Este documento discute a visão conceitual da governança de tecnologia da informação e suas conexões com o gerenciamento de projetos de software. A governança de TI é definida como uma estrutura de padrões e melhores práticas para gerenciar os serviços e infraestrutura de TI de uma organização. Vários frameworks internacionais são apresentados para apoiar a governança de TI. A governança de TI é importante para alinhar as estratégias e investimentos de TI aos objetivos de negócio e gerenciar riscos, promovendo a efic
1. PÓS-GRADUAÇÃO EM GERENCIAMENTO DE PROJETOS - UFRJ
SEGRAC – NÚCLEO DE PESQUISA EM CIÊNCIAS DA ENGENHARIA
Visão Conceitual da Governança de Tecnologia da Informação e
Conexões com Gerenciamento de Projetos de Software
Halan Ridolphi (Algoritma Software) halan@ufrj.br
Engenheiro de Software, Pós-Graduação em Gerenciamento de Projetos (SEGRAC/POLI/UFRJ)
Orientador Lysio Séllos (SEGRAC/POLI/UFRJ) lysio@poli.ufrj.br
Engenheiro Civil, D.Sc.
Resumo
Atualmente, é impossível imaginar uma corporação sem uma forte divisão de Sistemas
de Informação, para manipular os dados operacionais e prover informações gerenciais aos
executivos para tomadas de decisões. A criação e manutenção de uma infra-estrutura de
Tecnologia da Informação (TI), incluindo profissionais especializados requerem altos
investimentos. Algumas vezes a alta direção da empresa coloca restrições aos investimentos
de TI por duvidarem dos reais benefícios da tecnologia. Entretanto, a ausência de
investimentos em TI pode ser o fator chave para o fracasso de um empreendimento em
mercados cada vez mais competitivos. A tecnologia da informação é hoje um dos principais
direcionadores no mercado altamente competitivo, onde a rapidez nas respostas, a segurança
da informação e a redução na tolerância a falhas fazem com que as operações de TI se
tornem parte indissociável do negócio. O objetivo deste artigo é discorrer sobre o papel da
Governança de Tecnologia da Informação para alavancagem da competitividade das
organizações, demonstrando seus padrões, ferramentas, metodologias e frameworks para
promoção da eficácia e eficiência nos processos corporativos, com repercussões na
estratégia das organizações, na mensuração do desempenho organizacional, na cultura
organizacional e nas iniciativas de gerenciamento de projetos.
Palavras chave: Governança, Projetos, Tecnologia da Informação, Metodologias.
1. Introdução
Na última década, a Tecnologia da Informação (TI) tem deixado de ser uma área de suporte,
tornando-se cada vez mais necessária na estratégia de negócios das corporações. Aumenta-se
então a exigência de resultados com relação a essa área.
Comumente, alguns gestores de TI não possuem habilidade para demonstrar os riscos
associados ao negócio sem os corretos investimentos em TI. Para melhorar o processo de
análise de riscos e tomada de decisão é necessário um processo estruturado para gerenciar e
controlar as iniciativas de TI nas empresas, para garantir o retorno de investimentos e adição
de melhorias nos processos empresariais. Esse novo paradigma é conhecido como
Governança de TI ou "IT Governance".
Governança de TI é uma estrutura de relacionamentos e processos para orientar e controlar a
organização no alcance de seus objetivos de negócio, agregando valores, ao mesmo tempo em
que equilibra riscos em relação ao retorno da TI e seus processos e projetos. Dizem respeito a
métodos para tornar mais transparentes, organizadas e legítimas as práticas de direção e
SEGRAC – Núcleo de Pesquisa em Ciências da Engenharia 1
Escola Politécnica da Universidade Federal do Rio de Janeiro -CT– Bloco A – 2º andar - Cidade Universitária – Rio de Janeiro – RJ
http://www.segrac.poli.ufrj.br – segrac@poli.ufrj.br
2. PÓS-GRADUAÇÃO EM GERENCIAMENTO DE PROJETOS - UFRJ
SEGRAC – NÚCLEO DE PESQUISA EM CIÊNCIAS DA ENGENHARIA
monitoramento do desempenho das empresas.
De acordo com a definição da ITIL – IT Infrastructure Library, Governança de TI é uma
“estrutura de padrões e melhores práticas para gerenciar os serviços e infra-estrutura de TI”.
Corporações pelo mundo afora em busca de definições das metodologias, frameworks ou
arquiteturas visando a mais correta organização e otimização de suas divisões de TI, têm
optado por alguns dos mais variados padrões mundialmente reconhecidos atualmente, tais
como:
− CobiT (Control Objectives for Information and Related Technology)
− ITIL (IT Infrastructure Library)
− MOF – MSF – MSM (Microsoft Frameworks)
− NBR ISO/IEC 17799 (BS 7799)
− NBR ISO/IEC 15504 (SPICE)
− NBR ISSO/IEC 12207 (Processos de ciclo de vida de software)
− CMMI (Capability Maturity Model Integration)
− RUP (Rational Unified Process)
− PMBOK (A Guide to Project Management Body of Knowledge)
− BSC (Balanced Scorecard)
− Six Sigma
Resumidamente, Governança de TI compreende os processos e controles que agregam valores
aos negócios. Inúmeras organizações entendem o valor da informação e da tecnologia,
tratando-as como ativos importantes, como são os recursos humanos e financeiros.
2. Motivação
Gerentes de Tecnologia da Informação se esforçam continuamente por alcançar melhores
resultados, entretanto, na maioria das vezes não conseguem atender às necessidades de
informações estratégicas aos negócios da empresa e nem mesmo sabem os riscos aos quais as
organizações estão expostas, devido ao mau uso da tecnologia. Esse contexto derivou os
conceitos Governança de TI e a análise de risco, englobando aspectos técnicos e gerenciais
imprescindíveis para sobrevivência das corporações e executivos.
Nas últimas décadas, empresas dos mais diversos setores têm investido bastante em TI. Nos
Estados Unidos e Europa, anualmente, as empresas investem, em média, cerca de 4% de sua
receita em TI, segundo pesquisa realizada pelo Gartner Group. No Brasil, em 2003, a média
de investimento foi de 4,9% do faturamento líquido, contra 1,3% registrado em 1988,
segundo pesquisa efetuada FGV-EASP. E tudo indica que esses investimentos continuarão
crescendo. Contudo, poucas empresas conseguem determinar o ROA (return on assets) ou
ROI (return on investment) decorrentes de investimentos em TI e, com isto, avaliar de
maneira consistente os benefícios obtidos pela área de negócios.
A Governança de TI endereça suas estratégias e padrões técnicos e gerenciais para as
seguintes audiências:
− Gerentes que necessitam avaliar o risco e controlar os investimentos de TI em uma
organização;
SEGRAC – Núcleo de Pesquisa em Ciências da Engenharia 2
Escola Politécnica da Universidade Federal do Rio de Janeiro -CT– Bloco A – 2º andar - Cidade Universitária – Rio de Janeiro – RJ
http://www.segrac.poli.ufrj.br – segrac@poli.ufrj.br
3. PÓS-GRADUAÇÃO EM GERENCIAMENTO DE PROJETOS - UFRJ
SEGRAC – NÚCLEO DE PESQUISA EM CIÊNCIAS DA ENGENHARIA
− Usuários que precisam ter garantias que os serviços de TI, dos quais dependem os seus
produtos e serviços entregues para os clientes internos e externos, estão sendo bem
gerenciados;
− Auditores que podem se apoiar nas recomendações de frameworks para avaliar o nível da
gestão de TI e aconselhar o controle interno da organização.
A percepção das corporações acerca da área de Tecnologia da Informação é expressa pelas
seguintes visões:
− Provisão de serviços inadequada;
− Falta de comunicação e entendimento com os usuários;
− Gastos excessivos com infra-estrutura (sentimento de se tratar de uma parcela significativa
nos gastos totais do negócio);
− Justificativas insuficientes ou pouco fundamentadas para os custos da provisão dos
serviços (dificuldade na comprovação dos seus benefícios para o negócio);
− Falta de sintonia entre mudanças na infra-estrutura e os objetivos de negócio;
− Entrega de projetos com atrasos e acima do orçamento.
Os desafios imediatos da Governança de TI compreendem:
− Incrementar a efetividade dos serviços de TI;
− Estender o ciclo de vida da tecnologia da informação;
− Remover gargalos;
− Racionalizar a complexidade;
− Assegurar a aderência à evolução dos negócios.
Os motivos para aplicação da Governança de TI contemplam:
− Estruturar processos visando garantir que a TI suporte e maximize os objetivos e
estratégias da organização;
− Permitir controle (medição, auditoria) da execução e da qualidade dos serviços de TI;
− Viabilizar o acompanhamento de contratos internos e externos;
− Definir condições para o exercício eficaz da gestão com base em conceitos consolidados de
qualidade;
− Definir objetivos para a TI:
• Alinhar estratégias da corporação com as estratégias de TI;
• Definir expectativas e medidas de desempenho;
• Viabilizar recursos;
• Definir prioridades;
− Direcionar as atividades de TI;
− Monitorar desempenho da TI;
− Gerenciar o risco da TI;
− Representar e legitimar a função TI.
