GOVERNANCA DE TI - Modelos de Governança

•

Engenharias

Bruno Rosa Trendbit

16/06/2021

E aí, curtiu este material?

Ajude a incentivar outros estudantes a melhorar o conteúdo

Gostou desse material? Compartilhe! 🧡

Informática I

56.041 Materiais compartilhados

Baixe o app para aproveitar ainda mais

Leia os materiais offline, sem usar a internet. Além de vários outros recursos!

Prévia do material em texto

DESCRIÇÃO
A arquitetura de TI com o uso do COBIT, ISO 38500 e TOGAF. A governança de processo e o uso
BABOK e BPM CBOK. A governança de projetos e as práticas do PMBOK, PRINCE2 e SCRUM.
Os benefícios das normas ISO 27001, ISO 27002 e ISO 27014 na governança de segurança da
informação.
PROPÓSITO
Compreender a importância dos padrões de arquitetura de TI, governança de processo, de
projetos e de segurança da informação para a aplicação de uma Governança de TI eficiente
dentro da organização.
OBJETIVOS
MÓDULO 1
Descrever a arquitetura de TI com o uso de COBIT, ISO 38500 e TOGAF
MÓDULO 2
Estabelecer a governança de processo com uso do BABOK e BPM CBOK
MÓDULO 3
Reconhecer a governança de projetos com o uso do PMBOK, PRINCE2 e SCRUM
MÓDULO 4
Identificar o funcionamento da governança de segurança da informação através das normas ISO
27001, ISO 27002 e ISO 27014
INTRODUÇÃO
Apresentaremos de forma ampla os principais conceitos sobre arquitetura de TI com o uso de
COBIT, ISO 38500 e TOGAF. Veremos a importância do desenvolvimento de governança de
processo com uso do BABOK e BPM CBOK, bem como a relevância da governança de projetos
com o uso do PMBOK, PRINCE2 e SCRUM. Por fim, identificaremos como funciona a governança
de segurança da informação através das normas ISO 27001, ISO 27002 e ISO 27014.
MÓDULO 1
 Descrever a arquitetura de TI com o uso de COBIT, ISO 38500 e TOGAF
A ARQUITETURA DE TI
A Arquitetura de TI é considerada uma competência da área de TI, cujo principal objetivo é
garantir que todos os processos e soluções tecnológicas atendam às necessidades da empresa,
de modo que todas as ações executadas estarão totalmente alinhadas com os objetivos
estratégicos da organização.
 RESUMINDO
A Arquitetura de TI se certificará que a área de TI tomará todas as ações necessárias de modo a
entregar todos os benefícios esperados pela instituição.
OBJETIVOS DA ARQUITETURA DE TI
Os principais objetivos de uma Arquitetura de TI totalmente alinhada com a Governança de TI de
uma organização são: planejar, estruturar, desenvolver e monitorar soluções de TI com base
na estratégia e na necessidade de negócio da organização.
UM DOS PAPÉIS EXISTENTES EM UMA INSTITUIÇÃO COM O
OBJETIVO DE IMPLEMENTAR UMA ARQUITETURA DE TI
EFICIENTE É O ARQUITETO DE TI.
O QUE FAZ UM ARQUITETO DE TI
O papel do Arquiteto de TI é extremamente importante dentro de uma organização, pois ele é
responsável por analisar todo o ambiente de TI e demais áreas com o intuito de identificar a
situação na qual a empresa se encontra e o que pode ser otimizado para torná-la mais estratégica.
 COMENTÁRIO
É muito comum, principalmente em grandes organizações, que não se tenha conhecimento de
todos os recursos (hardware, software e outros) existentes e se eles estão sendo utilizados de
forma produtiva e devidamente alinhados com a estratégia.
BENEFÍCIOS DA ARQUITETURA DE TI
São diversos os benefícios que uma Arquitetura de TI devidamente alinhada com o modelo de
Governança pode oferecer para uma organização, entre eles podemos citar:
AUMENTO NA PRODUTIVIDADE DE TODOS OS
PROCESSOS
Uma Arquitetura de TI bem elaborada identificará todos os processos da organização e o que
pode ser otimizado. Desta forma, será natural que todos os processos da organização tenham
uma melhora de desempenho.
AUMENTO NA GARANTIA DE DISPONIBILIDADE
A Arquitetura de TI irá colaborar de forma efetiva para a criação de um plano de continuidade de
TI. Tal plano, sendo bem elaborado, tem como objetivo garantir que ocorra uma continuidade de
todos os sistemas, ou seja, que todos os sistemas estejam sempre disponíveis para os usuários.
O plano de continuidade é uma ferramenta extremamente importante dentro da Governança de TI.
RECURSOS UTILIZADOS DE FORMA EFICIENTE
A Arquitetura de TI, através do mapeamento dos ativos de TI e da identificação dos recursos que
estão ou não sendo utilizados de forma eficiente, permitirá a alocação eficaz dos recursos,
identificando quais recursos estão sendo subutilizados e quais podem ser descontinuados por
estarem gerando custos desnecessários.
A ÁREA DE TI ESTARÁ TOTALMENTE ALINHADA COM O
NEGÓCIO
Este com certeza é um dos principais ganhos, pois os resultados gerados por uma Arquitetura de
TI eficiente deverão garantir maior alinhamento da TI com o negócio, ou seja, de que modo o
negócio irá utilizar a TI de forma eficiente e como a TI irá prover serviços de forma mais eficiente
para o negócio.
O COBIT
O COBIT – Objetivos de Controle para a Informação e Tecnologia relacionada ou Control
Objectives for Information and related Technology, apoia as organizações a alcançar as múltiplas
necessidades da administração pela superação dos espaços entre os riscos de negócio,
necessidades de controle e aspectos técnicos.
OBJETIVOS DO COBIT
O principal objetivo do COBIT é proporcionar boas práticas para a organização através de um
modelo de domínio e processos em uma estrutura lógica e gerenciável.
BOAS PRÁTICAS DO COBIT SIGNIFICAM O CONSENSO ENTRE
OS ESPECIALISTAS, POIS ELAS APOIARÃO A ORGANIZAÇÃO A
OTIMIZAR SEUS INVESTIMENTOS EM INFORMAÇÕES E
FORNECERÃO UMA MEDIDA DE COMPARAÇÃO QUANDO OS
RESULTADOS NÃO FOREM SATISFATÓRIOS.
O OBJETIVO DE UM CONTROLE DE TI
O objetivo de um Controle de TI dentro de uma organização é uma declaração de resultados
esperados ou propósitos a serem alcançados pela implementação de procedimentos de controle
dentro de atividades específicas de TI.
A alta gestão da organização deve assegurar que um sistema ou modelo de controle interno
esteja em vigor para que os processos de negócio sejam suportados.
 ATENÇÃO
É importante que fique claro como cada atividade de controle individual atenderá aos requisitos de
informação e aos impactos nos recursos de TI.
QUAIS SÃO AS CARACTERÍSTICAS DO COBIT?
O COBIT foi criado tendo como principais características:
Foco no negócio da organização.
Orientado a processos.
Faz uso de controles.
Direcionado por métricas.
Suportado por ferramentas e treinamentos.
QUAIS SÃO OS BENEFÍCIOS DO COBIT PARA A
ORGANIZAÇÃO?
São diversos os benefícios que uma organização possuirá ao fazer uso do COBIT, entre os
principais, podemos citar:

Fonte: NDAB Creativity/ShutterStock
Haverá uma melhora na qualidade das informações de modo a suportar com mais eficácia as
decisões de negócios.

Fonte: Gorodenkoff/ShutterStock
Agregação de valor aos investimentos de TI de modo a atingir e superar as metas estratégicas de
se entregar benefícios de negócio por meio eficaz do uso da TI.

Fonte: Blue Planet Studio/ShutterStock
A organização atingirá um nível de excelência operacional através de aplicações confiáveis e
eficientes.

Fonte: SFIO CRACHO/ShutterStock
Todos os riscos relacionados com a TI serão mantidos em níveis aceitáveis.

Fonte: wutzkohphoto/ShutterStock
O custo de serviços de TI será otimizado.

Fonte: create jobs 51/ShutterStock
A organização estará em total conformidade com leis, acordos contratuais, políticas internas e
externas e regulamentos.

