Resumo Governança em Tecnologia da Informação

Prévia do material em texto

GOVERNANÇA EM TECNOLOGIA DA INFORMAÇÃO (CCT0271/2368922) 9001 
 
Aula 1: Introdução Á Governança Corporativa 
 
A governança corporativa ganhou maior notoriedade nos últimos 30 anos, vem se fazendo cada vez mais 
presente, principalmente a partir da década de 1990, quando os investidores mudaram seus 
comportamentos, passando a cobrar dos CEOs (Chief Executive Officer) um maior acerto nas previsões 
orçamentárias. A governança é feita através de mecanismos organizacionais como estruturas, processos, 
comitês, procedimentos e auditorias. Conjunto de mecanismos que visa a fazer com que as decisões 
corporativas sejam sempre tomadas com a finalidade de maximizar a perspectiva de geração de valor de 
longo prazo para o negócio. A teoria mais aceita para discutir a temática da governança corporativa é a 
do agente-principal. Segundo essa teoria, existe uma explicação para os problemas de desalinhamento de 
interesses que ocorrem nas empresas e quais mecanismos podem ser empregados para mitigar seus 
custos. A teoria é fundamentada no agente-principal e na compreensão entre agente (tomadores de 
decisão) e principal (pessoas que confiam as decisões para terceiros). As raízes da Governança 
Corporativa se encontram nos EUA e no Reino Unido, onde os mercados de capitais atingiram grande 
pulverização do controle acionário das empresas. Governança Corporativa principais ativos: Humanos, 
Financeiros, Físicos, Propriedade Intelectual, Relacionamento, Tecnologia da informação. 
 
Lei Sarbanes-Oxley (SOX) - A Seção 302 especifica que: dentre outros itens, que: O CEO e CFO devem 
revisar os relatórios financeiros; O CEO e CFO declaram ter conhecimento dos resultados e atestam que 
os relatórios financeiros não contêm declaração falsa ou omissão; O CEO e CFO são responsáveis por 
manter e estabelecer controles e procedimentos sobre a emissão de relatórios financeiros e controles 
internos sobre eles; As deficiências dos sistemas de controle interno que possam afetar a habilidade da 
empresa em registrar, processar, sumarizar, e comunicar informações financeiras devem ser 
comunicadas; Qualquer fraude que envolva a gerência ou outros funcionários que tenham um papel 
significante nos registros do controle interno sobre relatório financeiro deve ser comunicada. - A seção 
404 especifica que: A administração tem a responsabilidade de estabelecer e manter uma estrutura 
adequada de controles e procedimentos para emissão de relatórios financeiros; A administração deve 
avaliar a efetividade do sistema de controle interno para emissão de relatórios financeiros; A 
administração deve realizar uma auditoria independente, para atestar e divulgar a avaliação feita pela 
administração sobre os controles e procedimentos internos para emissão de relatórios financeiros. 
 
Committee of Sponsoring Organizations (COSO): é uma organização voluntária do setor privado (EUA) 
que se dedica a orientar operações de negócios mais eficazes, eficientes e éticas. Processos executados 
pelo Conselho Administrativo, pela Diretoria ou por outras pessoas da companhia, que colaboram para o 
sucesso operacional em: Eficácia e eficiência das operações, Confiabilidade dos relatórios financeiros, 
Cumprimento de leis e regulamentos aplicáveis. 
Instituto Brasileiro de Governança Corporativa (IBGC): é uma organização exclusivamente dedicada à 
promoção da governança no Brasil e principal fomentador das práticas e discussões sobre o tema no país, 
tendo alcançado reconhecimento nacional e internacional. 
 
Saiba mais 
COSO: http://www.coso.org --- IBGC: http://www.ibgc.org.br 
Basileia II: http://www.bis.org/publ/bcbsca.htm e http://www.bacen.gov.br/?BASILEIA2 
SOX: http://www.sec.gov/about/laws.shtml e http://www.sec.gov/about/laws/soa2002.pdf 
 
Aula 2: Alinhamento de TI à Governança Corporativa 
 
A área de TI deve trabalhar com seus esforços voltados para as ações que possam agregar valor ao 
negócio da empresa, sendo flexível para acomodar as frequentes mudanças, antecipar informações, 
simular cenários e avaliar tendências. O alinhamento da área de TI com a área de negócio é o ingrediente 
principal para a criação da governança de TI sob a guarda da governança corporativa. Uma das técnicas 
utilizadas pelas empresas durante a criação de sua estratégia é o Balanced Scorecard (BSC). Através dele 
é possível criar um mapa estratégico para traduzir sua missão e visão, criando um conjunto abrangente 
de medidores de desempenho que serve de ajuda na gestão estratégica. O BSC é baseado na ideia de que 
a implementação estratégica requer um sistema de gestão que incorpore mais do que medidas financeiras 
de curto prazo. Tem 4 perspectivas: Financeira, Processos internos Aprendizado e Crescimento, Cliente 
 
 
 
 
De acordo com Weill & Ross (2006) uma boa governança de TI deve abordar as seguintes questões: 
Quais decisões devem ser tomadas para garantir a gestão e o uso eficazes de TI? Quem deve tomar essas 
decisões? Como essas decisões serão tomadas e monitoradas? Como a empresa consegue implementar 
controles na área de TI de forma que TI entregue as informações que a empresa precisa? Como a 
empresa gerencia os riscos e garante a segurança dos recursos de TI dos quais é tão dependente? Como 
a empresa assegura que a área de TI atinja os seus objetivos e atenda ao negócio? 
O ITGI (2007) descreve a governança de TI como responsabilidade dos executivos e da alta direção, 
consistindo em aspectos de liderança, estrutura organizacional e processos que garantam que a área de 
TI da organização suporte e aprimore os objetivos e as estratégias da organização. A governança de TI 
deve ser vista como parte da governança corporativa, de tal forma que agregue valor ao negócio, não 
permita investimento em projetos desalinhados com os objetivos da empresa e mantenha mecanismos de 
controle e gestão adequados. Na visão do ITGI (2003) citado por Albertin & Albertin (2010), uma das 
responsabilidades da governança de TI é considerar os valores do stakeholder no estabelecimento das 
estratégias para determinar e direcionar ações de valor para o negócio. 
 
Existe uma imensidão de técnicas que podem ajudar na implementação e no ciclo de vida da governança 
de TI, conforme exemplo na tabela a seguir. 
 
