Fundamentos de Governança de TI

Fundamentos de
Governana de TI
Edson Roberto Gaseta
Fundamentos de
Governana de TI
Fundamentos de
Governana de TI
Rio de Janeiro Escola Superior de Redes 2012
Copyright 2012 Rede Nacional de Ensino e Pesquisa RNP Rua Lauro Mller, 116 sala 1103 22290-906 Rio de Janeiro, RJ Diretor Geral
Nelson Simes
Diretor de Servios e Solues
Jos Luiz Ribeiro Filho
Escola Superior de Redes

Coordenao
Luiz Coelho
Edio
Pedro Sangirardi
Coordenao Acadmica de Segurana e Governana de TI
Edson Kowask
Reviso Tcnica Leandro Pfeifer Macedo Equipe ESR (em ordem alfabtica)
Alexandre Csar Motta, Celia Maciel, Cristiane Oliveira, Derlina Miranda, Elimria Barbosa, Lourdes Soncin, Luciana Batista, Luiz Carlos Lobato, Renato Duarte e Sergio de Souza
Capa, projeto visual e diagramao
Tecnodesign
Verso
1.0.1
Este material didtico foi elaborado com fins educacionais. Solicitamos que qualquer erro encontrado ou dvida com relao ao material ou seu uso seja enviado para a equipe de elaborao de contedo da Escola Superior de Redes, no e-mail info@esr.rnp.br. A Rede Nacional de Ensino e Pesquisa e os autores no assumem qualquer responsabilidade por eventuais danos ou perdas, a pessoas ou bens, originados do uso deste material. As marcas registradas mencionadas neste material pertencem aos respectivos titulares. Distribuio
Rua Lauro Mller, 116 sala 1103 22290-906 Rio de Janeiro, RJ http://esr.rnp.br info@esr.rnp.br
Dados Internacionais de Catalogao na Publicao (CIP) G247f Gaseta, Edson Roberto. Fundamentos de Governana de TI / Edson Roberto Gaseta. Rio de Janeiro: RNP/ESR, 2011. 102 p. : il. ; 27,5 cm Bibliografia: p.89-90. ISBN 978-85-63630-03-2
1. Tecnologia da informao Gesto. 2. Administrao de empresas Proteo de dados. 3. COBIT (formato padro de gesto de tecnologia de informao). 4. ITIL (Biblioteca de infraestrutura de tecnologia da informao) I. Ttulo. CDD 004.068
Sumrio
1. Fundamentos da Governana de TI
Introduo1 Exerccio de nivelamento 1 Entendimento da Governana de TI2 Fundamentos de Governana de TI2 Motivadores para a implantao da Governana de TI3 Objetivos da Governana de TI4 Definio de negcio6 Foco da Governana de TI7 Importncia da Governana de TI9 Exerccio de fixao 1 Determinando as cinco decises de TI10 Benefcios da Governana de TI10 Exerccio de fixao 2 Aes para a Governana de TI12 Roteiro de Atividades 115 Atividade 1 Organizao privada15 Atividade 2 Organizao pblica: incluso digital17 Atividade 3 Organizao pblica: nota fiscal eletrnica18
2. Relao entre Governana de TI

e Governana Corporativa
Introduo21 Exerccio de nivelamento 1 Implantao de Governana de TI22
iii
Fundamentos de Governana Corporativa22 Exerccio de nivelamento 2 Exemplificando a Governana Corporativa24 Lei Sarbanes-Oxley (SOX)24 Relao entre a Governana de TI e a Governana Corporativa25 Exerccio de fixao 1 Definindo as estratgias de negcios e de TI26 Alinhamento estratgico27 Exerccio de fixao 2 Alinhamento estratgico28 Influncia da Governana Corporativa nos investimentos de TI29 Roteiro de Atividades 231 Atividade 1 Definindo insumos para alinhar TI aos negcios31 Atividade 2 Criando um processo para alinhar TI e negcios32 Atividade 3 Definio de indicadores para monitorao dos negcios e da TI33
3. Viso geral da implantao da Governana de TI com CobiT

Introduo35 Viso geral do CobiT 4.135 Objetivos de controle relacionados ao uso da TI36 Exerccio de nivelamento 1 Definio de processo36 Inter-relacionamento dos componentes do CobiT37 Exerccio de fixao 1 Definindo critrios de informao e recursos40 Domnios e processos do CobiT 4.141 PO Planejamento e Organizao41 AI Aquisio e Implementao42 DS Entrega e Suporte43 ME Monitorao e Avaliao44 Exerccio de fixao 2 Trabalhando com os processos do CobiT45 Viso geral da implantao de Governana de TI com o CobiT 4.145 Requisitos para a implantao da Governana de TI47 Critrios para avaliao do nvel de maturidade de processos 49 Roteiro de Atividades 359 Atividade 1 Problemas na avaliao da gesto de TI59 Atividade 2 Suporte da TI aos negcios60
iv
4. Ferramentas de implantao da Governana de TI

Introduo61 Exerccio de nivelamento Gerenciamento de servios de TI62 Viso geral da ITIL62 Exerccio de nivelamento 2 Entendendo o conceito de servio63 Viso geral sobre a ISO/IEC 2000066 Relao entre ITIL, ISO 20000 e CobiT68 Exerccio de fixao 1 Aplicao da norma ISO 2000069 Viso geral da norma ISO 3850070 Relao entre ISO 38500 e CobiT71 Exerccio de fixao 2 Aplicao da norma ISO 3850072 Viso geral do Val IT73 Exerccio de fixao 3 Aplicao do Val IT76 Roteiro de Atividades 477 Atividade 1 Criando um planejamento estratgico77
Bibliografia 89
vi

