UNIVERSIDADE VEIGA DE ALMEIDA

BACHARELADO EM SISTEMAS DE INFORMAÇÃO

TRABALHO DE AUDITORIA DE SISTEMAS

Swellen Polide Dezerbelles

Trabalho apresentado à Profª.: Ms.

Myrna Amorim como meio de avaliação
parcial da disciplina auditoria e segurança de
sistemas.

Cabo Frio, Dezembro de 2009.

 SUMÁRIO

1 INTRODUÇÃO..........................................................................................................4

2 SAS 70: A DECLARAÇÃO DE AUDITORIA PADRÃO ...................................6

3 ITIL: A BIBLIOTECA DE INFRA-ESTRUTURA DA TI ...................................8

3.1 ITIL V3......................................................................................................................9

3.2 CICLO DE VIDA DO SERVIÇO (SERVICE LIFECYCLE)..........................................................10
3.3 GOVERNANÇA.............................................................................................................11
3.1.1 Camada Tática............................................................................................12
3.1.1.1 Gerência de Nível de Serviço...............................................................12
3.1.1.2 Gerência de capacidade.........................................................................13
3.1.1.3 Gerência de Continuidades....................................................................13
3.1.1.4 Gerência de Disponibilidade.................................................................14
3.1.2 Camada Operacional...................................................................................14
3.1.1.5 Central de Serviços................................................................................14
3.1.1.6 Gerência de Incidentes..........................................................................15
3.1.1.7 Gerência de Problemas..........................................................................15
3.1.1.8 Gerência de Configuração.....................................................................16
3.1.1.9 Gerência de Mudanças..........................................................................16
3.1.1.10 Gerência de Liberações.......................................................................16
3.4 MODELO DE MATURIDADE............................................................................................17
3.5 BENEFÍCIOS DO ITIL...................................................................................................18
3.6 DESVANTAGENS DO ITIL.............................................................................................19

2
4 COBIT: OBJETIVOS DE CONTROLE PARA TI ...........................................20

4.1 OS MODELOS DE PROCESSOS DE TI .............................................................................21

4.1.1.1 Planejar e organizar...............................................................................22
4.1.1.2 Adquirir e Implementar ......................................................................22
4.1.1.3 Entregar e Dar Suporte .........................................................................23
4.1.1.4 Monitorar e Avaliar ...........................................................................24
4.2 MODELO DE MATURIDADE DE TI....................................................................................26
4.3 BENEFÍCIOS DO COBIT.................................................................................................28
4.4 DESVANTAGENS DO COBIT...........................................................................................29

5 CONCLUSÃO..........................................................................................................30

REFERÊNCIAS BIBLIOGRÁFICAS......................................................................31

3
 1 INTRODUÇÃO

Atualmente, com o avanço constante da tecnologia é impossível imaginar uma

empresa sem uma forte área de sistemas de informações (TI), para manipular os dados
operacionais e fornecer informações gerenciais aos executivos para tomadas de decisões.
Sendo assim, torna-se cada vez mais necessário administrar toda esta tecnologia, a fim de
garantir que o uso da mesma contribua para o comprimento dos objetivos da empresa. Mas
como fazer isso?
A administração da TI, incluindo profissionais especializados requer altos
investimentos. Algumas vezes a alta direção da empresa coloca restrições aos investimentos
de TI por duvidarem dos reais benefícios que essa implantação poderá fornecer. No entanto, a
ausência deste investimento pode ser o fator chave para o fracasso de um empreendimento em
um mercado que esta a cada vez mais competitivo. Com base nisso, e para melhorar todo o
processo de análise de riscos e tomada de decisão é necessário gerenciar e controlar as
iniciativas de TI, garantindo assim o retorno de investimentos e melhorias nos processos
empresariais. Esse novo conceito de gerência é conhecido por: governança de TI.
Além do termo governança de TI encontramos outros muito famosos, como ITIL,
CobiT, Sarbanes-Oxley1 (SOX ou Sarbox), Balanced Scorecard2 (BSC), CMMI3, PMI4. Cada
uma dessas siglas ou termos se refere a uma parte específica da governança. Neste trabalho,
veremos as principais características de dois desses termos: ITIL e CobiT.

1
Lei estadunidense que visa garantir a criação de mecanismos de auditoria e segurança confiáveis nas empresas .
2
Metodologia usada na gestão de negócios, do serviço e infra-estrutura.
3
Modelo de referência que contém práticas à maturidade de uma organização.
4
Voltado ao gerenciamento de projetos.

4
 Um outro tema a ser debatido neste trabalho, será o SAS 70. Embora os termos aqui
debatidos não estejam diretamente relacionados, se utilizados em conjunto, tornam-se
verdadeiros aliados na hora de alcançar os objetivos da empresa.

