governanca_de_ti

Prévia do material em texto

<p>Governança de TI</p><p>LUCIANA DO AMARAL TEIXEIRA</p><p>1ª Edição</p><p>Brasília/DF - 2023</p><p>23-153375 CDD-004</p><p>Dados Internacionais de Catalogação na Publicação (CIP)</p><p>(Câmara Brasileira do Livro, SP, Brasil)</p><p>Teixeira, Luciana do Amaral</p><p>Governança de T.I [livro eletrônico] / Luciana do</p><p>Amaral Teixeira. -- 1. ed. -- Brasília, DF : Unyleya,</p><p>2023.</p><p>PDF</p><p>Bibliografia.</p><p>ISBN 978-65-89227-74-8</p><p>1. Ciência da computação - Estudo e ensino</p><p>2. Governança 3. Tecnologia da informação I. Título.</p><p>Índices para catálogo sistemático:</p><p>1. Tecnologia da informação : Ciências da computação</p><p>004</p><p>Eliane de Freitas Leite - Bibliotecária - CRB 8/8415</p><p>Autores</p><p>Luciana do Amaral Teixeira</p><p>Produção</p><p>Equipe Técnica de Avaliação, Revisão Linguística e</p><p>Editoração</p><p>Sumário</p><p>Organização do Livro Didático........................................................................................................................................4</p><p>Introdução ..............................................................................................................................................................................6</p><p>Capítulo 1</p><p>Governança de Tecnologia da Informação ............................................................................................................7</p><p>Capítulo 2</p><p>O Modelo de Governança de Tecnologia da Informação .............................................................................. 19</p><p>Capítulo 3</p><p>Planejamento, Implementação e Gerenciamento da Governança de Tecnologia da Informação .. 31</p><p>Capítulo 4</p><p>COBIT: Control Objectives for Information and Related Technology ...............................................................42</p><p>Capítulo 5</p><p>ITIL: Information Technology Infrastructure Library ............................................................................................56</p><p>Capítulo 6</p><p>Outros modelos de suporte à governança de TI ............................................................................................. 70</p><p>Referências .......................................................................................................................................................................... 85</p><p>4</p><p>Organização do Livro Didático</p><p>Para facilitar seu estudo, os conteúdos são organizados em capítulos, de forma didática, objetiva e</p><p>coerente. Eles serão abordados por meio de textos básicos, com questões para reflexão, entre outros</p><p>recursos editoriais que visam tornar sua leitura mais agradável. Ao final, serão indicadas, também,</p><p>fontes de consulta para aprofundar seus estudos com leituras e pesquisas complementares.</p><p>A seguir, apresentamos uma breve descrição dos ícones utilizados na organização do Livro Didático.</p><p>Atenção</p><p>Chamadas para alertar detalhes/tópicos importantes que contribuam para a</p><p>síntese/conclusão do assunto abordado.</p><p>Cuidado</p><p>Importante para diferenciar ideias e/ou conceitos, assim como ressaltar para o</p><p>aluno noções que usualmente são objeto de dúvida ou entendimento equivocado.</p><p>Importante</p><p>Indicado para ressaltar trechos importantes do texto.</p><p>Observe a Lei</p><p>Conjunto de normas que dispõem sobre determinada matéria, ou seja, ela é origem,</p><p>a fonte primária sobre um determinado assunto.</p><p>Para refletir</p><p>Questões inseridas no decorrer do estudo a fim de que o aluno faça uma pausa</p><p>e reflita sobre o conteúdo estudado ou temas que o ajudem em seu raciocínio.</p><p>É importante que ele verifique seus conhecimentos, suas experiências e seus</p><p>sentimentos. As reflexões são o ponto de partida para a construção de suas</p><p>conclusões.</p><p>5</p><p>ORGanIzaçãO DO LIvRO DIDáTICO</p><p>Provocação</p><p>Textos que buscam instigar o aluno a refletir sobre determinado assunto antes</p><p>mesmo de iniciar sua leitura ou após algum trecho pertinente para o autor</p><p>conteudista.</p><p>Saiba mais</p><p>Informações complementares para elucidar a construção das sínteses/conclusões</p><p>sobre o assunto abordado.</p><p>Gotas de Conhecimento</p><p>Partes pequenas de informações, concisas e claras. Na literatura há outras</p><p>terminologias para esse termo, como: microlearning, pílulas de conhecimento,</p><p>cápsulas de conhecimento etc.</p><p>Sintetizando</p><p>Trecho que busca resumir informações relevantes do conteúdo, facilitando o</p><p>entendimento pelo aluno sobre trechos mais complexos.</p><p>Sugestão de estudo complementar</p><p>Sugestões de leituras adicionais, filmes e sites para aprofundamento do estudo,</p><p>discussões em fóruns ou encontros presenciais quando for o caso.</p><p>Posicionamento do autor</p><p>Importante para diferenciar ideias e/ou conceitos, assim como ressaltar para o</p><p>aluno noções que usualmente são objeto de dúvida ou entendimento equivocado.</p><p>6</p><p>Introdução</p><p>Neste livro didático, apresentaremos os conceitos relacionados à Governança da Tecnologia</p><p>da Informação (TI). Para tanto, discutiremos os vários processos a ela relacionados que</p><p>permitem aos profissionais dessa área gerenciar de maneira mais adequada os riscos e</p><p>operar de forma mais eficiente para o benefício da organização.</p><p>atenção</p><p>Antes de darmos início à nossa leitura, reflita um instante sobre a palavra “governança”. Qual é o seu significado?</p><p>A definição de governança que melhor se aplica ao contexto da Tecnologia da</p><p>Informação diz respeito ao conjunto de medidas adotadas de modo a garantir</p><p>transparência, igualdade, efetividade e eficiência na administração dos serviços</p><p>e recursos relacionados à TI.</p><p>A Governança de TI é um elemento da governança corporativa que busca melhorar</p><p>a gestão geral de TI e obter maior retorno sobre o investimento em informação</p><p>e tecnologia. Sua estruturação permite que as organizações gerenciem seus</p><p>riscos de TI com eficácia e garantem que as atividades associadas à informação</p><p>e tecnologia estejam alinhadas com os objetivos gerais do negócio.</p><p>Ao longo deste livro didático, abordaremos temas associados aos fatores motivadores</p><p>da Governança de TI, bem como seus objetivos e componentes principais.</p><p>Além disso, discutiremos seu modelo mais genérico, que pode ser adequado a</p><p>diferentes tipos de organização, e suas funções típicas. Em seguida, veremos de</p><p>que maneira um programa de Governança de TI deve ser planejado, implementado</p><p>e gerenciado de forma a garantir sua efetividade. Por fim, conheceremos alguns</p><p>dos principais modelos de apoio à Governança de TI, como COBIT, ITIL, CMMI,</p><p>MPS.BR, PMBOK e outros.</p><p>Objetivos</p><p>» Apresentar os objetivos, os componentes e o conceito da Governança de TI.</p><p>» Discutir o Modelo de Governança de TI e suas diferentes áreas.</p><p>» Explicar o planejamento e a implementação do Programa de Governança de TI.</p><p>» Orientar sobre o gerenciamento da Governança de TI.</p><p>» Examinar diferentes modelos de suporte à Governança de TI.</p><p>7</p><p>Introdução</p><p>A Governança de TI (GTI) se preocupa com o controle e a supervisão dos recursos e</p><p>serviços de TI. Isso demanda o alinhamento do gerenciamento e das operações com</p><p>as necessidades e requisitos do negócio e a garantia de que a organização esteja em</p><p>conformidade com as políticas e regulamentos internos e externos.</p><p>A governança também é responsável pela visão de TI a ser adotada pela organização.</p><p>Assim, ela é tradicionalmente uma responsabilidade da alta gestão, embora seja cada</p><p>vez mais comum que partes dessa atividade sejam delegadas a níveis hierárquicos</p><p>mais baixos. É importante ressaltar que a GTI acontece de forma separada da Gestão</p><p>de TI. Na verdade, elas são complementares: a gestão determina “como” as coisas</p><p>devem ser feitas, enquanto a governança determina “quem” deve fazê-las.</p><p>Neste capítulo, discutiremos o conceito de GTI e refletiremos sobre os motivos pelos</p><p>quais é importante que ela faça parte do plano de gestão geral das organizações.</p><p>Além disso, veremos quais são os objetivos da Governança de TI e quais componentes</p><p>contribuem para que eles sejam alcançados.</p><p>Objetivos</p><p>» Refletir sobre o conceito de Governança de TI.</p><p>» Discutir os fatores motivadores da Governança de TI.</p><p>» Conhecer os objetivos da Governança de TI.</p><p>» Identificar os componentes da Governança de TI.</p><p>1</p><p>CAPÍTULO</p><p>GOvERnança DE</p><p>a serem contemplados no plano. Assim, o plano</p><p>precisará estabelecer uma ordem de prioridade para execução dos projetos, bem</p><p>como uma previsão da estrutura de TI necessária para que sejam conduzidos.</p><p>Além disso, será preciso definir uma previsão com relação à implantação desses</p><p>projetos. Outros pontos a serem definidos incluem: plano de recursos e serviços,</p><p>orçamento, benefícios esperados, modelo e estrutura de gestão do programa,</p><p>mapa de responsabilidades, riscos, estratégias de gestão de mudanças, plano de</p><p>comunicação, critérios de qualidade, métricas de progresso etc.</p><p>» Definir parcerias (auditoria, riscos e compliance): a criação de parcerias com</p><p>as áreas de auditoria interna e externa bem como com as áreas responsáveis</p><p>por riscos e compliance tem muito valor para os responsáveis pelo programa</p><p>de Governança, pois essas áreas normalmente mantêm bom relacionamento</p><p>com a alta direção. Além disso, elas também podem auxiliar a identificar áreas</p><p>críticas a serem tratadas pela Governança de TI, em especial no que diz respeito</p><p>aos riscos operacionais.</p><p>» Aprovar o programa: a efetiva implementação do programa de Governança</p><p>de TI somente terá início após a aprovação da alta direção. Além do aval desse</p><p>nível, será necessário dispor do orçamento previsto para que sejam alocados</p><p>os recursos necessários, realizem-se os treinamentos de pessoal, adquiram-se</p><p>ferramentas e consultorias etc.</p><p>» Elaborar o plano de gerenciamento da mudança da cultura organizacional de</p><p>TI: de acordo com Aragon e Ferraz (2014, p. 604), “a cultura de uma organização</p><p>é formada pelo comportamento coletivo das pessoas mais um conjunto de</p><p>38</p><p>CAPÍTULO 3 • PLanEJaMEnTO, IMPLEMEnTaçãO E GEREnCIaMEnTO Da GOvERnança DE TECnOLOGIa Da InFORMaçãO</p><p>símbolos, sistemas e processos”. Preocupar-se com essa cultura é essencial</p><p>para garantir o sucesso do programa de Governança de TI, pois sem mudanças</p><p>comportamentais corre-se o risco de comprometer aspectos essenciais do plano</p><p>de implantação da GTI. É importante pensar que a cultura desejada levará aos</p><p>resultados desejados; portanto, deve-se planejar com cuidado a transição de</p><p>uma cultura a outra.</p><p>» Elaborar o plano de projetos de implantação de Governança de TI: cada uma</p><p>das ações previstas para a implantação da Governança de TI demandará um</p><p>projeto. Para criar os diferentes projetos necessários, é possível recorrer ao</p><p>PMBOK, explicado no tópico 4 – Estruturar preliminarmente o programa.</p><p>» Implantar as ações do plano de gerenciamento da mudança da cultura</p><p>organizacional: o plano de gerenciamento da mudança da cultura organizacional</p><p>explicado no tópico 13 precisa não apenas ser redigido, mas também implementado.</p><p>Essa implementação pode acontecer em paralelo ao tópico 14 – Elaborar o plano</p><p>de projetos de implantação de Governança de TI.</p><p>» Executar os projetos de implantação da Governança de TI: a execução dos</p><p>diferentes projetos previstos para a implantação da Governança de TI deve</p><p>também seguir as recomendações do PMBOK, explicado no tópico 4 – Estruturar</p><p>preliminarmente o programa.</p><p>» Monitorar a execução dos projetos de implantação da Governança de TI: embora</p><p>a implantação dos diferentes projetos previstos pelo programa de Governança de</p><p>TI seja de responsabilidade de diferentes setores, o monitoramento desses projetos</p><p>para controle de sua execução é encargo da área de GTI apenas. É importante</p><p>conhecer a metodologia de gestão de projetos adotada pela organização para</p><p>segui-la também neste momento.</p><p>» Avaliar os resultados dos projetos de implementação da Governança de TI:</p><p>um projeto é um planejamento para que se alcancem determinados objetivos.</p><p>Ao conclui-lo, é importante que se verifique se os objetivos planejados foram,</p><p>de fato, alcançados.</p><p>» Comunicar o valor gerado pela TI ao negócio: é muito importante que o valor</p><p>agregado pela TI ao negócio seja divulgado. Os executivos precisam saber que</p><p>os investimentos geraram retorno e é possível fazer isso por diferentes meios:</p><p>como entregar projetos de acordo com os requisitos levantados e dentro do</p><p>cronograma e orçamento previstos, manter aplicações e serviços disponíveis</p><p>segundo os níveis de serviço previamente combinados, resolver com eficiência</p><p>os imprevistos relacionados à TI que possam impactar os negócios etc.</p><p>39</p><p>PLanEJaMEnTO, IMPLEMEnTaçãO E GEREnCIaMEnTO Da GOvERnança DE TECnOLOGIa Da InFORMaçãO • CAPÍTULO 3</p><p>» Revisar e evoluir o programa: a finalização de alguns projetos relacionados</p><p>ao programa de Governança de TI acarretará mudança desejada na cultura</p><p>organizacional. Embora isso seja bastante positivo, é preciso manter esse</p><p>programa atualizado e alinhados aos negócios. Para tanto, é necessário revisar e</p><p>evoluir o programa de GTI com a frequência necessária para que ele se mantenha</p><p>útil para a organização.</p><p>Figura 9. Sugestão de roteiro para implementação da Governança de TI.</p><p>Fonte: aragon; Ferraz, 2014, p. 598.</p><p>É importante ressaltar que existem muitas soluções possíveis para Governança</p><p>de TI, mas nenhuma delas realmente cobre a ampla gama de problemas que você</p><p>enfrentará ao lidar com todo o espectro de questões de governança dessa área. Isso</p><p>não é necessariamente algo ruim, pois garante que as organizações tenham liberdade</p><p>para adequar a solução ao seu perfil.</p><p>3.3. Gerenciamento da Governança de TI</p><p>A Governança de TI é extremamente importante porque ajuda a atingir os resultados</p><p>e comportamentos desejados na organização. A relação entre ela e a criação de valor</p><p>efetiva dos investimentos em TI é bastante reconhecida e citada como a razão para</p><p>alcançar a excelência na gestão de TI.</p><p>40</p><p>CAPÍTULO 3 • PLanEJaMEnTO, IMPLEMEnTaçãO E GEREnCIaMEnTO Da GOvERnança DE TECnOLOGIa Da InFORMaçãO</p><p>A GTI permite comunicação eficaz entre clientes e fornecedores, estabelecendo</p><p>responsabilidade conjunta para investimentos em TI. A aplicação dos processos</p><p>de governança é articulada pelo gerenciamento de portfólio de TI e é usada pelos</p><p>líderes de TI para gerenciar investimentos, projetos e recursos de TI em um esforço</p><p>para revisar oportunidades, reduzir a redundância em todo o ambiente de TI e gerar</p><p>economia de custos.</p><p>A governança oferece um caminho para o sucesso e permite que os líderes sejam</p><p>ativos na gestão estratégica de TI e garantam que os seguintes elementos básicos</p><p>estejam em vigor.</p><p>» Alinhamento e capacidade de resposta: a governança trabalha lado a lado com</p><p>o gerenciamento de portfólio para alinhar os investimentos em TI aos objetivos</p><p>da organização, permitindo que os gerentes melhorem a capacidade de resposta</p><p>aos desafios e gerenciem os investimentos de TI atuais e futuros. Ela garante</p><p>transparência aos investimentos de TI e garante que o dinheiro seja gasto de</p><p>acordo com a missão da organização.</p><p>» Tomada de decisão objetiva: a governança permite que a liderança se comprometa</p><p>ativamente com a melhoria da gestão e do controle das atividades de TI na</p><p>organização.</p><p>» Balanceamento de recursos: o gerenciamento adequado de recursos críticos</p><p>permite o controle do planejamento e da organização de iniciativas de TI. Isso</p><p>dá aos gerentes a capacidade de garantir que o suporte de TI adequado esteja</p><p>disponível para investimentos de TI atuais e futuros.</p><p>» Gerenciamento de risco organizacional: o gerenciamento proativo de risco</p><p>garante que os gerentes de TI e a liderança estejam cientes do risco associado</p><p>às iniciativas de TI e fornece a base para implementar estratégias de mitigação</p><p>de risco.</p><p>» Execução e fiscalização: a governança fornece aos gestores a estrutura para</p><p>gerenciar todas as iniciativas e demandas de TI por meio de um único ponto onde</p><p>são priorizadas e atendidas. Ela permite padronizar as plataformas de tecnologia</p><p>e ajuda os gerentes a tomar decisões informadas sobre as iniciativas de TI.</p><p>» Prestação de contas: a governança eficaz significa prestação de contas. Isso permite</p><p>que os gerentes cumpram as responsabilidades relacionadas ao gerenciamento</p><p>do programa de TI.</p><p>41</p><p>PLanEJaMEnTO, IMPLEMEnTaçãO E GEREnCIaMEnTO</p><p>Da GOvERnança DE TECnOLOGIa Da InFORMaçãO • CAPÍTULO 3</p><p>Figura 10. aspectos básicos a serem garantidos pela GTI.</p><p>Alinhamento e</p><p>capacidade de</p><p>resposta</p><p>Tomada de decisão</p><p>objetiva</p><p>Balanceamento de</p><p>recursos</p><p>Gerenciamento de</p><p>risco organizacional</p><p>Execução e</p><p>fiscalização</p><p>Prestação de contas</p><p>Fonte: elaborada pela autora.</p><p>A governança de TI não pode existir isoladamente e é um processo pelo qual as</p><p>decisões são tomadas em torno dos investimentos e projetos de TI da organização.</p><p>Ao acumular todos os investimentos e projetos no portfólio de TI da empresa, surge</p><p>uma visão completa e abrangente de todo o potencial da TI. Isso permite que a</p><p>liderança tome melhores decisões estratégicas e gerencie e avalie proativamente os</p><p>investimentos futuros como um grupo. O gerenciamento de portfólio de TI também</p><p>fornece o mecanismo para governança de TI eficaz.</p><p>Sintetizando</p><p>Neste capítulo, discutimos:</p><p>» os aspectos relacionados ao planejamento da Governança de TI;</p><p>» recomendações sobre como implementar o programa de Governança de TI;</p><p>» a relevância do gerenciamento da Governança de TI para continuidade do programa.</p><p>42</p><p>Introdução</p><p>Um framework de Governança de TI é uma estrutura para processos de liderança,</p><p>organizacionais e de negócios relacionados à Tecnologia da Informação. A conformidade</p><p>com os padrões sugeridos pelo framework adotado garante que a TI apoie e possibilite</p><p>que sejam alcançadas as estratégias e os objetivos gerais da organização.</p><p>Existem diferentes frameworks de Governança de TI que podem ser adotados. Tratam-se</p><p>de estruturas amplamente utilizadas, cada uma com seus próprios pontos fortes. Neste</p><p>capítulo, abordaremos o framework COBIT – que foca na conformidade regulatória</p><p>e ajuda as organizações a aumentar o valor obtido com a TI. Além disso, ele também</p><p>permite o alinhamento entre os objetivos de negócio e os objetivos da TI e simplifica</p><p>a implementação da Governança de TI na organização.</p><p>O COBIT é um framework que orienta quanto às melhores práticas e procedimentos que</p><p>auxiliam a organização a atingir os objetivos estratégicos por meio do uso eficaz dos</p><p>recursos disponíveis e da minimização dos riscos de TI. Ele interconecta governança</p><p>corporativa e governança de TI e faz com que essa conexão se dê por meio da relação</p><p>entre os objetivos de negócio e os objetivos de TI.</p><p>É importante ressaltar que nenhum framework oferecerá toda a orientação de que uma</p><p>organização precisa para prosperar; em especial devido ao aumento na variedade de</p><p>serviços e operações que envolvem a Tecnologia da Informação. Contudo, há muitas</p><p>vantagens na adoção de frameworks de Governança de TI, conforme veremos ao longo</p><p>dos próximos capítulos.</p><p>Objetivos</p><p>» Conhecer o histórico do COBIT e suas diferentes versões.</p><p>» Refletir sobre os objetivos e princípios do COBIT.</p><p>4</p><p>CAPÍTULO</p><p>COBIT: CONTROL OBJECTIVES</p><p>FOR INFORMATION AND RELATED</p><p>TECHNOLOGY</p><p>43</p><p>COBIT: CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY • CAPÍTULO 4</p><p>» Avaliar a estrutura da versão mais atual do COBIT.</p><p>» Discutir a aplicabilidade do framework COBIT.</p><p>» Conhecer as certificações disponíveis sobre o COBIT.</p><p>4.1. Histórico do COBIT</p><p>A ISACA lançou o COBIT pela primeira vez em 1996. Dois anos depois, uma segunda</p><p>edição do framework foi publicada e incluiu um conjunto de objetivos de controle</p><p>para auxiliar os profissionais de auditoria financeira a trabalhar melhor em estruturas</p><p>relacionadas à TI. A terceira versão, que adicionava diretrizes de gerenciamento, foi</p><p>lançada no ano 2000 e disponibilizada on-line em 2003.</p><p>Figura 11. Linha do tempo do COBIT.</p><p>1996</p><p>1998</p><p>2000</p><p>2005</p><p>2007</p><p>2012</p><p>• PRIMEIRA VERSÃO</p><p>• SEGUNDA VERSÃO</p><p>• TERCEIRA VERSÃO</p><p>• QUARTA VERSÃO</p><p>• VERSÃO 4.1</p><p>• QUINTA VERSÃO</p><p>• COBIT 20192019</p><p>Fonte: elaborada pela autora.</p><p>O COBIT 4.0, quarta versão do framework, foi publicado em 2005. Em 2007, a versão</p><p>foi aprimorada e deu origem ao COBIT 4.1. O COBIT 5 surgiu em 2012 e unificou os</p><p>frameworks COBIT 4.1, Val IT2.0 e Risk IT. A versão se baseou no IT Assurance Framework</p><p>da ISACA (ITAF – Framework de Garantia de TI) e no Business Model for Information</p><p>Systems (BMIS – Modelo de Negócios para Segurança da Informação).</p><p>44</p><p>CAPÍTULO 4 • COBIT: CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY</p><p>Saiba mais</p><p>O framework Val IT 2.0 oferece meios para medir, monitorar e otimizar de forma inequívoca a obtenção de valor de negócios</p><p>com o investimento em TI. Trata-se de um complemento para o COBIT em uma perspectiva comercial e financeira.</p><p>Risk IT é um conjunto de práticas comprovadas do mundo real que ajudam as empresas a atingir seus objetivos, aproveitar</p><p>oportunidades e buscar maior retorno com menos risco. Ele funciona na interseção entre negócios e TI e permite que as</p><p>empresas gerenciem e capitalizem o risco na busca de seus objetivos.