Вы находитесь на странице: 1из 634

3a EDIO

Copyright 2012 por Brasport Livros e Multimdia Ltda.


Todos os direitos reservados. Nenhuma parte deste livro poder ser reproduzida, sob qualquer meio, especialmente
em fotocpia (xerox), sem a permisso, por escrito, da Editora.
1 edio: 2006
Reimpresso: 2007
2 edio: 2008
Reimpresses: 2009, 2010, 2011
3 edio: 2012
Editor: Sergio Martins de Oliveira
Diretora: Rosa Maria Oliveira de Queiroz
Gerente de Produo Editorial: Marina dos Anjos Martins de Oliveira
Reviso: Maria Ins Galvo
Editorao Eletrnica: Abreus System Ltda.
Capa: Use Design
CMM, CMMI, SCAMPI so marcas registradas da Carnegie Mellon University (Software Engineering Institute).
CobiT, CobiT Foundation, Information Systems Audit and Control Association, ISACA, IT Governance Institute,
ITGI, CISA, CISM, Val IT, Risk IT e CGEIT so marcas registradas da ISACA e do IT Governance Institute.
PMBOK, PMP, CAPM e PgMP so marcas registradas do Project Management Institute (PMI).
ITIL e PRINCE2 so marcas registradas do OGC (Office for Government Commerce).
TOGAF uma marca registrada do The Open Group.
eSCM-SP e eSCM-CL so marcas registradas da Carnegie Mellon University (Information Technology Services
Qualification Center).
BPM CBOK uma marca registrada da Association of Business Process Management Professionals (ABPMP).
BABOK uma marca registrada do International Institute of Business Analysis (IIBA).
Outros produtos e nomes de empresas mencionadas neste livro podem ser marcas registradas de seus respectivos proprietrios.
Tcnica emuita ateno foram empregadas na produo deste livro. Porm, erros de digitao e/ou impresso podem ocorrer. Qualquer dvida, inclusive de conceito, solicitamos enviar mensagem para editorial@brasport.com.br, para que nossa
equipe, juntamente com o autor, possa esclarecer. A Brasport e o(s) autor(es) no assumem qualquer responsabilidade por
eventuais danos ou perdas a pessoas ou bens, originados do uso deste livro.

BRASPORT Livros e Multimdia Ltda.


Rua Pardal Mallet, 23 Tijuca
20270-280 Rio de Janeiro-RJ
Tels. Fax: (21) 2568.1415/2568.1507
e-mails: marketing@brasport.com.br

vendas@brasport.com.br

editorial@brasport.com.br
site:
www.brasport.com.br
Filial
Av. Paulista, 807 conj. 915
01311-100 So Paulo-SP
Tel. Fax (11): 3287.1752
e-mail: filialsp@brasport.com.br

A todos os profissionais, executivos de negcios e de


informtica e alunos com quem ao longo desses anos
tive a oportunidade de conviver e de compartilhar conhecimento e com os quais tambm aprendi e continuo aprendendo.
Aguinaldo Aragon Fernandes
minha esposa Juliana, pelo apoio sempre presente
durante as muitas horas de pesquisa, aos meus pais
Isis e Nilson, por incentivarem desde cedo o gosto
pelo estudo e pela escrita, e pequena Ana Luiza, minha mais nova inspirao em todos os momentos.
Vladimir Ferraz de Abreu


Agradecimentos

Esta terceira edio do livro no seria realidade sem o concurso de vrios


profissionais e organizaes, dentre os quais destacamos:
A Antonio Carlos Abuhab Fernandes e Maritza Maura de Carvalho, Msc.,
renomados consultores do mercado e especialistas, respectivamente, em Governana SOA e Governana de Dados, pelas valorosas contribuies e pelo
aporte de conhecimento ao Captulo 13 desta edio.
Ao itSMF Brasil e ao Captulo So Paulo da ISACA, pelo apoio divulgao deste livro em mbito nacional, desde a sua primeira edio.
Ao colega Tiago Nogueira de Carvalho, por nos auxiliar na questo do
dashboard.
A uma organizao, a qual no podemos citar, que merece nosso agradecimento e admirao por ser uma fonte de incentivo, experincia, inovao
e aprendizado em Governana de TI e em Governana Corporativa de uma
forma geral.
Aos nossos alunos e participantes de cursos e palestras sobre Governana
de TI, que, alm de fazerem um controle da qualidade, contribuem com suas
experincias prticas.
Aos nossos milhares de leitores, que fizeram desta obra uma referncia e
um best-seller em Governana de TI.
Aguinaldo Aragon Fernandes
Vladimir Ferraz de Abreu


Sobre

os

Autores

Aguinaldo Aragon Fernandes, Dsc


Bacharel em Administrao de Empresas pela Universidade Federal do
Rio Grande do Sul (1976), Mestre em Cincias em Administrao pela
COPPEAD, Universidade Federal do Rio de Janeiro (1983) e Doutor em
Engenharia de Produo pela Escola Politcnica de Engenharia da USP
(2000). Profissional e pesquisador da rea de tecnologia da informao
com atuao no mercado superior a 36 anos. autor de vrios trabalhos
publicados, dentre os quais os livros Planejamento e Controle de Sistemas
de Informao, publicado em 1984, Gerncia de Projetos de Sistemas:
uma abordagem prtica, publicado em 1989, Gerncia Estratgica da
Tecnologia da Informao: como obter vantagens competitivas, publicado
em 1992, todos pela Livros Tcnicos e Cientficos, Gerncia de Software
atravs de mtricas, publicado pela Editora Atlas em 1995, e Fbrica de
Software: implantao e gesto de operaes, publicado pela Editora Atlas
em 2004. Ao longo de sua carreira atuou como analista, gerente e diretor
em empresas de prestao de servios em informtica e gesto empresarial,
tendo prestado servios tanto para instituies pblicas como privadas, de
mdio e grande porte. Na indstria de servios de TI foi pioneiro no desenvolvimento de produtos e servios, como a primeira fbrica de software do
Brasil, operaes de outsourcing de sistemas, metodologias de desenvolvimento de software, de gesto de projetos, de garantia da qualidade, de mtricas, etc. Teve a oportunidade de coordenar e implantar modelos de qualidade para software e suporte baseados na ISO, no SW-CMM e CMMI.
professor da FIA/USP. membro do ISACA e da ABPMP e certificado
CGEIT Certified in the Governance Enterprise IT, CobiT Foundation e

X Implantando a Governana de TI 3 edio

Certificado ITIL Foundation pelo EXIN. Atualmente, gerencia sua empresa de consultoria, a Aragon Consultores Associados.
Contatos com o autor atravs do e-mail: aragon@aragonconsultores.com.br.
Vladimir Ferraz de Abreu
Graduado em Engenharia da Computao pela Universidade Estadual de
Campinas-UNICAMP (1993), com especializaes em Administrao de
Empresas pela Escola Superior de Administrao de Negcios-ESAN (1995),
em Qualidade e Produtividade pela Fundao Carlos Alberto Vanzolini-USP
(2001) e em Gesto de Processos de Negcios pelo Grupo de Produo Integrada da COPPE-UFRJ (2007). Profissional da rea de tecnologia da informao com atuao no mercado h mais de dezoito anos. Ao longo da
sua carreira tem atuado como analista de sistemas, consultor de processos,
metodologia e qualidade, e gerente de qualidade em empresas de prestao
de servios em informtica como CPM, EDS, Getronics, Ilumna, Conceptus
e Interadapt, tendo realizado projetos e trabalhos junto a instituies como
Icatu Seguros, Bradesco, BCP Telecomunicaes (atual Claro), Philip Morris, Atento, Unisys, Asbace/ATP, BankBoston, Carto Unibanco (atual Itaucard), Unibanco (atual Banco Ita), Caixa Econmica Federal, Telemar (atual
Oi), Visanet, T-Systems, Cemar, Sabesp, Hospital Alemo Oswaldo Cruz,
Usiminas, Net Servios, Dimension Data, Banrisul, Prodenge e Capemisa.
Participou como Lder Tcnico no projeto de implementao e como Team
Member na avaliao SCAMPI que qualificou a Getronics Brasil no Nvel 2
do SW-CMM. Atua como professor no programa Master Business Information Systems, da PUC-SP. certificado em Fundamentos de Gerenciamento
de Servios com base na ITIL e na ISO/IEC 20000 e Accredited Trainer
pelo EXIN, membro do Conselho Deliberativo do itSMF Brasil, associado
ISACA e ABPMP Brasil, e participou da comisso constituda pela ABNT
para localizao da norma ISO/IEC 20000 no Brasil. Atualmente trabalha
como consultor em iniciativas de governana de TI e de gesto de processos
de negcio.
Contatos com o autor atravs do e-mail: vladimir-abreu@uol.com.br.

Prefcio

da

3 Edio

No so tantos os livros na rea de TI que sobrevivem por mais de cinco


anos e chegam sua terceira edio ou o mercado os substitui ou ento os
autores se cansam de atualizar o texto numa rea to dinmica como a da
tecnologia da informao.
Felizmente, temos em mos uma obra que passou pelos dois testes: tornou-se um texto de referncia padro para os gestores da rea, o que motivou os
autores para a pesquisa contnua para incluso das inovaes na rea de Governana de TI e para a busca de uma sistematizao e proposio de modelo
integrativo nesta rea de complexidade crescente.
Presta, deste modo, um servio importante aos estudantes e praticantes
desta (ainda) arte que a de assegurar a contribuio contnua da TI para os
resultados e a continuidade dos negcios que dela se utilizam.
Sou testemunha do valor desta obra pela sua contribuio nos cursos de
Gesto de TI na FIA (Fundao Instituto de Administrao), mas tambm
pela observao do seu uso como referncia para gestores e consultores da rea.
Numa rea em que as decises do gestor no resultam apenas da considerao de interesses dos negcios da empresa, mas a cada dia aumentam as
exigncias de compliance com normas e legislao, textos como o presente
se tornam leitura obrigatria para os gestores das organizaes.
Alm da atualizao das verses das tcnicas e dos modelos propostos pelas
diferentes organizaes pblicas e profissionais da rea, da incluso de novos
padres e tcnicas, esta edio representa mais uma contribuio inovadora
que a sistematizao de propostas para a operacionalizao do alinhamento
entre a governana corporativa e a TI.

XII Implantando a Governana de TI 3 edio

Novos estudos de casos ilustram o uso dos modelos e tcnicas, demonstrando ao mesmo tempo a maturidade crescente da prtica da governana e
da gesto da TI no nosso meio.
Aos leitores desejamos uma leitura estimulante e uso proveitoso de mais
esta obra dos autores.
Prof. Dr. Nicolau Reinhard
Vice-Diretor da FEA-USP e
Coordenador do MBA
em Gesto de
Tecnologia de Informao da FIA.


Sumrio

Introduo.............................................................................................................1
Fatores motivadores do livro........................................................................................1
Objetivos do livro........................................................................................................3
Estrutura do livro........................................................................................................4
1 Governana de TI............................................................................................7
1.1 Os fatores motivadores da Governana de TI.........................................................7
1.2 O que a Governana de TI................................................................................12
1.3 Objetivos da Governana de TI...........................................................................14
1.4 Componentes da Governana de TI....................................................................16
1.4.1 Os componentes da etapa de alinhamento estratgico e compliance.........16
1.4.2 Os componentes da etapa de Deciso, Compromisso, Priorizao e
Alocao de Recursos................................................................................20
1.4.3 Os componentes da etapa de Estrutura, Processos, Organizao e
Gesto......................................................................................................21
1.4.4 O componente da etapa de Gesto do Valor e do Desempenho da TI......23
2 Governana Corporativa e Regulamentaes de Compliance........................24
2.1 Governana Corporativa e a ligao com a Governana de TI.............................24
2.2 Entendendo as implicaes do Sarbanes-Oxley Act..............................................28
2.2.1 O que o Sarbanes-Oxley Act e qual a sua finalidade...............................28

XIV Implantando a Governana de TI 3 edio

2.2.2 Requisitos do SOX que afetam TI............................................................31


2.2.3 Impacto do SOX na Governana de TI....................................................34
2.3 Entendendo as implicaes do Acordo da Basileia II............................................35
2.3.1 O que o Acordo da Basileia II................................................................35
2.3.2 Implicaes do Acordo da Basileia II sobre TI..........................................35
2.4 O impacto da Resoluo 3380 do Banco Central do Brasil..................................37
3 O Modelo de Governana de TI....................................................................39
3.1 Viso geral do modelo de Governana de TI........................................................40
3.2 O Alinhamento estratgico de TI........................................................................45
3.2.1 O que o alinhamento estratgico...........................................................45
3.2.2 O Plano de Tecnologia da Informao......................................................50
3.2.3 Elaborao do mapa estratgico e do Balanced Scorecard (BSC).............122
3.3 Mecanismos de deciso em TI...........................................................................127
3.4 A entrega de valor..............................................................................................130
3.4.1 Gerenciamento do portflio de TI.........................................................130
3.4.2 Operaes de servios de TI...................................................................131
3.4.3 O relacionamento com os usurios e/ou clientes....................................137
3.4.4 O relacionamento com os fornecedores..................................................140
3.5 Gerenciamento de recursos................................................................................144
3.6 A gesto do desempenho...................................................................................145
3.6.1 Medies dos resultados da TI................................................................147
3.6.2 Medies dos resultados para o negcio..................................................159
3.6.3 Implantao de sistema de gerenciamento de desempenho.....................161
3.6.4 Gesto do desempenho da TI.................................................................176
3.7 A comunicao..................................................................................................179
3.8 A gesto da mudana organizacional..................................................................185
3.9 Avaliao independente.....................................................................................189
3.10 Riscos e compliance.........................................................................................190
3.10.1 Gesto de riscos....................................................................................190
3.10.2 Compliance.........................................................................................193
4 Os Papis da Governana de TI na Organizao..........................................195

Sumrio XV

5 Modelos de Melhores Prticas e o Modelo de Governana de TI.................200


6 Modelos Abrangentes de Governana de TI.................................................203
6.1 ISO/IEC 38500 Governana corporativa de tecnologia da informao...........203
6.1.1 Aplicao...............................................................................................204
6.1.2 Objetivos...............................................................................................204
6.1.3 Estrutura da norma................................................................................204
6.1.4 Benefcios com o uso da norma..............................................................209
6.1.5 Consideraes sobre a norma.................................................................209
6.2 CobiT Control Objectives for Information and related Technology...............210
6.2.1 Histrico do modelo..............................................................................210
6.2.2 Objetivos do modelo..............................................................................211
6.2.3 Estrutura do modelo..............................................................................213
6.2.4 Aplicabilidade do modelo.......................................................................224
6.2.5 Benefcios do modelo.............................................................................226
6.3 O framework Val IT..........................................................................................227
6.3.1 Histrico do modelo..............................................................................227
6.3.2 Objetivos do modelo..............................................................................228
6.3.3 Estrutura do modelo..............................................................................228
6.3.4 Aplicabilidade do modelo.......................................................................234
6.3.5 Benefcios do modelo.............................................................................236
6.4 O Framework Risk IT.......................................................................................237
6.4.1 Histrico do modelo..............................................................................237
6.4.2 Objetivos do modelo..............................................................................237
6.4.3 Estrutura do modelo..............................................................................238
6.4.4 Aplicabilidade do modelo.......................................................................245
6.4.5 Benefcios do modelo.............................................................................249
6.5 A integrao entre os modelos...........................................................................250
6.6 Certificaes ISACA..........................................................................................251
6.7 A Evoluo do CobiT........................................................................................252
7 Modelos para Gerenciamento de Servios de TI..........................................255
7.1 ITIL Information Technology Infrastructure Library......................................256
7.1.1 Histrico do modelo..............................................................................256

XVI Implantando a Governana de TI 3 edio

7.1.2 Objetivos do modelo..............................................................................257


7.1.3 Estrutura do modelo..............................................................................258
7.1.4 Aplicabilidade do modelo.......................................................................286
7.1.5 Benefcios do modelo.............................................................................288
7.1.6 Certificaes relacionadas.......................................................................290
7.2 ISO/IEC 20000................................................................................................292
7.2.1 Histrico do modelo..............................................................................292
7.2.2 Objetivos do modelo..............................................................................293
7.2.3 Estrutura do modelo..............................................................................293
7.2.4 Aplicabilidade do modelo.......................................................................300
7.2.5 Benefcios do modelo.............................................................................301
7.2.6 Certificaes relacionadas.......................................................................302
7.3 CMMI for Services............................................................................................306
7.4 Microsoft Operations Framework (MOF) uma breve viso............................311
8 Modelos para Processos de Software............................................................313
8.1 CMMI - Capability Maturity Model Integration...............................................314
8.1.1 Histrico do modelo..............................................................................314
8.1.2 Objetivos do modelo..............................................................................315
8.1.3 Estrutura do modelo..............................................................................315
8.1.4 Aplicabilidade do modelo.......................................................................326
8.1.5 Benefcios do modelo.............................................................................326
8.1.6 Certificaes relacionadas.......................................................................328
8.2 MR-MPS..........................................................................................................330
8.2.1 Histrico do modelo..............................................................................330
8.2.2 Objetivos do modelo..............................................................................331
8.2.3 Estrutura do modelo..............................................................................332
8.2.4 Aplicabilidade do modelo.......................................................................339
8.2.5 Benefcios do modelo.............................................................................340
8.2.6 Certificaes relacionadas.......................................................................340
8.3 ISO/IEC 12207................................................................................................341
8.3.1 Viso geral do modelo............................................................................341
8.3.2 Aplicabilidade do modelo.......................................................................345
8.4 ISO/IEC 9126..................................................................................................346

Sumrio XVII

8.4.1 Viso geral do modelo............................................................................346


8.4.2 Aplicabilidade do modelo.......................................................................349
8.5 IBM Rational Unified Process uma breve viso...............................................349
8.6 Microsoft Solutions Framework uma breve viso............................................352
9 Modelos para Gerenciamento de Projetos...................................................354
9.1 PMBOK Project Management Body of Knowledge........................................354
9.1.1 Histrico do modelo..............................................................................354
9.1.2 Objetivos do modelo..............................................................................354
9.1.3 Estrutura do modelo..............................................................................355
9.1.4 Aplicabilidade do modelo.......................................................................365
9.1.5 Benefcios do modelo.............................................................................366
9.1.6 Certificaes relacionadas.......................................................................366
9.2 Padro para Gesto de Portflio.........................................................................367
9.2.1 Histrico do modelo..............................................................................367
9.2.2 Objetivos do modelo..............................................................................367
9.2.3 Estrutura do modelo..............................................................................368
9.2.4. Aplicabilidade do modelo......................................................................375
9.2.5 Benefcios do modelo.............................................................................375
9.2.6 Certificaes relacionadas.......................................................................376
9.3 Padro para Gesto de Programas......................................................................376
9.3.1 Histrico do modelo..............................................................................376
9.3.2 Objetivos do modelo..............................................................................377
9.3.3 Estrutura do modelo..............................................................................377
9.3.4 Aplicabilidade do modelo.......................................................................389
9.3.5 Benefcios do modelo.............................................................................389
9.3.6 Certificaes relacionadas.......................................................................390
9.4 Outros padres e certificaes PMI...................................................................391
9.5 PRINCE2.........................................................................................................392
9.5.1 Histrico do modelo..............................................................................392
9.5.2 Objetivos do modelo..............................................................................393
9.5.3 Estrutura do modelo..............................................................................393
9.5.4 Aplicabilidade do modelo.......................................................................398
9.5.5 Benefcios do modelo.............................................................................399

XVIII Implantando a Governana de TI 3 edio

9.5.6 Certificaes relacionadas.......................................................................399


9.6 SCRUM............................................................................................................399
9.6.1 Histrico do modelo..............................................................................399
9.6.2 Objetivos do modelo..............................................................................400
9.6.3 Estrutura do modelo..............................................................................401
9.6.4 Aplicabilidade do modelo.......................................................................405
9.6.5 Benefcios do modelo.............................................................................408
9.6.6 Certificaes relacionadas.......................................................................409
10 Modelos para Segurana da Informao ISO/IEC 27001 e 27002............410
10.1 Histrico do modelo.......................................................................................410
10.2 Objetivos do modelo.......................................................................................412
10.3 Estrutura do modelo.......................................................................................412
10.3.1 ISO/IEC 27001...................................................................................412
10.3.2 ISO/IEC 27002...................................................................................418
10.4 Aplicabilidade do modelo................................................................................424
10.5 Benefcios do modelo......................................................................................425
10.6 Certificaes relacionadas................................................................................426
10.7 Gesto da Continuidade do Negcio...............................................................426
10.8 Outras normas ISO relativas segurana da informao..................................428
11 Modelos para Gerenciamento de Sourcing..................................................430
11.1 eSCM-SP........................................................................................................430
11.1.1 Histrico do modelo............................................................................430
11.1.2 Objetivos do modelo............................................................................431
11.1.3 Estrutura do modelo............................................................................431
11.1.4 Aplicabilidade do modelo.....................................................................439
11.1.5 Benefcios do modelo...........................................................................439
11.1.6 Certificaes relacionadas.....................................................................440
11.2 eSCM-CL.......................................................................................................442
11.2.1 Histrico do modelo............................................................................442
11.2.2 Objetivos do modelo............................................................................442
11.2.3 Estrutura do modelo............................................................................443
11.2.4 Aplicabilidade do modelo.....................................................................454

Sumrio XIX

11.2.5 Benefcios do modelo...........................................................................454


11.2.6 Certificaes relacionadas.....................................................................455
11.3 CMMI for Acquisition....................................................................................455
12 Modelos para Disciplinas Complementares Governana de TI.................459
12.1 BPM CBOK..................................................................................................459
12.1.1 Histrico do modelo............................................................................459
12.1.2 Objetivos do modelo............................................................................460
12.1.3 Estrutura do modelo............................................................................460
12.1.4 Aplicabilidade do modelo.....................................................................470
12.1.5 Benefcios do modelo...........................................................................472
12.1.6 Certificaes relacionadas.....................................................................473
12.2 BABOK.........................................................................................................473
12.2.1 Histrico do modelo............................................................................473
12.2.2 Objetivos do modelo............................................................................474
12.2.3 Estrutura do modelo............................................................................474
12.2.4 Aplicabilidade do modelo.....................................................................482
12.2.5 Benefcios do modelo...........................................................................483
12.2.6 Certificaes relacionadas.....................................................................484
12.3 Balanced Scorecard..........................................................................................484
12.3.1 Histrico do modelo............................................................................484
12.3.2 Objetivos do modelo............................................................................486
12.3.3 Estrutura do modelo............................................................................486
12.3.4 Aplicabilidade do modelo.....................................................................489
12.3.5 Benefcios do modelo...........................................................................491
12.3.6 Certificaes relacionadas.....................................................................492
12.4 Seis Sigma.......................................................................................................492
12.4.1 Histrico do modelo............................................................................492
12.4.2 Objetivos do modelo............................................................................493
12.4.3 Estrutura do modelo............................................................................494
12.4.4 Aplicabilidade do modelo.....................................................................500
12.4.5 Benefcios do modelo...........................................................................501
12.4.6 Certificaes relacionadas.....................................................................502
12.5 The Open Group Architecture Framework - TOGAF......................................502
12.5.1 Histrico do modelo............................................................................502
12.5.2 Objetivos do modelo............................................................................503
12.5.3 Estrutura do modelo............................................................................504
12.5.4 Aplicabilidade do modelo.....................................................................505

XX Implantando a Governana de TI 3 edio

12.5.5 Benefcios do modelo...........................................................................506


12.5.6 Certificaes relacionadas.....................................................................507
12.6 ISO 9001:2008...............................................................................................508
12.6.1 Viso geral do modelo..........................................................................508
12.6.2 Aplicabilidade do modelo.....................................................................512
12.7 ISO 31000......................................................................................................512
12.7.1 Viso geral do modelo..........................................................................512
12.7.2 Aplicabilidade do modelo.....................................................................516
13 Extenses e Derivaes do Conceito de Governana de TI..........................517
13.1 Governana de Processos.................................................................................517
13.1.1 Princpios e conceitos gerais.................................................................517
13.1.2 Modelos de referncia relacionados......................................................521
13.1.3 Aplicabilidade do conceito...................................................................525
13.1.4 Certificaes relacionadas.....................................................................526
13.2 Governana SOA............................................................................................526
13.2.1 Princpios e conceitos gerais.................................................................526
13.2.2 Modelos de referncia relacionados......................................................530
13.2.3 Aplicabilidade do conceito...................................................................542
13.2.4 Certificaes relacionadas.....................................................................546
13.3 Governana de Dados.....................................................................................547
13.3.1 Princpios e conceitos gerais.................................................................548
13.3.2 Modelos de referncia relacionados......................................................551
13.3.3 Aplicabilidade do conceito...................................................................557
13.3.4 Certificaes relacionadas.....................................................................558
14 Governana de TI para Pequenas e Mdias Empresas..................................561
15 Governana de TI no Governo.....................................................................569
15.1 O modelo de Governana de TI no governo brasileiro.....................................569
15.2 O papel da Secretaria de Logstica e Tecnologia da Informao........................576
15.3 O papel do Tribunal de Contas da Unio........................................................577
15.4 O papel do Departamento de Segurana da Informao e Comunicaes do
Gabinete de Segurana Institucional da Presidncia da Repblica.......................577
15.5 Situao atual da Governana de TI no Governo Federal, na viso do TCU....579
15.6 Legislao bsica pertinente.............................................................................581

Sumrio XXI

15.7 Governana de TI no Judicirio Brasileiro.......................................................583


16 Como Implantar a Governana de TI..........................................................586
16.1 Roteiro de implantao da Governana de TI..................................................587
16.2 Fatores crticos de sucesso para a implantao da Governana de TI................599
17 Estudos de Casos.........................................................................................601
Referncias Bibliogrficas..................................................................................606
Pginas Web.......................................................................................................614


Introduo

Fatores

motivadores do livro

O que pretendemos com este livro fornecer orientao e um guia sobre o


que , de fato, a Governana de Tecnologia da Informao.
Nossa conceituao vai um pouco mais alm do que debatido no mercado atualmente, que v como Governana de TI a implantao de melhores
prticas aplicveis TI.
Procuramos trazer para este debate a necessidade de alinhar a TI ao negcio, tanto de forma esttica, a partir das estratgias e dos planos de negcio
da empresa, como dinamicamente, fazendo ajustes contnuos em virtude do
surgimento de novas oportunidades de negcio, onde a TI um ator importante para a gerao de valor para o negcio.
Esta viso importante, pois a TI uma fonte de investimentos e despesas
significativas para qualquer empresa que j atingiu uma dependncia estratgica. Portanto, estar alinhada ao negcio passa a ser um imperativo para a TI,
assim como, para algumas empresas, seguir regulamentos externos tambm
passa a ser prioritrio.
Em virtude de escndalos corporativos de fraudes observados no passado e,
mais recentemente, da crise financeira mundial de 2008/2009, h uma maior
exigncia por mecanismos de Governana Corporativa, no sentido de maior
transparncia das empresas. Adicionalmente, marcos de regulao externa (representados principalmente por dispositivos como o Sarbanes-Oxley Act, o

2 Implantando a Governana de TI 3 edio

Acordo da Basileia II e as resolues do Banco Central) tm trazido tambm


maior complexidade para a gesto da TI.
Em suma, alm de a TI ter que estar alinhada ao negcio, visando seu
crescimento e perenidade, tambm afetada por esses marcos de regulao,
aos quais devem se submeter as empresas de capital aberto e que negociam
suas aes nas bolsas de valores norte-americanas, alm das instituies
financeiras.
Acreditamos que, ao mostrarmos o caminho para o entendimento sobre
o que a Governana de TI, daremos nossa contribuio para o enriquecimento do tema, tentando sair um pouco do debate tecnolgico, mas
fazendo um equilbrio entre o negcio, a tecnologia e, principalmente, a
gesto da tecnologia da informao, e mostrando como a TI pode gerar
valor para o negcio.
Estamos cientes de que esta obra um pequeno passo para que possamos
obter melhor compreenso do que a Governana de TI e das suas implicaes para as organizaes.
Mostraremos, nesta nova edio, onde os vrios modelos de melhores
prticas aplicados na rea de Tecnologia da Informao se encaixam no Ciclo da Governana de TI proposto neste livro e como eles podem se relacionar. Acreditamos fortemente que cada organizao deve usar as melhores
prticas para desenvolver a sua prpria arquitetura de processos de TI, de
maneira adequada para a maturidade e o ambiente organizacional em que
a TI est inserida. Abordaremos tambm a aplicao estendida do conceito
de Governana de TI para outras disciplinas.
Sobre outro aspecto muito em voga atualmente, e que podemos chamar de a nova gerao de contratos de outsourcing, procuraremos explorar como os conceitos e componentes da Governana de TI se aplicam
em um contexto dessa natureza, ou seja, como manter os princpios da
Governana quando h vrios fornecedores de servios de TI atuando para
a empresa.
Por fim, relacionamos logicamente vrios conceitos e abordagens, dando
origem a um modelo proposto de Governana de TI, que a base de nossa
discusso em grande parte do livro. Procuramos tornar esse modelo o mais
compreensvel possvel, cobrindo da estratgia gesto dos processos e dos
servios de TI.

Introduo 3

Objetivos

do livro

Os principais objetivos deste livro so:


Conceituar de uma forma mais ampla a Governana de TI;
Apresentar modelos de Governana de TI que possam ser aplicados
em diferentes organizaes e cenrios;
Mostrar onde as melhores prticas, tais como CobiT, ITIL, CMMI,
ISO 27001, etc., se encaixam num processo de Governana de TI,
evidenciando sua aplicabilidade;
Apresentar a rea de TI como uma Fbrica de Servios, apoiada por
diversos tipos de Operaes, alinhadas com o negcio;
Apresentar a Governana de TI em cenrios de outsourcing de sistemas e servios de TI;
Apresentar como se estrutura um programa de Governana de TI e
tambm como ele executado e gerenciado;
Apresentar a importncia da gesto da mudana organizacional como
fundamental para a implantao da Governana de TI na empresa ou
instituio;
Abordar a Governana de TI no contexto governamental;
Abordar nossa viso sobre Governana de TI para pequenas e mdias
empresas.

O livro procura responder s seguintes indagaes usualmente feitas por


parte de executivos de TI:
O que Governana de TI?
Como eu alinho a TI ao negcio?
Quais as melhores prticas que mais se adaptam para a minha empresa?
Como as melhores prticas se relacionam?
Quais os benefcios das melhores prticas?
O que eu devo exigir dos meus fornecedores em termos de melhores
prticas?
Como eu implanto as melhores prticas na minha empresa?

4 Implantando a Governana de TI 3 edio

Estrutura

do livro

O livro foi estruturado considerando uma abordagem dedutiva, que uma


caracterstica dos autores, iniciando pela apresentao dos conceitos e fundamentos da Governana de TI e de seus objetivos, domnios e componentes principais.
Logo aps, discutido o impacto que marcos de regulao externos, tais
como Sarbanes-Oxley, Basileia II e outros, tm sobre a gesto da tecnologia da
informao. Grande parte das atenes dos Chief Information Officers (CIOs)
tem sido dedicada a esses marcos.
Em seguida, apresentado um modelo genrico de Governana de TI, que
serve de base para que faamos os encaixes necessrios relativos s melhores
prticas de gesto de TI.
A partir desse modelo genrico, sustentado pelo que denominamos o Ciclo da Governana de TI, fazemos um breve resumo de cada uma das melhores prticas que podem ser usadas nas diversas operaes de servios, como
sistemas, segurana da informao, infraestrutura, etc.
O livro tambm discute como conduzir e estruturar a Governana de TI
em um ambiente de outsourcing intensivo ou significativo.
Finalizando, entendemos que cada empresa pode definir sua Governana
de TI e que, uma vez tomada a deciso, a sua implementao um programa
composto por diversos projetos, cuja manuteno e melhoria devem ser sistemticas e gerenciadas.
Em relao segunda edio, fizemos vrias modificaes, como os leitores
podero observar na estrutura do livro. A seguir, apresentamos uma sinopse dos
captulos.
O objetivo do Captulo 1 Governana de TI explorar o significado
de Governana de TI, enumerando os seus objetivos, fatores motivadores e
componentes constituintes, e mostrando como o cenrio de negcios vem influenciando a melhoria da gesto da tecnologia da informao pelas empresas.
O Captulo 2 Governana Corporativa e Regulamentaes de Compliance mostra onde a TI e sua gesto sofrem impacto da Governana Corporativa, de regulamentaes de compliance externas e internas (mais precisamente do Sarbanes-Oxley Act, do Acordo da Basileia II e da Resoluo 3380
do Banco Central do Brasil), de sistemas de controle interno e sistemas de
gesto corporativa de riscos.

Introduo 5

O Captulo 3 O Modelo de Governana de TI apresenta um modelo


de Governana de TI proposto, que denominamos IT Governance Extended
Model e, baseado no Ciclo da Governana de TI e nos seus domnios, detalha
cada um dos componentes, considerando questes como alinhamento estratgico da TI, plano de tecnologia da informao, mecanismos de tomada de
deciso, etc.
O Captulo 4 Os Papis da Governana de TI na Organizao apresenta como os papis da Governana de TI se enquadram nas funes de uma
rea de TI, destacando as responsabilidades e abordagens para instituir mecanismos de Governana de TI.
O Captulo 5 Modelos de Melhores Prticas e o Modelo de Governana de TI situa as principais melhores prticas difundidas no mercado, tais
como CMMI, ITIL, CobiT, ISO, PMBOK, PRINCE2, etc., no modelo de
Governana de TI, de uma forma geral e abrangente.
O Captulo 6 Modelos Abrangentes de Governana de TI apresenta os
frameworks Control Objectives for Information and related Technology CobiT, Val IT e Risk IT, assim como a norma ISO/IEC 38500, evidenciando para
cada modelo seu objetivo, sua estrutura, sua aplicabilidade e seus benefcios.
O Captulo 7 Modelos para Gerenciamento de Servios de TI apresenta, brevemente, objetivos, estrutura, aplicabilidade e benefcios de modelos de referncia orientados para o Gerenciamento de Servios de TI, tais
como o framework patrocinado pela agncia do governo britnico Office of
Government Commerce OGC, denominado Information Technology Infrastructure Library ITIL, a norma ISO/IEC 20000, o CMMI for Services e o
MOF (Microsoft Operations Framework).
O Captulo 8 Modelos para Processos de Software apresenta, brevemente, objetivos, estrutura, aplicabilidade e benefcios de modelos, tais como
o Capability Maturity Model Integration CMMI, o modelo MR-MPS e o
metamodelo de processos de software representado pela ISO/IEC 12207.
O Captulo 9 Modelos para Gerenciamento de Projetos apresenta, brevemente, objetivos, estrutura, aplicabilidade e benefcios dos modelos patrocinados pelo PMI (Project Management Institute) para gerenciamento de projetos
(PMBOK), gerenciamento de programas e gerenciamento de portflio, assim
como da metodologia de gerenciamento de projetos denominada Projects in
Controlled Environments 2 (PRINCE2), patrocinada pela OGC, e do SCRUM.

6 Implantando a Governana de TI 3 edio

O Captulo 10 Segurana da Informao aborda as normas mais recentes sobre Segurana da Informao, principalmente a ISO/IEC 27001 e a
ISO/IEC 17799.
O Captulo 11 Modelos para Gerenciamento de Sourcing aborda
principalmente o modelo eSCM eSCM eSourcing Capability Model, tanto
na viso do provedor de servios como na do cliente, e o modelo CMMI for
Acquisition.
O Captulo 12 Modelos para Disciplinas Complementares Governana de TI apresenta os modelos BPM CBOK, BABOK, Balanced Scorecard, Seis Sigma, TOGAF e ISO 9001.
O Captulo 13 Extenses e Derivaes do Conceito de Governana
de TI mostra a aplicao dos conceitos de Governana de TI de forma estendida, para disciplinas como Governana de Processos, Governana SOA e
Governana de Dados.
O Captulo 14 Governana de TI para Pequenas e Mdias Empresas
aborda quais devem ser as preocupaes do responsvel pela rea de TI para
implantar os conceitos de Governana de TI em uma organizao de pequeno
ou mdio porte.
O Captulo 15 Governana de TI para Governo aborda os requisitos e
o ambiente de governo para a Governana de TI, discutindo notadamente as
implicaes da legislao de compras do Governo Federal, a Instruo Normativa 04 do Ministrio de Planejamento e Gesto e os principais acrdos do
Tribunal de Contas da Unio, que tambm impactam na implantao deste
conceito em organizaes governamentais da administrao direta e indireta.
O Captulo 16 Como Implantar a Governana de TI aborda os aspectos tcnicos e organizacionais necessrios implementao de um Programa
de Governana de TI na organizao, considerando a sua estrutura, o seu planejamento, o seu gerenciamento e a necessidade da gesto da governana de
TI, assim como a importncia do gerenciamento da mudana organizacional
e da demonstrao do valor da TI para o negcio.
O Captulo 17 Estudos de Caso aborda, de forma sinttica, casos de
implantao da Governana de TI em algumas organizaes no Brasil.

Governana

de

TI

1.1 Os fatores motivadores


Governana de TI

da

A Governana de TI motivada por vrios fatores (embora o senso comum


considere a maior transparncia da administrao como sendo o principal
motivador desse movimento que vemos no ambiente de TI das organizaes),
como podemos observar na Figura 1.1:

Figura 1.1 Fatores motivadores da Governana de TI

8 Implantando a Governana de TI 3 edio

O ambiente de negcios no Brasil vem sendo caracterizado por:


Intensa competio de novos entrantes no mercado.
Surgimento de produtos e servios substitutos.
Novos concorrentes globais e de baixo custo.
Barganha crescente de fornecedores e clientes.
Ciclo de vida cada vez mais curto para os produtos e servios.
Novas ameaas devido maior internacionalizao da economia.
Clientes mais conscientes e exigentes.
Exigncia de maior transparncia nos negcios.
Diversidade dos acionistas.
Maior dinamismo dos requerimentos do negcio para TI.
Custo Brasil ainda muito alto.
Crescimento econmico do Brasil.
Surgimento de uma nova classe mdia.

Integraes tecnolgicas, caracterizadas por:


Integrao das cadeias de suprimento, atravs de aplicaes de supply-chain e da infraestrutura de comunicao e Internet.
Integrao entre a gesto da empresa e o seu cho de fbrica, atravs
de aplicaes de Enterprise Resource Planning ERP e de Manufacturing Execution System MES.
Integrao entre as funes administrativas e padronizao dos aplicativos de back-office no contexto da empresa, de suas divises e filiais
atravs de ERP.
Integrao de redes de distribuio, tanto em termos de aplicativos
como da infraestrutura de comunicao de dados.
Integrao dos processos de desenvolvimento de produtos com os
processos de manufatura, atravs de aplicaes de Product Life Cycle
Management e de Product Data Management.
Processos de gesto de clientes altamente sofisticados, atravs de aplicativos de Customer Resource Management.

Governana de TI 9

Utilizao de aplicaes de BPM Business Process Management


e ECM Enterprise Content Management como mecanismos de
automao de processos de negcio, integrando em seus fluxos de
trabalho todos os sistemas e reas funcionais da organizao, tendo
como perspectiva os processos de negcio transversais e a cadeia
de valor.
Integrao da gesto estratgica com a gesto ttica e operacional das
empresas, atravs de aplicaes de data warehouse, data mining e de
inteligncia organizacional.

As ilhas de sistemas de informao esto terminando.


As integraes tecnolgicas de processos atravs da tecnologia da informao (aplicaes e infraestrutura computacional e de comunicao de dados)
fazem com que o risco que a TI representa para a continuidade do negcio
seja altamente visvel. bvio que tal risco deve ser mitigado e contingenciado de uma forma sem precedentes e no imaginada at ento.
Lembramos que grande parte das melhores prticas aplicveis TI j est
disponvel h vrios anos e somente a partir de 2005 os administradores acordaram para a necessidade da boa gesto das atividades de TI.
At o mais desavisado dos administradores (aquele que no entende a TI
da sua empresa) j percebeu o risco que para o seu negcio uma TI mal
gerenciada, pois provavelmente j precisou lidar com um incidente de indisponibilidade ou perda de dados de aplicaes crticas.
A segurana da informao impacta a integridade do negcio:
No mundo interligado da Internet, a gesto de TI tambm ficou
mais complexa e a infraestrutura de TI sofre riscos dirios de intruso visando o roubo de dados e a disseminao de cdigos
maliciosos e vrus, o que pode afetar, sobremaneira, a operao da
empresa.
Conforme o nvel de acesso dos vrios pontos da empresa grande
rede, maior a necessidade de envolver todos os nveis da organizao na questo da gesto da TI e, em especial, na gesto da segurana
da informao.

10 Implantando a Governana de TI 3 edio

A dependncia do negcio em relao TI caracterizada por:

Alto

Quanto mais as operaes dirias e as estratgias corporativas chaves


dependem da TI, maior o papel estratgico da TI para a empresa.
Conforme a Figura 1.2:
Quando a TI tem alto impacto nas operaes chaves (presente)
e alto impacto nas estratgias chaves (futuro), diz-se que a TI
estratgica para o negcio.
Quando a TI tem alto impacto nas operaes chaves e baixo impacto
nas estratgias chaves, tem a conotao de uma Fbrica para o negcio,
ou seja, o dia a dia do negcio depende da TI, mas o seu futuro no.
Quando a TI tem baixo impacto nas operaes chaves e baixo impacto nas estratgias chaves, diz-se que ela est executando apenas
tarefas de suporte, no sendo, do ponto de vista dos dirigentes,
essencial para o negcio.
Quando a TI tem baixo impacto nas operaes chaves e alto impacto nas estratgias chaves, diz-se que ela est exercendo um papel de mudana, ou seja, est apoiando fortemente o direcionamento futuro da organizao.

IMPACTO DA TI NAS OPERAES CHAVES

Fbrica

(melhorar o desempenho em
processos chaves)

Suporte

Mudana

(identificar e lanar novos


empreendimentos)

Baixo

(melhorar o desempenho local)

Estratgico

(transformar a organizao ou
indstria)

Baixo

Alto
IMPACTO DA TI NA ESTRATGIA CHAVE

Figura 1.2 Impacto estratgico da tecnologia da informao


Fonte: Lynda M. Applegate

Governana de TI 11

Marcos de regulao (compliance) representam restries ao negcio, mas devem ser seguidos tendo em vista sua capacidade de atrao de capital de risco,
a um custo mais baixo, e de gerao de lucros.
O Sarbanes-Oxley Act determina que os relatrios financeiros e controles associados tenham fidedignidade e responsabiliza conjuntamente diretores e o responsvel pela rea de finanas por atos lesivos
aos acionistas e ao mercado.
Isto significa, para a rea de TI, que os aplicativos transacionais da
empresa, geradores de fatos contbeis e financeiros, devem:
Ter disponibilidade para acesso e emisso de relatrios de resultados financeiros e contbeis.
Armazenar os dados e as informaes de forma adequada e com
segurana.
Ter a possibilidade de implementar trilhas de auditoria e verificao de processos.
Ter os seus riscos (assim como os pertinentes infraestrutura)
conhecidos e gerenciados.
O Acordo da Basileia II obriga os bancos a desenvolverem metodologias para a gesto de riscos operacionais e de crdito, a gerenciarem esses riscos e a publicarem essas metodologias em seus relatrios de resultados. Quanto melhores essas metodologias, menor a necessidade de
reserva quanto a perdas e, portanto, maior a lucratividade do negcio:
Especialmente em bancos que apresentam um alto grau de integrao e sofisticao tecnolgica (como no caso dos bancos brasileiros), a TI um dos principais elementos de riscos operacionais;
portanto, o gerenciamento de riscos uma necessidade que deve
estar presente na pauta do dia a dia dos Executivos de Negcio e
dos CIOs dessas instituies.

A TI como prestadora de servios:


O que os usurios esperam da TI? Projetos dentro do prazo e oramento, atendimento aos requisitos do negcio, disponibilidade das
aplicaes, disponibilidade da infraestrutura, capacidade para expandir o negcio, rpida resoluo de incidentes e de servios. Tudo isto
requer postura e organizao orientadas prestao de servios.

12 Implantando a Governana de TI 3 edio

Em grandes organizaes brasileiras e multinacionais, est surgindo


com bastante fora a ideia de centros de servios compartilhados,
cujo objetivo centralizar determinadas operaes de TI (e tambm
de algumas reas de negcio), de forma a ganhar escala e prover servios de TI para vrias unidades ou divises da mesma empresa ou
empresas do mesmo grupo.
O mesmo est ocorrendo com os chamados captive centers, que so
centros de servios focados que atendem regies inteiras como, por
exemplo, Amrica Latina, Amricas, etc.

Para que conceitos como os de centros de servios compartilhados e de


captive centers funcionem de forma adequada, so necessrios processos de TI
eficazes e eficientes. Neste contexto, justifica-se a implantao de um Programa de Governana de TI.

1.2 O

que a

Governana

de

TI

De acordo com o IT Governance Institute (2007):


A governana de TI de responsabilidade da alta administrao (incluindo diretores e executivos), na liderana, nas estruturas organizacionais e
nos processos que garantem que a TI da empresa sustente e estenda as estratgias e objetivos da organizao.
Outra definio dada por Weill & Ross (2004):
Consiste em um ferramental para a especificao dos direitos de deciso e
responsabilidade, visando encorajar comportamentos desejveis no uso da
TI.
Para a ISO/IEC 38.500 (ABNT 2009), a Governana de TI o sistema
pelo qual o uso atual e futuro da TI so dirigidos e controlados. Significa avaliar e direcionar o uso da TI para dar suporte organizao e monitorar seu
uso para realizar planos. Inclui a estratgia e as polticas de uso da TI dentro
da organizao.

Governana de TI 13

Analisando essas definies, podemos concluir que a Governana de TI,


como disciplina, busca o direcionamento da TI para atender ao negcio e o
monitoramento para verificar a conformidade com o direcionamento tomado
pela administrao da organizao.
Portanto, a Governana de TI no somente a implantao de modelos de melhores prticas, tais como CobiT, ITIL, CMMI, etc.
Ainda dentro dessa tica, a Governana de TI deve:
Promover o alinhamento da TI ao negcio (suas estratgias e objetivos), tanto no que diz respeito a aplicaes como infraestrutura de
servios de TI.
Promover a implantao de mecanismos que garantam a continuidade do negcio contra interrupes e falhas (manter e gerir as aplicaes e a infraestrutura de servios).
Promover, juntamente com reas de controle interno, compliance e
gesto de riscos, o alinhamento da TI a marcos de regulao externos
como a Sarbanes-Oxley (empresas que possuem aes ou ttulos, papis sendo negociados em bolsas de valores norte-americanas), Basileia II (no caso de bancos) e outras normas.

Entretanto, a viso de Governana de TI que sugerimos vai alm dessas definies e pode ser representada pelo que chamamos de Ciclo da Governana de TI, composto por quatro grandes etapas: (1) alinhamento estratgico
e compliance, (2) deciso, (3) estrutura e processos e (4) gesto do valor e do
desempenho. A Figura 1.3, a seguir, apresenta este ciclo.

Figura 1.3 O ciclo da Governana de TI

14 Implantando a Governana de TI 3 edio

O alinhamento estratgico e compliance refere-se ao planejamento estratgico da tecnologia da informao que leva em considerao as estratgias da empresa para seus vrios produtos e segmentos de atuao, assim como os requisitos
de compliance externos, tais como o Sarbanes-Oxley Act e o Acordo da Basileia.
A etapa de deciso, compromisso, priorizao e alocao de recursos
refere-se s responsabilidades pelas decises relativas TI em termos de: arquitetura de TI, servios de infraestrutura, investimentos, necessidades de aplicaes, etc., assim como definio dos mecanismos de deciso, ou seja, em
que fruns da empresa so tomadas essas decises.
Adicionalmente, trata da obteno do envolvimento dos tomadores de
deciso chaves da organizao, assim como da definio de prioridades de
projetos e servios e da alocao efetiva de recursos monetrios no contexto
de um portflio de TI.
A etapa de estrutura, processos, operaes e gesto refere-se estrutura
organizacional e funcional de TI, aos processos de gesto e operao dos produtos e servios de TI, alinhados com as necessidades estratgicas e operacionais da empresa. Nesta fase so definidas ou redefinidas as operaes de sistemas, infraestrutura, suporte tcnico, segurana da informao, governana de
TI e outras funes auxiliares ao CIO, etc.
A etapa de gesto do valor e do desempenho refere-se determinao,
coleta e gerao de indicadores de resultados dos processos, produtos e servios de TI, sua contribuio para as estratgias e objetivos do negcio e
demonstrao do valor da TI para o negcio.

1.3 Objetivos

da

Governana

de

TI

O principal objetivo da Governana de TI alinhar a TI aos requisitos do negcio, considerando solues de apoio ao negcio, assim como a garantia da continuidade dos servios e a minimizao da exposio do negcio aos riscos de TI.
Desdobrando este objetivo principal, podemos identificar outros objetivos
da Governana de TI:
Promover o posicionamento mais claro e consistente da TI em relao s demais reas de negcios da empresa:

Governana de TI 15

Isto significa que a TI deve entender as estratgias do negcio e


traduzi-las em planos para sistemas, aplicaes, solues, estrutura organizacional, processos e infraestrutura, desenvolvimento de
competncias, estratgias de sourcing e de segurana da informao, etc.
Promover o alinhamento e a priorizao das iniciativas de TI com a
estratgia do negcio:
Isto significa que o que foi planejado para acontecer deve ser priorizado, tendo em vista as prioridades do negcio e as restries de
capital de investimento.
A priorizao gera um portflio de TI que faz a ligao entre a
estratgia e as aes do dia a dia.
Promover o alinhamento da arquitetura de TI, sua infraestrutura e
aplicaes s necessidades do negcio, em termos de presente e futuro:
Isto significa implantar os projetos e servios planejados e priorizados.
Promover a implantao e melhoria dos processos operacionais e de
gesto necessrios para atender aos servios de TI, conforme padres
que atendam s necessidades do negcio:
A execuo dos projetos e servios de TI deve ser realizada de
acordo com processos operacionais (execuo propriamente dita)
e de gesto (planejamento, controle, avaliao e melhoria), que
devem estar inseridos em uma estrutura organizacional, que, por
sua vez, deve conter competncias em pessoas e ativos usados para
operar os processos.
Prover a TI da estrutura de processos que possibilite a gesto do seu
risco e compliance para a continuidade operacional da empresa:
Os processos definidos, tanto operacionais como gerenciais, devem considerar a mitigao de riscos para o negcio (por exemplo: processos de segurana da informao, gesto de dados e aplicaes, etc.).
Promover o emprego de regras claras para as responsabilidades sobre
decises e aes relativas TI no mbito da empresa:
Isto significa identificar as responsabilidades sobre decises acerca
de princpios de TI, arquitetura de TI, infraestrutura de TI, necessidades de aplicaes, investimentos, segurana da informao,
estratgia de fornecedores e parcerias, alm de colocar em funcionamento um modelo de tomada de deciso correspondente.

16 Implantando a Governana de TI 3 edio

1.4 Componentes

da

Governana

de

TI

A Governana de TI compreende vrios mecanismos e componentes que,


logicamente integrados, permitem o desdobramento da estratgia de TI at a
operao dos produtos e servios correlatos.
A Figura 1.4 mostra os componentes da Governana de TI dentro de cada
etapa (ou domnio).

ALINHAMENTO
ESTRATGICO E
COMPLIANCE

DECISO,
COMPROMISSO,
PRIORIZAO E
ALOCAO DE
RECURSOS

ESTRUTURA,
PROCESSOS,
OPERAO E
GESTO

Alinhamento
estratgico

Mecanismos de
deciso

Projetos

Princpios de TI

Critrios de
priorizao

Servios

Portfolio de TI

Inovaes

Gesto da
demanda
Necessidades de
aplicaes

Gesto do
desempenho da
TI

Relacionamento
com
fornecedores

Infraestrutura de
TI
Objetivos de
desempenho

Sourcing

Gesto do valor
da TI

Relacionamento
com usurios

Arquitetura de TI

Capacidade

GESTO DO
VALOR E DO
DESEMPENHO

DOMNIOS E COMPONENTES DA
GOVERNANA DE TI

Segurana da
informao
Competncias
Processos e
organizao
Plano de TI

Figura 1.4 Os domnios e componentes da Governana de TI

1.4.1 Os

componentes da etapa de alinhamento

estratgico e compliance

O processo de alinhamento estratgico da tecnologia da informao procura determinar qual deve ser o alinhamento da TI em termos da arquitetura,
infraestrutura, aplicaes, processos e organizao com as necessidades presentes e futuras do negcio. Este processo executado no contexto do Plano
de Tecnologia da Informao.

Governana de TI 17

Princpios de TI so regras que todos devem seguir, no mbito da empresa,


e que subsidiam tomadas de deciso acerca da arquitetura de TI, infraestrutura de TI, aquisio e desenvolvimento de aplicaes, uso de padres, gesto
dos ativos de TI, etc.
A gesto da demanda diz respeito anlise da dinmica do negcio, em
termos de padres de atividades do negcio que indicam necessidades de novos servios, melhoria dos servios existentes, necessidade de mais capacidade
em sistemas e infraestrutura, necessidades de inovao em negcios e tecnologia e assim sucessivamente.
As necessidades de aplicaes dizem respeito s aplicaes de TI que
so necessrias para atender continuidade e s estratgias do negcio.
Determinam tambm quais aplicaes devero ser mantidas, melhoradas,
substitudas e implantadas. Neste contexto, podem ser consideradas como
aplicaes:
Sistemas transacionais.
Sistemas de gesto.
Aplicaes de business intelligence.
Dispositivos de segurana na captura de transaes.
Sistemas de controle de risco.
Novos tipos de POS.
Aplicao de tecnologias de reconhecimento biomtrico.
Aplicaes de RFDI (Radio-Frequency IDentification), etc.

De acordo com Weill & Ross (2004), arquitetura de TI : a organizao


lgica para dados, aplicaes e infraestrutura, representada por um conjunto
de polticas, relacionamentos e escolhas tcnicas para buscar a integrao desejada do negcio e da integrao e padronizao tcnica.
A arquitetura foca na padronizao de processos, dados e tecnologia de
aplicaes e derivada dos princpios de TI, os quais so reflexos das estratgias de negcio e dos valores e credos da organizao.
A infraestrutura de TI, ainda de acordo com Weill & Ross (2004), : a
fundao da capacidade planejada de TI (tanto tcnica como humana) dis-

18 Implantando a Governana de TI 3 edio

ponvel no mbito de toda a organizao como servios compartilhados e


confiveis e usados por mltiplas aplicaes.
A infraestrutura de TI liga a empresa a seus parceiros e fornecedores, assim
como a infraestruturas externas, tais como bancos, redes privadas e Internet,
e define:
Os servios de TI requeridos pelo negcio em termos de gesto de
dados, comunicaes, gesto de ativos de TI, gesto da infraestrutura, segurana da informao, padres de interfaces, educao em
TI, etc.
Como esses recursos estaro dispostos na organizao.
Os recursos computacionais requeridos para apoiar o negcio.

Os objetivos de desempenho direcionam a administrao da TI para atender a metas de desempenho compatveis com os objetivos traados para a
prestao dos servios, enquanto os nveis de servio so acordos estabelecidos
com os clientes internos da empresa. Tanto os objetivos como os nveis de
servio orientam a administrao da TI, o controle do dia a dia e tambm a
forma como, a partir dos indicadores, podem ser realizadas as melhorias e at
mesmo a reengenharia de processos.
A capacidade de atendimento da TI define a quantidade de recursos humanos necessrios para atender demanda por sistemas e servios, assim como
a quantidade de recursos computacionais necessrios, indicando se a infraestrutura atual tem ou no condies de atend-la.
A estratgia de sourcing de servios deve decidir sobre:
O que passar para o sourcing.
Como fazer o sourcing.
Como escolher a melhor alternativa de parceria.
Como gerenciar os servios do sourcing.
Como gerenciar o desempenho dos fornecedores ou prestadores de
servios.
Como fazer a transio de um modelo de operao para outro.
Como fazer a transferncia de um fornecedor para outro, etc.

Governana de TI 19

A poltica de segurana da informao consiste na determinao de diretrizes e aes referentes segurana dos aplicativos, da infraestrutura, dos dados,
pessoas e organizaes (fornecedores e parceiros).
Competncias so as habilidades e os conhecimentos necessrios para o
desenvolvimento e a implantao das iniciativas de TI e que estaro presentes
na estrutura organizacional e nos processos de servios de TI.
Processos e organizao apresentam a forma como os servios e produtos
da TI sero desenvolvidos, gerenciados e entregues aos usurios e clientes e
como a TI deve se organizar em termos funcionais.
O Plano de Tecnologia da Informao consiste no principal produto
do processo de alinhamento estratgico e deve contemplar informaes
sobre:
Princpios de TI.
Arquitetura de TI.
Infraestrutura de TI.
Necessidades de aplicaes.
Objetivos de desempenho e nveis de servio e metas.
Capacidade requerida de atendimento em relao a recursos humanos e infraestrutura.
Organizao das operaes de servios de TI.
Estratgia para fornecedores de servios.
Competncias requeridas.
Polticas de segurana da informao.
Investimentos e custeio.
Roadmap de TI.

O plano incorpora elementos que, uma vez documentados, permitem uma


comunicao clara dos objetivos, produtos e servios de TI para todos na organizao, conforme mostra a Figura 1.5.

20 Implantando a Governana de TI 3 edio

Arquitetura
de TI

Princpios
de TI
Organizao das
Operaes de
Servios

Infraestrutura
de TI

Necessidades de
Aplicaes

Plano de
Tecnologia da
Informao

Estratgia de
Fornecedores de
Servios

Capacidade de
Atendimento

Competncias

Polticas de
Segurana da
Informao

Investimentos

Figura 1.5 Componentes do Plano de Tecnologia da Informao

1.4.2 Os componentes da etapa de Deciso, Compromisso,


Priorizao e Alocao de Recursos
Os mecanismos de deciso definem quem decide o qu em relao TI
dentro da organizao em termos de:
Princpios de TI.
Arquitetura da informao.
Infraestrutura de TI.
Prioridades de aplicaes.
Investimentos em aplicaes e infraestrutura.
Poltica de segurana da informao.
Estratgia de sourcing, etc.
Critrios de deciso so fundamentais para a priorizao de investimentos e
devem ser eminentemente institucionais, de forma que a Alta Administrao

Governana de TI 21

possa decidir onde colocar o dinheiro, muito provavelmente alinhado aos


objetivos e metas do negcio.
O portflio de TI uma metodologia para a priorizao dos investimentos
de TI com base no retorno de projetos e ativos para a organizao e no seu
alinhamento com os objetivos estratgicos do negcio.
Alm do mais, o portflio de projetos:
Torna claras as regras de priorizao de projetos e ativos.
Faz com que a Administrao saiba onde deve investir.

1.4.3 Os componentes
Organizao e Gesto

da etapa de

Estrutura, Processos,

Os projetos alocados (nos quais a TI no o gestor) ou sob responsabilidade


de TI so planejados, executados, gerenciados e implantados. So projetos
de implantao de sistemas integrados de gesto, desenvolvimento e manuteno de sistemas, infraestrutura, arquitetura, segurana da informao, implantao de processos de TI, etc.
Os servios so operaes onde acontece o atendimento da TI1 no fornecimento de servios aos usurios, gestores e, possivelmente, clientes da organizao, fornecedores, parceiros, etc.
Nesta etapa um conjunto de atividades operacionais e gerenciais regido
por processos de TI, oriundos de melhores prticas, inserido em funes organizacionais no contexto de uma diviso de trabalho.
As principais operaes de servios de TI so:
Operaes de sistemas: contemplam desenvolvimento e manuteno
de sistemas.
Operaes de suporte tcnico: contemplam atendimento a usurios
no uso dos softwares e infraestrutura da instalao.
Operaes de infraestrutura: contemplam servios de infraestrutura
de TI, suporte de TI, gesto de ativos de software, entrega de servios
e suporte a servios.
1 O conceito de servios adotado por ns mais amplo, abrangendo todos os servios de TI, desde
o atendimento a uma solicitao de manuteno de sistemas ou um novo projeto de sistemas at os
servios associados infraestrutura de TI.

22 Implantando a Governana de TI 3 edio

Operaes de segurana da informao: contemplam servios de planejamento da segurana da informao e o monitoramento dirio de riscos
ao ambiente computacional da organizao e a seus dados, bem como
atividades de conscientizao, treinamento e educao para a segurana.
Operaes de suporte ao CIO: contemplam atividades de planejamento da TI, oramento da TI, gerenciamento de contratos, gerenciamento de fornecedores, escritrio de projetos e inovao tecnolgica para negcios, etc.
Operaes de Governana de TI: contemplam atividades para a promoo da implantao das melhores prticas na execuo dos servios
de TI, seu planejamento, monitoramento, gesto e melhoria contnua.
Operaes de processos: consiste em projetos de elaborao, melhoria
e implantao de processos de negcio e tambm o desenho de inovaes nos processos de negcio.
Operaes de arquitetura de TI: consiste em atividades de planejamento e definio de arquiteturas de TI, notadamente de software,
infraestrutura tecnolgica e de aplicaes e de servios.
Outras operaes: servios de garantia da qualidade, grupo de engenharia de software, grupo de gerenciamento da configurao, grupo
de novas tecnologias e outras que dependem do tipo da operao
requerida pela organizao, comuns em empresas que trabalham com
vrios produtos do tipo informao intensiva, como o caso das
instituies financeiras.

A implantao de inovaes ocorre tanto no nvel dos processos de negcio


(nova forma de executar um processo de negcio de forma mais diferenciada
ou com menor custo, comparativamente concorrncia, agregando mais valor na percepo do cliente) como na tecnologia aplicada aos servios como,
por exemplo, inovaes em deteco de intruso na rede e inovaes aplicadas
na automao de processos de negcio, como o reconhecimento biomtrico.
O relacionamento com o cliente trata da interao dos usurios internos
ou externos com a rea de TI, abrangendo processos que devem definir:
Como o cliente solicita o servio.
Quem pode solicitar o servio.
Como os servios so avaliados.

Governana de TI 23

Quais os canais de comunicao.


Como as responsabilidades so atribudas em projetos, entre os usurios e a TI.
Como a TI capacitada para atender aos usurios e ao negcio e
como os usurios so capacitados sobre o uso da TI.
Como os projetos so desenvolvidos em conjunto com o cliente, etc.

O relacionamento com os fornecedores, analogamente ao modelo de relacionamento com o cliente, trata dos seguintes aspectos da operao de TI:
Como as solicitaes so encaminhadas para os fornecedores.
Como o fornecedor responde solicitao.
Como os Acordos de Nveis Operacionais2 e Contratos de Apoio3 so
controlados.
Como a qualidade dos servios avaliada e melhorada.
Como o desempenho do fornecedor controlado, etc.

1.4.4 O componente
Desempenho da TI

da etapa de

Gesto

do

Valor

e do

A gesto do valor da TI refere-se s atividades conduzidas para que a TI


demonstre o seu valor para o negcio em termos de custos relativos, transformao do negcio e apoio estratgia do negcio e as medies decorrentes.
A gesto do desempenho refere-se ao monitoramento dos objetivos de desempenho das operaes de servios em termos de desenvolvimento de aplicaes, suporte a servios, entrega de servios, segurana da informao e o
seu monitoramento, assim como dos acordos de nveis de servio, acordos de
nveis operacionais e nveis de servios dos contratos de apoio.

2 Em ingls, os acordos de nveis operacionais so conhecidos pela sigla OLA (Operational Level
Agreements) que compreendem os acordos de nveis de servio entre as reas de TI e entre esta e as
reas de suprimento e contratos da empresa.
3 Contratos de apoio so realizados com fornecedores externos de servios e so conhecidos como UC
(Underpinning Contracts).

Governana Corporativa e
Regulamentaes de Compliance

Como vimos no incio deste livro, a TI deve atender s necessidades do


negcio e tambm a marcos de regulao externos.
Em organizaes que apresentam um grau de Governana Corporativa
mais avanada, a Governana de TI tem grande interao com sistemas de
controle interno e de gesto de riscos corporativos.
Dependendo do negcio, existem vrios marcos reguladores. Por exemplo,
uma empresa de telecomunicaes no Brasil deve atender a uma srie de instrumentos regulatrios provenientes da Anatel. O mesmo ocorre com os bancos, em
relao s normas do Banco Central ou com as organizaes que possuem aes
na BMF-Bovespa, em relao s normas da Comisso de Valores Mobilirios.
De qualquer forma, essas regulamentaes geralmente so transformadas
em objetivos e entidades de controle no contexto da Governana Corporativa.

2.1 Governana Corporativa


Governana de TI

e a ligao com a

De acordo com o Instituto Brasileiro de Governana Corporativa IBGC


(2009), a Governana Corporativa consiste:
no sistema pelo qual as sociedades so dirigidas, monitoradas e incentivadas,
envolvendo o relacionamento entre proprietrios, Conselho de Administrao, Diretoria e rgos de controle interno. As boas prticas de governana
corporativa convertem princpios em recomendaes objetivas alinhando
interesses com a finalidade de preservar e otimizar o valor da organizao,
facilitando seu acesso ao capital e contribuindo para a sua longevidade.

Governana Corporativa e Regulamentaes de Compliance 25

Os princpios da Governana Corporativa, ainda de acordo com IBGC


(2009) so:
Transparncia: obrigao e desejo de informar resultados e aes.
Equidade: tratamento igual para todos os acionistas.
Prestao de contas: os agentes da governana corporativa prestam
contas e so responsveis pelos seus atos e omisses.
Responsabilidade corporativa: os agentes de governana devem zelar pela sustentabilidade das organizaes, visando a sua longevidade,
incorporando consideraes de ordem social e ambiental na definio
dos negcios e operaes.

A figura 2.1 apresenta, de acordo com o IBGC, o Sistema de Governana


Corporativa.
Conselho de
Famlia

Governana

Scios
Auditoria
Independente
Auditoria
Interna

Conselho de
Administrao
Comit de
Auditoria

Conselho
Fiscal

Comits

Diretor-Presidente
Diretores
Administradores

Gesto

Figura 2.1 Sistema de Governana Corporativa


Adaptado de IBGC (2009)

26 Implantando a Governana de TI 3 edio

Para garantir que os princpios da Governana Corporativa sejam efetivos,


seja por sua vontade expressa ou requerida face ao ambiente regulatrio em
que se encontra, as organizaes lanam mo de modelos de controle interno
e gesto de risco.
O principal modelo norteador da estruturao de sistemas de controles internos e de gesto de risco o COSO - The Committee of Sponsoring
Organizations of the Treadway Commission (Comit das Organizaes Patrocinadoras).
O COSO uma entidade sem fins lucrativos dedicada melhoria dos relatrios financeiros atravs da tica, efetividade dos controles internos e governana corporativa, que foi criada por iniciativa do setor privado para estudar
as causas de ocorrncias de fraudes em relatrios financeiros e contbeis e
desenvolver recomendaes para empresas de capital aberto e para instituies
de ensino.
Em 1992, o COSO publicou um trabalho intitulado Internal Control
Integrated Framework (Controle Interno Um Modelo Integrado), que se
tornou referncia para as organizaes do mundo todo para que as elas estruturem seus sistemas de controle interno.
De acordo com o COSO, o controle interno um processo efetuado pelo
conselho de administrao, executivos ou qualquer outro funcionrio de uma
organizao, com a finalidade de possibilitar o mximo de garantia nas seguintes categorias de objetivos:
Eficincia e eficcia das operaes: salvaguarda de seus ativos e preveno e deteco de fraudes e erros.
Confiabilidade das demonstraes financeiras: exatido, integridade e confiabilidade dos registros financeiros e contbeis.
Conformidade com as leis e regulamentos vigentes: aderncia s
normas administrativas, s polticas da empresa e legislao qual
est subordinada.

Em 2001, o COSO iniciou um projeto para a determinao de um modelo de Risco Corporativo, que resultou no documento intitulado Enterprise
Risk Management Framework, ampliando o alcance dos controles internos e
definindo processos para o gerenciamento de riscos corporativos.

Governana Corporativa e Regulamentaes de Compliance 27

A figura 2.2 mostra como esses sistemas de controle e risco e de direitos decisrios da Governana Corporativa criam as restries de operao dos servios
e projetos de TI. Por exemplo, supondo que o sistema de controle de riscos
aponta que um risco no haver um mtodo de gerenciamento de projetos de
TI; a TI deve ento implementar este mtodo (controle interno), em relao
ao qual o sistema de controle interno ir verificar a aderncia periodicamente,
ou seja, realizar uma auditoria para verificar se os projetos esto aplicando, de
fato, o mtodo.
Governana Corporativa
Comits Corporativos
(Direitos Decisrios)

Decises sobre
Polticas e Investimentos
em TI

Sistema de Controle
Interno
(Auditorias)

Auditorias em Controles
de TI

Sistema de Gesto de
Riscos

Monitoramento dos
Riscos de TI

GOVERNANA DE TI

Controles de TI

Processos de TI

Projetos de TI
Servios de TI

Figura 2.2 Integrao Governana Corporativa x Governana de TI

Neste contexto, h dois regulamentos bastante fortes, que tm dado um


grande poder de fogo s reas de controle interno da maioria das organizaes: o Sarbanes-Oxley Act e o Acordo da Basileia II.
O primeiro atinge empresas de capital aberto e que tm aes nas bolsas
de valores norte-americanas. No Brasil, atinge algumas empresas de capital
majoritariamente nacional e as subsidirias de empresas transnacionais.
A segunda atinge instituies financeiras de uma forma geral. uma regulamentao patrocinada pelo Bank for International Settlements ou BIS, que

28 Implantando a Governana de TI 3 edio

seria o Banco Central dos Bancos Centrais, com sede na cidade de Basileia,
na Sua. A partir dela, as autoridades bancrias principais de vrios pases
criaram modelos derivados (no caso do Banco Central do Brasil, temos a Resoluo 3380, tambm abordada neste captulo).
Ambas as regulamentaes tm forte impacto na rea de TI e fazem parte
do nosso modelo de Governana de TI, pois, dependendo da organizao,
devem ser contempladas pelo alinhamento estratgico. Seu atendimento se reveste de vrios projetos constantes do portflio de TI, que vo criar restries
s operaes de servios de TI.
Agora vamos explorar um pouco mais as implicaes desses marcos de
regulao externos.

2.2 Entendendo
Oxley Act
2.2.1 O

que o

as implicaes do

Sarbanes-Oxley Act

Sarbanes-

e qual a sua

finalidade

Os motivadores do Sarbanes-Oxley Act (vide Sarbanes & Oxley 2002),


como conhecido no mundo dos negcios, foram os escndalos financeiros acontecidos em companhias abertas nos Estados Unidos, como a Enron
e outras, que minaram a confiana dos investidores no mercado de capital
americano (em especial dos que investiam em aes dessas companhias nas
bolsas de valores). Para quem no sabe, a bolsa de valores o principal meio
de investimento da maioria das famlias norte-americanas. Portanto, manter
a credibilidade do sistema vital para os legisladores americanos e para os
responsveis pela conduo econmica dos Estados Unidos.
Os objetivos principais dessa lei so proteger os investidores do mercado de
capitais americano de fraudes contbeis e financeiras de companhias abertas,
assim como instituir uma srie de penalidades contra crimes relacionados. Seu
foco sobre controles internos sobre relatrios financeiros.
De acordo com Ramos (2004):
O termo controle interno sobre relatrios financeiros definido como o
processo projetado por ou sob a superviso do principal executivo e do

Governana Corporativa e Regulamentaes de Compliance 29

principal responsvel por finanas do emitente, ou pessoas que desempenham funes similares, efetivados pelo comit de diretores do emitente,
pela gerncia ou outras pessoas, para prover garantia razovel relacionada
confiabilidade de emisso de relatrios financeiros e preparao de
relatrios de resultados financeiros para propsitos externos, de acordo com
princpios de contabilidade geralmente aceitos GAAP. Inclui poltica e
procedimentos para:
(1) Manter registros que, em razovel detalhe, com exatido e de forma
correta, reflitam as transaes e disposies dos ativos do emitente.
(2) Prover garantia de que as transaes sejam registradas quando necessrio para permitir a preparao de declaraes de resultados financeiros
de acordo com princpios contbeis geralmente aceitos, e que as receitas e
despesas do emitente sejam feitas somente de acordo com autorizaes da
gerncia e diretores do emitente.
(3) Prover garantia relacionada preveno ou deteco, no momento
preciso, de aquisies no autorizadas, uso ou disposio dos ativos do
emitente que possam ter um efeito material nas declaraes dos resultados
financeiros.
O nome dessa lei federal americana, patrocinada pelos congressistas norte-americanos Sarbanes e Oxley e publicada em agosto de 2002 para regular
as responsabilidades e prticas de auditoria em empresas abertas, : Public
Accounting Reform and Investor Protection Act.
A Stock Exchange Comission SEC (que vem a ser a equivalente nossa
Comisso de Valores Mobilirios CVM), autoridade que regula o mercado
de capitais norte-americano, tem a responsabilidade por estabelecer as regras
para implantar o Sarbanes-Oxley Act. Tais regras incluem guias para a elaborao de relatrios financeiros pelos CEO (Chief Executive Officer geralmente o presidente da empresa) e o CFO (Chief Financial Officer responsvel
mximo pelas finanas de uma empresa).
Para definir regras para os auditores independentes a respeito da lei, foi
criada no contexto da SEC o Public Company Accounting Oversight Board,
que uma organizao no governamental dedicada a criar normas a partir
da lei.

30 Implantando a Governana de TI 3 edio

O SOX (Sarbanes-Oxley Act) composto pelos seguintes ttulos:


Ttulo I : Public Company Accounting Oversight Board. Trata do
PCAOB, que uma organizao no-governamental que deve
registrar as auditorias e estabelecer os padres de auditoria relativos aos controles financeiros das empresas abertas.
Ttulo II: Auditor Independence. Estabelece que os auditores sejam
independentes e que haja rotatividade entre empresas de auditoria.
Ttulo III: Corporate Responsibility. Atribui as responsabilidades corporativas, em termos da formao de um comit de auditoria, da
sua composio e dos requisitos sobre o envio de relatrios SEC e
outros tipos de conduta requeridos dos CEOs, CFOs e demais diretores.
Ttulo IV: Enhanced Financial Disclosures. Estabelece novas regras
para a elaborao e publicao de resultados financeiros, assim como
requer que a administrao mantenha um sistema de controle interno adequado.
Ttulo V: Analyst Conflicts of Interest. Estabelece regras para que no
haja conflitos de interesse na atuao de analistas de corretoras de
valores ou de administrao de fundos.
Ttulo VI: Comission Resources and Authority. Estabelece regras para
autorizao de fundos para a SEC, assim como a autoridade da SEC
para suspender, temporariamente ou no, empresas e profissionais de
auditoria.
Ttulo VII: Studies and Reports. Aqui o SOX autoriza a SEC a efetuar
estudos e relatrios relativos consolidao de firmas de auditoria,
agncias de rating de risco, violaes profissionais no mbito do
mercado de capitais, anlises dos resultados das aes da SEC e estudos de bancos de investimentos.
Ttulo VIII: Corporate and Criminal Fraud Accountability. Estabelece
regras especficas e penalidades para a destruio de registros corporativos, assim como para alterao de dados e falsificaes.
Ttulo IX: White-Collar Crime Penalty Enhancements. Contm penalidades para crimes do colarinho branco.
Ttulo X: Corporate Tax Returns. Estabelece que o CEO deve, obrigatoriamente, assinar o imposto de renda da pessoa jurdica.

Governana Corporativa e Regulamentaes de Compliance 31

Ttulo XI: Corporate Fraud Accountability. Define a responsabilidade


corporativa pela comunicao de informaes financeiras de resultados fraudulentos.

2.2.2 Requisitos

do

SOX

que afetam

TI

Para a TI, as Sees 302 e 404 do SOX so de especial importncia.


A Seo 302 especifica que:
O CEO e o CFO devem revisar os relatrios financeiros.
Com base no conhecimento do CEO e do CFO, os relatrios no
contm nenhuma declarao falsa de um fato material ou omisso,
para fazer a declarao de resultados.
Com base no conhecimento do CEO e do CFO, outras informaes
financeiras includas representam corretamente, em todos os aspectos
materiais, a condio financeira, resultados de operaes e fluxos de
caixa nos perodos representados pelos relatrios.
O CEO e o CFO so responsveis por manter e estabelecer controles
e procedimentos sobre a emisso de relatrios financeiros e controles
internos sobre tais relatrios.
Os sistemas de controle interno sobre a emisso de relatrios financeiros devem ser projetados sob a superviso do CEO e do CFO,
incluindo as subsidirias.
Os sistemas de controle internos sobre relatrios financeiros tambm
devem ser projetados sob a superviso do CEO e do CFO.
Deve ser avaliada a efetividade do sistema de controle sobre a emisso
de relatrios financeiros.
Devem ser comunicadas mudanas nos controles internos sobre relatrios financeiros, considerando o ltimo ano fiscal.
Devem ser comunicadas as deficincias dos sistemas de controle interno que possam afetar a habilidade da empresa em registrar, processar, sumarizar e comunicar informaes financeiras.
Deve ser comunicada qualquer fraude que envolva a gerncia ou outros empregados que tenham um papel significante nos registros do
controle interno sobre relatrios financeiros.

32 Implantando a Governana de TI 3 edio

A Seo 404, por sua vez, especifica que:


A administrao tem a responsabilidade de estabelecer e manter uma
estrutura adequada de controle interno e procedimentos para relatrios financeiros.
A administrao deve avaliar a efetividade do sistema de controle interno sobre relatrios financeiros.
Deve ser realizada uma auditoria externa especfica sobre a avaliao interna da efetividade do sistema de controle interno feita pela
administrao.

Para atender aos requisitos do SOX, as informaes financeiras sobre os


resultados devem atender aos seguintes princpios:
O contedo da informao deve ser apropriado.
A informao deve estar disponvel no momento em que for
necessria.
A informao atual ou pelo menos a ltima disponvel.
Os dados e as informaes esto corretas.
A informao acessvel aos usurios interessados.
H um sistema de controle interno sobre relatrios financeiros que
garante todos os demais itens anteriores.

Esses requisitos afetam a TI de forma bastante significativa. Lembramos


que as informaes financeiras e de resultados so oriundas de todos os processos de negcio que geram fatos contbeis e financeiros para a empresa e que
podem estar automatizados ou no.
Portanto, praticamente todos os sistemas transacionais de uma empresa,
relativos a pagamento de pessoal, pagamento de benefcios a pessoal, transaes com fornecedores (compras, aplicao de recursos financeiros) e clientes
(vendas, captao de recursos financeiros), com acionistas, com o governo,
gesto de recursos financeiros, etc., devem ser considerados quando pensamos
no SOX.

Governana Corporativa e Regulamentaes de Compliance 33

No contexto de um sistema de controle interno, os riscos so identificados


e mitigados, os controles so estabelecidos e executados, os registros e sistemas
de controle so desenvolvidos e mantidos e toda a sistemtica monitorada.
A TI, como sabemos, um elemento crtico como fonte de risco para a
continuidade do negcio e para o atendimento ao SOX.
A Tabela 2.1 mostra as principais implicaes operacionais do SOX para a
TI, considerando os processos de TI (vide em captulos posteriores as consideraes dos modelos de melhores prticas de TI):
Requisitos de qualidade
da informao

Implicaes do SOX

O contedo da
informao deve ser
apropriado.

Processo de desenvolvimento de requisitos de software.


Processo de gerenciamento de requisitos de software.
Mtodos de engenharia de software.
Processos de verificao (teste).
Processos de validao (aceitao pelos usurios).
Processos de segurana da informao empregados nos aplicativos.
Processos de aceitao de produtos de terceiros.
Processo de gesto da mudana e da configurao.

A informao deve
estar disponvel no
momento em que for
necessria.

Disponibilidade de aplicativos.
Disponibilidade da infraestrutura.
Gerenciamento de incidentes e problemas no ambiente de produo.
Suporte aos usurios.
Gesto de aplicativos e de ativos de TI.
Processos de gerenciamento da infraestrutura.
Segurana da infraestrutura.
Gerenciamento da contingncia.
Gerenciamento de disponibilidade e desempenho.

A informao atual ou
pelo menos a ltima
disponvel.

Processos de gerenciamento de dados.


Planejamento e gerenciamento da contingncia e de desastres.
Segurana da informao na infraestrutura.

Os dados e as
informaes esto
corretos.

Segurana da informao em aplicativos.


Segurana da infraestrutura de TI.
Teste de software.
Controle da mudana e da configurao.
Gerenciamento de dados.
Gerenciamento de requisitos.

34 Implantando a Governana de TI 3 edio

Requisitos de qualidade
da informao

Implicaes do SOX

A informao
acessvel aos usurios
interessados.

Segurana da informao referente a controle de acessos e privilgios.


Controle de autorizaes.

H um sistema de
controle interno sobre
relatrios financeiros.

Avaliao de riscos de TI.


Gesto da qualidade.
Planos de desastres e recuperao.
Tabela 2.1 Implicaes do SOX para TI

2.2.3 Impacto

do

SOX

na

Governana

de

TI

O SOX impacta a Governana de TI no que diz respeito aos seguintes


aspectos:
As questes relativas ao SOX devem ser tratadas no Plano de Tecnologia da Informao.
Novos controles (funcionalidades) em aplicaes do legado devem ser
implantados.
Novas aplicaes devem ser implantadas.
Processos de TI existentes devem ser ajustados e melhorados para mitigar riscos.
Novos processos de TI devem ser projetados e implantados.
Ocorrncia de provveis mudanas na estrutura organizacional de TI
em funo dos processos ajustados e tambm dos novos.
Novos indicadores de desempenho devero ser definidos e implantados.
Os riscos de TI devem ser monitorados constantemente.
Finalizando este tema, o CIO deve ser pea fundamental no esforo da
empresa para se ajustar ao SOX, devendo participar ativamente do projeto de
adequao.

Governana Corporativa e Regulamentaes de Compliance 35

2.3 Entendendo
Basileia II
2.3.1 O

que o

as implicaes do

Acordo

da

Acordo

da

Basileia II

Estabelecido pelo Bank for International Settlements, BIS, sediado na cidade


sua da Basileia (que vem a ser o Banco Central dos Bancos Centrais), o Acordo
da Basileia II estipula requisitos de capital mnimo para as instituies financeiras,
em funo dos seus riscos de crdito e operacionais. O Acordo possui trs pilares:
O primeiro pilar estabelece regras e procedimentos para clculo dos requisitos de capital, tendo em vista os riscos de crdito e operacionais, de
acordo com a aplicao de abordagens distintas de avaliao e mitigao de riscos. Risco de crdito a perda econmica sofrida pela incapacidade voluntria ou involuntria do tomador do crdito em atender s
suas obrigaes contratuais no tempo requerido. No caso dos bancos, a
metodologia deve atender tanto a uma transao individual de crdito
como a uma carteira de crdito, ou seja, o portflio de crdito da instituio. Risco operacional, por sua vez, o risco de perdas financeiras
diretas ou indiretas resultantes de processos internos inadequados, de
falhas nos processos, pessoas e sistemas, ou mesmo de eventos externos.
O segundo pilar estabelece regras para que os Bancos Centrais de cada
pas executem auditorias nas instituies financeiras, visando avaliar
a aplicao dos mtodos de gesto de risco e a avaliao e mitigao
de riscos de crdito e operacionais, assim como a emisso de informaes para o mercado acerca da exposio do risco da instituio.
O terceiro pilar estabelece regras para a comunicao para o mercado,
dos requisitos mnimos de capital, face aos riscos e aos mtodos e resultados de avaliaes de riscos, conforme estabelecido pelo primeiro pilar.

2.3.2 Implicaes

do

Acordo

da

Basileia II

sobre

TI

Atualmente, o Banco Central do Brasil vem auditando as reas de TI dos


bancos atravs do instrumento denominado CobiT (Control Objectives for Information and related Technology), desenvolvido pela Information Systems Audit
and Control Association ISACA (este framework apresentado mais adiante).

36 Implantando a Governana de TI 3 edio

Como os bancos no Brasil esto em estgio extremamente avanado no


que diz respeito integrao, uso de tecnologias, diversidade de canais e diversidade de produtos, a questo risco operacional de TI primordial. A TI
um dos principais elementos do risco operacional de um banco, juntamente
com pessoas e processos de negcio.
No que tange ao risco operacional, o impacto do Acordo da Basileia
abrange praticamente todo o espectro de processos de TI e respectivas reas
organizacionais.
Do ponto de vista do risco de crdito, o impacto recai sobre:
Capacidade de armazenamento de dados em face da granularidade
de informaes requeridas de cada cliente, visando avaliar riscos de
forma mais consistente.
Integridade das informaes acerca das transaes do banco.
Integridade das informaes armazenadas sobre os clientes e operaes de crdito.
Segurana dessas informaes.
Contingncias na operao.
Planejamento de capacidade.
Planejamento de desastre e recuperao.
Integridade do processo de emisso de relatrios requeridos pelo BIS.

Analogamente ao que falamos no caso do SOX, relativamente ao Acordo


da Basileia, o CIO ou equivalente deve:
Inserir as questes do Acordo em seu Plano de Tecnologia da Informao.
Implantar novos processos de TI.
Ajustar ou melhorar processos existentes.
Ajustar a estrutura organizacional de TI para acomodar novos processos.
Definir e implantar novos indicadores de desempenho, caso seja necessrio.
Tratar a gesto de riscos (planejamento e monitoramento) de TI
como seu processo com identidade prpria na organizao de TI.

Governana Corporativa e Regulamentaes de Compliance 37

2.4 O impacto da Resoluo 3380


Central do Brasil

do

Banco

Em junho de 2006, foi publicada a Resoluo 3380, do Banco Central do


Brasil, que determina que as instituies financeiras e demais instituies autorizadas a funcionar pelo Banco Central implementem sua prpria estrutura
de gerenciamento de risco.
Conforme definio na resoluo, risco operacional a possibilidade de
ocorrncia de perdas resultantes de falha, deficincia ou inadequao de processos internos, pessoas e sistemas, ou de eventos externos. No que tange
Tecnologia da Informao, a resoluo refere-se a falhas em sistemas como risco operacional. Alguns riscos apontados, tais como interrupo de atividades
da instituio e danos a ativos, tambm podem ser originados pela tecnologia
da informao.
De acordo com a resoluo, deve-se identificar, avaliar, monitorar, controlar e mitigar os riscos da instituio:
Os riscos operacionais devem ser identificados, avaliados, monitorados, controlados e mitigados (essa gesto deve ser permanentemente
executada).
Planos de continuidade de negcios devem ser elaborados, testados e
atualizados.
Os riscos dos fornecedores de servios devem ser gerenciados.

O ponto de partida utilizado pela maioria das instituies a avaliao


dos riscos de TI com base nos processos do CobiT (leia no captulo 6 maiores
detalhes sobre este modelo).
Outra abordagem a elaborao de mapas de riscos por negcio, onde
os riscos que a TI oferece para o negcio so identificados, avaliados, monitorados, controlados e mitigados. Um exemplo de risco em um processo
de internet banking a disponibilidade das aplicaes; o mesmo ocorre para
uma transferncia eletrnica de fundos. Dependendo da criticidade do risco
para o negcio, determinada a frequncia para a ocorrncia das auditorias
sobre TI.

38 Implantando a Governana de TI 3 edio

Neste contexto, quem realiza a gesto de riscos uma rea de gesto de


riscos corporativos, cujas informaes devem ser tratadas pela TI para projetar
e implementar aes de mitigao (controles internos de TI).
Por exemplo, em processos crticos de negcios, geralmente so elaborados
Planos de Continuidade do Negcio, que iro resultar na elaborao de Planos de Desastre e Recuperao pela TI, visando recuperar servios de TI que
apoiam o processo de negcio.
O mais importante que tanto o sistema de controle interno como o de
risco so grandes aliados na implantao da Governana de TI na organizao.

O Modelo

de

Governana

de

TI

Um ponto importante da ideia de apresentar um modelo genrico de Governana de TI que ele pode ser adaptado para qualquer tipo de organizao,
sendo que seus componentes podem ser encarados como peas de um lego,
que vo sendo construdas e implantadas de acordo com as prioridades, necessidades e disponibilidades da organizao.
Entretanto, nunca podemos esquecer que um dos maiores desafios que
uma rea de TI tem o de promover o seu alinhamento com o negcio,
o que exige grandes doses de negociao e educao dos dirigentes das
reas de negcio e, obviamente, grande capacidade do CIO para faz-lo
acontecer.
Poderamos at usar alguns slogans para essa nova era de flexibilidade para
o negcio:
TI no mais assunto somente da TI.
O CIO deve liderar a mudana.
TI deve ser flexvel para lidar com as mudanas do negcio.
Prioridades de TI devem ser prioridades do negcio e no de pessoas;
para isso mecanismos de gesto de portflio devem ser corporativos.
Os itens que representam elementos de custeio de TI devem ser constantemente reavaliados quanto sua permanncia ou no.
Os resultados de investimentos em TI devem ser medidos pela criao de valor ao negcio e pela diminuio da exposio do negcio a
riscos operacionais.
Implantar governana de TI depende de marketing interno.

40 Implantando a Governana de TI 3 edio

Implantar governana de TI implica em mudanas de cultura, de todos da organizao.


Por fim, a TI deve ser gerenciada como um negcio.

3.1 Viso

geral do modelo de

Governana

de

TI

O modelo genrico sugerido baseia-se em um fluxo de mo-dupla que segue o Ciclo da Governana de TI4. A viso geral deste modelo apresentada
na Figura 3.1.
Este modelo apresenta funes tpicas de Governana de TI e um fluxo,
que segue desde o alinhamento at a comunicao do resultado da TI.
Os componentes tpicos da Governana de TI so:
Riscos e compliance: consiste na definio da tolerncia de riscos da
organizao e na avaliao conjunta dos riscos com o negcio, assim
como na garantia de que a TI est aderente com requisitos de compliance externos e internos (atravs dos controles internos aplicveis).
Avaliao independente: consiste na promoo de avaliaes (auditorias) independentes para verificar a conformidade da TI com requisitos de compliance externos e com os controles internos aos quais
est submetida.
Gesto da mudana organizacional: consiste no processo de avaliar a
prontido para a mudana das reas de TI, em funo da implantao
de inovaes em processos de gesto e operacional, do planejamento da mudana, do estabelecimento de mecanismos de recompensas
para a mudana e do gerenciamento da implantao da mudana.
Alinhamento estratgico: consiste na interao entre a TI e a Alta
Administrao no sentido de estabelecer os mecanismos de direitos
decisrios, assim como a obteno dos direcionadores estratgicos e
objetivos de negcio que iro afetar a TI, bem como a sua contribuio para a operao e objetivos do negcio.
Entrega de valor: consiste no gerenciamento dos programas e projetos, na avaliao do valor entregue e no gerenciamento disciplinado
do portflio de TI.
4 J discutido no Captulo 1.

O Modelo de Governana de TI 41

Riscos e Compliance
Avaliao Independente
Gesto da Mudana Organizacional

Diretrizes

Entrega do Valor

Gesto do Desempenho

Comunicao

Gerenciamento de
Recursos

Alinhamento

Servios
Inovao

Comunicao e Reporte
de Resultados

Oramento
Investimentos

Projetos

Resultados para
o Negcio

Priorizao

Portfolio
de TI

Resultados de TI

Mecanismos de
Deciso

Operaes de Servios

Plano de TI
Negcios

Clientes/
Usurios

Plano de TI
Internos

Estratgia de TI

Estratgia do Negcio

Diretrizes

Alinhamento
Estratgico

Fornecedores

Deciso
Priorizao

Estrutura, Processos,
Operaes e Gesto

Gesto do Valor e do Desempenho da TI

Figura 3.1 Modelo de Governana de TI

Gesto do desempenho: consiste na definio de indicadores, mecanismos de coleta e anlise de indicadores de resultado (metas) e de
desempenho da TI.
Comunicao: consiste na comunicao do valor entregue pela TI ao
negcio e em relao ao seu desempenho no atendimento dos nveis
de servios e das metas estabelecidas pelo planejamento estratgico.
Gerenciamento de recursos: consiste na superviso do investimento, do uso e da alocao dos recursos de TI por meio de avaliaes
peridicas das iniciativas e operaes de TI, visando assegurar a existncia recursos suficientes e o alinhamento com objetivos estratgicos
e necessidades de negcios atuais e futuras.

