Investimentos e Infra-estruturas Investimentos e Infra-estruturas.
CENTRO FEDERAL DE EDUCAÇÃO TECNOLÓGICA CELSO SUCKOW DA...
Transcript of CENTRO FEDERAL DE EDUCAÇÃO TECNOLÓGICA CELSO SUCKOW DA...
CENTRO FEDERAL DE EDUCAÇÃO TECNOLÓGICA CELSO SUCKOW DA FONSECA – CEFET/RJ
DIRETORIA DE PESQUISA E PÓS-GRADUAÇÃO
COORDENADORIA DO PROGRAMA DE PÓS-GRADUAÇÃO EM TECNOLOGIA
DISSERTAÇÃO
FERRAMENTA PARA GERENCIAMENTO DA INFRA-ESTRUTURA DE TI ALINHADO COM A ESTRATÉGIA DE NEGÓCIO
Sérgio Varga
DISSERTAÇÃO SUBMETIDA AO CORPO DOCENTE DO PROGRAMA DE PÓS-GRADUAÇÃO EM TECNOLOGIA COMO PARTE DOS REQUISITOS
NECESSÁRIOS PARA A OBTENÇÃO DO GRAU DE MESTRE EM TECNOLOGIA.
Ilda Maria de Paiva Almeida Spritzer, D.Sc. Orientador
RIO DE JANEIRO, RJ – BRASIL JUNHO / 2007
Livros Grátis
http://www.livrosgratis.com.br
Milhares de livros grátis para download.
i
SUMÁRIO
INTRODUÇÃO ................................................................................................................1
I – FUNDAMENTOS DE SISTEMAS DE INFORMAÇÃO...............................................4
I.1- Dado, Informação e Conhecimento...........................................................................4
I.2- Sistemas de Informação e Tecnologia da Informação ..............................................7
I.2.1- Tipos de Sistemas de Informação ....................................................................9
I.3- Planejamento Estratégico de TI ..............................................................................11
I.4- Governança Corporativa e Governança de TI.........................................................15
I.5- Gerenciamento de Serviço de TI.............................................................................17
I.6- Gerenciamento de Negócio.....................................................................................17
II - MODELOS DE GOVERNANÇA DE TI ....................................................................19
II.1- Control Objectives for Information and related Technology....................................19
II.1.1- Estrutura e Componentes do COBIT.............................................................20
II.1.2- Características do COBIT..............................................................................22
II.1.2.1- Orientado para o negócio ........................................................................22
II.1.2.2- Orientado a Processo..............................................................................26
II.1.2.3- Baseado em Controles ............................................................................28
II.1.2.4- Dirigido por medidas................................................................................29
II.1.3- Detalhamento de um Processo do COBIT ....................................................31
II.1.3.1- Descrição do processo ............................................................................32
II.1.3.2- Definição macro de objetivo de controle..................................................32
II.1.3.3- Objetivos de Controle detalhados ...........................................................33
II.1.3.4- Entrada e Saída.......................................................................................33
II.1.3.5- Planilha RACI ..........................................................................................34
II.1.3.6- Metas e Métricas .....................................................................................34
II.1.3.7- Modelo de Maturidade.............................................................................35
ii
II.1.4- Documentação fornecida pelo COBIT ...........................................................36
II.2- Information Technology Infrastructure Library ........................................................37
II.2.1- Entrega de Serviço ........................................................................................40
II.2.2- Suporte a Serviços ........................................................................................41
II.2.3- Gerenciamento de Infra-estrutura de ICT......................................................43
II.2.4- Planejamento para Implementação de Gerenciamento de Serviço...............45
II.2.5- Gerenciamento de Aplicação ........................................................................46
II.2.6- A Perspectiva de Negócio .............................................................................47
II.2.7- Gerenciamento de Segurança.......................................................................47
II.3- eSourcing Capability Model for Service Providers..................................................49
II.3.1- Ciclo de vida de fornecimento .......................................................................50
II.3.2- Áreas de capacidade.....................................................................................51
II.3.3- Níveis de capacidade ....................................................................................53
II.4- Análise Comparativa dos Modelos .........................................................................54
III – FERRAMENTA PARA GERENCIAMENTO DA INFRA-ESTRUTURA DA TI VOLTADO PARA O NEGÓCIO ....................................................................................58
III.1- A Empresa.............................................................................................................58
III.2- O Problema ...........................................................................................................59
III.3- Arquitetura.............................................................................................................60
III.3.1- O Modelo de Dados......................................................................................61
III.3.2- O Fluxo de Funcionamento ..........................................................................62
III.3.3- A interface gráfica ........................................................................................63
III.4- O Cadastramento dos Componentes ....................................................................75
III.5- A Tecnologia utilizada ...........................................................................................79
III.6- Resultados ............................................................................................................80
CONCLUSÃO ...............................................................................................................84
REFERÊNCIAS BIBLIOGRÁFICAS .............................................................................87
iii
Ficha catalográfica elaborada pela Biblioteca Central do CEFET-RJ
V297 Varga, Sérgio Ferramenta para gerenciamento da infra-estrutura de TI alinhado com a estratégia de negócio.----2007.
xi , 89f. ,il. tabs. ;enc. Dissertação (Mestrado) Centro Federal de Educação Tecnológica
Celso Suckow da Fonseca , 2007. Bibliografia: f.87-89. 1.Tecnologia da informação 2.Sistemas de informação gerencial 3.
Sistemas de recuperação da informação-Administração I.Título.
CDD 658.4038
iv
À minha esposa e filhos
v
Agradecimentos - Aos colegas mestrandos pelo apoio e colaboração.
- À Professora Ilda Maria de Paiva Almeida Spritzer (D.Sc.) pelo empenho no trabalho de
orientação, dedicação e incentivo que muito contribuíram para a elaboração deste trabalho.
- Ao Professor Leydervan de Souza Xavier (D.Sc.) pelo apoio e incentivo.
- Aos funcionários Abraão e Bráulio Tito, pela dedicação e presteza.
- Aos amigos Leonardo Vidal e André Ricardo Cavalcante de Araújo pela grande ajuda
oferecida no decorrer do curso de mestrado.
vi
Resumo da dissertação submetida ao PPTEC/CEFET/RJ como parte dos requisitos necessários para a obtenção do grau de Mestre em Tecnologia (M.T.).
FERRAMENTA PARA GERENCIAMENTO DA INFRA-ESTRUTURA DE TI ALINHADO COM A ESTRATÉGIA DE NEGÓCIO
Sergio Varga Junho / 2007
Orientador: Ilda Maria de Paiva Almeida Spritzer, D. Sc. Programa: PPTEC
RESUMO
A globalização comercial e financeira intensificaram a concorrência, através do incremento tecnológico e aperfeiçoamento da comunicação, e levaram as organizações a enfrentarem novos desafios por mudanças profundas nas limitações de tempo e espaço. As informações tornaram-se importante fonte de produtividade e competitividade, à medida que as organizações estão interligadas em redes globais, alicerçadas no conhecimento. A adoção de práticas de governança de TI pode trazer vantagens competitivas através da abordagem sistêmica do uso da TI nos negócios. O cenário competitivo na economia globalizada, reflexo do crescente uso dos Sistemas de Informações, exige das organizações a adoção de modelos de Governança de TI que permitam estabelecer e controlar objetivos, alinhar as estratégias, viabilizar e gerenciar recursos, definir expectativas e medidas de desempenho, priorizar e direcionar as atividades e gerenciar riscos e processos. Os modelos existentes de Governança de TI, através do alinhamento entre as áreas de negócio e de TI, pretendem definir estrutura de relações, processos e controles para atingir os objetivos da organização. Os principais modelos de Governança de TI como o COBIT, ITIL e eSCM-SP apresentam o que deve ser implementado para um efetivo gerenciamento do ambiente de TI, mas carecem de apresentar como isso deve ser feito. O presente trabalho tem como objetivo apresentar uma ferramenta para gerenciamento da infra-estrutura de TI que promova o alinhamento de TI com os objetivos de negócio da organização através de uma nova forma de gestão da infra-estrutura de TI. Palavras-chave: Governança de TI, Gerenciamento de TI, Gerenciamento de Negócio, ITIL, COBIT, eSCM-SP, BSM.
vii
Abstract of dissertation submited to PPTEC/CEFET/RJ as partial fulfillment of the requirements for the degree of Master in Technology (M.T.).
BUSINESS SYSTEMS MANAGEMENT APPLICATION
Sergio Varga June / 2007
Supervisor: Ilda Maria de Paiva Almeida Spritzer, D. Sc. Program: PPTEC
ABSTRACT
The commercial and financial globalization has increased competition by technological and communication improvements and drove the organizations to face new challenges by deep changes in limitations of time and space. Information became an important source to increase productivity and competitiveness since organizations are connected by knowledge based global networks. The adoption of IT governance practices can bring competitive advantages through the use of the IT systemic approach in the businesses. The competitive scenario in a global economy through intensive use of Information Systems demand from organizations the adoption of IT Governance models to establish and to control objectives, to align strategies, to line up the strategies, to enable and to manage resources, to define expectations and measures of performance, to prioritize and to direct the activities and to manage risks and processes. The existing IT governance models through the alignment between business and IT intend to define structure of relations, processes and controls to reach the objectives of the organization. The main IT Governance models like COBIT, ITIL and eSCM-SP present what it must be implemented for an effective management of the IT environment, but lack to present how this must be made. The present work has as objective to present a tool for management of the IT infrastructure that promotes the IT alignment with the objectives of business of the organization through a new way to manage the IT infrastructure.
Keyword: ITIL, COBIT, IT Governance, IT Management, Business Service Management, eSCM-SP, BSM.
viii
LISTA DE FIGURAS
Pág.
Figura I.1 – Relacionamento entre dado, informação e conhecimento 6
Figura I.2 – Elementos de um sistema de informação 8
Figura I.3 – Relação entre processos de negócio, SI e TI 9
Figura I.4 – Tipos de sistemas de informação 10
Figura I.5 – Modelo de alinhamento estratégico 12
Figura I.6 – Perspectivas do alinhamento estratégico 14
Figura I.7 – Governança de TI e gerenciamento de TI 16
Figura II.1 – Áreas de Governança de TI do COBIT 20
Figura II.2 – Relacionamento entre os componentes do COBIT 21
Figura II.3 – Estrutura do COBIT 22
Figura II.4 – Definindo metas e arquitetura de TI 24
Figura II.5 – Os processos do COBIT 26
Figura II.6 – Modelo de Maturidade 30
Figura II.7 – Relacionamento entre processos, metas e métricas 31
Figura II.8 – Metas e métricas do processo DS13 34
Figura II.9 – O cubo do COBIT 37
Figura II.10 – O modelo ITIL 38
Figura II.11 – Relacionamento entre os processos do ITIL 40
Figura II.12 – Entrega de Serviço 41
Figura II.13 – Suporte a Serviços 42
Figura II.14 – Gerenciamento de ICT 43
Figura II.15 – Componentes do ICT 44
Figura II.16 – Gerenciamento de eventos 45
Figura II.17 – Planejamento para gerenciamento de serviço 46
Figura II.18 – Gerenciamento de segurança 48
Figura II.19 – Processo de gerenciamento de segurança de TI 49
Figura II.20 – Ciclo de vida de fornecimento – eSCM-SP 50
Figura II.21 – Áreas de capacidade – eSCM-SP 51
Figura II.22 – Níveis de capacidade – eSCM-SP 53
Figura II.23 – Mapeamento COBIT e eSCM-SP 57
Figura III.1 – Gerenciamento de Infra-estrutura de TI 59
Figura III.2 – Arquitetura da ferramenta 61
Figura III.3 – Fluxo da funcionamento 63
Figura III.4 – Tela inicial 64
ix
Figura III.5 – Tela principal 65
Figura III.6 – Tela de processos de negócio 66
Figura III.7 – Impacto de processo de negócio 67
Figura III.8 – Detalhe de evento 68
Figura III.9 – Tela de serviços 69
Figura III.10 – Detalhe de serviços 70
Figura III.11 – Impacto em serviços 71
Figura III.12 – Tela de região 72
Figura III.13 – Histórico de eventos 73
Figura III.14 – Detalhe de histórico 73
Figura III.15 – Tela de administração 74
Figura III.16 – Processo de cadastramento de componentes 75
Figura III.17 – Exemplo de processo de negócio 76
Figura III.18 – Hierarquia de processo de negócio 77
Figura III.19 – Hierarquia de serviços 78
Figura III.20 – Hierarquia de região 79
x
LISTA DE TABELAS
Pág.
Tabela II.1 – Objetivos de Negócio 24
Tabela II.2 – Objetivos de TI 25
Tabela II.3 – Entrada e saída do processo DS13 33
Tabela II.4 – Planilha RACI 34
Tabela II.5 – Mapeamento de processos COBIT – ITIL 56
xi
LISTA DE ABREVIATURAS E SÍMBOLOS
Abreviatura / Significado Unidade Símbolo BIM Business Impact Management - BSC Balanced Scorecard - BSM Business Service Management - COBIT Control Objectives for Information and related Technology -
ITIL Information Technology Infrastructure Library - TI Tecnologia de Informação - SI Sistema de Informação - TGS Teoria Geral dos Sistemas - SPT Sistema de Processamento de Transações - SIG Sistema de Informação Gerencial - SAD Sistema de Apoio à Decisão - SIE Sistema de Informação Executiva - WAN Wide Area Network - LAN Local Area Network - ITIM IT Infrastructure Management - ITSM IT Service Management - SLA Service Level Agreement - SLM Service Level Management - BPM Business Process Management - BAM Business Application Management - ITSMF IT Service Management Forum - ISACA Information Systems Audit and Control Association - ITsqc Information Technology Services Qualification Center - ISACF Information Systems Audit and Control Foundation - RACI Responsável Autorizador Consultado Informado - KGI Indicadores Chaves de Objetivos - KPI Indicadores Chaves de Performance - CEO Chief Executive Officer - CCTA Central Computer and Telecommunications Agency - ICT Information and Communication Technology - SLR Service Level Report - CMDB Banco de Dados de Gerenciamento de Configuração - CI Itens de Configuração - BRM Business Relationship Management - SRM Suplier Relationship Maangement - CMU Carnegie Mellon University - HP Hewlett Packet - IBM International Business Machines - EDS Electronic Data Systems - eSCM-SP eSourcing Capability Model for Service Providers - RISC Reduced Instruction Set Computer - CISC Complex Instruction Ser Computer -
1
INTRODUÇÃO
Com o advento da computação no inicio da década de 60 até os dias atuais nos
tornamos extremamente dependentes dos recursos computacionais. Nessa nova era que
nos encontramos - a era da informação - o ambiente de Tecnologia de Informação (TI)
tornou-se uma das áreas críticas das organizações. Segundo LASTRES e ALBAGI (1999)
as organizações devem adotar um modelo de gestão de alta performance para poder
competir no mercado global. Esse modelo prevê grandes mudanças na forma de
disponibilizar as informações com relação ao tratamento, ordenação e acessibilidade. A
informação é de crucial importância para o destino das organizações.
A maioria dos processos organizacionais e o armazenamento das informações
necessárias para a organização funcionar dependem da TI. Devido a enorme complexidade
desse ambiente torna-se cada vez mais difícil conhecer o ambiente de TI de uma forma
completa e, por conseqüência, a especialização torna-se necessária em cada área de TI.
Como resultado, cada novo projeto ou solução que a organização implanta traz novos
componentes, complexidade e tecnologia. Em muitos casos, por questões de custo ou
desconhecimento, esses projetos deixam de ser implementados com um efetivo
gerenciamento que permita ao administrador identificar onde está o problema, qual o
problema a nível de TI e, principalmente, o impacto desse problema na organização.
Vários são os modelos existentes que pretendem auxiliar na governança de TI.
Mesmo dentro de TI existem várias áreas que demandam uma gestão específica, como
desenvolvimento, produção, suporte a usuários. Uma dessas áreas é a infra-estrutura de TI
composta por equipamentos, rede, softwares e aplicativos. A gestão desses componentes
pode ser isolada, onde não existe integração ao nível de impacto com os outros
componentes, ou integrada, onde os componentes são gerenciados de uma forma que o
impacto em um componente pode estar relacionado a outro e vice-versa. Em geral a maioria
das organizações implementa uma gestão isolada por componentes e agrupada por grupos
2
ou gerencias. A gestão integrada, além disso, pode ser direcionada para o impacto técnico
ou impacto do negócio.
A gestão da infra-estrutura voltada para o impacto de negócio é um tema que já está
presente no meio organizacional embora não exista muito estudo a respeito na área
acadêmica. A escolha desse tema levou em conta a linha de pesquisa em que o CEFET se
concentra, especificamente na área de Gestão em Engenharia, com os objetivos de
compreender os impactos de novas tecnologias no contexto organizacional.
O objetivo geral desse trabalho é apresentar, através da análise dos modelos de
governança, uma ferramenta que propõe gerenciar o ambiente de infra-estrutura de TI com
o foco voltado para os objetivos estratégicos da organização. Outros objetivos desse
trabalho são o estudo dos modelos de governança de TI mais utilizados, a identificação de
pontos de melhoria para satisfação do cliente no gerenciamento da infra-estrutura de TI e de
maneiras de melhorar o alinhamento entre as áreas de TI e negócio da organização.
Segundo COOPER e SCHINDLER (2003) existem dois paradigmas ou filosofias de
pesquisa: o positivista que vê a realidade de uma forma mais concreta e o fenomenológico
que vê a realidade de uma maneira mais informal. A escolha do paradigma norteia a
metodologia a ser adotada. Entende-se por metodologia ao método geral do processo de
pesquisa, ou seja, como o processo de pesquisa é tratado, da base teórica até a coleta e
análise de dados. O método pode ser considerado como a maneira de coletar e analisar os
dados.
A metodologia da pesquisa adotada neste trabalho será focada em pesquisa
qualitativa do tipo pesquisa-ação. De acordo com COOPER e SCHINDLER (2003) esse
termo foi criado por LEWIN, em 1946, que considerou esse processo de pesquisa como um
ciclo de planejamento, ação, observação e reflexão. Em alguns casos está muito
relacionado com projetos de consultoria para a solução de problemas e exige uma grande
colaboração entre o pesquisador e a empresa cliente.
Pela característica do tema a pesquisa adotada será o método qualitativo, que é
mais indicado por ser mais subjetivo, pois envolve examinar os modelos existentes e refletir
3
para obter um entendimento e possibilitar a criação de solução para o fenômeno estudado.
A pesquisa pode ser classificada como aplicada, pois ela está voltada para o estudo de um
fenômeno bem identificado e tem por objetivo a aplicação do resultado a um problema
específico.
O problema a ser analisado neste trabalho está relacionado a falta ou pequeno
alinhamento que existe entre a área de TI e a área estratégica de negócios das
organizações. A dificuldade do alinhamento entre o gerenciamento da infra-estrutura de TI
com os objetivos estratégicos da organização muitas vezes são de difícil implementação
seja por falta de modelos, metodologias ou ferramentas.
O presente trabalho está dividido em quatro capítulos.
O capítulo I apresenta uma revisão bibliográfica dos conceitos relacionados a
Sistemas de Informação (SI), como dado, informação e conhecimento, Tecnologia de
Informação (TI), Governança Corporativa e de TI, Gerenciamento de TI e Gerenciamento de
Negócio. Descreve os tipos de SI existentes e a importância do planejamento estratégico de
TI e seu alinhamento com os objetivos estratégicos da organização.
No capítulo II faz-se uma apresentação e análise dos modelos de governança de TI
mais utilizados atualmente. Os modelos selecionados são o COBIT (Control Objectives for
Information and related Technology), ITIL (Information Technology Infrastructure Library) e
eSCM-SP (eSourcing Capability Model for Service Providers).
O capítulo III apresenta a ferramenta para implementar o gerenciamento da infra-
estrutura de TI alinhado com os objetivos estratégicos da organização. São apresentados os
problemas identificados, a descrição da arquitetura da ferramenta com o detalhamento do
modelo de dados, fluxo de funcionamento e apresentação gráfica. Também são
apresentados a descrição da empresa onde a ferramenta foi implementada, a tecnologia
utilizada e como é o processo de cadastramento e utilização da ferramenta. Ao final são
apresentados os resultados obtidos com a implantação da ferramenta na empresa.
No capítulo IV apresenta-se uma conclusão baseada nos resultados atingidos com
este trabalho e as contribuições para a academia e as organizações.
4
I – FUNDAMENTOS DE SISTEMAS DE INFORMAÇÃO
O mundo atual com os crescentes avanços tecnológicos nas mais diferentes áreas
de conhecimento tem levado as organizações a possuírem profissionais altamente
especializados e profissionais com visões generalistas, capacidade de trabalho em equipe e
conhecimentos multidisciplinares. Para gerenciar organizações com esse perfil é necessário
considerá-las como um sistema e adotar uma forma de resolução de problemas que
diferencia da abordagem clássica ou científica. Essa abordagem é comumente chamada de
pensamento sistêmico.
A década de 50 foi marcada pelo surgimento da Teoria Geral dos Sistemas (TGS) e,
conseqüentemente, do pensamento sistêmico. O pensamento sistêmico pode ser definido
como uma forma de tratar e resolver os problemas complexos de uma forma complexa, não
focando apenas as partes de um todo. Essa nova abordagem surgida com a TGS, com um
enfoque holístico, deu inicio aos estudos de SI e modelos organizacionais.
