Uma Abordagem Correlacional Dos Modelos Cobit Itil e Da Norma Abnt NBR Iso Iec 38500 para o Tema Governança Corporativa de Tecnologia Da Informação.
Uma Abordagem Correlacional Dos Modelos Cobit Itil e Da Norma Abnt NBR Iso Iec 38500 para o Tema Governança Corporativa de Tecnologia Da Informação.
Uma Abordagem Correlacional Dos Modelos Cobit Itil e Da Norma Abnt NBR Iso Iec 38500 para o Tema Governança Corporativa de Tecnologia Da Informação.
Caruaru - PE
Dezembro de 2009
UNIVERSIDADE DE PERNAMBUCO - UPE
FACULDADE DE CIÊNCIAS E TECNOLOGIA DE CARUARU
– FACITEC
BACHARELADO EM SISTEMAS DE INFORMAÇÃO
Trabalho de Graduação
apresentado na Faculdade de
Ciências e Tecnologia de Caruaru, da
Universidade de Pernambuco, por
Thiago Marques de Oliveira, sob a
orientação do Prof. Fernando Pontual
de Souza Leão Júnior, como requisito
parcial para obtenção do grau de
Bacharel em Sistemas de Informação.
Caruaru - PE
Dezembro de 2009
2
Agradecimentos
3
Resumo
4
Abstract
This paper proposes a study on IT governance, with the linking the principles
of the standard ISO/IEC 38500:2009 with the CobiT model processes and ITIL, to
facilitate the choice of one or more models, and cases of them, to aid in the
implementation of IT governance in an organization, based on the needs of the
same. The article outlines the principles of IT governance, within today's corporate
governance, based on ISO/IEC 38500, and the model CobiT and ITIL provide care
support these principles. Results of this study, the relationship of the processes of
the models listed with standard, providing information regarding which processes
which deal with principles, and how the models meet the needs of this standard.
5
Lista de Figuras
6
Lista de Tabelas
Tabela 3.1 – Critérios de Análise para os modelos CobiT e ITIL em relação à norma
ISO/IEC 38500 .......................................................................................................... 20
Tabela 3.2 – Implicações do SOA para TI ................................................................. 23
Tabela 3.3 – Questões e processos do domínio “PO” do CobiT ............................... 42
Tabela 3.4 – Questões e processos do domínio “AI” do CobiT ................................. 43
Tabela 3.5 – Questões e processos do domínio “DS” do CobiT ............................... 43
Tabela 3.6 – Questões e processos do domínio “ME” do CobiT ............................... 44
Tabela 3.7 – Processos e funções da ITIL V3 ........................................................... 53
Tabela 3.8 – Processos da Estratégia de Serviço da ITIL V3 ................................... 56
Tabela 3.9 – Processos do Desenho de Serviços da ITIL V3 e seus objetivos ......... 59
Tabela 3.10 – Processos da Transição de Serviço da ITIL V3 e seus objetivos ....... 63
Tabela 3.11 – Processos da Operação de Serviços da ITIL V3 e seus objetivos ..... 65
Tabela 3.12 – Funções da Operação de Serviços da ITIL V3 e seus objetivos ........ 67
Tabela 3.13 – Processos da Melhoria de Serviço da ITIL V3 e seus objetivos ......... 71
Tabela 3.14 – Correlacionamento entre norma ISO/IEC 38500 e o modelo CobiT ... 74
Tabela 3.15 – Correlacionamento entre norma ISO/IEC 38500 e o modelo ITIL ...... 76
7
SUMÁRIO
1. Introdução ........................................................................................................... 11
1.1. Problemática ................................................................................................ 13
1.2. Objetivos do trabalho ................................................................................... 13
1.3. Justificativa ................................................................................................... 14
1.4. Motivação do trabalho .................................................................................. 15
2. Metodologia ........................................................................................................ 16
2.1. Natureza da Pesquisa .................................................................................. 16
2.2. Quanto aos fins ............................................................................................ 16
2.3. Quanto aos meios ........................................................................................ 16
2.4. Quanto à forma de abordagem .................................................................... 17
2.5. Procedimentos Metodológicos ..................................................................... 17
2.6. Limitações do Trabalho ................................................................................ 20
3. Fundamentação Teórica ..................................................................................... 21
3.1. Regulamentações de Compliance ............................................................... 21
3.1.1. Sabanes-Oxley Act ................................................................................ 21
3.1.2. Acordo da Basiléia II .............................................................................. 24
3.2. Governança Corporativa .............................................................................. 25
3.3. Governança de TI e Norma ISO 38500 ........................................................ 27
3.4. Entidades de Padronização ......................................................................... 28
3.4.1. ISO ........................................................................................................ 28
3.4.2. ABNT ..................................................................................................... 29
3.5. Norma ISO/IEC 38500 ................................................................................. 29
3.5.1. Estrutura de Governança Corporativa de TI .......................................... 30
3.5.2. Modelo de Governança de TI ................................................................ 31
3.5.3. Guia para Governança de TI da norma ISO/IEC 38500 ........................ 32
3.6. CobiT............................................................................................................ 36
3.6.1. Histórico ................................................................................................. 36
3.6.2. Objetivos do Modelo .............................................................................. 37
3.6.3. Estrutura do Modelo .............................................................................. 39
3.6.3.1. Foco no negócio.............................................................................. 39
3.6.3.2. Orientação para processos ............................................................. 40
3.6.3.3. Controle através de objetivos .......................................................... 44
8
3.6.3.4. Direcionamento para medições....................................................... 46
3.6.3.5. Visão integrada do modelo.............................................................. 47
3.6.3.6. Conteúdo dos processos de TI ....................................................... 48
3.7. ITIL ............................................................................................................... 49
3.7.1. Histórico do Modelo ............................................................................... 49
3.7.2. Objetivos do Modelo .............................................................................. 50
3.7.3. Estrutura do Modelo .............................................................................. 50
3.7.3.1. Visão Geral ..................................................................................... 50
3.7.3.1.1. Estratégia de Serviço ................................................................... 53
3.7.3.1.1.1. Processos da Estratégia de Serviço ....................................... 55
3.7.3.1.2. Desenho ....................................................................................... 56
3.7.3.1.2.1. Processos do Desenho de Serviço ......................................... 57
3.7.3.1.3. Transição de Serviço .................................................................... 60
3.7.3.1.3.1. Processos da Transição de Serviço ....................................... 61
3.7.3.1.4. Operação de Serviço .................................................................... 63
3.7.3.1.4.1. Processos da Operação de Serviço ....................................... 64
3.7.3.1.4.2. Funções da Operação de Serviço .......................................... 66
3.7.3.1.5. Melhoria de Serviço Continuada................................................... 67
3.7.3.1.5.1. Processos da Melhoria de Serviço Continuada ...................... 69
4. Processos e controles mapeados na correlação dos modelos CobiT, ITIL e a
Norma ISO/IEC 38500 .............................................................................................. 72
4.1.1. Mapeamento ISO/IEC 38500 x CobiT ................................................... 72
4.1.2. Mapeamento ISO/IEC 38500 x ITIL ....................................................... 74
4.1.3. Relacionamento dos processos ............................................................. 76
4.1.4. ISO/IEC 38500 x CobiT ......................................................................... 77
4.1.4.1. Princípio da Responsabilidade ........................................................ 77
4.1.4.2. Princípio da Estratégia .................................................................... 78
4.1.4.3. Princípio da Aquisição ..................................................................... 80
4.1.4.4. Princípio do Desempenho ............................................................... 81
4.1.4.5. Princípio da Conformidade .............................................................. 82
4.1.4.6. Princípio do Comportamento Humano ............................................ 84
4.1.5. ISO/IEC 38500 x ITIL............................................................................. 84
4.1.5.1. Princípio da Responsabilidade ........................................................ 85
9
4.1.5.2. Princípio da Estratégia .................................................................... 85
4.1.5.3. Princípio da Aquisição ..................................................................... 87
4.1.5.4. Princípio do Desempenho ............................................................... 88
4.1.5.5. Princípio da Conformidade .............................................................. 89
4.1.5.6. Princípio do Comportamento Humano ............................................ 90
4.2. Considerações Finais ................................................................................... 91
4.2.1. Sugestões para trabalhos futuros .......................................................... 93
5. Referências Bibliográficas .................................................................................. 94
10
1. Introdução
12
caminhos a seguir no gerenciamento e no processo de Governança de TI. Só que
muitos gestores se perguntam qual desses modelos utilizar. Esse trabalho propõe
um estudo que auxilie os gestores a escolherem modelos que tenham maior
potencial de contribuição para a organização de acordo com suas necessidades e
com base nos princípios sugeridos pela norma norteadora adotada pelo estudo.
No âmbito deste trabalho, considerar-se-á a questão da utilização dos
modelos CobiT e ITIL, que dão suporte à implantação da Governança de TI em
organizações através de seus processos, no alcance dos princípios de Governança
Corporativa de TI apresentados na norma ISO/IEC 38500, conforme apresentado no
tópico seguinte.
1.1. Problemática
Foi lançada recentemente a norma NBR ISO/IEC 38500, com foco em
governança corporativa de TI. A norma aborda diversos pontos que devem ser
tomados como princípios para um modelo de governança de TI. Juntando a esse
fato, a dificuldade na escolha de modelos para auxílio na implantação de
governança de TI, por não saber como e quais setores são abordados por eles. O
questionamento que este trabalho pretende responder é: até que ponto, e como, os
modelos CobiT e ITIL, através de seus processos, cobrem os princípios da NBR
ISO/IEC 38500?
13
Como resultado final, o trabalho pretende mostrar quais processos do CobiT e
da ITIL cobrem quais princípios da norma ISO/IEC 38500, ilustrando quais pontos
são abordados entre eles e quais não, junto com a análise das ações propostas no
correlacionamento dos mesmos. Com base nessas informações pode-se saber
quais processos de cada modelo poderão ser utilizados para alcançar os objetivos
do negócio.
Segue a divisão dos objetivos específicos que serão abordados para construir
o estudo proposto, visando alcançar o objetivo geral:
1. Apresentar o conceito de governança de TI;
2. Estudar o modelo CobiT;
3. Estudar a biblioteca ITIL;
4. Estudar a norma ISO/IEC 38500;
5. Analisar comparativamente o modelo CobiT, a biblioteca ITIL e norma
ISO/IEC 38500;
1.3. Justificativa
Um dos principais ativos de uma organização é a informação que ela tem.
Com informação é possível ter maior controle sobre as tomadas de decisões, que
são baseadas nas informações obtidas. Se as informações que o gestor tiver forem
poucas, inexatas, complexas ou fora do escopo desejado, a decisão tomada terá
menor chance de ser efetiva e trazer um bom resultado.
Com este ambiente as organizações precisam cada vez mais otimizar seus
modelos de gestão de TI, para que as informações geradas na empresa sejam
realmente importantes para as tomadas de decisões, influenciando o funcionamento
da organização de forma positiva.