A Escola Superior de Redes (ESR) a unidade da Rede Nacional de Ensino e Pesquisa (RNP) responsvel pela disseminao do conhecimento em Tecnologias da Informao e Comu nicao (TIC). A ESR nasce com a proposta de ser a formadora e disseminadora de com petncias em TIC para o corpo tcnico-administrativo das universidades federais, escolas tcnicas e unidades federais de pesquisa. Sua misso fundamental realizar a capacitao tcnica do corpo funcional das organizaes usurias da RNP, para o exerccio de compe tncias aplicveis ao uso eficaz e eficiente das TIC. A ESR oferece dezenas de cursos distribudos nas reas temticas: Administrao e Projeto de Redes, Administrao de Sistemas, Segurana, Mdias de Suporte Colaborao Digital e Governana de TI. A ESR tambm participa de diversos projetos de interesse pblico, como a elaborao e execuo de planos de capacitao para formao de multiplicadores para projetos edu cacionais como: formao no uso da conferncia web para a Universidade Aberta do Brasil (UAB), formao do suporte tcnico de laboratrios do Proinfo e criao de um conjunto de cartilhas sobre redes sem fio para o programa Um Computador por Aluno (UCA).
A metodologia da ESR
A filosofia pedaggica e a metodologia que orientam os cursos da ESR so baseadas na aprendizagem como construo do conhecimento por meio da resoluo de problemas tpicos da realidade do profissional em formao. Os resultados obtidos nos cursos de natureza terico-prtica so otimizados, pois o instrutor, auxiliado pelo material didtico, atua no apenas como expositor de conceitos e informaes, mas principalmente como orientador do aluno na execuo de atividades contextualizadas nas situaes do cotidiano profissional. A aprendizagem entendida como a resposta do aluno ao desafio de situaes-problema semelhantes s encontradas na prtica profissional, que so superadas por meio de an lise, sntese, julgamento, pensamento crtico e construo de hipteses para a resoluo do problema, em abordagem orientada ao desenvolvimento de competncias. Dessa forma, o instrutor tem participao ativa e dialgica como orientador do aluno para as atividades em laboratrio. At mesmo a apresentao da teoria no incio da sesso de aprendizagem no considerada uma simples exposio de conceitos e informaes. O instrutor busca incentivar a participao dos alunos continuamente.
vii
As sesses de aprendizagem onde se do a apresentao dos contedos e a realizao das atividades prticas tm formato presencial e essencialmente prtico, utilizando tcnicas de estudo dirigido individual, trabalho em equipe e prticas orientadas para o contexto de atuao do futuro especialista que se pretende formar. As sesses de aprendizagem desenvolvem-se em trs etapas, com predominncia de tempo para as atividades prticas, conforme descrio a seguir: Primeira etapa: apresentao da teoria e esclarecimento de dvidas (de 60 a 90 minutos). O instrutor apresenta, de maneira sinttica, os conceitos tericos correspondentes ao tema da sesso de aprendizagem, com auxlio de slides em formato PowerPoint. O instrutor levanta questes sobre o contedo dos slides em vez de apenas apresent-los, convidando a turma reflexo e participao. Isso evita que as apresentaes sejam montonas e que o aluno se coloque em posio de passividade, o que reduziria a aprendizagem. Segunda etapa: atividades prticas de aprendizagem (de 120 a 150 minutos). Esta etapa a essncia dos cursos da ESR. A maioria das atividades dos cursos assn crona e realizada em duplas de alunos, que acompanham o ritmo do roteiro de atividades proposto no livro de apoio. Instrutor e monitor circulam entre as duplas para solucionar dvidas e oferecer explicaes complementares. Terceira etapa: discusso das atividades realizadas (30 minutos). O instrutor comenta cada atividade, apresentando uma das solues possveis para resolv-la, devendo ater-se quelas que geram maior dificuldade e polmica. Os alunos so convidados a comentar as solues encontradas e o instrutor retoma tpicos que tenham gerado dvidas, estimulando a participao dos alunos. O instrutor sempre estimula os alunos a encontrarem solues alternativas s sugeridas por ele e pelos colegas e, caso existam, a coment-las.
Sobre o curso
Introduzir os princpios bsicos da governana de TI, capacitando o aluno para a dissemina o em sua organizao dos conceitos-chave necessrios para oferecer sustentao para a implantao posterior das boas prticas de governana de TI, em bases slidas e ancora das em modelos de governana que garantem adequado alinhamento estratgico da TI aos objetivos do negcio.
A quem se destina
Gestores e tcnicos de TI que desejam atualizar os seus conhecimentos sobre modelos de governana de TI e sua aplicabilidade nas organizaes.
Convenes utilizadas neste livro

As seguintes convenes tipogrficas so usadas neste livro: Itlico Indica nomes de arquivos e referncias bibliogrficas relacionadas ao longo do texto.
viii
Contedo de slide
Indica o contedo dos slides referentes ao curso apresentados em sala de aula.
Smbolo
Indica referncia complementar disponvel em site ou pgina na internet.
Smbolo
Indica um documento como referncia complementar.
Smbolo
Indica um vdeo como referncia complementar.
Smbolo
Indica um arquivo de adio como referncia complementar.
Smbolo
Indica um aviso ou precauo a ser considerada.
Smbolo
Indica questionamentos que estimulam a reflexo ou apresenta contedo de apoio ao entendimento do tema em questo.
Smbolo
Indica notas e informaes complementares como dicas, sugestes de leitura adicional ou mesmo uma observao.
Permisses de uso
Todos os direitos reservados RNP. Agradecemos sempre citar esta fonte quando incluir parte deste livro em outra obra. Exemplo de citao: GASETA, E. R. Fundamentos de Governana de TI. Rio de Janeiro: Escola Superior de Redes, 2011.
Comentrios e perguntas
Para enviar comentrios e perguntas sobre esta publicao: Escola Superior de Redes RNP Endereo: Av. Lauro Mller 116 sala 1103 Botafogo Rio de Janeiro RJ 22290-906 E-mail: info@esr.rnp.br
Sobre os autores
Edson Roberto Gaseta analista de Sistemas da Fundao CPqD, onde atua h 26 anos, com MBA em Gesto Empresarial pela faculdade ESAMC, especialista em Redes de Computadores pelo Instituto de Computao da Unicamp, gerente de projetos de tecnologia da informao, especialista em CobiT e ITIL, especialista em infraestrutura ambiente Microsoft, especialista em segurana em ambiente Microsoft - Las Colinas - Texas - USA, professor do curso de ps-graduao em Segurana da Informao da Faculdade IBTA, professor acadmico tendo ministrado aulas na Faculdade Hoyler, Universidade So Marcos e Faculdade Fleming.
ix
Alexandre Cesar Motta tem mestrado em administrao com nfase em planejamento organizacional e gesto de recursos humanos pela PUC Rio. MBA em gerenciamento de projetos pela FGV-RJ. Economista pela PUC-Rio com mais de 10 anos de experincia profissional em cargos de coordenao e direo de importantes instituies de ensino superior. Professor de cursos de graduao e ps-graduao em disciplinas das reas de marketing, recursos humanos, planejamento organizacional e gerenciamento de projetos. Possui experincia como facilitador em programas de treinamento e desenvolvimento de competncias e habilidades tcnicas e gerenciais, e na implementao de projetos de consultoria em gesto de recursos humanos, gerenciamento de projetos e organizao de empresas. Jacomo Dimmit Boca Piccolini formado em Engenharia pela Universidade Federal de So Carlos, com ps-graduaes no Instituto de Computao e Instituto de Economia da UNICAMP. Com mais de 12 anos de experincia na rea de segurana, possui certificaes na rea de Segurana e Governana de TI. tambm Diretor de Pesquisa do Dragon Rese arch Group, Coordenador de Treinamentos do FIRST.org, membro da Diretoria da ISACA Braslia e professor convidado em cursos de ps-graduao nas disciplinas de anlise forense, tratamento de incidentes, segurana de sistemas, criao e gerenciamento de CSIRTs.
1
Fundamentos da Governana de TI
objetivos
Apresentar os princpios fundamentais da Governana de TI, sua importncia e seus objetivos e benefcios.
conceitos
Fundamentos da Governana de TI e motivadores para a sua implantao.
Introduo
11 Investimento em Tecnologia da Informao 11 Organizaes pblicas e privadas 11 Desafios relacionados a TI enfrentados pelas organizaes pblicas e privadas
As organizaes privadas investem recursos significativos na rea de Tecnologia da Informa o (TI), para que o suporte aos negcios esteja associado aos investimentos que proporcio nam melhoria nos servios de TI.
Figura 1.1 Investimentos em TI.
Frequentemente, as organizaes privadas no investem adequadamente no setor de TI, apesar das altas cifras despendidas. Desta forma, em sua maioria ainda no utilizam todo o potencial que os recursos de TI proporcionam para alavancar novos negcios e aumentar a competitividade no mercado. Da mesma forma, as organizaes pblicas tambm investem em TI para atingir seus obje tivos. Como nas organizaes privadas, no utilizam todo o potencial da TI para cumprir o seu papel de rgo pblico. Portanto, o grande desafio das organizaes pblicas e privadas gerenciar adequadamente a estrutura de TI e direcionar os investimentos em TI de forma
Captulo 1 - Fundamentos da Governana de TI
Investimentos do setor privado e pblico em TI
Suporte aos negcios da organizao
Proporciona melhoria nos servios de TI
adequada, buscando atingir os melhores resultados dos servios prestados pela TI, por meio de uma Governana de TI bem planejada e implementada.
Organizaes pblicas e privadas
Gerenciar adequadamente a estrutura de TI Desao
?
Direcionar os investimentos em TI de forma adequada
Melhores resultados dos servios prestados
Figura 1.2 Desafio da Governana de TI.
Neste captulo sero mostrados os princpios fundamentais da Governana de TI.
Exerccio de nivelamento 1 e Entendimento da Governana de TI