I.1- Dado, Informação e Conhecimento
A informação é um conceito que vem sendo usado com maior freqüência a partir da
década de 50 e tem sido incorporado à sociedade de uma maneira bem genérica com vários
significados e definições. Na área de Sistemas de Informação (SI) a informação é o conceito
central e o recurso mais importante e valioso dentro das organizações da sociedade atual. É
importante, porém, definir claramente o conceito de informação além de outros que estão
intimamente relacionados como dado e conhecimento.
A informação pode ter vários significados e está relacionado à noção de
comunicação, dado, conhecimento, padrão, percepção, representação, entre outros. Um
conceito que se torna difícil de ser estabelecido com precisão é a questão do que é dado e o
que é informação. Identificar o momento em que o dado passa a ser uma informação é tão
difícil como definir onde um sistema termina e outro se inicia. A seguir algumas definições
encontradas na literatura com respeito ao que é dado.
Dado é elemento da informação (um conjunto de letras ou dígitos) que, tomado
isoladamente, não transmite nenhum conhecimento, ou seja, não contém um significado
intrínseco (BIO apud FREITAS et al., 1997).
Os dados, como matéria-prima para a informação, se definem como grupos de
símbolos não aleatórios que representam quantidades, ações e objetos (DAVIS e OISON
apud FREITAS et al., 1997).
Dados são fatos, ou suas representações (imagens, sons, números) que podem ou
não serem úteis ou pertinentes para uma atividade particular (FREITAS et al., 1997).
5
Segundo STAIR e REYNOLDS (2005) dados são os fatos em sua forma primária,
como exemplo nome de um empregado e número de horas trabalhadas em uma semana,
números de peças em estoque, ou pedidos de venda. Quando estes fatos estão
organizados ou arranjados de uma maneira significativa eles se tornam uma informação.
Informação é o conjunto de fatos organizados de tal forma que adquirem valor adicional
além do valor do fato em si. Para ser valiosa para os gerentes e tomadores de decisões a
informação deve ser precisa, completa, econômica, flexível, confiável, relevante, simples,
disponível quando necessária e verificável.
Conforme ressalta OLIVEIRA (2005), informação é o dado trabalhado que permite ao
executivo tomar decisões e dado é qualquer elemento identificado em sua forma bruta que
por si só não conduz a uma compreensão de determinado fato ou situação.
A informação é um dado que foi processado de uma forma significativa para o
receptor e seu valor é real ou percebido no momento, ou em ações prospectivas nas
decisões (DAVIS e OLSON apud FREITAS et al., 1997).
O conhecimento pode ser descrito como um conjunto de modelos que descrevem
várias propriedades e comportamentos dentro de um domínio específico. O conhecimento,
assim, pode estar registrado no cérebro da pessoa ou armazenado nos processos
organizacionais, produtos, sistemas e documentos.
Segundo NONAKA e TAKEUCHI (1997) a definição de conhecimento antecede
desde o período grego e divide-se em duas correntes divergentes sendo uma racionalista,
onde afirma que é possível adquirir conhecimento por dedução, através do raciocínio; e
outra empirista, que afirma que é possível adquirir conhecimento por indução, a partir de
experiências sensoriais.
Para diferenciar conhecimento de informação NONAKA e TAKEUCHI (1997)
observam três pontos que consideram bases fundamentais para esta diferenciação: crenças
e compromissos, ação e significado. Primeiramente os autores exprimem que
conhecimento, ao contrário da informação, diz respeito a crenças e compromissos. Em
segundo lugar, que o conhecimento está relacionado à ação ao contrário da informação. E
por último, assim como a informação, o conhecimento diz respeito ao significado, é
específico ao contexto. Como argumentam NONAKA e TAKEUCHI (1997) “a informação é
um fluxo de mensagens, enquanto o conhecimento é criado por esse próprio fluxo de
informação, ancorado nas crenças e compromissos de seu detentor”.
Algumas destas alegações anteriores apesar de colocarem o conhecimento como
produto da informação apóiam-se unicamente no aspecto da crença, isto é, no crer que a
informação é verdadeira ou não.
Segundo LEVITT apud NONAKA e TAKEUCHI (1997) o conhecimento não pode ser
transmitido ou transferido, mas sim informações, as quais serão processadas e
6
interpretadas pelo agente receptor. O agente receptor estará ouvindo ou lendo frases que
são compostas de palavras e só processará e armazenará aquilo que, por exemplo, ele
julgar importante. Até mesmo com o conhecimento do dia-a-dia acontece algo parecido,
como na metáfora de LEVITT: “Uma criança grita de dor ao tocar o fogão quente. Um pouco
de consolo e uma medicação suave logo surtirão efeito, restando apenas uma pequena
bolha. Naquela noite os pais, ao voltarem para casa, cumprimentam a criança como de
costume: ‘Oi, o que você aprendeu hoje?’ ‘Nada’, é a alegre resposta. Porém, nunca mais a
criança tocará o queimador, a não ser cuidadosamente, mesmo que o fogão não esteja
aceso.”.
Ao colocar a mão no queimador do fogão a criança se queimou. Isto ficou gravado na
memória da criança e por ter sido significativo ela processou e armazenou esse
conhecimento.
Esse conhecimento pode ser classificado como formal, quando adquirido através de
maneira definida e formal (aula dada pelo professor, no colégio; a execução de trabalho
científico; o sermão do padre, na igreja), ou informal, quando adquirido através da
experiência própria do dia a dia, como aprender com o colega; na família; o autodidata; a
experiência de vida, entre outros.
Uma definição desse relacionamento pode ser explicado através da Figura I.1
apresentada por DAVENPORT e PRUSAK (1997) e ALTER (1999).
Figura I.1 – Relacionamento entre dado, informação e conhecimento
Fonte: Adaptado de ALTER (1999)
Os dados são os elementos brutos no processo de construção da informação e
podem ser definidos como simples observações, fatos, representações sem significado
sobre o estado do mundo; facilmente estruturados, transferíveis e freqüentemente
quantificados. As informações são dados que através de análise, com intervenção humana,
provêem relevância e propósito em relação ao significado. Já o conhecimento inclui a
necessidade de reflexão, síntese e contexto, sendo de difícil estruturação e transferência.
A informação aliada aos recursos da tecnologia é uma necessidade primária e
elementar para funcionalidade tática, estratégica e operacional da empresa de hoje e será,
7
também, amanhã. Com a crescente concorrência global as empresas terão cada vez mais
necessidade de informação tanto do mercado quanto a respeito dos planos e intenções de
consumidores e dos competidores. A informação também propicia à empresa um profundo
conhecimento de si mesma e de sua estrutura de negócios facilitando o planejamento, a
organização, a gestão e o controle dos processos (ABREU e REZENDE, 2006).
I.2- Sistemas de Informação e Tecnologia da Informação
Para se definir SI é importante ter uma noção do que se constitui um sistema. A
seguir algumas definições de sistema encontradas na literatura.
Sistema segundo BERTALANFFY (1975) é um conjunto de elementos em interação.
Já STAIR e REYNOLDS (2005) classificam sistema como um conjunto de elementos ou
componentes que interagem entre si para se atingir objetivos. Os próprios elementos e as
relações entre eles determinam como o sistema trabalha e possuem entradas, mecanismos
de processamento, saídas e retro-alimentação.
CAMBELL apud FREITAS et al. (1997) define sistema como sendo um grupo de
partes ou componentes inter-relacionadas que funcionam juntos para alcançar um objetivo.
Os conceitos de SI e TI não apresentam uma consistência e concordância com
relação à definição dos termos ou abrangências. Por apresentar essa ambigüidade torna-se
necessário defini-los claramente.
Segundo AUDY et al. (2005) existe uma corrente que segue a linha conceitual da
Teoria Geral dos Sistemas (TGS) que considera que um SI abrange um conjunto de
componentes inter-relacionados que coletam, processam, armazenam e distribuem
informações para o auxilio no processo de tomada de decisões organizacionais. A TI é
considerada um componente de infra-estrutura de suporte, como hardware, software, redes,
banco de dados, ao SI.
Outra corrente trata a TI de uma maneira mais abrangente, em que abrange os SI,
infra-estrutura, técnicas de implementação e relacionamento entre negócios. Nessa linha a
TI abrange os SIs, usuários e o gerenciamento para suportar as atividades organizacionais.
De acordo com TURBAN et al. (2004) a TI é o conjunto de todos os SIs, processos,
usuários, tecnologias empregadas, englobando a gestão de toda a empresa e seus
relacionamentos na cadeia de valor. Compreende a disponibilização de recursos e serviços
para toda a organização, incluindo serviços de Internet, rede e telecomunicações,
fornecimento e gerenciamento de centros de computação, gerenciamento das bases de
dados, suporte ao usuário final.
Um SI pode não ter a participação de computadores, embora atualmente são raras
as organizações que não os incorpore ao seu SI. Uma definição de SI com perspectiva mais
organizacional pode ser a combinação de processos, procedimentos, informação, pessoas e
8
TI, organizadas para o alcance de objetivos de uma organização. Segundo ALTER apud
RADÜNZ (2002) para se atingir os objetivos de uma organização deve-se levar em conta
três fatores importantes, conforme demonstrado na Figura I.2.
Figura I.2 – Elementos de um sistema de informação
Fonte: RADÜNZ adaptado de ALTER (2002)
Através de métodos ou processos as pessoas da organização utilizam a informação
e, com a utilização da tecnologia, os resultados são conseguidos e os objetivos alcançados.
Na era da informação, a informação passou a ser utilizada como recurso estratégico
e os SIs começaram a ser vistos com mais importância em função do sentido e do papel a
eles atribuídos pelas organizações. Muitos executivos, através da necessidade de
informações disponíveis com precisão e rapidez, precisavam ter uma visão do que sua
empresa estava representando no mercado e com isso passaram a ser mais ágeis, obtendo
maiores fatias de mercado. O executivo, para que possa tomar decisões, necessita ter visão
do seu negócio e para isso ele utiliza a TI para que lhe informe a situação atual do que está
sendo gerenciado. A utilização de SIs, segundo BINDER (1994), facilita o processo
decisório pois permite monitorar informações estrategicamente escolhidas, independente do
tamanho da empresa.
Os SIs fazem parte integrante e irreversível das modernas organizações tornando-se
um fator decisivo de vantagem competitiva e, se adequadamente gerenciados, são
reconhecidamente estratégicos para o sucesso dos negócios. Portanto, o planejamento dos
SIs de uma organização deve ser harmônico e consistente com o seu planejamento
9
estratégico, a fim de que seus planos operacionais e objetivos de negócios possam ser bem
sucedidos.
Essa clara distinção entre TI e SI alinhado com os objetivos de negócio é explicada
por AUDY et al. (2005) na figura I.3.
Figura I.3 – Relação entre processos de negócio, SI e TI
Fonte: AUDY et al. (2005)
Uma organização é composta por um grande número de processos de negócios
interdependentes que, por sua vez, é composto por um grupo de atividades relacionadas
que utilizam pessoas, informações e outros recursos com o objetivo de agregar valor aos
clientes em um ambiente de negócios. Esse ambiente de negócio constitui a empresa e todo
o seu ambiente em volta como competidores, clientes, governo, fornecedores e condições
sociais e econômicas. Os processos de negócios determinam a incorporação de novas
tecnologias nos SIs que, por sua vez, determinam as necessidades de TI para seu
funcionamento. O contrário também ocorre quando, por exemplo, uma nova tecnologia de TI
influência uma alteração no SI e no processo de negócio. Como exemplo recente temos a
tecnologia web que gerou a necessidade de redefinições nos SIs e nos processos de
negócios.
I.2.1- Tipos de Sistemas de Informação
Os SI podem ser classificados de várias maneiras como por níveis organizacionais,
áreas funcionais, tipo de suporte que proporcionam e arquitetura implementada. Os SIs
10
possuem uma função de coleta de dados que servirá de entrada para o processamento do
SI. Outra função é a de processamento na qual os dados são transformados gerando a
informação necessária para a organização. Uma outra função é a de armazenamento onde
os dados e informações são armazenadas para posterior utilização ou por questões legais.
Uma vez o processamento ocorrido existe a função de distribuição onde o resultado é
disseminado para a organização. Por fim existe a função de retro-alimentação em que os
resultados são monitorados e utilizados para ajustes, modificações ou controles do próprio
SI.
Para AUDY et al. (2005), as classificações mais aceitas de agrupamento de SIs são
pela finalidade principal de uso e pelo nível organizacional.
Figura I.4 – Tipos de sistema de informação
Fonte: AUDY et al. (2005)
Segundo a figura I.4 existem basicamente quatro SIs classificações principais de SI:
• Sistema de Processamento de Transações (SPT): coleta e armazena
dados sobre transações rotineiras que a organização realiza como parte de
seu processo de negócio. Uma transação é um evento básico que ocorre na
organização, como fechamento de um pedido de um cliente, a matrícula de
um aluno na universidade. São executados pelo nível operacional da
organização e são, em geral, os primeiros SIs a serem informatizados, pois
os benefícios da automação são bastante visíveis;
• Sistema de Informação Gerencial (SIG): sintetiza, registra e relata a
situação em que se encontram as operações da organização. Endereçados
11
na maioria da vezes para os gerentes de nível tático da organização, pois
apresentam indicadores de desempenho de uma determinada área. É
orientado para a tomada de decisões estruturadas nas quais envolvem
procedimentos padronizados e se caracteriza como repetitiva e rotineira;
• Sistema de Apoio à Decisão (SAD): disponibiliza dados e técnicas para
análise de problemas e oportunidades. Auxilia os gerentes de nível tático e
estratégico de uma organização a tomar decisões semi-estruturadas com
base em informações obtidas em SPT, SIG e fontes externas. Decisões
semi-estruturadas são decisões que envolvem situações parcialmente
compreendidas onde algum procedimento conhecido possa ser aplicado,
embora apresente um nível maior de subjetividade em relação a uma decisão
estruturada. Por esse sentido são flexíveis e amigáveis, sendo de acesso
rápido, interativos e orientados para ação imediata;
• Sistema de Informação Executiva (SIE): fornece informações internas e
externas à organização aos executivos para tomada de decisões não-
estruturadas através de uma forma rápida e acessível. Decisões não-
estruturadas são decisões não rotineiras e possuem um maior nível de
subjetividade com relação ao julgamento e avaliação, pois não existe um
bom nível de compreensão da situação ou não existe concordância sobre o
procedimento a ser adotado;
I.3- Planejamento Estratégico de TI
Para atingir os objetivos organizacionais o planejamento de TI tem que estar
alinhado com a estratégia da organização. Esse alinhamento, com o objetivo de adquirir
vantagem competitiva através de uma relação entre negócio e TI, foi apresentada por
HENDERSON e VENKATRAMAN (1993) através do Modelo de Alinhamento Estratégico. O
modelo foi desenvolvido para conceituar e direcionar a área de gerenciamento estratégico
de TI e explicar como é o relacionamento entre as estratégias de negócio e as estratégias
de TI.
O modelo está baseado em fatores internos à organização e, também, em fatores
externos como o mercado. Apresenta uma análise não só do impacto do negócio na TI, mas
também, do potencial da TI mudar os rumos do negócio e apresenta a necessidade de
monitorar as novas tecnologias.
O conceito por trás do modelo baseia-se em dois blocos principais, conforme
apresentado na figura I.5: o ajuste estratégico e a integração funcional. O ajuste
12
estratégico identifica que a estratégia de TI deve ser articulada em termos de um domínio
externo, como a organização está posicionada no mercado de TI, e um domínio interno,
como a infra-estrutura de TI deve ser configurada e gerenciada. A integração funcional
identifica dois tipos de integração de como as escolhas feitas no domínio de TI aumentam
ou ameaçam as escolhas feitas do domínio de negócio e vice-versa.
O domínio interno diz respeito à estrutura administrativa da empresa e o domínio
externo compreende o mercado e as respectivas decisões de atuação da empresa. O
modelo considera quatro componentes que se inter-relacionam: a estratégia de negócio; a
estratégia de TI; a infra-estrutura organizacional e processos; e a infra-estrutura de sistemas
de informação e processos.
Figura I.5 – Modelo de Alinhamento Estratégico. Fonte: Laurindo (2000) adaptado de Henderson & Venkatraman (1993)
13
A estratégia de TI envolve três decisões: (i) o escopo de TI, que compreende as
tecnologias de TI como Wide Area Network (WAN) e Local Area Network (LAN) que
suportam as novas ou atuais iniciativas estratégicas de negócio; (ii) competências
sistemáticas, que compreendem os atributos da estratégia de TI como flexibilidade e níveis
de custo e desempenho, os quais podem contribuir positivamente na criação de novas ou
existentes estratégias de negócio; (iii) governança de TI, que compreende a seleção e o uso
de mecanismos como alianças estratégicas e pesquisa e desenvolvimento de novas
capacidades de TI, para obter as requeridas competências de TI.
A infra-estrutura de SIs e processos devem endereçar três componentes: (i)
arquitetura de TI, que compreende as escolhas que definem a relação de aplicações, a
configuração de hardware, software e comunicação, e a arquitetura de dados que define a
infra-estrutura técnica; (ii) processos de TI, que compreendem as escolhas que definem os
processos centrais de trabalho como desenvolvimento de sistemas, manutenção,
monitoração e controle de sistemas, para a operação da infra-estrutura de TI; (iii) habilidade
de TI, que compreende a aquisição, treinamento e desenvolvimento de conhecimento e
capacidades individuais necessárias para efetivamente gerenciar e operar a infra-estrutura
de TI.
Segundo HENDERSON e VENKATRAMAN (1993) os domínios internos e externos
são igualmente importantes, mas o gerentes pensam em estratégia de TI em termos de
domínio interno, pois historicamente TI é visto como uma função de suporte menos
essencial ao negócio.
O alinhamento estratégico também é relevante dentro do domínio de negócio
levando em conta o domínio interno e externo. A estratégia de negócio compõe três
componentes que se inter-relacionam: (i) escopo de negócio, que compreende as escolhas
relacionadas ao oferecimento de produtos no mercado; (ii) competências distintas, que são
os atributos que contribuem para a vantagem competitiva; (iii) governança de negócio, que
compreende decisões de fazer versus comprar, relacionamentos internos da organização,
entre outros. No domínio interno temos: (i) arquitetura administrativa, que compreende os
papéis, responsabilidades, autoridade; (ii) processos de negócio, que suportam e modelam
a habilidade da organização para executar as estratégias de negócio; (iii) habilidades de
negócio, que são as habilidades necessárias para executar uma estratégia definida.
No dimensão da integração funcional HENDERSON e VENKATRAMAN (1993)
descrevem uma integração estratégica e uma integração operacional. Na integração
estratégica descrevem a importância da ligação entre estratégia de negócio e estratégia de
TI refletindo nos componentes externos, os quais são tão importantes quanto TI e para
muitas organizações tem se tornado uma fonte de vantagem estratégica. Na integração
operacional descrevem a ligação entre infra-estrutura e processos organizacionais e de TI e
14
enfatizam a importância de haver coerência interna entre os requerimentos e expectativas
de negócio e a capacidade de TI de entregar isso.
Uma importante premissa do modelo de alinhamento estratégico é a de que para ter
uma administração eficaz da TI existe a necessidade de balanceamento entre as decisões
feitas nos quatro domínios. Isso é interessante, pois considera que a estratégia de TI pode
mudar a estratégia de negócios da organização. Isto oposto do pensamento atual onde a
partir do planejamento organizacional é que se planeja TI.
De acordo com HENDERSON e VENKATRAMAN (1993) existem dois
relacionamentos entre os domínios em que a estratégia de negócio tem a missão
direcionadora e duas outras onde é a estratégia de TI que tem essa missão, sendo eles:
execução estratégica e potencial competitivo no lado do negócio e transformação
tecnológica e nível de serviço no lado da tecnologia. A figura I.6 descreve os componentes
desse relacionamento.
Figura I.6 - Perspectivas do Alinhamento Estratégico.
Fonte: Laurindo (2000) adaptado de Henderson & Venkatraman (1993)
A execução estratégica é a visão mais amplamente entendida sendo a visão
clássica hierárquica de gerenciamento estratégico. Parte da premissa que a estratégia de
negócio é articulada e que é o impulsionador para as decisões no projeto organizacional e
no projeto da infra-estrutura de TI. O potencial competitivo permite uma adaptação da
estratégia de negócio através de novas tecnologias de TI. A partir da estratégia de TI as
melhores opções estratégicas para a estratégia de negócio e um conjunto de decisões
15
relacionadas à infra-estrutura organizacional são determinadas. A transformação
tecnológica se inicia a partir de uma estratégia de negócio existente, mas foca na
implementação da estratégia através de apropriada estratégia de TI e na articulação de
infra-estrutura e processos de TI. O nível de serviço foca em como construir uma
organização de serviço de TI, ou seja, através de um entendimento das dimensões externas
da estratégia de TI com o correspondente projeto interno da infra-estrutura e processos de
TI.
O alinhamento entre as estratégias de TI e da organização devem ser um processo
contínuo. Embora HENDERSON e VENKATRAMAN (1993) tenham reconhecido a
importância por um continuo alinhamento o modelo não provê uma estrutura para
implementação, ou seja, não é apresentado como executar esse alinhamento estratégico.
LUFTMAN e BRIER (1999) descrevem que conseguir efetuar o alinhamento estratégico em
um ambiente com estratégias de negócio dinâmicas e constantes mudanças tecnológicas é
um processo muito difícil de implementar e propõem um método com seis etapas, sendo
elas: (i) definir os objetivos e estabelecer uma equipe; (ii) entender a ligação entre negócio e
TI; (iii) analisar e priorizar as deficiências; (iv) especificar as ações através de uma gerência
de projetos; (v) escolher e avaliar os critérios de sucesso; (vi) manter o alinhamento.
