Governança em TI: Benefícios e Modelos

Prévia do material em texto

GOVERNANÇA EM TI
W
BA
00
49
_v
2.
0
22 
Patrícia Bonezi Nunes da Mota
Londrina 
Editora e Distribuidora Educacional S.A. 
2019
Governança em TI
1ª edição
33 3
2019
Editora e Distribuidora Educacional S.A.
Avenida Paris, 675 – Parque Residencial João Piza
CEP: 86041-100 — Londrina — PR
e-mail: editora.educacional@kroton.com.br
Homepage: http://www.kroton.com.br/
Autoria: Profa. Patrícia Bonezi Nunes da Mota.
Revisão: Prof. Washington Henrique Carvalho Almeida.
Como citar este documento: MOTA, Patrícia Bonezi Nunes da. Governança em TI. 
Valinhos: 2019.
44 
SUMÁRIO
Apresentação da disciplina 5
Governança em TI: preparado para a mudança? 6
Modelos de governança e compliance 26
ITIL: um modelo de governança 42
ITIL: modelo de serviços, como implantar? 60
COBIT: o cubo na estratégia das empresas 76
Gestão de projetos e os modelos ágeis 92
Visão geral de compliance: COSO e resultados 107
GOVERNANÇA EM TI
55 5
Apresentação da disciplina
A disciplina de Governança em TI se apresenta com o objetivo de 
trabalhar os conceitos de Governança Corporativa e Governança de TI. 
Para tanto, traz as normas, processos e indicadores de desempenho 
para a área de TI, a fim de que os líderes e gestores possam entender 
as diferenças e aplicabilidades.
Também trabalha com o conceito das melhores práticas em processos 
e serviços de TI, utilizando os guias de gestão: Cobit (Control Objectives 
for Information and Related Technology), para que as lideranças extraiam 
por meio de indicadores os valores para a tomada de decisão e ITIL 
(Information Technology Infrastructure Library), como forma de organizar 
a TI e seus serviços, permitindo que o dia a dia da empresa seja 
administrado e acompanhado e, desta forma, traga os resultados para 
que o Cobit também produza seus resultados.
Apresentar os conceitos de modelos ágeis, com o Scrum como 
modelo de gestão e governança. Entender que as empresas agora 
não mais conseguem esperar dois anos para que os projetos 
aconteçam. Os modelos e metodologias ágeis chegaram para que 
os resultados de projetos apareçam em menor tempo.
Apresentar a ISO 38500 e o COSO, como governança e risco. 
Ao final, portanto, você conseguirá estabelecer uma relação 
entre governança corporativa e a Governança de TI, entender as 
melhores práticas de mercado e escolher quais poderá utilizar a 
fim de atingir resultados esperados.
66 
Governança em TI: 
preparado para a mudança?
Autora: Patrícia Bonezi
Objetivos
• Apresentar o tema Governança, na perspectiva de TI. 
• Apresentar as características e diferenças entre 
Governança de TI e Governança Corporativa.
• Apresentar ITIL, CobiT, ISO38500 e COSO, 
bem como os seus respectivos benefícios.
77 7
1. Governança na perspectiva da TI
Esta leitura fundamental tem como objetivo preparar o aluno para 
entender o conceito de governança, as diferenças sobre governança 
de TI e corporativa e, também, quais os benefícios e dificuldades de 
cada uma delas. 
O texto também busca apresentar alguns modelos e ferramentas 
que possam sustentar a implantação mínima possível segundo as 
necessidades da empresa. Mas, ao mesmo tempo, permita a evolução 
ao longo do tempo, considerando as mudanças que possam impactar 
o negócio, os momentos de pivotagem ou mesmo o alcance de outros 
patamares de atuação.
PARA SABER MAIS
O livro aborda o tema governança em TI com muita 
experiência e maturidade, apresentando uma visão 
integrada e inovadora na forma de exemplificar as formas 
de se fazer gestão em TI e apresentar diferentes soluções 
de governança, presente nos ambientes organizacionais.
Leia o livro: FERNANDES, Aguinaldo Aragon; ABREU, Vladimir 
Ferraz de. Implantando a Governança de TI: da Estratégia 
à Gestão dos Processos e Serviços. 4. ed. São Paulo: 
Saraiva, 2014.
2. Governança em TI e seus benefícios: 
preparado para a mudança?
A tecnologia permeia as corporações e está intimamente ligada aos 
negócios. Conforme aponta Fernandes (2014), as empresas hoje 
88 
entendem que tecnologia faz parte do negócio e do sucesso e estão 
convencidas de que, para se tornarem competitivas, os empresários têm 
que investir em tecnologia e, somente desta forma, estar à frente dos 
concorrentes diretos e indiretos.
Quando se fala em tecnologia, o assunto gira em torno de sistemas, 
redes, banco de dados, telecomunicações e, também, necessariamente, 
dinheiro para investimento nesses itens.
Falando especificamente em desenvolvimento de sistemas, os itens 
supracitados trazem conforto e permitem agregar valor às empresas 
e ao portfólio de produtos ou serviços ofertados. Mas, além disso, 
permitem que as ações das empresas listadas na Bolsa de Valores, 
por exemplo, ganhem expressividade, e este dinheiro empenhado em 
tecnologia, então, possa ser chamado de investimento. 
Não obstante, a grande questão quando se fala de sistemas é entender 
o quão abrangente este assunto é para as empresas e seus aportes 
financeiros. O quanto realmente se precisa e quer investir em sistemas, 
além de como e quais sistemas são realmente necessários. A dificuldade 
está em entender o que é realmente necessário e não fazer a aquisição 
de tecnologias somente por uma questão de mercado ou tendência, ou 
porque o concorrente está investindo em tecnologia, pois nem sempre 
atenderá às necessidades específicas da empresa. A análise dever ser 
baseada em saber aonde se quer chegar por meio do investimento em 
TI e no que investir.
Para tornar o processo mais assertivo em termos de tomada de decisão, 
portanto, as primeiras reflexões devem ser: aonde se quer chegar? Qual 
é o patamar ideal para colocar a empresa? Quanto de investimento será 
necessário? Qual o retorno e em quanto tempo?
Normalmente, estas respostas devem estar atreladas ao momento 
econômico do país, do mundo, do produto que se fabrica e comercializa, 
para onde vai o mercado em que se atua para, depois, então, conseguir 
respostas assertivas para embasar a tomada de decisão. 
99 9
A governança atende a estas questões, mas, para isso, é necessário 
entender o que é TI, o que abrange e quais modelos e ferramentas se 
tem disponível para atingir tais respostas.
No início deste movimento de informatização e tecnologia, a ideia e a 
vontade era automatizar o que era feito manualmente para se ganhar 
tempo com o que poderia ser substituído pela máquina e, também, ser 
realizado suprimindo erros humanos. 
A ocasião remete à década de 1950, no século passado, onde os 
computadores eram do tamanho de uma sala de jantar e serviam como 
grandes calculadoras que armazenavam os dados e os transformavam 
em informações. 
De outro modo, ainda na década de 1950, somente as grandes empresas 
investiam em tecnologia, pois era caro e não se sabia ao certo para que 
usar aquela “traquitana” toda.
Não se acreditava, naquela época, que os computadores estariam 
nas casas das pessoas e muito menos nas mãos – formato que hoje 
chamamos de smartphones ou mesmo tablets –, pois eram muito caros 
e grandes.
Na ocasião, as empresas que conseguiam ter acesso a estes 
computadores pagavam grandes somas de dinheiro para ver sua 
empresa automatizada. E, portanto, os computadores, com toda a sua 
capacidade de processar a informação, era privilégio dos grandes.
A capacidade de informatizar, automatizar e ter os computadores 
fazendo coisas que os humanos faziam, cobravam para isso e ainda 
muitas vezes erravam, caiu no gosto dos empresários. Desta forma, 
cada vez mais os computadores com o mínimo de inteligência, mas 
bastante programação para a automação, começaram a substituir a 
mão de obra humana.
1010 
Ao final do século XX, a microinformática entrou em definitivo nas 
empresas, mesmo que inicialmente de forma não organizada, e passou 
a ocupar posições estratégicas para que o humano dependesse cada 
vez mais da informação gerada por essas máquinas. Tornaram-se 
computadores de mesa, estações de trabalho, tablets e celulares, e 
entraram nos lares também, com seus aplicativosque substituíram a 
máquina de escrever.
A evolução da tecnologia não para e não existe mais possibilidade 
de reversão desse processo. Então, o jeito é entender e fazer uso da 
tecnologia da melhor forma, como aliada, para conseguir que a empresa 
obtenha lucros maiores e esteja dentro das normas mundiais, para que 
possa se posicionar entre as melhores do mundo no segmento.
Ainda no atual contexto, o mundo globalizado não permite que as 
empresas tenham um endereço físico, mas sim tenham um endereço 
eletrônico e atendam seus clientes em casa, por meio do e-commerce, e 
para tanto, dependam sim da tecnologia como parte do negócio.
Mas essa necessidade de estabelecer negócios e comercializar pela 
internet passou por um processo evolutivo e até chegar no e-commerce 
sofreu uma evolução dos sistemas.
Há 20 anos, quando o assunto era sistema, a moda nas empresas 
eram os sistemas de gestão, sistemas que surgiram para interligar os 
departamentos e consolidar os dados a fim de que os empresários e 
pessoas que tomavam decisões pudessem ter informações à mão, para 
decidirem o que comprar ou vender na empresa. Conforme Pinheiro, 
as organizações sabiam, por meio dos sistemas ERP (Enterprise Resource 
Planning), o quanto a empresa faturava e o que seria mais lucrativo para 
fazer o planejamento estratégico dos próximos anos.
Os sistemas, até então, traziam de forma ordenada a informação que 
permitia a tomada de decisão. Mas como organizar esta informação 
para que ela, de fato, trouxesse algum valor para as empresas? 
1111 11
Bom, para que estes sistemas ERP funcionassem, havia necessidade de 
interligar toda a infraestrutura via cabos e redes.
As redes, portanto, foram criadas para interligar os computadores e 
permitir a troca de informações. Conforme Tanembaum, outra função 
da rede é para o compartilhamento de periféricos e, assim, conseguir 
imprimir usando uma única impressora para vários computadores. 
Em linhas gerais, o investimento em infraestrutura contempla 
estrutura física e de redes de computadores de uma empresa. 
Com o advento da internet, a infraestrutura está cada dia mais 
presente nas empresas e figura como um investimento necessário para 
comportar e permitir ter a informatização necessária.
3. Governança em TI, o que muda?
Os assuntos “banco de dados” e “telecomunicações” são dois itens que 
fazem parte de tecnologia presente nas empresas. Em outras épocas, a 
preocupação com eles era bem menor e o investimento também. 
Na busca de um resultado melhor, o investimento em tecnologia cada 
vez mais foi aumentando nas empresas e agora a maioria delas enxerga 
que o negócio deles muitas vezes é TI e que dependem de tecnologia 
para serem competitivos.
Desta forma, a necessidade de controles, de pontos de verificação, 
de estarem dentro de normas e padrões exigidos pelas ISO’s e 
de outras certificações que garantam a qualidade dos produtos 
e serviços prestados e entregues fez com que se estabelecesse a 
governança nas empresas e para que a governança possa ser seguida 
e estabelecida, as pessoas envolvidas, gestores, clientes, acionistas 
e pessoas interessadas nestas empresas devem trabalhar dentro da 
conformidade e a todo tempo obedecer a normas que foram um dia 
propostas e aceitas por todos.
1212 
A governança deve ser divulgada a todos os envolvidos, em uma 
linguagem clara e de fácil compreensão – ter uma cartilha em um 
formato de política para que seja entendida – e deve também ser 
seguida após ter sido acordada entre todos.
Na governança em TI, o que muda? A governança em TI é parte 
da governança corporativa e deve estar alinhada e apoiada pelas 
lideranças, para ser cumprida como prometido nas certificações 
(FERNANDES, 2014).
Toda governança está ligada na forma de gerir uma empresa ou mesmo 
uma área, e uma forma de fazer isso é usar a tecnologia como meio.
De acordo com o autor Fernandes (2014), governança significa governar, 
mas o conceito em si extrapola tal definição. É preciso governar de 
acordo com as normas, leis e padrões definidos pelas regras de uma 
sociedade. Ou melhor, estar inserido na sociedade, respeitando as 
normas e padrões definidos como corretos.
A governança requer disciplina e acompanhamento do que se pretende 
fazer sobre a gestão e seus resultados. Estar alinhado à governança é 
muito mais do que simplesmente seguir as normas, mas sim trabalhar 
alinhado para que as normas sejam convertidas em resultados.
Desta forma, a governança de TI faz parte da governança corporativa. 
Não é uma questão de diferenças, mas entender duas práticas de 
governança implica em uni-las para que se atinja melhores resultados. 
Nesse ponto, torna-se fundamental entender o papel da TI nos modelos 
de gestão (MOLINARI; RAMOS, 2015).
A governança corporativa define um padrão que as empresas são guiadas 
ou mesmo as organizações são dirigidas e gerenciadas. Apesar da 
definição de cada uma das governanças, em TI ou mesmo a corporativa, 
estar interligada, cada uma delas possui seus próprios objetivos.
1313 13
Dentro da governança corporativa, as boas práticas regem que a 
transparência nos processos deve envolver acionistas, diretores, 
auditores, conselho fiscal e a sociedade, que invariavelmente 
participam da empresa.
No meio corporativo, a governança de TI foi elaborada com o 
objetivo de planejar e elaborar meios e estratégias para ter vantagens 
competitivas. Nesse ínterim, as ferramentas de TI implantadas em uma 
empresa têm a missão de conseguir fazer com que isso aconteça.
Algumas práticas que cabem dentro das melhores práticas do mercado, 
para a TI, permitem que se criem serviços absolutamente confiáveis e 
disponíveis de forma que se alcance excelência, tornando a empresa 
mais competitiva.
Para que se aumente esta competitividade e os melhores processos 
sejam garantidos dentro de uma corporação, existem algumas 
ferramentas e modelos que são recomendados. De outro modo, a 
utilização de ferramentas, modelos ou frameworks é necessária para 
colocar a empresa em outro patamar no mercado.
Mas vale ressaltar que, enquanto ferramentas e modelos, não é possível 
estabelecer uma solução pronta, mas sim citar modelos a serem 
seguidos para se atingir os resultados perseguidos, permitindo que a 
empresa tenha lucro e se posicione de forma diferente no mercado. 
Estas ferramentas são importantes para a geração e controle da 
qualidade dos serviços. Garantir a qualidade dos produtos e serviços 
significa permitir que o alinhamento dos recursos - como softwares e 
sistemas – esteja alinhado aos objetivos da empresa.
Estas ferramentas, quando implantadas, devem ser utilizadas e 
respeitadas por todos os envolvidos na empresa. O resultado só 
aparecerá se estas ferramentas forem utilizadas pelos usuários, 
gestores, diretores, acionistas e outras pessoas interessadas 
na empresa.
1414 
Dentre as ações que são descritas nos modelos e ferramentas para a 
governança de TI, estão aquelas que também garantem a segurança 
de informação nos processos executados dentro de uma empresa. 
A segurança garante a confiabilidade, integridade e segurança dos 
dados que são trabalhados e gerados pelas empresas. 
A ISO 27000 é uma forma de garantir essa integridade e 
confiabilidade com segurança, garantindo que os dados gerados 
são reais e que podem ser utilizados como forma de aferir o valor 
da empresa e suas ações. Mas, novamente, as ações de segurança 
que estarão descritas na ISO 27000 devem ser seguidas dentro do 
contexto que elas foram descritas e pactuadas com os auditores na 
certificação ou na recertificação. Portanto, se uma empresa já possui 
uma das certificações da ISO, no caso a 27000, tudo fica mais fácil 
para a governança.
4. Modelos e ferramentas
Estes modelos e/ou ferramentas propostos para a governança de TI 
atendem propósitos específicos, e cada um deles atende a diferentes 
requisitos e entregam resultados específicos. Por vezes, alguns deles 
são complementares e trabalham juntos para que faça sentido os 
resultadosapresentados.
A seguir, uma lista com alguns modelos para apoiar os resultados 
esperados na governança em TI:
4.1 ITIL (IT Infrastructure Library)
Uma biblioteca de melhores práticas para a entrega e operação de 
serviços de TI, utilizando bibliotecas separadas por módulos focados 
em serviços.
1515 15
Figura 1 – ITIL (IT Infrastructure Library)
Fonte: elaborada pelo autor.
Este modelo funciona em empresas de serviços de tecnologia ou 
para mapear e validar os serviços prestados no Service Desk de 
qualquer empresa. 
O objetivo do Service Desk é centralizar, controlar e aplicar as definições 
da ITIL na gestão estratégica e planejada de serviços de TI, centralizando 
os registros e as necessidades de uma empresa em um único lugar 
para manter um controle sobre o que foi feito, mantendo as análises 
e acompanhamento do atendimento e da resolução dos problemas, 
mapeando os dados e informações do atendimento.
Deve ser implantado com uma ferramenta (ou sistema) de tecnologia 
para que os usuários possam abrir as solicitações e ter suas 
necessidades em sistemas e tecnologias resolvidas e, desta forma, 
mapeado o que foi solicitado pelos usuários e como foram tratadas e 
resolvidas as demandas.
1616 
4.2 COBIT (Control Objectives for Information and related Technology)
Este framework complementa-se com o ITIL na governança de TI e 
contempla recursos atrelados ao sumário executivo, controles, mapas 
e indicadores de metas, além de um guia de gerenciamento. Ele 
acompanha a governança de TI e deve ser utilizado para garantir a 
qualidade dos serviços de TI. 
Figura 2 – CoBIT (Control Objectives for Information and related Technology)
Fonte: elaborada pelo autor.
Este modelo é comumente recomendado por especialistas da área de 
tecnologia, atende aos líderes e gestores da empresa, dando subsídios 
para tomada de decisões e também será detalhado mais adiante.