Fonte: Blue Planet Studio/ShutterStock
O COBIT possui aceitação internacional como framework de modelo para a Governança de TI e
sempre está em desenvolvimento contínuo.
DOMÍNIOS E PROCESSOS DO COBIT
O COBIT é organizado em processos de governança e de gestão. Os processos de governança
são 5 e estão organizados em um único domínio. Já os processos de gestão são 32 e estão
organizados em 4 domínios (ISACA, 2020).
A governança assegura que as necessidades, condições e opções das partes interessadas sejam
avaliadas para que se determine os objetivos de negócio a serem atingidos.
 RESUMINDO
A governança define a direção da organização por meio da priorização e da tomada de decisão.
A governança inclui o domínio:
AVALIAR, DIRIGIR E MONITORAR (EDM)
Os processos deste domínio ditam as responsabilidades da alta direção para a avaliação,
direcionamento e monitoração do uso dos ativos de TI para a criação de valor para a organização,sendo eles:
EDM01 – Garantir a definição e manutenção do modelo de governança.
EDM02 – Garantir a realização de benefícios.
EDM03 – Garantir a otimização do risco.
EDM04 – Garantir a otimização dos recursos.
EDM05 – Garantir transparência para as partes interessadas.
A gestão consiste basicamente em planejar, construir, executar e monitorar todas as atividades
que estiverem alinhadas com os objetivos estratégicos estabelecidos pela Governança de TI de
modo que os objetivos de negócio da organização sejam atingidos.
A gestão inclui os domínios (ISACA, 2020):
ALINHAR, PLANEJAR E ORGANIZAR (APO)
Esse domínio trata da forma como a TI pode contribuir de forma eficaz para os objetivos de
negócio da organização e basicamente inclui os processos abaixo:
APO01 – Gerenciar a Estrutura de Gestão de TI.
APO02 – Gerenciar a Estratégia.
APO03 – Gerenciar a Arquitetura da Organização.
APO04 – Gerenciar Inovação.
APO05 – Gerenciar Portfólio.
APO06 – Gerenciar Orçamento e Custos.
APO07 – Gerenciar Recursos Humanos.
APO08 – Gerenciar Relacionamentos.
APO09 – Gerenciar Contratos de Prestação de Serviços.
APO10 – Gerenciar Fornecedores.
APO11 – Gerenciar Qualidade.
APO12 – Gerenciar Riscos.
APO13 – Gerenciar Segurança.
CONSTRUIR, ADQUIRIR E IMPLEMENTAR (BAI)
Esse domínio é responsável por tornar concreta a estratégia de TI de modo a identificar os
requisitos necessários para a TI e de gerenciar o programa de investimentos em TI. Os processos
desse domínio são:
BAI01 – Gerenciar Programas e Projetos.
BAI02 – Gerenciar Definição de Requisitos.
BAI03 – Gerenciar Identificação e Desenvolvimento de Soluções.
BAI04 – Gerenciar Disponibilidade e Capacidade.
BAI05 – Gerenciar Capacidade de Mudança Organizacional.
BAI06 – Gerenciar Mudanças.
BAI07 – Gerenciar Aceitação e Transição da Mudança.
BAI08 – Gerenciar Conhecimento.
BAI09 – Gerenciar Ativos.
BAI10 – Gerenciar Configuração.
ENTREGAR, SERVIR E SUPORTAR (DSS)
Esse domínio se refere à entrega de todos os serviços de TI que são necessários para atender os
planos táticos e estratégicos da organização. Os processos desse domínio são:
DSS01 – Gerenciar Operações.
DSS02 – Gerenciar Solicitações e Incidentes de Serviços.
DSS03 – Gerenciar Problemas.
DSS04 – Gerenciar Continuidade.
DSS05 – Gerenciar Serviços de Segurança.
DSS06 – Gerenciar Controles do Processo de Negócio.
MONITORAR, AVALIAR E ANALISAR (MEA)
Esse domínio tem como principal objetivo o de monitoramento de desempenho dos processos de
TI no qual será avaliado se a execução dos processos está em conformidade com os objetivos e
requisitos da organização. Os processos desse domínio são:
MEA01 – Monitorar, Avaliar e Analisar Desempenho e Conformidade.
MEA02 – Monitorar, Avaliar e Analisar o Sistema de Controle Interno.
MEA03 – Monitorar, Avaliar e Analisar Conformidade com Requisitos Externos.
A NBR ISO 38500
A NBR ISO/IEC 38500 e o COBIT são as normas mais utilizadas para Governança de TI. Os dois
modelos oferecem excelentes medidas para que uma instituição possa organizar a sua TI de
forma eficiente.
A norma ISO 38500 oferece todas as informações necessárias para que os membros
responsáveis pela governança (diretores, alta gestão, consultores e outros) possam fazer uso da
tecnologia de modo aceitável e eficaz.
OBJETIVOS DA ISO 38500
O principal objetivo da norma ISO 38500 é oferecer uma estrutura de princípios básicos para que
a diretoria e a alta gestão possam gerenciar e monitorar o uso de tecnologia da informação em
sua organização.
 COMENTÁRIO
Atualmente, a TI é uma ferramenta fundamental para as organizações e praticamente nenhuma
organização pode realmente funcionar de forma eficaz sem ela.
A norma ISO 38500 oferece uma estrutura para que as organizações façam uso eficiente de sua
governança de TI, pois as organizações a partir do uso desta norma irão entender e cumprir suas
obrigações legais e regulamentares, assim como questões éticas com relação ao uso da TI.
QUAIS SÃO OS 6 PRINCÍPIOS BÁSICOS PARA
UMA BOA GOVERNANÇA DE TI?
A norma ISO 38500 define 6 princípios básicos para a aplicação de uma Governança de TI
eficiente, sendo eles (ISO/IEC 38500, 2020):

Fonte: Gorodenkoff/ShutterStock
RESPONSABILIDADE:
Todos os colaboradores e grupos da organização devem entender e aceitar devidamente suas
responsabilidades para que a TI seja fornecida de forma eficiente. Todos os colaboradores
responsáveis pelas ações devem possuir a autoridade necessária para que as ações possam ser
executadas.

Fonte: Pressmaster/ShutterStock
ESTRATÉGIA:
A estratégia de negócio da organização deve levar em conta a sua capacidade atual e futura de
TI, assim como todo o planejamento estratégico que atenda suas necessidades atuais e
contínuas.

Fonte: Gorodenkoff/ShutterStock
AQUISIÇÕES:
Todas as aquisições de TI deverão ser realizadas por motivos claros, com uma base aprofundada
e análise transparente de todas as decisões. Deverá existir um equilíbrio entre os benefícios,
oportunidades, custos e riscos.

Fonte: Matej Kastelic/ShutterStock
DESEMPENHO:
O desempenho da TI deve ser adequado e eficiente de modo a suportar todas as necessidades da
organização e os serviços devem ser disponibilizados de forma eficiente a níveis adequados de
qualidade.

Fonte: enzozo/ShutterStock
CONFORMIDADE:
A TI deverá se encontrar em total conformidade com a legislação e todos os tipos de regulamentos
aplicáveis. As políticas e demais práticas deverão estar claramente definidas.

Fonte: NDAB Creativity/ShutterStock
COMPORTAMENTO HUMANO:
Todas as políticas, práticas e decisões de TI estão relacionadas ao comportamento humano,
incluindo as necessidades atuais e a evolução das necessidades de todas as pessoas envolvidas
neste processo.
QUAIS SÃO AS 3 TAREFAS RECOMENDADAS
PELA NORMA ISO 38500?
A norma ISO 38500 recomenda aos responsáveis pela organização que a TI seja governada
através das seguintes tarefas:
Avaliar o uso atual e futuro da TI.
Orientar a preparação e a implementação de todos os planos e políticas necessárias de
modo a garantir que os objetivos de negócio sejam atingidos através do uso eficiente da TI.
Monitorar o cumprimento de todas as políticas aplicadas e do desempenho em relação ao
que foi planejado.
O TOGAF
O TOGAF – The Open Group Architecture Framework reúne um conjunto de boas práticas
(framework) que fornece uma abordagem global ao projeto (design), planejamento, implementação
e governança de uma arquitetura corporativa (EA).
OBJETIVOS DO TOGAF
O principal objetivo do TOGAF é oferecer um conjunto de arquitetura base que permite que a
equipe de arquitetura vislumbre o estado atual e futuro da organização. O TOGAF é baseado no
TAFIM (Framework de arquitetura técnica para gerenciamento de informações), que define uma
estrutura de gerenciamento de TI que foi desenvolvida pelo departamento de defesa dos EUA na
década de 90 que é considerada um modelo de referência para a arquitetura corporativa.
OS DOMÍNIOS DO TOGAF
A arquitetura corporativa (EA) do TOGAF basicamente é modelada em quatro níveis ou domínios,
sendo eles (OPEN GROUP, 2020):
ARQUITETURA DE NEGÓCIO
Esse domínio é responsável por definir a estratégia do negócio e os processos chave de negócio
da organização.
null
Fonte: UfaBizPhoto/ShutterStock
ARQUITETURA DE APLICAÇÕES
Esse domínio define a “planta” para a implementação de sistemas de aplicações individuais, suas
interações e seus relacionamentos com os processos de negócio centrais da organização.
null
Fonte: REDPIXEL.PL/ShutterStock
ARQUITETURA DE DADOS
Esse domínio define a estrutura lógica e física de todos os ativos de uma organização e todos
seus recursos de gerenciamento de dados.
null
Fonte: SFIO CRACHO/ShutterStock
ARQUITETURA DE INFRAESTRUTURA TECNOLÓGICA
Esse domínio define as capacidades lógicas de hardware e software que são necessárias para
que se dê o suporte necessário ao emprego dos serviços de negócio, dados e aplicações. Ele
também incluitoda a infraestrutura de TI, redes de comunicação, servidores, protocolos de
comunicação, padrões de processamento etc.
null
Fonte: Techapanupreeda/ShutterStock
BENEFÍCIOS DO TOGAF
O TOGAF ajuda a instituição a organizar seu processo de desenvolvimento por meio de uma
abordagem sistemática, que é totalmente focada na Governança de TI e no cumprimento dos
objetivos de negócio, e que tem como principal objetivo o de reduzir falhas, manter cronogramas e
garantir o alinhamento da TI com a área de negócio de modo a gerar resultados com qualidade e
alinhados a estratégia da organização.
O TOGAF se destina principalmente a (OPEN GROUP, 2020):
Garantir que todos da organização falem o mesmo idioma.
Padronizar métodos abertos para a arquitetura corporativa de modo a evitar que a
organização fique presa a soluções proprietárias.
Utilizar todos os recursos de forma eficaz, economizando tempo e reduzindo custos.
Permitir um retorno sobre o investimento (ROI – Return on investment) demonstrável.
O TOGAF PERMITE CRIAR UMA ABORDAGEM SISTEMÁTICA
QUE VISA A SIMPLIFICAR TODO O PROCESSO DE
DESENVOLVIMENTO DA ORGANIZAÇÃO. É CRIADA UMA
LINGUAGEM COMUM NA ORGANIZAÇÃO QUE PREENCHE
LACUNAS EXISTENTES ENTRE A ÁREA DE TI E A ÁREA DE
NEGÓCIO.
O TOGAF é um documento bem extenso e totalmente flexível de modo que a organização pode
escolher quais partes do TOGAF serão utilizadas de forma a atender as suas necessidades de
negócio.
PRINCIPAL CARACTERÍSTICA DO TOGAF
A principal característica do TOGAF, além do fato de ser um framework aberto, é a
disponibilização de uma metodologia amplamente customizável que tem como objetivo orientar
todos os esforços de arquitetura da organização. O coração do TOGAF é o ADM – Architecture
Development Method que possui as seguintes fases:

FASE PRELIMINAR:
Nessa fase iniciam-se os trabalhos da arquitetura corporativa em que será definida a equipe de
arquitetura e o método de trabalho.
FASE A – VISÃO DA ARQUITETURA:
Fase que corresponde ao planejamento do projeto de arquitetura corporativa a ser executado.
Será estabelecida a visão de como deverá ser a arquitetura de modo a atender a estratégia e as
necessidades de negócio da organização.


FASE B – ARQUITETURA DE NEGÓCIO:
Fase na qual serão documentados o estado atual e futuro de todos os processos de negócio da
organização.
FASE C – ARQUITETURA DE SISTEMAS DE
INFORMAÇÃO:
Nessa fase serão identificados todos os sistemas de informação e dados necessários para atender
aos processos de negócio documentados na fase anterior.


FASE D – ARQUITETURA DE TECNOLOGIA:
Essa fase tem como objetivo documentar todas as necessidades futuras da organização em
termos de infraestrutura tecnológica de modo a atender as necessidades da fase anterior.
FASES E E F – OPORTUNIDADES E SOLUÇÕES E
PLANEJAMENTO DA MIGRAÇÃO:
Nessas duas fases serão consolidados todos os pontos de melhoria das fases B, C e D de modo a
criar um portfólio de projetos para atingir a arquitetura corporativa desejada pela organização.


FASE G – GOVERNANÇA DA IMPLEMENTAÇÃO:
Fase na qual serão realizadas revisões de conformidade e auditorias no portfólio de projetos de
modo a garantir que tudo esteja sendo executado conforme a arquitetura corporativa proposta.
FASE H – GESTÃO DE MUDANÇAS NA ARQUITETURA:
Fase responsável pelo acompanhamento diário de modo a garantir que a arquitetura implantada
na fase G esteja alinhada com a estratégia da organização. Grandes mudanças identificadas
devido a mudanças no ambiente de negócios e da estratégia da organização poderão impactar em
uma nova execução de todo o ciclo do ADM.

No vídeo abaixo, veja um breve resumo sobre COBIT, ISO 38500 e TOGAF.
VERIFICANDO O APRENDIZADO
1. ESTUDAMOS CONCEITOS IMPORTANTES SOBRE ARQUITETURA DE TI E
SEUS PRINCIPAIS BENEFÍCIOS. ASSINALE A ALTERNATIVA QUE
DESCREVE OS PRINCIPAIS BENEFÍCIOS QUE A ORGANIZAÇÃO TERÁ AO
IMPLEMENTAR UMA ARQUITETURA DE TI:
A) Aumento no lucro da organização, aumento no custo operacional e perda na produtividade de
um modo geral.
B) Aumento na produtividade de todos os processos, aumento na garantia de disponibilidade,
recursos utilizados de forma eficiente e a área de TI estará totalmente alinhada com o negócio.
C) Aumento nos investimentos de infraestrutura de TI e de pessoal capacitado.
D) Maior motivação de toda equipe, recursos ainda utilizados de forma ineficiente e com maior
custo operacional.
2. CONHECEMOS AS FASES DO TOGAF E SEUS OBJETIVOS. ASSINALE A
ALTERNATIVA QUE APRESENTA A FASE RESPONSÁVEL PELAS REVISÕES
DE CONFORMIDADE E AUDITORIA NO PORTFÓLIO DE PROJETOS DA
ORGANIZAÇÃO:
A) Fase D – Arquitetura de Tecnologia.
B) Fase H – Gestão de Mudanças na Arquitetura.
C) Fase G – Governança da Implementação.
D) Fase C – Gestão da Conformidade.
GABARITO
1. Estudamos conceitos importantes sobre Arquitetura de TI e seus principais benefícios.
Assinale a alternativa que descreve os principais benefícios que a organização terá ao
implementar uma Arquitetura de TI:
A alternativa "B " está correta.

A implementação de uma Arquitetura de TI eficiente trará benefícios para a organização, pois esta
fará uso mais eficiente de seus recursos de TI. De um modo geral, haverá uma melhoria no
desempenho de todos os processos e um excelente ganho em termos de alinhamento entre as
áreas de TI e de negócio.
2. Conhecemos as fases do TOGAF e seus objetivos. Assinale a alternativa que apresenta a
fase responsável pelas revisões de conformidade e auditoria no portfólio de projetos da
organização:
A alternativa "C " está correta.

A fase de Governança da Implementação é fundamental, pois nela serão realizadas todas as
revisões de conformidade e auditorias. Esta fase é responsável pela garantia de qualidade de todo
o processo. Todas as não conformidades encontradas deverão ser resolvidas de modo a garantir
que os resultados estejam de acordo com o que foi planejado pela organização.
MÓDULO 2
 Estabelecer a governança de processo com uso do BABOK e BPM CBOK
O GUIA BABOK
O BABOK – Guia para o Corpo de Conhecimento da Análise de Negócios ou A Guide to the
Business Analysis Body of Knowledge define um padrão para a prática de análise de negócios,
sendo globalmente reconhecido.
O GUIA BABOK DESCREVE TODAS AS ÁREAS DE
CONHECIMENTO, ATIVIDADES, TAREFAS E HABILIDADES
NECESSÁRIAS PARA QUE SE FAÇA UMA ANÁLISE DE
NEGÓCIOS EFICIENTE DENTRO DE UMA ORGANIZAÇÃO.
OBJETIVOS DO BABOK
O principal objetivo do BABOK é definir um excelente padrão que serve como apoio para que
todos os analistas de negócio possam entregar valor para suas organizações, estando essa
prática totalmente aderente as boas práticas de Governança de TI.
OS PRINCIPAIS BENEFÍCIOS DO BABOK
A utilização de um guia como o BABOK, que define um conjunto de práticas padronizado e
globalmente reconhecido, permite que a área de negócio e todos aqueles que trabalham dentro da
organização com análise de negócios gerem resultados com excelência através do uso de um
vocabulário comum e de boas práticas de mercado.
Ao se utilizar o BABOK, a organização irá usufruir dos seguintes benefícios:
Maior assertividade na identificação de problemas.
Maior eficiência no trabalho de análise de negócios.
Utilização de técnicas modernas e efetivas no trabalho de análise de negócios.
Maior motivação por estar utilizando um padrão globalmente reconhecido.
Busca constante pela excelência na atividade de análise de negócios.
Maior reconhecimento pelo cliente.
Maior competitividade em relação aos concorrentes que não fazem uso deste padrão
globalmente reconhecido.
Entregas de valor com o máximo de qualidade e aderência a estratégia da organização.
AS PREMISSAS DO BABOK
Para que as práticas do BABOK sejam executadas com o máximo de eficiência, as seguintes
premissas devem ser atendidas:

Fonte: Rawpixel.com/ShutterStock
O PROCESSO DE ANÁLISE DE NEGÓCIOS NÃO É
SOBRE A TI DA ORGANIZAÇÃO:
O processo de análise de negócios é sobre encontrar problemas nosprocessos da organização,
identificar pontos de melhoria e propor soluções otimizadas nos mais diferentes níveis da
organização.

Fonte: Rawpixel.com/ShutterStock
O PROCESSO DE ANÁLISE DE NEGÓCIOS NÃO PODE
NEM DEVE SER SOMENTE EXECUTADO POR
ANALISTAS DE NEGÓCIO:
A alta gestão da organização e todos aqueles que identificarem problemas nos processos e o que
pode ser melhorado e otimizado também devem fazer a análise de negócio.