14
[...] a estrutura da informação e os sistemas de informações são tão
importantes que a TI é fator determinante na competitividade da companhia,
já que, além de sua utilização como elemento-chave na administração dos
recursos, a política de TI equipara-se, em nível estratégico, com o papel da
definição de negócios e da própria organização [...]. (WALTON apud
STRASSBURG, 2007, p.100)
15
2. Metodologia
16
pesquisa documental é que a fonte de coleta de dados está restrita a documentos,
escritos ou não, constituindo o que se denomina de fontes primárias."
Direção da Responsabilidade Este critério tem como objetivo diferenciar os modelos que
possuem processos que façam, incentivem, ou suportem
minimamente, os dirigentes proverem as informações
necessárias aos responsáveis e exigirem o cumprimento dos
planos de acordo com as responsabilidades delegadas, dos
que não possuem.
Avaliação da Estratégia Este critério tem como objetivo diferenciar os modelos que
possuem processos que façam, incentivem, ou suportem
minimamente, os dirigentes avaliarem os desenvolvimentos de
TI e os processos de negócios para que apóiem as
necessidades futuras, e/ou as atividades de TI para que
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaiiiiiContinua
17
estejam alinhadas com os objetivos da organização, dos que
não possuem.
Direção da Estratégia Este critério tem como objetivo diferenciar os modelos que
possuem processos que façam, incentivem, ou suportem
minimamente, os dirigentes liderarem a preparação e utilização
de planos e políticas que assegurem benefícios à organização
pelo uso de TI, e/ou encorajem apresentações de propostas de
inovação, dos que não possuem.
Monitoramento da Estratégia Este critério tem como objetivo diferenciar os modelos que
possuem processos que façam, incentivem, ou suportem
minimamente, os dirigentes monitorarem o progresso das
propostas de TI para garantir que atinjam seus objetivos dentro
dos prazos, e/ou o uso de TI para assegurar que os benefícios
pretendidos estão sendo alcançados, dos que não possuem.
Avaliação da Aquisição Este critério tem como objetivo diferenciar os modelos que
possuem processos que façam, incentivem, ou suportem
minimamente, os dirigentes avaliarem opções para
fornecimento de TI, dos que não possuem.
Direção da Aquisição Este critério tem como objetivo diferenciar os modelos que
possuem processos que façam, incentivem, ou suportem
minimamente, os dirigentes orientarem para que os ativos de
TI sejam adquiridos de forma apropriada, e/ou certificarem que
os acordos de fornecimento darão suporte às necessidades da
organização, dos que não possuem.
Monitoramento da Aquisição Este critério tem como objetivo diferenciar os modelos que
possuem processos que façam, incentivem, ou suportem
minimamente, os dirigentes monitorarem os investimentos de
TI, e/ou até que ponto a organização e os fornecedores
mantêm uma compreensão mútua das intenções da
organização com a aquisição de TI, dos que não possuem.
Avaliação do Desempenho Este critério tem como objetivo diferenciar os modelos que
possuem processos que façam, incentivem, ou suportem
minimamente, os dirigentes avaliarem proposições dos
gerentes para assegurar apoio aos processos do negócio, e/ou
os riscos à continuidade da operação, e/ou riscos à integridade
da informação e proteção de ativos de TI, e/ou a eficácia e
desempenho do Sistema de GTI da organização, dos que não
possuem.
Direção do Desempenho Este critério tem como objetivo diferenciar os modelos que
possuem processos que façam, incentivem, ou suportem
minimamente, os dirigentes assegurarem que recursos
suficientes sejam alocados garantindo que a TI atenda às
necessidades da organização, e/ou orientem os responsáveis
sobre a necessidade de atualização e proteção dos dados, dos
que não possuem. Continua
18
Monitoramento do Este critério tem como objetivo diferenciar os modelos que
Desempenho possuem processos que façam, incentivem, ou suportem
minimamente, os dirigentes monitorarem até que ponto a TI dá
suporte ao negócio, e/ou até que ponto os recursos e
orçamento foram priorizados de acordo com os objetivos do
negócio, e/ou até que ponto as políticas são seguidas
corretamente, dos que não possuem.
Avaliação da Conformidade Este critério tem como objetivo diferenciar os modelos que
possuem processos que façam, incentivem, ou suportem
minimamente, os dirigentes avaliarem regularmente até que
ponto a TI cumpre com as obrigações, e/ou a conformidade
interna da organização com seu sistema de GTI, dos que não
possuem.
Direção da Conformidade Este critério tem como objetivo diferenciar os modelos que
possuem processos que façam, incentivem, ou suportem
minimamente, os dirigentes exigirem a garantia de que o uso
da TI está em conformidade com as exigências legais, e/ou
que políticas sejam estabelecidas e cumpridas, e/ou que os
profissionais ajam de acordo com as melhores práticas de
comportamento e desenvolvimento profissional, e/ou que todas
as ações relacionadas com a TI sejam éticas, dos que não
possuem.
Avaliação do Comportamento Este critério tem como objetivo diferenciar os modelos que
Humano possuem processos que façam, incentivem, ou suportem
minimamente, os dirigentes avaliarem as atividades de TI para
garantir que os comportamentos humanos sejam identificados
e apropriadamente considerados, dos que não possuem.
Direção do Comportamento Este critério tem como objetivo diferenciar os modelos que
Humano possuem processos que façam, incentivem, ou suportem
minimamente, os dirigentes exigirem que as atividades de TI
sejam compatíveis com as diferenças de comportamento
humano, e/ou que riscos, oportunidades, constatações e
preocupações possam ser identificadas e relatadas por
qualquer pessoa a qualquer momento, dos que não possuem.
19
garantir que os comportamentos humanos identificados
permaneçam relevantes e que lhes sejam dadas a devida
atenção, e/ou as práticas de trabalho para garantir que sejam
consistentes com o uso apropriado da TI, dos que não
possuem.
Tabela 3.1 – Critérios de Análise para os modelos CobiT e ITIL em relação à norma ISO/IEC 38500
20
3. Fundamentação Teórica
22
Requisitos de qualidade Implicações da lei Sarbanes-Oxley
da informação
24
os bancos no Brasil estão em estágio extremamente avançado no que diz respeito à
integração, uso de tecnologias, diversidade de canais e diversidade de produtos, a
questão “risco operacional” de TI é primordial. Assim sendo, o impacto do Acordo da
Basiléia II, no que tange ao risco operacional, abrange praticamente todo o conjunto
de processos de TI e respectivas áreas organizacionais.
26
Para compreender melhor os aspectos que envolvem a Governança de TI,
devemos entender seus conceitos e atributos. Para isso o próximo item trata da
Governança de TI mais detalhadamente.
E a terceira definição é dada pela ISO/IEC 38500 (2009, p.3) que diz que a
governança de TI:
[...] é o sistema pelo qual o uso, atual e futuro, da TI é dirigido e controlado,
significando avaliar e direcionar o uso da TI para dar suporte à organização
e monitorar seu uso para realizar os planos, incluindo estratégias e políticas
de uso da TI dentro da organização [...].
Com base nessas três definições, e no atributo citado, podemos dizer que a
governança de TI busca compartilhar as decisões de TI entre os dirigentes da
organização, além de estabelecer regras, formas de organização e os processos
que nortearão o uso da tecnologia da informação pelos usuários, determinando
como a TI deve prover serviços a empresa.
27
Diferentemente do que muitos gestores pensam, a governança de TI não é
apenas a implantação de modelos de melhores práticas, como CobiT e ITIL. Esses
modelos são ferramentas que auxiliam a organização a atingir os reais objetivos da
governança de TI, que segundo Fernandes & Abreu (2008, p.14) são:
a) Garantir o alinhamento da TI ao negócio (estratégias e objetivos),
tanto no que diz respeito a aplicações como à infra-estrutura de
serviços de TI;
b) Garantir a continuidade do negócio contra interrupções e falhas
(manter e gerir as aplicações e a infra-estrutura de serviços);
c) Garantir o alinhamento da TI a marcos de regulação externos como
a Sarbanes-Oxley (para empresas que possuem ações, títulos ou
papéis sendo negociados em bolsas de valores norte-americanas),
Basiléia II (no caso de bancos) e outras normas e resoluções
aplicáveis dependendo da organização.
Para compreender os aspectos que envolvem a Governança de TI, conforme
discutido anteriormente, faz-se necessário entender os modelos que procuram
definir as melhores práticas a serem adotas pelas empresas. Para isso os próximos
itens tratam, em ordem, da norma ISO/IEC 38500, do modelo CobiT e da biblioteca
ITIL.
3.4.1. ISO
28
responsabilidade é da International Electrotechnical Commission (IEC), fundada
em 1906.
A ISO é uma organização não governamental que forma uma ponte entre o
setor público e privado. De um lado, vários de seus membros fazem parte da
estrutura governamental dos países no qual atua, ou são dirigidos por seus
governos. Por outro lado, outros membros têm suas raízes unicamente no setor
privado, tendo sido formados pelas parcerias de associações das indústrias.
Portanto, a ISO permite um consenso entre os setores, alcançando soluções que
atendam às necessidades dos negócios e as necessidades mais amplas da
sociedade.
3.4.2. ABNT
Fundada em 1940, a Associação Brasileira de Normas Técnicas (ABNT) é o
órgão responsável pela normalização técnica no país, fornecendo a base necessária
ao desenvolvimento tecnológico brasileiro. É uma entidade privada, sem fins
lucrativos, reconhecida como único Foro Nacional de Normalização através da
Resolução n.º 07 do CONMETRO, de 24.08.1992.
É membro fundador da ISO (International Organization for Standardization),
da COPANT (Comissão Panamericana de Normas Técnicas) e da AMN (Associação
Mercosul de Normalização). A ABNT é a única e exclusiva representante no Brasil
das seguintes entidades internacionais: ISO (International Organization for
Standardization), IEC (International Electrotechnical Comission), e das entidades de
normalização regional COPANT (Comissão Panamericana de Normas Técnicas) e a
AMN (Associação Mercosul de Normalização).
29
negócio, e poucas podem realmente funcionar eficazmente sem ela. A TI é também
um fator importante nos futuros planos de negócio de muitas organizações.
As despesas com TI podem representar uma proporção significativa dos
gastos de recursos financeiros e humanos de uma organização. No entanto, o
retorno desse investimento não é totalmente obtido com freqüência e os efeitos
adversos podem ser significativos para as organizações.
Embora esta norma seja destinada principalmente à diretoria, que por sua vez
pode decidir que certas ações sejam tomadas pela administração da organização,
ela permite também que, em algumas organizações (geralmente menores), os
membros da diretoria possam também ocupar papéis importantes no gerenciamento.
Dessa forma, garante que a esta norma seja aplicável em todas as organizações,
desde as menores até as maiores, independentemente da área de atuação, do
propósito e da estrutura da organização.
30
equilíbrio apropriado entre benefícios, oportunidades, custos e riscos de curto e
longo prazo.
O quarto princípio é o de desempenho (ABNT NBR ISO/IEC 38500, 2009,
p.6), onde a TI deve estar adequada ao propósito de apoiar a organização,
fornecendo serviços, níveis de serviços e qualidade de serviço, necessários para
atender os requisitos atuais e futuros do negócio.