5
 2 SAS 70: A DECLARAÇÃO DE AUDITORIA
PADRÃO

O SAS 70 (Statement on Auditing Standards nº. 70) é um relatório formal sobre o

desenho, implementação e efetividade operacional dos controles de uma organização de
serviços (prestadora de serviços).
Se uma empresa fornece serviços a uma outra e se esse determinado serviço afeta de
alguma forma as finanças desta empresa-cliente, esta poderá solicitar um relatório sobre os
controles internos da empresa prestadora de serviço, para que este possa ser utilizado por sua
administração ou seus auditores quando desejado. É basicamente um documento que visa
averiguar a existência dos controles da empresa (prestadora de serviço) bem como a eficiência
e eficácia do trabalho prestado. Entendido isso, cabe perguntar, a quem são endereçados os
serviços SAS 70? Geralmente empresas que prestam serviços de processamento de dados,
folha de pagamento, contabilidade e outros processos específicos de negócio.
Atualmente, segundo Vitor Albanese5, qualquer organização terceirizada que fornece
serviços para uma outra empresa está sendo solicitada a fornecer relatórios SAS 70. E este
documento tem se tornado um pré-requisito para contratar um prestador de serviços.
As principais informações para um auditor desenvolver um relatório SAS 70 são
obtidas por meio de discussões com a administração, supervisores e staff, e por meio da
inspeção de documentação relevante, como fluxogramas de sistemas, narrativas processuais,
diários operacionais, e outros meios. Toda a informação que é recolhida é compilada em dois
tipos de relatórios. Estes relatórios são chamados de: tipo I e tipo II.
O relatório de tipo inclui informações referentes aos controles e procedimentos
utilizados para a realização do serviço contratado e também a avaliação das políticas da

5
Diretor administrativo de serviços de administração e operações da Eisner.
6
empresa Há partes neste relatório que são opcionais, como por exemplo, os testes que são
executados pelo revisor de contas. Já o relatório de tipo II, é bastante similar ao do tipo I. A
principal diferença é que neste, obrigatoriamente deve-se realizar testes sobre os controles
colocados em operação, esses testes verificarão a eficiência operacional da empresa, ou seja,
analisarão se os controles testados estavam operando com a eficiência necessária para
constatar que os objetivos de controle esperados foram atingidos durante o período de testes.
Segundo Vitor Albanese, muitas empresas-clientes estão solicitando de seus
prestadores de serviços o relatório de tipo II, pois este é exigido pelo governo com base no
desenvolvimento e implementação da Lei Sarbanes-Oxley.

Benefícios
Para a empresa prestadora de serviço, os benefícios vão além da necessidade dos
clientes. Com o SAS 70 a empresa obtém ganho por realizar um monitoramento contínuo de
seus próprios processos e cria um ambiente de negócios transparente que por sua vez favorece
a realização de novos negócios. Já para a empresa-cliente o maior ganho está relacionado à
qualidade do serviço contratado e a segurança de sua própria empresa.

7
 3 ITIL: A BIBLIOTECA DE INFRA-ESTRUTURA
DA TI

Desenvolvido no final dos anos 80 pela CCTA (Central Computer and

Telecommunications Agency) e atualmente sob custódia da OGC6 (Office for Government
Commerce) da Inglaterra. O ITIL, foi criado a fim de garantir que as organizações do setor
público inglês tivessem o máximo de eficiência com o menor custo possível e que a solução
para essa demanda fosse totalmente independente de possíveis provedores, descrevendo
detalhadamente diversas atividades importantes para a TI, como tarefas, procedimentos e
responsabilidades.
Segundo a Pink Elephant7, a filosofia ITIL adota uma estratégia orientada a processos
que considera o gerenciamento de serviços em TI constituído de processos relacionados e
altamente integrados. Um de seus propósitos é sintonizar a gestão da tecnologia com as
necessidades dos negócios, focando a qualidade dos serviços prestados. Para atingir os
objetivos do gerenciamento de serviços em TI, os processos devem utilizar o tripé: pessoas,
processos e produtos, de forma eficaz, eficiente e econômica. O ITIL define o que deve ser
feito, ficando a cargo das organizações a definição de como será feito.
Sendo assim, o principal objetivo do ITIL é o de fornecer um modelo para o
gerenciamento dos serviços de TI, promovendo o alinhamento estratégico entre as áreas de
negócio e as áreas de TI da organização, criando formas de comunicação e entendimento entre
ambas.

6
Organização do governo do Reino Unido responsável por tarefas que aumentam a eficiência e efetividade de processos de
negócio do governo.
7
Empresa de capital privado com o objetivo de aprimorar a qualidade dos serviços de TI através da utilização de um conjunto
de melhores práticas, incluindo o ITIL.
8
 Atualmente existem três organizações principais que regulam as práticas do ITIL:

 OGC - Os direitos autorais do ITIL são de propriedade do governo britânico, visto que
o mesmo foi criado pela CCTA, este passou a fazer parte da OGC em 1º de abril de
2001.

 ITSMF - O ITSMF (Information Technology Service Management Forum) é um

grupo internacional de usuários independentes reconhecido mundialmente, que
promove a troca de conhecimentos relacionados a TI. Esse grupo ministra palestras,
seminários e também publicam boletins informativos e operam um website para
divulgação de informações.

 EXIN e ISEB - A fundação holandesa EXIN (Exameninstituut voor Informatica) e o

conselho de exame de sistemas de informação (ISEB - Information Systems
Examination Board) britânico, desenvolveram um sistema de certificação para o
gerenciamento de serviços em TI. Promovem certificações em três níveis: Diploma de
fundamentos, de profissionais e de mestre (para gerentes).

3.1 ITIL v3

De meados da década de 80 até o final da década de 90, o ITIL seguiu sua versão
original com 40 livros. A versão 2.0, e mais conhecida, possui 10 livros. Em 2006 foi então
projetada a versão 3.0, reunindo o que havia de melhor nas versões anteriores, agregando os
domínios em 5 livros:

 Estratégia de Serviços (Service Strategy): esse livro aborda principalmente as

estratégias, políticas e restrições sobre os serviços. Inclui também temas como reação
de estratégias, implementação, redes de valor, portfólio de serviços, gerenciamento,
gestão financeira, análise de mercado e ROI.