SEGRAC – Núcleo de Pesquisa em Ciências da Engenharia 3
Escola Politécnica da Universidade Federal do Rio de Janeiro -CT– Bloco A – 2º andar - Cidade Universitária – Rio de Janeiro – RJ
http://www.segrac.poli.ufrj.br – segrac@poli.ufrj.br
4. PÓS-GRADUAÇÃO EM GERENCIAMENTO DE PROJETOS - UFRJ
SEGRAC – NÚCLEO DE PESQUISA EM CIÊNCIAS DA ENGENHARIA
Figura 1 – Abragência da Governança de TI
Fonte: Prof. Henrique J. Brodbeck, Instituto de Informática – UFRGS, 2005
O Banco Mundial realizou pesquisas entre investidores com carteira superior a US$ 1,65
bilhão para detectar o nível de importância da governança corporativa – conjunto de práticas
de operação, gestão e relacionamento, cuja finalidade é aperfeiçoar o desempenho das
empresas protegendo os investidores, acionistas, conselho de administração, diretoria,
conselho fiscal, funcionários e credores, facilitando o acesso ao capital. Segundo o estudo da
instituição financeira, os investidores pagariam de 18% a 25% a mais por ações de empresas
com planos avançados de governança, capazes de assegurar boas práticas de administração e
transparência. O que isso significa? Os investidores não querem mais correr riscos. Não é
diferente a postura dos gestores das corporações em relação aos diretores de tecnologia da
informação, independente do grau de governança corporativa que a empresa adotou. O
desafio do CIO (chief information officer) é, portanto, manter o parque instalado em
operação, governar a área de TI para agregar valor e atender a evolução dos negócios, com
um orçamento restrito, buscando novas soluções e, ainda, proporcionar retorno sobre o
investimento. Como? Através da Governança de TI (GTI), que consiste nas melhores práticas,
internacionalmente consagradas, que melhor estruturam processos operacionais e de gestão de
TI, bem como de relacionamento da área com toda a organização.
Enquanto a governança corporativa abrange toda a organização, a GTI suporta o gestor de
tecnologia com o objetivo de alinhar os processos de TI aos negócios da corporação. Portanto,
governança objetiva medir a gestão com base em metodologias que tornem os negócios
transparentes para o mercado. Além da credibilidade que a governança corporativa oferece ao
mercado, outro cenário que figura nas empresas atualmente é o fato delas deixarem de serem
SEGRAC – Núcleo de Pesquisa em Ciências da Engenharia 4
Escola Politécnica da Universidade Federal do Rio de Janeiro -CT– Bloco A – 2º andar - Cidade Universitária – Rio de Janeiro – RJ
http://www.segrac.poli.ufrj.br – segrac@poli.ufrj.br
5. PÓS-GRADUAÇÃO EM GERENCIAMENTO DE PROJETOS - UFRJ
SEGRAC – NÚCLEO DE PESQUISA EM CIÊNCIAS DA ENGENHARIA
organismos fechados em razão do advento da Internet, que trouxe o compartilhamento das
informações – maior patrimônio de uma corporação –, cuja área de TI é responsável pelo seu
fluxo, segurança e disponibilidade.
O cenário econômico, no qual as empresas deixaram de ter uma visão departamental,
desencadeou uma situação de extrema dependência de processos de operação e gestão
estruturados e automatizados para a eficácia das áreas de TI alinhada com os negócios. Seja
qual for o método adotado, a governança de TI se subordina às diretrizes da governança
corporativa, medindo e justificando a área de tecnologia como qualquer outra dentro da
organização. As bandeiras de governança em uma empresa são exercícios permanentes das
melhores práticas de operação, gestão e, principalmente, de estratégias, conhecimento,
disposição política, bom senso e visão de negócios.
3. Evolução Histórica
O conceito de Governança de TI surge no começo dos anos 90, por conta das necessidades de
controle, transparência e monitoração das organizações, entretanto, o crescimento exuberante
da economia mundial acabou mascarando a sua necessidade, e por conseqüência atrasando
por alguns anos a sua sedimentação nas empresas.
Com as crises do México, Ásia, Rússia, etc na segunda metade dos anos 90, os investidores
mudaram de comportamento passando a exigir dos CEOs, um maior acerto nas previsões
orçamentárias. Na ótica dos investidores, quando a empresa tinha um lucro menor do que a
previsão, o CEO foi incompetente na gestão da empresa, e quando ocorria o inverso, ele,
investidor, foi enganado, pois poderia ter investido muito mais naquela empresa. Esta nova
atitude alavancou as necessidades de governança corporativa, a partir de 1998.
No entanto, a lucratividade e crescimento da economia ainda eram grandes o suficiente, para
impedir que o tema governança alcançasse o nível de essencial nas organizações. O status de
desejável já era por si só um enorme avanço, mas não forte o suficiente para implantar
mudanças estruturais nas empresas.
Novos fatos deveriam ocorrer para que as organizações entendessem que o tema governança,
era questão de sobrevivência na continuidade dos negócios. Diante da necessidade de pelo
menos um fato relevante, o mercado apresentou uma seqüência de fatos que tiraram da gaveta
dos executivos os projetos de governança. Estes fatos foram fortes o suficiente para que o
assunto fosse classificado do nível de normas e regulamentações e em um segundo momento
fosse elevado para lei. Os dois primeiros fatos vieram praticamente juntos, que foi a explosão
da bolha da internet e o bug do milênio. O bug do milênio demandou investimentos de TI,
poucas vezes registrados na história, baseado em um discurso "terrorista". A prática mostrou
que a maioria dos investimentos era desnecessária, uma vez que empresas com orçamentos
muito menores administraram os riscos sem interrupção dos serviços.
O segredo destas empresas, é que elas conheciam o seu parque de ativos de tecnologia, e a
gestão dos riscos foi feita em função de conhecimento e impactos. Ao ser aprofundado, a
questão dos investimentos realizados, foi estimado que 70% dos valores gastos nos projetos
de Y2K, foram destinados apenas para identificar os ativos de TI e os seus relacionamentos.
Ou seja, foram gastos milhões de dólares, apenas para que os CIOs soubessem, o que tinham
em casa e estavam gerenciando. O mercado concluiu que se o CIO sequer sabia o que tinha
em casa, o nível de serviços, considerado pobre pelo mercado, era conseqüência de falhas
SEGRAC – Núcleo de Pesquisa em Ciências da Engenharia 5
Escola Politécnica da Universidade Federal do Rio de Janeiro -CT– Bloco A – 2º andar - Cidade Universitária – Rio de Janeiro – RJ
http://www.segrac.poli.ufrj.br – segrac@poli.ufrj.br
6. PÓS-GRADUAÇÃO EM GERENCIAMENTO DE PROJETOS - UFRJ
SEGRAC – NÚCLEO DE PESQUISA EM CIÊNCIAS DA ENGENHARIA
gerenciais. A desconfiança nos investimentos realizados em TI provocou um maior rigor nas
auditorias em TI, que haviam perdido o fôlego nos anos anteriores, por falta de informações.
No mercado, muito se tem falado do CoBIT (control objectives for information and related
technology) e do ITIL (information technology infrastruture library) como base para a
Governança de TI. O CoBIT é orientado ao controle de processos em quatro domínios:
planejamento e organização; aquisição e implementação; entrega e suporte; e, por último,
monitoração e avaliação; especificando ferramentas (métricas) para se implementar
Governança de TI.
O ITIL, por sua vez, é mais focado em especificar melhores práticas usadas na operação e
gestão da infra-estrutura de TI para provisão e suporte de serviços. Pode-se dizer que o CoBIT
e o ITIL são complementares e podem ser usados de maneira combinada, objetivando uma
Governança de TI mais eficiente. Outras metodologias existem e podem, também, ser
avaliadas e incorporadas como ferramentas de Governança de TI.
O Cobit, por ter métricas claras, acabou sendo a metodologia adotada pelos auditores, e a
governança de TI ganhou impulso para "salvar" a carreira dos CIOs. Os CIOs que antes do
bug, estavam em vôo livre na direção da alta administração, tiveram o seu plano de vôo
abortado, voltando ao guarda chuva do CFO, que detinha a auditoria, controles e métricas.
A auditoria além de medir, via Cobit, buscava também melhorar o desempenho da área de TI,
e neste momento apareceu a oportunidade para os CIOs de introduzirem a dupla ITIL x Cobit
para medir e melhorar.
O segundo fato marcante foi a bolha de internet, que mostrou orçamentos inflados,
superestimativas de faturamento e lucros pelas empresas da nova economia. Os investidores
reagiram aos prejuízos, com normas e regulamentações para reduzir os riscos dos
investimentos, empréstimos, etc., resultando na norma conhecida como: Basiléia II. Este novo
contorno de regulamentação visou melhorar a gestão dos riscos e o mecanismo encontrado
para tal, foi a governança corporativa. Mesmo com toda esta agitação, o mercado ainda assim
apresentou novas distorções de informações, como foram os casos Parmalat, MCI, etc. Estes
casos mostraram que apesar da força das normas e regulamentações, este ainda não era o
instrumental com força suficiente para combater a doença.
