de TI,
fundamentados sempre pelo portfólio de TI.
Para elaboração do Plano de TI é necessária a avaliação das necessidades

em Tecnologia da Informação para instituição. Essas necessidades podem
ser a manutenção dos recursos existentes, a execução de melhorias ou
desenvolvimento ou aquisição de novos recursos, por exemplo.
www.esab.edu.br 48
Assim, uma organização que deseja comercializar seus produtos na
internet por meio do comércio eletrônico deverá avaliar se o site da loja
virtual precisa ser desenvolvido pela sua equipe de TI ou é mais viável
a aquisição desse serviço de outra empresa, que desenvolva e dê suporte
a esse novo produto. Quais os custos, prazos, necessidades de recursos
humanos e físicos necessários para atender a essa nova forma de venda
deverão ser analisados e avaliados? Assim, uma vez que já definimos
Plano de TI, definiremos e avaliaremos, a seguir, as necessidades de
implantação desse plano. Vamos lá?
6.2 Definição e avaliação das necessidades do Plano

de TI
Desenvolver um Plano de TI nas empresas, mais do que garantir os
objetivos elencados no planejamento estratégico, aumenta a credibilidade
junto aos colaboradores, clientes e fornecedores da TI, possibilitando
maximizar os investimentos nessa área.
Essa tarefa consiste em um conjunto de passos que deve ser implantado

gradativamente, seguindo o ritmo definido pela instituição. O projeto deve
ter uma avaliação do cenário atual da TI e prever as necessidades futuras.
As informações da avaliação devem ser implantadas pela organização de TI,

em paralelo com as demais unidades da organização, deve ser um trabalho
que envolva a todos. A partir do entendimento do cenário atual e das
estratégias empresariais, é possível desenvolver e programar o Plano de TI.
Esses passos devem ter a liderança do gestor de TI, com

acompanhamento dos executivos da empresa, garantindo a divulgação
das atividades realizadas e os resultados alcançados em todos os níveis.
O Plano de TI integra-se ao alinhamento estratégico, auxiliando na

definição de novas soluções, na manutenção do legado (recursos atuais
de TI), e definindo quais soluções devem ser desativadas, ou seja, aquelas
que não atendem aos requisitos dos usuários, que estão obsoletas ou
que têm uma manutenção cara, ou ainda, soluções que precisam ser
melhoradas. Para tanto, é preciso avaliar a infraestrutura da arquitetura
www.esab.edu.br 49
de TI, a fim de verificar se esses recursos atendem às necessidades das
soluções de TI da empresa e o que pode e deve ser melhorado.
A Figura 5 apresenta a infraestrutura de TI, observe:
Figura 5 – Infraestrutura de TI.

A infraestrutura de TI é composta pelos equipamentos, softwares, equipe

de colaboradores, usuários dos sistemas, serviços e recursos, que, em
conjunto, permitem o correto funcionamento da empresa de forma a
garantir que os objetivos e metas elencados no planejamento estratégico
sejam atingidos.
Sempre que a empresa não conseguir atender a uma determinada

demanda, mantendo padrão de qualidade e os custos acessíveis, deve
ser indicado no Plano de TI quais fornecedores podem terceirizar
www.esab.edu.br 50
(outsourcing) esses serviços e produtos, evidentemente com garantia de
qualidade. Para avaliação, manutenção, definição de novas soluções, são
necessárias a definição das prioridades e obtenção dos recursos financeiros
para manutenção de todo o parque tecnológico da empresa.
Todo esse contexto se formaliza na empresa na forma do portfólio

aprovado de TI e visa, a partir do modelo de Governança em TI, a
melhorar a eficiência da organização, com base em um conjunto de
políticas e processos que garantam controles robustos, confiabilidade,
disponibilidade e transparência das informações.
Você percebeu que o foco dos processos é determinar quais aplicações são
necessárias, quais são descartáveis e o que precisa ser melhorado dentro
das competências da empresa?
Agora, uma vez que já definimos e avaliamos as necessidades do Plano

de TI, devemos pensar em outra atividade da área da Tecnologia da
Informação, vamos lá?
Para Lucas Jr. (2006), a atividade mais importante da TI é a manutenção

de relacionamentos com várias partes da comunidade organizacional,
entre elas os executivos, colaboradores, fornecedores e clientes.
Para que isso seja possível, é necessária uma arquitetura de TI, que abrange
o software e o hardware. Essa arquitetura é imprescindível para que a
instituição possa operar seus sistemas e empreender novas iniciativas.
6.3 Definição de arquitetura de TI

Para que todo o sistema gerenciado pelo modelo de Governança em TI
funcione dentro de níveis aceitáveis de qualidade e com a garantia de
execução das aplicações elencadas na definição de necessidades do Plano
de TI, é preciso que a instituição disponibilize a infraestrutura adequada
e padronizada.
Por exemplo, uma instituição financeira que deseja migrar suas atividades
para a internet com a disponibilização de um site de internet banking
www.esab.edu.br 51
deve disponibilizar uma estrutura que funcione 7 dias por semana, 24
horas por dia, nos 365 dias do ano e com ferramentas de segurança
da informação que garantam a integridade dos dados. Mais do que
disponibilizar um site, a instituição deverá: disponibilizar equipamentos
que possam garantir a qualidade dos serviços, com cópia de segurança
dos dados; acesso em qualquer navegador; emissão de relatórios e dados
extremamente corretos, caso contrário a empresa perderá credibilidade
no mercado.
Fernandes e Abreu (2008, p. 56, grifo do autor) destacam que “[...] a busca
por padronização da arquitetura de TI tem dois objetivos principais:
otimizar os recursos e fornecer flexibilidade para o negócio”. Para tanto, o
Plano de Tecnologia da Informação deve verificar quanto de aderência há
entre a infraestrutura de TI e os objetivos e estratégias de negócio.
Ainda para Fernandes e Abreu (2008, p. 57): “[...] cada tipo de negócio
exige um tipo de arquitetura específica.”
De acordo com esses autores, a arquitetura de TI foca em aspectos como:
• padronização de dados e processos;

• compartilhamento da infraestrutura de dados e aplicações;
• implantação de aplicações considerando a arquitetura de dados e
processos padrões;
• integração de novas aplicações ao legado, aos portais etc.;
• padrões de acesso e saídas para os usuários; e
• reutilização de componentes de serviços da arquitetura.
Portanto, as empresas necessitam investir em uma arquitetura que
estabeleça padrões tecnológicos visando a reduzir o número de
ferramentas que utilizam, resultando em menor custo. Entretanto, essa
redução de ferramentas não pode representar a perda de compatibilidade,
consistência e qualidade dos serviços. Por isso, a escolha deve ser
criteriosa e fundamentada nos objetivos traçados no planejamento
estratégico da organização.
www.esab.edu.br 52
Nesta unidade, você pôde estudar a importância do Plano de TI como
ferramenta de integração de um modelo genérico de Governança em TI
e o planejamento estratégico da instituição. Essa integração se dá pela
inclusão do Plano de TI como um item a ser elencado na definição dos
objetivos e estratégias da empresa, durante o alinhamento estratégico
e diretamente relacionado com as necessidades do negócio. Uma vez
estabelecidos os objetivos e necessidades, estes servem de orientadores
para desdobramento das ações necessárias de TI em projetos e serviços.
Essas ações devem ter a liderança do gestor de TI com acompanhamento

dos executivos da empresa, garantindo a divulgação das atividades
realizadas e os resultados alcançados em todos os níveis da empresa.
É importante destacar que empresas de pequeno e médio porte devem

ter o maior cuidado na escolha das tecnologias que serão utilizadas para
o desenvolvimento de suas atividades. Escolhas erradas ou indevidas
podem resultar em investimentos que dificilmente a empresa conseguirá
recuperar em um período curto, pois diluir esse custo no preço dos
produtos pode torná-los caros demais e dificultar a sua comercialização.
Muitas empresas no momento da escolha de uma tecnologia ou produto

avaliam apenas as suas características e preços. Porém, é fundamental que se
avalie se na organização há pessoas habilitadas para o seu uso, caso contrário,
será necessário um investimento em treinamento, o que requer um tempo
para que os colaboradores possam atingir a produtividade desejada.
Fórum
Caro estudante, dirija-se ao Ambiente Virtual de
Aprendizagem da instituição e participe do nosso
Fórum de discussão. Lá você poderá interagir com
seus colegas e com seu tutor de forma a ampliar,
por meio da interação, a construção do seu
conhecimento. Vamos lá?
www.esab.edu.br 53
Resumo
Na unidade 1, você viu de forma mais ampla e geral o conceito de

Governança em TI. Apresentamos e contextualizamos a Governança
em TI, mostrando que esta está sempre alinhada com as estratégias de
negócio da empresa. Você viu que a Governança em TI pode ser um
complemento para que as atividades da empresa sejam realizadas de
forma estável e eficiente. Você foi apresentado também aos componentes
da Governança em TI, ou seja, aos mecanismos que possibilitam a
aplicação e execução, em cenários bem definidos, de planejamento,
execução e monitoramento dos resultados obtidos.
Na unidade 2, apresentamos outros componentes da Governança em

TI. Estudamos os aspectos que determinam como os recursos devem
ser alocados nos projetos de TI, tendo como base a definição de um
portfólio de TI. Esse portfólio, por sua vez, auxiliará na otimização
dos recursos alocados. A definição desse portfólio se dá na etapa de
decisão, compromisso, priorização e alocação de recursos. Você viu ainda
que, com a definição das prioridades, há necessidade de uma gestão
das operações de TI. Essa gestão de operações, ou seja, essa etapa de
Estrutura e Processos envolve a empresa e os usuários de TI, bem como
a empresa e os fornecedores, com o objetivo de avaliar a comunicação
entre as partes e o monitoramento dos resultados.
Já na unidade 3, você pôde estudar o modelo dinâmico de Governança

em TI. Esse modelo é um conjunto de ações que promovem a
implantação e execução da Governança em TI. Nele, constam em quais
requisitos o modelo deve se fundamentar. Você também estudou que
esse modelo é sempre alinhado com o planejamento estratégico, seja ele
estático ou dinâmico, e envolve todos os colaboradores da empresa.
www.esab.edu.br 54
Na unidade 4, você estudou uma técnica importante de avaliação do
desempenho das empresas, a Balanced Scorecard ou BSC. A BSC é um
indicador de desempenho fundamental para a organização avaliar a
qualidade dos serviços e produtos comercializados, bem como os aspectos
financeiros e contábeis, garantindo um diagnóstico da situação da
empresa e auxiliando na tomada de decisões a curto e longo prazo.
Na unidade 5, vimos a importância do Plano de TI como ferramenta

de integração de um modelo genérico de Governança em TI e o
planejamento estratégico da instituição. Essa integração se formaliza
no Plano de TI, que determina os objetivos e estratégias da empresa,
em integração com o alinhamento estratégico, visando assim atender às
necessidades do negócio.
Por fim, na unidade 6, estudamos a importância do Plano de TI como

ferramenta de integração de um modelo genérico de Governança
em TI e o planejamento estratégico da instituição, uma vez que as
empresas necessitam investir em uma arquitetura que estabeleça padrões
tecnológicos visando a reduzir o custo. Entretanto, essa padronização
deve garantir a consistência e qualidade dos serviços.
www.esab.edu.br 55
7 parte IV
Objetivo
Verificar as estratégias empresariais e a integração com a Governança
em TI a partir de um modelo genérico.
Na unidade anterior, abordamos a integração de um modelo genérico de

Governança em TI e o planejamento estratégico da instituição, essencial
para o sucesso da empresa.
Nesta unidade, daremos sequência ao estudo do modelo de Governança

em TI, agora com foco na definição do Plano de TI. Veremos como
avaliar e definir as prioridades em serviços e produtos e o papel da
infraestrutura de TI como apoio técnico e operacional.
Inicialmente, apresentaremos o papel do Plano de TI na Governança

em TI e depois vamos avaliar os aspectos relativos aos serviços e
infraestrutura. Esses serviços de infraestrutura estão fundamentados em um
modelo genérico de Governança, uma vez que, estabelecido o alinhamento
estratégico da instituição, servem como base para ações de Governança em
TI, principalmente quando relacionados aos projetos e serviços.
A TI tem como função contribuir para a realização da estratégia

competitiva da empresa.
O material desta unidade foi desenvolvido com base em Albertin e

Albertin (2010) e Fernandes e Abreu (2008).
www.esab.edu.br 56
7.1 Plano de TI
Você viu que o “Plano de TI visa alinhar as estratégias de negócio da
empresa com as estratégias de Tecnologia da Informação, promovendo
a corresponsabilidade entre estas duas partes.” (ALBERTIN;
ABERTIN, 2010, p. 49).
Os serviços podem ser entendidos como: softwares (manutenção,

suporte, treinamento e desenvolvimento) e serviços de segurança
da informação (controle de acesso). Já a infraestrutura são os
recursos disponibilizados pela empresa para realização dos serviços
(disponibilidade de infraestrutura, recursos humanos, rede de
computadores etc.).
Os serviços de TI dependem da infraestrutura da empresa, que deve ser

criada, mantida e monitorada visando atender a esses serviços de forma
que eles suportem os objetivos de negócio da organização. Portanto,
devem ser alinhados ao planejamento estratégico da organização. Sem a
infraestrutura e os serviços, dificilmente o planejamento, as metas e os
objetivos serão alcançados. Vejamos: se a instituição detecta por meio de
indicadores que há um problema de custo de operação na organização,
a TI deve prover ou aprimorar os recursos que possam diminuir esse
custo, como a adoção por softwares livres, padronização dos aplicativos e
treinamento dos colaboradores.
Prover recursos de comunicação, gestão e monitoramentos dos

processos e tarefas do dia a dia da empresa é o objetivo das tecnologias
da informação. Essas tarefas servem para nortear o comportamento
das pessoas e da administração da empresa em relação ao uso dessas
tecnologias. Veja a seguir um cenário muito comum dessa situação: a
empresa disponibiliza ao colaborador um notebook para uso profissional
e o usuário instala outros aplicativos de seu interesse, mas que não
fazem parte do Portfólio de TI da instituição. Mesmo que o funcionário
instale apenas aplicativos licenciados e originais, essa é uma situação
que possivelmente trará problemas. Por exemplo, toda vez que o
notebook apresentar defeito ou a necessidade de novas configurações
e o colaborador procurar o setor de TI para solucioná-los, não haverá
www.esab.edu.br 57
profissionais treinados e qualificados para os produtos instalados pelo
funcionário. Problemas desse tipo refletem a falta de um Plano de TI
com princípios estabelecidos que guiem o comportamento de todos com
relação ao recurso de TI.
Fernandes e Abreu (2008, p. 46) destacam que
[...] os princípios de TI não são para serem pendurados na parede, mas sim para serem
usados. Devem estar alinhados ao negócio, e a razão adicional de sua importância é que eles
afetam o custo da operação de TI.
A seguir estudaremos sobre a definição de serviços do Plano de TI.
7.2 Plano de TI – Definição de serviços

A definição de serviços é muito ampla. Para fins didáticos, adotaremos a
definição de serviços de Fernandes e Abreu (2008, p. 55), assim, serviço
é “[...] um conjunto de operações ou atividades dedicadas a atender
às necessidades dos seus usuários de forma que possa suportar seus
negócios, em uma combinação de processos, pessoas e tecnologias”.
Segundo Fernandes e Abreu (2008), a troca de software antivírus, a

implantação ou melhorias dos sistemas computacionais, manutenção dos
computadores, treinamento dos colaboradores, definição de políticas de
segurança da informação, suporte às falhas na infraestrutura, bem como
serviços de administração da TI são exemplos de serviços.
Os serviços de uma empresa devem ser monitorados e avaliados com base

em um planejamento de melhor e maior utilização das capacidades dos
recursos, sejam humanos ou de infraestrutura.
Fernandes e Abreu (2008, p. 58) destacam que “[...] aquilo que não é
medido não é gerenciado”.
Assim, para o gerenciamento dos serviços, ou seja, para que os serviços

sejam monitorados e avaliados, é preciso que se conheça:
www.esab.edu.br 58
• objetivos de desempenho: são as metas quantitativas estabelecidas
pela administração visando atender os resultados esperados. Por
exemplo, atender as normas técnicas, atingir as especificações dos
projetos, desenvolver produtos que atendam as expectativas dos
clientes, resultando em melhora na qualidade dos produtos;
• acordos de níveis de serviço: esses acordos de desempenho são
relativos aos serviços de TI contratados. Por exemplo, um acordo
entre o provedor de serviços e o seu cliente.
Na prática, isso significa que se a empresa determina que os objetivos de
desempenho do serviço de telefonia que utiliza devem ser garantidos em
99,99% dos dias, e a prestadora do serviço que será contratada deve estar
alinhada com essa meta. Além disso é importantíssimo que a área de TI
tenha como aferir e documentar as medidas realizadas para avaliar se o
serviço executado é compatível ou não com o serviço contratado.
Para que isso aconteça, perceba que é necessário um gerenciamento

dos serviços de forma a possibilitar a definição das metas e a medição,
visando à qualidade dos serviços a um custo aceitável. Ou seja, é preciso
conhecer os serviços, a sua importância para a instituição e o seu custo.
A maioria das empresas disponibiliza um serviço de suporte ao usuário.

Para que uma empresa consiga gerenciar e atender bem aos seus
consumidores, independentemente do tipo de produto ou serviço que
oferece, é fundamental:
• que se avalie qual o percentual de sucesso na resolução dos problemas;

• qual o tempo médio para essas resoluções; e
• qual o tipo de problema mais recorrente.
Sabendo o tipo de problema e seu número de ocorrência, é possível a
tomada de decisão mais eficaz e específica. Por exemplo, a ocorrência
de muitos problemas de vírus nos computadores da empresa pode
representar a falta de treinamento dos usuários que não sabem utilizar o
antivírus, cabendo uma política de divulgação na empresa sobre o tema
e pequenos cursos de treinamento aos colaboradores. Perceba que, para
que essa medida seja eficaz, pelo menos um colaborador de cada setor
deve participar e depois divulgar o aprendizado para os demais colegas
www.esab.edu.br 59
de trabalho. É uma ação simples, de baixo custo e com resultados muito
positivos.
Para que os serviços de suporte sejam eficazes, devemos avaliar o grau de

aderência dos serviços executados na empresa e as metas estabelecidas,
além de como esses serviços estão garantindo que o planejamento
estratégico seja alcançado. É importante saber quais os serviços
executados, por quem, quando e a qual custo.
Para que um serviço seja executado, são necessárias infraestrutura física

(equipamentos, softwares etc.) e humana (profissionais capacitados). A
seguir, estudaremos um pouco mais sobre a infraestrutura de TI. Vamos lá?
7.3 Plano de TI – Infraestrutura de TI

Você estudou anteriormente sobre a avaliação e monitoramento dos
serviços. Saiba que o monitoramento da infraestrutura tem a finalidade
de avaliar se esta está alinhada com os objetivos estratégicos da
organização, o que é também uma tarefa muito importante.
Primeiramente, precisamos compreender o que é infraestrutura de TI.
A infraestrutura de TI compreende um conjunto de ações e atividades

que dão suporte aos serviços de TI.
Fernandes e Abreu (2008) destacam que a identificação de novas

tecnologias, a atualização de tecnologias e a atualização das arquiteturas
para que os serviços sejam realizados em conformidade com as
necessidades e objetivos de negócio são exemplos de infraestrutura de TI.
De forma geral, infraestrutura de TI consiste nas instalações físicas,

serviços, pessoas e gestão administrativa que dão suporte aos recursos
compartilhados na organização.
É preciso que a Governança em TI, com base no Plano de TI, avalie se

as tecnologias utilizadas atendem às necessidades da empresa e sustentam
com qualidade e segurança os serviços disponibilizados por ela.
www.esab.edu.br 60
Por exemplo, a empresa pode disponibilizar em todas as salas da
organização o acesso à internet por rede sem fio, porém, cabe à área de TI
avaliar e promover os requisitos de segurança para esse tipo de conexão,
bem como a escolha por equipamentos que permitam uma frequência de
sinal com qualidade e continuidade.
Para que a área de TI consiga monitorar essa infraestrutura, são essenciais

e obrigatórias avaliações constantes, verificando se não há gargalos de
Tecnologia da Informação que estão afetando os projetos da empresa.
A seguir, listamos as prioridades que esse tipo de monitoramento deve
avaliar. Assim, é importante verificar:
• se os recursos de infraestrutura atendem às necessidades dos serviços;

• como os recursos estão disponibilizados e distribuídos na empresa;
• se há recursos obsoletos que precisam ser desativados;
• se há recursos que não atendem à demanda e precisam ser
atualizados e melhorados;
• se os recursos que estão seguindo as tendências de mercado estão
acompanhando as novas tecnologias.
Esse monitoramento deve ainda considerar alguns questionamentos.
• Quanto custa desenvolver e manter a infraestrutura para os serviços?

• Quanto cresce a demanda pelos serviços na organização? Estamos
acompanhando esse crescimento?
• Há recursos e investimentos destinados a melhorias e manutenção da
infraestrutura?
Entenda que a referência a recursos não deve ser entendida somente
como necessidades de equipamentos, mas também como recursos
humanos necessários para que os projetos sejam realizados e atendam às
expectativas da organização. A seguir, estudaremos sobre os recursos de
um Plano de TI.
www.esab.edu.br 61
7.4 Plano de TI – Recursos
Os recursos são elementos utilizados nos processos produtivos de todos
os tipos de bens, incluindo recursos físicos e humanos. Na Governança
em TI, os recursos podem ser classificados, segundo Fernandes e Abreu
(2008), como:
• aplicações: são sistemas que processam informações. As aplicações

não são necessariamente recursos computacionais. Um documento
em papel para registro das atividades de cada colaborador é uma
aplicação. Uma folha-ponto na qual o funcionário registra seus
horários de entrada e saída representa uma aplicação essencial para
controle das horas trabalhadas e remuneração do colaborador. Essas
aplicações podem ser utilizadas pelo setor de recursos humanos,
contábil e financeiro da organização;
• dados e informações: podem ser usados em diferentes formatos
e são dados capturados, processados e gerados por sistemas de
informação. Por exemplo, os dados das vendas de um período
podem ser avaliados de forma diferente pelo setor de marketing e o
financeiro, o primeiro pode se interessar em saber qual produto tem
melhor comercialização, já o setor financeiro pode se interessar pela
margem de lucro dos produtos;
• infraestrutura: podem ser recursos de TI ou as instalações físicas
que amparam o processamento das informações. Por exemplo,
uma rede de dados segura e consistente é fundamental para a
comunicação entre os setores e o compartilhamento de documentos
e informações;
• pessoas: é a equipe capacitada e treinada para fazer com que os
processos sejam executados dentro dos desempenhos desejados e
elencados.
O Plano de TI deve contemplar os sistemas necessários para que as
atividades da organização sejam executadas de forma eficiente, sem
descartar que para isso é necessário colaboradores capacitados, a
infraestrutura adequada e uma política de segurança que garanta a
integridade dos dados. Esse é um conjunto de fatores que determinam o
papel do Plano de TI.
www.esab.edu.br 62
Nesta unidade, você estudou sobre a importância dos serviços e
infraestrutura de TI para que as instituições possam atender às metas e aos
objetivos elencados no planejamento estratégico. Você viu que os serviços
podem ser entendidos como os recursos que são utilizados na empresa e a
infraestrutura como a forma pela qual esses recursos são disponibilizados.
Ambos, serviços e infraestrutura, devem ser elaborados de acordo como
planejamento estratégico e devem visar à sua sustentação. Você estudou
também que para que isso aconteça são necessários monitoramento e
avaliação constante dos serviços e da infraestrutura.
Por fim, você pôde estudar que recursos não devem ser entendidos apenas
como equipamentos físicos, mas como qualquer expediente utilizado na
realização dos projetos que visam atender às necessidades da empresa.
Na próxima unidade, vamos estudar os aspectos para o sucesso de um

Plano e TI, no que se refere à definição de prioridades dos produtos e
serviços, investimentos e formalização no portfólio de produtos. Vamos lá?
www.esab.edu.br 63
8 parte V
Objetivo
Identificar e analisar os fatores críticos para o sucesso da Governança
em TI usando um modelo genérico.
Na unidade anterior, você estudou sobre o papel do Plano de TI e como

avaliar e definir as prioridades em termos de serviços e produtos da
empresa. Viu ainda como esse monitoramento influencia na definição
dos serviços a serem disponibilizados.
Nesta unidade, daremos sequência aos estudos sobre o Plano de TI

na Governança em TI, com destaque para o processo de avaliação
e definição de prioridade de recursos de TI. Esses recursos são
fundamentais para a análise e decisão de investimentos em TI e em
paralelo na formatação do Portfólio de TI.

O Plano de TI da Governança em TI visa a atender prioritariamente

às necessidades da empresa com base no seu planejamento estratégico.
Mas não apenas isso, outro objetivo importantíssimo é possibilitar que
os investimentos em TI gerem os retornos esperados e que os riscos com
esses investimentos sejam diminuídos, monitorados e controlados.
Albertin e Albertin (2010, p. 4) destacam, e você pode perceber por seus

estudos nesta disciplina, que a “[...] TI está inserida nas organizações,
ocupando papéis variados, mas de forma muito abrangente”.
A TI evoluiu nos últimos anos, mudando de patamar: antes era um

recurso administrativo e operacional, agora é uma obrigação e um
diferencial estratégico dentro da organização. A TI passou a ser uma
www.esab.edu.br 64
estratégia competitiva que suporta as operações de negócio e possibilita
novas estratégias de negócio. Esse novo cenário fez com que o interesse
por tecnologia dentro das empresas aumentasse. Por exemplo, se o setor
de TI enviar um comunicado aos colaboradores questionando quem teria
interesse em utilizar um tablet como ferramenta de trabalho, com certeza
a grande maioria responderia positivamente e inclusive apresentaria
motivos para sua utilização, mesmo que, antes desse comunicado, não
tenham analisado se o uso desse equipamento poderia aumentar a
qualidade dos serviços prestados ou a produtividade; em alguns casos
podem inclusive desconhecer a usabilidade de um tablet.
Gerenciar esses desejos é fundamental para o sucesso do Plano de TI na

Governança em TI. Caso contrário, tudo será necessário e prioritário em
termos de recursos.
A avaliação de recursos é prioritária e deve se basear nos projetos, serviços

e aplicações em uso na empresa. Mas, como realizar essa avaliação?
Acompanhe no próximo item como desenvolver a avaliação das
necessidades e aprovação do Plano de TI.
8.1 Plano de TI – Avaliação das necessidades e

aprovação do plano
Para avaliação das necessidades, sua formalização e aprovação é preciso
fazer um levantamento dos serviços em uso na empresa, cruzando-os
com os projetos em execução e com as prioridades da organização. Em
paralelo, analisar os setores envolvidos nessa relação de projeto, serviços e
planejamento estratégico.
Essas decisões envolvem vários critérios e propósitos e decidir a melhor

alternativa não é tarefa simples. Assim, para auxiliá-lo nesse processo,
descrevemos, a seguir, alguns questionamentos que ajudarão você a
avaliar a real necessidade dos recursos tecnológicos. Acompanhe:
• Qual a situação dos recursos? Há necessidade de novas aquisições,

desenvolvimento, manutenção ou melhoria dos recursos?
www.esab.edu.br 65
• Qual o estado atual do recurso: inexiste, escasso, precário, suficiente
ou insuficiente?
• Qual a prioridade do recurso no dia a dia da empresa: baixa, alta,
média, crítica?
• Qual a necessidade para disponibilização do recurso? Determinar
quanto tempo de espera até que o recurso esteja disponível. Pode ser
em meses, dias, anos ou até mesmo em horas.
• Quais os riscos com esse investimento? Avaliar quais os riscos do
investimento em um novo recurso, como será o retorno financeiro e
em quanto tempo.
O levantamento das necessidades da organização deve ser o resultado
de uma análise planejada e coerente com as necessidades e realidades
da organização. A escolha deve sempre representar vantagens, se basear
nos requisitos organizacionais e, principalmente, no conhecimento dos
processos de negócio da instituição.
Por exemplo, se a empresa necessita de aquisição de equipamentos

mais modernos para melhoria na qualidade dos produtos e serviços que
oferece, mas não possui recursos financeiros para atender a todos os
setores, é primordial que a área de TI avalie quais setores não alcançaram
as metas estabelecidas no planejamento estratégico e analise qual o
impacto dos recursos atuais nesses resultados. Após a análise desses
dados, será possível propor a melhoria dos equipamentos. Veja bem, é
importante saber que os recursos utilizados não são a única causa para
que determinados setores não tenham atingido as metas estabelecidas.
Estar de posse dessas análises é importante para tomada de decisão; é

necessário que os setores competentes possam gerar dados que se tornem
indicadores para uma avaliação mais precisa, otimizando assim os resultados.
Saber avaliar o contexto da organização e quais os motivos para que

determinadas metas não tenham sido alcançadas é imprescindível para
que o investimento em TI seja realmente investimento e não custo.
www.esab.edu.br 66
Saiba mais
Definir e avaliar onde e como investir em TI é
sempre uma tarefa complexa, envolve a análise
de prioridades, necessidades e a disponibilidade
de recursos financeiros. Avaliar se o recurso
destinado para TI é um investimento ou um custo
é uma tarefa árdua para os especialistas em TI.
Para complementar seus estudos com relação à
importância dos serviços de TI e à necessidade
de investimentos nessa área, acesse o endereço
clicando aqui. Você poderá aprofundar seus
estudos com relação à área de TI no que se refere
ao investimento ou custo.
Assim como conhecer as reais necessidades, onde a TI precisa ser

melhorada e em quais setores, produtos e serviços, é preciso avaliar se
a capacidade de investimento da empresa atende a essas demandas. O
conhecimento das necessidades com a capacidade de investimento é que
determinará as prioridades em TI.
Fernandes e Abreu (2008, p. 77) destacam que “[...] as necessidades

de projetos, serviços e aplicações devem ser priorizadas considerando a
capacidade de investimento da empresa”.
A elaboração de uma política de prioridade e investimentos deve ser uma

tarefa colaborativa e que envolva não apenas os colaboradores da área de
TI, mas representantes de cada setor, principalmente os stakeholders e os
gestores da empresa, permitindo que vários cenários possam ser avaliados
por vários pontos de vista.
www.esab.edu.br 67
8.2 Plano de TI – Investimentos
Avaliar como e onde investir em TI pode ter como requisito o retorno
financeiro do projeto ou serviço. Porém, esse não deve ser o único item
avaliativo, pois algumas situações podem determinar a prioridade de
investimento mesmo com riscos no seu retorno.
Por exemplo, em 1999, a maioria dos programas de computadores

utilizava a formatação de datas que utilizavam o ano com apenas dois
números; assim a data 10/07/1970 era armazenada como 10/07/70.
Com a virada do século, muitas empresas foram obrigadas a investir
recursos financeiros para formatar a data, fazendo com que o ano
ficasse com quatro dígitos, uma vez que o uso do dia/mês/00 causaria
confusão, por exemplo, 24/12/00 poderia ser lido como 24/12/1900 ou
24/12/2000. Esse fenômeno foi conhecido como Bug do Milênio.
Saiba mais
Você pode conhecer mais sobre o Bug do Milênio.
Para isso, acesse o endereço clicando aqui e assista
à reportagem sobre esse problema.
Para que o investimento em TI seja realizado, é preciso que a empresa

tenha um processo capaz de avaliar e monitorar os resultados dos
recursos investidos, com a participação dos vários níveis hierárquicos,
sendo que a alta administração tem papel fundamental no processo, pois
essa decisão influencia diretamente nos resultados dos negócios.
A Figura 6 apresenta o processo de gerenciamento de investimentos em

TI, observe:
www.esab.edu.br 68
1. Definição das metas 2. Definição dos critérios
e medidas de desempenho. de investimento.
5. Alta administração
avalia os critérios 4. As alternativas 3. Patrocinadores apresentam
de investimentos e as são avaliadas. suas alternativas/propostas.
propostas e toma a decisão.
Figura 6 – Processo de gerenciamento de investimento em TI.
Fonte: Adaptada de Albertin e Albertin (2010, p. 8).
Observe na Figura 6 que na etapa 1 são definidas as metas e medidas

de desempenho da empresa, ou seja, os resultados desejados com o
planejamento estratégico. Na etapa 2 são apresentados os critérios de
investimento, podendo ser o retorno financeiro ou uma necessidade
de emergência. Já na etapa 3, os patrocinadores avaliam as possíveis
soluções, seus custos, prazos, fornecedores, contextualizando as possíveis
soluções. Na etapa 4, as propostas são enviadas à alta administração
(diretores) para avaliação. Por fim, na etapa 5, são avaliados os critérios,
as propostas, como e onde serão obtidos os recursos e, então, se escolhe
a proposta mais interessante. Perceba que, caso não se obtenha a solução
dentro dos critérios elencados na etapa 2, o processo pode ser reiniciado.
Uma vez que estudamos sobre o processo de avaliação dos investimentos

em TI, é hora de definirmos o Portfólio de Serviços e Produtos. Assim,
dando sequência aos nossos estudos, acompanhe como se dará esse
processo.
8.3 Plano de TI – Definição do portfólio de serviços e

produtos
O resultado da priorização dos serviços e produtos tem como principal
objetivo a formalização do Portfólio de TI, que considera todos os
projetos, serviços e aplicações essenciais para empresa e sua relação com
os objetivos do planejamento estratégico.
www.esab.edu.br 69
A partir do Portfólio de TI, é possível analisar os serviços de TI e decidir
onde ocorrerão os investimentos.
Segundo Fernandes e Abreu (2008), o Portfólio de TI é o elo entre a

estratégia de negócio e as iniciativas de TI, constituindo-se em um dos
principais instrumentos para garantir que somente projetos, serviços
e aplicações priorizados e presentes no portfólio sejam executados. O
Portfólio de TI deve ser divulgado entre todos os integrantes da equipe
de TI da empresa. Essa é uma prática necessária para garantir que todos
saibam o que se espera deles em termos de resultados.
Portanto, cabe aos especialistas em TI, junto com os stakeholders

da organização, avaliar os projetos ativos e inativos, quais as suas
necessidades, a situação, custos e cronogramas, para então compartilhar
com todos os colaboradores. Essa ação é necessária para que todos
conheçam os projetos, as prioridades, as tarefas e os responsáveis por cada
projeto. Isso permite que novas ideias e sugestões possam ser integradas
aos projetos bem como permite uma maior transparência sobre as metas
e objetivos da empresa.
Nesta unidade, você pôde estudar sobre a importância e complexidade

na definição de recursos e serviços prioritários à organização para que
ela atenda às metas elencadas no planejamento estratégico. Você estudou
também sobre os aspectos que envolvem a definição de como e onde as
organizações devem investir em TI. No final da unidade, você estudou
sobre a importância do Portfólio de TI na formatação dos serviços e
produtos priorizados e que servem para nortear os investimentos em TI.
Na próxima unidade, você estudará sobre as operações e serviços de TI e

o relacionamento da empresa com clientes, usuários e fornecedores.
Tarefa dissertativa
Caro estudante, convidamos você a acessar o
Ambiente Virtual de Aprendizagem e realizar a
tarefa dissertativa.
www.esab.edu.br 70
Planejamento, implementação e
9 gerenciamento da Governança em
TI
Objetivo
Abordar os aspectos associados com o planejamento, a
implementação e o monitoramento de um programa de Governança
em TI nas instituições.
Na unidade anterior, você pôde analisar e compreender a importância

do Portfólio de TI como ferramenta de definição de prioridades e
investimentos em TI.
Nesta unidade, você poderá estudar a abrangência de atuação da área de

TI na organização. Você verá como essa abrangência é ampla, já que visa
a atender não só aos usuários da empresa, mas também aos clientes e
fornecedores.

Tendo em vista o conteúdo desta unidade, é importante que você

saiba que a abrangência dos serviços da área de TI deve ser muito bem
estruturada e planejada para que tenha o desempenho desejado e apoie os
negócios da organização.
Por exemplo, caso a empresa opte por comercializar seus produtos

na internet por meio de lojas virtuais, é necessário que os recursos e
a infraestrutura garantam a qualidade dos serviços, pois seria muito
negativo que o site saísse do ar devido ao número elevado de usuários
online. Além de recursos que garantam a compatibilidade dos serviços,
é preciso que os sistemas utilizados possuam integridade com os demais
sistemas da empresa, garantindo que os dados de preços, estoque e
descrição dos produtos estejam corretos e organizados. Problemas na
entrega ao cliente devido à falta do produto em estoque por erro de
www.esab.edu.br 71
atualização no sistema é inadmissível. Por isso, tão importante quanto
conhecer os serviços e produtos da empresa é saber quais destes não são
de responsabilidade da área de TI.
Assim, uma ferramenta muito importante é o Catálogo de Serviços,

que descreve os serviços internos, externos, seus responsáveis e a quem se
destinam, podendo ser os usuários, clientes ou fornecedores.
O Catálogo de Serviços é um instrumento de comunicação entre os

usuários e clientes da TI da organização. Esse Catálogo consiste em
uma descrição formal e detalhada dos serviços, é orientado ao cliente e
disponível para consulta.
O Catálogo de Serviços é constituído de pacotes de serviços que serão

descritos a seguir. Vamos lá?
9.1 Operações e serviços de TI

Segundo Corrêa e Caon (2002 apud FERNANDES; ABREU, 2008, p.
95), “[...] os serviços podem ser agrupados em: não estocáveis essenciais,
não estocáveis acessórios, estocáveis com transferência de propriedade e
estocáveis sem transferência de propriedades”.
O pacote de serviços não estocáveis essenciais é representado pelas

operações realizadas que fazem parte da missão da empresa, tais como:
a entrega dos projetos no prazo, por exemplo, com as funcionalidades,
qualidade e custos acordados.
Aqueles serviços em que as operações realizadas não fazem parte da

missão da empresa, mas trazem transparência aos processos e resultam
em melhorias na qualidade do que é produzido, são serviços não
estocáveis acessórios. São exemplos desse tipo de serviço: acessórios
que possibilitam aos colaboradores conhecer a situação dos projetos, as
atividades já realizadas, as prioridades e os resultados alcançados.
www.esab.edu.br 72
Os serviços estocáveis com transferência de propriedade são aqueles
em que as operações realizadas formalizam as informações sobre os
produtos ou atividades da empresa, como os relatórios com dados sobre o
desenvolvimento dos produtos, os cronogramas, as planilhas de custos etc.
Por fim, os serviços estocáveis sem transferência de propriedade são

representados pelas operações da TI que dão suporte para que as atividades
sejam realizadas, como instalações elétricas, serviço de telefonia etc.
Todos esses serviços podem ser disponibilizados para os usuários,

clientes ou fornecedores da empresa, para que saibam como proceder na
solicitação ou acompanhamento de um serviço solicitado.
Na próxima seção, apresentaremos o modelo de relacionamento com os

usuários ou clientes.
9.2 Relacionamento com clientes e usuários

O modelo de serviços de relacionamento com os usuários ou clientes
é representado pelas formas com as quais o cliente ou usuário
solicita o serviço, enfatizando quem solicita e como. Esse modelo de
relacionamento avalia a eficiência dos canais de comunicação e auxilia na
definição das prioridades de atendimento.
O que se deseja com esse modelo de relacionamento é determinar

critérios de priorização das demandas dos clientes e usuários, além de
determinar um padrão de solicitação e especificação do que pode ser
solicitado e o que não pode. Em resumo, esse modelo de relacionamento
tem por objetivo organizar e padronizar os processos que envolvem a
empresa e seus clientes e usuários.
Para Fernandes e Abreu (2008, p. 149), no contexto da Governança em

TI, “[...] é preciso estabelecer um ‘modelo de relacionamento’ com o
usuário, visando garantir a qualidade da prestação dos serviços”.
www.esab.edu.br 73
Esses serviços podem ser exemplificados como:
• central de serviços disponibilizados aos clientes e usuários;

• colaboradores responsáveis por monitorar e avaliar o relacionamento
dos clientes e usuários com a empresa;
• processo formal de solicitação de projetos, suportes e manutenção;
• canais de sugestão e reclamações.
O que se deseja com esses serviços é reduzir o desgaste na relação entre
clientes/usuários e a empresa.
Para conquistar, conhecer e manter os clientes e usuários, é preciso identificá-

los, conhecer o seu perfil, seus hábitos, suas necessidades e opiniões, bem
como seu histórico de atendimentos e negociações. Isso permite diferenciar
cada usuário/cliente e disponibilizar canais de atendimento exclusivos,
programas de fidelidade e políticas internas de serviços.
Nesse sentido, o relacionamento do cliente/usuário com a empresa pode

auxiliar no:
• gerenciamento de informações: é extremamente importante para as

empresas organizarem, analisarem e gerenciarem as informações que
advêm dos seus clientes ou usuários;
• compartilhamento das informações: o uso das informações nos
diferentes setores da empresa é muito importante, pois os mesmos
dados podem ser vistos de formas diferentes dependendo do contexto
da informação. Por exemplo, o setor financeiro pode analisar as
informações com o objetivo de avaliar os preços e formas de pagamento,
já o setor de marketing pode visualizar os dados com interesse na
aceitação da marca e diferenciais com relação aos concorrentes;
• diminuir os custos: ferramentas de comunicação com cliente e usuário
possibilitam disponibilizar canais de comunicação eficientes e baratos,
como central e atendimento ao cliente, formulários na internet para
sugestões e reclamações e telefones gratuitos de contato.
www.esab.edu.br 74
Observe que esses canais de comunicação são fundamentais para os
clientes e usuários, mas também para empresa. Esses mecanismos
auxiliam e estreitam a relação entre as partes, além de gerar uma base
de dados com informações importantes para a tomada de decisões e
melhorias nos serviços e produtos.
Para sua reflexão

O desenvolvimento de novos canais de
comunicação com o cliente é uma estratégia
atual nas empresas. É muito comum você acessar
um site de determinada empresa em que ela
disponibiliza um formulário de “Fale Conosco”,
no qual o cliente pode registrar uma crítica ou
sugestão. Porém, não basta disponibilizar essa
ferramenta de contato, a empresa deve contar
com pessoas qualificadas em filtrar, avaliar e
responder as mensagens enviadas e em curto
prazo. Torna-se muito negativa uma ferramenta
de comunicação que não dá retorno aos usuários,
gerando descontentamentos. O que você pensa
sobre isso? Você concorda que esse tipo de recurso
pode prejudicar o relacionamento entre empresa e
consumidores caso não seja bem gerenciado?
A resposta a essa reflexão forma parte de sua
aprendizagem e é individual, não precisando ser
comunicada ou enviada aos tutores.
Essa relação de estreitamento entre empresa e clientes ou usuários pode

ser estendida para os fornecedores da empresa. A seguir, veremos como se
dá esse relacionamento.
www.esab.edu.br 75
9.3 Relacionamento com fornecedores
No modelo de relacionamento com os fornecedores são descritas as
formas pelas quais o fornecedor recebe a solicitação do serviço, além de
monitoradas e avaliadas as formas como esses pedidos são atendidos.
Esse modelo permite avaliar se os serviços prestados estão de acordo com

o que foi contratado, como será a transição do serviço que era realizado
internamente na empresa e passará a ser realizado por terceiros e o padrão
que deve ser aplicado aos serviços.
Um importante aspecto desse modelo é estabelecer e avaliar o

desempenho dos serviços que são realizados por terceiros, fornecedores
da empresa, com definição de responsabilidades e o papel de cada um na
relação empresa-fornecedor.
Fernandes e Abreu (2008) destacam que, no contexto da Governança em

TI, devemos estabelecer um modelo de relacionamento com fornecedores
de serviços. Esse modelo deve obedecer à estratégia estabelecida pelo
processo de planejamento da tecnologia da informação, ou seja, a
relação entre as partes deve se basear no planejamento estratégico da
empresa, avaliando os benefícios e custos, assim como o atendimento
aos desempenhos necessários para o negócio da empresa, descritos no
Portfólio de TI.
Por exemplo, quanto à escolha entre o uso de servidores físicos, locais,

na própria empresa ou um conjunto de computadores que realizam o
processamento das informações na internet, sistemas fundamentados
em cloud computing (computação nas nuvens), devemos avaliar não
apenas a redução considerável nos custos de hospedagem e transmissão
de grandes volumes de dados, mas também a segurança nessa nova
tecnologia. A questão de segurança é de fundamental importância e
deve ser considerado um critério tão importante quanto preço, suporte e
qualidade dos serviços.
www.esab.edu.br 76
Nesta unidade, você estudou sobre os tipos de serviços que podem ser
realizados em uma empresa. Estudou também como se dá a relação entre
clientes, usuários e a empresa no que se refere a quem pode solicitar
um serviço. Esses dados são fundamentais para o monitoramento da
qualidade dos serviços prestados e auxiliam na tomada de decisões.
Por fim, você estudou a importância da avaliação e formalização da
relação entre a empresa e seus fornecedores para que os objetivos do
planejamento estratégico sejam atendidos.
Na próxima unidade, estudaremos as regulamentações de compliance,

que são marcos reguladores dos serviços de TI.
Atividade
Chegou a hora de você testar seus conhecimentos
em relação às unidades 1 a 9. Para isso, dirija-se ao
Ambiente Virtual de Aprendizagem (AVA) e responda
às questões. Além de revisar o conteúdo, você estará
se preparando para a prova. Bom trabalho!
www.esab.edu.br 77
Regulamentações de compliance –
10 parte I
Objetivo
Identificar os impactos das regulamentações de compliance externas
no processo de implantação da Governança em TI, em especial as
regulamentações Sarbanes-Oxley.
Nesta unidade, estudaremos os regulamentos dos processos internos das

organizações: o Sarbanes-Oxley e o acordo de Basileia II.
O material desta unidade foi desenvolvido com base em Fernandes e Abreu

(2008) e Lucas Jr. (2006). Porém, antes de iniciarmos nossos estudos,
vamos relembrar alguns assuntos das unidades anteriores. Acompanhe:
Como visto nas unidades anteriores, a TI tem papel fundamental nas

organizações como ferramenta de apoio e sustentação nos negócios da
empresa, sempre fundamentado e fazendo parte do seu planejamento
estratégico.
www.esab.edu.br 78
Para sua reflexão
A organização deve se preocupar em ter uma área
de TI que atenda aos seus requisitos de negócio,
isso facilita a definição de prioridades e onde
há maior necessidade de investimentos. Mas
os serviços de TI não devem apenas atender às
necessidades da organização, é necessário que
atendam também os preceitos legais definidos
por instituições públicas e privadas. A forma pela
qual a TI é aplicada na empresa deve seguir as
normas legais, regras e procedimentos dos órgãos
reguladores externos, como: Agência Nacional de
Telecomunicações (Anatel), Agência Nacional de
Energia Elétrica (ANEEL) e Banco Central do Brasil
(Bacen).
10.1 Introdução às regulamentações de compliance

Os órgãos reguladores são independentes e não subordinados
hierarquicamente a nenhum órgão de governo e suas decisões não
podem ser contestadas. As normas elaboradas por esses órgãos são
antes submetidas à consulta pública, representando uma manifestação
da sociedade. Essas normas passam a ser uma exigência legal para as
instituições, que em caso de discordância podem ser multadas.
Portanto, são órgãos responsáveis por normatizar setores específicos

não apenas em âmbito econômico, mas também jurídico, social e
institucional. A maioria deles exerce a função de fiscalizar as empresas
que atuam em setores fundamentais para a sociedade.
www.esab.edu.br 79
Por exemplo, as operadoras prestadoras do serviço de telefonia devem
atender aos instrumentos regulatórios da Anatel, como, por exemplo, o
tempo máximo para atendimento e resposta aos chamados abertos pelos
clientes por meio do serviço de atendimento ao cliente. Caso as normas
não sejam atendidas, a empresa pode ser repreendida pelo órgão tendo
que pagar multas altíssimas.
Como você pode ver, a empresa não tem poder sobre esses órgãos
reguladores, pois são externos à organização, sendo uma obrigação
acompanhar e seguir as normas expedidas por esses órgãos e realizar as
adaptações administrativas quando necessárias, evitando dessa forma as
penalizações.
A atividade regulatória não compete exclusivamente aos órgãos

reguladores, cabendo a outros órgãos como: Conselho Administrativo da
Defesa Econômica (CADE), responsável pela defesa da concorrência de
diversos setores econômicos, a Comissão de Valores Mobiliários (CVM),
responsável pela regulação de mercados de capitais, e o Conselho
Monetário Nacional (CMN), responsável pela regulação do sistema
financeiro nacional.
Cada um desses órgãos responde por um setor específico sem interferir na

competência do outro, podendo haver apenas uma complementaridade.
Essas regulamentações afetam a área de TI e por isso devem ser atendidas

pela Governança em TI e alinhadas ao planejamento estratégico. Esse
atendimento em conformidade com leis e regulamentos externos e
internos dos órgãos reguladores é conhecido como compliance.
Para garantia da compliance, há duas importantes leis de

regulamentação, a Sarbens-Oxley, SOA, e acordo de Basileia II,
importantes mecanismos que surgiram em detrimento de problemas
resultantes de escândalos econômicos que repercutiram mundialmente. A
seguir, você aprenderá mais sobre essas leis de regulamentação.
www.esab.edu.br 80
10.2 O que é Sarbanes-Oxley Act?
A origem do regulamento Sarbanes-Oxley Act, também conhecido como
SOA, foram os escândalos financeiros nos Estados Unidos, em 1999.
Nessa ocasião, a Enron (área de energia elétrica) e outras empresas que
manipulavam os balanços contábeis e financeiros geraram falsos lucros
e, consequentemente, aumentaram os valores de suas ações. Essas ações,
por sua vez, eram negociadas pelos sócios e diretores da empresa que
tinham informações privilegiadas, tornando-se, assim, o maior escândalo
financeiro nos Estados Unidos. A complexidade das operações e da
contabilidade confundiu todo mundo e mascarou a fraude.
Já naquela época, a bolsa de valores era o principal meio de investimento dos

americanos, e o escândalo da Enron afetou a credibilidade nesse mercado,
representando uma desconfiança na condução da economia americana.
Como consequência do escândalo, a sociedade americana passou a

exigir normas e procedimentos mais claros que regulamentassem o
mercado de capital (mercado de ações) dos Estados Unidos, protegendo
os investimentos contra fraudes contábeis e financeiras de companhias
abertas e a definição das penalidades para esses crimes.
Para tanto, foi criada, em 2002, a lei de regulamentação Sarbanes-Oxley,

uma lei de controle interno sobre os relatórios financeiros. Essa lei,
segundo Fernandes e Abreu (2008), determina:
• a manutenção de registros que, em razoável detalhe, com exatidão e

de forma correta, refletem as transações e disposições dos ativos do
emitente;
• a promoção de garantias de que as transações são registradas quando
necessárias para emitir a preparação de declarações de resultados
financeiros de acordo com os princípios contábeis geralmente
aceitos, e que as receitas e despesas do emitente são feitas somente de
acordo com autorizações da gerência e diretores do emitente;
• a promoção de garantia relacionada à prevenção ou detecção,
no momento preciso de aquisições não autorizadas, o uso ou a
www.esab.edu.br 81
disposição dos ativos do emitente que possam ter um efeito material
nas declarações dos resultados financeiros.
A regulamentação Sarbanes-Oxley Act é dividida em capítulos e seções
que especificam que as empresas organizem os processos para aumento
do controle, da segurança e da transparência na condução dos negócios.
Essa regulamentação estabelece regras que determinam e exigem a

transparência com relação ao uso dos ativos (recursos financeiros) da
empresa e coloca os diretores como responsáveis legais pelas informações
e sujeitos às penalidades da lei.
Devido a sua complexidade, a aprovação dessa lei passou a exigir do

setor de TI das empresas a análise, ajuste e implantação de processos de
controles que garantam a veracidade e confiabilidade das informações
e mantenham a segurança das informações, estabelecendo um
monitoramento contínuo dos processos.
As organizações precisaram se adaptar e realizar mudanças culturais

e estruturais na sua forma de atuação e principalmente na gestão da
informação.
Para entender o porquê dessas mudanças é preciso conhecer o que

determina o SOA, Sarbanes-Oxley Act.
10.3 Introdução ao SOA

A aplicação do SOA (Sarbanes-Oxley Act) determinou algumas mudanças
significativas na prática de Governança Corporativa, sendo as principais:
• criação de um comitê independente responsável pela auditoria dos

balanços contábeis;
• aplicação de responsabilidades corporativas, ou seja, os diretores
respondem judicialmente pela empresa;
• geração de relatórios periódicos e padronizados com informações
sobre as movimentações contábeis da empresa;
www.esab.edu.br 82
• estabelecimento de regras e penalidades para o descarte de
documentos corporativos e para alteração e falsificação de dados.
Segundo Fernandes e Abreu (2008), as mudanças previstas com a aplicação
do SOA afetam a TI de forma bastante significativa, uma vez que tanto as
informações financeiras quanto as de resultados são oriundas de todos os
processos de negócio. Essas informações geram fatos contábeis e financeiros
para a empresa e podem estar automatizadas ou não.
Isso significa que todos os sistemas da empresa, computacionais ou não,

devem ser planejados de acordo com os requisitos da SOA, que são:
• o conteúdo da informação deve ser apropriado. Os dados devem

ser utilizados de acordo com a necessidade e a quem se destina. Por
exemplo, se a organização detecta problemas na comercialização
de um determinado produto, deve então, focar-se em organizar,
capturar e classificar os dados que possam, de forma sintetizada,
apresentar o cenário que resultou naquele problema e contribuir
para que os envolvidos encontrem rapidamente uma solução;
• a informação deve estar sempre disponível quando necessário;
• a informação deve ser atual, com dados e informações corretos;
• haver um sistema de controle interno sobre relatórios financeiros.
Cabe à empresa monitorar e adequar os processos, procedimentos e
sistemas seguindo as normas da Sarbanes-Oxley Act (SOA) e formalizá-
los no planejamento estratégico da organização.
www.esab.edu.br 83
Para sua reflexão
A área de TI, nesse contexto específico, tem um
papel importante, pois garante a segurança e
o controle das informações da empresa. A TI
também define o controle de acesso às aplicações
para assegurar a confiabilidade dos sistemas, a
veracidade dos dados de saída e a proteção de
equipamentos. Mas, apenas isso não basta, é
necessária a conscientização dos usuários sobre os
cuidados na manipulação das informações.
Com relação à segurança da informação, segundo Lucas Jr. (2006), os

aspectos de segurança da informação devem:
• criticar as práticas de segurança;

• revisar e avaliar as capacidades de recuperação em caso de desastres;
• revisar e garantir a auditoria dos processos; e
• revisar as práticas de segurança.
Uma consequência direta da SOA nas empresas foi o aumento na
importância das informações e no seu sigilo, para que sejam realmente
confiáveis, uma vez que as informações seguras e sigilosas evitam as
fraudes e escândalos, a fim de garantir a gestão completa da organização.
Nesta unidade, você estudou sobre o papel dos órgãos reguladores

e seu papel de fiscalização e monitoramento dos serviços prestados
pelas empresas em setores específicos. Essa necessidade de normas e
procedimentos padronizados e monitorados passou a ser exigida às
empresas de mercado aberto a partir dos escândalos americanos no ano
de 1999, sendo formalizada pela lei Sarbanes-Oxley Act, em 2002. Essa
lei define os diretores como responsáveis legais pelos atos da empresa
e exige a emissão de relatórios que demonstrem a situação financeira e
contábil da organização.
www.esab.edu.br 84
Essa obrigatoriedade exigiu que as empresas desenvolvessem serviços de
TI para monitoramento dos processos internos e da segurança no acesso
às informações, determinando que as empresas que necessitam atender
aos requisitos da SOA devem obrigatoriamente dispor de serviços de TI
que também atendam a esses requisitos.
Na próxima unidade, continuaremos os estudos das regulamentações de

compliance com foco no Acordo de Basileia.
www.esab.edu.br 85
Regulamentações de compliance –
11 parte II
Objetivo
Apresentar os impactos das regulamentações de compliance externas
no processo de implantação da Governança em TI, em especial o
Acordo da Basileia.
Na unidade anterior, você pôde estudar sobre as regulamentações de

compliance, em especial a Sarbens-Oxley Act e as suas consequências na
governança corporativa das organizações, que resultam em mais controle
sobre os registros contábeis e financeiros das empresas.
Nesta unidade, apresentaremos outros dois acordos de regulamentação:

o Acordo de Basileia e a Resolução n° 3.380, do Banco Central do Brasil.
O material desta unidade foi desenvolvido com base em Fernandes e

Abreu (2008) e Lucas Jr. (2006).
11.1 Compliance – acordo de Basileia II

O acordo Basileia II foi estabelecido pelo BIS (Bank for International
Settlements), em 2004, sediado na cidade da Basileia, na Suíça, e serve
como regulamentação das instituições financeiras internacionais.
Surgiu em virtude de problemas do mercado financeiro com o fim do

Sistema Monetário Internacional, na década de 1970, especificamente
em 1974, com os distúrbios nos mercados internacionais que levaram à
falência de alguns importantes bancos da Europa.
O Acordo de Basileia teve o apoio do Grupo G-10 (dez países mais ricos
do mundo), que decidiu criar o Comitê de Regulamentação Bancária e
Práticas de Supervisão.
www.esab.edu.br 86
Nesse comitê, foram discutidas questões relacionadas às instituições
financeiras, visando a melhorar a segurança e as garantias do sistema
bancário internacional. Em 1988, esse comitê se transformou no Acordo
de Basileia. Esse acordo definiu mecanismos para mensuração do risco
de crédito, bem como estabeleceu a exigência de capital mínimo para
suportar riscos. Atualmente, é conhecido como Basileia I.
Em resumo, o Acordo de Basileia I determinava regras nas quais as

instituições financeiras deveriam apresentar garantias financeiras na forma
de um capital de reserva, que garantissem os empréstimos realizados.
O primeiro acordo, Basileia I, foi implantado no Brasil na década de

1990 e impôs a exigência de que os bancos nacionais tivessem como
garantia um percentual de 8% do valor emprestado. Por exemplo, para
um crédito de 100 milhões de reais, a instituição deve ter um capital de
garantia equivalente a 8 milhões de reais.
Com o passar dos anos, as regras adotadas pelo acordo Basileia I se

mostraram inconsistentes e deixavam os bancos expostos a determinados
riscos. Assim, para evitar as falências de muitas instituições, foi preciso
fazer alguns ajustes, gerando o acordo de Basileia II.
O acordo de Basileia II se apoia em três pilares:
• Determinação dos requisitos mínimos de fundos próprios para a cobertura dos riscos
de crédito, de mercado e operacional.
• Convergência das políticas e práticas de supervisão (que podem originar,
nomeadamente, a fixação de requisitos mínimos diferenciados, em função dos perfis
de risco ou da solidez dos sistemas de gestão e controle interno das instituições).
• Prestação de informação ao mercado e ao público em geral, de modo a assegurar
maior transparência sobre a situação financeira e a solvabilidade das instituições
(FERNANDES; ABREU, 2008, p. 30).
Para que esses pilares sejam alcançados, há a necessidade de recursos
de TI. Esses recursos permitiriam que, em uma economia mundial tão
dinâmica e fragilizada como os últimos escândalos econômicos têm
demonstrado, as instituições financeiras possam gerenciar os dados
dos clientes, das movimentações financeiras e a própria situação da
instituição com uma diversidade de produtos e serviços.
www.esab.edu.br 87
Em 2008, houve uma crise mundial devido ao não pagamento de
hipotecas de casas nos Estados Unidos. Essa crise só aconteceu porque,
com os juros baixos e o excesso de crédito no mercado norte-americano,
houve uma supervalorização no valor dos imóveis. Essa supervalorização
estimulou os financiamentos de casas, principalmente entre os
americanos de baixa renda. Com o aumento dos juros nos Estados
Unidos, as prestações das casas próprias aumentaram e o preço dos
imóveis começou a cair. O aumento das prestações gerou um aumento
na inadimplência, fazendo com que os títulos, que eram garantidos
pelas hipotecas, perdessem valor. Como os títulos eram comprados por
investidores do mundo todo, com a crise, esses investidores começaram a
vendê-los, fazendo com que os preços despencassem. O resultado de toda
essa movimentação foi uma crise financeira que afetou a economia de
países do mundo todo.
Por isso, o Acordo de Basileia é constantemente avaliado – melhorias

e ajustes são propostos – fazendo com que as instituições financeiras
implementem sistemas de controle de risco mais modernos e eficientes.
Esses sistemas de controle precisam de um suporte de TI que garanta

os processos e sigilos das informações das instituições financeiras, como
apresentaremos a seguir.
11.2 Compliance – Implicações do acordo de Basileia II

As novas normas do acordo de Basileia II exigiram das instituições
financeiras controles e divulgação dos resultados das operações de
crédito como condição de conformidade com os padrões dos órgãos
reguladores. Essas medidas afetam diretamente a qualidade das
informações e determinam a integração dos sistemas computacionais
das instituições financeiras, como forma de gerenciar, monitorar e
controlar o acesso às informações.
As normas que regem o acordo Basileia II têm como foco o risco de

crédito. Isso resulta em sistemas computacionais mais complexos e que
suportem todos os métodos de cálculo recomendados pelo Basileia II
para risco de crédito.
www.esab.edu.br 88
Os sistemas computacionais utilizados pelas instituições financeiras
deverão prever recursos de gestão corporativa, tais como: planejamento
estratégico, gerenciamento de risco, gerenciamento de limites de crédito
e administração de carteiras de títulos bancários, criação de relatórios
para os respectivos órgãos de controle locais, entre outros.
O acordo Basileia II simboliza a exigência da criação de estratégias de

gerenciamento de riscos, principalmente no contexto da Governança
corporativa e de TI. Esse acordo tem como objetivo garantir total
segurança e confidencialidade das informações de clientes, usuários e
fornecedores. Essas exigências implicaram na alteração dos processos e
sistemas das empresas, a fim de cumprir as regras do acordo.
No Brasil, o acordo de Basileia II resultou na Resolução n° 3.380, do

Banco Central do Brasil, que veremos a seguir.
11.3 Compliance – Resolução n° 3.380 do Banco

Central do Brasil
A Resolução n° 3.380, do Banco Central do Brasil, foi publicada em
2006. Essa resolução tem como objetivo adaptar as regras do acordo
de Basileia II às realidades econômicas do Brasil, com foco no risco
operacional das instituições financeiras.
Segundo Fernandes e Abreu (2010, p. 31)
[...] risco operacional é a possibilidade de ocorrência de perdas resultantes de falha,

deficiência ou inadequação de processos internos, pessoas e sistemas ou ainda de
eventos externos.
Com isso, o risco operacional deve ser evitado com o desenvolvimento

de ferramentas computacionais que diminuam as falhas ou inadequações
no uso das informações. Por exemplo, a organização deve disponibilizar
ferramentas que realizem diariamente a cópia dos dados dos principais
sistemas computacionais e que esses dados sejam catalogados e
armazenados em locais seguros, permitindo a recuperação dos dados em
caso de perda dos dados originais.
www.esab.edu.br 89
Tendo em vista o atendimento integral do que prevê a Resolução n°
3.380, as instituições precisarão executar algumas atividades, como:
coletar, classificar e organizar os dados relativos aos riscos operacionais.
De posse das informações coletadas, as empresas deverão processá-las,
por meio de ferramentas de apoio para a identificação dos riscos, da
documentação e divulgação de informações.
Em paralelo, as instituições financeiras devem divulgar, por meio de

relatórios, as responsabilidades do conselho de administração e seu
balanço contábil, o que exige a padronização desses relatórios e a
integridade dos dados.
De forma geral, essa resolução implica, segundo Fernandes e Abreu

(2008), que a TI deve:
• avaliar, monitorar, controlar e mitigar os riscos operacionais que

afetam a instituição;
• desenvolver e implementar um plano de continuidade em apoio às
atividades da instituição;
• gerenciar os riscos que seus fornecedores representam para
continuidade do negócio.
Por exemplo, caso a instituição financeira decida por utilizar um novo
modelo de negócio, no qual a internet seja a ferramenta de prestação de
serviços aos seus clientes, é preciso que todas as atividades possam ser
auditadas com a finalidade de garantir a autenticidade e integridade das
informações, evitando que o uso desse modelo se torne um problema. Os
casos em que a transação financeira não pode ser identificada por parte da
instituição financeira devem ser mínimos, isto é, esporádicos, diminuindo
assim os riscos e a descredibilidade da ferramenta. Para isso, é preciso que
procedimentos de segurança da informação sejam aplicados.
Segundo Lucas Jr. (2006, p. 31),
[...] um modelo de negócio é uma descrição de como uma organização funciona,

um padrão geral que descreve suas atividades principais. Ele identifica os clientes da
firma e os produtos e serviços oferecidos a eles.
www.esab.edu.br 90
Ainda segundo Lucas Jr. (2006, p. 37), “[...] o mundo agora usa uma
série inteiramente nova de negócios que não existiam antes da criação da
internet”.
A fim de garantir os negócios da organização, a análise, a avaliação e o

tratamento dos riscos em TI devem estar presentes nas organizações não
apenas para atender aos requisitos dos órgãos regulamentadores nacionais
e internacionais, mas como uma importante estratégia organizacional.
Nesta unidade, você pôde estudar sobre o Acordo de Basileia, um acordo

regulamentador que visa à transparência das instituições financeiras e ao
monitoramento dos riscos operacionais dessas organizações. O Acordo
de Basileia trouxe modificações também para o sistema financeiro no
Brasil, originando as normas da Resolução n° 3.380, do Banco Central
do Brasil.
Na próxima unidade, apresentaremos os modelos de Governança em TI

homologados no mercado e seus contextos de atuação. Até lá!
www.esab.edu.br 91
Introdução aos modelos de
12 melhores práticas e ao modelo de
Governança em TI – parte I
Objetivo
Apresentar uma relação dos principais modelos de melhores práticas
para implantação e monitoramento da Governança em TI e suas áreas
de atuação.
Na unidade anterior estudamos sobre o Acordo de Basileia, a

transparência das instituições financeiras e o monitoramento dos riscos
operacionais das organizações. Estudamos também sobre as normas da
Resolução n° 3.380, do Banco Central do Brasil.
Dando sequência aos nossos estudos, nesta unidade apresentaremos

os modelos de Governança em TI homologados no mercado e seus
contextos de atuação.

12.1 Modelos de Governança em TI homologados no

mercado
Como vimos nas unidades anteriores, um modelo genérico de
Governança em TI pode ser ajustado a qualquer tipo de organização,
desde que seja implantado de acordo com as necessidades e
disponibilidades da organização e promova o alinhamento da TI com os
negócios da empresa.
Um modelo de Governança visa destacar alguns pontos importantes: TI

não é um tema que deve ser abordado apenas pelo setor de TI, todos os
colaboradores devem ter a preocupação com a manutenção preventiva
www.esab.edu.br 92
• A TI deve ser flexível para acompanhar as mudanças do negócio,
deve suportar suas metas e objetivos; havendo mudanças, os serviços
de TI devem ser reajustados de acordo com as novas necessidades,
em tempo hábil e de forma segura.
• As prioridades de TI devem atender às necessidades da empresa
e não das pessoas, para isso deve ser implantado e utilizado um
Portfólio de TI. Os serviços de TI são prioridades para todos os
colaboradores, pois eles necessitam desses recursos para as suas
atividades diárias. Gerenciar essas prioridades é essencial para que
não existam descontentamentos na organização.
• Os custos resultantes da TI devem ser reavaliados constantemente.
A área de tecnologia da informação está em constante evolução.
Acompanhar e analisar as novas tecnologias pode representar serviços
mais qualificados e mais baratos.
• A implantação da Governança em TI depende do envolvimento de
todos e requer mudanças culturais. Culturalmente a mudança gera
desconfiança, pois os resultados não são imediatos e com o tempo
pode desmotivar os participantes. Criar mecanismos de divulgação e
envolvimento de todos é essencial para o sucesso dos projetos.
A Governança em TI deve ser desenvolvida a partir de um alinhamento
estratégico com os objetivos da organização e em aderência com as
regulamentações de compliance, ou seja, deve garantir os objetivos elencados
pela empresa sem descumprir as normas e regras dos órgãos reguladores.
O alinhamento estratégico representa o planejamento de futuro da

empresa, normalmente, é definido no momento em que a organização
é criada e vai sendo melhorado e ajustado à medida que os produtos
e serviços são desenvolvidos. Em paralelo, as prioridades de TI são
formalizadas no Portfólio de TI.
Fernandes e Abreu (2008, p. 35) destacam que “[...] o portfólio orienta

as ações do dia a dia, unindo as estratégias de curto, médio e longo prazo
à rotina diária das operações de serviços de TI”.
De forma geral, podemos entender que as organizações estão sujeitas a

mudanças nos seus negócios e, portanto, devem refletir em mudanças
www.esab.edu.br 93
nas demandas de TI e consequentemente no Portfólio de TI e no Plano
de Tecnologia da Informação. Todas as operações de TI devem estar
previstas no Portfólio de TI.
A Figura 7 apresenta os contextos que compõem o modelo de

Governança em TI:
Governança em TI
Alinhamento
Princípios de TI Plano de TI
estratégico
Relacionamento
Serviços de
Portfólio de TI com clientes, usuários
infraestrutura
e fornecedores
Figura 7 – Contextos do Modelo de Governança em TI.

Observe que o modelo deve ser amplo, contemplando as estratégias de

negócio, as ações da TI, as expectativas da organização com os serviços
de TI, a segurança das informações e o relacionamento com os clientes,
usuários e fornecedores. Cada um desses contextos do modelo de
Governança em TI é apresentado a seguir. Acompanhe.
• Alinhamento estratégico: processo de executar as estratégias de

negócio suportadas por estratégias e ações de TI, fundamentadas nos
objetivos de negócio.
• Princípios de TI: orientam as ações da área de TI, o seu papel
na organização, o uso das informações e dados, os processos de
comunicação e padrões dos serviços da arquitetura de TI.
• Plano de TI: planejamento periódico para atender às expectativas
da empresa no que se refere ao lançamento de produtos, serviços e
avaliação de investimentos para essas expectativas.
• Portfólio de TI: representa a integração entre os negócios da empresa
e as ações de TI.
www.esab.edu.br 94
• Serviços de infraestrutura: estabelece os padrões e níveis de serviços
desejados.
• Segurança da informação: estabelece políticas de uso e disseminação
da informação na empresa.
• Relacionamento com os clientes e usuários: estabelece os canais de
comunicação entre a empresa e os clientes/usuários, determinando
como e quando os relacionamentos devem acontecer.
• Relacionamento com fornecedores: estabelece os serviços que podem
ou não ser terceirizados.
Esses contextos são avaliados e monitorados pela Governança em TI
por meio de estratégias, técnicas e normas em constante avaliação e
ajustes, na forma de modelos de Governança em TI que normalmente
incorporam alguns trabalhos desenvolvidos por vários órgãos que
fornecem uma base importante para sua estruturação. Esses trabalhos
compõem aspectos de princípios e práticas de Governança Corporativa,
alinhamento estratégico, medidas de desempenho e informações sobre a
importância da Governança em TI (ALBERTIN; ALBERTIN, 2010).
O modelo de Governança em TI possui uma estrutura complexa. Essa

estrutura complexa é necessária para que as melhores práticas, no que
diz respeito à tecnologia da informação, sejam adotadas. O modelo
de Governança em TI atua em vários contextos que, em conjunto,
abrangem todos os objetivos do negócio. Mais do que isso, essa estrutura
é resultado de estudos constantes por parte de instituições renomadas e
do próprio mercado que juntos homologam esses modelos.
A seguir apresentaremos os modelos que representam as melhores

práticas e modelos de Governança em TI. Acompanhe.
www.esab.edu.br 95
12.2 Introdução às melhores práticas e modelos de
Governança em TI
Nas últimas décadas, vários modelos de Governança em TI vêm surgindo
em resposta à evolução constante das estratégias de negócio das empresas.
Os principais modelos de Governança em TI, segundo Fernandes e

Abreu (2008), estão listadas a seguir.
• COBIT: Control Objectives for Information and Related Technology.