 Design de Serviços (Service Design): a abordagem nesse livro engloba políticas,

planejamento e implementação. É baseado nos cinco aspectos principais de design de

9
 serviços: disponibilidade, capacidade, continuidade, gerenciamento de nível de
serviços e outsourcing. Também estão presentes informações sobre gerenciamento de
fornecedores e de segurança da informação.

 Transição de Serviços (Service Transition): Apresenta um novo conceito sobre o

sistema de gerenciamento do conhecimento dos serviços. Também inclui abordagem
sobre mudanças, riscos e garantia de qualidade. Os processos endereçados são
planejamento e suporte, gerenciamento de mudanças, gerenciamento de ativos e
configurações, entre outros.

 Operações de Serviços (Service Operations): operações cotidianas de suporte são o

conceito principal desse livro. Monitoramento de problema e balanceamento entre
disponibilidade de serviço e custo, são considerados. Existe foco principal em
gerenciamento de service desk e requisições de serviços, separadamente de
gerenciamento de incidentes e de problemas, que também têm espaço.

 Melhorias Contínuas de Serviços (Continual Service Improvement): a ênfase deste

livro está nas ações “planejar, fazer, checar e agir”, de forma a identificar e atuar em
melhorias contínuas dos processos detalhados nos quatro livros anteriores. Melhorias
nesses aspectos também levam a serviços aprimorados aos clientes e usuários.

Até a versão 2.0 o ITIL focava o alinhamento entre TI e negócios. Na versão 3.0 o
foco é a integração entre eles. Para obter essa integração, passou a ser utilizado nesta versão o
conceito de um ciclo de vida do serviço (Service LifeCycle), que trata do serviço desde a
identificação da sua necessidade até sua implementação.
Na versão 3.0, a tendência é que a TI passe a ser vista como tecnologia de negócios ao
invés de tecnologia da informação. Desse modo, deverá adicionar valor ao negócio ao invés
de apenas suportá-los.

3.2 Ciclo de vida do serviço (Service LifeCycle)

10
 Os principais passos previstos no Service Lifecycle são:

 Identificação do serviço

 Desenvolvimento do serviço

 Posicionamento do serviço

 Consumo do serviço

 Gerenciamento do serviço

Cada um desses passos envolve papéis e responsabilidades diferentes, sendo assim são
necessários profissionais que sejam aptos a realizar a tarefa de cada área em específico. Sendo
estes, profissionais de solução, infra-estrutura, desenvolvedores de serviços, arquitetos de
enterprise, responsáveis pelo negócio, entre outros.
Cada um dos passos do ciclo de vida de um serviço, pode se sobrepor em momentos
de desenvolvimento, testes, homologação e uso em produção. Cada empresa pode aplicar
regras diferentes para o controle desses passos. Para gerenciar o ciclo de vida de um serviço
pode ser necessário e cômodo utilizar uma ferramenta de governança, como o Oracle
Enterprise Repository (OER), que auxilia a empresa em todo esse processo.

3.3 Governança

O ITIL possui sua governança baseada em duas camadas que compõe a estrutura de
suas gerências: Uma tática e a outra operacional. A figura a seguir ilustra como se relacionam
essas estruturas de gerência e controle mostrando, inclusive, o papel do GRC (gerência de
relacionamento com o cliente).

11
 Fig 1: As gerências do ITIL e seus relacionamentos. Adaptado por Matheus Canto de:
http://governadeti.blogspot.com.

3.1.1 Camada Tática

3.1.1.1 Gerência de Nível de Serviço

O planejamento, a coordenação, a elaboração, a monitoração e o feedback dos ANS

(acordos de nível de serviço), somados as possíveis revisões dos ANS, formam a gerência de
nível de serviço (GNS), que também pode ser entendida como sendo a garantia da qualidade e
dos custos firmados num ANS no qual estariam baseadas as relações entre serviços e clientes.
É preciso considerar os seguintes fatores quando se define os níveis de serviço:

 Custos
 Continuidade
 Disponibilidade
 Desempenho

12
  Flexibilidade
 Estabilidade

O Gerenciamento de nível de serviço inclui elaborar e manter acordos de nível de

serviço, acordos de nível operacional, contratos de apoio e planos de qualidade de serviço.

3.1.1.2 Gerência de capacidade

Engloba a monitoração, análise e planejamento do uso dos recursos da TI, a gerência

da capacidade identifica quais são os serviços requeridos e como dar suporte a eles.
Sem um processo bem definido e implementado da gerência de nível de serviço, a
gerência de capacidade também não trará os benefícios esperados para a empresa. A gerência
de nível de serviço deve contribuir fornecendo para a capacidade, o correto entendimento dos
objetivos de negócio. Com essa visão, a gerência de capacidade será muito mais eficiente e
eficaz para prover demanda atual e futura dos negócios.

