Governança de TI

Prévia do material em texto

Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Unidade 1
Introdução à governança em Tecnologias da Informação
Aula 1
Governança de Tecnologia da Informação
Introdução da aula
Olá, estudante!
É hora de começar a primeira etapa da nossa jornada na disciplina de Governança de Tecnologias
da Informação. Nesta aula, você terá a oportunidade de entender de maneira simples e clara os
conceitos de governança e Governança de TI, bem como sua relevância, seu escopo e suas
aplicações.
Com a crescente dependência das empresas em tecnologias da informação, torna-se crucial
entender como garantir que os sistemas de informação estejam alinhados com os objetivos
estratégicos da organização. Então, é muito importante para sua vida pro�ssional na área de
Tecnologia de Informação compreender o papel da Governança de TI na estruturação dessa área
tão abrangente e importante para o mundo dos negócios.
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Introdução à Governança de Tecnologia da Informação
Introdução a Governança de Tecnologia da Informação
A administração de uma empresa é um grande desa�o. São muitos os processos que tornam a
produção e entrega de um produto ou serviço possível, portanto se faz necessário o estudo e a
aplicação de conceitos que irão organizar esses processos dentro de uma organização.
O conceito moderno de governança começou a ser desenvolvido a partir da década de 1980, com a
globalização e a intensi�cação da competição econômica entre as empresas e os países. Dentro
desse contexto, o conceito de governança se tornou importante como forma de garantir que as
empresas fossem gerenciadas de maneira responsável e e�ciente, atendendo às expectativas dos
investidores e da sociedade.
A governança surgiu como um conjunto de práticas, políticas, processos e procedimentos que
garantem que uma organização seja dirigida, gerenciada e controlada de forma adequada e
alinhada com seus objetivos estratégicos. Partindo desse conceito, podemos entender então que a
governança voltada para tecnologia da informação partiu da necessidade de garantir que a área de
TI seja gerenciada de forma adequada e alinhada com esses objetivos da organização.
 Princípios de governança
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
O IBGC (Instituto Brasileiro de Governança Corporativa) é uma organização sem �ns lucrativos,
fundada em 1995, que tem como objetivo desenvolver e promover a governança corporativa no
Brasil. O instituto é uma referência em governança corporativa no país, sendo reconhecido por suas
publicações, pesquisas e eventos na área.
De acordo com o IBGC (2009), os princípios de governança são:
Transparência: consiste na necessidade de disponibilizar para todas as partes interessadas
(stakeholders) as informações que são do interesse e não somente as exigidas por
disposições de leis ou regulamentação. Não se atendo apenas ao interesse econômico-
�nanceiro, contemplando também outros demais fatores que norteiam a ação gerencial e que
levam à preservação e à otimização do valor da empresa.
Equidade: consiste no tratamento juntos e isonômico dos sócios e das demais partes
interessadas, considerando suas necessidades, seus direitos, seus deveres, suas expectativas
e seus interesses.
Prestação de contas (accountability): os responsáveis (agentes) pela governança devem
prestar contas sobre a sua atuação de modo transparente, preciso, compreensível e oportuno,
assumindo integralmente as consequências de seus atos e omissões, sempre atuando com
diligência e responsabilidade perante seus papéis.
Responsabilidade corporativa: os agentes de governança devem ter zelo pela viabilidade
econômico-�nanceira das organizações, prezar pela redução do impacto que externalidades
negativas possam causar a seus negócios e suas operações, aumentar as positivas, tendo em
consideração, em seus modelos de negócios, os variados capitais (�nanceiro, social,
ambiental, manufaturado, intelectual, humano, reputacional, etc.) no curto, médio e longo
prazos.
Dentro desses princípios, entende-se que a Governança de TI é um conjunto de ferramentas que
estabelecem as decisões e responsabilidades necessárias para aprimorar o desempenho da área
de TI, aumentar a transparência nos negócios, alinhar estrategicamente as ações e controlar os
processos, além de incentivar comportamentos adequados. Nesse contexto, os comportamentos
adequados são aqueles que estão em conformidade com os objetivos estratégicos da empresa e
podem variar de acordo com cada organização.
Entendo a Governança de TI
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
A diferença entre Governança de TI e Gestão de TI
Os termos podem ser parecidos, mas existem diferenças. A Governança de TI é responsável por
uma visão mais estratégica na elaboração de objetivos para a área de tecnologia, já a gestão trata
de executar as ações necessárias para alcançar esses objetivos. Ou seja, enquanto a primeira tem
uma visão mais abrangente do negócio, a segunda se concentra nas atividades diárias da área.
Objetivos e abrangência da Governança de TI
A Governança de TI abrange um conjunto de diretrizes, habilidades, competências e
responsabilidades assumidas pela alta gestão da empresa e pela equipe de TI. Sua função consiste
em orientar as ações organizacionais, controlar processos, otimizar a utilização de recursos,
fornecer suporte para a tomada de decisões e garantir a segurança da informação. Alguns objetivos
podem orientar a Governança de TI em seu papel:
Alinhamento estratégico: é necessário compreender e traduzir as estratégias de negócio em
planos para sistemas, aplicações, soluções, estrutura organizacional, processos e
infraestrutura, bem como para estratégias de sourcing e de Segurança da Informação.
Gestão de recursos: garantir que objetivos e metas planejados sejam atingidos, respeitando as
restrições de orçamento e elaborado um portifólio de serviços de TI.
Entrega de valor: desenvolver e fornecer apoio na implantação de projetos e serviços por
prioridade com atenção aos aspectos do presente e de longo prazo.
Melhoria contínua dos processos: todas as implantações e implementações precisam estar
adequadas aos padrões exigidos pelo negócio e a gestão deve ser feita com base no
planejamento, no controle e na avaliação de oportunidades de melhoria.
Gestão de riscos: os processos devem contemplar a identi�cação e os planos para mitigação
de riscos para o negócio.
Políticas e mensuração de desempenho: criar normas acerca de princípios, arquitetura,
necessidades, investimentos de segurança, fornecedores e parcerias de TI.
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Benefícios da Governança de TI
Maior segurança da informação: em relação à Segurança da Informação, a Governança de TI
contribui para o desenvolvimento de políticas e procedimentos que protegem os dados da
empresa e seus clientes, garantindo maior con�abilidade e credibilidade. A Governança de TI
também atua como reforço na manutenção de aspectos que são importantes para a
segurança.
Melhoria na comunicação interna: uma vez que a Governança de TI estabelece diretrizes
claras e uma estrutura hierárquica de responsabilidades, permitindo uma comunicação mais
e�ciente entre os departamentos e a equipe de TI. Sendo uma área que fornece apoio
estratégico para outras atividades dentro da organização, uma boa comunicação interna com
outras áreas, é essencial para geração de valor nos resultados da empresa.
Redução de riscos: uma vez que as políticas e os procedimentos estabelecidos ajudam a
identi�car e mitigar potenciais ameaças à empresa. Algumas práticas permitem classi�car
esses riscos e estabelecer prioridades, visto que nem sempre é possível eliminar todos eles
devido à quantidade de recursos que precisam ser empregados.
Otimização de recursos: uma vez que permite a utilização mais e�ciente de recursos
�nanceiros, humanos e tecnológicos. A tecnologia é uma grande aliada na otimização de
recursos, mas empregar esses elementos tecnológicos sem estabelecimento de critérios
alinhados à estratégiada empresa, pode gerar um resultado desastroso.
Maior con�ança dos clientes: uma vez que as empresas passam a ter processos mais
transparentes e e�cazes, por meio da implantação de melhores práticas e auditorias,
aumentando a satisfação e �delização do público consumidor.
Implantado a Governança de TI
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Implantando a Governança de TI
Agora que já entendemos os principais conceitos relacionados à Governança de TI, seus princípios,
objetivos e benefícios, vamos entender como ocorre a implantação desse processo dentro de uma
organização.
O processo de implantação não é rápido, sendo necessário o estabelecimento de ações de curto
médio e longo prazo. Podemos dividir esse processo em algumas etapas principais, sendo o
alinhamento estratégico e compliance, gerenciamento de recursos e processos e mensuração de
desempenho.
Alinhamento estratégico e compliance
Alinhamento estratégico é uma etapa que permite que processos de negócio e de tecnologia da
informação trabalhem conjuntamente e em harmonia. Ou seja, cria as condições necessárias para
que a TI corresponda às expectativas estratégicas de negócio. Para que esse alinhamento entre as
áreas ocorra, é preciso dar atenção a alguns aspectos que são fundamentais:
Infraestrutura de TI (estruturação e planejamento de ambientes virtuais e físicos de TI para a
organização).
Arquitetura de TI (elaboração de processos, padronização de dados, tecnologias de
aplicações, topologias de rede).
Necessidades de aplicações (sistemas de TI necessários para continuidade e estratégias do
negócio).
Segurança da Informação (procedimentos e ações sobre segurança geral de TI para
organizações).
Capacidade de atendimento (todos os recursos humanos e computacionais necessários para
manter os serviços de TI).
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Competências (reconhecimento de todas as atividades de atuação da TI dentro da
organização).
Reunindo todas essas informações alinhadas das necessidades do negócio, é possível elaborar o
plano diretor de TI.
Gerenciamento de recursos
O gerenciamento de recursos de TI pode ser dividido em três etapas:
Mecanismo de decisão: criar um organograma com os responsáveis pela decisão em TI,
distribuindo as responsabilidades sobre o que diz respeito à arquitetura e infraestrutura,
políticas, Segurança da Informação, serviços e outros.
Critérios de priorização: estabelecer critérios a partir das prioridades de investimento da alta
administração de modo a alinhar o investimento aos objetivos da organização.
Portfólio de TI: investimento no conjunto de trabalhos e atividades desempenhadas pela TI,
com base no retorno de projetos e ativos para a organização.
Processos, operação e gestão
Primeiro, precisamos entender os projetos que estão ou não sob a alçada e responsabilidade da TI,
mas que de toda forma devem ser planejados, executados, gerenciados e implantados por ela.
Tendo como exemplo o caso do desenvolvimento e da manutenção de sistemas.
Depois, é preciso veri�car quais são os serviços das operações atendidas pela TI ao fornecer
serviços para clientes internos e externos da organização. Outro aspecto importante diz respeito ao
relacionamento com usuários dos serviços de TI com a área e também o relacionamento com
fornecedores e prestadores de serviço.
Mensuração de desempenho
Por �m, a mensuração de desempenho por meio de métricas e indicadores (KPIs) tem como
objetivo para a Governança de TI realizar uma avaliação precisa das metas e dos resultados
atingidos para o negócio, com a gestão da performance para acompanhar o desempenho das
operações de serviços ou referentes ao desenvolvimento de sistemas, suporte a serviços, entrega
de serviços e Segurança da Informação. Se houver falhas ou lacunas no processo, então é feita a
correção, para que Governança de TI ocorra de maneira realmente e�caz. 
Videoaula: Governança de Tecnologia da Informação
Este conteúdo é um vídeo!
Para assistir este conteúdo é necessário que você acesse o AVA pelo computador
ou pelo aplicativo. Você pode baixar os vídeos direto no aplicativo para assistir
mesmo sem conexão à internet.
Caro, estudante!
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Neste vídeo vamos tratar dos principais pontos vistos na aula. Você verá os principais conceitos
sobre Governança de Tecnologia da Informação, seu emprego e sua aplicação. Também vamos
avaliar quais são seus objetivos e benefícios relacionados às atividades de TI dentro da
organização. Os vídeos são uma importante ferramenta de sintetização do conteúdo, então não
deixe de assistir com atenção.
Saiba mais
Leia este artigo da UFPE sobre o assunto.
LUNA, A. J. H. O.; PAIVA, T. S. B. Governança em TIC. [s. d.].
Referências
https://www.cin.ufpe.br/~processos/TAES3/Livro/00-LIVRO/21-Governanca%20em%20TIC-v6_CORRIGIDO.pdf
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
SILVA, S. G. da. Governança de tecnologias da informação. Londrina: Editora e Distribuidora
Educacional S.A., 2017. 
Aula 2
Segurança da Informação em governança de TI
Introdução da aula
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Olá, estudante!
Você entenderá nesta aula a relação entre Segurança da Informação e Governança de Tecnologia da
Informação. A Segurança da Informação é a área que busca proteger dados valiosos, garantindo
sua con�dencialidade, integridade e disponibilidade. Com a adoção cada vez maior dos meios
digitais para estruturação de negócios, ela se tornou vital para o sucesso das organizações
modernas, enfrentando ameaças cibernéticas constantemente. Dada a sua importância, é correto
a�rmar que a Segurança da Informação se tornou um dos pilares da formação de todo pro�ssional
de tecnologia da informação. Por isso não deixe de se aprofundar nesse tema tão importante.
Bons estudos!
Segurança da Informação
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
O que é Segurança da Informação?
Podemos dizer que Segurança da Informação se refere a um conjunto de práticas, normas e
técnicas implementadas para proteger as informações consideradas de valor para um indivíduo ou
uma organização. Ela abrange a proteção de dados con�denciais e sensíveis, sistemas de
computacionais, ativos de redes e demais recursos relacionados.
São considerados pilares da Segurança da Informação a garantia da con�dencialidade, integridade
e a disponibilidade dos dados, bem como preservar sua autenticidade, privacidade e conformidade
legal. Também são muitos os meios que podem ser empregados para realizar essa proteção, por
isso é importante alinhar a utilização desses recursos às necessidades estratégicas do negócio em
que a organização está inserida. Hoje, os dados são tidos como ativos valiosos para algumas
empresas, e com o surgimento das leis que visam regulamentar a utilização desses dados, a
proteção se tornou uma questão também de responsabilidade.
Pilares da Segurança da Informação
O conceito dos "Três Pilares da Segurança da Informação" surgiu no �nal da década de 1990,
considerando esses pilares a con�dencialidade, integridade e disponibilidade. Esse conceito
continua sendo amplamente aceito e utilizado como base para a proteção de informações. No
entanto, em alguns contextos, outros pilares têm sido adicionados para complementar e expandir o
escopo da Segurança da Informação, incluindo também os pilares da autenticidade, privacidade e
não repúdio. Vamos conhecer melhor cada um desses itens:
1. Con�dencialidade: visa garantir que as informações sejam acessíveis somente por pessoas
autorizadas, protegendo-as contra acesso não autorizado. Geralmente, costuma-se de�nir
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
níveis e controle de acesso, estabelecendo uma hierarquia para os dados; quanto mais
sensíveis, menos pessoas poderão acessá-los.
2. Integridade: busca manter a exatidão e a completude das informações, garantindo que elas
não sejam alteradas de forma não autorizada ou acidental. A integridade dos dados é
preservada por meio de backups automáticos,controle nas alterações feitas em um
documento, manutenção periódica de hardwares de armazenamento, entre outras ações.
3. Disponibilidade: tem como objetivo garantir que as informações e os sistemas estejam
disponíveis para uso quando necessário, evitando interrupções indesejadas. Dentro do
contexto de segurança, existe a prevenção e mitigação de riscos que ameaçam a
disponibilidade dos dados.
4. Autenticidade: refere-se à veri�cação da autenticidade das informações, garantindo que elas
sejam provenientes de fontes con�áveis e não tenham sido falsi�cadas ou manipuladas,
apesar da semelhança com a integridade a autenticidade tem seu foco nas informações
recebidas.
5. Privacidade: está relacionada à proteção dos dados pessoais e à garantia de que sejam
processados, armazenados e compartilhados de acordo com as leis e regulamentos de
privacidade aplicáveis. A privacidade se assemelha à con�dencialidade, com a diferença de
que o foco é na proteção dos dados pessoais de indivíduos.
�. Não repúdio: busca garantir que as partes envolvidas em uma transação não possam negar
posteriormente sua participação ou ações realizadas. Tão importante quanto garantir que a
informação não seja acessada por pessoas não autorizadas, é ter mecanismos que registrem
esses acessos, tanto para possíveis omissões quanto para violações envolvendo esses
dados.
Esses pilares adicionais re�etem preocupações especí�cas relacionadas à Segurança da
Informação em diferentes contextos. Portanto, embora os três pilares originais sejam amplamente
utilizados, é importante adaptar e expandir o conceito de acordo com as necessidades e os
requisitos especí�cos de cada ambiente ou organização.
Governança e Segurança da Informação
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Governança da Segurança da Informação
Durante alguns anos, as equipes de Segurança da Informação atuavam quase que unicamente
sobre infraestrutura de TI. Em outras palavras, o universo da segurança se resumia a Firewalls,
IDS/IPS, dentre outras tecnologias relacionadas à comunicação de dados. Infelizmente, esse
entendimento sobre segurança ainda é muito utilizado nos dias de hoje, basta conversar com
alguns pro�ssionais da área de tecnologia da informação e você vai observar esse consenso. Isso
diz muito como uma parte do mercado de TI tem abordado o tema. A Governança da Segurança da
Informação precisa ser um requisito não negociável para a execução de negócios, e não algo visto
como uma abordagem exagerada e burocrática sobre tecnologia da informação.
A Governança e a Segurança da Informação estão relacionadas, devido à importância que esse
tema tem sobre as partes interessadas (stakeholders). A Governança de TI trata dessa
comunicação entre a alta gestão da organização e os resultados gerados pelas práticas internas de
Segurança da Informação dentro de uma linguagem acessível para todos.
Nesse contexto, a ISO 27014 tem por objetivo planejar, organizar, dirigir e controlar as práticas de
segurança e, ainda, comunicar tais práticas para que sejam compreendidas. Os resultados
desejados para uma Governança de Segurança da Informação e�caz são:
Visibilidade da alta direção sobre a situação da Segurança da Informação.
Proporcionar agilidade para a tomada de decisões sobre os riscos da informação.
Investimentos realizados de forma e�ciente e e�caz em Segurança da Informação.
Conformidade com requisitos externos (legais, regulamentares ou contratuais).
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Realizando a implantação da Governança da Segurança da Informação, a organização consegue
alinhar o planejamento estratégico de segurança de TI aos objetivos e às metas da organização.
Dessa forma, a área de TI consegue agregar valor para a empresa, através de procedimentos
seguros, evitando danos aos negócios.
Benefícios da Segurança da Informação
A Governança da Segurança da Informação está intimamente ligada à Governança Corporativa e
desempenha um papel crucial na reputação e no progresso da empresa.
Existem situações de segurança que expõem a organização a sérios perigos, como uma falha na
segurança da informação que pode revelar informações con�denciais aos concorrentes, ou a
ocorrência de um desastre, seja natural ou provocado, que resulta na destruição de dados
essenciais e até mesmo no encerramento das atividades comerciais.
Portanto, é praticamente inviável garantir a Governança Corporativa sem implementar uma
Governança de Segurança da Informação adequada. Além disso, a continuidade dos negócios da
organização não pode ser assegurada sem a adoção adequada da Governança de Segurança da
Informação. Dentre os benefícios proporcionados pela adoção das práticas de segurança estão:
proteção dos ativos de informação, cumprimento de regulamentações e requisitos legais, aumento
da con�ança do cliente, resposta e�ciente a incidentes, vantagem competitiva, redução de custos,
melhoria da e�ciência operacional.
Para alcançar os resultados desejados em termos de Governança de Segurança da Informação,
conforme de�nido pela norma ISO 27014, é essencial que a empresa esteja ciente de suas
vulnerabilidades, dos riscos aos quais está exposta e de como gerenciar esses riscos.
Normas de Segurança da Informação
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Normas de Segurança da Informação
A ISO 27000 é um conjunto de certi�cações de Segurança da Informação e de proteção de dados
voltados para empresas e órgãos públicos. Essas certi�cações podem ser atribuídas a empresas e
pro�ssionais da área de Segurança da Informação que queiram comprovar seus conhecimentos e
adoções de práticas e procedimentos relacionados à área. Ela também serve como referência para
a implantação de um Sistema de Gestão de Segurança da Informação (SGSI) em organizações de
qualquer porte.
Seguem algumas das principais normas utilizadas pelo mercado:
ISO/IEC 27001: dentre todas é a principal norma que uma organização deve adotar como base
para obter uma certi�cação em gestão de Segurança da Informação. É internacionalmente
reconhecida como a única norma auditável que de�ne os requisitos necessários para um
Sistema de Gestão de Segurança da Informação.
ISO/IEC 27002: essa norma fornece um código de práticas que de�ne um conjunto de
controles que auxiliam na implantação do SGSI.
ISO/IEC 27003: diferente da 27001, que apenas apresenta os requisitos para implantação do
SGSI, essa contém orientação detalhadas, fornecendo um conjunto de diretrizes para a
implementação do SGSI.
Essas são apenas algumas das normas mais relevantes utilizadas no mercado de TI, existem
normas de outras famílias da ISO/IEC que também complementam a Governança de Segurança da
Informação. A escolha e adoção dessas normas dependem das necessidades e dos requisitos
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
especí�cos de cada organização, bem como das regulamentações e dos padrões da indústria às
quais estão sujeitas.
Estratégia de proteção de dados e LGPD
A Lei Geral de Proteção de Dados (LGPD) está em vigor no Brasil desde 2021. Essa lei tem como
objetivo estabelecer regras e diretrizes para o tratamento de dados pessoais no Brasil, ou seja, com
a crescente digitalização e uso da informação, houve a necessidade de regulamentar a manipulação
desses dados, a �m de proteger os direitos dos indivíduos diante da exposição de informações
privadas. No cenário internacional, leis equivalentes já estão em vigor há algum tempo e não estar
em conformidade com essas leis é questão eliminatória para os negócios, enquanto no Brasil,
muitas empresas ainda estão em processo de adaptação. Além da necessidade de proteger os
dados por uma questão de sobrevivência da organização, ainda existe a responsabilidade que a
empresa ou os entes públicos precisam ter na utilização de dados privados.
Alguns passos são necessários para escolher a estratégia de proteção de dados adequadas aos
negócios da organização, vou citar alguns exemplos:
1. Gerenciamento do ciclo de vida dos dados: essa é uma medida que busca organizar as etapaspelas quais os dados devem passar de maneira segura, desde a sua coleta até sua exclusão.
2. Controles de gerenciamento de acesso: deve-se estabelecer uma política de acesso mínimo
aos usuários, em que a organização da liberação desses acessos seja concedida de acordo
com a necessidade, respeitando critérios e políticas de per�l do usuário.
3. Backup e recuperação de dados: essa é uma medida de extrema importância. Devem ser
armazenados apenas os dados de maior importância e de�nidos quais serão os métodos
seguros de armazenamento desses backups para que eles possam ser utilizados para
continuidade de negócios e recuperação de desastres.
4. Padrões e conformidade regulamentar: aqui entra a LGPD, é necessário estabelecer
procedimentos padronizados para manter a proteção dos dados e estar em conformidade
com as políticas internas da organização e com a leis de regulamentações locais.
Videoaula: Segurança da Informação em governança de TI
Este conteúdo é um vídeo!
Para assistir este conteúdo é necessário que você acesse o AVA pelo computador
ou pelo aplicativo. Você pode baixar os vídeos direto no aplicativo para assistir
mesmo sem conexão à internet.
Caro, estudante!
Neste vídeo vamos tratar dos principais pontos vistos na aula. Você verá os principais tópicos da
relação entre Governança de TI e Segurança da Informação, seu emprego e aplicação. Também
vamos avaliar quais são seus benefícios e normas que são utilizadas como base no
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
desenvolvimento de um sistema de Gestão de Segurança da Informação. Os vídeos são uma
importante ferramenta de sintetização do conteúdo, então não deixe de assistir com atenção.
Saiba mais
Acesse o link da norma ISSO 27001 traduzido para o português para conhecê-la.
ABNT NBR. ISO/IEC 27001. Rio de Janeiro: ABNT, 2016.
Referências
https://jkolb.com.br/wp-content/uploads/2016/09/ABNT-NBRISOIEC27001-20060331Ed1.pdf
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
ABNT NBR. ISO/IEC 27001. Rio de Janeiro: ABNT, 2016. Disponível em: https://jkolb.com.br/wp-
content/uploads/2016/09/ABNT-NBRISOIEC27001-20060331Ed1.pdf. Acesso em: 31 maio 2023.
SILVA, S. G. da. Governança de tecnologias da informação. Londrina: Editora e Distribuidora
Educacional S.A., 2017.
Aula 3
Práticas em Governança de TI
Introdução da aula
https://jkolb.com.br/wp-content/uploads/2016/09/ABNT-NBRISOIEC27001-20060331Ed1.pdf
https://jkolb.com.br/wp-content/uploads/2016/09/ABNT-NBRISOIEC27001-20060331Ed1.pdf
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Olá, estudante!
Um dos principais desa�os no mundo dos negócios está relacionado à con�ança do mercado sobre
a administração das empresas. A má gestão e a corrupção dentro de algumas organizações podem
acabar com o sonho de muitos investidores e parceiros de negócios.
Nesta aula, você aprenderá sobre as motivações e consequências da criação da Lei Sarbanes-Oxley
(SOX) e seu impacto na Governança Corporativa. Quais foram os benefícios da promulgação dessa
Lei e as práticas que foram incorporadas pelas organizações como resposta às regulamentações
que foram criadas.
Também vamos ver dois cases de sucesso e analisar as principais práticas de Governança de TI.
Esse conteúdo vai lhe ajudar a identi�car possíveis melhorias nas organizações que você atuar, que
vão proporcionar maior con�ança de empresas e áreas parceiras sobre o trabalho realizado.
Portanto, não deixe de se aprofundar nesses estudos.
Governança Corporativa e Lei SOX
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Governança Corporativa
Antes de o conceito de Governança Corporativa ser amplamente adotado, a gestão e a supervisão
das empresas muitas vezes não seguiam princípios claros e consistentes. A estrutura de
governança das empresas variava amplamente e nem sempre era projetada para proteger os
interesses dos acionistas e garantir a transparência e a prestação de contas.
Os princípios de Governança Corporativa começaram a ser discutidos e desenvolvidos
principalmente a partir da década de 1980, em resposta a escândalos corporativos e crises
�nanceiras ocorridas em diferentes partes do mundo. O relatório "Princípios de Governança
Corporativa", publicado em 1999 pela Organização para a Cooperação e Desenvolvimento
Econômico (OCDE), foi um marco importante no desenvolvimento desses princípios.
Esses princípios de Governança Corporativa, que incluem a proteção dos direitos dos acionistas, a
equidade, a transparência e a prestação de contas, foram adotados e adaptados por diversos países
em seus códigos de boas práticas e legislações especí�cas.
Lei Sarbanes-Oxley (SOX)
Houve na história diversos casos de fraudes contábeis empresariais. Em 2001, por exemplo, os
Estados Unidos viram falir a Enron, uma gigante do setor elétrico americano.
Acumulando uma dívida de mais de US$ 13 bilhões, a avalanche da falência fez a empresa levar
com ela fundos de pensão de funcionários e de outros investidores. Tudo isso foi resultado de
sucessivas fraudes nos balancetes da empresa, que demonstravam um desempenho muito
diferente da realidade. O caso da Enron foi um dentre tantos outros que ocorreram na época, o que
forçou os Estados Unidos a tomarem algumas ações concretas sobre esse problema.
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
A Lei Sarbanes-Oxley (SOX) recebeu esse apelido devidos aos esforços dos políticos americanos
Paul Sarbanes e Michael Oxley, essa lei foi uma resposta especí�ca aos escândalos corporativos
ocorridos nos Estados Unidos nesse período, em meados dos anos 2000, e teve como objetivo
fortalecer a Governança Corporativa no país, especialmente no âmbito das empresas de capital
aberto. Embora o conceito de Governança Corporativa já fosse conhecido antes da SOX, essa lei
teve um impacto signi�cativo na regulamentação e nas práticas de Governança Corporativa nos
Estados Unidos e in�uenciou o debate e a legislação em outros países.
A SOX estabelece uma série de requisitos para as empresas, visando melhorar a Governança
Corporativa e proteger os interesses dos acionistas e investidores. Alguns dos principais aspectos
da lei incluem:
Criação da Public Company Accounting Oversight Board (PCAOB): a SOX criou a PCAOB como
uma entidade reguladora independente para supervisionar as auditorias das empresas de
capital aberto, estabelecendo padrões de auditoria e monitorando o cumprimento dessas
normas.
Responsabilidade corporativa: a lei estabelece a responsabilidade dos altos executivos das
empresas em relação à precisão das informações �nanceiras divulgadas. Os CEOs e CFOs
devem certi�car pessoalmente a exatidão dos relatórios �nanceiros.
Controles internos: a SOX requer que as empresas implementem controles internos robustos
para garantir a precisão e con�abilidade dos relatórios �nanceiros. As empresas devem avaliar
e relatar a e�cácia de seus controles internos.
Auditorias independentes: a lei estabelece diretrizes para a relação entre as empresas e suas
empresas de auditoria independentes, incluindo períodos de rodízio obrigatório de auditores e
restrições em serviços não auditores fornecidos pelas empresas de auditoria.
Proteção de denunciantes: a SOX oferece proteção aos denunciantes de práticas ilegais ou
antiéticas, proibindo represálias contra funcionários que relatem irregularidades.
Práticas de Governança de TI
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Práticas de Governança de TI  
Podemos compreender as práticas de Governança de TI como um conjunto de diretrizes, processos
e estruturas que visam garantir as melhores metrologias para uso da tecnologia da informação em
uma organização. Essas práticas têm como objetivo principal alinhar a TI aos objetivos estratégicos
da empresa, agregando valor aos resultados da organização.
Seguem algumas práticas comumente utilizadas:
Gestão de riscos e segurança de TI: inclui a identi�cação, avaliação e mitigação de riscos
relacionados à Segurança da Informação, conformidade regulatória e continuidade de
negócios. Também de�ne uma série de procedimentose práticas que irão compor a estratégia
de Segurança da Informação da organização.
Gestão de projetos de TI: envolve a adoção de boas práticas na gestão de projetos de TI, como
de�nição clara de escopo, alocação de recursos adequados, planejamento e controle de
cronograma.
Gestão de serviços de TI: envolve a de�nição e a entrega de serviços de TI que atendam às
necessidades dos usuários e da organização, garantindo qualidade, disponibilidade e suporte
adequado.
Governança de dados: inclui a de�nição de políticas e práticas para garantir a qualidade,
integridade, con�dencialidade e conformidade dos dados utilizados pela organização. Essa
prática está diretamente relacionada à Segurança da Informação, porém também depende de
esforços de outras áreas da TI.
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Monitoramento e controle: inclui a implementação de mecanismos de monitoramento e
controle para acompanhar o desempenho, a conformidade e a efetividade das práticas de
Governança de TI. Cada conjunto de práticas contém seus próprios indicadores, sendo alguns
importantes para o acompanhamento estratégico.
Frameworks de gestão e Governança de TI
Frameworks são frequentemente utilizados como guias para a implementação das práticas de
Governança de TI. Eles surgiram como uma resposta à necessidade de orientações e melhores
práticas para aprimorar a gestão e o controle da área. Esses frameworks fornecem estruturas,
metodologias e melhores práticas reconhecidas internacionalmente, ajudando as organizações a
estabelecerem e aprimorarem suas capacidades de Governança de TI de maneira consistente.
Seguevm alguns dos principais frameworks:
COBIT (Control Objectives for Information and Related Technologies): inicialmente, ele se
concentrava na auditoria de sistemas de informação, mas evoluiu para se tornar um
framework abrangente de Governança e Gestão de TI, oferecendo uma estrutura para alinhar
os objetivos de negócios com os de TI e fornecendo um conjunto de objetivos de controle e
práticas recomendadas.
ITIL (Information Technology Infrastructure Library): o ITIL foi desenvolvido para melhorar a
qualidade e a e�ciência dos serviços de TI fornecidos pelo governo britânico. Ao longo dos
anos, o ITIL se tornou um dos frameworks mais adotados globalmente para a gestão de
serviços de TI nas organizações.
ISO/IEC 27001: a ISO/IEC 27001 é uma norma internacional para a gestão da Segurança da
Informação. A norma estabelece os requisitos para um Sistema de Gestão de Segurança da
Informação (SGSI), que ajuda as organizações a identi�car, avaliar e tratar os riscos de
Segurança da Informação de maneira sistemática.
PMBOK (Project Management Body of Knowledge): o PMBOK foi desenvolvido pelo Project
Management Institute (PMI) nos Estados Unidos. Ele é um guia para o gerenciamento de
projetos e fornece um conjunto de melhores práticas amplamente aceitas no campo do
gerenciamento de projetos. Embora não seja especi�camente um framework de Governança
de TI, o PMBOK é frequentemente aplicado na gestão de projetos da área, junto com outros
frameworks mais especí�cos.
Cases de sucesso
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Cases de sucesso
Após conhecermos algumas das mais conhecidas práticas de Governança de TI e alguns dos
principais frameworks, vamos ver um resumo prático da aplicação dessas metodologias por meio
dos cases, como atingir o sucesso implantando a Governança Corporativa e a Governança de TI.
Case 1 - Apresentado no X Congresso Nacional de Excelência em Gestão – 2014)
Este case é sobre uma empresa de planos de saúde que passou por um processo de implantação
de Governança de TI em fases, entre os anos de 2012 e 2014. Essa empresa é reconhecida como a
maior provedora de saúde odontológica no Nordeste e a quarta maior do seu segmento no Brasil,
contando com mais de 600.000 clientes e aproximadamente 1.000 colaboradores.
No planejamento feito pela empresa, foram de�nidos quatro pilares para a implantação da
Governança de TI.
Estrutura de gestão: trata-se da primeira fase da implantação. Criar comitês de Governança de TI e
de usuário-chave. O comitê de Governança de TI trata do alinhamento da TI com o planejamento
estratégico da empresa, também é responsável pela de�nição de investimentos e divulgação da
governança. O comitê de usuários-chave trata de estabelecer a prioridade dos projetos e
manutenções emergenciais. Ambos os comitês possuem regimentos formalizados que devem ser
seguidos. Nenhuma mudança na política de TI pode ser decidida fora desses comitês.
Gestão de portfólio e projetos: a segunda fase do projeto baseia-se nas melhores práticas do
PMBOK, estabelecendo alguns objetivos, por exemplo:
Mitigar riscos.
De�nir escopo de forma assertiva.
Eliminar o retrabalho
Depois algumas ações:
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Desenvolvimento de modelos de documentos (templates).
Divulgação de regras de prioridade de projetos.
Quali�cação da equipe de projetos com base no PMBOK.
Gerenciamento de serviços de TI: a terceira fase usa como base as melhores práticas do ITIL V3.
Estabelecendo alguns objetivos, por exemplo:
Criar padrões.
Aumentar os serviços disponibilizados pela TI.
Aumentar segurança nos processos.
Depois algumas ações:
Certi�cação e treinamento da equipe no ITIL.
Estabelecimento de normas de Segurança da Informação.
Normas de uso dos ativos de TI.
Sistemas e processos: a quarta fase envolve, principalmente, a área de desenvolvimento da
empresa e busca resultados, como:
Melhorar a performance dos processos.
Criar novas demandas com TI.
Desenvolver projetos e trazer novidades para a área.
Case 2 - TNG aumenta a produtividade da gestão de TI por meio da redução de mais de 50% dos
incidentes que aconteciam na estrutura de comunicação de todas as suas lojas
Em 2010, a TNG procurou soluções para reduzir as interrupções não programadas nos sistemas de
suas 174 lojas no Brasil. A empresa estava utilizando a ferramenta de monitoramento de código
aberto Zabbix e decidiu migrar para o OpMon, desenvolvido pela OpServices. A escolha do OpMon
foi motivada pelo fato de a ferramenta incorporar o processo de Governança de TI, permitindo o
alinhamento da TI com o negócio e fornecendo uma visão centralizada dos Indicadores-Chave de
Desempenho (KPIs). Através do OpMon a empresa teve maior visibilidade dos processos por meio
desses KPIs.
Organização do projeto: a implantação do OpMon foi organizada em cinco etapas distintas
(planejamento, documentação, instalação, aplicações e métricas) e encerramento.
Principais benefícios da Governança de TI: houve um aumento expressivo da con�ança das demais
áreas com relação à área de TI. A maior parte dos problemas é avisada, com antecedência, aos
técnicos de TI. Houve aumento da maturidade de TI e produtividade.
Melhores práticas: algumas práticas utilizadas no case da TNG estão embasadas nos
seguintes pontos.
Mudança cultural (TI vista como investimento e solução).
Foco da TI em questões estratégicas.
De�nição de KPIs para maior controle e gestão.
Mapeamento adequado dos processos (permitindo agilidades das ações).
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Videoaula: Práticas em Governança de TI
Este conteúdo é um vídeo!
Para assistir este conteúdo é necessário que você acesse o AVA pelo computador
ou pelo aplicativo. Você pode baixar os vídeos direto no aplicativo para assistir
mesmo sem conexão à internet.
Caro estudante,
Neste vídeo vamos tratar dos principais pontos vistos na aula. Você verá a importância entre
Governança Corporativa e Lei Sarbanes-Oxley (SOX). Também vamos avaliar quais são seus
benefícios na consolidação de boas práticas de Governança Corporativa e desenvolvimento de boas
práticas de Governança TI. Por �m, vamos entender melhor a aplicação das práticas nos dois cases
de sucesso. Os vídeos são uma importante ferramenta de sintetização e aprofundamento do
conteúdo, então não deixe de assistir com atenção.
Saiba mais
Veja neste link o case de sucesso 2 (TNG) em detalhe.
TEBALDI, P. C. TNGaumenta a produtividade da gestão de TI com o OpMon. Opservices, 2014.
https://www.opservices.com.br/case-de-sucesso-tng/
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Referências
SILVA, S. G da. Governança de tecnologias da informação. Londrina: Editora e Distribuidora
Educacional S.A., 2017.
Aula 4
Melhoria contínua da Governança de TI
Introdução da aula
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Olá, estudante!
Nesta aula você irá entender o conceito de melhoria contínua dentro das organizações e no setor de
serviços de TI através da ITIL. Também vamos ver diferentes modelos que promovem a melhoria
contínua, como o modelo Kaizen e o modelo PDCA.
É importante compreender o conceito de melhoria contínua, pois ele garante que os processos
dentro da área de TI passem por ciclo de avaliação e aprimoramento contínuo, além de permitir a
visão da TI como uma área que dê suporte no desenvolvimento de melhorias em outras áreas.
Este conteúdo vai te ajudar a desenvolver um olhar crítico sobre os processos, como pro�ssional,
colaborando para o desenvolvimento contínuo da organização na qual você estiver inserido. Então,
não deixe de se aprofundar nos estudos. 
Melhoria contínua e modelo PDCA
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Melhoria continuada
Melhoria continuada é um conceito, também conhecido como melhoria contínua ou Kaizen. Trata-se
de uma abordagem que busca aprimorar processos, produtos e serviços de forma constante e
gradual ao longo do tempo. Baseia-se na ideia de que pequenas mudanças incrementais podem
levar a melhorias signi�cativas a longo prazo, ou seja, qualquer mudança positiva é bem-vinda,
independentemente do tamanho e impacto.
A melhoria contínua também é conhecida como �loso�a Kaizen, que signi�ca "mudança para
melhor" em japonês. Embora muitos associem o surgimento dessa �loso�a ao Japão e à sua
indústria automobilística, sua origem remonta ao período pós-Segunda Guerra Mundial, quando o
Japão se esforçou para se reconstruir economicamente. A �loso�a kaizen foi in�uenciada por
ideias e práticas de especialistas em gestão ocidentais, como William Edwards Deming e Joseph M.
Juran, que foram convidados a ensinar suas técnicas de controle de qualidade no Japão.
Essa �loso�a foi popularizada por empresas japonesas, como a Toyota, que adotou uma
abordagem sistemática para melhorar seus processos de produção e qualidade. A Toyota
desenvolveu o Sistema Toyota de Produção, que enfatizava a eliminação de desperdícios, o
envolvimento de todos os funcionários na busca por melhorias e a adoção de práticas de trabalho
padronizadas.
O conceito de melhoria contínua se espalhou para outros setores e países ao longo do tempo,
ganhando reconhecimento internacional como uma estratégia e�caz para aumentar a e�ciência
geral das organizações. Atualmente, é amplamente aplicada em diversas áreas, desde a indústria
até o setor de serviços.
Modelos PDCA
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Modelo PDCA (Plan-Do-Check-Act) é uma metodologia cíclica da área de gestão empresarial que
de�ne as quatro principais atividades para melhorar processos, dentre elas estão: Planejar, Executar,
Veri�car e Agir. O objetivo do PDCA é gerar melhorias contínuas de processos, produtos e serviços,
a �m de resolver problemas e promover qualidade.
O PDCA foi criado originalmente para a área de qualidade das organizações, que visa identi�car e
corrigir falhas de desenvolvimento e processos. Logo, quando uma empresa identi�ca um problema
ou uma necessidade, ela deve aplicar essas quatro etapas do modelo para buscar uma solução.
Mas essas etapas podem ser aplicadas em qualquer área da estrutura organizacional.
Também é importante entender que o PDCA se trata de ciclo contínuo. Isso signi�ca que, ao �nal,
você pode revisitar o planejamento e recomeçar o ciclo, sempre em busca de melhorias.
Vamos entender melhor cada etapa desse ciclo:
1. Plan (Planejar): inicialmente, são estabelecidos os objetivos e as metas de melhoria. É feito
um planejamento detalhado das ações necessárias para alcançar esses objetivos. São
de�nidos os recursos necessários, os prazos, as responsabilidades e as métricas de
avaliação.
2. Do (Fazer): aqui o plano estabelecido é executado. As ações planejadas são implementadas
de acordo com o planejamento. É importante coletar dados e informações relevantes durante
a execução para análise posterior.
3. Check (Veri�car): nesta etapa, é realizada uma avaliação e análise dos resultados obtidos. Os
dados coletados durante a etapa "Fazer" são comparados com as metas e métricas
estabelecidas na etapa "Planejar". A ideia é veri�car se as ações realizadas estão trazendo os
resultados esperados.
4. Act (Agir): após análise dos resultados, nesta etapa são tomadas ações corretivas ou
preventivas. Se os resultados estiverem de acordo com as metas, podem ser identi�cadas
oportunidades de padronização e disseminação das melhores práticas. Caso contrário,
ajustes e melhorias são propostos para corrigir de�ciências e alcançar os objetivos
desejados.
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Figura 1 | Ciclo PDCA. - Fonte: Canva.
Melhoria contínua de serviços
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
ITIL e Gestão de Serviços
O setor de serviços de TI é uma área de grande importância estratégica nas organizações,
fornecendo suporte tecnológico e soluções que atendem as mais diversas necessidades do
negócio. Esse setor engloba uma ampla gama de serviços, como suporte ao usuário,
gerenciamento de infraestrutura, desenvolvimento de software, segurança da informação, cloud,
etc.
A ITIL (Information Technology Infrastructure Library) é um framework de melhores práticas muito
utilizado na gestão e no gerenciamento de serviços de TI. Ela fornece orientações e abordagens
para planejamento, entrega e suporte de serviços de qualidade.
Quais os benefícios dos processos ITIL?
Uma das principais vantagens do ITIL é a sua �exibilidade. Não é necessário que a organização
adote todos os métodos e rotinas de�nidas pela política de gestão para que ela possa ter grandes
melhorias nos seus processos internos. Assim, o ITIL pode ser aplicado de acordo com a realidade
do negócio.
A ITIL amplia a e�ciência interna dos processos por meio da racionalização de processos de TI.
Essa abordagem baseada em processos para o gerenciamento de serviços de TI fornece um
conjunto claro de etapas e atividades que permitem identi�car, planejar, implementar e monitorar
melhorias contínuas em todo o ciclo de vida dos serviços.
A ITIL também ajuda as organizações a entender e atender as necessidades do negócio por meio
da de�nição de estratégias de serviço, da gestão de demanda, da análise de riscos e da melhoria
contínua. Isso resulta em serviços de TI que são projetados e entregues para agregar valor real ao
negócio e impulsionar o sucesso organizacional.
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
A satisfação do cliente é outro benefício promovido pela ITIL, pois ela coloca ênfase na entrega de
serviços que atendam às expectativas dos clientes. Esse gerenciamento e�caz de relacionamento
com os clientes e a mensuração do desempenho dos serviços garantem uma satisfação contínua.
Por �m, a ITIL incorpora um ciclo dedicado à melhoria contínua, conhecido como Melhoria Contínua
de Serviço (CSI). Essa abordagem iterativa permite a identi�cação de oportunidades de melhoria, a
implementação de ações corretivas e preventivas e a avaliação constante do desempenho dos
serviços.
Por �m, a incorporação do Sistema de Valor de Serviço (SVS) na ITIL V4 é uma das principais
atualizações introduzidas nessa versão. O SVS é um conceito central que visa fornecer uma
compreensão mais abrangente de como criar, entregar e obter valor por meio dos serviços de TI e
compreende a melhoria contínua como elemento ativo na obtenção de valor.
Sistema de Valor de Serviço
O Sistema de Valor de Serviço (SVS) ITIL é um conceito relacionado à gestão estratégica de
serviços em uma organização. Ele se concentraem identi�car, criar e entregar valor aos clientes por
meio dos serviços prestados.
Os cinco elementos que apoiam a transformação da demanda em resultados valiosos são de�nidos
da seguinte forma:
1. Princípios orientadores: são recomendações que podem guiar uma organização em todas as
circunstâncias, independentemente de mudanças em seus objetivos, estratégias, tipo de
trabalho ou estrutura de gestão.
2. Governança: os meios pelos quais uma organização é dirigida e controlada.
3. Cadeia de valor de serviço: é um conjunto de atividades interconectadas que uma organização
realiza para entregar um produto ou serviço valioso aos seus consumidores e facilitar a
criação de valor. A cadeia de valor abrange desde a concepção, desenvolvimento e entrega do
serviço até o suporte pós-venda e a satisfação do cliente.
4. Práticas: são conjuntos de recursos organizacionais projetados para realizar um trabalho
especí�co ou cumprir um objetivo. As práticas são estruturadas e de�nidas para garantir a
e�cácia e e�ciência na execução de tarefas e processos.
5. Melhoria contínua: uma atividade organizacional recorrente realizada em todos os níveis para
garantir que o desempenho de uma organização atenda continuamente às expectativas das
partes interessadas.
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Figura 2 | Sistema de valor de serviço. - Fonte: elaborada pelo autor.
Implementando a melhoria contínua
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Implementado a melhoria contínua
Nos textos anteriores, vimos alguns modelos e a importância da ITIL na implementação da melhoria
contínua de serviços, por meio do Sistema de Valor de Serviço. Vamos entender como essas
metodologias podem ser implementadas dentro das empresas de forma prática.
Modelo Kaizen
O Kaizen consiste em criar uma cultura de melhoria contínua organizacional. Isso inclui o
envolvimento e o comprometimento da alta administração, a comunicação clara dos objetivos e
benefícios do Kaizen e o incentivo à participação de todos os funcionários. Podemos organizar a
implantação do modelo em algumas etapas:
Estabeleça uma premiação para os melhores projetos de melhoria e uma data limite para
entrega das propostas.
Divulgue que a empresa está premiando as melhores propostas de melhoria para incentivar a
participação de todos.
Crie um comitê de avaliação das propostas composto pela alta gestão. O objetivo desse
comitê é avaliar os projetos que serão enviados pelos colaboradores, veri�cando a viabilidade
dessas propostas.
Crie um comitê de organização composto pela alta gestão e por pessoas encarregadas de
acompanhar a execução dos projetos. Esse comitê tem como objetivo incentivar a execução
dessas propostas de melhorias, facilitando as aprovações necessárias e agilizando processos
por meio da comunicação com a alta gestão. Outra tarefa desse comitê é coletar as propostas
por meio de uma �cha contendo informações básicas, como: nome do autor, estado atual do
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
processo, objetivo da melhoria do processo, quais os requisitos de implantação e qual é a
melhoria prevista (preferencialmente representada em valores).
O comitê de organização irá selecionar todas as propostas viáveis e de�nir os facilitadores
que tratarão de acompanhar a execução do projeto.
Depois, o comitê irá organizar reuniões periódicas, buscando solucionar problemas de
execução dos projetos e acompanhar os resultados.
Por �m, o comitê irá veri�car os resultados do evento e de�nir os vencedores. A premiação é
realizada e um novo ciclo de melhorias é iniciado.
Esse é um exemplo de como o modelo Kaizen pode ser implementado. O objetivo é que todas as
propostas de melhorias sejam consideradas, com o conceito de que a organização se bene�cie pelo
conjunto de melhorias realizadas periodicamente.
Implementando o Sistema de Valor de Serviço (SVS)
A implantação do SVS envolve adotar uma abordagem centrada no valor na gestão de serviços de
TI. O objetivo é entregar valor aos clientes por meio de serviços de forma e�ciente, alinhada com as
necessidades do negócio e buscando constante aprimoramento.
Vamos resumir a implantação em alguns passos:
Princípios orientadores: compreenda os princípios orientadores do ITIL V4, que fornecem
diretrizes para a tomada de decisões e ações relacionadas à gestão de serviços.
Estabelecer governança: de�na políticas, processos e estruturas de governança que garantam
a entrega de serviços alinhados com os requisitos e as expectativas dos clientes.
Mapear a cadeia de valor de serviço: identi�que e mapeie as atividades interconectadas que
compõem a cadeia de valor de serviço, desde a concepção até a entrega e o suporte aos
serviços. Compreenda como cada etapa contribui para a criação de valor para os clientes.
Implementar práticas recomendadas: adote as práticas recomendadas do ITIL relevantes para
a sua organização, como gerenciamento de incidentes, gerenciamento de mudanças e
gerenciamento de problemas.
Melhoria contínua: realize atividades de melhoria contínua em todos os níveis da organização.
Meça o desempenho dos serviços, colete feedback dos clientes e identi�que áreas de
melhoria. Implemente ações corretivas e preventivas para agregar constantemente a entrega
de valor aos clientes.
Videoaula: Melhoria contínua da Governança de TI
Este conteúdo é um vídeo!
Para assistir este conteúdo é necessário que você acesse o AVA pelo computador
ou pelo aplicativo. Você pode baixar os vídeos direto no aplicativo para assistir
mesmo sem conexão à internet.
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Caro, estudante! Neste vídeo, vamos nos aprofundar no tema da melhoria continua organizacional e
melhoria contínua de serviços de TI. Também, vamos ver como é feito o processo de implantação
de modelos de melhoria contínua de forma mais detalhada e as etapas dos modelos com ciclo de
vida que garante uma melhoria mais iterativa dos processos.
Saiba mais
Veja neste link algumas dicas de implantação do ciclo de vida de serviços de TI:
JUNIOR, A. V. M. ITIL: guia completo sobre a metodologia para serviços de TI. Ti�ux, 2022.
Referências
https://tiflux.com/blog/itil-dicas-de-para-servicos-de-ti/
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
HARRINGTON, H. J. Melhoria Contínua em Processos e Produtos. São Paulo: Pioneira Thomson
Learning, 2002.
IMAI, M. Gemba Kaizen: o caminho do sucesso. Porto Alegre: Bookman, 1997.
OGC - O�ce of Government Commerce. ITIL® Service Lifecycle Publication Suite. TSO (The
Stationery O�ce), 2011.
OGC - O�ce of Government Commerce. ITIL® V3 - Guia de Transição. Brasília: ITIL, 2008.
VICENTE, A. C. P.; FRANCO, F. A. R. O Ciclo PDCA e o Gerenciamento das Atividades de Melhoria
Contínua. São Paulo: Atlas, 2010.
Aula 5
Resumo da unidade
Introdução à Governança de TI
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Introdução a Governança de TI
Caro estudante,
Vivemos em uma era onde a tecnologia da informação desempenha um papel cada vez mais
importante nas organizações, independentemente de seu porte ou setor. Nesse contexto, entender e
saber identi�car as melhores práticas de Governança de TI é fundamental para garantir que os
recursos tecnológicos sejam utilizados de forma e�ciente, alinhados aos objetivos estratégicos da
empesa e em conformidade com as melhores práticas. Para entender melhor o papel da
Governança de TI, vamos ver como surgiu esse conceito a partir da governança corporativa.
A governança nas organizações foi pensada com objetivo de estabelecer um conjunto de práticas e
estruturas que visam garantir a transparência, a prestação de contas, a equidade e a
responsabilidade corporativa, tendo como objetivo principal proteger os interesses de todos os
stakeholders envolvidos na organização. Ela também busca estabelecer mecanismos e diretrizes
que promovam a gestão e�ciente e ética das empresas, minimizando con�itos de interesse,
assegurando a adequada divulgação de informações, fortalecendo os sistemas de controle interno
e garantindo a tomada dedecisões responsáveis e alinhadas aos objetivos estratégicos pertinentes
ao negócio.
As organizações são instituições que possuem importância econômica e social, que variam de
proporção de acordo com o seu porte e valor do produto/serviço produzido. O interesse público na
boa gestão das empresas levou à promulgação da Lei Sarbanes-Oxley (SOX) nos Estados Unidos
em 2002, em resposta aos escândalos corporativos que impactaram o país na época, como o caso
Enron e o caso WorldCom.
O objetivo principal dessa lei é promover a transparência e a prestação de contas das empresas
listadas em bolsa nos Estados Unidos, estabelecendo uma série de requisitos e obrigações para as
empresas em relação à divulgação de informações �nanceiras, governança corporativa, auditoria
interna, controle interno e ética nos negócios.
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Na tecnologia da informação também há a necessidade constante de de�nir e reavaliar as melhores
práticas para governança da área. O ecossistema de TI é abrangente e, para isso, foram
desenvolvidos frameworks especí�cos para atender as necessidades do mercado, como
ITIL (Information Technology Infrastructure Library): focado na gestão de serviços de TI. Ele
oferece um conjunto de práticas recomendadas para o planejamento, o projeto, a transição, a
operação e o melhoria contínua dos serviços de TI. Compreendendo o ITIL, você poderá
compreender como as organizações podem fornecer serviços de TI de qualidade, alinhados às
necessidades dos usuários e às metas do negócio.
ISO 27001 (International Organization for Standardization): é uma norma internacional que
estabelece os requisitos para um sistema de gestão da segurança da informação (SGSI).
Fornece uma abordagem sistemática para identi�car, analisar e tratar os riscos de segurança
da informação, garantindo a proteção dos ativos de TI. Ao compreender a ISO 27001, você
estará apto a ajudar as organizações a adotarem práticas adequadas de segurança da
informação e proteção de dados.
COBIT (Control Objectives for Information and related Technology): é um framework focado no
controle e na governança de TI. Ele fornece um conjunto abrangente de práticas para auxiliar
as organizações a alcançarem seus objetivos estratégicos por meio do uso efetivo e inovador
da TI. Ao dominar o COBIT, você poderá ajudar as organizações a implementarem uma
estrutura sólida de governança, controle e gerenciamento de riscos relacionados à TI.
O grande desa�o da Governança de TI é alinhar e direcionar a área de tecnologia da informação aos
objetivos do negócio utilizando as melhores práticas.
Videoaula: Resumo da unidade
Este conteúdo é um vídeo!
Para assistir este conteúdo é necessário que você acesse o AVA pelo computador
ou pelo aplicativo. Você pode baixar os vídeos direto no aplicativo para assistir
mesmo sem conexão à internet.
Caro estudante,
Nesta videoaula vamos buscar relembrar o conteúdo abordado nesta unidade. O objetivo é se
aprofundar nos elementos que nos ajudam a reconhecer problemas e quais práticas podem ser
utilizadas para resolver esses problemas na gestão e governança de tecnologia da informação
utilizando ferramentas de amplo reconhecimento na área.
Estudo de caso
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Para contextualizar sua aprendizagem, imagine que você trabalha para uma empresa do ramo da
educação. Você foi contratado há pouco tempo como analista de tecnologia da informação e seu
objetivo é ajudar o departamento de TI na reestruturação dos processos da área utilizando boas
práticas. O cenário apresentado para você é o seguinte:
1. A empresa lida com uma grande quantidade de dados sensíveis, incluindo informações
�nanceiras, histórico escolar, dados pessoais de alunos e propriedade intelectual.
2. O setor de educação no país em que a empresa que você atua possui regulamentações
rigorosas em relação à proteção de dados e segurança da informação, parecidas com a LGPD
(Lei Geral de Proteção de Dados).
3. A empresa possui plataformas digitais de ensino e precisa garantir a disponibilidade dessas
ferramentas, então existe uma preocupação dos clientes (alunos) em relação à segurança das
plataformas disponibilizadas.
4. Não existe um planejamento em relação aos riscos em que área de tecnologia da informação
da empresa está exposta. Caso algum incidente ocorra não há um plano de ações de�nido
para tratar o problema.
5. No passado, houve um incidente de segurança à informação envolvendo a empresa. Isso
manchou um pouco a imagem da organização perante o mercado e é necessário fazer o
resgate dessa imagem.
Dado esse cenário, o gerente da área lhe deu uma tarefa na qual você precisa realizar uma pesquisa
e identi�car pelo menos um modelo (frameworks, normas, ferramentas) de boas práticas
relacionadas à Governança de Tecnologia da Informação e elaborar um relatório, contendo os
motivos pelos quais a implantação desse modelo pode solucionar cada um dos cinco pontos
apesentados no cenário.
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
O objetivo desse relatório é apresentar para a sua equipe um modelo de boas práticas relacionadas
à Governança de Tecnologia da Informação e como sua implementação pode solucionar os
desa�os enfrentados pela empresa do ramo da educação descrita no cenário. Considerando que os
principais desa�os são que a empresa lida com uma grande quantidade de dados sensíveis, está
sob regulamentações rigorosas em relação à proteção de dados, necessita garantir a
disponibilidade de suas plataformas digitais, não possui um planejamento de riscos de�nido e
enfrentou um incidente de segurança no passado que afetou sua imagem no mercado.
_______
Re�ita
Para ajudar na resolução do estudo de caso, vamos relembrar a família de normas ISO/IEC 27001.
Essas normas são um conjunto de padrões internacionais que fornecem diretrizes e requisitos para
a implementação de um Sistema de Gestão de Segurança da Informação (SGSI). Elas são
amplamente reconhecidas e utilizadas para auxiliar as organizações a protegerem seus ativos de TI
contra ameaças e garantirem a con�dencialidade, integridade e disponibilidade dos dados. A seguir,
são apresentados os principais padrões dessa família de normas:
ISO/IEC 27001: esta é a norma principal da família e estabelece os requisitos para a
implementação de um SGSI.
ISO/IEC 27002: conhecida como Código de Prática para Controles de Segurança da
Informação, ela fornece um conjunto abrangente de controles que podem ser implementados
de acordo com os requisitos da ISO/IEC 27001. Ela abrange áreas como políticas de
segurança, gestão de ativos, controle de acesso, segurança física, gestão de incidentes e
continuidade de negócios.
ISO/IEC 27005: esta norma trata especi�camente da gestão de riscos de segurança da
informação. Ela fornece orientações sobre como identi�car, avaliar e tratar os riscos de
segurança, com o objetivo de estabelecer um processo contínuo de gerenciamento de riscos
dentro da organização.
ISO/IEC 27003: seu foco é a orientação para a implementação do SGSI, fornecendo um guia
prático para as organizações que desejam implementar os requisitos da Isso/IEC 27001. Ela
aborda questões como a de�nição do escopo do SGSI, o estabelecimento de políticas e
procedimentos de segurança, a designação de papéis e responsabilidades.
Videoaula: Resolução do estudo de caso
Este conteúdo é um vídeo!
Para assistir este conteúdo é necessário que você acesse o AVA pelo computador
ou pelo aplicativo. Você pode baixar os vídeos direto no aplicativo para assistir
mesmo sem conexão à internet.
Olá, estudante!
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Os frameworks costumam ser desenvolvidos com um propósito bem de�nido. Particularmente, os
relacionados à Tecnologia da Informação, passam por constantes atualizações devido à rápida
expansão da área. As normas da família ISO/IEC 27001 surgiram quando as organizações
começaram a reconhecer a importância de proteger seus ativos de informação (dados e
infraestrutura de TI) contra ameaças e riscos.Neste Estudo de Caso, o cenário apresentado é de uma empresa que possui pouca maturidade no
aspecto da segurança da informação, por isso vamos utilizar a norma ISO 27001 para tratar dos
problemas mencionados.
Vamos elaborar o relatório abordando as cinco características do cenário, também com cinco
perspectivas nas quais a ISO 27001 pode ajudar na resolução dos problemas enfrentados pela
empresa.
1. Proteção de dados sensíveis: a implementação da ISO 27001 é fundamental para estabelecer
controles adequados de segurança da informação, garantindo a con�dencialidade, integridade
e disponibilidade desses dados sensíveis. Isso ajudará a evitar vazamentos de informações,
ataques cibernéticos e perdas �nanceiras decorrentes de incidentes de segurança.
2. Conformidade com requisitos regulatórios: a ISO 27001 é amplamente reconhecida como uma
norma internacional de referência para a segurança da informação e sua implementação
ajudará a empresa a cumprir esses requisitos legais e regulatórios. Isso evita multas, sanções
legais e danos à reputação da empresa decorrentes do não cumprimento das obrigações
legais.
3. Fortalecimento da con�ança dos clientes: a empresa obtendo a certi�cação ISO 27001,
precisa ter se preparado para tratar os riscos que envolvem a disponibilidade dos dados para
quem tem direito a acessá-los quando necessário.
4. Melhoria da gestão de riscos: a ISO 27001 incentiva a identi�cação e avaliação sistemática
dos riscos de segurança da informação na organização. Com base nessa análise de riscos, a
empresa poderá implementar controles apropriados para mitigar os riscos identi�cados. Isso
permite uma gestão mais e�caz dos riscos de segurança e reduz a probabilidade e o impacto
de incidentes de segurança.
5. Estabelecimento de processos robustos: a ISO 27001 também promove a implementação de
um Sistema de Gestão de Segurança da Informação (SGSI) baseado em processos bem
de�nidos. Isso garante a adoção de boas práticas em todos os aspectos da segurança da
informação, incluindo a de�nição de políticas, treinamento de funcionários, gestão de
acessos, gestão de incidentes e continuidade de negócios. A padronização e a documentação
desses processos aumentam a e�ciência, a consistência e a qualidade das operações
relacionadas à segurança da informação.
Com essas informações �ca claro para a equipe e gestão a importância de usar esse framework na
solução dos problemas enfrentados pela empresa.
Resumo visual
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Fonte: elaborado pelo autor.
Referências
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
ABNT – Associação Brasileira de Normas Técnicas. NBR ISO/IEC 27001:2006. Disponível em:
https://jkolb.com.br/wp-content/uploads/2016/09/ABNT-NBRISOIEC27001-20060331Ed1.pdf.
Acesso em: 18 maio 2023.
HARRINGTON, H. J. Melhoria contínua em processos e produtos. São Paulo: Pioneira Thomson
Learning, 2002.
IMAI, M. Gemba Kaizen: o caminho do sucesso. Porto Alegre: Bookman, 1997.
OGC - O�ce of Government Commerce. ITIL® Service Lifecycle Publication Suite. TSO (The
Stationery O�ce), 2011.
OGC - O�ce of Government Commerce. ITIL® V3 - Guia de Transição. Brasília: ITIL, 2008.
SILVA, S. G. da. Governança de tecnologias da informação. Londrina: Editora e Distribuidora
Educacional S.A., 2017.
VICENTE, A. C. P.; FRANCO, F. A. R. O Ciclo PDCA e o gerenciamento das atividades de melhoria
contínua. São Paulo: Atlas, 2010.
,
Unidade 2
Modelos de trabalho e ferramentas para a governança em TI
Aula 1
COBIT (Control Objectives for Information and Related Technology)
Introdução da aula
https://jkolb.com.br/wp-content/uploads/2016/09/ABNT-NBRISOIEC27001-20060331Ed1.pdf
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
As organizações que restringem suas respectivas áreas de Tecnologia da Informação (TI) apenas à
prestação de serviço interno e ao suporte técnico estão fadadas ao fracasso. Em meio à
competitividade do mercado e à expansão da transformação digital, acelerada pela pandemia de
Covid-19, as empresas têm exigido, cada vez mais, uma área de TI inserida nas áreas de negócios,
alinhada com as estratégias da organização e que agregue valor. 
A governança corporativa da informação e tecnologia (GCTI) tem o propósito de criar valor e
otimizar os riscos e recursos com a utilização da Informação & Tecnologia (I&T). Para auxiliar as
empresas na implementação do sistema de governança e da estrutura de governança, foi
desenvolvido o Control Objectives for Information and Related Technology (COBIT) (Objetivos de
Controle para Informação e Tecnologia Relacionada), que será apresentado nesta aula.
Quer saber como posicionar a TI de forma estratégica dentro da organização? Então, vamos lá! 
Conhecendo o COBIT e seus benefícios
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Conhecendo o COBIT e seus benefícios
O COBIT é um conjunto de boas práticas ou framework (estrutura) para a governança e gestão da
informação e tecnologia de uma organização. Ele tem como principal objetivo alinhar as estratégias
da organização com a área de TI para atingir seus objetivos, criando valor para o negócio.
Para o COBIT 2019, o valor de I&T está relacionado com a sua entrega, devendo ser realizada dentro
do prazo acordado, dentro da previsão orçamentária e tendo sua solução ou serviço adequados à
�nalidade, ao propósito. Essa entrega deve gerar retorno ou benefícios �nanceiros à organização.
Desenvolvido em 1996 pela Information Systems Audit and Control Association (ISACA)
(Associação de Auditoria e Controle de Sistemas de Informação), o COBIT passou por várias
evoluções, atualizações e versões até a sua publicação atual: o COBIT 2019. Nessa versão,
podemos destacar quatro publicações, sendo elas:
Estrutura do COBIT 2019: Introdução e Metodologia.
Estrutura do COBIT 2019: Objetivos de Governança e Gerenciamento.
Guia de Planejamento do COBIT 2019.
Guia de Implementação do COBIT 2019.
Antes de prosseguir, é importante diferenciar dois conceitos que são confundidos frequentemente:
gestão e governança.
Segundo o COBIT 2019, a governança é responsável por apoiar na de�nição da estratégia e
objetivos de uma organização, além de monitorar o desempenho e a conformidade em relação aos
objetivos acordados (LAINHART et al. (2018). Já a gestão é responsável por planejar, construir,
executar e monitorar as atividades e ações alinhadas às diretrizes estratégicas de�nidas pela
governança da organização.
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
 Princípios e componentes do Sistema de Governança
O COBIT traz princípios que são recomendações as quais visam orientar as organizações no que diz
respeito à estruturação e construção de um Sistema de Governança, divididos em dois conjuntos de
princípios, em linha com Lainhart et al. (2018):
Princípios do Sistema de Governança: fornecer valor às partes interessadas, abordagem
holística, sistema dinâmico de governança, separar governança da gestão, adaptado às
necessidades corporativas e sistema de governança de ponta a ponta.
Figura 1 | Princípios do Sistema de Governança. - Fonte: adaptada de Lainhart et al. (2018, p. 17).
Princípios do framework de governança: baseado em um modelo conceitual, aberto e �exível e
alinhado aos principais padrões.
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Figura 2 | Princípios do framework de Governança. - Fonte: adaptada de Lainhart et al. (2018, p. 18).
Um sistema de Governança de TI é composto por sete componentes que contribuem para a sua
efetiva operação dentro de uma organização, são eles: processos; estruturas organizacionais;
princípios, políticas e procedimentos; informação; cultura, ética e comportamento; pessoas,
habilidades e competências; e serviços, infraestrutura e aplicativos (LAINHART et al. (2018).
Os fatores de desenho precisam ser considerados no sistema de governança de uma organização,
pois in�uenciam positivamente no uso estratégico da I&T. Esses fatores são: estratégia de�nida
pela organização, objetivosorganizacionais, per�l de risco da organização, problemas relacionados
à área de TI da organização, cenário de ameaças internas e externas, requisitos de conformidades,
papel atual da TI dentro da organização (TI Suporte à TI Estratégica), modelo de provimento de TI,
métodos de implementação de TI, estratégia de adoção de novas tecnologias e tamanho da
organização (LAINHART et al. (2018).
Os objetivos de governança e gestão
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Os objetivos de governança e gestão
Com base no que vimos, o que é necessário para contribuir com os objetivos da organização
utilizando I&T? O COBIT descreve 40 objetivos de governança e gestão que precisam ser
alcançados pelas organizações.
Conforme de Lainhart et al. (2018), os objetivos de governança são cinco e estão agrupados no
domínio: Avaliar, Dirigir e Monitorar (EDM – Evaluate, Direct and Monitor). Os demais 35 objetivos
pertencem à gestão e estão agrupados em quatro domínios, sendo eles: Alinhar, Planejar e
Organizar (APO – Align, Plan and Organize); Construir, Adquirir e Implementar (BAI – Build, Acquire
and Implement); Entregar, Prestar Serviços e Dar Suporte (DSS – Deliver, Service and Support); e
Monitorar, Avaliar e Analisar (MEA – Monitor, Evaluate and Assess).
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Figura 3 | Modelo central do COBIT 2019. - Fonte: adaptada de Lainhart et al. (2018, p. 21).