Os componentes de gesto e operacionais so:


Estratgia do negcio: consiste nos direcionamentos estratgicos do
negcio, objetivos, planos funcionais de outras reas da organizao,
mapa estratgico da organizao, alm do plano estratgico de mdio
e longo prazo, que devem ser considerados por TI para o desenvolvimento de sua estratgia de servios.
Estratgia de TI: consiste na elaborao do plano de TI, que pode
ter uma viso externa, para os projetos, servios e inovaes para o

42 Implantando a Governana de TI 3 edio

negcio e uma viso interna, composta dos projetos e inovaes que


a TI deve implantar para poder atender aos seus clientes e usurios
na organizao. Este plano pode conter o Mapa Estratgico e o BSC
da TI.
Plano de TI negcios: consiste em projetos, servios e inovaes da
TI para o negcio, como implantao de novas aplicaes, manutenes de aplicaes, implantao de sistemas integrados de gesto, de
servios de TI e de projetos de infraestrutura para apoiar os processos
de negcio da organizao.
Plano de TI internos: consiste em projetos e inovaes que a TI
tem que implantar para atender ao Plano de TI negcios, tais como
a implantao de processos operacionais e gerenciais, desenvolvimento
de recursos humanos, capacitao de pessoal, estratgia de sourcing, segurana da informao, arquitetura da informao, arquitetura tecnolgica, organizao, estabelecimento de objetivos de desempenho, etc.
Mecanismos de deciso: consiste no estabelecimento e no apoio a
comits requeridos para tomada de decises sobre a TI (que so os
mecanismos de direitos decisrios), os critrios de priorizao e a
priorizao dos investimentos em TI, visando estabelecer o portflio
de TI.
Portflio de TI (oramento e investimentos): consiste no estabelecimento do Portflio de TI aprovado a partir da priorizao e nos
mecanismos de seu gerenciamento.
Clientes/usurios: consiste nos processos de relacionamento da TI
com os seus clientes e usurios.
Operaes de servios: consiste no gerenciamento e na execuo dos
projetos, servios e inovaes de TI para o negcio e para a prpria TI.
Fornecedores: consiste no gerenciamento de contratos e servios fornecidos por terceiros.
Resultados da TI: consiste nos indicadores de desempenho e de resultados da TI em funo da execuo de projetos, servios e inovaes.
Resultados para o negcio: consiste nos resultados da TI para o negcio, em termos de apoio ao aumento da rentabilidade, reduo de
custo, ao lanamento de novos produtos, ao aumento de participao
no mercado, expanso fsica do negcio, etc.

O Modelo de Governana de TI 43

Comunicao e reporte de resultados: consiste na comunicao s


partes interessadas (geralmente os executivos de negcio e alta administrao) sobre o desempenho da TI, no atendimento aos nveis de
servios acordados e aos objetivos do negcio.

A estruturao de funes e responsabilidades sobre a Governana de TI


na organizao o ponto inicial de partida. A forma como vai ser realizada
depende de organizao para organizao. Geralmente estabelecida uma
rea ou grupo de pessoas com a responsbilidade pela implantao da Governana de TI.
O alinhamento estratgico o ponto de partida para a rea de TI criar valor para o negcio e garantir a aderncia a requisitos de compliance.
O primeiro evento de alinhamento o que chamamos de alinhamento
esttico, pois deriva de algum momento em que a empresa planeja o seu
futuro. A partir dos objetivos e das estratgias do negcio (de curto, mdio e
longo prazo), derivam-se iniciativas estratgicas de TI, que so transformadas
em projetos e servios e, possivelmente, o Plano de Tecnologia da Informao,
que, no nosso entender, est no mesmo nvel de outros planos funcionais da
organizao (que tambm so derivados de objetivos estratgicos dos Planos
de Marketing, Vendas, Produo, Logstica etc.).
Os princpios de TI, se j existirem, podem orientar as escolhas estratgicas
contidas no Plano de Tecnologia da Informao. Caso no existam, defini-los
ser certamente outra tarefa do alinhamento.
A partir do alinhamento estratgico (esttico neste momento), o passo seguinte definir as prioridades de TI (sejam elas solues estratgicas, projetos
de aplicativos ou solues, projetos de manuteno de ativos ou projetos de
processo, organizao e servios), gerando um portflio de TI.
A definio sobre o que manter e sobre em que investir vai depender dos
mecanismos de deciso corporativos criados para tal, como, por exemplo, um
Comit de Projetos com a participao dos usurios e executivos.
O portflio vai orientar as aes do dia a dia e ser alimentado por elas. Este
instrumento vai unir as estratgias de curto, mdio e longo prazo rotina
diria das operaes de servios de TI.

44 Implantando a Governana de TI 3 edio

Pode haver mudanas no negcio? Com certeza, sim (alis, 100% de certeza!). Portanto, mudanas no negcio que acarretem mudanas em demandas
para a TI devem recompor o portflio e, por conseguinte, o Plano de Tecnologia da Informao. o que chamamos de alinhamento dinmico da TI.
Em outras palavras, os objetivos e as estratgias de negcio devem ser sempre
revisitados, mesmo que no estejam claros para o pessoal do negcio.
O portflio de TI deve direcionar o relacionamento com os clientes (internos e externos), assim como com os fornecedores e parceiros de TI. Teoricamente, no deveria ser permitido o atendimento de demandas que no
estejam enquadradas no portflio. Mudanas deveriam ser negociadas e, se
forem importantes e requeridas pelo negcio, deveriam ser entendidas como
mudanas ou refinamentos nos objetivos e estratgias do negcio.
O relacionamento com os clientes e o relacionamento com os fornecedores so
subconjuntos do portflio que guiam o dia a dia das operaes de servios de TI.
As operaes de servios de TI proporcionam os servios requeridos pelos
clientes internos (dentro da organizao, a prpria rea de TI) e externos
organizao (clientes propriamente ditos e, s vezes, os fornecedores). Este
aspecto pode ser entendido como a entrega de valor da TI.
No modelo, a organizao e os instrumentos das diversas operaes devem
ser derivados do alinhamento estratgico. Os projetos internos de TI, como,
por exemplo, a implantao de uma metodologia de desenvolvimento de sistemas, devem estar previstos no portflio de TI.
Objetivos de desempenho e nveis de servio podem ser estabelecidos desde o Plano de Tecnologia da Informao e devem ser medidos em intervalos
de tempo preestabelecidos. As medies so realizadas no nvel de cada operao de servio.
A gesto do desempenho de TI derivada dessas medies, as quais podem ser consolidadas mediante tratamento especfico (frmulas) para gerar
indicadores de desempenho e de resultado que, por sua vez, vo mostrar se as
decises estratgicas e tticas tiveram efeito real no desempenho esperado para
as operaes, apontando quais aes so necessrias para aumentar o desempenho ao longo do tempo.
Ainda no modelo, temos as medies de resultados dos projetos, servios
e inovaes para o negcio, que so o que realmente interessa para o negcio.
Por exemplo: a TI atende aos picos de operao do negcio com alta dispo-

O Modelo de Governana de TI 45

nibilidade, integridade e confiabilidade? Ou: o projeto de negcio, apoiado


por TI, conseguiu gerar a receita necessria? Ou ainda: o projeto de inovao
proposto por TI reduziu o custo do negcio?
A comunicao crtica para todo o processo, pois o meio pelo qual a TI
comunica o seu desempenho de forma transparente para o negcio (executivos e alta administrao) e atravs do qual a TI demonstra o seu valor para o
negcio. Quanto mais a TI demonstrar valor, maiores sero as possibilidades
do negcio investir em mais inovaes, projetos e servios de TI e obter os
benefcios com o uso da tecnologia da informao.
Entretanto, nada garante que os princpios e mecanismos da Governana
de TI sejam implantados, mantidos e evoludos sem um gerenciamento de
mudana organizacional. Nossa experincia tem demonstrado que este um
ponto crtico na implantao da Governana de TI, pois quando ocorrem
mudanas na organizao h ganhadores e perdedores. s vezes, esses perdedores opem forte resistncia mudana e, muitas vezes, so pessoas chaves
para a organizao. Muitas vezes eles vencem!
Por fim, temos que garantir que o que foi implantado seja seguido, controlado, monitorado, atendendo aos parmetros de riscos da TI para o negcio,
aos requisitos de compliance externos (leis, regulaes, etc.) e aos controles
internos requeridos para a TI.
Aps esta breve descrio do modelo de Governana de TI, vamos a um
detalhamento maior de seus componentes.

3.2 O Alinhamento
3.2.1 O

estratgico de

TI

que o alinhamento estratgico

O alinhamento estratgico pode ser realizado com ou sem um plano estratgico de negcios formal.
No adianta a empresa ter somente um conjunto de metas de vendas ou
de lucratividade sem ter o detalhe sobre como atingir as metas e a lucratividade pretendida. Para quem se encontra numa situao dessas, fundamental
tentar entender os movimentos competitivos que a diretoria da empresa faz,
assim como entender profundamente o negcio, em termos dos fatores crticos de sucesso.

46 Implantando a Governana de TI 3 edio

Como a literatura tem definido, alinhamento estratgico o processo de


transformar a estratgia do negcio em estratgias e aes de TI que garantam
que os objetivos de negcio sejam apoiados.
O mercado de cada empresa define a estrutura do negcio e o campo de
batalha competitivo. Neste sentido, cria elementos competitivos que tm impacto na forma como a empresa vislumbra novas oportunidades de negcio,
desenvolve produtos e servios, realiza as suas vendas e aquisies de insumos
e recursos, transforma-os em produtos e servios, usa a tecnologia de produtos
e assim sucessivamente.
O mercado tambm fornece informaes sobre ameaas ao negcio representadas pela barganha de fornecedores e compradores, pelo aparecimento
de produtos e servios substitutos, pelo surgimento de novas tecnologias de
processo e de produto patenteadas que possam mudar a forma de vender e
distribuir, pela forma de gerir a cadeia de suprimentos, etc.
Geralmente, o que se observa a definio de um conjunto de estratgias
considerando um cenrio de produto/servio e mercado presente e futuro,
ou a partir de um novo posicionamento competitivo com a mudana dos
elementos da oferta de valor da empresa para o mercado5. Isto significa que as
linhas de produtos e servios da empresa podem requerer o emprego simultneo de vrias estratgias, o que torna a questo do alinhamento e da prpria
operao de TI bem mais complexa.
Atualmente, o alinhamento estratgico bidirecional, ou seja, da estratgia
do negcio para a estratgia de TI e vice-versa, pois a TI pode potencializar
estratgias de negcio que seriam impossveis de serem implantadas sem o
auxlio da tecnologia da informao.
A Figura 3.2 mostra o esquema de alinhamento estratgico proposto por
Henderson & Venkatraman (1993), onde a estratgia de TI influencia e
influenciada pela estratgia de negcio e interage bidirecionalmente com a
infraestrutura e os processos de TI e com a infraestrutura e os processos organizacionais.
Vrias estratgias simultneas podem requerer processos de negcio distintos, tanto do ponto de vista operacional como da gesto. Para a TI, isto significa um forte impacto quando se define a Arquitetura de TI, visando obter o
mximo de compartilhamento de recursos.
5 Vide o trabalho de Kim & Mauborgne (2005).

O Modelo de Governana de TI 47

Externo

Vide o caso dos bancos de varejo no Brasil, que atendem tanto clientes de
baixo poder aquisitivo como de classe mdia e classe mdia alta.
Para os clientes de classe mdia alta, esses bancos criaram estruturas, sistemas, atendimento, marketing e processos operacionais diferenciados. Isto
requer para a TI a especializao de alguns aplicativos, alm de dados mais
detalhados sobre as transaes dos clientes. Na realidade, para esse pblico, a
agncia virtual ou fsica torna-se uma verdadeira banca de vendas de servios
e produtos bancrios.
ESTRATGIA DE NEGCIO

ESTRATGIA DE TI

ESCOPO DOS
NEGCIOS

ESCOPO DA
TECNOLOGIA

COMPETNCIAS
DISTINTIVAS

GESTO DOS
NEGCIOS

COMPETNCIAS
SISTMICAS

GESTO DA TI

Ajuste
Estratgico

Alinhamento
Multidimensional

Interno

INFRA-ESTRUTURA
ADMINISTRATIVA

PROCESSOS

ARQUITETURA

HABILIDADES

INFRA-ESTRUTURA E PROCESSOS
ORGANIZACIONAIS

PROCESSOS

Integrao Funcional

HABILIDADES

INFRA-ESTRUTURA E
PROCESSOS DE TI

Figura 3.2 Modelo de alinhamento estratgico


Fonte: Henderson & Venkatraman (1993)

Esta viso da estratgia de negcio versus a estratgia de TI fundamental


para o alinhamento estratgico.
O alinhamento estratgico ocorre em vrios momentos na vida da empresa.
Um momento acontece quando o board da organizao se rene para definir
objetivos de negcio de mdio e longo prazo e estabelece estratgias para atingir
esses objetivos. Geralmente produzido um plano estratgico, plano de neg-

48 Implantando a Governana de TI 3 edio

cios ou algo equivalente. A partir deste ponto, objetivos e estratgias funcionais


so desdobrados e sincronizados para marketing e vendas, operaes, logstica,
recursos humanos, tecnologia da informao, pesquisa e desenvolvimento, etc.
Outros momentos acontecem quando este mesmo board redefine aleatoriamente o seu plano de negcios em funo de novas oportunidades ou cenrios macroeconmicos e microeconmicos de negcios.
Por fim, este alinhamento ocorre no dia a dia, quando os clientes de TI
demandam solues novas que mudam os requisitos do negcio estabelecidos
no alinhamento esttico, quando foi feito o plano de tecnologia. Neste caso,
a TI tem que ser bastante flexvel.
Chamamos de alinhamento esttico a derivao da estratgia de TI a partir
do Plano Estratgico ou de Negcios da empresa e de alinhamento dinmico
a alterao da estratgia de TI em funo da mudana aleatria da estratgia
de negcios da empresa.
Para ser efetivo e robusto, um modelo de Governana de TI tem que contemplar esses dois alinhamentos.
LINHA DE TEMPO IMAGINADA

SITUAO
ATUAL
DO NEGCIO

ALINHAMENTO
ESTTICO
DA TI

OBJETIVOS DE
NEGCIOS
DESEJADOS

ESTRATGIA
INTENCIONADA DE
NEGCIOS

ESTRATGIA
REALIZADA DE
NEGCIOS

OBJETIVOS DE
NEGCIO
ATINGIDOS

ALINHAMENTO
DINMICO
DA TI
LINHA DE TEMPO REALIZADA

Figura 3.3 Alinhamento estratgico e comportamento da estratgia de negcio

O Modelo de Governana de TI 49

A Figura 3.3 mostra que, inicialmente, o Plano de Tecnologia produto do


alinhamento esttico face s estratgias de negcio intencionadas, ou seja, as
estratgias documentadas ou comunicadas logo aps um processo (formal ou
informal) de planejamento estratgico.
Durante a implantao das estratgias de negcio intencionadas, ocorrem mudanas no cenrio do mercado, da economia ou da poltica, fazendo
com que as estratgias inicialmente traadas sofram alteraes. Temos ento,
neste momento, as estratgias que esto sendo, de fato, executadas (ou seja,
realizadas). Essas estratgias iro requerer novo alinhamento da TI, a que
chamamos de alinhamento dinmico.
Lembramos, porm, que, mesmo que a empresa no tenha claro o seu
plano de negcios, possvel realizar o alinhamento estratgico esttico, o
que vai subsidiar o seu Plano de Tecnologia da Informao.
H diversas formas de se fazer a anlise estratgica do negcio para TI.
Algumas delas so:
Identificao, atravs do plano estratgico do negcio ou atravs da
observao das aes da empresa, das estratgias empresariais que a
empresa adota e daquelas que sero adotadas para atingir objetivos
traados.
Identificao dos fatores crticos de sucesso da empresa.
Anlise de planos tticos funcionais.
Balanced Scorecard de TI6.

Essas anlises podem ser cotejadas com o portflio atual de TI visando


determinar os gaps que devero ser preenchidos.
A seguir, apresentamos um detalhamento do Plano de Tecnologia da Informao. Esta abordagem apresentada aqui aplicvel em organizaes que
necessitam rever o alinhamento da TI ao negcio, ou que necessitam rever de
forma mais profunda o alinhamento da infraestrutura de aplicaes e tecnolgica e das demais polticas e processos de TI, em apoio aos servios fornecidos
aos usurios e clientes.
Entretanto, se a sua organizao j est madura em termos de TI, tem uma
infraestrutura de aplicaes e tecnolgica mais ou menos estabilizada, com
6 Vide a discusso desta tcnica no captulo 12.

50 Implantando a Governana de TI 3 edio

poucas mudanas transformadoras, pode usar uma abordagem mais estratgica, atravs da elaborao do Mapa Estratgico e do BSC de TI, que ser
discutido mais adiante, no item 3.2.3.

3.2.2 O Plano

de

Tecnologia

da

Informao

O Plano de Tecnologia da Informao o principal produto da fase


de alinhamento estratgico, conforme o modelo de Governana de TI
proposto. Ele derivado do momento de alinhamento estratgico da
organizao e atualizado sempre quando h mudanas na estratgia. Num
primeiro instante, o alinhamento estratgico ocorre quando se est construindo ou elaborando o plano estratgico empresarial (que pode ser formal ou informal).
Geralmente, feito para perodos no superiores a trs anos, com maior
detalhe no primeiro ano e com revises anuais.
A elaborao do Plano de Tecnologia comumente segue um processo que
se inicia aps ou durante a definio dos objetivos e estratgias da companhia,
ou seja, durante o alinhamento estratgico.
Nesse processo, a TI deve participar da definio dos objetivos e das estratgias da empresa, sugerindo novas oportunidades de negcio com o uso da
tecnologia da informao ou apoiando os demais objetivos e estratgias funcionais, de marketing e vendas, manufatura, logstica, recursos humanos, etc.
Dependendo da postura de TI, a elaborao do Plano pode ser feita a partir
dos objetivos e estratgias definidos.
Eventualmente, as reas de controle interno das empresas podem exigir
da rea de TI a elaborao de um Plano. Esta a postura menos recomendada
para TI. O Plano no pode servir apenas para eliminar pontos de auditoria
ou para atender a requisitos de compliance, mas ser um elemento de apoio
gesto do CIO e dos demais gerentes de TI e da prpria empresa, alm de ser
um elemento de comunicao entre TI e negcio.
A Figura 3.4 mostra uma viso macro de um processo de planejamento
estratgico empresarial tpico.
O Plano de TI pode ser visto como um dos planos funcionais, cujos projetos e servios so derivados e esto em linha com a estratgia empresarial e
competitiva e os demais planos funcionais da organizao.

O Modelo de Governana de TI 51

Para melhor entendimento:


Inteligncia competitiva: refere-se ao tratamento de informaes
internas e externas acerca do mercado, clientes, concorrentes, fornecedores, de cunho poltico, legal, social e econmico, assim como
avaliao de oportunidades, pontos fracos e pontos fortes, que servem de base para a reviso ou elaborao da estratgia corporativa e
competitiva.
Estratgia corporativa: procura responder a questes tais como: em
que negcio atuar, diversificar ou focalizar, como alocar recursos a
diferentes negcios, que novo negcio ou mercado deve ser desenvolvido, etc.
Estratgia competitiva e de posicionamento: procura responder sobre a misso da empresa, quais os objetivos estratgicos do negcio,
qual a estratgia competitiva (liderana em custo, diferenciao, enfoque), qual a estratgia de crescimento do negcio ou mesmo qual a
estratgia de um novo posicionamento estratgico.
INTELIGNCIA
COMPETITIVA

ESTRATGIA
CORPORATIVA

ESTRATGIA
COMPETITIVA E DE
POSICIONAMENTO

PLANO
ESTRATGICO

PLANO DE
P&D

PLANO DE
MARKETING

PLANO DE
NOVOS
PRODUTOS E
SERVIOS

PLANO DE
VENDAS

PLANO DE
OPERAES

PLANO DE
LOGSTICA

PLANO DE
RECURSOS
HUMANOS

PLANO DE
TI

PLANOS FUNCIONAIS

PROCESSO DE PLANEJAMENTO
ESTRATGICO EMPRESARIAL

Figura 3.4 Processo de planejamento estratgico empresarial

PLANO DE
FUNDING

52 Implantando a Governana de TI 3 edio

Plano estratgico: documenta as intenes da administrao sobre


como atingir os objetivos estratgicos do negcio. Estabelece as aes
necessrias para que os objetivos do negcio sejam atingidos.
Planos funcionais: desdobram as estratgias em projetos e servios que devem ser desenvolvidos para que os objetivos sejam
atingidos.

A Figura 3.5, a seguir, mostra um modelo de relacionamento bsico entre


os principais planos funcionais de uma organizao.
O Plano de Tecnologia da Informao deve apoiar toda a operao, em
termos de desenvolvimento de novas solues para as necessidades do negcio, da manuteno das solues, dos aplicativos e dos demais ativos de TI,
da implantao e manuteno de solues de servios associados ao uso dos
ativos e da infraestrutura. Neste sentido, tambm apoiado por outros planos
como o de recursos humanos e de funding.
PLANEJAMENTO
ESTRATGICO
EMPRESARIAL

estratgias e diretivas
diretivas para
determinao de
principios

estratgias e diretivas

estratgias e diretivas

PLANO DE
PESQUISA E
DESENVOLVIMENTO

necessidades
de mercado PLANO DE

MARKETING

estratgia de
marketing PLANO DE VENDAS

projetos
aplicados

PLANO DE
TECNOLOGIA DA
INFORMAO

necessidades
de servios
de TI

PLANO DE NOVOS
PRODUTOS E
SERVIOS

PLANO DE
OPERAES

especificaes
de produtos

necessidades
de recursos
humanos e
competncias

necessidades
de sourcing

PLANO DE
LOGSTICA

necessidades
de recursos
volume de
produtos

PLANO DE
SOURCING

necessidades de funding da operao


previso de vendas
necessidades
de funding

PLANO DE
FUNDING

necessidades
de funding

Figura 3.5 Relacionamento entre planos funcionais

PLANO DE
RECURSOS
HUMANOS

O Modelo de Governana de TI 53

Lembramos, todavia, que os princpios de TI orientam as resolues


do Plano de TI. Se tais princpios no existirem ou no estiverem claros
dentro da empresa, a hora de abord-los durante a elaborao do plano
de TI.
O processo de alinhamento estratgico revelar requisitos do negcio
para TI, os quais vo alimentar o estudo da demanda por servios, recursos
e infaestrutura, sendo transformados em objetivos de desempenho e acordos de nveis de servio para clientes externos e internos, em necessidades
de novas solues, de infraestrutura de TI e de outros recursos e servios
de TI.
O entendimento da dinmica do negcio auxilia na determinao do volume e do tipo de servios que so (ou sero) requeridos da TI, o que pode
direcionar a determinao dos nveis de servios que devem ser negociados
com os usurios/clientes.
As necessidades de solues so avaliadas em face do atual portflio de TI e
da atual arquitetura de TI da empresa. Se no houver um desenho, o entendimento e o estabelecimento do padro da arquitetura de TI, a oportunidade
para faz-lo durante a elaborao do plano de TI.
As necessidades de aplicaes podero ajudar no desenho da arquitetura
de TI, se ela ainda no existir, e na definio da infraestrutura de servios de
TI, que dar suporte para que as necessidades de aplicaes, dentro de uma
arquitetura de TI, tornem-se realidade.
Todos os requisitos anteriores vo exigir uma capacidade adequada de recursos, sejam computacionais, materiais e humanos, que tambm deve ser
planejada.
Outro aspecto importante no Plano de Tecnologia decidir sobre qual
ser a estratgia de sourcing. Mais precisamente, qual o tipo (ou quais os
tipos) de sourcing a empresa quer, ou seja, relativo ao desenvolvimento de
sistemas, infraestrutura de servios de TI, suporte a usurios, um full outsourcing, etc.
Uma vez definidas as necessidades futuras em termos de solues de aplicaes, arquitetura e infraestrutura de TI, capacidade e sourcing, deve-se reavaliar a organizao das operaes de servios de TI, considerando processos
operacionais, de gesto, de relacionamento com os clientes e com os fornecedores, assim como as competncias necessrias.

54 Implantando a Governana de TI 3 edio

Em funo do tipo de negcio da empresa e dos tipos de arquitetura e


infraestrutura de TI requeridos, possvel identificar os requisitos da infraestrutura de segurana da informao.
O conjunto de necessidades, recursos e competncias requeridos deve ser
avaliado, ento, quanto aos aspectos de segurana da informao e gesto de
riscos.
Por fim, as necessidades derivadas do Plano Estratgico formaro o
Novo Portflio de TI e devero ser priorizadas de acordo com critrios
especficos.
O plano somente estar completo quando as prioridades de investimentos e manuteno de itens de custeio estiverem decididas, formando o que
chamamos de Portflio Aprovado, ou seja, aquele que dever ser executado e
que guiar o dia a dia da organizao de TI. Logo aps o estabelecimento do
oramento de capital e de custeio, os nveis de servio requeridos devem ser
revistos para refletirem as formulaes do plano.
O Plano de TI pode ser subdividido em duas peas, uma delas voltada para
as necessidades do negcio, em termos de aplicaes de apoio aos processos
gerenciais e operacionais (por exemplo: manuteno de aplicaes existentes,
upgrade em sistemas de gesto integrados, desenvolvimento de solues de
Business Intelligence, implantao de sistemas de relacionamento com clientes,
automao de cho de fbrica, etc.).
A outra pode ser orientada especificamente para a capacitao da TI em
atender aos servios, projetos e inovaes que sero implantadas no negcio
(por exemplo: projetos de processos de TI tais como implantao de segurana da informao, metodologia de gesto de projetos, processo de gerenciamento de outsourcing, processo de gesto de mudanas, inovaes tecnolgicas que devem ser estudadas, mudanas organizacionais em TI, programas de
capacitao de pessoas, projeto de novos servios, melhoria da arquitetura da
TI, arquitetura de software, etc.).
O resultado da combinao dessas duas peas o Portflio de TI aprovado,
que dever ser executado uma vez que as prioridades sejam establecidas pelos
comits especficos para tal.
A Figura 3.6 mostra os passos para a elaborao do Plano de Tecnologia da
Informao.

O Modelo de Governana de TI 55

Anlise Estratgica da
Organizao

Anlise do Portfolio de
TI Atual

Entendimento da Dinmica do Negcio

Anlise e Definio das


Necessidades do
Negcio

Definio da Estratgia de
Servios

Anlise e Definio da
Arquitetura de TI
Definio da Estratgia de
Sourcing
Definio da Arquitetura de
Processos de TI e Organizao
Definio da Estratgia de
Segurana da Informao

Definio de objetivos e metas de


TI

Consolidao do Portfolio
Preliminar de TI
Definio do Oramento
Priorizao dos Investimentos

Portfolio Aprovado
Plano de TI Negcios

Plano de TI Internos

Figura 3.6 Processo de elaborao do Plano de Tecnologia da Informao

A seguir, apresentamos um detalhamento de cada etapa da elaborao do


Plano de Tecnologia da Informao.

3.2.2.1 Anlise estratgica da organizao


A anlise estratgica da organizao tem por objetivo o entendimento dos
requisitos do negcio que impactam TI e compreende os seguintes pontos:
Entendimento da estrutura do negcio.
Entendimento dos objetivos estratgicos do negcio, visando o desdobramento desses objetivos para TI.
Entendimento dos fatores crticos de sucesso do negcio.
Identificao dos requisitos para TI.

56 Implantando a Governana de TI 3 edio

3.2.2.1.1 Entendimento da estrutura do negcio


De acordo com Porter (1989), a estrutura de um negcio pode ser entendida conforme o modelo apresentado pela Figura 3.7, a seguir:

Figura 3.7 Modelo de foras competitivas de Porter


Fonte: PORTER (1989)

De acordo com o modelo, uma organizao com fins lucrativos sofre barganha de fornecedores e compradores, ameaada por novos entrantes no
mercado, pela concorrncia e por produtos substitutos.7
O entendimento sobre como a organizao se situa neste espao competitivo a direciona para definir direcionadores estratgicos como:
Se o segmento do produto/servio sofre grande barganha dos fornecedores e compradores e as margens so reduzidas, ento ela deve
concorrer com base na estratgia de Liderana em Custo.
7 No captulo 16, exploraremos o alinhamento estratgico em organizaes pblicas.

O Modelo de Governana de TI 57

Se o segmento do produto/servio muito inovador e dinmico, com


produtos substitutos e novos entrantes no mercado, provvel que a
empresa v querer se diferenciar. Portanto, ela deve adotar a estratgia
de Liderana por Diferenciao.
Se o segmento do produto/servio um nicho de mercado, ela deve
adotar a estratgica de Enfoque.

Todo tipo de indstria, seja bancria, telecom, comrcio, servio, agribusiness, etc., tem sua estrutura mais ou menos similar e que gera fatores crticos
de sucesso mais ou menos parecidos, por exemplo:
No segmento de banco de varejo, o fator crtico de sucesso atendimento de massa e extensivo no territrio nacional, com grande gama de
produtos e servios e com alto grau de disponibilidade, confiabilidade
e integridade. Neste caso, os custos so a tnica, pois medida que os
produtos e servios so disponibilizados pela internet, autoatendimento e por centrais telefnicas de relacionamento, os custos de transaes
caem drasticamente, assim como os investimentos em infraestrutura de
agncias. No caso de grandes redes varejistas no comrcio, existe forte
concorrncia e as margens so muito apertadas, mesmo que haja uma
forte barganha junto a fornecedores por reduo de custo.
Na indstria de telecom, pela sua dinmica, servios maduros so
pressionados por custo e por produtos substitutos (tais como Skype
e MSN, no caso de telefonia fixa e at mesmo celular). Visando aumentar receitas e lucratividade, investem fortemente em contedo e
convergncia de mdias. Neste caso, h duas estratgias, liderana em
custo e diferenciao.

A Tabela 3.1 a seguir apresenta alguns requisitos para TI, em funo do


tipo da estratgia empresarial derivada da estrutura do negcio na qual a empresa est inserida.

58 Implantando a Governana de TI 3 edio

Estratgia
empresarial

Requisitos de Negcio para TI

Enfoque8

A TI deve apoiar a flexibilizao dos processos relacionados a clientes,


engenharia de produto, gesto do conhecimento (proprietrio), relacionamento
com fornecedores e integrao dos processos de negcio.

Diferenciao

A TI deve apoiar a implantao de processos de engenharia, desenvolvimento


e operao de servios e produtos nicos, diferenciados, assim como
processos robustos de relacionamento com clientes e uso de informaes para
desenvolvimento de novos produtos. A empresa necessita tambm ter uma
plataforma flexvel de produo para mudar rapidamente.
O foco em novas tecnologias da TI sobre aquelas que vo criar novas
oportunidades de negcio para a empresa.

Custo

A TI deve garantir a integrao de processos de negcio (desde o pedido at


a entrega do produto e servio) com o mnimo desperdcio possvel. O foco em
novas solues da TI sobre aquelas que vo reduzir custos para a empresa.
Tabela 3.1 Estratgias empresariais e requisitos de TI

A partir desse entendimento, alguns fatores crticos de sucesso para TI j


comeam a ser entendidos.8
3.2.2.1.2 Entendimento dos objetivos estratgicos do negcio
A presente abordagem pode ser usada tanto para casos onde no h um plano
estratgico formal, onde as aes de negcio devem ser interpretadas em estratgias empresariais, como para aqueles casos onde existe um plano estratgico. Mesmo assim, devemos interpretar os objetivos de negcio em tipos de estratgias.
importante salientar que esse exerccio de interpretao deve ser feito
para cada clula de produto-segmento, ou seja, a interpretao deve ser realizada para cada segmento de mercado em que a empresa atua, com produtos
especficos ou derivados de plataformas de produto.
A Tabela 3.2 a seguir exemplifica a relao ao empresarial estratgia
requisitos de negcio para TI. uma forma de descobrir qual o impacto da
estratgia competitiva e de negcios da empresa sobre a TI.

8 Vide o trabalho de Porter (1999) sobre estratgias competitivas.

O Modelo de Governana de TI 59

Ao empresarial
percebida

Estratgia
empresarial

Requisitos de Negcio para TI

Criar produtos e servios


para nichos de mercado

Enfoque

A TI deve apoiar a flexibilizao dos processos


relacionados a clientes, engenharia de produto,
gesto do conhecimento (proprietrio),
relacionamento com fornecedores e integrao
dos processos de negcio.

Criar produtos e servios


diferenciados usando a
mesma plataforma

Diferenciao

A TI deve apoiar a implantao de processos


de engenharia, desenvolvimento e operao de
servios e produtos nicos, diferenciados, assim
como processos robustos de relacionamento com
clientes e uso de informaes para desenvolvimento
de novos produtos. A empresa necessita tambm
ter uma plataforma flexvel de produo para mudar
rapidamente.
O foco em novas tecnologias da TI sobre
aquelas que vo criar novas oportunidades de
negcio para a empresa.

Ter o produto e servio de


menor custo

Custo

A TI deve garantir a integrao de processos de


negcio (desde o pedido at a entrega do produto
e servio) com o mnimo desperdcio possvel. O
foco em novas solues da TI sobre aquelas
que vo reduzir custos para a empresa.

Busca de maior participao


dos produtos e servios
atuais nos mercados atuais

Penetrao de
mercado9

A TI deve apoiar otimizaes de processos


para reduo de custos, assim como garantir
um desempenho superior aos fatores chaves
de competio no mercado atual e que sejam
ganhadores de pedido. Esses fatores podem
estar no preo e na qualidade (do produto, do
atendimento, da entrega conforme o pedido).

Introduo de produtos e
servios atuais em novos
mercados

Desenvolvimento de
mercado

A TI deve apoiar fortemente os processos de


planejamento de mercado, vendas e logstica,
visando garantir o fluxo permanente de entrega
dos produtos e servios para os novos mercados.

Desenvolvimento de novos
produtos e servios para
mercados atuais

Desenvolvimento de
produto

A TI deve apoiar pesquisa e desenvolvimento,


engenharia de produto, gesto do
desenvolvimento de produtos, marketing e
processos de inteligncia competitiva.

Desenvolvimento de novos
produtos e servios para
novos mercados

Diversificao

A TI deve apoiar pesquisa e desenvolvimento,


engenharia de produto, gesto do
desenvolvimento de produtos, marketing,
manufatura, distribuio e vendas.

9 Vide Kotler (2002) para informaes acerca de estratgias empresariais.

60 Implantando a Governana de TI 3 edio

Ao empresarial
percebida

Estratgia
empresarial

Requisitos de Negcio para TI

Associao, joint venture ou


aquisies fora do ramo de
negcio

Crescimento
conglomerativo

A TI pode integrar servios e arquiteturas e


compartilh-las.

Criar barreiras de entrada


para novos entrantes no
mercado

Manuteno de
posio/territrio

A TI pode apoiar processos e produtos que


reduzam os custos do cliente ou que aumentem
o seu desempenho, visando criar barreiras contra
as vantagens competitivas de novos entrantes.

Criar novos mercados


(inexistentes)

Estratgia do blue
ocean10

A TI pode auxiliar na prospeco de novas


tecnologias e solues que possam criar um novo
mercado ainda inexplorado.

Tabela 3.2 Estratgias empresariais e requisitos de TI

Entretanto, deve-se ter cuidado ao analisar as estratgias da empresa, pois


podem estar equivocadas em funo das caractersticas da estrutura do ramo
de negcio em que atua. O que queremos dizer com isso que nem sempre
a Alta Direo tem razo, ou seja, ela pode estar equivocada ao decidir sobre
uma estratgia, pois a deciso pode ser tomada sem a devida anlise do contexto competitivo.910
Por exemplo, suponha que a estrutura do seu negcio requeira uma estra
tgia baseada em liderana no custo, pois o seu produto compete com base
no preo ( uma commodity). Qualquer ao de diferenciao do produto no
vai faz-lo vender mais.
Se a empresa possui um Plano Estratgico, provvel que existam planos
funcionais ou objetivos estratgicos formais que so desdobrados pela organizao. Este o melhor dos mundos, pois no h necessidade de interpretao
sobre a estratgia de negcio da empresa.11
Os planos funcionais (pelo menos esperamos isto) so derivados dos desdobramentos das estratgias estabelecidas para o negcio. Tais planos refletem
as estratgias em programas, projetos, servios e aes e constituem-se em

10 Vide o trabalho de Kim e Mauborgne (2005).


11 Pode parecer incrvel, mas muitas empresas no tm uma estratgia clara e definida e comunicada
por toda a organizao. Uma estratgia somente vlida se todos na organizao a entendem e a
implantam no seu dia a dia.

O Modelo de Governana de TI 61

timas fontes de informao para que se possam identificar necessidades de


aplicaes de TI, em apoio estratgia do negcio.
Por exemplo, um plano funcional de marketing tem informaes sobre os programas de marketing para produtos atuais ou novos produtos,
programas de inteligncia de mercado, programas de marketing institucional etc.
Os planos funcionais indicam os recursos com os quais a TI pode contri
buir, quando e onde. Isto tem impacto na arquitetura de aplicaes, na infraestrutura de servios, na organizao de TI, na estratgia de sourcing e em
todos os demais elementos do modelo.
Uma vez de posse dessas informaes, deve-se avaliar o portflio de TI
(contendo projetos, servios, ativos e aplicaes) da empresa, de forma a verificar se cada um dos programas e aes previstas para uma funo de negcio
j est respaldado ou se h espao para propor novas aplicaes e melhorias
sobre aquelas j existentes.
Ao analisar um plano funcional, deve-se sempre pensar tanto nas necessidades da operao da funo como na gesto da operao da funo.
Ainda no exemplo de marketing, podemos sugerir um projeto para permitir
que os colaboradores do marketing consigam implantar e monitorar seus
programas e suas campanhas, o que faz parte da rotina operacional de uma
rea de marketing. Entretanto, esta rea precisa saber o retorno sobre o
investimento (ROI) das respectivas campanhas, visando corrigir rumos e
melhorar as abordagens futuras de cada campanha. Isto uma necessidade
gerencial.
Outra abordagem o desdobramento dos objetivos de TI a partir do Mapa
Estratgico e do Balanced Scorecard (BSC) da empresa.
O Balanced Scorecard, tcnica de planejamento empresarial desenvolvida
pelos professores de Harvard Kaplan & Norton (1996), propicia o alinhamento das iniciativas (projetos, aes, servios) de TI aos objetivos estratgicos do negcio, considerando quatro perspectivas:
Financeira.
Cliente (no caso de TI usurio tambm).

62 Implantando a Governana de TI 3 edio

Processos internos (gesto de projetos, desenvolvimento, gesto de


incidentes etc.).
Aprendizado e crescimento.

De acordo com esta tcnica, o resultado financeiro a satisfao do cliente,


que continua a usar os servios e/ou produtos da empresa, cuja experincia de
consumo dos servios e/ou dos produtos depende dos processos internos, os
quais, por fim, so apoiados pelo aprendizado e crescimento (recursos humanos, conhecimento, patentes, etc.).
O BSC demonstra uma relao de causa e efeito e uma poderosa
ferramenta de planejamento e de gesto de desempenho por toda a organizao.
Se sua empresa j usa esta tcnica, aproveite e faa o Balanced Scorecard da
rea de TI. Vide mais sobre esta tcnica no captulo 12.
Por fim, devem ser avaliados os Princpios de TI.
O alinhamento estratgico deve considerar os princpios de TI para projetar a arquitetura de TI, a infraestrutura de TI, etc. Esses princpios so
derivados diretamente da estratgia da empresa e das necessidades do negcio. Uma vez estabelecidos, servem de orientadores para o desdobramento
das aes necessrias de TI em projetos e servios e para o estabelecimento
de polticas.
De acordo com Weill & Ross (2004) e Broadbent & Kitzis (2005), os
princpios de TI tratam de:
Papel da TI para a empresa.
Informao e dados.
Padres de arquitetura e servios de TI.
Comunicaes.
Ativos de TI.

Alguns exemplos de princpios de TI so:


O papel da TI contribuir para a realizao da estratgia competitiva
da empresa (se a estratgia for liderana em custo, a TI deve apri-

O Modelo de Governana de TI 63

morar e/ou implantar uma arquitetura de TI que reduza o custo da


operao do negcio).
Manteremos uma lista de produtos apoiados pelo suporte e vendors habilitados em cada tecnologia. Usurios podero comprar outros produtos fora da lista, mas no tero suporte de TI (padres da arquitetura).
Nossa rede corporativa deve ser capaz de prover acesso a um grande
conjunto de aplicaes, essencial para a entrega de servios consistentes aos clientes (comunicaes).
Usurios cujo trabalho exige mobilidade devem ter acesso somente a
dados e informao de uso operacional necessrios para as tarefas fora
da empresa (segurana da informao).
Sempre compraremos antes de construir e, quando houver compra, implantaremos com o mnimo de customizao (gesto de
ativos).
Quando a empresa ainda no tiver seus princpios de TI estabelecidos,
poder faz-lo no contexto do alinhamento estratgico e at mesmo durante
a elaborao do Plano de Tecnologia da Informao.
Os princpios servem para guiar o comportamento das pessoas e da administrao da empresa em relao ao uso da tecnologia da informao.
Um caso muito comum em empresas que no tm os princpios claros
ocorre quando um executivo compra e instala um software fora do padro
da TI em seu notebook e, quando ocorre algum problema, solicita suporte.
Como a TI no tem conhecimento e experincia com o tal software, gasta
muitos recursos e tempo precioso para atender demanda, em detrimento de outras solicitaes de servios ou resoluo de incidentes, sempre
ocasionando reclamaes e pequenas crises. Alguns dos princpios podem
estar representados por polticas de uso de recursos e no catlogo de servios da TI.
Os princpios de TI no so para serem pendurados na parede, mas sim
para serem usados. Devem estar alinhados ao negcio, e a razo adicional de
sua importncia que eles afetam o custo da operao de TI.
Os princpios de TI podem ser permanentes ou no, dependendo dos objetivos e estratgias da empresa.

64 Implantando a Governana de TI 3 edio

A Figura 3.8 apresenta o relacionamento de objetivos e estratgias em


presariais com os princpios de TI.

Estratgia / Diretivas
do Negcio

Princpio de TI

Implicaes em
Projetos e Servios

Crescer pela aquisio


de concorrentes, obtendo
economias de escala

O sistema integrado de
gesto deve ser nico para
todas as empresas do grupo

Projetos de implantao do
sistema integrado de gesto
nas empresas adquiridas

Obter um time-tomarket agres s ivo em


relao aos concorrentes

Novos software devem ter


arquitetura flexvel visando a
incorporao de novas
features de forma rpida

Implantar Service Oriented


Architecture - SOA

Expandir territorialmente
a atuao da empresa,
visando aumentar a base
de clientes

Prover servios de
atendimento para qualquer
cliente

Expanso da rede e da
infraestrutura de servios
para outras localidades

Implantar orientao a
objetos

Figura 3.8 Desdobramento de estratgias em iniciativas de TI

3.2.2.1.3 Entendimento dos fatores crticos de sucesso do negcio


A identificao dos fatores crticos de sucesso tambm se aplica quando
no h informao disponvel sobre as estratgias da empresa. Atravs do entendimento do negcio e dos seus fatores crticos, a TI pode fazer importantes
contribuies para a estratgia da empresa.
Fatores crticos de sucesso so aqueles nos quais a empresa precisa ter bons
resultados se deseja ser bem-sucedida.
Um exemplo clssico de fator crtico de sucesso na indstria automobilstica e de aparelhos domsticos o design do produto; na indstria de fast food, a
limpeza do ambiente e a rapidez de atendimento; nos negcios de e-commerce,
a segurana e a logstica de entrega etc.

O Modelo de Governana de TI 65

Os fatores crticos de sucesso podem ser:


Estruturais.
de construo.
Temporais.

Os fatores crticos estruturais referem-se queles que so inerentes a cada


ramo de negcio. So os fatores qualificadores mnimos necessrios e que permitem ao negcio sobreviver. Geralmente, o impacto da estratgia do negcio
sobre esses fatores o de melhoria e otimizao.
Os fatores crticos de construo esto relacionados ao atendimento de
metas da empresa, tais como implantar uma nova fbrica, desenvolver um
novo mercado, um novo produto, novas competncias gerenciais na organizao, um novo processo industrial ou de gesto, etc. Esses fatores crticos
tambm existem para atingir um fator estrutural.
Os fatores temporais referem-se a eventos aleatrios que afetam o negcio
e que devem ser administrados, sob pena de perda da competitividade pela
empresa. Um exemplo de fator crtico temporal foi o alinhamento dos custos
de produo e dos preos dos produtos quando houve a desvalorizao do
Real em 1999 e agora, com a desvalorizao ou o crescimento da economia
brasileira.
A tarefa aqui consiste em, uma vez identificados os fatores crticos de sucesso do negcio, relacionar os requisitos para TI.
A Tabela 3.3 exemplifica requisitos de TI, identificados a partir do fator
crtico de sucesso.
Fator crtico de sucesso

Requisitos de Negcio para TI

Time-to-market

Velocidade do processo de produto, desde a sua concepo at o seu


lanamento no mercado.
Forte necessidade de reutilizao de conhecimento disponvel na
organizao.
Forte comunicao entre equipes.
Gesto do processo de desenvolvimento do produto.

Design do produto

Mecanismos de suporte ao design.

Reteno e reutilizao de
conhecimento

Suporte reteno e disseminao de conhecimento.

66 Implantando a Governana de TI 3 edio

Fator crtico de sucesso

Requisitos de Negcio para TI

Processos produtivos de alto


desempenho

Processo sem interrupo.


Processo com qualidade.
Processo confivel.
Automao do cho de fbrica.

Logstica de distribuio

Otimizao dos meios logsticos de distribuio.


Tabela 3.3 Requisitos de fatores crticos de sucesso

Aqui, os requisitos de negcio para TI tambm podem ser derivados para


novas aplicaes, melhorias, substituio de aplicaes, etc.
3.2.2.1.4 Identificao dos requisitos para TI
Uma vez que esta anlise tenha sido realizada, importante consolidar os
requisitos da estrutura do negcio, seus objetivos e fatores crticos de sucesso
em requisitos para TI.
A Tabela 3.4 a seguir mostra os impactos para TI, considerando cada um
dos requisitos do negcio.
Estratgia
empresarial

Requisitos de Negcio para TI

Impacto em TI

Enfoque

TI deve apoiar a flexibilizao dos


processos relacionados a clientes,
engenharia de produto, gesto
do conhecimento (proprietrio),
relacionamento com fornecedores e
integrao dos processos de negcio.

Implementar arquitetura de aplicaes


e software, que permite o rpido
desenvolvimento de novos produtos.
Disponibilizar sistemas e software para
engenharia de produto.
Implantar suporte automatizado a
supply-chain.

Diferenciao

TI deve apoiar a implantao


de processos de engenharia,
desenvolvimento e operao de servios
e produtos nicos, diferenciados,
assim como processos robustos de
relacionamento com clientes e uso de
informaes para desenvolvimento de
novos produtos. A empresa necessita
tambm ter uma plataforma flexvel de
produo para mudar rapidamente.
O foco em novas tecnologias da TI
sobre aquelas que vo criar novas
oportunidades de negcio para a
empresa.

Implantao de plataformas de
desenvolvimento de produtos,
parametrizveis.
Arquitetura de software
componentizvel.
CRM.

O Modelo de Governana de TI 67

Estratgia
empresarial
Custo

Requisitos de Negcio para TI


TI deve garantir a integrao de
processos de negcio (desde o pedido
at a entrega do produto e servio)
com o mnimo desperdcio possvel. O
foco em novas solues da TI sobre
aquelas que vo reduzir custos para a
empresa.

Impacto em TI
Implantao de sistemas integrados de
gesto.

Tabela 3.4 Identificao do impacto dos requisitos de negcio em TI

A partir da identificao do impacto, o passo seguinte avaliar como est


o seu Portflio de TI em relao a esses requisitos, para encontrar as oportunidades de melhoria.

3.2.2.2 Anlise do Portflio Atual de TI


A anlise do Portflio atual de TI importante para verificar os seguintes
pontos:
O que est sendo executado em termos de projetos, servios e inovao (identificando o que est em dia e o que no est).
Qual o backlog (o que estava previsto e no foi realizado).
Quais projetos, servios e inovaes foram planejados e cancelados.
Como foi a execuo do oramento de TI (se ficou dentro do previsto
ou no).
Quais servios so fornecidos, quais os respectivos acordos de nveis
de servio e quais os perfis de usurios e clientes.
Melhorias requeridas e que j foram registradas.
Quantidade de mudanas no portflio no perodo de tempo em que
est sendo analisado.

Esta anlise vai permitir, no momento da anlise das necessidades do negcio e dos servios de TI, a tomada de decises sobre:
O que deve permanecer.
O que deve ser retirado ou cancelado.

68 Implantando a Governana de TI 3 edio

O que deve ser melhorado.


O que deve ser suspenso.
O que deve ser substitudo.
O que deve ser includo.

3.2.2.3 Entendimento da dinmica do negcio


O entendimento da dinmica do negcio crtico para determinar a capacidade que a TI deve ter para atender s demandas do negcio e estabelecer
sua estratgia de servios.
A anlise estratgica da organizao e a anlise do Portflio atual de TI
fornecem os elementos para a identificao de padres e a qualificao da
demanda dos processos de negcio.
A figura 3.9 exemplifica o raciocnio de como um aumento da atividade
de um processo de negcio aumenta a demanda pelo atendimento da Central
de Servios.
Desta forma, caso haja mudanas no nmero de clientes, produtos, servios, localidades de atuao da empresa, processos de negcio, processos de
produo, novas plantas, lojas, operaes, etc., haver um aumento pela demanda de servios de TI.
Porm, esta dinmica deve ser avaliada a partir da anlise estratgica
do negcio, visando fornecer os elementos para a definio da estratgia
de servios, a qual ir focar o entendimento dos perfis e segmentos de
usurios dos servios de TI e o tipo de servio a ser fornecido, inclusive
no tocante aos nveis de servios requeridos e seus impactos em custos e
riscos.

O Modelo de Governana de TI 69

Processo de Negcio

Processo de Negcio

Pessoas
Envolvidas

Requisitos
do
Processo

Atividade do Negcio

Solicitao
de
Servio

Incidentes
de
Servios

+
Central de Servio

Demanda

Plano de Capacidade

Figura 3.9 Dinmica do negcio X demanda de servios


Fonte: OGC (2007a)

3.2.2.4 Definio da estratgia de servios


Uma vez entendido o negcio e sua dinmica, e analisado o portflio atual
de TI, deve-se pensar na estratgia dos servios de TI. Esta estratgia de servios consiste em:
Entender o que gera valor (utilidade e garantia) para os clientes e
usurios.
Desenvolver as ofertas de servios.
Desenvolver os ativos estratgicos.
3.2.2.4.1 Entender o cliente
Entender o cliente significa descobrir o que gera valor para o seu desempenho e quais requisitos de garantia o servio a ser provido deve ter.

70 Implantando a Governana de TI 3 edio

De acordo com OGC (2007a), os clientes detm e operam configuraes


de ativos para criar valor para os seus clientes, sendo que esses ativos so os
meios de alcanarem resultados que permitem ou melhoram a criao de
valor.
Para o estrategista de servios de TI, importante entender todos os resultados que o cliente tem que alcanar, sendo que aqueles resultados que
possuem menos apoio so oportunidades de atuao de TI.
A Tabela 3.5, adaptada de OGC(2007a), apresenta o conceito de resultados do cliente.
Categoria de resultados

ID do
resultado

Melhoria de capacidades

MC1

Tomada de deciso e ao em resposta a eventos


de negcio so rpidas

MC2

Aumento de conhecimento, habilidades e


experincia para os processos de negcio

MC3

Supply chain estendido

MP1

Aumento da capacidade de processamento do


processo

MP2

Diminuio do perodo de cobrana

MP3

Aumento no retorno dos ativos

MR1

Aumento da produtividade dos funcionrios

MR2

Aumento da flexibilidade das operaes

RC1

Diminuio de custos fixos do processo de negcio

RC2

Diminuio do tempo de incio de uma nova


operao

RR1

Continuidade do negcio garantida

RR2

Processo de negcio para compliance

Melhoria do desempenho

Melhoria dos recursos

Reduo de custos

Reduo de riscos

Declarao de resultado

Tabela 3.5 Exemplo de resultados requeridos pelos clientes


Adaptado de: OGC (2007a)

O Modelo de Governana de TI 71

Portanto, para entender o cliente precisamos:


Identificar os resultados de negcio para cada cliente.
Avaliar se o catlogo de servios atende de forma adequada os resultados de negcio de cada cliente.
Se houver gaps entre o suporte fornecido pelo servio de TI e o resultado requerido pelo cliente no catlogo de servio, verificar no
pipeline dos servios.
Se mesmo assim persistir o gap, direcionar a criao de um novo servio de TI ou o seu melhoramento.

Antes de prosseguirmos com o entendimento das necessidades do cliente, interessante apresentarmos alguns conceitos preliminares de gerenciamento de servios
de TI.
A prestao de servios de TI acontece em um ciclo de vida do servio,
que, para a ITIL V3 (OGC 2007a), consiste nas fases estratgia do servio,
projeto do servio, transio do servio, operao do servio e melhoria
contnua do servio12.
A estratgia do servio tem por objetivo entender as necessidades do
cliente e estabelecer as ofertas de servios. O projeto do servio, como o
nome j diz, preocupa-se com a especificao dos servios, em nvel de detalhes tcnicos. A transio significa implantar o servio projetado. A operao significa operar o servio implantado e a melhoria contnua abrange
projetar e implantar novas caractersticas do servio, alinhadas com as necessidades do cliente.
Uma operao de servios de TI trabalha sob um portflio de servios,
composto de um pipeline de servios e um catlogo de servios. O port
flio de servios representa todos os recursos presentes ou que esto sendo
entregues nas vrias fases do ciclo de vida do servio. O pipeline de servios
composto de todos os servios que esto sendo projetados ou que esto sendo
implantados. O catlogo de servios um subconjunto do portflio de servios visvel para os clientes e representa os servios que esto ativos na fase de
operao de servios e tambm aqueles aprovados para serem liberados. Serve
como meio do cliente saber quais servios so providos e em que condies.
12 Maiores detalhes sobre a ITIL V3 so encontrados no Captulo 7 deste livro.

72 Implantando a Governana de TI 3 edio

Alm do mais, o catlogo de servios faz a ligao entre as linhas de


servios oferecidas e os ativos dos clientes, conforme mostra a Figura 3.10,
a seguir.
Linhas de Servios

Arqutipos de Servios

Ativos dos Clientes

Servios de aluguel

U1

Alugar,licenciar, prover

A1

Gerenciamento

Servios
gerenciados

U2

Gerenciar, operar e manter

A2

Organizao

Servios de
remediao

U3

Recuperar, resolver e
reparar

A3

Processos

Servios de
custdia

U4

Armazenar, proteger e
monitorar

A4

Conhecimento

A5

Pessoas

Catlogo de
Servios

Servios
administrativos

U5

Processar, finalizar e
registrar

Servios de
avaliao

U6

Analisar, avaliar e auditar

A6

Informao

Servios de
transformao

U7

Modificar, transformar e
transportar

A7

Aplicaes

Servios de criao

U8

Projetar, desenvolver e
fazer engenharia

A8

Infraestrutura

Servios de
comunicao

U9

Conectar e integrar

A9

Ativos financeiros

Figura 3.10 Modelo de negcio do provedor de servios


Adaptado de: OGC (2007a)

Portanto, uma vez que sabemos quais resultados os clientes desejam, devemos avaliar se o catlogo de servios est atendendo a essas necessidades. Se
algum servio no est atendendo, preciso, ento, verificar no pipeline de
servios. Se ainda assim existirem gaps, ento devemos pensar em criar novos
servios ou melhorar o desempenho dos servios j existentes.
3.2.2.4.2 As ofertas de servios
O desenvolvimento de novas ofertas de servios parte do entendimento das necessidades dos clientes e da anlise do atendimento dos servios
atuais e dos servios em desenvolvimento ou em implantao a essas necessidades.
O desenvolvimento de ofertas de servios depende fundamentalmente do
entendimento do que tem utilidade para o cliente e das respectivas garantias
do servio, considerando os fatores crticos de sucesso do negcio do cliente.

O Modelo de Governana de TI 73

Por exemplo, em um processo de negcio de pagamentos, os fatores crticos de sucesso so: o processamento correto dos pagamentos, o monitoramento do processamento dos pagamentos, a segurana do processamento dos
pagamentos, a guarda de registros e documentos correspondentes e a garantia
de disponibilidade do servio.
Visto dessa forma, a Figura 3.11 mostra a ao criada pelo provedor
de servios para atender o contexto de valor do cliente em funo de seus
ativos.

Figura 3.11 Atendendo ao contexto de valor do cliente


Adaptado de: OGC (2007a)

Outro aspecto a considerar na definio da oferta entender que o valor,


para o cliente, est em atender aos resultados do seu negcio e tambm em remover restries e fornecer garantias de funcionamento do servio, de acordo
com requisitos do negcio.
A Figura 3.12 mostra a representao do atendimento de linhas de servios
s questes de utilidade para o cliente, enquanto a Figura 3.13 apresenta o
enfoque da garantia.

74 Implantando a Governana de TI 3 edio

Figura 3.12 Definio de componentes de servios, em termos de utilidade


Adaptado de: OGC (2007a)

Valor
entregue para
o cliente
quando o
provedor de
servios

Provedor de Servios

Ativos de Servios

Ativos dos Clientes

Opera

Um sistema de mensagens
sem fio

Empregados

Aluga

para o
cliente

que
facilita

O processo de emprstimo

Assegura

Contingncia para os ativos


do negcio

Os processos de negcio

Atividade ou tarefa

Garantia Parte A

Garantia Parte B

uma rea
especfica

Coordenar e colaborar

Para

Um sistema de
processamento de crdito

Estimar riscos de emprestar


sobre as solicitaes de
crdito

Trabalhar continuamente

dentro de

um tempo
especfco

Seja acessvel

de uma
maneira
que

Seja confivel

Seja seguro

um limite
especfico

Figura 3.13 Definio de componentes de servios, em termos de garantia


Adaptado de: OGC (2007a)

Seja exato

O Modelo de Governana de TI 75

3.2.2.4.3 O Catlogo de Servios


O Catlogo de Servios de TI um instrumento de comunicao com
os usurios e clientes dos servios de TI da organizao e consiste em uma
descrio detalhada dos servios em uma linguagem orientada ao cliente, juntamente com os nveis de servio associados que a organizao de TI fornece
aos usurios e clientes internos e/ou externos.
O Catlogo de Servios pode estar impresso na Intranet da empresa ou
em um CD para consulta. Nossa sugesto que esteja na Intranet, em um
ambiente fcil de ser acessado e que possibilite pesquisas de assuntos, assim
como meios de interao e solicitao de servios e, talvez, at servios de
autoatendimento, como, por exemplo, pesquisa de problemas e erros conhecidos (para que o prprio usurio possa resolv-los sem acionar a Central de Servios).
Todas as informaes contidas no Catlogo de Servios devem estar sob
o escrutnio dos procedimentos de segurana da informao adotados pela
empresa. A Figura 3.14 mostra o contedo sugerido para o Catlogo de
Servios.
Como pode ser observado, o catlogo tem uma parte genrica, com informaes sobre como usar o catlogo, a estrutura de TI, quem quem em TI,
etc., e dados e informaes sobre a tecnologia que a TI utiliza.
No nosso exemplo, dividimos o catlogo em servios a usurios (internos
da empresa), servios a TI (ou seja, ao pessoal da rea de TI ou aos envolvidos
com atividades de TI) e em servios a clientes e fornecedores (caso utilizem
sistemas da empresa, como no caso de estabelecimentos vinculados a empresas de carto de crdito etc.).
Um detalhe importante (e que no pode ser esquecido no catlogo) a
informao sobre quais servios no esto disponveis, como, por exemplo,
suporte a softwares e equipamentos (notebooks, palmtops, etc.) no homologados pela empresa.

76 Implantando a Governana de TI 3 edio

Este catlogo ser muito til para o estabelecimento do modelo de relacionamento com o cliente.
CATLOGO DE
SERVIOS DE
TI

Como usar o
Catlogo de
Servios

Estrutura de TI

SERVIOS A
USURIOS

Quem quem na
TI

Tecnologia de
TI

SERVIOS A
CLIENTES E
FORNECEDORES

SERVIOS
TI

Service Desk

Servios de suporte

Procedimentos de
aceitao de sistemas

Service Desk

Procedimentos de
gesto de TI

Equipamentos
homologados

Solicitao de
projetos

Servios de
segurana da
informao

Procedimentos de
gesto da mudana

Servios de
gesto de TI

Procedimentos de
sistemas

Nveis de servios

Solicitao de
manutenes

Disponibilidade de
aplicaes

Solicitao de estudos
de viabilidade

Servios de
sistemas

Procedimentos de
segurana da
informao

Banco de dados de
problemas
conhecidos

Treinamentos
disponveis

Solicitaes
emergenciais

Disponibilidade da
rede

Solicitao de
documentos

Servios de
suporte

Procedimentos de
gesto da
infraestrutura

Servios no
disponveis

Nveis de
servios

Solcitao de
extrao de
informaes

Disponibilidade da
infraestrutura

Banco de dados de
problemas conhecidos

Servios de
segurana da
informao

Procedimentos de
suporte

Servios de
infraestrutura

Gesto de
fornecedores

Eventos e
treinamentos
programados
Catlogo de
equipamentos
homologados

Nveis de servios
Softwares
homologados
Servios no
disponveis

Solicitao de
documentos

Service Desk
Uso dos
Sistemas

Bancos de
dados de
problemas
conhecidos

Softwares
homologados

Figura 3.14 Um exemplo de Catlogo de Servios de TI

3.2.2.4.4 Definindo os objetivos e as metas de TI


Os objetivos e as metas de TI so derivados da:
Anlise e definio das necessidades do negcio.
Definio da estratgia de servios.
Anlise e definio da arquitetura de TI.
Definio da estratgia de sourcing.
Definio da arquitetura de processos de TI e organizao.
Definio da estratgia de segurana da informao.
Definio da estratgia em relao a recursos humanos e desenvolvimento de lideranas e competncias.

O Modelo de Governana de TI 77

Tais objetivos e metas so estabelecidos para:


Consecuo da estratgia de TI.
Gerenciar os nveis de servios.
Aquisio, manuteno e implantao de aplicaes.
Aquisio e manuteno da infraestrutura tecnolgica.
Implantao e melhoria de processos de TI, inclusive automao.
Sourcing.
Segurana da informao.
Desenvolvimento de competncias e lideranas.

A Figura 3.15 mostra os relacionamentos entre os objetivos e metas.


Objetivos e
Metas da
Estratgia de
TI

Objetivos e
Metas para a
Arquitetura de
Aplicaes

Objetivos do
Negcio

Objetivos e
Metas para a
Arquitetura
Tecnolgica

Objetivos e
Metas de
Sourcing

Objetivos e
Metas de
Implantao e
Melhoria de
Processos
de TI

Objetivos e
Metas de
Segurana da
Informao

Nveis de
Servios

Figura 3.15 Relacionamento entre objetivos e metas

A estratgia segue uma abordagem de objetivos balanceados em perspectivas de contribuio ao negcio, cliente, processos internos e potencial (orientao para o futuro). Esta uma abordagem alternativa para a elaborao do
plano de tecnologia da informao.
A Figura 3.16 apresenta um exemplo do desdobramento de um objetivo
estratgico, que o aumento da disponibilidade das aplicaes crticas.

78 Implantando a Governana de TI 3 edio

Aumentar a
disponibilidade de
sistemas crticos de
90% para 99%

Acordo de Nvel de
Servio para aplicaes
crticas 99%

Elaborar plano de
contingncias de
servios para as
aplicaes crticas
Criar ambiente de
contingncia para
aplicaes crticas
Contratar ambiente de
contingncia do
fornecedor de servios
de data center
Melhorar o processo de
gerenciamento da
continuidade
Redefinir o
gerenciamento de
acesso s aplicaes
crticas
Figura 3.16 Exemplo de desdobramento de objetivo estratgico

A tabela 3.6, a seguir, apresenta exemplos de objetivos e metas da TI geradas a partir do plano estratgico.
Para a consecuo dos objetivos e das metas, uma srie de iniciativas e
projetos dever ser desenvolvida, fornecendo a base para a elaborao do port
flio de TI preliminar.

O Modelo de Governana de TI 79

Tipo de objetivo / meta


de TI

Descrio

Metas da estratgia de TI
(BSC)

Aumentar o ndice de satisfao dos usurios de 80% para 90% at


dezembro de 2011.
Aumentar o nmero de projetos entregues no prazo de 80% para 95% at
dezembro de 2011.
Aumentar a disponibilidade de sistemas crticos de 98,999% para 99,999%
at junho de 2011.
Manter a taxa de resoluo de chamados no primeiro nvel da central de
servios.

Acordos de nveis de
servios

Disponibilidade de sistemas crticos em 99,999%.


Taxa de entrega de projetos de sistemas no prazo em 95%.
Tempo de recuperao de incidentes crticos 8 horas.

Aquisio e manuteno de
aplicaes

Implantar a nova verso do sistema integrado de gesto at 2012.

Aquisio e manuteno da
arquitetura de TI

Estabelecer at dezembro de 2011 a nova arquitetura de software.


Implantar projeto de virtualizao de servidores at maro de 2012.

Implantao e melhoria em
processos

Automatizar o monitoramento da disponibilidade e capacidade das


aplicaes.
Automatizar o processo de gerenciamento de projetos.
Criar base dados de mtricas e indicadores de TI.
Documentar o processo de desenvolvimento de sistemas.

Sourcing

Rever os contratos de servios de help desk at maio de 2011.


Contratar nova fbrica de software.

Segurana da informao

Rever o plano de segurana da informao at dezembro de 2011.


Implantar novos dispositivos de deteco de intruso at junho de 2011.
Implantar novos controles de segurana fsica no data center at junho de
2012.

Desenvolvimento de
competncias

Certificar 100% dos gerentes como PMP at dezembro de 2012.


Certificar 100% do pessoal de infraestrutura em ITIL Foundation at
dezembro de 2012.
Tabela 3.6 Exemplos de objetivos e metas

Durante a elaborao ou reviso do Plano de Tecnologia da Informao, as


seguintes atividades devem ser realizadas, no tocante aos objetivos e s metas
de TI:
Analisar os objetivos e os nveis de servios atuais quanto ao seu atendimento.

80 Implantando a Governana de TI 3 edio

Avaliar necessidades de melhoria em funo dos resultados observados.


Avaliar se h necessidade de criar novos objetivos e metas e indicadores correspondentes e nveis de servio, ou alterar os atuais.
Avaliar quais processos e servios merecem mais ateno para aumentar o desempenho ou atender aos nveis de servio.
Estabelecer objetivos e metas para o perodo do plano.
Desdobrar os objetivos e os nveis de servio.

Por fim, talvez a atividade mais importante seja avaliar se os processos atuais de criao de indicadores, coleta e armazenamento dos dados, gerao dos
resultados dos indicadores, anlise dos resultados e comunicao dos resultados esto adequados para atender s necessidades da gesto da TI, em linha
com os requisitos do negcio.
Se a sua organizao de TI no tiver um processo definido de medio e
anlise, pense em implant-lo.
Os indicadores de resultados de objetivos, as metas de desempenho e os
nveis de servios devem ser considerados como um ativo para a organizao
de TI.
O estabelecimento dos acordos de nveis de servio est inserido no processo de Gerenciamento do Nvel de Servio, que, de acordo com a ITIL13,
o processo de negociar, definir, medir, gerenciar e melhorar a qualidade dos
servios de TI a um custo aceitvel.
O Gerenciamento do Nvel de Servio procura fazer um balano entre a
prestao de servios e a demanda, a satisfao do usurio e/ou cliente e os
custos de fornecer os servios.
Os acordos de nveis de servio so conhecidos como SLAs ou Service Level
Agreements e podem ser empregados para vrios servios de TI, tanto relativos
prestao de servios para a organizao quanto para o relacionamento com
os fornecedores de servios.
Quando so estabelecidos acordos de nveis de servio com os fornecedores
de servios internos, esses acordos so conhecidos como Operational Level Agreements ou OLAs. No caso dos acordos com fornecedores externos, os acordos
so conhecidos como Underpinning Contracts ou UCs (contratos de apoio).
13 Vide Van Bon & Pieper (2004) sobre as definies da ITIL.

O Modelo de Governana de TI 81

Os acordos de nveis de servio geralmente so estabelecidos para:


Servios de sistemas (desenvolvimento, manuteno, implantao de
pacotes).
Servios de segurana da informao.
Servios de suporte ao usurio (service desk, resoluo de incidentes
etc.).
Disponibilidade de aplicaes.
Disponibilidade de infraestrutura.
Outros atributos de um servio, como, por exemplo, a exigncia de
que um fornecedor implante, num prazo determinado, o nvel 2 do
Capability Maturity Model Integration (CMMI) ou a ISO/IEC 20000.

Tais acordos somente podem ser estabelecidos de forma responsvel se so


conhecidos:
O desempenho atual, em termos de atendimento aos nveis de servio requisitados pelo usurio e/ou cliente.
A capacidade, em termos da infraestrutura (tanto de recursos humanos como de processamento, armazenagem de dados, transmisso de
dados em redes de comunicao locais e externas).
A capacidade de prover aplicaes nos prazos requeridos.

A Figura 3.17 mostra a cadeia de acordos de nveis de servio em uma


organizao.
A ITIL (abordada no Captulo 7) prev processos especficos para o gerenciamento dos nveis de servio.
A definio dos Acordos de Nveis de Servios complementa o Catlogo
de Servios. Entretanto, esses acordos devem ser negociados com os usurios
e clientes em funo das necessidades dos respectivos negcios, sendo que os
acordos operacionais e com os fornecedores devem tambm ser balizados com
as necessidades do negcio.

82 Implantando a Governana de TI 3 edio

3.2.2.4.5 Desenvolvimento dos ativos estratgicos


Uma vez definidos os servios que sero prestados e os respectivos Acordos
de Nveis de Servios, devemos definir as diretrizes para o desenvolvimento
dos processos de Gerenciamento de Servios, o que compreende o desenvolvimento de capacidades e recursos.
Essas diretrizes iro enderear os seguintes aspectos:
Portflio de servios.
Requisitos para o projeto de servios.
Requisitos para a transio dos servios.
Requisitos para a operao dos servios.
Capacidades em termos de processos, pessoas e sistemas de gerenciamento de servios de TI.
Capacidade de recursos (mo de obra, instalaes, hardware, comunicao, segurana da informao, etc.).
UC

FORNECEDOR EXTERNO

UC

FORNECEDOR EXTERNO

UC

FORNCEDOR EXTERNO

UC

FORNECEDOR EXTERNO

USURIO/CLIENTE

PROCESSO DE NEGCIO

SLA

PROCESSO DE NEGCIO

SLA

OLA

SLA

OLA

PROCESSO DE NEGCIO

SERVIOS DE TI

FORNECEDOR
INTERNO

FORNECEDOR
INTERNO

SLA - Service Level


Agreeement
OLA - Operational Level
Agreement
UC - Underpinning
Contract

Figura 3.17 Cadeia de acordos de nveis de servio

Essas diretizes sero empregadas quando os processos de projeto (ou desenho), transio e operao de servios forem desenvolvidos e implantados,
assim como fornecero os elementos necessrios para os projetos de planeja-

O Modelo de Governana de TI 83

mento de capacidade, anlise, projeto e otimizao da infraestrutura tecnolgica e dos processos de sourcing e segurana da informao.

3.2.2.5 Anlise e definio das necessidades do negcio


As necessidades de aplicaes, no nosso ponto de vista, so:
Novas aplicaes de TI.
Melhorias em aplicaes j existentes.
Reestruturao de aplicaes existentes.
Substituio de aplicaes existentes.
Descarte de aplicaes existentes.

As entradas para a avaliao das necessidades de aplicaes so:


O portflio atual de projetos, servios e aplicaes, incluindo o
backlog.
Os requisitos das estratgias e/ou dos fatores crticos de sucesso.
Programas, projetos e aes dos planos funcionais da empresa.
Oportunidades estratgicas e competitivas em funo do uso da tecnologia da informao.
Necessidades de melhoria da qualidade das aplicaes (melhoria da
confidencialidade, integridade, disponibilidade, manutenibilidade
etc.).
Objetivos estratgicos estabelecidos pelo Balanced Scorecard da
empresa.

A identificao das necessidades consiste em encontrar gaps entre o


portflio atual de projetos, servios e aplicaes, e os requisitos das estratgias, fatores crticos de sucesso, oportunidades estratgicas, necessidades de melhoria da qualidade etc. A Figura 3.18 exemplifica este
raciocnio.

84 Implantando a Governana de TI 3 edio

Figura 3.18 Anlise das necessidades de aplicaes

As novas solues so identificadas a partir do momento em que no h


nenhuma correspondncia entre requisitos das estratgias, planos funcionais
e oportunidades de uso estratgico da TI com projetos, servios e aplicaes
do portflio atual.
As aplicaes que devem ser mantidas sem evolues so aquelas que apresentam:
ALTA cobertura funcional dos processos de negcio ou dos planos
funcionais e ALTO valor estratgico.
ALTA cobertura funcional dos processos de negcio ou dos planos
funcionais e ALTA qualidade tcnica.

O Modelo de Governana de TI 85

As aplicaes que devem ser melhoradas, substitudas ou reestruturadas so


aquelas que apresentam:
ALTA cobertura funcional dos processos de negcio ou dos planos
funcionais e BAIXA qualidade tcnica.
BAIXA cobertura funcional dos processos ou dos planos funcionais e
ALTO valor estratgico.
ALTA qualidade tcnica e BAIXA cobertura funcional dos processos
de negcio ou dos planos funcionais.

As aplicaes que devem ser descartadas so aquelas que apresentam:


BAIXA cobertura funcional dos processos de negcio ou dos planos
funcionais e BAIXO valor estratgico.
BAIXA cobertura funcional dos processos de negcio ou dos planos
funcionais e BAIXA qualidade tcnica.

As Figuras 3.19 e 3.20 mostram matrizes de auxlio avaliao do portflio de TI.


Solues ou aplicaes com baixa qualidade tcnica so um driver
de custo de retrabalho bastante grande para uma organizao de TI,
pois geralmente deslocam esforo que poderia estar sendo empregado
no desenvolvimento de melhorias ou na implantao de novas solues
para o atendimento aos usurios em nveis mais tcnicos, resolvendo
incidentes.

86 Implantando a Governana de TI 3 edio

Figura 3.19 Matriz de avaliao cobertura funcional versus qualidade tcnica de aplicaes

O valor estratgico de uma soluo ou aplicao deve ser entendido como


o seu grau de aderncia a objetivos e estratgias atuais e futuros. Para ajudar
na definio do valor estratgico da aplicao para o negcio atual, pode-se
colocar a seguinte questo:
Qual ser o impacto para o negcio atual se a aplicao se tornar inoperante?
Se a inoperncia gerar imediatamente perda de receita ou problemas de
responsabilidade civil, danos na imagem junto aos clientes, diminuio do
rating na Governana Corporativa, colocar em risco vidas de seres humanos
ou causar grande impacto no meio ambiente, ento a aplicao estratgica
para o negcio atual.
Para saber se uma aplicao estratgica para o suporte ao atendimento
dos objetivos estratgicos da empresa, deve-se perguntar se ela consegue atingir os seus objetivos sem a aplicao. Se a resposta for negativa, trata-se de
uma aplicao estratgica.

O Modelo de Governana de TI 87

Figura 3.20 Matriz de avaliao cobertura funcional versus valor estratgico

Outro aspecto importante a ser analisado o grau de utilizao das aplicaes atuais. muito provvel que um baixo nvel de utilizao seja decorrente
do baixo valor estratgico ou da baixa cobertura funcional.
Se no for nenhum desses casos, deve ser previsto como ao, no portflio
de TI, um trabalho de endomarketing para promover a implantao e utilizao adequada da aplicao.

3.2.2.6 Anlise e definio da arquitetura de TI


De acordo com Weill & Ross (2004), a arquitetura de TI :
A organizao lgica para dados, aplicaes e infraestrutura, representada por um conjunto de polticas, relacionamentos e escolhas tcnicas para
buscar integrao desejada do negcio e da padronizao tcnica.

88 Implantando a Governana de TI 3 edio

3.2.2.6.1 Anlise da arquitetura de aplicaes


A arquitetura de aplicaes foca questes como:
Padronizao de dados e processos (o que e o que no padro).
Compartilhamento da infraestrutura de dados e aplicaes (o que
deve e o que no deve ser compartilhado).
Como implantar aplicaes considerando a arquitetura de dados e
processos padres.
Como as novas aplicaes devem ser integradas ao legado, a portais,
etc.
Padres de acesso e sadas para os usurios.
Reutilizao de componentes de servios da arquitetura.
Riscos que a arquitetura representa para a inovao e crescimento do
negcio.

Um aspecto importante da arquitetura de aplicaes que ela possibilita a


visualizao clara, para toda a organizao, acerca de como novas demandas e
aplicaes so incorporadas.
Por exemplo, ao solicitar uma alterao em uma funcionalidade em um
produto que apoiado por uma aplicao, o usurio ir saber, olhando para
a arquitetura de aplicaes, que a alterao que ele solicitou causar impacto
nas aplicaes de canais e de back-office e, talvez, nas aplicaes de relacionamento, cobrana e faturamento.
A busca por padronizao da arquitetura de aplicaes tem dois objetivos
principais: otimizar os recursos e fornecer flexibilidade para o negcio.
Um bom caminho para avaliar aderncia atravs dos Princpios de TI. Se
um dos princpios diz que: o cliente deve ter facilidade de acesso posio de
seus pedidos e reclamaes e a empresa no tem um meio (provavelmente,
via Internet ou Contact Center) para permitir esse acesso, isto significa que a
sua arquitetura no est alinhada com o princpio e, consequentemente, com
a estratgia do negcio.
No Plano de Tecnologia da Informao, a arquitetura de aplicaes deve
ser validada quanto ao seu grau de aderncia aos objetivos e s estratgias de
negcio.

O Modelo de Governana de TI 89

Uma observao que fazemos que todas as organizaes tm sua arquitetura de aplicaes, que pode estar desenhada ou no. No momento da elaborao do Plano de Tecnologia da Informao, prudente desenh-la para
fins de posterior avaliao de aderncia.
Da mesma forma como ocorre com as aplicaes, deve-se entender os gaps
e planejar a cobertura da arquitetura de aplicaes, o que certamente gerar
uma srie de projetos e servios para serem priorizados, muitos dos quais exigindo pesados investimentos. Uma mudana nos aspectos de padronizao da
arquitetura pode alterar aplicaes existentes e estveis.
O uso de novas abordagens, tais como Service-Oriented Architecture14, pode
facilitar a integrao entre aplicaes com padres diferentes.
A Figura 3.21 apresenta um exemplo de uma arquitetura de aplicaes
hipottica de uma empresa de servios financeiros e a Figura 3.22, uma arquitetura para manufatura.
Lembramos que cada tipo de negcio exige um tipo de arquitetura
especfica.
Em funo dos requisitos das estratgias pode-se avaliar a aderncia da
arquitetura de aplicaes da empresa.
Por exemplo, se a estratgia competitiva da empresa a liderana pelo
menor custo, ento a arquitetura deve ser orientada para uma maior padronizao, considerando o balanceamento entre o risco e o custo de manter essa
arquitetura, assim como para uma maior integrao de processos de negcio.
Caso haja vrias divises de negcio em negcios diferentes, pode-se padronizar a parte financeira e de recursos humanos e manter as demais partes como
esto, observando tambm o compartilhamento de aplicaes que puderem
ser usadas por mais de um negcio ao mesmo tempo.
Como veremos mais adiante, a arquitetura de aplicaes pode moldar a
organizao de sistemas da empresa, assim como subsidiar a reviso ou elaborao da Poltica de Segurana da Informao.
No captulo 12 abordado um framework para o desenvolvimento de arquiteturas relativas TI denominado The Open Group Architecture Framework
TOGAF, que pode ser empregado quando houver necessidade do desenho
ou da reviso de arquiteturas de aplicaes existentes.
14 Service-Oriented Architecture uma coleo de servios que se comunicam entre si. Um servio
uma funo autocontida, bem definida, que no depende do contexto e estado de outro servio.

90 Implantando a Governana de TI 3 edio

SISTEMAS
ESTRATGICOS

PORTAIS
CORPORATIVOS
DATA MARTS

BASES DE DADOS

CANAIS

BACK-OFFICE
PRODUTO A

RELACIONAMENTO
COM
CLIENTES

FINANAS
ADMINISTRATIVOS

PRODUTO B

RELACIONAMENTO
COM
FORNECEDORES

RECURSOS
HUMANOS

PRODUTO C

RELACIONAMENTO
COM A
COMUNIDADE

CUSTOS
CONTRATOS

PRODUTO N

OUTROS

LOGSTICA
PEDIDO

CRDITO

FATURAMENTO

DISTRIBUIO

COBRANA

Figura 3.21 Modelo de arquitetura de TI Servios

SISTEMAS
ESTRATGICOS

PORTAIS
CORPORATIVOS
DATA MARTS

BASES DE DADOS

CANAIS

RELACIONAMENTO
COM
CLIENTES

PEDIDO
ENGENHARIA
DO PRODUTO

PROGRAMAO DA
PRODUO

ENGENHARIA DO
PROCESSO

RELACIONAMENTO
COM
FORNECEDORES

SUPRIMENTO

MATERIAIS

MATERIAIS EM
PROCESSO

CONTROLE DA
PRODUO

MANUTENO

BACK-OFFICE
FINANAS
CRDITO
RECURSOS
HUMANOS

AUTOMAO DA LINHA DE PRODUO 1

RELACIONAMENTO
COM A
COMUNIDADE

CUSTOS

AUTOMAO DA LINHA DE PRODUO N

CONTRATOS

APLICAES DE MANUFACTURING EXECUTION


SYSTEMS

LOGSTICA

PRODUTOS
ACABADOS

FATURAMENTO

COBRANA

DISTRIBUIO

Figura 3.22 Modelo de arquitetura de TI Manufatura

O Modelo de Governana de TI 91

3.2.2.6.2 Anlise da arquitetura de infraestrutura de TI


A avaliao da infraestrutura de TI tem como objetivo verificar se ela est
alinhada com os objetivos estratgicos e com os requisitos de continuidade do
negcio e se atende arquitetura de aplicaes.
Para a avaliao em relao ao alinhamento estratgico, devemos:
Identificar novas tecnologias ou atualizaes tecnolgicas disponveis
no mercado e que atendem a objetivos estratgicos da empresa.
Identificar se a infraestrutura atual permite o suporte adequado aos
objetivos estratgicos da empresa.
Avaliar o impacto das necessidades de aplicaes sobre a infraes
trutura, em termos das requisies por mais capacidade de recursos
ou mais disponibilidade ou tempo de resposta.
Avaliar o impacto da arquitetura de aplicaes sobre a infraestrutura.
Avaliar se a infraestrutura vem atendendo aos objetivos de desempenho estabelecidos anteriormente e aos nveis de servio estabelecidos.
Avaliar os riscos que a infraestrutura atual representa para a continuidade do negcio;
Avaliar se a infraestrutura atual atende aos requisitos de compliance
internos e externos.

As avaliaes permitem verificar se h gaps que devem ser cobertos para


atender aos objetivos do negcio. Esses gaps podem ser minimizados pela prpria empresa ou atravs da contratao de outsourcing total ou parcial.
No modelo proposto, decidir o que passar para o outsourcing um
passo a ser dado mais adiante, assim como realizar as avaliaes de custo-benefcio.
Aqui, estamos interessados somente nos recursos de infraestrutura. Processos de TI sero vistos mais frente, quando estivermos definindo as operaes
de servios.
Devemos definir neste momento:
Os servios de infraestrutura de TI requeridos pelo negcio, visando
atender aos objetivos estratgicos, requisitos de continuidade operacional dos negcios e questes de compliance.

92 Implantando a Governana de TI 3 edio

Os recursos computacionais requeridos para apoiar o negcio.


Como esses recursos estaro dispostos na organizao.
Quais novas tecnologias sero implantadas e onde sero implantadas.
Quais recursos devero ser desativados.
Quais recursos devero receber upgrade.
Quais servios e recursos sero compartilhados entre as unidades da
organizao.
Requisitos e dispositivos de segurana da infraestrutura lgica e fsica.

Da mesma forma que na Arquitetura de Aplicaes, deve-se fazer o desenho da infraestrutura de TI.
A Figura 3.23 apresenta um modelo de infraestrutura de TI.
FORNECEDORES

CLIENTES
Firewall

Gerenciamento dos
Ativos de TI

Padres de
Interfaces

Hub

Gesto da TIC




Gesto de dados
Gesto da operao
Gesto das instalaes

Processor

Router

Host

Mainframe
Cray Supercomputer

INTRANET
WAN
LAN

USURIO

Server

Computer
Printer

RECURSOS FSICOS

Suporte a Servios






Aplicaes

USURIOS

Gerenciamento de incidentes
Gerenciamento de problemas
Gerenciamento de mudanas
Gerenciamento de configurao
Gerenciamento de liberaes

Gerenciamento dos
Aplicativos

Entrega de Servios







Gerenciamento de nveis de servio


Gerenciamento financeiro
Gerenciamento da disponibilidade
Gerenciamento da continuidade
Gerenciamento da segurana

CENTRAL
DE
SERVIOS

Figura 3.23 Infraestrutura de TI15


15 Os termos Suporte a Servios, Entrega de Servios e Central de Servios so tradues oficiais do
itSMF Brasil para os termos da ITIL Service Support, Service Delivery e Service Desk, respectivamente.
Na verso 3 da ITIL, tais conceitos foram distribudos entre fases do ciclo de vida do servio (conforme
ser detalhado no captulo 7).

O Modelo de Governana de TI 93

De forma anloga definio da arquitetura de TI, a arquitetura da infraestrutura de TI tambm pode ser modelada usando o TOGAF.
3.2.2.6.3 Avaliando a capacidade para atendimento demanda
Um dos aspectos mais importantes no momento da anlise da infraestrutura de TI verificar se a capacidade atual atende aos requisitos do negcio.
O planejamento da capacidade feito simultaneamente identificao de
necessidades da infraestrutura e decorre do estabelecimento dos objetivos de
desempenho e dos nveis de servio.
No contexto da Governana de TI, o planejamento de capacidade no visa
somente os recursos computacionais, mas tambm os recursos humanos, em
termos do esforo necessrio para atender ao desenvolvimento de novos projetos e manuteno de aplicaes j existentes.
A capacidade de atendimento ao desenvolvimento de sistemas, de uma
maneira geral, depende fundamentalmente de dados histricos de consumo
real de esforo por aplicao, por tipo de demanda e por fase do ciclo de vida
de desenvolvimento, assim como dos dados de produtividade.
Quando a empresa j opera atravs de outsourcing de sistemas, a estimativa
de esforo um pouco mais complexa, pois precisa ser desdobrada pelas etapas
do ciclo de vida do desenvolvimento. Por exemplo, deve-se fazer estimativa somente para as fases de projeto fsico e programao ou somente programao.
No tocante ao planejamento da capacidade de recursos computacionais e
de infraestrutura, precisamos de informao sobre o crescimento vegetativo
do consumo de recursos e sobre a demanda esperada por recursos, em funo
da dinmica do negcio, das necessidades de aplicaes e servios de TI e das
mudanas tecnolgicas.
Em suma, o planejamento da capacidade tem como objetivo quantificar:
O esforo necessrio para atendimento s necessidades de aplicaes
(por funo, fase do ciclo de vida, tipo de demanda, aplicao etc.).
Os recursos computacionais necessrios para atender demanda vegetativa e s expectativas de crescimento do negcio, em termos de
processadores, armazenamento, capacidade dos dispositivos de comunicao e transmisso de dados, licenas de software, etc.
Este planejamento deve ser, de preferncia, documentado.

94 Implantando a Governana de TI 3 edio

3.2.2.7 Definio da estratgia de sourcing


Uma vez que j temos uma viso do que necessrio em termos de necessidades de aplicaes, arquitetura de TI, infraestrutura de TI e capacidade
requerida, podemos ento decidir sobre o que terceirizar.
Os fatores que levam uma empresa a terceirizar a TI so, geralmente (mas
no restritos a):
Necessidade de focar o negcio principal.
A TI est cada vez mais complexa, ou seja, um negcio para especialistas.
A mudana tecnolgica muito veloz e a empresa no tem a capacidade de investimento para se atualizar, portanto, procura um fornecedor cujos recursos possam ser compartilhados com outras empresas
de forma muito rpida.
O custo interno da TI muito alto e precisa ser reduzido.
Como os investimentos em TI tm um risco muito alto, prefervel
transferi-los.

O que geralmente as empresas terceirizam:


Mo de obra especialista na modalidade de body-shopping.
Servios de data center.
Servios de service desk.
Desenvolvimento e manuteno de sistemas.
Eventualmente, alguns servios relativos segurana da informao.

Em alguns casos, a empresa decide por terceirizar tudo, s vezes com mais
de um fornecedor (por exemplo, um fornecedor para a parte de operaes de
data center e infraestrutura de TI, de uma forma geral, e um ou dois fornecedores para desenvolvimento de sistemas).
H outros casos em que, em funo da distribuio geogrfica da empresa,
servios locais similares aos de outras localidades so operados por fornecedores distintos.
Dependendo da extenso da terceirizao, a organizao de TI, sua estrutura e as competncias necessrias podem ser alteradas.

O Modelo de Governana de TI 95

No caso de uma terceirizao extensiva, os profissionais da empresa devem


ter fortes habilidades de:
Planejamento e estabelecimento dos acordos de nveis de servio.
Planejamento e estabelecimento dos contratos de apoio com os fornecedores externos.
Planejamento estratgico de TI para a empresa.
Monitoramento dos projetos e das demandas.
Inteligncia tecnolgica, atravs do estudo de novas tecnologias que podem
ser empregadas para criar novos negcios e/ou vantagens competitivas.

Em casos em que a terceirizao parcial, alm dessas habilidades devem


ser agregadas as habilidades de planejamento e gesto de projetos.
Numa etapa de planejamento necessrio:
Avaliar o modelo atual de sourcing (caso exista).
Verificar se este modelo atende s expectativas do negcio.
Identificar o que precisa ser melhorado.
Identificar o que precisa ser implantado.

Atualmente, j existem melhores prticas que apoiam processos formais de


gerenciamento de fornecedores, como no caso do Capability Maturity Model Integration (CMMI) especificamente reas de processo como Supplier Agreement
Management e modelos especficos de sourcing como o Service Provider Capability Maturity Model eSCM (ambos os modelos sero vistos mais adiante).
De acordo com Cohen & Young (2006), a estratgia de outsourcing a
soma das aes planejadas para cada servio necessitado para o atendimento
aos objetivos de negcio. o portflio de planos de ao de sourcing que,
especificamente, mostra onde a empresa est e onde necessita estar dentro de
um perodo, em relao proviso de servios, quais servios sero providos
interna e/ou externamente, as localidades onde sero fornecidos e a quantidade de mudanas que sero necessrias.
A definio da estratgia pode se basear nos modelos de sourcing apresentados no captulo 11, que trata sobre modelos de sourcing e governana do sourcing de TI. Voc pode usar as melhores prticas desses modelos para estabelecer

96 Implantando a Governana de TI 3 edio

o seu prprio modelo, conforme for mais apropriado para a sua organizao,
obviamente em parceria com a rea de sourcing ou compras da empresa.

3.2.2.8 Definio da arquitetura de processos de TI e organizao


Uma operao de servio est estruturada em:
Servios e produtos de TI, como servios de suporte, disponibilidade
de sistemas e infraestrutura, atendimento a chamados, treinamento,
desenvolvimento de projetos, sistemas, elaborao de planos juntamente com os clientes, etc.
Processos de atendimento ao cliente front-office.
Processos de suporte ao atendimento ao cliente back-office.
Processos de desenvolvimento dos processos de front-office, back-office
e de gesto.
Processos de gesto do front-office e back-office.
Biblioteca de ativos (processos, artefatos, sistemas etc.), cujos ativos so gerados pelos processos de desenvolvimento dos processos e
que so usados pelos processos de front-office, back-office e de gesto,
como, por exemplo, uma metodologia de gesto de projetos ou de
desenvolvimento de software, artefatos do processo de gerenciamento
de incidentes, scripts do service desk, etc.
Organizao da estrutura, com responsabilidades e atribuies definidas.
Competncias requeridas dos recursos humanos no contexto da operao e da estrutura organizacional.

A Figura 3.24 mostra o esquema genrico de uma operao de servio.


No modelo de Governana de TI, conforme j discutido anteriormente,
operaes de servios so aquelas relacionadas a projetos (sistemas, infraestrutura, processos de TI), a servios de TI (central de servios, gerenciamento de
incidentes, problemas, gerenciamento da mudana e configurao, suporte
tcnico, etc.) e a inovaes, representadas por projetos de novas tecnologias
ou de novos processos de negcio apoiados por novas solues.

O Modelo de Governana de TI 97

Durante o planejamento da tecnologia da informao, os processos de TI,


a estrutura organizacional, as competncias e habilidades e os ativos de conhecimento devem ser avaliados perante:
As necessidades da arquitetura de aplicaes.
As necessidades da arquitetura de infraestrutura de TI.
O catlogo de servios.
Os objetivos de desempenho e os acordos de nveis de servio.
A capacidade requerida de recursos humanos e computacionais.
A poltica de sourcing.