A lei Sabox, então foi aprovada, e passou a responsabilizar o CEO e CFO pelas informações
das empresas. A lei Sabox ou Sox, tem uma regulamentação tão poderosa que permite ao
estado prender os responsáveis em caso de informações incorretas. Neste momento, a
governança deixou a condição de desejável e foi elevada para o status de essencial aos
negócios da empresa.
SEGRAC – Núcleo de Pesquisa em Ciências da Engenharia 6
Escola Politécnica da Universidade Federal do Rio de Janeiro -CT– Bloco A – 2º andar - Cidade Universitária – Rio de Janeiro – RJ
http://www.segrac.poli.ufrj.br – segrac@poli.ufrj.br
7. PÓS-GRADUAÇÃO EM GERENCIAMENTO DE PROJETOS - UFRJ
SEGRAC – NÚCLEO DE PESQUISA EM CIÊNCIAS DA ENGENHARIA
Figura 2 – Gastos e Investimentos em TI por Empresas Nacionais
Fonte: FGV-SP
Os controles, monitoração e transparência estão agora disponíveis como ferramentas de
gestão das organizações. Como os negócios demandaram recursos de TI, e as informações
estavam na sua maioria no formato digital, a área passou a ter um papel vital na governança.
A auditoria, que trabalhava com as métricas do Cobit, comparava os resultados tanto no
âmbito interno como externo da empresa, mas isto ainda era pouco, e os CIOs passaram a
adotar o ITIL e as suas melhores práticas para melhorar os processos de TI, aumentando a
qualidade e reduzindo os custos. Ao combinar ITIL, Cobit, ISO, Six Sigma, etc., o CIO trouxe
para si a responsabilidade de criar os ciclos de melhoria de TI, baseando-se em metodologias
consagradas no mercado. Esta oportunidade, não apenas estabilizou a rota de "queda" da
carreira do CIO, como ainda ajudou no sentido de criar novas expectativas e permitir um
crescimento futuro na carreira deles.
Cenário atual da TI nos países
Avançados Recém Industrializados Em Desenvolvimento Subdesenvolvimentos
SEGRAC – Núcleo de Pesquisa em Ciências da Engenharia 7
Escola Politécnica da Universidade Federal do Rio de Janeiro -CT– Bloco A – 2º andar - Cidade Universitária – Rio de Janeiro – RJ
http://www.segrac.poli.ufrj.br – segrac@poli.ufrj.br
8. PÓS-GRADUAÇÃO EM GERENCIAMENTO DE PROJETOS - UFRJ
SEGRAC – NÚCLEO DE PESQUISA EM CIÊNCIAS DA ENGENHARIA
Arquitetura da Comunicação entre SI e Compreender Obsolescência de
informação usuários contribuição da TI Hardware e Software
Apoio da alta
Dados como recurso Recursos Humanos Proliferação de tecnologias
administração
Qualidade de dados de Disponibilidade de pessoal
Planejamento estratégico Planejamento estratégico
entrada qualificado de TI
Educar usuários Intervenção do Governo na
Recursos humanos Vantagem competitiva
executivos sobre TI Indústria
Aprendizagem Alinhamento de Estabelecer padrões
Usabilidade de sistemas
organizacional objetivos profissionais
Infra-estrutura Informatização de tarefas Treinamento de pessoal Melhorar produtividade da
tecnológica rotineiras de TI TI
Alinhamento da TI na Manutenção de Hardware
Infra-estrutura de TI
organização e Software
Tabela 1 – Cenário atual da TI no mundo
Fonte: FEA-USP
A combinação destas metodologias (ITIL x Cobit x Six Sigma, ISO, etc.) é forte o suficiente
para atender a gestão de riscos, demandada pelo mercado, e também para criar um novo ciclo
de crescimento de TI. As métricas claras e objetivas permitirão medir a real contribuição da
área em relação a sua contribuição nos lucros, redução dos custos, melhoria dos serviços e
principalmente transmitir aos investidores de que agora temos no "pé da empresa o sapato de
número correto".
O ITIL trata a gestão de riscos de diversas formas, por exemplo, como quando endereça
questões que vão além do SLA médio, como a redução da sua variabilidade, o resultado final
é um aumento na confiança nos serviços de TI. O aumento de confiança traduz-se em redução
de riscos, pois o grau de certeza de que uma determinada atividade, que tem TI como meio de
execução, seja realizada, tornou-se maior.
A estrada à frente aponta a expectativa de que o Sabox se torne uma regulamentação
universal, de uma forma ou de outra, e os principais mercados mundiais serão pautados nos
princípios de transparência, controle, monitoração e demonstração de resultados.
4. Agregando Valor ao Negócio
Os processos de negócio da “Era da Informação” geram volumes gigantescos de informações
que podem comprometer a produtividade e o relacionamento com os clientes, fornecedores e
funcionários.
O objetivo de toda empresa é a competitividade, produto de uma boa tomada de decisão. O
desafio do novo milênio, para as empresas que pretendem se manter na liderança, está
intimamente relacionado ao gerenciamento das informações. Esse gerenciamento só é
alcançado com estratégias bem-definidas de Governança de TI (GTI). O foco das empresas de
sucesso é um melhor gerenciamento de todas as informações.
As tecnologias de GTI são projetadas para auxiliar as corporações no gerenciamento
eficientemente do conteúdo empresarial, serviços e processos TI através da rede de
relacionamentos entre parceiros, funcionários, fornecedores, gerentes, auditores,
proporcionando um rápido retorno em infra-estrutura de informações, com suporte para:
− Maior produtividade e eficiência operacional;
SEGRAC – Núcleo de Pesquisa em Ciências da Engenharia 8
Escola Politécnica da Universidade Federal do Rio de Janeiro -CT– Bloco A – 2º andar - Cidade Universitária – Rio de Janeiro – RJ
http://www.segrac.poli.ufrj.br – segrac@poli.ufrj.br
9. PÓS-GRADUAÇÃO EM GERENCIAMENTO DE PROJETOS - UFRJ
SEGRAC – NÚCLEO DE PESQUISA EM CIÊNCIAS DA ENGENHARIA
− Proteção de seu patrimônio de informações críticas;
− Melhor serviço ao cliente;
− Novas oportunidades de negócio;
− Compartilhamento do conhecimento e cultura empresarial.
A GTI e seus processos objetivam agregar valor ao negócio através do balanceamento do
risco e returno do investimento em TI e, independem das plataformas de TI adotadas nas
corporações, focando suas estratégias e padrões técnicos e gerenciais nos seguintes aspectos:
− Definir condições para o eficaz exercício da gestão com base em conceitos de qualidade
consolidados;
− Controlar, medir, auditar a execução e qualidade dos serviços de TI;
− Estruturas e processos visando que a TI suporte os objetivos e estratégias da organização;
− Acompanhamento de contratos e orçamentos de projetos internos e externos;
− Política de Segurança;
− Organização da Segurança;
− Classificação e Controle de Ativos;
− Segurança de Pessoal;
− Segurança Física e Ambiental;
− Gerenciamento de Comunicações e Operações;
− Controle de Acesso;
− Desenvolvimento e Manutenção de Software;
− Planejamento de Continuidade de Negócios;
− Plano de Compliance (aderência).
A adoção de estratégias de GTI pelas corporações está relacionada à meta de gerar valor da TI
para os modelos de negócios corporativos e provar este valor de maneira adequada, através de
processos corretos. Neste sentido, faz-se necessário o detalhamento dos processos para
gerenciar, racionalizar a infra-estrutura de TI eficientemente e eficazmente de modo a garantir
os níveis de serviço acordados com clientes internos e externos. Como conseqüência, as
empresas esperam aperfeiçoar seus processos e custos, aumentar a eficiência de seus
funcionários e do seu relacionamento com fornecedores e parceiros, melhorar e personalizar
os serviços prestados aos seus clientes, enfim crescer, aumentar a sua presença no mercado e a
sua lucratividade a curto e médio prazos.
A Governança de TI engloba mecanismos implementados em diferentes níveis de uma
corporação. Permitem gerenciar, controlar e utilizar a infra-estrutura de TI de modo a agregar
valor para a empresa e permitir que decisões sobre novos investimentos sejam tomadas de
maneira consistente em alinhamento com a estratégia corporativa. Pressupõe a adoção de
métricas que permitem avaliar o impacto da TI no desempenho de negócios. As empresas
podem ter visões diferentes sobre a importância de TI: para algumas, o papel de TI é a
redução de custos; para outras, o seu papel é estratégico para o negócio. Independente disso, a
TI vai agregar maior valor ao negócio se houver uma política de governança associada.