Objetivos de Governança do domínio Avaliar, Dirigir e Monitorar (EDM – Evaluate, Direct and
Monitor), segundo Lainhart et al. (2018):
EDM01 - Implantar e manter uma estrutura de governança.
EDM02 - Assegurar a entrega de benefícios.
EDM03 - Otimização de riscos garantida.
EDM04 - Otimização de recursos garantida.
EDM05 - Engajamento garantido das partes interessadas.
Objetivos de Gestão do domínio Alinhar, Planejar e Organizar (APO – Align, Plan and Organize),
segundo Lainhart et al. (2018):
APO01 - Estrutura de gestão de TI gerenciada.
APO02 - Estratégia gerenciada.
APO03 - Arquitetura corporativa gerenciada.
APO04 - Inovação gerenciada.
APO05 - Portfólio gerenciado.
APO06 - Orçamento e custos gerenciados.
APO07 - Recursos humanos gerenciados.
APO08 - Relacionamentos gerenciados.
APO09 - Contratos de serviços gerenciados.
APO10 - Fornecedores gerenciados.
APO11 - Qualidade gerenciada.
APO12 - Risco gerenciado.
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
APO13 - Segurança gerenciada.
APO14 - Dados gerenciados.
Objetivos de Gestão do domínio Construir, Adquirir e Implementar (BAI – Buid, Acquire and
Implement), segundo Lainhart et al. (2018):
BAI01 - Programas gerenciados.
BAI02 - Requisitos de�nidos e gerenciados.
BAI03 - Identi�cação e construção de soluções gerenciadas.
BAI04 - Disponibilidade e capacidade gerenciadas.
BAI05 - Mudanças organizacionais gerenciadas.
BAI06 - Mudanças de TI gerenciadas.
BAI07 - Transição e aceitação de mudanças de TI.
BAI08 - Conhecimento gerenciado.
BAI09 - Ativos gerenciados.
BAI10 - Con�guração gerenciada.
BAI11 - Projetos gerenciados.
 Objetivos de Gestão do domínio Entregar, Prestar Serviços e Dar Suporte (DSS – Deliver, Service
and Support), segundo Lainhart et al. (2018):
DSS01 - Operações gerenciadas.
DSS02 - Solicitações e incidentes de serviços gerenciados.
DSS03 - Problemas gerenciados.
DSS04 - Continuidade gerenciada.
DSS05 - Serviços de segurança gerenciados.
DSS06 - Controle de processos de negócios gerenciados.
Objetivos de Gestão do domínio Monitorar, Avaliar e Analisar (MEA – Monitor, Evaluate and Assess),
segundo Lainhart et al. (2018):
MEA01 - Monitoramento de desempenho e conformidade gerenciado.
MEA02 - Sistema de controles internos gerenciado.
MEA03 - Conformidade e requisitos externos gerenciados.
MEA04 - Sistema de avaliações gerenciado.
Apesar de ser intuitivo, os objetivos apresentados possuem propósitos que detalham ainda mais os
resultados esperados pelo COBIT. Alguns desses objetivos, por sua vez, podem ser alcançados
através de outros frameworks que estudaremos nas próximas aulas.
Os objetivos também podem ser alcançados, desde que atendam o propósito e estejam alinhados
com a governança corporativa, através de padrões estabelecidos pela organização, como o BAI09,
onde uma organização pode estabelecer um instrumento para a gestão e controle dos ativos da
instituição.
Implementando o COBIT 2019
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Implementando o COBIT 2019
Após o entendimento dos conceitos, das metodologias e dos objetivos do COBIT, faremos uma
análise situacional da organização, através do Gerenciamento de Desempenho (COBIT Performance
Management – CPM), para identi�car os níveis de capacidade e os níveis de maturidade do sistema
de governança e gestão. Essa análise é essencial para a de�nição dos níveis a serem alcançados,
desejados pela organização.
Os níveis de capacidades estão associados aos processos dos objetivos de governança e gestão,
onde é medida a e�ciência da implementação do processo e se ele está atingindo a �nalidade. Os
níveis variam de 0 a 5, segundo Lainhart et al. (2018):
Nível 0 – Falta de qualquer capacidade básica; abordagem incompleta para alcançar a
�nalidade de governança ou gestão; pode ou não atender o objetivo de algumas práticas do
processo.
Nível 1 – O processo atinge mais ou menos as suas �nalidades por meio da aplicação de um
conjunto incompleto de atividades, que podem ser caracterizadas como iniciais ou intuitivas e
não muito organizadas.
Nível 2 – O processo alcança sua �nalidade por meio da aplicação de um conjunto básico,
mas completo de atividades que podem ser caracterizadas como executadas.
Nível 3 – O processo atinge sua �nalidade de uma maneira mais organizada, utilizando ativos
organizacionais. Os processos, tipicamente, são bem de�nidos.
Nível 4 – O processo atinge sua �nalidade, é bem de�nido e o seu desempenho é avaliado
quantitativamente.
Nível 5 – O processo atinge sua �nalidade, é bem de�nido e o seu desempenho é avaliado
quantitativamente em busca de melhoria contínua.
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Os níveis de maturidade estão associados às áreas de foco, ou seja, um conjunto de objetivos a
serem alcançados dos domínios de governança e gestão, de�nidas pela organização. Assim como
os níveis de capacidades, possuem seis níveis, visando medir a maturidade da área de foco,
segundo Lainhart et al. (2018):
Nível 0 – Incompleto: as �nalidades dos objetivos de governança e gestão da área de foco não
foram alcançadas.
Nível 1 – Inicial: os objetivos e a �nalidade geral da área de foco não foram ainda atingidos.
Nível 2 – Gerenciado: o planejamento e a medição de desempenho ocorrem, mas de forma
não padronizada.
Nível 3 – De�nido: padrões corporativos fornecem orientação para toda a empresa.
Nível 4 – Quantitativo: a empresa é orientada a dados com melhoria de desempenho
quantitativa.
Nível 5 – Otimizando: a empresa está focada na melhoria contínua.
Na implementação do COBIT são de�nidas sete fases, sendo elas:
Fase 1 – Quais são os direcionadores: identi�ca os direcionadores de mudança, ou seja, um
evento interno, como um baixo desempenho da TI; ou evento externo, como uma tendência de
mercado, em seguida de�ne o desejo de mudança.
Fase 2 – Onde estamos agora: com base nos direcionadores, realiza-se uma avaliação de
capacidade dos processos atuais.
Fase 3 – Onde queremos estar: de�ne as metas em resposta à avaliação realizada na etapa
anterior.
Fase 4 – O que precisa ser feito: identi�ca ações, projetos ou mudanças para implementação.
Fase 5 – Como chegaremos lá: implementação da solução proposta.
Fase 6 – Chegamos lá: monitora o desempenho de ações, projetos ou mudanças e benefícios
esperados, em seguida reavalia a capacidade dos processos.
Fase 7 – Como mantemos o ritmo: revisa o sucesso geral da iniciativa, identi�cando novos
processos ou objetivos de governança ou gestão e impulsiona cultura e necessidade de
melhoria contínua. 
Videoaula: COBIT (Control Objectives for Information and Related Technology)
Este conteúdo é umvídeo!
Para assistir este conteúdo é necessário que você acesse o AVA pelo computador
ou pelo aplicativo. Você pode baixar os vídeos direto no aplicativo para assistir
mesmo sem conexão à internet.
Olá, estudante!
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Neste vídeo você verá um breve resumo dos conceitos, dos fundamentos e da estrutura da
governança corporativa da informação e tecnologia (GCTI) e do COBIT. Os benefícios esperados
pelas organizações com um sistema de governança estabelecido.
Serão abordados também os objetivos de governança e gestão do COBIT, além da implementação
do COBIT 2019.
Saiba Mais
Acesse os sites da ISACA ou ICASA Brasilia Chapter e �que por dentro das novidades e
certi�cações voltadas para o tema de governança e gestão.
Referências
https://www.isaca.org/
https://engage.isaca.org/brasiliachapter/home
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
LAINHART, J. et al. COBIT® 2019 Framework - Introduction and Methodology. Illinois: ISACA, 2018.
Aula 2
ITIL (Information Technology Infraestructure Library)
Introdução da aula
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
É comum que exista nas organizações descontentamento por grande parte dos seus clientes e
usuários dos serviços de Informação & Tecnologia (I&T) quando o assunto é comunicação entre as
partes, entendimento das solicitações e requisitos funcionais de um produto, ou até mesmo
qualidade �nal do produto ou serviço prestado.
Problemas como falta de comunicação, alinhamento e qualidade são apenas alguns dos exemplos
de de�ciências e carência encontradas nas áreas de Tecnologia da Informação (TI) das
organizações. Esses fatores têm gerado desperdícios econômicos e �nanceiros, além de a área de
TI não criar valor para o negócio.
O Gerenciamento de Serviço de Tecnologia da Informação (GSTI) tem por objetivo criar valor aos
seus clientes e usuários, através da provisão de serviços de TI, garantindo atender às expectativas
da organização, alinhado às necessidades do negócio, com o mínimo de esforço e custo. 
Conhecendo a ITIL
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Conhecendo a ITIL
Visando melhorar a provisão dos seus serviços de TI, o governo inglês criou a Information
Technology Infrastructure Library (ITIL), ou Biblioteca de Infraestrutura de Tecnologia da
Informação, em 1989. Ao longo dos anos, a ITIL se tornou uma biblioteca bastante desejada e
utilizada pelas empresas. Durante esse período, esse framework (estrutura) evoluiu e se adaptou às
condições impostas pelos desa�os do mundo digital e atualmente é mantido pela Axelos.
A ITIL é um conjunto de boas práticas (framework) para o gerenciamento de serviços de TI e seus
conceitos podem ser aplicados em qualquer tipo de serviço, não se limitando à TI. Na publicação
atual, ITIL 4, são abordados fatores, considerados essenciais na criação de valor por parte da TI,
sendo eles: colaboração entre as partes, transparência, automação, trabalho holístico, dentre outros
que serão abordados a seguir.
Para a ITIL, valor representa os benefícios, a utilidade e a importância percebida através dos
serviços ou produtos entregues aos olhos das partes interessadas, podendo ser um critério
subjetivo. Para garantir a entrega do valor, recomenda-se que haja colaboração entre as partes:
provedores, clientes e consumidores, através da criação conjunta (co-creation).
 Princípios orientadores
Os princípios orientadores da ITIL são recomendações que auxiliam e orientam uma organização
em todas as circunstâncias, independente dos seus objetivos, estratégias, seguimento ou estrutura,
sendo essenciais na aderência do gerenciamento de serviços, conforme pode ser observado a
seguir:
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Foco no valor: o provedor de serviço deve orientar seus esforços e ações a �m de garantir
valor para o cliente, organização e suas partes interessadas. Quem determina o valor é o
cliente.
Começar de onde você está: o estado atual deve ser investigado, medido e avaliado de forma
objetiva, identi�cando as práticas e os serviços que podem ser aproveitados ou reforçados.
Recomenda-se não começar do zero e apenas em último caso eliminar o que realmente não
contribui.
Progredir iterativamente com feedback: as entregas �nais, como de um desenvolvimento de
um sistema, devem ser divididas em porções menores, ou seja, em etapas. Cada etapa, exige
o feedback antes, durante e depois de cada iteração, com o intuito de avaliar e obter retorno
das partes interessadas.
Colaborar e promover visibilidade: a colaboração adequada entre o provedor de serviço e
cliente é fundamental para entendimento e alinhamento das expectativas, contribuindo com a
entrega de valor. É necessário que as pessoas estejam cientes do que está acontecendo e
entendam seu papel dentro do processo. As comunicações devem ser claras e objetivas,
tendo como �nalidade reduzir a resistência a mudanças, além de tomar decisões baseadas
em dados visíveis.
Pensar e trabalhar holisticamente: a organização deve ser avaliada de ponta a ponta,
garantindo o entendimento de como as áreas de uma organização trabalham juntas e
integradas e como esse esforço é traduzido em resultado. A colaboração das áreas é de suma
importância para agregar conhecimento e identi�car os impactos, que podem vir a ocorrer em
caso de uma alteração.
Manter de forma simples e prática: o resultado dever ser alcançado com o menor esforço
possível, garantindo valor. Adotar soluções simples, realizando menos atividades, mas de uma
forma mais e�ciente.
Otimizar e automatizar: primeiro simpli�ca e otimiza os processos, depois automatiza as
tarefas frequentes e repetitivas com o uso da tecnologia, permitindo que as pessoas atuem e
colaborem com melhorias e na tomada de decisões.
Estrutura da ITIL
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Estrutura da ITIL
Nenhum aspecto dentro de uma organização, de forma isolada, é su�ciente para produzir
resultados e entregar valor, para isso, A ITIL de�ne quatro dimensões para suportar uma abordagem
holística do GSTI, sendo elas:
Organização e pessoas: os papéis, as responsabilidades e a comunicação devem estar bem
de�nidos e em consonância com a estratégia organizacional.
Informação e Tecnologia: a informação deve estar disponível, ser con�ável, acessível, precisa,
relevante e estar em conformidade regulatória, em contrapartida, as tecnologias devem
atender ao propósito e estratégia da organização.
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Parceiros e fornecedores: os relacionamentos, acordos e contratos precisam ser claros,
objetivos e �exíveis.
Fluxo de valor e processos: é necessário identi�car as atividades que agregam valor e eliminar
as atividades que não contribuem ou representam desperdício.
Diante de um ambiente volátil, incerto, complexo e ambíguo (Mundo VUCA - Volatility, Uncertainty,
Complexity and Ambiguity), os fatores externos não podem ser ignorados e devem ser considerados
pelas organizações na con�guração dos seus recursos, tais como: fatores políticos, econômicos,
sociais, tecnológicos, legais e ambientais.
Figura 1 | As quatro dimensões da gestão de serviços. - Fonte: Baldissera (2022, on-line).
 Sistema de Valor do Serviço
O GSTI precisa trabalhar como um sistema para garantir o seu funcionamento adequado,
permitindo a criação de valor. O Sistema de Valor do Serviço (SVS) da ITIL tem o propósito de
assegurar que a organização mantenha a criação conjunta de valor, através de produtos e serviços.
O SVS é uma estrutura holística e atua como um sistema, detalhando como todos os componentes
e atividades de uma organização se comportam para criar valor. Este, por sua vez, possui entradas,
elementos e saídas.
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Figura 2 | Sistema de Valor do Serviço ITIL. - Fonte: adaptada de Cartlidge et al. (2019, p. 27).
As entradas podem ser através de uma oportunidade ou uma demanda. As oportunidades são as
possibilidades de agregar valor e as demandas são representadas pela necessidadeou pelo desejo
por produtos ou serviços.
São cinco elementos, conforme pode ser observado a seguir:
Princípios orientadores que podem orientar uma organização.
Governança ou a forma que a organização é controlada e dirigida.
Cadeia de valor do serviço é o conjunto de atividades interconectadas para a entrega de um
produto ou serviço.
Práticas são compostas pelo conjunto de recursos organizacionais, projetados para executar
um trabalho ou atingir um objetivo.
Melhoria contínua é a atividade recorrente que garante o bom desempenho da organização.
As saídas são os resultados gerados e entregues, além do valor percebido pelas partes
interessadas.
Cadeia de valor do serviço
A cadeia de valor do serviço é o elemento central do SVS, responsável por converter as entradas em
saídas. Ela descreve seis atividades essenciais para a concepção e o gerenciamento de produtos e
serviços, contribuindo na criação de valor, sendo elas:
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Figura 3 | Cadeia de Valor do Serviço ITIL. - Fonte: adaptada de Cartlidge et al. (2019, p. 30).
Planejar: responsável por garantir um entendimento compartilhado e holístico, traduzindo em
planos de diversos níveis.
Melhorar: promover e garantir a melhoria contínua em todas as atividades da cadeia de valor
do serviço e SVS.
Engajar: prover e garantir o engajamento e a compreensão das necessidades, assegurando o
bom relacionamento das partes interessadas.
Desenho e transição: traduzir as necessidades e os desejos das partes interessadas em
requisitos e especi�cações, que atendam à qualidade esperada, custo previsto e tempo.
Adquirir/Construir: garantir que os componentes do produto ou serviço atendam às
especi�cações e requisitos acordados.
Entregar e Suportar: os produtos e serviços precisam ser entregues e suportados de acordo
com o especi�cado e acordado, dentro da expectativa dos clientes e usuários.
Práticas ITIL
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Práticas ITIL
A ITIL de�ne uma prática de gerenciamento como um conjunto de recursos organizacionais
desenhados para executar um trabalho ou realizar um objetivo. As práticas da ITIL dão suporte às
atividades da cadeia de valor do serviço e preveem recursos fundamentados nas quatro dimensões
do framework.
As práticas são divididas em três grupos, conforme segue:
14 práticas de Gerenciamento Geral:
Gerenciamento de arquitetura.
Melhoria contínua.
Gerenciamento de segurança da informação.
Gerenciamento de conhecimento.
Medição e relato.
Gerenciamento de mudança organizacional.
Gerenciamento de portfólio.
Gerenciamento de projeto.
Gerenciamento de relacionamento.
Gerenciamento de risco.
Gerenciamento �nanceiro de serviço.
Gerenciamento de estratégia.
Gerenciamento de fornecedor.
Gerenciamento da força de trabalho e talento.
17 Práticas de Gerenciamento de Serviço:
Gerenciamento de disponibilidade.
Análise de negócio.
Gerenciamento de capacidade e desempenho.
Habilitação de mudanças.
Gerenciamento de incidente.
Gerenciamento de ativo de TI.
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Gerenciamento de monitoração e evento.
Gerenciamento de problema.
Gerenciamento de liberação.
Gerenciamento de catálogo de serviço.
Gerenciamento de con�guração de serviço.
Gerenciamento de continuidade de serviço.
Desenho de serviço.
Central de serviço.
Gerenciamento de nível de serviço.
Gerenciamento de requisição de serviço.
Validação e teste de serviço.
3 Práticas de Gerenciamento Técnico:
Gerenciamento de implantação.
Gerenciamento de infraestrutura e plataforma.
Gerenciamento de desenvolvimento de software.
A seguir são destacadas quatro práticas que podem ser consideradas o ponto de partida para
aplicar as melhores práticas da ITIL dentro de uma organização, mas isso não é uma regra. São
elas:
Central de serviços: o provedor de serviços é responsável por disponibilizar um ponto único de
contato para capturar todas as demandas dos clientes e usuários e solucionar os incidentes
de menor complexidade.
Gerenciamento de requisição de serviços: Tratar todas as requisições, provenientes de uma
demanda, suportando a qualidade acordada e estabelecida para um serviço.
Gerenciamento de incidentes: concentra-se em restaurar um determinado serviço, impactado
por uma falha ou interrupção, no menor tempo possível, minimizando os impactos negativos.
Melhoria contínua: tem por objetivo manter o alinhamento das práticas e dos serviços com as
necessidades e estratégia da organização, em face às constantes mudanças impostas pelos
fatores externos e internos.
Conforme abordado na aula anterior e reforçado no princípio “começar de onde você está”, é
importante realizar uma avaliação da situação atual da prática ou do processo da organização
antes de planejar uma melhoria da prática selecionada.
Toda prática estabelece atividades e fatores que precisam ser analisados e incluídos na cadeia de
valor do serviço, a exemplo do Gerenciamento de Incidentes:
Registrar todos os incidentes.
Estabelecer metas para resolução dos diversos tipos de incidentes, acordados com as partes.
Priorizar os incidentes, com base em uma classi�cação acordada.
Alocar os recursos necessários para resolução dos incidentes, diferenciando os incidentes de
baixo impacto dos de maior impacto.
Segregar os incidentes graves dos incidentes de segurança.
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
O modelo de melhoria contínua da ITIL apoia na de�nição e estratégia para se alcançar os objetivos
desejados, a saber:
Qual é a visão? Identi�car visão, missão, metas e objetivos de negócio.
Onde estamos agora? Executar a avaliação da situação atual.
Onde desejamos estar? De�nir metas mensuráveis e alcançáveis.
Como chegamos lá? De�nir o plano de execução e melhoria.
Agir – Executar as ações.
Nós chegamos lá? Avaliar através das métricas estabelecidas.
Como mantemos o impulso? Impulsionar a cultura e necessidade de melhoria contínua dentro
da organização. 
Videoaula: ITIL (Information Technology Infraestructure Library)
Este conteúdo é um vídeo!
Para assistir este conteúdo é necessário que você acesse o AVA pelo computador
ou pelo aplicativo. Você pode baixar os vídeos direto no aplicativo para assistir
mesmo sem conexão à internet.
Olá, estudante!
Neste vídeo você verá um breve resumo dos conceitos, fundamentos e estrutura do Gerenciamento
de Serviços de Tecnologia da Informação (GSTI) e da ITIL, além dos benefícios esperados pelas
organizações com as melhores práticas ITIL.
Serão abordadas também as práticas de gerenciamento geral, serviço e técnico da ITIL, além da
implementação do ITIL 4.
Saiba mais
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Acesse os sites da Axelos ou IT Forum e �que por dentro das novidades e certi�cações voltadas
para o tema de tecnologia e gestão.
Referências
https://www.axelos.com/
https://itforum.com.br/
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
CARTLIDGE, A. et al. ITIL® 4 Foundation – Revision Guide. Norwich: Axelos, 2019.
BALDISSERA, O. ITIL 4: conceitos do framework de TI que você precisa conhecer. PUCPR Digital,
2022. Disponível em: https://posdigital.pucpr.br/blog/itil. Acesso em: 9 jun. 2023.
Aula 3
PMBOK (Project Management Body of Knowledge)
Introdução da aula
Os elevados custos �nanceiros e tempo desperdiçados, ambos acima do previsto inicialmente, no
desenvolvimento de um produto, ocasionados por um planejamento ine�ciente ou ausente, e a falta
de engajamento e alinhamento da equipe do projeto e partes interessadas têm impactado as áreas
de TI, de forma negativa, criando um cenário de instabilidade e descon�ança dentro das
organizações.
Os fatores apresentados são apenas alguns dos desa�os encontrados pelas áreas de TI das
organizações. Os padrões de projetos, baseados em um conjunto de boas práticas, trazem as
ferramentas necessárias para mitigar e reduzir riscos de um projeto, entregando valor às partes
interessadas, através das entregas em conformidade com o acordado e atendendo às expectativas
da organização.
Esses padrões são fundamentadosem metodologias e cases de sucesso, testados e aplicados por
pro�ssionais da área de projetos em suas respectivas organizações. 
https://posdigital.pucpr.br/blog/itil
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Padrão de gerenciamento de projetos
Padrão de gerenciamento de projetos
Desenvolvido em 1996 pelo Project Management Institute (PMI), o Guide to the Project
Management Body of Knowledge (PMBOK Guide) é um conjunto de conhecimentos ou melhores
práticas em gerenciamento de projetos que “identi�ca os princípios de gerenciamento de projetos
que orientam os comportamentos e as ações dos pro�ssionais de projeto e de outras partes
interessadas que trabalham ou estão engajadas em projetos” (DIONISIO et al., 2021a, p. 3).
O PMBOK tem por objetivo fornecer uma base de conhecimento no âmbito do gerenciamento de
projetos para os pro�ssionais que atuam com projetos, contudo não se limita à área de TI, podendo
ser aplicado em diversos setores, como construção civil, indústria automotiva, áreas da engenharia,
dentre outras.
Assim como um serviço, os projetos precisam entregar valor às partes interessadas, dessa forma,
são considerados cinco itens que compõe um sistema de entrega de valor, de�nidos pelo padrão a
seguir:
Criação de valor: são as entregas utilizadas para produzir resultados, trazendo benefícios, ou
seja, uma vantagem, importância ou utilidade de algo.
Sistema de governança organizacional: elementos de supervisão, controle, avaliação de valor,
integração entre componentes e recursos de tomada de decisão.
Funções associadas a projetos: consiste nos papéis de�nidos e desempenhados por uma
pessoa ou um grupo de pessoas.
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
O ambiente do projeto: contempla os fatores dos ambientes internos e externos que podem
in�uenciar no planejamento e em outras atividades do projeto.
Considerações sobre o gerenciamento de produto: responsável pela integração de pessoas,
dados, processos e sistemas de negócios na criação ou atualização de um produto ou serviço,
considerando todo seu ciclo de vida.
 Princípios do gerenciamento de projetos
Baseado em quatro valores: responsabilidade, respeito, equidade e honestidade, o PMBOK
estabelece 12 princípios do gerenciamento de projetos que visam orientar o comportamento das
pessoas envolvidas com projetos, são eles:
Administração: seja um administrador diligente, respeitoso e atencioso, atendendo aos
requisitos de integridade, cuidado, con�abilidade e conformidade.
Equipe: crie um ambiente colaborativo para a equipe do projeto, promovendo alinhamento,
aprendizagem e desenvolvimento pessoal e da equipe.
Partes interessadas: envolva-se de fato com as partes interessadas, buscando engajamento e
contribuição para o sucesso do projeto.
Valor: concentre-se no valor, avaliando e ajustando continuamente o alinhamento do projeto
aos objetivos do negócio e aos benefícios e valor esperados.
Pensamento sistêmico: reconheça, avalie e reaja às interações do sistema de forma holística.
Liderança: demonstre comportamentos de liderança para apoiar as necessidades individuais e
da equipe.
Tailoring: faça a adaptação de acordo com o contexto único de cada projeto, utilize os
métodos mais adequados.
Qualidade: crie qualidade nos processos, concentrando em atender aos critérios de aceitação
dos produtos.
Complexidade: navegue pela complexidade que pode surgir a qualquer momento durante o
projeto em virtude de um ambiente volátil, incerto, complexo e ambíguo.
Risco: otimize as respostas ao risco, avaliando constantemente as oportunidades e ameaças.
Capacidade de adaptação e resiliência: adote a capacidade de adaptação e resiliência para
reagir às condições de mudanças e à recuperação de um contratempo ou falha.
Mudança: aceite a mudança para alcançar o futuro estado previsto, promovendo o
engajamento das partes interessadas, utilizando abordagens motivacionais na adoção da
mudança.
Domínios de desempenho de projetos
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Domínios de desempenho de projetos
Para uma entrega e�caz dos resultados do projeto, O PMBOK estabelece um grupo de atividades
relacionadas, denominado domínio de desempenho do projeto, composto por oito domínios, que
interagem uns com os outros, além de se relacionarem em harmonia, a �m de alcançar os
resultados esperados de um projeto.
Os domínios de desempenho do projeto atuam como um sistema integrado e são executados de
forma simultânea, ao longo do projeto, são eles:
O domínio de desempenho das partes interessadas busca promover relacionamentos
positivos e a satisfação entre as partes interessadas, mantendo o alinhamento e engajamento
entre indivíduos, grupos e organizações.
O domínio de desempenho da equipe visa desenvolver equipes de projetos, através do
estabelecimento de uma cultura e ambiente favoráveis e com o desenvolvimento dos
indivíduos, buscando o alto desempenho.
O domínio de desempenho da abordagem de desenvolvimento e do ciclo de vida atua na
otimização dos resultados do projeto, estabelecendo uma abordagem de desenvolvimento,
cadência da entrega ou tempo e frequência das entregas e ciclo de vida do projeto.
O domínio de desempenho do planejamento tem por objetivo desenvolver uma abordagem
holística para criar as entregas que conduzem aos resultados esperados do projeto.
O domínio de desempenho do trabalho do projeto é responsável por estabelecer os processos
e executar as atividades para gerar as entregas e os resultados esperados.
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
O domínio de desempenho da entrega consiste na entrega de valor ao negócio, garantindo que
os requisitos, escopo e expectativas de qualidade sejam condizentes com os resultados
pretendidos.
O domínio de desempenho de medição trata da veri�cação de desempenho do projeto, através
de medição e avaliação, em cumprimento às métricas estabelecidas no domínio de
desempenho do planejamento.
O domínio de desempenho da incerteza aborda os riscos e as incertezas dos ambientes de
um projeto. As ameaças e oportunidades devem ser exploradas, avaliadas e tratadas pelas
equipes do projeto.
Tailoring
O PMBOK de�ne o tailoring como “a adaptação deliberada da abordagem, da governança e dos
processos do gerenciamento de projetos para torná-los mais adequados a determinado ambiente e
ao trabalho a realizar” (DIONISIO et al., 2021b, p. 131).
Os princípios orientadores do gerenciamento de projetos conduzem o processo de tailoring dentro
de um projeto, buscando conhecer o contexto, as metas e o ambiente operacional do projeto, para
submeter ao tailoring aspectos do projeto como: seleção do ciclo de vida e a abordagem de
desenvolvimento, processos, engajamento, ferramentas e métodos e artefatos.
O processo de tailoring é realizado em quatro etapas, conforme representado na �gura a seguir:
Figura 1 | Detalhes das etapas do processo de tailoring. - Fonte: Dionisio et al. (2021b, p. 137).
Para atender às necessidades exclusivas do contexto de cada projeto e ambiente, é possível
submeter o tailoring aos trabalhos associados de cada domínio de desempenho.
Os diagnósticos são fundamentais na veri�cação das abordagens, atestando o bom funcionamento
ou se o tailoring consegue inserir melhorias, podendo ser realizado através de revisões periódicas,
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
como retrospectivas, lições aprendidas ou até mesmo feedback das partes interessadas.
É importante destacar que as diretrizes organizacionais, na maioria das vezes, são responsáveis por
nortear as de�nições da abordagem do tailoring e seus limites, e a governança da organização
apoia no alinhamento entre as equipes do projeto e interfaces externas, fornecendo as orientações
necessárias.
Modelos, métodos e artefatos
Modelos, métodos e artefatos
Alguns modelos, métodos e artefatos de uso mais comum no gerenciamento de projetos são
mencionados pelo PMBOK e têm por �nalidade auxiliar as equipes de projeto na escolha dos
insumos de maior aderência dentre as opções existentes à sua disposição.Os modelos de uso mais comum representam a estratégia do pensamento para explicar um
processo, um framework ou uma experiência, ajudando a detalhar como algo funciona no mundo
real, a saber:
Modelos de liderança situacional: descrevem como os estilos de liderança podem ser
submetidos ao tailoring para atender às necessidades individuais e da equipe do projeto.
Modelos de comunicação: fornecem uma maneira de visualizar estilos e métodos de
comunicação para aumentar a e�ciência e a e�cácia da comunicação.
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Modelos motivacionais: ilustram como as pessoas são motivadas, promovendo um
engajamento mais e�caz.
Modelos de mudança: listam as atividades necessárias para um gerenciamento de mudanças
e�ciente.
Modelos de complexidade: oferecem um framework que facilita o entendimento da
complexidade, apoiando na tomada de decisões em um ambiente complexo.
Modelos de desenvolvimento da equipe do projeto: apresentam os estágios para tornar as
equipes de projeto de alto desempenho.
Outros modelos: são os modelos que não se enquadram nos grupos anteriores, como modelo
de con�ito, negociação, planejamento, dentre outros.
Os métodos mais usados são os meios de alcançar um resultado, uma saída ou uma entrega do
projeto, conforme segue:
Coleta e análise de dados: métodos utilizados para obter uma compreensão mais detalhada
de uma circunstância, utilizando as informações geradas através da coleta, análise e avaliação
dos dados.
Estimativa: métodos usados para obter uma medida aproximada do trabalho, tempo ou custo
de um projeto.
Reuniões e eventos: métodos de comunicação através de reuniões para garantir o
alinhamento e engajamento da equipe do projeto.
Outros métodos: são os métodos que não se enquadram nas categorias anteriores, como
janela de tempo, mapeamento de impactos, modelagem, dentre outros.
Os artefatos de uso mais comum podem ser um modelo, documento, saída ou entrega do projeto,
sendo o resultado de um método adotado para produzi-lo, são divididos da seguinte forma:
Artefatos de estratégia: são as informações estratégicas de negócio ou de alto nível sobre o
projeto.
Histórico e registros: contém os registros dos aspectos em evolução do projeto.
Planos: são os meios propostos para a realização de algo.
Grá�cos de hierarquia: as informações contidas nos grá�cos são inicialmente exibidas em alto
nível e progressivamente decompostas em níveis mais baixos de detalhes.
Linhas de base: onde é comparada a versão aprovada de um plano com o desempenho real
em busca das variações.
Dados e informações visuais: os dados precisam ser de fácil visualização, auxiliando na sua
absorção e transformando-os em informação.
Relatórios: são as informações relevantes encaminhadas às partes interessadas.
Acordos e contratos: é um documento ou uma comunicação que de�ne as intenções e
obrigações de duas ou mais partes.
Outros artefatos: são documentos que não se enquadram nas categorias anteriores, como
lista de atividades, métricas, calendário do projeto, dentre outros.
Videoaula: PMBOK (Project Management Body of Knowledge)
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Este conteúdo é um vídeo!
Para assistir este conteúdo é necessário que você acesse o AVA pelo computador
ou pelo aplicativo. Você pode baixar os vídeos direto no aplicativo para assistir
mesmo sem conexão à internet.
Olá, estudante!
Neste vídeo você verá um breve resumo dos conceitos, fundamentos e estrutura do padrão de
gerenciamento de projetos e do guia de conhecimento em gerenciamento de projetos, ou Guia
PMBOK, além dos benefícios esperados pelas organizações com as melhores práticas do PMBOK.
Será abordado também o processo de tailoring, além dos modelos, métodos e artefatos do PMBOK
7ª edição.
Saiba mais
Acesse os sites da PMI Pernambuco ou Escritório de Projetos e �que por dentro das novidades e
certi�cações voltadas para o tema de gerenciamento de projetos.
Referências
https://pmipe.org.br/
https://escritoriodeprojetos.com.br/
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
DIONISIO, C. et al. Padrão de gerenciamento de projetos. Pennsylvania: PMI, 2021a.
DIONISIO, C. et al. Guia do conhecimento em gerenciamento de projetos (Guia PMBOK).
Pennsylvania: PMI, 2021b.
Aula 4
Scrum
Introdução da aula
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Estar preparado para as inde�nições e constantes transformações de um mundo volátil, incerto,
complexo e ambíguo (Mundo VUCA - Volatility, Uncertainty, Complexity and Ambiguity) é o desejo de
toda organização. As empresas precisam estar prontas para responder rapidamente às constantes
mudanças impostas pelo ambiente e pelas condições do mercado.
Esse cenário requer �exibilidade, resposta rápida e adaptabilidade às mudanças, através da
colaboração, iteração, �uxo de trabalho bem de�nidos, dentre outros aspectos que são abordados
nas metodologias ágeis.
Para auxiliar as empresas na construção de uma estrutura que atenda esses e outros requisitos de
agilidade, foram desenvolvidos alguns frameworks com processos, técnicas e métodos necessários
para atingirem seus objetivos. Com base nesses conceitos, o Scrum ajuda pessoas, equipes e
organizações a gerar valor. 
Metodologias ágeis
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Metodologias ágeis
Apesar de já ser abordado nas organizações, o termo metodologia ágil teve sua origem em 2001,
com a publicação do manifesto ágil, um documento criado por 17 pro�ssionais que já praticavam
métodos ágeis no desenvolvimento de software em suas respectivas organizações. Esse
documento contém quatro valores e doze princípios para o desenvolvimento de software.
Os quatro valores estabelecidos para o desenvolvimento ágil de software são:
Indivíduos e interações mais que processos e ferramentas.
Software em funcionamento mais que documentação abrangente.
Colaboração com o cliente mais que negociação de contratos.
Responder a mudanças mais que seguir um plano.
Os doze princípios dispostos no manifesto ágil estão representados na Figura 1.
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Figura 1 | Doze princípios do manifesto ágil. - Fonte: elaborada pelo autor.
O framework Scrum