Como voc define a Governana de TI e de que forma ela pode auxiliar a alavancar os neg cios e/ou servios da sua organizao?
Fundamentos de Governana de TI
11 Definio da Governana de TI 11 Fundamentos 11 Governana de TI possibilita definir e entender os objetivos de TI 11 Alinhamento estratgico da TI
A Governana de TI definida como uma estrutura de relacionamento e processos para
Processo Sequncia de tarefas (ou atividades) que ao serem executadas transformam insumos (entradas) em um resultado com valor agregado (sada). A execuo de um processo consome recursos materiais e/ou humanos para agregar valor ao resultado do processo. Insumos so matriasprimas, produtos ou servios vindos de fornecedores internos ou externos que alimentam o processo. Os resultados so produtos ou servios que vo ao encontro das necessidades de clientes internos ou externos.
dirigir e controlar uma organizao, a fim de atingir os objetivos corporativos, adicionando valor ao negcio e equilibrando os riscos em relao ao retorno do investimento em TI e seus processos. Tais estruturas e processos buscam garantir que a TI contribua para que os objetivos e estratgias da organizao assumam seu valor mximo, de forma a controlar a execuo e a qualidade dos servios de TI em benefcio da organizao. Basicamente, ter uma estrutura de relacionamento e processos garantir que as aes da Governana de TI sejam compartilhadas com os dirigentes da organizao (pblica ou privada), estabelecendo os processos necessrios para suportar o uso da TI nas atividades dirias de usurios e clientes, que formam os pblicos interno e externo.
A Governana de TI ganha fora no atual cenrio de competitividade do mundo dos negcios. Um mundo onde cada vez maior a necessidade de adoo, pela rea de TI, de mecanismos que permitam estabelecer objetivos, avaliar resultados e examinar, de forma concreta e deta lhada, se as metas foram alcanadas. O ambiente de uma organizao se apoia na tecnologia em constante mutao, exigindo modelos mais geis e flexveis de gerenciamento. Os negcios das organizaes esto sempre em transformao e a TI, igualmente, est em constante processo de mudana. Por isso, necessrio designar poderes de deciso da melhor maneira possvel, visando manter o alinhamento entre os negcios e a Tecnologia da Informao.
O ambiente de uma organizao se apoia na tecnologia
A TI uma rea com enorme quantidade de recursos, linguagem prpria, de difcil entendimento pela organizao
Governana de TI
A governana de TI ganha fora no atual cenrio de competitividade do mundo dos negcios
Figura 1.3 Governana de TI e ambiente de negcios.
Os negcios das organizaes esto sempre em transformao
Internamente, a Governana de TI visa designar os direitos de deciso nas questes de real valor, com a finalidade de atingir os objetivos de negcio. Considerada por muitos como uma espcie de caixa-preta, a rea de TI tem suas aes pouco conhecidas dentro das organizaes. Na maioria delas no existe alinhamento das estrat gias de TI com as estratgias de negcio. uma rea com enorme quantidade de recursos, linguagem prpria, de difcil entendimento pela organizao.
Figura 1.4 Alinhamento dos objetivos de neg cio e de TI por meio da Governana de TI.
Objetivos de TI
Governana de TI
Objetivos de negcio
mento que apresenta um modelo para auxiliar a construo do PDTI, contendo informaes para aprimorar a gesto de TI nos rgo da Administrao Pblica Federal.
Motivadores para a implantao da Governana de TI

Muitos so os motivadores para a implantao da Governana de TI. A tabela abaixo apresenta os principais motivadores nas organizaes que direcionam a implantao da Governana de TI:
PDTI Utilizado nas organizaes para direcionar as aes de TI em um perodo determinado, devendo ser revisado em perodos de um ano, no mximo.
Instruo Normativa A IN um ato administrativo, no qual o administrador, na sua competncia, e no limite da lei e da Constituio, explica ou instrui os seus subordinados diretos sobre os procedimentos de aplicao de uma lei. Uma IN no pode substituir os pareceres jurdicos das entidades autnomas, tratando-se de orientao nos limites daquele ente ou esfera administrativa. Logo, uma IN da administrao direta se aplica no mbito daquele rgo ou Poder, conforme a autoridade que a emite.
Uma Governana de TI adequada necessria para o conhecimento mais amplo dos obje tivos do setor de TI. As novas prticas de governana possibilitam que a rea de TI esteja adequada estratgia de negcios das organizaes. No Brasil, esse um movimento que comeou com as filiais das empresas estrangeiras, ten dendo a se ampliar para empresas de todos os portes. A Administrao Pblica Federal esta belece documentos de referncia para a implantao da Governana de TI em seus rgos. A Instruo Normativa n 4 o documento de referncia que dispe sobre o processo de contratao de servios de Tecnologia da Informao pela Administrao Pblica Federal (APF) direta, indireta, autrquica e fundacional. O Modelo de Referncia de Plano Diretor de Tecnologia da Informao (PDTI) um docu -
Motivador Gastos altos com TI.
Informaes 11Desvalorizao e desatualizao muito rpida de recursos de TI. 11Dificuldade de gesto de bens de TI. 11Alocao inadequada dos recursos de TI.
Riscos 11Diminuir lucratividade da organizao.
11Perda de desempenho das funes de TI e dos negcios da organizao.
11Demora no processo de escolha, aquisio e entrega de solues de TI. 11Oramento de TI insuficiente. Desalinhamento entre as necessidades de negcio e a infraestrutura de TI da organizao. Decises de TI tomadas de forma isolada. 11Infraestrutura de TI superestimada ou subestimada. 11Tempo de implementao das solues de TI no atinge a expectativa dos usurios das reas de negcios da organizao. 11Fluxo de informao truncado devido a processos no implementados por TI. 11Falta de alinhamento entre a rea de TI e de negcios, proporcionando baixa eficincia operacional. 11Servios entregues sem a qualidade desejada.
11rea de TI no vista na organizao como estratgica. 11Falta de integrao entre as reas de negcio e a rea de TI.
11Desconhecimento das necessidades de novos servios de TI para atendimento adequado ao negcio. 11Informaes podem no ser confiveis e ntegras, pois no existe controle sobre elas, gerando perdas significativas para a organizao. 11Perda de credibilidade. 11Quebra de contrato pode causar interrupo de servios de TI.
A segurana da informao no existe ou no difundida adequadamente na organizao.
11Indisponibilidade de informao sobre os proprietrios dos dados dos sistemas e permisses necessrias para a manipulao dos dados. 11Indefinio de uma poltica de segurana.
A contratao de servios de terceiros no atende s necessidades de TI.
11Os contratos com terceiros no so firmados de forma adequada, acarretando dificuldade no relacionamento.
11A estratgia para a terceirizao dos servios de TI no atende s necessidades dos clientes e dos objetivos de negcio.
11Servios de TI estratgicos esto sob o controle de terceiros, ocasionando problemas de continuidade dos servios de TI. 11Perda do controle dos servios de TI.
Figura 1.5
Uma Governana de TI eficaz requer uma quantidade significativa de tempo e ateno da administrao. A crescente dependncia das organizaes em relao TI mostra que so vlidos os esforos para implantar a Governana de TI. Uma Governana de TI adequada
harmoniza as decises administrativas e a utilizao da TI alinhada aos objetivos de negcio.
Objetivos da Governana de TI
A rea de TI de uma organizao enfrenta os seguintes desafios dirios:
11 Manter os recursos de TI funcionando as organizaes necessitam garantir a

continuidade dos servios de TI disponibilizados para os pblicos externo e interno;
11 Entrega de valor a rea de TI deve garantir a entrega dos servios acordados com
os benefcios esperados, visando diminuir os custos e aumentar o valor da TI;
11 Gerenciar os custos as organizaes necessitam gerenciar os investimentos de