Apesar de um estudo do Gartner apontar um crescimento no budget de TI nas Américas (10%
SEGRAC – Núcleo de Pesquisa em Ciências da Engenharia 9
Escola Politécnica da Universidade Federal do Rio de Janeiro -CT– Bloco A – 2º andar - Cidade Universitária – Rio de Janeiro – RJ
http://www.segrac.poli.ufrj.br – segrac@poli.ufrj.br
10. PÓS-GRADUAÇÃO EM GERENCIAMENTO DE PROJETOS - UFRJ
SEGRAC – NÚCLEO DE PESQUISA EM CIÊNCIAS DA ENGENHARIA
da receita líquida das empresas), a pressão por resultados ajustados ao business plan das
organizações chegou à mesa dos executivos de TI, cada vez mais preocupados em adotar as
melhores práticas de gestão apoiadas na GTI. A angústia em responder pelo ROI e usar
metodologias transparentes explica-se pelo fato das empresas quebrarem os muros
departamentais e buscarem a excelência nos processos de operação e gestão, onde novamente
o CIO precisa controlar os investimentos e otimizar custos.
De acordo com o Relatório Global da Situação da Governança de TI (IT Governance Global
Status Report), publicado recentemente pelo IT Governance Institute (ITGI), os 10 principais
problemas relacionados a TI enfrentados pelos CEOs e diretores de TI internacionais são:
− Visão inadequada sobre o desempenho de TI;
− Falhas operacionais de TI;
− Problemas de preenchimento de vagas em TI;
− Número de problemas e incidentes em TI;
− Alto custo de TI com baixo retorno sobre o investimento;
− Falta de conhecimento de sistemas críticos;
− Capacidade de gerenciamento de dados;
− Desconexão entre a estratégia de TI e a estratégia comercial;
− Dependências com operação automática de entidades além do controle direto;
− Número de erros apresentados pelos sistemas críticos.
Os diretores de TI vêm considerando a GTI como um dos seus principais segmentos de
investimento para alcançar os objetivos de gerenciamento abrangente das informações e de
provisão de serviços eficazes, efetivos de TI alinhados a estratégia de negócios da corporação.
5. Metodologias & Frameworks
Nas próximas seções, descrevemos sucintamente as metodologias, frameworks e padrões em
voga atualmente acerca da Governança de TI (GTI) e respectivas tecnologias.
Metodologia Foco
Gestão de processos, controle e auditoria de tecnologia da
CobiT informação. Forte em controles e métricas de TI, mas não detalha
fluxos de processos e é limitado em segurança.
Gerenciamento de recursos e serviços com maior foco em infra-
ITIL estrutura, mas limitado em segurança e desenvolvimento de
software.
Six Sigma Melhoria de processos.
Gerenciamento de processos operacionais de TI para soluções de
MOF – MSF – MSM
serviço de missão crítica baseado no ITIL.
ISO 9000 Garantia de qualidade.
Desenvolvimento de software. Forte em controles de segurança,
BS7799 / ISO 17799
mas não detalha fluxos de processos.
ISO / IEC 15504 Framework de avaliação de processos de software.
ISO / IEC 12207 Desenvolvimento de software.
CMM / CMMI Desenvolvimento de software.
PMBOK Gerenciamento de projetos.
BSC Medição de desempenho, utiliza ferramentas de BI para
SEGRAC – Núcleo de Pesquisa em Ciências da Engenharia 10
Escola Politécnica da Universidade Federal do Rio de Janeiro -CT– Bloco A – 2º andar - Cidade Universitária – Rio de Janeiro – RJ
http://www.segrac.poli.ufrj.br – segrac@poli.ufrj.br
11. PÓS-GRADUAÇÃO EM GERENCIAMENTO DE PROJETOS - UFRJ
SEGRAC – NÚCLEO DE PESQUISA EM CIÊNCIAS DA ENGENHARIA
implementação e monitoramento de indicadores de gestão do
negócio.
Tabela 2 – Abrangência Metodologias de GTI
Fonte: Adaptado de Prof. Henrique J. Brodbeck, Instituto de Informática – UFRGS, 2005
O diagrama da figura 3 ilustra um modelo de melhoria de processos de TI com suporte dos
frameworks e padrões de GTI:
Figura 3 – Modelo de Melhoria de Processos por GTI
Fonte: Prof. Henrique J. Brodbeck, Instituto de Informática – UFRGS, 2005
5.1. ITIL
O ITIL™ (Information Technology Infrastructure Library) é um modelo de referência para
gerenciamento de processos de TI. A metodologia foi criada pela secretaria de comércio
(Office of Government Commerce, OGC) do governo Inglês, para desenvolver as melhores
práticas para a gestão da área de TI nas empresas privadas e públicas. Atualmente se tornou a
norma BS-15000, sendo esta um anexo da ISO 9000/2000. O foco deste modelo é descrever
os processos necessários para gerenciar a infra-estrutura de TI eficientemente e eficazmente
de modo a garantir os níveis de serviço acordados com os clientes internos e externos.
Entre os processos que fazem parte do modelo de referência, podemos citar: planejamento de
serviços, gerenciamento de incidentes, problemas, mudanças, configuração, operações,
segurança, capacidade, disponibilidade, custos, entrada em produção e testes. As empresas
que o adotaram estão preocupadas em gerar valor do TI para os negócios da empresa e provar
SEGRAC – Núcleo de Pesquisa em Ciências da Engenharia 11
Escola Politécnica da Universidade Federal do Rio de Janeiro -CT– Bloco A – 2º andar - Cidade Universitária – Rio de Janeiro – RJ
http://www.segrac.poli.ufrj.br – segrac@poli.ufrj.br
12. PÓS-GRADUAÇÃO EM GERENCIAMENTO DE PROJETOS - UFRJ
SEGRAC – NÚCLEO DE PESQUISA EM CIÊNCIAS DA ENGENHARIA
este valor de maneira adequada, através de processos corretos.
O ITIL™ é composto por módulos. Os mais importantes são o "IT Service Support" e o "IT
Service Delivery". A seguir, descrevemos as características do ITIL™:
− Modelo de referência para processos de TI não proprietário;
− Adequado para todas as áreas de atividade;
− Independente de tecnologia e fornecedor;
− Um padrão de fato;
− Baseado nas melhores práticas;
− Um modelo de referência para a implementação de processos de TI;
− Padronização de terminologias;
− Interdependência de processos;
− Diretivas básicas para implementação;
− Diretivas básicas para funções e responsabilidades dentro de cada processo;
− Checklist testado e aprovado;
− O que fazer e o que não fazer.
O ITIL™ contempla disciplinas táticas (planejamento) e operacionais:
− Disciplinas Táticas
• Service Level Management
• IT Service Continuity Management
• Financial Management
• Capacity Management
• Availability Management
• Security Management
• Customer Relationship Management
• Supplier Management
− Disciplinas Operacionais
• Incident Management
• Problem Management
• Configuration Management
• Change Management
• Release Management
SEGRAC – Núcleo de Pesquisa em Ciências da Engenharia 12
Escola Politécnica da Universidade Federal do Rio de Janeiro -CT– Bloco A – 2º andar - Cidade Universitária – Rio de Janeiro – RJ
http://www.segrac.poli.ufrj.br – segrac@poli.ufrj.br
13. PÓS-GRADUAÇÃO EM GERENCIAMENTO DE PROJETOS - UFRJ
SEGRAC – NÚCLEO DE PESQUISA EM CIÊNCIAS DA ENGENHARIA
Figura 4 – Arquitetura ITIL™
Fonte: Central Computer and Telecommunications Agency, 2000
Resultados que podem ser alcançadas com implantação do ITIL™:
− Fortalecimento dos Controles e da Gestão dos ambientes de TI;
− Orientação a processos com significativa redução nos tempos de execução e distribuição de
serviços;
− Diminuição gradativa da indisponibilidade dos recursos e sistemas de tecnologia a
informação, causados por falhas no planejamento das mudanças e implantações em TI;
− Elevação dos níveis de satisfação dos usuários internos e clientes com relação à
disponibilidade e qualidade dos serviços de TI;
− Redução dos custos operacionais de TI;
− Reconhecimento da capacidade de gerenciamento pelos acionistas, colaboradores e
clientes;
− Aderência às instruções normativas das entidades reguladoras e certificadoras.
5.2. CobiT
O CobiT (Control Objectives for Information and related Technology) é uma ferramenta
eficiente para auxiliar o gerenciamento e controle das iniciativas de TI nas empresas. O CobiT
é um guia para a gestão de TI recomendado pelo ISACF (Information Systems Audit and
Control Foundation, www.isaca.org). O CobiT inclui recursos tais como um sumário
executivo, um framework, controle de objetivos, mapas de auditoria, um conjunto de
ferramentas de implementação e um guia com técnicas de gerenciamento.
SEGRAC – Núcleo de Pesquisa em Ciências da Engenharia 13
Escola Politécnica da Universidade Federal do Rio de Janeiro -CT– Bloco A – 2º andar - Cidade Universitária – Rio de Janeiro – RJ
http://www.segrac.poli.ufrj.br – segrac@poli.ufrj.br
14. PÓS-GRADUAÇÃO EM GERENCIAMENTO DE PROJETOS - UFRJ
SEGRAC – NÚCLEO DE PESQUISA EM CIÊNCIAS DA ENGENHARIA
As práticas de gestão do CobiT são recomendadas pelos peritos em gestão de TI que ajudam a
otimizar os investimentos de TI e fornecem métricas para avaliação dos resultados. O CobiT
independe das plataformas de TI adotadas nas empresas. O CobiT é orientado ao negócio.
Fornece informações detalhadas para gerenciar processos baseados em objetivos de negócios.