O Scrum é uma estrutura ou um framework de metodologia ágil simples e leve, utilizado no
gerenciamento de projetos e desenvolvimento de produtos ou serviços, que não se limita ao âmbito
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
da Tecnologia da Informação (TI), em especí�co, no desenvolvimento de produtos de softwares,
sendo utilizado também em outras áreas.
Esse framework foi desenvolvido no início da década de 1990, quando teve sua primeira versão do
Guia do Scrum em 2010, baseado no empirismo e no lean thinking (pensamento enxuto). Ao longo
dos anos, esse guia passou por evoluções e atualizações funcionais até a sua última publicação,
realizada em novembro de 2020.
O empirismo aborda o conhecimento e a tomada de decisão, que devem decorrer através de fatos,
experiências e evidências, ou seja, em observações da realidade. O empirismo traz três pilares,
conforme podemos observar a seguir, segundo Schwaber e Sutherland (2020):
Transparência: os dados devem ser apresentados e divulgados como eles realmente são,
tanto para quem executa o trabalho quanto para quem recebe o trabalho.
Inspeção: não basta apenas divulgar os dados, eles devem ser inspecionados com frequência
e avaliados para identi�car variações ou problemas potencialmente indesejáveis.
Adaptação: está associada à melhoria contínua e à capacidade de adaptação em resposta
aos resultados da inspeção.
O lean thinking, ou pensamento enxuto, trata da identi�cação e redução de desperdício,
concentrando os esforços e as ações apenas no essencial na agregação de valor.
Valores do Scrum
Para alcançar o sucesso do seu uso, o Scrum de�ne como fundamental cinco valores que orientam
e devem ser incorporados pelas pessoas que compõe a equipe Scrum em relação ao seu trabalho,
são eles, segundo Schwaber e Sutherland (2020):
Compromisso para atingirseus objetivos e apoiar uns aos outros.
Foco no trabalho da Sprint, buscando fazer o melhor para alcançar as metas.
Tanto a equipe Scrum quanto as partes interessadas devem possuir abertura com relação ao
trabalho e os desa�os.
Deve haver respeito mútuo entre os membros da equipe Scrum por serem pessoas capazes e
independentes.
Deve haver coragem para fazer a coisa certa e atuar em problemas difíceis e complexos.
Segundo Schwaber e Sutherland (2020, p. 6), esses valores, quando incorporados pela equipe
Scrum e pelas pessoas com quem trabalham, dão vida aos três pilares empíricos, construindo um
ambiente de con�ança.
Equipe Scrum
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Equipe Scrum
O guia de�ne o Scrum Team (Equipe Scrum) como sendo uma unidade fundamental do Scrum, que
é composta por uma pequena equipe, composta por um Scrum Master, um Product Owner e
Desenvolvedores, não havendo subtimes ou hierarquia (SCHWABER & SUTHERLAND, 2020).
As equipes devem ser multifuncionais, os membros devem possuir todas as habilidades
necessárias para criar valor, além de ser autogerenciáveis, ou seja, internamente os membros têm
autonomia para decidirem o que fazer, como fazer e quando fazer.
O Scrum acredita que quanto menor for a equipe Scrum, melhor é sua comunicação e
produtividade. Não existe uma regra para de�nição do número de membros da equipe, mas uma
equipe com dez membros ou até menos é o su�ciente para permanecer ágil e concluir um trabalho
signi�cativo (SCHWABER & SUTHERLAND, 2020).
Dentre as responsabilidades da equipe Scrum estão a colaboração com as partes interessadas,
veri�cação, manutenção, operação, experimentação, pesquisa e desenvolvimento e qualquer outra
atividade relacionada ao produto que venha a ser necessária (SCHWABER & SUTHERLAND, 2020).
Os per�s do Scrum Master, Product Owner e Desenvolvedores são de�nidos da seguinte forma:
Scrum Master: é o líder da equipe Scrum e autoridade nesse processo, atuando também como
um facilitador, garantindo que os conceitos do Scrum sejam entendidos e aplicados por toda
equipe Scrum e organização. Outra característica desse per�l é dirimir con�itos e
impedimentos que impactem no progresso da equipe, buscando a �uidez e produtividade de
todos os eventos Scrum.
Product Owner: pessoa responsável pelo gerenciamento do Product Backlog, de�nindo a meta
do produto, os itens e a ordem do Product Backlog, de forma transparente e compreensível,
sendo a interface entre os usuários, clientes e a equipe de desenvolvedores.
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Desenvolvedores: são responsáveis pela criação ou produção das funcionalidades do produto
em cada Sprint. Este per�l pode abranger pro�ssionais com características de arquiteto de
softwares, programador, designer de User Interface (UI) ou interface do usuário, testador,
administrador de banco de dados ou qualquer outra necessária para o desenvolvimento do
produto.
Artefatos Scrum
Os pilares do empirismo são promovidos pelos artefatos Scrum. Neles estão detalhados o trabalho
da equipe, o seu valor e compromisso, que garantem a transparência das informações e o foco,
contendo as instruções para realizar sua medição do progresso, a saber, conforme Schwaber e
Sutherland (2020):
Product Backlog ou lista de pendências do produto, é uma lista ordenada que contém todas as
especi�cações e necessidades do produto. O compromisso deste artefato é a meta do
produto, que também é o objetivo a ser alcançado pela equipe Scrum. O Product Backlog
re�nement é uma atividade contínua, utilizada para dividir ou incluir de�nições aos itens do
Product Backlog.
Sprint Backlog é o plano dos Desenvolvedores, nele são descritos o compromisso do artefato,
a meta da Sprint, além dos itens selecionados do Product Backlog e o plano de ação.
Incremento é composto de um ou mais itens do Product Backlog. Após conclusão, os
incrementos devem ser uni�cados e consolidados, sendo utilizável, a �m de agregar valor. Seu
compromisso é a de�nição de pronto, uma de�nição formal para atendimento às
necessidades do cliente, garantindo a qualidade exigida para o produto. 
Eventos Scrum
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Eventos Scrum
A execução do Scrum é baseada em eventos, e a Sprint é o evento que concentra todas as
atividades e os demais eventos descritos pelo framework necessário para atingir os objetivos e as
metas do produto. O guia de�ne a Sprint como o coração do Scrum (SCHWABER & SUTHERLAND,
2020).
As Sprints têm duração �xa e ocorrem em ciclos ou iterações de no máximo um mês. Nela estão
contidos os demais eventos, como Sprint Planning, Daily Scrums, Sprint Review e Sprint
Retrospective. Esses eventos têm por �nalidade minimizar a necessidade de reuniões não previstas
no Scrum (SCHWABER & SUTHERLAND, 2020).
Durante uma Sprint, nenhuma alteração que impacte de forma negativa os objetivos da Sprint deve
ser feita, a qualidade do trabalho não pode diminuir, se necessário, o Product Backlog pode ser
re�nado e o escopo renegociado com o Product Owner. Assim que concluída, uma nova Sprint deve
iniciar imediatamente (SCHWABER & SUTHERLAND, 2020).
A Sprint Planning é a reunião de planejamento que conta com a presença de toda a equipe Scrum
para planejar as atividades de cada Sprint, com base nas informações do Product Backlog, visando
atender os requisitos e as metas do produto.
Na Sprint Planning devem ser abordados os seguintes tópicos, conforme Schwaber e Sutherland
(2020):
Por que esta Sprint é valiosa?
O que pode ser feito nesta Sprint?
Como o trabalho escolhido será realizado?
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Esse evento deve ser realizado em no máximo oito horas para uma Sprint de um mês. Sprints mais
curtas devem ter esse evento com duração menor.
A Daily Scrum é um evento diário e curto, de no máximo 15 minutos, para inspecionar o progresso
da Sprint, criando um ponto único de reunião, a �m de reduzir a necessidade de outras reuniões ou
comunicações. Esse evento também é utilizado para identi�car os impedimentos, promovendo uma
rápida tomada de decisão entre os desenvolvedores, podendo contar com a participação do Scrum
Master e Product Owner.
Sprint Review é o evento onde são apresentados pela equipe Scrum às partes interessadas os
resultados do trabalho da Sprint para sua devida inspeção e, se necessário, determinar futuras
adaptações.
Nesse evento também são apresentados e discutido o progresso da meta do produto e avaliadas as
oportunidades para possível ajuste no Product Backlog. A duração máxima da Sprint Review deve
ser de quatro horas para uma Sprint de um mês. É aconselhado que para Sprints mais curtas, esse
evento também deve ter uma duração menor.
O evento que conclui a Sprint tem o objetivo de aumentar a qualidade de e�cácia das próximas
Sprints. A Sprint Retrospective é um evento realizado pela equipe de Scrum para planejamento das
ações de melhorias, com base na inspeção da última Sprint.
Esse evento é realizado pela equipe Scrum, onde são discutidas tanto as ações executadas com
êxito quanto os problemas, resolvidos ou não, que precisam ser tratados, ambos em busca da
melhoria contínua. A duração máxima desse evento deve ser de até três horas, considerando uma
Sprint de um mês, seguindo o mesmo conceito dos demais eventos quando houver Sprints
menores.
Videoaula: Scrum
Este conteúdo é um vídeo!
Para assistir este conteúdo é necessário que você acesse o AVA pelo computador
ou pelo aplicativo. Você pode baixar os vídeos direto no aplicativo para assistir
mesmo sem conexão à internet.
Olá, estudante!
Neste vídeo você verá um breve resumo de conceitos, valores e princípios das metodologias ágeis;
o conceito, os fundamentos e a estrutura da metodologia ágil Scrum e os benefícios esperados
pelas organizações com as melhores práticas do SCRUM.
Serão abordados também os eventos e artefatos que compõem o framework Scrum.
Saiba mais
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Acesse os sites da Scrum.org e �que por dentro das novidades e certi�caçõesvoltadas para o
Scrum.
Acesse também o Manifesto para Desenvolvimento Ágil de Software ágil e conheça todos os
princípios ágeis.
Referências
https://www.scrum.org/
https://agilemanifesto.org/iso/ptbr/manifesto.html
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
MASCHIETTO, L. G. et al. Desenvolvimento de software com metodologias ágeis. Porto Alegre:
SAGAH, 2021.
RUBIN, K. S. Scrum essencial: um guia prático para o mais popular processo ágil. Rio de Janeiro:
Alta Books, 2017.
SCHWABER, K.; SUTHERLAND, J. O Guia do Scrum. O Guia De�nitivo para o Scrum: As Regras do
Jogo. Scrum.org, 2020. Disponível em: https://scrumguides.org/docs/scrumguide/v2020/2020-
Scrum-Guide-PortugueseBR-3.0.pdf. Acesso em: 9 jun. 2023.
Aula 5
Revisão da unidade
Frameworks de Governança de TI
https://scrumguides.org/docs/scrumguide/v2020/2020-Scrum-Guide-PortugueseBR-3.0.pdf
https://scrumguides.org/docs/scrumguide/v2020/2020-Scrum-Guide-PortugueseBR-3.0.pdf
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Frameworks de Governança de TI
Os frameworks são ferramentas importantes que devem acompanhar qualquer pro�ssional da área
de Tecnologia da Informação (TI). No âmbito da governança e gestão dessa área, o Control
Objectives for Information and related Technology (COBIT), Information Technology Infrastructure
Library (ITIL), Guide to the Project Management Body of Knowledge (PMBOK Guide) e Scrum são os
frameworks mais utilizados e procurados pelos pro�ssionais.
O COBIT é um conjunto de boas práticas para a governança e gestão da informação e tecnologia de
uma organização, tendo como principal objetivo alinhar as estratégias da organização com a área
de TI, para atingir seus objetivos, criando valor para o negócio.
Para uma organização adotar as melhores práticas desse framework, o COBIT 2019 descreve 40
objetivos de governança e gestão que precisam ser alcançados pelas organizações. Os objetivos
são avaliados em nível de capacidade e nível de maturidade, ambos variando do Nível 0 ao Nível 5.
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Figura 1 | Modelo central do COBIT 2019. - Fonte: adaptada de Lainhart et al. (2018, p. 21).
A ITIL é um conjunto de boas práticas para o Gerenciamento de Serviços de TI (GSTI), seu objetivo é
criar valor através da provisão de serviços de TI. O Sistema de Valor de Serviço (SVS) da ITIL 4 tem
o propósito de assegurar que a organização mantenha a criação conjunta de valor, através de
produtos e serviços. A cadeia de valor do serviço é o elemento central do SVS, responsável por
converter as entradas em saídas.
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Figura 2 | Sistema de Valor do Serviço ITIL 4. - Fonte: adaptada de Cartlidge et al. (2019, p. 27).
A ITIL 4 traz 34 práticas que dão suporte às atividades da cadeia de valor do serviço. Toda prática
estabelece atividades e fatores que precisam ser analisados e incluídos na cadeia de valor do
serviço.
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Figura 3 | Práticas ITIL 4. - Fonte: elaborada pelo autor.
O Guia do PMBOK é um conjunto de conhecimentos ou melhores práticas em gerenciamento de
projetos, seu principal objetivo é fornecer uma base de conhecimento no âmbito do gerenciamento
de projetos para os pro�ssionais que atuam com projetos.
Em busca de uma estrutura de gerenciamento de projetos adequada, o guia apresenta o tailoring
como uma adaptação deliberada da abordagem, da governança e dos processos. O processo de
tailoring é realizado em quatro etapas, conforme representado na �gura a seguir.
Figura 4 | Detalhes das etapas do processo de tailoring. - Fonte: Dionisio et al. (2021b, p. 137).
Para auxiliar as equipes de projetos, o guia menciona alguns modelos, métodos e artefatos de uso
mais comum no gerenciamento de projetos.
O Scrum é uma estrutura ou um framework de metodologia ágil simples e leve, utilizado no
gerenciamento de projetos e desenvolvimento de produtos ou serviços. Seu desenvolvimento foi
fundamentado no empirismo e no lean thinking (pensamento enxuto).
A execução do Scrum é baseada em eventos, e a Sprint é o evento que concentra todas as
atividades e os demais eventos descritos pelo framework necessário para atingir os objetivos e as
metas do produto. Os eventos contidos na Sprint são Sprint Planning, Daily Scrums, Sprint Review e
Sprint Retrospective.
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Figura 5 | Ciclo de vida do Scrum. - Fonte: Oliveira (2019).
Videoaula: Revisão da unidade
Este conteúdo é um vídeo!
Para assistir este conteúdo é necessário que você acesse o AVA pelo computador
ou pelo aplicativo. Você pode baixar os vídeos direto no aplicativo para assistir
mesmo sem conexão à internet.
Olá, estudante!
Neste vídeo você verá um breve resumo dos conceitos, objetivos e aplicabilidade dos frameworks
de Governança de TI COBIT, ITIL, PMBOK e Scrum, além dos principais ganhos e como essas
ferramentas agregam valor dentro de uma empresa após sua implementação.
Será abordado também um pouco da estrutura desses frameworks e como eles funcionam.
Estudo de caso
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Para contextualizar sua aprendizagem, considere que você foi contratado como consultor em
Governança de TI por uma fábrica de software de médio porte nacional para aprimorar os níveis de
maturidade relacionados à governança e gestão de serviços e projetos de TI.
Conforme relato da Diretoria da empresa, são apresentadas algumas di�culdades e problemas
relacionados à falta de alinhamento entre a TI e o negócio, baixa qualidade na prestação de suporte
técnico aos usuários dos seus sistemas e inexistência de um padrão e uma metodologia em
gerenciamento de projetos.
Dos 70 funcionários registrados na empresa, 40 compõem a área de TI do negócio. Destes, 35
pro�ssionais integram o time de desenvolvimento de software e 5 integram o time de suporte
técnico aos softwares desenvolvidos pela organização. Apesar de a equipe de Vendas alcançar
todas as metas de�nidas pela Diretoria, os objetivos e as metas da área de TI não vêm
acompanhando o mesmo desempenho, estando abaixo do esperado, além de não haver uma boa
comunicação entre essas duas áreas e inexistindo uma interface de comunicação entre a TI e a
Diretoria da empresa.
Os projetos sempre são entregues com atraso, falhas e faltando algum componente ou item
de�nido pelo cliente. Em busca de melhorar o desempenho, o Gerente do time de desenvolvimento
de software optou por atuar em dez projetos simultâneos e testar diversas metodologias em todos
os projetos da empresa. Essa atitude vem causando sobrecarga na equipe e aumento de despesa
com hora extra do time.
A equipe de suporte técnico está sobrecarregada, não existe controle das solicitações e muitas não
são atendidas, pois chegam através de telefone, bilhete, e-mail e pessoalmente. As solicitações dos
clientes externos chegam através da equipe de Vendas, Diretoria e time de desenvolvimento.
A consultoria consiste em resolver os principais problemas elencados pela Diretoria da empresa.
Com base no estudo realizado, selecione no mínimo três frameworks que podem auxiliar na
melhoria dos problemas citados, detalhando os principais objetivos e ganhos, além de identi�car o
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
item ou componente do framework que será adotado. É importante destacar os benefícios
esperados para cada situação a seguir:
Alinhamento entre área de negócio, TI, Vendas e Diretoria.
Entregas com atraso, falhas e faltando algum componente ou item de�nido pelo cliente.
Suporte técnico.
_______
Re�ita
Olá, estudante!
Antes de iniciar qualquer atividade dentro de uma empresa, é importante que o pro�ssional da área
de Governança de TI tenha acesso aos dados e às informações essenciais para sua efetiva
conclusão. É necessário pensar de forma holística: avalie a empresa de ponta a ponta e busque
conhecimento do todo.
Cada organização é única e possui suas particularidades, não existindo o melhor modelo de
framework. Os frameworks vistos nestaunidade são adaptáveis e �exíveis, visando uma maior
aderência e entrega de valor.
O conceito de entrega de valor deve estar inserido e deve ser tratado em todas as etapas de um
processo ou projeto. É fundamental orientar os esforços e as ações a �m de garantir valor para o
cliente e partes interessadas, foque no valor. A colaboração entre as partes (provedor, clientes e
consumidores) é aconselhada para garantir uma entrega de valor.
Não é recomendado começar do zero, o estado atual deve ser investigado, medido e avaliado de
forma objetiva, identi�cando as práticas e os serviços que podem ser aproveitadas ou reforçadas. O
resultado dever ser alcançado com o menor esforço possível, garantindo valor e evitando
desperdício.
As comunicações devem ser claras e objetivas, promova visibilidade de todas as ações. É
necessário que as pessoas estejam cientes do que está acontecendo e entendam seu papel dentro
do processo.
Videoaula: Resolução do estudo de caso
Este conteúdo é um vídeo!
Para assistir este conteúdo é necessário que você acesse o AVA pelo computador
ou pelo aplicativo. Você pode baixar os vídeos direto no aplicativo para assistir
mesmo sem conexão à internet.
Baseada no estudo realizado ao longo desta unidade e nas informações descritas pela Diretoria da
empresa, a solução pode ser aplicada da seguinte forma:
Alinhamento: �ca evidente que não há uma estrutura e um sistema de governança estabelecidos na
empresa. O framework do COBIT tem justamente esse objetivo, alinhar as estratégias da
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
organização com a área de TI. Nesse caso, a implementação de um sistema de governança do
COBIT é recomendada.
Os objetivos de Governança do domínio Avaliar, Dirigir e Monitorar (EDM – Evaluate, Direct and
Monitor) podem ser utilizados para atendimento desse requisito. Inicialmente, os objetivos “EDM01
- Implantar e manter uma estrutura de governança”, “EDM02 - Assegurar a entrega de benefícios” e
“EDM03 - Otimização de riscos garantida” devem atender as expectativas iniciais da Diretoria da
empresa, aprimorando o alinhamento das estratégias da organização com a área de TI e demais
áreas.
Além dos ganhos apresentados, é possível avaliar e monitorar se as ações da Gestão da TI estão
sendo conduzidas conforme de�nição das estratégias da organização.
Problemas com as entregas: conforme relatado, não há um único modelo ou padrão de
gerenciamento de projetos para o desenvolvimento de software. Nesse caso, podem ser utilizados
os frameworks PMBOK ou Scrum, ambos abordam melhores práticas para o gerenciamento de
projetos e podem ser utilizados para atendimento desse requisito.
Para este Estudo de Caso será selecionado o Scrum, um framework para o desenvolvimento de
produtos de softwares.
Para a implementação do Scrum será necessário de�nir as equipes Scrum, compostas pelo Scrum
Master, Product Owner e Desenvolvedores. Estabelecer os eventos Scrum: Sprint Planning, Daily
Scrum, Sprint Review e Sprint Retrospective, ambos contidos na Sprint.
Com a adoção do framework Scrum são esperadas entregas recorrentes dentro do prazo, menor
índice de falhas e atendimento a todos os requisitos do cliente, sendo possível também ter maior
�exibilidade, resposta rápida e adaptabilidade às mudanças.
Suporte técnico: o propósito da GSTI é criar valor aos seus clientes e usuários, através da provisão
de serviços de TI, garantindo atender às expectativas da organização, alinhado às necessidades do
negócio, com o mínimo de esforço e custo. A ITIL é um framework para o GSTI que traz subsídios
para atendimento a esses requisitos.
Das práticas de�nidas pela ITIL, é indicado utilizar duas:
Central de Serviços, que visa criar e estabelecer um canal único de contato para capturar
todas as demandas dos clientes e usuários e solucionar os incidentes de menor
complexidade.
Gerenciamento de requisição de serviços, que tem o propósito de tratar todas as requisições,
provenientes de uma demanda, suportando a qualidade acordada e estabelecida para um
serviço.
Com a implementação dessas práticas é esperado maior gestão e controle das solicitações e
requisições, minimizando a falta de atendimento desses itens. 
Resumo visual
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Referências
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
CARTLIDGE, A. et al. ITIL® 4 Foundation - Revision Guide. Norwich: Axelos, 2019.
DIONISIO, C. et al. Padrão de gerenciamento de projetos. Pennsylvania: PMI, 2021a.
DIONISIO, C. et al. Guia do conhecimento em gerenciamento de projetos (Guia PMBOK).
Pennsylvania: PMI, 2021b.
LAINHART, J. et al. COBIT® 2019 Framework - Introduction and Methodology. Illinois: ISACA, 2018.
MASCHIETTO, L. G. et al. Desenvolvimento de software com metodologias ágeis. Porto Alegre:
SAGAH, 2021.
OLIVEIRA, W. O que é scrum? Conceito, de�nições e etapas. Envolve MVP, 2019. Disponível em:
https://evolvemvp.com/o-que-e-scrum-conceito-de�nicoes-e-etapas/. Acessado em: 8 maio 2023.
RUBIN, K. S. Scrum essencial: um guia prático para o mais popular processo ágil. Rio de Janeiro:
Alta Books, 2017.
SCHWABER, K.; SUTHERLAND, J. O Guia do Scrum. O Guia De�nitivo para o Scrum: As Regras do
Jogo. Scrum.org, 2020. Disponível em: https://scrumguides.org/docs/scrumguide/v2020/2020-
Scrum-Guide-PortugueseBR-3.0.pdf. Acesso em: 9 jun. 2023.
,
Unidade 3
Mapeamento de riscos e oportunidades
Aula 1
Matriz de risco
https://evolvemvp.com/o-que-e-scrum-conceito-definicoes-e-etapas/
https://scrumguides.org/docs/scrumguide/v2020/2020-Scrum-Guide-PortugueseBR-3.0.pdf
https://scrumguides.org/docs/scrumguide/v2020/2020-Scrum-Guide-PortugueseBR-3.0.pdf
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Introdução da aula
Esta aula tem como objetivo clari�car o estudo sobre risco com o viés tecnológico por fazer parte
da Governança de TI. Tendo em vista a crescente transformação digital na maior parte do mundo e
principalmente sendo alavancada pela pandemia de Covid-19, o Gerenciamento de Riscos de TI e
principalmente os cibernéticos, por causa dos ataques hackers, são importantíssimos para qualquer
negócio, pois como estamos em uma era digital, esses riscos estão diretamente integrados ao
sucesso ou insucesso do negócio.
Será possível compreender o porquê de as empresas investirem tanto em soluções tecnológicas
visando a segurança e a privacidade de suas informações, sendo capaz de perceber quando o
investimento foi feito por conta de oportunidades ou ameaças, tecnologicamente falando.
Portanto, estudante, lhe dou as boas-vindas e faço o convite para o mergulho neste conteúdo que
de alguma maneira faz parte de nosso dia a dia por estarmos na era digital.
Gestão de Riscos
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
1. Conceitos de Gestão de Riscos
Risco é um evento ou uma condição de incerteza que, se ocorrer, terá um efeito positivo ou negativo
em um ou mais objetivos.
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Exemplo de EAR. Fonte: PMI (2013, p. 317).
Figura 1 | Ameaça ou oportunidade. - Fonte: Pixabay.
No caso da �gura anterior, o risco para o transeunte é de uma ameaça, então ele pode optar pela
compra do sapato visando sua proteção. Já para um empreendedor, o mesmo risco é de
oportunidade, pois pode investir na criação de sapatos reforçados para proteção dos pés dos
transeuntes, evitando assim as ameaças.
Portanto, podemos tirar o melhor proveito das oportunidades (riscos positivos), maximizando seus
resultados, e proteger o projeto das ameaças (riscos negativos), minimizando seus resultados.
Os riscos devem ser avaliados com exatidão, calculando-se a probabilidade dos resultados, assim
como seu impacto nos negócios.
Conforme percebemos, os riscos de Tecnologia da Informação estão atrelados ao negócio, portanto
as empresas devem ter mecanismos de Governança para gerenciá-los.
Nesta �gura temos uma visão macro da estratégia da empresa (nível estratégico), passando pelos
objetivos (nível tático) e depois vemos os processos (nível operacional) que suportam todo o
negócio.Portanto, o tipo de risco tecnológico é o operacional, porém como citamos antes, em
função da transformação digital e por estarmos em uma era digital, esses riscos que muitas vezes
envolvem segurança da informação e privacidade de dados, mesmo sendo operacionais, podem
in�uenciar diretamente o negócio da empresa.
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Figura 2 | Visão estratégica considerando os riscos inerentes. - Fonte: elaborada pelo autor.
Podemos citar outros exemplos de riscos, além do operacional, como: estratégico, �nanceiro e de
conformidade.
2. Matriz de risco e a importância de mapeá-los
A matriz de risco é uma forma usual de se avaliar o risco. É uma representação da combinação da
probabilidade de ocorrer um evento associando a essa probabilidade o impacto causado por essa
ocorrência.
É usualmente expresso pela classi�cação do risco segundo uma escala que pode ser:
qualitativa ou quantitativa.
2.1 Matriz de riscos – Escala qualitativa
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Figura 3 | Matriz qualitativa. - Fonte: elaborada pelo autor.
A matriz de riscos com escala qualitativa combina estimativas de probabilidade e impacto de cada
risco identi�cado.
2.2 Matriz de riscos – Escala quantitativa
Analisa numericamente o efeito dos riscos nos objetivos gerais dos projetos.
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Figura 4 | Análise quantitativa de riscos. - Fonte: Unsplash.
Essa é a principal diferença entre a análise qualitativa e a quantitativa, pois as duas escalas seguem
com a fórmula Probabilidade versus Impacto, porém a quantitativa utiliza mais critérios e com
pesos diferentes.
Tabelas com os pesos para o impacto, mas dependendo do negócio, o objetivo e os critérios de
pesos podem variar.
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Figura 5 | Matriz quantitativa. - Fonte: elaborada pelo autor.
Tabelas com os pesos da probabilidade relacionados ao negócio.
Figura 6 | Escala quantitativa de probabilidade. - Fonte: elaborada pelo autor.
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Matriz de riscos e de oportunidades de acordo com a probabilidade e o impacto nos negócios –
exemplo de duas matrizes quantitativas.
Figura 7 | Matriz de risco (ameaças e oportunidades). - Fonte: elaborada pelo autor.
 Por que devemos usar uma matriz de riscos de TI?
Toda empresa deve identi�car e gerenciar seus riscos, pois eles podem interferir diretamente em
suas estratégias. A forma de materializar esse gerenciamento é através da matriz de risco.
Quando essa empresa tem capital na bolsa, por exemplo, esse gerenciamento de risco torna-se
obrigatório, sendo inclusive escopo das auditorias externas e internas.
3. Riscos versus Resposta a risco
Para o bom gerenciamento do risco, deve-se identi�cá-lo, mensurá-lo, monitorá-lo e comunicá-lo.
Portanto, todo e qualquer risco uma vez identi�cado em algum processo operacional de trabalho,
deve ser mensurado (nível do risco: alto, médio ou baixo).
Normalmente as empresas monitoram através de indicadores de risco, de forma corporativa
somente os riscos altos ou médios. Elas têm a obrigatoriedade de terem planos de ação,
responsáveis e prazos de�nidos de acordo com a melhor estratégia (aceitar, eliminar, mitigar e
transferir), com o intuito de reforçar os controles e com isso diminuir o risco residual.
Elementos da Gestão de Riscos
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Elementos da gestão de riscos
1. Centralização
A gestão de riscos deve ser centralizada para que tenha uma rápida comunicação na resposta aos
riscos.
2. Política de gerenciamento de risco
De�ne responsabilidades gerais sobre a política de risco, revisão de riscos e relatórios de
acompanhamento necessários.
3. Recursos
Identi�cação dos recursos necessários para monitoramento e coordenação do processo de gestão
de risco, incluindo processo de obtenção de relatórios.
4. Implementação
Formalização de processos, abrangendo a identi�cação e de�nição dos riscos, avaliação,
probabilidade e impactos e respostas da empresa aos riscos (matriz de riscos).
5. Revisão e relatórios, necessários para monitoramento do processo de gerenciamento
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Processo para ser e�ciente depende de informações, qualidade do corpo pro�ssional,
conhecimento dos negócios da empresa, dos processos, e do modelo de gestão e cultura para
poder acompanhar e avaliar o conjunto de riscos, formando assim a carteira de riscos.
Esses elementos normalmente são de�nidos pela área Corporativa de Riscos da empresa e a
Governança de TI faz um papel relevante por conta dos riscos de TI (Tecnologia da Informação) e SI
(Segurança da Informação). Esse papel seria de ponto focal de todos os riscos que envolvem
tecnologia. Portanto, a área de Riscos Corporativa da empresa entra em contato somente com a
Governança de TI, que faz o contato com o restante das áreas que cuidam da operação de toda TI.
A abordagem da Governança de TI para toda a operação de TI é feita da seguinte forma:
O pro�ssional responsável pelos riscos de TI separa na matriz de riscos cada processo/área
de TI que irá fazer o trabalho de levantamento através da identi�cação dos riscos.
Procura entender o processo de trabalho da área através de entrevistas/reuniões com os
responsáveis por cada processo.
Obs.: caso a empresa tenha um bom nível de maturidade, provavelmente terá normativos
informando como funciona cada processo de trabalho da área, porém não inviabiliza a entrevista,
apenas enriquece e ganha tempo.
O responsável pelos riscos de TI, após entrevista, insere na matriz de riscos de TI o risco
identi�cado e as seguintes informações pertinentes para iniciar uma boa estratégia de
gerenciamento:
Processo: descrever qual o processo em que o risco foi identi�cado.
Responsável pelo risco: gestor da área responsável pelo risco.
Descrição do risco: descrever qual o risco identi�cado (bem resumido).
Descrição do cenário: descrever a situação atual que ocorre o risco.
Descrição do gap: descrever a vulnerabilidade que está ocorrendo.
Impacto: descrever o impacto (de acordo com a tabela).
Probabilidade: descrever a probabilidade de ocorrer (de acordo com a tabela).
Nível do risco: é o resultado do Impacto versus
Avaliação do controle: se o controle é Inexistente, E�caz, Ine�caz ou E�caz com melhorias.
Descrição do plano de ação: descrever com detalhes um plano de acordo com a estratégia
escolhida para o risco identi�cado (mitigar, eliminar, transferir ou aceitar).
Responsável pelo plano: quem irá acompanhar/executar o plano de ação.
Prazo: prazo estipulado para �nalização do plano de ação.
Risco residual: é o resultado do nível do risco após o(s) plano(s) de ação.
Após a Matriz de Riscos de TI ser �nalizada, é encaminhada para a área de Riscos Corporativos,
pois ela irá monitorar e comunicar os riscos de forma corporativa. 
Aplicando o gerenciamento de riscos na TI
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Vamos iniciar uma atividade de Gerenciamento de Risco para uma área dentro da TI.
No caso a seguir, estamos falando de um evento ou uma condição de incerteza que se ocorrer terá
um efeito negativo em um ou mais objetos.
Essa atividade ocorrerá na Gerência de Infraestrutura de TI.
A atividade será para a área de Gestão de Rede.
Perguntamos ao responsável pelo processo se existe algum normativo sobre o processo.
Caso exista, deve ocorrer uma entrevista para entendimento do processo com o responsável
pelo processo.
Após essa entrevista, o responsável pela atividade de Gerenciamento de Riscos começa a
inserir e estruturar as informações na matriz de risco.
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Figura 8 | Matriz qualitativa. - Fonte: elaborada pelo autor.
Uma das etapas de inserção é o nível do risco. Esse é o resultado do valor do impacto versus
o valor da probabilidade (tendo o foco em ameaça).
Figura 9 | Exemplo de uma matriz de riscos. - Fonte: elaborada pelo autor.
Disciplina
GOVERNANÇA DE TECNOLOGIADA INFORMAÇÃO
Após a inserção, o responsável pelo Gerenciamento de Risco veri�ca com o responsável pelo
processo se as informações estão condizentes com a entrevista, depois solicita que as
informações de Plano de ação, Responsável e Prazo sejam preenchidas.
O Plano de ação deverá ser elaborado levando em conta a estratégia de resposta ao risco, isto
é:
Eliminar: signi�ca que o plano de ação terá como objetivo eliminar completamente a ameaça.
Mitigar: signi�ca que o plano de ação terá como objetivo reduzir a probabilidade de o risco se
materializar e/ou seu impacto.
Aceitar: quando o custo-benefício indicar que o melhor a fazer é não ter ação nenhuma.
Transferir: passagem do risco para terceiros, por exemplo através de um seguro.
Figura 10 | Exemplo de matriz de riscos. - Fonte: elaborada pelo autor.
Depois que o plano é executado, o responsável pelo Gerenciamento de Riscos solicita ao
responsável pela execução do plano de ação evidências que comprovam a implementação e
utilização. Após essa ação inclui um novo valor ao risco residual.
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Figura 11 | Exemplo de matriz de riscos. - Fonte: elaborada pelo autor.
Após as ações para identi�cação, mensuração e resposta ao risco, o monitoramento começa
a funcionar e devemos estar atentos às seguintes atividades:
Veri�car se o Plano de Gerenciamento dos Riscos foi implementado como planejado.
Se as ações de resposta ao risco estão sendo efetivas ou se novas respostas devem ser
desenvolvidas. Estas podem ser medidas através de KRI (Indicadores-chave de Risco).
Se as políticas, os normativos e os procedimentos estão sendo seguidos?
Ocorreu o aparecimento de algum risco que não havia sido previamente identi�cado?
Os controles estão diretamente ligados ao monitoramento, pois se as ações de resposta ao
risco não estão sendo efetivas, o monitoramento deve apontar e, como consequência, uma
nova forma de controle de ser implementado através de um novo plano de ação com
responsável e prazo.
Todo esse trabalho normalmente deve ser auditado de seis em seis meses pela área
Corporativa de Riscos através de uma solicitação de evidências de cada controle
implementado pelos devidos planos de ação.
Fora a auditoria efetuada pela Gerência de Riscos, há também um processo de auditoria
independente efetuado normalmente pela gerência de auditoria interna da empresa, mas que
atua com diferente escopo, porém muitas vezes acaba pedindo evidências dos mesmos
controles, isso quando esse trabalho de Gerenciamento de Riscos de TI está maduro, pois do
contrário acaba aumentando e fortalecendo ainda mais esse trabalho de Gerenciamento de
Riscos.
Videoaula: Matriz de risco
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Este conteúdo é um vídeo!
Para assistir este conteúdo é necessário que você acesse o AVA pelo computador
ou pelo aplicativo. Você pode baixar os vídeos direto no aplicativo para assistir
mesmo sem conexão à internet.
