uma abordagem correlacional dos modelos cobit itil e da norma abnt nbr iso iec 38500 para o tema...
TRANSCRIPT
UNIVERSIDADE DE PERNAMBUCO – UPE FACULDADE DE CIÊNCIAS E TECNOLOGIA DE CARUARU
– FACITEC BACHARELADO EM SISTEMAS DE INFORMAÇÃO
UMA ABORDAGEM CORRELACIONAL DOS MODELOS COBIT / ITIL E DA NORMA ABNT NBR ISO/IEC 38500:2009
PARA O TEMA GOVERNANÇA CORPORATIVA DE TECNOLOGIA DA INFORMAÇÃO.
THIAGO MARQUES DE OLIVEIRA
Caruaru - PE Dezembro de 2009
2
UNIVERSIDADE DE PERNAMBUCO - UPE FACULDADE DE CIÊNCIAS E TECNOLOGIA DE CARUARU
– FACITEC BACHARELADO EM SISTEMAS DE INFORMAÇÃO
UMA ABORDAGEM CORRELACIONAL DOS MODELOS COBIT / ITIL E DA NORMA ABNT NBR ISO/IEC 38500:2009
PARA O TEMA GOVERNANÇA CORPORATIVA DE TECNOLOGIA DA INFORMAÇÃO.
THIAGO MARQUES DE OLIVEIRA
Caruaru - PE Dezembro de 2009
Trabalho de Graduação apresentado na Faculdade de Ciências e Tecnologia de Caruaru, da Universidade de Pernambuco, por Thiago Marques de Oliveira, sob a orientação do Prof. Fernando Pontual de Souza Leão Júnior, como requisito parcial para obtenção do grau de Bacharel em Sistemas de Informação.
3
Agradecimentos Agradeço a todos que participaram e colaboraram para a realização deste trabalho, em especial: A Deus, por ter dado-me saúde, forças e paciência para vencer os desafios e persistir nas minhas conquistas. Aos meus pais, Gilson e Divoneide, deixo registrado todo o meu carinho, respeito e gratidão por seu apoio. Obrigado, pai e mãe, sem vocês eu não teria conseguido concluir esta etapa da minha vida. Ao meu orientador Prof° Fernando Pontual de Souza Leão Júnior, por sua orientação e boa vontade, sem a qual esse trabalho não teria sido desenvolvido, e à Profª Erika Carlos Medeiros, pelas sugestões e esclarecimentos, que contribuíram significativamente para o trabalho. Aos meus amigos e colegas de curso, em especial Dyeggo, Cleryston, Luciano, Thiagão e Sylvinha, e a todos aqueles que, direta ou indiretamente, ajudaram-me, seja no desenvolvimento desse trabalho ou em meu crescimento pessoal durante toda graduação. As dificuldades para desenvolver este trabalho foram acompanhadas por muitas pessoas especiais para mim, e a todas elas eu agradeço cada minuto que estiveram ao meu lado durante este período. A todos, muito obrigado!
4
Resumo
Este trabalho propõe um estudo sobre governança de TI, apresentando o correlacionamento dos princípios da norma ABNT NBR ISO/IEC 38500:2009 com os processos do modelo CobiT e da biblioteca ITIL, de forma a facilitar a escolha de um ou mais modelos, ou processos dos mesmos, para auxílio na implantação de governança de TI em uma organização, com base nas necessidades da mesma. O trabalho procurou discutir os princípios da Governança de TI, contextualizando-a na governança corporativa, com base na norma ISO/IEC 38500, e em como o modelo CobiT e a biblioteca ITIL fornecem suporte ao atendimento destes princípios. Resulta deste estudo, o relacionamento dos processos dos modelos citados com a norma, provendo informações referentes a quais processos abordam quais princípios, e o quanto os modelos cobrem as necessidades desta norma.
Palavras-Chave: NBR ISO/IEC 38500, Tecnologia da Informação, Governança de TI, Alinhamento Estratégico, Gerência de TI, CobiT, ITIL, melhores práticas de TI, Sarbanes-Oxley, normas, padrões de TI.
5
Abstract
This paper proposes a study on IT governance, with the linking the principles of the standard ISO/IEC 38500:2009 with the CobiT model processes and ITIL, to facilitate the choice of one or more models, and cases of them, to aid in the implementation of IT governance in an organization, based on the needs of the same. The article outlines the principles of IT governance, within today's corporate governance, based on ISO/IEC 38500, and the model CobiT and ITIL provide care support these principles. Results of this study, the relationship of the processes of the models listed with standard, providing information regarding which processes which deal with principles, and how the models meet the needs of this standard. Keywords: NBR ISO/IEC 38500, Information Technology, IT Governance, Strategical Alignment, IT Management, CobiT, ITIL, IT best practices, Sarbanes-Oxley, norms, IT standards.
6
Lista de Figuras
Figura 3.1 – Modelo para Governança Corporativa de TI ......................................... 32
Figura 3.2 – Áreas-Foco da Governança de TI, na visão do CobiT .......................... 38
Figura 3.3 – Princípio básico do CobiT ..................................................................... 40
Figura 3.4 – Domínios do CobiT no Framework ........................................................ 41
Figura 3.5 – Cubo CobiT ........................................................................................... 48
Figura 3.6 – Inter-relacionamentos entre componentes do CobiT ............................. 48
Figura 3.7 – O núcleo da ITIL .................................................................................... 51
Figura 3.8 – Visão dos Processos do Estágio de Desenho de Serviço ..................... 60
Figura 3.9 – O Escopo da Transição de Serviço ....................................................... 63
Figura 3.10 – O Relacionamento dos Processos da Operação de Serviços ............. 66
Figura 3.11 – Melhoria de Serviço Continuada e o Ciclo de Vida de Serviço ........... 68
Figura 3.12 – Processo de Melhoria em 7 passos .................................................... 69
7
Lista de Tabelas
Tabela 3.1 – Critérios de Análise para os modelos CobiT e ITIL em relação à norma ISO/IEC 38500 .......................................................................................................... 20
Tabela 3.2 – Implicações do SOA para TI ................................................................. 23
Tabela 3.3 – Questões e processos do domínio “PO” do CobiT ............................... 42
Tabela 3.4 – Questões e processos do domínio “AI” do CobiT ................................. 43
Tabela 3.5 – Questões e processos do domínio “DS” do CobiT ............................... 43
Tabela 3.6 – Questões e processos do domínio “ME” do CobiT ............................... 44
Tabela 3.7 – Processos e funções da ITIL V3 ........................................................... 53
Tabela 3.8 – Processos da Estratégia de Serviço da ITIL V3 ................................... 56
Tabela 3.9 – Processos do Desenho de Serviços da ITIL V3 e seus objetivos ......... 59
Tabela 3.10 – Processos da Transição de Serviço da ITIL V3 e seus objetivos ....... 63
Tabela 3.11 – Processos da Operação de Serviços da ITIL V3 e seus objetivos ..... 65
Tabela 3.12 – Funções da Operação de Serviços da ITIL V3 e seus objetivos ........ 67
Tabela 3.13 – Processos da Melhoria de Serviço da ITIL V3 e seus objetivos ......... 71
Tabela 3.14 – Correlacionamento entre norma ISO/IEC 38500 e o modelo CobiT ... 74
Tabela 3.15 – Correlacionamento entre norma ISO/IEC 38500 e o modelo ITIL ...... 76
8
SUMÁRIO 1. Introdução ........................................................................................................... 11
1.1. Problemática ................................................................................................ 13
1.2. Objetivos do trabalho ................................................................................... 13
1.3. Justificativa ................................................................................................... 14
1.4. Motivação do trabalho .................................................................................. 15
2. Metodologia ........................................................................................................ 16
2.1. Natureza da Pesquisa .................................................................................. 16
2.2. Quanto aos fins ............................................................................................ 16
2.3. Quanto aos meios ........................................................................................ 16
2.4. Quanto à forma de abordagem .................................................................... 17
2.5. Procedimentos Metodológicos ..................................................................... 17
2.6. Limitações do Trabalho ................................................................................ 20
3. Fundamentação Teórica ..................................................................................... 21
3.1. Regulamentações de Compliance ............................................................... 21
3.1.1. Sabanes-Oxley Act ................................................................................ 21
3.1.2. Acordo da Basiléia II .............................................................................. 24
3.2. Governança Corporativa .............................................................................. 25
3.3. Governança de TI e Norma ISO 38500 ........................................................ 27
3.4. Entidades de Padronização ......................................................................... 28
3.4.1. ISO ........................................................................................................ 28
3.4.2. ABNT ..................................................................................................... 29
3.5. Norma ISO/IEC 38500 ................................................................................. 29
3.5.1. Estrutura de Governança Corporativa de TI .......................................... 30
3.5.2. Modelo de Governança de TI ................................................................ 31
3.5.3. Guia para Governança de TI da norma ISO/IEC 38500 ........................ 32
3.6. CobiT ............................................................................................................ 36
3.6.1. Histórico ................................................................................................. 36
3.6.2. Objetivos do Modelo .............................................................................. 37
3.6.3. Estrutura do Modelo .............................................................................. 39
3.6.3.1. Foco no negócio .............................................................................. 39
3.6.3.2. Orientação para processos ............................................................. 40
3.6.3.3. Controle através de objetivos .......................................................... 44
9
3.6.3.4. Direcionamento para medições ....................................................... 46
3.6.3.5. Visão integrada do modelo.............................................................. 47
3.6.3.6. Conteúdo dos processos de TI ....................................................... 48
3.7. ITIL ............................................................................................................... 49
3.7.1. Histórico do Modelo ............................................................................... 49
3.7.2. Objetivos do Modelo .............................................................................. 50
3.7.3. Estrutura do Modelo .............................................................................. 50
3.7.3.1. Visão Geral ..................................................................................... 50
3.7.3.1.1. Estratégia de Serviço ................................................................... 53
3.7.3.1.1.1. Processos da Estratégia de Serviço ....................................... 55
3.7.3.1.2. Desenho ....................................................................................... 56
3.7.3.1.2.1. Processos do Desenho de Serviço ......................................... 57
3.7.3.1.3. Transição de Serviço .................................................................... 60
3.7.3.1.3.1. Processos da Transição de Serviço ....................................... 61
3.7.3.1.4. Operação de Serviço .................................................................... 63
3.7.3.1.4.1. Processos da Operação de Serviço ....................................... 64
3.7.3.1.4.2. Funções da Operação de Serviço .......................................... 66
3.7.3.1.5. Melhoria de Serviço Continuada ................................................... 67
3.7.3.1.5.1. Processos da Melhoria de Serviço Continuada ...................... 69
4. Processos e controles mapeados na correlação dos modelos CobiT, ITIL e a Norma ISO/IEC 38500 .............................................................................................. 72
4.1.1. Mapeamento ISO/IEC 38500 x CobiT ................................................... 72
4.1.2. Mapeamento ISO/IEC 38500 x ITIL ....................................................... 74
4.1.3. Relacionamento dos processos ............................................................. 76
4.1.4. ISO/IEC 38500 x CobiT ......................................................................... 77
4.1.4.1. Princípio da Responsabilidade ........................................................ 77
4.1.4.2. Princípio da Estratégia .................................................................... 78
4.1.4.3. Princípio da Aquisição ..................................................................... 80
4.1.4.4. Princípio do Desempenho ............................................................... 81
4.1.4.5. Princípio da Conformidade .............................................................. 82
4.1.4.6. Princípio do Comportamento Humano ............................................ 84
4.1.5. ISO/IEC 38500 x ITIL ............................................................................. 84
4.1.5.1. Princípio da Responsabilidade ........................................................ 85
10
4.1.5.2. Princípio da Estratégia .................................................................... 85
4.1.5.3. Princípio da Aquisição ..................................................................... 87
4.1.5.4. Princípio do Desempenho ............................................................... 88
4.1.5.5. Princípio da Conformidade .............................................................. 89
4.1.5.6. Princípio do Comportamento Humano ............................................ 90
4.2. Considerações Finais ................................................................................... 91
4.2.1. Sugestões para trabalhos futuros .......................................................... 93
5. Referências Bibliográficas .................................................................................. 94
11
1. Introdução
O cenário atual das organizações demonstra que a tecnologia da informação
(TI) está crescendo em utilização e importância, deixando de ser uma área de
suporte para ser uma ferramenta preponderante para o sucesso e sobrevivência das
organizações.
Para muitas organizações, a informação e a tecnologia que suportam o
negócio representam o seu mais valioso recurso. Além disso, num ambiente de
negócio altamente competitivo e dinâmico é requerida uma excelente habilidade
gerencial, onde a TI deve suportar as tomadas de decisões de forma rápida,
constante e com custos cada vez mais baixos. Muitas organizações reconhecem os
benefícios potenciais que a tecnologia pode propiciar. Entretanto, somente as
organizações de sucesso compreendem e administram os riscos associados à
implementação de novas tecnologias (ITGI, 2000).
Somado a isso, de acordo com Henderson & Venkatraman (apud LAURINDO,
2001), a falta de habilidade das empresas em obter retornos consideráveis dos
investimentos em TI se deve (ainda que não totalmente) à falta de coordenação e de
alinhamento entre as estratégias de negócio e de TI. Este ajuste entre as estratégias
de negócio, de TI e as estruturas internas da organização, considerando o seu
posicionamento e sua atuação no mercado, não é um evento isolado ou simples de
ser obtido, mas um processo dinâmico e contínuo ao longo do tempo (LAURINDO,
2001, p.161).
Com isso, há uma tendência para que as organizações busquem dar mais
importância à Governança de TI (GTI), devido à dependência mostrada pelas
organizações por suas infra-estruturas de TI, associada às oportunidades, benefícios
e riscos inerentes à área. Devido a esta tendência, a utilização de modelos com as
melhores práticas de gerenciamento, para auxiliar a governança de TI, vem
aumentando.
Visando suportar a estratégia definida e a demanda de serviços de TI, as
organizações buscam diversas alternativas para melhor planejar e direcionar seus
projetos e investimentos em TI.
Segundo Sodré & Souza (2007, p.1), “a administração eficaz dos recursos de
TI tornou-se um fator impactante para o desenvolvimento, fortalecimento e sucesso
de uma organização no mercado”, considerando fatores como:
12
a) O potencial de contribuição para as práticas do negócio, criando novas
oportunidades e reduzindo custos;
b) A dependência das informações e dos recursos tecnológicos, que pode
ser crítica dependendo da natureza do negócio;
c) A relação custo x benefício dos investimentos em TI;
d) A segurança da informação e dos sistemas de informação.
As operações de TI envolvem altos riscos e demandam grandes
investimentos. Alinhar os objetivos da TI ao negócio da empresa e gerenciá-los,
tornou-se uma tarefa complexa que, sem o auxílio de métodos confiáveis, torna
difícil garantir o atendimento das necessidades com eficiência, eficácia, dentro do
orçamento e cumprindo os prazos.
Nesse contexto surge a necessidade da implantação de um modelo de
Governança de TI que supra as demandas estratégicas da organização, objetivando
o gerenciamento comedido dos recursos, o aprimoramento dos controles internos e
a mitigação dos riscos envolvidos. O processo de implantação da governança de TI
em uma organização necessita de investimentos, estruturas e processos que
garantam que a TI da organização suporte e contribua para os objetivos do negócio.
Esse processo aborda, também, a institucionalização de boas práticas e métricas de
controle e auditoria, que garantam que os objetivos estabelecidos estejam sendo
cumpridos conforme especificado (SODRE & SOUZA, 2007).
Assim sendo, para a implantação da governança é necessária a especificação
de controles que descrevam os processos e seus responsáveis, os recursos
envolvidos e formas de garantir os resultados esperados. Para auxiliar as empresas
nesse processo estão disponíveis no mercado diversos modelos ou padrões que
contribuem para a Governança de TI, dentre eles: CobiT (Control Objectives for
Information and Related Technology), ITIL (Information Technology Infrastructure
Library), CMMI (Capability Maturity Model Integration), PMBoK (Project Management
Body of Knowledge), Val IT, PRINCE2 (Projects in Controlled Environments), e-
SCM-SP, e-SCM-CL, Seis Sigma, Balanced Scorecard e padrões de segurança e
melhores práticas como a ISO/IEC – 17799, ISO/IEC 20000 e ISO/IEC 38500:2009.
Alguns desses modelos agregam, em estruturas denominadas frameworks,
um conjunto de melhores práticas testadas com sucesso em várias empresas de
grande, médio e pequeno porte, e servem como suporte para a definição dos
13
caminhos a seguir no gerenciamento e no processo de Governança de TI. Só que
muitos gestores se perguntam qual desses modelos utilizar. Esse trabalho propõe
um estudo que auxilie os gestores a escolherem modelos que tenham maior
potencial de contribuição para a organização de acordo com suas necessidades e
com base nos princípios sugeridos pela norma norteadora adotada pelo estudo.
No âmbito deste trabalho, considerar-se-á a questão da utilização dos
modelos CobiT e ITIL, que dão suporte à implantação da Governança de TI em
organizações através de seus processos, no alcance dos princípios de Governança
Corporativa de TI apresentados na norma ISO/IEC 38500, conforme apresentado no
tópico seguinte.
1.1. Problemática
Foi lançada recentemente a norma NBR ISO/IEC 38500, com foco em
governança corporativa de TI. A norma aborda diversos pontos que devem ser
tomados como princípios para um modelo de governança de TI. Juntando a esse
fato, a dificuldade na escolha de modelos para auxílio na implantação de
governança de TI, por não saber como e quais setores são abordados por eles. O
questionamento que este trabalho pretende responder é: até que ponto, e como, os
modelos CobiT e ITIL, através de seus processos, cobrem os princípios da NBR
ISO/IEC 38500?
1.2. Objetivos do trabalho
É proposto neste trabalho a realização de um estudo sobre governança de TI,
apresentando o correlacionamento dos princípios da norma ABNT NBR ISO/IEC
38500 (referenciada a partir deste ponto como norma ISO/IEC 38500) com os
processos do modelo CobiT e da biblioteca ITIL.
Será feita uma apresentação da Governança de TI, sua contextualização na
governança corporativa, e como alcançá-la com base nos princípios da norma
ISO/IEC 38500, com o suporte do modelo CobiT e da biblioteca ITIL. Pretende-se
realizar uma análise dos frameworks de melhores práticas de controle e gerência de
TI, CobiT e ITIL, abordando suas aplicações para o alcance dos objetivos da norma
de governança de TI.
14
Como resultado final, o trabalho pretende mostrar quais processos do CobiT e
da ITIL cobrem quais princípios da norma ISO/IEC 38500, ilustrando quais pontos
são abordados entre eles e quais não, junto com a análise das ações propostas no
correlacionamento dos mesmos. Com base nessas informações pode-se saber
quais processos de cada modelo poderão ser utilizados para alcançar os objetivos
do negócio.
Segue a divisão dos objetivos específicos que serão abordados para construir
o estudo proposto, visando alcançar o objetivo geral:
1. Apresentar o conceito de governança de TI;
2. Estudar o modelo CobiT;
3. Estudar a biblioteca ITIL;
4. Estudar a norma ISO/IEC 38500;
5. Analisar comparativamente o modelo CobiT, a biblioteca ITIL e norma
ISO/IEC 38500;
1.3. Justificativa
Um dos principais ativos de uma organização é a informação que ela tem.
Com informação é possível ter maior controle sobre as tomadas de decisões, que
são baseadas nas informações obtidas. Se as informações que o gestor tiver forem
poucas, inexatas, complexas ou fora do escopo desejado, a decisão tomada terá
menor chance de ser efetiva e trazer um bom resultado.
[...] o ambiente empresarial está mudando continuamente, tornando-se mais complexo e menos previsível, e cada vez mais dependente de informações e de toda a infra-estrutura tecnológica que permite o gerenciamento de enormes quantidades de dados. As organizações precisam enfrentar este cenário globalizado e competitivo com dedicação e entusiasmo, caso contrário, tendem a perder seu espaço e até desaparecer do mercado. E para tanto, precisam estar organizadas de controles que possibilitarão a junção de dados e a elaboração de informações que contribuem para o bom desempenho das atividades e a tomada de decisão eficaz [...]. (STRASSBURG, 2007, p.94)
Com este ambiente as organizações precisam cada vez mais otimizar seus
modelos de gestão de TI, para que as informações geradas na empresa sejam
realmente importantes para as tomadas de decisões, influenciando o funcionamento
da organização de forma positiva.
15
[...] a estrutura da informação e os sistemas de informações são tão importantes que a TI é fator determinante na competitividade da companhia, já que, além de sua utilização como elemento-chave na administração dos recursos, a política de TI equipara-se, em nível estratégico, com o papel da definição de negócios e da própria organização [...]. (WALTON apud STRASSBURG, 2007, p.100)
Desta maneira, a utilização correta da TI na organização, ou seja, alinhada ao
negócio por meio de governança, não influencia apenas fatores internos da
empresa, mas também fatores externos. Visando aproveitar oportunidades antes
dos concorrentes, e se precaver contra prováveis situações adversas de mercado.
Partindo desta realidade, este trabalho visa auxiliar gestores na escolha de
práticas, baseadas nos processos dos modelos CobiT e ITIL, que atendam aos
princípios de Governança de TI presentes na norma ISO/IEC 38500, que tem como
foco avaliação, gerenciamento e monitoração do uso de TI na organização de forma
alinhada aos requisitos do negócio (Governança de TI).
1.4. Motivação do trabalho
A dificuldade encontrada pelas organizações em escolher um ou mais
modelos de Governança de TI, adequados à realidade da organização motivou a
elaboração deste estudo. Pois, muitas vezes, as organizações decidem adotar um
modelo ou framework de Governança de TI e encontram dificuldades na escolha, e
devido a esta dificuldade, ocorre de escolherem modelos que não são os mais
indicados para a realidade da organização, fazendo com que a implantação do
mesmo não tenha o sucesso esperado, ou até mesmo seja um fracasso. Partindo
deste ponto, o presente trabalho seleciona dois dos principais modelos que são
amplamente utilizados no mercado para auxílio na implantação de Governança de TI
em organizações.
Os modelos de melhores práticas utilizadas em foco neste estudo (CobiT e
ITIL) são ferramentas de apoio à governança de TI que atingiram um grau de
maturidade elevado e possuem atualmente uma grande aceitação no mercado, e a
norma ISO/IEC 38500, publicada em 06 de abril de 2009, é voltada especificamente
para a governança de TI, isto foi um dos mais importantes fatores na definição de
quais modelos e norma seriam utilizados para a elaboração deste estudo
correlacional.