</p><p>O Information Technology Assurance Framework (ITAF), publicado pela ISACA, é um modelo abrangente e de boas práticas</p><p>que fornece orientações sobre design, conduta e relatórios de atribuições de auditoria e garantia de TI; define termos e</p><p>conceitos específicos para garantia de TI; estabelece padrões que tratam das funções e responsabilidades profissionais de</p><p>auditoria e garantia de TI.</p><p>O Business Model for Information Systems (BMIS), por sua vez, adota uma abordagem orientada a negócios para gerenciar a</p><p>segurança da informação. Sua visão holística e dinâmica da segurança da informação no contexto dos negócios demonstra</p><p>para a empresa que a segurança da informação pode ser preditiva e proativa.</p><p>A última versão do framework abandona a nomenclatura sequencial e adota o ano de</p><p>lançamento como forma de identificação. Denominada COBIT 2019, a versão mais</p><p>atual foi organizada de modo a acompanhar com mais frequência as atualizações.</p><p>Seu objetivo é implementar estratégias mais flexíveis, colaborativas e alinhadas às</p><p>novas tecnologias.</p><p>4.2 Objetivos e princípios do COBIT</p><p>Antes de começar a discutir os objetivos e princípios do COBIT, vamos esclarecer</p><p>alguns aspectos sobre o framework. Assim, antes de descrever a estrutura COBIT</p><p>atualizada, é importante explicar o que COBIT é e o que não é:</p><p>O COBIT é um framework com foco em toda a organização. O “BIT” da sigla se refere</p><p>a toda a tecnologia e processamento de informações utilizadas pela organização para</p><p>atingir seus objetivos, independentemente de onde isso ocorra. A documentação do</p><p>COBIT faz uma distinção clara entre governança e gestão. Essas duas áreas abrangem</p><p>atividades diferentes, requerem estruturas organizacionais diferentes e servem a</p><p>propósitos diferentes.</p><p>A governança garante que as necessidades, condições e opções dos stakeholders sejam</p><p>avaliadas para determinar objetivos empresariais equilibrados e acordados. Além disso,</p><p>a direção é definida por meio da priorização e da tomada de decisões, e o desempenho</p><p>e a conformidade são monitorados em relação à direção e aos objetivos acordados.</p><p>Na maioria das organizações, a governança geral é responsabilidade do conselho</p><p>de administração, sob a liderança do presidente. Responsabilidades específicas de</p><p>45</p><p>COBIT: CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY • CAPÍTULO 4</p><p>governança podem ser delegadas a estruturas organizacionais especiais em um nível</p><p>apropriado, particularmente em empresas maiores e complexas.</p><p>A gestão planeja, constrói, executa e monitora as atividades, em alinhamento com a</p><p>direção definida pela governança corporativa, para atingir os objetivos da organização.</p><p>Na maioria das empresas, a gestão é responsabilidade da gestão executiva, sob a</p><p>liderança do CEO.</p><p>O COBIT conta com processos, estruturas organizacionais, políticas e procedimentos,</p><p>fluxos de informação, cultura e comportamentos, habilidades e infraestrutura como</p><p>componentes para construir e sustentar um sistema de governança. Ele define os</p><p>aspectos que devem ser considerados na construção de um sistema de governança</p><p>mais adequado.</p><p>É preciso esclarecer que o COBIT não inclui uma descrição completa de todo o ambiente</p><p>de TI de uma organização. Além disso, o framework também não é uma estrutura para</p><p>organizar processos de negócios, tampouco um modelo técnico para gerenciar toda</p><p>a tecnologia. Ele não toma nem prescreve quaisquer decisões relacionadas à TI, nem</p><p>vai decidir qual é a melhor estratégia de TI, a melhor arquitetura ou quanto a TI pode</p><p>ou deve custar.</p><p>O COBIT 2019 foi estruturado com base em dois conjuntos de princípios:</p><p>» princípios que descrevem os requisitos essenciais de um sistema de governança</p><p>para informações e tecnologia da organização;</p><p>» princípios para uma estrutura de governança que pode ser usada para construir</p><p>um sistema de governança para a organização.</p><p>Esses dois conjuntos agrupam seis subprincípios para um sistema de governança,</p><p>conforme apresentado na figura a seguir.</p><p>Figura 12. Princípios para um sistema de governança.</p><p>Atender às</p><p>necessidades dos</p><p>stakeholders.</p><p>Permitir uma</p><p>abordagem holística.</p><p>Dispor de um sistema</p><p>de governança</p><p>dinâmico.</p><p>Diferenciar a</p><p>governança da</p><p>gestão.</p><p>Adequar-se às</p><p>necessidades da</p><p>organização.</p><p>Abranger a empresa</p><p>de ponta a ponta.</p><p>Fonte: elaborada pela autora.</p><p>46</p><p>CAPÍTULO 4 • COBIT: CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY</p><p>» Cada organização precisa de um sistema de governança para satisfazer as</p><p>necessidades dos stakeholders e gerar valor a partir do uso da TI. Esse valor reflete</p><p>um equilíbrio entre benefícios, riscos e recursos, e as organizações precisam</p><p>de uma estratégia acionável e de um sistema de governança para concretizá-lo.</p><p>» Um sistema de governança de TI empresarial é construído a partir de uma série</p><p>de componentes que podem ser de diferentes tipos, mas que funcionam juntos</p><p>de forma holística.</p><p>» Um sistema de governança deve ser dinâmico. Isso que significa que cada vez que</p><p>um ou mais aspectos são alterados (por exemplo, uma mudança na estratégia ou</p><p>na tecnologia), o impacto dessas mudanças nesse sistema deve ser considerado.</p><p>Essa visão dinâmica resultará em um sistema viável e preparado para o futuro.</p><p>» Um sistema de governança deve distinguir claramente entre as atividades e</p><p>estruturas de governança e gestão.</p><p>» Um sistema de governança deve ser adaptado às necessidades da organização,</p><p>usando um conjunto de características como parâmetros para personalizar e</p><p>priorizar seus componentes.</p><p>» Um sistema de governança deve abranger a empresa de ponta a ponta, com foco</p><p>não apenas na TI, mas em toda a tecnologia e processamento de informações que</p><p>a organização coloca em prática para atingir seus objetivos, independentemente</p><p>de onde o processamento está localizado na empresa.</p><p>Além dos princípios para sistemas de governança, existem também princípios para</p><p>frameworks de governança:</p><p>» um framework de governança deve se basear em um modelo conceitual,</p><p>identificando os principais componentes e as principais relações entre eles</p><p>para maximizar a consistência e permitir a automação;</p><p>» um framework de governança deve ser aberto e flexível para permitir a inclusão</p><p>de novos conteúdos e a capacidade para abordar novos problemas de maneira</p><p>flexível, mantendo a integridade e consistência;</p><p>» um framework de governança deve estar alinhado com os principais padrões,</p><p>estruturas e regulamentos relevantes.</p><p>47</p><p>COBIT: CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY • CAPÍTULO 4</p><p>Figura 13. Princípios para um framework de governança.</p><p>Framework</p><p>de governança</p><p>Baseado em</p><p>um modelo</p><p>conceitual</p><p>Aberto e</p><p>flexível</p><p>Alinhado aos</p><p>principais</p><p>padrões</p><p>Fonte: elaborada pela autora.</p><p>Com relação às versões anteriores, as seguintes áreas foram aprimoradas e implementadas</p><p>no COBIT 2019.</p><p>» Flexibilidade e abertura – a definição e o uso de fatores de design permitem que</p><p>o COBIT seja adaptado para melhor alinhamento com o contexto particular de</p><p>um usuário. A arquitetura aberta COBIT permite adicionar novas áreas de foco</p><p>ou modificar as existentes, sem implicações diretas para a estrutura e o conteúdo</p><p>do modelo principal.</p><p>» Atualidade e relevância – o COBIT oferece suporte à referência e alinhamento a</p><p>conceitos originados em outras fontes (por exemplo, os mais recentes padrões</p><p>de TI e regulamentos de conformidade).</p><p>» Aplicativo prescritivo – frameworks como o COBIT podem ser descritivos e</p><p>prescritivos. O modelo conceitual COBIT é construído e apresentado de forma</p><p>que sua instanciação (ou seja, a aplicação de componentes de governança</p><p>COBIT) seja percebida como uma prescrição para um sistema de governança</p><p>de TI adaptado à organização.</p><p>» Gerenciamento de desempenho de TI – a estrutura do modelo de gerenciamento</p><p>de desempenho COBIT é integrada ao modelo conceitual. Os conceitos de</p><p>maturidade e capacidade são introduzidos para melhor alinhamento com o CMMI.</p><p>48</p><p>CAPÍTULO 4 • COBIT: CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY</p><p>Saiba mais</p><p>CMMI é a sigla para Capability Maturity Model Integration, um modelo que ajuda as organizações a otimizar a melhoria de</p><p>processos e estimular comportamentos produtivos e eficientes que diminuem os riscos no desenvolvimento de software,</p><p>produto e serviço.</p><p>Fatores de design, também referenciados como fatores de desenho, são aspectos que</p><p>podem influenciar o design do sistema de governança de uma organização e orientá-</p><p>lo para o sucesso no uso da informação e tecnologia. Eles são categorizados como:</p><p>» contextuais: fatores de design que estão fora do controle da organização (por</p><p>exemplo, seu tamanho, situação geopolítica ou cenário de ameaças);</p><p>» estratégicos: fatores de design que refletem as decisões tomadas pela organização</p><p>(por exemplo, sua estratégia, o papel da TI para seu sucesso ou a formulação do</p><p>apetite pelo risco);</p><p>» táticos: fatores de design que são baseados em escolhas de implementação em</p><p>relação a modelos de recursos (por exemplo, terceirização, nuvem), métodos</p><p>de TI (por exemplo, Agile, DevOps) e escolhas de adoção de tecnologia (por</p><p>exemplo, sangramento/vanguarda).</p><p>Existem 11 fatores de design no Guia de Design do COBIT 2019 que podem ser mais</p><p>refinados conforme necessário.</p><p>Figura 14. Fatores de design do COBIT 2019.</p><p>Estratégia</p><p>organizacional</p><p>Objetivos</p><p>organizacionais Perfil de risco Tamanho da</p><p>organização</p><p>Cenário de</p><p>ameaças</p><p>Requisitos de</p><p>compliance Papel da TI</p><p>Modelo de</p><p>sourcing para</p><p>a TI</p><p>Métodos de</p><p>implementação</p><p>da TI</p><p>Estratégia de</p><p>adoção de</p><p>tecnologias</p><p>F A T O R E S F U T U R O S</p><p>Fonte: adaptada de https://bit.ly/isaca-cobit.</p><p>49</p><p>COBIT: CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY • CAPÍTULO 4</p><p>Saiba mais</p><p>O sourcing é um método muito comum na área de suprimentos que permite à empresa analisar o orçamento total do valor</p><p>a ser gasto com determinados produtos ou serviços. O processo é composto pelo mapeamento, pelo entendimento e pela</p><p>avaliação das características dos materiais, dos serviços e do mercado fornecedor.</p><p>Essa metodologia possibilita a análise não só dos custos externos, que influenciam diretamente nos produtos finais,</p><p>como também dos custos internos. É possível ainda otimizar a estrutura dos produtos, maximizar o custo-benefício de</p><p>determinada aquisição e conhecer um pouco mais do mercado fornecedor, melhorando a qualidade do material e agilizando</p><p>o atendimento ao mercado.</p><p>Fonte: https://faciles.com.br/blog/sourcing/. Acesso em: 8 jul. 2021.</p><p>4.3 Estrutura do COBIT</p><p>A família de produtos COBIT 2019 é aberta e projetada para personalização. As seguintes</p><p>publicações estão disponíveis atualmente.</p><p>» Framework COBIT 2019: Introdução e Metodologia – apresenta os principais</p><p>conceitos do COBIT 2019.</p><p>» Framework COBIT 2019: Objetivos de Governança e Gerenciamento – descreve</p><p>de forma abrangente os 40 objetivos principais de governança e gerenciamento,</p><p>os processos neles contidos e outros componentes relacionados. Esse guia</p><p>também faz referência a outros padrões e estruturas.</p><p>» Guia de Design do COBIT 2019: Projetando uma Solução de Governança de</p><p>Tecnologia e Informação – explora os fatores de design</p><p>que podem influenciar</p><p>a governança e inclui um fluxo de trabalho para o planejamento de um sistema</p><p>de governança sob medida para a empresa.</p><p>» Guia de implementação do COBIT 2019: Implementando e Otimizando uma</p><p>Solução de Governança de Tecnologia e Informação – representa uma evolução</p><p>do guia de implementação do COBIT 5 e desenvolve um roteiro para a melhoria</p><p>contínua da governança. Ele pode ser usado em combinação com o Guia de</p><p>Design do COBIT 2019.</p><p>O modelo essencial do COBIT, comumente referenciado como COBIT Core Model,</p><p>está organizado em torno de 40 objetivos de governança e gestão que se agrupam</p><p>em cinco domínios. Esses objetivos de governança e gestão estão alinhados com os</p><p>objetivos de negócio no que se refere às necessidades dos stakeholders e às metas de</p><p>alinhamento organizacional estratégico.</p><p>50</p><p>CAPÍTULO 4 • COBIT: CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY</p><p>Cada um dos 40 objetivos de governança e gestão listados se relaciona com uma ou</p><p>mais metas organizacionais ou de alinhamento, o que permite o cascateamento delas.</p><p>A cascata de metas apoia a conversão de metas empresariais em prioridades para</p><p>metas de alinhamento. A cascata de metas foi atualizada no COBIT 2019; objetivos</p><p>da empresa e objetivos de alinhamento foram consolidados, reduzidos, atualizados</p><p>e esclarecidos quando necessário.</p><p>Saiba mais</p><p>Modelo essencial do COBIT 2019, disponível em: https://www.itsmnapratica.com.br/tudo-sobre-cobit-2019/.</p><p>Tanto no COBIT 5 quanto no COBIT 2019, a essência da cascata de metas continua</p><p>sendo a de alinhar a estratégia de TI à estratégia organizacional.</p><p>É importante notar que, no COBIT 5, a cascata de metas, no que se refere à governança</p><p>e estratégia, traduz as necessidades dos stakeholders em metas corporativas específicas</p><p>acionáveis e personalizadas, metas relacionadas à TI e metas capacitadoras, enquanto</p><p>no COBIT 2019 a cascata de metas apoia a priorização de objetivos de gestão com</p><p>base na priorização das metas da organização.</p><p>Figura 15. Cascata de metas do COBIT 2019.</p><p>Direcionadores e necessidades</p><p>dos stakeholders</p><p>• Metas organizacionais</p><p>Alinhamento das metas</p><p>•</p><p>Objetivos de governança e</p><p>gerenciamento</p><p>Fonte: elaborada pela autora.</p><p>Existem 13 metas empresariais e 13 metas de alinhamento no COBIT 2019. Não há</p><p>metas adicionais relacionadas à TI. Tanto as metas organizacionais quanto as metas</p><p>de alinhamento foram atualizadas e simplificadas.</p><p>51</p><p>COBIT: CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY • CAPÍTULO 4</p><p>4.4 aplicabilidade do COBIT</p><p>O COBIT é um dos frameworks de negócios mais amplamente utilizados para governança</p><p>de TI. Seu principal objetivo é obter o máximo valor possível dos sistemas de</p><p>informação existentes na organização. O COBIT usa várias técnicas de governança e</p><p>gestão, juntamente com alguns princípios e práticas mundialmente reconhecidos e</p><p>várias ferramentas e processos.</p><p>O COBIT ajuda na melhor tomada de decisão quando se trata de atingir os objetivos</p><p>de negócios e atender a todas as necessidades dos stakeholders na organização.</p><p>Figura 16. Principais aplicações do COBIT.</p><p>Segurança da</p><p>informação</p><p>Gerenciamento</p><p>de riscos</p><p>Conformidade</p><p>regulatória</p><p>Garantia</p><p>Fonte: elaborada pela autora.</p><p>Segurança da informação</p><p>Proteger todas as informações e dados dentro da organização é uma característica</p><p>importante no COBIT. O framework se preocupa em tornar todos os profissionais</p><p>de TI e segurança mais cientes das novas e futuras tecnologias e das ameaças que</p><p>as acompanham. Após o reconhecimento das ameaças e riscos, o COBIT ajuda as</p><p>organizações a tomar decisões mais informadas e implementar diferentes estratégias</p><p>para garantir a segurança da informação.</p><p>52</p><p>CAPÍTULO 4 • COBIT: CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY</p><p>Gerenciamento de riscos</p><p>O COBIT contribui muito quando se trata de gerenciamento de riscos, pois unifica</p><p>todos os processos de TI e implantação, reduzindo o risco de implementação de TI</p><p>dentro do ciclo de vida de implementação. Todas as necessidades de iniciativas de TI</p><p>são consideradas, o que inclui os riscos que as acompanham.</p><p>Conformidade regulatória</p><p>O COBIT é usado para avaliar as políticas da organização e as diferentes tecnologias</p><p>e processos, o que só pode ser feito com uma estrutura de negócios de alto nível. É</p><p>um padrão orientado para TI que ajuda os auditores a monitorar como os processos</p><p>de tecnologia funcionam junto com as políticas e regulamentos da empresa.</p><p>Garantia</p><p>As empresas precisam identificar todos os riscos e oportunidades de forma eficaz. Isso</p><p>pode ser feito otimizando a abordagem de garantia de TI existente na organização. O</p><p>COBIT pode ser usado para fazer isso, pois ajuda os profissionais a planejar e realizar</p><p>revisões de garantia para unificar os negócios da empresa, TI e metas de garantia.</p><p>O COBIT cria uma estrutura comum para tornar mais fácil para os profissionais</p><p>entenderem quais melhorias precisam ser feitas, ajudando os executivos responsáveis</p><p>pelo planejamento, pelo escopo e pela execução de todas as suas iniciativas de</p><p>garantia de forma mais eficaz. Também ajuda os funcionários a navegar em tecnologias</p><p>complexas e criar valor estratégico para os stakeholders. Todas as abordagens atuais</p><p>são aprimoradas porque as organizações abordam todos os aspectos da garantia de</p><p>TI na empresa.</p><p>4.5 Benefícios do COBIT</p><p>O c e n á r i o d a T I ve m m u d a n d o d ra s t i c a m e n t e. E l a s e t o r n o u u m e l e m e n t o</p><p>inegavelmente essencial dos negócios para organizações de qualquer porte ou</p><p>nível de maturidade. O COBIT 2019 reflete os requisitos, as considerações e as</p><p>oportunidades inerentes à TI moderna. Ele equipa as organizações não apenas</p><p>para prosperar, mas também para evoluir e até mesmo levar em consideração</p><p>oportunidades futuras imprevistas.</p><p>53</p><p>COBIT: CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY • CAPÍTULO 4</p><p>Figura 17. Benefícios do COBIT.</p><p>TI otimizada</p><p>Alinhamento entre TI</p><p>e objetivos de</p><p>negócio</p><p>Customização</p><p>segundo as</p><p>prioridades</p><p>Bom funcionamento</p><p>com outros</p><p>frameworks</p><p>Garantia da</p><p>compliance com</p><p>regulamentações</p><p>Evolução contínua</p><p>Abordagem preparada</p><p>para mudanças</p><p>futuras</p><p>Baseado em décadas</p><p>de experiência</p><p>Fonte: elaborada pela autora.</p><p>4.6 Certificações relacionadas</p><p>Em qualquer área de conhecimento, o objetivo de uma certificação é garantir que</p><p>o profissional atende a um padrão mínimo de requisitos profissionais. Aqueles que</p><p>passam nos exames de certificação demonstram que atendem a esses padrões de</p><p>prática. As credenciais também indicam um compromisso com a profissão e com a</p><p>educação continuada para manter seu conhecimento.</p><p>A certificação pode dar ao profissional que a possui uma vantagem competitiva, mais</p><p>oportunidades de trabalho, um salário mais alto e segurança no emprego. A certificação</p><p>funciona como um guia para o aprimoramento da carreira e maior sucesso na profissão</p><p>escolhida. Dentre os benefícios de se tornar um profissional certificado estão:</p><p>» compreensão ampla e profunda sobre determinado tema;</p><p>» demonstração de compromisso com a profissão escolhida;</p><p>» vantagem competitiva durante a procura de emprego;</p><p>» melhoria no salário potencial;</p><p>» mais oportunidades de avanço na carreira;</p><p>» maior mobilidade e as opções de trabalho;</p><p>» rede de contatos profissionais da área.</p><p>54</p><p>CAPÍTULO 4 • COBIT: CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY</p><p>É possível obter diferentes certificações relacionadas ao COBIT 2019. As informações</p><p>sobre cada uma delas estão detalhadas a seguir e se baseiam no que diz a APMG</p><p>International (https://bit.ly/apmg-international), empresa responsável por credenciar</p><p>as organizações de treinamento responsáveis pelos testes das certificações.</p><p>COBIT 2019 Foundation</p><p>Objetivo: atestar o conhecimento dos fundamentos da última versão do framework</p><p>COBIT.</p><p>Tópicos testados: principais conceitos e terminologias. Princípios de governança e</p><p>estrutura. Sistemas e componentes</p><p>de governança. Objetivos de governança e gestão.</p><p>Gestão de desempenho. Projetando um sistema de governança personalizado.</p><p>COBIT 2019 Bridge</p><p>Objetivo: atestar o conhecimento dos novos fundamentos do COBIT dos profissionais</p><p>que já possuem a certificação COBIT 5 Foundation.</p><p>Tópicos testados: princípios COBIT atualizados para estabelecer um sistema estrutural</p><p>de governança eficaz. Metas em cascata do COBIT atualizadas e como elas se</p><p>comparam às do COBIT 5. Projeto de um sistema de governança personalizado para</p><p>uma organização utilizando o COBIT. Pontos principais do caso comercial do COBIT.</p><p>Como o COBIT se alinha com outros frameworks, padrões e órgãos de conhecimento</p><p>aplicáveis.</p><p>COBIT 2019 Design and Implementation</p><p>Objetivo: atestar o conhecimento dos aspectos do framework COBIT relacionados a</p><p>projeto e implementação.</p><p>Tópicos testados: como os fatores de design afetam o projeto de um sistema de</p><p>governança. Design dos processos de fluxo de trabalho de um sistema de governança.</p><p>Usando o kit de ferramentas do guia de design em situações reais. Aplicação da</p><p>metodologia e abordagem de implementação para um programa de implementação</p><p>de governança.</p><p>Implementing nIST using COBIT 2019</p><p>Objetivo: atestar o conhecimento sobre como integrar padrões de segurança cibernética</p><p>e governança corporativa de informação e tecnologia.</p><p>55</p><p>COBIT: CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY • CAPÍTULO 4</p><p>Tópicos testados: visão geral da estrutura de segurança cibernética. Estrutura do</p><p>framework de segurança cibernética. Implementação do framework.</p><p>Há muitos benefícios em estudar e utilizar a metodologia COBIT. No entanto, é</p><p>importante que se aprenda com um provedor de treinamento certificado, ou pode-</p><p>se correr o risco de perder tempo com materiais imprecisos e certificações não</p><p>reconhecidas.