3.1.1.3 Gerência de Continuidades

O processo de Gerenciamento de Continuidade de Serviços de TI pesquisa, desenvolve

e implanta as opções de recuperação quando a interrupção de um serviço atinge um ponto
crítico já definido anteriormente. Com isso, é possível afirmar que O objetivo do
Gerenciamento de Continuidade de Serviços de TI é planejar, cobrir e recuperar-se de uma
crise de TI que necessite que o trabalho seja movido a um sistema alternativo de forma
transparente.
A gerência de continuidade de serviços de TI pode beneficiar a empresa da seguinte
forma:

 Melhor gerenciamento de riscos

 Credibilidade organizacional
 Vantagem competitiva
 Recuperação dos sistemas de TI de uma forma controlada
 Interrupção mínima do negócio

13
 3.1.1.4 Gerência de Disponibilidade

O gerenciamento de disponibilidade é responsável por garantir que os serviços estejam

disponíveis. Estabelece níveis para que os objetivos de otimização possam ser atendidos
através do levantamento de requisitos de disponibilidade e da análise da capacidade da infra-
estrutura da TI, onde, possíveis lacunas seriam preenchidas por alternativas consideradas
viáveis dentro do planejamento, envolvendo os conceitos de disponibilidade, confiabilidade e
sustentabilidade.
O gerenciamento de disponibilidade apresenta uma estreita relação com o
gerenciamento de capacidade para atingir o seu objetivo. Esta relação não pode garantir a
disponibilidade de um serviço quando a capacidade é insuficiente.
O Gerenciamento de Disponibilidade pode beneficiar a empresa da seguinte forma:

 Os serviços de TI são administrados para atingir objetivos específicos de

disponibilidade
 Melhoria da qualidade do serviço, pois está mais controlado
 Menor necessidade de suporte reativo a problemas
 Menor custo de manutenção e tempo de queda
 Os recursos de TI são utilizados com maior eficiência

3.1.2 Camada Operacional

3.1.1.5 Central de Serviços

A central de serviços ou service desk, atua como uma linha de frente para os outros
departamentos de TI e é capaz de lidar com inúmeras dúvidas dos clientes sem precisar
contatar pessoas especializadas. Para os usuários, pode ser considerada como um ponto único
de contato com a empresa de TI, direcionando o usuário para área correta. Além disso, pode
ser atribuído à central de serviços a função de acompanhamento a chamadas originadas dentro
da própria organização de TI.
A central de serviços lida com atividades relacionadas a diversos processos básicos do
ITIL como o gerenciamento de incidentes, o gerenciamento de liberações e o gerenciamento
de mudanças.
14
 3.1.1.6 Gerência de Incidentes

A central de serviços é responsável pelo monitoramento da solução de todos os

incidentes registrados - como resultado, esta passa a ser a proprietária de todos os incidentes.
A gerência de incidentes tem como foco principal restabeler o serviço o mais rápido
possível minimizando o impacto negativo no negócio, uma solução de
contorno ou reparo rápido fazendo com que o cliente volte a trabalhar de modo
alternativo. Incidentes que não podem ser resolvidos imediatamente pelo service desk podem
ser designados a grupos de especialistas. A gerência de incidentes inclui as seguintes
atividades:

 Registro de alerta de incidentes

 Suporte e classificação de incidentes
 Investigação e diagnóstico
 Resolução e recuperação
 Acompanhamento de incidente e comunicação ao cliente/usuário
 Propriedade do incidente, monitoramento e fechamento

3.1.1.7 Gerência de Problemas

O objetivo da gerência de problemas é minimizar o impacto de incidentes e problemas

no negócio causados por erros na infra-estrutura e evitar a ocorrência de incidentes,
problemas e erros. Para isso deve resolver a causa dos erros e encontrar soluções permanentes
para estas. As causas das falhas são identificadas e são recomendadas alterações nos itens de
configuração (CIs) para o gerenciamento de mudanças.
O gerenciamento de problemas difere do gerenciamento de incidentes no sentido de
que seu objetivo principal é a detecção da origem do incidente e sua subseqüente resolução e
prevenção, sendo esse um processo a nível de empresa. Este objetivo pode estar em conflito
direto com o gerenciamento do incidente cujo objetivo principal é restabelecer, na medida do
possível, o serviço ao nível estabelecido no ANS, sendo esse um processo a nível de usuário.

15
 3.1.1.8 Gerência de Configuração

A gerência de configurações fornece controle direto sobre os ativos de TI e melhora a

habilidade do fornecedor de serviços para entregar serviços de TI com qualidade de uma
maneira econômica e efetiva. A gerência de configurações deve trabalhar próximo do
gerenciamento de mudanças.
Todos os componentes da infra-estrutura de TI devem ser registrados no banco de
dados do gerenciamento de configurações (CMDB). As responsabilidades da gerência de
configurações relacionadas ao CMDB são: o planejamento, a identificação, o controle, a
contagem de status e a verificação e exames.
Essa gerência ainda acrescenta alguns benefícios como: o fornecimento de
informações precisas dos CIs e suas documentações, o controle dos CIs, a facilitação da
aderência a obrigações legais, ajuda com o planejamento financeiro e despesas, a visibilidade
das mudanças do software, contribuições com o plano de contingência, suporte e
melhoramento do gerenciamento de releases, a permissão para que a organização execute
análises de impacto e mudanças programadas de modo seguro e eficiente e o fornecimento de
dados e tendências para a gerência de problemas.

3.1.1.9 Gerência de Mudanças

O objetivo da gerência de mudanças é gerenciar todas as mudanças que possam vir a

interferir a entrega do serviço.
As principais atribuições ou responsabilidades dessa gerência são caracterizadas como
sendo o recebimento e registro de requisições de mudanças, a avaliação das implicações, o
custo/benefício e riscos das mudanças propostas, o planejamento das mudanças, a
coordenação e o controle da implementação, a monitoração e os relatórios, as revisões pós-
implementação, a instauração do conselho controlador de mudanças e um comitê de
emergências.