Olá, estudante, com este vídeo será possível entender um pouco mais sobre o assunto abordado e
principalmente mergulhar ainda mais no universo tecnológico quando se diz respeito a ameaças ou
mesmo oportunidades que podem vir a surgir em função de um risco de TI identi�cado. Através da
era digital que estamos, os riscos ligados à Segurança da Informação se tornaram totalmente
integrados ao negócio.
Saiba mais
O domínio da gestão de risco passa pela utilização correta das ferramentas de gestão de risco,
como a matriz de risco que conhecemos nesta aula. Nesse contexto, você pode encontrar exemplos
reais de matrizes de risco, como esse disponibilizado pela Universidade Federal de Lavras (ULFA):
UFLA. Plano de Gestão de Riscos de Tecnologia da Informação (TI). Minas Gerais: UFLA, 2021.
https://dgti.ufla.br/pt/politicas-e-normas/536-plano-de-gestao-de-riscos-de-tecnologia-da-informacao-ti
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Referências
FERNANDES, A. A.; DE ABREU, V. F. Implantando a Governança de TI: da estratégia a gestão de
processos e serviços. 4. ed. Rio de Janeiro: BestSeller. 2014.
UFLA. Plano de Gestão de Riscos de Tecnologia da Informação (TI). Minas Gerais: UFLA, 2021.
Disponível em: https://dgti.u�a.br/pt/politicas-e-normas/536-plano-de-gestao-de-riscos-de-
tecnologia-da-informacao-ti. Acesso em: 4 maio 2023.
Aula 2
Estratégias e tomada de decisão de governança em TI
Introdução da aula
https://dgti.ufla.br/pt/politicas-e-normas/536-plano-de-gestao-de-riscos-de-tecnologia-da-informacao-ti
https://dgti.ufla.br/pt/politicas-e-normas/536-plano-de-gestao-de-riscos-de-tecnologia-da-informacao-ti
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Esta aula tem como objetivo discutir a importância da Governança de TI e da Segurança da
Informação em uma organização, provendo aos participantes uma visão atual da realidade do
mercado de trabalho. Iremos compreender frameworks de boas práticas de modelo de gestão e a
aplicação da tecnologia da informação como parte integrante dessa gestão.
Esta aula tem como resultado esperado que o estudante possa compreender o papel da
Governança dentro da TI e da Segurança da Informação nas empresas, utilizando indicadores para
mensuração dos riscos, lições aprendidas e tomada de decisões com mapeamento de riscos.
Que o estudante possa compreender esse universo de Governança de TI e de Segurança da
Informação, pois é onde as regras são criadas e onde algumas Gerências (TI e SI) são monitoradas
para que os colaboradores possam entender em que momento estão e como farão para chegar.
Estratégias e Tomada de Decisão de Governança de TI e Segurança da
Informação
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Estratégias e tomada de decisão de Governança de TI e Segurança da Informação
Para falar de Governança de TI, temos antes que contextualizar o porquê de sua criação. Essa
criação está relacionada diretamente às fraudes que as empresas são capazes de receber em
diferentes níveis de risco. No nosso caso especí�co, vamos entrar no assunto da Tecnologia da
Informação e da Segurança da Informação, mas primeiramente de forma Corporativa. Desse modo,
teremos uma visão holística da estratégia da empresa através de uma Governança Corporativa,
visando mitigar os possíveis riscos de TI e de SI e deixar a empresa em Compliance com os
normativos internos e as leis que a regem.
Para falar de Governança Corporativa, vamos citar o IBGC (Instituto Brasileiro de Governança
Corporativa), que é uma organização da sociedade civil, a maior referência no Brasil e uma das
principais no mundo em Governança Corporativa. 
IBGC
Uma empresa que está bem avaliada pelo IBGC tende a ser bem-vista por investidores (internos e
externos), pois é como se recebesse um selo de qualidade no quesito Governança, Risco e
Compliance (GRC).
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Segundo o IBGC, “Governança Corporativa são as práticas e os relacionamentos entre os
Acionistas/Cotistas, Conselho de Administração, Diretoria, Auditoria Independente e Conselho
Fiscal, com a �nalidade de otimizar o desempenho da empresa e facilitar o acesso ao capital”
(IBGC, 2004).
E onde a Governança de TI e de Segurança da Informação entram nesse contexto Corporativo?
Elas entram através de representantes que participam nos comitês que apoiam o Conselho de
administração das empresas/Executivos tomadores de decisões.
Nesse comitê especí�co tecnológico são destinadas, por exemplo, as seguintes pautas:
Propor políticas que envolvam os assuntos de tecnologia da informação e comunicação e de
Segurança da Informação, acompanhar sua execução, por meio de um plano integrado de
ações, considerando o Planejamento Estratégico da empresa.
De�nir prioridades na formulação e execução de planos e projetos relacionados à Tecnologia
da Informação e Segurança da Informação, sempre dando importância às lições aprendidas
em cada projeto.
Estabelecer e propor Plano de Investimento para as áreas de Tecnologia da Informação e da
Comunicação (TIC) e de Segurança da Informação (SI), inclusive quantoa aquisições de
hardware e software.
Monitorar os valores de�nidos no orçamento para as áreas de TIC e SI.
Monitorar os Riscos Corporativos de Segurança da Informação e principalmente os Riscos
cibernéticos que envolvem ataques hackers através de indicadores (KRI – Indicadores-chave
de risco).
Estas ações descritas no plano estratégico são gerenciadas no plano tático pelas áreas de
Governança de TI e de Segurança da Informação (a área de Segurança da Informação, por ter
crescido muito nos últimos tempos, principalmente pela transformação digital e por conta das
novas leis de proteção e privacidade dos dados em diversos países, possui uma gerência especí�ca
de Governança GRC).
A partir dessas estratégias é possível mapear e gerenciar todo o risco nos processos que a
operação suporta, tanto da área de TI quanto de SI e com isso gerar planos de ação que também
serão acompanhados por indicadores pelos executivos da empresa para que a estratégia da
empresa não seja prejudicada.
Governança Corporativa
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Governança Corporativa
As melhores práticas de governança corporativa são condição necessária, mas não su�ciente para
o sucesso de um negócio.
Fundamental é se criar um ambiente que promova a ética, os princípios de sustentabilidade e
perenidade da empresa. Esse conjunto permite que os stakeholders estejam todos voltados para o
sucesso da empresa.
Objetivo: melhorar o desempenho da empresa e facilitar o acesso ao capital.
Transparência – CEO e diretoria devem satisfazer as necessidades de informação dos proprietários,
do Conselho de Administração, da auditoria independente, do conselho �scal, das partes
interessadas (stakeholders) e do público em geral.
Prestação de contas (accountability) – os agentes de Governança Corporativa (GC) devem prestar
contas de suas atividades a quem os elegeu ou escolheu.
Equidade – o relacionamento entre os agentes de governança corporativa e as diferentes classes de
proprietários (inclusive minoritários, preferencialistas, etc.) deve ser caracterizado pelo tratamento
justo e equânime.
Responsabilidade Corporativa – os agentes de governança devem zelar pela sustentabilidade das
empresas, visando sua longevidade, incorporando considerações de ordem social e ambiental na
de�nição de negócios e operações.
Uma boa estrutura para ajudar no fortalecimento da Governança seria através de comitês, tais
como:
De auditoria.
De remuneração.
De estratégia.
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
De ética.
De TI.
De Segurança da Informação.
De privacidade dos dados.
 Todos indicados pelo CA.
Nesses comitês, podemos dizer que a Segurança da Informação e a Governança de TI atua nos
níveis táticos e operacionais gerando informações para os Executivos participantes dos comitês de
TI, auditoria, Segurança da Informação e Privacidade dos dados.
Se você acha que no comitê de auditoria não se fala de TIC e SI, está enganado, pois uma parte da
auditoria é sistêmica, outra tem relação com controles sistêmicos utilizados contra riscos
cibernéticos.
Portanto, podemos observar que boa parte dos comitês possuem assuntos relacionados à TIC e ao
SI.
Além desses comitês há também áreas que devem ser criadas visando esse fortalecimento de um
bom GRC, tais como: Controles internos, Compliance, Riscos, Privacidade, Segurança da Informação
e Governança de TI.
Essas áreas geralmente �cam em uma estrutura chamada segunda linha de defesa, com exceção
da Governança de TI, que �ca dentro da operação, portanto �ca na chamada primeira linha de
defesa, porém sendo ponto focal (braço tecnológico) das áreas de Controles Internos e Riscos.
A terceira e última linha de defesa de uma empresa com relação a riscos é a auditoria.
Como vemos, o risco é considerado importantíssimo em uma Gestão que queira promover uma
forte Governança Corporativa e que esteja diretamente atrelada à estratégia da empresa.
Como é estruturada a área de Governança de TI para que possa prover as áreas táticas com
informações de tomada de decisão?
Normalmente, a área de Governança de TI possui as seguintes atividades:
Orçamento de TI.
Pagamento de fornecedores de TI.
Gestão de contratos e fornecedores de TI.
Arquitetura Corporativa de TI.
Indicadores de TI.
Gestão de normativos de TI e SI.
Gestão de projetos de TI.
Gestão de processos.
Obs.: algumas empresas fazem uma estrutura distinta dessas citadas. Não existe um modelo mais
correto, e sim um que se adéque ao negócio e à estratégia da empresa.
Estrutura de GRC
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Estrutura de GRC
Vamos iniciar uma atividade de Estruturação de um GRC em uma empresa que sofreu uma auditoria
externa, veri�cou desvios �nanceiros e que apontou a ausência de uma estrutura sólida de
Governança Corporativa.
Primeiro passo: deve ser criada uma Diretoria de GRC (Governança, Risco e Compliance).
Segundo passo: criação ou fortalecimento das áreas de Controles Internos, Compliance e
Riscos.
Terceiro passo: atuar na criação de uma matriz de riscos corporativa e incentivar o
treinamento de agentes de risco em cada área.
Quarto passo: estruturar a TI através de uma sólida Governança de TI.
Quinto passo: estruturar a área de Segurança da Informação e fortalecer a atividade de GRC
de SI com a integração de riscos de SI e de TI com a área de Riscos Corporativa participando
com informações para alimentar a matriz de risco da empresa.
Obs.: essa estruturação é apenas uma das formas de se estruturar uma empresa, pois cada caso é
um caso e este é apenas um exemplo do que pode ser feito.
Com relação ao terceiro e quinto passos, a parte de riscos é importantíssima, pois o gerenciamento
de riscos acontece junto à operação da empresa, visando possíveis falhas sistêmicas e ataques
hackers com o intuito de obter ganhos �nanceiros ou destruição de imagem.
Os Riscos de TI ou de SI que são identi�cados e têm um nível crítico ou alto relacionado ao negócio,
tendem a ser expostos na matriz de risco corporativa e levados ao comitê de Riscos. Lá é veri�cado
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
se o plano de ação que foi elaborado está dentro do prazo de conclusão e qual o efeito de sua
implementação no risco residual. Há também acompanhamento dos Indicadores-chave de Riscos
em TI e SI. Nesse caso, se o índice estiver abaixo da meta, deve-se fazer um novo plano de ação.
Já com relação ao quarto passo, uma boa estrutura pode ser organizada da seguinte forma:
Orçamento de TI: responsável pelo orçamento de toda a TI, centralizando e acompanhando o
Realizado versus Orçado de cada área da TI junto aos gestores dessas áreas.
Pagamento de fornecedores de TI: controle de tudo que é pago pela TI, através NF, pois caso
um pagamento deixe de ser feito, um serviço essencial pode ser cortado.
Gestão de contratos e fornecedores de TI: a gestão é algo importantíssimo, pois tem relação
com a renovação ou não de um contrato e ainda a avaliação de qualidade dele.
Arquitetura Corporativa de TI: seria o local de de�nições das regras de integrações entre
sistemas, tendo um olhar corporativo, e não local, principalmente na hora da compra e da
implementação de um sistema corporativo.
Indicadores de TI: o painel de indicadores de TI é a forma gerencial de dar visibilidade e
monitoramento para toda a TI através do acompanhamento de seus principais serviços.
Gestão de normativos de TI e SI: controle de prazo de validade e revisão de cada normativo
através de seus devidos responsáveis, trabalhando de forma que essa revisão aconteça antes
do �m de seu prazo de validade.
Gestão de Projetos de TI: Acompanhar o aspecto físico e �nanceiro dos projetos, além de
entregas de requisitos funcionais e não funcionais e o prazo.
Gestão de Processos: tem relação com a implantação dos domínios do Cobit e/ou também do
ITIL através de processos e melhores práticas.
Videoaula: Estratégias e tomada de decisão de governança em TI
Este conteúdo é um vídeo!
Para assistir este conteúdo é necessário que você acesse o AVA pelo computador
ou pelo aplicativo.Você pode baixar os vídeos direto no aplicativo para assistir
mesmo sem conexão à internet.
Olá, estudante, com este vídeo será possível entender um pouco mais sobre o assunto abordado e
principalmente poder mergulhar ainda mais no universo tecnológico quando se diz respeito a
ameaças ou mesmo oportunidades que podem vir a surgir em função de um Risco de TI
identi�cado. Através da era digital a que estamos, os riscos ligados à segurança da informação se
tornaram totalmente integrados ao negócio. 
Saiba mais
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Recomendo a leitura Sobre o Cobit 2019 (ISACA) COBIT | Control Objectives for Information
Technologies | ISACA e ITIL 4.0 (Axelos) ITIL 4 Foundation Certi�cation | Axelos
Referências
https://www.isaca.org/resources/cobit
https://www.isaca.org/resources/cobit
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
FERNANDES, A. A.; DE ABREU, V. F. Implantando a Governança de TI: da estratégia à Gestão de
processos e serviços. 4. ed. Rio de Janeiro: BestSeller, 2014.  
IBGC. Instituto Brasileiro de Governança Corporativa. Código das melhores práticas de governança
corporativa. 3. ed. 2004.
Aula 3
Impacto da governança de TI nas demais áreas da empresa
Introdução da aula
Esta aula discute a importância do antes e depois da Governança de TI nas empresas, pois a TI de
modo geral tornou-se um fator preponderante na competitividade empresarial. Porém, é necessário
valer-se de diretrizes para saber se esses investimentos em inovação e tecnologia estão indo na
direção certa, e é aí que entra a Governança de TI.
Ao �nal desta aula, você poderá compreender o relevante papel da Governança de TI no contexto da
empresa, inserida no contexto da Governança Corporativa e como isso remete ao alinhamento total
entre tecnologia e negócios.
Espero que você possa compreender esse universo de Governança de TI e sua importância nas
empresas, pois a Governança de TI consegue medir o desempenho da TI e com isso facilitar o
trabalho dos executivos de TI e de negócios através da mensuração de valores e também da
transparência.
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Bons estudos!
Governança de TI e o impacto nas empresas
Como vimos anteriormente, a Governança Corporativa surge visando aumentar a transparência e
depois se fortalece no Brasil e no mundo por conta de fraudes nos demonstrativos �nanceiros
oriundas de executivos, que geraram descon�ança de seus investidores. A partir dessa situação, o
nível de regulamentação aumentou, fazendo com que a Governança Corporativa criasse
mecanismos importantes para evitar fraudes, erros estratégicos e desalinhamento entre acionistas
e executivos.
Como fazer para alinhar a estratégia da empresa com a parte operacional de Tecnologia da
Informação e com isso fazer com que a TI passe a ter uma visão estratégica alinhada ao negócio?
Através da implantação de uma Governança de TI é possível olhar de uma forma holística para a TI,
deixando o fornecimento de serviços, produtos e operações a cargo de suas devidas gerências e
tendo o foco no desempenho da TI, propondo, inclusive, as melhores práticas para as áreas e
gerenciando os riscos inerentes, sempre visando a estratégia da empresa.
Antes e depois da Governança em TI para o mapeamento de riscos
Antes da Governança de TI o conceito de riscos de TI não estava atrelado ao negócio, e sim à
operação. Aos poucos isso mudou e agora a ideia é que todos os ativos de TI estejam protegidos
caso haja algum incidente grave, desastre natural ou ainda ataques hackers. Nesse tipo de situação,
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
os serviços de TI devem ser restabelecidos o mais breve possível, proporcionando continuidade aos
negócios. Não menos importante é a guarda (backup) e recuperação de dados em função de algum
desses acontecimentos citados ou por incidentes na própria operação de TI.
Assim, o Gerenciamento de Riscos se tornou um tema importantíssimo dentro da Governança de TI,
visto que por conta da Lei Geral de Proteção de Dados (LGPD) no Brasil e a Regulação Geral de
Proteção de Dados (GDPR) para alguns países da Europa, as empresas e os investidores querem
saber se os seus dados correm risco de privacidade ou não. Dependendo do nível de risco, o
negócio pode não ocorrer, pode haver uma solicitação de retirada ou portabilidade para outro
provedor ou podem ser incluídas multas pesadas para quem não garantir a proteção e privacidade
dos dados administrados.
Por meio da Governança de TI o Gerenciamento de Riscos de TI aumentou em importância,
tornando-se uma das três linhas de defesa do risco em uma Governança Corporativa.
Hoje, de acordo com as melhores práticas, as gerências de TI acompanham seus riscos valendo-se
de uma matriz de riscos de TI, identi�cando, analisando, avaliando, tratando e monitorando-os.
Adicionalmente, a área de Governança de TI centraliza esses Riscos de TI, direcionando aos seus
devidos responsáveis.
A partir da responsabilidade por cada risco, a Governança de TI acompanha cada área nas
implementações dos planos de ações e seus prazos e responsáveis. 
Um risco é classi�cado como corporativo quando ele pode interferir diretamente na estratégia da
empresa e não apenas na área em que aquele determinado processo de TI acontece.
Os riscos corporativos são acompanhados não apenas pelas Gerências de TI. Eles têm uma
visibilidade maior e deverão ser expostos nos comitês de risco para que o Presidente e o Conselho
de Administração possam avaliar tudo que possa desvirtuar a estratégia da empresa.
Governança de TI e a Gestão de Riscos: Alinhando Tecnologia e Estratégia
Empresarial
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Como vimos, a Governança de TI está de “braço dado” com a Governança Corporativa e tem que ter
uma visão holística dos processos que envolvem a Tecnologia da Informação. Porém, tudo isso
deve estar alinhado com os objetivos de negócio da empresa.
Considerando a dependência que as empresas têm da tecnologia, há um forte apelo dos executivos
em informações oriundas das diversas áreas da TI. A Governança de TI é a responsável por
acompanhar a execução dos projetos e de ações estratégicas e municiar esses executivos.
Quando se fala em demonstrar que a TI está entregando valor, signi�ca que os investimentos em
tecnologia estão ajudando diretamente o negócio e a estratégia da empresa, fazendo com que a
empresa alcance suas metas.
Nesse contexto, em 2002 foi promulgada a lei Sarbanes-Oxley, uma lei estadunidense que visa
proteger os investidores de empresas de capital aberto de possíveis fraudes �nanceiras. Como
consequência, a gestão de riscos focava apenas em controles internos e auditoria, direcionados
apenas a relatórios �nanceiros. Era uma gestão de riscos visando a segunda e a terceira linha de
defesa.
Por volta de 2008, em decorrência da crise mundial, a gestão de riscos perdeu força juntamente da
desaceleração do mercado. A partir de 2010, com a forte recuperação econômica, as empresas
retomam a gestão de riscos com o intuito de fazer negócio de forma e�caz. Iniciava-se o processo
de alinhamento da Gestão de Riscos com os objetivos estratégicos, passando a reduzir as
imprevisibilidades e olhando o risco como oportunidades de fazer novos negócios. Nesse
momento, a Governança de TI começa a ganhar força também através do mapeamento de riscos de
TI.
Esse processo toma corpo a partir da regulação geral de proteção de dados iniciada em 2016. Com
ela passou-se à regulação e proteção de dados dos cidadãos de países que fazem parte da União
Europeia. Como consequência, o mapeamento de riscos passou a ter uma relevância muito grande
pelas empresas, pois os riscos cibernéticos começam a subir de prioridade, pois além de multas
altas, as empresas ainda �cam com suas imagens arranhadas quando sofrem algum tipo de perda
ou vazamento de dados.
Com a forte aceleração do mercado e o fortalecimento da Governança de TI, surgiu a tríada
Governança, Risco e Compliance (GRC), em uma estrutura que melhor se adaptou a respostasaos
riscos:
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Figura 1 | Estrutura de GRC. - Fonte: elaborada pelo autor.
Como você pode notar, essa estrutura é similar à de um planejamento estratégico, isso porque o
Risco do GRC (Governança, Risco e Compliance) está ligado diretamente à estratégia da empresa.
Enquanto o nível estratégico fornece insights para riscos de forma quantitativa e qualitativa, para
que os executivos da alta gestão possam tomar decisões estratégicas, o nível tático foca em
minimizar os silos organizacionais – ou seja, o trabalho de forma isolada adotado por alguns
colaboradores ou times –, permitindo a colaboração e integração tática dentro da organização para
minimizar a redundância, aumentando a e�ciência e precisão. Por �m, o nível operacional busca
detectar, prevenir, prever e controlar eventos de risco e transações operacionais relacionados em
tempo hábil.
Tudo isso mostra que uma estrutura forte de resposta a riscos deve estar atrelada a decisões
estratégicas.
Em contrapartida, quando existe um excesso de escopo do que deve ser monitorado quanto a
riscos, há a possibilidade de engessamento do controle e até mesmo das atividades na cadeia de
processos da empresa. Isso acontece quando há muitas variáveis de riscos potenciais.
Dessa forma, deve-se delimitar o universo de riscos que serão controlados, os que afetam
diretamente a estratégia da empresa e com isso focar em ações robustas com forte ações de
controle do que realmente interessa. Dessa forma, é possível racionalizar a gestão de riscos,
tornando-a mais �uida e menos onerosa para a organização.
Aplicando a Governança de TI para Proteção e E�ciência Empresarial
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
A Governança, Risco e Compliance de TI são três pilares da Governança de TI que atuam de forma
integrada para facilitar que a organização conquiste seus objetivos estratégicos, com maior
e�ciência, transparência e proteção quanto aos riscos e às ameaças do negócio.
Para falar um pouco de riscos em termos práticos, podemos usar o Information Technology General
Controls (ITGC), ou seja, os testes de controles gerais de TI. Os mapeamentos de riscos, assim
como auditorias externas e internas têm como base os testes do ITGC.
A aplicação do ITGC pode gerar como resultado diferentes planos de ação com responsável e prazo
para fortalecer os controles, e com isso gerar estratégias de mitigação, eliminação, transferência ou
aceite do risco. São possíveis controles aplicados por meio da utilização do ITGC em diferentes
áreas organizacionais:
Gerenciamento de mudanças: mudanças são autorizadas, testadas, aprovadas, monitoradas,
segregação de funções, segregação de ambientes, entre outros.
Gerenciamento de acessos físicos: registro e monitoramento de acessos, capacidade
operacional dos servidores, equipamentos de segurança e incêndio, inventário de ativos de TI
no data center, entre outros.
Gerenciamento de operações de TI: backup e restore, job scheduling e monitoramento,
gerenciamento de incidentes, continuidade e contingência de TI.
Gestão de acesso lógico: usuários criados, usuários desligados, usuários transferidos,
usuários correntes, usuários privilegiados, monitoramento de acessos, entre outros.
Nesse contexto, vamos focar no processo de gestão de mudanças e dividir esse processo em três
etapas para posteriormente mapear seus riscos uma etapa por vez:
Etapa 1: solicitar para o responsável técnico pelo processo de gestão de mudanças evidências
de registros de mudanças de um período inicial até um período �nal.
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Etapa 2: veri�car em cada registro de mudança se há evidência de que cada mudança foi
testada, como telas sistêmicas e e-mail com formulário, onde mostra quem testou, quem
aprovou os testes e a data da aprovação.
Etapa 3: caso haja alguma vulnerabilidade em algum registro, como a ausência de evidência
de quem aprovou os testes, o risco é identi�cado e fará parte da gestão de riscos, sendo
apontado como tendo uma vulnerabilidade e que deve ser tratada.
Vamos agora dar sequência com a aplicação de matrizes de risco para cada uma das etapas
descritas anteriormente, seguidas da categorização e descrição do risco, seu impacto,
probabilidade e descrição do gap e das respostas ao risco.
1) Matriz de Riscos de TI da etapa 1:
Processo Gestão de mudanças
Subprocesso Testes de mudança
Categoria do risco Operacional
Descrição do risco Falha no processo de Gestão de mudanças.
Fator de risco
Mudanças executadas em produção, porém sem
aprovação de testes de mudança antes de sua
aplicação em produção.
Impacto Alto
Probabilidade Alta
Risco Alto
Descrição do gap
Foi veri�cada na amostra x, no registro de
mudança 12345AB, que o pacote foi liberado
para produção sem nenhuma evidência de que
tenha sido testado.
Descrição do plano de ação
Será alterado o sistema de Gestão de
Mudanças e passará a ser obrigatória a
inclusão de evidências de testes antes da
passagem para produção.
Responsável pelo plano de ação Gerente de Serviços XPTO
Prazo de implementação 3 meses – Do dia x até o dia xxx
2) Matriz de Riscos de TI da etapa 2: 
Processo Gestão de acessos lógicos
Subprocesso Usuários desligados
Categoria do risco Operacional
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Descrição do risco Falha no processo de Gestão de Acesso lógico
Fator de risco
Não há um processo que ligue o RH com a áre
de Segurança da
da informação no momento de um desligamen
na empresa.
Impacto Alto
Probabilidade Alta
Risco Alto
Descrição do gap
Foi veri�cado na amostra x, no registro de
desligamento originário do RH, referente ao
mês x, que houve três desligamentos, porém
dois colaboradores ainda continuavam com
acesso à rede e ao sistêmico.
Descrição do plano de ação
Plano de ação 1) Escrever um processo de
modo que toda vez que um colaborador for
desligado da empresa, o RH enviará um e-mail
para a segurança da informação solicitando
ações imediatas
de bloqueio de acesso à rede e ao sistêmico.
Plano de ação 2) Implementar uma integração
sistêmica entre
o sistema do RH com a rede da empresa e os
sistemas que o colaborador tenha acesso para
que seja bloqueado instantaneamente.
Responsável pelo plano de ação Gerente de Segurança da Informação – nome:
Prazo de implementação
3      meses – Do dia x até o dia x para o plano d
ação 1.
6 meses – do dia x até o dia 6x para o plano de
ação 2.
3) Matriz de Riscos de TI da etapa 3: 
Processo Operações de TI
Subprocesso Backup e restore
Categoria do risco Operacional
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Descrição do risco Falha no processo de backup e restore.
Fator de risco
Não há uma veri�cação preventiva na atividade
de backup e restore.
Impacto Alto
Probabilidade Alta
Risco Alto
Descrição do gap
Foi veri�cado na amostra x, no registro de
backup do mês x, que houve falha no backup
durante 2 dias e que não houve
nenhuma ação de nova tentativa de backup
para esses dois
dias seguidos.
Descrição do plano de ação
Plano de ação: 1) O processo de backup dever
enviar um e-mail para o Operador
Administrador de backups informando o status
da execução desse serviço.
Plano de ação: 2) Deverá ser incluído o
processo periódico de teste de backup e
restore para sistemas críticos.
Responsável pelo plano de ação Gerente de Operações de TI – nome:
Prazo de implementação
3      meses – Do dia x até o dia x para o plano de
ação 1.
4      meses – do dia x até o dia 4x para o plano de
ação 2.
Videoaula: Impacto da governança de TI nas demais áreas da empresa
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Este conteúdo é um vídeo!
Para assistir este conteúdo é necessário que você acesse o AVA pelo computador
ou pelo aplicativo. Você pode baixar os vídeos direto no aplicativo para assistir
mesmo sem conexão à internet.
Prezado estudante, no vídeo desta aula você verá as principais considerações sobre o impacto da
Governança de TI nas demais áreas da empresa e como esse assunto se relaciona como
mapeamento e a resposta aos riscos identi�cados. Dessa forma, você estará preparado para avaliar
e saber identi�car os riscos nos processos de negócios, além de fornecer meios de minimizá-los.
Vamos lá!
Saiba mais
Recomendo a leitura Sobre o Cobit 2019 (ISACA) COBIT | Control Objectives for Information
Technologies | ISACA e ITIL 4.0 (Axelos) ITIL 4 Foundation Certi�cation | Axelos
Referências
https://www.isaca.org/resources/cobit
https://www.isaca.org/resources/cobit
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
FERNANDES, A. A.; DE ABREU, V. F. Implantando a Governança de TI: da estratégia à gestão de
processos e serviços. 4. ed. Rio de Janeiro: BestSeller, 2014.  
Aula 4
Análise de Impacto e Gerenciamento de Riscos
Introdução da aula
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Olá, estudante!
Nesta aula você verá como funciona e para que serve o Plano de Continuidade de Negócios (PCN).
Ele é composto de diversas ações preventivas que visam garantir que serviços essenciais em uma
organização sejam identi�cados e tenham sua operação preservada, mesmo depois da ocorrência
de um desastre, até o retorno da situação que seria considerada normal para o funcionamento da
empresa.
O PCN é importante, pois o uso adequado dele possibilita que organizações recuperem e
mantenham em funcionamento suas atividades consideradas como críticas em caso de uma
situação que interrompa o que seria considerado como a operação normal do negócio.
Algumas ações que estão dentro de um PCN são o Business Impact Analysis (BIA) e
Gerenciamento de riscos de terceiros, aos quais veremos aqui com mais detalhes, pois além de
fazer parte de um PCN são partes importantes nessa engrenagem de continuidade dos negócios.
Bons estudos!
Análise de Impacto do Negócio (BIA) e o Gerenciamento de Riscos
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Como vimos anteriormente, o BIA faz parte de um PCN, portanto, vamos colocar alguns conceitos
importantes para entendimento do todo (PCN) e depois veremos como o BIA está integrado nessas
ações preventivas de um conjunto de estratégias, assim como entender o seu verdadeiro signi�cado
e sua importância.
O PCN é acionado após um desastre, mas o que é um desastre? É um evento de causa natural e/ou
tecnológica que afeta a normalidade do funcionamento social e, por extensão, provoca danos e
prejuízos à sociedade, afetando a economia e os ecossistemas, estrutura básica e desenvolvimento
humano.
Por de�nição, um desastre só acontece quando afeta pessoas em situação de vulnerabilidade. No
contexto organização, consideramos desastre qualquer situação capaz de afetar os processos
críticos de uma organização. Dessa forma, é possível que algumas ocorrências sejam
caracterizadas como desastres para uma empresa, mas não por outra.
A Análise de Impacto do Negócio (BIA – Business Impact Analysis) é uma importante parte de um
Plano de Continuidade de Negócios. Ela revela vulnerabilidades e subsidia o desenvolvimento de
estratégias que visam a minimização de riscos identi�cados. O resultado desse processo é um
relatório de análise de impacto, que descreve os riscos potenciais especí�cos para a entidade no
caso de uma interrupção do negócio (MARCONDES, 2019).
A criação de um BIA é uma tarefa importante no contexto organizacional. Para criá-lo, é necessário
reconhecer que existe dependência entre os processos da organização e que alguns são mais
importantes do que outros. Reconhecer isso é fundamental para assumir que a manutenção desses
processos será prioritária durante uma situação de contingência. Nesse cenário, o relatório BIA tem
o papel de dimensionar essa importância dos processos e apontar os recursos que devem ser
utilizados para protegê-los (MARCONDES, 2019).
Depois de feito o mapeamento de processos, a organização deve se dedicar a critérios para aferir a
relevância e criticidade dos processos, como, mas não exaustivamente: atividades críticas
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
realizadas em cada processo, entregas de demandas regulatórias, dependências de sistemas e
pessoas, impactos �nanceiros (perdas) que poderiam ocorrer se esses processos fossem
suspensos e impactos operacionais, legais e de imagem (MARCONDES, 2019).
Para você realizar a Análise de Impacto de Negócios (BIA), é importante considerar o tempo real de
recuperação para cada atividade crítica dentro da organização. Conhecer esse critério passa por
também conseguir identi�car riscos e a de�nição de cenários possíveis de falha para cada
processo crítico, a duração dos efeitos e das consequências resultantes, os custos inerentes e os
limites máximos aceitáveis de permanência da falha sem a ativação da respectiva medida de
contingência e, por �m, o gerenciamento de riscos e gerenciamento de risco de terceiros
(MARCONDES, 2019).
O gerenciamento de riscos em um PCN está relacionado diretamente a estes conceitos
importantes:
Continuidade: se relaciona com a proteção, recuperação e manutenção da entrega de serviços
em vista da garantia da continuidade de funções essenciais à empresa, após um cenário de
crise (SILVEIRA; AGUIAR; COSTA, 2018).
Disponibilidade: é compreendida como a capacidade de um ambiente de manter-se ativo
mesmo diante de intercorrências ou anormalidade (BRAUN, 2018).
Contingência: se materializa na mobilização de recursos como resposta a um incidente, de modo a
garantir a disponibilidade de uma organização (MARCONDES, 2019).
Documento de Análise de Impacto do Negócio (BIA) na Gestão de Continuidade
e Riscos
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Agora que você já sabe o que é o BIA, vamos aprofundar nosso conhecimento e descobrir o que ele
deve contemplar.
O documento do BIA é composto de diversos tópicos, entre eles, segundo Marcondes (2019): um
resumo dos processos críticos e sua descrição; o per�l e a quantidade dos pro�ssionais neles
envolvidos; a interrelação entre os processos da organização; a listagem de tecnologias que
suportam essas atividades; a relação dos impactos de localidade, ou seja, onde é realizada a
atividade; considerações acerca dos impactos �nanceiros, legais, operacionais e de imagem
ocasionados por uma ruptura; quais os critérios para priorização dos processos considerando
diferentes tipos de impactos (�nanceiro, legal, operacional ou imagem, por exemplo); a listagem dos
processos priorizados por impacto; uma de�nição do nível de criticidade, a de�nição do RTO
(Recovery Time Objective) e RPO (Recovery Point Objective) e, por �m, a determinação dos acordos
com fornecedores e parceiros de produtos e serviços relacionados às atividades críticas
identi�cadas.
Como vimos, uma premissa para criação do BIA é a interdependência entre os processos da
organização e que alguns são mais cruciais que outros, isto é, as empresas vão focar em proteger
seus processos críticos de negócio, pois dependendo da análise �nal de impacto o custo pode ser
bem alto para que haja continuidade dos negócios e com isso a empresa não deixe de interromper
suas atividades principais, decorrendo muitas vezes até de multas contratuais diárias.
Como saber qual será o impacto nos negócios em função de uma crise?
A melhor forma é fazendo uma série de entrevistas com os responsáveis pelas áreas de negócio
que a empresa de�niu previamente como sendo críticas ao negócio. A partir daí eles irão
naturalmente informar quais sistemas utilizam em seu dia a dia de trabalho e que
consequentemente suportam os seus negócios.
Exemplo de questionário de análise de impacto no negócio determinando a Indisponibilidade
Máxima Aceitável:
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Quadro 1 | Questionário de análise de impacto no negócio - Indisponibilidade Máxima Aceitável.
- Fonte: elaborado pelo autor.
 