A seguir, as 5 áreas de foco do Cobit:
• Alinhamento estratégico;
• Entrega de valor;
• Gerenciamento de riscos;
• Gerenciamento de recursos;
• Mensuração de desempenho.
1717 17
4.3 SOX (Lei Sarbannes-Oxley)
A SOX é a abreviação de uma lei norte-americana de 2001, que tem o 
objetivo de regulamentar a atuação de empresas que querem colocar 
suas ações para serem comercializadas na bolsa de valores americana. 
Esta lei surgiu após problemas com a bolha de internet e o problema 
da Eron e, consequentemente, a quebra de algumas empresas que não 
garantiam lastro nas ações que vendiam e quando eram comercializadas 
nem sempre valiam o que falavam que valiam.
A regulamentação exige que todas as áreas da empresa estejam dentro 
da conformidade e não seria diferente para a área de TI. Os requisitos 
determinados nesta lei devem estar implantados na empresa e ser 
seguidos de acordo.
4.3 PMI (Project Management Institute)
O PMI é um instituto norte-americano que elabora, há anos, um 
modelo de gestão de projetos que passa por evolução constante. 
Este modelo de gestão atende a gerenciamento de projetos na 
área de TI ou em outra qualquer. Para tanto, existe um manual de 
boas práticas, chamado o body of knowledge em Gerenciamento de 
Projetos (PMBoK), que serve como um guia de melhores práticas em 
gestão de projetos.
Para ser um profissional de gestão de projetos, entende-se que 
a certificação do PMI, a mais conhecida chamada PMP (Project 
Management Professional), é essencial. Esta certificação evolui de 
tempos em tempos e é necessária mantê-la. 
1818 
Figura 3 – Modelos ágeis (Scrum)
Fonte: pixabay.com.
Métodos ágeis surgiram na engenharia de software para melhor 
desenvolvimento de sistemas. E, como o sucesso deste foi grande, 
passou a integrar a lista de modelos de gestão de projetos.
Por ser ágil, ele tem a missão de finalizar e entregar de forma que se 
adapte a mudanças e entregue qualquer projeto. As análises e pontos 
de verificação, por sua vez, são diários e permitem uma correção de rota 
rápida antes de comprometer as entregas, prazo e custo do projeto.
As empresas não têm mais tempo para esperar um projeto de dois ou 
três anos para ver um resultado ou uma mudança acontecer. Desta 
forma, o método ágil permite que o prazo, que poderia ser um ofensor, 
seja um aliado no término do projeto em um tempo adequado.
Dentro deste modelo não existe mais um perfil de gerente dos 
projetos, mas sim uma liderança técnica que possa fazer-acontecer e, 
desta forma, os resultados apareçam em menor tempo. Não obstante, 
o projeto é dividido em Sprints e cada uma delas conduzida por um 
Scrum Master (liderança técnica), pode levar de 2 a 8 semanas. Cada 
Sprint compõe uma fase do projeto e ao término de uma fase já é 
possível ver resultados.
Como os resultados dentro do planejamento estratégico de uma 
empresa são importantes – e estas hoje estão voltadas para os 
1919 19
resultados pactuados –, cumprir prazos, dentro do escopo, com 
qualidade, dentro do custo, causa impacto positivo.
Desta forma, este modelo de gestão entra para a governança de TI como 
parte integrante do resultado da empresa.
4.4 ISO/IEC 38500 – Governança Corporativa de Tecnologia da 
Informação
Esta norma fornece uma estrutura de princípios para que os gestores 
e partes interessadas possam utilizar no gerenciamento e avaliação no 
uso da tecnologia da informação nas corporações. Para ter acesso a ela, 
entre no site da Associação Brasileira de Normas Técnicas e procure pela 
NBR ISO/IEC 38500:2009.
Figura 4 – ISO/IEC 38500 – Governança Corporativa 
de Tecnologia da Informação
Fonte: pixabay.com.
Esta norma é aceita em qualquer organização, sendo ela pública ou 
privada, com o objetivo de trabalhar a Tecnologia da Informação 
nas empresas.de modo eficiente e com qualidade. A sua utilização 
garante aos acionistas e a todas as partes interessadas que a 
empresa tenha Governança em TI, seguindo normas e padrões de 
forma a estar mais preparada para avaliações necessárias e garantir 
a governança, gerar mais responsabilidade por parte de todos e 
aproximar a empresa das certificações. 
2020 
Esta norma passa por 6 princípios:
Responsabilidade: contempla a responsabilidade colocada para cada 
um dos participantes dentro de uma organização, onde os mesmos 
compreendem e trabalham em suas responsabilidades com as 
necessidades das demandas de TI. Responsáveis pelo desempenho de 
cada uma de suas ações e resultados.
Estratégia: considerando as necessidades da organização, a estratégia 
deve estar alinhada à capacidade atual e futura da TI. O planejamento 
estratégico de tecnologia deve satisfazer as necessidades atuais e 
contínuas da estratégia de negócio da organização.
Aquisição: as aquisições de TI devem ser feitas para atender às 
necessidades da continuidade do negócio. Devem ser feitas por motivos 
que justifiquem e de forma que a análise feita seja adequada. Deve ser 
tomado o devido cuidado no entendimento dos benefícios a curto e 
longo prazo e os custos assumidos. Ou seja, feito de forma consciente.
Desempenho: trabalho em conjunto com qualidade, onde a tecnologia 
entra para apoiar as empresas no fornecimento do serviço adequado, 
com a qualidade esperada aferida dentro do nível de serviço acordado. 
Conformidade: cumprimento da legislação e dos regulamentos 
obrigatórios. Estar em conformidade implica em atender as políticas e 
práticas que foram implantadas, definidas e devidamente fiscalizadas.
Comportamento humano: seguir todas as recomendações definidas 
nas políticas e decisões que dizem respeito ao comportamento humano 
pelas pessoas envolvidas em todo processo dentro de uma empresa. 
Cuidar e garantir que se consiga ter integridade, confiabilidade, 
confidencialidade dos dados de uma empresa.
Aliado a estes princípios, existem três principais tarefas:
2121 21
• Avaliar: o uso da TI e seu futuro, definindo estratégias e a onde se 
quer chegar.
• Orientar: preparar e implantar planos e políticas para atingir os 
planos para a tecnologia da informação.
• Monitorar: as políticas implantadas definidaspelos planos.
Dentro dos seis princípios devem ser incorporados o ciclo Avaliar-
Orientar-Monitorar e assim estabelecer uma forma para que cada 
um dos princípios atue na defesa da governança e estabeleça a 
responsabilidade, estratégia, aquisição, desempenho, conformidade e 
comportamento humano.
5. Quais resultados a governança de TI 
pode trazer?
Os resultados são inúmeros, a começar pela definição de processos 
claros e bem definidos, implantação de normas de segurança da 
informação que circula pela empresa, e garantem a conformidade, 
confidencialidade e integridade dos produtos ou serviços que são 
produzidos ou entregues e que estão nos sistemas de uma organização 
(FERNANDES, 2014). 
Desta forma, fica mais fácil tratar alguns assuntos, tais como:
• Evitar os vazamentos de dados importantes da empresa.
• Automatização dos processos e minimização dos custos com 
pessoas e processos ineficazes.
• Boa utilização dos recursos de TI e suas ferramentas.
• Melhoria contínua dos processos da empresa.
• Identificar e tratar os incidentes antes mesmo que eles se tornem 
problemas e comprometam a empresa.
2222 
Muito antes de implementar a governança de TI e corporativa, é 
importante lembrar que a preparação frente a essa mudança envolve 
todas as partes interessadas, muito trabalho, mas tudo isso será 
recompensado quando a empresa estiver com bons resultados, bem 
posicionada no mercado e procurada tanto por clientes quanto por 
pessoas que querem fazer parte dessa organização.
E você, está preparado para a mudança?
6. Consideração finais
A governança nas empresas envolve a todos. Sendo governança 
corporativa, ou mesmo governança de TI, o processo é responsabilidade 
de todos da organização. 
Além disso, a governança tem o papel de orientar a empresa, 
estabelecer normas e padrões que estão diretamente voltados à missão, 
visão e valores da mesma. Esta só consegue se tornar competitiva 
se investir de forma séria e correta para tirar o melhor resultado da 
governança corporativa e de TI. 
TEORIA EM PRÁTICA 
Reflita sobre a seguinte situação: você entrou em uma 
empresa, na área de controladoria, e nesse momento ela 
não possui nenhum mecanismo ou modelo de governança 
que funcione de forma efetiva, pois os líderes, gestores e 
diretores da empresa não apoiam de verdade a governança, 
por não acreditarem nesse modelo, e boicotam, mesmo 
inconscientemente, qualquer ação proposta pela área. 
2323 23
Como você, enquanto participante deste processo de uma 
área paralela à área de governança, pode ajudar a solidificar 
o modelo, trocando ou sugerindo mudanças a fim de que 
todos se beneficiem na empresa, inclusive os próprios 
diretores, que não conseguem ver a importância disso?
VERIFICAÇÃO DE LEITURA
1. Quais os objetivos do Service Desk?
a. Somente centralizar os registros e as necessidades de 
uma empresa em um único lugar.
b. Centralizar, controlar e aplicar as definições da ITIL na 
gestão estratégica e planejada de serviços de TI.
c. Aplicar as definições da ITIL na gestão estratégica e 
planejada de serviços de TI.
d. Centralizar os registros e as necessidades de uma 
empresa em um único lugar, para manter um controle 
sobre o que foi feito.
e. Manter as análises em dia.
2. A ISO/IEC 38500 possui 3 tarefas, que são: 
a. Analisar, Avaliar, Monitorar.
b. Orientar, Avaliar, Julgar.
2424 
c. Monitorar, Descrever, Analisar.
d. Avaliar, Orientar, Monitorar.
e. Monitorar, Escrever, Analisar.
3. É um framework, complementa-se com o ITIL na 
governança de TI e contempla recursos atrelados ao 
sumário executivo, controles, mapas e indicadores de 
metas, além de um guia de gerenciamento. 
O trecho acima trata do(a):
a. ITIL.
b. Scrum.
c. CobiT.
d. PMI.
e. ISO38500.
Referências bibliográficas
FERNANDES, Aguinaldo Aragon; ABREU, Vladimir Ferraz de. Implantando a 
Governança de TI: da Estratégia à Gestão dos Processos e Serviços. 4. ed. 
São Paulo: Saraiva, 2014. 
MAGALHÃES, Ivan Aluizio; PINHERO, Walfrido Brito. Gerenciamento de Serviços 
de TI na Prática – uma abordagem com base no ITIL. 5. ed. São Paulo: Novatec 
Editora, 2010.
MOLINARO, Luis Fernando Ramos; RAMOS, Karoll Haussler Carneiro. Gestão de 
Tecnologia da Informação. Rio de Janeiro: LTC, 2015.
Tanenbaum, Andrew S. Redes de Computadores. 4. ed. São Paulo: Prentice 
Hall, 2003.
2525 25
Gabarito
Questão 1 – Resposta: B
Resolução: Centralizar, controlar e aplicar as definições da ITIL na 
gestão estratégica e planejada de serviços de TI, centralizando 
os registros e as necessidades de uma empresa em um único 
lugar para manter um controle sobre o que foi feito, mantendo as 
análises e acompanhamento do atendimento e da resolução dos 
problemas, mapeando os dados e informações do atendimento. 
O Service Desk vai além de somente manter os chamados, mas 
está voltado para gerar resultados sobre os atendimentos.
Questão 2 – Resposta: D
Resolução: Avaliar, Orientar, Monitorar.
• Avaliar: o uso da TI e seu futuro, definindo estratégias e aonde 
se quer chegar.
• Orientar: preparar e implantar planos e políticas para atingir os 
planos para a tecnologia da informação.
• Monitorar: as políticas implantadas definidas pelos planos.
Questão 3 – Resposta: C
Resolução: O Cobit é um framework, complementa-se com o ITIL 
na governança de TI e contempla recursos atrelados ao sumário 
executivo, controles, mapas e indicadores de metas além de um 
guia de gerenciamento.
2626 
Modelos de governança 
e compliance
Autora: Patrícia Bonezi
Objetivos
• Compreender preceitos sobre alinhamento 
estratégico, entrega de valor e, também, 
gerenciamento de recursos na governança.
• Compreender o conceito de compliance.
• Conhecer a ISO 38500/2018.
2727 27
1. Introdução
Esta leitura fundamental tem como objetivo apresentar a você um 
modelo de governança, contemplando o conceito de compliance e 
auditoria como formas de garantir a integridade das informações e 
confiabilidade da empresa. 
O modelo de governança aqui discutido considera implantar a ISO 
38500/2018 juntamente a seus princípios – que norteiam as empresas 
que se aventuram em usar a governança como apoio para mudança de 
patamar nos negócios.
PARA SABER MAIS
A título de aprofundamento acerca do assunto, vale a pena 
a leitura do livro Implantando a Governança de TI (2014), do 
autor Aguinaldo e Vladimir, abaixo sinalizado.
Vale dizer que não há nenhuma pretensão em esgotarmos 
os assuntos tratados na disciplina e, por isso, é de extrema 
importância que você pesquise, sempre de maneira 
autônoma e crítica, para melhor atuar no mercado 
de trabalho.
Leia o livro: 
FERNANDES, Aguinaldo Aragon; ABREU, Vladimir Ferraz de. 
Implantando a Governança de TI: da Estratégia à Gestão 
dos Processos e Serviços. 4. ed. São Paulo: Saraiva, 2014.
2828 
Figura 1 – Modelo de governança e compliance
Fonte: airdone/iStock.com.
O processo de implantação dos modelos de governança nas empresas 
é um desafio que envolve a todos. Além disso, possui a missão de 
ajudar as organizações a se estruturarem e mapearem os seus 
processos, atingindo outros patamares via aumento de controle 
e ampliação de decisões mais assertivas, bem como gerenciar as 
inconformidades que possam surgir. 
Tomando isso como base e considerando em paralelo a governança 
corporativa ou de TI, em algumas empresas, quem administra o 
compliance é a área financeira ou mesmo uma área de controles 
internos, que exige que sejam cumpridas as normas dentro das 
conformidades e leis.
1.1 Compliance e governança no controle
De acordo com o Fernandes (2014), compliance é inerente à Governança. 
Compliance, é uma forma de controlar e auditar para evitar e administrar 
eventuais problemas que possam comprometer a operação da empresa, 
bem como sua reputação.
2929 29
Compliance, do inglês, significa estar de acordo ou em conformidade a 
um conjunto de normas que se organizam com base em leis, padrões, 
regulamentações, políticas e direções estabelecidas para o negócio 
da empresa,bem como evitar, detectar e tratar quaisquer desvios na 
conduta de normas, leis e politica que possam comprometer o bom 
andamento da empresa via geração de inconformidades no processo de 
governança propriamente dito (MAGALHÃES, 2010). 
Não obstante, dentro das corporações existem áreas de controles 
internos e auditoria que se alinham aos propósitos do compliance. Estas 
áreas são chamadas de unidades de negócios ou departamentos.
Estes departamentos são compostos por pessoas que participaram do 
processo de definições da Governança, estabelecem as normas a serem 
seguidas e certificam a empresa, de acordo com as leis do país que estão 
localizados. As leis estão atreladas ao cumprimento destas normas, para 
que a empresa esteja em alinho ao Compliance.
Se considerarmos os custos que as não conformidades e o não 
cumprimento da lei geram, torna-se mais interessante o investimento 
em modelos que garantam o Compliance, ou seja, o atendimento às 
normais e padrões estabelecidos no nicho de atuação da empresa, 
evitando assim gastos com multas e processos jurídicos, manchas 
na reputação da empresa, perda de clientes e perda também da 
presença de mercado.
1.2 Compliance e sua história
Por estar diretamente ligada à necessidade de cumprir a lei, evitar as 
fraudes e caçar na empresa qualquer irregularidade, certamente o 
Compliance pode não ser o departamento favorito dos funcionários 
da empresa. De outra maneira, apesar de ser uma área bastante 
importante, os funcionários podem, portanto, apresentar certo 
comportamento de receio ou resistência. 
3030 
Na verdade, esta área não está na empresa para punir as pessoas ou 
mesmo entregar as falhas, mas sim controlar, criar mecanismos de 
verificação e controle, auditar internamente, a fim de que sejam atendidas 
às normas e leis e que estas sejam cumpridas com transparência. 
A partir do momento que as pessoas que fazem parte desta empresa se 
conscientizem de que trabalhar de forma correta é o melhor para todos, 
o Compliance deixa de ser uma obrigação e passa a ser um aliado para 
que a empresa cumpra seu papel e esteja entre as melhores empresas 
do mundo no segmento, cuidando da sua reputação.
As pessoas que atuam no Compliance são preparadas para administrar 
um programa de Compliance que atenda à área de atuação da empresa. 
Como exemplo, é possível citar as empresas que estão ligadas ao 
mercado financeiro, que são regidas pelas normas impostas pelo 
Banco Central, bem como pela lei norte americana Sarbanes-Oxley 
(SOX). Estas instituições que trabalham com o dinheiro do cliente estão 
sujeitas a normas e sanções mais severas e, para tanto, o investimento 
no compliance é maior. E é mesmo necessário que seja assim para que 
eles possam abrir as portas do mercado de investimentos exterior, por 
exemplo, quando pensamos em risco-país. 
Independentemente do segmento de atuação da empresa, normalmente 
o departamento de compliance está dentro das empresas por uma 
necessidade da atuação efetiva e diária.
Desta forma, a necessidade de manter a empresa dentro das 
normas e leis fez surgir a vontade de se ter um departamento que 
pudesse se dedicar exclusivamente a isso e, assim, criou-se a área de 
controles internos.
Vale citar que o surgimento do compliance se deu nos Estados Unidos, 
com a criação do FDA (Food and Drugs Act) no final do século XX, com o 
advento da internet e a necessidade de as agências reguladoras atuarem 
mais efetivamente nas empresas, como forma de regulamentar as 
atividades relacionadas à área da saúde e alimentos.