3.1.1.10 Gerência de Liberações

16
 A gerência de liberações ou versões (ou releases), é responsável pelo controle de
licenças referentes a recursos de software e hardware pertencentes a TI, procura assegurar que
somente versões autorizadas estejam disponíveis para utilização. Também é responsável pelo
planejamento, desenho, construção, configuração, preparação e programação da liberação e
testes de hardware e software, assegurando desta forma, componentes necessários para que os
incidentes e instalações possam ser tratados rapidamente.

3.4 Modelo de Maturidade

O ITIL pode ser independente quanto ao modelo de maturidade a ser utilizado. Para
cada uma das gerências, existe uma classificação dentro dos níveis de maturidade, com isso,
os níveis de maturidade apontam direções para a evolução de serviços, tarefas, processos e/ou
procedimentos.
Na adoção do ITIL, pode-se escolher como modelo de maturidade o PMF - Process
Maturity Framework (Modelo de Maturidade de Processos), que possui 5 níveis e é parte
integrante do próprio ITIL, ou pode-se utilizar também um dos modelos disponibilizados,
como o CMM, CobiT e ISO 15504.
Neste trabalho será abordada a maturidade segundo a visão do PMF.
Segundo Matheus Canto, o PMF pressupõe que está sendo utilizado “in loco” um
sistema de gestão de qualidade (QMS - Quality Management System), e que o objetivo é
melhorar um ou mais aspectos de eficiência, eficácia, economia ou a equidade dos processos.
O ITIL disponibiliza os modelos de QMS Deming, Juran, Baldridge, Crosby e outros,
enquanto o PMF do ITIL define várias dimensões que compreendem cada nível.
O PMF avalia a maturidade das gerências, de acordo com os seguintes fatores:

 Visão e estratégia
 Direcionamento (Steering)
 Processos
 Pessoas processos;
 Tecnologia
 Cultura

17
 A Figura 2 detalha os cinco níveis básicos de maturidade abordados pelo PMF,
incluindo seus enfoques para uma melhor gestão.

Fig 2: Detalhamento dos níveis de maturidade. Adaptado por Matheus Canto de:
http://www.isdbrasil.com.br./

3.5 Benefícios do ITIL

O ITIL é baseado na necessidade de fornecer os serviços com alta qualidade, às

vantagens dessa prática são enormes. Entre elas, as principais são:

 Alinhamento dos serviços de TI com as necessidades do negócio

 Melhoria da qualidade dos serviços de TI
 Redução de custos
 Processos cada vez mais eficientes e eficazes
 Gerenciamento da empresa de maneira global

18
  Redução no número de incidentes
 Redução da dependência sobre as pessoas chaves
 Riscos na infra-estrutura e dependências são facilmente identificáveis

3.6 Desvantagens do ITIL

Segundo Carla Farinha, a maior desvantagem do ITIL está na burocracia de seus

processos, ela ainda afirma que o conjunto de melhores práticas não passa de uma lista de
itens que a organização deve seguir. As práticas do ITIL não são implementadas e sim usadas
para criar a mudança organizacional, ou seja, ITIL não orienta como aplicar efetivamente
essas técnicas, cada organização deve desenhar as suas baseando-se nas necessidades e
objetivos.
Uma outra desvantagem do ITIL é que, enquanto alguns tópicos são cobertos
extensivamente e definidos como de alto valor, outros tópicos podem não receber suficiente
atenção quando se trata da qualidade, o que leva à desigualdade entre os processos.

19
 4 COBIT: OBJETIVOS DE CONTROLE PARA
TI

O CobiT pode ser definido como um guia para a implementação de controles e

métricas para o gerenciamento da área de tecnologia da informação (TI) como um todo.
Embora tenha sido desenvolvido e recomendado pelo ISACF (http://ww.isaca.org) atualmente
passou a ser mantido pelo ITGI - IT Governance Institute.

Segundo Luciana Costa, é um modelo utilizado internacionalmente como um

instrumento (de fomento) da Governança de TI, contendo práticas, técnicas de controle e
gerenciamento, a fim de: auxiliar na preparação para auditorias, acompanhamento,
monitoramento, avaliação dos processos de TI e finalmente, auxiliar no alcance de metas na
organização. Para isso, não determina como os processos devem ser estruturados, e sim, como
utilizá-los da melhor forma a fim de gerar as informações que a empresa realmente necessita
para que suas metas sejam cumpridas.

“Especialistas em gestão e institutos independentes recomendam o uso do

Cobit como meio para otimizar os investimentos de TI, melhorando o
retorno sobre o investimento ROI percebido, fornecendo métricas para
avaliação de performance (KPI) , de resultados (KGI) e nível do maturidade
(modelo de maturidade).”
(Renato Sona Gonçalves8, http://governadeti.blogspot.com/2008/03/cobit-
aguarde.html)

Criado para apoiar os profissionais no controle e gerenciamento dos processos de TI

de forma lógica e estruturada, procura ocupar o espaço entre a gestão de riscos voltada para o

8
Analista de Sistemas, com especialização em Gestão de Projetos, pela Unicamp. Gerente de Sistemas do Grupo Julio
Simões.
20
 negócio (atendida pela metodologia COSO), a gestão de serviços em TI (ITIL) e a gestão da
segurança da informação (tratada pela BS7799 ou ISO/IEC 17799 - versão internacional).