Fonte: Syda Productions/ShutterStock
O PROCESSO DE ANÁLISE DE NEGÓCIOS NÃO É
SOMENTE UMA DISCIPLINA:
A análise de negócios não deve ser vista somente como uma disciplina ou um simples papel
dentro da organização. A análise de negócios deve ser vista como um mindset, ou seja, uma
forma diferente de pensar, uma forma de procurar enxergar além e de forma estratégica, uma
forma de ter uma visão de futuro e aonde a organização pretende chegar.
COMO ESTÁ ORGANIZADO O BABOK
O BABOK está organizado em 6 grandes áreas de conhecimento, 1 capítulo das competências
fundamentais, 1 capítulo sobre as técnicas que devem ser utilizadas e 1 capítulo sobre as
perspectivas.
As áreas de conhecimento do BABOK são:
PLANEJAMENTO E MONITORAMENTO DA ANÁLISE DE
NEGÓCIOS
Todas as atividades desta área de conhecimento serão responsáveis por governar a execução das
demais tarefas da análise de negócios. As principais atividades desta área são:
Identificação das partes interessadas (Stakeholders).
Definição dos papéis e responsabilidades dos Stakeholders dentro do esforço da atividade
de análise de negócios.
Desenvolvimento de estimativas para todas as atividades de análise de negócios.
Criação do plano de comunicação entre os analistas de negócios e Stakeholders.
Planejamento da forma como os requisitos serão priorizados e tratados.
Definição de todos os entregáveis (deliverables) que serão efetivamente produzidos e
entregues pelos analistas de negócios.
Definição e determinação de todos os processos da análise de negócios.
Determinação das métricas que devem ser utilizadas para se monitorar o trabalho da análise
de negócios.
ELICITAÇÃO
Define as atividades que os analistas de negócio terão que desempenhar para que as
necessidades dos Stakeholders sejam compreendidas
As tarefas desta área basicamente são:
Preparação das atividades.
Condução das atividades.
Documentação das necessidades.
Confirmação dos resultados produzidos na elicitação.
GERENCIAMENTO E COMUNICAÇÃO DOS REQUISITOS
O objetivo desta área é garantir que a comunicação dos requisitos e o gerenciamento serão
realizados de forma eficiente. Todas as partes interessadas deverão compreender os impactos na
organização que irão ocorrer devido a mudanças e otimizações geradas pelas soluções propostas.
As tarefas desta área são:
Gerenciamento do escopo e dos requisitos da solução.
Gerenciamento da rastreabilidade dos requisitos.
Manutenção dos requisitos que terão reuso.
Preparação do pacote de requisitos.
Comunicação sobre os requisitos.
ANÁLISE CORPORATIVA
Essa área basicamente é um ponto de início para uma nova iniciativa, pois suas atividades
incluem a identificação da necessidade de negócio, problemas, oportunidades e o investimento
necessário para a entrega das soluções. As tarefas desta área são:
Definição da necessidade do negócio.
Avaliação da capacidade necessária para a organização atender à necessidade do negócio.
Determinação da abordagem da solução.
Definição do escopo da solução.
Definição do plano de negócios.
ANÁLISE DE REQUISITOS
Área a qual descreve como os requisitos devem ser priorizados e levantados junto aos
Stakeholders de modo que a solução proposta atenda às necessidades de negócio e à estratégia
da organização. As tarefas desta área são:
Priorização de requisitos.
Organização dos requisitos.
Especificação e modelagem dos requisitos.
Definição dos pressupostos e das restrições dos requisitos.
Verificação dos requisitos.
Validação dos requisitos.
DEFINIÇÃO E VALIDAÇÃO DA SOLUÇÃO PROPOSTA
Área responsável por determinar qual solução se encaixa melhor na necessidade de negócio da
organização, pois durante todo o processo, os analistas de negócio poderão identificar diferentes
soluções a serem propostas. As tarefas desta área são:
Avaliação da solução proposta.
Alocação dos requisitos.
Avaliação da prontidão organizacional.
Definição dos requisitos de transição.
Validação da solução proposta.
Avaliação do desempenho da solução proposta.
O GUIA BPM CBOK
O Guia para o Gerenciamento de Processos – Corpo Comum de Conhecimento (BPM CBOK) ou
Guide to the Business Process Management Common Body of Knowledge possui 9 áreas de
conhecimento para sustentação e habilitação em BPM com o objetivo de apoiar profissionais de
gerenciamento de processos de negócio através de uma visão das melhores práticas e lições
aprendidas da ABPMP – Association of Business Process Management Professionals.
OBJETIVOS DO BPM CBOK
O principal objetivo do Guia BPM CBOK é fornecer um documento de referência básico para todos
os profissionais de gerenciamento de processos de negócio.
O GUIA IDENTIFICA E FORNECE UMA VISÃO GERAL DAS
ÁREAS DE CONHECIMENTO QUE SÃO NORMALMENTE
RECONHECIDAS E ACEITAS COMO BOAS PRÁTICAS (ABPMP-
BR, 2020).
AS ÁREAS DE CONHECIMENTO DO BPM CBOK
O BPM CBOK é organizado em 9 áreas de conhecimento sobre duas perspectivas:
organizacional e de processo.
Na perspectiva de processo as áreas de conhecimento são:

Fonte: NicoElNino/ShutterStock
GERENCIAMENTO DE PROCESSOS DE NEGÓCIO:
Área de conhecimento que focará nas definições chave dos processos, do processo de ponta a
ponta, o que gera valor para o cliente, tipos de processos existentes, qual o ciclo de vida de BPM,
capacidades e fatores chave de sucesso.

Fonte: GaudiLab/ShutterStock
MODELAGEM DE PROCESSOS:
Área de conhecimento que inclui um conjunto de habilidades e técnicas que permitirão que todos
os envolvidos na organização formalizem e comuniquem os principais componentes de negócio.
Esta área fornecerá uma visão geral e definições-chave destas técnicas e habilidades (skills).

Fonte: Jirapong Manustrong/ShutterStock
ANÁLISE DE PROCESSOS:
Área de conhecimento que envolverá a compreensão de todos os processos de negócio, incluindo
a eficácia do atendimento dos objetivos para os quais os processos foram projetados. O foco
desta área é entender como são os atuais processos de negócio — AS-IS.

Fonte: GaudiLab/ShutterStock
DESENHO DE PROCESSOS:
Área de conhecimento que é responsável pela concepção de novos processos de negócio e a
especificação de como os processos funcionarão, como serão medidos, controlados e
gerenciados. O foco desta área é a criação de um modelo de futuro dos processos de negócio —
TO-BE.

Fonte: Rawpixel.com/ShutterStock
GERENCIAMENTO DE DESEMPENHO DE PROCESSOS:
Área de conhecimento que é responsável pelo monitoramento formal e planejado da execução de
processos e acompanhamento do desempenho com o objetivo de identificar o quanto são eficazes
os processos de negócio.

Fonte: GaudiLab/ShutterStock
TRANSFORMAÇÃO DE PROCESSOS:
Área de conhecimento que é responsável pelas mudanças nos processos de negócio. Serão
discutidas abordagens de melhoria, de redesenho de processos, reengenharia e mudanças de
paradigma. Esta área é a chave para o sucesso de transformação em muitas organizações.

Fonte: SFIO CRACHO/ShutterStock
TECNOLOGIAS DE BPM:
Área de conhecimento que é responsável pela discussão de tecnologias que servirão para apoiar
a modelagem, análise dos processos, desenho dos processos, execução e monitoramento dos
processos de negócio.
Na perspectiva organizacional as áreas de conhecimento são:

Fonte: SFIO CRACHO/ShutterStock
GERENCIAMENTO CORPORATIVO DE PROCESSOS:
Área de conhecimento que se focará na necessidade de maximizar resultados de processos para
garantir que as estratégias de negócio estejam devidamente alinhadas com a estratégia do cliente
e das demais partes interessadas da organização.Fonte: fizkes/ShutterStock
ORGANIZAÇÃO DO GERENCIAMENTO DE PROCESSOS:
Área de conhecimento que se focará no endereçamento de papéis, responsabilidades e de toda
estrutura organizacional de modo a fornecer suporte a organizações orientadas por processos.
No vídeo abaixo, veja um breve resumo sobre BABOK e BPM CBOK.
VERIFICANDO O APRENDIZADO
1. SOBRE AS ÁREAS DE CONHECIMENTO DO BABOK, ASSINALE A
ALTERNATIVA QUE APRESENTA A ÁREA DE CONHECIMENTO QUE
DESCREVE COMO OS REQUISITOS DEVEM SER PRIORIZADOS E
LEVANTADOS JUNTO ÀS PARTES INTERESSADAS DA ORGANIZAÇÃO.
A) Análise de requisitos.
B) Planejamento e monitoramento da análise de negócios.
C) Elicitação.
D) Gerenciamento e comunicação dos requisitosD
2. CONHECEMOS OS PRINCIPAIS OBJETIVOS E AS ÁREAS DE
CONHECIMENTO DO BPM CBOK. ASSINALE A ALTERNATIVA QUE
APRESENTA A ÁREA DE CONHECIMENTO RESPONSÁVEL POR ENTENDER
COMO SÃO OS PROCESSOS ATUAIS DA ORGANIZAÇÃO — AS-IS:
A) Desenho de processos.
B) Modelagem de processos.
C) Transformação de processos
D) Análise de processos.
GABARITO
1. Sobre as áreas de conhecimento do BABOK, assinale a alternativa que apresenta a área
de conhecimento que descreve como os requisitos devem ser priorizados e levantados
junto às partes interessadas da organização.
A alternativa "A " está correta.