• VALIT: ValueFrom IT.
• CMMI: Capability Maturity Model Integration.
• ISO/IEC 27001 e 27002: Código de Prática para Gestão da
Segurança da Informação.
• Modelo ISO: International Organization for Standardization.
• eSCM-SP: The eSourcing Capability Model for Service Providers.
• eSCM-CL: The eSourcing Capability Model for Client Organization.
• PRINCE2: Project in Controlled Environments.
• P3M3: Portfolio, Programme & Project Management Maturity Model.
• PMBOK: Project Management Body of Knowledge.
• OPM3: Organization Project Management Maturity Model.
• BSC: Balanced Scorecard.
• Seis Sigma.
• TOGAF: The Open Group Architecture Framework.
• SAS 70: Statement on Auditing Standards for Services Organizations.
Esses modelos auxiliam na implantação da Governança em TI, e conhecer
seus objetivos, estratégias e estruturas é fundamental para saber como
aplicá-los. Porém, a Governança em TI não se restringe somente a esses
modelos. É importante que você saiba que novos modelos podem ser
desenvolvidos pela empresa integrando o que cada modelo tem de melhor.
A seguir, apresentaremos cada um desses modelos com relação ao seu

escopo de atuação. Acompanhe.
www.esab.edu.br 96
12.3 Apresentação dos modelos por escopo de
atuação
Os modelos de Governança em TI homologados e disponibilizados
no mercado possuem um escopo de atuação, combiná-los pode trazer
maior gestão e viabilização dos negócios da organização. Por isso,
a implementação de um modelo híbrido visa a atender melhor às
demandas corporativas em constantes mudanças.
A Figura 8 apresenta a distribuição dos modelos de Governança em TI

com relação ao escopo de atuação.
Auditoria Processos Desenvolvimento

COBIT CMMI
SAS 70 Seis Sigma
VALIT Modelo ISO
Infraestrutura Serviço Segurança da Informação

eSCM-SP ISO 27001
ITIL
eSCM-CL ISO 27002
Indicadores Tecnologia Gestão de Projetos

PMBOK PRINCE2
BSC TOGAF
P3M3 OPM3
Figura 8 – Modelos de Governança em TI e seus contextos de aplicação.
Observe que os modelos de Governança em TI procuram atuar em áreas

específicas, desde auditoria, processos, infraestrutura, serviços, tecnologia
etc. A integração desses modelos permite a gestão completa não só da
Governança em TI, mas também da Governança Corporativa. Avaliar quais
modelos podem ser implementados e como será a integração é papel do
especialista em Governança em TI. Cada organização possui a sua realidade,
os modelos que se adaptam a uma organização podem não se adaptar a
outra: é preciso uma avaliação criteriosa da situação da organização.
www.esab.edu.br 97
Apresentamos, a seguir, os escopos dos principais modelos de
Governança em TI.
• Os modelos COBIT e VALIT têm como objetivo a auditoria e o

controle de processos de TI, desde o planejamento até a monitoração
e auditoria de todos os processos. O modelo VALIT busca a gestão
do valor e dos investimentos em TI, sendo uma variação do modelo
COBIT.
• CMMI: avalia os processos de desenvolvimento de produtos e
projetos de sistemas e software. Seu objetivo é avaliar e propor
melhorias nos processos de produção da empresa.
• ITIL: avalia a melhoria contínua dos serviços, monitora a
infraestrutura de tecnologia da informação e define estratégias.
• ISO 27001 e 27002: esses modelos estão voltados para a segurança
da informação com objetivo de garantir o sigilo e a integridade das
informações.
• Modelo ISO: está voltado para o desenvolvimento de softwares
abrangendo todo o ciclo de vida de produção e testes de softwares.
• eSCM-SP: avalia as regras e normas do que pode ou não ser
terceirizado na empresa, avaliando os serviços prioritários.
• eSCM-CL: avalia também as regras e normas do que pode ou não
ser terceirizado na empresa, porém com foco nos serviços de TI dos
fornecedores.
• PRINCE2, P3M3, OPM3 e PMBOK são modelos voltados para a
gestão de projetos, programas e portfólio de produtos.
• BSC: é um modelo fundamentado em indicadores para definição de
estratégias.
• Seis Sigma: modelo voltado para a melhoria na qualidade dos processos.
• TOGAF: modelos voltado para avaliação de tecnologias e modelos
de negócio.
• SAS 70: modelo que define as regras de auditoria na empresa.
www.esab.edu.br 98
Todos esses modelos estão em constante melhoria, novas versões são
geradas e disponibilizadas gratuitamente por meio da internet para que os
especialistas em Governança em TI possam se atualizar. Cada modelo atua
em áreas específicas, você deve evitar utilizá-los em outro contexto que
não seja o determinado pela sua documentação. Caso você perceba que o
modelo não atende às necessidades da organização, a melhor estratégia é
procurar um novo modelo ou integrar o já utilizado a algum outro.
Alguns modelos são mais conhecidos que os outros, como o caso do

PMBOK, COBIT, ITIL e CMMI, mas isso não significa que os outros
não sejam eficientes. Muitos modelos apresentam guias de como aplicá-
los e avaliá-los. Ou seja, há um amplo material disponibilizado na
internet pelos órgãos responsáveis por cada modelo. Esses modelos serão
estudados com mais detalhes no decorrer da nossa disciplina.
Nesta unidade, você foi apresentado aos modelos de Governança em TI

e suas estruturas homologadas por instituições que estudam e avaliam
constantemente as regras e procedimentos propostos por cada modelo.
Você pôde ainda avaliar o campo de atuação de cada modelo. Você
aprendeu também que a combinação desses modelos pode resultar em
novos modelos com o que há de melhor em cada um deles, tornando-os
mais eficientes e flexíveis.
Na próxima unidade, daremos continuidade ao estudo dos modelos

de Governança em TI com foco nos processos de decisão, gestão e
monitoramentos dos recursos de TI.
www.esab.edu.br 99
Resumo
Na unidade 7, demos continuidade aos nossos estudos sobre o modelo de

Governança em TI, com foco nas estratégias empresariais. Vimos também
como essas estratégias são afetadas pelos serviços e produtos disponibilizados
pela área de TI, na forma de um Plano de TI. Esse plano especifica os
serviços e os níveis de desempenho desejados, os recursos necessários e como
a infraestrutura de TI influencia na Governança Corporativa.
Na unidade 8, você estudou sobre a importância do Portfólio de TI,

de forma a identificar os principais projetos da organização, o que é
fundamental para a determinação de onde os recursos financeiros serão
aplicados e os principais serviços e produtos que necessitam de investimento.
Já na unidade 9, estudamos a importância dos serviços de TI na criação de

canais de comunicação com os clientes, usuários e fornecedores.
Na unidade 10, você foi apresentado ao conceito e à importância

da regulamentação de compliance nas organizações, com foco na
Sarbens-Oxley Act. Aprendeu ainda que a Sarbens-Oxley Act é uma
regulamentação importante para o monitoramento e controle interno
das organizações de forma a garantir a credibilidade das informações
contábeis e financeiras das empresas.
Dando sequência aos nossos estudos sobre as regulamentações de

compliance, na unidade 11, vimos a regulamentação do Acordo de
Basileia. Estudamos ainda que essa regulamentação está em constante
evolução e tem como objetivo monitorar e dar garantias ao mercado
financeiro, exigindo que as instituições financeiras tenham recursos
que suportem as operações de créditos realizadas, evitando que novos
escândalos e crises financeiras afetem o mundo globalizado.
www.esab.edu.br 100
Por fim, na unidade 12, vimos os principais modelos de Governança
em TI já homologados por instituições e pelo mercado e que estão
continuamente sendo melhorados e estudados.
www.esab.edu.br 101
Introdução aos modelos de
13 melhores práticas e ao modelo de
Governança em TI – parte II
Objetivo
Destacar a contextualização dos principais modelos de melhores
práticas com foco no escopo de aplicação.
Na unidade anterior, você foi apresentado aos modelos de Governança em

TI e suas estruturas homologadas por instituições que estudam e avaliam
constantemente as regras e procedimentos propostos por cada modelo.
Nesta unidade, você continuará os estudos dos modelos de Governança

em TI, mas desta vez, com foco nos processos de decisão, gestão e
monitoramentos dos recursos de TI.

Vimos, em nossos estudos sobre os principais modelos de Governança

em TI, modelos fundamentados em estudos e melhorias constantes das
instituições. Essas instituições regulamentam esses modelos de forma a
acompanhar as mudanças constantes do mercado e da sociedade.
A utilização dos modelos de Governança em TI representa fatores

motivadores para a implantação da Governança em TI. Esses modelos,
quando ajustados ao alinhamento estratégico, visam a garantir a
decisão e priorização das operações de serviços e produtos, avaliados
por uma gestão de desempenho e indicadores. Por exemplo, para uma
maior qualidade dos produtos desenvolvidos e comercializados pela
organização é muito importante que sejam implantados mecanismos
de monitoramento e controle dos serviços, com gerenciamento de
incidentes e problemas no processo de produção. Esses mecanismos
possibilitam o uso eficiente dos recursos, sem desperdícios de materiais e
www.esab.edu.br 102
de recursos financeiros. Na prática, isto deve ocorrer com a implantação
de uma Central de Suporte aos Serviços nas organizações, como um local
único e centralizador de contato entre os usuários e serviços de TI, tendo
como atividades: o registro e acompanhamento de incidentes, a análise
dos impactos dos problemas nos objetivos de negócio da organização, a
solução dos problemas, a atualização e manutenção dos serviços de TI.
Esse planejamento e organização no suporte aos serviços de TI tendem
a melhorar a qualidade dos serviços e a satisfação dos usuários, afetando
positivamente o desempenho de toda a organização.
A escolha por um ou vários modelos de Governança em TI depende da

avaliação dos processos de TI de forma abrangente, visando identificar as
incompatibilidades entre os requisitos do negócio e a situação atual da TI.
Por exemplo, se uma organização deseja implantar um modelo de

Governança em TI, antes da escolha do modelo, é necessário que os
stakeholders, diretores e usuários diretos das ferramentas de tecnologia
sejam ouvidos na forma de um brainstorm. Esse brainstorm fornecerá
todo o instrumental para avaliação da maturidade dos processos
e serviços de TI e quais são as prioridades face aos objetivos da
organização. Esse levantamento é fundamental para a escolha do modelo
(ou modelos) que se adapte à realidade e às necessidades da empresa,
aumentando a coerência entre o necessário e o opcional.
Albertin e Albertin (2010, p. 55) destacam que “[...] o desempenho

de TI é medido através da satisfação dos stakeholders e métricas de
estratégias de negócio e TI”.
A escolha de um modelo de Governança em TI significa implantar

processos, normas e procedimentos que tenham impacto profundo no
dia a dia da organização, não apenas nas atividades de TI, mas em todas
as suas operações, de forma a garantir as metas e objetivos elencados no
planejamento estratégico. Veremos a seguir como os modelos podem
disseminar as melhores práticas para que os objetivos do planejamento
estratégico sejam alcançados.
www.esab.edu.br 103
13.1 Modelos, sua contextualização e a integração
com o alinhamento estratégico da instituição
Para Fernandes e Abreu (2008, p. 147), “[...] os modelos de Governança
em TI disseminam as melhores práticas para a formalização e
implantação da Governança em TI”. Esses modelos visam atender a
vários contextos gerenciais na organização, sejam eles:
• o atendimento aos alinhamentos estratégicos e compliance;

• a decisão e priorização de recursos;
• os processos de gestão e medição de desempenho.
Ou seja, cada modelo de Governança em TI possui um contexto de
atuação e deve ser utilizado corretamente. A utilização do modelo de
forma inadequada, além de não garantir os resultados desejados, pode
aumentar a complexidade dos problemas e dificultar seu monitoramento
e sua solução. Podemos pensar que para cada doença há um conjunto
de remédios específicos, usar o remédio de um tratamento para outro
tratamento pode aumentar os problemas de saúde. Automedicar-se pode
enganar o problema verdadeiro ou os sintomas da doença, por isso é
fundamental a opinião de um especialista. Nesse sentido, é extremamente
importante procurar a opinião de especialista para avaliar e escolher os
modelos de Governança em TI que se encaixam no contexto correto,
evitando mascarar os problemas.
Portanto, a ligação entre o modelo de Governança em TI e o

alinhamento estratégico é importantíssima e se dá por meio do modelo
COBIT (Control Objectives for Information and Related Technology,
ou, em português, Objetivos de Controle para Informações e Tecnologia
Relacionada). O COBIT é o modelo de Governança em TI mais
abrangente que visa à tomada de decisões a partir do portfólio de TI,
integrado a outros modelos, como o ITIL e o PMBOK.
Dessa forma, o modelo COBIT visa desenvolver uma estrutura de

gerenciamento dos processos da empresa de modo a atingir as metas
elencadas no planejamento estratégico.
www.esab.edu.br 104
Portanto, para que os resultados desejados pela organização sejam
alcançados, é necessário que os serviços de TI sejam medidos, avaliados
e monitorados, de forma que a organização possa verificar desde as
necessidades de investimento até decisões relativas à oportunidade de
negócios que requerem mudanças nas estratégias da organização.
Por exemplo, se a organização deseja realizar um levantamento das

vendas de determinados produtos por meio de indicadores, avaliando
se as metas do planejamento estratégico foram atingidas, isso deve
ser analisado de forma ampla, envolvendo aspectos administrativos,
financeiros, comerciais e de tecnologia, focando: na infraestrutura para
dar suporte às atividades da organização, nos sistemas computacionais
disponíveis e se estes atendem às necessidades da empresa e na escolha
por estratégias compatíveis com sua realidade. Esse levantamento pode
ser realizado por meio do modelo COBIT, por meio de estratégias e
técnicas que avaliem a situação da organização, fomentando a busca pela
solução mais adequada junto à gerência e stakeholders.
Como podemos ver, o COBIT é muito abrangente, por isso esse modelo
permite a utilização de outros modelos como ferramenta para obtenção
dos resultados desejados. Alguns modelos que podem ser integrados ao
COBIT são: ISO 27001 (segurança da informação), o ITIL (avaliação
da infraestrutura de TI), o OPM3 (Gestão de Processos), o TOGAF
(Plano de TI) e o PMBOK (Gestão de Projetos). O modelo COBIT não
é estático, novos modelos que venham a surgir podem ser incluídos e
modelos atuais podem ser removidos dos processos do COBIT de acordo
com as necessidades da organização.
Por exemplo, caso a organização identifique, por meio do modelo

COBIT, que não há políticas de segurança da informação formalizadas
e que isso representa um risco para a integridade e confiabilidade
das informações, o modelo ISO 27001 pode ser utilizado como uma
ferramenta do COBIT para implementar a política de segurança da
informação de acordo com as premissas desse modelo auxiliar.
Veremos a seguir como os modelos de Governança em TI auxiliam as

organizações no processo de tomada de decisão por parte dos gestores da
organização.
www.esab.edu.br 105
13.2 Modelos e a integração com a etapa de tomada
de decisão
Para Fernandes e Abreu (2008, p. 77), “[...] os projetos e serviços de TI
devem ser priorizados considerando a capacidade de investimento da
organização em conjunto com as necessidades prioritárias”. Para que isso
aconteça, entenda que a empresa necessita de critérios de priorização,
análise de riscos e a avaliação do retorno operacional e financeiro de cada
projeto ativo ou não da organização. O resultado dessa priorização se dá na
forma do portfólio de TI. Essa tarefa é complexa e, para que seja eficiente,
requer processos de tomada de decisão que sejam apoiados por métodos
testados, consistentes e propostos pelos modelos de Governança em TI.
Por exemplo, para que o portfólio de TI represente e formalize

o planejamento da organização em tecnologia da informação de
forma que as atividades de TI possam suportar as suas estratégias
de negócio, é preciso que métodos de avaliação dos processos de TI
sejam executados de forma a demonstrar como os esforços de criação,
manutenção e desenvolvimento de infraestrutura de TI estão apoiando
o desenvolvimento de produtos e serviços em conformidade com os
objetivos do planejamento estratégico. Esses métodos devem avaliar os
resultados em investimento em TI e o impacto direto nas atividades
da organização, desde investimentos para continuidade do negócio
(presente) até a necessidade de novos investimentos (futuro), além
dos investimentos obrigatórios para atendimento à legislação e às
regulamentações. Essas informações do portfólio de TI permitirão que as
decisões sobre como e onde investir sejam tomadas com maior precisão.
A decisão e priorização de serviços de TI envolvem diversos critérios,

sempre relacionados ao alinhamento estratégico. Para a obtenção de um
resultado satisfatório, é necessário definirmos a avaliação desses critérios,
a avaliação das alternativas, a alocação de recursos e a sua comunicação
aos envolvidos. De forma geral, o que desejamos é a otimização da
seleção dos projetos e serviços essenciais e a maximização dos recursos
alocados. Para tanto, uma técnica muito utilizada é o desenvolvimento de
uma matriz de oportunidades de investimentos em que se apresentam
os diferentes tipos de investimentos e a sua avaliação. A matriz é
www.esab.edu.br 106
composta por informações como: o tipo de investimento, um exemplo
desse tipo de investimento e os comentários e avaliações sobre cada tipo
de investimento. Essas avaliações são realizadas pelos stakeholders e alta
administração da organização. Outras duas importantes informações que
fazem parte da matriz são as vantagens e desvantagens de cada tipo de
investimento. Vejamos o Quadro 5:
Item avaliado na matriz de investimento Infraestrutura.

Desenvolvimento de uma rede de computadores
Exemplo de investimento de longa distância que interligue os computadores
da matriz e filial da organização.
Análise de como a rede de computadores apoiará
os negócios atuais e a solução dos constantes
Avaliação do investimento problemas com dados inconsistentes entre
matriz e filiais, que ocorrem devido à demora no
processamento de dados.
Confiabilidade e integridade das informações,
Vantagens do investimento
bem como a segurança das informações.
A falta de recursos para esses investimentos ou ele
Desvantagens do investimento
não ser considerado prioritário neste momento.
Quadro 5 – Exemplo de desenvolvimento de uma matriz de oportunidades.

Comunicar os resultados aos envolvidos não significa que o processo

de decisão se encerre. Você verá, na Figura 9, como o processo pode ser
repetido com base em novas premissas e prioridades levantadas pelos
envolvidos até que se alcance um conjunto de prioridades aceitável por
todos na forma de um portfólio de TI.
www.esab.edu.br 107
Definir os
critérios.
Comunicar os Avaliar os
envolvidos. critérios.
Portfólio
de TI
Alocar os Avaliar as
recursos. alternativas.
Figura 9 – Tomada de decisão na escolha dos serviços de TI.
O resultado do processo de tomada de decisão determina não só os

produtos e serviços de TI, mas também os processos organizacionais.
O modelo de Governança em TI VAL-IT atua nesse contexto de tomada

de decisão e cria valor para o negócio por meio de controles de processos,
metas e métricas, maximizando a qualidade dos processos de negócios de
TI e permitindo os investimentos com foco na definição dos principais
indicadores financeiros como um complemento do COBIT. O VAL-IT
foca, essencialmente, no retorno dos investimentos em TI, com isso trata,
de forma direta, da avaliação do valor agregado pela TI ao negócio. Esse
valor agregado pode ser a qualidade dos serviços, a garantia de entrega
nos prazos acordados, o desenvolvimento de produtos inovadores, a
disponibilização de informações seguras e confiáveis etc.
Veremos a seguir a importância dos modelos de Governança em TI no

apoio às atividades diárias da organização com foco no atendimento ao
www.esab.edu.br 108
13.3 Modelos e a integração com a etapa de operação
e gestão
Segundo Fernandes e Abreu (2008, p. 72),
[...] a gestão das atividades do dia a dia da empresa requer um conjunto de

métodos, processos e normas para que os objetivos da organização, com base no
seu planejamento estratégico (metas e objetivos), sejam atendidos com qualidade,
segurança e confiabilidade.
Dessa forma, organizar, planejar e agendar as atividades do dia a dia

da organização é fundamental e exige a discussão do planejamento dos
serviços de TI, utilizando representações gráficas de cronogramas e
avaliação dos riscos com a gestão de risco.
Esperamos, com a etapa de operação e gestão, assegurar que os serviços

de TI sejam entregues no prazo, dentro do cronograma e de acordo com
os requisitos e exigências técnicas, operacionais e legais da organização,
independentemente de essa etapa ser amplamente influenciada pelas
restrições de recursos humanos, financeiros e de tempo.
A etapa de gestão envolve, portanto, o relacionamento com clientes,

fornecedores e usuários da tecnologia de TI. Essa etapa tem como
principal modelo de Governança em TI o PMBOK (considerando
o contexto no qual a organização está inserida), complementado por
modelos secundários, mas não menos importantes, como: ISO 27001
(segurança da informação), eSCM-CL (relacionamento com clientes),
eSCM-SP (relacionamento com fornecedores), CMMI (gerência de
projetos), OPM3 (maturidade dos projetos), CMMI (maturidade em
software) e TOGAF (arquiteturas de negócio).
Veremos a seguir que, tão importante quanto garantir a operação e

gestão das atividades em conformidade com o planejamento estratégico,
é fundamental o monitoramento e avaliação constante dos resultados
obtidos com os serviços de TI.
www.esab.edu.br 109
13.4 Modelos e a integração com a etapa da medição
de desempenho
[...] para avaliar e monitorar os serviços de TI é necessário que indicadores sejam

estabelecidos. Isso fará com os objetivos estratégicos da organização sejam
atendidos, permitindo, assim, que possamos avaliar: as perspectivas financeiras, o
relacionamento com clientes e fornecedores e os processos internos.
Essa avaliação permite a geração de conhecimento, que poderá auxiliar

na tomada de decisão. Por exemplo, a empresa deve possuir mecanismos
de avaliação constante dos seus fornecedores, com indicadores que
permitam analisar o cumprimento aos prazos de entrega, a qualidade
dos produtos entregues e a validade dos produtos. A partir desses
indicadores, a organização possui informações que permitem diminuir o
risco com atrasos na produção ou com o desenvolvimento de produtos
que não estão com a qualidade desejada. Isso permite que, na renovação
do contrato com os fornecedores, a organização tenha subsídios que
permitirão uma avaliação mais criteriosa, observando quais contratos
são importantes para o atendimento aos objetivos estabelecidos em seu
O atendimento aos objetivos é avaliado por meio das medições

de resultados, que indicam se as metas foram atingidas e se estas
representam conhecimento para melhorias dos processos de TI a partir
do gerenciamento de projetos, da qualidade e da gestão da informação.
Por exemplo, se uma organização deseja ter um canal de comunicação

com seus clientes na internet para o envio de sugestões e críticas
referentes aos produtos e serviços disponibilizados, deve, além de
disponibilizar a ferramenta adequada, estabelecer um conjunto de
indicadores que possibilitem analisar:
www.esab.edu.br 110
• quantas solicitações são recebidas por dia, classificando-as por tipo
de solicitação (crítica, sugestão, reclamação etc.);
• quantas são atendidas no prazo;
• quantas vezes o sistemas ficou fora do ar etc.
Esses dados são fundamentais para avaliação do meio de comunicação
com o cliente, a fim de saber e ele atende ou não ao seu objetivo
principal, ou seja, se ele possibilita um retorno adequado e em tempo
hábil da opinião do cliente.
Note que uma organização não pode e não deve basear suas decisões
em palpites, isto é, não deve desenvolver a gestão aleatoriamente, sem
qualquer planejamento. Com as constantes e rápidas mudanças do
mercado, as organizações que basearem sua gestão em suposições estarão
fadadas ao fracasso. Atualmente a gestão das organizações exige que
as tomadas de decisão sejam fundamentadas por dados e informações
resultantes da medição de todas as atividades realizadas pela organização,
avaliando a qualidade dos seus processos.
A medição deve ser entendida como informações que atendam à

necessidade da organização, devem ser proveitosas, mensuráveis
e corretas, possibilitando a tomada de decisão ao alto escalão da
organização, a fim de atingir os objetivos do planejamento estratégico.
Dessa forma, se a medição não se transformar em ações para melhorias
contínuas e que auxiliem na tomada de decisão, serão apenas dados de
um sistema computacional.
As medidas devem possibilitar a avaliação da situação atual da

organização em comparação com a situação desejada para que as ações
necessárias sejam elencadas de forma a atingir os objetivos estabelecidos.
Por fim, os benefícios para organização são obtidos pela tomada de

decisão e não pelos dados das medições. O plano de ação elaborado
e executado a partir dos indicadores da medição é que representa o
benefício da adoção da medição de desempenho.
www.esab.edu.br 111
Por isso, a Governança em TI disponibiliza um conjunto de técnicas e
normas para a implantação da medição de desempenho. O modelo de
Governança em TI focado em medição de desempenho é o Balanced
Scorecard, ou BSC, que, junto com outros modelos, como: COBIT, VAL-
IT, TOGAF, ITIL e Seis Sigma (qualidade de processos), torna-se uma
ferramenta poderosa que pode ser aplicada em todas as áreas da organização.
Nesta unidade, você conheceu os modelos de Governança em TI e os

cenários em que podem ser aplicados. Nosso estudo foi voltado para as
etapas de alinhamento estratégico, decisão, operação e gestão e medição
de desempenho.
Na próxima unidade, estudaremos o modelo de melhores práticas

COBIT, seu histórico, seus objetivos e sua estrutura. Vamos lá?
www.esab.edu.br 112
Modelo de melhores práticas
Control Objectives for Information
14 and Related Technology (COBIT) –
parte I
Objetivo
Introduzir o modelo de melhores práticas COBIT, seu histórico, seus
objetivos e sua estrutura.
Na unidade anterior, você conheceu os modelos de Governança em TI e

os cenários em que podem ser aplicados. Esses modelos são voltados para
as etapas de alinhamento estratégico, decisão, operação, gestão e medição
de desempenho.
Nesta unidade, estudaremos o modelo COBIT, seu histórico,

características, benefícios, certificações e principalmente o seu papel
como mecanismo de monitoramento dos processos realizados na
organização, contemplando as etapas de integração com o alinhamento
estratégico, operação e gestão, estudados na unidade anterior.

14.1 Histórico do modelo e seus objetivos

Segundo Fernandes e Abreu (2008), o modelo COBIT, as iniciais
de Control Objectives for Information and Related Technology, foi
criado em 1994 pela ISACF (Information Systems Audit and Control
Fundation). O modelo foi criado como um conjunto de objetivos de
controle com evolução constante, que ocorre por meio da incorporação
de padrões técnicos, profissionais, regulatórios específicos para processos
de TI. Desde então, o modelo tem sido constantemente melhorado e
disponibilizado em novas versões. Você pode observar no Quadro 6 as
melhorias do modelo no decorrer dos anos. Acompanhe:
www.esab.edu.br 113
Ano Melhorias Versão
A versão foi divulgada com foco na auditoria dos processos internos
1994 1
das organizações. Não estava voltado para a Governança em TI.
A versão foi divulgada com melhorias e o acréscimo de ferramentas
1998 e padrões para implementação dos processos de controle em TI na 2
forma de um checklist de auditoria de processos.
Nessa versão, o modelo COBIT se volta para a Governança em TI com
2000 a proposta de melhorias dos princípios de TI na forma de um guia de 3
Governança em TI.
Na versão de 2005, o modelo COBIT passa a envolver níveis mais
elevados das organizações, como gestores, técnicos e auditores.
2005 4
Fortalece o conceito de controle por meio de medições de
indicadores de TI.
Na última versão, o modelo COBIT passa a atender as etapas de
2007 verificação e divulgação dos resultados dos objetivos de controles 5
preconizados pelo modelo. Pouco mudou em relação à versão 4.
Quadro 6 – Evolução do modelo COBIT.

A evolução do modelo COBIT teve e tem como finalidade ajustar

constantemente o processo de tomada de decisão das empresas e o
gerenciamento das iniciativas de TI. Essa evolução procura maximizar
o retorno de investimentos e a melhoria nos processos gerenciais.
Mais que isso, esse modelo visa direcionar e gerenciar a implantação
da Governança em TI, para tanto ele consiste em vincular as metas da
empresa às metas de TI. Assim, perceba que, para que uma organização
possa alcançar as metas e objetivos elencados no planejamento
estratégico, é necessária uma Governança em TI que torne os resultados
possíveis e alcançáveis. Na Figura 10, você será apresentado à evolução
do modelo COBIT. Acompanhe:
www.esab.edu.br 114
Versão 4
Versão 3
Versão 2
Auditoria
Versão 1
Controle
Gerenciamento
Governança em TI
Figura 10 – Evolução do modelo COBIT.

A cada nova versão um conjunto de recursos passou a ser disponibilizado,

como: mapas de auditoria, estrutura, controle de objetivos, ferramentas
de implementação da Governança em TI, guias com técnicas de
gerenciamento. Esse modelo pretende promover a integração da área
de TI, de forma que as organizações compreendam que essa integração
faz parte da estratégia corporativa, sendo que a utilização de uma sem a
outra torna-se praticamente inviável, mas quando planejadas em parceria
possibilitam a entrega de produtos e serviços com qualidade e de acordo
com os níveis de aceitação.
Para Albertin e Albertin (2010), a evolução do COBIT possibilita que o

modelo atue em todos os processos que envolvam a TI. O modelo pode
atuar em níveis gerenciais e operacionais, passando pelas etapas de:
• alinhamento estratégico;
• decisão e alocação de recursos; e
• medição de desempenho.
Perceba que, por esse motivo, o COBIT é um modelo que dá suporte aos
executivos e à alta direção, gerentes de TI e de negócio e profissionais de
controle e segurança.
www.esab.edu.br 115
Assim, o modelo visa:
• estabelecer uma relação da TI com os negócios;

• organizar as atividades de TI;
• identificar as prioridades de TI para investimento; e
• definir objetivos de controle fundamentais para a gestão da organização.
A seguir, elencamos os possíveis resultados com a aplicação do modelo.
Acompanhe:
• melhor alinhamento entre a TI e as necessidades de negócio;

• visão mais clara sobre o papel da TI nas organizações;
• definição de responsabilidades a partir da formatação dos processos; e
• atendimentos às normas e procedimentos de órgãos reguladores.
Porém, para aplicação do modelo, são necessárias algumas avaliações e ajustes
na organização, os quais devem ser feitos de acordo com sua realidade.
A seguir, vamos estudar o contexto para aplicação do modelo COBIT e qual

o cenário ideal para a maximização dos resultados com a sua implementação.
14.2 Contexto para aplicação do modelo

Vimos em nossos estudos que o modelo COBIT foi concebido de forma
a atender às necessidades de controle da organização relacionadas à
Governança em TI, tendo os requisitos de negócio como foco, certo?
Agora, veremos que para que o modelo seja implantado com sucesso é
necessário, também, que as informações dentro da organização atendam
a certos critérios de controle e segurança. A seguir, apresentamos alguns
critérios determinados pelo modelo sobre como a organização deve
proceder quanto ao gerenciamento da organização, de forma que a
utilização da informação seja proveitosa. Acompanhe:
• a informação deve ser pertinente ao processo de negócio, sendo

entregue em tempo hábil, de maneira consistente e utilizável;
• a informação deve ser precisa, correta e protegida, de forma a evitar
o uso indevido;
• a informação deve estar em conformidade com a lei e com os órgãos
reguladores e deve estar disponível sempre que requisitada pelo
processo de negócio.
www.esab.edu.br 116
Observe que para o correto funcionamento do modelo COBIT, a
organização requer uma mudança gerencial na qual a informação
também representa um ativo da instituição, assim como os
computadores, móveis e demais equipamentos, e o seu gerenciamento
com segurança é fundamental para que os processos de controle possam
ser realizados. Para Fernandes e Abreu (2008, p. 177),
[...] nenhum modelo terá sucesso se manipular dados incorretos, inconsistentes ou

que são disponibilizados por meios inseguros. O que esperamos com estes critérios
é garantir a eficácia, eficiência, integridade, confidencialidade, disponibilidade e
conformidade das informações.
Mais que isso, o modelo visa definir um estrutura de controle e gestão

baseada nos desempenhos dos processos, envolvendo principalmente o
nível estratégico das organizações, os diretores, sócios e presidentes.
Todavia, por envolver o nível estratégico, isso não significa que o

modelo não possa ser utilizado por empresas médias e pequenas. O
modelo pode ser aplicado em qualquer tipo de organização desde que
ela possua, formalmente, um planejamento estratégico com objetivos
do negócio alinhados com as estratégias de TI. Cada nível hierárquico
tem uma responsabilidade específica em relação ao desempenho da
organização. A seguir, descrevemos a responsabilidade de cada área da
empresa, considerando as especificidades de cada nível da hierarquia
organizacional, segundo Fernandes e Abreu (2008).
• Nível executivo: fornece informações sobre o retorno dos

investimentos em TI.
• Nível de negócios: monitora os serviços de TI com foco no
relacionamento com colaboradores internos e externos.
• Nível de TI: promove serviços de TI adequados aos negócios das
organizações de forma organizada e planejada.
• Nível de controle: fornece informações sobre os processos que
garantam a veracidade dos dados e a tomada de decisão.
www.esab.edu.br 117
Observe que para cada nível da organização o COBIT possui objetivos,
benefícios e resultados diferentes, já que cada nível representa um
contexto entre os vários existentes na organização, com processos e
recursos específicos. Por exemplo, a adoção do modelo COBIT em uma
organização deve disponibilizar, para os níveis executivos e de negócios,
indicadores de como os investimentos financeiros em TI estão apoiando
e garantindo que os objetivos e metas do planejamento estratégico
estão sendo alcançados. Isso não significa que as demais informações de
gestão, como o andamento dos projetos, cronogramas, uso de recursos
financeiros e humanos não sejam importantes. Mas, tendo em vista
que o foco é o alinhamento da TI com os negócios da organização, o
principal é a avaliação dos resultados em relação aos investimentos. Os
levantamentos operacionais são abordados nos níveis de TI e negócios,
responsáveis por avaliar se os serviços estão atendendo às necessidades
do negócio, sejam os serviços executados por colaboradores internos
ou por outsourcing. Por fim, todos os níveis devem ser monitorados
de forma que os dados divulgados sejam verdadeiros e que não tenham
sido manipulados, garantindo a transparência na gestão. A integração
de todos os níveis sob coordenação do modelo COBIT visa garantir a
relação formal do negócio com a TI. A Figura 11 ilustra essa relação do
COBIT com a organização e a segurança das informações que os níveis
organizacionais gerenciam.
Figura 11 – Níveis estratégicos e a importância da informação.

A qualificação é um elemento importantíssimo para a aplicação do

modelo COBIT, pois garante a maximização dos resultados.
Veremos a seguir como se tornar um especialista certificado em COBIT.
www.esab.edu.br 118
14.3 Certificações relacionadas
A seguir, listamos os dois programas utilizados para certificação em
COBIT. Acompanhe.
• Certified Information Systems Auditor: voltado para os processos

de auditoria, controle e segurança da informação em TI. É um dos
exames mais eficazes e é reconhecido internacionalmente.
• Certified Information Security Manager: voltado para os processos
de segurança da informação no planejamento, gerenciamento e
execução de atividades relacionadas à segurança da informação.
Os dois programas apresentados são realizados no Brasil por empresas
autorizadas. Há uma variedade de empresas que disponibilizam vários
cursos preparatórios, algumas disponibilizam até os cursos na modalidade
de ensino a distância.
Nesta unidade, você estudou os conceitos iniciais sobre o COBIT, seu

histórico, seus objetivos e sua estrutura de funcionamento.
Na próxima unidade, vamos continuar estudando o COBIT, mas com

ênfase na sua estrutura de negócios, processos e medições.
www.esab.edu.br 119
parte II
Objetivo
Apresentar a aplicabilidade, os benefícios e as certificações associadas
ao modelo COBIT.
Na unidade anterior, você conheceu os conceitos iniciais sobre o COBIT,

seu histórico, seus objetivos e sua estrutura de funcionamento.
Nesta unidade, estudaremos o modelo COBIT com ênfase na sua

estrutura de negócios, processos e medições.
O material desta unidade foi desenvolvido com base em Lucas Jr. (2006),
Fernandes e Abreu (2008) e Albertin e Albertin (2010).
O modelo COBIT foi desenvolvido de forma a atender as necessidades

de controle da organização relacionadas à Governança em TI com
foco nos requisitos de negócio. Esse modelo tem como abordagem o
monitoramento dos processos executados nas etapas de alinhamento
estratégico, decisão e alocação de recursos e, por fim, na medição de
desempenho. Esta última é uma das principais características do COBIT
e utiliza mecanismos de controle e o direcionamento para análise das
medições e indicadores de desempenho.
Para Fernandes e Abreu (2008, p. 181), o COBIT controle é o

“[...] conjunto de políticas, procedimentos, práticas e estruturas
organizacionais desenvolvidas para dar garantia de que os objetivos de
negócio serão atingidos e de que os eventos indesejáveis serão prevenidos,
detectados e corrigidos”.
www.esab.edu.br 120
Nesse sentido, o COBIT se caracteriza, principalmente, pelo foco no
negócio e no controle dos processos para que a TI possa garantir que as
metas sejam atendidas.
15.1 Estrutura do modelo: foco no negócio

Quando você escolher utilizar esse modelo, tenha em mente que seu
objetivo é fornecer e gerenciar as informações da empresa por meio de
objetivos de controle. Dessa forma, podemos atingir as metas de negócio
que estão interligadas às metas de TI, com o controle e gerenciamento
dos recursos de TI, utilizando, para tanto, o conjunto de processos de
melhoria contínua, ou seja, planejar, construir, executar e monitorar.
Segundo Albertin e Albertin (2010), os serviços que fornecem

informações para a organização, fazendo com esta atinja seus objetivos,
devem ser fundamentados em um conjunto de processos de TI que
utilizam os recursos disponíveis, como: a habilidade; o conhecimento e
a produtividade das pessoas; a infraestrutura na forma de computadores,
aplicativos, rede de computadores; e os sistemas computacionais que
automatizam os processos.
Portanto, o sucesso do negócio e o atendimento às metas e aos objetivos

são muito dependentes da gestão correta das informações. Os serviços
de TI devem gerenciar a informação utilizando a capacidade das pessoas
e seus conhecimentos, aliados à infraestrutura disponibilizada pela
organização e ao uso de sistemas informatizados para o processamento
dos dados.
A integração das pessoas com os recursos e sistemas computacionais

representa um sistema eficiente de gestão da informação. Um sistema
automatizado produzirá resultados inexpressivos se não houver pessoas
capacitadas e habilitadas para utilizá-los. Assim como a existência de
uma infraestrutura que não atende aos requisitos necessários para que
o sistema funcione em conformidade com as necessidades resultará em
dados imprecisos e inseguros.
www.esab.edu.br 121
Para sua reflexão
O alinhamento da TI com os objetivos de negócios
é de extrema importância para as organizações.
A maioria das empresas apresenta problemas
de incompatibilidade entre os serviços que
os usuários desejam e o serviço que a TI pode
entregar. Sendo assim, as organizações precisam
garantir que a TI possua recursos que possibilitem
a entrega de serviços de acordo com os indicadores
de desempenho estabelecidos.
Porém, outro grande desafio das organizações é
a própria TI e a necessidade de gestão das suas
complexidades, sendo necessária a qualificação
dos profissionais dessa área, o gerenciamento
das diversas infraestruturas e a capacidade de
ajuste às novas tecnologias que surgem. Você
acredita que as organizações estão investindo na
qualificação dos profissionais? As universidades
estão formando profissionais da TI com perfil de
gestor? Qual a sua opinião sobre isso?
Para que as empresas tenham segurança na precisão dos dados e dos

resultados é necessário o gerenciamento constante dos processos de TI,
a fim de avaliar as correções e ajustes necessários em relação às metas e
objetivos do negócio. Por isso, o COBIT se caracteriza como um modelo
cuja estrutura está focada nos processos, desde a etapa de planejamento
até a etapa de monitoramento e avaliação, como veremos a seguir.
www.esab.edu.br 122
15.2 Estrutura do modelo: processos
[...] o modelo COBIT se destaca por não excluir ninguém do processo de

monitoramento e acompanhamento dos processos de TI. Isso acontece justamente
para que qualquer um na empresa possa identificar e gerenciar as atividades no
âmbito da TI.
Para tanto, os autores dividiram os processos de TI em domínios,

conheça-os na sequência.
• Planejamento e Organização (PO): visa identificar como a TI pode

contribuir para melhoria do atendimento dos objetivos do negócio.
Envolve o planejamento e comunicação de forma estratégica dentro
da organização.
• Aquisição e Implementação (AI): visa identificar, desenvolver,
ajustar e adquirir soluções de TI de forma que possam atender aos
objetivos do negócio.
• Entrega e Suporte (DS – Delivery e Suport): visa o gerenciamento
das entregas dos serviços de TI, avaliando a qualidade, continuidade,
conformidade e segurança dos serviços mediante controles internos e
avaliações internas e externas.
• Monitoração e Avaliação (ME – Monitor e Avaluate): visa garantir a
qualidade dos processos de TI por meio de monitoramento interno e
avaliações internas e externas (FERNANDES; ABREU, 2008, p. 178).
O que esperamos com esses domínios é o gerenciamento das
informações geradas por cada processo de TI. Essas informações devem
possibilitar a geração de indicadores para a comparação da situação atual
da organização em relação à situação desejada, a fim de poder definir as
ações corretivas ou preventivas, objetivando as melhorias no processo
de alinhamento com o planejamento estratégico, a alocação de recursos
e a medição de desempenho. Essa comparação dos resultados atuais em
relação aos resultados desejados, fundamentados pela implementação de
um procedimento de controle de TI, é chamada de objetivos de controle.
www.esab.edu.br 123
Um dos maiores desafios das organizações é monitorar e avaliar o
desempenho das atividades de TI para saber se o resultado desejado foi
ou não alcançado. Tão importante quanto aferir e avaliar os resultados é
o conhecimento gerado com essas análises e sua influência na tomada de
decisão. As informações resultantes dessa análise representam um importante
histórico de problemas e soluções que, quando bem gerenciados, podem
consequentemente se transformar em conhecimento para que, no futuro,
problemas semelhantes sejam rapidamente solucionados.
Por exemplo, antes de iniciarmos um projeto para o desenvolvimento

de um produto que será comercializado é fundamental que
informações de processos de projetos anteriores e semelhantes, os
quais foram monitorados e tiveram os dados armazenados em sistemas
disponibilizados pela TI, transformem-se em um histórico de todo
o ciclo de vida do processo de produção. Esse histórico possibilita a
consulta de dados como: tempo total de produção, picos de produção,
despesas com horas extras e imprevistos, necessidades de recursos
humanos e físicos e o cumprimento de prazos de entrega por parte dos
fornecedores e colaboradores. A análise desses dados permite que o
planejamento desse novo produto seja fundamentado por fatos e não
por palpites. Essa análise resultará em uma maior previsão dos recursos
necessários, como tempo, mão de obra qualificada, fornecedores
confiáveis e os possíveis riscos, o que no final representará um menor
custo e menos sustos durante o processo de produção.
O que se espera com a medição é conhecer a situação atual da organização,

em quais processos há necessidade de melhorias e monitoramento e se a
solução aplicada realmente resolveu o problema de forma definitiva.
Lucas Jr. (2006, p. 252) destaca que “[...] a maioria dos gerentes pode
aceitar facilmente um sistema de apoio à decisão baseado em dados,
especialmente se usar gráficos e telas simples”. Portanto, organizações
devem possuir sistemas de apoio que auxiliem na tomada de decisão, mas
para isso é preciso que os sistemas sejam constantemente alimentados com
dados dos processos em execução, a fim de tornar possível a construção de
modelos matemáticos e computacionais que examinam os dados e elaboram
possíveis soluções para os problemas. Ainda segundo Lucas Jr. (2006, p.
252), “[...] estes sistemas oferecem um enorme poder para administradores
que podem gerar e experimentar muitas alternativas diferentes”.
www.esab.edu.br 124
Um exemplo que pode esclarecer o que estamos tratando aqui é o caso
da companhia aérea American Airlines, que em 1992 identificou um
problema com o excesso de venda de bilhetes aéreos. Cerca de 15% dos
voos apresentavam mais bilhetes vendidos que o número de assentos
disponíveis, o que gerava, além da perda de recursos com essas vendas,
que eram remarcadas ou, na maioria das vezes, canceladas, a deterioração
da imagem da organização devido à insatisfação dos clientes.
Para solucionar o problema, o primeiro passo foi avaliar o processo de

venda dos bilhetes. Nessa análise, foi detectado que, intencionalmente,
havia mais bilhetes disponibilizados para comercialização que assentos
disponíveis nos voos, uma vez que muitos bilhetes são cancelados ou o
passageiro não comparece em tempo para o voo. Outro problema estava
no processo de definição de descontos para bilhetes, esses descontos
eram definidos muito tardiamente. Havia muita demora na definição de
quais assentos estavam livres para concessão do desconto, uma vez que
a organização tinha como política o maior número possível de bilhetes
comercializados pelo preço máximo.
Com base nos problemas detectados, a companhia passou a analisar o

percentual de clientes que se atrasavam ou perdiam o voo, bem como os
horários dos voos principais que tinham poucas reservas de bilhete. Como
estratégia, a American Airlines passou a disponibilizar mais bilhetes que
assentos, mas em uma margem aceitável, observando o percentual de
atrasos e cancelamentos e dando descontos em voos para os principais
centros comerciais em horários que antes eram pouco utilizados.
Como resultado da análise dos processos e a tomada de decisão a partir de

fatos, a empresa aumentou a receita em 200 milhões de dólares por ano e
os assentos com desconto aumentaram em cerca de 40% de utilização.
Isso demonstra que o monitoramento dos processos possibilita a tomada

de decisão com base em fatos, possibilitando um retorno financeiro
significativo. Porém, para que isso aconteça, é imprescindível a avaliação
constante dos processos e por isso o COBIT disponibiliza modelos de
maturidade, ou seja, ferramentas para avaliação e medição dos processos,
como veremos a seguir.
www.esab.edu.br 125
15.3 Estrutura do modelo: medições
Segundo Fernandes e Abreu (2008, p. 182), “[...] um dos maiores problemas
das empresas é visualizar o nível de profundidade que deve ser adotado
pelos mecanismos de controle e medições de desempenho”. As organizações
devem entender que monitorar e medir os processos é fundamental para a
identificação de ações de melhorias. Para tanto, cada processo de TI deve
ser associado a um modelo de maturidade fundamentado em níveis que
determinam uma classificação da situação da organização no que se refere à
gestão de processos. Ainda segundo Fernandes e Abreu (2008, p. 183), os
níveis que determinam a classificação da situação da organização são:
• nível 0: a organização não aplica processos de gestão;

• nível 1 (inicial): são aplicados processos de gestão esporádicos e
desorganizados;
• nível 2 (repetitivo e intuitivo): processos padronizados são
aplicados com regularidade, mas não há uma documentação e
comunicação formal;
• nível 3 (definido): processos são padronizados, documentados e
comunicados regularmente;
• nível 4 (gerenciado e mensurável): processos são documentados,
comunicados e monitorados de acordo com os procedimentos e
ações de correção realizados;
• nível 5 (otimizado): boas práticas são copiadas e executadas na
forma de melhorias contínuas, a partir de ações executadas em outras
empresas com resultados positivos.
A partir dos níveis de maturidade, o que desejamos é conhecer o
cenário da organização com relação aos processos de TI na forma de um
diagnóstico que possa responder a questionamentos como:
• Onde estamos?
• Como estão meus concorrentes?
• O que pode ser melhorado?
• Onde queremos chegar?
• Quanto tempo precisamos para atingir nossos objetivos?
www.esab.edu.br 126
Porém, esse modelo de maturidade produz uma avaliação rápida e
sem detalhamento. O importante é utilizar um modelo específico para
análise, como, por exemplo, o modelo CMMI.
O CMMI disponibiliza um conjunto de normas que possibilita o maior

controle sobre:
• o andamento dos projetos;

• como os cronogramas são executados;
• quais os processos críticos;
• como os resultados são afetados pelos problemas no andamento dos
projetos;
• quais os resultados de qualidade;
• o nível de satisfação dos clientes;
• o atendimento aos prazos de entrega;
• o retrabalho.
Note que o modelo CMMI tem como foco os processos dos projetos em
cenários mais macros e análises mais específicas. Já o cenário mais amplo
é atendido pelo COBIT.
Por exemplo, no desenvolvimento de um portal para vendas dos

produtos por meio da internet, ou seja, uma loja virtual, o modelo
CMMI é responsável por avaliar e monitorar se os prazos, as
funcionalidades, a alocação dos recursos físicos e as tecnologias
contempladas no projeto, fazendo com que as expectativas e necessidades
da organização sejam plenamente atendidas.
Outra forma de medições preconizada pelo COBIT é a avaliação das

metas e objetivos estabelecidos e a sua relação com as metas e objetivos
de TI. Essa forma de medição é representada por três níveis que
demonstram o que o negócio espera dos serviços de TI, avaliando o que
os serviços de TI se propõem a entregar e o que já foi entregue. Esses
níveis, segundo Fernandes e Abreu (2008, p. 183), são:
• medições de resultado: representam as medições que reportam à

gerência a situação dos processos em relação ao atendimento dos
objetivos do negócio, conhecido como lag indicators;
www.esab.edu.br 127
• indicadores de desempenho: representam as medições que
reportam à gerência a situação dos processos em relação à sua
execução de forma a atender os objetivos do negócio, conhecido
como lead indicators.
Essa forma de medição possibilita avaliar metas como, por exemplo, as
metas de desempenho de um serviço da loja virtual de uma empresa, o
qual apresenta seu sistema fora do ar, em off-line por um elevado número
de dias ou apresenta um número elevado de tentativas de compras com
cartões furtados ou inválidos e, até mesmo, as reclamações com relação
à usabilidade desse site. Esses problemas podem influenciar diretamente
nas metas e nos objetivos do negócio da organização.
Estudo complementar
Caro aluno, você pode ampliar os conhecimentos
sobre os tipos de indicadores de desempenho, como
desenvolver métricas apropriadas, como envolver
os profissionais da organização, as ferramentas e as
técnicas disponíveis. Para tanto, acesse o endereço
clicando aqui e analise o artigo proposto.
Nesta unidade, você estudou o modelo COBIT com ênfase na

sua estrutura de negócios, processos e medições representados por
um conjunto de requisitos na forma de níveis de maturidade que
possibilitam conhecer a situação atual da organização, em quais processos
há necessidade de melhorias e monitorar se a solução aplicada realmente
resolveu o problema de forma definitiva.
Na próxima unidade, estudaremos o modelo COBIT com foco

no modelo completo, os resultados esperados e seus produtos
complementares.
www.esab.edu.br 128
parte III
Objetivo
Apresentar a visão integrada do modelo COBIT e seus processos.
Na unidade anterior, você estudou o modelo COBIT com ênfase na sua

estrutura de negócios, processos e medições.
Nesta unidade, estudaremos uma visão geral do modelo COBIT e seus

processos, os resultados esperados e produtos complementares.

16.1 Estrutura do modelo: visão geral do modelo

[...] o modelo COBIT pode ser entendido como um conjunto de normas,

procedimentos e técnicas para que os Recursos de TI sejam gerenciados por Processos
de TI, para atingir as Metas de TI, que visam garantir os Requisitos do Negócio da
organização.
Os Recursos de TI são: os aplicativos, a informação, a infraestrutura

e as pessoas. Os Requisitos do Negócio são representados pela forma
pela qual a organização gerencia as informações resultantes da execução
de cada processo interno ou externo, a partir de quesitos como:
eficácia, eficiência, confidencialidade, integridade, disponibilidade,
www.esab.edu.br 129
conformidade e confiabilidade, princípios do modelo de Governança em
TI, ISO 27001. Os Processos de TI correspondem aos indicadores de
desempenho e medições de resultados.
A Figura 12 representa a integração desses componentes:
• Eficácia
• Eficiência
• Aplicativos
• Confidencialidade
• Informação
• Integridade
Requisitos Recursos • Infraestrutura
• Disponibilidade
• Pessoas
• Conformidade de negócio de TI
• Confiabilidade
Atividades Processos • Indicadores de

e processos de TI desempenho
• Indicadores de
resultados
Figura 12 – Princípios do Modelo COBIT.

O modelo é amplo e atua na gestão da informação, na medição e

avaliação dos serviços e nos requisitos de infraestrutura, possibilitando
um forte direcionamento para a auditoria dos processos e para o controle
dos riscos por meio de técnicas de gerenciamento, controle de objetivos,
implementação e avaliação de resultados.
Por isso, o COBIT é utilizado como uma ferramenta de aplicação da

Governança em TI que possibilita aos níveis gerenciais identificar os
controles necessários e priorizá-los.
O foco principal do COBIT é o negócio da organização, o qual requer

informações confiáveis geradas pelos recursos de TI. Para que isso seja
possível, a TI deve se alinhar às necessidades do negócio atuando onde
a informação é produzida, verificando o desempenho dos processos
que geram as informações e controlando os processos para que sejam
executados de forma adequada em relação às metas e objetivos do negócio.
www.esab.edu.br 130
Podemos, então, afirmar que o modelo COBIT trata os processos como
meios que auxiliam a TI no alcance dos objetivos de negócio da organização.
Você já pensou como isso acontece?
O COBIT define cada processo como um conjunto de atividades com

entradas e saídas que serão geradas e, portanto, podem ser aferidas por
meio de indicadores de desempenho, que avaliam se os processos de TI
existentes suportam o negócio. Assim, o modelo representa a importância
de se gerenciar, monitorar e controlar as informações geradas
internamente, em congruência com as leis e órgãos reguladores.
16.2 Estrutura do modelo: resultados esperados

Segundo Fernandes e Abreu (2008), o modelo COBIT tem um
resultado indireto, que é aumentar o entendimento dos processos de
TI dentro das organizações, independentemente do nível de atuação,
seja ele estratégico, operacional ou tático. O modelo representa um guia
importante para a implantação ou melhorias da Governança em TI por
meio da avaliação da maturidade dos processos de TI.
De forma direta, sua utilização pode trazer como resultados:
• definição de protocolos de comunicação claros, formalizando e

facilitando a circulação de informações entre os interessados nos
diversos níveis de atuação;
• visão clara, real e atual da situação dos processos de TI e seus pontos
fracos e fortes;
• redução da exposição aos riscos com a execução de atividades de
melhoria nos processos que apresentam incompatibilidades com o
resultado desejado;
• maximização dos resultados com investimento em TI;
• melhoria contínua dos processos de TI com medições de resultado e
indicadores de desempenho;
• maior integração entre requisitos de negócio e requisitos de TI.
www.esab.edu.br 131
De forma geral, fazendo um compilado dos benefícios do COBIT,
podemos dizer que se trata de um modelo em constante melhoria e
reconhecido internacionalmente, sendo a sua aplicação uma exigência
por parte de algumas empresas de TI. O COBIT estabelece claramente
um mecanismo de comunicação, com uma linguagem padrão entre TI
e Negócio, a qual envolve a todos da organização. O modelo permite e
exige mais controle das atividades em TI e trata a informação como um
ativo importante das instituições, o que resulta em conhecimento para
tomada de decisões com maior sucesso.
O COBIT fornece requisitos para o controle e monitoramento do

negócio com processos bem formatados e definidos. Além disso, fornece
formas para avaliação dos resultados obtidos comparando-os com os
resultados esperados. Não se trata de uma solução pronta e única, o seu
uso deve ser ajustado ao negócio para atender as necessidades e garantir o
alinhamento de TI com o foco da empresa.
Por fim, para que esses resultados sejam alcançados, é necessário, segundo
Fernandes e Abreu (2008, p. 181):
• conscientizar a todos da importância da TI;

• atender às exigências legais e regulatórias na organização;
• ter investimento em TI alinhado aos objetivos do negócio;
• elaborar as ações para proteger as informações da organização;
• gerenciar as resistências às mudanças na política organizacional;
• definir os requisitos de negócio;
• ser capaz de esclarecer e gerenciar as prioridades;
• solucionar os problemas de comunicação entre o negócio e a TI.
Observe que, para que os conflitos possam ser gerenciados, a aplicação do
modelo necessita de uma mudança cultural da empresa, principalmente
quanto à definição de prioridades em relação aos objetivos dos negócios,
as quais, em algumas empresas, podem não estar muito claras ou
amplamente divulgadas. Esse conflito entre a TI e as demais áreas
normalmente dificulta a definição e orçamento para TI, por isso é
fundamental a capacidade de gerenciar prioridades.
Albertin e Albertin (2010) enfatizam que para que um modelo de

Governança em TI seja amplamente executado e implantado é preciso
o envolvimento de todos os colaboradores, independentemente do
www.esab.edu.br 132
nível hierárquico que ocupam na organização. É preciso, ainda:
clareza na definição de responsabilidades; um meio de comunicação
eficiente; a informação segura, correta e no momento adequado; e uma
administração proativa e direta na solução dos problemas.
Agora que já vimos os resultados esperados com a aplicação do modelo

COBIT, é hora de estudarmos os produtos complementares a esse
modelo. Vamos lá?
16.3 Produtos complementares

Além do modelo COBIT, que especifica as diretrizes de gerenciamento
e os objetivos de controle, há outros produtos que complementam o
seu conteúdo. Fernandes e Abreu (2008) listam alguns exemplos desses
produtos. Acompanhe.
• Board Briefing on IT Governance: é um guia executivo que aborda

a importância da Governança em TI e suas principais características.
• IT Assure Guide: fornece diretrizes para condução de iniciativas
de teste e validação, visando a garantir que os objetivos do COBIT
sejam contemplados.
• IT Governance Implementation Guide: fornece um roteiro
genérico para implementação da Governança em TI apoiado em
COBIT.
• COBIT Control Practices: descreve em detalhes as práticas de
controle do COBIT.
• COBIT Quickstart: fornece uma base de controle para pequenas
organizações e orienta empresas maiores a darem os primeiros passos
na direção do controle de seus processos.
• COBIT Security Baseline: focaliza os passos principais para a
implementação da segurança da informação em uma empresa.
• VAL-IT: completa o COBIT a partir de uma perspectiva financeira
e de negócios, fornecendo aos executivos da organização estratégias
para avaliar como os investimentos em TI estão sustentando os
objetivos estratégicos da organização.
www.esab.edu.br 133
Por se tratar de um modelo bem amplo, alguns produtos têm como
objetivo a aplicação do modelo COBIT em contextos específicos, tendo a
finalidade de facilitar a sua aplicação e compreensão. Além desses produtos,
outros modelos de Governança em TI podem ser implantados como
complementação ao COBIT, como o PMBOK para gestão de projetos
ou o ITIL para gestão da área de TI. De qualquer forma, o modelo ou
produto deve ser avaliado de acordo com realidade da organização e
implementado de forma flexível, para que se ajuste às suas necessidades.
Nesta unidade, você conheceu um pouco mais sobre o modelo COBIT.

Aprendeu que o COBIT é um conjunto de normas, procedimentos e
técnicas para que os recursos de TI sejam gerenciados por processos a fim
de atingir as metas definidas nos requisitos do negócio. Nesse sentido,
você pôde compreender que os recursos de TI podem ser aplicados à
informação, à infraestrutura e às pessoas. Pôde compreender também que
os requisitos de negócio, como a eficácia, eficiência, confidencialidade,
integridade, disponibilidade, conformidade e confiabilidade da
informação, devem ser gerenciados e monitorados durante todo o
processo. E tudo isso pode ser avaliado por indicadores de desempenho e
medições de resultados.
Você pôde também conhecer os benefícios desse modelo, sendo o

principal deles a ampliação do entendimento dos processos de TI dentro
das organizações, independentemente do nível de atuação, estratégico,
operacional ou tático, representando um guia importante para a
implantação ou melhorias da Governança em TI, por meio da avaliação
da maturidade dos processos de TI.
Por fim, você conheceu outros produtos que complementam o modelo e

que podem ser aplicados para contextos mais específicos.
Na próxima unidade, vamos estudar um modelo de Governança em TI

derivado do COBIT, o modelo VAL-IT. Vamos lá?
www.esab.edu.br 134
Modelo de melhores práticas VAL-IT
17 (modelo complementar ao COBIT) –
parte I
Objetivo
Introduzir o modelo de melhores práticas do framework VAL-IT, seu
histórico, seus objetivos e sua estrutura.
Na unidade anterior, você conheceu o conjunto de normas,

procedimentos e técnicas para que os recursos de TI sejam gerenciados
por meio do modelo COBIT e conheceu os benefícios desse modelo.
Nesta unidade, você poderá estudar e compreender o modelo de

Governança em TI derivado do COBIT, o modelo VAL-IT.

Em nossos estudos, conhecemos o modelo COBIT, um modelo

de Governança em TI de criação e execução de serviços de TI, que
implementa boas práticas por meio de controle e monitoramento dos
processos internos da organização. A necessidade de monitoramento
e acompanhamento dos processos, com medidores de desempenho
e gestão da informação que determinam o nível de maturidade dos
serviços, é característica forte do COBIT. Com base nessas características
e consequente necessidade de demonstrar como o investimento em TI
está suportando as atividades da organização, surgiu o modelo VAL-
IT, o qual define boas práticas para que as empresas possam monitorar
os investimentos nos recursos de TI. Esse modelo complementa o
modelo COBIT, sendo a Governança Corporativa com estratégias para
a geração de valor para o negócio o foco do VAL-IT enquanto o foco do
COBIT está na Governança em TI, visando garantir que a TI promova a
execução das atividades essenciais aos requisitos de negócio.
www.esab.edu.br 135
Vamos começar a estudar o modelo VAL-IT para compreender sua
relação com o COBIT, a Governança Corporativa e seu papel como
ferramenta de demonstração dos resultados com investimentos em TI.

Segundo Fernandes e Abreu (2008), o modelo VAL-IT foi publicado
e disponibilizado em 2006. O VAL-IT está em constante evolução e
surgiu a partir da necessidade de um modelo que abordasse estratégias
para demonstrar o valor que os serviços de TI agregam ao negócio da
organização, facilitando a visualização do retorno dos investimentos em
TI. Atualmente o modelo está na versão 2.
A versão 2 é a principal fonte de informação sobre o modelo com

descrições dos seus domínios, processos e atividades na forma de um guia
de aplicação e gerenciamento.
O VAL-IT é gerenciado e ajustado constantemente pelo IT Governance

Institute – ITGI, que é formado por representantes de empresas e
instituições de ensino focadas em desenvolver o modelo, o qual constitui-
se por uma coleção de práticas e técnicas de gestão de investimentos em
TI. O IT Governance Institute, criado em 1998, é uma organização sem
fins lucrativos que orienta organizações do mundo todo sobre as questões
relacionadas à Governança em TI. É o órgão responsável por estudos
sobre a alocação dos recursos de TI e a medição do desempenho da TI.
O VAL-IT é um modelo de maturidade com foco na análise de

investimentos em TI e estabelece as principais atividades que devem ser
realizadas, papéis e responsabilidades.
O VAL-IT complementa o COBIT e juntos os modelos apoiam as

necessidades das empresas que lidam com a Governança Corporativa.
A partir desta etapa vamos avaliar a aplicabilidade desse modelo. Vamos lá?
www.esab.edu.br 136
Com base na Governança em TI, o modelo VAL-IT é um complemento
ao modelo COBIT e pode ser utilizado para avaliar o retorno dos
processos de TI que são implementados na organização. Por exemplo,
desenvolver um portfólio com os principais serviços de TI disponíveis na
organização, apresentando quais processos dependem desses serviços e os
resultados alcançados com a integração do serviço aos processos. Além
disso, apresentar indicadores dos resultados e desempenhos alcançados
antes da disponibilidade do serviço e os resultados atuais, depois
que houve sua disponibilização. É importante apresentar dados que
demonstrem como os recursos financeiros aplicados nesses serviços estão
sendo pagos com o aumento de produção, melhor qualidade e aumento
das vendas.
Segundo Albertin e Albertin (2010), as organizações necessitam avaliar

constantemente se os investimentos em TI estão gerando os retornos
desejados, ou seja, qual o valor que a TI está agregando às atividades da
empresa.
O problema está em como aferir o retorno do valor investido em TI,

esse é o grande desafio. Saber qual o retorno permite saber também os
ajustes e melhorias necessárias em TI, e, consequentemente, a prioridade
de investimentos.
Esse é o contexto para aplicação do modelo VAL-IT.
É importante você saber que o valor que se está avaliando não é apenas
financeiro, mas a relação entre as metas e objetivos de negócio da organização
e como o uso e a otimização dos recursos de TI possibilitam alcançá-los.
Por exemplo, para os stakeholders de empresas privadas, valor é

o resultado de quanto a organização lucrou em relação ao que foi
investido, um retorno claramente financeiro e econômico. Para empresas
públicas, os stakeholders avaliam o valor pela qualidade dos serviços
prestados. Para as ONGs (Organizações Não Governamentais), o valor é
representado pelos resultados das ações sociais e de solidariedade.
www.esab.edu.br 137
Para Fernandes e Abreu (2008), o modelo VAL-IT é uma peça
fundamental para que as organizações possam visualizar os valores que a
TI gera para o negócio da organização.
Os autores destacam que
[...] demonstrar os valores dos investimentos em TI é um dos maiores problemas das

organizações que não entendem por que gastar dinheiro em TI. Por isso, os executivos
de negócio devem ser educados para a mudança cultural que a implantação de um
modelo como o VAL-IT requer. (FERNANDES; ABREU, 2008, p. 201)
Portanto, para a sua aplicação, é necessária uma mudança cultural

bastante intensa, com uso de métodos e técnicas analíticas sobre
informações essenciais para a tomada de decisão, como dados dos custos
de fabricação, dados de concorrentes, indicadores de vendas etc.
Uma organização sem um modelo de monitoramento dos serviços de TI produz a

visão organizacional de que a TI representa custo em vez de necessidade.
Porém, desde que sejam monitorados corretamente, por meio de um

modelo, os investimentos em TI podem demonstrar o retorno de TI
para empresa.
Assim como o COBIT, podemos notar que o VAL-IT valoriza a informação

como um importante ativo das organizações, e seu gerenciamento é
fundamental para tomada de decisão com melhores resultados.
O VAL-IT, como dissemos, é um modelo alinhado ao COBIT e o

complementa. Já sabemos, mas vale ressaltar que o COBIT monitora
se a TI está trabalhando de forma organizada e eficaz para garantir o
suporte ao negócio, e o VAL-IT auxilia as empresas nas decisões sobre
onde investir, sempre em acordo com os requisitos de negócio. Lembre-
se de que a característica de um ou outro modelo não significa que
a utilização do VAL-IT exija que a empresa implemente também o
COBIT, essa decisão deve ser avaliada por parte do especialista em TI;
www.esab.edu.br 138
ele deve diagnosticar as necessidades de gestão da empresa. O VAL-
IT é comumente relacionando ao COBIT, mas o modelo VAL-IT não
depende do COBIT, porém, sua estrutura fundamenta-se no COBIT. As
organizações que já implantam o modelo COBIT terão maior facilidade
em aplicar o modelo VAL-IT.
As organizações que fazem do COBIT sua base de Governança em TI

podem se beneficiar adotando o VAL-IT como um modelo complementar.
Segundo Fernandes e Abreu (2008), a integração do VAL-IT com outros

modelos visa responder aos seguintes questionamentos:
• Estamos fazendo as coisas certas?

• Estamos fazendo o caminho certo?
• Será que estamos fazendo bem feito?
• Estamos recebendo os benefícios?
Ao responder a essas perguntas, você poderá avaliar se a TI está
ou não alinhada ao planejamento estratégico da organização e,
consequentemente, definir melhorias e investimentos necessários.
As organizações que adotam um modelo para avaliação dos investimentos

em TI possibilitam que as decisões sejam tomadas com base em fatos,
informações e indicadores.
Agora que conhecemos um pouco mais sobre o modelo VAL-IT, veremos

quais as certificações específicas para esse modelo.

Segundo Fernandes e Abreu (2008, p. 200), “[...] por se tratar de
um modelo novo, ainda pouco conhecido no mercado, e sendo uma
complementação do COBIT, não há certificações específicas para este
modelo”. Mas, a abordagem do modelo COBIT pode ser direcionada
para uma aplicação semelhante ao VAL-IT com foco na avaliação dos
resultados obtidos com o investimento em TI.
www.esab.edu.br 139
Saiba mais
Para saber mais sobre certificações, você pode
acessar o endereço clicando aqui, que é uma
entidade sem fins lucrativos e independente. A
entidade tem foco no estudo e certificação em
modelos de Governança em TI.
Nesta unidade, você pôde estudar o histórico e contexto de aplicação

do modelo VAL-IT, um modelo de Governança em TI amparado no
COBIT. Vimos que o modelo VAL-IT inclui procedimentos e técnicas
relacionadas à medição, avaliação e seleção de investimentos em TI,
bem como o valor que os serviços de TI podem representar para a
organização. Estudamos também que atualmente o modelo VAL-IT não
possui um programa de certificação em Governança em TI, pois se trata
de um modelo novo, que ainda é pouco conhecido no mercado.
Na próxima unidade, vamos estudar a estrutura e resultados esperados

com a adoção desse modelo.
Tarefa dissertativa
www.esab.edu.br 140
Modelo de melhores práticas VAL-IT
18 (modelo complementar ao COBIT) –
parte II
Objetivo
Apresentar o modelo de melhores práticas do framework VAL-IT, sua
aplicabilidade e seus benefícios.
Na unidade anterior, estudamos o histórico e contexto de aplicação do

modelo VAL-IT. Vimos que o VAL-IT é um modelo fundamentado
no COBIT e que disponibiliza procedimentos e técnicas de medição,
avaliação e seleção de investimentos em TI, resultando em valor aos
serviços de TI.
Nesta unidade, vamos estudar ainda mais a estrutura do modelo, quais

os seus benefícios e produtos complementares para atuação em contextos
específicos.