I.4- Governança Corporativa e Governança de TI
Para entender melhor os conceitos de gerenciamento é necessário definir claramente
os conceitos de Governança Corporativa, Governança de TI e Gerenciamento de TI.
Governança pode ser definido como o ato ou processo de governar.
A Governança Corporativa não é um conceito novo, mas tornou-se um tema muito
importante após os escândalos financeiros ocorridos em 2002 com as empresas Enron,
Worldcom e Tycos. A crise gerou desconfiança aos investidores e acionistas e ocasionou
um aumento de controle através da lei Sarbanes-Oxley que impôs controles mais rígidos na
administração de uma organização.
Segundo WEILL e ROSS (2004) não existem um modelo comum de Governança
praticado mas, de uma maneira geral, a implementação de uma Governança Corporativa é
composta por um colegiado responsável por proteger os direitos dos acionistas e
interessados como empregados, clientes e credores. Esse colegiado trabalha junto com o
time executivo da organização para implementar um governança que assegura o
atingimento do objetivos organizacionais. O time executivo define estratégias e
comportamentos desejados para, em conjunto com os recursos da organização, atingir os
objetivos definidos. WEILL e ROSS (2004) agrupam os recursos de uma organização em
seis principais grupos: humanos, financeiros, físicos, propriedade intelectual, TI e
relacionamentos.
16
Já COLLEY et al. (2005) definem Governança Corporativa como o sistema de
autoridade definida na organização com uma clara definição de hierarquia de autoridade e
os processos de gerenciamento, ou governança.
O termo Governança de TI segundo ALBERTIN (2004), freqüentemente, é definido
como uma estrutura de relações e processos que dirige e controla uma organização a fim
de atingir seu objetivo de adicionar valor ao negócio através do gerenciamento balanceado
do risco com o retorno do investimento de TI.
Segundo PETERSON apud GREMBERGEN (2004) a Governança de TI é o sistema
pelo qual o ambiente de TI de uma organização é administrado e controlado. A Governança
de TI descreve a distribuição dos direitos e responsabilidades dos tomadores de decisão de
TI entre os diferentes responsáveis e as regras e procedimentos para fazer e monitorar
decisões em problemas de estratégias de TI.
Conforme o GOVERNANCE INSTITUTE apud GREMBERGEN (2004) a
“Governança de TI é responsabilidade do diretores e executivos. É uma parte da
governança corporativa e consiste de liderança e processos e estruturas organizacionais
que certificam que a organização de TI suporta e estende os objetivos e estratégias da
organização”.
O conceito de Gerenciamento de TI e Governança de TI muitas vezes se confundem
e, em alguns casos, são utilizados com o mesmo significado.
Figura I.7 – Governança de TI e Gerenciamento de TI.
Fonte: Adaptada de Grembergen (2004)
17
A figura I.7 apresenta uma melhor visualização das diferenças conceituais entre
Governança de TI e Gerenciamento de TI. O Gerenciamento de TI está focado na gestão,
eficiência e entrega efetiva de serviços e produtos de TI para o momento presente e voltado
para a visão interna da organização. Já a Governança de TI possui um alcance maior
concentrando-se na execução e transformação de TI para atingir os objetivos de negócio do
presente e do futuro e tem uma visão mais externa (PETERSON apud GREMBERGEN,
2004).
I.5- Gerenciamento de Serviço de TI
Dentro do escopo do Gerenciamento de TI existem várias disciplinas como gerência
de capacidade, gerência de problemas, gerência de falhas e gerência de disponibilidade.
Uma dessas disciplinas trata do gerenciamento do ambiente de TI. Ambiente aqui definido
como o conjunto de software, hardware, aplicações e rede que compõem uma infra-
estrutura de TI.
Segundo SALLÉ (2004) o gerenciamento desta infra-estrutura passa por estágios
onde no primeiro estágio a organização foca na implementação do gerenciamento da infra-
estrutura de TI o qual ele denomina Gerenciamento de Infra-estrutura de TI (ITIM). No
segundo estágio, denominado Gerenciamento de Serviço de TI (ITSM), a organização se
preocupa em identificar os serviços necessários aos clientes e planejar, implementar e
fornecer o completo gerenciamento desses serviços. Neste estágio, chamado de
Gerenciamento de Nível de Serviço (SLA), se definem os níveis de serviço entre a
organização de TI e o cliente.
Através dos objetivos fornecidos pela Governança de TI o ITSM procura gerenciar e
controlar a infra-estrutura e os serviços de TI através da utilização de inúmeras ferramentas
e processos. Nesta etapa são utilizados os modelos de governança de TI para auxilio na
implementação do gerenciamento.
I.6- Gerenciamento de Negócio
O Gerenciamento de Negócio pode ser considerado uma outra etapa do
gerenciamento de TI. Vários definições são encontrados na literatura com o mesmo
significado como, “Business Process Management” (BPM), “Business Services
Management” (BSM), “Business Systems Management” (BSM), “Business Impact
Management” (BIM), “Business Application Management” (BAM), entre outros. Em geral
todos propõem o gerenciamento do negócio, ou processos de negócio, através do
alinhamento e utilização da TI.
18
Segundo SAUVÉ et al. (2004) o Gerenciamento de Negócio, através do alinhamento
de TI com o negócio, pode ser efetuado com o gerenciamento de falhas e desempenho da
infra-estrutura de TI utilizando métricas de fácil compreensão a nível executivo. Dessa forma
uma falha ou degradação no ambiente de TI pode ser facilmente compreendida a nível
executivo.
O Gerenciamento do Negócio através do BPM segundo HP (2006) é efetuado com
grande ênfase no detalhamento e refinamento dos processos gerando até necessidade de
re-engenharia de processos. Ferramentas de fluxo de trabalho são utilizados e o sucesso da
execução dos processos são monitorados com pontos de controles. No BPM é necessário
um monitoramento dos processos e envolvimento com cada fase do processo. O BPM difere
do BSM, pois este não precisa se envolver com o processo, somente monitorar o estado
geral, não necessitando conhecer os detalhes de cada processo. Nesta monitoração não
existe interferência no processo de negócio.
19
II - MODELOS DE GOVERNANÇA DE TI
A crescente necessidade e uso de TI pelas organizações face ao cenário competitivo
do mundo atual tornam necessário a adoção de modelos de Governança de TI que
permitam estabelecer e controlar objetivos, alinhar as estratégias, viabilizar e gerenciar
recursos, definir expectativas e medidas de desempenho, priorizar e direcionar as atividades
e gerenciar riscos e processos.
Existem vários modelos utilizados para Governança de TI encontrados na literatura.
Alguns são desenvolvidos por organizações privadas como HP, IBM, Microsoft, BMC, e
outros, considerados de padrão aberto, por organizações públicas ou consórcios de
empresas e universidades como o ITSMF, ISACA, ITsqc.
Os modelos de padrão aberto mais utilizados nas organizações serão apresentados
a seguir.
II.1- Control Objectives for Information and related Technology
O Control Objectives for Information and related Technology (COBIT) é um dos
modelos abertos mais utilizados para governança de TI. Ele foi criado em 1996 pelo
Information Systems Audit and Control Association (ISACA) quando lançou a primeira
versão do COBIT com um conjunto de objetivos de controle para aplicações de negócio. Em
1998 a segunda versão foi lançada e incluiu um conjunto de ferramentas para
implementação e a adição das definições detalhadas e de alto nível dos objetivos de
controle. Em 2000 a terceira versão foi lançada e incluiu guias para gerenciamento. Com
esta versão, o ITGI (IT Governance Institute) passou a ser o responsável pela manutenção
do modelo e passou a receber um conjunto de contribuições de várias empresas e
organismos internacionais (MINGAY e BITTINGER, 2002). Em 2003 foi lançada a versão
on-line do modelo. Em Dezembro de 2005 foi lançada a quarta versão do modelo.
O COBIT fornece boas práticas através de uma estrutura de processos e domínios e
apresenta as atividades em uma estrutura lógica e gerenciável. É focado muito mais em
controle do que em execução. Para que TI consiga entregar os serviços de acordo com os
requerimentos de negócio é necessário uma estrutura ou sistema de controle interno. Essa
estrutura contribui para isso definindo uma ligação para os requerimentos de negócio,
organizando as atividades de TI em um modelo de processo geral, identificando os
principais recursos de TI a serem gerenciados e definindo os objetivos de controle a serem
considerados.
A orientação de negócio do COBIT consiste em associar os objetivos de negócio aos
objetivos de TI, fornecendo métricas e modelos de maturidade para medir essa realização e
20
identificando as responsabilidades associadas dos proprietários de processos de negócio e
de TI. É o modelo recomendado pelo ISACF (Information Systems Audit and Control
Foundation), fundação internacional responsável por divulgação e controle de auditoria em
SI.
II.1.1- Estrutura e Componentes do COBIT
O COBIT identifica cinco áreas principais para uma efetiva Governança de TI
conforme apresentado na figura II.1:
• Alinhamento estratégico, que foca assegurando a ligação entre o negócio e os
planos de TI; definindo, mantendo e validando o valor de TI; e alinhando as
operações de TI com as operações da empresa.
• Entrega de valor, que foca na execução da entrega com valor agregado,
certificando que TI entregue os benefícios prometidos de acordo com a estratégia,
concentrando na otimização dos custos e informando o valor intrínseco de TI.
• Gerenciamento de recurso, que foca no melhor investimento e correto
gerenciamento dos recursos críticos de TI, aplicações, informação, infra-estrutura e
pessoas.
• Gerenciamento de risco, que foca nas atividades relacionadas à segurança de
informação da organização como o conhecimento dos riscos pela alta gerência, os
requerimentos necessários para mitigar os riscos, transparência sobre os riscos da
organização e a distribuição do gerenciamento dos riscos pela organização.
• Medidas de desempenho, que foca no acompanhamento e monitoração da
estratégia de implementação, controle de projetos, utilização de recursos,
desempenho dos processos e entrega dos serviços.
Figura II.1 – Áreas de Governança de TI do COBIT Fonte: Adaptado de IT Governance Institute (2006)
21
As medidas de desempenho são essenciais para a Governança de TI e o COBIT os
suporta através da definição e da monitoração de objetivos mensuráveis de quais processos
de TI precisam ser entregues e como eles devem ser entregues.
O modelo genérico de processos do COBIT permite que os mesmos processos,
utilizados pela gerencia operacional de TI para as atividades diárias de gerenciamento do
ambiente de TI, sejam de fácil entendimento pelos gerentes de negócio (IT GOVERNANCE
INSTITUTE, 2006).
Para um melhor entendimento do modelo o COBIT é dividido em três níveis. O
primeiro nível é designado para a alta gerência, gerentes de negócio e de TI e profissionais
de segurança, controle e governança. Tem como objetivo explicar porque é importante ter
uma Governança de TI e quais são as questões e as responsabilidades para o seu
gerenciamento. O segundo nível é voltado para os gerentes de negócio e TI. Contém
ferramentas para auxiliar na designação de responsabilidades, medidas de desempenho,
benchmarks e identificação de deficiências em capacitação. Tenta descrever as principais
respostas para as questões de gerenciamento como: até onde se deve controlar TI, se o
custo desse controle é justificado pelo beneficio, quais os indicadores de bom desempenho,
quais as mais importantes práticas de gerenciamento, como se mede e compara
desempenho. O terceiro nível é voltado para os profissionais de segurança, controle e
governança.
Figura II.2 – Relacionamento entre os componentes do COBIT
Fonte: Adaptado de IT Governance Institute (2006)
22
Os componentes do COBIT, conforme apresentado na figura II.2, se inter-relacionam
e se complementam fornecendo o suporte necessário para a governança, gerenciamento,
controle e auditoria para as diferentes audiências.
A estrutura do COBIT, portanto, une os requerimentos de negócio para informação e
governança aos objetivos dos serviços de TI. O modelo de processo do COBIT habilita as
atividades de TI e os recursos por elas suportados a serem bem gerenciados e controlados
baseados nos objetivos de controle do COBIT e alinhados e monitorados através das
métricas de Indicadores Chaves de Objetivos (KGI) e Indicadores Chaves de Desempenho
(KPI), conforme apresentado na figura II.3.
Figura II.3 – Estrutura do COBIT
Fonte: Adaptado de IT Governance Institute (2006)
Sumarizando, os recursos de TI são gerenciados por processos de TI para atingir os
objetivos de TI que respondem aos requerimentos de negócio. Este é o principio básico da
estrutura do COBIT.
II.1.2- Características do COBIT
A estrutura do COBIT foi criada baseado em quatro características principais de ser:
orientado ao negócio, orientado ao processo, baseado em controles e dirigido por medidas.
II.1.2.1- Orientado para o negócio
23
A orientação do negócio é o foco principal do COBIT. Para fornecer a informação que
a organização necessita para atingir seus objetivos, ela necessita gerenciar e controlar os
recursos de TI utilizando um conjunto estruturado de processos para entregar os serviços de
informação requeridos.
São definidos sete critérios de controle relacionados à informação para que os
objetivos de negócio sejam atingidos:
• Efetividade se preocupa com a informação sendo relevante e pertinente aos
processos de negócio, bem como entregando-a de uma maneira correta,
consistente, utilizável e a tempo.
• Eficiência se preocupa com o fornecimento da informação através do mais produtivo
e econômico uso dos recursos.
• Confidencialidade se preocupa com a liberação não autorizada de informação
sensível.
• Integridade se preocupa com a acuracidade e fidelidade da informação, bem como
sua validade relacionada às expectativas e valores de negócio.
• Disponibilidade se preocupa com a informação ser disponível quando necessária
para o processo de negócio e com a guarda segura dos recursos.
• Conformidade se preocupa em estar em acordo com as leis, contratos,
regulamentos nos quais os processos de negócios são requeridos.
• Confiabilidade se preocupa com o provisionamento de informação apropriada para
a gerencia exercitar as responsabilidades de governança.
O COBIT define uma relação genérica de objetivos de negócio e de TI e o
mapeamento com os critérios de informação definidos acima. Essa relação, conforme
apresentado na figura II.4, pode ser usada pelas organizações como uma base para a
definição de requerimentos de negócio, objetivos e métricas.
Uma clara definição da propriedade e direção dos requerimentos de negócio por
parte do cliente e um claro entendimento do que e como deve ser entregue por parte de TI,
deve ser definido. A estratégia da empresa deve ser traduzida em objetivos para uso por TI
(objetivos de negócio para TI). Esses objetivos devem levar a uma clara definição dos
próprios objetivos de TI. Com esses objetivos TI está apta a definir os recursos e
capacidade (Arquitetura de TI para a empresa) para atingir os objetivos de negócio da
organização (IT GOVERNANCE INSTITUTE, 2006).
24
Figura II.4 – Definindo metas e arquitetura de TI
Fonte: Adaptado de IT Governance Institute (2006)
Uma vez que os objetivos estejam alinhados é necessário certificar que a entrega
dos serviços está de acordo com as expectativas. Para isso é necessário definir métricas
derivadas dos objetivos e capturá-los em um scorecard de TI que o cliente entenda e que TI
possa focar nos objetivos próprios. A tabela II.1 demonstra como os objetivos de negócio
estão alinhados com os de TI.
Objetivos de Negócio Objetivos de TI Efe
tivi
dad
e
Efi
ciên
cia
Co
nfi
den
cial
idad
e
Inte
gri
dad
e
Dis
po
nib
ilid
ade
Co
nfo
rmid
ade
Co
nfi
abili
dad
e
1 Expandir fatia de mercado 25 - 28 x x2 Aumentar lucro 25 - 28 x x3 Retorno de Investimento 24 x4 Otimizar utilização de recursos 14 x x5 Gerenciar riscos de negócio 2 - 14 - 17 - 18 - 19 - 20 - 21 - 22 x x x
6 Melhorar serviço do cliente 3 - 23 x7 Oferecer serviços e produtos competitivos 5 - 24 x x8 Disponibilidade do serviço 10 - 16 - 22 -23 x x9 Agilidade em responder aos requerimentos de mudança do negócio 1 - 5 - 25 x x
10 Otimização dos custos de entrega de serviço 7 - 8 - 10 - 24 x
11 Automatiza e integra o fluxo de valor da empresa 6 - 7 - 8 - 11 x x12 Melhora e mantém funcionalidade dos processos de negócio 6 - 7 - 11 x x13 Diminuir custos de processos 7 - 8 - 13 - 15 - 24 x14 Conformidade com leis e regulamentos externos 2 - 19 - 20 - 21 - 22 - 26 - 27 x x15 Transparência 2 - 18 x16 Conformidade com políticas internas 2 - 13 x x17 Melhora e mantém produtividade operacional e do time 7 - 8 - 11 - 13 x x
18 Inovação de produto e de negócio 5 - 25 - 28 x x19 Obtém informação útil e confiável para tomada de decisões estratégicas 2 - 4 - 12 - 20 - 26 x x x20 Adquire e mantém pessoal motivado e com experiência 9 x x
Perspectiva Financeira
Perspectiva do Cliente
Perspectiva Interna
Perspectiva de Aprendizado e Crescimento
Tabela II.1 – Objetivos de Negócio Fonte: Adaptado de IT Governance Institute (2006)
25
Os objetivos de TI descritos na tabela II.2 apresentam quais processos definidos no
COBIT compreendem o objetivo e qual critério de controle ele interage como sendo primário
ou secundário.
Efe
tivi
dad
e
Efi
ciên
cia
Co
nfi
den
cial
idad
e
Inte
gri
dad
e
Dis
po
nib
ilid
ade
Co
nfo
rmid
ade
Co
nfi
abili
dad
e
1 Alinhar os objetivos de TI com os objetivos de negócio PO1 PO2 PO4 PO10 AI1 AI6 AI7 DS1 DS3 ME1 P P S S
2Alinhar os requerimentos de governança com as direções do colegiado PO1 PO4 PO10 ME1 ME3
P P
3Certificar a satisfação dos usuários com os níveis de serviço e os serviços oferecidos PO8 AI4 DS1 DS2 DS7 DS8 DS10DS13
P P S S
4 Otimizar o uso da informação PO2 DS11 S P S5 Agilizar TI PO2 PO4 PO7 AI3 P P S
6
Definir como as funcionalidades do negócio e os requerimentos de controle são traduzidos em soluções automatizadas eficientes e efetivas AI2 AI2 AI6
P P S
7 Adquirir e manter sistemas de aplicação padronizadas e integradas PO3 AI2 AI5 P P S8 Adquirir e manter infra-estrutura de TI padronizada e integrada AI3 AI5 S P
9Adquirir e manter pessoal de TI capacitado em linha com a estratégia de TI PO7 AI5
P P
10 Certificar satisfação mútua de relacionamentos de terceiros DS2 P P S S S S S
11Integrar soluções de tecnologia e aplicações em processos de negócio PO2 AI4 AI7
P P S S
12Certificar transparência e entendimento de custos, benefícios, estratégias, políticas e níveis de serviço de TI PO5 PO6 DS1 DS2 DS6 ME1 ME3
P P S S
13 Certificar o correto uso e desempenho das aplicações e soluções de PO6 AI4 AI7 DS7 DS8 P S14 Contabilizar e proteger todos os recursos de TI PO9 DS5 DS9 DS12 ME2 S S P P P S S15 Otimizar os recursos, capacidades e infra-estrutura de TI PO3 AI3 DS3 DS7 DS9 S P
16Reduzir o retrabalho e defeitos de soluções e das entrega dos serviços PO8 AI4 AI6 AI7 DS10
P P S S
17 Proteger o atingimento dos objetivos de TI PO9 DS10 ME2 P P S S S S S
18Estabelecer claramente os riscos dos impactos do negócio aos recursos e objetivos de TI PO9
S S P P P S S
19Certificar que a criticidade e confidencialidade da informação é protegida contra quem não deve ter acesso PO6 DS5 DS11 DS12
P P S S S
20Certificar que as transações automaticas de negócio e as trocas de informações são confiáveis PO6 AI7 DS5
P P S S
21 Certificar que a infra-estrutura e serviços de TI podem resistir e serem PO6 AI7 DS4 DS5 DS12DS13 ME2 P S S P
22Certificar um mínimo impacto ao negócio relacionado a uma mudança ou quebra de serviço de TI PO6 AI6 DS4 DS12
P S S P
23 Certificar que os serviços de TI estão disponíveis quando necessários DS3 DS4 DS8 DS13 P P P
24 Aumentar a eficiencia de TI e sua contribuição ao lucro do negócio PO5 AI5 DS6 S P S
25Entregar projetos na data e dentro do estimado atendendo aos padrões de qualidade PO8 PO10 P P S S
26 Manter a integridade da informação e da infra-estrutura AI6 DS5 P P P P S27 Certificar a aderência de TI as leis e regulamentos DS11 ME2 ME3 ME4 S S P S
28Certificar que TI demonstra serviços de baixo custo com qualidade, continua melhoria e está sempre preparado para mudanças futuras P05 DS6 ME1 ME3 P P P
ProcessosObjetivos de TI
Tabela II.2 – Objetivos de TI
Fonte: Adaptado de IT Governance Institute (2006)
Os recursos de TI identificados pelo COBIT e que compreendem, junto com os
processos, a arquitetura de TI da empresa, são definidos em:
• Aplicações identificadas como sistemas automatizados e manuais que processam a
informação.
• Informação é o dado em qualquer forma processado pelos SIs e utilizado pelo
negócio.
• Infra-estrutura é a tecnologia e facilidades (hardware, sistemas operacionais,
bancos de dados, rede e o ambiente que o mantém e o suporta) que habilitam o
processamento das aplicações.