TI, implantando processos eficientes e alocando os recursos humanos e tcnicos necessrios para manter a TI funcionando;
11 Complexidade tecnolgica as organizaes necessitam se organizar para

gerenciar e manter toda a estrutura tecnolgica, que pode ser diversa e complexa, adaptando as mudanas com rapidez e provendo os servios de forma transparente para os usurios;
11 Alinhar a TI aos negcios em muitas organizaes existe uma lacuna entre o que
o usurio espera dos servios de TI e o que realmente a TI pode fornecer, sendo necessrio alinhar a TI aos negcios;
11 Conformidade com leis e regulamentos as organizaes necessitam cumprir

as leis e regulamentos que esto associados aos servios de TI, como segurana e privacidade da informao e relatrios financeiros;
11 Segurana da informao as organizaes necessitam garantir uma segurana

adequada para todo o ambiente e servios de TI. Neste sentido, o principal objetivo da Governana de TI alinhar a TI s necessidades de negcio de uma organizao, garantindo a continuidade dos servios de TI para os negcios, equilibrando os investimentos necessrios para o ambiente de TI e assim atendendo aos objetivos estratgicos da organizao. O principal objetivo da Governana de TI alinhar a estratgia de TI com a estratgia do negcio. Objetivos da Governana de TI:
11 Garantir que a TI suporte e maximize os objetivos e estratgias da organizao por

meio da implementao de uma estrutura de processos
11 Controlar, medir e auditar a execuo e a qualidade dos servios de TI 11 Viabilizar o acompanhamento de contratos com prestadores de servios de TI 11 Definir condies para o exerccio eficaz da gesto de TI com base em conceitos
consolidados de qualidade
11 Alinhar a estratgia de TI com a do negcio 11 Aumentar a capacidade e agilidade para novos modelos de negcio ou ajustes nos 11 Explicitar a relao entre o aumento nos custos de TI e o aumento no valor da
informao
modelos atuais
11 Manter os riscos do negcio sob controle, por meio de uma gesto de

riscos de TI mais eficaz
11 Explicitar a importncia da TI para a continuidade dos negcios 11 Medir e melhorar continuamente o desempenho de TI
Definio de negcio
Um negcio pode ser definido como o produto ou servio que qualquer organizao pretende oferecer, objetivando entregar o resultado esperado pelo cliente/usurio de forma a satisfazer suas necessidades. Para alinhar a TI aos negcios da organizao necessrio ter um entendimento claro dos negcios que a organizao pretende realizar.
Empresa Privada
Empresa Pblica
Figura 1.6 Relao entre TI e o objetivo do negcio.
A TI tem papel fundamental em manter os recursos de TI necessrios para que o objetivo do negcio seja alcanado
importante estabelecer as diferenas entre a definio de negcio para empresas privadas e organizaes pblicas. Para uma empresa privada do setor financeiro, por exemplo, um elemento importante para o seu negcio pode ser garantir um nmero maior de transa es de pagamento de ttulos, aumentando a lucratividade da instituio. Ento, o objetivo estratgico para este negcio sempre buscar um nmero maior de pessoas que faam o pagamento de seus ttulos atravs deste banco. A TI tem o papel fundamental de manter os recursos necessrios para que o objetivo do negcio seja alcanado. J parte do negcio do Ministrio da Agricultura, Pecuria e Abastecimento garantir o controle de todo o rebanho de animais bovinos e bubalinos, registrando e identificando o rebanho no territrio nacional, possibilitando o rastreamento de cada animal desde o nascimento at o abate, com a gerao de relatrios de apoio tomada de decises sobre a qualidade do rebanho nacional e importado. O objetivo estratgico deste negcio garantir que todos os criadores e frigorficos mantenham as informaes em um sistema integrado, para um controle efetivo. A TI tem o papel de garantir os recursos necessrios para que o objetivo de negcio seja alcanado. Organizao privada (setor financeiro) 11Maior nmero de transaes de pagamento de ttulos, aumentando a lucratividade da instituio. 11Objetivo estratgico de negcio de sempre buscar o maior nmero de pagamento de seus ttulos. Organizao pblica (setor de pecuria) 11Registrar e identificar todo o rebanho de animais bovinos e bubalinos, permitindo o rastreamento do animal e a disponibilizao de relatrios de apoio tomada de decises.
Figura 1.7
11Objetivo estratgico de negcio de fornecer a criadores e frigorficos informaes para um efetivo controle dos rebanhos. 11Suporte ao negcio: sistema SISBOV do Ministrio da Agricultura, Pecuria e Abastecimento.
O Ministrio da Agricultura, Pecuria e Abastecimento disponibiliza em www.agricultura.gov.br informaes sobre os objetivos de negcios e tambm sobre o sistema Sisbov, que suporta o negcio que garante o controle de todo o rebanho de animais bovinos e bubalinos rastreados.
Sisbov Servio Brasileiro de Rastreabilidade da Cadeia Produtiva de Bovinos e Bubalinos, utilizado para a identificao e controle do rebanho de bovinos e bubalinos em territrio nacional, bem como para o rastreamento do processo produtivo no mbito das propriedades rurais. As informaes coletadas colaboram para nortear a tomada de deciso quanto qualidade do rebanho nacional e importado.
Foco da Governana de TI
O IT Governance Institute (ITGI) www.itgi.org estabelece como principais focos da Governana de TI:
11 Alinhamento estratgico garantir o alinhamento estratgico entre TI e os objetivos de

negcios da organizao.
11 Entrega de valor a rea de TI deve garantir a entrega dos servios acordados com os
benefcios esperados, procurando diminuir os custos e aumentar o valor da TI.
11 Gerenciamento de risco processo de avaliar os riscos identificados, categoriz-los e

determinar o custo de eventuais perdas organizacionais associadas.
11 Gerenciamento de recursos otimizao dos investimentos e gesto adequada de

