GOVERNANÇA DE TI

Prévia do material em texto

GOVERNANÇA EM TI
W
BA
00
49
_v
2.
0
22 
Patrícia Bonezi Nunes da Mota
Londrina 
Editora e Distribuidora Educacional S.A. 
2019
Governança em TI
1ª edição
33 3
2019
Editora e Distribuidora Educacional S.A.
Avenida Paris, 675 – Parque Residencial João Piza
CEP: 86041-100 — Londrina — PR
e-mail: editora.educacional@kroton.com.br
Homepage: http://www.kroton.com.br/
Autoria: Profa. Patrícia Bonezi Nunes da Mota.
Revisão: Prof. Washington Henrique Carvalho Almeida.
Como citar este documento: MOTA, Patrícia Bonezi Nunes da. Governança em TI. 
Valinhos: 2019.
44 
SUMÁRIO
Apresentação da disciplina 5
Governança em TI: preparado para a mudança? 6
Modelos de governança e compliance 26
ITIL: um modelo de governança 42
ITIL: modelo de serviços, como implantar? 60
COBIT: o cubo na estratégia das empresas 76
Gestão de projetos e os modelos ágeis 92
Visão geral de compliance: COSO e resultados 107
GOVERNANÇA EM TI
55 5
Apresentação da disciplina
A disciplina de Governança em TI se apresenta com o objetivo de 
trabalhar os conceitos de Governança Corporativa e Governança de TI. 
Para tanto, traz as normas, processos e indicadores de desempenho 
para a área de TI, a fim de que os líderes e gestores possam entender 
as diferenças e aplicabilidades.
Também trabalha com o conceito das melhores práticas em processos 
e serviços de TI, utilizando os guias de gestão: Cobit (Control Objectives 
for Information and Related Technology), para que as lideranças extraiam 
por meio de indicadores os valores para a tomada de decisão e ITIL 
(Information Technology Infrastructure Library), como forma de organizar 
a TI e seus serviços, permitindo que o dia a dia da empresa seja 
administrado e acompanhado e, desta forma, traga os resultados para 
que o Cobit também produza seus resultados.
Apresentar os conceitos de modelos ágeis, com o Scrum como 
modelo de gestão e governança. Entender que as empresas agora 
não mais conseguem esperar dois anos para que os projetos 
aconteçam. Os modelos e metodologias ágeis chegaram para que 
os resultados de projetos apareçam em menor tempo.
Apresentar a ISO 38500 e o COSO, como governança e risco. 
Ao final, portanto, você conseguirá estabelecer uma relação 
entre governança corporativa e a Governança de TI, entender as 
melhores práticas de mercado e escolher quais poderá utilizar a 
fim de atingir resultados esperados.
66 
Governança em TI: 
preparado para a mudança?
Autora: Patrícia Bonezi
Objetivos
• Apresentar o tema Governança, na perspectiva de TI. 
• Apresentar as características e diferenças entre 
Governança de TI e Governança Corporativa.
• Apresentar ITIL, CobiT, ISO38500 e COSO, 
bem como os seus respectivos benefícios.
77 7
1. Governança na perspectiva da TI
Esta leitura fundamental tem como objetivo preparar o aluno para 
entender o conceito de governança, as diferenças sobre governança 
de TI e corporativa e, também, quais os benefícios e dificuldades de 
cada uma delas. 
O texto também busca apresentar alguns modelos e ferramentas 
que possam sustentar a implantação mínima possível segundo as 
necessidades da empresa. Mas, ao mesmo tempo, permita a evolução 
ao longo do tempo, considerando as mudanças que possam impactar 
o negócio, os momentos de pivotagem ou mesmo o alcance de outros 
patamares de atuação.
PARA SABER MAIS
O livro aborda o tema governança em TI com muita 
experiência e maturidade, apresentando uma visão 
integrada e inovadora na forma de exemplificar as formas 
de se fazer gestão em TI e apresentar diferentes soluções 
de governança, presente nos ambientes organizacionais.
Leia o livro: FERNANDES, Aguinaldo Aragon; ABREU, Vladimir 
Ferraz de. Implantando a Governança de TI: da Estratégia 
à Gestão dos Processos e Serviços. 4. ed. São Paulo: 
Saraiva, 2014.
2. Governança em TI e seus benefícios: 
preparado para a mudança?
A tecnologia permeia as corporações e está intimamente ligada aos 
negócios. Conforme aponta Fernandes (2014), as empresas hoje 
88 
entendem que tecnologia faz parte do negócio e do sucesso e estão 
convencidas de que, para se tornarem competitivas, os empresários têm 
que investir em tecnologia e, somente desta forma, estar à frente dos 
concorrentes diretos e indiretos.
Quando se fala em tecnologia, o assunto gira em torno de sistemas, 
redes, banco de dados, telecomunicações e, também, necessariamente, 
dinheiro para investimento nesses itens.
Falando especificamente em desenvolvimento de sistemas, os itens 
supracitados trazem conforto e permitem agregar valor às empresas 
e ao portfólio de produtos ou serviços ofertados. Mas, além disso, 
permitem que as ações das empresas listadas na Bolsa de Valores, 
por exemplo, ganhem expressividade, e este dinheiro empenhado em 
tecnologia, então, possa ser chamado de investimento. 
Não obstante, a grande questão quando se fala de sistemas é entender 
o quão abrangente este assunto é para as empresas e seus aportes 
financeiros. O quanto realmente se precisa e quer investir em sistemas, 
além de como e quais sistemas são realmente necessários. A dificuldade 
está em entender o que é realmente necessário e não fazer a aquisição 
de tecnologias somente por uma questão de mercado ou tendência, ou 
porque o concorrente está investindo em tecnologia, pois nem sempre 
atenderá às necessidades específicas da empresa. A análise dever ser 
baseada em saber aonde se quer chegar por meio do investimento em 
TI e no que investir.
Para tornar o processo mais assertivo em termos de tomada de decisão, 
portanto, as primeiras reflexões devem ser: aonde se quer chegar? Qual 
é o patamar ideal para colocar a empresa? Quanto de investimento será 
necessário? Qual o retorno e em quanto tempo?
Normalmente, estas respostas devem estar atreladas ao momento 
econômico do país, do mundo, do produto que se fabrica e comercializa, 
para onde vai o mercado em que se atua para, depois, então, conseguir 
respostas assertivas para embasar a tomada de decisão. 
99 9
A governança atende a estas questões, mas, para isso, é necessário 
entender o que é TI, o que abrange e quais modelos e ferramentas se 
tem disponível para atingir tais respostas.
No início deste movimento de informatização e tecnologia, a ideia e a 
vontade era automatizar o que era feito manualmente para se ganhar 
tempo com o que poderia ser substituído pela máquina e, também, ser 
realizado suprimindo erros humanos. 
A ocasião remete à década de 1950, no século passado, onde os 
computadores eram do tamanho de uma sala de jantar e serviam como 
grandes calculadoras que armazenavam os dados e os transformavam 
em informações. 
De outro modo, ainda na década de 1950, somente as grandes empresas 
investiam em tecnologia, pois era caro e não se sabia ao certo para que 
usar aquela “traquitana” toda.
Não se acreditava, naquela época, que os computadores estariam 
nas casas das pessoas e muito menos nas mãos – formato que hoje 
chamamos de smartphones ou mesmo tablets –, pois eram muito caros 
e grandes.
Na ocasião, as empresas que conseguiam ter acesso a estes 
computadores pagavam grandes somas de dinheiro para ver sua 
empresa automatizada. E, portanto, os computadores, com toda a sua 
capacidade de processar a informação, era privilégio dos grandes.
A capacidade de informatizar, automatizar e ter os computadores 
fazendo coisas que os humanos faziam, cobravam para isso e ainda 
muitas vezes erravam, caiu no gosto dos empresários. Desta forma, 
cada vez mais os computadores com o mínimo de inteligência, mas 
bastante programação para a automação, começaram a substituir a 
mão de obra humana.
1010 
Ao final do século XX, a microinformática entrou em definitivo nas 
empresas, mesmo que inicialmente de forma não organizada, e passou 
a ocupar posições estratégicas para que o humano dependesse cada 
vez mais da informação gerada por essas máquinas. Tornaram-se 
computadores de mesa, estações de trabalho, tablets e celulares, e 
entraram nos lares também, com seus aplicativosque substituíram a 
máquina de escrever.
A evolução da tecnologia não para e não existe mais possibilidade 
de reversão desse processo. Então, o jeito é entender e fazer uso da 
tecnologia da melhor forma, como aliada, para conseguir que a empresa 
obtenha lucros maiores e esteja dentro das normas mundiais, para que 
possa se posicionar entre as melhores do mundo no segmento.
Ainda no atual contexto, o mundo globalizado não permite que as 
empresas tenham um endereço físico, mas sim tenham um endereço 
eletrônico e atendam seus clientes em casa, por meio do e-commerce, e 
para tanto, dependam sim da tecnologia como parte do negócio.
Mas essa necessidade de estabelecer negócios e comercializar pela 
internet passou por um processo evolutivo e até chegar no e-commerce 
sofreu uma evolução dos sistemas.
Há 20 anos, quando o assunto era sistema, a moda nas empresas 
eram os sistemas de gestão, sistemas que surgiram para interligar os 
departamentos e consolidar os dados a fim de que os empresários e 
pessoas que tomavam decisões pudessem ter informações à mão, para 
decidirem o que comprar ou vender na empresa. Conforme Pinheiro, 
as organizações sabiam, por meio dos sistemas ERP (Enterprise Resource 
Planning), o quanto a empresa faturava e o que seria mais lucrativo para 
fazer o planejamento estratégico dos próximos anos.
Os sistemas, até então, traziam de forma ordenada a informação que 
permitia a tomada de decisão. Mas como organizar esta informação 
para que ela, de fato, trouxesse algum valor para as empresas? 
1111 11
Bom, para que estes sistemas ERP funcionassem, havia necessidade de 
interligar toda a infraestrutura via cabos e redes.
As redes, portanto, foram criadas para interligar os computadores e 
permitir a troca de informações. Conforme Tanembaum, outra função 
da rede é para o compartilhamento de periféricos e, assim, conseguir 
imprimir usando uma única impressora para vários computadores. 
Em linhas gerais, o investimento em infraestrutura contempla 
estrutura física e de redes de computadores de uma empresa. 