É extremamente importante que todos os requisitos sejam priorizados e levantados junto ao
Stakeholders, de modo que a solução proposta atenda, de forma eficaz, às necessidades de
negócio. O BABOK fornece um excelente guia para apoiar uma análise de requisitos eficaz, porém
mais importante que o guia é a competência e as habilidades da equipe de análise de negócio que
será responsável pela captura correta das necessidades de negócio das partes interessadas.
2. Conhecemos os principais objetivos e as áreas de conhecimento do BPM CBOK.
Assinale a alternativa que apresenta a área de conhecimento responsável por entender
como são os processos atuais da organização — AS-IS:
A alternativa "D " está correta.

A área de análise de processos envolverá a compreensão de todos os processos de negócio. É
fundamental que se tenha uma visão clara de como são os processos de negócio atuais — AS-IS,
pois somente desta forma será possível identificar quais são os pontos de melhoria, se os
processos são eficientes ou não e o que deve ser otimizado através das novas soluções
propostas.
MÓDULO 3
 Reconhecer a governança de projetos com o uso do PMBOK, PRINCE2 e SCRUM
O GUIA PMBOK
O PMBOK – Guia do Conhecimento em Gerenciamento de Projetos ou Project Management Body
of Knowledge foi criado pelo PMI – Instituto de Gerenciamento de Projetos e reúne as melhores
práticas em gerenciamento de projetos.
OS CINCO GRUPOS DE PROCESSOS DO PMBOK
Os cinco grupos essenciais de processos reconhecidos pelo PMBOK são: iniciação,
planejamento, execução, monitoramento e controle e encerramento.
OS PROCESSOS DE INICIAÇÃO DO PMBOK
Este grupo de processo é composto por dois processos que são responsáveis pela iniciação de
um projeto, são eles:
DESENVOLVER O TERMO DE ABERTURA DO PROJETO:
O termo de abertura ou o Project Charter é o documento responsável pela oficialização do início
de um projeto.

IDENTIFICAR AS PARTES INTERESSADAS
Processo que é responsável pela identificação das partes interessadas do projeto, os
Stakeholders.
OS PROCESSOS DE PLANEJAMENTO DO PMBOK
Este grupo de processo é responsável por todos os processos de planejamento do projeto. É o
grupo que mais possui processos, sendo 24 no total:
Desenvolver o plano de gerenciamento do projeto: Processo que é responsável pela
criação do plano de projeto que vai detalhar como o projeto será gerenciado.
Planejar o gerenciamento do escopo: Processo que é responsável pela definição de como
o escopo do projeto será gerenciado.
Coletar requisitos: Processo que é responsável por definir como os requisitos do projeto
deverão ser coletados.
Definir o escopo: Processo que é responsável por detalhar como o escopo do projeto será
definido.
Criar a Estrutura Analítica do Projeto (EAP): Processo que é responsável pela criação da
estrutura analítica do projeto (EAP) que conterá todos os entregáveis do projeto.
Planejar o gerenciamento do cronograma: Processo que é responsável por definir como o
cronograma do projeto será gerenciado.
Definir as atividades: Processo que é responsável pela definição de todas as atividades
necessárias para a execução do projeto.
Sequenciar as atividades: Processo que é responsável pelo sequenciamento de todas as
atividades do projeto, ou seja, qual a ordem de execução das atividades.
Estimar a duração das atividades: Processo que é responsável pela estimativa da duração
de todas as atividades do projeto.
Desenvolver o cronograma: Processo que é responsável pelo desenvolvimento do
cronograma do projeto.
Planejar o gerenciamento de custos: Processo que é responsável pela definição de como
os custos do projeto serão gerenciados.
Estimar os custos: Processo que é responsável pela estimativa de todos os custos
necessários para a execução do projeto.
Determinar o orçamento: Processo que é responsável por determinar o orçamento
necessário para a execução do projeto.
Planejar o gerenciamento da qualidade: Processo que é responsável pela definição de
como a qualidade do projeto será planejada.
Planejar o gerenciamento de recursos: Processo que é responsável pela definição de
como os recursos do projeto serão gerenciados.
Estimar os recursos das atividades: Processo que é responsável pela estimativa de todos
os recursos necessários para a execução das atividades planejadas para o projeto.
Planejar o gerenciamento da comunicação: Processo que é responsável pela definição de
como o plano de comunicação do projeto será gerenciado.
Planejar o gerenciamento de riscos: Processo que é responsável pelo planejamento e
gerenciamento de todos os riscos do projeto.
Identificar riscos: Processo que é responsável pela definição de ações e técnicas que
possuem como principal objetivo a identificação precisa de riscos do projeto.
Executar a análise qualitativa dos riscos: Processo que é responsável pela análise
qualitativa dos riscos identificados do projeto.
Executar a análise quantitativa dos riscos: Processo que é responsável pela análise
quantitativa dos riscos identificados do projeto.
Planejar respostas aos riscos: Processo que é responsável por planejar todas respostas
aos riscos identificados do projeto.
Planejar o gerenciamento de aquisições: Processo que é responsável por planejar como o
gerenciamento de aquisições deverá ser realizado no projeto.
Planejar o gerenciamento das partes interessadas: Processo que é responsável pelo
gerenciamento das partes interessadas, ou seja, dos Stakeholders.
OS PROCESSOS DE EXECUÇÃO DO PMBOK
Este grupo de processo é responsável por todos os processos de execução do projeto. O grupo é
composto por 10 processos, sendo eles:
DIRIGIR E GERENCIAR O TRABALHO DO PROJETO:
Processo que é responsável por garantir que toda a execução estará conforme o plano de projeto.

GERENCIAR O CONHECIMENTO DO PROJETO:
Processo que é responsável pela gestão do conhecimento do projeto.

GERENCIAR A QUALIDADE DO PROJETO:
Processo que é responsável por garantir que a qualidade do projeto esteja conforme o que foi
planejado no plano de garantia da qualidade.

ALOCAR RECURSOS NO PROJETO:
Processo que é responsável pela alocação de recursos no projeto.

DESENVOLVER O TIME DO PROJETO:
Processo que é responsável pelo desenvolvimento do time do projeto, ou seja, pelo
acompanhamento efetivo de toda equipe, das habilidades do time e de seu desempenho.

GERENCIAR O TIME DO PROJETO:
Processo que é responsável pelo gerenciamento do time do projeto.

GERENCIAR A COMUNICAÇÃO DO PROJETO:
Processo que é responsável por garantir que a comunicação esteja efetiva e de acordo com o
planejado no plano de comunicação do projeto.

IMPLEMENTAR RESPOSTAS AOS RISCOS DO PROJETO:Processo que é responsável pela implementação de todas respostas aos riscos do projeto
conforme o plano de gerenciamento de riscos.

CONDUZIR AS AQUISIÇÕES DO PROJETO:
Processo que é responsável pela condução de todas as aquisições necessárias para a execução
do projeto.

GERENCIAR O ENGAJAMENTO DAS PARTES
INTERESSADAS
Processo que é responsável por garantir que todas as partes interessadas estejam engajadas no
projeto de modo a garantir o seu sucesso.
OS PROCESSOS DE MONITORAMENTO E
CONTROLE DO PMBOK
Este grupo de processo é responsável por todos os processos inerentes ao monitoramento e
controle do projeto. O grupo é composto por 12 processos, sendo eles:
MONITORAR E CONTROLAR O TRABALHO DO
PROJETO:
Processo que é responsável pelo monitoramento e controle do projeto.

EXECUTAR O CONTROLE INTEGRADO DE MUDANÇAS
Processo que é responsável pelo controle integrado de mudanças do projeto.

VALIDAR O ESCOPO:
Processo que é responsável pela validação do escopo do projeto.

CONTROLAR O ESCOPO:
Processo que é responsável pelo controle do escopo do projeto.

CONTROLAR O CRONOGRAMA:
Processo que é responsável pelo controle do cronograma do projeto.

CONTROLAR OS CUSTOS:
Processo que é responsável pelo controle de custos do projeto.

CONTROLAR A QUALIDADE:
Processo que é responsável pelo controle de qualidade do projeto.

CONTROLAR OS RECURSOS:
Processo que é responsável pelo controle dos recursos (físicos, humanos, etc) do projeto.

MONITORAR A COMUNICAÇÃO:
Processo que é responsável pelo monitoramento da comunicação do projeto.

MONITORAR OS RISCOS:
Processo que é responsável pelo monitoramento de riscos do projeto.

CONTROLAR AS AQUISIÇÕES:
Processo que é responsável pelo controle de aquisições do projeto.