O foco central é o gerenciamento da informação com os recursos de TI para garantir o
negócio da organização.
Figura 5 – Domínios do CobiT
Fonte: Prof. D.Sc. Nicolau Reinhard, FEA – USP, 2003
O CobiT contempla quatro domínios incluindo processos técnicos e gerenciais para garantir
uma completa gestão da infra-estrutura de TI:
− Planejamento e Organização
• Define o plano estratégico de TI;
• Define a arquitetura da informação;
• Determina a direção tecnológica;
• Define a organização de TI e seus relacionamentos;
SEGRAC – Núcleo de Pesquisa em Ciências da Engenharia 14
Escola Politécnica da Universidade Federal do Rio de Janeiro -CT– Bloco A – 2º andar - Cidade Universitária – Rio de Janeiro – RJ
http://www.segrac.poli.ufrj.br – segrac@poli.ufrj.br
15. PÓS-GRADUAÇÃO EM GERENCIAMENTO DE PROJETOS - UFRJ
SEGRAC – NÚCLEO DE PESQUISA EM CIÊNCIAS DA ENGENHARIA
• Gerencia os investimentos em TI;
• Gerencia a comunicação das direções de TI;
• Gerencia os recursos humanos;
• Assegura o alinhamento de TI com os requerimentos externos;
• Avalia os riscos;
• Gerencia os projetos;
• Gerencia a qualidade;
− Aquisição e Implementação
• Identifica as soluções de automação;
• Adquire e mantém os softwares;
• Adquire e mantém a infra-estrutura tecnológica;
• Desenvolve e mantém os procedimentos;
• Instala e certifica softwares;
• Gerencia as mudanças;
− Entrega e Suporte
• Define e mantém os acordos de níveis de serviços (SLA);
• Gerencia os serviços de terceiros;
• Gerencia o desempenho e capacidade do ambiente;
• Assegura a continuidade dos serviços;
• Assegura a segurança dos serviços;
• Identifica e aloca custos;
• Treina os usuários;
• Assiste e aconselha os usuários;
• Gerencia a configuração;
• Gerencia os problemas e incidentes;
• Gerencia os dados;
• Gerencia a infra-estrutura;
• Gerencia as operações;
− Monitoração
• Monitora os processos;
• Analisa a adequação dos controles internos;
• Prove auditorias independentes;
• Prove segurança independente.
As recomendações de gerenciamento do CobiT com orientação no modelo de maturidade em
governança auxiliam os gerentes de TI no cumprimento de seus objetivos alinhados com os
objetivos da organização. As diretrizes de gerenciamento do CobiT focam na gerência por
desempenho usando os princípios do balanced scorecard. Seus indicadores chaves
SEGRAC – Núcleo de Pesquisa em Ciências da Engenharia 15
Escola Politécnica da Universidade Federal do Rio de Janeiro -CT– Bloco A – 2º andar - Cidade Universitária – Rio de Janeiro – RJ
http://www.segrac.poli.ufrj.br – segrac@poli.ufrj.br
16. PÓS-GRADUAÇÃO EM GERENCIAMENTO DE PROJETOS - UFRJ
SEGRAC – NÚCLEO DE PESQUISA EM CIÊNCIAS DA ENGENHARIA
identificam e medem os resultados dos processos, avaliando seu desempenho e alinhamento
com o modelo de negócio da organização.
5.3. BSC
O conceito do Balanced Scorecard (BSC) possibilita traduzir a estratégia em ação. O BSC é
um modelo de planejamento e gestão de empresas, baseado em indicadores (financeiros,
cliente, processos, aprendizado e crescimento) que impulsionam o desempenho,
proporcionando à organização uma visão do negócio atual e futura, de forma abrangente.A
criação do BSC tem início na visão e estratégias da organização, a partir das quais são
definidos os fatores críticos de sucesso. Os indicadores de desempenho permitem a definição
de metas e a medição dos resultados atingidos em áreas críticas da execução das estratégias.
Assim, o Balanced Scorecard é um sistema de gestão de desempenho, derivado da visão e
estratégia, refletindo os aspectos mais importantes do negócio.
Adotado pela maioria das empresas de porte mundial, o BSC, sigla que pode ser traduzida
para Indicadores Balanceados de Desempenho, foi desenvolvido em 1992 pelos professores
Robert Kaplan e David Norton, da Harvard Business School.
A escolha dos indicadores de uma organização não se restringe unicamente no foco
econômico-financeiro, as organizações também se utilizam de indicadores focados em ativos
intangíveis como: desempenho de mercado junto a clientes, desempenhos dos processos
internos e pessoas, inovação e tecnologia. A somatória destes fatores alavancará o
desempenho desejado pelas organizações, consequentemente criando valor futuro.
O BSC, integrando indicadores financeiros e não financeiros, garante também uma
perspectiva abrangente do desempenho das áreas críticas do negócio. Neste contexto, os
criadores do BSC, Kaplan & Norton, definiram quatro dimensões através das quais a
atividade de uma organização deve ser analisada:
− Dimensão Financeira
• Como estamos perante os nossos acionistas?
− Dimensão Cliente
• Como estamos perante os clientes ou mercado?
− Dimensão Processos
• Como está o nosso desempenho nos processos e recursos críticos?
− Dimensão Aprendizagem e Inovação
• Como deveremos sustentar a nossa capacidade de mudança e melhoria?
a. Processo
Como criar um Balanced Balanced Scorecard: É necessário em primeiro lugar identificar a
visão da organização. Qual o caminho pretendido para a organização? Ao identificar as
estratégias, são clarificadas as formas para atingir a visão. Defina, em seguida, os Fatores
Críticos de Sucesso e as dimensões para o Balanced Scorecard (BSC), o que significa que
deve perguntar o que deve fazer bem em cada uma das dimensões. Seguidamente efetue a
pergunta “como podemos avaliar se tudo está a ser executado conforme o pretendido?”.
Agora é necessário avaliar o seu Scorecard. Considere como pode medir se estamos a analisar
as componentes adequadas. Com base na análise dos indicadores poderá identificar e criar
SEGRAC – Núcleo de Pesquisa em Ciências da Engenharia 16
Escola Politécnica da Universidade Federal do Rio de Janeiro -CT– Bloco A – 2º andar - Cidade Universitária – Rio de Janeiro – RJ
http://www.segrac.poli.ufrj.br – segrac@poli.ufrj.br
17. PÓS-GRADUAÇÃO EM GERENCIAMENTO DE PROJETOS - UFRJ
SEGRAC – NÚCLEO DE PESQUISA EM CIÊNCIAS DA ENGENHARIA
planos de ação e iniciativas. Torna-se então necessário planear os mecanismos de reporting e
a operacionalização do Scorecard. Como podemos gerir o Scorecard? Que colaboradores
deverão receber relatórios e como deverão ser estes apresentados?
Figura 6 – Processo BSC
Fonte: QPR Software, 2006
b. Abrangência
A imagem apresenta um exemplo muito genérico de um Scorecard. Para onde vamos? A
visão: “Queremos dominar o Mercado.” Como? Através de um enfoque em eficiência de
custos e elevada qualidade, investindo em novas tecnologias. Em quais dimensões devemos
procurar a excelência? Seguidamente, são identificados os Fatores Críticos de Sucesso para
cada dimensão do Scorecard, que por sua vez são monitorizados através dos indicadores de
desempenho. A utilização de indicadores permite a definição de metas concretas alinhadas
com a estratégia da organização. Por forma a atingir as metas são definidas responsabilidades
e identificados planos de ação. Se construir um Scorecard é fácil, implementar um Scorecard
administrável e utilizado pela organização é um desafio.
SEGRAC – Núcleo de Pesquisa em Ciências da Engenharia 17
Escola Politécnica da Universidade Federal do Rio de Janeiro -CT– Bloco A – 2º andar - Cidade Universitária – Rio de Janeiro – RJ
http://www.segrac.poli.ufrj.br – segrac@poli.ufrj.br
18. PÓS-GRADUAÇÃO EM GERENCIAMENTO DE PROJETOS - UFRJ
SEGRAC – NÚCLEO DE PESQUISA EM CIÊNCIAS DA ENGENHARIA
Figura 7 – Abragência BSC
Fonte: QPR Software, 2006
c. Benefícios
Como benefícios decorrentes da implementação do BSC na corporação mencionamos:
− Traduz a estratégia em objetivos e ações concretas;
− Promove o alinhamento dos indicadores chave com os objetivos estratégicos a todos os
níveis organizacionais;
− Proporciona à gestão uma visão sistematizada do desempenho operacional;
− Constitui um processo de avaliação e atualização da estratégia;
− Facilita a comunicação dos objetivos estratégicos, focalizando os colaboradores na sua
consecução;
− Permite desenvolver uma cultura de aprendizagem e melhoria contínua;
− Suporta a atribuição de incentivos em função do desempenho individual e da contribuição
para os resultados do negócio.
O Balanced Scorecard reduz a quantidade de informação utilizada a um conjunto mínimo de
indicadores vitais e críticos.