recursos (aplicaes, pessoas, informaes, infraestrutura), essenciais para prover os subsdios de que a empresa necessita para cumprir os seus objetivos.
11 Gerenciamento de desempenho acompanhamento e monitoramento da implementa o da estratgia de TI alinhada ao negcio, do andamento dos projetos, da utilizao de recursos, do desempenho dos processos e da entrega dos servios, utilizando medies e indicadores de desempenho.
Gerenciamento de recursos
Alinhamento estratgico
Garantir que a estratgia de TI esteja alinhada com os objetivos de negcios da organiza organizao e dos objetivos estratgicos de TI. Aps esta definio, necessrio relacionar os objetivos de negcios aos objetivos de TI, estabelecendo o alinhamento estratgico.
o. O alinhamento estratgico obtido por meio da definio dos objetivos de negcio da
Garantir a reputao e a liderana da organizao
Alinhar
Figura 1.9 Alinhamento entre objetivos de TI e de negcio.
Objetivo de negcio
Objetivo de TI
Garantir que os servios de TI estejam operacionais quando requeridos
Requer
Ger en de r ciamen isco to
Figura 1.8 Focos da Governana de TI.
to en m a o h gic in Al rat t es
En t de rega va lo r
Governana de TI
ento iam nho enc Ger sempe e de d
Entrega de valor
A rea de TI deve garantir a entrega dos servios acordados com os benefcios esperados, procurando diminuir os custos e aumentar o valor da TI. Esta garantia est associada ao retorno sobre os investimentos em TI que devem suportar os objetivos de negcio. Normal mente os investimentos em TI so altos e devem garantir o seu retorno. Uma organizao investe altos valores, por exemplo, para implantar um sistema de gesto empresarial que proporcione uma otimizao nas atividades da organizao, aumentando sua rentabilidade e competitividade. A rea de TI deve garantir que a implantao do sistema de gesto esteja alinhada com a estratgia da organizao, proporcionando o que foi acordado. Um exem plo a garantia de que os pedidos esto automatizados com a linha de produo, proporcionando um maior controle dos produtos da empresa. Se isso no ocorre, a TI no est entregando o valor esperado.
Gerenciamento de risco
Processo de avaliar os riscos identificados, categorizar a gravidade dos riscos e determinar o custo de eventuais perdas organizacionais associadas. As organizaes devem mapear os riscos possveis e tratar de forma adequada cada um deles. Uma organizao financeira, por exemplo, tem uma grande preocupao com os riscos associados s fraudes eletrnicas. Estas organizaes investem para conhecer estes riscos, avaliar a vulnerabilidade associada a cada um deles e prover medidas para resolv-los. Uma fraude eletrnica pode comprometer toda a reputao da organizao e causar perdas significativas. Uma organizao pblica, por exemplo, que controla o pagamento de um benefcio ao cidado, tem que se preocupar se o pagamento feito para a pessoa certa. As fraudes, neste caso, podem estar associadas a uma pessoa que recebia o benefcio enquanto estava desempregada, e quando consegue o emprego no avisa ao rgo pblico para suspender o pagamento, continuando a receber o benefcio. Neste caso, o rgo pblico deve ter uma estrutura de TI para cruzar informaes do Ministrio do Trabalho e Emprego e do Minist rio de Desenvolvimento Social e Combate Fome, para verificar se o benefcio pode conti nuar a ser concedido para um determinado cidado ou se deve ser cancelado.
TCU Auxilia o Congresso Nacional na fiscalizao contbil, financeira, oramentria, operacional e patrimonial da Unio e das entidades da administrao direta e indireta, quanto legalidade, legitimidade, economicidade, aplicao das subvenes e renncia de receitas. Acrdo Documento que contm o resultado de julgamento proferido por um colegiado, isto , por um grupo de juzes ou ministros. Compese de trs partes: relatrio (exposio geral sobre o assunto julgado); voto (fundamentao da deciso tomada) e dispositivo (a deciso propriamente dita). Diz-se acrdo porque a deciso resulta de uma concordncia, total ou parcial.
Gerenciamento de recursos
Otimizao dos investimentos e da gesto adequada de recursos (aplicaes, pessoas, informaes e infraestrutura), essenciais para prover os subsdios de que a empresa necessita para cumprir os seus objetivos.
Medio de desempenho
Acompanhamento e monitoramento da implementao da estratgia de TI alinhada ao neg cio, do andamento dos projetos, da utilizao de recursos, do desempenho dos processos e da entrega dos servios, utilizando medies e indicadores de desempenho. O Tribunal de Contas da Unio ( TCU) realiza diversas auditorias na rea de TI que regulam as atividades, procedimentos e decises dos agentes pblicos. A auditoria realizada observando-se as informaes das cinco reas de foco da Governana de TI. O resultado desta auditoria pode ser encontrado no Acrdo 2471/2008.
Importncia da Governana de TI
Sem uma Governana de TI claramente definida, as decises sobre a TI em uma organizao podem no satisfazer adequadamente as necessidades de negcios. Afirmaes que validam a importncia da Governana de TI:
11 A rea de TI cara demais, no cumpre nenhum prazo, dificulta qualquer ideia e

nunca entrega o que solicitado.
11 importante incentivar a colaborao entre profissionais de negcios e de TI, pois

estes so as principais fontes de inovao em uma empresa.
11 A TI no est alinhada com as estratgias da empresa.

Estas questes esto relacionadas entre si, e para que sejam sanadas preciso estabelecer mecanismos de integrao entre as reas da organizao. Em seu livro Governana de TI, Peter Weill e Jeanne W. Ross definem cinco decises de TI:
11 Princpios de TI declaraes de alto nvel sobre como a TI deve ser usada na empresa. 11 Infraestrutura de TI estrutura bsica de TI (tcnica e humana) compartilhada por toda
a empresa na forma de servios confiveis, coordenados de maneira centralizada (rede,
Help Desk Servio de apoio a usurios para suporte e resoluo de problemas tcnicos de informtica, telefonia e tecnologias de informao (pr e ps vendas). Este apoio pode ser fornecido internamente (por profissionais responsveis pela manuteno de equipamentos e instalaes dentro da empresa) ou externamente (prestao de servios a usurios).
suporte, help desk , dados comuns etc).
11 Arquitetura de TI um conjunto integrado de escolhas tcnicas que direcionam a orga nizao na satisfao de suas necessidades de negcio. A arquitetura um conjunto de polticas e regras que governam o uso da TI e definem um caminho de migrao para o modelo de negcio (dados, tecnologia e aplicaes).
11 Necessidade de aplicaes de negcio aplicaes de negcio a serem adquiridas ou

desenvolvidas.
11 Priorizao e investimentos decises sobre como, quanto e onde investir em TI,

incluindo aprovao de projetos e tcnicas de justificao.
Estabelecendo respostas apropriadas paras estas cinco decises, as organizaes podem dirigir suas aes para a implantao da Governana de TI.
Princpios de TI
Priorizao e investimentos
Infraestrutura de TI
5 Decises de TI
Necessidade de aplicaes de negcio
Arquitetura de TI
Figura 1.10 Decises de TI.
Exerccio de fixao 1 e Determinando as cinco decises de TI