Com o advento da internet, a infraestrutura está cada dia mais 
presente nas empresas e figura como um investimento necessário para 
comportar e permitir ter a informatização necessária.
3. Governança em TI, o que muda?
Os assuntos “banco de dados” e “telecomunicações” são dois itens que 
fazem parte de tecnologia presente nas empresas. Em outras épocas, a 
preocupação com eles era bem menor e o investimento também. 
Na busca de um resultado melhor, o investimento em tecnologia cada 
vez mais foi aumentando nas empresas e agora a maioria delas enxerga 
que o negócio deles muitas vezes é TI e que dependem de tecnologia 
para serem competitivos.
Desta forma, a necessidade de controles, de pontos de verificação, 
de estarem dentro de normas e padrões exigidos pelas ISO’s e 
de outras certificações que garantam a qualidade dos produtos 
e serviços prestados e entregues fez com que se estabelecesse a 
governança nas empresas e para que a governança possa ser seguida 
e estabelecida, as pessoas envolvidas, gestores, clientes, acionistas 
e pessoas interessadas nestas empresas devem trabalhar dentro da 
conformidade e a todo tempo obedecer a normas que foram um dia 
propostas e aceitas por todos.
1212 
A governança deve ser divulgada a todos os envolvidos, em uma 
linguagem clara e de fácil compreensão – ter uma cartilha em um 
formato de política para que seja entendida – e deve também ser 
seguida após ter sido acordada entre todos.
Na governança em TI, o que muda? A governança em TI é parte 
da governança corporativa e deve estar alinhada e apoiada pelas 
lideranças, para ser cumprida como prometido nas certificações 
(FERNANDES, 2014).
Toda governança está ligada na forma de gerir uma empresa ou mesmo 
uma área, e uma forma de fazer isso é usar a tecnologia como meio.
De acordo com o autor Fernandes (2014), governança significa governar, 
mas o conceito em si extrapola tal definição. É preciso governar de 
acordo com as normas, leis e padrões definidos pelas regras de uma 
sociedade. Ou melhor, estar inserido na sociedade, respeitando as 
normas e padrões definidos como corretos.
A governança requer disciplina e acompanhamento do que se pretende 
fazer sobre a gestão e seus resultados. Estar alinhado à governança é 
muito mais do que simplesmente seguir as normas, mas sim trabalhar 
alinhado para que as normas sejam convertidas em resultados.
Desta forma, a governança de TI faz parte da governança corporativa. 
Não é uma questão de diferenças, mas entender duas práticas de 
governança implica em uni-las para que se atinja melhores resultados. 
Nesse ponto, torna-se fundamental entender o papel da TI nos modelos 
de gestão (MOLINARI; RAMOS, 2015).
A governança corporativa define um padrão que as empresas são guiadas 
ou mesmo as organizações são dirigidas e gerenciadas. Apesar da 
definição de cada uma das governanças, em TI ou mesmo a corporativa, 
estar interligada, cada uma delas possui seus próprios objetivos.
1313 13
Dentro da governança corporativa, as boas práticas regem que a 
transparência nos processos deve envolver acionistas, diretores, 
auditores, conselho fiscal e a sociedade, que invariavelmente 
participam da empresa.
No meio corporativo, a governança de TI foi elaborada com o 
objetivo de planejar e elaborar meios e estratégias para ter vantagens 
competitivas. Nesse ínterim, as ferramentas de TI implantadas em uma 
empresa têm a missão de conseguir fazer com que isso aconteça.
Algumas práticas que cabem dentro das melhores práticas do mercado, 
para a TI, permitem que se criem serviços absolutamente confiáveis e 
disponíveis de forma que se alcance excelência, tornando a empresa 
mais competitiva.
Para que se aumente esta competitividade e os melhores processos 
sejam garantidos dentro de uma corporação, existem algumas 
ferramentas e modelos que são recomendados. De outro modo, a 
utilização de ferramentas, modelos ou frameworks é necessária para 
colocar a empresa em outro patamar no mercado.
Mas vale ressaltar que, enquanto ferramentas e modelos, não é possível 
estabelecer uma solução pronta, mas sim citar modelos a serem 
seguidos para se atingir os resultados perseguidos, permitindo que a 
empresa tenha lucro e se posicione de forma diferente no mercado. 
Estas ferramentas são importantes para a geração e controle da 
qualidade dos serviços. Garantir a qualidade dos produtos e serviços 
significa permitir que o alinhamento dos recursos - como softwares e 
sistemas – esteja alinhado aos objetivos da empresa.
Estas ferramentas, quando implantadas, devem ser utilizadas e 
respeitadas por todos os envolvidos na empresa. O resultado só 
aparecerá se estas ferramentas forem utilizadas pelos usuários, 
gestores, diretores, acionistas e outras pessoas interessadas 
na empresa.
1414 
Dentre as ações que são descritas nos modelos e ferramentas para a 
governança de TI, estão aquelas que também garantem a segurança 
de informação nos processos executados dentro de uma empresa. 
A segurança garante a confiabilidade, integridade e segurança dos 
dados que são trabalhados e gerados pelas empresas. 
A ISO 27000 é uma forma de garantir essa integridade e 
confiabilidade com segurança, garantindo que os dados gerados 
são reais e que podem ser utilizados como forma de aferir o valor 
da empresa e suas ações. Mas, novamente, as ações de segurança 
que estarão descritas na ISO 27000 devem ser seguidas dentro do 
contexto que elas foram descritas e pactuadas com os auditores na 
certificação ou na recertificação. Portanto, se uma empresa já possui 
uma das certificações da ISO, no caso a 27000, tudo fica mais fácil 
para a governança.
4. Modelos e ferramentas
Estes modelos e/ou ferramentas propostos para a governança de TI 
atendem propósitos específicos, e cada um deles atende a diferentes 
requisitos e entregam resultados específicos. Por vezes, alguns deles 
são complementares e trabalham juntos para que faça sentido os 
resultadosapresentados.
A seguir, uma lista com alguns modelos para apoiar os resultados 
esperados na governança em TI:
4.1 ITIL (IT Infrastructure Library)
Uma biblioteca de melhores práticas para a entrega e operação de 
serviços de TI, utilizando bibliotecas separadas por módulos focados 
em serviços.
1515 15
Figura 1 – ITIL (IT Infrastructure Library)
Fonte: elaborada pelo autor.
Este modelo funciona em empresas de serviços de tecnologia ou 
para mapear e validar os serviços prestados no Service Desk de 
qualquer empresa. 
O objetivo do Service Desk é centralizar, controlar e aplicar as definições 
da ITIL na gestão estratégica e planejada de serviços de TI, centralizando 
os registros e as necessidades de uma empresa em um único lugar 
para manter um controle sobre o que foi feito, mantendo as análises 
e acompanhamento do atendimento e da resolução dos problemas, 
mapeando os dados e informações do atendimento.
Deve ser implantado com uma ferramenta (ou sistema) de tecnologia 
para que os usuários possam abrir as solicitações e ter suas 
necessidades em sistemas e tecnologias resolvidas e, desta forma, 
mapeado o que foi solicitado pelos usuários e como foram tratadas e 
resolvidas as demandas.
1616 
4.2 COBIT (Control Objectives for Information and related Technology)
Este framework complementa-se com o ITIL na governança de TI e 
contempla recursos atrelados ao sumário executivo, controles, mapas 
e indicadores de metas, além de um guia de gerenciamento. Ele 
acompanha a governança de TI e deve ser utilizado para garantir a 
qualidade dos serviços de TI. 
Figura 2 – CoBIT (Control Objectives for Information and related Technology)
Fonte: elaborada pelo autor.
Este modelo é comumente recomendado por especialistas da área de 
tecnologia, atende aos líderes e gestores da empresa, dando subsídios 
para tomada de decisões e também será detalhado mais adiante.
A seguir, as 5 áreas de foco do Cobit:
• Alinhamento estratégico;
• Entrega de valor;
• Gerenciamento de riscos;
• Gerenciamento de recursos;
• Mensuração de desempenho.
1717 17
4.3 SOX (Lei Sarbannes-Oxley)
A SOX é a abreviação de uma lei norte-americana de 2001, que tem o 
objetivo de regulamentar a atuação de empresas que querem colocar 
suas ações para serem comercializadas na bolsa de valores americana. 
Esta lei surgiu após problemas com a bolha de internet e o problema 
da Eron e, consequentemente, a quebra de algumas empresas que não 
garantiam lastro nas ações que vendiam e quando eram comercializadas 
nem sempre valiam o que falavam que valiam.
A regulamentação exige que todas as áreas da empresa estejam dentro 
da conformidade e não seria diferente para a área de TI. Os requisitos 
determinados nesta lei devem estar implantados na empresa e ser 
seguidos de acordo.
4.3 PMI (Project Management Institute)
O PMI é um instituto norte-americano que elabora, há anos, um 
modelo de gestão de projetos que passa por evolução constante. 
Este modelo de gestão atende a gerenciamento de projetos na 
área de TI ou em outra qualquer. Para tanto, existe um manual de 
boas práticas, chamado o body of knowledge em Gerenciamento de 
Projetos (PMBoK), que serve como um guia de melhores práticas em 
gestão de projetos.
Para ser um profissional de gestão de projetos, entende-se que 
a certificação do PMI, a mais conhecida chamada PMP (Project 
Management Professional), é essencial. Esta certificação evolui de 
tempos em tempos e é necessária mantê-la. 
1818 
Figura 3 – Modelos ágeis (Scrum)
Fonte: pixabay.com.
Métodos ágeis surgiram na engenharia de software para melhor 
desenvolvimento de sistemas. E, como o sucesso deste foi grande, 
passou a integrar a lista de modelos de gestão de projetos.
Por ser ágil, ele tem a missão de finalizar e entregar de forma que se 
adapte a mudanças e entregue qualquer projeto. As análises e pontos 
de verificação, por sua vez, são diários e permitem uma correção de rota 
rápida antes de comprometer as entregas, prazo e custo do projeto.
As empresas não têm mais tempo para esperar um projeto de dois ou 
três anos para ver um resultado ou uma mudança acontecer. Desta 
forma, o método ágil permite que o prazo, que poderia ser um ofensor, 
seja um aliado no término do projeto em um tempo adequado.
