CMDB: O Que É, Para Que Serve e Por Que Ele Mente Sem Inventário Físico

O CMDB (Configuration Management Database, ou banco de dados de gerenciamento de configuração) é o repositório que registra os itens de configuração (CIs) do ambiente de TI e os relacionamentos entre eles. É uma das peças centrais do ITIL — e uma das mais incompreendidas. Quase toda empresa de médio ou grande porte tem um CMDB; pouquíssimas confiam nele. O motivo é sempre o mesmo: a base foi carregada um dia, alimentada por ferramenta de discovery, e nunca mais foi confrontada com o mundo físico. O resultado é um banco de dados bem estruturado que descreve um parque que não existe mais.

Este guia explica o que é o CMDB e para que ele serve na prática, a diferença entre CMDB, inventário de ativos (ITAM) e discovery, por que os CMDBs degradam, e como a conciliação física — floor-to-system e system-to-floor — saneia a base e a mantém viva. A perspectiva é a de quem faz a ponta física dessa equação há três décadas: a CPCON executa inventário de ativos de TI em campo e devolve o CMDB reconciliado com a realidade.

Um CMDB não vale pelo que registra, e sim pelo que reflete. Se a base diz que o servidor está no rack 12 e ele foi desativado há dois anos, cada decisão tomada sobre esse registro — análise de impacto, plano de mudança, resposta a incidente — herda o erro. CMDB sem reconciliação física não é fonte de verdade: é ficção bem formatada.

O Que É CMDB (e o Que É um CI)

CMDB é o banco de dados que consolida os itens de configuração de um ambiente de TI. Item de configuração (CI, de Configuration Item) é qualquer componente que precisa ser gerenciado para entregar um serviço: um servidor físico ou virtual, uma aplicação, um banco de dados, um switch, um firewall, uma estação de trabalho, um certificado digital — e até documentos, contratos e licenças, dependendo do escopo adotado. Cada CI carrega atributos (tipo, nome, número de série, dono, ambiente, status, localização) e, principalmente, relacionamentos com outros CIs: a aplicação X roda no servidor Y, que se conecta ao storage Z e depende do banco W.

No ITIL 4 (framework de gerenciamento de serviços de TI mantido pela PeopleCert/Axelos), o CMDB sustenta a prática de Service Configuration Management — manter informação confiável e atualizada sobre a configuração dos serviços — e trabalha lado a lado com a prática de IT Asset Management, que cuida do ciclo de vida e do valor dos ativos. São práticas irmãs, com perguntas diferentes: o ITAM pergunta "o que temos e quanto custa"; a gestão de configuração pergunta "como as peças se conectam para entregar o serviço".

É essa segunda pergunta que faz o CMDB existir. Uma lista de equipamentos qualquer planilha resolve; o que só o CMDB entrega é o mapa de dependências. É ele que permite responder, antes de uma mudança: se eu desligar este servidor, quais serviços param? E durante um incidente: este serviço caiu — de quais componentes ele depende e qual deles mudou por último?

Para Que Serve o CMDB na Prática

Quando a base é confiável, o CMDB vira a espinha dorsal das operações de TI. Os usos mais valiosos são:

Gestão de mudanças: análise de impacto antes de aprovar — quais serviços e usuários serão afetados se este CI for alterado ou desligado.
Gestão de incidentes e problemas: diagnóstico mais rápido, partindo do mapa de dependências do serviço afetado em vez de investigação às cegas.
Segurança e vulnerabilidades: saber em quais máquinas uma versão vulnerável está instalada — e onde essas máquinas estão fisicamente.
Auditoria e conformidade: evidenciar que a organização conhece e controla seus ativos, exigência de normas como ISO 27001 (controle A.5.9) e de auditorias SOC 2 — sempre na esfera de certificação da sua empresa, testada pelo auditor independente.
Planejamento de capacidade e custos: enxergar o parque por ambiente, criticidade e idade para decidir refresh, consolidação e contratos.