3131 31
Mas foi devido às instituições financeiras que o compliance avançou, e 
a partir do ano 2001 as instituições que têm ações na bolsa de valores 
precisam necessariamente estar alinhadas com esta lei e alinhadas 
também com esta área.
Figura 2 – Compliance, ícone da conformidade
Fonte: shutteratakan/iStock.com.
Importante dizer que as empresas que estão atendendo às normas 
propostas dentro desta lei, ou seja, assistindo tais normas, em caso de 
irregularidades ou inconformidades terão as penas mais leves.
Com o crescente número de regulações e normas, nas mais 
diferentes empresas e segmentos de mercado, o compliance atende 
a diferentes necessidades, como regulação antifraudes, controle do 
direito ambiental, controle do processo de exportações e lavagem 
de dinheiro. Daí a importância da abordagem contingencial da 
administração e a necessidade de os profissionais serem autônomos 
e críticos na hora de buscar resoluções para os problemas de cada 
empresa, em cada possível cenário.
Outro motivo: os programas de compliance devem atender às normas 
de cada país e de cada empresa e seus segmentos. Nos Estados 
Unidos, aplica-se a normas sobre antilavagem de dinheiro para 
garantir que não ocorram fraudes no sistema bancário e trabalha no 
sentido de evitar e combater o terrorismo. 
3232 
1.3 Os programas de compliance e o COAF
Nestes programas existem alguns princípios básicos, como o 
programa e as regras do compliance devem ser escritos por um 
membro da empresa, garantir a detecção e denúncia a atos suspeitos, 
garantir a privacidade dos negócios e estar em conformidade com 
as leis, formação contínua das pessoas envolvidas em todo processo 
dentro das empresas. 
No Brasil, além dos princípios que devem ser seguidos, deve ser 
avisado ao COAF (Conselho de Controle de Atividades Financeiras) 
em caso de suspeitas de fraudes, como determina as boas práticas. 
De acordo com a publicação da Revista Exame (2019), o COAF é um 
órgão ligado ao ministério da Fazenda, responsável por informar sobre 
atividades financeiras que levantem suspeitas sobre fraudes e lavagem 
de dinheiro. Saques e depósitos acima de 30 mil reais são sempre 
comunicados. Este órgão não executa, porém, qualquer investigação e, 
vale dizer, foi criado pela lei nº. 9613/98.
Conforme dados informados pela revista Exame (2019), “o maior 
número de relatórios foi produzido em casos que envolvem 
investigações sobre corrupção. Foram 9,4 mil comunicações entre 
o Coaf e órgãos de investigação sobre o crime. Fraude (4,5 mil) e 
tráfico (4,3 mil) vêm logo em seguida. E ainda sonegação (2,2 mil) e 
investigações sobre facções criminosas (1,5 mil)”.
Em se tratando de Brasil, em meados do ano 2010, as 
regulamentações tornaram-se mais sérias devido aos grandes 
escândalos voltados à economia e política, causando perdas nas 
empresas e tornando a economia do país mais enfraquecida. Devido à 
má fama e baixa nota do país (como risco-país influenciando a taxa de 
juros, por exemplo), as empresas reforçaram as normas para garantir 
o Compliance dentro das empresas e “mantê-las de pé”, sem a ameaça 
do boicote dos países investidores no Brasil.
3333 33
Ética e governança, neste sentido, estão caminhando lado a lado, e 
a política de governança inclui atividades que regem o modo como 
as empresas investem e crescem aportando em outros países e 
tornando-se globais.
Com a implantação do compliance nas empresas, no período 
compreendido entre 2010 e 2019, as empresas passam a valorizar os 
programas de responsabilidade social como proposta para combater o 
crime de corrupção.
Dentro de um programa de compliance que tem objetivo de combater 
a corrupção, tem como norte os princípios de manter a alta direção 
envolvida, comprometida com as ações, códigos de ética e conduta, 
manter os controles internos, autonomia, treinamento e análise 
constante de riscos.
Colocar inteligência no compliance significa investir em análises, 
monitoramento e auditorias em riscos, como forma de estar em 
conformidade com a lei. A tecnologia pode apoiar em grande medida 
esta prática, vide as possibilidades com relação a blockchain (tecnologia 
por detrás da moeda virtual Bitcoin).
Figura 3 – Leis e o compliance
Fonte: PhonlamaiPhoto/iStock.com.
3434 
1.4	 As	certificações	e	seus	modelos	de	governança	e	a	 
ISO 38500/2018
A necessidade de implantar uma governança forte nas empresas fez 
com que as certificações e preparação dos recursospara atuar em 
compliance se intensificassem, e os modelos que podem trazer os 
resultados esperados estão sendo buscados, tais como ITIL, Cobit, BSC, 
CMMI, COSO e a ISO 38500/2018.
A certificação em cada um dos modelos citados é uma consequência da 
necessidade de buscar os resultados e fazer com que eles aconteçam na 
empresa, de acordo com Fernandes (2014).
Figura 4 – ISO
Fonte: porcorex/iStock.com.
Dentre as certificações citadas, a abordagem desta leitura é em cima da 
ISSO 38500/2018.
ISO/IEC 38500 é uma norma internacional que atende a governança 
corporativa de tecnologia da informação, sendo divulgada 
pela Organização Internacional de Normalização (ISO) e a Comissão 
Eletrotécnica Internacional (IEC). 
3535 35
Esta norma tem um framework para a governança em TI, onde apoia 
o mais alto nível das organizações a entender e fazer com que as 
normas sejam atendidas em suas obrigações legais, regulamentares 
e éticas dentro da utilização da tecnologia e organizações.
ISO/IEC 38500 pode ser implantada em diversos tipos de 
organização, de todos os tamanhos que queiram estar dentro da 
norma, incluindo órgãos públicos, entidades governamentais e 
organizações não-lucrativas.
Esta norma tem como objetivo trabalhar nos princípios básicos e 
orientadores sobre a governança em TI e seus usos de forma eficiente 
e eficaz da Tecnologia da Informação (TI) para as lideranças e diretoria. 
O modelo passa por definições e princípios.
Ele estabelece seis princípios para a boa governança corporativa de TI, 
trabalhando nas diretrizes básicas:
• Responsabilidade.
• Estratégia.
• Aquisição.
• Desempenho.
• Conformidade.
• Comportamento humano.
1.4.1 Responsabilidade
Dentre os seis princípios para a implantação da ISO38500, existe 
a Responsabilidade, que entende que as pessoas fazem parte da 
organização e estas devem compreender e empregar os princípios de 
3636 
responsabilidade dentro da empresa como provedor de TI e na procura 
de melhores soluções para o desempenho na empresa, com foco em 
resultados, inovação e tecnologia, dentro de uma conduta ética, alinhada 
com os valores da empresa.
1.4.2 Estratégia
Dentro de uma organização, a estratégia para o negócio contempla as 
capacidades de TI atuais e futuras, determinadas no plano estratégico 
como forma de obtenção dos resultados da empresa. Esta estratégia 
está atrelada ao respeito que a organização coloca com parte da 
estratégia de negócio dentro da governança.
1.4.3 Aquisição
As aquisições para a área de tecnologia de uma organização são 
concretizadas por razões que determinam onde se necessita chegar, 
com base em análises fundamentadas, com decisões óbvias e 
transparentes, dentro de um equilbrio entre os oportunidades e riscos 
em curto e longo prazos.
1.4.4 Desempenho
Capacidade de absorção da empresa e a necessidade de recursos para 
avaliar o desempenho do negócio. Desta forma, a necessidade de mais 
ou menos tecnologia depende de onde se quer chegar, e estes valores 
devem ser constantementes auferidos por meio de métricas que targam 
resultados que permitam a tomada de decisão e mudanças de rumo.
1.4.5 Conformidade
A conformidade em TI é estar de acordo com a legislação e 
regulamentos aplicáveis, alinhada a uma postura adequada para com as 
organizações dentro de uma sociedade e praticar a sustentabilidade. 
3737 37
1.4.6 Comportamento humano
Determinar as políticas aplicadas à tecnologia está ligado ao respeito 
pelo ser humano, respeitando as necessidades e comportamento 
humano, envolvendo as pessoas como parte mais importante no 
processo de governança das empresas para se alcançar a excelência e a 
Governança em TI.
É possível entender que em governança os recursos humanos são 
fundamentais para que se tenha sucesso e chegue nos resultados 
esperados.
Esta importância aparece em destaque pela ISO/IEC 38500/2018, por 
meio dos seis princípios que a compõem.
Desta forma, deve ser feita sempre a pergunta: as pessoas que 
compõem a equipe de tecnologia em uma empresa estão mesmo 
empenhadas no processo de governança e conhecem o processo de 
governança de TI? 
Figura 5 – As necessidades e ganhos com a ISO
Fonte: Melpomenem/iStock.com.
3838 
2.	Considerações	finais
Em todo processo de governança dentro de uma empresa é necessário 
identificar quais são as metas que se quer atingir, aonde se quer chegar, 
qual o limite de controles que a empresa suporta ou, se depender de 
aspectos legais, como conseguir estar dentro destes limites a fim de ter 
governança e controles pelo compliance sem que seja algo inatingível. 
O Compliance nas empresas, hoje, garante a integridade e confiabilidade, 
portanto entende-se que a organização está dentro das conformidades, 
elevando a sua credibilidade, inclusive. De outro modo, é possível fazer 
negócios com esta empresa, pois ela garante a qualidade de entrega 
dos produtos ou serviços, trabalha com ética e transparência, possuindo 
processos claros de combate a fraudes e corrupção. 
Por fim, vale destacar que envolver as pessoas e capacitar a todos no 
entendimento sobre governança como um todo e principalmente a 
governança em TI faz parte de um processo de amadurecimento para se 
chegar na excelência de serviços.
TEORIA EM PRÁTICA 
Reflita sobre a seguinte situação: você trabalha em uma 
empresa em que a governança foi aplicada somente a 
processos que estão muito bem estruturados. Você, por sua 
vez, está no papel de um consultor que trabalha na área de 
auditoria e, sim, você faz parte do processo de governança e 
precisa implantar um modelo de compliance. 
Qual seria a melhor solução neste caso? Por onde começar 
para se ter sucesso no modelo de compliance?
3939 39
VERIFICAÇÃO DE LEITURA
1. Qual modelo proposto no texto, aplicado à Governança, 
que propõe a avaliação de riscos do negócio? 
a. PMI.
b. COSO.
c. ITIL
d. Cobit.
e. Scrum.
2. O que propõe o princípio de Desempenho da ISO38500? 
a. A procura de melhores soluções para o desempenho 
na empresa, com foco em resultados, inovação e 
tecnologia, dentro de uma conduta ética, alinhada 
com os valores da empresa.
b. É possível entender que em governança os 
recursos humanos são fundamentais para que se 
tenha sucesso e chegue aos resultados esperados. 
Esta importância aparece em destaque pela ISO/
IEC 38500:2009, por meio dos seis princípios que 
a compõem.
c. A necessidade de mais ou menos tecnologia depende 
de onde se quer chegar, e estes valores devem ser 
constantementes aferidos por meio de métricas que 
tragam resultados que permitam a tomada de decisão 
e mudanças de rumo
4040 
d. Determinar as políticas aplicadas à tecnologia está 
ligado ao respeito pelo ser humano, respeitando as 
necessidades e comportamento humano, envolvendo 
as pessoas como parte mais importante no processo 
de governança das empresas para se alcançar a 
excelência e a Governança em TI.
e. Dentro de uma organização a estratégia para o 
negócio contempla as capacidades de TI atuais e 
futuras, determinadas no plano estratégico como 
forma de obtenção dos resultados da empresa.
3. Dentro do Compliance e Governança, de acordo com o 
texto, o que é o COAF? 
a. Departamento de defesa do Brasil sobre maus tratos, 
implantado pelo Ministério da Fazenda.
b. Lugar onde as pessoas estão quando cometem 
fraudes e desvios de dinheiro.
c. Conselho de Controle de Ativistas Fiscais em 
caso de suspeitas de roubo, como determina as 
boas práticas.
d. Conselho de Controle de Atividades Financeiras em 
caso de suspeitas de fraudes, como determina as 
boas práticas.
e. Conselho de Controle de Atitudes Fiscais em caso de 
suspeitas de comércio ilegal.
4141 41
Referências	bibliográficas
Corrupção é o crime que mais movimenta dados entre Coaf e investigadores. 
Disponível em: https://exame.abril.com.br/brasil/corrupcao-e-o-crime-que-mais-
movimenta-dados-entre-coaf-e-investigadores/. Acesso em: 6 out. 2019.
FERNANDES, Aguinaldo Aragon; ABREU, Vladimir Ferraz de. Implantando a 
Governança de TI: da Estratégiaà Gestão dos Processos e Serviços. 4. ed. São 
Paulo: Saraiva, 2014. 
MAGALHÃES, Ivan Aluizio; PINHERO, Walfrido Brito. Gerenciamento de Serviços 
de TI na Prática – uma abordagem com base no ITIL. 5. ed. São Paulo, Novatec 
Editora, 2010.
MOLINARO, Luis Fernando Ramos; RAMOS, Karoll Haussler Carneiro. Gestão de 
Tecnologia da Informação. Rio de Janeiro, LTC, 2015.
Gabarito
Questão 1 – Resposta: B
Resolução: COSO, certificação em Riscos e Compliance em 
Governança Corporativa.
Questão 2 – Resposta: C
Resolução: Desempenho, capacidade de absorção da empresa 
e a necessidade de recursos para avaliar o desempenho 
do negócio. Desta forma, a necessidade de mais ou menos 
tecnologia depende de onde se quer chegar, e estes valores 
devem ser constantementes aferidos por meio de métricas 
que tragam resultados que permitam a tomada de decisão e 
mudanças de rumo.
Questão 3 – Resposta: D
Resolução: De acordo com a revista Exame (2019), COAF é o 
Conselho de Controle de Atividades Financeiras em caso de 
suspeitas de fraudes, como determina as boas práticas.
https://exame.abril.com.br/brasil/corrupcao-e-o-crime-que-mais-movimenta-dados-entre-coaf-e-investigadores/
https://exame.abril.com.br/brasil/corrupcao-e-o-crime-que-mais-movimenta-dados-entre-coaf-e-investigadores/
4242 
ITIL: um modelo de governança
Autora: Patrícia Bonezi
Objetivos
• Visão geral da ITIL: gerenciamento de serviços de TI.
• A fase de estratégia de serviço.
4343 43
1. Visão geral da ITIL: gerenciamento de 
serviços de TI 
Esta leitura fundamental tem como objetivo apresentar a você a ITIL 
como uma biblioteca de obtenção da governança de TI, que traz o 
intuito de as empresas conseguirem fornecer resultados e indicadores 
para trabalhar na economia, crescimento, organização e melhores 
resultados nos serviços de TI.
A implantação e utilização de uma biblioteca como a ITIL permite 
resultados claros e a geração de indicadores para que as lideranças 
consigam assumir resultados factíveis para uma boa gestão da empresa 
e da área de tecnologia. A ITIL nos dias de hoje é fundamental para a 
boa gestão de tecnologia.
PARA SABER MAIS
Mais uma vez, a leitura do livro abaixo poderá ajudar na 
compreensão do tópico. Sugestão: busque o título na 
Biblioteca Virtual da faculdade.
Leia o livro: FERNANDES, Aguinaldo Aragon; ABREU, 
Vladimir Ferraz de. Implantando a Governança de TI: 
da Estratégia à Gestão dos Processos e Serviços. 4. ed. 
São Paulo: Saraiva, 2014.
1.1 ITIL, um modelo de governança
Para efetivamente ter a governança de TI é necessário conseguir que 
os modelos de gestão escolhidos (ITIL, Cobit, ISXO 38500, COSO, etc.) 
forneçam resultados para a tomada de decisão. Estes modelos, por 
meio de ferramentas de TI, como software apropriado, ajudam a gerar 
4444 
os resultados para a liderança decidir os melhores caminhos. A ITIL, 
portanto, faz parte desse grupo de modelos e processos para buscar 
os resultados. Não obstante, a biblioteca ITIL permite a configuração do 
ambiente para obtenção dos resultados pactuados por meio de software.
Figura 1 – ITIL
Fonte: DaLiu/iStock.com.
Dentre tantos modelos que são aderentes à governança para a gestão 
de TI, a ITIL é o que mais está presente nas empresas, dada a facilidade 
de utilização e os resultados aparecerem muito rapidamente após o 
início do uso.
De acordo com Fernandes (2014), a implementação da ITIL só deve ser 
feita após análise cuidadosa de processos, estabelecer quais são os 
resultados importantes para a empresa, para a TI e classificar o que 
realmente é preciso para fazer a gestão de TI.
A título de síntese: a ITIL é uma biblioteca de melhores práticas para a 
administração de infraestrutura de TI, ou seja, Information Technology 
Infrastructure Library. Neste modelo ou biblioteca de melhores práticas, 
como é conhecida, por ser uma biblioteca mesmo, temos uma lista de 
itens que são atendidos pela ITIL; dentro desta lista de itens é necessário 
definir os parâmetros para que os resultados apareçam.
4545 45
Vale dizer que esta biblioteca foi elaborada no Reino Unido e 
atualmente, apesar de ser administrada por um órgão do governo, 
ela é de domínio público. 
Não obstante, as recomendações tratadas na ITIL têm como objetivos 
a gestão com foco no cliente e com atendimento de qualidade nos 
serviços de TI.
1.2 Estrutura da ITIL
A ITIL estabelece estruturas com processos claros para a gestão, 
apresentando uma lista desses processos que são de fácil 
entendimento para todos os níveis da TI, mesmo profissionais técnicos 
que saibam pouco ou nada de gestão. Estes processos são organizados 
em disciplinas que permitem a gestão tática e operacional de uma 
empresa com foco em negócios.