O quinto princípio é o de conformidade (ABNT NBR ISO/IEC 38500, 2009,
p.6), onde a TI deve cumprir toda a legislação e regulamentos obrigatórios. As
políticas e práticas devem ser claramente definidas, implementadas e fiscalizadas.
E o sexto princípio é o de comportamento humano (ABNT NBR ISO/IEC
38500, 2009, p.6), onde as políticas, práticas e decisões de TI devem mostrar
respeito pelo comportamento humano, incluindo as necessidades atuais e futuras de
todas as pessoas envolvidas no processo.
Cada princípio tem três tarefas, avaliar, dirigir e monitorar, essas três tarefas
são a base do modelo de governança de TI que é proposto pela norma e que será
abordado no próximo item.
31
boa governança de TI, exigindo que os gerentes forneçam informações em tempo
adequado, cumprindo as orientações e em conformidade com os seis princípios da
boa governança de TI.
E na tarefa de “Monitorar”, convém que os dirigentes monitorem através de
sistemas de mensuração apropriados. Certificando que o desempenho está de
acordo com os planos, principalmente no que diz respeito aos objetivos do negócio,
e que a TI está em conformidade com as obrigações externas (regulamentares,
legislativas, legais, contratuais) e práticas internas de trabalho. A figura 3.1
apresenta o modelo de governança de TI proposto pela norma ISO/IEC 38500.
33
encorajar a apresentação de propostas para usos inovadores da
TI, que permitam que a organização possa responder a novas
oportunidades e desafios, empreendendo novos negócios ou
melhores processos.
c. Monitorar: Os dirigentes devem monitorar o progresso das
propostas de TI aprovadas para garantir que atinjam seus
objetivos dentro dos prazos exigidos, utilizando os recursos
disponibilizados, assegurando que os benefícios pretendidos
estão sendo alcançados.
3. Princípio de Aquisição (ABNT NBR ISO/IEC 38500, 2009, p.12)
a. Avaliar: Os dirigentes devem avaliar as opções para o
fornecimento da TI de forma a atingir os objetivos das propostas
aprovadas, buscando o equilíbrio entre os riscos e o retorno nos
investimentos propostos.
b. Dirigir: Os dirigentes devem orientar as aquisições para que os
ativos de TI (sistemas e infra-estrutura) sejam adquiridos de
forma apropriada, incluindo a preparação de documentação
adequada que assegure o fornecimento de capacidades
necessárias, certificando-se que os acordos de fornecimento
(tanto interno quanto externo) darão suporte às necessidades da
organização.
c. Monitorar: Os dirigentes devem monitorar os investimentos de TI
para assegurar que eles forneçam as capacidades requeridas,
assim como monitorar até que ponto a organização e os
fornecedores mantêm uma compreensão mútua das intenções
da organização ao fazer a aquisição.
4. Princípio de Desempenho (ABNT NBR ISO/IEC 38500, 2009, p.13)
a. Avaliar: Os dirigentes devem avaliar as proposições dos
gerentes para assegurar que a TI apoiará os processos do
negócio com a capacidade e competência necessárias,
prezando pela continuidade da operação dos negócios e o
tratamento dos riscos associados com o uso da TI. Devem
garantir tomadas de decisões de forma eficaz e rápida, e avaliar
34
também a eficácia e o desempenho do sistema de governança
de TI da organização de forma regular.
b. Dirigir: Os dirigentes devem assegurar que recursos suficientes
sejam alocados de forma a garantir que a TI atenda às
necessidades da organização, de acordo com as prioridades
acordadas e restrições orçamentárias. E quando em questões
comerciais, os dirigentes devem orientar os responsáveis pela TI
sobre a necessidade de manter os dados atualizados e
protegidos contra perda ou uso indevido.
c. Monitorar: Os dirigentes devem monitorar até que ponto a TI dá
suporte ao negócio, assim como até que ponto os recursos e
orçamento alocados foram priorizados de acordo com os
objetivos de negócio e se as políticas estão sendo seguidas
corretamente.
5. Princípio de Conformidade (ABNT NBR ISO/IEC 38500, 2009, p.14)
a. Avaliar: Os dirigentes devem avaliar regularmente até que ponto
a TI cumpre com as obrigações (regulamentares, legislativas,
legais, contratuais), políticas internas, normas e melhores
práticas profissionais, assim como a conformidade interna da
organização com seu sistema de governança de TI.
b. Dirigir: Os dirigentes devem exigir que aqueles responsáveis por
estabelecer mecanismos rotineiros e regulares garantam que o
uso da TI está em conformidade com exigências legais
(regulamentares, legislativas, jurídicas, contratuais) e com as
normas e melhores práticas. Exigindo também o
estabelecimento e cumprimento de políticas para permitir que a
organização cumpra com suas obrigações internas no uso de TI,
que os profissionais de TI ajam de acordo com as melhores
práticas de comportamento e desenvolvimento profissional, e
cobrando ética em todas as ações relacionadas com TI.
c. Monitorar: Os dirigentes devem monitorar o cumprimento e
conformidade da TI por meio de relatos apropriados e práticas
de auditoria, assegurando que análises críticas ocorram dentro
35
dos prazos e sejam realizadas de forma completa e apropriadas,
para a avaliação do grau de satisfação do negócio.
6. Princípio de Comportamento Humano (ABNT NBR ISO/IEC 38500,
2009, p.15)
a. Avaliar: Os dirigentes devem avaliar as atividades de TI para
garantir que os comportamentos humanos sejam identificados e
apropriadamente considerados.
b. Dirigir: Os dirigentes devem exigir que as atividades de TI sejam
compatíveis com as diferenças do comportamento humano. Os
riscos, oportunidades, constatações e preocupações devem ser
identificados e relatados por qualquer pessoa a qualquer
momento. Esse riscos devem ser gerenciados de acordo com as
políticas e procedimentos publicados e levados ao
conhecimento dos respectivos responsáveis pelas tomadas de
decisão.
c. Monitorar: Os dirigentes devem monitorar as atividades de TI
para garantir que os comportamentos humanos identificados
permaneçam relevantes e que lhes sejam dadas a devida
atenção. As práticas de trabalho devem ser monitorada visando
a garantia de que são consistentes com o uso apropriado da TI.
3.6. CobiT
O CobiT (Control Objectives for Information and related Technology) foi criado
em 1994 pela ISACF (Information Systems Audit and Control Foundation), membro
ligado à ISACA (Information Systems Audit and Control Association), com base em
seu conjunto inicial de objetivos de controle, e vem evoluindo através da
incorporação de padrões internacionais técnicos, profissionais, regulatórios e
específicos para processos de TI.
3.6.1. Histórico
Sua 2ª versão foi publicada em 1998, contendo uma revisão detalhada nos
objetivos de controle de alto nível, e mais um conjunto de ferramentas e padrões
para implementação. A 3ª edição foi publicada em 2000 pelo IT Governance Institute
36
(ITGI), órgão criado pela ISACA com o objetivo de promover um melhor
entendimento e adoção dos princípios de governança de TI.
Em 2005 o modelo evoluiu novamente, para sua versão 4.0, através de
práticas e padrões mais maduros (alinhados a modelos como COSO, ITIL e ISO/IEC
17799) e em conformidade com as regulamentações, com foco mais acentuado na
governança de TI, nos níveis mais elevados e na ampliação de sua abrangência
para um público mais heterogêneo (gestores, técnicos, especialistas e auditores de
TI).
Em 2007 houve uma atualização incremental (versão 4.1), cujo foco foi
orientado a uma maior eficácia dos objetivos de controle e dos processos de
verificação e divulgação de resultados. Houve modificação nas definições dos
objetivos de controle, para serem caracterizados como diretrizes de prática de
gestão, mais orientadas à ação.
37
c) Identifica os principais recursos de TI, nos quais deve haver mais
investimento;
d) Define os objetivos de controle que devem ser considerados para a
gestão.
O modelo CobiT é genérico o bastante para representar todos os processos
normalmente encontrados nas funções da TI, e compreensível tanto para a
operação como para os gerentes de negócios, pois cria uma ponte entre o que o
pessoal operacional precisa executar e a visão que os executivos desejam ter para
“governar”.
Para o CobiT, os pilares fundamentais que sustentam o núcleo da governança
de TI podem ser representados por cinco áreas, cada qual com seu respectivo foco.
Abaixo, a figura 3.2 ilustra as áreas-foco do CobiT.
38
acordo com a estratégia, concentrando-se em otimizar custos e em comprovar o
valor intrínseco da TI (COBIT 4.1, 2007, p.6).
O foco da área de “Gerenciamento de Recursos” é a otimização dos
investimentos e da gestão adequada dos recursos críticos de TI (aplicações,
informações, infra-estrutura e pessoas), essenciais para fornecer os subsídios de
que a empresa necessita para cumprir seus objetivos (COBIT 4.1, 2007, p.6).
A área de “Gerenciamento de Riscos” foca no conhecimento dos riscos por
parte da alta direção, entendimento claro dos requisitos de compliance e das
tendências da empresa para os riscos, transparência acerca dos tipos significativos
para a empresa e incorporação de responsabilidades para o gerenciamento dos
riscos na organização (COBIT 4.1, 2007, p.6).
E o foco da área “Medição de Desempenho” é no acompanhamento e
monitoração da implementação da estratégia, do andamento dos projetos, da
utilização de recursos, do desempenho dos processos e da entrega dos serviços,
utilizando, além das medições convencionais, indicadores de desempenho (como,
por exemplo, balanced scorecards) que traduzem a estratégia em ações para atingir
objetivos mensuráveis (COBIT 4.1, 2007, p.6).
39
O CobiT 4.1 (2007, p.11) pressupõe ainda que as informações desejadas
devem obedecer a alguns critérios de controle, os requisitos de negócio, de forma
que sua utilização seja proveitosa para os objetivos de negócio. Tais critérios
compreendem eficiência, eficácia, confidencialidade, integridade, disponibilidade,
conformidade com regulações e confiabilidade.
Os serviços que fornecem as informações necessárias para que a
organização atinja seus objetivos são disponibilizados através de um conjunto de
processos de TI que utilizam recursos de TI, ou seja, pessoas (habilidades,
conhecimentos, índices de produtividade) e infra-estrutura (hardware, sistemas
operacionais, bancos de dados, redes) para executar aplicações automatizadas e
procedimentos manuais que manipulam e processam as informações de negócio. O
investimento em tais recursos visa criar capacitações técnicas (sistemas, entre
outros) para suportar as melhorias nas funções de negócio, que serão refletidas nos
resultados estratégicos da organização. A figura 3.3 ilustra a arquitetura empresarial
para TI idealizada pelo princípio básico do CobiT.
• •
compreendem as metas de TI? tecnológica;
• Os riscos relacionados à TI • PO-4 Definir a organização de
estão compreendidos e sendo TI, os seus processos e
gerenciados? relacionamentos;
• A qualidade dos sistemas de TI • PO-5 Gerenciar o investimento
está adequada às necessidades em TI;
do negócio? • PO-6 Comunicar objetivos e
direcionamentos gerenciais;
• PO-7 Gerenciar os recursos
humanos;
• PO-8 Gerenciar a qualidade;
• PO-9 Avaliar e gerenciar riscos
de TI;
• PO-10 Gerenciar projetos.