Vamos dar sequência aos nossos estudos, conhecendo a estrutura do

modelo. Acompanhe!
18.1 Estrutura do modelo: visão geral do modelo

Antes de iniciarmos os estudos com relação à estrutura do modelo VAL-
IT, é importante contextualizarmos o papel atual da Tecnologia da
Informação. Segundo Albertin e Albertin (2010), inicialmente, das décadas
de 1950 a 1980, o uso da TI tinha como foco a automação dos processos,
com pouco envolvimento nos negócios da organização. No início da
década de 1990, com a maior popularização dos serviços de TI, aumentou
a necessidade por gestão dos projetos, com a preocupação com técnicas
www.esab.edu.br 141
de monitoramento e planejamento, mas ainda com pouca integração
com o alinhamento estratégico. A partir do ano 2000, com aumento de
informações armazenadas em computadores e a consequente necessidade
de gerenciar a informação e com o forte controle de acesso, as organizações
passaram a depender de uma maior integração entre TI e negócios,
transformando a TI em uma ferramenta de transformação do negócio. Em
paralelo a essa evolução, as organizações se mostraram deficitárias na gestão
da tecnologia da informação, aumentando a necessidade por Governança
em TI e modelos que estimulassem o investimento em serviços de TI e
avaliassem constantemente os riscos com TI.
Fernandes e Abreu (2008) avaliaram os riscos da TI, aqueles causados

por falhas ou incidentes nos serviços de TI e que afetam diretamente a
organização no atendimento aos seus objetivos de negócio, por meio dos
questionamentos listados a seguir.
• Conformidade e controles – podemos confiar na integridade das

informações? – Isso remete à importância da segurança da informação.
Os sistemas utilizados na organização seguem uma política de
segurança da informação, as operações realizadas podem ser auditadas
e os sistemas exigem controle de acesso. Os dados são armazenados
com uma cópia de segurança e mecanismos de alerta em caso de
acesso indevido, ou seja, é preciso um conjunto de mecanismos que
garantam a integridade e autencidade das informações.
• Continuidade dos negócios – podemos manter a empresa
funcionando? Os serviços de TI suportam o negócio da organização?
Há planos com ações definidas para o caso de falhas nos sistemas?
Em caso de falta de energia elétrica, há equipamentos que permitem
o funcionamento dos serviços essenciais e por quanto tempo?
Os serviços contratados de telefonia atendem às necessidades da
organização? A empresa possui equipamentos sobressalentes para o
caso de defeito ou falha nos equipamentos? Note que é preciso que
se tenha um plano de ação que direcione como a organização deve
agir em caso de falhas e incidentes, garantido o funcionamento dos
serviços essenciais, a precaução é sempre a melhor estratégia.
www.esab.edu.br 142
• Risco de terceirização – podemos contar com nossos parceiros e
fornecedores? Nossos fornecedores são avaliados continuamente?
Quais os indicadores de desempenho especificados? Como, quando
e quem avalia os fornecedores? Há uma relação de possíveis
fornecedores em caso de falha na disponibilização de algum produto
ou serviço? Quais as regras e normas exigidas para contratação de
um fornecedor? É importante que a organização tenha formalmente
as regras para avaliação e escolha de um fornecedor, e que o quesito
principal não seja apenas o preço, mas as garantias de atendimento
às necessidades da organização.
• Recursos de investimentos – temos recursos e sabemos onde
investir em TI? A organização deve ter um portfólio com os
principais serviços, aqueles que são essenciais para que a organização
atinja seus objetivos de negócios, e que ele seja reavaliado
constantemente, de forma a mantê-lo atualizado. Mais que isso,
é fundamental que todos os níveis organizacionais conheçam o
portfólio, não apenas a TI.
Para que esses questionamentos sejam respondidos, o modelo apresenta
três processos, ou seja, três práticas de gerenciamento que devem ser
aplicadas pelos stakeholders da organização. Fernandes e Abreu (2008)
conceituam e diferenciam os três processos conforme apresentado na
sequência. Observe.
Governança de Valor (GV): contempla o estabelecimento, a monitoração

e o controle do modelo de governança, o fornecimento da direção
estratégica dos investimentos em TI e a definição das características do
portfólio de investimentos. Por exemplo, criar indicadores que apontem
quais os serviços de TI que estão se pagando mais rápido, com maior
retorno financeiro e técnico, atendendo às necessidades da organização
e a posterior avaliação de como as estratégias adotadas para esse serviço
podem ser aplicadas em outros serviços não tão lucrativos e eficientes.
Avaliar como as melhores práticas podem ser aplicadas em outros serviços
de forma a melhorar os investimentos realizados.
O objetivo desse processo é garantir que práticas de gestão façam parte

da empresa, capacitando-a a maximizar os resultados com investimentos
em TI.
www.esab.edu.br 143
Para que os resultados com investimentos em TI sejam positivos, é
necessário que a área de TI execute as suas atividades em parceria com as
demais áreas, de forma a estabelecer um portfólio de investimentos.
As ações e estratégias para maximizar o valor de retorno do portfólio

de investimentos nos serviços de TI e demais recursos devem ser
formalmente definidas e comunicadas para toda a empresa.
Gerenciamento do Portfólio (PM): visa assegurar que os investimentos

de TI sejam alinhados aos objetivos estratégicos, de forma a garantir
maior retorno ao negócio.Por exemplo, caso a organização deseje
implantar uma filial em outra cidade, quais os serviços essenciais devem
ter prioridade de investimento? Nesse caso, é preciso que se tenha
formalmente a descrição de todos os serviços de TI, com seus custos,
investimentos, fornecedores e benefícios para a organização. Esse
documento formal é o portfólio de investimentos, uma relação de custos
e benefícios de cada serviço.
Compreendem o gerenciamento e monitoramento dos recursos: a

definição dos limites para os investimentos e a avaliação de novos
investimentos na forma de um portfólio de investimentos.
A gestão do portfólio deve acompanhar o planejamento estratégico da

organização e por isso deve ser ajustada constantemente, conforme as
modificações no ambiente interno e externo de forma a representar
a realidade da organização, possibilitando, assim, a redefinição dos
investimentos para que os resultados possam ser maximizados.
Para tanto, são essenciais sistemas automatizados de gestão de portfólio

que possibilitem o armazenamento de dados e indicadores referentes aos
recursos investidos. Esses dados devem ser utilizados pela empresa para
tomada de decisões de onde investir e como investir em TI.
Gerenciamento do Investimento (IM): visa possibilitar que as políticas

de investimento resultem em maior retorno dos investimentos de TI.
Essas políticas são fundamentadas por análises de riscos e indicadores de
desempenho. A organização deve ter no seu planejamento estratégico o
quanto se deseja investir em TI por períodos específicos, mensalmente,
www.esab.edu.br 144
anualmente, a cada cinco anos; e quais os riscos que podem ser assumidos.
Por exemplo, a organização pode decidir por utilizar uma tecnologia que
ainda não se firmou no país. Mesmo que as pesquisas e análises indiquem
que pode ser um sucesso, há incertezas que a organização terá que assumir
de forma que esse risco se torne uma oportunidade.
Para isso, os requisitos do negócio e os programas de investimentos são

analisados, avaliados e formatados detalhadamente nos business cases,
com a atribuição de responsabilidades e de responsáveis pelo resultado
do investimento. Cabe à gestão da empresa, principalmente por parte
dos gestores, gerenciar os investimentos em TI. Para tanto, esses gestores
devem avaliar, priorizar, selecionar, rejeitar ou aceitar os programas de
investimentos propostos.
A Figura 13 apresenta, na forma de um ciclo, a integração desses três

processos – GV, PM e IM. Observe:
Governança de Valor
(VG)
Gerenciamento do Gerenciamento do
Investimento (IM) Portfólio (PM)
Figura 13 – Ciclo de processos do modelo VAL-IT.
O processo GV (Governança de Valor) estabelece um modelo geral de

governança com os portfólios necessários para gerenciar os investimentos.
Em seguida, o processo PM (Gerenciamento de Portfólio) estabelece
a direção dos investimentos a partir das características do portfólio de
investimentos, com suas prioridades e restrições de recursos financeiros.
O processo de Gerenciamento de Investimentos (IM) determina onde
haverá os principais investimentos com base no retorno de valor, nas
restrições previamente levantadas e no alinhamento com os objetivos de
negócio, com o potencial de retorno e os riscos. O processo IM gerencia
www.esab.edu.br 145
os investimentos, reportando para o processo PM seu desempenho.
É de responsabilidade desse processo (PM) monitorar o desempenho
do portfólio de investimentos, ajustando-o sempre que necessário, em
resposta a desvios do que foi anteriormente planejado.
O processo IM é responsável por monitorar continuamente o

investimento, mesmo após a sua finalização, avaliando se os serviços
ou recursos provenientes do investimento continuam gerando valor
para a organização. Cada processo atua em contextos diferentes de
gerenciamento dos investimentos. O processo GV determina as metas e
faz o gerenciamento destas. O processo PM transforma essas diretrizes
em algo possível de ser executado pelo processo IM.
Agora, vamos analisar os benefícios com o modelo VAL-IT e seus

processos. Acompanhe.

Segundo Fernandes e Abreu (2008, p. 201), “[...] o principal benefício
deste modelo é auxiliar aos gestores em saber como investir em TI, pois
aumenta o entendimento e a transparência dos custos, riscos e benefícios
com estes investimentos”.
Os processos do modelo possibilitam, por meio do portfólio de

investimentos, melhorar a seleção desses investimentos, alinhando-os
com a estratégia da empresa e maximizando, assim, seus resultados.
Os processos de TI são facilitadores do negócio, por isso, a administração

e os stakeholders devem atuar nesses processos. Esses agentes devem ser
conscientes mesmo a tecnologia sendo um processo meio (assim como o
marketing, a publicidade, a contabilidade, a logística), e não um processo
fim (pois a maioria das organizações não vende tecnologia, mas serviços e
produtos), os investimentos em TI podem trazer grandes benefícios para
a empresa, como, por exemplo, a produção de inovação e diferenciais
competitivos. Esse é um papel fundamental do modelo VAL-IT.
www.esab.edu.br 146
Dessa forma, a comunicação entre TI e negócio fica facilitada, os gestores
conseguem demonstrar os resultados dos investimentos em TI de forma
organizada e muito bem fundamentada por indicadores de desempenho,
reduzindo os sustos em relação aos custos para disponibilização de TI.
Por exemplo, realizar uma análise para especificação de investimentos em

TI é uma tarefa complexa, uma vez que exige analisar e relacionar diversos
processos independentes que, às vezes, não possibilitam a visão de todo o
cenário, dificultando a tomada de decisões rápidas, corretas e eficientes.
Com a utilização e aplicação dos processos do VAL-IT (GV, PM e

IM), é possível avaliar e relacionar as ações e processos aparentemente
desconexos, de forma que se possa definir as necessidades e prioridades
de investimentos. O processo de Governança de Valor (GV) possibilita
que a administração da organização tenha uma visão ampla dos projetos
e como os investimentos estão sendo realizados. Já o processo de PM
(Gerenciamento de Portfólio) permite uma análise dos projetos e se
estes estão de acordo com os objetivos estratégicos da organização. Por
fim, o Gerenciamento de Investimento permitirá avaliar quais projetos
estão dando melhor retorno e como essa estratégia de sucesso pode ser
aplicada, ou não, em outros projetos.
Assim, com o VAL-IT, os processos serão avaliados por meio de uma

plataforma de gerenciamento, facilitando a análise dos dados de forma a
identificar rapidamente qualquer problema que esteja acontecendo.
Esse modelo é fundamental para se analisar isoladamente cada projeto e

analisar como os investimentos em TI estão suportando as atividades da
organização, facilitando a decisão de como e onde investir em TI.
O que esperamos com uso do modelo VAL-IT é a compreensão de que

investimentos em TI possibilitam a entrega dos produtos no prazo e
dentro do orçamento estipulado, o que representa um importante passo
para que o planejamento estratégico seja atendido.
www.esab.edu.br 147
Assim, o que se espera com a adoção do modelo VAL-IT é auxiliar as
organizações na avaliação de como e quando investir em TI. Tal decisão,
quando adotado o modelo VAL-IT, é fundamentada por fatos e análise
de riscos na forma de processos, práticas e normas. Outros modelos
podem ser agregados ao VAL-IT para aumentar sua efetividade na forma
de produtos complementares. São esses produtos complementares que
veremos a seguir.

Para Fernandes e Abreu (2008, p. 202),
[...] a utilização do modelo VAL-IT com outros modelos, na forma de produtos

complementares para ações específicas na organização, deve ser avaliada por um
especialista em Governança em TI, na forma de um diagnóstico da relação entre TI e
negócios.
Por exemplo, caso o cenário identificado na organização pelo especialista

em Governança em TI seja a necessidade de avaliação da TI de forma
abrangente, incluindo a avaliação dos riscos que a qualidade e o
desempenho dos serviços de TI podem representar para o negócio, a
integração com COBIT e ITIL é fundamental para que esse diagnóstico
seja realizado. Isso porque o COBIT avalia os processos de forma geral
e o ITIL avalia os processos de TI. Já se o cenário identificado pelo
especialista em Governança em TI é de uma empresa que possui sistemas
e softwares na maioria de seus projetos, a integração com o modelo
CMMI é muito importante, pois o COBIT monitora os processos, na
forma de uma auditoria e avaliação dos investimentos em TI, e o CMMI
avalia a qualidade dos serviços de TI focados no desenvolvimento de
softwares.
Para o cenário em que a necessidade da empresa é a gestão da TI aliada

a fortes práticas de segurança da informação, a integração do VAL-IT e
ISO/IEC 27001 é propícia.
Portanto, a definição dos produtos que farão parte da Governança em TI

deve ser avaliada com base na realidade e necessidades da organização.
www.esab.edu.br 148
Nesta unidade, você pôde estudar os processos que integram o modelo VAL-
IT, que determinam a sua estrutura de funcionamento e forma de aplicação,
tendo como foco a definição, avaliação e aplicação de investimentos em TI
como estratégias para demonstrar os valores resultantes dos serviços de TI.
O modelo visa disponibilizar ferramentas para gestão e criação de valor do
negócio, não avaliando somente se o investimento é válido, mas na forma de
um instrumento que deve ser continuamente atualizado durante todo o ciclo
de vida econômico de um investimento.
Na próxima unidade, vamos estudar o modelo CMMI, um modelo de

avaliação de maturidade dos processos de desenvolvimento de software.
Atividade
www.esab.edu.br 149
Resumo
Na unidade 13, você conheceu os modelos de Governança em TI e os

cenários em que podem ser aplicados. Conheceu o modelo COBIT,
um modelo muito abrangente e focado nas etapas de alinhamento
estratégico, decisão, operação, gestão e medição de desempenho.
Na unidade 14, você pôde estudar os conceitos iniciais sobre o COBIT,

seu histórico, seus objetivos e sua estrutura de funcionamento. Você
estudou que o COBIT é um modelo focado na integração da TI
ao negócio da organização na forma de um conjunto de técnicas e
procedimentos de monitoramento dos processos.
Na unidade 15, abordamos o modelo COBIT com ênfase na

sua estrutura de negócios, processos e medições. Esses processos,
Planejamento e Organização (PO), Aquisição e Implementação (AI),
Entrega e Suporte (DS – Delivery e Suport) e Monitoração e Avaliação
(ME – Monitor e Avaluate), e os níveis de medição (inexistente, inicial,
intuitivo, definido, gerenciado e otimizado) formam um conjunto de
requisitos que possibilitam classificar a situação da organização e os
processos que necessitam de melhorias e avaliar se os recursos de TI
realmente resolveram os problemas de forma definitiva.
Já na unidade 16, você conheceu os benefícios do modelo COBIT.

Aprendeu que o maior benefício desse modelo é aumentar o
entendimento dos processos de TI dentro das organizações.
Na unidade 17, estudamos o histórico e contexto de aplicação do modelo

VAL-IT, um modelo de Governança em TI fundamentado no COBIT e
que inclui procedimentos e técnicas relacionadas à medição, avaliação e
seleção de investimentos em TI.
www.esab.edu.br 150
Finalmente, mas não menos importante, na unidade 18, estudamos os
processos que integram o modelo VAL-IT, um modelo de maturidade
com foco na análise de investimentos em TI e fundamentado por três
processos. São eles: Governança de Valor (GV), Gerenciamento do
Portfólio (PM) e Gerenciamento do Investimento (IM).
www.esab.edu.br 151
19 Capability Maturity Model
Integration (CMMI) – parte I
Objetivo
Apresentar o modelo de melhores práticas CMMI, seu histórico, seus
Na unidade anterior, você estudou os processos que integram o modelo

VAL-IT. Estudou também os processos que determinam a estrutura
de funcionamento e forma de aplicação desse modelo, bem como a
definição, avaliação e aplicação de investimentos em TI como estratégia
para demonstrar os valores resultantes dos serviços de TI. O modelo visa
a disponibilizar ferramentas para gestão e criação de valor do negócio,
mas não somente avaliando se o investimento é válido. O objetivo é
desenvolver um instrumento que seja continuamente atualizado durante
todo o ciclo de vida do projeto, analisando e relatando os benefícios
resultantes da utilização de boas práticas em TI.
Nesta unidade, vamos estudar o modelo CMMI, um modelo de

avaliação de maturidade dos processos de desenvolvimento de software.
O CMMI tem por função avaliar se os requisitos implementados estão
em conformidade com os requisitos especificados junto aos usuários.

Fernandes e Abreu (2008) e Lucas Jr. (2006).
Iniciaremos nossos estudos sobre o CMMI conhecendo seu histórico e

objetivo.
www.esab.edu.br 152
O modelo CMMI foi criado em 1991, a partir de uma solicitação formal
do Departamento de Defesa norte-americana ao Software Engineering
Institute (SEI) para a elaboração de um modelo voltado à avaliação
de qualidade dos processos de engenharia de software. Para satisfazer
a essa solicitação, foi desenvolvido o modelo SW-CMM (Capability
Maturity Model for Software). O Departamento de Defesa norte-
americana solicitou a criação do modelo devido à necessidade de avaliar
a qualidade no processo de desenvolvimento de software, reforçando, já
naquela época, a relação entre qualidade dos processos e qualidade
do produto, nesse caso, softwares. Ou seja, o foco recai na qualidade
dos processos, destacando que a qualidade do software é resultado
da qualidade dos processos. Lucas Jr. (2006, p. 125) destaca que o
desenvolvimento de software pode ser entendido como “[...] o processo
de planejar um sistema e representa um conjunto de mudança. Novos
sistemas de informações alteram procedimentos de processamento de
informações existentes e muitas vezes alteram a própria organização”.
O modelo SW-CMM se manteve como referência em qualidade e

maturidade de software até 2002, quando o modelo CMMI (Capability
Maturity Model Integration) foi publicado na forma da versão 1.1. A
primeira versão do modelo (CMMI) ampliava o modelo SW-CMM,
com a inclusão de disciplinas voltadas para a aquisição de software,
gestão e desenvolvimento de mão de obra e integração de produtos
e processos. Como resultado desse novo modelo, alguns aspectos
foram abordados com maior propriedade, como a diferença entre
organização e empresa, os processos de verificação e validação, bem
como a importância da medição e análise dos processos. (FERNANDES;
ABREU, 2008).
Em 2006, o SEI publicou a versão 1.2 do CMMI com integração

dos conceitos de engenharia de software, engenharia de sistemas,
desenvolvimento integrado de produto e terceirização de
desenvolvimento de software. Essas modificações foram necessárias
para acompanhar as constantes mudanças de mercado, por exemplo, a
definição do foco para levantamento dos requisitos do sistema.
www.esab.edu.br 153
Saiba mais
Caro aluno, você pode conhecer sobre a
importância dos requisitos de sistemas, acessando
este artigo.
Desde o início dos serviços de desenvolvimento de software,

principalmente na década de 1990, quando esses serviços começaram
a se popularizar, a qualidade se apresentava como um grande problema
resultante das dificuldades em especificar os requisitos do sistema de
acordo com as necessidades do usuário. Uma grande mudança com a
aplicação do CMMI foi a diferenciação entre cliente e usuário, mudando
o foco do cliente para o usuário como responsável por apresentar, testar e
avaliar as funcionalidades que o sistema deveria contemplar.
Para sua reflexão

Será que os profissionais que desenvolvem
softwares, principalmente os analistas de sistemas
e requisitos, estão atentos a essa importante
diferenciação entre usuário e cliente ou ainda
continuam especificando software a partir do que
o cliente imagina em vez de ir direto à fonte das
necessidades e problemas do usuário? Qual é a sua
opinião sobre essas questões?
A principal mudança trazida pelo CMMI em relação ao SW-CMM

é a sua estruturação em duas abordagens para a melhoria de processos.
Essas duas abordagens são: a abordagem contínua e a abordagem em
estágios. Essas abordagens representam as duas formas de implementação
do modelo CMMI na instituição de forma integrada, e contêm práticas
genéricas e específicas voltadas para os processos de desenvolvimento
www.esab.edu.br 154
de softwares, como o levantamento de requisitos, a gestão de projetos,
os testes, as validações e a manutenção dos sistemas. Você estudará
estas duas abordagens, ou seja, a abordagem contínua e por estágios, na
unidade 20.
De forma prática, o CCMI estabelece, por exemplo, que o

desenvolvimento de um software deve ser planejado e estruturado
com base nos conhecimentos e experiências dos principais usuários, os
quais detêm o conhecimento do dia a dia, e de como as atividades são
executadas. Portanto, é essencial que se identifique, por parte da equipe
de desenvolvimento do sistema, nas pessoas do gerente de projetos e
do analista de sistema, quem são as principais referências dentro da
organização capazes de debater com conhecimento: quais são as reais
necessidades do sistema, onde estão os problemas, e quais são as regras
e funcionalidades essenciais para se atingir os objetivos almejados.
Isso significa que o cliente não seja, necessariamente, o principal
foco para fazer o levantamento dos requisitos do sistema. Existe uma
diferença entre cliente e usuário. Normalmente o cliente é o gestor da
organização, e responsável por: analisar e contratar o fornecedor do
serviço ou sistema que será desenvolvido e estabelecer valores, formas
e prazos de pagamento pelo serviço. Por exemplo, o proprietário de
uma clínica veterinária que contrata uma empresa especializada para o
desenvolvimento do software de controle de contas a pagar e receber. Já
o usuário provavelmente será o funcionário que, no dia a dia, realizará
os pagamentos de fornecedores e dos colaboradores, bem como receberá
pelos serviços prestados pela clínica.
Note que o gestor normalmente está em um nível estratégico e o usuário

em um nível operacional. Assim, quanto maior a organização, mais
clara e evidente fica essa divisão, já que, em empresas pequenas, o gestor
também está envolvido com o operacional da organização. E mais do que
isso, o processo de produção não se encerra com a entrega do produto,
pois há necessidade de ajustes, na forma de manutenção. Essa avaliação
deve ser realizada junto ao usuário final, que é quem vai operar o serviço
ou produto. A experiência desse usuário final com as operações realizadas
no dia a dia da empresa, por exemplo, o cadastramento de dados no
sistema, a consulta aos dados e a emissão de relatório, é um critério
fundamental para aprovação ou não das funcionalidades que foram
www.esab.edu.br 155
desenvolvidas ou melhoradas. Vamos dar outro exemplo dessa situação:
um software acadêmico possui vários usuários, como o professor, o
aluno e o coordenador do curso. Cada um possui um conjunto de
funcionalidades específicas, por exemplo, o coordenador pode cadastrar
as turmas, horários e professores, já o professor pode cadastrar as notas
e frequências, e o aluno pode consultar as notas, os horários das aulas,
médias finais e frequências. Já o cliente é quem contrata o serviço ou
adquire um produto, é responsável pela negociação comercial, pelas
cláusulas contratuais, pelos valores a serem pagos e formas de pagamento.
No caso de uma escola, o cliente pode ser o proprietário ou sócio da
escola.
Segundo Fernandes e Abreu (2008, p. 204), o que se espera com esse

modelo CMMI “[...] é fornecer, na forma de melhores práticas, uma
melhoria dos processos e habilidades organizacionais, para tanto, atuando
em todo ciclo de vida de produtos e serviços, nas fases de concepção,
desenvolvimento aquisição entrega e manutenção”.
A Figura 14 apresenta esse ciclo de vida:
Manutenção Concepção
Entrega CMMI Desenvolvimento
Aquisição
Figura 14 – Ciclo de vida de produtos e serviços.

O ciclo de vida é representado por etapas em uma sequência que visa:
• à contextualização dos requisitos;

• às necessidades do serviço ou produto (concepção);
www.esab.edu.br 156
• à execução do projeto ou desenvolvimento do produto
(desenvolvimento);
• à aquisição dos recursos humanos e materiais necessários para
execução do projeto (aquisição);
• à entrega do produto para o cliente e usuário final; e
• à manutenção, que visa a avaliar se os requisitos definidos na
concepção foram atendidos.
Por exemplo, o desenvolvimento de um software requer primeiramente
que sejam definidas as necessidades, viabilidades e os objetivos do
sistema, recolhidos junto ao usuário final do produto (ou serviço). Após
a definição dos requisitos e modelagem do sistema, o próximo passo
é o desenvolvimento do produto, que se dá pela codificação e testes
das funcionalidades implementadas. O objetivo dos testes é verificar
se os requisitos estão sendo atendidos, avaliando se o software está de
acordo com as necessidades do usuário. O desenvolvimento do sistema
requer a aquisição de equipamentos, ferramentas de desenvolvimento,
treinamento dos colaboradores e materiais de uso diário, suportando
as tarefas do ciclo de vida de desenvolvimento do software. Com a
finalização do software, ele é entregue para o cliente, que o disponibiliza
aos usuários e, havendo necessidade de ajustes e melhorias, serão
realizadas na forma de manutenção, sempre visando a atender aos
requisitos definidos na primeira etapa.
O gerenciamento das etapas do ciclo de vida de um produto ou serviço

possibilita, por meio de uma avaliação de maturidade da organização,
determinar qual é a sua capacidade de controlar e monitorar as áreas
envolvidas em cada etapa, permitindo que se estabeleçam prioridades e
melhorias contínuas.
Portanto, podemos concluir que o objetivo do CMMI é melhorar os

processos da organização no desenvolvimento e manutenção de produtos
ou serviços de software, mas também divulgar e informar sobre os
resultados para todos os envolvidos no projeto.
Estudaremos a seguir o contexto para aplicação do modelo CMMI.

Esse contexto vai muito além da definição de quem deve ser responsável
por apresentar as necessidades do software que posteriormente serão
transformadas em requisitos.
www.esab.edu.br 157
O modelo CMMI pode ser aplicado em qualquer tipo de organização
cujo foco seja o desenvolvimento de produtos, como sistemas em geral,
software, hardware etc., para o atendimento de necessidades de clientes
externos ou internos, utilizando ou não recursos terceirizados.
Para que o modelo seja implantado com sucesso, não devemos descartar
as características culturais internas da empresa. É preciso também analisar
se a organização já está familiarizada com a incorporação de melhorias
dos processos organizacionais, pois isso é um requisito importante e que
influencia no aprimoramento dos processos de uma organização, visando
torná-la mais madura e eficiente (FERNANDES; ABREU, 2008).
A implantação do CMMI é recomendável para grandes e pequenas

fábricas de software. Porém, é preciso estar ciente de que sua implantação
é uma tarefa complexa, uma vez que envolve todas as áreas-chave
da empresa e necessita de uma mudança cultural da organização,
principalmente se a empresa não utilizava nenhuma forma de
gerenciamento de processos.
Para saber se uma empresa precisa utilizar um modelo de gestão de

qualidade dos processos, como é o CCMI, é preciso avaliar como são
realizadas algumas etapas de desenvolvimento dos produtos. A seguir,
apresentamos alguns pontos que devem ser considerados. Acompanhe:
• os projetos de software são desenvolvidos em regime de emergência,

o famoso “sempre para ontem”;
• os cronogramas não são longos, pois as estimativas não são realistas e
os processos não são bem especificados;
• quando o cliente pressiona por cumprimento dos prazos, a qualidade
e os requisitos são minimizados, perdendo a importância;
• as novas tecnologias são adotadas por modismo e não por
necessidade e vantagens técnicas.
Com a evolução e surgimento de novas tecnologias, o aumento da
concorrência, a necessidade de prazos de desenvolvimento cada vez mais
rápidos e curtos com menos falhas e clientes cada vez mais exigentes, os
www.esab.edu.br 158
pontos anteriormente apresentados transformaram-se em uma constante
nas organizações que desenvolvem sistemas computacionais fazendo
dessas organizações ambientes pouco organizados e com baixo controle
dos processos, e mais que isso, representando resultados muito negativos
nos projetos de desenvolvimento de software, afetando diretamente
a qualidade do produto final. Desenvolver software com a cultura
“sempre para ontem”, ou seja, em regime de emergência, além de criar
um ambiente estressante na organização, aumenta a possibilidade de
o sistema não atender às necessidades do usuário final, pois pouco
tempo será destinado para testes e validações do software. Assim
como definir o cronograma das atividades com pouco conhecimento,
sem fundamentações, amparado em “achismos”, tende a criar falsas
expectativas junto aos clientes que aguardam pelo produto na data
estimada, mas acabam ficando frustrados com tantas prorrogações;
muitas vezes, esse cronograma é mantido, mas etapas são descartadas,
principalmente de teste, validação e documentação, priorizando o prazo
acordado em detrimento das qualidades e etapas do processo. Para
resolver os problemas que tornaram as empresas de desenvolvimento de
software desorganizadas, em conflitos com clientes por não conseguirem
atender as suas expectativas e necessidades, necessidades previamente
estabelecidas na contratação do serviço, o modelo CMMI surgiu,
tendo como princípio que ter uma base de conhecimento dos prazos e
tecnologias utilizadas a partir dos projetos desenvolvidos anteriormente é
muito importante para definição de estimativas mais realistas.
Note que esse cenário de “sempre para ontem”, com cronogramas frágeis,
falta de conhecimento sobre as tecnologias a serem utilizadas, falta de
habilidade em renegociar prazos e cronogramas com os clientes, faz com
que as organizações precisem organizar e controlar seus processos de
desenvolvimento de software, mantendo a qualidade. Para atingir esse
objetivo, foi preciso desenvolver o modelo CMMI com uma cultura de
excelência em engenharia de software (processos e práticas de modelagem
e desenvolvimento de software).
Veremos a seguir as características das certificações disponibilizadas

pelo modelo de Governança em TI, o CMMI, que vem se tornando
um diferencial para as empresas de desenvolvimento de software como
forma de divulgar que possuem processos de desenvolvimento de
www.esab.edu.br 159
software formalizados, padronizados e com foco na qualidade. Além
disso, o modelo contribui para que as empresas possam fazer previsões
mais realistas de prazos, custos e quantidade de trabalho a ser realizado.
Ter uma certificação CMMI representa o nível de maturidade em
que a organização se encontra. Determinar esse nível de maturidade
só é possível a partir da medição e controle de todos os processos de
desenvolvimento de software, visando ao melhor desempenho, à redução
de retrabalho, à redução de problemas e maior satisfação do cliente. No
modelo CMMI, o Nível 5 representa o grau máximo de maturidade.
Lembre-se de que até 2013 menos de dez organizações no Brasil
possuíam essa certificação máxima.

As certificações CMMI têm foco nas organizações, nas quais é avaliado
o nível de maturidade do monitoramento e controle dos processos de
desenvolvimento de software (FERNANDES; ABREU, 2008). Os níveis
de maturidade são avaliados e classificados da seguinte forma:
• certificação CMMI nível de maturidade 1 – a organização está

em fase inicial, começando com o monitoramento e controle dos
processos de desenvolvimento de softwares, nos quais os resultados
dos processos são alcançados mais pela capacidade e experiência dos
colaboradores do que pela padronização e organização da empresa;
• certificação CMMI nível de maturidade 2 – a organização
já implanta o controle e monitoramento dos processos e
utiliza do gerenciamento de projetos como apoio ao controle e
monitoramento;
• certificação CMMI nível de maturidade 3 – a organização utiliza
processos bem definidos, atuantes em toda a organização. Os
processos são padronizados, controlados e monitorados;
• certificação CMMI nível de maturidade 4 – a organização, além de
padronizar e monitorar os processos, utiliza indicadores e estatísticas
para avaliar os principais processos; e
www.esab.edu.br 160
• certificação CMMI nível de maturidade 5 – a organização
desenvolve continuamente melhorias nos processos de
desenvolvimento de software, com monitoramento quantitativo e
qualitativo do desempenho dos processos.
Uma organização pode subir no nível de maturidade dos processos;
uma organização de nível 3, por exemplo, com a adoção de práticas e
estratégias estabelecidas pelo CMMI, pode mudar para o nível 4 ou 5,
sendo uma certificação gradual e contínua.
Normalmente, caso a organização já desenvolva softwares com alguns

processos definidos e organizados de forma clara e objetiva e seguidos
pelos colaboradores, esta será classificada com o nível CMMI de
maturidade 2. A partir de reuniões com os gestores e stakeholders da
organização, verifica-se se a organização possui processos de gestão de
projetos, constatando se os produtos são avaliados antes e depois de
entregues aos clientes, se são ajustados, documentados e realizados de
forma organizada: estes se tornaram indicadores de desempenho que, a
depender dos resultados, podem indicar que a organização está madura
para passar a um nível CMMI de maturidade superior.
Cada avaliação do nível de maturidade requer um investimento alto

por parte da organização, o que é realizado de forma gradual, para que
a empresa tenha tempo para se habilitar e se qualificar para a avaliação
do nível de maturidade, a qual é realizada por instituições auditoras
certificadas e autorizadas.
Nesta unidade, você pôde conhecer o histórico do modelo CMMI,

que originou-se a partir da necessidade elencada pelo Departamento
de Defesa dos Estados Unidos, e que está em constante evolução. O
principal objetivo desse modelo é fornecer, na forma de melhores
práticas, uma padronização dos processos e habilidades organizacionais,
atuando em todo ciclo de vida de produtos e serviços, a saber: nas fases
de concepção, desenvolvimento, aquisição, entrega e manutenção. O
modelo se destina às organizações que precisam controlar seus processos
de desenvolvimento de software, mantendo a qualidade e instituindo a
cultura de excelência em engenharia de software.
www.esab.edu.br 161
Na próxima unidade, vamos continuar estudando o CMMI e avaliando a
sua estrutura.
Fórum
Caro estudante, acesse o Ambiente Virtual de
Fórum de discussões. Lá você poderá interagir com
www.esab.edu.br 162
Integration (CMMI) – parte II
Objetivo
Apresentar o modelo de melhores práticas CMMI, seus controles, suas
medições, suas aplicações e certificações associadas.
Na unidade anterior, você conheceu o histórico do modelo CMMI

e seus objetivos, dos quais o principal é fornecer melhores práticas
que patrocinem uma evolução dos processos e das habilidades
organizacionais, atuando em todo ciclo de vida de produtos e
serviços, nas fases de concepção, desenvolvimento, aquisição, entrega
e manutenção. Esse modelo se destina às organizações que precisam
controlar seus processos de desenvolvimento de software.
Nesta unidade, vamos estudar a estrutura do CMMI, uma visão geral

dos controles do modelo e suas medições. Além disso, veremos outros
modelos de Governança em TI derivados do CMMI, na forma de
produtos complementares.

Iniciaremos nossos estudos desta unidade conhecendo a estrutura do

modelo CMMI.
20.1 Estrutura do modelo: visão geral

Cada organização possui seu próprio modo de executar e planejar seus
processos e, consequentemente, uma forma peculiar e particular de
gerenciar as mudanças nos seus processos organizacionais. Lucas Jr.
(2006, p. 2) destaca que “[...] a tecnologia da informação como um
www.esab.edu.br 163
todo pode ajudar uma empresa a se tornar mais competitiva através de
mudanças na estratégia e na direção. A tecnologia permite à organização
melhorar significativamente seu modelo de negócio e estrutura”.
Para atender a essas mudanças organizacionais e à sua estrutura, o

modelo CMMI se divide em duas abordagens distintas: abordagem por
estágio e abordagem contínua (FERNANDES; ABREU, 2008).
Vamos iniciar os estudos desta unidade pela abordagem por estágios. Em

seguida, você será apresentado à abordagem contínua. Acompanhe.
20.1.1 Abordagem por Estágios
A abordagem por estágios é fundamentada em cinco níveis de

maturidade: inicial, gerenciado, definido, gerenciado quantitativamente
e otimizado. Cada nível de maturidade se organiza por meio de
práticas específicas e genéricas para que as melhorias organizacionais
sejam implantadas em cada área de processo. À medida que as práticas
específicas e genéricas são atendidas, a organização vai melhorando
seu nível de maturidade. Cada área de processo é composta por metas
específicas e genéricas, e essas metas, por sua vez, também são compostas
por práticas específicas e genéricas.
Portanto, o desenvolvimento de software deve se fundamentar em

processos definidos e formatados. Assim, quanto maior a padronização e
divulgação dos processos, mais eficientes e positivos serão os resultados
alcançados com a execução do produto.
Para poder avaliar se os resultados foram alcançados e qual é a

complexidade dos problemas, é preciso, basicamente, saber quais
são os objetivos do software e quais são seus requisitos. Para tanto,
é necessário que se escute e avalie as reclamações dos usuários, seus
descontentamentos. Para essa avaliação, é necessário usar indicadores
quantitativos e qualitativos dos processos executados, por isso, a
organização deve desenvolver ambientes de testes com gerenciamento
e organização. Fornecer software com qualidade deve ser uma regra
para os envolvidos com os processos, nunca uma exceção ou objetivo
www.esab.edu.br 164
secundário. À medida que os processos são executados, eles devem ser
ajustados e melhorados, por isso devem ser flexíveis, de forma a serem
constantemente otimizados.
A Figura 15 apresenta a estrutura do modelo CMMI:
Modelo CMMI
Abordagens
Níveis
Áreas de processo
Metas Metas
específicas genéricas Processos
requeridos
esperados e
Práticas Práticas informativos
específicas e específicas e
Práticas Práticas
genéricas genéricas
Figura 15 – Estrutura do modelo CMMI.

Observe que o modelo CMMI é composto por abordagens que são

formadas por níveis, e cada nível atua sobre as áreas de processos. Cada
área de processo é constituída por metas genéricas e específicas, que
também se constituem por práticas específicas e genéricas.
Fernandes e Abreu (2008, p. 205) conceituam áreas de processo “[...]

como o conjunto de práticas inter-relacionadas que, quando executadas
coletivamente, satisfazem um conjunto de metas consideradas importantes
para realizar melhorias significativas em uma determinada área”.
www.esab.edu.br 165
Segundo Fernandes e Abreu (2008, p. 205), as metas genéricas
correspondem às “[...] metas comuns, compartilhadas por múltiplas
áreas de processo, que, quando atingidas dentro de uma área de processo
específica, podem indicar se está sendo planejada e implementada de
forma efetiva, replicável e controlada”. Por exemplo, todos os processos
devem utilizar uma ferramenta de TI, um software, para registro das
tarefas realizadas, observando dados do executor, tempo de execução da
atividade e percentual de realização da etapa. Isso permite monitorar e
avaliar se os prazos estipulados no cronograma do projeto estão sendo
atendidos. Caso os cronogramas não estejam sendo respeitados, permite
avaliar quais as providências a serem tomadas para que o cronograma
seja atendido. O que se deseja com uso da ferramenta é atender à meta
genérica de desenvolvimento e entrega dos produtos de acordo com o
prazo acordado com o cliente.
As práticas específicas são as descrições de quais atividades são

consideradas importantes para que as metas específicas sejam atendidas
de acordo com os objetivos do projeto (FERNANDES; ABREU,
2008). Por exemplo, a descrição dos testes a serem realizados durante
o desenvolvimento de um software é um exemplo de prática específica
que visa atender à meta específica de redução de horas de retrabalho e
maior aceitação por parte dos clientes: a quantidade de testes, como serão
realizados e quais ferramentas e técnicas serão utilizadas.
As metas específicas, de acordo com Fernandes e Abreu (2008, p.

205), “[...] estão relacionadas a uma determinada área de processo,
que descrevem o que deve ser realizado para assegurar que esta esteja
efetivamente implementada”. Por exemplo, a redução do número de
linhas recodificadas, reescritas, devido a erros no sistema por falta de
testes e validação, diminuindo o retrabalho e manutenções corretivas em
80%.
As práticas genéricas, segundo Fernandes e Abreu (2008, p. 205),

“[...] são as descrições das atividades consideradas importantes para
o atingimento das suas respectivas metas genéricas e que garantem
a institucionalização efetiva, repetível e controlada das áreas de
processo”. Por exemplo, a realização de controle de versão dos sistemas
desenvolvidos na organização.
www.esab.edu.br 166
Segundo Fernandes e Abreu (2008), cada processo no modelo CMMI
pode ser classificado da seguinte forma:
• requeridos: correspondem aos processos absolutamente necessários

para implementação de uma área de processo, por exemplo, metas
específicas e metas genéricas;
• esperados: correspondem aos processos típicos de uma área
de processo, são flexíveis e aceitam alternativas que produzam
resultados satisfatórios, por exemplo, a atualização das ferramentas
de desenvolvimento do sistema na medida em que novas versões são
distribuídas gratuitamente pelo fabricante;
• informativo: auxiliam no entendimento detalhado das metas e
práticas e das formas como podem ser implementadas. Um exemplo
desse processo é o desenvolvimento de normas, referências, manuais
e guias.
Note que essa classificação dos processos visa a padronizar os processos
quando requeridos, otimizar e melhorar os processos quando esperados
e compartilhar os resultados e atividades executadas, quando este for
informativo. Por exemplo, o teste e validação das funcionalidades do
sistema é um processo requerido; a entrega de produtos dentro do prazo
e custos especificados é um processo esperado; e a informação da situação
de cada atividade, de o quanto foi realizado, é um processo informativo.
Todos são importantes no processo de desenvolvimento de um software,
formatando, melhorando e monitorando esse processo.
Dando sequência aos nossos estudos, conheceremos a Abordagem

Contínua.
20.1.2 Abordagem contínua
Segundo Fernandes e Abreu (2008, p. 213), “[...] a opção pela

abordagem contínua não exclui a possibilidade da abordagem por
estágios”. A abordagem contínua possibilita que cada uma das áreas
dos processos seja implementada de forma independente e evolutiva,
agrupando suas práticas genéricas e específicas em seis níveis de
capacitação: nível incompleto, nível executado, nível gerenciado, nível
definido, nível gerenciado quantitativamente e nível otimizado.
www.esab.edu.br 167
Por meio das atividades padronizadas e obrigatórias, cada nível de
capacitação possui metas especificadas e desejadas que possibilitam aferir,
por meio dos resultados alcançados, uma relação do que foi especificado
e do que foi realizado e qual é o grau de maturidade da organização nos
processos de desenvolvimento de software.
A abordagem por estágio se desenvolve de forma que cada nível de

maturidade abarque áreas do processo que precisam ser contempladas,
tendo como base o gerenciamento de projetos, visando o controle de
qualidade, prazo e custos.
Já na abordagem contínua, cada processo implantado é executado um a

um, exigindo maior tempo para que se alcance a maturidade desejada, na
forma de níveis de capacitação.
A seguir, estudaremos os benefícios que uma organização pode ter com a

implantação do CMMI.

De acordo com o SEI (Software Engineering Institute) e fundamentados
nos estudos com organizações de grande porte que já utilizam o modelo
CMMI, os resultados esperados são listados a seguir. Acompanhe:
• custo: redução dos custos de desenvolvimento de softwares e custos

de unidades de software, redução de defeitos e custo com retrabalho;
• prazo: melhoria na entrega de projetos dentro do prazo com redução
drástica nos dias de atraso;
• produtividade: aumento da produtividade, com maior número
de linhas codificadas por pessoa, maior quantidade de liberação
de softwares com melhorias, maior atendimento aos requisitos
especificados;
• qualidade: aumento na qualidade dos produtos e serviços
entregues, diminuição do número de defeitos nos softwares em
relação aos requisitos especificados, maior satisfação dos clientes e,
consequentemente, maior retorno do investimento.
www.esab.edu.br 168
De forma geral, o modelo CMMI possibilita a redução do grau de
incertezas nos projetos, aumento na previsibilidade dos projetos, melhor
controle dos acordos com fornecedores e a melhoria nos processos de
acompanhamento e gerenciamento dos projetos. Outro importante
benefício é o maior envolvimento da organização e das equipes, com
a melhoria nos processos de comunicação interna e externa. Isso tudo
remete a um gerenciamento de projetos mais eficiente e preparado para
as mudanças, tanto em aspectos tecnológicos quanto de inovação.

Um importante produto que complementa o CMMI, especialmente no
Brasil, é o MPS.BR (Melhoria de Processos do Software Brasileiro). Esse
produto é um modelo de maturidade no que diz respeito à qualidade
de processo voltado para a realidade do mercado brasileiro. O modelo,
assim como o CMMI, se fundamenta em conceitos de gerenciamento de
processos e de melhoria da qualidade ao desenvolvimento e manutenção
de softwares.
O modelo MPS.BR surgiu em 2003, foi desenvolvido pela Softex

(Associação para Promoção da Excelência do Software Brasileiro) e sua
estrutura divide-se em:
• modelo de referência: níveis de maturidade voltados para empresas

de desenvolvimento de software ou serviços de TI;
• método de avaliação: conjunto de atividades que são executadas para
avaliação do nível de maturidade da organização a ser certificada; e
• modelo de negócio: define como o programa de certificação
será realizado e idealizado pela organização a ser certificada, em
sintonia com o planejamento estratégico e objetivos de negócio da
organização.
Essa divisão possibilita a avaliação do nível de maturidade da
organização em sete níveis:
www.esab.edu.br 169
• otimização (A): capacidade da organização de lidar com a
necessidade de inovação. Avalia se a organização está ou não
preparada para o surgimento de novas tecnologias que podem afetar
diretamente o desempenho de seus produtos e serviços, por exemplo,
os sistemas a serem executados e acessados por dispositivos móveis,
ou seja, smartphones, celulares e tablets. É como se a organização se
perguntasse: estou preparada para novas tecnologias?;
• gerenciado quantitativamente (B): definição e avaliação dos
indicadores de desempenho dos processos. Os produtos são
desenvolvidos com estabelecimento de prazos, cronogramas,
definição de atividades e responsáveis pela execução de cada
atividade. Todo produto deve ser gerenciado como um projeto, com
data de início e término de suas atividades, orçamento e pessoas
envolvidas, com responsabilidades claramente definidas para cada
integrante da equipe responsável pelo projeto. A empresa deve se
perguntar: sei o que faço? Em quanto tempo faço? Com quanto
recurso financeiro?
• definido (C): definição e avaliação dos riscos a que cada processo do
ciclo de vida de desenvolvimento de software pode estar sujeito. Por
exemplo, criar mecanismos de documentação e avaliação dos riscos
de cada processo, com indicadores que demonstrem claramente se
a situação atual de andamento do processo poderá ou não afetar
os prazos e a qualidade do produto em desenvolvimento. Saiba
que é importante também ter uma gerência e documentação das
decisões que foram estabelecidas para resolução dos processos que
representavam riscos. É como se a empresa se perguntasse: esse é um
risco que pode se transformar em oportunidade?;
• largamente definido (D): atende pelas atividades de validação,
instalação, liberação, manutenção e entrega do produto ou serviço.
Nesse nível, avaliamos se a organização possui roteiros para testes
e validação dos produtos desenvolvidos, como e quando estes
testes são realizados e como são documentados. A empresa deve se
perguntar: o que eu prometi entregar e o que estou entregando? São
a mesma coisa?;
www.esab.edu.br 170
• parcialmente definido (E): atividades de treinamento e melhoria
contínua dos processos. Esse nível avalia como os recursos humanos
da organização, os colaboradores, são treinados e qualificados, qual
é o grau de envolvimento das pessoas com os processos, o domínio
e conhecimento sobre o que está sendo realizado e a capacidade da
equipe em gerenciar prazos, custos e atividades. O que se deseja,
de certa forma, com esse nível é avaliar se os colaboradores se
perguntam constantemente: sei o que faço e por que faço?;
• gerenciado (F): foco nos processos que garantem a qualidade dos
processos. Nesse nível é avaliado como os processos de qualidade são
estabelecidos, monitorados e documentados. Como as aquisições de
serviços e produtos junto aos fornecedores são avaliadas, medidas
e controladas, de forma a garantir a qualidade do produto final.
Mesmo a qualidade sendo subjetiva, é importante que a empresa se
pergunte: o que posso fazer para melhorar?;
• parcialmente gerenciado (G): definição dos objetivos e requisitos
do software. Nesse nível avalia-se como os requisitos do sistema
são levantados, documentados e controlados, de forma que todo o
processo de desenvolvimento do software seja realizado para atender
às necessidades e expectativas dos usuários e clientes. Nesse nível, o
fundamental é focar-se na pergunta: o que o usuário deseja que o
sistema faça? Devemos, entretanto, evitar a pergunta: o que eu acho
que o sistema deve fazer?
O modelo foi desenvolvido com a finalidade de possibilitar que empresas
brasileiras implantem o CMMI com custos mais baixos e de acordo com
a realidade brasileira.
Estudo complementar
Você pode aprofundar seus conhecimentos sobre
o MPS.BR acessando o site da Softex. No site, você
encontrará a estrutura do modelo MPS.BR, além
das abordagens para software e serviços, com
documentos na forma de guias que apresentam
detalhadamente o modelo e suas propostas.
www.esab.edu.br 171
Outro importante modelo derivado do CMMI é o PMMM (Project
Management Maturity Model) que contempla os níveis de maturidade
do CMMI com as normas e procedimentos do PMBOK. Esse modelo
avalia o nível de maturidade dos projetos em quatro níveis:
• linguagem comum: valorização da gestão de projetos com uso de

uma terminologia simples e padronizada;
• processos comuns: estabelecimento de processos comuns e com
resultados positivos, que devem ser repetidos na organização;
• metodologia customizada: utilização de várias práticas e normas de
gestão de projetos;
• benchmarking e melhoria continuada: avaliação e melhoria dos
processos.
Por fim, outro modelo complementar é o OPM3 (Organizational
Project Management Maturity Model). Esse modelo propõe as melhores
práticas para avaliar e desenvolver capacidades organizacionais de Gestão
de Portfólio, Programas e Projetos, visando definir quais produtos e
serviços disponibilizados pela organização são prioritários de acordo
com os seus objetivos estratégicos. Por exemplo, se a organização deseja
vender os produtos por meio de lojas virtuais, é essencial que os sistemas
de controle de estoque, financeiro, pagamentos e logística estejam
integrados e sejam confiáveis e seguros. Todos são importantes para que
as vendas ocorram de forma organizada e planejada.
Nesta unidade, você estudou a estrutura do modelo CMMI, dividida em

duas abordagens: de estágio ou contínua. Ambas desenvolvem a avaliação
de maturidade dos processos em níveis, o que traz como benefícios a
diminuição de custos de produção de software, melhor produtividade e
maior obediência aos prazos, resultando em melhor qualidade e maior
aceitação por parte dos clientes. Você pôde verificar que no Brasil
o modelo CMMI foi transformado em um modelo complementar
chamado MPS.BR (Melhoria de Processos do Software Brasileiro) que
contempla o modelo CMMI adaptado à realidade brasileira.
www.esab.edu.br 172
Você pode ainda conhecer sobre o modelo OPM3, voltado para avaliação
e desenvolvimento da Gestão de Portfólio, Programas e Projetos, visando
definir quais produtos e serviços são prioritários para organização de
acordo com os seus objetivos estratégicos. Por fim, foi apresentado o
modelo PMMM, que contempla os níveis de maturidade do CMMI com
as normas e procedimentos de gestão de projetos do PMBOK, em cinco
níveis de maturidade: linguagem, processos, metodologia, benchmarking
e melhoria continuada.
Na próxima unidade, vamos conhecer como esse modelo é

implementado, as características dos níveis de maturidade e o papel de
cada abordagem do modelo nas organizações.
www.esab.edu.br 173
Integration (CMMI) – parte III
Objetivo
Apresentar o modelo de melhores práticas CMMI e os níveis de
maturidade.
Na unidade anterior, você estudou a estrutura do modelo CMMI e

as duas abordagens, por estágios ou contínua, percebendo que ambas
desenvolvem a avaliação de maturidade e capacitação dos processos em
níveis, o que traz como benefícios: a diminuição de custos de produção
de software, melhor produtividade e maior obediência aos prazos,
resultando em melhor qualidade e maior aceitação por parte dos clientes.
Você pôde verificar que no Brasil o modelo CMMI foi transformado em
um modelo complementar chamado MPS.BR (Melhoria de Processos
do Software Brasileiro) o qual contempla o modelo CMMI voltado à
realidade brasileira.
Nesta unidade, vamos estudar com maior propriedade como o modelo é

implementado, as características dos níveis de maturidade e capacitação,
além do papel de cada abordagem do modelo nas organizações.

Iniciaremos nossos estudos com a implementação do modelo CMMI.

Acompanhe.
21.1 Implementação do modelo CMMI

Segundo Fernandes e Abreu (2008), é possível adotar as duas abordagens
do modelo CMMI, ou seja, a utilização de uma abordagem não
exclui a possibilidade de implementação de outra. Entretanto, para
www.esab.edu.br 174
implementação das duas abordagens será necessário que a organização
estabeleça perfis-alvo, atingindo, por meio da estratégia de equivalent
staging, os próprios níveis de maturidade. A estratégia equivalent staging
se baseia em uma relação de equivalência na qual são estabelecidos
os níveis de capacitação que cada área de processo deve atingir na
abordagem contínua, para que um determinado nível de maturidade seja
atingido pela organização. Ou seja, o estágio equivalente é um estágio-
alvo, desenvolvido na abordagem contínua, de forma que os resultados
desse estágio possam ser avaliados e comparados com os resultados
especificados para os níveis da abordagem por estágios.
Por exemplo, para que uma organização atinja nível de maturidade 4, na

abordagem por estágios, pode ser definido que todas as áreas de processos
relativas aos níveis 2, 3 e 4 dessa abordagem estejam pelo menos no nível
de capacitação 3 na abordagem contínua. Acompanhe na Figura 16:
Nível de Maturidade - Organização
Nível 2 Nível 3 Nível 4

Áreas de Áreas de Áreas de
processo processo processo 4
em Nível 3 em Nível 3 em Nível 3
(Abordagem (Abordagem (Abordagem
Contínua) Contínua) Contínua)
Figura 16 – Nível de maturidade com equivalent staging.

Observe que para a organização ser classificada como nível 4 na

abordagem por estágio, foi estabelecido um equivalent staging, no qual
cada área de processo dos níveis 2, 3 e 4, também da abordagem por
estágio, deve atingir o nível de capacitação 3 na abordagem contínua.
Ou seja, três níveis (2, 3 e 4) da abordagem por estágio classificados,
tendo, cada um deles, nível de capacitação 3 (estágio-alvo) na abordagem
contínua representa um nível 4 da organização na abordagem por estágios.
www.esab.edu.br 175
As áreas de processo são agrupadas em quatro categorias que visam a
auxiliar na implementação do modelo CMMI. São elas:
• gestão do processo: agrupa as áreas de processos do âmbito

organizacional, planejando, implementando e executando melhorias
contínuas nos processos organizacionais, como, por exemplo, a
padronização dos processos, com documentação e descrição de cada
um deles e a formalização dos processos;
• gestão de projetos: envolve as áreas de processo que tratam aspectos
de planejamento, monitoramento e controle dos projetos, como a
definição das atividades, com estimativas de prazos e custos, bem
como o acompanhamento e comunicação do andamento de cada
processo;
• engenharia: agrupa as áreas de processo relacionadas ao ciclo de
vida dos produtos, por exemplo, a definição de requisitos junto aos
clientes, a validação dos requisitos, a avaliação das inconsistências e a
proposta de soluções alternativas;
• suporte: qualifica os processos cujas atividades são distribuídas ao
longo de um projeto, por exemplo, identificar causas de defeitos,
incidentes ou problemas nos produtos e definir ações corretivas.
De acordo com Albertin e Albertin (2010, p. 57), essas categorias
representam “[...] princípios e práticas que compõem a maturidade dos
processos de software, fornecendo diretrizes para melhorar o processo de
desenvolvimento de software”.
Para a implementação do CMMI é necessário que a avaliação e

agrupamento das áreas de processo ocorram de acordo com as categorias:
gestão de processos, gestão de projetos, engenharia e suporte, a partir
dos objetivos de cada área e de suas metas específicas e genéricas, para
que, por meio de uma abordagem por estágio ou contínua, seja possível
classificar a organização de acordo com os níveis de capacitação. A seguir,
estudaremos esses níveis de maturidade e capacitação.
www.esab.edu.br 176
21.2 Níveis de maturidade e capacitação
A abordagem por estágios é fundamentada em cinco níveis de
maturidade que representam as práticas específicas e genéricas para que
as melhorias organizacionais sejam implantadas nas áreas de processos.
Segundo Fernandes e Abreu (2008), à medida que essas áreas de processo
são atendidas pela organização, esta é classificada por níveis.
• Nível Gerenciado (2): as áreas de Gestão de Requisitos,

Planejamento de Projeto, Controle e Monitoramento de Projeto,
Gestão de Acordo com Fornecedor, Mediação e Análise, Garantia
da Qualidade do Processo e do Produto e Gestão da Configuração
precisam ser atendidas. Esse nível tem como foco a gestão de
projetos, planejamento, controle e gerenciamento de projetos e de
seus requisitos. É aferido se a organização possui gestão de projetos,
como: definição de prazos, custos, atividades e recursos humanos
para os sistemas desenvolvidos, como os fornecedores de produtos e
serviços são avaliados e selecionados, e se os requisitos dos softwares
são documentados, monitorados e controlados em todo o ciclo de
vida de desenvolvimento do software. Saber o que fazer, em quanto
tempo e com qual recurso disponível são as bases da avaliação do
nível gerenciado.
• Nível Definido (3): as áreas de Desenvolvimento de Requisitos,
Solução Técnica, Integração do Produto, Verificação, Validação, Foco
no Processo Organizacional, Definição do Processo Organizacional,
Treinamento Organizacional, Gestão Integrada do Projeto, Gestão
de Riscos e Análise de Decisões e Resolução precisam ser atendidas.
O foco desse nível é avaliar a capacidade de gerenciamento dos
produtos, desde a concepção, análise e desempenho, testes e
implantação, até a validação e verificação. Ou seja, a organização
possui claramente a preocupação de testar, validar e certificar-se
de que seus produtos atendem às necessidades e expectativas dos
usuários e clientes antes de entregá-los. Havendo a necessidade de
ajustes e melhorias, a organização se prontifica em fazê-los em tempo
hábil e com qualidade.
www.esab.edu.br 177
• Nível Gerenciado Quantitativamente (4): as áreas de Desempenho
do Processo Organizacional e Gestão Quantitativa do Projeto
precisam ser atendidas. Esse nível avalia a capacidade organizacional
fundamentada em medições e indicadores. Ou seja, a organização
possui controle e monitoramento dos processos, com definição
de indicadores (tempo das atividades, datas de entregas, recursos
utilizados, avaliação de fornecedores) que possibilitam a avaliação
de riscos, a previsão de problemas, conflitos e alarme das atividades
que estejam fora dos níveis de aceitação. Avalia-se, também, se
a organização possui procedimentos e estratégias que possam
solucionar os possíveis riscos.
• Nível Otimizado (5): as áreas de Inovação e Disseminação
Organizacional e Análise e Resolução de Causas precisam ser
atendidas. Nesse nível, avalia-se a capacidade da organização de se
adaptar rapidamente às mudanças dos processos ou às modificações
tecnológicas. Ou seja, como mudanças ou eventos tecnológicos
podem afetar a organização e seus produtos, como o ataque de
criminosos virtuais que procuram identificar alguma falha de
segurança nos sistemas desenvolvidos e passam a acessar e divulgar
dados sigilosos desses sistemas. A empresa está preparada para se
defender desses tipos de ataques?
www.esab.edu.br 178
A Figura 17 apresenta esses níveis de maturidade, observe:
Processo continuamente
5 - Otimizado
melhorado
Processo previsível
4 - Gerenciado
e controlado
3 - Definido Processo padronizado
2 - Repetível Processo disciplinado
Processo sem controle

1 - Inicial
e monitoramento
Figura 17 – Nível de Maturidade – abordagem por estágios.

Observe que os níveis se complementam, os requisitos de cada nível são

mantidos nos níveis superiores, os quais acrescentam novos requisitos
para que a organização seja classificada. O maior nível CMMI é o
nível 5 (Otimizado), que representa níveis controlados e monitorados,
padronizados, disciplinados e em constante melhoria.
Caso a organização opte pela classificação CMMI por meio da

abordagem contínua, essa abordagem possibilitará que cada uma de
suas áreas de processos seja implementada de forma independente e
evolutiva, agrupando suas práticas genéricas e específicas em seis níveis
de capacitação. Segundo Fernandes e Abreu (2008), os níveis de
capacitação são:
• nível incompleto (0): o processo não é executado ou é executado

parcialmente. A organização não possui, formalmente, a definição
dos processos que devem ser executados (análise de requisitos,
www.esab.edu.br 179
desenvolvimento, testes e manutenção dos sistemas implementados)
ou se a possui, como se tratam de processos não formais, cada
colaborador os executa da forma que acredita ser a melhor, por isso
não são executados por completo ou padronizados;
• nível executado (1): o processo é executado por completo e
de acordo com os objetivos organizacionais. Os processos são
executados, porém, não há uma confrontação do que foi entregue
com o que foi planejado. Os requisitos são determinados, mas
não são utilizados como fundamentação para definir se o produto
atende ou não às expectativas do cliente e seus usuários, pois não há
formalização dos processos, cada colaborador os executa da forma
que achar adequado;
• nível gerenciado (2): os processos são planejados e executados de
acordo com as políticas organizacionais, utilizando pessoal habilitado
e recursos adequados para gerar saídas de forma controlada. Os
processos são executados e os resultados são confrontados com o
que foi planejado. Caso não atenda às necessidades do cliente, os
processos são reexecutados e melhorias são realizadas, no entanto,
não há uma padronização desses processos nem mesmo uma
definição de como e por quem devem ser realizados;
• nível definido (3): o processo é gerenciado e executado a partir
de um conjunto de processos padronizados da organização e em
constante evolução. Os processos são formalmente estabelecidos,
com procedimentos, regras e responsabilidades. Cada colaborador
sabe seu papel e responsabilidade no processo de desenvolvimento
do sistema;
• nível gerenciado quantitativamente (4): os processos são
definidos e controlados por meio de estatísticas e outros métodos
quantitativos, visando a atingir os objetivos de desempenho e
qualidade dos processos. Além de formais, os dados de cada
processo se transformam em indicadores para avaliação da situação
do processo de produção, com identificação de riscos e tomada de
decisão para que eles sejam solucionados;
• nível otimizado (5): o processo é quantitativamente gerenciado,
adaptado para contribuir com os objetivos de negócio e focado na
melhoria contínua por meio de melhorias incrementais, inovação
www.esab.edu.br 180
tecnológica e de processo. Os processos formais estão em constante
melhoria, sendo ajustados de forma que possam garantir os
objetivos estratégicos da organização. São mais flexíveis e procuram
acompanhar as tendências de mercado como o surgimento de novas
tecnologias, avaliando os pontos fortes e fracos da organização com
relação ao processo de desenvolvimento de sistemas.
A Figura 18 representa esses níveis de capacitação:
5 Otimizado
4 Gerenciado quantitativamente
3 Definido
2 Gerenciado
1 Realizado
0 Incompleto
Figura 18 – Níveis de capacidade – abordagem contínua.

Observe que os níveis se complementam, de modo que os requisitos

de cada nível são mantidos nos níveis superiores, e o maior nível de
capacidade CMMI é o Otimizado, que representa níveis definidos,
gerenciados e realizados com melhorias contínuas.
Veremos a seguir como a implementação do CMMI, por meio das

abordagens por estágio e contínua, pode contribuir para a melhoria dos
processos de desenvolvimento de software.
www.esab.edu.br 181
21.3 Avaliação das abordagens de implementação do
CMMI
A abordagem por estágios possui uma implementação na forma de passos
para que os processos de implementação de softwares sejam melhorados
constantemente, até que se atinja o nível de maturidade desejado em que
cada nível representa cada um desses passos. Essa abordagem por estágios
organiza as práticas genéricas de forma a garantir que o projeto possua os
recursos necessários para sua execução, controle e monitoramento. O que
se deseja com a implementação dessa abordagem por estágios é gerenciar
o desempenho do processo, garantir a compatibilidade dos produtos em
relação aos requisitos especificados e principalmente o envolvimento dos
colaboradores com os projetos, a descrição e a padronização dos processos.
A implementação por estágios atua em um conjunto de áreas de processos,
por isso, é mais rigoroso e menos flexível ou ajustável. Portanto, a sua
implementação se dá por meio de grupos de área de processos, com
processos definidos claramente e padronizados e com a participação ativa
dos colaboradores, prevendo que o objetivo e requisitos definidos na etapa
de concepção do software sejam amplamente atendidos.
A implementação da abordagem contínua atua sobre uma área de

processo específica, avaliando as metas e objetivos de negócio da
organização, por isso é mais flexível, com foco na análise e controle de
riscos dos processos.
Nesta unidade, estudamos sobre como se dá a implementação do

modelo CMMI, que pode integrar abordagens por estágio e contínua.
Essas abordagens utilizam níveis de maturidade (por estágios) e níveis
de capacitação (contínua), sendo que a abordagem por estágios é menos
flexível, atuando em várias áreas de processo, e os níveis representam o
crescimento na maturidade da organização em relação aos processos de
desenvolvimento de software. Estudamos também que a implementação
da abordagem contínua é mais flexível, atuando em uma área de processo
específica, com foco na análise e controle de riscos dos processos,
avaliando as metas e objetivos de negócio da organização.
Na próxima unidade iniciaremos nossos estudos sobre o modelo ITIL,

um modelo com foco na infraestrutura de TI. Acompanhe.
www.esab.edu.br 182
Information Technology
22 Infrastructure Library (ITIL) –
parte I
Objetivo
Introduzir o modelo de melhores práticas ITIL, seu histórico, seus
Na unidade anterior, você estudou como se dá a implementação do

modelo CMMI, que pode ocorrer por meio das abordagens por estágio
e/ou contínua, as quais utilizam níveis de maturidade e níveis de
capacitação.
Nesta unidade, vamos estudar um novo modelo de Governança de TI, o

Information Technology Infrastructure Library (ITIL). Abordaremos seu
histórico, objetivos e contexto para aplicação do modelo.
O material desta unidade foi desenvolvido fundamentando-se em

Iniciaremos nossos estudos apresentando o histórico e os objetivos do

modelo ITIL.

Segundo Fernandes e Abreu (2008, p. 272), o ITIL
[...] é um agrupamento das melhores práticas utilizadas para o gerenciamento

de serviços de tecnologia de informação de alta qualidade, obtidas em consenso
após décadas de observação prática, pesquisa e trabalho de profissionais de TI e
processamento de dados em todo mundo.
www.esab.edu.br 183
O modelo Information Technology Infrastructure Library, ITIL, foi
desenvolvido pela Central Computer and Telecommunications Agency
(CCTA), no final dos anos 1980, a pedido do governo britânico, que
solicitou o desenvolvimento de uma abordagem de melhores práticas
para gerenciar a utilização eficiente e responsável dos recursos de TI,
como forma de melhorar a qualidade dos serviços de TI que eram
prestados a esse governo.
Em 2000, foi lançada a versão 2 do modelo. Essa nova versão era, na

verdade, um compilado dos vários processos descritos na versão anterior,
com foco na infraestrutura de TI. Essa segunda versão foi responsável
pela popularização do modelo ITIL (FERNANDES; ABREU, 2008).
Em maio de 2007, foi lançada a terceira versão do ITIL, organizando

os processos de gerenciamento de serviços em uma estrutura de ciclo
de vida de serviço, com a integração dos conceitos de TI ao negócio, a
utilização de portfólios de serviços e mensuração do valor do negócio.
Como resultado, o modelo se transformou em um guia de orientações,
na forma de uma biblioteca com as melhores práticas para prestação e
gestão de serviços de TI. O tempo médio de vida de uma versão do ITIL
é de sete anos, portanto, em 2014 deve ser lançada a versão 4 do ITIL.
(FERNANDES; ABREU, 2008).
O modelo evoluiu bastante desde a sua criação, começando com foco na

gestão de serviços. Atualmente, demonstra como os negócios e serviços
de TI podem representar valor para a organização. O modelo procura
mudar a visão da organização com relação à importância dos serviços e
à infraestrutura de TI, possibilitando, por exemplo, que a organização
tenha pleno conhecimento de qual é o seu parque tecnológico, quantos
computadores, periféricos e softwares existem na organização e sua
importância para que as atividades sejam executadas de forma ágil
e segura. Essas ações reduzirão as falhas operacionais com sistemas
ultrapassados ou sobressalentes, e reduzirão o tempo de reparo com
equipamentos e atualização de sistemas, pois possibilitarão diagnósticos
mais rápidos e completos da situação da organização no que se refere
aos recursos de TI e, consequentemente, maior otimização dos recursos
financeiros investidos em TI.
www.esab.edu.br 184
O objetivo do modelo é bem abrangente e, de acordo com Fernandes e
Abreu (2008, p. 273), consiste em
[...] prover um conjunto de práticas de gerenciamento de serviços de TI testadas

e comprovadas no mercado, que podem servir como balizadoras, tanto para
organizações que já possuem operações de TI em andamento e pretendem
empreender melhorias, quanto para criação de novas operações.
O que se deseja com esse modelo é que as organizações que possuem

ou não o gerenciamento dos serviços de TI possam adotá-lo como
ferramenta para melhoria na qualidade dos serviços, fazendo uso eficaz
dos ativos de TI, como os sistemas e a infraestrutura, sempre alinhando
os serviços com o planejamento estratégico da organização.
Na prática, a adoção do modelo ITIL determina algumas

responsabilidades à TI, a fim de que os objetivos determinados com a
implantação do modelo sejam alcançados. A seguir, veremos algumas
dessas responsabilidades. Acompanhe:
• integração dos serviços de TI com os requisitos de negócios da

organização – a TI deve planejar e prover serviços que atendam às
necessidades e expectativas da organização;
• implementação de serviços com melhor qualidade e confiabilidade –
a TI deve padronizar, avaliar e monitorar os serviços de TI de forma
a atender às necessidades de negócio;
• redução dos custos com os serviços de TI – a TI deve desenvolver,
monitorar e controlar os processos para que se tornem mais rápidos,
eficazes e eficientes.
Observe que algumas palavras são fundamentais para que os objetivos
sejam alcançados, como: planejar as necessidades e expectativas,
padronizar, controlar e monitorar os serviços.
Agora que conhecemos o histórico e os objetivos do ITIL, vamos estudar

o contexto para sua aplicação. Acompanhe.
www.esab.edu.br 185
As práticas do ITIL podem ser aplicadas para serviços locais ou remotos e
que necessitem de uma abordagem de gestão que alinhe os serviços de TI
aos objetivos de negócio da organização. Nesse contexto, Lucas Jr. (2006,
p. 169) destaca que “[...] aplicações incompatíveis e equipamentos
desiguais representam a falta de planejamento e atenção com a TI”.
Na prática, podemos observar a utilização do ITIL em projetos de

infraestrutura, equipamentos, gerenciamento de redes de computadores,
suporte e manutenção e terceirização de serviços.
Observe que o uso do modelo se adapta a qualquer tipo de empresa,

independentemente do ramo de atividade. Alguns órgãos públicos
exigem que instituições que queiram participar do certame licitatório
tenham, no seu quadro, colaboradores certificados ITIL, principalmente
para projetos que envolvem Tecnologia da Informação.
Segundo Fernandes e Abreu (2008, p. 299), a versão 3 do ITIL
[...] trouxe ao modelo uma gama de possibilidades de aplicação nas organizações. Das
grandes corporações até as empresas de pequeno porte, das empresas com alto grau
de maturidade em seus processos até aquelas que ainda estão iniciando seus passos
na busca da qualidade de serviços.
Em geral, qualquer empresa pode adotar o modelo ITIL, porém, sua

implementação deve ser gradual, partindo de um escopo menor, na
forma de um piloto, provendo ajustes sucessivos até que a cultura
do modelo tenha se enraizado na organização, o que permitirá a sua
expansão.
Como a TI se tornou uma necessidade para a maioria das organizações,

fazendo parte do negócio, as empresas não podem tratá-la isoladamente,
correndo o risco de não alcançarem os objetivos estratégicos propostos.
Assim, a TI ganhou importância para o negócio, exigindo práticas de
padronização, otimização dos processos, redução de riscos e custos.
www.esab.edu.br 186
É importante que você saiba que o ITIL não precisa ser implementado
por completo na organização, ou seja, a empresa pode estabelecer escopos
para a implementação e quais são os níveis de maturidade desejados para
aquele momento.
Por exemplo, a organização pode começar por estruturar o setor de

atendimento ao cliente, uma reestruturação do setor de call center, o que
já permitiria a elaboração e padronização de processos de Gerenciamento
de Problemas.
Mas, para o sucesso do ITIL, é necessária uma mudança cultural

envolvendo todos os interessados, de forma que as estratégias
implementadas sejam seguidas à risca, sem exceções, com o
comprometimento de todos com a entrega de serviços compatíveis com
as necessidades de negócio da organização.
Portanto, o questionamento feito é: a empresa possui serviços de TI

local ou remoto? Se sim, então está apta para aplicação do modelo ITIL.
Note que, independentemente da forma pela qual o serviço de TI é
disponibilizado na organização, seja local, onde os equipamentos estão na
própria organização e utilizam a mesma estrutura física da organização;
ou remota, onde os computadores estão em outro local físico, em outra
instituição, a empresa deve possuir uma política de utilização desses
recursos. Por exemplo, uma empresa que deseja desenvolver um site para
divulgação de seus produtos e serviços, pode hospedá-lo (instalá-lo) em
um computador da própria organização, no mesmo espaço físico, ou
utilizar o serviço de hospedagem de outra empresa, cujo computador que
armazenará e disponibilizará o acesso ao site fica em outro local físico,
em outra empresa.
Acompanhe a seguir as certificações relacionadas com o ITIL que visam a

qualificar os colaboradores na gestão dos recursos de TI.
www.esab.edu.br 187
A certificação ITIL é individual, ou seja, o profissional se certifica em
ITIL, e não a organização. Atualmente, muitas empresas exigem a
certificação ITIL como requisito para contratação de funcionários e
fornecedores. As certificações ITIL são recomendadas para qualquer
profissional que atue na área de TI.
Segundo Fernandes e Abreu (2008), a certificação ocorre em três níveis.