As disciplinas são disponibilizadas em dois grupos: SERVICE SUPPORT 
(suporte) – Operational Management (Gerência Operacional), com as 
seguintes disciplinas:
• Configuration Management (Gerência de Configuração).
• Service Desk.
• Problem Management (Gerência de Problemas).
• Incident Management (Gerência de Incidentes).
• Change Management (Gerência de Mudança).
• S/W Control & Distribution (Controle e Distribuição de Software).
E SERVICE DELIVERY – Tactical Management (Entregas):
• Service Level Management (SLA, Acordo de Nível de Serviços).
• Capacity Management (Gerência de Capacidade).
4646 
• Availability Management (Gerência de Disponibilidade).
• Contingency Planning (Planejamento de Contingência).
• Cost Management (Gerência de Custos).
Cada uma das disciplinas atende a uma parte da governança de TI, 
sendo que o grupo de suporte atende às necessidades do suporte 
de TI e a estratégica atende às configurações para que sejam feitas 
as entregas.
Cada uma das disciplinas será detalhada e explicada com relação à 
forma como interagem para dar resultados. Veja a seguir.
Importante destacar que a biblioteca de melhores práticas está na sua 
versão 4, com poucas, mas significativas mudanças em relação à sua 
versão anterior, o ITIL 3. Os módulos continuam os mesmos, com a 
diferença que agora a ITIL 4 vem com apelo maior para metodologias 
ágeis, com foco no Lean e no DevOps, além de referências à importância 
de boas práticas de liderança de TI e gerenciamento organizacional.
Figura 2 – DevOps + ITIL
Fonte: Hanna Ferentc/iStock.com.
Apenas como forma de contextualizar, aparecem dois termos que 
complementam a ITIL, mas não fazem parte das disciplinas, que são 
DevOps e Lean.
4747 47
O termo DevOps é uma junção da palavra Desenvolvimento + 
Operações. Utilizada em engenharia de software, com o intuito de juntar 
o desenvolvimento de software (Dev) e a operação de software (Ops). 
Sua principal característica é estar alinhada à automação e monitorar as 
fases do desenvolvimento de software, da integração, teste, liberação 
para implantação e gerenciamento de infraestrutura. A DevOps trabalha 
em ciclos de desenvolvimento menores, com maior monitoramento, 
aumento na implantação, liberações alinhadas às necessidades de 
negócio e, por estar em Operações, está compreendida dentro da ITIL, 
sem fazer parte das suas disciplinas.
Lean faz parte da governança, inspirado no modelo de gestão de 
práticas e modelos do sistema Toyota. Utilizado como forma de obter 
resultados, focado em indicadores e melhores práticas. Não é parte da 
ITIL, mas caminha ao lado dela.
1.3 ITIL e suas disciplinas
Em Suporte, o trabalho é para manter o ambiente operacional, 
onde cada um dos módulos é focado em uma visão simplesmente 
operacional na manutenção do ambiente no dia a dia, ou seja, manter 
o ambiente dentro de boas práticas e nas soluções dos incidentes ou 
problemas que ocorram.
Nesta lista de suporte, temos: Gerência de Configurações (Configuration 
Management), Service Desk, Gerência de Problemas (Problem 
Management), Gerência de Incidentes (Management Incident), Gerência 
de Mudanças (Change Management) e Controle e Distribuição de 
Software (S/W Control & Distribution). Em entregas, nas configurações e 
preparação do ambiente, temos:Service Level Management (SLA, Acordo 
de Nível de Serviços), Capacity Management (Gerência de Capacidade), 
Availability Management (Gerência de Disponibilidade), Contingency 
Planning (Planejamento de Contingência) e Cost Management (Gerência 
de Custos), como apresentado no item anterior. E todos trabalham em 
conjunto para que os resultados apareçam. 
4848 
Cada uma das disciplinas tem suas características e propósitos que são 
abordados nos itens que seguem.
1.4 Gerência de configurações 
O primeiro item da lista, a Gerência de Configurações, tem como 
objetivo ajudar na gestão das configurações dos equipamentos e 
softwares nas empresas, no controle da infraestrutura e os serviços 
de TI, administrando as configurações de forma lógica, identificando, 
mantendo e controlando as versões dos itens de configuração (CI), 
atualizando as existentes.
Dentro deste módulo, as metas de configuração dizem respeito desde 
os registros de todos os ativos e suas configurações, como prover a 
informação sobre estas configurações e documentação, a fim de apoiar 
os processos de Gestão de Serviços, entregar uma base confiável, 
segura e íntegra para que a Gerência de Incidentes possa controlar os 
incidentes do ambiente e eventualmente encaminhar o processo para 
gerência de Problemas, Gerência de Mudanças e controle de versões. 
E, também, manter os registros de configuração para confrontá-los 
com a infraestrutura, na tentativa de correções no ambiente e mantê-
lo em funcionamento. Não é possível movimentar uma impressora e 
não atualizar a documentação que está em Gerência de Configuração, 
indicando onde a impressora estava e onde está agora, com suas 
características e conexão com a rede.
Nesta gerência, as atividades básicas para a manutenção da informação 
são: Planejamento, Identificação, Controle, Registro de Status e 
Verificação e Auditoria.
Em Planejamento, como atividade inicial, a equipe planeja com o objetivo 
de definir o propósito, metas e objetivos, políticas e procedimentos, para 
manter o processo organizacional da Gerência de Configuração.
4949 49
Na sequência, a próxima atividade desta gerência é a Identificação. 
Desta forma, identificar as estruturas de configurações, de toda a 
infraestrutura, incluindo as áreas de interesse e que se beneficiam 
com isto, bem como o cliente, manter o interrelacionamento entre 
eles e a documentação atualizada. Nesta atividade, é incluída também 
a utilização de indicadores e números de CI´s como identificadores, 
mantendo o banco de dados atualizado – este banco é conhecido como 
CMDB (Configuration Management DataBase, ou seja, a Base de Dados da 
Gerência de Configuração).
A atividade de Controle permite assegurar que somente os ativos 
autorizados e identificados serão registrados e estarão à disposição, 
garantindo que nenhum ativo adicionado, modificado ou substituído, 
removido, perca o controle e não consiga ser tratado em outra gerência 
como problemas e mudanças, ou mesmo na tratativa de incidentes.
Na tentativa de se manter o controle, a próxima atividade da lista 
é o Registro de Status, onde se manter a informação atualizada e 
os históricos ligados a cada ativo permite que as outras gerências 
tenham sucesso e possam manter os ativos rastreáveis a ponto de 
terem agilidade e sejam mais assertivos quando necessário tratar um 
incidente, problema ou mesmo em uma mudança.
A última atividade da lista da gerência de configuração é a Verificação 
e Auditoria, que permite a verificação da existência física do ativo 
listado, a fim de manter os registros corretamente no sistema de 
Gerência de Configuração.
Dentro da Gerência de Configuração existe um termo, que é o DSL. 
É o termo usado para a biblioteca, na qual as versões autorizadas e 
definitivas são armazenadas de forma definitiva. 
É uma biblioteca física ou repositório de armazenamento onde são 
identificados e colocados os originais das versões de cada software 
do ambiente. 
5050 
Figura 3 – Gerência de configuração e seus arquivos
Fonte: z_wei/iStock.com.
1.5 Disciplina SERVICE DESK 
O segundo item da biblioteca ITIL que figura na lista operacional é o 
Service Desk, também conhecida como suporte técnico que atende às 
necessidades e suporta todas as áreas da empresa quando se tem 
problemas de tecnologia com hardware ou software. De acordo com 
Fernandes (2014), sempre trabalham sobre pressão, de forma reativa, 
pois atendem os chamados abertos pelos usuários quando algum 
problema acontece com as ferramentas de trabalho. Como estão 
sempre agindo de forma reativa, atuam de forma desconecta, gastando 
muito tempo e apagando incêndios, em geral, sobrevivendo ao dia a dia.
De toda forma, esta área é bastante importante, e com a ITIL deve 
funcionar de forma estruturada, por meio de registros e tratamento de 
chamados, mesmo no momento de apagar incêndios.
Dentro das empresas, quando se trata do suporte ou de uma estrutura 
de suporte, não existe nenhum mecanismo estruturado de apoio 
ao cliente – o cliente não confia sempre no atendimento, bem como 
os recursos que fazem o atendimento não são bem gerenciados e 
continuam atuando no sentido de resolver o problema temporariamente 
5151 51
para atender à necessidade do momento, mas não existe um tratamento 
efetivo do problema a fim de erradicá-lo. Esta pouca atenção à gestão 
do suporte resulta em falhas e inconsistências nos dados gerados pelo 
suporte e falta de apoio ao negócio da empresa. 
Conforme Magalhães (2010), uma solução para os problemas constantes 
encontrados no Service Desk é estabelecer normas e padrões de 
atendimento, desenvolver scripts de atendimento, separar em níveis os 
graus de dificuldade nos atendimentos, trabalhar na solução definitiva 
dos problemas junto do usuário, se necessário com equipe de apoio, e 
registrar todo e qualquer atendimento que for feito aos usuários.
Figura 4 – Atendimento do suporte (Sevice Desk)
Fonte: Mary Ne/iStock.com.
Depois que um usuário abre um chamado, este chamado deve ser 
categorizado, sendo colocado na caixa em que ele será tratado. 
Para tanto, este chamado pode ser colocado em Gerência de Incidentes, 
Gerência de Problemas ou mesmo Gerência de Mudanças.
5252 
Desde 2010, as empresas do segmento financeiro têm como meta 
estabelecer um modelo de atendimento como o citado no parágrafo 
anterior, como forma de organizar o atendimento, mas também de 
fazer sentido para os usuários e permitir que desta forma estruturada 
os resultados apareçam. E para que o atendimento do suporte técnico 
faça a diferença na estrutura de tecnologia e agregue valor ao negócio, 
como é a proposta do suporte. Tente ficar um dia sem o suporte 
técnico da sua empresa.
1.6 Gerência de incidentes na tratativa dos chamados
Iniciando pela Gerência de Incidentes, esta gerência tem como missão 
restabelecer a operação normal do serviço o mais depressa o quanto 
possível, monitorando e cuidando para ser menor o impacto nas 
operações da empresa, mantendo o melhor nível de qualidade de 
serviço e disponibilidade. O prazo disponível para a entrega do serviço 
está de acordo com o estabelecido no acordo de nível de serviço (SLA).
Na biblioteca ITIL, o incidente é definido por qualquer evento ocorrido 
que não está dentro da operação padrão e que cause ou possa causar 
algum prejuízo ou, ainda, redução de qualidade do nível de serviço, 
entretanto, algo que não é uma falha ou incidente da infraestrutura é 
chamado de pedido de serviço.
Na gerência de incidentes, as atividades vão de detecção de incidentes 
e correção, como classificação inicial, identificação do suporte ideal para 
atender ao chamado, recurso preparado para fazer as investigações 
necessárias e solução. 
5353 53
Figura 5 – Fluxo de incidentes
Fonte: Eternal_Monday/iStock.com.
1.7 Gerência de problemas
Na sequência da tratativa dos incidentes há a Gerência de Problemas, 
onde o objetivo é minimizar o impacto de incidentes e problemas 
causados por falhas e pausas na infraestrutura, além de evitaras 
recorrências destes problemas ou mesmo falhas. Para que a falha 
ou o problema não se repita, deve ser tratada a causa raiz e iniciar as 
ações corretivas. 
Toda empresa que tem a Gerência de Incidentes, naturalmente 
implanta a Gerência de Problemas, pois a atuação desta é sempre de 
forma pró-ativa na tentativa de trabalhar em cima do incidente a fim de 
identificar a causa para que esta não mais se repita.
5454 
As atividades que estão dentro desta gerência vão de controle de 
problemas até controle dos erros, identificação de mudanças e revisão 
após a implementação da solução.
1.8 Gerência de mudanças
O controle de mudanças vem justamente no momento em que 
mudanças e ajustes, implantações e correções devem acontecer, após os 
problemas e/ou incidentes. A gestão de mudanças registra o que deverá 
ser corrigido ou mudado, de forma planejada, para que os problemas 
não existam e fique registrado o que aconteceu ao longo do período.
O objetivo desta gerência é garantir que os métodos e procedimentos 
serão usados para garantir que qualquer correção ou alteração seja 
um sucesso, sem riscos para o ambiente de TI. Para a decisão de se 
fazer uma mudança, deve ser considerada a avaliação de riscos e 
a continuidade do negócio, a avaliação de impacto e, finalmente, a 
aprovação para a mudança.
De acordo com o modelo proposto na biblioteca, qualquer mudança 
deve ser aprovada pelo comitê de mudanças, também chamado de 
CAB (Change Advisory Board), que aprova as mudanças ou reprova com 
base nas informações que foram passadas na abertura da solicitação de 
mudança. Neste comitê estão presentes todas as partes interessadas 
para que a mudança aconteça com segurança.
Em caso de mudanças, uma mudança (ou Change) ocorre sempre que 
se faz uma adição ou subtração de um equipamento ou software que 
esteja instalado no ambiente de TI. 
Outra condição é que toda mudança tenha um plano de retorno testado 
em caso de falha na implantação da mudança. E a mesma só termina 
quando é testada pelo usuário e aprovada.
Dentre todas as gerências para suporte também existem as gerências 
que dão apoio a operação, e nesta parte da ITIL existem as gerências 
5555 55
de capacidade e disponibilidade, gerência de custo, plano de 
contingência e SLA.
Começando pelo SLA (Service Level Agreement) – ou acordo de nível de 
serviço –, que contempla manter e promover e melhora da qualidade 
dos serviços de TI, focando nas necessidades de negócio. As principais 
características deste módulo são as seguintes atividades: como definir o 
catálogo de serviços, as requisições, definir os acordos do que pode ou 
não ser atendido, especificando os serviços e um plano de qualidade. 
Deve ser previsto o monitoramento, bem como a revisão e os relatórios 
para a gestão e para a tomada de decisão.
Os benefícios de se definir os níveis de serviços são conseguir 
estabelecer medidas e comparativos entre serviço prestado e o que foi 
contratado e permitir que o cliente avalie o que foi entregue de acordo 
com o que foi pago, ajudando a estabelecer um relacionamento de 
confiança com o cliente.
Figura 6 – Gestão de mudanças
Fonte: Alexsl/iStock.com.
A governança de TI por meio da ITIL permite que a Gerência de 
Capacidade e a Gerência de disponibilidade andem juntas, sendo 
bastante importante para que a primeira estabeleça a capacidade de 
atendimento, de monitorar o desempenho, de gerenciar demandas 
e o planejamento futuro para atendê-las e manter o nível de serviço 
5656 
acordado. Enquanto a Gerência de Disponibilidade otimiza a capacidade 
da infraestrutura de TI suportar a empresa com relação aos serviços de 
TI, com um custo adequado, permitindo que a empresa seja competitiva 
e esteja alinhada ao negócio.
O plano de contingência tem como missão apoiar a continuidade do 
negócio, item que está na governança de forma bastante importante e 
fundamental para que os serviços de TI estejam estabelecidos dentro 
de um prazo mínimo para não impactar os negócios. Ter um plano de 
contingência implica reduzir custo e tempo de recuperação do ambiente 
de TI, por questões de sobrevivência.
Os custos também fazem parte da ITIL como forma de fornecer 
informações para monitorar e manter as necessidades dos serviços de 
TI, como também identificar os custos dos prestadores, e desta forma 
manter os custos dentro do esperado, ou seja, fazer a gestão.
Os módulos da ITIL apresentados neste documento são somente uma 
parte de uma solução para uma boa gestão e obter os resultados para a 
tomada de decisão. 
A importância da implantação de um modelo que atenda à liderança 
da empresa é conseguir ter números e indicadores que nos permitam 
colocar a empresa em outro patamar.
Figura 7 – Capacidade x Disponibilidade
Fonte: Stas_V/iStock.com.
5757 57
2. Considerações finais
A biblioteca de boas práticas como a ITIL é fundamental para organizar a 
empresa com relação aos serviços de TI, que sem dúvida nos dias de hoje 
fazem parte dos negócios da empresa. Toda organização que depende de 
tecnologia para abrir as portas deve ter implantado um modelo de gestão 
que conduza as tomadas de decisão no sentido de permitir melhores 
investimentos e economia que se precisa para sobreviver.
TEORIA EM PRÁTICA 
Reflita sobre a seguinte situação: um colega, que se 
formou com você na universidade, faz um convite de 
um desafio de trabalho para você. Nesta empresa 
pequena, mas com vontade de crescer, não existe 
nenhuma governança de TI implantada, mas caberá 
a você estabelecer um modelo de governança de TI. 
Desta forma, aceitando o desafio, qual serão suas 
primeiras ações para a implantação de um modelo?
VERIFICAÇÃO DE LEITURA
1. O objetivo desta gerência é garantir que os métodos 
e procedimentos serão usados para garantir que 
qualquer correção ou alteração seja um sucesso, 
sem riscos para o ambiente de TI. Para a decisão 
de se fazer uma mudança, deve ser considerada a 
avaliação de riscos e a continuidade do negócio, a 
avaliação de impacto e, finalmente, a aprovação para 
a mudança. A qual gerência nos referimos?
5858 
a. SLA.
b. Gerência de Incidentes.
c. Gerência de Problemas.
d. Gerência de Mudanças.
e. Gerencia de Estratégias.
2. Iniciando pela Gerência de Incidentes, esta gerência 
tem como missão restabelecer a operação normal 
do serviço o mais depressa possível, monitorando e 
cuidando para ser menor o impacto nas operações da 
empresa, mantendo o melhor nível de qualidade de 
serviço e disponibilidade. O prazo disponível para a 
entrega do serviço está de acordo com o estabelecido 
no acordo. De qual acordo falamos?
a. SLA.
b. Acordo da Basileia.
c. Acordo de Trento.
d. GMUD.
e. Acordo Suiço.