</p><p>Sintetizando</p><p>Neste capítulo, abordamos:</p><p>» o histórico do COBIT e suas diferentes versões;</p><p>» os objetivos e princípios do COBIT;</p><p>» a estrutura da versão mais atual do COBIT;</p><p>» a aplicabilidade do framework COBIT;</p><p>» as certificações disponíveis sobre o COBIT.</p><p>56</p><p>Introdução</p><p>No capítulo anterior, vimos que existem diferentes frameworks que podem ser</p><p>adotados pelas organizações com o intuito de apoiar o processo de Governança de</p><p>TI. Neste capítulo, continuaremos a discutir esses frameworks abordando o ITIL, sigla</p><p>para Information Technology Infrastructure Library (Biblioteca de Infraestrutura de</p><p>Tecnologia da Informação).</p><p>É importante avaliar e aplicar as diretrizes ITIL de forma que elas se encaixem</p><p>nas qualidades e parâmetros exclusivos da organização. Usados com sabedoria, os</p><p>benefícios alcançados podem incluir redução de custos por meio da otimização do uso</p><p>de recursos, melhor prestação de serviços e satisfação do cliente, e um alinhamento</p><p>mais forte entre TI e grupos de negócios.</p><p>Uma vez que ITIL é uma coletânea de melhores práticas, as organizações são livres</p><p>para adotar o framework na medida em que acharem valioso para elas. No entanto,</p><p>quanto mais compatíveis com ITIL forem os processos, maiores serão os benefícios</p><p>que a organização obterá.</p><p>Objetivos</p><p>» Conhecer o histórico do ITIL e suas diferentes versões.</p><p>» Refletir sobre os objetivos e princípios do ITIL.</p><p>» Avaliar a estrutura da última versão do ITIL.</p><p>» Discutir a aplicabilidade do framework ITIL.</p><p>» Conhecer as certificações disponíveis sobre o ITIL.</p><p>5</p><p>CAPÍTULO</p><p>ITIL: INFORMATION TECHNOLOGY</p><p>INFRASTRUCTURE LIBRARY</p><p>57</p><p>ITIL: INFORMATION TECHNOLOGY INFRASTRUCTURE LIBRARY • CAPÍTULO 5</p><p>5.1. Histórico do ITIL</p><p>O conceito ITIL surgiu na década de 1980, quando o governo britânico determinou</p><p>que o nível de qualidade do serviço de TI fornecido a eles não era suficiente. A Central</p><p>Computer and Telecommunications Agency (CCTA – Agência Central de Informática</p><p>e Telecomunicações), atualmente conhecida como Office of Government Commerce</p><p>(OGC – Escritório de Comércio do Governo), foi encarregada de desenvolver uma</p><p>estrutura para o uso eficiente e financeiramente responsável de recursos de TI não</p><p>só dentro do governo britânico, mas também do setor privado.</p><p>A primeira versão do ITIL foi lançada em 1989 e chamada de GITIM (Government</p><p>Information Technology Infrastructure Management – Gestão da Infraestrutura de</p><p>Tecnologia da Informação do Governo). Trata-se de uma versão bastante diferente do</p><p>ITIL atual, mas conceitualmente muito semelhante, com foco em suporte e entrega</p><p>de serviços.</p><p>Grandes empresas e agências governamentais na Europa adotaram esse framework</p><p>muito rapidamente no início da década de 1990. O ITIL estava se espalhando por</p><p>vários países e era usado tanto por organizações governamentais como pelas não</p><p>governamentais. À medida que cresceu em popularidade, tanto no Reino Unido como</p><p>ao redor do mundo, o ITIL mudou e evoluiu, assim como a própria TI.</p><p>No ano 2000, a CCTA se fundiu ao OGC e, no mesmo ano, a Microsoft usou o ITIL</p><p>como ponto de partida para desenvolver seu framework proprietário, denominado</p><p>Microsoft Operations Framework (MOF). Em 2001, foi lançada a versão 2 do ITIL. Os</p><p>documentos sobre Suporte de Serviço e Entrega de Serviço foram reelaborados em</p><p>volumes mais concisos. Nos anos seguintes, o ITIL se tornou a abordagem de boas</p><p>práticas de gerenciamento de serviços de TI mais recomendada.</p><p>A versão 3 foi publicada em 2007. Ela apresenta um ciclo de vida para gerenciamento</p><p>de serviços com maior ênfase na integração de negócios de TI. Trata-se de uma versão</p><p>mais focada na integração de negócios de TI e centrada no conceito de estrutura de</p><p>estilo de vida de serviço.</p><p>Em 2011, a AXELOS lançou uma revisão do ITIL que resolveu erros e inconsistências</p><p>da versão 3. Nesta versão atualizada da edição 2007, cinco volumes compõem o</p><p>catálogo de serviço ITIL: Estratégia de Serviço, Desenho de Serviço, Transição de</p><p>Serviço, Operação de Serviço e Melhoria Contínua de Serviço. Desde 2013, o ITIL é</p><p>propriedade da AXELOS Ltd; que é uma joint venture entre duas outras organizações:</p><p>a Capita Plc e o Gabinete do Governo Britânico.</p><p>58</p><p>CAPÍTULO 5 • ITIL: INFORMATION TECHNOLOGY INFRASTRUCTURE LIBRARY</p><p>Saiba mais</p><p>Uma joint venture é um acordo comercial no qual duas ou mais partes concordam em reunir seus recursos com o objetivo de</p><p>realizar uma tarefa específica.</p><p>Fonte: https://www.investopedia.com/terms/j/jointventure.asp. Acesso em: 20 jul. 2021.</p><p>A versão atual do ITIL foi lançada em 2019. Ela traz orientações mais práticas sobre</p><p>como usar o framework, especialmente em ambientes colaborativos. Isso torna mais</p><p>fácil para as organizações alinhar o ITIL com os métodos de trabalho DevOps, Agile</p><p>e Lean. Com a quarta versão, o ITIL adotou uma filosofia mais holística em relação</p><p>ao gerenciamento de serviços, tornando-o mais amplo e inclusivo para o ambiente</p><p>de TI moderno.</p><p>Figura 18. Histórico de versões do ITIL.</p><p>1989 2001 2007 2019</p><p>ITIL – V1 ITIL – V2 ITIL – V3</p><p>2011: Revisão V3</p><p>ITIL – V4</p><p>Fonte: elaborada pela autora.</p><p>Saiba mais</p><p>DevOps é um conjunto de práticas que funcionam para automatizar e integrar os processos entre o desenvolvimento de</p><p>software e as equipes de TI para que possam construir, testar e lançar software de forma mais rápida e confiável. O termo é</p><p>formado pela combinação das palavras “desenvolvimento” e “operações” e significa uma mudança cultural que preenche a</p><p>lacuna entre as equipes de desenvolvimento e operação que, historicamente, funcionavam de forma isolada.</p><p>Agile é uma abordagem interativa e temporal para entrega de software que constrói sistemas de forma incremental desde</p><p>o início do projeto, em vez de tentar entregá-lo de uma vez só perto do final. A metodologia funciona dividindo os projetos</p><p>em pequenos pedaços de funcionalidade do usuário chamados de histórias de usuário, priorizando-os e, em seguida,</p><p>entregando-os continuamente em ciclos curtos de duas semanas chamados de iterações.</p><p>Lean baseia-se na otimização do tempo e dos recursos de desenvolvimento, eliminando o desperdício e entregando apenas</p><p>o que o produto</p><p>precisa. A abordagem também é muitas vezes referida como estratégia de Produto Mínimo Viável (MVP), na</p><p>qual uma equipe lança uma versão mínima de seu produto para o mercado, aprende com os usuários o que eles gostam, não</p><p>gostam e querem que seja adicionado e itera com base nesse feedback.</p><p>59</p><p>ITIL: INFORMATION TECHNOLOGY INFRASTRUCTURE LIBRARY • CAPÍTULO 5</p><p>5.2 Objetivos e princípios do ITIL</p><p>A iteração 4 do ITIL é a mais recente do framework e foi projetada como uma diretriz</p><p>prática para as organizações com foco em transformação digital, excelência operacional</p><p>e de serviço e melhoria da experiência do cliente.</p><p>O ITIL contribui com valor para a organização, alinhando a TI ao negócio. Com ele, a</p><p>qualidade pode ser melhorada, além de ser possível alcançar maior disponibilidade,</p><p>reduções graduais de custos e melhor justificativa. Diversos objetivos podem ser</p><p>alcançados pelas organizações que adotam o framework, a saber:</p><p>» redução de custos de TI;</p><p>» aumento da produtividade;</p><p>» comunicação clara e eficaz;</p><p>» melhoria na tomada de decisão;</p><p>» maior qualidade e diminuição do risco;</p><p>» abordagem prática para a gestão de serviços.</p><p>O ITIL 4 conta com sete princípios orientadores. Eles representam as mensagens</p><p>principais do framework. Esses princípios são projetados para orientar decisões e</p><p>ações para que as pessoas responsáveis por gerenciar e operar o portfólio de serviços</p><p>da organização possam se beneficiar dessas práticas recomendadas. Veja a seguir o</p><p>que cada um dos princípios recomenda.</p><p>Princípio 1: Foco no valor</p><p>Parece estranho dizer que a gestão de serviços não deve se concentrar nos serviços,</p><p>mas focar no valor é reconhecer os serviços pelo que eles são: um meio para se alcançar</p><p>o valor. É o resultado do serviço que tem valor para o cliente, não o serviço em si.</p><p>Por exemplo, um serviço de aluguel de automóveis não se trata de ter acesso a um</p><p>carro, mas sim de ir de A para B. O serviço de aluguel de automóveis é um meio para</p><p>um fim. Tecnologia, pessoas e outros elementos são simplesmente uma parte disso.</p><p>Quando as pessoas se concentram demais nos componentes de um serviço, é fácil se</p><p>desvincular do quadro mais amplo de valor, e é aí que elementos inúteis podem se</p><p>infiltrar no ecossistema do serviço.</p><p>60</p><p>CAPÍTULO 5 • ITIL: INFORMATION TECHNOLOGY INFRASTRUCTURE LIBRARY</p><p>Princípio 2: Comece onde você está</p><p>É possível que a organização já disponha de pessoas, habilidades, conhecimentos,</p><p>processos e ativos de que precisa, então pense em como é possível seguir em frente</p><p>com o que se tem. Para isso, é preciso avaliar onde se está no momento – usando uma</p><p>combinação de medição e observação direta para triangular a verdade sobre suas</p><p>capacidades e desempenho atuais, para que se possa identificar objetivamente o que</p><p>pode ser adaptado e reutilizado para que se chegue mais perto de onde é necessário</p><p>estar.</p><p>É fácil assumir que todas as partes integrantes de uma capacidade abaixo do ideal</p><p>também são abaixo do ideal, mas nem sempre é esse o caso. Muitos dos “componentes”</p><p>antigos podem ser adequados para o propósito no novo contexto. Portanto, quando</p><p>se está enfrentando um desafio e se perguntando por onde começar, comece de onde</p><p>você está. Esteja ciente, entretanto, de que precisará aplicar métodos de mudança</p><p>organizacional para fazer com que as pessoas adaptem antigos comportamentos.</p><p>Mudar as pessoas é sempre o aspecto mais difícil de seguir em frente.</p><p>Princípio 3: Progrida iterativamente com feedback</p><p>Não será possível fazer tudo de uma vez. Tentar lidar com muitas coisas de uma só</p><p>vez é uma receita para o esgotamento da equipe. Tente entregar pequenos pedaços</p><p>de valor no início; peça ao cliente que valide o que está sendo feito para se certificar</p><p>de que está realmente caminhando na direção correta; e siga em frente com base no</p><p>que aprendeu com o cliente.</p><p>Esse princípio integra princípios ágeis ao ITIL 4. A ideia de progredir em pequenos</p><p>passos e validar cada um deles com o cliente vem da filosofia de desenvolvimento</p><p>ágil. Enquanto o modelo de processo em cascata usa um único ciclo, uma abordagem</p><p>ágil envolve iterações curtas e limitadas no tempo, emolduradas pelo envolvimento</p><p>com o cliente para validar o valor criado.</p><p>Saiba mais</p><p>O modelo em cascata é um modelo clássico usado no desenvolvimento de sistemas para criar software com uma abordagem</p><p>linear e sequencial. Ele recebe esse nome porque se desenvolve sistematicamente de uma fase para outra de forma</p><p>descendente. É dividido em diferentes fases e a saída de uma fase é usada como entrada da fase seguinte. Cada etapa deve</p><p>ser concluída antes do início da próxima e não há sobreposição das fases.</p><p>Em uma época em que a inovação acontece rapidamente, a visão de valor do cliente</p><p>pode mudar na mesma velocidade. O Manifesto Ágil recomenda “Responder à mudança</p><p>seguindo um plano”. Uma abordagem iterativa permitirá que você responda às mudanças</p><p>61</p><p>ITIL: INFORMATION TECHNOLOGY INFRASTRUCTURE LIBRARY • CAPÍTULO 5</p><p>conforme a percepção de valor; mas uma abordagem em cascata rígida “bloqueia” a</p><p>definição de valor no início – e geralmente faz com que mudanças sejam descobertas</p><p>quando já é tarde demais.</p><p>Saiba mais</p><p>Há mais de 20 anos, um grupo de desenvolvedores se reuniu para propor uma nova maneira de desenvolver software, mas</p><p>não faziam ideia de quão rapidamente suas ideias se espalhariam. Os valores citados pelos criadores do Manifesto como</p><p>primordiais foram:</p><p>» indivíduos e interações em vez de processos e ferramentas;</p><p>» software que funciona em vez de uma documentação completa;</p><p>» colaboração do cliente na negociação do contrato;</p><p>» resposta à mudança seguindo um plano.</p><p>Desde aquela época, o documento original tem sido usado por grupos diversos, que variam de departamentos de marketing</p><p>a restaurantes. Sua universalidade vem de um grupo de princípios que podem ser amplamente aplicados, facilmente</p><p>aprendidos e raramente dominados completamente. Os princípios-chave para o desenvolvimento incremental que tornaram</p><p>o Agile o que ele é hoje são doze e podem ser consultados na íntegra no endereço https://agilemanifesto.org/iso/ptbr/</p><p>principles.html (acesso em 20 jul. 2021).</p><p>Princípio 4: Colabore e promova visibilidade</p><p>Normalmente, em grandes organizações, processos, projetos e fluxos de valor de serviço</p><p>podem passar por muitas equipes e departamentos. É necessário, então, desenvolver</p><p>conhecimentos especializados para que as tarefas possam ser encaminhadas para as</p><p>pessoas que têm habilidades para executá-las. Esse é o benefício da especialização.</p><p>O problema é que ela promove a “visão de túnel”, que resulta em foco estreito.</p><p>Por esse motivo, quando se trata de resolver problemas que abrangem várias equipes</p><p>de especialistas (por exemplo, as equipes de rede, datacenter, banco de dados e</p><p>aplicativos), encontrar uma solução (ou a melhor solução) requer colaboração. No</p><p>entanto, normalmente um problema será repassado de uma equipe para outra. A</p><p>equipe de rede passará o problema para a equipe de aplicativos. A equipe de aplicativos</p><p>passará para a equipe de banco de dados. A equipe de banco de dados pode decidir</p><p>que é um problema de infraestrutura e passá-lo para a equipe do datacenter.</p><p>Às vezes dá certo. Em outras ocasiões, o problema pode ser causado por uma</p><p>combinação de fatores, mas essas equipes não estão colaborando para considerar todos</p><p>os ângulos possíveis. A especialização cria silos que impedem o fluxo de informações</p><p>e conhecimento e faz com que uma equipe não tenha visibilidade do que outra está</p><p>fazendo. A colaboração e a visibilidade do trabalho entre as equipes são os antídotos</p><p>para os problemas inerentes a uma organização isolada.</p><p>62</p><p>CAPÍTULO 5 • ITIL: INFORMATION TECHNOLOGY INFRASTRUCTURE LIBRARY</p><p>Saiba mais</p><p>Originalmente, a palavra silo se refere aos reservatórios de formato cilíndrico, utilizados pela agricultura para armazenar</p><p>grãos de uma colheita separadamente, com o ecossistema próprio para a conservação de cada grão.</p><p>Silo organizacional</p><p>é uma metáfora desse conceito, que remete a departamentos, pessoas ou até plataformas que trabalham</p><p>de forma isolada dentro da empresa.</p><p>Para a agricultura, a separação entre os grãos é ótima, pois permite que eles sejam conservados de acordo com as</p><p>necessidades próprias de cada tipo, mas para as empresas esse é um problema e dos grandes.</p><p>Fonte: https://www.holmesdoc.com.br/silos-organizacionais-o-que-sao/. Acesso em: 20 jul. 2021.</p><p>Princípio 5: Pense e trabalhe holisticamente</p><p>Este é outro princípio que defende a extinção dos silos organizacionais. Um ponto</p><p>de vista holístico é necessário porque nada acontece isoladamente; há sempre um</p><p>panorama maior a ser visto. A entrega de serviços requer a coordenação de atividades</p><p>realizadas por diferentes equipes e sistemas automatizados. Pensar e trabalhar</p><p>holisticamente significa pensar e trabalhar entre equipes, departamentos, sistemas</p><p>e outros limites para se concentrar na criação de valor. As partes precisam trabalhar</p><p>juntas para criar um fluxo integrado de valor em toda a cadeia de valor. Quando não</p><p>se pensa ou trabalha holisticamente, experimentam-se diversos atritos.</p><p>Poucos produtos e serviços de uma organização começam e terminam na mesma equipe</p><p>ou departamento e é comum que as atividades que compõem um serviço envolvam</p><p>muitas partes. Portanto, as pessoas e equipes que executam as diferentes partes de</p><p>um fluxo de valor devem estar cientes de como o trabalho que desenvolvem se encaixa</p><p>no restante do fluxo de valor; e sem esquecer que há um cliente no final dele.</p><p>Princípio 6: Mantenha a simplicidade e a praticidade</p><p>Sempre use o número mínimo de etapas para cumprir um objetivo. O pensamento</p><p>baseado em resultados deve ser usado para produzir soluções práticas que entreguem</p><p>resultados de valor. Se um processo, serviço, ação ou métrica falhar em fornecer</p><p>valor ou produzir um resultado útil, elimine-o. Tentar fornecer uma solução para</p><p>cada exceção geralmente levará a complicações excessivas. Em vez disso, devem ser</p><p>projetadas regras que possam ser usadas para lidar com exceções em geral.</p><p>O fundamental para manter a gestão de serviços simples e prático é compreender</p><p>exatamente de que maneira algo contribui para a criação de valor. Por exemplo, o</p><p>trabalho que envolve conformidade regulamentar pode não parecer importante para</p><p>63</p><p>ITIL: INFORMATION TECHNOLOGY INFRASTRUCTURE LIBRARY • CAPÍTULO 5</p><p>as equipes de serviço que lidam com questões do cliente. É necessário estabelecer e</p><p>comunicar uma visão holística do trabalho da organização para que equipes ou grupos</p><p>individuais possam entender como um determinado trabalho está sendo influenciado</p><p>por outras pessoas.</p><p>Princípio 7: Otimize e automatize</p><p>Otimizar e automatizar significa usar pessoas (geralmente o recurso mais escasso)</p><p>e automatizar de forma eficaz. O número de pessoas que se tem é muitas vezes a</p><p>principal restrição ao progresso; então, a tecnologia deve ser usada em todo o seu</p><p>potencial para evitar que as pessoas percam tempo em tarefas simples e repetitivas e se</p><p>concentrem nas decisões complexas e nas tarefas que requerem intervenção humana.</p><p>Enquanto uma pessoa está trabalhando em uma tarefa que deveria ser automatizada,</p><p>ela não está trabalhando em uma tarefa que não pode (ainda) ser automatizada; o que</p><p>é uma forma de desperdício. Automatize o que for passível de automatização para</p><p>garantir que as pessoas sejam usadas com mais sabedoria. Isso significa automatizar</p><p>processos-padrão e tomadas de decisão que podem ser modelados por algoritmos.</p><p>No entanto, é preciso ter cuidado com o que se escolhe automatizar e quando se decide</p><p>fazê-lo. Por isso, esse princípio se chama “Otimize e automatize”, já que automatizar</p><p>um processo defeituoso simplesmente leva ao resultado errado mais rápido. O princípio</p><p>de otimização está vinculado ao progresso e com o princípio de feedback. Usando</p><p>práticas de otimização específicas documentadas no ITIL, melhorias iterativas podem</p><p>ser aplicadas e validadas por meio de métricas holísticas, como a satisfação do cliente.</p><p>5.3 Estrutura do ITIL</p><p>Os principais componentes da versão 4 do ITIL são o Sistema de Valor de Serviço (SVS)</p><p>e o Modelo de Quatro Dimensões.</p><p>O SVS é um mapa dos principais elementos e recursos necessários para administrar uma</p><p>organização. As metas específicas da organização mudarão com o tempo, mas dispor</p><p>de um sistema maduro, baseado em recursos que possuem flexibilidade incorporada,</p><p>ajudará a atingir os objetivos como mais facilidade. O sucesso não acontece mais por</p><p>acidente, torna-se repetível.</p><p>O SVS descreve como todos os componentes e atividades da organização trabalham</p><p>juntos como um sistema para permitir a criação de valor. Ele é composto de entradas,</p><p>elementos e saídas específicas relevantes para a gestão de serviços. As principais</p><p>contribuições para o SVS são oportunidade e demanda. O resultado do SVS é o valor</p><p>fornecido por produtos e serviços.</p><p>64</p><p>CAPÍTULO 5 • ITIL: INFORMATION TECHNOLOGY INFRASTRUCTURE LIBRARY</p><p>Oportunidade se refere a opções ou possibilidades de agregar valor para os stakeholders</p><p>ou de outra forma para melhorar a organização. Demanda se refere à necessidade ou</p><p>desejo por produtos e serviços entre consumidores internos e externos. Oportunidades</p><p>e demandas acionam atividades dentro do SVS que levam à criação de valor.</p><p>Oportunidade e demanda estão sempre entrando no sistema, mas a organização não</p><p>aceita automaticamente todas as oportunidades tampouco atende a todas as demandas.</p><p>Os cinco elementos que apoiam a transformação da demanda em resultados de valor</p><p>são assim definidos:</p><p>» princípios orientadores: recomendações que podem orientar uma organização</p><p>em todas as circunstâncias, independentemente das mudanças em seus objetivos,</p><p>suas estratégias, seu tipo de trabalho ou sua estrutura de gestão;</p><p>» governança: meios pelos quais uma organização é dirigida e controlada;</p><p>» cadeia de valor de serviço: conjunto de atividades interconectadas que uma</p><p>organização realiza para entregar um produto ou serviço de valor a seus</p><p>consumidores e para facilitar a percepção desse valor;</p><p>» práticas: recursos organizacionais direcionados à realização de serviços ou</p><p>alcance de um objetivo;</p><p>» melhoria contínua: atividade organizacional recorrente realizada em todos os</p><p>níveis para garantir que o desempenho de uma organização atenda continuamente</p><p>às expectativas dos stakeholders.</p><p>Figura 19. Sistema de valor de Serviço do ITIL.</p><p>Fonte: https://www.itsmnapratica.com.br/tudo-sobre-itil/.</p><p>65</p><p>ITIL: INFORMATION TECHNOLOGY INFRASTRUCTURE LIBRARY • CAPÍTULO 5</p><p>Para ajudar os clientes a alcançar os resultados desejados, as organizações devem adotar</p><p>uma abordagem holística na forma como os serviços são definidos, desenvolvidos e</p><p>gerenciados. O ITIL define quatro dimensões que, juntas, são essenciais para a entrega</p><p>eficaz e eficiente de valor aos clientes e stakeholders na forma de produtos e serviços.