Uma universidade privada est iniciando as suas atividades de ensino. Por meio de um levantamento prvio, os cursos escolhidos para serem fornecidos foram: Sistemas de Informao; Engenharia Eltrica, Pedagogia, Administrao de Empresas e Gesto de Rede de Computadores. A instituio aposta que a tecnologia da informao uma aliada importante para atrair alunos. Tomando como base esta instituio, determine: Os princpios de TI:
A infraestrutura de TI:
A arquitetura de TI:
A necessidade de aplicaes de negcios:
Priorizao e investimentos:
Benefcios da Governana de TI
Benefcios esperados com a implantao da Governana de TI:
11 Fornecer para a organizao uma viso completa do seu ambiente de TI,

e ao mesmo tempo compar-lo com cenrios alternativos que otimizem o retorno dos investimentos j feitos e dos que ainda sero realizados.
11 Possibilitar que a organizao tome decises com a maior acurcia possvel sobre sua
estrutura de TI;
10
11 Propiciar que as organizaes tenham ao seu alcance todas as informaes

necessrias sobre a situao atual da sua estrutura de TI e das necessidades futuras.
11 Facilitar o planejamento de TI, inclusive com estimativas de oramento para projetos

prioritrios;
11 Disponibilizar mais tempo dos envolvidos para a realizao de atividades chave, foco
do crescimento do negcio, ao invs de alocar tempo na soluo de problemas de TI.
11 Avaliar objetivamente a maturidade em relao a padres internacionais, ao mesmo

tempo em que so apontados os investimentos que traro maior retorno.
11 A definio de processos, indicadores, mtodos e controles dos aspectos priorizados

permite um gerenciamento mais estruturado e um dia a dia mais confortvel e produtivo aos profissionais de TI.
11 Simplificao das decises de compra pelo fato das informaes que direcionam a
aquisio estarem prontamente disponveis dentro de um contexto estratgico.
11 Mais flexibilidade para desenvolver, comprar ou terceirizar as solues de TI. 11 Mais habilidade para tratar problemas crticos da organizao, tais como a segurana
e a gesto de riscos. Alm dos benefcios citados, a Governana de TI capacita a organizao a habilitar novos modelos de negcio e modificar prticas existentes, diminuindo os riscos intrnsecos a um mundo interconectado e a dependncia a entidades fora do controle da organizao. Soma -se a isso o impacto da TI na continuidade do negcio, devido crescente dependncia de todos os aspectos do negcio TI e sua capacidade de construir e manter o conhecimento necessrio para sustentar e expandir o negcio da organizao. Atualmente, um percentual cada vez maior do valor de mercado das empresas migrou de bens tangveis (estoques, instalaes, bens de capital etc.) para intangveis (informao, confiana, experincia, conhecimento, reputao, patentes, marcas etc.). Muitos destes bens intangveis esto intimamente ligados TI, podendo desaparecer da noite para o dia, ao contrrio dos bens tangveis. As organizaes tm se tornado cada vez mais dependentes de TI para executar o seu negcio bsico, a ponto de no poderem sobreviver sem uma infraestrutura de TI que funcione adequadamente, necessitando da implementao adequada dos processos de Governana de TI. Uma das questes mais comuns que as organizaes procuram responder : Quando a TI torna-se crtica para a organizao?. Esta pergunta pode ser respondida da seguinte forma:
11 Os objetivos do negcio da organizao no podem ser realizados sem o suporte continu ado, efetivo e eficiente da TI:
22 As organizaes no podem existir sem a rea de TI, como por exemplo companhias
areas, bancos, comunicaes, mdia, governo etc.
22 A organizao depende de modelos de negcio baseados em TI.

Por exemplo: gesto da cadeia de suprimentos, controle da arrecadao de tributos governamentais etc.
11 Existe um potencial para os custos de TI erodirem a lucratividade da organizao e, even tualmente, a sua prpria viabilidade (impacto de TI nos negcios):
22 O percentual da receita da organizao com o gasto em TI significativamente maior

do que a da mdia de mercado ou mostra uma tendncia de crescimento anormal.
22 Os valores gastos em TI so comparveis aos lucros da organizao.
11
11 As funes do negcio se tornam no lucrativas ou incapazes de suportar o fluxo atual de

receitas se no forem automatizadas pela TI.
11 A organizao necessita ter conformidade com leis e regulamentos ou nveis contratuais

de servios que no podem ser alcanados sem o uso efetivo e eficiente de servios de TI. Todas estas respostas podem ser facilmente contempladas na implantao da Governana de TI, que fundamental para alinhar a rea de TI aos negcios, de forma a direcionar corretamente as iniciativas de TI, padronizar processos, criar sistemas orientados a servios e utilizar adequadamente os recursos de TI disponveis, com planejamento adequado, aumento da competitividade da empresa, diminuio dos custos e aumento das receitas, tornando a TI parceira dos negcios da empresa.
Exerccio de fixao 2 e Aes para a Governana de TI

Cenrio 1
Uma empresa formada a partir da fuso de outras empresas, que possuem infraestrutura de TI operacional. Nesta empresa h um documento com os objetivos estratgicos de neg cio, embora o mesmo no seja divulgado, de modo que a rea de TI no tem conhecimento dos objetivos estratgicos de negcio. Por isso, a empresa possui sistemas setorizados, ou seja, verticalizados, sem nenhuma integrao com os seus demais setores. Outro fato importante que a empresa possui uma rea central de TI responsvel por todos os servios operacionais, porm algumas diretorias possuem a sua prpria rea de TI, ocasionando vrios problemas de integrao, e consequentemente desperdcio de recursos e falta de objetividade para atingir os objetivos de negcio.As reas de TI descentralizadas em outras diretorias definem seus prprios processos para as suas atividades e tambm possuem sistemas, cultura e procedimentos diferentes.
Cenrio 2
Determinada empresa passou muito tempo utilizando TI apenas como um balco de servi os (compra e manuteno de recursos de TI e suporte a sistemas e servios), onde entram e saem pedidos, sem um alinhamento com o negcio, de modo que o setor de TI tornou-se uma rea isolada da empresa. Novas necessidades competitivas exigem que a TI esteja alinhada aos negcios, permitindo estabelecer diferenciais para os clientes internos e externos da empresa.Neste caso, a empresa deve utilizar a Governana de TI como uma direcionadora tecnolgica focada nas necessidades de negcio, estabelecendo uma nova cultura de operao, com novos processos e procedimentos.
Cenrio 3
Uma empresa possui uma rea de TI operacional, apenas trabalhando com suporte a servi os, desenvolvimento e manuteno de sistemas departamentais, com um grande nmero de profissionais terceirizados. A empresa no possui catlogo de servio, e desta forma no controla os servios prestados e no possui informaes estatsticas para ajustar os recursos existentes na rea de TI. A empresa possui um mapa de objetivos estratgicos de negcio para os departamentos, porm no existe um alinhamento com a rea de TI. Os departamentos contratam servios de desenvolvimento e manuteno de sistemas para atender as demandas locais sem controle da rea de TI, ocasionando problemas de integra o e indisponibilidade de informaes.
12
Com as informaes descritas acima, qual deve ser o procedimento para mudar o cenrio destas organizaes buscando a Governana de TI? Passo 1: Entender claramente os objetivos de negcio da empresa.
Passo 2:
Passo 3:
Passo 4:
Passo 5:
Passo 6:
13
14
Roteiro de Atividades 1
Atividade 1 Organizao privada
1. Uma organizao bancria tem como requisito de negcio o recebimento de faturas. Para
o negcio bancrio, quanto maior o volume de faturas recebidas, maior a rentabilidade e dinheiro entrante no caixa do banco. O banco classifica este recebimento como uma linha de negcio e define os processos necessrios para atender a esta linha de negcio. Cada operao de pagamento caracterizada como uma transao. Para que este requisito de negcio seja atendido, os recursos de TI devem suportar todas as transaes de recebimento. A premissa do requisito de negcio atender ao maior nmero de transaes possvel, sem interrupes, com o menor risco possvel para o negcio. Logo, os recursos de TI devem atender e entregar o que o negcio solicita. Para que os recursos de TI atendam ao requisito do negcio, os processos de TI devem ser implementados para garantir que os recursos sejam operados e disponibilizados adequadamente, fornecendo as informaes necessrias para que a organizao controle e tome as decises necessrias. A partir do caso acima, descreva os passos necessrios para que a rea de TI atenda aos requisitos de negcio estabelecidos. Passo 1:
Passo 2:
Passo 3:
Passo 4:
Passo 5:
Passo 6:
Captulo 1 - Roteiro de Atividades
15
Passo 7:
2. A Governana de TI orientada para o entendimento entre as reas de negcios e de TI,
realizando efetivamente o alinhamento estratgico. Suponha que esta mesma instituio bancria tem como meta aumentar o nmero de transaes de pagamentos para um milho diariamente, e esta meta no foi comunicada para a rea de TI. A rea de negcio se prepara para atingir esta meta, aumentando o nmero de agncias e postos de recebimento. Trata-se de uma mudana no requisito de negcio sem o conhecimento da rea de TI. Sendo assim, os recursos de TI podem no estar adequados para atender ao novo requisito, e consequentemente as entregas solicitadas pelo requisito de negcio podero no ser concretizadas. Neste caso, faltou o alinhamento entre a rea de negcio e a rea de TI. Descreva os passos necessrios para resolver o problema narrado acima. Passo 1:
Passo 2:
Passo 3:
Passo 4:
Passo 5:
Passo 6:
Passo 7:
16
3. De acordo com as informaes obtidas na resoluo do item 2, descreva para cada item
abaixo o que deveria ser previsto para atender s necessidades de negcio. Requisitos de negcio:
Recursos de TI e Infraestrutura de TI:
Pessoas:
Processos de TI:
Informao para a organizao:
Atividade 2 Organizao pblica: incluso digital