3. O termo DevOps é uma junção de duas palavras. 
Quais são elas? 
5959 59
a. Devolver e Agir.
b. Devolver e Opcional.
c. Desenvolvimento e Ação.
d. Desenvolvimento e Operação.
e. Desenvolvimento e Implantação.
Referências bibliográficas
FERNANDES, Aguinaldo Aragon; ABREU, Vladimir Ferraz de. Implantando a 
Governança de TI: da Estratégia à Gestão dos Processos e Serviços. 4. ed. 
São Paulo: Saraiva, 2014. 
MAGALHÃES, Ivan Aluizio; PINHERO, Walfrido Brito. Gerenciamento de Serviços 
de TI na Prática – uma abordagem com base no ITIL. 5. ed. São Paulo: Novatec 
Editora, 2010.
MOLINARO, Luis Fernando Ramos; RAMOS, Karoll Haussler Carneiro. Gestão de 
Tecnologia da Informação. Rio de Janeiro: LTC, 2015
O que é LEAN? Disponível em: https://www.lean.org.br/o-que-e-lean.aspx. 
Acesso em: 14 out. 2019.
Gabarito
Questão 1 – Resposta: D
Resolução: A necessidade de documentar a mudança está na 
gestão de mudanças.
Questão 2 – Resposta: A
Resolução: SLA, Acordo de nível de serviço.
Questão 3 – Resposta: D
Resolução: Desenvolvimento e Operação.
6060 
ITIL: modelo de serviços, 
como implantar?
Autora: Patrícia Bonezi
Objetivos
• Os objetivos perpassam a visão geral da ITIL sobre: 
• A fase de desenho e transição de serviços.
• A fase de operação de serviço.
• A fase de melhoria contínua de serviço.6161 61
1. Visão geral da ITIL
Esta leitura fundamental tem como objetivo apresentar ao aluno 
um modelo de como implantar a ITIL e suas possibilidades iniciais e 
resultados obtidos. Esta proposta pode e deve ser alterada caso o 
aluno perceba que as empresas não são iguais e cada uma delas tem 
um processo diferente e necessidades diferentes dado o momento da 
empresa e economia.
PARA SABER MAIS
Aproveite para conhecer mais sobre o assunto no livro de 
Fernandes e Abreu (2014), indicado abaixo.
Leia o livro: 
FERNANDES, Aguinaldo Aragon; ABREU, Vladimir Ferraz de. 
Implantando a Governança de TI: da Estratégia à Gestão 
dos Processos e Serviços. 4.ed. São Paulo: Saraiva, 2014.
2. Controlando serviços, gerando valores: 
implantando a ITIL
Figura 1 – ITIL
Fonte: Elena Pimukova/iStock.com.
6262 
A criticidade em perder o controle dos negócios, ou mesmo ficar sem 
acesso aos dados por falta de gestão da TI em monitorar o ambiente de 
infraestrutura, assusta e certamente coloca seu negócio em uma posição 
vulnerável e desprotegida. A necessidade de manter as mudanças e 
ocorrências no ambiente de tecnologia ajuda no sentido de fazer com 
que as empresas tenham esse tão esperado e necessário controle.
A necessidade de se manter em primeiro lugar no mercado, a fim de 
manter o valor da empresa no topo, exige que se tenha alguma maneira 
de se controlar as alterações e manutenções de TI.
As empresas que querem competir no mercado têm que se dedicar e 
investir em tecnologia a ponto de poderem se antecipar aos problemas 
que surjam, ligados à TI.
Desde o ano 2000, com a chegada efetivamente da internet, as pessoas 
não vivem mais desconectadas. A necessidade e carência de ter um 
ambiente robusto e saudável faz com que as empresas invistam em TI 
para se tornarem ágeis e competitivas, para no fim serem lucrativas.
Dentro do cenário econômico, considerando o ambiente corporativo, 
é assumido pela gestão das empresas, mesmo aquelas que têm 
gestores menos abertos a tecnologia, que as empresas que investem 
em TI conseguem estar mais à frente do que aquelas que não se 
empenham nesse sentido.
3. A fase de desenho e transição de serviços
Os processos são modelos de trabalho definidos, que fazem com que 
as pessoas trabalhem dentro de um padrão estabelecido dentro das 
normas ou leis, e estes dados geram informações que chegam aos 
executivos para a tomada de decisão.
6363 63
Figura 2 – Processos
Fonte: Sodafish/iStock.com.
Estes processos somados à governança das corporações permitem 
que de forma ordenada as lideranças consigam estar próximas 
aos resultados que surgiriam com a implantação da ITIL e outras 
ferramentas.
Os processos fazem parte da implantação de um modelo para 
governança e permitem que estes modelos, ou mesmo ferramentas, 
consigam gerar os indicardores e resultados para a tomada de decisão.
A implantação da ITIL é apenas mais uma forma de conseguir, por 
meio desta biblioteca, atingir os resultados, ou melhor, conseguir 
ter os resultados.
Após a revisão dos processos, a área de TI, gestão de TI e seus 
participantes devem começar a definir como funcionará o catálogo 
de serviços do atendimento do Service Desk e preparar a estrutura de 
tecnologia, e a empresa a fazer a implantação de uma governança e 
transicionar os serviços, sempre com foco em resultados. 
Processos claros e bem definidos têm como consequência resultados 
esperados efetivos para a tomada de decisões e permite colocar 
a empresa em outro patamar no mercado e com relação a seus 
concorrentes.
6464 
a. Catálogo de serviços e suas bases para a implantação da ITIL
O catálogo de serviços é um dos primeiros itens a serem trabalhados 
e definidos, com foco em definir quais os serviços que serão prestados 
pela tecnologia para as outras áreas.
O catálogo de serviços deve ser detalhado a ponto de especificar o 
que a área de tecnologia faz e o que não faz, o que atende e o que não 
será de sua responsabilidade. Neste catálogo de serviços deverá conter 
os itens que serão suportados pelas equipes de suporte, como serão 
atendidos e reportados.
Na definição do catálogo, é importante estabelecer os processos 
e descrevê-los de forma simples e direta, provocando um fácil 
entendimento dos usuários e dos técnicos que irão atendê-los.
A necessidade de ser direto e de fácil entendimento é para que os 
resultados sejam facilmente alcançados. Se não conseguir entender de 
forma clara o que se pede, como será alimentado o sistema e entendido 
que não é problema de infra, mas sim de sistemas.
Estabelecer as metas é algo que deve estar alinhado com o serviço 
prestado. Caso o objetivo seja atingir resultados mais simples, deve-
se focar em estabelecer metas com menor complexidade, minizando 
possíveis dúvidas e incompatibilidade entre metas e resultados.
O desenho dos serviços vem na sequência da decisão do catálogo 
dos serviços, onde é determinado por meio de um fluxo, como seria a 
entrega e a apuração dos resultados.
Desenhar esse fluxo em uma planilha facilita a visualização dos serviços 
a serem entregues e o que se espera do mesmo.
Abaixo, um exemplo de uma definição básica de um catálogo de 
serviços feito em uma planilha para depois ser implantado no sistema 
de controle do Service Desk.
6565 65
Tabela 1 – Tabela de catálogo de serviços
Serviço Descrição Tempo de Atendimento SLA Prioridade
Quem 
solicita
Forma de 
Solicitação
Suporte a 
impressoras
Atendimento 
na configura-
ção da rede
1 h 4 h Alta Usuário
Abertura de 
chamado 
via intranet
Suporte a 
impressoras
Atendimen-
to na tro-
ca do Tonner
1 h 4 h Média Usuário
Abertura de 
chamado 
via intranet
Fonte: elaborada pela autora.
A tabela como exemplo mostra um modelo de como desenhar o 
catálogo, basicamente com as especificações. 
O catálogo não é feito em Excel, mas pode primeiramente se fazer um 
rascunho em Excel para depois implantar em uma ferramenta, como 
dito anteriormente.
Desenhar os processos dentro do suporte de serviços oferecidos faz 
parte da implantação da ITIL e a definição dos resultados esperados.
b. SLA, o Service Desk e a implantação da ITIL
Os principais processos que devem ser desenhados e minimamente 
implantados como uma primeira fase de obtenção de resultados é 
descrever os papéis do Service Desk, estabelecer o SLA (Service Level 
Agreement) de cada perfil dos usuários da empresa, estabelecer a gestão 
de mudanças e seus critérios, estabelecer o que será tratado como 
incidentes e/ou problemas.
6666 
Figura 3 – Service Desk
Fonte: BrianAJackson/iStock.com.
Ao descrever os papéis e responsabilidades do Service Desk, está se 
definindo o SLA proposto dentro do orçamento planejado.
O nível de serviço ou SLA tem a missão de atender aos usuários dentro 
dos limites orçamentários, para tanto, identifique quem são os usuários, 
quais são as necessidades de cada usuário e quais serviços eles 
necessitam e utilizam.
Desta forma, descrevê-los é escrever um documento em tabelas, com 
os perfis e cada um dos serviços ofertados e o tempo de espera e 
atendimento em horas para todos os perfis.
Esse documento deve ser elaborado pelo time de tecnologia e aprovado 
de acordo com as necessidades junto à direção da empresa, e assim que 
aprovado deve ser apresentado aos usuários para que eles saibam qual 
o tempo de espera por cada serviço. 
Mas a apresentação deste documento é individual, sem que um usuário 
de fato tenha conhecimento dos tempos e perfis dos outros usuários. 
A apresentação, sendo individual, torna mais fácil a aceitação e apoio.
6767 67
Desta forma, está pronto o catálogo de serviços e o SLA de cada um 
dos usuários. Quanto ao Service Desk, deve ser indicado como será o 
atendimento. 
O Service Desk é o processo do atendimento telefônico, ou mesmo 
atendimento por meio da intranet ou sistema, que permite a abertura 
(ou registro) de um chamado para que então, após abertura deste 
chamado ou solicitação, a mesma seja categorizada e então feito o 
atendimento, primeiramentepelo nível 1, atendimento básico, onde o 
suporte tentará resolver remotamente o problema e, não tendo sucesso, 
o chamado irá para o nível 2, um suporte mais especializado e que 
tentará entender o problema para resolver, e se este não resolver, então 
é acionado o nível 3, que pode ser o desenvolvedor da solução.
As corporações que já possuem a ISO, independente de qual delas, 
certamente devem ter os processos de trabalho bem-definidos e a 
implantação da ITIL é muito tranquila, bastando formalizar somente 
como serão os atendimentos, as partes envolvidas já estão acostumadas 
a trabalhar dentro de um modelo e não se importarão em ter mais este 
na área de TI como forma de estabelecer resultados para a empresa.
c. Processo de abertura de chamados
Voltando à ITIL, os usuários devem abrir os chamados por um ramal, 
telefone ou mesmo por um site (intranet) para formalizar os problemas 
que estão enfrentando. O chamado necessariamente é atendido por 
um suporte primeiro nível, que categoriza o tipo de chamado que 
está sendo aberto, e como primeiro nível, seguindo um script, eles 
tentam solucionar o problema e encerrar o chamado após a devida 
categorização, como já apresentado no capítulo anterior.
Toda a necessidade de se ter um correto registro do chamado é para 
que seja contabilizado de forma correta no book (livro com os registros e 
tudo o que aconteceu na operação ao longo do mês) de atividades. 
6868 
Quando este chamado não consegue ser resolvido no primeiro nível, 
deve ser direcionado para o segundo nível da área específica. Neste 
momento, algum especialista irá atender o usuário e classificar 
o chamado.
Figura 4 – Arquivamento
Fonte: Nirat/iStock.com.
As categorias referidas no texto vão além de dizer se o chamado é sobre 
uma impressora que está parada ou mesmo um sistema que cisma 
em não funcionar, mas sim para dizer se aquele atendimento é um 
incidente, problema ou mesmo uma mudança.
4. A fase de operação de serviço
Sempre é classificada como mudança algo que irá mudar o ambiente, 
tanto físico como lógico (no caso da instalação de software), qualquer 
alteração na forma de operação. A necessidade de classificar uma 
solicitação como mudança é por mexer na estrutura atual e qualquer 
mudança pode sim causar um impacto no ambiente.
Antes mesmo de executar esta mudança, devem ser feitos testes e 
passar por aprovações em um comitê que entenda o que acontecerá 
com o ambiente após a mudança.
6969 69
Este comitê é formado por pessoas técnicas e gestores que podem 
aprovar ou rejeitar a mudança por não ser seguro para o ambiente que 
se faça tal mudança.
Em caso de aprovação, segue-se o fluxo e é agendada uma data para 
que ocorra, em caso de rejeição, esta solicitação de mudança retorna 
para o planejamento e deve ser revisada, replanejada, corrigido seus 
pontos de vulnerabilidades e assim retornar para o comitê para nova 
tentativa de aprovação.
Figura 5 – Transformação, mudança
Fonte: Mathisa_s/iStock.com.
Essas validações podem levar meses, caso não se tenha segurança 
de que a mudança não interferirá na operação da empresa com 
relação à TI.
Mudanças são importantes, necessárias e o resultado de uma 
mudança bem planejada e bem feita resulta no sucesso e na evolução 
do ambiente. Este processo faz parte do crescimento da empresa. 
A empresa tem que investir em tecnologia e sistemas, para implantar 
essas inovações são necessárias mudanças e estas mudanças passam 
pela ITIL devem ser mapeadas e acompanhadas, registradas e devem 
entrar para o book de atividades do final do período.
7070 
As mudanças impactam também a gerência de configurações 
automaticamente. A cada mudança no ambiente, muitas vezes atualização 
de software ou sistemas, deve ser documentada linha a linha da alteração 
para que se possa acompanhar o pós-migração e, caso ocorra algum 
imprevisto, esta alteração pode ser revista e cancelada por meio de 
retorno ou rollback. Estas novas versões devem estar documentadas na 
gerência de configuração, ou seja, após mudanças, a documentação da 
gerência de configurações é necessariamente atualizada.
a. Gerência de incidentes na ITIL
Caso o chamado não seja para alteração do ambiente, mas sim para 
resolver algum incidente, este deve ser categorizado para a gerência 
de incidentes.
Desta forma, a equipe que atua no chamado tem a preocupação de 
restabelecer o ambiente, colocá-lo funcional para depois se preocupar 
em entender o que aconteceu de fato.
O trabalho da equipe de incidentes, apesar da urgência em disponibilizar 
o ambiente no caso de alguma interrupção ou mesmo restabelecer 
a impressora que parou, deve ter um processo bem definido, e para 
a implantação deste processo dentro da ITIL na TI é descrito em um 
documento que estabelece como será feito o atendimento e qual 
objetivo que se quer atingir.
A gerência de incidentes deve registar o ocorrido e descrever como foi 
a solução para que o ambiente voltasse ao normal. Este detalhamento 
contribuirá para a solução do problema. 
As análises para identificar o que realmente causou o incidente podem 
levar dias, meses e, se novamente o incidente acontecer nesse período, 
o problema torna-se crítico e a direção da empresa normalmente é 
envolvida para a tomada de decisões.
7171 71
Ao término da solução do problema, é registrado o que aconteceu, 
qual a causa e a solução definitiva para que ele não mais ocorra. 
Este registro é feito em um sistema e também deve estar na 
classificação ao final do período.
Normalmente, a solução para os problemas termina em investimentos 
que devem ser feitos para a troca de equipamentos, aquisições de 
novos sistemas ou mesmo substituição de uma tecnologia. Para tanto, 
envolve-se a gestão de aquisições e para que sejam feitas as mudanças, 
novamente acionando a gerência de mudanças que se preparará para 
atender a essa mudança e o ciclo que se reinicia.
5. Melhoria contínua, um ciclo
A melhoria contínua estabelece um ciclo que se reinicia sempre quando 
ocorre a necessidade de exercitar um trabalho contínuo e melhorado 
a cada ciclo na empresa com relação à tecnologia, como forma de 
amadurecimento.
Cada processo ou gerência da ITIL permite que se apure os resultados 
parciais e que se estabeleça o que se quer nesse ciclo.
Necessariamente. as empresas que investem em ter a ITIL como modelo 
de gestão de tecnologia compreendem que as estratégias da empresa 
devem ser acompanhadas por TI.
A ITIL é uma biblioteca de melhores práticas que traz maturidade no 
processo de gestão de TI das empresas. 
A implantação deste modelo pode ser iniciada de forma simples, 
como o exemplo de gestão apresentado neste texto, e evoluir para 
outras gerências que têm a missão de incrementar os valores que a TI 
entregará para a empresa.
As corporações cada vez mais reconhecem que a TI é parte do negócio e 
a ITIL ajuda na apresentação de forma estruturada deste valor.
7272 
Figura 6 – Melhoria contínua
Fonte: Olivier Le Moal/iStock.com.
6. Considerações finais
O início da implantação de um modelo é sempre bastante difícil por 
passar pela revisão de processos, mas ao longo da implantação, 
percebe-se o quão importante é ter esse processo bem definido e o 
valor que trará para a empresa. Desta forma, as pessoas envolvidas 
na implantação se envolvem para fazer o melhor e naturalmente o 
processo aparece e a ITIL se encaixa nele. Após os primeiros meses, os 
valores começam a aparecer. Portanto, o investimento nos modelos de 
gestão sempre é bem-vindo nas empresas que têm necessidade de se 
organizarem para crescer. Invista nisso!
TEORIA EM PRÁTICA 
Reflita sobre a seguinte situação: você é convidado 
para entrar em uma empresa bastante famosa, mas 
sem um modelo de ITIL bem definido. Desta forma, 
é sua missão minimamente rever os processos e 
7373 73
implantar a ITIL de forma efetiva. Descreva um modelo 
que seja efetivo mediante análise e justifique o porquê 
deste modelo proposto e quais serão os ganhos reais 
para a gestão a empresa.