 
Saiba mais 
ITGI (governança de TI): http://www.itgi.org 
ISACA: http://www.isaca.org 
 
OBS: BSC (Balanced Scorecard) é: R: Uma ferramenta para a medição, análise e gestão de desempenho 
 
Aula 3: Processo de Decisão na Governança de TI 
 
Para atuar em toda extensão da empresa, a governança de TI necessita estabelecer os mecanismos do 
processo de decisão e o alinhamento estratégico com o negócio. Para isso, Grembergen, Haes & 
Guidentops (2004) citados por Albertin & Albertin (2010) definem algumas capacidades necessárias, 
conforme a seguir: - Estruturas formais de integração: identificar os executivos, identificar as áreas e 
institucionalizar os comitês e conselhos. - Processos formais de integração: formalizar e institucionalizar 
procedimentos de tomada de decisão estratégica de TI. – Integração: grau no qual as decisões de TI são 
tomadas. As integrações se dão na forma administrativa, quando o cronograma e o orçamento são 
compartilhados entre negócio e TI; na forma sequencial, quando as decisões de negócio endereçam as 
tomadas de decisão de TI; na forma recíproca, quando as decisões de negócio e de TI se influenciam 
mutuamente; e, na integração completa, quando as decisões de negócio e TI concorrem num mesmo 
processo. 
Nesta mesma linha, a norma NBR ISO/IEC 38500 (2009), que trata da Governança Corporativa de 
Tecnologia da Informação, tem como objetivo fornecer uma estrutura de princípios para os dirigentes 
usarem na avaliação, gerenciamento e monitoramento do uso da tecnologia da informação em suas 
organizações. - Responsabilidade: os indivíduos e grupos dentro da organização compreendem e aceitam 
seus papéis e responsabilidadescom referência ao fornecimento e demanda de tecnologia da informação. 
Fica estabelecido que os que são responsáveis pelas ações também têm autoridade para desempenhá-las. 
- Estratégia: o desenvolvimento da estratégia do negócio considera as capacidades atuais e futuras de TI. 
O planejamento estratégico de TI busca atender às necessidades atuais e contínuas da estratégia de 
negócio da organização. - Aquisição: as aquisições de TI são feitas por razões válidas, com base em 
 
 
 
análise apropriada e contínua, com tomada de decisão clara e transparente, buscando um equilíbrio 
adequado entre benefícios, oportunidades, custos e riscos, a curto e longo prazo. - Desempenho: a TI é 
adequada para suportar adequadamente a organização, fornecendo serviços, níveis de serviço e qualidade 
de serviço, necessários para atender aos requisitos atuais e futuros do negócio. - Conformidade: a TI 
cumpre e está em conformidade com toda a legislação e regulamentação obrigatórias. As políticas e 
práticas são claramente definidas, implementadas e fiscalizadas. - Comportamento humano: as políticas, 
práticas e decisões de TI respeitam o comportamento humano, incluindo as necessidades atuais e futuras 
de todos os envolvidos no processo. 
 
Decisões sobre Governança de TI: 
- Decisões sobre a arquitetura de TI: Organização lógica de dados, aplicações e infraestruturas, definidas 
a partir de um conjunto de políticas, relacionamentos e opções técnicas adotadas para obter a 
padronização e a integração técnica e de negócio desejadas. 
- Decisões sobre a infraestrutura de TI: Serviços de TI coordenados de maneira centralizada e 
compartilhados, que provêm a base para a capacidade de TI da empresa. 
- Necessidades de aplicações de negócio: Especificação da necessidade de negócio de aplicações de TI, 
adquiridas no mercado ou desenvolvida internamente. 
- Decisões sobre os investimentos e a priorização da TI: Decisões sobre quando e onde investir em TI, 
incluindo a aprovação de projetos e as técnicas de justificação. 
 
E com relação aos arquétipos, cada um deles identifica o tipo de função envolvida para tomar uma 
decisão de TI, conforme explicado a seguir: - Monarquia de negócios: Os altos executivos de negócio 
tomam decisões de TI que afetam a empresa toda; - Monarquia de TI: Os especialistas em TI tomam as 
decisões de TI; - Feudalismo: Cada unidade de negócio toma decisões independentes; - Federalismo: 
Combinação entre o centro corporativo e as unidades de negócio, com ou sem envolvimento do pessoal 
de TI; - Duopólio de TI: O grupo de TI e algum outro grupo (por exemplo, a alta gerência ou líderes das 
unidades de negócio), por consenso; - Anarquia: Tomada de decisões individuais ou por pequenos grupos 
de modo isolado, com base somente em suas necessidades locais. 
 
Implementação da Governança de TI: - Abordagens de comunicação: entendida como a disseminação dos 
princípios e políticas de governança de TI e dos resultados dos processos decisórios de TI. Normalmente é 
feita através de comunicados, porta-vozes, canais e esforços em educação. - Estruturas de tomadas de 
decisão: são as unidades e papéis organizacionais responsáveis por tomar decisões de TI, como comitês, 
equipes executivas e gerentes de relacionamento entre negócio e TI. - Processos de alinhamento: são 
processos formais que asseguram ao comportamento do dia-a-dia uma consistência com as políticas de TI 
e também contribuem com as decisões. Estão incluídas avaliações e propostas de investimentos em TI, 
acordo de níveis de serviço, métricas, acompanhamento de projetos de TI e recursos consumidos, etc. 
1.Liderança para mudança 2.Envolvimento dos executivos da organização 3.Entendimento dos estágios de 
maturidade 4.Ter um modelo de Governança de TI 5.Atacar as principais vulnerabilidades 6.Instituir um 
Programa de Governança de TI 7.Ter uma abordagem de gestão de mudança cultural 8.Equipe qualificada 
9.Certificar objetivos atingidos 10.Implementar um endomarketing para TI 
 
Aula 4: Controles Para a Governança de TI 
 
Teoria de Controle: Os controles ocorrem em todos os níveis da organização. Os sistemas de informação 
automatizados vieram contribuir bastante para o aumento de controle. Apesar de toda esta facilidade, os 
sistemas de informação acabam também criando problemas de controle, principalmente quando se trata 
de sistemas maiores. Assim torna-se necessário a criação de novos controles como, A segregação de uso 
através da criação de perfis. A compra de um pacote, por exemplo, pode encurtar o tempo de 
implantação porque o código já está pronto, testado e funcionando em outras empresas. Isto reduz as 
incertezas. Outro motivo é a dispensa de equipe especializada que teria que acompanhar as leis para 
manter o sistema. Por outro lado, normalmente a empresa que adquire um pacote tem que modificar o 
seu processo operacional para se adaptar ao do pacote e isto pode trazer algum transtorno. Já um novo 
processo de vendas pode ser grave a ponto de desarticular a estratégia da organização. Como se vê, não 
é fácil decidir. 
- Controle na Organização: Gerência inferior: Procedimentos, Auditorias, Supervisão, Hierarquia 
administrativa; Gerência intermediária: Orçamento, Supervisão, Hierarquia administrativa, Comitês 
examinadores; Administração superior: Estrutura organizacional, Comitês de estrutura gratificações. 
 