Dentro deste modelo não existe mais um perfil de gerente dos 
projetos, mas sim uma liderança técnica que possa fazer-acontecer e, 
desta forma, os resultados apareçam em menor tempo. Não obstante, 
o projeto é dividido em Sprints e cada uma delas conduzida por um 
Scrum Master (liderança técnica), pode levar de 2 a 8 semanas. Cada 
Sprint compõe uma fase do projeto e ao término de uma fase já é 
possível ver resultados.
Como os resultados dentro do planejamento estratégico de uma 
empresa são importantes – e estas hoje estão voltadas para os 
1919 19
resultados pactuados –, cumprir prazos, dentro do escopo, com 
qualidade, dentro do custo, causa impacto positivo.
Desta forma, este modelo de gestão entra para a governança de TI como 
parte integrante do resultado da empresa.
4.4 ISO/IEC 38500 – Governança Corporativa de Tecnologia da 
Informação
Esta norma fornece uma estrutura de princípios para que os gestores 
e partes interessadas possam utilizar no gerenciamento e avaliação no 
uso da tecnologia da informação nas corporações. Para ter acesso a ela, 
entre no site da Associação Brasileira de Normas Técnicas e procure pela 
NBR ISO/IEC 38500:2009.
Figura 4 – ISO/IEC 38500 – Governança Corporativa 
de Tecnologia da Informação
Fonte: pixabay.com.
Esta norma é aceita em qualquer organização, sendo ela pública ou 
privada, com o objetivo de trabalhar a Tecnologia da Informação 
nas empresas.de modo eficiente e com qualidade. A sua utilização 
garante aos acionistas e a todas as partes interessadas que a 
empresa tenha Governança em TI, seguindo normas e padrões de 
forma a estar mais preparada para avaliações necessárias e garantir 
a governança, gerar mais responsabilidade por parte de todos e 
aproximar a empresa das certificações. 
2020 
Esta norma passa por 6 princípios:
Responsabilidade: contempla a responsabilidade colocada para cada 
um dos participantes dentro de uma organização, onde os mesmos 
compreendem e trabalham em suas responsabilidades com as 
necessidades das demandas de TI. Responsáveis pelo desempenho de 
cada uma de suas ações e resultados.
Estratégia: considerando as necessidades da organização, a estratégia 
deve estar alinhada à capacidade atual e futura da TI. O planejamento 
estratégico de tecnologia deve satisfazer as necessidades atuais e 
contínuas da estratégia de negócio da organização.
Aquisição: as aquisições de TI devem ser feitas para atender às 
necessidades da continuidade do negócio. Devem ser feitas por motivos 
que justifiquem e de forma que a análise feita seja adequada. Deve ser 
tomado o devido cuidado no entendimento dos benefícios a curto e 
longo prazo e os custos assumidos. Ou seja, feito de forma consciente.
Desempenho: trabalho em conjunto com qualidade, onde a tecnologia 
entra para apoiar as empresas no fornecimento do serviço adequado, 
com a qualidade esperada aferida dentro do nível de serviço acordado. 
Conformidade: cumprimento da legislação e dos regulamentos 
obrigatórios. Estar em conformidade implica em atender as políticas e 
práticas que foram implantadas, definidas e devidamente fiscalizadas.
Comportamento humano: seguir todas as recomendações definidas 
nas políticas e decisões que dizem respeito ao comportamento humano 
pelas pessoas envolvidas em todo processo dentro de uma empresa. 
Cuidar e garantir que se consiga ter integridade, confiabilidade, 
confidencialidade dos dados de uma empresa.
Aliado a estes princípios, existem três principais tarefas:
2121 21
• Avaliar: o uso da TI e seu futuro, definindo estratégias e a onde se 
quer chegar.
• Orientar: preparar e implantar planos e políticas para atingir os 
planos para a tecnologia da informação.
• Monitorar: as políticas implantadas definidaspelos planos.
Dentro dos seis princípios devem ser incorporados o ciclo Avaliar-
Orientar-Monitorar e assim estabelecer uma forma para que cada 
um dos princípios atue na defesa da governança e estabeleça a 
responsabilidade, estratégia, aquisição, desempenho, conformidade e 
comportamento humano.
5. Quais resultados a governança de TI 
pode trazer?
Os resultados são inúmeros, a começar pela definição de processos 
claros e bem definidos, implantação de normas de segurança da 
informação que circula pela empresa, e garantem a conformidade, 
confidencialidade e integridade dos produtos ou serviços que são 
produzidos ou entregues e que estão nos sistemas de uma organização 
(FERNANDES, 2014). 
Desta forma, fica mais fácil tratar alguns assuntos, tais como:
• Evitar os vazamentos de dados importantes da empresa.
• Automatização dos processos e minimização dos custos com 
pessoas e processos ineficazes.
• Boa utilização dos recursos de TI e suas ferramentas.
• Melhoria contínua dos processos da empresa.
• Identificar e tratar os incidentes antes mesmo que eles se tornem 
problemas e comprometam a empresa.
2222 
Muito antes de implementar a governança de TI e corporativa, é 
importante lembrar que a preparação frente a essa mudança envolve 
todas as partes interessadas, muito trabalho, mas tudo isso será 
recompensado quando a empresa estiver com bons resultados, bem 
posicionada no mercado e procurada tanto por clientes quanto por 
pessoas que querem fazer parte dessa organização.
E você, está preparado para a mudança?
6. Consideração finais
A governança nas empresas envolve a todos. Sendo governança 
corporativa, ou mesmo governança de TI, o processo é responsabilidade 
de todos da organização. 
Além disso, a governança tem o papel de orientar a empresa, 
estabelecer normas e padrões que estão diretamente voltados à missão, 
visão e valores da mesma. Esta só consegue se tornar competitiva 
se investir de forma séria e correta para tirar o melhor resultado da 
governança corporativa e de TI. 
TEORIA EM PRÁTICA 
Reflita sobre a seguinte situação: você entrou em uma 
empresa, na área de controladoria, e nesse momento ela 
não possui nenhum mecanismo ou modelo de governança 
que funcione de forma efetiva, pois os líderes, gestores e 
diretores da empresa não apoiam de verdade a governança, 
por não acreditarem nesse modelo, e boicotam, mesmo 
inconscientemente, qualquer ação proposta pela área. 
2323 23
Como você, enquanto participante deste processo de uma 
área paralela à área de governança, pode ajudar a solidificar 
o modelo, trocando ou sugerindo mudanças a fim de que 
todos se beneficiem na empresa, inclusive os próprios 
diretores, que não conseguem ver a importância disso?
VERIFICAÇÃO DE LEITURA
1. Quais os objetivos do Service Desk?
a. Somente centralizar os registros e as necessidades de 
uma empresa em um único lugar.
b. Centralizar, controlar e aplicar as definições da ITIL na 
gestão estratégica e planejada de serviços de TI.
c. Aplicar as definições da ITIL na gestão estratégica e 
planejada de serviços de TI.
d. Centralizar os registros e as necessidades de uma 
empresa em um único lugar, para manter um controle 
sobre o que foi feito.
e. Manter as análises em dia.
2. A ISO/IEC 38500 possui 3 tarefas, que são: 
a. Analisar, Avaliar, Monitorar.
b. Orientar, Avaliar, Julgar.
2424 
c. Monitorar, Descrever, Analisar.
d. Avaliar, Orientar, Monitorar.
e. Monitorar, Escrever, Analisar.
3. É um framework, complementa-se com o ITIL na 
governança de TI e contempla recursos atrelados ao 
sumário executivo, controles, mapas e indicadores de 
metas, além de um guia de gerenciamento. 
O trecho acima trata do(a):
a. ITIL.
b. Scrum.
c. CobiT.
d. PMI.
e. ISO38500.
Referências bibliográficas
FERNANDES, Aguinaldo Aragon; ABREU, Vladimir Ferraz de. Implantando a 
Governança de TI: da Estratégia à Gestão dos Processos e Serviços. 4. ed. 
São Paulo: Saraiva, 2014. 
MAGALHÃES, Ivan Aluizio; PINHERO, Walfrido Brito. Gerenciamento de Serviços 
de TI na Prática – uma abordagem com base no ITIL. 5. ed. São Paulo: Novatec 
Editora, 2010.
MOLINARO, Luis Fernando Ramos; RAMOS, Karoll Haussler Carneiro. Gestão de 
Tecnologia da Informação. Rio de Janeiro: LTC, 2015.
Tanenbaum, Andrew S. Redes de Computadores. 4. ed. São Paulo: Prentice 
Hall, 2003.
2525 25
Gabarito
Questão 1 – Resposta: B
Resolução: Centralizar, controlar e aplicar as definições da ITIL na 
gestão estratégica e planejada de serviços de TI, centralizando 
os registros e as necessidades de uma empresa em um único 
lugar para manter um controle sobre o que foi feito, mantendo as 
análises e acompanhamento do atendimento e da resolução dos 
problemas, mapeando os dados e informações do atendimento. 
O Service Desk vai além de somente manter os chamados, mas 
está voltado para gerar resultados sobre os atendimentos.
Questão 2 – Resposta: D
Resolução: Avaliar, Orientar, Monitorar.
• Avaliar: o uso da TI e seu futuro, definindo estratégias e aonde 
se quer chegar.
• Orientar: preparar e implantar planos e políticas para atingir os 
planos para a tecnologia da informação.
• Monitorar: as políticas implantadas definidas pelos planos.
Questão 3 – Resposta: C
Resolução: O Cobit é um framework, complementa-se com o ITIL 
na governança de TI e contempla recursos atrelados ao sumário 
executivo, controles, mapas e indicadores de metas além de um 
guia de gerenciamento.
2626 
Modelos de governança 
e compliance
Autora: Patrícia Bonezi
Objetivos
• Compreender preceitos sobre alinhamento 
estratégico, entrega de valor e, também, 
gerenciamento de recursos na governança.
• Compreender o conceito de compliance.
• Conhecer a ISO 38500/2018.
2727 27
1. Introdução
Esta leitura fundamental tem como objetivo apresentar a você um 
modelo de governança, contemplando o conceito de compliance e 
auditoria como formas de garantir a integridade das informações e 
confiabilidade da empresa. 
