Análise De Ferramentas Para Auxiliar A Adoção Da Governança De Tic Na Instituição X

Análise de Ferramentas para Auxiliar a Adoção da Governança de TIC na Instituição X Abstract. The Information and Communication Technology Governance is an approach that changes how information is perceived and managed by organizations. This paper brings a study of models and methodologies that provide support for governance, applying them to the case study of the Institution X and proposing a set of software tools that offer its deployment. Resumo. A Governança em Tecnologia da Informação e Comunicação é uma abordagem que muda a forma como a informação é vista e gerida pelas organizações. Este artigo traz um estudo de modelos e metodologias que dêem suporte à governança, aplicando-os ao estudo de caso da Instituição X e propondo um conjunto de ferramentas de software que propicie sua implantação.

1. Introdução O mercado de tecnologia da informação e comunicação vem aquecendo nas últimas décadas, e junto com esse aquecimento, surge a crescente necessidade de gerenciar essa nova infra-estrutura de ambientes, tecnologias, pessoas e, principalmente, de informação. Dentre as mudanças observadas nos últimos anos, temos o surgimento da chamada Governança em TIC – Tecnologia da Informação e Comunicação. Essa governança traz sérias mudanças em como a informação, tecnologia e comunicação são vistas e gerenciadas pelas empresas, fazendo com que metodologias e modelos específicos sejam criados para este fim. O objetivo desse trabalho é conceituar de forma breve essas metodologias e modelos, avaliando o estado-da-arte das ferramentas disponíveis para dar suporte aos mesmos. Adicionalmente, diante de um estudo de caso local realizado na Instituição X (algumas informações sobre a Instituição X serão omitidas para preservar a revisão cega), propõe-se a utilização de ferramentas para tentar suprir carências identificadas no estudo de caso. A instituição X também será analisada quanto ao tipo de governo, à maturidade da organização e ao modelo operacional adotado. Todos estes conceitos serão melhores descritos na seção 2, a seguir. 1.1 Trabalhos Relacionados [Costa, Costa e Chagas 2008] teoriza sobre a governança, propondo um conjunto de modelos para auxiliar a padronização de processos e o alinhamento das TIC aos objetivos de uma instituição de ensino superior, focando principalmente a análise do modelo CobiT. Já em [Vasques 2007], o autor propõe a integração dos modelos CMM, ISO 9001:2000, ITIL e CobiT em um framework único, para criar uma boa infra-estrutura de governança em TIC. Nosso trabalho se difere dos trabalhos supracitados, pois além de analisar um conjunto de modelos aplicados à governança em TIC, propõe um conjunto de ferramentas de software que possa conduzir a plena implantação da governança de TIC na Instituição X.

2. Conceitos e Tecnologias utilizadas na Governança de TIC Serão abordados nesta seção conceitos da governança em TIC, metodologias, modelos e ferramentas específicas. Nas seções seguintes, estes conceitos serão aplicados na análise do estudo de caso da Instituição X. 2.1 Governança em Tecnologia da Informação e Comunicação Cada vez mais as organizações se dão conta de que a informação é o recurso estratégico mais importante a ser gerenciado em um negócio. E diante da necessidade de alinhar e integrar os objetivos deste negócio com as TIC surge a necessidade de controlar processos, serviços, custos e pessoas através de um conjunto de modelos e metodologias que apresentem as melhores práticas. A Figura 1 mostra a hierarquia da governança

como fator organizacional e os principais modelos e metodologias definidos como fatores operacionais.