Bloco 1
- 2 horas 4 horas 8 horas
Questões qualitativas – Escala de levantamento – (1) Impacto marginal – (2) Impacto aceitável –
(3) Impacto alto – (4) Impacto catastró�co
1)    Como seus
clientes
reagirão a uma
interrupção?
 
    R:
 
R:
 
R:
2)    Qual seráo
impacto para
as outras
atividades?
 
    R:
 
R:
 
R:
3)    Como a
interrupção
interferirá na
perda de
reputação?
 
    R:
 
R:
 
R:
4)    Quão difícil
será recuperar
o trabalho
perdido?
 
    R:
 
R:
 
R:
Questões quantitativas – R$
5)    Qual o custo
das
penalidades
legais e
contratuais?
 
    R:
 
R:
 
R:
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
6)    Quais serão os
custos com
reparos?
 
    R:
 
R:
 
R:
7)    Quanto de
receita será
perdida?
 
    R:
 
R:
 
R:
Bloco 2
24 horas 48 horas 1 semana
Questões qualitativas – Escala de levantamento – (1) Impacto marginal – (2) Impacto aceitável –
(3) Impacto alto – (4) Impacto catastró�co
 
R:
 
R:
 
R:
 
R:
 
R:
 
R:
 
R:
 
R:
 
R:
 
R:
 
R:
 
R:
Questões quantitativas – R$
 
R:
 
R:
 
R:
 
R:
 
R:
 
R:
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
 
R:
 
R:
 
R:
Exemplo de questionário de análise de impacto no negócio determinando a Perda Máxima de
Dados/Objetivo para Ponto de Recuperação:
Quadro 2 | Questionário de análise de impacto no negócio - Perda Máxima de Dados/Objetivo para
Ponto de Recuperação. - Fonte: elaborado pelo autor.
 
Bloco 1
- 2 horas 4 horas 8 horas
Questões qualitativas – Escala de levantamento – (1) Impacto marginal – (2) Impacto aceitável –
(3) Impacto alto – (4) Impacto catastró�co
1)    Software A
 
    R:
 
R:
 
R:
2)    Banco de
dados A
 
    R:
 
R:
 
R:
3)    Software B
 
    R:
 
R:
 
R:
Bloco 2
24 horas 48 horas 1 semana
Questões qualitativas – Escala de levantamento – (1) Impacto marginal – (2) Impacto aceitável –
(3) Impacto alto – (4) Impacto catastró�co
 
R:
 
R:
 
R:
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
 
R:
 
R:
 
R:
 
R:
 
R:
 