 
 
 
- Controle de Operações: A falta de controle pode gerar prejuízos incalculáveis. Um caso memorável foi o 
bug do milênio, quando se aproximou o ano 2000 e ninguém sabia como os computadores iriam se 
comportar a partir de 01/01/2000. Isto porque na época existiam muitos sistemas antigos que, para 
economizar espaço (o custo de armazenamento de informação era muito caro), guardavam apenas as 
duas posições finais do ano. Quando havia necessidade de utilizar as quatro posições, bastava concatenar 
com 19. Assim, em vez de 1980 gravava-se 80 e o ano de 1999 ficava armazenado como 99. A lógica era 
bastante simples e toda vez que chegava o final do ano se adicionava 1 ao ano corrente para se obter o 
ano seguinte. Ou seja, para passar de 98 para 99 bastava adicionar 1 ao ano corrente. Tudo funcionaria 
corretamente até que chegasse ao ano 2000. Isto porque se nada fosse feito nos programas, ao se somar 
1 a 99 iria obter 00. E, na sequência da lógica antiga, ao se concatenar com 19 o ano passaria a ser 1900. 
Ou seja, passaria de 1999 para 1900. 
- Comércio Eletrônico e Controle: Durante uma transação de compra o cliente tem que informar o número 
do seu cartão e esse número pode ser interceptado e utilizado por pessoas desautorizadas. A utilização de 
criptografia permitindo que os dados não trafeguem em claro aumenta a proteção do número do cartão e 
dá maior credibilidade às transações efetuadas na Internet. 
 
Aula 5: Introdução ao COBIT 
 
O Control Objectives for Information and related Technology (COBIT) foi criado em 1994 através do 
Information Systems Audits and Control Foundation (ISACF), órgão oficial de certificação de auditores 
americanos, para preencher o espaço que existia pela falta de um roteiro padrão a ser seguido para 
auditar os processos de TI. O modelo COBIT em sua versão 4.1, publicada pelo ITGI em 2007, descreve 
sua missão como “pesquisar, desenvolver, publicar e promover um modelo de controle para governança 
de TI atualizado e internacionalmente reconhecido para ser adotado por organizações e utilizado no dia-a-
dia por gerentes de negócios, profissionais de TI e profissionais de avaliação”. 
- Benefícios do modelo COBIT: Melhor alinhamento baseado no foco do negócio, uma visão compreensível 
para o que a TI faz. Orientação ao Processo, fornece propriedade clara das responsabilidades. Aceitação 
geral dos terceiros e órgãos reguladores. Entendimento entre todas as partes interessadas (stakeholders), 
com base em uma linguagem comum. Cumprimento dos requisitos COSO para o controledo ambiente de 
TI. Satisfaz as especificações gerais de um framework de governança e controle em TI 
- Framework do COBIT: O COBIT é orientado a processos de TI e se dirige prioritariamente aos 
proprietários desses processos, referindo-se tanto aos processos centrais (ex.: contratos, operações, 
marketing e vendas), quanto aos de apoio (ex.: recursos humanos, administração e tecnologia da 
informação). Portanto, o COBIT transcende a área de TI abarcando o negócio como um todo. Para atender 
as necessidades que um modelo de governança de TI exige, o COBIT foi criado com foco nos requisitos de 
negócios, orientado a processos, baseado em mecanismos de controle e com direcionamento para análise 
das medições e indicadores de desempenho. 
 
Para satisfazer os objetivos de negócio, a informação necessita estar em conformidade com certos 
critérios de controle da informação que o COBIT se refere como necessidades de informação da empresa, 
conforme a seguir: - Eficácia: Informação relevante e pertinente para o processo de negócio, sendo 
entregue em tempo e de maneira correta, consistente e utilizável; - Eficiência: Entrega da informação 
utilizando os recursos mais produtivos e econômicos; - Confidencialidade: Proteção de informações 
confidenciais, evitando o acesso desautorizado; - Integridade: Fidedignidade e totalidade da informação, 
mantendo as características originais e sua validade de acordo com os valores e expectativas do negócio; 
- Disponibilidade: Disponibilidade da informação aos usuários autorizados, quando exigida pelo processo 
de negócio presente e futuro; - Conformidade: Alinhamento com as leis, regulamentos e obrigações 
contratuais aos quais os processos de negócios estão sujeitos; - Confiabilidade: Entrega da informação 
para os executivos de forma apropriada para administrar a organização e exercer suas responsabilidades, 
incluindo as de governança. 
As áreas tradicionais sob a responsabilidade de TI costumam ser identificadas como planejamento, 
construção, processamento e monitoramento. O modelo COBIT mostra estas responsabilidades em cada 
um de seus domínios, conforme a seguir: - Planejar e Organizar (PO): Domínio com abrangência 
estratégica e tática, provendo a direção para entrega de soluções (AI) e entrega de serviços (DS); - 
Adquirir e Implementar (AI): Domínio que cobre a identificação, desenvolvimento e/ou aquisição de 
soluções de TI, provendo as soluções para se tornarem serviço; - Entregar e Suportar (DS): Domínio que 
cobre a entrega dos serviços requeridos, recebendo as soluções e tornando-as utilizáveis pelos usuários 
finais; - Monitorar e Avaliar (ME): Domínio que busca assegurar a qualidade dos processos de TI, 
monitorando-os para garantir que a direção definida pela empresa possa ser seguida. 
 
 
 
 
- Controles: Para o COBIT 4.1, controle é definido como “políticas, procedimentos, práticas e estruturas 
organizacionais criadas para prover uma razoável garantia de que os objetivos de negócios serão 
atingidos e que eventos indesejáveis serão evitados ou detectados e corrigidos”. Um objetivo de controle 
define o que se deseja alcançar como resultado em uma atividade de TI específica, utilizando 
procedimentos de controle. O COBIT define objetivos de controle para todos os 34 processos. 
- Medição: A abordagem do COBIT para estas questões é feita através de Modelos de maturidade, Metas e 
medições de desempenho e Objetivos de atividades: - Modelos de Maturidade: Comparações e 
identificação de necessidades para aprimoramento. Para cada processo de TI, é estabelecido um modelo 
de maturidade baseado em níveis, podendo ser utilizado para avaliar como se encontra a maturidade da 
organização no referido processo; Metas e Medições de Desempenho: Como os processos de TI atingem 
os objetivos de negócios. Os objetivos e métricas são definidos no COBIT em três níveis, existe uma 
lógica nos objetivos de tal forma que eles sejam definidos de cima para baixo e que os objetivos de 
negócios possam determinar um ou mais objetivos de TI que irão suportá-los; - Objetivos de atividades: 
Habilitar o desempenho do processo. 
 
O COBIT é baseado nas boas práticas de TI que existem no mercado, estando adequado aos princípios de 
governança de TI que normalmente são aceitos. Seu posicionamento é de alto nível, mantendo foco nos 
requisitos de negócios e abrangendo todas as atividades de TI. Com relação à governança de TI, sua 
proposta está mais voltada para o que se deve atingir do que como fazer para se atingir o ponto de 
governança desejado, com gerenciamento e controle. Recomendado para ser utilizado em um nível 
estratégico, acaba atuando também como um integrador de práticas de governança de TI, sendo 
complementado com outras boas práticas de mercado especializadas em cada assunto. Sua abrangência 
acaba influenciando diferentes usuários, como: Alta direção, Executivos de negócios, Executivos de TI, 
Auditores. 
 