Figura 1. Hierarquia da Governança em TIC A governança em tecnologia da informação e comunicação define que a tecnologia da informação é um fator essencial para a gestão financeira e estratégica de uma organização e não apenas um suporte aos mesmos [Balbo 2007]. Com o aumento da competitividade do mercado, as empresas estão se preocupando cada vez mais com a elaboração de planos estratégicos para as organizações. Estes planos procuram fazer a análise do estado atual de uma organização, com a finalidade de identificar problemas e de propor soluções de forma a obter um cenário mais adequado para a empresa. O PETIC (Planejamento Estratégico de Tecnologia da Informação e Comunicação) é uma solução desenvolvida na Instituição X para este fim. Ele compila as necessidades atuais e futuras da arquitetura de informação e comunicação da organização em um único documento. O PETIC também propõe como gerir as tecnologias (infra-estrutura, hardware e software), dados, aplicações e pessoas da organização. Com a existência desse quadro de necessidades em relação à gestão estratégica das TIC, modelos e metodologias foram concebidos com o objetivo de reunir um conjunto de regras, práticas e sugestões capazes de subsidiar a governança e alavancar o PETIC como forma de obter eficácia, eficiência e vantagem competitiva. Nas seguintes sub-seções são apresentados alguns destes modelos e metodologias. 2.1.1 CobiT O CobiT é um conjunto de boas práticas para a governança de tecnologia da informação criados pelos órgãos ISACA (Information Systems Audit and Control Association) e ITGI (IT Governance Institute), que foca mais no controle dos processos de negócio e menos na execução destes propriamente dita. O CobiT é constituído por 4 seções: um sumário executivo, um framework (modelo de processos), o conteúdo principal (formado por objetivos de controle, metodologia para governança e modelo de maturidade) e apêndices (mapeamentos e referências cruzadas, informações adicionais para o modelo de maturidade, material de referência, modelo de projeto e glossário). A utilização conjunta desses modelos, paralelamente à metodologia incorporada no CobiT, permite a uma organização exercer uma efetiva Governança de TI,

especialmente aquelas que necessitam adequar-se às normas regulatórias, como a Sarbanes-Oxley [U.S. Congress 2002]. A governança é sustentada nas melhores práticas da indústria, e ocorre de forma orientada a processos, cujos graus de maturidade possibilitam o alcance dos objetivos de TIC como função habilitadora dos negócios [Balbo 2007]. 2.1.2 CMM O CMM (Capability Maturity Model) é um modelo de maturidade para engenharia de software publicado inicialmente em [Humphrey 1989] sob custódia atualmente do SEI (Software Engeneering Institute – Carnegie Mellon). O CMM é definido como um grupamento de boas práticas para diagnosticar e avaliar a maturidade do desenvolvimento de software em uma organização. O CMM analisa os diversos elementos do processo de desenvolvimento de software e descreve estas atividades em níveis de maturidade: inicial, repetitivo, definido, gerenciado e em otimização. Com base na orientação do modelo CMM, uma organização pode melhorar os seus processos de software e atingir um nível de maturidade superior. 2.1.3 ITIL O ITIL é uma biblioteca de boas práticas para gerenciamento de serviços de TIC, desenvolvida pela CCTA (Central Computer and Telecommunications Agency) e sob custódia, atualmente, pela OGC (Office for Government Commerce) da Inglaterra. Ele provê um framework para a governança em TIC, o “service wrap” e foca na medição e melhoria contínua da qualidade do serviço entregue, pelas perspectivas do negócio e do cliente. [OGC 2007] Os cinco livros do ITILv3, versão atual do documento, cobrem cada estágio do ciclo de vida do serviço, desde a definição inicial e análise dos requisitos do negócio em “Estratégia do Serviço” e “Projeto do Serviço”, passando pela migração em um ambiente real com a “Transição do Serviço”, até a operação real e melhorias em “Operação do Serviço” e “Melhoria contínua do Serviço”. 2.1.4 ISO/IEC 27001 O ISO/IEC 27001 é um padrão para gerenciamento de segurança da informação publicado em 2005 pela International Organization for Standardization (ISO) e a International Electrotechnical Commission (IEC). O seu objetivo é prover um modelo para estabilizar, implementar, operar, monitorar, revisar, manter e melhorar um sistema de Gerenciamento de Segurança da Informação. [ISO 27000 Directory 2007] 2.1.5 PMBOK O PMBOK (Project Management Body of Knowledge) é um guia de gerenciamento de projetos reconhecido como padrão internacional publicado pelo Project Management Institute (PMI) em 1987. [PMI 2008] Este guia divide o processo de gerenciamento de projetos em cinco grupos: iniciando, planejando, executando, controlando e monitorando, e finalizando. Esses cinco grupos são definidos de forma a manter um guia genérico para gerenciar a maioria dos tipos de projetos na maioria dos casos.