Acompanhe:
• nível básico: mais generalista, destina-se a prover os profissionais de

bons fundamentos acerca dos conceitos-chave, da terminologia e dos
processos do ITIL. Esse tipo de certificação não exige a participação
em um curso oficial, nem mesmo a comprovação de experiência na
área. A certificação pode ser realizada em casa, por meio de ambiente
web, sendo a leitura do material relacionado o requisito necessário
para essa certificação;
• nível intermediário: possui um grau maior de especialização. Pode
ser atingido a partir de uma das duas correntes de conhecimento,
sejam elas: corrente do ciclo de vida ou corrente da capacitação.
Nessa certificação o candidato é obrigado a realizar um curso oficial
e exige do aluno um conhecimento mais aprofundado sobre os
serviços de TI;
• nível avançado: trabalha com a abordagem do ciclo de vida
dos processos focado no gerenciamento de serviços de TI. Essa
certificação se destina aos gestores de TI, com visão mais ampla dos
processos do ITIL. É necessária a realização do curso oficial, sendo
pré-requisito a certificação intermediária e se destina à formação de
consultores em ITIL.
Observe que a certificação básica não é exigida nas outras certificações,
intermediária e avançada. A certificação básica é voltada para os
profissionais com pouca experiência em serviços de TI, mas que precisam
se qualificar sobre o assunto para então partir para a certificação
intermediária e/ou avançada.
www.esab.edu.br 188
Nesta unidade, você estudou o histórico do modelo ITIL, que
atualmente está na versão 3. Estudou ainda que esse modelo tem
como objetivo proporcionar às organizações a capacidade de gerenciar
os serviços de TI com melhor qualidade, menor custo, e alinhado ao
planejamento estratégico da organização. O modelo pode ser adotado em
qualquer empresa que utilize dos serviços de Tecnologia da Informação,
podendo ser implementado gradualmente.
Por fim, vimos que existem três níveis de certificação ITIL, a básica,
que não necessita da participação em cursos oficiais e a prova pode ser
realizada em casa; a intermediária, que exige um conhecimento mais
aprofundado de serviços de TI; e a avançada, que tem seu foco na
formação de consultores.
Vamos continuar estudando esse modelo na próxima unidade, dando

ênfase à aplicabilidade e à estrutura do modelo. Vamos lá?
www.esab.edu.br 189
23 Infrastructure Library (ITIL) –
parte II
Objetivo
Destacar a aplicabilidade do modelo de melhores práticas ITIL, com
foco no indivíduo e na empresa.
Na unidade anterior, estudamos o histórico do modelo ITIL, que

atualmente está na versão 3. Estudamos também que o modelo ITIL tem
como objetivo proporcionar às organizações a capacidade de gerenciar
os serviços de TI com melhor qualidade, menor custo, e alinhado ao
planejamento estratégico da organização podendo ser adotado em
qualquer empresa que utiliza serviços de Tecnologia da Informação. Você
estudou ainda os três níveis de certificação ITIL: básico, intermediário e
avançado.
Nesta unidade, vamos estudar a importância das habilidades do

especialista em ITIL como precursor das boas práticas do modelo
ITIL na organização, bem como a influência da empresa e da estrutura
organizacional no sucesso do modelo.

Vamos conhecer o modelo e como sua estrutura é desenvolvida com foco

no indivíduo.
www.esab.edu.br 190
23.1 ITIL: foco individual
A certificação ITIL é individual, ou seja, a qualificação é do profissional
e não da organização, como acontece, por exemplo, no modelo CMMI.
Essa característica, sem dúvida, torna a certificação muito importante
para os colaboradores da organização.
As melhores práticas de gestão de serviços de TI serão implementadas

e compartilhadas na organização mediante o envolvimento de seus
colaboradores certificados, que devem ser atuantes e proativos, visando
aumentar o desempenho e qualidade do gerenciamento dos serviços de
TI.
Cada vez mais as empresas estão adotando o ITIL, o que significa que
cresce a necessidade por profissionais com essa qualificação. Um dos
principais desafios desses profissionais é o gerenciamento do processo de
mudança, convencendo a empresa a adotar as práticas desse modelo.
Nesse sentido, o profissional certificado ITIL deve ter a habilidade de

identificar quais práticas são necessárias para obter o resultado desejado
com a implantação e gerenciamento de processos. Cada empresa deve
ter um ambiente específico, singular e que requer um conjunto de
habilidades e atitudes especiais do profissional certificado para identificar
como o ITIL pode ser executado de forma a atender os objetivos de
negócio da organização.
Na sequência, estudaremos como o ITIL atua na organização.
23.2 ITIL: foco na empresa

O ITIL pode ser considerado uma fonte de boas práticas utilizado
pelas organizações para estabelecer e melhorar suas capacitações em
gerenciamento de serviços de TI. Albertin e Albertin (2010, p. 77)
afirmam que o modelo ITIL “[...] provê uma estrutura de melhores
práticas e diretrizes para o gerenciamento de serviços de TI para entregar
serviços de alta qualidade de TI”.
www.esab.edu.br 191
Segundo Fernandes e Abreu (2008), essas melhores práticas são
organizadas em dois componentes, conforme veremos a seguir:
• núcleo do ITIL − orientações de melhores práticas aplicáveis a

todos os tipos de organizações que fornecem serviços para um
negócio. Essas práticas visam à definição das estratégias do serviço,
modelagem do serviço, operações e melhorias contínuas do serviço;
• orientação complementar ao ITIL − conjunto de publicações
complementares, na forma de uma biblioteca dinâmica de
conteúdo, destinada a especializar a implementação e utilização
das práticas do núcleo para diferentes setores empresariais, tipos
de empresas, plataformas tecnológicas etc. Esse componente visa a
nortear as práticas do núcleo do ITIL para um ramo específico, por
exemplo, empresas que executam serviços de desenvolvimento de
software para outras empresas como se fossem fábricas de software.
Essas empresas desenvolvem e hospedam os softwares que serão
utilizados por outras empresas, de acordo com as suas necessidades e
especificações.
De acordo com Fernandes e Abreu (2008), o núcleo ITIL é composto
por cinco publicações que representam cada estágio do ciclo de vida do
serviço, contendo orientações para que a organização possa implementar
o modelo ITIL. Segundo Fernandes e Abreu (2008, p. 275), essas
publicações são: Estratégia de Serviço, Desenho de Serviço, Transição
de Serviço, Operação de Serviço e Melhoria de Serviço Continuada.
Veremos cada uma delas a seguir.
A Estratégia de Serviço orienta sobre como as políticas e processos

de gerenciamento de serviço podem ser modeladas, produzidas e
implementadas como ativos estratégicos ao logo do ciclo de vida
do serviço. Por exemplo, no ciclo de vida do serviço, a estratégia de
serviço deve definir: as demandas para o serviço, os recursos financeiros
necessários e destinados a ele e as prioridades do serviço junto ao
portfólio de serviços da organização. Em outras palavras, a estratégia de
serviço deve analisar:
• a necessidade do serviço;
• o seu custo;
www.esab.edu.br 192
• a quantidade de recursos financeiros disponíveis; e
• as demandas relacionadas.
Assim, podemos concluir que o objetivo da análise dos itens citados
anteriormente é responder aos seguintes questionamentos:
• quais serviços oferecer?

• para quem oferecer esses serviços?
• como se diferenciar dos competidores?
• como gerenciar os recursos financeiros dos serviços?
• como avaliar a qualidade?
• como alocar recursos para os serviços?
O Desenho de Serviço fornece a orientação para o desenho e
desenvolvimento dos serviços e para seus processos de gerenciamento.
Além disso, o desenho de serviço detalha aspectos do gerenciamento
do catálogo de serviços em diferentes níveis, por exemplo, do serviço
propriamente dito, da disponibilidade, da continuidade, da segurança da
informação e dos fornecedores. Nessa etapa, você, enquanto profissional
responsável, deve avaliar se o serviço faz parte do catálogo de serviços,
quais níveis de desempenho são desejados e esperados para o serviço e
quais são as necessidades de infraestrutura para sua continuidade, seja
local ou remota.
A Transição de Serviço orienta sobre como efetivar a transição de

serviços novos e modificados para operações implementadas, detalhando
os processos de planejamento e suporte à transição. Nessa etapa, é
preciso avaliar como as mudanças afetaram a organização e quais
configurações são necessárias. É preciso, ainda, efetuar a validação e testes
do serviço. Por exemplo, a organização planeja mudar a operadora de
telefonia, essa mudança requer uma avaliação criteriosa dos serviços, sua
disponibilidade e continuidade, quais são os riscos envolvidos, quanto
tempo de inatividade até que a troca se realize e, claro, os benefícios com
a troca. Somente após essa análise é feita a definição pela troca ou não.
A Operação do Serviço descreve a fase do ciclo de vida do

gerenciamento de serviços que é responsável pelas atividades do dia a
dia, orientando sobre como garantir a entrega e o suporte do serviço
de forma eficiente e eficaz. Nessa etapa, são definidas quais ações, em
www.esab.edu.br 193
caso de identificação de problemas e incidentes com os serviços de TI,
devem ser tomadas, e como serão gerenciadas as requisições de solicitação
de suporte e melhorias nos serviços. Por exemplo, os colaboradores
solicitam serviços de atualização e configuração de softwares instalados
em seus computadores, nesse caso, cabe ao setor de TI gerenciar essas
solicitações de suporte, definir quanto tempo para resolução e estabelecer
as prioridades aos atendimentos.
A Melhoria de Serviço Continuada orienta, por meio de princípios,

práticas e métodos de gerenciamento de qualidade, como fazer as
melhorias e garantir a continuidade dos serviços. Por exemplo, cabe à
organização criar políticas de treinamento dos colaboradores, bem como
desenvolver ferramentas para avaliar como as solicitações de suporte e
manutenção dos sistemas são resolvidas, em quanto tempo e quais são
as requisições mais solicitadas. A empresa pode detectar que há muitos
atendimentos relacionados a vírus no computador, o que pode resultar
em uma política de treinamento dos colaboradores como estratégia para
diminuição e erradicação do problema.
O ciclo de vida, composto por estratégia, desenho, transição, operação

e melhoria dos serviços pode ser aplicado em serviços prestados
localmente ou remotamente, por colaboradores ou terceirizados, com
foco na organização, de forma que se possa avaliar o valor agregado pelo
serviço, o seu retorno em relação aos investimentos e sua qualidade e
confiabilidade. Entretanto, a aplicação e as melhorias propostas pelo
ITIL necessitam de mudanças organizacionais, exigindo melhorias em
operações ou serviços que já estão em produção. Sabemos que mudar
o que já está em execução é sempre mais complexo do que planejar e
ajustar o que ainda será executado. Por isso, é preciso criar mecanismos
de gestão de mudanças organizacionais, desde a sua identificação até a
institucionalização, além de estratégias e planos de comunicação por toda
a organização.
As mudanças organizacionais para implantação do ITIL representam

a integração do foco individual (papel do profissional ITIL) e a
implantação do ciclo de vida de um serviço de TI (organizacional), como
veremos a seguir.
www.esab.edu.br 194
23.3 ITIL: integração dos dois focos
O profissional de ITIL tem à disposição um conjunto de práticas para o
gerenciamento de serviços de TI. É responsabilidade desse profissional
impulsionar a aplicação dessas práticas na organização, por isso, ele
deve ter uma posição de liderança na organização e contato direto com
os stakeholders e a alta administração da empresa, estabelecendo um
caminho curto e direto para que as tomadas de decisão sejam rápidas,
eficientes e eficazes.
Esse profissional deve ter a habilidade de negociar e dialogar, uma vez

que a comunicação é fundamental para o sucesso do ITIL. Além disso,
deve ter um amplo conhecimento do negócio da organização e seu
planejamento estratégico. Tendo esses conhecimentos, o profissional
certificado em ITIL entenderá os níveis de serviços desejados,
compreenderá as necessidades dos clientes e terá habilidade para
transformar requisitos em serviços.
Para tanto, seguindo o foco organizacional do ITIL, o profissional

ITIL deve ter a capacidade de gerenciar o ciclo de vida dos serviços
de TI, atuando em todas as etapas e definindo os serviços a partir das
estratégias que atendam às necessidades de negócio da organização. Esse
profissional, ainda segundo o foco organizacional do ITIL, deve avaliar
a transição e operação dos serviços, sempre norteados pelo portfólio de
serviços.
Dessa forma, a implantação do ITIL ocorre por conta da capacidade e

habilidades do profissional qualificado em implantar as boas práticas
do modelo em todo o ciclo de vida do serviço de TI. Partindo desse
pressuposto, as habilidades do profissional e a possibilidade de mudanças
organizacionais devem estar alinhadas, de forma a se complementarem.
O profissional deve desenvolver suas atividades visando ao atendimento
dos objetivos estratégicos da organização e, havendo mudanças nesse
planejamento, o profissional de TI deve ajustar suas ações, atividades e
metas de acordo com os novos objetivos estratégicos.
www.esab.edu.br 195
Nesta unidade, você pôde estudar a importância do profissional ITIL na
implementação desse modelo, uma vez que a execução das boas práticas
depende muito das suas habilidades de negociação e comunicação para
envolver a todos os interessados em melhorar a qualidade dos serviços.
Porém, a aplicação do modelo segue uma estrutura que tem a forma de
Ciclo de Vida, a qual possibilita o controle e monitoramento de todas
as etapas para a criação, manutenção e disponibilidade de um serviço na
organização.
Na próxima unidade, estudaremos como esse modelo pode atuar

integrado ao modelo COBIT. A atuação em conjunto desses modelos
possibilita a integração da gestão da tecnologia da informação com a
gestão de serviços de TI.
www.esab.edu.br 196
24 Infrastructure Library (ITIL) – parte
III
Objetivo
Apresentar as vantagens da integração do modelo COBIT com o
modelo ITIL.
Na unidade anterior, você estudou a importância do profissional para

a implementação do modelo ITIL, uma vez que não há certificação
ITIL para a organização, mas para o profissional (indivíduo), desta
forma, a implementação das melhores práticas do ITIL depende muito
da capacidade e habilidade do profissional certificado e à disposição
da organização. Estudou, ainda, que esse profissional tem o papel de
executar as boas práticas elencadas pelo modelo e que é necessário que ele
tenha habilidades de negociação e comunicação para envolver a todos os
interessados em melhorar a qualidade dos serviços. Por outro lado, você
viu também que a aplicação do modelo segue uma estrutura na forma
de Ciclo de Vida. Essa estrutura possibilita o controle e monitoramento
de todas as etapas para a criação, manutenção e disponibilidade de um
serviço na organização.
Nesta unidade, estudaremos sobre o modelo ITIL e a sua integração com

o modelo COBIT.

www.esab.edu.br 197
24.1 ITIL e COBIT com foco no serviço
Tanto o modelo ITIL quanto o modelo COBIT têm seu foco no serviço
de TI, por isso, vamos analisar detalhadamente como cada modelo atua
nesse contexto e quais são suas principais características.
Começaremos pelo modelo COBIT.
O COBIT fundamenta-se por meio da definição, do controle, da

medição e do monitoramento dos serviços, em uma visão mais ampla de
como os serviços de TI podem agregar valor à organização. No entanto, o
objetivo principal que justificou a criação do modelo foi a auditoria de
serviços de TI.
A atuação do COBIT em relação aos serviços de TI tem como

objetivo melhorar a capacidade de controle e medição da governança
organizacional nos processos de TI, avaliando os benefícios e riscos com
os serviços de TI e se eles estão atendendo às necessidades da organização.
Para tanto, a aplicação do COBIT visa a garantir que os objetivos da
TI estejam alinhados com os objetivos de negócio da organização,
possibilitando a avaliação de como e onde investir, diminuindo os riscos.
Nesse contexto, o COBIT se apresenta como um modelo de gestão da
área de TI, sem determinar como os processos precisam ser executados
nem mesmo padronizados. O modelo tem por objetivo especificar quais
controles são necessários para medir se os serviços de TI estão cumprindo
as expectativas e necessidades da organização e como a TI está ou não
agregando valor aos negócios da organização.
Para tal, o COBIT deve atuar em todas as áreas de negócio da

organização, desde a área de gestão até a equipe de TI. Segundo
Fernandes e Abreu (2008, p. 275), o COBIT é “[...] uma ferramenta
eficiente para auxiliar o gerenciamento e controle das iniciativas de
TI nas empresas”. O público-alvo do modelo COBIT são os gestores,
usuários dos serviços e auditores de TI, funcionando de forma vertical
dentro da organização.
www.esab.edu.br 198
Note que pelo o que estudamos até aqui sobre o modelo ITIL, cujo
objetivo é a disponibilidade dos serviços de TI, podemos considerar esse
modelo mais operacional se comparado ao modelo COBIT, pois o ITIL
fornece práticas para a gestão de serviços em TI com foco nas operações
do dia a dia e melhorias contínuas desses serviços. Esse modelo tem
como foco melhorar constantemente a eficiência dos serviços de TI, a
redução de custos e a qualidade no atendimento ao usuário de TI interno
ou externo.
Para tanto, esse modelo complementa a gestão de TI com a definição,

monitoramento, suporte e melhorias nos serviços de TI, essenciais ao
correto funcionamento da organização no seu dia a dia, de forma que
sejam garantidos os níveis de serviços acordados com os clientes internos
e externos (terceirizados). Por isso, o ITIL é focado na infraestrutura de
TI, apresentando a importância da disponibilidade dos serviços de TI
para a organização e trabalhando de forma horizontal dentro dela.
Para que a organização possa produzir serviços e produtos de acordo

com os objetivos estratégicos, é preciso que os recursos disponibilizados
suportem esses objetivos com softwares que atendam às necessidades
de pessoal treinado e habilitado, políticas de segurança da informação,
equipamentos adequados etc. Por exemplo, se a empresa deseja implantar
um sistema de apoio ao cliente (decisão em nível estratégico) com
atendimento por telefone, é necessário que os serviços de telefonia
contratados pela organização atendam aos níveis de desempenho
necessários, funcionamento sete dias por semana, com qualidade das
ligações, gravação dos atendimentos e sistemas de apoio à decisão (nível
tático e operacional). Caso contrário, a organização não alcançará os
objetivos econômicos e financeiros desejados devido à incompatibilidade
www.esab.edu.br 199
A Figura 19 apresenta a atuação dos dois modelos, COBIT e ITIL, na
organização:
Estratégico
COBIT
Tático
ITIL
Operacional
Figura 19 – Níveis organizacionais e atuação dos modelos.

Observe que o modelo COBIT atua nos três níveis organizacionais,

estratégico (presidentes, sócios e diretores – por que e como?), tático
(gerentes e coordenadores – onde e como?) e operacional (executor – o
quê?), isso é, verticalmente na organização. Já o ITIL atua no tático e
operacional, por isso, atua horizontalmente na organização.
A seguir, veremos como integrar esses dois modelos. Acompanhe.
24.2 ITIL melhoria continuada com a integração de

COBIT e ITIL
Como podemos observar, o COBIT e o ITIL atuam em diferentes níveis
organizacionais, assim como em diferentes áreas de uma organização:
enquanto o COBIT está mais voltado para a área de negócio, o ITIL está
voltado para a área operacional.
O COBIT deve ser implementado, visando à melhoria contínua, de

forma a avaliar quais são os riscos que a TI representa para o negócio
da empresa. Por exemplo, se a organização define, no seu planejamento
estratégico, desenvolver produtos que serão comercializados na internet
por meio de uma loja virtual, o COBIT desenvolverá:
www.esab.edu.br 200
• um diagnóstico da situação atual da organização;
• uma definição das as áreas envolvidas (marketing, logística, contábil
e financeira);
• como serão elaborados os contratos de prestação de serviço
(legislação e tributação);
• uma lista dos fornecedores que atendem os desempenhos desejados
(terceirização de serviços);
• uma lista dos recursos humanos e físicos necessários (equipes);
• um catálogo dos serviços essenciais (prioridades);
• a distribuição de responsabilidades (perfis e papéis); e
• o levantamento de fatores críticos para o sucesso do projeto (riscos).
O COBIT é um modelo indicado para mapear o cenário atual de TI da
organização, como ela se posiciona em relação aos concorrentes, quais
as metas a serem atingidas e se são atingíveis ou não. (FERNANDES;
ABREU, 2008).
Apesar de o COBIT apresentar a necessidade da estruturação do controle

dos processos, destacando quais controles devem ser executados, esse
modelo não determina quais ferramentas devem ser utilizadas. É nesse
contexto que o ITIL atua, formatando, padronizando e organizando os
processos de TI. O ITIL disponibiliza um conjunto de melhores práticas,
como: gerenciador de incidentes (problemas), execução e suporte
aos serviços e melhorias contínuas auxiliando as atividades gerenciais
definidas no COBIT. Por exemplo, no caso de implantação de uma loja
virtual, cabe ao ITIL avaliar:
• qual a infraestrutura necessária;

• se será local ou remoto;
• quais as tecnologias disponíveis;
• quais níveis de segurança da informação serão aplicados;
• a necessidade de criação de um setor de atendimento aos
chamados dos colaboradores para configuração e manutenção de
equipamentos, principalmente do setor de atendimento ao cliente.
Como você pode perceber, o ITIL será responsável por decisões mais
técnicas do que gerenciais.
www.esab.edu.br 201
A Figura 20 apresenta os níveis organizacionais e a atuação do COBIT
com ITIL:
Estratégico
Tático
COBIT e ITIL
Operacional
Figura 20 – Níveis organizacionais e atuação integrada dos modelos.

Observe que a integração do COBIT e ITIL possibilita uma forma mais

atuante da Governança em TI. A Governança em TI atuará na definição
dos objetivos estratégicos da organização (estratégico), das metas de cada
área de processos (tático) e em ações (operacional) para que a organização
e os serviços de TI caminhem de forma alinhada.
A seguir, vamos analisar com maior propriedade as vantagens da

integração do COBIT com o ITIL.
24.3 Vantagens da integração

A integração do COBIT com o ITIL, independentemente da área
de atuação e do ramo de atividade da empresa, representa a adoção
de metodologias (COBIT) e ferramentas (ITIL) que visam otimizar,
controlar e medir os processos e serviços de TI em todos os níveis
organizacionais (estratégico, tático e operacional). Com a utilização
do ITIL, as estratégias definidas no COBIT passam a contar com
metodologias e ferramentas que possibilitam o mapeamento e gestão dos
processos.
A integração dos modelos COBIT e ITIL visa a garantir a melhoria

contínua dos serviços de TI por meio de mecanismos de auditoria e
análise de desempenho, trazendo como benefícios a agilidade na tomada
www.esab.edu.br 202
de decisão, a identificação de medidas corretivas, maior cumprimento
dos prazos acordados e maior qualidade dos serviços.
Se por um lado o COBIT se prende aos objetivos de negócio da empresa,

o ITIL garante que os serviços de TI sejam fornecidos de acordo com
as necessidades e recursos disponíveis, deixando a gestão de riscos
sob responsabilidade do COBIT. Assim, as estratégias e as técnicas
trabalharão em sintonia.
Portanto, quando uma empresa implanta o COBIT para o controle e

monitoramentos dos serviços de TI, o ITIL será utilizado para execução
dos serviços com entregas dentro dos níveis de maturidade desejados.
Assim, com a integração do COBIT com o ITIL, os esforços de melhoria

de processos são implementados de forma a suportar os objetivos de
negócio da organização. Portanto, com a integração dos modelos, o
negócio passa a ser amplamente atendido pela Governança em TI.
Barton (2003, apud ALBERTIN; ALBERTIN, 2010, p. 78) destaca que

“[...] os modelos ITIL e COBIT se complementam, uma vez que cada
um tem um enfoque específico e atende a alguns aspectos da função de
TI, integrando a administração global e a função de TI”.
Dessa forma, a melhoria dos processos passa a ser mais do que melhores
práticas (ITIL) passando a ser vista como um conjunto de atividades
claras, com papéis e responsabilidades claramente definidas, que
possibilitam à TI resolver rapidamente os problemas de desempenho,
identificando as causas e prevenindo incidentes, principalmente os
resultantes de problemas recorrentes.
Nesta unidade, você estudou como os modelos COBIT e ITIL atuam

no contexto de gerenciamento, monitoramento e controle dos serviços
de TI. Estudou ainda como eles interagem com os níveis organizacionais
das empresas. Estudamos também sobre a melhoria contínua dentro
de um cenário com a integração dos modelos COBIT e ITIL, em que,
com a ampliação do alcance da gestão de TI e dos serviços de TI, a área
se torna mais atuante em todos os níveis organizacionais, resultando em
www.esab.edu.br 203
um cenário no qual o COBIT controla e mede os serviços de TI e o ITIL
os executa para que sejam entregues dentro dos níveis de maturidade
desejados.
Na próxima unidade, começaremos o estudo sobre o ISO/IEC 2000, um

modelo com foco na qualidade dos serviços de TI.
www.esab.edu.br 204
Resumo
Na unidade 19, você estudou o modelo CMMI (Capability Maturity

Model Integration), o modelo de avaliação de maturidade dos processos
de desenvolvimento de software fundamentado em avaliar os requisitos
implementados. O modelo CMMI fornece, na forma de melhores
práticas, uma melhoria dos processos e habilidades organizacionais,
atuando em todo ciclo de vida de produtos e serviços, nas fases de
concepção, desenvolvimento, aquisição, entrega e manutenção.
Na unidade 20, estudamos a estrutura do CMMI, uma visão geral do

modelo e os resultados esperados com a sua implantação. Estudamos
também outros modelos de Governança em TI derivados do CMMI na
forma de produtos complementares. Nessa unidade, estudamos ainda
que o modelo CMMI se divide em duas abordagens distintas: abordagem
por estágio e abordagem contínua, sendo que a abordagem por estágio é
dividida em: inicial, gerenciado, definido, gerenciado quantitativamente
e otimizado, e a abordagem contínua é dividida em: nível incompleto,
nível executado, nível gerenciado, nível definido, nível gerenciado
quantitativamente e nível otimizado.
Na unidade 21, apresentamos como o modelo CMMI é implementado,

as características dos níveis de maturidade e o papel de cada abordagem
do modelo nas organizações, em que as áreas de processo são divididas
em: gestão de processo, gestão de projetos, engenharia e suporte.
Já na unidade 22, você foi apresentado ao modelo ITIL (Information

Technology Infrastructure Library). Pôde aprender que esse modelo
representa um conjunto de melhores práticas que podem ser aplicadas
para serviços locais ou remotos que necessitam de uma abordagem
de gestão que alinhe os serviços de TI aos objetivos de negócio da
organização.
www.esab.edu.br 205
Na unidade 23, apresentamos dois focos principais do modelo ITIL, o
indivíduo e a organização. Além disso, apresentamos a importância do
profissional certificado em ITIL como fomentador de melhores práticas
do modelo nas organizações, e também a importância de sua habilidade
em avaliar e identificar quais práticas são mais adequadas para a realidade
de cada organização.
Na unidade 24, estudamos a integração do modelo de gestão da

tecnologia da informação (COBIT) com o modelo de gerenciamento
de serviços de TI (ITIL). Analisamos como integrar esses dois modelos
de forma que todos os níveis organizacionais (estratégico, tático e
operacional) possam agregar valor aos processos de TI e identificar a
importância da TI para a organização.
www.esab.edu.br 206
Modelo de melhores práticas ISO/
25 IEC 20000 – complemento ao
modelo ITIL
Objetivo
Apresentar o modelo de melhores práticas ISO/IEC, seus objetivos e
sua estrutura.
Na unidade anterior, você estudou como os modelos COBIT e ITIL

atuam no contexto de gerenciamento, monitoramento e controle dos
serviços de TI. Viu ainda que esses modelos estão focados na melhoria
contínua e ampliação da gestão e dos serviços de TI, tornando-os mais
atuantes em todos os níveis organizacionais. Dessa forma, a gestão de TI
estabelece um cenário favorável para que o COBIT controle e meça os
serviços de TI, e o ITIL os execute, fazendo com que eles sejam entregues
dentro dos níveis de maturidade desejados.
Nesta unidade, vamos estudar o modelo ISO/IEC 20000, um modelo que,

assim como o ITIL, tem como foco o controle dos serviços de TI para que
sejam entregues aos clientes dentro dos níveis de desempenho desejados.
Este material foi desenvolvido com base em Fernandes e Abreu (2008) e

Lucas Jr. (2006).
25.1 Histórico de modelo e seus objetivos

O modelo ISO/IEC 20000 foi publicado inicialmente em 2000 pela
BSI (British Standards Institution Standard for IT Service Management)
com o nome de BS 15000. Esse modelo foi o primeiro padrão mundial
direcionado para o gerenciamento de serviços de TI com foco no suporte
e manutenção.
www.esab.edu.br 207
Em 2002 foi publicada, também pela BSI, uma nova versão estruturada
em duas partes: Especificação, com os requisitos básicos do modelo, e
Código de Prática, com as diretrizes para elaboração das especificações,
desenvolvidas com a experiência prática do modelo no mercado.
O modelo BSI foi criado originalmente como uma norma britânica. Essa
norma dificultou a sua aplicação em âmbito mundial, uma vez que havia
poucas empresas certificadas e a maioria dessas organizações era europeia
ou asiática, com realidades bem peculiares de gerenciamento de serviços
de TI, muito burocratizadas e padronizadas. Entretanto, contrariando
as expectativas, o modelo evoluiu ao incorporar experiências com
gestão de serviços de TI dos Estados Unidos da América e América
Latina, tornando-se em 2005 o modelo de padrão internacional ISO/
IEC 20000. O modelo recebe esse nome por ser administrado pelas
organizações International Organization for Standardization (ISO) e
International Electrotechnical Commission (IEC).
No Brasil, o modelo foi incorporado pela Associação Brasileira de Normas

Técnicas (ABNT), que ficou responsável por estudar e aplicar a norma
ISO/IEC 20000 no mercado brasileiro. A primeira publicação do modelo
em Língua Portuguesa ocorreu em 2008 (FERNANDES; ABREU, 2008).
Saiba mais
Normalmente, a ABNT é lembrada apenas no
momento de escrever um trabalho científico,
uma monografia, dissertação, tese ou mesmo
um artigo. Entretanto, é muito mais do que isso,
como podemos perceber acessando o site da
organização, disponível clicando aqui. Acesse
e perceba como a ABNT é muito mais do que
uma mera compilação de normas que orientam
trabalhos acadêmicos.
Fernandes e Abreu (2008) apresentam os objetivos para a adoção do

modelo BSI, como sendo a ação de planejar, executar e verificar a
qualidade dos serviços entregues pelos fornecedores terceirizados. Essa
www.esab.edu.br 208
ação possibilita avaliar se os serviços estão de acordo com os requisitos
estabelecidos pela organização e alinhados com seus objetivos de negócio.
Portanto, a finalidade do modelo é possibilitar que a organização

implemente procedimentos que garantam a entrega de serviços de
TI mais rentáveis e com melhor qualidade para seus clientes internos
e externos. Por exemplo, a definição e o mapeamento dos processos
que fazem parte de um determinado serviço de TI pode garantir o
cumprimento de cláusulas contratuais, principalmente no que se refere
aos requisitos do produto ou serviço comercializado e aos prazos de
entrega, que, normalmente, quando não cumpridos, além das multas,
representam um enorme descontentamento por parte do cliente. De
acordo com Lucas Jr. (2006, p. 233), o mapeamento de processos “[...] é
uma técnica utilizada nas organizações para desenhar e compreender cada
atividade executada no seu dia a dia, em termos de ações de entradas e
ações de saídas e com quem estas ações interagem”.
O que se espera com a adoção do modelo, em organizações cuja missão

envolva o fornecimento de serviços de TI, é que sejam implantadas boas
práticas de segurança, organização e padronização dos processos e que ele
promova o melhoramento contínuo da qualidade nos serviços de TI.
A seguir, vamos nos aprofundar um pouco mais no perfil das

organizações que necessitam do modelo BSI.

O modelo ISO/IEC 20000 atua como um instrumento que visa a certificar
a organização quanto à efetividade dos processos de gerenciamento de
um ou mais serviços de TI. A adoção do modelo deve ser estabelecida de
acordo com a estratégia da organização, uma vez que o modelo pode atuar
sobre serviços específicos ou sobre todos os serviços de TI.
Para Fernandes e Abreu (2008, p. 310) o modelo
[...] é aplicável a organizações cuja missão envolve o fornecimento de serviços de TI

para seus clientes, sejam estes externos (como no caso das empresas especializadas
em serviços de TI) ou internos (áreas ou departamentos de TI dentro de empresas).
www.esab.edu.br 209
Por exemplo, a definição dos processos que gerenciam a relação entre a
organização e os seus fornecedores, com a padronização dos contratos,
informando claramente a especificação dos níveis de serviço que devem
ser contratados, e as penalidades em caso de descumprimento, pode
facilitar a exigência por melhorias nos serviços por parte da organização
em caso de incompatibilidade entre o que foi contratado e o que está
sendo entregue. O contrato deve apresentar em seu texto, de forma
objetiva, o que deve ser entregue. Além disso, no contrato deve constar
qual o procedimento (quais as penalidades e como a empresa contratante
deve fazer para cobrá-las) em caso de descumprimento do que foi
acordado. Trata-se de um documento de direitos e deveres entre as
partes envolvidas na prestação do serviço. Assim, a organização deve
criar um documento padrão, na forma de um modelo com os dados
de cada contrato, com a validade, com quem deve assiná-los e registrá-
los, evitando que o mesmo serviço, contratado junto a fornecedores
diferentes, esteja submetido a regras, níveis de aceitação e períodos de
vigências diferentes.
De forma geral, toda e qualquer organização que deseje prover o mercado

com serviços de TI de forma estável, segura e consistente, encontrará no
modelo ISO/IEC 20000 uma possibilidade de monitorar e padronizar
seus serviços.
Fernandes e Abreu (2008, p. 310) destacam que as organizações
[...] que souberem demonstrar consistentemente a sua habilidade em prover serviços

que atendam os requisitos de negócio dos clientes, e para gerenciá-los buscando
sempre a sua melhoria contínua, poderão ter na ISO/IEC 20000 um fator qualificador.
Portanto, a ISO/IEC 20000 é aplicável a qualquer organização e

em qualquer setor, principalmente para prestadores de serviços de
TI internos e externos. Internamente, o modelo pode ser aplicado a
departamentos e setores de TI, como equipes de desenvolvimento de
sistemas, suporte e manutenção de equipamentos. Já externamente, o
modelo ISO/IEC 20000 pode atuar no gerenciamento dos serviços que
são terceirizados.
www.esab.edu.br 210
Para que possa atender às organizações quanto a essas especificidades,
o modelo ISO/IEC 20000 possui uma estrutura simples que pode ser
facilmente compreendida e implantada. Segundo Fernandes e Abreu
(2008), o modelo BSI pressupõe as seguintes partes componentes:
• especificação − conjunto de requisitos para o gerenciamento de

serviços de TI, dentro de um nível aceitável de qualidade e em
conformidade com os objetivos do negócio. Define o que deve ser
considerado na implementação do gerenciamento de processos de
acordo com o planejamento estratégico da organização, por exemplo,
atender às regulamentações do mercado, como as leis Sarbanes-
Oxley (você estudou sobre essas leis na unidade 10) que tratam das
regulamentações de compliance, que são voltadas principalmente
para as organizações de capital aberto, aquelas com venda de títulos
no mercado de ações e que exigem maior transparência na sua gestão.
Por exemplo, a Microsoft decidiu pela descontinuidade do sistema
operacional Windows XP em 2011. Como regra de transparência
para suas ações, teve que comunicar formalmente aos seus clientes
que não dará mais suporte e manutenção para essa versão a partir
de 8 de abril de 2014. A comunicação visa a alertar aos clientes,
esperando que eles se organizem e migrem para novas versões do
produto, nesse caso, o Windows 8. Note que a organização não
pode simplesmente descontinuar um produto de TI, principalmente
quando ele é essencial para as atividades de seus usuários;
• Código de Prática − um guia com 34 páginas que apresenta as
práticas para gestão de serviços que orientam as organizações a
respeito de como implantar a melhoria contínua dos serviços de TI.
As práticas do modelo ISO/IEC 20000 são divididas em cinco processos
inter-relacionados, a saber:
• processo de entrega do serviço − visa a documentar, registrar e

avaliar se os níveis de serviço acordados estão sendo atendidos. Por
exemplo, na contratação de um serviço de discagem gratuita, 0800,
é preciso avaliar a qualidade do serviço, a disponibilidade, como as
informações estão sendo registradas e a segurança das informações,
tendo como base os níveis de desempenho determinados na
contratação do serviço;
www.esab.edu.br 211
• processo de relacionamento − visa a avaliar como está o
relacionamento entre o provedor do serviço e os clientes, como
as reclamações estão sendo tratadas, como e quando é realizada a
medição da satisfação do cliente e como os contratos são iniciados e
encerrados, avaliando se há transparência nesses processos;
• processo de resolução − visa a avaliar como os incidentes e
problemas são resolvidos e como são minimizados, se houve um
problema ou incidente e como este foi comunicado, resolvido e
mitigado para que não volte a acontecer;
• processo de controle − visa a gerenciar as mudanças e ajustes nos
serviços de TI, por exemplo, a mudança do plano de serviços da
prestadora de telefonia móvel para a organização. Essa mudança
exige a avaliação de quanto tempo a organização ficará sem o
serviço, se as mudanças efetuadas estão de acordo com o que foi
contratado, e quais são as necessidades de infraestrutura para que
os serviços sejam realizados em conformidade com as necessidades
da organização. Note que não se trata apenas de mudar o serviço,
mas de um conjunto de procedimentos que precisam garantir que a
mudança ocorra dentro dos níveis de serviço desejados;
• processo de liberação − abrange o gerenciamento das mudanças
nos serviços de TI no que se refere aos testes e à validação do serviço
antes da sua liberação. Por exemplo, se a organização decide trocar
o aplicativo de editor de texto utilizado na empresa, antes da troca
oficial, é fundamental que grupos de usuários sejam escolhidos e
monitorados para que se avalie se a troca não causará insatisfação
dos usuários ou se tais insatisfações podem ser gerenciadas com
treinamento.
O que se deseja com esses processos são os planejamentos, controles e
monitoramentos dos serviços de TI, sejam eles novos ou modificados, de
forma que possam ser entregues em conformidade com as necessidades
dos clientes e, consequentemente, da organização.
www.esab.edu.br 212
Processos de entrega de serviços
Gerenciamento da Gerenciamento de Gerenciamento da
capacidade nível de serviço segurança da informação
Gerenciamento da Relato de serviço Orçamento e
continuidade e contabilização para
disponibilidade serviços de TI
dos serviços
Processos de controle
Gerenciamento de
configuração
Gerenciamento
Processos de de mudanças Processos de
liberação relacionamento
Gerenciamento de Gerenciamento do
liberação Processos de relacionamento
resolução com o negócio
Gerenciamento de Gerenciamento de
incidentes fornecedores
Gerenciamento de
problemas
Figura 21 – Processos inter-relacionados do modelo ISSO/IEC 20000.
Fonte: ABNT NBR ISO/IEC 20000-1. Tecnologia da Informação –
Gerenciamento de Serviços. Parte 1, Especificação, 2008.
Agora que já conhecemos o que é o modelo ISO/IEC 20000, seu

histórico e o contexto para sua aplicação, vamos estudar sobre seu
processo de certificação. Acompanhe.

Você já deve ter notado que algumas empresas em suas campanhas de
marketing procuram divulgar que possuem certificação ISO 20000. Isso
só é permitido para empresas que se certificaram como ISO/IEC 20000,
pois a certificação lhes permite a utilização da logomarca oficial da norma
em suas campanhas publicitárias.
www.esab.edu.br 213
Estudo complementar
Você pode consultar quais são as empresas
certificadas ISO/IEC 2000 no site da ISO/IEC, na aba
Certified Orgs (em tradução livre, organizações
certificadas). Você pode fazer uma pesquisa por
país e nome da empresa. Essa pesquisa pode ser
realizada através do link.
O processo de certificação desse modelo deve ser conduzido por um projeto

formal, que deve ter como premissa o patrocínio e o comprometimento da
alta administração da organização com o seu sucesso.
Para a certificação, a organização terá suas atividades auditadas por um

órgão certificador autorizado, que avaliará o nível de conformidade dos
processos de gerenciamento dos serviços de TI com as normas da ISO/
IEC 20000.
Nesta unidade, você conheceu o histórico do modelo ISO/IEC 20000, seus

objetivos e o contexto para aplicação. Estudou também que a ISO/IEC
20000 é um modelo que visa ao planejamento, controle e monitoramento
dos serviços de TI, sejam eles novos ou modificados, fazendo com que os
serviços possam ser entregues em conformidade com as necessidades dos
clientes e, consequentemente, da organização. Por fim, você pôde conhecer
como se dá a certificação ISO/IEC 20000 da organização e como ela pode
utilizar esse diferencial em campanhas publicitárias.
Na próxima unidade, estudaremos o modelo eSourcing Capability

Model for Service Providers (eSCM-SP), que tem como foco a gestão dos
serviços terceirizados.
www.esab.edu.br 214
26 eSourcing Capability Model for
Service Providers (eSCM-SP) – parte I
Objetivo
Apresentar o modelo de melhores práticas eSCM-SP, seus objetivos e
sua estrutura.
Na unidade anterior, estudamos o modelo ISO/IEC 2000, que assim

como o ITIL, tem como foco o controle dos serviços de TI para que
sejam entregues aos clientes dentro dos níveis de desempenho desejados.
Nesta unidade, apresentaremos o modelo eSourcing Capability Model

for Service Providers (eSCM-SP), um modelo recente cujo foco está nas
empresas prestadoras de serviço de TI na modalidade de outsourcing.
A modalidade outsourcing é conhecida como a terceirização de serviços
de uma organização. No outsourcing, uma empresa especializada em
determinado ramo de atividade presta serviço para outra organização.
Por exemplo, a segurança de agências bancárias, a equipe de limpeza
de algumas organizações e até mesmo o gerenciamento do pátio de
estacionamento de algumas empresas, como centros comerciais, são
terceirizados. A terceirização tem se tornado uma tendência, por isso é
importante estudar sobre o assunto.
Este material foi desenvolvido com base em Fernandes e Abreu (2008).
Vamos iniciar nossos estudos conhecendo o histórico desse modelo.

Acompanhe!
www.esab.edu.br 215
O eSCM-SP é um modelo orientado exclusivamente a operações
de outsourcing, que atende não somente aos serviços de TI, mas
a outros serviços que usam a Tecnologia da Informação. O termo
outsourcing é usado para representar a transferência de atividades-
meio de uma organização para outra empresa. Mais do que diminuir
custos, deseja-se gerar valor ao negócio, agregando a expertise da
empresa terceirizada no gerenciamento e execução dessas atividades. Por
exemplo, uma concessionária de veículos usados, após decidir-se por
desenvolver um site para divulgação dos veículos para atrair possíveis
clientes e compradores, contrata uma empresa de desenvolvimento de
softwares para criar o site de acordo com as necessidades e requisitos da
concessionária. Como se trata de uma área que não é de conhecimento
da concessionária, a contratação de uma empresa terceirizada para o
desenvolvimento do site se torna mais barata, garante melhor qualidade
e evita que a concessionária tenha que contratar especialistas de TI para o
desenvolvimento de um único produto, ou seja, o site.
Saiba mais
Caro aluno, você pode aprofundar seus
estudos sobre outsourcing acessando o artigo
apresentado no Portal da Administração,
clicando aqui. Vamos lá?
O modelo eSCM-SP teve sua primeira versão lançada em 2001, mas

foi atualizado logo em seguida, em 2002, para a versão 1.1. A versão
atual é a 2.01 e foi publicada em 2006, com participação efetiva da
Universidade Federal do Rio de Janeiro através da Coordenação dos
Programas de Pós-Graduação em Engenharia, o Coppe. Este último,
junto ao ITSqc (Information Technology Services Qualification Center),
é responsável por manter e elaborar melhorias constantes no modelo,
de forma a mantê-lo atual e útil. Para tanto, o modelo foi criado com
base nas ideias de Hyder, Paulk e Heston (Elaine Hyder, Mark Paulk e
Keith Heston). Esses profissionais acreditam que é preciso desenvolver
www.esab.edu.br 216
estratégias para diminuir a quantidade de serviços de terceirização
finalizados em função de deficiências e incidentes. Para isso acontecer, é
preciso melhores relacionamentos entre fornecedores, clientes e parceiros.
O modelo eSCM-SP, a partir de suas novas versões, transformou-se em

um guia composto por boas práticas organizadas ao longo do ciclo de
vida da terceirização do serviço e, segundo Fernandes e Abreu (2008), os
objetivos desse modelo são:
• fornecer aos provedores de serviços orientação para melhorar a sua

capacidade ao longo do ciclo de vida da terceirização. Por exemplo,
o desenvolvimento de um diagrama com todos os processos que
devem ser executados, desde o levantamento das necessidades de
contratação de serviços, passando pela escolha dos fornecedores, pela
avaliação, contratação e pelo encerramento do contrato chegando à
definição dos responsáveis por cada processo. Esse diagrama deve ser
fixado na parede e exposto a todos os envolvidos com a contratação
de serviços terceirizados. Isso facilita a compreensão e agilidade dos
processos, em caso de dúvidas por parte dos envolvidos;
• prover aos clientes meios objetivos de avaliar a capacidade do
fornecedor de serviços. Por exemplo, criar um setor de atendimento
ao cliente para recebimento de reclamações e sugestões por e-mail,
telefone, formulário no site da organização, com registro dos
atendimentos em uma ferramenta de TI que permita, no futuro, a
criação de indicadores que demonstrem as principais reclamações
e os principais benefícios dos produtos e serviços. Atualmente,
é muito comum que as empresas disponibilizem em seu site um
formulário para que o visitante possa expressar sua opinião sobre o
produto ou serviço disponibilizado;
• fornecer um padrão para que os fornecedores se diferenciem dos
competidores. De forma geral, o planejamento, a execução, o
controle e o monitoramento dos processos do ciclo de terceirização
serão um diferencial para o fornecedor em relação aos seus
concorrentes, pois isso o certifica em termos de qualidade e
excelência com relação ao serviço que é provido. Por exemplo,
na contratação de um serviço para hospedagem dos softwares da
empresa em um computador em outro local físico, podendo ser
www.esab.edu.br 217
até mesmo em outro país ou em outra empresa, o gestor precisa
padronizar as exigências para a contratação dos serviços, como:
controle de acesso ao local em que estará o computador terceirizado,
porta contra incêndios, cópia de segurança dos dados e acesso 24
horas, sete dias por semana. Essas exigências devem fazer parte do
contrato firmado entre a contratante e a contratada.
Esperamos, com a aplicação desse modelo, a possibilidade de a
organização ter capacidade e habilidade para estabelecer um acordo
de confiança entre o cliente e o fornecedor do serviço. Para que
isso aconteça, devemos gerenciar as expectativas de ambas as partes,
possibilitando assim em um bom ambiente de trabalho.
A seguir, conheceremos o cenário para aplicação desse modelo.

Acompanhe.

O modelo eSCM-SP pode ser “[...] aplicado a fornecedores de serviços que
utilizam a tecnologia da informação, independente de ramo de atividade e
tamanho da organização” (FERNANDES; ABREU, 2008, p. 322).
Atualmente, muitas empresas passaram a adotar alguma forma de

terceirização de serviços, normalmente como forma de baratear os
custos, mas principalmente pela necessidade de pessoas com melhor
qualificação e maior experiência no desenvolvimento e manutenção
do novo produto ou serviço. Esses serviços terceirizados, porém, vão
desde tarefas rotineiras até atividades que, em caso de inoperância,
afetam o funcionamento da organização. Por isso, é muito importante
avaliar quais são os riscos e benefícios com a contratação do serviço. Por
exemplo, empresas que terceirizam o serviço de data centers se tornam
essenciais para o cliente. Uma falha no acesso aos sistemas armazenados,
ou seja, uma falha de acesso aos data centers ou ainda acessos indevidos
às informações disponíveis nesses data centers podem trazer enormes
prejuízos para o cliente, ou seja, à empresa contratante.
www.esab.edu.br 218
Estudo complementar
Para que você entenda a complexidade de alguns
serviços terceirizados, especialmente no que se
refere às empresas que terceirizam o serviço de
data centers, indicamos a leitura de um artigo
que detalha como um problema, ocasionado
pelo corte no abastecimento de energia elétrica,
em um dos maiores provedores de data center
no mundo deixou vários clientes sem acesso aos
serviços contratados. O artigo está disponível
clicando aqui.
Não menos importantes são as empresas que terceirizam os serviços de

manutenção de computadores, desenvolvimento e gestão de aplicações
(fábricas de software), porém em caso de incidentes, os impactos são
menores e mais fáceis de serem gerenciados.
Dentre as inúmeras possibilidades de serviços que utilizam a TI e que

podem ser terceirizados, alguns mencionados neste texto, há um em
especial que merece destaque: a fábrica de software.
O conceito de fábrica de software começou a ser empregado na década de

1970 pela empresa japonesa Hitachi. Esse conceito surgiu para representar
a utilização de um modelo de desenvolvimento de software apoiado nos
padrões de fabricação de produtos manufaturados, tendo como foco a
padronização de processos, a redução de custos e os prazos estabelecidos.
A fábrica de software começou a se popularizar na década de 1990 com a

terceirização de várias atividades do ciclo de vida de um software, como:
definição de requisitos, análise, desenvolvimento, testes e validação de
sistemas. Atualmente, muitas empresas terceirizam o desenvolvimento de
novos produtos de TI para as fábricas de softwares, já que possuem maior
expertise para transformar uma ideia em produto, com menor custo e
menor prazo. Esse serviço vem empregando muitos profissionais de TI
no mundo todo.
www.esab.edu.br 219
Saiba mais
Você pode ampliar seus conhecimentos sobre o
que é a fábrica de software com a leitura do artigo
“Fábrica de Software”, do site TecHoje, disponível
clicando aqui. Aproveite!
O mercado consumidor de TI está cada vez mais exigente e concorrente.

Portanto, aspectos como custo e qualidade se tornaram um diferencial
no mercado. Partindo desse pressuposto, organizações têm procurado
um novo modelo, principalmente na fábrica de software, para atender
às suas necessidades. Porém, a necessidade de segurança e confiança nos
resultados alcançados reforça ainda mais a necessidade de profissionais
habilitados e qualificados para a gestão dos serviços terceirizados.
Veremos a seguir o processo de certificação eSCM-SP.

Para a certificação eSCM-SP, a organização provedora de serviços deve ser
submetida à avaliação externa de uma organização autorizada pela ITSqc,
que analisa o grau de maturidade da organização no gerenciamento dos
processos do ciclo de vida da terceirização.
A certificação visa a aferir a capacidade da organização de gerenciar o

outsourcing no papel de fornecedor do serviço. Para tanto, a empresa
certificadora avalia como os riscos e ameaças dos serviços terceirizados
são gerenciados pelas equipes de colaboradores, a alta administração e os
stakeholders envolvidos nos processo de outsourcing.
De acordo com os resultados dessa avaliação, a organização pode ser

classificada em Nível 2, Nível 3, Nível 4 e Nível 5 (FERNANDES;
ABREU, 2008). Esses níveis representam a maturidade da organização
em documentar, formalizar, monitorar e controlar os processos de
terceirização da organização. Quanto maior a maturidade da organização,
maior o nível.
www.esab.edu.br 220
Logo, a certificação se dá pela verificação da eficácia da organização no
controle e gerenciamento dos serviços de TI terceirizados, na forma
de níveis de capacidade dos envolvidos em conceber e gerenciar o
relacionamento entre o cliente e o fornecedor.
Nesta unidade, você pôde conhecer o modelo eSCM-SP, o qual visa a

melhorar a habilidade e capacidade da organização de estabelecer um
acordo de confiança entre o cliente e o fornecedor do serviço. Para que
isso ocorra, é preciso gerenciar as expectativas de ambas as partes, de
forma que reflitam em um bom ambiente de trabalho. A certificação
nesse modelo ocorre na forma de níveis de maturidade da organização no
controle e gerenciamento dos serviços de TI terceirizados.
Na próxima unidade, daremos sequência ao estudo desse modelo com

foco nos seus níveis de capacitação e no monitoramento e controle dos
processos de terceirização.
Tarefa dissertativa
www.esab.edu.br 221
27 eSourcing Capability Model for
Service Providers (eSCM-SP) – parte II
Objetivo
Destacar o modelo de melhores práticas eSCM-SP, seus controles, suas
aplicações e as certificações associadas.
Na unidade anterior, você pôde conhecer o modelo eSCM-SP.

Estudamos que esse modelo tem como prioridade o desenvolvimento
da capacidade e habilidade da organização para estabelecer um acordo
de confiança entre o cliente e o fornecedor do serviço. Nesta unidade,
você viu ainda que para que isso aconteça, é necessário gerenciar as
expectativas de ambas as partes, de forma que isso reflita em um bom
ambiente de trabalho.
Nesta unidade, daremos sequência ao estudo desse modelo com foco nos
controles dos processos de outsourcing e nos níveis de capacitação, suas
aplicações e certificações associadas.
Vamos iniciar nossos estudos sobre o assunto desta unidade, conhecendo

a estrutura do modelo e seus níveis de capacitação. Vamos lá?
27.1 Níveis de capacitação e seus controles

O modelo eSCM-SP é composto por cinco níveis de capacitação,
os quais avaliam a capacidade de gerenciamento de outsourcing das
organizações. Fernandes e Abreu (2008) os definiram em:
• nível 1 – provedor de serviços: não possuem prática na gestão

dos serviços terceirizados. Os provedores nesse nível geralmente
www.esab.edu.br 222
prometem mais do que podem cumprir. Por exemplo, a empresa se
prontifica a desenvolver, para a contratante, um software de controle
de ponto, com o registro de entrada e saída dos funcionários em
ambiente web, com acesso por meio de dispositivos móveis (celulares
e smartphones), mas no final entrega o produto apenas com acesso
por meio da internet e, ainda, sem testá-lo;
• nível 2 – atendendo consistentemente os requisitos: fornecem
de forma consistente os serviços de acordo com os requisitos do
cliente, sabem como definir os requisitos e como implantar e
entregar os serviços. Por exemplo, a organização se compromete com
o desenvolvimento de um novo software para a contratante, com
excelente documentação dos requisitos, com objetivos claros do que o
sistema deve e não deve fazer. O produto é entregue no prazo e com a
qualidade desejada pela contratante, porém, a contratada desenvolveu
o produto sem margem alguma para exceções, assim, caso um dos
colaboradores tivesse ficado doente ou saísse do projeto, o produto
não seria entregue. Portanto, o desenvolvimento é de qualidade, mas
com grande margem de risco ignorado pela contratada;
• nível 3 – gerenciamento do desempenho organizacional: tem a
capacidade de prover os serviços, mesmo que sejam diferentes de sua
experiência passada, gerencia o desempenho de toda a organização,
sabe como identificar riscos na aceitação dos serviços, projeta e
implanta serviços de acordo com os procedimentos, gerencia a
infraestrutura tecnológica e o conhecimento e mede e premia o
desempenho das pessoas, melhorando continuamente o desempenho
dos serviços. Nesse nível, a empresa terceirizada possui os processos
de desenvolvimento bem definidos e comunicados, todas as partes
envolvidas sabem o objetivo do projeto, os resultados esperados e
os riscos são gerenciados. Por exemplo, as funções essenciais para
o projeto são direcionadas para os colaboradores de confiança,
com muita experiência e que assumem a responsabilidade por suas
atividades, evitando que o projeto atrase por falta de mão de obra
qualificada. Os riscos são avaliados e possíveis soluções são planejadas;
www.esab.edu.br 223
• nível 4 – fornecendo valor proativamente: inova nos serviços
oferecidos aos clientes, sendo capaz de personalizar os serviços para
clientes e demais interessados. Entende as necessidades do negócio
do cliente, assim, está sempre incorporando avanços tecnológicos,
estabelecendo objetivos a partir de análises estratégicas e geralmente
planeja, implanta e controla suas próprias melhorias. A empresa
consegue desenvolver produtos customizados, personalizados,
de acordo com as necessidades do cliente, em tempo hábil e
com qualidade. Por exemplo, a empresa possui um produto para
desenvolvimento de lojas virtuais que possibilita aos clientes a
gestão completa da loja, com controle de estoque, contas a pagar
e a receber, mas cada loja terá as telas dos sistemas de acordo com
suas necessidades, com a identidade visual e logomarca da empresa,
tornando-a única e exclusiva;
• nível 5 – sustentando a excelência: mantém a excelência em
serviços, executando sua entrega de acordo com os requisitos
definidos pelo cliente. Por exemplo, a empresa define um
cronograma de desenvolvimento do software, com datas para entrega
e validação dos recursos do sistema. Esse cronograma é seguido
à risca, com documentação dos resultados, ampla participação
do cliente nas decisões de melhorias e ajustes e, principalmente,
atendendo aos requisitos estipulados pelos usuários e pelo cliente. A
empresa contratante é parte ativa do processo.
Note que os níveis de capacitação, juntamente à implementação das
áreas de capacitação e dos processos de controle, são executados com
o estabelecimento de procedimentos que possibilitam a execução, a
medição e o monitoramento dos serviços terceirizados. A Figura 22
apresenta esta estrutura:
www.esab.edu.br 224
Ciclo de vida da
terceirização
eSCM-SP
Níveis de Áreas de
capacitação capacitação
Figura 22 – Estrutura do Modelo eSCM-SP.

Diferente do CMMI e de outros modelos, no modelo eSCM-SP,

uma área de capacitação pode estar em mais de um processo do ciclo
de vida do outsourcing e em mais de um nível de capacitação. Isso
acontece porque as práticas que constituem uma área de capacitação
estão distribuídas ao longo do ciclo de outsourcing e pelos níveis de
capacitação. O ciclo de vida da terceirização representa todo o processo
da terceirização, com a identificação da necessidade, a avaliação de
como atendê-la, com desenvolvimento interno ou terceirizado, os
possíveis fornecedores, a escolha do fornecedor, a entrega do serviço e
sua avaliação e monitoramento. As áreas de capacitação representam
como cada um dos setores da organização vai modelar o ciclo de vida da
terceirização de acordo com suas necessidades. O nível de maturidade
representa a capacidade da organização de integrar um modelo geral de
controle e monitoramento da terceirização dos serviços com qualidade e
padronização, sendo que cada setor possui um cenário diferenciado, com
necessidades específicas.
Por isso, a organização precisa se capacitar de forma que o gerenciamento

dos serviços terceirizados, mesmo que com necessidades específicas para
vários setores, tenha um padrão de monitoramento, definição, entrega e
encerramento, como veremos a seguir.
www.esab.edu.br 225
27.2 Gestão e Capacitação com eSCM-SP
O modelo eSCM-SP é organizado em áreas de capacitação e nível
de capacitação de forma a gerenciar todo o ciclo de vida de um
outsourcing. Segundo Fernandes e Abreu (2008, p. 315), “[...] o controle
e monitoramento dos processos de um ciclo de vida do outsourcing são:
ongoing (andamento), iniciação, entrega e encerramento”. Por exemplo,
a organização decide terceirizar todos os seus serviços de impressão. Para
tanto, todas as impressoras serão locadas de outra empresa, que, por sua
vez, fará a manutenção dos equipamentos, com substituição em caso
de defeito. O primeiro passo é avaliar as necessidades, a quantidade de
equipamentos, a qualidade e recursos desses equipamentos e o orçamento
disponível (iniciação). Depois, temos a etapa de contratação do serviço
com as escolhas do fornecedor, que atendem às necessidades definidas na
iniciação. Em paralelo, a organização deverá monitorar como o serviço
está sendo executado, questionar os colaboradores sobre a qualidade do
serviço e avaliar quais melhorias podem ser implantadas (ongoing). Ao
finalizar os serviços, a organização deve formalizar o encerramento do
contrato, verificando se existem pendências por parte do contratante ou
do contratado.
O processo de ongoing ocorre em todo o ciclo de vida do outsourcing,

na forma de ações administrativas e gerenciais, por exemplo:
• gerenciar e motivar as pessoas;

• monitorar o relacionamento com os clientes, fornecedores e
parceiros de negócios;
• medir o desempenho da organização e tomar decisões para
melhoramentos do desempenho;
• gerenciar as informações sobre os processos, identificar e controlar
as ameaças e riscos para implantação de serviços compatíveis com as
necessidades dos clientes;
• gerenciar a tecnologia necessária para a entrega dos serviços.
www.esab.edu.br 226
Note que essas atividades podem ser executadas de forma paralela
aos demais processos do ciclo de vida do outsourcing. Elas têm
como objetivo: manter a equipe interessada e motivada, com
compartilhamento das informações sobre os processos e os resultados
alcançados, e o gerenciamento e monitoramento da relação entre cliente
e fornecedor.
Diferente do processo de ongoing, o processo de iniciação é executado

como o primeiro passo para a realização do outsourcing e visa a:
• planejar a negociação, o que será contratado, por quanto, quais as

necessidades da organização e os níveis de desempenho desejados;
• entender os requisitos do cliente e estabelecer um acordo formal com
ele;
• definir claramente as especificações dos serviços a serem prestados;
• gerenciar a implantação do serviço.
Uma vez planejado o serviço, verifica-se, no processo de entrega, se o
que foi acordado é o que está sendo de fato recebido, mesmo que com
mudanças nos serviços, incidentes ou problemas. Por exemplo, se a empresa
terceirizada se prontificou a disponibilizar o serviço de internet todos os
dias da semana, 24 horas por dia, independentemente de problemas ou
mudanças nos seus equipamentos, a empresa terceirizada deve garantir que
o serviço entregue esteja de acordo com o prometido e contratado.
Já o processo de encerramento se dá pela transferência do serviço para

outro provedor e a continuidade dos serviços durante a transferência. A
Figura 23 apresenta esses processos e a relação entre eles. Acompanhe.
www.esab.edu.br 227
ongoing
Iniciação Entrega Encerramento
Levantar os Novo
requisitos Serviço provedor
Planejar a Não
negociação
Está de adordo Continuidade Não
com o contratado do serviço
Formatar os Sim
requisitos
Sim Sim
Não Acordo Sim Fim

aceito
Transferir serviço
Não
Figura 23– Processo de controle do outsourcing.

Note na Figura 23 que na iniciação é preciso definir claramente o que

o cliente/contratante deseja, quais as suas necessidades e o que está
sendo contratado, ou seja, os níveis de aceitação do serviço. Alguns itens
podem não ser atendidos pela contratada, cabendo, portanto, à empresa
terceirizada a negociação para disponibilizar o que ela consegue atender,
de forma a satisfazer às necessidades do contratante. É essencial que a
empresa prestadora do serviço terceirizado não prometa o que não pode
cumprir. Essa negociação deve se transformar em um documento formal
com os requisitos contratados, sem isso a negociação continua até que
haja um acordo entre as partes ou a desistência da contratante. Somente
após a definição dos requisitos, os serviços podem ser executados e
entregues. Esses serviços devem ser constantemente monitorados
para que atendam amplamente aos requisitos da iniciação. Havendo
o encerramento da prestação do serviço, este só será formalmente
encerrado com a transferência do serviço para um novo provedor que
mantenha a sua continuidade.
www.esab.edu.br 228
O sucesso de cada um desses processos de controle depende da
capacidade da organização de monitorá-los e gerenciá-los, sendo assim, o
modelo eSCM-SP os organiza em áreas de capacitação. De acordo com
Fernandes e Abreu (2008), as áreas de capacitação são:
• gestão do conhecimento: demonstração do comprometimento

com o compartilhamento de conhecimento e manutenção das lições
aprendidas. Essa gestão está relacionada com os processos de ongoing,
de forma a gerar uma base de conhecimento dos processos realizados
com ou sem sucesso. Por exemplo, se a organização vem identificando
problemas com um determinado equipamento, que gera muita
manutenção e constante necessidade de troca, consequentemente
descontentando os clientes pela inoperabilidade dos serviços, o
problema deve ser documentado e compartilhado para que no futuro
a empresa não contrate esse fornecedor. A empresa deve comunicar o
problema com seus equipamentos ao fornecedor;
• gestão de pessoas: comprometimento com a participação das
pessoas na tomada de decisão, com o fornecimento de ambiente de
trabalho adequado, com a definição de papéis e responsabilidades.
Novamente, esta gestão está associada ao processo de ongoing, pois
deve ser realizado em todo o ciclo de vida do outsourcing. Todas
as partes envolvidas com a disponibilidade do serviço que está
sendo terceirizado devem estar cientes da sua responsabilidade e,
se possível, ajudar as demais com soluções que possam melhorar
a qualidade do serviço prestado. Por exemplo, se um colaborador
por algum motivo não pode atender à solicitação do cliente de uma
visita técnica, que outro colaborador se prontifique a substituí-lo.
Esses procedimentos farão com que o cliente não seja prejudicado
pela inoperabilidade do serviço;
• gestão de desempenho: definição dos objetivos organizacionais
e sua avaliação, com a identificação e implantação de melhorias
de desempenho. Esta gestão deve estar presente na iniciação do
serviço, na avaliação dos requisitos e níveis de serviços desejados e na
entrega, como forma de avaliar se os serviços estão de acordo com
as necessidades do cliente. A organização deve ter mecanismos para
monitoramento do serviço com indicadores que permitam avaliar se
ele está ou não de acordo com o contratado. Por exemplo, quando
www.esab.edu.br 229
há reclamação dos usuários de telefonia com relação à velocidade
de conexão com a internet, as operadoras de telefonia possuem
equipamentos para avaliação se há ruídos na linha ou queda de
conexão, bem como relatórios sobre o uso da internet e a média de
velocidade. Isso permite que a operadora avalie se é um problema
esporádico ou algo recorrente;
• gestão de relacionamentos: gerenciamento ativo dos
relacionamentos com os envolvidos, incluindo o cliente,
fornecedores e parceiros que façam parte da execução do serviço. É
importante que as reuniões entre as partes envolvidas sejam claras,
objetivas e que não se escondam os problemas. A reunião deve ter
um foco: a solução dos problemas e melhoria dos serviços, por isso,
justificativas ou explicações que não condizem com o problema
devem ser evitadas;
• gestão da tecnologia: gerenciamento da disponibilidade e da
adequação da infraestrutura tecnológica usada para execução do
serviço. A empresa terceirizada deve estar em constante evolução
tecnológica para que os serviços se mantenham dentro dos requisitos
estabelecidos e prometidos. Por exemplo, as operadoras de telefonia
passaram a disponibilizar aos seus usuários equipamentos de conexão
sem fio com a internet. Isso se deu por uma necessidade de mercado.
Como os computadores com conexão sem fio e dispositivos móveis
se tornaram de uso comum, as operadoras passaram a disponibilizar
de graça tais equipamentos como estratégia de marketing;
• gestão de ameaças: identificação e gerenciamento de problemas
internos e externos que podem afetar a capacidade da organização
de atender aos requisitos dos clientes. Por exemplo, contar com
um único funcionário capacitado a manusear e configurar um
determinado equipamento essencial para a disponibilidade do
serviço aumenta o risco de inoperabilidade desse serviço em caso de
saída do funcionário;
• contratação: preparação para negociação, entendimento dos
requisitos do cliente, trabalhar de forma conjunta com o cliente
para definir os serviços e realizar um acordo formal. A contratação
faz parte do processo de iniciação do outsourcing. A empresa
terceirizada deve ter amplo conhecimento do serviço prestado e deve
desenvolver junto ao cliente um contrato que possa ser atendido e
que esteja de acordo com a necessidade do cliente;
www.esab.edu.br 230
• entrega do serviço: planejamento e monitoramento das atividades
de entrega dos serviços de acordo com os requisitos, fornecimento
de treinamento para o cliente e usuários finais. Essas ações devem
ser realizadas no processo de entrega dos serviços, avaliando
constantemente se os requisitos estão sendo atendidos. Por exemplo,
se a empresa contratou um pacote de serviços de telefonia com
acesso ilimitado à internet, a operadora deve garantir que o requisito
seja atendido durante toda a vigência do contrato;
• transferência do serviço: transferência dos recursos para a operação
de outsourcing para o cliente ou outro provedor, com garantia de
continuidade de serviço durante a transferência. Por exemplo, se
a contratante decide mudar de fornecedor de internet, a empresa
terceirizada deve garantir a disponibilidade do serviço até que ele seja
transferido.
As áreas de capacitação podem ser entendidas como um conjunto de
boas práticas que devem e podem ser implementadas nos processos de
ciclo de vida do outsourcing para otimização dos resultados.
Nesta unidade, você estudou que os processos e práticas de gestão dos

serviços disponibilizados por fornecedores, na forma de outsourcing,
preconizados pelo eSCM-SP, são avaliados na forma de níveis de
maturação: Nível 1 – Provedor de serviços, Nível 2 – Atendendo
consistentemente os requisitos, Nível 3 – Gerenciamento do desempenho
organizacional, Nível 4 – Fornecendo valor proativamente e Nível 5 –
Sustentando a excelência.
Você pôde estudar também, os processos que fazem parte do ciclo de vida
do outsourcing: ongoing, iniciação, entrega e encerramento. Por fim,
você aprendeu que esses processos se organizam na forma das seguintes
áreas de capacitação: gestão de conhecimento, gestão de pessoas, gestão
de desempenho, contratação, projeto e implantação do serviço, entrega
do serviço e sua transferência. Na próxima unidade, vamos iniciar os
estudos do modelo eSourcing Capability Model for Client Organization
(eSCM-CL), que também se foca no outsourcing, mas como um
conjunto de boas práticas voltadas para o cliente de serviços terceirizados.
www.esab.edu.br 231
Atividade
em relação às unidades 19 a 27. Para isso, dirija-
se ao Ambiente Virtual de Aprendizagem (AVA) e
responda às questões. Além de revisar o conteúdo,
você estará se preparando para a prova. Bom
trabalho!
www.esab.edu.br 232
eSourcing Capability Model for
28 Client Organization (eSCM-CL) –
parte I
Objetivo
Apresentar o modelo de melhores práticas eSCM-CL, seus objetivos e
sua estrutura.
Na unidade anterior, você aprendeu que todo esse conjunto de

processos e práticas são complementados com os níveis de maturação,
que são cinco: Nível 1 – Provedor de serviços, Nível 2 – Atendendo
consistentemente os requisitos, Nível 3 – Gerenciamento do desempenho
organizacional, Nível 4 – Fornecendo valor proativamente e Nível 5 –
Sustentando a excelência.
Você também conheceu os processos que fazem parte do ciclo de vida da

terceirização, sejam eles: ongoing, iniciação, entrega e encerramento. Estudou
ainda que esses processos se organizam na forma de áreas de capacitação.
Vimos que as áreas de capacitação são: gestão de conhecimento, gestão
de pessoas, gestão de desempenho, contratação, projeto e implantação do
serviço, entrega do serviço e transferência do serviço.
Nesta unidade, vamos iniciar os estudos do modelo eSourcing Capability

Model for Client Organization (eSCM-CL), que também tem foco no
outsourcing, mas como um conjunto de boas práticas voltadas para o
cliente de serviços terceirizados.
Este material foi desenvolvido com base em Fernandes e Abreu (2008) e

Lucas Jr. (2006).
Vamos iniciar nossos estudos conhecendo o histórico do modelo e seus

objetivos. Acompanhe.
www.esab.edu.br 233
O eSCM-CL ou The eSourcing Capability Model for Client
Organizations, segundo Fernandes e Abreu (2008), começou a ser
desenvolvido em 2003. O modelo foi desenvolvido para satisfazer a uma
necessidade do mercado, que precisava de boas práticas de outsourcing
a serem seguidas pelos compradores de serviços, e não apenas pelos
fornecedores (como é o foco do eSCM-CP). Para elaboração do modelo
eSCM-CL, várias propostas foram analisadas com a participação de
organizações, pesquisadores e instituições com experiência e vivência em
outsourcing, até que em 2005 foi desenvolvida a primeira proposta oficial
de modelo, que se formalizou em 2006 com a liberação da versão 1.1.
O eSCM-CL é um modelo de melhores práticas que se foca nas tarefas

de planejamento e execução dos serviços de TI, voltadas ao usuário/
comprador. Ao estudar os objetivos do modelo, você perceberá como esse
foco é evidente. Fernandes e Abreu (2008) enumeram seus objetivos:
• prover aos clientes um conjunto de melhores práticas para ajudá-los

a melhorar suas capacidades em relação às atividades de sourcing. Por
exemplo, a organização deve possuir um levantamento das capacidades
e habilidades de seus colaboradores e suas experiências com
desenvolvimento de novos serviços e produtos, para que seja possível
avaliar se a organização precisará ou não contratar uma empresa
terceirizada para o desenvolvimento desse novo produto ou serviço;
• ajudar as organizações clientes a estabelecerem, gerenciarem e
sustentarem uma melhoria contínua nas suas relações de sourcing.
A empresa deve registrar os serviços que são terceirizados, e quais
os fornecedores e resultados alcançados em termos de qualidade e
custos. Todo e qualquer serviço terceirizado deve ser documentado e
compartilhado com as partes envolvidas;
• ajudar as organizações clientes a mitigarem riscos nas suas relações
de sourcing. A criação de um banco de dados com as informações
dos fornecedores, os produtos e serviços ofertados por eles, e os
indicadores de reclamação e rapidez nos atendimentos possibilitam
diminuir o risco na escolha de um fornecedor. Conhecer quem
é o fornecedor e a qualidade do seu serviço é fundamental para a
redução dos riscos;
www.esab.edu.br 234
• ajudar as organizações clientes a criarem competências na gestão
de suas atividades de sourcing. A organização deve desenvolver a
habilidade para o controle e monitoramento constante dos serviços
terceirizados, com treinamento e certificação dos colaboradores;
• assegurar a satisfação dos interessados relevantes ao longo do ciclo de
vida do processo de sourcing. O serviço deve ser monitorado desde a
iniciação até o encerramento do sourcing, e mesmo que não existam
indícios de problemas ou riscos, esta deve ser uma tarefa corriqueira
e padronizada;
• prover meios para as organizações clientes avaliarem, de forma
objetiva, suas próprias capacidades em serviços de sourcing em TI. A
organização deve ter um portfólio de seus produtos e serviços, quais
as suas necessidades e os objetivos de negócio. Isso visa a garantir
que os serviços contratados estejam alinhados com os objetivos e
prioridades da organização.
De forma geral, podemos entender que, independentemente do tamanho
da empresa, o objetivo principal do modelo eSCM-CL é facilitar, por
meio de boas práticas, os processos administrativos do cliente na gestão
dos serviços de outsourcing que foram ou serão contratados. O modelo
foi elaborado também para responder a uma necessidade crescente dos
últimos anos no que diz respeito à Governança em TI. Lucas Jr. (2006, p.
69) destaca que “[...] a tendência na direção da terceirização dos serviços
em TI atinge todos os tipos de negócios globais”. Esse fenômeno, ou
seja, essa tendência de terceirização, pode derivar de muitas causas.
Entretanto, acredita-se que a transferência das linhas de produção das
empresas para países de mão de obra mais barata e qualificada, como
Índia e Irlanda, seja a principal causa.
Logo, terceirizar é uma tendência porque reduz os custos e mantém a

qualidade dos serviços. Para tanto, é preciso gerenciar as necessidades
e os serviços contratados com a aplicação de boas práticas de gestão de
outsourcing.
Esse modelo de gestão organizacional tem resultado em uma nova estrutura

de organização, muito conhecida como centros de serviços compartilhados.
www.esab.edu.br 235
Saiba mais
Você poderá conhecer um pouco mais sobre os
centros de serviços compartilhados acessando o
site da Amcham Brasil, clicando aqui.
A seguir, vamos conhecer um pouco mais sobre os tipos de organizações

que podem implantar o modelo eSCM-CL. Acompanhe.