MONITORAR O ENGAJAMENTO DAS PARTES
INTERESSADAS:
Processo que é responsável pelo monitoramento das partes interessadas do projeto.

OS PROCESSOS DE ENCERRAMENTO DO PMBOK
Este grupo é responsável pelo processo de encerramento do projeto. O grupo é composto
somente pelo seguinte processo:
Encerrar o projeto ou fase: Processo que é responsável por todas as atividades de
encerramento do projeto ou de uma fase do projeto.
O PRINCE2
O PRINCE2 – Projetos em Ambientes Controlados ou Projects in Controlled Environments é uma
metodologia de gerenciamento de projetos criada e utilizada pelo governo britânico há um bom
tempo. O grupo responsável pela manutenção do PRINCE2 é o OGC – Office of Government
Commerce e todos seus direitos autorais pertencem à coroa britânica.
 COMENTÁRIO
Atualmente, a metodologia PRINCE2 é utilizada em diversos países do mundo e a sua adoção em
projetos tem crescido de forma constante.
COMO ESTÁ ESTRUTURADO O PRINCE2
A metodologia de gerenciamento de projetos PRINCE2 está organizada em 7 princípios, 7 temas e
7 processos.
OS PRINCÍPIOS DO PRINCE2
Os princípios que determinam o que deve ser acordado e verificado em um projeto são:

Fonte: Song_about_summer/ShutterStock
JUSTIFICATIVA CONTÍNUA DO NEGÓCIO:
Um projeto PRINCE2 necessita possuir uma justificação de negócio contínua, ou seja, deve existir
uma razão justificável para que se inicie o projeto, e esta justificativa deve se manter do início ao
fim do projeto. A justificativa do projeto é documentada em forma de Caso de Negócio ou Business
Case.

Fonte: ESB Professional/ShutterStock
APRENDER COM A EXPERIÊNCIA:
Todas as equipes de projetos gerenciados através da metodologia PRINCE2 aprenderão com a
sua própria experiência, ou seja, a partir de lições aprendidas que devem ser documentadas em
uma base de conhecimento que servirá para a tomada de decisão em todos os projetos.

Fonte: NicoElNino/ShutterStock
PAPÉIS E RESPONSABILIDADES BEM DEFINIDOS:
Em um projeto PRINCE2, haverá papéis e responsabilidades bem definidos na estrutura
organizacional, envolvendo interesses da área de negócio, da diretoria, da alta gestão e das
demais partes interessadas da organização.

Fonte: REDPIXEL.PL/ShutterStock
GERENCIAR POR ESTÁGIOS:
Um projeto PRINCE2 é planejado, monitorado e controlado por estágios. Organizar o projeto em
estágios menores permitirá maior gestão sobre o projeto, porém o esforço de gestão será maior
considerando que todo o planejamento será realizado através de um nível de detalhamento mais
gerenciável. Ao final de cada estágio, existirão pontos de controle em que a situação do projeto
será avaliada, inclusive a própria continuidade do projeto.

Fonte: kan_chana/ShutterStock
GERENCIAR POR EXCEÇÃO:
Um projeto PRINCE2 terá tolerâncias definidas para cada objetivo do projeto para que seja
estabelecido os limites de autoridade delegados. A área de governança que será responsável por
definir as responsabilidades que direcionam o gerenciamento e entrega do projeto. As tolerâncias
são em relação a 6 objetivos descritos no plano de projeto: tempo, risco, benefício, escopo,
qualidade e custo.

Fonte: Blue Planet Studio/ShutterStock
FOCO EM PRODUTOS:
Um projeto PRINCE2 concentrará seu foco na definição e entrega de produtos, especificamente
no que diz respeito aos requisitos de qualidade.

Fonte: fizkes/ShutterStock
ADEQUAR AO AMBIENTE DO PROJETO:
A metodologia PRINCE2 se adaptará ao ambiente do projeto, ou seja, será totalmente adaptada
ao tamanho, complexidade, importância, capacidade e risco do projeto.
OS TEMAS DO PRINCE2
Os temas do PRINCE2 são os seguintes
BUSINESS CASE
É o documento que justifica a necessidade do projeto com análise de mercado, custo benefício e
retorno sobre o investimento justificável, por exemplo.
ORGANIZAÇÃO
E definido “Quem” irá realizar o trabalho do projeto, ou seja, a descrição de todos os papéis e
responsabilidades de gestão do projeto, assim como a distribuição de todo o trabalho entre os
gerentes de projeto.
QUALIDADE
É definido “O quê”, ou seja, para qual objetivo o projeto foi criado. Deve ser assegurado que as
expectativas do negócio sejam atendidas e que sejam alcançados os benefícios propostos.
PLANOS
Tem como principal objetivo responder as seguintes questões: “Como?”, “Quanto?” e “Quando?” o
projeto será realizado de modo a facilitar todo o processo de comunicação e controle pelas quais
serão definidas todas as entregas do projeto.
RISCO
Tem como principal objetivo o de identificar todos os riscos que possam impactar de forma
negativa (ameaças) e de forma positiva (oportunidades) no projeto. Os gerentes de projeto
deverão gerenciar todas as incertezas do projeto evitando que a concretização dos principais
objetivos do projeto seja ameaçada pelos riscos negativos.
MUDANÇAS
Tem como principal objetivo identificar todos os possíveis impactos gerados por uma possível
mudança no projeto. Todas as mudanças deverão ser avaliadas, controladas e devidamente
aprovadas.
PROGRESSO
Tem como principal objetivo o de responder “Onde o projeto se encontra?”, “Para onde o projeto
está indo” e se “O projeto deve continuar”. Todas estas questões irão justificar o processo de
tomada de decisões e a aprovação dos planos com base no monitoramento de desempenho do
projeto.
OS PROCESSOS DO PRINCE2
Os processos do PRINCE2 são os seguintes:
DIRECIONANDO O PROJETO:
O comitê diretor do projeto deverá definir a direção do projeto e também tomará todas as decisões
importantes ao longo da vida do projeto.

INICIANDO O PROJETO (PRÉ-PROJETO):
Neste momento, será avaliada a ideia e a necessidade real do projeto, os objetivos de negócio do
projeto e todas questões referentes à viabilidade de se iniciar o projeto.

INICIANDO O PROJETO:
Após a definição de sua viabilidade, o projeto deverá ser efetivamente iniciado e planejado em
detalhes, todas as definições de estratégia do projeto deverão ser tomadas, o desenvolvimento do
Business Case de forma completa, a comunicação dos principais benefícios etc.
CONTROLANDO UM ESTÁGIO:
Processo responsável pelo controle detalhado do estágio do projeto no qual o gerente do projeto
deverá garantir queo progresso do projeto esteja conforme o que foi planejado e dentro das
metas de desempenho.

GERENCIANDO A ENTREGA DO PRODUTO:
Processo responsável por garantir que o produto entregue esteja de acordo com o que foi
planejado no projeto, conforme o que foi definido no Business Case e de acordo com as
expectativas do cliente e das demais partes interessadas.

GERENCIANDO UM LIMITE DE ESTÁGIO:
Processo responsável por garantir qual o limite do estágio do projeto, ou seja, de forma a garantir
que os limites definidos para cada estágio do projeto sejam respeitados.
ENCERRANDO UM PROJETO:
Processo responsável por todas as atividades necessárias para o encerramento do projeto.
O SCRUM
O scrum é um framework utilizado para o gerenciamento de projetos e desenvolvimento ágil de
software. No scrum, os projetos são tipicamente divididos em ciclos menores chamados de sprints
e com duração de 1 a 4 semanas.
 DICA
Uma sprint representa um time box que basicamente define um tempo para que um conjunto de
atividades possa ser executado de modo que ocorra uma entrega ao final de cada ciclo.
SCRUM VS. MÉTODO TRADICIONAL
O scrum é considerado um dos frameworks mais utilizados para o gerenciamento de projetos
ágeis, sendo uma abordagem ao método tradicional de gerenciamento de projetos que se
baseava no modelo cascata ou waterfall e que consistia basicamente em ciclos com grande
duração e com diversas etapas.
Waterfall
No modelo waterfall, as etapas possuem grande duração e cada uma só pode iniciar após a
conclusão da etapa anterior. Já as entregas, geralmente, ocorrem somente ao final de cada etapa.

Scrum
O scrum permite entregas e validações mais rápidas ao longo de todo o ciclo de vida do projeto.
O MANIFESTO ÁGIL
O scrum segue as diretrizes do manifesto ágil que surgiu em 2001 e que é composto pelos
seguintes valores:
Indivíduos e interações – mais que processos e ferramentas.
Software em funcionamento – mais que documentação abrangente.
Colaboração com o cliente – mais que negociação de contratos.
Resposta a mudanças – mais que seguir um plano.
O CICLO DE VIDA DO SCRUM
A figura a seguir apresenta um exemplo de um ciclo de vida de uma sprint no scrum, que
basicamente terá duração de 1 a 4 semanas:

Fonte: Autor
Durante a execução do ciclo de vida da sprint, vários papéis interagem para que a entrega possa
ser realizada com sucesso ao final do ciclo, sendo os principais papéis:
Product Owner (PO): É o dono do produto tendo como principal responsabilidade a
definição do Backlog do Produto ou o Product backlog.
Equipe: Equipe scrum, geralmente um time pequeno, responsável pela entrega.
Scrum Master: Atua como um líder dentro do time scrum.
Os principais eventos presentes em um ciclo de vida da sprint são:
REUNIÃO DE PLANEJAMENTO:
A reunião de planejamento ou reunião de planning é responsável pelo planejamento do que será
trabalhado dentro da sprint conforme a capacidade de entrega do time scrum.