16
2. Metodologia
Segundo Leite (1978, p. 15), a pesquisa científica é um processo consciente e
racional de aprendizagem, destinado a promover a compreensão e explicação de
determinados fenômenos de interesse coletivo com a finalidade de interpretação,
previsão e controle. O autor defende que "o método científico difere do método
comum por utilizar processos sistemáticos de averiguação, análise e conclusão ao
invés do processo aleatório e assistemático das observações, indagações e
conclusões leigas". Para Demo (1995), a metodologia como pesquisa significa a
produção e análise de caminhos alternativos, bem como a investigação sobre estes
caminhos. Enquanto para Andrade (2006, p.129), “Metodologia é o conjunto de
métodos ou caminhos que são percorridos na busca do conhecimento”. Portanto,
nesta seção serão expostos os caminhos que nortearão este trabalho.
2.1. Natureza da Pesquisa
A natureza da pesquisa pode ser classificada quanto aos seus objetivos,
procedimento e quanto á forma de abordagem. Segundo Chizzotti (2006), a
pesquisa científica caracteriza-se pelo esforço ordenado de explicar ou compreender
os dados encontrados. Sendo assim, serão definidos a seguir os processos
científicos empregados nesta pesquisa.
2.2. Quanto aos fins
A pesquisa realizada neste trabalho quanto aos seus objetivos é classificada
como pesquisa descritiva. De acordo com Cervo, Bervian & Da Silva (2006, p.61),
“A pesquisa descritiva observa, registra, analisa e correlaciona fatos ou fenômenos
(variáveis) sem manipulá-los”.
2.3. Quanto aos meios
Neste trabalho são utilizados procedimentos de pesquisa documental e
bibliográfica. Cervo, Bervian & Da Silva (2006) definem a pesquisa bibliográfica
como um instrumento que procura esclarecer problemas a partir de referenciais
teóricos publicados em artigos, periódicos, dissertações e teses. Enquanto, sobre
pesquisa documental, na definição de Marconi & Lakatos (1990), "a característica da
17
pesquisa documental é que a fonte de coleta de dados está restrita a documentos,
escritos ou não, constituindo o que se denomina de fontes primárias."
2.4. Quanto à forma de abordagem
A abordagem de pesquisa seguida neste trabalho é qualitativa, pois se
pretende descrever e interpretar fenômenos.
2.5. Procedimentos Metodológicos
A análise dos modelos será feita com base na correlação das atividades
citadas pelos processos do CobiT e da ITIL, com as práticas sugeridas pelas tarefas
dos princípios da norma ISO/IEC 38500. Os princípios e tarefas da norma serão
utilizados como critérios de análise dos modelos. Os resultados serão apresentados
em tabelas correlacionais que ilustrarão quais processos abordam quais tarefas,
seguido de uma descrição da análise geral das implicações das correlações
encontradas. A tabela 3.1 abaixo descreve os critérios de análise obtidos através da
norma ISO/IEC 38500 (2009, p.9-15).
Critérios Descrição
Avaliação da Responsabilidade
Este critério tem como objetivo diferenciar os modelos que possuem processos que façam, incentivem, ou suportem minimamente, os dirigentes avaliarem questões voltadas para a delegação de responsabilidades com respeito ao uso atual e futuro da TI, dos que não possuem.
Direção da Responsabilidade Este critério tem como objetivo diferenciar os modelos que possuem processos que façam, incentivem, ou suportem minimamente, os dirigentes proverem as informações necessárias aos responsáveis e exigirem o cumprimento dos planos de acordo com as responsabilidades delegadas, dos que não possuem.
Monitoramento da Responsabilidade
Este critério tem como objetivo diferenciar os modelos que possuem processos que façam, incentivem, ou suportem minimamente, os dirigentes monitorarem os responsáveis pelas atividades, e os mecanismos de GTI, dos que não possuem.
Avaliação da Estratégia Este critério tem como objetivo diferenciar os modelos que possuem processos que façam, incentivem, ou suportem minimamente, os dirigentes avaliarem os desenvolvimentos de TI e os processos de negócios para que apóiem as necessidades futuras, e/ou as atividades de TI para que aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaiiiiiContinua
18
estejam alinhadas com os objetivos da organização, dos que não possuem.
Direção da Estratégia Este critério tem como objetivo diferenciar os modelos que possuem processos que façam, incentivem, ou suportem minimamente, os dirigentes liderarem a preparação e utilização de planos e políticas que assegurem benefícios à organização pelo uso de TI, e/ou encorajem apresentações de propostas de inovação, dos que não possuem.
Monitoramento da Estratégia Este critério tem como objetivo diferenciar os modelos que possuem processos que façam, incentivem, ou suportem minimamente, os dirigentes monitorarem o progresso das propostas de TI para garantir que atinjam seus objetivos dentro dos prazos, e/ou o uso de TI para assegurar que os benefícios pretendidos estão sendo alcançados, dos que não possuem.
Avaliação da Aquisição Este critério tem como objetivo diferenciar os modelos que possuem processos que façam, incentivem, ou suportem minimamente, os dirigentes avaliarem opções para fornecimento de TI, dos que não possuem.
Direção da Aquisição Este critério tem como objetivo diferenciar os modelos que possuem processos que façam, incentivem, ou suportem minimamente, os dirigentes orientarem para que os ativos de TI sejam adquiridos de forma apropriada, e/ou certificarem que os acordos de fornecimento darão suporte às necessidades da organização, dos que não possuem.
Monitoramento da Aquisição Este critério tem como objetivo diferenciar os modelos que possuem processos que façam, incentivem, ou suportem minimamente, os dirigentes monitorarem os investimentos de TI, e/ou até que ponto a organização e os fornecedores mantêm uma compreensão mútua das intenções da organização com a aquisição de TI, dos que não possuem.
Avaliação do Desempenho Este critério tem como objetivo diferenciar os modelos que possuem processos que façam, incentivem, ou suportem minimamente, os dirigentes avaliarem proposições dos gerentes para assegurar apoio aos processos do negócio, e/ou os riscos à continuidade da operação, e/ou riscos à integridade da informação e proteção de ativos de TI, e/ou a eficácia e desempenho do Sistema de GTI da organização, dos que não possuem.
Direção do Desempenho Este critério tem como objetivo diferenciar os modelos que possuem processos que façam, incentivem, ou suportem minimamente, os dirigentes assegurarem que recursos suficientes sejam alocados garantindo que a TI atenda às necessidades da organização, e/ou orientem os responsáveis sobre a necessidade de atualização e proteção dos dados, dos que não possuem. Continua
19
Monitoramento do Desempenho
Este critério tem como objetivo diferenciar os modelos que possuem processos que façam, incentivem, ou suportem minimamente, os dirigentes monitorarem até que ponto a TI dá suporte ao negócio, e/ou até que ponto os recursos e orçamento foram priorizados de acordo com os objetivos do negócio, e/ou até que ponto as políticas são seguidas corretamente, dos que não possuem.
Avaliação da Conformidade Este critério tem como objetivo diferenciar os modelos que possuem processos que façam, incentivem, ou suportem minimamente, os dirigentes avaliarem regularmente até que ponto a TI cumpre com as obrigações, e/ou a conformidade interna da organização com seu sistema de GTI, dos que não possuem.
Direção da Conformidade Este critério tem como objetivo diferenciar os modelos que possuem processos que façam, incentivem, ou suportem minimamente, os dirigentes exigirem a garantia de que o uso da TI está em conformidade com as exigências legais, e/ou que políticas sejam estabelecidas e cumpridas, e/ou que os profissionais ajam de acordo com as melhores práticas de comportamento e desenvolvimento profissional, e/ou que todas as ações relacionadas com a TI sejam éticas, dos que não possuem.
Monitoramento da Conformidade
Este critério tem como objetivo diferenciar os modelos que possuem processos que façam, incentivem, ou suportem minimamente, os dirigentes monitorarem o cumprimento e conformidade da TI por meio de relatos apropriados e auditorias, e/ou as atividades de TI, para assegurar o cumprimento das exigências ambientais, de privacidade, de gerenciamento do conhecimento estratégico e de preservação de memória organizacional, dos que não possuem.
Avaliação do Comportamento Humano
Este critério tem como objetivo diferenciar os modelos que possuem processos que façam, incentivem, ou suportem minimamente, os dirigentes avaliarem as atividades de TI para garantir que os comportamentos humanos sejam identificados e apropriadamente considerados, dos que não possuem.
Direção do Comportamento Humano
Este critério tem como objetivo diferenciar os modelos que possuem processos que façam, incentivem, ou suportem minimamente, os dirigentes exigirem que as atividades de TI sejam compatíveis com as diferenças de comportamento humano, e/ou que riscos, oportunidades, constatações e preocupações possam ser identificadas e relatadas por qualquer pessoa a qualquer momento, dos que não possuem.
Monitoramento do Comportamento Humano
Este critério tem como objetivo diferenciar os modelos que possuem processos que façam, incentivem, ou suportem minimamente, os dirigentes monitorarem atividades de TI para iiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiContinua
20
garantir que os comportamentos humanos identificados permaneçam relevantes e que lhes sejam dadas a devida atenção, e/ou as práticas de trabalho para garantir que sejam consistentes com o uso apropriado da TI, dos que não possuem.
Tabela 3.1 – Critérios de Análise para os modelos CobiT e ITIL em relação à norma ISO/IEC 38500
2.6. Limitações do Trabalho
O presente trabalho teve, durante sua elaboração, algumas limitações. Foram
elas a limitação quanto ao tempo de desenvolvimento do estudo, que impossibilitou
uma análise mais detalhada dos modelos, assim como a sugestão de um modelo
genérico de implantação de GTI com base no estudo, como era desejado no início
do mesmo.
A limitação quanto à amostra de análise, pois vários dos documentos dos
modelos estudados são pagos, e possuem custo elevado, o que impossibilitou sua
aquisição, fazendo com que o estudo fosse conduzido principalmente com base em
opiniões de outros autores sobre os modelos e não na fonte direta dos modelos
(suas documentações oficiais).
A limitação quanto à natureza qualitativa da análise, que é subjetiva, o que
abre margem tanto à interpretação pessoal do autor sobre o assunto, podendo este
estudo, sendo conduzido por outras pessoas, chegar a resultados diferentes, quanto
à interpretação pessoal dos leitores, levando os mesmos a tirarem conclusões
próprias do conteúdo deste estudo.
21
3. Fundamentação Teórica
3.1. Regulamentações de Compliance
Os marcos de regulação externos foram o ponto chave para a disseminação
da idéia de Governança Corporativa. Estes marcos reguladores diferem dependendo
do negócio. Por exemplo, segundo Fernandes & Abreu (2008, p.23), “bancos no
Brasil devem seguir às normas do Banco Central do Brasil, empresas de
telecomunicações devem atender a uma série de instrumentos regulatórios da
Anatel, e assim sucessivamente”.
Fernandes & Abreu (2008, p.23) ainda destaca que há dois regulamentos que
se destacam, e deram bastante força às áreas de “controle interno” da maioria das
organizações: o Sarbanes-Oxley, voltada para empresas de capital aberto e que têm
ações nas bolsas de valores norte-americanas, e o Acordo de Basiléia II, voltado
para instituições financeiras de modo geral. Essas regulamentações têm forte
impacto na área de Governança Corporativa e de TI, por as duas serão abordadas
abaixo.
3.1.1. Sabanes-Oxley Act
A lei Sarbanes-Oxley, ou Sarbanes-Oxley Act (SOA), foi criada em 2002 pelo
senador Paul Sarbanes e pelo deputado Michael Oxley, sob o nome Public
Accounting Reform and Investor Protection Act, ficando conhecida com o nome de
seus patrocinadores. Foi motivada por escândalos financeiros acontecidos em
corporações abertas nos Estados Unidos, que abalaram a confiança dos
investidores no mercado de capitais americano.
Foi criada com o objetivo de evitar o esvaziamento dos investimentos
financeiros e a fuga dos investidores causada pela aparente insegurança,
oferecendo proteções aos investidores do mercado de capitais americano contra
fraudes contábeis e financeiras de corporações abertas, e instituindo uma série de
penalidades contra crimes relacionados. Ela regula as responsabilidades e práticas
de auditoria em empresas abertas.
A autoridade que estabelece as regras para implantação do Sarbanes-Oxley
Act é a Stock Exchange Comission (SEC), que vem a ser equivalente à Comissão
de Valores Mobiliários (CVM) aqui no Brasil. Essas regras incluem guias para
elaboração de relatórios financeiros pelo CEO (Chief Executive Officer, geralmente o
22
presidente da empresa) e pelo CFO (Chief Financial Officer, responsável máximo
pelas finanças da empresa) (FERNANDES & ABREU, 2008, p.25).
Em suas 1.107 seções, a maior atenção, discussão e trabalho a respeito da
Sarbanes-Oxley foi focado nas seções 302 e 404 da Lei.
A Seção 302 requer que o principal executivo (CEO - Chief Executive Officer)
e o principal executivo de finanças (CFO - Chief Financial Officer) assumam a
responsabilidade por definir, avaliar e monitorar a eficácia dos controles internos
sobre relatórios financeiros e divulgações da empresa. Estes controles devem ser
suficientes e capazes de livrar a instituição dos riscos que possam ameaçar suas
principais funções e, com isso, prejudicar respectivas entidades e partes
interessadas, como clientes e acionistas (GHERMAN apud BORGES, 2005).
Na seção 404 da Lei é tratada a validação dos controles e procedimentos
internos sobre os relatórios financeiros, esta avaliação deve ser formal e realizada
anualmente por auditores externos (DAMIANIDES apud BORGES, 2005, p.15). E na
seção 409 trata da divulgação imediata, em tempo real e em base rápida e corrente,
dados que possam impactar a performance financeira da empresa; informações com
respeito a mudanças materiais na condição financeira ou operacional da
organização (ALLES; KOGAN; VASARHELYI apud BORGES, 2005, p.15).
Os requisitos das seções 302, 404 e 409 (302 e 404 em especial) afetam a TI
significativamente, pois as informações financeiras e de resultados são oriundas de
todos os processos de negócio que geram fatos contábeis e financeiros para a
empresa, que podem estar automatizados. Portanto, praticamente todos os sistemas
transacionais de uma empresa, relativos a pagamento de pessoal, transações com
fornecedores e clientes, com acionistas, com o governo, gestão de recursos
financeiros, etc. devem ser considerados quando consideramos a lei Sarbanes-
Oxley (FERNANDES & ABREU, 2008, p.26).
No contexto de um sistema de controle interno, os riscos são identificados e
mitigados, os controles são estabelecidos e executados, os registros e sistemas de
controle são desenvolvidos e mantidos e toda a sistemática é monitorada. A tabela
3.2 mostra as principais implicações operacionais da lei Sarbanes-Oxley para a TI,
considerando os processos de TI:
23
Requisitos de qualidade da informação
Implicações da lei Sarbanes-Oxley
O conteúdo da informação deve ser apropriado.
• Processo de desenvolvimento de requisitos de software;
• Processo de gerenciamento de requisitos de software; • Métodos de engenharia de software; • Processos de verificação (teste); • Processos de validação (aceitação pelos usuários); • Processos de segurança da informação empregados
nos aplicativos; • Processos de aceitação de produtos de terceiros; • Processo de gestão da mudança e da configuração.
A informação deve estar disponível no momento em
que for necessária.
• Disponibilidade de aplicativos; • Disponibilidade da infra-estrutura; • Gerenciamento de incidentes e problemas no
ambiente de produção; • Suporte aos usuários; • Gestão de aplicativos e de ativos de TI; • Processos de gerenciamento de infra-estrutura; • Processos de gerenciamento da contingência; • Gerenciamento de disponibilidade e desempenho.
A informação é atual ou pelo menos a última
disponível.
• Processos de gerenciamento de dados; • Planejamento e gerenciamento da contingência e de
desastres; • Segurança da informação na infra-estrutura.
Os dados e as informações estão corretos.
• Segurança da informação em aplicativos; • Segurança da infra-estrutura de TI; • Teste de software; • Controle da mudança e da modificação; • Gerenciamento de dados; • Gerenciamento de requisitos.
A informação é acessível aos usuários interessados.
• Segurança da informação referente a controle de acessos e privilégios;
• Controle de autorizações. Há um sistema de controle
interno sobre relatórios financeiros.
• Avaliação de riscos de TI; • Gestão da qualidade; • Planos de desastres e recuperação.
Tabela 3.2 – Implicações do SOA para TI Fonte: Adaptado de FERNANDES e ABREU, 2008. p.28
Deste modo a lei Sarbanes-Oxley impacta na Governança de TI no Plano de
Tecnologia da Informação, implantando novos controles (funcionalidades)
necessários em aplicações do legado (aplicações antigas), implantando novas
aplicações, ajustando e melhorando os processos de TI existentes para mitigar os
24
riscos, projetando e implantando novos processos de TI, na ocorrência de prováveis
mudanças na estrutura organizacional de TI em função dos processos ajustados e
também novos, na definição e implantação de novos indicadores de desempenho, e
na monitoração constante dos riscos de TI (FERNANDES & ABREU, 2008, p.29).
3.1.2. Acordo da Basiléia II
Estabelecido pelo Bank for International Settlements (BIS), sediado na cidade
da Basiléia, em 2004, o acordo da Basiléia II estipula requisitos de capital mínimo
para instituições financeiras, em função dos seus riscos de crédito e operacionais.
Ele fixa-se em três pilares e 25 princípios básicos sobre contabilidade e supervisão
bancária.
O primeiro pilar, Capital, estabelece regras e procedimentos para cálculo dos
requisitos de capital, tendo em vista os riscos de crédito e operacionais, de acordo
com a aplicação de abordagens distintas de avaliação e mitigação de riscos. Risco
de crédito é a perda econômica sofrida pela incapacidade voluntária ou involuntária
do tomador do crédito em atender às suas obrigações contratuais no tempo
requerido. No caso dos bancos, a metodologia deve atender tanto a uma transação
individual de crédito como a uma carteira de crédito, ou seja, o portfólio de crédito da
instituição. Risco operacional, por sua vez, é o risco de perdas financeiras diretas ou
indiretas resultantes de processos internos inadequados, de falhas nos processos,
pessoas e sistemas ou mesmo de eventos externos.
O segundo pilar, Supervisão, estabelece regras para que os Bancos Centrais
de cada país executem auditorias nas instituições financeiras, visando avaliar a
aplicação dos métodos de gestão de risco e a avaliação e mitigação de riscos de
crédito e operacionais, assim como a emissão de informações para o mercado
acerca da exposição do risco da instituição.
O terceiro pilar, Transparência e Disciplina de Mercado, estabelece regras
para a comunicação com o mercado, dos requisitos mínimos de capital, face aos
riscos e aos métodos e resultados de avaliações de riscos, conforme estabelecido
pelo primeiro pilar.
As implicações do Acordo da Basiléia II sobre a TI ficam evidentes, já que, com
base em Fernandes & Abreu (2008), a TI é um dos principais elementos do risco
operacional de um banco, juntamente com pessoas e processos de negócio. E como
25
os bancos no Brasil estão em estágio extremamente avançado no que diz respeito à
integração, uso de tecnologias, diversidade de canais e diversidade de produtos, a
questão “risco operacional” de TI é primordial. Assim sendo, o impacto do Acordo da
Basiléia II, no que tange ao risco operacional, abrange praticamente todo o conjunto
de processos de TI e respectivas áreas organizacionais.
3.2. Governança Corporativa
Segundo o Instituto Brasileiro de Governança Corporativa (IBGC), na primeira
metade dos anos 90, em um movimento iniciado principalmente nos Estados Unidos,
acionistas despertaram para a necessidade de novas regras que os protegessem
dos abusos da diretoria executiva das empresas, da inércia de conselhos de
administração inoperantes e das omissões das auditorias externas.
Existem várias definições do conceito de governança corporativa, a norma
ISO/IEC 38500 (2009, p.3) adota a definição de que governança corporativa é: “O
sistema pelo qual as organizações são dirigidas e controladas”, La Porta (apud
GARCIA, 2005, p. 07) diz que "governança corporativa é o conjunto de mecanismos
que protegem os investidores externos da expropriação pelos internos (gestores e
acionistas controladores)”. Enquanto Jensen (apud GARCIA, 2005, p. 08):
[...] governança é a estrutura de controle de alto nível, consistindo dos direitos de decisão do Conselho de Administração e do diretor executivo, dos procedimentos para alterá-los, do tamanho e composição do Conselho de Administração e da compensação e posse de ações dos gestores e conselheiros [...].
De acordo com Garcia (2005) as definições de La Porta e Jensen levam em
conta apenas os interesses do grupo de sócios das empresas, o modelo shareholder
(visão contratualista), que vigora principalmente nos Estados Unidos e no Reino
Unido. Enquanto nos países da Europa Ocidental, existe a visão mais abrangente, o
modelo stakeholders (visão institucionalista), que inclui outros grupos sociais que
também têm interesse na preservação da companhia e que são igualmente afetados
pelas decisões tomadas por seus administradores, tais como: credores em geral,
fornecedores, trabalhadores, consumidores e a comunidade em geral.
O IBGC afirma que, conceitualmente, a governança corporativa surgiu para
superar o "conflito de agência", decorrente da separação entre a propriedade e a
gestão empresarial. Nesta situação, o proprietário (acionista) delega a um agente
26
especializado (executivo) o poder de decisão sobre sua propriedade. No entanto, os
interesses do gestor nem sempre estarão alinhados com os do proprietário,
resultando em um conflito de agência ou conflito agente-principal. Sendo assim, a
preocupação da governança corporativa é criar um conjunto eficiente de
mecanismos, tanto de incentivos quanto de monitoramento, a fim de assegurar que
o comportamento dos executivos esteja sempre alinhado com o interesse dos
acionistas.
A boa governança proporciona aos proprietários (acionistas ou cotistas) a
gestão estratégica de sua empresa e o monitoramento da direção executiva. As
principais ferramentas que asseguram o controle da propriedade sobre a gestão são
o conselho de administração, a auditoria independente e o conselho fiscal.
A organização que opta pelas boas práticas de governança corporativa adota
como linhas mestras a transparência, a prestação de contas, a equidade e a
responsabilidade corporativa. Para tanto, o conselho de administração deve exercer
seu papel, estabelecendo estratégias para a empresa, elegendo e destituindo o
principal executivo, fiscalizando e avaliando o desempenho da gestão e escolhendo
a auditoria independente.
A fiscalização e avaliação do desempenho da gestão são feitas com base nas
informações geradas dos dados da organização e/ou da rede em que ela atua.
Informações estas geradas e manipuladas, em sua maioria, digitalmente. Para gerar
informações úteis, confiáveis e torná-las ágeis e disponíveis para os atores que
necessitam delas, existem diversos sistemas e processos nas organizações e no
mercado. Porém, nem sempre há um equilíbrio entre o que as tecnologias de
informação geram e o que as organizações querem ou necessitam.