2.1.6 Balanced Scorecard O Balanced Scorecard (BSC) é uma metodologia de gerenciamento e medição de desempenho desenvolvida pelos professores da Harvard Business School, Robert Kaplan e David Norton em 1992. Em [Kaplan e Norton 1996], os autores do BSC afirmam que a metodologia traduz a missão e estratégia de uma organização em um conjunto compreensível de medidas de desempenho que provê um guia para medição estratégica e sistematização do gerenciamento. O BSC mede o desempenho organizacional através de quatro perspectivas balanceadas: financeiro, cliente, processos internos do negócio, e aprendizado e crescimento. Adicionalmente, [Grembergen e Haes 2005] afirma que os resultados são alcançados com essas perspectivas adicionais devem garantir os resultados financeiros futuros e conduzir a organização em direção a seus objetivos estratégicos, enquanto mantém as quatro perspectivas em balanceamento. O BSC tem como principal objetivo o alinhamento do planejamento estratégico com as ações operacionais da empresa. Ele é formado por componentes: mapa estratégico, que descreve a estratégia da empresa através de objetivos distribuídos nas quatro perspectivas; objetivo estratégico, que elege o que deve ser alcançado e o que é crítico para o sucesso da empresa; indicador, que define como será medido e acompanhado este sucesso; meta, que define o nível de desempenho ou a taxa de melhorias necessárias; e plano de ação, que são programas de ação-chave necessários para alcançar os objetivos. 2.2 Tipos de Governos Também conhecidos como arquétipos, os tipos de governo são utilizados para descrever como as companhias tomam decisões acerca da TIC [Ross, Weill e Robertson 2006]: • Monarquia de Negócios: formada por um alto executivo de negócios ou um grupo de altos executivos, incluindo às vezes o CIO (Chief Information Officer). • Monarquia de TIC: composta de indivíduos ou grupos de executivos de TIC. • Federal: inclui altos diretores e representantes de todos os grupos de operações – podem contar com a participação da TIC (o equivalente a um governo central e os estados que trabalham juntos). • Duopólio de TIC: formado por duas partes relacionadas na tomada de decisões, com a participação dos executivos de TIC e um grupo de líderes de negócio. • Feudal: forma de governo onde a unidade de negócio ou os líderes de processo tomam decisões separadas baseadas nas necessidades de suas entidades. • Anarquia: cada indivíduo ou grupo pequeno toma as decisões. 2.3 Maturidade das Organizações Algumas companhias constroem sua arquitetura empresarial através da troca gradual de seus investimentos em TIC e o reprojeto dos processos de negócio. Em particular, estas companhias identificam quais são as sinergias mais relevantes que oferecem um valor maior que uma autonomia local. Desta forma, se tem que as