OBS: Fazem parte dos recursos de TI definidos no COBIT, EXCETO: R: Dados 
- Considerando as opções a seguir, a que melhor representa os critérios de informação do COBIT 4.1 é: 
R: Integridade, confiabilidade e disponibilidade. 
 
Revisão - Aula 1 a 5 
 
Exercícios PPT 
 
OBS: Qual das opções a seguir está relacionada com um dos processos do domínio do COBIT 4.1 - 
PLANEJAR E ORGANIZAR (PO). R: Gerenciar a qualidade 
 
Aula 6: Domínio do COBIT 
 
COBIT = 4 Domínios e 34 Processos - Processos do COBIT: Seção 1: Descrição do processo que resume 
os objetivos do processo, apresentada no formato cascata. Mapeamento dos critérios de informação, 
recursos de TI e áreas de foco de governança de TI. A letra P indica um relacionamento primário e a letra 
S indica um relacionamento secundário; Seção 2: Objetivos de controle desse processo; Seção 3: 
Processos de entrada e saída, tabela RACI, objetivos e métricas; Seção 4: Modelo de maturidade do 
processo 
 
- Domínio Planejar e Organizar (PO): A ideia central deste domínio é a de cobrir as estratégias e táticas, 
identificando as formas através das quais a TI pode contribuir para atingir os objetivos de negócio. Há 
necessidade de planejamento, comunicação e gerenciamento em diversas perspectivas. O domínio PO 
costuma ajudar nas seguintes questões gerenciais: As estratégias de TI e negócios encontram-se 
alinhadas? A empresa está obtendo um ótimo uso de seus recursos? Todos na organização entendem os 
objetivos de TI? Os riscos de TI estão entendidos e estão sendo gerenciados? A qualidade dos sistemas de 
TI é adequada as necessidades de negócio? PO10 - Gerenciar Projetos; PO9 - Avaliar e Gerenciar os 
Riscos de TI; PO8 - Gerenciar a Qualidade; PO7 - Gerenciar os Recursos Humanos de TI; PO6 - Comunicar 
Metas e Diretrizes Gerenciais; PO5 - Gerenciar o Investimento de TI; PO4 - Definir os Processos, a 
Organização e os Relacionam. TI; PO3 - Determinar as Diretrizes de Tecnologia; PO2 - Definir a 
Arquitetura da Informação; PO1 - Definir um Plano estratégico de TI. 
- Domínio Adquirir e Implementar (AI): Este domínio tem no seu escopo a identificação, desenvolvimento 
ou aquisição de soluções de TI para executar a estratégia de TI estabelecida, assim como a sua 
implementação e integração junto aos processos de negócio. As eventuais alterações e manutenções nos 
 
 
 
 
sistemas existentes também estão cobertas por este domínio para garantir que as soluções possam 
continuar a atender aos objetivos de negócio. O domínio AI costuma ajudar nas seguintes questões 
gerenciais: Os novos projetos conseguem entregar soluções que atendam às necessidades de negócio? Os 
novos projetos serão entregues no prazo e orçamento planejados? Os novos sistemas funcionam 
adequadamente depois de implementados? As mudanças são conduzidas com baixo impacto nas 
operações de negócio do dia-a-dia? AI7 - Instalar e Homologar Soluções e Mudanças; AI6 - Gerenciar 
Mudanças; AI5 - Adquirir Recursos de TI; AI4 - HabilitarOperação e Uso; AI3 - Adquirir e Manter 
Infraestrutura de Tecnologia; AI2 - Adquirir e Manter Software Aplicativo; AI1 - Identificar Soluções 
Automatizadas. 
- Domínio Entregar e Suportar (DS): Este domínio tem como objetivo cobrir a entrega dos serviços 
solicitados, estando no seu escopo a entrega do serviço, o gerenciamento da segurança e continuidade, 
suporte aos serviços para os usuários, gerenciamento dos dados e da infraestrutura operacional. O 
domínio DS costuma ajudar nas seguintes questões gerenciais: Os serviços de TI estão sendo entregues 
de acordo com as prioridades do negócio? Os custos de TI estão otimizados? As equipes de trabalho estão 
habilitadas a utilizar os sistemas de TI com segurança e produtividade? Os aspectos de confidencialidade, 
integridade e disponibilidade estão sendo considerados de forma que possa garantir a segurança da 
informação? DS13 - Gerenciar Operações; DS12 - Gerenciar Amb. Físico; DS11 - Gerenciar os Dados; 
DS10 - Gerenciar Problemas; DS9 - Gerenciar a Config; DS8 - Gerenciar a Central de Serviços e os 
Incidentes; DS7 - Educar e Treinar os usuários; DS6 - Identificar Alocar Custos; DS5 - Garantir a 
Segurança dos Sistemas; DS4 - Assegurar a Continuidade dos Serviços; DS3 - Gerenciar o Desempenho e 
a Capacidade; DS2 - Gerenciar Serviços Terceirizados; DS1 - Definir e Gerenciar Níveis de Serviços. 
- Domínio Monitorar e Avaliar (ME): Este domínio cuida de assegurar que processos de TI mantenham a 
qualidade e a aderência aos requisitos de controle. No seu escopo estão incluídos o gerenciamento de 
desempenho, o monitoramento do controle interno, a conformidade regulatória e a governança. O 
domínio ME costuma ajudar nas seguintes questões gerenciais: As medições de desempenho de TI 
detectam problemas antes que seja tarde demais? O gerenciamento assegura que os controles internos 
são eficientes e eficazes? É possível associar o desempenho de TI aos objetivos de negócio? Existem 
controles para confidencialidade, integridade e disponibilidade adequados para garantir a segurança das 
informações? ME4 - Prover Governança de TI; ME3 - Assegurar a Conformidade com Requisitos Externos; 
ME2 - Monitorar e Avaliar os Controles Internos; ME1 - Monitorar e Avaliar o Desempenho de TI. 
 