É neste ponto que entra a governança de TI, para alinhar o uso de TI aos
objetivos de negócios da organização e utilizar os recursos de TI de forma eficiente.
A governança de TI se tornou fator chave para a governança corporativa, já que por
meio de uma boa governança de TI é possível obter melhores condições para ter
informações confiáveis, ágeis e disponíveis, que são de grande importância para
uma eficiente fiscalização e avaliação do desempenho da organização, bases de
uma boa governança corporativa.
27
Para compreender melhor os aspectos que envolvem a Governança de TI,
devemos entender seus conceitos e atributos. Para isso o próximo item trata da
Governança de TI mais detalhadamente.
3.3. Governança de TI e Norma ISO 38500
Para entendermos o que é governança de TI, é válido analisarmos três
definições. A primeira definição é dada por Weill & Ross (apud FERNANDES &
ABREU, 2008, p. 14), “Consiste em um ferramental para a especificação dos direitos
de decisão e das responsabilidades, visando encorajar comportamentos desejáveis
no uso da TI”. A segunda definição é dada por Peres (apud CARVALHO, 2007, p.x)
que diz:
[...]Governança de TI é um conjunto de práticas, padrões e relacionamentos estruturados, assumidos por executivos, gestores, técnicos e usuários de TI de uma organização, com a finalidade de garantir controles efetivos, ampliar os processos de segurança, minimizar os riscos, ampliar o desempenho, otimizar a aplicação de recursos, reduzir os custos, suportar as melhores decisões e conseqüentemente alinhar TI aos negócios [...].
E a terceira definição é dada pela ISO/IEC 38500 (2009, p.3) que diz que a
governança de TI:
[...] é o sistema pelo qual o uso, atual e futuro, da TI é dirigido e controlado, significando avaliar e direcionar o uso da TI para dar suporte à organização e monitorar seu uso para realizar os planos, incluindo estratégias e políticas de uso da TI dentro da organização [...].
Além dessas definições, há um atributo que deve ser levado em conta no
entendimento da Governança de TI, de acordo com o IT Governance Institute (apud
FERNANDES & ABREU, 2008, p. 13):
[...] A governança é de responsabilidade da alta administração (incluindo diretores e executivos), na liderança, nas estruturas organizacionais e nos processos que garantem que a TI da empresa sustente e estenda as estratégias e objetivos da organização [...].
Com base nessas três definições, e no atributo citado, podemos dizer que a
governança de TI busca compartilhar as decisões de TI entre os dirigentes da
organização, além de estabelecer regras, formas de organização e os processos
que nortearão o uso da tecnologia da informação pelos usuários, determinando
como a TI deve prover serviços a empresa.
28
Diferentemente do que muitos gestores pensam, a governança de TI não é
apenas a implantação de modelos de melhores práticas, como CobiT e ITIL. Esses
modelos são ferramentas que auxiliam a organização a atingir os reais objetivos da
governança de TI, que segundo Fernandes & Abreu (2008, p.14) são:
a) Garantir o alinhamento da TI ao negócio (estratégias e objetivos),
tanto no que diz respeito a aplicações como à infra-estrutura de
serviços de TI;
b) Garantir a continuidade do negócio contra interrupções e falhas
(manter e gerir as aplicações e a infra-estrutura de serviços);
c) Garantir o alinhamento da TI a marcos de regulação externos como
a Sarbanes-Oxley (para empresas que possuem ações, títulos ou
papéis sendo negociados em bolsas de valores norte-americanas),
Basiléia II (no caso de bancos) e outras normas e resoluções
aplicáveis dependendo da organização.
Para compreender os aspectos que envolvem a Governança de TI, conforme
discutido anteriormente, faz-se necessário entender os modelos que procuram
definir as melhores práticas a serem adotas pelas empresas. Para isso os próximos
itens tratam, em ordem, da norma ISO/IEC 38500, do modelo CobiT e da biblioteca
ITIL.
3.4. Entidades de Padronização
Antes de abordar a norma ISO/IEC 38500, devemos conhecer as entidades
que estão ligadas a ela, a ISO divulgou a norma ISO/IEC 38500 em maio de 2008, e
a sua representante no Brasil, a ABNT, regulamentou a NBR ISO/IEC 38500 em
maio de 2009.
3.4.1. ISO
A ISO (International Organization for Standardization), ou Organização
Internacional para Padronização, é a maior desenvolvedora e publicadora de normas
internacionais do mundo. É uma entidade que atualmente congrega os institutos de
padronização/normalização de 162 países, um membro por país. Fundada em 23 de
Fevereiro de 1947, em Genebra, na Suíça, a ISO aprova normas internacionais em
todos os campos técnicos, exceto na electricidade e eletrônica, cuja
29
responsabilidade é da International Electrotechnical Commission (IEC), fundada
em 1906.
A ISO é uma organização não governamental que forma uma ponte entre o
setor público e privado. De um lado, vários de seus membros fazem parte da
estrutura governamental dos países no qual atua, ou são dirigidos por seus
governos. Por outro lado, outros membros têm suas raízes unicamente no setor
privado, tendo sido formados pelas parcerias de associações das indústrias.
Portanto, a ISO permite um consenso entre os setores, alcançando soluções que
atendam às necessidades dos negócios e as necessidades mais amplas da
sociedade.
3.4.2. ABNT
Fundada em 1940, a Associação Brasileira de Normas Técnicas (ABNT) é o
órgão responsável pela normalização técnica no país, fornecendo a base necessária
ao desenvolvimento tecnológico brasileiro. É uma entidade privada, sem fins
lucrativos, reconhecida como único Foro Nacional de Normalização através da
Resolução n.º 07 do CONMETRO, de 24.08.1992.
É membro fundador da ISO (International Organization for Standardization),
da COPANT (Comissão Panamericana de Normas Técnicas) e da AMN (Associação
Mercosul de Normalização). A ABNT é a única e exclusiva representante no Brasil
das seguintes entidades internacionais: ISO (International Organization for
Standardization), IEC (International Electrotechnical Comission), e das entidades de
normalização regional COPANT (Comissão Panamericana de Normas Técnicas) e a
AMN (Associação Mercosul de Normalização).
3.5. Norma ISO/IEC 38500
A norma brasileira ABNT NBR ISO/IEC 38500:2009 de governança
corporativa de TI fornece uma estrutura de princípios relacionados à avaliação,
gerenciamento e monitoramento do uso de TI nas organizações, e foi baseada no
padrão australiano AS8015. Ela define a estrutura e o modelo de governança de TI
que serão adotados neste trabalho. A importância desta norma está ligada ao fato
de que a maioria das organizações utiliza a TI como uma ferramenta fundamental do
30
negócio, e poucas podem realmente funcionar eficazmente sem ela. A TI é também
um fator importante nos futuros planos de negócio de muitas organizações.
As despesas com TI podem representar uma proporção significativa dos
gastos de recursos financeiros e humanos de uma organização. No entanto, o
retorno desse investimento não é totalmente obtido com freqüência e os efeitos
adversos podem ser significativos para as organizações.
Embora esta norma seja destinada principalmente à diretoria, que por sua vez
pode decidir que certas ações sejam tomadas pela administração da organização,
ela permite também que, em algumas organizações (geralmente menores), os
membros da diretoria possam também ocupar papéis importantes no gerenciamento.
Dessa forma, garante que a esta norma seja aplicável em todas as organizações,
desde as menores até as maiores, independentemente da área de atuação, do
propósito e da estrutura da organização.
3.5.1. Estrutura de Governança Corporativa de TI
A norma ISO/IEC 38500 estabelece seis princípios de boa governança de TI,
aplicáveis à maioria das organizações. Os princípios informam o comportamento
preferido para orientar a tomada de decisão. Os princípios descrevem o que deve
acontecer, mas não descrevem quando, como ou por quem seriam implementados.
Pois estes aspectos dependem da natureza da organização que está
implementando os princípios.
O primeiro princípio é o de responsabilidade (ABNT NBR ISO/IEC 38500,
2009, p.6), que propõe que os indivíduos e grupos dentro da organização
compreendam e aceitem suas responsabilidades com respeito ao fornecimento e
demanda de TI.
O segundo princípio é o de estratégia (ABNT NBR ISO/IEC 38500, 2009, p.6),
que leva em conta as capacidades atuais e futuras de TI. Os planos estratégicos
para TI devem satisfazer as necessidades atuais e contínuas da estratégia de
negócio da organização.
O terceiro princípio é o de aquisição (ABNT NBR ISO/IEC 38500, 2009, p.6),
onde as aquisições devem ser feitas por razões válidas, com base em análise
apropriada e contínua, com tomada de decisão clara e transparente. Existindo um
31
equilíbrio apropriado entre benefícios, oportunidades, custos e riscos de curto e
longo prazo.
O quarto princípio é o de desempenho (ABNT NBR ISO/IEC 38500, 2009,
p.6), onde a TI deve estar adequada ao propósito de apoiar a organização,
fornecendo serviços, níveis de serviços e qualidade de serviço, necessários para
atender os requisitos atuais e futuros do negócio.
O quinto princípio é o de conformidade (ABNT NBR ISO/IEC 38500, 2009,
p.6), onde a TI deve cumprir toda a legislação e regulamentos obrigatórios. As
políticas e práticas devem ser claramente definidas, implementadas e fiscalizadas.
E o sexto princípio é o de comportamento humano (ABNT NBR ISO/IEC
38500, 2009, p.6), onde as políticas, práticas e decisões de TI devem mostrar
respeito pelo comportamento humano, incluindo as necessidades atuais e futuras de
todas as pessoas envolvidas no processo.
Cada princípio tem três tarefas, avaliar, dirigir e monitorar, essas três tarefas
são a base do modelo de governança de TI que é proposto pela norma e que será
abordado no próximo item.
3.5.2. Modelo de Governança de TI
O modelo de governança de TI proposto pela norma ISO/IEC 38500, consiste
em três tarefas principais, avaliar o uso atual e futuro da TI (Avaliar), orientar a
preparação e a implementação de planos e políticas para assegurar que o uso da TI
atenda aos objetivos do negócio (Dirigir), e monitorar o cumprimento das políticas e
o desenvolvimento em relação aos planos (Monitorar).
Na tarefa de “Avaliar”, os dirigentes devem examinar e avaliar,
continuamente, as necessidades de negócio e o uso atual e futuro da TI, incluindo
estratégias, propostas e arranjos de fornecimento (interno externo ou ambos).
Devem também considerar as pressões externas e internas que influenciam o
negócio, tais como mudanças tecnológicas, tendências econômicas e sociais, e
influências políticas.
Na tarefa “Dirigir” os dirigentes devem designar responsabilidades e exigir a
preparação e implementação dos planos e políticas. Os planos devem estabelecer a
direção dos investimentos nos projetos de TI e operações de TI, e um
comportamento sólido no uso da TI. Convém também que encorajem uma cultura de
32
boa governança de TI, exigindo que os gerentes forneçam informações em tempo
adequado, cumprindo as orientações e em conformidade com os seis princípios da
boa governança de TI.
E na tarefa de “Monitorar”, convém que os dirigentes monitorem através de
sistemas de mensuração apropriados. Certificando que o desempenho está de
acordo com os planos, principalmente no que diz respeito aos objetivos do negócio,
e que a TI está em conformidade com as obrigações externas (regulamentares,
legislativas, legais, contratuais) e práticas internas de trabalho. A figura 3.1
apresenta o modelo de governança de TI proposto pela norma ISO/IEC 38500.
Figura 3.1 – Modelo para Governança Corporativa de TI
Fonte: Adaptado de ABNT NBR ISO/IEC 38500, 2009, p.7
3.5.3. Guia para Governança de TI da norma ISO/IEC 38500
Este guia da norma fornece um ponto de partida para a discussão sobre as
responsabilidades dos dirigentes com a governança de TI. Sugerindo práticas
recomendadas para a governança de TI.
Cada organização é individualmente responsável por identificar as ações
específicas necessárias para implementar os princípios, levando em consideração a
natureza da organização, a análise apropriada dos riscos e as oportunidades no uso
da TI.
33
1. Princípio de Responsabilidade (ABNT NBR ISO/IEC 38500, 2009, p.9)
a. Avaliar: Conforme a Os dirigentes devem avaliar as opções de
delegação de responsabilidades com respeito ao uso atual e
futuro da TI na organização, procurando garantir o uso e entrega
eficaz, eficiente e aceitável da TI no apoio dos objetivos atuais e
futuros do negócio. Assim como avaliar a competência daqueles
a quem for delegada a responsabilidade para a tomada de
decisões em relação a TI.
b. Dirigir: Os dirigentes devem exigir que os planos sejam
cumpridos de acordo com as responsabilidades delegadas para
a TI, e que as informações que eles necessitam sejam
entregues para atender às suas responsabilidade e
compromissos.
c. Monitorar: Os dirigentes devem monitorar para que os
mecanismos apropriados de governança de TI sejam
estabelecidos, para aqueles que receberam responsabilidades
reconheçam e compreendam suas responsabilidades. Também
deve ser monitorado o desempenho daqueles a quem foram
delegadas as responsabilidades pela governança de TI.
2. Princípio de Estratégia (ABNT NBR ISO/IEC 38500, 2009, p.11)
a. Avaliar: Os dirigentes devem avaliar os desenvolvimentos de TI
e os processos dos negócios para garantir que a TI apoiará as
necessidades futuras do negócio. Também devem considerar os
planos e políticas, avaliando as atividades de TI para assegurar
que estejam alinhadas com os objetivos da organização com
relação às mudanças circunstanciais que levem em
consideração o uso de melhores práticas e satisfaçam outros
requisitos das partes interessadas. E assegurar que a utilização
de TI seja submetida à análise e avaliações de risco de acordo
com as devidas normas nacionais e internacionais.
b. Dirigir: Os dirigentes devem liderar a preparação e o uso de
planos e políticas que assegurem que a organização seja
beneficiada pelos desenvolvimentos de TI. Devem também
34
encorajar a apresentação de propostas para usos inovadores da
TI, que permitam que a organização possa responder a novas
oportunidades e desafios, empreendendo novos negócios ou
melhores processos.
c. Monitorar: Os dirigentes devem monitorar o progresso das
propostas de TI aprovadas para garantir que atinjam seus
objetivos dentro dos prazos exigidos, utilizando os recursos
disponibilizados, assegurando que os benefícios pretendidos
estão sendo alcançados.
3. Princípio de Aquisição (ABNT NBR ISO/IEC 38500, 2009, p.12)
a. Avaliar: Os dirigentes devem avaliar as opções para o
fornecimento da TI de forma a atingir os objetivos das propostas
aprovadas, buscando o equilíbrio entre os riscos e o retorno nos
investimentos propostos.
b. Dirigir: Os dirigentes devem orientar as aquisições para que os
ativos de TI (sistemas e infra-estrutura) sejam adquiridos de
forma apropriada, incluindo a preparação de documentação
adequada que assegure o fornecimento de capacidades
necessárias, certificando-se que os acordos de fornecimento
(tanto interno quanto externo) darão suporte às necessidades da
organização.
c. Monitorar: Os dirigentes devem monitorar os investimentos de TI
para assegurar que eles forneçam as capacidades requeridas,
assim como monitorar até que ponto a organização e os
fornecedores mantêm uma compreensão mútua das intenções
da organização ao fazer a aquisição.
4. Princípio de Desempenho (ABNT NBR ISO/IEC 38500, 2009, p.13)
a. Avaliar: Os dirigentes devem avaliar as proposições dos
gerentes para assegurar que a TI apoiará os processos do
negócio com a capacidade e competência necessárias,
prezando pela continuidade da operação dos negócios e o
tratamento dos riscos associados com o uso da TI. Devem
garantir tomadas de decisões de forma eficaz e rápida, e avaliar
35
também a eficácia e o desempenho do sistema de governança
de TI da organização de forma regular.
b. Dirigir: Os dirigentes devem assegurar que recursos suficientes
sejam alocados de forma a garantir que a TI atenda às
necessidades da organização, de acordo com as prioridades
acordadas e restrições orçamentárias. E quando em questões
comerciais, os dirigentes devem orientar os responsáveis pela TI
sobre a necessidade de manter os dados atualizados e
protegidos contra perda ou uso indevido.
c. Monitorar: Os dirigentes devem monitorar até que ponto a TI dá
suporte ao negócio, assim como até que ponto os recursos e
orçamento alocados foram priorizados de acordo com os
objetivos de negócio e se as políticas estão sendo seguidas
corretamente.
5. Princípio de Conformidade (ABNT NBR ISO/IEC 38500, 2009, p.14)
a. Avaliar: Os dirigentes devem avaliar regularmente até que ponto
a TI cumpre com as obrigações (regulamentares, legislativas,
legais, contratuais), políticas internas, normas e melhores
práticas profissionais, assim como a conformidade interna da
organização com seu sistema de governança de TI.
b. Dirigir: Os dirigentes devem exigir que aqueles responsáveis por
estabelecer mecanismos rotineiros e regulares garantam que o
uso da TI está em conformidade com exigências legais
(regulamentares, legislativas, jurídicas, contratuais) e com as
normas e melhores práticas. Exigindo também o
estabelecimento e cumprimento de políticas para permitir que a
organização cumpra com suas obrigações internas no uso de TI,
que os profissionais de TI ajam de acordo com as melhores
práticas de comportamento e desenvolvimento profissional, e
cobrando ética em todas as ações relacionadas com TI.
c. Monitorar: Os dirigentes devem monitorar o cumprimento e
conformidade da TI por meio de relatos apropriados e práticas
de auditoria, assegurando que análises críticas ocorram dentro
36
dos prazos e sejam realizadas de forma completa e apropriadas,
para a avaliação do grau de satisfação do negócio.
6. Princípio de Comportamento Humano (ABNT NBR ISO/IEC 38500,
2009, p.15)
a. Avaliar: Os dirigentes devem avaliar as atividades de TI para
garantir que os comportamentos humanos sejam identificados e
apropriadamente considerados.
b. Dirigir: Os dirigentes devem exigir que as atividades de TI sejam
compatíveis com as diferenças do comportamento humano. Os
riscos, oportunidades, constatações e preocupações devem ser
identificados e relatados por qualquer pessoa a qualquer
momento. Esse riscos devem ser gerenciados de acordo com as
políticas e procedimentos publicados e levados ao
conhecimento dos respectivos responsáveis pelas tomadas de
decisão.
c. Monitorar: Os dirigentes devem monitorar as atividades de TI
para garantir que os comportamentos humanos identificados
permaneçam relevantes e que lhes sejam dadas a devida
atenção. As práticas de trabalho devem ser monitorada visando
a garantia de que são consistentes com o uso apropriado da TI.
3.6. CobiT
O CobiT (Control Objectives for Information and related Technology) foi criado
em 1994 pela ISACF (Information Systems Audit and Control Foundation), membro
ligado à ISACA (Information Systems Audit and Control Association), com base em
seu conjunto inicial de objetivos de controle, e vem evoluindo através da
incorporação de padrões internacionais técnicos, profissionais, regulatórios e
específicos para processos de TI.
3.6.1. Histórico
Sua 2ª versão foi publicada em 1998, contendo uma revisão detalhada nos
objetivos de controle de alto nível, e mais um conjunto de ferramentas e padrões
para implementação. A 3ª edição foi publicada em 2000 pelo IT Governance Institute
37
(ITGI), órgão criado pela ISACA com o objetivo de promover um melhor
entendimento e adoção dos princípios de governança de TI.
Em 2005 o modelo evoluiu novamente, para sua versão 4.0, através de
práticas e padrões mais maduros (alinhados a modelos como COSO, ITIL e ISO/IEC
17799) e em conformidade com as regulamentações, com foco mais acentuado na
governança de TI, nos níveis mais elevados e na ampliação de sua abrangência
para um público mais heterogêneo (gestores, técnicos, especialistas e auditores de
TI).
Em 2007 houve uma atualização incremental (versão 4.1), cujo foco foi
orientado a uma maior eficácia dos objetivos de controle e dos processos de
verificação e divulgação de resultados. Houve modificação nas definições dos
objetivos de controle, para serem caracterizados como diretrizes de prática de
gestão, mais orientadas à ação.
3.6.2. Objetivos do Modelo
Segundo os princípios do ITGI, as informações corporativas e a tecnologia
necessária para suportá-la não podem ser tratadas isoladamente, devendo a TI ser
considerada uma parte integrante da estratégia corporativa, em vez de
simplesmente um meio para torná-la viável. A importância da TI dentro da
organização é ilustrada na própria definição de governança de TI presente na versão
4.1 do CobiT:
[...] Governança de TI é a responsabilidade dos executivos e do corpo de
diretores, e consiste na liderança, nas estruturas organizacionais e nos
processos que garantem que a tecnologia da informação da empresa
sustente e estenda as estratégias e objetivos da organização [...]. (COBIT
4.1 EXECUTIVE SUMARY FRAMEWORK, 2007, p.5).
O principal objetivo das práticas do CobiT é contribuir para o sucesso da
entrega de produtos e serviços de TI, a partir da perspectiva das necessidades do
negócio, com um foco mais acentuado no controle e na execução. De acordo com o
ITGI, nesse sentido, o CobiT:
a) Estabelece relacionamentos com os requisitos do negócio;
b) Organiza as atividades de TI em um modelo de processos genérico;
38
c) Identifica os principais recursos de TI, nos quais deve haver mais
investimento;
d) Define os objetivos de controle que devem ser considerados para a
gestão.
O modelo CobiT é genérico o bastante para representar todos os processos
normalmente encontrados nas funções da TI, e compreensível tanto para a
operação como para os gerentes de negócios, pois cria uma ponte entre o que o
pessoal operacional precisa executar e a visão que os executivos desejam ter para
“governar”.
Para o CobiT, os pilares fundamentais que sustentam o núcleo da governança
de TI podem ser representados por cinco áreas, cada qual com seu respectivo foco.
Abaixo, a figura 3.2 ilustra as áreas-foco do CobiT.
Figura 3.2 – Áreas-Foco da Governança de TI, na visão do CobiT Fonte: Adaptado de COBIT 4.1 EXECUTIVE SUMARY FRAMEWORK, 2007, p.6
A figura 3.2 acima, apresenta as áreas foco da Governança de TI segundo o
CobiT, a área de “Alinhamento Estratégico” tem foco na garantia da ligação entre os
planos do negócio e de TI, manutenção e validação da proposição de valor da TI, e
alinhamento da operações da empresa com as de TI (COBIT 4.1, 2007, p.6).