• Pessoas identificadas como o pessoal necessário para planejar, organizar, adquirir,
entregar, suportar, monitorar e avaliar os SIs e os serviços. Podem ser internos,
contratados, terceirizados.
26
II.1.2.2- Orientado a Processo
As atividades de TI segundo o COBIT estão agrupadas em quatro domínios. Os
domínios são: Planeja e Organiza, Adquire e Implementa, Entrega e Suporta e Monitora e
Avalia. Os domínios compreendem um conjunto de processos que visam garantir a
governança de TI de uma maneira completa. Ao todos são definidos 34 processos que
cobrem 215 objetivos de controle, divididos pelos quatro domínios.
Figura II.5 – Os processos do COBIT
Fonte: Adaptado de IT Governance Institute (2006)
A figura II.5 retrata o que deve ser feito para atingir os objetivos do negócio. A área
de TI deve planejar e organizar adequadamente os recursos de TI, adquirir e/ou desenvolver
as soluções de TI necessárias, entregar e suportar essas soluções e monitorar o ambiente
(ANEFAC, 2006).
Planeja e Organiza (PO) Este domínio cobre a parte estratégica e tática e se preocupa como TI pode auxiliar a
atingir os objetivos de negócio. A visão estratégica deve ser planejada, comunicada e
gerenciada sob diferentes pontos de vista e, para implementar isso, uma organização e
infra-estrutura de TI deve ser implementada. Concentra os seguintes processos:
PO1 Define o plano estratégico de TI
PO2 Define a arquitetura de informação
27
PO3 Determina a direção tecnológica
PO4 Define a organização e processos de TI e seus relacionamentos
PO5 Gerencia o investimento de TI
PO6 Comunica direções e objetivos gerenciais
PO7 Gerencia recursos humanos de TI
PO8 Gerencia qualidade
PO9 Avalia e gerencia riscos de TI
PO10 Gerencia projetos
Adquire e Implementa (AI)
Para realizar a estratégia de TI, soluções de TI devem ser identificadas,
desenvolvidas ou adquiridas, implementadas e integradas aos processos de negócio.
Alterações e manutenções nos sistemas existentes devem ser controladas para que elas
continuem a atender aos objetivos de negócio. Concentra os seguintes processos:
AI1 Identifica soluções de automação
AI2 Adquire e mantém software de aplicação
AI3 Adquire e mantém infra-estrutura tecnológica
AI4 Habilita operação e uso
AI5 Gerencia compra de recursos de TI
AI6 Gerencia mudanças
AI7 Instala e certifica soluções e mudanças
Entrega e Suporte (DS)
Este domínio está relacionado com a entrega dos serviços requeridos e incluem a
entrega dos serviços, gerenciamento da segurança e continuidade, serviço de suporte aos
usuários e gerenciamento dos dados e da infra-estrutura operacional. Concentra os
seguintes processos:
DS1 Define e gerencia SLAs
DS2 Gerencia serviços de terceiros
DS3 Gerencia capacidade e desempenho
DS4 Assegura continuidade do serviço
DS5 Assegura segurança dos sistemas
DS6 Identifica e aloca custos
DS7 Educa e treina usuários
28
DS8 Gerencia service desk e incidentes
DS9 Gerencia a configuração
DS10 Gerencia problemas
DS11 Gerencia dados
DS12 Gerencia o ambiente físico (a infra-estrutura)
DS13 Gerencia operações
Monitora e Avalia (ME)
Todos os processos de TI devem ser verificados regularmente para identificar se
estão de acordo com os requerimentos de controle e qualidade. Esse domínio se preocupa
com gerenciamento de desempenho, monitoração de controles internos, controles
regulatórios e governança. Concentra os seguintes processos:
ME1 Monitora e avalia o desempenho de TI
ME2 Monitora e avalia controles internos
ME3 Assegura conformidade regulatória
ME4 Provê governança de TI
II.1.2.3- Baseado em Controles
Segundo o COBIT, controle é definido como políticas, procedimentos, práticas e
estrutura organizacional projetada para fornecer uma garantia razoável de que os objetivos
de negócio serão atingidos e os eventos indesejados serão prevenidos ou detectados e
corrigidos. Um objetivo de controle de TI é uma afirmação de um resultado desejado ou
propósito a ser atingido através da implementação de procedimentos de controle em uma
atividade particular de TI.
Para o gerenciamento operacional é necessário utilizar processos para gerenciar as
atividades diárias de TI. O COBIT fornece um modelo genérico de processo que representa
todos os processos normalmente encontrados nas funções de TI, fornecendo um modelo de
referência compreendido pelos gerentes operacionais e de negócio. Para atingir uma efetiva
governança, controles tem que ser implementados pelos gerentes operacionais dentro de
uma estrutura de controle definida para todos os processos de TI. Como os objetivos de
controle de TI do COBIT são organizados por processos de TI, a estrutura do COBIT
fornece uma ligação clara entre os requerimentos de governança de TI, os processos de TI
e os controles de TI (IT GOVERNANCE INSTITUTE, 2006).
Cada processo de TI tem um objetivo de controle de alto nível e vários objetivos de
controle mais detalhados. Esses objetivos são identificados por duas letras correspondendo
29
ao domínio seguido de um número do processo e um número de objetivo de controle. Além
disso, cada processo do COBIT tem requerimentos de controles genéricos que são
identificados pelo código PCn (Process Control number):
• PC1 – definir um proprietário de cada processo do COBIT
• PC2 – definir cada processo de modo que seja repetitivo
• PC3 – estabelecer claramente metas e objetivos
• PC4 – definir claramente os papéis, atividades e responsabilidades
• PC5 – medir o desempenho de cada processo contra as metas
• PC6 – documentar, rever, manter atualizado, assinar e documentar entre todos os
envolvidos qualquer política, plano ou procedimento relacionado ao processo do
COBIT
Os processos definidos pelo COBIT descrevem as entradas e saídas, um gráfico
RACI (Responsável, Autorizador, Consultado, Informado) contendo atividades e guias sobre
os papéis e responsabilidades, as principais metas (as mais importantes) e as métricas.
A nível executivo são definidos como os controles e a governança deverão ser
estabelecida. O ambiente de controle de TI é baseado nesses objetivos e políticas definidas.
Ao nível de processo de negócio, os controles são aplicados à aplicações específicas.
Esses controles, denominados controles de aplicação, podem ser automáticos ou manuais e
são controlados pelas áreas de negócio da organização. Para suportar essas aplicações a
área de TI fornece serviços como controle de mudanças, desenvolvimento de sistemas.
Esses serviços são conhecidos como controles gerais de TI e são controlados pela área de
TI.
Segundo o COBIT, o projeto e implementação de controles de aplicação automáticos
é de responsabilidade de TI. O gerenciamento operacional e a responsabilidade de controlar
as aplicações é responsabilidade dos proprietários dos processos de negócio. Logo, os
processos de TI do COBIT cobrem os controles de TI. Uma lista recomendada de objetivos
de controles de aplicações é fornecida pelo COBIT.
II.1.2.4- Dirigido por medidas
Para entender como os sistemas de TI estão implementados e qual o nível de
gerenciamento e controle que a organização deve implementar são necessários métricas e
medidas e monitoração. O COBIT fornece modelos de maturidade para identificar os pontos
de melhoria e metas de desempenho e métricas para os processos de TI baseados nos
princípios do BSC.
30
O modelo de maturidade é baseado no método de avaliar a organização utilizando
uma escala de zero (inexistente) a cinco (otimizada), conforme apresentado na figura II.6. O
objetivo é identificar onde estão os problemas e definir prioridades para melhorias. Os níveis
de maturidade são como perfis do processos de TI e identificam um possível estado atual e
futuro da organização.
Figura II.6 – Modelo de Maturidade
Fonte: Adaptado de IT Governance Institute (2006)
A medição do desempenho é efetuada através de metas e métricas. No COBIT elas
estão definidas em três níveis. Metas e métricas de TI sobre o que o negócio espera de TI,
metas e métricas de processos que definem o que os processos de TI devem entregar para
suportar os objetivos de TI e métricas de desempenho de processos.
Dois tipos de métricas são utilizados no COBIT: KGI e KPI. Os KGI definem medidas
que diz ao gerenciamento, depois de ocorrido, se um processo de TI atingiu seus
requerimentos de negócio. Geralmente é expresso em um critério de informação como, por
exemplo, disponibilidade da informação necessária para suportar as necessidades de
negócio. Os KPI definem medidas que determinam o quanto os processos de TI estão
atingindo as metas. Eles indicam se uma meta vai ser atingida ou não e são bons
indicadores de capacidade, práticas e habilidades.
Para definir métricas eficazes devem ser seguidas algumas características como ser
comparável internamente e externamente, ser fácil de medir e não ser confundida com os
objetivos e não serem difíceis de gerar. É melhor ter menos métricas bem definidas do que
muitas de pouca qualidade.
Conforme descrito na figura II.7, as metas são definidas de cima para baixo, ou seja,
as metas de negócio irão definir um número de metas de TI necessárias para suportá-las.
Por sua vez as metas de TI irão definir as metas de processos necessárias e cada processo
irá definir as metas da atividade. O atingimento das metas é medido pelo KGI e direciona o
atingimento das metas acima. A métrica que mede o atingimento das metas de atividade
31
são os KPI. As métricas permitem corrigir o desempenho e re-alinhar com as metas (IT
GOVERNANCE INSTITUTE, 2006).
Figura II.7 – Relacionamento entre processos, metas e métricas
Fonte: Adaptado de IT Governance Institute (2006)
II.1.3- Detalhamento de um Processo do COBIT
Cada processo de TI definido pelo COBIT é descrito em quatro sessões contendo
aproximadamente uma página. A primeira sessão contém uma descrição do processo
sumarizando os objetivos com o objetivo de controle mais alto representado primeiramente.
Também contém um mapeamento do processo ao critério de informação, recursos de TI e
as áreas de foco de governança de TI representado por P como relacionamento principal e
S como secundário.
A segunda sessão contém os objetivos de controle detalhados. A terceira sessão
contém as entradas e saídas do processo, o gráfico RACI, as metas e as métricas. A quarta
sessão contém o modelo de maturidade do processo.
A entrada do processo representa o que o proprietário do processo necessita dos
outros. A descrição dos objetivos de controle descreve o que o proprietário necessita fazer.
A saída do processo apresenta o que o proprietário precisa entregar. As metas e as
métricas mostram como o processo deve ser medido. O gráfico RACI apresenta o que deve
ser delegado e para quem. O modelo de maturidade mostra o que deve ser feito para
melhorar o processo.
32
O gráfico RACI apresenta os papéis que tem relacionamento com o processo e
incluem desde o Chief Executive Officer (CEO) até o administrador de TI. Em alguns
processos alguns papéis são adicionados.
A seguir, um exemplo com a descrição de como o COBIT detalha um dos 34
processos de TI. O processo abaixo corresponde ao domínio de entrega e suporte (DS13
Gerencia Operações).
II.1.3.1- Descrição do processo Para efetuar um completo processamento de dados com acuracidade é necessário
um gerenciamento efetivo do processamento de dados e manutenção do hardware. Esse
processo inclui a definição de políticas e procedimentos de operação para um efetivo
gerenciamento de processamento de programação, proteção de produção sensível,
monitoração de infra-estrutura e manutenção preventiva de hardware. Um gerenciamento
efetivo das operações auxilia a manter a integridade dos dados e reduz demora no negócio
e custos operacionais de TI.
II.1.3.2- Definição macro de objetivo de controle
Controle sobre o processo de
Gerencia de operações de TI
que satisfaça os requerimentos de negócio para TI
de manter a integridade dos dados e assegurar que a infra-estrutura
de TI possa resistir e recuperar erros e falhas, focando em atingir os
níveis de serviços operacionais para gerenciamento de
processamento de programação, proteção de produção sensível,
monitoração e manutenção de infra-estrutura.
Isto é atingido
operando o ambiente de TI em linha com os níveis de serviços
acertados e as instruções definidas e mantendo a infra-
estrutura de TI.
E é medido
pelo número de níveis de serviços impactados por
incidentes operacionais, horas de quedas não
planejadas causadas por incidentes operacionais e
percentual de recursos de hardware incluídos em
programação de manutenção preventiva.
33
II.1.3.3- Objetivos de Controle detalhados
DS13.1 Instruções e procedimentos de operações
Define, implementa e mantém procedimentos padrões para operações de TI e
assegura que o pessoal de operação está familiarizado com todas as tarefas de operação
relevantes. Os procedimentos operacionais devem cobrir entrega de turno (entrega formal
de atividades, atualização de estado, problemas operacionais, procedimentos de escalada e
relatórios de responsabilidades correntes).
DS13.2 Programação de tarefas
Organiza a programação de jobs, processos e tarefas na mais eficiente seqüência,
maximizando a quantidade e utilização para atingir os requerimentos de negócio. A
programação inicial, bem como as mudanças a essas programações, devem ser
autorizadas. Procedimentos devem ser definidos para identificar, investigar e aprovar saídas
de programação de tarefas padrões.
DS13.3 Monitoração da infra-estrutura de TI
Define e implementa procedimentos para monitorar a infra-estrutura de TI e seus
eventos. Assegura que os registros operacionais contém informação cronológica suficiente
para possibilitar a reconstrução, revisão e exame das seqüências de tempo das operações e
outras atividades relacionadas ao suporte operacional.
DS13.4 Documentos sensíveis e dispositivos de produção
Estabelecem apropriadas garantias físicas, práticas de contabilização e
gerenciamento de inventário sobre os recursos sensíveis de TI como formulários especiais,
instrumentos negociáveis, impressoras de propósito especial ou fichas de segurança.
DS13.5 Manutenção preventiva de hardware
Define e implementa procedimentos para assegurar a manutenção regular da infra-
estrutura para reduzir a freqüência e o impacto de falhas ou degradação de desempenho.
II.1.3.4- Entrada e Saída
Os seguintes processos apresentados na tabela II.3 são fornecedores e recebedores
de informações do processo Gerencia Operações.
De Entrada Saída ParaAI4 Manuais de usuários, operacional, suporte, técnico e administrativo Registro de incidentes DS8AI7 Planos de distribuição, promoção para produção e liberação de software Registro de erros DS10DS1 SLA e OLA Relatórios de desempenho de processos ME1DS4 Armazenamento de backup e plano de proteçãoDS9 Detalhes de recursos e configuração de TIDS11 Instruções de operação para gerenciamento de dados
Tabela II.3 – Entrada e saída do processo DS13 Fonte: Adaptado de IT Governance Institute (2006)
34
II.1.3.5- Planilha RACI
A planilha apresentada na tabela II.4 apresenta as principais atividades e as funções
responsáveis por cada atividade referente ao processo de Gerencia Operações.
Atividades CE
O
CF
O
Exe
cutiv
o de
N
egóc
io
CIO
Pro
prie
tário
do
Pro
cess
o de
N
egóc
io
Enc
arre
gado
por
O
pera
ções
Arq
uite
to L
íder
Des
envo
lvim
ento
C
hefe
Adm
inis
trad
or
Che
fe d
e T
I
PM
O
Con
form
idad
e,
Aud
itoria
, Ris
co e
S
egur
ança
Cria/Modifica procedimentos operacionais A/R IPrograma carga de trabalho e tarefas C A/R C CMonitora a infra-estrutura, processamento e resolve problemas A/R IGerencia e cotrola os relatórios impressos (papel, fitas, etc) A/R CAplica correções ou mudanças na programação e infra-estrutura C A/R C C CImplementa /estabelece um processo para garantir autenticação de dispositivos contra interferência, perda ou roubo A R I CPrograma e executa manutenção preventiva A/RR=Responsável; A=Accountable; C=Consultado; I=Informado
Tabela II.4 – Planilha RACI Fonte: Adaptado de IT Governance Institute (2006)
II.1.3.6- Metas e Métricas
As metas das atividades, processos e TI e suas respectivas métricas são
apresentadas na figura II.8.
Figura II.8 – Metas e métricas do processo DS13
Fonte: Adaptado de IT Governance Institute (2006)
35
II.1.3.7- Modelo de Maturidade
O modelo de maturidade para o processo de gerência de operação com o objetivo de
satisfazer o requerimento de negócio para TI de manter a integridade dos dados e assegurar
que a infra-estrutura de TI pode resistir e recuperar de erros e falhas é definido a seguir:
0 Não-existente quando
a organização não dedica tempo e recursos para estabelecimento básico de
atividades de operação e suporte.
1 Inicial / Sob demanda quando
a organização reconhece a necessidade de estruturar as funções de suporte de TI.
Poucos procedimentos padrões estão definidos e as atividades operacionais são reativas
por natureza. A maioria dos processos operacionais estão programados informalmente e os
requerimentos de processamento são aceitos sem validação prévia. Os sistemas,
computadores e aplicações que suportam os processos de negócio são freqüentemente
interrompidos, atrasados ou indisponíveis. Tempo é perdido enquanto os funcionários
esperam pelos recursos. As saídas dos processamentos algumas vezes aparecem em
lugares não esperados ou nem mesmo aparecem.
2 Repetitivo, mas intuitivo quando
a organização tem noção do papel chave que as atividades de operação de TI tem
em fornecer funções de suporte de TI. Orçamento para ferramentas são alocadas a cada
caso. As operações de suporte de TI são informais e intuitivas. Existe uma alta dependência
de habilidade de cada individuo da organização. As instruções do que fazer, quando e em
que ordem não estão documentadas. Existe algum treinamento operacional e alguns
padrões formais de operação.
3 Processo definido quando
a necessidade para gerenciamento automático das operações é compreendida e
aceita dentro da organização. Recursos são alocados e algum treinamento prático ocorre.
Funções repetitivas são formalmente definidas, padronizadas, documentadas e
comunicadas. Os eventos e resultados de tarefas executadas são registradas com limitado
reporte gerencial. O uso de programação automática e outras ferramentas é introduzido
para limitar a intervenção do operador. Controles são introduzidos ao colocar novas tarefas
na operação. Uma política formal é desenvolvida para reduzir o número de eventos não
programados. Acordos de serviço e manutenção com terceiros são ainda informais por
natureza.
4 Gerenciado e medido quando
as operações computadorizadas e as responsabilidades de suporte são claramente
definidas e a propriedade é atribuída. Operações são suportadas através de recursos
36
alocados para gasto com capital e recursos humanos. Treinamento é formalizado e
disponibilizado. Programação e tarefas são documentadas e comunicadas, tanto
internamente para a função de TI como para os clientes de negócio. É possível medir e
monitorar as atividades diárias com acordos de desempenho padrão e níveis de serviço
definidos. Qualquer desvio das normas estabelecidas são endereçadas rapidamente e
corrigidas. A gerência monitora o uso dos recursos computacionais e o término do trabalho
ou tarefas atribuídas. Um esforço em andamento existe para aumentar o nível de
automação de processo como um meio de melhoria contínua. Acordos formais de
manutenção e serviço são definidos com terceiros. Existe um alinhamento total entre os
processos de gerenciamento de problema, capacidade e disponibilidade, suportados por
uma análise de causas de erros e falhas.
5 Otimizado quando
as operações de suporte de TI são efetivas, eficientes e flexíveis bastante para
atingir as necessidades de nível de serviço com uma mínima perda de produtividade. Os
processos de gerenciamento operacional de TI são padronizados e documentados em uma
base de conhecimento e são objetos de melhoria contínua. Processos automáticos que
suportam os sistemas operam normalmente e contribuem para um ambiente estável. Todos
os problemas e falhas são analisadas para identificar a causa raiz. Reuniões regulares com
gerenciamento de mudanças assegura inclusão a tempo de mudanças na programação da
produção. Em cooperação com terceiros, equipamento é analisado por sintomas de mal
funcionamento ou tempo de uso e a manutenção é, principalmente, preventiva por natureza.
II.1.4- Documentação fornecida pelo COBIT
O COBIT fornece as seguintes documentações e definições necessárias para
entendimento e implementação do modelo:
• Estrutura, como o COBIT organiza os objetivos de Governança de TI e as melhores
práticas através de domínios e processos de TI e a associação deles com os
requerimentos de negócio.
• Objetivos de controle, conjunto genérico de melhores práticas de objetivos de
gerenciamento de todas as atividades de TI.
• Práticas de controle, explica a importância da implementação de controles e de
como implementá-los.
• Guia de garantia de TI, fornece uma metodologia para auditar todos os processos
de TI do COBIT.
37
• Objetivos de controle de TI para Sarbanes-Oxley (SOX), fornece um guia de
como se certificar que o ambiente de TI está de acordo com os objetivos de controle
do COBIT.
• Guia de implementação de governança de TI, fornece um guia de como
implementar a governança de TI dentro do modelo COBIT.
• Inicio rápido COBIT, fornece uma linha básica de controle para implementação do
COBIT em pequenas organizações e um possível primeiro passo para grandes
organizações.
• Linha básica de segurança do COBIT, fornece os passos essenciais para
implementação de segurança de informação dentro da organização.
O alinhamento entre os requerimentos de negócio, recursos de TI e processos de TI
apresentados na figura II.9 formam a estrutura principal do COBIT.