Aula 7: Val IT - Value of Information Technology 
 
Value of Information Technology (Val IT): Fornece princípios, processos e práticas de apoio para ajudar a 
administração e a gestão executiva a compreender e executar melhor as atividades relacionadas aos 
investimentos em TI. Os objetivos do Val IT, segundo o ITGI (IT Governance Institute) são os seguintes: - 
Ajudar a gerência a assegurar que as organizações obtenham o máximo de retorno dos investimentos 
habilitados por TI a um custo razoável e com um nível de risco conhecido e aceito. - Prover diretrizes, 
processos e práticas de apoio para ajudar os conselhos, diretorias, equipes de gerência executivas e 
outros líderes da empresa no entendimento e desempenho dos seus respectivos papéis, em relação aos 
investimentos habilitados por TI. O Val IT leva a visão de governança para a empresa e ajuda os 
executivos a se concentrar. Para cada processo Val IT existe orientações de gestão que incluem as 
entradas e saídas, descrição de atividade, RACI (Responsável, Responsabilizado, Consultado e 
Informado), objetivos e métricas. 
O COBIT entrega serviços de TI de alta qualidade, utilizando as melhores práticas do mercado e assim 
contribui para o processo de criação de valor. E o Val IT, através de suas melhores práticas, avalia o 
resultado final permitindo as empresas medir, monitorar e otimizar o valor, financeiro e não financeiro, 
dos investimentos habilitados por TI. A consistência que existe entre o Val IT e o COBIT, melhora a inter-
relação entre o tomador de decisão, as funções de TI e as funções de negócio, envolvidos na entrega do 
valor planejado. Valt IT e COBIT tem um relacionamento Sinérgico. 
QUESTÃO ESTRATÉGICA: O investimento está... Em linha com nossa visão. Consistente com nossos 
princípios de negócio. Contribuindo para nossos objetivos estratégicos. Oferecendo valor, num custo 
razoável e em nível aceitável de risco. 
QUESTÃO DE ARQUITETURA: O investimento está ... Em linha com nossa arquitetura. Consistente com 
nossos princípios de arquitetura. Em linha com outras iniciativas. 
QUESTÃO DE ENTREGA: Nós temos ... Processos de gerenciamento efetivos e disciplinados de entrega e 
mudanças. Recursos de negócio e recursos técnicos competentes e disponíveis para as entregas 
“Capabilities” requeridas. 
 
 
 
QUESTÃO DE VALOR: Temos ... Um entendimento claro e compartilhado dos benefícios esperados. Clara 
responsabilização pela realização dos benefícios. Métricas relevantes. Um processo efetivo de realização 
de benefícios. 
- Objetivos Val IT: Ajudar a gerência a assegurar que as organizações obtenham o máximo de retorno dos 
investimentos habilitados por TI a um custo razoável e com um nível de risco conhecido e aceito. Prover 
diretrizes, processos e práticas de apoio para ajudar os conselhos, diretorias, equipes de gerência 
executivas e outros líderes da empresa no entendimento e desempenho dos seus respectivos papéis, em 
relação aos investimentos habilitados por TI. 
- Benefícios Val IT: Aumenta o entendimento e a transparência dos custos, riscos e benefícios dos 
investimentos em TI; Aumenta a probabilidade de sucesso na seleção e execução dos investimentos; 
Reduz os custos e perdas de valor, ajudando os tomadores de decisão a realizar ações corretivas nos 
investimentos que não estão entregando valor em conformidade com o esperado; Alinha rapidamente os 
investimentos em função de mudanças no negócio; Alinha os investimentos com a estratégia da empresa; 
Melhora a comunicação entre TI e negócio; Enxerga o valor dos investimentos em TI demonstrados pelo 
CIO; Aumenta a confiança na TI. 
 
Valor: É o resultado esperado de um investimento de negócio viabilizado por TI que pode ser financeiro, 
não financeiro ou uma combinação entre ambos. A natureza de valor é diferente para diferentes tipos de 
empresas. Embora as empresas estejam evoluindo com a questão do valor de natureza não financeira, os 
executivos ainda tendem a ver o valor principalmente em termos financeiros, muitas vezes na conta 
simples de aumentar o lucro a partir do investimento. Para o setor público e empresas sem fins lucrativos, 
o valor é mais complexo e, muitas vezes, de natureza não financeira. Ele pode incluir resultados de 
políticas públicas, melhoria na quantidade e na qualidade de serviços prestados e/ou aumento da receita 
disponível para prestar esses serviços, mas ambos são decorrentes de investimento. O conceito de valor 
depende da relação entre atender as expectativas das partes interessadas e os recursos utilizados para 
isso. Os interessados podem ter visões diferentes sobre a representação de valor. Assim, o objetivo da 
gestão de valor é otimizar o valor da conciliação dessas diferenças e permitir a empresa: Definir e 
comunicar claramente a sua visão do que constitui valor e para quem; Selecionar e executar 
investimentos; Gerenciar seus ativos e otimizar valor com a utilização de recursos de forma econômica e 
nível de risco aceitável. 
 
- Princípios: Projeto - Conjunto de atividades estruturadas e comprometidas com a entrega de um 
determinado resultado para a empresa, com base em um cronograma e um orçamento previamente 
acordados; Programa - Grupo de projetos relacionados entre si, necessários e suficientes para alcançar 
um determinado objetivo de negócio e criar valor; Portfolio - Conjunto de programas de investimento, 
serviços de TI, projetos de TI e ativos de TI, gerenciados e monitorados para otimizar o valor do negócio. 
- Domínios: Governança de Valor (VG) - Assegurar que as práticas de gerenciamento de valor estejam 
embutidas nas práticas de gestão da empresa; Gerenciamento de Portfolio(PM) - Assegurar que uma 
empresa obtenha valor ótimo em toda a sua carteira de investimentos habilitados por TI; Gerenciamento 
de Investimento (IM) - Assegurar que individualmente cada investimento habilitado por TI contribua para 
a otimização do valor. 
 
- Caso de Negócio: muitas vezes descartado por ser considerado como uma burocracia, é uma das mais 
valiosas ferramentas disponíveis para criação de valor ao negócio. Estrutura do caso de negócio: Um caso 
de negócio para um investimento em TI considera as seguintes relações de causalidade: São necessários 
para desenvolver. Um serviço de tecnologia de TI que dará suporte a uma capacidade de operação que 
permitirá, gerar uma capacidade de negócio que criará valor, representado por um resultado financeiro 
ajustado por uma taxa de risco ou pelo retorno ao acionista. 
- Modelo de Maturidade do Val IT: o Val IT tem um modelo de maturidade para cada um dos três 
domínios, fornecendo uma escala de medição que varia de 0 a 5. No nível 0, a empresa ainda não 
aprovou as práticas mais elementares de gestão de valor recomendada pelo Val IT. No nível 5, a empresa 
utiliza práticas de gestão de valor para quantificar e otimizar o valor que está sendo criado. Já os níveis 1 
a 4 representam estágios intermediários para se atingir a criação de valor ótimo. 
 