A área de “Agregação de Valor” foca na execução da proposição de valor
através de tempo, assegurando que a TI entregue os benefícios prometidos de
39
acordo com a estratégia, concentrando-se em otimizar custos e em comprovar o
valor intrínseco da TI (COBIT 4.1, 2007, p.6).
O foco da área de “Gerenciamento de Recursos” é a otimização dos
investimentos e da gestão adequada dos recursos críticos de TI (aplicações,
informações, infra-estrutura e pessoas), essenciais para fornecer os subsídios de
que a empresa necessita para cumprir seus objetivos (COBIT 4.1, 2007, p.6).
A área de “Gerenciamento de Riscos” foca no conhecimento dos riscos por
parte da alta direção, entendimento claro dos requisitos de compliance e das
tendências da empresa para os riscos, transparência acerca dos tipos significativos
para a empresa e incorporação de responsabilidades para o gerenciamento dos
riscos na organização (COBIT 4.1, 2007, p.6).
E o foco da área “Medição de Desempenho” é no acompanhamento e
monitoração da implementação da estratégia, do andamento dos projetos, da
utilização de recursos, do desempenho dos processos e da entrega dos serviços,
utilizando, além das medições convencionais, indicadores de desempenho (como,
por exemplo, balanced scorecards) que traduzem a estratégia em ações para atingir
objetivos mensuráveis (COBIT 4.1, 2007, p.6).
3.6.3. Estrutura do Modelo
A estrutura do CobiT foi idealizada de forma a atender às necessidades de
controle da organização relacionadas à governança de TI, tendo como principais
características o foco nos requisitos de negócio, a orientação para uma abordagem
de processos, a utilização extensiva de mecanismos de controle, o direcionamento
para a análise das medições e indicadores de desempenho obtidos ao longo do
tempo. Essas quatro características principais da estrutura do CobiT serão
abordadas com mais detalhes abaixo.
3.6.3.1. Foco no negócio
Segundo o CobiT 4.1 (2007, p.10), para fornecer a informação de que a
empresa necessita para atingir suas metas de negócio, é necessário associá-las às
suas metas de TI, assim como gerenciar e controlar os recursos de TI, utilizando um
conjunto estruturado de processos para garantir a entrega dos serviços de TI
requeridos.
40
O CobiT 4.1 (2007, p.11) pressupõe ainda que as informações desejadas
devem obedecer a alguns critérios de controle, os requisitos de negócio, de forma
que sua utilização seja proveitosa para os objetivos de negócio. Tais critérios
compreendem eficiência, eficácia, confidencialidade, integridade, disponibilidade,
conformidade com regulações e confiabilidade.
Os serviços que fornecem as informações necessárias para que a
organização atinja seus objetivos são disponibilizados através de um conjunto de
processos de TI que utilizam recursos de TI, ou seja, pessoas (habilidades,
conhecimentos, índices de produtividade) e infra-estrutura (hardware, sistemas
operacionais, bancos de dados, redes) para executar aplicações automatizadas e
procedimentos manuais que manipulam e processam as informações de negócio. O
investimento em tais recursos visa criar capacitações técnicas (sistemas, entre
outros) para suportar as melhorias nas funções de negócio, que serão refletidas nos
resultados estratégicos da organização. A figura 3.3 ilustra a arquitetura empresarial
para TI idealizada pelo princípio básico do CobiT.
Figura 3.3 – Princípio básico do CobiT Fonte: Adaptado de COBIT 4.1 EXECUTIVE SUMARY FRAMEWORK, 2007, p.10
3.6.3.2. Orientação para processos
O CobiT 4.1 (2007, p.12) fornece um modelo padrão de referência e uma
linguagem comum, permitindo que todos em uma organização sejam capazes de
distinguir e gerenciar atividades no âmbito da TI. Neste sentido, utilizando como
41
matriz o ciclo tradicional de melhoria contínua (planejar, construir, executar,
monitorar), o CobiT identificou 34 processos de TI e os distribuiu entre quatro
domínios, que espelham os agrupamentos usuais existentes em uma organização
padrão de TI, a figura 3.4 ilustra estes domínios.
Figura 3.4 – Domínios do CobiT no Framework
Fonte: Adaptado de COBIT 4.1 EXECUTIVE SUMARY FRAMEWORK, 2007, p.26
O domínio “Planejamento e Organização” (a sigla “PO” vem do inglês Plan
and Organise) tem abrangência estratégica e tática, e identifica as formas através
das quais a TI pode contribuir melhor para o atendimento dos objetivos de negócio,
envolvendo planejamento, comunicação e gerenciamento em diversas perspectivas
(COBIT 4.1, 2007, p.13).
O domínio “Aquisição e Implementação” (a sigla “AI” vem do inglês Acquire
and Implement) cobre a identificação, desenvolvimento e/ou aquisição de soluções
de TI para executar a estratégia de TI estabelecida, assim como a sua
implementação e integração junto aos processos de negócio. Mudanças e
42
manutenções em sistemas existentes também estão cobertas por este domínio, para
garantir a continuidade dos respectivos ciclos de vida (COBIT 4.1, 2007, p.13).
O domínio “Entrega e Suporte” (a sigla “DS” vem do inglês Delivery and
Support) cobre a entrega propriamente dita dos serviços requeridos, incluindo
gerenciamento de segurança e continuidade, suporte aos serviços para os usuários,
gestão dos dados e da infra-estrutura operacional (COBIT 4.1, 2007, p.13).
O domínio “Monitoração e Avaliação” (a sigla “ME” vem do inglês Monitor and
Evaluate) visa assegurar a qualidade dos processos de TI, assim como a sua
governança e conformidade com os objetivos de controle, através de mecanismos
regulares de acompanhamento, monitoração de controles internos e de avaliações
internas e externas (COBIT 4.1, 2007, p.13).
As tabelas a seguir (3.3, 3.4, 3.5, 3.6) mostram as questões gerenciais típicas
abordadas, e os processos de TI relativos a cada um dos domínios do CobiT.
Tabela 3.3 – Questões e processos do domínio “PO” do CobiT Fonte: Adaptado de COBIT 4.1 EXECUTIVE SUMARY FRAMEWORK, 2007, p.13 e p.23
Questões Gerenciais Processos de TI
PO
(P
lan
ejam
ento
e O
rgan
izaç
ão)
• A estratégia do negócio e a TI estão alinhadas?
• A empresa está otimizando a utilização dos seus recursos?
• Todos na organização compreendem as metas de TI?
• Os riscos relacionados à TI estão compreendidos e sendo gerenciados?
• A qualidade dos sistemas de TI está adequada às necessidades do negócio?
• PO-1 � Definir um plano estratégico para TI;
• PO-2 � Definir a arquitetura da informação;
• PO-3 � Determinar a direção tecnológica;
• PO-4 �Definir a organização de TI, os seus processos e relacionamentos;
• PO-5 � Gerenciar o investimento em TI;
• PO-6 � Comunicar objetivos e direcionamentos gerenciais;
• PO-7 � Gerenciar os recursos humanos;
• PO-8 � Gerenciar a qualidade; • PO-9 � Avaliar e gerenciar riscos
de TI; • PO-10 � Gerenciar projetos.
43
Questões Gerenciais Processos de TI A
I (A
qu
isiç
ão e
Imp
lem
enta
ção
)
• Os novos projetos conseguem entregar soluções que atendem as necessidades do negócio?
• Os novos projetos conseguem ser entregues dentro do prazo e orçamento planejados?
• Os novos sistemas funcionam adequadamente depois de implementados?
• As mudanças são conduzidas com baixo impacto nas operações de negócio correntes?
• AI-1 � Identificar soluções automatizadas;
• AI-2 � Adquirir e manter software aplicativo;
• AI-3 � Adquirir e manter infra-estrutura tecnológica;
• AI-4 � Viabilizar operação e utilização;
• AI-5 � Adquirir recursos de TI; • AI-6 �Gerenciar mudanças; • AI-7 � Instalar e aprovar
soluções e mudanças.
Tabela 3.4 – Questões e processos do domínio “AI” do CobiT Fonte: Adaptado de COBIT 4.1 EXECUTIVE SUMARY FRAMEWORK, 2007, p.13 e p.23
Questões Gerenciais Processos de TI
DS
(E
ntr
ega
e S
up
ort
e)
• Os serviços de TI estão sendo entregues com alinhamento às propriedades do negócio?
• Os custos de TI estão otimizados?
• As equipes de trabalho são capazes de utilizar os sistemas de TI com segurança e produtividade?
• Atributos como confidencialidade, integridade e disponibilidade estão implementados de forma adequada?
• DS-1 � Definir e gerenciar níveis de serviço;
• DS-2 � Gerenciar serviços terceirizados;
• DS-3 � Gerenciar desempenho e capacidade;
• DS-4 � Garantir a continuidade dos serviços;
• DS-5 � Garantir a segurança dos sistemas;
• DS-6 � Identificar e alocar custos;
• DS-7 � Educar e treinar usuários;
• DS-8 � Gerenciar central de serviços e incidentes;
• DS-9 � Gerenciar a configuração;
• DS-10 � Gerenciar problemas; • DS-11 � Gerenciar dados; • DS-12 � Gerenciar o ambiente
físico; • DS-13 � Gerenciar operações.
Tabela 3.5 – Questões e processos do domínio “DS” do CobiT Fonte: Adaptado de COBIT 4.1 EXECUTIVE SUMARY FRAMEWORK, 2007, p.13 e p.23
44
Questões Gerenciais Processos de TI M
E (
Mo
nit
ora
ção
e A
valia
ção
)
• As medições de desempenho da TI detectam problemas antes que seja tarde demais?
• Há garantias de que os controles internos sejam eficientes e eficazes?
• É possível associar diretamente o desempenho de TI às metas de negócio estabelecidas anteriormente?
• Existem controles para confidencialidade e disponibilidade adequados para garantir a segurança da informação?
• ME-1 � Monitorar e avaliar o desempenho da TI;
• ME-2 � Monitorar e avaliar os controles internos;
• ME-3 � Assegurar conformidade com requisitos externos;
• ME-4 � Fornecer governança para TI.
Tabela 3.6 – Questões e processos do domínio “ME” do CobiT Fonte: Adaptado de COBIT 4.1 EXECUTIVE SUMARY FRAMEWORK, 2007, p.13 e p.23
Visto os domínios e processos do CobiT, abordaremos no próximo item a
forma pela qual o CobiT mantém o controle de seus processos, que é através do
controle dos objetivos.
3.6.3.3. Controle através de objetivos
O CobiT define controle como:
[...] o conjunto de políticas, procedimentos, práticas e estruturas
organizacionais desenvolvidas para dar uma garantia razoável de que os
objetivos de negócio serão atingidos e de que os eventos indesejáveis
serão prevenidos ou mesmo detectados e corrigidos [...]. (COBIT 4.1
EXECUTIVE SUMARY FRAMEWORK, 2007, p.13).
Um objetivo de controle define um resultado desejado ou propósito a ser
atingido através da implementação de procedimentos de controle em uma atividade
de TI específica. O CobiT sustenta ainda que os seus objetivos de controle
constituem os requisitos mínimos para que se possam controlar os processos de TI
de forma eficaz.
A dinâmica de controle é bastante trivial, as informações de controle extraídas
da operação de cada processo de TI são comparadas aos objetivos de controle
45
(assim como às normas e padrões vigentes), e ações corretivas/preventivas são
empreendidas para a melhoria do processo.
Cada processo de TI do CobiT tem uma descrição de processo e vários
objetivos de controle detalhados. Há requisitos de controle genéricos, aplicáveis a
todos os processos, eles são identificados pela sigla PC seguido do número de
controle. Os requisitos de controle genéricos devem ser considerados junto com os
processos de TI definidos pelo CobiT, para que se possa ter uma visão completa
dos requisitos de controle. Segue abaixo as descrições dos requisitos genéricos
segundo o CobiT 4.1 (2007, p.14):
a) PC1 – Processo de Metas e Objetivos: Define e divulga as metas e
objetivos específicos para cada processo (mensuráveis, factíveis,
realistas, orientados a resultados, eficientes e aderentes aos objetivos
do negócio);
b) PC2 – Processo de “Responsabilidade”: Estabelece um “dono” para o
processo, com regras e responsabilidades claras (criação, interação
com outros processos, resultados finais, medição de desempenho,
identificação de oportunidades de melhoria) para seu “dono”;
c) PC3 – Processo de Repetição: Projeta e estabelece os processos de
TI chaves que produz resultados esperados e consistentes. Provê uma
lógica mas flexível e escalável seqüência de atividades que irão nortear
para os resultados desejáveis e tornar ágil o suficiente para lidar com
exceções e emergências;
d) PC4 – Papéis e Responsabilidades: Define as atividades chaves e as
entregas finais dos processos. Comunicando sem ambigüidades
papéis e responsabilidades para uma execução efetiva e eficiente das
atividades e de suas documentações como previsto nas entregas finais
dos processos;
e) PC5 – Política, Planos e Procedimentos: Define e comunica como
todas as políticas, planos e procedimentos que conduzem os
processos de TI são documentados, revisados, feitos manutenção,
aprovados, armazenados, comunicados e usados para treino. Designa
responsabilidades para cada uma dessas atividades e, em seu tempo,
revisa quais estão sendo executados corretamente. E assegura quais
46
políticas, planos e procedimentos são acessíveis, corretos, entendíveis
e atuais;
f) PC6 – Processo de Melhoria de Performance: Identifica e aplica
métricas que provê compreensão dos resultados e desempenhos dos
processos. Estabelece alvos que refletem nas metas dos processos e
nos indicadores de performance que possibilita a realização das metas
dos processos.
3.6.3.4. Direcionamento para medições
Um dos maiores desafios das empresas é visualizar o nível de profundidade
que deve ser adotado pelos mecanismos de controle e medições de desempenho.
As empresas devem medir a situação atual, principalmente nos aspectos onde
alguma ação de melhoria é necessária, e monitorar estas ações de forma
sistemática, e, para decidir qual é o ponto certo, deve-se analisar a relação custo-
benefício do controle. A abordagem do CobiT para essas questões compreende:
a) Modelos de Maturidade: Para cada processo de TI, é estabelecido um
modelo de maturidade baseado em níveis (derivado do SW-CMM,
Capability Maturity Model para projetos de software, do Software
Engineering Institute), através do qual uma organização poderá ser
avaliada como:
I. Nível 0 (Inexistente): Processos de gestão não são aplicados;
II. Nível 1 (Inicial / Ad Hoc): Processos são esporádicos e
desorganizados, com abordagens de gestão aplicadas caso a
caso;
III. Nível 2 (Repetitivo mas Intuitivo): Processos seguem um padrão
de regularidade, com alta dependência do conhecimento dos
indivíduos;
IV. Nível 3 (Definido): Processos são padronizados, documentados
e comunicados;
V. Nível 4 (Gerenciado e Mensurável): Processos são monitorados
e medidos quanto à conformidade com os procedimentos, e
ações são tomadas quando os resultados não são efetivos;
47
VI. Nível 5 (Otimizado): Boas práticas são seguidas e
automatizadas, com base em resultados de melhorias contínuas
e de ações de modelagem de maturidade junto a outras
empresas.
Através destes modelos de maturidade, a gerência tem condições de mapear
a situação atual da organização, comparar com a situação das melhores
organizações do segmento (benchmarking), comparar com padrões internacionais e
estabelecer e monitorar passo a passo as melhorias dos processos rumo à
estratégia da organização.
a) Metas e Medições de Desempenho: Demonstram, em três níveis, o que o
negócio espera da TI (metas de TI), o que o processo de TI precisa entregar
para suportar os objetivos da TI (metas de processos), e o que precisa
acontecer dentro do processo para que o desempenho requerido seja
atingido (metas de atividades). O CobiT usa dois tipos de indicadores:
I. Medições de Resultados (Outcome measures): Definem as
medições que informam à gerência se um processo de Ti atingiu
os objetivos de negócio, também denominadas “lag indicators”;
II. Indicadores de Desempenho (Performance Indicators): Definem
as medições que informam à gerência o quanto os processos de
TI estão sendo bem executados, no sentido de viabilizar o
atendimento dos objetivos de negócio, também denominados
“lead indicators”.
As metas são definidas de forma que haja correlação entre elas, ou seja, as metas
de negócio devem determinar quantas e quais metas de TI irão suportá-las, e assim
por diante.
3.6.3.5. Visão integrada do modelo
O CobiT pode ser definido em função do princípio básico do seu framework,
ou seja, os recursos de TI são gerenciados por processos de TI para alcançarem
metas de TI que respondam a requisitos de negócio. Esta visão integrada pode ser
visualizada através do “Cubo CobiT”, ilustrado na figura 3.5.
48
Figura 3.5 – Cubo CobiT
Fonte: Adaptado de COBIT 4.1 EXECUTIVE SUMARY FRAMEWORK, 2007, p.25
3.6.3.6. Conteúdo dos processos de TI
Como integrantes principais do núcleo do CobiT, os processos de TI são
organizados na documentação do modelo de forma a mostrar uma visão completa
sobre como devem ser controlados, gerenciados e medidos. Assim, cada um dos 34
processos de TI é descrito através de seus componentes inter-relacionados,
representados na figura 3.6.
Figura 3.6 – Inter-relacionamentos entre componentes do CobiT
Fonte: Adaptado de FERNANDES e ABREU, 2008, p.185
49
3.7. ITIL
A ITIL é um agrupamento das melhores práticas utilizadas para o
gerenciamento de serviços de tecnologia da informação de alta qualidade, obtidas
em consenso após décadas de observação prática, pesquisa e trabalho de
profissionais de TI e processamento de dados em todo o mundo. Devido à sua
abrangência e profundidade, a ITIL tem se firmado continuamente como um padrão
mundial de fato para as melhores práticas para o gerenciamento de serviços de TI.
3.7.1. Histórico do Modelo
A ITIL (Information Technology Infrastructure Library) foi desenvolvida pelo
CCTA (Central Computer an Telecommunications Agency) no final dos anos 80, a
partir de uma encomenda do governo britânico, que não estava satisfeito com o nível
de qualidade dos serviços de TI a ele prestado. Neste cenário, foi solicitado o
desenvolvimento de uma abordagem de melhores práticas para gerenciar a
utilização eficiente e responsável dos recursos de TI, independentemente de
fornecedores.
Embora concebida originalmente para o setor público do Reino Unido, se
expandiu rapidamente para as demais organizações dos setores públicos e
privados, gerando uma indústria composta por treinamentos, certificações,
consultorias, ferramentas de software e um Fórum específico, o itSMF (Information
Technology Service Management Forum). Hoje em dia, a ITIL é um padrão adotado
globalmente.
Em abril de 2001, o CCTA foi incorporado ao OGC (Office of Government
Commerce), órgão independente subordinado à Secretaria-Chefe do Tesouro
britânico, focado na melhoria dos processos de contratação e gestão de serviços
privados pelo setor público, que hoje é o responsável pela evolução e divulgação da
ITIL.
A versão 3 da ITIL, denominada V3, lançada em maio de 2007, representa
uma grande evolução em relação à versão anterior, pois organiza os processos de
gerenciamento de serviços em uma estrutura de ciclo de vida de serviço. Além disso,
a ITIL V3 demonstra a maturidade que a disciplina de gerenciamento de serviços de
TI adquiriu ao longo do tempo, trazendo e enfatizando conceitos como integração da
TI ao negócio, portfólios dinâmicos de serviços, mensuração do valor do negócio e
50
fornecendo uma base sólida para convergência com outros padrões e modelos de
gestão e governança de TI (FERNANDES & ABREU, 2008, p.272).
3.7.2. Objetivos do Modelo
Segundo Fernandes e Abreu (2008, p.273), como framework, o principal
objetivo da ITIL é:
[...] prover um conjunto de práticas de gerenciamento de serviços de TI testadas e comprovadas no mercado, organizadas segundo uma lógica de ciclo de vida de serviços, que podem servir como modelos, tanto para organizações que já possuem operações de TI em andamento e pretendem empreender melhorias, quanto para a criação de novas operações. A adoção das práticas da ITIL pretende levar uma organização a um grau de maturidade e qualidade que permita o uso eficaz e eficiente dos seus ativos estratégicos de TI, sempre com foco no alinhamento e na integração com as necessidades dos clientes e usuários [...].
A ITIL V3 e sua abordagem de ciclo de vida permite que se tenha uma visão
do gerenciamento de serviços pela perspectiva do próprio serviço, em vez de focar
em cada processo ou prática por vez. Esta característica realça mais um importante
objetivo, que é mensurar e gerenciar o valor que os serviços de TI efetivamente
adicionam ao negócio.
3.7.3. Estrutura do Modelo
3.7.3.1. Visão Geral
A ITIL pode ser considerada uma fonte de boas práticas utilizada pelas
organizações para estabelecer e melhorar suas capacitações em gerenciamento de
serviços, e possui como componentes o núcleo da ITIL e a orientação
complementar.
O núcleo da ITIL contém as orientações de melhores práticas aplicáveis a
todos os tipos de organizações que fornecem serviços para um negócio. Já a
orientação complementar à ITIL é um conjunto de publicações complementares
destinadas a especializar a implementação e a utilização das práticas do núcleo
para diferentes setores empresariais, tipos de empresas e plataformas tecnológicas,
concebido para ser uma biblioteca dinâmica de conteúdo relacionado, podendo
receber contribuições de toda a comunidade (FERNANDES & ABREU, 2008. p.273).
O núcleo da ITIL, representado na figura 3.7, é composto por cinco
publicações, cada uma delas relacionada a um estágio do ciclo de vida do serviço,
contendo orientações para uma abordagem integrada de gerenciamento de serviços.
51
Figura 3.7 – O núcleo da ITIL
Fonte: Adaptado de OGC apud FERNANDES e ABREU, 2008, p.274
A publicação “Estratégia de Serviço” orienta sobre como as políticas e
processos de gerenciamento de serviço podem ser desenhados, desenvolvidos e
implementados como ativos estratégicos ao longo do ciclo de vida de serviço. Entre
os tópicos abordados nesta publicação estão os ativos de serviço, o catálogo de
serviços, o gerenciamento financeiro, o gerenciamento de portfólio de serviços, o
desenvolvimento organizacional, os riscos estratégicos, entre outros (FERNANDES
& ABREU, 2008. p.274).
A publicação “Desenho de Serviço” fornece orientação para o desenho e
desenvolvimento dos serviços e dos processos de gerenciamento de serviços,
detalhando aspectos do gerenciamento do catálogo de serviços, do nível de serviço,
da capacidade, da disponibilidade, da continuidade, da segurança da informação e
dos fornecedores, além de mudanças e melhorias necessárias para manter ou
agregar valor aos clientes ao longo do ciclo de vida do serviço (FERNANDES &
ABREU, 2008. p.274).