Repare que todos esses usos pressupõem a mesma coisa: que o registro corresponda à realidade. A análise de impacto sobre um CI fantasma é inútil; o plano de patch que ignora as máquinas fora da base é furado. Por isso a discussão séria sobre CMDB não é sobre ferramenta — é sobre acuracidade. Análises divulgadas pela Gartner ao longo dos anos apontam que só uma minoria das organizações — na casa de um quarto delas — extrai valor significativo do CMDB; a causa recorrente é a falta de processo para manter os dados corretos, não a falta de software.

CMDB vs Inventário de Ativos vs Discovery

Os três termos são usados como sinônimos com frequência, e essa confusão custa caro em projeto. São três coisas diferentes, com papéis complementares:

Aspecto	CMDB	Inventário de ativos (ITAM)	Discovery
O que é	Banco de CIs e relacionamentos entre eles	Registro patrimonial: o que existe, onde, com quem, quanto vale	Ferramenta que varre a rede e detecta o que está conectado
Pergunta que responde	Como as peças se conectam para entregar o serviço?	O que possuímos e qual o seu ciclo de vida?	O que está ligado e respondendo na rede agora?
Unidade	CI (inclui itens lógicos: aplicações, bancos, serviços)	Ativo (físico ou licença, com valor e dono)	Dispositivo/instância detectada
Inclui o desligado e o estocado?	Só se alguém registrar e mantiver	Sim — é justamente o foco	Não — só enxerga o que está na rede
Fonte primária	Consolida várias fontes (discovery, ITAM, cadastro)	Inventário físico + compras + contabilidade	Varredura automática (agente ou rede)
Risco típico	Degradar em silêncio sem reconciliação	Virar planilha desatualizada sem rotina	Passar a falsa sensação de cobertura total

Na arquitetura saudável, o discovery é uma fonte de alimentação contínua, o inventário de ativos é o lastro patrimonial e físico, e o CMDB é a camada de relacionamento que dá contexto de serviço. O erro clássico é achar que o discovery alimenta o CMDB e o assunto está resolvido — ignorando tudo o que a rede não enxerga. O notebook na gaveta, o servidor desativado no rack, o monitor sem IP e o equipamento do shadow IT não aparecem em varredura nenhuma. Quem encontra esses itens é o inventário físico, sala a sala.

Seu CMDB diria a verdade em uma auditoria?

A CPCON executa a descoberta física do seu parque de TI, etiqueta cada equipamento e devolve o CMDB conciliado com a realidade — evidência de campo pronta para a auditoria da sua certificação.

Conhecer o Inventário de Ativos de TI

30 anos e 4.500+ projetos de inventário e auditoria de ativos — Brasil e exterior.

Por Que o CMDB Mente: Como a Base Degrada

Nenhum CMDB nasce errado. Ele erra aos poucos, porque o mundo físico muda sem pedir licença ao banco de dados. Os mecanismos de degradação são conhecidos e se repetem em praticamente toda empresa:

Movimentações invisíveis: equipamentos transferidos entre andares, filiais e usuários sem atualização do registro — o ativo existe, mas o atributo de localização e responsável está errado.
Baixas não registradas: máquinas sucateadas, doadas, furtadas ou canibalizadas que continuam "ativas" na base — os CIs fantasmas.
Refresh em massa: cada ciclo de troca de notebooks ou servidores cria centenas de registros novos e deveria encerrar centenas de antigos; na prática, o encerramento fica para depois e nunca acontece.
Home office: ativos dispersos por endereços residenciais, sem termo de responsabilidade e sem devolução controlada.
Shadow IT e BYOD: estimativas de mercado (Gartner) apontam que 30% a 40% do gasto de TI em grandes empresas ocorre fora do controle formal do departamento — ativos que nunca entraram na base.
Integrações quebradas: o conector do discovery falha ou muda de escopo, e uma fatia do parque para de ser atualizada sem ninguém notar.
Duplicidade entre fontes: o mesmo equipamento entra pelo discovery, pelo MDM e pela planilha de compras como três CIs diferentes.

O efeito acumulado é mensurável. Nos primeiros inventários físicos estruturados que executamos em parques sem rotina de reconciliação, 5% a 15% dos itens registrados não são encontrados em campo — são os ativos fantasmas —, e a divergência total (somando itens não localizados, não cadastrados e com atributos errados de local ou responsável) costuma atingir uma fração bem maior da base. Cada ponto percentual é um registro em que a TI confia e que está errado.