Figura 3.24 Modelo de operaes de servios

Este ltimo item tem um forte impacto na arquitetura da operao de


servios, pois define o contorno da sua arquitetura, identificando os processos

98 Implantando a Governana de TI 3 edio

que ficam dentro de casa e os que ficam fora de casa, no fornecedor de servios. Alm do mais, a estratgia de sourcing impacta a forma como a empresa
ir se relacionar com os seus usurios e clientes (internos e externos), assim
como com os fornecedores.
Dependendo da situao, poder ser necessrio criar uma nova operao
de servios para contextos de business process outsourcing, com alto contedo
de tecnologia da informao.
Aps a definio da arquitetura das operaes de servios, devem ser feitas
as seguintes perguntas:
Todos os servios e produtos gerados pela rea de TI so apoiados por
processos operacionais e de gesto?
Existem todos os processos de TI para atender s necessidades de aplicaes e da infraestrutura de TI e ao catlogo de servios?
Os processos atuais esto adequados?
So necessrias melhorias nos processos atuais?
A estrutura organizacional necessita ser revista em funo das outras definies do Plano, de novos processos ou de melhorias nos
atuais?
As competncias e habilidades esto compatveis com as necessidades
de conhecimento dos processos de TI?
Como ser o relacionamento com os usurios e/ou clientes?
Como ser o relacionamento com os fornecedores?

No caso especfico da operao de servios de segurana da informao,


esta somente poder ser definida durante o estabelecimento da poltica de
segurana da informao.
Recomendamos que, ao identificar quais os processos necessrios para
apoiar as operaes de servios, se desenhe a cadeia de valor de TI da sua
organizao. A Figura 3.25, a seguir, apresenta um modelo de uma cadeia de
valor de TI e a Figura 3.26, uma arquitetura de operao de servios de desenvolvimento de software em larga escala.
OBS.: O TOGAF pode ser visto como ferramenta para o desenvolvimento
dos modelos de arquitetura instanciados dos processos de TI. Neste caso, cada

O Modelo de Governana de TI 99

modelo de melhor prtica possui ativos de arquitetura que podem ser usados
para a estruturao dos processos de TI. Vide, no captulo 12, a discusso
sobre o TOGAF.
Alinhar TI ao
Negcio

Determinar o
Direcionamento
Tecnolgico

Gerir o Portflio
de TI

Gerir o
Desempenho de TI

Gerir Investimentos
e Custeio

Gerir Programas e
Projetos

Gerir
Melhorias

Gerir Compliance
e Riscos

Estratgia de
Controle

P roc es s os Core
(principais)

Gerir Clientes
Adquirir e Implementar
Solues de TIC
Prestar Servios de
TI

Identificar Solues
de TIC

Garantir a Continuidade
dos Servios

Adquirir e Implementar
Infraestrutura
Tecnolgica
Gerir Fornecedores

Processos de
Suporte

Fornecer Suporte
Logstico TIC

Fornecer Suporte
Tcnico TIC

Criar Competncias

Figura 3.25 Cadeia de valor da TI

3.2.2.9 Definio da estratgia de segurana da informao


A poltica de segurana da informao est associada ao risco que a TI
representa para a continuidade do negcio e enderea alguns dos requisitos
de compliance dos principais marcos de regulao externos como a Sarbanes-Oxley e o Acordo da Basileia II. Cronologicamente, esta poltica somente
pode ser determinada depois que o desenho de todas as arquiteturas anteriores estiver elaborado.
A profundidade da poltica de segurana da informao ser tanto maior
quanto mais interconectada estiver a empresa e mais estratgico for o papel
que a TI representa para o negcio, j que qualquer evento de risco relacionado com a segurana da informao poder trazer grandes prejuzos para a
empresa.

100 Implantando a Governana de TI 3 edio

Figura 3.26 Arquitetura de processos de uma operao de software

De acordo com a ISO/IEC 27002, os seguintes requisitos devem ser ava


liados para se estabelecer a poltica de segurana da informao:
O impacto nos negcios resultante de uma falha de segurana.
Probabilidade da ocorrncia das falhas, frente s vulnerabilidades encontradas.
A seleo dos controles de segurana da informao mais adequados
anlise de riscos e vulnerabilidades.

No contexto da segurana da informao, os seguintes aspectos devem ser


considerados:
A instituio de um Sistema de Gesto da Segurana da Informao ou
Information Security Management System que contemple a sua implementao, operao, monitoramento, reviso, manuteno e melhoramento.

O Modelo de Governana de TI 101

A constituio de uma Poltica de Segurana da Informao documentada.


A infraestrutura da segurana da informao, contemplando itens como
comprometimento da direo, coordenao da segurana da informao, atribuio de responsabilidades, processo de autorizao para os
recursos de processamento da informao, acordos de confidencialidade, contatos com autoridades (bombeiros etc.), contatos com grupos
especiais e anlise crtica independente de segurana da informao.
Partes externas, contemplando a identificao dos riscos a elas relacionados, incluindo a identificao dos requisitos de segurana da informao no relacionamento com os clientes e nos acordos com terceiros.
Gesto de ativos, contemplando a responsabilidade pelos ativos e a
classificao da informao;
Segurana em recursos humanos, envolvendo aes antes, durante e
no encerramento ou mudana da contratao.
A segurana fsica e do ambiente, envolvendo reas de segurana, incluindo segurana de equipamentos.
O gerenciamento das operaes e comunicaes, contemplando procedimentos e responsabilidades operacionais, gerenciamento de servios
terceirizados, planejamento e aceitao de sistemas, proteo contra
cdigos maliciosos, proteo de cdigos mveis, cpias de segurana,
gerenciamento de segurana em redes, manuseio de mdias, troca de
informaes, servios de comrcio eletrnico e monitoramento.
O controle de acessos envolvendo requisitos de negcio relacionados,
gerenciamento de acesso do usurio, responsabilidades dos usurios,
controle de acesso rede, ao sistema operacional, s aplicaes e s
informaes, incluindo preocupaes relativas computao mvel e
ao trabalho remoto.
A aquisio, o desenvolvimento e a manuteno de sistemas de informao, contemplando os seus requisitos de segurana, processamento correto nas aplicaes, controles criptogrficos, segurana dos
arquivos do sistema, segurana em processos de desenvolvimento,
suporte e gesto de vulnerabilidades tcnicas.
A gesto de incidentes de segurana da informao, envolvendo a
notificao de fragilidades e eventos de segurana da informao e
melhorias nas prticas relacionadas.
O gerenciamento da continuidade do negcio, contemplando aspectos da sua gesto relativos segurana da informao.

102 Implantando a Governana de TI 3 edio

A conformidade do sistema de segurana da informao com requisitos legais, normas tcnicas e aspectos relativos s auditorias de sistemas de informao.

Em suma, se sua empresa est bastante interconectada e considera a TI


como estratgica para os negcios, mas ainda no tem uma poltica de segurana da informao, importante pensar em cri-la, comeando por uma anlise
de vulnerabilidades para, em seguida, selecionar os controles necessrios.
Se sua empresa j tiver o seu sistema de segurana da informao, ento
importante, no processo de planejamento da tecnologia da informao, avaliar se o que est sendo feito est de acordo com o planejado, qual avano
precisa ser feito e quais novidades precisam ser implantadas.
Apesar de ser autnomo em sua forma de conduo e gesto, o Plano de
Segurana da Informao poderia ser considerado como um adendo do Plano
de Tecnologia da Informao.
Os modelos de segurana da informao, representados pelas normas ISO
da srie 27000, podem ser uma base para se estabelecer a poltica de segurana
da informao. Vide o captulo 10 sobre o assunto.

3.2.2.10 Consolidao do portflio preliminar de TI


Uma vez que todos os objetivos, metas e nveis de servios, assim como os
respectivos projetos e iniciativas foram definidos, podemos agora consolidar
as necessidades. Esta consolidao contempla as interdependncias entre os
projetos, servios e aplicaes, as quais so importantes para a priorizao dos
investimentos.
A consolidao pode ser representada de vrias formas, seja funcionalmente por operao de servio, por tipo de projeto, servio ou aplicao, por rea
ou unidade de negcio, por perspectiva do Balanced Scorecard, etc.
A Figura 3.27 apresenta as possibilidades de consolidao das necessidades,
enquanto a Figura 3.28 apresenta um exemplo de matriz de relacionamento
entre as iniciativas.
Atravs de matrizes como as dos exemplos das figuras citadas, podemos
realizar agrupamentos de projetos, servios e aplicaes em funo da sua
interdependncia. A adoo de nveis de agrupamento dessa natureza poder
ajudar bastante quando for o momento de decidir sobre a priorizao.

O Modelo de Governana de TI 103

Classificao Balanced
Scorecard

Projetos

Servios

Classificao
Funcional

Aplicaes

Projetos

Servios

Suporte ao
CIO

Financeira

Desenvolvimento de
Processos

Usurios/
Clientes

Desenvolvimento de
Sistema
Suporte

Processos
Internos

Infraestrutura

Aprendizado e
Crescimento

Escritrio de
Segurana da
Informao

Classificao por
Negcio

Corporativo

Suporte ao
CIO

Marketing

Produtos

Operaes

Vendas

Projetos/Servios/
Aplicaes

Desenvolvimento de
Processos

Projetos/Servios/
Aplicaes

Desenvolvimento de
Sistema

Projetos/Servios/
Aplicaes

Suporte
Projetos/Servios/
Aplicaes

Infraestrutura

Projetos/Servios/
Aplicaes

Escritrio de
Segurana da
Informao

Projetos/Servios/
Aplicaes
Projetos/Servios/
Aplicaes

Figura 3.27 Classificao das necessidades

Depende
de

Sistemas

Servios

Aplicaes

Projetos

Servios

Aplicaes

AGRUPAMENTO DE
INICIATIVAS

Servios Projetos

Aplicaes

Servios Projetos

Projetos

Depende fortemente
Depende medianamente

Aplicaes

Infraestrutura

Aplicaes

Servios Projetos

Segurana da
Informao

Servios

Aplicaes

Sistemas

Projetos

Segurana da
Informao

Infraestrutura

Figura 3.28 Matriz de relacionamento de iniciativas

Aplicaes

104 Implantando a Governana de TI 3 edio

3.2.2.11 Definio do oramento


O oramento de TI o resultado das estimativas de investimentos dos
novos projetos, servios e inovaes, juntamente com a estimativa de despesas
correntes, em funo do que j est em operao.
Geralmente, o oramento de uma organizao realizado por cada unidade, que pode ser um centro de custo ou um centro de receitas.
A TI, infelizmente, ainda tratada como centro de custos.
As rubricas tpicas so:
Despesas com pessoal prprio.
Despesas com servios de terceiros.
Servios de treinamento e capacitao.
Aluguis de equipamentos.
Manuteno de equipamentos.
Aluguis de instalaes.
Manuteno das instalaes.
Despesas de leasing de equipamentos.
Despesas de amortizao.
Servios de comunicaes.
Aquisio de software (produtos de software e novos desenvolvimentos).
Aquisio de instalaes.
Aquisio de equipamentos.
Servios de consultoria.

Em grandes corporaes, existem regras corporativas para a elaborao do


oramento de TI. na ocasio da elaborao do oramento de TI que se inicia o processo de priorizao dos investimentos e da manuteno das despesas
correntes.
Os gastos previstos para o ano fiscal devem ser distribudos ms a ms,
rubrica por rubrica, com totalizaes por ms e por rubrica. Na elaborao
do oramento, possvel indicar, nos investimentos, para quais projetos os
montantes financeiros estaro sendo empregados.

O Modelo de Governana de TI 105

importante que, uma vez que as prioridades sejam estabelecidas, a TI


mostre como o dinheiro estar distribudo numa viso de Portflio de TI.
Entretanto, devemos ter mais do que a viso contbil, ou seja, tambm a
viso gerencial.

3.2.2.12 Priorizao de investimentos


As necessidades de projetos, servios e aplicaes devem ser priorizadas
considerando a capacidade de investimento da empresa. Para tanto, a empresa
necessita de critrios de priorizao, tais como valor estratgico, risco, retorno
financeiro, etc., que tambm devem classificar projetos, servios e inovaes.
Sugere-se que esse processo seja feito de forma colaborativa, com a TI
atuando juntamente com os principais gestores do negcio (pois, afinal de
contas, a TI existe nica e exclusivamente para atender ao negcio). Mais
adiante, no item 3.3, exploraremos o que chamamos de mecanismos de
deciso em TI.
O resultado da priorizao dos investimentos tem como produto o Portflio de TI, considerando os projetos, servios, ativos e inovaes que devero
ser implantadas ou mantidas em linha com os objetivos do negcio.
O modelo Val IT, apresentado no captulo 6, pode ser uma base para o
estabelecimento de processos de priorizao e anlise de investimentos de
TI.
3.2.2.12.1 A Metodologia AHP para tomada de decises complexas
A tarefa de priorizar vrias iniciativas de TI extremamente complexa e
requer processos de tomada de deciso apoiados por mtodos consistentes e
testados.
Decises de priorizao so primordialmente associadas ao desejo de otimizar o uso de recursos escassos.
Normalmente, essas decises envolvem mltiplos critrios ou objetivos,
muitos dos quais so intangveis ou sujeitos a algum risco, com uma variedade
de propsitos ou funes e requerem anlise de trade-offs, visando selecionar a
melhor alternativa entre vrias.

106 Implantando a Governana de TI 3 edio

CONSTRUIR O
MODELO

COMPARAR
CRITRIOS

AVALIAR
ALTERNATIVAS

ALOCAR OS RECURSOS

Text

Text

Text

Resultado

Uma metodologia interessante para ser usada na tomada de deciso


de priorizao de investimentos a AHP (Analytic Hierarchy Process), desenvolvida pelo renomado professor Thomas Saaty16, da Universidade de
Pittsburgh.
O processo da AHP exemplificado pela Figura 3.29 a seguir.

COMUNICAR OS
RESULTADOS

Figura 3.29 Processo da metodologia AHP

De acordo com esta metodologia, a construo do modelo consiste


na identificao e/ou estruturao dos objetivos estratgicos do negcio. Em seguida, so estabelecidos pesos para os objetivos estratgicos,
mostrando seu grau de importncia, impacto no negcio, cobertura estratgica, etc.
Na sequncia, cada um dos projetos, servios e aplicaes (ou agrupamento destes) so pontuados conforme a intensidade de seu alinhamento com os
objetivos estratgicos.
O prximo passo procurar a otimizao da seleo de projetos, servios
ou inovaes (ou agrupamento), maximizando a alocao de recursos.
Por fim, os resultados so comunicados aos grupos envolvidos. Este processo pode ser repetido, alterando-se as premissas de peso para os objetivos
estratgicos at conseguir um conjunto aceitvel de prioridades.
Como resultado desse processo de priorizao, possvel construir o port
flio de TI, que ir guiar o dia a dia das operaes de servios, de forma alinhada com as estratgias do negcio. A Figura 3.30 mostra este processo de
construo.
16 Saaty (1999).

O Modelo de Governana de TI 107

NECESSIDADES
CONSOLIDADAS
DE
TI

VALOR ESTRATGICO

RETORNO FINANCEIRO

RISCOS

ALINHAMENTO ESTRATGICO

AHP

ABRANGNCIA

COMPLEXIDADE TCNICA
CAPACIDADES

Servio

Projeto
Projeto

PORTFLIO DE TECNOLOGIA
DA
INFORMAO
Aplicao

Processos
e
Organizao

Figura 3.30 Resultado do processo de priorizao

3.2.2.12.2 Modelos de anlise de investimentos aplicados TI


Como parte do processo da metodologia, importante avaliarmos o retorno financeiro do projeto, servio ou aplicao. Entretanto, em algumas
situaes, outros critrios podem decidir pela continuidade do projeto, independentemente do risco e do retorno financeiro. Urgncias competitivas, mudana de legislao e requisitos de regulao podem exigir o desenvolvimento
de projetos que aparentemente no so rentveis do ponto de vista econmico
e financeiro.
Para tanto, existem vrios modelos que podem ser utilizados. Eles so categorizados em modelos financeiros tradicionais, modelos qualitativos e modelos probabilsticos.
A seguir, feita uma breve descrio de cada modelo. No prximo tpico
desta seo, comentaremos as situaes nas quais cada modelo mais apropriado, conforme a natureza do projeto.

108 Implantando a Governana de TI 3 edio

Modelos tradicionais de retorno do investimento


Taxa Interna de Retorno do Investimento
Por este modelo, a taxa de retorno para o projeto ser considerado vivel
deve proporcionar um rendimento prximo ao que seria obtido emprestando
dinheiro taxa bsica de juros determinada pelo Banco Central.
Isto significa que vale mais a pena investir no projeto do que investir no
mercado financeiro, ou seja, que o retorno do projeto ser maior.
Para obter a taxa interna de retorno, deve-se projetar o fluxo de caixa (entradas e sadas) ao longo da vida til do projeto e dos seus resultados e trazer
esses valores ao valor presente (net present value). A frmula para a determinao do valor presente :
PV =

FV
n
(1 + I )

FV o valor futuro do fluxo de caixa acumulado, I a taxa de juros


equivalente e n o nmero de perodos de tempo (meses, anos) do fluxo
de caixa.
Economic Value Added (EVA)
Como mtrica, representa o lucro operacional lquido menos o custo do
capital. Utilizando este modelo para avaliar a implantao de um ERP, por
exemplo, o analista deve levar em considerao todos os investimentos, tais
como desembolsos iniciais de caixa, custos de manuteno e custos de treinamento internos e externos, e compar-los com os benefcios, reduo de
custos ou aumento de receita. Este mtodo faz com que os administradores
deem ateno ao gerenciamento eficiente dos ativos (capital) e receita. Vide
Stern & Stewart Co (www.sternstewart.com).
Total Cost of Ownership (TCO)
Orientado para aquisio de recursos de tecnologia. Esta tcnica, desenvolvida pelo Gartner Group, procura selecionar a alternativa de menor custo to-

O Modelo de Governana de TI 109

tal ao longo da vida til do recurso. Custo total associado ao recurso significa
o somatrio dos custos de aquisio, manuteno, treinamento, depreciao,
suporte a usurios, infraestrutura de suporte e assim sucessivamente. Vide
Gartner Group (www.gartner.com).
Total Economic Impact (TEI)
uma metodologia de suporte deciso projetada para tratar risco e flexibilidade. Na anlise, o analista deve avaliar custo, benefcio e flexibilidade e
determinar o risco de cada fator.
A anlise de custo leva em considerao a abordagem do TCO, a anlise
de benefcios considera a contribuio estratgica para o negcio e a anlise
de flexibilidade emprega a metodologia de opes futuras que tenta estabelecer valores de opes que podem ser exercidas no futuro (os leigos em
finanas j ouviram falar em Mercado de Opes). Vide Forrester Research
(www.forrester.com).
Rapid Economic Justification (REJ)
uma metodologia desenvolvida e mantida pela Microsoft. Similar TEI,
estruturada em cinco etapas: definio do propsito do estudo e objetivos
do negcio com o uso da tecnologia da informao, descrio da situao de
negcio ou problema que necessita de uma soluo, execuo da anlise de
custo e benefcio para cenrios, execuo da anlise de risco e execuo dos
clculos financeiros. Vide Microsoft (www.microsoft.com).
Modelos qualitativos
Balanced Scorecard
Vide captulo 12 para maiores detalhes sobre este modelo de gesto.
Information Economics (IE)
Esta metodologia tem por objetivo fornecer um mtodo neutro para avaliar Portflios de Projeto e a alocao de recursos, onde eles podem gerar os

110 Implantando a Governana de TI 3 edio

maiores benefcios. Na realidade, este mtodo estabelece prioridades de projetos dentro de um portflio.
A metodologia pressupe que cada linha de negcios tenha pelo menos
dez fatores de deciso, que podem ser adicionados, excludos ou alterados,
conforme mudam as prioridades. Estes fatores so avaliados pelo pessoal de
tecnologia da informao e pelos gerentes de linha, conforme sua importncia
para o negcio, se positiva ou negativa. Os projetos de tecnologia da informao so ento avaliados em relao aos fatores de deciso. Como resultado,
cada projeto recebe uma nota que demonstra sua posio de importncia no
portflio. Vide CIO magazine (www.cio.com).
Gesto de Portflio
Esta abordagem parte do pressuposto de que os projetos no so somente
custos, mas sim ativos que devem ser gerenciados segundo os mesmos critrios utilizados para a gesto de portflios de investimentos, ou seja, levando
em considerao, alm do custo, os benefcios e riscos.
Isto significa que todo novo projeto deve ser categorizado de acordo com
um portflio de projetos, e que cada categoria deste portflio deve apresentar
uma combinao diferente de resultados para o negcio.
Modelos quantitativos
Real Options Valuation (ROV)
O objetivo da metodologia quantificar valores no tocante flexibilidade.
uma tcnica aplicada para aquisies, fuses, leasing e investimentos onde
existe um alto grau de incerteza.
No incio da dcada de 90, comeou a ser utilizada para projetos de tecnologia da informao, principalmente em funo das tecnologias emergentes.
Vide CIO magazine (www.cio.com).

O Modelo de Governana de TI 111

Applied Information Economics (AIE)


Esta tcnica combina teoria de opes, teoria de gesto de portflio, mtodos tradicionais como Taxa Interna de Retorno e um conjunto de tcnicas
atuariais para quantificar resultados incertos e gerar uma curva de resultados
esperados, considerando risco e retorno. Vide Hubbard Decision Research
(www.hubbardresearch.com).
A Tabela 3.7 mostra alguns critrios para selecionar o mtodo de avaliao
mais adequado ao tipo de projeto, servio ou aplicao a ser avaliada.
Tipo de Aplicao da Avaliao do Projeto

Mtodo de Avaliao

Projetos cuja incerteza pequena (os riscos so conhecidos e


gerenciveis)

Taxa de retorno interna

Contribuio de TI para a empresa

EVA

Projetos de aquisio de recursos

TCO

Anlise de cenrios de resultados de projetos

TEI

Avaliao de um projeto simples

REJ

Priorizar projetos

IE

Portflio de projetos

Gesto de portflio

Projetos cuja incerteza grande

ROV e AIE
Tabela 3.7 Tipos de mtodos de avaliao

3.2.2.12.3 Parmetros tpicos a serem usados para avaliaes de


investimento
A Tabela 3.8 apresenta alguns parmetros que devem ser considerados
quando se empregam os mtodos de avaliao de investimento.
Se o projeto for de...
Processo de TI

Parmetros tpicos
Reduo do retrabalho (esforo do homem-ms x custo com encargos).
Reduo ou minimizao do risco (qual parte da operao da empresa ou
instituio pode parar e qual a perda financeira).
Reduo de atrasos de entregas (reduo do retrabalho e custos financeiros e
contratuais de atraso).
Aumento da produtividade (significa reduo de custo).

112 Implantando a Governana de TI 3 edio

Se o projeto for de...

Parmetros tpicos

Infraestrutura de TI

Reduo ou minimizao do risco (qual parte da operao da empresa ou


instituio pode parar e qual a perda financeira).
Custos de responsabilidade civil.
Perda de receita pela perda de clientes.
Custo total de propriedade (custo do recurso durante a sua vida til).

Substituio ou
atualizao de
equipamentos

Aumento da produtividade (custo unitrio da unidade de produo sofre


reduo).
Reduo do custo total de propriedade.

Ferramentas de gesto
de TI

Reduo no custo de processos (deve haver dados do custo por atividade no


processo).
Eliminao de mo de obra de apoio.
Reduo de risco (quanto dinheiro a empresa perder se no gerenciar
adequadamente a TI).

ERP Enterprise
Resource Planning

Reduo de custos do processo (eliminao de etapas de processos manuais).


Reduo de mo de obra pela integrao de processos;
Aumento de produtividade no cho da fbrica (reduo do custo unitrio do
produto).
Atendimento de forma mais rpida demanda (deixando de perder receita).
Melhor aproveitamento do material em processo (reduo de custos de
estoques em processo).
Melhoria da qualidade do produto (reduo dos custos das no conformidades
e reduo de refugos).

Desenvolvimento de um
novo produto

Aumento da receita com o novo produto (potencial de mercado x preo


unitrio).
Aumento da lucratividade da empresa (receita despesas operacionais).

Supply-chain

Diminuio do nmero de fornecedores (reduo do custo de controle).


Reduo do custo de estoque.
Reduo do custo financeiro.
Reduo do ciclo de tempo de produo (aumento da produtividade).
Reduo do custo de aquisio de insumos.
Melhoria da qualidade dos produtos dos fornecedores (implica em reduo do
refugo pela empresa).

CRM Customer
Relationship
Management

Foco em produtos de interesse do cliente (aumento da rentabilidade da


operao como um todo).
Reduo no custo de vendas (menor esforo para vender).
Diminuio do custo e receita pela perda de cliente.

Business Intelligence

Maior rapidez na tomada de deciso.


Maior produtividade gerencial.
Forte apoio estratgia da empresa.
Foco em produtos e operaes mais rentveis.

O Modelo de Governana de TI 113

Se o projeto for de...

Parmetros tpicos

Gesto do conhecimento

Reduo do custo de projetos (a no reinveno da roda diminui retrabalho e,


portanto, custo de recursos).
Reduo do custo de treinamento.
Reduo do custo das operaes.
Reduo no custo de desenvolvimento de projetos.
Reduo do custo de recuperao de desastres.
Pode criar diferencial para a empresa em termos de inovao.

Customer care

Aumento da fidelizao do cliente (significa aumento da receita).

e-business

Reduo de custos da operao como um todo (deve haver dados dos custos
por atividade e processo).
Reduo do custo de operaes de front-office.
Reduo do custo de transaes.
Tabela 3.8 Parmetros de anlise de investimento em TI

3.2.2.13 Portflio de TI aprovado


O resultado final do processo de planejamento da tecnologia da informao o novo portflio de TI, que dever ser implantado no perodo determinado pelo plano.
Os objetivos do portflio de TI so:
Comunicar as prioridades de investimento de TI da empresa.
Mostrar os riscos dos investimentos em TI.
Eliminar a redundncia nas iniciativas de TI.
Otimizar recursos alocados TI.
Monitorar as iniciativas de TI.
Balizar mudanas de prioridades da empresa que so refletidas em TI.
Ser o elo entre a estratgia, os objetivos do negcio e as iniciativas de TI.

O portflio permite uma melhor comunicao entre TI e o negcio, j que,


como premissa, ele deve ser representado em uma linguagem familiar ao negcio.
A Tabela 3.9 mostra o impacto da falta de um portflio de TI.

114 Implantando a Governana de TI 3 edio

O que significa no ter o


Portflio de TI

Resultados no curto prazo

Resultados para o negcio

As pessoas relutam em cancelar os


projetos.
Novos projetos so adicionados sem
foco e objetivos claros.

Custos crescentes em TI.

Aumento do time-to-market.
Altas taxas de falhas nos
produtos e servios.

Seleo dos projetos com base na


emoo.

Os bons projetos so deixados


de lado.

Poucos produtos so
ganhadores.

No h critrios estratgicos para a


seleo de projetos.

Projetos sem direcionamento


estratgico.

Novos produtos no esto


alinhados com a estratgia.

Tabela 3.9 Impacto da ausncia do portflio de TI

3.2.2.13.1 Tipos de projetos, servios e ativos do Portflio de TI


O Portflio de TI composto no somente por projetos, mas tambm por
servios e ativos. O portflio tem que englobar todos os itens de investimento e
custeio das atividades de TI na organizao, estejam esses na rea de TI ou no.
Projetos: podem ser, por exemplo, a implantao de um pacote de
ERP, uma manuteno evolutiva substancial em um sistema, o desenvolvimento de um sistema, a implantao de um escritrio de projetos de TI ou de um processo de gesto de configurao, o estudo de
uma nova tecnologia, etc.
Servios: podem envolver, por exemplo, a troca do software antivrus
da empresa, a implantao do upgrade do sistema operacional, a manuteno dos desktops, servios de service desk, treinamentos de conscientizao em segurana da informao para os usurios, instalao
de equipamentos e softwares de suporte, atendimento a incidentes de
falhas na infraestrutura, em sistemas e na segurana da informao,
assim como servios de administrao da TI, etc. (observe que os servios podem ser direcionados para os usurios e clientes externos, ou
para consumo interno de TI).
Ativos: referem-se a toda a infraestrutura de TI, compreendendo
computadores, servidores, dispositivos de armazenagem, equipamentos de comunicao, de segurana, as instalaes e equipamentos de
apoio, sistemas operacionais, software de aplicativos, softwares de suporte, etc.

O Modelo de Governana de TI 115

Inovaes: Referem-se a todas as solues baseadas em novas tecnologias ou tecnologias emergentes que agreguem valor ao negcio,
assim como uma nova soluo para um processo de negcio que crie
um diferencial para os produtos e servios da organizao.

Geralmente, a forma como os investimentos so distribudos pelo Portflio


de TI fortemente influenciada pelas estratgias adotadas pela organizao.
3.2.2.13.2 Alternativas de classificao e representao do Portflio de TI
H vrias alternativas de classificao do Portflio de TI na literatura,
algumas delas utilizando mais a linguagem de TI e outras a linguagem de
negcio.
Dentro dessas alternativas, uma que nos parece adequada a proposta feita
por Benson, Bugnitz & Walton (2004).
Conforme esses autores, o Portflio de TI dividido em dois Portflios,
um mostrando os novos investimentos e outro mostrando o custeio das aplicaes e ativos existentes e em uso pela empresa. Adicionalmente, sugerem
uma classificao em termos de negcio.
Na perspectiva de TI, o portflio classificado em aplicaes, servios,
infraestrutura e gesto. Esta ltima engloba no somente os custos de gesto
de TI, mas tambm os custos de processo e organizacionais.
Na perspectiva do negcio, classificado como sendo estratgico, fbrica,
nova estratgia e obrigatrio:
Estratgico: compreende os investimentos que tm impacto direto
sobre o desempenho da empresa.
Fbrica: investimentos necessrios para a continuidade do negcio,
para manter as portas abertas.
Nova estratgia: investimentos que podero ter impacto no desempenho futuro da empresa, em termos de novos negcios, novos produtos, etc.
Obrigatrio: so investimentos requeridos por legislao ou
compliance.

116 Implantando a Governana de TI 3 edio

A Figura 3.31 mostra esta proposio.


Entretanto, para fins de gesto por parte do CIO, j que o Portflio de TI
deve ser o principal instrumento de alinhamento da estratgia com o dia a dia
da rea de TI julgamos que sejam necessrias ainda duas classificaes adicionais: uma funcional do negcio e uma funcional de TI.
A primeira decorre do fato de que o CIO precisa saber sobre a sua
demanda e, principalmente, sobre quem demanda e quanto dos recursos
ser alocado para cada rea da empresa. A viso funcional de TI importante por motivos de gesto oramentria e de investimentos da rea de
TI. As Figuras 3.32 e 3.33 mostram, respectivamente, essas perspectivas.
Devemos estar atentos, todavia, para as trs etapas principais do processo
de construo do Portflio de TI. A primeira etapa ocorre quando consolidamos as necessidades, a segunda quando priorizamos os investimentos e
tentamos fazer a alocao tima dos recursos financeiros frente s diversas
demandas que chegam TI, e a terceira quando fazemos a representao do
Portflio de TI conforme as vrias vises requeridas.
Portfolio da
perspectiva
de TI
Aplicaes

Infraestrutura

Servios

Gesto

Portfolio
Existente

Portfolio de
Aplicaes

Portfolio da
infraestrutura

Portfolio de
serivios

Portfolio de gesto

Portfolio de
Investimento

Portfolio de
desenvolvimento e
aquisio de
aplicaes

Portfolio de
desenvolvimento
da infraestrutura

Portfolio de
desenvolvimento
de servios

Portfolio de
desenvolvimento
de gesto

Portfolio da
perspectiva
do negcio

Investimento

Estratgico

Fbrica

Obrigatrio

Nova
Estratgia

Aplicaes
Infraestrutura
Servios
Gesto

Aplicaes
Infraestrutura
Servios
Gesto

Aplicaes
Infraestrutura
Servios
Gesto

Aplicaes
Infraestrutura
Servios
Gesto

Figura 3.31 Perspectivas de portflio de TI - Adaptado de Benson, Bugnitz & Walton (2004)

O Modelo de Governana de TI 117

A representao final do Portflio de TI que vamos usar no dia a dia da


gesto de TI e no controle das iniciativas de TI.
Como voc poder notar, no portflio funcional de negcios no h o
portflio de gesto, pois este de exclusividade da rea de TI. J no portflio funcional de TI ele aparece novamente.
Portflio da
perspectiva
funcional de negcio
Funes de
Negcio

Aplicaes

Infraestrutura

Servios

Portflio
Existente

Portflio de
Aplicaes

Portflio da
infraestrutura

Portflio de
serivios

Investimento

Portflio de
desenvolvimento e
aquisio de
aplicaes

Portflio de
desenvolvimento
da infraestrutura

Portflio de
desenvolvimento
de servios

Marketing
Operaes
Recursos Humanos
Logistica
Marketing
Operaes
Recursos Humanos
Logistica

Portflio da
perspectiva
do negcio

Investimento

Estratgico

Fbrica

Obrigatrio

Nova
Estratgia

Aplicaes
Infraestrutura
Servios
Gesto

Aplicaes
Infraestrutura
Servios
Gesto

Aplicaes
Infraestrutura
Servios
Gesto

Aplicaes
Infraestrutura
Servios
Gesto

Figura 3.32 Portflio de TI com perspectiva funcional do negcio

118 Implantando a Governana de TI 3 edio

Portflio da
perspectiva
funcional de TI
Funes de
Negcio
Escritrio do CIO
Processos
Sistemas
Infraestrutura
Suporte

Aplicaes

Infraestrutura

Servios

Gesto e
Processos

Portflio
Existente

Portflio de
Aplicaes

Portflio da
infraestrutura

Portflio de
servios

Portflio de
gesto e
processos

Investimento

Portflio de
desenvolvimento e
aquisio de
aplicaes

Portflio de
desenvolvimento
de infraestrutura

Portflio de
desenvolvimento
de servios

Portflio de
gesto e
processos

Segurana Informao
Escritrio do CIO
Processos
Sistemas
Infraestrutura
Suporte
Segurana Informao

Portflio da
perspectiva
do negcio

Investimento

Estratgico

Fbrica

Obrigatrio

Nova
Estratgia

Aplicaes
Infra-estrutura
Servios
Gesto

Aplicaes
Infra-estrutura
Servios
Gesto

Aplicaes
Infra-estrutura
Servios
Gesto

Aplicaes
Infra-estrutura
Servios
Gesto

Figura 3.33 Portflio funcional de TI

3.2.2.13.3 Como tratar as manutenes de sistemas no Portflio de TI


Por manuteno de sistemas entendemos como:
Melhorias em sistemas legados.
Implantao de requisitos legais em sistemas legados.
Adaptao de sistemas legados s novas plataformas tecnolgicas.
Otimizao de desempenho de sistemas legados.

Tais tipos de manutenes, dependendo do seu porte, podem ser manutenes programadas.
Por manuteno emergencial, entendemos um servio de ocorrncia
aleatria, que deve ser atendido primeiramente pelo service desk da empresa, de forma no programada, enquanto as outras manutenes podem
ser programadas. Manutenes emergenciais geralmente so relacionadas
a falhas e defeitos em aplicaes que causam inoperncia em processos de

O Modelo de Governana de TI 119

negcio ou que expem a imagem da empresa e/ou dos clientes, fornecedores e colaboradores.
Geralmente, as organizaes de software tm dificuldade de lidar simultaneamente com manutenes programadas e no programadas, pois sempre
a mesma equipe que atende solicitao.
Uma forma de lidar com esta questo quando estamos construindo o port
flio de TI trabalhar com o conceito de estimativa de horas de servios para
atendimento s pequenas manutenes e s manutenes emergenciais.
Dessa forma, ao elaborar o portflio na viso funcional de negcio, podemos, com base em registros histricos, estimar quantas horas de anlise e/ou
programao sero necessrias para atendimento a uma rea funcional dentro
de um perodo estipulado e registrar esta informao no portflio. usual,
nesses casos, estipular uma capacidade fixa para atendimento a esse esforo
previsto.
No caso de manutenes de maior porte, estas podem estar listadas individualmente no portflio de aplicaes.
Caso seja aplicvel, podero ser tambm representadas no portflio de
aplicaes as releases das aplicaes. Algumas empresas trabalham com o conceito de releases, nas quais so agrupadas as manutenes programadas a partir
de solicitaes dos usurios. Se voc tem um histrico do custo de cada release
e a quantidade delas no ano, voc pode estimar os custos de manuteno de
sistemas no seu Portflio de TI.
Por exemplo, muito comum a chegada de solicitaes de servios dos
usurios para a elaborao de novas formas de extrao de informaes e que,
geralmente, demandam muito pouco esforo para serem atendidas. O conceito de release cabe muito bem nesse caso.
3.2.2.13.4 A influncia da estratgia da empresa na composio dos
investimentos em TI
Como cada empresa tem a sua estratgia de negcios, muito provvel
que a composio dos investimentos e custeios no Portflio de TI apresente
variaes.
Alm do mais, o prprio tipo de negcio e o estgio em que se encontra o
uso de TI na organizao tambm podero determinar variaes no portflio.

120 Implantando a Governana de TI 3 edio

Por exemplo, uma empresa cujo relacionamento com seus fornecedores


estratgico para o negcio rotular uma possvel implantao de uma aplicao de supply chain como Estratgico. Ao contrrio, uma empresa que j
resolveu este problema classificar os investimentos na manuteno da sua
aplicao de supply chain como Fbrica.
O que queremos dizer para voc tomar cuidado ao fazer benchmarking
com outras organizaes ou colegas sobre os gastos de TI. Procure entender o
estgio de maturidade em TI em que se encontra a empresa com a qual est se
comparando, as suas estratgias, posio de mercado, etc.
Voc ir encontrar situaes em que uma empresa do mesmo ramo de
negcio est gastando alguns pontos percentuais a mais em TI do que a sua
empresa. Possivelmente, a empresa concorrente est desenvolvendo novos
produtos, mudando de plataforma, abrindo novos mercados, ou seja, com
uma estratgia diferente da sua.
O Plano de Tecnologia da Informao pode ser documentado e servir
como um guia para a gesto da TI da empresa, principalmente no que diz
respeito s premissas e anlises que levaram ao novo portflio.
O portflio o elo entre a estratgia de negcio e as iniciativas da TI,
constituindo-se em um dos principais instrumentos para garantir que somente projetos, servios e aplicaes priorizados e presentes no portflio estejam
sendo executadas no dia a dia da operao. Alm disso, o portflio regula o
relacionamento com os usurios e com os fornecedores.
Em relao aos clientes, o portflio diz o que pode e o que no pode ser
feito e serve como orientador para o usurio ou cliente fazer uma nova solicitao. O mesmo acontece com os fornecedores, pois os servios terceirizados
j foram previstos e constam do portflio.
Por fim, o portflio deve ser comunicado para todos os integrantes da TI
da empresa, no sentido de alinhar expectativas dos colaboradores em relao
a metas e objetivos, ou seja, ao que a empresa espera deles em termos de resultados.

3.2.2.14 Plano de TI Negcios


O Plano de TI pode ser subdividido em dois, um voltado para o negcio e
outro para os projetos e servios especficos de TI.

O Modelo de Governana de TI 121

O Plano de TI para negcios deve conter:


Projetos de desenvolvimento e implantao de sistemas, solues de
ERP, CRM, Contact Center, etc.
Projetos de solues especficas e inovadoras de segurana da informao, como identificao biomtrica, sistemas de vigilncia, etc.
Projetos de melhorias em sistemas existentes.
Projetos de Business Intelligence e sistemas gerenciais.
Sistemas e solues que devero ser mantidas e as que iro ser
descartadas.

Esses projetos geralmente fazem parte do oramento da rea demandante


do projeto ou da soluo.
Neste caso, quem deve fazer o Business Case a rea demandante da soluo, evidenciando o retorno do investimento.
Cada unidade de negcio deve priorizar o que deseja para atender aos seus
objetivos e aos direcionadores estratgicos estabelecidos pela alta administrao.
A priorizao, em nvel corporativo, de quais projetos sero realizados, de
inteira responsabilidade da alta administrao.
3.2.2.15 Plano de TI Internos
Neste Plano esto as iniciativas da rea de TI para atender ao Plano de TI
Negcios. Deve conter pelo menos:
Projetos de implantao de Governana de TI.
Projetos de implantao de processos de TI.
Projetos de implantao/melhoria de Data center.
Projetos de implantao/expanso de redes de comunicao.
Projetos de segurana da informao.
Projetos de desenvolvimento de competncias em recursos humanos.
Projetos de infraestrutura de TI.
Projetos de aquisio de software de monitoramento e desempenho
do ambiente.
Sistemas especficos necessrios para a gesto de TI.

122 Implantando a Governana de TI 3 edio

Projetos de estudos e prospeco de novas tecnologias.


Projetos de otimizao da arquitetura de software.
Projeto de implantao do gerenciamento de servios de TI.
Projeto de implantao de novos servios de TI, etc.

As prioridades devem estar alinhadas estratgia de servios de TI definidas anteriormente, pois so derivadas das necessidades do negcio, do entendimento do negcio, da anlise do portflio atual e do entendimento da
dinmica do negcio.

3.2.3 Elaborao
Scorecard (BSC)

do mapa estratgico e do

Balanced

Uma alternativa ao processo de alinhamento em discusso (o item 3.2 deste captulo) empregar o modelo proposto por Kaplan & Norton (1996 e
2004) de mapa estratgico e BSC.
Esta abordagem simplifica o processo de alinhamento estratgico, apesar de que a implantao da estratgia similar ao processo discutido at
agora.17
Caso a organizao j tenha um BSC, ento o BSC de TI deve ser derivado
deste.
Para simplificar, como ponto de partida, podemos empregar a proposio
de Kaplan (2001) para o IT-BSC, conforme mostra o mapa estratgico genrico elaborado pelo prprio autor, representado pela Figura 3.34.
O mapa demonstra uma relao de causa e efeito, ou seja, para a TI contribuir para o negcio, precisa ter excelncia operacional, aliana com as unidades de negcio e propor solues capacitadoras e inovadoras para o negcio.
Entretanto, para isso, precisa ter pessoas capacitadas, ret-las e desenvolv-las,
assim como capacitar-se em tecnologias emergentes.
Desta forma, objetivos de trabalhar com custos competitivos, entregar
servios com qualidade, fazer as coisas certas no tempo certo e atender s
estratgias das unidades de negcio podem ser alcanados. Uma vez que esses
17 Vide o captulo 12, que detalha o mtodo de elaborao do mapa estratgico e do BSC.

O Modelo de Governana de TI 123

objetivos da perspectiva cliente so atendidos, os objetivos de contribuio ao


negcio tambm so alcanados.
Gerenciar as
unidades de
custo de TI

CONTRIBUIO
CORPORATIVA

CLIENTE

Competncia

Contribuio

Credibilidade
Entregar
servios com
qualidade

Demonstrar
custos
competitivos

PROCESSOS
INTERNOS

Maximizar a
criao de valor
para as unidades
de negcio

Maximizar o
retorno para os
acionistas

Fazer as coisas
certas no tempo
certo

Melhorar a
produtividade da
unidade de
negcio

Otimizar os
processos
internos de TI

Atender s
estratgias das
unidades de
negcio

Propor e
entregar
solues
capacitadoras

Gerenciar a
qualidade dos
servios

Realizar
economias de
escala

Entregar no
prazo

Entender
aplicaes de
tecnologias
emergentes

Fornecer suporte
efetivo aos
usurios

Padronizar
plataformas e
arquiteturas

Entender as
estratgias das
unidades de
negcio

Aliana com a Unidade


de Negcio

Excelncia Operacional

Liderana em Solues

POTENCIAL
Atrair e reter
pessoal com
habilidades
chaves

Foco no
desenvolvimento
de carreira

Promover cultura
de inovao

Sustentar
habilidades em
tecnologias
capacitadoras

Figura 3.34 IT BSC


Adaptado de Kaplan (2001)

A tabela 3.10 mostra as questes genricas e principais de cada perspetiva


do BSC.
Orientao ao
Cliente

Contribuio ao
Negcio

Excelncia
Operacional

Potencial
(Orientao Futura)

Como os clientes
(usurios) veem a TI?

Como a administrao
enxerga a TI?

Quo efetivos e
eficientes so os
processos de TI?

Como a TI est
posicionada para
atender a desafios
futuros?

Misso: Ser o
fornecedor de servios
de TI preferido.

Misso: Obter um
retorno adequado dos
investimentos de TI.

Misso: Entregar
aplicaes e servios de
TI, efetivos e eficientes.

Misso: Desenvolver
oportunidades para
responder a desafios
futuros.

124 Implantando a Governana de TI 3 edio

Orientao ao
Cliente
Objetivos: entregar
servios com
qualidade, com custos
competitivos, apoiar a
estratgia do negcio,
entregar e fazer certo
no tempo certo.

Contribuio ao
Negcio

Excelncia
Operacional

Potencial
(Orientao Futura)

Objetivos: gerenciar
os custos de TI com
disciplina oramentria,
maximizar retorno dos
investimentos de TI,
maximizar criao de
valor.

Objetivos: otimizar
processos de TI,
gerenciar a qualidade
dos servios; padronizar
plataforma e arquitetura;
entregar no prazo.

Objetivos: atrair e reter


talentos, desenvolver
habilidades,
desenvolver habilidades
em novas tecnologias.

Tabela 3.10 - BSC genrico

Uma vez definidos o mapa estratgico e os objetivos do BSC, hora de desdobrar esses objetivos em iniciativas com suas respectivas metas de resultado
e metas de desempenho.
A Tabela 3.11 exemplifica esse desdobramento.
Objetivo

estratgico

Iniciativas

Meta de
resultado

Meta de
desempenho

Entregar servios
com qualidade

Implantar SLAs nos


servios de TI.

60% dos servios de TI


com SLA at dezembro
de 2011.

30% dos servios com SLA


at junho de 2011.

Entregar no prazo

Implantar processo de
estimativa.

50% dos projetos crticos


empregaram o novo
mtodo de estimativa at
dezembro 2011.

25% dos projetos com o


novo processo at junho de
2011.

Implantar processo de
gesto de requisitos.

80% dos projetos com


processo de gesto de
requisitos at dezembro
2011.

40% dos projetos com


processo de gesto de
requisitos at junho de 2011.
60% dos projetos at
setembro de 2011.

Implantar processo
de gerenciamento de
projetos.

100% dos projetos usam


o processo de gesto de
projetos at dezembro de
2011.

30% dos projetos at maro


de 2011.
60% dos projetos at junho
de 2011.

Tabela 3.11- Desdobramento de objetivos estratgicos

Por fim, lembramos que o BSC de TI pode ser desdobrado em BSCs para
sistemas, operaes, governana de TI, segurana da informao, servios de
TI, etc., como mostra a Figura 3.35.

O Modelo de Governana de TI 125

Caso a sua organizao j tenha um BSC corporativo, h um pressuposto


de que, ao fazer um BSC de TI derivado do corporativo, voc j est realizando o alinhamento, ainda que esttico, da TI.
Ao contrrio, se sua organizao no tiver um BSC, mesmo assim voc
pode elaborar o BSC de TI. Entretanto, as etapas de anlise estratgica da organizao, anlise do portflio atual e entendimento da dinmica do negcio
devero ser executadas.

Figura 3.35 Desdobramento do BSC

Voc deve estar se perguntando: qual abordagem devo usar para elaborar
o meu plano de tecnologia da informao?.
A abordagem representada pela Figura 3.6 adequada quando a organizao necessita revisitar a TI como um todo. Mas isto no acontece a todo
momento.
Nesta abordagem mais complexa, h um trabalho de maior profundidade
quando estamos definindo os servios, a arquitetura de aplicaes, a arqui-

126 Implantando a Governana de TI 3 edio

tetura de infraestrutura, a poltica de segurana da informao, os mapas de


processos de TI, a poltica de sourcing e assim por diante.
J no caso do BSC, embora tambm necessitemos entender a organizao,
a parte de definio dos servios, das arquiteturas, polticas, organizao e
processos de TI tornam-se iniciativas e metas do BSC. A Tabela 3.12 mostra
essa diferena.
Componentes do
Plano de Tecnologia

Abordagem
Transformacional

Abordagem de
BSC

Anlise estratgica da
organizao

Deve ser realizada.

Deve ser realizada se no houver BSC


corporativo.

Anlise do portflio
atual

Deve ser realizada.

Deve ser realizada para cotejar com


as iniciativas propostas e derivadas
do BSC.

Entendimento da
dinmica do negcio

Deve ser realizada.

No necessita.

Definio da
estratgia de servios

Aqui a estratgia definida, assim


como o catlogo de servios.

A necessidade de definir uma


estratgia de servios pode ser uma
iniciativa do BSC.

Anlise e definio
das necessidades do
negcio

Aqui so identificados os gaps da


arquitetura de aplicaes em relao
ao que o negcio requer em funo de
sua transformao.

O BSC foca a estratgia de TI,


podendo ter como uma das iniciativas
concentrar nas aplicaes que
agreguem valor para o negcio.

Anlise e definio da
arquitetura de TI

Aqui so identificados os gaps da


arquitetura tecnolgica em relao
aos requisitos do negcio e uma
especificao da nova arquitetura
derivada. Um projeto derivado
ser ento a implantao da nova
arquitetura.

O BSC no faz a especificao,


pois ela pode ser uma iniciativa
derivada. Geralmente no escopo da
iniciativa haver a especificao e a
implantao da nova arquitetura.

Definio da estratgia
de sourcing

Aqui as polticas e regras e um


mapa de processos podem ser
especificados. O projeto derivado ser
a implantao da poltica de sourcing.

O BSC pode gerar uma iniciativa para


se implantar polticas e processos
de sourcing. No escopo da iniciativa
estar incluso que h a necessidade
de especificar e implantar.

Definio da arquitetura
de processos

Aqui so definidas a cadeia de


valor e as especificaes iniciais
dos processos que devero ser
implantados. Derivam-se projetos de
implantao de processos de TI.

O BSC menciona a necessidade dos


processos de TI. Fica para a definio
do escopo da iniciativa a necessidade
de especificar e implantar os
processos.

O Modelo de Governana de TI 127

Componentes do
Plano de Tecnologia

Abordagem
Transformacional

Abordagem de
BSC

Definio da estratgia
de segurana da
informao

Aqui so definidos os processos, a


arquitetura, necessidades de recursos
especficos.

O BSC pode derivar iniciativas


relativas segurana da informao,
mas fica para o escopo das iniciativas
a especificao e a implantao do
sistema de segurana da informao.

Consolidao do
portflio preliminar

Abrange todos os projetos, recursos e


servios.

O portflio foca principalmente as


questes internas de TI.

Definio do oramento

Dever ser elaborado a partir do


portflio preliminar.

Deve ser elaborado o oramento com


base nas quantidades do portflio.

Priorizao de
investimentos

Deve ser realizado a partir do


oramento e do portflio preliminar.

Idem.

Portflio aprovado

Derivado a partir da priorizao dos


investimentos

Idem.

Plano de TI negcios

Deve ser elaborado.

Geralmente as iniciativas geradas


pelo BSC no focam os projetos de
desenvolvimento de aplicaes.

Plano de TI melhorias

Deve ser elaborado.

Geralmente as iniciativas geradas pelo


BSC concentram-se nos aspectos
internos da TI alinhadas com o
negcio.

Tabela 3.12 Critrios de seleo da abordagem de planejamento de TI

3.3 Mecanismos

de deciso em

TI

Neste ponto, tomaremos emprestado o modelo de Weill & Ross (2004)


sobre os arqutipos de deciso que propuseram para a TI. Estes professores,
com base numa extensiva pesquisa com 256 empresas, identificaram padres
de mecanismos organizacionais para a tomada de decises em TI relativas a:
Princpios de TI.
Arquitetura de TI.
Estratgia de infraestrutura de TI.
Necessidades de aplicaes.
Investimento e priorizao.

128 Implantando a Governana de TI 3 edio

Os padres identificados foram:


Monarquia do negcio: neste padro, os executivos seniores de negcio tomam as decises relativas TI.
Monarquia de TI: neste padro, os profissionais de TI tomam todas
as decises pertinentes TI.
Feudal: neste padro, cada rea da empresa ou unidade de negcio
decide sobre a TI de forma isolada.
Federal: neste padro, tanto a matriz, a holding ou o board, juntamente com as unidades de negcio, tomam as decises relativas
TI.
Duoplio de TI: neste padro, as decises so derivadas de acordo
entre os executivos de TI e outros grupos de negcio.
Anarquia: neste padro, indivduos e pequenos grupos tomam suas
prprias decises baseados em suas necessidades locais.

Nesta pesquisa, os professores Weill e Ross descobriram que as empresas de


maior desempenho na TI usam diferentes arqutipos de tomada de deciso,
conforme o tipo de deciso.
A Figura 3.36 apresenta os arqutipos de deciso utilizados nas trs empresas que maiores desempenhos apresentaram com o uso da TI.
Como j mencionamos no incio do livro, as decises de TI no so
mais a seara somente dos executivos de TI, pois a TI permeia praticamente todos os negcios da empresa. Decises relativas TI passam a
ser decises de negcio; portanto, os executivos de negcio devem ser
envolvidos.

O Modelo de Governana de TI 129

Figura 3.36 Arqutipos de deciso em TI de maior desempenho


Adaptado de Weill & Ross (2004)

No contexto da Governana de TI, necessrio estabelecer uma matriz de


responsabilidades e envolvimento pelas decises de TI. Nesta matriz, poderiam ser includos alguns tipos de deciso a mais (principalmente no tocante
segurana da informao e estratgia de sourcing), por merecerem uma
abordagem de compartilhamento de responsabilidades.
Para construir a matriz, devemos identificar quem deve ser envolvido na
formulao de alternativas e da escolha da alternativa, com relao a princpios de TI, arquitetura, infraestrutura, necessidades de aplicaes, investimentos, segurana da informao e estratgia de sourcing.
Um lembrete importante ao estabelecer os mecanismos de deciso mais
adequados o de separar as pessoas que formulam a alternativa de soluo das
pessoas que, efetivamente, escolhem a alternativa mais adequada.

130 Implantando a Governana de TI 3 edio

Por exemplo, ao definir necessidades de aplicaes, podemos estar interagindo com o responsvel por uma unidade de negcio; entretanto, quem
toma a deciso sobre as prioridades de investimento a Diretoria Executiva
da empresa. Ou seja, para cada tipo de deciso, temos que identificar quem
formula as necessidades e alternativas e quem decide sobre a alternativa, pois
podem ser fruns diferentes de deciso.
Geralmente, as empresas usam mecanismos tais como Comits de Projeto
para decidir sobre prioridades de desenvolvimento ou implantao de aplicaes e a Diretoria Executiva para decidir sobre investimentos e priorizao de
aplicaes estratgicas.
Os mecanismos de deciso so crticos para que a estratgia de TI seja implantada. Sem esses mecanismos, a tarefa de gerenciar a TI ficar ainda mais
complexa e voc precisar ser um missionrio e educador em tempo integral.

3.4 A

entrega de valor

3.4.1 Gerenciamento

do portflio de

TI

De acordo com o padro de Gerenciamento de Portflio do Project Management Institute (2008b), a gesto de portflio : uma coleo de projetos
e/ou programas e outros trabalhos que so agrupados para facilitar a gesto
efetiva do trabalho para atender os objetivos estratgicos do negcio.
J para o modelo Val IT do IT Governance Institute (ITGI 2008), port
flio : agrupamento de objetos de interesse como programas de investimentos, servios de TI, projetos de TI ou outros servios e recursos, gerenciados e
monitorados para otimizar o valor para o negcio.
No contexto de nosso modelo, o portflio gerado na fase de alinhamento
estratgico e usado na entrega de valor e no gerenciamento de recursos.
Na fase de entrega de valor, o portflio usado para o monitoramento e
o gerenciamento de projetos, servios e inovaes e para estabelecer as regras
sobre o que entra e sai do portflio ao longo do tempo.
Na fase de gerenciamento de recursos, o interesse otimizar os recursos
entre os projetos, servios e inovaes do portflio.

O Modelo de Governana de TI 131

O portflio de TI o Plano de Tecnologia da Informao em sua forma


dinmica, como j discutido anteriormente. Ele reflete a realidade das demandas sobre a rea de TI em um determinado momento.
Portanto, o gerenciamento do portflio de TI na fase de entrega de valor
significa:
Monitorar e gerenciar as mudanas no portflio de TI.
Garantir que os projetos, servios e inovaes que esto sendo desenvolvidos ou fornecidos so derivados do portflio.
Garantir o uso adequado dos recursos entre as demandas.
Avaliar se os objetivos de retorno de investimento esto sendo
atendidos, a partir dos resultados da TI e dos resultados para o
negcio.
Monitorar a consecuo dos projetos, servios, inovaes e manutenes de recursos de acordo com os padres de desempenho
estabelecidos.
Avaliar o impacto de mudanas do portflio sobre a demanda de
servios.

Na realidade de uma rea de TI, so vrios os atores que se envolvem no


gerenciamento do portflio de TI, assunto do qual nos ocuparemos mais amide no Captulo 4.

3.4.2 Operaes

de servios de

TI

Podemos entender a rea de TI como um conjunto de operaes dedicadas a prover servios para usurios e/ou clientes externos e para a prpria
rea de TI.
Uma operao de servios deve estar aderente s necessidades da operao
de TI como um todo, sendo que a lgica de estruturao de operaes de
servios compreende: servios aos usurios e clientes, requisitos de compliance
desses servios, nveis de servio esperados, processos para executar e apoiar
os servios, o pacote de servios a ser adotado, conhecimento para apoio aos
processos, competncias e diviso do trabalho (que, no caso, a estrutura
organizacional) para operar os processos.

132 Implantando a Governana de TI 3 edio

A Figura 3.37 apresenta a lgica de estruturao de operaes de servios,


que pode ser aplicada para qualquer tipo de servio, inclusive de TI.
Quais os requisitos
de
compliance ?
Quais servios
sero
prestados aos
usurios e clientes?
Quais os nveis de
servios ou
desempenho
esperado para o
servio?

Quais os
processos
para executar e
apoiar os servios?

Qual o pacote de
servios a ser
adotado?

Quais os
conhecimentos e
habilidades para
desempenhar os
processos?

Quais as
competncias
requeridas para
operar os
processos?

Qual a diviso de
trabalho para
operar os
processos?

Figura 3.37 Fluxo de estruturao de servios

Um conceito importante para a estruturao de servios o que chamamos


de Pacote de Servios.
De acordo com a classificao sugerida por Corra & Caon (2002), um
pacote de servios composto por: no estocveis essenciais, no estocveis
acessrios, estocveis com transferncia de propriedade e estocveis sem transferncia de propriedade.
No estocveis essenciais so atributos do servio que fazem parte de
sua misso primordial. Na rea de TI, por exemplo, temos como estocveis essenciais a entrega dos projetos e demandas dentro do prazo,
custo e funcionalidades acordadas.
No estocveis acessrios so atributos dos servios que no fazem
parte de sua misso principal. No caso de projetos, a possibilidade
do usurio saber o status do projeto ou de sua demanda um no
estocvel acessrio, porm, pode ser um elemento diferenciador ou
de aumento de percepo da qualidade.
Estocveis com transferncia de propriedade, ainda no caso de projetos, podem ser os relatrios impressos sobre o status do projeto,
cronogramas, etc., enquanto que os estocveis sem transferncia de
propriedade so recursos e instalaes usados pela TI para prover os
servios e os sistemas de informao de apoio gesto do projeto.

O Modelo de Governana de TI 133

Do ponto de vista da Governana de TI, os servios devem ser fornecidos


de acordo com as normas e procedimentos da organizao, as quais podem
estar baseadas nos modelos de melhores prticas (vide Captulo 5 sobre o resumo dos modelos de melhores prticas).

3.4.2.1 Projetos
Podemos classificar os projetos de TI nas seguintes categorias:
Projetos de sistemas: abrange projetos de desenvolvimento de novos
sistemas, de manutenes evolutivas significativas em sistemas existentes, implantao de solues como Sistemas Integrados de Gesto
(ERP), Customer Relationship Management (CRM), Manufacturing
Execution Systems (automao de cho de fbrica), implantao de
softwares de gesto de TI, etc.
Manutenes de sistemas: abrange o conjunto de manutenes legais e adaptativas em sistemas de pequeno e mdio porte.
Projetos de infraestrutura tecnolgica: abrange projetos de implantao de data centers, projetos de virtualizao e consolidao de
servidores, projetos de cloud computing, projetos de rede de comunicaes, implantao de sistemas operacionais, softwares de suporte,
implantao de dispositivos de armazenamento de dados e softwares
de apoio, etc.
Projetos de segurana da informao: abrange projetos de implantao de segurana lgica e fsica, implantao de dispositivos de segurana da informao, programas de conscientizao e planos de
continuidade de negcio, etc.
Projetos de sourcing: abrange projetos de implantao de poltica,
normas e procedimentos de gerenciamento do sourcing.
Projetos de processos de TI: abrange projetos de implantao de
processos como: metodologia de desenvolvimento de sistemas, de gerenciamento de projetos, gesto da qualidade, planejamento de TI,
gerenciamento de servios de TI como gerenciamento da disponibilidade, gerenciamento da capacidade, gerenciamento da mudana,
processos especficos de governana de TI, etc.
Projetos de estrutura organizacional: abrange projetos de implantao de novas estruturas organizacionais na rea de TI.

134 Implantando a Governana de TI 3 edio

Projetos de desenvolvimento e capacitao de recursos humanos:


abrange projetos de capacitao dos profissionais de TI.

Esses projetos fazem parte do portflio de TI, sendo que, em determinadas


situaes, h programas (coleo de projetos). Por exemplo, a implantao de
processos de gerenciamento de servios, baseados na ITIL, pode ser considerada como um programa, sendo que cada processo pode ser considerado um
projeto.

3.4.2.2 Servios
Podemos classificar os servios de TI nas seguintes categorias:
Servios aos usurios: atendimento resoluo de incidentes e a
chamados de usurios de recursos e de sistemas (geralmente esses servios so fornecidos atravs de uma central de servios ou de um help
desk).
Gerenciamento de desempenho de aplicativos: refere-se ao monitoramento em tempo real do desempenho dos aplicativos e sistemas
ou de avaliaes peridicas para identificar causas de problemas de
desempenho em aplicaes crticas.
Gerenciamento de incidentes: visa restaurar a operao normal de
um servio no menor tempo possvel, de forma a minimizar impactos
adversos para o negcio.
Gerenciamento de problemas: visa minimizar os impactos adversos de incidentes e problemas para o negcio, quando causados por
falhas na infraestrutura de TI, assim como prevenir que incidentes
relacionados a essas falhas ocorram novamente.
Gerenciamento das operaes de servios de TI: responsvel pelas
operaes dirias da operao como monitorao e controle, programao de jobs, tarefas de backup, gerenciamento do mainframe, gerenciamento e suporte a servidores, gerenciamento de dados, administrao de banco de dados, gerenciamento de servios de diretrio,
gerenciamento da internet/web e gerenciamento de facilidades e data
centers, etc.
Gerenciamento da rede de comunicaes: responsvel pelo monitoramento e gerenciamento da rede de comunicaes da organizao.

O Modelo de Governana de TI 135

Servios de segurana da informao: realiza o gerenciamento de


acesso a sistemas e recursos de rede, monitora intruses na rede da organizao e toma medidas de proteo contra essas intruses; realiza
atualizao de aplicativos tipo antivrus, etc.
Servios de suporte tcnico: realiza o suporte operao e s equipes de desenvolvimento de sistemas.
Gerenciamento da capacidade: assegura que a capacidade da infraestrutura de TI absorva as demandas evolutivas do negcio de forma
eficaz e dentro do custo previsto, balanceando a oferta de servios em
relao demanda e otimizando a infraestrutura necessria prestao dos servios de TI.
Gerenciamento da disponibilidade: visa assegurar que os servios
de TI sejam projetados para atender e preservar os nveis de disponibilidade e confiabilidade requeridos pelo negcio, minimizando os
riscos de interrupo atravs de atividades de monitoramento fsico,
soluo de incidentes e melhoria contnua da infraestrutura e da organizao de suporte.
Gerenciamento de mudanas: visa assegurar o tratamento sistemtico e padronizado de todas as mudanas ocorridas no ambiente operacional, minimizando assim os impactos decorrentes de incidentes/
problemas relacionados a essas mudanas na qualidade do servio,
melhorando a rotina operacional da organizao.
Gerenciamento da configurao e de ativos de servio: abrange a
identificao, o registro, o controle e a verificao de ativos de servios e itens de configurao (componentes de TI, tais como hardware,
software e documentao relacionada), incluindo suas verses, componentes e interfaces, dentro de um repositrio centralizado. Tambm faz parte do escopo deste servio a proteo da integridade dos
ativos e itens de configurao ao longo do ciclo de vida do servio,
contra mudanas no autorizadas.
Gerenciamento do nvel de servio: visa manter a qualidade dos
servios de TI, atravs de um ciclo contnuo de atividades envolvendo
o planejamento, coordenao, elaborao, estabelecimento de acordo
de metas de desempenho e responsabilidade mtuas, monitoramento
e divulgao de nveis de servios, nveis operacionais e de contratos
de apoio (com fornecedores).

136 Implantando a Governana de TI 3 edio

Gerenciamento da continuidade dos servios de TI: desdobramento do gerenciamento da continuidade do negcio, que visa assegurar que todos os recursos tcnicos e servios de TI necessrios
(sistemas, redes, aplicativos, central de servios, suporte tcnico, telecomunicaes, operaes) possam ser recuperados dentro de um
tempo determinado.
Gerenciamento de fornecedores: gerencia fornecedores e contratos
necessrios para suportar os servios por eles prestados, visando prover um servio de TI com qualidade transparente para o negcio,
assegurando o valor do investimento feito.
Gerenciamento financeiro: visa gerenciar o ciclo financeiro do port
flio de servios de TI, de forma a prover a sustentao econmica
necessria para a execuo dos servios.

3.4.2.3 Inovaes
As inovaes so projetos com caractersticas diferentes, considerando seu
ciclo de desenvolvimento.
Dependendo da inovao, ela se caracteriza mais como um projeto de pesquisa (P&D). Projetos de pesquisa so formados por vrios ciclos evolutivos,
podendo durar anos.
Na prtica, os projetos de inovaes so baseados em tecnologias j existentes, disponveis no mercado e, s vezes, emergentes.
Conforme for a prtica de gesto da organizao (por exemplo, se a organizao reconhecida pela sua liderana tecnolgica), pode haver uma cultura
para a inovao.
As inovaes em TI, particularmente, so criadas para melhorar os processos de negcio ou para melhorar os servios de TI.
Seguem alguns exemplos de inovaes em TI para processos de negcio:
Identificao biomtrica: para os processos de autoatendimento
numa agncia bancria.
Sistema da receita federal: recebimento de declaraes de imposto
de renda pela Internet.

O Modelo de Governana de TI 137

Aplicaes em dispositivos mveis como telefones celulares,


smartphones, iPads: usados em sistemas de fora de vendas, internet
home banking, broadcast de informaes de bolsas de valores ou de
mercadorias, sistemas de alerta, etc.
Cloud computing: computao na nuvem uma inovao para a
infraestrutura de TI.

A tecnologia da informao pode auxiliar tambm no aprimoramento de


processos de negcio, mudando a forma como o processo conduzido, criando diferenciais ou reduzindo o custo.
Por exemplo, em um processo de aprovao de crdito ou estabelecimento
de limites de crditos, sistemas especialistas de credit score ou de comportamento de crdito, ou mesmo o cadastro positivo (de bons pagadores), podem
tornar mais gil a concesso (ou negao) de uma solicitao de emprstimo
de um cliente, alm de reduzir o custo da operao de crdito.
Projetos de inovao podem requerer ambientes de desenvolvimento de
projetos diferenciados, sem presso por prazos rgidos, pois h muita pesquisa,
avaliao se a tecnologia de fato funciona, visitas a fornecedores e a empresas
que j esto estudando o tema, participao em congressos, desenvolvimento
de projetos piloto e prottipos.
Dependendo do tipo de negcio, h testes extensivos para garantir total
confiabilidade da soluo de forma a eliminar riscos para o negcio.
Portanto, qualquer projeto que tenha as caractersticas descritas aqui pode
ser enquadrado como projeto de inovao.

3.4.3 O

relacionamento com os usurios e/ou clientes

O modelo de relacionamento refere-se forma como o cliente solicita o


servio, em termos de quem solicita o servio, como as prioridades so estabelecidas, como os servios so avaliados, quais os canais de comunicao, como
as responsabilidades so atribudas em projetos, etc.
No relacionamento com os usurios e/ou clientes, o que geralmente se
observa na prtica pode ser ilustrado nos seguintes exemplos:
Vrios usurios de uma mesma rea solicitam servios para Processos
e Sistemas, sem uma ordem de prioridade.

138 Implantando a Governana de TI 3 edio

No h critrios de priorizao das demandas por parte dos usurios.


No h padres de solicitaes de servios.
Os usurios desconhecem o que pode e o que no pode ser solicitado
e o que pode e o que no pode ser usado.
No h regras sobre o envolvimento dos usurios nos projetos de TI.
Os usurios geralmente desconhecem os custos dos servios de TI.
O usurio no sabe quais so os nveis de servio estipulados por TI.
No h um plano de atendimento claro para as demandas ou servios
obrigatrios e que afetam os usurios.
Os usurios desconhecem os princpios de TI, etc.

Na realidade, para muitos usurios, a rea de TI uma caixa preta e realiza servios de qualidade duvidosa.
No contexto da Governana de TI, deve-se estabelecer um modelo de relacionamento com o usurio, visando garantir a qualidade da prestao de servios.
Algumas premissas desse modelo so:
Os usurios precisam saber quais servios de TI esto disponveis e
quais no esto.
As demandas de manutenes emergenciais devem ser atendidas sempre atravs da Central de Servios (como ponto nico de contato), ou
seja, no pode haver outros canais alm da Central de Servios.
As demandas por projetos e por manutenes programadas devem
ser encaminhadas, considerando critrios de priorizao usados para
a gesto do Portflio de TI.
As demandas por projetos e por manutenes programadas devem ser
um subconjunto do Portflio de TI.
O atendimento a demandas por projetos e por manutenes pode
ser priorizado ao longo do tempo, estimulando a realizao de Planos
de Atendimento trimestrais (de preferncia, revistos mensalmente)
mveis como, por exemplo, de janeiro a maro, fevereiro a abril, e
assim sucessivamente.
A TI somente ir atender a demandas que esto consideradas no Port
flio de TI. Caso ocorram demandas no previstas, a TI, juntamente
com o usurio, dever rever o Portflio e as demais demandas j programadas, visando acomodar a capacidade de atendimento.

O Modelo de Governana de TI 139

recomendvel que haja um elo nico entre os usurios e a TI, no


que diz respeito solicitao de projetos e manutenes programadas.
Algumas empresas criaram o gerente de relacionamento na casa do
usurio, que tem como principal responsabilidade realizar a definio
preliminar dos requisitos do servio e das prioridades das demandas.
Este papel desempenhado por um profissional com conhecimento
do negcio e da tecnologia.
Considerando a melhoria contnua dos servios, importante que a
TI e os usurios estabeleam os Acordos de Nveis de Servio e que
estes sejam avaliados periodicamente, de forma conjunta, quanto ao
seu desempenho.
A TI e os usurios devem avaliar, periodicamente, a eficcia do relacionamento e propor melhorias no processo.
O usurio deve ter um canal direto com a TI para realizar sugestes
de melhoria e tambm reclamaes. No modelo de Governana de
TI elaborado, o Escritrio do CIO pode tambm ter um papel de
ombudsman ou ouvidoria, de forma que essas informaes cheguem
ao CIO e possam ser efetivamente tratadas.
Os usurios devem ser avisados, sempre com antecedncia, sobre
eventos de manuteno da rede e de recursos da infraestrutura, ou
servios programados de instalao de novas verses de softwares ou
outros dispositivos.
Os usurios devem ter facilidade de acesso s informaes sobre o
andamento das suas demandas de qualquer natureza.
Os usurios precisam estar cientes dos processos de gesto de mudanas.

Alguns dos instrumentos apresentados pelo modelo de Governana de TI e


que so crticos para o modelo de relacionamento com os usurios so:
O Catlogo de Servios de TI.
Os Acordos de Nveis de Servio.
O Portflio de TI.
As aes de endomarketing por parte de TI.
A Central de Servios.
Revises conjuntas de desempenho e de melhoria.

140 Implantando a Governana de TI 3 edio

O gerente de relacionamento do usurio.


Processo de solicitao de projetos e manutenes.
Regras corporativas quanto ao gerenciamento de projetos e envolvimento dos usurios.
Processo de transferncia de preo aos usurios.
Canais de sugestes e reclamaes.
Procedimentos de homologao de sistemas.
Estrutura de servios de TI para os usurios.

Essa abordagem de relacionamento procura reduzir substancialmente o


desgaste que muitas organizaes de TI sofrem com os seus usurios.

3.4.4 O

relacionamento com os fornecedores

Da mesma forma que o modelo de relacionamento com os clientes, o modelo de relacionamento com os fornecedores dirigido pela estratgia de sourcing, pelos processos de TI relativos parte terceirizada e pelo Portflio de TI.
O desenvolvimento e implantao de um modelo de sourcing o trabalho de
tornar a estratgia realidade.
No relacionamento com os fornecedores, alguns problemas que podemos
encontrar no dia a dia das empresas que fazem terceirizao esto exemplificados adiante:
No est claro o que pode e o que no pode ser terceirizado.
No esto claros os acordos de nveis operacionais e os contratos de
apoio.
No h processos de contratao consistentes, considerando a elaborao de Requests for Information (RFI), Requests for Proposal (RFP),
visitas a clientes dos fornecedores, etc.
Geralmente, no h um plano para a transio clara dos servios da
rea de TI para os terceiros.
No esto claros quais processos e padres de TI devem ser aplicados,
se os do fornecedor ou os da empresa.
No esto claros quais os limites de cada um (da empresa terceirizada
e da rea de TI).

O Modelo de Governana de TI 141

No h um processo para a gesto do desempenho dos fornecedores.


No h um processo consistente de gesto dos acordos de nveis operacionais e dos contratos de apoio.
No h um processo de reviso conjunta e da melhoria da operao.
No esto claras, no mbito da operao do sourcing, quais as responsabilidades da empresa contratante.
Raramente h auditorias de terceira parte na operao de sourcing,
estejam elas dentro de casa ou nas instalaes do fornecedor.
Raramente os benefcios apregoados com a terceirizao so medidos
de fato.
Raramente tambm h processos de transferncia de servios (hand-over), no caso da substituio do prestador de servios.

No contexto da Governana de TI, deve-se estabelecer um modelo de relacionamento com fornecedores de servios derivado da estratgia de sourcing
estabelecida pelo processo de planejamento da tecnologia da informao.
As premissas desse modelo so:
Para decidir sobre o que terceirizar, deve-se desenvolver um Business
Case, refletindo os benefcios para a empresa em termos de custo total
e apoio efetivo para o negcio.
Os servios a serem terceirizados devem ser identificados conforme o
benefcio esperado e de acordo com o Portflio de TI.
As RFIs e RFPs so instrumentos de democratizao da disputa, para
que candidatos possam colocar suas propostas para a empresa (isto
inclusive melhora a imagem da empresa entre os fornecedores).
Os acordos de nvel operacional e os contratos de apoio devem ser
estabelecidos, considerando o desempenho requerido para o negcio.
Os processos e padres a serem usados para a prestao dos servios
devem ser estabelecidos e colocados em contrato.
Um plano de transio deve ser previsto, visando a reduo do risco
operacional da empresa durante a absoro dos servios pelo terceiro.
Um modelo operacional de servios sobre como solicitar, receber e
aceitar os servios e produtos tambm deve ser elaborado conforme
os padres e procedimentos aprovados por ambas as partes.

142 Implantando a Governana de TI 3 edio

Neste modelo, tambm devem estar explcitas quais informaes de


desempenho da operao e dos acordos de nveis operacionais e contratos de apoio estaro disponveis, em que meio, periodicidade etc.
A rea de TI deve ter um administrador do contrato de terceirizao,
responsvel por gerenciar o desempenho do fornecedor e os respectivos acordos, assim como por identificar os pontos de melhoria na
operao.
Da mesma forma que h canais para o relacionamento entre os
usurios e a rea de TI, tambm dever haver canais de relacionamento entre a rea de TI ou demandante de servios para o terceiro.
A empresa deve contratar periodicamente e executar auditorias de
terceira parte sobre a operao de sourcing como um todo.
O administrador do sourcing por parte da empresa e o representante
da empresa prestadora de servios devem manter reunies peridicas
para a gesto da melhoria da operao.
A empresa contratante deve avaliar e implantar adequaes internas
nos seus processos operacionais e de gesto de TI, visando fazer com
que a operao de sourcing funcione a contento.
Todos os requisitos de segurana da informao devem estar claros para
a operao de sourcing e ser auditados quanto ao seu cumprimento.
Devem ser estabelecidos regras e processos claros, formalizados em
contrato, no caso da necessidade de substituir o prestador de servios.
Os servios terceirizados e todas as demandas previstas para serem
executadas pela empresa de prestao de servios devem estar claramente identificados e priorizados no Portflio de TI.
A operao deve contar com um Plano de Contingncia, para o caso
de ocorrer algum risco substancial operao.
O modelo deve estabelecer penalidades por um desempenho abaixo
dos acordos de nveis de servio e bnus por um desempenho superior.

Os instrumentos e ativos crticos para o modelo de relacionamento com os


fornecedores so:
O processo documentado de contratao.
O contrato de servios de sourcing.

O Modelo de Governana de TI 143

Plano de contingncia dos servios.


Plano de transferncia dos servios (para o fornecedor e do fornecedor).
Requisitos de segurana da informao.
O Catlogo de Servios de TI.
Os acordos de nvel operacional e contratos de apoio.
O Portflio de TI.
O service desk para atendimento aos fornecedores.
Revises conjuntas de desempenho e de melhoria.
O administrador do sourcing.
O representante da operao por parte do fornecedor ou prestador
de servios.
O modelo documentado da operao.
Processos e padres documentados e acordados para a gesto e a operao da prestao dos servios contratados.
Sistemas de informao de apoio operao de sourcing.

Cohen & Young (2006) sugerem a implantao de mecanismos para o


gerenciamento do que chamam de multisourcing, ou seja, vrios sourcings com
fornecedores distintos prestando servios distintos.
Neste caso, propem trs papis bsicos em uma gesto de multisourcing:
Gerente de relacionamento, responsvel pelo desenvolvimento dos
requisitos dos servios, priorizao, gerenciamento de pendncias
e escalonamento de problemas, monitora o desempenho e os rela
cionamentos e age como um gerente de conta, fazendo a ligao entre
os fornecedores de servios e as unidades de negcio.
Gerente do desempenho, responsvel por monitorar a operao,
a integrao dos servios, a gesto de incidentes e a gesto do desempenho, inclusive os acordos de nveis operacionais e contratos
de apoio.
Gerente de contratos, responsvel pela gesto de contratos, termos
e condies, projetos e propostas, e do cumprimento dos contratos e
cronogramas.

144 Implantando a Governana de TI 3 edio

Essas autoras propem ainda que seja criado um Escritrio de Gesto do


Multisourcing, com os seguintes processos:
Gesto de programas.
Gesto do desempenho.
Gesto da estratgia.
Gesto da demanda.
Gesto dos servios.
Gesto financeira do multisourcing.
Gesto dos recursos humanos.
Gesto do relacionamento.
Gesto legal ou jurdica de contratos.

Como sempre, o leitor deve interpretar os arcabouos tericos e casos disponveis e fazer a sua escolha conforme as condies financeiras, culturais
e o nvel de maturidade de sourcing de sua empresa (vide no Captulo 11 a
discusso sobre modelos de sourcing para TI).

3.5 Gerenciamento

de recursos

Funo tpica de Governana de TI, o gerenciamento de recursos tem por


objetivo assegurar que recursos necessrios para projetos, servios e inovaes
estejam presentes.
Para tanto, precisa supervisionar e avaliar os investimentos e o uso de aplicao dos recursos, de forma que as necessidades do negcio atendidas por
projetos, servios e inovaes estejam presentes no Portflio de TI.
O gerenciamento de recursos um dos objetivos de controle do processo
de Prover Governana de TI do CobiT.
Este processo tem uma rea de interseco com o gerenciamento do Port
flio de TI em sua definio dada pelo Val IT (ITGI 2008), que o monitoramento dos investimentos e seus resultados.
Podemos consider-lo como um componente complementar ao gerenciamento do Portflio de TI.

O Modelo de Governana de TI 145

3.6 A

gesto do desempenho

No modelo proposto, o componente Gesto do Desempenho trata basicamente de dois conjuntos de medies e indicadores:
Resultados da TI, que compreendem medies e indicadores para:
execuo e gerenciamento de processos e servios de TI, gerenciamento de nveis de servios, gerenciamento da estratgia e gerenciamento de projetos.
Resultados para o negcio, que representam o impacto dos resultados da TI em termos de agregao de valor para o negcio.

Na literatura, de uma forma geral, a gesto do desempenho abrange a constituio de um sistema de gerenciamento do desempenho que compreende a
definio de objetivos de desempenho, a criao dos indicadores e acompanha
a sua implantao, o monitoramento, a tomada de deciso em funo dos
resultados desses objetivos e as aes consequentes de melhoria.
Toda ao da TI, seja fruto dos seus planos, da sua prestao de servios e
desenvolvimento de projetos, somente pode ser gerenciada se tiver medies
e indicadores, conforme a mxima voc no gerencia o que voc no consegue medir.
Com medies e indicadores voc consegue:
Estabelecer metas de melhoria para processos e servios. A medio
a primeira etapa que leva ao controle e, eventualmente, melhoria de
um processo. Se voc no consegue medir nada, voc no consegue
entender o processo. Se voc no entender o processo, voc no o
controla. Se voc no controla o processo, voc no pode melhor-lo
(Harrington 2011).
Saber quo longe ou perto est de suas metas ou dos nveis de servios.
Nada bom ou ruim, mas somente atravs de comparao (Fuller
1892).
Identificar as causas de variaes no desempenho de processos e servios
visando tomar aes corretivas ou preventivas a tempo.
Gerenciar um projeto de TI.

146 Implantando a Governana de TI 3 edio

Comunicar o seu desempenho para a administrao.


Garantir o desempenho das funes gerenciais em TI, inclusive Governana de TI.
Garantir que os riscos de TI para o negcio estejam sendo gerenciados.
Garantir que a rea de TI esteja conforme com os regulamentos externos e internos.
Verificar tendncias de forma que possa tomar aes preventivas.
Verificar se as melhorias ou correes executadas atingiram, de fato,
seus objetivos.
Verificar se a TI est agregando valor para o negcio.
Gerenciar com base em fatos e dados, melhorando avaliaes e as
tomadas de deciso.

Conforme Edward Deming (2000), um dos pais da qualidade: Em Deus


acredito; quanto ao resto, tudo so dados.
A gesto do desempenho, para ser perene, requer o desenvolvimento
e implantao de um sistema de gerenciamento de desempenho considerando:
Um processo de medio e anlise.
Um mtodo para a criao de indicadores.
Um projeto para a sua implantao.
Comunicao eficiente.
tica no trato com os resultados.

De acordo com Will Kaydos (1998), um bom sistema de gerenciamento


de desempenho mantm todos de forma honesta, pois no h como esconder
os resultados, sendo que, quando o sistema se torna visvel, pode fazer algumas pessoas se sentirem desconfortveis, mas se a liderana da organizao
mantm o tom correto, o medo rapidamente substitudo por uma comunicao mais aberta e honesta, o que um impacto positivo no relacionamento
entre os executivos e seus subordinados.

O Modelo de Governana de TI 147

3.6.1 Medies

dos resultados da

TI

Os resultados da TI so as medies derivadas de toda a prestao de servios em termos de entrega de projetos e servios e do atendimento a planos
estratgicos e tticos.
Os resultados da TI podem ser avaliados atravs:
da execuo e do gerenciamento de processos e servios de TI.
do gerenciamento dos nveis de servios.
do gerenciamento da estratgia de TI (BSC).
do gerenciamento de projetos de TI.
do gerenciamento do portflio de TI.

3.6.1.1 Medies para o gerenciamento dos processos e servios


O modelo CobiT (ITGI 2007b) muito til quando estamos tratando das
medies para o gerenciamento dos processos e servios. Para este modelo, os
objetivos e mtricas so definidos em trs nveis:
Objetivos e mtricas que definem o que os negcios esperam de
TI.
Objetivos e mtricas dos processos que definem o que os processos de
TI precisam entregar para apoiar os objetivos de TI.
Objetivos e mtricas de atividades que estabelecem o que precisa
acontecer dentro do processo para atingir o desempenho requerido.

De acordo com este modelo, existe uma cadeia de relacionamentos entre


os objetivos do negcio e os objetivos de TI, dos objetivos de TI para os objetivos do processo e, por fim, dos objetivos do processo para as atividades. A
Figura 3.38 representa essa cadeia de relacionamentos.
O CobiT trabalha com dois tipos de indicadores: as medidas de resultados (que indicam se os resultados foram alcanados, tambm conhecidos
como lag indicators) e as medidas de ndice de desempenho (que indicam
se os objetivos podero ser alcanados, tambm conhecidos como lead indicators).

148 Implantando a Governana de TI 3 edio

As Figuras 3.39 e 3.40 mostram, respectivamente, exemplos de medidas


de resultados e medidas de desempenho. Como pode ser observado na Figura
3.40, as medidas de resultado de um nvel inferior so medidas de desempenho para o nvel imediatamente superior.

Figura 3.38 Relacionamento entre objetivos de negcio, de TI e de processo


Fonte: ITGI (2007b)

Figura 3.39 Exemplo de medies para objetivos de negcio, de TI, de processo e atividades
Fonte: ITGI (2007b)

O esquema de medies dos processos, conforme este modelo, pode ser


entendido pela Figura 3.40 a seguir.
A Figura 3.41, por sua vez, mostra o relacionamento entre objetivos de
negcio, TI, processos e atividades, sendo que o CobiT no prope medies
para o negcio.

O Modelo de Governana de TI 149

Lembramos ao leitor que os processos e servios que devem ser mensurados


so aqueles considerados crticos, tendo em vista o alinhamento estratgico.
Isto significa dizer que o seu modelo de governana no necessita abranger,
num primeiro momento, todos os processos de TI preconizados pelo CobiT,
conforme mostra a tabela 3.13 (o modelo CobiT detalhado mais adiante,
no Captulo 6 deste livro).

Figura 3.40 Esquema de medies de processos


Fonte: ITGI (2007b)

150 Implantando a Governana de TI 3 edio

Objetivo de Negcio

Objetivo de TI

Objetivo de Processo

Objetivo de Atividades

Manter a reputao e
liderana da empresa

Assegurar que os
servios de TI podem
resistir e recuperar-se de
ataques

Detectar e solucionar
acessos no autorizados

Entender os
requerimentos de
segurana,
vulnerabilidades e
ameaas

medido por

medido por

Nmero de incidentes
que causaram
constrangimento pblico

Nmero real de incidentes


de TI com impactos no
negcio

Nmero real de incidentes


causados por acessos
no autorizados

Frequncia de revises
dos tipos de eventos de
segurana a serem
monitorados

Medidas de Resultados

Medidas de Resultados

Medidas de Resultados

Medidas de Resultados

Medidas de
negcios

Mtricas do
negcio

medido por

medido por

MEDIR REALIZAES

APRIMORAR E REALINHAR

DEFINIR OBJETIVOS

Indicadores de
desempenho

Medidas de
negcios

Mtricas do
negcio

Indicadores de
desempenho

Medidas de
negcios

Mtricas do
negcio

Indicadores de
desempenho

IDENTIFICAR O DESEMPENHO

Figura 3.41 Modelo de medies do CobiT


Fonte: ITGI (2007b)

Domnio
Planejar e organizar

Processos de TI
PO1 Definir um plano estratgico de TI
PO2 Definir a arquitetura da informao
PO3 Determinar o direcionamento tecnolgico
PO4 Definir os processos, a organizao e os relacionamentos de TI
PO5 Gerenciar o investimento de TI
PO6 Comunicar as diretrizes e expectativas da Diretoria
PO7 Gerenciar os recursos humanos de TI
PO8 Gerenciar a qualidade
PO9 Avaliar e gerenciar os riscos de TI
PO10 Gerenciar projetos

O Modelo de Governana de TI 151

Domnio
Adquirir e implementar

Processos de TI
AI1 Identificar solues automatizadas
AI2 Adquirir e manter software aplicativo
AI3 Adquirir e manter infraestrutura de tecnologia
AI4 Habilitar operao e uso
AI5 Adquirir recursos de TI
AI6 Gerenciar mudanas
AI7 Instalar e homologar solues e mudanas

Entregar e suportar

DS1 Definir e gerenciar nveis de servios


DS2 Gerenciar servios de terceiros
DS3 Gerenciar capacidade e desempenho
DS4 Assegurar continuidade de servios
DS5 Assegurar a segurana dos servios
DS6 Identificar e alocar custos
DS7 Educar e treinar os usurios
DS8 Gerenciar a central de servios e os incidentes
DS9 Gerenciar a configurao
DS10 Gerenciar os problemas
DS11 Gerenciar os dados
DS12 Gerenciar o ambiente fsico
DS13 Gerenciar as operaes

Monitorar e avaliar

ME1 Monitorar e avaliar o desempenho


ME2 Monitorar e avaliar os controles internos
ME3 Assegurar conformidade com requisitos externos
ME4 Prover a Governana de TI
Tabela 3.13 Processos do CobiT
Fonte: ITGI (2007b)

Conforme vimos pelo modelo de medio do CobiT, cada processo j tem


definidos seus objetivos de TI, de processo e de atividades e suas respectivas

152 Implantando a Governana de TI 3 edio

mtricas. Desta forma, voc pode escolher a mtrica mais apropriada para
compor o seu dashboard de gesto de TI e tambm de Governana de TI (no
item 3.7, exploraremos as diferentes vises para a gesto e a Governana de TI
visando a construo de dashboards).
A Tabela 3.14 apresenta algumas mtricas de processos propostas pelo CobiT. Lembramos tambm que o CobiT tem, em um dos seus apndices, uma
tabela que mostra o relacionamento entre objetivos de negcio e os processos.
Desta forma, voc pode vincular os objetivos do negcio capturados na fase
de alinhamento estratgico com os processos mais importantes.
Processo

Objetivo de TI

Objetivo do
processo

Objetivo de
atividades

PO1 Definir um plano estratgico de TI


Objetivos

Responder aos
requisitos de negcio
em alinhamento com a
estratgia corporativa

Definies de como os
requisitos do negcio
so traduzidos em
ofertas de servios

Comprometimento da alta
direo e da direo do
negcio no alinhamento do
planejamento estratgico
de TI com as necessidades
atuais e futuras

Mtricas

Grau de aprovao dos


gestores de unidades de
negcio em relao aos
planos estratgico/tticos

% de objetivos de TI
no plano de TI que
sustentam objetivos
estratgicos do negcio

% de reunies de
planejamento estratgico de
TI que representantes de
negcio participaram

DS3 Gerenciar capacidade e desempenho


Objetivos

Garantia de que os
servios de TI estaro
disponveis conforme
necessrio

Atendimento aos
acordos de nveis de
servios

Planejamento e
fornecimento de capacidade
e disponibilidade de
sistemas

Mtricas

Quantidade de horas
perdidas pelos usurios
por ms devido
ao planejamento
insuficiente de
capacidade

% de picos onde a
capacidade foi excedida

Frequncia de previses de
desempenho e capacidade

Estabelecimento
de um plano de
contingncia de TI que
d sustentao aos
planos de continuidade
do negcio

Desenvolvimento,
manuteno e melhoria da
contingncia de TI

DS4 Assegurar continuidade de servios


Objetivos

Garantia que os
servios de TI estaro
disponveis conforme
necessrio

O Modelo de Governana de TI 153

Processo

Objetivo de TI

Objetivo do
processo

Objetivo de
atividades

Mtricas

Quantidade de horas
perdidas pelos usurios
por ms devido
ao planejamento
insuficiente de
capacidade

Quantidade de
processos crticos de
negcio dependentes
de TI e que no esto
cobertos pelo plano de
contingncia de TI

Frequncia de reviso do
plano de contingncia de TI

Tabela 3.14 Mtricas de processo

Outra medio importante para as atividades de Governana de TI a


maturidade dos processos. O CobiT tambm preconiza um modelo de maturidade com seis nveis:
Inexistente: onde o gerenciamento de processos no aplicado.
Inicial/ad-hoc: onde os processos so ad-hoc e desorganizados.
Repetvel/porm intuitivo: onde os processos seguem um caminho
padro.
Definido: onde os processos so documentados e comunicados.
Gerenciado e mensurvel: onde os processos so monitorados e medidos.
Otimizado: onde as boas prticas so seguidas e automatizadas.