O modelo eSCM-CL pode ser implantado em organizações dos mais
variados ramos de atividade. Segundo Fernandes e Abreu (2008), entre
elas podemos destacar:
• serviços de engenharia;
• captura de dados;
• centrais de serviços compartilhados;
• serviços financeiros e contabilidade;
• data centers;
• manutenção de computadores;
• desenvolvimento de aplicações (fábricas de software);
• suporte de redes e telecomunicações.
Independentemente do ramo de atividade da organização, é fundamental
que a terceirização do serviço represente um diferencial de competitividade
no mercado por parte da empresa. Para que isso aconteça, é preciso a
implementação de controles efetivos, melhoria contínua nos processos
do ciclo de vida do outsourcing e o mais importante, que a organização
execute suas atividades de forma alinhada com seu planejamento
estratégico, ou seja, ela deve prover serviços que fazem parte da expertise da
organização e que representem seus objetivos de negócio.
www.esab.edu.br 236
Saiba mais
Você pode conhecer um pouco mais sobre os
principais serviços terceirizados na área de TI
acessando o site da CodeJobs, clicando aqui.
Agora que conhecemos os objetivos e a importância do modelo eSCM-

CL, vamos analisar seu processo de certificação. Acompanhe.
28.3 Certificações Relacionadas

Segundo Fernandes e Abreu (2008), a certificação eSCM-CL se dá pela
avaliação externa de uma instituição autorizada pela ITSqc, que analisa
a capacidade da organização de gerenciar o ciclo de vida de outsourcing
como um cliente do serviço.
A certificação ITSqc é um registro público das suas capacidades e pode

ser utilizada em campanhas publicitárias para diferenciação, junto aos
concorrentes e possíveis usuários do serviço de outsourcing, disponibilizada
pela organização. A avaliação para certificação pode ser Full ou Mini.
A decisão sobre qual certificação será adotada fica a cargo da própria
organização que deseja ser certificada. Uma avaliação Full é fundamentada
na evidência de implementação de todas as 95 práticas do eSCM-CL. Já a
avaliação Mini é fundamentada em evidências de implementação de um
subconjunto das práticas na organização cliente. A certificação eSCM-CL
é muito utilizada pelas organizações como forma de avaliar e melhorar suas
capacidades no uso dos serviços de TI que são terceirizados.
Para obtenção da certificação, uma equipe autorizada pela ITSqc realiza

uma avaliação na organização a ser certificada e emite um relatório
que é submetido à ITSqc, que convoca seu Conselho de Certificação
e analisa o pedido e os resultados da avaliação registrados no relatório.
De acordo com esses resultados, é estabelecido um nível de capacitação
para a organização e emite-se um Certificado de Capacidade. O papel do
Conselho de Certificação, além da definição do nível de capacidade, é
garantir a imparcialidade e confidencialidade do processo.
www.esab.edu.br 237
Nesta unidade, você conheceu o histórico do modelo eSCM-CL, que
também tem foco no outsourcing, mas é voltado para o cliente de
serviços terceirizados. O modelo está na versão 1.1 e foi lançado em
2006. Porém, está em constante evolução e visa a, independentemente
do ramo de atividade da organização, que os serviços terceirizados sejam
um diferencial de competitividade no mercado com a implementação
de controles efetivos, melhoria contínua nos processos do ciclo de vida
do outsourcing e o mais importante, que a organização execute suas
atividades de forma alinhada com seu planejamento estratégico. Por
fim, você conheceu o processo de certificação do modelo, que pode
ser realizado de forma Full ou Mini. Viu também que essa certificação
representa um registro público das capacidades da organização de
gerenciar o ciclo de vida do outsourcing no papel de cliente do serviço.
Na próxima unidade, vamos continuar estudando o modelo eSCM-CL,

os seus níveis de capacitação, o ciclo de vida do outsourcing como cliente
e as áreas de capacitação.
www.esab.edu.br 238
eSourcing Capability Model for
29 Client Organization (eSCM-CL) –
parte II
Objetivo
Destacar o modelo de melhores práticas eSCM-CL, seus controles,
suas aplicações e as certificações associadas.
Na unidade anterior, você conheceu o histórico do modelo e-SCM-CL,

que também tem o foco no outsourcing, porém voltado para o cliente de
serviços terceirizados. Você estudou que o eSCM-CL é um modelo de boas
práticas que faz com que os serviços terceirizados sejam um diferencial de
competitividade no mercado. O eSCM-CL implementa controles efetivos
e a melhoria contínua nos processos do ciclo de vida do outsourcing.
Nesta unidade, vamos conhecer a estrutura do modelo eSCM-CL, seus

níveis de capacitação, o ciclo de vida do outsourcing na visão do cliente e
as áreas de capacitação.
Iniciaremos nossos estudos conhecendo o modelo eSCM-CL, seus níveis

de capacitação e controle.
www.esab.edu.br 239
29.1 Níveis de capacitação e seus controles
O modelo eSCM-CL é composto por cinco níveis de capacitação,
que mostram o caminho de evolução do cliente de serviços rumo à
excelência em gestão de sourcing. O caminho rumo à excelência da
gestão inicia com a intenção de gerenciamento dos serviços terceirizados.
Na sequência, passa pelas primeiras formatações dos processos em
alguns setores da organização, avança no sentido de gestão alinhada
ao planejamento estratégico até, finalmente, chegar à capacidade de
aperfeiçoar e sustentar a excelência nas atividades de terceirização em
toda a organização. Esses níveis, segundo Fernandes e Abreu (2008), são:
• nível 1 – desempenho de sourcing: poucas práticas do eSCM-

CL implementadas, alto risco de insucesso no sourcing, pouca
capacidade de gestão do sourcing e pouco alinhamento com as
necessidades do negócio. Por exemplo, a organização contrata
serviços terceirizados que não estão relacionados com os produtos do
seu portfólio. Esse procedimento resulta em pouco valor agregado
aos objetivos de negócio da organização;
• nível 2 – gestão consistente do sourcing: os clientes têm
procedimentos formalizados para o gerenciamento de suas atividades
de sourcing. Essas organizações clientes são capazes de gerenciar
o sourcing, o que não pode ocorrer da mesma maneira em toda a
organização. Por exemplo, cada setor da organização desenvolve o
seu modelo de avaliação e contratação dos serviços terceirizados,
com orçamentos que não estão alinhados com o planejamento
estratégico da organização;
• nível 3 – gerenciamento organizacional do desempenho do
sourcing: nesse nível, as organizações clientes são capazes de gerenciar
o desempenho sourcing de acordo com a estratégia da organização,
entender o mercado e fornecedores de serviços (incluindo atributos
culturais), identificar e gerenciar os riscos e gerenciar o sourcing com
base em processos organizacionais estabelecidos. A organização adota
um único modelo de monitoramento e gerenciamento dos processos
associados com os serviços terceirizados, que visa a atender às
características culturais e regionais de cada fornecedor. Por exemplo,
nas metrópoles e grandes cidades, os sistemas de monitoramento
www.esab.edu.br 240
dos computadores/servidores possuem o serviço de envio de
mensagens para o celular do gerente do setor, caso os equipamentos
sejam desligados por falta de energia elétrica. Porém, nas cidades
do meio rural ou interior, esse requisito não é solicitado devido à
inoperabilidade das operadoras de telefonia;
• nível 4 – aperfeiçoar o valor proativamente: nesse nível, as
organizações clientes são capazes de inovar continuamente para
adicionar valor significativo às atividades de sourcing da organização,
estando aptas a customizarem sua abordagem de sourcing em função
de vários fornecedores e tipos de serviços, ajustando os processos
de sourcing de acordo com as necessidades de cada fornecedor. Por
exemplo, a emissão de nota fiscal eletrônica nas cidades em que seu
uso é obrigatório. Isso evita que potenciais clientes deixem de ser
contratados pela organização por uma incompatibilidade operacional;
• nível 5 – sustentando a excelência: mantém a excelência em
serviços, executando as 95 práticas do modelo, durante duas ou
mais avaliações de certificação consecutivas, em um período de pelo
menos dois anos. Por exemplo, se a organização está em constante
monitoramento e controle dos seus processos de gestão do sourcing
e ações, uma das práticas avaliadas é adotada para que melhorias
sejam implantadas e problemas detectados sejam solucionados. Um
desses problemas pode ser o alto índice de ajuste e manutenção de
um equipamento que foi terceirizado.
Observe que os níveis de capacitação representam as ações que a
organização cliente de serviços de TI realiza para garantir que os objetivos
de negócio sejam atingidos. Essas ações permitem que as organizações
avaliem e melhorem a sua capacidade de desenvolvimento de serviços mais
eficazes e, consequentemente, estabeleçam uma melhor relação entre o
cliente e o fornecedor. Dependendo da evolução da capacidade de gestão
dos serviços e gerenciamento das atividades da relação cliente-fornecedor,
a instituição recebe uma classificação que não é estática, tende a evoluir
continuamente, melhorar e inovar para desenvolver uma relação mais
forte, a longo prazo, e mais confiante com os seus fornecedores. Logo, os
níveis de capacitação representam a realidade da organização na gestão dos
serviços de sourcing. Esses níveis também possibilitam que a organização
busque melhorar e evoluir na capacidade de gestão dos serviços de sourcing
em todos os seus ciclos de vida (ongoing, análise, iniciação, entrega e
encerramento), como veremos a seguir.
www.esab.edu.br 241
29.2 Ciclo de vida e capacitação com eSCM-CL
Diferentemente do modelo eSCM-SP, o ciclo de sourcing do modelo
eSCM-CL é composto por cinco fases que correspondem aos processos
de controle do sourcing, são eles: ongoing, análise, iniciação, entrega e
encerramento. Note que uma nova fase foi incluída, a análise, e as demais
também estão presentes no ciclo de vida do outsourcing, inclusive com
os mesmos nomes. Segundo Fernandes e Abreu (2008), a fase ongoing
contempla as seguintes atividades:
• desenvolver a estratégia de sourcing;

• gerenciar a motivação do pessoal para realizar as atividades de sourcing;
• gerenciar o relacionamento com os fornecedores de serviços e os
interessados relevantes internos;
• medir e rever o desempenho das atividades de sourcing e tomar
medidas para a sua melhoria;
• definir o estado futuro da organização e de seus processos relativos
ao sourcing;
• gerenciar as mudanças organizacionais decorrentes;
• gerenciar as informações e os sistemas de conhecimento de
forma que o pessoal tenha acesso às informações necessárias para
desempenhar seu trabalho;
• identificar e controlar as ameaças à organização que possam
comprometer o sourcing.
Segundo Fernandes e Abreu (2008), a fase de análise – que não existe no
modelo eSCM-SP, pois o modelo tem como objetivo a gestão de outsourcing
– foi incluída no modelo eSCM-CL. Essa fase tem por objetivo:
• entender a situação atual em termos de processos e estrutura do cliente;

• identificar critérios relevantes para selecionar oportunidades de sourcing;
• analisar opções e oportunidades de sourcing;
www.esab.edu.br 242
• desenvolver e analisar um Business Case para cada opção de sourcing;
• analisar os riscos das ações propostas de sourcing;
• decidir pela realização ou não do sourcing.
Ainda segundo Fernandes e Abreu (2008), a fase de iniciação tem por
objetivo:
• desenvolvimento dos critérios para a seleção dos serviços;

• solicitação e avaliação de possíveis fornecedores de serviços;
• preparação para as negociações, a partir de critérios necessários para
negociação, como custos, níveis de serviços, duração do contrato e
qualidade do serviço;
• definição e medição dos níveis de serviço do fornecedor;
• entendimento da capacidade dos fornecedores de serviços pela
obtenção de informações sobre eles, confirmando premissas que
causam impacto nos compromissos;
• estabelecimento de um acordo formal com o fornecedor de serviço
que exprima claramente as responsabilidades e compromissos de
ambas as partes;
• fornecimento de feedback sobre o projeto do serviço, a fim de
assegurar que os serviços correspondam aos requisitos do cliente e
aos compromissos acordados.
A partir da descrição dos mesmos autores, podemos dizer que a fase de
entrega contempla:
• planejamento, controle e monitoramento das atividades e processos

de gestão de sourcing;
• assegurar que os serviços entregues estejam de acordo com os níveis
de desempenho acordados;
• gestão de mudanças com a identificação e controle de ajustes
realizados nos serviços entregues e que afetam os níveis de
desempenho;
www.esab.edu.br 243
• resolução rápida, eficiente e padronizada de problemas que causam
impacto na entrega do serviço;
• fortalecimento da importância do serviço contratado, da divulgação
de informações e dos indicadores que demonstrem as melhorias e
benefícios resultantes da adoção do serviço pela organização.
A fase de encerramento, ainda a partir dos preceitos de Fernandes e
Abreu, (2008), conta com as seguintes etapas:
• planejamento para a finalização ou renovação de um serviço;

• gerenciamento da transferência dos recursos para outro provedor
de serviços, seja este o próprio contratante ou um novo provedor.
Esta etapa contempla a transferência de recursos humanos, recursos
físicos e documentação relacionadas ao serviço contratado;
• garantia de operabilidade do serviço durante o processo de
transferência dos serviços;
• identificação e divulgação dos conhecimentos necessários para a
transferência dos serviços.
Observe que a característica essencial das fases do ciclo de vida de
sourcing é não focar somente na execução dos serviços, mas em todos os
processos, de forma a reduzir a complexidade de criticidade destes, com
a análise do contexto do serviço, identificados as ameaças e riscos, o que
permite antecipar-se com relação aos possíveis problemas.
Segundo Fernandes e Abreu (2008, p. 330) as áreas de capacidade “[...]

representam o agrupamento lógico das práticas associadas ao ciclo de
sourcing e servem para demonstrar a capacitação da organização cliente”.
Essas áreas de capacitação são:
• análise de sourcing: analisa as operações realizadas na organização,

suas prioridades e necessidades, e identifica quais são os serviços
disponíveis no mercado para atendimento dessas necessidades;
• abordagem de sourcing: avalia qual é a melhor forma de contratação
do serviço, se será realizado na própria organização ou fora dela, o seu
período de vigência e níveis de desempenho desejados;
www.esab.edu.br 244
• planejamento de sourcing: desenvolve um planejamento de
como os serviços de sourcing serão implantados, quais os recursos
necessários por parte da organização e quais são as partes envolvidas
com as atividades para iniciação e entrega do serviço;
• avaliação do fornecedor de serviço: visa a identificar os
fornecedores que atendem aos requisitos desejados, como nível de
desempenho dos serviços, custos, benefícios e qualidade do serviço,
selecionando esses fornecedores;
• acordos de serviço: visa à definição e formalização do serviço
na forma do contrato de prestação de serviços, com os níveis de
desempenhos e requisitos desejados;
• transferência de serviços: visa à garantia da transferência bem-
sucedida dos serviços de um fornecedor para outro;
• gerenciamento dos serviços contratados: desenvolve um modelo
de gerenciamento dos serviços contratados, com a identificação dos
riscos, dos problemas que podem ocorrer e das possíveis soluções que
garantam a operabilidade do serviço;
• encerramento do sourcing: visa à execução das atividades de
encerramento do projeto, com verificação de pendências técnicas e/
ou financeiras entre as partes envolvidas.
As áreas de capacitação estão diretamente relacionadas com as fases do ciclo
de vida de sourcing, pois apresentam boas práticas que podem ser aplicadas
para otimização dos resultados. O Quadro 7 apresenta a relação entre as
áreas de capacitação e as fases do ciclo de vida de sourcing. Acompanhe.
www.esab.edu.br 245
Fases do ciclo de
Área de capacitação
vida de sourcing
Gestão de valor
Gestão de relacionamento
Ongoing Gestão de pessoas
Gestão de tecnologia
Gestão de ameaças
Análise de oportunidades de sourcing
Análise
Abordagem de sourcing
Planejamento do sourcing
Avaliação do fornecedor
Iniciação
Acordos de serviço
Transferência de serviço
Entrega Gestão de serviço contratado
Encerramento Encerramento de sourcing
Quadro 7 – Áreas de capacitação versus ciclos de vida de sourcing.

Fonte: Adaptado de Fernandes e Abreu (2008, p. 331).
O que se deseja com a integração entre os processos do ciclo de vida de

sourcing e as áreas de capacitação, é criar mecanismos de medição e gestão
do progresso da organização na administração dos serviços de TI que são
contratados. A integração do ciclo com as áreas fornece informações que
fundamentam o gerenciamento efetivo e o acompanhamento dos níveis
de capacitação, através de critérios objetivos para o estabelecimento e
gerenciamento dos acordos com os fornecedores.
Nesta unidade, você estudou os cinco níveis de capacitação do modelo

eSCM-CL que mostram o caminho de evolução do cliente de serviços
rumo à excelência em gestão de sourcing. Você pôde ainda conhecer as
fases do ciclo de vida de sourcing: ongoing, análise, iniciação, entrega
e encerramento. Por fim, foi apresentada a integração das fases do ciclo
de vida do sourcing com as áreas de capacitação que apresentam boas
práticas, e que podem ser aplicadas para otimização dos resultados de
cada atividade do ciclo de vida de sourcing.
Na próxima unidade, vamos estudar os modelos ISO 9001, ISO 12207 e

ISO 9126. Vamos lá?
www.esab.edu.br 246
Modelos ISO de melhores práticas –
30 parte I
Objetivo
Apresentar os conceitos de ISO, os modelos 9001, 12207 e 9126.
Na unidade anterior você estudou os cinco níveis de capacitação do modelo

eSCM-CL, as fases do ciclo de vida de sourcing e as suas áreas de capacitação.
Nesta unidade, vamos estudar os modelos de avaliação da qualidade

de serviços e produtos, as ISO 9001, 12207 e 9126, seus históricos,
objetivos e cerificações relacionadas.
Vamos iniciar nossos estudos sobre o assunto, conhecendo o histórico e

os objetivos dos modelos ISO.
30.1 Histórico dos modelos e seus objetivos

Antes de conhecermos o histórico dos modelos ISO 9001, 12207
e 9126, vamos entender o que é a ISO, um termo muito usado no
mercado. O termo ISO é a abreviação de International Organization
for Standardization, que, em português, é conhecida como Organização
Internacional de Padronização, uma organização não governamental
com sede na Suíça, fundada em 1946 com a intenção de elaborar e
promover padrões para normatização de produtos e serviços, visando
à melhoria e manutenção da qualidade. As normas preconizadas pela
ISO são utilizadas em vários países, nos mais diferentes segmentos e são
conhecidas como normas de gestão da qualidade. No Brasil, a organização
ISO é representada pela Associação de Normas Técnicas, a ABNT.
www.esab.edu.br 247
Saiba mais
Caro aluno, no site da ISO 90001 você pode fazer
o download de artigos, das revisões e das normas
especificadas por esse modelo de gestão da
qualidade. Os materiais estão disponíveis clicando
aqui. Acesse e aprenda mais sobre essa importante
ferramenta de gestão da qualidade.
Vamos analisar o histórico das normas ISO de forma separada para

melhor compreensão de quando cada uma delas surgiu e qual a sua
finalidade. Acompanhe.
30.1.1 Histórico da ISO 9001
A norma ISO 9001 é um conjunto de normas estabelecidas no final

da década de 1980, constituída pelas ISO 9000, 9001, 9002 e 9003.
A norma de certificação ISO 9001 surgiu para responder às demandas
do mercado em geral por controle de qualidade. A sua primeira versão,
em 1987, foi muito influenciada por padrões e necessidades de órgãos
militares dos Estados Unidos da América. Já a segunda versão dessa
norma surgiu em 1994, saída do contexto militar e introduzida no
contexto da garantia de qualidade em geral, com a integração de ações
preventivas, mas que deveriam ser comprovadas por procedimentos
documentados, tornando-a muito mais burocratizada. Apenas em 2000,
a norma ISO 9001 agregou realmente o conceito de gestão por meio de
processos com a utilização de indicadores de desempenho, fortalecendo
o conceito de gestão e controle de qualidade, passando a ser conhecida
como ISO 9001. A NBR ISO 9001 é a versão brasileira da norma
internacional ISO 9001 (FERNANDES; ABREU, 2008).
A ISO 12207, por sua vez, surgiu em 1989 com o objetivo de padronizar
os processos do ciclo de vida do software (FERNANDES; ABREU, 2008).
www.esab.edu.br 248
A ISO 9126 surgiu em 1991, com a finalidade de desenvolver normas

de avaliação da qualidade do produto de software, para quem desenvolve
ou utiliza softwares. Em 1996, foi lançada sua tradução para o português
no Brasil, chamada NBR 13596. Em 2001, a norma ISO 9126 foi
atualizada e lançada como ISO 9126-1, com foco na definição de um
modelo de qualidade. Em 2003, foram lançadas duas novas versões, a
ISO 9126-2, com foco nas métricas externas, e a ISO 9126-3, com foco
nas métricas internas. Em 2004, foi lançada a versão ISO 9126-4 com
foco nas métricas de qualidade de uso. Essas quatro versões compõem o
modelo completo da norma ISO 9126 (FERNANDES; ABREU, 2008).
Vamos agora conhecer o objetivo de cada uma dessas normas.
30.1.4 Objetivos da ISO 9001
Cada uma dessas normas possui características e objetivos distintos, por

exemplo, a norma ISO 9001 tem como objetivo especificar como os
requisitos da gestão da qualidade devem ser implementados em uma
organização. Essa implementação deve possibilitar que a organização
demonstre a sua capacidade de fornecer, de forma coerente, produtos
que atendam aos requisitos do cliente e, consequentemente, aumentem a
satisfação do cliente por meio da efetiva aplicação da gestão da qualidade.
Já o objetivo da norma ISO 1227 é criar uma estrutura na organização

que possibilite, por meio de uma linguagem comum, o gerenciamento e
desenvolvimento de softwares, na forma de um ciclo de vida, atuando desde
a sua concepção até o seu descarte, com atividades de aquisição, suprimento,
manutenção, documentação, verificação, validação e treinamento.
www.esab.edu.br 249
Por fim, a norma ISO 9126 visa a criar mecanismos de avaliação

do produto de software, do ponto de vista da qualidade do produto,
atuando desde a definição dos requisitos de qualidade até a verificação se
o software desenvolvido atende a essas especificações. Para isso, atributos
como funcionalidades, confiabilidades, usabilidade e portabilidade do
software são avaliados e documentados (FERNANDES; ABREU, 2008).
30.2 Contexto para aplicação dos modelos

Com relação à norma ISO 9001, Fernandes e Abreu (2008, p. 389)
destacam que “[...] sua aplicação pode ser para qualquer tipo de operação
ou negócio que resulte em um produto ou serviço”. No caso específico das
empresas que atuam na área de TI, o modelo pode ser aplicado em operações
de desenvolvimento de softwares, de suporte e infraestrutura em TI.
A norma ISO 12207, de acordo com Fernandes e Abreu (2008, p. 393),

pode ser aplicada “[...] para a maioria das empresas, principalmente
no tocante ao desenvolvimento de software, seja internamente ou por
terceiros. Pode-se usar este modelo também em processos de outsourcing”.
A norma contempla todos os processos do ciclo de vida do software
(aquisição, suprimento, desenvolvimento, operação e manutenção).
Por fim, a norma ISO 9126 pode ser aplicada em qualquer tipo
de organização que “[...] necessite avaliar a aceitação de softwares
desenvolvidos ou adquiridos pela empresa, conforme os requisitos
estabelecidos para cada uma das características da qualidade esperadas
para o software” (FERNANDES; ABREU, 2008, p. 398). Logo, essa
norma pode auxiliar na definição da qualidade dos produtos a partir
da especificação dos testes (quais, quando, como e quem serão os
responsáveis por aplicá-los) a serem realizados e condições de aceitação
dos softwares desenvolvidos ou adquiridos pela organização.
www.esab.edu.br 250
Saiba mais
O Portal dos Administradores, clicando aqui,
apresenta um artigo sobre a importância
da certificação ISO 9001 para pequenas e
microempresas. Leia o artigo e amplie seus
conhecimentos sobre o tema!
A seguir, vamos conhecer como as certificações desses modelos são

realizadas. Acompanhe.

Para certificação ISO, a organização deve solicitá-la junto a alguma
instituição autorizada pela própria ISO. Após a solicitação e cadastro
dos dados da organização, é realizada uma avaliação para atestar se a
organização atende aos requisitos para a certificação e a veracidade das
informações cadastrais. Estando o processo autorizado, são agendadas
datas para que a empresa autorizada possa realizar auditorias na empresa
que deseja a certificação, para avaliação da maturidade da qualidade
nos processos internos e externos. A auditoria contempla a análise da
documentação e os aspectos da gestão da qualidade. O resultado da
auditoria é um relatório de conformidades e não conformidades com as
práticas da norma pleiteada (ISO 9001, ISO 12207 e ISO 9126), e o
prazo para que as não conformidades sejam resolvidas. Com a aprovação
de todas as ações corretivas, ocorre a certificação oficial da organização,
com vigência de três anos. O certificado contém os seguintes dados:
• dados para a caracterização do cliente;

• número do certificado, data de concessão, tipo e validade do
certificado;
• nome, endereço e marca de veracidade da certificação;
• escopo da certificação de acordo com a ISO certificada.
www.esab.edu.br 251
Para manter a certificação, a organização certificadora pode executar
auditorias para verificar se a empresa certificada continua atendendo aos
requisitos exigidos pela norma ISO. Durante a vigência da certificação,
outras auditorias podem ser realizadas, fundamentadas em indícios que
as justifiquem, por exemplo, denúncias ou necessidade de implantação
de melhorias nos processos implantados na organização. Antes que a
certificação expire, a organização pode requerer a recertificação, ou seja, a
renovação do contrato junto à ISO.
Saiba mais
A certificação ISO, em especial a ISO 9001, pode
ser aplicada em instituições públicas e privadas.
O site da certificação ISO, clicando aqui, traz
um artigo sobre a certificação ISO 9001 em
órgãos públicos, como a Prefeitura Municipal de
Gramado, no Rio Grande do Sul.
Nesta unidade, você pôde conhecer a origem do termo ISO, que é a

abreviação de International Organization for Standardization, uma
organização não governamental com a intenção de elaborar e promover
padrões para normatização de produtos e serviços, como as normas
ISO 9001, ISO 12207 e ISO 9126. Talvez a mais famosa e conhecida
destas três normas seja a ISO 9001, cuja aplicação pode ser adotada
em qualquer tipo de operação ou negócio que resulte em um produto
ou serviço. Você pôde estudar também que a norma ISO 12207 pode
ser aplicada na maioria das empresas, principalmente no tocante ao
desenvolvimento de software, seja internamente ou por terceiros. A
norma contempla todos os processos do ciclo de vida do software
(aquisição, suprimento, desenvolvimento, operação e manutenção).
Por fim, a outra norma estudada foi a ISO 9126, que pode ser aplicada
em qualquer tipo de organização que necessite avaliar a aceitação
de softwares desenvolvidos ou adquiridos pela empresa, conforme o
atendimento aos requisitos de qualidade.
Na próxima unidade, vamos continuar a estudar os modelos ISO, com

foco na melhoria nos processos de desenvolvimento do software.
www.esab.edu.br 252
Resumo
Na unidade 25, você foi apresentado ao histórico do modelo ISO/IEC

20000, seus objetivos e contexto para aplicação. Você viu que se trata de
um modelo que visa ao planejamento, controle e monitoramentos dos
serviços de TI de forma que possam ser entregues em conformidade com
as necessidades dos clientes e, consequentemente, da organização.
Na unidade 26, você pôde conhecer o modelo eSCM-SP, cuja aplicação

visa a propiciar à organização a capacidade e habilidade para estabelecer
um acordo de confiança entre o cliente e o fornecedor do serviço de
TI. Para que isso aconteça, é preciso gerenciar as expectativas de ambas
as partes. Esse modelo disponibiliza para a organização o controle e o
gerenciamento dos serviços de TI terceirizados.
Na unidade 27, você estudou os processos que fazem parte do ciclo

de vida do outsourcing, sejam eles: ongoing, iniciação, entrega e
encerramento, que se organizam na forma de áreas de capacitação e
práticas como níveis de maturação, que são cinco: Nível 1 – Provedor de
serviços, Nível 2 – Atendendo consistentemente os requisitos, Nível 3 –
Gerenciamento do desempenho organizacional, Nível 4 – Fornecendo
valor proativamente e Nível 5 – Sustentando a excelência.
Na unidade 28, apresentamos o histórico do modelo e-SCM-CL,

que também tem foco no outsourcing, porém voltado para o cliente
de serviços terceirizados, chamado de sourcing. O modelo está em
constante evolução e visa a, independentemente do ramo de atividade
da organização, que os serviços terceirizados sejam um diferencial de
competitividade no mercado com a implementação de controles efetivos
e melhoria contínua nos processos do ciclo de vida do outsourcing.
Na unidade 29, você estudou os cinco níveis de capacitação do modelo

eSCM-CL, que mostram o caminho de evolução do cliente de serviços
www.esab.edu.br 253
rumo à excelência em gestão de sourcing. Você pôde, ainda, conhecer as
fases do ciclo de vida de sourcing: ongoing, análise, iniciação, entrega e
encerramento. Ainda nessa unidade, você foi apresentado à integração
entre as fases do ciclo de vida do sourcing com as áreas de capacitação
que apresentam boas práticas que podem ser aplicadas para otimização
dos resultados de cada atividade do ciclo de vida de sourcing.
Na unidade 30, finalmente, você foi apresentado à ISO, que é a

abreviação de International Organization for Standardization, uma
organização não governamental que tem a intenção de elaborar e
promover padrões para normatização de produtos e serviços. Na ocasião,
você pôde estudar também o histórico e os objetivos das normas ISO
9001, ISO 12207 e ISO 9126. Você aprendeu que a ISO 9001 pode
ser aplicada em qualquer tipo de operação ou negócio que resulte em
um produto ou serviço, já a norma ISO 12207 pode ser aplicada para a
maioria das empresas, principalmente no tocante ao desenvolvimento de
software, seja internamente ou por terceiros. A norma contempla todos os
processos do ciclo de vida do software. Por fim, a outra norma estudada
foi a ISO 9126, que pode ser aplicada em qualquer tipo de organização
que necessite avaliar a aceitação de softwares desenvolvidos ou adquiridos
pela empresa, conforme o atendimento aos requisitos de qualidade.
www.esab.edu.br 254
Modelos ISO de melhores práticas –
31 parte II
Objetivo
Apresentar MR-MPS de melhoria no processo de desenvolvimento do
software.
Na unidade anterior, apresentamos a origem do termo ISO. Vimos que a

ISO representa uma organização não governamental que tem a intenção
de elaborar e promover padrões para a normatização de produtos e
serviços, fornecendo normas como a ISO 9001, a ISO 12207 e a ISO
9126. Talvez a mais famosa e conhecida dessas três normas seja a ISO
9001, que pode ser aplicada em qualquer tipo de operação ou negócio
que resulte em um produto ou serviço, como em empresas fabricantes
de torneiras, de chuveiros e de lâmpadas; empresas fabricantes de
ferramentas, materiais elétricos e pias, e até em fabricantes de cimento
e de desenvolvimento de software, o que demonstra a pluralidade de
empresas certificadas pela ISO 9001. No caso específico das empresas
que atuam na área de TI, o modelo pode ser aplicado em operações de
desenvolvimento de softwares, suporte e infraestrutura em TI.
Nesta unidade, continuaremos os estudos dos modelos ISO, com foco

nas empresas de TI e nos processos de desenvolvimento do software. Esta
unidade foi desenvolvida com base em Fernandes e Abreu (2008).
Iniciaremos nossos estudos abordando o histórico do modelo MR-

MPS. Em seguida, trataremos dos processos do ciclo de vida de
desenvolvimento de software e dos benefícios da integração do modelo
MR-MPS nesses processos. Vamos lá?
www.esab.edu.br 255
31.1 Histórico do Modelo MR-MPS
Com o aumento da complexidade dos sistemas computacionais, das
exigências do mercado brasileiro, com clientes cada vez mais criteriosos,
e da competitividade, crescente a partir da década de 1990, ficou
evidente a necessidade de um modelo de avaliação dos processos de
desenvolvimento de software. Nesse período, os softwares mudaram de
um patamar de aplicações básicas, que dava apoio a outros programas
e proporcionava grande interação entre hardware e software (como
os sistemas operacionais), para um novo patamar, com softwares
comerciais e em tempo real. Nesse novo patamar, os softwares visavam
a atender às necessidades das organizações por meio da automatização
das rotinas administrativas e maior interação com o mundo externo,
como os sistemas de folha de pagamento, contábil e de controle de
estoque. Assim, os softwares mudaram de um cenário de pesquisa e uso
governamental para um mercado geral com clientes dos mais variados
ramos de atividades.
Essa avaliação deveria estar ancorada na classificação do desenvolvimento

desses softwares de acordo com o nível de maturidade da organização.
Além disso, era preciso classificar o desenvolvimento desses softwares
também pela apresentação (ou não) de boas práticas para a entrega dos
produtos com melhor qualidade e dentro dos prazos e custos estimados.
No início da década de 1990, as empresas de desenvolvimento de

software começaram a enfrentar graves problemas relacionados à
qualidade dos sistemas produzidos, como padrão de documentação
dos projetos, avaliação da complexidade dos sistemas, dificuldade
de definir as tarefas prioritárias e os riscos de cada atividade. Esses
problemas resultavam em dificuldades para atender às expectativas dos
clientes e aos requisitos previamente estabelecidos para o produto, o que
ocasionava, consequentemente, maior custo de produção, cronogramas
não atendidos, maior tempo de desenvolvimento e insatisfação dos
clientes. Como estratégia para a solução desses problemas, desenvolveu-
se o modelo CMMI, um modelo de referência com um conjunto de
boas práticas para o desenvolvimento de produtos, serviços, terceirização
de bens e serviços, com foco na qualidade e melhoria dos processos de
desenvolvimento de software. O CMMI se apresentava como um modelo
www.esab.edu.br 256
eficiente e com excelentes resultados para a padronização dos processos
de desenvolvimento de softwares, com integração da engenharia de
softwares e hardwares. No entanto, sua implementação representou
um custo elevado para empresas de pequeno e médio porte, em todo o
mundo. Nesse sentido, com a demanda de um modelo com custo menor
e que pudesse ser implantado em empresas de menor porte, iniciaram-se,
no Brasil, os estudos para o desenvolvimento de um modelo dentro da
realidade das empresas de médio e pequeno porte do mercado nacional.
Esse novo modelo também deveria ter foco na melhoria de processos de
desenvolvimento de software (semelhante ao CMMI). Como o modelo
foi desenvolvido com foco no mercado brasileiro, é também conhecido
como Melhoria de Processos do Software Brasileiro (MPS.BR). Esse
novo modelo foi proposto e desenvolvido por órgãos governamentais e
não governamentais e surgiu em 2003, consolidando-se em 2005, com
o desenvolvimento do modelo MR-MPS (Modelo de Referência para
Melhoria do Processo de Software). Esse modelo é um guia que apresenta
métodos de avaliação dos processos de desenvolvimento de software,
desde o levantamento dos requisitos do sistema até a validação e entrega
do produto. O MR-MPS teve sua primeira publicação, a versão 1.0, em
2005. Essa versão foi revisada em 2006 e 2007, com a publicação da
versão 1.1 e 1.2, respectivamente.
Em 2009, foi publicada a versão atual do modelo MR-MPS, conhecida

como 2.0, fundamentada no modelo CMMI. Segundo Fernandes
e Abreu (2008), a versão 2.0 é orientada para pequenas e médias
empresas, as quais, normalmente, não possuem recursos financeiros para
desenvolvimento e implantação do modelo CMMI.
O modelo MR-MPS não substitui o CMMI, trata-se de um modelo

nele apoiado. Qual seria, então, a diferença entre esses dois modelos?
Uma das diferenças entre eles é que o modelo MR-MPS é dividido
em sete níveis de maturidade, enquanto o modelo CMMI adota cinco
níveis. Segundo Fernandes e Abreu (2008), os níveis de maturidade do
modelo MR-MPS são:
• Nível G – Parcialmente Gerenciado: nesse nível, a organização adota

a gerência de requisitos dos sistemas como forma de especificação
das funcionalidades dos sistemas. Os projetos são monitorados e
www.esab.edu.br 257
controlados de forma a atender às estimativas de custos e prazos.
Há uma preocupação com a qualidade dos produtos, mas não há
indicadores que possam auxiliar no acompanhamento dos processos
de desenvolvimento de software. Nesse nível, a organização deve
possuir formalmente o papel do gerente de projetos e do analista
de requisitos, responsáveis pela gestão de riscos e cronogramas dos
projetos, respectivamente, além de análise e definição dos requisitos
dos sistemas;
• Nível F – Gerenciado: nesse nível, a organização adota a gerência
de requisitos dos sistemas com gestão de projetos, controle de
qualidade e o uso de indicadores que permitem o acompanhamento
dos processos de desenvolvimento de software. Porém, os processos
de validação e verificação dos sistemas desenvolvidos não são
executados. Esse nível se caracteriza pela preocupação com o
controle e monitoramentos dos processos executados na organização.
Para isto, a empresa deve desenvolver mecanismos de medição do
desempenho dos serviços e atividades realizadas na instituição. Esse
desenvolvimento e essa avaliação de desempenho devem ocorrer em
todos os setores, em especial nos setores relacionados diretamente
com a gestão de projetos e com a qualidade dos produtos. A
utilização de sistemas computacionais para registro das atividades,
resultados desejados e realizados, com dados da produção do dia a
dia, é fundamental para a medição dos indicadores;
• Nível E – Parcialmente Definido: nesse nível, a organização adota
a gerência de requisitos dos sistemas com gestão de projetos,
controle de qualidade, e uso de indicadores, além disso, processos
de validação e verificação dos sistemas desenvolvidos são executados.
A organização deve ter equipes de desenvolvimento de software
especializadas na reutilização de códigos, possibilitando que as
rotinas desenvolvidas possam ser rapidamente ajustadas para outros
softwares e produtos. Além disso, a aquisição de mão de obra
qualificada deve ser executada por um setor de recursos humanos, ou
seja, não deve ficar a cargo do setor de Tecnologia da Informação;
• Nível D – Largamente Definido: nesse nível, a organização adota
a gerência de requisitos dos sistemas com gestão de projetos,
controle de qualidade, uso de indicadores, processos de validação e
verificação, com padronização dos processos de desenvolvimento de
www.esab.edu.br 258
sistemas e envolvimento de toda a organização nesses processos. Os
níveis operacional, estratégico e tático são ativos e participativos em
todo o ciclo de vida do desenvolvimento dos softwares. Nesse nível,
a organização deve apresentar uma política de validação e testes dos
produtos desenvolvidos, reforçando a preocupação com a qualidade
dos serviços e produtos implementados. Para isso, a gerência de
requisitos deve atuar diretamente com os setores de validação e testes
dos produtos, documentando os resultados e melhorias necessárias;
• Nível C – Definido: a análise de requisitos, a gestão de projetos e a
integração de toda a organização nos processos de desenvolvimento
de software possibilitam a gestão dos riscos e resolução de
problemas, com uma gerência integrada dos projetos. Nesse nível,
a organização se destaca por documentar e registrar as atividades
e processos executados na instituição. Esse procedimento formará
uma base de conhecimento que auxiliará na tomada de decisões e,
consequentemente, na gestão de riscos da organização;
• Nível B – Gerenciado Quantitativamente: nesse nível, a organização
desenvolve os sistemas de forma gerenciada, com foco na
qualidade e gerência de requisitos, com participação efetiva de
toda a organização dos processos e utilização de indicadores que
possibilitam a avaliação constante da viabilidade do projeto, com
análise dos custos e investimentos realizados. Os riscos são mitigados
e as soluções são previamente estabelecidas de forma a diminuir a
probabilidade de riscos e otimizar os resultados financeiros com
o projeto. A gestão de projeto é fortemente aplicada a partir da
definição de prazos, de custos e de escopo dos projetos. Qualquer
mudança no escopo do projeto representa riscos para a organização,
por isso, precisa ser monitorada e controlada;
• Nível A – Em Otimização: nesse nível, a organização desenvolve
os sistemas de forma gerenciada, com foco na qualidade e gerência
de requisitos, com processos de desenvolvimento que são ajustados
e melhorados constantemente, e com preocupação gerencial com
a inovação de produtos e serviços que garantam um diferencial de
mercado para a organização. A organização caracteriza-se por ter um
departamento de pesquisa e desenvolvimento com a finalidade de
desenvolver novas tecnologias e estudos alinhados com as mudanças
que ocorrem no mercado, na forma de clientes e concorrentes.
www.esab.edu.br 259
Note que o MR-MPS é definido por meio de níveis de maturidade que
estabelecem patamares de evolução dos processos de desenvolvimento
de software na organização, sendo que esses sete níveis possibilitam
uma implementação mais ampla da melhoria de processo de software.
Isto facilita sua implementação em pequenas e médias empresas, com
excelentes resultados alcançados, principalmente no que se refere
ao tempo e ao custo do desenvolvimento do software. Com esses
níveis de maturidade, a organização pode evoluir de forma que os
requisitos dos sistemas permitam identificar inconsistências entre o
que está sendo entregue ao cliente e o que foi prometido. Dessa forma,
planos de trabalho devem ser formatados e executados para que essas
inconsistências sejam resolvidas em curto tempo, por exemplo, o
desenvolvimento de políticas que estabeleçam como regra a aplicação
de testes e a validação de todas as funcionalidades desenvolvidas para o
sistema como precondição para o encerramento do projeto.
É muito importante que o modelo MR-MPS seja aplicado em todo

o ciclo de vida de desenvolvimento de softwares para melhoria na
qualidade dos produtos e maior satisfação dos clientes.
A seguir, abordaremos essa integração MR-MPS e o desenvolvimento de

software de forma sucinta. Acompanhe.
31.2 Ciclo de vida do processo de desenvolvimento de

software e a integração com MR-MPS
O desenvolvimento de software representa as fases necessárias para
a transformação de uma ideia, necessidade ou oportunidade em um
software, desde a sua concepção até a sua validação e entrega para o cliente
ou usuário. O ciclo de vida do software, além de definir as etapas para a
sua construção, permite também a detecção de erros e problemas durante
o processo de desenvolvimento, possibilitando uma melhor qualidade
do produto entregue ao cliente, devido ao atendimento aos requisitos do
sistema e, consequentemente, aos prazos e custos mais realistas.
www.esab.edu.br 260
Segundo Fernandes e Abreu (2008, p. 402), “[...] o ciclo de vida de
desenvolvimento de software é composto por quatro fases: concepção,
elaboração, construção e transição”, acompanhe agora o estudo dessas
fases, representadas na Figura 24:
Concepção
Transição Elaboração
Construção
Figura 24 – Fases do ciclo de vida do desenvolvimento de softwares.

A concepção consiste na definição do escopo do projeto. Esse escopo

determina o que o sistema deve fazer, mas também o que o sistema não
deve fazer. No caso do desenvolvimento de softwares, determinar o que
o sistema não deve fazer é fundamental para a definição de custos, de
prazos e, principalmente, para a aceitação ou rejeição do produto final
por parte do cliente e usuário. Por exemplo, no desenvolvimento de
softwares é muito comum que, no momento da utilização do sistema,
o usuário questione sobre a necessidade de relatórios específicos que
precisam ser gerados pela ferramenta. Especificar quais são esses
relatórios e quais os dados serão impressos deve ser um processo
amplamente debatido junto com os usuários do sistema. Esses debates
devem ser transformados em requisitos claros e bem documentados,
sem isto o risco de o sistema não atender às necessidades do usuário são
grandes. Portanto, nesse caso, devem ser especificados quais relatórios
são necessários e quais não serão gerados pelo sistema. Por exemplo,
www.esab.edu.br 261
a emissão de relatórios contábeis, com a movimentação financeira
da organização, envolve processos de modelagem e implementação
complexos, principalmente devido às mudanças constantes das leis
tributárias no Brasil. Por isso, o planejamento desse tipo de modelagem
deve ser amplamente discutido ainda na etapa de definição do escopo
do projeto. Algumas questões devem ser observadas, porém a principal
pergunta que deve ser feita é: quais são os dados e especificações de cada
relatório que o sistema deverá gerar? Caso você ignore essa questão,
e durante o desenvolvimento do projeto novos tipos de relatórios
contábeis forem inseridos, o risco de atrasos e erros no projeto aumentará
consideravelmente.
Para tanto, o modelo MR-MPS determina que a gerência de requisitos

seja integrada à definição do escopo do projeto. A gerência de requisitos
é responsável por especificar e monitorar os requisitos do produto e dos
componentes do produto e identificar possíveis inconsistências entre os
requisitos e o que está sendo entregue ao cliente.
A fase de elaboração consiste em estabelecer a arquitetura do produto,

eliminar ou diminuir os riscos e especificar os custos e prazos. Nesse
sentido, o MR-MPS especifica que a elaboração seja integrada à gestão de
projetos, de forma a estabelecer as atividades, recursos e responsabilidades
do projeto, bem como compartilhar e organizar as informações sobre
o seu andamento. Essa organização das informações permite que sejam
realizados ajustes quando houver incompatibilidades nas atividades
realizadas. A fase de construção consiste no desenvolvimento das
funcionalidades e na finalização do sistema. Essa fase deve ser integrada
à gestão de construção do produto, com a finalidade de projetar,
desenvolver, testar e validar os softwares desenvolvidos e garantir o
atendimento aos requisitos do sistema.
Por fim, a fase de transição consiste em disponibilizar o sistema para

os usuários. De acordo com MR-MPS, esse processo deve garantir a
implantação e a disponibilidade do sistema, garantindo assim a sua
execução de acordo com os resultados desejados por parte do cliente ou
do usuário do software.
www.esab.edu.br 262
O que se deseja com essas etapas do ciclo de vida do desenvolvimento
de softwares, ou seja, com a concepção, a elaboração, a construção e
a transição, é que a cada nova interação (evoluções do sistema) sejam
realizadas avaliações para verificar se as funcionalidades desenvolvidas estão
de acordo com os requisitos preestabelecidos e que as mudanças durante o
desenvolvimento sejam documentadas e avaliadas de forma a diminuir os
riscos com relação ao projeto (FERNANDES; ABREU, 2008).
Há outros benefícios com a gestão do ciclo de vida do software e a

implantação do MR-MPS. A seguir, daremos continuidade aos nossos
estudos, aprendendo sobre esses outros benefícios. Acompanhe.
31.3 Benefícios e vantagens com a integração

O principal benefício do modelo MR-MPS é que a sua estrutura
simples, com foco no monitoramento e definição do ciclo de vida do
desenvolvimento de software, possibilita sua implementação em empresas
de pequeno e médio porte. Assim, as empresas que possuem pouco
recurso financeiro para implantação de um modelo de maturidade dos
processos de desenvolvimento de software podem criar mecanismos para
avaliar a sua maturidade no que se refere ao controle e monitoramento
do ciclo de vida do desenvolvimento de software, e os mecanismos
utilizados por essas organizações são, principalmente, a gestão de projetos
e o gerenciamento dos requisitos. O que se espera como resultado da
adoção do modelo é a padronização dos processos do ciclo de vida de
desenvolvimento de software e, consequentemente, o estabelecimento de
níveis de qualidade que sejam aceitos nacional e internacionalmente, com
foco na melhoria constante dos processos já disponíveis. Dessa forma, o
modelo fortalece a importância da análise de requisitos da engenharia de
software como forma de desenvolver sistemas com melhor qualidade e que
gerem maior satisfação aos clientes. A Figura 25 apresenta a integração
entre a análise de sistemas, a gestão de requisitos, a modelagem, testes e
validação no processo de desenvolvimento de um software.
www.esab.edu.br 263
Análise
Requisitos
Modelagem
Testes e Validação
Entrega do software
Desenvolvimento de Software
Figura 25 – Importância da gestão de requisitos no desenvolvimento de softwares.
Note que o desenvolvimento de um sistema deve se fundamentar na

análise dos requisitos. Segundo Fernandes e Abreu (2008), essa análise,
por sua vez, deve ancorar-se:
• na modelagem e documentação do que o sistema deve fazer e do que

não deve fazer;
• na implementação, teste, validação e entrega do software.
A entrega do software deve estar em consonância com as expectativas dos
clientes e usuários, representados pela gestão de projetos, gestão de requisitos,
gestão de mudanças e configurações e gestão de construção do produto.
Nesta unidade, você pôde estudar que o aumento da complexidade

dos sistemas computacionais, bem como as especificidades do mercado
brasileiro fizeram com que as organizações adotassem um modelo
de avaliação dos processos de desenvolvimento de software que os
classificassem de acordo com o nível de maturidade, como o CMMI.
Porém, o custo elevado para implantação do modelo CMMI dificultava
sua execução para pequenas e médias empresas. Assim, para atender aos
objetivos e à realidade do mercado nacional foi desenvolvido o modelo
MR-MPS. Estudamos que esse modelo não substitui o CMMI, trata-se de
um modelo fundamentado nele. Vimos, ainda, que o modelo MR-MPS é
dividido em sete níveis de maturidade, enquanto o modelo CMMI adota
cinco níveis de maturidade. Você aprendeu que o MR-MPS é definido
por meio de níveis de maturidade que estabelecem patamares de evolução
dos processos de desenvolvimento de software na organização.
www.esab.edu.br 264
Você pôde estudar também que a integração do MR-MPS com o
ciclo de vida do desenvolvimento de software garante que a cada nova
interação sejam realizadas avaliações para verificar se as funcionalidades
desenvolvidas estão de acordo com os requisitos preestabelecidos.
Aprendemos, ainda, que o principal benefício do modelo MR-MPS é ter

uma estrutura que possibilita a implementação em empresas de pequeno e
médio porte, de forma que o desenvolvimento de um sistema se fundamente
na análise de requisitos, modelagem, implementação, teste, validação e
entrega, em consonância com as expectativas dos clientes e usuários.
Na próxima unidade, estudaremos o modelo PMBOK, voltado para a

gerência de projetos.
Fórum
Caro estudante, dirija-se ao Ambiente Virtual de
Fórum de discussão. Lá você poderá interagir com
www.esab.edu.br 265
Modelos de gestão de projetos –
32 parte I
Objetivo
Introduzir o PMI/PMBOK, abordando a importância da gestão de
projetos, seu histórico e sua estrutura.
Na unidade anterior, você pôde estudar que o aumento da complexidade

no desenvolvimento dos sistemas computacionais, aliado ao custo para
implantação do modelo CMMI em empresas de pequeno e médio
porte, fez com que um novo modelo de maturidade fosse desenvolvido,
com foco no mercado brasileiro. Assim, estudamos o MR-MPS, um
modelo de avaliação dos processos de desenvolvimento de software
que classifica as empresas de acordo com seu nível de maturidade
no desenvolvimento de softwares. O modelo MR-MPS é dividido
em sete níveis de maturidade e esses níveis estabelecem patamares de
evolução dos processos de desenvolvimento de software na organização.
Aprendemos também que a integração do MR-MPS com o ciclo de vida
do desenvolvimento de software possibilita que a cada nova interação no
processo de desenvolvimento do software seja realizada uma avaliação
para verificar se as funcionalidades desenvolvidas estão de acordo com os
requisitos preestabelecidos. Vimos que o principal benefício do modelo
MR-MPS é o desenvolvimento de software fundamentado na análise
de requisitos, visando à entrega do produto em consonância com as
expectativas dos clientes e usuários.
Nesta unidade, estudaremos o modelo PMBOK (Project Management

Body of Knowledge), voltado à gerência de projetos. Iniciaremos nossos
estudos pelo histórico do modelo. Em seguida, estudaremos tanto o
contexto para aplicação do modelo PMBOK quanto às certificações
relacionadas a ele. Como referencial teórico, utilizaremos as concepções
de Fernandes e Abreu (2008), Lucas Jr. (2006) e a documentação oficial
do Guia PMBOK (2004).
www.esab.edu.br 266
O aumento da concorrência, um mundo cada vez mais globalizado
e o surgimento de novas tecnologias têm exigido que as empresas se
organizem para executar ações eficazes e ágeis diante dos mais variados
contextos. Essas ações podem ser: definir estratégias eficientes que
possibilitem se posicionar com destaque no mercado, diferenciar-se em
relação aos seus concorrentes com produtos de qualidade, estabelecer
metas para alcançar seus objetivos estratégicos e, principalmente,
desenvolver produtos e serviços dentro dos prazos determinados e dentro
dos custos orçados.
Para conseguir implantar essas ações, as empresas estão mudando

suas estruturas organizacionais, tornando-se mais flexíveis e buscando
estratégias de gestão que permitam torná-las mais eficientes e eficazes,
valorizando, principalmente, o capital intelectual, gerenciando, assim,
os conhecimentos e se preparando para a inovação. Com relação ao
gerenciamento de conhecimentos, Lucas Jr. (2006, p. 274) afirma
que “[...] a administração do conhecimento é uma atividade-chave
para gerentes, e certos tipos de conhecimentos são capazes de conferir
vantagem competitiva sustentável para a organização”.
O que esperamos com essa estrutura organizacional mais flexível, com a

valorização do capital intelectual e com a gestão do conhecimento é que
as empresas possam comercializar soluções em vez de vender produtos.
Para isto, é necessária a adoção de técnicas e ferramentas de gestão de
projetos. Por exemplo, em vez de desenvolver somente um software, a
organização pode, além de disponibilizar o produto, criar mecanismos
para se comunicar com o cliente e obter sua opinião e crítica sobre
aspectos do produto que podem ser melhorados ou sobre novos recursos
que podem ser desenvolvidos para tornar o produto um diferencial
de mercado. Essas mudanças organizacionais aconteceram de forma
paulatina nas últimas décadas, porém nos últimos anos têm acontecido
em uma velocidade muito maior e constante, exigindo que as empresas
se preparem para um mercado mais competitivo, sem fronteiras e em
âmbito mundial, já que mudanças econômicas e políticas em qualquer
região do mundo afetam rapidamente outras economias locais.
www.esab.edu.br 267
As primeiras mudanças organizacionais com a intenção de flexibilizar
as organizações e torná-las mais eficientes aconteceram no período Pós-
Guerra, com a utilização dos métodos de avaliação de atividades CPM
e PERT. Esses métodos focavam na estimativa e gestão de tempo das
atividades. Na década de 1960, surgiram as primeiras associações focadas
no estudo e na padronização das estratégias de gestão de projetos, o
IPMA (International Project Management Association) e PMI (Project
Management Institute). Com a criação desses institutos houve um
fortalecimento da importância da gestão de projetos, resultando, na
década de 1970, na criação de softwares de apoio à gestão de projeto.
Nesse cenário, marcado pelo surgimento de institutos e de ferramentas

de apoio à gestão de projetos, na década de 1980 houve a consolidação
da gerência de projetos com o desenvolvimento da certificação PMBOK
(Project Management Body of Knowledge). O PMBOK é um conjunto
de práticas em gerência de projetos elaborado pelo PMI (Project
Management Institute) e organizadas na forma de um guia, chamado de
Guia PMBOK.
Assim, o PMBOK foi desenvolvido com a colaboração de dezenas de

profissionais de origens diversas e afiliados ao PMI. O modelo vem sendo
atualizado constantemente e, desde a sua primeira versão, publicada em
1996, já foi atualizado em 2000 (segunda versão) e em 2004 (terceira
versão), conforme Fernandes e Abreu (2008). Atualmente, o Guia
PMBOK está na versão cinco, lançada em 2013.
O modelo Guia PMBOK é bastante abrangente e, segundo Fernandes e

Abreu (2008, p. 220), “[...] tem como objetivo identificar um conjunto
de boas práticas de gerenciamento de projetos, e a aplicação correta
destas boas práticas, ferramentas e técnicas podem aumentar as chances
de sucesso de uma ampla série de projetos”.
Portanto, a gestão de projetos tem como finalidade estruturar a

organização, fazendo com que o foco não seja um único projeto, mas
os projetos, a multiplicidade de projetos, que envolvem áreas como o
marketing, as finanças, os recursos humanos e físicos, a produção, a
logística etc. Todos os projetos que utilizam os recursos da organização
devem ser monitorados e gerenciados, independentemente do tamanho
da organização e ramo de atividade.
www.esab.edu.br 268
Partindo desse pressuposto, estudaremos a seguir o contexto para
aplicação do modelo PMBOK. Acompanhe.

O gerenciamento de projetos tem sido utilizado como uma excelente
alternativa organizacional para empresas de construção civil, Tecnologia
da Informação, telecomunicações e outras. A gestão de projetos se
concretizou como uma estratégia para a transformação de ideias em
algo que possa render benefícios para a organização, que lhe garantam
sustentabilidade, diferencial de mercado e inovação, resultando em um
cenário competitivo.
Toda organização, independentemente do porte, dos ramos de atividade

ou do tempo de existência, vive de projetos, portanto, necessita de
estratégias bem definidas para o monitoramento e gerenciamento de
todas as suas atividades, visando a atender aos prazos estabelecidos,
aos custos controlados e à qualidade. Por exemplo, o registro de todas
as atividades que serão executadas no projeto, com datas de início e
término, bem como suas prioridades e os responsáveis pela execução.
Essa estratégia permite formalizar, dentro da organização, os prazos e os
responsáveis pela execução do projeto.
Segundo Fernandes e Abreu (2008, p. 225), “[...] o conjunto de

conhecimentos em gerenciamento de projetos preconizados pelo guia
PMBOK pode ser aplicado em projetos de qualquer natureza, inclusive
os projetos de tecnologia da informação”.
A área de atuação do Guia PMBOK é a gestão de projetos. O modelo

não atua sobre os processos de desenvolvimento do produto ou serviço.
Por exemplo, o guia PMBOK pode ser implantado para a gestão de
projetos de software, para definição de prazos, custos, atividades e riscos
do projeto, mas não contempla os processos de desenvolvimento do
software, como a modelagem do sistema em UML, a documentação e
especificação dos requisitos, as rotinas de testes e validação. Estes últimos
processos citados podem ser implantados com a utilização de outros
modelos de governança em TI, como os modelos CMMI e COBIT.
www.esab.edu.br 269
A institucionalização do gerenciamento de projetos nas empresas pode
ocorrer a partir de dois modelos, o modelo de referência para análise e o
modelo pró-valor (PMBOK, 2004). Segundo o Guia PMBOK (2004),
o modelo de referência para análise se caracteriza por desenvolver a
importância da gestão de projetos nas organizações, como ferramenta
para tomada de decisão no momento de investir em projetos por parte
da alta administração das empresas. Por exemplo, a organização deve
desenvolver mecanismos de comunicação entre os coordenadores de
projetos para auxiliar na tomada de decisões na organização, tornando
públicos os dados sobre a situação de cada projeto, quais os problemas,
riscos e desafios, como os recursos estão sendo investidos e quais são
as prioridades da organização. Assim, o modelo de referência para
análise possibilita que a alta administração tenha uma visão integrada
dos projetos, destacando as suas atividades, suas informações, suas
estratégias e seus recursos. Para tanto, se faz necessária a disseminação
do conhecimento sobre a gerência de projetos e como as pessoas podem
utilizá-lo de forma correta para que os resultados sejam alcançados.
Isto significa que a avaliação de maturidade de gestão de projetos da
organização deve contemplar: o domínio das técnicas e ferramentas
de gerenciamento de projetos, a capacidade de avaliar e monitorar os
recursos, prazos e custos de cada projeto por parte dos indivíduos que
estão envolvidos com eles. O modelo pró-valor em gerenciamento de
projetos contempla os contextos do modelo de referência para análise
a partir da inclusão de estratégias que possam desenvolver a gerência
de projetos e divulgar os benefícios com a sua adoção, valorizando a
importância da gestão de projeto em toda a organização. Por exemplo,
esse modelo visa a valorizar a participação dos colaboradores em cada
projeto (a sua importância para o sucesso do projeto), por meio de
estratégias como capacitação dos colaboradores, para o aumento da
capacidade de desenvolvimento de suas habilidades, e divulgação dos
resultados. Para que isto seja possível, o gerente de projetos deve ter
uma visão geral de toda a empresa, ou seja, uma ampla visão de todos
os projetos e dos objetivos da organização. Uma vez contemplados
esses processos, o gerente poderá realizar uma administração efetiva dos
projetos de forma a melhorar os resultados da organização, em aspectos
administrativos e financeiros, evitando, portanto, uma visão focada
apenas nos projetos de sua responsabilidade. Cabe ao gerente de projetos
a habilidade de avaliar como as suas atividades e decisões podem afetar
www.esab.edu.br 270
a empresa como um todo, ou seja, o gerente de projetos precisa ter ou
desenvolver uma visão tática e estratégica da empresa (PMBOK, 2004).
Você precisa compreender que o sucesso do projeto está associado

à capacidade do especialista de gerir projetos. Essa capacidade está
ancorada em pontos específicos, por exemplo, avaliar, monitorar e
gerenciar os prazos, os cronogramas, os orçamentos e os aspectos
que influenciam os resultados financeiros do projeto. Mas também é
atividade de um gerente de projeto motivar a sua equipe e mantê-la
interessada tanto no projeto em si, quanto nos resultados que podem
ser alcançados com as melhorias contínuas. Essas atividades exigirão
que o gerente tenha habilidade em mediação de conflitos, normalmente
gerados por expectativas que não são atendidas junto aos clientes e
aos integrantes da equipe do projeto, por exemplo. Na relação cliente
e organização, é comum o conflito ser gerado pelo desenvolvimento
de funcionalidades que não atendem às necessidades do cliente. Esses
conflitos também podem ser ocasionados pelo não cumprimento dos
prazos. Já na relação da organização com os colaboradores, o conflito
normalmente é resultado de horas a mais de trabalho. Essas horas extras
são, por sua vez, ocasionadas pela complexidade inesperada das atividades
ou pela necessidade de solucionar problemas que não estavam previstos
no planejamento do projeto.
Portanto, é fundamental que a organização possua em seu quadro de

colaboradores profissionais qualificados e habilitados para a gestão de
projetos de forma organizada e controlada.
A seguir, estudaremos as certificações relacionadas à gestão de projetos,

segundo o modelo PMI/PMBOK. Acompanhe.
www.esab.edu.br 271
A certificação PMBOK é individual, ou seja, não existe certificação
PMI/PMBOK para empresas, cada colaborador, seja ele colaborador ou
gerente de projetos, terá a certificação profissional relativa a esse modelo
em seu nome.
Existem duas certificações profissionais relativas ao gerenciamento de

projetos, são elas: o PMP (Project Management Professional) e o CAPM
(Certified Associate in Project Management).
Fernandes e Abreu (2008) esclarecem que o PMP é uma certificação

voltada a gerentes de projetos. Já a CAPM é voltada para gerentes de
projetos iniciantes e profissionais que participam de projetos, mas sem a
responsabilidade do gerenciamento.
Nesta unidade, estudamos que as empresas têm passado por um processo

de transformação e maior organização institucional para executar ações
mais eficazes e ágeis, tornando-se mais flexíveis, valorizando o capital
intelectual, gerenciando os conhecimentos e se preparando para a
inovação. Nesse sentido, a busca por melhores práticas para gestão de
projetos teve início na época Pós-Guerra, com o desenvolvimento do
CPM e do PERT. Esses métodos de avaliação das atividades focam na
criticidade das atividades e na definição das atividades prioritárias para
o resultado final do projeto dentro dos prazos e custos estimados, e
passaram a ser complementados com as práticas de gerência de projetos,
preconizadas pelo PMI/PMBOK, organizadas na forma de um guia,
chamado de Guia PMBOK.
Vimos que as práticas de gerenciamento de projetos do Guia PMBOK

têm sido utilizadas como uma excelente alternativa organizacional
para empresas de construção civil, Tecnologia da Informação,
telecomunicações etc. A gestão de projetos se concretizou como uma
estratégia para transformar ideias em rendimentos e benefícios para
a organização, garantindo sustentabilidade, diferencial de mercado e
inovação e resultando, assim, em uma organização mais competitiva.
www.esab.edu.br 272
Por fim, vimos que existem duas certificações profissionais relativas ao
gerenciamento de projetos, a saber, o PMP e o CAPM. Vimos, ainda,
que a certificação PMBOK é individual, não existindo certificação PMI/
PMBOK para empresas.
Na próxima unidade, continuaremos o estudo do PMBOK, dando

prioridade às principais características do modelo em relação à gestão de
programas. Vamos lá?
Saiba mais
Caro aluno, para contextualizar a importância da
gestão de projetos e os problemas organizacionais,
assista ao vídeo “Gestão Empresarial – Principais
problemas organizacionais”, clicando aqui. Boa
reflexão!
www.esab.edu.br 273
33 parte II
Objetivo
Apresentar as principais características dos modelos de gestão de
projetos com base no PMI/PMBOK com gestão de programas.
Na unidade anterior, você estudou que as empresas têm passado por

um processo de transformação que tem exigido que elas se organizem
de forma a executar ações cada vez mais eficazes e eficientes, o que tem
mudado suas estruturas organizacionais. A busca por essa nova estrutura
organizacional teve início na época Pós-Guerra, com o surgimento do
CPM e do PERT, ou seja, com métodos de avaliação das atividades
de um projeto. Esses métodos foram utilizados até a década de 1980,
quando surgiu a gerência de projetos desenvolvidos pela PMI na forma
de um guia de boas práticas. Estudamos também que o gerenciamento
de projetos tem sido utilizado como estratégia para a transformação de
ideias em algo que possa render benefícios para a organização. Esses
benefícios garantirão sustentabilidade, diferencial de mercado e inovação,
resultando em um cenário competitivo.
Por fim, aprendemos que existem duas certificações profissionais relativas

a gerenciamento de projetos, o PMP e o CAPM. As certificações do
modelo PMBOK são individuais, isto é, não existem certificações desse
modelo para empresas.
Nesta unidade, estudaremos o PMBOK com foco no gerenciamento

de vários projetos, chamados de programas, descrevendo o histórico
desse modelo de gestão, seus objetivos, sua aplicabilidade e certificações
relacionadas com a gestão de projetos, a partir da gestão de programas.
Para isso, nossas reflexões estarão embasadas nas ideias de Fernandes e
A seguir, você será apresentado ao histórico do modelo PMI/PMBOK e

aos seus objetivos como ferramenta para gestão de projetos.
www.esab.edu.br 274
O modelo PMBOK de gestão de projetos fundamentado pela gestão
de programas surgiu em 2004, para responder à necessidade das
organizações de gerenciar vários projetos do seu portfólio de produtos
ao mesmo tempo. Por exemplo, para desenvolver um software dentro
do prazo e com os recursos disponíveis, o gerente de projetos passa
a gerenciar os recursos humanos, ou seja, as equipes de cada projeto,
mantendo-os informados e interessados. Isso exige do gerente habilidade
de gerir conflitos e solucionar problemas de relacionamentos entre
os colaboradores. O gerente também passa a coordenar as atividades
de forma que os produtos sejam entregues de acordo com o que foi
estabelecido junto ao cliente. Estas atividades exigem que o gerente
de projetos tenha conhecimentos, técnicos e de empreendedorismo,
sobre tendências de mercado e inovação. Essa necessidade aumentava
a complexidade do monitoramento das atividades, o gerenciamento
dos recursos utilizados e influenciava na definição de custos e prazos.
Segundo Fernandes e Abreu (2008, p. 236), um programa é “[...] um
grupo de projetos gerenciados de forma coordenada para obter benefícios
não disponíveis se os projetos fossem gerenciados individualmente”.
Por exemplo, se a organização contratar uma equipe para cada projeto
desenvolvido, os custos operacionais serão elevadíssimos e, em alguns
momentos, a equipe de colaboradores estará ociosa quando houver
pouca demanda e tarefas a serem executadas. Portanto, para resolver esse
problema, é fundamental que a gestão de projetos tenha uma gestão de
programa. Acreditamos que uma boa gestão de programas permitirá o
estabelecimento de como os recursos humanos serão compartilhados
entre os projetos em desenvolvimento, de forma que se tenha
maximização na distribuição de equipes e menor custo operacional, sem
que os prazos e a qualidade do produto sejam afetados. Lucas Jr. (2006,
p. 129) afirma que:
[...] a equipe, constituída de gerentes, usuários finais e profissionais fazem parte do

negócio da organização, pois representam o conhecimento para que a organização
se mantenha em funcionamento e poucas organizações possuem documentação
suficiente de modo que se possam substituir os integrantes da equipe e a empresa
continue funcionando.
www.esab.edu.br 275
Note que a definição e distribuição dos integrantes da equipe dos
projetos não é tarefa simples, pois a equipe representa, com seus
conhecimentos, a base para o sucesso do projeto. Para que a formatação
da equipe não represente um problema, uma técnica muito eficiente
é documentar o perfil de cada colaborador da organização, seu cargo,
habilidades e competências, em uma matriz de responsabilidades que
relaciona o colaborador com as atividades que serão executadas no
projeto. O Quadro 8 apresenta a matriz de responsabilidades para a
equipe de desenvolvimento de um software, observe:
Participantes
Setor/Cargo Nome
Gerente de projetos Marcelo Medeiros
Coordenador de projeto Ana Paula Silvia Bertoldo
Analista de sistemas Lucas Glaretta Medeiros
Usuário Aladim dos Santos
Cliente Pedro Bertoldo
Quadro 8 – Matriz de responsabilidades.