42
Questões Gerenciais Processos de TI
43
Questões Gerenciais Processos de TI
•
• Há garantias de que os controles internos;
controles internos sejam • ME-3 Assegurar conformidade
eficientes e eficazes? com requisitos externos;
• É possível associar diretamente • ME-4 Fornecer governança
o desempenho de TI às metas para TI.
de negócio estabelecidas
anteriormente?
• Existem controles para
confidencialidade e
disponibilidade adequados para
garantir a segurança da
informação?
Tabela 3.6 – Questões e processos do domínio “ME” do CobiT
Fonte: Adaptado de COBIT 4.1 EXECUTIVE SUMARY FRAMEWORK, 2007, p.13 e p.23
44
(assim como às normas e padrões vigentes), e ações corretivas/preventivas são
empreendidas para a melhoria do processo.
Cada processo de TI do CobiT tem uma descrição de processo e vários
objetivos de controle detalhados. Há requisitos de controle genéricos, aplicáveis a
todos os processos, eles são identificados pela sigla PC seguido do número de
controle. Os requisitos de controle genéricos devem ser considerados junto com os
processos de TI definidos pelo CobiT, para que se possa ter uma visão completa
dos requisitos de controle. Segue abaixo as descrições dos requisitos genéricos
segundo o CobiT 4.1 (2007, p.14):
a) PC1 – Processo de Metas e Objetivos: Define e divulga as metas e
objetivos específicos para cada processo (mensuráveis, factíveis,
realistas, orientados a resultados, eficientes e aderentes aos objetivos
do negócio);
b) PC2 – Processo de “Responsabilidade”: Estabelece um “dono” para o
processo, com regras e responsabilidades claras (criação, interação
com outros processos, resultados finais, medição de desempenho,
identificação de oportunidades de melhoria) para seu “dono”;
c) PC3 – Processo de Repetição: Projeta e estabelece os processos de
TI chaves que produz resultados esperados e consistentes. Provê uma
lógica mas flexível e escalável seqüência de atividades que irão nortear
para os resultados desejáveis e tornar ágil o suficiente para lidar com
exceções e emergências;
d) PC4 – Papéis e Responsabilidades: Define as atividades chaves e as
entregas finais dos processos. Comunicando sem ambigüidades
papéis e responsabilidades para uma execução efetiva e eficiente das
atividades e de suas documentações como previsto nas entregas finais
dos processos;
e) PC5 – Política, Planos e Procedimentos: Define e comunica como
todas as políticas, planos e procedimentos que conduzem os
processos de TI são documentados, revisados, feitos manutenção,
aprovados, armazenados, comunicados e usados para treino. Designa
responsabilidades para cada uma dessas atividades e, em seu tempo,
revisa quais estão sendo executados corretamente. E assegura quais
45
políticas, planos e procedimentos são acessíveis, corretos, entendíveis
e atuais;
f) PC6 – Processo de Melhoria de Performance: Identifica e aplica
métricas que provê compreensão dos resultados e desempenhos dos
processos. Estabelece alvos que refletem nas metas dos processos e
nos indicadores de performance que possibilita a realização das metas
dos processos.
46
VI. Nível 5 (Otimizado): Boas práticas são seguidas e
automatizadas, com base em resultados de melhorias contínuas
e de ações de modelagem de maturidade junto a outras
empresas.
Através destes modelos de maturidade, a gerência tem condições de mapear
a situação atual da organização, comparar com a situação das melhores
organizações do segmento (benchmarking), comparar com padrões internacionais e
estabelecer e monitorar passo a passo as melhorias dos processos rumo à
estratégia da organização.
a) Metas e Medições de Desempenho: Demonstram, em três níveis, o que o
negócio espera da TI (metas de TI), o que o processo de TI precisa entregar
para suportar os objetivos da TI (metas de processos), e o que precisa
acontecer dentro do processo para que o desempenho requerido seja
atingido (metas de atividades). O CobiT usa dois tipos de indicadores:
I. Medições de Resultados (Outcome measures): Definem as
medições que informam à gerência se um processo de Ti atingiu
os objetivos de negócio, também denominadas “lag indicators”;
II. Indicadores de Desempenho (Performance Indicators): Definem
as medições que informam à gerência o quanto os processos de
TI estão sendo bem executados, no sentido de viabilizar o
atendimento dos objetivos de negócio, também denominados
“lead indicators”.
As metas são definidas de forma que haja correlação entre elas, ou seja, as metas
de negócio devem determinar quantas e quais metas de TI irão suportá-las, e assim
por diante.
47
Figura 3.5 – Cubo CobiT
Fonte: Adaptado de COBIT 4.1 EXECUTIVE SUMARY FRAMEWORK, 2007, p.25
49
fornecendo uma base sólida para convergência com outros padrões e modelos de
gestão e governança de TI (FERNANDES & ABREU, 2008, p.272).
A ITIL V3 e sua abordagem de ciclo de vida permite que se tenha uma visão
do gerenciamento de serviços pela perspectiva do próprio serviço, em vez de focar
em cada processo ou prática por vez. Esta característica realça mais um importante
objetivo, que é mensurar e gerenciar o valor que os serviços de TI efetivamente
adicionam ao negócio.
51
da distribuição, teste e validação de serviço, avaliação e gerenciamento do
conhecimento (FERNANDES & ABREU, 2008. p.274).
A publicação “Operação de Serviço” descreve a fase do ciclo de vida do
gerenciamento de serviços que é responsável pelas atividades do dia-a-dia,
orientando sobre como garantir a entrega e o suporte a serviços de forma eficiente e
eficaz, e detalhando os processos de gerenciamento de eventos, incidentes,
problemas, acesso e de execução de requisições (FERNANDES & ABREU, 2008.
p.275).
E a publicação “Melhoria de Serviço Continuada” orienta, através de
princípios, práticas e métodos de gerenciamento da qualidade, sobre como fazer
sistematicamente melhorias incrementais e de larga escala na qualidade dos
serviços, nas metas de eficiência operacional, na continuidade dos serviços, entre
outros, com base no modelo PDCA preconizado pela ISO/IEC 20000 (FERNANDES
& ABREU, 2008. p.275).
Os processos da ITIL V3 encontram-se distribuídos entre os 5 estágios,
conforme a tabela 3.7.
Publicações Processos Funções
52
Publicações Processos Funções
53
são pessoas, informações, aplicações, infra-estrutura e capital financeiro.
Capacitações são desenvolvidas ao longo do tempo e podem incluir gerenciamento,
organização, processos, conhecimento e pessoas.
Outro conceito que a ITIL V3 aborda é o de provedores de serviços, que
podem ser internos, áreas da própria organização que possuem flexibilidade e riscos
menores, unidades de serviços compartilhados, que possuem flexibilidade e riscos
medianos, ou externos, que são mais arriscados e flexíveis. Além disso, as
estruturas de serviço evoluíram da cadeia de valor básica para o de rede de valor,
incorporando relacionamentos com fornecedores substitutos e complementares,
além dos usuais entre o fornecedor, o provedor de serviço, o negócio e o cliente
(FERNANDES & ABREU, 2008. p.277).
Visto os conceitos e princípios da estratégia de serviço, abordaremos suas
etapas, que são quatro ao todo:
1. Definir o mercado;
2. Desenvolver as ofertas;
3. Desenvolver os ativos estratégicos;
4. Preparar para a execução.
Segundo Fernandes e Abreu (2008, p.277-278) a etapa “Definir o mercado”
estabelece a relação entre o serviço e a estratégia, onde o serviço pode ser
oferecido dentro de uma estratégia, ou vice-versa; e visa entender o cliente e as
oportunidades embutidas nos seus resultados de saída esperados, já que resultados
não atingidos podem ser alvos de potenciais serviços.
A etapa “Desenvolver as ofertas” parte da descoberta do espaço de mercado
a se focado, definindo os serviços com base na proposta de valor que estes podem
agregar aos ativos e resultados esperados dos clientes. Também estabelece o
portfólio de serviços, que representa os compromissos e investimentos feitos por um
provedor de serviços para todos os clientes e espaços de mercado, e os catálogos
de serviços, que é a parte do portfólio visível para o cliente, e que gera receita.
A etapa “Desenvolver os ativos estratégicos” busca gerenciar os serviços
como um ativo estratégico e desenvolver corretamente a rede de valor, pois dentro
da ótica de um sistema fechado (no qual os resultados têm influência na sua
realimentação), quando um provedor aumenta o potencial de um serviço, aumenta
também o potencial de desempenho dos ativos dos clientes atendidos, estes, por
54
sua vez, promovem o aumento da demanda pelo serviço que irá reduzir a
capacidade ociosa do provedor.
E a etapa “Preparar para execução” avalia estrategicamente as ofertas,
estabelecendo objetivos, alinhando os ativos do serviço com os resultados
esperados e com as necessidades dos clientes, definindo os fatores críticos de
sucesso, priorizando os investimentos e procurando formas de apoiar o crescimento
e a expansão do negócio, explorando o potencial dos espaços de mercado
atendidos.
55
a) Definição: que é o levantamento dos serviços, criação de casos de
negócio (business cases) para cada um deles e validação das
informações;
b) Análise: que focaliza a maximização do valor do portfólio, priorizando
os investimentos nos serviços, balanceando a entrega e a demanda,
com proposição de continuidade ou não do serviço;
c) Aprovação: decisão sobre o que fazer com os serviços;
d) Oficialização: divulgação para a organização e alocação de recursos.
E o processo de gerenciamento da demanda visa gerenciar de forma síncrona
os ciclos de produção dos serviços, que consomem demanda, e os ciclos de
consumo dos serviços, que geram mais demanda. A análise da dinâmica do negócio
poderá permitir o estabelecimento de padrões de atividades de negócio e de perfis
de usuários, que podem ser combinados para a composição de pacotes de serviços
customizados. Estes conceitos têm sido bastante utilizados por provedores de
serviços que oferecem soluções de terceirização total (full outsourcing) de TI a seus
clientes. A tabela 3.8, resume os objetivos dos processos da Estratégia de Serviço.
Processos da Estratégia de
Objetivo
Serviço
Prover a sustentação econômica necessária para a execução
Gerenciamento Financeiro
dos serviços da organização.
Governar os investimentos em gerenciamento de serviços na
Gerenciamento do Portfólio de
organização, e gerenciá-los para que adicionem valor ao
Serviços
negócio.
Gerenciar de forma síncrona os ciclos de produção e consumo
Gerenciamento da Demanda
dos serviços.
Tabela 3.8 – Processos da Estratégia de Serviço da ITIL V3
56
incluindo suas arquiteturas, processos, políticas e documentação, para entender os
requisitos do negócio atuais e futuros”.
Esta publicação descreve os princípios e fundamentos básicos do desenho de
serviço, abordando cinco aspectos importantes (FERNANDES & ABREU, 2008.
p.281-282). No primeiro aspecto, o desenho de um novo serviço ou a alteração de
um serviço existente deve ser encarado como o projeto de uma solução completa,
com alto grau de aderência aos requisitos estabelecidos pelo negócio. Tais
requisitos, assim como todos os recursos e capacitações necessárias para o serviço,
devem estar de acordo com a estratégia estabelecida pela organização .