organizações se desenvolvem em quatro etapas de maturidade, nas quais se permite construir e buscar uma base para a execução [Ross, Weill e Robertson 2006]. Estas etapas são: • Silos de Negócio: as companhias enfocam seus investimentos em TIC sobre a entrega de soluções para problemas e oportunidades locais. • Tecnologia Padronizada: as companhias trocam ou modificam algo de seus investimentos em TIC, desde uma perspectiva de aplicações locais a uma infraestrutura compartilhada. • Base Otimizada: as companhias se movem desde uma perspectiva local de informação e aplicações a uma perspectiva empresarial. • Negócio Modular: permite a agilidade estratégica através de módulos personalizados e reusáveis. Esses módulos se estendem da essência de negócio na construção da infraestrutura na etapa de Base Otimizada. 2.4 Modelos Operacionais Para dar melhor suporte a estratégia da companhia, [Ross, Weill e Robertson 2006] recomenda que a companhia defina um modelo operacional. Um modelo operacional é o nível necessário de integração e padronização de processos de negócio, para entrega de bens e serviços a clientes. Um modelo operacional descreve como a companhia deseja crescer e prosperar. Provendo uma visão mais estável e ativa da companhia do que da estratégia, o modelo operacional conduz o projeto da base para a execução. Este modelo operacional será a base para o desenvolvimento de um planejamento estratégico para a organização (PETIC). Existem quatro tipos de modelos operacionais, que representam diferentes combinações dos níveis de integração e padronização de processos de negócio. Cada organização deve posicionar-se em um desses tipos para esclarecer como ele se propõe a entregar bens e serviços a clientes. A seguir são descritos os quatro tipos e suas respectivas características. i. Diversificação (baixa padronização, baixa integração): modelo descentralizado no qual as unidades de negócio perseguem diferentes mercados com diferentes produtos e serviços, através de uma autonomia local. ii. Coordenação (baixa padronização, alta integração): cria uma única empresa na visão do cliente através de múltiplos canais, sem a utilização de normas (padronização) de processos através das unidades de negócio. iii. Replicação (alta padronização, baixa integração): este modelo foca na padronização dos modelos de negócio, buscando eficiência global, sem requerer alta integração. iv. Unificação (alta padronização, alta integração): as organizações estão em busca de produtividade, previsibilidade, e baixar custos ao padronizar os processos de negócio e integrar dados entre as unidades de negócio.

3. Estudo de Caso: Governança de TIC na Instituição X Na instituição X não há uma participação efetiva dos gestores de TIC (neste caso representado pela direção do CPD – Centro de Processamento de Dados) na tomada de decisões acerca da estratégia de TIC. Por exemplo, os gestores de TIC não intervêm na aquisição de bens e mão-de-obra terceirizada (outsourcing). Pode-se conceituar esse arquétipo de governo como feudal, pois as decisões são tomadas por uma coordenadoria de planejamento. São poucas as oportunidades em que a direção do CPD participa em conjunto com a coordenadoria de planejamento para a tomada de decisão em TIC, caracterizando uma tímida participação do arquétipo duopólio de TI. Os investimentos em TIC na Instituição X vêm crescendo gradualmente nos últimos anos com incentivo crescente do Governo Federal nas universidades públicas e particulares. Porém esses investimentos continuam sendo enfocados na resolução de problemas e situações locais, não havendo uma perspectiva de se investir em uma infraestrutura estratégica para a organização como um todo, enquadrando a maturidade da Instituição X como pertencente a uma etapa de Silos de negócio. Ainda referenciando a governança de TIC na Instituição X, não há definido nenhum modelo operacional para padronização de processos e integração, mostrando que há uma independência descoordenada da TIC nos diversos setores organizacionais (departamentos). No aspecto do planejamento estratégico, a Instituição X, através da coordenadoria de planejamento, realiza anualmente um plano diretor organizacional que não distingue o investimento em bens e materiais de TIC (infra-estrutura de software, hardware e comunicação) de outros bens e materiais a serem adquiridos pela instituição. Adicionalmente não há planejamento de recursos humanos para contratação de pessoal ou mão-de-obra terceirizada. Os processos de TIC da Instituição X não passam por nenhum tipo de planejamento para avaliar a concordância com os objetivos da instituição. Não há também um processo de identificação, desenvolvimento e aquisição de soluções de TIC. A entrega efetiva de serviços é realizada sem grandes preocupações com gerenciamento de segurança e continuidade, suporte a usuários, gerenciamento de dados e instalações operacionais. E por fim, não monitoramento e avaliação desses processos para verificar sua complacência com requisitos de controle e medição de desempenho. Em relação aos serviços de TIC, os serviços não são projetados de forma que as suas arquiteturas, processos, políticas e documentação possam responder às futuras exigências da instituição, pois não há visão estratégica em relação aos serviços, e eles são projetados apenas para responder necessidades imediatas. Não há política bem definida para entrega de serviços como gerenciamento de mudanças, gerenciamento de configuração, gerenciamento de implantação, validação e avaliação. No plano da execução dos serviços não há na Instituição X um processo de recuperação a incidentes e falhas nos serviços de TIC, assim como também não há um SLA (Service Level Agreement acordo de nível de serviço) definido com empresas fornecedoras de serviço. Não há também nenhuma avaliação preocupada com a melhoria desses serviços. A performance organizacional da Instituição X não é gerenciada no aspecto da missão e estratégia da TIC. Apenas há uma auditoria interna na coordenação de