A avaliao peridica da maturidade do processo pode indicar melhorias


cuja implantao no processo seja necessria, considerando o risco e o atendimento aos objetivos do negcio.
O estabelecimento de objetivos para os processos de TI e dos respectivos
nveis de maturidade (desejados ou necessrios), podem fazer parte da estratgia de TI derivada do BSC.

3.6.1.2 Medies para o gerenciamento dos nveis de servios


Outro conjunto de medies que, aos olhos dos executivos de negcio so
extremamente importantes, so os acordos de nveis de servios.
Alguns dos nveis de servios tpicos aos usurios so (a lista no se esgota aqui):
Disponibilidade de servios como e-mail.
Disponibilidade de aplicaes corporativas.

154 Implantando a Governana de TI 3 edio

Disponibilidade de aplicaes na Internet.


Tempos de resoluo de incidentes.
Tempos de atendimento de chamados de servios.
Tempos de recuperao de servios.
Taxa de entrega de projetos no prazo.
Tempos de parada (downtime).
Tempos mdios de resposta para a resoluo de incidentes.
Tempos de reparao.
Eficincia do primeiro nvel de suporte.
Eficincia do segundo nvel de suporte.
% de backouts 18 relacionados com as mudanas.
Taxa de cumprimento do scheduling de processamento batch.
Taxa de cumprimento do scheduling de impresso.
Taxa de cumprimento do scheduling de backup.
Tempo de recuperao e restaurao de dados.
Taxa de cobertura da manuteno preventiva sobre os componentes
da infraestrutura.
Tempos mdios de resposta das aplicaes.
Quantidade de testes dos planos de continuidade de servios.
Percentual de cobertura da conscientizao para a segurana da informao dos recursos humanos (terceiros, fornecedores, parceiros).
Taxa de defeitos ps-release do software.

O valor numrico do nvel do servio um padro a ser mantido. No dia


a dia das operaes de servios torna-se o elemento que fornece o controle do
dia a dia, mais operacional.
O nvel de servio no um objetivo ou meta da TI. Entretanto, podemos ter
como meta passar de um nvel inferior para outro superior e expressar isto no plano de tecnologia ou no BSC.

18 Backouts so mudanas que retornam da produo por problemas de qualidade (falhas ou defeitos)

O Modelo de Governana de TI 155

O nvel de servio um compromisso que, uma vez assumido, tem que ser
proporcionado imediatamente para o cliente.
A fonte dos nveis de servios a serem gerenciados o catlogo de servios
definido na estratgia de servios.

3.6.1.3 Medies para o gerenciamento da estratgia (BSC)


As medies para o gerenciamento da estratgia constituem-se nos indicadores de resultado que demonstram o atendimento aos objetivos da estratgia
e aos indicadores de desempenho associados, expressos no IT BSC.
Geralmente, a estratgia foca em objetivos estratgicos, como mostrado no
IT BSC e reproduzido parcialmente abaixo.
Entregar projetos e servios no prazo.
Realizar economias de escala.
Padronizar arquiteturas.
Otimizar processos de TI.
Gerenciar a qualidade dos servios.
Fornecer servios com qualidade a custos competitivos.
Melhorar a produtividade das unidades de negcio.
Fornecer o suporte efetivo aos usurios.
Propor e entregar solues capacitadoras.
Entender a aplicao de tecnologias emergentes.
Entender a estratgia das unidades de negcio.
Atrair e reter pessoas com habilidades chaves.
Desenvolver carreiras.
Promover cultura de inovao, etc.

Para cada objetivo estratgico, podem ser definidos indicadores de resultados com os seus indicadores de desempenho.
As medies da estratgia so empregadas para o gerenciamento da estratgia. No exemplo dado na Tabela 3.15, para atingir um aumento da entrega
de prazos, so necessrias trs iniciativas. Reproduzimos a seguir esta tabela
de forma parcial.

156 Implantando a Governana de TI 3 edio

No objetivo de entregar no prazo, por exemplo, 70% dos projetos, somente


poder ser observado se as metas de resultados das iniciativas forem atingidas.
Objetivo
estratgico

Meta de
resultado

Meta de
desempenho

Implantar processo de
estimativa

50% dos projetos crticos


empregaram o novo mtodo de
estimativa at dezembro 2011.

25% dos projetos com o novo


processo at junho de 2011.

Implantar processo de
gesto de requisitos.

80% dos projetos com


processo de gesto de
requisitos at dezembro 2011.

40% dos projetos com


processo de gesto de
requisitos at junho de 2011.
60% dos projetos at
setembro de 2011.

Implantar processo
de gerenciamento de
projetos

100% dos projetos usam o


processo de gesto de projetos
at dezembro de 2011.

30% dos projetos at maro


de 2011;
60% at junho de 2011.

Iniciativas

Entregar no
prazo

Tabela 3.15 Metas de resultado e de desempenho

3.6.1.4 Medies para o gerenciamento de projetos


As medies para o gerenciamento de projetos so bem definidas pelas
publicaes do Project Management Institute:
Curva S, que mostra o progresso contra o tempo, refletindo a quantidade de trabalho at a data. A Figura 3.42 mostra uma curva S.
Acompanhamento da Curva S do Projeto - Frente Gesto de Projetos
120,00%

100,00%

0,97

0,95

0,98

0,93

0,87
0,86

80,00%

0,98

0,89

0,80

60,00%
0,56
0,45

40,00%

Planejado

Entregue

IAC

Figura 3.42 Exemplo de curva S

dez-10

nov-10

out-10

set-10

ago-10

jul-10

jun-10

abr-10

mar-10

fev-10

0,00%

mai-10

20,00%

O Modelo de Governana de TI 157

Indicadores de EVM Earned Value Management. A Tabela 3.16


mostra os principais indicadores de EVM.
Questes de gerenciamento de projetos

Medies de desempenho

Como estamos usando o tempo?

Anlise do cronograma e previso

Estamos atrasados ou adiantados?

Varincia do cronograma (Schedule variance)

Estamos usando o tempo de forma eficiente?

Indice de performance do cronograma (Schedule


performance index)

Quando, provavelmente, terminaremos o trabalho?

Estimativa de prazo ao tmino (Time estimate at


completion)

Como estamos lidando com o custo?

Anlise do custo e previso

Estamos abaixo ou acima do oramento?

Varincia do custo (Cost variance)

Estamos usando os recursos de forma eficiente?

ndice de desempenho do custo (Cost performance


index)

Como devemos, de forma eficiente, usar os


recursos restantes?

ndice de desempenho para completar (To complete


performance index)

Quanto o projeto provavelmente vai custar?

Estimativa ao trmino (Estimate at completion)

Estaremos abaixo ou acima do oramento?

Varincia ao trmino (Variance at completion)

Quanto vai custar o trabalho restante?

Estimativa ao trmino (Estimate at completion)

Tabela 3.16 Medies para o gerenciamento de projetos

Outros indicadores para o gerenciamento de projetos so: de qualidade


(no conformidades sobre itens avaliados), riscos (quantidade de riscos, impactos e probabilidades), quantidade de mudanas, etc.

3.6.1.5 Medies para o gerenciamento do portflio de TI


As medies para o gerenciamento do portflio de TI tm por objetivo verificar o balanceamento de recursos entre as categorias de projetos/programas,
servios e ativos.
Alguns tipos de medies sugeridas so:
Distribuio dos recursos oramentrios pelas categorias de projetos, servios e ativos do portflio: neste caso podemos verificar a
distribuio oramentria balanceada em funo das diretrizes estratgicas da TI e da organizao.

158 Implantando a Governana de TI 3 edio

Distribuio dos recursos oramentrios conforme a finalidade


do investimento (se para a estratgia da empresa, nova estratgia,
fbrica e obrigatrios): neste caso podemos ver se o montante de dinheiro est indo para a finalidade correta; por exemplo, supondo que
a organizao est numa fase de transformao e a maior parte do dinheiro est alocada para manuteno e atividades obrigatrias. Neste
caso, temos um problema.
Estatsticas bsicas sobre quantidade de projetos por categoria,
servios e ativos: esta volumetria importante para a TI saber como
anda a demanda por seus servios.
Indicadores consolidados sobre a execuo dos projetos e servios: aqui podemos ver por que alguns tipos de projetos e servios vo
melhor do que outros.
Estatsticas bsicas sobre a distribuio dos projetos, servios e
ativos por rea funcional da TI: informa a carga e concentrao
de projetos e servios por rea da TI; a questo se os recursos esto
alocados de forma equilibrada.
Estatsticas bsicas sobre a distribuio dos projetos, servios e
ativos por Unidade de Negcio da organizao: apoia a TI no sentido de mostrar quanto cada Unidade de Negcio est consumindo
de recursos da TI.
Distribuio dos recursos oramentrios por Unidade de Negcio, em funo dos projetos, servios e ativos: idem explicao
acima.
Distribuio dos recursos oramentrios por rea funcional da
TI: permite verificar se a distribuio oramentria est balanceada e
adequada.

Indicadores de alinhamento que fornecem informaes sobre a relao


dos projetos realizados fora do portflio de TI: esses tipos de indicadores so
extremamente importantes, pois mostra quo alinhada est a demanda em
relao aos objetivos estratgicos do negcio e da organizao. Quando mais
desalinhado, maior ser o problema para resolver.

O Modelo de Governana de TI 159

3.6.2 Medies

dos resultados para o negcio

As medies dos resultados para o negcio so vinculadas demonstrao


de valor da TI para o negcio, que um dos grandes problemas de comunicao da TI.
O valor da TI para o negcio percebido pelos executivos das unidades de
negcio da organizao quando a TI:
Mantm a disponibilidade das aplicaes e dos sistemas de acordo
com as necessidades do negcio.
Reduz o risco para o negcio (riscos operacionais e de compliance).
Garante a qualidade e consistncia dos servios do ponto de vista do
negcio.
Entrega projetos e servios no prazo, com qualidade e dentro da
janela de oportunidade do negcio (isto significa que no adianta
entregar no prazo um projeto que deveria ter sido feito h dois
anos).
Pode oferecer solues capacitadoras e diferenciadas para alavancar
novos negcios e negcios existentes, assim como reduzir custos operacionais, de forma proativa.

Entretanto, temos que vincular tudo isto a ganhos financeiros, o que no


uma tarefa fcil.
Alm disso, existe um debate muito grande sobre de quem a responsabilidade pela elaborao da anlise de investimentos, que tem a TI como um
dos seus componentes.
Conforme Hunter & Westerman (2009), no existem projetos de TI; na
realidade, todos os projetos so de negcios. Segundo esses autores, a TI deve
mudar a linguagem, como mostra a Tabela 3.17 a seguir.
No diga

Diga

Soluo de ERP

Transformao da manufatura

Disponibilidade da rede

Disponibilidade dos pontos de venda

Ciclo de vida de desenvolvimento de aplicaes

Ciclo de vida do desenvolvimento do produto

160 Implantando a Governana de TI 3 edio

No diga

Diga

Construir a infraestrutura de TI

Suportar o crescimento do negcio

Instalar o CRM

Capturar e manter clientes


Tabela 3.17 Comunicar o valor da TI

Em relao a esse debate, nossa posio pode ser entendida pela Tabela
3.18 abaixo.
Projeto/Servio/Soluo

Responsabilidades
Negcio

TI

Projetos de negcio onde a TI um


componente essencial.

O negcio tem a
responsabilidade pela anlise
de investimentos e avaliao
do resultado obtido.

TI apoia o negcio para a


anlise de investimentos, mas
a responsabilidade principal
do negcio.

Projetos de novas tecnologias ou


novas solues de TI propostos e
aceitos pelo negcio.

O negcio suporta a TI
forncendo informaes sobre
o negcio para a TI realizar a
anlise de investimentos.

A responsabilidade principal
pela anlise de investimentos e
avaliao de resultados da TI.

Projetos e solues especficas de


TI para a melhoria dos servios,
reduo de custos operacionais da TI
e otimizao da infraestrutura.

O negcio deve fornecer


parmetros para a TI
poder realizar a anlise de
investimento.

A TI tem a responsabilidade
principal pela anlise de
investimentos.

Disponibilidade dos servios.

O negcio deve fornecer


parmetros do negcio para a
TI poder realizar a anlise de
investimento.

A TI tem a responsabilidade
principal pela anlise de
investimentos.

Risco da TI.

O negcio deve fornecer


parmetros de perdas se um
risco interromper as operaes.

A TI, juntamente com a rea


de Gesto de Riscos, analisa
as perdas para o negcio
caso ocorrer um risco e pode
associar investimentos para a
mitigao dos riscos.

Tabela 3.18 Responsabilidades por elaborar anlises de investimento

A seguir, so dados alguns exemplos dos parmetros e da apurao do


retorno desses tipos de projetos/servios/solues. A Tabela 3.19 mostra
alguns exerccios recomendados para demonstrar o valor da TI para o
negcio.

O Modelo de Governana de TI 161

Todo esse raciocnio deve ser fruto de um Business Case que realize um
estudo para determinar os benefcios quantitativos e qualitativos de um investimento.
A sugesto que se faa o Business Case somente para investimentos relevantes e considerados estratgicos pela organizao.

3.6.3 Implantao

de sistema de gerenciamento de

desempenho

3.6.3.1 O processo de medio e anlise


O CMMI (SEI, 2010b) nos ajuda em muito para determinarmos um processo de medio e anlise.
A comunicao dos resultados dos indicadores no realizada somente
com a captura e a publicao no dashboard. Toda comunicao de resultados
requer que a captura seja administrada, que os resultados sejam analisados
e que as variaes nos resultados sejam entendidas e explicadas para ento
serem publicados.
Alm do mais, temos que ter formas de criar novos indicadores, especific-los e definir responsabilidades pela coleta, alm de determinar quem pode ter
acesso, quando as medies vo ser capturadas, que tipo de anlise deve ser
realizada e assim por diante.
O CMMI, em seu modelo, prope uma rea de Processo no seu nvel 2 de
maturidade denominada Medio e Anlise.
Tipo do Projeto /
Servio / Soluo
Projetos de negcio
onde a TI um
componente essencial

Exemplo
Implantao de um
sistema de fora de
vendas

Raciocnio para a Criao de Valor


No Business Case, temos que levantar a situao
atual de vendas sem o sistema e projetar o
aumento de receita depois do sistema implantado.
Essa diferena ser a entrada no fluxo de caixa.
Os gastos com a implantao so a sada do fluxo
de caixa. A taxa de retorno deve ser maior do que
taxa SELIC estabelecida pelo Conselho Monetrio
Nacional. No fluxo de caixa, deve ser demonstrado
quando o investimento se paga (payback) e quando
o ponto onde o montante de entrada de caixa
igual sada (breakeven).

162 Implantando a Governana de TI 3 edio

Tipo do Projeto /
Servio / Soluo

Exemplo

Raciocnio para a Criao de Valor

Projetos de novas
tecnologias ou novas
solues de TI,
propostos e aceitos pelo
negcio

Implantao de
um processo de
gerenciamento do
conhecimento

Aqui, temos que levantar perdas ocasionadas por


perda de conhecimento. Exemplo: um produto que
a organizao produzia no passado que comea
a ser demandado novamente, mas para o qual,
entretanto, a organizao perdeu as especificaes
ou frmulas e tem que desenvolver o produto
novamente do zero. Esse reinvestimento o valor
da perda.
O ganho ser evitar o reinvestimento novamente
para todos os produtos.

Projetos e solues
especficas de TI
para a melhoria dos
servios, reduo de
custos operacionais
da TI e otimizao da
infraestrutura

Implantao de um
novo processo de
desenvolvimento de
software, com o objetivo
de encurtar o ciclo de
desenvolvimento

Neste caso, o encurtamento do ciclo de


desenvolvimento poder gerar mais caixa, pois
os novos produtos/ servios do negcio podero
ter seus lanamentos antecipados. Se buscarmos
dados histricos de impossibilidade de antecipao
de lanamento face a atrasos na entrega,
poderemos ver o montante de dinheiro perdido no
passado.

Disponibilidade dos
servios

Aumento da
disponibilidade dos
sistemas que apoiam
um negcio

Neste caso, se aumentarmos a disponibilidade


ou proporcionarmos a disponibilidade necessria
no momento em que o negcio precisa, podemos
auxiliar o negcio a gerar mais caixa. Imaginemos
um negcio onde o final de semana representa a
maior parte da receita mensal. Se a disponibilidade
ruim e conseguirmos aument-la, estaremos
ajudando o negcio a gerar mais caixa.

Riscos da TI

Aqui podemos ter uma


srie de iniciativas com
o objetivo de reduzir o
negcio exposio ao
risco (probabilidade e
impacto de ocorrncia)

Suponha que atualmente a exposio ao risco19 de


um negcio, considerando todo o ciclo do processo,
100. Se, com as iniciativas de TI, conseguirmos
reduzir a exposio a 50, o ganho (entrada de
caixa no fluxo de caixa) ser de 50. bvio que as
iniciativas tm que dar o retorno desejado no prazo
estipulado.

Tabela 3.19 Raciocnio para a comunicao do valor19

Esta rea de Processo tem por objetivo desenvolver e sustentar a capacidade de


medies que utilizada para suportar as necessidades de gerenciamento de informaes.
A Figura 3.43 mostra um esquema dessa rea de processo, com foco nas
prticas das metas especficas do modelo20:
19 Exposio ao risco a probabilidade de perda financeira medida atravs da probabilidade de
ocorrncia do risco pela perda financeira no caso da ocorrncia do risco.
20 As reas de processo do CMMI so compostas por metas especficas (que so os processos em si) e
metas genricas (que so elementos capacitadores para que o processo possa ser executado).

O Modelo de Governana de TI 163

A seguir, fornecemos um extrato dos objetivos das prticas especficas do


CMMI.
Estabelecer os objetivos da medio: o objetivo da prtica estabelecer e manter os objetivos de medies que so derivados das necessidades e objetivos de informaes identificados.
Os objetivos de medies documentam os propsitos para os quais
as medies e anlises so feitas e especificam os tipos de aes que
podem ser tomadas com base nos resultados das anlises dos dados.
ALINHAR ATIVIDADES DE MEDIO E ANLISE
Estabelecer os objetivos da
medio

Especificar medies

Especificar procedimentos de
coleta e armazenamento de dados

Especificar procedimentos de
anlise

FORNECER OS RESULTADOS DAS MEDIES

Coletar dados das medies

Analisar dados das medies

Armazenar dados e resultados

Comunicar resultados

Figura 3.43 Processo de medio e anlise


Adaptado de: SEI (2010b)

As fontes para os objetivos de medies podem ser as necessidades


tcnicas e de gerenciamento do projeto, do produto ou de implementao do processo.
Os objetivos de medies podem ser restringidos pelos processos
existentes, recursos disponveis ou outras consideraes de medies. necessrio julgar se o valor dos resultados ser proporcional aos recursos dedicados a este trabalho.
Modificaes em necessidades e objetivos de informaes identificados podem, por sua vez, ser indicadas em consequncia do
processo e dos resultados das medies e anlises.

164 Implantando a Governana de TI 3 edio

Especificar as medies: o objetivo desta prtica especificar medidas para tratar os objetivos de medies.
Os objetivos de medies so refinados em medidas precisas e
quantificveis.
As medidas podem ser bsicas ou derivadas. Os dados para as
medidas bsicas so obtidos atravs de medio direta. Os dados
para medidas derivadas provm de outros dados, normalmente,
atravs da combinao de duas ou mais medidas bsicas.
As medidas derivadas normalmente so expressas como razes, ndices compostos e outras medidas de resumo agregadas. Elas so,
normalmente, mais confiveis quantitativamente e sua interpretao tem mais sentido que as medidas bsicas utilizadas para ger-las.
Especificar procedimentos de coleta e armazenamento de dados:
o objetivo desta prtica especificar como os dados de medies sero
obtidos e armazenados.
A especificao explcita de mtodos de coleta ajuda a assegurar
que os dados corretos esto sendo coletados de forma apropriada.
Ela tambm auxilia a esclarecer ainda mais as necessidades de informaes e os objetivos das medies.
A ateno apropriada aos procedimentos de armazenagem e recuperao ajuda a assegurar que os dados estaro disponveis e
acessveis para uso futuro.
Especificar os procedimentos de anlise: esta prtica tem por objetivo
especificar como os dados de medies sero analisados e comunicados.
Especificar antecipadamente os procedimentos de anlise assegura
que as anlises apropriadas sero executadas e comunicadas para
atender aos objetivos documentados das medies (e, portanto, s
necessidades e aos objetivos de informaes nos quais eles foram
baseados). Esta abordagem tambm garante uma conferncia para
verificar se os dados necessrios sero de fato coletados.
Coletar dados de medies: esta prtica tem por objetivo obter os
dados de medies especificados.
Os dados necessrios para a anlise so obtidos e conferidos quanto sua inteireza e integridade.
Analisar dados das medies: esta prtica tem por objetivo analisar
e interpretar os dados de medies.
Os dados de medies so analisados conforme planejado, as anlises adicionais so conduzidas conforme necessrio, os resultados

O Modelo de Governana de TI 165

so revisados com os stakeholders relevantes e revises necessrias


para anlises futuras so anotadas.
Armazenar os dados e os resultados: esta prtica tem por objetivo
gerenciar e armazenar os dados de medies, especificaes de medies e resultados de anlises.
Armazenar informaes relacionadas a medies possibilita o uso
futuro pontual e eficiente, em termos de custos, dos dados histricos e resultados. As informaes tambm so necessrias para
fornecer um contexto suficiente para a interpretao dos dados,
dos critrios de medies e dos resultados das anlises.
As informaes armazenadas normalmente incluem:
Planos de medies.
Especificaes de medidas.
Conjuntos de dados que foram coletados.
Relatrios de anlises e apresentaes.
As informaes armazenadas contm ou fazem referncia s informaes necessrias para entender e interpretar as medidas e
analis-las com relao motivao e aplicabilidade (por exemplo, especificaes de medies usadas em diferentes projetos para
a comparao entre projetos).
Conjuntos de dados para medidas derivadas normalmente podem ser recalculados e no precisam ser armazenados. Entretanto,
pode ser apropriado armazenar resumos baseados nas medidas derivadas (por exemplo, grficos, tabelas de resultados ou relatrios
descritivos).
Resultados intermedirios das anlises no precisam ser armazenados separadamente, se puderem ser eficientemente reconstrudos.
Comunicar resultados: esta prtica tem por objetivo relatar os resultados das atividades de medies e anlises para todos os stakeholders
relevantes.
Os resultados do processo de medies e anlises so comunicados aos stakeholders relevantes, de uma maneira pontual e fcil de
utilizar, para suportar a tomada de decises e auxiliar na tomada
das aes corretivas.
Os stakeholders relevantes incluem os usurios pretendidos, patrocinadores, analistas e fornecedores de dados.

166 Implantando a Governana de TI 3 edio

Avisamos o leitor que, sem um processo definido para o sistema de gerenciamento do desempenho, mesmo mais simplificado do que este aqui descrito, qualquer esforo de medio estar fadado ao fracasso.

3.6.3.2 O mtodo de identificao de indicadores


Outro componente importante do gerenciamento do desempenho o mtodo para a identificao ou descoberta dos indicadores requeridos.
Uma boa alternativa metodolgica para a criao e manuteno dos indicadores nos dada pelo mtodo Goal Question Indicators Method, desenvolvido por Robert Park e colegas do Software Engineering Institute da Carnegie
Mellon University (vide Park, 1996).
Este mtodo, embora inicialmente tenha sido desenvolvido para atender processos relacionados a software, consistente para aplicao em outros domnios.
O mtodo parte de trs premissas:
Objetivos de medio so derivados de objetivos de negcio.
Modelos mentais fornecem o contexto e o foco para a medio.
O mtodo traduz metas informais em estruturas de medio executveis.
O mtodo composto por dez etapas:
Identificao dos objetivos do negcio.
Identificao do que se deseja aprender.
Identificao de subobjetivos.
Identificao de entidades e atributos relacionados aos subobjetivos.
Formalizao dos objetivos da medio.
Identificao de questes quantificveis e dos indicadores relacionados.
Identificao de elementos de dados que devem ser coletados para
construir os indicadores.
Definio das medies a serem usadas em termos operacionais.
Identificao das aes que devem ser tomadas para a implantao
das medies.
Preparao de um plano para a implantao das medies.

O Modelo de Governana de TI 167

A Figura 3.44 apresenta o esquema geral do mtodo.


Outra abordagem que merece ser estudada a proposta dada pelo Practical Software Measurement (vide McGarry et ali. 2002).
Independentemente de qualquer abordagem, importante, na criao dos
indicadores, definir o que chamamos de metadados dos indicadores, que
so todas as informaes necessrias sobre o indicador que est sendo criado
e que podem ser reutilizadas para outros fins (diversos processos e projetos).

Modelo Mental

Objetivos do
Negcio

< o processo >

O que desejamos
atingir?
recebe
Para fazer
precisamos de... ?

Consiste em

produz

Mantm

2
O que eu
quero saber ?

entidades

entidades

entidades

3
Subobjetivos
atributos
Objetivos da Medio

Questes

atributos

G1

atributos

G2

Q1

Q2

I1

I2

Q3

6
Indicadores

Medies

Definies

M1

I3

M1

M1

9
Checklist de Definio

Regras Suplementares

I4

Anlise e
Diagnsticos

10
Plano de
Implementao
Metas
Escopo
Atividades
..........

Figura 3.44 Modelo de processo para selecionar indicadores


Adaptado de Park (1996)

168 Implantando a Governana de TI 3 edio

A Figura 3.45 apresenta o contedo de um conjunto de metadados de indicadores de produtividade do desenvolvimento de software.

Contagem
manual

MEDIO DO TAMANHO
DO
SOFTWARE
Em Pontos de Funo

FRMULA
Ponto de Funo por Homem/
Ms

Folha
de
Tempo

Sistema

Metadados de Medies









identificador da
medio;
nome da medio;
indicadores
relacionados;
elementos de dados;
fonte dos dados;
se manual ou
automatizada;
quando os elementos
de dados devem estar
disponveis;

INDICADOR DE
PRODUTIVIDADE DO
DESENVOLVIMENTO DO
SOFTWARE

MEDIO DO ESFORO
DE DESENVOLVIMENTO
DO SOFTWARE
Em homens/ms








definio
operacional da
medio;
regras de coleta e
aramazenamento;
responsabilidades;
requisitos de
segurana dos
dados;
quando a medio
deve ser gerada;
tamanho da srie
histrica;
regras de reteno
dos dados.

Metadados de
Indicadores










identificador do
indicador;
nome do indicador;
objetivos de medio
relacionados;
medies bsicas;
indicadores derivados;
frmula do indicador;
regra de anualizao do
resultado do indicador;
regras de coleta e
armazenamento;
forma de apresentao
do resultado;










modelo de gesto que


apoia;
timeline do indicador;
interpretao dos
resultados;
responsabilidades;
requisitos de segurana
dos dados;
verificao de causa e
efeito;
tamanho da srie
histrica;
regras de reteno dos
dados.

Figura 3.45 Exemplos de metadados de indicadores21

Os metadados dos indicadores equivalem especificao das medies.

3.6.3.3 O projeto de implantao do sistema de gerenciamento de


desempenho
3.6.3.3.1 Caractersticas de projetos de gerenciamento de desempenho
A implantao de um Sistema de Gerenciamento de Desempenho um
projeto que ir depender de vrios fatores: tcnicos, organizacionais, comportamentais e individuais referentes aos gestores. Estes ltimos fatores
21 Ponto de funo uma mtrica de tamanho do software, de acordo com as funcionalidades
identificadas do ponto de vista do usurio e conforme as caractersticas dos requisitos no funcionais.
Esta mtrica mantida pelo International Function Point Users Group (www.ifpug.org).

O Modelo de Governana de TI 169

so de suma importncia, pois, quando se trata de sistemas de informaes gerenciais, h muita dependncia da caracterstica de cada tomador
de deciso. Alguns gostam de detalhes e so centralizadores, outros gostam de ver a figura como um todo, em nvel mais elevado. Este aspecto
tem um tremendo impacto na forma como desenhamos e comunicamos
os resultados.
Os principais entregveis deste projeto so:
O processo de medio e anlise.
A capacitao de pessoal para a operao do processo e realizao de
anlises e comunicao de resultados.
Os metadados de indicadores.
Interfaces com sistemas de monitoramento e controle de TI.
O dashboard de Governana de TI.
O plano de gerenciamento da mudana organizacional.

Um projeto dessa natureza requer uma estratgia particular, pois muitos


indicadores dependem de processos e controles que no existem ainda e
h, geralmente, grande resistncia por parte das reas de TI em fornecer
informaes, o que requer uma estratgia de gerenciamento da mudana
organizacional.
Alm do mais, existe a questo da qualidade da informao, que depende
das definies operacionais de cada medio a ser utilizada para formar o
dashboard, assim como a questo da viabilidade de obter as medies. s vezes, o custo de implantar um controle to grande que no compensa obter
a medio. Voc ir encontrar situaes onde a captura da informao mais
vivel se obtida de forma manual.
Outro aspecto importante que, em determinado momento do projeto,
dever que ser decidido quem ser o canal oficial de comunicao de resultados sobre a Governana de TI na rea de TI (o mesmo vale se estivermos
pensando em construir um dashboard mais abrangente para o gerenciamento
da TI). A determinao do canal oficial de comunicao serve para evitar
duplicidade de comunicao e tambm que informaes conflitantes sobre o
mesmo resultado possam desvirtuar o processo.

170 Implantando a Governana de TI 3 edio

Portanto, as informaes comunicadas por esse canal oficial so as


que iro valer para fins de tomada de deciso. E isto naturalmente depender fortemente do compromisso do executivo responsvel pela rea
de TI.
A implantao do dashboard evolutiva, pois voc certamente no conseguir implantar tudo de uma vez s. Ento a estratgia mais indicada
comear por um conjunto pequeno de indicadores que, de preferncia, sejam
vitais. No adianta tambm comunicar resultados se no h ao gerencial
como decorrncia, pois o pessoal que fornece as informaes ir comear a
questionar o porqu do esforo de coleta de medies, se ningum est usando as informaes. Assim, a credibilidade da iniciativa comear a ser questionada e poder ser interrompida.
Entretanto, mesmo que voc j saiba de antemo de quais indicadores voc
necessita para a Governana de TI, voc ainda depende da viso de quem ir
receber a informao e tomar decises com ela. Como falamos no incio deste
captulo, sistemas de informaes gerenciais dependem fortemente das caractersticas individuais dos tomadores de deciso.
O ideal comear atravs de um prottipo, mostrando quem vai usar a
informao. Pode at ocorrer mais de um ciclo de prototipao at que os requisitos estejam estabilizados. Faa, porm, um prottipo funcional e esquea
do PowerPoint. Empregue, para tanto, ferramentas de BI de fcil utilizao.
Neste momento, voc no pode depender fortemente do pessoal de desenvolvimento de sistemas.
3.6.3.3.2 As etapas de um projeto de gerenciamento de desempenho
Em seu trabalho Performance Management Strategies: how to create and
deploy effective metrics (TDWI Best Practices Report), Wayne W. Eckerson
(2009) prope a seguinte abordagem para a construo de um dashboard de
desempenho:
Antes de iniciar o projeto:
Estabelecer a estratgia.
Obter patrocnio adequado para o projeto.
Definir uma metodologia.

O Modelo de Governana de TI 171

Definir equipe e escopo do projeto.


Durante o projeto:
Definir requisitos.
Priorizar e normalizar (elaborar os metadados dos indicadores).
Coletar os dados.
Desenvolver o dashboard.
Depois do projeto:
Fazer propaganda do projeto.
Monitorar e revisar os indicadores de desempenho.
Governar o processo.
Fornecer coaching para gerentes e usurios.

A jornada para a implantao de um dashboard de TI segue a sequncia


mostrada pela Figura 3.46, considerando uma estratgia evolutiva.
3.6.3.3.3 Caractersticas de um bom dashboard
De acordo com Eckerson (2009), um dashboard de desempenho faz o encapsulamento de mtricas de desempenho em camadas e por sistemas de comunicao visual que permite aos usurios mensurar, monitorar e gerenciar
a eficcia de suas tticas e seu progresso em direo a objetivos estratgicos.
Um dashboard de desempenho pode consistir de um ou mais dashboards,
scorecards, relatrios e ferramentas analticas que processam um conjunto comum de dados e mtricas. Coletivamente, permitem aos usurios identificar
problemas e oportunidades, colaborar sobre abordagens, tomar aes e ajustar
planos e metas quando necessrio.
Cada dashboard de desempenho emprega um subconjunto de componentes que so mostrados em cada nvel da arquitetura tcnica, com base nas
mtricas e nos objetivos estratgicos que apoia.
Os dashboards normalmente so compostos por:
Estruturas grficas.
Estruturas de medidores.
Informaes complementares (tabelas, textos explicativos, etc.).

172 Implantando a Governana de TI 3 edio

PLANEJAMENTO
DO PROJETO

Plano do projeto
Plano de recursos
Plano de comunicao
Plano da qualidade
Plano de comunicao
Seleo da tecnologia

CICLO 1

CICLO 2

CICLO N

Identificao de
necessidades das partes
interessadas

Reviso das
necessidades das partes
interessadas

Reviso das
necessidades das partes
interessadas

Elaborao do modelo de
dashboard objetivo

Anlise de viabilidade de
implantao de novos
indicadores

Anlise de viabilidade de
implantao de novos
indicadores

Elaborao de prottipos

Elaborao de prottipos

Implantao do
dashboard (ciclo 2)

Implantao do
dashboard (ciclo n)

Planejamento de
implantao de
indicadores para o ciclo
seguinte

Planejamento de
implantao de
indicadores para o ciclo
seguinte

Implantao de controles
para os indicadores do
ciclo seguinte

Implantao de controles
para os indicadores do
ciclo seguinte

Anlise de viabilidade de
implantao dos
indicadores
Elaborao de prottipos
Implantao do processo
de medio e anlise
Implantao do
dashboard (ciclo 1)
Planejamento de
implantao de
indicadores para o ciclo
seguinte
Implantao de controles
para os indicadores do
ciclo seguinte

Figura 3.46 Etapas de projeto de dashboard

Conforme documento da SQA Systems Quality Assurance (www.spinsp.


org.br), a Gesto do Desempenho procura viabilizar:
O desdobramento da estratgia da organizao.
A verificao do desempenho requerido, em funo de objetivos e
metas.
O estabelecimento de metas de desempenho.
O monitoramento das metas.
O monitoramento do nvel de desempenho.

Mark D. Lutchen (2003), em seu livro Managing IT as a Business, afirma


que os indicadores de TI devem ser:
Focados em valor.
Baseados em desempenho.
Orientados para a melhoria, no somente sobre produo.

O Modelo de Governana de TI 173

Ainda de acordo com este autor, os indicadores de TI devem ajudar


na identificao de causas razes e orientar a tomada de aes especficas
e comportamentos na organizao de TI, alm de promover esforos cooperativos entre a TI e o negcio, devendo conter as seguintes propriedades:
Devem ser relevantes.
Devem ser prticos, no sentido de medir aquilo que interessa.
Devem subsidiar a ao prtica.
Devem ser comunicados.
Devem ter proprietrios.

Mark T. Czarnecki (1999), em seu livro Managing by Measuring, por sua


vez, define os seguintes atributos para indicadores de desempenho:
So simples e fceis de ser entendidos.
Tm significado para os interessados ou stakeholders.
So claramente definidos.
So econmicos para serem coletados.
So verificveis.
So mensurveis.
So repetveis.
Divulgam uma mensagem consistente com os valores, metas e objetivos da organizao.
Podem demonstrar uma tendncia.
Dirigem as aes corretas.
Atingem o seu propsito.

174 Implantando a Governana de TI 3 edio

A Tabela 3.20, a seguir, apresenta, de acordo com Wayne W. Eckerson


(2009), os tipos de dashboards de desempenho:
Estratgico

Ttico

Operacional

Foco:

Estratgia executiva

Otimizao de processo

Controle de operaes

Uso:

Gerencial

Anlise

Monitoramento

Usurios:

Executivos

Gerentes

Tcnicos

Escopo:

Empresa

Departamental

Operacional

Mtricas:

Indicadores de
resultados

Indicadores de resultado
e de progresso

Indicadores de progresso

Dados:

Sumarizados

Detalhados e
sumarizados

Detalhados

Fontes:

Manual, externa

Manual/sistemas centrais

Sistemas centrais

Ciclo de atualizao:

Mensal / trimestral

Dirio / semanal

Durante o dia

Parecido com:

Um scorecard

Portal

Dashboard

Tabela 3.20 Tipos de dashboards


Adaptado de Eckerson (2009)

Finalizando a conceituao deste autor, as principais caractersticas de


dashboards de desempenho eficazes so:
Quanto menos KPIs, melhor.
Deve ter a capacidade de levar o usurio ao detalhe.
Os usurios devem entender para que servem os indicadores.
O usurio sabe como o resultado dos indicadores afeta o resultado
do negcio.
Os indicadores tm um dono.
O usurio tem que perceber que a informao acurada, entendendo
as fontes da informao, como ela calculada, etc.
Deve permitir que o usurio monitore continuamente o impacto dos
indicadores e faa correlaes.

O Modelo de Governana de TI 175

Deve ter indicadores financeiros e no financeiros, que demonstrem o balanceamento entre atividades, por exemplo, uma meta
de produtividade colocada, porm a qualidade no medida
concomitantemente.
Os indicadores no podem mascarar outros indicadores.
Os indicadores devem ser validados por todos os interessados
envolvidos.

Outra classificao de tipos de dashboards nos dada por Stephen Few


(2006). Segundo este autor, os tipos de dashboards so:
Para propsitos estratgicos: fornecem informaes sumarizadas que os tomadores de deciso necessitam para monitorar a
sade e oportunidades de negcios. Focam em medies de alto
nvel de desempenho, incluindo previses e comparaes com
metas ou avaliadores de desempenho simples (tais como bom
ou ruim). No necessitam de medies em tempo real. No
so projetados para interaes requeridas para anlises mais detalhadas.
Para propsitos analticos: requerem uma abordagem diferente de
projeto. Nesses dashboards, a informao demanda grande contexto, com muitas comparaes, histria mais detalhada, avaliadores de
desempenho e visualizao de relacionamentos. Suportam interaes
com os dados, com capacidade de drill-down.
Para propsitos operacionais: so utilizados para monitorar operaes e devem ser projetados diferentemente daqueles que suportam os propsitos estratgicos e analticos. Geralmente so aplicados para monitoramento de eventos e ao imediata no caso de
desvios.

176 Implantando a Governana de TI 3 edio

A Figura 3.47 abaixo apresenta um exemplo de um dashboard.

Figura 3.47 Exemplo de um dashboard

3.6.4 Gesto

do desempenho da

TI

O monitoramento do desempenho ocorre quando o resultado atingido


comparado com os resultados esperados, a intervalos regulares. Este monitoramento deve responder as seguintes perguntas:
Qual o nosso desempenho atual?
H diferenas entre o realizado e o previsto?
O que est causando desvios?
Qual a tendncia do desempenho?
Como estamos em relao a referenciais de mercado (benchmarking)?

O Modelo de Governana de TI 177

Quais eventos causam variao positiva ou negativa no desempenho?


Qual o padro de desempenho?

A Figura 3.48 demonstra esses conceitos.


Nveis de
Desempenho
Benchmarking
Objetivo de Desempenho
SLAs, OLAs ou UCs

Tendncia

Padro de Desempenho

Evento

Tempo

Figura 3.48 Padro de desempenho e informaes comparativas

O modelo de Governana de TI aqui proposto compreende a gesto do


desempenho:
dos processos e servios de TI.
dos nveis de servios.
da estratgia de TI.
de projetos.
do Portflio de TI.
do valor da TI para o negcio.

178 Implantando a Governana de TI 3 edio

A gesto do desempenho dos processos e servios visa verificar se o objetivo de TI foi atendido conforme planejado e entender os motivos da
variao positiva ou negativa. Uma vez que se conheam as causas de variao negativa, aes corretivas, preventivas ou de melhorias no processo
devem ser recomendadas, monitoradas e implantadas. Em um momento
posterior, o efeito dessas aes deve ser avaliado para verificar se geraram o
resultado esperado.
A gesto do desempenho dos nveis de servios visa monitorar continuamente o atendimento aos acordos de nveis de servios. No caso de nveis de servios
de disponibilidade e capacidade, isto deve ser feito em tempo real. No caso do
no atendimento, ou seja, se o desempenho do servio estiver abaixo do nvel
acordado, aes de recuperao devem ser realizadas imediatamente. Caso haja
grande frequncia de no atendimento aos nveis de servios, aes corretivas,
preventivas e de melhorias nos processos que apoiam o servio devem ser recomendadas, monitoradas e implantadas. Aqui tambm, em um momento posterior, o efeito dessas aes deve ser avaliado para verificar se geraram o resultado
esperado. Se esse resultado no foi obtido, novas aes devem ser tentadas.
A gesto do desempenho da estratgia da TI visa monitorar os indicadores de
progresso, avaliar se os indicadores de resultados foram alcanados e verificar o
efeito final no objetivo estratgico estabelecido no BSC. Por exemplo, se o objetivo estratgico de entrega no prazo elevar de 80% para 90%, devemos avaliar se este objetivo foi alcanado atravs das iniciativas determinadas (no BSC)
para atend-lo. O monitoramento dos indicadores de progresso permite avaliar
se os objetivos resultantes de cada iniciativa podero ser atingidos. Caso seja
concludo que o objetivo resultante de cada iniciativa no poder ser atingido,
deve-se iniciar uma ao corretiva, de forma a recuperar o projeto da iniciativa.
Neste caso, as aes de melhoria podero ocorrer em um novo ciclo de
planejamento de TI.
A gesto do desempenho de projeto visa verificar se o progresso, o custo,
a qualidade e o escopo esto conforme o planejado. Caso haja variao negativa, deve-se iniciar aes de recuperao, de preveno e de melhorias, de
forma a entregar o produto resultante do projeto de acordo com os requisitos
tcnicos e no tcnicos.
A gesto do desempenho do Portflio de TI serve para avaliar indicadores
resultantes sobre a razo de projetos previstos que foram entregues (por uni-

O Modelo de Governana de TI 179

dade da TI, por unidade de negcio), sobre o objetivo do cumprimento do


oramento e sobre o retorno de investimento agregado esperado pelo conjunto de projetos. As causas dos desvios devem ser analisadas e aes de melhoria
devem ser projetadas, monitoradas e implantadas. A gesto do desempenho
do portflio realizada medida que cada projeto entregue, no controle
mensal da execuo oramentria e na avaliao de retorno de investimento,
algum tempo depois do trmino de cada projeto.
A gesto do desempenho do valor da TI para o negcio visa avaliar se os
objetivos de retorno do investimento (benefcios monetrios e no monetrios) do projeto foram atingidos. s vezes, esta avaliao somente pode ser
feita meses depois do trmino do projeto. Caso os objetivos no tenham sido
atingidos, deve-se identificar o porqu e colher lies aprendidas para melhorar as prximas anlises de investimento. Dessas lies aprendidas podero
surgir recomendaes de melhoria de processos de TI.

3.7 A

comunicao

A comunicao crtica para a Governana de TI e para a gesto de TI de


uma forma geral.
Geralmente, as reas de TI sofrem o problema de credibilidade perante as
unidades de negcio. Portanto, a comunicao, alm de ser imperativa para a
tomada de deciso, tambm um meio da TI fazer o seu marketing e mudar
essa percepo.
A forma mais eficiente de comunicao do desempenho um dashboard
que permita ao executivo consultar e entender, de forma rpida, o desempenho da TI.
Entretanto, h pblicos diferentes com interesses tambm distintos.
Os executivos de negcio esto preocupados com informaes sobre Retorno do Investimento, nveis de servios, benefcios dos projetos e servios
ao negcio, produtividade da TI, informaes sobre tratamento de incidentes
crticos e status de projetos prioritrios.
A Governana de TI, por sua vez, preocupa-se com temas como ndices de
satisfao dos clientes e usurios, acordos de nveis de servios, gerenciamento
da estratgia, monitoramento de projetos estratgicos, alinhamento estratgico,

180 Implantando a Governana de TI 3 edio

nveis de maturidade dos processos de TI, riscos e compliance, indicadores de


incidentes, continuidade da TI, formao de recursos, qualidade dos fornecedores, indicadores do portflio de TI, valor da TI para o negcio, etc. As informaes tratadas pela Governana de TI esto relacionadas sua funo, que
promover o alinhamento da TI ao negcio, a compliance, o gerenciamento de
riscos, o monitoramento da entrega de valor, o desempenho e a comunicao.
Com grande frequncia, em funo da natureza do trabalho da Governana de TI, preciso identificar indicadores que sero usados uma vez s, para
permitir anlises de causas de variao em desempenho. Esses indicadores
podem fazer parte de uma base de conhecimento; entretanto, no estaro
presentes no dashboard.
Os executivos de cada rea funcional da TI tm preocupaes estratgicas e
tticas tais como gerenciamento dos nveis de servios, incidentes e problemas,
oramento, o gerenciamento da sua estratgia, recursos humanos, fornecedores, demanda, custos, produtividade, qualidade, inovao e processos, etc.
Por fim, o principal executivo de TI deve estar preocupado com todos esses
temas.
Portanto, ao definir a comunicao dos resultados da TI para si mesma e para
o negcio, a TI deve identificar as necessidades das partes interessadas e as caractersticas individuais de cada tomador de deciso. Alguns gostam da figura em
alto nvel, outros desejam maiores detalhes (ou seja, mais drill-down no sistema).
Teoricamente, poderamos ter um dashboard para a gesto da TI, um dashboard para a Governana de TI e outro para os executivos de TI. Portanto,
antes de inciar o projeto, temos que nos perguntar qual dashboard iremos
construir, para quem e com qual finalidade.
O que devemos comunicar, ento, em cada dashboard? Nossa proposio
est a seguir.
Para os executivos de negcio:
Tipo do dashboard: eminentemente estratgico. O gestor cliente da
TI provavelmente no necessitar de informaes analticas, pois
no far anlises. Pode ocorrer que queiram saber os motivos de desvios, e neste caso haver a necessidade de haver alguns drill-downs.
Vises: acreditamos que aqui no so necessrias vises do tipo
BSC.

O Modelo de Governana de TI 181

Dashboard de TI para o executivo de negcios


Temas principais de interesse

Indicadores/informaes

Criao de valor

Retorno do investimento do projeto, atendimento a metas de


negcios e outros benefcios qualitativos.

Acordos de nveis de servios

Disponibilidade de aplicaes e servios para o negcio.

Produtividade da TI

Oramento de TI / Oramento da organizao.


Oramento de TI / headcount de TI.

Inovao da TI

Investimento em inovao de TI no negcio.

Incidentes crticos

Informaes para acompanhamento das resolues.


Frequncia de incidentes por categoria.

Continuidade do negcio

ndice de negcios com plano de continuidade testado e


mantido.

Riscos da TI para o negcio

Principais riscos de TI para o negcio (probabilidade e


impacto).
Montante de exposio ao risco.

Projetos prioritrios

Curva S do projeto.
Status do projeto.

Oramento

ndice de cumprimento do oramento de TI para a unidade


de negcio.

Demanda

Indicadores da demanda de projetos e servios da TI para o


negcio.
% do backlog em relao demanda total.
Tabela 3.21 Temas e indicadores para o dashboard dos executivos de negcio

Para a Governana de TI:


Tipo do dashboard: eminentemente estratgico e analtico. A Governana de TI pode ter outros nveis de dashboard, em virtude
de que vai necessitar elaborar anlises mais apuradas para identificar e entender causas de desvios, de forma que possa recomendar
aes corretivas, preventivas e melhorias.
Vises: Acreditamos que aqui so necessrias vises de BSC, assim
como capacidade de drill-downs, tendo em vista a necessidade de
anlise.

182 Implantando a Governana de TI 3 edio

Dashboard para Governana de TI


Temas principais de interesse

Indicadores/informaes

Criao de valor

Retorno do investimento do projeto, atendimento a metas de


negcios e outros benefcios qualitativos.

Alinhamento de TI

Cumprimento das demandas no portflio de TI.


Indicadores de resultados e de progresso do BSC.

Satisfao dos clientes e usurios

ndice de satisfao dos clientes e usurios por servio.

Excelncia operacional e nveis de


servios

Disponibilidade de aplicaes e servios de TI.


Eficincia do atendimento e suporte aos usurios.
Entrega de projetos nos prazos acordados com os gestores.
Produtividade da TI.
ndices de qualidade do desenvolvimento.
ndices de qualidade dos servios de TI.
Custos dos servios.

Compliance

ndice de conformidade com regulamentos internos e


externos.
ndice de conformidade da avaliao independente.

Riscos da TI para o negcio

Principais riscos de TI para o negcio (probabilidade e


impacto).
Montante de exposio ao risco.

Projetos prioritrios de TI

Curva S do projeto.
Status do projeto.

Gerenciamento de recursos e portflio de


TI

ndice de cumprimento do oramento de TI para a unidade


de negcio.
Alocao de recursos pelo portflio de TI.
Disciplina oramentria.

Demanda

% do backlog em relao demanda total.

Potencial de futuro

Indicadores de treinamento e capacitao do pessoal.


Pessoal certificado.

Prontido

Indicadores de qualidade dos fornecedores.


Capacidade de recursos computacionais para a expanso do
negcio.
Maturidade dos processos de TI.
Razo terceiros sobre o total de pessoal empregado.

Inovao

Indicadores de inovao para os processos de negcio.


Indicadores de inovao tecnolgica.
Inovao em TI.
Tabela 3.22 Temas e indicadores para o dashboard de Governana de TI

O Modelo de Governana de TI 183

Numa viso de BSC, o dashboard para a Governana de TI ficaria assim:


Perspectiva do BSC

Indicadores

Contribuio ao negcio

Retorno do investimento do projeto, atendimento a metas de negcios e


outros benefcios qualitativos.
Cumprimento das demandas no portflio de TI.
Disciplina oramentria.
Exposio ao risco do negcio.
Principais riscos de TI.
Projetos prioritrios do negcio.

Orientao ao cliente / usurio

Indice de satisfao dos usurios.


Nveis de servios.
Custos dos servios.
Inovao no negcio.
% do backlog sobre a demanda total.

Excelncia operacional /
processos internos

Indicadores de resultados e de progresso do BSC.


Disponibilidade de aplicaes e servios de TI.
Eficincia do atendimento e suporte aos usurios.
Entrega de projetos nos prazos acordados com os gestores.
Produtividade da TI.
ndices de qualidade do desenvolvimento.
ndices de qualidade dos servios de TI.
Custos dos servios.
ndice de compliance com regulamentos internos e externos.
ndice de compliance com avaliao independente.
Projetos prioritrios de TI.

Potencial

Indicadores de treinamento e capacitao do pessoal.


Pessoal certificado.
Indicadores de qualidade dos fornecedores.
Capacidade de recursos computacionais para a expanso do negcio.
Maturidade dos processos de TI.
Quantidade de terceiros sobre o total de pessoal empregado.
Indicadores de inovao tecnolgica.
Inovao em TI.
Tabela 3.23 Indicadores da Governana de TI em uma perspectiva de BSC

Para os gestores de TI:


Tipo do dashboard: eminentemente estratgico e analtico, considerando seu nvel de interesse.
Vises: acreditamos que, aqui, so necessrias vises de BSC, assim
como capacidade de drill-downs, tendo em vista a necessidade de anlise. Entretanto, para o pessoal de monitoramento de eventos, principalmente em operaes, so necessrios dashboards operacionais.

184 Implantando a Governana de TI 3 edio

Enquanto a Governana de TI tem uma viso mais agregada, o dashboard dos gestores tem uma viso mais focada no seu nvel de atuao.
Dashboard para Gestores de TI
Temas principais de interesse

Indicadores/informaes

Criao de valor

Retorno do investimento do projeto, atendimento a metas de


negcios e outros benefcios qualitativos.

Alinhamento de TI

Indicadores de resultados e de progresso do BSC.

Satisfao dos clientes e usurios

ndice de satisfao dos clientes e usurios por servio.

Excelncia operacional e nveis de


servios

Disponibilidade de aplicaes e servios de TI.


Eficincia do atendimento e suporte aos usurios.
Entrega de projetos nos prazos acordados com os gestores.
Produtividade da TI.
ndices de qualidade do desenvolvimento.
ndices de qualidade dos servios de TI.
Custos dos servios.
Indicadores de incidentes e problemas.
Indicadores de segurana da informao.
Indicadores de desempenho de processos de TI.
Indicadores de recuperao de servios.
Indicadores de atendimento ao usurio.

Compliance

ndice de conformidade com regulamentos internos e externos.


ndice de conformidade da avaliao independente.

Riscos da TI para o negcio

Principais riscos de TI para o negcio (probabilidade e impacto).


Montante de exposio ao risco.

Projetos prioritrios de TI

Curva S do projeto.
Status do projeto.

Gerenciamento de recursos e portflio


de TI

ndice de cumprimento do oramento de TI para a unidade de


negcio.
Disciplina oramentria.
Reaproveitamento de recursos.

Demanda

% do backlog em relao demanda total.

Potencial de futuro

Indicadores de treinamento e capacitao do pessoal.


Pessoal certificado.

Prontido

Indicadores de qualidade dos fornecedores.


Capacidade de recursos computacionais para a expanso do
negcio.
Maturidade dos processos de TI.
Quantidade de terceiros sobre o total de pessoal empregado.

Inovao

Inovao em TI.

O Modelo de Governana de TI 185

Dashboard para Gestores de TI


Temas principais de interesse

Indicadores/informaes

Demanda

Indicadores de demandas.
% do backlog.
Tabela 3.24 - Temas e indicadores para o dashboard de Gestores de TI

Para os CIOs:
Tipo do dashboard: eminentemente estratgico.
Vises: acreditamos que aqui, tambm, so necessrias vises de
BSC, assim como a execuo de drill-downs especficos.

No caso do CIO, o interesse abrange tanto a viso do cliente, a viso da


Governana de TI e a viso dos gestores de TI, mas com foco nos indicadores
principais, de forma que possa ver que o seu negcio est criando valor,
atende aos nveis de servios, tem excelncia operacional e est preparado para
suportar o crescimento do negcio.
Para finalizar este tpico, necessrio lembrar que cada gestor tem a sua forma
de ver o mundo e de gerenciar. O que foi proposto em termos de medies fruto
de nossa experincia e de observaes em diversas organizaes por todo o Brasil.

3.8 A

gesto da mudana organizacional

A implantao da Governana de TI (e a sua manuteno) uma jornada


sem fim.
Entretanto, traz consigo muitas mudanas na forma de fazer as coisas, no
somente operacionais, mas, principalmente, na forma de gerenciar.
O sucesso da implantao da Governana de TI depende fundamentalmente de um gerenciamento da mudana organizacional.
Conforme Roberto Ziemer (2007), o modelo tradicional de gerenciamento fracassa por enfatizar apenas a mudana (ou seja, aquilo que acontece fora
das pessoas), descuidando da transio, do processo interior de adaptao e
transformao, que um passo necessrio para que as pessoas consigam lidar
com novas situaes.

186 Implantando a Governana de TI 3 edio

Este autor postula que a fase da transio ou da mudana comea com um


trmino, passa por uma zona neutra e tem um reincio.
O trmino representa como a mudana de conscincia acerca de velhas
posturas, comportamentos, identidades, hbitos e crenas, processada. Para
o gerenciamento do trmino, Ziemer prope:
Reconhecer quem perder com a mudana.
Reconhecer a importncia das perdas subjetivas.
Aceitar as reaes emocionais.
Reconhecer as perdas de forma aberta.
Aceitar sintomas de luto.
Compensar as perdas.
Manter as pessoas continuamente informadas sobre as mudanas.
Definir o que acabou e o que no acabou.
Criar rituais para enfatizar o trmino.
Tratar o passado com respeito.

A zona neutra caracterizada pela indefinio, pela confuso e pela falta


de respostas, pois o indivduo est confinado entre o antigo e o novo jeito de
pensar, entre o conhecido e o desconhecido. A zona neutra considerada o
centro do processo de transio e apresenta vrias ameaas como: aumento de
ansiedade, diminuio da motivao, aumento do absentesmo, retorno de
antigas fragilidades, excesso de responsabilidades, choque entre os conservadores e os futuristas e fragilidades da organizao.
Conforme Ziemer, para gerenciar a zona neutra, necessrio:
Considerar a zona neutra como um perodo natural.
Redefinir a zona neutra.
Criar sistemas temporrios para a zona neutra.
Fortalecer conexes intragrupos.
Estabelecer uma equipe de superviso da transio.
Usar a zona neutra de forma criativa.

O Modelo de Governana de TI 187

O reincio a fase final do processo de transio, onde as pessoas comeam a


adotar a mudana. Esta fase possui alguns fatores crticos de sucesso, tais como:
Ser consistente, sem mensagens conflitantes.
Assegurar sucesso rpido.
Simbolizar a nova identidade.
Celebrar o sucesso.

Outra abordagem para a gesto de mudana a apresentada por Richard


Barrett em seu livro Building a Values-Driven Organization: a whole system approach to cultural transformation vide Barrett (2006), que prope um modelo para a transformao organizacional. De acordo com este autor, a mudana
um modo diferente de agir e de fazer o que fazemos agora de uma forma
mais eficiente, produtiva e de melhor qualidade, enquanto a transformao
um modo diferente de ser, que envolve mudanas nos nveis mais profundos
de crenas, valores e suposies.
Para que uma mudana seja efetiva, necessrio que as pessoas tenham conhecimentos e habilidades e operem mudanas comportamentais nas demais pessoas.
Para este autor, as variveis crticas da mudana so:
Histrico de mudanas: o histrico mostra a percepo que os profissionais envolvidos na mudana tm sobre a forma como a organizao costuma implementar mudanas.
Resistncia/prontido: mostra o grau de resistncia nos trs sistemas
de mudana (comunicao, aprendizagem e recompensa).
Cultura: mostra a diferena entre a cultura percebida e a cultura desejada, e se a mudana que est sendo proposta est adequada cultura atual e futura (valores, crenas e comportamentos).

Portanto, a mudana requer que cada pessoa tenha habilidades e conhecimento para agir diferente e ter atitude para agir, ou seja, mudar o seu comportamento.
As razes para falhas, geralmente, so:
Desconhecimento e incerteza sobre o futuro e sobre as razes da
mudana.
Imposio x Participao.

188 Implantando a Governana de TI 3 edio

Comunicao inadequada durante o processo.


Sistema inadequado de recompensa.
Aprendizagem insuficiente - tanto tcnica (agir) como comportamental (ser).

Os fatores que devem ser considerados no processo de mudana so:


Comunicao sobre a mudana.
Viso (para onde pretende-se ir).
Motivao para a mudana.
A competncia para a mudana.
Os recursos necessrios para a mudana.
O plano de ao para a mudana.

A Figura 3.49 mostra os impactos de no ter um desses elementos no


processo.

Figura 3.49 Elementos da mudana organizacional22


22 Esta mesma figura aparece no Captulo 16 deste livro, que mostra o contexto de mudana sob o
enfoque cultural.

O Modelo de Governana de TI 189

3.9 Avaliao

independente

De acordo com o CobiT (ITGI, 2007b), o objetivo da avaliao independente : obter avaliao independente (interna ou externa) sobre a conformidade
de TI com leis e regulamentos relevantes; com polticas, padres e procedimentos
organizacionais; com prticas geralmente aceitas e com um efetivo e eficiente desempenho de TI.
A avaliao independente realizada por empresas de auditoria e chamada de auditoria de terceira parte, onde a organizao contrata a auditoria
externa.
Organizaes que j possuem governana corporativa madura tm,
em seu sistema de controles internos e gesto de riscos, auditorias peri
dicas realizadas por empresas especializadas e com contratos de longa
durao.
A auditoria foca nos controles internos aplicados a TI. Seguem abaixo alguns exemplos de controles internos em TI:
Em projetos de desenvolvimento de sistemas, a auditoria pode verificar se estes esto sendo desenvolvidos conforme a metodologia de
desenvolvimento preconizada e utilizando uma metodologia de gerenciamento de projetos.
No gerenciamento de servios, a auditoria pode verificar se os planos
de continuidade de servios foram elaborados e foram testados, seguindo normas e polticas da organizao.

Entretanto, a auditoria somente ir verificar o que foi colocado dentro


do sistema de controle interno da organizao. Nem tudo colocado nesse
sistema, pois depender do grau de risco que o controle representa para o negcio. Geralmente, mapas de riscos dos processos de negcio apontam quais
controles internos devem ser includos no sistema.
Por exemplo, supondo que a disponibilidade de aplicaes de TI um
risco para certos processos de negcio crticos da organizao. Neste caso,
devem entrar para o sistema de controle interno o processo de gerenciamento
de disponibilidade e o processo de continuidade de servios.

190 Implantando a Governana de TI 3 edio

Porm, a gesto da TI pode incluir outros itens no to crticos para o risco


do negcio, mas importantes para o desempenho dos servios de TI, conforme descrito nos acordos de nveis de servios.
Como conselho, sugerimos que somente sejam colocados dentro do sistema de controle interno processos testados e que demonstraram que, efetivamente, agregam valor para o negcio e que permitem uma gesto eficaz e
eficiente da TI na organizao.

3.10 Riscos
3.10.1 Gesto

e compliance

de riscos

Para o CobiT (ITGI, 2007b), a gesto de riscos procura criar e manter


uma estrutura de gesto de risco. Esta estrutura documenta um nvel comum
e acordado de riscos de TI, estratgias de mitigao e riscos residuais.
Qualquer impacto em potencial nos objetivos da empresa, causado por um
evento no planejado, deve ser identificado, analisado e avaliado. Estratgias
de mitigao de risco devem ser adotadas para minimizar o risco residual a
nveis aceitveis. O resultado da avaliao deve ser entendido pelas partes
interessadas e expresso em termos financeiros, para permitir que as partes
interessadas alinhem o risco a nveis de tolerncia aceitveis.
Os objetivos de controle do CobiT para a gesto de riscos de TI so:
Alinhar a gesto de riscos de TI com o sistema de gesto de riscos
da organizao: significa que a gesto de riscos da TI deve ser integrada
com a gesto de riscos da organizao. Em organizaes com governana
corporativa madura, estabelecido um sistema de gesto de riscos operacionais j com metodologias estabelecidas e com mapas de risco por
processo de negcio ou por servios (no caso de bancos, o sistema de gesto de riscos abrange riscos de crdito, riscos operacionais e de mercado).
Estabelecimento do contexto do risco: significa estabelecer o contexto ao qual a estrutura de avaliao de risco aplicada para assegurar resultados esperados. Isto inclui a definio dos contextos interno
e externo de cada avaliao de riscos, o objetivo da avaliao e os
critrios a serem usados na avaliao.

O Modelo de Governana de TI 191

Identificao de eventos: significa identificar eventos (importantes


ameaas reais que exploram significativas vulnerabilidades) com potenciais impactos negativos nos objetivos ou nas operaes da organizao, incluindo aspectos de negcios, regulamentao, aspectos jurdicos, tecnologia, parcerias de negcio, recursos humanos e operacionais.
Deve-se determinar a natureza do impacto e manter esta informao,
assim como registrar e manter um histrico dos riscos relevantes.
Avaliao de risco: avaliar regularmente a probabilidade e o impacto de todos os riscos identificados, utilizando mtodos qualitativos e
quantitativos. A probabilidade e o impacto associado ao risco inerente e residual devem ser determinados individualmente, por categoria
e com base no portflio da organizao.
Resposta ao risco: significa desenvolver e manter um processo de
respostas a riscos para assegurar que controles com uma adequada
relao custo-benefcio mitiguem a exposio aos riscos de forma
contnua. O processo de resposta ao risco deve identificar estratgias
de risco, tais como evitar, reduzir, compartilhar ou aceitar o risco,
determinar responsabilidades e considerar os nveis de tolerncia definidos.
Manuteno e monitoramento do plano de ao de risco: significa priorizar e planejar as atividades de controle em todos os nveis
da organizao para implementar as respostas aos riscos identificadas
como necessrias, incluindo a identificao de custos, benefcios e
responsabilidade pela execuo. Envolve tambm obter aprovaes
para aes recomendadas e aceitao de quaisquer riscos residuais e
assegurar que as aes aprovadas sejam assumidas pelos donos dos
processos afetados, assim como monitorar a execuo dos planos e
reportar qualquer desvio para a alta direo.

Em termos prticos, este trabalho deve ser feito juntamente com a rea de
gesto de riscos da organizao.
Caso esta rea no exista dentro da sua organizao, voc deve concentrar-se nos riscos dos principais processos de negcio, ou seja, naqueles principais
geradores de receitas ou cuja inoperncia possa trazer prejuzos financeiros ou
de imagem para a organizao.
Para tanto, voc dever fazer um mapa simples do processo de negcio e
identificar qual o servio mais importante do apoio da TI. A partir da, dever

192 Implantando a Governana de TI 3 edio

identificar possveis causas de ocorrncia de riscos e depois levantar eventos


que j tenham ocorrido em relao ao servio e categoriz-los conforme as
causas para identificar probabilidades de ocorrncia.
Vamos imaginar o seguinte processo de negcio, como mostrado na Figura
3.50, a seguir.
O exemplo da figura mostra os principais riscos da TI para cada etapa do
processo do negcio e relaciona os principais processos e recursos de TI que
podem ser causadores da ocorrncia do risco.
O investimento necessrio para a mitigao do risco dever ser balizado pelo
nvel de tolerncia de riscos do dono do processo e tambm da administrao.
Se voc for um administrador esperto, importante que obtenha uma
comunicao oficial do dono do processo sobre a tolerncia ao risco. Mas, de
qualquer forma, voc ter que comunicar essa tolerncia e as probabilidades
de ocorrncia do risco correspondente.
Captura da proposta

Processamento

Risco de Disponibilidade

Risco de Integridade

PROCESSOS DE TI

Gerenciamento de
disponibilidade
Gerenciamento da
continuidade
Gerenciamento da
operao

Aquisio de software
Teste de software
Gerenciamento da mudana
Gerenciamento de dados
Gerenciamento da operao

RECURSOS DE TI

Pessoal capacitado
Geradores e no-breaks
Backup sites

Pessoal capacitado
Ferramentas de
desenvolvimento e teste

Aprovao
Risco de Disponibilidade
Risco de Integridade

Faturamento
Risco de
Integridade

Gerenciamento de
Aquisio de software
disponibilidade
Teste de software
Gerenciamento da
Gerenciamento da mudana
continuidade
Gerenciamento de dados
Gerenciamento da
Gerenciamento da operao
operao
Aquisio de software
Teste de software
Gerenciamento da mudana
Gerenciamento de dados
Gerenciamento da operao

Figura 3.50 Exemplo de mapa de risco

Os autores tiveram uma experincia em anos recentes com a avaliao de


um sistema de cobrana em uma empresa de cobrana. Na realidade, o sistema cobria todos os processos de negcio da empresa, estava implementado
em uma plataforma de software obsoleta e era processado em um servidor
PC Pentium sem nenhuma redundncia, sendo que o ambiente era muito
informal e amador. Neste caso, a tolerncia de risco do negcio era altssima.

O Modelo de Governana de TI 193

Numa situao similar a esta voc deve comunicar a administrao sobre


os graves riscos que o negcio est correndo e, obviamente, mostrar as solues e explicar qual o tamanho da perda financeira em que a empresa est
incorrendo por no se proteger.

3.10.2 Compliance
De acordo com o documento Funo de Compliance, publicado pela
Pricewaterhouse Coopers em 2009, conjuntamente com a Associao Brasileira de Bancos Internacionais e a Federao Brasileira de Bancos (vide ABBI
2009), compliance o dever de cumprir, estar em conformidade e fazer cumprir
regulamentos internos e externos impostos s atividades da instituio.
Aplicando-se isto TI, refere-se conformidade da rea de TI da organizao a regulamentos internos e externos impostos s suas atividades.
Em determinadas organizaes, principalmente instituies financeiras e
de seguros em geral, conforme regulamentos do Banco Central e da SUSEP,
deve haver uma rea de compliance com a misso de:
Assegurar, em conjunto com as demais reas, a adequao, o fortalecimento e o funcionamento do Sistema de Controles Internos da Instituio, procurando mitigar os riscos de acordo com a complexidade de seus negcios,
bem como disseminar a cultura de controles para assegurar o cumprimento
de leis e regulamentos existentes. Alm disso, atuar na orientao e conscientizao preveno de atividades e condutas que possam ocasionar
riscos imagem da instituio.
O foco do compliance monitorar os riscos do no atendimento aos regulamentos internos e externos.
Em organizaes com governana corporativa madura, a rea de TI tem representantes de compliance que seguem os procedimentos da rea responsvel
pelo compliance da organizao.
Neste caso, o responsvel local pelo compliance monitora riscos de compliance em TI, realizando testes sobre controles e comunicando resultados e
gerando indicadores e relatrios de compliance.

194 Implantando a Governana de TI 3 edio

O compliance um tema importante para a Governana de TI, pois assegura que as normas internas e externas estejam sendo respeitadas e seguidas.
O no atendimento s normas internas e externas pode ter como consequncia:
Multas de rgos reguladores por no estar em conformidade.
Problemas de conduta tica trazendo prejuzos para a organizao.
Aumento do custo de operaes da organizao pelo uso de prticas
fracas.
Ineficincia das operaes, prejudicando a qualidade de servios requerida pelo negcio.
Altos custos de compliance devidos duplicidade de controles.

Bem, agora que vimos o modelo proposto, vamos discutir os principais


modelos aplicveis Governana de TI.

Os Papis da Governana
Organizao

de

TI

na

Umas das grandes questes que se coloca sobre a Governana de TI


quanto ao seu papel na organizao de TI e fora dela (ou seja, quem faz o
qu). Nossa experincia tem demonstrado que a falta de papis e responsabilidades bem definidas um grande obstculo para a implantao da
Governana de TI.
Em determinadas organizaes, algumas funes da Governana de TI
esto integradas Governana Corporativa, como, por exemplo, gesto de
riscos, controles internos, segurana da informao, priorizao de investimentos, oramento de investimentos, e geralmente so executadas por outras
reas da organizao.
A definio de responsabilidades depende da caracterstica do modelo de
Governana de TI desenhado para a organizao.
O que temos observado no mercado so as seguintes abordagens:
Criao de uma rea ou departamento especfico para lidar com a
Governana de TI, com a funo de dar visibilidade ao CIO acerca da
aderncia das demais reas de TI s estratgias de TI, regras, polticas
e prticas de gesto e operao de servios.
Criao de uma rea ou departamento de Governana de TI com responsabilidade de dirigir a implantao das polticas, regras e prticas
de gesto e operao de servios.
Alguns profissionais, em geral ligados diretamente ao CIO, so designados para implantar a Governana de TI, mas no h uma rea
especfica para esta finalidade. Geralmente, o foco recai sobre a implantao de boas prticas de gesto e operao de servios de TI.

196 Implantando a Governana de TI 3 edio

A implantao de Governana de TI um programa para o qual designado um gerente do programa vinculado ao CIO. Por meio dele,
a organizao gerencia a implantao das melhores prticas pelas demais reas de TI. O programa pode ser encerrado quando os objetivos de maturidade dos processos so alcanados.
No h uma organizao, mas somente projetos evolutivos, onde
geralmente o lder da mudana o CIO, que utiliza com frequncia consultorias externas para a implantao das melhores
prticas.

Em nossa viso, acreditamos que a adoo de arqutipos como os anteriormente descritos depende das caractersticas de cada organizao.
No h uma melhor abordagem, mas sim a mais adequada para cada organizao em um determinado momento de sua histria.
Em grandes organizaes, por exemplo, dificilmente encontra-se uma
Governana de TI com poderes para intervir nas reas de TI. Geralmente,
nesses casos, recomendvel que a rea de Governana de TI faa um trabalho de induo e promoo, dando a visibilidade para o CIO intervir e
cobrar.
Em organizaes de porte mdio e pequeno, provavelmente o modelo mais
adequado seja uma rea de Governana de TI com mais poderes, que dirija,
de fato, a implantao das melhores prticas, que gerencie o risco de TI e demonstre o valor da TI para o negcio.
Lembramos, porm, que a Governana de TI de responsabilidade de
todos, pois quem implanta e mantm as boas prticas e a estratgia de TI so,
de fato, as demais reas de TI.
Considerando nosso modelo genrico, propomos uma distribuio
das responsabilidades sobre a Governana de TI, conforme mostra a
Tabela 4.1.

Os Papis da Governana de TI na Organizao 197

Funes da
Governana
e de
Gesto da TI

Diretoria
Executiva

CIO

Governana
de TI

reas
Funcionais
da TI

reas de
Controle, Risco
e Compliance

Risco e
Compliance

Aprova a poltica
de risco e
compliance da
organizao.

Faz com que


a rea de TI
siga a poltica
de risco da
organizao
e monitora os
riscos da TI
para o negcio.

Segue a poltica
e os mtodos,
porm,
trabalha com
os indicadores
e monitora os
riscos.

Seguem
a poltica,
desenvolvem
e implantam
aes de
mitigao.

Verificam se
as aes de
mitigao foram
implantadas e
foram efetivas.

Avaliao
Independente

Aprova a poltica
de controles
internos da
organizao.

Faz com que


a rea de TI
siga a poltica
de controles
internos da
organizao
e monitora as
pendncias.

Segue a
poltica, trabalha
com indicadores
e monitora
a resoluo
das no
conformidades.

Seguem a
poltica e
resolvem os
itens no
conformes.

de
responsabilidade
da rea de
auditoria interna
da organizao.

Gesto da
Mudana
Organizacional

Aprova
mudanas
na poltica de
pessoal e de
desenvolvimento
de recursos
humanos.

Aprova o
programa
de mudana
organizacional
e lidera a sua
implantao.

A Governana
de TI pode
montar e dirigir
o programa de
gerenciamento
da mudana.

Participam
no programa
de mudana,
liderando a
mudana na
sua rea,
colocando seu
pessoal para
ser treinado
e capacitado
e implantam
as melhores
prticas em
sua rea.

Alinhamento
Estratgico

Define e
comunica a
estratgia da
organizao e
decide sobre as
priorizaes de
investimentos,
aprova o
oramento
da rea de
TI e monitora
os projetos
estratgicos de
negcios e TI.

Define a
estratgia de TI
e a comunica
para as
demais reas
funcionais de
TI, prope as
prioridades
para a Diretoria
Executiva e
gerencia o
Portflio de TI.

Dirige o
processo de
planejamento
de TI e suas
revises, verifica
a aderncia dos
planos de TI
com a estratgia
de TI, estrutura
o Portflio de
TI, e consolida
o oramento
de TI.

Participam na
elaborao da
estratgia de
TI, elaboram,
gerenciam
e implantam
seus planos
internos
alinhados com
a estratgia de
TI, e elaboram
os respectivos
oramentos.

198 Implantando a Governana de TI 3 edio

Funes da
Governana
e de
Gesto da TI

Diretoria
Executiva

CIO

Governana
de TI

reas
Funcionais da TI

Entrega de
Valor

Monitora os
projetos de
negcios e TI
estratgicos.

Gerencia o
Portflio de TI,
a demanda, o
relacionamento
com clientes e
fornecedores

Monitora o
Portflio de TI,
verifica se os
planos de TI
esto sendo
implantados
e fornece
visibilidade para
o CIO.

Desenvolvem
projetos,
fornecem
servios e geram
inovaes de
acordo com
as melhores
prticas definidas
pelo plano de TI,
atendem clientes
e gerenciam
servios de
terceiros.

Gerenciamento
de Recursos

Recebe
informes
sobre a
execuo
oramentria
e de
investimentos
da rea de
TI.

Gerencia o uso
de recursos e
define aes
para a sua
otimizao,
gerencia o
oramento e
investimentos da
rea e reportase Diretoria
Executiva.

Verifica
oportunidades
de otimizao
de recursos,
acompanha a
realizao do
oramento e de
investimentos.

Prope e
implanta aes
para a otimizao
de recursos,
gerencia
os recursos
sob a sua
responsabilidade,
realiza o controle
oramentrio e
de investimentos
em sua rea de
atuao.

Gerencia o
desempenho
da TI, gerencia
a estratgia
de TI, solicita
recuperao de
desempenho
para os seus
gerentes,
redefine
estratgias.

Prope
mtodos de
gerenciamento
do desempenho,
mantm o
dashboard de
governana de
TI, monitora o
desempenho
e a criao de
valor da TI e faz
recomendaes.
Avalia a
efetividade
das melhores
prticas sobre a
gerao de valor
e sobre o risco
da TI.

Gerenciam o
desempenho de
seus projetos,
assim como
a estratgia,
os servios e
as inovaes,
realizam
correes,
fornecem os
indicadores para
a Governana de
TI e para o CIO.

Gesto do
desempenho

reas de
Controle,
Risco e
Compliance

Os Papis da Governana de TI na Organizao 199

Funes da
Governana
e de
Gesto da TI
Comunicao

Diretoria
Executiva
Recebe os
informes de
desempenho da
TI e da criao
de valor atravs
de dashboard
executivo,
solicita aes de
recuperao de
melhoria.

CIO
Recebe os
informes de
desempenho
e criao de
valor, avalia a
estratgia de
TI e reportase Diretoria
Executiva.

Governana
de TI
Consolida
indicadores de
desempenho
e de valor e
especficos de
interesse para
a Governana
de TI e os
comunica ao
CIO. Mantm o
dashboard de TI.

reas
Funcionais
da TI
Comunica os
resultados
de seu
desempenho e
criao de valor,
alimentando o
dashboard de
gesto de TI.

Tabela 4.1 Responsabilidades pela Governana de TI

reas de
Controle, Risco
e Compliance

5.

5.

Modelos de Melhores Prticas


Modelo de Governana de TI

e o

Nas duas ltimas dcadas vem surgindo e sendo elaborada uma srie de
modelos de melhores prticas para TI. Alguns desses modelos so originais
e outros so derivados e/ou evoludos de outros modelos. Os principais
modelos em voga atualmente, citados no meio acadmico e profissional,
relacionados com a Governana de TI, esto apresentados na Tabela 5.1,
a seguir:
Modelo de melhores prticas

Escopo do modelo

COBIT Control Objectives for Information and


related Technology

Modelo abrangente aplicvel para a auditoria e o


controle de processos de TI, desde o planejamento da
tecnologia at a monitorao e auditoria de todos os
processos.

Val IT Enterprise Value: Governance of IT


Investments

Modelo que trata da governana dos investimentos de


TI e gerenciamento do portflio desses investimentos.

Risk IT Enterprise Risk: Identify, Govern and


Manage IT Risks

Modelo que trata do gerenciamento dos riscos de TI.

ISO 31000

Trata dos princpios e guias para o gerenciamento de


riscos.

CMMI Capability Maturity Model Integration

Desenvolvimento de produtos e projetos de sistemas e


software.

MPS.br

Modelo brasileiro para a melhoria do processo de


software.

ITIL Information Technology Infrastructure


Library

Servios de TI, segurana da informao,


gerenciamento da infraestrutura, gesto de ativos e
aplicativos, etc.

Modelos de Melhores Prticas e o Modelo de Governana de TI 201

Modelo de melhores prticas

Escopo do modelo

ISO/IEC 20000

Norma abordando requisitos e melhores prticas para o


gerenciamento de servios de TI.

ISO/IEC 27001 e ISO/IEC 27002

Requisitos e cdigo de prtica para a gesto da


segurana da informao.

Modelos ISO International Organisation for


Standardisation

Sistemas da qualidade, ciclo de vida de software, teste


de software, etc.

eSCM-SP Service Provider Capability Maturity


Model

Outsourcing em servios que usam TI de forma


intensiva.

PRINCE2 Project in controlled environment

Metodologia de gerenciamento de projetos.

PMBOK Project Management Body of


Knowledge

Base de conhecimento em gesto de projetos.

OPM3

Modelo de maturidade para o gerenciamento de


projetos.

SCRUM

Mtodo gil para o gerenciamento de projetos.

BSC Balanced Scorecard

Metodologia de planejamento e gesto da estratgia.

Seis Sigma

Metodologia para melhoria da qualidade de processos.

SAS 70 Statement on Auditing Standards for


services organizations

Regras de auditoria para empresas de servios.

TOGAF The Open Group Architecture


Framework

Modelo que trata o desenvolvimento e a evoluo de


arquiteturas de TI.

BPM CBOK Business Process Management


Body of Knowledge

Corpo de conhecimento para o gerenciamento de


processos de negcio.

BABOK The Guide to the Business Analysis


Body of Knowledge

Guia de conhecimento para a prtica de anlise de


negcio.

Tabela 5.1 Principais modelos de melhores prticas

A Figura 5.1, a seguir, mostra como esses modelos se posicionam dentro do


nosso modelo de Governana de TI.

202 Implantando a Governana de TI 3 edio

ALINHAMENTO
ESTRATGICO E
COMPLIANCE

DECISO,
COMPROMISSO,
PRIORIZAO E
ALOCAO DE
RECURSOS

ESTRUTURA,
PROCESSOS,
OPERAO E
GESTO

Alinhamento
estratgico

Mecanismos de
deciso

Projetos

Princpios de TI

Critrios de
priorizao

Servios

Portfolio de TI

Inovaes

Gesto da
demanda
Necessidades de
aplicaes
Arquitetura de TI
Infraestrutura de
TI
Objetivos de
desempenho
Capacidade
Sourcing
Segurana da
informao
Competncias

CobiT
ISO/IEC 27000
ITIL
BABOK
BPM CBOK
TOGAF
eSCM
SFIA
BSC

Val IT
RISK IT
CobiT
Padro de
Portfolio PMI

Relacionamento
com usurios
Relacionamento
com
fornecedores

PMBOK
PRINCE2
ITIL
eSCM
CMMI
SCRUM
MPS.br
CobiT

GESTO DO
VALOR E DO
DESEMPENHO

Gesto do valor
da TI
Gesto do
desempenho da
TI

Val IT
CobiT
ITIL
Seis Sigma

BPM CBOK
BABOK
RISK IT
ISO/IEC 20000
ISO/IEC 27000
Seis Sigma
SAS70
ISO

Processos e
organizao
Plano de TI

Figura 5.1 Os modelos de melhores prticas no contexto da Governana de TI

Conforme a Figura 5.1, os modelos de melhores prticas auxiliam a implantao da Governana de TI, mas no so panaceias. Para usar estes modelos, importante que a organizao elabore sua prpria arquitetura de processos de TI, priorizando o que importante para a agregao de valor para
o negcio e balanceando com os riscos de TI para o negcio, assim como os
riscos para a continuidade, para a flexibilidade futura dos processos e para o
desenvolvimento de novos produtos e servios.
Ao definir a cadeia de valor e sua arquitetura de processos, podemos empregar vrias diretrizes e prticas de vrios modelos ao mesmo tempo. Por
exemplo, podemos selecionar a rea de processo de Medio e Anlise do
CMMI (no nvel 3) e empreg-la para implantar um processo de medio do
desempenho dos servios de TI.
Como se propaga no mercado, a Governana de TI no se restringe somente implantao desses modelos de melhores prticas. Entretanto, importante conhec-los em termos de objetivos, estruturas e aplicabilidade. Nos
captulos seguintes deste livro veremos uma descrio dos principais modelos
aplicveis no contexto da Governana de TI.

Modelos Abrangentes
Governana de TI

de

No contexto atual do mercado, existem alguns modelos de referncia que


abordam a Governana de TI de forma holstica, abrangendo os seus princpios e diretrizes tanto no mbito das organizaes de TI quanto do seu
relacionamento com as demais organizaes que fazem parte da sua cadeia de
valor (clientes, fornecedores, parceiros, etc.).
Entre esses modelos, destacam-se a norma ISO/IEC 38500 e os modelos criados pela ISACA (Information Systems Audit and Control Association): o CobiT, o Val IT e o Risk IT. Neste captulo, so apresentados de forma resumida os princpios e processos relacionados a esses
modelos.

6.1 ISO/IEC 38500 Governana


corporativa de tecnologia da informao

O objetivo desta norma fornecer uma estrutura de princpios para os


dirigentes (incluindo proprietrios, membros do conselho de administrao,
diretores, parceiros, executivos seniores ou similares) utilizarem na avaliao,
no gerenciamento e no monitoramento do uso da tecnologia da informao
em suas organizaes.
A norma j se encontra localizada pela Associao Brasileira de Normas
Tcnicas (ABNT) como Norma Brasileira NBR ISO/IEC 38500:2009.

204 Implantando a Governana de TI 3 edio

6.1.1 Aplicao
Esta norma aplicvel a todas as organizaes, incluindo organizaes pblicas e privadas, entidades governamentais e organizaes sem fins lucrativos.
Da mesma forma, aplica-se a organizaes de todos os tamanhos (pequenas e
grandes), independentemente da extenso de seus usos de TI.
Para a norma, Governana Corporativa de TI significa: avaliar e direcionar o uso da TI para dar suporte organizao e monitorar seu uso para
realizar os planos. Inclui a estratgia e as polticas de uso da TI dentro da
organizao.

6.1.2 Objetivos
O propsito da norma promover o uso eficaz, eficiente e aceitvel da TI
nas organizaes para:
Garantir s partes interessadas (incluindo consumidores, acionistas e
funcionrios) que, se a norma for seguida, pode-se confiar na governana corporativa de TI na organizao.
Informar e orientar os dirigentes quanto ao uso da TI em suas organizaes.
Fornecer uma base para uma avaliao objetiva da governana corporativa de TI.

6.1.3 Estrutura

da norma

6.1.3.1 Estrutura para uma boa governana corporativa de TI


A norma preconiza seis princpios que caracterizam uma boa governana
de TI:
Princpio 1 Responsabilidade: os indivduos e grupos dentro da
organizao compreendem e aceitam suas responsabilidades com respeito ao fornecimento e demanda de TI. Aqueles responsveis pelas
aes tambm tm autoridade para desempenhar tais aes.

Modelos Abrangentes de Governana de TI 205

Princpio 2 Estratgia: a estratgia de negcio da organizao leva


em conta as capacidades atuais e futuras de TI. Os planos estratgicos
para TI satisfazem as necessidades atuais e contnuas da estratgia de
negcio da organizao.
Princpio 3 Aquisio: as aquisies de TI so feitas por razes
vlidas, com base em anlise apropriada e contnua, com tomada de
deciso clara e transparente. Existe um equilbrio entre benefcios,
oportunidades, custos e riscos, de curto e longo prazo.
Princpio 4 Desempenho: a TI adequada ao propsito de apoiar
a organizao, fornecendo servios, nveis de servio e qualidade de
servio, necessrios para atender aos requisitos atuais e futuros de
negcio.
Princpio 5 Conformidade: a TI cumpre com toda a legislao e
os regulamentos obrigatrios. As polticas e prticas so claramente
definidas, implementadas e fiscalizadas.
Princpio 6 Comportamento humano: as polticas, prticas e decises de TI demonstram respeito pelo comportamento humano,
incluindo as necessidades atuais e futuras de todas as pessoas no
processo.

6.1.3.2 Modelo
A norma preconiza que os dirigentes governem a TI atravs de trs tarefas
principais:
Avaliar o uso atual e futuro da TI.
Orientar a preparao e a implementao de planos e polticas para
assegurar que o uso da TI atenda aos objetivos do negcio.
Monitorar o cumprimento das polticas e o desempenho em relao
aos planos.

206 Implantando a Governana de TI 3 edio

A Figura 6.1 mostra o modelo do ciclo Avaliar-Dirigir-Monitorar.

Presses do
negcio

Necessidades
do negcio

Governana Corporativa
de TI

Avaliar

Dirigir

Monitorar

Planos
Polticas

Desempenho
Conformidade

Propostas
Processos do Negcio

Projetos de TI

Operaes de TI

Figura 6.1 Modelo para governana corporativa de TI


Fonte: ABNT (2009)

Para a norma, avaliar significa que os dirigentes devem examinar e avaliar


o uso atual e futuro da TI, incluindo estratgias, propostas e arranjos de fornecimento (interno, externo ou ambos).
Dirigir significa a designao de responsabilidades, pelos dirigentes, e a
preparao e implementao dos planos e polticas, estabelecendo o direcionamento dos investimentos nos projetos e operaes de TI. As polticas devem estabelecer comportamentos no uso da TI na organizao, assim como
incentivar que os gerentes sigam os seis princpios da boa governana de TI.
Por fim, os dirigentes devem monitorar atravs de sistemas de mensurao
apropriados, verificando se o desempenho est de acordo com os planos e os
objetivos de negcio e se a TI est em conformidade com as obrigaes externas e prticas internas de trabalho.

Modelos Abrangentes de Governana de TI 207

A Tabela 6.1 mostra o ciclo Avaliar-Dirigir-Monitorar para cada princpio


da norma.
Princpio

Avaliar

Dirigir

Monitorar

Responsabilidade

Opes de delegao
de responsabilidades.
Competncias daqueles
a quem for delegada a
responsabilidade pela
tomada de deciso
em TI.

Exigir que os planos


sejam cumpridos
de acordo com as
responsabilidades
delegadas.

Que os mecanismos
apropriados de
governana de TI sejam
estabelecidos.
Que aqueles
que receberam
responsabilidades
reconheam e
compreendem suas
responsabilidades.
O desempenho
daqueles a quem
foi delegada
responsabilidades pela
governana de TI.

Estratgia

Os desenvolvimentos
em TI para que esta
esteja apoiando o
negcio.
O alinhamento da
TI com os planos
e polticas da
organizao.
O risco da TI para o
negcio.

A preparao de planos
e polticas para que
a organizao seja
beneficiada com o uso
da TI.
Encorajar os dirigentes
a apresentar propostas
para uso inovadores
de TI.

O progresso das
propostas de TI
aprovadas.
Se os benefcios com
a TI esto sendo
alcanados.

Aquisio

Opes de fornecimento
da TI.

Orientar para que os


ativos de TI sejam
adquiridos de forma
apropriada.
Certificar-se de
que os acordos
de fornecimento
daro suporte s
necessidades da
organizao.

Os investimentos de TI.
Compreenso mtua
dos objetivos da
aquisio por parte
da organizao e dos
fornecedores.

208 Implantando a Governana de TI 3 edio

Princpio

Avaliar

Dirigir

Monitorar

Desempenho

Proposies dos
gerentes.
Riscos continuidade
do negcio.
Riscos integridade da
informao e proteo
dos ativos de TI.
A eficcia e o
desempenho do sistema
de Governana de TI da
organizao.

Assegurar a alocao
de recursos suficientes,
de forma a garantir
que a TI atenda s
necessidades da
organizao, de
acordo com prioridades
acordadas e restries
oramentrias.

At que ponto a TI d
suporte ao negcio.
Se os recursos e o
oramento foram
priorizados de acordo
com os objetivos do
negcio.
Se as polticas so
seguidas corretamente.

Conformidade

At que ponto a
TI cumpre com
as obrigaes de
conformidade interna e
externa (compliance).
Conformidade interna
com o seu sistema de
governana de TI.

Exigir dos responsveis


que:
a TI esteja conforme
com as exigncias
legais.
polticas sejam
estabelecidas e
cumpridas.
aes de TI sejam
ticas.

O cumprimento e
conformidade da TI
por meio de relatos
apropriados e prticas
de auditoria.
As atividades de TI
para assegurar o
cumprimento das
exigncias ambientais,
de privacidade,
de gerenciamento
do conhecimento
estratgico e de
preservao da
memria organizacional.

Comportamento
Humano

As atividades de TI
para garantir que
os comportamentos
humanos sejam
identificados e
apropriadamente
considerados.

Exigir que as atividades


de TI sejam compatveis
com as diferenas
de comportamento
humano.
Exigir que riscos,
oportunidades,
constataes e
preocupaes possam
ser identificados e
relatados por qualquer
pessoa a qualquer
momento.

Atividades de TI
para garantir que
os comportamentos
humanos identificados
permaneam relevantes
e que lhes sejam dadas
a devida ateno.

Tabela 6.1 Princpios da boa governana de TI versus Ciclo avaliar-dirigir-monitorar Adaptado de ABNT (2009)

Modelos Abrangentes de Governana de TI 209

6.1.4 Benefcios

com o uso da norma

Se usada, a norma assegura que os dirigentes podero avaliar os riscos da


TI para o negcio e aproveitar as oportunidades advindas com o uso da TI.
Entre os principais benefcios, a aplicao correta da governana corporativa
de TI pode ajudar os dirigentes a garantir:
O cumprimento das obrigaes (regulamentares, legislativas, legais, contratuais) relativas ao uso aceitvel da TI (sistemas inadequados podem expor os dirigentes ao risco de no cumprir com a
legislao).
Que o uso da TI contribua positivamente para o bom desempenho
da organizao atravs de:
Correta implementao e operao dos ativos de TI.
Clareza quanto responsabilidade e obrigatoriedade em prestar
conta, tanto quanto ao uso quanto proviso da TI para atingir
as metas da organizao.
Continuidade e sustentabilidade do negcio.
Alinhamento da TI com as necessidades do negcio.
Alocao eficiente de recursos.
Inovao nos servios, mercados e negcio.
Boas prticas nos relacionamentos com as partes interessadas.
Reduo nos custos da organizao.
Concretizao atual dos benefcios aprovados de cada investimento de TI.