VERIFICAÇÃODE LEITURA
1. Mudanças são importantes, necessárias e o resultado 
de uma mudança bem planejada e bem feita resulta 
no sucesso e na evolução do ambiente. Este processo 
faz parte do crescimento da empresa. A empresa tem 
que investir em tecnologia e sistemas, para implantar 
essas inovações são necessárias mudanças e estas 
mudanças passam pela ITIL e devem ser mapeadas e 
acompanhadas, registradas e devem entrar para o book 
de atividades do final do período. Mudanças fazem parte 
de qual grupo de processos?
a. Gerência de Incidentes.
b. SLA.
c. Gerência de Problemas.
d. Gerência de Configuração.
e. Gerência de Mudanças.
2. A necessidade de se manter em primeiro lugar no 
mercado, a fim de manter o valor da empresa no topo, 
exige que se tenha alguma maneira de se controlar as 
alterações e manutenções de TI. Isto é feito pelo:
7474 
a. Cobit.
b. SLA.
c. ITIL.
d. PMI.
e. Scrum.
3. Ao término da solução do problema é registrado o que 
aconteceu, qual a causa e a solução definitiva para que 
ele não mais ocorra. Este registro é feito em um sistema 
e também deve estar na classificação ao final do período. 
Qual gerência tem essa responsabilidade?
a. Gerência de Problemas.
b. Gerência de Configuração.
c. Gerência de Incidentes.
d. Gerência de Mudanças.
e. Gerência de Escopo.
Referências bibliográficas
FERNANDES, Aguinaldo Aragon; ABREU, Vladimir Ferraz de. Implantando a 
Governança de TI: da Estratégia à Gestão dos Processos e Serviços. 4. ed. 
São Paulo: Saraiva, 2014. 
MAGALHÃES, Ivan Aluizio; PINHERO, Walfrido Brito. Gerenciamento de Serviços 
de TI na Prática – uma abordagem com base no ITIL. 5. ed. São Paulo: Novatec 
Editora, 2010.
MOLINARO, Luis Fernando Ramos; RAMOS, Karoll Haussler Carneiro. Gestão de 
Tecnologia da Informação. Rio de Janeiro: LTC, 2015.
7575 75
Gabarito
Questão 1 – Resposta: E
Resolução: Toda mudança é tratada na Gerência de Mudanças.
Questão 2 – Resposta: C
Resolução: ITIL permite gerar resultados que entregam valores.
Questão 3 – Resposta: A
Resolução: Gerência de Problemas, pois trata em definitivo o 
problema na sua causa raiz.
7676 
COBIT: o cubo na estratégia 
das empresas
Autora: Patrícia Bonezi
Objetivos
• Conhecer a visão geral e o propósito do COBIT.
• Entender a estrutura do COBIT como framework 
integrado único.
• Conhecer o modelo de processos do COBIT.
• Conhecer as diretrizes de Implementação do COBIT. 
7777 77
1. O propósito do COBIT
Esta leitura fundamental tem como objetivo apresentar a você o 
framework COBIT e suas possibilidades iniciais e resultados obtidos. 
Esta proposta pode e deve ser alterada caso você perceba que as 
empresas não são iguais e cada uma delas tem um processo diferente 
e necessidades diferentes, dado o momento da empresa e, também, 
da economia.
PARA SABER MAIS
Para entender melhor as aplicações do COBIT, leia o livro de 
Aguinaldo e Vladimir sobre o processo de implantação da 
governança em TI nas organizações.
Leia o livro: 
FERNANDES, Aguinaldo Aragon; ABREU, Vladimir Ferraz de. 
Implantando a Governança de TI: da Estratégia à Gestão 
dos Processos e Serviços. 4. ed. São Paulo: Saraiva, 2014.
1.1 COBIT: O Cubo na Estratégia das Empresas
Desenvolvido pelo ISACA*, o COBIT (Control Objectives for Information 
and Related Technologies) é um framework de boas práticas de 
governança de TI, que contribui na entrega de resultados para a alta 
direção das empresas, em uma solução de modelos de processos 
que podem ser implementados. Este framework tem recursos que 
atendem como um modelo de governança de TI e principalmente ao 
negócio, tendo como parte do modelo um sumário executivo, com 
controles e mapas de auditoria, onde são descritas suas ferramentas 
de implementação e gerenciamento.
7878 
Como uma associação global independente e sem fins lucrativos, a 
ISACA se engaja no desenvolvimento, adoção e uso de conhecimentos 
e práticas mundialmente aceitos e líderes do setor para sistemas de 
informação. Anteriormente conhecida como Associação de Auditoria e 
Controle de Sistemas de Informação, a ISACA agora segue apenas seu 
acrônimo, para refletir a ampla gama de profissionais de governança de TI 
que atende. (ISACA, 2019, s/p)
Conforme a ISACA, o COBIT foi lançado em 1996, sendo originalmente 
um conjunto de objetivos de controle para ajudar a comunidade de 
auditoria financeira a lidar melhor com ambientes relacionados à TI.
Tendo como ponto forte o seu valor na expansão do framework além do 
domínio de auditoria, a ISACA lançou uma versão mais ampla, a 2 em 
1998 e expandiu ainda mais, adicionando diretrizes de gerenciamento na 
versão 3 na década de 2000. O desenvolvimento de ambos os padrões 
[AS 8015]: Australian Standard for Corporate Governance of Information 
and Communication Technology em janeiro de 2005 e o padrão mais 
internacional ISO/IEC DIS 29382 (que logo se tornou ISO/IEC 38500 em janeiro 
de 2007 ) aumentaram a conscientização sobre a necessidade de mais 
componentes de governança tecnologias de informação e comunicação (TIC). 
Inevitavelmente a ISACA adicionou componentes/frameworks relacionados 
com as versões 4 e 4.1 em 2005 e 2007, respectivamente, «abordando os 
processos e responsabilidades de negócios relacionados à TI na criação de 
valor (Val IT) e gerenciamento de risco (Risk IT). (ISACA, 2019, s/p)
O COBIT 5 foi liberado em 2012, é a atual versão do framework. Sua 
principal característica é a integração com outros conjuntos de boas 
práticas e metodologias, como padrões ISO, ITIL, entre outros modelos.
Este modelo foi construído e integrado com base em 20 anos 
de desenvolvimento em governança, mantendo sua história 
inicial na comunidade de auditoria de TI, o COBIT se tornou um 
framework de Governança e Gerenciamento de TI mais abrangente, 
compreensivo e aceito. 
7979 79
O COBIT 5 foi adicionalmente complementado com os frameworks Val IT 
e Risk IT, incorporados [ISACA, 2019].
De acordo com o ISACA, o COBIT é composto de 5 fundamentos:
• Atender às necessidades das partes interessadas dentro 
de uma organização.
• Permear todas as áreas das organizações com seu framework.
• Framework integrado e único para toda a empresa.
• Estabelecer uma visão holística.
• Deixar claro as diferenças entre Governança e Gerenciamento.
 O COBIT é recomendado para as empresas que possuem o objetivo de 
melhorar o controle do investimento de TI, permitindo que o aporte seja 
retornado em um tempo estabelecido pela gestão, sendo estes números 
incorporados às métricas e indicadores de desempenho.
O resultado que o COBIT pode trazer independe de softwares específicos 
ou mesmo arquiteturas definidas pela TI, nem tão pouco depende do 
negócio da empresa, este framework cabe em qualquer segmento onde 
o objetivo é apresentar melhores resultados da TI.
O valor agregado às empresas fez com que o COBIT se tornasse popular 
nas gestões, como modelo ligado diretamente ao negócio na geração de 
valor para as corporações. Ou seja, desde 1996, quando o ISACA lançou 
sua primeira versão, o COBIT está presente nas empresas que almejam 
outro patamar no mercado.
O valor agregado permite que a empresa cresça e atinja outro patamar 
nos negócios. A necessidade de se ter governança e implantar modelos 
para buscar resultados é justamente crescer de forma saudável e 
8080 
planejada, ou seja, crescer em faturamento implica em crescer em 
pessoas e infraestrutura. Como isso é estimado para que a empresa 
cresça, mas não fique inchada? Por meio dos resultados gerados pels 
ITIL e Cobit.
Desde 2012, até os dias de hoje, ele interfere diretamente em processos 
de auditoria, onde o foco é responder às questões de investimento em 
TI e onde se quer chegar, atendendo às leis e normas dentro de cada 
segmento. Empresas que já possuem alguma certificação de qualidade, 
como a ISO, facilmente incorporam o COBIT dentro do processo já 
organizado e otimizado.
1.2 COBIT 5,0 e os processos
Na primeira década do século XXI, as empresas identificaram a 
necessidadede um controle mais acirrado em riscos, depois da bolha 
da internet aprimorar a identificação do que realmente seria importante 
para as empresas e buscar uma maior agregação de valor ao negócio, foi 
então que o ISACA investiu na atualização da versão do COBIT, depois de 
algumas melhorias surgiu o COBIT 5.
Figura 1 – Processos
Fonte: Sodafish/iStock.com.
8181 81
Processos bem definidos permitem que os resultados apareçam de 
forma simples e rápida. Uma das principais vantagens de se possuir 
uma governança corporativa forte é o reflexo dessa gestão na TI. 
Uma vez estando consolidada, as partes interessadas trabalham 
fortemente para entregar o resultado, pois sabem da sua importância.
Em sua versão 5, o COBIT incorporou neste framework o VAL IT e 
o RISK IT. O primeiro deles incorpora valor ao negócio, foco em 
trabalhar com processos de negócios bem definidos, e o segundo 
avalia os riscos intrínsecos ao negócio, tornando mais robusto o 
modelo, com foco em resultados.
O framework é um conjunto de processos genéricos, com foco em 
gerenciamento de TI, onde são definidos por entradas e saídas, 
trabalhando com KPA’s e KPI’s como medida de desempenho e boas 
práticas para o processo de governança e controle de sistemas de 
informação e tecnologia, a fim de alinhar o negócio com a tecnologia. 
2. O framework
O COBIT é representado por um cubo, seus processos e recursos estão 
dentro deste cubo que atende às necessidades da busca pelos resultados.
Figura 2 – O cubo do COBIT
Fonte: www.isaca.org. Acesso em: 15 out. 2019.
8282 
O funcionamento dele é intrínseco e apoiado em 4 domínios que regem 
este modelo para a TI, ou seja, permeia os processos. Os 4 domínios são:
• Alinhar, Planejar e Organizar.
• Construir, Adquirir e Implementar.
• Entregar, Servir e Suportar.
• Monitorar, Avaliar e Analisar.
Além de 32 processos alinhados com as áreas de responsabilidade de 
planejar, construir, executar e monitorar, funcionando exatamente como 
um cubo, será abordado com mais detalhes na sequência deste texto.
Todos os processos atendem ao mais alto nível da gestão de TI, 
entregando os resultados alinhados com outros modelos de governança, 
como COSO, ISO 38500, ITIL, PMBoK (PMI) e Scrum, todos muito bem 
posicionados no mercado e funcionam como uma engrenagem.
Figura 3 – Engrenagens e processos
Fonte: NicoElNino/iStock.com.
Essa engrenagem funciona interligando-se com cada um dos processos 
que fazem parte de cada um dos domínios, como mostrado na figura 
em forma de tabela no final do texto, e todos colaboram para o 
resultado final.
8383 83
Quando bem utilizado, este framework funciona como um guarda-
chuvas de soluções que garante a conformidade e regula as normas 
para atender às certificações ou leis, podendo também trabalhar com 
processos que realmente importam e que gerem valor para a empresa, 
desprezando dados que não importam em nada a tomada de decisões, 
auxiliando no cumprimento de cronogramas, planilhas exatas, etc., de 
forma integrada.
Figura 4 – Integração
Fonte: UnitoneVector/iStock.com.
2.1 Componentes do COBIT
De forma integrada, o COBIT possui os seguintes componentes: 
• Organizador de processos de governança atrelados a boas 
práticas e domínios de processos de TI, com os requisitos 
de negócios.
• Controlar um conjunto completo de resultados para o alto nível 
de gestão, mapeando áreas para que ocorra o planejamento, 
construção, execução e monitoramento.
• Maturidade em processos de gestão, governança e diretrizes 
de gerenciamento em diversos modelos, mantendo-se no topo 
da governança.
8484 
2.2 O cubo
O modelo em cubo utilizado pelo COBIT está estruturado como segue, 
dividido, mas trabalhando junto.
Tabela 1 – Requisitos de negócio
Efetividade
Ser efetivo na geração de informações e dados 
importantes para o processo de negócio, 
informações corretas e consistentes.
Eficiência Entrega da informação de forma mais produtiva, econômica e rápida.
Confidencialidade Entrega com proteção dos dados a fim de garantir segurança contra divulgação indevida.
Integridade Entrega da informação inteira, de forma que ela seja confiável, íntegra.
Disponibilidade Entrega de informação que esteja acessível e utilizável quando necessária ao negócio.
Conformidade Estar de acordo com as leis, regulamentos e obrigações contratuais relacionadas ao negócio.
Confiabilidade Entrega da informação apropriada para tomada de decisão.
Fonte: elaborada pela autora.
Os Recursos de TI, que estão dentro do cubo, interagem com as 
necessidades de negócio por meio de:
Tabela 2 – Interação entre recursos de TI e as necessidades do negócio
Aplicações Sistemas presentes na estrutura das empresas para geração de informação.
Infraestrutura Infraestrutura de dados, servidores, redes de dados e voz.
Informações Dados gerados e usados pelos sistemas de informação para a geração de resultados.
Pessoas
Pessoas, recursos humanos que trabalharão nos 
procesos para planejar, organizar, adquirir, entregar, 
dar suporte, monitorar todos os procesos de TI.
Fonte: elaborada pela autora.
8585 85
Os processos de TI dentro deste cubo são respectivamente:
• Domínios.
• Processos.
• Atividades.
E cada processo deve conter os seguintes pontos:
• Nome do processo.
• Descrição do processo.
• Critérios de informação.
• Declaração genérica de ações.
• Indicadores de performance.
• Recursos de TI envolvidos.
• Objetivos de controle detalhados.
• Diretrizes de gerenciamento.
• Entradas.
• Saídas.
• Matrizes de responsabilidade.
• Objetivos e métricas.
• Modelo de maturidade.
Cada um dos itens pontuados acima deve ser colocado na 
documentação da governança em TI, que armazenará a informação 
devidamente preenchida. Desta forma, temos os requisitos para 
obtenção das informações.
8686 
A tabela que segue, elaborada pelo ISACA, mostra devidamente cada um 
dos processos que compõem o framework e seus devidos papéis:
Figura 4 – Tabela dos processos e domínios do COBIT
Fonte: adaptado de http://manoelveras.com.br/blog. Acesso em: 15 jan. 2020.
Cada um dos itens descritos na figura 4, representando uma tabela de 
domínios e seus processos, compõe o COBIT que deve ser mapeado e 
implantado.
Em cada uma das camadas desta tabela, são apresentados 
4 grupos de processos conhecidos como domínios, sendo: “avaliar, dirigir e 
monitorar” (também conhecidos como Evaluate, Direct and Monitor – EDM). 
Esta parte da tabela atende à alta direção da gestão de TI, com 
processos claros para a tomada de decisão, que são alimentados pelos 
outros grupos de processos ou domínios. 
http://manoelveras.com.br/blog
8787 87
Este domínio e seus processos devem permitir que se criem valores 
para a TI da empresa, bem como os domínios que estão abaixo deste 
(os 4 domínios).
Como ele está posicionado no mais alto nível da organização, cada 
um dos processos estabelecidos nesta tabela deve ser descrito na 
documentação da governança que farão a governança em TI funcionar.
A parte de Processos de Gestão de Governança em TI para as empresas 
é composta de 4 domínios, já comentados anteriormente, e dentro de 
cada um desses domínios, suas necessidades especificadas. 
O primeiro domínio deles é o APO (Alinhar, Planejar e Organizar). 
voltado para a identificação de como a TI pode melhorar e aprimorar 
sua contribuição com os objetivos de negócio, estando alinhados com a 
estratégia e táticas de TI, além de contribuir para a gerência dos projetos.
O domínio BAI (Construir, Adquirir e Implementar) concretiza a 
estratégia de TI, identificando os requisitos para a TI e gerenciando o 
programa de investimentos em TI e suas áreas relacionadas, além de 
gerenciar a capacidade; mudanças (TI); ativos e configuração.
O próximo domínio é o DSS (Entregar, Servir e Suportar) referente aos 
serviços de TI necessários para atender aos planos táticos e estratégicos, 
cuidando das operações da TI e áreas afins.
O útimo dominio é aquele que Monitora, Avalia e Analisa como forma 
de finalizar etrabalhar na melhoria contínua.
Para cada domínio independentemente, pode-se criar sub processos 
para atender às necessidades da empresa com detalhamento maior, 
caso necessário.
É importante estabelecer na empresa quais são os resultados desejados 
e, em um primeiro momento, trabalhar para colocar o COBIT em 
domínios que façam a diferença.
8888 
Não quer dizer que existe um domínio mais importante do que o outro, 
mas sim o valor que cada um deles pode trazer para a organização, 
considerando o seu momento dentro do cenário econômico.
3. Diretrizes de implementação
O processo de implantação do COBIT, fazer o mesmo funcionar e trazer 
os resultados esperados pela alta gestão da empresa dependem da 
maturidade de governança que se tem.
Os resultados esperados provenientes do COBIT dependem dos 
resultados obtidos por ferramentas e softwares, e também da boa 
configuração e funcionamento adequado da biblioteca ITIL.
O COBIT é meramente um framework que separa os dados e traduz 
em informações com base no que ele recebe das outras ferramentas 
de gestão.
Se o dado que é fornecido ao COBIT estiver inconsistente, certamente o 
resultado não será satisfatório.
Para uma boa implementação, verifique inicialmente quais informações 
são relevantes no momento para a empresa e trabalhe antes nas 
informações que são passadas pelos outros modelos de governança. 
Isso vale não somente para ITIL, mas modelo de gestão de projetos, 
independente do modelo escolhido pela empresa, pela ISO implantada 
(se é que a empresa possui uma certificação ISO) e todos os modelos de 
governança aplicados, para se ter um resultado.