Veja que para cada cargo é cadastrado o nome do colaborador e seu

papel no projeto. Por sua vez, é necessário criar essa matriz para cada
projeto, em que o nome do colaborador permance, mas o cargo pode
mudar. Por exemplo, um colaborador que é analista de sistemas pode
ser coordenador em outro projeto, por isso a matriz deve ser atualizada
para cada projeto. Esse processo permitirá que a organização tenha um
histórico dos projetos, em qual projeto cada colaborador participou e
quais eram suas atividades e responsabilidades.
Esse modelo PMBOK que utiliza a gestão de programas desde 2005,

ou seja, um ano após a publicação da sua primeira versão, vem sendo
atualizado constantemente com a participação de especialistas e da
comunidade em geral, que podem formalizar críticas e sugestões por
meio de canais de comunicação da instituição PMI.
Segundo Fernandes e Abreu (2008), o modelo possui um conjunto de

boas práticas agrupadas em processos de:
www.esab.edu.br 276
• iniciação: definição do termo de abertura do projeto com seu
escopo, prazos, custos e riscos. O termo de abertura deve conter o
nome do projeto, o nome do gerente de projeto, quem é o cliente,
quais os requisitos do sistema, e as atividades que serão executadas
com seus respectivos prazos e prioridades;
• planejamento: refere-se à formalização do cronograma do projeto,
das equipes envolvidas, do orçamento, de como serão gerenciados e
controlados os riscos e de como as informações serão compartilhadas
entre as partes envolvidas. Todos os envolvidos com o projeto devem
ser comunicados formalmente sobre seu papel no projeto, suas
responsabilidades, os prazos de suas atividades, os riscos e como as
comunicações entre as partes serão realizadas;
• execução: o projeto deve ser executado de forma alinhada com os
requisitos do escopo previamente definidos. Sua execução deve ser
realizada com base no termo de abertura do projeto, desenvolvido na
etapa de iniciação. Qualquer resultado diferente do que foi projetado
deve ser comunicado às partes envolvidas para que os riscos sejam
minimizados;
• monitoramento e controle: definição de atividades de gerenciamento
das mudanças durante a execução do projeto, realização de ações
corretivas em caso de desvios e avaliação se o que está sendo
desenvolvido corresponde ao que foi planejado. O desenvolvimento
dos projetos deve ser constantemente monitorado e controlado, de
forma a avaliar se os requisitos previamente estabelecidos na etapa de
iniciação estão sendo atendidos;
• encerramento: finalização do projeto, com encerramento de todas as
atividades e entrega do produto ao cliente. O encerramento se dá em
duas etapas, primeiro deve-se avaliar se não há pendências técnicas
ou financeiras relacionadas com o projeto. Posteriormente, se não
há pendências ou se elas já foram solucionadas, o projeto deve ser
encerrado. Todas as partes envolvidas devem ser comunicadas.
Ainda segundo Fernandes e Abreu (2008), o modelo PMBOK que utiliza
a gestão de programas avalia quais benefícios podem ser alcançados com
a integração e gerenciamento de vários projetos.
www.esab.edu.br 277
A adoção do modelo de gestão de programas preconizado pelo Guia
PMBOK em uma organização objetiva a implantação da gestão de
projetos de forma integrada e organizada, direcionando melhor os
investimentos nos projetos. Para atingir esse resultado, o modelo
preconiza algumas ações, como: elaborar um planejamento dos
objetivos de todos os projetos da organização, definir suas atividades,
especificar os recursos humanos e físicos necessários para cada projeto
e as suas atividades prioritárias. Essas ações possibilitam o controle e
monitoramento de todas as atividades e de todos os projetos, facilitando
e agilizando a negociação dos recursos que serão distribuídos entre eles
Por exemplo, para a implantação de uma política de segurança da

informação na organização, existem vários outros projetos que precisam
ser executados em paralelo e em tempos diferentes. Portanto, é preciso
desmembrar o projeto de desenvolvimento da política de segurança
em outros subprojetos, como: o treinamento dos colaboradores, a
aquisição de softwares e equipamentos de segurança da informação
(implantação de catracas e crachás, por exemplo), a aquisição de
sistemas de controle de acesso por biometria, a avaliação e contratação
de possíveis fornecedores etc. Cada um dos projetos e subprojetos
possui um orçamento preestabelecido, um cronograma de execução,
recursos humanos necessários, um conjunto de atividades a serem
executadas e resultados desejados. Saiba que em uma organização é
muito comum que o alcance de um determinado objetivo esteja atrelado
ao desenvolvimento de projetos em paralelo, em um período de tempo
de médio a longo prazo. Nesse caso, é fundamental que a organização
reconheça a necessidade da implantação de uma gestão de projetos com
foco nos programas em execução.
Note que a necessidade de transformar um projeto em subprojetos, e de

compartilhar os recursos para que um objetivo principal seja alcançado
independe do tamanho da organização e do ramo de atividade a que se
dedica. Exploraremos esse cenário a seguir, com a contextualização da
aplicação do modelo. Acompanhe.
www.esab.edu.br 278
Para a implantação do modelo PMI/PMBOK para gestão dos projetos
na organização é muito importante que a organização tenha suas áreas
e departamentos atuando de forma integrada, ou seja, que os projetos
executados em cada uma das áreas de uma organização interajam entre si.
Essa integração é necessária porque uma alteração em qualquer um desses
processos resultará em mudanças no escopo, custo, tempo e recursos
disponíveis para os demais projetos em execução.
Assim, um programa bem gerenciado exige a integração de todas as

áreas e de todos os projetos, desde a preparação de cada projeto até o seu
encerramento. Cada etapa de preparação define todas as amarrações dos
projetos, tais como: os envolvidos, as responsabilidades de cada um, os
prazos, os recursos destinados e, principalmente, os resultados esperados.
Por exemplo, para o desenvolvimento de um projeto de software, é
imprescindível que a equipe conte com um analista de sistemas para
a documentação e a modelagem do software, que será responsável por
transformar as necessidades do sistema em funcionalidades que serão
implementadas pela equipe de programadores. Porém, se a empresa tiver
vários projetos de software, contratar um analista de sistemas pode tornar
o projeto inviável pelo custo ou risco de não atender às expectativas do
usuário, devido a uma modelagem inconsistente. Para reduzir esse risco,
é importante que a organização tenha conhecimento da capacidade do
analista de sistemas, quantos projetos ele pode documentar e modelar
sem o risco de afetar os resultados do produto. Isto reduz os riscos do
projeto, mas, para isto, é preciso que o gerente de projetos tenha visão de
todos os projetos que estão em execução e em quais deles o analista de
sistemas já está integrado.
De forma geral, podemos entender que as regras dos projetos são

definidas no programa, que, por sua vez, especificará a mobilização dos
recursos para a execução do projeto. Já o seu encerramento consiste na
validação das especificações formalmente definidas na preparação de
cada projeto. Se, para cada projeto, todas as regras foram atendidas, ele é
encerrado, caso contrário é preciso reunir os envolvidos para que soluções
sejam encontradas e assim sucessivamente. É preciso considerar que o
projeto só será encerrado quando atender às expectativas de todos, em
especial do cliente.
www.esab.edu.br 279
A Figura 26 apresenta esse ciclo de avaliação e encerramento do projeto,
acompanhe:
Requisitos
Atualizar
Requisitos
Não Reunir
Foram
partes
atendidos
envolvidas
Sim
Encerrar
Projeto
Figura 26 – Ciclo de encerramento do projeto.
Note que o encerramento do projeto é condicionado à aceitação por

parte dos seus participantes, como mostra a Figura 26. Havendo
qualquer incompatibilidade entre o que foi desenvolvido e os requisitos
estabelecidos, toda a equipe deve ser envolvida na redefinição dos
requisitos com os ajustes necessários até que o projeto atenda às
expectativas do cliente.
Nesse sentido, a gestão de projetos com gestão de programa pode

ser aplicada em qualquer organização que precise gerenciar vários
projetos, como o desenvolvimento de um novo produto, mudanças
em um produto já existente, implantação de infraestrutura em TI
para a organização, e até mesmo a construção de um empreendimento
imobiliário.
A construção de uma casa demonstra a necessidade da gestão de um

programa que coordene todos os projetos que visam a atender o objetivo
principal, ou seja, a casa construída e de acordo com as especificações
técnicas e estruturais definidas pelo engenheiro civil. Para que esse
objetivo seja alcançado, ou seja, para que se construa a casa conforme as
especificações técnicas, é preciso, por exemplo, gerenciar a aquisição de
materiais; a compra dos insumos, areia, cimento, tijolos; a contratação
de mão de obra; o monitoramento da execução das atividades; e o
www.esab.edu.br 280
acompanhamento do processo dos produtos fabricados sob encomenda,
como portas e janelas com medidas especiais. Cada grupo de atividades
pode ser transformado em um projeto, já que possui prazos, orçamentos,
recursos humanos e atividades específicas. A equipe que levanta as paredes
não é a mesma que coloca as janelas, assim como a equipe que faz as
instalações elétricas não é a mesma que coloca os pisos, mas todas essas
atividades integradas e gerenciadas representam o projeto “construção
da casa”. Se a equipe que levanta as paredes se atrasar, a equipe da fiação
elétrica também se atrasará, gerando um efeito em cascata que afetará
todo o projeto, ou seja, a construção da casa. É importante que o gerente
de projetos, ou responsável pela gestão das atividades do projeto, tenha
habilidades e competências para transformar um projeto em subprojetos,
e que todos sejam amplamente e igualmente gerenciados.
Agora que já conhecemos o cenário ideal para a aplicação do modelo

PMBOK de gestão de projetos, que é a integração das áreas e
departamentos da organização com conhecimento de todos os projetos
em execução, estudaremos quais as certificações relacionadas a esse
modelo. Vamos lá?

O PMI possui uma certificação profissional denominada PGMP
(Program Management Professional). Essa certificação exige dos
candidatos comprovação da experiência em atividades de gerência de
projetos. Para que o candidato possa realizar a certificação é preciso
comprovar experiência em gerenciamento de projetos, somente assim será
autorizada a realização da prova de certificação. A certificação tem como
finalidade atestar que o profissional possui habilidades e competências
para gerenciar vários projetos de uma organização. A certificação é
reconhecida mundialmente. O profissional certificado PGMP terá
habilidades para gerenciar vários projetos, com monitoramento dos
custos, cronogramas de atividades e tomada de decisões alinhadas com o
objetivo da organização.
www.esab.edu.br 281
Nesta unidade, você estudou o modelo PMBOK de gestão de projetos
fundamentado na gestão de programas. Aprendeu que esse modelo
nasceu da necessidade das organizações de gerenciar vários projetos do
seu portfólio de produtos ao mesmo tempo. Essa necessidade aumentava
a complexidade do monitoramento das atividades, como a definição
dos custos, o cronograma e o escopo de cada atividade. Estudamos que
o modelo PMBOK de gestão de projetos fundamentado na gestão de
programas possui um conjunto de boas práticas agrupadas em: processos
de iniciação, planejamento, execução, monitoramento e controle e
encerramento dos projetos. Você estudou, ainda, que ao implantar
esse modelo de gestão de programas preconizado pelo guia PMBOK
as organizações esperam a consolidação de uma gestão de projetos de
forma integrada e organizada, direcionando melhor os investimentos nos
projetos. Esse modelo pode ser aplicado em qualquer organização que
precise gerenciar vários projetos.
Por fim, você conheceu a certificação profissional denominada PGMP

(Program Management Professional).
Na próxima unidade, vamos conhecer as principais características dos

modelos de gestão de projetos PMI/PMBOK com foco no modelo de
maturidade organizacional, conhecido como OPM3.
www.esab.edu.br 282
34 parte III
Objetivo
Apresentar as principais características dos modelos de gestão de
projetos com base no PMI/PMBOK com modelo de maturidade.
Na unidade anterior, você estudou o modelo PMBOK de gestão de

projetos na forma de gestão de programas, ou seja, o gerenciamento de
vários projetos na organização. Vimos que esse modelo de gestão possui
um conjunto de boas práticas agrupadas em processos, tais como: processo
de iniciação, planejamento, execução, monitoramento e controle e
encerramento dos projetos. Você também estudou que o esperado com a
adoção desse modelo é a consolidação de uma gestão de projetos de forma
integrada e organizada dentro da organização, direcionando melhor os
investimentos nos projetos. Vimos, finalmente, a certificação profissional
denominada PGMP (Program Management Professional).
Outro aspecto importante com relação aos estudos da unidade anterior

foi aprendermos sobre a necessidade de a organização desenvolver a
capacidade de autoavaliação em relação à sua maturidade, que, por
sua vez, relaciona-se ao gerenciamento de projetos, estabelecendo,
como resultado, melhorias constantes nos processos de gerenciamento
de projetos. Por isso, nesta unidade vamos conhecer as principais
características dos modelos de gestão de projetos PMI/PMBOK com
foco no modelo de maturidade organizacional, conhecido como OPM3.
Esse material foi desenvolvido com base na referência bibliográfica de
Fernandes e Abreu (2008), Lucas Jr. (2006) e PMBOK (2004).
Iniciaremos nossos estudos apresentando o histórico do modelo OPM3.
www.esab.edu.br 283
O modelo de maturidade em gestão de projetos, OPM3 (Organization
Project Management Maturity Model), surgiu oficialmente em 2003
para satisfazer à necessidade de desenvolvimento de um modelo que
permitisse avaliar o nível de maturidade da organização em relação à
gestão de projetos. Os primeiros estudos sobre o modelo se iniciaram
em 1998, de forma discreta. No ano de 2000, os estudos receberam uma
maior participação de especialistas e pessoas interessadas na evolução do
modelo, com envio de sugestões de melhores práticas que deveriam ser
adotadas por ele; essa situação foi recorrente até 2002. Após 2002, uma
versão oficial, betateste, do modelo foi desenvolvida e disponibilizada
para várias organizações.
O modelo foi desenvolvido com o objetivo de desenvolver mecanismos

que permitam à organização melhorar a área de gestão de projetos,
identificando e estabelecendo melhorias nos processos de gestão de
projetos. Esse objetivo visa a tornar a organização diferenciada em um
mercado cada vez mais competitivo, definindo prazos e custos mais
realistas e enfatizando os requisitos elencados para os projetos com maior
satisfação dos clientes.
Lucas Jr. (2006, p. 153) afirma que “[...] muitas vezes as organizações
fracassam por falta de controle, e os gerentes precisam de informações
sobre o desvio real em relação ao desempenho padrão ou objetivado”. Por
exemplo, o gerente deve ter informações sobre o orçamento dos projetos
sob sua responsabilidade, para que ele possa identificar quais estão fora
do padrão e tomar as providências necessárias, alterando cronogramas
de produção e reduzindo despesas. Para atender a esses objetivos, é
preciso um modelo que adote procedimentos e rotinas que permitam à
organização e aos seus gerentes monitorar o estado de cada projeto em
andamento na organização. E é nesse sentido que o PMBOK com gestão
de programas atua.
Fernandes e Abreu (2008) determinam os objetivos do modelo PMBOK

com gestão de programas. Acompanhe:
www.esab.edu.br 284
• auxiliar a organização a se autoavaliar em relação à sua maturidade em
gerenciamento de projeto, o que pode ser realizado a partir da geração
de indicadores sobre os projetos realizados na organização, por exemplo:
dados sobre os projetos entregues no prazo, calcular a média de dias de
atraso, identificar os principais problemas e qual a recorrência desses
problemas nos projetos em desenvolvimento etc., ou seja, a partir de
um diagnóstico sobre os processos da gestão de projetos;
• estabelecer melhorias em suas práticas de gerenciamento de projetos.
Por exemplo, com o encerramento de cada projeto, a organização
pode estabelecer reuniões com a equipe envolvida para levantar aquilo
que pode ser melhorado para os demais projetos e projetos futuros.
Isto permite a padronização dos processos de gestão de projetos, o que
permite a medição, controle e avaliação de melhorias necessárias;
• possibilitar que os usuários e a organização entendam a importância do
gerenciamento de projetos, o que pode ser realizado com programas
de distribuição dos lucros, o que tende a fazer com que as equipes se
preocupem em atender às metas estabelecidas para cada projeto com a
realização de atividades de forma organizada e gerenciada.
Para que esses objetivos sejam alcançados, o modelo se desenvolve a
partir do gerenciamento de projeto organizacional, em que acontece a
aplicação de conhecimentos, habilidades, ferramentas e técnicas com o
objetivo de atingir os objetivos da organização por meio dos projetos.
Por exemplo, a adoção de softwares para gerenciamento de projeto,
que armazenam e organizam as informações referentes aos projetos já
executados ou em execução em planilhas e documentos eletrônicos, deve
ser evitado. Isto porque o uso desta ferramenta aumenta a dificuldade
no controle de acesso a esses documentos e em mantê-los atualizados.
Além disso, a execução de tarefas como compartilhamento de atividades
do projeto e avaliação dos tempos e recursos utilizados em cada
projeto é demorada e complexa. Como solução, há vários fornecedores
especializados em softwares para gestão de projetos que disponibilizam
uma vasta quantidade de ferramentas, proprietárias ou software livre,
sem custos, que atendem às necessidades dos usuários e às expectativas
da organização. Tão crítico e problemático quanto usar planilhas e
documentos eletrônicos, é usar softwares que não estão interligados
aos outros sistemas da organização, como sistema de custos, contábil,
financeiro e recursos humanos. Essa também é uma prática que deve
www.esab.edu.br 285
ser evitada porque é essencial que as informações e dados coletados
permitam o monitoramento completo do projeto, resultando na real
situação do projeto em todos os aspectos de gerenciamento (custos,
tempo, recursos humanos, qualidade, comunicação e aquisições).
É fundamental que as informações sobre os processos de gestão de

projetos sejam armazenadas e organizadas, isto permite que os resultados
sejam comparados com os resultados preconizados pelo OPM3 por meio
de boas práticas, e que as melhorias sejam planejadas e implementadas
até que se alcance o nível de maturidade desejado. A Figura 27 apresenta
esse processo de melhoria contínua preconizada pelo OPM3:
Definir o
Atendem Sim nível de
Planejar as Implantar as
Avaliar aos requisitos
melhorias melhorias maturidade
do OPM3
OPM3
Não
Figura 27 – Processo de melhoria contínua nos processos de gestão de projetos.
Note que é preciso controlar e monitorar os processos de gestão de

projetos, identificando aquilo que pode ser melhorado, conforme a
Figura 27. Com base nos processos que estão fora do desempenho
desejado, a organização deve estabelecer quais são as melhorias e
os prazos para que eles sejam implantados. Durante a execução das
melhorias, os processos são avaliados para verificar se atendem ou não
aos objetivos preconizados pelo OPM3, como os requisitos elaborados
de forma objetiva e clara, a documentação formal e a aprovação por
parte do usuário final. Se os requisitos são bem definidos e permitem a
elaboração de prazos e custos mais realistas, a organização é classificada
a partir de aspectos como: nível de gerenciamento dos programas (vários
projetos), como os projetos são administrados e se estão alinhados com
o portfólio de produtos da organização. Caso seja identificada alguma
discrepância entre o que foi alinhado e o que está sendo realizado nos
projetos, um planejamento é realizado para determinação das melhorias,
visando a priorizar as melhorias a serem estabelecidas, a sequência de
implementação e os resultados a serem alcançados. A implantação das
melhorias visa à execução e medição das melhorias planejadas. Na etapa
www.esab.edu.br 286
de avaliação, segundo as regras preconizadas pelo OPM3, é identificada
a importância da melhoria para os processos de desenvolvimento de
projetos, possibilitando que a organização decida se a melhoria deve ou
não ser mantida. O processo deve ser repetido periodicamente visando a
avaliar a evolução das melhores práticas para gestão de projetos até que
atendam aos requisitos do OPM3 e aos níveis de maturidade do modelo,
aferidos pela capacidade da organização de padronizar, medir, controlar e
melhorar os processos de gestão de projetos.
Logo, como destacam Fernandes e Abreu (2008), trata-se de um modelo

criado para qualquer organização interessada em aferir sua maturidade
no gerenciamento de projeto.
A seguir, veremos o cenário ideal das organizações para que seja

implantado o modelo OPM3. Veremos também como ocorre o processo
de implementação desse modelo e quais ferramentas foram utilizadas
para o diagnóstico da organização. Acompanhe.

O modelo OPM3 pode ser aplicado em qualquer organização
preocupada em avaliar e medir o seu nível de maturidade no
gerenciamento de projetos organizacional, a partir de uma avaliação
que estabelece os planos de melhoria nos aspectos de gerenciamento
de projetos que a organização considere mais importantes. A estrutura
simples do modelo possibilita sua aplicação em organizações de diferentes
ramos e tamanhos (FERNANDES; ABREU, 2008).
O modelo se desenvolve a partir de um questionário e de ferramentas

de avaliação da gestão de projetos da organização; os resultados obtidos
são analisados e, com base na maturidade obtida, um plano de ação é
estabelecido para o aumento da maturidade, e nos pontos que necessitam
de melhoria.
A aplicação do modelo é realizada por meio de profissionais certificados

OPM3, já que não existe certificação para a organização, como veremos
a seguir.
www.esab.edu.br 287
O PMI disponibiliza a certificação OPM3 Product Suite, que
disponibiliza dois tipos de certificação, para avaliadores e consultores. A
prova de certificação (primeira etapa) pode ser realizada pela internet e
corresponde a uma prova com 100 questões de múltipla escolha sobre o
padrão OPM3. Após a aprovação na primeira etapa, o candidato deverá
realizar um curso preparatório para o exame de certificação. O curso tem
como foco as metodologias e as ferramentas de melhorias nos processos
de gestão de projetos.
Nesta unidade, estudamos que o modelo de maturidade em gestão

de projetos, OPM3 (Organization Project Management Maturity
Model), surgiu oficialmente em 2003, para atender à necessidade
de desenvolvimento de um modelo que permitisse avaliar o nível de
maturidade da organização em relação à gestão de projetos.
Você estudou, também, que o modelo tem como objetivo desenvolver

mecanismos que permitam que a organização possa melhorar a área de
gestão de projetos, identificando e estabelecendo melhorias nos processos
de gestão de projetos. Esses procedimentos farão com que a organização
tenha um diferencial no mercado, que está cada vez mais concorrente,
exigindo prazos e custos mais realistas, bem como atendimento aos
requisitos elencados para os projetos e maior satisfação dos clientes.
Para o modelo, é fundamental que as informações sobre os processos de

gestão de projetos sejam armazenadas e organizadas, isto permite que os
resultados sejam comparados com os resultados preconizados pelo OPM3
por meio de boas práticas, e permite que as melhorias sejam planejadas e
implementadas até que se alcance o nível de maturidade desejado.
O modelo pode ser aplicado em qualquer organização preocupada com

avaliar e medir o seu nível de maturidade no gerenciamento de projetos
organizacional, a partir de uma avaliação que estabelece os planos de
melhoria nos aspectos de gerenciamento de projetos que a organização
considere mais importantes.
www.esab.edu.br 288
A aplicação do modelo é realizada por meio de profissionais certificados
OPM3 Product Suite e são disponibilizos dois tipos de certificação, para
avaliadores e consultores.
Na próxima unidade, você poderá estudar as principais características

dos modelos de gestão de projetos com base no PMI/PMBOK e como
relacioná-las ao modelo COBIT.
Saiba mais
Caro aluno, para aprender mais sobre melhores
práticas para gestão de projetos, leia o artigo
“Distribuir lucros aumenta a produtividade”. Para
isto, acesse o site da Revista Pequenas Empresas,
Grandes Negócios, clicando aqui.
www.esab.edu.br 289
35 parte IV
Objetivo
Apresentar as principais características dos modelos de gestão
de projetos com base no PMI/PMBOK e como relacioná-las com o
modelo COBIT.
Na unidade anterior, estudamos que o modelo de maturidade em gestão

de projetos, OPM3 (Organization Project Management Maturity
Model), surgiu oficialmente em 2003, como resultado da necessidade
de desenvolvimento de um modelo que permitisse avaliar o nível de
maturidade da organização em relação à gestão de projetos.
Você aprendeu também que o modelo OPM3 tem como objetivo

desenvolver mecanismos que permitam que a organização possa melhorar
a área de gestão de projetos, identificando e estabelecendo melhorias nos
processos de gestão de projetos, de forma que a organização tenha um
diferencial nesse mercado cada vez mais concorrente.
Nesta unidade, estudaremos as principais características dos modelos de

gestão de projetos com base no PMI/PMBOK e como relacioná-las com
o modelo COBIT.
Este material foi desenvolvido com base em Fernandes e Abreu (2008),

Albertin e Albertin (2010) e o Guia PMBOK (2004).
Iniciaremos nossos estudos revisando o modelo COBIT e o modelo PMI/

PMBOK, para depois traçarmos um paralelo entre esses dois modelos.
www.esab.edu.br 290
35.1 Apresentação dos contextos comuns do COBIT e
PMI/PMBOK
Estudamos, das unidades 14 a 18, que o modelo COBIT pode ser
entendido como um conjunto de boas práticas utilizado para que os
processos desenvolvidos na organização sejam realizados de forma
alinhada com os objetivos de negócio da organização, ou seja, o COBIT
visa a alinhar os processos de forma que possam sustentar e garantir os
objetivos de negócio da organização. Para tanto, os processos devem ser
monitorados, controlados e padronizados, o que torna o COBIT um
modelo de Governança em TI abrangente e atuante em todos os níveis
organizacionais. O modelo COBIT se caracteriza por apresentar o que
deve ser feito, mas não como fazer, já que fornece ferramentas e métricas
para controle de todos os processos executados na organização, mas não
detalha como ou por quem os processos devem ser realizados.
Partindo desses pressupostos, podemos entender o modelo COBIT como

um conjunto de relacionamentos e processos para controle da empresa
para que possa atingir suas metas, e o controle é desenvolvido a partir de
políticas, procedimentos e práticas.
O modelo COBIT tem como finalidade ajustar constantemente o

processo de tomada de decisão das empresas e o gerenciamento das
iniciativas, visando a maximizar o retorno de investimentos e a melhoria
nos processos gerenciais. Mais do que isso, o modelo visa a direcionar e
gerenciar a implantação da Governança em TI, para tanto, ele vincula
as metas da empresa às metas de TI. Por exemplo, a organização pode
definir como meta o aumento nas vendas pela internet, por meio das suas
lojas virtuais. Caso isto ocorra, novas metas serão especificadas para a área
de TI, como o aumento da velocidade da banda de conexão da internet,
o desenvolvimento de sites com maior facilidade de uso por parte do
cliente e pagamentos por cartão de crédito e débito de várias bandeiras,
por exemplo.
Por outro lado, o COBIT é um modelo com foco no controle dos

processos, no entanto, sem defini-los ou especificá-los, o que é
responsabilidade de outros modelos, como o PMBOK.
www.esab.edu.br 291
O PMBOK identifica melhor os processos, com mais detalhes, em
conjunto com o conhecimento e as técnicas necessárias para que os
processos sejam executados de forma eficaz e de acordo com os requisitos
de cada projeto. O modelo tem foco nas pessoas, nas atividades e
tarefas que são executadas, o que o torna bastante abrangente. Segundo
Fernandes e Abreu (2008, p. 220), o PMBOK “[...] tem como objetivo
identificar um conjunto de boas práticas de gerenciamento de projetos,
e a aplicação correta destas boas práticas, ferramentas e técnicas podem
aumentar as chances de sucesso de uma ampla série de projetos”.
Note que o COBIT foca nos processos e o PMBOK nas práticas.

Logo, a gestão de projetos tem como finalidade estruturar a organização
de forma que o foco não seja um único projeto, mas os projetos, a
multiplicidade de projetos, seus processos, atividades e integração com
as demais áreas da organização, como a área de marketing, de finanças,
de recursos humanos, aquisição de serviços e produtos, de produção, de
logística etc. Todos os projetos que utilizam os recursos da organização
devem ser monitorados, gerenciados e controlados, independentemente
do tamanho da organização e do ramo de atividade.
Podemos entender que um projeto é composto por um conjunto de

atividades e de processos que, quando organizadas, representam a
aplicação da gestão de projetos na forma de programas. Por exemplo,
a organização pode estabelecer programas para a qualificação dos
colaboradores, programa de testes dos equipamentos, programa de
saúde dos colaboradores. Os programas podem ser executados em
paralelo ou sequencialmente, mas devem ser implantados de forma
independente para que a execução dos programas dentro da organização
não seja afetada pela suspensão ou prorrogação de outros programas. Os
programas podem ser suspensos ou prorrogados e o gestor deve avaliar
qual é o impacto dessas suspensões ou prorrogações e procurar diminuir
os impactos nos projetos em andamento, principalmente no que se refere
a custos, prazos e recursos disponíveis. Por exemplo, caso um projeto seja
iniciado com a expectativa de contar com novos colaboradores, que ainda
serão contratados pela empresa por meio de um programa de renovação
do quadro de funcionários, há um risco elevado para o projeto. Isto
ocorre porque em caso de prorrogação ou extinção do programa de
contratação, o projeto poderá ter impactos altos nas estimativas de
www.esab.edu.br 292
prazos e custos. Como solução, o programa de contratação deve ter o
apoio da alta direção em se comprometer com contratar os profissionais
necessários para o projeto. O planejamento deve ter também um plano
para utilização de colaboradores de outros projetos; a adoção desses
procedimentos diminuirá os riscos de dependência do projeto em relação
ao programa de renovação de colaboradores.
Observe que a integração entre pessoas, organização, projetos e

programas representa as partes de um conjunto que compõe o projeto,
influenciando na definição das suas atividades, nos seus processos e
no alinhamento com o objetivo de negócio da organização. Portanto,
cada parte desse conjunto influencia e é influenciada por outras partes
do mesmo conjunto. Desse modo, não se pode avaliar os projetos
considerando cada parte em separado, isto pode resultar em um cenário
que não representa o contexto atual e real do projeto. Por exemplo, ao
analisar os recursos financeiros utilizados pelo projeto em determinado
período, o gerente de projeto pode identificar que há recursos sobrando,
ou seja, que se gastou menos do que havia sido previsto. A avaliação
desse item em separado dos demais processos executados no projeto
pode realmente informar que esses recursos financeiros estão sobrando
e, consequentemente, estão disponíveis para outros projetos. Porém, ao
avaliar as horas trabalhadas no projeto no mesmo período de utilização
dos recursos financeiros, é possível observar que houve menos horas
trabalhadas, por falta de profissionais que não foram contratados,
outros que ficaram doentes e até mesmo colaboradores que trabalharam
em outros projetos. Logo, os recursos não estão sobrando, porque, na
verdade, as horas trabalhadas foram inferiores às estimativas de horas
trabalhadas. Assim, os recursos que pareciam estar sobrando, estão, na
verdade, destinados ao pagamento das horas que até o momento não
foram realizadas, mas serão no futuro. Dessa forma, os recursos não estão
disponíveis e se tivessem sido destinados a outros projetos, provavelmente
inviabilizariam aquele para o qual haviam sido pré-alocados.
Devido à complexidade do projeto, este deve ser compreendido como

um conjunto de processos que gerenciam as atividades em execução e
facilitam as estimativas de custos, os recursos necessários, os tipos de
produtos que serão produzidos e as incertezas e riscos.
www.esab.edu.br 293
A Figura 28 apresenta os contextos em comum entre o COBIT e o
PMBOK, observe:
PMI/PMBOK COBIT
Atividades
Processos
Objetivos
Riscos
Figura 28 – Contextos de integração entre COBIT e PMBOK.

Observe que as atividades que são executadas para cada projeto são
constituídas de processos. Esses processos, por sua vez, devem ser
executados e controlados de forma a garantir que os objetivos de negócio
da organização sejam atendidos, diminuindo os riscos de os projetos em
execução na organização não atenderem aos requisitos e expectativas
dos clientes. Essa integração entre atividades e processos, apresentada na
Figura 28, é tão importante que passou a ser abordada, na última versão
publicada do COBIT, a versão cinco, como prática para o gerenciamento
de programas e projetos. Essa atualização do COBIT visa a contemplar a
abordagem da gestão de projetos de forma coordenada e organizada, para
projetos isolados ou integrados, com foco na avaliação dos riscos em cada
processo do desenvolvimento de um projeto.
Nesse sentido, é muito importante que a organização integre os dois

modelos, de forma a controlar os processos associados às atividades
de cada projeto da organização. Para que isto ocorra, são necessárias a
definição e execução de algumas estratégias, como veremos a seguir.
www.esab.edu.br 294
35.2 Estratégias de integração
As estratégias de integração entre o modelo COBIT e o PMBOK, segundo
Fernandes e Abreu (2008, p. 417), devem ocorrer “[...] por meio do
mapeamento dos processos e áreas de conhecimento do PMBOK com os
processos de controle do COBIT”. Isto pode ser realizado, por exemplo,
utilizando as ferramentas, os processos e as técnicas de avaliação de riscos
preconizados pelo PMBOK, como o cronograma de atividades com registro
das atividades prioritárias, os recursos necessários para cada atividade, e as
datas de início e de encerramento das atividades, para o gerenciamento dos
processos de TI desenvolvidos na organização. Por exemplo, se a organização
deseja instalar novos equipamentos em seu parque tecnológico, todos os
processos para escolha dos fornecedores, ou seja, a avaliação das propostas,
aquisição e pagamento dos fornecedores, podem ser documentados na forma
de atividades, com especificação dos prazos, custos e partes envolvidas em
cada processo, possibilitando, dessa forma, o conhecimento de quando as
atividades se iniciam e terminam. Uma estratégia para realizar a integração
do COBIT com o PMBOK é ajustar as práticas de controle do modelo
COBIT, que orientam sobre o gerenciamento dos requisitos de softwares
de forma que possam ser aplicados para o controle e o gerenciamento dos
requisitos do projeto, visando à melhoria da qualidade dos projetos e à
maior aceitação por parte dos usuários. Por exemplo, a organização pode
determinar que todos os projetos iniciem somente após o processo de análise
e de gestão de requisitos ter sido realizado e validado por todas as partes
envolvidas, principalmente o usuário. O usuário deverá formalizar o aceite
dos requisitos especificados com a assinatura no documento de especificação
de requisitos.
O PMBOK também disponibiliza ferramentas e técnicas para

aquisição de produtos e serviços de forma geral, mas que podem ser
utilizadas para o gerenciamento dos processos de aquisição de produtos
específicos, como softwares e de recursos de infraestrutura em TI, como
computadores, impressoras e demais tipos de equipamentos necessários
para o correto funcionamento da TI. Da mesma forma, o COBIT possui
processos de controle para rotinas de testes, validação e aceitação de
produtos de TI, sendo que esses processos podem ser ajustados para que
a gestão de projetos resulte em projetos com maior aceitação por parte
dos clientes e usuários. Isto se deve à redução das inconsistências entre os
requisitos especificados e a como eles foram desenvolvidos.
www.esab.edu.br 295
Observe que a integração acontecerá quando unirmos as principais
características e propriedades do COBIT e do PMBOK. Essa união
fará com que os processos do PMBOK tenham, de forma mais clara,
a definição de processos para monitoração e avaliação de desempenho
das atividades executadas em cada projeto da organização (devido
à característica de controle e monitoramento do COBIT que será
incorporada pelo PMBOK). Isto pode ser realizado, por exemplo, com
a coleta de informações dos projetos e seus processos, com o controle e
monitoramento desses processos e a avaliação e registro do desempenho
de cada processo juntamente com as ações corretivas necessárias.
Uma vez que conhecemos as estratégias para a integração entre os

modelos COBIT e PMBOK, estudaremos alguns importantes benefícios
e vantagens dessa integração. Acompanhe.
35.3 Benefícios e vantagens da integração

Os benefícios da integração visam primeiramente a que os processos
sejam executados de forma que os objetivos do negócio da organização
sejam atendidos (característica do COBIT), bem como que se tenha
a administração dos custos, dos prazos e dos recursos necessários e a
redução dos riscos para a organização (características do PMBOK).
De acordo com Fernandes e Abreu (2008), os principais benefícios da
integração dos modelos COBIT e PMBOK são:
• projetos alinhados com o objetivo de negócio da organização:

os projetos são desenvolvidos, monitorados e controlados para
avaliação, observando se eles estão de acordo com o alinhamento
estratégico da organização;
• definição e padronização dos processos: a gestão de projetos passa
a adotar processos padronizados, o que facilita a avaliação de
desempenho e a tomada de decisão para execução de melhorias
quando necessárias;
• gerenciamento de mudanças: as mudanças executadas nos projetos são
monitoradas. Essa ação possibilita, de forma mais rápida e eficiente, a
avaliação dos riscos que estas mudanças representam para o projeto, e
quais são os impactos positivos e negativos que podem gerar;
www.esab.edu.br 296
• identificação e alocação de recursos: como todas as atividades
possuem um conjunto de processos predefinidos, a integração
entre esses modelos permite especificar mais facilmente quais são os
recursos necessários para cada atividade e, consequentemente, definir
custos e prazos para sua execução.
Além desses benefícios, o Guia PMBOK (2004) elenca algumas
vantagens da integração do modelo COBIT e PMBOK para a
organização, acompanhe:
• administração de escopo: contempla os processos necessários

para garantir que o projeto seja completado com sucesso, a
partir da definição do que faz parte do contexto do projeto e,
consequentemente, do que não faz parte;
• administração do tempo: contempla os processos que visam
garantir que o projeto seja executado dentro do prazo determinado,
assim como as atividades que fazem parte do projeto. Isto porque
atividades executadas dentro dos prazos resultam em projetos dentro
do prazo;
• administração dos custos: contempla os processos que visam
a garantir que o projeto seja executado utilizando os recursos
financeiros disponibilizados para o projeto;
• administração de qualidade: engloba os processos que visam
garantir que o produto ou serviço desenvolvido no projeto atenda às
expectativas do cliente;
• administração de riscos: contempla os processos que visam garantir
a identificação dos riscos do projeto e propor soluções para os
possíveis incidentes e problemas;
• administração de aquisições: envolve os processos que visam garantir
a identificação das necessidades de produtos e serviços para o projeto,
os fornecedores e níveis de desempenho a serem atendidos.
www.esab.edu.br 297
Como resultado da integração dos modelos, de forma geral, haverá na
organização uma maior preocupação com as atividades no que se refere a
sua duração, aos custos, às partes envolvidas, mas, principalmente, haverá
maior preocupação com o controle dos requisitos e dos riscos associados
a cada atividade, a partir de técnicas de medição e de avaliação do nível
de maturidade da organização na gestão dos projetos.
O modelo COBIT pode ser entendido como um conjunto de

boas práticas para que os processos desenvolvidos na organização
sejam realizados de forma alinhada com os objetivos de negócio da
organização. Para tal, os processos devem ser monitorados, controlados
e padronizados, o que torna o COBIT um modelo de Governança em
TI abrangente e atuante em todos os níveis organizacionais. Porém, o
modelo COBIT destaca o que deve ser feito, mas não como fazer, já
que fornece ferramentas e métricas para controle de todos os processos
executados na organização, mas não detalha como e por quem os
processos devem ser realizados. Já o PMBOK identifica melhor os
processos, com mais detalhes, em conjunto com o conhecimento e as
técnicas necessárias para que os processos sejam executados de forma
eficaz e de acordo com os requisitos de cada projeto. O modelo tem foco
nas pessoas, nas atividades e tarefas que são executadas, o que o torna
bastante abrangente. O PMBOK tem como objetivo identificar um
conjunto de boas práticas de gerenciamento de projetos e a aplicação
correta destas boas práticas, ferramentas e técnicas que podem aumentar
as chances de sucesso de uma ampla série de projetos.
Você pôde estudar também que a integração do modelo COBIT com o

PMBOK deve ocorrer por meio do mapeamento dos processos e áreas
de conhecimento do PMBOK relacionando-os com os processos de
controle do COBIT. Ainda, vimos que a integração se dá ao juntar as
principais características e propriedades do COBIT e do PMBOK para
que os processos do PMBOK tenham, de forma mais clara, a definição
de processos para monitoração e avaliação de desempenho das atividades
executadas em cada projeto da organização.
www.esab.edu.br 298
Por fim, você pôde estudar que a integração do modelo COBIT e
PMBOK possibilita a gestão com foco nas atividades, sua duração,
custos, partes envolvidas, requisitos e riscos, bem como nos processos e
seus resultados, metas, medições e nível de maturidade.
Na próxima unidade, você estudará outro modelo de gestão de projetos,

o Projects in Controlled Environments (PRINCE2). Conheceremos esse
modelo, aprendendo quais são os seus objetivos, a sua estrutura, seus
controles e suas aplicações. Vamos lá?
Tarefa dissertativa
www.esab.edu.br 299
36 Projects in Controlled
Environments (PRINCE2)
Objetivo
Apresentar o modelo PRINCE2, seus objetivos, sua estrutura, seus
controles e suas aplicações.
Na unidade anterior, estudamos o modelo COBIT, um conjunto de

boas práticas para que os processos desenvolvidos na organização sejam
realizados de forma alinhada com os seus objetivos de negócio. Para isto
acontecer, vimos que os processos devem ser monitorados, controlados
e padronizados, o que torna o COBIT um modelo de Governança em
TI abrangente e atuante em todos os níveis organizacionais. Porém, o
modelo COBIT destaca o que deve ser feito, mas não como fazer, já
que fornece ferramentas e métricas para controle de todos os processos
executados na organização, mas não detalha como os processos devem ser
realizados nem por quem. Por outro lado, o PMBOK identifica melhor
os processos, com mais detalhes, em conjunto com o conhecimento e
as técnicas necessárias para que os processos sejam executados de forma
eficaz e de acordo com os requisitos de cada projeto. O modelo PMBOK
foca nas pessoas, nas atividades e nas tarefas que são executadas.
Na unidade anterior, você pôde estudar também que a integração do

modelo COBIT com o PMBOK deve ocorrer por meio do mapeamento
dos processos e áreas de conhecimento do PMBOK a partir dos processos
de controle do COBIT. Essa integração fará com que os processos do
PMBOK tenham, de forma mais clara, a definição de processos para
monitoração e avaliação de desempenho das atividades executadas em
cada projeto da organização.
Por fim, você pôde estudar que a integração do modelo COBIT e

PMBOK possibilita a gestão com foco nas atividades, sua duração,
custos, partes envolvidas, requisitos e riscos, bem como os processos e
seus resultados, metas, medições e nível de maturidade.
www.esab.edu.br 300
Nesta unidade, você estudará outro modelo de gestão de projetos,
o PRINCE2, seus objetivos, sua estrutura, seus controles e suas
aplicações. Os autores Fernandes e Abreu (2008) fundamentam as
concepções desta unidade.
Iniciaremos os estudos sobre o modelo PRINCE2 apresentado seu

histórico e objetivos.

O modelo PRINCE2 começou a ser desenvolvido em 1989 pela CCTA
(Central Computer and Telecommunications Agency), órgão pertencente
ao governo britânico. O PRINCE2 surgiu como uma variação do
modelo PROMPTII, desenvolvido pela empresa Simpact Systems Ltda.,
em 1975 e adquirido pela CCTA, em 1980. O modelo foi desenvolvido
para atender à solicitação do governo britânico por um modelo de gestão
de projetos para qualquer tipo de projeto, e não apenas para projetos de
Tecnologia da Informação. A primeira versão do modelo foi lançada em
1996 e a última versão em 2005. Atualmente, o PRINCE2 é adotado em
projetos da iniciativa privada e do governo britânico, mas também em
outros países da Europa e Estados Unidos.
Conforme Fernandes e Abreu (2008), a metodologia do modelo

PRINCE2 possui uma estrutura simples, constituída de quatro
elementos integrados: princípios, temas, processos e ambientes de
projeto. Os princípios representam as orientações obrigatórias que
determinam se o projeto está sendo administrado pelo método
PRINCE2 ou não. Os temas descrevem as características do
gerenciamento de projeto segundo o modelo PRINCE2. Os processos
representam as etapas que devem ser executadas ao longo do ciclo de vida
do projeto, abrangendo: a iniciação, execução, verificação e encerramento
do projeto. O ambiente de projeto representa a necessidade de adequar
o PRINCE2 à realidade de cada projeto, seus custos, prazos, recursos
disponíveis e objetivos, como você pode observar na Figura 29.
www.esab.edu.br 301
Custos
Prazos
Recursos
Objetivos
Figura 29 – Ambiente de projeto do modelo PRINCE2.

Segundo Fernandes e Abreu (2008, p. 261), o modelo PRINCE2 tem

como principais objetivos:
• ser aplicado em todos os projetos, independentemente de tipo e

complexidade;
• poder ser ensinado e perpetuado dentro da organização, para todos
os gerentes de projetos e demais interessados;
• antecipar os problemas referentes aos projetos;
• possibilitar a gestão de mudanças de forma proativa.
Esses objetivos representam, por exemplo, ações que possibilitem
a continuidade do projeto de forma alinhada com os objetivos da
organização. Entretanto, para que isto aconteça, a instituição precisa
estabelecer claramente quais são as suas metas, e quais investimentos e
recursos devem ser destinados aos projetos. Essas medidas, na verdade,
exigem que a organização mantenha uma Governança Corporativa, ou
seja, uma realidade na organização, com aplicação em todos os projetos,
com controle, monitoramento e melhorias constantes dos processos
executados na organização. Por exemplo, a organização deve desenvolver
um portfólio com todos os projetos em execução, o nome do projeto,
o cliente, com os seus responsáveis (gerentes de projetos e equipe
envolvida), os prazos de execução e quais os resultados esperados. O
portfólio deve ser atualizado de acordo com o início de novos projetos
e encerramento de outros. Esse portfólio deve estar disponível para
consulta por parte dos stakeholders da organização.
www.esab.edu.br 302
Outro aspecto importante para administração e controle dos projetos em
desenvolvimento na organização é utilizar o modelo para avaliação dos
projetos com indicadores de performance que informem sobre aspectos
cruciais como: tempo, custo, qualidade, escopo, riscos e benefícios. Isto
assegura a antecipação aos problemas e possibilita a gestão de mudanças
e os impactos no projeto. Mais que avaliar e controlar os indicadores
de desempenho, é preciso que papéis e responsabilidades das equipes
de projetos sejam formalmente estabelecidas, permitindo que as partes
envolvidas sejam mais proativas, que tomem a iniciativa de fazer ajustes e
melhorias constantes nos processos de desenvolvimento dos projetos.
Esses objetivos podem ser alcançados em qualquer tipo de organização,

tamanho ou grau de complexidade de seus projetos, como veremos a seguir.

Vimos que a implantação do modelo PRINCE2 independe do tamanho
da organização. Porém, para que essa implantação aconteça de forma
satisfatória, é preciso identificar o melhor contexto para aplicação
do modelo. Segundo Fernandes e Abreu (2008, p. 268), o modelo
PRINCE2 “[...] se aplica a qualquer tipo de projetos, incluindo
projetos de tecnologia da informação, sendo de fato uma metodologia
de gerenciamento de projetos”. Você, como futuro profissional da área
de Governança em TI, deve estar atento à diferença entre os modelos
PRINCE2 e PMBOK. Assim, é importante saber que o PMBOK é
um guia de conhecimento que apresenta boas práticas para a gestão
de projetos desenvolvidos a partir do PMI e o PRINCE2, por sua vez,
é uma metodologia que complementa o PMBOK, ou seja, não são
modelos concorrentes. Portanto, o Guia PMBOK mostra “o que é
preciso realizar,” e o modelo PRINCE2 apresenta “como realizar”. Por
exemplo, o Guia PMBOK especifica que o primeiro processo do ciclo
de vida de um projeto é a iniciação, com especificação dos requisitos,
cronograma e riscos do projeto, porém, não especifica como essas
informações devem ser coletadas. Já o PRINCE2 apresenta algumas
técnicas para coleta das informações, como: a realização de reuniões
periódicas com os usuários do sistema, registrando formalmente o que
foi discutido e definindo papéis e responsabilidades dos envolvidos e
a rastreabilidade dos requisitos, que consiste em acompanhar como os
requisitos estão sendo desenvolvidos e se estão sendo atendidos.
www.esab.edu.br 303
Estudo complementar
Caro aluno, o artigo “Como PRINCE2® pode
Complementar PMBOK® e seu PMP”, apresentado
no site da Gespro, clicando aqui, traz informações
importantes sobre como o modelo PRINCE2 pode
complementar o guia PMBOK. Acesse e aprenda
sobre a integração desses dois modelos.
Como destacado anteriormente, o modelo PRINCE2 será integrado

ao modelo PMI/PMBOK, mas também pode ser implantado de forma
independente ao PMI/PMBOK em um contexto único dentro da
organização e trazer grandes benefícios. De acordo com Fernandes e
Abreu (2008, p. 230), os principais benefícios do modelo PRINCE2 são:
• Melhoria na estimativa de prazos.

• Melhoria na estimativa de esforços e de custo.
• Melhoria na estimativa de qualidade.
• Melhoria na satisfação dos clientes.
• Maior alinhamento dos projetos com o alinhamento estratégico da organização.
• Maior número de projetos entregues dentro do orçamento planejado.
• Redução das taxas de defeitos nos projetos produzidos.
Esses benefícios ficam mais evidentes quando a organização compreende
que cada projeto possui uma estimativa de prazo, custo e qualidade. Isto
torna mais complexo gerenciá-los de forma que venham a atender aos
objetivos de negócio da organização, como entregas dentro do prazo
e satisfação por parte do cliente. Por isso, os colaboradores envolvidos
com a gestão de projetos dentro da organização devem ter habilidades
técnicas e contar com ferramentas (softwares) que permitam rapidamente
diferenciar as características de cada projeto, detectar quais variáveis
precisam ser fortemente gerenciadas para que elas não se transformem
em fatores de risco durante a execução do projeto e que tenham impacto
negativo no resultado final do projeto.
www.esab.edu.br 304
Para auxiliar a gestão de projetos na forma de uma metodologia para
gestão de riscos, administração do tempo, custos, recursos humanos,
comunicações, qualidade e suprimentos, os gerentes de projetos têm
utilizado o PRINCE2.
Assim como os modelos podem se complementar, em termos de certificação,

a certificação PMBOK pode ser complementada pela certificação PRINCE2
e vice-versa. A seguir, estudaremos estas certificações.

A certificação PRINCE2 possui duas modalidades, a certificação
PRINCE2 Foundation e a PRINCE2 Practitioner. Segundo Fernandes
e Abreu (2008), a certificação PRINCE2 Foundation se destina aos
membros de equipe de projetos que necessitam conhecer a terminologia,
os princípios e os conceitos da metodologia. Já a certificação PRINCE2
Practitioner é destinada aos profissionais e gerentes de projeto que
necessitam aplicar a metodologia no seu trabalho.
O exame de certificação PRINCE2 Foundation é constituído de 75

questões de múltipla escolha. Para obter sua aprovação, o candidato deve
acertar 50% das questões. Essa certificação não possui data de expiração.
O exame de certificação PRINCE2 Practitioner possui nove questões

de múltipla escolha, que valem 12 pontos cada, totalizando 108 pontos
possíveis. Para aprovação é necessário alcançar 59 pontos.
Nesta unidade, você estudou que o modelo PRINCE2 começou a

ser desenvolvido pela CCTA. Foi criado para atender à solicitação do
governo britânico, que precisava de um modelo de gestão de projetos
para qualquer tipo de projeto. A primeira versão do modelo foi lançada
em 1996 e a última versão em 2005. Atualmente, o PRINCE2 é adotado
em projetos da iniciativa privada e do governo britânico, mas também
em outros países da Europa e Estados Unidos.
www.esab.edu.br 305
Você estudou também que a metodologia do modelo PRINCE2 possui
uma estrutura simples, constituída de quatro elementos integrados:
princípios, temas, processos e ambientes de projeto. Viu também que
esse modelo tem como finalidade executar ações que possibilitem
dar continuidade ao projeto de forma alinhada com os objetivos da
organização. Outro aspecto importante do modelo é possibilitar a avaliação
dos projetos, com indicadores de performance que informem sobre aspectos
cruciais como: tempo, custo, qualidade, escopo, riscos e benefícios.
O modelo se aplica a qualquer tipo de projeto, incluindo projetos de

Tecnologia da Informação, sendo o PRINCE2 uma metodologia de
gerenciamento de projetos.
Você pôde compreender que, para auxiliar a gestão de projetos, na forma

de uma metodologia para gestão de riscos, administração do tempo,
custos, recursos humanos, comunicações, qualidade e suprimentos, os
gerentes de projetos têm utilizado o PRINCE2. Por fim, estudamos que a
certificação PRINCE2 possui duas modalidades, a certificação PRINCE2
Foundation, que se destina aos membros de equipe de projetos que
necessitam conhecer a terminologia, os princípios e os conceitos da
metodologia, e a certificação PRINCE2 Practitioner, destinada a
profissionais e gerentes de projeto que necessitam aplicar a metodologia
no seu trabalho.
Na próxima unidade, você conhecerá o modelo de melhores práticas Seis

Sigma, seus objetivos e sua estrutura.
Atividade
www.esab.edu.br 306
Resumo
Na unidade 31, você pôde estudar que o aumento da complexidade

dos sistemas computacionais fez com que as organizações adotassem
um modelo de avaliação dos processos de desenvolvimento de software
que os classificasse de acordo com o nível de maturidade, como o
modelo MR-MPS. A integração do MR-MPS com o ciclo de vida do
desenvolvimento de software possibilita que a cada nova interação sejam
realizadas avaliações para verificar se as funcionalidades desenvolvidas
estão de acordo com os requisitos do projeto de software. Por isso, é
muito importante que o modelo MR-MPS seja aplicado em todo o ciclo
de vida de desenvolvimento de softwares.
Na unidade 32, você estudou que as empresas têm passado por um

processo de transformação. Esse processo tem exigido maior flexibilidade
e uma mudança em suas configurações organizacionais. Nesse sentido, o
PMBOK oferece um conjunto de práticas em gerência de projetos. Esse
conjunto de práticas foi elaborado pelo PMI e organizado na forma de
um guia, chamado de Guia PMBOK. Estudamos, ainda nessa unidade,
que o gerenciamento de projetos tem sido utilizado como uma excelente
alternativa organizacional para empresas dos mais variados ramos de
atuação. Verificamos também que existem duas certificações profissionais
relativas ao gerenciamento de projetos, são elas: o PMP e o CAPM,
ambas individuais.
Na unidade 33, você estudou que o modelo PMBOK de gestão de

projetos, fundamentado pela gestão de programas, nasceu da necessidade
das organizações de gerenciar vários projetos do seu portfólio de produtos
ao mesmo tempo, sendo que o modelo avalia quais são os benefícios que
podem ser alcançados com a integração e gerenciamento de vários projetos.
www.esab.edu.br 307
Na unidade 34, estudamos que o modelo de maturidade em gestão
de projetos, o OPM3, surgiu como resultado da necessidade de
desenvolvimento de um modelo que permitisse avaliar o nível de
maturidade da organização em relação à gestão de projetos. Estudamos
que o modelo OPM3 tem como objetivo desenvolver mecanismos
que permitam que a organização possa melhorar a área de gestão de
projetos, identificando e estabelecendo melhorias aos processos de gestão
de projetos, de forma que a organização tenha um diferencial em um
mercado cada vez mais concorrente.
Na unidade 35, estudamos o modelo COBIT, um conjunto de

boas práticas para que os processos desenvolvidos na organização
sejam realizados de forma alinhada com os objetivos de negócio da
organização. Para isto, os processos devem ser monitorados, controlados
e padronizados. O modelo COBIT, no entanto, destaca o que deve
ser feito, mas não como fazer. Por outro lado, o PMBOK identifica os
processos mais detalhadamente, em conjunto com o conhecimento e
as técnicas necessárias para que os processos sejam executados de forma
eficaz e de acordo com os requisitos de cada projeto.
Na unidade 36, você estudou que o modelo PRINCE2 começou a

ser desenvolvido pela CCTA para atender à solicitação do governo
britânico de um modelo de gestão de projetos para qualquer tipo de
projeto. Estudamos também que a metodologia do modelo PRINCE2
possui uma estrutura simples, constituída de quatro elementos
integrados: princípios, temas, processos e ambientes de projeto. Vimos
que esse modelo tem como finalidade executar ações que possibilitam
a continuidade do projeto de forma alinhada com os objetivos da
organização. O modelo se aplica a qualquer tipo de projeto, incluindo
projetos de Tecnologia da Informação. Vimos que esse modelo é uma
metodologia de gerenciamento de projetos. Por fim, foi estudado
que a certificação PRINCE2 possui duas modalidades, a certificação
PRINCE2 Foundation e a certificação PRINCE2 Practitioner.
www.esab.edu.br 308
Modelo de melhores práticas Seis
37 Sigma – parte I
Objetivo
Apresentar o modelo de melhores práticas Seis Sigma, seus objetivos
e sua estrutura.
Na unidade anterior, você estudou que o modelo PRINCE2 foi criado

para atender uma solicitação do governo britânico, que precisava de um
modelo de gestão de projetos para todos os tipos de projetos. Atualmente,
o PRINCE2 é adotado em projetos da iniciativa privada e do governo
britânico, mas também em outros países da Europa e Estados Unidos.
Você estudou também que a metodologia do modelo PRINCE2 possui
uma estrutura simples, constituída de quatro elementos integrados:
princípios, temas, processos e ambientes de projeto. O modelo tem como
finalidade executar ações que possibilitam a continuidade do projeto
de forma alinhada com os objetivos da organização. Estudamos que
o PRINCE2 é uma metodologia de gerenciamento de projetos e você
pôde compreender que, para auxiliar a gestão de projetos, na forma de
uma metodologia para gestão de riscos, administração do tempo, custos,
recursos humanos, comunicações, qualidade e suprimentos, os gerentes
de projetos têm utilizado o PRINCE2.
Nesta unidade, você conhecerá o modelo de melhores práticas Seis

Sigma, seus objetivos e sua estrutura. Este material foi desenvolvido com
base em Fernandes e Abreu (2008).
Iniciaremos nossos estudos conhecendo o histórico do modelo e seus

objetivos. Vamos lá?
www.esab.edu.br 309
O modelo Seis Sigma é um modelo de gestão da qualidade que utiliza
indicadores estatísticos. Por isso, o Seis Sigma é conhecido como um
modelo de medição fundamentado no conceito de curva de Gauss,
da década de 1930, e estabelece uma forma de medir a variação dos
processos. O modelo tem como fundamento os estudos de Walter
Shewhart, que determinou que a partir de três desvios padrão, ou
três sigmas da média, é possível determinar se o processo necessita
de correção. Por exemplo, a equipe de desenvolvimento de projetos
de softwares pode aplicar a curva de Gauss para avaliar o número de
atividades que são entregues com atraso em diferentes períodos. A partir
da curva de Gauss, é possível avaliar se os atrasos estão dentro do desvio
esperado ou se os indicadores mostram que uma situação pode se tornar
um problema, exigindo que ações de correção sejam estabelecidas.
Dentre as ações, citamos a contratação de pessoal e a melhor definição
dos requisitos dos sistemas.
Criado pela empresa Motorola, o termo Seis Sigma surgiu em 1986 a

partir do estudo sobre o número de reclamações relacionadas à garantia
de determinado produto comercializado pela empresa. Segundo
Fernandes e Abreu (2008), o modelo se transformou, em 1987, em um
programa da empresa que tinha por objetivo reduzir a quantidade de
defeitos nos produtos. Em 1988, a Motorola recebeu o Prêmio Nacional
da Qualidade (PNQ) norte-americano, devido ao sucesso do programa.
Em 1991, o modelo Seis Sigma passou a ser adotado na Motorola como

treinamento oficial para a capacitação de especialistas em qualidade.
No ano seguinte, o modelo passou a ser adotado por outras indústrias,
incluindo seguradoras e instituições financeiras.
Já em 1999, a Motorola inovou ao ensinar o Seis Sigma para outras

organizações de sua cadeia de valores, como fornecedores, clientes e
outras indústrias.
www.esab.edu.br 310
O modelo Seis Sigma, em 2002, se transformou em uma metodologia
voltada para a obtenção de resultados diretamente relacionados ao
objetivo de negócio da organização. Por exemplo, se o objetivo da
organização é desenvolver produtos com qualidade diferenciada e que
atenda às necessidades dos clientes, gerando maior satisfação, o modelo
pode ser utilizado para avaliar o número de produtos entregues depois do
prazo acordado junto aos clientes, assim como o número de correções e
manutenções nos sistemas, oriundos de defeitos detectados pelos clientes.
Dessa forma, podemos evitar que produtos em desconformidade com
as necessidades do mercado e dos clientes possam afetar o objetivo da
instituição de ser referência naquele tipo de produto. Essa metodologia
era orientada não apenas à qualidade dos processos e produtos, mas a
estratégias que promovessem o atendimento dos objetivos de negócio
da organização, sendo indicada para identificação dos processos que
resultam em insatisfação do cliente. Para tanto, é necessário criar uma
equipe “Seis Sigma” que fica responsável por adotar estratégias para
identificação e resolução dos problemas, além de estipular prazos para
essa solução. Por exemplo, a empresa identifica, por meio de uma
pesquisa junto aos clientes, muitas reclamações com relação ao tempo
de entrega dos produtos comercializados pela loja virtual. A partir
dessa constatação, uma equipe “Seis Sigma” é constituída e um prazo é
estabelecido para que o tempo de entrega dos produtos vendidos pela
empresa na internet seja atendido.
O modelo tem evoluído de forma a suportar e maximizar o sucesso da

organização no atendimento aos seus objetivos de negócio e, segundo
Fernandes e Abreu (2008, p. 342), o principal objetivo do modelo é:
[...] a melhoria do desempenho do negócio através da melhoria do desempenho de

processos, tendo como meta um processo que apresente 3,4 defeitos sobre um milhão
de oportunidades, ou o ‘sigma 6’, que equivale a um rendimento de 99,9997% de
resultados do processo isentos de defeitos.
Na prática, essa melhoria no desempenho dos processos pode ser

representada por ações como: evitar a produção de mercadorias que não
fazem parte do portfólio de produtos da organização ou a estocagem de
produtos à espera de clientes, bem como evitar que colaboradores fiquem
ociosos devido à espera por materiais para finalizar o trabalho.
www.esab.edu.br 311
Para Fernandes e Abreu (2008), os objetivos do modelo são:
• redução de custos: é possível com a redução da produção de produtos e serviços

que não fazem parte do portfólio da organização ou que os indicadores de vendas já
evidenciaram que possuem pouca comercialização;
• melhoria na produtividade: alcançada através da melhoria dos processos de
produtividade, que evitam que o colaborador fique ocioso por falta de recursos para
dar continuidade ao trabalho; dessa forma, a produtividade tende a melhorar, assim
como os prazos e custos tendem a ser reduzidos;
• redução de defeitos: o modelo tem por objetivo identificar os processos que estão
gerando descontentamento por parte dos clientes e a criação de equipes “Seis Sigma”
para ajustar esses processos. Fazendo isso, os processos tendem a ser melhorados e
consequentemente, haverá uma redução de defeitos, maior satisfação dos clientes e
retenção destes.
Note que esses benefícios tornam a empresa mais competitiva, mas exige
que a organização realize melhorias contínuas, ou seja, ajustes “Seis
Sigma” nos processos de produção de serviços e produtos que causam
insatisfação nos clientes.
Estudaremos a seguir a aplicabilidade do modelo e o contexto exigido das

organizações para a implantação do modelo Seis Sigma. Acompanhe.

O foco do modelo Seis Sigma é a gestão e qualidade de processos, por
isso pode ser aplicado em qualquer organização, independentemente
do ramo de atividade. Fernandes e Abreu (2008, p. 349) destacam
que, na área de TI, o modelo pode ser utilizado “[...] em processos de
desenvolvimento de software, principalmente nas fábricas de programas
e manutenção de sistemas, onde há maior quantidade de projetos e um
maior índice de repetição dos mesmos”.
O modelo Seis Sigma pode ser aplicado também na área de segurança

da informação para identificar possibilidades de melhorias nos processos
de segurança, como o gerenciamento de incidentes e problemas. Por
exemplo, se a organização detecta, por meio dos registros de abertura
www.esab.edu.br 312
de chamado de manutenção, que há vários colaboradores reclamando
da contaminação dos computadores com vírus e isto está afetando a
execução das atividades e processos da organização, uma equipe “Seis
Sigma” pode ser criada para treinar os usuários e atualizar os softwares
antivírus dos computadores até que se chegue a 99,9997% dos
equipamentos sem vírus.
A Motorola, a General Eletric, a Ford, a Caixa Econômica Federal e a

3M são algumas das empresas que adotaram o Seis Sigma como modelo
de qualidade e gestão dos processos.
Note que são as grandes empresas que passaram a adotar o modelo, o

que reforça a importância para a organização de contar com profissionais
certificados em Seis Sigma. A seguir, abordaremos as certificações
relacionadas ao modelo.

A certificação Seis Sigma possui três categorias fornecidas pela Motorola
University e empresas especializadas, são elas: Black Belt, Green Belt e
Yellow Belt. São certificações relacionadas à qualidade por meio da gestão
de processos (FERNANDES; ABREU, 2008).
A certificação Yellow Belt é voltada para profissionais que coordenam

projetos de baixa complexidade, com prazos de implementação que não
ultrapassam dois meses. Os projetos relacionados a essa certificação não
possuem muitas interações com outros processos e departamentos da
organização.
Já a certificação Green Belt é voltada para profissionais que coordenam

projetos de média complexidade, com conhecimento dos conceitos
de processos, programas e sistemas, bem como domínio das técnicas e
métodos de melhoria contínua de processos.
www.esab.edu.br 313
Finalmente, mas não menos importante, a certificação Black Belt é
voltada para profissionais que coordenam projetos de alta complexidade
e possuem habilidade para identificar os processos que necessitam de
melhorias, além de executá-las. Esse profissional é responsável por
disseminar o modelo Seis Sigma na organização e dar suporte aos
colaboradores com certificação Green Belt.
Nesta unidade, você estudou que o modelo Seis Sigma é um modelo

de gestão da qualidade com utilização de indicadores estatísticos.
Estudamos, ainda, que o modelo é fundamentado nos estudos de Walter
Shewhart. O estudioso determinou, em seus estudos, que a partir de
três desvios padrão (três sigma) é possível avaliar se um determinado
processo necessita de ajustes e correções para que os objetivos de negócio
da organização sejam alcançados. Aprendemos que o termo Seis Sigma
surgiu em 1986 e foi criado pela empresa Motorola, a partir da análise
das reclamações de uso de garantias pelos clientes de seus produtos.
Em 2002, o modelo Seis Sigma se tornou uma metodologia orientada
para obtenção de resultados para o negócio, tendo o foco não apenas
na qualidade dos processos e produtos, mas em estratégias que resultem
no atendimento dos objetivos de negócio da organização. O principal
objetivo do modelo é a melhoria do desempenho do negócio, através
da melhoria do desempenho de processos. O modelo Seis Sigma tem
como meta um processo que apresente 3,4 defeitos sobre um milhão
de oportunidades, ou o ‘sigma 6’, que equivale a um rendimento de
99,9997% de resultados do processo isentos de defeitos. O foco do
modelo é a gestão e a qualidade de processos e, por isso, pode ser
aplicado em qualquer organização, independentemente do ramo de
atividade. A certificação Seis Sigma possui três categorias, Black Belt,
Green Belt e Yellow Belt, fornecidas pela Motorola University e empresas
especializadas. São certificações relacionadas à qualidade por meio da
gestão de processos.
Na próxima unidade, daremos sequência ao estudo do modelo Seis Sigma,

conhecendo a sua estrutura e as ferramentas de aplicação do modelo.
www.esab.edu.br 314
Estudo complementar
Caro aluno, acesse o site do Simpósio de
Engenharia de Produção (Simpep), de 2008,
clicando aqui, e leia o artigo “A Adoção da
Metodologia Seis Sigma por Pequenas e Médias
Empresas Brasileiras do Setor de Autopeças”.
Você poderá aprofundar seus estudos sobre a
adoção do modelo Seis Sigma em empresas de
pequeno e médio porte. Aproveite e amplie seus
conhecimentos sobre o tema!
www.esab.edu.br 315
Modelo de melhores práticas Seis
38 Sigma – parte II
Objetivo
Abordar o modelo de melhores práticas Seis Sigma, tratando dos
controles, das aplicações e das certificações associadas.
Na unidade anterior, você estudou que o Seis Sigma é um modelo de

gestão da qualidade com utilização de indicadores estatísticos, criado
pela empresa Motorola e que visa a suportar e a maximizar o sucesso da
organização no atendimento aos seus objetivos de negócio.
Nesta unidade, conheceremos a estrutura e as ferramentas de aplicação

do modelo, e como o modelo se relaciona com a definição de papéis e
responsabilidades dos colaboradores envolvidos com os processos que são
executados na organização. Este material foi desenvolvido com base em
Fernandes e Abreu (2008).
Vamos iniciar nossos estudos conhecendo a estrutura do modelo e suas

aplicações. Acompanhe.
38.1 Estrutura do modelo e suas aplicações

A estrutura do modelo Seis Sigma é conhecida como metodologia
DMAIC, as iniciais das palavras em inglês: define (definição), measure
(medição), analyse (análise), improve (melhoria) e control (controle). A
Figura 30 apresenta as etapas da metodologia DMAIC. Observe:
Analisar e
Identificar Definir Medir Aplicar o
implantar
processos necessidades desempenho sistema
melhorias
essenciais e dos clientes atual Seis Sigma
(análise e
clientes-chave (definição) (medição) (controle)
melhorias)
Figura 30 – Metodologia DMAIC (Seis Sigma).
Fonte: Adaptada de Fernandes e Abreu (2008, p. 344).
www.esab.edu.br 316
A etapa de identificação dos processos essenciais e clientes-chave,
representada no primeiro quadro, visa à identificação dos processos
mais críticos para a empresa e ao entendimento de como esses processos
interagem com os clientes. Por exemplo, se uma empresa disponibiliza o
serviço de banda larga, a organização precisa identificar como os serviços
estão sendo realizados, se estão de acordo com o contratado e esperado
pelo cliente e se há necessidade de ajustes ou melhorias. A partir dessa
identificação, a empresa precisa elencar os clientes-chave, como aqueles
que estão insatisfeitos com a qualidade do serviço.
O objetivo da etapa de definição das necessidades dos clientes,

representada no segundo quadro, é estabelecer padrões de desempenho
que venham a atender às necessidades do cliente a partir do resultado
da identificação dos processos mais críticos, realizados na etapa de
identificação dos processos essenciais. Por exemplo, no cenário anterior,
foram identificados clientes insatisfeitos com a qualidade do serviço;
na etapa de definição das necessidades do cliente, transformaremos
as reclamações em indicadores do que precisa ser melhorado, como
velocidade de conexão abaixo do contratado, instabilidade do serviço que
fica indisponível por muito tempo, falta de suporte aos usuários do serviço
etc. Fernandes e Abreu (2008, p. 344) destacam que a etapa de definição
das necessidades do cliente é “[...] uma grande mudança de paradigma
para muitas empresas que desenvolvem seus produtos e serviços a partir da
percepção interna do que realmente os clientes necessitam [...]”, ou seja,
em vez de a organização internamente supor o que os clientes necessitam,
a organização vai ouvir deles as suas reais necessidades.
A etapa representada no terceiro quadro – medir o desempenho atual

– visa a desenvolver uma forma de medição e análise dos processos que
geram produtos e serviços para os clientes. Por exemplo, para medição do
desempenho na disponibilização dos serviços de banda larga, a empresa
pode classificar e aferir as principais reclamações dos clientes junto aos
canais de comunicação da organização e junto aos canais de atendimento
e reclamações das agências reguladoras do Brasil. No Brasil, a agência
reguladora responsável por monitorar a qualidade dos serviços de
telefonia (banda larga) e, portanto, habilitada a receber as reclamações dos
serviços que não estão de acordo com o que foi contratado é a Anatel.
www.esab.edu.br 317
No quarto quadro, temos a etapa de análise e implantação de
melhorias. Essa etapa visa a possibilitar que a organização identifique
oportunidades para a implantação de melhorias nos processos que
possam agregar valor para o cliente. No caso da empresa do serviço
de banda larga, a organização pode aproveitar a atualização dos
equipamentos que resultaram em melhor qualidade dos serviços, para
entrar em contato com os clientes com alto índice de reclamação e
oferecer um serviço de melhor qualidade e maior velocidade de conexão,
sem aumento de valor pago pelo serviço, com objetivo de melhorar a
relação entre a empresa e o cliente, aumentando, assim, a sua satisfação.
Por fim, a etapa de aplicação do sistema Seis Sigma, representada

no quinto e último quadro da Figura 30, visa a expandir o modelo
para outros processos da organização, já que a necessidade do cliente
muda e cresce constantemente com o tempo e exige que os processos
da organização sejam revistos e melhorados. Por exemplo, para cada
produto ou serviço da organização é preciso definir o responsável pelo
monitoramento do processo, que, consequentemente, será também o
responsável por criar os planos de ação para solucionar os problemas.
Portanto, cada processo deverá ser definido, medido, analisado e
melhorado (FERNANDES; ABREU, 2008).
A aplicação do modelo Seis Sigma depende da natureza e do tempo

disponível para a identificação do problema que está sendo estudado.
Logo, na aplicação do modelo Seis Sigma, podem ser utilizadas
ferramentas para auxiliar na metodologia DMAIC. A seguir,
conheceremos algumas das ferramentas utilizadas para implantação do
Seis Sigma.
www.esab.edu.br 318
38.2 Ferramentas para implantação do Seis Sigma
As ferramentas para implantação do modelo Seis Sigma podem atuar em
várias etapas da metodologia DMAIC, por exemplo:
• na documentação e modelagem do processo;

• na avaliação da frequência em que determinado problema se repete;
• na especificação dos requisitos do serviço junto ao cliente;
• na definição do perfil do cliente.
Perceba que, além destas, existe uma gama de possibilidades de
ferramentas para facilitar a aplicação da metodologia DMAIC e,
consequentemente, do modelo Seis Sigma.
A seguir, apresentaremos algumas ferramentas essenciais para

implantação do modelo, elencadas por Fernandes e Abreu (2008).
Acompanhe:
• coleta de dados: a coleta de dados pode ser realizada por meio de

ferramentas de pesquisa direcionadas para os clientes das empresas
ou com uso de amostragem que represente um universo de itens ou
indivíduos que serão analisados. Por exemplo, o envio de e-mail para
os clientes com um questionário que lhe permita avaliar se o produto
foi entregue no prazo, a situação da embalagem e se o produto
chegou em boas condições, permitirá que a empresa tenha uma base
de dados importante sobre o processo de logística da organização;
• estratificação: pode ser realizada com ferramentas de Business
Intelligence e Data Mining para descoberta de dados sobre o
comportamento dos clientes em relação ao produto ou serviço
ofertado pela organização. O uso de cálculos estatísticos pode
auxiliar na estratificação dos dados sobre o problema. Por exemplo,
a organização pode realizar um cruzamento de dados dos clientes
(sexo e idade) com os dados das vendas. Esse cruzamento permitirá
obter ter um perfil do consumidor de determinado produto e
disponibilizá-lo para o setor de marketing da organização. O
setor de marketing, por sua vez, poderá utilizar esse perfil no
desenvolvimento de campanhas publicitárias;
www.esab.edu.br 319
• gráficos: o uso de diagramas possibilita uma análise visual dos
processos, dos grupos de usuários do serviço, da variação dos
dados em determinado período de tempo, da verificação de
produtividade, da repetitividade de um problema etc. Por exemplo,
o desenvolvimento de um gráfico com dados de um produto
em determinado período, permite que a organização faça um
planejamento para os períodos em que há maior procura pelo
produto, preparando, assim, as equipes de distribuição e vendas para
que não haja atrasos nas entregas;
• diagrama espinha de peixe: possibilita entender as causas de um
determinado problema. O diagrama é composto pelo problema que
será analisado, pelas informações sobre o problema e pelos 5 Ms
(máquinas, métodos, matéria-prima, meio ambiente e medições). O
objetivo do diagrama é elaborar um conjunto de possíveis motivos
realmente relacionados ao problema, descartando as informações
vagas ou irrelevantes. Essa ação se desenvolve a partir de um
brainstorming realizado com as pessoas que detenham conhecimento
ou experiência sobre o problema, focando na identificação das causas
e nas soluções a serem propostas.
As ferramentas são um complemento à habilidade do especialista em Seis
Sigma e cabe a esse profissional escolher quais ferramentas utilizar para
cada tipo de problema detectado. A escolha dessas ferramentas é feita em
equipe e requer a responsabilidade de todos os envolvidos. Na próxima
seção, estudaremos os papéis e as responsabilidades exigidas pelo mercado
para a implantação do modelo Seis Sigma nas organizações. Acompanhe.
38.3 Papéis e responsabilidades exigidas pelo modelo

Para que o modelo Seis Sigma seja implantado na organização, é preciso
um grupo de liderança responsável por estabelecer os projetos que serão
desenvolvidos, as prioridades e principalmente por gerenciar os conflitos,
se acontecerem, removendo as barreiras organizacionais. Por exemplo, a
iniciação da implantação de um modelo como o Seis Sigma pode gerar
desconfianças dentro da organização, descrédito no sucesso do processo e
cabe ao grupo de liderança gerenciar essas situações com a comunicação
e disseminação objetiva do que se deseja e os ganhos de todos com a
implantação do modelo. A Figura 31 apresenta a divisão de papéis e
responsabilidades da equipe responsável por implantar o modelo Seis Sigma.
www.esab.edu.br 320
Grupo de
liderança
Líder de
implantação
Equipe
Proprietário
Colaboradores Coach
do Processo
Figura 31 – Equipe de implantação do modelo Seis Sigma.
Note que, assim como é necessário um grupo de liderança, também deve

ser designado um líder de implantação, como indicado na Figura 31.
Esse líder deverá identificar os projetos e as pessoas envolvidas com cada
projeto, treinando-as; documentar o progresso da execução do modelo;
e reportar os resultados ao grupo de liderança e à alta administração da
organização. O líder de implantação pode contar com a ajuda de um
coach que oferece consultoria interna ao projeto, auxiliando e estimando
o retorno com a sua execução e validando os resultados da coleta e análise
dos dados.
O proprietário do processo é o integrante da equipe responsável pela

execução da aplicação do modelo Seis Sigma em todo o ciclo de vida
do processo que está sendo monitorado na organização. Por fim, os
colaboradores são os demais profissionais da organização que fazem
parte direta ou indiretamente do processo que está sendo analisado e
melhorado (FERNANDES; ABREU, 2008). Por exemplo, a organização
tem apresentado muitos atrasos nas entregas dos projetos, gerando
grande insatisfação por parte dos clientes. Para solucionar o problema, é
preciso identificar os principais envolvidos nessa situação, nesse caso, os
colaboradores responsáveis pelos testes e validações dos produtos. Um
líder de implantação do modelo deve ser definido para estabelecer os
parâmetros de desempenho que solucionarão o problema. Um parâmetro
pode ser o aumento das horas de testes e validação ou o uso de técnicas
www.esab.edu.br 321
mais modernas de testes. Outra possibilidade é a indicação de um coach
que poderá treinar os colaboradores para o uso de ferramentas de testes
e validação dos produtos. Esse conjunto de integrantes resultará em uma
equipe voltada para a diminuição nos atrasos dos projetos.
Nesta unidade, você estudou a estrutura do modelo Seis Sigma, conhecida

como metodologia DMAIC, sigla formada pelo conjunto das iniciais das
palavras em inglês: define (definição e identificação), measure (medição),
analyse (análise), improve (melhoria) e control (controle). Você pôde
estudar também que a aplicação do modelo Seis Sigma depende da
natureza do problema que está sendo estudado e do tempo para a
identificação dos problemas nos processos, além das informações sobre
eles. Viu, ainda, que para realizar a aplicação do modelo, podem ser
utilizadas ferramentas para auxiliar na metodologia DMAIC, tais como:
coleta de dados, estratificação, gráficos e diagrama de espinha de peixe.
A implantação do modelo Seis Sigma na organização requer um grupo

de liderança responsável por estabelecer os projetos a ser desenvolvidos,
as prioridades e principalmente gerenciar os conflitos, se acontecerem,
removendo as barreiras organizacionais. Esse grupo de liderança faz parte
de uma equipe formada pelo líder de implantação, pelo proprietário do
processo, pelo coach e demais envolvidos direta ou indiretamente com o
processo que está em análise para ser melhorado.
Na próxima unidade, estudaremos o modelo BSC-Balanced Scorecard.