No segundo aspecto, o desenho dos sistemas e ferramentas de
gerenciamento de serviços, principalmente o portfólio de serviços, tem que ser
capaz de apoiar os serviços em todos os momentos de seu ciclo de vida.
No terceiro aspecto, que o desenho das arquiteturas tecnológicas e sistemas
de gestão, que são serviços, aplicações, dados/informação, infra-estrutura e
ambiente, seja capaz de apoiar os serviços em todos os momentos do ciclo de vida.
No quarto aspecto, os desenhos dos processos de TI e do gerenciamento de
serviços, assim como os papéis, as responsabilidades e as habilidades
relacionadas, têm que ser capazes de operar, apoiar e manter os serviços, assim
como criar ferramentas que permitam a integração entre organizações.
E no quinto aspecto, o desenho das métricas e métodos para medição da
qualidade do processo de desenho do serviço, em termos do seu progresso,
conformidade (com requisitos corporativos, de governança, regulação), eficácia e
eficiência.
57
a) Catálogo de serviços de negócio, que contém a visão do cliente sobre
os serviços de TI, e os seus relacionamentos com os processos e
estruturas organizacionais do negócio;
b) Catálogo de Serviços Técnicos, que contém detalhes técnicos de todos
os serviços entregues ao cliente, e os seus relacionamentos com os
serviços de suporte, itens de configuração, componentes e serviços
compartilhados necessários à entrega do serviço ao cliente.
O segundo processo é o gerenciamento do nível do serviço, que visa manter
e melhorar a qualidade dos serviços de TI, através de um ciclo contínuo de
atividades envolvendo o planejamento, coordenação, elaboração, estabelecimento
de acordo de metas de desempenho e responsabilidades mútuas, monitoramento e
divulgação de níveis de serviços, em relação aos clientes, de níveis operacionais,
em relação aos fornecedores internos, e de contratos de apoio com fornecedores de
serviços externos. Este processo também é responsável pela elaboração e
manutenção de um plano de melhoria dos serviços, um programa com ações
priorizadas de melhoria para os serviços.
O terceiro processo é o gerenciamento da capacidade, que assegura que a
capacidade da infra-estrutura de TI absorva as demandas evolutivas do negócio de
forma eficaz e dentro do custo previsto, balanceando a oferta de serviços em relação
à demanda e otimizando a infra-estrutura necessária à prestação dos serviços de TI.
O quarto processo é o gerenciamento de disponibilidade, que visa assegurar
que os serviços de TI sejam projetados para atender e preservar os níveis de
disponibilidade e confiabilidade requeridos pelo negócio, minimizando os riscos de
interrupção através de atividades de monitoramento físico, solução de incidentes e
melhoria contínua da infra-estrutura e da organização de suporte.
O quinto processo é o gerenciamento da continuidade de serviço de TI, que é
o desdobramento do processo de gerenciamento da continuidade do negócio, que
visa assegurar que todos os recursos técnicos e serviços de TI necessários,
incluindo sistemas, redes, aplicações, central de serviços, suporte técnico,
telecomunicações, entre outros, possam ser recuperados dentro de um tempo
preestabelecido.
O sexto processo é o gerenciamento de segurança da informação, que
abrange processos relacionados à garantia da confidencialidade, integridade e
58
disponibilidade de dados, assim como à segurança dos componentes de hardware e
software, da documentação e dos procedimentos. Assim, este processo alinha a
segurança da TI com a segurança do negócio, e assegura que a segurança da
informação seja gerenciada efetivamente durante todo o ciclo de vida dos serviços.
E o sétimo processo é o gerenciamento de fornecedor, que gerencia
fornecedores e contratos necessários para suportar os serviços por eles prestados,
visando prover um serviço de TI com qualidade transparente para o negócio,
assegurando o valor do investimento feito. A tabela 3.9, resume os objetivos dos
processos da Estratégia de Serviço.
Processos do Desenho de
Objetivo
Serviços
Gerenciamento do Catálogo de Garantir uma fonte única de informações sobre todos os
Serviços serviços.
Gerenciamento do Nível de Elaborar e manter um Plano de Melhoria dos Serviços, para
Serviço manter e melhorar a qualidade dos serviços de TI.
Assegurar que a capacidade da infra-estrutura de TI suporte as
Gerenciamento da Capacidade
demandas do negócio de forma eficaz.
Gerenciamento da Assegurar que os serviços de TI atendam os níveis de
Disponibilidade disponibilidade e confiabilidade requeridos pelo negócio.
Gerenciamento da Assegurar a recuperação dos recursos técnicos e serviços de TI
Continuidade de Serviço de TI dentro de um tempo preestabelecido.
Gerenciar a segurança da informação durante todo o ciclo de
Gerenciamento de Segurança
vida do serviço. Alinhando a segurança da TI com a segurança
da Informação
do negócio.
Gerenciar fornecedores para suportar os serviços por eles
Gerenciamento de Fornecedor prestados, e prover um serviço de TI com qualidade
transparente para o negócio.
Tabela 3.9 – Processos do Desenho de Serviços da ITIL V3 e seus objetivos
A figura 3.9 mostra como estes processos se encaixam dentro de uma visão
mais abrangente do desenho de serviço.
59
Figura 3.8 – Visão dos Processos do Estágio de Desenho de Serviço
Fonte: Adaptado OGC apud FERNANDES e ABREU, 2008. p.283
61
longo do ciclo de vida do serviço contra mudanças não autorizadas e o
estabelecimento e manutenção de um sistema de gerenciamento da configuração
completo e preciso.
O terceiro processo, gerenciamento de liberação e implantação, abrange o
gerenciamento do tratamento de um conjunto de mudanças em um serviço de TI,
devidamente autorizadas, incluindo atividades de planejamento, desenho,
construção, configuração e teste de itens de software e hardware, visando criar um
conjunto de componentes finais e implantá-los em bloco em um ambiente de
produção, de forma a adicionar valor ao cliente, em conformidade com os requisitos
estabelecidos na estratégia e no desenho do serviço.
O quarto processo é a validação e teste de serviço, que é relacionado à
garantia da qualidade de uma liberação, incluindo todos os seus componentes de
serviço, os serviços resultantes e a capacitação do serviço por ela viabilizada. Um
serviço validado e testado está pronto para o uso dentro dos propósitos para os
quais foi desenhado e construído.
O quinto processo é o de avaliação, que visa criar meios padronizados e
consistentes para avaliar o desempenho de uma mudança no contexto de uma infra-
estrutura de TI e serviços já existentes, confrontando-o com as metas previstas,
registrando e gerenciando os desvios encontrados.
E o sexto processo, gerenciamento do conhecimento, visa garantir que a
informação correta seja entregue no local apropriado, para uma pessoa que tenha
competência para atuar no tempo certo, habilitando a tomada de decisões
informadas. Para tal, a ITIL V3 possui o conceito de sistema de gerenciamento do
conhecimento sobre serviços, que pode ser visto como uma base de conhecimento
mais ampla, contendo informações tais como experiência da equipe, requisitos,
habilidades e expectativas dos fornecedores e parceiros, histórico de configurações,
entre outros. A tabela 3.10, resume os objetivos dos processos da Estratégia de
Serviço, enquanto a figura 3.9 ilustra o escopo da Transição de Serviço.
Processos da Transição de
Objetivo
Serviço
Assegurar o tratamento sistemático e padronizado de todas as
Gerenciamento de Mudança
mudanças no ambiente organizacional.
Gerenciamento da Identificar, registrar, controlar e verificar os ativos de serviços e
Configuração e de Ativo de itens de configuração. Protegendo os mesmos contra mudanças
Serviço não autorizadas. continua
62
Processos da Transição de
Objetivo
Serviço
Criar um conjunto de componentes finais e implantá-los em
Gerenciamento de Liberação e
bloco em um ambiente de produção, adicionando valor ao
Implantação
cliente, e em conformidade com os requisitos estabelecidos.
Garantir a qualidade de uma liberação, incluindo todos os seus
Validação e Teste de Serviço componentes de serviços, serviços resultantes e capacitação do
serviço.
Criar meios padronizados e consistentes para avaliar o
Avaliação desempenho de uma mudança no contexto de uma infra-
estrutura de TI e/ou serviços já existentes.
Gerenciamento do Garantir que a informação correta seja entregue no local
Conhecimento apropriado, para as pessoas relacionadas.
Tabela 3.10 – Processos da Transição de Serviço da ITIL V3 e seus objetivos
64
problemas em resposta a um ou mais incidentes, ou proativa, identificando
problemas e falhas antes da ocorrência dos incidentes.
O quarto processo, cumprimento de requisição, trata requisições dos usuários
que não foram geradas por um incidente, mas que foram originadas a partir de uma
solicitação de serviço ou de uma simples solicitação de informação.
E o quinto processo, gerenciamento de acesso, controla o acesso de usuários
ao direito de utilizar os serviços, garantindo-os àqueles que foram previamente
autorizados e restringindo-os a todos os demais. Consiste na execução das políticas
e ações definidas anteriormente nos processos de gerenciamento da disponibilidade
e gerenciamento da segurança da informação, vistos no estágio de desenho de
serviço. A tabela 3.11, resume os objetivos dos processos da Operação de Serviço,
enquanto a figura 3.10 ilustra o relacionamento dos processos da Operação de
Serviços.
Processos da Operação de
Objetivo
Serviço
Monitorar todos os eventos que ocorrem na infra-estrutura de TI
Gerenciamento de Evento
e redirecionar as exceções resolução técnica.
Restaurar a operação normal de um serviço no menor tempo
Gerenciamento de Incidente
possível no caso de um incidente.
Minimizar os impactos adversos de incidentes e problemas para
Gerenciamento de Problema
o negócio, quando causados por falhas na infra-estrutura de TI.
Tratar requisições dos usuários que foram geradas por uma
Cumprimento de Requisição
solicitação de serviço.
65
Figura 3.10 – O Relacionamento dos Processos da Operação de Serviços
Fonte: Adaptado OGC apud FERNANDES e ABREU, 2008. p.291
67
Figura 3.11 – Melhoria de Serviço Continuada e o Ciclo de Vida de Serviço
Fonte: Adaptado OGC apud FERNANDES e ABREU, 2008. p.295
68
sobre o qual as ações de melhoria podem ser planejadas e conduzidas
adequadamente.
Um dos princípios mais importantes deste estágio é a medição do serviço,
basicamente medições são realizadas para validar decisões tomadas, direcionar
atividades para o atingimento de metas, justificar direcionamentos necessários e/ou
identificar pontos onde é necessário intervir com mudanças ou ações corretivas. Por
isto, não basta medir simplesmente, mas é importante saber por que medir, quando
parar de medir e se os resultados destas medições estão sendo úteis para alguma
área da organização. Da mesma forma, simplesmente melhorar algo não é o
suficiente, pois deve-se estabelecer a visão de futuro, fixar referências iniciais e
metas a serem atingidas e avaliar posteriormente se houve sucesso ou não. O
processo de melhoria de sete passos, ilustrado na figura 3.12, orienta através das
questões chaves que devem ser levadas em conta para melhoria contínua.