5.4. Six Sigma
A metodologia Six Sigma prove técnicas e ferramentas para melhorar a capacidade e reduzir
defeitos em qualquer processo, produto ou serviço. A técnica foi desenvolvida pela Motorola,
em sua divisão de manufatura, onde milhões de peças são produzidos pelo mesmo processo
SEGRAC – Núcleo de Pesquisa em Ciências da Engenharia 18
Escola Politécnica da Universidade Federal do Rio de Janeiro -CT– Bloco A – 2º andar - Cidade Universitária – Rio de Janeiro – RJ
http://www.segrac.poli.ufrj.br – segrac@poli.ufrj.br
19. PÓS-GRADUAÇÃO EM GERENCIAMENTO DE PROJETOS - UFRJ
SEGRAC – NÚCLEO DE PESQUISA EM CIÊNCIAS DA ENGENHARIA
repetidamente. Eventualmente, Six Sigma abrange e é aplicado a outros processos que não
sejam de manufaturada. Hoje em dia pode-se aplicar Six Sigma para muitos outros campos do
conhecimento e de negócio, tais como, suporte ao consumidor, setor de serviços, gerência de
projetos, gerenciamento da cadeia de suprimentos, medicina, procedimentos de segurança e
call centers. Metodologia Six Sigma aperfeiçoa qualquer processo de negócio existente pela
revisão e afinação constante do processo. Para alcançar isto, Six Sigma utiliza uma
metodologia conhecida como DMAIC (Define opportunities, Measure performance, Analyze
opportunity, Improve performance, Control performance). Six Sigma incorpora os princípios
básicos e técnicas usadas em Negócios, Estatística e Engenharia. Esses três formam os
elementos centrais da metodologia Six Sigma. Six Sigma melhora o desempenho de processo,
diminui a variação e mantém qualidade consistente da saída do processo. Estas ligações para
redução de defeitos e aumento nos lucros, qualidade do produto e satisfação do cliente. Ela
permite somente 3.4 defeitos por milhão de oportunidades para cada produto ou transação de
serviço. Six Sigma confia pesadamente nas técnicas estatísticas para reduzir defeitos e medir a
qualidade.
Os três elementos chave de Six Sigma são:
− Satisfação do Consumidor;
− Definição de Processos e Definição de Métricas e Medidas de Processos;
− Construção da Equipe e Envolvimento dos Empregados.
Todo membro da equipe deve ter um papel bem definido e objetivos mensuráveis.
5.5. MOF – MSF - MSM
Frameworks criados pela Microsoft para gerenciamento interno e de parceiros, posteriormente
estendido a clientes. Detalham as melhores práticas que ensinam como acelerar o
planejamento, a implantação e a manutenção dos processos de TI operacionais. MOF –
Microsoft Operations Framework – compreende um manual para planejamento,
implementação, e manutenção de processos de TI para soluções de serviço de missão critica,
baseado no framework ITIL™. MSF – Microsoft Solutions Framework – compreende um
manual para gerência de projetos de tecnologia. MSM – Microsoft Solutions for Management
– compõem um manual de diretrizes técnicas para apoiar as organizações a alcançarem
excelência operacional por meio de uma melhor qualidade de serviço, confiabilidade,
disponibilidade e segurança, além de reduzir o custo total de propriedade. Os frameworks
consideram a adoção de soluções e serviços desenvolvidos com aplicação de produtos e
tecnologias da Microsoft Corporation.
SEGRAC – Núcleo de Pesquisa em Ciências da Engenharia 19
Escola Politécnica da Universidade Federal do Rio de Janeiro -CT– Bloco A – 2º andar - Cidade Universitária – Rio de Janeiro – RJ
http://www.segrac.poli.ufrj.br – segrac@poli.ufrj.br
20. PÓS-GRADUAÇÃO EM GERENCIAMENTO DE PROJETOS - UFRJ
SEGRAC – NÚCLEO DE PESQUISA EM CIÊNCIAS DA ENGENHARIA
Figura 8 – Microsoft Frameworks
Fonte: Microsoft Corporation, 2005
Benefícios possíveis de serem alcançados pela adoção de frameworks Microsoft:
− Implantação rápida de software e atualizações críticas em toda a empresa a partir de um
console centralizado;
− Altos níveis de disponibilidade e desempenho em toda a empresa;
− Ajuda a aperfeiçoar a confiabilidade, disponibilidade e desempenho de aplicativos críticos
para o negócio;
− Implementa as melhores práticas de gerenciamento, independentemente das plataformas ou
tecnologias usadas no seu ambiente;
− Aperfeiçoa a capacidade do departamento de TI de oferecer suporte aos requisitos de
disponibilidade e desempenho para aplicativos críticos para o negócio;
− Desenvolver manuais de operações personalizados, específicos para as necessidades da
organização;
− Avalia as necessidades de gerenciamento operacional da organização em um método
modular para identificar e resolver questões de gerenciamento por prioridade ou como um
todo.
5.6. BS7799
Norma NBR ISO/IEC 17799 define um conjunto de boas práticas de gestão da segurança.
Serve de base para regulamentação de políticas de segurança. Seus controles permitem a
auditoria de segurança da informação.
SEGRAC – Núcleo de Pesquisa em Ciências da Engenharia 20
Escola Politécnica da Universidade Federal do Rio de Janeiro -CT– Bloco A – 2º andar - Cidade Universitária – Rio de Janeiro – RJ
http://www.segrac.poli.ufrj.br – segrac@poli.ufrj.br
21. PÓS-GRADUAÇÃO EM GERENCIAMENTO DE PROJETOS - UFRJ
SEGRAC – NÚCLEO DE PESQUISA EM CIÊNCIAS DA ENGENHARIA
A norma BS7799 abrange os seguintes aspectos técnicos e gerenciais:
− Política de Segurança;
− Organização da Segurança;
− Classificação e Controle de Ativos;
− Segurança de Pessoal;
− Segurança Física e Ambiental;
− Gerenciamento de Comunicações e Operações;
− Controle de Acesso;
− Desenvolvimento e Manutenção de Software;
− Planejamento de Continuidade de Negócios;
− Planejamento de Aderência (compliance).
5.7. CMM/CMMI
Metodologia objetiva a avaliação e a melhoria da capacitação de uma organização no que diz
respeito ao processo de desenvolvimento de software. Publicado em 1992, foi devolvido pelo
Software Engineering Institute (SEI) para avaliação das empresas que produzem software.
Cada nível de maturidade (com exceção do nível 1) é composto de várias áreas chave de
processo (KPA).
Descrição de características dos níveis de maturidade classificados pelo modelo CMM:
Nível CMM Descrição
O processo é caracterizado como ad-hoc e algumas vezes caótico. Poucos processos são
Inicial
definidos e o êxito depende do esforço individual.
É estabelecido um processo gerencial basicamente para monitorar custos, cronograma e
Repetível funcionalidade. A disciplina necessária ao processo está estabelecida de forma a poder ser
repetida com sucesso em projetos com aplicações semelhantes.
O processo de software tanto para as atividades de gerência quanto de engenharia está
Definido documentado, normalizado e integrado em um processo padrão para a organização. Todos
os projetos da organização usam o processo.
São coletadas medidas detalhadas da qualidade do processo e do produto O processo e o
Gerenciado
produto são quantitativamente entendidos e controlados.
O processo sofre contínuas melhorias através do feedback quantitativo do processo e da
Otimizado
introdução de idéias e tecnologias inovadoras.
Tabela 3 – Níveis de Maturidade CMM
Fonte: Adaptado de Rocha, 2001
CMMI (CMM Integration) foi criado para resolver a existência de múltiplas versões do
CMM. Seu objetivo é combinar o SW-CMM (Capability Maturity Model for Software),
SECM (System Engineering Capability Model) e o IPD-CMM (Integrated Product
Development Capability Maturity Model). Abrange as seguintes áreas de conhecimento:
− Engenharia de Sistemas;
− Engenharia de Software;
− Desenvolvimento integrado de produtos e processos;
− Contratação de fornecedores.
SEGRAC – Núcleo de Pesquisa em Ciências da Engenharia 21
Escola Politécnica da Universidade Federal do Rio de Janeiro -CT– Bloco A – 2º andar - Cidade Universitária – Rio de Janeiro – RJ
http://www.segrac.poli.ufrj.br – segrac@poli.ufrj.br
22. PÓS-GRADUAÇÃO EM GERENCIAMENTO DE PROJETOS - UFRJ
SEGRAC – NÚCLEO DE PESQUISA EM CIÊNCIAS DA ENGENHARIA
Figura 9 – Níveis de Maturidade CMM
Fonte: Adaptado de Rocha, 2001
5.8. PMBOK
PMBOK denota o Universo de Conhecimento em Gerência de Projetos, ou seja, o somatório
da “aplicação de conhecimentos, habilidades, e técnicas para projetar atividades que visem
atingir ou exceder as necessidades e expectativas das partes envolvidas, com relação ao
projeto”. As diretrizes neste documento são mantidas pelo PMI (Project Management
Institute) como uma estrutura consistente para administração de programas de
desenvolvimento profissional incluindo:
− Certificação de Profissionais de Gerência de Projetos (PMP – Project Management
Professional);
− Credenciamento dos programas educacionais que concedem grau em Gerência de Projetos.