A prefeitura de um municpio decide disponibilizar acesso gratuito internet para seus cidados. Atualmente, o municpio possui uma populao fixa de 350 mil habitantes e uma populao flutuante de 15 mil. O requisito de negcio desta prefeitura, portanto, fornecer acesso gratuito internet para toda a populao. Este requisito de negcio est diretamente ligado ao planejamento estratgico da prefeitura, atendendo a uma meta estratgica de incluso digital, divulgada no plano de governo do prefeito durante a campanha eleitoral. importante para a administrao pblica que este requisito de negcio seja atendido, em favor da populao e do contribuinte. A premissa de que em 12 meses a prefeitura atenda a 150 mil pessoas, em diversas regies da cidade.
17
Com as informaes fornecidas, descreva os passos necessrios para o alinhamento da rea de TI ao requisito de negcio estabelecido para o municpio. Passo 1:
Passo 2:
Passo 3:
Passo 4:
Passo 5:
Passo 6:
Passo 7:
Atividade 3 Organizao pblica: nota fiscal eletrnica

Tomando como base a prefeitura de uma cidade que est implantando o servio de nota fiscal eletrnica, e partindo do princpio de que a cidade possui 5 mil empresas emitindo nota fiscal diariamente, determine para cada um dos focos da Governana de TI o que deve
ser feito para que a prefeitura consiga implantar esse servio sem prejudicar a arrecadao do municpio e das empresas. Deve ser considerado que a premissa mais importante da Governana de TI o alinhamento entre as diretrizes e objetivos estratgicos da organizao com as aes de TI. Considere as cinco reas de foco da Governana de TI (Alinhamento estratgico, Entrega de valor, Gerenciamento de riscos, Gerenciamento de recursos e Medio de desempenho) e descreva as aes para cada uma delas.
18
O que foi aprendido

11 Compreenso dos aspectos e processos bsicos que formam o escopo da
Governana de TI
11 Alinhamento entre os objetivos de TI e os objetivos de negcio 11 Desafios enfrentados para a implantao da Governana de TI 11 Diretrizes do governo para a implantao da Governana de TI
19
20
2
Relao entre Governana de TI e Governana Corporativa
objetivos
Apresentar os princpios fundamentais da governana corporativa, e a sua relao com a governana de TI. Conscientizar para a importncia do alinhamento estratgico entre a TI e os negcios.
conceitos
Fundamentos de governana corporativa, fundamentos da lei SOX, alinhamento estratgico.
Introduo
A Governana Corporativa um dos processos fundamentais para o desenvolvimento seguro das organizaes pblicas e privadas, pois:
q
Captulo 2 - Relao entre Governana de TI e Governana Corporativa
11 Prov maior controle sobre a administrao das operaes de negcios. 11 Direciona os investimentos necessrios para a manuteno do equilbrio
organizacional.
Governana O ato de governar o exerccio da autoridade, do controle e da administrao. a maneira pela qual o poder exercido na administrao dos recursos de uma organizao, buscando planejar, formular e implementar polticas e cumprir funes.
11 Um sistema adequado de Governana Corporativa: 11 Ajuda a fortalecer as organizaes; 11 Refora competncias para enfrentar novos nveis de complexidade; 11 Amplia as bases estratgicas da criao de valor; 11 fator de harmonizao de interesses, ao contribuir para que os resultados corporativos
se tornem menos volteis;
11 Aumenta a confiana de investidores nas organizaes privadas e a confiana da socie dade nas organizaes pblicas;
11 Fortalece o mercado de capitais e atua como fator coadjuvante do crescimento econmico.
21
Fortalece as organizaes
Fator de harmonizao de interesses Caractersticas de um bom sistema de Governana Corporativa Conana da sociedade nas organizaes pblicas Aumenta a conana de investidores nas organizaes privadas
Amplia as bases estratgicas da criao de valor
Refora competncias para enfrentar novos nveis de complexidade
Figura 2.1 Sistema de Governana Corporativa.
Exerccio de nivelamento 1 e Implantao de Governana de TI

No seu entendimento, como sua organizao est se preparando para implantar a Governana de TI? Se ela j implantou, compartilhe informaes sobre o processo de implantao e os resultados alcanados.
Fundamentos de Governana Corporativa

A Governana Corporativa um conjunto de responsabilidades e prticas exercidas pela direo das organizaes pblicas e privadas com o objetivo de:
11 Prover direcionamento estratgico as organizaes possuem metas e objetivos

estabelecidos, sendo necessrio estabelecer as estratgias necessrias para alcan-los;
11 Garantir que os objetivos da organizao sejam atingidos definir os indicadores

necessrios para monitorar o atingimento dos objetivos, como indicadores financeiros, sociais e de qualidade;
11 Garantir que os riscos da organizao sejam gerenciados adequadamente os

investimentos e as novas oportunidades de negcios devem ser validados e os riscos devem ser previstos, com medidas para agir em caso da ocorrncia do risco;
11 Garantir que os recursos da organizao sejam usados com responsabilidade

todos os recursos, humanos, fsicos, financeiros e lgicos devem ser usados com responsabilidade.
22
importante ter em mente que a Governana Corporativa o meio atravs do qual as orga BP Demonstrao contbil que apresenta a situao patrimonial da organizao em dado momento, mostrando o valor da organizao. DRE Demonstrao contbil do fluxo das operaes ocorridas em determinado perodo de tempo e o lucro correspondente.
nizaes so dirigidas e monitoradas. As decises da organizao so de responsabilidade da Governana Corporativa, proporcionando:
11 Transparncia nas operaes financeiras e de negcios as organizaes devem

manter transparentes suas operaes de negcios com outras organizaes, assim como os investimentos financeiros associados a tais operaes.
11 Preciso das demonstraes financeiras os demonstrativos financeiros como o