6.1.5 Consideraes

sobre a norma

Esta norma no objeto de certificao como a ISO 9001, 14000, 27001,


etc. Entretanto, traz conceitos importantes sobre Governana de TI e que
podem ser teis no entendimento, pela alta direo, de suas responsabilidades
em relao a TI.
Um modelo de arquitetura de direitos decisrios e de processos de TI pode
ser desenvolvido com base nos seis princpios da norma. A questo : como

210 Implantando a Governana de TI 3 edio

fazer chegar esses conceitos at a alta administrao da empresa e fazer com


que compreendam o papel reservado a eles?
Aqui, novamente, aparece a discusso: quanto mais a organizao for
regulada externamente, maior ser a necessidade por compliance e gesto
de riscos de TI, facilitando, portanto, a chegada da mensagem na alta
administrao.
Quanto menos regulao externa houver, mais difcil fica o entendimento da alta administrao (pelo menos esta tem sido a experincia dos
autores). A alternativa sempre procurar o pessoal de auditoria interna
ou externa para fazer um trabalho conjunto, onde os auditores apontam
a necessidade da governana e o responsvel de TI entra com o modelo
apropriado.

6.2 CobiT Control Objectives for


Information and related Technology
6.2.1 Histrico

do modelo

O CobiT (Control Objectives for Information and related Technology) foi criado em 1994 pela ISACF23 a partir do seu conjunto inicial de objetivos de controle e vem evoluindo atravs da incorporao de padres internacionais tcnicos, profissionais, regulatrios e especficos para processos de TI. Em 1998, foi
publicada a sua segunda edio, contendo uma reviso nos objetivos de controle
de alto nvel e detalhados, e mais um conjunto de ferramentas e padres para
implementao. A terceira edio foi publicada em 2000 pelo IT Governance
Institute (ITGI), rgo criado pela ISACA com o objetivo de promover um melhor entendimento e a adoo dos princpios de Governana de TI.
O modelo evoluiu novamente em 2005 para a verso 4.0, atravs de prticas e padres mais maduros (totalmente alinhados a modelos como COSO,
ITIL e ISO/IEC 17799) e em conformidade com as regulamentaes, do foco
mais acentuado na governana de TI nos nveis mais elevados e da ampliao
da sua abrangncia para um pblico mais heterogneo (gestores, tcnicos,
especialistas e auditores de TI).
23 Information Systems Audit and Control Foundation, ligado ISACA (ISAC Association) acesso
atravs do site http://www.isaca.org/ .

Modelos Abrangentes de Governana de TI 211

Em 2007, houve uma atualizao incremental (verso 4.1), cujo foco foi
orientado a uma maior eficcia dos objetivos de controle e dos processos de
verificao e divulgao de resultados. As definies dos objetivos de controle
foram modificadas, para serem caracterizadas como diretrizes de prticas de
gesto, mais orientadas ao e consistentes em seu contedo escrito.

6.2.2 Objetivos

do modelo

Segundo os princpios do ITGI, as informaes corporativas e a tecnologia


necessria para suport-las no podem ser tratadas isoladamente, devendo a TI
ser considerada uma parte integrante da estratgia corporativa, em vez de simplesmente um meio para torn-la vivel. A prpria definio de Governana de TI,
presente na verso 4.1 do CobiT, ilustra a importncia da TI dentro da organizao: responsabilidade da alta direo (incluindo diretores e executivos), consiste na
liderana, nas estruturas organizacionais e nos processos que garantem que a tecnologia
da informao da empresa sustente e estenda as estratgias e objetivos da organizao.
O principal objetivo das prticas do CobiT contribuir para o sucesso da
entrega de produtos e servios de TI a partir da perspectiva das necessidades
do negcio, com um foco mais acentuado no controle que na execuo. De
acordo com o ITGI, neste sentido, o CobiT:
Estabelece relacionamentos com os requisitos do negcio.
Organiza as atividades de TI em um modelo de processos genrico.
Identifica os principais recursos de TI, nos quais deve haver mais investimento.
Define os objetivos de controle que devem ser considerados para a gesto.

O modelo do CobiT genrico o bastante para representar todos os processos normalmente encontrados nas funes da TI e compreensvel tanto
para a operao como para os gerentes de negcios, pois cria uma ponte entre
o que o pessoal operacional precisa executar e a viso que os executivos desejam ter para governar24.

24 O CobiT est totalmente alinhado com a estrutura integrada para controles internos do COSO
(Committee of Sponsoring Organizations of the Treadway Comission), que amplamente aceito como
estrutura de controle para governana corporativa e gesto de riscos.

212 Implantando a Governana de TI 3 edio

Para o CobiT, os pilares fundamentais que sustentam o ncleo da Governana de TI podem ser representados por cinco reas, conforme mostra a
Figura 6.2, cada qual com seu respectivo foco:

Figura 6.2 reas-Foco da Governana de TI, na viso do CobiT


Fonte: IT Governance Institute (2007b)

Alinhamento Estratgico: garantia da ligao entre os planos do negcio e de TI, manuteno e validao da proposio de valor da TI,
e alinhamento das operaes da empresa com as de TI.
Agregao de Valor: execuo da proposio de valor atravs do tempo, assegurando que a TI entregue os benefcios prometidos de acordo com a estratgia, concentrando-se em otimizar custos e em comprovar o valor intrnseco da TI.
Gerenciamento de Recursos: otimizao dos investimentos e da gesto adequada dos recursos crticos de TI (aplicaes, informaes,
infraestrutura e pessoas), essenciais para fornecer os subsdios de que
a empresa necessita para cumprir os seus objetivos.
Gerenciamento de Riscos: Conhecimento dos riscos por parte da alta
direo, entendimento claro dos requisitos de compliance e das tendncias da empresa para os riscos, transparncia acerca dos riscos significativos para a empresa e incorporao de responsabilidades para o
gerenciamento dos riscos na organizao.
Medio de Desempenho: Acompanhamento e monitorao da implementao da estratgia, do andamento dos projetos, da utilizao
de recursos, do desempenho dos processos e da entrega dos servios,

Modelos Abrangentes de Governana de TI 213

utilizando, alm das medies convencionais, indicadores de desempenho (como, por exemplo, balanced scorecards) que traduzem a estratgia em aes para atingir objetivos mensurveis.
A estrutura do CobiT integra e institucionaliza boas prticas de planejamento e organizao, aquisio e implementao, entrega e suporte, e mo
nitoramento e avaliao de desempenho de TI. A Governana de TI, quando
implantada de forma integrada, permite que a empresa gerencie de forma
eficiente seus investimentos em recursos tecnolgicos e suas informaes,
transformando-as em maximizao de benefcios, oportunidades de negcio e
vantagem competitiva no mercado.

6.2.3 Estrutura

do modelo

A estrutura (framework) do CobiT foi idealizada de forma a atender


s necessidades de controle da organizao relacionadas Governana de
TI, tendo como principais caractersticas o foco nos requisitos de negcio,
a orientao para uma abordagem de processos, a utilizao extensiva de
mecanismos de controle e o direcionamento para a anlise das medies e
indicadores de desempenho obtidos ao longo do tempo. A seguir, ser dada
uma viso geral da estrutura do modelo, sob o enfoque de cada uma das
suas caractersticas.

6.2.3.1 Foco no negcio


Segundo o CobiT, para fornecer a informao de que a empresa necessita
para atingir as suas metas de negcio, necessrio associ-los s suas metas
de TI, assim como gerenciar e controlar os recursos de TI, utilizando um
conjunto estruturado de processos para garantir a entrega dos servios de TI
requeridos.
O CobiT pressupe ainda que as informaes desejadas devem obedecer a
alguns critrios de controle (requisitos de negcio), de forma que sua utilizao seja proveitosa para os objetivos de negcio. Tais critrios compreendem:
eficincia, eficcia, confidencialidade, integridade, disponibilidade, conformidade com regulaes e confiabilidade.

214 Implantando a Governana de TI 3 edio

Os servios que fornecem as informaes necessrias para que a organizao


atinja seus objetivos so disponibilizados atravs de um conjunto de processos
de TI que utilizam recursos de TI, ou seja, pessoas (habilidades, conhecimentos, ndices de produtividade) e infraestrutura (hardware, sistemas operacionais,
bancos de dados, redes, facilidades, etc.) para executar aplicaes automatizadas
e procedimentos manuais que manipulam e processam as informaes de negcio. O investimento em tais recursos visa criar capacitaes tcnicas (sistemas,
etc.) para suportar as capacitaes desejadas para o negcio (melhorias nas funes de negcio), que sero refletidas nos resultados estratgicos da organizao
(melhoria no desempenho financeiro). A Figura 6.3 ilustra a arquitetura empresarial para TI preconizada pelo princpio bsico do CobiT.

Figura 6.3 Princpio bsico do CobiT


Adaptado de IT Governance Institute (2007b)

6.2.3.2 Orientao para processos


O CobiT fornece um modelo padro de referncia e uma linguagem comum, permitindo que todos em uma organizao sejam capazes de distinguir e
gerenciar atividades no mbito da TI. Neste sentido, utilizando como matriz o
ciclo tradicional de melhoria contnua (planejar, construir, executar, monitorar),

Modelos Abrangentes de Governana de TI 215

o CobiT identificou 34 processos de TI e os distribuiu entre quatro domnios,


que espelham os agrupamentos usuais existentes em uma organizao padro de
TI. A Figura 6.4 ilustra a interao entre estes domnios na estrutura do CobiT.

Figura 6.4 Domnios do CobiT no Framework


Adaptado de IT Governance Institute (2007b)

Planejamento e Organizao (PO): este domnio tem abrangncia


estratgica e ttica e identifica as formas atravs das quais a TI pode
contribuir melhor para o atendimento dos objetivos de negcio, envolvendo planejamento, comunicao e gerenciamento em diversas
perspectivas.
Aquisio e Implementao (AI): este domnio cobre identificao,
desenvolvimento e/ou aquisio de solues de TI para executar a
estratgia de TI estabelecida, assim como a sua implementao e integrao junto aos processos de negcio. Mudanas e manutenes
em sistemas existentes tambm esto cobertas por este domnio, para
garantir a continuidade dos respectivos ciclos de vida.

216 Implantando a Governana de TI 3 edio

Entrega e Suporte (DS25): este domnio cobre a entrega propriamente


dita dos servios requeridos, incluindo gerenciamento de segurana e
continuidade, suporte aos servios para os usurios, gesto dos dados
e da infraestrutura operacional.
Monitorao e Avaliao (ME26): este domnio visa assegurar a qualidade dos processos de TI, assim como a sua governana e conformidade com os objetivos de controle, atravs de mecanismos regulares
de acompanhamento, monitorao de controles internos e de avaliaes internas e externas.

A Tabela 6.2, a seguir, mostra questes gerenciais tpicas abordadas e os


processos de TI relativos a cada um dos domnios do CobiT.

PO (Planejamento e
Organizao)

Processos de TI

A estratgia do negcio e a TI esto


alinhadas?
A empresa est otimizando a utilizao
dos seus recursos?
Todos na organizao compreendem as
metas de TI?
Os riscos relacionados TI esto
compreendidos e sendo gerenciados?
A qualidade dos sistemas de TI est
adequada s necessidades do negcio?

PO-1 Definir um plano estratgico para TI


PO-2 Definir a arquitetura da informao
PO-3 Determinar a direo tecnolgica
PO-4 Definir a organizao de TI, os seus
processos e relacionamentos
PO-5 Gerenciar o investimento em TI
PO-6 Comunicar objetivos e direcionamentos
gerenciais
PO-7 Gerenciar os recursos humanos
PO-8 Gerenciar a qualidade
PO-9 Avaliar e gerenciar riscos de TI
PO-10 Gerenciar projetos

AI (Aquisio e
Implementao)

Questes Gerenciais

Os novos projetos conseguem entregar


solues que atendem as necessidades
do negcio?
Os novos projetos conseguem ser
entregues dentro do prazo e oramento
planejados?
Os novos sistemas funcionam
adequadamente depois de
implementados?
As mudanas so conduzidas com baixo
impacto nas operaes de negcio
correntes?

AI-1 Identificar solues automatizadas


AI-2 Adquirir e manter software aplicativo
AI-3 Adquirir e manter infraestrutura tecnolgica
AI-4 Viabilizar operao e utilizao
AI-5 Adquirir recursos de TI
AI-6 Gerenciar mudanas
AI-7 Instalar e aprovar solues e mudanas

25 A sigla DS vem do ingls Delivery and Support.


26 A sigla ME vem do ingls Monitor and Evaluate.

Questes Gerenciais

Processos de TI

DS (Entrega e Suporte)

Os servios de TI esto sendo entregues


com alinhamento s prioridades do
negcio?
Os custos de TI esto otimizados?
As equipes de trabalho so capazes de
utilizar os sistemas de TI com segurana e
produtividade?
Atributos como confidencialidade,
integridade e disponibilidade esto
implementados de forma adequada?

DS-1 Definir e gerenciar nveis de servio


DS-2 Gerenciar servios terceirizados
DS-3 Gerenciar desempenho e capacidade
DS-4 Garantir a continuidade dos servios
DS-5 Garantir a segurana dos sistemas
DS-6 Identificar e alocar custos
DS-7 Educar e treinar usurios
DS-8 Gerenciar central de servios e incidentes
DS-9 Gerenciar a configurao
DS-10 Gerenciar problemas
DS-11 Gerenciar dados
DS-12 Gerenciar o ambiente fsico
DS-13 Gerenciar operaes

ME (Monitorao e
Avaliao)

Modelos Abrangentes de Governana de TI 217

As medies de desempenho da TI
detectam problemas antes que seja tarde
demais?
H garantias de que os controles internos
sejam eficientes e eficazes?
possvel associar diretamente o
desempenho de TI s metas de negcio
estabelecidas anteriormente?
Existem controles para confidencialidade,
integridade e disponibilidade adequados
para garantir a segurana da informao?

ME-1 Monitorar e avaliar o desempenho da TI


ME-2 Monitorar e avaliar os controles internos
ME-3 Assegurar conformidade com requisitos
externos
ME-4 Fornecer governana para a TI

Tabela 6.2 Questes e processos dos domnios do CobiT


Adaptado de IT Governance Institute (2007b)

6.2.3.3 Controle atravs de objetivos


O CobiT define como controle o conjunto de polticas, procedimentos,
prticas e estruturas organizacionais desenvolvidas para dar uma garantia razovel de que os objetivos de negcio sero atingidos e de que eventos indesejveis sero prevenidos ou mesmo detectados e corrigidos.
Um objetivo de controle define um resultado desejado ou propsito a ser
atingido atravs da implementao de procedimentos de controle em uma
atividade de TI especfica. O CobiT sustenta ainda que os seus objetivos de
controle constituem os requisitos mnimos para que os processos de TI possam ser controlados de forma eficaz.
A dinmica de controle bastante trivial: as informaes de controle ex
tradas da operao de cada processo de TI so comparadas aos objetivos de

218 Implantando a Governana de TI 3 edio

controle (assim como s normas e padres vigentes), e aes corretivas/preventivas so empreendidas para a melhoria do processo.
Cada processo de TI do CobiT tem uma descrio de processo e vrios objetivos de controle detalhados. H requisitos de controle genricos, aplicveis
a todos os processos, tais como:
Definio e divulgao de metas e objetivos especficos para cada
processo (mensurveis, factveis, realistas, orientados a resultados, eficientes e aderentes aos objetivos do negcio).
Estabelecimento de um dono para o processo, com responsabilidades claras (criao, interao com outros processos, resultados
finais, medio de desempenho, identificao de oportunidades de
melhoria).
Repetibilidade, visando a gerao dos resultados esperados de forma
consistente.
Papis e responsabilidades definidos sem ambiguidades (estabelecidas
de acordo com uma matriz RACI Responsvel, Aprovador, Consultado, Informado).
Definio e divulgao das polticas, procedimentos e planos relativos
ao processo.
Desempenho do processo medido em relao s respectivas metas.

Podem tambm existir controles especficos vinculados a aplicaes, integrados aos processos de negcio que os suportam atravs de procedimentos
relacionados a:
Autorizao e criao de dados (preparao, autorizao, coleta de
dados, tratamento de erros e reteno de fontes de dados).
Entrada de dados (autorizao, consistncia e tratamento de erros).
Processamento de dados (garantia de integridade, validao, edio e
tratamento de erros).
Sada de dados (tratamento e reteno, distribuio, balanceamento,
reconciliao, tratamento de erros).
Interfaces (autenticidade, integridade e proteo de informaes importantes durante operaes de transmisso e/ou transporte).

Modelos Abrangentes de Governana de TI 219

6.2.3.4 Direcionamento para medies


Talvez um dos maiores desafios das empresas seja visualizar o nvel de profundidade que deve ser adotado pelos mecanismos de controle e medies de desempenho. Em primeiro lugar, necessrio definir o que deve ser medido, como
e onde obter os dados e em que perspectiva os resultados devem ser agregados.
As empresas devem medir a situao atual, principalmente nos aspectos
onde alguma ao de melhoria necessria, e monitorar estas aes de forma
sistemtica. Finalmente, para decidir qual o ponto certo, deve-se analisar a
relao custo-benefcio do controle.
A abordagem do CobiT para questes como essas compreende:
Modelos de Maturidade: para cada processo de TI, estabelecido
um modelo de maturidade baseado em nveis27, atravs do qual uma
organizao poder ser avaliada como:
Nvel 0 (Inexistente): processos de gesto no so aplicados;
Nvel 1 (Inicial/Ad Hoc): processos so espordicos e desorganizados, com abordagens de gesto aplicadas caso a caso.
Nvel 2 (Repetitivo mas Intuitivo): processos seguem um padro
de regularidade, com alta dependncia do conhecimento dos indivduos.
Nvel 3 (Definido): processos so padronizados, documentados
e comunicados.
Nvel 4 (Gerenciado e Mensurvel): processos so monitorados
e medidos quanto conformidade com os procedimentos, e aes
so tomadas quando os resultados no so efetivos.
Nvel 5 (Otimizado): boas prticas so seguidas e automatizadas
com base em resultados de melhorias contnuas e de aes de modelagem de maturidade junto a outras empresas.

Atravs destes modelos de maturidade, a gerncia tem condies de:

Mapear a situao atual da organizao.


Comparar com a situao das melhores organizaes no segmento
(benchmarking).

27 O modelo de maturidade padro do CobiT foi derivado do SW-CMM (Capability Maturity Model para
projetos de software, do Software Engineering Institute).

220 Implantando a Governana de TI 3 edio

Comparar com padres internacionais.


Estabelecer e monitorar passo a passo as melhorias dos processos
rumo estratgia da organizao.
Metas e Medies de Desempenho28: demonstram, em trs nveis,
o que o negcio espera da TI (metas de TI), o que o processo de TI
precisa entregar para suportar os objetivos da TI (metas de processo)
e o que precisa acontecer dentro do processo para que o desempenho
requerido seja atingido (metas de atividades). O CobiT usa dois tipos
de indicadores:
Medies de Resultados (Outcome Measures) definem as medies que informam gerncia se um processo de TI atingiu os
objetivos de negcio tambm denominadas lag indicators.
Indicadores de Desempenho (Performance Indicators) definem
as medies que informam gerncia o quanto os processos de
TI esto sendo bem executados no sentido de viabilizar o atendimento dos objetivos de negcio tambm denomimadas lead
indicators.

As metas so definidas de forma que haja correlao entre elas, ou seja, as


metas de negcio devem determinar quantas e quais metas de TI iro suport-las e assim por diante.
Analogamente, as medies de resultados em um determinado nvel podem se tornar indicadores de desempenho para o nvel superior. Por exemplo, a quantidade de incidentes causados por acesso no autorizado (medio
de resultado do processo) pode ser um indicador de desempenho ligado
meta de TI assegurar que os servios de TI resistam e possam se recuperar
de ataques.

6.2.3.5 Viso integrada do modelo


Em poucas palavras, o CobiT pode ser definido em funo do princpio
bsico do seu framework: Recursos de TI so gerenciados por Processos de
TI para atingir Metas de TI, que, por sua vez, esto estreitamente ligadas aos
Requisitos do Negcio.
28 Os termos Outcome Measures e Performance Indicators substituram, respectivamente, as siglas
KGI (Key-Goal Indicator) e KPI (Key-Performance Indicators), utilizadas nas verses anteriores do CobiT.

Modelos Abrangentes de Governana de TI 221

Esta viso integrada pode ser visualizada atravs do Cubo CobiT,


ilustrado na Figura 6.5.
Requisitos do Negcio

fi

on

n
de

rid

In

g
te

is

ib

n
po

a
lid
o

rm

o
nf

de

de

a
id

a
lid

bi

ia
nf

Atividades

Informao

Processos

Sistemas Aplicativos

Domnios

Processos de TI

Medies de Resultados
("lag indicators")
Indicadores de Desempenho
("lead indicators")

fic

ia

de

e
ad

Pessoas

ic
Ef

a
ci

Infraestrutura

ia

de

a
lid

os
rs I
u
ec T
R de

Figura 6.5 Cubo CobiT


Adaptado de IT Governance Institute (2007b)

6.2.3.6 Contedo dos processos de TI


Como integrantes principais do ncleo do CobiT, os processos de TI so
organizados na documentao do modelo de forma a mostrar uma viso completa sobre como devem ser controlados, gerenciados e medidos. Assim, cada
um dos 34 processos de TI descrito atravs de seus componentes inter-relacionados (ver Figura 6.6):
Descrio do processo, representada em forma de cascata, mostrando:

222 Implantando a Governana de TI 3 edio

Mapeamento do processo aos critrios de informao, reas-foco


de Governana de TI e Recursos de TI, medidos atravs de graus
de relacionamento (primrio impacto direto, secundrio influncia indireta ou no aplicvel).
Sumrio das Metas de TI, de processo e de atividade mais importantes.
Sumrio das mtricas-chave para o processo.
Objetivos de controle detalhados (representando as atividades que os
decompem).
Diretrizes para gerenciamento:
Entradas e sadas.
Matriz de responsabilidades, associando os papis s atividades.
Metas de atividades, de processo e de TI.
Quadro relacionando as medies de resultados e indicadores de
desempenho s metas correspondentes.
Modelo de maturidade utilizado para avaliar o processo em relao
aos benchmarks preestabelecidos.

Figura 6.6 Inter-relacionamentos entre os componentes do CobiT


Fonte: IT Governance Institute (2007b)

Modelos Abrangentes de Governana de TI 223

6.2.3.7 Produtos CobiT complementares


Alm do documento principal CobiT 4.1, que rene o framework, as diretrizes de gerenciamento e os objetivos de controle, h outros produtos que
complementam o seu contedo, cada um com um foco especfico (ver site da
ISACA www.isaca.org), tais como:
Board Briefing on IT Governance: guia executivo que aborda o entendimento da importncia da Governana de TI e das suas principais
caractersticas, assim como das responsabilidades da alta direo na
sua conduo.
Building the Business Case for CobiT and Val IT Executive Briefing:
mostra uma viso geral de casos de implantao do CobiT e Val IT
em empresas de diversos segmentos.
Information Security Governance: Guidance for Boards of Directors and
Executive Management, 2nd Edition: apresenta a segurana da informao nos termos do negcio, assim como ferramentas e tcnicas
para lidar com questes ligadas segurana da informao.
Implementing and Continually Improving IT Governance: fornece uma
abordagem para a implantao da Governana de TI.
CobiT Online: permite aos usurios customizar uma verso do CobiT para seu uso prprio, armazenar e manipular sua verso como
desejado. Oferece pesquisas, frequently asked questions, benchmarking
e um ambiente para facilitar a troca de experincias.
CobiT Training: oferece cursos relacionados ao CobiT, incluindo exames.
CobiT Quickstart: fornece uma base de controle para pequenas organizaes e orienta empresas maiores a darem os primeiros passos na
direo do controle dos seus processos.
CobiT Security Baseline: focaliza os passos principais para a implementao da segurana da informao em uma empresa, alinhada
com a norma ISO/IEC 17799.
CobiT mappings: mapas de correlao com outros modelos, tais como
CMMI, ITIL, PRINCE 2, PMBOK, ISO/IEC 17799 etc.
CobiT user guide for service managers: Tem por objetivo fornecer
um guia sobre como usar o CobiT no desempenho de um papel
particular.

224 Implantando a Governana de TI 3 edio

CobiT and application control: a management guide: Fornece orientao para executives de negcio, gerentes de negcio, auditores de
TI, bem como para desenvolvedores e implementadores, auditores
internos e outros interessados.
CobiT Control Practices: fornece orientao sobre o valor dos controles e como implement-los.
IT Assurance Guide- using CobiT: fornece diretrizes em alto nvel para
a conduo de iniciativas de teste e validao, visando garantir que
os objetivos de controle do CobiT estejam corretamente implementados.
IT Control Objectives for Sarbanes-Oxley: esta publicao fornece aos
CIOs, gerentes de TI e profissionais de auditoria e controle ideais de
avaliao e abordagens relativas aos controles internos de relatrios
financeiros.
Val IT: complementa o CobiT a partir de uma perspectiva financeira
e de negcios, fornecendo diretrizes para que as organizaes gerenciem o seu portflio de investimentos de negcio habilitados pela TI
e maximizem os resultados.

6.2.4 Aplicabilidade

do modelo

A partir do alinhamento com os requisitos de alto nvel do negcio e da


boa convivncia com outros padres e modelos de boas prticas existentes no
mercado, o CobiT cobre todo o conjunto de atividades de TI, concentrando-se mais em o que deve ser atingido em vez de como atingir, em termos
de governana, gesto e controle. Neste sentido, recomenda-se que o CobiT
seja utilizado no nvel estratgico, com o objetivo de delinear uma estrutura
de controle e gesto baseada em um modelo de processos que seja aplicvel
para toda a empresa.
Entre as vrias oportunidades de aplicao em uma organizao, podem
ser ressaltadas:
Avaliao dos processos de TI: a grande abrangncia do CobiT e o
alto grau de padronizao permite a sua utilizao como um checklist
para avaliar os pontos fortes e os pontos fracos dos seus processos,
servindo como subsdio para a proposio de aes de melhoria.

Modelos Abrangentes de Governana de TI 225

Auditoria dos riscos operacionais de TI: os processos podem ser avaliados em conjunto ou isoladamente, e as suas discrepncias em relao aos padres analisadas em relao aos riscos que podem representar para o negcio da empresa, em termos de sua probabilidade de
ocorrncia e da severidade do impacto.
Implementao modular da Governana de TI: prticas e padres
relativos a reas e processos especficos podem ser mapeados para
os processos do modelo (mesmo que baseadas em outros modelos,
como ITIL, CMMI, PMBOK, etc.), de forma a criar uma estrutura
hierrquica de processos de gesto, reutilizando prticas e processos
j existentes.
Realizao de benchmarking: a existncia de modelos de maturidade
para cada processo de TI permite que uma organizao possa montar
uma estratgia baseada na sua situao atual em termos de Governana de TI, utilizando como parmetros de comparao dados de outras
empresas best-in-class, ou padres internacionais de mercado, e estabelecendo suas prprias metas de crescimento e melhoria contnua.
Qualificao de fornecedores de TI: como j acontece com o mercado
de desenvolvimento de software (atravs de modelos como CMMI),
o modelo de maturidade do CobiT tambm pode ser utilizado como
qualificador na contratao de servios de TI, ou mesmo no estabelecimento de nveis de servio dentro de uma organizao. A grande vantagem da utilizao deste modelo a padronizao, ou seja,
a utilizao dos mesmos critrios para avaliar processos em diversas
organizaes.

Como modelo de Governana de TI, o CobiT pode ser aplicado tanto em


pequenas organizaes como em grandes empresas de TI, desde que esteja
consistente com os objetivos de negcio e com as suas estratgias relacionadas
TI. A implantao de padres e boas prticas pode ser mais bem-sucedida
se for aplicada como um conjunto de princpios e como um ponto de partida
para a adaptao dos processos de TI da empresa, em vez de uma soluo
pronta para todos os problemas. Apesar de estar estreitamente relacionado
ao conceito de auditoria, o framework do CobiT pode ser utilizado de forma
gradual, em conformidade com um planejamento estratgico que estabelea
prioridades para a implementao ou melhoria dos processos de TI.

226 Implantando a Governana de TI 3 edio

Em relao ao pblico-alvo dentro de uma organizao, o CobiT aplicvel a usurios com diferentes focos:
Gesto Executiva: fornece orientao acerca da obteno de retorno
sobre os investimentos em TI, auxiliando a balance-los com os riscos
inerentes ao ambiente de TI.
Gesto do Negcio: auxilia a obter maiores garantias sobre o gerenciamento dos servios de TI, prestados por colaboradores internos ou terceirizados.
Gesto de TI: Auxilia a prover os servios de TI adequados para suportar a estratgia do negcio, de forma controlada e gerenciada.
Auditores: fornece embasamento para suas concluses e orientao
para a gesto dos controles internos.

6.2.5 Benefcios

do modelo

A forma atravs da qual o CobiT est estruturado favorece muito o entendimento dos processos de TI e, consequentemente, fornece um excelente guia
para a sua implementao ou melhoria nas organizaes, assim como para a
avaliao da maturidade atual dos processos existentes. A utilizao sistemtica do CobiT como um modelo de gesto poder trazer vrios benefcios para
uma organizao, tais como:
Responsabilidades e protocolos de comunicao bastante claros, tornando a circulao de informaes mais direta e precisa entre os grupos interessados em vrios nveis.
Viso clara acerca da situao atual dos processos de TI e de seus
pontos de vulnerabilidade.
Reduo da exposio a riscos (obviamente, caso sejam tomadas aes
de melhoria preventivas em relao aos pontos negativos dos processos).
Maior solidez e assertividade no planejamento encadeado das aes
de melhoria, devido ao entendimento das dependncias entre os processos e dos recursos necessrios a serem envolvidos.
Alta visibilidade, por parte de todos os nveis da organizao, acerca
do impacto dos esforos de melhoria nos processos de TI e dos seus
reflexos nos processos de negcio, atravs das medies de resultados
e dos indicadores de desempenho.

Modelos Abrangentes de Governana de TI 227

Reduo dos custos operacionais e de propriedade do acervo de TI


(aplicativos, infraestrutura).
Melhoria da imagem perante os clientes, atravs do aumento do
grau de satisfao e da confiabilidade em relao aos servios de
TI.

Em suma, utilizando o CobiT, uma organizao poder estabelecer


bases mais slidas para um melhor retorno sobre os investimentos em
TI.
Recentemente, foi formada pela ISACA uma fora-tarefa para determinar
se h a necessidade de um esquema formal de avaliao baseado no CobiT
4.1. Esta fora-tarefa decidiu adotar a ISO/IEC 15504, que o padro para
avaliao de processos, e recomendou que os processos Cobit possam ser avaliados com base em um esquema formal de avaliao, visando melhorar o
rigor e a confiabilidade de avaliaes de processos.
Em 2011, foi publicado o Process Assessment Model (PAM), cuja finalidade
fornecer uma base para a avaliao dos processos de TI de uma organizao,
tendo como referncia o CobiT 4.1 e a ISO/IEC 15504.

6.3. O

framework

6.3.1 Histrico

Val IT

do modelo

Este modelo foi desenvolvido como resposta necessidade de demonstrao do retorno que a TI fornece para o negcio, visto que, na maioria das
vezes, os executivos de negcio no conseguem visualizar o retorno dos investimentos de TI para o negcio.
Quem est frente da iniciativa o IT Governance Institute (ITGI), que
reuniu representantes de empresas e da academia para desenvolver o modelo,
considerando tanto metodologias j existentes como emergentes e o desenvolvimento de pesquisas.
O modelo foi publicado para uso da comunidade de TI em 2006 e, em
2008, foi publicada a sua verso 2.0.

228 Implantando a Governana de TI 3 edio

6.3.2 Objetivos

do modelo

Os objetivos do Val IT so:


Auxiliar a gerncia para assegurar que as organizaes obtenham o
mximo de retorno dos investimentos em TI para suporte ao negcio,
a um custo razovel e com um nvel de risco conhecido e aceitvel.
Prover diretrizes, processos e prticas de apoio para subsidiar a Diretoria e a gesto executiva no entendimento e no desempenho dos seus
respectivos papis, em relao aos investimentos de TI.

O Val IT pode ser considerado um modelo que estende e complementa o


CobiT, uma vez que aborda a tomada de decises em relao aos investimentos em TI e a realizao efetiva dos benefcios, enquanto o CobiT tem foco
na execuo.

6.3.3 Estrutura

do modelo

De acordo com o IT Governance Institute (2008), os princpios norteadores do Val IT so:


Investimentos de TI sero gerenciados como um portflio de investimentos.
Investimentos de TI incluiro o conjunto completo de atividades que
so requeridas para atingir o valor para o negcio.
Investimentos em TI sero gerenciados atravs do seu ciclo de vida
econmico.
Prticas de entrega de valor reconhecero que h diferentes tipos de
investimentos, os quais sero avaliados e gerenciados diferentemente.
Prticas de entrega de valor definiro e monitoraro mtricas chaves e
respondero rapidamente a quaisquer mudanas ou desvios.
Prticas de entrega de valor envolvero todos os interessados relevantes
e atribuiro responsabilidades pelo resultado de forma apropriada para
a entrega das capacitaes e a realizao dos benefcios para o negcio.
Prticas de entrega de valor sero continuamente monitoradas, avaliadas e melhoradas.

Modelos Abrangentes de Governana de TI 229

O modelo formado por quatro domnios e 22 processos. O modelo tambm apresenta a rgua de maturidade em relao a cada um dos seus domnios.
A Figura 6.7 mostra o esquema do modelo.

GOVERNANA DO
VALOR (VG)

GERENCIAMENTO
DO PORTFOLIO
(PM)

Desenvolver e avaliar o
Business Case inicial do
programa

GERENCIAMENTO
DO
INVESTIMENTO
(IM)

Estabelecer uma liderana


informada e comprometida

Definir e implementar
processos

Definir as caractersticas do
portfolio

Alinhar e integrar a gesto


do valor ao planejamento
financeiro da organizao

Estabelecer o
monitoramento efetivo da
governana

Aperfeioar continuamente
as prticas da gesto do
valor

Estabelecer a direo
estratgica e o mix de
investimentos alvos

Determinar a
disponibilidade e fontes
dos fundos

Gerenciar a disponibilidade
de recursos humanos

Avaliar e selecionar
programas para receber
fundos

Monitorar e comunicar o
desempenho do portfolio
de investimento

Otimizar o desempenho do
portfolio de investimento

Entender o programa
candidato e opes de
implementao

Desenvolver o plano do
programa

Desenvolver os custos e
benefcios do ciclo de vida

Desenvolver em detalhe o
Business Case do
programa candidato

Lanar e gerenciar o
programa

Atualizar os portfolios
operacionais de TI

Atualizar o Business Case

Monitorar e comunicar
sobre o programa

Encerrar o programa

Figura 6.7 Modelo Val IT


Fonte: IT Governance Institute (2008)

Os domnios preconizados pelo modelo so:


Governana do Valor (VG): estabelece o framework de governana,
incluindo a definio de portflio requerido para gerenciar investimentos e os servios de TI resultantes, ativos e recursos.
Gerenciamento do Portflio (PM): estabelece o direcionamento estratgico para os investimentos, as caractersticas do portflio de investimento e as restries de recursos e fundos a partir das quais as
decises sobre o portflio tm que ser feitas.
Gerenciamento do Investimento (IM): define os programas potenciais baseado em requisitos do negcio, determina se devem ser con-

230 Implantando a Governana de TI 3 edio

siderados para anlise posterior e desenvolve os Business Cases para os


programas de investimentos candidatos para avaliao pelo gerenciamento do portflio.
Para o modelo, as prticas gerenciais so caractersticas de processos bem-sucedidos.
O domnio de Governana do Valor contm seis processos:
VG1 Estabelecer uma liderana informada e comprometida: estabelecer uma liderana informada e comprometida em um frum de liderana e uma subordinao do CIO conforme a importncia da TI para
a organizao. Desenvolver um entendimento adequado dos elementos
chaves da governana e abordagens claras na estratgia da empresa para
TI. Assegurar o alinhamento e a integrao do negcio com a TI.
VG2 Definir e implementar processos: definir um framework de governana para a gesto do valor de TI, incluindo os processos de suporte.
Avaliar a qualidade e cobertura dos processos atuais, definir os requisitos
dos futuros processos de forma que forneam o controle e a visibilidade
necessria e permitir ligaes ativas entre estratgia, portflio, programas
e projetos. Estabelecer as estruturas organizacionais e implementar os
processos considerando os papis e as responsabilidades correspondentes.
VG3 Definir as caractersticas do portflio: definir os diferentes
tipos de portflio. Definir as categorias em cada portflio, incluindo
seu peso relativo. Desenvolver e comunicar como essas categorias sero avaliadas comparativamente e de forma transparente. Definir os
requisitos para os pontos de reviso para cada categoria.
VG4 Alinhar e integrar a gesto do valor ao planejamento financeiro
da organizao: rever as prticas atuais de elaborao do oramento da
organizao, identificar e, subsequentemente, implementar as mudanas necessrias para o emprego de prticas de planejamento financeiro e
gesto de valor, visando facilitar a preparao de Business Cases, a tomada de deciso sobre investimentos e a gesto dos investimentos.
VG5 Estabelecer o monitoramento efetivo da governana: identificar as mtricas e metas de resultado para o gerenciamento dos processos de gesto do valor a serem monitorados, bem como identificar
abordagens, mtodos, tcnicas e processos para capturar e comunicar
as informaes sobre essas medies. Estabelecer como os desvios ou

Modelos Abrangentes de Governana de TI 231

problemas sero identificados e monitorar e comunicar os resultados


das aes de remediao.
VG6 Aperfeioar continuamente as prticas de gesto do valor:
rever as lies aprendidas da gesto do valor. Planejar, iniciar e monitorar as mudanas necessrias para aperfeioar a gesto do valor e os
processos de gerenciamento do portflio e do investimento.
O domnio de Gerenciamento do Portflio contm seis processos:
PM1 Estabelecer a direo estratgica e um mix de investimentos
alvos: rever e assegurar, claramente, a estratgia do negcio e identificar
e comunicar oportunidades para TI influenciar ou apoiar a estratgia.
Definir um mix apropriado de investimentos baseado em taxa de retorno, grau de risco e tipos de benefcios para os programas no portflio
que implementam a estratgia. Ajustar a estratgia do negcio quando
necessrio e traduzi-la para a estratgia e os objetivos de TI.
PM2 Determinar a disponibilidade e fontes de fundos: determinar
as fontes potenciais de financiamento para os programas, os nveis de
financiamentos que podem ser obtidos e os mtodos necessrios para
obt-los. Determinar as implicaes da fonte de financiamento sobre
as expectativas de retorno.
PM3 Gerenciar a disponibilidade de recursos humanos: criar e
manter os recursos humanos do negcio e da TI. Entender a demanda atual e futura por recursos humanos para apoiar os investimentos
apoiados em TI e identificar restries e escassez. Criar e manter planos tticos para o gerenciamento de RH. Monitorar e rever os planos
e as estruturas organizacionais e ajustar quando necessrio.
PM4 Avaliar e selecionar programas para receber fundos: avaliar
os Business Cases dos programas, atribuir um score, tomar decises e
comunic-las com base na viso geral do portflio de investimento
e nos scores individuais de cada programa. Subsequentemente, alocar
os fundos, revisar os programas em seus pontos de controle, mover
os programas selecionados para o portflio de investimentos ativos,
ajustando as metas, as previses e o oramento do negcio.
PM5 Monitorar e comunicar o desempenho do portflio de investimento: fornecer uma viso abrangente e exata do desempenho do
portflio de investimento, no tempo requerido, de forma a permitir

232 Implantando a Governana de TI 3 edio

revises do progresso em relao s metas do negcio por parte dos


stakeholders chaves.
PM6 Otimizar o desempenho do portflio de investimento: rever
periodicamente o desempenho do portflio de investimento e otimizar para novas oportunidades, sinergias e mudanas de riscos. Aps
a otimizao, rever contra a estratgia do negcio e o mix de investimentos e fazer nova priorizao dos programas, se necessrio.
O domnio de Gerenciamento do Investimento contm dez processos:
IM1 Desenvolver e avaliar o Business Case inicial do programa: reconhecer oportunidades de investimento, classificar essas oportunidades
de acordo com as categorias do portflio e identificar o patrocinador do negcio. Clarificar os resultados esperados para o negcio e
fornecer uma viso de alto nvel para todas as iniciativas requeridas
para atingir os resultados e como podem ser medidos. Fornecer uma
estimativa inicial de benefcios e de custos, bem como as premissas e
os principais riscos, e obter a concordncia formal dos stakeholders.
Determinar se a oportunidade merece um Business Case detalhado,
considerando o alinhamento com a estratgia, benefcios e gastos, limitaes de recursos e aderncia ao portflio de investimento.
IM2 Entender o programa candidato e opes de implementao:
envolver todos os stakeholders chaves para desenvolver e documentar
um completo entendimento dos resultados esperados para o negcio
a partir do programa candidato, considerando como os resultados
sero medidos, o escopo total de cada iniciativa requerida para atingir
os resultados, os riscos envolvidos e o impacto em todos os aspectos
da organizao. Identificar e avaliar cursos de ao alternativos para
obter os resultados para o negcio.
IM3 Desenvolver o plano do programa: definir e documentar todos
os projetos requeridos para atingir os resultados do programa para o
negcio. Especificar os requisitos de recursos e os mtodos de obt-los. Fornecer um cronograma que leve em considerao as interdependncias entre os diversos programas.
IM4 Desenvolver os custos e benefcios do ciclo de vida: preparar
um oramento para o programa, com base nos custos do seu ciclo de
vida. Listar todos os benefcios intermedirios e finais para o negcio

Modelos Abrangentes de Governana de TI 233

em uma lista de benefcios e planejar como sero obtidos. Identificar e


documentar as metas de resultados esperadas, incluindo seu mtodo de
mensurao e abordagem de mitigao. Submeter oramentos, custos,
benefcios e planos associados para reviso, refinamento e aprovao.
IM5 Desenvolver, em detalhe, o Business Case do programa candidato: desenvolver um Business Case abrangente e completo do programa, contemplando propsito, objetivos, abordagens e escopo,
dependncias, riscos, pontos de controle e impactos de mudanas
organizacionais. Incluir uma avaliao do valor, considerando o ciclo de vida do investimento em termos de custos e benefcios, taxa
de retorno esperada, alinhamento estratgico e principais premissas. Fornecer tambm um plano do programa cobrindo os projetos
componentes, plano de realizao de benefcios, a abordagem para
o gerenciamento de riscos, gerenciamento da mudana e a estrutura
para o gerenciamento do programa. Atribuir responsabilidades pelo
atendimento aos benefcios, controle de custos, controle de riscos e
pela coordenao entre os mltiplos projetos. Obter concordncia e
aceitao das responsabilidades.
IM6 Lanar e gerenciar o programa: planejar, alocar recursos e comissionar os projetos necessrios para atender aos resultados do programa.
Planejar recursos para projetos posteriores e liberar oramento somente
aps os estgios de reviso do programa. Gerenciar o desempenho do
programa contra critrios chaves, identificar desvios do plano e tomar
aes de remedio imediatas. Monitorar o desempenho de cada projeto individualmente contra seus critrios, identificar impactos potenciais sobre o desempenho do programa e tomar aes de remedio
quando necessrio. Monitorar os benefcios durante o desenvolvimento
do programa, verificando os benefcios obtidos at o ponto de reviso,
avaliar probabilidades de atendimento abaixo ou acima dos resultados
e comunicar o progresso dos benefcios a partir dos pontos de controle.
Iniciar aes corretivas a tempo para os desvios significantes do plano.
IM7 Atualizar os portflios operacionais de TI: refletir as mudanas
resultantes no programa de investimento sobre os servios relevantes
de TI, ativos e recursos.
IM8 Atualizar o Business Case: atualizar o Business Case do programa para refletir o status atual sempre que ocorrer qualquer mudana
em custos e benefcios projetados, riscos e oportunidades.

234 Implantando a Governana de TI 3 edio

IM9 Monitorar e comunicar sobre o programa: monitorar o desempenho de todo o programa e de todos os projetos e comunicar
para os Comits Executivos apropriados, a tempo, na forma completa e exata, cobrindo a entrega de capacidades tcnicas e de negcio,
aspectos operacionais da entrega de servios, impacto sobre recursos,
resultados e benefcios obtidos para o negcio. A comunicao deve
incluir o desempenho do plano do programa em termos de cronograma e oramento, completude e qualidade de funcionalidades entregues, o status de controles internos e da mitigao de riscos e a
manuteno da aceitao pelas responsabilidades.
IM10 Encerrar o programa: trazer o programa para seu encerramento e remov-lo do portflio de investimento quando houver concordncia das partes interessadas de que os benefcios foram alcanados ou que no sero alcanados com os critrios de avaliao do
programa.

A rgua de maturidade do modelo similar utilizada pelo CobiT.

6.3.4 Aplicabilidade

do modelo

Este modelo demonstra claramente as seguintes aplicaes:


O planejamento e a gesto de investimentos em TI.
A gesto de programas de investimento em TI.
A gesto do portflio de TI.
A implementao de um processo para o planejamento e a gesto de
investimentos e do portflio de TI.

Acreditamos que o Val IT umas das peas que faltam em TI para que ela
demonstre o valor que gera para o negcio.
Entretanto, a implantao de seus processos demanda uma mudana cultural bastante intensa, alm de mtodos e tcnicas analticas sobre itens de
informao (por exemplo, dados de custos dos atributos dos processos empresariais, dados de concorrentes, da indstria) relevantes para o negcio e para
a operao de TI e que envolvem uma cadeira organizacional de responsabi-

Modelos Abrangentes de Governana de TI 235

lidades relativamente complexa. A Tabela 6.3 apresenta as responsabilidades


pelas atividades, conforme preconizado pelo Val IT.
Responsabilidade pela
prestao de contas

Atividade

Responsabilidade pela execuo

Governana de Valor
Estabelecer uma liderana
informada e comprometida

Board

CEO (Chief Executive Officer)

Definir e implementar processos

CEO

CFO (Chief Financial Officer) e


CEO

Definir as caractersticas do
portflio

Board

CEO, CFO e CIO

Alinhar e integrar a gesto do valor Board


ao planejamento financeiro da
organizao

CFO

Estabelecer o monitoramento
efetivo da governana

Board

CFO

Aperfeioar continuamente as
prticas de gesto de valor

Board

Executivos e gerentes do negcio

Gerenciamento do Portflio
Estabelecer a direo estratgica e Board e CIO
o mix de investimentos

CEO, CFO e CIO

Determinar disponibilidade e fontes CFO


de fundos

CFO, CIO e gerncias do negcio

Gerenciar a disponibilidade de
recursos humanos

Gerncia do negcio

Gerente do programa e CIO

Avaliar e selecionar programas


para receber fundos

Gerncia executiva

Comit de investimentos e servios


e VMO

Monitorar e comunicar o
desempenho do portflio de
investimentos

VMO (Value Management Officer)

VMO

Otimizar o desempenho do portflio Gerncia executiva


de investimento

Comit de investimentos e
gerncias de negcios

Gerenciamento do investimento
Desenvolver e avaliar o Business
Case inicial do programa

Patrocinador do negcio

Gerncia de negcios

Entender o programa candidato e


desenvolver o plano do programa

Patrocinador do negcio

Gerente do programa

236 Implantando a Governana de TI 3 edio

Responsabilidade pela
prestao de contas

Atividade

Responsabilidade pela execuo

Gerenciamento do investimento
Desenvolver os custos e benefcios Patrocinador do negcio
do ciclo de vida

Gerente do programa

Desenvolver em detalhe o
Business Case do programa

Patrocinador do negcio

Gerente do programa, CFO e CIO

Lanar e gerenciar o programa

Gerente do programa

Gerncia de negcios e CIO

Atualizar os portflios operacionais CIO


de TI

Gerente do programa e Escritrio


de gerenciamento do programa

Atualizar o Business Case

Patrocinador do negcio

Gerente do programa, CFO e CIO

Monitorar e comunicar sobre o


programa

Patrocinador do negcio

Gerente do programa

Tabela 6.3 Responsabilidades sobre a gesto do valor

Do ponto de vista da Governana de TI, o Val IT complementar ao


nosso modelo e ao CobiT e tambm pode ser usado para avaliar o retorno de
todo tipo de iniciativas de implementao de processos de TI baseados nas
melhores prticas, tais como CMMI, ITIL, PMBOK etc.

6.3.5 Benefcios

do modelo

Atualmente, um dos grandes problemas para o CIO demonstrar o valor


dos investimentos em TI. Muitas vezes um investimento necessrio para
responder a um crescimento vegetativo do negcio (ou seja, o valor manter
o negcio sustentado) ou para mitigar riscos (que uma coisa que depende
muito da cultura organizacional de cada organizao). Em ambos os casos, os
executivos do negcio no entendem por que gastar tanto dinheiro com TI.
Acreditamos que a implantao desses processos deve ser precedida de uma
estratgia de educao dos executivos de negcio. No um processo unilateral da TI, como pode ser visto na tabela de responsabilidades.
O entendimento dos executivos de negcio acerca da TI, seu potencial e
seu impacto no negcio facilitaria a implantao desse modelo.
Podemos vislumbrar os seguintes benefcios com a utilizao do modelo
Val IT:

Modelos Abrangentes de Governana de TI 237

Aumenta o entendimento e a transparncia dos custos, riscos e benefcios dos investimentos de TI.
Aumenta a probabilidade da seleo dos melhores investimentos, ou
seja, aqueles que trazem maiores benefcios e retorno para o negcio.
Aumento da possibilidade de sucesso dos investimentos.
Obteno de maior controle sobre a realizao dos benefcios dos
investimentos de TI.
Investimentos alinhados com a estratgia da empresa.
Possibilidade de alinhar rapidamente os investimentos face s mudanas no negcio.
O CIO consegue demonstrar o valor dos investimentos em TI.
A comunicao entre TI e negcio fica facilitada.

6.4. O Framework Risk IT


6.4.1 Histrico

do modelo

Este modelo foi desenvolvido como parte da iniciativa de riscos de TI da


ISACA, e para o seu desenvolvimento foram consultados vrios especialistas
ao redor do globo. O modelo dedicado a auxiliar no gerenciamento de riscos
relacionados a TI e um complemento do CobiT.
A primeira verso do modelo foi publicada em 2009.

6.4.2 Objetivos

do modelo

Os objetivos do modelo so:


Integrar o gerenciamento de risco de TI com o Sistema de Gerenciamento de Riscos da Organizao (Enterprise Risk Management
ERM).
Tomar decises bem informadas sobre a extenso dos riscos, assim
como sobre a tolerncia e o apetite por riscos da organizao.
Entender como responder aos riscos.

238 Implantando a Governana de TI 3 edio

6.4.3 Estrutura

do modelo

De acordo com ISACA (2009), os princpios fundamentais do modelo so:


A efetiva governana dos riscos de TI est sempre conectada aos objetivos do negcio:
O risco de TI tratado como um risco do negcio, em vez de ser
um tipo de risco separado, e a abordagem abrangente e multifuncional.
O foco est no resultado do negcio. A TI apoia o atingimento
dos objetivos do negcio, e os riscos so expressos em termos do
impacto que tm sobre o atendimento dos objetivos ou da estratgia do negcio.
Toda anlise de riscos contempla uma anlise de dependncia do
processo de negcio em relao a recursos de TI, tais como aplicaes, infraestrutura, servios e pessoas.
O gerenciamento de riscos de TI um habilitador do negcio e
no um inibidor. O risco de TI deve ser visto sob dois ngulos:
protege contra a destruio do valor e permite a criao de valor
(risco positivo).
A efetiva governana dos riscos de TI alinha o gerenciamento dos
riscos relacionados a TI com o Sistema de Gerenciamento de Riscos
da organizao:
A quantidade de riscos com que a empresa est disposta a lidar
claramente definida.
O processo de tomada de deciso da organizao considera o conjunto completo de consequncias e oportunidades em funo dos
riscos de TI.
O apetite por riscos de TI da organizao reflete sua filosofia de
gerenciamento de riscos e influencia a sua cultura e o seu estilo
operacional.
A viso de risco integrada para toda a organizao.
Existe atestao e aprovao do ambiente de controle.
A efetiva governana dos riscos de TI faz o balanceamento dos custos
e benefcios para gerenciar os riscos de TI:
Os riscos so priorizados e tratados em linha com o apetite e a
tolerncia aos riscos.

Modelos Abrangentes de Governana de TI 239

Controles so implementados para tratar dos riscos baseados em


uma anlise de custo-benefcio.
Os controles existentes so fortalecidos ou alavancados para tratar
de mltiplos riscos ou trat-los de forma mais eficiente.
A gesto efetiva dos riscos de TI promove uma comunicao aberta e
honesta sobre os riscos de TI:
Informao transparente, aberta, exata e no tempo requerido sobre os riscos de TI compartilhada e serve como base para a tomada de deciso relacionada aos riscos de TI.
Consideraes, princpios e mtodos de gerenciamento de riscos
so integrados por toda a organizao.
Constataes tcnicas so traduzidas em termos de negcio.
A gesto efetiva dos riscos de TI estabelece o tom correto da alta administrao, enquanto define e refora a responsabilidade por operar as
atividades da organizao dentro de limites conhecidos de tolerncia:
Pessoas-chave, influenciadores, responsveis pelos negcios e a
Direo Executiva esto engajados no gerenciamento de riscos.
As responsabilidades sobre a propriedade do risco esto claramente definidas e aceitas, com o direcionamento sendo demonstrado
atravs de polticas e procedimentos, e do nvel correto de reforo.
Uma cultura de conscientizao para os riscos promovida a partir da Alta Administrao, assegurando que aqueles que esto envolvidos com a gesto operacional dos riscos trabalhem dentro
das premissas estabelecidas.
Decises sobre riscos so tomadas por pessoas autorizadas com o
foco na gesto do negcio (por exemplo, investimentos em TI,
financiamento de projetos, mudanas significativas no ambiente
de TI, avaliaes de riscos, monitoramento e testes dos controles).
A gesto efetiva dos riscos de TI promove a melhoria contnua e
parte das atividades dirias:
Em virtude da natureza dinmica do risco, o gerenciamento de
riscos um processo iterativo e permanente.
dada ateno a mtodos consistentes de avaliao, papis e responsabilidades, ferramentas tcnicas e critrios por toda a organizao, em especial: identificao dos processos-chave e riscos
associados, entendimento dos impactos sobre os resultados do
negcio e identificao de gatilhos que indicam quando o framework ou seus componentes devem ser atualizados.

240 Implantando a Governana de TI 3 edio

As prticas de gerenciamento de riscos so priorizadas e embutidas nos processos de tomada de deciso.


As prticas de gerenciamento de riscos so diretas e fceis de usar
e contm elementos para detectar ameaas e riscos potenciais,
preveni-los e mitig-los.

Para o modelo, as categorias de riscos de TI so:


Riscos para a agregao de benefcios/valor pela TI: associados com
a perda de oportunidades de uso da TI para melhorar a eficincia e
eficcia dos processos de negcio ou para promover novas iniciativas
de negcio.
Riscos para a entrega de projetos e programas de TI: associados com a contribuio da TI para melhorar o negcio ou para
o desenvolvimento de novas solues, na forma de programas e
projetos.
Riscos para a entrega de operaes e servios de TI: associados
com todos os aspectos de desempenho dos sistemas e servios
de TI, que podem trazer a reduzir ou mesmo destruir o valor da
empresa.

Para o modelo, Risco de TI : o risco do negcio associado com uso, propriedade, operao, envolvimento, influncia e adoo da TI dentro da empresa e consiste de eventos e condies relacionados com a TI que podem ter
potencial para impactar o negcio.
A Figura 6.8 mostra que os riscos de TI se relacionam com todos os demais
riscos da organizao.
Risco da Organizao

Risco
Estratgico

Risco Ambiental

Risco de
Mercado

Risco de
Crdito

Risco
Operacional

Risco de
Compliance

RISCOS RELACIONADOS COM TI


Riscos para Agregao
de Benefcios/Valor

Riscos para Entrega de


Programas e Projetos

Riscos para Entrega de


Operaes e Servios

Figura 6.8 Relacionamento entre os riscos da organizao


Adaptado de: ISACA (2009)

Modelos Abrangentes de Governana de TI 241

O modelo estruturado em atividades chaves, processos e domnios.


A Figura 6.9 mostra o esquema do modelo.

Figura 6.9 Framework de Riscos de TI


Adaptado de: ISACA (2009)

Assim como o CobiT, o Risk IT Framework tambm composto por um


Guia Gerencial, um quadro RACI (Responsible, Accountable, Consulted and
Informed) e um esquema de mtricas e entradas e sadas dos processos e modelo de maturidade.
Agora vamos detalhar um pouco mais os processos de cada domnio.

242 Implantando a Governana de TI 3 edio

O domnio de Governana do Risco composto por trs processos e dezesseis atividades:


RG1 Estabelecer e manter uma viso comum dos riscos: assegurar
que as atividades de gerenciamento de riscos estejam alinhadas com
a capacidade da organizao de lidar com perdas relacionadas TI e
com a tolerncia subjetiva das lideranas ao risco. Este processo tem
as seguintes atividades:
RG1.1 Realizar a avaliao dos riscos da organizao.
RG1.2 Propor limites para a tolerncia aos riscos de TI.
RG1.3 Aprovar a tolerncia aos riscos de TI.
RG1.4 Alinhar a poltica de riscos de TI.
RG1.5 Promover uma cultura de conscientizao para os riscos
de TI.
RG1.6 Encorajar uma comunicao efetiva sobre os riscos de
TI.
RG2 Integrar com o Sistema de Gerenciamento de Riscos da Organizao: integrar a estratgia e as operaes de riscos de TI com
as decises estratgicas sobre riscos que so tomadas no mbito da
organizao. Este processo tem como atividades:
RG2.1 Estabelecer e manter as responsabilidades pelo gerenciamento dos riscos de TI.
RG2.2 Coordenar as estratgias de risco de TI e da organizao.
RG2.3 Adaptar as prticas de risco de TI s prticas de riscos da
organizao.
RG2.4 Prover recursos adequados para o gerenciamento de riscos.
RG2.5 Auditar de forma independente o gerenciamento dos
riscos de TI.
RG3 Tomar decises de negcios conscientes dos riscos: Assegurar
que as decises da organizao considerem todas as oportunidades e
consequncias da dependncia do sucesso da TI. Este processo tem as
seguintes atividades:
RG3.1 Obter o apoio da administrao para a abordagem de
anlise dos riscos de TI.
RG3.2 Aprovar a anlise dos riscos de TI.

Modelos Abrangentes de Governana de TI 243

RG3.3 Embutir consideraes de riscos de TI na tomada das


decises estratgicas de negcio.
RG3.4 Aceitar os riscos de TI.
RG3.5 Priorizar as atividades de resposta ao risco.

O domnio de Avaliao do Risco composto por trs processos e quatorze


atividades.
RE1 Coletar dados: obter dados relevantes para identificao, anlise e comunicao dos riscos. Este processo tem as seguintes atividades:
RE1.1 Estabelecer e manter um modelo para a coleta de dados.
RE1.2 Coletar dados no ambiente operacional.
RE1.3 Coletar dados sobre eventos de risco.
RE1.4 Identificar fatores de risco.
RE2 Analisar o risco: coletar informaes teis para apoiar as decises relativas a riscos que levem em considerao os fatores de riscos
relevantes para o negcio. Este processo tem as seguintes atividades:
RE2.1 Definir o escopo da anlise do risco.
RE2.2 Estimar o risco de TI.
RE2.3 Identificar opes de resposta ao risco.
RE2.4 Realizar um peer review na anlise dos riscos de TI.
RE3 Manter o perfil do risco: manter um inventrio completo e
atualizado de todos os riscos e atributos conhecidos, recursos de TI,
capacidades e controles, no contexto dos produtos, processos e servios do negcio. Este processo tem as seguintes atividades:
RE3.1 Mapear os recursos de TI que apoiam os processos de
negcio.
RE3.2 Determinar a criticidade dos recursos de TI para o negcio.
RE3.3 Entender as capacidades da TI.
RE3.4 Atualizar os componentes dos cenrios de riscos de TI.
RE3.5 Manter os registros e o mapa de riscos de TI.
RE3.6 Desenvolver indicadores de riscos de TI.

244 Implantando a Governana de TI 3 edio

O domnio de Resposta ao Risco composto por trs processos e treze


atividades.
RR1 Articular os riscos: assegurar que as informaes sobre a realidade das exposies ao risco e as oportunidades estejam disponveis,
no tempo adequado, para as pessoas corretas, para que haja uma resposta apropriada. Este processo tem as seguintes atividades:
RR1.1 Comunicar os resultados da anlise dos riscos.
RR1.2 Comunicar as atividades de gerenciamento dos riscos e a
situao de conformidade.
RR1.3 Interpretar os resultados das auditorias independentes
de TI.
RR1.4 Identificar as oportunidades relacionadas TI.
RR2 Gerenciar os riscos: assegurar que as iniciativas para aproveitar
oportunidades e reduzir os riscos sejam gerenciadas como um portflio. Este processo tem as seguintes atividades:
RR2.1 Inventariar os controles.
RR2.2 Monitorar o alinhamento operacional com os limites de
tolerncia aos riscos.
RR2.3 Responder s exposies a riscos e oportunidades identificadas.
RR2.4 Implementar controles.
RR2.5 Comunicar o progresso do plano de ao para os riscos.
RR3 Reagir aos eventos: assegurar que as iniciativas para aproveitar
oportunidades ou para limitar as perdas com os eventos relacionados
TI sejam ativadas em tempo hbil e sejam efetivas. Este processo
tem as seguintes atividades:
RR3.1 Manter planos de respostas a incidentes.
RR3.2 Monitorar o risco de TI.
RR2.3 Iniciar respostas aos incidentes.
RR2.4 Comunicar lies aprendidas a partir dos eventos de risco.

A rgua de maturidade do modelo similar preconizada pelo CobiT.

Modelos Abrangentes de Governana de TI 245

6.4.4 Aplicabilidade

do modelo

Em organizaes altamente integradas (internamente e externamente)


com apoio de TI, a gesto dos riscos que a TI representa para o negcio
um imperativo, apesar de ser um aspecto da gesto, na maioria das vezes,
negligenciado.
Nas instituies financeiras e em grandes corporaes brasileiras, podem ser encontrados sistemas avanados de gerenciamento de riscos corporativos. Os riscos de TI so considerados riscos corporativos. Em alguns
modelos, o foco o atendimento de requisitos de compliance externos
como a Sarbanes-Oxley, limitando o gerenciamento de riscos de TI a esses
requisitos.
A implantao de um sistema de gerenciamento de riscos de TI, assim
como de riscos corporativos, requer uma mudana cultural significativa dentro das organizaes.
Dificilmente ser possvel implantar um sistema de avaliao de riscos de
TI sem que haja integrao com a gesto dos riscos corporativos. Apesar de o
modelo ser bastante compreensvel, de difcil implantao para a maioria das
organizaes, pois quem deve liderar essa mudana a Alta Administrao.
Acreditamos, porm, que o nvel de envolvimento do CIO na implantao
fundamental, pois pode comear a influenciar seus gerentes e os executivos
de negcio a considerarem os riscos de TI para o desempenho da organizao.
Obviamente, o principal executivo de TI deve necessariamente ter acesso
Alta Administrao para que isto ocorra. Na realidade, esta uma jornada de
longo prazo.
A Tabela 6.4 d uma ideia acerca dos envolvimentos necessrios e da forma
como o modelo preconiza as responsabilidades sobre o gerenciamento dos riscos.
Responsabilidade pela
prestao de contas

Responsabilidade pela
execuo

Realizar a avaliao dos riscos da


organizao.

CEO

CRO (Chief Risk Officer) e CIO

Propor limites para a tolerncia


aos riscos de TI.

Gerentes de negcio

CIO

Atividade
Governana do Risco

246 Implantando a Governana de TI 3 edio

Responsabilidade pela
prestao de contas

Responsabilidade pela
execuo

Aprovar a tolerncia aos riscos


de TI.

Board

Comit de Riscos da organizao

Alinhar a poltica de riscos de TI.

CEO

CRO, CIO, CFO, gerentes de


negcios, donos de processos,
recursos humanos e funes de
controle de riscos

Atividade

Board

CEO, CRO, CIO, CFO, gerentes


de negcios, donos de processos,
recursos humanos, funes de
controle de riscos, compliance e
auditoria e o Comit de Riscos

Encorajar uma comunicao


efetiva sobre os riscos de TI.

Gerentes de negcio

Board, CEO, CRO, CIO, CFO,


Comit de Riscos, donos dos
processos, funes de controle
de riscos, recursos humanos e
compliance e auditoria

Estabelecer e manter as
responsabilidades pelo
gerenciamento dos riscos de TI.

Board

CEO, CRO, CIO e CFO

Coordenar as estratgias de risco


de TI e da organizao.

Board

CEO, CIO e gerentes de negcio

Adaptar as prticas de risco


de TI s prticas de riscos da
organizao.

CIO

CIO e funes de controle de


risco

Prover recursos adequados para


o gerenciamento de riscos.

Board

CEO, CIO e donos dos


processos de negcio

Auditar de forma independente o


gerenciamento dos riscos de TI.

Board

Board

Obter o apoio da administrao


para a abordagem de anlise dos
riscos de TI.

CRO

CRO e funes de controle de


riscos

Aprovar a anlise dos riscos.

Comit de Riscos da organizao

CRO e donos dos processos de


negcio

Embutir consideraes de riscos


de TI na tomada das decises
estratgicas de negcio.

CIO

CIO e funes de controle de


riscos

Promover uma cultura de


conscientizao para os riscos
de TI.

Modelos Abrangentes de Governana de TI 247

Atividade

Responsabilidade pela
prestao de contas

Responsabilidade pela
execuo

Aceitar os riscos de TI.

Gerentes de negcio

CIO, Comit de Riscos e donos


dos processos de negcio

Priorizar as atividades de
resposta ao risco.

CRO

CIO, donos dos processos de


negcio e funes de controle
de risco

Estabelecer e manter um modelo


para a coleta de dados.

CRO

CRO

Coletar dados no ambiente


operacional.

CRO

CRO

Coletar dados sobre eventos de


risco.

CRO

CIO

Identificar fatores de risco.

CRO

CIO e funes de controle de


riscos

Definir o escopo da anlise do


risco.

Gerentes de negcio

CRO, gerentes de negcio,


dono do processo de negcio e
funes de controle de riscos

Estimar o risco de TI.

Gerentes de negcio

Comit de Riscos, dono do


processo de negcio e funes
de controle de riscos

Identificar opes de resposta


ao risco.

Gerentes de negcio

Comit de Riscos, dono do


processo de negcio e funes
de controle de riscos

Realizar um peer review na


anlise dos riscos de TI.

CRO

CRO

Mapear os recursos de TI que


apoiam os processos de negcio.

Gerentes de negcio

CIO e gerentes de negcio

Determinar a criticidade dos


recursos de TI para o negcio.

Gerente de negcios

CIO e dono do processo de


negcio

Entender as capacidades da TI.

CIO

CIO

Atualizar os componentes dos


cenrios de riscos de TI.

Dono do processo de negcio

CIO e funes de controle de


risco

Avaliao do Risco

248 Implantando a Governana de TI 3 edio

Atividade

Responsabilidade pela
prestao de contas

Responsabilidade pela
execuo

Manter os registros e o mapa de


riscos de TI.

CRO

CIO e dono do processo de


negcio

Desenvolver indicadores de
riscos de TI.

CRO

Funes de controle de risco

Comunicar os resultados da
anlise dos riscos.

Gerente de negcio

CRO, donos dos processos de


negcio e funes de controle de
riscos

Comunicar as atividades de
gerenciamento dos riscos e a
situao de conformidade.

Comit de Riscos

CIO

Interpretar os resultados das


auditorias independentes de TI.

CRO

CRO e CIO

Identificar as oportunidades
relacionadas TI.

Gerente do negcio

CIO, donos do processo de


negcio e funes de controle de
riscos

Inventariar os controles.

CRO

CRO e funes de controle de


riscos

Monitorar o alinhamento
operacional com os limites de
tolerncia aos riscos.

Gerente do negcio

Dono do processo e funes de


controle de riscos

Responder s exposies
a riscos e oportunidades
identificadas.

CEO

CIO e gerente de negcio

Implementar controles.

CEO

CIO e gerente de negcio

Comunicar o progresso do plano


de ao para os riscos.

Dono do processo de negcio

CIO

Manter planos de respostas a


incidentes.

Dono do processo de negcio

CIO e funes de controle de


riscos

Monitorar o risco de TI.

Dono do processo de negcio

Funes de controle de risco e


compliance/auditoria

Iniciar respostas aos incidentes.

Dono do processo de negcio

Gerente do negcio e funes de


controle de risco

Comunicar lies aprendidas a


partir dos eventos de risco.

CRO

CRO, CIO e funes de controle


de riscos

Resposta ao Risco

Tabela 6.4 Matriz de responsabilidades no gerenciamento dos riscos

Modelos Abrangentes de Governana de TI 249

6.4.5 Benefcios

do modelo

Os principais benefcios da aplicao do modelo na organizao so, de


acordo com a ISACA:
Reduzir perdas para a organizao em funo de um evento de risco
que tenha impacto na sua operao de gerao de produtos e servios.
Reduzir perdas para a organizao em funo do no investimento
em novas oportunidades com o apoio da TI.
Prover um guia abrangente para o gerenciamento dos riscos relacionados TI.
Entender como capitalizar sobre um investimento j realizado no sistema
de controles internos para o gerenciamento dos riscos relacionados TI.
Entender como o gerenciamento de riscos relacionados TI permite
a eficincia dos processos de negcio, melhora a qualidade e reduz
perdas e custos.
Integrar o gerenciamento de risco com o ERM (Enterprise Risk Management System) da organizao.
Fornecer uma linguagem comum acerca de riscos para toda a organizao.
Promover as responsabilidades pelos riscos em toda a organizao.
Entender o perfil completo de risco da organizao e sua exposio ao
risco, de forma a utilizar melhor os recursos da organizao.
A implantao do gerenciamento de risco na organizao, que, integrada com o seu ERM, fornece indicativos para o mercado da boa
governana corporativa, aumentando assim seu valor (benefcio identificado pelos autores deste livro).

250 Implantando a Governana de TI 3 edio

6.5 A

integrao entre os modelos

A Figura 6.10 apresenta a viso da ISACA (2009) acerca da integrao


entre o Risk IT, o Val IT e o CobiT.
RISK IT

Gerenciamento do
Risco

VAL IT

Identificar Riscos
e
Oportunidades

Gerenciamento do
Valor

Eventos
Relacionados a TI

Gesto dos
Processos de TI

COBIT

Figura 6.10 Integrao Risk IT, Val IT e CobiT


Adaptado de: ISACA (2009)

De acordo com a ISACA, esta integrao ocorre da seguinte forma:


O Risk IT fornece os elementos para a governana dos riscos, sua
identificao, gerencia e comunica o risco, porm o CobiT estabelece
os controles necessrios para a TI mitigar os riscos.
Quando o risco identificado uma oportunidade para a TI melhorar
processos, alinhar-se a mudanas ou mesmo implementar iniciativas
de mitigao, entra em cena o Val IT, pois ele estabelece os processos necessrios para a anlise dos investimentos, fornecendo para o

Modelos Abrangentes de Governana de TI 251

gerenciamento dos riscos os elementos de retorno do investimento


das iniciativas, de forma que possa verificar se vale a pena ou no
implement-las (supondo que uma iniciativa de mitigao tivesse um
custo para o seu ciclo de vida maior do que a exposio ao risco, no
valeria a pena investir nela).
As aes de mitigao geralmente recaem sobre a melhoria dos processos de TI preconizados pelo CobiT.

6.6 Certificaes ISACA


Existem quatro programas avanados de certificao profissional, patrocinados pela ISACA, relacionados aos preceitos do CobiT (todos os exames
exigem comprovao de experincia anterior):
CISA (Certified Information Systems Auditor): destinado a avaliar o
grau de proficincia e excelncia nas disciplinas de auditoria, controle
e segurana em TI. Este exame tem sido considerado um dos mais
eficazes instrumentos de certificao em mbito global.
CISM (Certified Information Security Manager): destinado aos profissionais especialistas, que trabalham no planejamento, gerenciamento,
acompanhamento e execuo de atividades relacionadas segurana
da informao em uma organizao. Este exame avalia a viso global
do profissional sobre o tema, com foco em cinco assuntos: governana de segurana da informao, gesto de riscos, gesto de programas
de segurana da informao, gesto de segurana da informao e
gesto de respostas a eventos.
CGEIT (Certified in the Governance of Enterprise IT): esta certificao
visa reconhecer os indivduos que possuem conhecimentos, experincia e habilidades profissionais em nvel necessrio e suficiente para
maximizar a contribuio que a TI oferece para o atendimento aos
objetivos de negcio da organizao e, ao mesmo, tempo, gerenciar
e mitigar os riscos inerentes TI para o negcio. Este exame avalia a proficincia e experincia do profissional nos seguintes temas:
framework de governana de TI, alinhamento estratgico, entrega de
valor, gerenciamento de risco, gerenciamento de recursos e gerenciamento do desempenho.

252 Implantando a Governana de TI 3 edio

CRISC (Certified in Risk and Information Systems Control): certificao projetada para profissionais que tm experincia prtica com
identificao de risco, avaliao, resposta ao risco, monitoramento de
riscos, projeto e implantao de controle em sistemas de informao
e manuteno e monitoramento de controles em sistemas de informao, abrangendo o contedo dos frameworks CobiT e Risk IT.

Para obteno dessas certificaes, os postulantes devem:


Passar em um exame especfico.
Demonstrar as qualificaes e experincia profissionais requeridas,
fornecendo as evidncias de prtica conforme o tipo de certificao.
Aderir formalmente ao Cdigo de tica da ISACA.
Aderir poltica de educao profissional continuada da ISACA (que
envolve uma quantidade mnima de horas anuais em treinamentos e
atividades de contribuio profisso).
Para a manuteno do certificado, o postulante dever evidenciar 120
CPEs ao longo de trs anos. Isto demonstrado pela participao em atividades educacionais dos quais participa e atividades que demonstrem a sua
contribuio para a profisso, como ministrar cursos no tema, participar em
pesquisas da ISACA, etc.
Alm desses programas avanados, a ISACA tambm oferece o CobiT Foundation, um modelo de certificao profissional mais generalista, direcionado
queles que querem se familiarizar com os conceitos e processos presentes no
CobiT e tambm com os aspectos bsicos da sua implementao na prtica.

6.7 A Evoluo

do

CobiT

A ISACA tem como uma das suas filosofias melhorar continuamente seus
modelos relacionados Governana de TI.
Est prevista para o primeiro semestre de 2012 a publicao da verso 5.0
do CobiT29, que apresenta mudanas substanciais em relao verso atual,
conforme mostra a Figura 6.11.
29 Neste momento, em que estamos revisando esta terceira edio do livro (janeiro de 2012), a verso
encontra-se ainda em reviso final.

Modelos Abrangentes de Governana de TI 253

Processos para a Governana da TI da Organizao


G1

Estabelecer e
manter o sistema
de Governana

Assegurar a
entrega de
valor

G2

Assegurar a
otimizao de
recursos

G3

Assegurar a
gesto de
riscos

G4

Alinhamento
Processos para o Gerenciamento da TI da Organizao
Alinhar, Planejar e Organizar
Gerenciar a
organizao de TI
e recursos
humanos

APO1

Gerenciar os
processos de
TI

APO2

APO7
APO6

Gerenciar as
relaes com
o negcio

Definir e gerenciar o
framework de controles
internos de TI

Gerenciar riscos
relacionados a TI

APO3

APO9

APO8

Definir a
estratgia
de TI

APO5

APO4

Gerenciar
acordos de
servios

APO10

Gerenciar a
arquitetura
corporativa

Gerenciar
finanas e
investimentos

APO11

Gerenciar
inovao e
tecnologias
emergentes

Gerenciar
programas e
projetos

BAI5

Estabelecer e
manter solues

BAI2

BAI6

Gerenciar a
qualidade

DSM5

Gerenciar
operaes

Gerenciar a
configurao

DSM2

DSM6

Monitorar,
Avaliar e
Informar
MAI1

Monitorar e
avaliar o
desempenho

Gerenciar o
portflio

MAI2

Gerenciar o
conhecimento

Gerenciar
mudanas

BAI3

Definir requisitos e
identificar solues

BAI7

Aceitao e transio
da mudana

BAI4

BAI8

Permitir a
mudana
organizacional
Gerenciar
disponibilidade e
capacidade

Gerenciar
fornecedores
Gerenciar a
continuidade
dos servios de
TI

DSM3

DSM7

Gerenciar
solicitaes e
incidentes

Monitorar e
avaliar
requisitos
externos

MAI3

Monitorar e
avaliar
controles

Entregar, Suportar e Manter


DSM1

Comunicar aos
stakeholders

APO12

Construir, Adquirir e Implementar


BAI1

G5

DSM4

Gerenciar e operar
controles de
processos de negcio
MAI4

Gerenciar a segurana

DSM8

Gerenciar
problemas

Prover
garantia

Figura 6.11 CobiT 5.0 Framework


Adaptado de: ISACA (2010a)

De acordo com ISACA (2010a), so muitas novidades esperadas, a saber:


Conecta-se a outros modelos de referncia como ITIL e padres ISO.
Refora os outros modelos e padres como Risk IT, Val IT, Board
Briefing, The Business Model for Information Security BMIS, Framework for IT Assurance etc.
Trata da governana e do gerenciamento da tecnologia da informao
de forma abrangente.
Inclui elementos conhecidos, como domnios e processos, prticas de
gerenciamento e matrizes RACI.
Apresenta uma srie de novos processos como gerenciar o conhecimento, gerenciar a inovao e tecnologias emergentes, gerenciar os
processos de TI, gerenciar o portflio, gerenciar e monitorar controles de processos de negcio, permitir a mudana organizacional etc.

254 Implantando a Governana de TI 3 edio

Apresentar uma nova arquitetura de produtos tais como: CobiT 5


para risco, para valor, para recursos, para processos, para aplicaes,
para gerenciamento de pessoas, para segurana da informao, para
compliance, para projetos, para servios de TI etc.

Nossa anlise preliminar que a nova verso do framework tratar de temas


dos quais sentimos falta para uma gesto efetiva de TI, dentre eles a gesto
do conhecimento, a gesto da mudana organizacional e o gerenciamento das
relaes com o negcio, alm de reforar os processos especficos de Governana de TI.
Para finalizar este captulo, lembramos que a ISACA mantm vrios modelos e padres adicionais relativos tecnologia da informao e que complementam o tema Governana de TI, tais como padres para auditoria de
sistemas de informao, modelo de negcios para a segurana da informao
- BMIS, padres para controle de sistemas e um framework para garantia da
TI (ITAF).

Modelos para Gerenciamento


Servios de TI

de

De acordo com a ITIL V3, um servio um meio de entregar valor aos


clientes, facilitando o atingimento dos resultados que os clientes desejam,
tirando deles a propriedade dos custos e riscos especficos. Pela perspectiva
do cliente, a criao do valor de um servio uma funo de duas variveis: a
utilidade (possui o desempenho desejado ou reduo das restries de desempenho) e a garantia (disponibilidade, capacidade, continuidade e segurana
suficientes para o uso).
O gerenciamento de servios pode ser definido como um conjunto de
capacitaes organizacionais especializadas para fornecer valor aos clientes na
forma de servios, ou seja, de transformar recursos em servios valiosos. Tais
capacitaes podem ser vistas como processos e funes para gerenciar servios ao longo do seu ciclo de vida.
Neste captulo, so apresentados, de forma resumida, os princpios e processos de dois modelos que tm sido utilizados em todo o mundo como
base para a implementao de boas prticas de Gerenciamento de Servios
de TI: a ITIL (biblioteca de melhores prticas) e a ISO/IEC 20000 (norma aplicvel a organizaes que fornecem servios de TI). Alm disso, so
mencionados tambm o CMMI for Services e o MOF (Microsoft Operations
Framework).

256 Implantando a Governana de TI 3 edio

7.1 ITIL Information Technology


Infrastructure Library
7.1.1 Histrico

do modelo

A ITIL (Information Technology Infrastructure Library) foi desenvolvida


pelo CCTA (Central Computer and Telecommunications Agency) no final dos
anos 80, a partir de uma encomenda do governo britnico, que no estava
satisfeito com o nvel de qualidade dos servios de TI a ele prestado. Neste
cenrio, foi solicitado o desenvolvimento de uma abordagem de melhores
prticas para gerenciar a utilizao eficiente e responsvel dos recursos de TI,
independentemente de fornecedores e aplicvel a organizaes com necessidades tcnicas e de negcio distintas. Em abril de 2001, o CCTA foi incorporado ao OGC30 (Office of Government Commerce), que hoje o organismo
responsvel pela evoluo e divulgao da ITIL.
A verso 3 da ITIL (denominada V3), lanada em maio de 2007, representa uma grande evoluo em relao verso anterior, pois organiza os
processos de gerenciamento de servios em uma estrutura de ciclo de vida de
servio. Alm disso, a ITIL V3 demonstra a maturidade que a disciplina de
gerenciamento de servios de TI adquiriu ao longo do tempo, trazendo e enfatizando conceitos como integrao da TI ao negcio, portflios dinmicos
de servios e mensurao do valor do negcio, e fornecendo uma base slida
para a convergncia com outros padres e modelos de gesto e governana,
tais como ISO/IEC 20000, CobiT, CMMI, PMBOK, eSCM-SP, etc.
Entre as extenses que a ITIL V3 traz em relao verso anterior, esto
estratgias de servios para modelos de sourcing e de compartilhamento de
servios, abordagens de retorno sobre o investimento (ROI) para servios,
prticas de desenho de servios, um sistema de gerenciamento de conhecimento sobre os servios e o gerenciamento de requisies.
Foi publicada pelo OGC uma atualizao31 da ITIL V3, composta por
mudanas relativamente leves, visando sobretudo:
30 O OGC um rgo independente subordinado Secretaria-Chefe do Tesouro britnico, focado na
melhoria dos processos de contratao e gesto de servios privados pelo setor pblico.
31 Nesta terceira edio do livro, foi utilizada como fonte a ITIL V3, publicada com 2007, uma vez que a
atualizao da ITIL (2011) encontra-se em estado de maturao aps seu recente lanamento.

Modelos para Gerenciamento de Servios de TI 257

Corrigir alguns erros e inconsistncias identificados no texto, nas figuras e nos relacionamentos entre os cinco livros.
Incorporar sugestes de melhoria e solues de problemas apresentadas pela comunidade (usurios, fornecedores e instrutores), analisadas e recomendadas pelo Comit de Controle de Mudanas e aprovadas pela OGC, no sentido de aumentar a clareza, a consistncia, a
preciso e a completude.
Revisar o livro de Estratgia de Servio para tornar a explicao de
alguns conceitos mais clara, concisa e acessvel.

7.1.2 Objetivos

do modelo

A ITIL um agrupamento das melhores prticas utilizadas para o geren


ciamento de servios de tecnologia de informao de alta qualidade, obtidas
em consenso aps dcadas de observao prtica, pesquisa e trabalho de profissionais de TI e processamento de dados em todo o mundo. Devido sua
abrangncia e profundidade, a ITIL tem se firmado continuamente como um
padro mundial de fato para as melhores prticas para o gerenciamento de
servios de TI.
Como um framework, o principal objetivo da ITIL prover um conjunto de prticas de gerenciamento de servios de TI testadas e comprovadas
no mercado (organizadas segundo uma lgica de ciclo de vida de servios),
que podem servir como balizadoras, tanto para organizaes que j possuem
operaes de TI em andamento e pretendem empreender melhorias quanto
para a criao de novas operaes. A adoo das prticas da ITIL pretende
levar uma organizao a um grau de maturidade e qualidade que permita o
uso eficaz e eficiente dos seus ativos estratgicos de TI (incluindo sistemas de
informao e infraestrutura de TI), sempre com o foco no alinhamento e na
integrao com as necessidades dos clientes e usurios.
A ITIL V3, com a sua abordagem de ciclo de vida, permite que se tenha
uma viso do gerenciamento de servios pela perspectiva do prprio servio,
em vez de focar em cada processo ou prtica por vez. Esta caracterstica reala
mais um importante objetivo, que mensurar e gerenciar o valor que os servios de TI efetivamente adicionam ao negcio.
Nesta edio, devido retirada recente dos exames da ITIL V2 do mercado, faremos referncia ITIL V3 simplesmente como ITIL.

258 Implantando a Governana de TI 3 edio

7.1.3 Estrutura

do modelo

7.1.3.1 Viso geral do modelo


A ITIL pode ser considerada uma fonte de boas prticas utilizada pelas
organizaes para estabelecer e melhorar suas capacitaes em gerenciamento
de servios.
O Ncleo da ITIL composto por cinco publicaes (conforme mostra a
figura 7.1), cada uma delas relacionada a um estgio do ciclo de vida do servio, contendo orientaes para uma abordagem integrada de gerenciamento
de servios32:

Figura 7.1 O Ncleo da ITIL


Adaptado de OGC (2007a)
32 Em conformidade com os requisitos da norma ISO/IEC 20000.

Modelos para Gerenciamento de Servios de TI 259

Estratgia do Servio: orienta sobre como as polticas e processos de


gerenciamento de servio podem ser desenhadas, desenvolvidas e implementada como ativos estratgicos ao longo do ciclo de vida de
servio. Entre os tpicos abordados nesta publicao, esto os ativos
de servio, o catlogo de servios, gerenciamento financeiro, gerenciamento do portflio de servios, desenvolvimento organizacional,
riscos estratgicos etc.
Desenho do Servio: fornece orientao para o desenho e desenvolvimento dos servios e dos processos de gerenciamento de servios,
detalhando aspectos do gerenciamento do catlogo de servios, do
nvel de servio, da capacidade, da disponibilidade, da continuidade,
da segurana da informao e dos fornecedores, alm de mudanas
e melhorias necessrias para manter ou agregar valor aos clientes ao
longo do ciclo de vida de servio.
Transio do Servio: orienta sobre como efetivar a transio
de servios novos e modificados para operaes implementadas,
detalhando os processos de planejamento e suporte transio,
gerenciamento de mudanas, gerenciamento da configurao e
dos ativos de servio, gerenciamento da liberao e da distribuio, teste e validao de servio, avaliao e gerenciamento do
conhecimento.
Operao do Servio: descreve a fase do ciclo de vida do gerenciamento de servios que responsvel pelas atividades do dia a dia,
orientando sobre como garantir a entrega e o suporte a servios
de forma eficiente e eficaz e detalhando os processos de gerenciamento de eventos, incidentes, problemas, acesso e de execuo de
requisies.
Melhoria Contnua do Servio: orienta, atravs de princpios, prticas e mtodos de gerenciamento da qualidade, sobre como fazer
sistematicamente melhorias incrementais e de larga escala na qualidade do servio, nas metas de eficincia operacional, na continuidade do servio etc., com base no modelo PDCA preconizado pela
ISO/IEC 20000.

Os processos da ITIL encontram-se distribudos entre os cinco estgios,


conforme a Tabela 7.1 (note que todos os processos de Entrega de Servios e
Suporte a Servios da verso anterior permanecem no modelo).

260 Implantando a Governana de TI 3 edio

Publicaes

Processos

Estratgia do servio

- Gerenciamento Financeiro de TI.


- Gerenciamento do Portflio de Servios.
- Gerenciamento da Demanda.

Desenho do Servio

- Gerenciamento do Catlogo de Servios.


- Gerenciamento do Nvel de Servio.
- Gerenciamento da Capacidade.
- Gerenciamento da Disponibilidade.
- Gerenciamento da Continuidade do Servio.
- Gerenciamento da Segurana da Informao.
- Gerenciamento de Fornecedores.

Transio do Servio

- Gerenciamento de Mudanas.
- Gerenciamento de Ativos de Servio e da
Configurao.
- Gerenciamento da Liberao e Distribuio.
- Validao e Teste do Servio.
- Avaliao.
- Gerenciamento do Conhecimento.

Operao do Servio

- Gerenciamento de Eventos.
- Gerenciamento de Incidentes.
- Execuo de Requisies.
- Gerenciamento de Problemas.
- Gerenciamento do Acesso.

Melhoria Contnua do
Servio

- Relato do Servio.
- Medio do Servio.

Funes

- Central de Servios.
- Gerenciamento Tcnico.
- Gerenciamento das Operaes
de TI.
- Gerenciamento de Aplicaes.

Tabela 7.1 Processos e Funes da ITIL

A seguir, descreveremos sucintamente alguns dos aspectos importantes de


cada estgio do ciclo de vida de servio, na viso da ITIL.

7.1.3.2 Estratgia do Servio


Esta publicao define os princpios bsicos que norteiam o gerenciamento
de servios, mostrando como uma organizao pode transform-lo em um
ativo estratgico e orientando como esta pode operar e crescer com sucesso a
longo prazo. Algumas questes comuns relacionadas a como implementar o
gerenciamento de servios so abordadas, tais como:
Quais servios oferecer e para quem?
Como se diferenciar dos competidores?

Modelos para Gerenciamento de Servios de TI 261

De que forma possvel criar o conceito de valor de servio, fazendo-o


circular efetivamente entre os grupos interessados e os clientes?
Como gerenciar os aspectos financeiros dos servios?
Como definir a qualidade do servio e como melhor-la?
Como alocar recursos de forma eficiente atravs de um portflio de
servios e como resolver conflitos de demanda entre eles?

7.1.3.2.1 Conceitos e princpios da Estratgia do Servio


Uma das propriedades importantes de um servio deve ser a sua capacidade de encapsulamento, ou seja, de isolar dos clientes a sua complexidade estrutural, detalhes tcnicos e operaes de baixo nvel, expondo a eles somente
a sua interface de utilizao. Um servio tambm pode ser considerado um
sistema fechado (no qual os resultados tm influncia na sua realimentao)
ou aberto (no qual o fluxo de resoluo unidirecional).
Recursos e capacitaes so considerados ativos de servio de uma organizao e constituem a base para a criao de valor para o servio. Como recursos,
podem ser considerados itens como pessoas, informao, aplicaes, infraestrutura e capital financeiro. Capacitaes so desenvolvidas ao longo do tempo e
podem incluir gerenciamento, organizao, processos, conhecimento e pessoas.
A ITIL considera que os provedores de servios podem ser internos (reas
da prpria organizao, menos arriscadas e flexveis), unidades de servios
compartilhados (risco e flexibilidade mdios) ou externos (mais arriscado e
flexveis). As estruturas de servio evoluram da cadeia de valor bsica para o
de rede de valor, incorporando relacionamentos com fornecedores substitutos
e complementares, alm dos usuais entre o fornecedor, o provedor de servio,
o negcio e o cliente.
7.1.3.2.2 As etapas da estratgia do servio
A estratgia do servio pode ser desenvolvida atravs de quatro etapas:
Definir o mercado: estabelecer a relao entre o servio e a estratgia (o
servio oferecido dentro de uma estratgia, ou vice-versa); entender o
cliente e as oportunidades embutidas nos seus resultados de sada esperados (resultados no atingidos podem ser alvos de potenciais servios).

262 Implantando a Governana de TI 3 edio

Desenvolver as ofertas: a partir da descoberta do espao de mercado


a ser focado, definir os servios com base na proposta de valor que
estes podem agregar aos ativos e resultados esperados dos clientes;
estabelecer o Portflio de Servios (que representa os compromissos
e investimentos feitos por um provedor de servios para todos os
clientes e espaos de mercado) e os Catlogos de Servio (a parte
do portflio visvel para o cliente e que gera receita). A figura 7.2
mostra os principais elementos de um portflio e de um catlogo
de servios33.

Figura 7.2 Elementos do Portflio de Servio e do Catlogo de Servios


Adaptado de OGC (2007a)

Desenvolver os ativos estratgicos: dentro da tica de um sistema


fechado, quando um provedor aumenta o potencial de um servio,
aumenta tambm o potencial de desempenho dos ativos dos clientes atendidos; estes, por sua vez, promovem o aumento da demanda
pelo servio que ir reduzir a capacidade ociosa do provedor. Esta
lgica ressalta a importncia de tratar o gerenciamento de servios
como um ativo estratgico e desenvolver corretamente a rede de
valor.
Preparar para a execuo: avaliar estrategicamente as ofertas, estabelecer objetivos, alinhar os ativos do servio com os resultados esperados e com as necessidades dos clientes, definir os fatores crticos
de sucesso, priorizar os investimentos e procurar formas de apoiar
o crescimento e a expanso do negcio, explorando o potencial dos
espaos de mercado atendidos.
33 O Pipeline de Servios contm os servios que esto em desenvolvimento para um determinado
cliente ou espao de mercado, prestes a serem liberados pelo processo de Transio de Servio.