A publicação “Transição de Serviço” orienta sobre como efetivar a transição
de serviços novos e modificados para operações implementadas, detalhando os
processos de planejamento e suporte à transição, gerenciamento de mudanças,
gerenciamento da configuração, dos ativos de serviço, gerenciamento da liberação e
52
da distribuição, teste e validação de serviço, avaliação e gerenciamento do
conhecimento (FERNANDES & ABREU, 2008. p.274).
A publicação “Operação de Serviço” descreve a fase do ciclo de vida do
gerenciamento de serviços que é responsável pelas atividades do dia-a-dia,
orientando sobre como garantir a entrega e o suporte a serviços de forma eficiente e
eficaz, e detalhando os processos de gerenciamento de eventos, incidentes,
problemas, acesso e de execução de requisições (FERNANDES & ABREU, 2008.
p.275).
E a publicação “Melhoria de Serviço Continuada” orienta, através de
princípios, práticas e métodos de gerenciamento da qualidade, sobre como fazer
sistematicamente melhorias incrementais e de larga escala na qualidade dos
serviços, nas metas de eficiência operacional, na continuidade dos serviços, entre
outros, com base no modelo PDCA preconizado pela ISO/IEC 20000 (FERNANDES
& ABREU, 2008. p.275).
Os processos da ITIL V3 encontram-se distribuídos entre os 5 estágios,
conforme a tabela 3.7.
Publicações Processos Funções
Estratégia de Serviço
• Gerenciamento Financeiro de TI; • Gerenciamento do Portfólio de
Serviços; • Gerenciamento da Demanda.
Desenho de Serviço
• Gerenciamento do Catálogo de Serviços;
• Gerenciamento do Nível de Serviço;
• Gerenciamento da Capacidade; • Gerenciamento da Disponibilidade; • Gerenciamento da Continuidade
de Serviço; • Gerenciamento de Segurança da
Informação; • Gerenciamento de Fornecedor.
Transição de Serviço
• Gerenciamento de Mudança; • Gerenciamento de Configuração e
de Ativo de Serviço; • Gerenciamento da Liberação e
Implantação; • Validação e Teste de Serviço; • Avaliação; • Gerenciamento do Conhecimento;
Continua
53
Publicações Processos Funções
Operação de Serviço
• Gerenciamento de Evento; • Gerenciamento de Incidente; • Gerenciamento de Requisição; • Gerenciamento de Problema; • Gerenciamento de Acesso.
• Central de Serviço; • Gerenciamento Técnico; • Gerenciamento das
Operações de TI; • Gerenciamento de Aplicativo.
Melhoria de Serviço
Continuada
• Relatório de Serviço; • Medição de Serviço.
Tabela 3.7 – Processos e funções da ITIL V3 Fonte: Adaptado OGC apud FERNANDES e ABREU, 2008. p.275
3.7.3.1.1. Estratégia de Serviço
Esta publicação define os princípios básicos que norteiam o gerenciamento
de serviços, mostrando como uma organização pode transformá-lo em um ativo
estratégico e orientando como esta pode operar e crescer com sucesso a longo
prazo. A estratégia de serviços contém alguns conceitos e princípios, que serão
elucidados neste sub-tópico.
De acordo com a ITIL V3, um serviço é um meio de entregar valor aos
clientes, facilitando o alcance dos resultados que os clientes desejam, tirando deles
a propriedade dos custos e riscos específicos. Pela perspectiva do cliente, a criação
do valor de um serviço baseia-se na utilidade, com o desempenho desejado ou
redução das restrições de desempenho, e a garantia, relativa à disponibilidade,
capacidade, continuidade e segurança suficiente para o uso (FERNANDES &
ABREU, 2008. p.276).
O gerenciamento de serviços é um conjunto de capacitações organizacionais
especializadas para fornecer valor aos clientes na forma de serviços, ou seja,
transformar recursos em serviços valiosos. Tais capacitações podem ser vistas
como processos e funções para gerenciar serviços ao longo do seu ciclo de vida.
O encapsulamento é uma das propriedades mais importantes de um serviço,
que significa isolar dos clientes a complexidade estrutural, detalhes técnicos e
operações de baixo nível, expondo somente a sua interface de utilização
(FERNANDES & ABREU, 2008. p.276).
Recursos e capacitações são considerados ativos de serviço de uma
organização e constituem a base para a criação de valor para o serviço. Recursos
54
são pessoas, informações, aplicações, infra-estrutura e capital financeiro.
Capacitações são desenvolvidas ao longo do tempo e podem incluir gerenciamento,
organização, processos, conhecimento e pessoas.
Outro conceito que a ITIL V3 aborda é o de provedores de serviços, que
podem ser internos, áreas da própria organização que possuem flexibilidade e riscos
menores, unidades de serviços compartilhados, que possuem flexibilidade e riscos
medianos, ou externos, que são mais arriscados e flexíveis. Além disso, as
estruturas de serviço evoluíram da cadeia de valor básica para o de rede de valor,
incorporando relacionamentos com fornecedores substitutos e complementares,
além dos usuais entre o fornecedor, o provedor de serviço, o negócio e o cliente
(FERNANDES & ABREU, 2008. p.277).
Visto os conceitos e princípios da estratégia de serviço, abordaremos suas
etapas, que são quatro ao todo:
1. Definir o mercado;
2. Desenvolver as ofertas;
3. Desenvolver os ativos estratégicos;
4. Preparar para a execução.
Segundo Fernandes e Abreu (2008, p.277-278) a etapa “Definir o mercado”
estabelece a relação entre o serviço e a estratégia, onde o serviço pode ser
oferecido dentro de uma estratégia, ou vice-versa; e visa entender o cliente e as
oportunidades embutidas nos seus resultados de saída esperados, já que resultados
não atingidos podem ser alvos de potenciais serviços.
A etapa “Desenvolver as ofertas” parte da descoberta do espaço de mercado
a se focado, definindo os serviços com base na proposta de valor que estes podem
agregar aos ativos e resultados esperados dos clientes. Também estabelece o
portfólio de serviços, que representa os compromissos e investimentos feitos por um
provedor de serviços para todos os clientes e espaços de mercado, e os catálogos
de serviços, que é a parte do portfólio visível para o cliente, e que gera receita.
A etapa “Desenvolver os ativos estratégicos” busca gerenciar os serviços
como um ativo estratégico e desenvolver corretamente a rede de valor, pois dentro
da ótica de um sistema fechado (no qual os resultados têm influência na sua
realimentação), quando um provedor aumenta o potencial de um serviço, aumenta
também o potencial de desempenho dos ativos dos clientes atendidos, estes, por
55
sua vez, promovem o aumento da demanda pelo serviço que irá reduzir a
capacidade ociosa do provedor.
E a etapa “Preparar para execução” avalia estrategicamente as ofertas,
estabelecendo objetivos, alinhando os ativos do serviço com os resultados
esperados e com as necessidades dos clientes, definindo os fatores críticos de
sucesso, priorizando os investimentos e procurando formas de apoiar o crescimento
e a expansão do negócio, explorando o potencial dos espaços de mercado
atendidos.
3.7.3.1.1.1. Processos da Estratégia de Serviço
Como observado anteriormente a publicação “Estratégia de Serviço” tem três
processos que são gerenciamento financeiro, gerenciamento do portfólio de serviços
e gerenciamento da demanda. Abaixo seguem suas descrições com base em
Fernandes e Abreu (2008, p.278-279).
O processo de gerenciamento financeiro visa gerenciar o ciclo financeiro do
portfólio de serviços de TI de uma organização, de forma a prover a sustentação
econômica necessária para a execução dos seus serviços. Conceitos e métodos
efetivos como valorização de serviços, modelagem da demanda e otimização do
portfólio e do fornecimento de serviços são fundamentais para que seja possível a
quantificação do valor dos serviços de TI e dos ativos envolvidos na prestação
destes serviços, assim como para que o planejamento financeiro seja confiável. Vale
salientar que o retorno sobre o investimento (ROI) recebe atenção especial na ITIL
V3, como forma de justificar o investimento em serviços.
O processo de gerenciamento do portfólio de serviços visa governar os
investimentos em gerenciamento de serviços através da empresa, e gerenciá-los
para que adicionem valor ao negócio. Este processo estabelece que há duas
categorias de serviços, os serviços de negócio, que são definidos pelo próprio
negócio, e os serviços de TI, que são fornecidos pela TI ao negócio, mas que este
não reconhece como sendo dentro de seus domínios. Embora a linha entre estes
dois portfólios de serviços seja tênue, ambos podem ser gerenciados
individualmente, dependendo da perspectiva de cada cliente, mas sempre
considerando as relações existentes entre eles. A metodologia deste processo prevê
as seguintes etapas:
56
a) Definição: que é o levantamento dos serviços, criação de casos de
negócio (business cases) para cada um deles e validação das
informações;
b) Análise: que focaliza a maximização do valor do portfólio, priorizando
os investimentos nos serviços, balanceando a entrega e a demanda,
com proposição de continuidade ou não do serviço;
c) Aprovação: decisão sobre o que fazer com os serviços;
d) Oficialização: divulgação para a organização e alocação de recursos.
E o processo de gerenciamento da demanda visa gerenciar de forma síncrona
os ciclos de produção dos serviços, que consomem demanda, e os ciclos de
consumo dos serviços, que geram mais demanda. A análise da dinâmica do negócio
poderá permitir o estabelecimento de padrões de atividades de negócio e de perfis
de usuários, que podem ser combinados para a composição de pacotes de serviços
customizados. Estes conceitos têm sido bastante utilizados por provedores de
serviços que oferecem soluções de terceirização total (full outsourcing) de TI a seus
clientes. A tabela 3.8, resume os objetivos dos processos da Estratégia de Serviço.
Processos da Estratégia de Serviço
Objetivo
Gerenciamento Financeiro Prover a sustentação econômica necessária para a execução
dos serviços da organização.
Gerenciamento do Portfólio de Serviços
Governar os investimentos em gerenciamento de serviços na organização, e gerenciá-los para que adicionem valor ao
negócio.
Gerenciamento da Demanda Gerenciar de forma síncrona os ciclos de produção e consumo
dos serviços.
Tabela 3.8 – Processos da Estratégia de Serviço da ITIL V3
3.7.3.1.2. Desenho de Serviço
Este estágio do ciclo de vida em como foco o desenho e a criação de serviços
de TI cujo propósito será realizar a estratégia concebida anteriormente. Através do
uso das práticas, processos e políticas de TI vigente, os serviços devem ser
construídos de forma a assegurar a qualidade da entrega, a satisfação dos clientes,
a eficiência dos custos e a facilidade de colocá-los em produção.
Segundo Fernandes e Abreu (2008, p.281), a ITIL V3 define o estágio de
Desenho de Serviço como “o desenho de serviços de TI apropriados e inovadores,
57
incluindo suas arquiteturas, processos, políticas e documentação, para entender os
requisitos do negócio atuais e futuros”.
Esta publicação descreve os princípios e fundamentos básicos do desenho de
serviço, abordando cinco aspectos importantes (FERNANDES & ABREU, 2008.
p.281-282). No primeiro aspecto, o desenho de um novo serviço ou a alteração de
um serviço existente deve ser encarado como o projeto de uma solução completa,
com alto grau de aderência aos requisitos estabelecidos pelo negócio. Tais
requisitos, assim como todos os recursos e capacitações necessárias para o serviço,
devem estar de acordo com a estratégia estabelecida pela organização .
No segundo aspecto, o desenho dos sistemas e ferramentas de
gerenciamento de serviços, principalmente o portfólio de serviços, tem que ser
capaz de apoiar os serviços em todos os momentos de seu ciclo de vida.
No terceiro aspecto, que o desenho das arquiteturas tecnológicas e sistemas
de gestão, que são serviços, aplicações, dados/informação, infra-estrutura e
ambiente, seja capaz de apoiar os serviços em todos os momentos do ciclo de vida.
No quarto aspecto, os desenhos dos processos de TI e do gerenciamento de
serviços, assim como os papéis, as responsabilidades e as habilidades
relacionadas, têm que ser capazes de operar, apoiar e manter os serviços, assim
como criar ferramentas que permitam a integração entre organizações.
E no quinto aspecto, o desenho das métricas e métodos para medição da
qualidade do processo de desenho do serviço, em termos do seu progresso,
conformidade (com requisitos corporativos, de governança, regulação), eficácia e
eficiência.
3.7.3.1.2.1. Processos do Desenho de Serviço
O estágio de desenho de serviço é suportado pó um conjunto de sete
processos de gerenciamento de serviços, com base em Fernandes e Abreu (2008,
p.283-284), o primeiro deles o processo de gerenciamento do catálogo de serviços,
que garante uma fonte única de informações consistentes e atualizadas sobre todos
os serviços que estão operacionais e sobre aqueles que estão sendo preparados
para entrar em operação. O catálogo de serviços tem duas subdivisões:
58
a) Catálogo de serviços de negócio, que contém a visão do cliente sobre
os serviços de TI, e os seus relacionamentos com os processos e
estruturas organizacionais do negócio;
b) Catálogo de Serviços Técnicos, que contém detalhes técnicos de todos
os serviços entregues ao cliente, e os seus relacionamentos com os
serviços de suporte, itens de configuração, componentes e serviços
compartilhados necessários à entrega do serviço ao cliente.
O segundo processo é o gerenciamento do nível do serviço, que visa manter
e melhorar a qualidade dos serviços de TI, através de um ciclo contínuo de
atividades envolvendo o planejamento, coordenação, elaboração, estabelecimento
de acordo de metas de desempenho e responsabilidades mútuas, monitoramento e
divulgação de níveis de serviços, em relação aos clientes, de níveis operacionais,
em relação aos fornecedores internos, e de contratos de apoio com fornecedores de
serviços externos. Este processo também é responsável pela elaboração e
manutenção de um plano de melhoria dos serviços, um programa com ações
priorizadas de melhoria para os serviços.
O terceiro processo é o gerenciamento da capacidade, que assegura que a
capacidade da infra-estrutura de TI absorva as demandas evolutivas do negócio de
forma eficaz e dentro do custo previsto, balanceando a oferta de serviços em relação
à demanda e otimizando a infra-estrutura necessária à prestação dos serviços de TI.
O quarto processo é o gerenciamento de disponibilidade, que visa assegurar
que os serviços de TI sejam projetados para atender e preservar os níveis de
disponibilidade e confiabilidade requeridos pelo negócio, minimizando os riscos de
interrupção através de atividades de monitoramento físico, solução de incidentes e
melhoria contínua da infra-estrutura e da organização de suporte.
O quinto processo é o gerenciamento da continuidade de serviço de TI, que é
o desdobramento do processo de gerenciamento da continuidade do negócio, que
visa assegurar que todos os recursos técnicos e serviços de TI necessários,
incluindo sistemas, redes, aplicações, central de serviços, suporte técnico,
telecomunicações, entre outros, possam ser recuperados dentro de um tempo
preestabelecido.
O sexto processo é o gerenciamento de segurança da informação, que
abrange processos relacionados à garantia da confidencialidade, integridade e
59
disponibilidade de dados, assim como à segurança dos componentes de hardware e
software, da documentação e dos procedimentos. Assim, este processo alinha a
segurança da TI com a segurança do negócio, e assegura que a segurança da
informação seja gerenciada efetivamente durante todo o ciclo de vida dos serviços.
E o sétimo processo é o gerenciamento de fornecedor, que gerencia
fornecedores e contratos necessários para suportar os serviços por eles prestados,
visando prover um serviço de TI com qualidade transparente para o negócio,
assegurando o valor do investimento feito. A tabela 3.9, resume os objetivos dos
processos da Estratégia de Serviço.
Processos do Desenho de Serviços
Objetivo
Gerenciamento do Catálogo de Serviços
Garantir uma fonte única de informações sobre todos os serviços.
Gerenciamento do Nível de Serviço
Elaborar e manter um Plano de Melhoria dos Serviços, para manter e melhorar a qualidade dos serviços de TI.
Gerenciamento da Capacidade Assegurar que a capacidade da infra-estrutura de TI suporte as
demandas do negócio de forma eficaz. Gerenciamento da
Disponibilidade Assegurar que os serviços de TI atendam os níveis de
disponibilidade e confiabilidade requeridos pelo negócio. Gerenciamento da
Continuidade de Serviço de TI Assegurar a recuperação dos recursos técnicos e serviços de TI
dentro de um tempo preestabelecido.
Gerenciamento de Segurança da Informação
Gerenciar a segurança da informação durante todo o ciclo de vida do serviço. Alinhando a segurança da TI com a segurança
do negócio.
Gerenciamento de Fornecedor Gerenciar fornecedores para suportar os serviços por eles
prestados, e prover um serviço de TI com qualidade transparente para o negócio.
Tabela 3.9 – Processos do Desenho de Serviços da ITIL V3 e seus objetivos
A figura 3.9 mostra como estes processos se encaixam dentro de uma visão mais abrangente do desenho de serviço.
60
Figura 3.8 – Visão dos Processos do Estágio de Desenho de Serviço
Fonte: Adaptado OGC apud FERNANDES e ABREU, 2008. p.283
3.7.3.1.3. Transição de Serviço
Segundo Fernandes e Abreu (2008, p.285), o estágio de transição de serviço
tem como principal objetivo colocar no ambiente de produção, em plena operação,
um serviço que acabou de sair do estágio de desenho de serviço, garantindo o
cumprimento dos requisitos preestabelecidos de custo, qualidade e prazo,
impactando minimamente nas operações atuais da organização.
Um processo de transição de serviços, quando efetivo, agrega valor
significativo a uma organização provedora de serviços, uma vez que os novos
serviços possam ser utilizados de forma a maximizar o valor das operações do
negócio, e, principalmente, demonstra a capacidade da organização de gerenciar
mudanças em seus serviços de forma consistente.
A ITIL V3 estabelece políticas explícitas formais focadas em aspectos
importantes para o processo de transição, tais como:
a) Implementação de todas as mudanças no portfólio ou catálogo de
serviços através do processo de transição;
61
b) Adoção de um framework comum, e de padrões conhecidos para
melhorar a integração das partes envolvidas na transição;
c) Maximização da reutilização de processos e sistemas já existentes;
d) Integração dos planos de transição às necessidades do negócio,
visando maximizar o valor das mudanças;
e) Gerenciamento dos relacionamentos com todas as partes interessadas
(stakeholders) nos serviços;
f) Desenvolvimento de sistemas e processos para facilitar a transferência
de conhecimento e o suporte às decisões;
g) Antecipação e gerenciamento das correções de desvios identificados
na transição;
h) Gerenciamento proativo de recursos através de várias instâncias do
processo de transição de serviços;
i) Detecção antecipada de falhas, no início do ciclo de vida do serviço,
visando reduzir custos de correção;
3.7.3.1.3.1. Processos da Transição de Serviço
O estágio de transição de serviço tem similaridade com o ciclo de vida de um
projeto, com produtos bem definidos e data prevista para acabar. São seis
processos neste estágio que visam planejar e coordenar os recursos necessários
para colocar um serviço novo ou modificado no ambiente de produção, dentro do
custo, prazo e qualidade estimados (FERNANDES & ABREU, 2008. p.287-289).
O primeiro processo é o gerenciamento de mudança, que visa assegurar o
tratamento sistemático e padronizado de todas as mudanças ocorridas no ambiente
organizacional, minimizando assim os impactos decorrentes de
incidentes/problemas relacionados a estas mudanças na qualidade do serviço, e
melhorando, conseqüentemente, a rotina operacional da organização.
O segundo processo é o gerenciamento da configuração e de ativo de
serviço, que abrange a identificação, o registro, o controle e a verificação de ativos
de serviço e itens de configuração, que são componentes de TI tais como hardware,
software e documentação relacionada, incluindo suas versões, componentes e
interfaces, dentro de um repositório centralizado. Fazem parte também do escopo
deste processo a proteção da integridade dos ativos e itens de configuração ao
62
longo do ciclo de vida do serviço contra mudanças não autorizadas e o
estabelecimento e manutenção de um sistema de gerenciamento da configuração
completo e preciso.
O terceiro processo, gerenciamento de liberação e implantação, abrange o
gerenciamento do tratamento de um conjunto de mudanças em um serviço de TI,
devidamente autorizadas, incluindo atividades de planejamento, desenho,
construção, configuração e teste de itens de software e hardware, visando criar um
conjunto de componentes finais e implantá-los em bloco em um ambiente de
produção, de forma a adicionar valor ao cliente, em conformidade com os requisitos
estabelecidos na estratégia e no desenho do serviço.
O quarto processo é a validação e teste de serviço, que é relacionado à
garantia da qualidade de uma liberação, incluindo todos os seus componentes de
serviço, os serviços resultantes e a capacitação do serviço por ela viabilizada. Um
serviço validado e testado está pronto para o uso dentro dos propósitos para os
quais foi desenhado e construído.
O quinto processo é o de avaliação, que visa criar meios padronizados e
consistentes para avaliar o desempenho de uma mudança no contexto de uma infra-
estrutura de TI e serviços já existentes, confrontando-o com as metas previstas,
registrando e gerenciando os desvios encontrados.
E o sexto processo, gerenciamento do conhecimento, visa garantir que a
informação correta seja entregue no local apropriado, para uma pessoa que tenha
competência para atuar no tempo certo, habilitando a tomada de decisões
informadas. Para tal, a ITIL V3 possui o conceito de sistema de gerenciamento do
conhecimento sobre serviços, que pode ser visto como uma base de conhecimento
mais ampla, contendo informações tais como experiência da equipe, requisitos,
habilidades e expectativas dos fornecedores e parceiros, histórico de configurações,
entre outros. A tabela 3.10, resume os objetivos dos processos da Estratégia de
Serviço, enquanto a figura 3.9 ilustra o escopo da Transição de Serviço.
Processos da Transição de Serviço
Objetivo
Gerenciamento de Mudança Assegurar o tratamento sistemático e padronizado de todas as
mudanças no ambiente organizacional. Gerenciamento da
Configuração e de Ativo de Serviço
Identificar, registrar, controlar e verificar os ativos de serviços e itens de configuração. Protegendo os mesmos contra mudanças não autorizadas. continua
63
Processos da Transição de Serviço
Objetivo
Gerenciamento de Liberação e Implantação
Criar um conjunto de componentes finais e implantá-los em bloco em um ambiente de produção, adicionando valor ao
cliente, e em conformidade com os requisitos estabelecidos.
Validação e Teste de Serviço Garantir a qualidade de uma liberação, incluindo todos os seus
componentes de serviços, serviços resultantes e capacitação do serviço.
Avaliação Criar meios padronizados e consistentes para avaliar o
desempenho de uma mudança no contexto de uma infra-estrutura de TI e/ou serviços já existentes.