A degradação do CMDB é silenciosa porque nenhum alarme dispara quando um registro deixa de ser verdade. O equipamento foi embora; o CI ficou. A base continua íntegra do ponto de vista de banco de dados — e cada vez mais falsa do ponto de vista do mundo.

Conciliação Física: Floor-to-System e System-to-Floor

O saneamento de um CMDB não começa na ferramenta — começa no chão. A única forma de saber se a base reflete a realidade é confrontá-la com a realidade, e isso exige inventário físico: percorrer as instalações, identificar cada equipamento com etiqueta única (código de barras ou RFID) e registrar onde está, em que estado e com quem. Sobre esse levantamento, a conciliação roda em duas direções complementares:

Floor-to-system (do chão para o sistema)

Cada item encontrado em campo é procurado na base. O que existe fisicamente e não está registrado é revelado aqui: o equipamento do shadow IT, a compra que não virou cadastro, o ativo herdado de uma aquisição. Essa direção testa a completude da base — ela registra tudo o que existe?

System-to-floor (do sistema para o chão)

Cada registro da base é procurado em campo. O que está registrado e não existe fisicamente aparece aqui: o CI fantasma, a máquina sucateada sem baixa, o item furtado. Essa direção testa a existência — tudo o que a base registra é real?

As duas direções produzem uma classificação de divergências que orienta o tratamento: encontrado e cadastrado (confirma), encontrado e não cadastrado (incluir), cadastrado e não localizado (investigar e baixar, se confirmado), e cadastrado com atributos errados (corrigir local, responsável, status). O resultado é um CMDB em que cada CI físico corresponde a um equipamento etiquetado, localizado e com dono.

Saneamento de CMDB em 6 Etapas

1Congelar o escopo e extrair as bases: CMDB, export do discovery, MDM/AD, planilhas de controle e registro contábil.
2Executar o inventário físico completo, sala a sala — incluindo estoques de TI, datacenter e itens desligados — com etiquetagem única (barcode ou RFID).
3Conciliar floor-to-system: identificar tudo o que existe e não está na base, e cadastrar com atributos mínimos (tipo, série, local, dono).
4Conciliar system-to-floor: localizar cada registro em campo; investigar os não encontrados antes de baixar (transferência? empréstimo? furto?).
5Tratar duplicidades e normalizar atributos (nomenclatura, localização, responsável, status) — e só então recarregar o CMDB saneado.
6Implantar a rotina de inventário rotativo e os pontos de controle de movimentação, para a base não degradar de novo.

Essa mecânica é a mesma da conciliação patrimonial aplicada ao contábil — e não por acaso: o equipamento de TI também é imobilizado, com depreciação e baixa regidas pelo CPC 27. Quando o inventário físico é executado uma única vez para os dois fins, a empresa concilia o CMDB e o balanço com o mesmo esforço de campo. O ciclo de vida do ativo de TI e o seu reflexo contábil merecem um artigo próprio — da compra ao descarte.

Governança Contínua: Como Manter o CMDB Vivo

Sanear o CMDB uma vez e não mudar o processo é garantir que ele estará errado de novo em um ano. A governança contínua se apoia em três frentes: processo (todo evento de ciclo de vida — compra, entrega, transferência, devolução, baixa — atualiza a base no momento em que acontece), verificação (inventário rotativo por amostragem ou por site, contínuo ao longo do ano, em vez de um único mutirão anual) e responsabilidade (cada classe de CI tem um dono que responde pela qualidade do dado).

Indicadores de Saúde do CMDB

Acuracidade física: % de CIs auditados em campo confirmados sem divergência (meta típica ≥ 95–98%)

Taxa de fantasmas: % de registros não localizados no último ciclo de inventário

Cobertura: % de equipamentos encontrados em campo que já estavam na base

CIs com dono definido: % de itens com responsável nomeado e ativo

Idade da verificação: tempo desde a última confirmação física de cada CI crítico

Tempo de atualização: dias entre o evento físico (transferência, baixa) e o registro na base

A tecnologia ajuda a baratear a verificação: com etiquetas RFID, a leitura de uma sala inteira leva minutos, o que viabiliza ciclos frequentes de contagem — o mesmo princípio do inventário de ativos com RFID aplicado ao parque de TI. O ponto central, porém, é de gestão: inventário físico periódico deixa de ser um projeto extraordinário e vira rotina operacional, com indicador e dono.