OBS: Para a avaliação do desempenho financeiro da governança de TI, um indicador que fornece dados 
específicos para esse propósito é: R: O retorno sobre ativos 
 
Aula 8: CMMI 
 
 
 
 
 
Segundo Fernandes & Abreu (2008), a história do CMM começa a partir de uma encomenda feita pelo DoD 
(Departamento de Defesa norte-americano) à Carnegie Mellon University (CMU), através do Software 
Engineering Institute (SEI), visando a criação de um modelo de qualidade para o processo de engenharia 
de software. Assim, em 1991 foi criado o Capability Maturity Model for Software (SW-CMM). A partir de 
1991, foram desenvolvidos vários modelos CMMs para atender a diversas disciplinas, como Engenharia de 
Sistemas, Engenharia de Software, Aquisição de Software, Gestão e Desenvolvimento de Força de 
Trabalho e Desenvolvimento Integrado de Processo e Produto (IPPD). 
CMMI: É um modelo de melhoria de processo que fornece às organizações os elementos essenciais para 
obtenção de processos eficazes e melhoria no desempenho. O CMMI fornece diretrizes baseadas em 
melhores práticas para melhoria dos processos e habilidades organizacionais, cobrindo o clico de vida de 
produtos e serviços complexos nas fases de concepção, desenvolvimento, aquisição, entrega e 
manutenção. O CMMI pode ser utilizado para orientar a melhoria do processo através de um projeto 
especifico, de uma área da empresa ou da organização inteira. 
Segundo o CMU/SEI (2010) “Uma constelação é um conjunto de componentes CMMI utilizados para 
construir modelos, materiais de treinamento e documentos de avaliação relacionados a uma área de 
interesse. ” Desde o lançamento da versão V1.2 do CMMI Development que outros dois modelos estavam 
sendo planejados. Assim, no ano de 2007 foi liberado o modelo CMMI for Acquisition V1.2 e dois anos 
depois o modelo CMMI for Services V1.2 foi lançado. Em 2008, começaram a ser elaborados os planos de 
desenvolvimento da versão V1.3, cujo objetivo era assegurar a coerência entre os três modelos. Em 
novembro de 2010, foi liberada a versão V1.3 do CMMI for Acquisition (CMMI-ACQ), do CMMI for 
Development (CMMI-DEV) e do CMMI for Services (CMMI-SVC). Atualmente, existem três constelações. 
O CMMI oferece duas opções para se abordar a avaliação e melhoria dos processos: - Representação 
contínua: A organização escolhe uma determinada área de processo (ou grupo de áreas de processo) e 
trabalha na melhoria desses processos; - Representação por estágios: Utiliza conjuntos predefinidos de 
áreas de processo para estabelecer um caminho de melhoria para uma organização. 
 
- Níveis de Capacidade: Aplicam-se à melhoria de processo da organização em áreas de processos 
individuais. Esses níveis são um meio para melhoria, de forma incremental, os processos correspondentes 
a uma determinada área de processo. Há seis níveis de capacidade, numerados de 0 a 5. 
- Níveis de Maturidade: Aplicam-se à melhoria de processo da organização em um conjunto de áreas de 
processo da organização em um conjunto de áreas de processo. Esses níveis auxiliam na previsão dos 
resultados de futuros projetos. Há cinco níveis de maturidade, numerados de 1 a 5. 
Níveis de Capacidade e de Maturidade: O CMMI propõe a melhoria de processos através de níveis que são 
utilizados para descrever um caminho evolutivo, recomendado para a organização que deseja utilizar 
esses processos melhorados para desenvolver e manter seus produtos e serviços. Também existe a 
possibilidade de obter os níveis através de avaliações realizadas nas empresas. Existem dois caminhos 
para melhoria. O primeiro funciona melhorando os processos de forma incremental, abrangendo uma ou 
mais áreas de processo da organização. Já o segundo trabalha na melhoria de um conjunto de processos 
interralacionados, tratando de forma incremental os sucessivos conjuntos de áreas de processo. Estes 
dois caminhos de melhoria estão associados às representações que já foram vistas. Para a representação 
contínua emprega-se a expressão nível de capacidade e para a representação por estágios emprega-se 
nível de maturidade. Para as duas representações o conceito de nível é o mesmo. Independente de se 
tratar de nível de capacidade ou nível de maturidade; para alcançar a melhoria desejada a organização 
deve satisfazer a todas as metas associadas à área de processo ou ao conjunto de áreas de processo. 
Tanto uma representação quanto outra permite a implementação de melhorias de processo utilizando 
basicamente a mesma filosofia e com os mesmos componentes do modelo. 
- Gestão de Processo: Foco nos Processos da Organização, Definição dos Processos da Organização 
+IPPD, Treinamento na Organização, Desempenho dos Processos da Organização, Implantação de 
Inovações na Organização. 
- Gestão de Projeto: Planejamento de Projeto, Monitoramento e Controle de Projeto, Gestão de Contrato 
com Fornecedores, Gestão Integrada de Projeto +IPPD, Gestão de Riscos, Gestão Quantitativa de Projeto. 
- Engenharia: Desenvolvimento de Requisitos, Gestão de Requisitos, Solução Técnica, Integração de 
Produto, Verificação, Validação. 
- Suporte: Gestão de Configuração, Garantia da Qualidade de Processo e Produto, Medição e Análise, 
Análise e Tomada de Decisões, Análise e Resolução de Causas. 
 - Componentes das Áreas de Processo: Existem três categorias de componentes do modelo CMMI e cada 
uma delas reflete o modo como deve ser interpretada: - Componentes Requeridos: Descrevem o que uma 
organização deve realizar para implementar uma área de processo. Constituídos pelas metas específicas e 
metas genéricas. A satisfação das metas é o critério que decide e uma área de processo foi implementada 
 
 
 
de maneira adequada; - Componentes esperados: Descrevem o que uma organização pode implementar 
para satisfazer um componente requerido, orientando os responsáveis por melhorias ou avaliações. 
Constituídos pelas práticas específicas e práticas genéricas; - Componentes informativos: Fornecem 
detalhes às organizações auxiliando na implementação dos componentes requeridos e esperados. Alguns 
componentes informativos do modelo: subpráticas, produtos de trabalho, notas, referências, orientações 
para aplicação de prática genérica. 
- Componentes do modelo CMMI: Trata-se de um conjunto de práticas relacionadas a uma determinada 
área. A implementação dessas práticas implica em satisfazer a um conjunto de metas importantes para 
realizar melhorias significativas nessa área. No modelo CMMI-DEV V1.2, existem 22 áreas de processo: 
Análise e Resolução de Causas (CAR); Gestão de Configuração (CM); Análise e Tomada de Decisões(DAR); Gestão Integrada de Projeto +IPPD (IPM +IPPD); Medição e Análise (MA); Implantação de 
Inovações na Organização (OID); Definição dos Processos da Organização +IPPD (OPD +IPPD); Foco nos 
Processos da Organização (OPF); Desempenho dos Processos da Organização (OPP); Treinamento na 
Organização (OT); Integração de Produto (PI); Monitoramento e Controle de Projeto (PMC); Planejamento 
de Projeto (PP); Garantia da Qualidade de Processo e Produto (PPQA); Gestão Quantitativa de Projeto 
(QPM); Desenvolvimento de Requisitos (RD); Gestão de Requisitos (REQM); Gestão de Riscos (RSKM); 
Gestão de Contrato com Fornecedores (SAM); Solução Técnica (TS); Validação (VAL); Verificação (VER). 
 