Como implantar? Inicialmente revise todos os processos da empresa. 
Tenha certeza de que a empresa trabalha de forma a conseguir 
resultados que de verdade contribuam para o próprio crescimento.
8989 89
4. Considerações finais
Todo o processo de implantação deste framework demanda tempo, 
dedicação e ter na empresa a certeza de que o COBIT, assim como os 
outros modelos de governança em TI, é importante para a tomada 
de decisão de colocar a empresa em outro patamar. Ao término da 
implantação não existe um fim, mas sim um trabalho contínuo de 
constante melhoria nos processos. Sucesso!
TEORIA EM PRÁTICA 
Descreva uma solução de implantação do COBIT em uma 
empresa cujo foco é gestão de Projetos. Desta forma, 
utilizando Planejar e Organizar, PO10 – Gerenciar Projetos.
Definir quais objetivos devem ser atendidos nessa solução.
VERIFICAÇÃO DE LEITURA
1. Domínio voltado para a identificação de como a TI pode 
melhorar e aprimorar sua contribuição com os objetivos 
de negócio, estando alinhados com a estratégia e táticas 
de TI, além de contribuir para a gerência dos projetos. 
De qual domínio do COBIT estamos falando?
a. DSS.
b. BAI.
c. APO.
d. AII.
e. CSS.
9090 
2. Os processos de TI dentro deste cubo são, 
respectivamente:
a. Domínios e processos.
b. Analise, avaliação e descrição.
c. Diretrizes e normas.
d. Domínios, processos e atividades.
e. Desenvolvimento e aperfeiçoamento.
3. Os recursos de TI, que estão dentro do cubo, interagem 
com as necessidades de negócio por meio de:
a. Domínios e processos.
b. Informações e somente pessoas.
c. Infraestrutura e Recursos Humanos.
d. Aplicações e suporte.
e. Aplicações, infraestrutura, informações e pessoas.
Referências bibliográficas
FERNANDES, Aguinaldo Aragon; ABREU, Vladimir Ferraz de. Implantando a 
Governança de TI: da Estratégia à Gestão dos Processos e Serviços. 4. ed. 
São Paulo: Saraiva, 2014. 
MAGALHÃES, Ivan Aluizio; PINHERO, Walfrido Brito. Gerenciamento de Serviços 
de TI na Prática – uma abordagem com base no ITIL. 5. ed. São Paulo: Novatec 
Editora, 2010.
MOLINARO, Luis Fernando Ramos; RAMOS, Karoll Haussler Carneiro. Gestão de 
Tecnologia da Informação. Rio de Janeiro: LTC, 2015.
Information Systems Audit and Control Association. Disponível em: www.isaca.org. 
Acesso em: 15 out. 2019.
http://www.isaca.org
9191 91
Gabarito
Questão 1 – Resposta: C
Resolução: Alinhar, planejar e organizar.
Questão 2 – Resposta: D
Resolução: Domínios, processos e atividades respectivamente 
nessa ordem e dependência.
Questão 3 – Resposta: E
Resolução: Aplicações, infraestrutura, informações e pessoas, 
respectivamente que se complementam no cubo.
9292 
Gestão de projetos 
e os modelos ágeis
Autora: Patrícia Bonezi
Objetivos
• Conhecer o método ágil Scrum.
• Discutir o impacto da implementação 
do ágil na gestão de projetos.
• Localizar o uso de métodos ágeis 
na gestão de projetos.
9393 93
1. A gestão de projetos e modelos ágeis
Esta leitura tem como objetivo apresentar a você a gestão de projetos de 
forma ágil, a fim de conseguir os resultados dos projetos trabalhando de 
forma mais rápida e assertiva. Esta proposta pode e deve ser alterada 
a cada caso em específico, pois diferentes empresas, em diferentes 
contextos, requerem adaptações para sua gestão. De outro modo, cada 
organização apresenta processos e necessidades diferentes, dado a 
economia e/ou o momento onde se encontra a empresa.
PARA SABER MAIS
Para conhecer mais sobre a metodologia ágil Scrum, leia o 
título abaixo:
Leia o livro: 
SUTHERLAND, Jeff. Scrum – A Arte de Fazer o Dobro de 
Trabalho na Metade do Tempo. São Paulo: Ed. Leya, 2014.
1.1 Modelos, métodos ou metodologias ágeis
Ágil, conceito de agilidade, de acordo com Sutherland, é resolver as 
coisas e atuar em mudanças de forma rápida, resolver dificuldades de 
forma simples. 
Modelos ou métodos (metodologia) ágeis surgiram em desenvolvimento 
de software, tema abordado em livros de engenharia de software ou 
mesmo em temas ligados à ciência da computação.
Há vários modelos para desenvolvimento ágil no mercado, permitindo 
que os projetos sejam concluídos em menos tempo e menor riscos em 
curtos períodos. Tais modelos são considerados iterativos. As entregas 
ou fases consomem em torno de uma a duas semanas.
9494 
Os processos iterativos são características de modelos ágeis, que 
contribuem para que cada fase funcione como um pequeno projeto, 
incluindo funcionalidades dentro de cada incremento do projeto ou 
como planejamento, análise de requisitos, projeto, codificação, teste e 
documentação em desenvolvimento de software.
Os modelos ágeis surgiram para resolver problemas de desenvolvimento 
de software com prazos extensos. que normalmente perdia-se ao longo 
do tempo, causando erros, retrabalhos, afetando o custo e o prazo dos 
projetos. 
Trabalhar com métodos ou modelos ágeis é manter o foco em se 
comunicar em tempo real. Entre outras características marcantes dos 
modelos ágeis, há a produção de menos documentações e papéis.
O modelo Scrum é proveniente do Desenvolvimento Ágil de Software 
e um dos modelos ágeis, composto de um conjunto de processos e 
práticas que são utilizados para a criação de um produto e até então um 
software, mas este modelo não se apresenta limitado a desenvolvimento 
de software. 
As metodologias e frameworks, portanto, estão dentro do conceito de 
desenvolvimento ágil. Abaixo, uma imagem que representa os ciclos 
iterativos previstos na metodologia ágil:
Figura 1 – Modelos ou metodologias ágeis
Fonte: 300_librarians/iStock.com.
9595 95
1.2 O modelo Scrum
Desenvolvido por Jeff Sutherland, o modelo Scrum foi criado para atender 
às necessidades de gerenciamento de desenvolvimento de sistemas de 
forma rápida e eficaz, assim deixando de ter um projeto de software 
desenvolvido durante longos meses, ou mesmo em anos, e ao final o 
resultado não ser conforme planejado ou pactuado no início do projeto.
Elaborado há 20 anos, baseado no modelo cascata de desenvolvimento 
de sistemas, Sutherland desenvolveu o Scrum para que os resultados 
dos projetos aparecessem de forma rápida. Observou por tempos 
como as pessoas realmente trabalham e não como elas dizem o que 
fazer, e desta forma, mudou-se completamente a forma de se planejar 
um projeto.
O planejamento interminável, a fim de atingir a perfeição imutável,não serve para nada quando o assunto são startups, por exemplo, e 
empresas que caminham na direção da Indústria 4.0.
Este conceito, como mesmo diz Sutherland, mudou a forma de trabalhar 
de gestores de projetos e desenvolvedores de sistema, fazendo com que 
os resultados apareçam.
O termo Scrum vem do Rugbi, referindo-se à forma como um time 
trabalha e joga o esporte dentro de campo, trabalhando junto para 
avançar com a bola no campo, de forma cuidadosa, com unidade de 
propósito, clareza de objetivo, unindo-se e deixando claro o que a 
equipe quer fazer.
9696 
Figura 2 – Definição de modelo ágil Scrum
Fonte: pikepicture/iStock.com.
Tradicionalmente existe uma expectativa que os projetos sejam 
controlados, com escopo bem definido e documentação robusta, mas 
na vida real, observados por Sutherland, não é assim que os resultados 
aparecem e nem sequer dentro do tempo esperado. Desta forma, 
consomem-se meses de esforço para o planejamento de todos os 
detalhes, a fim de não ocorrer erros dentro dos projetos e de se manter 
dentro do orçamento e no prazo.
O Scrum tem como missão apoiar projetos em contextos de incerteza 
e considerando a variável da criatividade. Permite que no processo 
de aprendizagem as equipes possam criar dentro do que já fizeram, 
aproveitando as equipes de trabalho que estão disponíveis, mantendo a 
velocidade e a qualidade de seu trabalho.
De acordo com Sutherland, o Scrum tem como base uma ideia simples: 
ao começar um projeto, verificar de tempos em tempos o que está 
sendo feito e como está sendo feito, mantendo reuniões diárias 
rápidas onde é possível entender o que e como as atividades estão 
se desenrolando. Ao longo dessas verificações, há a possibilidade de 
aprimorar como o desenvolvimento e aferir os resultados. Este processo 
dentro do Scrum é chamado de ciclo de “Inspeção e Adaptação”.
9797 97
Os resultados finais do Scrum ao término do projeto, dentro dos 
objetivos e escopo, as equipes melhoraram definitivamente a 
produtividade, sendo capazes de entregar o projeto de forma mais 
efetiva e com menos impactos negativos aos projetos.
O Scrum, por mais que esteja dentro do conceito ágil, não é uma 
metodologia, pois não existe de verdade um método a seguir, mas 
sim concluir com sucesso, onde são priorizadas as pessoas e não os 
processos em si.
Trabalhar de forma ágil é uma máxima que está alinhada ao conceito do 
“Manifesto Ágil” que, inclusive, não está alinhado ao propósito do Scrum 
de Sutherland.
A proposta de trabalhar com um modelo definido antecipadamente e 
fazer com que os processos sejam mais importantes que as pessoas vai 
contra a proposta do Scrum. Desta forma, estabelece-se que as pessoas 
são o centro do projeto e verifica-se sistematicamente, diariamente, o 
que está sendo concluído, coloca-se o projeto em um ciclo que determina 
o que e como será feito na sequência. Ademais, verifica-se também se as 
atividades e objetivos foram atingidos e assim sucessivamente.
Figura 3 – Esboço do ciclo do Scrum
Fonte: VectorMine/iStock.com.
9898 
Ainda sobre Scrum, leia o trecho o a seguir:
No Scrum chamamos esses ciclos de Sprint [corrida de velocidade de curta 
distância]. No início de cada ciclo, acontece uma reunião para planejar o 
Sprint. A equipe decide a quantidade de trabalho que acredita ser capaz 
de realizar nas duas semanas seguintes. Eles escolhem as tarefas na lista 
de prioridades, as anotam em post-its e os colam na parede. A equipe 
decide quantas tarefas será capaz de executar em duas semanas. No final 
do Sprint, a equipe se reúne e mostra o que conseguiu realizar naquele 
tempo. Eles analisam quantos dos post-its da parede realmente foram 
concluídos. Será que tinham escolhido tarefas demais e não conseguiram 
concluir todas? Ou será que haviam escolhido poucas? O importante era 
que começassem a estabelecer uma base para sentir o ritmo do trabalho 
— a velocidade que conseguiam atingir. (Sutherland, 2014)
Trabalhar com Sprints no Scrum é permitir que estes ciclos governem 
o modo de gerenciar projetos e permitir que, com as repetições nos 
ciclos, é possível estabelecer a cadência do tempo em que serão feitas 
as entregas e depois então determinar como serão as próximas Sprints e 
qual o tempo efetivamente que serão terminadas.
1.3 PDCA
Os ciclos ou Sprints do Scrum trabalham com base no ciclo PDCA (Plan-
Do-Check-Act), ou seja, esse ciclo permite trabalhar na melhoria contínua 
e, desta forma, sem um modelo engessado, é possível descrever cada 
um dos passos que devem ser seguidos, como planejar, fazer, checar e 
acionar, e assim sucessivamente. Este ciclo segue-se até o término da 
entrega do projeto.
9999 99
Figura 4 – Ciclo PDCA
Fonte: orsonsurf/iStock.com.
Cada uma das letras desta sigla tem um significado, como P (Plan), 
planejar para somente depois executar. Mas planejar não é algo longo, 
tampouco depende de grandes cronogramas, mas sim planejamento 
rápido, focado em um resultado específico. A letra D (Do) significa fazer, 
ou seja, após o planejamento, faça! Execute a atividade planejada do 
seu projeto. A letra C (Check) significa checar, ou verificar cada execução, 
verificar cada ciclo de execução das atividades do seu projeto, verificar 
erros antes do projeto terminar. Por fim, a letra A (Act) significa agir. Aja 
para que as correções sejam feitas a tempo. Para que não percamos o 
projeto, o objetivo é identificar e corrigir qualquer problema ou desvio.
O Scrum trabalha desta mesma forma, dentro de um ciclo que é 
chamado de Sprints, e cada uma das Sprints possui validações diárias 
para que eventuais erros ou atrasos sejam identificados inicialmente. 
Tais ciclos iterativos fomentam os elementos ilustrados a seguir:
100100 
Figura 5 – Esboço do SCRUM
Fonte: VectorMine/iStock.com.
1.4 Os papéis dentro do Scrum
Existem diversos papéis exercidos por diversos personagens dentro de 
um ciclo do Scrum, o primeiro deles é o mais é falado no processo, o 
Scrum Master, ocupado por um líder que acompanhará o projeto como 
um gerente de projetos.
Cabe ao Scrum Master conduzir as reuniões diárias, também chamadas 
de Daily Scrum, e conduzir a equipe para que a sprint seja concluída.
O Scrum Master é também responsável por alinhar o Team (time 
composto pela equipe técnica) e os pedidos do Product Owner, o sponsor 
do projeto.
O Product Owner é o sponsor do projeto, o demandante, a pessoa que 
contratou a equipe para realizar o projeto, o dono do projeto, ele quem 
demanda como devem ser realizadas as sprints e como realizar as ações 
e suas ordenações. Ele pode interferir no projeto a ponto de alinhar as 
entregas de acordo com as necessidades e ajustes no escopo do projeto.
101101 101
O Team é composto pela equipe técnica do projeto e é quem realizará 
as atividades do projeto ou as listas de atividades. Responsáveis pelas 
entregas, reportam-se diretamente ao Scrum Master.
As atividades que serão desenvolvidas pelo time estão organizadas 
em listas, que são conhecidas como Product Backlog. Estas listas são 
alinhadas entre o Product Owner e o Scrum Master ao início do projeto, 
identificando quais atividades serão feitas ao longo dos ciclos e 
organizando-as para que sejam cumpridas como necessário.
1.5 O ciclo Scrum
As sprints são formas de controlar o tempo, controlar os ciclos de cada 
etapa do projeto. As sprints são processos cíclicos que podem ter de 
duas a oito semanas de duração e sempre ao final vão entregar uma 
parte do projeto de fato.
O acompanhamento do ciclo ao longo do seu processo é feito por meio 
de reuniões diárias chamadas Daily Scrum, que acontecem 15 (quinze) 
minutos antes do dia efetivamente começar. As pessoas que compõem 
o Team de projeto, junto com o Scrum Master e o Product Owner que 
podem participar destas reuniões, acompanham as atividades que 
aconteceram ontem, irão acontecer hoje, e quais problemas foram 
enfrentados neste dia. Três questões que posicionam as atividades e 
permitem que toda a equipe trabalhe no projeto, entendendoquais são 
as dificuldades e pendências neste sprint.
Uma forma de apresentação deste “cronograma” tratado nas Daily 
Scrum é no formato Kanban, modelo aplicado no projeto da Toyota e que 
passou a fazer parte dos projetos como forma de controle das atividades 
por ser simples, de fácil entendimento e, o mais importante, ágil.
102102 
Figura 6 – Kanban
Fonte: Quarta_/iStock.com.
O Kanban, adaptado para o modelo Scrum, para atender ao ciclo, é 
composto por um quadro onde são colocadas as atividades que ainda 
estão por fazer, a que está sendo feita, as pendentes e as atividades 
concluídas e, por meio de post-its, são colocadas as atividades nos 
momentos em que elas estão dentro das sprints.
A troca destes post-its coloridos no quadro indica o andamento da sprint 
e o cumprimento das atividades dentro desta lista.
Figura 7 – Reunião Scrum
Fonte: SurfUpVector/iStock.com.
103103 103
As reuniões diárias devem ser rápidas e conclusivas para que a equipe 
consiga trabalhar naquele dia no projeto. Mas além desta reunião diária 
dentro do ciclo Scrum, ao término de uma sprint, temos a reunião de 
review ou revisão para que seja tratado o que ficou pendente, quais as 
dificuldades enfrentadas e discutir as lições aprendidas no processo.
Ao término de todas as sprints, ao final da entrega do projeto para o 
Product Owner, é feita uma reunião de Retrospective, ou Retrospectiva, 
para dividir com o grupo como foi feito o projeto, como foram 
concluídas as sprints e como se chegou ao final.
Figura 6 – Planejamento ágil
Fonte: eduardrobert/iStock.com.
A forma de acompanhar cada uma das sprints dentro de um modelo 
Scrum permite que sejam usadas diversas ferramentas, onde o 
objetivo final é concluir o projeto que pode ou não ter mudado ao 
longo do tempo.
Este projeto pode ter durado meses, ou mesmo anos, mas a cada ciclo 
foi entregue algo com valor ao cliente, uma experiência boa, pois a cada 
104104 
ciclo é permitido se aprimorar e se reinventar. Como já citado, permite-
se entregar a cada semana algo melhor para o cliente, e o projeto que 
duraria anos, dura uma semana.
A sensação de agilidade nas entregas permite que os sponsor dos 
projetos tenham certeza que cada integrante da equipe deu seu melhor 
e que todos que participaram do projeto sabem exatamente o que 
aconteceu em cada fase e que cada um contribuiu ativamente para que 
a cada semana fosse entregue a respectiva parte do projeto.