69
coletados e monitorados durante a entrega do serviço, além da identificação do seu
objetivo, do público alvo e da utilização planejada para as informações contidas
nestes relatórios.
O segundo processo é o de medição de serviço, que visa prover informações
sobre o serviço dentro de uma visão completa orientada à integração com o negócio.
Para tal, recomenda-se a criação de um modelo de medição de serviço, que
estabeleça diferentes níveis para a medição e para a visualização através de
relatórios. As medições podem ser de:
a) Componente: medições acerca de aspectos físicos e técnicos, como
disponibilidade, desempenho, tempos de resposta, capacidade, falhas,
mudanças;
b) Serviço: medições sobre aspectos funcionais e de relacionamento
direto com o cliente, como tempo de atendimento e resolução,
pesquisas de satisfação, reclamações, qualidade do serviço;
c) Processos: processos que suportam os serviços, medições de
progresso, conformidade com regulações, eficácia, eficiência;
d) Scorecards de Serviços: visões estáticas periódicas de um serviço em
particular;
e) Dashboard de Serviços: contém as mesmas medidas dos scorecards
de serviços, mas disponibilizadas em tempo real para a TI e par os
negócios;
f) Scorecard de TI ou Balanced Scorecard: visões de alto nível com
consolidações das medições, visando refletir as metas e objetivos
táticos e estratégicos.
A ITIL recomenda que os resultados das medições e das melhorias efetuadas
sempre estejam associados a benefícios para a organização, que poderão ser
avaliados de forma quantitativa como retorno ou valor sobre o investimento. Assim,
tornam-se mais fáceis a comunicação e a justificativa para a manutenção e o
crescimento do programa de melhoria contínua.
Vários métodos e técnicas podem ser utilizados neste estágio, como forma de
garantir consistência, tanto na execução das medições e ações de melhoria quanto
nos relatos de informações. Entre elas, podem ser relacionadas avaliações formais,
benchmarkings, Balanced Scorecard, análise SWOT, além das práticas dos demais
70
processos de gerenciamento de serviços de TI. A tabela 3.13, resume os objetivos
das funções da Operação de Serviço.
Processos da Melhoria de
Objetivo
Serviço
Compor relatórios de serviço a partir dos dados coletados e
Relatório de Serviço monitorados durante a entrega do serviço, identificando seu
objetivo, publico alvo e utilização planejada.
Prover informações sobre o serviço de uma visão completa
Medição de Serviço
orientada à integração com o negócio.
Tabela 3.13 – Processos da Melhoria de Serviço da ITIL V3 e seus objetivos
71
4. Processos e controles mapeados na correlação dos modelos
CobiT, ITIL e a Norma ISO/IEC 38500
Como parte deste trabalho, para auxiliar a análise dos modelos, foram
mapeados os processos dos modelos em relação à norma. Estes mapeamentos são
mostrados neste capítulo.
Responsabilidade
Estratégia
Aquisição
Avaliar PO-5 Gerenciar o investimento em TI;
AI-1 Identificar soluções automatizadas;
DS-2 Gerenciar serviços terceirizados;
Desempenho
Avaliar PO-9 Avaliar e gerenciar riscos de TI;
DS-1 Definir e gerenciar níveis de serviço;
DS-5 Garantir a segurança dos sistemas;
ME-1 Monitorar e avaliar o desempenho da TI;
Conformidade
Avaliar ME-2 Monitorar e avaliar os controles internos;
ME-3 Assegurar conformidade com requisitos externos;
Responsabilidade
Estratégia
74
Continua
Dirigir Gerenciamento do Portfólio de Serviços (ES);
Gerenciamento de Fornecedor (DS);
Gerenciamento Técnico (OS);
Aquisição
Avaliar Gerenciamento do Portfólio de Serviços (ES);
Gerenciamento de Fornecedor (DS);
Gerenciamento de Liberação e Implantação (TS);
Gerenciamento do Nível de Serviço (DS);
Desempenho
Avaliar Gerenciamento de Disponibilidade (DS);
Gerenciamento da Continuidade de Serviço (DS);
Gerenciamento do Nível de Serviço (DS);
Gerenciamento de Capacidade (DS);
Gerenciamento de Segurança da Informação (DS);
75
Avaliar -------------------/Nenhum processo/------------------- Continua
Dirigir Gerenciamento Técnico (OS);
Gerenciamento do Nível de Serviço (DS);
Gerenciamento da Disponibilidade (DS);
Gerenciamento de Capacidade (DS);
Gerenciamento da Continuidade de Serviço (DS);
Gerenciamento de Segurança da Informação (DS);
Central de Serviços (OS);
Gerenciamento da Configuração e de Ativo de Serviço (TS);
Gerenciamento de Problema (OS);
Comportamento Humano
Avaliar Gerenciamento da Demanda (ES);
Gerenciamento do Portfólio de Serviços (ES);
Gerenciamento Técnico (OS);
76
4.1.4. ISO/IEC 38500 x CobiT
Na análise do correlacionamento entre a ISO/IEC 38500 e o CobiT foi
observado que todas as tarefas dos princípios são abordadas, em níveis de
aprofundamento diferentes.
77
garantia de qualidade da TI) e PO-4.8 (Responsabilidade pelos riscos, segurança e
regulamentação) que direciona as responsabilidades para qualidade, riscos
segurança e regulamentação, e o PO-10.10 (Plano de qualidade do projeto) auxilia o
cumprimento, pois estipula padrões (e mecanismos) de qualidade que devem ser
cumpridos.
E na tarefa Monitorar os processos correlacionados foram os PO-6
(Comunicar objetivos e direcionamentos gerenciais), PO-7 (Gerenciar os recursos
humanos), ME-1 (Monitorar e avaliar o desempenho da TI) e ME-2 (Monitorar e
avaliar os controles internos). A tarefa aborda questões relativas ao monitoramento
para o estabelecimento dos mecanismos apropriados de Governança de TI (GTI), do
reconhecimento e compreendimento das responsabilidades, e do desempenho
daqueles a quem foram delegadas a responsabilidades. Os seguintes subitens
abordam questões relativas ao monitoramento do estabelecimento dos mecanismos
apropriados de Governança de TI, o PO-6.1 (Controle do ambiente e política de TI),
incentiva a utilização de controles do ambiente e da criação de políticas de TI que
auxiliam na adoção de mecanismos de GTI, o PO-6.3 (Gerenciamento de políticas
de TI), gerencia as políticas para que elas sejam aplicadas de forma eficiente. Já em
relação ao reconhecimento e compreensão das responsabilidades, os seguintes
subitens são relacionados, o PO-7.4 (Treinamento de pessoal), que aborda questões
de aprimoramento técnico dos profissionais, o que facilita a compreensão e
reconhecimento de suas responsabilidades. Enquanto em relação ao monitoramento
do desempenho daqueles a quem foram delegadas as responsabilidades, os
seguintes subitens são relacionados, o PO-7.7 (Avaliação de desempenho do
trabalho do empregado) e o ME-1.4 (Avaliação de desempenho), que são auto-
explicativos.
78
A tarefa Avaliar aborda as questões relacionadas à avaliação dos
desenvolvimentos de TI e dos processos de negócio para garantir o apoio da TI às
necessidades futuras, que pode ser auxiliada pelos subitens PO-1.1 (Gerenciamento
do valor de TI) através da gerencia dos ativos de TI visando agregação de valor ao
negócio, garantindo o apoio da TI conseqüentemente, PO-1.4 (Plano estratégico de
TI) visando que a TI suporte as necessidades futuras da organização, e o PO-2.1
(Modelo da arquitetura da informação organizacional) de forma que a arquitetura
suporte a TI para suprir as necessidades da organização, PO-4.2 (Comissão de
estratégia de TI) para elaborar planos e ações visando o suporte da TI ao negócio,
outra questão é a avaliação das atividades de TI para assegurar que estejam
alinhadas com os objetivos da organização, que pode ser auxiliada pelos subitens
PO-1.2 (Alinhamento de TI ao negócio), PO-4.3 (Comissão de direcionamento de TI)
e PO-3.1 (Planejamento da direção tecnológica) para que a TI seja direcionada de
acordo com o negócio, e a última questão relacionada à tarefa é assegurar que a
utilização de TI seja submetida à análise e avaliações de risco, que pode ser
auxiliada pelo subitem ME-4.5 (Gerenciamento de Risco).
Em relação à tarefa Dirigir, ela aborda as questões relacionadas à preparação
e uso de planos e políticas que assegurem que a organização seja beneficiada pela
TI, que pode ser auxiliada pelos subitens PO-1.4 (Plano estratégico de TI), PO-1.5
(Planos táticos de TI), PO-3.1 (Planejamento e direção tecnológica), PO-3.2 (Plano
de infra-estrutura técnica), PO-4.2 (Comissão de estratégia de TI), PO-4.3
(Comissão de direcionamento de TI) e ME-4.1 (Estabelecimento de um framework
de GTI), e a outra questão é a de incentivo à inovação em TI, que pode ser auxiliada
pelos subitens PO-5.5 (Gerenciamento de benefícios) e PO-7.4 (Treinamento de
pessoal).
E na tarefa Monitorar, são abordadas a questões de monitoramento do
progresso das propostas de TI aprovadas, para garantir que atinjam seus objetivos
dentro dos prazos, que pode ser auxiliada pelos subitens PO-10.13 (Monitoramento,
informe, e medição do desempenho do projeto) quando as propostas incluem
projetos, ME-1.4 (Avaliação do desempenho) relacionado ao desempenho da TI,
ME-2.1 (Framework de monitoramento interno) relacionado aos processos internos
da organização. A outra questão é o monitoramento do uso da TI para assegurar o
alcance dos benefícios pretendidos que pode ser auxiliada pelos subitens ME-1.4
79
(Avaliação do desempenho) relacionado ao desempenho da TI, ME-4.4
(Gerenciamento de recursos) em relação a TI, e ME-4.6 (Medição de desempenho)
em relação à GTI.
80
complementando o subitem DS-2.2 (Gestão do relacionamento com o fornecedor) e
DS-2.3 (Gerenciamento de risco com o fornecedor).
Já a tarefa Monitorar, aborda as questões relacionadas ao monitoramento dos
investimentos de TI e da compreensão mútua das intenções da organização ao fazer
a aquisição de TI, que podem ser auxiliadas pelos subitens PO-5.2 (Priorização com
orçamento de TI), PO-5.5 (Gerenciamento de benefícios), DS-2.4 (Monitorar o
desempenho do fornecedor), ME-1.2 (Definição e coleta de dados de vigilância),
ME-1.3 (Método de monitoramento), ME-1.4 (Avaliação de desempenho), ME-2.6
(Controle interno de terceiros), ME-3.5 (Comunicação integrada).