Figura II.9 – O cubo do COBIT
Fonte: Adaptado de IT Governance Institute (2006)
II.2- Information Technology Infrastructure Library
O modelo ITIL foi desenvolvido na Inglaterra pela CCTA (Central Computer and
Telecommunications Agency) no final da década de 80 e surgiu da necessidade do governo
inglês de ter processos organizados na área de TI (RUDD, 2004). Várias experiências
acumuladas por organizações públicas e privadas de diversos países contribuíram para o
desenvolvimento desse modelo. O gerenciamento de TI deve efetivamente e eficientemente
gerenciar pessoas, produtos (tecnologia), processos e parceiros para prover um serviço de
qualidade e alinhado com a estratégia da organização. Em geral o que acontece é o uso da
tecnologia como foco principal e os outros três recursos são adaptados para se
38
enquadrarem na utilização da tecnologia. Um dos princípios básicos do ITIL é que as
pessoas e processos devem ser os primeiros recursos a serem alinhados.
Uma característica importante é que esse modelo define "o que deve ser feito" e não
o "como será feito". A figura II.10 apresenta a estrutura do modelo e seus relacionamentos
com a tecnologia e o negócio.
Figura II.10 – O modelo ITIL.
Fonte: Adaptado de ITSM (2005)
Segundo o ITIL o Gerenciamento de Serviço deve englobar qualquer aspecto do
Gerenciamento de TI, não somente a Entrega de Serviço e o Suporte a Serviços como
muitos definem. Outro foco do ITIL é a busca da satisfação do cliente e do negócio, através
de várias atividades com foco no relacionamento com o cliente.
No ITIL não existe um solução global para o gerenciamento e entrega dos serviços
de TI com qualidade. Ele provê uma estrutura comum direcionado por processo onde vários
especialistas, autoridades e expoentes da industria trabalharam para chegar a uma
definição essencial de processos envolvidos. Por isso ele pode ser implementado em
qualquer organização, na pequena ou grande, na nacional ou internacional, na pública ou
privada.
“O ITIL fornece guias de melhores práticas e arquitetura que asseguram que os processos de TI estão intimamente ligados aos processos de negócios e que TI entrega soluções de negócio apropriadas e corretas. O ITIL não é um padrão, nem regra ou
39
regulamentos e, conseqüentemente, nem ferramentas, processos e pessoas podem ser intituladas em conformidade com o ITIL (itSMF, 2004).“
O modelo ITIL fornece guias de melhores práticas de processos de gerenciamento
de TI de modo que estejam alinhados com os processos de negócio e que TI entregue
soluções de negócios apropriadas. Um dos maiores objetivos do ITIL é auxiliar as
organizações fornecedoras de serviços de TI no aumento da eficiência e eficácia de TI ao
mesmo tempo em que aumenta a qualidade do serviço prestado dentro dos parâmetros de
custo.
Um dos grandes cuidados ao se implementar o ITIL é ter definidos métricas de
negócio, fatores críticos de sucesso e indicadores chaves de desempenho para que se
possam medir os benefícios da implementação do ITIL. Caso contrário a implementação do
ITIL pode ser facilmente visto como um novo processo burocrático e vai inibir mudanças.
O modelo ITIL apresenta os seguintes módulos:
Entrega de Serviço: responsável pelo planejamento e entrega dos serviços de TI com
qualidade.
Suporte a Serviços: responsável pelos processos diários de suporte e manutenção do
serviços de TI prestados.
Gerenciamento de Infra-estrutura de ICT (Information and Communication
Technology): responsável por todos os aspectos de gerenciamento da infra-estrutura desde
a identificação dos requerimentos de negócios até o teste, instalação, entrega, suporte
operacional e otimização dos componentes de infra-estrutura e serviços de TI.
Planejamento para Implementação de Gerenciamento de Serviço: responsável por
examinar os problemas e atividades envolvidas no planejamento, implementação e melhoria
dos processos de gerenciamento dentro da organização.
Gerenciamento de Aplicação: responsável pelo gerenciamento de aplicações desde a
necessidade inicial de negócio até o final, compreendendo todos os estágios do ciclo de vida
da aplicação.
Perspectiva de Negócio: responsável por prover diretrizes e dar conselhos para ajudar o
pessoal de TI a entender como eles podem contribuir aos objetivos de negócio.
Gerenciamento de Segurança: responsável por planejar e gerenciar um nível de
segurança para informação e os serviços de TI, incluindo todos os aspectos associados
como, por exemplo, incidentes de segurança e gerenciamento de riscos e vulnerabilidades.
A figura II.11 mostra o relacionamento entre cada módulo do ITIL bem como os
resultados e saídas de cada processo e onde são utilizados.
40
Figura II.11 – Relacionamento entre os processos do ITIL Fonte: Adaptado de itSMF (2004)
II.2.1- Entrega de Serviço
Consiste no Gerenciamento do Nível de Serviço (SLM), Gerenciamento Financeiro
para Serviços de TI, Gerenciamento de Capacidade, Gerenciamento de Continuidade de
Serviço de TI e Gerenciamento de Disponibilidade. Esses processos, conforme descritos na
figura II.12, estão preocupados com o desenvolvimento de planos para melhorar a qualidade
do serviço de TI entregue na organização.
O processo de Gerenciamento de Nível de Serviço é responsável por negociar,
documentar, acordar e revisar requerimentos de serviços e objetivos, através de Relatórios
de Níveis de Serviço (SLR) e Acordos de Nível de Serviços (SLA). O SLM, também, negocia
com as áreas de suporte e parceiros firmando Acordo de Nível Operacional (OLA)s para os
objetivos de suporte, afim de que os objetivos definidos nos SLAs sejam cumpridos. Outra
41
função é o desenvolvimento e manutenção do Catálogo de Serviço fornecidos pela
organização de TI e pelos planos de melhoria de qualidade de TI.
Figura II.12 – Entrega de Serviço Fonte: Adaptado de itSMF (2004)
O processo de Gerenciamento Financeiro para Serviços de TI é responsável por
manter a saúde financeira da organização de TI, controlar o plano financeiro de TI e
implementar um controle de cobrança dos serviços de TI.
O processo de Gerenciamento de Capacidade é responsável por manter que o
ambiente de TI tem infra-estrutura e capacidade adequada para atingir os requerimentos de
negócio. Criar e controlar o Plano de Capacidade associado com a estratégia de negócio
revendo-o periodicamente. Dentro dessas atividades enquadram-se o Gerenciamento de
Desempenho, Gerenciamento de Produção, Gerenciamento de Demanda e Modelagem e
Definição de Aplicações.
O Gerenciamento de Continuidade de Serviço de TI é responsável por produzir
planos de recuperação, em casos de incidente que cause uma paralisação dos serviços de
TI, de modo que o serviço não seja paralisado.
O Gerenciamento de Disponibilidade é responsável por certificar que a
disponibilidade dos serviços prestados atinja ou supere os objetivos definidos. Para atingir
isso é necessário monitorar, medir, reportar e rever métricas dos serviços e componentes.
II.2.2- Suporte a Serviços
42
Este processo, conforme apresentado na figura II.13, lida mais com o dia a dia
operacional e abrange o Gerenciamento de Incidentes, Gerenciamento de Problemas,
Gerenciamento de Mudanças, Gerenciamento de Configuração, Gerenciamento de
Liberação e a função de Central de Serviços.
Figura II.13 – Suporte a Serviços Fonte: Adaptado de itSMF (2004)
A Central de Serviços é a porta de entrada de todos os usuários de serviços de TI e
onde se manuseia os incidentes, requerimentos e perguntas.
O Gerenciamento de Incidentes é responsável pela a identificação e registro até a
resolução e fechamento de incidentes. O objetivo principal é restabelecer o serviço o mais
rápido possível com a mínima descontinuidade de serviço.
O Gerenciamento de Problemas é responsável por minimizar um impacto no
negócio da empresa gerado por um incidente ou problema, através do gerenciamento dos
maiores incidentes e problemas. Em paralelo registra todas as resoluções temporárias como
“erros conhecidos” e abre mudanças para implementar correções definitivas. Além disso,
efetua uma análise dos incidentes e problemas ocorridos para pró-ativamente prevenir o
ambiente de futuros incidentes e problemas.
O Gerenciamento de Mudanças é responsável por controlar, de maneira
centralizada, todas as mudanças que ocorrem na organização. Esse processo envolve as
atividades relacionadas com o registro, filtragem, análise e categorização, autorização,
programação, teste e implementação e, por fim, a revisão e o fechamento da mudança.
43
O Gerenciamento de Liberação é responsável por todas as obrigações contratuais
e legais de todo o hardware e software utilizado na organização.
O Gerenciamento da Configuração é responsável pela base de dados, composta
de um ou mais banco de dados, que contém todos os componentes da infra-estrutura de TI
e outros recursos associados. Essa base de dados, denominada banco de dados de
gerenciamento de configuração (CMDB), compreende todos os itens de configuração (CI)
definidos e sua relação entre eles. Essa relação permite efetuar uma análise de impacto
entre os componentes e análise de cenários. O CMDB é a base fundamental que permite o
gerenciamento de serviço de TI (itSMF, 2004).
II.2.3- Gerenciamento de Infra-estrutura de ICT
O Gerenciamento de ICT é responsável pelas atividades relacionadas ao
gerenciamento da infra-estrutura de TI e compreende todo o processo de Gerenciamento e
Administração, Projeto e Planejamento, Suporte Técnico, Entrega e Operação. A figura II.14
apresenta o relacionamento entre as funções desse processo.
Figura II.14 – Gerenciamento de ICT
Fonte: Adaptado de itSMF (2004)
O Gerenciamento da Infra-estrutura está mais relacionado com as ferramentas e
tecnologias disponibilizadas a serem utilizadas na organização. É responsável pelo
gerenciamento completo de um serviço através de todas as fases de ciclo de vida, desde a
análise dos requerimentos até a operação e desativação do serviço. Certifica-se que todos
44
os eventos operacionais são endereçados e todos os objetivos operacionais são atingidos. É
objetivo do gerenciamento participar de revisões de auditorias e qualidade e de situações de
crise. É responsabilidade dessa área certificar que todos os processos de suporte estão
disponíveis para que todas as áreas de TI possam operar efetivamente e eficientemente.
A função de Planejamento e Projeto é responsável pelas questões estratégicas
relacionadas ao ambiente de infra-estrutura. São os responsáveis pela interação com o
negócio para definição dos planos e arquiteturas e estratégias para o provisionamento das
soluções de infra-estrutura. Além disso, tem a missão de trabalhar junto a todos os gerentes
de negócio e de TI para certificar que os planos e estratégias estão coordenados e
alinhados, conforme apresentado na figura II.15.
Figura II.15 – Componentes do ICT
Fonte: itSMF (2004)
A função de Entrega é responsável por definir projetos e metodologias para que as
novas soluções de ICT sejam implementadas com qualidade e sem interrupção do negócio.
A função de Operação é responsável pelo controle e gerenciamento do ambiente e
serviço de TI. Utiliza ferramentas de gerenciamento e efetua a otimização e o ajuste de
todas as áreas operacionais da infra-estrutura de ICT.
A função de Suporte Técnico certifica que existem pessoas, habilidades e
conhecimento disponíveis para entregar o serviço prestado. Um grupo de pessoas
especialistas é mantido para suportar o ambiente e pesquisa e desenvolvimento de novas
tecnologias e servir de suporte de terceiro nível para as outras áreas de TI.
45
Segundo o ITIL o ponto focal de qualquer ferramenta e processo de Gerenciamento
de ICT é a correlação e o gerenciamento de eventos. É essencial que as ferramentas de
gerenciamento de eventos sejam integradas em uma arquitetura única e se relacione com
todas as outras disciplinas de gerenciamento, conforme apresentado na figura II.16.
Figura II.16 – Gerenciamento de eventos
Fonte: Adaptado de itSMF (2004)
II.2.4- Planejamento para Implementação de Gerenciamento de Serviço
Este modulo se preocupa com as atividades necessárias para implementar ou
melhorar o ITIL dentro da organização. Inclui atividades relacionadas com mudanças
organizacionais, culturais, planejamento e projeto, definição de processo e melhoria de
desempenho. A figura II.17 descreve as atividades necessárias para implementação do
planejamento.
Primeiramente uma visão geral de Gerenciamento de TI é produzida, onde o
alinhamento entre negócio e TI é descrito e acordado. Após a definição da visão é
identificado onde a organização se encontra dentro dessa visão, em termos de processos,
pessoas, tecnologia, cultura, estratégia. Tira-se uma fotografia do momento atual da
organização. O próximo passo é definir onde se quer chegar. Através da análise de
deficiências feito pela avaliação da situação atual. O objetivo aqui é gerar um caso de
negócio para implementação do Gerenciamento de TI. Depois é definido um plano de como
se implementa o projeto de Gerenciamento de TI, através da definição de como será
implementado, o escopo final do projeto e os termos do projeto. Com esse plano um
46
conjunto de pontos de controle, resultados e KPIs deve ser acordado de modo que seja
consistente para medir o andamento do projeto.
Figura II.17 – Planejamento para gerenciamento de serviço
Fonte: Adaptado de itSMF (2004)
Cada etapa do projeto deve ser medido e monitorado e essas medidas devem conter
parâmetros para medir benefícios de negócios atingidos e melhorias da qualidade de
negócio. Por fim, através de pequenas vitórias, é possível manter a motivação e apresentar
os benefícios advindos do projeto. E isso vai sendo incorporado no dia a dia operacional
(itSMF, 2004).
II.2.5- Gerenciamento de Aplicação
Um dos grandes problemas em TI é o alinhamento entre desenvolvimento de
aplicações e gerenciamento de serviço de TI. A instalação de um sistema deve levar em
conta aspectos de gerenciamento como operacionalidade, disponibilidade, manutenção,
desempenho, entre outros. Para isso na fase de desenvolvimento de aplicação os
requerimentos da área de negócios e de gerenciamento de TI devem ser levantados. Outro
ponto de problema é manter o crescente número de aplicações. Isso pode ser feito através
da implantação de um lista de aplicações, que permite ter uma visão e avaliação de um
grupo inteiro de aplicações dentro da organização.
47
A estratégia de implementação de aplicações deve ser conhecida baseada no
entendimento de como a organização controla, mantém e opera o ambiente de TI. Assim o
desenvolvimento de aplicação e gerenciamento de TI deve ser alinhado e inter-relacionado.
A cada fase do desenvolvimento uma lista de controle deve ser definida para que os
aspectos do gerenciamento de TI estejam considerados e endereçados.
II.2.6- A Perspectiva de Negócio
A função de perspectiva de negócio é se preocupar com a entrega de serviços de TI
focados nos princípios e requerimentos do negócio e de sua operação. Entre os principais
objetivos estão habilitar o pessoal de TI a entender como eles contribuem para o negócio;
habilitar o pessoal de TI a melhor entregar os serviços de TI alinhados com os objetivos de
negócio; habilitar o pessoal de TI a ajudar o negócio a utilizar ao máximo os recursos de TI;
habilitar uma cultura de integração com o negócio; influenciar, inovar e promover mudanças
para garantir vantagens para o negócio; alinhar TI com o negócio (itSMF, 2004).
Para tornar isso efetivo vários processos devem ser implementados para o efetivo
alinhamento entre TI e negócio. Esse alinhamento deve cobrir, não somente o ambiente
corrente, mas o futuro também, e nos três níveis: estratégico, tático e operacional. Esses
processos são descritos na figura abaixo:
O alinhamento de negócio e TI dever ser iniciado pelo topo, com o alinhamento das
estratégias de TI, governança e cultura com aqueles do negócio.
A nível tático e operacional o uso de Catálogo de Serviços e SLAs é utilizado para
marcar TI e os serviços com o negócio. Também age como ligação entre negócio e TI
aumentando o fluxo de informação, planejando comunicação de negócio e coordenando as
atividades de BRM (Business Relationship Management) e SRM (Suplier Relationship
Maangement).
II.2.7- Gerenciamento de Segurança
O processo de gerenciamento de segurança se preocupa com o gerenciamento de
um nível de segurança para a informação, a infra-estrutura e os serviços de TI. Através da
implementação de controles de segurança, gerenciamento de incidentes de segurança,
auditorias de segurança e relatórios apresentando o status da segurança da informação.
O gerenciamento de segurança deve ser atividade de todo gerente de TI. Através do
processo de Gerenciamento e avaliação de Risco o gerente de TI deve reduzir o risco de
incidentes de segurança a níveis aceitáveis (itSMF, 2004).
48
O processo de segurança de informação é descrito na figura II.18 e cobre todos os
estágios desde a definição de políticas e a avaliação de risco inicial, passando por
planejamento, implementação, operação até a avaliação e auditoria.
Figura II.18 – Gerenciamento de segurança
Fonte: Adaptado de itSMF (2004)
A política de segurança de informação deve ser disponibilizada para toda a
organização e sempre enforçada e revisada. A descrição do processo de segurança do ITIL
é descrito na figura II.19:
49
Figura II.19 – Processo de gerenciamento de segurança de TI
Fonte: Adaptado de itSMF (2004)
A avaliação e gerenciamento de risco e vulnerabilidade e a implementação de
medidas para reduzir vulnerabilidades e riscos são atividades intrínsecas de todo o processo
de gerenciamento de segurança.
II.3- eSourcing Capability Model for Service Providers
O eSourcing Capability Model for Service Providers (eSCM-SP) é um modelo voltado
para os provedores de TI. Foi desenvolvido através de um consórcio formado por empresas
da área tecnológica como IBM Global Services, EDS, Accenture e Satyam Computer
Systems e liderado pela Information Technology Services Qualification Center (ITsqc) da
universidade americana Carnegie Mellon University (CMU). O modelo propõe servir de guia
aos provedores de serviço de TI, definir critérios de avaliação dos provedores de serviço e
prover um padrão para ser usado pelos provedores de serviços de TI (MONTEIRO, 2004).
O eSCM-SP é um modelo de melhores práticas e sua última versão v.2 possui um
conjunto de 84 práticas. Cada uma dessas práticas contém um resumo, descrição, lista de
atividades necessárias e informações adicionais para esclarecer as atividades definidas.
A maioria das práticas objetiva o estabelecimento de uma política, procedimento,
guia, programa ou plano. As práticas são distribuídas em três dimensões: Ciclo de Vida de
Fornecimento, Áreas de Capacidade e Níveis de Capacidade.
50
II.3.1- Ciclo de vida de fornecimento
A primeira dimensão do modelo direciona as práticas para o ciclo de vida de
fornecimento de serviços relacionados à iniciação e encerramento do contrato.
Figura II.20 – Ciclo de vida de fornecimento – eSCM-SP
Fonte: Monteiro (2004)
O Ciclo de Vida de Fornecimento, conforme figura II.20 é dividido em quatro fases,
sendo uma contínua e outras três que ocorrem em momentos específicos e definidos.
Na fase de Contínuo são representadas funções que precisam ser realizadas
durante todo o ciclo do contrato e envolvem as práticas de Gestão e Motivação das equipes;
Gestão dos Relacionamentos com os clientes, fornecedores e parceiros de negócio;
Medição e revisão do desempenho organizacional e tomada de ações para a melhoria do
desempenho; Gestão dos sistemas de conhecimentos; Identificação e controle de riscos e
ameaças; Gestão da infra-estrutura tecnológica de suporte a execução do serviço.
Na fase de Iniciação são representadas funções que focam nas capacidades
necessárias para preparar a execução do serviço e envolvem as práticas de Preparação
para a negociação; Entendimento dos requisitos do cliente; Análise da habilidade da
organização em atender aos requisitos do cliente; Interação com o cliente para confirmar
pontos que causam impacto nos compromissos acordados; Estabelecimento de um acordo
formal com o cliente que claramente articule as responsabilidades e compromissos da
organização e do cliente; Gestão efetiva da transferência de recursos necessários à
execução do serviço, incluindo pessoal, infra-estrutura tecnológica e ambiente de trabalho;
Obtenção e uso do feedback no projeto do serviço a fim de garantir que estão sendo
atendidos os requisitos do cliente e os compromissos acordados e Gestão efetiva do projeto
e elaboração do serviço.
Na fase de Execução são representadas funções focadas nas capacidades de
executar o serviço projetado, incluindo o gerenciamento contínuo da execução do serviço,
verificação se os compromissos estão sendo atendidos e gerenciamento dos custos
associados com a provisão do serviço. Envolvem as práticas de Planejamento e
51
acompanhamento das atividades de execução do serviço; Execução do serviço de acordo
com os compromissos; Fornecimento de treinamento adequado aos clientes e usuários
finais para habilitá-los a efetivamente utilizar os serviços; Gestão dos custos associados à
execução do serviço; Identificação e controle das mudanças nos serviços sendo executados
ou nos compromissos associados ao serviço; Identificação de problemas que impactem a
execução do serviço e tomada de ações preventivas e corretivas.
Na fase de Encerramento são representadas funções relacionadas ao término do
Ciclo de Vida de Fornecimento, incluindo práticas de Gestão efetiva da transferência de
recursos para o novo provedor de serviços; Garantia da continuidade do serviço durante a
transferência das responsabilidades e Identificação e transferência do conhecimento crítico
para a execução do serviço.
II.3.2- Áreas de capacidade
A segunda dimensão do modelo está relacionado à área de capacidade e
compreendem as práticas contínuas de Gestão do Conhecimento, Gestão de Pessoas,
Gestão de Desempenho, Gestão de Relacionamento, Gestão de Tecnologia e Gestão de
Ameaças. Outras quatro práticas são temporais e associadas a uma única fase do Ciclo de
Vida de Fornecimento, sendo elas Contratação, Projeto e Elaboração do Serviço e
Execução do Serviço. Com exceção da prática de Transferência do Serviço que se encontra
tanto da Iniciação quanto do Encerramento (MONTEIRO, 2004).
Figura II.21 – Áreas de capacidade – eSCM-SP
Fonte: Monteiro (2004)
Conforme apresentado na figura II.21 as áreas de capacidade compreendem:
• Gestão do Conhecimento (knw) contém oito práticas que focam no
gerenciamento dos sistemas de informação e conhecimento.