Gerenciamento do Conhecimento
Garantir que a informação correta seja entregue no local apropriado, para as pessoas relacionadas.
Tabela 3.10 – Processos da Transição de Serviço da ITIL V3 e seus objetivos
Figura 3.9 – O Escopo da Transição de Serviço
Fonte: Adaptado OGC apud FERNANDES e ABREU, 2008. p.288
3.7.3.1.4. Operação de Serviço
Segundo Fernandes e Abreu (2008, p.289-290), o estágio de operação de
serviço é bastante crítico dentro do ciclo de vida do serviço, pois erros na condução,
controle e gestão das atividades do cotidiano operacional poderão comprometer
totalmente a disponibilidade do serviço, mesmo que ele tenha sido muito bem
desenhado e que sua implementação em produção tenha sido um sucesso.
64
A operação de serviço inclui em seu escopo todas as atividades recorrentes
necessárias para entregar e suportar os serviços. Seu objetivo é coordenar e
executar tais atividades dentro dos níveis de serviço estabelecidos com os clientes.
Um dos maiores desafios deste estágio de operação de serviços é seguir
processos, funções e atividades que visam a regularidade da entrega dos serviços
nos níveis preestabelecidos, dentro de um ambiente sujeito a mudanças freqüentes
e, muitas vezes, imprevisíveis. Um dos papéis da operação de serviços é encontra
um ponto de equilíbrio entre conjuntos de prioridades totalmente conflitantes, para
minimizar riscos.
As equipes de operação de serviço devem sempre estar conscientes de que
são provedoras de serviços para o negócio, e que uma das habilidades mais
importantes a serem exercidas é a comunicação. O quanto antes a operação de
serviço se envolver nas atividades de desenho e transição, menores serão os riscos
de problemas inesperados durante a fase recorrente.
3.7.3.1.4.1. Processos da Operação de Serviço
Segundo Fernandes e Abreu (2008, p.291-292), o estágio de operação de
serviço é suportado por um conjunto de cinco processos de gerenciamento de
serviços.
O primeiro processo é o gerenciamento de evento, que monitora todos os
eventos que ocorrem na infra-estrutura de TI, para atestar a normalidade da
operação. Caso sejam detectadas condições de exceção, este processo deve
escalonar para resolução técnica ou para atuação hierárquica. Eventos podem ser
exceções (incidentes, problemas, mudanças), advertências ou pedidos de
informação, que terão tratamentos distintos.
O segundo processo, gerenciamento de incidente, visa restaurar a operação
normal de um serviço no menor tempo possível, de forma a minimizar os impactos
adversos para o negócio, garantindo que os níveis de qualidade e disponibilidade
sejam mantidos dentro dos padrões acordados, tratando os efeitos e não as causas.
O terceiro processo é o gerenciamento de problema, que visa minimizar os
impactos adversos de incidentes e problemas para o negócio, quando causados por
falhas na infra-estrutura de TI, assim como prevenir que incidentes relacionados a
estas falhas ocorram novamente. Pode ter uma atuação reativa, resolução de
65
problemas em resposta a um ou mais incidentes, ou proativa, identificando
problemas e falhas antes da ocorrência dos incidentes.
O quarto processo, cumprimento de requisição, trata requisições dos usuários
que não foram geradas por um incidente, mas que foram originadas a partir de uma
solicitação de serviço ou de uma simples solicitação de informação.
E o quinto processo, gerenciamento de acesso, controla o acesso de usuários
ao direito de utilizar os serviços, garantindo-os àqueles que foram previamente
autorizados e restringindo-os a todos os demais. Consiste na execução das políticas
e ações definidas anteriormente nos processos de gerenciamento da disponibilidade
e gerenciamento da segurança da informação, vistos no estágio de desenho de
serviço. A tabela 3.11, resume os objetivos dos processos da Operação de Serviço,
enquanto a figura 3.10 ilustra o relacionamento dos processos da Operação de
Serviços.
Processos da Operação de Serviço
Objetivo
Gerenciamento de Evento Monitorar todos os eventos que ocorrem na infra-estrutura de TI
e redirecionar as exceções resolução técnica.
Gerenciamento de Incidente Restaurar a operação normal de um serviço no menor tempo
possível no caso de um incidente.
Gerenciamento de Problema Minimizar os impactos adversos de incidentes e problemas para o negócio, quando causados por falhas na infra-estrutura de TI.
Cumprimento de Requisição Tratar requisições dos usuários que foram geradas por uma
solicitação de serviço.
Gerenciamento de Acesso Controlar o acesso de usuários ao direito de utilizar os serviços.
Tabela 3.11 – Processos da Operação de Serviços da ITIL V3 e seus objetivos
66
Figura 3.10 – O Relacionamento dos Processos da Operação de Serviços
Fonte: Adaptado OGC apud FERNANDES e ABREU, 2008. p.291
3.7.3.1.4.2. Funções da Operação de Serviço
Segundo Fernandes e Abreu (2008, p.292-293), função é definida pela ITIL
V3 como “um conceito lógico referente a pessoas e medidas automatizadas que
executam um determinado processo, atividade, ou uma comunicação entre eles”. As
funções da ITIL V3 estão presentes apenas no estágio de operação de serviço, e
são quatro ao todo.
A primeira função é a central de serviço (Service Desk), que é uma função
destinada a responder rapidamente questões, reclamações e problemas dos
usuários, de forma a permitir que os serviços sejam executados com o grau de
qualidade esperado. Pode ser implementada de forma centralizada, local ou virtual,
nas modalidades de:
• Central de Atendimento (Call Center): ênfase no atendimento de um
grande número de chamadas telefônicas;
• Help Desk: visa gerenciar, coordenar e resolver incidentes no menor
tempo possível, assegurando que nenhuma chamada seja perdida
esquecida ou ignorada;
• Central de Serviço: abordagem global, que permite a integração dos
processos de negócio à infra-estrutura de gerenciamento dos serviços
de TI.
67
A segunda função, gerenciamento técnico (Technical Management), é a
função relacionada aos grupos, áreas ou equipes que possuem experiência e
conhecimento técnico especializado para suportar a operação. Também deve
garantir que haja recursos treinados para desenhar, construir, fazer as transições,
operar e melhorar a tecnologia utilizada nos serviços.
A terceira função, gerenciamento das operações de TI (IT Operations
Management), está relacionada aos grupos, áreas ou equipes responsáveis pela
execução das atividades diárias da operação. Esta função se subdivide em controle
de operações e gerenciamento de facilidades.
E a quinta função, gerenciamento de aplicativo (Application Management), é
responsável por gerenciar aplicativos ao longo de seu ciclo de vida, que
desempenha um importante papel no desenho, teste e nas melhorias dos aplicativos
que suportam serviços de TI. Aborda o ciclo de vida completo dos aplicativos de
software relacionados à implementação de serviços de TI, incluindo atividades de
desenvolvimento (levantamento de requisitos, planejamento, desenho, construção e
teste) e de gerenciamento (implantação, operação, suporte e otimização). A tabela
3.12, resume os objetivos das funções da Operação de Serviço.
Funções da Operação de Serviço
Objetivo
Central de Serviço Responder rapidamente às questões, reclamações e problemas
dos usuários.
Gerenciamento Técnico Oferecer suporte técnico, garantindo recursos treinados para suportar e melhorar as tecnologias utilizadas nos serviços.
Gerenciamento das Operações de TI
Controlar e executar as atividades diárias da operação de serviço.
Gerenciamento de Aplicativo Gerenciar aplicativos de software relacionados à implementação
de serviços de TI ao longo de seu ciclo de vida.
Tabela 3.12 – Funções da Operação de Serviços da ITIL V3 e seus objetivos
3.7.3.1.5. Melhoria de Serviço Continuada
Fernandes e Abreu (2008, p.294-296) diz que os serviços de TI devem
continuamente ser alinhados e, principalmente, integrados às necessidades do
negócio, que são dinâmicas por natureza, através da identificação e da
implementação de ações de melhoria para o suporte aos processos de negócio.
Este é o propósito principal do estágio de melhoria de serviço continuada. O ciclo de
vida do serviço com a melhoria de serviço continuada é ilustrado na figura 3.11.
68
Figura 3.11 – Melhoria de Serviço Continuada e o Ciclo de Vida de Serviço
Fonte: Adaptado OGC apud FERNANDES e ABREU, 2008. p.295
Seu escopo contém atividades que suportam o planejamento contínuo da
melhoria de processos, tais como análise das informações gerenciais e das
tendências quanto ao atingimento dos níveis de serviço e dos resultados desejados
pelos serviços, avaliações de maturidade e auditorias internas periódicas, pesquisas
de satisfação junto aos clientes, gerenciamento do plano de melhoria de serviços, e
identificação de oportunidades de melhoria.
Um programa de melhoria sempre deve estar vinculado às oportunidades de
mudança organizacional, e por isto deve ser conduzido por uma equipe que possua
representatividade e autoridade para promovê-las e onde haja papéis e
responsabilidades bem definidas. Neste estágio, é importante também estar atento
às influências externas (regulações, concorrência, requisitos de clientes, entre
outros) e internas (estruturas organizacionais, cultura, capacidade) que podem ser
fontes para oportunidades de melhoria.
Outras fontes de valores de referência podem ser obtidas através de
benchmarkings ou da análise de dados históricos. Os processos de gerenciamento
de nível de serviço, gerenciamento de problema e de gerenciamento do
conhecimento podem ser considerados chaves para este processo, pois fornecem
uma base importante de conhecimento medido e estruturado acerca dos serviços,
69
sobre o qual as ações de melhoria podem ser planejadas e conduzidas
adequadamente.
Um dos princípios mais importantes deste estágio é a medição do serviço,
basicamente medições são realizadas para validar decisões tomadas, direcionar
atividades para o atingimento de metas, justificar direcionamentos necessários e/ou
identificar pontos onde é necessário intervir com mudanças ou ações corretivas. Por
isto, não basta medir simplesmente, mas é importante saber por que medir, quando
parar de medir e se os resultados destas medições estão sendo úteis para alguma
área da organização. Da mesma forma, simplesmente melhorar algo não é o
suficiente, pois deve-se estabelecer a visão de futuro, fixar referências iniciais e
metas a serem atingidas e avaliar posteriormente se houve sucesso ou não. O
processo de melhoria de sete passos, ilustrado na figura 3.12, orienta através das
questões chaves que devem ser levadas em conta para melhoria contínua.
Figura 3.12 – Processo de Melhoria em 7 passos
Fonte: Adaptado OGC apud FERNANDES e ABREU, 2008. p.296
3.7.3.1.5.1. Processos da Melhoria de Serviço Continuada
Além do processo de melhoria de sete passos, a melhoria de serviço
continuada é suportada por mais dois processos de gerenciamento de serviços, de
acordo com Fernandes e Abreu (2008, p.296-297). O primeiro é o relatório de
serviço, que envolve a composição de relatórios de serviço a partir dos dados
70
coletados e monitorados durante a entrega do serviço, além da identificação do seu
objetivo, do público alvo e da utilização planejada para as informações contidas
nestes relatórios.
O segundo processo é o de medição de serviço, que visa prover informações
sobre o serviço dentro de uma visão completa orientada à integração com o negócio.
Para tal, recomenda-se a criação de um modelo de medição de serviço, que
estabeleça diferentes níveis para a medição e para a visualização através de
relatórios. As medições podem ser de:
a) Componente: medições acerca de aspectos físicos e técnicos, como
disponibilidade, desempenho, tempos de resposta, capacidade, falhas,
mudanças;
b) Serviço: medições sobre aspectos funcionais e de relacionamento
direto com o cliente, como tempo de atendimento e resolução,
pesquisas de satisfação, reclamações, qualidade do serviço;
c) Processos: processos que suportam os serviços, medições de
progresso, conformidade com regulações, eficácia, eficiência;
d) Scorecards de Serviços: visões estáticas periódicas de um serviço em
particular;
e) Dashboard de Serviços: contém as mesmas medidas dos scorecards
de serviços, mas disponibilizadas em tempo real para a TI e par os
negócios;
f) Scorecard de TI ou Balanced Scorecard: visões de alto nível com
consolidações das medições, visando refletir as metas e objetivos
táticos e estratégicos.
A ITIL recomenda que os resultados das medições e das melhorias efetuadas
sempre estejam associados a benefícios para a organização, que poderão ser
avaliados de forma quantitativa como retorno ou valor sobre o investimento. Assim,
tornam-se mais fáceis a comunicação e a justificativa para a manutenção e o
crescimento do programa de melhoria contínua.
Vários métodos e técnicas podem ser utilizados neste estágio, como forma de
garantir consistência, tanto na execução das medições e ações de melhoria quanto
nos relatos de informações. Entre elas, podem ser relacionadas avaliações formais,
benchmarkings, Balanced Scorecard, análise SWOT, além das práticas dos demais
71
processos de gerenciamento de serviços de TI. A tabela 3.13, resume os objetivos
das funções da Operação de Serviço.
Processos da Melhoria de Serviço
Objetivo
Relatório de Serviço Compor relatórios de serviço a partir dos dados coletados e monitorados durante a entrega do serviço, identificando seu
objetivo, publico alvo e utilização planejada.
Medição de Serviço Prover informações sobre o serviço de uma visão completa
orientada à integração com o negócio.
Tabela 3.13 – Processos da Melhoria de Serviço da ITIL V3 e seus objetivos
72
4. Processos e controles mapeados na correlação dos modelos
CobiT, ITIL e a Norma ISO/IEC 38500
Como parte deste trabalho, para auxiliar a análise dos modelos, foram
mapeados os processos dos modelos em relação à norma. Estes mapeamentos são
mostrados neste capítulo.
4.1.1. Mapeamento ISO/IEC 38500 x CobiT
Segue abaixo a tabela 3.14, que mostra o correlacionamento entre as tarefas
dos princípios da norma ISO/IEC 38500 e o modelo CobiT.
Princípios ISO 38500 Cobertura do CobiT
Responsabilidade
Avaliar PO-4 � Definir a organização de TI, os seus processos e relacionamentos; PO-7 � Gerenciar os recursos humanos;
Dirigir PO-4 � Definir a organização de TI, os seus processos e relacionamentos; PO-6 � Comunicar objetivos e direcionamentos gerenciais; PO-7 � Gerenciar os recursos humanos; PO-10 � Gerenciar projetos;
Monitorar PO-6 � Comunicar objetivos e direcionamentos gerenciais; PO-7 � Gerenciar os recursos humanos; ME-1 � Monitorar e avaliar o desempenho da TI; ME-2 � Monitorar e avaliar os controles internos;
Estratégia
Avaliar PO-1 � Definir um plano estratégico para TI; PO-2 � Definir a arquitetura da informação; PO-3 � Determinar a direção tecnológica; PO-4 � Definir a organização de TI, os seus processos e relacionamentos; ME-4 � Fornecer governança para TI;
Dirigir PO-1 � Definir um plano estratégico para TI; PO-3 � Determinar a direção tecnológica; PO-4 �Definir a organização de TI, os seus processos e relacionamentos; PO-5 � Gerenciar o investimento em TI; PO-7 � Gerenciar os recursos humanos; ME-4 � Fornecer governança para TI;
Monitorar PO-10 � Gerenciar projetos; ME-1 � Monitorar e avaliar o desempenho da TI; Continua
73
ME-2 � Monitorar e avaliar os controles internos; ME-4 � Fornecer governança para TI;
Aquisição
Avaliar PO-5 � Gerenciar o investimento em TI; AI-1 � Identificar soluções automatizadas; DS-2 � Gerenciar serviços terceirizados;
Dirigir PO-8 � Gerenciar a qualidade; AI-2 � Adquirir e manter software aplicativo; AI-3 � Adquirir e manter infra-estrutura tecnológica; AI-4 � Viabilizar operação e utilização; AI-5 � Adquirir recursos de TI; AI-6 � Gerenciar mudanças; AI-7 � Instalar e aprovar soluções e mudanças; DS-2 � Gerenciar serviços terceirizados;
Monitorar PO-5 � Gerenciar o investimento em TI; DS-2 � Gerenciar serviços terceirizados; ME-1 � Monitorar e avaliar o desempenho da TI; ME-2 � Monitorar e avaliar os controles internos; ME-3 � Assegurar conformidade com requisitos externos;
Desempenho
Avaliar PO-9 � Avaliar e gerenciar riscos de TI; DS-1 � Definir e gerenciar níveis de serviço; DS-5 � Garantir a segurança dos sistemas; ME-1 � Monitorar e avaliar o desempenho da TI;
Dirigir PO-9 � Avaliar e gerenciar riscos de TI; PO-10 � Gerenciar projetos; DS-3 � Gerenciar desempenho e capacidade; DS-5 � Garantir a segurança dos sistemas;
Monitorar PO-5 � Gerenciar o investimento em TI; ME-1 � Monitorar e avaliar o desempenho da TI; ME-2 � Monitorar e avaliar os controles internos;
Conformidade
Avaliar ME-2 � Monitorar e avaliar os controles internos; ME-3 � Assegurar conformidade com requisitos externos;
Dirigir
PO-7 � Gerenciar os recursos humanos; PO-8 � Gerenciar a qualidade; DS-1 � Definir e gerenciar níveis de serviço; DS-2 � Gerenciar serviços terceirizados; DS-3 � Gerenciar desempenho e capacidade; DS-4 � Garantir a continuidade dos serviços; DS-5 � Garantir a segurança dos sistemas; DS-6 � Identificar e alocar custos; Continua
74
DS-7 � Educar e treinar usuários; DS-8 � Gerenciar central de serviços e incidentes; DS-9 � Gerenciar a configuração; DS-10 � Gerenciar problemas; DS-11 � Gerenciar dados; DS-12 � Gerenciar o ambiente físico; DS-13 � Gerenciar operações;
Monitorar PO-8 � Gerenciar a qualidade;
DS-3 � Gerenciar desempenho e capacidade; ME-1 � Monitorar e avaliar o desempenho da TI; ME-2 � Monitorar e avaliar os controles internos; ME-3 � Assegurar conformidade com requisitos externos;
Comportamento Humano
Avaliar PO-7 � Gerenciar os recursos humanos; DS-7 � Educar e treinar usuários;
Dirigir PO-7 � Gerenciar os recursos humanos; DS-7 � Educar e treinar usuários;
Monitorar PO-7 � Gerenciar os recursos humanos; DS-7 � Educar e treinar usuários; ME-1 � Monitorar e avaliar o desempenho da TI; ME-2 � Monitorar e avaliar os controles internos;
Tabela 3.14 – Correlacionamento entre norma ISO/IEC 38500 e o modelo CobiT
4.1.2. Mapeamento ISO/IEC 38500 x ITIL
Segue abaixo a tabela 3.15, que mostra o correlacionamento entre as tarefas
dos princípios da norma ISO/IEC 38500 e a biblioteca ITIL.
Princípios ISO 38500 Cobertura da ITIL
Responsabilidade
Avaliar Gerenciamento Técnico (OS);
Dirigir Gerenciamento do Catálogo de Serviços (DS);
Monitorar Gerenciamento do Catálogo de Serviços (DS); Gerenciamento do Nível de Serviço (DS); Gerenciamento da Capacidade (DS);
Estratégia
Avaliar Gerenciamento da Capacidade (DS); Gerenciamento do Conhecimento (TS); Gerenciamento do Portfólio de Serviços (ES); Medição de Serviço (MSC);
75
Continua Dirigir Gerenciamento do Portfólio de Serviços (ES);
Gerenciamento de Fornecedor (DS); Gerenciamento Técnico (OS);
Monitorar Gerenciamento do Nível de Serviço (DS);
Gerenciamento de Capacidade (DS); Avaliação (TS); Relatório de Serviço (MSC); Medição de Serviço (MSC);
Aquisição
Avaliar Gerenciamento do Portfólio de Serviços (ES); Gerenciamento de Fornecedor (DS); Gerenciamento de Liberação e Implantação (TS); Gerenciamento do Nível de Serviço (DS);
Dirigir Gerenciamento do Nível de Serviço (DS); Gerenciamento de Liberação e Implantação (TS); Gerenciamento de Capacidade (DS); Gerenciamento de Aplicativo (OS); Gerenciamento do Portfólio de Serviços (ES); Gerenciamento de Mudança (TS); Gerenciamento de Fornecedor (DS);
Monitorar Gerenciamento Financeiro (ES); Gerenciamento de Fornecedor (DS); Gerenciamento do Nível de Serviço (DS); Avaliação (TS); Relatório de Serviço (MSC); Medição de Serviço (MSC);
Desempenho
Avaliar Gerenciamento de Disponibilidade (DS); Gerenciamento da Continuidade de Serviço (DS); Gerenciamento do Nível de Serviço (DS); Gerenciamento de Capacidade (DS); Gerenciamento de Segurança da Informação (DS);
Dirigir Gerenciamento do Nível de Serviço (DS); Gerenciamento de Capacidade (DS); Gerenciamento da Disponibilidade (DS);
Monitorar Gerenciamento Financeiro (ES); Conformidade
76
Avaliar -------------------/Nenhum processo/------------------- Continua
Dirigir Gerenciamento Técnico (OS); Gerenciamento do Nível de Serviço (DS); Gerenciamento da Disponibilidade (DS); Gerenciamento de Capacidade (DS); Gerenciamento da Continuidade de Serviço (DS); Gerenciamento de Segurança da Informação (DS); Central de Serviços (OS); Gerenciamento da Configuração e de Ativo de Serviço (TS); Gerenciamento de Problema (OS);
Monitorar Gerenciamento do Nível de Serviço (DS); Gerenciamento de Capacidade (DS); Gerenciamento da Disponibilidade (DS); Avaliação (TS); Relatório de Serviço (MSC); Medição de Serviço (MSC);
Comportamento Humano
Avaliar Gerenciamento da Demanda (ES); Gerenciamento do Portfólio de Serviços (ES); Gerenciamento Técnico (OS);
Dirigir Gerenciamento da Demanda (ES); Gerenciamento Técnico (OS);
Monitorar Gerenciamento da Demanda (ES); Gerenciamento Técnico (OS); Avaliação (TS); Relatório de Serviço (MSC); Medição de Serviço (MSC);
Tabela 3.15 – Correlacionamento entre norma ISO/IEC 38500 e o modelo ITIL
4.1.3. Relacionamento dos processos
Abaixo seguem o detalhamento dos relacionamentos entre os processos dos
modelos CobiT e ITIL e as tarefas dos princípios da norma ISO/IEC 38500. Não é
foco desta análise o nível de correlacionamento dos processos dos modelos com os
princípios da norma, mas apenas se estes existem e em quais processos e subitens.