Vamos lá?
www.esab.edu.br 322
Modelo de avaliação financeira,
39 clientes, processos e aprendizado:
Balanced Scorecard (BSC) – parte I
Objetivo
Apresentar o modelo de melhores práticas BSC, seus objetivos, sua
estrutura, seus controles, suas aplicações e as certificações associadas.
Na unidade anterior, você estudou a estrutura do modelo Seis Sigma,

conhecida como metodologia DMAIC, sigla formada pelas iniciais
das palavras em inglês: define (definição e identificação), measure
(medição), analyse (análise), improve (melhoria) e control (controle).
Você pôde estudar também que aplicação do modelo Seis Sigma depende
da natureza do problema que está sendo estudado e do tempo para a
identificação dos problemas nos processos que estão sendo monitorados,
além da dificuldade na captação das informações sobre os problemas.
Para realizar a aplicação do modelo, podem ser utilizadas ferramentas
para auxiliar na metodologia DMAIC, tais como: coleta de dados,
estratificação, gráficos e diagrama de espinha de peixe.
Nesta unidade, estudaremos o histórico, os objetivos, os contextos

para aplicação do modelo e as certificações relacionadas ao modelo
BSC-Balanced Scorecard. Este material foi desenvolvido com base em
Para iniciarmos nossos estudos sobre o modelo BSC-Balanced Scorecard,

conheceremos seu histórico e seus objetivos. Vamos lá?
www.esab.edu.br 323
O Balanced Scorecard originou-se de uma pesquisa sobre mediação
de desempenho na organização, realizada pela empresa Bearing Point,
em 1996. A pesquisa tinha como objetivo avaliar se a medição de
desempenho por meio de indicadores financeiros havia se tornado
obsoleta e se basear-se somente nessas medidas de desempenho permitia
ou não uma visão de presente e futuro do cenário da organização com
relação aos seus objetivos de negócio (FERNANDES; ABREU, 2008).
A pesquisa analisou vários estudos de caso de sistemas inovadores de

medição de desempenho, da década de 1990. Esses sistemas inovadores,
além das medições de desempenho financeiro, consideravam também
medições de entregas aos clientes, qualidade da produção e eficácia no
desenvolvimento de novos produtos.
Segundo Fernandes e Abreu (2008), a partir dos resultados das análises

dos estudos de caso, criou-se um modelo de scorecard dividido em quatro
visões: (1) financeira; (2) clientes; (3) processos internos e aprendizado; e
(4) crescimento. Devido ao uso do scorecard e da análise de indicadores
não apenas financeiros e que devem representar os objetivos da
organização, o modelo foi nomeado Balanced Scorecard (BSC).
Nos últimos anos, a partir de 2004, o Balanced Scorecard passou de um

modelo de indicadores para um modelo de alinhamento estratégico.
Fernandes e Abreu (2008, p. 367) destacam que essa transformação
fez com que o modelo “[...] passasse de um sistema de medição de
indicadores de desempenho para um sistema de gestão e comunicação
estratégica de uma empresa”.
Bem, agora que conhecemos um pouco da história desse modelo, vamos

focar nossas atenções e estudos no contexto das organizações que podem
vir a implementar o modelo Balanced Scorecard.
www.esab.edu.br 324
O Balanced Scoredcard (BSC) é aplicado a partir de um Mapa
Estratégico, que é uma ferramenta de representação visual da situação
atual e dos resultados futuros, com relação aos objetivos estratégicos
da organização nas quatro perspectivas analisadas pelo modelo:
financeiro, entregas aos clientes, qualidade da produção e eficácia
no desenvolvimento de novos produtos. Segundo Kaplan e Norton
(2004 apud Fernandes; Abreu, 2008, p. 369), o Mapa Estratégico “[...]
representa como a empresa cria valor e é considerado o elo entre a
formulação da estratégia e a sua execução”.
A Figura 32 apresenta um Mapa Estratégico de BSC, observe:
Aumentar Perspectiva
as receitas financeira
Clientes Perspectiva dos

satisfeitos clientes
Produtos Entrega Produtos Perspectiva dos

sem defeito nos prazos inovadores processos internos
Infraestrutura Equipe Planejamento Dados e Perspectiva de

adequada qualificada estratégico informações aprendizado
e crescimento
Figura 32 – Mapa estratégico BSC.

O mapa apresentado na Figura 32 representa as iniciativas que devem

ser tomadas para que a organização tenha um aumento nas suas
receitas (perspectiva financeira). Para tanto, é preciso vender mais e
diminuir custos. Como estratégia, é preciso buscar as informações do
planejamento estratégico da organização, dados dos custos operacionais e
de produção, principalmente no que se refere ao portfólio de produtos e
às prioridades de investimentos da organização em novos projetos. Além
www.esab.edu.br 325
disto, é preciso avaliar os recursos de infraestrutura disponibilizados
pela organização para que produtos sejam desenvolvidos com melhor
qualidade e dentro dos prazos estipulados. O que se espera é que a maior
satisfação por parte dos clientes, aliada à melhor qualidade dos produtos
e a entregas dentro do prazo, representem mais vendas e maior receita
para a organização. Ou seja, a satisfação do cliente e o aumento das
vendas (perspectiva do cliente) resultarão no aumento da receita.
Portanto, o Mapa Estratégico descreve as ações e as iniciativas que

devem ser tomadas para que um determinado objetivo seja alcançado,
sendo, junto com o BSC, uma poderosa ferramenta para que
organizações, de qualquer tipo e tamanho, possam alinhar os processos
com os objetivos de negócio da organização. Por exemplo, supondo que
o objetivo de uma determinada organização seja diminuir a quantidade
de softwares desenvolvidos com erros ou a incompatibilidade entre o que
o usuário desejava e o que foi implementado, para atingir esses objetivos,
um indicador a ser avaliado é o número de projetos de software em
desenvolvimento na organização. Nesse caso, a meta pode ser a redução
em 50% dos casos de correção e ajustes nos softwares entregues aos
clientes. A partir da meta estabelecida para solucionar o problema, se
determina a estratégia. No caso desse exemplo, a estratégia será implantar
o processo de desenvolvimento de requisitos para todos os projetos em
andamento, treinar os usuários, criar ferramentas de automatização de
testes e validação dos softwares. O Quadro 9 apresenta um Balanced
Scorecard para essa situação. Acompanhe:
www.esab.edu.br 326
BSC
Número de softwares desenvolvidos com problemas, erros
Problema e incompatibilidade entre as necessidades do cliente e as
funcionalidades implementadas.
Reduzir em 50% a incidência de problemas, erros e/ou
Meta
incompatibilidades
Padronizar a documentação de requisitos, instituir a obrigatoriedade
Estratégias
do documento de requisitos.
Perspectiva do Habilitar e treinar os colaboradores. Integrar gerentes de projetos,
conhecimento analistas de sistemas e programadores.
Perspectiva dos Desenvolver o processo de gestão de requisitos, com documentação,
processos internos modelagem, validação e testes das funcionalidades.
Perspectiva do Produtos entregues de acordo com o que foi contratado e maior
cliente satisfação dos clientes.
Perspectiva
Aumento do lucro com os projetos de software.
financeira
Quadro 9 – Balanced Scorecard.

É possível notar, por meio da Quadro 9, que no documento de BSC

é identificado o problema (número elevado de softwares entregues
com defeitos e em desacordo com o que foi solicitado pelo cliente) e,
de forma clara e objetiva, as metas a que se deseja atender (reduzir o
número de produtos de software com defeitos em 50%). Estas devem ser
metas realistas e atingíveis. O documento contempla ainda as atitudes
e as estratégias (ações) a serem postas em prática em cada perspectiva
(conhecimento, processos internos, clientes e financeira), como
padronizar os processos e documentos a serem utilizados na definição dos
requisitos dos softwares, e obrigar a documentação formal dos requisitos
e aprovação por parte dos envolvidos. Portanto, a organização deverá
treinar e habilitar os colaboradores no que se refere à gestão de requisitos.
Por fim, a avaliação desde a perspectiva do cliente, que permitirá avaliar
o sucesso ou não sucesso das ações elencadas no BSC, pois cabe ao
cliente informar se o projeto atende ou não às suas necessidades. Logo,
para que o objetivo do BSC seja atendido, é preciso que os indicadores
sejam especificados e monitorados, como no caso anterior, isto é, será
preciso quantificar quantos projetos foram entregues com sucesso e
quantos foram entregues com erros, possibilitando que se averigue se a
meta de 50% foi ou não atendida. Em caso de não atendimento, deve-
se determinar quais correções nas estratégias precisam ser realizadas, em
www.esab.edu.br 327
quais perspectivas e se é necessário contratar uma consultoria externa
para auxiliar na definição das estratégias e avaliação dos indicadores.
Note que a organização deve ter em seu quadro de colaboradores,

especialistas em BSC capazes e habilitados para definir as metas,
estratégias e perspectivas que deverão ser monitoradas para que um
determinado problema seja solucionado, o que reforça a importância da
certificação BSC.
Veremos a seguir como um profissional de TI pode certificar-se em BSC

de forma a atuar na criação e aplicação do Mapa Estratégico do BSC em
uma organização.

O modelo BSC não possui certificações profissionais nem empresariais.
Então, para atuar como especialista em BSC, o profissional deve
realizar cursos específicos para a implantação e monitoramento do
modelo, principalmente em nível de pós-graduação. Os cursos focam na
habilitação do profissional, de forma que ele possa desenvolver e analisar
o Mapa Estratégico e definir indicadores alinhados com os objetivos da
organização.
Nesta unidade, você estudou a origem do Balanced Scorecard, aprendeu

que esse modelo surgiu de uma pesquisa sobre mediação de desempenho
na organização motivada pela crença de que a medição de desempenho
que considerava somente os indicadores financeiros se tornara obsoleta
e que basear-se apenas nessas medidas de desempenho inabilitava as
empresas a criar valores econômicos futuros. Você estudou que a partir
dos estudos de caso presentes na pesquisa, foi possível criar um scorecard
organizado em quatro perspectivas: financeira, clientes, processos
internos e aprendizado e crescimento. Devido ao uso do scorecard e
ao uso e análise de indicadores que devem representar os objetivos de
curso a longo prazo da organização, o modelo foi nomeado Balanced
Scorecard (BSC). Nos últimos anos, a partir de 2004, o Balanced
Scorecard se transformou de um modelo de indicadores em um modelo
de alinhamento estratégico. O Balanced Scorecard é aplicado a partir de
www.esab.edu.br 328
um Mapa Estratégico e esse mapa é uma ferramenta de representação
visual da situação atual e futura da organização. Nessa representação, os
objetivos estratégicos da organização, nas quatro perspectivas analisadas
pelo modelo (financeiro, entregas aos clientes, qualidade da produção
e eficácia no desenvolvimento de novos produtos), são destacados na
forma de uma sequência de ações a serem realizadas para que o objetivo
de negócio seja alcançado. O Mapa Estratégico descreve que ações e
iniciativas devem ser tomadas para que um determinado objetivo seja
alcançado, sendo, junto com o BSC, uma poderosa ferramenta para
que organizações, de qualquer tipo e tamanho, possam alinhar os
processos com os objetivos de negócio da organização. Finalmente, você
estudou que o modelo BSC não possui certificações profissionais nem
empresariais. Dessa forma, aprendemos que para atuar como especialista
em BSC, o profissional deve realizar cursos específicos, normalmente em
nível de pós-graduação.
Na próxima unidade, vamos continuar estudando o modelo BSC,

conhecendo suas estratégias com o uso de indicadores, ferramentas e
vantagens do modelo.
www.esab.edu.br 329
Modelo de avaliação financeira,
40 clientes, processos e aprendizado:
Balanced Scorecard (BSC) – parte II
Objetivo
Apresentar o modelo de melhores práticas BSC, seus objetivos, sua
estrutura, seus controles, suas aplicações e as certificações associadas.
Na unidade anterior, você estudou a origem do Balanced Scorecard.

Viu que esse modelo surgiu como resultado de uma pesquisa sobre
organizações que consideravam a medição de desempenho fundamentada
somente em indicadores financeiros obsoletos. Essas organizações
acreditavam que utilizar somente medidas financeiras para avaliar a
organização não permitiria o alcance de uma visão do cenário presente
e futuro da organização. A partir desses estudos de caso, criou-se um
scorecard organizado em quatro perspectivas: financeira, clientes,
processos internos e aprendizado e crescimento.
Estudamos que o Balanced Scorecard é aplicado a partir de um

Mapa Estratégico. Vimos também que esse mapa descreve as ações
e as iniciativas para que um determinado objetivo seja alcançado.
Aprendemos que o BSC é uma poderosa ferramenta para que
organizações, de qualquer tipo e tamanho, possam alinhar os processos
com os objetivos de negócio da organização. Por fim, você estudou que o
modelo BSC não possui certificações profissionais nem empresariais.
Nesta unidade, vamos continuar estudando o modelo BSC, conhecendo

suas estratégias com o uso de indicadores, suas ferramentas de aplicação e
suas principais vantagens e benefícios. Acompanhe.
Esta unidade terá como referência as concepções de Fernandes e Abreu

(2008).
Vamos iniciar os estudos conhecendo a importância do uso de

indicadores para o sucesso do modelo BSC.
www.esab.edu.br 330
40.1 Estratégias: trabalhando com indicadores
A abordagem do modelo BSC está fundamentada no uso dos indicadores
não só financeiros, mas também de clientes, processos internos e
aprendizado e crescimento, por entender que o resultado financeiro
depende de outros fatores ou perspectivas. E o que podemos esperar
com a definição e a avaliação por indicadores? Traduzir as estratégias das
empresas, em termos operacionais, na forma de números atuais e futuros
Ainda com relação ao uso de indicadores, Fernandes e Abreu (2008,

p. 372) destacam que “[...] há uma dificuldade intrínseca na mediação
dos indicadores e seu resultado está condicionado a muitas variáveis
que não estão sob controle do BSC”. Por exemplo, a organização pode
se decidir por avaliar o lucro de determinado software desenvolvido e
distribuído por ela utilizando indicadores como: quantidade de vendas
por período; custo de produção e distribuição do produto; e número
de reclamações por parte dos clientes. O modelo BSC com uso desses
indicadores pode apresentar um cenário muito positivo e atrativo para
investimento nesse software, sobretudo com o desenvolvimento de
novas versões do produto. Mas é preciso critérios e cuidados na análise
e decisão sobre quais atitudes devem ser tomadas, uma vez que os
indicadores do BSC escolhidos focam em um conjunto de dados internos
da organização e podem não refletir a relação do seu produto com os
produtos de seus concorrentes. Assim, a empresa deverá incluir novos
indicadores como comparativos, principalmente no que se refere ao
uso de novas tecnologias e formas de acesso aos produtos concorrentes,
como o funcionamento de dispositivos móveis, o acesso pela internet e
a integração com redes sociais, por exemplo. Nesse caso, esses aspectos
podem representar uma rejeição ao seu produto e uma diminuição do
seu tempo de vida em um mercado mais competitivo.
Portanto, o uso de indicadores possibilita aferir se os processos executados

na organização estão obtendo os resultados desejados e, caso não estejam,
novas estratégias precisam ser ajustadas ou criadas, tornando dessa forma
o Balanced Scorecard uma ferramenta de apoio para o monitoramento
das decisões estratégicas da empresa, fundamentada em indicadores-chave
(financeiros, processos internos, aprendizado e crescimento).
www.esab.edu.br 331
Por fim, a organização deve construir um conjunto de indicadores de
desempenho de forma organizada e formalizada, com dados de todos
os setores, como uma estratégia para monitoramento e medição dos
resultados alcançados com os projetos em andamento na organização.
Para a construção e monitoramento dos indicadores, o gestor da

organização pode utilizar um conjunto de ferramentas disponíveis para
implantação do BSC, como veremos a seguir.
40.2 Ferramentas para aplicação do modelo BSC

Até o momento, foi possível contextualizar o BSC como um modelo de
Governança em TI que pode ser adotado por instituições para alinhar os
processos aos seus objetivos de negócio, monitorando o desempenho da
organização de acordo com as metas estratégicas estabelecidas.
Para esse alinhamento, algumas ferramentas são essenciais, como:
• Sistema Gerenciador de Documentos: essa ferramenta visa a manter

toda a documentação do BSC segura e organizada, funcionando
como um repositório de documentos que pode ser acessado por
usuários, mediante autorização, em qualquer lugar com acesso
à internet. A ferramenta permite o envio e recebimento de
documentos, sua aprovação e revisão;
• Sistema Gerenciador de Desempenho: essa ferramenta possibilita
o registro dos processos cujos desempenhos não são condizentes
com os requisitos especificados, bem como sua análise e correção.
Possibilita um registro histórico dos processos, dos ajustes e das
revisões realizadas;
• Sistema Gerenciador de Plano de Ação: ferramenta para organização
e elaboração de planos de ação, com especificação da ação a ser
tomada, motivo da ação, onde a ação será realizada, quando e por
quem. A ferramenta possibilita o gerenciamento de todas as etapas
do processo de planejamento e execução de planos de ações;
www.esab.edu.br 332
• Sistema Gerenciador de Indicadores: essa ferramenta possibilita
a comunicação e divulgação do planejamento estratégico, a
documentação dos indicadores e o envio de mensagens aos
colaboradores sobre o desempenho dos indicadores por e-mail. A
ferramenta possibilita a criação e atualização dos mapas estratégicos.
Gostaríamos de ressaltar que essas ferramentas não substituem o
profissional responsável por implantar e avaliar os indicadores do BSC.
As ferramentas servem para auxiliar esse profissional e a própria empresa
na sua gestão empresarial, o que resulta em benefícios e vantagens.
A seguir, estudaremos os benefícios e vantagens com a implantação do BSC.
40.3 Vantagens e benefícios do modelo BSC

Como vimos anteriormente, o BSC se apresenta como um modelo para
elaboração do planejamento estratégico da organização. Vimos também
que esse modelo baseia-se em quatros perspectivas na forma de um
Mapa Estratégico. Esse alinhamento do modelo com o planejamento
estratégico da organização representa uma vantagem justamente por
possibilitar uma visão ampla da organização, a partir dos objetivos
financeiros e não financeiros, a curto e longo prazo. Na prática, essa
vantagem se materializa na alocação dos recursos de forma organizada e
planejada para os setores com desempenho abaixo do esperado.
Segundo Fernandes e Abreu (2008), os seguintes benefícios são obtidos

com a implantação do BSC:
• alinhamento da organização à estratégia. Por exemplo, a

identificação dos recursos de Tecnologia da Informação essenciais
para que a organização possa atender aos objetivos de negócios,
como parque tecnológico moderno e estável, sem alto índice de
manutenção dos equipamentos;
• busca por sinergia organizacional: o modelo requer a participação
ativa de todos os colaboradores para que os objetivos da organização
sejam alcançados;
www.esab.edu.br 333
• definição de metas estratégicas: os problemas são identificados
de forma quantificada por meio de indicadores, e metas são
estabelecidas para a solução do problema a longo e curto prazo.
Por exemplo, se há um indicativo de muitos projetos de software
entregues fora do prazo, a organização deve identificar as causas,
como complexidade do projeto e falta de mão de obra qualificada,
estabelecer metas, como redução em 80% dos projetos entregues
fora do prazo, e estratégias, como contratação de mão de obra
qualificada e definição mais completa e obrigatória dos requisitos
dos softwares;
• construção de um sistema de gestão da estratégia: definir estratégias
para controle e monitoramento dos processos, para mantê-los
alinhados com as especificações de custos, prazos e escopo dos
projetos. Por exemplo, desenvolver um padrão de gerenciamento
de projetos na organização com a utilização de um modelo de
Governança em Tecnologia da Informação, como o PMBOK.
De forma geral, por não abranger apenas indicadores financeiros, o
modelo traz benefícios ao possibilitar a criação de indicadores que
permitem aferir objetivos que são intangíveis em uma organização,
como a habilidade dos colaboradores, a capacidade de inovação e a
possibilidade de solucionar problemas da organização.
Nesta unidade, você estudou que o modelo BSC utiliza indicadores

não só financeiros, mas também de clientes, de processos internos e de
aprendizado e crescimento. O que se espera com a definição e avaliação
por indicadores é traduzir as estratégias operacionais da organização na
forma de números.
Estudamos que o uso de indicadores possibilita avaliar se os processos

executados na organização estão obtendo os resultados esperados e, em
caso negativo, permite estabelecer estratégias para que os resultados
desejados sejam alcançados, tornando dessa forma o Balanced Scorecard
uma ferramenta de apoio para o controle das decisões estratégicas da
empresa. Você aprendeu que os indicadores de desempenho devem ser
estabelecidos de forma organizada e formalizada pela organização, com
dados de todos os setores.
www.esab.edu.br 334
Ainda nesta unidade, estudamos que para a construção dos indicadores
há um conjunto de ferramentas disponíveis para implantação do
BSC. Essas ferramentas não substituem o profissional responsável por
implantar e avaliar os indicadores do BSC, mas auxiliam esse profissional
e a própria organização na sua gestão empresarial, o que resulta em
benefícios e vantagens para a organização.
Vimos que, de forma geral, por não abranger apenas indicadores

financeiros, o benefício do modelo está na criação de indicadores
que permitam aferir objetivos que são intangíveis e tangíveis em uma
organização.
Na próxima unidade, começaremos o estudo do modelo TOGAF, um

modelo de alinhamento entre TI e o negócio da instituição. Vamos lá?
www.esab.edu.br 335
Modelo de alinhamento entre TI e
o negócio da instituição: The Open
41 Group Architecture Framework
(TOGAF) – parte I
Objetivo
Apresentar o modelo de melhores práticas TOGAF e sua integração
com as áreas de negócio da instituição.
Na unidade anterior, você estudou que o modelo BSC está

fundamentado no uso dos indicadores não só financeiros. Estudou
também que o que se espera com a definição e avaliação por indicadores
é traduzir as estratégias das empresas em termos operacionais, na forma
de números. O uso de indicadores possibilita aferir se os processos
executados na organização estão obtendo os resultados desejados;
caso não estejam, novas estratégias poderão ser ajustadas ou criadas
para tornar o Balanced Scorecard uma ferramenta de apoio para o
monitoramento das decisões estratégicas da empresa, que deve ser
construído pela organização de forma estruturada e formalizada.
Para a construção e monitoramento dos indicadores, o gestor da

organização pode utilizar um conjunto de ferramentas disponíveis para
implantação do BSC. Essas ferramentas não substituem o profissional
responsável por implantar e avaliar os indicadores do BSC, mas auxiliam
esse profissional e a própria organização na sua gestão.
Por não abranger apenas indicadores financeiros, o modelo BSC

possibilita a criação de indicadores que permitam aferir objetivos que são
intangíveis em uma organização.
Nesta unidade, começaremos o estudo do modelo TOGAF, um modelo

de alinhamento entre TI e o negócio da instituição.
www.esab.edu.br 336
Esse material foi fundamentado em Fernandes e Abreu (2008).
Iniciaremos nossos estudos sobre o modelo TOGAF conhecendo um

pouco da sua história e seus objetivos. Acompanhe.

O modelo TOGAF (The Open Group Architecture Framework) foi
desenvolvido pelo Open Group, uma organização não governamental.
O TOGAF tem como finalidade promover a integração e a segurança da
informação nas organizações (FERNANDES; ABREU, 2008).
A primeira versão do modelo surgiu em 1995, embasado no TAFIM

(Technical Architecture Framework for Information Management), o
modelo do departamento de defesa dos EUA. O modelo, em constante
atualização, consiste em um conjunto de métodos e ferramentas para o
desenvolvimento de arquiteturas de TI compatíveis com as necessidades e
características de cada organização.
Seu principal objetivo é padronizar um método de desenvolvimento de

uma arquitetura empresarial, desde a arquitetura de negócio, passando pela
arquitetura de sistemas de informação, até a arquitetura tecnológica. O
modelo TOGAF pode ser usado com outros modelos de Governança de TI.
Segundo Fernandes e Abreu (2008), os objetivos do TOGAF são:
• permitir a implantação de interoperabilidade entre arquiteturas e

componentes. Por exemplo, desenvolver rotinas de programação
(frameworks) que possam ser aplicadas em outros projetos, para
que o desenvolvimento seja padronizado e ocorra em menos tempo,
diminuindo custos e prazos;
• otimização de recursos de TI. Por exemplo, armazenando e organizando
os dados sobre os projetos que são desenvolvidos na organização de
forma a maximizar o uso dos recursos de TI, utilizando-os corretamente
e alinhando-os com os objetivos da organização;
www.esab.edu.br 337
• garantir a proteção dos ativos da organização. Por exemplo,
implantar políticas de segurança da informação com controle
de acesso para garantir o sigilo das informações. O acesso aos
documentos é controlado e monitorado e somente as pessoas
autorizadas podem acessá-los. Todo acesso é registrado para
auditorias futuras.
Agora que os objetivos foram apresentados, vamos focar nossos estudos no
contexto da organização para aplicação do modelo TOGAF. Vamos lá?

O modelo TOGAF é utilizado no controle e execução de projetos de
Tecnologia da Informação e Sistemas de Informação, para qualquer tipo
de organização, descrevendo os processos que devem ser executados para
que os objetivos da organização sejam alcançados.
Por exemplo, se a organização deseja implantar um sistema gerenciador

de banco de dados para armazenamento e organização dos dados da
empresa, é preciso que seja elaborado um processo de definição do
modelo de dados. Nesse modelo de dados, é preciso definir e avaliar
os recursos que devem ser disponibilizados pela organização para que
o sistema de banco de dados funcione adequadamente, definir os
fornecedores que atendem à necessidade da organização, os custos e
padrões a serem seguidos.
As organizações que implantam o modelo TOGAF passam a contar

com um setor de Arquitetura Corporativa. Esse setor será fortemente
relacionado com as áreas de negócio e estratégia da organização, visando
a auxiliar na concepção e gerenciamento da infraestrutura de TI,
maximizando as capacidades exigidas nas soluções de TI, e minimizando
os esforços de todos. A Figura 33 apresenta a composição da Arquitetura
Corporativa, acompanhe:
www.esab.edu.br 338
Estratégias
Processos Sistemas de Infraestrutura

de negócio informação de TI
Figura 33 – Estrutura da Arquitetura Corporativa.
Observe que a Arquitetura Corporativa compõe-se das definições das

estratégias a serem estabelecidas, executadas e monitoradas para que a
organização se mantenha competitiva. Essas estratégias podem ser:
• os processos de negócio, ou seja, as atividades do dia a dia que

produzem os produtos e serviços de TI;
• os softwares e as tecnologias disponibilizadas pela organização que
compõem o sistema de informação; ou
• a infraestrutura de TI, ou seja, os equipamentos de tecnologia da
organização.
Essa composição visa a alinhar a TI aos objetivos de negócio da
organização. Mas para que essas estratégias sejam eficientes e,
consequentemente, os objetivos de negócios da organização sejam
alcançados, é preciso que colaboradores trabalhem juntos na definição e
implementação do portfólio de produtos de TI da empresa. Por exemplo,
para que os sistemas de informação da organização funcionem de forma
adequada aos seus objetivos de negócio, o profissional capacitado em
TOGAF, isto é, o responsável pela área de Arquitetura Corporativa,
deve ter habilidade para negociar com os stakeholders as prioridades e os
sistemas essenciais da organização.
O especialista em TOGAF deve fazer parte da equipe responsável por elaborar o

planejamento estratégico da organização, auxiliando na definição do portfólio de
projetos e documentando as informações sobre os projetos em andamento e os
projetos programados.
www.esab.edu.br 339
Podemos observar que o modelo TOGAF está bastante relacionado com
a capacidade do especialista em arquitetura corporativa de avaliar se os
procedimentos e recursos relacionados à Tecnologia da Informação que
foram adotados pela organização são suficientes e adequados para atingir
os objetivos de negócio preestabelecidos. Para tanto, é preciso identificar
como os serviços de TI estão sendo implementados, o grau de interação
desses serviços com os processos de negócio da organização e se esses
processos são constantemente monitorados e controlados. Por exemplo,
cabe ao arquiteto corporativo (especialista em TOGAF), em parceria
com o conselho de gestão, definir a infraestrutura de software e hardware
necessária para que a organização instale uma nova filial, de forma que
toda a nova infraestrutura atenda aos objetivos de negócio da organização
e, nesse sentido, é preciso avaliar: quais equipamentos são necessários,
em que quantidade, configurações e desempenhos ideais, quais são os
padrões de mercado e que fornecedores atendem a esses padrões. É papel
desse profissional definir a infraestrutura do parque tecnológico da nova
filial com a finalidade de cumprimento dos objetivos de negócio.
Agora que estudamos o contexto para aplicação do modelo e a relação

desse com o profissional especialista em TOGAF, o arquiteto corporativo,
conheceremos as certificações relacionadas ao modelo.

O Open Group mantém várias certificações, sendo uma delas justamente
a certificação em TOGAF. Essa certificação pode ser realizada com foco no
indivíduo ou também com foco no licenciamento de produtos e serviços.
A certificação é realizada por empresas autorizadas para realização do
exame de certificação e do treinamento para o modelo TOGAF.
Segundo Fernandes e Abreu (2008), existem dois tipos de certificação

TOGAF:
• Foundation: avalia os conhecimentos básicos de TOGAF e da

arquitetura corporativa;
• Certified: abrange os conceitos básicos de TOGAF, bem como
verifica se o profissional possui as habilidades para a aplicação do
modelo nas organizações.
www.esab.edu.br 340
Independentemente da certificação, é fundamental para a organização
ter um profissional certificado em TOGAF, isto porque cabe a ele
avaliar se os serviços de TI da organização estão alinhados com o seu
planejamento estratégico. Para que isso aconteça, os serviços precisam ser
constantemente monitorados e melhorados.
Nesta unidade, foi estudado o modelo TOGAF (The Open Group

Architecture Framework) desenvolvido pelo Open Group. Você viu que
o modelo foi desenvolvido para promover e reforçar a integração da
informação dentro das organizações. O TOGAF vem sendo atualizado
constantemente, e consiste em um conjunto de métodos e ferramentas
para o desenvolvimento de um grande número de arquiteturas de TI
mais compatíveis com as necessidades da organização.
O principal objetivo do modelo é padronizar um método de

desenvolvimento de uma arquitetura empresarial, desde a arquitetura
de negócio, passando pela arquitetura de sistemas de informação, até a
arquitetura tecnológica. Pode ser usado também para o desenvolvimento
de produtos, mas nesses casos, deve ser associado a outros modelos de
Governança em TI.
O modelo TOGAF se aplica em controle e execução de projetos de

Tecnologia da Informação e Sistemas de Informação, para qualquer tipo
de organização, descrevendo os processos que devem ser executados para
que seus objetivos sejam atendidos.

com um setor de Arquitetura Corporativa fortemente relacionado às
áreas de negócio e estratégia da organização. Esse setor visa a auxiliar
na concepção e gerenciamento da infraestrutura de TI, maximizando as
capacidades exigidas nas soluções de TI e minimizando os esforços de
todos. O modelo TOGAF está bastante relacionado com a capacidade
do especialista em Arquitetura Corporativa, uma vez que esse especialista
deve ser capaz de avaliar o que a organização está fazendo em termos de
Tecnologia da Informação para que ela atinja seus objetivos. Para tanto,
aspectos como: que serviços de TI estão sendo implementados e qual
é o grau de interação desses serviços com os processos de negócio da
organização são constantemente monitorados e controlados.
www.esab.edu.br 341
Aprendemos que a certificação e o treinamento no modelo TOGAF
são realizados por empresas licenciadas, e que existem dois tipos de
certificação TOGAF: a Foundation e a Certified.
Na próxima unidade, daremos sequência aos nossos estudos sobre o

TOGAF, porém nossa ênfase recairá sobre a estrutura do modelo. Vamos lá?
Estudo complementar
Para conhecer mais sobre o modelo TOGAF e o
processo de certificação, acesse o site do Open
Group no Brasil. O site está disponível clicando
aqui. Nele, há informações sobre eventos e
treinamentos no modelo TOGAF, assim como
artigos sobre o assunto. Aproveite e aprenda mais!
www.esab.edu.br 342
Modelo de alinhamento entre TI e
o negócio da instituição: The Open
42 Group Architecture Framework
(TOGAF) – parte II
Objetivo
Apresentar o modelo de melhores práticas TOGAF como ferramenta
de auxílio na implantação de serviços de TI.
Na unidade anterior, foi estudado que o modelo TOGAF consiste em um

conjunto de métodos e ferramentas para o desenvolvimento de um grande
número de arquiteturas de TI mais compatíveis com as necessidades e
características de uma organização. O principal objetivo do modelo é
padronizar um método de desenvolvimento de arquitetura empresarial,
desde a arquitetura de negócio até a arquitetura tecnológica. O modelo
TOGAF se aplica para controle e execução de projetos de Tecnologia da
Informação e Sistemas de Informação em qualquer tipo de organização.

com um setor de Arquitetura Corporativa, fortemente relacionado com
as áreas de negócio e estratégica da organização. Vimos que há dois
tipos de certificação, a Foundation e a Certified. Nesta unidade, vamos
estudar a estrutura do modelo TOGAF, conhecida como estrutura ADM,
Enterprise Continuum e Integrated Infrastructure Reference Model.
Vamos começar conhecendo a estrutura ADM do modelo TOGAF.
www.esab.edu.br 343
42.1 Estrutura ADM
O modelo TOGAF, conhecido como estrutura ADM, é desenvolvido a
partir de três tipos de estruturas correlacionadas, sendo elas: Architecture
Development Method (ADM), Enterprise Continuum e Integrated
Information Infrastructure Reference Model (III-RM).
Vamos começar estudando a estrutura ADM.
A estrutura ADM (Architecture Development Method) consiste no

projeto de implantação e definição da arquitetura de Tecnologia da
Informação que será utilizada de forma a garantir que ela atenda aos
objetivos de negócio da organização. Para tanto, são identificados
e documentados os principais processos realizados no dia a dia da
organização e que, posteriormente, dependendo do grau de alinhamento
com as suas estratégias de negócio, serão incluídos no seu portfólio
de projetos. A Figura 34 apresenta o ciclo de desenvolvimento da
arquitetura que compõe a estrutura ADM:
Preliminar:
Framework
e princípios
H. Gestão da
A. Visão da B. Arquitetura
mudança da
arquitetura do negócio
arquitetura
C. Arquitetura
G. Implementação Gestão de
de sistema
da governança requisitos
de informação
F. Planejamento E. Oportunidades D. Arquitetura

da migração e soluções da tecnologia
Figura 34 – Ciclo de desenvolvimento da arquitetura que compõe a estrutura ADM.

www.esab.edu.br 344
As fases do ciclo de desenvolvimento da arquitetura visam a identificar
os requisitos para a arquitetura que se deseja implantar na organização.
Fernandes e Abreu (2008) apresentam os objetivos de cada uma das fases
apresentadas na Figura 34. Acompanhe:
• fase Preliminar: visa a assegurar o comprometimento das pessoas

envolvidas com o processo de desenvolvimento da arquitetura de
TI. Nessa fase, define-se o escopo do projeto, as pessoas envolvidas
e as suas responsabilidades, bem como as metodologias que serão
aplicadas para o desenvolvimento da arquitetura. Por exemplo,
a instalação de sistemas de controle de acesso às informações
armazenadas nos sistemas da organização exige que uma equipe
responsável pelo planejamento e execução do projeto seja definida. É
preciso também estabelecer as responsabilidades de cada integrante
na definição dos requisitos do projeto;
• fase de Visão da Arquitetura (A): tem como objetivo assegurar a
definição e projeção da arquitetura, de acordo com os princípios e
metas de negócio da organização. Isso é necessário para definir os
requisitos de negócio a serem abordados e tratados pela arquitetura
que será implantada. Por exemplo, no caso do sistema de controle de
acesso, é preciso avaliar quais documentos podem ser acessados e por
quem, o grau de sigilo de cada documento e como o armazenamento
e controle de acesso podem contribuir para concretizar os objetivos
de negócio da organização;
• fase de Arquitetura do Negócio (B): tem como objetivo
selecionar as ferramentas e técnicas que serão utilizadas para o
desenvolvimento do modelo de negócio da arquitetura, descrevendo
os aspectos de ambiente de negócio (princípios do negócio,
objetivos, metas e diretrizes). Por exemplo, para o controle de
acesso, é necessário avaliar as ferramentas disponíveis no mercado,
os custos, os fornecedores e principalmente os recursos financeiros
disponibilizados pela organização para o desenvolvimento desse
projeto de segurança da informação;
www.esab.edu.br 345
• fase de Arquitetura de Sistemas de Informação (C): visa a definir
os principais tipos de aplicações de sistemas necessários para
processar os dados e apoiar o negócio. Para o controle de acesso,
por exemplo, é preciso definir os pontos de controle de acesso, as
tecnologias a serem utilizadas e como os sistemas de controle de
acesso se integrarão ao sistema de cadastro de funcionários;
• fase de Arquitetura de Tecnologia (D): visa a definir as principais
tecnologias que serão adotadas como estratégia de apoio ao negócio.
Por exemplo, usar os dados do controle de acesso com os registros
de entradas e saídas na organização permitirá avaliar quais setores
possuem mais rotatividade de colaboradores e se as condições do
ambiente de trabalho atendem às expectativas desses colaboradores;
• fase de Oportunidades e Soluções (E): visa a selecionar a melhor
opção para implementação da arquitetura, com base nos custos
e benefícios, por exemplo, decidir por comprar ou contratar os
serviços de TI. Para o projeto de controle de acesso, deve-se escolher
a ferramenta mais adequada à realidade da empresa e às suas
necessidades;
• fase de Planejamento e Migração (F): visa a estabelecer um
planejamento para implementação e migração dos serviços de
TI para a nova arquitetura. Definir como os dados do sistema de
cadastro de funcionários serão integrados ao sistema de controle de
acesso é um exemplo dessa fase;
• fase de Implementação da Governança (G): visa a alinhar todos
os projetos com a nova arquitetura, na forma de recomendações,
definições e monitoramentos dos níveis de desempenho dos serviços
de TI. Corresponde a avaliar se o sistema de controle de acesso está
realmente evitando o acesso indevido aos dados, e se os requisitos
elencados pela organização estão sendo atendidos amplamente pela
ferramenta que foi implementada;
• fase de Gestão da Mudança da Arquitetura (H): visa a estabelecer
um processo de gestão e monitoramento das mudanças na
arquitetura, avaliando e definindo os processos de melhoria que
devem ser implantados. Por exemplo, determinar, junto aos usuários
do sistema de controle de acesso, quais são as melhorias necessárias e
avaliar como está a aceitação da nova ferramenta.
www.esab.edu.br 346
A estrutura ADM pode ser compreendida como a etapa de
Gerenciamento de Requisitos da arquitetura a ser implantada. Essa
estrutura se comunica com as outras duas estruturas, Enterprise
Continuum e Integrated Information Infrastructure Reference Model
(III-RM).
A seguir, vamos conhecer a arquitetura Enterprise Continuum.
42.2 Estrutura Enterprise Continuum

A estrutura Entreprise ou Enterprise Continuum é composta por dois
elementos. Vejamos quais são eles a partir de Fernandes e Abreu (2008):
• Architecture Continuum: representa as orientações e guias para o

desenvolvimento dos produtos e serviços, fornecendo descrições para
a construção de sistemas abertos;
• Solution Continuum: apresenta os recursos homologados
disponíveis na organização que podem ser reutilizados nos produtos
e serviços de TI. Esses recursos representam artefatos de solução.
Por exemplo, para a utilização de serviços de pagamento por meio
cartão de crédito nos sistemas de venda pela web é preciso existir
apenas a comunicação com as rotinas da operadora financeira do
serviço, ou seja, todo o modelo de comunicação e segurança é de
responsabilidade dessa operadora, cabendo à equipe técnica da
organização desenvolver o projeto de acordo com os padrões exigidos
pela operadora financeira.
A Architecture Continuum guia a seleção e a integração de serviços de
TI, fundamentando-se em soluções que podem ser reutilizadas por vários
produtos e serviços, como arquiteturas de segurança e controle de acesso
aos sistemas desenvolvidos pela organização.
Já o Solution Continuum estabelece quais produtos ou serviços estão em

conformidade com as especificações do guia da Architecture Continuum,
que, como vimos, determina as funções específicas de cada serviço e suas
respectivas adaptações de acordo com as necessidades da organização.
www.esab.edu.br 347
A seguir, analisaremos a arquitetura III-RM, Integrated Information
Infrastructure Reference Model, que tem como foco o gerenciamento
do fluxo das informações nas organizações com objetivo de integrar e
garantir a sua segurança.
42.3 Estrutura III-RM

A estrutura III-RM é uma arquitetura para gerenciamento do fluxo
de informação nas organizações e tem por objetivos proporcionar a
integração da informação requerida pelo negócio e possibilitar o acesso
integrado à informação. Segundo Fernandes e Abreu (2008), a estrutura
III-RM preconiza que:
• as informações devem ser gerenciadas por aplicações que entregam

o conteúdo ao usuário e fornecem serviços de solicitação das
informações. Por exemplo, a organização deve disponibilizar portais,
sites e e-mail para contato com os clientes, assim como sistemas
de videoconferência, intranet e softwares de gerenciamento de
documentos para que os colaboradores possam facilmente acessar as
informações necessárias para a tomada de decisão;
• a organização deve utilizar ferramentas para modelar e desenvolver
aplicações de acesso à infraestrutura da informação. Por exemplo, o
uso de aplicativos de modelagem de sistemas e banco de dados, as
linguagens de programação, ferramentas de validação e testes dos
softwares são fundamentais para o desenvolvimento de softwares
estáveis e confiáveis;
• as solicitações dos usuários das aplicações de fornecimento de
informação devem ser gerenciadas e monitoradas para que o acesso
seja garantido sempre que necessário.
Podemos, portanto, entender que a implementação do modelo TOGAF
se dá pelo gerenciamento da organização especificando o que ela deve
fazer para atingir seus objetivos. Para tanto, é preciso utilizar uma
estratégia confiável e organizada de desenvolvimento da Arquitetura
Corporativa. Essa estratégia consiste no uso otimizado e planejado dos
recursos e o acesso confiável e sempre que necessário às informações.
www.esab.edu.br 348
Por meio do modelo TOGAF, formado pelas estruturas Architecture
Development Method (ADM), Enterprise Continuum e Integrated
Information Infrastructure Reference Model (III-RM), é possível
disponibilizar uma estrutura conceitual que permite implementar e
manter a Arquitetura Corporativa.
Nesta unidade, você estudou estruturas correlacionadas ao modelo

TOGAF, foram elas: a Architecture Development Method (ADM),
o Enterprise Continuum e o Integrated Information Infrastructure
Reference Model (III-RM). Você viu que a estrutura ADM consiste
no projeto de implantação e definição da arquitetura de Tecnologia
da Informação. A ADM será utilizada de forma a garantir que se
alcancem os objetivos de negócio. Vimos que a estrutura ADM pode
também ser entendida como a etapa de Gerenciamento de Requisitos
da arquitetura a ser implantada. Estudamos que a ADM se comunica
com as outras duas estruturas, Enterprise Continuum e Integrated
Information Infrastructure Reference Model (III-RM). A estrutura
Entreprise ou Enterprise Continuum é composta por dois elementos,
o Architecture Continuum, que representa as orientações e guias para
o desenvolvimento dos produtos e serviços, e o Solution Continuum,
que apresenta os recursos homologados disponíveis na organização que
podem ser reutilizados nos produtos e serviços de TI. Já a estrutura
III-RM é uma arquitetura para gerenciamento do fluxo de informação
nas organizações e tem por objetivos proporcionar a integração da
informação requerida e possibilitar o acesso integrado à informação pelo
negócio. O modelo TOGAF, formado pelo Architecture Development
Method (ADM), Enterprise Continuum e Integrated Information
Infrastructure Reference Model (III-RM), visa a implementar e a manter
a Arquitetura Corporativa.
Na próxima unidade, vamos conhecer os aspectos principais da norma

SAS 70 e seu papel na auditoria de serviços de TI. Vamos lá?
www.esab.edu.br 349
Resumo
Na unidade 37, você estudou o modelo Seis Sigma, um modelo de gestão

da qualidade com utilização de indicadores estatísticos. Esse modelo se
tornou uma metodologia orientada para a obtenção de resultados para o
negócio, focando não apenas na qualidade dos processos e produtos, mas
em estratégias que resultem no atendimento aos objetivos de negócio da
organização. O foco do modelo é a gestão e qualidade de processos e por
isso pode ser aplicado em qualquer organização, independentemente do
ramo de atividade.
Na unidade 38, você pôde estudar a estrutura do modelo Seis Sigma,

conhecida como metodologia DMAIC, as iniciais das palavras em inglês:
define (definição e identificação), measure (medição), analyse (análise),
improve (melhoria) e control (controle). Estudou também que a aplicação
do modelo Seis Sigma depende da natureza do problema que está sendo
estudado, do tempo para a identificação dos problemas nos processos e
das informações sobre eles. Estudamos ainda que, para realizar a aplicação
do modelo, podem ser utilizadas ferramentas para auxiliar na metodologia
DMAIC. Vimos que essas ferramentas podem ser: coleta de dados,
estratificação, gráficos e diagrama de espinha de peixe.
A unidade 39 abordou a origem do Balanced Scorecard, que surgiu de

uma pesquisa sobre medição de desempenho na organização, motivada
pela crença de que a medição de desempenho que somente considerava
os indicadores financeiros havia se tornado obsoleta. O Balanced
Scorecard é aplicado a partir de um Mapa Estratégico, que é uma
ferramenta de representação visual da situação atual e de futuro dos
objetivos estratégicos da organização, nas quatro perspectivas analisadas
pelo modelo: financeiro, entregas aos clientes, qualidade da produção e
eficácia no desenvolvimento de novos produtos.
www.esab.edu.br 350
Na unidade 40, você estudou que o modelo BSC está fundamentado
no uso dos indicadores não só financeiros, mas também de clientes,
processos internos, aprendizado e crescimento. A partir dessa unidade,
foi possível entender que o resultado financeiro depende de outros
fatores ou perspectivas, e o que se espera com a definição e avaliação por
indicadores é traduzir as estratégias das empresas em termos operacionais
na forma de números. O uso de indicadores possibilita aferir se os
processos executados na organização estão obtendo os resultados
desejados. Vimos que, caso os processos não estejam se desenvolvendo
como previsto, novas estratégias precisam ser ajustadas ou criadas,
tornando dessa forma o Balanced Scorecard uma ferramenta de apoio
para o monitoramento das decisões estratégicas da empresa.
Na unidade 41, você estudou o modelo TOGAF, cuja finalidade é

promover e reforçar a integração da informação dentro das organizações. O
principal objetivo do modelo é padronizar um método de desenvolvimento
de uma arquitetura empresarial. Ele se aplica para controle e execução
de projetos de Tecnologia da Informação e Sistemas de Informação, para
qualquer tipo de organização, descrevendo os processos que devem ser
executados para que seus objetivos sejam atendidos.
Na unidade 42, estudamos as estruturas correlacionadas ao modelo

TOGAF, que foram: Architecture Development Method (ADM),
Enterprise Continuum e Integrated Information Infrastructure Reference
Model (III-RM). Estudamos ainda que o modelo TOGAF disponibiliza
uma estrutura conceitual que permite implementar e manter a
Arquitetura Corporativa.
www.esab.edu.br 351
Auditoria de organizações de
43 serviços de TI: Norma SAS 70 –
parte I
Objetivo
Apresentar os aspectos principais da norma SAS 70 e seu papel na
auditoria de serviços de TI.
Na unidade anterior, estudamos as estruturas correlacionadas ao modelo

TOGAF, a saber, Architecture Development Method (ADM), Enterprise
Continuum e Integrated Information Infrastructure Reference Model (III-
RM). Estudamos ainda que o modelo TOGAF disponibiliza uma estrutura
conceitual que permite implementar e manter a arquitetura corporativa.
Nesta unidade, vamos estudar o modelo de Governança em TI SAS 70,

cujo foco é a auditoria de serviços terceirizados. Este material foi desenvolvido
com base na referência bibliográfica de Fernandes e Abreu (2008).
Você já estudou o outsourcing anteriormente. Assim, nesta unidade

aprofundaremos nossos conhecimentos sobre o assunto, enfatizando a
visão da gestão. Portanto, iniciaremos os estudos revendo o conceito de
outsourcing e ampliando-o para a visão da Governança em TI.
43.1 O que é outsourcing?

De acordo com Fernandes e Abreu (2008, p. 405), o outsourcing é
“[...] um conjunto de responsabilidades, objetivos, interfaces e controles
requeridos para a antecipação de mudanças e a gestão da introdução,
da manutenção, do desempenho, dos custos e controle dos serviços
fornecidos por terceiros”. Note que esse conceito de outsourcing reforça
a gestão dos serviços terceirizados e seus fornecedores, de forma que
os serviços prestados sejam executados conforme com as necessidades
do contratante (custos, desempenho). Para atender às demandas do
contratante é fundamental o monitoramento e controle desses serviços.
www.esab.edu.br 352
O outsourcing é um processo ativo e constante, no qual cliente e fornecedor devem
trabalhar conjuntamente identificando as melhorias necessárias para a continuidade
dos serviços em um nível apropriado e que agregue valor para a organização, assim
como para o fornecedor.
Por exemplo, um grande distribuidor atacadista brasileiro, composto

por quatro empresas, identificou que havia um gasto elevado com
impressão de documentos e manutenção das impressoras. Por conta
disso, a organização precisou decidir entre a aquisição de equipamentos
mais modernos ou a terceirização dos serviços de impressão. Assim,
a empresa identificou que do ponto de vista financeiro seria mais
vantajosa a terceirização dos serviços, já que os custos com manutenção,
troca de equipamentos, profissionais para instalação e configuração
das impressoras eram elevados. Para atender a essa demanda, criou-se
um projeto de migração dos serviços de impressão para um fornecedor
com expertise em impressão em grande quantidade, porque o grupo
tem em média um volume de impressão de 2,8 milhões de páginas por
mês. Visando a diminuir os custos com impressão de documentos e
manutenção de equipamentos de impressão, o grupo atacadista transferiu
ao fornecedor a responsabilidade pela continuidade do serviço (processo
de impressão) em todo território nacional. Entretanto, o controle e o
monitoramento dos serviços, a gestão do outsourcing e a avaliação dos
serviços prestados continuam sendo de responsabilidade da área de TI de
cada empresa do grupo.
Isto demonstra que o outsourcing deve ser gerenciado e monitorado por

quem recebe o serviço e, para tanto, é preciso criar uma Governança de
Gestão de Serviços de TI, conhecida como IT GS, como veremos a seguir.
www.esab.edu.br 353
43.2 Modelo IT GS
O modelo IT GS estabelece um conjunto de recomendações para
a gestão dos serviços de TI que são terceirizados. Nesse conjunto
de recomendações está, por exemplo, a definição de papéis e
responsabilidades de cada colaborador no processo de implantação e
manutenção dos serviços terceirizados. A Figura 35 apresenta o fluxo dos
processos de outsourcing que compõem o modelo IT GS:
Seleção do
fornecedor
Decisão de fazer Negociação Entrega do

Reavaliação
outsourcing do contrato serviço
Confirmação
do serviço
Figura 35 – Fluxos do processo de outsourcing.

Fonte: Adaptada de Fernandes e Abreu (2008, p. 406).
Note que a primeira etapa do fluxo, a decisão de fazer outsourcing,

é a avaliação da melhor solução para a empresa, ou seja, desenvolver o
serviço ou produto internamente ou terceirizar esse desenvolvimento.
Essa decisão deve estar alinhada às metas e aos objetivos definidos no
planejamento estratégico da organização, sendo, portanto, uma decisão
estratégica que envolve todas as partes interessadas. Havendo a decisão
pela terceirização do desenvolvimento do produto ou serviço, a próxima
etapa, a Seleção do Fornecedor, consiste na avaliação dos fornecedores.
Para tal, a organização deve estabelecer os acordos de níveis de serviços.
Além disso, a organização precisa estabelecer os critérios para aceitação
dos serviços, os controles de mudanças e a definição dos papéis e
responsabilidades das partes envolvidas, chamada de etapa de Negociação
do Contrato. A etapa de Confirmação do Serviço, ou seja, a terceira
etapa, representa a formalização da contratação do serviço. Para que essa
formalização seja realizada, é necessária a elaboração de um contrato de
prestação de serviço, com direitos e deveres por parte dos fornecedores
www.esab.edu.br 354
e cliente. As etapas Entrega do Serviço e Reavaliação exigem por parte
da organização comparações periódicas entre o desempenho dos serviços
realizados e o desempenho dos serviços entregues.
É importante que em todo o fluxo do processo de outsourcing seja

criado um mecanismo de relacionamento entre as partes envolvidas,
visando a manter um canal aberto de comunicação para solucionar
pendências, conflitos e implementar melhorias no processo de entrega
dos serviços contratados. Por exemplo, um brainstorming envolvendo as
partes interessadas para discussão e avaliação da qualidade e estabilidade
dos serviços terceirizados é uma boa estratégia, pois possibilitará a
apresentação de possíveis soluções e melhorias, com novas ideias e
soluções a serem avaliadas, garantindo que os objetivos de negócio da
organização sejam atendidos. Outra importante estratégia é auditar os
serviços que são terceirizados, mas para tanto é preciso que normas e
procedimentos sejam estabelecidos.
O modelo SAS 70 atua nesse sentido, pois se trata de uma norma de

auditoria orientada para organizações que fazem uso de outras empresas
para prestação de serviços, e que fornece orientações sobre como auditar
organizações de serviços (FERNANDES; ABREU, 2008).
Veremos a seguir as normas do modelo SAS 70. Acompanhe!
43.3 Norma SAS 70

No caso da TI, a norma SAS 70 serve para verificar os controles internos
da empresa que realiza o outsourcing. Retomando o exemplo anterior, no
caso da empresa que terceirizou todos os serviços de impressão, os dados
que são impressos contemplam desde balanços fiscais, movimentações
financeiras, até notas fiscais e pedidos de clientes. É fundamental
que esses dados mantenham-se sigilosos. Para tanto, é preciso que a
organização estabeleça mecanismos que garantam que as informações
importantes não sejam acessadas pelo sistema da empresa que presta o
serviço de impressão.
www.esab.edu.br 355
Segundo Fernandes e Abreu (2008), para avaliação de como os controles
internos estão sendo executados pela empresa terceirizada, a norma SAS
70 utiliza dois tipos de relatórios:
• Relatório Tipo 1: audita os controles internos de operações,

descrevendo como os serviços estão sendo realizados, a qualidade,
a continuidade e a consistência dos serviços. Ou seja, verifica se o
serviço está atendendo aos objetivos que levaram à sua contratação.
Por exemplo, no caso da terceirização dos serviços de impressão, o
relatório poderá avaliar se a quantidade de impressões está dentro do
esperado, se as impressoras estão apresentando muitos defeitos e se a
impressão tem a qualidade desejada;
• Relatório Tipo 2: avalia a eficiência dos serviços terceirizados,
sendo o mais comum no mercado. Esse relatório atesta se os serviços
estão de acordo com o que foi contratado. Por exemplo, para a
terceirização de serviços de impressão, o relatório Tipo 2 pode avaliar
se as informações impressas estão sendo acessadas por pessoas não
autorizadas ou por outros sistemas.
A escolha do tipo de relatório vai depender do tipo de serviço e do
risco que ele representa para a organização. Se o risco é alto, o ideal é a
utilização do Relatório Tipo 2, que atestará se o serviço atende ou não às
demandas que justificaram a sua contratação.
Os relatórios do modelo SAS 70 têm sido bastante utilizados por

instituições financeiras, sendo que o uso do Relatório de Tipo 2 atesta que
os fornecedores possuem capacidade para atender às demandas solicitadas.
Gerenciar o outsourcing é como gerenciar uma relação entre duas

partes interessadas e envolvidas em atingir os objetivos do cliente e do
fornecedor. Portanto, a organização deve saber como pedir e o que pedir
de serviço, bem como deve saber avaliar se o que está sendo entregue está
de acordo com o que foi contratado, sempre com o objetivo de diminuir
os riscos operacionais e garantir a continuidade do serviço. Nesse cenário,
quanto maior o nível de exigência para o serviço a ser contratado, maior
será o custo.
www.esab.edu.br 356
Nesta unidade, você estudou que o outsourcing representa um
conjunto de procedimentos e controles requeridos para a gestão dos
serviços terceirizados. Vimos que o outsourcing é um processo ativo e
constante, no qual cliente e fornecedor devem trabalhar conjuntamente,
identificando as melhorias necessárias para a continuidade dos serviços
em um nível apropriado e que agregue valor para a organização, assim
como para o fornecedor.
Você estudou também que o modelo IT GS estabelece um conjunto de

recomendações para a gestão dos serviços de TI terceirizados, como a
definição de papéis e responsabilidades de cada colaborador no processo
de implantação e a manutenção dos serviços terceirizados.
Por fim, estudamos que a norma SAS 70 serve para verificar os controles
internos da empresa que realiza o outsourcing.
Na próxima unidade, estudaremos o papel da norma SAS 70 no

gerenciamento de fornecedores. Vamos lá?
www.esab.edu.br 357
Auditoria de organizações de
44 serviços de TI: Norma SAS 70 –
parte II
Objetivo
Identificar o papel da norma SAS 70 no gerenciamento de
fornecedores.
Na unidade anterior, você estudou que o outsourcing é um conjunto

de responsabilidades, objetivos, interfaces e controles requeridos para
a antecipação de mudanças e para gerir a introdução, a manutenção, o
desempenho e os custos e controlar os serviços fornecidos por terceiros.
Vimos que o outsourcing é um processo ativo e constante, no qual

cliente e fornecedor devem trabalhar conjuntamente identificando as
melhorias necessárias para a continuidade dos serviços, em que o modelo
IT GS estabelece um conjunto de recomendações para a gestão dos
serviços de TI que são terceirizados, sejam eles: a definição de papéis e
responsabilidades de cada colaborador no processo de implantação e a
manutenção dos serviços terceirizados.
Estudamos também que a norma SAS 70 possibilita verificar os controles

internos da empresa que realiza o outsourcing.
Nesta unidade, vamos abordar como as organizações devem se preparar

para a gestão dos serviços terceirizados e os requisitos que devem ser
avaliados e controlados para que o serviço de outsourcing atenda às
necessidades da organização. Este material foi desenvolvido com base em
Vamos iniciar os estudos conhecendo o gerenciamento de fornecedores

de serviços terceirizados. Acompanhe.
www.esab.edu.br 358
44.1 Gerenciamento de Fornecedores de Serviços
Para o gerenciamento de fornecedores de serviços, é fundamental que a
organização estabeleça os critérios para escolha de determinado serviço, desde
preço até requisitos técnicos. O estabelecimento desses critérios representará
o nível de maturidade desejado para o fornecedor que será buscado no
mercado, sendo condição para aceitação dos possíveis fornecedores.
Por exemplo, se a organização opta em terceirizar os serviços de

manutenção e suporte de seus equipamentos de informática, é
importantíssimo que sejam estabelecidos os prazos para manutenção ou
troca de equipamentos e, em caso de defeito, se haverá substituição dos
equipamentos com defeito. É preciso também estabelecer em quanto
tempo um chamado deve ser respondido pela empresa terceirizada e as
formas de comunicação entre cliente e fornecedor do serviço de suporte.
Como estabelecer normas e procedimentos não é tarefa simples, Fernandes

e Abreu (2008) recomendam ouvir cada setor para conhecer as suas
necessidades e quais prazos são aceitáveis e, a partir desses dados, realizar
um compilado na forma de níveis de serviço. Mas é importante saber que
não apenas níveis de serviços ou condições técnicas devem ser avaliados
no gerenciamento dos fornecedores, pois, dependendo da criticidade dos
serviços que serão contratados e onde serão executados (em instalações
fora das dependências do cliente, por exemplo), é recomendável que o
fornecedor garanta o controle de acesso às informações e o sigilo, ou seja,
que o fornecedor tenha também expertise em segurança da informação. Por
exemplo, um serviço muito comum, oferecido por empresas especializadas,
é a guarda de documentos, devido à falta de espaço nas organizações
para tantos documentos em papel. Essas empresas não só guardam os
documentos, como os organizam e digitalizam. Mas é importante que tais
empresas possuam controles de acesso aos documentos, como cancelas
com biometria, bem como sistemas de controle de incêndio, como portas
corta fogo, ferramentas de backup e rotinas para destruição ou devolução
dos documentos após o encerramento do contrato de prestação de serviços
www.esab.edu.br 359
Por fim, o fornecedor deve ser constantemente avaliado e monitorado
para verificar as condições que justificaram a sua contratação e se essas
condições se mantêm durante a execução do serviço. Para tanto, a
organização deve ter um planejamento de implantação, execução e
avaliação dos serviços para identificar possíveis ameaças e riscos para a
entrega e continuidade do serviço.
Logo, é importante destacar que o fornecedor do serviço é gerenciado

a partir da definição do que o serviço deve entregar, dos seus requisitos.
Por isso, é muito importante saber estabelecer os requisitos para o serviço
de outsourcing, como veremos a seguir. Acompanhe.
44.2 Requisitos para serviços de outsourcing

Para estabelecer a escolha de um fornecedor para o serviço que será
terceirizado, é necessário que a organização estabeleça os requisitos para
essa escolha, como preço, prazos, níveis de desempenho, qualidade e
tempo de atendimento. Esses requisitos devem fazer parte do contrato
de prestação de serviços. Os requisitos do serviço a ser terceirizado
devem ser definidos pelo cliente, especificando se atuará nos processos
operacionais, de planejamento ou de suporte à organização. Por exemplo,
a organização pode terceirizar a linha de produção de softwares, com uso
de profissionais e estrutura de outra organização. Nesse caso, porém, a
avaliação da qualidade dos serviços produzidos, a aceitação do cliente e
os custos de produção continuam sendo responsabilidade da organização;
assim, a terceirização se dá no nível operacional (atividades de produção
do dia a dia).
No contexto da gestão de serviços terceirizados, o principal requisito a

ser avaliado é a capacidade do fornecedor de realizar e transferir o serviço
do cliente para sua estrutura, sem que seja interrompido o acesso ao
serviço. Por exemplo, se a organização decide migrar os serviços de cloud
computing para outro fornecedor, deve ser desenvolvido um planejamento
de quando ocorrerá essa migração e quanto tempo levará para realizar
esse serviço. Nesse caso, é preciso planejar a migração, de forma que,
preferencialmente, o serviço seja realizado em horário preestabelecido e que
não interfira no funcionamento da empresa; finais de semanas ou fora do
horário de expediente são sempre soluções indicadas.
www.esab.edu.br 360
Fernandes e Abreu (2008, p. 413) destacam que “[...] o fornecedor
tem que demonstrar a capacidade de implantar de fato a solução para
os requisitos solicitados”. Em suma, devem ser estabelecidos requisitos
para implantação do serviço, como período para migração do serviço, a
descrição de como será feita a migração e seu monitoramento. Para tanto,
a realização de auditorias nos processos de implantação e entrega dos
serviços terceirizados devem ser periódicas. Para o sucesso dessas auditorias,
os requisitos que determinaram a contratação do serviço devem ser de
conhecimento de todas as partes envolvidas e constar em contrato. A
partir das auditorias, você poderá projetar novos requisitos e melhorias nos
requisitos atuais, sempre em benefício do negócio da organização.
Para finalizar, é de suma importância que a TI participe da elaboração

dos requisitos, bem como das ações de monitoramentos dos serviços
terceirizados para que a gestão do outsourcing resulte em benefícios e
vantagens para a organização, como veremos a seguir.
44.3 Vantagens e benefícios do modelo