Modelos para Gerenciamento de Servios de TI 263

7.1.3.2.3 Os processos da Estratgia do Servio


Alm do desenvolvimento da estratgia descrito anteriormente, so trs os
processos de gerenciamento de servios que fazem parte do escopo da estratgia do servio:
Gerenciamento Financeiro: visa gerenciar o ciclo financeiro do Portflio de Servios de TI de uma organizao, de forma a prover a sustentao econmica necessria para a execuo dos seus servios. Conceitos
e mtodos efetivos tais como valorizao de servios, modelagem da
demanda e otimizao do portflio e do fornecimento de servios so
fundamentais para que seja possvel a quantificao do valor dos servios de TI e dos ativos envolvidos na prestao destes servios, assim
como para que o planejamento financeiro seja confivel. As atividades
relacionadas contabilizao dos custos dos servios devem assegurar
a conformidade com os aspectos regulatrios aos quais a organizao
est sujeita. Questes como a estrutura de custos a ser adotada (centro
de custos, de lucro, de resultado, etc.) e a opo pela cobrana (ou
no) so decises chaves a serem tomadas pelo gestor de servios.

O Retorno sobre o Investimento (ROI) recebe ateno especial na ITIL,


como uma medida da habilidade de utilizar os ativos para a gerao de valor
adicional, ou seja, como uma forma de justificar o investimento em servios.
O ROI pode ser calculado de forma pr-programada, ps-programada (retroativa) ou mesmo para identificar necessidades do negcio que dependem do
gerenciamento de servios.
Gerenciamento do Portflio de Servios: mtodo que visa governar os
investimentos em gerenciamento de servios atravs da empresa e gerenci-los para que adicionem valor ao negcio34. Este processo estabelece
que h duas categorias de servios: os servios de negcio (definidos pelo
prprio negcio) e os servios de TI (fornecidos pela TI ao negcio, mas
que este no reconhece como dentro de seus domnios). Embora a linha
entre estes dois portflios de servios seja tnue, ambos podem ser gerenciados individualmente (dependendo da perspectiva de cada cliente),
mas sempre considerando as inter-relaes existentes.
34 Os mtodos de gerenciamento de portflio de servios, projetos e de TI so tcnicas que viabilizam a
governana. As diferenas entre eles esto nos detalhes de implementao.

264 Implantando a Governana de TI 3 edio

Gerenciamento da Demanda: visa gerenciar de forma sncrona os


ciclos de produo dos servios (que consomem demanda) e os
ciclos de consumo dos servios (que geram mais demanda). Por
exemplo, o aumento da quantidade de funcionrios do cliente certamente intensificar a atividade do negcio, o que poder acarretar em crescimento da demanda de incidentes e requisies de
servios.

A anlise da dinmica do negcio poder permitir o estabelecimento de


padres de atividades de negcio e de perfis de usurios, que podem ser combinados para a composio de pacotes de servios customizados. Por exemplo,
pode haver um pacote especfico de servios para executivos seniores que viajam muito, necessitam fortemente de assistncia tcnica e precisam ter altssima disponibilidade 24 horas por dia para os assuntos de negcio. Estes conceitos tm sido bastante utilizados por provedores de servios que oferecem
solues de full outsourcing de TI a seus clientes.
7.1.3.2.4 A influncia da Estratgia do Servio na organizao
O desenvolvimento da estratgia deve levar em considerao o estilo de
gesto organizacional dominante na empresa, pois ele poder ser crucial
na concepo da estrutura organizacional mais adequada para o servio.
Estes estilos podem ser representados em estgios (similares a nveis de
maturidade):
1 Rede: entrega de servios rpida, informal e sob demanda (o desafio a liderana).
2 Diretivo: equipe habilidosa em gesto para dirigir a estratgia
e gerentes com responsabilidades funcionais (o desafio a autonomia).
3 Delegao: mais poder para os gerentes (o desafio o controle).
4 Coordenao: uso de sistemas formais para melhorar a coordenao (o desafio a burocracia).
5 Colaborao: Forte sintonia com o negcio, maior flexibilidade,
com gerentes altamente habilitados em trabalho de equipe e resoluo de conflitos.

Modelos para Gerenciamento de Servios de TI 265

Analogamente, a estratgia precisa estar aderente ao padro de departamentalizao da empresa (por funo, produto, mercado/cliente, geografia,
processo, etc.), assim como cultura organizacional.
Ainda falando de organizao, um ltimo ponto de ateno a estratgia
de sourcing (caso esta seja uma possibilidade). Neste sentido, deve-se definir o
que terceirizar, qual(is) estrutura(s) de sourcing a serem utilizadas (insourcing,
servios compartilhados, full outsourcing, contrato nico com subcontratados,
consrcio, outsourcing seletivo), se haver vrios fornecedores, quais sero as
interfaces, os papis e as responsabilidades, os fatores crticos de sucesso e o
modelo de governana a ser adotado35.
7.1.3.2.5 A implementao da estratgia no ciclo de vida do servio
A Estratgia do Servio est no corao do ciclo de vida do servio, representando a grande fonte de requisitos para todas as demais disciplinas que a
implementam. A melhoria contnua do servio fornece realimentao para
todas as demais disciplinas, atravs das suas medies e avaliaes. A figura
7.3 ilustra esta inter-relao entre as disciplinas da ITIL:
Medio e Avaliao

Implementao da Estratgia
Requisitos de
Desenho do Servio

Requisitos de
Transio do Servio

Estratgia
do Servio
- Portfolio de Servios
- Catlogo de Servios

Requisitos de
Operao do Servio

Desenho do
Servio

Transio
do Servio

Melhoria
Contnua do
Servio

Operao do
Servio

Medio e Avaliao

Figura 7.3 Sistema fechado de planejamento e controle para a estratgia


Adaptado de OGC (2007a)
35 Neste ponto, a ITIL recomenda a ISO/IEC 20000.

266 Implantando a Governana de TI 3 edio

A estratgia, entretanto, deve ser implementada dentro do espao de solues delimitado pelas restries impostas pelo negcio, tais como utilidade,
garantia, capacidade mxima, preo, questes de licenciamento, padres e
regulaes, recursos, valores morais e ticos, etc.
Aspectos tecnolgicos tambm so importantes no desenho da estratgia,
notadamente as necessidades de automao dos servios, as interfaces entre
os servios habilitadas ou no por TI (desde processos manuais at canais de
autoatendimento) e as ferramentas a serem utilizadas (tais como simuladores,
modelos analticos, etc.).

7.1.3.3 Desenho do Servio


Este estgio do ciclo de vida tem como foco o desenho e a criao de servios de TI cujo propsito ser realizar a estratgia concebida anteriormente.
Atravs do uso das prticas, processos e polticas de TI vigente, os servios devem ser construdos de forma a assegurar a qualidade da entrega, a satisfao
dos clientes, a eficincia dos custos e a facilidade de coloc-los em produo.
A ITIL define o Desenho do Servio como o desenho de servios de TI
apropriados e inovadores, incluindo suas arquiteturas, processos, polticas e
documentao, para atender os requisitos do negcio atuais e futuros.
7.1.3.3.1 Aspectos bsicos do Desenho do Servio
Esta publicao descreve os princpios e fundamentos bsicos do Desenho
do Servio, abordando cinco aspectos importantes que precisam ser considerados neste momento:
O desenho de um novo servio ou a alterao de um servio existente
deve ser encarado como o projeto de uma soluo completa, com
alto grau de aderncia aos requisitos estabelecidos pelo negcio. Tais
requisitos, assim como todos os recursos e capacitaes necessrias
para o servio, devem estar de acordo com a estratgia estabelecida
pela organizao.
Desenhar os sistemas e ferramentas de gerenciamento (principalmente o Portflio de Servios), para que sejam capazes de apoiar os servios em todos os momentos do ciclo de vida.

Modelos para Gerenciamento de Servios de TI 267

Desenhar as arquiteturas tecnolgicas e de gesto (servios, aplicaes, dados/informao, infraestrutura e ambiente) para que tenham as capacitaes necessrias para operar os servios de forma
consistente.
Desenhar os processos e TI e de Gerenciamento de Servios, assim
como papis, responsabilidades e habilidades relacionados, para
que sejam capazes de operar, apoiar e manter os servios, assim
como criar ferramentas que permitam a integrao entre organizaes.
Desenhar as mtricas e mtodos para medio da qualidade do processo de desenho do servio, em termos do seu progresso, conformidade (com requisitos corporativos, de governana, regulao), eficcia e eficincia.

Recomenda-se que os planos para o desenho, a transio e a operao destes aspectos incluam abordagens para anlise de impacto tcnico, comercial e
organizacional, gerenciamento de riscos, da comunicao, empacotamento e
critrios de aceitao a serem aplicados sobre a entrega do servio, assim como
influncias externas de outros modelos de referncia (CobiT, CMMI, ISO
27001, ISO 9001, ISO/IEC 20000, etc.).
Aps o desenho do servio, algumas atividades so necessrias ainda antes
do incio do estgio de Transio do Servio. Caso haja envolvimento de outros fornecedores, importante avaliar solues alternativas e providenciar a
obteno da soluo escolhida. O projeto (ou programa) de desenvolvimento
da soluo de servio deve considerar atividades de criao, ajuste ou reutilizao dos componentes do servio.
Neste sentido, a utilizao de abordagens como SOA (Service Oriented Architecture) e BSM (Business Service Management) pode ser importante para
desenvolver servios de TI flexveis e reutilizveis, que possam ser compartilhados por vrias reas de negcio, e para garantir que estes componentes de
TI estejam integrados aos objetivos do negcio. O modelo a ser utilizado para
o desenho e desenvolvimento do servio depende da escolha do modelo de
entrega do servio36.
36 Tais modelos envolvem estratgias de sourcing, tais como insourcing, outsourcing, co-sourcing, multisourcing, BPO (Business Process Outsourcing), ASP (Application Service Provision) e KPO (Knowledge
Process Outsourcing).

268 Implantando a Governana de TI 3 edio

7.1.3.3.2 Os processos do Desenho do Servio


O estgio de Desenho do Servio suportado por um conjunto de sete
processos de Gerenciamento de Servios, descritos mais abaixo nesta seo. A
figura 7.4 mostra como estes processos se encaixam dentro de uma viso mais
abrangente do Desenho do Servio.
Novos servios
em operao

Novos Requisitos

Estratgia
do Servio

Estratgias e
restries

Analisar requisitos,
documentar e
acordar

Transio
do Servio

Pacote de Desenho
do Projeto

Desenhar a soluo
do servio

Avaliar solues
alternativas

Obter a soluo
preferida

Desenvolver a
soluo

Operao
do Servio

Desenho
do Servio

Arquiteturas

Portfolio de
Servios

Catlogo
de
Servios

Mtodos
de Medio

Processos-chaves do
Desenho do Servio
Gerenc. do
Nvel de
Servio:

poltica, planos,
requisitos, ANSs,
ANOs, relatrios

Gerenciamento
do Catlogo de
Servios

Capacidade:

poltica, planos,
Sistema de Ger.
Capacidade,
relatrios,
dimensionamento,
previses

Gerenciamento
do Nvel de
Servio

Disponibilidade:
poltica, planos,
critrios de desenho,
anlise de riscos,
Sistema de Ger.
Disponibilidade,
relatrios,
programaes

Gerenciamento
da Capacidade

Gerenciamento
da
Disponibilidade

Continuidade:

poltica, planos,
anlise de impacto
no negcio, planos
de continuidade
(negcio e TI),
anlise de riscos,
relatrios,
programaes

Gerenciamento
da Continuidade
do Servio de TI

Segurana:

poltica, planos,
anlise de riscos,
relatrios,
classificao,
controles

Gerenciamento
daSegurana da
Informao

Fornecedor:
poltica, planos,
relatrios,
base de dados
de fornecedores
e contratos,
contratos

Gerenciamento
de Fornecedores

Insumos de processos de outras reas, incluindo: Gerenciamento de Eventos, Incidentes, Problemas, Execuo de Requisies, Acesso, Mudana,
Configurao, Conhecimento, Liberao e Distribuio (planejamento, avaliao de riscos, montagem e teste, aceitao), Finanas, Portfolio de
Servios,Demanda

Figura 7.4 Viso dos processos do estgio de Desenho do Servio


Adaptado de OGC (2007b)

Gerenciamento do Catlogo de Servios: garante uma fonte nica


de informaes consistentes e atualizadas sobre todos os servios que
esto operacionais e sobre aqueles que esto sendo preparados para
entrar em operao. O Catlogo de Servios tem duas subdivises:
Catlogo de Servios de Negcio: contm a viso do cliente sobre
os servios de TI e os seus relacionamentos com os processos e
estruturas organizacionais do negcio.
Catlogo de Servios Tcnicos: contm detalhes tcnicos de todos
os servios entregues ao cliente, e os seus relacionamentos com

Modelos para Gerenciamento de Servios de TI 269

os servios de suporte, itens de configurao, componentes e servios compartilhados necessrios entrega do servio ao cliente.
Gerenciamento do Nvel de Servio: visa manter e melhorar a qualidade
dos servios de TI atravs de um ciclo contnuo de atividades envolvendo planejamento, coordenao, elaborao, estabelecimento de acordo
de metas de desempenho e responsabilidades mtuas, monitoramento e
divulgao de nveis de servio (em relao aos clientes), de nveis operacionais (em relao a fornecedores internos) e de contratos de apoio com
fornecedores de servios externos37. Este processo tambm responsvel
pela elaborao e manuteno de um Plano de Melhoria dos Servios38,
um programa com aes priorizadas de melhoria para os servios.
Gerenciamento da Capacidade: assegura que a capacidade da infraestrutura de TI absorva as demandas evolutivas do negcio de forma
eficaz e dentro do custo previsto, balanceando a oferta de servios em
relao demanda e otimizando a infraestrutura necessria prestao dos servios de TI.
Gerenciamento da Disponibilidade: visa assegurar que os servios de
TI sejam projetados para atender e preservar os nveis de disponibilidade e confiabilidade requeridos pelo negcio, minimizando os
riscos de interrupo atravs de atividades de monitoramento fsico,
soluo de incidentes e melhoria contnua da infraestrutura e da organizao de suporte.
Gerenciamento da Continuidade do Servio de TI: desdobramento
do processo de gerenciamento da continuidade do negcio, que visa
assegurar que todos os recursos tcnicos e servios de TI necessrios
(incluindo sistemas, redes, aplicaes, Central de Servios, suporte
tcnico, telecomunicaes etc.) possam ser recuperados dentro de um
tempo preestabelecido.
Gerenciamento da Segurana da Informao: abrange processos relacionados garantia da confidencialidade, integridade e disponibilidade de dados, assim como segurana dos componentes de hardware
e software, da documentao e dos procedimentos. Desta forma, este
processo alinha a segurana da TI com a segurana do negcio e as37 Em ingls, SLA (Service Level Agreement), OLA (Operational Level Agreement) e UC (Underpinning
Contract).
38 Em ingls, SIP (Service Improvement Plan).

270 Implantando a Governana de TI 3 edio

segura que a segurana da informao seja gerenciada efetivamente


durante todo o ciclo de vida dos servios39.
Gerenciamento de Fornecedores: gerencia fornecedores e os contratos necessrios para suportar os servios por eles prestados, visando
prover um servio de TI com qualidade transparente para o negcio,
assegurando o valor do investimento feito.
7.1.3.3.3 Atividades relacionadas tecnologia para o Desenho do
Servio.
Face s necessidades de desenho de arquiteturas tecnolgicas para o servio, o estgio de Desenho do Servio poder envolver atividades relacionadas
a disciplinas tais como:
Engenharia de Requisitos: compreende o entendimento e a documentao dos requisitos dos usurios e dos negcios, alm da garantia
de rastreabilidade das mudanas em cada requisito40.
Gerenciamento de Dados e Informaes: aborda as formas de
planejamento, coleta, gerao, organizao, utilizao, controle,
divulgao e descarte de dados e informaes por parte de uma
organizao.
Gerenciamento de Aplicaes: envolve o ciclo de vida dos itens de
software responsveis por funcionalidades especficas que suportam
diretamente a execuo de servios de TI e de processos de negcio.

7.1.3.3.4 A implementao do Desenho do Servio e suas implicaes


organizacionais e tecnolgicas
Para implementar os processos de Desenho do Servio, uma organizao
deve analisar o impacto no negcio, definir os requisitos de nvel de servio,
avaliar os riscos, executar as atividades de implementao (propriamente ditas) e medir o processo.

39 Este processo substituiu a publicao Gerenciamento da Segurana da verso anterior da ITIL e


est totalmente alinhado com os preceitos da ISO 27001.
40 Este um ponto de convergncia com modelos familiares Engenharia de Software, tais como
CMMI, etc.

Modelos para Gerenciamento de Servios de TI 271

O Desenho do Servio traz a necessidade da definio de uma matriz de


responsabilidades, na qual as atribuies de cada funo devem estar bastante
claras. Dentro do contexto do Gerenciamento de Servios de TI, despontam
funes como Gestor do Catlogo de Servios, Gestor do Nvel de Servio,
Gestor de Disponibilidade e assim por diante.
Analogamente, h a necessidade de aquisio ou desenvolvimento de ferramentas para automatizar atividades de desenho do servio (processos, infraestrutura, software, etc.) e para aumentar a eficcia, a eficincia, a segurana
e a qualidade do gerenciamento do servio, durante a sua operao contnua.
Obviamente, no basta somente ter as ferramentas, pois a dependncia de
processos e, principalmente, das pessoas um fator crtico para o sucesso da
sua implantao.

7.1.3.4 Transio do Servio


O estgio de Transio do Servio tem como principal objetivo colocar
no ambiente de produo, em plena operao, um servio que acabou de sair
do estgio de Desenho do Servio, garantindo o cumprimento dos requisitos
preestabelecidos de custo, qualidade e prazo e que haja impacto mnimo nas
operaes atuais da organizao.
Um processo de transio de servios, quando efetivo, agrega valor significativo a uma organizao provedora de servios, uma vez que assegura que os
novos servios possam ser utilizados de forma a maximizar o valor das operaes do negcio e, principalmente, demonstra a capacidade da organizao de
gerenciar mudanas em seus servios de forma consistente.
Entre as caractersticas importantes deste estgio do ciclo de vida de servio, podem ser relacionadas:
Definio de um Sistema de Gerenciamento da Configurao, no
qual existe uma Base de Dados de Gerenciamento da Configurao
integrada (que pode ser produto da unio de vrias bases e bibliotecas
de mdias locais), camadas de integrao de informao e de processamento de conhecimento (em um nvel intermedirio) e uma camada
de apresentao.
Processos focados na gesto da mudana organizacional, no planejamento e suporte transio, na validao, no teste e na avaliao

272 Implantando a Governana de TI 3 edio

dos servios a serem liberados para produo e no gerenciamento do


conhecimento acerca de todos os aspectos envolvidos na transio.
Definio de um Sistema de Gesto do Conhecimento sobre Servios
como uma ferramenta poderosa para a tomada de decises mais rpidas e precisas acerca dos servios.
7.1.3.4.1 Princpios da Transio do Servio
A ITIL estabelece polticas explcitas formais focadas em aspectos importantes para o processo de transio, tais como:
Implementao de todas as mudanas no Portflio ou Catlogo de
Servios atravs do processo de transio.
Adoo de um framework comum e de padres conhecidos para melhorar a integrao das partes envolvidas na transio.
Maximizao da reutilizao de processos e sistemas j existentes.
Integrao dos planos de transio s necessidades do negcio, visando maximizar o valor das mudanas.
Gerenciamento dos relacionamentos com todas as partes interessadas
(stakeholders) nos servios.
Desenvolvimento de sistemas e processos para facilitar a transferncia
de conhecimento e o suporte s decises.
Planejamento dos pacotes de liberao e distribuio.
Antecipao e gerenciamento das correes de desvios identificados
na transio.
Gerenciamento proativo de recursos atravs de vrias instncias do
processo de transio de servios.
Deteco antecipada de falhas (no incio do ciclo de vida do servio),
visando reduzir custos de correo.
Garantia da qualidade do processo de transio e do servio novo ou
alterado j em operao.

7.1.3.4.2 Os processos da Transio do Servio


Pode-se dizer que o estgio de Transio do Servio tem similaridade com
o ciclo de vida de um projeto, com produtos bem definidos e data prevista

Modelos para Gerenciamento de Servios de TI 273

para acabar. Um dos processos importantes deste estgio o de Planejamento


e Suporte Transio, que visa planejar e coordenar os recursos necessrios
para colocar um servio novo ou modificado no ambiente de produo, dentro do custo, do prazo e da qualidade estimados.
Para tal, deve-se, entre outras atividades, avaliar constantemente a aderncia dos planos de transio estratgia, integrar os planos junto ao cliente e
aos demais fornecedores, gerenciar progresso, mudanas, problemas, riscos
e desvios, alm de prover todos os envolvidos do suporte necessrio para o
cumprimento dos objetivos e trabalhar na monitorao e melhoria contnua
do desempenho do processo de transio.
Alm do processo de planejamento e suporte, o estgio de Transio do
Servio suportado por mais seis processos de Gerenciamento de Servios,
descritos a seguir nesta seo. A relao entre estes processos no mbito da
Transio do Servio pode ser visualizada na Figura 7.5.

Figura 7.5 O Escopo da Transio do Servio - Adaptado de OGC (2007c)

Gerenciamento de Mudanas: visa assegurar o tratamento sistemtico e padronizado de todas as mudanas ocorridas no ambiente ope-

274 Implantando a Governana de TI 3 edio

racional, minimizando assim os impactos decorrentes de incidentes/


problemas relacionados a estas mudanas na qualidade do servio e
melhorando, consequentemente, a rotina operacional da organizao.
Gerenciamento de Ativos de Servio e da Configurao: abrange identificao, registro, controle e verificao de ativos de servio e itens de
configurao (componentes de TI, tais como hardware, software e documentao relacionada), incluindo suas verses, componentes e interfaces, dentro de um repositrio centralizado. Fazem parte tambm
do escopo deste processo a proteo da integridade dos ativos e itens
de configurao ao longo do ciclo de vida do servio contra mudanas
no autorizadas e o estabelecimento e a manuteno de um Sistema de
Gerenciamento da Configurao completo e preciso.
Gerenciamento da Liberao e da Distribuio: abrange o gerenciamento do tratamento de um conjunto de mudanas em um servio de
TI, devidamente autorizadas (incluindo atividades de planejamento,
desenho, construo, configurao e teste de itens de software e hardware), visando criar um conjunto de componentes finais e implant-los em bloco em um ambiente de produo, de forma a adicionar
valor ao cliente, em conformidade com os requisitos estabelecidos na
estratgia e no desenho do servio.
Validao e Teste do Servio: relacionado garantia da qualidade de
uma liberao, incluindo todos os seus componentes de servio, os
servios resultantes e a capacitao do servio por ela viabilizada. Um
servio validado e testado est pronto para o uso dentro dos propsitos para os quais foi desenhado e construdo.
Avaliao: visa criar meios padronizados e consistentes para avaliar
o desempenho de uma mudana no contexto de uma infraestrutura
de TI e servios j existente, confrontando-o com as metas previstas,
registrando e gerenciando os desvios encontrados.
Gerenciamento do Conhecimento: visa garantir que a informao
correta seja entregue no local apropriado, para uma pessoa que tenha
competncia para atuar no tempo certo, habilitando a tomada de
decises informadas. Para tal, a ITIL possui o conceito de Sistema de
Gerenciamento do Conhecimento sobre Servios, que pode ser visto
como uma base de conhecimento mais ampla, contendo informaes
tais como experincia da equipe, requisitos, habilidades e expectativas
dos fornecedores e parceiros, histrico de configuraes, etc.

Modelos para Gerenciamento de Servios de TI 275

So tambm atividades comuns ao estgio de Transio do Servio aquelas


relacionadas ao gerenciamento da comunicao e de compromissos assumidos e ao gerenciamento da mudana organizacional, no mbito de todos os
stakeholders.
7.1.3.4.3 A Implementao da Transio do Servio e suas
implicaes organizacionais e tecnolgicas
A implementao dos processos de Transio do Servio em uma organizao deve comear pela justificativa da sua importncia estratgica para o negcio (uma vez que eles no so visveis para o cliente), passando pelo desenho
de seus padres, polticas e relacionamentos e chegando institucionalizao
do processo, levando em considerao aspectos de mudana cultural, do entendimento dos riscos e da medio de valor adicionado organizao.
A Transio do Servio acrescenta na matriz de responsabilidades mais algumas funes, dentro do contexto do Gerenciamento de Servios de TI, tais
como Gestor da Configurao, Gestor de Mudanas, Gestor de Ativos de
Servio, Gerente de Teste de Servio e assim por diante.
Tecnologicamente, h uma gama de ferramentas que podero apoiar a
Transio do Servio, tais como:
Sistema de Gerenciamento da Configurao (incluindo a integrao
das bases de dados de gerenciamento da configurao).
Ferramentas de colaborao e workflow.
Automao de testes, gerenciamento de massas de teste.
Automao de distribuio de liberaes de software e da logstica de
hardware.
Ferramentas de gesto do conhecimento, tais como dashboards, gerenciamento eletrnico de documentos, gesto de contedo, etc.

7.1.3.5 Operao do Servio


O estgio de Operao do Servio bastante crtico dentro do ciclo de vida
do servio, pois erros na conduo, no controle e na gesto das atividades do
dia a dia operacional podero comprometer totalmente a disponibilidade do

276 Implantando a Governana de TI 3 edio

servio, mesmo que ele tenha sido muito bem desenhado e que sua implementao em produo tenha sido um sucesso.
A Operao do Servio inclui em seu escopo todas as atividades recorrentes necessrias para entregar e suportar os servios. Seu objetivo coordenar
e executar tais atividades dentro dos nveis de servio estabelecidos com os
clientes.
Esta publicao da ITIL V3 possivelmente a mais familiar para os conhecedores da verso anterior, pois abriga os processos mais conhecidos de
Suporte a Servios (gerenciamento de incidentes e problemas) e a funo
de Central de Servios. Entretanto, uma importante mudana foi a separao
dos conceitos de incidente, evento e requisio de servios, o que melhorou
significativamente o entendimento.
7.1.3.5.1 Princpios da Operao do Servio
Um dos maiores desafios deste estgio de Operao do Servio seguir
processos, funes e atividades que visam a regularidade da entrega dos servios nos nveis preestabelecidos, dentro de um ambiente sujeito a mudanas
frequentes e, muitas vezes, imprevisveis. Um dos papis da Operao do Servio encontrar um ponto de equilbrio entre conjuntos de prioridades totalmente conflitantes, para minimizar riscos. A tabela 7.2 ilustra estes conflitos
e os riscos de pender para um dos lados.
Tema

Visualizao

Comportamento

Posies Conflitantes

Riscos nos Extremos

Viso externa do negcio (conjunto


de servios de TI)

Altos nveis de desempenho sem saber como


foram atingidos.

Visao interna de TI (conjunto de


componentes de tecnologia)

No atender os requisitos do cliente.

Estabilidade

Ignorar requisitos de mudana no negcio.

Responsividade

Gastar demais em mudanas.

Foco em Custo

Perder qualidade do servio devido aos cortes


pesados de custos.

Foco em Qualidade

Gastar muito para entregar nveis de servios


maiores do que os estritamente necessrios.

Foco

Modelos para Gerenciamento de Servios de TI 277

Tema
Atuao

Posies Conflitantes

Riscos nos Extremos

Reatividade

No suportar a estratgia do negcio.

Proatividade

Tendncia a ajustar servios que no esto com


problemas, aumentando a taxa de mudanas.

Tabela 7.2 Conflitos a serem resolvidos pela Operao do Servio (e riscos associados aos extremos)

As equipes de Operao do Servio devem sempre estar conscientes de que


so provedoras de servios para o negcio e que uma das habilidades mais
importantes a serem exercidas a comunicao. O quanto antes a Operao
do Servio se envolver nas atividades de desenho e transio, menores sero os
riscos de problemas inesperados durante a fase recorrente.
7.1.3.5.2 Os processos da Operao do Servio
O estgio de Operao do Servio suportado por um conjunto de cinco
processos de Gerenciamento de Servios, descritos a seguir nesta seo. A figura 7.6 mostra como estes processos se relacionam neste contexto.

Exceo

Evento

Filtro

Tipo

Requisio
de Servio

Execuo de
Requisies /
Gerenciamento
de Acesso

Incidente

Gerenciamento
de Incidentes

Problema

Gerenciamento
de Problemas

Mudana

Gerenciamento
de Mudanas

Alerta

Interveno
Humana

Advertncia
Resposta
Automtica
Informao

Figura 7.6 Processos da Operao do Servio


Adaptado de OGC (2007d)

Registro

278 Implantando a Governana de TI 3 edio

Gerenciamento de Eventos: monitora todos os eventos que ocorrem


na infraestrutura de TI, para atestar a normalidade da operao. Caso
sejam detectadas condies de exceo, este processo deve escalonar
para resoluo tcnica ou para atuao hierrquica. Eventos podem
ser excees (incidentes, problemas, mudanas), advertncias ou pedidos de informao, que tero tratamentos distintos.
Gerenciamento de Incidentes: visa restaurar a operao normal de
um servio no menor tempo possvel, de forma a minimizar os impactos adversos para o negcio, garantindo que os nveis de qualidade
e disponibilidade sejam mantidos dentro dos padres acordados (trata o efeito e no a causa).
Gerenciamento de Problemas: visa minimizar os impactos adversos
de incidentes e problemas para o negcio, quando causados por falhas na infraestrutura de TI, assim como prevenir que incidentes relacionados a estas falhas ocorram novamente. Pode ter uma atuao
reativa (resoluo de problemas em resposta a um ou mais incidentes)
ou proativa (identificando e resolvendo problemas e falhas conhecidas antes da ocorrncia dos incidentes).
Execuo ou cumprimento de Requisies: trata requisies dos
usurios que no foram geradas por um incidente, mas que foram
originadas a partir de uma solicitao de servio41 ou de uma simples
solicitao de informao.
Gerenciamento do Acesso: controla o acesso de usurios ao direito
de utilizar os servios, garantindo-o queles que foram previamente
autorizados e restringindo-o a todos os demais. Consiste na execuo
das polticas e aes definidas anteriormente nos processos de Gerenciamento da Disponibilidade e Gerenciamento da Segurana da
Informao (Desenho do Servio).

So executadas tambm, no escopo da Operao do Servio, atividades


operacionais de todos os demais processos de Gerenciamento de Servios de
TI.

41 Na verso anterior da ITIL, as Service Requests eram tratadas da mesma forma que os incidentes, o
que foi resolvido na ITIL V3.

Modelos para Gerenciamento de Servios de TI 279

7.1.3.5.3 As funes da Operao do Servio


Funo definida pela ITIL como um conceito lgico referente a pessoas
e medidas automatizadas que executam um determinado processo, atividade,
ou uma comunicao entre eles. A Operao do Servio possui quatro funes, a seguir:
Central de Servios (Service Desk): funo destinada a responder rapidamente a questes, reclamaes e problemas dos usurios, de forma
a permitir que os servios sejam executados com o grau de qualidade
esperado. Pode ser implementada de forma centralizada, local ou virtual, nas modalidades de:
Central de Atendimento (Call Center): nfase no atendimento
de um grande nmero de chamadas telefnicas.
Help Desk: visa gerenciar, coordenar e resolver incidentes no menor tempo possvel, assegurando que nenhuma chamada seja perdida, esquecida ou ignorada.
Central de Servios (Service Desk): abordagem global, que permite a integrao dos processos de negcio infraestrutura de
gerenciamento dos servios de TI.
Gerenciamento Tcnico (Technical Management): funo relacionada aos grupos, reas ou equipes que possuem experincia e conhecimento tcnico especializado para suportar a operao. Deve
tambm garantir que haja recursos treinados para desenhar, construir, fazer as transies, operar e melhorar a tecnologia utilizada
nos servios.
Gerenciamento das Operaes de TI (IT Operations Management): funo relacionada a grupos, reas ou equipes responsveis pela execuo das atividades dirias da operao (tais como
gerenciar a cadeia de parceiros em uma rea de Procurement ou
receber materiais enviados por clientes em uma rea de Logstica). Esta funo se subdivide em Controle de Operaes e Gerenciamento de Facilidades.
Gerenciamento de Aplicaes (Application Management): funo
responsvel por gerenciar aplicaes ao longo de seu ciclo de vida
que desempenha um importante papel no desenho, no teste e nas
melhorias das aplicaes que suportam servios de TI. Aborda o
ciclo de vida completo das aplicaes de software relacionadas

280 Implantando a Governana de TI 3 edio

implementao de servios de TI, incluindo atividades de desenvolvimento (levantamento de requisitos, planejamento, desenho,
construo e teste) e de gerenciamento (implantao, operao,
suporte e otimizao)42.
7.1.3.5.4 Atividades comuns da Operao do Servio
Alm dos processos e funes, h um conjunto de atividades tcnicas altamente especializadas cujo objetivo garantir que a tecnologia requerida para a
entrega e o suporte aos servios esteja funcionando em perfeito estado. Entre
estas atividades, figuram:
Monitorao e controle.
Operaes de TI (gerenciamento de console, programao de jobs,
backup e recuperao, impresso).
Gerenciamento do mainframe.
Gerenciamento e suporte a servidores.
Gerenciamento de redes.
Armazenamento de dados.
Administrao de banco de dados.
Gerenciamento de servios de diretrio.
Suporte a desktops.
Gerenciamento de middleware.
Gerenciamento da Internet/Web.
Gerenciamento de facilidades e datacenters, etc.

7.1.3.5.5 A Implementao da Operao do Servio e suas


implicaes tecnolgicas
A implementao dos processos de Operao do Servio em uma organizao pode comear pelo gerenciamento das mudanas no ambiente atual
da operao e pela utilizao de processos de gerenciamento de projetos nas
aes de melhoria que representarem mudanas significativas na infraestrutura ou nos processos. Avaliar e gerenciar os riscos da operao e a alocao
42 Esta funo substituiu a publicao Gerenciamento de Aplicaes da verso anterior da ITIL.

Modelos para Gerenciamento de Servios de TI 281

antecipada dos colaboradores nos estgios de desenho e transio tambm so


boas prticas a serem consideradas.
Tecnologicamente, h uma gama de ferramentas que podero apoiar a
Operao do Servio, tais como:
Ferramentas de autoajuda para o usurio (para minimizar a quantidade de eventos).
Sistema de Gerenciamento da Configurao integrado, que deve
permitir que todos os itens de configurao fiquem armazenados juntamente com seus atributos relevantes em uma localidade
centralizada.
Controle remoto de estaes.
Ferramentas de diagnstico.
Elaborao de relatrios e dashboards de indicadores.

7.1.3.6 Melhoria Contnua do Servio


Os servios de TI devem continuamente ser alinhados e, principalmente,
integrados s necessidades do negcio (que so dinmicas por natureza), atravs da identificao e da implementao de aes de melhoria para o suporte
aos processos de negcio.
Este o propsito principal do estgio de Melhoria Contnua do Servio. Seu escopo contm atividades que suportam o planejamento contnuo
da melhoria de processos, tais como anlise das informaes gerenciais e
das tendncias quanto ao atingimento dos nveis de servio e dos resultados
desejados pelos servios, avaliaes de maturidade e auditorias internas peridicas, pesquisas de satisfao junto aos clientes, gerenciamento do Plano
de Melhoria de Servios (criado pelo processo de Gerenciamento do Nvel
de Servio) e identificao de oportunidades de melhoria. Os conceitos aqui
presentes so suportados tambm pelos frameworks, modelos, padres e sistemas de qualidade mais utilizados no mercado, tais como CobiT, CMMI,
PMBOK, etc.
Os benefcios de uma implementao bem-sucedida da Melhoria Contnua do Servio podem ser mensurados atravs de mtricas focadas, por
exemplo, na quantidade de falhas, na realizao de melhorias e em concei-

282 Implantando a Governana de TI 3 edio

tos como retorno sobre o investimento (ROI) e valor sobre o investimento


(VOI).
As oportunidades de melhoria dos servios podem ser encontradas em vrios pontos do ciclo de vida de servio. A Figura 7.7 mostra a interao da
Melhoria Contnua do Servio com os demais estgios.
Estratgias de Servio
Estratgias, Polticas,
Padres

Retorno /
Lies Aprendidas
para Melhoria

Desenho do Servio
Resultados

Planos para criar e modificar


servios e processos de
gerenciamento de servio

Retorno /
Lies Aprendidas
para Melhoria

Retorno /
Lies Aprendidas
para Melhoria

Retorno /
Lies Aprendidas
para Melhoria

Transio do Servio
Resultados

Gerenciar a transio de
um servio novo ou modificado
ou de um processo de
gerenciamento de servios no
ambiente de produo

Retorno /
Lies Aprendidas
para Melhoria

Operao do Servio
Resultados

Operaes dirias de servios


e de processos de
gerenciamento de servios

Melhoria Contnua do Servio


Atividades esto embutidas no ciclo de vida do servio

Figura 7.7 Melhoria Contnua do Servio e o Ciclo de Vida de Servio


Adaptado de OGC (2007e)

7.1.3.6.1 Princpios da Melhoria Contnua do Servio


Um programa de melhoria sempre deve estar vinculado s oportunidades
de mudana organizacional e por isto deve ser conduzido por uma equipe que
possua representatividade e autoridade para promov-las e onde haja papis
e responsabilidades bem definidas. Neste estgio, importante tambm estar
atento s influncias externas (regulaes, concorrncia, requisitos de clientes,
etc.) e internas (estruturas organizacionais, cultura, capacidade) que podem
ser fontes para oportunidades de melhoria43.
43 Um dos mtodos que pode ser til para identificar tais fontes a anlise SWOT, que ressalta os
pontos fortes, os pontos fracos, as oportunidades e as ameaas para o negcio.

Modelos para Gerenciamento de Servios de TI 283

Outras fontes de valores de referncia podem ser obtidas atravs de benchmarkings ou da anlise de dados histricos. Os processos de Gerenciamento
do Nvel de Servio, Gerenciamento de Problemas e de Gerenciamento do
Conhecimento podem ser considerados chaves para este processo, pois fornecem uma base importante de conhecimento medido e estruturado acerca dos
servios, sobre a qual as aes de melhoria podem ser planejadas e conduzidas
adequadamente.
Por fim, um dos princpios mais importantes deste estgio a medio do
servio. Basicamente, medies so realizadas para validar decises tomadas,
direcionar atividades para o atingimento de metas, justificar direcionamentos
necessrios e/ou identificar pontos onde necessrio intervir com mudanas
ou aes corretivas. Por isto, no basta medir simplesmente, mas importante
saber por que medir, quando parar de medir e tambm se os resultados destas medies esto sendo teis para alguma rea da organizao. Da mesma
forma, simplesmente melhorar algo no suficiente, pois deve-se estabelecer
a viso de futuro, fixar referncias iniciais e metas a serem atingidas e avaliar
posteriormente se houve sucesso ou no. Estes conceitos esto ilustrados na
Figura 7.8:
Identificar:
- Viso
- Estratgia
- Metas Tticas
- Metas Operacionais

1) Definir o que voc


deve medir

7) Implementar ao
corretiva
2) Definir o que voc
pode medir

Metas
6) Apresentar e utilizar a
informao, sumrio de
avaliao, planos de ao,
etc.

3) Obter os dados
Quem?
Como?
Quando?
Integridade dos dados?
5) Analisar os dados.
Relacionamentos?
Tendncias?
De acordo com o plano?
Alvos atingidos?
Ao corretiva?

4) Processar os dados.
Frequncia?
Formato?
Sistema?
Acurcia?

Figura 7.8 Processo de Melhoria em 7 Passos


Adaptado de OGC (2007e)

284 Implantando a Governana de TI 3 edio

7.1.3.6.2 Processos da Melhoria Contnua do Servio


Alm do Processo de Melhoria em 7 Passos, a Melhoria Contnua do Servio suportada por mais dois processos de Gerenciamento de servios, descritos a seguir:
Relato do Servio: envolve a composio de relatrios de servio
a partir dos dados coletados e monitorados durante a entrega do
servio, alm da identificao do seu objetivo, do pblico-alvo e da
utilizao planejada para as informaes contidas nestes relatrios.
Medio do Servio: visa prover informaes sobre o servio dentro
de uma viso completa orientada integrao com o negcio. Para
tal, recomenda-se a criao de um modelo de medio de servio
que estabelea diferentes nveis para a medio e para a visualizao
atravs de relatrios:
Componente: medies acerca de aspectos fsicos e tcnicos,
como disponibilidade, desempenho, capacidade, falhas, mudanas etc.
Servio: medies sobre aspectos funcionais e de relacionamento
direto com o cliente (pesquisas de satisfao, reclamaes, qualidade do servio).
Processos que suportam os servios: medies de progresso, conformidade, eficcia, eficincia.
Scorecards de Servios: vises estticas peridicas de um servio
em particular.
Dashboard de Servios: contm as mesmas medidas dos scorecards
de servios, mas disponibilizadas em tempo real para a TI e para
os negcios.
Scorecard de TI ou Balanced Scorecard: vises de alto nvel com
consolidaes das medies, visando refletir as metas e os objetivos tticos e estratgicos.

Recomenda-se que os resultados das medies e das melhorias efetuadas


sempre estejam associados a benefcios para a organizao que podero ser
avaliados de forma quantitativa como retorno ou valor sobre o investimento.
Assim, torna-se mais fcil a comunicao e mesmo a justificativa para manuteno e crescimento do programa de melhoria contnua.

Modelos para Gerenciamento de Servios de TI 285

Vrios mtodos e tcnicas podem ser utilizados neste estgio, como


forma de garantir consistncia, tanto na execuo das medies e aes
de melhoria quanto nos relatos de informaes. Entre eles, podem ser
relacionadas avaliaes formais, benchmarkings, Balanced Scorecard, anlise SWOT, alm das prticas dos demais processos de Gerenciamento de
Servios de TI.
7.1.3.6.3 A Implementao da Melhoria Contnua do Servio e suas
implicaes organizacionais e tecnolgicas
Os processos de Melhoria Contnua do Servio em uma organizao podem ser implementados a partir de vrios caminhos. Um deles a abordagem
por servio, na qual um ponto de melhoria de um determinado servio
escolhido como piloto; a abordagem do ciclo de vida focaliza as interfaces
deste estgio com os demais estgios; na abordagem por grupo funcional, o
piloto pode ser feito sobre uma equipe responsvel por ativos com alto grau
de falhas. Em qualquer abordagem, muito importante considerar o grau de
maturidade dos processos de gerenciamento de servios de TI da organizao.
Quanto menos maduros estes processos, mais difcil a aplicao do Processo
de Melhoria em 7 Passos.
Conforme dito anteriormente, melhorias implicam em mudanas organizacionais. Na maioria dos casos, a introduo da ITIL certamente comear
por aes de melhoria em operaes ou servios que j esto em produo.
Assim, deve-se pensar em criar mecanismos de gesto de mudanas organizacionais (desde a sua identificao at a institucionalizao), alm de estratgias
e planos de comunicao por toda a organizao.
A matriz de responsabilidades da organizao requer, para os processos
de Melhoria Contnua do Servio, habilidades especficas para obteno de
dados (preciso, acurcia, experincia tcnica), processamento dos dados
(mtodo, habilidades numricas, programao), anlise dos dados (perfil
analtico, modelagem, inovao) e apresentao/utilizao da informao
(gerenciamento, comunicao, tratamento de situaes complexas e incertas, etc.). Alm destas, reforada a necessidade de um Gerente de Melhoria Contnua de Servios e de um Gerente de Nvel de Servio (neste l-

286 Implantando a Governana de TI 3 edio

timo caso, devido s implicaes deste processo no programa de melhoria


contnua).
Tecnologicamente, h uma gama de ferramentas que podero apoiar a
Melhoria Contnua do Servio (alm daquelas j mencionadas nos demais
estgios), tais como:
Ferramentas para anlise estatstica.
Ferramentas de business intelligence e gerao de relatrios.

7.1.4 Aplicabilidade

do modelo

As prticas da ITIL so compatveis com vrias modalidades de prestao


de servios de TI, tanto locais quanto remotas, que necessitem de uma forte
abordagem de gesto. Pela nfase dada aos aspectos tecnolgicos e sua abordagem de integrao aos requisitos do negcio, o modelo tem sido bastante
utilizado em projetos e operaes contnuas envolvendo itens de infraestrutura, tais como manuteno de equipamentos, gerenciamento de redes, suporte
utilizao de aplicaes e outsourcing de processos de impresso, entre outros.
Quando associado s prticas de modelos especficos orientados a software
(como o CMMI, por exemplo), a ITIL pode ser aplicada a servios especficos
de gerenciamento de servios relacionados a aplicaes, tais como manutenes, operaes de fbrica de software, outsourcing de desenvolvimento, etc.
Atravs da funo de Gerenciamento de Aplicaes, tais modelos tambm podem ser utilizados de forma complementar ITIL, no mbito das aplicaes
que suportam os servios de TI.
O advento da ITIL V3 trouxe ao modelo uma gama de possibilidades
de aplicao nas organizaes, das grandes corporaes at as empresas de
pequeno porte, das empresas com alto grau de maturidade em seus processos
at aquelas que ainda esto iniciando seus passos na busca da qualidade de
servios.
O ciclo de vida de servio pode ser utilizado a partir de seu primeiro estgio, a Estratgia do Servio. Esta abordagem bastante indicada para situaes nas quais uma organizao esteja concebendo novos servios para oferecer ao seu mercado, ou esteja repensando os seus investimentos com foco no
seu Portflio de Servios e nos Catlogos de Servios atuais e futuros.

Modelos para Gerenciamento de Servios de TI 287

Entretanto, a grande maioria das organizaes j possui servios consolidados, em operao por muito tempo. Para estas, o sucesso das suas iniciativas de TI depende muito de uma gesto efetiva do seu Portflio de TI que
coordene os investimentos e os esforos entre seus projetos, ativos, processos
e servios de TI. Para estes casos, parece lgico iniciar o ciclo de vida pelas
atividades da Melhoria Contnua do Servio.
Desta forma, a utilizao das informaes oriundas da anlise da base de
conhecimento da organizao (nveis de servio, histrico de problemas e reclamaes, aes corretivas e preventivas passadas ou em curso, pesquisas de
satisfao, demandas dos clientes e das reas internas, anlises de gaps, avaliaes internas de desempenho, benchmarkings, etc.), analisadas sob a gide da
estratgia de negcios e de TI, certamente resultar em um plano de melhoria
dos servios focado no valor que deve ser adicionado ao negcio.
Deve ser dada ateno especial ao estgio de Transio do Servio, que
representa o umbral a ser cruzado por um servio que foi concebido e desenhado para atender os requisitos do negcio e que est prestes a ser lanado
operao junto aos clientes e usurios. nesta fase que este servio deve passar
por todos os testes necessrios para atestar a sua capacidade de satisfazer os nveis exigidos pelo negcio e que tambm deve ser preparado para distribuio
pelos seus vrios usurios. As abordagens de gerenciamento de projetos (PMI,
PRINCE 2, etc.) certamente sero de muita valia neste momento.
Em geral, qualquer que seja o ponto de entrada, recomenda-se que a implementao do modelo seja feita de forma gradual, partindo de um escopo
reduzido de operaes como piloto e promovendo roll-outs sucessivos para as
demais operaes, respeitando sempre as interdependncias existentes entre
os processos de gesto e os requisitos de disponibilidade e continuidade dos
servios. Devem ser consideradas tambm com muita ateno as questes relacionadas estrutura organizacional e tecnologia que suportam os servios,
de forma que os seus pontos fortes sejam aproveitados ao mximo e que as
eventuais mudanas possam ser efetuadas com impacto mnimo na disponibilidade e na continuidade do negcio.
Assim como todos os modelos de melhores prticas, a ITIL tambm pode
precisar de adaptaes em funo das caractersticas de cada organizao de
TI, dos tipos de servios previstos em seu catlogo e dos nveis de servio exigidos. Da mesma forma, uma organizao deve sempre considerar os desafios,

288 Implantando a Governana de TI 3 edio

os fatores crticos de sucesso e os riscos internos sua estrutura, assim como


aqueles inerentes adoo de um modelo de qualidade.

7.1.5 Benefcios

do modelo

Vrias organizaes tm relatado benefcios com a adoo e implementao da ITIL como modelo de melhores prticas em gerenciamento de TI,
conforme mostram os exemplos a seguir44:
Corte dos custos operacionais em 6% a 8%.
Reduo de 10% na quantidade de chamadas do help desk.
Reduo de 40% nos custos de suporte.
Aumento da taxa de atingimento do tempo de resposta para incidentes em servios relacionados Internet, de 60% para 90%.
Redues superiores a 40% na indisponibilidade dos sistemas.
Aumento significativo no ROI dos servios de TI.
Economia da ordem de grandeza de centenas de milhares de dlares.
Medies feitas pelo Gartner Group mostram que a migrao de uma situao onde no h qualquer processo de Gerenciamento de Servios de TI
para a adoo completa das melhores prticas poder reduzir o custo total de
propriedade (TCO) de uma organizao em cerca de 48%45.
Alm dos resultados quantitativos, a implementao do Gerenciamento
de Servios de TI atravs da ITIL poder trazer resultados qualitativos, tais
como:
Melhoria da satisfao dos clientes.
Reduo gradativa dos custos de treinamento, principalmente se o
padro ITIL se tornar corporativo.
Melhoria da disponibilidade dos sistemas e aplicaes.
Melhoria da produtividade das equipes de servios (j que todos os
envolvidos conhecem seus papis e responsabilidades).
Reduo dos custos relacionados aos incidentes e problemas, devido
deteco e eliminao antecipada.
44 Fonte: Pink Elephant, 2006. The Benefits of ITIL White Paper.
45 Fonte: site www.itilsurvival.com

Modelos para Gerenciamento de Servios de TI 289

Reduo dos custos indiretos que influenciam substancialmente o


custo total de propriedade (manuteno, suporte etc.).
Melhor utilizao dos recursos de TI.
Maior clareza no custeio dos servios.
Aplicao de uma viso organizacional ao trabalho dos indivduos.
Melhoria da satisfao interna dos colaboradores.
Reduo da rotatividade dos colaboradores.

Outros benefcios podero ser percebidos indiretamente, tais como a reduo do custo das oportunidades de negcio perdidas (as melhores prticas da
ITIL tm sido utilizadas como embasamento tcnico para anlise e seleo de
propostas de prestao de servios) ou da falta de capacitao para o atendimento dos servios.
Com a ITIL V3 e a sua viso atravs do ciclo de vida do servio, alguns
benefcios adicionais podem ser relacionados:
Subsdios concretos para justificar investimentos em TI (atravs de
fatos e dados extrados da prpria organizao).
Maior clareza na demonstrao do retorno sobre os investimentos
(ROI) e do valor dos investimentos (VOI) nos servios de TI.
Viso clara do Portflio de Servios, como ferramenta estratgica de
priorizao dos investimentos nos servios de TI.
Maior flexibilidade para adaptao s organizaes de vrios tipos e
nveis de maturidade.
Aumento da convergncia com outros modelos de melhores prticas
em uso no mercado.
Direcionamento da TI para a integrao (e no simplesmente o alinhamento) com o negcio, com base no valor que ela representa.
Medies de desempenho dos servios e de seus componentes, desdobradas com base no valor do negcio.
Relao direta entre os ativos de servios de TI e os servios do negcio.

290 Implantando a Governana de TI 3 edio

7.1.6 Certificaes

relacionadas

7.1.6.1 Foco individual


O esquema de qualificao da ITIL baseia-se em um sistema de crditos
cumulativos, que permite trs nveis de certificao:
Nvel Bsico (Foundation): Mais generalista, destina-se a prover os
profissionais de bons fundamentos acerca dos conceitos chaves, da
terminologia e dos processos da ITIL (vale 2 crditos).
Nvel Intermedirio: possui um grau maior de especializao, pode
ser atingido atravs de uma das duas correntes de conhecimento, conforme a preferncia do postulante:
Corrente do Ciclo de Vida: possui um mdulo para cada um dos
cinco estgios do ciclo de vida (Estratgia do Servio, Desenho do
Servio, Transio do Servio, Operao do Servio e Melhoria
Contnua do Servio), cada um deles valendo 3 crditos.
Corrente da Capacitao: possui quatro mdulos, representando
agrupamentos de capacitaes (Portflio de Servios e Gerenciamento do Relacionamento, Desenho e Otimizao do Servio,
Monitorao e Controle do Servio, Operao e Suporte ao Servio), cada um deles valendo 4 crditos.
Nvel Avanado: possui o curso Gerenciando atravs do Ciclo de
Vida, que aborda a viso completa sobre a abordagem de ciclo de vida
no contexto do Gerenciamento de Servios de TI e vale 5 crditos.

Ao acumular um mnimo de 22 crditos, o profissional poder receber o


Diploma ITIL de Profissional Avanado em Gerenciamento de Servio (ou
ITIL Expert).
A Figura 7.9, a seguir, mostra o esquema completo de certificao da ITIL.

Modelos para Gerenciamento de Servios de TI 291

e
nt

e
rr

Co

do

Ci

cl

de

d
Vi

do

r
Se

vi

de

Mnimo de 22 pontos para conseguir o Diploma.


5

Gerenciando atravs do Ciclo de Vida

15 crditos
3

Co
rre
nt
e

Diploma ITIL
de Profissional
Avanado em Gerenciamento
de Servio

Melhoria
Estratgia Desenho Transio Operao
Contnua
do
do
do
do
do
Servio
Servio
Servio
Servio
Servio

Portfolio de
Servios e
Gerenciamento
do
Relacionamento

Mdulos do Ciclo de Vida de Servios da ITIL

16 crditos
4
4

Ca
pa
ci
ta

es

no
s

Se

rv

i
os

Operao
Desenho e Monitorao e
e Suporte
Otimizao Controle do
ao
do Servio
Servio
Servio

Mdulos de Capacitao em Servios da ITIL

2 crditos
ITIL Foundations para Gerenciamento do Servio

Figura 7.9 Esquema de Certificao da ITIL


Adaptado de ITSMF (2007)

Um profissional considerado qualificado em um dos nveis de certificao da ITIL aps um exame de qualificao profissional ministrado por um
dos seguintes institutos oficiais (acompanhado por um comit de representantes da OGC e do itSMF46):
APM Group (APMG), uma empresa global autorizada a fornecer
servios de validao e certificao.
EXIN (Examination Institute for Information Science in the Netherlands).

7.1.6.2 Foco Organizacional


Pelo seu alto grau de correlao, a ISO/IEC 20000 (apresentada a seguir
neste livro) um padro internacional altamente recomendado para certificar
organizaes quanto utilizao de melhores prticas em Gerenciamento de
Servios de TI, como as descritas pela ITIL.
46 IT Service Management Forum, organizao sem fins lucrativos, fundada no Reino Unido em 1991 e
com representaes em vrios pases (inclusive o Brasil), cuja misso ajudar a desenvolver e promover
as melhores prticas e os padres no Gerenciamento de Servios de TI.

292 Implantando a Governana de TI 3 edio

7.2 ISO/IEC 20000


7.2.1 Histrico

do modelo

Publicada inicialmente em 2000, pela BSI47, a norma BS 15000 (British


Standards Institution Standard for IT Service Management) foi o primeiro padro mundial especificamente direcionado para o Gerenciamento de
Servios de TI. Esta norma, que j estava alinhada com as diretrizes da
ITIL, tinha foco acentuado nas disciplinas de suporte e entrega de servios
de TI.
A partir de recomendaes de seus primeiros usurios, a BS 15000 foi reescrita e publicada novamente em 2002, estruturada em duas partes: especificao (contendo os requisitos bsicos da norma) e cdigo de prtica (contendo diretrizes de suporte detalhadas para a especificao). Como publicaes
complementares, havia um caderno de autoavaliao para as organizaes, em
relao satisfao dos requisitos e um guia gerencial para o Gerenciamento
de Servios de TI.
Entretanto, o fato de ser uma norma britnica dificultava bastante a sua
difuso em mbito mundial. Para ilustrar esta situao, at o final de 2005,
havia apenas cerca de 50 empresas certificadas na BS 15000 em todo o mundo (a maioria delas nos continentes europeu e asitico). Neste cenrio, a International Organization for Standardization (ISO), em conjunto com o International Eletrotechnical Comission (IEC), evoluiu a BS 15000 para o padro
internacional ISO/IEC 20000 em dezembro de 2005.
A evoluo desta norma para um padro internacional aumentou a relevncia da norma para organizaes de TI situadas em outros mercados, tais
como os Estados Unidos e a Amrica Latina. Alm disso, como padro internacional, ela fornece um entendimento comum acerca do gerenciamento de
servios de TI em todo o mundo, uma vez que cobre os aspectos responsveis
por 80% dos gastos totais em TI da maioria das organizaes.
Em novembro de 2010, foi publicada a segunda edio da Parte 1 da
norma, incluindo melhorias tais como refinamento de algumas definies,
alinhamento mais prximo com a ISO 9001, a ISO/IEC 27001 e a ITIL
V3, a introduo do conceito de Sistema de Gesto de Servios (SGS) e a
47 British Standards Institution

Modelos para Gerenciamento de Servios de TI 293

juno de algumas clusulas visando maior clareza e coeso conceitual (por


exemplo, reunio de todos os requisitos do SGS em uma nica clusula e
anexao do processo de Gerenciamento de Liberaes aos processos de
controle).
As partes 1 e 2 da norma ISO/IEC 20000 foram localizadas pela ABNT
(Associao Brasileira de Normas Tcnicas), em 2008, para o mercado brasileiro. Hoje existem edies em lngua portuguesa de todas as cinco partes da
norma. A segunda edio da Parte 1 (ISO/IEC 20000-1:2010) j possui uma
edio brasileira (ABNT NBR ISO/IEC 20000-1:2011), publicada em 2011.

7.2.2 Objetivos

do modelo

Regulamentar um padro para o Gerenciamento de Servios de TI atravs


da uniformizao dos conceitos e da viso dos processos que o implementam,
permitindo assim que os provedores de servios de TI compreendam os meios
atravs dos quais podero planejar, executar, verificar e melhorar continuamente a qualidade dos servios entregues, em conformidade com os requisitos
estabelecidos junto ao negcio e a seus clientes.
Esta norma pode ser utilizada em conjunto com outras normas, tais como
a ISO 9001:2000 e a ISO/IEC 27001, com um foco especfico no Gerenciamento de Servios de TI.

7.2.3 Estrutura

do modelo

7.2.3.1 Diviso dos documentos


A ISO/IEC 20000 est estruturada em cinco partes:
Parte 1 Requisitos do Sistema de Gesto de Servios: consiste na
especificao formal da norma e define os requisitos para o gerenciamento de servios, dentro de um nvel aceitvel de qualidade e em
conformidade com os requisitos do negcio. Esta parte descreve o
que deve ser levado em considerao na implementao do gerenciamento de servios de TI, visando certificao dos processos relacionados em relao aos requisitos da norma.

294 Implantando a Governana de TI 3 edio

Parte 2 Cdigo de Prtica: guia prtico que contm um conjunto


de diretrizes baseadas na experincia do mercado, para orientar as
empresas de servios a planejarem melhorias em seus servios ou a se
prepararem para serem auditadas e certificadas na norma, em relao
a cada um dos requisitos presentes na Parte 1 da norma.
Parte 3 Diretrizes de Escopo: contm orientaes para definio do
escopo e da aplicabilidade da norma aos diversos tipos de organizaes de servios de TI.
Parte 4 Modelo de Referncia de Processos: bastante til para a
definio dos processos de Gerenciamento de Servios de TI, em
alinhamento com a ISO/IEC 15504-2 Auditoria de processos de
TI.
Parte 5 Exemplo de Plano de Implementao: apoio preparao
para a implementao de um Sistema de Gerenciamento de Servios
de TI.

Neste livro, daremos foco s duas primeiras partes, que foram as primeiras
a serem publicadas e que contm o ncleo da Norma.

7.2.3.2 O Sistema de Gesto de Servios


A ISO/IEC 20000 tem como espinha dorsal um Sistema de Gesto de Servios (SGS) que dirige e controla as atividades de gerenciamento de servios do
provedor de servios. O SGS inclui todas as polticas, os objetivos, os planos, os
processos, os documentos e os recursos de gerenciamento de servios requeridos
para o desenho, a transio, a entrega e a melhoria dos servios e para atender
os requisitos preconizados pela norma. A Figura 7.10 mostra a viso do SGS na
perspectiva da norma:

Modelos para Gerenciamento de Servios de TI 295

Figura 7.10: Sistema de Gesto de Servios, na viso da ISO/IEC 20000


Adaptado de ISO (2010)

7.2.3.3 Contedo
A Parte 1 da norma ISO/IEC 20000 est estruturada em nove sees, conforme descrito a seguir:
Escopo: nesta seo, so enumerados os propsitos e cenrios para
os quais a norma recomendada e o Sistema de Gesto de Servios
apresentado.
Referncias Normativas: nesta seo, referenciada a Parte 2 da norma (Diretrizes para aplicao dos sistemas de gesto de servios)48.
Termos e Definies: estabelecido um glossrio contendo a terminologia e as definies aplicveis aos propsitos da norma. Vrios dos
termos contidos nesta seo fazem parte do contexto da ITIL.
Requisitos gerais para um sistema de gesto de servios: esta seo
especializa requisitos que tambm so encontrados em outras normas
ISO para o foco do Sistema de Gesto de Servios:
48 A segunda edio da Parte 2 da norma est em vias de ser publicada.

296 Implantando a Governana de TI 3 edio

Responsabilidade da Direo: estabelece a importncia do comprometimento da Alta Administrao com as atividades de desenvolvimento, implementao e melhoria do Sistema de Gesto de
Servios da organizao, do estabelecimento de uma poltica de
gerenciamento de servios, da definio de autoridades e responsabilidades, alm da designao de um representante da direo
para o sistema.
Governana de processos operados por outras partes: estabelece a necessidade de que o provedor demonstre governana sobre
processos que estejam sendo operados por outras partes (grupos
internos, clientes, fornecedores etc.), o que deve ocorrer por meio
de processos como o Gerenciamento do Nvel de Servio e o Gerenciamento de Fornecedores.
Gerenciamento da documentao: estabelece a necessidade de
criar, manter e controlar documentos e registros que garantam a
efetividade do planejamento, da operao e do controle do gerenciamento de servio, tais como polticas, planos, acordos de nvel
de servio, procedimentos, etc.
Gerenciamento de recursos: estabelece a necessidade do provimento de recursos humanos, tcnicos, financeiros e de informao para o SGS. No caso dos recursos humanos, refora a importncia da definio das competncias necessrias para a operao
do SGS, enfatizando a importncia de aes de desenvolvimento
profissional e de conscientizao acerca dos papis e responsabilidades junto aos colaboradores.
Estabelecimento e melhoria do SGS: define o escopo do SGS e
aborda a aplicao do ciclo de melhoria contnua (Plan-Do-Check-Act) sobre uma abordagem integrada dos processos de gerenciamento de servios, conforme mostra a Figura 7.11.

Modelos para Gerenciamento de Servios de TI 297

Plan

(Planejar o
Sistema de
Gesto de
Servios)
Sistema de Gesto de
Servios

Do

(Implementar o
Sistema de
Gesto de
Servios)

Processos de
Gerenciamento de
Servios

Act

(Melhoria
contnua)

Servios

Check

(Monitorar, medir
e revisar)

Figura 7.11: Metodologia Plan-Do-Check-Act, na viso da ISO/IEC 20000


Adaptado de ISO (2010)

Desenho e transio de servios novos ou modificados: esta clusula


visa assegurar que servios novos e/ou mudanas em servios possam
ser planejados, desenhados, desenvolvidos, entregues e gerenciados,
considerando aspectos tais como escopo, oramento, alocao de recursos, nveis de servio e processos j existentes, etc. Neste ponto,
percebe-se um total alinhamento com as prticas de desenho de servios e transio de servios da ITIL V3.
Processos de entrega de servio: esta seo descreve a abordagem da
norma para os processos relacionados entrega de servios:
Gerenciamento do nvel de servio: visa definir, acordar, registrar e gerenciar nveis de servio, abordando elementos importantes como o catlogo de servios e os acordos de nvel de servio.
Relatos de servio: visa a gerao de relatrios contendo informaes claras, confiveis e concisas sobre o gerenciamento de

298 Implantando a Governana de TI 3 edio

servio, de forma a subsidiar, no tempo adequado, a tomada de


decises e a comunicao entre todos os envolvidos.
Gerenciamento da continuidade e disponibilidade do servio:
visa garantir que os compromissos assumidos junto aos clientes
em relao continuidade e disponibilidade do servio possam
ser cumpridos em todas as circunstncias, abordando a importncia de aes de monitorao, planejamento e testes.
Oramento e contabilizao para servios49: abrange polticas
e processos para oramento e contabilizao dos componentes
envolvidos no gerenciamento de servios de TI (ativos, recursos
compartilhados, servios externos, pessoal, licenas etc.), alocao
de custos diretos e indiretos aos servios e controles e autorizaes
financeiras.
Gerenciamento da capacidade: visa garantir que o provedor de
servio tenha sempre capacidade suficiente para atender as demandas atuais e futuras, em conformidade com as necessidades
de negcio do cliente.
Gerenciamento da segurana da informao: com total alinhamento norma ISO/IEC 17799, este processo visa gerenciar
efetivamente a segurana da informao em todas as atividades
do servio, abordando a avaliao de riscos para os ativos conforme sua criticidade, o estabelecimento de controles para garantir
a segurana e a disponibilidade da informao e o tratamento de
mudanas e incidentes de segurana, em conformidade com os
requisitos de segurana exigidos pelo negcio.
Processos de relacionamento: descrevem os aspectos do relacionamento do provedor de servios dentro da cadeia de valor que engloba
a prestao do servio, ou seja, com os clientes que recebem o servio
e com seus demais fornecedores de produtos, recursos e outros servios:
Gerenciamento de relaes de negcio: visa o estabelecimento e a manuteno de um bom relacionamento com os clientes,
baseado no entendimento das diretrizes de negcio, abordando
aes como revises regulares do servio, processo de tratamento
de reclamaes e medio da satisfao do cliente.

49 Por ser considerada uma atividade opcional, a cobrana (integrante do processo de Gerenciamento
Financeiro para Servios de TI, da ITIL) no coberta pela norma ISO/IEC 20000.

Modelos para Gerenciamento de Servios de TI 299

Gerenciamento de fornecedores50: visa garantir a proviso de


servios aos clientes com qualidade e transparncia, atravs do
gerenciamento da cadeia completa de fornecedores (diretos e subcontratados), abordando o gerenciamento dos contratos desde o
incio ate a resciso, dos nveis de servio estabelecidos e dos eventuais conflitos de interesses.
Processos de resoluo: englobam os processos de gerenciamento de
incidentes, requisies de servio e de problemas, assim como a sua
priorizao e o estabelecimento e manuteno de solues de contorno.
Gerenciamento de incidentes e requisies de servio: visa
restaurar o nvel de servio acordado o mais rpido possvel, ou
responder a requisies de servio, enfatizando o tratamento diferenciado que deve ser dado aos incidentes mais crticos.
Gerenciamento de problemas: visa minimizar a interrupo do
negcio atravs da identificao proativa (preveno) e do gerenciamento dos problemas durante todo o seu ciclo de vida, englobando registro, classificao, identificao da causa raiz, resoluo, comunicao, acompanhamento e encerramento.
Processos de controle: englobam os processos que tratam os componentes dos servios e das mudanas pelas quais estes passam ao longo
do tempo.
Gerenciamento da configurao: visa definir e controlar os componentes do servio e da infraestrutura relacionada, mantendo atualizadas as informaes de sua configurao, englobando atividades
de planejamento, identificao dos itens de configurao, controle
das alteraes e da situao de cada item no seu ciclo de vida (desde a
aquisio at o descarte) e auditoria das informaes de configurao.
Gerenciamento de mudanas: visa garantir que todas as mudanas sejam avaliadas adequadamente, aprovadas pelas instncias
necessrias, implementadas conforme o seu planejamento e revisadas em relao ao atingimento dos objetivos, satisfao dos
clientes e existncia de efeitos colaterais aps a sua implantao.
Gerenciamento de liberao e implantao: abrange o estabelecimento de uma poltica para liberao de mudanas, assim como
o planejamento integrado, a criao das unidades de liberao, os
testes de aceitao, a documentao, a distribuio, a instalao e
a avaliao ps-liberao, incluindo tambm aes de reverso ou
correo em caso de falha.

50 A seleo e contratao de fornecedores no coberta pela norma ISO/IEC 20000.

300 Implantando a Governana de TI 3 edio

7.2.4 Aplicabilidade

do modelo

Devido ao alto grau de aderncia, a norma ISO/IEC 20000 pode ser vista
como um instrumento para certificar uma organizao de TI quanto efetividade do seu processo de implementao do gerenciamento de um (ou mais)
servio(s) de TI, sob a tica das prticas da ITIL.
O escopo para esta adoo deve ser estabelecido conforme a estratgia da
organizao, podendo abranger desde um servio especfico dentro de uma
das operaes at a totalidade dos servios prestados. Analogamente ITIL,
recomenda-se que a certificao seja feita de forma gradual, partindo de um
escopo reduzido de operaes como piloto e, posteriormente, estendendo a
certificao para as demais operaes.
A norma ISO/IEC 20000 aplicvel a organizaes cuja misso envolve o
fornecimento de servios de TI para seus clientes, sejam estes externos (como
no caso das empresas especializadas em servios de TI) ou internos (reas ou
departamentos de TI dentro de empresas). Operaes baseadas em cadeias
de fornecimento de servios (com fornecedores principais, subcontratados,
etc.) e que requerem processos consistentes e padronizados em todos os seus
elos, tambm podero ser focadas por esta norma, uma vez que ela abrange o
gerenciamento dos contratos e dos nveis de servio em consonncia com os
requisitos do negcio.
Em suma, organizaes que visam prover o mercado de servios de TI de forma consistente, segura, padronizada e continuamente monitorada e melhorada
so potenciais aspirantes certificao em relao norma. Por ser um padro
internacional, a ISO/IEC 20000 pode servir como base para comparao com
as melhores prticas do mercado e para avaliaes independentes das operaes.
A norma ISO/IEC 20000 pode ser adotada em conjunto com a ISO 9001,
especializando os requisitos relativos realizao do produto (item 7) dentro
do contexto do gerenciamento de servios de TI. Isto significa que organizaes que j possuem um sistema de gesto da qualidade bem estruturado
podero avaliar as possibilidades de reaproveitamento de alguns de seus ativos
de processos e de informao j existentes para os esforos de preparao para
a adoo da ISO/IEC 20000.
Cabe tambm ressaltar que, no mercado brasileiro, vrias empresas esto
incluindo, em suas RFPs (Requests for Proposals) para contratao de servios,

Modelos para Gerenciamento de Servios de TI 301

requisitos relacionados padronizao e utilizao das melhores prticas de


mercado para gerenciamento de servios de TI. Operaes que souberem demonstrar consistentemente a sua habilidade para prover servios que atendam
os requisitos de negcio dos clientes e para gerenci-los, buscando sempre a
sua melhoria contnua, podero ter na certificao ISO/IEC 20000 um fator
qualificador adicional para a sua pontuao.

7.2.5 Benefcios

do modelo

Para uma organizao de TI, a opo pela certificao dos processos de


gerenciamento de servios na norma ISO/IEC 20000 poder trazer, alm daqueles relacionados adoo da ITIL (j enumerados neste livro), benefcios
tais como:
Demonstrao clara de confiabilidade e consistncia nos servios de
TI, atributos cruciais para a sobrevivncia do negcio e para o seu
potencial crescimento.
Melhoria na comunicao interna, devido maior proximidade e sinergia entre a Alta Administrao e as equipes que atuam no gerenciamento dos servios de TI.
Maior comprometimento por parte de todas as reas e profissionais
envolvidos, devido ao estabelecimento claro de responsabilidades pelos processos.
Aumento da produtividade das equipes, devido ao estabelecimento
de polticas e processos que precisam ser conhecidos por todos os
envolvidos.
Melhor aproveitamento das habilidades dos profissionais envolvidos
nos processos, em sintonia com as competncias requeridas para a sua
execuo.
Estabelecimento de uma cultura formal de melhoria contnua dos
servios de TI, sempre alinhada s necessidades do negcio e dos
clientes.
Reduo do time-to-market de novos servios e de modificaes nos
servios existentes.
Maior previsibilidade para os resultados dos servios, dada a nfase
que a norma atribui s atividades de planejamento e oramento.

302 Implantando a Governana de TI 3 edio

Maior acurcia dos relatrios de servios, subsidiando com maior


preciso a tomada de decises relacionadas ao negcio.
Entrega dos servios de TI para o cliente com maior transparncia
e uniformidade, atravs de mecanismos de integrao da cadeia de
fornecimento, englobando tanto fornecedores diretos como subcontratados.
Maior efetividade no controle dos riscos relacionados operao dos
servios.
Melhoria da imagem da organizao de TI e da qualidade percebida
dos seus servios por parte de seus clientes e fornecedores.
Possibilidade de estabelecimento de um sistema integrado de gesto,
atravs da operao conjunta com outras normas, tais como a ISO
9001:2000 e a ISO/IEC 17799.
Estabelecimento de um mecanismo para educao e aumento da
conscientizao das equipes atravs das auditorias regulares de
certificao.
A certificao obtida atravs de auditores qualificados e independentes pode ser considerada uma referncia no mercado, em relao
utilizao das melhores prticas de gerenciamento de servios de TI.

Analogamente aos demais modelos de qualidade, a adoo da ISO/IEC


20000 no garante que os servios de TI prestados por uma organizao certificada sejam isentos de problemas ou que proporcionem o retorno financeiro
desejado, mas estabelece um alicerce consistente para que os servios de TI
cada vez mais possam estar alinhados aos requisitos de negcio.

7.2.6 Certificaes

relacionadas

7.2.6.1 Foco organizacional


A certificao de uma organizao de TI nos requisitos da norma ISO/
IEC 20000 deve ser obtida atravs de uma auditoria independente, a ser
conduzida por um organismo independente credenciado pelo itSMF para
esta finalidade, denominado RCB (Registered Certification Body). Alm do
certificado oficial de conformidade, a organizao certificada ganha o di-

Modelos para Gerenciamento de Servios de TI 303

reito de utilizao do logo oficial da norma em suas peas de marketing e


de ter seu nome includo em um web site exclusivo (www.isoiec20000certification.com).
O processo de preparao para a certificao deve ser conduzido como
um projeto formal, que deve ter como premissa o patrocnio e o comprometimento da Alta Administrao da organizao com o seu sucesso. Entre as
atividades e tarefas recomendadas para este projeto, destacam-se:
Definio clara do escopo da certificao, ou seja, qual(is) servio(s)
e/ou operao(es) da organizao estaro sujeitas verificao de
aderncia aos requisitos da norma.
Estabelecimento de uma equipe para conduzir o projeto, com um coordenador formal e devidamente treinada na interpretao da norma
e nos princpios de gerenciamento de servios de TI.
Realizao de uma anlise prvia dos processos atuais (gap analysis) para identificar o grau de aderncia aos requisitos da norma,
como subsdio para o planejamento das aes de melhoria dentro
do projeto.
Execuo de aes corretivas e preventivas sobre os processos relacionados ao gerenciamento de servios de TI, visando corrigir as deficincias e mitigar os riscos potenciais existentes.
Capacitao dos colaboradores envolvidos com os servios e as operaes integrantes do escopo de certificao, acerca dos processos de
gerenciamento de servios de TI.
Realizao de auditorias internas para avaliao do progresso do
projeto.
Estabelecimento e reforo permanente da cultura de melhoria contnua, utilizando as no conformidades encontradas e as aes corretivas
correspondentes como alavancadores motivacionais dos colaboradores.

O projeto termina com as atividades formais de pr-auditoria e de auditoria de certificao, realizadas pelo organismo certificador selecionado.
Ainda no existem mtricas oficiais para estimativa de prazo e custo de
um projeto de certificao, pois esta depende de fatores intangveis, tais
como o nvel de conformidade atual, a qualidade e o detalhamento da

304 Implantando a Governana de TI 3 edio

documentao existente, e o tamanho e a complexidade da operao escolhida como escopo.


No Brasil, atualmente, j existem algumas empresas certificadas na ISO/
IEC 20000 e vrias outras organizaes que esto com seus projetos de preparao para certificao em andamento. Em geral, os organismos certificadores
so os mesmos que realizam auditorias em relao s demais normas ISO.

7.2.6.2 Foco individual


Existem atualmente trs esquemas direcionados s certificaes individuais
relacionadas norma ISO/IEC 20000:
EXIN.
itSMF International.
APMG Group.

O EXIN tem utilizado a ISO/IEC 20000 como direcionador para as


suas certificaes em Gerenciamento de Servios de TI. Seu esquema de
certificao possui uma estrutura sustentada por um exame de fundamentos e fortalecida por uma camada intermediria de certificaes: cinco delas
no nvel profissional (das quais trs delas devem ser obtidas) e, opcionalmente, uma no nvel associado). A partir deste ponto, o profissional pode
seguir duas carreiras distintas: a de consultor/gerente (com duas certificaes) e/ou a de auditor interno (uma certificao). Existe ainda uma certificao ponte de fundamentos para aqueles que possuem a certificao de
Fundamentos ITIL V2 ou V3.

Modelos para Gerenciamento de Servios de TI 305

A figura 7.12 ilustra o esquema de certificao do EXIN.

Figura 7.12: Esquema de Certificao do EXIN


Fonte: Site do EXIN (www.exin-itsm.com)

J o esquema de certificao do itSMF International possui dois certificados relevantes:


ISO/IEC 20000 Consultant: prov conhecimento acerca dos benefcios da implementao de um Sistema de Gesto de Servios de TI
e do impacto que a conformidade com a ISO/IEC 20000 tem nas
operaes dirias de uma organizao.
ISO/IEC 20000 Auditor: apresenta os requisitos da norma ISO/
IEC 20000 e aplica os fundamentos de auditoria para a norma, em
conformidade com a norma ISO 19011, formando auditores internos no Sistema de Gesto de TI.

306 Implantando a Governana de TI 3 edio

Por sua vez, o esquema de certificao do APMG Group possui trs


certificaes:
ISO/IEC 20000 Foundation: avalia o conhecimento dos candidatos sobre o contedo e os requisitos da norma.
ISO/IEC 20000 Practitioner: testa a habilidade dos candidatos
em aplicar o contedo da norma em organizaes certificadas ou que
esto buscando a certificao.
ISO/IEC 20000 Auditor: Avalia o entendimento dos candidatos
acerca dos princpios do Gerenciamento de Servios de TI, do contedo e dos requisitos da norma.

Para todos os esquemas de certificao descritos, h empresas no Brasil


credenciadas para aplicar treinamentos e exames.

7.3 CMMI

for

Services

O CMMI-SVC tem o propsito de ser um guia para a implantao das


melhores prticas do CMMI para organizaes provedoras de servios, sendo
que essas melhores prticas esto focadas nas atividades para fornecer servios
com qualidade para os clientes e usurios finais.
Este modelo, em sua verso 1.3, de 2010, exibe a mesma estrutura do
CMMI for Development e adota o mesmo esquema de certificao, de maturidade e capacidade. Foi desenvolvido levando em considerao o prprio
CMMI e outros modelos como ITIL, CobiT, ISO/IEC 20000 e o Information Technology Services Capability Model ITSCMM.
O CMMI-SVC composto por 24 reas de processos especficas e um
conjunto de prticas genricas alocadas conforme os nveis de maturidade
da representao por estgios e compartilha algumas reas de processo do
CMMI for Development.
As Tabelas 7.3, 7.4, 7.5 e 7.6 apresentam uma breve descrio de cada uma
das reas de processo, conforme os nveis de maturidade.

Modelos para Gerenciamento de Servios de TI 307

Nvel de
Maturidade

rea de Processo

Descrio

Gesto da configurao (CM)

Estabelecer e manter a integridade


dos produtos de trabalho usando a
identificao de configurao, controle da
configurao, o status da configurao e
as auditorias de configurao.

Medio e anlise (MA)

Desenvolver e sustentar uma capacidade


de medio usada para apoiar as
necessidades de informaes gerenciais.

Garantia da qualidade do processo e


produto (PPQA)

Fornecer ao pessoal de servios e gerncia


avaliaes objetivas acerca dos processos e
dos produtos de trabalho associados.

Gesto de requisitos (RM)

Gerenciar os requisitos de produtos e dos


componentes dos produtos e assegurar o
alinhamento entre eles e os requisitos dos
planos e produtos de trabalho.

Gesto do acordo com o fornecedor


(SAM)

Gerenciar a aquisio de servios e


produtos de fornecedores.

Entrega do servio (SD)

Entregar os servios de acordo com os


acordos com os clientes.

Controle e monitorao do trabalho


(WMC)

Fornecer um entendimento do trabalho


que est sendo executado, de forma
que aes corretivas possam ser
tomadas quando o desempenho desvia
significativamente do plano.

Planejamento do trabalho (WP)

Estabelecer e manter planos para definir


as atividades do trabalho.

Nvel 2

Tabela 7.3 CMMI-SVC Processos do nvel 2


Adaptado de: SEI (2010c)

Nvel de
Maturidade

Nvel 3

rea de Processo
Gesto da capacidade e disponibilidade
(CAM)

Descrio
Assegurar o desempenho efetivo do
sistema de servio e assegurar que
os recursos so fornecidos e usados
efetivamente para apoiar os requisitos dos
servios.

308 Implantando a Governana de TI 3 edio

Nvel de
Maturidade
Nvel 3

Nvel de
Maturidade

rea de Processo

Descrio

Anlise e resoluo de deciso (DAR)

Analisar possveis decises usando um


processo formal de avaliao que analisa
alternativas identificadas contra critrios
estabelecidos.

Resoluo e preveno de incidentes


(IRP)

Assegurar a resoluo efetiva e no tempo


acordado de incidentes de servios, assim
como a preveno de incidentes de forma
apropriada.

Gesto integrada do trabalho (IWM)

Estabelecer e gerenciar o trabalho e o


envolvimento de interessados relevantes
de acordo com processos definidos e
integrados, que sejam customizveis a
partir do conjunto padro de processos.

Definio do processo organizacional


(OPD)

Estabelecer e manter um conjunto de ativos


de processos organizacionais, tais como
padres do ambiente de trabalho, regras e
guias de orientao para as equipes.

rea de Processo

Descrio

Foco no processo organizacional (OPF)

Planejar, implementar e entregar melhorias


nos processos organizacionais com base
no completo entendimento dos pontos
fortes e fracos dos processos e ativos de
processos da organizao.

Treinamento organizacional (OT)

Desenvolver habilidades e conhecimentos


de pessoas de forma que elas possam
desempenhar seus papis de maneira
efetiva e eficaz.

Gesto de riscos (RSKM)

Identificar os problemas potenciais antes


que eles ocorram, de forma que as
atividades de riscos possam ser planejadas
e acionadas quando necessrio ao longo
do ciclo de vida do produto ou trabalho,
visando mitigar impactos adversos no
atendimento aos objetivos.

Continuidade do servio (SCON)

Estabelecer e manter planos para


assegurar a continuidade dos servios
durante qualquer interrupo das
operaes normais.

Desenvolvimento do sistema de servios


(SSD)

Analisar, projetar, desenvolver, integrar,


verificar e validar sistemas de servios,
incluindo os componentes do sistema
de servio, para satisfazer acordos de
servios existentes ou futuros.

Nvel 3

Modelos para Gerenciamento de Servios de TI 309

Nvel de
Maturidade
Nvel 3

rea de Processo

Descrio

Transio do sistema do servio (SST)

Entregar novas ou significantes mudanas


nos componentes do sistema de servios
enquanto gerencia o seu impacto nos
servios em execuo.

Gesto estratgica do servio (STSM)

Estabelecer e manter padres de


servios de acordo com as necessidades
estratgicas e dos planos.

Tabela 7.4 CMMI-SVC Processos do nvel 3


Adaptado de: SEI (2010c)

Nvel de
Maturidade
Nvel 4

rea de Processo

Descrio

Desempenho do processo organizacional


(OPP)

Estabelecer e manter um entendimento


quantitativo do desempenho de processos
selecionados, no conjunto de processos da
organizao, em apoio ao atendimento dos
objetivos de qualidade e de desempenho
do processo e fornecer dados de
desempenho, baselines e modelos para
gerenciar quantitativamente o trabalho.

Gesto quantitativa do trabalho (QWM)

Gerenciar quantitativamente o trabalho


para atender aos objetivos de qualidade
e desempenho do processo estabelecido
para o trabalho.

Tabela 7.5 CMMI-SVC Processos do nvel 4


Adaptado de: SEI (2010c)

Nvel de
Maturidade

Nvel 5

rea de Processo

Descrio

Gesto do desempenho organizacional


(OPM)

Gerenciar proativamente o desempenho da


organizao para atender aos objetivos do
negcio.

Anlise e resoluo de causas (CAR)

Identificar causas de resultados selecionados


e tomar aes para melhorar o desempenho
do processo.

Tabela 7.6 CMMI-SVC Processos do nvel 5


Adaptado de: SEI (2010c)

310 Implantando a Governana de TI 3 edio

Os principais benefcios do CMMI-SVC podem ser distribudos pelos estgios de maturidade atingidos por uma organizao de servios, como mostra a Tabela 7.7 abaixo.
Nvel de Maturidade

Benefcios

2 - Gerenciado

O servio gerenciado e entregue conforme o planejado.


O servio atende aos requisitos do cliente.
Os acordos com os clientes e fornecedores so gerenciados.
O provedor de servios adquire a capacidade de medir o desempenho do
servio.
Recursos esto disponveis para a execuo dos servios.
Os processos so mantidos em perodos de pico de demanda.

3 - Definido

O provedor de servio emprega processos definidos.


O servio tem garantias de continuidade e disponibilidade.
O servio tem capacidade de expanso planejada.
Os processos so melhorados continuamente.
Processos podem ser adaptados para atendera situaes especficas.
Ganhos de produtividade medida que os ativos de processos so gerenciados.

4 Gerenciado
Quantitativamente

Os processos so gerenciados a partir de objetivos de desempenho.


A qualidade e o desempenho do processo so compreendidos de forma
estatstica.
O desempenho do processo entendido e previsvel.
A capacidade do processo compreendida.

5 - Otimizado

Os processos so melhorados continuamente com o entendimento dos objetivos


do negcio e as necessidades de desempenho.
A organizao compreende as causas de variao nos processos.
Os processos so melhorados continuamente e atravs de inovaes.
Os resultados das melhorias so analisados quando ao seu efeito no
desempenho do processo.
O foco sobre a melhoria da organizao como um todo.
Tabela 7.7 Benefcios do CMMI-SVC
Adaptado de: SEI (2010c)

Este modelo , de certa forma, equivalente ISO/IEC 20000, em termos


de certificao para um provedor de servio. Entretanto, bem mais rigoroso quando considerados os nveis 4 e 5 de maturidade (melhoria contnua
efetiva e permanente). Requer, naturalmente, uma grande mudana cultural
da organizao, que pode ser conseguida ao longo do tempo, medida que a
organizao vai adquirindo maturidade.
Todavia, no contexto do mercado brasileiro, os provedores de servios esto atualmente optando pela a obteno da certificao ISO/IEC 20000.

Modelos para Gerenciamento de Servios de TI 311

7.4 Microsoft Operations Framework (MOF)


uma breve viso
O MOF o modelo da Microsoft para gesto de servios de TI e baseado
no modelo ITIL, atravs da adoo, adaptao e combinao do seu conjunto de
melhores prticas ao ambiente Microsoft (veja no site www.microsoft.com/mof).
O MOF composto por cinco componentes:
Modelo de processos (Process Model).
Revises gerenciais da operao (Operations Management Reviews).
Funes de gerenciamento de servios (Service Management Functions).
Modelo de processo de equipe (Team Model Process).
Disciplina de gesto de riscos para operaes (Risk Management Discipline for Operations).

A Figura 7.13 fornece uma viso geral do modelo de processo do MOF.


O modelo de processos contempla as revises gerenciais da operao e as
funes gerenciais de servios.
Gerenciamento do nvel de servio
Reviso da iniciao
Gerenciamento da capacidade
Gerenciamento da disponibilidade
Gerenciamento da segurana
Engenharia da infraestrutura
Gerenciamento financeiro
Gerenciamento da fora de trabalho
Gerenciamento da continuidade do servio

Otimizando

Gerenciamento de mudanas
Gerenciamento da configurao
Gerenciamento da liberao

Mudando
Reviso da prontido
da liberao

Reviso dos SLAs

Suportando

Central de Servios
Gerenciamento de incidentes
Gerenciamento de problemas

Reviso da operao

Operando

Monitoramento e controle do servio


Administrao do sistema
Administrao da rede
Administrao de servios de diretrios
Administrao da segurana
Gesto do armazenamento
"job scheduling"

Figura 7.13 MOF: modelo de processos

312 Implantando a Governana de TI 3 edio

De acordo com a descrio do modelo pela Microsoft, o quadrante Mudando inclui os processos e procedimentos requeridos para identificar, rever,
aprovar e incorporar mudanas no ambiente gerenciado de TI. Mudanas
incluem hardware e software, assim como processos e procedimentos.
O quadrante Operando consiste na operao do ambiente, sistemas, monitoramento do ambiente, programao da produo, etc. O quadrante Suportando consiste na Central de Servios e no gerenciamento de incidentes e
problemas. O quadrante Otimizando foca o gerenciamento dos nveis e dos
custos dos servios e o planejamento da melhoria e das mudanas. O componente de Revises Gerenciais da Operao prev quatro tipos de revises:
Reviso da iniciao: garante que novos projetos de sistemas, implantaes de servios, etc., estejam aderentes aos requisitos para a operao e aos padres e procedimentos.
Reviso de prontido da liberao: garante ao cliente, ao pessoal de
TI e a outros interessados que a aplicao ou o servio a ser liberado
para operao esteja em conformidade com os requisitos do negcio
e de operao da TI.
Reviso da operao: visa a avaliao do desempenho dos servios de
TI pelo prprio pessoal de operao de servios, assim como o estabelecimento de planos de melhoria do desempenho.
Reviso dos acordos de nveis de servio (SLAs): consiste na reviso
conjunta de TI e clientes sobre os nveis de servio, avaliao do desempenho, mudanas que podem afetar os SLAs e a prpria reviso
dos nveis de servio.

O componente de Funes de Gerenciamento de Servios consiste nos


servios de TI fornecidos aos usurios, considerando cada um dos quadrantes
do MOF, conforme mostrou a Figura 7.13. O componente de Modelo de
Processo de Equipe compreende uma srie de princpios de desenvolvimento
e gesto de equipes, assim como estabelece os papis no contexto do MOF e
as competncias requeridas para a gesto e entrega dos servios de TI.
O ltimo componente, Disciplina de Gesto de Riscos para Operaes,
contempla uma metodologia para o planejamento e gerenciamento de riscos
de implantao e operao dos servios de TI.

Modelos para Processos


de Software

Provavelmente os processos de software sejam aqueles para os quais mais


modelos de melhores prticas foram desenvolvidos ao longo dos anos. Entre
esses modelos, figuram tcnicas de engenharia de software, metodologias e
padres para as vrias etapas do desenvolvimento, adaptaes de mtodos de
gerenciamento de projetos etc.
Entretanto, o que tem ficado cada vez mais evidente que os processos
de software precisam ser tratados de forma integrada e interdisciplinar, ou
seja, abrangendo aspectos tcnicos de engenharia, de gerenciamento de
projetos e operaes de sustentao, de controle de artefatos e de gerenciamento de requisitos no funcionais, notadamente daqueles relacionados
infraestrutura. Abordagens integradas desta natureza esto presentes nos
modelos de maturidade criados para avaliar e acreditar as organizaes de
software.
Neste captulo, so apresentados de forma resumida os princpios e
processos de dois modelos de maturidade que tm sido utilizados como
base de boas prticas para processos de software: o CMMI (na modalidade para o processo de Desenvolvimento) e o MR-MPS (modelo brasileiro para melhoria do processo de software), e citaremos brevemente as
normas ISO/IEC 12207 e ISO/IEC 9126, tambm aplicveis a processos
de software.