Saiba mais 
CMMI for Acquisition, Version 1.2 - http://www.sei.cmu.edu/reports/07tr017.pdf 
CMMI for Services, Version 1.2 - http://www.sei.cmu.edu/reports/09tr001.pdf 
Appraisal Method for Process Improvement (SCAMPI) - http://www.sei.cmu.edu/reports/06hb002.pdf 
CMMI Version 1.3 DEV / ACQ / SVC - http://www.sei.cmu.edu/cmmi/ 
 
Aula 9: Six SIGMA 
 
O Six Sigma, como um padrão de medição, ao introduzir o conceito de curva normal. Já o termo Six 
Sigma, propriamente dito, foi cunhado pela Motorola na década de 1980 (Bill Smith). Desde 1928, ano de 
sua fundação, que a Motorola tem se comprometido com a inovação em comunicação e eletrônica, 
sempre alcançando êxito e pioneirismo. No ano de 1986, houve um aumento significativo da competição 
no mercado e isso acabou aflorando a percepção e a atenção para as informações vindas de sua força de 
vendas, acusando a quantidade de reclamações de uso de garantias pelos clientes. Em outras palavras, a 
qualidade dos produtos estava ruim. Esse cenário fez com que o CEO da Motorola Bob Galvin 
estabelecesse um ambicioso programa com a meta de em cinco anos fazer com que os produtos Motorola 
ficassem com qualidade dez vezes melhor, atingindo assim a satisfação do cliente. Ainda em 1986, o 
engenheiro de qualidade da Motorola, Bill Smith, deu a esse processo de melhoria de qualidade o nome de 
Six Sigma. Em 1991, a Motorola introduziu treinamentos para formação de especialistas em Six Sigma, 
denominados black belts. Em 2002, a Motorola voltou a ganhar o MBNQA e isso fez com que o Six Sigma 
se estabelecesse como uma metodologia orientada para obtenção de resultados orientados para o 
negócio. O Six Sigma expandiu sua atuação para além dos ambientes de fabricação complexos e se 
espalhou por todas as indústrias e áreas funcionais. 
- Objetivos: Primeiramente adotada na manufatura e agora se estendendo para o setor de serviços, o Six 
Sigma é uma modelo de melhoria e otimização de processos que utiliza os dados e análises estatísticas 
para medir e melhorar o desempenho operacional das organizações, identificando as causas responsáveis 
pelos problemas, conhecidas como causas raízes. Elas são identificadas e validadas estatisticamente, 
gerando ações para eliminá-las ou minimizá-las. 
Pande, Neuman & Cavanagh (2001), Six Sigma é “um sistema abrangente e flexível para alcançar, 
sustentar e maximizar o sucesso empresarial. É singularmente impulsionado por uma estreita 
compreensão das necessidades dos clientes, pelo uso disciplinado de fatos, dados e análise estatística e 
pela atenção diligente à gestão, melhoria e reinvenção dos processos de negócio”. 
Marash (2000), “Six Sigma é uma metodologia estruturada que incrementa a qualidade por meio do 
aperfeiçoamento contínuo dos processos de produção de um bem ou serviço, da otimização das 
operações, da eliminação sistemática dos defeitos, falhas e erros, levando em consideração todos os 
aspectos importantes do negócio que possam diferenciar a empresa junto aos seus clientes”. 
Smith & Adams (2000), descreve que “alcançar o Six Sigma significa reduzir defeitos, erros e falhas 
praticamente a zero defeito no desempenho dos processos. Muitas vezes, o objetivo prático não é atingir 
esta marca, mas instituir uma forma sistemática de reduzir a variabilidade dos processos, assimilando e 
organizando a informação, melhorar a lucratividade através da melhoria da qualidade ou, ainda, reduzir 
ou eliminar a incidência de erros, defeitos e falhas em um processo e pode ser aplicada na maioria dos 
setores da atividade econômica”. 
 
 
 
 
Segundo Fernandes & Abreu (2008), o objetivo principal do Six Sigma “é a melhoria do desempenho do 
negócio através da melhoria do desempenho de processos, tendo como meta um processo que apresente 
3,4 defeitos por milhão de oportunidades (DPMO) ou Six Sigma, que equivale a um rendimento de 
99,9997% de resultados do processo isentos de defeitos”. 
 
- Os objetivos do Six Sigma abrangem as seguintes possibilidades: Melhoria da produtividade. Excelência 
no desenvolvimento de produtos e serviços. Retenção de clientes. Redução de tempo de ciclo. Redução de 
custos. Crescimento de fatia de mercado. Mudança cultural para qualidade. Redução de defeitos. 
Sob o ponto de vista estratégico, o Six Sigma se propõe a alinhar a organização com as necessidades e 
requisitos demandados pelo mercado, buscando obter melhorias reais de qualidade e rentabilidade. 
- Metodologia DMAIC: A utilização do Six Sigma se baseia na metodologia DMAIC. Segundo Harry et al. 
(1998); Pande et al. (1998);, Eckes (2001), citados por Rotondaro et al. (2010), o modelo MAIC (Medir, 
Analisar, Melhorar e Controlar) teve origem na Motorola, como uma evolução do ciclo PDCA e, 
posteriormente, foi adotado pela GE, sendo batizado como DMAIC, onde o D representa no modelo a fase 
Definir. Esse modelo passou a ser a base operacional da ruptura Six Sigma para essas empresas, tendo 
sido fundamental para o sucesso que alcançaram. Define (Definir). Measure (Medir). Analyse (Analisar). 
Improve (Melhorar). Control (Controlar). 
- Tecnologia Da Informação Como Suporte Ao Six Sigma: - Softwares para apoio estatístico: Controle 
Estatístico de Processos (CEP) e Design of Experiments (DOE). Exemplo: Minitab; - Software para 
simulação: Identifica gargalos e desperdícios nos processos. Exemplos: Arena e Promodel; - Gestão de 
banco de dados: Mantém históricos abrangentes e detalhados das Critical to Quality (CTQs) e dos projetos 
Six Sigma a elas associados; - Ferramentas de extração de informação: Exemplos: Data Mining e 
Customer Relationship Management (CRM). 
- Ferramentas e Técnicas Utilizadas pelo Six Sigma: - SIPOC (Supplier, Input, Process, Output, 
Customer): É uma técnica de diagrama que tem por objetivo o desenho de processos de negócio; - 
Diagrama de espinha de peixe (ou diagrama de Ishikawa): Permite entender as causas raízes especiais e 
comuns de variação para os processos; - Diagrama de Pareto: Técnica básica de qualidade que permite 
verificar a frequência das causas de variação de um processo; - Estatística básica e descritiva: Média, 
desvio padrão, moda, mediana, dispersão, distribuição de probabilidades, etc.; - Histograma ou tabela de 
frequência: Mostra graficamente e variação de um grupo de dados; - Balanced Scorecard (BSC): Usado 
para mostrar os objetivos de desempenho do produto ou serviço e o seu desdobramento em objetivos de 
menor nível. 
 