Abrange nove áreas de conhecimento, a saber:
− Gerência da Integração do Projeto;
− Gerência do Escopo do Projeto;
− Gerência do Tempo do Projeto;
− Gerência do Custo do Projeto;
SEGRAC – Núcleo de Pesquisa em Ciências da Engenharia 22
Escola Politécnica da Universidade Federal do Rio de Janeiro -CT– Bloco A – 2º andar - Cidade Universitária – Rio de Janeiro – RJ
http://www.segrac.poli.ufrj.br – segrac@poli.ufrj.br
23. PÓS-GRADUAÇÃO EM GERENCIAMENTO DE PROJETOS - UFRJ
SEGRAC – NÚCLEO DE PESQUISA EM CIÊNCIAS DA ENGENHARIA
− Gerência da Qualidade do Projeto;
− Gerência dos Recursos Humanos do Projeto;
− Gerência das Comunicações do Projeto;
− Gerência dos Riscos do Projeto;
− Gerência das Aquisições do Projeto.
Figura 10 – Áreas de Conhecimento e Processos da Gerência de Projetos
Fonte: PMBOK, 2000
6. Aplicações
Alguns domínios de aplicação para Governança de TI:
− TCO (Total Cost of Ownership):
• A meta em TI é reduzir o custo total de propriedade dos ativos;
− Terceirização:
• A terceirização é uma tendência da GTI;
SEGRAC – Núcleo de Pesquisa em Ciências da Engenharia 23
Escola Politécnica da Universidade Federal do Rio de Janeiro -CT– Bloco A – 2º andar - Cidade Universitária – Rio de Janeiro – RJ
http://www.segrac.poli.ufrj.br – segrac@poli.ufrj.br
24. PÓS-GRADUAÇÃO EM GERENCIAMENTO DE PROJETOS - UFRJ
SEGRAC – NÚCLEO DE PESQUISA EM CIÊNCIAS DA ENGENHARIA
• Terceirizar quando não pertence ao core business da organização.
− Consolidação de parques tecnológicos e equipamentos:
• Plataformas de hardware;
• Plataformas de telecomunicação;
• Plataformas de banco de dados;
− Plano Diretor de TI:
• Melhor aproveitamento da evolução tecnológica;
• Melhor avaliação dos investimentos;
• Melhor gerenciamento de infra-estrutura;
• Utilizar os conceitos e métricas de governança corporativa para manter a área de TI
em sintonia com os avanços da empresa e os avanços tecnológicos.
− Padronização de tecnologia e processos produtivos:
• Processos de software;
• Processos de gerência de configuração;
• Processos de gerencimento de projetos;
• Processos de resolução de problemas;
• Processos de garantia de qualidade;
• Ferramentas de desenvolvimento de software;
• Ferramentas de groupware, workflow e integração.
Algumas situações de aplicação para Governança de TI:
− Ausência de metodologia de desenvolvimento:
• Neste caso pode-se utilizar o CMM ou ISO / IEC 12207 ou SPICE para apoio na
implantação de uma metodologia;
− Ausência de metodologia e controle para identificação e gerenciamento de riscos em
projetos:
• Neste caso, o PMI pode ser muito útil;
− Não estão formalizados os processos de gerenciamento de rotinas de produção:
• O COBIT poderá auxiliar no desenvolvimento de controles e formalização de tais
rotinas;
− Não há processo para gerenciamento da capacidade dos recursos:
• O COBIT e o ITIL poderão auxiliar no desenvolvimento do processo, dos controles e
da formalização de tais atividades;
− O processo de gerenciamento de mudanças não produz os resultados esperados, sendo
necessário redesenhar:
• O COBIT e o ITIL poderão auxiliar no redesenho do processo.
7. Benefícios Econômicos
A seguir, enumeramos alguns benefícios tangíveis pelas corporações quanto à adoção e
SEGRAC – Núcleo de Pesquisa em Ciências da Engenharia 24
Escola Politécnica da Universidade Federal do Rio de Janeiro -CT– Bloco A – 2º andar - Cidade Universitária – Rio de Janeiro – RJ
http://www.segrac.poli.ufrj.br – segrac@poli.ufrj.br
25. PÓS-GRADUAÇÃO EM GERENCIAMENTO DE PROJETOS - UFRJ
SEGRAC – NÚCLEO DE PESQUISA EM CIÊNCIAS DA ENGENHARIA
implantação de tecnologias, ferramentas e métodos correlatos a Governança de TI (GTI).
7.1. Cliente e Usuário
Razões para investimentos em GTI do ponto de vista do cliente e do usuário:
− Redução do tempo de processamento e manuseio de papel;
− Aumento de satisfação do usuário;
− Incremento à produtividade;
− Melhoria da satisfação com o trabalho;
− Acesso imediato e multiusuário a qualquer informação;
− Melhoria da qualidade do trabalho;
− Alta velocidade e precisão na localização de documentos;
− Melhor atendimento ao cliente por proporcionar respostas mais precisas e instantâneas.
7.2. Gestão da Informação
Razões para investimentos em GTI do ponto de vista da gestão da informação:
− Melhor controle dos documentos;
− Redução do espaço físico de armazenagem;
− Facilidade de implementar temporalidade documental;
− Integração com outros sistemas e tecnologias;
− Facilidade adicional para implantar empresa virtual;
− Possibilidade da empresa virtual sem limites físicos;
− Minimização de perda e extravio de documentos.
7.3. Equipe de TI
Razões para adoção de GTI do ponto de vista da equipe de TI:
− Disponibilidade instantânea de documentos sem limites físicos;
− Gerenciamento e otimização do Workflow;
− Maior agilidade nas transações entre empresas;
− Alta velocidade e precisão na localização de documentos;
− Estabelecer e manter boa imagem e reputação com a administração;
− Assegurar que os projetos de TI previstos adicionam valor à empresa
− Vender produtos e serviços de TI apropriados para terceiros;
− Controlar custos de TI;
− Maior velocidade na implementação de mudanças nos processos.
7.4. Investimentos em Informação
Razões para adoção de GTI do ponto de vista da redução e proteção dos investimentos em
informação:
− Redução de custos com novos escritórios/depósitos/equipamentos;
SEGRAC – Núcleo de Pesquisa em Ciências da Engenharia 25
Escola Politécnica da Universidade Federal do Rio de Janeiro -CT– Bloco A – 2º andar - Cidade Universitária – Rio de Janeiro – RJ
http://www.segrac.poli.ufrj.br – segrac@poli.ufrj.br
26. PÓS-GRADUAÇÃO EM GERENCIAMENTO DE PROJETOS - UFRJ
SEGRAC – NÚCLEO DE PESQUISA EM CIÊNCIAS DA ENGENHARIA
− Proteção do patrimônio;
− Eliminação de retornos;
− Proteção contra processos;
− Eliminação de fraudes, principalmente em agências governamentais;
− Explicita a relação entre aumento nos custos de TI e aumento no valor da informação;
− Definição e implantação de política de segurança da informação;
− Proteção contra catástrofes que poderiam danificar seu acervo.
7.5. Alinhamento ao Modelo de Negócio
Razões para adoção de GTI do ponto de vista de alinhamento a estratégia de negócios da
corporação:
− Disponibilidade das informações necessárias para suportar as necessidades de negócios;
− Riscos de falta de integridade e confidencialidade das informações;
− Eficiência nos custos dos processos e operações;
− Ampliação da produtividade e efetividade dos serviços de TI;
− Confirmação de confiabilidade, efetividade e conformidade das informações;
− Controle de contratos e orçamentos de projetos internos e externos;
− Alinha a estratégia de TI com as do negócio;
− Mais capacidade e agilidade para novos modelos de negócios ou ajustes nos modelos
atuais;
− Mantém os riscos do negócio sob controle;
− Explicita a importância da TI na continuidade dos negócios;
− Mede e melhora continuamente a performance de TI.
8. Governança de TI no Brasil
Nesta seção, comentamos casos reais de aplicação da Governança de TI em corporações
brasileiras, incluindo relatos de experiências, metodologias, implementação, resultados
alcançados, estatísticas de satisfação e atingimento de metas.
8.1. CLARO
Atualmente está em processo de diagnóstico dos próprios riscos, controles e processos
internos. As equipes de TI, Gestão de Projetos, Produção, VAS, Ativos Virtuais e Change
Control conjuntamente estão realizando estudos de viabilidade para implementação do
framework CobiT. O plano de diagnóstico do cenário atual da política e infra-estrutura de TI
compreende a exploração das seguintes etapas:
− Relacionamento de TI com a Alta Administração;
− Papéis e Responsabilidades em TI;
− Mapeamento de todos os processos existentes;
− Análise critica destes processos;
− Identificação dos riscos inerentes em cada processo;
SEGRAC – Núcleo de Pesquisa em Ciências da Engenharia 26
Escola Politécnica da Universidade Federal do Rio de Janeiro -CT– Bloco A – 2º andar - Cidade Universitária – Rio de Janeiro – RJ
http://www.segrac.poli.ufrj.br – segrac@poli.ufrj.br
27. PÓS-GRADUAÇÃO EM GERENCIAMENTO DE PROJETOS - UFRJ
SEGRAC – NÚCLEO DE PESQUISA EM CIÊNCIAS DA ENGENHARIA
− Mapeamento dos controles existentes que mitigam os riscos inerentes identificados.