REUNIÃO DIÁRIA:
Reunião rápida de 15min que deverá ocorrer todos os dias da sprint após a reunião de planning.
Todos integrantes da equipe devem responder ao mínimo as seguintes questões: “O que eu fiz
ontem”, “O que eu estou fazendo hoje” e “Se há algum tipo de impedimento”.
REUNIÃO DE REVISÃO:
É a reunião de entrega da sprint na qual todos os integrantes do time e apresmntarão os
resultados da sprint para o PO e cliente.

REUNIÃO DE RETROSPECTIVA:
É a reunião de lições aprendidas que deverá ocorrer sempre ao final da sprint e antes de iniciar a
sprint seguinte. Serão discutidos pontos positivos, pontos negativos e quais são os pontos de
melhoria para as próximas sprints.
Os principais produtos de trabalho (artefatos) presentes em um ciclo de vida da sprint são:

PRODUCT BACKLOG:
É o backlog do produto que conterá uma lista de todos os requisitos priorizados pelo PO e que
deverão ser trabalhados dentro das sprints.
SPRINT BACKLOG
É o backlog da sprint, ou seja, quais requisitos foram selecionados do backlog do produto para
serem trabalhados dentro da sprint.


ENTREGA
É a entrega (incremento da sprint) do software funcionando que será realizada ao final da sprint
conforme planejado.
HISTÓRIAS DE USUÁRIO:
Uma história de usuário ou user story é considerada a menor unidade de trabalho dentro do ciclo
de vida da sprint. Uma user story conterá o detalhamento necessário para que o requisito possa
ser desenvolvido pelo time scrum


PLANNING POKER
Técnica que consiste basicamente no uso de cartas de baralho com o objetivo de estimar o
esforço das user stories que serão trabalhadas pelo time scrum. Basicamente a estimava será
realizada em pontos que poderão ser convertidos em horas de trabalho de modo a facilitar a
gestão do projeto.
No vídeo abaixo, veja um breve resumo sobre PMBOK, PRINCE2 e SCRUM.
VERIFICANDO O APRENDIZADO
1. SOBRE OS GRUPOS DE PROCESSOS DO PMBOK, ASSINALE A
ALTERNATIVA QUE APRESENTA O GRUPO DE PROCESSO RESPONSÁVEL
PELO PROCESSO COLETAR REQUISITOS:
A) Iniciação.
B) Monitoramento e controle.
C) Planejamento.
D) Encerramento.
2. SOBRE OS 7 PROCESSOS PRESENTES NA METODOLOGIA DE
GERENCIAMENTO DE PROJETOS PRINCE2, ASSINALE A ALTERNATIVA
QUE APRESENTA O PROCESSO NO QUAL O BUSINESS CASE DEVERÁ
SER ELABORADO DE FORMA COMPLETA:
A) Gerenciando a entrega do produto.
B) Direcionando o projeto.
C) Iniciando o projeto (Pré-projeto.
D) Iniciando o projeto.
GABARITO
1. Sobre os grupos de processos do PMBOK, assinale a alternativa que apresenta o grupo
de processo responsável pelo processo Coletar requisitos:
A alternativa "C " está correta.

O processo Coletar requisitos, que pertence ao grupo de processos de planejamento, é
responsável por definir todas as entradas necessárias para que os requisitos sejam coletados com
a maior precisão possível através da utilização de ferramentas e técnicas de coleta de requisitos.
2. Sobre os 7 processos presentes na metodologia de gerenciamento de projetos PRINCE2,
assinale a alternativa que apresenta o processo no qual o Business Case deverá ser
elaborado de forma completa:
A alternativa "D " está correta.

O Business Case é o documento no qual será descrito a real necessidade de negócio, quais os
principais benefícios com a conclusão do projeto, análise de custo e benefício, análise do retorno
sobre o investimento, restrições, limitações e outros detalhes que se fazem necessários para a
entrega do projeto com sucesso e dentro das expectativas do cliente e das demais partes
interessadas.
MÓDULO 4
 Identificar o funcionamento da governança de segurança da informação através das normas
ISO 27001, ISO 27002 e ISO 27014
A NBR ISO 27001
A NBR ISO/IEC 27001 é uma norma internacional de gestão da segurança da informação. É a
principal norma que uma organização eficaz deve utilizar para obter a certificação empresarial em
gestão da segurança da informação.
ESTE TIPO DE CERTIFICAÇÃO ATESTA QUE A ORGANIZAÇÃO
ATENDE A TODOS OS REQUISITOS DE SEGURANÇA DA
INFORMAÇÃO, SENDO EXTREMAMENTE IMPORTANTE PARA
QUALIFICAR A EMPRESA E PARA TORNÁ-LA MAIS
COMPETITIVA NO MERCADO FRENTE A SUA CONCORRÊNCIA.
OBJETIVOS DA ISO 27001
O principal objetivo da norma ISO 27001 é implementar um conjunto de requisitos, processos e
controles, que visam uma gestão eficaz de todos os riscos de segurança da informação existentes
dentro de uma organização.
 VOCÊ SABIA
A norma foi elaborada por diversos especialistas da área com toda sua experiência para que seja
estabelecido um padrão de alto grau de maturidade de gestão de segurança da informação.
BENEFÍCIOS DA IMPLEMENTAÇÃO DA ISO 27001
São diversos os benefícios que uma organização terá ao implementar a ISO 27001. Dentre os
principais benefícios podemos citar:
A adoção das melhores práticas de mercado.
Conformidade com todas as leis e requisitos contratuais.
Redução significante de riscos.
Redução dos custos.
Vantagem competitiva frente à concorrência.
A organização estará mais organizada internamente.A implementação de um processo de melhoria contínua na organização.
Haverá uma maior integração nos sistemas de gestão da organização.
AS PREMISSAS PARA A IMPLEMENTAÇÃO DA ISO
27001
Para que a implementação da ISO 27001 ocorra de forma eficiente dentro de uma organização, as
seguintes premissas deverão ser atendidas:
A adoção dos requisitos requeridos pela norma.
A implementação de políticas requeridas pela norma.
A implementação de processos requeridos pela norma.
A implementação de procedimentos, controles e práticas requeridos pela norma.
AS ETAPAS PARA A IMPLEMENTAÇÃO DA ISO
27001
O TEMPO DE IMPLEMENTAÇÃO DA ISO 27001 DEPENDERÁ
TOTALMENTE DA REALIDADE DA EMPRESA, DO CENÁRIO
ATUAL ONDE SE ENCONTRA A EMPRESA COM RELAÇÃO À
SEGURANÇA DA INFORMAÇÃO, DA MATURIDADE DA
EMPRESA, DO PORTE DA EMPRESA E PRINCIPALMENTE DA
CULTURA ORGANIZACIONAL.
Sendo assim, as principais etapas de implementação são:

Apoio total e incondicional da diretoria e da alta gestão da organização para que seja realizado um
planejamento eficiente de todas as atividades necessárias para a implementação da norma.
Definição correta de todo o escopo necessário para a implementação de um sistema de gestão de
segurança da informação.


Definição correta da metodologia de identificação, avaliação e gestão eficaz de riscos.
A elaboração de um plano de gerenciamento de riscos eficaz.


O planejamento e a implementação de programas de treinamentos e conscientização para todos
os colaboradores da organização.
A implementação de todos os controles e procedimentos necessários conforme a declaração de
aplicabilidade que conterá todos os controles necessários que devem ser utilizados durante todo o
processo.


Monitoramento constante e avaliação do sistema de gestão de segurança da informação da
organização.
Garantia total de que serão executadas todas as ações definidas pela documentação do sistema
de gestão de segurança da informação.


Planejamento e definição de como serão mensurados os níveis de eficácia de todos os controles
definidos.
Realização constante de auditorias internas e análises críticas.