77
4.1.4. ISO/IEC 38500 x CobiT
Na análise do correlacionamento entre a ISO/IEC 38500 e o CobiT foi
observado que todas as tarefas dos princípios são abordadas, em níveis de
aprofundamento diferentes.
4.1.4.1. Princípio da Responsabilidade
Em relação ao princípio de Responsabilidade da norma, a tarefa Avaliar foi
correlacionada com os processos PO-4 (Definir a organização de TI, os seus
processos e relacionamentos) e PO-7 (Gerenciar os recursos humanos). A tarefa
aborda as questões relacionadas às opções de delegação de responsabilidades e
avaliação das competências, que podem ser auxiliadas pelos subitens PO-4.11
(Segregação de deveres) que divide as tarefas, e conseqüentemente as
responsabilidades, facilitando o bom cumprimento das mesmas, PO-7.1
(Recrutamento e retenção de pessoal), que aborda as questões relacionadas à
avaliação antes da contratação (escolher os profissionais que melhor se enquadram
nos perfis desejados) e à manutenção dos funcionários na organização, e PO-7.2
(Competências pessoais), que aborda as questões relacionadas às competências
pessoais dos funcionários, que entre outros fatores visa incentivá-las e desenvolve-
las, para ajudar no crescimento pessoal dos funcionários, refletindo em seu
desempenho na organização.
Na tarefa Dirigir os processos correlacionados foram os PO-4 (Definir a
organização de TI, os seus processos e relacionamentos), PO-6 (Comunicar
objetivos e direcionamentos gerenciais), PO-7 (Gerenciar os recursos humanos) e
PO-10 (Gerenciar projetos). A tarefa aborda questões relativas ao recebimento de
informações necessárias para que os responsáveis atendam suas necessidades e
compromissos, e o cumprimento dos planos de acordo com as responsabilidades
delegadas. Os seguintes subitens abordam questões relativas ao recebimento de
informações, o PO-6.5 (Comunicação dos objetivos e direcionamento de TI) aborda
questões relacionadas à comunicação dos objetivos e das informações que ajudem
a atingir os objetivos, e o PO-10.13 (Monitoração, informe, e medição do
desempenho do projeto), que aborda informações acerca dos projetos na
organização. Os seguintes subitens abordam questões relativas ao cumprimento dos
planos de acordo com as responsabilidades, os PO-4.7 (Responsabilidade pela
78
garantia de qualidade da TI) e PO-4.8 (Responsabilidade pelos riscos, segurança e
regulamentação) que direciona as responsabilidades para qualidade, riscos
segurança e regulamentação, e o PO-10.10 (Plano de qualidade do projeto) auxilia o
cumprimento, pois estipula padrões (e mecanismos) de qualidade que devem ser
cumpridos.
E na tarefa Monitorar os processos correlacionados foram os PO-6
(Comunicar objetivos e direcionamentos gerenciais), PO-7 (Gerenciar os recursos
humanos), ME-1 (Monitorar e avaliar o desempenho da TI) e ME-2 (Monitorar e
avaliar os controles internos). A tarefa aborda questões relativas ao monitoramento
para o estabelecimento dos mecanismos apropriados de Governança de TI (GTI), do
reconhecimento e compreendimento das responsabilidades, e do desempenho
daqueles a quem foram delegadas a responsabilidades. Os seguintes subitens
abordam questões relativas ao monitoramento do estabelecimento dos mecanismos
apropriados de Governança de TI, o PO-6.1 (Controle do ambiente e política de TI),
incentiva a utilização de controles do ambiente e da criação de políticas de TI que
auxiliam na adoção de mecanismos de GTI, o PO-6.3 (Gerenciamento de políticas
de TI), gerencia as políticas para que elas sejam aplicadas de forma eficiente. Já em
relação ao reconhecimento e compreensão das responsabilidades, os seguintes
subitens são relacionados, o PO-7.4 (Treinamento de pessoal), que aborda questões
de aprimoramento técnico dos profissionais, o que facilita a compreensão e
reconhecimento de suas responsabilidades. Enquanto em relação ao monitoramento
do desempenho daqueles a quem foram delegadas as responsabilidades, os
seguintes subitens são relacionados, o PO-7.7 (Avaliação de desempenho do
trabalho do empregado) e o ME-1.4 (Avaliação de desempenho), que são auto-
explicativos.
4.1.4.2. Princípio da Estratégia
No princípio Estratégia da norma, os seguintes processos foram
correlacionados com a tarefa Avaliar, PO-1 (Definir um plano estratégico para a TI),
PO-2 (Definir a arquitetura da informação), PO-3 (Determinar a direção tecnológica),
PO-4 (Definir a organização de TI, os seus processos e relacionamentos) e ME-4
(Fornecer governança para TI).
79
A tarefa Avaliar aborda as questões relacionadas à avaliação dos
desenvolvimentos de TI e dos processos de negócio para garantir o apoio da TI às
necessidades futuras, que pode ser auxiliada pelos subitens PO-1.1 (Gerenciamento
do valor de TI) através da gerencia dos ativos de TI visando agregação de valor ao
negócio, garantindo o apoio da TI conseqüentemente, PO-1.4 (Plano estratégico de
TI) visando que a TI suporte as necessidades futuras da organização, e o PO-2.1
(Modelo da arquitetura da informação organizacional) de forma que a arquitetura
suporte a TI para suprir as necessidades da organização, PO-4.2 (Comissão de
estratégia de TI) para elaborar planos e ações visando o suporte da TI ao negócio,
outra questão é a avaliação das atividades de TI para assegurar que estejam
alinhadas com os objetivos da organização, que pode ser auxiliada pelos subitens
PO-1.2 (Alinhamento de TI ao negócio), PO-4.3 (Comissão de direcionamento de TI)
e PO-3.1 (Planejamento da direção tecnológica) para que a TI seja direcionada de
acordo com o negócio, e a última questão relacionada à tarefa é assegurar que a
utilização de TI seja submetida à análise e avaliações de risco, que pode ser
auxiliada pelo subitem ME-4.5 (Gerenciamento de Risco).
Em relação à tarefa Dirigir, ela aborda as questões relacionadas à preparação
e uso de planos e políticas que assegurem que a organização seja beneficiada pela
TI, que pode ser auxiliada pelos subitens PO-1.4 (Plano estratégico de TI), PO-1.5
(Planos táticos de TI), PO-3.1 (Planejamento e direção tecnológica), PO-3.2 (Plano
de infra-estrutura técnica), PO-4.2 (Comissão de estratégia de TI), PO-4.3
(Comissão de direcionamento de TI) e ME-4.1 (Estabelecimento de um framework
de GTI), e a outra questão é a de incentivo à inovação em TI, que pode ser auxiliada
pelos subitens PO-5.5 (Gerenciamento de benefícios) e PO-7.4 (Treinamento de
pessoal).
E na tarefa Monitorar, são abordadas a questões de monitoramento do
progresso das propostas de TI aprovadas, para garantir que atinjam seus objetivos
dentro dos prazos, que pode ser auxiliada pelos subitens PO-10.13 (Monitoramento,
informe, e medição do desempenho do projeto) quando as propostas incluem
projetos, ME-1.4 (Avaliação do desempenho) relacionado ao desempenho da TI,
ME-2.1 (Framework de monitoramento interno) relacionado aos processos internos
da organização. A outra questão é o monitoramento do uso da TI para assegurar o
alcance dos benefícios pretendidos que pode ser auxiliada pelos subitens ME-1.4
80
(Avaliação do desempenho) relacionado ao desempenho da TI, ME-4.4
(Gerenciamento de recursos) em relação a TI, e ME-4.6 (Medição de desempenho)
em relação à GTI.
4.1.4.3. Princípio da Aquisição
No princípio Aquisição da norma, os seguintes processos foram
correlacionados, PO-5 (Gerenciar investimento em TI), PO-8 (Gerenciar qualidade),
PO-3 (Determinar a direção tecnológica), AI-1 (Identificar soluções automatizadas),
AI-2 (Adquirir e manter software aplicativo), AI-3 (Adquirir e manter infra-estrutura
tecnológica), AI-4 (Viabilizar operação e utilização), AI-5 (Adquirir recursos de TI), AI-
6 (Gerenciar mudanças), AI-7 (Instalar e aprovar soluções e mudanças), DS-2
(Gerenciar serviços terceirizados), ME-1 (Monitorar e avaliar o desempenho da TI),
ME-2 (Monitorar e avaliar os controles internos), e ME-3 (Assegurar conformidade
com requisitos externos).
Em relação à tarefa Avaliar, ela aborda as questões relacionadas ao
fornecimento da TI de forma a atingir os objetivos das propostas aprovadas, que
pode ser auxiliada pelos subitens PO-5.5 (Gerenciamento de benefícios) onde é
avaliado se o benefício esperado em relação ao investimento é viável, AI-1.1
(Definição e manutenção de negócios funcionais e requisitos técnicos) que define as
necessidades da organização, AI-1.3 (Estudo de viabilidade e elaboração de cursos
alternativos de ação), AI-1.4 (Requisitos e decisão de viabilidade e aprovação), e
DS-2.1 (Identificação de todos os relacionamentos com fornecedores) que define
quais os objetivos a serem atingidos nos relacionamentos com os fornecedores.
Em relação à tarefa Dirigir, ela aborda as questões relacionadas à orientação
para que os ativos de TI sejam adquiridos de forma adequada e à certificação de
que os acordos de fornecimento darão suporte às necessidades da organização,
que podem ser auxiliadas pelos subitens PO-8.2 (Padrões de TI e práticas de
qualidade) e PO-8.3 (Desenvolvimento e aquisição de padrões) que influem na
orientação dos ativos de TI com base na qualidade, também todos os subitens dos
processos AI-2 (Adquirir e manter software aplicativo), AI-3 (Adquirir e manter infra-
estrutura tecnológica), AI-4 (Viabilizar operação e utilização), AI-5 (Adquirir recursos
de TI) e AI-6 (Gerenciar mudanças) se adequam, principalmente pelo CobiT ter uma
de suas principais áreas voltada à aquisição (AI - Aquisição e Implementação), e
81
complementando o subitem DS-2.2 (Gestão do relacionamento com o fornecedor) e
DS-2.3 (Gerenciamento de risco com o fornecedor).
Já a tarefa Monitorar, aborda as questões relacionadas ao monitoramento dos
investimentos de TI e da compreensão mútua das intenções da organização ao fazer
a aquisição de TI, que podem ser auxiliadas pelos subitens PO-5.2 (Priorização com
orçamento de TI), PO-5.5 (Gerenciamento de benefícios), DS-2.4 (Monitorar o
desempenho do fornecedor), ME-1.2 (Definição e coleta de dados de vigilância),
ME-1.3 (Método de monitoramento), ME-1.4 (Avaliação de desempenho), ME-2.6
(Controle interno de terceiros), ME-3.5 (Comunicação integrada).
4.1.4.4. Princípio do Desempenho
No princípio Desempenho, da norma, os seguintes processos foram
correlacionados, PO-5 (Gerenciar o investimento em TI), PO-9 (Avaliar e gerenciar
riscos de TI), PO-10 (Gerenciar projetos), DS-1 (Definir e gerenciar níveis de
serviço), DS-3 (Gerenciar desempenho e capacidade), DS-5 (Garantir a segurança
dos sistemas), ME-1 (Monitorar e avaliar o desempenho da TI), e ME-2 (Monitorar e
avaliar os controles internos).
Em relação à tarefa Avaliar, ela aborda as questões relacionadas à avaliação
das proposições dos gerentes para assegurar que a TI apoiará os processos do
negócio, avaliação dos riscos da operação das atividades de TI, avaliação dos riscos
à integridade da informação e proteção dos ativos de TI, avaliação das opções para
garantir que as decisões sobre o uso de TI sejam rápidas e eficazes, e avaliação da
eficácia e desempenho sistema de GTI da organização. Essa tarefa pode ser
auxiliada pelos seguintes subitens, PO-9.1 (Alinhamento do gerenciamento de riscos
entre negócio e TI), PO-9.2 (Estabelecimento do contexto de risco), PO-9.4
(Avaliação do risco), DS-1.1 (Framework de gerenciamento de nível de serviço), DS-
1.3 (Acordos de nível de serviço), DS-3.1 (Planejamento de desempenho e
capacidade), DS-5.1 (Gerenciamento da segurança de TI), DS-5.2 (Plano de
segurança de TI).
Em relação à tarefa Dirigir, ela aborda as questões relacionadas ao
asseguramento da alocação de recursos suficientes para atender às necessidades
da organização, e orientação da manutenção dos dados atualizados e protegidos.
Essa tarefa pode ser auxiliada pelos subitens PO-9.6 (Manutenção e monitoração do
82
plano de ação do risco), PO-10.2 (Estrutura de gerenciamento de projeto), DS-1.2
(Definição dos serviços), DS-3.2 (Capacidade e desempenho atual), DS-3.3
(Capacidade e desempenho futuro), DS-3.4 (Disponibilidade de recursos de TI), DS-
5.3 (Gerenciamento de identidade), DS-5.4 (Gerenciamento de contas de usuário),
DS-5.5 (Testes de segurança, vigilância e monitoramento), DS-5.6 (Definição de
incidentes de segurança), DS-5.7 (Proteção da tecnologia de segurança), DS-5.8
(Gerenciamento de chaves criptográficas), DS-5.9 (Prevenção, detecção e correção
de software malicioso), DS-5.10 (Segurança de rede), e DS-5.11 (Troca de dados
confidenciais).
Já a tarefa Monitorar, aborda as questões relacionadas ao monitoramento
referente até que ponto a TI dá suporte ao negócio, até que ponto os recursos e
orçamentos foram priorizados, e até que ponto as políticas são seguidas
corretamente, os seguintes subitens auxiliam essa tarefa, PO-5.2 (Priorização com
orçamento de TI), ME-1.1 (Abordagem de acompanhamento), ME-1.5 (Relatório da
administração), ME-2.2 (Revisão de Fiscalização), ME-2.5 (Garantia de controle
interno).
4.1.4.5. Princípio da Conformidade
No princípio Conformidade da norma, os seguintes processos foram
correlacionados, PO-7 (Gerenciar os recursos humanos), PO-8 (Gerenciar a
qualidade), DS-1 (Definir e gerenciar níveis de serviço), DS-2 (Gerenciar serviços
terceirizados), DS-3 (Gerenciar desempenho e capacidade), DS-4 (Garantir a
continuidade dos serviços), DS-5 (Garantir a segurança dos sistemas), DS-6
(Identificar e alocar custos), DS-7 (Educar e treinar usuários), DS-8 (Gerenciar
central de serviços e incidentes), DS-9 (Gerenciar a configuração), DS-10 (Gerenciar
problemas), DS-11(Gerenciar dados), DS-12 (Gerenciar o ambiente físico), DS-13
(Gerenciar operações), ME-1 (Monitorar e avaliar o desempenho da TI), ME-2
(Monitorar e avaliar os controles internos), e ME-3 (Assegurar conformidade com
requisitos externos).
Em relação à tarefa Avaliar, ela aborda as questões relacionadas a avaliar
regularmente até que ponto a TI cumpre com as obrigações, políticas internas,
normas, melhores práticas profissionais, além da conformidade interna da
organização com seu sistema de GTI. Essa tarefa pode ser auxiliada pelos
83
seguintes subitens, ME-2.1 (Framework de monitoramento do controle interno), ME-
2.4 (Controle de auto-avaliação), ME-2.5 (Garantia de controle interno), ME-3.3
(Avaliação da conformidade com os requisitos regulamentares).
Em relação à tarefa Dirigir, ela aborda as questões relacionadas à garantia de
que o uso de TI está em conformidade com as exigências legais e com as normas e
melhores práticas, exigência de que as políticas sejam estabelecidas e cumpridas
para permitir que a organização cumpra com suas obrigações internas no uso de TI,
exigência de que os profissionais de TI ajam de acordo com as melhores práticas de
comportamento e desenvolvimento profissional, e exigência de que todas as ações
relacionadas com a TI sejam éticas. Os seguintes subitens auxiliam essa tarefa, PO-
7.3 (Regras de equipe), PO-7.4 (Treinamento de pessoal), PO-8.1 (Sistema de
gerenciamento de qualidade), PO-8.2 (Padrões de TI e práticas de qualidade), PO-
8.3 (Desenvolvimento e aquisição de padrões), DS-1.1 (Framework de
gerenciamento do nível de serviço), DS-1.6 (Revisão de acordos de nível de serviço
e contratos), DS-2.1 (Identificação de todos os relacionamentos com fornecedores),
DS-3.4 (Disponibilidade de recursos de TI), DS-4.4 (Manutenção do plano de
continuidade de TI), DS-5.1 (Gerenciamento da segurança de TI), DS-6.1 (Definição
dos serviços), DS-7.1 (Identificação das necessidades de educação e formação),
DS-7.2 (Entrega de formação e educação), DS-8.1 (Central de serviços), DS-9.1
(Configuração do repositório e referência), DS-9.2 (Pontos de identificação e
manutenção de configuração), DS-10.1 (Identificação e classificação de problemas),
DS-10.2 (Acompanhamento do problema e resolução), DS-11.1 (Requisitos de
negócios para gestão de dados), DS-12.5 (Gestão de instalações físicas), DS-13.1
(Procedimentos de Operações e Instruções).
Já a tarefa Monitorar, aborda as questões relacionadas ao monitoramento
referente ao cumprimento e conformidade da TI por relatos apropriados e práticas de
auditoria, além de monitorar as atividades de TI. Os seguintes subitens auxiliam
essa tarefa, PO-8.6 (Medição de qualidade, monitoramento e revisão), DS-3.5
(Monitoramento e comunicação), ME-1.3 (Método de monitoramento), ME-2.1
(Framework de monitoramento interno), ME-3.1 (Identificação das leis e
regulamentos que têm impacto potencial na TI), ME-3.3 (Avaliação da conformidade
com os requisitos regulamentares).
84
4.1.4.6. Princípio do Comportamento Humano
No princípio Comportamento Humano da norma, os seguintes processos
foram correlacionados, PO-7 (Gerenciar os recursos humanos), DS-7 (Educar e
treinar usuários), DS-7 (Educar e treinar usuários), ME-1 (Monitorar e avaliar o
desempenho da TI), ME-2 (Monitorar e avaliar os controles internos).
Em relação à tarefa Avaliar, ela aborda as questões relacionadas à avaliar as
atividades de TI para garantir que os comportamento humanos sejam identificados e
apropriadamente considerados. Essa tarefa pode ser auxiliada pelos seguintes
subitens, PO-7.2 (Competências pessoais), PO-7.5 (Dependência sobre
individualidades), PO-7.6 (Procedimentos de apuramento pessoal), DS-7.1
(Identificação das necessidades de educação e formação).
Em relação à tarefa Dirigir, ela aborda as questões relacionadas à exigência
que as atividades de TI sejam compatíveis com as diferenças do comportamento
humano, além de exigir que os riscos, oportunidades, constatações e preocupações
possam ser identificados e relatados por qualquer pessoa a qualquer momento. Os
seguintes subitens auxiliam essa tarefa, PO-7.6 (Procedimentos de apuramento
pessoal), DS-7.1 (Identificação das necessidades de educação e formação).
Já a tarefa Monitorar, aborda as questões relacionadas ao monitoramento
referente às atividades de TI para garantir que os comportamentos humanos
identificados permaneçam relevantes e que lhe sejam dadas a devida atenção, além
de monitorar as práticas de trabalho para garantir que são consistentes com o uso
apropriado da TI. Os seguintes subitens auxiliam essa tarefa, PO-7.7 (Avaliação de
desempenho do trabalho do empregado), DS-7.3 (Avaliação da formação recebida),
ME-1.3 (Método de monitoramento), ME-2.1 (Framework de monitoramento do
controle interno).
4.1.5. ISO/IEC 38500 x ITIL
Na análise do correlacionamento entre a ISO/IEC 38500 e a ITIL foi
observado que nem todas as tarefas dos princípios são abordadas, e as que são
abordadas têm níveis de aprofundamento diferentes (este, porém, não é o foco
desta análise).
85
4.1.5.1. Princípio da Responsabilidade
No princípio Responsabilidade da norma, em relação à tarefa Avaliar, são
abordadas questões relacionadas às opções de delegação de responsabilidades e
avaliação das competências daqueles a quem foi delegada a responsabilidade. Essa
tarefa pode ser auxiliada pelo processo Gerenciamento Técnico (da publicação
Operação de Serviço) da ITIL, que é relacionado aos grupos, áreas ou equipes que
possuem experiência e conhecimento técnico especializado para suportar as
operações, auxiliando para que eles sejam capazes de cumprir com suas
obrigações.
Em relação à tarefa Dirigir, ela aborda as questões relativas ao recebimento
de informações necessárias para que os responsáveis atendam suas necessidades
e compromissos, que auxiliada pelo processo Gerenciamento do Catálogo de
Serviços (da publicação Desenho do Serviço), e o cumprimento dos planos de
acordo com as responsabilidades delegadas, que não foi relacionada com nenhum
processo.
Já a tarefa Monitorar, aborda as questões relativas ao monitoramento para o
estabelecimento dos mecanismos apropriados de Governança de TI (GTI), do
reconhecimento e compreendimento das responsabilidades, além do desempenho
daqueles a quem foram delegadas a responsabilidades. Os seguintes processos da
ITIL, todos da publicação Desenho de Serviço, podem auxiliar esta tarefa, o
processo de Gerenciamento do Catálogo de Serviços que garante uma fonte única
de informações consistentes e atualizadas sobre os serviços, de forma a detalhar
seus relacionamentos, facilitando seu monitoramento e servindo de referencia para
análise do desempenho do serviço de TI, o processo de Gerenciamento do Nível de
Serviço aborda, entre outras atividades, o estabelecimento de acordo de metas de
desempenho e responsabilidades mútuas, e o processo de Gerenciamento da
Capacidade que visa assegurar que a capacidade de infra-estrutura absorva as
demandas evolutivas do negócio, incluindo práticas de monitoramento dos
responsáveis pela infra-estrutura de TI para assegurar o alcance de seus objetivos.