Buscando fornecer informações detalhadas para gerenciar os processos de negócios de

uma empresa, auxilia os seguintes profissionais de TI:

 Gerentes que necessitam avaliar o risco e controlar os investimentos de TI em uma

organização.
 Usuários que precisam ter garantias de que os serviços de TI do qual dependem os
seus produtos estão sendo bem gerenciados.
 Auditores que podem se apoiar nas recomendações do COBIT para avaliar o nível da
gestão de TI e aconselhar o controle interno de uma organização.

4.1 Os Modelos de Processos de TI

O CobiT consiste de três modelos: modelo de processos de TI (framework), modelo

para governança de TI e o modelo de maturidade de TI.

4.1.1 Modelo de processos de TI (Framework)

Este modelo consiste em um conjunto de 318 Controles, distribuídos em 34 processos

que são agrupados em 4 domínios que integram um ciclo de vida que pode ser repetido no
sistema de gestão de TI. Onde cada um desses domínios visa um objetivo de controle em
específico. Esses objetivos de controle, se atingidos, garantem o alinhamento da TI aos
objetivos do negócio. A responsabilidade pelo sucesso dos sistemas de controles é, portanto,
da alta direção, a qual deve torná-los efetivos.
Os quatro domínios do CobiT:

 Planejar e Organizar

 Adquirir e Implementar

 Entregar e Dar Suporte

 Monitorar e Avaliar

21
 4.1.1.1 Planejar e organizar

Esse domínio cobre o uso da informação e da tecnologia disponível na empresa e

como estas podem ser utilizadas para que a empresa atinja seus objetivos e metas. Para isso,
considera também a forma organizacional e a infra-estrutura de TI desta determinada
organização. Através da análise, planejamento e organização de cada uma dessas àreas é
possível obter inúmeros benefícios e atingir as metas estabelecidas.
A tabela seguinte lista os objetivos de controle de alto nível para o domínio do
Planejamento e Organização:

OBJETIVOS DE CONTROLE DE ALTO NÍVEL

Planejar e Organizar

PO1 Definir um Plano Estratégico de TI e Orientações

PO2 Definir a Arquitetura de Informação
PO3 Determinar o Gerenciamento Tecnológico
PO4 Definir os Processos de TI, Organização e Relacionamentos
PO5 Gerenciar o Investimento em TI
PO6 Comunicar os Objetivos de Gerenciamento e Orientar
PO7 Gerenciar os Recursos Humanos de TI
PO8 Gerenciar a Qualidade
PO9 Estimar e Gerenciar os Riscos de TI
PO10 Gerenciar Projetos
Fonte: http://pt.wikipedia.org/wiki/CobiT

4.1.1.2 Adquirir e Implementar

As soluções de TI precisam ser identificadas, desenvolvidas ou adquiridas, assim

como devem ser implantadas e integradas dentro de um processo de negócios. Segundo Paulo
César Rodrigues9, esse domínio também foca o desenvolvimento do plano de manutenção que
a companhia adota para prolongar a vida do sistema de TI e seus componentes. Qualquer
mudança na manutenção é garantida por este domínio, após à mudança, o domínio passa a
assegurar que a solução continue a atender os objetivos de negócio. Os objetivos de alto nível
do domínio de aquisição e implementação seriam:

9
Dono e profissional atuante da Confidentia IT Solutions - Governança, Riscos, Conformidade .
22
 OBJETIVOS DE CONTROLE DE ALTO NÍVEL
Adquirir e Implementar

AI1 Identificar Soluções Automatizadas

AI2 Adquirir e Manter Software de Aplicação
AI3 Adquirir e Manter Infraestrutura de Tecnologia
AI4 Habilitar Operação e Uso
AI5 Obter Recursos de TI
AI6 Gerenciar Mudanças
AI7 Instalar e Credenciar Soluções e Mudanças
Fonte: http://pt.wikipedia.org/wiki/CobiT

4.1.1.3 Entregar e Dar Suporte

Foca aspectos de entrega de TI, se preocupa com a entrega real dos serviços
solicitados, o que inclui o service delivery, o gerenciamento da segurança, o serviço de
suporte aos usuários, entre outros. Desta forma, cobre a execução de aplicações dentro do
sistema e seus resultados, assim como o suporte dos processos que habilitam a execução de
forma eficiente e efetiva. A seguir a tabela com os objetivos de controle de alto nível desse
domínio.

OBJETIVOS DE CONTROLE DE ALTO NÍVEL

Entregar e Dar Suporte

DS1 Definir e Gerenciar Níveis de Serviço

DS2 Gerenciar Serviços de Terceiros
DS3 Gerenciar Performace e Capacidade
DS4 Assegurar Serviço Contínuo
DS5 Assegurar Segurança de Sistema
DS6 Identificar e Alocar Recursos
DS7 Treinar Usuários
DS8 Gerenciar Serviços de Escritório e Incidentes
DS9 Gerenciar a Configuração

23
 DS10 Gerenciar Problemas
DS11 Gerenciar Dados
DS12 Gerenciar o Ambiente Físico
DS13 Gerenciar Operações
Fonte: http://pt.wikipedia.org/wiki/CobiT

4.1.1.4 Monitorar e Avaliar

Monitora o sistema implantado e avalia se o atual sistema de TI atinge os objetivos

desejados. Todos os processos de TI necessitam ser auditados/avaliados regularmente em sua
qualidade e adequação com requerimentos de controle. Este domínio endereça o
gerenciamento de performance, monitoramento de controle internos, cobre as questões de
estimativa independentemente da efetividade do sistema de TI e sua capacidade de atingir os
objetivos de negócio, controlando os processos internos da companhia através de auditores
internos e externos.