</p><p>Essas dimensões são:</p><p>» organizações e pessoas: as pessoas são a força vital de qualquer organização</p><p>que deseja permanecer relevante para seus clientes e stakeholders. Elas trazem</p><p>diversas habilidades, competências e cultura, sem as quais uma organização</p><p>não pode funcionar. Apesar do crescimento do uso de máquinas e tecnologia,</p><p>as pessoas são indispensáveis. Portanto, é importante: definir claramente as</p><p>funções e responsabilidades; garantir que os canais de comunicação sejam</p><p>abertos e claros; e estabelecer uma estrutura de liderança para fornecer direção</p><p>e supervisão;</p><p>» informação e tecnologia: os dados se tornaram a força vital da maioria das</p><p>organizações, principalmente naquelas onde a maioria das operações de</p><p>negócios e atividades de gestão de serviços depende totalmente da tecnologia.</p><p>As organizações estão aceitando a necessidade de gerenciar o ciclo de vida das</p><p>informações, desde sua criação até seu acesso, uso, modificação, armazenamento</p><p>e descarte. A intenção é maximizar o valor dos dados na entrega de serviços de</p><p>tecnologia ao mesmo tempo que gerencia de forma</p><p>eficaz os riscos e obrigações</p><p>resultantes da sua posse;</p><p>» parceiros e fornecedores: desempenham um papel vital, e o valor é cada vez mais</p><p>alcançado por meio da colaboração. Um provedor de serviços de internet, por</p><p>exemplo, é um parceiro essencial para qualquer negócio de comércio eletrônico.</p><p>Ao mesmo tempo, esse mesmo provedor depende de empresas de serviços</p><p>públicos, operadoras globais, fornecedores de hardware e software e muitas</p><p>outras empresas. O relacionamento com parceiros e fornecedores geralmente é</p><p>definido com base nas necessidades da organização. Alguns fornecedores serão</p><p>caracterizados como estratégicos devido ao impacto crítico nos serviços. Outros</p><p>serão facilmente substituíveis. A organização e seus parceiros e fornecedores</p><p>devem ter entendimento comum de como seus esforços colaborativos entregam</p><p>valor por meio de resultados e o que se espera de ambas as partes em relação à</p><p>criação de valor;</p><p>» fluxos de valor e processos: um fluxo de valor é uma série de etapas que</p><p>uma organização empreende para criar e entregar produtos e serviços aos</p><p>consumidores. Um processo, por sua vez, é definido como um conjunto de</p><p>66</p><p>CAPÍTULO 5 • ITIL: INFORMATION TECHNOLOGY INFRASTRUCTURE LIBRARY</p><p>atividades inter-relacionadas que transformam entradas em saídas. A dimensão</p><p>relacionada a fluxos de valor e processos se preocupa com a forma como as</p><p>várias partes da organização trabalham de forma integrada e coordenada para</p><p>permitir a criação de valor por meio de produtos e serviços. Essa dimensão</p><p>define atividades, fluxos de trabalho, controles e procedimentos necessários</p><p>para atingir os objetivos organizacionais. O que importa no gerenciamento de</p><p>serviços é que a organização estabeleça um modelo operacional que organize</p><p>efetivamente as atividades-chave necessárias para gerenciar produtos e serviços.</p><p>As quatro dimensões estão interligadas e, portanto, não são independentes. Um foco</p><p>insuficiente em uma única dimensão limitará o valor entregue pela organização aos</p><p>stakeholders.</p><p>Além das dimensões, existem seis fatores ambientais que podem afetar positiva ou</p><p>negativamente uma, várias ou todas as quatro dimensões e, como resultado, devem</p><p>ser considerados do ponto de vista da gestão de risco. São eles:</p><p>» fatores políticos: mudanças nas lideranças da organização ou no local onde</p><p>ela existe pode resultar em sentimentos positivos ou negativos em relação aos</p><p>serviços ou práticas de gestão de serviços;</p><p>» fatores econômicos: mudanças nas taxas de juros e nos preços podem resultar</p><p>em serviços de uma organização sendo superfaturados ou não lucrativos;</p><p>» fatores sociais: as preferências e percepções das pessoas mudam com o tempo.</p><p>Muitas organizações têm uma base de stakeholders que abrange uma ampla</p><p>gama de idades e grupos demográficos e, portanto, pode ser difícil encontrar</p><p>uma abordagem única para serviços e seu gerenciamento;</p><p>» fatores tecnológicos: seja inteligência artificial, big data, criptomoedas ou</p><p>entrega contínua, a forma como os serviços são criados e entregues é altamente</p><p>impactada pela tecnologia;</p><p>» fatores legais: a LGPD levou a mudanças significativas na maneira como os</p><p>provedores de serviços lidam com os dados dos usuários em termos de privacidade.</p><p>Ao mesmo tempo, a prestação de serviços e o acesso a eles podem ser limitados</p><p>ou aprimorados por meio de estruturas regulatórias;</p><p>» fatores ambientais: a mudança climática está afetando a forma como as</p><p>organizações veem seus serviços e os oferecem. Os clientes estão cada vez mais</p><p>interessados em adquirir serviços de empresas que respeitam o meio ambiente.</p><p>67</p><p>ITIL: INFORMATION TECHNOLOGY INFRASTRUCTURE LIBRARY • CAPÍTULO 5</p><p>Figura 20. Modelo de Quatro Dimensões do ITIL.</p><p>Fonte: adaptada de: https://www.itsmnapratica.com.br/tudo-sobre-itil/.</p><p>5.4 aplicabilidade do ITIL</p><p>O ITIL oferece um conjunto de práticas que atuam como orientação prática e estratégica</p><p>de gestão de serviços de TI. Ele é usado como guia para ajudar as organizações a</p><p>melhorar o valor de seus serviços, concentrando-se na criação conjunta de valor de</p><p>negócios e na solução de problemas a eles relacionados.</p><p>É importante lembrar que o ITIL é um framework adotado por empresas reais de todos</p><p>os tamanhos e com diferentes missões. O Spotify, por exemplo, é uma das organizações</p><p>que o adota. Em 2017, o crescimento organizacional da empresa foi enorme, fazendo</p><p>com que equipes que costumavam trabalhar lado a lado passassem a atuar espalhadas</p><p>pelo mundo. A organização passou por dificuldades de crescimento e aumentou a</p><p>necessidade de políticas e formas comuns de trabalho para toda a empresa.</p><p>A Olingo Consulting, uma empresa de consultoria, foi contratada para dar suporte na</p><p>busca do equilíbrio certo entre controle e agilidade. Os consultores deveriam atuar</p><p>como treinadores ágeis, com a missão de guiar cada equipe, conduzindo-as na direção</p><p>certa. Não havia projeto ou programa de mudança organizacional e os resultados</p><p>deveriam ser alcançados como parte das atividades de melhoria contínua.</p><p>Transparência e uma mentalidade ágil são, em conjunto com a velocidade, as forças</p><p>motrizes dentro do Spotify. Uma parte fundamental da mentalidade ágil é o conceito de</p><p>comando de missão e equipes autônomas. As equipes da empresa estavam acostumadas</p><p>a receber uma tarefa bem definida e, em seguida, dentro da própria equipe, definir as</p><p>68</p><p>CAPÍTULO 5 • ITIL: INFORMATION TECHNOLOGY INFRASTRUCTURE LIBRARY</p><p>táticas e as etapas a serem cumpridas. Essa mentalidade teve um impacto profundo</p><p>em como o trabalho era executado e as melhorias feitas.</p><p>Quando a Olingo começou seu trabalho, o ITIL era relativamente desconhecido no</p><p>Spotify. O framework serviu para guiar o trabalho sendo executado e referências foram</p><p>feitas a vários dos processos ITIL ao longo da atribuição, incluindo gerenciamentos</p><p>de mudanças, demanda e incidentes e atendimento de solicitações.</p><p>5.5 Benefícios do ITIL</p><p>Já faz algum tempo que a TI assumiu papel central nos negócios. O fato é que a</p><p>lucratividade do negócio e a fidelidade dos acionistas dependem da alta disponibilidade,</p><p>confiabilidade, segurança e desempenho dos serviços de TI. Esse fato tornou a</p><p>maturidade relativa ou imaturidade do gerenciamento de TI altamente visível, o que</p><p>é ainda mais complicado pelo fato de que muitas empresas terceirizam a tecnologia</p><p>para entregar seus principais processos de negócio.</p><p>Muitas organizações afirmam que, devido à natureza em rápida mudança de seus</p><p>negócios, à desaceleração da economia e à pressão da concorrência, para se tornarem</p><p>mais econômicas enquanto atingem os mesmos – ou mais os altos – índices de lucros</p><p>e produção, não têm tempo ou recursos para investir na melhoria de processos. O ITIL</p><p>pode contribuir na melhoria desse cenário e alguns dos benefícios organizacionais</p><p>de sua adoção incluem:</p><p>» entregas de serviços mais rápidas e flexíveis para apoiar a transformação digital;</p><p>» melhor alinhamento estratégico entre TI e negócios;</p><p>» melhor prestação de serviços e satisfação do cliente;</p><p>» custos reduzidos por meio de melhor uso de recursos;</p><p>» maior visibilidade dos custos e ativos de TI;</p><p>» melhor gerenciamento de risco de negócios e interrupção ou falha de serviço.</p><p>5.6 Certificações relacionadas</p><p>O esquema de certificação ITIL fornece uma abordagem modular para o framework e é</p><p>composto por uma série de qualificações focadas em diferentes aspectos das melhores</p><p>práticas ITIL em vários graus de profundidade e detalhes. A estrutura hierárquica da</p><p>qualificação oferece aos candidatos flexibilidade em relação às diferentes disciplinas</p><p>69</p><p>ITIL: INFORMATION TECHNOLOGY INFRASTRUCTURE LIBRARY • CAPÍTULO 5</p><p>do framework e a capacidade de concentrar seus estudos nas principais áreas de</p><p>interesse. Existem quatro níveis de certificação dentro do esquema ITIL 4, conforme</p><p>explicado a seguir.</p><p>ITIL 4 Foundation Level</p><p>Projetada como uma introdução ao ITIL 4, esta certificação permite que os candidatos</p><p>vejam o gerenciamento de serviços de TI</p><p>por meio de um modelo operacional de</p><p>ponta a ponta para criação, entrega e melhoria contínua de produtos habilitados</p><p>para tecnologia.</p><p>ITIL 4 Managing Professional (MP)</p><p>Este nível fornece conhecimento prático e técnico sobre como executar serviços e</p><p>gerenciar com sucesso equipes e fluxos de trabalho habilitados para TI. É direcionado</p><p>a profissionais de TI que trabalham em equipes de tecnologia e digitais em empresas.</p><p>ITIL 4 Strategic Leader (ST)</p><p>O SL reconhece o valor do ITIL não apenas para operações de TI, mas para todos os</p><p>serviços habilitados digitalmente. Tornar-se um líder estratégico ITIL 4 demonstra</p><p>que se tem entendimento claro de como a TI influencia e direciona a estratégia de</p><p>negócios.</p><p>Master Level</p><p>Para obter a certificação Master, é preciso ser capaz de explicar e justificar como são</p><p>selecionados e aplicados diferentes conhecimentos, princípios, métodos e técnicas</p><p>de ITIL, além de técnicas de gerenciamento de apoio para alcançar os resultados de</p><p>negócios desejados.</p><p>Sintetizando</p><p>Neste capítulo, vimos:</p><p>» o histórico do ITIL e suas diferentes versões;</p><p>» os objetivos e princípios do ITIL;</p><p>» a estrutura da versão mais atual do ITIL;</p><p>» a aplicabilidade do framework ITIL;</p><p>» as certificações disponíveis sobre o ITIL.</p><p>70</p><p>Introdução</p><p>No capítulo 5, vimos mais um framework que pode ser utilizado para apoio aos</p><p>diferentes processos envolvidos na Governança de TI. Neste capítulo, continuaremos</p><p>a discutir alguns outros modelos que podem ser adotados para apoio à GTI, dentre</p><p>eles o CMMI e o MPS.BR.</p><p>Como veremos ao longo deste capítulo, os outros modelos de suporte apresentam</p><p>diferentes enfoques, mas todos compartilham de um objetivo comum: aprimorar</p><p>produtos e serviços da Tecnologia da Informação.</p><p>Objetivos</p><p>» Conhecer a integração do modelo de maturidade e capacidade e suas características.</p><p>» Refletir sobre a relevância do padrão ISO/IEC 20000 no gerenciamento de</p><p>serviços de TI.</p><p>» Avaliar o padrão ISO 9001 e as características do sistema de gestão da qualidade.</p><p>» Discutir o padrão ISO/IEC 12207 e as questões relacionadas aos processos do</p><p>ciclo de vida do software.</p><p>» Conhecer o padrão ISO/IEC 9126 e os critérios determinantes da qualidade dos</p><p>produtos de software.</p><p>» Discutir o modelo MPS.BR e suas formas de promover a melhoria na indústria</p><p>brasileira de produção de software.</p><p>6.1. CMMI – Capability Maturity Model Integration</p><p>O Capability Maturity Model Integration (CMMI) é um framework de melhoria de processos</p><p>desenvolvido há mais de 20 anos e administrado pelo Software Engineering Institute</p><p>6</p><p>CAPÍTULO</p><p>OUTROS MODELOS DE SUPORTE À</p><p>GOvERnança DE TI</p><p>71</p><p>OUTROS MODELOS DE SUPORTE À GOvERnança DE TI • CAPÍTULO 6</p><p>(SEI – Instituto de Engenharia de Software) da Carnegie Mellon University. O CMMI é</p><p>patrocinado pelo governo americano (especialmente pelo Departamento de Defesa)</p><p>e está em uso por organizações de todos os tamanhos em todo o mundo. Ele tem</p><p>ajudado a racionalizar custos, reduzir retrabalho e taxas de defeitos e melhorar prazos</p><p>e qualidade.</p><p>Saiba mais</p><p>O Software Engineering Institute é um Centro de Pesquisa e Desenvolvimento com Financiamento Federal (Federally Funded</p><p>Research and Development Center – FFRDC) – que é uma parceria público-privada sem fins lucrativos que realiza pesquisas</p><p>para o governo dos Estados Unidos. O SEI conduz ações de P&D (pesquisa e desenvolvimento) em engenharia de software,</p><p>engenharia de sistemas, segurança cibernética e muitas outras áreas da computação, trabalhando para introduzir inovações</p><p>do setor privado no governo.</p><p>O CMMI foi desenvolvido para abordar uma ampla gama de ambientes de aplicativos.</p><p>Existem três visões diferentes baseadas nesse framework, quais sejam:</p><p>» CMMI para Desenvolvimento: para gestão e melhoria de processos em</p><p>organizações de desenvolvimento de software;</p><p>» CMMI para Aquisição: para organizações que devem iniciar e gerenciar a aquisição</p><p>de produtos e serviços;</p><p>» CMMI para Serviços: para ajudar as organizações a implantar e gerenciar serviços.</p><p>Figura 21. visões do CMMI.</p><p>CMMI</p><p>Desenvolvimento</p><p>Aquisições</p><p>Serviços</p><p>Fonte: elaborada pela autora.</p><p>72</p><p>CAPÍTULO 6 • OUTROS MODELOS DE SUPORTE À GOvERnança DE TI</p><p>Por sua natureza, o CMMI para Desenvolvimento é a escolha certa para melhoria</p><p>de processos no desenvolvimento de software. Ele pode ser usado não apenas para</p><p>aumentar a eficiência dos processos de desenvolvimento de produtos, mas também</p><p>daqueles relacionados a planejamento, gerenciamento e controle das atividades de</p><p>desenvolvimento. O padrão CMMI para Desenvolvimento disponibiliza as melhores</p><p>práticas adotadas por organizações de desenvolvimento bem-sucedidas e relata</p><p>experiências de especialistas em qualidade de software. A ideia é colocar as organizações</p><p>no caminho da melhoria de processos, permitindo-lhes antever os resultados. Com o</p><p>auxílio do CMMI, as previsões das saídas, inclusive o prazo e a qualidade do produto,</p><p>são feitas com menor risco de exceder o orçamento, demonstrar problemas de qualidade</p><p>e ultrapassar o cronograma.</p><p>É possível integrar o CMMI com outros frameworks e outras boas práticas, como</p><p>desenvolvimento ágil , PMBOK e Six Sigma, pois o CMMI não define como o</p><p>desenvolvimento de software deve ser realizado. Em vez disso, ele define o que deve</p><p>ser feito para melhorar os processos de desenvolvimento. Trata-se, então, de um</p><p>framework de referência para ambientes de desenvolvimento de sucesso.</p><p>Existem duas representações diferentes do CMMI: contínua e por estágios. Essas</p><p>representações existem para fornecer às organizações diferentes requisitos e um</p><p>conjunto único de ferramentas para melhoria de processos. Em outras palavras, elas</p><p>permitem que a organização escolha o caminho que deseja trilhar na melhoria dos</p><p>processos.</p><p>O modelo por estágios concentra-se na organização geral e fornece um roteiro como</p><p>uma série de estágios ou etapas. Esses estágios são chamados de níveis de maturidade e</p><p>indicam a maturidade da organização em relação a um conjunto de áreas de processo.</p><p>Enquanto a organização avança nos níveis de maturidade, ela implementa cada vez</p><p>mais práticas de várias áreas de processo. Assim que a organização satisfizer as metas</p><p>de todas as áreas de processo em um nível de maturidade, ela pode avançar para o</p><p>próximo nível a fim de melhorar ainda mais seus processos.</p><p>O modelo contínuo fornece menos orientação sobre a ordem das áreas de processo</p><p>que devem ser implementadas e aprimoradas. Em vez disso, o foco está na área de</p><p>processo individual e em como ela pode ser melhorada. Cada área de processo está</p><p>em seu próprio nível de capacidade. O agrupamento das áreas de processo não é</p><p>seguido no modelo contínuo.</p><p>73</p><p>OUTROS MODELOS DE SUPORTE À GOvERnança DE TI • CAPÍTULO 6</p><p>Figura 22. Modelos do CMMI.</p><p>• Usa níveis de</p><p>maturidade para medir a</p><p>melhoria do processo.</p><p>MODELO</p><p>CONTÍNUO</p><p>• Usa níveis de</p><p>capacidade para medir a</p><p>melhoria do processo.</p><p>MODELO</p><p>SEGMENTADO</p><p>Fonte: elaborada pela autora.</p><p>As organizações que trabalham com a representação contínua do CMMI utilizam</p><p>níveis de capacidade para medir seus esforços de melhoria de processo. Os seguintes</p><p>níveis estão definidos.</p><p>Figura 23. níveis de capacidade do CMMI.</p><p>0</p><p>Incompleto</p><p>1</p><p>Inicial</p><p>2</p><p>Gerenciado</p><p>3</p><p>Definido</p><p>4</p><p>Gerenciado</p><p>quantitativamente</p><p>5</p><p>Otimizado</p><p>Fonte: elaborada pela autora.</p><p>A organização começa com o nível de capacidade 0 (incompleto), o que indica que</p><p>os processos não são executados ou o são parcialmente. A evolução pode seguir</p><p>até o nível de capacidade 5 (otimizado), que requer que a organização mensure</p><p>constantemente seus processos, analise tendências, pesquise a prática técnica, trate</p><p>das causas comuns de variação do processo e adapte os processos às necessidades</p><p>de negócios em mudança.</p><p>As organizações que trabalham com a representação segmentada do CMMI utilizam</p><p>níveis de maturidade. Esses níveis se diferem dos níveis de capacidade porque são</p><p>aplicados a conjuntos de áreas de processo em que um</p><p>conjunto combinado de metas</p><p>deve ser alcançado. Os seguintes níveis de maturidade são usados no CMMI.</p><p>74</p><p>CAPÍTULO 6 • OUTROS MODELOS DE SUPORTE À GOvERnança DE TI</p><p>Figura 24. níveis de maturidade do CMMI.</p><p>1</p><p>Inicial</p><p>2</p><p>Gerenciado</p><p>3</p><p>Definido</p><p>4</p><p>Gerenciado</p><p>quantitativamente</p><p>5</p><p>Otimizado</p><p>Fonte: elaborada pela autora.</p><p>O primeiro nível de maturidade 1 (inicial) indica uma organização com processos</p><p>improvisados e caóticos. Não existe um ambiente estável e o sucesso depende</p><p>das habilidades e do engajamento dos indivíduos, e não de processos definidos e</p><p>estabelecidos. As organizações nesse nível de maturidade podem entregar produtos</p><p>funcionais, mas eles geralmente excedem o orçamento e o cronograma originais. Essas</p><p>organizações geralmente se comprometem demais, abandonam seus processos em</p><p>momentos de estresse e têm problemas para repetir sucessos anteriores. Organizações</p><p>no nível de maturidade 5 (otimizado) melhoram continuamente seus processos usando</p><p>uma abordagem quantitativa para entender a variação de seus resultados. O foco está</p><p>na melhoria contínua do desempenho do processo, aprimorando gradativamente os</p><p>processos e a tecnologia usada.</p><p>Dentre os principais benefícios trazidos pela adoção do CMMI estão:</p><p>» consistência: o CMMI fornece uma abordagem comprovada que permitiu que</p><p>diversas organizações gerassem benefícios reais em termos de previsibilidade</p><p>e consistência de projeto aprimoradas;</p><p>» economia de custos: a melhoria do processo conduzida pelo CMMI também</p><p>oferece economia real de custos, com detecção de erros mais precocemente e</p><p>de maneira eficaz, o que reduz o custo de correção, promove gerenciamento</p><p>mais eficaz de mudanças para que você gaste menos em retrabalho, reduções</p><p>na variabilidade do cronograma e maior previsibilidade de custos;</p><p>» autoaperfeiçoamento: as empresas poderão utilizar o CMMI como forma de</p><p>se diferenciar localmente e, ao atingir um nível de CMMI, terão naturalmente</p><p>aprimorado seus processos, o que as tornará mais competitivas;</p><p>» demanda de mercado: as empresas concorrentes estão utilizando o CMMI para</p><p>as melhores práticas do setor e colhendo os benefícios disso. As empresas adotam</p><p>essa abordagem para melhor atender às demandas dos clientes e à concorrência;</p><p>» demanda de desempenho: o objetivo do CMMI é melhorar o desempenho dos</p><p>padrões, processos e procedimentos organizacionais existentes e não os redefinir.</p><p>O objetivo é ajudar as organizações a melhorar sua capacidade de entregar de</p><p>75</p><p>OUTROS MODELOS DE SUPORTE À GOvERnança DE TI • CAPÍTULO 6</p><p>forma consistente e previsível os produtos, serviços e bens de origem que seus</p><p>clientes desejam, quando almejam, e a um preço que estão dispostos a pagar;</p><p>» melhoria de processo: um projeto de melhoria conduzido pelo CMMI fornecerá</p><p>uma estrutura para padronizar os processos, garantindo que as melhores práticas</p><p>do negócio sejam identificadas, compartilhadas e adotadas.</p><p>6.2. ISO/IEC 20000</p><p>O padrão ISO/IEC 20000 é o primeiro mundialmente reconhecido e adotado no</p><p>gerenciamento de serviços de TI (Information Technology Service Management – ITSM).</p><p>Ele permite que os departamentos de TI garantam que seus processos de ITSM estejam</p><p>alinhados com as necessidades do negócio e as melhores práticas internacionais.</p><p>Esse padrão ajuda as organizações avaliarem como anda o fornecimento de serviços</p><p>gerenciados, além de permitir a medição dos níveis de serviço e avaliação de seu</p><p>desempenho.</p><p>Trata-se de um padrão fortemente baseado no ITIL. Conforme já discutido anteriormente,</p><p>o ITIL fornece orientações sobre as melhores práticas de ITSM, incluindo opções</p><p>adotadas e adaptadas por organizações de acordo com as necessidades de negócios,</p><p>circunstâncias locais e maturidade do provedor de serviços. A ISO/IEC 20000, por sua</p><p>vez, define os padrões que os processos de gerenciamento de serviços devem buscar.</p><p>Saiba mais</p><p>A sigla ISO faz referência à Organização Internacional de Normalização e significa International Standards Organizations.</p><p>A sigla IEC faz referência à Comissão Eletrotécnica Internacional e significa International Eletrotechnical Comission. Essas</p><p>instituições são responsáveis por publicar normas técnicas ou padrões em diferentes áreas, dentre elas a de Tecnologia da</p><p>Informação.