Implementações de ações corretivas sempre que for necessário.
A NBR ISO 27002
A NBR ISO/IEC 27002 é a norma mais antiga que trata da gestão da segurança da informação. A
norma ISO 27002 trata de um conjunto de práticas através de um documento genérico com a
finalidade de um guia para a gestão da segurança da informação, não como uma especificação
formal como a norma ISO 27001.
OBJETIVOS DA ISO 27002
O principal objetivo da norma ISO 27002 é estabelecer diretrizes e princípios gerais para que se
inicie, se implemente, se mantenha e se otimize a gestão de segurança da informação da
organização.
 SAIBA MAIS
A norma ISO 27002 define um conjunto de 14 cláusulas de controle de segurança e 114 controles
de segurança que irão suportar e apoiar de forma efetiva a ISO 27001.
COMO ESTÁ ESTRUTURADA A ISO 27002
A norma ISO 27002 está estruturada em seções e cada seção possui uma série de controles que
poderão ser implementados conforme o porte a necessidade de segurança da organização. Os
controles são divididos nas seções abaixo:
As políticas de segurança da informação.
A forma como a segurança da informação será organizada.
A gestão de ativos.
A segurança em recursos humanos.
A segurança física do ambiente.
A gestão das operações e das comunicações.
O controle de acesso.
A aquisição, o desenvolvimento e a manutenção dos sistemas de informação.
A gestão de incidentes da segurança da informação.
A gestão da continuidade do negócio.
O nível de conformidade.
BENEFÍCIOS DA IMPLEMENTAÇÃO DA ISO 27002
São diversos os benefícios que uma organização terá ao implementar a ISO 27002. Dentre os
principais benefícios podemos citar:
Aumento na conscientização sobre a segurança da informação.
Gestão eficiente sobre os ativos e informações.
Abordagem para a implementação eficiente de políticas e controles.
Excelente oportunidade para identificar e corrigir os pontos fracos.
Redução significante de riscos de responsabilidade pela não implementação de um sistema
de gestão de segurança da informação.
Aumento na competitividade da organização perante a sua concorrência e clientes que
valorizam certificações de segurança.
Organização mais efetiva com processos bem documentados.
Total conformidade com a legislação e outros tipos de regulamentações que dizem respeito à
segurança da informação.
Redução significante de custos com a prevenção de incidentes de segurança da informação.
A NBR ISO 27014
A NBR ISO/IEC 27014 é uma norma de segurança da informação que facilita a orientação sobre
todos os princípios e conceitos necessários para que se faça uma gestão eficaz da segurança da
informação.
OBJETIVOS DA ISO 27014
O principal objetivo da norma ISO 27014 é permitir que as organizações possam dirigir, comunicar,
avaliar e controlar a segurança da informação que está fortemente relacionada com todas as
demais atividades de negócio presentes em uma organização.
OS PRINCÍPIOS DA ISO 27014
A norma ISO 27014 indica 6 princípios de gestão de segurança da informação, sendo eles:
Estabelecer segurança da informação em toda a organização.
Seguir um foco totalmente baseado em riscos.
Estabelecer a direção das decisões de investimento.
Garantir o cumprimento de todos os requisitos internos e externos.
Promover um ambiente positivo de segurança.
Evidenciar o desempenho pela implementação da segurança da informação em relação aos
resultados da organização.
BENEFÍCIOS DA IMPLEMENTAÇÃO DA ISO 27014
São diversos os benefícios que uma organização terá ao implementar a ISO 27014. Dentre os
principais benefícios podemos citar:
Tornar a organização mais competitiva com relação a sua concorrência e desta forma
atraindo mais clientes.
Estar em conformidade total com todos os requisitos contratuais e regulamentares.
Promover uma gestão eficaz no nível de conselho de segurança da informação.
Promover uma gestão eficaz em todos os níveis da organização.
Investimentos realizados de forma eficaz em segurança da informação.
OS PROCESSOS DA NORMA ISO 27014
Conforme a norma ISO 27014, os processos necessários para que se implemente um sistema de
gestão de segurança da informação são os seguintes:

AVALIAÇÃO
Processo que avaliará os resultados finais e previstos dos objetivos de segurança da informação
com base nas atividades atuais e nas alterações planejadas pela organização, de modo que os
objetivos estratégicos sejam atingidos.
DIREÇÃO
Neste processo, a direção e a alta gestão da organização informará o direcionamento, os objetivos
e a estratégia de segurança da informação que deverá ser implementada na organização.


MONITORAÇÃO
Este processo permitirá a avaliação por parte da direção e a alta gestão da organização se os
objetivos estratégicos planejados foram concretizados com sucesso.
COMUNICAÇÃO
Neste processo será realizada a troca de informações entre a direção, a alta gestão e todas as
demais partes interessadas da organização sobre a gestão da segurança da informação.


GARANTIA
Neste processo deverão ser permitidas auditorias e análises críticas que terão como principal
objetivo a identificação e validação dos objetivos e atividades relacionadas com a governança
corporativa, de modo que o nível de segurança da informação desejado seja atingido pela
organização.
No vídeo abaixo, veja um breve resumo sobre as normas ISO 27001, ISO 27002 e ISO 27014.
VERIFICANDO O APRENDIZADO
1. SOBRE OS BENEFÍCIOS DA IMPLEMENTAÇÃO DA NORMA ISO 27001 EM
UMA ORGANIZAÇÃO, ASSINALE A ALTERNATIVA QUE APRESENTA DOIS
BENEFÍCIOS PELA UTILIZAÇÃO DA NORMA ISO 27001:
A) Adoção de políticas proprietárias de mercado e maior lucro para a organização.
B) Redução dos custos e dos riscos.
C) A organização estará em conformidade com algumas leis e requisitos contratuais, e haverá um
aumento significante nos custos operacionais.
D) Haverá uma melhora naintegração nos sistemas de gestão da organização e a organização
não estará em conformidade com leis e requisitos contratuais.
2. ASSINALE A ALTERNATIVA QUE APRESENTA OS PROCESSOS DA
NORMA ISO 27014:
A) Avaliação, Direção, Monitoração, Comunicação e Garantia.
B) Avaliação, Controle, Monitoração, Comunicação e Garantia.
C) Gestão, Controle, Monitoração, Comunicação e Avaliação.
D) Gestão, Controle, Comunicação, Garantia e Direção.
GABARITO
1. Sobre os benefícios da implementação da norma ISO 27001 em uma organização,
assinale a alternativa que apresenta dois benefícios pela utilização da norma ISO 27001:
A alternativa "B " está correta.

São diversos os riscos que uma organização possui ao não implementar um sistema eficaz de
gerenciamento de segurança da informação. A implementação da ISO 27001 tem muito a
contribuir de forma positiva para que a empresa reduza seus riscos e use de forma eficiente seus
recursos em segurança de modo a reduzir custos desnecessários.
2. Assinale a alternativa que apresenta os processos da norma ISO 27014:
A alternativa "A " está correta.

A execução eficiente de todas as atividades presentes nos processos de avaliação, direção,
monitoração, comunicação e garantia é fundamental para que se implemente a norma ISO 27014
de forma eficaz dentro da organização. A norma ISO 27014 permitirá que a organização se torne
mais confiável e madura em termos da utilização da segurança da informação e, com isso, mais
competitiva e atraente para os clientes.
CONCLUSÃO
CONSIDERAÇÕES FINAIS
Estudamos os principais conceitos sobre a arquitetura de TI com a utilização de COBIT, ISO
38500 e TOGAF. Compreendemos a importância de uma governança de processo eficaz com o
uso do BABOK e do BPM CBOK. Também reconhecemos como a governança de projetos pode
ser eficaz com a aplicação de boas práticas de gerenciamento de projetos através do uso do
PMBOK, PRINCE2 e do SCRUM.
Além disso, entendemos como uma organização pode ser eficaz no seu sistema de gestão de
segurança da informação através da utilização de normas internacionalmente reconhecidas como
as normas ISO 27001, ISO 27002 e ISO 27014.
AVALIAÇÃO DO TEMA:
REFERÊNCIAS
ABPMP-BR. BPM CBOK 4.0: Guide to the Business Process Management Body of Knowledge.
Consultado em meio eletrônico em: 28 ago. 2020.
ISACA. COBIT 2019: Effective IT Governance at Your Fingertips. Consultado em meio eletrônico
em: 25 ago. 2020.
ISO/IEC 38500. ISO/IEC 38500: 2015: Information technology – Governance of IT for the
organization. Consultado em meio eletrônico em: 26 ago. 2020.
OPEN GROUP. TOGAF 9.2: The Open Group Architecture Framework. Consultado em meio
eletrônico em: 27 ago. 2020.
PMI. PMBOK: Guide and Standards. Consultado em meio eletrônico em: 27 ago 2020.
EXPLORE+
Para saber mais sobre os assuntos tratados neste tema, pesquise na internet e assista aos
vídeos:
PRINCE2 a metodologia mais usada no mundo – Ernani Marques.
PMBOK Guide 6 Edição explicado com Ricardo Vargas – Ricardo Vargas.
Webinar – Scrum, PMBOK e Kanban, um modelo híbrido de perfeita sinergia – Projetos
e TI.
Arquitetura Corporativa usando TOGAF na prática – eVOLVE.
Conheça a ISO 27001 – Alerta Security Solutions.
Além disso, sugerimos as seguintes leituras:
ASSI, M. Governança, riscos e compliance: mudando a conduta nos negócios. 1 ed. São Paulo:
Saint Paul, 2017.
BERNARDO, K. Scrum: o guia completo e definitivo! Cultura Ágil, jun. 2019.
BROKE, J. V.; ROSEMANN, M. Manual de BPM: gestão de processos de negócio. 1 ed. Porto
Alegre: Bookman, 2013.
PMI. Um Guia de conhecimento em Gerenciamento de Projetos (Guia PMBOK). 6 ed. São
Paulo: PMI, 2018.
CONTEUDISTA
Marcelo Vasconcellos Gomes
 CURRÍCULO LATTES
javascript:void(0);