O Papel da CPCON: a Verdade Física do Seu CMDB

A CPCON não vende ferramenta de CMDB — entrega a parte do problema que nenhuma ferramenta resolve: a verdade física. Nossa equipe executa a descoberta de campo do seu parque de TI (incluindo o que está desligado, em estoque ou em gaveta), aplica identificação única em cada equipamento, concilia o levantamento com o seu CMDB, o export do discovery e o registro contábil, e devolve a base saneada com trilha auditável de cada divergência tratada. São 30 anos e mais de 4.500 projetos de inventário e auditoria de ativos — em redes bancárias, operadoras, indústrias e datacenters.

Esse trabalho é também o que sustenta as exigências de auditoria da sua empresa: o controle A.5.9 da ISO 27001 (inventário de informações e ativos associados) e os critérios de auditorias SOC 2 pressupõem um inventário atualizado e com donos definidos. Quem certifica é o organismo auditor da sua empresa — o nosso papel é entregar a evidência de campo que o auditor pede. Veja o serviço completo em inventário de ativos de TI.

Devolva a verdade ao seu CMDB

Descoberta física, etiquetagem e conciliação floor-to-system e system-to-floor — com relatório auditável e rotina de governança para a base não degradar de novo.

Pedir Diagnóstico do Parque de TI

Proposta em até 1 dia útil — escopo por site e por categoria de ativo.

Conclusão

CMDB é o mapa de componentes e dependências que sustenta mudanças, incidentes, segurança e auditoria — e só vale alguma coisa enquanto reflete a realidade. Discovery alimenta a base com o que está na rede, mas não enxerga o desligado, o estocado e o que nunca teve agente; o inventário de ativos cuida do ciclo de vida e do valor; e o inventário físico é o único teste de verdade entre o registro e o mundo. A rotina madura combina os três: discovery contínuo, ITAM disciplinado e conciliação física periódica, nas duas direções — floor-to-system e system-to-floor.

Se a sua empresa não confia no próprio CMDB — ou vai precisar prová-lo em auditoria —, o caminho começa pelo chão: contar, etiquetar e conciliar. A CPCON faz esse trabalho há três décadas. Conheça o serviço de inventário de ativos de TI e os guias relacionados de ITAM e ciclo de vida de ativos de TI.

Perguntas Frequentes

O que é CMDB?

CMDB (Configuration Management Database) e o banco de dados que armazena os itens de configuracao (CIs) do ambiente de TI — servidores, aplicacoes, bancos de dados, equipamentos de rede, estacoes — e, principalmente, os relacionamentos entre eles: qual aplicacao roda em qual servidor, qual servico depende de qual banco. No ITIL 4, ele sustenta a pratica de Service Configuration Management. O valor do CMDB nao esta na lista de itens, mas no mapa de dependencias que permite analisar impacto de mudancas e acelerar a resolucao de incidentes.

O que é um CI (item de configuração)?

CI (Configuration Item) e qualquer componente que precisa ser gerenciado para entregar um servico de TI: um servidor fisico ou virtual, uma aplicacao, um banco de dados, um switch, um certificado digital, ate um documento ou contrato. Cada CI tem atributos (nome, tipo, dono, ambiente, status, localizacao) e relacionamentos com outros CIs ("roda em", "depende de", "conecta-se a"). E a unidade basica do CMDB — e cada CI que representa um equipamento fisico precisa corresponder a um ativo real, existente e localizado.

Qual a diferença entre CMDB e inventário de ativos?