</p><p>A ISO/IEC 20000 ajuda a aprimorar o serviço prestado aos clientes e melhorar a</p><p>satisfação, um foco importante para qualquer organização se forem considerados</p><p>os impactos potenciais de eventuais erros. A adoção do padrão demonstra que a</p><p>organização leva a sério o gerenciamento de serviços de TI e garante aos clientes que</p><p>as melhores práticas estão em vigor para fornecer um serviço eficaz. Ela aumenta a</p><p>confiança da empresa prestadora de serviço em suas operações e a incentiva a revisar</p><p>regularmente seu desempenho para garantir que se está realmente fazendo o melhor</p><p>para o negócio, o que certamente trará resultados para os stakeholders.</p><p>76</p><p>CAPÍTULO 6 • OUTROS MODELOS DE SUPORTE À GOvERnança DE TI</p><p>Existem muitas empresas que prestam serviços na área de TI. Assim, uma certificação</p><p>ISO/IEC 20000 pode ser de grande valia para se destacar no mercado. Além disso, essa</p><p>certificação também ajuda as prestadoras de serviços de TI a:</p><p>» oferecerem diferenciação competitiva, demonstrando confiabilidade e alta</p><p>qualidade dos serviços prestados;</p><p>» terem acesso aos principais mercados, já que muitas organizações no setor público</p><p>exigem que seus prestadores de serviços de TI demonstrem conformidade com</p><p>o padrão 20000;</p><p>» garantirem aos clientes que seus requisitos de serviço serão atendidos;</p><p>» apresentarem um nível mensurável de eficácia e uma cultura de melhoria</p><p>contínua, permitindo monitorar, medir e revisar seus processos e serviços de</p><p>gerenciamento de serviço.</p><p>6.3. ISO 9001</p><p>A ISO 9001 estabelece os critérios para um sistema de gestão da qualidade e é a única</p><p>norma na família 9000 que pode ser certificada. Ela pode ser utilizada por qualquer</p><p>organização, grande ou pequena, independentemente do ramo de atividade. Na</p><p>verdade, existem mais de um milhão de empresas e organizações em mais de 170</p><p>países com a certificação ISO 9001.</p><p>Saiba mais</p><p>Um Sistema de Gestão da Qualidade (SGQ) é um conjunto de políticas, processos e procedimentos necessários para o</p><p>planejamento e execução na área de negócios central de uma organização, ou seja, áreas que podem impactar a capacidade</p><p>da organização de atender aos requisitos do cliente.</p><p>Esse padrão é baseado em uma série de princípios de gestão da qualidade, e inclui</p><p>forte foco no cliente, motivação e implicação da alta administração, abordagem do</p><p>processo e melhoria contínua. Esses princípios são explicados com mais detalhes nos</p><p>princípios de gerenciamento de qualidade da ISO. O uso da ISO 9001 ajuda a garantir</p><p>que os clientes obtenham produtos e serviços consistentes e de boa qualidade, o que,</p><p>por sua vez, traz muitos benefícios comerciais.</p><p>Ao receber a certificação ISO 9001, a empresa se junta a milhares de outras organizações</p><p>que aprimoraram seus negócios com a adoção do padrão de sistema de gestão. Além</p><p>de ser reconhecida internacionalmente como o Sistema de Gestão de Qualidade (SGQ)</p><p>77</p><p>OUTROS MODELOS DE SUPORTE À GOvERnança DE TI • CAPÍTULO 6</p><p>mais amplamente adotado no mundo, a ISO 9001 também é uma ferramenta poderosa</p><p>de melhoria de negócios.</p><p>Um sistema de gerenciamento de qualidade ISO 9001 ajuda a monitorar e gerenciar</p><p>continuamente a qualidade da organização para que seja possível identificar eventuais</p><p>áreas que demandam melhorias. A implementação da ISO 9001 afeta toda a organização.</p><p>Entretanto, é preciso planejar o conjunto de etapas a ser seguido até sua implantação</p><p>a fim de se garantir o sucesso. Muitas formas de planejamento podem ser adotadas,</p><p>dentre elas a que será listada a seguir.</p><p>Familiarize-se com a ISO 9001</p><p>É altamente recomendável adquirir uma cópia da norma ISO 9001 e revisar os</p><p>conceitos-chave. Todos devem ter domínio sólido sobre os requisitos da norma,</p><p>os requisitos de procedimentos documentados</p><p>TECnOLOGIa Da</p><p>InFORMaçãO</p><p>8</p><p>CAPÍTULO 1 • GOvERnança DE TECnOLOGIa Da InFORMaçãO</p><p>1.1. Conceito de Governança de TI</p><p>A Governança de TI pode ser definida de diferentes maneiras. Segundo o Glossário</p><p>Gartner de Tecnologia da Informação, a GTI pode ser definida como o conjunto de</p><p>processos que garantem o uso eficaz e eficiente da TI de modo a permitir que uma</p><p>organização atinja seus objetivos. Pode-se, entretanto, definir a governança de forma</p><p>mais ampla, considerando-a como a alocação de direitos de decisão e responsabilidades</p><p>pela empresa: quem tem autoridade para tomar decisões importantes que influenciam</p><p>a necessidade e o valor derivado da tecnologia e se responsabilizar por elas?</p><p>Para o IT Governance Institute (ITGI – Instituto de Governança de TI), a GTI se preocupa</p><p>com dois aspectos principais: a entrega de valor da TI para o negócio e a mitigação dos</p><p>riscos de TI. Para tanto, é preciso alinhar estrategicamente a TI ao negócio e proceder</p><p>a inclusão da responsabilidade na empresa. Ambas iniciativas precisam ser apoiadas</p><p>por recursos adequados para garantir que os resultados sejam obtidos.</p><p>atenção</p><p>O IT Governance Institute foi criado em 1998 pela Information Systems Audit and Control Association – ISACA (Associação</p><p>de Auditoria e Controle de Sistemas de Informação). Seu objetivo é promover padrões internacionais de gestão e controle</p><p>da tecnologia da informação de uma organização. O ITGI fornece pesquisas, publicações e recursos sobre governança</p><p>de TI e tópicos relacionados para ajudar os líderes empresariais a garantir que a estratégia de TI apoie a missão e os</p><p>objetivos do negócio.</p><p>1.1.1 as cinco áreas de foco da Governança de TI</p><p>Introduzir a Governança de TI na organização pode ser uma experiência desafiadora,</p><p>pois cada especialista na área pode ter uma maneira diferente de implementá-la. O</p><p>preocupante é que uma interpretação livre da GTI pode ameaçar a integridade da</p><p>organização e resultar em uma aplicação ineficaz.</p><p>Um dos principais desafios das organizações é definir onde e como a TI deve ser</p><p>empregada para atender às demandas de hoje e se preparar para as necessidades</p><p>de amanhã. De modo a ajudar as empresas a se concentrarem nos aspectos que</p><p>podem ser mais críticos para que se trilhe o caminho adequado no que diz respeito</p><p>aos esforços direcionados à tecnologia, a GTI define cinco áreas principais de foco,</p><p>conforme mostra a figura 1.</p><p>9</p><p>GOvERnança DE TECnOLOGIa Da InFORMaçãO • CAPÍTULO 1</p><p>Figura 1. Cinco áreas de foco da Governança em TI.</p><p>Governança</p><p>de TI</p><p>1.</p><p>Alinhamento</p><p>Estratégico</p><p>2.</p><p>Entrega de</p><p>Valor</p><p>3.</p><p>Gestão de</p><p>Riscos</p><p>4.</p><p>Gestão de</p><p>Recursos</p><p>5.</p><p>Medição de</p><p>Desempenho</p><p>Fonte: elaborada pela autora.</p><p>» Essas cinco áreas de foco foram definidas pela ISACA de modo a determinar um</p><p>conjunto de diretrizes para a prática imparcial da GTI. A preocupação de cada</p><p>uma delas é descrita a seguir.</p><p>» Alinhamento estratégico: para ser eficaz ao permitir e apoiar a realização dos</p><p>objetivos de negócios, a estratégia de negócios deve orientar a estratégia de</p><p>TI. Diante disso, pode-se afirmar que as estratégias de negócios e TI estão</p><p>intrinsecamente relacionadas e as operações de negócios eficientes e eficazes,</p><p>bem como o crescimento da organização, dependem do alinhamento adequado</p><p>das duas. Os objetivos organizacionais e os planos de Governança de TI devem</p><p>estar alinhados de forma a permitir que os dois elementos trabalhem juntos como</p><p>um só e gerem benefícios para a empresa. A proposta de valor de TI deve ser bem</p><p>definida, mantida e validada para que o alinhamento real possa ganhar vida.</p><p>» Entrega de valor: a Governança de TI ajuda a empresa a obter benefícios comerciais</p><p>otimizados por meio do gerenciamento eficaz de investimentos habilitados para</p><p>TI. Frequentemente, há uma preocupação considerável em um conselho ou nível</p><p>de gerenciamento sênior de que as iniciativas de TI não estejam se traduzindo em</p><p>benefícios. É importante se ater à proposta de valor ao longo de todo o ciclo de</p><p>entrega. Isso se deve ao fato de que as metas organizacionais, provavelmente, só</p><p>serão realizadas se a TI cumprir as promessas relacionadas à estratégia. A gestão</p><p>deve tomar medidas cruciais para otimizar custos e aumentar o valor da TI.</p><p>10</p><p>CAPÍTULO 1 • GOvERnança DE TECnOLOGIa Da InFORMaçãO</p><p>» Gestão de riscos: no contexto empresarial, cada vez mais repleto de recursos</p><p>tecnológicos, identificar, avaliar, mitigar, gerenciar, comunicar e monitorar</p><p>riscos de negócios relacionados à TI deve ser parte integral das atividades de</p><p>governança. A alta administração assume a liderança no que se refere ao aumento</p><p>da consciência de risco na organização, influenciada por uma variedade de</p><p>fatores internos e externos. As partes responsáveis devem desenvolver um senso</p><p>aguçado de riscos iminentes que podem afetar as estratégias organizacionais.</p><p>Além disso, a administração deve garantir a transparência dos riscos a terceiros</p><p>e incutir responsabilidades de gerenciamento de risco nos funcionários.</p><p>» Gestão de recursos: para ser eficaz, a TI requer recursos suficientes e competentes</p><p>(pessoas, informações, infraestrutura e aplicativos) para atender às demandas</p><p>de negócios e viabilizar as atividades necessárias para atender aos objetivos</p><p>estratégicos atuais e futuros. Assim, a otimização do conhecimento e da</p><p>infraestrutura é importante para que se atinjam os objetivos de negócio. O</p><p>investimento em recursos de TI é necessário para reunir todos os elementos e</p><p>colocá-los para trabalhar em sincronia uns com os outros. Além disso, a gestão</p><p>adequada de tais recursos também é necessária para garantir que não haja</p><p>desperdício e que todos os recursos estejam prontamente disponíveis.</p><p>» Medição de desempenho: várias técnicas podem ser usadas para rastrear e</p><p>monitorar a implementação da estratégia de TI. Elas ajudam a fornecer insights</p><p>sobre o uso de recursos e a entrega de serviços. Isso permite que medidas</p><p>corretivas sejam tomadas antes que as falhas ocorram.</p><p>» O que talvez seja mais importante observar, no entanto, não é que todas as cinco</p><p>áreas de foco da Governança de TI estejam totalmente presentes na empresa, mas</p><p>que recomendações, padrões e melhores práticas referenciados nos domínios</p><p>sejam considerados e aplicados de acordo com as necessidades, requisitos e</p><p>recursos do negócio. Assim, a categorização sugerida pela ISACA é mais útil</p><p>quando considerada uma diretriz básica para introduzir as melhores práticas de</p><p>Governança de TI no negócio quando e onde elas são necessárias. No entanto,</p><p>é aconselhável que, independentemente do tamanho e do nível de maturidade</p><p>do negócio, pelo menos alguns elementos de cada domínio estejam presentes</p><p>para garantir uma Governança de TI eficaz.</p><p>1.2. Fatores motivadores da Governança de TI</p><p>A Governança de TI requer que os recursos tecnológicos sejam distribuídos de forma</p><p>responsável pela organização com vistas a priorizar o sucesso geral dos negócios.</p><p>11</p><p>GOvERnança DE TECnOLOGIa Da InFORMaçãO • CAPÍTULO 1</p><p>Isto é, a GTI exige que a TI não seja alocada com base nas necessidades individuais</p><p>da equipe, mas sim em metas organizacionais coletivas. Para tanto, alguns aspectos</p><p>principais motivam a presença da Governança de TI nas organizações, conforme</p><p>apresentado na figura 2.</p><p>Figura 2. Fatores motivadores da Governança em TI.</p><p>Governança</p><p>de TI</p><p>1.</p><p>TI como</p><p>serviço</p><p>2.</p><p>Integração</p><p>tecnológica</p><p>3.</p><p>Segurança da</p><p>informação</p><p>4.</p><p>Dependência</p><p>do negócio</p><p>em relação à</p><p>TI</p><p>5.</p><p>Marcos de</p><p>regulação</p><p>Fonte: adaptada de Fernandes; abreu, 2014, p. 7.</p><p>Observe a seguir a descrição das características desses fatores que motivam a presença</p><p>da GTI nas empresas.</p><p>» TI como serviço: trata-se de um método de entrega que vê a Tecnologia da</p><p>Informação como um produto e, portanto, fornece para a empresa exatamente</p><p>a quantidade de hardware, software e suporte de que ela necessita por uma</p><p>taxa mensal previamente acordada. Do inglês “IT as a service” (ITaaS), nesse</p><p>contexto, a TI engloba todas as tecnologias para criar, armazenar,</p><p>e o tipo de documentos e registros</p><p>exigidos para certificação. A ISO 9001 fornece estrutura para os requisitos essenciais</p><p>de um sistema de gestão da qualidade, mas é flexível para se adequar a todos os</p><p>tipos de negócios. É importante entender como o padrão se aplica especificamente</p><p>ao negócio em questão. Essa flexibilidade permitirá que os requisitos estabelecidos</p><p>sejam atendidos de forma que faça sentido para a organização.</p><p>Planeje tudo para implementação</p><p>Ter um plano sólido é essencial para fazer a transição para um novo sistema. Quando</p><p>se tem as pessoas certas no trabalho, o processo será muito mais fácil de ser realizado.</p><p>Para iniciar a implementação, a alta gestão deve criar uma equipe para liderar os</p><p>esforços de implantação da ISO. Essa equipe deve ser formada por gestores de diferentes</p><p>áreas do negócio, pois isso irá garantir o sucesso do Sistema de Gestão da Qualidade a</p><p>ser implantado. O chefe da equipe deve ter entendimento sólido da norma ISO 9001.</p><p>Identifique responsabilidades, políticas e objetivos</p><p>A política de qualidade é importante para a manutenção de um negócio comprometido</p><p>com o cumprimento dos objetivos e com o foco na satisfação do cliente. Essa política é</p><p>uma das características-chave que serão usadas para medir a organização ao determinar</p><p>o sucesso de Sistema de Gestão de Qualidade. Não existe uma definição preestabelecida</p><p>de qualidade que se aplique a todos os negócios. A definição mais adequada é aquela</p><p>acordada pela equipe de alta administração e baseada nos seus valores atuais e nos</p><p>objetivos que podem ser mensurados para determinação da qualidade.</p><p>78</p><p>CAPÍTULO 6 • OUTROS MODELOS DE SUPORTE À GOvERnança DE TI</p><p>Desenvolva sua documentação</p><p>É necessário manter a documentação do Sistema de Gestão da Qualidade para ser</p><p>certificado pela ISO 9001. Existem diversos documentos que podem ser úteis para</p><p>manter tudo funcionando como deveria. A organização e preparação da documentação</p><p>geralmente são feitas de acordo com a importância dos documentos. Primeiro, tem-se</p><p>o Manual da Qualidade, que inclui a política de qualidade e os objetivos da empresa,</p><p>bem como informações sobre o funcionamento do sistema de qualidade. Em seguida,</p><p>os documentos de procedimento, que detalham todos os processos de negócios</p><p>individuais e como operam e definem como cada processo é projetado e controlado,</p><p>incluindo quais verificações são realizadas para mantê-los em linha. Depois vêm</p><p>as instruções de trabalho – que são documentos muito específicos que detalham as</p><p>instruções necessárias para executar todas as tarefas dentro da empresa. Por fim,</p><p>há outros formulários e registros usados para coletar informações necessárias para</p><p>mostrar como o Sistema de Gestão da Qualidade está operando e se ele está de acordo</p><p>com o padrão.</p><p>Implante o sistema de gestão da qualidade</p><p>Esta é uma etapa importantíssima. Foi realizado todo o trabalho necessário para</p><p>preparar a organização para o sucesso na transição para a ISO 9001 e agora, tudo o</p><p>que é necessário fazer é lançar o plano. Será possível ver as mudanças entrarem em</p><p>ação e será necessário estar atento para garantir que tudo saia conforme o planejado.</p><p>Cada um dos funcionários é crucial para manter o Sistema de Gestão da Qualidade</p><p>funcionando como deveria. É preciso treinar todos eles nas partes do sistema que são</p><p>específicas para sua área de atuação. Quando entenderem como seu trabalho afeta o</p><p>sistema, eles ajudarão a direcionar a empresa na direção certa. Depois disso, recorra</p><p>ao plano estruturado para começar a colocar Sistema de Gestão da Qualidade em ação.</p><p>É recomendável monitorar o desempenho dos processos e realizar auditorias internas</p><p>para verificar se todos os requisitos planejados estão sendo atendidos.</p><p>Reveja o desempenho do SGQ</p><p>Depois de realizar a auditoria interna e de manter o Sistema de Gestão da Qualidade</p><p>funcionando por cerca de seis meses, é preciso revisar o progresso da organização.</p><p>Essa revisão ajudará a equipe a identificar quaisquer problemas subjacentes e as ações</p><p>corretivas que precisam ser tomadas para que tudo esteja de acordo com os requisitos.</p><p>A Análise de Gestão é uma ferramenta útil neste momento, pois dará uma visão precisa</p><p>do desempenho do SGQ e de quaisquer problemas que tenham surgido. Será possível</p><p>descobrir, por meio de análise, quais mudanças precisam ser implementadas na</p><p>79</p><p>OUTROS MODELOS DE SUPORTE À GOvERnança DE TI • CAPÍTULO 6</p><p>política ou nos objetivos de qualidade. Depois de identificar os pontos onde o SGQ</p><p>precisa ser corrigido, é hora de implementar as alterações. A ação precisa ser imediata</p><p>e todos os pontos problemáticos identificados devem ser tratados.</p><p>Avalie e registre-se para a certificação</p><p>Se o SGQ está funcionando por três a seis meses e tudo parece estável, a organização</p><p>está pronta para ser certificada. O avaliador realizará uma auditoria em duas etapas</p><p>para confirmar se sua empresa atende aos requisitos estabelecidos pela norma ISO</p><p>9001. Primeiro vão auditar a documentação para garantir que ela está em vigor e</p><p>de acordo com o padrão. Se todos os seus documentos atenderem aos requisitos</p><p>padrão, o avaliador irá até a empresa para auditar seus processos. Existe a opção</p><p>de realizar uma auditoria de pré-avaliação, que é basicamente como uma auditoria</p><p>prática. O avaliador monitorará o SGQ por cerca de seis semanas antes do registro</p><p>para certificação e recomendará quaisquer ações corretivas que devem ser tomadas</p><p>antes de sua auditoria.</p><p>adote a mentalidade da melhoria contínua</p><p>A norma ISO 9001 exige que as empresas certificadas continuem a apresentar melhorias</p><p>na eficácia de seu Sistema de Gestão da Qualidade. O objetivo é satisfazer os clientes,</p><p>identificando processos que podem ser melhorados. O ideal é implementar um sistema</p><p>que facilite a melhoria contínua. Algumas etapas podem ser recomendadas para esse</p><p>momento:</p><p>» planeje um cronograma para auditorias internas e análises críticas de</p><p>gerenciamento. Certifique-se de que todos os objetivos e processos estejam bem</p><p>estabelecidos e compreendidos para entregar resultados em conformidade com</p><p>a política de qualidade. Use o feedback de funcionários e clientes para identificar</p><p>onde as coisas estão dando errado e coloque um plano em prática para ver se</p><p>tudo está resolvido;</p><p>» crie uma pequena amostra das alterações que deseja implementar. Antes de</p><p>interromper o fluxo de trabalho realizando uma ação, seria benéfico garantir</p><p>que a mudança realmente funcionará;</p><p>» verifique regularmente todos os produtos e processos em relação às políticas e</p><p>requisitos do cliente. Relate os resultados dessas verificações. Verifique todas as</p><p>atividades-chave para garantir que a saída esteja em conformidade;</p><p>» coloque as mudanças bem-sucedidas em ação. Se uma mudança foi bem nos</p><p>testes, é hora de inclui-la no sistema completo para melhorá-la. Envolva todos</p><p>que serão afetados pelas mudanças. Certifique-se de que todas as alterações</p><p>sejam documentadas e que tudo esteja atualizado e atenda aos requisitos.</p><p>80</p><p>CAPÍTULO 6 • OUTROS MODELOS DE SUPORTE À GOvERnança DE TI</p><p>Figura 25. Passos para a implantação da ISO 9001.</p><p>Familiarizar-se com a</p><p>ISO 9001</p><p>Planejar a</p><p>implementação</p><p>Identificar</p><p>responsabilidades,</p><p>políticas e objetivos</p><p>Desenvolver a</p><p>documentação Implantar o SGQ Rever o desempenho</p><p>do SGQ</p><p>Avaliar e registrar-se</p><p>para a certificação</p><p>Adotar a mentalidade</p><p>de melhoria contínua</p><p>Fonte: elaborada pela autora.</p><p>Pode parecer uma missão impossível, mas, assim que o novo sistema estiver implantado,</p><p>será possível perceber grandes mudanças na eficiência do funcionamento da empresa.</p><p>A implementação da ISO 9001 oferecerá uma maneira prática de melhorar e monitorar</p><p>todas as partes de como a empresa opera.</p><p>6.4. ISO/IEC 12207</p><p>Este padrão internacional estabelece um framework para os processos relacionados ao</p><p>ciclo de vida do software. Ele contém processos, atividades e tarefas que são aplicáveis</p><p>durante as etapas de aquisição, fornecimento, desenvolvimento, operação, manutenção</p><p>ou descarte de sistemas, produtos e serviços de software. Esses processos do ciclo de</p><p>vida são realizados com a participação dos stakeholders.</p><p>As definições do padrão se aplicam ao ciclo de vida completo de sistemas, produtos</p><p>e serviços, incluindo concepção, desenvolvimento, produção, implantação, suporte e</p><p>descontinuidade. Essa ISO também se ocupa de questões relacionadas à aquisição e ao</p><p>fornecimento de software, seja realizada interna ou externamente a uma organização.</p><p>Existe uma grande variedade de sistemas em termos de finalidade, domínio de</p><p>aplicação, complexidade, tamanho, novidade, adaptabilidade, quantidade, locais de</p><p>uso, vida útil e evolução. Entretanto, esse padrão não prescreve um modelo específico</p><p>de software, metodologia de desenvolvimento, método, abordagem de modelagem ou</p><p>técnica. Os usuários do padrão são responsáveis por selecionar um modelo de ciclo</p><p>de vida para o projeto e estabelecer as relações entre os processos, as atividades e as</p><p>tarefas do padrão com o modelo adotado.</p><p>81</p><p>OUTROS MODELOS DE SUPORTE À GOvERnança DE TI • CAPÍTULO 6</p><p>6.5. ISO/IEC 9126</p><p>O padrão ISO/IEC 9126 descreve um modelo de qualidade de software categorizado</p><p>conforme seis características (ou fatores) que estão subdivididas em critérios.