314 Implantando a Governana de TI 3 edio

8.1 CMMI - Capability Maturity Model


Integration
8.1.1 Histrico

do modelo

A partir de uma encomenda feita pelo DoD (Departamento de Defesa


norte-americano), o SW-CMM (Capability Maturity Model para Software)
foi criado em 1991 pelo Software Engineering Institute (SEI), da Carnegie
Mellon University (CMU), como um modelo de qualidade para o processo de
engenharia de software. O mercado de empresas de software havia, ento, encontrado nele uma de suas principais referncias como modelo de qualidade.
As diferentes necessidades das organizaes originaram variaes aplicveis
a outras disciplinas, tais como engenharia de sistemas, aquisio de software,
gesto e desenvolvimento de mo de obra e desenvolvimento integrado de
produtos e processos. Entretanto, cada um destes modelos possua sua prpria
arquitetura e abordagem de implementao, o que dificultava a sua utilizao
por organizaes que possuam processos integrados envolvendo vrias destas
disciplinas, devido aos altos custos de treinamento, avaliao e aes de melhoria.
Diante deste cenrio, o CMMI (Capability Maturity Model Integration) foi
criado pelo SEI em 2002 como um modelo evolutivo em relao aos vrios
CMMs, com o objetivo de combinar as suas vrias disciplinas em uma estrutura nica, flexvel e componentizada, que pudesse ser utilizada de forma integrada por organizaes que demandavam processos de melhoria em mbito
corporativo. Alm da integrao, o modelo tornou mais claros alguns aspectos
que antes eram implcitos, tais como a diferenciao entre os conceitos de
organizao e empresa, a valorizao dos processos de verificao e validao e a evoluo da caracterstica Medio e Anlise (comum a todas as
KPAs do CMM) para se tornar uma importante rea de Processo do CMMI.
Em agosto de 2006, o SEI publicou a verso 1.2 do CMMI, incorporando
uma srie de melhorias e simplificaes em relao verso anterior. Entre
elas, esto a unificao do tratamento das disciplinas de engenharia de software, engenharia de sistemas, desenvolvimento integrado de produto e processo
e terceirizao em um s documento, denominado CMMI para Desenvolvimento e a adoo de uma nova arquitetura para o modelo (inspirada no

Modelos para Processos de Software 315

conceito de constelaes) que permitisse a sua expanso para outros focos,


tais como aquisies e entrega de servios.
O SEI publicou, em novembro de 2010, a verso 1.3 do CMMI, incluindo melhorias significativas, tais como o refinamento das reas de processo dos
nveis mais altos de maturidade para refletir outros modelos de melhores prticas do mercado (tais como mtodos geis, Lean Seis Sigma, etc.), a simplificao do seu modelo de arquitetura e maior clareza nos termos do glossrio. A
principal mudana foi a eliminao das metas e prticas genricas dos nveis 4
e 5 de maturidade, assim como dos nveis de capacitao 4 e 5, uma vez que
a aplicao dos nveis 1 a 3 nas reas de processo dos maiores nveis de maturidade tem se mostrado suficiente para os objetivos de qualidade do modelo.

8.1.2 Objetivos

do modelo

O principal propsito do CMMI fornecer diretrizes baseadas em melhores prticas para a melhoria dos processos e habilidades organizacionais,
cobrindo o ciclo de vida de produtos e servios completos, nas fases de concepo, desenvolvimento, aquisio, entrega e manuteno. Neste sentido,
suas abordagens envolvem a avaliao da maturidade da organizao ou a
capacitao das suas reas de processo, o estabelecimento de prioridades e a
implementao de aes de melhoria.

8.1.3 Estrutura

do modelo

8.1.3.1 Viso geral do modelo


Cada organizao possui o seu prprio modus operandi e, consequentemente, uma forma particular de gerenciar mudanas nos seus processos organizacionais. Esta realidade, assim como o fato de que existem organizaes de
diversos tamanhos, contemplada pelo CMMI, que oferece duas abordagens
distintas para a sua implementao: a Abordagem por Estgios e a Abordagem Contnua. Atendendo a requisitos de componentizao, a verso 1.3
do CMMI apresenta tais abordagens reunidas em um mesmo documento,
dentro do escopo de cada constelao.

316 Implantando a Governana de TI 3 edio

Uma constelao uma coleo de componentes gerada a partir do framework CMMI, que engloba um modelo fundamental, seus materiais de
treinamento e documentao relacionada a avaliaes, abrangendo uma
rea de interesse especfica. A expanso das constelaes para contedos
especficos adicionais feita atravs de adies. As seguintes constelaes
(que so complementares entre si) fazem parte do escopo da verso 1.3 do
CMMI51:
CMMI para Desenvolvimento (CMMI-DEV): prov diretrizes para
monitorar, mensurar e gerenciar processos de desenvolvimento.
CMMI para Servios (CMMI-SVC): prov diretrizes para entrega de
servios dentro das organizaes e para clientes externos.
CMMI para Aquisies (CMMI-ACQ): prov diretrizes para suporte
s decises relacionadas aquisio de produtos e servios.

Os principais componentes da estrutura do CMMI esto representados na


figura 8.1 e definidos a seguir:
rea de Processo
Notas
Introdutrias

Objetivo

Metas
Especficas

Metas
Genricas

Prticas
Especficas

Produtos de
Trabalho Tpicos

reas de Processo
Relacionadas

Prticas
Genricas

Subprticas

Elaboraes de
Prticas Genricas

Subprticas

Legenda:

Requerido

Esperado

Informativo

Figura 8.1 Componentes da estrutura do CMMI-DEV


Fonte: SEI (2010b)
51 Neste captulo, ser abordada apenas a constelao CMMI-DEV, devido sua aplicabilidade aos
processos de software. As demais constelaes sero brevemente abordadas no captulo sobre modelos
para sourcing.

Modelos para Processos de Software 317

reas de Processo: conjunto de prticas inter-relacionadas que, quando executadas coletivamente, satisfazem um conjunto de metas consideradas importantes para realizar melhorias significativas em uma
determinada rea (possuem, como subcomponentes informativos, um
objetivo, notas introdutrias e outras reas de processo relacionadas).
Metas Especficas: metas relacionadas a uma determinada rea de
processo, que descrevem o que deve ser realizado para assegurar que
esta esteja efetivamente implementada.
Prticas Especficas: descries das atividades consideradas importantes para o atendimento de suas respectivas metas especficas. Podem
ser detalhadas em subprticas e possuem como sadas os produtos de
trabalho tpicos.
Metas Genricas: metas comuns, compartilhadas por mltiplas reas
de processo, que, quando atingidas dentro de uma rea de processo
especfica, podem indicar se esto sendo planejadas e implementadas
de forma efetiva, replicvel e controlada.
Prticas Genricas: descries das atividades consideradas importantes para o atingimento das suas respectivas metas genricas e que garantem a institucionalizao efetiva, repetvel e controlada das reas
de processo. As prticas genricas podem ser divididas em subprticas
e conter derivaes especficas (elaboraes) relacionadas a cada rea
de processo em que so aplicadas.
Componentes Informativos de Suporte: informaes adicionais necessrias para a descrio de um componente:
Notas: incluem detalhamento, fundamentao terica ou restries/premissas relacionadas ao componente.
Exemplos: texto ou lista de itens para melhor clarificar um conceito ou atividade descrita.
Referncias: indicao de que h informaes adicionais ou mais
detalhadas para um componente na descrio de outras reas de
processo relacionadas.

Os componentes do modelo CMMI tambm podem ser classificados em


categorias que refletem o modo como devem ser interpretados:
Requeridos: absolutamente necessrios para a implementao de uma
rea de processo. Exemplos: Metas Especficas e Metas Genricas.

318 Implantando a Governana de TI 3 edio

Esperados: compem uma implementao tpica de uma rea de processo, porm aceitando alternativas que produzam resultados satisfatrios. Exemplos: Prticas Especficas e Prticas Genricas.
Informativos: auxiliam no entendimento detalhado das metas e prticas e das formas como podem ser implementadas. Exemplos: subprticas, notas, referncias, exemplos de produtos de trabalho, etc.

8.1.3.2 reas de processo


Seguindo uma estrutura baseada no inter-relacionamento funcional entre
as metas, dentro de uma viso de melhoria corporativa de processos, o CMMI
sugere que as suas 22 reas de processo sejam agrupadas em quatro categorias
de afinidade (visando suportar a abordagem contnua de implementao):
Gesto do Processo: agrupa reas de processos que manipulam processos no mbito da organizao, permeando todos os projetos (ver
Tabela 8.1):
rea de Processo

Objetivo

Foco no Processo
Organizacional (OPF)

Planejar, implementar e entregar melhorias no processo organizacional


(incluindo o processo padro e os derivados de adaptaes), com base no claro
entendimento dos seus pontos fortes e fracos.

Definio do Processo
Organizacional (OPD)

Estabelecer e manter uma biblioteca (re)utilizvel de componentes do processo


organizacional, incluindo polticas, descries de processos, modelos de
ciclos de vida, critrios e diretrizes para adaptao do processo, repositrio de
mtricas e demais itens de documentao relacionados.

Treinamento
Organizacional (OT)

Desenvolver as habilidades e o conhecimento das pessoas, de forma que elas


possam desempenhar seus papis no processo organizacional de forma efetiva.

Desempenho
do Processo
Organizacional (OPP)

Estabelecer e manter uma viso quantitativa do desempenho dos processos


padres e prover modelos e baselines de desempenho, visando melhorar a
gesto dos projetos atravs de mtricas de processo e produto.

Gesto do
Desempenho
Organizacional (OPM)

Gerenciar proativamente o desempenho da organizao para atingir os seus


objetivos de negcio.

Tabela 8.1 reas de Processo da Categoria Gesto do Processo


Fonte: SEI (2010b)

Modelos para Processos de Software 319

Gesto do Projeto: envolve reas de processo que tratam aspectos de


planejamento, monitorao e controle relacionados exclusivamente a
projetos (ver Tabela 8.2):
rea de Processo

Objetivo

Planejamento do Projeto
(PP)

Estabelecer e manter planos que definam as atividades dos projetos, envolvendo


a elaborao de estimativas, o estabelecimento do nvel adequado de interao
com os grupos envolvidos e a obteno de compromissos.

Controle e Monitorao
do Projeto (PMC)

Permitir uma visibilidade adequada do progresso do projeto, de forma que


possam ser tomadas aes corretivas apropriadas quando o seu desempenho
apresentar desvios significativos em relao ao planejado (replanejamento,
estabelecimento de novos acordos e/ou mitigao de riscos).

Gesto do Acordo com


o Fornecedor (SAM)

Gerenciar a aquisio de produtos de fornecedores externos para os quais


existe um acordo formal (produtos e/ou componentes entregveis ao cliente, ou
mesmo ferramentas e ambientes operacionais para o projeto).

Gesto Integrada do
Projeto (IPM)

Planejar e gerenciar o projeto e o envolvimento dos principais grupos


interessados, de acordo com um processo definido e integrado, derivado do
processo padro da organizao.

Gesto de Requisitos
(REQM)

Gerenciar os requisitos tcnicos e no tcnicos absorvidos ou gerados por


um projeto, identificando as inconsistncias em relao aos planos e produtos
do projeto e tratando de forma adequada as mudanas necessrias e seus
impactos.

Gesto de Riscos
(RSKM)

Identificar problemas potenciais antes de sua ocorrncia, para que possam ser
planejadas e executadas aes de tratamento de riscos, visando a mitigao
de impactos negativos nos objetivos, ao longo do ciclo de vida do projeto ou
produto.

Gesto Quantitativa do
Projeto (QPM)

Gerenciar quantitativamente (atravs de mtricas) o processo definido do


projeto, visando o atingimento dos objetivos preestabelecidos de desempenho
de qualidade e processo.

Tabela 8.2 reas de Processo da Categoria Gesto do Projeto


Fonte: SEI (2010b)

Engenharia: agrupa reas de processo52 relacionadas ao ciclo de vida


de desenvolvimento e manuteno de produtos, assim como garantia do seu funcionamento e da sua aderncia s especificaes (ver
Tabela 8.3):

52 As reas de processo Integrao do Produto, Verificao e Validao, dentro do CMMI-DEV,


possuem adies abrangendo testes de software, hardware e sistemas.

320 Implantando a Governana de TI 3 edio

rea de Processo

Objetivo

Desenvolvimento de
Requisitos (RD)

Gerar, analisar, definir e validar requisitos do cliente, assim como seus


desdobramentos para os requisitos do produto e dos seus componentes, em
conformidade com as necessidades dos grupos interessados.

Soluo Tcnica (TS)

Projetar, desenvolver e implementar alternativas de solues para o


atendimento de requisitos preestabelecidos, podendo envolver a criao e/ou
aquisio de produtos, componentes de produtos ou servios relacionados.

Integrao do Produto
(PI)

Montar o produto a partir dos seus componentes e entreg-lo ao cliente,


garantindo o seu funcionamento de forma integrada em relao a todas as
interfaces internas e externas.

Verificao (VER)

Garantir que um determinado produto satisfaa os respectivos requisitos para


os quais foi desenvolvido.

Validao (VAL)

Demonstrar que um determinado produto ou componente de produto atinge os


resultados esperados depois de colocado em operao no ambiente final.
Tabela 8.3 reas de Processo da Categoria Engenharia
Fonte: SEI (2010b)

Suporte: qualifica processos cujas atividades so distribudas ao longo de um projeto de desenvolvimento ou manuteno de produto e
cujos objetivos so atingidos indiretamente atravs da sua execuo
(ver Tabela 8.4):
rea de Processo

Objetivo

Gesto da Configurao
(CM)

Estabelecer e manter a integridade dos produtos de trabalho atravs de


identificao, controle, verificao e monitoramento constante da situao da
sua configurao.

Garantia da Qualidade
do Processo e do
Produto (PPQA)

Prover aos integrantes das equipes uma visibilidade mais clara do andamento
dos processos e dos produtos gerados atravs de avaliaes objetivas
em relao s especificaes, da identificao de no conformidades e do
acompanhamento de aes corretivas.

Medio e Anlise (MA)

Desenvolver e manter uma capacitao de medio para suportar as


necessidades de informaes gerenciais, em termos de conceitos, tcnicas e
mecanismos de execuo.

Anlise de Decises e
Resoluo (DAR)

Analisar possveis decises utilizando um processo de avaliao formal, que


considera alternativas identificadas em relao a critrios preestabelecidos.

Anlise e Resoluo de
Causas (CAR)

Identificar causas de defeitos e outros problemas e tomar aes corretivas para


prevenir a sua ocorrncia futura.
Tabela 8.4 reas de Processo da Categoria Suporte
Fonte: SEI (2010b)

Modelos para Processos de Software 321

8.1.3.3 A abordagem de implementao por estgios


Esta abordagem pode ser considerada uma evoluo direta do CMM,
uma vez que tambm baseada em cinco nveis de maturidade: Inicial
(1), Gerenciado (2), Definido (3), Gerenciado Quantitativamente (4) e
Otimizado (5).
Um nvel de maturidade pode ser considerado um degrau evolucionrio
para a melhoria do processo organizacional como um todo e consiste em prticas especficas e genricas que integram um conjunto predefinido de reas de
processo. O cumprimento das metas especficas e genricas correspondentes
a estas reas de processo um pr-requisito para o atingimento do nvel de
maturidade correspondente.
A Figura 8.2 ilustra a inter-relao entre os componentes estruturais do
CMMI, conforme a abordagem por estgios:

Figura 8.2 Estrutura do CMMI na abordagem por estgios - Adaptado de SEI (2010b)

A Tabela 8.5 mostra as reas de processo que precisam ser desenvolvidas


para que cada um dos nveis de maturidade do CMMI seja atingido pela organizao:
Nvel 5
(Otimizado)

Gesto do Desempenho Organizacional (OPM)


Anlise e Resoluo de Causas (CAR)

Nvel 4
(Gerenciado
quantitativamente)

Desempenho do Processo Organizacional (OPP)


Gesto Quantitativa do Projeto (QPM)

322 Implantando a Governana de TI 3 edio

Nvel 3
(Definido)

Desenvolvimento de Requisitos (RD)


Soluo Tcnica (TS)
Integrao do Produto (PI)
Verificao (VER)
Validao (VAL)
Foco no Processo Organizacional (OPF)
Definio do Processo Organizacional (OPD)
Treinamento Organizacional (OT)
Gesto Integrada do Projeto (IPM)
Gesto de Riscos (RSKM)
Anlise de Decises e Resoluo (DAR)

Nvel 2
(Gerenciado)

Gesto de Requisitos (REQM)


Planejamento do Projeto (PP)
Controle e Monitorao do Projeto (PMC)
Gesto do Acordo com o Fornecedor (SAM)
Medio e Anlise (MA)
Garantia da Qualidade do Processo e do Produto (PPQA)
Gesto da Configurao (CM)
Tabela 8.5 reas de processo por nveis de maturidade

Cada nvel de maturidade possui algumas caractersticas que merecem destaque e devem ser levadas em considerao nas suas iniciativas de implementao:
Nvel 2 (Gerenciado):
O foco direcionado para prticas de gesto de projetos, indicando que, em uma organizao ainda imatura, mais prioritrio
aprender a planejar, controlar e gerenciar os projetos do que investir em tcnicas e metodologias de desenvolvimento de produtos.
Gerenciar projetos envolve gerenciar, durante o seu andamento, os
requisitos estabelecidos junto aos grupos interessados, a qualidade e
a integridade dos produtos gerados, a aderncia aos processos existentes e os acordos formalizados com os fornecedores envolvidos.
H uma preocupao explcita em relao criao de uma infraestrutura para medio e anlise dos processos, para viabilizar o
seu controle e gerenciamento efetivo.
Nvel 3 (Definido):
O foco est no processo de engenharia de produtos, que espelha
as fases de um ciclo de vida padro: Concepo (Desenvolvimento de Requisitos), Anlise e Desenho (Soluo Tcnica),
Testes e Implantao (Integrao do Produto, Verificao e
Validao).

Modelos para Processos de Software 323

O modelo fomenta a criao de um ambiente organizacional


orientado integrao entre equipes de trabalho e ao compartilhamento de conhecimentos e habilidades.
O estmulo a prticas de gesto de riscos e tomada de deciso
baseada em anlises formais fortalece as responsabilidades e os
compromissos assumidos.
Nvel 4 (Gerenciado Quantitativamente):
A gesto quantitativa baseada em medies e indicadores cobre,
de forma integrada, todo o conjunto de processos organizacionais,
assim como os projetos e respectivos produtos, como instrumento
de suporte para o atendimento dos objetivos de desempenho de
processo e de qualidade.
Os projetos e seus produtos, assim como o processo organizacional, so controlados estatisticamente.
Nvel 5 (Otimizado):
O conceito de inovao organizacional integra os processos de
gesto de mudanas tanto em processos como na tecnologia.
A importncia da anlise e da resoluo das causas dos desvios
explicitamente enfatizada.

8.1.3.4 A abordagem contnua de implementao


Atravs desta abordagem, o CMMI permite que cada uma de suas reas de
processo seja implementada de forma independente e evolutiva, agrupando
suas prticas genricas e especficas em quatro nveis de capacitao:
Nvel 0 (Incompleto): o processo no executado ou parcialmente
executado, ou seja, uma (ou mais) das metas especficas de sua rea de
processo no satisfeita.
Nvel 1 (Executado): o processo satisfaz todas as metas especficas de
sua rea de processo e realiza o trabalho necessrio para gerar os seus
produtos.
Nvel 2 (Gerenciado): o processo planejado e executado de acordo com polticas organizacionais, utiliza pessoal habilitado e recursos
adequados para gerar sadas de forma controlada e envolve os grupos
interessados adequados, alm de ser monitorado, controlado, revisa-

324 Implantando a Governana de TI 3 edio

do, avaliado quanto conformidade com sua descrio e ao desempenho previsto nos seus planos.
Nvel 3 (Definido): o processo gerenciado e adaptado a partir de um
conjunto de processos padronizados da organizao, que, por sua vez,
tambm evoluem continuamente.
Cada nvel de capacitao tem apenas uma meta genrica que descreve o
grau de institucionalizao que a organizao deve atingir no processo atravs
das prticas genricas relacionadas.
A Figura 8.3 ilustra a inter-relao entre os componentes estruturais do
CMMI, conforme a abordagem contnua:
rea de Processo

Metas Especficas

Prticas
Especficas

Metas Genricas

Prticas
Genricas

Nveis de
Capacitao

Figura 8.3 Estrutura do CMMI na abordagem contnua


Adaptado de SEI (2010b)

Uma organizao pode acompanhar a sua evoluo na abordagem contnua do CMMI atravs de um perfil de nveis de capacitao, que consiste
em uma viso das reas de processo e dos seus respectivos nveis de capacitao, extrada em vrios momentos dentro do programa de melhoria.
Estes perfis peridicos podem ser comparados a um perfil alvo que represente os objetivos de melhoria da organizao. Os perfis alvo podem ser
dispostos em sequncia ao longo do tempo, de forma que a organizao tenha
objetivos sucessivos de melhoria, caracterizando uma estratgia denominada
target staging. Ao adotar esta estratgia, deve-se atentar para o fato de que h
interdependncias entre as prticas genricas e outras prticas ou reas de processo e que uma prtica genrica no poder ser considerada implementada
enquanto todas as suas dependncias no estiverem atendidas.

Modelos para Processos de Software 325

8.1.3.5 Equivalncia entre as abordagens de implementao


A opo pela abordagem contnua no exclui a possibilidade de utilizao da abordagem por estgios. A organizao poder estabelecer perfis alvos
para o atingimento dos prprios nveis de maturidade, atravs da estratgia de
equivalent staging. Esta estratgia baseia-se em uma relao de equivalncia,
onde so estabelecidos os nveis de capacitao (NCs) que cada rea de processo (AP) deve atingir na abordagem contnua, para que um determinado
nvel de maturidade (NMs, na abordagem por estgios) seja atingido pela
organizao, conforme mostra a Tabela 8.6.
Nveis de Capacitao (Abordagem Contnua)
reas de Processo
por Nvel de
Maturidade
(Abord. por
Estgios)

NC 1
(Executado)

APs NM 2
(Gerenciado)

Perfil Alvo p/ NM 2

APs NM 3
(Definido)

Perfil Alvo p/ NM 3

APs NM 4 (Quant.
Gerenciado)

Perfil Alvo p/ NM 4

APs NM 5
(Otimizado)

Perfil Alvo p/ NM 5

NC 2
(Gerenciado)

NC 3
(Definido)

Tabela 8.6 Equivalncia entre abordagens por estgios e contnua


Adaptado de SEI (2010b)

Por exemplo, para que uma organizao atinja o Nvel de Maturidade 4


(abordagem por estgios), todas as reas de processo relativas aos nveis 2,
3 e 4 de maturidade devem estar no Nvel de Capacitao 3 (abordagem
contnua).

326 Implantando a Governana de TI 3 edio

8.1.4 Aplicabilidade

do modelo

O CMMI pode ser implementado em quaisquer organizaes cujo foco


seja o desenvolvimento de produtos (sistemas em geral, software, hardware,
etc.) para o atendimento de necessidades de clientes externos ou internos,
utilizando ou no recursos e/ou servios terceirizados.
A abordagem por estgios mais recomendada para organizaes que j
esto familiarizadas com a incorporao de melhorias nos seus processos organizacionais atravs de grandes saltos de qualidade, tais como aquelas que j
possuem um nvel de maturidade do CMM/CMMI ou que possuem modelos
de qualidade baseados na melhoria simultnea e integrada de vrios processos.
A abordagem contnua mais recomendada para organizaes que preferem uma evoluo gradual na sua capacitao, processo a processo, possibilitando uma maior diluio do investimento a ser feito no programa de
melhoria ao longo do tempo (organizaes de menor porte tambm podem
ter mais facilidade para utilizar o modelo nesta abordagem). Entretanto, sero
requeridos maiores esforos para gerenciar a evoluo segregada de cada prtica e as interdependncias necessrias para viabilizar a equivalncia com os
nveis de maturidade da abordagem por estgios.
A utilizao de uma estratgia como o equivalent staging pode ser bastante
rica para empresas que utilizam a abordagem contnua, mas que necessitem
realizar benchmarkings em relao a outras organizaes (para esta finalidade,
os nveis de maturidade tm sido utilizados h muito tempo).

8.1.5 Benefcios

do modelo

De acordo com resultados de desempenho relatados ao SEI em 2005 referentes a mais de 25 organizaes de grande porte, a implementao do CMMI
trouxe benefcios quantificveis bastante significativos ao longo do tempo, nas
seguintes categorias (ver Tabela 8.7):
Categoria
Custo

Mdia
Reduo de 20%

Alguns Exemplos
Reduo de 20% nos custos de unidades de software.
Reduo de 15% nos custos de remoo de defeitos.
Queda de 4,5% na taxa de overhead dos projetos.
Queda de 42% nos custos de retrabalho.
Melhoria e estabilizao dos ndices de desempenho de custos.

Modelos para Processos de Software 327

Categoria

Mdia

Alguns Exemplos

Prazo

Melhoria de 37%

Aumento do percentual de milestones atingidos com sucesso de 50%


para aproximadamente 85%.
Reduo do nmero mdio de dias de atraso de aproximadamente 50
para menos de 10.
Variao mdia do prazo realizado em relao ao previsto reduzida
de cerca de 130 dias para menos de 20 dias.

Produtividade

Aumento de 62%

Aumento de 92% na quantidade de linhas de cdigo por pessoa/dia.


Aumento de 100% no nmero de releases de software liberadas por ano.
Aumento de 50% na soluo de requisies de mudana em relao
ao plano.

Qualidade

Aumento de 50%

Atingimento da meta de 20 +/- 5 defeitos a cada 1000 linhas de cdigo.


Apenas 2% dos defeitos encontrados no sistema em produo.
Reduo de 7% na quantidade de requisies de mudana no
ambiente de produo.

Satisfao
dos Clientes

Aumento de 14%

Aumento de 55%, em comparao ao desempenho atingido pelo


SW-CMM Nvel 2.
Aumento de 10%, em comparao ao desempenho atingido pelo
SW-CMM Nvel 5.

Retorno
sobre o
Investimento

4,7 : 1

Retorno de 5:1 em relao s horas investidas em atividades de


qualidade.
Retorno de 24:1 devido sincronizao da configurao de cdigo
entre localidades distintas (organizao no Nvel 5).

Tabela 8.7 Benefcios Quantitativos da Utilizao do CMMI


Fonte: Pgina oficial do CMMI no site do SEI ( www.sei.cmu.edu/cmmi/ )

Tomando como base a abordagem por estgios, podem tambm ser relacionados outros benefcios (alguns deles intangveis) que a qualificao em
cada nvel de maturidade poder trazer para uma organizao:
Nvel 2 (Gerenciado):
Maior grau de previsibilidade para os projetos.
Melhor controle dos acordos com fornecedores de produtos e servios.
Maior segurana na criao de uma base de medies operacionais, fundamentais para o acompanhamento e o gerenciamento
dos projetos.
Nvel 3 (Definido):
Maior robustez na execuo dos processos e nos produtos, atravs
do uso da integrao do produto, verificao, validao e de tcnicas de gesto de riscos.

328 Implantando a Governana de TI 3 edio

Maior envolvimento da organizao no estabelecimento de um


ambiente orientado integrao das equipes.
Melhoria na comunicao interna e externa.
Maior acurcia nas tomadas de deciso, atravs do uso de mtodos formais de anlise e resoluo.
Nvel 4 (Gerenciado Quantitativamente):
Maior preciso no gerenciamento dos projetos, atravs da utilizao de indicadores de desempenho baseados em medies extradas desde o nvel 2.
Nvel 5 (Otimizado):
Tratamento adequado de todas as formas de inovaes e mudanas possveis, tanto nos processos quanto na tecnologia, e de seus
reflexos no processo organizacional.
Maior acurcia no tratamento dos problemas, atravs da resoluo das causas comuns de variao.

Atravs da utilizao da abordagem contnua, uma quantidade maior de


empresas e organizaes de menor porte poder aderir ao modelo CMMI, de
uma forma gradual e compatvel com suas restries operacionais e oramentrias, contribuindo assim para a universalizao dos conceitos e modelos
de qualidade.

8.1.6 Certificaes

relacionadas

No h, para o CMMI, o conceito de certificao individual ou empresarial. A qualificao de organizaes nos nveis de maturidade feita atravs de
avaliaes formais.
A implementao do CMMI nas organizaes pode ser avaliada atravs de
mtodos desenvolvidos a partir de critrios de alto nvel definidos pelo SEI
(ARC)53. De acordo com este documento, tais mtodos agrupam-se em trs
classes, conforme as exigncias em termos de grau de confiabilidade, custo,
durao e necessidade de qualificao oficial. A Tabela 8.8 apresenta as principais caractersticas destas classes:

53 ARC Appraisal Requirements for CMMI.

Modelos para Processos de Software 329

Caractersticas

Classe A

Classe B

Classe C

Tipos de evidncias objetivas


colhidas

Documentos e
entrevistas

Documentos e
entrevistas

Documentos ou
entrevistas

Qualificao Formal

Sim

No

No

Cobertura de uma Unidade


Organizacional

Requerida

No requerida

No requerida

Tamanho da Equipe

No mnimo 4

No mnimo 2

No mnimo 1

Requisitos para o Lder da


Avaliao

Avaliador Oficial

Pessoa treinada e
experiente

Pessoa treinada e
experiente

Tabela 8.8 Caractersticas principais das classes de avaliao


Fonte: SEI (2011)

Classe A: seguem todos os critrios do ARC, abrangendo todas as


fontes de dados (entrevistas e anlise de documentao), e so as nicas consideradas vlidas para qualificao formal no Relatrio de Perfil de Maturidade54 do SEI.
Classe B: so subconjuntos da Classe A (tambm abrangendo duas
fontes de dados) e no geram qualificao formal, sendo recomendadas para avaliaes iniciais ou avaliaes de prontido.
Classe C: so subconjuntos da Classe B, podendo abranger uma das
duas fontes de dados possveis e tambm no geram qualificao formal, podendo ser utilizadas em autoavaliaes peridicas conduzidas
pelos grupos de suporte da organizao.

Um dos mtodos de avaliao mais conhecidos e aplicados para qualificao formal e benchmarking o SCAMPI55 A (Classe A), no qual os avaliadores
observam, escutam e leem informaes que so transformadas em anotaes
(podendo originar registros de desvios e/ou pontos fortes), que posteriormente integraro os resultados finais.
A preparao para uma avaliao SCAMPI envolve atividades tais como:
Definio dos objetivos da avaliao (incluindo escopo/unidades organizacionais a serem avaliadas e nvel de maturidade a ser atingido).
54 O Maturity Profile Report emitido duas vezes ao ano e contm os resultados estatsticos oficiais
acerca das qualificaes obtidas at o momento, considerando organizaes em todo o mundo.
55 SCAMPI Standard CMMI Appraisal Method for Process Improvement.

330 Implantando a Governana de TI 3 edio

Planejamento da avaliao (incluindo estimativas de prazo, esforo e


custo, definio do team leader e dos team members que comporo a
banca da avaliao, cronograma de atividades, logstica de acesso, etc.).
Treinamento da equipe de avaliao.
Preparao das unidades organizacionais (incluindo coleta de evidncias objetivas da implementao das prticas).
Reviso e anlise das evidncias coletadas.
Avaliao de prontido (para verificar se tanto a equipe de avaliao
quanto as unidades organizacionais alvo esto aptas a passarem pela
avaliao oficial).

A cada trs anos as organizaes devero ser novamente submetidas a uma


avaliao oficial de mesmo nvel ou superior, para que suas credenciais junto
ao SEI sejam mantidas.

8.2 MR-MPS
8.2.1 Histrico

do modelo

No incio do sculo XXI, era usual para as empresas brasileiras de software


a utilizao da norma ISO 9000 como modelo de qualidade, em vez de modelos especficos orientados a processos de software (tais como o CMM Capability Maturity Model). Alm disso, os altos custos necessrios para a obteno
de um nvel de maturidade nesses modelos (considerando a avaliao por um
SEI Partner) dificultavam a adoo desses modelos, principalmente pelas pequenas e mdias empresas.
Neste cenrio, a SOFTEX lanou, em dezembro de 2003, o programa
MPS.BR (Melhoria do Processo de Software Brasileiro), um programa de
longo prazo que tem como espinha dorsal o modelo MR-MPS, baseado no
CMMI-DEV, na ISO 1550456 e nas melhores prticas de engenharia de soft
ware. Uma de suas metas disseminar o modelo por todo o pas, com custo e
prazos razoveis, tanto para o mercado de pequenas empresas (foco principal)
quanto para as grandes organizaes.
56 Esta norma trata de um modelo de avaliao de software desenvolvido a partir do projeto SPICE
europeu.

Modelos para Processos de Software 331

Este programa coordenado pela Associao para Promoo da Excelncia


do Software Brasileiro (SOFTEX)57 e tem apoio de diversas instituies governamentais (entre as quais o Ministrio da Cincia e Tecnologia MCT, a
Financiadora de Estudos e Projetos FINEP, o Servio Brasileiro de Apoio s
Micro e Pequenas Empresas SEBRAE e o Banco Interamericano de Desenvolvimento BID) e no governamentais (tais como o CenPRA Centro de
Pesquisas Renato Archer, Programa de Engenharia de Sistemas e Computao
da UFRJ, Universidade Catlica de Braslia, CESAR Centro de Estudos e
Sistemas Avanados de Recife, CELEPAR Companhia de Informtica do
Paran), assim como de algumas empresas privadas.
O perodo de 2004 a 2007 foi destinado ao projeto de implantao do
programa MPS.BR, com os lanamentos das verses 1.0 (maio de 2005),
1.1 (maio de 2006) e 1.2 (junho de 2007) do modelo MR-MPS, e os trs
anos seguintes (2008 a 2011) s atividades de consolidao. Em junho de
2009 (com atualizao em setembro), foi lanado o modelo de referncia
MR-MPS:2009, que implementou diversas melhorias, entre as quais a compatibilidade com a norma internacional ISO 12207:200858.

8.2.2 Objetivos

do modelo

De acordo com SOFTEX (2009a), uma das metas do programa MPS.BR


definir e aprimorar um modelo de melhoria e avaliao de processo de soft
ware, visando preferencialmente s micro, pequenas e mdias empresas, de
forma a atender as suas necessidades de negcio e ser reconhecido nacional
e internacionalmente como um modelo aplicvel indstria de software. O
modelo MPS estabelece um modelo de processos de software e um processo
e um mtodo de avaliao de processos. Esta estrutura fornece sustentao
e garante que o modelo MPS esteja sendo empregado de forma coerente
com as suas definies. O modelo MPS estabelece tambm um modelo de
negcio para apoiar a sua adoo pelas empresas brasileiras desenvolvedoras
de software.

57 A SOFTEX uma organizao da sociedade civil de interesse pblico, cujo objetivo aumentar
a competitividade da indstria brasileira de software por meio de aes de capacitao, inovao,
qualidade e atuao no mercado.
58 Norma especfica acerca de processos do ciclo de vida do software.

332 Implantando a Governana de TI 3 edio

8.2.3 Estrutura

do modelo

8.2.3.1 Viso geral do modelo


O modelo MPS formado por trs componentes:
Modelo de Referncia (MR-MPS), composto por um Guia Geral que
o descreve, por um Guia de Aquisio de software e servios correlatos
e um conjunto de Guias de Implementao focados em cada um dos
seus sete nveis de maturidade e tambm em organizaes especficas
(que adquirem software, Fbricas de Software e Fbricas de Testes).
Mtodo de Avaliao (MA-MPS), contendo requisitos para os avaliadores lderes, avaliadores adjuntos e Instituies Avaliadoras.
Modelo de Negcio (MN-MPS), descrevendo regras de negcio gerais para implementao, avaliao, organizao de grupos de empresas, certificao de consultores e programas de treinamento.

A figura 8.4 mostra a estrutura na qual o Modelo de Referncia (MR-MPS)


est baseada. Os elementos desta estrutura sero abordados nas sees a seguir.

Figura 8.4 Estrutura do MR-MPS, mostrando seus principais elementos


Adaptado de SOFTEX (2009a)

Modelos para Processos de Software 333

8.2.3.2 Os nveis de maturidade


Assim como acontece no CMMI, os nveis de maturidade do modelo MPS
estabelecem patamares de evoluo dos processos e representam estgios de
melhoria para a implementao de processos em uma organizao.
A cada nvel de maturidade est associado um conjunto de processos e um
conjunto de atributos de processos cujo atendimento necessrio. Isto significa que, para alcanar um determinado nvel de maturidade do MR-MPS,
os objetivos e resultados esperados dos processos devem ser atendidos, e os
resultados esperados dos atributos de processo estabelecidos para aquele nvel
tambm devem ser atendidos.
O MR-MPS possui sete nveis de maturidade, conforme mostra a tabela 8.9:
A

Em Otimizao

Gerenciado Quantitativamente

Definido

Largamente Definido

Parcialmente Definido

Gerenciado

Parcialmente Gerenciado

Tabela 8.9 Nveis de Maturidade do MR-MPS


Fonte: SOFTEX (2009a)

8.2.3.3 Os processos do MR-MPS


O MR-MPS possui dezenove processos, distribudos entre os nveis de
maturidade. Isto significa que cada processo est associado ao nvel de maturidade onde aparece a necessidade que o seu primeiro atributo de processo
esteja atendido. De acordo com SOFTEX (2009a), os processos so:
Nvel G Parcialmente Gerenciado:
Gerncia de Projetos (GPR): estabelece e mantm planos que
definem as atividades, os recursos e as responsabilidades do projeto e fornece informaes sobre o andamento do projeto que

334 Implantando a Governana de TI 3 edio

permitem a realizao de correes quando houver desvios significativos no seu desempenho. O propsito deste processo evolui
medida que a organizao cresce em maturidade.
Gerncia de Requisitos (GRE): gerencia os requisitos do produto e dos componentes do produto do projeto, identificando
inconsistncias entre os requisitos, os planos do projeto e os produtos de trabalho do projeto.
Nvel F Gerenciado:
Aquisio (AQU): gerenciar a aquisio de produtos (e servios,
desde que sejam parte integrante do produto final para o cliente)
que satisfazem s necessidades expressas pelo adquirente.
Gerncia de Configurao (GCO): estabelece e mantm a integridade de todos os produtos de trabalho de um processo ou
projeto, disponibilizando-os para todos os envolvidos.
Gerncia de Portflio de Projetos (GPP): inicia e mantm projetos que sejam necessrios, suficientes e sustentveis, de forma a atender os objetivos estratgicos da organizao. Este processo ainda:
compromete o investimento e os recursos organizacionais
adequados;
estabelece a autoridade necessria para executar os projetos
selecionados;
executa a qualificao contnua de projetos para confirmar que
eles justificam a continuidade dos investimentos ou podem ser
redirecionados para justificar.
Garantia da Qualidade (GQA): garante que os produtos de trabalho e a execuo dos processos estejam em conformidade com
os planos, procedimentos e padres estabelecidos.
Medio (MED): coleta, armazena, analisa e relata os dados relativos aos produtos desenvolvidos e aos processos implementados
na organizao e em seus projetos, de forma a apoiar os objetivos
organizacionais.
Nvel E Parcialmente Definido:
Avaliao e Melhoria do Processo Organizacional (AMP): determina o quanto os processos padro da organizao contribuem
para alcanar os objetivos de negcio da organizao e para apoiar
a organizao a planejar, realizar e implantar melhorias contnuas
nos processos, com base no entendimento de seus pontos fortes
e fracos.

Modelos para Processos de Software 335

Definio do Processo Organizacional (DFP): estabelece e


mantm um conjunto de ativos de processo organizacional e padres do ambiente de trabalho usveis e aplicveis s necessidades
de negcio da organizao.
Gerncia de Recursos Humanos (GRH): fornece organizao
e aos projetos os recursos humanos necessrios e mantm suas
competncias adequadas s necessidades do negcio.
Gerncia de Reutilizao (GRU): gerencia o ciclo de vida dos
ativos reutilizveis.

OBS.: a partir do nvel E, a gerncia de projetos (processo GPR) passa


a ser realizada com base no processo definido para o projeto e nos planos
integrados.
Nvel D Largamente Definido:
Desenvolvimento de Requisitos (DRE): define os requisitos do
cliente, do produto e dos componentes do produto.
Integrao do Produto (ITP): integra os componentes do produto, realizando um produto consistente com seu projeto, e demonstra que os requisitos funcionais e no funcionais so satisfeitos para o ambiente alvo ou equivalente.
Projeto e Construo do Produto (PCP): desenvolve e implementa solues para atender aos requisitos.
Validao (VAL): confirma que um produto ou componente do
produto atender a seu uso pretendido quando colocado no ambiente para o qual foi desenvolvido.
Verificao (VER): confirma que cada servio e/ou produto de
trabalho do processo ou do projeto atende apropriadamente os
requisitos especificados.
Nvel C Definido:
Gerncia de Decises (GDE): analisa possveis decises crticas
usando um processo formal, com critrios estabelecidos, para avaliao das alternativas identificadas.
Desenvolvimento para Reutilizao (DRU): identifica oportunidades de reutilizao sistemtica de ativos na organizao e, se
possvel, estabelece um programa de reutilizao para desenvolver
ativos a partir de engenharia de domnios de aplicao.

336 Implantando a Governana de TI 3 edio

Gerncia de Riscos (GRI): Identifica, analisa, trata, monitora e


reduz continuamente os riscos em nvel organizacional e de projeto.
Nvel B Gerenciado Quantitativamente:
O nvel B no possui processos especficos. Neste nvel, a gerncia
de projetos (processo GPR) passa a ter um enfoque quantitativo,
refletindo a alta maturidade que se espera da organizao e todos
os processos devem satisfazer os atributos de processos relacionados a medio e controle.
Nvel A Em Otimizao:
O nvel A no possui processos especficos. Neste nvel, todos os
processos selecionados para anlise de desempenho devem satisfazer os atributos de processo relacionados a medio e controle e
pelo menos um processo deve ser objeto de melhorias e inovaes
contnuas.

8.2.3.4 Os atributos de processos do MR-MPS


A capacidade de um processo, no MR-MPS, reflete o grau de refinamento
e institucionalizao com que este processo executado na organizao. Esta
capacidade representada por um conjunto de atributos de processo descritos
em termos de resultados esperados. medida que a organizao evolui nos
nveis de maturidade, um maior grau de capacidade deve ser atingido na execuo do processo.
O MR-MPS possui nove atributos de processos, conforme mostra a tabela
8.10:
Atributo de Processo:

Mede o quanto...

AP1.1 O processo executado.

o processo atinge o seu propsito.

AP2.1 O processo gerenciado.

a execuo do processo gerenciada.

AP2.2 Os produtos de trabalho do


processo so gerenciados.

produtos de trabalho produzidos pelo processo so gerenciados


apropriadamente.

AP3.1 O processo definido.

um processo padro mantido para apoiar a implementao do


processo definido.

AP3.2 O processo est implementado.

o processo padro efetivamente implementado como um


processo definido para atingir seus resultados.

Modelos para Processos de Software 337

Atributo de Processo:

Mede o quanto...

AP4.1 O processo medido.

os resultados de medio so usados para assegurar que a


execuo do processo atinja os seus objetivos de desempenho
e apoie o alcance dos objetivos de negcio definidos.

AP4.2 O processo controlado.

o processo controlado estatisticamente para produzir


um processo estvel, capaz e previsvel dentro de limites
estabelecidos.

AP5.1 O processo objeto de


melhorias e inovaes.

as mudanas no processo so identificadas a partir da anlise


de defeitos, problemas, causas comuns de variao do
desempenho e da investigao de enfoques inovadores para a
definio e implementao do processo.

AP5.2 O processo otimizado


continuamente.

as mudanas na definio, gerncia e desempenho do


processo tm impacto efetivo para o alcance dos objetivos
relevantes de melhoria do processo.

Tabela 8.10 Atributos de Processo do MR-MPS


Fonte: SOFTEX (2009a)

Para atingir um nvel de maturidade, esperado que todos os processos relativos a este nvel atendam aos resultados esperados dos prprios
processos, assim como os resultados esperados dos atributos dos processos
correspondentes quele nvel (e tambm aos processos de todos os nveis
anteriores.
Por exemplo: uma organizao que atinge o nvel F atende todos os atributos de processo dos nveis G e F, para todos os processos correspondentes
ao nvel de maturidade F (que compreende tambm o nvel G). Ao atingir o
nvel F, os processos do nvel de maturidade G devem ser executados com um
nvel de capacidade.
A tabela 8.11 mostra, para cada nvel de maturidade do MR-MPS, os seus
processos, os atributos de processo que precisam ser atingidos por cada processo, alm de uma equivalncia com os nveis de maturidade do CMMI-DEV.

338 Implantando a Governana de TI 3 edio

Nvel de
Maturidade
G Parcialmente
gerenciado

Processos do Nvel de Maturidade

Atributos de
Processo
Correspondentes

Equivalncia
com o CMMI

Gerncia de requisitos (GRE)


Gerncia de projetos (GPR)

AP1.1
AP2.1

F Gerenciado

Aquisio (AQU)
Gerncia de Configurao (GCO)
Gerncia de Portflio de Projetos (GPP)
Garantia da Qualidade (GQA)
Medio (MED)

AP1.1
AP2.1
AP2.2

E Parcialmente
definido

Avaliao e Melhoria do Processo Organizacional


(AMP)
Definio do Processo Organizacional (DFP)
Gerncia de Recursos Humanos (GRH)
Gerncia de Reutilizao (GRU)
Gerncia de Projetos (GRP) - evoluo

AP1.1
AP2.1
AP2.2
AP3.1
AP3.2

D Largamente
definido

Desenvolvimento de Requisitos (DRE)


Integrao do Produto (ITP)
Projeto e Construo do Produto (PCP)
Validao (VAL)
Verificao (VER)

AP1.1
AP2.1
AP2.2
AP3.1
AP3.2

Gerncia de decises (GDE)


Desenvolvimento para Reutilizao (DRU)
Gerncia de riscos (GRI)

AP1.1
AP2.1
AP2.2
AP3.1
AP3.2

Gerncia de Projetos (GPR) evoluo


No h processos especficos para este nvel.

AP1.1
AP2.1
AP2.2
AP3.1
AP3.2
AP4.1
AP4.2

NVEL 4

AP1.1
AP2.1
AP2.2
AP3.1
AP3.2
AP4.1
AP4.2
AP5.1
AP5.2

NVEL 5

C Definido

B Gerenciado
quantitativamente

No h processos especficos para este nvel.

A Em
otimizao

NVEL 2

NVEL 3

Tabela 8.11 Nveis de maturidade do MR MPS, seus atributos de processo correspondentes e


sua relao com o CMMI-DEV
Fonte: SOFTEX (2009a)

Modelos para Processos de Software 339

8.2.4 Aplicabilidade

do modelo

Assim como o CMMI, o MR-MPS pode ser implementado em quaisquer


organizaes que tenham foco no desenvolvimento de software (sejam elas
internas a uma empresa ou fornecedores externos), incluindo aquelas que possuem caractersticas de operao contnuas (tais como fbricas de software e
fbricas de testes).
A diviso em sete nveis de maturidade permite que seja possvel implementar, avaliar e melhorar os processos (para o atendimento dos atributos de
processos) em prazos mais curtos e de forma mais gradual. Este fato configura
uma situao bastante adequada para as micro, pequenas e mdias empresas
desenvolvedoras de software, devido aos menores custos de implementao
e avaliao e possibilidade de atingir resultados de melhoria de processos e
maturidade em intervalos menores de tempo.
A implementao de um modelo de maturidade nos moldes do MR-MPS
pode ser um diferencial para tais organizaes, diante das exigncias cada vez
maiores apresentadas pelos clientes em suas RFIs (Requests for Informations) e
RFPs (Request for Proposals) para contratao de produtos e servios de software.
Apesar do foco do modelo estar mais direcionado s pequenas e mdias
empresas, o modelo tambm plenamente aplicvel a organizaes de maior
tamanho, sejam elas pblicas ou privadas.
Este modelo tem sido bastante procurado pelas empresas brasileiras, a partir de programas de fomento melhoria da qualidade de software promovidos
pela SOFTEX. Em alguns casos, vrias empresas se associam para contratar
em conjunto servios de consultoria especializada na implementao do modelo.
Alm das organizaes que tm interesse em utilizar o MR-MPS para a
melhoria dos seus processos de software, outras empresas tambm fazem parte
deste ecossistema, tendo participao atuante nos esforos de preparao e
avaliao:
Instituies Implementadoras (II), credenciadas para prestar servios de consultoria de implementao do modelo.
Instituies Avaliadoras (IA), credenciadas para prestar servios de
avaliao segundo o mtodo de avaliao MA-MPS.

340 Implantando a Governana de TI 3 edio

8.2.5 Benefcios

do modelo

De acordo com resultados de desempenho relatados SOFTEX em uma


pesquisa realizada em 2010 com 156 empresas ver SOFTEX (2011) , a
adoo do modelo MPS teve um ndice notrio de mais de 92% de satisfao.
A pesquisa ainda revela que as empresas que adotaram o modelo obtiveram
como benefcios:
Categoria

Empresas Iniciando o Modelo

Empresas nos Nveis E a A de


Maturidade

Maior satisfao dos seus


clientes

62,5%

85,7%

Maior efetividade na conduo de


projetos maiores (tamanho mdio
dos projetos)

45 pontos de funo (mediana)

215 pontos de funo (mediana)

Maior preciso em suas


estimativas de prazo

Aproximadamente 70%

100%

Maior produtividade de suas


equipes

45 pontos de funo/ms

55,33 pontos de funo/ms

Tabela 8.12 Benefcios Quantitativos da Utilizao do Modelo MR-MPS


Fonte: SOFTEX (2011)

Foi identificada tambm uma maior tendncia para apresentar os benefcios esperados pela aplicao das tcnicas da disciplina de Engenharia de
Software (em termos de prazo, custo, produtividade e qualidade).
Alm disso, na anlise da variao dos indicadores em relao aos anos anteriores foi identificado aumento no faturamento e na quantidade de clientes
no pas, alm de reduo no prazo e no custo mdio dos projetos.

8.2.6 Certificaes

relacionadas

Neste modelo, as avaliaes sero conduzidas por uma Instituio credenciada para Avaliao IA (Instituio Avaliadora) , e a implantao poder
ser realizada por uma Instituio credenciada para Implantao (Instituio
Implementadora).

Modelos para Processos de Software 341

O processo de avaliao do modelo MPS envolve atividades tais como:


Contratar a avaliao (pesquisar instituies avaliadoras e estabelecer
um contrato).
Preparar a realizao da avaliao (viabilizar, planejar e preparar a
avaliao, conduzir a avaliao inicial, completar a preparao da avaliao).
Realizar a avaliao final (conduzir a avaliao final e avaliar a execuo do processo de avaliao).
Documentar os resultados da avaliao (relatar e registrar os resultados).

A avaliao de maturidade do modelo MPS deve ser realizada por uma equipe
composta por membros internos (representantes da unidade organizacional) e
membros externos (avaliador lder, avaliadores adjuntos da Instituio Avaliadora e, opcionalmente, avaliadores em formao indicados pela SOFTEX). A
durao da avaliao e a quantidade (mnima e mxima) de avaliadores proporcional capacidade exigida para cada nvel de maturidade. Uma avaliao pode
durar de um a cinco dias e contar com uma equipe de trs a nove avaliadores.
A avaliao tem validade por dois anos. Ao final desses dois anos, a empresa dever passar por nova avaliao para manter a maturidade adquirida j
avaliada ou evoluir o nvel de maturidade.
Neste modelo, empresas em regime de cooperativa tambm podem ser
avaliadas conjuntamente.

8.3 ISO/IEC 12207


8.3.1 Viso

geral do modelo

A ISO/IEC 12207 orientada para Processos do Ciclo de Vida do Soft


ware. O objetivo desta norma criar um framework que possibilite uma
linguagem comum para a criao e o gerenciamento do software.
A criao desta norma foi motivada justamente pelo fato de que existe
uma mirade de padres que criam dificuldades na engenharia e na gesto do
software, notadamente na integrao de produtos e servios.

342 Implantando a Governana de TI 3 edio

A norma cobre o ciclo de vida do software, desde a sua concepo at o seu


descarte, os processos para aquisio e suprimento de produtos de software e
servios, assim como os processos para controle e melhoria.
Esta norma no aplicada para certificao de processos em um esquema
formal. Entretanto, pode ser imposta por associaes de um pas ou uma empresa como condio de realizar um negcio. Nestes casos, tais instituies
devem especificar e tornar pblico o conjunto de processos, atividades e tarefas
requeridas e que vo constituir a conformidade com este padro internacional.
A limitao desta norma que ela no especifica como implementar ou
desempenhar as atividades e tarefas includas nos processos.
A Figura 8.5 apresenta o esquema da norma.

Figura 8.5 Estrutura da ISO/IEC 12207

Modelos para Processos de Software 343

Processos Fundamentais
O processo de Aquisio define as atividades do comprador (a organizao que adquire o sistema, produto de software ou servio de soft
ware) e compreende as seguintes atividades: iniciao (definio da
necessidade), preparao de request for proposal, preparao de contrato, monitoramento do fornecedor e aceitao do produto ou servio.
O processo de Fornecimento define as atividades do fornecedor (a
organizao que fornece o sistema, produto de software ou servio
de software para o comprador) e compreende as seguintes atividades:
iniciao (reviso dos requisitos), preparao de resposta, contratao, planejamento, execuo e controle, reviso e avaliao e entrega.
O processo de Desenvolvimento define as atividades do desenvolvedor (a organizao que define e desenvolve o produto de software)
e compreende as seguintes atividades: implementao do processo
(seleo do ciclo de vida acordado), anlise dos requisitos do sistema,
projeto da arquitetura do sistema, anlise dos requisitos do software,
projeto da arquitetura do software, projeto detalhado do software,
teste e codificao do software, integrao do software, teste de qualificao do software, integrao do sistema, teste de qualificao do
sistema, instalao do software e suporte de aceitao do software.
O processo de Operao define as atividades do operador (a organizao que fornece o servio de operao de um sistema computadorizado
no ambiente real para seus usurios) e compreende as seguintes atividades: implementao do processo (gesto de incidentes, problemas e
mudana), teste operacional, operao do sistema e suporte ao usurio.
O processo de Manuteno define atividades do mantenedor (a organizao que fornece o servio de manuteno do produto de software, ou seja, gerenciamento das modificaes do produto de software
para mant-lo atualizado e adequado para sua operao). Este processo compreende as seguintes atividades: implementao do processo
(recebimento de solicitaes e interface com gesto da configurao),
anlise de problemas e modificaes, implementao da modificao,
migrao e desativao do software.

344 Implantando a Governana de TI 3 edio

Processos de Apoio
O processo de Documentao define atividades para o registro da informao produzida pelos processos do ciclo de vida e compreende as
seguintes atividades: implementao do processo (contedo e formato
dos documentos), projeto e desenvolvimento, produo e manuteno.
O processo de Gerncia de Configurao define as seguintes atividades: implementao do processo (plano e procedimentos),
identificao da configurao, controle da configurao, status da
configurao, avaliao da configurao, gesto das verses e da
entrega.
O processo de Garantia da Qualidade define as atividades para assegurar, objetivamente, que o produto de software e os processos estejam em conformidade com os requisitos especificados e aderentes aos
planos estabelecidos59. Compreende as seguintes atividades: implementao do processo, garantia do produto, garantia do processo e
garantia da qualidade do sistema.
O processo de Verificao define as atividades (para o comprador, o
fornecedor ou uma terceira parte independente) de verificao dos
produtos de software na profundidade requerida em funo do projeto de software. Compreende as seguintes atividades: implementao
do processo e verificao (contrato, processo, requisitos, projeto, cdigo, integrao e documentao).
O processo de Validao define as atividades (para o comprador, o
fornecedor ou uma terceira parte independente) de validao dos
produtos dos projetos de software. Compreende as seguintes atividades: implementao do processo e validao (testes de aceitao
do software).
O processo de Reviso Conjunta define as atividades para avaliar
o status dos produtos de uma atividade. Este processo pode ser
empregado por duas partes, onde uma rev o trabalho do outro
em um frum conjunto. Compreende as seguintes atividades: implementao do processo, revises de gesto do projeto e revises
tcnicas.
59 Revises conjuntas, auditorias, verificao e validao podem ser usadas como tcnicas de Garantia
da Qualidade.

Modelos para Processos de Software 345

O processo de Auditoria define atividades para determinar a conformidade com os requisitos, planos e contratos. Compreende as seguintes atividades: implementao do processo e auditoria.
O processo de Resoluo de Problema define um processo para analisar e remover problemas, independentemente de sua natureza e origem. Compreende as seguintes atividades: implementao do processo e resoluo de problemas.

Processos Organizacionais
O processo de Gerncia define as atividades bsicas de gesto, incluindo a gesto do projeto durante o processo de ciclo de vida. Compreende as seguintes atividades: iniciao e definio do escopo, planejamento, execuo e controle, reviso, avaliao e encerramento.
O processo de Infraestrutura define as atividades bsicas para o estabelecimento da estrutura de suporte de um processo de ciclo de vida.
Compreende as seguintes atividades: implementao do processo,
estabelecimento da infraestrutura (hardware, software, ferramentas,
metodologias, padres e instalaes) e manuteno da infraestrutura.
O processo de Melhoria define atividades para estabelecer, avaliar,
medir, controlar e melhorar o processo de ciclo de vida. Compreende as seguintes atividades: estabelecimento do processo, avaliao do
processo e melhoria do processo.
O processo de Treinamento define atividades para prover e manter
o pessoal treinado. Compreende as seguintes atividades: implementao do processo, desenvolvimento de materiais de treinamento e
implementao do plano de treinamento.

8.3.2 Aplicabilidade

do modelo

Do nosso ponto de vista, este um modelo bastante apropriado para a


grande maioria das empresas, principalmente no tocante ao desenvolvimento
de software, seja internamente ou por terceiros. Pode-se usar este modelo
tambm em processos de outsourcing, definindo todos os padres a serem
utilizados e tambm os ciclos de vida.

346 Implantando a Governana de TI 3 edio

Como um modelo aberto em termos do como fazer, pode ser integrado com
outras iniciativas, tais como ISO 9001, PMBOK, COBIT e at mesmo o CMMI.

8.4 ISO/IEC 9126


8.4.1 Viso

geral do modelo

A ISO/IEC 9126 trata da avaliao do produto de software do ponto de


vista das suas caractersticas de qualidade. A norma aplicvel para quem faz
aquisio e/ou desenvolvimento de software, usurios, assim como para quem
fornece suporte, manuteno ou realiza auditoria de software.
Assim como a ISO/IEC 12207, esta norma tambm no aplicada com o
objetivo de obter uma certificao atravs de um esquema de reconhecimento
mtuo. A norma sugere sua aplicao nas seguintes situaes:
Definir os requisitos de qualidade do software.
Avaliar especificaes de software para verificar se satisfazem os requisitos de qualidade durante o desenvolvimento.
Descrever caractersticas e atributos do software implementado.
Avaliar o software desenvolvido antes de ser entregue.
Avaliar o software antes da aceitao.

A norma sugere a avaliao dos atributos da qualidade do software relacionados a Funcionalidade, Confiabilidade, Usabilidade, Eficincia, Manutenibilidade e Portabilidade.
Funcionalidade: um conjunto de atributos que satisfazem necessidades
implcitas e explcitas .
Os subconjuntos de requisitos de qualidade funcionais so:
Adequabilidade: atributo do software relacionado presena e adequao de um conjunto de funes para tarefas especficas.
Exatido: atributos do software relacionados com a proviso do resultado ou efeito acordado e esperado.

Modelos para Processos de Software 347

Interoperabilidade: atributo do software relacionado sua habilidade


para interagir com sistemas especificados.
Compliance: atributos que fazem com que o software esteja aderente
a padres relacionados ou a convenes ou regulamentos em leis e
prescries similares.
Segurana: atributos do software relacionados sua habilidade para
prevenir acessos no autorizados (sejam acidentais ou deliberados) a
programas e dados.

Confiabilidade: um conjunto de atributos relacionados capacidade do software de manter seu nvel de desempenho, conforme as condies estabelecidas por um perodo de tempo estabelecido.
Subconjuntos de requisitos de qualidade de confiabilidade so:
Maturidade: atributos do software relacionados frequncia de falhas
por defeito no software.
Tolerncia a falhas: atributos do software relacionados com sua
habilidade para manter um nvel de desempenho especificado em
casos de falhas do software ou mau funcionamento de interfaces
especificadas.
Capacidade de recuperao: atributos do software relacionados com
a sua capacidade de restabelecer seu nvel de desempenho e recuperar
os dados diretamente afetados em caso de falhas, assim como com o
tempo e esforos necessrios para sua recuperao.

Usabilidade: um conjunto de atributos relacionados ao esforo para usar o


software ou na avaliao individual de tal uso, por um ou mais usurios.
Subconjuntos de requisitos de qualidade de usabilidade so:
Facilidade de entendimento: atributos do software relacionados
ao esforo do usurio para reconhecer o conceito lgico e sua
aplicao.

348 Implantando a Governana de TI 3 edio

Facilidade de aprendizagem: atributos do software relacionados ao


esforo do usurio aprender sua aplicao.
Facilidade de operao: atributos do software relacionados ao esforo
do usurio para operar e controlar a operao do software.

Eficincia: um conjunto de atributos que dizem respeito relao entre o


nvel de desempenho do software e a quantidade de recursos usada, sob
condies estabelecidas.
Subconjuntos de requisitos de qualidade de eficincia so:
Comportamento do tempo: atributos do software relacionados com
os tempos de processamento e resposta, assim como as taxas de
throughput no desempenho de suas funes.
Comportamento de recursos: atributos do software relacionados com
a quantidade de recursos usados e a durao da sua utilizao no desempenho de suas funes.

Manutenibilidade: um conjunto de atributos relacionados ao esforo


necessrio para realizar modificaes especificadas.
Subconjuntos de requisitos de qualidade de manutenibilidade so:
Facilidade de anlise: atributos de software relacionados ao esforo
necessrio para diagnosticar deficincias ou causas de falhas ou para
identificar partes a serem modificadas.
Facilidade de mudana: atributos do software relacionados ao esforo
necessrio para a modificao, remoo de falhas ou para mudanas
de ambiente.
Estabilidade: atributos do software relacionados ao risco de efeitos
inesperados de modificaes.
Facilidade de teste: atributos do software relacionados ao esforo necessrio para validar o software modificado.

Modelos para Processos de Software 349

Portabilidade: um conjunto de atributos de software relacionados habilidade do software ser transferido de um ambiente para outro.
Subconjuntos de requisitos de qualidade de portabilidade so:
Capacidade de adaptao: atributos do software relacionados oportunidade para a sua adaptao a diferentes ambientes sem a aplicao
de outras aes ou meios do que aqueles providos para o propsito
do software considerado.
Facilidade de instalao: atributos do software relacionados ao esforo necessrio para instalar o software no ambiente especificado.
Nvel de conformidade: atributos que fazem o software ser aderente a
padres ou convenes relacionados portabilidade.
Facilidade de substituio: atributos relacionados oportunidade do
software substituir outro software no mesmo ambiente.

8.4.2 Aplicabilidade

do modelo

Esta norma pode ser aplicada para avaliao e aceitao de softwares-produtos ou softwares desenvolvidos ou adquiridos pela empresa, conforme os
requisitos estabelecidos para cada uma das caractersticas da qualidade esperadas para o software. Da mesma forma, esta norma pode auxiliar na especificao de condies do teste de aceitao ou do processo de validao de
softwares que a empresa adquire.

8.5 IBM Rational Unified Process

uma

breve viso

O RUP, como conhecido, um framework passvel de adaptao, orientado principalmente para o desenvolvimento de projetos de software. De acordo com Kruchten (2000), um processo de engenharia de software, um processo de produto e tambm um framework de processo. Ainda conforme este
autor, o RUP captura elementos das melhores prticas do desenvolvimento
moderno do software e baseia-se nos seguintes fundamentos:

350 Implantando a Governana de TI 3 edio

Desenvolvimento iterativo do software.


Gesto de requisitos.
Uso de arquiteturas baseadas em componentes.
Modelagem visual do software.
Verificao contnua da qualidade do software.
Controle de mudanas no software.

O RUP foi desenvolvido pela Rational, que foi adquirida pela IBM (atualmente um produto IBM). Combina um ciclo de vida de desenvolvimento
de software baseado no modelo espiral, juntamente com processos para a gesto do projeto. A Figura 8.6 apresenta brevemente o modelo do RUP.

Figura 8.6 Modelo RUP


Adaptado de Kruchten 2000

Modelos para Processos de Software 351

O ciclo de vida composto por quatro fases: concepo, elaborao, construo e transio.
A fase de Concepo consiste em estabelecer o escopo do projeto, os critrios de aceitao e o que no far parte do produto, em definir os cenrios
de comportamento do produto, definir a arquitetura para atender o cenrio,
estimar os custos e prazos para o projeto como um todo e estimar riscos.
A fase de Elaborao consiste em analisar o domnio do problema, estabelecer a arquitetura do produto, desenvolver o plano do projeto e eliminar os
elementos de alto risco do projeto, assim como demonstrar que a arquitetura
ir apoiar a viso do produto dentro do custo e do prazo estimado.
A fase de Construo consiste no desenvolvimento das funcionalidades, na
integrao de componentes ao produto e na finalizao de verses operacionais do produto.
A fase de Transio consiste em mover o produto de software para a comunidade de usurios.
A RUP, como framework, emprega, para o desenvolvimento de seus artefatos, a linguagem de modelagem Unified Modeling Language ou UML. Os
principais artefatos do RUP so:
Solicitaes dos interessados (stakeholders requests).
Viso (vision).
Business Case.
Lista de riscos (risk list).
Glossrio (glossary).
Especificao suplementar (supplementary specification).
Modelo de caso de uso (case use model).
Plano de desenvolvimento do software (software development plan)
Documento da arquitetura do software (software architecture document).
Plano de teste (test plan).
Modelo de anlise (analysis model).
Modelo de projeto (design model).
Plano de implantao (deployment plan).
Modelo de implementao (implementation model).

352 Implantando a Governana de TI 3 edio

O RUP traz em seu framework o conceito de iteraes, que so evolues


do produto medida que se avana no ciclo de vida, ou seja, trabalha com
verses intermedirias at se chegar verso definitiva. Com isto, de acordo
com o que preconiza, a RUP consegue reduzir riscos e acomodar mudanas
nos requisitos ao longo do projeto.
Os workflows da RUP organizam os elementos dos processos (pessoas, atividades e artefatos) em uma sequncia de atividades que produzem resultados
que agregam valor e que mostram as interaes entre as pessoas.
O RUP consiste em nove workflows bsicos, sendo seis de engenharia
e trs de suporte. Os de engenharia so: modelagem de negcio, requisitos, anlise e projeto, implementao, teste e entrega (deployment). Os de
suporte so: gesto de projetos, gesto da mudana e da configurao e
ambiente.

8.6 Microsoft Solutions Framework

uma

breve viso

O MSF a soluo da Microsoft para os seguintes tipos de projetos (vide


www.microsoft.com/msf ):
Desenvolvimento de software.
Implantao de software (sistemas operacionais, software de gesto
da configurao etc.).
Implantao de pacotes como Sistemas Integrados de Gesto, etc.
Qualquer combinao dos itens acima.

De acordo com a Microsoft, o MSF um framework que pode ser adaptado pelo usurio em funo de suas necessidades particulares.
Os principais componentes do modelo so:
Princpios fundamentais do modelo.
Modelos de equipe e de processo.
Disciplinas do modelo.

Modelos para Processos de Software 353

Os princpios fundamentais consistem em: promover a comunicao aberta, dar autonomia para a equipe, trabalhar em direo ao compartilhamento
da viso, estabelecer claramente as responsabilidades, focar a entrega de valor
para o negcio, manter-se gil e esperar mudanas, investir em qualidade e
aprender com todas as experincias.
O modelo de equipe determina alguns papis, habilidades e conhecimentos para o sucesso de projetos de tecnologia da informao. Os papis so
os relativos a: gesto do programa, desenvolvimento, teste, gesto da release,
experincia do usurio e do gerente do produto.
O modelo de processos consiste no ciclo de vida de desenvolvimento do
projeto propriamente e comporta as seguintes grandes fases: desenvolvimento da viso, planejamento, desenvolvimento, estabilizao e implantao. De
acordo com a Microsoft, este modelo uma combinao dos ciclos de vida
cascata e espiral.
As disciplinas do modelo so: gerncia de projetos (que se baseia no PMBOK e no PRINCE2), gerenciamento de risco e gesto da prontido, que
diz respeito definio, avaliao, mudana e evoluo das habilidades das
equipes do projeto ao longo do ciclo de vida do projeto.

Modelos para Gerenciamento


Projetos

de

Entre as disciplinas mais relevantes no contexto da Governana de TI, est


o gerenciamento das iniciativas de implementao de novos elementos ou de
elementos modificados no contexto da TI. Tais iniciativas se materializam em
projetos, que por sua vez podem ser organizados em programas e/ou portflios.
Neste captulo, apresentamos alguns dos modelos mais conhecidos para
esta disciplina: Os modelos do PMI (Project Management Institute) para Gerenciamento de Projetos (PMBOK), Gerenciamento de Programas e Gerenciamento de Portflios, a metodologia europeia PRINCE 2 e o mtodo para
desenvolvimento gil SCRUM.

9.1 PMBOK Project Management Body


Knowledge
9.1.1 Histrico

of

do modelo

O PMBOK foi desenvolvido contando com a colaborao de vrias dezenas de profissionais afiliados ao PMI e de origens diversas. A primeira verso
do PMBOK foi publicada em 1996, a segunda verso em 2000, a terceira
verso em 2004 e a quarta e atual em 2008.

9.1.2 Objetivos

do modelo

De acordo com PMI (2008), o principal objetivo do Guia PMBOK


identificar o subconjunto do corpo de conhecimentos em gerenciamento de
projetos que amplamente reconhecido como boa prtica.

Modelos para Gerenciamento de Projetos 355

Ainda conforme o PMI:


Fornece e promove um vocabulrio comum para a profisso de gerenciamento de projetos.
V o padro como uma referncia base para o desenvolvimento e
certificao profissional.
No um modelo completo.
No uma metodologia.
um guia para os processos de gerenciamento de projetos, ferramentas e tcnicas.

Para o PMI, um projeto : um empreendimento temporrio desenvolvido para criar um produto, servio ou resultado nico. A natureza
temporria dos projetos indica que ele tem um incio e um fim bem
definidos. O fim alcanado quando os objetivos do projeto foram atendidos ou quando o projeto finalizado em virtude de que seus objetivos
no podem ser alcanados, ou quando a necessidade do projeto no existe
mais.
A gerncia do projeto, por sua vez, : a aplicao de conhecimento, habilidades, ferramentas e tcnicas s atividades do projeto para atender aos
requisitos do projeto.

9.1.3 Estrutura

do modelo

O que mudou em relao terceira edio:


Foi includa uma abordagem para a discusso dos fatores ambientais
da organizao e dos ativos de processos organizacionais.
Foi includa uma abordagem para discusso de requisies de
mudana, aes preventivas, aes corretivas e reparao de defeitos.
Os processos diminuram de 44 para 42. Dois processos foram excludos, dois processos foram adicionados e seis processos foram reconfigurados em quatro processos.
Para clarificar, foi feita uma distino entre o plano de gerenciamento
do projeto e os documentos usados para gerenciar o projeto.

356 Implantando a Governana de TI 3 edio

A distino entre a informao no Project Charter e a Declarao do


Escopo do projeto foi clarificada.
Um diagrama de fluxo para cada processo foi criado para mostrar as
entradas e sadas entre os processos.
Um novo apndice foi adicionado para tratar das habilidades interpessoais que um gerente de projeto utiliza quando est gerenciando
o projeto.

9.1.3.1 reas de conhecimento do gerenciamento de projetos


O modelo est estruturado em nove reas de conhecimento em gerenciamento de projetos, conforme mostra a Figura 9.1.

Figura 9.1 reas de conhecimento do PMBOK


Adaptado de PMI (2008a)

Modelos para Gerenciamento de Projetos 357

Os processos de gerenciamento de projetos, representados pelas nove reas


de conhecimento, so agrupados, de acordo com o modelo, em:
Grupo de processos de iniciao: que define um novo projeto ou
uma nova fase do projeto pela obteno da autorizao para iniciar o
projeto ou a fase.
Grupo de processos de planejamento: so os processos executados para estabelecer o escopo total do esforo, definir e refinar
objetivos e desenvolver o curso de ao requerido para obter esses
objetivos.
Grupo de processos de execuo: so os processos executados para
completar o trabalho definido no plano de gerenciamento do projeto
que satisfaz as especificaes do projeto.
Grupo de processos de monitoramento e controle: consiste nos
processos requeridos para controlar, rever e regular o progresso do
desempenho do projeto; identificar quaisquer reas nas quais mudanas no plano so requeridas e iniciar as mudanas correspondentes.
Grupo de processos de encerramento: consiste nos processos que
finalizam todas as atividades por todos os grupos de processo de
gerenciamento, para completar a formalizao do projeto ou da
fase.

A tabela 9.1 apresenta o relacionamento entre as reas de conhecimento e


os grupos de processo de gerenciamento de projetos.

358 Implantando a Governana de TI 3 edio

reas de
Conhecimento
4.
Gerenciamento
da integrao do
projeto

Grupos de Processos de Gerenciamento de Projetos


Iniciao
4.1
Desenvolver
o termo de
abertura do
projeto

Planejamento
4.2 Desenvolver
o plano de
gerenciamento do
projeto

Execuo
4.3 Orientar
e gerenciar a
execuo do
projeto

Monitoramento e
Controle

4.4 Monitorar
4.6 Encerrar o
e controlar o
projeto ou fase
trabalho do projeto
4.5 Realizar o
controle integrado
do projeto

5.
Gerenciamento
do escopo do
projeto

5.1 Coletar
requisitos
5.2 Definir
escopo
5.3 Criar a EAP

5.4 Verificar
escopo
5.5 Controlar
escopo

6.
Gerenciamento
do tempo do
projeto

6.1 Definir
atividades
6.2 Sequenciar
atividades
6.3 Estimar
os recursos das
atividades
6.4 Estimar
a durao das
atividades
6.5 Desenvolver
o cronograma

6.6 Controlar o
cronograma

7.
Gerenciamento
dos custos do
projeto

7.1 Estimar os
custos
7.2 Determinar
o oramento

7.3 Controlar os
custos

8.
Gerenciamento
da qualidade do
projeto

8.1 Planejar a
qualidade

9.
Gerenciamento
dos recursos
humanos do
projeto

9.1 Desenvolver 9.2 Mobilizar


o plano de
a equipe do
recursos humanos projeto
9.3
Desenvolver
a equipe do
projeto
9.4 Gerenciar
a equipe do
projeto

8.2 Realizar
a garantia da
qualidade

Encerramento

8.3 Realizar
o controle da
qualidade

Modelos para Gerenciamento de Projetos 359

reas de
Conhecimento
10.
Gerenciamento
das
comunicaes
do projeto

Grupos de Processos de Gerenciamento de Projetos


Iniciao
10.1
Identificar
as partes
interessadas

Planejamento

Execuo

Monitoramento e
Controle

Encerramento

10.2 Planejar as 10.3 Distribuir 10.5 Reportar o


comunicaes
informaes
desempenho
10.4
Gerenciar as
expectativas
das partes
interessadas

11.
Gerenciamento
dos riscos do
projeto

11.1 Planejar
o gerenciamento
dos riscos
11.2 Identificar
os riscos
11.3 Realizar a
anlise qualitativa
dos riscos
11.4 Realizar
a anlise
quantitativa dos
riscos
11.5 Planejar
a resposta aos
riscos

11.6 Monitorar e
controlar os riscos

12.
Gerenciamento
das aquisies
do projeto

12.1 Planejar as
aquisies

12.2 Conduzir 12.3 Administrar 12.4 Encerrar


as aquisies
as aquisies
as aquisies

Tabela 9.1 Processos de gerenciamento de projetos e reas de conhecimento


Adaptado de PMI (2008a)

360 Implantando a Governana de TI 3 edio

9.1.3.2 Processos de gerenciamento de projetos


A Figura 9.2 mostra as interaes entre os grupos de processos de gerenciamento de projetos.

Figura 9.2 Interaes dos processos de gerenciamento de projetos


Adaptado de PMI (2008a)

9.1.3.2.1 Grupo de processos de iniciao


Este grupo formado pelos processos responsveis pela autorizao formal
para iniciar um novo projeto ou uma fase do projeto. Os processos que fazem
parte deste grupo so:
Desenvolver o termo de abertura do projeto: desenvolve um documento que autoriza, formalmente, um projeto ou uma fase e docu-

Modelos para Gerenciamento de Projetos 361

menta os requisitos iniciais que satisfazem as necessidades e expectativas das partes interessadas.
Identificar as partes interessadas: identifica todas as partes ou organizaes impactadas pelo projeto e documenta as informaes relevantes relacionadas aos seus interesses, seu envolvimento e o impacto
sobre o sucesso do projeto.
9.1.3.2.2 Grupo de processos de planejamento
Os processos de planejamento tm por objetivo a elaborao dos artefatos relativos ao planejamento, tais como plano de gerenciamento do projeto,
plano de gerenciamento do escopo, cronogramas, oramentos, detalhamento
do escopo, plano de gerenciamento de riscos, qualidade, recursos humanos,
comunicaes, plano de gerenciamento de aquisies etc.
Desenvolver o plano de gerenciamento do projeto: documenta as
aes necessrias para definir, preparar, integrar e coordenar todos
os planos auxiliares. O plano de gerenciamento do projeto torna-se
a fonte primria de informao sobre como o projeto ser planejado,
executado, monitorado e controlado e encerrado.
Coletar os requisitos: define e documenta as necessidades das partes
interessadas para atender aos objetivos do projeto.
Definir o escopo: desenvolve uma descrio detalhada do projeto e
do produto.
Criar a EAP: realiza a subdiviso das principais entregas do projeto e
do trabalho do projeto em componentes menores e mais facilmente
gerenciveis.
Definir atividades: identifica aes especficas a serem desempenhadas para produzir as entregas do projeto.
Sequenciar atividades: identifica e documenta os relacionamentos entre as atividades do projeto.
Estimar os recursos da atividade: realiza estimativa sobre os tipos e
quantidades de materiais, pessoal, equipamentos ou fornecimentos
requeridos para desempenhar cada atividade.

362 Implantando a Governana de TI 3 edio

Estimar a durao das atividades: realiza estimativa do nmero de


perodos de trabalho que sero necessrios para completar atividades
especficas com os recursos estimados.
Desenvolver o cronograma: analisa as sequncias das atividades, suas
duraes, recursos necessrios e restries, visando criar o cronograma do projeto.
Estimar os custos: desenvolve uma estimativa dos recursos monetrios necessrios para executar as atividades do projeto.
Determinar o oramento: agrega os custos estimados das atividades
individuais ou pacotes de trabalho para estabelecer uma linha de base
dos custos autorizada.
Planejar a qualidade: identifica os requisitos e/ou padres de qualidade do projeto e do produto, alm de documentar como o projeto
atingir a conformidade.
Desenvolver o plano de recursos humanos: identifica e documenta papis, responsabilidades, habilidades necessrias e relaes hierrquicas
do projeto, alm de criar um plano de gerenciamento de pessoal.
Planejar as comunicaes: determina as necessidades de informao
das partes interessadas no projeto e define uma abordagem de comunicao.
Planejar o gerenciamento de riscos: define como conduzir as atividades de gerenciamento dos riscos de um projeto.
Identificar os riscos: determina os riscos que podem afetar o projeto e
documenta suas caractersticas.
Realizar a anlise qualitativa de riscos: prioriza os riscos para anlise
ou ao adicional atravs da avaliao e combinao de sua probabilidade de ocorrncia e impacto.
Realizar anlise quantitativa de risco: analisa numericamente o efeito
dos riscos identificados nos objetivos gerais do projeto.
Planejar as respostas a riscos: desenvolve opes e aes para aumentar as oportunidades e reduzir as ameaas aos objetivos do projeto.
Planejar as aquisies: documenta as decises de compras do projeto, especificando a abordagem e identificando fornecedores em
potencial.

Modelos para Gerenciamento de Projetos 363

9.1.3.2.3 Grupo de processos de execuo


Contm os processos executados para completar o trabalho definido no
plano de gerenciamento do projeto que satisfaz as especificaes do projeto.
Orientar e gerenciar a execuo do projeto: realiza o trabalho definido no plano de gerenciamento do projeto para atingir os seus
objetivos.
Realizar a garantia da qualidade: audita os requisitos de qualidade
e os resultados da medio do controle da qualidade para garantir
que sejam usados os padres de qualidade e definies operacionais
apropriadas.
Mobilizar a equipe do projeto: confirma a disponibilidade dos recursos humanos e obtm a equipe necessria para terminar as designaes do projeto.
Desenvolver a equipe do projeto: realiza a melhoria de competncias,
da interao da equipe e do ambiente global da equipe para aprimorar o desempenho do projeto.
Gerenciar a equipe do projeto: acompanha o desempenho dos membros da equipe, fornece feedback, resolve questes e gerencia mudanas para otimizar o desempenho do projeto.
Distribuir as informaes: coloca as informaes relevantes disposio das partes interessadas no projeto, conforme planejado.
Gerenciar as expectativas das partes interessadas: comunica e interage
com as partes interessadas para atender s suas necessidades e resolver
as questes medida que ocorrerem.
Conduzir aquisies: obtm respostas dos fornecedores, seleciona um
fornecedor e adjudica o contrato.

9.1.3.2.4 Grupo de processos de monitoramento e controle


Consiste dos processos requeridos para controlar, rever e regular o progresso do desempenho do projeto; identificar quaisquer reas nas quais mudanas
no plano so requeridas e iniciar as mudanas correspondentes.
Monitorar e controlar o trabalho do projeto: acompanha, avalia e regula o progresso para atender aos objetivos de desempenho definidos

364 Implantando a Governana de TI 3 edio

no plano de gerenciamento do projeto. O monitoramento inclui relatrios de status, medies de progresso e previses. Os relatrios de
desempenho fornecem informaes sobre o desempenho do projeto
com relao a escopo, cronograma, custo, recursos, qualidade e risco,
que podem ser usadas como entradas para outros processos.
Realizar o controle integrado de mudanas: avalia todas as solicitaes de mudana, aprovao e gerenciamento de mudanas em entregas, ativos de processos organizacionais, documentos e planos de
gerenciamento do projeto.
Verificar o escopo: formaliza a aceitao das entregas terminadas do
projeto.
Controlar o escopo: processo de monitoramento do andamento do
escopo do projeto e do produto e gerenciamento das mudanas feitas
na linha de base do escopo.
Controlar o cronograma: monitora o andamento do projeto para atualizao do seu progresso e gerencia as mudanas feitas na linha de
base do cronograma.
Controlar os custos: monitora o andamento do projeto para atualizao do seu oramento e gerencia as mudanas feitas na linha de base
dos custos.
Realizar o controle da qualidade: monitora e registra os resultados
da execuo das atividades de qualidade para avaliar o desempenho e
recomendar as mudanas necessrias.
Reportar o desempenho: coleta e distribui informaes sobre desempenho, inclusive relatrios de andamento, medies de progresso e previses.
Monitorar e controlar os riscos: implementa planos de respostas aos
riscos, acompanha os riscos identificados, monitora os riscos residuais,
identifica novos riscos e avalia o processo de risco durante todo o projeto.
Administrar as aquisies: gerencia os relacionamentos das aquisies
e monitora o desempenho dos contratos, fazendo mudanas e correes quando necessrio.
9.1.3.2.5 Grupo de processos de encerramento
Consiste nos processos que finalizam todas as atividades por todos os grupos de processo de gerenciamento, para completar a formalizao do projeto
ou da fase.

Modelos para Gerenciamento de Projetos 365

Encerrar o projeto ou fase: finaliza todas as atividades de todos os


grupos de processos de gerenciamento para terminar formalmente o
projeto ou a fase.
Encerrar as aquisies: finaliza cada aquisio do projeto.

9.1.4 Aplicabilidade

do modelo

O corpo de conhecimento em gerenciamento de projetos pode ser aplicado em projetos de qualquer natureza, inclusive para qualquer tipo de projeto
de tecnologia da informao, que nosso interesse aqui.
A nfase do modelo sobre a gesto de projetos e no sobre a engenharia
de desenvolvimento do produto resultante do projeto. Por exemplo, podemos
utilizar o modelo para a gesto dos projetos de software e sistemas, mas no
para o processo metodolgico do desenvolvimento do software.
O PMBOK, para ser utilizado de forma consistente em uma organizao de
TI, necessita de adaptaes em funo dos tipos, portes e riscos dos projetos.
Alm do mais, deve ser estabelecido um processo de gerenciamento de projetos
que interligue, de forma lgica e coerente, as boas prticas entre si. Adicionalmente, formulrios especficos devem ser elaborados para o uso do processo.
O modelo tambm pode ser aplicado em ferramentas de gerenciamento de
projetos existentes no mercado, sendo que algumas ferramentas podem apoiar
total ou parcialmente as boas prticas do modelo.
Como toda inovao, a implantao do gerenciamento de projetos na organizao tambm no uma tarefa fcil. Necessita de forte comprometimento das lideranas da organizao e dos executivos e gerentes de TI.
Nossa experincia na implantao de escritrio de projetos e de metodologias e processos de gerenciamento de projetos tem demonstrado que h fortes
resistncias, tanto do pessoal de TI como do pessoal de negcios, para adotar
novas formas de gerenciar projetos. Geralmente no so processos sustentveis. O padro, a metodologia, etc. podem at existir, mas no so seguidos
de forma consistente.

366 Implantando a Governana de TI 3 edio

9.1.5 Benefcios

do modelo

De acordo com uma pesquisa realizada em 2003 pelo Center for Business
Practices (2003) em organizaes de variados portes, os seguintes benefcios
foram obtidos com a implantao da gesto de projetos:
38,6% foi a melhoria na estimativa de prazo.
33% foi a melhoria na estimativa de esforo e de custo.
38% foi a melhoria na satisfao dos clientes.
37% foi a melhoria no alinhamento dos projetos com as estratgias
do negcio.
22% foi a melhoria no time-to-market.
32% foi a melhoria na qualidade.
32,5% foi a melhoria na entrega dos projetos dentro do oramento.
26% foi a melhoria na utilizao das horas de trabalho.
32% foi a melhoria no desempenho do prazo.
23% foi a melhoria na produtividade do staff do projeto.
23% foi a melhoria no tempo de resposta.
38% foi a melhoria na estimativa do prazo.
33% foi a melhoria nas estimativas de custo.
13% foi a melhoria na estimativa de defeitos.
O ROI total observado foi de 28%.

9.1.6 Certificaes

relacionadas

O Project Management Institute mantm duas certificaes profissionais relativas a gerenciamento de projetos:
O Project Management Professional (ou PMP, como mais conhecido), voltado para gerentes de projetos.
O Certified Associate in Project Management (ou CAPM), projetado
para gerentes de projetos iniciantes e para profissionais que participam de projetos, mas sem responsabilidade pelo gerenciamento.

Modelos para Gerenciamento de Projetos 367

Cabe atentar para o fato de que o PMI no certifica a organizao, somente


profissionais.

9.2 Padro

para

9.2.1 Histrico

Gesto

de

Portflio

do modelo

Este padro nasceu da necessidade de prover as organizaes de instrumentos que lhe possibilitem a ligao da estratgia de negcio com a sua realizao
e faz parte de um processo de maturidade organizacional, em relao ao campo da gesto de projetos.
Em 2003, foi identificada a necessidade de criao de um padro para
Portflio de Projetos, juntamente com o de Programas.
Neste mesmo ano, foi formada equipe responsvel por desenvolver o novo
padro. Entre maio e julho de 2005, o padro foi publicado e mantido como
Exposure Draft para colher sugestes da comunidade mundial de gesto de
projetos, recebendo cerca de 455 comentrios e sugestes (mais da metade
foi aprovada e incorporada). Em outubro de 2005, o padro foi submetido
aprovao pela Equipe de Padres do PMI.
Participaram como voluntrios na realizao do padro 416 profissionais,
membros do PMI, representando 36 pases. Em 2006, o padro foi publicado
e entregue comunidade internacional. Agora j se encontra em sua segunda
edio (publicada em 2008), alinhada com a ltima verso do PMBOK.

9.2.2 Objetivos

do modelo

O objetivo do modelo descrever melhores prticas, reconhecidas genericamente, associadas ao gerenciamento do portflio. Genericamente reconhecidas significa que o conhecimento e as prticas descritas so aplicveis,
na maior parte do tempo, na maioria dos portflios, sendo que h um grande
consenso sobre a sua utilidade e valor.
Sua aplicao intencionada para qualquer tipo de organizao (privadas,
terceiro setor e governamentais).

368 Implantando a Governana de TI 3 edio

9.2.3 Estrutura

do modelo

9.2.3.1 Conceitos em Gesto de Portflio


De acordo com o padro, Gesto de Portflio : uma coleo de projetos
e/ou programas e outros trabalhos que so agrupados para facilitar a gesto
efetiva do trabalho para atender os objetivos estratgicos do negcio. A figura
9.3 mostra este conceito.

Figura 9.3 Portflio, programas e projetos viso geral


adaptado de PMI (2008b)

Outras caractersticas do portflio so:


Compreende iniciativas atuais e futuras.
No temporrio como projetos e programas.
A organizao pode ter vrios portflios (como Portflio de TI, para
uma rea especfica).
Em determinado momento, o portflio reflete os objetivos estratgicos da organizao.
Compreende os trabalhos que tm que ser feitos e no os que devem
ser feitos.

O gerenciamento do portflio a gesto coordenada dos componentes do


portflio para atingir os objetivos organizacionais especficos.

Modelos para Gerenciamento de Projetos 369

No contexto organizacional, o portflio de projetos o que faz a ligao da estratgia da organizao com a operao. A figura 9.4 mostra esta
ligao.

Figura 9.4 O contexto organizacional do gerenciamento do Portflio


Adaptado de PMI (2008b)

370 Implantando a Governana de TI 3 edio

9.2.3.2 Viso geral do modelo


O padro, analogamente ao PMBOK, especifica grupos de processos e
reas de conhecimento. Os grupos de processos so:
Grupo de processos de alinhamento: assegura a disponibilidade de
informaes relacionadas s metas estratgicas as quais o portflio
ter que apoiar, assim como regras operacionais para avaliar componentes e a construo do portflio.
Grupo de processos de monitoramento e controle: conduz atividades
necessrias para assegurar que o portflio, como um todo, est sendo
desempenhado para atingir mtricas predeterminadas pela organizao. (mtricas como ROI Return on Investments, NPV Net Present
Value etc.).

As reas de conhecimento so:


Governana do Portflio: compreende processos para selecionar e
financiar os investimentos, monitorar e controlar o portflio de investimentos, comunicar decises sobre o portflio de investimentos
e seus componentes e assegurar que o portflio continue com o seu
alinhamento com os objetivos estratgicos.
Gerenciamento do Risco do Portflio: o risco do portflio um conjunto de eventos ou condies que, se ocorrerem, tero um ou mais
efeitos, tanto negativos como positivos, em pelo menos um dos objetivos estratgicos que o portflio apoia. Um risco pode ter uma ou
mais causas que, se ocorrerem, traro efeitos que impactaro em um
ou mais critrios de sucesso do portflio.

A Tabela 9.2 apresenta o relacionamento entre as reas de conhecimento e


os processos de gerenciamento do portflio.

Modelos para Gerenciamento de Projetos 371

Grupos de Processo de Gerenciamento do Portflio


reas de Conhecimento

Grupo de Processos de
Alinhamento

Grupo de Processos de
Monitoramento e Controle

Governana do Portflio

4.1 Identificar componentes

4.9 Rever e comunicar o


desempenho do portflio

4.2 Categorizar componentes

4.10 Monitorar as mudanas na


estratgia dos negcios

4.3 Avaliar componentes

4.7 Comunicar o ajuste no portflio

4.4 Selecionar componentes


4.5 Priorizar componentes
4.6 Balancear o portflio
4.8 Autorizar componentes
Gerenciamento do Risco
do Portflio

5.1 Identificar riscos do portflio

5.4 Monitorar e controlar os riscos


do portflio

5.2 Analisar os riscos do portflio


5.3 Desenvolver as respostas aos
riscos do portflio
Tabela 9.2 Mapeamento dos grupos de processos, processos e reas de conhecimento
Adaptado de PMI (2008b)

A Figura 9.5 apresenta a viso dos grupos de processos de Gerenciamento


de Portflio.