R:
Gerenciamento de Riscos e Gerenciamento de Risco de terceiros
A partir da análise das respostas obtidas nesses questionários, é possível veri�car quanto tempo
um sistema pode �car indisponível e quanto tempo pode haver perda de dados após uma crise.
Com essas informações, pode-se fazer uma análise de risco e gerar um plano de ação, por exemplo,
para a contratação de um site de contingência, que é uma “duplicação” da infraestrutura de uma
empresa em um endereço diferente.
O ambiente, que pode ser uma estrutura mais simples com as mesmas con�gurações de software
da sede ou até um data center, permite que a companhia funcione integralmente em casos de
indisponibilidade da sede, sem comprometer as operações críticas que estão sendo realizadas.
Após a contratação do site de contingência com uma empresa, é interessante gerenciar esses
riscos de terceiros e uma maneira é fazendo testes periódicos de no mínimo a cada seis meses,
através dos quais é possível mensurar e identi�car a real e�cácia do plano do PCN. 
BIA (Business Impact Analysis) na prática e sua importância
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
BIA (Business Impact Analysis) na prática e sua importância
Vamos implementar as informações que descrevemos como importante sobre o BIA em relação a
uma empresa digital de transportes de cargas e com isso será mais fácil visualizar a sua relevância
dentro do PCN.
O documento do BIA deve contemplar, segundo Marcondes (2019):
Um resumo dos processos críticos e sua descrição:
R: Disponibilização de carga pelo produtor e aceite de carga por um caminhoneiro via aplicativo –
Quando um Produtor coloca sua carga via aplicativo informando o local de origem da carga, destino,
peso, conteúdo da carga e valor e o caminhoneiro dá um aceite via aplicativo.
O per�l e a quantidade dos pro�ssionais neles envolvidos:
R: Usuários – Caminhoneiros e/ou transportadora e empresa produtora da carga.
A interrelação entre os processos da organização:
R: Há uma dependência entre os dois processos a partir do aceite de um motorista.
As tecnologias que suportam as atividades:
R: Aplicativo de transporte XPTO.
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
A relação dos impactos de localidade onde é realizada a atividade:
R: Não há, pois o aplicativo está na nuvem pública.
Considerações acerca dos impactos �nanceiros, legais, operacionais e de imagem
ocasionados por uma ruptura:
R: Caso haja alguma crise em função de um ataque hacker, por exemplo, os impactos serão críticos,
pois há contratos envolvidos que pedem disponibilidade total (24/7), a operação será interrompida,
uma vez que tanto as empresas contratantes (produtoras) quanto os
caminhoneiros/transportadoras �carão sem poder fechar negócio. A partir da interrupção o impacto
na imagem será alto, uma vez que empresas poderão deixar de anunciar suas cargas no aplicativo.
Quais os critérios para priorização dos processos considerando diferentes tipos de impacto
(�nanceiro, legal, operacional ou imagem):
R: A priorização desses dois processos foi feita a partir dos seguintes critérios: impacto �nanceiro
(multas), legal (contratual) e de imagem por conta da paralisação do mercado em relação à
utilização do aplicativo.
A priorização dos processos por impacto:
R: Os processos “Disponibilização de carga pelo produtor” e “Aceite de carga por um caminhoneiro
via aplicativo” foram priorizados por conta de serem críticos para o negócio.
De�nição do nível de criticidade:
R: O nível de criticidade é crítico.
A de�nição do RTO (Recovery Time Objective) e do RPO (Recovery Point Objective):
R: RTO deve ser imediato sem indisponibilidade, RPO não pode ter perda de dados.
Determinação dos acordos com fornecedores e parceiros de produtos e serviços relacionados
às atividades críticas identi�cadas:
R: Contrato com um fornecedor de data center para que seja um site de contingência para uma DR
(Recuperação de Desastre) em outro estado e com disponibilidade em tempo real em caso de
desastre no data center principal.
Gerenciamento de Riscos e Gerenciamento de Risco de terceiros
Os testes periódicos a cada seis meses no fornecedor contratado (terceiro) para fornecer o site de
contingência em caso de incidente de crise é muito importante, porém para que um teste seja
efetivo é necessário estabelecer um cenário de testes e de�nir qual tipo de teste será possível
realizar e qual serão as evidências necessárias para uma auditoria.
O teste é de�nido como atividade na qual os planos de continuidade de negócios são exercitados
parcial ou integralmente, de forma a garantir que os planos contenham as informações apropriadas
e produzam o resultado desejado quando colocados em prática.
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Videoaula: Análise de Impacto e Gerenciamento de Riscos
Este conteúdo é um vídeo!
Para assistir este conteúdo é necessário que você acesse o AVA pelo computador
ou pelo aplicativo. Você pode baixar os vídeos direto no aplicativo para assistir
mesmo sem conexão à internet.
Prezado estudante, no vídeo desta aula você verá os principais pontos sobre o que é BIA e a
importância de desenvolvê-lo no contexto do gerenciamento de riscos de uma empresa. Assim,
você estará preparado para avaliar e saber identi�car os riscos nos processos de negócios e
fornecer meios para minimizá-los.
Bons estudos!
Saiba mais
Quando abordamos os conceitos de continuidade de negócios e segurança da informação, existem
duas normas técnicas criadas pela ISO (International Organization for Standardization) que balizam
o assunto no mercado, as ISO 22301 - Gestão de Continuidade dos Negócios e ISO 27001 – Gestão
da Segurança da Informação.
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Veja no artigo a seguir a re�exão do autor Wolfgang Mahr sobre como as duas normas se
relacionam:
MAHR, W. O que implementar primeiro: ISO 22301 ou ISO 27001? Advisera, 2017.
Referências
BRAUN, C. Projeto de Disponibilidade de Data Center para Suportar Serviços Críticas em uma
Indústria de Artefatos de Borracha no Interior do Rio Grande do Sul: Estudo de Caso. 2018. Trabalho
de Conclusão do Curso (Especialização) – Universidade do Sul de Santa Catarina, 2018. Disponível
em:
https://repositorio.animaeducacao.com.br/bitstream/ANIMA/4003/1/PROJETO%20DE%20DISPONIBILIDADE%20DE%20DATA%20CENTER%20PARA%20SUPORTAR%20SERVI%c3%87OS%20CR%c3%8
dTICOS%20EM%20UMA%20IND%c3%9aSTRIA%20DE%20ARTEFATOS%20DE%20BORRACHA%20NO
%20INTERIOR%20RIO%20GRANDE%20DO%20SUL%20ESTUDO%20DE%20CASO.pdf. Acesso em: 5
jun. 2023.
FERNANDES, A. A.; DE ABREU, V. F. Implantando a Governança de TI: da estratégia a Gestão de
processos e serviços. 4. ed. Rio de Janeiro: BestSeller, 2014.  
MARCONDES, J. S. Gestão de Continuidade de Negócios: Conceitos, Programa de Gestão. Blog
Gestão de Segurança Privada, 2019. Disponível em:
https://gestaodesegurancaprivada.com.br/gestao-de-continuidade-de-negocios-conceitos/. Acesso
em: 5 jun. 2023.
SILVEIRA, M. de M.; AGUIAR, P. de P.; COSTA, M. M. A Gestão de Continuidade de Negócios no
Âmbito de 2 Organizações Contábeis da Cidade de Ceres – GO. Faculdade Evangélica de Ceres-GO,
2018. Disponível em:
https://advisera.com/27001academy/pt-br/blog/2017/04/10/o-que-implementar-primeiro-iso-22301-ou-iso-27001/
https://repositorio.animaeducacao.com.br/bitstream/ANIMA/4003/1/PROJETO%20DE%20DISPONIBILIDADE%20DE%20DATA%20CENTER%20PARA%20SUPORTAR%20SERVI%c3%87OS%20CR%c3%8dTICOS%20EM%20UMA%20IND%c3%9aSTRIA%20DE%20ARTEFATOS%20DE%20BORRACHA%20NO%20INTERIOR%20RIO%20GRANDE%20DO%20SUL%20ESTUDO%20DE%20CASO.pdf
https://repositorio.animaeducacao.com.br/bitstream/ANIMA/4003/1/PROJETO%20DE%20DISPONIBILIDADE%20DE%20DATA%20CENTER%20PARA%20SUPORTAR%20SERVI%c3%87OS%20CR%c3%8dTICOS%20EM%20UMA%20IND%c3%9aSTRIA%20DE%20ARTEFATOS%20DE%20BORRACHA%20NO%20INTERIOR%20RIO%20GRANDE%20DO%20SUL%20ESTUDO%20DE%20CASO.pdf
https://repositorio.animaeducacao.com.br/bitstream/ANIMA/4003/1/PROJETO%20DE%20DISPONIBILIDADE%20DE%20DATA%20CENTER%20PARA%20SUPORTAR%20SERVI%c3%87OS%20CR%c3%8dTICOS%20EM%20UMA%20IND%c3%9aSTRIA%20DE%20ARTEFATOS%20DE%20BORRACHA%20NO%20INTERIOR%20RIO%20GRANDE%20DO%20SUL%20ESTUDO%20DE%20CASO.pdf
https://repositorio.animaeducacao.com.br/bitstream/ANIMA/4003/1/PROJETO%20DE%20DISPONIBILIDADE%20DE%20DATA%20CENTER%20PARA%20SUPORTAR%20SERVI%c3%87OS%20CR%c3%8dTICOS%20EM%20UMA%20IND%c3%9aSTRIA%20DE%20ARTEFATOS%20DE%20BORRACHA%20NO%20INTERIOR%20RIO%20GRANDE%20DO%20SUL%20ESTUDO%20DE%20CASO.pdf
https://gestaodesegurancaprivada.com.br/gestao-de-continuidade-de-negocios-conceitos/
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
http://45.4.96.19/bitstream/aee/19735/1/A%20GEST%C3%83O%20DE%20CONTINUIDADE%20DE%
20NEG%C3%93CIOS%20NO%20%C3%82MBITO%20DE%20DUAS%20ORGANIZA%C3%87%C3%95ES
%20CONT%C3%81BEIS%20DA%20CIDADE%20DE%20CERES-GOI%C3%81S.pdf. Acesso em: 5 jun.
2023.
Aula 5
Resumo da unidade
A Governança de TI e sua importância nas empresas
A Governança de TI e sua importância nas empresas
A Governança Corporativa está relacionada às estruturas e aos processos que são projetados para
garantir a transparência, estabilidade, responsabilidade, capacidade de resposta, equidade,
diversidade, inclusão e ampla participação. Ainda assim, representa as orientações, as normas, os
princípios, os valores e as regras por meio das quais as ações são administradas, de maneira
transparente, participativa, inclusiva e responsiva.
Em complemento a elas, existem estruturas que são responsáveis pela administração executiva,
pela gestão tática e pela gestão operacional. Enquanto a primeira avalia, direciona e monitora
internamente órgãos ou entidades, a segunda coordena a gestão operacional em áreas especí�cas
e a terceira executa processos produtivos e �nalísticos. Dessa forma, temos uma estrutura
segmentada da seguinte forma:
http://45.4.96.19/bitstream/aee/19735/1/A%20GEST%C3%83O%20DE%20CONTINUIDADE%20DE%20NEG%C3%93CIOS%20NO%20%C3%82MBITO%20DE%20DUAS%20ORGANIZA%C3%87%C3%95ES%20CONT%C3%81BEIS%20DA%20CIDADE%20DE%20CERES-GOI%C3%81S.pdf
http://45.4.96.19/bitstream/aee/19735/1/A%20GEST%C3%83O%20DE%20CONTINUIDADE%20DE%20NEG%C3%93CIOS%20NO%20%C3%82MBITO%20DE%20DUAS%20ORGANIZA%C3%87%C3%95ES%20CONT%C3%81BEIS%20DA%20CIDADE%20DE%20CERES-GOI%C3%81S.pdf
http://45.4.96.19/bitstream/aee/19735/1/A%20GEST%C3%83O%20DE%20CONTINUIDADE%20DE%20NEG%C3%93CIOS%20NO%20%C3%82MBITO%20DE%20DUAS%20ORGANIZA%C3%87%C3%95ES%20CONT%C3%81BEIS%20DA%20CIDADE%20DE%20CERES-GOI%C3%81S.pdf
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Estratégica
Tática
Operacional
Nesse contexto, a Governança de TI é o braço da Governança Corporativa, focada na Tecnologia da
Informação e em seu desempenho e gerenciamento de riscos. A Governança de TI é essencial para
gerenciar os riscos que a TI oferece ao negócio e garantir segurança para a organização. Ela atua
como um mecanismo de controle que assegura a proteção das informações, diminui os custos,
otimiza recursos e dá suporte à tomada de decisões.
A Governança de TI é a responsável por garantir que os processos de TI estejam alinhados com a
estratégia do negócio e agreguem valor para organização. Normalmente são utilizados métodos
que consistem em um conjunto de práticas, ações, políticas, regras e procedimentos que regem sob
ferramentas, recursos e soluções de TI.
Gerenciamento de Riscos de TI
Essa atividade tem relação com a identi�cação, análise e gerenciamento de riscos cibernéticos,
tendo total integração com a Gestão de Riscos Corporativos da empresa. Portanto, a transparência
para executivos e investidores é de suma importância e o seu gerenciamento torna-se
imprescindível para o negócio e consequentemente para a estratégia da empresa.
Os riscos de segurança cibernética concentram-se principalmente em possíveis violações à
con�dencialidade, integridade e disponibilidade dos dados armazenados, transmitidos ou
processados por sistemas de tecnologia da informação e comunicação. O processo de gestão de
riscos cibernéticos visa:
Minimizar a probabilidade de riscos cibernéticos causarem danos ou perdas a empresa e suas
partes interessadas.
Minimizar os danos ou perdas resultantes da materialização de um risco de segurança
cibernética.
Esse gerenciamento ocorre através de uma matriz de riscos de TI, onde seja possível mensurar os
riscos e acompanhá-los através de indicadores-chaves de risco (KRI).
Gerenciamento de riscos de terceiros
Uma parte importante do Gerenciamento de Riscos é avaliar se os fornecedores que prestam
serviço para empresa e que de alguma forma manipulam os dados pessoais de colaboradores e
clientes utilizam procedimentos que visam a privacidade dos dados através da proteção de dados.
Para isso, é importante que esteja em contrato que a empresa possa solicitar relatórios, que possa
auditá-la e que as repostas estejam dentro do prazo acordado.
BIA (Business Impact Analysis)
É extremamente importante que as empresas saibam que para ter uma boa estratégia de
disponibilidade é necessário que haja um investimento em um plano de continuidade de negócios e
que nesse plano seja possível informar o tempo de perda de dados e o último backup após um
incidente/crise, assim como o tempo para restabelecer todos os serviços até a sua retomada total a
partir do início do incidente.
Videoaula: Resumo da unidade
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Este conteúdo é um vídeo!
Para assistir este conteúdo é necessário que você acesse o AVA pelo computador
ou pelo aplicativo. Você pode baixar os vídeos direto no aplicativo para assistir
mesmo sem conexão à internet.
Olá, estudante!
Neste vídeo você relembrará os principais conceitos desta unidade, passando pela importância da
Governança de TI nas empresas, pela importância do Gerenciamento de Riscos de TI e sua relação
com a estratégia do negócio e como um BIA pode explicitar para uma empresa que sua estratégia
de continuidade de negócios pode estar em desacordo com a estratégia organizacional, mostrando
como esses conceitos permitem que você avalie, saiba identi�car e minimizar os riscos nos
processos de negócios.
Estudo de caso
Uma grande empresa de tecnologia costuma ofertar seus serviços em um mercado altamente
competitivo. Porém, dado o aumento das preocupações com invasões hackers e contaminação dos
sistemas de terceiros por malwares e similares, o mercado tem pressionado os players para que
demonstrem sua capacidade de lidarcom esse tipo de risco inerente ao negócio. Para continuar a
participar das concorrências como vem fazendo, é cada vez mais forte a necessidade de que essa
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
empresa demonstre aos potenciais clientes e órgãos reguladores que está ciente dos riscos,
monitora-os e tem planos de ação para atuar caso seja necessário.
Sendo assim, o presidente resolveu montar uma equipe de Gestão de Riscos para tratar do assunto.
Você, por ter demonstrado bons conhecimentos em Governança de TI e Segurança da Informação,
foi o escolhido para ser o Representante do Gerenciamento de Riscos de TI da empresa e poderá
opinar nas formas pelas quais a empresa buscará atender a pressão do mercado e dos órgãos
reguladores por transparência na forma como a organização lida com o risco cada vez mais forte
de invasão cibernética e contaminação dos sistemas por malwares e similares.
_____
Re�ita
Neste contexto, como você aplicaria as ferramentas de gerenciamento de risco ao cenário descrito
para atender as pressões do mercado e dos órgãos reguladores?
Videoaula: Resolução do estudo de caso
Este conteúdo é um vídeo!
Para assistir este conteúdo é necessário que você acesse o AVA pelo computador
ou pelo aplicativo. Você pode baixar os vídeos direto no aplicativo para assistir
mesmo sem conexão à internet.
Para este cenário, o objetivo está bem claro: para que a empresa possa participar da concorrência, é
necessário um trabalho de Gestão de Riscos de TI. Nesse contexto, uma forma de lidar com o
problema é produzindo uma matriz de riscos que tenha o risco “Infecção por malware através de um
ataque cibernético” como objetivo a ser gerenciado.
O conteúdo fornecido na Aula 9 poderá ser aplicado da mesma forma que foi no exemplo da aula,
mas desta vez com ações para a Gerência de Segurança da Informação e para a Gerência de
Infraestrutura. Portanto, serão duas linhas inteiras com o risco se repetindo. Uma linha voltada para
os processos de Infraestrutura e outra para os processos de Segurança da Informação, ambas com
seus devidos controles e planos de ação.
Para que não haja dúvida alguma nos requisitos da matriz, veja os itens que poderão fazer parte
dela:
O pro�ssional responsável pelos riscos de TI separa na matriz de riscos cada processo de TI
que irá fazer o trabalho de levantamento através da identi�cação dos riscos.
Procura entender o processo de trabalho através de entrevistas/reuniões com os responsáveis
por cada processo. Caso a empresa seja madura, é possível que tenha normativos informando
como funcionam os processos de trabalho. Isso não inviabiliza as entrevistas, apenas
enriquece o processo.
Após as entrevistas, inserimos na matriz de riscos de TI o risco identi�cado e as seguintes
informações pertinentes para iniciar uma boa estratégia de gerenciamento:
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Processo: descrever o processo em que o risco foi identi�cado.
Responsável: gestor da área responsável pelo risco.
Descrição do risco: descrever qual o risco identi�cado.
Descrição do cenário: descrever a situação atual que ocorre o risco.
Descrição do gap: descrever a vulnerabilidade que está ocorrendo.
Impacto: descrever o impacto.
Probabilidade: descrever a probabilidade de ocorrer.
Nível do risco: é o resultado do Impacto versus
Avaliação do controle: se o controle é inexistente, e�caz, ine�caz ou e�caz com melhorias.
Descrição do plano de ação: descrever com detalhes um plano de acordo com a estratégia
escolhida para o risco identi�cado (mitigar, eliminar, transferir ou aceitar).
Responsável pelo plano: quem irá acompanhar o plano de ação.
Prazo: prazo para �nalização do plano de ação.
Risco residual: é o resultado do nível do risco após o(s) plano(s) de ação.
Por �m, caso a avaliação de controle seja inexistente, ine�caz ou e�caz com melhorias, há
necessidade de plano de ação, caso contrário não há necessidade. Nos casos de existência de
controle, deve-se sempre informar o controle utilizado e após a implementação dos planos de ação
esses controles devem ser atualizados juntamente com o risco residual.
Resumo visual
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Figura 1 | GRC: Governança, Risco e Compliance (Conformidade) de TI. - Fonte: elaborada pelo autor.
Referências
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
FERNANDES, A. A.; DE ABREU, V. F. Implantando a Governança de TI: da estratégia à gestão de
processos e serviços. 4. ed. Rio de Janeiro: BestSeller, 2014.
,
Unidade 4
Indicadores e métricas de desempenho
Aula 1
Indicadores e métricas de TI
Introdução da aula
Caro estudante, nesta aula vamos abordar o uso de algumas ferramentas e a elaboração de
métricas e indicadores de desempenho que visem avaliar se a estratégia de Governança de TI está
apropriada ao contexto do negócio em que a organização está inserida. Esse acompanhamento
permite que gestores possam tomar decisões identi�cando os pontos fortes e fracos de
determinados processos, aplicando melhorias e otimizando o uso de recursos estratégicos.
Aprender como criar relatórios de desempenho é importante para todo pro�ssional que quer se
comunicar com outras áreas e com a alta gestão, além de proporcionar uma melhor compreensão
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
sobre a e�ciência da Governança de TI, alinhada com os objetivos da organização.
Os estudos desta aula irão lhe ajudar a compreender o que a gestão espera de você como
pro�ssional e como gestor, como direcionar sua equipe e extrair todo o seu potencial, por isso se
dedique, bons estudos! 
Indicadores, métricas e ferramentas
Métricas de Governança de TI
Métricas são medidas quanti�cáveis que podemos colher do resultado de processos, estratégias e
ações. Geralmente são números brutos que acompanhamos a �m de obter dados sobre alguma
atividade realizada. 
Dentro do conceito de Governança de TI, buscamos analisar métricas de agregação de valor e de
desempenho dentro do resultado esperado para a área de Tecnologia da Informação dentro da
organização. Por isso, é importante determinar quais métricas serão monitoradas de acordo com os
objetivos dentro da estratégia de negócio em que estamos inseridos e quais ferramentas serão
necessárias para fazer essas medições.
Indicadores de Governança de TI
Diferente das métricas, os indicadores, também conhecidos como KPIs (Key Performance
Indicator), são medidas mais amplas, muitas vezes, representadas por percentuais, que precisam de
períodos predeterminados para aferição e medição (diariamente, semanalmente, mensalmente).
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
As empresas procuram monitorar seus indicadores de performance de forma periódica,
principalmente para comparar o resultado do que foi planejado com o que foi realizado e assim
alinhar as expectativas da Governança de TI dentro da organização.
Um modelo usado para determinar indicadores de desempenho é o BSC (Balanced Scorecard), pois
ele engloba quatro perspectivas diferentes de gestão de estratégia, fugindo um pouco do paradigma
de que apenas indicadores �nanceiros e contábeis precisam de atenção.
Ferramentas de análise de métricas de desempenho
Existem diversas ferramentas que podem auxiliar na gestão e governança de TI, dentre elas estão
ferramentas de monitoramento, inventário, gestão de projetos, gestão de serviços e gestão de
riscos.
Monitoramento: tem seu foco em apresentar de forma clara a disponibilidade e o desempenho
de alguns serviços, permitindo que os pro�ssionais possam identi�car em tempo real falhas
em sistemas e na rede de computadores.
Inventário: ferramenta que auxilia na gestão de ativos de TI, licenças de softwares e
atualizações de sistema. Consiste em coletar de forma automática e periódica informações
que servem como base na tomada de decisões para muitos gestores.
Gestão de projetos: como a área de TI possui frentes de atuação no desenvolvimento de
software, serviços e infraestrutura, faz-se necessário o uso de ferramentas de gestão de
projetos para gerar indicadoresde desempenho que dão visibilidade sobre essas atividades,
mantendo o engajamento dos envolvidos.
Gestão de serviços: com um protagonismo cada vez maior da tecnologia dentro do ambiente
empresarial, houve a necessidade de criar equipes focadas em manter todo esse aparato
tecnológico em pleno funcionamento. A ferramenta de gestão de serviço atua na orquestração
dessa operação e gera relatórios de desempenho e qualidade do serviço prestado.
Hoje, temos ferramentas que entregam dois ou mais recursos desses citados de forma integrada,
possibilitando a geração de indicadores muito mais amplos em seus relatórios. Quanto mais
so�sticado o sistema, maior o investimento �nanceiro e de tempo para implantação, por isso é
importante o papel da Governança de TI na identi�cação do que é necessário para ter o retorno
esperado pela companhia, sem desperdiçar recursos e fazer do papel a área de tecnologia da
informação uma fonte de sustentação e não um empecilho no trabalho das outras áreas.  
BSC para tecnologia da informação
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Agora que entendemos o que são métricas, indicadores e quais tipos de ferramentas de
desempenho buscamos utilizar dentro da gestão e governança de TI, vamos nos aprofundar um
pouco mais no assunto.
BSC (Balanced Scorecard)
O BSC, que pode ser traduzido para o português como “indicadores equilibrados”, é um modelo de
avaliação de desempenho desenvolvido em meados de 1997 pelos doutores em administração de
empresas por Havard, Kaplan e Norton. Como já mencionamos anteriormente, esse modelo
substituiu modelos tradicionais que só avaliam indicadores �nanceiros, trazendo uma abordagem
mais ampla a partir de quatro perspectivas, que são:
Perspectiva de �nanças: apesar de o modelo buscar trazer outras visões, essa continua sendo
a mais importante delas, pois são indicadores que buscam demonstrar se o planejamento
estratégico da empresa está contribuindo na melhoria dos resultados �nanceiros. Alguns
exemplos de métricas são Retorno de Investimento, Ticket Médio, Custo de Aquisição de
Clientes.
Perspectiva do cliente: aqui o foco está no relacionamento com o cliente e participação no
mercado, então é importante entender bem qual é o negócio em que a empresa está inserida e
o per�l dos clientes, buscando métricas que melhorem a qualidade do produto ou serviço
prestado e novos consumidores. Os indicadores principais são retenção de clientes, aquisição
de clientes e lucratividade de cada cliente.
Perspectiva de processos internos: é importante identi�car quais processos internos têm
maior impacto nos seus negócios e estabelecer indicadores de desempenho para essas
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
atividades que possam sempre nos aproximar da excelência e consequentemente melhores
resultados. Alguns indicadores podem medir o nível de qualidade como produtividade,
agilidade no atendimento e inovação.
Perspectiva do aprendizado e do crescimento: o capital humano é o principal combustível de
uma organização. É essencial ter indicadores para acompanhar de perto o clima
organizacional e a capacitação dos colaboradores, pois isso re�etirá de forma signi�cativa no
resultado �nal do que foi planejado.
BSC aplicado em TI
Assim como o mundo empresarial evoluiu deixando de avaliar apenas aspectos �nanceiros dentro
da sua estratégia de negócios, a tecnologia da informação como área de grande importância
também precisou se adaptar utilizando as perspectivas do BSC como um guia para elaborar
indicadores que pudessem mensurar o impacto da TI dentro da organização.
Além disso, é um modelo que pode ser aplicado durante o planejamento do papel da área de
tecnologia da informação dentro da empresa, com a visão de que o �nanceiro é saber em quais
tecnologias irão contribuir para o bom resultado da empresa, de que o cliente que pode ser interno
(usuário) e externo está tendo suas necessidades atendidas, de apoiar na melhoria dos processos
internos, contribuindo com soluções tecnológicas e no aprendizado e crescimento acrescentando a
capacitação dos usuários no uso das tecnologias de forma que elas não sejam um obstáculo, mas
sim uma ferramenta de apoio no dia a dia de trabalho. 
Elaboração de KPIs
Indicadores de performance
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Recapitulando, KPIs (Key Performance Indicators) signi�ca, em português, Indicador-chave de
Performance. É papel da Governança de Tecnologia da Informação relacionar os indicadores de
desempenho da empresa com as estratégias de TI. Sabemos que as métricas se resumem na
quanti�cação do resultado de algum processo e que os indicadores são produtos da correlação
dessas métricas. Dessa forma, podemos fazer algumas perguntas para auxiliar na escolha desses
KPIs relevantes para Governança de TI:
Quanto do orçamento investido em projetos de TI geram de retorno? O retorno sobre
investimentos é essencial para mensurar qual o futuro dos projetos, a �m de evitar
desperdícios e realocar melhor os recursos.
Qual o grau de satisfação dos meus clientes internos ou externos? Pesquisas de satisfação
podem auxiliar na coleta de métricas para esse indicador e servem para nos mostrar em quais
pontos da operação devemos realizar melhorias e quais devem ser mantidos como estão.
Qual a qualidade do serviço prestado e dos técnicos e analistas envolvidos? É importante
mensurar a performance da equipe, a �m de entender a necessidade de treinamento e
capacitação de cada um, pois isso in�uencia diretamente na qualidade da entrega.
Qual a quantidade de projetos entregues e seus resultados? Devido ao emprego cada vez
maior de tecnologia nas mais diversas áreas de uma organização, é comum que a TI esteja
envolvida numa grande quantidade de projetos. Como os recursos são limitados, é essencial
que existam formas de mensurar a efetividade desses projetos, podendo escolher quais
devem ser priorizados.
Qual o nível de conformidade dos processos com as normas e regras da empresa? Identi�car
pontos de não conformidade e acompanhar a evolução desse indicador não só é importante
no bom desempenho da área nas auditórias como na garantia de excelência, qualidade e
segurança da informação.
Existem várias maneiras de coletar métricas e apresentar indicadores. Alguns tipos de ferramentas
já apresentadas anteriormente são projetadas com base em frameworks de TI, como COBIT 5, ITIL
4, ISO 27001 e SCRUM. Essas ferramentas além de facilitar na organização dos processos, geram
relatórios muito completos e con�áveis quando bem implantadas. Não é necessário sistemas
so�sticados para montamos os KPIs, essa necessidade surge de acordo com o volume de
informações com as quais precisamos trabalhar. Uma simples planilha contendo métricas
coletadas, o período que queremos analisar e as metas que queremos alcançar são su�cientes para
criarmos grá�cos e outras formas de representação desses indicadores. Outras dicas na
elaboração de um relatório são:
Converter as medias em porcentagens.
Estabelecer faixas, mínimas, médias e máximas.
Fazer o uso de cores para diferenciar essas faixas.
Dar destaque para indicadores de maior importância.
Como vimos até aqui, criar métricas e indicadores de desempenho pode ser uma tarefa bastante
complexa, mas pode gerar excelentes resultados na gestão e governança de tecnologia da
informação. Por isso, continue aprofundando seu conhecimento no assunto. Bons estudos!
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Videoaula: Indicadores e métricas de TI
Este conteúdo é um vídeo!
Para assistir este conteúdo é necessário que você acesse o AVA pelo computador
ou pelo aplicativo. Você pode baixar os vídeos direto no aplicativo para assistir
mesmo sem conexão à internet.
Olá, estudante! Você verá neste vídeo formas de apresentar relatórios com métricas e indicadores
de desempenho, algumas ferramentas que podem ser utilizadas usando os conceitos até aqui
apresentados. O objetivo é que ao �m do vídeo você seja capaz de identi�car e utilizar esse material
e se destacar na sua vida pro�ssional.Saiba mais
O GLPI é uma poderosa ferramenta ITSM de código aberto baseada nos conceitos do framework
ITIL para gerenciamento de serviços. O software é gratuito e pode ser testado no próprio site o�cial.
Referências
https://glpi-project.org/pt-br/
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
KAPLAN, R. S.; NORTON, D. P. A estratégia em ação: balanced scorecard. Rio de Janeiro: Campus,
1997.
 SILVA, S. G. da. Governança de tecnologias da informação. Londrina: Editora e Distribuidora
Educacional S.A., 2017.
Aula 2
Desempenho, capacidade e maturidade em TI
Introdução da aula
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Olá, estudante!
Concorda que, se você não conhece algo direito é muito difícil conseguir ter ideias e opiniões sobre
aquilo?
Então, isso não é diferente dentro da gestão de projetos. A tecnologia da informação, além de ter
seus próprios projetos dentro da organização, também tem participação relevante nos projetos de
outras áreas. Se você não conhece a fundo seus projetos e de outros no qual está envolvido,
di�cilmente conseguirá encontrar maneiras de contribuir no resultado e aperfeiçoamento de
processos.
Nesse sentido, a análise de maturidade em projetos é uma ótima opção para compreender melhor a
realidade da organização e agregar valor no resultado �nal. Quer entender melhor sobre esse
assunto? Então continue lendo os próximos capítulos.
Maturidade de projeto em TI
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
O que é maturidade de projeto?
Maturidade em gestão de projetos pode ser entendida como a capacidade que uma organização
possui para conduzir seus processos e suas atividades de maneira produtiva, organizada,
padronizada e com o mais baixo custo operacional possível.
A maturidade da organização também tem relação com a forma com que ela lida com os desa�os
de origem interna e externa, além das ações que são escolhidas pelas empresas para atingir seus
objetivos e suas metas.
Essa maturidade é adquirida com as informações que a empresa reuniu ao longo de várias
experiências em diversos projetos. Por isso é importante que essa experiência seja traduzida em
informação para o desenvolvimento de documentações, que serão reutilizadas em novas situações.
O que é modelo de maturidade?
Modelo de maturidade em gerenciamento de projetos são ferramentas que medem o nível de
competência de uma organização para exercer as suas atividades com o menor número de falhas
possível e evitando desperdícios de mão de obra, investimento e tempo. São instrumentos de
medição de nível de desempenho que deduzem o potencial de um negócio, que é algo subjetivo, em
números. Isso signi�ca que esses modelos permitem a identi�cação do nível de maturidade de
projetos, possibilitando que gestores possam de�nir o melhor plano de ação e tenham sucesso nos
resultados alcançados.
São muitas as maneiras de fazer a análise de maturidade e muitos os modelos que podem ser
utilizados. Apesar da diferença que existem entre eles, a maioria se baseia na ideia de avaliar a
competência organizacional na realização de atividades-chaves do projeto, dentre elas estão:
Escopo.
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Custos.
Prazos.
Integração.
Qualidade.
Recursos humanos.
Riscos.
Comunicação entre as partes de interesse.
 Nível de desempenho em maturidade de projeto
A análise de maturidade em projetos demonstra o potencial da organização e das equipes de
gerenciar seus projetos. Essa maturidade pode ser classi�cada em níveis gerenciais, isso varia de
modelo para modelo e diagnóstico realizado, mas geralmente eles são equivalentes e são
considerados apenas cinco níveis de maturidade.
Nível 1: é o nível mais básico no qual a empresa não possui formas ou estruturas de gestão de
projetos e acaba não reconhecendo sua existência e apenas operacionalizando processos.
Nível 2: no segundo nível, a organização tem o entendimento do que é a gestão de projetos e
conhece a sua necessidade, porém não consegue implantá-lo de forma e�ciente. Existe o
entendimento de conceitos básicos e sua importância. Mas nenhuma metodologia é aplicada
para fazer a gestão dos projetos, faltando controle e padronização dos processos entre as
áreas.
Nível 3: já neste nível, existe uma gestão estruturada de projetos, há uma metodologia
implantada e os processos ocorrem sistematicamente em todas as áreas organizacionais.
Mas os processos possuem muitos problemas e acabam gerando falhas, atrasos e riscos
negativos.
Nível 4: aqui, a organização está a todo momento revendo os processos e realizando
melhorias. Porém, o destaque está no monitoramento de indicadores, que possibilita que a
gestão realize ações direcionadas para a melhoria desses resultados. Com base nesses KPIs
estratégicos, a gestão de projetos se torna muitos mais e�ciente e os processos �uem
facilmente.
Nível 5: este é o último nível, quando a empresa atinge esse nível, ela se torna referência na
gestão de projetos, com a implementação de melhoria continuada, baseada em subsídios
obtidos a partir de experiências anteriores.
Modelos de maturidade e sua importância
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Por que implantar modelos de maturidade?
Durante a execução de um projeto, é natural encontrarmos alguns obstáculos. O cumprimento das
tarefas depende de diversos fatores: estrutura, equipe, organização, controle de atividade, etc. É aí
que entra a importância do uso de modelos de maturidade, por isso agora vamos conhecer alguns
desse sistemas.
OPM3
O OPM3 (Organizational Project Management Maturity Model) é uma modelo do PMI (Project
Management Institute) para a avaliação da maturidade organizacional de gestão de projetos. É uma
ferramenta que auxilia as empresas a desenvolverem o plano que devem adotar para aprimorar o
seu desempenho.
O OPM3 é uma ferramenta que foi desenvolvida para ser de uso geral, podendo ser aplicado em
qualquer tipo de negócio, está alinhado ao PMBOK e possui um grupo de ferramentas de software
que permite o diagnóstico e a criação de melhorias. Desde seu lançamento em 2003, o OPM3 tem
sido usado por diversas organizações. Dentre os benefícios do modelo podemos listar:
Fortalecer a ligação entre planejamento e execução.
Aumento da produtividade.
Práticas, veri�cações e processos de melhor qualidade e atualizados.
Identi�car aspectos que geram as melhores práticas e sua relação com a capacidade
organizacional.
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
CMM para CMMI
O CMMI (Capability Maturity Model Integration) foi criado a partir do modelo CMM (Capability
Maturity Model) pelo instituto SEI (Software Engineering Institute). Refere-se a um sistema de
maturidade para mensurar a situação do nível de gestão em projetos em organizações que
desenvolvem softwares.
O Modelo de Maturidade da Capacitação (CMM) é dividido em vários modelos, incluindo um CMM
para software. A perspectiva central do modelo é de que o aperfeiçoamento de um processo, sua
maturidade, tem impacto direto sobre a melhoria do produto.
Com o objetivo de integrar o modelo com novas ferramentas que surgiram em sequência, o SEI
criou o conceito para CMMI, ou seja, Modelo de Maturidade da Capacitação Integrado.
A versão inicial do CCMI tinha por objetivo melhorar os processos, produtos e diminuir problemas
gerados pela utilização de diversos modelos diferentes.
A versão 1.2 do CMMI abrangia até 25 áreas de processos, seus objetivos e suas práticas. Essas
áreas são distribuídas em quatro grupos:
Engenharia.
Apoio.
Gerenciamento de processos.
Gerenciamento de projetos.
Nessa versão do CMMI, foi utilizado o conceito de constelação para representar um conjunto de
áreas ou componentes relacionados.
CMMI-Dev, voltado para o desenvolvimento de produtos e serviços.
CMMI-Acq, voltado para processos de aquisição e terceirização de bens e serviços.
CMMI-Svc, voltado para empresas prestadoras de serviços.
Em relação à maturidade, o CMMI 1.2 apresenta duas formas de melhoria: incremental dos
processos por área ou de forma individual, ou um conjuntode processos que tenham relação.
As duas estão relacionadas a dois tipos diferentes de representação: a contínua (nível de
capacidade) e a de estágios (nível de maturidade). Para elevar seu nível, a empresa precisa
compreender os requisitos estabelecidos através de metas de cada área ou do conjunto de
processos.
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Figura 1 | Fluxo da representação contínua. - Fonte: SEI (2006, p. 32).
Figura 2 | Fluxo da representação por estágios. - Fonte: SEI (2006 p. 32).
Observando as duas imagens, elas parecem ser exatamente iguais, mas a diferença está nos
pontos de foco de cada representação dentro da estrutura. Para determinar os níveis em cada um
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
dos casos, as representações foram distribuídas em seis níveis para capacidade e cinco níveis para
maturidade.
Figura 3 | Tabela de níveis de capacidade e maturidade. - Fonte: SEI (2006 p. 33).
Elevando o nível de maturidade de projetos
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Níveis de maturidade
Para compreendermos como avaliar e elevar o nível de maturidade de projetos de uma organização,
baseado nos conceitos desenvolvidos pelo modelo CMMI, primeiro é preciso entender qual o
contexto de cada nível:
Nível 1 (inicial): no nível de maturidade 1 chamado de Inicial, o resultado dos processos
realizados é aleatório e reativo. Portanto, neste nível, apesar de haver entregas, muitas vezes
elas estão atrasadas ou ultrapassam o orçamento que foi estipulado.
Nível 2 (gerenciado): no nível de maturidade 2, chamado de Gerenciado, as tarefas são
gerenciadas a nível de projeto. Signi�ca que os projetos são planejados, realizados, medidos e
controlados.
Nível 3 (de�nido): no nível de maturidade 3 chamado de De�nido, os processos são
padronizados para toda a organização dando orientação, entre os projetos, portifólios e
programas.
Nível 4 (gerenciado quantitativamente): no nível de maturidade 4 chamado de Gerenciado
Quantitativamente, já é possível observar aquilo que chamamos de alta maturidade. Nesse
ponto, as organizações usam de análise quantitativa e estatística para determinar, identi�car e
gerenciar a tendência e dispersão central, sendo possível compreender a estabilidade e a
aptidão de processos e como esses impactam nas metas de qualidade e desempenho.
Nível 5 (otimizado): o nível de maturidade 5 chamado de Otimização, é de alta maturidade.
Portanto, as organizações que atingem esse nível focam em melhoria contínua para tornar
processos mais �exíveis, capazes de se adequar às oportunidades e mudanças.
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
A implantação do CMMI é recomenda para grandes empresas desenvolvedoras de softwares, pois é
necessário que a empresa tenha pessoas disponíveis para gerir os processos e de áreas como
qualidade e engenharia de software, uma encarregada de avaliar e garantir a qualidade do produto
desenvolvido e a outra de melhorar e de�nir processos, respectivamente.
Essas exigências para implementação se dão por conta da origem do modelo, criado a pedido do
Departamento de Defesa dos EUA, que exigia de seus fornecedores uma alta qualidade do produto
entregue. A adoção do CMMI por uma empresa de software é um desa�o para os envolvidos, pois