</p><p>As características se manifestam externamente quando o software é usado como</p><p>consequência de seus atributos internos.</p><p>Os atributos internos do software são medidos por meio de métricas internas, por</p><p>exemplo, monitoramento do desenvolvimento do sistema antes da entrega. As</p><p>características de qualidade são medidas externamente por meio de métricas externas,</p><p>por exemplo, avaliação de produtos de software a serem entregues.</p><p>Dentre os critérios de qualidade definidos pelo padrão estão:</p><p>» funcionalidade: permite avaliar quão bem o software fornece as funções desejadas.</p><p>Pode ser usado para avaliar, controlar e prever até que ponto o produto de software</p><p>(ou partes dele) em avaliação satisfaz os requisitos funcionais;</p><p>» confiabilidade: permite avaliar quão bem o software mantém o nível de</p><p>desempenho quando usado sob condições específicas. Pode ser usado para</p><p>avaliar, controlar e prever até que ponto o produto de software (ou partes dele)</p><p>em questão satisfaz os requisitos de confiabilidade;</p><p>» usabilidade: permite avaliar quão bem o software pode ser compreendido,</p><p>aprendido, usado e apreciado pelo desenvolvedor. Pode ser usado para avaliar,</p><p>controlar e prever até que ponto o produto de software (ou partes dele) avaliado</p><p>satisfaz os requisitos de usabilidade;</p><p>» reusabilidade: a reusabilidade é um caso especial do critério de qualidade</p><p>“Usabilidade” e pode ser entendida como a usabilidade do software para</p><p>integração com outros sistemas, ou seja, usabilidade de suas bibliotecas e seus</p><p>componentes. Logo, as métricas de usabilidade internas serão usadas para</p><p>prever até que ponto o software em questão pode ser compreendido, aprendido,</p><p>operado, é atraente e está em conformidade com os regulamentos e diretrizes</p><p>de usabilidade, ressaltando que, neste critério, “usar” significa integrá-lo em</p><p>um sistema maior;</p><p>» eficiência: permite avaliar quão bem o software fornece o desempenho necessário</p><p>em relação à quantidade de recursos usados. Pode ser usada para avaliar, controlar</p><p>e prever até que ponto o produto de software (ou partes dele) em questão satisfaz</p><p>os requisitos de eficiência;</p><p>82</p><p>CAPÍTULO 6 • OUTROS MODELOS DE SUPORTE À GOvERnança DE TI</p><p>» manutenibilidade: permite avaliar quão bem o software pode ser mantido. Pode</p><p>ser usado para avaliar, controlar e prever o esforço necessário para modificar o</p><p>produto de software (ou partes dele) em questão;</p><p>» portabilidade: permite avaliar quão bem o software pode ser portado de um</p><p>ambiente para outro. Pode ser usado para avaliar, controlar e prever até que</p><p>ponto o produto de software (ou partes dele) em questão atende aos requisitos</p><p>de portabilidade.</p><p>Figura 26. Critérios de qualidade da ISO/IEC 9126.</p><p>Funcionalidade</p><p>Confiabilidade</p><p>Usabilidade</p><p>ReusabilidadeEficiência</p><p>Manutenibilidade</p><p>Portabilidade</p><p>Fonte: elaborada pela autora.</p><p>6.6. MPS.BR</p><p>O MPS.BR (Melhoria do Processo de Software brasileiro) é uma iniciativa brasileira</p><p>de melhoria do processo de desenvolvimento de software. Trata-se de um projeto</p><p>coordenado pela SOFTEX (Associação para Promoção da Excelência do Software</p><p>Brasileiro) que, desde 1996, trabalha na melhoria da competividade da Indústria</p><p>Brasileira de Software, Serviços de TI e Comunicações.</p><p>O MPS.BR tem como foco as micro, pequenas e médias software houses (empresas</p><p>produtoras de software), pois elas precisam aprimorar seus processos com frequência</p><p>para que possam se manter competitivas. O modelo busca implantar os princípios da</p><p>83</p><p>OUTROS MODELOS DE SUPORTE À GOvERnança DE TI • CAPÍTULO 6</p><p>Engenharia de Software no ambiente das empresas brasileiras para mantê-las afinadas</p><p>com as abordagens internacionais que visam definição, avaliação e melhoria dos</p><p>processos relacionados ao desenvolvimento de software.</p><p>O MPS.BR tem duas metas principais: a meta técnica e a meta de negócio. A meta técnica</p><p>visa ao aprimoramento do modelo; enquanto a meta de negócio visa à disseminação</p><p>e à adoção do modelo pelas empresas desenvolvedoras de software.</p><p>No MPS.BR, o modelo de avaliação trabalha com sete níveis de maturidade de processo</p><p>para as software houses, conforme mostrado na figura a seguir.</p><p>Figura 27. níveis de maturidade do MPS.BR.</p><p>Fonte: https://promovesolucoes.com/mps-br/niveis-mps-br/.</p><p>Cada um dos níveis de maturidade agrupa um conjunto de processos e atributos que</p><p>ajudam a empresa a identificar quais áreas demandam maior esforço de melhoria.</p><p>Isso permite que ela progrida nos níveis e se torne um modelo de referência.</p><p>O modelo MPS.BR está descrito em uma série de guias. São eles:</p><p>» Guia Geral MPS de Software;</p><p>» Guia Geral MPS de Serviços;</p><p>» Guia de Aquisição;</p><p>» Guia de Avaliação;</p><p>» Guia de Implementação.</p><p>84</p><p>CAPÍTULO 6 • OUTROS MODELOS DE SUPORTE À GOvERnança DE TI</p><p>Sintetizando</p><p>Neste capítulo, vimos:</p><p>» a integração do modelo de maturidade e capacidade e suas características;</p><p>» o padrão ISO/IEC 20000 e sua relevância no gerenciamento de serviços de TI;</p><p>» a ISO 9001 e as características do sistema de gestão da qualidade;</p><p>» o padrão ISO/IEC 12207 e as questões relacionadas aos processos do ciclo de vida do software;</p><p>» a ISO/IEC 9126 e os critérios determinantes da qualidade dos produtos de software;</p><p>» o modelo MPS.BR e suas formas de promover a melhoria na indústria brasileira de produção de software.</p><p>85</p><p>Referências</p><p>ARAGON, F.; FERRAZ, V. A. Implantando a governança de TI: da estratégia à gestão dos processos e serviços.</p><p>4. ed. Rio de Janeiro: Brasport, 2014.</p><p>GARTNER. Gartner Glossary of Information Technology. Disponível em: https://www.gartner.com/en/</p><p>information-technology/glossary. Acesso em: 26 abr. 2021.</p><p>Links</p><p>https://www.serpro.gov.br/lgpd/.</p><p>https://tableless.github.io/iniciantes/manual/js/o-que-framework.html.</p><p>https://www.dictionary.com/browse/widge.</p><p>https://youtu.be/xYbNdHYTj24.</p><p>https://www.euax.com.br/2019/10/gerenciamento-de-servicos-de-ti/ https://canaltech.com.br/carreira/o-novo-</p><p>papel-do-cio-80957/.</p><p>https://bit.ly/isaca-cobi.</p><p>https://faciles.com.br/blog/sourcing/.</p><p>https://www.itsmnapratica.com.br/tudo-sobre-cobit-2019/.</p><p>https://bit.ly/apmg-international.</p><p>https://www.investopedia.com/terms/j/jointventure.asp.</p><p>https://agilemanifesto.org/iso/ptbr/principles.html.</p><p>https://www.holmesdoc.com.br/silos-organizacionais-o-que-sao/.</p><p>https://www.itsmnapratica.com.br/tudo-sobre-itil/.</p><p>https://promovesolucoes.com/mps-br/niveis-mps-br/.</p><p>_Hlk522994556</p><p>_Hlk77194413</p><p>_Hlk87273039</p><p>_Hlk77116556</p><p>_Hlk87273086</p><p>_Hlk87273214</p><p>_Hlk78505732</p><p>_Hlk87273331</p><p>Organização do Livro Didático</p><p>Introdução</p><p>Capítulo</p><p>Governança de Tecnologia da Informação</p><p>Capítulo</p><p>O Modelo de Governança de Tecnologia da Informação</p><p>Capítulo</p><p>Planejamento, Implementação e Gerenciamento da Governança de Tecnologia da Informação</p><p>Capítulo</p><p>COBIT: Control Objectives for Information and Related Technology</p><p>Capítulo</p><p>ITIL: Information Technology Infrastructure Library</p><p>Capítulo</p><p>Outros modelos de suporte à governança de TI</p><p>Referências</p><p>trocar e usar</p><p>dados dos negócios. De acordo com seus proponentes, a ITaaS oferece vários</p><p>benefícios, dentre eles:</p><p>› investimento inicial mínimo em TI;</p><p>› despesas regulares e previsíveis;</p><p>› transparência financeira nos investimentos de TI;</p><p>› monitoramento contínuo de serviços;</p><p>12</p><p>CAPÍTULO 1 • GOvERnança DE TECnOLOGIa Da InFORMaçãO</p><p>› suporte técnico especializado;</p><p>› escalabilidade;</p><p>› atualizações regulares de software e patches;</p><p>› garantia de hardware atualizado.</p><p>atenção</p><p>A escalabilidade é uma característica que permite o aumento da capacidade e das funcionalidades de recursos de hardware</p><p>e software de acordo com a demanda de seus usuários. Um serviço escalável pode permanecer estável enquanto se adapta a</p><p>mudanças, atualizações, revisões e ampliação ou redução de recursos.</p><p>Saiba mais</p><p>O termo “patch” – que, em português, significa “remendo” – refere-se a um programa de computador criado com o objetivo</p><p>de corrigir problemas ou incluir melhorias em outros programas já existentes.</p><p>» Integração tecnológica: diferentes setores da organização podem ser integrados</p><p>via TI de modo a contribuírem uns com os outros. Segundo Fernandes e Abreu</p><p>(2014), algumas das integrações mais significativas acontecem entre:</p><p>› cadeias de suprimento;</p><p>› gestão da empresa e seu chão de fábrica;</p><p>› funções administrativas e padronização dos aplicativos nas filiais;</p><p>› redes de distribuição de produtos;</p><p>› processos de desenvolvimento e manufatura de produtos;</p><p>› processos de gestão de clientes;</p><p>› gestão estratégica com a gestão tática e operacional.</p><p>Nas integrações descritas anteriormente, diferentes tipos de recursos tecnológicos</p><p>podem ser necessários, como infraestrutura de rede e internet, aplicações do tipo</p><p>Enterprise Resource Planning (ERP), Manufacturing Execution System (MES) e Customer</p><p>Relationship Management (CRM), além de recursos de data warehouse, data mining</p><p>e de inteligência organizacional.</p><p>13</p><p>GOvERnança DE TECnOLOGIa Da InFORMaçãO • CAPÍTULO 1</p><p>Saiba mais</p><p>Um sistema do tipo Enterprise Resource Planning (ERP) é um sistema integrado de gestão empresarial que interliga, em um</p><p>único sistema, os dados e processos de uma organização.</p><p>Uma aplicação do tipo Manufacturing Execution System (MES) refere-se a um sistema de execução de manufatura que</p><p>conecta, monitora e controla sistemas de fabricação complexos e fluxos de dados no chão de fábrica. O principal objetivo de</p><p>um MES é garantir a execução eficaz das operações de manufatura e melhorar a produção.</p><p>Um sistema de Customer Relationship Management (CRM) compila dados de clientes de vários canais, incluindo site da</p><p>empresa, registros de telefone, chat ao vivo, mala direta, materiais de marketing e mídia social. Esses sistemas podem</p><p>oferecer grandes benefícios para as empresas.</p><p>Um data warehouse – que, em português, significa “armazém de dados” – ajuda os usuários a compreender e aprimorar o</p><p>desempenho de sua organização. A necessidade de armazenar dados evoluiu à medida que os sistemas computacionais se</p><p>tornaram mais complexos e precisaram lidar com quantidades crescentes de informações.</p><p>O termo data mining – que, em português, significa “mineração de dados” – faz referência ao processo de localização</p><p>de padrões potencialmente úteis em grandes conjuntos de dados. Demanda abordagem multidisciplinar que recorre a</p><p>aprendizado de máquina, estatística e inteligência artificial para extrair informações de modo a avaliar a probabilidade de</p><p>determinados eventos futuros.</p><p>» Segurança da informação: um aspecto que assombra todos os profissionais</p><p>de segurança da informação é que nunca haverá recursos suficientes para</p><p>mitigar todos os riscos potenciais de segurança. É função do Chief Information</p><p>Security Officer (CISO) tomar as decisões críticas sobre onde alocar os recursos</p><p>da organização para a redução máxima de risco relacionado à informação. É</p><p>extremamente importante considerar a governança de segurança de TI de forma</p><p>a priorizar riscos e criar suporte para proteger a organização.</p><p>Saiba mais</p><p>O Chief Information Security Officer (CISO) é o executivo responsável pelos dados e necessidades de segurança cibernética de</p><p>uma organização.</p><p>» Dependência do negócio em relação à TI: a teoria da dependência baseia-se no</p><p>princípio de que uma organização deve se envolver em transações com outros</p><p>atores e organizações em seu ambiente para adquirir recursos. Embora tais</p><p>transações possam ser vantajosas, elas também podem criar dependências que</p><p>não as são. Os recursos de que a organização precisa podem ser escassos, nem</p><p>sempre prontamente obtidos ou estar sob o controle de atores não cooperativos.</p><p>As trocas desiguais resultantes geram diferenças de poder, autoridade e acesso a</p><p>14</p><p>CAPÍTULO 1 • GOvERnança DE TECnOLOGIa Da InFORMaçãO</p><p>recursos adicionais. No que diz respeito à TI, quanto maior o número de processos</p><p>e serviços organizacionais que dependem da tecnologia para serem realizados</p><p>e/ou ofertados, maior será o papel estratégico da TI nessa organização.</p><p>» Marcos de regulação: comumente chamados de “compliance” – que, em</p><p>português, significa “conformidade” – referem-se aos processos por meio</p><p>dos quais as organizações mostram que estão obedecendo os requisitos de</p><p>contratos, regulamentos, políticas e leis. A conformidade é uma preocupação</p><p>predominante nos negócios, em parte por causa de um número cada vez maior</p><p>de regulamentações que exigem que as empresas estejam atentas para manter</p><p>um entendimento completo de seus requisitos de conformidade regulamentar.</p><p>Um exemplo na área de TI é a Lei Geral de Proteção de Dados Pessoais (LGPD),</p><p>que busca proteger os dados pessoais contra vulnerabilidades e vazamentos.</p><p>Saiba mais</p><p>Se quiser saber mais sobre a Lei Geral de Proteção de Dados Pessoais, visite o site https://www.serpro.gov.br/lgpd/. Acesso</p><p>em: 7 maio 2021.</p><p>1.3. Objetivos da Governança de TI</p><p>A Governança de TI engloba aspectos relacionados a liderança, estruturas e processos</p><p>que permitem que a organização tome decisões para garantir que sua TI sustente e</p><p>amplie suas estratégias e objetivos. A GTI é parte integrante da governança corporativa</p><p>geral e, portanto, demanda compreensão clara das metas e objetivos estratégicos da</p><p>empresa, além de uma estrutura com processos passíveis de repetição para apoiar</p><p>as decisões. Tudo isso visa garantir o alinhamento dos investimentos em TI com as</p><p>metas e objetivos da organização.</p><p>De modo geral, conforme apresentam Fernandes e Abreu (2014, pp. 15-16), a GTI</p><p>reforça que as decisões de TI se concentrem em promover:</p><p>» o posicionamento mais claro e consistente da TI em relação às demais áreas;</p><p>» o alinhamento e a priorização das iniciativas de TI com a estratégia do negócio;</p><p>» o alinhamento da arquitetura de TI, sua infraestrutura e aplicações às necessidades</p><p>do negócio;</p><p>15</p><p>GOvERnança DE TECnOLOGIa Da InFORMaçãO • CAPÍTULO 1</p><p>» a implantação e a melhoria dos processos operacionais e de gestão necessários ao</p><p>atendimento dos serviços de TI segundo os padrões que atendem às necessidades</p><p>da organização;</p><p>» a TI de estrutura de processos que viabilize a gestão dos riscos e compliance</p><p>para garantia da continuidade operacional da empresa;</p><p>» o emprego das regras para as responsabilidades sobre decisões e ações relativas</p><p>à TI no contexto organizacional.</p><p>atenção</p><p>O termo “compliance” foi definido na seção anterior, na qual foram apresentados os fatores motivadores da Governança de</p><p>TI. Se deixou de ler essa definição, volte à seção anterior antes de prosseguir.</p><p>Em resumo, a Governança de TI trata da tomada de decisões de maneira estruturada e</p><p>passível de repetição para apoiar o investimento e o uso de TI com vistas a atingir os</p><p>objetivos de uma organização. A intenção da GTI é, então, garantir que os investimentos</p><p>em TI gerem valor comercial e mitiguem os riscos relacionados à tecnologia.</p><p>É importante ressaltar que a GTI influencia o grau em que uma organização obterá</p><p>valor de seus investimentos em TI. Pesquisas entre organizações</p><p>do setor privado</p><p>descobriram que as empresas de alto desempenho são bem-sucedidas na obtenção</p><p>de valor de TI onde outras falham porque, em grande parte, realizam implementação</p><p>eficaz da GTI para apoiar suas estratégias e institucionalizar boas práticas. Esse</p><p>princípio pode ser estendido aos objetivos da empresa como um todo.</p><p>Considerando que o objetivo da governança corporativa é, em última instância, derivar</p><p>valor dos recursos da empresa para todos os seus constituintes com base nas metas e</p><p>estratégias corporativas definidas, pode-se dizer que o objetivo da Governança de TI</p><p>é garantir a gestão eficaz e eficiente, bem como a entrega de bens e serviços alinhado</p><p>às estratégias da empresa.</p><p>1.4. Componentes da Governança de TI</p><p>A Governança de TI compreende diferentes domínios que, quando integrados de</p><p>maneira adequada, permitem que se apliquem as estratégias de TI de forma a garantir</p><p>a entrega de produtos e serviços a ela relacionados. Observe na figura 3 a maneira</p><p>como Fernandes e Abreu (2014, p. 17) apresentam a organização desses componentes</p><p>e domínios.</p><p>16</p><p>CAPÍTULO 1 • GOvERnança DE TECnOLOGIa Da InFORMaçãO</p><p>Figura 3. Domínios da Governança de TI.</p><p>ALINHAMENTO</p><p>ESTRATÉGICO E</p><p>COMPLIANCE</p><p>DECISÃO,</p><p>PRIORIZAÇÃO E</p><p>ALOCAÇÃO DE</p><p>RECURSOS</p><p>ESTRUTURA,</p><p>PROCESSOS,</p><p>OPERAÇÃO E</p><p>GESTÃO</p><p>GESTÃO DO</p><p>VALOR E DO</p><p>DESEMPENHO</p><p>DOMÍNIOS DA GOVERNANÇA DE TI</p><p>Fonte: adaptada de Fernandes; abreu, 2014, p. 17.</p><p>No primeiro domínio, o alinhamento estratégico de TI envolve a combinação de</p><p>estratégias, planos, processos, investimentos e decisões das unidades de TI para</p><p>apoiar a funcionalidade geral e o propósito das metas e objetivos da organização. A</p><p>execução desse alinhamento requer a fusão de todos os componentes organizacionais</p><p>da empresa, incluindo operações, finanças, recursos humanos e departamentos</p><p>de TI. Já a conformidade em TI refere-se a um conjunto de requisitos e práticas de</p><p>segurança digital. Segui-los é uma forma de garantir que os processos de negócios de</p><p>uma empresa sejam seguros e que dados confidenciais (incluindo dados de clientes)</p><p>não sejam acessados por partes não autorizadas.</p><p>Para estar em conformidade, é necessário implementar medidas de segurança</p><p>adequadas para proteger os dados contra acesso não autorizado, exposição, ataques</p><p>cibernéticos e outras ameaças. Ao implementar fortes práticas de segurança de TI,</p><p>não apenas cumprem-se as leis, mas também protege-se a empresa das consequências</p><p>negativas das violações de dados. Além disso, estar em conformidade é uma boa</p><p>maneira de aumentar a confiança entre a empresa e seus clientes.</p><p>Quanto ao segundo domínio, há muitos aspectos da tomada de decisão de Governança</p><p>de TI que precisam ser considerados. Governança tem tudo a ver com decidir “quem,</p><p>o quê, quando, por que e como” tomar decisões. Por exemplo: que tipo de decisões</p><p>de TI precisam ser feitas todos os dias? Quem tem os direitos de tomada de decisão?</p><p>Como as decisões são formadas e implementadas? Além disso, é preciso considerar</p><p>também como as decisões exigidas pela organização são tomadas, as funções na</p><p>empresa que são responsáveis por quais decisões, as políticas que orientam como</p><p>essas decisões são tomadas e em que ponto do processo de governança elas acontecem</p><p>apropriadamente. Uma estrutura adequada pode realmente ajudar as empresas a</p><p>alocar direitos de decisão de TI de modo que essas decisões individuais se alinhem</p><p>aos objetivos estratégicos.</p><p>17</p><p>GOvERnança DE TECnOLOGIa Da InFORMaçãO • CAPÍTULO 1</p><p>No terceiro domínio, estrutura, processos, operação e gestão são elementos</p><p>importantes da Governança de TI. A estrutura envolve a definição de papéis e</p><p>responsabilidades dentro de cada divisão da organização. Os processos englobam a</p><p>tomada de decisões, bem como o planejamento e o monitoramento que garante que</p><p>as políticas de TI sejam adequadas às necessidades do negócio. A operação refere-se</p><p>à troca entre TI e negócios, diálogos, conhecimento compartilhado e comunicação.</p><p>Por fim, a gestão é a responsável por acompanhar as etapas anteriores e garantir</p><p>que aconteçam conforme planejado.</p><p>A gestão do valor, citada no quarto domínio, se preocupa com a criação de valor</p><p>sustentável, seja em nível de projeto, seja em nível de produto, processo, organizacional</p><p>ou social. Ela se concentra em melhorar e manter um equilíbrio desejável entre as</p><p>necessidades e desejos dos stakeholders e os recursos necessários para satisfazê-los.</p><p>Os princípios centrais do valor de TI podem ser vistos como compartilhamento da</p><p>informação e entrega dentro do cronograma e do orçamento, levando à obtenção dos</p><p>benefícios prometidos.</p><p>Saiba mais</p><p>O termo “stakeholders” – que, em português, significa “partes interessadas” – não costuma ser traduzido e está muito</p><p>presente na literatura sobre projetos. Ele faz referência a uma parte que tem interesse em uma empresa e pode afetar ou ser</p><p>afetada pelo negócio. Os principais interessados em uma organização típica são seus investidores, funcionários, clientes e</p><p>fornecedores. No entanto, com a crescente atenção voltada à responsabilidade social corporativa, o conceito foi estendido</p><p>para incluir comunidades, governos e associações comerciais.</p><p>A gestão do desempenho, por sua vez, é um sistema de trabalho que começa quando</p><p>um trabalho é definido conforme necessário e se encerra quando um funcionário deixa</p><p>a organização para encontrar um novo emprego ou se aposentar. O gerenciamento de</p><p>desempenho define como se dá a interação com um funcionário e transforma cada</p><p>oportunidade de interação em uma ocasião de aprendizagem.</p><p>Para refletir</p><p>Existem muitas maneiras de implementar a Governança de TI, mas os princípios permanecem os mesmos. Embora seja</p><p>possível debater o método de implementação, não há como questionar ou discutir o valor essencial da GTI nas organizações.</p><p>Independentemente do tamanho da empresa, alguma forma de governança de TI deve fazer parte dos procedimentos</p><p>organizacionais. Com certeza, trata-se de um processo burocrático, mas definitivamente essencial.