planejamento para avaliar o resultado dos investimentos da instituição como um todo, e otimizar o orçamento de um futuro plano diretor, sem nenhuma ênfase especial para os investimentos em TIC.

4. Propondo o uso de ferramentas computacionais para melhoria da Governança de TIC na Instituição X Existem muitos modelos e metodologias novas concebidas para auxiliar a governança de TIC no papel de servir de pilar para o gerenciamento financeiro e estratégico de uma empresa, porém, ainda há um número relativamente pequeno de ferramentas computacionais que suportem esses modelos e metodologias. O principal objetivo desta seção é mostrar o estado-da-arte no que se refere às ferramentas computacionais e softwares capazes de lidar com os modelos e metodologias vistos e aplicá-los à necessidades encontradas na análise do estudo de caso. As ferramentas aqui citadas foram selecionadas levando-se em conta os critérios de concordância com a metodologia proposta, complexidade e custo. Foram selecionadas quatro ferramentas, capazes de trabalhar com cada uma das metodologias e modelos escolhidos. O MyStrategicPlan [MyStrategicPlan 2005] foi o escolhido para trabalhar com o PETIC, o GRC Suite [SoftExpert 2008] para CobiT, o IT-Manager [Relativa 2008] para ITIL e por fim o Corporater Express [Corporater 2009] para BSC. Os outros aspectos verticais da Governança de TIC, como CMM, ISO 27001 e PMBOK, estão sendo analisados e novas ferramentas serão sugeridas num trabalho futuro iminente. 4.1 MyStrategicPlan O MyStrategicPlan é um software online sob-demanda mantido pela empresa M3 Planning, fundamentado na criação on-the-shelf de um documento de planejamento estratégico. O software funciona com o intuito de gerar planejamentos estratégicos a partir de um conjunto de perguntas como: Qual é a missão e a visão da organização? Quais são os valores, estratégias e vantagens competitivas? Quais são os portos fortes e fracos da organização? Esse conjunto de perguntas e respostas é então analisado pelo software trabalhado em cima de perspectivas diferentes (negócios, processos internos, pessoas, etc.) e então executado de forma a gerar um documento estratégico, que pode ser um planejamento estratégico genérico, análogo a um PETIC “genérico”. Esse software apesar de aparentar ter uma execução simples, é capaz de guiar gestores de TIC a darem os primeiros passos em direção à construção de um PETIC. Um problema comum que muitos desses gestores enfrentam é não saber como começar a montar seu planejamento estratégico, e, com o MyStrategicPlan, e um conjunto de exemplos que a ferramenta dispõe, é possível ter esses primeiros passos e até conseguir gerar um documento de planejamento estratégico completo. Como existe a necessidade da Instituição X desvincular o planejamento estratégico de TIC do plano diretor anual da instituição, o MyStrategicPlan pode ser uma ferramenta útil para transpor essa maturidade estratégica da TIC para um documento sólido e bem fundamentado. Assim, será possível traçar efetivamente os objetivos das TIC e construir um modelo de auxílio estratégico não só às TIC, mas à instituição como um todo.