O Six Sigma funciona sob dois pilares. O primeiro é constituído pelos conhecimentos técnicos que a 
metodologia oferece e o segundo pelas pessoas que operacionalizam o trabalho. Esta composição 
associada à formação de equipes de trabalho, onde cada participante desempenha o seu papel, é a forma 
mais adequada para se obter sucesso no projeto. 
- Executivo líder: Normalmente representado pela alta gerência. Responsabilidades: implantação do Six 
Sigma; compromisso com o sucesso da implantação da estratégia de melhoria do processo; conduz, 
incentiva e supervisiona as iniciativas do Six Sigma na empresa; verifica os benefícios financeiros 
alcançados com os projetos Six Sigma; seleciona os executivos (diretores e gerentes) que 
desempenharão o papel de campeões. 
- Campeão: Papeldesempenhado na maioria das vezes em empresas grandes. Responsabilidades: 
liderança dos executivos-chaves; organiza e conduz o começo, o desdobramento e a implementação do 
Six Sigma em toda a organização; domínio das teorias, princípios e práticas do Six Sigma; facilita o 
caminho para as mudanças necessárias; define as pessoas disseminadoras do Six Sigma na empresa. 
- Master Black Belt: Papel também desempenhado tipicamente em empresas de grande porte. 
Responsabilidades: ajuda a conscientizar a implantação do Six Sigma na empresa; mudanças na 
organização; ajuda os campeões a escolherem os novos projetos de melhoria; disponibiliza liderança 
técnica para o preparo do Six Sigma; 100% do seu tempo deve ser dedicado ao Six Sigma; receber 
treinamento intensivo; estar preparado para solucionar problemas estatísticos; comunicar e ensinar; 
treinar e instruir os Black Belts e os Green Belts. 
- Black Belts e Green Belts: São elementos chaves do sistema e trabalham sob as ordens do Master Black 
Belt. Habilidades: relacionamento interpessoal e comunicação; alcançar resultados e efetuar mudanças; 
possuir influência no setor que atuam; saber trabalhar em equipe. Conhecimentos: possuir excelentes 
conhecimentos técnicos de sua área de trabalho. Responsabilidades: aplicam as ferramentas e 
conhecimentos em projetos específicos; recebem treinamento intensivo em técnicas estatísticas e de 
solução de problemas; treinam os Green Belts; orientam os Green Belts na condução dos grupos. 
 
 
 
 
Aula 10: Revisão 
 
Sistemas informatizados de governança corporativa de qualidade e conselheiros qualificados podem evitar 
fracassos decorrentes de Abuso de poder, erros estratégicos e fraudes. 
- Teoria Agente-principal: A teoria é fundamentada no agente-principal e na compreensão entre agente 
(tomadores de decisão) e principal (pessoas que confiam as decisões para terceiros). Segundo a teoria, 
não se pode afirmar que o agente sempre agirá no melhor interesse do principal. Isto implicará num 
problema entre ambos, conhecido como problema do agente-principal ou problema de agência. 
- Gestão estratégica baseada no Balanced Scorecard (BSC): Uma das técnicas utilizadas pelas empresas 
durante a criação de sua estratégia é o Balanced Scorecard (BSC). Através dos BSC é possível criar um 
mapa estratégico para traduzir a missão e visão da organização, criando um conjunto abrangente de 
medidores de desempenho que serve de ajuda na gestão estratégica. 
- COBIT: é orientado a processos de TI e se dirige prioritariamente aos proprietários desses processos, 
referindo-se tanto aos processos centrais (exemplos: contratos, operações, marketing e vendas), quanto 
aos de apoio (exemplos: recursos humanos, administração e tecnologia da informação). Portanto, o 
COBIT transcende a área de TI abarcando o negócio como um todo. 
- ValIT: Ajudar a gerência a assegurar que as organizações obtenham o máximo de retorno dos 
investimentos habilitados por TI a um custo razoável e com um nível de risco conhecido e aceito. Prover 
diretrizes, processos e práticas de apoio para ajudar os conselhos, diretorias, equipes de gerência 
executivas e outros líderes da empresa no entendimento e desempenho dos seus respectivos papéis, em 
relação aos investimentos habilitados por TI. Segundo o ITGI (2008), o conceito de valor é complexo, 
específico ao contexto e dinâmico. É o resultado esperado de um investimento de negócio viabilizado por 
TI que pode ser financeiro, não financeiro ou uma combinação entre ambos. - Projeto - Conjunto de 
atividades estruturadas e comprometidas com a entrega de um determinado resultado para a empresa, 
com base em um cronograma e um orçamento previamente acordados. - Programa - Grupo de projetos 
relacionados entre si, necessários e suficientes para alcançar um determinado objetivo de negócio e criar 
valor. - Portfolio - Conjunto de programas de investimento, serviços de TI, projetos de TI e ativos de TI, 
gerenciados e monitorados para otimizar o valor do negócio. – Domínio - Contexto onde os princípios 
orientadores do Val IT são aplicados. Para que a empresa possa criar um valor ótimo de investimentos em 
TI a um custo acessível e com um nível aceitável de risco, esses princípios devem ser aplicados no âmbito 
de três domínios. 
- CMMI: Conjunto de componentes CMMI utilizados para construir modelos, materiais de treinamento e 
documentos de avaliação relacionados a uma área de interesse. Por exemplo, aquisição, desenvolvimento 
ou serviços. - CMMI for Development ou CMMI-DEV: Provê diretrizes para monitorar, mensurar e 
gerenciar processos de desenvolvimento, podendo ser estendido através da adição para o 
Desenvolvimento Integrado de Produto e Processo (IPPD). - CMMI for Acquisition ou CMMI-ACQ: Provê 
diretrizes para suportar as decisões relacionadas à aquisição de produtos e serviços. - CMMI for Services 
ou CMMI-SVC: Provê diretrizes para entrega de serviços dentro das organizações e para clientes externos. 
- Níveis de capacidade (seis níveis numerados de 0 a 5): Associados à representação contínua e aplicam-
se à melhoria de processo da organização em áreas de processos individuais. Melhoram de forma 
incremental os processos correspondentes a uma determinada área de processo. 
- Níveis de maturidade (cinco níveis numerados de 1 a 5): Associados à representação por estágios e 
aplicam-se à melhoria de processo da organização em um conjunto de áreas de processo. Ajudam na 
previsão de resultados de futuros projetos. 
- SixSIGMA: A melhoria do desempenho do negócio através da melhoria do desempenho de processos, 
tendo como meta um processo que apresente 3,4 defeitos por milhão de oportunidades (DPMO) ou Six 
Sigma, que equivale a um rendimento de 99,9997% de resultados do processo isentos de defeitos. 
 
OBS: O BSC é um sistema de gestão e não apenas um sistema de medidas. Ele habilita as organizações a 
clarear sua visão e estratégia, traduzindo-as em ações. 
 
Revisão - Aula 6 a 10 
Exercícios PPT