</p><p>18</p><p>CAPÍTULO 1 • GOvERnança DE TECnOLOGIa Da InFORMaçãO</p><p>Sintetizando</p><p>Neste capítulo, abordamos:</p><p>» o conceito de Governança de TI;</p><p>» os fatores motivadores da Governança de TI;</p><p>» os objetivos da Governança de TI;</p><p>» os componentes da Governança de TI.</p><p>19</p><p>Introdução</p><p>Nos últimos anos, a atenção da gestão corporativa tem se concentrado cada vez mais</p><p>na governança de TI. Em conjunto com a governança da empresa como um todo, a TI</p><p>deve estar integrada em uma estrutura holística que seja orientada para o objetivo</p><p>corporativo e que defina diretrizes e padrões com relação aos recursos de tecnologia</p><p>da informação. A eficiência, os riscos e os custos associados a esses recursos devem ser</p><p>gerenciados tão profissionalmente quanto qualquer outro fator crítico de sucesso de</p><p>uma empresa. Para tanto, as organizações costumam recorrer a modelos que ajudem</p><p>na orientação da implementação adequada dos aspectos relacionados à governança</p><p>de TI.</p><p>O Modelo de Governança de Tecnologia da Informação (MGTI) define as formas e os</p><p>métodos pelos quais uma organização pode implementar, gerenciar e monitorar a</p><p>governança de TI. Ele estabelece princípios, regras e processos que permitem uma</p><p>tomada de decisão eficaz e viabiliza formas para abordar como as decisões são tomadas,</p><p>quem tem autoridade para tomá-las e como elas serão comunicadas.</p><p>O MGTI deve ser adequado e flexível, de modo que possa se adaptar prontamente</p><p>às mudanças nos requisitos de negócios. Esse modelo precisa ser multicamadas,</p><p>idealmente em três níveis: executivo, comercial e operacional. Isso não apenas garante</p><p>uma tomada de decisão eficaz, mas também fornece um caminho de escalonamento</p><p>claro para a resolução de conflitos.</p><p>Neste capítulo, discutiremos uma visão geral do MGTI e refletiremos acerca do</p><p>alinhamento estratégico da área de TI com as outras da organização. Além disso,</p><p>conheceremos os aspectos principais do plano de TI e do portfólio de TI e conheceremos</p><p>os serviços de tecnologia</p><p>da informação. Por fim, abordaremos alguns aspectos</p><p>principais relacionados à gestão do desempenho da TI.</p><p>2</p><p>CAPÍTULO</p><p>O MODELO DE GOvERnança DE</p><p>TECnOLOGIa Da InFORMaçãO</p><p>20</p><p>CAPÍTULO 2 • O MODELO DE GOvERnança DE TECnOLOGIa Da InFORMaçãO</p><p>Objetivos</p><p>» Conhecer uma visão geral do Modelo de Governança de TI.</p><p>» Refletir sobre o alinhamento estratégico de TI.</p><p>» Identificar os principais aspectos do plano de TI.</p><p>» Discutir as características do portfólio de TI.</p><p>» Especificar os serviços de TI.</p><p>» Apreciar a finalidade da gestão de desempenho de TI.</p><p>2.1. visão geral do Modelo de Governança de TI</p><p>O MGTI é um tipo de estrutura que define as formas e os métodos pelos quais uma</p><p>organização pode implementar, gerenciar e monitorar a governança de TI. O MGTI ajuda</p><p>as organizações a estabelecerem e avaliarem aspectos relacionados ao desempenho e</p><p>à eficácia dos processos de governança de TI e preocupa-se com questões relacionadas</p><p>à conformidade legal e regulatória dos recursos de TI.</p><p>Para o desenvolvimento, a introdução e o controle da governança de TI, em um sentido</p><p>mais preciso, a gestão da empresa deve criar um modelo organizacional específico</p><p>para TI, com especificações acerca da tomada de decisão, papéis e responsabilidades.</p><p>Além disso, o modelo precisa definir as características dos cinco domínios principais</p><p>da GTI. São eles:</p><p>» alinhamento estratégico: a estratégia de TI deve estar alinhada com a estratégia</p><p>da organização como um todo;</p><p>» entrega de valor: a contribuição de valor da TI para o sucesso de uma organização</p><p>deve ser medida e avaliada;</p><p>» gestão de riscos: os riscos devem ser identificados e gerenciados;</p><p>» gestão de recursos: as decisões devem ser tomadas considerando o uso eficiente</p><p>e orientado para objetivos de recursos;</p><p>» medição de desempenho: o grau de implementação dos primeiros quatro domínios</p><p>deve ser medido e avaliado.</p><p>O MGTI, em específico, deve estar baseado em três elementos principais: a estrutura,</p><p>o processo e a comunicação, conforme veremos na figura a seguir.</p><p>21</p><p>O MODELO DE GOvERnança DE TECnOLOGIa Da InFORMaçãO • CAPÍTULO 2</p><p>Figura 4. Elementos principais do Modelo de Governança de TI.</p><p>Estrutura Processo Comunicação</p><p>MODELO DE GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO</p><p>Fonte: elaborada pela autora.</p><p>As especificidades de cada elemento são as seguintes.</p><p>» Estrutura: Quem deve tomar as decisões? Que organizações estruturais serão</p><p>criadas, quem fará parte dessas organizações e que responsabilidades assumirão?</p><p>» Processo: Como são tomadas as decisões relacionadas a investimentos em TI?</p><p>Quais são os processos de tomada de decisão para propor investimentos, revisar</p><p>investimentos, aprovar investimentos e priorizar investimentos?</p><p>» Comunicação: Como os resultados dos processos e decisões serão monitorados,</p><p>medidos e comunicados? Quais mecanismos serão usados para comunicar as</p><p>decisões de investimento em TI ao conselho de administração, gestão executiva,</p><p>gestão de negócios, gestão de TI, funcionários e acionistas?</p><p>Um aspecto relevante com relação a um modelo genérico de governança de TI é que</p><p>ele é adaptável a diferentes contextos. Isso significa que seus componentes podem</p><p>ser combinados de maneiras distintas com vistas a se adequarem às necessidades da</p><p>organização na qual o modelo será implantado. Aragon e Ferraz (2014, p. 41) sugerem</p><p>um modelo genérico que pode ser usado como ponto de partida para a implantação</p><p>da GTI. A sequência inicial básica de estruturação, segundo os autores, pode ser a</p><p>que se vê na figura a seguir.</p><p>Figura 5. Modelo Genérico de Governança de TI.</p><p>Riscos e compliance Avaliação</p><p>independente</p><p>Gestão de mudança</p><p>organizacional</p><p>Alinhamento</p><p>estratégico</p><p>Entrega de valor</p><p>Gestão de</p><p>desempenho</p><p>Comunicação</p><p>Fonte: adaptada de aragon; Ferraz, 2014, p. 41.</p><p>22</p><p>CAPÍTULO 2 • O MODELO DE GOvERnança DE TECnOLOGIa Da InFORMaçãO</p><p>Conforme esclarecido anteriormente, o modelo apresentado na figura 5 serve apenas</p><p>como um norte na definição do MGTI específico de cada empresa. Todas as áreas</p><p>descritas podem ser consideradas ou apenas algumas delas. Isso deve ser definido</p><p>segundo o contexto da organização.</p><p>Existem alguns modelos específicos, também chamados de frameworks, bastante</p><p>utilizados na área de Governança de TI. Veja alguns deles:</p><p>» COBIT: este é o modelo mais popular de GTI e será discutido em detalhes no</p><p>Capítulo 4. A sigla significa Control Objectives for Information and Related</p><p>Technology – em português, “Objetivos de controle para informação e tecnologia</p><p>afim”. Ele especifica 37 processos de TI, cada um deles com entradas e saídas de</p><p>processo, objetivos, métodos para medir o desempenho e muito mais;</p><p>» ISO/IEC 38500: tem como objetivo auxiliar aqueles no topo da organização a</p><p>compreender melhor suas obrigações legais e éticas no que se refere ao uso de</p><p>TI pela empresa. Será detalhado no Capítulo 6;</p><p>» ITIL: a sigla significa Information Technology Infrastructure Library – em</p><p>português, “Biblioteca de Infraestrutura de Tecnologia da Informação”. Trata-se de</p><p>um modelo que inclui cinco boas práticas de gerenciamento que visam garantir</p><p>que a TI ofereça suporte às principais operações de negócios da organização.</p><p>Esse modelo será apresentado em detalhes no Capítulo 5;</p><p>» CMMI: este processo usa uma escala de 1 a 5 para entender melhor como a</p><p>organização está se saindo e amadurecendo ao longo do tempo. A sigla significa</p><p>Capability Maturity Model Integration – em português, “Integração do modelo</p><p>de maturidade de capacidade”. Será detalhado no Capítulo 6.</p><p>A lista anterior não está completa. Existem diversos modelos de governança de TI que</p><p>oferecem uma visão completa ou parcial dos aspectos relacionados à GTI e que podem</p><p>ser úteis quando se trata da aplicação de um processo de governança sólido e eficaz.</p><p>Saiba mais</p><p>O termo framework é bastante utilizado na área de Computação. Em geral, um framework tem como principal objetivo</p><p>sugerir resoluções para problemas recorrentes de uma área com uma abordagem genérica, permitindo que o profissional</p><p>concentre seus esforços na resolução do problema em si.</p><p>Adaptado de https://tableless.github.io/iniciantes/manual/js/o-que-framework.html. Acesso em: 18 maio 2021.</p><p>23</p><p>O MODELO DE GOvERnança DE TECnOLOGIa Da InFORMaçãO • CAPÍTULO 2</p><p>2.2. O alinhamento estratégico de TI</p><p>Em qualquer segmento, algumas empresas se saem melhor do que outras. O alinhamento</p><p>estratégico é uma das principais diferenças entre as organizações que apresentam um</p><p>bom desempenho e aquelas que não o fazem. Trata-se, portanto, de uma característica</p><p>fundamental para qualquer empresa que deseje atingir seus objetivos.</p><p>A compreensão do alinhamento estratégico começa com a compreensão do conceito</p><p>de estratégia. É muito comum que se pense em estratégia como “declarações de visão”</p><p>ou “declarações de missão”, mas essas características são apenas uma pequena parte</p><p>da estratégia geral. A missão e a visão são declarações que ajudam a definir para que</p><p>serve a organização e para onde os executivos gostariam de levá-la.</p><p>No contexto do alinhamento estratégico, a estratégia define o “como”. Por exemplo, a</p><p>visão ou missão pode definir algo como: “Queremos ser o fabricante de widgets mais</p><p>lucrativo do mundo”. A pergunta-chave que precisa ser respondida antes que qualquer</p><p>ação para implementação dessa visão estratégica seja implementada é: “Como devemos</p><p>fazer isso?”. No caso do fabricante de widgets, é possível dizer: “Seremos o fornecedor</p><p>de menor custo e teremos uma grande participação no mercado”.</p><p>A definição de “como” leva à definição dos objetivos estratégicos, ou seja, os alvos</p><p>específicos que precisam ser atingidos para que se alcance a visão/missão. No exemplo</p><p>anterior, no qual a organização decide ser um fabricante de widgets de baixo custo e</p><p>grande participação no mercado, alguns dos objetivos estratégicos podem ser: reduzir</p><p>os custos para fornecimento de widgets; aumentar os canais de distribuição; gerenciar</p><p>o fluxo de caixa, pois,</p><p>conforme o volume aumenta, a organização precisará de mais</p><p>dinheiro para manter o estoque, por exemplo.</p><p>Saiba mais</p><p>O termo “widget” pode ter três definições distintas. Veja:</p><p>» um pequeno dispositivo mecânico, como um botão ou interruptor, especialmente aquele cujo nome não é conhecido ou</p><p>não pode ser lembrado; gadget: “uma fileira de widgets no painel de instrumentos”;</p><p>» algo considerado típico ou representativo, a partir de produtos de um fabricante: “os widgets saindo da linha de</p><p>montagem”;</p><p>» em tecnologia, um módulo em um site, em um aplicativo ou na interface de um dispositivo que permite aos usuários</p><p>acessar informações ou executar uma função: “adicionei um widget de previsão do tempo à minha tela”.</p><p>Adaptado de https://www.dictionary.com/browse/widge. Acesso em: 19 mai. 2021.</p><p>24</p><p>CAPÍTULO 2 • O MODELO DE GOvERnança DE TECnOLOGIa Da InFORMaçãO</p><p>Definir uma estratégia, entretanto, não é suficiente, pois somente ela não é capaz de</p><p>causar um efeito real no desempenho da organização. É o alinhamento das atividades</p><p>com as estratégias que faz a diferença. Pense na seguinte situação: decidir que deseja</p><p>uma xícara de café (estratégia) não é o mesmo que se levantar e fazer uma xícara de</p><p>café (alinhar ações à estratégia).</p><p>É comum que se pense em alinhamento estratégico como um substantivo (o estado de</p><p>ter tudo alinhado à estratégia), mas é melhor que o termo seja considerado um verbo,</p><p>visto que demanda ação. Assim, pode-se definir o alinhamento estratégico como o</p><p>processo de alinhar as decisões e ações de uma organização de forma que apoiem</p><p>a realização dos objetivos estratégicos. Veja que a definição cita tomada de decisão</p><p>e ações. As ações normalmente seguem as decisões; logo, se a organização não tem</p><p>a capacidade de tomar decisões bem alinhadas, possivelmente não será capaz de</p><p>implementar ações bem alinhadas.</p><p>No que se refere à GTI, pode-se dizer que o alinhamento estratégico entre negócios</p><p>e TI é um dos conceitos de gestão modernos mais populares nas organizações, pois</p><p>se refere ao grau de congruência entre as estratégias de negócios e a TI. Houve</p><p>aumento significativo da importância do papel dos sistemas de informação e da TI nas</p><p>organizações e diversas oportunidades surgiram a partir da presença da tecnologia</p><p>nas empresas.</p><p>O uso estratégico da TI tornou-se uma questão fundamental para todos os negócios.</p><p>A utilização eficaz e eficiente dos recursos de tecnologia requer o alinhamento</p><p>das estratégias de TI com as estratégias de negócios, o plano de negócios e suas</p><p>implementações. Isso viabilizará melhoria na competitividade e na produtividade,</p><p>além de aprimorar os principais processos de negócios e explorar as oportunidades</p><p>fornecidas pela TI para redesenhá-los.</p><p>atenção</p><p>Lembre-se: “o alinhamento estratégico é bidirecional, ou seja, da estratégia do negócio para a estratégia de TI, e vice-versa,</p><p>pois a TI pode potencializar estratégias que seriam impossíveis de ser implementadas sem o auxílio da tecnologia da</p><p>informação” (ARAGON; FERRAZ, 2014, p. 46).</p><p>2.3. O Plano de Tecnologia da Informação</p><p>Um Plano de TI, também conhecido como Plano Estratégico de TI (PETI), detalha as</p><p>etapas a serem percorridas para a implementação da estratégia de TI da organização,</p><p>bem como os prazos para a realização de cada uma delas. Essas etapas são necessárias</p><p>25</p><p>O MODELO DE GOvERnança DE TECnOLOGIa Da InFORMaçãO • CAPÍTULO 2</p><p>para que a estratégia de TI seja implementada e devem ter sua prioridade estabelecida.</p><p>São fases distintas, mas iterativas, ou seja, pode-se retornar a uma etapa sempre que</p><p>for necessário.</p><p>Um PETI visa definir os recursos de TI disponíveis na organização de modo a alinhar a</p><p>infraestrutura tecnológica e da informação aos objetivos estratégicos. Não se trata de</p><p>uma prescrição, mas de uma estrutura para permitir que os gerentes tomem decisões</p><p>e implementem soluções que apoiem o plano estratégico geral. Um plano de TI não</p><p>deve ser estático. Portanto, recomenda-se que ele seja construído de modo a permitir</p><p>atualizações e se adaptar às mudanças advindas do contexto.</p><p>Conforme explicam Aragon e Ferraz (2014, p. 51), o plano de TI é um dos diversos</p><p>planos estratégicos existentes na organização. Desse modo, ele precisa estar alinhado</p><p>não apenas com a estratégia empresarial e competitiva da organização, mas também</p><p>com os outros planos funcionais existentes. Veja a relação entre o PETI e os demais</p><p>níveis da organização na figura a seguir.</p><p>Figura 6. Relação do Plano Estratégico de TI com outros planos funcionais.</p><p>Fonte: aragon; Ferraz, 2014, p. 51.</p><p>Um plano estratégico de TI é uma ferramenta muito importante. Ter um plano</p><p>documentado permite que se converse com os executivos sobre os objetivos. Mais</p><p>que isso, o PETI fornece à liderança a oportunidade de redirecionar qualquer um de</p><p>seus esforços que possam não estar totalmente alinhados com a visão estratégica da</p><p>organização. Ele permite que a liderança estabeleça compreensão acerca do trabalho</p><p>do departamento de TI sem que seja necessário se envolver nas operações cotidianas.</p><p>26</p><p>CAPÍTULO 2 • O MODELO DE GOvERnança DE TECnOLOGIa Da InFORMaçãO</p><p>2.4. O portfólio de TI</p><p>Quando um supermercado introduz o self-checkout, seu objetivo pode ser cortar</p><p>custos para obter mais lucro. Quando um restaurante de fast-food, como o Burger</p><p>King ou o McDonalds, introduz a possibilidade de realizar pedidos por meio de um</p><p>aplicativo móvel, seu objetivo pode ser fornecer um serviço aos nativos digitais de</p><p>modo a permanecer como uma escolha relevante em um mundo cada vez mais on-line.</p><p>Saiba mais</p><p>O sistema de self-checkout permite que os clientes escaneiem os produtos que desejam comprar e paguem por conta própria,</p><p>ou seja, sem a presença de um funcionário na função de caixa. Se quiser ver um exemplo desse tipo de sistema, assista ao</p><p>vídeo do Grupo Elgin, disponível em https://youtu.be/xYbNdHYTj24. Acesso em: 20 mai. 2021.</p><p>Os exemplos mostram que um mesmo investimento em TI pode agregar valores de</p><p>negócio diferentes, dependendo do objetivo subjacente. Assim, as organizações podem</p><p>escolher diferentes investimentos em TI para atender a diferentes objetivos e para se</p><p>alinharem com seus modelos e metas de negócios. Assim como os investidores abordam</p><p>seus objetivos de risco e retorno usando portfólios de investimentos financeiros,</p><p>algumas organizações também usam o portfólio de TI para combinar de forma mais</p><p>adequada os investimentos em TI com os objetivos estratégicos.</p><p>atenção</p><p>Quanto mais alinhado estiver o portfólio de TI ao modelo de negócios, maiores as chances de sucesso da organização.</p><p>Em um estudo de 2006, alguns pesquisadores da Escola de Administração do</p><p>Massachussets Institute of Tecnhnology investigaram investimentos em TI em um grupo</p><p>de empresas americanas. Eles identificaram quatro tipos de investimentos em TI que</p><p>contribuem para formação de um portfólio adequado, conforme detalhado a seguir.</p><p>» Investimentos transacionais: recomendados para reduzir custos ou aumentar</p><p>o rendimento sem que haja aumento de custo. A TI dá suporte às operações</p><p>básicas e repetitivas da empresa.</p><p>» Investimentos informacionais: recomendados para que se obtenham informações</p><p>que apoiem a tomada de decisões e o controle da gestão, como contabilidade,</p><p>relatórios, compliance, comunicação ou análise. Usa infraestrutura de TI e</p><p>sistemas transacionais.</p><p>27</p><p>O MODELO DE GOvERnança DE TECnOLOGIa Da InFORMaçãO • CAPÍTULO 2</p><p>» Investimentos estratégicos: recomendados para que se alcance vantagem</p><p>competitiva, apoiando a entrada em novos mercados ou ajudando no</p><p>desenvolvimento de produtos, serviços ou processos de negócios inovadores. É</p><p>importante observar que investimentos estratégicos podem se tornar transacionais</p><p>ou infraestruturais com o passar do tempo. Os caixas eletrônicos, por exemplo,</p><p>eram uma iniciativa estratégica de TI, mas se tornaram transacionais.</p><p>» Investimentos em infraestrutura: representam os serviços de TI compartilhados</p><p>por vários aplicativos, por exemplo, servidores, redes,</p><p>notebooks, bancos de</p><p>dados etc. Dependendo do serviço, os investimentos em infraestrutura atuam</p><p>como base para futuras iniciativas de negócios ou servem para reduzir os custos</p><p>de TI de longo prazo.</p><p>É possível perceber, a partir das categorias listadas, que a teoria do portfólio de TI é</p><p>uma abordagem sofisticada de decisão de investimento que permite à organização</p><p>classificar, estimar e controlar o tipo e a quantidade de risco e retorno esperados.</p><p>Pensar em investimentos em TI como um portfólio ou um conjunto equilibrado de</p><p>investimentos fornece uma abordagem abrangente para diferentes tipos de retornos</p><p>de valor para o negócios, conforme se vê na tabela a seguir.</p><p>Tabela 1. Tipos de investimento em um portfólio de TI.</p><p>Tipo de Investimento Valor Agregado Grau de Risco/Retorno</p><p>Informativo</p><p>(17% do investimento)</p><p>Maior controle; melhor informação;</p><p>melhor integração; qualidade</p><p>aprimorada.</p><p>Risco e retorno moderados.</p><p>Inovação estratégica de produto</p><p>(11% do investimento)</p><p>Inovação de processos; vantagem</p><p>competitiva; entrega de serviço</p><p>renovada; aumento de vendas;</p><p>posicionamento de mercado.</p><p>alto risco, retorno potencialmente alto.</p><p>Transacional</p><p>(26% do investimento)</p><p>Corte de custos; aumento do</p><p>rendimento Baixo risco, retorno sólido.</p><p>Infraestrutura</p><p>(46% do investimento)</p><p>Integração de negócios; flexibilidade</p><p>de negócios; custo marginal reduzido</p><p>de TI da unidade de negócios; custos</p><p>de TI reduzidos; padronização.</p><p>Risco e retorno moderados.</p><p>Fonte: elaborada pela autora.</p><p>atenção</p><p>As tecnologias de informação e comunicação são os principais facilitadores de negócios, pois impactam grande parte da</p><p>organização e contribuem para seu sucesso geral. Qualquer investimento em tecnologia da informação precisa gerar um</p><p>retorno ou agregar valor – conhecido como valor de negócio.</p><p>28</p><p>CAPÍTULO 2 • O MODELO DE GOvERnança DE TECnOLOGIa Da InFORMaçãO</p><p>2.5. Os serviços de TI</p><p>O conjunto de serviços de TI de uma organização constituem um catálogo com</p><p>informações detalhadas desses serviços em uma linguagem capaz de ser compreendida</p><p>pelos clientes. Esse catálogo pode ser impresso ou virtual, disponibilizado na intranet</p><p>da empresa ou por meio de uma mídia que o contenha. Independentemente do formato,</p><p>o ideal é que ele seja de fácil acesso e compreensão.</p><p>O catálogo de serviços de TI pode variar, mas seu conteúdo deve levar em consideração</p><p>os procedimentos relacionados à segurança da informação que tenham sido adotados</p><p>pela organização. Normalmente, ele é composto por uma parte mais geral e outra</p><p>mais específica. Aragon e Ferraz (2014, p. 75) apresentam uma estrutura e a sugerem</p><p>como modelo para a definição do catálogo de serviços de TI.</p><p>Figura 7. Modelo para o Catálogo de Serviços de TI.