81
plano de ação do risco), PO-10.2 (Estrutura de gerenciamento de projeto), DS-1.2
(Definição dos serviços), DS-3.2 (Capacidade e desempenho atual), DS-3.3
(Capacidade e desempenho futuro), DS-3.4 (Disponibilidade de recursos de TI), DS-
5.3 (Gerenciamento de identidade), DS-5.4 (Gerenciamento de contas de usuário),
DS-5.5 (Testes de segurança, vigilância e monitoramento), DS-5.6 (Definição de
incidentes de segurança), DS-5.7 (Proteção da tecnologia de segurança), DS-5.8
(Gerenciamento de chaves criptográficas), DS-5.9 (Prevenção, detecção e correção
de software malicioso), DS-5.10 (Segurança de rede), e DS-5.11 (Troca de dados
confidenciais).
Já a tarefa Monitorar, aborda as questões relacionadas ao monitoramento
referente até que ponto a TI dá suporte ao negócio, até que ponto os recursos e
orçamentos foram priorizados, e até que ponto as políticas são seguidas
corretamente, os seguintes subitens auxiliam essa tarefa, PO-5.2 (Priorização com
orçamento de TI), ME-1.1 (Abordagem de acompanhamento), ME-1.5 (Relatório da
administração), ME-2.2 (Revisão de Fiscalização), ME-2.5 (Garantia de controle
interno).
82
seguintes subitens, ME-2.1 (Framework de monitoramento do controle interno), ME-
2.4 (Controle de auto-avaliação), ME-2.5 (Garantia de controle interno), ME-3.3
(Avaliação da conformidade com os requisitos regulamentares).
Em relação à tarefa Dirigir, ela aborda as questões relacionadas à garantia de
que o uso de TI está em conformidade com as exigências legais e com as normas e
melhores práticas, exigência de que as políticas sejam estabelecidas e cumpridas
para permitir que a organização cumpra com suas obrigações internas no uso de TI,
exigência de que os profissionais de TI ajam de acordo com as melhores práticas de
comportamento e desenvolvimento profissional, e exigência de que todas as ações
relacionadas com a TI sejam éticas. Os seguintes subitens auxiliam essa tarefa, PO-
7.3 (Regras de equipe), PO-7.4 (Treinamento de pessoal), PO-8.1 (Sistema de
gerenciamento de qualidade), PO-8.2 (Padrões de TI e práticas de qualidade), PO-
8.3 (Desenvolvimento e aquisição de padrões), DS-1.1 (Framework de
gerenciamento do nível de serviço), DS-1.6 (Revisão de acordos de nível de serviço
e contratos), DS-2.1 (Identificação de todos os relacionamentos com fornecedores),
DS-3.4 (Disponibilidade de recursos de TI), DS-4.4 (Manutenção do plano de
continuidade de TI), DS-5.1 (Gerenciamento da segurança de TI), DS-6.1 (Definição
dos serviços), DS-7.1 (Identificação das necessidades de educação e formação),
DS-7.2 (Entrega de formação e educação), DS-8.1 (Central de serviços), DS-9.1
(Configuração do repositório e referência), DS-9.2 (Pontos de identificação e
manutenção de configuração), DS-10.1 (Identificação e classificação de problemas),
DS-10.2 (Acompanhamento do problema e resolução), DS-11.1 (Requisitos de
negócios para gestão de dados), DS-12.5 (Gestão de instalações físicas), DS-13.1
(Procedimentos de Operações e Instruções).
Já a tarefa Monitorar, aborda as questões relacionadas ao monitoramento
referente ao cumprimento e conformidade da TI por relatos apropriados e práticas de
auditoria, além de monitorar as atividades de TI. Os seguintes subitens auxiliam
essa tarefa, PO-8.6 (Medição de qualidade, monitoramento e revisão), DS-3.5
(Monitoramento e comunicação), ME-1.3 (Método de monitoramento), ME-2.1
(Framework de monitoramento interno), ME-3.1 (Identificação das leis e
regulamentos que têm impacto potencial na TI), ME-3.3 (Avaliação da conformidade
com os requisitos regulamentares).
83
4.1.4.6. Princípio do Comportamento Humano
No princípio Comportamento Humano da norma, os seguintes processos
foram correlacionados, PO-7 (Gerenciar os recursos humanos), DS-7 (Educar e
treinar usuários), DS-7 (Educar e treinar usuários), ME-1 (Monitorar e avaliar o
desempenho da TI), ME-2 (Monitorar e avaliar os controles internos).
Em relação à tarefa Avaliar, ela aborda as questões relacionadas à avaliar as
atividades de TI para garantir que os comportamento humanos sejam identificados e
apropriadamente considerados. Essa tarefa pode ser auxiliada pelos seguintes
subitens, PO-7.2 (Competências pessoais), PO-7.5 (Dependência sobre
individualidades), PO-7.6 (Procedimentos de apuramento pessoal), DS-7.1
(Identificação das necessidades de educação e formação).
Em relação à tarefa Dirigir, ela aborda as questões relacionadas à exigência
que as atividades de TI sejam compatíveis com as diferenças do comportamento
humano, além de exigir que os riscos, oportunidades, constatações e preocupações
possam ser identificados e relatados por qualquer pessoa a qualquer momento. Os
seguintes subitens auxiliam essa tarefa, PO-7.6 (Procedimentos de apuramento
pessoal), DS-7.1 (Identificação das necessidades de educação e formação).
Já a tarefa Monitorar, aborda as questões relacionadas ao monitoramento
referente às atividades de TI para garantir que os comportamentos humanos
identificados permaneçam relevantes e que lhe sejam dadas a devida atenção, além
de monitorar as práticas de trabalho para garantir que são consistentes com o uso
apropriado da TI. Os seguintes subitens auxiliam essa tarefa, PO-7.7 (Avaliação de
desempenho do trabalho do empregado), DS-7.3 (Avaliação da formação recebida),
ME-1.3 (Método de monitoramento), ME-2.1 (Framework de monitoramento do
controle interno).
84
4.1.5.1. Princípio da Responsabilidade
No princípio Responsabilidade da norma, em relação à tarefa Avaliar, são
abordadas questões relacionadas às opções de delegação de responsabilidades e
avaliação das competências daqueles a quem foi delegada a responsabilidade. Essa
tarefa pode ser auxiliada pelo processo Gerenciamento Técnico (da publicação
Operação de Serviço) da ITIL, que é relacionado aos grupos, áreas ou equipes que
possuem experiência e conhecimento técnico especializado para suportar as
operações, auxiliando para que eles sejam capazes de cumprir com suas
obrigações.
Em relação à tarefa Dirigir, ela aborda as questões relativas ao recebimento
de informações necessárias para que os responsáveis atendam suas necessidades
e compromissos, que auxiliada pelo processo Gerenciamento do Catálogo de
Serviços (da publicação Desenho do Serviço), e o cumprimento dos planos de
acordo com as responsabilidades delegadas, que não foi relacionada com nenhum
processo.
Já a tarefa Monitorar, aborda as questões relativas ao monitoramento para o
estabelecimento dos mecanismos apropriados de Governança de TI (GTI), do
reconhecimento e compreendimento das responsabilidades, além do desempenho
daqueles a quem foram delegadas a responsabilidades. Os seguintes processos da
ITIL, todos da publicação Desenho de Serviço, podem auxiliar esta tarefa, o
processo de Gerenciamento do Catálogo de Serviços que garante uma fonte única
de informações consistentes e atualizadas sobre os serviços, de forma a detalhar
seus relacionamentos, facilitando seu monitoramento e servindo de referencia para
análise do desempenho do serviço de TI, o processo de Gerenciamento do Nível de
Serviço aborda, entre outras atividades, o estabelecimento de acordo de metas de
desempenho e responsabilidades mútuas, e o processo de Gerenciamento da
Capacidade que visa assegurar que a capacidade de infra-estrutura absorva as
demandas evolutivas do negócio, incluindo práticas de monitoramento dos
responsáveis pela infra-estrutura de TI para assegurar o alcance de seus objetivos.
85
de negócio para garantir o apoio da TI às necessidades futuras, outra questão é a
avaliação das atividades de TI para assegurar que estejam alinhadas com os
objetivos da organização, essas questões podem ser auxiliadas pelos processos de
Gerenciamento do Portfólio de Serviços (da publicação Estratégia de Serviço) que
visa governar os investimentos e gerenciá-los para que adicionem valor ao negócio,
Gerenciamento de Capacidade (da publicação Desenho de Serviço) que visa
assegurar que a TI absorva as demandas do negócio, Gerenciamento do
Conhecimento (da publicação Transição de Serviço) que visa à entrega correta da
informação na organização, que influencia na arquitetura da informação, que está
ligada ao apoio da TI ao negócio, e o processo Medição de Serviço (da publicação
Melhoria de Serviço Continuada) que visa prover informações sobre o serviço dentro
de uma visão completa orientada à integração com o negócio. Há uma última
questão abordada por esta tarefa, que é a de assegurar que a utilização de TI seja
submetida à análise e avaliações de risco, que pode ser auxiliada pelo processo de
Gerenciamento da Disponibilidade (da publicação Desenho de Serviço) que visa
assegurar que os serviços de TI sejam projetados para atender e preservar os níveis
de disponibilidade e confiabilidade requeridos pelo negócio, minimizando os riscos
de interrupção.
Em relação à tarefa Dirigir, ela aborda as questões relacionadas à preparação
e uso de planos e políticas que assegurem que a organização seja beneficiada pela
TI, e a outra questão é a de incentivo à inovação em TI, que podem ser auxiliadas
pelos processos Gerenciamento do Portfólio de Serviços (da publicação Estratégia
de Serviços) que gerencia os investimentos para que adicionem valor ao negócio, o
Gerenciamento de Fornecedor (da publicação Desenho de Serviço), e o
Gerenciamento Técnico (da publicação Operação de Serviço) que procura garantir
que haja recursos treinados (profissionais) para operar e melhorar os serviços.
E na tarefa Monitorar, são abordadas as questões de monitoramento do
progresso das propostas de TI aprovadas para garantir que atinjam seus objetivos
dentro dos prazos, e o monitoramento do uso da TI para assegurar o alcance dos
benefícios pretendidos, que podem ser auxiliadas pelos processos Gerenciamento
do Nível de Serviço (da publicação Desenho de Serviço) que visa manter a
qualidade dos serviços de TI, o Gerenciamento de Capacidade (da publicação
Desenho de Serviço) que auxilia no cumprimento dos objetivos fornecendo a infra-
86
estrutura necessária para os serviços de TI, o processo de Avaliação (da publicação
Transição de Serviço) que cria meios padronizados para avaliação do desempenho
em uma transição de serviço, confrontando-o com metas previstas e gerenciando os
desvios encontrados, o processo Relatório de Serviço (da publicação Melhoria de
Serviço Continuada) que compõe relatórios de serviço com base no monitoramento
do mesmo, e o processo Medição de Serviço (da publicação Melhoria de Serviço
Continuada) que provê informações sobre o serviço dentro de uma visão completa
orientada à integração com o negócio, o que ajuda no monitoramento dos serviços.
87
Serviço), Gerenciamento de Mudança (da publicação Transição de Serviço),
Gerenciamento de Fornecedor (da publicação Desenho de Serviço).