O modelo de governança aqui discutido considera implantar a ISO 
38500/2018 juntamente a seus princípios – que norteiam as empresas 
que se aventuram em usar a governança como apoio para mudança de 
patamar nos negócios.
PARA SABER MAIS
A título de aprofundamento acerca do assunto, vale a pena 
a leitura do livro Implantando a Governança de TI (2014), do 
autor Aguinaldo e Vladimir, abaixo sinalizado.
Vale dizer que não há nenhuma pretensão em esgotarmos 
os assuntos tratados na disciplina e, por isso, é de extrema 
importância que você pesquise, sempre de maneira 
autônoma e crítica, para melhor atuar no mercado 
de trabalho.
Leia o livro: 
FERNANDES, Aguinaldo Aragon; ABREU, Vladimir Ferraz de. 
Implantando a Governança de TI: da Estratégia à Gestão 
dos Processos e Serviços. 4. ed. São Paulo: Saraiva, 2014.
2828 
Figura 1 – Modelo de governança e compliance
Fonte: airdone/iStock.com.
O processo de implantação dos modelos de governança nas empresas 
é um desafio que envolve a todos. Além disso, possui a missão de 
ajudar as organizações a se estruturarem e mapearem os seus 
processos, atingindo outros patamares via aumento de controle 
e ampliação de decisões mais assertivas, bem como gerenciar as 
inconformidades que possam surgir. 
Tomando isso como base e considerando em paralelo a governança 
corporativa ou de TI, em algumas empresas, quem administra o 
compliance é a área financeira ou mesmo uma área de controles 
internos, que exige que sejam cumpridas as normas dentro das 
conformidades e leis.
1.1 Compliance e governança no controle
De acordo com o Fernandes (2014), compliance é inerente à Governança. 
Compliance, é uma forma de controlar e auditar para evitar e administrar 
eventuais problemas que possam comprometer a operação da empresa, 
bem como sua reputação.
2929 29
Compliance, do inglês, significa estar de acordo ou em conformidade a 
um conjunto de normas que se organizam com base em leis, padrões, 
regulamentações, políticas e direções estabelecidas para o negócio 
da empresa,bem como evitar, detectar e tratar quaisquer desvios na 
conduta de normas, leis e politica que possam comprometer o bom 
andamento da empresa via geração de inconformidades no processo de 
governança propriamente dito (MAGALHÃES, 2010). 
Não obstante, dentro das corporações existem áreas de controles 
internos e auditoria que se alinham aos propósitos do compliance. Estas 
áreas são chamadas de unidades de negócios ou departamentos.
Estes departamentos são compostos por pessoas que participaram do 
processo de definições da Governança, estabelecem as normas a serem 
seguidas e certificam a empresa, de acordo com as leis do país que estão 
localizados. As leis estão atreladas ao cumprimento destas normas, para 
que a empresa esteja em alinho ao Compliance.
Se considerarmos os custos que as não conformidades e o não 
cumprimento da lei geram, torna-se mais interessante o investimento 
em modelos que garantam o Compliance, ou seja, o atendimento às 
normais e padrões estabelecidos no nicho de atuação da empresa, 
evitando assim gastos com multas e processos jurídicos, manchas 
na reputação da empresa, perda de clientes e perda também da 
presença de mercado.
1.2 Compliance e sua história
Por estar diretamente ligada à necessidade de cumprir a lei, evitar as 
fraudes e caçar na empresa qualquer irregularidade, certamente o 
Compliance pode não ser o departamento favorito dos funcionários 
da empresa. De outra maneira, apesar de ser uma área bastante 
importante, os funcionários podem, portanto, apresentar certo 
comportamento de receio ou resistência. 
3030 
Na verdade, esta área não está na empresa para punir as pessoas ou 
mesmo entregar as falhas, mas sim controlar, criar mecanismos de 
verificação e controle, auditar internamente, a fim de que sejam atendidas 
às normas e leis e que estas sejam cumpridas com transparência. 
A partir do momento que as pessoas que fazem parte desta empresa se 
conscientizem de que trabalhar de forma correta é o melhor para todos, 
o Compliance deixa de ser uma obrigação e passa a ser um aliado para 
que a empresa cumpra seu papel e esteja entre as melhores empresas 
do mundo no segmento, cuidando da sua reputação.
As pessoas que atuam no Compliance são preparadas para administrar 
um programa de Compliance que atenda à área de atuação da empresa. 
Como exemplo, é possível citar as empresas que estão ligadas ao 
mercado financeiro, que são regidas pelas normas impostas pelo 
Banco Central, bem como pela lei norte americana Sarbanes-Oxley 
(SOX). Estas instituições que trabalham com o dinheiro do cliente estão 
sujeitas a normas e sanções mais severas e, para tanto, o investimento 
no compliance é maior. E é mesmo necessário que seja assim para que 
eles possam abrir as portas do mercado de investimentos exterior, por 
exemplo, quando pensamos em risco-país. 
Independentemente do segmento de atuação da empresa, normalmente 
o departamento de compliance está dentro das empresas por uma 
necessidade da atuação efetiva e diária.
Desta forma, a necessidade de manter a empresa dentro das 
normas e leis fez surgir a vontade de se ter um departamento que 
pudesse se dedicar exclusivamente a isso e, assim, criou-se a área de 
controles internos.
Vale citar que o surgimento do compliance se deu nos Estados Unidos, 
com a criação do FDA (Food and Drugs Act) no final do século XX, com o 
advento da internet e a necessidade de as agências reguladoras atuarem 
mais efetivamente nas empresas, como forma de regulamentar as 
atividades relacionadas à área da saúde e alimentos.
3131 31
Mas foi devido às instituições financeiras que o compliance avançou, e 
a partir do ano 2001 as instituições que têm ações na bolsa de valores 
precisam necessariamente estar alinhadas com esta lei e alinhadas 
também com esta área.
Figura 2 – Compliance, ícone da conformidade
Fonte: shutteratakan/iStock.com.
Importante dizer que as empresas que estão atendendo às normas 
propostas dentro desta lei, ou seja, assistindo tais normas, em caso de 
irregularidades ou inconformidades terão as penas mais leves.
Com o crescente número de regulações e normas, nas mais 
diferentes empresas e segmentos de mercado, o compliance atende 
a diferentes necessidades, como regulação antifraudes, controle do 
direito ambiental, controle do processo de exportações e lavagem 
de dinheiro. Daí a importância da abordagem contingencial da 
administração e a necessidade de os profissionais serem autônomos 
e críticos na hora de buscar resoluções para os problemas de cada 
empresa, em cada possível cenário.
Outro motivo: os programas de compliance devem atender às normas 
de cada país e de cada empresa e seus segmentos. Nos Estados 
Unidos, aplica-se a normas sobre antilavagem de dinheiro para 
garantir que não ocorram fraudes no sistema bancário e trabalha no 
sentido de evitar e combater o terrorismo. 
3232 
1.3 Os programas de compliance e o COAF
Nestes programas existem alguns princípios básicos, como o 
programa e as regras do compliance devem ser escritos por um 
membro da empresa, garantir a detecção e denúncia a atos suspeitos, 
garantir a privacidade dos negócios e estar em conformidade com 
as leis, formação contínua das pessoas envolvidas em todo processo 
dentro das empresas. 
No Brasil, além dos princípios que devem ser seguidos, deve ser 
avisado ao COAF (Conselho de Controle de Atividades Financeiras) 
em caso de suspeitas de fraudes, como determina as boas práticas. 
De acordo com a publicação da Revista Exame (2019), o COAF é um 
órgão ligado ao ministério da Fazenda, responsável por informar sobre 
atividades financeiras que levantem suspeitas sobre fraudes e lavagem 
de dinheiro. Saques e depósitos acima de 30 mil reais são sempre 
comunicados. Este órgão não executa, porém, qualquer investigação e, 
vale dizer, foi criado pela lei nº. 9613/98.
Conforme dados informados pela revista Exame (2019), “o maior 
número de relatórios foi produzido em casos que envolvem 
investigações sobre corrupção. Foram 9,4 mil comunicações entre 
o Coaf e órgãos de investigação sobre o crime. Fraude (4,5 mil) e 
tráfico (4,3 mil) vêm logo em seguida. E ainda sonegação (2,2 mil) e 
investigações sobre facções criminosas (1,5 mil)”.
Em se tratando de Brasil, em meados do ano 2010, as 
regulamentações tornaram-se mais sérias devido aos grandes 
escândalos voltados à economia e política, causando perdas nas 
empresas e tornando a economia do país mais enfraquecida. Devido à 
má fama e baixa nota do país (como risco-país influenciando a taxa de 
juros, por exemplo), as empresas reforçaram as normas para garantir 
o Compliance dentro das empresas e “mantê-las de pé”, sem a ameaça 
do boicote dos países investidores no Brasil.
3333 33
Ética e governança, neste sentido, estão caminhando lado a lado, e 
a política de governança inclui atividades que regem o modo como 
as empresas investem e crescem aportando em outros países e 
tornando-se globais.
Com a implantação do compliance nas empresas, no período 
compreendido entre 2010 e 2019, as empresas passam a valorizar os 
programas de responsabilidade social como proposta para combater o 
crime de corrupção.
Dentro de um programa de compliance que tem objetivo de combater 
a corrupção, tem como norte os princípios de manter a alta direção 
envolvida, comprometida com as ações, códigos de ética e conduta, 
manter os controles internos, autonomia, treinamento e análise 
constante de riscos.
Colocar inteligência no compliance significa investir em análises, 
monitoramento e auditorias em riscos, como forma de estar em 
conformidade com a lei. A tecnologia pode apoiar em grande medida 
esta prática, vide as possibilidades com relação a blockchain (tecnologia 
por detrás da moeda virtual Bitcoin).
Figura 3 – Leis e o compliance
Fonte: PhonlamaiPhoto/iStock.com.
3434 
1.4	 As	certificações	e	seus	modelos	de	governança	e	a	 
ISO 38500/2018
A necessidade de implantar uma governança forte nas empresas fez 
com que as certificações e preparação dos recursospara atuar em 
compliance se intensificassem, e os modelos que podem trazer os 
resultados esperados estão sendo buscados, tais como ITIL, Cobit, BSC, 
CMMI, COSO e a ISO 38500/2018.
A certificação em cada um dos modelos citados é uma consequência da 
necessidade de buscar os resultados e fazer com que eles aconteçam na 
empresa, de acordo com Fernandes (2014).