• Gestão de Pessoas (ppl) contém onze práticas que focam no gerenciamento e
motivação do pessoal da organização. Compreende o estabelecimento e
52
manutenção do ambiente de trabalho produtivo, gestão de competências, gestão
da satisfação dos colaboradores, motivação e retenção profissional.
• Gestão de Desempenho (prf) contém onze práticas que focam no
gerenciamento do desempenho organizacional e envolve, principalmente, a
manutenção das vantagens competitivas, inovação e flexibilidade organizacional.
• Gestão de Relacionamentos (rel) contém oito práticas que focam em gerenciar
ativamente os relacionamentos com os envolvidos na prestação do serviço e
envolvem o gerenciamento das expectativas dos envolvidos, estabelecimento e
manutenção da confiança, garantia na eficácia das interações com os envolvidos,
gerenciamento dos relacionamentos com fornecedores e parceiros,
gerenciamento das diferenças culturais entre os envolvidos e o gerenciamento e
monitoramento da satisfação dos clientes e usuários finais do serviço.
• Gestão da Tecnologia (tch) contém seis práticas que focam no gerenciamento
da disponibilidade e da adequação da infra-estrutura tecnológica usada para dar
suporte a execução do serviço e envolve o gerenciamento das mudanças,
manutenção da disponibilidade, confiabilidade, acessibilidade e segurança da
tecnologia envolvida no serviço.
• Gestão de Ameaças (thr) contém sete práticas que focam a identificação e o
gerenciamento ativo das ameaças. Envolve o gerenciamento de riscos, com mais
atenção aos riscos associados com segurança, confidencialidade, infra-estrutura
e desastres que possam interromper o serviço ou causar falhas no atendimento
dos requisitos do cliente.
• Contratação (cnt) contém sete práticas que focam no gerenciamento eficaz do
processo de captura dos requisitos do cliente. Envolve a tradução das
necessidades explícitas e implícitas do cliente em requisitos definidos e o
estabelecimento do contrato entre os envolvidos no serviço.
• Projeto e Elaboração do Serviço (sdd) contém oito práticas que focam na
tradução dos requisitos do cliente e linguagem do contrato em um projeto
detalhado de como isso será fornecido. Envolve a revisão do projeto do serviço a
fim de garantir a cobertura adequada dos requisitos.
• Execução do Serviço (del) contém oito práticas que focam na execução
contínua do serviço baseado no projeto e de acordo com os compromissos
firmados com os clientes. Envolve o monitoramento e controle das atividades
para atender consistentemente aos compromissos com os clientes e manter a
continuidade do serviço.
53
• Transferência do Serviço (tfr) contém seis práticas que focam na transferência
de recursos entre o provedor do serviço e os clientes ou outros provedores de
serviço. Envolve a transferência sutil dos serviços e recursos e a captura e
transferência do conhecimento obtido durante o relacionamento com o cliente.
II.3.3- Níveis de capacidade A terceira dimensão do modelo são os Níveis de Capacidade e descrevem um
caminho de melhoria que deve ser seguido pelos provedores de serviço. A figura II.22
apresenta os níveis de capacidades definidos pelo modelo.
Figura II.22 – Níveis de capacidade – eSCM-SP
Fonte: Monteiro (2004)
No Nível 1 o provedor de serviço não possui nenhuma Prática. Os provedores neste
nível podem ou não ter implementado práticas dos níveis 2 e 3 do modelo. Estes provedores
de serviço oferecem alto risco porque geralmente prometem mais que podem cumprir e
porque não desenvolvem habilidades críticas para o fornecimento do serviço.
No Nível 2 o provedor de serviço tem procedimentos formalizados para obtenção dos
requisitos e execução dos serviços de acordo com os compromissos firmados com os
clientes e outros envolvidos. Neste nível, os serviços fornecidos não diferem
significativamente da experiência do provedor, podendo valer para apenas um
relacionamento de fornecimento. O provedor implementa todas as 48 Práticas do nível,
sendo capaz de obter e entender de forma sistemática os requisitos, projetar e elaborar os
serviços e executá-los com sucesso conforme os acordos de nível de serviço.
No Nível 3 o provedor de serviço é capaz de manter as características do nível 2
mesmo quando os serviços diferem significantemente da experiência do provedor. Neste
54
caso as práticas devem cobrir um contexto mais complexo, onde a gerência de
relacionamentos simultâneos faz-se necessária. O provedor é capaz de gerenciar seu
desempenho por toda a organização; perceber as tendências do mercado de serviços e as
variações dos requisitos, incluindo atributos culturais específicos; identificar e gerenciar os
riscos entre relacionamentos; e projetar e executar os serviços baseados em procedimentos
estabelecidos. O provedor atende a esta capacidade através do compartilhamento e
utilização do conhecimento e experiência obtidos nos relacionamentos anteriores; medindo
objetivamente e recompensando o desempenho das equipes; e monitorando e controlando a
infra-estrutura tecnológica.
No Nível 4 o provedor de serviço é capaz de continuamente inovar e agregar valor
aos serviços fornecidos aos clientes e outros envolvidos. Neste nível, o provedor é capaz de
customizar os serviços de acordo com o cliente e prever o seu desempenho baseado nas
experiências anteriores. O provedor atende esta capacidade através da avaliação e adoção
de avanços tecnológicos e definindo metas de desempenho baseadas na análise
comparativa de benchmarks internos e externos.
No Nível 5 o provedor de serviço demonstra desempenho e melhoria consistente
pela implementação das práticas dos níveis 2, 3 e 4 por duas ou mais avaliações de
certificação, durante um período de pelo menos dois anos. Não existem práticas adicionais
neste nível, a implementação efetiva e contínua de todas as práticas do eSCM-SP em um
ambiente de mudanças rápidas demonstra a capacidade de manter a excelência em toda
organização no decorrer do tempo.
II.4- Análise Comparativa dos Modelos
O modelo ITIL nasceu da necessidade de consolidar as áreas de TI e seu foco está
na qualidade dos serviços. Tem uma visão mais operacional e seu forte é a atuação em
processos. Os pontos fortes são o fato de já estar bem estabelecido, maduro, detalhado e
focado nos problemas de qualidade em operação e produção de TI. Como pontos fracos
não endereça o desenvolvimento de sistemas de gerenciamento de qualidade; não
direcionado para processos de desenvolvimento de software e limitado em segurança.
Diferente do ITIL, o COBIT não inclui tarefas e passos de processos porque é uma
estrutura de controle em vez de ser uma estrutura de processo. COBIT foca no que as
organizações precisam fazer, não como devem fazer. E a audiência é para auditores,
gerencia sênior de negócio e gerencia sênior de TI.
O modelo COBIT nasceu da necessidade de auditar processos e seu foco está no
alinhamento com o negócio. Tem uma visão mais gerencial e um dos pontos fortes está na
busca de controles. Os pontos fortes são a existência de bons listas de controles para TI,
55
habilita TI a identificar riscos não endereçados por outros e pode trabalhar bem com o ITIL.
Entre as limitações temos que ele identifica o que fazer, mas não como fazer; não trabalha
diretamente com desenvolvimento de software ou serviços de TI e não fornece um caminho
para a contínua melhora de processos.
O ITIL é baseado em definir processos de melhores práticas para entrega de serviço
e suporte de TI ao invés de definir uma estrutura abrangente de controle. Ele foca no
método. O ITIL tem um foco muito menor do que o COBIT porque foca no gerenciamento de
serviço de TI, mas define um conjunto de processos mais compreensível na esfera de
entrega de serviço e suporte. A audiência primaria é TI e gerenciamento de serviço
(MINGAY e BITTINGER, 2002).
Os princípios por traz do COBIT e ITIL são consistentes. Auditores freqüentemente
usam COBIT em combinação com ITIL para analisar o ambiente de gerenciamento de
serviço. O COBIT fornece um conjunto de indicadores de desempenhos e metas e fatores
críticos de sucesso para cada um de seus processos.
Muitos dos processos do COBIT, especialmente aqueles do domínio de entrega e
suporte como DS1, DS3, DS4, DS8, DS9 and DS10, contém similaridades a um ou mais
processos do ITIL como gerenciamento de nível de serviço, configuração, problema
incidente, capacidade, disponibilidade ou financeiro. Da mesma forma o processo de
gerenciamento de mudança AI6 mapeia bem com o processo de gerenciamento de
mudança do ITIL (MINGAY e BITTINGER, 2002).
A tabela II.5 apresenta um mapeamento mais completo entre os processos do ITIL e
do COBIT e pode ser verificado onde os modelos se complementam.
O ITIL não tem muita cobertura com relação aos outros três domínios do COBIT,
mas ele contribui com algum deles dentro de seu foco de gerenciamento de serviço de TI.
Por exemplo, ITIL enfatiza comunicação consistente e a participação da comunidade de
usuários. Da mesma forma, os princípios do COBIT de gerenciamento de qualidade são
consistente com os do ITIL. O ITIL não cobre gerenciamento de projeto (CobiT's PO10).
O COBIT é forte em controles e métrica de TI, mas não diz como executar, por
exemplo, fluxo de processos; e não é tão forte em segurança. Nenhum dos dois identifica
requerimentos para pessoas.
Em resumo, COBIT e ITIL não são mutuamente exclusivos e podem ser combinados
para fornecer uma estrutura mais poderosa de governança, controle e melhores práticas de
gerenciamento de serviço de TI. Organizações que queiram colocar seu programa de ITIL
em um contexto de uma estrutura de governança e controle mais abrangente devem usar o
COBIT (MINGAY e BITTINGER, 2002).
56
PROCESSOS DO COBIT Per
spec
tiva
de N
egóc
io
Ger
enci
amen
to d
e A
plic
ação
Ger
enci
amen
to d
e In
fra-
estr
utur
a de
ICT
Ger
enci
amen
to d
e S
egur
ança
Ger
enci
amen
to d
e In
cide
nte
Ger
enci
amen
to d
e P
robl
ema
Ger
enci
amen
to d
e C
onfig
uraç
ão
Ger
enci
amen
to d
e M
udan
ça
Ger
enci
amen
to d
e Li
bera
ção
Ger
enci
amen
to d
e N
ível
de
Ser
viço
Ger
enci
amen
to d
e C
apac
idad
e
Ger
enci
amen
to d
e D
ispo
nibi
lidad
e
Ger
enci
amen
to d
e C
ontin
uida
de d
e S
ervi
ço d
e T
I
Ger
enci
amen
to F
inan
ceiro
de
Ser
viço
s de
TI
PO - Planeja e OrganizaPO1 Define o plano estratégico de TI X XPO2 Define a arquitetura de informação XPO3 Determina a direção tecnológica XPO4 Define a organização e processos de TI e seus relacionamentos X X X X X X X X X X X XPO5 Gerencia o investimento de TI XPO6 Comunica direções e objetivos gerenciais XPO7 Gerencia recursos humanos de TI X XPO8 Gerencia qualidade X X X X X X X X X X X X X XPO9 Avalia e gerencia riscos de TI X X X X XPO10 Gerencia projetos X
AI - Adquire e ImplementaAI1 Identifica soluções de automação X XAI2 Adquire e mantém software de aplicação X XAI3 Adquire e mantém infra-estrutura tecnológica XAI4 Habilita operação e uso XAI5 Gerencia compra de recursos de TI X X XAI6 Gerencia mudanças XAI7 Instala e certifica soluções e mudanças X
DS - Entrega e SuporteDS1 Define e gerencia SLAs XDS2 Gerencia serviços de terceiros XDS3 Gerencia capacidade e desempenho XDS4 Assegura continuidade do serviço X XDS5 Assegura segurança dos sistemas XDS6 Identifica e aloca custos XDS7 Educa e treina usuários X XDS8 Gerencia service desk e incidentes XDS9 Gerencia a configuração XDS10 Gerencia problemas XDS11 Gerencia dados X X X XDS12 Gerencia o ambiente físico (a infra-estrutura) X X X XDS13 Gerencia operações X X X X
ME - Monitora e AvaliaME1 Monitora e avalia o desempenho de TI X X X X X X X X X X X XME2 Monitora e avalia controles internos X X X X X X X X X XME3 Assegura conformidade regulatória X X X X XME4 Provê governança de TI X X X X X X X X X X X X
Suporte a Serviços Entrega de ServiçosPROCESSOS DO ITIL
Tabela II.5 – Mapeamento de processos COBIT - ITIL
Fonte: Adaptado de Glenfis (2006)
Se o objetivo é melhorar a qualidade e medição da governança de TI através do
inteiro ciclo de vida de implementação de aplicação ou implementar um sistema de controles
para melhorar a adequação a regulamentos, então COBIT pode ser uma escolha mais
efetiva. Por outro lado se o objetivo é continuamente melhorar a eficiência das operações de
TI e a qualidade dos serviços de TI então ITIL pode ser a melhor escolha.
Em linhas gerais não se deve olhar para os dois modelos com o objetivo de
compará-los. O importante é entender as diferenças entre os modelos e adaptá-los de
acordo com as necessidades da organização. Os dois modelos são muito mais
complementares do que competitivos.
57
Já o modelo eSCM-SP é voltado primariamente para os provedores de serviço e
clientes e propõe um guia para reduzir custos e riscos de falhas nos contratos e
relacionamentos através da implementação de boas práticas nas áreas de contratação,
gerenciamento de relacionamento, controles de mudanças e segurança. Na figura II.23
temos a abrangência do modelo COBIT com o eSCM-SP.
Figura II.23 – Mapeamento COBIT e eSCM-SP
Fonte: eSCM-SP (2005)
O COBIT difere do eSCM-SP em muitos aspectos, incluindo foco, escopo,
propósito, conteúdo e estrutura. Não são, portanto, alternativas para o mesmo problema.
Entretanto, como o COBIT é utilizado para alinhar os processos de TI com as necessidades
de negócio e atingir um certo nível de controle, pode ser benéfico para quem for
implementar o eSCM-SP. Também, o eSCM-SP só define quais atividades e processos
devem ser implementados. Como elas devem ser implementadas ficam a cargo das
organizações. E aqui o COBIT pode auxiliar em muito as organizações (eSCM-SP, 2005).
58
III – FERRAMENTA PARA GERENCIAMENTO DA INFRA-ESTRUTURA DA TI
VOLTADO PARA O NEGÓCIO
O gerenciamento da infra-estrutura de TI conforme visto no ITIL é um dos pilares
fundamentais para a prestação dos serviços de TI. O alinhamento desse gerenciamento
com as aplicações e processos de negócio, verificado no COBIT e ITIL, torna possível
atingir os objetivos propostos por esses modelos. Por serem de padrões abertos, os
modelos não apresentam ferramentas para implementação do gerenciamento de serviço de
TI ficando a cargo de cada organização a utilização de ferramentas próprias ou de terceiros.
Existem muitas ferramentas que gerenciam os componentes da infra-estrutura de TI
composta por rede, servidores, banco de dados e aplicações, mas de uma maneira isolada
sem ter a visão centralizada de como esses componentes se relacionam a nível de negócio.
Uma visão centralizada permite, em todos os níveis organizacionais, um melhor
entendimento da importância de cada componente de infra-estrutura de TI, priorizar o
gerenciamento do componentes mais críticos, medir o desempenho dos processos de
negócio, alertar quais os incidentes são mais críticos e quais impactam mais o negócio da
organização e o nível de serviço acordado entre TI e as áreas de negócio.
Neste capitulo será apresentada uma ferramenta que propõe efetuar o
gerenciamento da infra-estrutura de TI alinhado aos objetivos de negócio da organização e
com os modelos ITIL e COBIT identificados no capítulo anterior.
III.1- A Empresa
A ferramenta apresentada neste capítulo foi desenvolvida e implementada na IBM. A
IBM é uma empresa multinacional com sede nos principais países do mundo. Ela atua
principalmente nas áreas de serviços, hardware, software, consultoria, desenvolvimento e
pesquisa. Atualmente possui mais de trezentos mil funcionários distribuídos pelo mundo
inteiro e com instalações em todos os continentes. Possuí centros de pesquisa e
laboratórios nos Estados Unidos, França, Alemanha, Israel. É a empresa que,
seguidamente, gera mais patente no mundo. De acordo com Departamento de Patentes dos
EUA pelo décimo terceiro ano consecutivo é a empresa que mais gerou patentes ao ano
que qualquer outra empresa (PATENTES, 2006).
Na área de prestação de serviços possui centros distribuídos pelo mundo inteiro
onde controlam todo o ambiente de TI de inúmeras empresas. No Brasil possui um dos
quatro centros de operação e suporte globais. Através desse centro de operação os
ambientes de TI de empresas nacionais e internacionais são administrados e gerenciados.
59
A IBM teve uma participação ativa na criação dos modelos apresentados no capitulo
anterior. Com mais de 25 anos de experiência em administração e gerenciamento de TI a
IBM contribuiu de forma significativa para a criação dos modelos através da participação nos
comitês de desenvolvimento e de sua experiência de melhores práticas utilizadas no
gerenciamento de seus clientes.
III.2- O Problema
Como vimos no ITIL os processos de negócios que as organizações utilizam para
chegar aos seus objetivos são compostos por vários serviços que por sua vez estão
implementados utilizando vários componentes da infra-estrutura de TI. Esses componentes,
por sua vez, podem ser utilizados por vários serviços ou processos de negócios.
Em geral os vários componentes da infra-estrutura são gerenciados por ferramentas
especializadas e dedicadas por componentes ou produtos. Por exemplo, uma ferramenta de
gerenciamento de banco de dados vai gerenciar somente os bancos de dados utilizados na
organização. Não vai se preocupar com a aplicação que utiliza esse banco de dados ou com
o servidor ou rede em que ele está instalado. Em suma, o gerenciamento da infra-estrutura
de TI, em geral, é implementado isoladamente, seja por questões técnicas ou
organizacionais.
Figura III.1 – Gerenciamento de Infra-estrutura de TI
Fonte: IBM (2003)
Tomando como exemplo um processo de negócio que está implementado utilizando
componentes de rede, banco de dados, servidores e aplicações web. O gerenciamento
dessa infra-estrutura, em geral, é composta por vários produtos específicos por componente
60
onde um produto vai gerenciar o sistema operacional, o outro vai gerenciar o banco de
dados e o outro vai gerenciar a rede. Para facilitar esse gerenciamento as organizações
implementam o Gerenciamento de Eventos. A figura III.1 apresenta um exemplo de como o
gerenciamento de evento é implementado. Os eventos gerados pelas ferramentas de
gerenciamento de componentes são centralizados em uma tela única. Nesta tela cada linha
corresponde a um evento ocorrido no ambiente de TI da organização e identifica a hora da
ocorrência, a hora que o evento foi recebido, o nome do componente afetado (hostname), a
severidade do evento e a mensagem técnica que descreve o problema.
Com o gerenciamento de eventos é possível identificar qualquer problema que
ocorra na infra-estrutura de TI e que, invariavelmente, vai impactar o processo de negócio.
Mas esse gerenciamento de evento não é implementado de uma maneira que se possa
determinar, quando ocorrer um evento, qual o processo de negócio que está sendo
impactado. Como apresentado na figura III.1 temos um exemplo onde os eventos são
gerenciados, mas nenhuma associação com o processo de negócio é efetuada. A
visualização é feita a nível de componente. Com isso a identificação de qual processo de
negócio que está sendo impactado torna-se mais demorado e, às vezes, mais complicado.
Devido a esse problema torna-se necessário desenvolver uma ferramenta que
habilite a rápida identificação, a partir de um incidente, de qual processo de negócio está
sendo impactado. Outras duas características importante são a capacidade de ser acessível
em qualquer lugar e sem a necessidade de instalação de programa especifico e a
capacidade de apresentar o impacto no negócio de uma maneira fácil de compreensão para
todos os níveis da organização.
III.3- Arquitetura
A ferramenta desenvolvida trabalha integrada com as ferramentas de monitoração
existentes na organização, as quais atuam na monitoração dos componentes da infra-
estrutura isoladamente.
As informações de entrada para a ferramenta são os eventos gerados pela
monitoração e são armazenados em um banco de dados específico. Pode-se definir duas
camadas distintas: interna e externa. Na camada interna ocorre o tratamento dos eventos e
a identificação dos impactos. Na camada externa ocorre a apresentação dos impactos. Para
a apresentação dos impactos uma aplicação web acessa o banco de dados com os
impactos identificados e os apresenta aos usuários que estão acessando a ferramenta. A
aplicação web foi escolhida facilitar o acesso ao sistema de qualquer lugar e não requerer a
instalação de nenhum programa adicional.
61
Figura III.2 – Arquitetura da ferramenta
Fonte: do Autor
A figura III.2 descreve o relacionamento entre a ferramenta desenvolvida e o
ambiente de gerenciamento de infra-estrutura de TI.
A seguir será apresentado o modelo de dados utilizado, o fluxo de funcionamento
definida na camada interna e as telas externas da aplicação com a explicação das principais
facilidades da ferramenta.
III.3.1- O Modelo de Dados
O modelo de dados desenvolvido contém a definição dos componentes da infra-
estrutura, os serviços que ela suporta e os processos de negócio que utilizam esses
serviços. Além disso contém o mapeamento entre o evento ocorrido e o impacto nos
processos de negócios.
Muitas organizações que implementam o gerenciamento de eventos ou de falhas,
como descritos no COBIT e ITIL, também implementam a gerencia de configuração. O
modelo de dados da ferramenta deve levar em conta a utilização de CMDB implementados
nas organizações, pois os componentes da infra-estrutura podem já estar definidos neste
banco de dados.