</p><p>CATÁLOGO DE</p><p>SERVIÇOS DE TI</p><p>Como usar o</p><p>catálogo de</p><p>serviços</p><p>Estrutura de TI Quem é quem na</p><p>TI</p><p>Tecnologia de TI</p><p>SERVIÇOS A</p><p>USUÁRIOS SERVIÇOS À TI</p><p>SERVIÇOS A</p><p>CLIENTES E</p><p>FORNECEDORES</p><p>Service Desk Serviços de</p><p>suporte</p><p>Procedimentos de</p><p>aceitação de sistemas</p><p>Service Desk Procedimentos de</p><p>gestão do TI</p><p>Equipamentos</p><p>homologados</p><p>Solicitação de</p><p>projetos</p><p>Solicitação de</p><p>manutenções</p><p>Solicitações</p><p>emergenciais</p><p>Solicitação de</p><p>extração de</p><p>informações</p><p>Eventos e</p><p>treinamentos</p><p>programados</p><p>Catálogo de</p><p>equipamentos</p><p>homologados</p><p>Serviços de segurança</p><p>da informação</p><p>Disponibilidade</p><p>de aplicações</p><p>Disponibilidade</p><p>da rede</p><p>Disponibilidade</p><p>da infraestrutura</p><p>Níveis de</p><p>serviços</p><p>Softwares</p><p>homologados</p><p>Serviços não</p><p>disponíveis</p><p>Procedimentos de</p><p>gestão da mudança</p><p>Solicitação de estudos</p><p>de viabilidade</p><p>Solicitação de</p><p>documentos</p><p>Banco de dados de</p><p>problemas conhecidos</p><p>Serviços de</p><p>gestão de TI</p><p>Serviços de</p><p>sistemas</p><p>Serviços de</p><p>suporte</p><p>Serviços de</p><p>segurança da</p><p>informação</p><p>Serviços de</p><p>infraestrutura</p><p>Solicitação de</p><p>documentos</p><p>Procedimentos</p><p>de sistemas</p><p>Procedimentos de</p><p>segurança da</p><p>informação</p><p>Procedimentos de</p><p>gestão da</p><p>infraestrutura</p><p>Procedimentos de</p><p>suporte</p><p>Gestão de</p><p>fornecedores</p><p>Softwares</p><p>homologados</p><p>Níveis de serviços</p><p>Banco de dados de</p><p>problemas</p><p>conhecidos</p><p>Serviços não</p><p>disponíveis</p><p>Service Desk</p><p>Uso dos</p><p>sistemas</p><p>Treinamentos</p><p>disponíveis</p><p>Níveis de</p><p>serviços</p><p>Bancos de dados</p><p>de problemas</p><p>conhecidos</p><p>Fonte: aragon; Ferraz, 2014, p. 51.</p><p>Um aspecto importante relacionado aos serviços de TI é a sua gestão. O gerenciamento</p><p>de serviços de TI abrange todas as atividades envolvidas no planejamento, no</p><p>projeto, na transição, na entrega e na melhoria contínua dos serviços de TI. Muitas</p><p>vezes limitado à nomenclatura “suporte de TI” ou “service desk”, o gerenciamento de</p><p>serviços de TI vai além do gerenciamento de incidentes do dia a dia e do atendimento</p><p>de solicitações de serviço.</p><p>29</p><p>O MODELO DE GOvERnança DE TECnOLOGIa Da InFORMaçãO • CAPÍTULO 2</p><p>A implementação de um sistema de gerenciamento de serviços de TI pode formalizar</p><p>todas as práticas, estabelecendo funções e responsabilidades, políticas e procedimentos.</p><p>Isso resulta em planejamento, projeto e entrega mais estruturados. Além disso, ele</p><p>economiza custos ao adicionar previsibilidade e fornece insights que ajudam a melhorar</p><p>a tomada de decisões.</p><p>Saiba mais</p><p>O gerenciamento, ou gestão, de serviços de TI (GSTI) engloba o conjunto de processos que abrangem o planejamento,</p><p>a execução e o monitoramento dos serviços de TI. Ele pode ser também referenciado pelo seu nome em inglês, que é</p><p>Information Technology Service Management (ITSM).</p><p>O gerenciamento de serviços de TI visa garantir que os clientes tenham acesso a serviços de qualidade e que estes atendam</p><p>às necessidades de negócio. Para isso, é necessário investir em pessoas, processos e tecnologia.</p><p>Fonte: https://www.euax.com.br/2019/10/gerenciamento-de-servicos-de-ti/. Acesso em: 4 jun. 2021.</p><p>2.6. a gestão do desempenho de TI</p><p>A gestão de desempenho de TI é a área responsável pela supervisão da infraestrutura</p><p>de tecnologia da informação presente na organização. Seu objetivo é garantir que os</p><p>principais indicadores de desempenho bem como os níveis de serviço e os orçamentos</p><p>estejam alinhados aos objetivos da organização. O termo engloba as decisões de</p><p>compra, a padronização dos equipamentos de TI e a orientação sobre capital e recursos</p><p>humanos.</p><p>O gerenciamento de desempenho de TI também se refere a uma classe de ferramentas</p><p>de software que permitem ao grupo de operações de TI monitorar e controlar aspectos</p><p>relacionados à infraestrutura. Além de monitorar o desempenho, essas ferramentas</p><p>ajudam a equipe de operações de TI a reunir e analisar métricas de desempenho,</p><p>prever demandas futuras e identificar recursos abandonados ou subutilizados.</p><p>O desempenho de TI abrange áreas como desempenho geral dos sistemas, virtualização</p><p>de servidor e gerenciamento de nuvem, monitoramento de desempenho de aplicativos,</p><p>gerenciamento de rede e gerenciamento de automação. As ferramentas de gerenciamento</p><p>de desempenho são especialmente necessárias à medida que mais aspectos do ambiente</p><p>de TI se tornam virtualizados e complexos. A virtualização de aspectos da infraestrutura</p><p>pode ser fácil de fazer, mas significa que a infraestrutura pode crescer dez vezes, razão</p><p>pela qual as ferramentas de monitoramento são essenciais para o gerenciamento.</p><p>Existem ferramentas específicas para monitorar aplicativos executados na nuvem.</p><p>30</p><p>CAPÍTULO 2 • O MODELO DE GOvERnança DE TECnOLOGIa Da InFORMaçãO</p><p>Ferramentas mais simples fornecem dados brutos, o que significa que as equipes</p><p>de operações de TI devem primeiro entender as informações para só então agirem.</p><p>Cada vez mais, as ferramentas de gerenciamento de desempenho de TI analisam os</p><p>dados coletados para encontrar possíveis erros ou irregularidades que possam levar</p><p>ao fracasso. As ferramentas de gerenciamento de desempenho de TI preditivas, por</p><p>exemplo, buscam descobrir o início dos problemas e corrigi-los antes que eles ocorram.</p><p>É importante frisar que a gestão eficaz do desempenho é essencial para as organizações.</p><p>Por meio de processos formais e</p><p>informais, ela ajuda a alinhar funcionários, recursos</p><p>e sistemas para que se alcancem os objetivos estratégicos. Ela também funciona como</p><p>um sinalizador, avisando antecipadamente sobre problemas em potencial e permitindo</p><p>que os gerentes saibam quando devem fazer ajustes para manter o negócio nos trilhos.</p><p>Sintetizando</p><p>Neste capítulo, abordamos:</p><p>» uma visão geral do Modelo de Governança de TI;</p><p>» o alinhamento estratégico de TI;</p><p>» os principais aspectos do plano de TI;</p><p>» as características do portfólio de TI;</p><p>» as operações de serviços de TI;</p><p>» a finalidade da gestão de desempenho de TI.</p><p>31</p><p>Introdução</p><p>A Governança de TI diz respeito à tomada de decisões de maneira estruturada para</p><p>apoiar o investimento e o uso de TI para atingir os objetivos de uma organização. Seus</p><p>objetivos são garantir que os investimentos em TI gerem valor comercial e mitiguem</p><p>os riscos de TI.</p><p>A Governança de TI ajuda na implementação de boas práticas que garantem às empresas</p><p>um desempenho de destaque no que diz respeito ao emprego dos recursos de TI. Para</p><p>que isso seja uma realidade no contexto organizacional, é preciso que a governança</p><p>seja implementada de forma planejada e, depois disso, siga sendo monitorada e</p><p>ajustada conforme novas demandas da organização surgirem.</p><p>Neste capítulo, discutiremos a relevância do planejamento da Governança de TI e a</p><p>importância de definição de um plano para sua implementação. Refletiremos também</p><p>acerca do alinhamento necessário entre o plano planejado e a efetiva implantação do</p><p>programa de Governança de TI. Concluiremos o capítulo abordando alguns aspectos</p><p>essenciais relacionados à gestão da Governança de TI.</p><p>Objetivos</p><p>» Conhecer os aspectos envolvidos no planejamento da Governança de TI.</p><p>» Discutir o modo de implementação da Governança de TI.</p><p>» Refletir sobre o gerenciamento da Governança de TI.</p><p>3.1. Planejamento da Governança de TI</p><p>A Governança de TI existe para ajudar os líderes das organizações em sua responsabilidade</p><p>de tornar a TI eficaz no suporte aos objetivos e missão da empresa. Ela auxilia esses</p><p>profissionais a pensarem sobre questões essenciais relacionadas à TI e a estabelecerem</p><p>3</p><p>CAPÍTULO</p><p>PLanEJaMEnTO, IMPLEMEnTaçãO E</p><p>GEREnCIaMEnTO Da GOvERnança</p><p>DE TECnOLOGIa Da InFORMaçãO</p><p>32</p><p>CAPÍTULO 3 • PLanEJaMEnTO, IMPLEMEnTaçãO E GEREnCIaMEnTO Da GOvERnança DE TECnOLOGIa Da InFORMaçãO</p><p>uma compreensão mais apurada entre a equipe com relação aos recursos de tecnologia.</p><p>Tal governança também ajuda diretoria, gerentes executivos e CIOs a garantirem que</p><p>a TI atenda e supere as expectativas da organização.</p><p>Saiba mais</p><p>O cargo de CIO (sigla em inglês para Chief Information Officer) surgiu inicialmente como uma evolução do cargo de diretor</p><p>de TI das organizações. Originalmente, essa mudança de nomenclatura visava traduzir o aumento da importância de uma</p><p>posição que antes focava apenas no planejamento da área de TI das empresas.</p><p>Tal readequação foi necessária na medida em que as tecnologias evoluíram e acabaram permeando, de maneira</p><p>contundente, todas as áreas de negócio de uma organização ao ponto de muitas vezes ser impossível dissociar os processos</p><p>críticos de uma companhia das ferramentas que os instrumentalizam.</p><p>Fonte: https://canaltech.com.br/carreira/o-novo-papel-do-cio-80957/. Acesso em: 17 jun. 2021.</p><p>Estabelecer a Governança de TI em uma organização é uma maneira importante de</p><p>garantir que as políticas e os procedimentos de TI sejam cumpridos. Para tanto, é</p><p>essencial que se faça um planejamento com vistas a estruturar um plano de governança</p><p>a ser seguido. Nesse plano, muitas reflexões são essenciais. Algumas delas serão</p><p>elencadas e discutidas a seguir.</p><p>» Planeje o rumo da governança de TI da organização: nessa primeira etapa,</p><p>o objetivo deve ser identificar e descrever as funções e responsabilidades</p><p>estratégicas e táticas da governança de TI. Nesse momento, é importante:</p><p>› certificar-se de que a organização possui funções e responsabilidades bem definidas</p><p>para os integrantes do conselho, bem como para seus executivos e membros do</p><p>comitê de estratégia de TI;</p><p>› descrever como as prioridades são definidas, como os recursos são alocados e por</p><p>quem, e como os projetos são monitorados;</p><p>› trabalhar em conjunto com os gerentes sêniores das divisões de TI e de negócios,</p><p>pois eles atuam como os principais apoiadores para distribuir e promover a adoção</p><p>de procedimentos e políticas de governança de TI.</p><p>» Estabeleça um plano de implementação da governança de TI: A organização</p><p>precisa de um plano de ação eficaz e que alinhe as características específicas</p><p>com as necessidades do negócio. É crucial que o conselho de Diretivo se aproprie</p><p>do plano de governança de TI e auxilie na definição da direção que os gerentes</p><p>devem seguir. Essas decisões são formuladas de forma eficaz e visam garantir que</p><p>o conselho opere com os objetivos da governança de TI em mente, que incluem:</p><p>33</p><p>PLanEJaMEnTO, IMPLEMEnTaçãO E GEREnCIaMEnTO Da GOvERnança DE TECnOLOGIa Da InFORMaçãO • CAPÍTULO 3</p><p>› certificar-se de que as questões relacionadas à TI estejam na agenda do conselho;</p><p>› auxiliar os gerentes a alinhar iniciativas de TI com necessidades de negócios tangíveis;</p><p>› analisar o impacto potencial dos riscos relacionados à TI sobre os negócios;</p><p>› exigir que o desempenho de TI seja medido e relatado à diretoria;</p><p>› estabelecer um comitê de estratégia de TI que seja responsável por comunicar os</p><p>problemas de TI às partes interessadas;</p><p>› insistir para que a organização use uma metodologia comum para empregar uma</p><p>estrutura de gerenciamento para governança de TI.</p><p>» Estabeleça um plano de Governança de TI para estratégias de longo prazo: a</p><p>governança de TI deve ser coordenada com os objetivos de governança corporativa</p><p>mais amplos e estratégicos. Uma metodologia de governança de TI auxilia o</p><p>conselho e a gerência a compreender as principais sugestões e ramificações</p><p>da TI e garante que a organização possa manter suas operações e executar as</p><p>estratégias necessárias para ampliar suas operações para crescimento futuro.</p><p>» Almeje objetivos e marcos de Governança de TI de curto prazo: depois que a</p><p>organização tiver definido um roteiro estratégico de Governança de TI, identifique</p><p>os problemas de curto prazo que podem ser resolvidos de forma mais rápida e,</p><p>assim, fazer com que a organização dê início à sua política de Governança de</p><p>TI. Essas resoluções funcionarão como marcos importantes e darão um bom</p><p>sinal dos resultados potenciais e das dificuldades associadas à execução de um</p><p>plano de Governança de TI sólido. Esses marcos ajudam a revelar as barreiras</p><p>corporativas que precisam ser derrubadas antes que as estratégias de longo prazo</p><p>possam ser implementadas. Essas conquistas também ajudarão a evidenciar os</p><p>procedimentos e políticas de Governança de TI que podem ajudar e proteger a</p><p>organização, bem como estabelecer a credibilidade para a implementação de</p><p>políticas de Governança de TI.</p><p>» Reconheça e administre riscos e oportunidades relacionados à TI: pesquise</p><p>o que os usuários desejam e descubra como essas necessidades influenciam</p><p>os diferentes usos da TI na organização. Ao fazer isso, pode-se descobrir</p><p>riscos e oportunidades relacionados à tecnologia da informação. Uma sugestão</p><p>para identificar riscos ou oportunidades para a TI corporativa é pesquisar ou</p><p>conduzir uma avaliação dos usuários. Eles podem ser uma das melhores fontes</p><p>de informações para identificar lacunas de segurança ou uso impróprio de TI.</p><p>34</p><p>CAPÍTULO 3 • PLanEJaMEnTO, IMPLEMEnTaçãO E GEREnCIaMEnTO Da GOvERnança DE TECnOLOGIa Da InFORMaçãO</p><p>» Reavalie as políticas de governança de TI em uma base consistente: Depois</p><p>que uma organização constrói um conjunto de práticas de Governança de TI, o</p><p>processo pode permanecer em vigor até que uma mudança na direção estratégica</p><p>ou uma oportunidade de negócios reavalie o que a organização considera um uso</p><p>desejável dos recursos de TI. No entanto, às vezes surgem oportunidades</p><p>que não</p><p>são totalmente (ou parcialmente) abordadas nas políticas e procedimentos de</p><p>Governança de TI. Quando essa situação ocorre, as políticas devem ser revisadas</p><p>para tratar essas situações.</p><p>» Aumente a transparência da Governança de TI: um dos fatores mais importantes</p><p>que podem influenciar o sucesso da política e dos procedimentos de Governança</p><p>de TI é o número de funcionários que podem descrever com precisão as políticas</p><p>da organização relacionadas à tecnologia da informação. Os executivos de TI e</p><p>seu pessoal devem se envolver em conversas proativas com executivos e usuários</p><p>de TI para compreender melhor as necessidades corporativas. Uma sugestão</p><p>para promover a política de Governança de TI em uma organização é aprimorar</p><p>os esforços de relações públicas do departamento de TI. Por exemplo, considere</p><p>gerar e distribuir um relatório anual do departamento de TI que explique e</p><p>compartilhe aspectos relacionados à Governança de TI da organização e seus</p><p>objetivos e planos estratégicos futuros.</p><p>» Estabeleça exceções para os processos de governança: de vez em quando, ocorrem</p><p>circunstâncias de negócios ou oportunidades que não são legisladas ou abordadas</p><p>pelas políticas de Governança de TI da organização. Esses eventos surgem</p><p>porque o planejamento pode negligenciar ações específicas ou as abordagens</p><p>de governança podem estar desatualizadas. Pense em um procedimento a ser</p><p>seguido pela organização se aparecer a necessidade de atualizar ou dar um</p><p>tratamento diferenciado a uma exceção às políticas de Governança de TI que</p><p>estão em vigor.</p><p>Observe a seguir uma figura que resume as principais recomendações para o</p><p>planejamento eficiente de um programa de Governança de TI para as organizações. Vale</p><p>ressaltar que esta é uma lista de sugestões apenas. Outros aspectos podem ser incluídos</p><p>de modo a adequar as recomendações aos diferentes contextos organizacionais.</p><p>35</p><p>PLanEJaMEnTO, IMPLEMEnTaçãO E GEREnCIaMEnTO Da GOvERnança DE TECnOLOGIa Da InFORMaçãO • CAPÍTULO 3</p><p>Figura 8. Recomendações para o planejamento eficiente da Governança de TI.</p><p>PL</p><p>AN</p><p>EJ</p><p>AM</p><p>EN</p><p>TO</p><p>D</p><p>A</p><p>G</p><p>O</p><p>VE</p><p>R</p><p>N</p><p>AN</p><p>Ç</p><p>A</p><p>D</p><p>E</p><p>TI Planeje o rumo da Governança de TI da organização.</p><p>Estabeleça um plano de implementação da Governança de TI.</p><p>Estabeleça um plano de governança de TI de longo prazo.</p><p>Almeje objetivos e marcos de governança de TI de curto prazo.</p><p>Reconheça e administre riscos e oportunidades relacionados à TI.</p><p>Reavalie as políticas de governança de TI em uma base consistente.</p><p>Aumente a transparência da Governança de TI.</p><p>Estabeleça exceções para os processos de governança.</p><p>Fonte: elaborada pela autora.</p><p>3.2. Implementação da Governança de TI</p><p>No tópico anterior, vimos que é essencial que se estabeleça um plano para a</p><p>implementação da Governança de TI na organização. Esse plano pode ser estruturado</p><p>de diferentes maneiras, a depender do contexto organizacional. Como exemplo,</p><p>observe as etapas de implementação sugeridas por Aragon e Ferraz (2014, p. 598) e</p><p>apresentadas na figura 9.</p><p>Trata-se de um roteiro com 20 etapas que variam desde a sensibilização da alta direção</p><p>com relação à importância de um programa de governança até a revisão e a evolução</p><p>desse programa para que ele continue atendendo às necessidades da empresa. A</p><p>seguir, falaremos um pouco mais sobre cada uma das etapas sugeridas no roteiro.</p><p>» Sensibilizar a alta direção: é bastante provável que o plano de Governança de</p><p>TI não saia do papel se a alta direção não o apoiá-lo. A primeira tarefa deve ser,</p><p>então, conscientizar os tomadores de decisão sobre a relevância do programa.</p><p>Para tanto, diferentes ações podem ser implementadas, tais como: realizar</p><p>encontros para apresentação de casos de sucesso de outras empresas; visitar</p><p>empresas que possuam um programa de Governança de TI já implementado</p><p>e sólido; discutir os riscos que a organização corre diante da ausência de um</p><p>programa de Governança de TI; refletir sobre as vulnerabilidades relacionadas</p><p>à segurança da informação etc.</p><p>36</p><p>CAPÍTULO 3 • PLanEJaMEnTO, IMPLEMEnTaçãO E GEREnCIaMEnTO Da GOvERnança DE TECnOLOGIa Da InFORMaçãO</p><p>» Estabelecer o foco do programa: conforme já discutido, um programa</p><p>de Governança de TI somente terá valor se estiver alinhado aos objetivos</p><p>organizacionais. Assim, é preciso definir o foco do programa a ser implantado</p><p>para que ele esteja em conformidade com as estratégias da organização. Você</p><p>se lembra da análise estratégica? Ela será de suma importância neste momento,</p><p>pois identifica os fatores de sucesso da organização que deverão ser pontos de</p><p>interesse do programa de Governança de TI.</p><p>» Definir papéis, estrutura e relacionamento com os interessados relevantes: parte</p><p>das preocupações da implementação de um programa de Governança de TI inclui</p><p>decidir sobre a estrutura organizacional que se envolverá com esse programa.</p><p>Uma nova área específica será criada? A responsabilidade pela Governança de</p><p>TI será compartilhada com os executivos já existentes? Um novo profissional</p><p>receberá a incumbência de gerir a área de Governança de TI? E mais, quem</p><p>são as pessoas com poder decisório com relação aos investimentos da área de</p><p>tecnologia da informação? Essas questões precisam ser pensadas e respondidas</p><p>para que se assegure a boa implementação do programa de governança.</p><p>» Estruturar preliminarmente o programa: a estruturação do programa de</p><p>Governança de TI pode seguir algum padrão já existente, como o do Project</p><p>Management Body Of Knowledge – PMBOK (em português literal, “Corpo de</p><p>Conhecimento de Gestão de Projetos”). No documento, um programa é definido</p><p>como um grupo de projetos afins que são gerenciados de forma coordenada com</p><p>o objetivo de obter benefícios e controle não disponíveis se os projetos fossem</p><p>gerenciados individualmente. Aqui, então, devem ser descritos os processos a</p><p>serem implementados no gerenciamento desses projetos distintos da área de TI.</p><p>» Implantar a estrutura e as responsabilidades: não será possível implementar o</p><p>programa de Governança de TI sem que exista uma estrutura mínima de recursos</p><p>e um conjunto de responsabilidades já relacionadas a um grupo de pessoas.</p><p>As definições deste momento devem ser comunicadas às partes interessadas</p><p>para que não haja conflito de interesses com relação às responsabilidades e os</p><p>profissionais a elas associados.</p><p>» Estabelecer os direitos decisórios: é preciso definir quem toma as decisões,</p><p>quem decide as prioridades, a quem pertence o orçamento, quem aprova</p><p>investimentos etc. Essas definições, entretanto, devem ser feitas em conjunto</p><p>com a alta administração a fim de evitar possíveis conflitos entre os stakeholders.</p><p>» Realizar avaliação dos processos-foco: um programa de Governança de TI pode</p><p>começar com uma abrangência reduzida e ir ampliando seu escopo aos poucos,</p><p>à medida que vai se solidificando. Para tanto, será necessário decidir sobre os</p><p>37</p><p>PLanEJaMEnTO, IMPLEMEnTaçãO E GEREnCIaMEnTO Da GOvERnança DE TECnOLOGIa Da InFORMaçãO • CAPÍTULO 3</p><p>processos organizacionais que farão parte do programa nos curtos, médio e</p><p>longo prazos.</p><p>» Estabelecer metas e indicadores de progresso e de resultado: avaliar um programa</p><p>de Governança de TI e seus resultados é tão importante quanto implementá-</p><p>lo. Para que isso seja possível, contudo, é preciso definir metas que possam ser</p><p>avaliadas com base em indicadores.</p><p>» Estabelecer um roadmap de implementação: um roadmap é uma espécie de</p><p>mapa de percurso que visa estabelecer a ordem para execução das melhorias e</p><p>implantação dos processos planejados. Se um dos objetivos envolver implantar</p><p>práticas de gerenciamento de serviços (ARAGON; FERRAZ, 2014), pode-se definir</p><p>o seguinte roadmap: estruturar a central de serviços e de gerenciamento de</p><p>incidentes; implantar a gestão de mudanças e o gerenciamento de capacidade</p><p>e disponibilidade; implantar o processo de gestão da continuidade dos serviços.</p><p>» Elaborar o plano do programa: uma vez definido o roadmap, já estarão bem</p><p>delineados todos os projetos</p>