Figura 4 – ISO
Fonte: porcorex/iStock.com.
Dentre as certificações citadas, a abordagem desta leitura é em cima da 
ISSO 38500/2018.
ISO/IEC 38500 é uma norma internacional que atende a governança 
corporativa de tecnologia da informação, sendo divulgada 
pela Organização Internacional de Normalização (ISO) e a Comissão 
Eletrotécnica Internacional (IEC). 
3535 35
Esta norma tem um framework para a governança em TI, onde apoia 
o mais alto nível das organizações a entender e fazer com que as 
normas sejam atendidas em suas obrigações legais, regulamentares 
e éticas dentro da utilização da tecnologia e organizações.
ISO/IEC 38500 pode ser implantada em diversos tipos de 
organização, de todos os tamanhos que queiram estar dentro da 
norma, incluindo órgãos públicos, entidades governamentais e 
organizações não-lucrativas.
Esta norma tem como objetivo trabalhar nos princípios básicos e 
orientadores sobre a governança em TI e seus usos de forma eficiente 
e eficaz da Tecnologia da Informação (TI) para as lideranças e diretoria. 
O modelo passa por definições e princípios.
Ele estabelece seis princípios para a boa governança corporativa de TI, 
trabalhando nas diretrizes básicas:
• Responsabilidade.
• Estratégia.
• Aquisição.
• Desempenho.
• Conformidade.
• Comportamento humano.
1.4.1 Responsabilidade
Dentre os seis princípios para a implantação da ISO38500, existe 
a Responsabilidade, que entende que as pessoas fazem parte da 
organização e estas devem compreender e empregar os princípios de 
3636 
responsabilidade dentro da empresa como provedor de TI e na procura 
de melhores soluções para o desempenho na empresa, com foco em 
resultados, inovação e tecnologia, dentro de uma conduta ética, alinhada 
com os valores da empresa.
1.4.2 Estratégia
Dentro de uma organização, a estratégia para o negócio contempla as 
capacidades de TI atuais e futuras, determinadas no plano estratégico 
como forma de obtenção dos resultados da empresa. Esta estratégia 
está atrelada ao respeito que a organização coloca com parte da 
estratégia de negócio dentro da governança.
1.4.3 Aquisição
As aquisições para a área de tecnologia de uma organização são 
concretizadas por razões que determinam onde se necessita chegar, 
com base em análises fundamentadas, com decisões óbvias e 
transparentes, dentro de um equilbrio entre os oportunidades e riscos 
em curto e longo prazos.
1.4.4 Desempenho
Capacidade de absorção da empresa e a necessidade de recursos para 
avaliar o desempenho do negócio. Desta forma, a necessidade de mais 
ou menos tecnologia depende de onde se quer chegar, e estes valores 
devem ser constantementes auferidos por meio de métricas que targam 
resultados que permitam a tomada de decisão e mudanças de rumo.
1.4.5 Conformidade
A conformidade em TI é estar de acordo com a legislação e 
regulamentos aplicáveis, alinhada a uma postura adequada para com as 
organizações dentro de uma sociedade e praticar a sustentabilidade. 
3737 37
1.4.6 Comportamento humano
Determinar as políticas aplicadas à tecnologia está ligado ao respeito 
pelo ser humano, respeitando as necessidades e comportamento 
humano, envolvendo as pessoas como parte mais importante no 
processo de governança das empresas para se alcançar a excelência e a 
Governança em TI.
É possível entender que em governança os recursos humanos são 
fundamentais para que se tenha sucesso e chegue nos resultados 
esperados.
Esta importância aparece em destaque pela ISO/IEC 38500/2018, por 
meio dos seis princípios que a compõem.
Desta forma, deve ser feita sempre a pergunta: as pessoas que 
compõem a equipe de tecnologia em uma empresa estão mesmo 
empenhadas no processo de governança e conhecem o processo de 
governança de TI? 
Figura 5 – As necessidades e ganhos com a ISO
Fonte: Melpomenem/iStock.com.
3838 
2.	Considerações	finais
Em todo processo de governança dentro de uma empresa é necessário 
identificar quais são as metas que se quer atingir, aonde se quer chegar, 
qual o limite de controles que a empresa suporta ou, se depender de 
aspectos legais, como conseguir estar dentro destes limites a fim de ter 
governança e controles pelo compliance sem que seja algo inatingível. 
O Compliance nas empresas, hoje, garante a integridade e confiabilidade, 
portanto entende-se que a organização está dentro das conformidades, 
elevando a sua credibilidade, inclusive. De outro modo, é possível fazer 
negócios com esta empresa, pois ela garante a qualidade de entrega 
dos produtos ou serviços, trabalha com ética e transparência, possuindo 
processos claros de combate a fraudes e corrupção. 
Por fim, vale destacar que envolver as pessoas e capacitar a todos no 
entendimento sobre governança como um todo e principalmente a 
governança em TI faz parte de um processo de amadurecimento para se 
chegar na excelência de serviços.
TEORIA EM PRÁTICA 
Reflita sobre a seguinte situação: você trabalha em uma 
empresa em que a governança foi aplicada somente a 
processos que estão muito bem estruturados. Você, por sua 
vez, está no papel de um consultor que trabalha na área de 
auditoria e, sim, você faz parte do processo de governança e 
precisa implantar um modelo de compliance. 
Qual seria a melhor solução neste caso? Por onde começar 
para se ter sucesso no modelo de compliance?
3939 39
VERIFICAÇÃO DE LEITURA
1. Qual modelo proposto no texto, aplicado à Governança, 
que propõe a avaliação de riscos do negócio? 
a. PMI.
b. COSO.
c. ITIL
d. Cobit.
e. Scrum.
2. O que propõe o princípio de Desempenho da ISO38500? 
a. A procura de melhores soluções para o desempenho 
na empresa, com foco em resultados, inovação e 
tecnologia, dentro de uma conduta ética, alinhada 
com os valores da empresa.
b. É possível entender que em governança os 
recursos humanos são fundamentais para que se 
tenha sucesso e chegue aos resultados esperados. 
Esta importância aparece em destaque pela ISO/
IEC 38500:2009, por meio dos seis princípios que 
a compõem.
c. A necessidade de mais ou menos tecnologia depende 
de onde se quer chegar, e estes valores devem ser 
constantementes aferidos por meio de métricas que 
tragam resultados que permitam a tomada de decisão 
e mudanças de rumo
4040 
d. Determinar as políticas aplicadas à tecnologia está 
ligado ao respeito pelo ser humano, respeitando as 
necessidades e comportamento humano, envolvendo 
as pessoas como parte mais importante no processo 
de governança das empresas para se alcançar a 
excelência e a Governança em TI.
e. Dentro de uma organização a estratégia para o 
negócio contempla as capacidades de TI atuais e 
futuras, determinadas no plano estratégico como 
forma de obtenção dos resultados da empresa.
3. Dentro do Compliance e Governança, de acordo com o 
texto, o que é o COAF? 
a. Departamento de defesa do Brasil sobre maus tratos, 
implantado pelo Ministério da Fazenda.
b. Lugar onde as pessoas estão quando cometem 
fraudes e desvios de dinheiro.
c. Conselho de Controle de Ativistas Fiscais em 
caso de suspeitas de roubo, como determina as 
boas práticas.
d. Conselho de Controle de Atividades Financeiras em 
caso de suspeitas de fraudes, como determina as 
boas práticas.
e. Conselho de Controle de Atitudes Fiscais em caso de 
suspeitas de comércio ilegal.
4141 41
Referências	bibliográficas
Corrupção é o crime que mais movimenta dados entre Coaf e investigadores. 
Disponível em: https://exame.abril.com.br/brasil/corrupcao-e-o-crime-que-mais-
movimenta-dados-entre-coaf-e-investigadores/. Acesso em: 6 out. 2019.
FERNANDES, Aguinaldo Aragon; ABREU, Vladimir Ferraz de. Implantando a 
Governança de TI: da Estratégiaà Gestão dos Processos e Serviços. 4. ed. São 
Paulo: Saraiva, 2014. 
MAGALHÃES, Ivan Aluizio; PINHERO, Walfrido Brito. Gerenciamento de Serviços 
de TI na Prática – uma abordagem com base no ITIL. 5. ed. São Paulo, Novatec 
Editora, 2010.
MOLINARO, Luis Fernando Ramos; RAMOS, Karoll Haussler Carneiro. Gestão de 
Tecnologia da Informação. Rio de Janeiro, LTC, 2015.
Gabarito
Questão 1 – Resposta: B
Resolução: COSO, certificação em Riscos e Compliance em 
Governança Corporativa.
Questão 2 – Resposta: C
Resolução: Desempenho, capacidade de absorção da empresa 
e a necessidade de recursos para avaliar o desempenho 
do negócio. Desta forma, a necessidade de mais ou menos 
tecnologia depende de onde se quer chegar, e estes valores 
devem ser constantementes aferidos por meio de métricas 
que tragam resultados que permitam a tomada de decisão e 
mudanças de rumo.
Questão 3 – Resposta: D
Resolução: De acordo com a revista Exame (2019), COAF é o 
Conselho de Controle de Atividades Financeiras em caso de 
suspeitas de fraudes, como determina as boas práticas.
https://exame.abril.com.br/brasil/corrupcao-e-o-crime-que-mais-movimenta-dados-entre-coaf-e-investigadores/
https://exame.abril.com.br/brasil/corrupcao-e-o-crime-que-mais-movimenta-dados-entre-coaf-e-investigadores/
4242 
ITIL: um modelo de governança
Autora: Patrícia Bonezi
Objetivos
• Visão geral da ITIL: gerenciamento de serviços de TI.
• A fase de estratégia de serviço.
4343 43
1. Visão geral da ITIL: gerenciamento de 
serviços de TI 
Esta leitura fundamental tem como objetivo apresentar a você a ITIL 
como uma biblioteca de obtenção da governança de TI, que traz o 
intuito de as empresas conseguirem fornecer resultados e indicadores 
para trabalhar na economia, crescimento, organização e melhores 
resultados nos serviços de TI.
A implantação e utilização de uma biblioteca como a ITIL permite 
resultados claros e a geração de indicadores para que as lideranças 
consigam assumir resultados factíveis para uma boa gestão da empresa 
e da área de tecnologia. A ITIL nos dias de hoje é fundamental para a 
boa gestão de tecnologia.