Já a tarefa Monitorar, aborda as questões relacionadas ao monitoramento dos
investimentos de TI e da compreensão mútua das intenções da organização ao fazer
a aquisição de TI, que podem ser auxiliadas pelos processos Gerenciamento
Financeiro (da publicação Estratégia de Serviço) que lida diretamente com os
investimentos, Gerenciamento de Fornecedor (da publicação Desenho de Serviço)
que gerencia fornecedores e contratos para suportar os serviços por eles prestados,
Gerenciamento do Nível de Serviço (da publicação Desenho de Serviço) que aborda
a qualidade dos serviços, Avaliação (da publicação Transição de Serviço)que avalia
o desempenho de uma infra-estrutura de TI, Relatório de Serviço (Melhoria de
Serviço Continuada) que compõe relatórios para monitoramento, Medição de
Serviço (Melhoria de Serviço Continuada) provê informações em uma visão
integrada com o negócio.
88
Em relação à tarefa Dirigir, ela aborda as questões relacionadas ao
asseguramento da alocação de recursos suficientes para atender às necessidades
da organização, e orientação da manutenção dos dados atualizados e protegidos.
Essa tarefa pode ser auxiliada pelos processos Gerenciamento do Nível de Serviço
(da publicação Desenho de Serviço) que visa gerenciar a qualidade dos serviços de
TI, Gerenciamento de Capacidade (da publicação Desenho de Serviço) que visa
prover uma infra-estrutura de TI que suporte as demandas do negócio, e o
Gerenciamento da Disponibilidade (da publicação Desenho de Serviço) que visa
assegurar que os serviços de TI preservem os níveis de disponibilidade e
confiabilidade requeridos pelo negócio.
Já a tarefa Monitorar, aborda as questões relacionadas ao monitoramento
referente até que ponto a TI dá suporte ao negócio, até que ponto os recursos e
orçamentos foram priorizados, o seguinte processo auxilia essa questão,
Gerenciamento Financeiro (da publicação Estratégia de Serviço) que aborda a
questão do orçamento. Há outra questão desta tarefa, que é até que ponto as
políticas são seguidas corretamente, porém não foi encontrado nenhum processo da
ITIL que auxilie diretamente essa questão.
89
Serviço) que aborda questões de treinamento dos funcionários que pode auxiliar na
questão de agir de acordo com as melhores práticas e com ética, Gerenciamento do
Nível de Serviço (da publicação Desenho de Serviço) que visa garantir a qualidade
dos serviços de TI e pode auxiliar a questão de conformidade com as normas e
melhores práticas, e estabelecimento e cumprimento das políticas, Gerenciamento
da Disponibilidade (da publicação Desenho de Serviço), Gerenciamento de
Capacidade (da publicação Desenho de Serviço), Gerenciamento da Continuidade
de Serviço (DS), Gerenciamento de Segurança da Informação (da publicação
Desenho de Serviço) que podem auxiliar na segurança oferecida aos serviços,
Central de Serviços (da publicação Operação de Serviço) que visa responder
rapidamente às questões, reclamações e problemas permitindo que os serviços
sejam oferecidos com o graus de qualidade esperado, Gerenciamento da
Configuração e de Ativo de Serviço (da publicação Transição de Serviço) que pode
auxiliar na proteção da integridade dos ativos de TI, e Gerenciamento de Problema
(da publicação Operação de Serviço) que visa minimizar os impactos adversos de
incidentes e problemas para o negócio.
Já a tarefa Monitorar, aborda as questões relacionadas ao monitoramento
referente ao cumprimento e conformidade da TI por relatos apropriados e práticas de
auditoria, além de monitorar as atividades de TI. Os seguintes processos podem
auxiliar essa tarefa, Gerenciamento do Nível de Serviço (da publicação Desenho de
Serviço) que visa garantir a qualidade dos Serviços de TI, utilizando de
monitoramento inclusive, Gerenciamento de Capacidade (da publicação Desenho de
Serviço) e Gerenciamento da Disponibilidade (da publicação Desenho de Serviço)
que afetam a questão de cumprimento e conformidade para a infra-estrutura de TI,
Avaliação (da publicação Transição de Serviço) que visa criar meios padronizados e
consistentes para avaliar o desempenho do serviço TI, em fase de mudança
principalmente, Relatório de Serviço (Melhoria de Serviço Continuada) e Medição de
Serviço (Melhoria de Serviço Continuada) que auxiliam a questão da auditoria
quanto ao cumprimento e conformidade da TI.
90
os comportamento humanos sejam identificados e apropriadamente considerados.
Essa tarefa pode ser auxiliada pelos seguintes processos, Gerenciamento da
Demanda (da publicação Estratégia de Serviço) onde de acordo com a demanda do
serviço o foco nas necessidades de pessoal pode ser acionado, Gerenciamento do
Portfólio de Serviços (da publicação Estratégia de Serviço) que visa agregar valor ao
negócio, e dependendo da situação os fatores ligados ao comportamento humano
podem ser evidenciados, e Gerenciamento Técnico (da publicação Operação de
Serviço) que é relacionado ao treinamento, capacitação e auxílio às equipes e
profissionais da organização de forma a incentivar que eles supram as necessidades
da empresa da melhor maneira possível.
Em relação à tarefa Dirigir, ela aborda as questões relacionadas à exigência
que as atividades de TI sejam compatíveis com as diferenças do comportamento
humano, além de exigir que os riscos, oportunidades, constatações e preocupações
possam ser identificados e relatados por qualquer pessoa a qualquer momento. Os
seguintes processos auxiliam essa tarefa, Gerenciamento da Demanda (da
publicação Estratégia de Serviço) que pode direcionar a identificação de riscos,
oportunidades, constatações e preocupações dependendo da situação, e
Gerenciamento Técnico (da publicação Operação de Serviço) que pode incentivar os
funcionários a ficarem atentos às questões dessa tarefa, dando-lhes liberdade para
relatar fatos e sugerir melhorias.
Já a tarefa Monitorar, aborda as questões relacionadas ao monitoramento
referente às atividades de TI para garantir que os comportamentos humanos
identificados permaneçam relevantes e que lhe sejam dadas a devida atenção, além
de monitorar as práticas de trabalho para garantir que são consistentes com o uso
apropriado da TI. Os seguintes processos auxiliam essa tarefa, Gerenciamento da
Demanda (da publicação Estratégia de Serviço), Gerenciamento Técnico (da
publicação Operação de Serviço), Avaliação (da publicação Transição de Serviço),
Relatório de Serviço (Melhoria de Serviço Continuada), e Medição de Serviço
(Melhoria de Serviço Continuada).
91
Este estudo é um indicador de que os modelos CobiT e ITIL provêem
cobertura em todas as áreas dos princípios da norma, porém a cobertura é maior ou
menor dependendo das tarefas dos princípios.
O CobiT tem uma proposta muito forte quanto ao controle dos processos de
TI, e aborda todas as tarefas da norma. Observa-se que os princípios onde o CobiT
se mostrou mais presente foram no de Responsabilidade, Estratégia, Aquisição,
Desempenho e Conformidade, pois o CobiT demonstrou ter uma visão bastante
ampla em relação à TI na organização, incentivando seu uso de forma estratégica e
permitindo controle sobre desempenho e conformidade dos processos de TI através
de um monitoramento regular.
Entretanto em relação ao princípio Comportamento Humano o CobiT é mais
superficial, abordando questões mais voltadas ao treinamento e educação dos
usuários de TI na organização, dando menos importância à questões mais amplas
como identificação dos comportamentos humanos e adequação dos processos de TI
para que sejam compatíveis com as diferenças de comportamento na organização.
A ITIL, que é voltada para o gerenciamento de serviços, mostrou-se forte nos
princípios de Aquisição, Desempenho e Conformidade, tratando em especial de
serviços de TI, este último, porém, mostra-se limitado na tarefa Avaliar pois a ITIL
não possui processos voltados à avaliação regular da conformidade da TI em
relação às suas obrigações, políticas internas e melhores práticas.
Em relação ao princípio de Responsabilidade a ITIL não aborda
completamente tarefa dirigir, não especificando nenhum processo que exija que os
planos de TI sejam cumpridos de acordo com as responsabilidades delegadas,
indicando uma cobertura incompleta. Enquanto seus processos e funções
relacionados ao princípio de Comportamento Humano são mais voltados para o
treinamento das equipes envolvidas nos serviços, deixando questões mais amplas
abordadas no princípio sem a devida atenção.
Com esses indicadores, supõe-se que a combinação da norma ISO/IEC
38500 com o modelo CobiT e a biblioteca ITIL poderá permitir a utilização das
potencialidades de cada uma dessas propostas para o desenvolvimento de um
modelo único de GTI na organização que facilite identificar: o que, quem, como e
que recursos tecnológicos utilizar para o alcance da Governança Corporativa.
92
4.2.1. Sugestões para trabalhos futuros
Como sugestão para trabalhos futuros, tendo como ponto inicial este trabalho,
segue os seguintes tópicos:
a) Estudo correlacional indicando o nível de cobertura (aprofundamento)
dos modelos em relação aos princípios da norma ISO/IEC 38500;
b) Proposição de um modelo genérico de implantação de GTI com base
na norma ISO/IEC 38500, modelo CobiT e biblioteca ITIL;
c) Relacionar outros modelos que supram os processos que faltam, ou
não cobrem satisfatoriamente, as tarefas dos princípios da norma.
93
5. Referências Bibliográficas
94
CobiT mapping: mapping of ITIL with CobiT 4.0, 2007. Disponível em:
http://4allebook.files.wordpress.com/2009/02/cobit-mapping-mapping-of-itil-with-
cobit-40.pdf - Acesso em: 20 de outubro de 2009.
95
LEITE, José Alfredo Américo. Metodologia de Elaboração de Teses. São Paulo:
McGraw-Hill do Brasil Ltda, 1978.
SODRÉ, Marília Gabriela; SOUZA, Suzana Maria de. Uma Análise Comparativa de
Metodologias para Governança de Tecnologia da Informação – ITIL e COBIT.
Trabalho de Conclusão de Curso (Graduação em Ciência da Computação) –
Universidade Federal de Santa Catarina, Florianópolis. 2007. Disponível em: <
http://projetos.inf.ufsc.br/arquivos_projetos/projeto_568/Projeto%20Suzana_Marilia.p
df> - Acesso em: 16 de setembro de 2009.
96
Revista eletrônica Ciências Sociais em Perspectiva. v.6, n 11, 2º sem. 2007.
Disponível em: <http://www.e-
revista.unioeste.br/index.php/ccsaemperspectiva/article/download/1503/1221> -
Acesso em: 14 de julho de 2009.
97
Monografia de Graduação apresentada por Thiago Marques de Oliveira, do Curso de
Graduação em Sistemas de Informação da Faculdade de Ciência e Tecnologia de Caruaru -
Universidade de Pernambuco, sob o título “Uma Abordagem Correlacional dos Modelos
CobiT / ITIL e da Norma ABNT NBR ISO/IEC 38500:2009 para o Tema Governança
Corporativa de Tecnologia da Informação”, orientada pelo Prof. Fernando Pontual de Souza
Leão Júnior e aprovada pela Banca Examinadora formada pelos professores:
98