4.2 Software Expert GRC Suite O Software Expert GRC Suite é uma suíte de aplicativos divididos em módulos, desenvolvido pela empresa brasileira Software Expert. O pacote permite que se automatize a operação da empresa baseando-se nos quatro domínios do CobiT. Sobre a arquitetura da informação do software, o GRC Suíte é um software proprietário, pago, que funciona em ambiente Windows e possui uma interface gerencial Web que pode ser acessada inclusive de fora da instituição. O GRC possui um módulo de documentos eletrônicos que é capaz de suprir necessidades atuais da Instituição X com relação a gerenciamento de documentos através de uma solução de workflow colaborativo onde, além de gerar um alto nível de padronização e organização dos documentos da instituição, possibilita que seja feita uma publicação, armazenamento, indexação e recuperação de documentos de forma eficaz e garantindo alta produtividade em um processo que é realizado de forma manual atualmente. Outra característica interessante para a gestão de TIC, é um módulo de gerenciamento de projetos, que por implementar uma idéia semelhante ao ciclo PDCA (Plan-Do-Check-Act), é capaz de suprir necessidades atuais de gerência de projetos, especialmente de softwares desenvolvidos pelo CPD. Existem também outros módulos que pertencem à suíte que podem ser utilizados pela instituição como o módulo de controle de equipamentos, o de gestão de treinamentos e um de gestão de ativos que pode substituir um defasado sistema de patrimônio desenvolvido pelo departamento de almoxarifado da Instituição X e atualmente fora do controle do CPD. Apesar de ser um ambiente gerencial e completo baseado no CobiT, o GRC Suite tem a desvantagem de não interagir com outras ferramentas e softwares legados da empresa, necessitando que os dados e informações gerenciais sejam migrados para a nova suíte 4.3 Relativa IT-Manager O Relativa IT Manager é uma solução para gestão de ambientes e serviços de TI, desenvolvida pela empresa brasileira Relativa. É fundamentada nas melhores práticas de service desk (ITIL), que permite ao gestor de TIC gerenciar atendimentos, fluxos, custos e grau de satisfação dos usuários. O sistema é composto por um único módulo principal que implementa integralmente o suporte a serviços, a entrega de serviços, os acordos de níveis de serviço, os acordos de níveis operacionais e demais disciplinas do ITILv2. O IT Manager é capaz de suprir necessidades atuais da coordenação de suporte do CPD da Instituição X, como a gestão de incidentes e problemas. Atualmente toda vez que ocorre um incidente de software ou hardware em que o suporte é acionado, um técnico é alocado para resolver o problema. Porém como não há documentação de que aquele problema ocorreu, quem o resolveu ou qual a solução tomada, quando ocorrer um problema semelhante, não há melhoria no processo de resolução do problema. Outro problema do CPD que pode ser auxiliado pelo IT Manager é a gestão de liberações de serviços, onde cada desenvolvedor libera seu software sem um

centralizado controle de versão e se houver algum problema nesta nova versão, irá unicamente depender de backups feitos individualmente pelo desenvolvedor para que uma versão nova seja substituída por uma anterior. Apesar de ser um sistema de service desk completo, o Relativa IT Manager tem a desvantagem de trabalhar em cima da biblioteca ITILv2 que já foi substituída, porém mesmo assim atende a boa parte das necessidades da organização. 4.4 Corporater Express O Corporater Express é uma solução de gerenciamento de desempenho sob demanda, baseado no Balanced Scorecard. Ele é desenvolvido pela empresa Corporater e funciona como um software Web baseado no regime SaaS (Software as a Service). O software oferece scorecards e medidas em cascata ajudando a destrinchar, identificar e resolver problemas na área de desempenho. Além disso, é possível trabalhar com templates de relatórios, gráficos customizados, possibilitando uma visão em alto nível da organização, enquanto provê visões altamente detalhadas em um nível mais baixo. O Corporater Express é uma ferramenta estratégica com uma utilidade bastante concebível para os gestores não só de TIC como da Instituição X como um todo. Sua análise balanceada é capaz de gerar indicadores de performance a partir de métricas simples. Por exemplo, é possível alimentar o sistema com o número de cursos criados por ano, e junto com os valores de orçamento, analisar custos relativos a investimentos per alunos e compará-los com uma estimativa semestral de aproveitamento acadêmico. De forma mais simples, é possível analisar o crescimento de aquisições de livros da biblioteca em relação ao crescimento do número de alunos. O Corporater Express permite seja assinada uma licença do software e não comprada como é o normal. Porém essa abordagem leva muitos gestores a não confiar plenamente em dispor suas informações estratégicas e gerenciais em servidores de terceiros. Outro problema comumente encontrado é a dificuldade de incorporação dos dados atuais da empresa no novo sistema.