PARA SABER MAIS
Mais uma vez, a leitura do livro abaixo poderá ajudar na 
compreensão do tópico. Sugestão: busque o título na 
Biblioteca Virtual da faculdade.
Leia o livro: FERNANDES, Aguinaldo Aragon; ABREU, 
Vladimir Ferraz de. Implantando a Governança de TI: 
da Estratégia à Gestão dos Processos e Serviços. 4. ed. 
São Paulo: Saraiva, 2014.
1.1 ITIL, um modelo de governança
Para efetivamente ter a governança de TI é necessário conseguir que 
os modelos de gestão escolhidos (ITIL, Cobit, ISXO 38500, COSO, etc.) 
forneçam resultados para a tomada de decisão. Estes modelos, por 
meio de ferramentas de TI, como software apropriado, ajudam a gerar 
4444 
os resultados para a liderança decidir os melhores caminhos. A ITIL, 
portanto, faz parte desse grupo de modelos e processos para buscar 
os resultados. Não obstante, a biblioteca ITIL permite a configuração do 
ambiente para obtenção dos resultados pactuados por meio de software.
Figura 1 – ITIL
Fonte: DaLiu/iStock.com.
Dentre tantos modelos que são aderentes à governança para a gestão 
de TI, a ITIL é o que mais está presente nas empresas, dada a facilidade 
de utilização e os resultados aparecerem muito rapidamente após o 
início do uso.
De acordo com Fernandes (2014), a implementação da ITIL só deve ser 
feita após análise cuidadosa de processos, estabelecer quais são os 
resultados importantes para a empresa, para a TI e classificar o que 
realmente é preciso para fazer a gestão de TI.
A título de síntese: a ITIL é uma biblioteca de melhores práticas para a 
administração de infraestrutura de TI, ou seja, Information Technology 
Infrastructure Library. Neste modelo ou biblioteca de melhores práticas, 
como é conhecida, por ser uma biblioteca mesmo, temos uma lista de 
itens que são atendidos pela ITIL; dentro desta lista de itens é necessário 
definir os parâmetros para que os resultados apareçam.
4545 45
Vale dizer que esta biblioteca foi elaborada no Reino Unido e 
atualmente, apesar de ser administrada por um órgão do governo, 
ela é de domínio público. 
Não obstante, as recomendações tratadas na ITIL têm como objetivos 
a gestão com foco no cliente e com atendimento de qualidade nos 
serviços de TI.
1.2 Estrutura da ITIL
A ITIL estabelece estruturas com processos claros para a gestão, 
apresentando uma lista desses processos que são de fácil 
entendimento para todos os níveis da TI, mesmo profissionais técnicos 
que saibam pouco ou nada de gestão. Estes processos são organizados 
em disciplinas que permitem a gestão tática e operacional de uma 
empresa com foco em negócios.
As disciplinas são disponibilizadas em dois grupos: SERVICE SUPPORT 
(suporte) – Operational Management (Gerência Operacional), com as 
seguintes disciplinas:
• Configuration Management (Gerência de Configuração).
• Service Desk.
• Problem Management (Gerência de Problemas).
• Incident Management (Gerência de Incidentes).
• Change Management (Gerência de Mudança).
• S/W Control & Distribution (Controle e Distribuição de Software).
E SERVICE DELIVERY – Tactical Management (Entregas):
• Service Level Management (SLA, Acordo de Nível de Serviços).
• Capacity Management (Gerência de Capacidade).
4646 
• Availability Management (Gerência de Disponibilidade).
• Contingency Planning (Planejamento de Contingência).
• Cost Management (Gerência de Custos).
Cada uma das disciplinas atende a uma parte da governança de TI, 
sendo que o grupo de suporte atende às necessidades do suporte 
de TI e a estratégica atende às configurações para que sejam feitas 
as entregas.
Cada uma das disciplinas será detalhada e explicada com relação à 
forma como interagem para dar resultados. Veja a seguir.
Importante destacar que a biblioteca de melhores práticas está na sua 
versão 4, com poucas, mas significativas mudanças em relação à sua 
versão anterior, o ITIL 3. Os módulos continuam os mesmos, com a 
diferença que agora a ITIL 4 vem com apelo maior para metodologias 
ágeis, com foco no Lean e no DevOps, além de referências à importância 
de boas práticas de liderança de TI e gerenciamento organizacional.
Figura 2 – DevOps + ITIL
Fonte: Hanna Ferentc/iStock.com.
Apenas como forma de contextualizar, aparecem dois termos que 
complementam a ITIL, mas não fazem parte das disciplinas, que são 
DevOps e Lean.
4747 47
O termo DevOps é uma junção da palavra Desenvolvimento + 
Operações. Utilizada em engenharia de software, com o intuito de juntar 
o desenvolvimento de software (Dev) e a operação de software (Ops). 
Sua principal característica é estar alinhada à automação e monitorar as 
fases do desenvolvimento de software, da integração, teste, liberação 
para implantação e gerenciamento de infraestrutura. A DevOps trabalha 
em ciclos de desenvolvimento menores, com maior monitoramento, 
aumento na implantação, liberações alinhadas às necessidades de 
negócio e, por estar em Operações, está compreendida dentro da ITIL, 
sem fazer parte das suas disciplinas.
Lean faz parte da governança, inspirado no modelo de gestão de 
práticas e modelos do sistema Toyota. Utilizado como forma de obter 
resultados, focado em indicadores e melhores práticas. Não é parte da 
ITIL, mas caminha ao lado dela.
1.3 ITIL e suas disciplinas
Em Suporte, o trabalho é para manter o ambiente operacional, 
onde cada um dos módulos é focado em uma visão simplesmente 
operacional na manutenção do ambiente no dia a dia, ou seja, manter 
o ambiente dentro de boas práticas e nas soluções dos incidentes ou 
problemas que ocorram.
Nesta lista de suporte, temos: Gerência de Configurações (Configuration 
Management), Service Desk, Gerência de Problemas (Problem 
Management), Gerência de Incidentes (Management Incident), Gerência 
de Mudanças (Change Management) e Controle e Distribuição de 
Software (S/W Control & Distribution). Em entregas, nas configurações e 
preparação do ambiente, temos:Service Level Management (SLA, Acordo 
de Nível de Serviços), Capacity Management (Gerência de Capacidade), 
Availability Management (Gerência de Disponibilidade), Contingency 
Planning (Planejamento de Contingência) e Cost Management (Gerência 
de Custos), como apresentado no item anterior. E todos trabalham em 
conjunto para que os resultados apareçam. 
4848 
Cada uma das disciplinas tem suas características e propósitos que são 
abordados nos itens que seguem.
1.4 Gerência de configurações 
O primeiro item da lista, a Gerência de Configurações, tem como 
objetivo ajudar na gestão das configurações dos equipamentos e 
softwares nas empresas, no controle da infraestrutura e os serviços 
de TI, administrando as configurações de forma lógica, identificando, 
mantendo e controlando as versões dos itens de configuração (CI), 
atualizando as existentes.
Dentro deste módulo, as metas de configuração dizem respeito desde 
os registros de todos os ativos e suas configurações, como prover a 
informação sobre estas configurações e documentação, a fim de apoiar 
os processos de Gestão de Serviços, entregar uma base confiável, 
segura e íntegra para que a Gerência de Incidentes possa controlar os 
incidentes do ambiente e eventualmente encaminhar o processo para 
gerência de Problemas, Gerência de Mudanças e controle de versões. 
E, também, manter os registros de configuração para confrontá-los 
com a infraestrutura, na tentativa de correções no ambiente e mantê-
lo em funcionamento. Não é possível movimentar uma impressora e 
não atualizar a documentação que está em Gerência de Configuração, 
indicando onde a impressora estava e onde está agora, com suas 
características e conexão com a rede.
Nesta gerência, as atividades básicas para a manutenção da informação 
são: Planejamento, Identificação, Controle, Registro de Status e 
Verificação e Auditoria.
Em Planejamento, como atividade inicial, a equipe planeja com o objetivo 
de definir o propósito, metas e objetivos, políticas e procedimentos, para 
manter o processo organizacional da Gerência de Configuração.
4949 49
Na sequência, a próxima atividade desta gerência é a Identificação. 
Desta forma, identificar as estruturas de configurações, de toda a 
infraestrutura, incluindo as áreas de interesse e que se beneficiam 
com isto, bem como o cliente, manter o interrelacionamento entre 
eles e a documentação atualizada. Nesta atividade, é incluída também 
a utilização de indicadores e números de CI´s como identificadores, 
mantendo o banco de dados atualizado – este banco é conhecido como 
CMDB (Configuration Management DataBase, ou seja, a Base de Dados da 
Gerência de Configuração).
A atividade de Controle permite assegurar que somente os ativos 
autorizados e identificados serão registrados e estarão à disposição, 
garantindo que nenhum ativo adicionado, modificado ou substituído, 
removido, perca o controle e não consiga ser tratado em outra gerência 
como problemas e mudanças, ou mesmo na tratativa de incidentes.
Na tentativa de se manter o controle, a próxima atividade da lista 
é o Registro de Status, onde se manter a informação atualizada e 
os históricos ligados a cada ativo permite que as outras gerências 
tenham sucesso e possam manter os ativos rastreáveis a ponto de 
terem agilidade e sejam mais assertivos quando necessário tratar um 
incidente, problema ou mesmo em uma mudança.
A última atividade da lista da gerência de configuração é a Verificação 
e Auditoria, que permite a verificação da existência física do ativo 
listado, a fim de manter os registros corretamente no sistema de 
Gerência de Configuração.
Dentro da Gerência de Configuração existe um termo, que é o DSL. 
É o termo usado para a biblioteca, na qual as versões autorizadas e 
definitivas são armazenadas de forma definitiva. 
É uma biblioteca física ou repositório de armazenamento onde são 
identificados e colocados os originais das versões de cada software 
do ambiente. 
5050 
Figura 3 – Gerência de configuração e seus arquivos
Fonte: z_wei/iStock.com.