Escolher um modelo que seja ágil, independentemente de ser o Scrum, 
permite o exercício diário da busca pela qualidade e entrega do projeto 
de forma surpreendente. O cliente tem certeza que cada membro da 
equipe sabe o que exatamente foi entregue e que este desenvolvimento 
foi feito de forma única. Sucesso!
TEORIA EM PRÁTICA 
Dentro de um modelo ágil acontecem reuniões diárias, 
com no máximo 15 minutos, para que sejam tratadas 
e alinhadas as atividades da lista que serão executadas 
naquele dia. Exercite uma reunião diária com membros da 
sua equipe onde cada um deles tenha claro o que será feito 
na data. No dia seguinte exercite as 3 questões: 
1. O que você fez ontem para ajudar a equipe a 
concluir o sprint?
2. O que você vai fazer hoje para ajudar a equipe a 
concluir o sprint?
3. Que obstáculos a equipe está enfrentando?
Anote os resultados.
105105 105
VERIFICAÇÃO DE LEITURA
1. No modelo Scrum existem as reuniões diárias para 
acompanhamento da lista de atividades, como é 
chamada essa reunião tecnicamente dentro do Scrum? 
a. Scrum Master.
b. Product Owner.
c. Daily Scrum.
d. Review.
e. Retrospective.
2. Como é conhecido no Scrum o líder das equipes de 
projetos que diariamente acompanha as atividades 
de projetos?
a. Daily Scrum.
b. Scrum Master.
c. Team.
d. Product Owner.
e. Sponsor.
3. As reuniões que acontecem ao final do projeto 
permitem a todos que verifiquem o que aconteceu 
ao longo de todas as sprints. Como é conhecida 
esta reunião? 
106106 
a. Sprint.
b. Daily Scrum.
c. Scrum Master.
d. Review.
e. Retrospective.
Referências bibliográficas
FERNANDES, Aguinaldo Aragon; ABREU, Vladimir Ferraz de. Implantando a 
Governança de TI: da Estratégia à Gestão dos Processos e Serviços. 4. ed. 
São Paulo: Saraiva, 2014. 
SUTHERLAND, Jeff. Scrum – A Arte de Fazer o Dobro de Trabalho na Metade do 
Tempo. São Paulo: Ed. Leya, 2014.
Gabarito
Questão 1 – Resposta: C
Resolução: Daily Scrum.
Questão 2 – Resposta: B
Resolução: Scrum Master.
Questão 3 – Resposta: E
Resolução: Retrospective.
107107 107
Visão geral de compliance: 
COSO e resultados
Autora: Patrícia Bonezi
Objetivos
• Entender processos de compliance.
• Ser capaz de compreender a importância do COSO.
• Articular COSO com resultados.
108108 
1. Compliance: COSO e resultados
Esta leitura tem como objetivo apresentar a você o COSO e suas 
possibilidades iniciais e resultados obtidos. Esta proposta pode e deve 
ser alterada caso perceba que as empresas não são iguais e cada uma 
delas tem um processo diferente e necessidades diferentes, dado o 
momento da empresa e da economia.
PARA SABER MAIS
Para aprofundar nos estudos das aplicações citadas no 
decorrer desta leitura, buscar o assunto no respectivo 
capítulo do livro indicado abaixo:
Leia o livro: 
FERNANDES, Aguinaldo Aragon; ABREU, Vladimir Ferraz de. 
Implantando a Governança de TI: da Estratégia à Gestão 
dos Processos e Serviços. 4. ed. São Paulo: Saraiva, 2014.
2. Visão geral de compliance: COSO e resultados
a. Compliance: controles e regras
Figura 1 – Compliance
Fonte: Warchi/iStock.com.
109109 109
O compliance é um conjunto de normas e disciplinas que regem o 
cumprimento das leis e normas, políticas, diretrizes definidas pela 
organização, a fim de tratar eventuais desvios ou inconformidades 
que possam ocorrer. Para garantia do compliance nas empresas, 
surgiu o COSO.
O COSO é formado por representantes da American Accounting 
Association, American Institute of Certified Public Accountants, Financial 
Executives Internationl, Institute of Managements Accountants e pelo 
Institute of Internal Auditors, ao qual está ligado a AUDIBRA – Instituto 
dos Auditores Internos do Brasil, através da FLAI – Federação latino-
americana de Auditores Internos.
Desta forma, há cerca de 10 (dez) anos o Committee of Sponsoring 
Organizations of the Treadway Commission (COSO) elaborou e publicou 
a Internal Control – Integrated Framework para apoiar as organizações 
na governança, avaliar e aperfeiçoar o modo como são feitos os 
controles internos. Entidade sem fins lucrativos têm como missão 
melhorar os resultados financeiros das empresas de forma que elas 
apliquem a ética e mantenham o cumprimento dos controles internos 
no Brasil e no mundo.
A partir deste momento, à estrutura do COSO foi incorporada as normas 
e políticas das organizações, com o objetivo de cumprir os objetivos 
determinados e atingir o compliance requerido pelo mercado. Neste 
momento também se aumentou o foco com gerenciamento de riscos, 
sendo cada vez maior a preocupação com a administração de riscos.
Em 2001, a COSO se preocupou em trabalhar na melhoria dos 
processos de governança corporativa e gerenciamento de riscos, 
atribuídos a novas leis e padrões a serem seguidos. 
O objetivo de ter uma estrutura de gerenciamento de riscos 
corporativos, capaz de fornecer os princípios, de forma fácil, com 
110110 
orientações e direcionamentos claros, tornou-se ainda mais necessária. 
Nos Estados Unidos, com grande apelo, existe a Lei Sarbanes-Oxley, 
promulgada e implantada em 2002, e legislação semelhante está 
sendo implantada ou mesmo promulgada em outros países. Essa lei 
norte-americana estabelece a exigência de que empresas com capital 
aberto mantenham sistemas de controle interno com certificações e 
tenham os serviços de auditores independentes para atestar a eficácia 
dos referidos sistemas. 
A COSO, com sua regulamentação, constantemente vem sendo testada, 
o que garante mais ainda sua aceitação para o atendimento dos 
requisitosde comunicação.
Figura 2 – Regulamentações
Fonte: DNY59/iStock.com.
A estrutura do COSO é mantida por pessoas ligadas às empresas, 
empresários e entidades de classe que se beneficiavam com manter o 
compliance nas empresas, ou seja, todas as partes interessadas.
No COSO, sua estrutura cúbica permite mais facilidade em análise, 
como apresentado na figura na sequência:
111111 111
Figura 3 – Cubo do COSO
Fonte: elaborada pela autora.
Para a implantação do COSO, faz-se necessário manter a governança 
por meio da revisão de processos a fim de garantir que as normas estão 
mapeadas e sendo seguidas.
Na busca por essa governança e na implementação do COSO, as 
empresas trabalham nos seguintes itens:
• Comprometimento com a integridade e ética.
• Independência dos executivos nos controles internos.
• Responsabilidades com relação aos objetivos claros a 
todos da empresa.
• Monitoramento e avaliação clara de riscos.
• Identificação dos riscos e cuidados a possíveis fraudes.
112112 
• Avaliação a mudanças e controle dos riscos e fraudes.
• Apoio à tecnologia como parte do processo de análise.
• Medidas e ações corretivas em caso de identificação de fraudes.
• Comunicação assertiva dos processos e mudanças.
• Atitude proativa nos posicionamentos com relação a riscos.
b. Avaliação de riscos e o COSO
Inicialmente, em uma implantação do COSO, é necessário o 
mapeamento dos riscos intrínsecos aos processos das empresas. 
Os riscos mapeados e o entendimento claro do que é um risco 
dentro do ambiente corporativo é essencial para se iniciar uma 
implantação do COSO.
Toda organização existe para gerar valor às partes interessadas, este é o 
valor de cada organização e inerente ao negócio. 
Independentemente disso, as organizações enfrentam incertezas, e a 
grande batalha de seus administradores é entender e aceitar o ponto 
de risco, assim como determinar que os riscos e incertezas podem 
comprometer o esforço para gerar valor às partes interessadas. 
Possibilidades de se ter ameaças representam riscos e 
oportunidades, com potencial não construir ou mesmo acrescentar 
valor. O gerenciamento de riscos corporativos permite aos líderes 
conciliarem as incertezas que trazem um risco, ameaças e as 
oportunidades integradas, com o foco em geração de valor.
113113 113
Figura 4 – Risco, você está pronto?
Fonte: gustavofrazao/iStock.com.
3. Riscos corporativos
Bom, o entendimento de riscos corporativos é a gestão dos riscos e 
sua tratativa de oportunidades que comprometem a criação e/ou a 
manutenção de valor, tendo a seguinte definição:
O gerenciamento de riscos corporativos é um processo conduzido em 
uma organização pelo conselho de administração, diretoria e demais 
empregados, aplicado no estabelecimento de estratégias, formuladas para 
identificar em toda a organização eventos em potencial, capazes de afetá-
la, e administrar os riscos de modo a mantê-los compatível com o apetite a 
risco da organização e possibilitar garantia razoável do cumprimento dos 
seus objetivos. (PriceWaterouseCoopers, 2001, s.p.)
O gerenciamento de riscos em uma corporação é compreendido por 
um processo contínuo que flui pela organização; conduzido pelos 
profissionais envolvidos na estratégia de mapear os riscos em todos os 
níveis da organização, aplicado às suas estratégias, incluindo a todos os 
riscos a que a organização está exposta.
114114 
O processo de estabelecer a gerência de riscos é estimado de modo 
que identifique eventos em potencial e a possibilidade de ocorrência 
do risco pode afetar a organização. A administração dos riscos e sua 
gerência devem ser cuidados de acordo com o apetite ao risco da 
empresa dentro do contexto econômico mundial.
4. Gestão dos riscos
A gestão de riscos é dinâmica, pois envolve pessoas e processos que 
evoluem ao longo do tempo e não dá para somente estabelecer o plano 
de risco e não mais revisitar de acordo com o tempo.
O gerenciamento de riscos é conduzido pelo conselho de 
administração, diretoria, pelos executivos e empregados envolvidos 
com riscos. É feita por pessoas que estão nas empresas, mediante o 
que fazem e o que dizem. 
Na gestão, são as pessoas que determinam a estratégia e os objetivos 
da organização e implantam os processos de gerenciamento de riscos 
corporativos. Desta forma, à gestão de riscos pertence as atividades 
das pessoas, por se comunicarem e desempenharem as funções de 
forma consistente.
As pessoas trazem para as empresas o que elas acreditam e na história 
pelas quais elas passaram e geraram suas habilidades e competências. 
Desta forma, cada um dos indivíduos, além de possuir necessidades 
e prioridades diferentes e desta forma contribuir para mudanças e a 
implantação do COSO.
115115 115
Figura 5 – Pessoas e gestão de riscos
Fonte: Cecilie_Arcurs/iStock.com.
a. Valor dos riscos 
Os riscos pertencem a uma empresa quando esta estabelece 
estratégias e objetivos para alcançar o equilíbrio para o crescimento 
dentro do esperado e dentro das metas e retorno de investimentos 
e, desta forma, os riscos a elas associados, com a exploração dos 
seus recursos com eficácia e eficiência na busca dos objetivos da 
organização. A finalidade do gerenciamento de riscos corporativos é: 
• Alinhar o apetite a risco com a estratégia adotada.
• Identificar e administrar riscos múltiplos e entre empreendimentos.
• Fortalecer as decisões em resposta aos riscos.
• Aproveitar oportunidades.
• Reduzir as surpresas e prejuízos operacionais.
• Otimizar o capital.
116116 
O gerenciamento de riscos no ambiente corporativo colabora para uma 
comunicação eficaz e o cumprimento de leis e regulamentações, assim 
como ajudar no trabalho de evitar problemas com reputação e suas 
consequências, ajudando a atingir seus objetivos. 
Figura 6 – Leis e regulamentações
Fonte: NicoElNino/iStock.com.
b. O COSO
Voltando ao cubo, após a análise e mapeamento dos riscos e sua 
gerência, é importante entender como funciona o cubo do COSO e como 
implantar e utilizar para garantir o compliance.
Figura 7 – Cubo
Fonte: serts/iStock.com.
117117 117
O ambiente interno é a base para todos os outros componentes 
do gerenciamento de riscos considerando o COSO. Dentro do 
corporativo, o ambiente é que propicia disciplina e estrutura, 
influencia a forma como as estratégias e objetivos devem ser 
estabelecidos. Os negócios são estruturados e os riscos são 
identificados, avaliados e geridos.
O ambiente influencia inclusive no desenho e na forma como 
funcionam as atividades de controle das atividades, inclusive de 
monitoramento. Influencia também os valores éticos da organização, 
a competência e o desenvolvimento de pessoal.
Ter uma política adequada, onde estão inseridos os valores éticos e 
a forma como é feito o desenvolvimento humano, interfere muito no 
resultado de como se quer os resultados do COSO.
O cubo estabelece uma relação de trabalho onde a empresa tem que 
se apoiar nas relações da empresa com o mercado e estabelecer de 
forma clara o que é a gestão de risco e os resultados das avaliações de 
apetite ao risco.
Estabelecer uma política onde são considerados os objetivos e 
processos claros e transparentes é fundamental para que o COSO 
funcione de forma integrada à implantação da política.
Todo este processo de implantação do COSO demanda tempo, 
dedicação e ter na empresa a certeza de que o modelo, assim como 
os outros modelos de governança de TI, é importante para a tomada 
de decisão de colocar a empresa em outro patamar. Ao término da 
implantação, não existe um fim, mas sim um trabalho contínuo de 
constante melhoria nos processos. 
Sucesso!
118118 
TEORIA EM PRÁTICA 
Reflita sobre a seguinte situação: dentro de uma 
organização que está se preparando para a implantação 
do COSO, a diretoria não consegue ter o mesmo 
posicionamento com relação à gestão de pessoas que o RH. 
O que deve ser providenciado para que a implantação seja 
um sucesso?
Estabeleça um plano e determine os riscos intrínsecos.
Definirquais objetivos devem ser atendidos nesta solução.
VERIFICAÇÃO DE LEITURA
1. O gerenciamento de riscos em uma corporação é 
compreendido por um processo contínuo, que flui 
pela organização, conduzido pelos profissionais. 
O que é importante na gerência de riscos, quando 
se fala em profissionais? 
a. Pessoas.
b. Riscos.
c. Trabalho.
d. COSO.
e. Gerencia.
2. Na gerência de riscos é importante não perder o foco 
em mapear os riscos antes de quaisquer decisões. 
119119 119
Desta forma, após mapear os riscos, o que deve ser 
feito na sequência? 
a. Restabelecer os processos.
b. Implantar o COSO.
c. Determinar incerteza e apetite ao risco.
d. Contratar pessoas.
e. Implantar um sistema.
3. O cubo estabelece uma relação de trabalho onde 
a empresa tem que se apoiar nas relações da 
empresa com o mercado e estabelecer de 
forma clara. Quais são as relações? 
a. Avaliação da empresa e viabilidade.
b. Gestão de risco e avaliação da empresa.
c. Gestão de projetos e custos.
d. A gestão de risco e os resultados das avaliações 
de apetite ao risco.
e. A governança e o compliance.
Referências bibliográficas
FERNANDES, Aguinaldo Aragon; ABREU, Vladimir Ferraz de. Implantando a 
Governança de TI: da Estratégia à Gestão dos Processos e Serviços. 4. ed. 
São Paulo: Saraiva, 2014. 
MOELLER, Robert R. Executive’s guide to COSO Internal Controls. ED. Wiley, 2016.
120120 
Gabarito
Questão 1 – Resposta: A 
Resolução: Pessoas.
Questão 2 – Resposta: C 
Resolução: Determinar incerteza e apetite ao risco.
Questão 3 – Resposta: D
Resolução: A gestão de risco e os resultados das avaliações de 
apetite ao risco.
121121 121
	Governança em TI: preparado para a mudança? 
	Objetivos
	1. Governança na perspectiva da TI 
	2. Governança em TI e seus benefícios: preparado para a mudança? 
	3. Governança em TI, o que muda? 
	4. Modelos e ferramentas 
	5. Quais resultados a governança de TI pode trazer? 
	6. Consideração finais 
	Teoria em prática 
	Verificação de leitura 
	Referências bibliográficas 
	Gabarito
	Modelos de governança e compliance 
	Objetivos
	1. Introdução 
	2. Considerações finais 
	Teoria em prática 
	Verificação de leitura 
	Referências bibliográficas 
	Gabarito
	ITIL: um modelo de governança 
	Objetivos
	1. Visão geral da ITIL: gerenciamento de serviços de TI 
	2. Considerações finais 
	Teoria em prática 
	Verificação de leitura 
	Referências bibliográficas 
	Gabarito
	ITIL: modelo de serviços, como implantar? 
	Objetivos
	1. Visão geral da ITIL 
	2. Controlando serviços, gerando valores: implantando a ITIL 
	3. A fase de desenho e transição de serviços 
	4. A fase de operação de serviço 
	5. Melhoria contínua, um ciclo 
	6. Considerações finais 
	Teoria em prática 
	Verificação de leitura 
	Referências bibliográficas 
	Gabarito
	COBIT: o cubo na estratégia das empresas 
	Objetivos
	1. O propósito do COBIT 
	2. O framework 
	3. Diretrizes de implementação 
	4. Considerações finais 
	Teoria em prática 
	Verificação de leitura 
	Referências bibliográficas 
	Gabarito
	Gestão de projetos e os modelos ágeis 
	Objetivos
	1. A gestão de projetos e modelos ágeis 
	Teoria em prática 
	Verificação de leitura 
	Referências bibliográficas 
	Gabarito
	Visão geral de compliance: COSO e resultados 
	Objetivos
	1. Compliance: COSO e resultados 
	2. Visão geral de compliance: COSO e resultados 
	3. Riscos corporativos 
	4. Gestão dos riscos 
	Teoria em prática 
	Verificação de leitura 
	Referências bibliográficas 
	Gabarito