62
Existem basicamente quatro grupos de tabelas utilizados pela ferramenta:
configuração, impacto, apresentação e eventos.
As tabelas de configuração definem os objetos da ferramenta. Contém os
componentes, serviços, regiões, processos de negócios e associações entre os
componentes da infra-estrutura e os processos de negócio da organização.
As tabelas de impacto definem as mensagens relacionadas aos impactos ocorridos
a nível de negócio através do mapeamento das mensagens recebidas de cada componente
com os estados dos processos de negócios. Nesta tabela são definidas as exceções
identificadas durante o levantamento do processo de negócio como o tratamento de
sistemas com alta disponibilidade e a reclassificação da severidade do evento relacionado
ao processo de negócio.
As tabelas de apresentação definem os acessos que cada usuário da ferramenta
tem para verificar os processos de negócio, serviços e regiões. O acesso ao sistema é
controlado através dessas tabelas e permite ao usuário acessar um ou mais componentes
da ferramenta. A visão da ferramenta por um usuário pode ser diferente da visão de outro
usuário dependendo do nível de acesso que foi habilitado.
As tabelas de eventos correspondem as tabelas genéricas usadas pela ferramentas
como a tabela de eventos recebidos, histórico de eventos, entre outras.
A chave principal definida nas tabelas é o nome do componente monitorado, em
geral o nome do servidor ou aplicação gerenciada e a identificação da mensagem do
evento.
III.3.2- O Fluxo de Funcionamento
O funcionamento da ferramenta se inicia com o evento gerado pelas ferramentas de
monitoração dos componentes de ICT conforme apresentado na figura III.2. Esses eventos
são capturados e enviados para o primeiro processo definido na camada interna da
ferramenta. Na figura III.3 estão apresentados os processos definido nas duas camadas. A
camada interna compõe dos processos de validação de eventos, tratamento de eventos e
identificação de impactos e a camada externa compreende o processo de apresentação de
impacto.
O primeiro processo é a validação do evento. Neste processo é verificado se o
evento recebido relativo a um componente monitorado é um evento válido mapeado dentro
de um processo de negócio e, conseqüentemente, dentro da ferramenta.
63
Figura III.3 – Fluxo de funcionamento
Fonte: do Autor
Após a validação o próximo processo vai tratar o evento formatando-o para gravação
na tabela de eventos que será utilizado pela camada externa. Esse tratamento do evento
analisa as tabelas de configuração e formata um registro para ser utilizado no próximo
processo.
Após a formatação ocorre a identificação do impacto no negócio. Com o registro
gerado no processo anterior o processo consulta a tabela de impactos e grava um novo
registro na tabela de eventos com as informações necessárias para que possa ser
apresentado. Este é o último processo relacionado a camada interna da ferramenta. A partir
daqui o processo da camada externa fica responsável pela apresentação do impacto.
O processo de apresentação do impacto representa a camada externa da
ferramenta. Este processo fica verificando a tabela de eventos e a cada nova ocorrência de
um evento exibe para o usuário um novo impacto ocorrido. Além dessa apresentação esse
processo também é responsável pela identificação do usuário e da montagem da tela que
ele terá disponível para visualizar os eventos relacionados ao impacto de negócio. Essa
montagem da tela é um processo dinâmico que é executado através da consulta a tabela de
apresentação onde estão definidos os acessos que o usuário tem habilitado em cada
componente.
III.3.3- A interface gráfica
A camada de apresentação é responsável por apresentar aos usuários da ferramenta
os impactos no negócio da organização. A primeira tela da ferramenta, conforme figura III.4,
64
apresenta o ícone para se entrar na ferramenta. O nome da ferramenta utilizado na
implementação na IBM foi “No Surprise System”. Ao selecionar o ícone uma outra tela é
apresentada para o usuário se autenticar.
Figura III.4 – Tela inicial
Fonte: IBM (2003) *
A autenticação do usuário ocorre em dois momentos. No primeiro momento verifica
se o usuário tem acesso aos sistemas da organização através da autenticação nos sistemas
de segurança da organização. No segundo momento a autenticação ocorre a nível de banco
de dados e verifica se o usuário está cadastrado na base de dados da ferramenta através de
consulta as tabelas de apresentação. Ao ser autenticado uma tela com as opções que o
usuário tem autorização é apresentada.
A figura III.5 apresenta a tela correspondente à tela principal da ferramenta. Através
dela o usuário pode navegar por todas as opções disponíveis. A navegação pode ser feita
selecionando os ícones na posição central da tela ou o menu de opções do lado esquerdo.
Os principais itens são processo de negócio (critical business process status), região
(region) e serviços (service status). Ao selecionar um desses itens uma nova tela
apresentará um nível de hierarquia abaixo com os componentes que compõe esse item
selecionado. Caso um componente pertença a mais de um item como serviço ou processo
de negócio a ferramenta irá apresentá-lo nos dois itens. Nesse caso se o componente
apresentar um impacto esse dois itens serão alertados na ferramenta.
* Autorizado pela IBM
65
Figura III.5 – Tela principal Fonte: IBM (2003) *
Os eventos são classificados em eventos críticos e eventos de alerta .
Na primeira vez que o evento é identificado a ferramenta apresenta ao usuário com o ícones
correspondente pela severidade identificada e a tela do usuário fica com o ícone piscando
até que ele selecione o evento e verifique o que esta sendo impactado. Após o usuário ver o
evento o ícone deixa de piscar. Isso é para que o usuário possa reconhecer quais eventos
são novos e quais são antigos.
O evento somente sairá da tela assim que o incidente for resolvido, ou seja, a
monitoração que identificou o incidente enviará um evento informando que o incidente
deixou de existir. A ferramenta, então, atualiza o estado do evento no banco de dados e
remove da tela do usuário.
Podem existir dois ou três níveis até chegar ao detalhe do impacto, dependendo da
hierarquia definida ao se customizar a ferramenta. A seguir será apresentado a navegação
pelas telas da ferramenta através dos três itens definidos.
Navegação por Processo de Negócio
* Autorizado pela IBM
66
Ao selecionar na tela III.5 o processo de negócio “IGF” que se encontra alertado,
uma outra tela, representado pela figura III.6, vai apresentar o próximo nível de detalhes
com os sub-processos definidos nesse processo de negócio. Como apresentado na tela o
processo “IGF” apresenta os seguintes sub-processos de negócio: “Account Mngt”,
“Customer Center”, “Entitlements”, “GARS PTX”, “GCMS”, “Global Credit”, “Rapid Online fin.”
e “Routes to Fin.”. O sub-processo “Account Mngt” se encontra alertado com o ícone
apresentando um evento crítico.
Figura III.6 – Tela de processos de negócio Fonte: IBM (2003) *
No lado esquerdo da tela são apresentados todos os primeiros níveis da hierarquia
relativa aos componentes que o usuário tem acesso. Ao selecionar um componente a
coluna da esquerda é expandida e, também, apresenta o mesmo ícone com o alerta de
identificação de impacto. Na figura III.6 temos apresentado dois processos de negócio (“IGF”
e “HVEC HW”) com impactos identificados.
Ao selecionar o sub-processo de negócio “Account Mngt” outra tela apresentará o
impacto relacionado ao sub-processo selecionado. As informações apresentadas são a
data, hora, severidade e descrição com o impacto no negócio da organização. A figura III.7
apresenta o detalhe do impacto do sub-processo selecionado com um impacto de
severidade Crítica que ocorreu no dia 09-01-2007 as 16:41:52 . A descrição do impacto é
* Autorizado pela IBM
67
um campo livre, ou seja, o texto incluído deve refletir o impacto causado pela
indisponibilidade ou degradação do componente de infra-estrutura monitorado. Essa
descrição deve ser definida em conjunto com o dono do processo de negócio, pois deve ser
uma mensagem de fácil entendimento para todos os níveis da organização. No caso
apresentado o impacto identificado como E1448 descreve que existem problemas com
relação a uma aplicação utilizada por clientes para acesso a transações financeiras.
Figura III.7 – Impacto de processo de negócio Fonte: IBM (2003) *
Caso se deseje ter mais detalhes sobre o impacto apresentado é necessário
selecionar o campo “Technical Details”. Ao selecionar esse campo uma outra tela
independente da tela atual, apresentado na figura III.8, abrirá com mais informações sobre o
impacto.
Nesta tela são apresentados o processo e sub-processo relacionado ao impacto, no
caso do exemplo “IGF;Account Mngt”, a mensagem gerada pelas ferramentas de
monitoração de componentes de ICT, a mensagem de impacto no negócio e a data e hora
que ocorreu o problema conforme apresentada anteriormente. Além disso apresenta a hora
corrente, a quanto tempo o problema ocorreu, a possível potencial perda financeira, em
quanto tempo deve ser resolvido para que a perda não ocorra, se está havendo impacto no
SLA e quanto isso custará para a organização. No exemplo temos que o usuário está vendo
68
o registro desse impacto as 17:07:26 do mesmo dia de ocorrência do evento. Já ocorreram
02:25:34 desde que o evento foi reportado e que não há nenhuma perda de financeira
relacionado a esse evento. Apesar disso o SLA está estourado em 02:25:34 embora não
haja penalidades por esse estouro de SLA.
Essas informações são levantadas no momento de levantamento do processo de
negócio e em conjunto com os donos de processo, executivos e gerentes de TI.
Figura III.8 – Detalhe de evento Fonte: IBM (2003) *
Como apresentado nesta seção a ferramenta não possui muitos níveis de hierarquia.
Essa é uma característica definida para facilitar a navegação e para acesso rápido ao
impacto no negócio.
Outra característica da ferramenta é a flexibilidade na definição dos componentes e
hierarquias definidas e no controle de acesso por usuário. Para os três principais
componentes é possível definir até três níveis de hierarquia e um número ilimitado de
componentes. O acesso do usuário definido à nível de componente permite uma alta
granularidade na definição dos acessos. Várias áreas da organização podem ser definidas
para acessar componentes específicos. Essa característica está em linha com os critérios
definidos na planilha RACI do COBIT.
* Autorizado pela IBM
69
Navegação por Serviço
Ao selecionar o serviço “E2E probes SVC”, apresentado na tela III.5, que se encontra
alertado, uma outra tela, representado pela figura III.9, vai apresentar o próximo nível de
detalhes com os sub-serviços definidos dentro desse serviço.
Figura III.9 – Tela de serviços Fonte: IBM (2003) *
Como apresentado na figura III.9 o serviço “E2E Probes SVC” é composto pelos sub-
serviços “CRM”, “IBM Ent Gateway”, “IBM Global Fin.”, “New Order Entry” e “ePricer”. Os
sub-serviços “IBM Global Fin.” e “New Order Entry” se encontram alertados com algum
evento identificado. Ao lado esquerdo da tela o serviço “E2E Probes SVC”, também, se
encontra alertado.
Ao selecionar o sub-serviço “New Order Entry” uma outra tela com mais outro nível
de detalhe desse sub-serviço é apresentado. Como foi dito anteriormente são possíveis
definir até três níveis de hierarquia em cada item. Para o item de Serviços apresentado
nesse exemplo temos três níveis de hierarquia, diferentemente do item Processos de
Negócios que tem somente dois itens antes de apresentar o detalhe do impacto. A
ferramenta apresenta essa flexibilidade, pois em alguns casos o nível de detalhamento não
é tão importante com em outros casos.
* Autorizado pela IBM
70
Na figura III.10 o serviço “New Order Entry” contém os seguintes sub-serviços:
“CCHW”, “Lenovo PnC”, “Lenovo CXML”, “IBM PnC” e “IBM cXML”.
Figura III.10 – Detalhe de serviços Fonte: IBM (2003) *
Como apresentado na figura III.10 o componente “IBM PnC” se encontra alertado. Ao
selecionar o ícone alertado uma outra tela, representado pela figura III.11, é apresentada
com os impactos registrados. Nesta tela tem-se a visão do impacto causado por um evento
em um componente de infra-estrutura que faz parte desse serviço. Como visto podem existir
mais de um impacto apresentado. A tela em questão apresenta o impacto identificado como
E6794 e outro com a identificação E6800. O primeiro impacto ocorreu 09-01-2007 as
18:28:27 com uma severidade Crítica. O impacto está relacionado com a habilidade para
colocação de pedidos de hardware por parte de parceiros de negócios. O impacto E6800
está relacionado com o recebimento desses pedidos.
Da mesma forma que na tela de processos de negócio é possível ver o detalhe do
impacto como visto na figura III.8 ao selecionar o campo “Technical Details”. A mesma tela é
apresentada, mas com as informações referentes ao serviço em questão.
A qualquer momento o usuário pode voltar a tela anterior, selecionando o ícone
“Previous Page”, ou voltar a tela principal através do ícone “Main Page”. Outra forma é
* Autorizado pela IBM
71
selecionar qualquer uma das linhas definidas no lado esquerdo da tela como “Business
Process”, “Region” ou “Service”.
Figura III.11 – Impacto em serviços Fonte: IBM (2003) *
Navegação por Região
Ao selecionar na tela III.5 a região “Américas” que se encontra alertada, uma outra
tela, representado pela figura III.12, vai apresentar o próximo nível de detalhes com as sub-
regiões definidas dentro dessa região. No exemplo apresentado estão definidos “All
Regions”, “Latin América” e “North América”. A região “North America” se encontra alertada.
Ao selecionar esse ícone uma tela independente será apresentada com a descrição do
impacto, conforme visto anteriormente.
Uma característica importante da ferramenta é a possibilidade de acessar o impacto
causado por um componente através de qualquer item, ou seja, se o componente de infra-
estrutura estiver definido como sendo parte de um processo de negócio, serviço e região
então o acesso ao detalhe do impacto pode ser feito por qualquer um dos três itens. Além
de facilitar o acesso permite, também, que se defina níveis de responsabilidades por grupos.
Os grupos responsáveis por componentes de uma região só tem acesso aos componentes
definidos na própria região. Da mesma forma os responsáveis por um processo de negócio
só poderão acessar o seu próprio processo de negócio.
* Autorizado pela IBM
72
Figura III.12 – Tela de região Fonte: IBM (2003) *
Acesso a Histórico
Outra função que a ferramenta apresenta é a possibilidade de verificar histórico de
eventos por critérios de data, componente ou processo de negócio. A figura III.13 apresenta
os critérios de consulta ao banco de dados de eventos. No exemplo apresentado está
selecionado uma consulta a base de dados com o período “Today”, para todos os
componentes “ALL” e para todos os processos de negócio “ALL”. Após definir o critério de
consulta deve selecionar o ícone “Generate Report”.
Uma nova tela, apresentada pela figura III.14, será apresentada com os resultados
da consulta. A tela apresenta todos os eventos gerados pelo critério selecionado. É
apresentado o nome do componente, a data e hora do problema ocorrido e do retorno, a
severidade do evento, o processo de negócio que está associado, a mensagem informando
o impacto no negócio e a mensagem técnica referente ao evento.
Essa facilidade permite ter uma visão de qualidade em relação aos processos de
negócio que geram mais incidentes e pode ser um dos indicadores chaves de desempenho
conforme definido no COBIT e no processo de Planejamento para melhoramento de serviço
do ITIL.
* Autorizado pela IBM
73
Figura III.13 – Histórico de eventos Fonte: IBM (2003) *
Figura III.14 – Detalhe de histórico
Fonte: IBM (2003)
74
Administração dos Dados
Uma outra função importante é relacionada com a administração da base de dados.
Através dessa função é possível adicionar, remover ou alterar qualquer uma das tabelas da
base de dados. A figura III.15 apresenta todas as opções possíveis para atualização das
bases de dados da ferramenta. As seguintes opções podem ser utilizadas para
administração da base de dados:
• tabelas de configuração: “Enterprise and Group Administration”, “Nested View
Administration” e “Component Administration”
• tabelas de impacto: “Event Administration” e “System Data Management”
• tabelas de apresentação: “User Administration”
• tabelas de eventos: “Reporting Management”
Ao selecionar qualquer uma das opções apresentadas uma tela independente será
apresentada para que seja feita a administração da opção selecionada. Somente usuários
autorizados com autorização de administrador podem utilizar esta função.
Figura III.15 – Tela de administração
Fonte: IBM (2003) *
* Autorizado pela IBM * Autorizado pela IBM
75
Em casos de necessidade de atualização em massa com grande volume de dados
existe a possibilidade de serem executadas através de processo interno sem a utilização da
interface gráfica.
III.4- O Cadastramento dos Componentes
Para melhor explicar o funcionamento da ferramenta é necessário entender quais
são as atividades necessárias para implementá-la. A figura III.16 apresenta quais os passos
necessários para implementar o cadastramento dos componentes na ferramenta.
O primeiro passo é a identificação do processo de negócio a ser monitorado. A
definição do processo de negócio deve ser alinhado a nível executivo e gerencial e os
responsáveis pela execução da etapa seguinte são definidos e disponibilizados.
Figura III.16 – Processo de cadastramento de componentes
Fonte: Do Autor
O segundo passo é o levantamento e a decomposição do processo de negócio
selecionado anteriormente. Esse levantamento das informações necessárias para
atualização da base de dados da ferramenta requer o envolvimento das áreas de negócio,
aplicativos e infra-estrutura e, portanto, os arquitetos e donos de processos são requeridos.
A decomposição deve ser feita até a nível dos componentes de infra-estrutura da
organização. Nesta etapa temos evidenciado o alinhamento entre as áreas de TI e de
negócios conforme citado por HENDERSON e VENKATRAMAN (1993).
Para melhor exemplificar um processo de negócio e como pode ser efetuada a
decomposição no segundo passo a figura III.17 apresenta a topologia de um sistema de
76
vendar via web de uma organização. Na parte inferior estão definidos os componentes da
infra-estrutura de TI com os servidores, aplicações e rede. Os componentes estão
agrupados por serviço com as seguintes classificações: Rede, Sistema Operacional, Banco
de Dados, WEB e Segurança. Outra classificação definida na figura é a classificação por
região compreendendo servidores instalados em diferentes países sendo os servidores
WEB e os componentes de REDE no Brasil, o servidor de SEGURANÇA na Itália e o de
BANCO DE DADOS nos EUA.
Na parte superior estão definidos os serviços correspondentes ao processo de
negócio de Vendas sendo classificados como Autenticação do Cliente, Catálogo de
Produtos e Compra de Produtos. Representado pela linha pontilhada temos a representação
lógica com os componentes de infra-estrutura que são necessários para cada serviço. Como
exemplo temos que o processo Catalogo de Produtos compreende os servidores WEB,
Aplicação e banco de dados. Como pode ser visto um componente pode ser necessário
para mais de um serviço e localizado em diferentes regiões. Os componentes de rede, em
geral, são necessários em todos os serviços, mas para simplificação estão somente
definidos os componentes de uma região.
Figura III.17 – Exemplo de um processo de negócio
Fonte: Do autor
O terceiro passo é o mapeamento dos componentes que estão sendo monitorados
com a identificação do que está sendo gerenciado e quais as ferramentas utilizadas. Nesta
etapa, que ocorre dentro da organização de TI, são levantados, também, os pontos de
77
preocupação, ou seja, os componentes do processo de negócio que não possuem uma
monitoração mínima. Esse levantamento vai servir de entrada para uma melhoria no
gerenciamento de TI.
Baseando-se na figura III.18 a seguinte estrutura hierárquica de dados seria criada
para apresentação da visão de PROCESOS DE NEGÓCIO de Vendas. Na ocorrência de
algum evento em qualquer de um dos componentes de TI a ferramenta vai propagar o
estado do problema para os níveis mais altos até alertar o primeiro nível (VENDAS). Esta
estrutura hierarquia corresponde aos itens apresentados nas telas da ferramenta no item
III.3.3
Figura III.18 – Hierarquia de processo de negócio
Fonte: Do Autor
Como visto na figura III.18 um evento no servidor de autenticação vai impactar os
processos de Compra de Produtos e Autenticação de Clientes.
Baseando-se na figura III.19 a seguinte estrutura hierárquica de dados seria criada
para apresentação da visão de SERVIÇOS. Como demonstrado, os serviços representados
são agrupamentos por afinidade de área de suporte de TI. A ferramenta é preparada para
aceitar qualquer tipo de afinidade. Um evento no servidor de autenticação vai alertar o
78
serviço de segurança. Já um evento relacionado ao servidor de aplicação ou WEB vai
alertar o serviço WEB.
A ferramenta permite um nível maior de granularidade com relação a definição dos
serviços e a monitoração implementada. Como apresentado na figura III.19 o serviço
Sistema Operacional está composto por todos os servidores do processo de negócio de
Vendas. Neste caso, na ocorrência de eventos relacionados ao sistema operacional em
qualquer servidor o serviço Sistema Operacional será alertado.
Figura III.19 – Hierarquia de serviço Fonte: Do Autor
Baseando-se na figura III.20 a seguinte estrutura hierárquica de dados seria criada
para apresentação da visão de REGIÃO. Na ocorrência de um evento no servidor de banco
de dados a ferramenta vai alertar que a região EUA está com problema.
79
Figura III.20– Hierarquia de região
Fonte: Do Autor
O quarto passo é o mapeamento dos eventos gerados para cada componente
identificado e o mapeamento relacionado com o impacto no negócio da organização. Nesta
etapa é necessário o auxilio de um especialista da área de negócio e da área de TI. O
resultado obtido nesta etapa é a classificação, por impacto no negócio, de todos os eventos
resultantes do gerenciamento de ICT.
O último passo é a atualização da base de dados da ferramenta com a correta
classificação dos componentes. Além da classificação dos componentes e impactos
correspondentes, também, se definem quais as pessoas que terão acesso a ferramenta e o
nível de visualização.