O modelo SAS 70 tem a grande vantagem de possibilitar transparência
na gestão da organização, por se tratar de um modelo de auditoria. Essa
transparência é possível a partir do controle e da verificação de como os
serviços estão sendo entregues pelo fornecedor.
O modelo utiliza relatórios completos que descrevem a situação de como

o serviço é entregue e transferido pelo fornecedor. E com qual finalidade?
Isso possibilita a rápida identificação de quais melhorias são necessárias
para que o serviço se torne adequado às necessidades da organização.
Esses relatórios fornecem informações sobre a situação de cada serviço
terceirizado da organização, sendo um grande benefício do modelo ao
possibilitar que a organização controle e consequentemente proteja seus
serviços terceirizados, evitando que dados e informações sejam acessadas
por pessoas não autorizadas (da organização ou do fornecedor).
Logo, o modelo SAS 70 torna-se vantajoso à medida que a organização

pode avaliar, controlar e proteger seus ativos, mesmo com a terceirização
dos serviços. Por isso, o modelo SAS 70 tornou-se referência
www.esab.edu.br 361
internacional em termos de auditoria para serviços de TI. A
importância dada ao modelo reforça a relevância da Governança em TI nas
organizações, justamente por exigir as competências necessárias por parte
do fornecedor para a implantação e transferência de serviços terceirizados.
O objetivo do modelo é reduzir os riscos dos negócios da organização,

evitando o acesso indevido às informações e possíveis fraudes. Para
tal, é necessário utilizar mecanismos que, por meio de seus relatórios
de auditoria, sejam capazes de identificar rapidamente serviços que
representam riscos para a organização.
Por fim, segundo Lucas Jr. (2006), as empresas que adotam modelos de
segurança da informação são reconhecidas como organizações habilitadas a
entregar com segurança e eficiência os serviços pelos quais foram contratados.
Nesta unidade, você estudou que para o gerenciamento de fornecedores

de serviços é fundamental que a organização estabeleça clara e
objetivamente os critérios para escolha de determinado serviço,
especificando não apenas níveis de serviços, ou condições técnicas, mas
também que o fornecedor garanta o controle de acesso e o sigilo das
informações. Vimos também que o fornecedor deve ser constantemente
avaliado e monitorado para verificar se as condições que justificaram a
sua contratação se mantêm durante a execução do serviço.
Estudamos igualmente que cabe aos clientes definir os requisitos

do serviço a ser terceirizado, especificando se atuará nos processos
operacionais, de planejamento ou de suporte à organização. O principal
requisito a ser avaliado é a capacidade do fornecedor em realizar o serviço
a ser prestado.
Por fim, estudamos que o modelo SAS 70 possui como grande vantagem,
por se tratar de um modelo de auditoria, o fato de fornecer transparência
na gestão da organização, a partir do controle e verificação de como os
serviços estão sendo entregues pelo fornecedor.
www.esab.edu.br 362
O objetivo do modelo é reduzir os riscos aos negócios da organização,
evitando o acesso indevido às informações e possíveis fraudes. Para
o cumprimento desses objetivos, foram desenvolvidos mecanismos
capazes de identificar rapidamente serviços que representam riscos para a
organização, por meio de relatórios de auditoria.
Na próxima unidade, conheceremos um conjunto de boas práticas que

possibilitam a criação e execução de um projeto de Governança em TI
eficiente.
www.esab.edu.br 363
Boas práticas para elaboração de
45 um projeto de Governança em TI
eficiente – parte I
Objetivo
Apresentar um conjunto de boas práticas que possibilitam a criação e
execução de um projeto de Governança em TI eficiente.
Na unidade anterior, você estudou que para o gerenciamento de

fornecedores de serviços é fundamental que a organização estabeleça
clara e objetivamente os critérios para escolha de determinado serviço,
especificando não apenas níveis de serviços, mas também que o
fornecedor deve garantir o controle de acesso e o sigilo das informações.
Vimos também que os requisitos do serviço a ser terceirizado devem ser
definidos pelo cliente, e que o principal requisito para contratação do
serviço terceirizado é a capacidade do fornecedor em realizar o serviço a
ser prestado.
Constatamos que o modelo SAS 70 fornece transparência na gestão da

organização, por se tratar de um modelo de auditoria, a partir do controle
e da verificação de como os serviços estão sendo entregues pelo fornecedor.
Nesta unidade, vamos conhecer um conjunto de boas práticas para

elaboração de um projeto de Governança em TI, iniciando pela
contextualização da organização. Posteriormente, estudaremos sobre a
definição das estratégias a serem adotadas e, por fim, o planejamento da
Governança em TI. Este material foi desenvolvido com base na obra de
Iniciaremos nossos estudos sobre esse assunto pela contextualização da

organização.
www.esab.edu.br 364
45.1 Contextualização da empresa
Na unidade 2, estudamos a atuação da Governança em TI e seus
objetivos, os quais podem ser reapresentados, resumidamente, como
sendo a integração das áreas de prestação de serviço, de tecnologia e de
segurança da informação e das regulamentações com os negócios da
empresa. Você lembra? Se for preciso, volte à unidade 2 e releia o texto!
Portanto, a contextualização da organização deve apresentar a

Governança em TI de forma objetiva, como um perfil que represente
como será a integração da Governança em TI, com aspectos como:
ramo de atuação da organização, seus objetivos, valores e missão. Para
a elaboração do perfil da organização, devemos analisar as definições de
alinhamento estratégico da organização que, como vimos na unidade 2,
representam a situação atual da empresa, assim como seu planejamento
de futuro, avaliando e prospectando estratégias de marketing, vendas,
produção, utilização de recursos físicos e humanos. Juntamente com o
perfil da organização (alinhamento estratégico), devemos contextualizar
os recursos disponíveis na organização para a implantação da Governança
em TI, como: a infraestrutura, as aplicações e os processos de TI que
possibilitam as atividades meio e fim da empresa.
Por fim, a contextualização da organização deve representar seus

objetivos, missão, valores que foram definidos no planejamento
estratégico, junto com os recursos de TI disponibilizados para que os
objetivos de negócio sejam alcançados.
Logo, o alinhamento estratégico e as atividades de TI devem ser

planejados em conjunto, de forma que o planejamento estratégico
fortaleça as estratégias de TI e que as atividades de TI potencializem os
negócios da empresa. Para que tudo isso aconteça, algumas estratégias
devem ser elaboradas, e são elas o tema da próxima seção. Acompanhe.
www.esab.edu.br 365
45.2 Estratégias a serem adotadas
Uma importante estratégia que auxilia no alinhamento da Governança
em TI com o planejamento estratégico é o portfólio de TI. Como
vimos na unidade 2, o portfólio orienta as decisões da empresa diante
das mudanças na definição e priorização dos negócios. As mudanças
no negócio resultam em mudanças no planejamento de TI. E essa é
uma dinâmica do dia a dia das empresas, sendo fundamental que os
executivos, investidores e demais colaboradores conheçam todos os
produtos e serviços da empresa e suas demandas. Esse é o papel do
portfólio de TI.
Um modelo de Governança em TI é pautado por um conjunto de ações

que deve envolver todos os colaboradores da instituição e visa a garantir
que os objetivos e estratégias de negócio, definidos no planejamento
estratégico, estático e dinâmico, sejam alcançados. Para tanto, conforme
estudamos na unidade 2, é fundamental que se tenha conhecimento
de todos os produtos e serviços de TI da empresa, o que pode ser
conseguido com a implantação do portfólio de TI.
Para elaboração do portfólio de TI, é necessária a avaliação das necessidades

em Tecnologia da Informação da empresa, que podem ser a manutenção
dos recursos existentes, a execução de melhorias ou o desenvolvimento ou
aquisição de novos recursos. Para avaliação, formalização e aprovação das
necessidades da empresa – como infraestrutura, mão de obra qualificada,
atendimento às normas e aos procedimentos de segurança, produtos
produzidos com qualidade e dentro das necessidades dos clientes –, é
preciso fazer um levantamento dos serviços em uso na empresa, cruzando-
os com os projetos em execução e com as prioridades da organização. Em
paralelo, analisar os setores envolvidos nessa relação de projeto, serviços e
www.esab.edu.br 366
O levantamento das necessidades e realidades da organização deve ser o resultado
de uma análise planejada e coerente. A escolha deve sempre representar vantagens,
basear-se nos requisitos organizacionais e, principalmente, no conhecimento dos
processos de negócio da instituição.
Segundo Fernandes e Abreu (2008), o portfólio de TI é a integração

da estratégia de negócio com as iniciativas de TI, constituindo-se em
um dos principais mecanismos para garantir que os projetos, serviços e
aplicações priorizados e presentes no portfólio sejam implementados.
Logo, a partir do portfólio de TI, é possível analisar os serviços de TI,

decidir onde ocorrerão os investimentos e planejar a Governança em TI,
como veremos a seguir.
45.3 Planejamento da Governança em TI

Para o planejamento da Governança em TI, é importante que a
organização conheça os serviços e produtos disponibilizados na empresa e
quais desses são de responsabilidade da área de TI.
Esse planejamento pode ser implementado por meio do Catálogo

de Serviços, que estudamos na unidade 9. Esse Catálogo de Serviços
descreve os serviços internos, externos, seus responsáveis e a quem
se destinam, podendo ser os usuários, clientes ou fornecedores,
configurando-se como um instrumento de comunicação entre eles.
Consiste em uma descrição formal e detalhada dos serviços, é orientado

ao cliente e está disponível para consulta. Segundo Corrêa e Caon
(2002 apud FERNANDES; ABREU, 2008, p. 95), “[...] os serviços
podem ser agrupados em: não estocáveis essenciais, não estocáveis
acessórios, estocáveis com transferência de propriedade e estocáveis
sem transferência de propriedades”. Serviços não estocáveis essenciais
podem ser, por exemplo, o atendimento aos prazos de entrega definidos
para os projetos, a pontualidade dos colaboradores e a qualidade dos
produtos desenvolvidos pela organização. Já para os serviços não
www.esab.edu.br 367
estocáveis acessórios podemos citar, como exemplos, o serviço de
atendimento ao cliente pelo portal da organização, o acesso à internet
sem fio para os clientes quando em visita à organização. Os serviços
estocáveis com transferência de propriedade podem ser os softwares
distribuídos gratuitamente ao cliente para validação e conhecimento
do produto. Por fim, como exemplo de serviços estocáveis sem
transferência de propriedade, podemos citar as salas de espera das
organizações, as revistas distribuídas aos visitantes e o estacionamento
privativo aos clientes.
Nesse sentido, o planejamento da Governança em TI deve identificar na

organização os tipos de serviços existentes, principalmente os serviços do
pacote essencial, que são aqueles cujas operações realizadas fazem parte
da missão da empresa, tais como: a entrega dos projetos no prazo, com as
funcionalidades, a qualidade e os custos acordados junto aos clientes.
Tão importante quanto conhecer os serviços disponíveis na organização,

é ouvir a opinião dos clientes e usuários para a criação de modelos de
serviços de relacionamento que permitam avaliar se os serviços estão ou
não de acordo com os requisitos predefinidos no escopo do projeto. Esses
modelos, ou canais de comunicação, possibilitam determinar critérios de
prioridade das demandas dos clientes e usuários, além de determinar um
padrão de solicitação e especificação do que pode e do que não pode ser
solicitado. Em resumo, esse modelo de relacionamento tem por objetivo
organizar e padronizar os processos que envolvem a empresa e seus
clientes e usuários. O que se deseja com esses serviços é reduzir o desgaste
na relação entre clientes/usuários e a empresa. Esses mecanismos auxiliam
e estreitam a relação entre as partes, além de gerar uma base de dados
com informações importantes para a tomada de decisões e melhorias nos
serviços e produtos.
Por fim, deve fazer parte do planejamento da Governança em TI o

alinhamento da organização com os órgãos reguladores, e seu papel de
fiscalização e monitoramento dos serviços prestados pelas empresas em
setores específicos. Isto exige que as empresas desenvolvam serviços de TI
com monitoramento dos processos internos e com segurança no acesso
às informações.
www.esab.edu.br 368
O Planejamento de Governança em TI deve ser um processo contínuo
e que, além de avaliar os recursos de TI, auxilie a organização na
obtenção dos objetivos de negócio e também divulgue os resultados
desse planejamento para toda a organização a fim de incentivar o
comprometimento dos colaboradores em todo o ciclo de vida da
Governança em TI, ou seja, durante sua implantação, aquisição e
capacitação.
Estudamos nesta unidade que a atuação da Governança em TI representa

a integração das áreas de prestação de serviço de TI, de tecnologia,
de segurança da informação e de regulamentação com os negócios da
empresa. Nesse sentido, a definição de como a Governança em TI será
implementada na organização deve ser realizada de maneira objetiva, na
forma de um perfil que represente como a Governança em TI se integrará
a aspectos como: ramo de atuação da organização, seus objetivos,
valores e missão. Estudamos que o perfil da organização é resultado das
definições de alinhamento estratégico da organização.
Vimos que juntamente com o perfil da organização (alinhamento

estratégico) deve-se contextualizar os recursos disponíveis na organização
para a implantação da Governança em TI, como: a infraestrutura, as
aplicações e os processos de TI que possibilitam as atividades meio e fim
da empresa.
Uma importante ferramenta que auxilia no alinhamento da Governança

em TI com o planejamento estratégico é o portfólio de TI, que orienta as
decisões da empresa diante das mudanças na definição e priorização dos
negócios. Um modelo de Governança em TI é pautado por um conjunto
de ações que deve envolver todos os colaboradores da instituição. Além
disso, o modelo visa a garantir que os objetivos e estratégias de negócio,
definidos no planejamento estratégico, estático e dinâmico sejam
alcançados.
Por fim, para o planejamento da Governança em TI, é importante que a

organização conheça os serviços e produtos disponibilizados na empresa
e quais desses são de responsabilidade da área de TI. Esse planejamento
pode ser implementado por meio do Catálogo de Serviços que descreve
os serviços internos, externos, seus responsáveis e a quem se destinam,
www.esab.edu.br 369
podendo ser os usuários, clientes ou fornecedores. O Catálogo de
Serviços da organização é um instrumento de comunicação entre os
usuários, fornecedores e clientes da TI.
Vimos também que o planejamento de Governança em TI deve ser

um processo contínuo e que, além de avaliar se os recursos de TI estão
auxiliando a organização na obtenção dos objetivos de negócio, deve
divulgar os resultados desse planejamento para toda a organização, a fim de
incentivar o comprometimento dos colaboradores em todo o ciclo de vida
da Governança em TI, isto é, na implantação, aquisição e capacitação.
Na próxima unidade, estudaremos as boas práticas para monitoramento

de um projeto de Governança em TI. Vamos lá?
www.esab.edu.br 370
Boas práticas para elaboração de
46 um projeto de Governança em TI
eficiente – parte II
Objetivo
Apresentar um conjunto de boas práticas que possibilitem o
monitoramento de um projeto de Governança em TI eficiente.
Na unidade anterior, você estudou que a atuação da Governança em TI

representa a integração das áreas de prestação de serviço, de tecnologia,
de segurança da informação e de regulamentação com os objetivos de
negócio da empresa. Desse modo, a implementação da Governança
em TI na organização deve acontecer de forma direta e alinhada com
os objetivos, valores e missão da empresa. Vimos que, juntamente
com o perfil da organização (alinhamento estratégico), é necessário
que contextualizemos os recursos disponíveis para a implantação
da Governança em TI. Uma importante estratégia que auxilia no
alinhamento da Governança em TI com o planejamento estratégico é o
portfólio de TI, que orienta as decisões da empresa diante das mudanças
na definição e priorização dos negócios.
Vimos que para o planejamento da Governança em TI é importante que

a organização conheça os serviços e produtos disponibilizados na empresa
e quais desses são de responsabilidade da área de TI.
Neste momento, vamos estudar como definir os objetivos da

Governança em TI, como formalizar as ações e avaliar os resultados
obtidos. As concepções teóricas desta unidade estarão fundamentadas em
Iniciaremos nossos estudos analisando os objetivos da Governança em

TI. Vamos lá?
www.esab.edu.br 371
46.1 Análise dos objetivos
A definição dos objetivos da Governança em TI não deve ser muito
ampla, caso contrário, no futuro será difícil avaliar se esses objetivos
foram ou não atendidos. Os objetivos elencados devem ser claros, por
exemplo, diminuir a quantidade de projetos entregues fora do prazo
acordado com o cliente.
A partir de um objetivo claro, fica mais simples definir as operações

ou atividades que serão realizadas para que este seja alcançado, visando
a suportar os negócios da organização, em uma combinação de
procedimentos, pessoas e tecnologias. O procedimento ou a atividade
a ser realizada pode ser, por exemplo, a implementação de um modelo
de Governança em TI. No caso da entrega de projetos fora do prazo, a
implantação do modelo PMI/PMBOK pode ser a ação a ser adotada pela
organização como objetivo da Governança em TI.
Os objetivos da Governança em TI devem representar as metas

estabelecidas pela empresa, com participação de todas as partes
envolvidas, visando a atender ao planejamento estratégico da
organização. Eles devem ser definidos com base em um planejamento de
melhor e maior utilização dos recursos disponibilizados pela organização,
sejam humanos ou de infraestrutura.
Para que isso aconteça, é necessária a análise dos objetivos por meio de
mecanismos de medição, como o modelo BSC, estudado nas unidades
39 e 40, para avaliação da qualidade e do custo das atividades realizadas.
Ou seja, é preciso conhecer quais ações, atividades e procedimentos
estão sendo realizados para que os objetivos da Governança em TI
sejam alcançados, o grau de aderência das ações executadas na empresa
e as metas estabelecidas (FERNANDES; ABREU, 2008). Portanto, é
importante saber quais ações foram executadas para que os objetivos
da Governança em TI fossem alcançados, por quem, quando e a qual
custo. Além disso, é importante que as informações sejam documentadas
e formalizadas. E é justamente a formalização das ações o próximo
assunto que iremos estudar. Vamos lá?
www.esab.edu.br 372
46.2 Formalização das ações: documentação
Um projeto de Governança em TI, independentemente de sua
complexidade e do que se deseja produzir, gera expectativas em toda a
organização, principalmente nos gestores e stakeholders. Desse modo, é
necessária a elaboração de uma política de comunicação e segurança da
informação, pois essa é a única forma de garantir que a informação certa
chegará aos seus destinatários. Essa comunicação pode ser realizada de
maneira formal ou informal, não apenas pelo gerente de projetos, mas
por todos os integrantes da equipe do projeto, por meio de um plano
de comunicação do projeto. A comunicação, que pode ser realizada
por meio de boletins informativos, apresentações, envio de e-mails e
relatórios, visa a orientar os stakeholders do projeto (com informações,
dados e indicadores) quanto ao gerenciamento das expectativas e
informar a todas as partes interessadas e envolvidas com as atividades em
execução sobre o desempenho das atividades realizadas.
Para que as empresas possam gerenciar suas informações – evitando que

elas sejam distorcidas, o que acaba afetando a eficiência dos processos
executados interna e externamente –, é preciso definir boas práticas
para geração, coleta, divulgação, armazenamento e distribuição das
informações do projeto.
Segundo Fernandes e Abreu (2008), para a efetiva gestão da

comunicação do processo de implantação da Governança em TI,
devemos implementar os seguintes processos: identificar as partes
interessadas, planejar as comunicações, distribuir as informações,
gerenciar as expectativas das partes interessadas e reportar o desempenho.
A Figura 36 apresenta os processos que compõem o ciclo de vida da
comunicação, acompanhe:
www.esab.edu.br 373
Identificar as
partes interessadas
Reportar o Planejar as
desempenho comunicações
Gerenciar as
expectativas Distribuir as
das partes informações
interessadas
Figura 36 – Ciclo de vida da comunicação.
Cada um dos processos visualizados na Figura 36 tem um objetivo

específico no ciclo de vida da comunicação dentro da organização. Você
verá, a seguir, a descrição detalhada desses processos.
• Identificar as partes interessadas: inicialmente é necessário

identificar os stakeholders, pessoas e organizações que podem
ser afetadas pelo projeto de implantação da Governança em TI:
quem são eles e quais são os seus níveis de interesse no projeto?
Por exemplo, é recomendável iniciar o projeto com a apresentação
de todos os envolvidos, dos seus papéis e responsabilidades
formalmente em uma sala de reunião ou até mesmo em uma
confraternização para que todos se conheçam e possam contribuir
efetivamente com o projeto.
• Planejar as comunicações: esse processo identifica as necessidades
de informação das partes interessadas ao longo do projeto, as
informações que são realmente necessárias e como garantir o sigilo
das informações de forma que somente as pessoas autorizadas
tenham acesso. É importante, por exemplo, definir uma agenda de
reuniões e como as comunicações serão compartilhadas pelas partes
interessadas. Caso essa comunicação ocorra por e-mail, é preciso
coletar o e-mail de todos os envolvidos e estipular um prazo para
que as mensagens recebidas sejam confirmadas como recebidas pelo
receptor da mensagem. É importante que todos tenham consciência
de que o e-mail é o mecanismo oficial de compartilhamento de
informações do projeto.
www.esab.edu.br 374
• Distribuir as informações: nesse processo disponibilizamos
as informações às pessoas interessadas. Por exemplo, enviar
semanalmente um boletim com as informações do projeto, com as
tarefas executadas e as pendências a serem resolvidas.
• Gerenciar as expectativas das partes interessadas: administrar
a comunicação e a interação entre todas as partes envolvidas
para satisfazer às suas necessidades e solucionar as questões à
medida que ocorrem. É importante criar mecanismos para ouvir
individualmente, de forma reservada, cada pessoa envolvida com o
projeto, suas expectativas e angústias.
• Reportar o desempenho: esse processo coleta e dissemina
informações acerca do desempenho do projeto. É importante
que a organização tenha os dados sobre os projetos executados
armazenados em sistemas de informação que permitam que
relatórios e análises apresentem a realidade do projeto e auxiliem na
tomada de decisões.
Portanto, a documentação e divulgação das informações sobre o
projeto de implantação da Governança em TI deverá enfatizar, durante
todo o ciclo de implantação do projeto, estratégias de formalização e
compartilhamento das informações que envolvam todos os interessados,
por exemplo, reuniões ao final de cada etapa desse ciclo de implantação,
com a elaboração de atas, com documentação formal sobre o que foi
realizado (relatório das atividades e desempenhos) e das decisões tomadas
com relação às mudanças no projeto.
A formalização e a documentação das informações relativas à

implantação da Governança em TI facilitam a avaliação dos resultados do
projeto, como veremos a seguir.
www.esab.edu.br 375
46.3 Priorização e resultados
O desenvolvimento de um programa de implantação da Governança em
TI exige que objetivos e metas sejam estabelecidos de forma a garantir os
objetivos de negócio da organização, sem perder de vista as questões de
regulamentações de compliance, conforme estudamos nas unidades 10
e 11. Lembramos que nessas unidades estudamos os procedimentos que
as organizações devem realizar de forma a atender aos aspectos legais e
regulamentários que estão relacionados com seu ramo de atividade.
A partir dos objetivos e das metas estabelecidas, certas atividades devem ser
priorizadas. Uma técnica para definir prioridades é listar todas as atividades
e, por meio de um brainstorming, classificá-las em ordem decrescente em
relação à convergência das atividades e dos objetivos da Governança em TI:
quanto maior a convergência, maior a prioridade da atividade.
Cada projeto de TI deve ser identificado e possuir um escopo detalhado,

com a descrição dos objetivos, dos benefícios e das premissas, sendo
que os objetivos estratégicos devem ser classificados em categorias para
facilitar a definição da prioridade e posterior avaliação dos resultados
alcançados. Fernandes e Abreu (2008) classificam as categorias da
seguinte forma:
• financeira: contempla os objetivos de negócio relacionados com

estratégias de produtividade, os lucros e crescimento da organização;
• cliente: contempla os objetivos relacionados à maior qualidade
do produto e maior aceitação do produto por parte dos clientes,
melhorando a imagem da organização no mercado;
• operacional: contempla os objetivos de controle dos processos
internos e temas estratégicos, como gestão de clientes, inovação,
gestão de processos, responsabilidade regulatória e social;
• conhecimento: contempla os ativos intangíveis da organização, como
o conhecimento, capital humano e a informação organizacional.
Para cada objetivo, de acordo com sua categoria, devem ser identificadas
iniciativas de TI cuja implementação representa a criação de valor
por parte da área de TI para as áreas de negócio da organização. Essas
www.esab.edu.br 376
iniciativas devem se transformar em ações práticas a serem tomadas no
âmbito das perspectivas operacional e de conhecimento, no sentido de
viabilizar a proposição de valor declarada na perspectiva de clientes e,
consequentemente, satisfazer os objetivos.
Nesta unidade, você estudou que a definição dos objetivos da

Governança em TI não deve ser muito ampla, pois isso dificultaria,
no futuro, uma avaliação se esses objetivos foram ou não atendidos.
Portanto, os objetivos elencados devem ser claros, o que facilita definir
as operações ou atividades que serão realizadas para que o objetivo
seja alcançado. Vimos que os objetivos da Governança em TI devem
representar as metas estabelecidas pela organização com a participação
de todas as partes envolvidas. É importante saber quais ações foram
executadas para que os objetivos da Governança em TI sejam alcançados,
por quem, quando e a que custo. Essas informações devem ser
documentadas e formalizadas.
Estudamos que um projeto de Governança em TI, independentemente de

sua complexidade e do que se deseja produzir, gera expectativas em toda a
organização, principalmente nos gestores e stakeholders. Por isso, é necessária
a elaboração de políticas de comunicação e segurança da informação.
Além disso, vimos que para uma efetiva gestão da comunicação do

processo de implantação e monitoramento da Governança em TI, é
preciso realizar os seguintes processos: identificar quem são as partes
interessadas, planejar as formas de comunicação, compartilhar e
distribuir as informações, gerenciar as expectativas e angústias das partes
interessadas e informar o desempenho.
Para cada objetivo, considerando sua categoria, devem ser identificadas

iniciativas de TI cuja implementação representa a criação de valor
por parte da área de TI para as áreas de negócio da organização. Tais
iniciativas ainda devem se transformar em ações práticas a serem tomadas
no âmbito das perspectivas operacionais e de conhecimento, no sentido
de viabilizar a proposição de valor declarada na perspectiva de clientes e,
consequentemente, satisfazer os objetivos financeiros.
Na sequência, estudaremos os modelos de Governança em TI que

possuem como foco a segurança da informação. Até lá!
www.esab.edu.br 377
Segurança da informação em
47 Governança em TI: Normas ISO/IEC
27001 e 27002 – parte I
Objetivo
Abordar o tema segurança da informação, seus conceitos, benefícios e
modelos.
Na unidade anterior, você estudou que a definição dos objetivos da

Governança em TI não deve ser muito ampla, deve envolver todas as
partes interessadas e estar alinhada às metas e aos objetivos estabelecidos
pela organização. Nesse contexto, é importante saber quais ações devem
ser executadas para que os resultados desejados com a implantação da
Governança em TI sejam alcançados, avaliando quem são as partes
envolvidas e o custo da implantação. Para tanto, todas as informações
relacionadas com a implantação da Governança em TI devem ser
documentadas e formalizadas.
Estudamos que, para a efetiva gestão da comunicação do processo de

implantação da Governança em TI, devemos estabelecer processos que
possibilitem que as informações cheguem às pessoas corretas, de forma
planejada e com sigilo absoluto. Nesta unidade, iniciaremos o estudo da
segurança da informação em Governança em TI conhecendo as normas
ISO/IEC 27001 e 27002, que visam a melhorar a gestão da segurança da
informação dentro das organizações. Para tal, teremos como fundamento
teórico as concepções de Fernandes e Abreu (2008).
Vamos iniciar os estudos conhecendo o gerenciamento histórico do

modelo ISO/IEC 27001 e 27002.
www.esab.edu.br 378
47.1 Histórico dos modelos e seus objetivos
A origem de praticamente todas as normas internacionais relativas
à segurança da informação é o governo britânico. Os modelos ISO/
IEC 27001 e 27002 também foram desenvolvidos tendo em vista as
necessidades desse governo. A ISO/IEC 27001 e a ISO/IEC 27002
originaram-se da ISO 17799, um Código de Prática do Usuário criado
em 1989. A ISO 17799 tinha como objetivo ajudar os fornecedores e
usuários de TI na especificação e avaliação de critérios de segurança da
informação, o qual, em 1995, se transformou no Código de Prática para a
Gestão da Segurança da Informação. Em 2000, o então Código de Prática
transformou-se em uma norma ISO (FERNANDES; ABREU, 2008).
Vamos conhecer os objetivos de cada uma dessas normas? A ISO/IEC

27001 é conhecida como ISMS (Information Security Management
Systems) ou Sistema de Gerenciamento da Segurança da Informação
e a ISO/IEC 27002 como CPISM (Code of Pratice for Information
Security Management) ou Código de Prática para a Gestão da Segurança
da Informação.
A ISO/IEC 27001 tem como finalidade desenvolver um modelo

para definição, implantação, operação e monitoramento da segurança
da informação nas organizações a partir de uma gestão da segurança
da informação. Essa norma geralmente é utilizada para avaliar se a
organização atende aos requisitos de segurança da informação.
Já a ISO/IEC 27002 define premissas na forma de diretrizes e princípios

que permitem estabelecer, manter e melhorar a gestão da segurança
da informação em uma organização. Para tanto, a ISO/IEC 27002
analisa, avalia e identifica os riscos à segurança da informação de uma
organização. Dessa forma, a ISO/IEC 27002 serve como um guia
(modelo) para desenvolver os procedimentos de segurança da informação
a partir de práticas eficientes para a organização (FERNANDES;
ABREU, 2008).
A seguir, estudaremos o contexto ideal para aplicação dos modelos ISO/

IEC 27001 e 27002 em uma organização.
www.esab.edu.br 379
47.2 Contexto para aplicação dos modelos
Os modelos ISO/IEC 27001 e 27002 aplicam-se a qualquer organização,
de médio ou grande porte, cujos negócios dependam fortemente
da Tecnologia da Informação, sendo aplicável onde a proteção da
informação é crítica. Os modelos são altamente eficazes para organizações
que gerenciam informação, assim como companhias terceirizadas de TI,
para garantir a seus clientes que suas informações estão sendo protegidas.
A preocupação com a proteção da informação é muito importante para

os negócios da organização e, em um contexto de crescente competição,
as organizações devem proteger e assegurar os acessos às informações
sempre que necessário.
Para implantação do modelo ISO/IEC 27001, a organização deve

implementar uma política de segurança da informação e gerenciá-la,
com atividades que envolvam os diversos setores da organização. Os
colaboradores da empresa devem ser informados e treinados sobre as
ameaças à segurança da informação e os papéis e responsabilidades para
redução e eliminação dos riscos de um acesso indevido às informações ou
divulgação de informações sigilosas. Por exemplo, antes da contratação
ou desligamento de um colaborador, cliente ou fornecedor, eles devem
ser informados de suas responsabilidades com relação ao uso e divulgação
de informações da organização, e das penalidades em caso de ato ilícito.
Quando do desligamento de um colaborador, a organização deve
revogar todas as senhas e formas de acesso desse colaborador aos sistemas
informatizados da organização, bem como o acesso às dependências da
empresa. Para tanto, todas as pessoas que fazem parte da organização
devem ser treinadas para o uso correto de sistemas de informação, bem
como no manuseio e descarte de documentos e conteúdos conversados
com os fornecedores e clientes.
Segundo Fernandes e Abreu (2008), é importante que a organização

estabeleça acordos de sigilo e confidencialidade para proteger as
informações que são acessadas, transmitidas e processadas por seus
colaboradores ou prestadores de serviços terceirizados.
www.esab.edu.br 380
Logo, com a aplicação dos modelos ISO/IEC 27001 e 27002, a
organização passa a contar com instrumentos e procedimentos para a
implantação da segurança da informação de forma alinhada aos objetivos
de negócio e planejamento estratégico.
Como vimos, a segurança da informação é muito importante para que a

organização se mantenha competitiva e possa alcançar seus objetivos de
negócio. Para que isso aconteça, deve contar com profissionais qualificados
e habilitados em procedimentos e políticas de segurança da informação.
Veremos a seguir como um profissional se certifica nos modelos ISO/IEC

27001 e 27002.

As certificações ISO/IEC 27001 e 27002 representam para a organização
a certificação em segurança da informação, englobando a empresa como
um todo ou uma operação específica. Por exemplo, uma empresa que
possui o serviço de hospedagem de sites pode ser certificada pelas ISO/
IEC 27001 e 27002 somente para os processos relacionados a esse
tipo de serviço. A certificação garantirá aos seus clientes que todas as
atividades de hospedagem de sites atendem aos requisitos de segurança
exigidos pelas normas ISO/IEC 27001 e 27002, como controle de
acesso, registro de ocorrências de falhas, sistemas contra incêndio e cópia
de segurança dos dados. A certificação parcial ou total da organização
é possível porque os processos certificados não precisam compreender
todos os controles preconizados pelo modelo (controle de riscos,
vulnerabilidade, obrigações contratuais, requisitos legais), mas apenas
aqueles que são realmente necessários para a segurança e para o tipo de
atuação da empresa.
A certificação ISO/IEC 27001 e 27002 passou a ser exigida por algumas

estatais brasileiras como condição para fornecimento de produtos
ou serviços, como no caso da Serpro. E algumas empresas utilizam a
certificação em suas campanhas de marketing, justamente porque essa
certificação representa um importante diferencial para o mercado atual,
o sigilo das informações. Atualmente, no Brasil, temos poucas empresas
certificadas pelas ISO/IEC 27001 e 27002, a saber, cerca de 24 empresas,
entre elas a Serasa.
www.esab.edu.br 381
O Quadro 10 apresenta a distribuição de certificações ISO/IEC 27001
em alguns países, observe:
Japão 4.152 Estados Unidos da América 105

Reino Unido 573 Itália 82
Índia 546 Espanha 72
China 393 França 34
Alemanha 228 Austrália 30
Coréia 107 México 25
Brasil 24 Eslováquia 25
Quadro 10 – Certificações ISO/IEC 27001 no mundo.

Fonte: Adaptado de <http://web.fe.up.pt/~jmcruz/seginf/trabs-als/final/G4-ISO.27000.final.pdf>.
Observe que em alguns países, como Japão, Reino Unido, Índia e

Estados Unidos, a certificação ISO/IEC 27001 já é uma realidade. Por
outro lado, no Brasil ainda estamos começando a valorizar a certificação
e poucas empresas brasileiras são certificadas.
Acreditamos que o número de certificações do Japão seja o esperado,

por se tratar de um país com grande desenvolvimento de produtos
tecnológicos e que exigem sigilo de projeto, devido à grande concorrência
e competitividade de grandes empresas que atuam em todo o mundo.
Já para os números da Índia, muito próximos do número de licenças do
Reino Unido (criador do modelo ISO/IEC 27001 e 27002), há uma
explicação, a saber, nos últimos anos a Índia vem se tornando um país
com vários centros de desenvolvimento de serviços de TI terceirizado,
com desenvolvimento de vários projetos para países como Estados
Unidos da América, Japão, Reino Unido, devido ao seu baixo custo
operacional, mão de obra qualificada e domínio do idioma inglês.
Como são projetos importantes, de grande volume de investimentos

financeiros, há uma exigência por controle de segurança da informação
como requisito para contratação dos serviços dessas empresas de TI da
Índia, o que justifica esse número surpreendente de certificações.
www.esab.edu.br 382
Nesta unidade, você estudou que a ISO/IEC 27001 e a ISO/IEC 27002
se originaram da ISO 17799, um Código de Prática do Usuário criado
em 1989, o qual se transformou no Código de Prática para a Gestão da
Segurança da Informação, tornando-se em 2000 uma norma ISO. A
ISO/IEC 27001 tem como objetivo prover um modelo para estabelecer,
implantar, operar e monitorar, rever, manter e melhorar um Sistema
de Gestão da Segurança da Informação, e normalmente é utilizada
para avaliar se a organização está em conformidade com os requisitos
de segurança da informação. Por sua vez, a ISO/IEC 27002 estabelece
diretrizes e princípios gerais para iniciar, manter e melhorar a gestão da
segurança da informação em uma organização, analisando, avaliando e
identificando possíveis riscos à segurança da informação.
Observamos que os modelos ISO/IEC 27001 e 27002 aplicam-se

a qualquer organização, de médio ou grande porte, cujos negócios
dependam fortemente da Tecnologia da Informação, sendo aplicável
onde a proteção da informação é crítica.
Vimos também que as certificações ISO/IEC 27001 e 27002 representam

para a empresa a certificação em segurança da informação, que engloba a
empresa como um todo ou apenas uma operação específica.
Na próxima unidade, estudaremos os aspectos da segurança da

informação preconizados pela norma ISO/IEC 27001 e ISO/IEC 27002.
Tarefa dissertativa
www.esab.edu.br 383
Segurança da informação em
48 Governança em TI: Normas ISO/IEC
27001 e 27002 – parte II
Objetivo
Tratar dos aspectos da segurança da informação preconizados pelas
normas ISO/IEC 27001 e ISO/IEC 27002.
Na unidade anterior, você estudou que a ISO/IEC 27001 e a ISO/IEC

27002 originaram-se da ISO 17799, um Código de Prática do Usuário
criado em 1989, que se transformou no Código de Prática para a Gestão
da Segurança da Informação. Em 2000, o Código de Prática se tornou
uma norma ISO. A ISO/IEC 27001 tem como objetivo prover um
modelo para estabelecer, implantar, operar e monitorar, rever, manter e
melhorar um Sistema de Gestão da Segurança da Informação, e a ISO/
IEC 27002 estabelece diretrizes e princípios gerais para iniciar, manter e
melhorar a gestão da segurança da informação em uma organização.
Vimos ainda que os modelos ISO/IEC 27001 e 27002 aplicam-se a

qualquer organização cujos negócios dependam fortemente da TI.
Nesta unidade, vamos conhecer os requisitos de segurança da

informação, o Ciclo do PDCA, um acrônimo de Plan, Do, Check e Act,
que em português significaria: Planejar, Executar, Verificar e Agir. Vamos
também estudar a importância da definição de papéis e responsabilidades
de cada colaborador para a gestão da segurança da informação.
Esta unidade terá como referência as concepções de Fernandes e Abreu

(2008).
Vamos iniciar os estudos conhecendo o que é a Gestão da Segurança da

Informação.
www.esab.edu.br 384
48.1 Gestão da segurança da informação
A gestão da segurança da informação fundamenta-se pelo princípio
da gestão de todos os processos internos e externos realizados na
organização ou para ela, verificando se os requisitos de segurança estão
sendo obedecidos. Segundo Fernandes e Abreu (2008), esses requisitos
são: confidencialidade, integridade e disponibilidade das informações. A
seguir descreveremos os requisitos em detalhes, acompanhe:
• confidencialidade: visa a garantir que a informação deve ser

acessada e divulgada somente pelas ou às pessoas ou processos com
permissão. Para tanto, a organização deve desenvolver mecanismos
de controle de acesso às informações. Por exemplo, adotando o
uso de autenticação por senha e nome de usuário para acesso aos
sistemas informatizados da organização;
• integridade: visa a garantir que a informação utilizada não foi
manipulada ou alterada por pessoas não autorizadas, garantindo
a legitimidade das informações. Por exemplo, a organização pode
adotar o uso de registros de log para armazenamento em banco de
dados das informações sobre quem acessou a informação, quando,
onde e que os dados foram alterados, inseridos ou removidos;
• disponibilidade: visa a garantir o acesso à informação às pessoas
autorizadas sempre que necessário. Por exemplo, desenvolver sistemas
em ambiente web que permitam ao usuário o acesso à informação
mesmo fora da empresa, mediante autenticação e autorização.
Note que esses requisitos necessitam da implementação de controles de
acesso à informação para que os riscos com uso indevido das informações
sigilosas da organização sejam minimizados ou, se possível, extintos.
Fernandes e Abreu (2008) afirmam que uma estratégia que pode ser
adotada pela gestão da segurança da informação é o uso do ciclo PDCA
(Plan-Do-Check-Act), que deve ser aplicado a todos os processos
executados na organização ou para a organização. A Figura 37 apresenta
o ciclo PDCA:
www.esab.edu.br 385
Plan:
Analisar os riscos à
segurança da informação e
estabelecer os requisitos
para a gestão da segurança
da informação.
Act: Do:
Manter e melhorar a Implementar a
gestão da segurança gestão da segurança
da informação da informação
Check:
Monitorar os processos
e rever os requisitos da
gestão da segurança
da informação
Figura 37 – Ciclo PDCA.
Na etapa de Planejamento (Plan), é estabelecido o escopo da gestão de

segurança da informação com a análise e identificação dos riscos, bem
como com as possíveis formas de diminuir ou extingui-los. Essa etapa
deve ser aprovada por todas as partes envolvidas, de forma que todos
possam compreender os objetivos desejados com a gestão da segurança da
informação. Por exemplo, se a organização identificou o risco com acesso
de pessoas não autorizadas nas dependências da empresa, o planejamento
pode estabelecer como meta o desenvolvimento de uniformes, crachás
e o controle de acesso com uso de catracas eletrônicas. A etapa de
Execução (Do) define como o tratamento ao risco será realizado e
identifica as ações necessárias, desde a aquisição de equipamentos e
uso de recursos (técnicos e financeiros), bem como o envolvimento
das partes interessadas. Por exemplo, nessa etapa podem ser definidos
e avaliados os possíveis fornecedores de crachás, catracas eletrônicas e
uniformes que serão implantados na organização. A etapa de Verificação
(Check) visa a avaliar e monitorar os resultados alcançados com a
implantação da gestão de segurança da informação, com a realização de
auditorias internas que medem a eficácia da solução que foi implantada.
Por exemplo, avaliar o número de acessos indevidos nas dependências
da organização após a implantação dos crachás, uniformes e catracas
www.esab.edu.br 386
eletrônicas. Por fim, a etapa de Ação (Act) visa a implementar melhorias
no processo da gestão da segurança da informação, tomando ações
corretivas e assegurando que essas melhorias sejam implantadas. Por
exemplo, o uso de catracas eletrônicas com biometria, que aumentam o
nível de segurança, uma vez que um crachá extraviado pode ser utilizado
por outra pessoa, permitindo acesso a informações e dependências a
pessoal não autorizado, caso o crachá perdido não tenha sido inativado
O sucesso do ciclo PDCA exige o compromisso e a participação de

todos os colaboradores da organização, desde o nível estratégico até o
nível operacional, pois todos são responsáveis pela implementação, pela
operação, pelo monitoramento e pela revisão dos requisitos elencados na
gestão da segurança da informação.
Veremos a seguir a importância da definição de papéis e

responsabilidades para o sucesso da gestão da segurança da informação.
48.2 Papéis e responsabilidades

A organização como um todo deve se envolver com a gestão da
segurança da informação de forma a avaliar se os processos internos e
externos da organização estão sendo realizados de forma adequada e
em conformidade com os requisitos de integridade, confidencialidade
e disponibilidade das informações (fundamentos da Segurança da
Informação). Cabe ao nível estratégico (diretores) e tático (gerentes
e coordenadores) da organização estabelecer as políticas de segurança
da informação, assim como assegurar que os objetivos e planos sejam
executados por todos, principalmente no nível operacional, ou seja, o
nível responsável pelas atividades de produção da organização no dia a
dia da empresa.
Para Fernandes e Abreu (2008, p. 356), com a definição dos papéis

e responsabilidades “[...] se espera que todo o pessoal envolvido com
a segurança da informação seja competente para desempenhar as
atividades requeridas”.
www.esab.edu.br 387
Diante do fato de a informação ser um bem valioso da organização, a
gestão da segurança da informação não é responsabilidade apenas da
área de Tecnologia da Informação, uma vez que a área de informática
fornece os serviços que auxiliam no atendimento aos objetivos de negócio
da organização. Por isso, torna-se essencial que os administradores da
organização – ou seja, seus gestores – se envolvam e participem não só
das definições sobre a implantação da segurança da informação, mas
também do monitoramento, auditoria e melhorias nos processos que
fazem parte da gestão da segurança da informação.
Veremos a seguir os aspectos importantes do monitoramento, auditoria e

melhorias na gestão da informação. Acompanhe.
48.3 Monitoramento, auditoria e melhorias na gestão

da informação
A organização deve melhorar continuamente a eficácia da gestão
da segurança da informação por meio da política de segurança da
informação que analisa e avalia os eventos monitorados e propõe ações
corretivas. Segundo Fernandes e Abreu (2008, p. 357), a organização
“[...] deve tomar ações corretivas e preventivas para eliminar causas
de não conformidade reais ou potenciais de forma a prevenir a sua
recorrência”. Por exemplo, se a organização identifica várias tentativas
de acesso indevido ao servidor de aplicações da organização, cabe aos
responsáveis implementar rotinas de segurança que identifiquem quem é
o invasor e evitem novos ataques, com o uso de firewall e monitoramento
de tráfego.
Para que a melhoria seja realizada, a organização deve identificar os

processos que precisam ser melhorados. Para isso, podemos adotar
auditorias em intervalos planejados para determinar se as soluções
implantadas pela gestão da segurança da informação estão em
conformidade com os requisitos preestabelecidos. A auditoria deve ser
planejada de forma a avaliar os processos mais importantes e críticos
para organização. Por exemplo, o acesso de pessoas não autorizadas à
organização representa um grave problema de segurança da informação,
conhecido como segurança física, logo, exige que sejam auditados todos
www.esab.edu.br 388
os processos de entrada e de saída de colaboradores, fornecedores e
visitantes na organização, avaliando como as pessoas são identificadas,
quais softwares são utilizados e como os colaboradores são treinados para
identificar possíveis fraudes. O resultado da auditoria determinará quais
as melhorias necessárias, as prioridades e quem ficará responsável por
desenvolvê-las e aplicá-las na organização.
Então, o que se espera com o monitoramento, a auditoria e as melhorias

na gestão da segurança da informação? Espera-se possibilitar, de
forma proativa, a identificação dos riscos e dos impactos, em caso de
interrupção dos serviços ou divulgação de informações sigilosas, para a
reputação da organização (FERNANDES; ABREU, 2008).
Nesta unidade, você estudou que a gestão da segurança da informação

se fundamenta no princípio da gestão de todos os processos internos e
externos realizados na organização ou para a organização, verificando
se os requisitos de confidencialidade, integridade e disponibilidade das
informações estão sendo garantidos. Para tanto, controles de acesso
à informação devem ser implementados para que os riscos com uso
indevido das informações sigilosas da organização sejam minimizados
ou, se possível, extintos. Uma estratégia que pode ser adotada pela gestão
da segurança da informação é o uso do ciclo PDCA (Plan-Do-Check-
Act), que deve ser aplicado a todos os processos executados na ou para a
organização.
Vimos que a empresa como um todo deve se envolver com a gestão da

segurança da informação para avaliar se os processos internos e externos da
organização estão sendo realizados de forma adequada, e em conformidade
com os requisitos de integridade, confiabilidade e disponibilidade das
informações (fundamentos da segurança da informação).
Por fim, estudamos que o monitoramento, auditoria e melhorias

na gestão da segurança da informação visam a possibilitar, de forma
proativa, a identificação dos riscos e dos impactos, em caso de
interrupção dos serviços ou divulgação de informações sigilosas da
organização, para a reputação da organização.
www.esab.edu.br 389
Atividade
www.esab.edu.br 390
Resumo
Na unidade 43, você estudou que o outsourcing é um conjunto de

responsabilidades, objetivos, interfaces e controles requeridos para a
antecipação de mudanças na organização. Trata-se de um processo ativo
e constante, no qual cliente e fornecedor devem trabalhar conjuntamente
identificando as melhorias necessárias para a continuidade dos
serviços de TI, sendo que o modelo IT GS estabelece um conjunto de
recomendações para a gestão dos serviços de TI terceirizados e que, em
conjunto com a norma SAS 70, serve para verificar os controles internos
da empresa que realiza o outsourcing.
Na unidade 44, você estudou que para o gerenciamento de

fornecedores de serviços é fundamental a organização estabelecer, clara
e objetivamente, os critérios para escolha de determinado serviço. Você
também viu que o uso do modelo SAS 70 possui como grande vantagem
fornecer transparência na gestão da organização, a partir do controle e
verificação de como os serviços estão sendo entregues pelo fornecedor.
Estudamos que o objetivo do modelo SAS 70 é reduzir os riscos dos
negócios da organização.
Na unidade 45, vimos que a atuação da Governança em TI representa a

integração das áreas de prestação de serviço e tecnologia da organização,
e deve estar alinhada como o seu planejamento estratégico. Uma
importante ferramenta que auxilia no alinhamento da Governança em
TI com o planejamento estratégico é o portfólio de TI, que orienta as
decisões da empresa diante das mudanças na definição e priorização
dos negócios. Vimos também que o planejamento da Governança em
TI é importante para que a organização conheça os serviços e produtos
disponibilizados na empresa e quais desses são de responsabilidade da
área de TI.
www.esab.edu.br 391
Na unidade 46, você estudou que a definição dos objetivos da
Governança em TI não deve ser muito ampla, pois dificultaria, no
futuro, avaliar se esses objetivos foram ou não atendidos. Logo, os
objetivos elencados devem ser claros e é importante saber quais ações
estão sendo executadas para que os objetivos da Governança em TI sejam
alcançados, por quem, quando e a que custo.
Na unidade 47, você estudou que a ISO/IEC 27001 e a ISO/IEC 27002

originaram-se da ISO 17799, ou seja, um Código de Prática do Usuário,
que se transformou no Código de Prática para a Gestão da Segurança da
Informação e, posteriormente (em 2000), em uma norma ISO. Vimos
também que esses dois modelos representam para a certificação em
segurança da informação, podendo englobar a empresa como um todo
ou uma operação específica.
Na unidade 48, você estudou que a gestão da segurança da informação

fundamenta-se no princípio da gestão de todos os processos internos e
externos realizados na organização e uma estratégia que pode ser adotada
pela gestão da segurança da informação para controle e monitoramento
dos processos internos e externos é o ciclo PDCA, que deve ser aplicado
a todos os processos executados na ou para a organização. Por fim,
estudamos que o monitoramento, auditoria e melhorias na gestão
da segurança da informação visam a possibilitar de forma proativa a
identificação dos riscos e dos impactos em caso de interrupção dos
serviços de TI.
www.esab.edu.br 392
Glossário
Acordos de níveis de serviços

Também conhecido como ANS ou SLA (do inglês, Service Level
Agreement) é um acordo firmado entre a área de TI e a organização ou
fornecedores terceirizados, que descreve o serviço de TI, seus objetivos,
seus requisitos, os papéis e as responsabilidades das partes envolvidas no
acordo. R
Acrônimo
Termo ou palavra formada pelas letras ou sílabas iniciais de várias outras
palavras. R
Anatel
Agência Nacional de Telecomunicações, criada em 1997. Considerada
a primeira agência reguladora instalada no Brasil, como parte do
processo de reformulação das telecomunicações brasileiras. O órgão
tem como objetivo regulamentar, outorgar e fiscalizar os serviços de
telecomunicações do Brasil. R
Aplicativos licenciados e originais

São aplicativos de computador que possuem a licença de uso, isto é, um
documento oficial que determina os acordos legais que regem o uso do
software ou do serviço. O uso desses aplicativos por parte dos usuários
está condicionado à concordância dessas normas. R
Arquitetura Corporativa
Representa como os recursos, tecnológicos ou não, disponibilizados pela
organização devem ser utilizados com foco no negócio e possibilitando
que os objetivos estratégicos sejam alcançados. R
www.esab.edu.br 393
Ato ilícito
É a ação ou omissão voluntária, negligência ou imprudência que causa

dano a outrem. R
Autenticação
É o ato de confirmar que algo ou alguém é autêntico, ou seja, uma
garantia de que qualquer alegação de ou sobre um objeto é verdadeira;
é extensamente utilizado para atestar que um programa, documento ou
página na internet é confiável. R
Backup
É um termo inglês que significa cópia de segurança. É frequentemente

utilizado em informática para indicar a existência de cópia de um ou
mais arquivos guardados em diferentes dispositivos de armazenamento.
R
Balanço contábil
É uma demonstração contábil que tem por finalidade apresentar
a posição contábil, financeira e econômica da empresa. Tem como
finalidade evidenciar, qualitativa e quantitativamente, em uma
determinada data, a posição patrimonial e financeira da empresa. R
Benchmarking
Consiste no processo de melhoria contínua. É utilizado para comparar
resultados, produtos ou técnicas entre organizações que podem ou não
competir no mesmo mercado. R
Biometria
Significa medição biológica, o estudo das características físicas e
comportamentais de cada pessoa como forma de identificação.
Considerado um dos mecanismos mais seguros de identificação, a
biometria está cada vez mais presente na vida das pessoas. R
www.esab.edu.br 394
Bolsa de valores
São instituições nas quais são negociados os títulos emitidos por
empresas, centralizando as operações do chamado mercado capital. R
Brainstorm
Consiste em um processo decisório que se dá pela geração de várias
ideias propostas pelos participantes da reunião e pela escolha da melhor
alternativa avaliada por todos os envolvidos. R
Brainstorming
Significa tempestade de ideias. É uma expressão inglesa formada pela
junção das palavras “brain”, que significa cérebro, intelecto e “storm”,
que significa tempestade. A técnica de brainstorming propõe que um
grupo de pessoas se reúna e utilize seus pensamentos e ideias para
que possam chegar a um denominador comum, a fim de gerar ideias
inovadoras que levem um determinado projeto adiante. R
Business cases
São documentos que formalizam os recursos, o capital necessário de
investimento e o retorno esperado com os projetos em execução na
organização. R
Business Intelligence
Ou Inteligência de Negócio, é um termo utilizado para sistemas
computacionais de suporte à decisão com foco no monitoramento do
desempenho de processos operacionais, táticos ou estratégicos de uma
empresa ou corporação. R
Call center
Consiste em um espaço físico responsável por realizar atendimento
e processamento de chamadas telefônicas relacionadas à venda, ao
marketing, ao serviço ao consumidor, ao suporte técnico ou a qualquer
outra atividade organizacional. R
www.esab.edu.br 395
Canais de comunicação
São estratégias da organização, normalmente com envolvimento do
setor de marketing, publicidade e propaganda, com a finalidade de se
comunicar com os clientes e fornecedores. Por exemplo, telefones 0800,
formulários de contato nos portais, e-mail, marketing etc. R
Cancelas
Representam mecanismos de controle de acesso, normalmente utilizadas
para controle de acesso de veículos, e visam a dar mais segurança na
entrada e saída de veículos no pátio das organizações. R
Capital humano
O desenvolvimento da organização exige o crescimento das habilidades,
conhecimentos e competências de seus colaboradores, o que tem sido
conceituado como capital humano. Quanto maior o capital humano,
melhores as condições de desenvolvimento da organização. R
Capital intelectual
Corresponde ao conhecimento útil à empresa. O conhecimento se torna
capital intelectual quando é usado para o bem da organização. R
Certame licitatório
Consiste na disputa por um produto ou serviço que está sendo
contratado por um órgão público no qual os participantes realizam
os lances com valores pelos quais desejam comercializar um produto
ou realizar um determinado serviço. Normalmente, o vencedor é o
fornecedor do produto ou serviço com menor custo para o órgão
público. R
Chief Information Officer (CIO)

É o profissional responsável pela coordenação, planejamento, supervisão
e liderança nos assuntos relacionados à gestão em uma organização.
É esse profissional que direciona o desenvolvimento e promove o uso
de políticas, regras e padrões que ajudarão a organização a atingir os
objetivos de seu negócio aplicando-os à Tecnologia de Informação. R
www.esab.edu.br 396
Cloud computing
O termo cloud computing ganhou força em meados de 2008, sendo
conhecido no Brasil como computação nas nuvens. Com a computação
nas nuvens, muitos aplicativos, assim como arquivos e outros dados,
não precisam mais estar instalados ou armazenados no computador do
usuário, o conteúdo passa a ficar disponível nas nuvens ou internet. R
Coach
É o profissional que exerce o papel de liderança na organização, apoiando
uma pessoa, grupo ou empresa a promover as mudanças desejadas, rumo
a uma nova direção ou a um novo estado desejado. R
Compliance
É estar em conformidade com leis e regulamentos externos e internos.
Portanto, considera-se que para manter a empresa em conformidade é
necessário atender aos normativos dos órgãos reguladores. R
Conselho Fiscal
O Conselho Fiscal é o órgão fiscalizador dos atos de gestão administrativa
da instituição, responsável por avaliar sua prestação de contas.
Normalmente funciona de modo permanente, eleito pelos próprios
colaboradores, investidores e acionistas da empresa. R
CPM
O Método do Caminho Crítico é um método de análise e planejamento
de projetos que está diretamente ligado ao planejamento dos prazos, com
o objetivo de reduzir o tempo de duração do projeto, avaliando as tarefas
consideradas críticas. R
Curva de Gauss
É um gráfico de distribuição de um determinado conjunto de dados que
possibilita a medição da probabilidade de ocorrência de determinados
eventos. R
www.esab.edu.br 397
Data centers
É um ambiente projetado para abrigar computadores e sistemas de
armazenamento de dados. O objetivo principal de um data center é
garantir a disponibilidade de equipamentos que rodam sistemas cruciais
para o negócio de uma organização. R
Data Mining
É uma expressão inglesa ligada à informática cuja tradução é mineração
de dados. Consiste em uma funcionalidade que agrega e organiza os
dados, encontrando neles padrões e associações. R
Diagnóstico
É aquilo que pertence ou que se refere à diagnose. Esse termo, por sua
vez, refere-se à ação e ao efeito de recolher e analisar dados para avaliar
problemas de diversas naturezas. R
Digitalização
Processo de transformação de documentos físicos (em papel) em imagens
digitais, seguido de um processo de catalogação e classificação de
documentos, que garante a rápida localização das informações. R
Eficácia
É a coisa certa, o resultado, o objetivo; aquilo para que se faz. A eficácia
trata do que fazer, de fazer as coisas certas, da decisão, de que caminho
seguir. Eficácia está relacionada à escolha e, depois de escolhido o que
fazer, executar o que foi decidido de forma produtiva leva à eficiência. A
eficácia é o grau em que os resultados de uma organização correspondem
às necessidades e aos desejos do ambiente externo. R
Eficiência
É fazer certo; o meio para se atingir um resultado, é a atividade ou aquilo que
se faz. Eficiência trata de como fazer, não do que fazer. Trata de fazer certo a
coisa e não fazer a coisa certa. Quando se fala em eficiência, está se falando
em produtividade, em fazer mais com o mínimo de recursos possíveis. R
www.esab.edu.br 398
Engenharia de software
É uma área da engenharia associada à ciência da computação e dedicada
aos estudos de práticas, métodos, metodologias e modelos que visam ao
desenvolvimento e manutenção de softwares. R
Estatal
É a empresa administrada pelo governo (estadual, municipal ou federal).
A empresa estatal pode ser pública (administrada apenas pelo governo) e
de economia mista (em parceria com as empresas privadas). R
Expertise
Palavra de origem francesa que significa experiência ou conjunto de
habilidades e conhecimentos de um indivíduo, sistema ou tecnologia.
A expertise é o conhecimento adquirido no estudo de um assunto e a
capacidade de aplicar tal conhecimento, resultando em experiência e
prática naquele contexto de atuação. Está relacionada com as habilidades
e competência para executar algo. R
Feedback
Processo no qual a informação sobre um acontecimento passado pode
influenciar um fenômeno semelhante no presente e/ou no futuro,
permitindo a tomada de decisão com maior propriedade e conhecimento.
R
Firewall
É um dispositivo que permite ou nega o acesso às redes de computadores,
sendo um dispositivo de segurança que evita que intrusos possam acessar
informações confidenciais. R
Framework
É um modelo que une códigos escritos em linguagem de programação
aplicáveis em vários projetos de software, provendo uma funcionalidade
específica a partir da sua configuração durante a implementação de um
sistema. R
www.esab.edu.br 399
Gestão da informação
É um processo que consiste nas atividades de busca, identificação,
classificação, processamento, armazenamento e disseminação de
informações, independentemente do formato ou meio em que se encontra.
R
Gestão de Portfólio
Consiste em gerenciar um conjunto de produtos, projetos ou serviços de
forma sistemática e organizada, alocando recursos e definindo prioridades
de acordo com o planejamento estratégico da organização. R
Hitachi
Empresa japonesa produtora de produtos eletrônicos e industriais, com
sede em Tóquio e fundada em 1910. R
Hospedagem de sites
É o serviço de armazenamento e disponibilização constante de um site
na internet, ou seja, o serviço de hospedagem possibilitará que o site seja
visualizado 24 horas por dia em todo o mundo. R
Hyder, Paulk e Heston

Elaine B. Hyder, Mark Paulk e Keith Heston são professores da Carnegie
Mellon University, de Pittsburgh, nos Estados Unidos da América,
membros do ITSqc e estudiosos do modelo eSCM-SP. R
Intranet
É uma rede de computadores privada de uso exclusivo de um
determinado local, por exemplo, a rede de uma empresa, que só pode ser
acessada por seus usuários ou colaboradores. R
Kaplan
Robert Kaplan é o idealizador, com David Norton, da técnica de gestão
Balanced Scorecard e fundador da Balanced Scorecard Collaborative. É
www.esab.edu.br 400
doutor em Administração de Empresas pela Universidade de Harvard,
EUA. R
Logística
O termo significa organização, a arte que trata do planejamento
e realização de vários projetos. É conhecida como parte essencial
nas empresas por ser responsável pelo planejamento, produção,
armazenamento, transporte e distribuição dos produtos. R
Metodologia
É o processo para se atingir um determinado objetivo utilizando
métodos específicos; é o campo em que se estudam os melhores métodos
praticados em determinada área para a produção do conhecimento. R
Missão da empresa
Representa o motivo pelo qual a empresa foi criada, a razão de sua
existência, representa os anseios e desejos da empresa. R
Monitoramento de tráfego
Consiste em monitorar e detectar problemas no tráfego de rede entre
computadores, coletando informações sobre o tráfego e analisando-as,
diagnosticando padrões problemáticos e planejando estratégias para
impedir futuros problemas. R
Mudança cultural
Consiste na alteração das estruturas básicas que compõem um grupo social,
como a sociedade ou organização. A mudança cultural acontece quando
surge uma transformação que altera o estado anterior de qualquer realidade
social, ocorre quando as estruturas da sociedade sofrem uma transformação
motivada pela ocorrência de fenômenos socioculturais. R
Multidisciplinar
Multi significa muito ou aquilo que abrange muitos conhecimentos. Já
disciplina é um determinado campo ou área do conhecimento, que se
utiliza para se executar uma tarefa. Assim, multidisciplinar é um conjunto
de experiências em várias áreas para se atingir objetivos específicos. R
www.esab.edu.br 401
Nível organizacional
Consiste na divisão hierárquica de uma organização, de acordo com as
atividades de administração que nela são executadas. No nível estratégico
estão os presidentes e diretores; no nível tático, os gerentes e executivos; e
no operacional, os chefes e supervisores. R
Nome de usuário
Também conhecido como login, é uma palavra de identificação do
usuário, normalmente único, como um apelido, que identifica o usuário
de um sistema computacional. R
Norton
David Norton, doutor em Administração de Empresas pela Universidade
Harvard (EUA) e autor do conceito de Balanced Scorecard – em parceria
com Robert Kaplan –, cofundador e presidente da Balanced Scorecard
Collaborative e da Renaissance Solutions, Inc. R
Outsourcing
É uma terceirização estratégica de áreas fundamentais para o
funcionamento da instituição, como: financeira, vendas, sistemas de
informação e TI. R
Paradigma
Provém do grego parádeigma, que significa modelo, exemplo ou padrão a
ser seguido. R
PERT
É uma técnica para planejar, avaliar e controlar os prazos do projeto a
partir da identificação da sequência de atividades críticas para o projeto,
normalmente a sua sequência mais longa. R
www.esab.edu.br 402
Portfólio
Pode ser entendido como uma coleção de produtos e serviços à disposição
da empresa e visa à maximização da lucratividade ou à entrada em novos
mercados com um público que ainda não era atendido pela empresa. R
Processo organizacional
Consiste no planejamento e organização das metas e ações que
visam a atingir os objetivos da organização, utilizando controle e
monitoramentos para avaliar se essas ações, na forma de tarefas e
atividades, estão garantindo que os objetivos sejam alcançados. R
Produtos manufaturados
Produtos resultantes da produção padronizada e manual, com auxílio de
máquinas específicas em um processo de linha de produção. R
Programas de fidelidade
São programas de relacionamento de longo prazo com os clientes,
visando a conhecer suas características, necessidades e desejos. O
programa utiliza essas informações para estreitar o relacionamento com o
cliente e torná-lo fiel a uma marca ou produto. R
Registros de log
É uma técnica utilizada para registrar os eventos relevantes em um
sistema computacional. Esse registro pode ser utilizado para restabelecer
o estado original de um sistema ou para que um administrador conheça
o seu comportamento no passado. Um registro de log pode ser utilizado
para auditoria e diagnóstico de problemas em sistemas computacionais.
R
Requisito do sistema
É a especificação das propriedades que um software deve ter a fim
de atender às necessidades do usuário, descrevendo os objetivos dos
usuários, de forma que se transformem em funcionalidades do sistema.
R
www.esab.edu.br 403
Requisitos
Pode ser entendido como qualquer característica ou propriedade
mensurável de um projeto, seja ele um produto ou serviço. De forma
geral, os requisitos descrevem o que o projeto deve fazer e como fazer,
representando as necessidades que deverão ser atendidas pelo projeto. R
Requisitos do negócio
Correspondem aos objetivos da organização com relação ao seu negócio
principal. Nesse sentido, atividades são realizadas para identificar,
analisar, especificar e definir as necessidades da organização para que as
metas sejam alcançadas. Ou seja, explicam as necessidades do negócio e
justificam a execução de um ou mais projetos. R
Robusto
Refere-se à qualidade de um produto, o seu desempenho quando
submetido a quedas e uso repetitivo, de forma a atender às suas
especificações. R
Scorecard
Mede o desempenho em relação a metas. Exibe indicadores gráficos que
expressam visualmente o sucesso ou a falha geral de uma organização em
seus esforços para atingir uma meta específica. R
Segurança física
A segurança física corresponde à constituição de barreiras de forma a
evitar, ou retardar, intrusões e garantir uma resposta mais eficaz a elas.
É o ramo da segurança que visa prevenir acessos não autorizados a
equipamentos, instalações, materiais ou documentos. R
Sinergia
É definida como o efeito ativo e retroativo do esforço coordenado de
vários subsistemas na realização de uma tarefa ou função. É o efeito
resultante da ação de vários agentes que atuam de forma coordenada para
um objetivo comum, e esse efeito é superior ao valor do conjunto desses
agentes se eles atuassem individualmente. R
www.esab.edu.br 404
Serasa
Significa Centralização de Serviços dos Bancos, e não é uma sigla. A
Serasa é uma empresa privada brasileira, que faz análises e pesquisas de
informações econômico-financeiras das pessoas. R
Serpro
O Serviço Federal de Processamento de Dados (Serpro) é uma empresa
pública, vinculada ao Ministério da Fazenda, com o objetivo de
modernizar e dar agilidade a setores estratégicos da administração pública
brasileira. A instituição tem como negócio a prestação de serviços em
Tecnologia da Informação e Comunicações para o setor público. R
Servidor de aplicações
Um servidor de aplicação é uma plataforma (hardware e software) sobre
a qual são executados vários aplicativos específicos e essenciais para a
organização. R
Software livre
É qualquer programa/software que pode ser copiado, usado, modificado
e redistribuído de acordo com as necessidades de cada usuário. R
Solvabilidade
Corresponde à capacidade da organização ou pessoa em cumprir as suas
obrigações financeiras. R
Sourcing
Termo utilizado para representar o recebimento de serviços terceirizados,
em que outsourcing representa o serviço na ótica de quem fornece e
sourcing, na ótica de quem adquire o serviço. R
www.esab.edu.br 405
Stakeholders
Em inglês, stake significa participação e holder, aquele que possui. Assim,
stakeholder é entendido como “parte interessada”. É uma palavra muito
utilizada nas áreas de Administração e Tecnologia da Informação para
representar as pessoas e grupos de pessoas mais importantes para um
planejamento estratégico. R
UML
A Linguagem de Modelagem Unificada, ou em inglês Unified Modeling
Language, é um conjunto de notações, principalmente gráficas, para
representação de projetos. A UML possibilita que desenvolvedores
visualizem os produtos de seus trabalhos por meio de diagramas
padronizados. R
Unidades de software
Consiste em pequenas partes de um software, como funcionalidades
específicas, partes do código implementado, ou seja, partes de um
programa de computador que funciona individualmente com regras e
requisitos específicos. R
Visão tática e estratégica

A visão estratégica avalia e monitora as atividades gerais da
organização (como público-alvo), projeta os produtos e serviços e está
constantemente conectada ao cliente, ao mercado e às ações de toda a
organização, definindo o plano estratégico da organização. Já a visão
tática está relacionada com as diferentes áreas da instituição e com os
processos específicos de cada área para que os objetivos da organização
sejam atendidos. R
Vulnerabilidade
Significa que o sistema computacional possui alguma falha técnica ou de
infraestrutura que permita que acessos indevidos sejam realizados nesses
sistemas. R
www.esab.edu.br 406
Walter Shewhart (1891-1967)
Conhecido como o pai do controle estatístico de qualidade por ter
desenvolvido ferramentas estatísticas para avaliação de quando uma ação
corretiva deve ser aplicada a um processo. R
www.esab.edu.br 407
Referências
ALBERTIN, R. M. de M.; ALBERTIN, A. L. Estratégias de governança de

tecnologia da informação: estrutura e práticas. São Paulo: Elsevier, 2010.
FERNANDES, A. A.; ABREU, V. F. de. Implantando a governança de TI: da

estratégia à gestão dos processos e serviços. 2. ed. Rio de Janeiro: Brasport, 2008.
LUCAS JR., H. C. Tecnologia da informação: tomada de decisão estratégica

para administradores. Rio de Janeiro: LTC, 2006.
PMBOK. Guia PMBOK: Um guia do conjunto de conhecimentos em

gerenciamento de projetos. 3. ed. Project Management Institute, Inc. Pensilvânia:
PMI, 2004.
www.esab.edu.br 408

2328 Bookgovernancati

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

2328 Bookgovernancati

Enviado por

Direitos autorais:

Formatos disponíveis

Governança em TI

Vila Velha (ES)

Produção do Material Didático-Pedagógico

Diretoria Executiva Designer Educacional

Liderança Técnica Design Gráfico Diagramação

Seja bem-vindo à disciplina de Governança em TI, um estudo do crescimento da

Para tanto, serão avaliados os desafios da Governança em TI, os principais modelos

Hoje, é fundamental para o profissional que deseja ser um especialista em Tecnologia

Iniciaremos nossa disciplina apresentando a origem do termo

O material desta unidade foi desenvolvido com base nas bibliografias de

1.1 Introdução à Governança Corporativa

No Brasil, a abertura econômica, a partir de 1990, incentivou a criação

A partir da década de 1990, as grandes instituições passaram a ser

Conforme Rotta, Hillbrecht e Balbinotto Neto (2005 apud ALBERTIN;

Todas essas práticas e pessoas envolvidas com a Governança Corporativa

Segundo o Instituto Brasileiro de Governança Corporativa (2006 apud

[...] o sistema pelo qual as sociedades são dirigidas e monitoradas, envolvendo os

O papel da Governança Corporativa é definir objetivos, criar estruturas,

Para tanto, há a necessidade da definição de um corpo de

Os stakeholders representam os colaboradores com poder de decisão

Albertin e Albertin (2010) destacam os seguintes papéis para essa

• estabelecer e buscar objetivos, metas e expectativas;

Figura 2 – Fluxo de processos da Governança Corporativa.

A estrutura de governança corporativa engloba o alinhamento de objetivos, metas e

A Governança Corporativa acontece por um conjunto de processos,

A seguir veremos a importância da integração da Governança de TI e da

1.3 Governança em TI e Governança Corporativa:

Fernandes e Abreu (2008, p.14) destacam o papel da Governança em

[...] o compartilhamento de decisões de TI com os demais dirigentes da organização,

A Governança Corporativa é importante e fundamental para o correto

Pensar em uma estratégia de gestão que permita todo esse

Portanto, é fundamental que a Governança Corporativa seja elaborada e

Para Fernandes e Abreu (2008, p.13), a Governança em TI é “[...] de

Nesta unidade, você pôde conhecer a Governança Corporativa a partir

Na unidade anterior, você estudou a Governança Corporativa a partir

2.1 O que é Governança em TI e seus Objetivos

Devido a esse cenário muito abrangente, complexo e extenso, definir

A Governança em TI é de responsabilidade da alta administração (incluindo diretores e

Para sua reflexão

Assim, perceba que estamos enfatizando como é importante que

[...] o compartilhamento de decisões de TI com os demais dirigentes da organização,

Observe que o papel principal da Governança em TI é destacado por

Fernandes e Abreu (2008, p. 15) destacam que “[...] o principal objetivo

Para Fernandes e Abreu (2008), os objetivos específicos da Governança

• permitir à TI ter um posicionamento mais claro e consistente em

Ordem Atividade Finalidade

Quadro 1 – Ciclo da Governança em TI.

Observe que para a implantação da Governança em TI são necessários o

Por exemplo, decidir pela continuidade ou melhoria de um produto

Para a correta gestão de todas essas atividades, é fundamental a

Para Lucas Jr. (2006), as etapas do ciclo de atividades da Governança em

2.2 Componentes da Governança de TI

Podemos entender os componentes como partes da Governança em

A partir de agora, daremos ênfase a cada um desses componentes:

Quadro 2 – Requisitos do Plano de Tecnologia da Informação.

Para Albertin e Albertin (2010), o alinhamento estratégico é uma

Nesta unidade, você pôde estudar o conceito de Governança em

Na unidade anterior, estudamos o primeiro componente da Governança

Já nesta terceira unidade, com o aporte teórico de Fernandes e Abreu

3.1 Componentes da etapa de Decisão

Fernandes e Abreu (2008, p. 21) afirmam que “[...] os serviços de TI

Com relação ao portfólio de TI, Fernandes e Abreu (2008) o conceituam

Por exemplo, você já imaginou um possível cliente entrar em contato