OBJETIVOS DE CONTROLE DE ALTO NÍVEL

Monitorar e Avaliar

M1 Monitorar os processos
M2 Assegurar avaliação dos controles internos
M3 Obter avaliação independente
M4 Prover auditoria independente
Fonte: http://pt.wikipedia.org/wiki/CobiT

4.1.2 O Modelo de Governança de TI

Esse modelo é constituído pela união de 3 componentes em específico:

 Fatores Críticos de Sucesso – FCS (CSFs - Critical Success Factors) - São os pontos
chave que definem o sucesso ou o fracasso de um objetivo definido. Define o que há

24
 de mais importante a ser feito para permitir que uma tarefa ou processo sejam
concluídos.
 Indicadores de Meta - IdM (KGIs - Key Goal Indicators) - Permitem medir em que
grau os novos processos implementados responderam aos requisitos de negócio.
Utilizados para reconhecer se as metas definidas foram alcançadas.

 Indicadores de Desempenho - IdD (KPIs - Key Performance Indicators) - medem o

nível de desempenho do processo, focando no “como” e indicando como os
processos de TI permitem que o objetivo seja alcançado.

Um Processo deve alcançar os objetivos de negócio definidos nos indicadores de

metas (IdM). Um habilitador, resultante da combinação dos recursos de TI necessários e dos
fatores críticos de sucesso (FCS) fornece a informação segundo os critérios necessários e é
monitorado por indicadores de desempenho (IdD).
Esses critérios podem ser: eficácia, eficiência, confidencialidade, integridade,
disponibilidade e confiabilidade. A combinação desses elementos depende da natureza do
processo de TI.

25
 Fig 3: Os componentes de um processo de TI. Adaptado por Matheus Canto de:
http://www.vhmartins.com/cobit2.htm

4.2 Modelo de maturidade de TI

O modelo de maturidade é fornecido, como uma ferramenta distinta para cada um dos
34 processos do COBIT. A partir dos níveis de maturidade descritos para cada um desses
processos, é possível identificar:

 Um método para auto-avaliação. Situa a organização quanto a seus

processos;

 Um método para utilizar os resultados da auto-avaliação. Pode ser

usado para estabelecer metas para desenvolvimentos futuros, baseando-se
principalmente na posição em que a empresa deseja alcançar na escala, não
necessariamente no nível 5;

 Um método para planejar projetos que atinjam as metas estabelecidas

previamente. Esse planejamento teria como base a diferença entre as metas e a
situação atual da empresa.

 Um método para priorizar projetos baseado na sua classificação e na

análise dos benefícios versus os custos.

Segundo o ITGI10, os níveis de maturidade dos processos de TI descrevem perfis de

processos que possam ser reconhecidos pelas organizações. Esses níveis não estabelecem
patamares evolutivos, onde não se pode alcançar um nível superior sem antes passar pelos
inferiores.
O CobiT utiliza uma escala de seis níveis, conforme o modelo de Maturidade abaixo:
10
Instituto de Governança de TI.
26
 I nexistente I nicial Repetitivo Definido Administrado Otimizado
0 1 2 3 4 5

Situação atual da organização Melhores práticas

Padrão de mercado Estratégia da organização

Fonte: “COBIT Management Guidelines – July 2000”

0 Inexistente - A organização não reconhece a existência de um processo a ser

gerenciado.

1 Inicial - Os processos são eventuais (ad hoc) e não organizados.Não há

processos padronizados, apenas abordagens eventuais que tendem a ser aplicadas em bases
isoladas ou caso a caso.

2 Repetitivo - Os processos são estruturados e procedimentos similares são seguidos

por diferentes indivíduos para a mesma tarefa. Não há treinamento ou divulgação formais de
procedimentos padronizados e as responsabilidades são deixadas a cargo das pessoas. Há forte
dependência do conhecimento individual. Existe alguma documentação.

3 Definido - Os processos são padronizados, documentados e comunicados.

Entretanto deixa a cargo dos indivíduos seguirem ou não os processos, isso dificulta a
detecção de desvios.

4 Gerenciado - Existe a possibilidade de monitorar o cumprimento dos

procedimentos e adotar medidas quando os processos aparentarem não funcionar
efetivamente. Os processos estão sob constante melhoria e propiciam boas práticas.
Automação e ferramentas são utilizadas de forma limitada ou fragmentada.

5 Otimizado - Os processos foram refinados até alcançar as melhores práticas, com

base no resultado de melhoria contínua e comparações com outras organizações. A TI é

27
 utilizada como uma forma integrada para automatizar os fluxos dos procedimentos
(“workflow”), provendo ferramentas para melhorar a qualidade e a efetividade, tornando a
empresa ágil para adaptações.