8.2. ABN Amro Bank
Iniciou ITIL em 2001 – datacenter e implantação de equipamentos do banco, incluindo
agências. Deve estar concluído em 2005.
Resultados e estatísticas de satisfação apurados:
− Centralização do help-desk;
− Aumento de chamados de 20.000 para 60.000, evidenciando ampliação do controle e não
dos chamados;
− Tempo de atendimento reduzido em 20%;
− Volume de reclamações reduzido em 80%;
− 94% dos atendimentos completados em menos de 20 segundos.
8.3. Vale do Rio Doce
O projeto de governança na Vale começou em 1998 logo após a privatização da companhia.
Diante de uma arquitetura heterogênea, sem políticas definidas e nenhum tipo de
padronização, foi decidido reorganizar tudo. A estratégia de TI foi segmentada, então, em três
pilares: produção (que compreende o controle dos custos, ativos e os níveis de serviço
prestados pelos fornecedores); projetos (que define a arquitetura de TI e cuida de cada
modificação que precisa ser feita); e inovação, responsável por definir os passos da empresa
rumo ao futuro. "Tínhamos gente focada em manutenção, suporte técnico e sistemas, mas não
pessoas que entendessem de mineração, ferrovias e logística, que é o core business da
empresa", comenta Adriana, diretora de TI da corporação. A saída foi trocar praticamente
metade do time. O passo seguinte foi realizar o levantamento de todos os recursos
tecnológicos da empresa, hoje catalogados e sob controle.
Outro ponto fundamental do projeto de TI da Vale foi o da redução de custos, que, em alguns
processos, chegou a cair pela metade. Hoje, o orçamento total de tecnologia da empresa é de
70 milhões de dólares, sendo aproximadamente 40 milhões destinados ao custeio da área e 30
milhões para investimentos. Os custos, no entanto, já foram muito maiores. "A governança
trouxe ganhos significativos, sobretudo nos custos por usuário, que caíram muito. Também
economizamos um bocado eliminando a redundância de alguns projetos e aumentando nosso
poder de negociação com os fornecedores, o que barateou a terceirização", afirma Adriana.
Diferentemente do que ocorre nos projetos de outsourcing, a Vale manteve a propriedade dos
ativos de informática e terceirizou somente a gestão. Além disso, uma equipe de TI com 20
profissionais foi mantida para cuidar de perto da administração dos fornecedores, um dos
pontos cruciais do projeto de governança. Todos foram treinados de acordo com as
especificações do Project Management Institute (PMI), o que garantiu mais transparência na
hora de gerir os projetos.
O projeto deu certo e despertou a atenção do MIT (Massachusetts Institute of Technology),
que possui um convênio de inovação tecnológica com a Vale e, durante uma visita ao Brasil,
convidou Adriana para ministrar aulas num curso de gestão de tecnologia. "Eles ficaram
impressionados com a abrangência do projeto. Foi um prêmio", afirma Adriana. "Temos
muito a avançar, mas chegamos a um ponto em que sabemos onde estamos bem, onde
SEGRAC – Núcleo de Pesquisa em Ciências da Engenharia 27
Escola Politécnica da Universidade Federal do Rio de Janeiro -CT– Bloco A – 2º andar - Cidade Universitária – Rio de Janeiro – RJ
http://www.segrac.poli.ufrj.br – segrac@poli.ufrj.br
28. PÓS-GRADUAÇÃO EM GERENCIAMENTO DE PROJETOS - UFRJ
SEGRAC – NÚCLEO DE PESQUISA EM CIÊNCIAS DA ENGENHARIA
precisamos melhorar. A TI que desenhamos na Vale é toda voltada ao negócio. Penso o tempo
todo em como priorizar projetos, em como gerar orçamentos alinhados à estratégia e em corte
de custos", diz Adriana.
INFRA-ESTRUTURA DE TI:
− Usuários: 14 mil
− Estações de trabalho: 12 mil
− Sistemas: 400
− Pacote de gestão: Oracle
− Administração de infra-estrutura: EDS
− Administração de sistemas: Accenture
− Administração da rede: Telemar
Ressalta-se que, os relatos do caso Vale foram obtidos na revista Info Corporate.
9. Conclusões
O fator que gera maior preocupação aos gestores de TI são os processos de negócio que nas
organizações estão cada vez mais exigindo respostas rápidas às demandas de mercado, ou
seja, manter a capacidade competitiva por meio de processos de negócios ágeis, inteligentes,
seguros e com o menor custo possível. Neste cenário os controles acabam sendo
"atropelados", os processos não são seguidos e as responsabilidades acabam se perdendo,
onde todo mundo é tão interdisciplinar que ninguém é responsável por "nada" e como
resultado, em nome da urgência do negócio, temos produtos finais mal acabados, clientes
insatisfeitos, impactos na imagem organizacional, e principalmente perda de receita. Portanto,
no cenário econômico atual, caracterizado pela alta competitividade, pela pressão por
resultados ajustados ao business plan, as organizações carecem da aplicação de estratégias
ajustadas de Governança de TI.
A Governança de TI se preocupa em entregar uma estrutura de relações e processos que dirige
e controla uma organização a fim de atingir seu objetivo de adicionar valor ao negócio através
do gerenciamento balanceado do risco com o retorno do investimento de TI. Para muitas
organizações, a informação e a tecnologia que suportam o negócio representa o seu mais
valioso recurso. Além disso, num ambiente de negócios altamente competitivo e dinâmico é
requerida uma excelente habilidade gerencial, onde TI deve suportar as tomadas de decisão de
forma rápida, constante e com custos cada vez mais baixos. Não existem dúvidas sobre o
benefício da tecnologia aplicada aos negócios. Entretanto, para serem bem sucedidas, as
organizações devem compreender e controlar os riscos associados ao uso das novas
tecnologias. Neste sentido, as metodologias de padronização propostas pela Governança de TI
visam à consolidação de processos produtivos eficazes e eficientes, contemplando o
gerenciamento de projetos, para possibilitar a geração de produtos e serviços finais de
qualidade elevada e confiáveis, capazes de superar as necessidades e demandas de modelos de
negócio em constante mutação.
10. Referências
Sordi, José Osvaldo Tecnologia da Informação Aplicada aos Negócios. 1ª Edição, São Paulo: Atlas, 2003. Cap.
8, p. 80 – 100.
SEGRAC – Núcleo de Pesquisa em Ciências da Engenharia 28
Escola Politécnica da Universidade Federal do Rio de Janeiro -CT– Bloco A – 2º andar - Cidade Universitária – Rio de Janeiro – RJ
http://www.segrac.poli.ufrj.br – segrac@poli.ufrj.br
29. PÓS-GRADUAÇÃO EM GERENCIAMENTO DE PROJETOS - UFRJ
SEGRAC – NÚCLEO DE PESQUISA EM CIÊNCIAS DA ENGENHARIA
Graelm, Alexandre Reis Sistemas de Informação – O alinhamento da estratégia de TI com a estratégia
corporativa. 2ª Edição, São Paulo: Atlas, 2003. Cap. 4, p. 100 – 160.
Rocha, Ana Regina Cavalcanti et al. Qualidade de Software: Teoria e Prática. São Paulo: Prentice Hall, 2001.
Cap. 1, p. 1 – 50.
COBIT - Um kit de ferramentas para a excelência na gestão de TI:
http://www.efagundes.com/Artigos/Arquivos_pdf/cobit.pdf – acessado em 05/07/2007.
A Organização Faz a Força – Governança em TI: http://www.sit.com.br/SeparataGTI129.htm – acessado em
05/07/2007.
Metodologias trazem maturidade à área de TI:
http://www.pentagrama.com.br/novo/noticias.php?cod=29&num_inicio=75 – acessado em 05/07/2007.
Segurança sob a perspectiva do ITIL: http://www.serpro.gov.br/noticiasSERPRO/20040519_04 – acessado em
05/07/2007.
O Papel do COBIT na governança de TI:
http://www.ead.gruposim.com.br/niltonandrade/index2.php?option=com_content&do_pdf=1&id=51 – acessado
em 05/07/2007.
Balanced Scorecard: http://www.qpr.com/Portuguese/BalancedScorecard.html – acessado em 05/07/2007.
Governança de TI: http://www.inst-informatica.pt/v20/cid/difusao/dossier_tematico/003/Governanca-TI.ppt –
acessado em 05/07/2007.
Métricas para Gestão de TI: http://www.usp.br/cci/geinfo/cobit.ppt – acessado em 05/07/2007.
PMBOK 2000: http://www.fgvam.br/portal/eventos/cicloexcelencia/PMBOK2000.pdf – acessado em
05/07/2007.
SEGRAC – Núcleo de Pesquisa em Ciências da Engenharia 29
Escola Politécnica da Universidade Federal do Rio de Janeiro -CT– Bloco A – 2º andar - Cidade Universitária – Rio de Janeiro – RJ
http://www.segrac.poli.ufrj.br – segrac@poli.ufrj.br