1.5 Disciplina SERVICE DESK 
O segundo item da biblioteca ITIL que figura na lista operacional é o 
Service Desk, também conhecida como suporte técnico que atende às 
necessidades e suporta todas as áreas da empresa quando se tem 
problemas de tecnologia com hardware ou software. De acordo com 
Fernandes (2014), sempre trabalham sobre pressão, de forma reativa, 
pois atendem os chamados abertos pelos usuários quando algum 
problema acontece com as ferramentas de trabalho. Como estão 
sempre agindo de forma reativa, atuam de forma desconecta, gastando 
muito tempo e apagando incêndios, em geral, sobrevivendo ao dia a dia.
De toda forma, esta área é bastante importante, e com a ITIL deve 
funcionar de forma estruturada, por meio de registros e tratamento de 
chamados, mesmo no momento de apagar incêndios.
Dentro das empresas, quando se trata do suporte ou de uma estrutura 
de suporte, não existe nenhum mecanismo estruturado de apoio 
ao cliente – o cliente não confia sempre no atendimento, bem como 
os recursos que fazem o atendimento não são bem gerenciados e 
continuam atuando no sentido de resolver o problema temporariamente 
5151 51
para atender à necessidade do momento, mas não existe um tratamento 
efetivo do problema a fim de erradicá-lo. Esta pouca atenção à gestão 
do suporte resulta em falhas e inconsistências nos dados gerados pelo 
suporte e falta de apoio ao negócio da empresa. 
Conforme Magalhães (2010), uma solução para os problemas constantes 
encontrados no Service Desk é estabelecer normas e padrões de 
atendimento, desenvolver scripts de atendimento, separar em níveis os 
graus de dificuldade nos atendimentos, trabalhar na solução definitiva 
dos problemas junto do usuário, se necessário com equipe de apoio, e 
registrar todo e qualquer atendimento que for feito aos usuários.
Figura 4 – Atendimento do suporte (Sevice Desk)
Fonte: Mary Ne/iStock.com.
Depois que um usuário abre um chamado, este chamado deve ser 
categorizado, sendo colocado na caixa em que ele será tratado. 
Para tanto, este chamado pode ser colocado em Gerência de Incidentes, 
Gerência de Problemas ou mesmo Gerência de Mudanças.
5252 
Desde 2010, as empresas do segmento financeiro têm como meta 
estabelecer um modelo de atendimento como o citado no parágrafo 
anterior, como forma de organizar o atendimento, mas também de 
fazer sentido para os usuários e permitir que desta forma estruturada 
os resultados apareçam. E para que o atendimento do suporte técnico 
faça a diferença na estrutura de tecnologia e agregue valor ao negócio, 
como é a proposta do suporte. Tente ficar um dia sem o suporte 
técnico da sua empresa.
1.6 Gerência de incidentes na tratativa dos chamados
Iniciando pela Gerência de Incidentes, esta gerência tem como missão 
restabelecer a operação normal do serviço o mais depressa o quanto 
possível, monitorando e cuidando para ser menor o impacto nas 
operações da empresa, mantendo o melhor nível de qualidade de 
serviço e disponibilidade. O prazo disponível para a entrega do serviço 
está de acordo com o estabelecido no acordo de nível de serviço (SLA).
Na biblioteca ITIL, o incidente é definido por qualquer evento ocorrido 
que não está dentro da operação padrão e que cause ou possa causar 
algum prejuízo ou, ainda, redução de qualidade do nível de serviço, 
entretanto, algo que não é uma falha ou incidente da infraestrutura é 
chamado de pedido de serviço.
Na gerência de incidentes, as atividades vão de detecção de incidentes 
e correção, como classificação inicial, identificação do suporte ideal para 
atender ao chamado, recurso preparado para fazer as investigações 
necessárias e solução. 
5353 53
Figura 5 – Fluxo de incidentes
Fonte: Eternal_Monday/iStock.com.
1.7 Gerência de problemas
Na sequência da tratativa dos incidentes há a Gerência de Problemas, 
onde o objetivo é minimizar o impacto de incidentes e problemas 
causados por falhas e pausas na infraestrutura, além de evitaras 
recorrências destes problemas ou mesmo falhas. Para que a falha 
ou o problema não se repita, deve ser tratada a causa raiz e iniciar as 
ações corretivas. 
Toda empresa que tem a Gerência de Incidentes, naturalmente 
implanta a Gerência de Problemas, pois a atuação desta é sempre de 
forma pró-ativa na tentativa de trabalhar em cima do incidente a fim de 
identificar a causa para que esta não mais se repita.
5454 
As atividades que estão dentro desta gerência vão de controle de 
problemas até controle dos erros, identificação de mudanças e revisão 
após a implementação da solução.
1.8 Gerência de mudanças
O controle de mudanças vem justamente no momento em que 
mudanças e ajustes, implantações e correções devem acontecer, após os 
problemas e/ou incidentes. A gestão de mudanças registra o que deverá 
ser corrigido ou mudado, de forma planejada, para que os problemas 
não existam e fique registrado o que aconteceu ao longo do período.
O objetivo desta gerência é garantir que os métodos e procedimentos 
serão usados para garantir que qualquer correção ou alteração seja 
um sucesso, sem riscos para o ambiente de TI. Para a decisão de se 
fazer uma mudança, deve ser considerada a avaliação de riscos e 
a continuidade do negócio, a avaliação de impacto e, finalmente, a 
aprovação para a mudança.
De acordo com o modelo proposto na biblioteca, qualquer mudança 
deve ser aprovada pelo comitê de mudanças, também chamado de 
CAB (Change Advisory Board), que aprova as mudanças ou reprova com 
base nas informações que foram passadas na abertura da solicitação de 
mudança. Neste comitê estão presentes todas as partes interessadas 
para que a mudança aconteça com segurança.
Em caso de mudanças, uma mudança (ou Change) ocorre sempre que 
se faz uma adição ou subtração de um equipamento ou software que 
esteja instalado no ambiente de TI. 
Outra condição é que toda mudança tenha um plano de retorno testado 
em caso de falha na implantação da mudança. E a mesma só termina 
quando é testada pelo usuário e aprovada.
Dentre todas as gerências para suporte também existem as gerências 
que dão apoio a operação, e nesta parte da ITIL existem as gerências 
5555 55
de capacidade e disponibilidade, gerência de custo, plano de 
contingência e SLA.
Começando pelo SLA (Service Level Agreement) – ou acordo de nível de 
serviço –, que contempla manter e promover e melhora da qualidade 
dos serviços de TI, focando nas necessidades de negócio. As principais 
características deste módulo são as seguintes atividades: como definir o 
catálogo de serviços, as requisições, definir os acordos do que pode ou 
não ser atendido, especificando os serviços e um plano de qualidade. 
Deve ser previsto o monitoramento, bem como a revisão e os relatórios 
para a gestão e para a tomada de decisão.
Os benefícios de se definir os níveis de serviços são conseguir 
estabelecer medidas e comparativos entre serviço prestado e o que foi 
contratado e permitir que o cliente avalie o que foi entregue de acordo 
com o que foi pago, ajudando a estabelecer um relacionamento de 
confiança com o cliente.
Figura 6 – Gestão de mudanças
Fonte: Alexsl/iStock.com.
A governança de TI por meio da ITIL permite que a Gerência de 
Capacidade e a Gerência de disponibilidade andem juntas, sendo 
bastante importante para que a primeira estabeleça a capacidade de 
atendimento, de monitorar o desempenho, de gerenciar demandas 
e o planejamento futuro para atendê-las e manter o nível de serviço 
5656 
acordado. Enquanto a Gerência de Disponibilidade otimiza a capacidade 
da infraestrutura de TI suportar a empresa com relação aos serviços de 
TI, com um custo adequado, permitindo que a empresa seja competitiva 
e esteja alinhada ao negócio.
O plano de contingência tem como missão apoiar a continuidade do 
negócio, item que está na governança de forma bastante importante e 
fundamental para que os serviços de TI estejam estabelecidos dentro 
de um prazo mínimo para não impactar os negócios. Ter um plano de 
contingência implica reduzir custo e tempo de recuperação do ambiente 
de TI, por questões de sobrevivência.
Os custos também fazem parte da ITIL como forma de fornecer 
informações para monitorar e manter as necessidades dos serviços de 
TI, como também identificar os custos dos prestadores, e desta forma 
manter os custos dentro do esperado, ou seja, fazer a gestão.
Os módulos da ITIL apresentados neste documento são somente uma 
parte de uma solução para uma boa gestão e obter os resultados para a 
tomada de decisão. 
A importância da implantação de um modelo que atenda à liderança 
da empresa é conseguir ter números e indicadores que nos permitam 
colocar a empresa em outro patamar.
Figura 7 – Capacidade x Disponibilidade
Fonte: Stas_V/iStock.com.
5757 57
2. Considerações finais
A biblioteca de boas práticas como a ITIL é fundamental para organizar a 
empresa com relação aos serviços de TI, que sem dúvida nos dias de hoje 
fazem parte dos negócios da empresa. Toda organização que depende de 
tecnologia para abrir as portas deve ter implantado um modelo de gestão 
que conduza as tomadas de decisão no sentido de permitir melhores 
investimentos e economia que se precisa para sobreviver.
TEORIA EM PRÁTICA 
Reflita sobre a seguinte situação: um colega, que se 
formou com você na universidade, faz um convite de 
um desafio de trabalho para você. Nesta empresa 
pequena, mas com vontade de crescer, não existe 
nenhuma governança de TI implantada, mas caberá 
a você estabelecer um modelo de governança de TI. 
Desta forma, aceitando o desafio, qual serão suas 
primeiras ações para a implantação de um modelo?
VERIFICAÇÃO DE LEITURA
1. O objetivo desta gerência é garantir que os métodos 
e procedimentos serão usados para garantir que 
qualquer correção ou alteração seja um sucesso, 
sem riscos para o ambiente de TI. Para a decisão 
de se fazer uma mudança, deve ser considerada a 
avaliação de riscos e a continuidade do negócio, a 
avaliação de impacto e, finalmente, a aprovação para 
a mudança. A qual gerência nos referimos?
5858 
a. SLA.
b. Gerência de Incidentes.
c. Gerência de Problemas.
d. Gerência de Mudanças.
e. Gerencia de Estratégias.