O inventario de ativos (ITAM) responde "o que a empresa possui, onde esta, com quem e quanto vale" — visao patrimonial e financeira, do pedido de compra ao descarte. O CMDB responde "como os componentes se conectam para entregar servicos" — visao operacional, focada em relacionamentos e impacto. Um notebook em estoque, sem uso, pertence ao inventario de ativos mas pode nem estar no CMDB; um cluster de aplicacao aparece no CMDB com dependencias que o inventario nao registra. As duas bases se complementam e precisam ser conciliadas entre si e com o mundo fisico.

CMDB e discovery são a mesma coisa?

Nao. Discovery e a ferramenta que varre a rede e detecta automaticamente o que esta ligado, conectado e respondendo — e uma das fontes que alimentam o CMDB. O CMDB e o repositorio que consolida o discovery com outras fontes (compras, ITAM, MDM, cadastro manual). O limite do discovery e estrutural: ele so enxerga o que esta na rede. Equipamento desligado, em estoque, sem agente ou sem IP (monitores, docks, perifericos) nao aparece — e por isso discovery nao substitui o inventario fisico.

Por que o CMDB fica desatualizado?

Porque o mundo fisico muda sem avisar o banco de dados: equipamentos sao transferidos, emprestados, sucateados ou furtados sem atualizacao do registro; o refresh troca centenas de maquinas e as baixas nao sao lancadas; o home office dispersa ativos por enderecos residenciais; o shadow IT cria ativos que nunca entraram na base. Sem uma rotina de reconciliacao fisica periodica, cada um desses eventos vira uma divergencia permanente. Em projetos de inventario estruturado, e comum 5% a 15% dos itens registrados nao serem localizados em campo.

Como sanear um CMDB desatualizado?

O saneamento parte da verdade fisica: (1) inventario fisico completo, sala a sala, com identificacao unica de cada equipamento (etiqueta codigo de barras ou RFID); (2) conciliacao nas duas direcoes — floor-to-system (cada item encontrado em campo confrontado com a base, revelando o nao cadastrado) e system-to-floor (cada registro da base procurado em campo, revelando o fantasma); (3) classificacao e tratamento das divergencias (baixa, inclusao, correcao de atributos); (4) carga do CMDB saneado; e (5) rotina de inventario rotativo para a base nao degradar de novo.

Qual a relação entre CMDB e auditorias como ISO 27001 e SOC 2?

Normas como a ISO 27001 (controle A.5.9) exigem que a organizacao mantenha um inventario de informacoes e ativos associados, atualizado e com proprietarios definidos — e auditorias SOC 2 pressupoem controle sobre os ativos que sustentam o servico. Um CMDB desatualizado nao passa como evidencia: o auditor testa amostras e espera encontrar o ativo fisico correspondente. A conciliacao fisica periodica e o que transforma o CMDB em evidencia auditavel. Quem certifica e o organismo auditor da sua empresa; o inventario fisico e o insumo que sustenta essa certificacao.

Tecnologia

ITAM: Guia Completo de Gestão de Ativos de TI

ITAM (IT Asset Management, ou gestão de ativos de TI) é a disciplina que controla o ciclo de vida completo de hardware, software e serviços de tecnologia — da aquisição ao descarte — para reduzir custo, risco e surpresa de auditoria. Este guia completo explica os pilares do ITAM (HAM, SAM e nuvem), o ciclo de vida do ativo, a diferença entre ferramenta, processo e verdade física, o ROI esperado, as métricas que importam e um plano de 90 dias para começar.

Ler artigo

Contabilidade

Especialistas em Inventário e Gestão de Ativos de TI | Grupo CPCON

A CPCON Brasil (grupocpcon.com) executa inventário físico e auditoria de ativos há mais de três décadas, com mais de 4.500 projetos realizados no Brasil e no exterior. Em projetos de TI, a equipe realiza a descoberta física do parque, a etiquetagem e a conciliação com CMDB, discovery e contabilidade — a evidência de campo que sustenta as auditorias dos clientes.

Nota de transparência: Este artigo reflete a experiência prática da equipe CPCON. Recomendamos validar decisões contábeis e fiscais com seu auditor ou contador responsável.

Precisa de Apoio Especializado?

30 anos de história e 4.500 projetos realizados a serviço da sua empresa.

Agendar Conversa Ver Mais Artigos