5. Conclusões e Trabalhos Futuros Como contribuições deste trabalho, podemos citar: i) compilação de conceitos de governança em TIC, e proposta original de um esquema hierárquico de governança divido em organização, estratégia e operação; ii) avaliação do estado-da-arte de ferramentas de software capazes de dar suporte aos modelos e metodologias vistos; iii) análise da Instituição X sob uma ótica de governança em TIC (arquétipo, maturidade da organização e modelo operacional); iv) sugestão do uso das ferramentas para apoiar a governança em TIC no estudo de caso, sem a necessidade de reestruturação da infraestrutura de software da organização. Com este trabalho, pôde-se ainda observar que ainda há uma falta de visão por parte da administração da instituição da importância das TIC como fator estratégico definitivo, e que, portanto, ainda há um longo caminho a ser percorrido. Fica como trabalho futuro iminente, o estudo de ferramentas para a aplicação dos modelos CMM, ISO27001 e PMBOK.

Referências Costa, F. G. da S., Costa F. C. e Chagas, T. P. A. (2008). Governança de TI em Empresa Pública: Um Estudo de Caso. Universidade de Taubaté. Vasques, R. C. e Teixeira L. M. (2007). An IT Governance solution experiences using CMMI, ISO9001:2000, ITIL, and CobiT in an integrated framework. Universidade do Minho, Portugal. Simonsson, M. e Johnson, P. (2005). Defining IT Governance - A Consolidation of Literature. Royal Institute of Technology, Sweden. Ross, J. W. e Weill, P.; Robertson, D. C. (2006). Enterprise Architecture as Strategy – Creating a Foundation for Business Execution. Harvard Business School Press. U.S. Congress. (2002). Sarbanes-Oxley Act of 2002. 107th, 2nd session. Disponível em . ISACAa. (2007). COBIT 4.1 Executive Summary Framework. ITGI. Disponível em:. ISACAb. (2007). COBIT 4.1 Research. ITGI. Disponível em: . Balbo, L. de O. (2007). Uma Abordagem Correlacional dos Modelos CobiT / ITIL e da Norma ISO 17799 para o tema Segurança da Informação. Escola Politécnica da USP. Humphrey, W. Massachusetts.

(1989).

Managing

the

Software

Process.

Addison-Wesley,

OGC. (2007). An Introductory Overview of ITIL V3. itSMF. Disponível em: . The ISO 27000 Directory (2007). An Introduction To ISO 27001 (ISO27001). Disponível em: PMI. (2008). A Guide to the Project Management Body of Knowledge (PMBOK® Guide). Disponível em: Kaplan, R.S. e Norton, D. P. (1996). The Balanced Scorecard: Translating Strategy into Action, Harvard Business School Press, Boston. Grembergen, W. V. e Haes, S. D. (2005). Measuring and Improving IT Governance Through the Balanced Scorecard. ISACA. MyStrategicPlan (2005). Disponível em SoftExpert (2008). GRC Suite. Disponível em Relativa (2008). IT-Manager. Disponível em Corporater (2009). Corporater

Express.

Disponível

em