2. Iniciando pela Gerência de Incidentes, esta gerência 
tem como missão restabelecer a operação normal 
do serviço o mais depressa possível, monitorando e 
cuidando para ser menor o impacto nas operações da 
empresa, mantendo o melhor nível de qualidade de 
serviço e disponibilidade. O prazo disponível para a 
entrega do serviço está de acordo com o estabelecido 
no acordo. De qual acordo falamos?
a. SLA.
b. Acordo da Basileia.
c. Acordo de Trento.
d. GMUD.
e. Acordo Suiço.
3. O termo DevOps é uma junção de duas palavras. 
Quais são elas? 
5959 59
a. Devolver e Agir.
b. Devolver e Opcional.
c. Desenvolvimento e Ação.
d. Desenvolvimento e Operação.
e. Desenvolvimento e Implantação.
Referências bibliográficas
FERNANDES, Aguinaldo Aragon; ABREU, Vladimir Ferraz de. Implantando a 
Governança de TI: da Estratégia à Gestão dos Processos e Serviços. 4. ed. 
São Paulo: Saraiva, 2014. 
MAGALHÃES, Ivan Aluizio; PINHERO, Walfrido Brito. Gerenciamento de Serviços 
de TI na Prática – uma abordagem com base no ITIL. 5. ed. São Paulo: Novatec 
Editora, 2010.
MOLINARO, Luis Fernando Ramos; RAMOS, Karoll Haussler Carneiro. Gestão de 
Tecnologia da Informação. Rio de Janeiro: LTC, 2015
O que é LEAN? Disponível em: https://www.lean.org.br/o-que-e-lean.aspx. 
Acesso em: 14 out. 2019.
Gabarito
Questão 1 – Resposta: D
Resolução: A necessidade de documentar a mudança está na 
gestão de mudanças.
Questão 2 – Resposta: A
Resolução: SLA, Acordo de nível de serviço.
Questão 3 – Resposta: D
Resolução: Desenvolvimento e Operação.
6060 
ITIL: modelo de serviços, 
como implantar?
Autora: Patrícia Bonezi
Objetivos
• Os objetivos perpassam a visão geral da ITIL sobre: 
• A fase de desenho e transição de serviços.
• A fase de operação de serviço.
• A fase de melhoria contínua de serviço.6161 61
1. Visão geral da ITIL
Esta leitura fundamental tem como objetivo apresentar ao aluno 
um modelo de como implantar a ITIL e suas possibilidades iniciais e 
resultados obtidos. Esta proposta pode e deve ser alterada caso o 
aluno perceba que as empresas não são iguais e cada uma delas tem 
um processo diferente e necessidades diferentes dado o momento da 
empresa e economia.
PARA SABER MAIS
Aproveite para conhecer mais sobre o assunto no livro de 
Fernandes e Abreu (2014), indicado abaixo.
Leia o livro: 
FERNANDES, Aguinaldo Aragon; ABREU, Vladimir Ferraz de. 
Implantando a Governança de TI: da Estratégia à Gestão 
dos Processos e Serviços. 4.ed. São Paulo: Saraiva, 2014.
2. Controlando serviços, gerando valores: 
implantando a ITIL
Figura 1 – ITIL
Fonte: Elena Pimukova/iStock.com.
6262 
A criticidade em perder o controle dos negócios, ou mesmo ficar sem 
acesso aos dados por falta de gestão da TI em monitorar o ambiente de 
infraestrutura, assusta e certamente coloca seu negócio em uma posição 
vulnerável e desprotegida. A necessidade de manter as mudanças e 
ocorrências no ambiente de tecnologia ajuda no sentido de fazer com 
que as empresas tenham esse tão esperado e necessário controle.
A necessidade de se manter em primeiro lugar no mercado, a fim de 
manter o valor da empresa no topo, exige que se tenha alguma maneira 
de se controlar as alterações e manutenções de TI.
As empresas que querem competir no mercado têm que se dedicar e 
investir em tecnologia a ponto de poderem se antecipar aos problemas 
que surjam, ligados à TI.
Desde o ano 2000, com a chegada efetivamente da internet, as pessoas 
não vivem mais desconectadas. A necessidade e carência de ter um 
ambiente robusto e saudável faz com que as empresas invistam em TI 
para se tornarem ágeis e competitivas, para no fim serem lucrativas.
Dentro do cenário econômico, considerando o ambiente corporativo, 
é assumido pela gestão das empresas, mesmo aquelas que têm 
gestores menos abertos a tecnologia, que as empresas que investem 
em TI conseguem estar mais à frente do que aquelas que não se 
empenham nesse sentido.
3. A fase de desenho e transição de serviços
Os processos são modelos de trabalho definidos, que fazem com que 
as pessoas trabalhem dentro de um padrão estabelecido dentro das 
normas ou leis, e estes dados geram informações que chegam aos 
executivos para a tomada de decisão.
6363 63
Figura 2 – Processos
Fonte: Sodafish/iStock.com.
Estes processos somados à governança das corporações permitem 
que de forma ordenada as lideranças consigam estar próximas 
aos resultados que surgiriam com a implantação da ITIL e outras 
ferramentas.
Os processos fazem parte da implantação de um modelo para 
governança e permitem que estes modelos, ou mesmo ferramentas, 
consigam gerar os indicardores e resultados para a tomada de decisão.
A implantação da ITIL é apenas mais uma forma de conseguir, por 
meio desta biblioteca, atingir os resultados, ou melhor, conseguir 
ter os resultados.
Após a revisão dos processos, a área de TI, gestão de TI e seus 
participantes devem começar a definir como funcionará o catálogo 
de serviços do atendimento do Service Desk e preparar a estrutura de 
tecnologia, e a empresa a fazer a implantação de uma governança e 
transicionar os serviços, sempre com foco em resultados. 
Processos claros e bem definidos têm como consequência resultados 
esperados efetivos para a tomada de decisões e permite colocar 
a empresa em outro patamar no mercado e com relação a seus 
concorrentes.
6464 
a. Catálogo de serviços e suas bases para a implantação da ITIL
O catálogo de serviços é um dos primeiros itens a serem trabalhados 
e definidos, com foco em definir quais os serviços que serão prestados 
pela tecnologia para as outras áreas.
O catálogo de serviços deve ser detalhado a ponto de especificar o 
que a área de tecnologia faz e o que não faz, o que atende e o que não 
será de sua responsabilidade. Neste catálogo de serviços deverá conter 
os itens que serão suportados pelas equipes de suporte, como serão 
atendidos e reportados.
Na definição do catálogo, é importante estabelecer os processos 
e descrevê-los de forma simples e direta, provocando um fácil 
entendimento dos usuários e dos técnicos que irão atendê-los.
A necessidade de ser direto e de fácil entendimento é para que os 
resultados sejam facilmente alcançados. Se não conseguir entender de 
forma clara o que se pede, como será alimentado o sistema e entendido 
que não é problema de infra, mas sim de sistemas.
Estabelecer as metas é algo que deve estar alinhado com o serviço 
prestado. Caso o objetivo seja atingir resultados mais simples, deve-
se focar em estabelecer metas com menor complexidade, minizando 
possíveis dúvidas e incompatibilidade entre metas e resultados.
O desenho dos serviços vem na sequência da decisão do catálogo 
dos serviços, onde é determinado por meio de um fluxo, como seria a 
entrega e a apuração dos resultados.
Desenhar esse fluxo em uma planilha facilita a visualização dos serviços 
a serem entregues e o que se espera do mesmo.
Abaixo, um exemplo de uma definição básica de um catálogo de 
serviços feito em uma planilha para depois ser implantado no sistema 
de controle do Service Desk.
6565 65
Tabela 1 – Tabela de catálogo de serviços
Serviço Descrição Tempo de Atendimento SLA Prioridade
Quem 
solicita
Forma de 
Solicitação
Suporte a 
impressoras
Atendimento 
na configura-
ção da rede
1 h 4 h Alta Usuário
Abertura de 
chamado 
via intranet
Suporte a 
impressoras
Atendimen-
to na tro-
ca do Tonner
1 h 4 h Média Usuário
Abertura de 
chamado 
via intranet
Fonte: elaborada pela autora.
A tabela como exemplo mostra um modelo de como desenhar o 
catálogo, basicamente com as especificações. 
O catálogo não é feito em Excel, mas pode primeiramente se fazer um 
rascunho em Excel para depois implantar em uma ferramenta, como 
dito anteriormente.
Desenhar os processos dentro do suporte de serviços oferecidos faz 
parte da implantação da ITIL e a definição dos resultados esperados.
b. SLA, o Service Desk e a implantação da ITIL
Os principais processos que devem ser desenhados e minimamente 
implantados como uma primeira fase de obtenção de resultados é 
descrever os papéis do Service Desk, estabelecer o SLA (Service Level 
Agreement) de cada perfil dos usuários da empresa, estabelecer a gestão 
de mudanças e seus critérios, estabelecer o que será tratado como 
incidentes e/ou problemas.
6666 
Figura 3 – Service Desk
Fonte: BrianAJackson/iStock.com.
Ao descrever os papéis e responsabilidades do Service Desk, está se 
definindo o SLA proposto dentro do orçamento planejado.
O nível de serviço ou SLA tem a missão de atender aos usuários dentro 
dos limites orçamentários, para tanto, identifique quem são os usuários, 
quais são as necessidades de cada usuário e quais serviços eles 
necessitam e utilizam.
Desta forma, descrevê-los é escrever um documento em tabelas, com 
os perfis e cada um dos serviços ofertados e o tempo de espera e 
atendimento em horas para todos os perfis.
Esse documento deve ser elaborado pelo time de tecnologia e aprovado 
de acordo com as necessidades junto à direção da empresa, e assim que 
aprovado deve ser apresentado aos usuários para que eles saibam qual 
o tempo de espera por cada serviço. 
Mas a apresentação deste documento é individual, sem que um usuário 
de fato tenha conhecimento dos tempos e perfis dos outros usuários. 
A apresentação, sendo individual, torna mais fácil a aceitação e apoio.
6767 67
Desta forma, está pronto o catálogo de serviços e o SLA de cada um 
dos usuários. Quanto ao Service Desk, deve ser indicado como será o 
atendimento. 
O Service Desk é o processo do atendimento telefônico, ou mesmo 
atendimento por meio da intranet ou sistema, que permite a abertura 
(ou registro) de um chamado para que então, após abertura deste 
chamado ou solicitação, a mesma seja categorizada e então feito o 
atendimento, primeiramente