4.3 Benefícios do CobiT

Com a evolução da tecnologia, as empresas ficaram dependentes de todos os tipos de

artifícios para driblar o acesso de terceiros aos seus dados privados, ou seja, atualmente é
necessário que as empresas utilizem de toda a tecnologia necessária para implementar controles
de segurança eficazes.
Segundo Mayer Fagundes11, as recomendações de gerenciamento do CobiT com
orientação no modelo de maturidade em governança auxiliam os gerentes de TI no
cumprimento de seus objetivos alinhados com os objetivos da organização.
Os guia de gerenciamento do CobiT foca na gerência por desempenho usando os
princípios do BSC (Balanced Scorecard). Que por sua vez, possuem métodos que incluem:
definição da estratégia empresarial, gerência do negócio, gerência de serviços e gestão da
qualidade. Identificam e medem os resultados dos processos, avaliando seu desempenho e
alinhamento com os objetivos dos negócios da empresa.
Se implementado da maneira correta, os benefícios do CobiT podem ser inúmeros,
entre eles:

 Diminuição no volume de relatórios para a tomada de decisão

 Aumento no foco das ações gerenciais

 Melhoria na comunicação de tarefas e metas

 Facilidade no entendimento dos dados e informações

 Redução na quantidade de trabalho

 Ganho na produtividade gerencial

11
Diretor de TI (CIO) das empresas do grupo americano AES no Brasil. A AES atua nos mercados de geração e distribuição
de energia e na área de telecomunicações.
28
 4.4 Desvantagens do CobiT

Apesar do CobiT ser aplicável a todos os setores da empresa, apresenta falhas quando
passamos a observar além dos processos. Analisando de uma maneira geral, é possível afirmar
que este deixa a desejar na parte operacional da empresa (a qual o ITIL cobre perfeitamente),
pois seu foco está ligado às áreas de nível estratégico e tático da mesma.

29
 5 CONCLUSÃO

Levando todos os aspectos aqui levantados quanto a governança de TI, mais

especificamente sobre o ITIL e CobiT, é possível notar que estas metodologias inovaram a
área de TI, contribuindo desta forma, não somente com as empresas, mas também com os
profissionais desta área. Por um lado, a governança promove um novo foco das atividades do
setor para que este se alinhe estrategicamente com os objetivos da empresa, promovendo
melhor desempenho, redução de custos e melhoria dos serviços. Por outro lado, melhora a
vida do profissional de TI, já que este passa de uma vida de estresse e tensão, para um
ambiente de trabalho controlado e estabilizado.
O ITIL está consolidado na TI no que se refere a serviços e suporte, e o CobiT,
consolidado no que se refere a processos, onde o foco será sempre o aspecto gerencial e
operacional. Esses modelos são complementares, possuem pontos distintos que completam
um ao outro. O uso adequado destas metodologias em conjunto, favorece a administração da
empresa a ponto de diminuir o volume de relatórios, aumentar o foco das decisões gerenciais,
reduzir custos e trabalho, melhorar a comunicação, entre outros.

“São complementares, principalmente por causa dos seus objetivos e foco,

uma vez que o ITIL, pelo que foi apresentado, seria o "como fazer" enquanto
o CobiT seria o "o que fazer" para a TI no que se refere a serviços e
processos.”
(MatheusCanto, CobiT x ITIL: um estudo comparativo)

Além de ter abordado duas das principais metodologias da governança de TI, este
trabalho também deu uma breve descrição do relatório formal de auditoria para empresas
prestadoras de serviço, o SAS 70.

30
 REFERÊNCIAS BIBLIOGRÁFICAS

ANDRADE, Vera. Descomplicando o ITIL. Disponível em:

http://www.descomplicandooitil.com.br/DESCOMPLICANDO%20O%20ITIL.pdf.
Acesso realizado em: 23/11/09

CANTO, Matheus. CobiT X ITIL: estudo comparativo. Disponível em:

http://monografias.cic.unb.br/dspace/bitstream/123456789/181/1/monorevisada.pdf.
Acesso realizado em: 03/11/09

CAVALCANTE. Gerenciamento da Continuidade de Serviços de TI. Disponível em:

http://cavalcante.us/Concursos/Analista_de_Sistemas/ITIL/acadger-Modulo2-
continuidade.pdf. Acesso realizado em: 16/11/09

COBIT Management Guidelines – July 2000. Disponível em:

http://www.madah.com.br/Cobit_Modelo_Maturidade.doc. Acesso realizado em:
16/11/09

ELEPHANT, Pink. O QUE É ITIL?. Disponível em:

http://www.academiadegovernanca.com.br/site/itil/o_que_e_itil.asp. Acesso realizado
em: 16/11/09

31
FARINHA, Carla. Adoção de ITIL em grandes empresas. Disponível em:
http://student.dei.uc.pt/~cfarinha/scripts/CSI/GEs.pdf. Acesso realizado em:16/11/09

FERRÃO, Francisco. A Gestão dos Níveis de Serviço (SLM). Disponível em:

http://www.sqs.pt/ARTIGO-3-ITIL.pdf. Acesso realizado em: 03/11/09

HILZENDEGER, Julio. Governança de TI – O Modelo COBIT. Disponível em:

http://www.baguete.com.br/colunasDetalhes.php?id=3211 em 16/11/09

SILVA, Marcelo. Entendendo o conceito do “Valor de TI”. Disponível em:

http://marceloegito.wordpress.com/. Acesso realizado em: 11/11/09

VERNAY, Diogo. Gerenciamento de Incidentes - ITIL. Disponível em:

http://diogovernay.blogspot.com/2008/12/gerenciamento-de-incidentes-itil.html.
Acesso realizado em: 25/11/09

32