III.5- A Tecnologia utilizada
Com relação à tecnologia utilizada para desenvolvimento da ferramenta foi
selecionado software e hardware IBM. A ferramenta foi desenvolvida utilizando o banco de
dados DB2 e o aplicativo web foi implementado com o Websphere Application Server (WAS)
da IBM. Ambos produtos foram instalados em servidores AIX de arquitetura RISC. Para
implementação da lógica interna foi utilizada a linguagem de programação perl e para a
lógica externa, de apresentação, a linguagem utilizada foi o java.
O DB2 é um sistema gerenciador de banco de dados que executa em várias
plataformas desde computadores de mão até computadores de grande porte e tem como
80
objetivo o gerenciamento do acesso, manipulação e organização dos dados. O modelo de
dados implementado pelo DB2 é o modelo relacional onde define como os dados são
armazenados, através de uma estrutura de dados otimizadas. A manipulação dos dados é
efetuada através de uma linguagem específica chamada SQL (Linguagem de Consulta
Estruturada) que possibilita a criação, atualização e consulta dos dados e a consistência dos
dados é implementada por meio de um mecanismo transacional (IBMTECH, 2007).
O WAS é a tecnologia que permite o desenvolvimento de aplicações para serem
disponibilizadas pela Internet. Permite a implementação nas principais plataformas
existentes desde servidores com Windows até computadores de grande porte. A
implementação de uma aplicação web, pode ser vista como uma aplicação de três camadas,
compostas de uma interface gráfica, um servidor de aplicação (baseado na linguagem java)
e um servidor de banco de dados e transações (IBMTECH, 2007).
O servidor AIX é o sistema operacional baseado no padrão UNIX desenvolvido pela
IBM. O padrão UNIX permite múltiplas tarefas e vários usuários no mesmo sistema. A
implementação do AIX em servidores de arquitetura RISC permite um melhor desempenho
do que na arquitetura CISC. A diferença principal entre essas duas arquiteturas é que na
RISC (Reduced Instruction Set Computer) o processador principal possui menos instruções
que o processador CISC (Complex Instruction Ser Computer) e executam operações
simples.
A linguagem perl é uma linguagem de programação muito utilizada no
desenvolvimento de aplicações web e em sistemas de padrão UNIX. Possui integração com
banco de dados e módulos para trabalhar com aplicativos desenvolvidos para serem
utilizados na Internet permitindo um rápido ciclo de desenvolvimento (PERL, 2007).
A linguagem java é uma linguagem orientada a objetos, ou seja, o funcionamento do
programa é efetuado através do relacionamento e troca de mensagens entre os objetos
definidos no sistema. Outra característica dessa linguagem é a independência entre os
sistemas operacionais onde o mesmo programa pode ser executado em várias plataformas
sem que seja necessário reescrevê-lo (JAVA, 2007).
III.6- Resultados
O desenvolvimento e implementação da ferramenta foi realizado nas instalações da
IBM. Para o desenvolvimento da ferramenta uma equipe formada por arquitetos e
especialistas de TI foi reunida com profissionais que detinham o conhecimento da tecnologia
utilizada. A implementação foi iniciada em fases e, de acordo com os processos de negócio
que eram implementados, os profissionais das áreas de negócios e os responsáveis pela
monitoração dos componentes da infra-estrutura de TI eram alocados para auxiliar nas
81
etapas de cadastramento de componentes. A ferramenta foi inicialmente implementada para
a área de operações de TI e para os três níveis organizacionais: operacional, gerencial e
executivo.
A razão principal para implementação da ferramenta na IBM foi devido ao elevado
gasto com o tempo despendido pelos executivos, gerentes e pessoal de apoio para
identificar porque os processos de negócios de algum cliente estavam indisponíveis.
Quando o cliente ligava para o executivo este necessitava identificar o ocorrido e voltar com
uma informação sobre o estado atual do problema. Os benefícios com a implementação da
ferramenta foram baseados em um estudo de viabilidade onde foram contabilizados os
gastos atuais e o benefício financeiro com a implementação da ferramenta. Foram levados
em conta e estimados as seguintes métricas:
- Número de situações críticas por semana que cada executivo gerenciava: 2
- Número de pessoal de apoio por executivo para pesquisa: 3
- Número de horas extras não planejadas gastos pelo executivo em reuniões: 5
- Número de horas extras não planejadas gastos pelo pessoal de apoio em reuniões: 5
Com base nessas métricas foram contabilizados os gastos anuais estimados pela
IBM. Esse valor foi comparado com uma estimativa levando em conta o uso da ferramenta e
o pessoal necessário para suportá-la. Essa análise permitiu comprovar que o
desenvolvimento e implementação da ferramenta traria um ganho financeiro para a IBM.
Além desse ganho financeiro foram identificados outros ganhos como a confiança do cliente
ao identificar que o executivo já estava a par do problema e podia retornar com uma
resposta com rapidez e consolidação dessas informações em um único lugar.
Ao término da primeira fase do projeto chegou-se a configurar dentro da ferramenta:
3 Geografias divididos em 8 centros de operações
3 Serviços compostos por 32 sub-serviços
3 Processos de Negócios contendo 54 sub-processos
201 componentes mapeados
1500 Mensagens de eventos relacionados a problemas e mapeadas
Com essa configuração o número médio de eventos recebidos pela ferramenta que
indicavam algum tipo de problema nos componentes dos processos de negócios foram em
torno de 2400 eventos. Desse total de eventos em torno de 15 eventos por dia indicavam
problemas em algum processo de negócio.
Os seguintes resultados foram atingidos com a implementação da ferramenta:
• identificação rápida e precisa do impacto a nível de negócio para o incidente
ocorrido. Com isso foi possível tomar as devidas ações e prioritizar em quais
incidentes atuar primeiro. Isso permitiu um melhor alinhamento de TI com os
objetivos estratégicos da organização, uma vez que a organização de TI
82
passou a focar nos problemas mais críticos e levou a um melhor nível de
serviço prestado.
• uniformidade da informação por toda a organização. Todos os níveis, desde
o operacional ao estratégico, passaram a ter a mesma visão e entendimento
dos processos críticos de negócio.
• foi possível identificar os pontos mais críticos da infra-estrutura, através da
consulta do histórico de eventos, e definir planos estratégicos para melhoria
da infra-estrutura de TI alinhados com as estratégias da organização.
• rapidez na disseminação da informação até o nível executivo, onde o
executivo tinha agora condições, em tempo real, de responder ao cliente qual
o problema que ocorreu que estava impactando o processo de negócio.
• maior satisfação do cliente com a IBM pois o executivo tinha condições agora
de informá-lo sobre qualquer impacto no ambiente e a qualquer momento,
não ocorrendo mais casos em que o cliente identificava o impacto antes da
IBM e questionava o executivo sobre o acontecido.
• melhor utilização dos recursos da organização pois em casos de eventos
com alto impacto nos negócios e que havia a necessidade de envolvimento
do executivo, este necessitava o envolvimento de várias pessoas da
organização para coletar as informações sobre o que havia ocorrido e, assim,
responder ao cliente de uma maneira rápida.
• melhoria da imagem do departamento de TI com a visualização por toda a
organização da integração do departamento com os objetivos estratégicos da
organização.
Analisando os resultados obtidos com a implementação da ferramenta se verifica que
ela resolve o problema identificado neste trabalho de pesquisa que é a falta de alinhamento
entre a área de TI e área de negócios, através do alinhamento entre o gerenciamento da
infra-estrutura de TI com os objetivos de negócio da organização. Como identificado nos
modelos de Governança ITIL e COBIT esse alinhamento é importante para uma eficiente
gestão do ambiente de TI.
A pesquisa efetuada neste trabalho com a apresentação da ferramenta está em linha
com a área de concentração do mestrado do CEFET de Gestão em Engenharia e,
especificamente, com respeito a inovação tecnológica. O embasamento teórico adquirido no
curso de mestrado, através do estudo e pesquisas em disciplinas como SI, inovações
tecnológicas, modelagem de fenômenos naturais e projetos tecnológicos contribuiu
efetivamente para a conclusão desse trabalho acadêmico. Como identificado nos resultados
apresentados com a implementação dessa nova tecnologia, implementada através da
83
ferramenta, os principais pontos relacionados à linha de pesquisa da instituição foram
atingidos.
84
CONCLUSÃO
A crescente complexidade dos ambientes organizacionais e os avanços tecnológicos
obrigam as organizações a adotarem modelos de governança para conseguirem competir
em um ambiente externo complexo e atingir suas metas e objetivos de negócio. Os modelos
de governança existentes propõem o alinhamento de negócio com a TI através da utilização
de SI e a adoção de modelos de Governança de TI.
O presente trabalho teve como objetivo analisar os principais modelos de
governança de TI e apresentar uma ferramenta que auxiliasse na implementação do
modelos objetivando o gerenciamento de TI com o alinhamento dos negócios da
organização.
O Modelo de Alinhamento Estratégico elaborado por HENDERSON e
VENKATRAMAN (1993) apresentou a importância do alinhamento entre negócios e TI e
explicou os seus inter-relacionamentos internos destacando a importância da infra-estrutura
de TI. O modelo, entretanto, não apresentou como implementar esse alinhamento. Mais
tarde LUFTMAN e BRIER (1999) chegaram a descrever como deveria ser a implementação
desse alinhamento através de um método com seis etapas. A implementação dessa
Governança de TI com objetivos de alinhamento com os negócios da organização começou
a ser mais visto e adotado pelas organizações com a maior divulgação dos modelos COBIT
e ITIL e o suporte e apoio de grandes empresas e organismos internacionais segundo
destaca MINGAY e BITTINGER (2002).
Com a crescente divulgação e adoção desses dois principais modelos eles
começaram a se tornar padrões para implementação de Governança de TI. O foco maior do
ITIL são os processos. A idéia do modelo é apresentar, através das melhores práticas, como
os processos devem ser implementados para uma efetiva governança de TI. Já o COBIT é
mais focado em controles. Como a organização pode atingir seus objetivos através de um
clara definição das atividades, responsabilidades, controles e métricas.
Os dois modelos, entretanto, não apresentam quais as ferramentas que devem ser
utilizadas para implementá-los, ficando a critério da organização decidir quais ferramentas
utilizar. A implementação desse Gerenciamento de TI, segundo SALLÉ (2004), deve ser
feita em estágios para se conseguir atingir um gerenciamento com o foco voltado para as
estratégias de negócio. SAUVÉ et al. (2004) apresentam uma estrutura para implementar
esse gerenciamento baseando-se nos impactos que cada componente gerenciado da infra-
estrutura de TI pode afetar os negócios da organização.
85
A ferramenta apresentada neste trabalho foi desenvolvida devido a necessidade de
alinhar o gerenciamento de TI com o gerenciamento de negócio. Esse gerenciamento não
estava sendo implementado de maneira satisfatória pois os problemas ocorridos na infra-
estrutura de TI que afetavam os processos de negócios da IBM não estavam sendo
informados para os níveis gerenciais mais altos de uma maneira eficaz.
A estrutura definida por SAUVÉ et al. (2004) para gerenciamento de impacto de
negócio e o alinhamento com o ITIL, através do Gerenciamento de ICT, estão representados
na estrutura da ferramenta. O mapeamento dos processos de negócios com a infra-estrutura
de TI foi baseada no gerenciamento de eventos existentes na IBM e o método utilizado
possibilitou um mapeamento mais simples sem a necessidade de alocação de várias áreas
dentro da organização.
A arquitetura e a tecnologia selecionada para implementação da ferramenta foram
definidas de um modo que podem ser utilizadas em qualquer tipo e tamanho de
organização, pois a ferramenta está baseada no gerenciamento por processos de negócio,
serviços ou região, permitindo uma implementação independente de estrutura
organizacional ou tipo de organização. O modelo de dados adotado e as facilidades de
implementação permitem uma implementação rápida e com poucos recursos, pois a
ferramenta utiliza a sua base de dados para apresentação e montagem das telas, não
necessitando de nenhum desenvolvimento adicional.
Os resultados atingidos com a implantação da ferramenta atenderam aos objetivos
iniciais propostos. Entre os resultados temos o rápido acesso, pelos diversos níveis da
organização, sobre o impacto gerado no negócio na ocorrência de um incidente, a
disseminação do mesmo nível de informação para todos os níveis organizacionais e um
alinhamento maior entre TI e o negócio.
Acredita-se que este trabalho vem a contribuir para um maior alinhamento entre o
ambiente de TI e o negócio, pois procurou suprir uma das deficiências identificadas nos
modelos existentes de governança de TI que é relativa a falta de ferramentas para
implementação desse alinhamento. Para o meio acadêmico este trabalho vem a contribuir
para os estudos nas áreas de administração e tecnologia, através da apresentação dos
modelos apresentados e dos resultados apresentados com a implementação da ferramenta
na organização estudada. Especificamente para o programa de mestrado do CEFET o
presente trabalho vem a contribuir para os estudos na área de Gestão em Engenharia no
sentido de apresentar mais um trabalho de pesquisa que promova a discussão dos modelos
de governança e de apresentar e avaliar o impacto ocorrido da implementação de uma
inovação tecnológica no ambiente organizacional.
Com base no trabalho apresentado pode-se sugerir, em continuidade ao trabalho
desenvolvido, a realização de pesquisas para estudar o impacto dessa nova ferramenta nas
86
organizações e para identificar as novas habilidades necessárias para os profissionais que
venham a trabalhar com esse tipo de gerenciamento.
87
REFERÊNCIAS BIBLIOGRÁFICAS
ABREU, A. F.; REZENDE, D. A.; Tecnologia da Informação Aplicada a sistemas de
informação empresariais, 4 ed. São Paulo, Atlas, 2006.
ALBERTIN, A. L.; A Administração de Informática: Funções e Fatores Críticos de
Sucesso, 5 ed. São Paulo, Atlas, 2004.
ALTER, S.; Information Systems: A Management Perspective, 3 ed. USA, Prentice Hall,
1999.
ANEFAC; IT GOVERNANCE – Artigo II - Cobit – Estrutura do Framework, Disponível em:
<http://www.anefac.com.br/m5.asp?cod_noticia=332&cod_pagina=903>. Acesso em: 10
mar. 2006.
AUDY, J. L. N.; ANDRADE, G. K.; CIDRAL, A.; Fundamentos de Sistemas de Informação,
1ed. Porto Alegre, Bookman, 2005.
BERTALANFFY, L. V.; Teoria Geral dos Sistemas, 2 ed. Petrópolis, Vozes, 1975.
BINDER, F. V.; Sistemas de apoio à decisão, São Paulo, Érica, 1994.
COLLEY, J. L.; DOYLE, J. L.; LOGAN, G. W.; STETTINIUS, W.; What is Corporate
Gorvernance, USA, McGraW-Hill, 2005.
COOPER, R. D.; SCHINDLER, S. P.; Métodos de Pesquisa em Administração, 7 ed.
Porto Alegre, Bookman, 2003.
DAVENPORT, T.H.; PRUSAK, L.; Information Ecology: Mastering the Information and
Knowledge Environment, USA, Oxford University Press, 1997.
eSCM-SP; Comparing the eSCMP-SP v2 and COBIT, ITsqm Carnegie Melon, 2005,
Disponível em: <http://www.itgovernance.com/itgovernance.htm>. Acesso em: 10 dez. 2006.
FREITAS, H. M. R.; BECKER, J. L.; KLADIS, C. M.; HOPPEN, N.; Informação e decisão:
sistemas de apoio e seu impacto, 1 ed. Porto Alegre, Ortiz, 1997.
GREMBERGEN, W. V.; Strategies for Information Technology Governance, Idea Group
Publishing, 2004.
HENDERSON J. C.; VENKATRAMAN H.; “Strategic alignment: Leveraging information
technology for transforming organizations”, IBM Systems Journal, v.38, n.1, pp. 4-16, Mar.
1993.
HP; Understanding Business Impacts: A look at BSM approaches and value, Disponível
em:
<http://www.managementsoftware.hp.com/solutions/bsm/swp/bsm_swp_business_impacts.p
df>. Acesso em: 13 nov. 2006.
IBM; NSS 3.0 Installation and Administration Guide, IBM, 2003.
IBMTECH; 2007, Disponível em: <http://www.ibm.com>. Acesso em: 10 jul. 2007.
88
IT GOVERNANCE INSTITUTE; COBIT 4.0, 2006, Disponível em: <http://www.itgi.gov>.
Acesso em: 10 dez. 2006.
itSMF; An Introductory Overview of ITIL, 2004; Disponível em:
<www.itsmf.com/publications/ITIL%20Overview.pdf>. Acesso em: 10 ago. 2005.
JAVA; 2007, Disponível em: <http://java.sun.com>. Acesso em: 10 jul. 2007
LASTRES, H. M. M.; ALBAGI, S.; Informação e Globalização na Era do Conhecimento, 2
ed. Rio de Janeiro, Campus, 1999.
LAURINDO, F. J. B.; Um Estudo e Avaliação da Eficácia da Tecnologia da Informação
nas Organizações, Tese de Ph. D., Escola Politécnica da Universidade de São Paulo, São
Paulo, 2000.
LUFTMAN, J.; BRIER, T.; “Achieving and sustaining business-IT alignment”, California
Management Review, v. 42, pp. 109-122, Fall 1999.
MERRIAN-WEBSTER; 2006. Disponível em: <http://www.m-w.com>. Acesso em: 05 mar.
2006.
MINGAY S., BITTINGER S. Combine COBIT and ITIL for Powerful IT Governance,
Tactical Guidelines, TG-16-1849, Gartner research 2002.
MONTEIRO, L. F. S.; Modelo eSCM-SP: Uma alternativa para a melhoria de processos
de serviços terceirizados de TI, MBA, FGV Management, Brasília, DF, Brasil, 2004.
NONAKA, I.; TAKEUCHI, H.; Criação do conhecimento na empresa, 5 ed. Rio de Janeiro,
Campus, 1997.
OLIVEIRA, D. P. R.; Sistemas de Informações Gerenciais: Estratégicas, Táticas e
Operacionais, 10 ed. São Paulo, Atlas, 2005.
OXFORD DICTIONARY; 2006. Disponível em: <http://www.askoxford.com/?view=uk>.
Acesso em: 05 mar. 2006.
PATENTES; 2006. Disponível em: <http://www.ibm.com/ibm/licensing/>. Acesso em: 05 jun.
2006.
PERL; 2007, Disponível em: <http://www.perl.org>. Acesso em: 10 jul. 2007.
RADÜNZ, R. G.; Sistema de Informação para a Avaliação de Desempenho de
Atacados, Baseado na Metodologia Balanced Scorecard, Dissertação de Pós-
Graduação, UFSC, Florianópolis, 2002.
RUDD C.; An Introductory Overview of ITIL, Version 1.0a. 2004. Disponível em:
<http://www.itsmf.com/publications/ITIL%20Overview.pdf>. Acesso em: 10 ago. 2005.
SALLÉ, M.; IT Service Management and IT Governance: Review, Comparative
Analysis and their Impact on Utility Computing, Trusted Systems Laboratory
HP Laboratories Palo Alto, 2004.
89
SAUVÉ, J. P.; MOURA, J. A. B.; SAMPAIO, M. C.;JORNADA, J. F. H.; RADZIUK, E.; An IT
Business Impact Management Framework, Relatório Técnico RT DSC-001/2004,
Universidade Federal da Paraíba, 2004.
STAIR, R. M.; REYNOLDS, G. W.; Princípios de Sistemas de Informação, 6 ed. Rio de
Janeiro, Thomson Learning, 2005.
TURBAN, E.; WETHERBE, J. C.; MCLEAN, E.; Tecnologia da Informação para Gestão, 3
ed. Porto Alegre, Bookman, 2004.
WEILL, P.; ROSS, J. W.; IT Governance: How Top Performers Manage IT Decision
Rights for Superior Results, USA, HBS Publishing, 2004.
Livros Grátis( http://www.livrosgratis.com.br )
Milhares de Livros para Download: Baixar livros de AdministraçãoBaixar livros de AgronomiaBaixar livros de ArquiteturaBaixar livros de ArtesBaixar livros de AstronomiaBaixar livros de Biologia GeralBaixar livros de Ciência da ComputaçãoBaixar livros de Ciência da InformaçãoBaixar livros de Ciência PolíticaBaixar livros de Ciências da SaúdeBaixar livros de ComunicaçãoBaixar livros do Conselho Nacional de Educação - CNEBaixar livros de Defesa civilBaixar livros de DireitoBaixar livros de Direitos humanosBaixar livros de EconomiaBaixar livros de Economia DomésticaBaixar livros de EducaçãoBaixar livros de Educação - TrânsitoBaixar livros de Educação FísicaBaixar livros de Engenharia AeroespacialBaixar livros de FarmáciaBaixar livros de FilosofiaBaixar livros de FísicaBaixar livros de GeociênciasBaixar livros de GeografiaBaixar livros de HistóriaBaixar livros de Línguas
Baixar livros de LiteraturaBaixar livros de Literatura de CordelBaixar livros de Literatura InfantilBaixar livros de MatemáticaBaixar livros de MedicinaBaixar livros de Medicina VeterináriaBaixar livros de Meio AmbienteBaixar livros de MeteorologiaBaixar Monografias e TCCBaixar livros MultidisciplinarBaixar livros de MúsicaBaixar livros de PsicologiaBaixar livros de QuímicaBaixar livros de Saúde ColetivaBaixar livros de Serviço SocialBaixar livros de SociologiaBaixar livros de TeologiaBaixar livros de TrabalhoBaixar livros de Turismo