se trata da contínua mudança de cultura e quebra de paradigmas, para cada nível que a organização
busca alcançar.
Áreas de Processos
Cada nível comporta um grupo de Áreas de Processos (PA, Process Area), que são práticas
relacionadas em uma área que, quando executadas de forma coletiva, satisfazem um conjunto de
metas consideradas importantes para realizar uma melhoria nessa área.
Metas Especi�cas
Essas metas são características que descrevem o que deve ser implementado para satisfazer uma
PA. São utilizadas avaliações para veri�car se a PA está sendo satisfeita.
Práticas Especi�cas
Atividades que são consideradas importantes na satisfação de uma meta especi�ca associada.
Metas e Práticas Genéricas
As metas genéricas são metas que surgem em uma PA, já as práticas genéricas oferecem uma
institucionalização que assegura que processos associados com a PA serão e�cientes, repetíveis e
duráveis.
Subepáticas
São descrições detalhadas que fornecem um direcionamento para a interoperação de práticas
especí�cas ou genéricas.
Produtos de Trabalhos Típicos
São exemplos de saídas de uma prática especí�ca ou genérica.
Uma organização que quer elevar o seu nível de maturidade de projeto, precisa veri�car quais PAs
do modelo precisam satisfazer para que seja alcançado o próximo nível e determinar equipes e
responsáveis que irão gerir esses processos buscando atingir as metas que são requisitos de
satisfação das PAs.
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Figura 4 | Áreas de Processo CMMI v2.0. - Fonte: elaborada pelo autor.
Videoaula: Desempenho, capacidade e maturidade em TI
Este conteúdo é um vídeo!
Para assistir este conteúdo é necessário que você acesse o AVA pelo computador
ou pelo aplicativo. Você pode baixar os vídeos direto no aplicativo para assistir
mesmo sem conexão à internet.
Olá, estudante! Você verá neste vídeo alguns conceitos sobre maturidade de projetos, modelos de
maturidade e como deve ser o desenvolvimento de um modelo de maturidade de projetos baseado
no CMMI, que é referência para grandes empresas que trabalham com desenvolvimento de
softwares e desejam aprimorar seus processos buscando a excelência do produto �nal.
Saiba mais
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Segue o link de um ebook explicando mais detalhes sobre o modelo CMMI 1.2.
SEI - Software Engineering Institute. CMMI para Desenvolvimento – Versão 1.2. Carnegie Mellon
University, 2006.
Referências
https://wiki.tce.go.gov.br/lib/exe/fetch.php/acervo_digital:cmmi_dev_1_2.pdf
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
SEI - Software Engineering Institute. CMMI para Desenvolvimento – Versão 1.2. Carnegie Mellon
University, 2006. Disponível em:
https://wiki.tce.go.gov.br/lib/exe/fetch.php/acervo_digital:cmmi_dev_1_2.pdf. Acesso em: 5 jun.
2023.
SILVA, S. G. da. Governança de tecnologias da informação. Londrina: Editora e Distribuidora
Educacional S.A., 2017.
Aula 3
Ciclo de vida das métricas e modelos de maturidade de projetos em TI
Introdução da aula
https://wiki.tce.go.gov.br/lib/exe/fetch.php/acervo_digital:cmmi_dev_1_2.pdf
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Caro, estudante!
Assim como nós, seres humanos, temos etapas para nosso desenvolvimento durante a vida, os
projetos também possuem o seu próprio ciclo de vida.
Nesta aula, nós vamos rever temas que foram abordados em aulas anteriores, aqui eles se unem
com o objetivo de enriquecer o conteúdo, contribuindo com o processo do início até a conclusão de
um projeto em TI.
Entender o ciclo de vida de gestão de projetos é fundamental para o sucesso na execução de
qualquer projeto que você venha a liderar. Ao aprender sobre esse tema, você será capaz de
compreender a importância do planejamento, da execução, do monitoramento e controle e
encerramento do projeto.
Com essa compreensão, você estará preparado para lidar com as complexidades e os desa�os de
qualquer projeto, garantindo o sucesso em suas empreitadas. Não deixe de se dedicar a esse
importante conteúdo e adquirir mais conhecimento para alcançar seus objetivos.
Ciclo de vida de projeto
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Ciclo de vida de projeto
Segundo o PMBOK 6, o ciclo de vida do projeto é um conjunto de etapas nas quais um projeto deve
ser estruturado, do início até a conclusão. Dividir o projeto em algumas etapas é importante, pois
facilita o gerenciamento do projeto, permitindo uma melhor visualização do que precisa ser focado,
ou seja, onde o gerente de projetos deve se empenhar para garantir a entrega dos resultados
esperados por todas as partes envolvidas.
O ciclo de vida do projeto pode ser inspirado pelas características exclusivas da organização, do
setor, do método de desenvolvimento ou das tecnologiasutilizadas. Também, os nomes das fases,
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
o número de fases e o tempo de duração de cada uma são formatados de acordo com as
necessidades de gestão e de controle das partes envolvidas no projeto, pela sua área de aplicação e
pela sua própria natureza. O PMBOK dá o nome a essa adaptação de Tailoring.
Outro as aspecto que normalmente orienta o ciclo de vida de projeto é o tempo. Todo projeto
precisa ter um cronograma de trabalho, com previsões para conclusão de cada tarefa e os
responsáveis pela entrega, com um início, meio e �m. A documentação do ciclo de vida de projeto
deve ser feita com base em uma metodologia prede�nida, atendendo os requisitos de todos
envolvidos no projeto.
Métricas de desempenho em TI
As métricas de desempenho em TI são dados sobre cada processo que irão nos orientar para
veri�car se da forma com que eles estão sendo executados contribuirão para a realização dos
objetivos da organização, gerando indicadores que irão determinar se as atividades de TI foram
realizadas de forma adequada ou não. Os indicadores também permitem que os stakeholders
(partes interessadas) da organização tenham como acompanhar os resultados, demonstrando o
valor que a TI agrega ao negócio.
Os indicadores de TI podem ser formados com base numa adaptação do BSC, que segundo
Martinsons, Davison e Tse (1999) partem de cinco perspectivas: contribuição para o negócio da
empresa; e�ciência operacional; usuário; novas tecnologias e �nanceira.
 Ciclo de vida e métricas
As métricas e os indicadores podem nos orientar durante a execução das fases de um projeto e
dele como um todo. É através desses indicadores que podemos observar se o projeto está seguindo
o escopo estabelecido, veri�car o desempenho das partes envolvidas e o estado em que está cada
fase do ciclo de vida.
Para cada uma das etapas do projeto são estabelecidos prazos (cronograma), custos alocados
(recursos humanos, materiais, terceirização), expectativas do projeto (produto �nal, custos, retorno
do investimento) e, com base nessas informações, é possível elaborar diversas métricas que irão
contribuir para a gestão do desempenho do projeto. Usando essas métricas podemos desenvolver
os indicadores que irão nos orientar e dar uma perspectiva sobre o desempenho do projeto.
Note que a relação entre métricas e ciclo de vida de projetos é bastante estreita. Podemos dizer que
ao surgirem as fases do projeto e a determinação de suas saídas, também irão surgir métricas
daquelas etapas.
Fases do ciclo de vida
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Fases do ciclo de vida de projetos
As fases do ciclo de vida de projetos são um conjunto de atividades que possibilita a conclusão de
uma ou mais entregas. Essas fases podem ser sequenciais ou sobrepostas. Podemos dividir o ciclo
de vida do projeto de forma genérica.
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Figura 1 | Ciclo de vida de projeto. - Fonte: PMI (2013, p. 38).
O ciclo de vida do projeto, geralmente, se caracteriza da seguinte forma:
Custos com pessoal (iniciam baixos, atingem seu ápice na execução e reduzem rapidamente
na conclusão do projeto, mas existem exceções).
Riscos do projeto (são maiores no início do projeto e vão diminuindo conforme o projeto
avança).
Alterações no projeto (quanto mais cedo ocorrerem, mais impactam nos custos do projeto).
As vezes se caracterizam como:
Iniciação: todo projeto precisa ter um ponto inicial, nesta fase nos referimos aos processos
que dão o ponta pé inicial do projeto. É nesse momento que as partes interessadas
reconhecem formalmente a existência de um projeto e componentes que serão utilizados
durante sua execução. Alguns parâmetros básicos são analisados, como: a viabilidade do
projeto, os custos e recursos envolvidos, quais áreas serão requisitas e o estabelecimento de
um cronograma com uma previsão para conclusão.
Planejamento (organização e preparação): nesta fase, as entregas e os objetivos são
claramente de�nidos e documentados junto com os requisitos. Também, o trabalho é dividido
em tarefas menores, são formadas as equipes que irão garantir o funcionamento adequado de
todo o ciclo de vida do projeto, procurando atender o cronograma previsto. Nesta fase
também é elaborado o Plano de Projeto que consiste em um conjunto de documentos que irão
auxiliar na execução do projeto. Esse plano garante que todos os envolvidos tenham uma boa
visibilidade, ao mesmo tempo que serve como base para a elaboração de estratégias de
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
gerenciamento de riscos e planos de contingência, além de outras medidas que darão
robustez ao projeto.
Execução: esta etapa é a mais importante do ciclo de vida de um projeto. Depois que são
elaborados todos os planos do projeto e seu cronograma, a fase de execução é onde as
atividades previstas acontecem. Nesta fase, o gerente de projetos deve coordenar os times e
outros recursos necessários para realização dos planos de projeto. O principal objetivo é que
todas as entregas sejam feitas dentro do cronograma e com qualidade. Para isso é necessário
o monitoramento de controle através de métricas que irão indicar se o que foi planejado está
sendo executado. Reuniões de acompanhamento são realizadas a �m de corrigir problemas
que surgem pelo caminho e alinhar as expectativas. Planos de contingência são elaborados
nessa etapa a �m de contornar imprevistos que impactem o resultado.
Encerramento: na fase de encerramento ocorre a formalização da aceitação do projeto. O
projeto é revisado e dois pontos principais são avaliados. Se o projeto ocorreu dentro do prazo
e dentro dos custos estipulados, se as entregas foram todas concluídas e com qualidade.
Após essa análise, se tudo ocorreu corretamente o projeto é arquivado.
Os projetos são divididos em fases e não existe uma regra padrão de quantidade. As fases de um
projeto representam um conjunto de atividades que estão relacionadas e determinam uma ou mais
entregas. Elas podem focar processos especí�cos da gestão do projeto, mas provavelmente os
processos terão sua execução em cada uma de suas respectivas fases. Normalmente, elas ocorrem
de forma sequencial, porém em alguns casos podem se sobrepor.
Ciclo de vida e gestão de projetos
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Importância do ciclo de vida de projetos
A implementação do modelo de ciclo de vida no gerenciamento de projetos tem como objetivo
aprimorar a e�ciência, a e�cácia e a qualidade dos processos durante a realização dos projetos.
Com isso, oferecendo uma visão mais ampla sobre os trabalhos, sua execução, seu monitoramento
e seu controle.
Destacam-se entre as vantagens de se implementar o ciclo de vida de projetos:
Padronização dos processos de gerenciamento de projetos: o modelo de ciclo de vida de
projetos de�ne um conjunto de processos e práticas que devem ser seguidos ao longo do
ciclo de vida do projeto, o que ajuda a padronizar os processos de gerenciamento de projetos
na organização.
Melhoria da comunicação e colaboração: o modelo de ciclo de vida de projetos promove a
comunicação e a colaboração entre as partes interessadas do projeto, o que ajuda a garantir
que todas as atividades sejam realizadas de forma coordenada e e�ciente.
Identi�cação e gerenciamento de riscos: o modelo de ciclo de vida de projetos ajuda a
identi�car e gerenciar os riscos do projeto, o que contribui para a redução de problemas e
atrasos ao longo do ciclo de vida do projeto.
Melhoria do controle e monitoramento: o modelo de ciclo de vida de projetos permite que a
equipe do projeto controle e monitore o progresso do projeto de forma mais e�caz, o que
ajuda a garantir que o projeto seja concluído dentro do prazo, do orçamento e da qualidade
esperados.
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Melhoria da qualidade: o modelo de ciclo de vida de projetos ajuda a garantir que o produto
�nal do projeto atenda aos requisitos e às expectativas do cliente, o que contribui para a
satisfação do clientee para a reputação da organização.
Cenários e futuro com a visão de maturidade de projeto
A partir de estudos realizados sobre maturidade de projeto, indicadores e métricas de desempenho,
as organizações passaram a vislumbrar suas possibilidades futuras. Com o desenvolvimento e a
adoção de frameworks que contribuem para o gerenciamento de projetos, aliados a métricas e
indicadores de desempenho, foi visto a possibilidade de elevar o nível de gerenciamento, permitindo
que gestores possam criar processos mais adequados.
Para medir o nível de maturidade de um projeto, é necessário avaliar se as práticas recomendadas
pelo modelo estão sendo aplicadas corretamente na organização e nos projetos. Isso pode ser feito
por meio de auditorias internas, análises de documentos e relatórios de projetos, entrevistas com as
partes interessadas e outras técnicas de avaliação. Com base nessa avaliação, é possível
determinar o nível de maturidade atual da organização e de�nir um plano de ação para melhorar a
gestão de projetos e alcançar níveis mais altos de maturidade.
É importante ressaltar que a aplicação do modelo de ciclo de vida de maturidade de projetos requer
um comprometimento por parte da organização em relação à adoção de práticas recomendadas e à
melhoria contínua do processo de gerenciamento de projetos. Para isso, é fundamental contar com
o envolvimento da alta direção, a capacitação da equipe e a adoção de ferramentas e tecnologias
adequadas para o gerenciamento de projetos.
Videoaula: Ciclo de vida das métricas e modelos de maturidade de projetos em
TI
Este conteúdo é um vídeo!
Para assistir este conteúdo é necessário que você acesse o AVA pelo computador
ou pelo aplicativo. Você pode baixar os vídeos direto no aplicativo para assistir
mesmo sem conexão à internet.
Olá, estudante!
Nesta aula vamos abordar a utilização do modelo de ciclo de vida para gerenciamento de projetos,
entender melhor os objetivos de cada fase, a utilização de indicadores e métricas de desempenho
durante o desenvolvimento de um projeto e o que se espera como resultado para a organização. 
Saiba mais
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Recomendo a leitura do livro Gestão de Projetos de Software, disponível na biblioteca virtual.
Referências
http://biblioteca-virtual.com/detalhes/ebook/6087054354aa8872fb666adc
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Martinsons, M., Davison, R., & Tse, D. (1999). Balancing act: How to capture knowledge without
killing it. Harvard Business Review, 77(2), 111-121.
PMI - PROJECT MANAGEMENT INSTITUTE. Um guia do conhecimento em gerenciamento de
projetos (Guia PMBOK). 5. ed. São Paulo: Saraiva, 2013. p. 38.
SILVA, S. G. da. Governança de tecnologias da informação. Londrina: Editora e Distribuidora
Educacional S.A., 2017.
Aula 4
Vantagens competitivas
Introdução da aula
Caro, estudante!
Você sabia que as empresas precisam estar constantemente em busca de vantagens competitivas
para se destacar em um mercado cada vez mais disputado?
Nesse sentido, é importante entender os conceitos e as características das vantagens competitivas,
bem como os diferentes tipos existentes, como custo, diferenciação e inovação. Além disso,
compreender a cadeia de valores é fundamental para identi�car oportunidades de melhoria nos
processos internos da empresa, aumentando a e�ciência e reduzindo custos. A cadeia de valor
também se relaciona com a tecnologia, já que a incorporação de tecnologias inovadoras em cada
etapa da cadeia pode trazer vantagens competitivas signi�cativas.
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
É importante que estudantes e pro�ssionais de governança de tecnologia da informação se
aprofundem nesses conceitos para entender como podem aplicá-los em suas organizações ou
empreendimentos.
Estudar esse tema pode abrir novas perspectivas e possibilidades de crescimento e
desenvolvimento pro�ssional, então aproveite o conteúdo e bons estudos! 
TI como vantagem competitiva
Vantagem competitiva
No mundo empresarial, ter vantagem competitiva signi�ca que a sua empresa ocupa um lugar
privilegiado em relação aos seus concorrentes em um mercado no qual ela consegue ser mais
lucrativa. Quando a companhia consegue conquistar a preferência dos consumidores, ela pode
então oferecer preços melhores que superem os custos de produção e ainda assim fornecer
produtos de qualidade, passando a ser objeto de desejo dos consumidores.
Nesse sentido, podemos considerar a base da vantagem competitiva os seguintes pontos:
Qualidade do produto reconhecida pelo mercado consumidor.
Preço de venda compatível com seu público-alvo.
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Nível de satisfação que estimula um consumo recorrente pelos clientes.
 Vantagem competitiva e Tecnologia da Informação
Ao longo das últimas quatro décadas, tem sido observado que as empresas têm passado por uma
transição da economia industrial para uma baseada em Tecnologia da Informação. Nesse contexto,
o sucesso das empresas não depende apenas dos bens tangíveis que possuem, mas sim de sua
capacidade de acessar facilmente novas tendências tecnológicas que permitam a organização de
processos de forma e�ciente, reduzindo custos e aumentando a lucratividade e aceitação dos
negócios.
A maioria dos gestores sabem que a tecnologia da informação tem tomado cada vez mais espaço
no mundo dos negócios e poucos têm contestado a sua importância. Porém, à medida que cada
vez mais tempo e capital de investimento são absorvidos em Tecnologia da Informação e seus
recursos, os executivos têm cada vez mais tomado consciência de que a tecnologia não é algo mais
restritos dos departamentos de sistemas de informação. Ao perceberem que seus rivais usam a TI
para obter vantagens competitivas, esses executivos compreendem a necessidade de incorporar a
TI dentro da sua gestão e estratégia.
Cadeia de valor
O conceito de cadeia de valor foi criado pelo economista Michael Porter em seu livro Vantagem
Competitiva: Criando e Sustentando um Desempenho Superior, publicado em 1985. Cadeia de valor
é uma ferramenta para gerenciar processos que descreve o conjunto de atividades que uma
empresa realiza para criar e entregar valor aos seus clientes. Ao investir nas ligações entre essas
atividades, é possível gerar uma vantagem competitiva para a organização, permitindo o
crescimento da empresa e consequentemente de seus lucros.
Ao fortalecer as ligações entre essas atividades, é possível criar uma vantagem competitiva para a
organização, a qual favorece o crescimento da empresa e consequentemente de seus lucros.
 Cadeia de valor e tecnologia
A tecnologia desempenha um papel fundamental na cadeia de valor das empresas, uma vez que
pode melhorar a e�ciência das atividades, reduzir custos e aumentar a qualidade dos produtos e
serviços oferecidos. A adoção de tecnologias digitais, como a automação de processos, a
inteligência arti�cial e a análise de dados, pode transformar a forma como as empresas operam e
entregam valor aos clientes.
A tecnologia também pode ser utilizada para otimizar as atividades de suporte da cadeia de valor,
como a gestão de estoques e de �nanças. A implementação de sistemas de gestão integrados (ERP,
na sigla em inglês) pode permitir uma melhor gestão dos recursos da empresa, desde a compra de
matérias-primas até o faturamento dos produtos ou serviços.
Em resumo, a tecnologia pode ser vista como uma ferramenta fundamental para a gestão e�ciente
da cadeia de valor das empresas, permitindo uma maior e�ciência, redução de custos e melhoria da
qualidade dos produtos e serviços oferecidos aos clientes.
O papel da TI na geração de valor
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Cadeia de valor como vantagem competitiva
A premissa principal que propunha Porter na concepção de Cadeia de Valor é que se o valor que a
empresa está oferecendo aos seus clientes superar o custo de produção, como resultado a
empresa teria um lucro maior. Ainda, segundo ele, as empresas podem ampliar suas margens de
lucro utilizandoa análise de cadeia de valor de duas formas diferentes:
Melhorando a e�ciência das atividades existentes: identi�cando oportunidades para a redução
de custos, melhorando a qualidade ou aumentando a produtividade das atividades existentes
na cadeia de valor. Isso pode ser feito, por exemplo, por meio da adoção de novas tecnologias,
da reorganização de processos ou da melhoria da gestão dos recursos.
Adição de novas atividades à cadeia de valor: buscando novas oportunidades de criação de
valor para os clientes, por exemplo, por meio da criação de novos produtos ou serviços
exclusivos, da personalização de produtos existentes ou melhorando a qualidade do
atendimento ao cliente. Dessa forma, permitindo um aumento no preço do que está sendo
oferecido.
 Composição da cadeia de valor
A cadeia de valor é composta por um conjunto de atividades que são essenciais para a criação do
produto que será entregue aos clientes. Essas atividades podem ser divididas em duas categorias
principais: atividades primárias e atividades de suporte.
As atividades primárias são aquelas relacionadas diretamente com a produção, venda e entrega do
produto e envolvem:
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Logística interna: recebimento, armazenagem e distribuição de matérias-primas.
Operações: transformação das matérias-primas em produtos acabados.
Logística externa: armazenagem e distribuição dos produtos acabados aos clientes.
Marketing e vendas: promoção e venda dos produtos.
Serviços: pós-venda e suporte aos clientes.
Já as atividades de suporte são aquelas que dão suporte às atividades primárias e envolvem:
Infraestrutura: suporte geral à empresa, incluindo �nanças, recursos humanos, tecnologia e
outros serviços administrativos.
Gestão de recursos humanos: recrutamento, treinamento e desenvolvimento de funcionários.
Desenvolvimento de tecnologia: pesquisa e desenvolvimento de novos produtos e processos.
Aquisição: compra de matérias-primas, equipamentos e outros insumos necessários à
produção.
A combinação e coordenação dessas atividades é essencial para a geração de valor ao cliente e
para a vantagem competitiva da empresa. A cadeia de valor é um conceito importante para a gestão
estratégica, pois ajuda a identi�car onde a empresa pode agregar valor e reduzir custos.
Por que implementar a cadeia de valor?
Identi�car adequadamente os elementos que compõem a cadeia de valor da sua organização, é um
importante passo para compreender como obter vantagem competitiva. O mapeamento das
atividades e suas conexões podem proporcionar um aumento na qualidade para o consumidor �nal
a um custo menor. Dessa forma, a empresa tem acesso a um elemento estratégico excelente, que
permite uma visão ampla do negócio, de seus concorrentes e do funcionamento do ambiente de
negócios no qual está inserido e como pode aperfeiçoá-lo.
A cadeia de valor é uma ferramenta adequada na atualidade, onde é fundamental se reinventar
sempre. Nesses momentos em que mudanças são necessárias, com uma análise apurada sobre
ela, é possível visualizar a rentabilidade de suas operações e também sobre ideias que serão novos
diferenciais.
Montando uma cadeia de valor
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Implementação da cadeia de valor
A cadeia de valor é uma ferramenta estratégica que pode ser utilizada para analisar e otimizar as
atividades de uma empresa. No contexto de uma organização de Tecnologia da Informação, a
cadeia de valor pode ajudar a identi�car oportunidades de melhoria e aprimoramento em todas as
etapas do processo, desde o desenvolvimento até a entrega de produtos e serviços.
É necessário realizar alguns passos para a implementação do modelo:
Identi�que as atividades primárias: inicie mapeando todas as atividades da empresa que
criam valor para o cliente. Isso inclui desde a concepção e o desenvolvimento de produtos até
a entrega, suporte e manutenção deles. Isso ajuda a entender a estrutura geral do seu negócio,
a �m de determinar quais dessas atividades geram valor real.
Divida as atividades em categorias: organize as atividades em categorias, como "suporte",
"marketing" e "desenvolvimento de software". Isso ajudará a identi�car as áreas que precisam
de mais atenção e recursos.
Analise as atividades de apoio: identi�que as áreas que apoiam as atividades primárias. Isso
pode incluir funções como recursos humanos, �nanças e tecnologia da informação, ou seja,
veri�car as subatividades dessa área que podem agregar valor para essas atividades.
Exemplo: como o setor de RH pode auxiliar o desenvolvimento de software.
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Avalie o desempenho de cada atividade: avalie o desempenho de cada atividade levando em
consideração os custos e a e�cácia. Isso ajudará a identi�car as atividades que precisam ser
aprimoradas. Crie e analise métricas e indicadores para cada atividade.
Identi�que conexões: identi�que conexões existentes entre cada atividade de valor, é
importante que essas conexões existam, pois demonstra o quão dinâmico e funcional é o
�uxo de trabalho entre elas, consequentemente podemos observar o potencial na obtenção de
vantagem competitiva.
Identi�que oportunidades de melhoria: com base nas informações coletadas, identi�que
oportunidades de melhoria em cada atividade. Isso pode incluir a adoção de novas
tecnologias, a melhoria de processos ou a otimização de recursos.
Implemente mudanças: implemente as mudanças necessárias para aprimorar a cadeia de
valor da sua organização. Certi�que-se de que todos os membros da equipe estejam cientes
das mudanças e sejam treinados adequadamente. Essa adoção de um sistema de gestão
pode ser uma ferramenta fundamental para a organização desse processo.
Monitore e avalie o desempenho: monitore e avalie o desempenho da sua organização
regularmente para garantir que as mudanças implementadas estejam produzindo resultados
positivos. É importante reconhecer pontos fortes e fracos para realizar melhorias e conquistar
resultados.
As empresas de Tecnologia da Informação podem utilizar a ferramenta de cadeia de valor para
obter vantagem competitiva em seus negócios e também utilizar a própria tecnologia como parte
essencial desse processo, com a capacidade que bons sistemas têm de aprimorar a organização e
gestão das atividades.
Sobre a cadeia de valor, é importante lembrar que a ferramenta é �exível e pode ser adaptada às
necessidades especí�cas da empresa. Lembre-se também de que a implementação bem-sucedida
da cadeia de valor requer comprometimento da alta administração, assim como a colaboração de
todos os membros da equipe.
Videoaula: Vantagens competitivas
Este conteúdo é um vídeo!
Para assistir este conteúdo é necessário que você acesse o AVA pelo computador
ou pelo aplicativo. Você pode baixar os vídeos direto no aplicativo para assistir
mesmo sem conexão à internet.
Olá, estudante! Nesta aula você irá aprender conceitos e aplicação de como mapear e organizar as
atividades que compõe a cadeia de valor dentro de uma organização e entender como ela pode ser
usada para a obtenção de vantagem competitiva em um mercado cada vez mais tecnológico e
desa�ador. Também irá entender como a tecnologia da informação é uma importante aliada nesse
processo.
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Saiba mais
Recomendo o livro Gerenciamento da cadeia de suprimentos.
Referências
http://biblioteca-virtual.com/detalhes/ebook/608704e754aa8872fc616eaa
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
CUNHA, P. C.; OLIVEIRA, G. B. de. Gestão estratégica da cadeia de suprimentos e a busca por
vantagem competitiva. São Paulo: Editora Atlas, 2012.
FERREIRA, F. J. P.; BAPTISTA, A. G. C. Cadeia de valor: a vantagem competitiva das empresas de
sucesso. São Paulo: Editora Atlas, 2010.
PORTER, M. E. Vantagem competitiva: criando e sustentando um desempenho superior. Rio de
Janeiro: Campus, 1989.
Aula 5
Revisão da unidade
Análise de desempenho de TI nas organizações
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Análisede desempenho de TI nas organizações
A Tecnologia da Informação tem papel importante no sucesso das empresas, pois ela desempenha
papel fundamental desde as áreas de produção até a gestão de recursos humanos e �nanceiros. Na
década de 1960, quando os primeiros computadores comerciais surgiram, eles eram grandes, caros
e pouco acessíveis para a maioria das empresas. Além disso, os programas e sistemas
operacionais disponíveis eram complexos e exigiam conhecimentos avançados de programação
para serem utilizados.
A intensi�cação da informatização das atividades dentro das empresas, nos últimos 40 anos, gerou
a necessidade da adoção de modelos de gestão e Governança de TI, mais adequados às
necessidades das organizações.
O primeiro modelo de maturidade de projetos foi o Modelo de Maturidade de Capacitação (CMM -
Capability Maturity Model). O CMM foi criado com o objetivo de fornecer uma estrutura para avaliar
a maturidade dos processos de desenvolvimento de software em organizações e, assim, identi�car
oportunidades de melhoria.
O modelo foi desenvolvido em resposta à preocupação crescente com a qualidade e con�abilidade
do software em um ambiente empresarial cada vez mais dependente da tecnologia da informação.
Por isso, é tão importante os estudados relacionados aos modelos de maturidade.
O gestor de tecnologia da informação que identi�ca um desempenho abaixo do esperado na
entrega de projetos, que não atende as necessidades estratégicas da organização, pode encontrar
nos modelos de maturidade e de ciclo de vida de projetos uma solução para esses problemas.
A Tecnologia da Informação não está presente apenas no desenvolvimento de projetos, mas
também na prestação de serviços dentro das empresas. O framework ITIL foi criado a �m de
melhorar a qualidade e e�ciência dos serviços de TI, fornecendo um conjunto de boas práticas no
gerenciamento desses serviços.
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Uma grande aliada dos gestores de TI, as métricas e indicadores de desempenho, ajuda a identi�car
os pontos fortes e fracos nos resultados atingidos pelas suas equipes, adequando a qualidade dos
projetos e serviços do setor, as metas e os plano estratégico da organização. Uma maneira de
elaborar indicadores de desempenho (KPI) adequados a esses objetivos estratégicos, é o uso da
ferramenta BSC (Balanced Scorecard), que dividem esses indicadores em quatro perspectivas
diferentes que podem ser adaptadas ao contexto da área de tecnologia da informação.
Outro papel importante da TI dentro das organizações é a visão do uso da tecnologia na obtenção
de vantagem competitiva. Como a informatização das atividades trouxe uma série de benefícios
para as empresas, houve a necessidade de determinar quais dessas atividades precisavam de um
foco maior de acordo com o potencial de agregar valor nos principais produtos e serviços
fornecidos pela organização.
O conceito de cadeia de valor foi desenvolvido de forma a organizar a identi�car todas essas
atividades e estabelecer conexões entre elas que resultassem num lucro maior para a empresa em
relação aos seus concorrentes e consequentemente em vantagem competitiva.
Um bom gestor de TI precisa não apenas conhecer todas essas ferramentas, mas entender a
necessidade de utilizá-las de acordo com o contexto em que a sua organização está inserida, pois a
implantação de ferramentas de gerenciamento e gestão exigem investimento �nanceiros, de força
de trabalho e tempo que não devem ser desperdiçados. 
Videoaula: Revisão da unidade
Este conteúdo é um vídeo!
Para assistir este conteúdo é necessário que você acesse o AVA pelo computador
ou pelo aplicativo. Você pode baixar os vídeos direto no aplicativo para assistir
mesmo sem conexão à internet.
Olá, estudante!
Neste vídeo vamos procurar sintetizar o conteúdo das aulas, até aqui apresentado, buscando
entender o contexto em que os conceitos desenvolvidos foram elaborados.
A tecnologia da informação como uma área relativamente nova no mundo empresarial tem passado
por constante adaptação. O objetivo desta aula é entender quando, por que e quais soluções utilizar
nos seus desa�os como pro�ssional da área de tecnologia da informação. Então não deixe de
assistir e aprofundar os seus estudos. Boa aula!
Estudo de caso
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Para contextualizar o conteúdo desenvolvido durante as aulas, imagine que você trabalha como
Gerente de Tecnologia da Informação em uma grande empresa varejista que atua com entregas em
todo território nacional. A loja on-line é o principal canal de vendas da empresa e representa uma
parte signi�cativa do faturamento total, chegando a 85% das vendas realizadas durante o ano pela
empresa.
Nos últimos três meses, a diretoria da empresa percebeu uma queda signi�cativa nas vendas
realizadas pela loja on-line e consequentemente impactando na meta de faturamento total de�nida
no planejamento estratégico da empresa para este ano. Todos os gerentes, incluindo você, foram
convocados para uma reunião para discutir as possíveis causas do problema na queda de vendas
realizadas através do site. Após um longo debate, foi constatado por meio de um relatório do
departamento de atendimento ao cliente um aumento no número de reclamações envolvendo o
desempenho do site, dentre eles:
Lentidão para carregar as páginas.
Di�culdades para �nalizar as compras.
Páginas com conteúdos incompletos.
Constantes períodos de indisponibilidade do site.
A comunicação desses problemas para a área de TI é feita através de um sistema de ITSM
(Gerenciamento de Serviços de Tecnologia da Informação) e algumas queixas foram feitas em
relação à comunicação através dessa ferramenta, como:
Demora na resposta dos tickets.
Alguns tickets parados sem solução.
Tickets fechados sem uma solução satisfatória.
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Apesar de as visitas aos sites continuarem mantendo o mesmo número de acessos de meses
anteriores, o número de clientes que abandonaram seus carrinhos de compras virtuais aumentou
drasticamente, levando à conclusão de que esses problemas antes mencionados poderiam ser o
principal fator do baixo desempenho nas vendas on-line.
Ao �nal da reunião, todos os gerentes receberam algumas tarefas a serem cumpridas. Você saiu
com a tarefa de identi�car as possíveis causas dos problemas relatados pelos clientes e aplicar as
medidas corretivas necessárias para que o desempenho do site melhore. Também, foi exigido pela
diretoria que você elaborasse métricas e indicadores que pudessem demonstrar periodicamente a
evolução do desempenho da sua equipe e do funcionamento do site, trazendo uma maior
visibilidade sobre os resultados das atividades que a área de Tecnologia da Informação está
envolvida, permitindo que futuros problemas possam ser identi�cados e corrigidos rapidamente,
sem maiores impactos para a organização.
Crie um relatório com métricas e indicadores de desempenho que você pesquisou, representando
esses indicadores em um grá�co que será apresentado em futuras reuniões.
_______
Re�ita
Olá, estudante!
É natural ocorrerem problemas no dia a dia do ambiente de Tecnologia da Informação. Isso ocorre
porque a TI é uma área que lida com sistemas, redes, bancos de dados, equipamentos, softwares,
entre outros elementos que podem apresentar falhas ou problemas de desempenho, principalmente
quando se trata de serviços on-line, em que os recursos se mantêm em funcionamento o tempo
todo, exigindo manutenções periódicas.  Além disso, a demanda por tecnologia está cada vez mais
alta e os usuários têm expectativas elevadas em relação à qualidade e e�ciência dos serviços de TI,
o que torna esse ambiente ainda mais desa�ador. Por isso, é importante que as equipes dessa área
estejam preparadas para lidar com esses problemas de forma rápida e e�ciente, minimizando os
impactos nas atividades da empresa.
Analisando o contexto deste Estudo de Caso, você pode concluir que as falhas cometidas pela
equipe de Tecnologia da Informação no tratamento dos tickets da ferramentade ITSM
comprometeu o desempenho da loja virtual. Os sistemas de ITSM fornecem dados que podem ser
utilizados como métricas e indicadores de desempenho, então pesquise algumas dessas métricas
que podem auxiliar na solução deste Estudo de Caso.
As lojas virtuais costumam �car hospedadas em servidores na nuvem ou on-premise. Existem
diversos problemas que afetam o desempenho desses servidores, desde sobrecarga da banda de
rede até armazenamento, processamento e memória.
Pesquise quais métricas podem indicar que algo está errado no funcionamento de uma loja virtual,
permitindo a identi�cação, mitigação e antecipação dessas falhas.
Videoaula: Resolução do estudo de caso
Este conteúdo é um vídeo!
Para assistir este conteúdo é necessário que você acesse o AVA pelo computador
ou pelo aplicativo. Você pode baixar os vídeos direto no aplicativo para assistir
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
mesmo sem conexão à internet.
O ITIL 4 é o framework que fornece um conjunto das melhores práticas na gestão e no
gerenciamento de serviços de tecnologia da informação, ele geralmente é utilizado como base na
modelagem dos sistemas de ITSM. Dentre essas práticas está o SLA (Acordo de Nível de Serviço),
que é um acordo entre cliente e prestador de serviços que estabelece métricas e indicadores de
desempenho que devem ser atendidos pelo prestador, de forma a garantir a qualidade dos serviços.
Esse acordo é elaborado em conjunto pelas partes envolvidas, dentre as métricas que são
discutidas e podem te auxiliar na solução deste Estudo de Caso estão:
Tempo máximo de resposta do prestador em caso de problemas.
Tempo máximo para solução de problemas.
Tempo máximo de indisponibilidade do serviço.
Nível de satisfação.
Essas métricas do SLA estão atreladas aos tickets abertos pelos clientes e permitem que os atores
envolvidos na solução do problema possam de�nir uma ordem de prioridade no atendimento, já que
as ferramentas de ITSM costumam trazer alertas que indicam os status desses tickets.
A partir dessas métricas, você pode criar indicadores que vão compor um relatório periódico
indicando o desempenho da equipe de serviços de TI como um todo ou individual para cada
integrante da equipe. Dentre esses indicadores estão:
Média de tempo de resposta dos tickets.
Média de tempo para solução dos tickets.
Nível médio de satisfação do cliente.
Número de tickets atendidos dentro do SLA.
Número de tickets atendidos fora do SLA.
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Figura 1 | Métricas e indicadores de desempenho da equipe. - Fonte: elaborada pelo autor.
Figura 2 | Evolução da qualidade do serviço. - Fonte: elaborada pelo autor.
Agora, com essas métricas e indicadores em mãos, você pode aferir o nível de desempenho da sua
equipe, permitindo a tomada de decisões mais precisas, garantindo a qualidade dos serviços
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
prestados.
Mesmo com um setor de serviços e�ciente, dando suporte em tempo hábil na solução de
problemas ocorridos com o website, você ainda precisa antecipar alguns desses problemas para
manter a performance da loja virtual sempre no melhor nível possível.
Existem várias métricas que podem ser utilizadas para fazer esse monitoramento, você pode
encontrar algumas em artigos pela internet ou em livros como Web Performance: Otimizando o
tempo de resposta do site, de Marcelo Andrade. Agora, seguem alguns exemplos de métricas:
Tempo médio de resposta do servidor.
Tempo médio de carregamento da página.
Tempo médio de resposta do banco de dados.
Nível do uso de memória do servidor.
Nível do uso de processamento do servidor.
Figura 3 | Monitorando o desempenho do website. - Fonte: elaborada pelo autor.
São muitos os indicadores que podem te auxiliar no monitoramento das atividades de TI, o
importante é não procurar “inventar a roda” e usar frameworks e modelos de melhores práticas, pois
eles são referências de mercado e estão em constante atualização.
Resumo visual
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
Fonte: elaborado pelo autor.
Referências
Disciplina
GOVERNANÇA DE TECNOLOGIA
DA INFORMAÇÃO
ANDRADE, M. Web performance: otimizando o tempo de resposta do site. São Paulo: Novatec
Editora, 2015.
CUNHA, P. C.; OLIVEIRA, G. B. de. Gestão estratégica da cadeia de suprimentos e a busca por
vantagem competitiva. São Paulo: Editora Atlas, 2012.
FERREIRA, F. J. P.; BAPTISTA, A. G. C. Cadeia de valor: a vantagem competitiva das empresas de
sucesso. São Paulo: Editora Atlas, 2010.
KAPLAN, R. S.; NORTON, D. P. A estratégia em ação: Balanced Scorecard. Rio de Janeiro: Campus,
1997.
PORTER, M. Competitive Advantage: Creating and Sustaining Superior Performance. New York: Free
Press, 1985.
SILVA, S. G. da. Governança de tecnologias da informação. Londrina: Editora e Distribuidora
Educacional S.A., 2017.