4.1.5.2. Princípio da Estratégia
No princípio Estratégia da norma, em relação à tarefa Avaliar, são abordadas
as questões relacionadas à avaliação dos desenvolvimentos de TI e dos processos
86
de negócio para garantir o apoio da TI às necessidades futuras, outra questão é a
avaliação das atividades de TI para assegurar que estejam alinhadas com os
objetivos da organização, essas questões podem ser auxiliadas pelos processos de
Gerenciamento do Portfólio de Serviços (da publicação Estratégia de Serviço) que
visa governar os investimentos e gerenciá-los para que adicionem valor ao negócio,
Gerenciamento de Capacidade (da publicação Desenho de Serviço) que visa
assegurar que a TI absorva as demandas do negócio, Gerenciamento do
Conhecimento (da publicação Transição de Serviço) que visa à entrega correta da
informação na organização, que influencia na arquitetura da informação, que está
ligada ao apoio da TI ao negócio, e o processo Medição de Serviço (da publicação
Melhoria de Serviço Continuada) que visa prover informações sobre o serviço dentro
de uma visão completa orientada à integração com o negócio. Há uma última
questão abordada por esta tarefa, que é a de assegurar que a utilização de TI seja
submetida à análise e avaliações de risco, que pode ser auxiliada pelo processo de
Gerenciamento da Disponibilidade (da publicação Desenho de Serviço) que visa
assegurar que os serviços de TI sejam projetados para atender e preservar os níveis
de disponibilidade e confiabilidade requeridos pelo negócio, minimizando os riscos
de interrupção.
Em relação à tarefa Dirigir, ela aborda as questões relacionadas à preparação
e uso de planos e políticas que assegurem que a organização seja beneficiada pela
TI, e a outra questão é a de incentivo à inovação em TI, que podem ser auxiliadas
pelos processos Gerenciamento do Portfólio de Serviços (da publicação Estratégia
de Serviços) que gerencia os investimentos para que adicionem valor ao negócio, o
Gerenciamento de Fornecedor (da publicação Desenho de Serviço), e o
Gerenciamento Técnico (da publicação Operação de Serviço) que procura garantir
que haja recursos treinados (profissionais) para operar e melhorar os serviços.
E na tarefa Monitorar, são abordadas as questões de monitoramento do
progresso das propostas de TI aprovadas para garantir que atinjam seus objetivos
dentro dos prazos, e o monitoramento do uso da TI para assegurar o alcance dos
benefícios pretendidos, que podem ser auxiliadas pelos processos Gerenciamento
do Nível de Serviço (da publicação Desenho de Serviço) que visa manter a
qualidade dos serviços de TI, o Gerenciamento de Capacidade (da publicação
Desenho de Serviço) que auxilia no cumprimento dos objetivos fornecendo a infra-
87
estrutura necessária para os serviços de TI, o processo de Avaliação (da publicação
Transição de Serviço) que cria meios padronizados para avaliação do desempenho
em uma transição de serviço, confrontando-o com metas previstas e gerenciando os
desvios encontrados, o processo Relatório de Serviço (da publicação Melhoria de
Serviço Continuada) que compõe relatórios de serviço com base no monitoramento
do mesmo, e o processo Medição de Serviço (da publicação Melhoria de Serviço
Continuada) que provê informações sobre o serviço dentro de uma visão completa
orientada à integração com o negócio, o que ajuda no monitoramento dos serviços.
4.1.5.3. Princípio da Aquisição
No princípio Aquisição da norma, os seguintes processos foram
correlacionados, em relação á tarefa Avaliar, que aborda questões relacionadas ao
fornecimento da TI de forma a atingir os objetivos das propostas aprovadas, que
podem ser auxiliadas pelos processos Gerenciamento do Portfólio de Serviços (da
publicação Estratégia de Serviço), Gerenciamento de Fornecedor (da publicação
Desenho de Serviço) que gerencia os fornecedores e contratos necessários,
Gerenciamento de Liberação e Implantação (da publicação Transição de Serviço)
que gerencia o tratamento de mudanças em um serviço de TI, Gerenciamento do
Nível de Serviço (da publicação Desenho de Serviço) que visa manter a qualidade
dos serviços de TI.
Em relação à tarefa Dirigir, ela aborda as questões relacionadas à orientação
para que os ativos de TI sejam adquiridos de forma adequada e certifica-se que os
acordos de fornecimento darão suporte às necessidades da organização, que
podem ser auxiliadas pelos processos Gerenciamento do Nível de Serviço (da
publicação Desenho de Serviço) que visa manter e melhorar a qualidade dos
serviços de TI, Gerenciamento de Liberação e Implantação (da publicação Transição
de Serviço) que gerencia o tratamento de mudanças em um serviço de TI de
maneira que ele continue dando suporte ao negócio, Gerenciamento de Capacidade
(da publicação Desenho de Serviço) que visa assegurar que a infra-estrutura de TI
suporte as demandas do negócio, a função Gerenciamento de Aplicativo (da
publicação Operação de Serviço) que gerencia os aplicativos ao longo de seu ciclo
de vida, Gerenciamento do Portfólio de Serviços (da publicação Estratégia de
88
Serviço), Gerenciamento de Mudança (da publicação Transição de Serviço),
Gerenciamento de Fornecedor (da publicação Desenho de Serviço).
Já a tarefa Monitorar, aborda as questões relacionadas ao monitoramento dos
investimentos de TI e da compreensão mútua das intenções da organização ao fazer
a aquisição de TI, que podem ser auxiliadas pelos processos Gerenciamento
Financeiro (da publicação Estratégia de Serviço) que lida diretamente com os
investimentos, Gerenciamento de Fornecedor (da publicação Desenho de Serviço)
que gerencia fornecedores e contratos para suportar os serviços por eles prestados,
Gerenciamento do Nível de Serviço (da publicação Desenho de Serviço) que aborda
a qualidade dos serviços, Avaliação (da publicação Transição de Serviço)que avalia
o desempenho de uma infra-estrutura de TI, Relatório de Serviço (Melhoria de
Serviço Continuada) que compõe relatórios para monitoramento, Medição de
Serviço (Melhoria de Serviço Continuada) provê informações em uma visão
integrada com o negócio.
4.1.5.4. Princípio do Desempenho
No princípio Desempenho da norma, em relação à tarefa Avaliar, são
abordadas questões relacionadas à avaliação das proposições dos gerentes para
assegurar que a TI apoiará os processos do negócio, avaliação dos riscos da
operação das atividades de TI, avaliação dos riscos à integridade da informação e
proteção dos ativos de TI, avaliação das opções para garantir que as decisões sobre
o uso de TI sejam rápidas e eficazes, e avaliação da eficácia e desempenho do
sistema de GTI da organização. Essa tarefa pode ser auxiliada pelos processos
Gerenciamento de Disponibilidade (da publicação Desenho de Serviço) que visa
assegurar que os serviços de TI atendam aos níveis de disponibilidade e
confiabilidade, Gerenciamento da Continuidade de Serviço (da publicação Desenho
de Serviço) que foca na recuperação do serviço de TI em caso de queda, pausa ou
falha, Gerenciamento do Nível de Serviço (da publicação Desenho de Serviço) que
visa gerenciar a qualidade dos serviços de TI, Gerenciamento de Capacidade (da
publicação Desenho de Serviço) que visa garantir que a infra-estrutura de TI suporte
as necessidades do negócio, Gerenciamento de Segurança da Informação (da
publicação Desenho de Serviço) que abrange processos relacionados à garantia de
confidencialidade, integridade e disponibilidade.
89
Em relação à tarefa Dirigir, ela aborda as questões relacionadas ao
asseguramento da alocação de recursos suficientes para atender às necessidades
da organização, e orientação da manutenção dos dados atualizados e protegidos.
Essa tarefa pode ser auxiliada pelos processos Gerenciamento do Nível de Serviço
(da publicação Desenho de Serviço) que visa gerenciar a qualidade dos serviços de
TI, Gerenciamento de Capacidade (da publicação Desenho de Serviço) que visa
prover uma infra-estrutura de TI que suporte as demandas do negócio, e o
Gerenciamento da Disponibilidade (da publicação Desenho de Serviço) que visa
assegurar que os serviços de TI preservem os níveis de disponibilidade e
confiabilidade requeridos pelo negócio.
Já a tarefa Monitorar, aborda as questões relacionadas ao monitoramento
referente até que ponto a TI dá suporte ao negócio, até que ponto os recursos e
orçamentos foram priorizados, o seguinte processo auxilia essa questão,
Gerenciamento Financeiro (da publicação Estratégia de Serviço) que aborda a
questão do orçamento. Há outra questão desta tarefa, que é até que ponto as
políticas são seguidas corretamente, porém não foi encontrado nenhum processo da
ITIL que auxilie diretamente essa questão.
4.1.5.5. Princípio da Conformidade
No princípio Conformidade da norma, em relação à tarefa Avaliar, que aborda
as questões relacionadas à avaliar regularmente até que ponto a TI cumpre com as
obrigações com, políticas internas, normas, melhores práticas profissionais, além da
conformidade interna da organização com seu sistema de GTI, não foi
correlacionado nenhum processo que aplicasse alguma destas questões
diretamente.
Em relação à tarefa Dirigir, que aborda as questões relacionadas à garantia
de que o uso de TI está em conformidade com as exigências legais e com as
normas e melhores práticas, à exigência de que as políticas sejam estabelecidas e
cumpridas para permitir que a organização cumpra com suas obrigações internas no
uso de TI, à exigência de que os profissionais de TI ajam de acordo com as
melhores práticas de comportamento e desenvolvimento profissional, e à exigência
de que todas as ações relacionadas com a TI sejam éticas. Os seguintes processos
podem auxiliar essa tarefa, Gerenciamento Técnico (da publicação Operação de
90
Serviço) que aborda questões de treinamento dos funcionários que pode auxiliar na
questão de agir de acordo com as melhores práticas e com ética, Gerenciamento do
Nível de Serviço (da publicação Desenho de Serviço) que visa garantir a qualidade
dos serviços de TI e pode auxiliar a questão de conformidade com as normas e
melhores práticas, e estabelecimento e cumprimento das políticas, Gerenciamento
da Disponibilidade (da publicação Desenho de Serviço), Gerenciamento de
Capacidade (da publicação Desenho de Serviço), Gerenciamento da Continuidade
de Serviço (DS), Gerenciamento de Segurança da Informação (da publicação
Desenho de Serviço) que podem auxiliar na segurança oferecida aos serviços,
Central de Serviços (da publicação Operação de Serviço) que visa responder
rapidamente às questões, reclamações e problemas permitindo que os serviços
sejam oferecidos com o graus de qualidade esperado, Gerenciamento da
Configuração e de Ativo de Serviço (da publicação Transição de Serviço) que pode
auxiliar na proteção da integridade dos ativos de TI, e Gerenciamento de Problema
(da publicação Operação de Serviço) que visa minimizar os impactos adversos de
incidentes e problemas para o negócio.
Já a tarefa Monitorar, aborda as questões relacionadas ao monitoramento
referente ao cumprimento e conformidade da TI por relatos apropriados e práticas de
auditoria, além de monitorar as atividades de TI. Os seguintes processos podem
auxiliar essa tarefa, Gerenciamento do Nível de Serviço (da publicação Desenho de
Serviço) que visa garantir a qualidade dos Serviços de TI, utilizando de
monitoramento inclusive, Gerenciamento de Capacidade (da publicação Desenho de
Serviço) e Gerenciamento da Disponibilidade (da publicação Desenho de Serviço)
que afetam a questão de cumprimento e conformidade para a infra-estrutura de TI,
Avaliação (da publicação Transição de Serviço) que visa criar meios padronizados e
consistentes para avaliar o desempenho do serviço TI, em fase de mudança
principalmente, Relatório de Serviço (Melhoria de Serviço Continuada) e Medição de
Serviço (Melhoria de Serviço Continuada) que auxiliam a questão da auditoria
quanto ao cumprimento e conformidade da TI.
4.1.5.6. Princípio do Comportamento Humano
No princípio Comportamento Humano da norma, em relação à tarefa Avaliar,
ela aborda as questões relacionadas à avaliar as atividades de TI para garantir que
91
os comportamento humanos sejam identificados e apropriadamente considerados.
Essa tarefa pode ser auxiliada pelos seguintes processos, Gerenciamento da
Demanda (da publicação Estratégia de Serviço) onde de acordo com a demanda do
serviço o foco nas necessidades de pessoal pode ser acionado, Gerenciamento do
Portfólio de Serviços (da publicação Estratégia de Serviço) que visa agregar valor ao
negócio, e dependendo da situação os fatores ligados ao comportamento humano
podem ser evidenciados, e Gerenciamento Técnico (da publicação Operação de
Serviço) que é relacionado ao treinamento, capacitação e auxílio às equipes e
profissionais da organização de forma a incentivar que eles supram as necessidades
da empresa da melhor maneira possível.
Em relação à tarefa Dirigir, ela aborda as questões relacionadas à exigência
que as atividades de TI sejam compatíveis com as diferenças do comportamento
humano, além de exigir que os riscos, oportunidades, constatações e preocupações
possam ser identificados e relatados por qualquer pessoa a qualquer momento. Os
seguintes processos auxiliam essa tarefa, Gerenciamento da Demanda (da
publicação Estratégia de Serviço) que pode direcionar a identificação de riscos,
oportunidades, constatações e preocupações dependendo da situação, e
Gerenciamento Técnico (da publicação Operação de Serviço) que pode incentivar os
funcionários a ficarem atentos às questões dessa tarefa, dando-lhes liberdade para
relatar fatos e sugerir melhorias.
Já a tarefa Monitorar, aborda as questões relacionadas ao monitoramento
referente às atividades de TI para garantir que os comportamentos humanos
identificados permaneçam relevantes e que lhe sejam dadas a devida atenção, além
de monitorar as práticas de trabalho para garantir que são consistentes com o uso
apropriado da TI. Os seguintes processos auxiliam essa tarefa, Gerenciamento da
Demanda (da publicação Estratégia de Serviço), Gerenciamento Técnico (da
publicação Operação de Serviço), Avaliação (da publicação Transição de Serviço),
Relatório de Serviço (Melhoria de Serviço Continuada), e Medição de Serviço
(Melhoria de Serviço Continuada).
4.2. Considerações Finais
92
Este estudo é um indicador de que os modelos CobiT e ITIL provêem
cobertura em todas as áreas dos princípios da norma, porém a cobertura é maior ou
menor dependendo das tarefas dos princípios.
O CobiT tem uma proposta muito forte quanto ao controle dos processos de
TI, e aborda todas as tarefas da norma. Observa-se que os princípios onde o CobiT
se mostrou mais presente foram no de Responsabilidade, Estratégia, Aquisição,
Desempenho e Conformidade, pois o CobiT demonstrou ter uma visão bastante
ampla em relação à TI na organização, incentivando seu uso de forma estratégica e
permitindo controle sobre desempenho e conformidade dos processos de TI através
de um monitoramento regular.
Entretanto em relação ao princípio Comportamento Humano o CobiT é mais
superficial, abordando questões mais voltadas ao treinamento e educação dos
usuários de TI na organização, dando menos importância à questões mais amplas
como identificação dos comportamentos humanos e adequação dos processos de TI
para que sejam compatíveis com as diferenças de comportamento na organização.
A ITIL, que é voltada para o gerenciamento de serviços, mostrou-se forte nos
princípios de Aquisição, Desempenho e Conformidade, tratando em especial de
serviços de TI, este último, porém, mostra-se limitado na tarefa Avaliar pois a ITIL
não possui processos voltados à avaliação regular da conformidade da TI em
relação às suas obrigações, políticas internas e melhores práticas.
Em relação ao princípio de Responsabilidade a ITIL não aborda
completamente tarefa dirigir, não especificando nenhum processo que exija que os
planos de TI sejam cumpridos de acordo com as responsabilidades delegadas,
indicando uma cobertura incompleta. Enquanto seus processos e funções
relacionados ao princípio de Comportamento Humano são mais voltados para o
treinamento das equipes envolvidas nos serviços, deixando questões mais amplas
abordadas no princípio sem a devida atenção.
Com esses indicadores, supõe-se que a combinação da norma ISO/IEC
38500 com o modelo CobiT e a biblioteca ITIL poderá permitir a utilização das
potencialidades de cada uma dessas propostas para o desenvolvimento de um
modelo único de GTI na organização que facilite identificar: o que, quem, como e
que recursos tecnológicos utilizar para o alcance da Governança Corporativa.
93
4.2.1. Sugestões para trabalhos futuros
Como sugestão para trabalhos futuros, tendo como ponto inicial este trabalho,
segue os seguintes tópicos:
a) Estudo correlacional indicando o nível de cobertura (aprofundamento)
dos modelos em relação aos princípios da norma ISO/IEC 38500;
b) Proposição de um modelo genérico de implantação de GTI com base
na norma ISO/IEC 38500, modelo CobiT e biblioteca ITIL;
c) Relacionar outros modelos que supram os processos que faltam, ou
não cobrem satisfatoriamente, as tarefas dos princípios da norma.
94
5. Referências Bibliográficas
ABNT NBR ISO/IEC 38500. Governança corporativa de tecnologia da informação.
ABNT, 2009.
ANDRADE, M. M.. Introdução à Metodologia do Trabalho Científico. São Paulo:
Atlas, 2006.
BORGES, Ana Paula Dornelles. Governança de TI: Um Estudo de Caso em uma
Instituição Financeira. Trabalho de Conclusão de Curso (Graduação em
Informática) – Universidade do Vale do Rio dos Sinos, São Leopoldo. 2005.
Disponível em:
http://www.audiovisual.unisinos.br/inf/images/stories/Inf/01tc_anapaula_borges.pdf -
Acesso em: 05 de outubro de 2009.
CARVALHO, Carlos Augusto da Costa. Verdades sobre Governança de TI, 2007.
Disponível em:
http://imasters.uol.com.br/artigo/7573/governanca/verdades_sobre_governanca_de_t
i/ - Acesso em: 06 de outubro de 2009.
CERVO, Amado L.; BERVIAN, Pedro A.; DA SILVA, Roberto. Metodologia
Científica. São Paulo: Afiliada, 2006.
CHIZZOTTI, Antonio. Pesquisa Qualitativa em Ciências Humanas e Sociais.
Petrópolis: Vozes, 2006.
CobiT 4.1 Executive Sumary Framework, 2007. Disponível em:
http://www.isaca.org/AMTemplate.cfm?Section=Downloads&Template=/ContentMan
agement/ContentDisplay.cfm&ContentID=34172 - Acesso em: 14 de outubro de
2009.
95
CobiT mapping: mapping of ITIL with CobiT 4.0, 2007. Disponível em:
http://4allebook.files.wordpress.com/2009/02/cobit-mapping-mapping-of-itil-with-
cobit-40.pdf - Acesso em: 20 de outubro de 2009.
DEMO, Pedro. Metodologia Científica em Ciências Sociais. São Paulo: Atlas,
1995.
FERNANDES, Aguinaldo Aragon; ABREU, Vladimir Ferraz de. Implantando a
governança de TI: da estratégia à gestão dos processos e serviços. 2. ed. Rio de
Janeiro: Brasport, 2008.
GARCIA, Felix Arthur. Governança Corporativa. Trabalho de Conclusão de Curso
(Graduação em Economia) – Universidade Federal do Rio de Janeiro, Rio de
Janeiro. 2005. Disponível em:
http://www.cvm.gov.br/port/public/publ/ie_ufrj_cvm/Felix%20_Arthur_C_Azevedo_Ga
rcia.pdf - Acesso em: 01 de setembro de 2009.
IBGC, Instituto Brasileiro de Governança Corporativa. Origem da boa governança.
Disponível em: http://www.ibgc.org.br/Secao.aspx?CodSecao=18 - Acesso em: 01
de setembro de 2009.
ITGI, IT Governance Institute. Executive Summary. CobiT 4.1 Excerpt. Disponível
em:
http://www.isaca.org/AMTemplate.cfm?Section=Downloads&Template=/ContentMan
agement/ContentDisplay.cfm&ContentID=34172 - Acesso em: 06 de setembro de
2009.
LAURINDO, Fernando José Barbin et al. O papel da tecnologia da informação (TI)
na estratégia das organizações. Gestão & Produção, Escola politécnica da USP,
São Paulo, v.8, n.2, p.160-179, ago. 2001. Disponível em:
http://www.scielo.br/pdf/gp/v8n2/v8n2a04.pdf - Acesso em: 25 de setembro de 2009.
96
LEITE, José Alfredo Américo. Metodologia de Elaboração de Teses. São Paulo:
McGraw-Hill do Brasil Ltda, 1978.
MARCONI, Marina de Andrade & LAKATOS, Eva Maria. Técnicas de pesquisa. 2.
ed. São Paulo: Atlas, 1990.
Página oficial da ABNT – Associação Brasileira de Normas Técnicas.
http://www.abnt.org.br - Último acesso em: 25 de setembro de 2009.
Página oficial da ISACA – Information Systems Audit and Control Association.
http://www.isaca.org - Último acesso em: 19 de outubro de 2009.
Página oficial da ISO – International Organization for Standardization.
http://www.iso.org - Último acesso em: 25 de setembro de 2009.
Página oficial da ITIL no site da OGC – Office of Government Commerce.
http://www.itil.co.uk - Último acesso em: 21 de outubro de 2009.
Página oficial da itSMF (IT Service Management Forum) no Reino Unido.
http://www.itsmf.com - Último acesso em: 21 de outubro de 2009.
Página oficial do ITGI (IT Governance Institute). http://www.itgi.org - Último acesso
em: 21 de outubro de 2009.
SODRÉ, Marília Gabriela; SOUZA, Suzana Maria de. Uma Análise Comparativa de
Metodologias para Governança de Tecnologia da Informação – ITIL e COBIT.
Trabalho de Conclusão de Curso (Graduação em Ciência da Computação) –
Universidade Federal de Santa Catarina, Florianópolis. 2007. Disponível em: <
http://projetos.inf.ufsc.br/arquivos_projetos/projeto_568/Projeto%20Suzana_Marilia.p
df> - Acesso em: 16 de setembro de 2009.
STRASSBURG, Udo; BAZZOTI, Cristiane; FONSECA, Eva Fabiani de Mello. A
tecnologia da informação como diferencial competitivo para as empresas.
97
Revista eletrônica Ciências Sociais em Perspectiva. v.6, n 11, 2º sem. 2007.
Disponível em: <http://www.e-
revista.unioeste.br/index.php/ccsaemperspectiva/article/download/1503/1221> -
Acesso em: 14 de julho de 2009.
98
Monografia de Graduação apresentada por Thiago Marques de Oliveira, do Curso de
Graduação em Sistemas de Informação da Faculdade de Ciência e Tecnologia de Caruaru -
Universidade de Pernambuco, sob o título “Uma Abordagem Correlacional dos Modelos
CobiT / ITIL e da Norma ABNT NBR ISO/IEC 38500:2009 para o Tema Governança
Corporativa de Tecnologia da Informação”, orientada pelo Prof. Fernando Pontual de Souza
Leão Júnior e aprovada pela Banca Examinadora formada pelos professores:
Visto e permitida a impressão.
Caruaru, 18 de dezembro de 2009.