9.2.3.3 Processos de alinhamento


Os processos deste grupo devem garantir o alinhamento dos projetos e programas aos objetivos estratgicos da organizao. De acordo com o padro,
o alinhamento deve ser realizado durante o planejamento anual da empresa.
Identificar componentes: cria uma lista atualizada, com informaes
suficientes, sobre componentes (projetos e iniciativas) novos e existentes que sero gerenciados pelo portflio.
Categorizao de componentes: associa os componentes identificados a
categorias relevantes do negcio usando um conjunto de filtros e critrios para a subsequente avaliao, seleo, priorizao e balanceamento.
A equipe de gerenciamento do portflio define as categorias com base

372 Implantando a Governana de TI 3 edio

no plano estratgico. Os componentes de um determinado portflio


tm metas comuns e podem ser mensurados da mesma independente
de sua origem na organizao. A categorizao dos componentes permite que a organizao faa o balanceamento dos seus investimentos e
os riscos entre todas as categorias e objetivos estratgicos.
CONTEXTO DOS PROCESSOS DE PLANEJAMENTO ESTRATGICO E DE NEGCIOS

GRUPO DE PROCESSOS
DE ALINHAMENTO
4.1 - Identificar componentes

GRUPO DE PROCESSOS
DE MONITORAMENTO E
CONTROLE

4.2 - Categorizar componentes


4.3 - Avaliar componentes
4.4 - Selecionar componentes
5.1 - Identificar riscos do
portflio
5.2 - Analisar riscos do portflio
4.5 - Priorizar componentes

5.4 - Monitorar e controlar os


riscos do portflio
4.9 - Rever e comunicar o
desempenho do portflio
4.10 - Monitorar as mudanas
na estratgia de negcios

5.3 - Desenvolver respostas aos


riscos do portflio
4.6 - Balancear o portflio
4.7 - Comunicar ajustes no
portflio
4.8 - Autorizar componentes

Figura 9.5 Grupos de processos de gerenciamento do Portflio


Adaptado de PMI (2008b)

Avaliar componentes: obtm todas as informaes pertinentes para


avaliar os componentes com o propsito de compar-los para facilitar o processo de seleo60. A equipe de gerenciamento do portflio
obtm e sumariza informaes de cada componente. As informaes
podem ser qualitativas e quantitativas e vm de vrias fontes dentro
da organizao. Repete o processo de obteno de informao at que
o nvel requerido de completude seja atendido. Grficos, quadros,
documentos e recomendaes so produzidos para apoiar o processo
de seleo. Por sua definio, o gerenciamento do portflio somente
60 Em metodologias de deciso como a AHP, por exemplo (j citada anteriormente), antes do processo de
seleo e da priorizao propriamente dita construda a rvore dos critrios de deciso. Posteriormente
so estabelecidos pesos e critrios numricos para a rvore de deciso, que so aplicados no momento
da priorizao propriamente dita.

Modelos para Gerenciamento de Projetos 373

pode selecionar projetos alinhados com a estratgia do negcio e que


atendem a certos critrios.
Selecionar componentes: produz um conjunto de componentes da
organizao baseado nas recomendaes da avaliao e conforme os
critrios de seleo. O processo de seleo produz uma lista de componentes com as informaes necessrias para o processo de priorizao.
Identificar os riscos do portflio: determina quais riscos podem afetar
o portflio e documentar suas caractersticas. Um portflio compreende diferentes categorias de componentes, de forma que cada categoria pode ter um impacto diferente no gerenciamento do risco.
Analisar riscos do portflio: inclui mtodos para a priorizao dos
riscos identificados do portflio. A organizao pode melhorar o desempenho do portflio focando nos riscos mais prioritrios. A anlise
de riscos determina a prioridade usando a sua probabilidade de ocorrncia, seu impacto nos objetivos do portflio, tais como melhorias
no negcio, retorno do investimento, assim como outros fatores. A
anlise considera tambm a tolerncia de riscos da organizao e das
partes interessadas.
Priorizar os componentes: o propsito classificar os componentes,
por ordem de prioridade, dentro de cada categoria (ex.: inovao,
reduo de custos, crescimento, manuteno e operaes), horizonte
temporal do investimento (curto, mdio e longo prazo), riscos versus
retorno do portflio e foco organizacional (tais como clientes, fornecedores), de acordo com os critrios estabelecidos.
Desenvolver respostas aos riscos do portflio: desenvolve opes e
determina aes para aproveitar oportunidades e reduzir ameaas aos
objetivos do portflio. Inclui a identificao e a atribuio de responsabilidade ao dono do risco para cada resposta ao risco acordada. O
plano de respostas aos riscos trata os riscos conforme a sua prioridade,
colocando recursos e atividades no oramento, no cronograma e no
plano de gerenciamento do portflio.
Balancear o portflio: o propsito deste processo o mix de componentes do portflio com o maior potencial para apoiar as iniciativas
estratgicas da organizao. O balanceamento do portflio apoia alguns dos principais benefcios do gerenciamento do portflio, tais
como a habilidade para planejar e alocar recursos (tais como financeiros, ativos fsicos, ativos de TI e recursos humanos) de acordo com

374 Implantando a Governana de TI 3 edio

a direo estratgica e a possibilidade para maximizar o retorno do


portflio, de acordo com o perfil de risco da organizao.
Comunicar ajustes no portflio: a equipe de gerenciamento do portflio comunica mudanas no portflio para as partes interessadas para
alinhar as expectativas e fornecer um bom entendimento do impacto
da mudana. Baseado em feedback, a organizao pode avaliar o impacto das mudanas no desempenho das metas do portflio e nas estratgias do negcio. O propsito de comunicar os ajustes no portflio
satisfazer as necessidades das partes interessadas, resolver questes e
assegurar que o portflio esteja sob controle para atingir as metas.
Autorizar componentes: o propsito deste processo alocar, formalmente, os recursos requeridos para executar os componentes selecionados e comunicar formalmente as decises de balanceamento.

9.2.3.4 Processos de monitoramento e controle


Este grupo de processos conduz as atividades necessrias para assegurar
que o portflio como um todo est sendo executado conforme as mtricas
determinadas pela organizao.
Monitorar e controlar os riscos do portflio: este processo aplica tcnicas, tais como varincia e anlises de tendncias, que requerem o uso de
dados de desempenho gerados durante a execuo dos componentes.
Outros propsitos do processo incluem determinar se as premissas do
portflio esto sendo mantidas, se os riscos mudaram, se as polticas de
gerenciamento de riscos esto sendo seguidas e se as reservas de contingncia de custo e prazos devem ser alteradas em funo dos riscos.
Rever e comunicar o desempenho do portflio: o propsito deste
processo obter e comunicar os indicadores de desempenho e rever
o portflio conforme ciclos dentro de uma frequncia predeterminada pela organizao. Todos os componentes so revisados. Outro
propsito assegurar que, no portflio, s existam componentes que
contribuem para o alcance dos objetivos estratgicos da organizao.
Para desempenhar esta tarefa, a equipe de gerenciamento do portflio
tem que adicionar, realizar nova priorizao e excluir componentes
que no estejam alinhados com as estratgias.
Monitorar mudanas na estratgia de negcios: processo que permite
ao portflio responder a mudanas na estratgia da organizao. Mu-

Modelos para Gerenciamento de Projetos 375

danas incrementais na estratgia geralmente no requerem mudanas no portflio. Entretanto, mudanas significativas no ambiente de
negcio frequentemente resultam em um novo direcionamento estratgico impactando o portflio neste caso, impacto na categorizao
e nas prioridades, requerendo um novo balanceamento.

9.2.4. Aplicabilidade

do modelo

O padro pode ser aplicado em organizaes que percebem que a realizao da estratgia do negcio deve ser implementada a partir de iniciativas
representadas por programas e projetos.
Um aspecto importante do conceito que a implantao das iniciativas
que vo concretizar a estratgia da empresa ou instituio deve maximizar o
retorno esperado, seja este financeiro, social e/ou de outras naturezas.
Podemos empregar este conceito para TI, no contexto do Portflio de TI,
que no deixa de ser um portflio de investimentos e que tambm tem projetos e programas.
Acreditamos que o gerenciamento de portflio o principal instrumento
para o alinhamento dos projetos e das iniciativas s estratgias do negcio e
que sua implantao deve ser perseguida por toda organizao, eliminando
aquilo que no agrega valor.
Entretanto, um bom desempenho do portflio depende de uma boa gesto
dos projetos e programas.

9.2.5 Benefcios

do modelo

O que significa no ter um Portflio de Projetos?


Muitas demandas sem alinhamento com o negcio.
Aumento do custo da operao, pois toda demanda tratada por TI,
independentemente de sua importncia para o negcio.
Os bons projetos podem morrer de fome, sem recursos.
Projetos errados so selecionados.
Muitos projetos cancelados, pois se descobre muito mais tarde que
no eram prioritrios.
Os novos produtos podem no estar dando suporte estratgia etc.

376 Implantando a Governana de TI 3 edio

Acreditamos que ficam bvios para o leitor a importncia e os benefcios


de ter um Portflio de Projetos.
A experincia dos autores em suas observaes em diversas organizaes
empresariais e outras instituies governamentais atesta que um dos grandes
problemas de TI a gesto da demanda de servios, principalmente para sistemas. O Portflio de TI resolveria grande parte deste problema, que atormenta
todos os CIOs.

9.2.6 Certificaes

relacionadas

Ainda no h certificaes especficas relacionadas Gesto de Portflio


de Projetos.

9.3 Padro

para

9.3.1 Histrico

Gesto

de

Programas

do modelo

Este padro nasceu da necessidade de prover as organizaes de instrumentos que lhe possibilitem a gesto integrada de projetos cujos benefcios sejam
correlacionados.
Em 2003, foi identificada a necessidade de criao de um padro para Gesto de Programas, juntamente com o de Gesto de Portflio, e foi formado o
grupo para o seu desenvolvimento. Este padro comeou a ser desenvolvido
em 2004 e seu primeiro draft foi finalizado neste mesmo ano.
Entre maro e agosto de 2005, o padro foi publicado e mantido como
Exposure Draft para colher sugestes da comunidade mundial de gesto de
projetos, recebendo cerca de 465 comentrios e sugestes (mais da metade foi
aprovada e incorporada). Em dezembro de 2005, o padro foi submetido
aprovao da Equipe de Padres do PMI.
Participaram como voluntrios na realizao do padro 416 profissionais,
membros do PMI, representando 36 pases. Em 2006, o padro foi publicado
e entregue comunidade internacional.
Em 2008, foi publicada a segunda edio deste padro.

Modelos para Gerenciamento de Projetos 377

9.3.2 Objetivos

do modelo

Este padro uma ligao essencial para o entendimento sobre como direcionar a estratgia da organizao por potencializar as capacidades de entrega
de componentes inter-relacionados. Tambm fornece informaes claras, completas, relevantes e reconhecidas de forma geral sobre o gerenciamento de programas, como boas prticas para a maioria dos programas, a qualquer tempo.
Reconhecidas de forma geral significa que o conhecimento e as prticas
descritas so aplicveis, na maior parte do tempo, na maioria dos programas,
sendo que h um grande consenso sobre a sua utilidade e o seu valor. O termo
boas prticas significa que h uma concordncia geral de que a aplicao das
habilidades, ferramentas e tcnicas ali mencionadas pode auxiliar nas chances
de sucesso de vrios tipos de projetos. No significa que so aplicadas uniformemente em todos os tipos de projetos. A organizao ou a equipe do projeto
responsvel por determinar o que apropriado para cada tipo de projeto.

9.3.3 Estrutura

do modelo

9.3.3.1 Conceituao da Gesto de Programas


De acordo com o padro, um programa : um grupo de projetos gerenciados de forma coordenada para obter benefcios que no estariam disponveis
se os projetos fossem gerenciados individualmente.
Gesto de Programa, ainda conforme o padro, : a gesto centralizada e
coordenada de um programa para atingir os seus benefcios e objetivos estratgicos. Envolve o alinhamento de vrios projetos para alcanar os objetivos do
programa e permitir a otimizao ou integrao de custos, prazos e esforo.
A figura 9.6 mostra o relacionamento de programas com o portflio, os
projetos e o ciclo de vida de programas.

378 Implantando a Governana de TI 3 edio

Figura 9.6 Interao de programas com o portflio e os projetos


Adaptado de PMI (2008c)

A Gesto de Programas est focada na gesto dos benefcios a serem atingidos pelo programa, a partir da contribuio individual de cada projeto, como
mostra a Figura 9.7.

Modelos para Gerenciamento de Projetos 379

Figura 9.7 Gesto dos benefcios do programa


Adaptado de PMI (2008c)

9.3.3.2 Viso geral do modelo


O padro apresentado em um grupamento de processos de gerenciamento de programas e em reas de conhecimento.
Os processos do padro de Gesto de Programas so agrupados de forma
similar ao de Gesto de Projetos (PMBOK), ou seja: grupo de processos de
iniciao, planejamento, execuo, monitoramento e controle e encerramento.
As reas de conhecimento so: gerenciamento integrado do programa, gerenciamento do escopo do programa, gerenciamento do tempo do programa,
gerenciamento do custo do programa, gerenciamento da qualidade do programa, gerenciamento dos recursos humanos do programa, gerenciamento das
comunicaes do programa, gerenciamento do risco do programa, gerenciamento das aquisies do programa, gerenciamento financeiro do programa,
gerenciamento dos stakeholders do programa e gerenciamento da governana
do programa.
A Tabela 9.3 apresenta o relacionamento entre as reas de conhecimento e
os grupos de processos.
Voc poder observar na tabela que o padro estabelece que as reas de
conhecimento que abordam o gerenciamento do custo do programa, o geren-

380 Implantando a Governana de TI 3 edio

ciamento da qualidade do programa e o gerenciamento dos recursos humanos


do programa devem ser tratadas no nvel de cada projeto e iniciativa que est
sob o programa.
reas de
Conhecimento

Grupos de Processos de Gerenciamento de Programas


Iniciao

Planejamento

Execuo

Monitoramento
e Controle

Encerramento

4. Gerenciamento 4.1 Iniciar 4.2 Desenvolver


da integrao do o programa o plano de
programa
gerenciamento do
programa
4.3 Desenvolver
a infraestrutura
do programa

4.4 Dirigir
e gerenciar a
execuo do
programa
4.5 Gerenciar
os recursos do
programa

4.6 Monitorar 4.8 Encerrar o


e controlar o
programa
desempenho do
programa
4.7 Gerenciar
os problemas do
programa

5. Gerenciamento
do escopo do
programa

5.1 Planejar
o escopo do
programa
5.2 Definir
metas e objetivos
do programa
5.3 Desenvolver
os requisitos do
programa
5.4 Desenvolver
a arquitetura do
programa
5.5 Desenvolver
a EAP do
programa

5.6 Gerenciar
a arquitetura do
programa
5.7
Gerenciar as
interfaces dos
componentes

5.8 Monitorar
e controlar
o escopo do
programa

6. Gerenciamento
do tempo do
projeto

6.1 Desenvolver
o cronograma do
programa

6.2 Monitorar
e controlar o
cronograma do
programa

7. Gerenciamento
do custo do
programa
8. Gerenciamento
da qualidade do De acordo com o padro, estas reas de conhecimento so tratadas em nvel de cada
programa
componente (projetos e iniciativas)
9. Gerenciamento
dos recursos
humanos do
programa

Modelos para Gerenciamento de Projetos 381

reas de
Conhecimento

Grupos de Processos de Gerenciamento de Programas


Iniciao

Planejamento

Execuo

Monitoramento
e Controle

10.
Gerenciamento
das
comunicaes
do programa

10.1 Planejar as 10.2 Distribuir 10.3


comunicaes
as informaes Comunicar o
desempenho do
programa

11.
Gerenciamento
dos riscos do
programa

11.1 Planejar
os riscos do
programa
11.2 Identificar
os riscos do
programa
11.3 Analisar
os riscos do
programa
11.4 Planejar
as respostas
aos riscos do
programa

12.
Gerenciamento
das aquisies
do programa

12.1 Planejar
as aquisies do
programa

13.
Gerenciamento
das finanas do
programa

14.
Gerenciamento
dos stakeholders
do programa

13.1
Estabelecer
o
framework
financeiro
do
programa

13.2
Desenvolver o
plano financeiro
do programa
13.3 Estimar
os custos do
programa
13.4 Elaborar
o oramento
dos custos do
programa
14.1
Planejar o
gerenciamento
dos stakeholders
do programa
14.2 Identificar
os stakeholders
do programa

Encerramento

11.5 Monitorar
e controlar
os riscos do
programa

12.2 Conduzir 12.3


as aquisies Administrar as
do programa
aquisies do
programa
13.5 Monitorar
e controlar as
finanas do
programa

14.3 Engajar 14.4


os stakeholders Gerenciar as
do programa
expectativas dos
stakeholders do
programa

12.4 Encerrar
as aquisies do
programa

382 Implantando a Governana de TI 3 edio

reas de
Conhecimento
15. Governana
do programa

Grupos de Processos de Gerenciamento de Programas


Iniciao

Planejamento
15.1 Planejar
e estabelecer
a estrutura de
governana do
programa
15.2 Planejar
auditorias
15.3 Planejar
a qualidade do
programa

Execuo
15.4 Aprovar
a iniciao de
componentes

Monitoramento
e Controle

Encerramento

15.5 Prover
15.8 Aprovar
superviso da
a transio dos
governana
componentes
15.6 Gerenciar
os benefcios do
programa
15.7 Monitorar
e controlar as
mudanas no
programa

Tabela 9.3 Mapeamento dos grupos de processos, processos e reas de conhecimento de programas
Adaptado de PMI (2008c)

9.3.3.3 Processos de iniciao


O incio de um programa comea como resultado de um plano estratgico para atender uma iniciativa no portflio. H uma srie de atividades que
so desenvolvidas antes da iniciao do programa, resultando em desenvolvimento de conceitos de produtos e servios, requisitos iniciais e orientaes
para definir limites oramentrios. A iniciao do programa tambm pode
compreender o agrupamento de projetos propostos ou existentes, com base
em critrios especficos ou em funo dos benefcios. O incio do programa
tambm requer a autorizao formal do programa por parte dos stakeholders,
assim como estimativas iniciais, ainda incompletas, de esforo e custos. Tambm pode ocorrer a necessidade de realizar estudos de viabilidade.
Iniciar o programa: frequentemente, o incio do programa um conceito organizacional de um estado futuro do ambiente organizacional. Inicialmente este conceito pode estar incompleto, e o propsito da iniciao do programa fornecer um processo que auxilia
na definio das expectativas do programa. A iniciao do programa
assegura que a autorizao e a iniciao do programa esto ligadas s
operaes vigentes da organizao ou aos seus objetivos estratgicos.
Estabelecer o framework financeiro do programa: este processo identifica o ambiente financeiro para o programa, assim como os fundos
disponveis para os pontos de controle do programa. O estabeleci-

Modelos para Gerenciamento de Projetos 383

mento do framework financeiro do programa tem que ocorrer logo no


incio do programa e feito conjuntamente com a organizao que
financia o programa. Em virtude do volume de investimento envolvido no programa, a organizao que financia faz vrias recomendaes
ao gerenciamento do programa e para as decises feitas pelos lderes
tcnicos e pelo gerente do programa. O ambiente financeiro do programa depende do tipo de programa e da sua forma de financiamento
(se est sendo financiado inteiramente por uma organizao ou inteiramente financiado por uma organizao externa).

9.3.3.4 Processos de planejamento


Este grupo compreende os processos necessrios para criar a fundao do
programa e posicion-lo para a sua execuo bem-sucedida. Esses processos
envolvem a formalizao do escopo do trabalho a ser executado pelo programa e a identificao dos entregveis que satisfaro as metas e os benefcios do
programa.
Desenvolver o plano de gesto do programa: consolida planos auxiliares como o de gesto de benefcios, comunicao, custo, contratos,
interfaces, escopo, compras, qualidade, recursos, riscos etc. O produto deste processo o Plano de Gerenciamento do Programa.
Planejar o escopo do programa: o objetivo deste processo desenvolver uma declarao de escopo detalhada. As suas sadas principais
so a declarao do escopo do programa e o plano de gerenciamento
do escopo. A declarao do escopo define os limites do programa. O
plano de gerenciamento do escopo determina como o escopo ser
gerenciado ao longo da execuo do programa.
Definir as metas e objetivos do programa: estabelece as metas e os objetivos gerais do programa, assim como quais entregas devero ser feitas.
Planejar e estabelecer a estrutura de governana do programa: identifica as metas da governana, define a estrutura da governana, papis
e responsabilidades para os elementos da governana e assegura o alinhamento com os objetivos da governana.
Identificar os stakeholders do programa: trata da identificao formal
dos stakeholders do programa e cria o seu registro. O registro serve
como a entrada principal para o processo do plano de gerenciamento

384 Implantando a Governana de TI 3 edio

dos stakeholders do programa, bem como para distribuir relatrios do


programa e outros tipos de comunicao.
Desenvolver o plano de gerenciamento do programa: consolida as sadas de outros processos de planejamento, incluindo o planejamento
estratgico, e cria um conjunto consistente e coerente de documentos
que possam ser usados para guiar a execuo e o controle do programa.
Desenvolver a infraestrutura do programa: auxilia o gerente do programa a definir e estabelecer a estrutura organizacional do programa
na qual o trabalho ser executado, juntamente com a infraestrutura
tcnica que ir apoiar o trabalho.
Desenvolver os requisitos do programa: facilita o desenvolvimento e a
identificao formal dos requisitos e especificaes do programa para
atender aos seus objetivos e metas.
Desenvolver a arquitetura do programa: define a estrutura dos componentes do programa e identifica seus inter-relacionamentos.
Desenvolver a EAP do programa: produz a estrutura analtica do programa, que comunica, na perspectiva do programa, um entendimento claro e declaraes de objetivos tcnicos e os produtos finais ou
resultados do trabalho a ser executado.
Desenvolver o cronograma do programa: determina a ordem de tempo de cada componente necessrio para produzir os produtos do programa que devem ser executados, as estimativas de prazo para cada
componente, a identificao de pontos de controle significantes durante a execuo do programa.
Desenvolver o plano financeiro do programa: facilita o desenvolvimento do oramento do programa e o cronograma de pagamentos
dos componente.
Estimar os custos do programa: agrega todos os custos do programa
a partir de cada componente. Inclui todas as atividades do programa,
as atividades dos projetos e as atividades no relacionadas ao programa. As estimativas so apresentadas para aprovao pelos tomadores
de deciso e para o seu financiamento.
Elaborar o oramento dos custos do programa: estabelece o plano
financeiro do programa baseado nos oramentos de cada projeto, em
atividades no relacionadas a projetos ou em outras restries financeiras que impem os limites monetrios.

Modelos para Gerenciamento de Projetos 385

Planejar as aquisies do programa: determina o que adquirir e quando, valida os requisitos dos produtos a serem adquiridos e desenvolve
as estratgias de aquisio.
Planejar o gerenciamento dos stakeholders do programa: cobre o planejamento sobre como os stakeholders sero identificados, analisados,
engajados e gerenciados atravs do ciclo de vida do programa.
Planejar as comunicaes do programa: determina as informaes e
comunicaes necessrias para os stakeholders do programa, em termos de: quem necessita da informao, quando necessita, como as
informaes sero fornecidas e por quem. Requisitos de comunicao
tm que ser considerados pelos projetos, a fim de facilitar a captura da
informao a partir dos projetos.
Planejar auditorias: assegura que o programa esteja preparado tanto
para auditorias internas como externas das finanas, processos e documentos e tambm para demonstrar compliance com os processos de
gerenciamento do programa aprovados.
Planejar a qualidade do programa: identifica os padres que so relevantes para o programa e especifica como satisfaz-los.
Planejar o gerenciamento de riscos do programa: determina como abordar, planejar e analisar as atividades de riscos do programa, incluindo os
riscos identificados nos componentes do programa. Este processo inclui estratgias, ferramentas, mtodos, revises e processos de avaliao,
obteno de mtricas, padres de parmetros de avaliao e requisitos
de comunicao a serem usados por cada projeto do programa.
Identificar os riscos do programa: determina quais riscos podem afetar o programa e seu componente. Tambm documenta as caractersticas dos riscos.
Analisar os riscos do programa: prioriza os riscos para anlise ou ao
posterior avaliando sua probabilidade de ocorrncia e impacto. Este
processo analisa os riscos qualitativa e quantitativamente para determinar seu efeito sobre o programa, seus componentes e o gerenciamento da interdependncia de seus componentes.
Planejar as respostas aos riscos do programa: serve como uma ferramenta de tomada de deciso para o desenvolvimento de opes e
aes visando potencializar oportunidades e para reduzir as ameaas
aos objetivos do programa e realizao de seus benefcios.

386 Implantando a Governana de TI 3 edio

9.3.3.5 Processos de execuo


Os processos de execuo compreendem aqueles que dirigem o trabalho
do programa de acordo com o seu Plano de Gerenciamento e seus planos
auxiliares. Esses processos asseguram que o gerenciamento dos benefcios, dos
stakeholders e a governana do programa sejam executados de acordo com
polticas e planos estabelecidos.
Dirigir e gerenciar a execuo do programa: entrega os benefcios
esperados do programa, focando nos projetos que esto em progresso
e integrando os outros processos de execuo. Seu propsito produzir as entregas cumulativas e outros produtos do programa. Facilita
tambm a resoluo de problemas entre os projetos, considerando os
riscos e as restries existentes.
Gerenciar os recursos do programa: permite o ajustamento e a realocao de recursos para atender as necessidades do programa como um
todo. Solicitaes de mudana aprovadas pelo corpo de governana
so gerenciadas por este processo.
Gerenciar a arquitetura do programa: gerencia o relacionamento entre todos os componentes do programa para assegurar que a arquitetura do programa seja mantida consistente por todos os entregveis.
Gerenciar as interfaces dos componentes: mantm a integridade da
entrega do programa e gerencia os inter-relacionamentos entre os
componentes do programa.
Engajar os stakeholders do programa: auxilia a equipe de gerenciamento do programa a assegurar que os stakeholders corretos estejam
envolvidos no programa. O envolvimento efetivo dos stakeholders requer o completo entendimento de suas necessidades e expectativas e
do impacto potencial nos objetivos do programa. Isto envolve a interao com os stakeholders para comunicar os objetivos estratgicos e o
status, assim como influenciar as expectativas e resolver os conflitos.
Distribuir a informao: fornece informao correta e no tempo requerido para os stakeholders, em formatos e meios teis. Inclui a administrao dos trs principais canais de comunicao: os clientes, os
patrocinadores e o gerenciamento dos componentes.
Conduzir as aquisies do programa: detalha como conduzir as atividades de aquisies do programa. Compreende estratgias, ferra-

Modelos para Gerenciamento de Projetos 387

mentas, mtodos, obteno de mtricas, revises, parmetros de avaliaes padres e requisitos de comunicao a serem usados por cada
componente do programa em relao s suas atividades de aquisio.
Aprovar a iniciao de componentes: fornece a estrutura de tomada
de deciso para a iniciao e a mudana do programa e dos componentes dentro do programa.

9.3.3.6 Processos de monitoramento e controle


No mbito do programa, este grupo de processo envolve a obteno e
consolidao das informaes sobre o seu status e o progresso a partir dos projetos individuais e outros programas de menor nvel. Seus processos tambm
compreendem uma interface com a estrutura de governana do programa
para assegurar que a organizao tenha uma figura clara sobre a entrega de
benefcios atuais e futuros. A comunicao do desempenho tambm apoia
aes corretivas e preventivas, no nvel do programa.
Monitorar e controlar o desempenho do programa: monitora todas
as atividades de todos os grupos de processos de gerenciamento para
assegurar que a execuo do programa ocorra de acordo o plano de
gerenciamento do programa aprovado.
Monitorar e controlar o escopo do programa: controla as mudanas
no escopo do programa.
Monitorar e controlar o cronograma do programa: assegura que o
programa produza suas entregas e solues requeridas no prazo previsto. Inclui o controle das datas de incio e finais reais e dos pontos
de controle de acordo com o cronograma previsto e atualiza o plano.
Monitorar e controlar as finanas do programa: inclui o controle de
mudanas no oramento do programa e compreende a avaliao de
variaes no custo do programa e a conduo de anlises de tendncias para prever problemas mais cedo.
Gerenciar as expectativas dos stakeholders: assegura que as expectativas dos stakeholders sejam identificadas e que eles sejam comunicados
sobre o status do programa.
Monitorar e controlar os riscos do programa: controla os riscos conhecidos do programa, identifica novos riscos, executa os planos de

388 Implantando a Governana de TI 3 edio

respostas aos riscos, avalia sua efetividade na reduo do risco e supervisiona os riscos de cada componente.
Administrar as aquisies do programa: inclui estratgias, ferramentas, mtodos, obteno de mtricas, revises e mecanismos de atualizao, parmetros de avaliaes padres e requisitos para serem usados por cada componente do programa.
Gerenciar os problemas do programa: identifica, controla e encerra
problemas para assegurar que as expectativas dos stakeholders estejam
alinhadas com as entregas e atividades do programa.
Monitorar e controlar mudanas no programa: coordena as mudanas no programa como um todo, compreendendo mudanas no custo, qualidade, prazo e escopo. Este processo ainda aprova ou rejeita
solicitaes de mudana, escala as requisies de acordo com as aladas de aprovao, determina quando as mudanas ocorreram, influencia os fatores que criam as mudanas, assegura que as mudanas
so benficas e esto acordadas entre as partes interessadas e gerencia
como e quando as mudanas aprovadas so aplicadas.
Comunicar o desempenho do programa: consolida os dados de desempenho para fornecer aos stakeholders informaes sobre como os
recursos esto sendo usados para entregar os benefcios do programa. A
comunicao do desempenho agrega informaes de todos os projetos
e atividades, fornecendo o status completo e transparente do programa.
Fornecer a superviso da governana: desenvolve, comunica, implementa, monitora e assegura que polticas, procedimentos e estruturas
organizacionais associadas ao programa sejam empregados.
Gerenciamento dos benefcios do programa: assegura que exista um
conjunto de relatrios ou mtricas comunicadas para o escritrio de
gerenciamento do programa e direcionadas para os stakeholders e patrocinadores, de forma que possam verificar a sade do programa e
tomar aes gerenciais correspondentes.

9.3.3.7 Processos de encerramento


Este grupo de processos formaliza a aceitao de produtos, servios ou
resultados do programa ou do projeto dentro do programa. Contempla os
processos para formalizao do trmino das atividades do programa e do trmino de cada projeto do programa e faz a transferncia dos resultados para a
operao ou tambm o cancelamento, se for o caso.

Modelos para Gerenciamento de Projetos 389

Encerrar o programa: estabelece o trmino formal do programa. O


programa encerrado e seus artefatos so armazenados para futura
referncia.
Aprovar a transio do componente: assegura que o programa completou a transferncia de conhecimentos, habilidades e realizao
dos benefcios para as operaes. Os recursos so realocados para
outros programas e projetos. Os registros do programa so encerrados e arquivados.
Encerrar as aquisies do programa: trata a forma como as atividades
de aquisies sero encerradas. Compreende a reviso do desempenho dos fornecedores e a reconciliao com o oramento alocado. Recebe como insumo os requisitos para que os componentes encerrem
as aquisies e os contratos.

9.3.4 Aplicabilidade

do modelo

Na rea de TI, este modelo pode ser aplicado em situaes como:


Desenvolvimento e implantao do Programa de Governana de TI.
Desenvolvimento de uma nova plataforma de produto para a organizao.
Implantao de uma nova arquitetura de sistemas na organizao.
Implantao dos processos de gerenciamento de servios.
Implantao de um Programa de Segurana da Informao global
para a organizao, etc.

H situaes em que os executivos de TI planejam atingir determinados


objetivos e metas em um perodo de mdio e longo prazo. Neste caso, importante identificar a oportunidades de reconhecer a existncia de um programa.

9.3.5 Benefcios

do modelo

A Gesto de Programas permite a consolidao de projetos que, juntos,


podem fornecer um foco e melhor direcionamento de investimentos para a
organizao de TI.

390 Implantando a Governana de TI 3 edio

Uma viso de programas facilita o planejamento do atendimento aos objetivos de TI atravs da realizao coordenada dos benefcios de cada projeto,
alm de fornecer um norte seguro para os empreendimentos de TI.
Por exemplo, em um empreendimento de Segurana da Informao, existem vrios projetos que ocorrem em tempos diferentes, sendo que um base
para o outro at que os objetivos de gesto de risco da empresa tenham sido
atingidos. Deve-se comear por analisar vulnerabilidades, definir a poltica e
o framework de gerenciamento da segurana da informao e elaborar o planejamento; e continuar com a implantao de projetos de conscientizao, a
estruturao da rea de segurana da informao, a implantao dos controles
e polticas etc. Geralmente um processo que dura de dois a trs anos e, em
algumas situaes, dependendo do porte da organizao, at mais tempo.
Alm disto, com uma viso de programa de longo prazo, fica mais facilitada a tarefa de negociar recursos para os projetos que constituem o programa.
Entretanto, deve haver um forte patrocnio para que o programa seja estruturado e conduzido. No cultura no Brasil esperar por resultados de longo
prazo, principalmente na rea de TI.
Em nvel de Governo, o conceito de programa mais difundido, pois toda
ao governamental baseada em programas de longa durao, como o caso
do PAC, Bolsa Famlia, Fome Zero, etc.

9.3.6 Certificaes

relacionadas

O PMI tem a certificao profissional denominada PgMP ou Program


Management Professional.
O processo similar ao do PMP, porm a elegibilidade bastante pesada.
Para profissionais com diploma de nvel superior, so exigidos quatro anos
(ou 6000 horas) de experincia em gesto de projetos e quatro anos (ou 6000
horas) de experincia em gesto de programas. Para aqueles que s tm diploma de segundo grau, so requeridos quatro anos de experincia em gesto de
projetos e sete anos (ou 10.500 horas) em gesto de programas.
Acreditamos que este certificado um diferencial, na medida em que este
padro for praticado nas organizaes de uma forma geral.

Modelos para Gerenciamento de Projetos 391

9.4 Outros

padres e certificaes

PMI

Alm dos padres citados, o PMI edita vrios outros padres, que na maioria das vezes se tornam padres americanos pela American National Standard
Institute ANSI.
A seguir, fornecemos uma lista desses padres:
Extenso do PMBOK para o Governo: aplicado para projetos no
Governo.
Extenso do PMBOK para Construo: aplicado para projetos de
construo de obras.
Modelo de Maturidade Organizacional em Gesto de Projetos (Organizational Project Management Maturity Model OPM3.): fornece as
ferramentas necessrias para as organizaes medirem sua maturidade
em relao um conjunto de melhores prticas.
Padro de Gesto de Valor (Practice for Earned Value Management):
padro que trata da medio de valor do projeto em termos de custo,
prazo e escopo, usado para fornecer indicadores do status do projeto.
Padro para a Gesto de Configurao do Projeto (Practice for Project
Configuration Management): padro que auxilia os gerentes de projetos
a gerenciar os itens que so gerados ao longo do ciclo de vida do projeto.
Padro para Estrutura Analtica do Trabalho (Practice Standard for
Work Breakdown Structure): Padro para auxiliar na elaborao de
Work Breakdown Structure WBS.
Esquema de Desenvolvimento de Competncias para Gerente de
Projeto (Project Manager Competency Development Framework): padro que auxilia os gerentes de projeto e as organizaes a expandirem as suas competncias em gerenciamento de projetos.
Padro para Gerenciamento de Riscos de Projetos (Practice Standard
for Project Risk Management): fornece um benchmarking para o gerente de projetos que define os aspectos do gerenciamento de riscos de
projetos considerados como boas prticas para a maioria dos projetos.
Padro para Estimativas de Projetos (Practice Standard for Project Estimating): descreve o ciclo de vida da estimativa para o projeto, detalhando os aspectos de recursos, duraes e custos e explica o conceito
de elaborao progressiva na medida em que o projeto evolui.

392 Implantando a Governana de TI 3 edio

Padro para Elaborao do Cronograma (Practice Standard for Scheduling): apresenta ferramentas e informao de que os gerentes de projetos
necessitam para elaborar um cronograma de forma eficiente e eficaz.

Alm das certificaes PMP, CAPM e PgMP, o PMI tem mais duas certificaes: PMI Scheduling Professional (PMI-SP) e PMI Risk Management Professional (PMI-RMP).
Por fim, o PMI est sempre inovando na atualizao permanente dos modelos atuais, assim como no desenvolvimento de novos padres. Para mais
informaes sobre os padres do PMI, ver a pgina www.pmi.org.

9.5 PRINCE2
9.5.1 Histrico

do modelo

A PRINCE foi estabelecida primeiramente em 1989 pelo CCTA (Central


Computer and Telecommunications Agency) do governo britnico.
A metodologia PRINCE foi desenvolvida a partir da PROMPTII, uma
metodologia de gerenciamento de projetos criada pela empresa Simpact Systems Ltda em 1975, a qual foi adotada pelo CCTA em 1979 como padro para
uso por todos os projetos de sistemas de informao do governo. A PRINCE
sucedeu a PROMPTII em 1989 para os projetos do governo britnico.
O CCTA, agora incorporado ao Office of Government Commerce, continuou
o desenvolvimento da metodologia e a PRINCE2 foi lanada em 1996, em resposta aos requisitos dos usurios para melhorar a orientao de gesto de projetos para todos os tipos de projeto, alm dos projetos de sistemas de informao.
Em 2002 foi lanada a terceira edio da metodologia e em 2005, a quarta
edio.
Atualmente encontra-se em sua quinta edio, publicada em 2009.
Da mesma forma que o PMBOK, a PRINCE2 tambm possui o seu modelo de maturidade. A metodologia PRINCE2 baseada nas experincias
com os projetos, gerentes de projetos e equipes de projeto que contriburam
com os seus erros, acertos e sucessos.
A metodologia atualmente , de fato, o padro usado pelo governo britnico,
sendo tambm reconhecida e usada no setor privado, principalmente na Europa.

Modelos para Gerenciamento de Projetos 393

9.5.2 Objetivos

do modelo

O objetivo da PRINCE2 fornecer um mtodo que:


Possa ser repetido por todos os projetos.
Possa ser ensinado.
Assegure que os membros dos projetos saibam o que esperar deles,
onde, como e quando.
Previna mais cedo contra problemas no projeto.
Permita ser proativo, no reativo, mas capaz de acomodar mudanas
repentinas, oriundas de eventos inesperados.
Fornea um guia consistente para os gerentes de projetos e demais
interessados, facilitando o planejamento, o controle e a comunicao
no mbito do projeto.

9.5.3 Estrutura

do modelo

A PRINCE2, de acordo com OGC (2009), uma abordagem baseada em


processos para o gerenciamento de projetos, fornecendo um mtodo customizvel e escalvel para o gerenciamento para todos os tipos de projetos.
A verso atual foi evoluda e apresenta as seguintes mudanas em relao
verso de 2005:
Na verso de 2009, a PRINCE2 apresenta dois livros em vez de um:
Managing Successful Projects Using PRINCE2 e Directing Successful
Projects Using PRINCE2. Este novo manual dirigido para executivos
de Comits de Projetos.
O modelo de processos da metodologia tambm foi aperfeioado.
Captulos foram introduzidos para explicar os princpios da metodologia e como customiz-la para o ambiente especfico do projeto.
Captulos sobre componentes e tcnicas foram removidos, combinados na nova seo denominada temas.
Foi reduzido o nmero de processos e subprocessos. Estes foram removidos completamente e agora so chamados de atividades.

Figura 9.8 Processos e atividades do PRINCE2


Adaptado de OGC (2009)

Direo

Gerenciamento

Entrega

Planejar o
estgio de
iniciao

Selecionar a
abordagem do
projeto

Preparar o
Business Case

Apontar o
Time do projeto

Capturar lies
aprendidas prvias

Apontar o executivo
ou gerente
do projeto

Instalao
do Projeto
Autorizar o projeto

Preparar a estratgia de risco


Preparar a estratgia de gesto da
configurao
Preparar a estratgia da gesto da
qualidade
c
Preparar a estratgia da gesto da
comunicao
Implantar os controles do projeto
Criar o plano do projeto
Refinar o business case
Montar a documentao da iniciao

Iniciando um Projeto

Autorizar iniciao

Dirigindo um Projeto
Fornecer direo

Executar um pacote
de trabalho

Rever o status do estgio


Comunicar pontos de
ateno

Controlando um Estgio

Entregar um pacote
de trabalho

Capturar e examinar
problemas e riscos
Escalar problemas e riscos
Realizar aes corretivas

Recomendar o
encerramento

Avaliar o projeto

Transferir produtos

Preparar o
encerramento
Preparar o
encerramento
prematuroc

Encerrando
um Projeto

Autorizar o encerramento
do projeto

Gerenciando a Entrega do Produto

Aceitar o pacote de
trabalho

Autorizar um pacote de
trabalho
Rever o status do pacote
de trabalho
Receber pacotes de
trabalho completados

Planejar o prximo estgio


Atualizar o plano
c do projeto
Atualizar o business case
Comunicar o fim do estgio
Produzir um plano de
exceo

Gerenciando o Limite
de um Estgio

Autorizar o estgio
ou plano de exceo

394 Implantando a Governana de TI 3 edio

A Figura 9.8 apresenta o novo modelo de processos da metodologia.

Modelos para Gerenciamento de Projetos 395

9.5.3.1 Os processos da metodologia


Dirigindo um projeto (DP Directing a project)
Este processo ocorre desde o incio do projeto at o seu encerramento,
sendo de responsabilidade do Comit do Projeto. Este Comit gerencia e
monitora, atravs de relatrios e controles, vrios pontos de deciso e abrange:
Iniciao.
Limites dos estgios (comprometimento de recursos aps verificar
resultados).
Monitorao do projeto, fornecimento de conselhos e orientao e
reao a condies de exceo.
Encerramento do projeto.

Este processo no trata das atividades do dia a dia.


Instalando um projeto (SU Starting up a project)
o primeiro processo da PRINCE2. um processo de pr-projeto, projetado para assegurar que os requisitos para a iniciao do projeto estejam
estabelecidos. O processo trata de trs elementos:
Assegurar que a informao requerida pela equipe do projeto esteja
disponvel.
Designar a equipe de gerenciamento do projeto.
Criar o plano do estgio de iniciao.

Espera-se que exista um termo ou documento equivalente que diga o motivo do projeto e os resultados esperados.

396 Implantando a Governana de TI 3 edio

Iniciando um projeto (IP Initiating a project)


Os objetivos deste processo so:
Ter acordo se h ou no justificativa suficiente para seguir com o
projeto.
Estabelecer uma base gerencial estvel sobre a qual seguir com o projeto.
Documentar e aceitar que existe um Business Case aceitvel para o
projeto.
Assegurar uma firme e aceita fundao para o projeto antes de comear o trabalho.
Obter acordo sobre o compromisso com recursos para a primeira fase
do projeto.
Permitir e encorajar que o Comit do Projeto assuma a propriedade
do projeto.
Assegurar que os investimentos a serem feitos no projeto levem em
considerao os seus riscos.

Gerenciando os limites de um estgio (SB Managing Stage Boundaries)


Os objetivos deste processo so:
Assegurar, para o Comit do Projeto, que os produtos planejados do
Plano de Estgio atual foram completados.
Prover informao para o Comit do Projeto para que este avalie continuamente a viabilidade do projeto.
Prover para o Comit do Projeto informaes necessrias para que aprove o estgio atual do projeto e que autorize o incio do estgio seguinte.
Registrar medies e lies aprendidas que possam ajudar estgios
posteriores do projeto ou outros projetos.

Controlando um estgio (CS Controlling a Stage)


O objetivo deste processo assegurar que cada estgio seja desempenhado
conforme o Plano do Estgio. Este processo compreende atividades como:

Modelos para Gerenciamento de Projetos 397

Autorizao para execuo do trabalho planejado.


Obteno de informao sobre o progresso do projeto.
Anlise de mudanas.
Reviso da situao.
Comunicao acerca do projeto.
Tomada de aes corretivas em funo de desvios.

Gerenciando a entrega do produto (MP Managing product delivery)


O objetivo deste processo assegurar que os produtos previstos pelo projeto sejam produzidos e entregues, considerando:
Obter a certeza de que o trabalho dos produtos alocados equipe est
efetivamente autorizado.
Assegurar o compromisso da equipe do projeto com o resultado
esperado.
Avaliar o progresso do projeto.
Assegurar que os produtos atendam as suas respectivas especificaes
de qualidade.
Obter a homologao ou aprovao dos produtos completados.

Encerrando um projeto (CP Closing a project)


O propsito deste processo executar um encerramento controlado do
projeto e seus objetivos so:
Verificar se os objetivos pretendidos foram atendidos.
Verificar se todos os produtos esperados foram entregues e satisfizeram as necessidades dos clientes.
Obter a aceitao formal dos produtos.
Assegurar que os produtos resultados foram aceitos e transferidos
para o cliente.
Confirmar que os arranjos de manuteno e operao esto estabelecidos
(quando for o caso), visando receber os produtos gerados pelo projeto.

398 Implantando a Governana de TI 3 edio

Realizar recomendaes para aes de acompanhamento.


Capturar lies aprendidas e fazer o seu registro.
Preparar um relatrio de encerramento do projeto.
Comunicar organizao patrocinadora que os recursos sero desmobilizados.

Planejamento (PL Planning)


Para a PRINCE2, o processo de planejamento se repete e tem um papel
importante em outros processos. As atividades de planejamento so:
Elaborar o plano.
Definir e analisar os produtos.
Identificar e analisar as atividades e dependncias.
Preparar estimativas.
Preparar o cronograma.
Analisar os riscos.
Documentar o plano.

O manual da PRINCE2 pode ser adquirido diretamente do The Stationery


Office pelo site www.tsoshop.co.uk ou www.prince2.com.

9.5.4 Aplicabilidade

do modelo

A PRINCE2 , de fato, uma metodologia de gerenciamento de projetos,


ao contrrio do PMBOK, que um conjunto de conhecimentos.
A PRINCE2 se aplica a qualquer tipo de projeto, incluindo os projetos de
tecnologia da informao.
Com sua caracterstica customizvel ela pode ser facilmente adaptada
para qualquer tipo de organizao.
Entretanto, da mesma forma que os demais padres, a sua implementao
depende da prontido da organizao para a mudana.

Modelos para Gerenciamento de Projetos 399

9.5.5 Benefcios

do modelo

Os benefcios apregoados pela metodologia so:


Ganhar consistncia sobre a forma como os projetos so avaliados,
comissionados, comunicados e revistos.
Padronizao da gesto de projetos em toda a organizao.
Melhora a reputao da organizao que emprega a metodologia perante os seus clientes.
Melhoria da capacidade das equipes de projetos em seu gerenciamento.
Melhoria na alocao dos recursos e na gesto da demanda de projetos e seu impacto na capacidade das equipes de projeto.
Auxilia no aumento da maturidade da organizao em gerenciamento de projetos.

9.5.6 Certificaes

relacionadas

Da mesma forma que o PMI, PRINCE2 tambm mantm certificaes


profissionais. So elas:
Certificao PRINCE2 Foundation, destinada aos membros de
equipe de projetos que necessitam conhecer a terminologia, os princpios e os conceitos da metodologia.
Certificao PRINCE2 Practitioner, destinada aos profissionais gerentes de projeto que necessitam aplicar a metodologia no seu trabalho.

As empresas inglesas que usam a PRINCE2 podem requerer este reconhecimento por parte do seu governo para ser habilitada a participar de contrataes governamentais.

9.6 SCRUM
9.6.1 Histrico

do modelo

Em 1986, os pesquisadores Hirotaka Takeuchi e Ikujiro Nonaka notaram,


ao pesquisar empresas de fabricao de automveis e produtos de consumo,

400 Implantando a Governana de TI 3 edio

que projetos que utilizavam equipes pequenas e multidisciplinares geravam


melhores resultados e conceberam um estilo de gerenciamento de projetos
(publicado no artigo The New Product Development Game Harvard Business
Review Jan/Fev 1986) que envolvia a sobreposio de fases no processo e o
trabalho conjunto de uma equipe ao longo das vrias fases do projeto.
Em 1990, Peter DeGrace e Leslie Hulet Stahl fizeram meno a esta abordagem no livro Wicked Problems, Righteous Solutions A Catalogue of Modern Software Engineering Paradigms e a associaram pela primeira vez ao nome
SCRUM61.
No incio da dcada de 90, a metodologia SCRUM foi concebida e implementada em algumas companhias pelos profissionais Ken Schwaber, Jeff
Sutherland, John Scumniotales e Jeff McKenna, incorporando caractersticas
do estilo de gerenciamento criado por Takeuchi e Nonaka.
Em 1995, Ken Schwaber e Jeff Sutherland formalizaram a definio do
SCRUM e o apresentaram na Conferncia da OOPSLA (Object-Oriented
Programming, Systems, Languages and Applications), iniciando a sua difuso na
comunidade acadmica de desenvolvimento de software em todo o mundo.
Em 2001, com a publicao do livro Agile Software Development with
Scrum, Ken Schwaber e Mike Beedle estenderam o modelo e seus conceitos
para a comunidade de desenvolvedores de software em mbito comercial.
Inicialmente, o SCRUM foi idealizado com um foco acentuado na entrega
de projetos de desenvolvimento de software em ambientes complexos. Entretanto, tem sido cada vez mais aplicado em projetos de desenvolvimento de
produtos de outras naturezas.

9.6.2 Objetivos

do modelo

O SCRUM consiste em um mtodo iterativo e incremental para o gerenciamento de projetos complexos, cujo objetivo garantir agilidade nas
entregas e maximizar a aderncia aos requisitos dos clientes, a cooperao
entre os integrantes da equipe e a produtividade de cada participante.
um dos mtodos denominados geis mais difundidos hoje no mercado
de TI.
61 SCRUM o nome dado a uma formao no jogo de rgbi, baseada no engajamento de ambos os
times, que consiste em uma das formas de reiniciar o jogo aps a ocorrncia de uma infrao.

Modelos para Gerenciamento de Projetos 401

Segundo Schwaber (2004), situaes de projetos complexos ocorrem


quando a complexidade das atividades intermedirias no permite que seja
criado um processo definido controlado, que consiga gerar repetitivamente
produtos em nveis aceitveis de qualidade. A complexidade de um projeto
diretamente proporcional complexidade dos requisitos dos clientes e da
tecnologia envolvida, alm de ser bastante dependente das caractersticas de
cada membro da equipe (dada a diversidade de habilidades, conhecimentos,
atitudes, etc., que pode ser encontrada em qualquer grupo de pessoas).
Em situaes como esta, Schwaber recomenda ainda a utilizao do conceito de controle emprico de processos, que utiliza mecanismos como auto-organizao e senso de urgncia, e tem os seguintes pilares principais:
Visibilidade: todos os aspectos que afetam os resultados almejados
devem ser visveis para os processos de controle (pode tambm ser
entendido por transparncia).
Inspeo: os vrios aspectos do processo devem passar por inspees
frequentes, visando detectar variaes inaceitveis.
Adaptao: o processo ou os seus produtos intermedirios devem ser
ajustados aps a inspeo para minimizar futuros desvios mais severos, caso suas caractersticas e resultados estejam fora dos limites
aceitveis e coloquem em risco a aceitao do produto final.

9.6.3 Estrutura

do modelo

O SCRUM est estruturado em um conjunto de prticas conduzidas por


equipes em papis especficos, organizadas em um fluxo de atividades/eventos
de durao fixa totalmente controlado, com artefatos e regras bem definidos,
que visa a obteno de produtos utilizveis em intervalos curtos de tempo.

9.6.3.1 A base do SCRUM


Todas as prticas do SCRUM esto baseadas em um esqueleto representado por iteraes sucessivas de atividades de desenvolvimento (cada uma
delas gerando um incremento de produto), inspecionadas e ajustadas diariamente por membros da prpria equipe de trabalho e orientadas por uma lista
de requisitos inicial, conforme mostra a Figura 9.9:

402 Implantando a Governana de TI 3 edio

Inspeo
Diria

Iterao
Backlog do
Produto

Incremento de
Funcionalidade
Figura 9.9 O esqueleto do SCRUM
Adaptado de Schwaber (2004)

No comeo de cada iterao, a equipe revisa o que deve ser feito e


determina o que seria um incremento de funcionalidade vivel para ser
entregue no final da iterao. A equipe liberada para empregar o seu
melhor esforo no restante da iterao e apresenta no final o produto final
construdo.

9.6.3.2 Os papis envolvidos no SCRUM


Em um projeto SCRUM, todas as responsabilidades esto divididas entre
trs papis:
Product Owner: pessoa responsvel por gerenciar o Backlog do Produto (garantindo que esteja visvel para todos), por gerar e disseminar
os requisitos do projeto, assim como o plano para as entregas sucessivas, priorizando os resultados que traro maior valor agregado ao
projeto.
SCRUM Master: responsvel por implementar o mtodo SCRUM,
assim como por ensin-lo a todos os envolvidos nos projetos e assegurar que todos sigam as suas regras e prticas.

Modelos para Gerenciamento de Projetos 403

Time SCRUM: grupo de desenvolvedores coletivamente responsvel


pelo sucesso de cada iterao e do projeto como um todo, deve ser
composto por pessoas multidisciplinares e com capacidade de auto-organizao e autogesto.

9.6.3.3 O fluxo do SCRUM


O processo preconizado pelo SCRUM abrange os seguintes elementos
(conforme ilustrado na Figura 9.10):

Inspeo
Diria
SCRUM Dirio

Sprint
Backlog da
Sprint
Backlog do
Produto
Selecionado
Viso:
Retorno sobre Investimento
Antecipado, Releases, Marcos

Incremento de
Funcionalidade

Equipe SCRUM

Backlog do Produto:
Requisitos emergentes
e priorizados

Figura 9.10 O fluxo do SCRUM


Adaptado de Schwaber (2004)

Viso: deve ser elaborada pelo Product Owner, incluindo o plano de


releases e os marcos de entregas de produtos a cada Sprint, de forma a
maximizar o retorno sobre o investimento do projeto de desenvolvimento do produto.
Backlog do Produto: tambm elaborado pelo Product Owner, contm
uma lista dos requisitos funcionais e no funcionais do produto, priorizados e divididos em releases (Sprints).

404 Implantando a Governana de TI 3 edio

Reunio de Planejamento da Sprint: o projeto dividido em Sprints


com durao de trinta dias corridos cada, a serem executadas uma
aps a outra, sem interrupo. O planejamento feito em uma reunio com a participao do Time SCRUM e pelo Product Owner, em
dois perodos de quatro horas cada:
Nas primeiras quatro horas, definido o escopo (o qu) a ser
tratado pela Sprint, por meio da seleo dos requisitos do Backlog
do Produto que sero colocados no Backlog da Sprint.
Nas quatro horas finais, ocorre o planejamento propriamente
dito das tarefas a serem executadas na Sprint (como) e o incio
oficial da Sprint, momento em que comea a correr o prazo de
trinta dias.
Sprint: a prpria iterao de desenvolvimento do produto, que possui
durao fixa. Uma Sprint compreende tambm as suas reunies de
planejamento, reviso e retrospectiva.
SCRUM Dirio: reunio diria de quinze minutos, onde cada membro da equipe responde s seguintes questes:
O que fiz no projeto desde o ltimo SCRUM Dirio?
O que estou planejando fazer at o prximo SCRUM Dirio?
Existe alguma restrio ou impedimento para que eu honre
meus compromissos da Sprint atual e/ou do projeto?
Alm disso, a equipe sincroniza as atividades de todos e programa reunies necessrias para a continuao do projeto.
Reunio de Reviso da Sprint: em quatro horas, o Time SCRUM
apresenta para o Product Owner (e os demais stakeholders) o resultado
do trabalho gerado na Sprint e determina junto a eles o que deve fazer
na prxima Sprint.
Reunio de Retrospectiva da Sprint: em trs horas, o SCRUM Master estimula os membros do Time SCRUM a revisarem o seu processo de desenvolvimento luz das prticas e do modelo de processo do
SCRUM, visando torn-lo mais eficaz e gratificante para a prxima
Sprint.

Ainda de acordo com Schwaber (2004), as reunies de planejamento da


Sprint, o SCRUM Dirio, a reviso e a retrospectiva da Sprint constituem,
juntas, as prticas empricas de inspeo e adaptao do SCRUM.

Modelos para Gerenciamento de Projetos 405

9.6.3.4 Os artefatos do SCRUM


Existem duas categorias de artefatos no contexto do SCRUM: as tabelas
de Backlog e os grficos que mostram o trabalho que ainda falta at o final
(denominadas Burndown Charts).
As tabelas de Backlog so:
Backlog do Produto: consiste em um documento vivo elaborado e
mantido pelo Product Owner que, por definio, nunca est completo (uma vez que sempre existem melhorias a serem implementadas
em um produto, at que este seja finalmente retirado de circulao).
Contm uma lista de tudo o que constitui as mudanas que sero realizadas no produto para suas futuras verses (caractersticas, funes,
tecnologias, adaptaes, melhorias, correes, etc.). Tais requisitos
so ordenados por prioridade e detalhados em termos de atributos de
descrio, fatores de complexidade/ajuste e estimativas (de esforo e
prazo) ao longo das futuras Sprints.
Backlog da Sprint: define as tarefas que o Time SCRUM deve executar para criar os incrementos do produto (oriundos do Backlog do
Produto) durante a execuo de uma Sprint. O seu detalhamento
deve ser suficiente para que possa ser acompanhado nas reunies do
SCRUM Dirio, em tarefas que duram entre quatro e dezesseis horas.
Cada tarefa deve ser documentada, pelo menos, em termos do seu
responsvel, do seu status (no iniciado, em andamento, finalizado)
e da quantidade de horas de trabalho restantes a cada dia da Sprint.

Os Burndown Charts mostram, graficamente, a quantidade de trabalho


estimado (esforos restantes) ao longo do tempo, refletindo a sua correlao
com o progresso das equipes do projeto em reduzir o seu trabalho. Podem ser
utilizados no contexto do Backlog do Produto (incluindo todas as Sprints) ou
dentro de cada uma das Sprints (Burndown da Sprint).

9.6.4 Aplicabilidade

do modelo

O SCRUM foi originalmente criado para utilizao em projetos de soft


ware em ambientes complexos (onde os requisitos mudam com alguma frequncia), que possam ter o seu escopo (ou a sua estrutura analtica de projeto

406 Implantando a Governana de TI 3 edio

EAP ou WBS) organizado e estruturado em pacotes de artefatos incrementais, consistentes e utilizveis, a serem entregues ao cliente em perodos sucessivos de quinze a trinta dias cada.
A princpio, este conceito potencialmente aplicvel a qualquer projeto ou programa cujo objetivo seja o desenvolvimento de produtos ou servios de outra natureza, ou mesmo que envolvam iniciativas de melhoria
por meio da utilizao de metodologias como Lean, Seis Sigma, etc. Em
suma, o SCRUM uma abordagem recomendada (e tem demonstrado
forte aplicabilidade) para projetos que exigem a combinao focada das
habilidades e dos conhecimentos de um time e que envolvam esforos
colaborativos intensos.
Segundo Pries & Quigley (2010), existem maneiras de adaptar o SCRUM
para aplicao em vrios tipos de programas e projetos complexos, tais como:
Combinando com mtodos tradicionais de gerenciamento de projetos: pode-se relacionar conceitos e artefatos tais como EAP (Estrutura Analtica do Projeto) e Backlog do Produto, Anlise de Valor
Agregado, os Burndown Charts e o Plano de Comunicao s reunies de controle das Sprints (planejamento, diria, reviso, retrospectiva), etc.
Gerenciamento de programas complexos: adoo de uma estrutura
de SCRUM de SCRUMS, onde o Backlog de Produto pode ser
decomposto em sub-backlogs, cada um sendo consumido pelo seu respectivo Time SCRUM.
Atuao em reas funcionais que atendem vrios projetos (por exemplo, equipes de teste ou garantia de qualidade): no Backlog de Produto, podem entrar tarefas dos vrios projetos e no Backlog de cada
Sprint, aquelas tarefas que couberem no prazo de trinta dias.
Combinando com uma metodologia no formato cascata: pode-se dividir o cronograma em mdulos de durao fixa, de forma a
sincronizar, por exemplo, uma sequncia de Sprints com um marco
(milestone) previsto no projeto, assim como realizar as atividades de
verificao e validao de forma evolutiva em cada Sprint.
Combinando com a abordagem Seis Sigma: pode-se encapsular cada
uma das fases da metodologia DMAIC (Define, Measure, Analyze,
Improve, Control) em uma Sprint, executando-as uma aps a outra.

Modelos para Gerenciamento de Projetos 407

Schwaber (2004) menciona a possibilidade de utilizao do SCRUM em


um contexto de contrato com preo e durao prefixados. Nesses casos, o Backlog do Produto pode ser utilizado no somente para demonstrar ao cliente
que os requisitos foram compreendidos, mas tambm que a prioridade de
cada um para a gerao de valor foi compreendida. Os requisitos mais relevantes podem ser selecionados para as primeiras Sprints, e os incrementos na
funcionalidade mensurados a cada reunio de acompanhamento.
De qualquer forma, importante ter em mente que a adoo do SCRUM
por uma organizao deve ser feita de forma criteriosa e que h uma srie de
desafios a serem enfrentados (que podero colocar em risco a eficcia do mtodo), tais como:
fundamental ter uma equipe que funcione bem trabalhando em
grupo, uma vez que o sucesso do trabalho depende de um esforo
intensivo nas habilidades que cada um tem como diferencial.
importante que cada membro dos Times SCRUM tenha um forte
senso de autogesto.
Deve-se garantir que os integrantes da equipe estejam alocados a somente um projeto (ou seja, ao cumprimento de somente um Backlog).
Deve-se garantir o comprometimento de todos os envolvidos (principalmente por parte daqueles que representam o cliente).
Deve-se assegurar que os Backlogs estejam bem documentados, de
forma que no haja mal-entendidos entre os envolvidos.
Pode haver algumas dificuldades para atomizar as tarefas a serem
colocadas em cada linha dos Backlogs, assim como para estabelecer as
dependncias entre elas, o que poder prejudicar o planejamento e o
bom andamento na execuo das Sprints.
Deve-se garantir que todas as reunies (planejamento, diria, reviso,
retrospectiva) das Sprints sejam realizadas e que os tempos fixos sejam
efetivamente cumpridos, sob risco de prejudicar o senso de disciplina, que crucial para o sucesso do mtodo.

408 Implantando a Governana de TI 3 edio

9.6.5 Benefcios

do modelo

A adoo de mtodos geis como o SCRUM para projetos de software


tem trazido para as organizaes de TI benefcios relacionados melhoria da
capacidade de gesto, assim como obteno de vantagens competitivas em
relao a outras organizaes. Entre esses benefcios, podemos enumerar:
Maior agilidade no controle e no gerenciamento do andamento dos
trabalhos.
A nfase no trabalho em equipe e o foco em resultados rpidos propicia um maior senso de cooperao e de responsabilidade compartilhada.
Equipes mais motivadas e com autoestima constantemente renovada.
Plano de comunicao mais efetivo, devido s reunies e comunicaes constantes entre os membros do Time SCRUM (consequentemente, usurios mais informados durante e aps as Sprints).
A evoluo do projeto e os eventuais riscos e impedimentos tm
maior visibilidade no momento em que acontecem.
Maior assertividade no atendimento aos requisitos dos clientes (devido sincronizao com prottipos iterativos).
Melhoria da produtividade das equipes, uma vez que tarefas que no
agregam valor ao resultado tendem a ser eliminadas do trabalho.
Reduo do overhead da organizao (as equipes so autogerenciadas
e esto integralmente envolvidas em projetos).
Maior qualidade dos produtos, devido maior probabilidade de deteco antecipada de defeitos.
Deteco antecipada de obstculos que possam comprometer o desenvolvimento e a entrega dos produtos.
Possibilidade de responder mais rapidamente a mudanas nos requisitos (podem ser includas em Sprints posteriores).
Visibilidade antecipada do Retorno sobre o Investimento dos projetos, devido priorizao dos requisitos mais relevantes e s entregas
em prazos mais curtos e constantes.

Modelos para Gerenciamento de Projetos 409

9.6.6 Certificaes

relacionadas

A Scrum Alliance62 oferece um programa de certificao em vrios nveis,


baseado em cursos especializados com exames integrados:
CSM Certified Scrum Master: destinado a pessoas que trabalham em
um Time SCRUM, possui nfase acentuada no papel do Scrum Master e na demonstrao do entendimento da terminologia, das prticas
e dos princpios do SCRUM.
CSPO Certified Scrum Product Owner: possui nfase acentuada no
papel de Product Owner (representante do cliente), focando aspectos
como gesto de stakeholders, retorno sobre investimento, formatao
de backlogs, critrios de aceite, etc.).
CSD Certified Scrum Developer: destinado queles que possuem um
entendimento prtico dos princpios do SCRUM e que tenham assimilado habilidades especializadas de engenharia com mtodos geis.
CSP Certified Scrum Professional: nvel superior de expertise para
aqueles que j possuem uma certificao CSM, CSPO ou CSD.
CST Certified Scrum Trainer: destinado queles que desejam se licenciar como treinadores oficiais dos cursos preparatrios para as certificaes SCRUM.
CSC Certified Scrum Coach: destinado aos especialistas no SCRUM,
tanto em teoria quanto na prtica. Um Coach deve possuir um conhecimento profundo das prticas e princpios do SCRUM e experincia
real na sua utilizao em projetos, podendo atuar como um mentor
para os Scrum Masters e Times SCRUM em diversas situaes onde
estiverem precisando de orientao ou enfrentando desafios acima do
grau atual de maturidade da equipe.

62 Maiores informaes no site http://www.scrumalliance.org .

10.

10.

Modelos para Segurana da Informao


ISO/IEC 27001 e 27002

10.1 Histrico

do modelo

A origem de praticamente todas as normas internacionais relativas segurana da informao o Governo Britnico.
A British Standard (BS) 7799, que deu origem ISO 17799 e agora foi
substituda pela ISO/IEC 27002, nasceu no Commercial Computer Security
Centre (CCSC) do Department of Trade and Industry. O CCSC foi criado
considerando duas frentes de atuao: a primeira era apoiar fornecedores de
produtos de segurana em TI a partir de um conjunto de critrios de avaliao e um esquema de certificao, e a segunda era auxiliar os usurios de TI
atravs de um Cdigo de Prtica do Usurio. Este cdigo foi publicado
em 1989.
O cdigo foi aperfeioado posteriormente pela comunidade britnica
de TI, o que resultou no Cdigo de prtica para a gesto da segurana
da informao. Este cdigo deu origem em 1995 BS 7799:1995,
parte 1.
Em abril de 1999, foi publicada a primeira reviso da BS 7799 Parte 1
(BS7799:1999). Em outubro de 1999 esta norma foi proposta como norma
ISO, dando origem, em dezembro de 2000, ISO/IEC 17799:2000.
A Parte 1 da BS 7799 era somente um cdigo de prtica e no permitia a
certificao de um sistema gerencial de segurana da informao, conforme
um esquema de certificao de reconhecimento mtuo em mbito interna-

Modelos para Segurana da Informao ISO/IEC 27001 e 27002 411

cional. Para suprir esta necessidade, em 5 de setembro de 2002 foi lanada a


Parte 2 da BS 7799 (BS 7799-2:2002). Esta norma est em harmonia com
a ISO 9000 e a ISO 14000 (esta ltima trata de sistemas de gerenciamento
ambientais) e tem por objetivo a implantao de um ISMS ou Information
Security Management System, considerando controles selecionados a partir da
ISO/IEC 17799.
Da mesma forma como ocorreu com a 17799, a BS 7799-2:2002
transformou-se na ISO/IEC 27001:2005, publicada em 15 de outubro
de 2005.
A ISO (International Organization for Standardization) e o IEC (International Eletrotechnical Comission) esto prevendo o lanamento de vrias normas relativas srie 27000 sobre segurana da informao.
Atualmente, a srie 27000 j contempla as seguintes normas:
ISO/IEC 27000:2009 Information technology Security techniques Information security management systems Overview and
vocabulary.
ISO/IEC 27001:2005 Information Security Management Systems
Requirements.
ISO/IEC 27002:2005 Code of Practice for Information Security
Management; que j est substituindo a ISO 17799.
ISO/IEC 27003:2010 Information technology Security techniques Information security management system implementation
guidance.
ISO/IEC 27004:2009 Information technology Security techniques
Information security management Measurement.
ISO/IEC 27005:2008 Information technology Security techniques
Information security risk management.
ISO/IEC 27006 Requirements for bodies providing audit and certification of information security management systems.

As normas ISO/IEC 27000, 27001, 27003 e 27005 esto atualmente passando por atualizaes, visando a publicao de uma segunda edio.

412 Implantando a Governana de TI 3 edio

10.2 Objetivos

do modelo

A ISO/IEC 27001 foi preparada para prover um modelo para estabelecer, implantar, operar, monitorar, rever, manter e melhorar um Sistema
de Gesto da Segurana da Informao (Information Security Management System ISMS). Esta norma internacional pode ser usada visando
a avaliao da conformidade por partes interessadas internas e externas.
A ISO/IEC 27002 estabelece diretrizes e princpios gerais para iniciar, manter e melhorar a gesto da segurana da informao em uma
organizao, fornecendo direcionamentos sobre as metas geralmente
aceitas para a gesto da segurana da informao. A implantao dos
objetivos de controle e dos controles associados da norma tem como
finalidade atender aos requisitos identificados por meio da anlise/
avaliao de riscos. Outro objetivo da norma servir como um guia
prtico para desenvolver os procedimentos de segurana da informao e prticas eficientes de gesto da segurana para a organizao,
alm de ajudar a criar confiana nas atividades interorganizacionais.

10.3 Estrutura

do modelo

10.3.1 ISO/IEC 27001


Esta norma adota o princpio de gesto de processos para o estabelecimento, a implementao, a operao, o monitoramento, a reviso, a manuteno
e a melhoria do ISMS de uma organizao.
A abordagem de processo para a gesto da segurana da informao estabelecida para que seus usurios enfatizem a importncia de:
Entender os requisitos de segurana da informao e a necessidade
de estabelecer uma poltica e objetivos de segurana da informao.
Implementar e operar controles para gerenciar os riscos de segurana da
informao de uma organizao, no contexto dos riscos gerais da empresa.
Monitorar e rever o desempenho e a eficcia do ISMS.
Promover a melhoria contnua, com base em medies objetivas.

Modelos para Segurana da Informao ISO/IEC 27001 e 27002 413

A norma adota o ciclo PDCA (Plan-Do-Check-Act), tambm conhecido


como ciclo de Deming, que aplicado na estrutura de todos os processos de
ISMS. A Figura 10.1 mostra a leitura do modelo PDCA aplicada a um ISMS.
Plan
Estabelecer o
ISMS

Partes
Interessadas

Requisitos de
segurana da
informao e
expectativas

Do

Manter e melhorar o
ISMS

Implementar e operar
o ISMS

Monitorar e
rever o ISMS

Check

Act

Partes
Interessadas

Segurana da
informao
gerenciada

Figura 10.1 Modelo PDCA aplicado ao ISMS


Adaptado de ISO (2005f)

A norma tem compatibilidade com a ISO 9001 e a ISO 14001, de forma que suporta a implementao e a operao integrada com padres gerenciais relacionados.
Em termos operacionais, a norma dividida em cinco grandes sees:
O sistema de gesto da segurana da informao, que trata do ciclo
PDCA do ISMS e dos requisitos de documentao.
A responsabilidade da administrao em relao ao ISMS.
As auditorias internas do ISMS.
A reviso do ISMS pela administrao.
A melhoria do ISMS.

414 Implantando a Governana de TI 3 edio

10.3.1.1 O sistema de gesto da segurana da informao


O estabelecimento do ISMS
A norma diz que a organizao deve:
Definir o escopo e os limites do ISMS.
Definir a poltica de ISMS.
Definir a abordagem para a avaliao de riscos da organizao.
Identificar os riscos.
Analisar e avaliar os riscos.
Identificar e avaliar opes para o tratamento dos riscos.
Selecionar os objetivos de controle e os controles para o tratamento
dos riscos.
Obter a aprovao da administrao para o risco residual proposto.
Obter a aprovao da administrao para implementar e operar o ISMS.
Preparar uma Declarao de Aplicabilidade que compreenda os objetivos de controle, os controles e a justificativa de sua seleo, os
controles atualmente implantados e a excluso de quaisquer objetivos
e controles (com as justificativas de excluso).

A implementao e operao do ISMS


A organizao deve executar as seguintes atividades:
Formular um plano de tratamento de riscos que identifique aes
gerenciais, recursos, responsabilidades e prioridades.
Implementar o plano de tratamento de riscos.
Implementar os controles selecionados.
Definir como medir a eficcia dos controles ou grupos de controle.
Implementar programas de treinamento e de conscientizao.
Gerenciar a operao do ISMS.
Gerenciar os recursos do ISMS.
Implementar procedimentos e outros controles capazes de detectar
prontamente eventos de segurana, assim como respostas aos incidentes.

Modelos para Segurana da Informao ISO/IEC 27001 e 27002 415

Monitorao e reviso do ISMS


A organizao deve:
Executar os procedimentos de monitoramento e controle.
Realizar revises peridicas da eficcia do ISMS.
Medir a eficcia dos controles para verificar se os requisitos de segurana tm sido atendidos.
Rever a metodologia de risco em intervalos planejados e rever os riscos residuais63.
Conduzir auditorias internas do ISMS em intervalos planejados.
Realizar uma reviso gerencial do ISMS em bases regulares.
Atualizar os planos de segurana, levando em considerao os resultados do monitoramento.
Registrar aes e eventos que podem ter um impacto na eficcia do
desempenho do ISMS.

Manuteno e melhoria do ISMS


A organizao deve, regularmente:
Implementar as melhorias identificadas no ISMS.
Tomar aes corretivas e preventivas apropriadas.
Aplicar lies aprendidas.
Comunicar as aes de melhoria aos interessados.
Assegurar que as melhorias atendam a seus objetivos intencionados.

Requisitos de documentao
A documentao deve conter:
Poltica para o ISMS.
Escopo do ISMS.
63 Riscos residuais so consequncias que permanecem depois da ocorrncia de um risco.

416 Implantando a Governana de TI 3 edio

Procedimentos e controles de apoio ao ISMS.


A descrio da metodologia de avaliao de riscos.
O plano de tratamento de riscos.
Procedimentos documentados necessrios para o planejamento, a
operao e o controle dos processos de segurana da informao.
Descrio sobre a eficcia dos controles.
Registros requeridos pela norma.
A Declarao de Aplicabilidade.

A documentao deve ser controlada em termos de:


Aprovao dos documentos antes do seu uso.
Reviso e atualizao dos documentos.
Controle de mudanas nos documentos.
Controle de verses dos documentos.
Disponibilizao das verses corretas.
Garantia de que os documentos estejam legveis e prontamente
identificados.
Garantia de que as pessoas que necessitam dos documentos tenham
acesso a eles.
Garantia de que documentos de origem externa sejam identificados.
Garantia de que a distribuio dos documentos seja controlada.
Preveno contra o uso de documentos obsoletos.
Garantia de identificao adequada para os documentos, para o caso
de serem retidos para qualquer propsito.

10.3.1.2 A responsabilidade da administrao


Deve haver evidncia do compromisso da administrao com o estabelecimento, a implementao, a operao, o monitoramento, a reviso, a manuteno e a melhoria do ISMS. A administrao deve:
Estabelecer a poltica para o ISMS.

Modelos para Segurana da Informao ISO/IEC 27001 e 27002 417

Assegurar que os objetivos e planos sejam estabelecidos.


Estabelecer papis e responsabilidades para a segurana da informao.
Comunicar a organizao acerca da importncia de atender a objetivos e polticas.
Prover recursos suficientes para implementar, operar, monitorar, rever, manter e melhorar o ISMS.
Garantir que todo o pessoal envolvido com segurana da informao
seja competente para desempenhar as atividades requeridas.

10.3.1.3 As auditorias internas do ISMS


A organizao deve conduzir auditorias internas do ISMS em intervalos
planejados, para determinar se as atividades de controle, os controles, os processos e os procedimentos do sistema:
Esto em conformidade com os requisitos da norma e os demais requisitos legais ou regulatrios.
Esto em conformidade com os requisitos de segurana da informao identificados.
Esto implementados e mantidos de forma efetiva.
Esto sendo desempenhados como esperado.

O programa de auditoria deve ser planejado considerando o status e a importncia dos processos, as reas a serem auditadas, assim como os resultados
de auditorias prvias.

10.3.1.4 A reviso do ISMS


A administrao deve revisar o ISMS pelo menos uma vez por ano, para
assegurar sua contnua adequao e eficcia.
As entradas para a reviso devem considerar os resultados de auditorias, o
feedback das partes interessadas, o status das aes corretivas e preventivas, as
vulnerabilidades e ameaas no tratadas adequadamente em avaliaes prvias
de riscos, os resultados de medies, as aes de follow-up de revises anteriores, as mudanas nos requisitos e as recomendaes de melhoria.

418 Implantando a Governana de TI 3 edio

As sadas da reviso so: melhorias do ISMS, atualizao do plano de tratamento de riscos, modificaes de procedimentos e controles, nveis de recursos alocados segurana da informao e melhorias na medio.

10.3.1.5 A melhoria do ISMS


A organizao deve melhorar continuamente a eficcia do ISMS atravs
do uso da poltica de segurana da informao, objetivos de segurana da
informao, resultados de auditoria, anlise de eventos monitorados, aes
corretivas e preventivas e revises gerenciais.
Ainda neste sentido, a organizao deve tambm tomar aes corretivas e/
ou preventivas para eliminar causas de no conformidades reais e/ou potenciais no ISMS, de forma a prevenir sua recorrncia.

10.3.2 ISO/IEC 27002


Esta norma est estruturada nas seguintes sees:
Poltica de segurana da informao.
Organizando a segurana da informao.
Gesto de ativos.
Segurana em recursos humanos.
Segurana fsica do ambiente.
Gesto das operaes e comunicaes.
Controle de acesso.
Aquisio, desenvolvimento e manuteno de sistemas de informao.
Gesto de incidentes de segurana da informao.
Gesto da continuidade do negcio.
Conformidade.

Cada uma das sees constituda por categorias de segurana da informao,


sendo que cada categoria tem um objetivo de controle definido, um ou mais controles que podem ser aplicados para atender ao objetivo de controle, as descries
dos controles, as diretrizes de implementao e informaes adicionais.
Os 132 controles so:

Modelos para Segurana da Informao ISO/IEC 27001 e 27002 419

Poltica de segurana da informao


Documento da poltica de segurana da informao.
Anlise crtica da poltica de segurana da informao.

Organizando a segurana da informao


Comprometimento da direo com a segurana da informao.
Coordenao da segurana da informao.
Atribuio de responsabilidades para a segurana da informao.
Processo de autorizao para os recursos de processamento da
informao.
Acordos de confidencialidade.
Contato com autoridades.
Contato com grupos especiais.
Anlise crtica independente de segurana da informao.
Identificao de riscos relacionados com partes externas.
Identificao da segurana da informao ao tratar com os clientes.
Identificao da segurana da informao nos acordos com terceiros.

Gesto de ativos
Inventrio dos ativos.
Propriedade dos ativos.
Uso aceitvel dos ativos.
Recomendaes para a classificao da informao.
Rtulos e tratamento da informao.

420 Implantando a Governana de TI 3 edio

Segurana em recursos humanos


Papis e responsabilidades.
Seleo.
Termos e condies de contratao.
Responsabilidades da direo.
Conscientizao, educao e treinamento em segurana da informao.
Processo disciplinar.
Encerramento de atividades.
Devoluo de ativos.
Retirada de direitos de acesso.

Segurana fsica e do ambiente


Permetro de segurana fsica.
Controles de entrada fsica.
Segurana em escritrios, salas e instalaes.
Proteo contra ameaas externas e do meio ambiente.
Trabalho em reas seguras.
Acesso do pblico, reas de entrega e de carregamento.
Instalao e proteo do equipamento.
Utilidades.
Segurana do cabeamento.
Manuteno dos equipamentos.
Segurana de equipamentos fora das dependncias da organizao.
Reutilizao e alienao segura de equipamentos.
Remoo de propriedade.

Modelos para Segurana da Informao ISO/IEC 27001 e 27002 421

Gerenciamento das operaes e comunicaes


Documentao dos procedimentos de operao.
Gesto de mudanas.
Segregao de funes.
Separao dos recursos de desenvolvimento, teste e de produo.
Entrega de servios (de terceiros).
Monitoramento e anlise crtica de servios terceirizados.
Gerenciamento de mudanas para servios terceirizados.
Gesto da capacidade.
Aceitao de sistemas.
Controle contra cdigos maliciosos.
Controles contra cdigos mveis.
Cpias de segurana das informaes.
Controle de redes.
Segurana dos servios de rede.
Gerenciamento de mdias removveis.
Descarte de mdias.
Procedimentos para tratamento de informao.
Segurana da documentao dos sistemas.
Polticas e procedimentos para troca de informaes.
Acordos para a troca de informaes.
Mdias em trnsito.
Mensagens eletrnicas.
Sistemas de informao do negcio.
Comrcio eletrnico.
Transaes on-line.
Informaes publicamente disponveis.
Registros de auditoria.
Monitoramento do uso do sistema.
Proteo das informaes dos registros (log).
Registros (log) de administrador e operador.

422 Implantando a Governana de TI 3 edio

Registro (log) de falhas.


Sincronizao de relgios.

Controle de acessos
Poltica de controle de acesso.
Registro de usurio.
Gerenciamento de privilgios.
Gerenciamento de senha do usurio.
Anlise crtica dos direitos de acesso de usurio.
Uso de senhas.
Equipamento de usurio sem monitorao.
Poltica de mesa limpa e tela limpa.
Poltica de uso dos servios de rede.
Autenticao para conexo externa do usurio.
Identificao de equipamento em redes.
Proteo e configurao de portas de diagnstico remotas.
Segregao de redes.
Controle de conexo de rede.
Controle de roteamento de redes.
Procedimentos seguros de entrada do sistema.
Identificao e autenticao de usurio.
Sistema de gerenciamento de senha.
Uso de utilitrios de sistema.
Desconexo de terminal por inatividade.
Limitao de horrio de conexo.
Restrio de acesso informao.
Isolamento de sistemas sensveis.
Computao e comunicao mvel.
Trabalho remoto.

Modelos para Segurana da Informao ISO/IEC 27001 e 27002 423

Aquisio, desenvolvimento e manuteno de sistemas de informao


Anlise e especificao dos requisitos de segurana.
Validao dos dados de entrada.
Integridade de mensagens.
Validao de dados de sada.
Poltica para o uso de controles criptogrficos.
Gerenciamento de chaves.
Controle de software operacional.
Proteo dos dados para teste de sistemas.
Controle de acesso ao cdigo-fonte do programa.
Procedimentos para controle de mudanas.
Anlise crtica tcnica das aplicaes aps mudanas no sistema
operacional.
Restries sobre mudanas em pacotes de software.
Vazamento de informaes.
Desenvolvimento terceirizado de software.
Controle de vulnerabilidades tcnicas.

Gerenciamento de incidentes de segurana da informao


Notificao de eventos de segurana da informao.
Notificao de fragilidades de segurana da informao.
Responsabilidades e procedimentos.
Aprendizado com os incidentes de segurana da informao.
Coleta de evidncias.

Gerenciamento da continuidade do negcio


Incluso da segurana da informao no processo de gerenciamento
da continuidade de negcios.
Continuidade de negcios e anlise/avaliao de riscos.
Desenvolvimento e implementao de planos de continuidade relativos segurana da informao.

424 Implantando a Governana de TI 3 edio

Estrutura do plano de continuidade do negcio.


Testes, manuteno e reavaliao dos planos de continuidade do
negcio.

Conformidade
Identificao da legislao vigente.
Direitos de propriedade intelectual.
Proteo de registros organizacionais.
Proteo de dados e privacidade de informaes pessoais.
Preveno de mau uso de recursos de processamento da informao.
Regulamentao de controles de criptografia.
Conformidade com as polticas e normas de segurana da informao.
Verificao da conformidade tcnica.
Controles de auditoria de sistemas de informao.
Proteo de ferramentas de auditoria de sistemas de informao.

10.4 Aplicabilidade

do modelo

Independentemente dos aspectos de certificao, este modelo se aplica a


qualquer organizao cujos negcios dependam fortemente de informao e TI.
Em nossa opinio, a utilizao de um modelo nestes moldes para as
empresas de servios de TI (tais como provedores de desenvolvimento de
sistemas, provedores de servios de Data center, etc.) praticamente obrigatria, por proporcionar maior garantia de proteo dos ativos de informao do cliente, podendo significar um grande diferencial competitivo,
assim como para organizaes com fins lucrativos, terceiro setor e governamentais que armazenam transaes e dados de pessoas e clientes ou informaes sigilosas.
A amplitude da segurana da informao bem maior do que somente
TI, abrangendo tambm, e fortemente, as reas de negcio, pois so elas que

Modelos para Segurana da Informao ISO/IEC 27001 e 27002 425

definem privilgios de acesso e definem a classificao da informao, se


confidencial, de uso interno ou pblico.
Entretanto, a implantao de um sistema de gerenciamento da segurana
da informao, por este ser amplo e abranger tambm as unidades de negcio,
necessita de um forte patrocnio dentro da organizao, assim como de um
programa contnuo de conscientizao e de um pesado envolvimento da rea
de recursos humanos e das reas que fazem contratao e uso de servios de
terceiros.
O sistema de gerenciamento da segurana da informao pode ser implantado em etapas, focando, a princpio, os aspectos mais crticos de segurana
da informao. Em algumas organizaes, o problema est na segurana fsica
do Data center; em outras, o problema est na segurana lgica.
A implantao deve ser considerada um projeto ou programa de longa
durao. Dependendo da natureza da organizao, pode requerer dois anos
ou mais, desde, naturalmente, que sejam feitos os investimentos necessrios.

10.5 Benefcios

do modelo

Os benefcios da segurana da informao esto na preveno de perdas


financeiras que a organizao pode ter, no caso da ocorrncia de incidentes de
segurana da informao. A organizao tambm pode abalar a sua imagem
ou sofrer aes na justia pelas perdas que seus sistemas possam causar aos
seus clientes.
Diariamente tomamos conhecimento de notcias de fraudes digitais, perdas
de dados de clientes, intruses em redes e sistemas de informao sensveis para
as organizaes que se traduzem em prejuzos de milhes e milhes de reais.
Acreditamos que, quanto mais a empresa estiver interligada com seus fornecedores, clientes e usurios, maiores so as chances de ocorrncia de incidentes em segurana da informao que possam trazer perdas financeiras.
De acordo com um estudo do Comit Gestor da Internet no Brasil (vide
www.cert.br), o Brasil um dos maiores emissores de spam e phishing, sendo
que as fraudes desse tipo tm aumentado significativamente.

426 Implantando a Governana de TI 3 edio

10.6 Certificaes

relacionadas

A certificao, neste caso, do Sistema de Gesto da Segurana da Informao (ISMS) da organizao, podendo englobar a empresa como um todo
ou uma operao especfica.
A empresa certificada na norma ISO/IEC 27001. O ISMS no precisa compreender todos os controles preconizados na prpria norma e detalhados na ISO/
IEC 27002, mas somente aqueles que so aplicveis situao de cada empresa.
Os controles so selecionados de acordo com as vulnerabilidades, os riscos, as
obrigaes contratuais, os requisitos legais e de regulao submetidos empresa.
No mbito pessoal, existe a certificao ISO/EEC 27002 Foundation, que
visa atestar a proficincia dos profissionais nos fundamentos da norma.

10.7 Gesto

da

Continuidade

do

Negcio

Em 2006, foi lanada pelo British Institute of Standards, a norma BS


25999-1:2006, que trata da gesto da continuidade do negcio ou Business
Continuity Management BCM. Esta parte da norma o cdigo de prticas.
No Brasil, a norma correspondente a NBR 15999-1:2007.
Em 2007, foi publicada a BS 25999-1:2007, que a especificao da norma com a qual se pode obter a certificao do sistema de Gerenciamento da
Continuidade do Negcio GCN.
Esta norma especifica os requisitos para estabelecer e gerenciar um sistema de gerenciamento da continuidade do negcio e aplica o conceito
do modelo PDCA (Plan, Do, Check, Act) de forma similar aplicada pela
ISO/IEC 27001.
No quadrante PLAN, a norma estabelece que os limites do sistema de
GCN estejam definidos e que os objetivos estejam claros, entendidos e comunicados. Abrange:
O escopo.
A poltica de Gerenciamento da Continuidade do Negcio.
O provisionamento de recursos.

Modelos para Segurana da Informao ISO/IEC 27001 e 27002 427

As habilidades da equipe de GCN.


Proviso de confiana para os clientes e outras organizaes acerca da
capacidade de gesto da continuidade do negcio.
A documentao do sistema de GCN.
O controle de documentos do GCN.
Os procedimentos.
O controle dos registros do sistema de GCN.

O quadrante DO da norma estabelece que a organizao identifique as


atividades crticas e os recursos necessrios para dar suporte aos principais
produtos e processos de negcio. Abrange:
A anlise de impacto no negcio (Business Impact Assessment).
A anlise e avaliao de riscos.
A determinao de opes.
A identificao dos acordos de servios (que permitem que a
organizao recupere os servios dentro de tempos predeterminados).
O desenvolvimento e a implementao da estrutura de resposta de
incidentes.
Os planos de continuidade e de gerenciamento de incidentes.
Testes e exerccios do plano de continuidade.

O quadrante CHECK da norma estabelece que a organizao mantenha e


revise o sistema de GCN. Abrange:
Auditorias internas sobre o sistema.
Revises gerenciais da poltica e do sistema.

O quadrante ACT da norma estabelece:


A execuo de aes preventivas e corretivas.
A melhoria contnua do sistema de GCN.

428 Implantando a Governana de TI 3 edio

De acordo com a norma, os benefcios da GCN so:


Possibilitar, de forma proativa, a identificao dos impactos de interrupes operacionais.
Ter uma efetiva resposta para interrupes que minimizem o impacto
na organizao.
Manter habilidade para gerenciar riscos no assegurveis.
Encorajar o trabalho entre equipes.
Ser capaz de demonstrar resposta com credibilidade atravs de um
processo de teste do plano de continuidade do negcio.
Possibilitar o aumento da reputao da organizao.
Possibilitar a obteno de uma vantagem competitiva, conferida pela
demonstrao da habilidade de manter as entregas prometidas para
os seus clientes.

A certificao, por sua vez, permite organizao:


Atrair clientes.
Melhorar a sua imagem.
Demonstrar a capacidade de recuperar os servios prestados aos clientes.
Aumentar a vantagem comparativa em relao a concorrentes que
no adotam essas melhores prticas.
Demonstrar o alinhamento com os requisitos de continuidade de negcio dos clientes.

10.8 Outras

normas

ISO

relativas

segurana da informao

Para segurana da informao, a ISO possui outras normas, tais como:


ISO/IEC 1540864, que trata de critrios de avaliao para a segurana de TI, tambm conhecida como Common Criteria for Information Technology Security Evaluation. De acordo com esta nor64 Vide em Albuquerque & Ribeiro (2002) a aplicao dessa norma.

Modelos para Segurana da Informao ISO/IEC 27001 e 27002 429

ma, pode-se certificar software, garantindo ao cliente que atenda


a requisitos de segurana. A norma estabelece os seguintes nveis
de Evaluation Assurance Level: testado funcionalmente, estruturalmente, metodicamente verificado, metodicamente projetado, testado e revisado e projetado e testado semiformalmente. Esta norma
pode ser usada como detalhamento de implantao dos controles
relativos ao desenvolvimento de sistemas estabelecidos pela ISO/
IEC 27002.
ISO/IEC 27031, que descreve conceitos e prticas da prontido
da tecnologia da informao e comunicao para a continuidade
do negcio e fornece um framework com mtodos e processos para
identificar e especificar todos os aspectos (tais como critrios de desempenho, projeto e implementao) para melhorar a prontido da
TI, visando assegurar a continuidade do negcio. Aplica-se a qualquer tipo de organizao e uma norma que pode estar vinculada
BS 25999.
H dezenas de normas relativas segurana da informao, que
tratam desde o vocabulrio usado at o estabelecimento de requisitos para segurana de arquitetura em sistemas abertos, acesso remoto s bases de dados, criptografia, autenticao de mensagens,
biometria, identificao pessoal, etc. Veja em www.iso.org para obter mais informaes.

11

11

Modelos para Gerenciamento


de Sourcing

H basicamente duas linhas principais de modelos de gerenciamento para


sourcing, tanto do ponto de vista do provedor do servio como do cliente
(comprador de servios).
Essas duas linhas so representadas pelos modelos desenvolvidos pelo ITsqc (Information Technology Services Qualification Center) e pelo Software Engineering Institute. O primeiro desenvolveu os modelos eSCM-SP e eSCM-CL
e o segundo, o CMMI for Acquisition.
Neste captulo, apresentaremos um resumo desses modelos.

11.1 eSCM-SP
11.1.1 Histrico

do modelo

O eSCM-SP ou The eSourcing Capability Model for Service Providers um


modelo orientado exclusivamente para operaes de sourcing, que atende no
somente a servios de TI, mas a outros servios que usam a tecnologia da
informao.
Sua primeira verso de novembro de 2001. A verso atual (2.01) foi
desenvolvida por um consrcio de empresas e instituies lideradas pela Carnegie Mello