Balano Patrimonial (BP) e a Demonstrao de Resultados do Exerccio (DRE ) devem ser claros, precisos e fidedignos. A Governana Corporativa ganhou mais nfase com os escndalos ocorridos nos Estados Unidos em 2001 e 2002, em que grandes empresas, como Enron e WorldCom, foram acusa das de fraudes contbeis e outras irregularidades, tendo sido declaradas as suas falncias. A Enron, gigante do setor de energia e a stima maior empresa dos Estados Unidos, pediu concordata em dezembro de 2001, aps ter sido alvo de uma srie de denncias de fraudes contbeis e fiscais. Com uma dvida de US$ 13 bilhes, o grupo arrastou consigo a Arthur Andersen, que fazia a sua auditoria. J a WorldCom, segunda maior provedora de servios de telefonia de longa distncia e de dados nos Estados Unidos, registrou como investimen tos (ativo em seu balano patrimonial) o que era despesa (demonstrativo de resultados), distorcendo significativamente os dados de suas contas. Aps os escndalos, o governo americano implementou uma legislao que aumentou consideravelmente a responsabili dade da administrao das empresas, e consequentemente da Governana Corporativa. Deve-se ter em mente que uma Governana Corporativa adequada proporciona mais credibilidade para as organizaes, contribuindo para aumentar seu valor e longevidade e facilitando o acesso ao capital. Isso significa que as empresas precisam definir seus tomado res de decises e os processos atravs dos quais tais decises so tomadas. A Governana Corporativa no vale para qualquer deciso adotada numa companhia, nem para delibera es sem grande relevncia; suas prticas so vlidas para decises importantes, de valor considervel para as organizaes. Existem vrias publicaes auxiliares para a implantao de um conjunto de boas prticas de Governana Corporativa. No Brasil, o Instituto Brasileiro de Governana Corporativa (IBGC www.ibgc.org.br) publica o Cdigo das Melhores Prticas para a Governana Corporativa para contribuir com a implantao de um modelo de Governana Corporativa nas organizaes brasileiras. A Governana Corporativa no deve ser encarada como um modismo, pelo fato de possuir fundamentos slidos, que devem ser definidos a partir de princpios ticos aplicados na conduo das operaes de negcio, tanto de organizaes pblicas como privadas. De acordo com o G7 (grupo das 30 naes industriais mais avanadas do mundo), a Governana Corporativa um dos mais novos e importantes pilares da arquitetura econmica global. Tambm de acordo com a Organizao para Cooperao e Desenvolvimento Econ mico (OCDE ), a Governana Corporativa um dos instrumentos determinantes do desen volvimento sustentvel, em suas trs dimenses: a econmica, a ambiental e a social.
IBGC rgo brasileiro reconhecido como a principal referncia na difuso das melhores prticas de Governana na Amrica Latina. G7 O Grupo dos Sete um grupo internacional que rene os sete pases mais industrializados e desenvolvidos economicamente do mundo: Estados Unidos, Japo, Alemanha, Reino Unido, Frana, Itlia e Canad (e alm destes, a Rssia). Durante as reunies, os dirigentes mximos de cada Estado membro discutem questes de alcance internacional. OCDE Organizao internacional de 31 pases que aceitam os princpios da democracia representativa e da economia de livre mercado. Seus membros tm economias de alta renda com um elevado ndice de Desenvolvimento Humano (IDH), sendo considerados pases desenvolvidos.
23
Exerccio de nivelamento 2 e Exemplificando a Governana Corporativa

O Balano Patrimonial (BP) e a Demonstrao de Resultados do Exerccio (DRE) so documentos que todas as organizaes produzem. Algumas organizaes disponibilizam estes documentos em seus sites. Faa uma busca na internet para obter um melhor entendimento sobre estes dois documentos, registrando abaixo suas impresses.
Lei Sarbanes-Oxley (SOX)

Lei criada em 2002 por dois senadores americanos, como resposta s fraudes financeiras nos Estados Unidos que abalaram o mercado de capitais, iniciadas pelas empresas Enron e WorldCom. A lei visa restabelecer a confiana dos investidores reforando as prticas de Governana Corporativa presentes em todas as operaes que podem afetar as demonstraes financeiras , de forma a proteg-los contra fraudes. As organizaes com aes nas bolsas e suas subsidirias tm, obrigatoriamente, de adequar-se s exigncias da lei Sarbanes-Oxley (SOX). A lei SOX estabelece que os procedimentos financeiros sejam documentados, e que existam controles rgidos nas operaes que afetam as demonstraes financeiras. Alm disso, deve haver transparncia nas decises financeiras, e punies severas para os principais responsveis pelas organizaes, em caso de irregularidades. A lei SOX torna os executivos explicitamente responsveis por estabelecer, avaliar e monitorar a eficcia da estrutura de controles internos das companhias. A lei dividida em captulos e sesses, sendo que as sesses mais importantes para a Governana Corporativa so:
Enron Enron Corporation era uma companhia americana de energia, localizada em Houston, Texas. Empregava cerca de 21 mil pessoas, tendo sido uma das lderes mundiais em distribuio de eletricidade, gs natural e comunicaes. No ano 2000 seu faturamento chegou a 101 bilhes de dlares, pouco antes do escndalo financeiro que ocasionou sua falncia. WorldCom Empresa do setor de telecomunicaes americana que detinha 50% de todo o trfego de internet dos Estados Unidos e 50% de todos os e-mails da rede mundial. Em 2001, a WorldCom era dona de um tero de todos os cabos de dados nos Estados Unidos. Alm disso, era a segunda maior transportadora de longa distncia em 1998 e 2002.
11 Seo 302 diretores executivos e diretores financeiros devem declarar pessoalmente

que so responsveis pela divulgao das demonstraes financeiras. Cada demonstra o trimestral deve conter a certificao da execuo de todas as validaes referentes aos controles das demonstraes financeiras.
11 Seo 404 determina uma avaliao anual dos controles e procedimentos internos para a
emisso de relatrios financeiros. Alm disso, uma auditoria externa deve emitir um relat rio distinto que ateste a afirmao da administrao sobre a eficcia dos controles internos e dos procedimentos executados para a emisso das demonstraes financeiras.
24
importante estabelecer o vnculo entre a Governana Corporativa e a lei Sarbanes-Oxley, para demonstrar que o efeito da Governana Corporativa agrega valor e credibilidade para as organizaes. Entender os conceitos principais da Governana Corporativa importante para que os profissionais da rea de Tecnologia da Informao possam aplicar a Governana de TI de forma adequada e eficiente.
Relao entre a Governana de TI e a Governana Corporativa

Como vimos, a Governana de TI uma estrutura de relacionamentos e processos para dirigir e controlar a organizao, para que seus objetivos sejam alcanados, adicionando valor ao negcio e equilibrando os riscos em relao ao retorno das atividades do setor de TI e seus processos.
Figura 2.2 Relao entre a Governana Corporativa e a Governana de TI.
Governana Corporativa
Dirige e ajusta
Governana de TI
A relao entre as duas governanas deve ser constante, ou seja, para qualquer mudana no direcionamento da organizao deve existir um alinhamento com a rea de TI. Como mostra a figura 2.2, a Governana de TI est subordinada Governana Corporativa. Sendo assim, as aes de tecnologia devem estar alinhadas com a Governana Corporativa, pois a eficincia operacional da organizao est diretamente associada rea de TI. Este conceito conhe cido como o alinhamento entre a Governana Corporativa e a Governana de TI, represen tado na figura abaixo:
Governana de TI Estratgia de Negcios
Escopo do negcio Alinhamento estratgico Competncia sistmica
Estratgia de TI
Escopo de tecnologia
Vantagens competitivas
Governana do negcio
A estratgia de negcios trata dos seguintes assuntos:
11 Escopo de negcio determina o objetivo a ser atingido pela estratgia de negcio,

como por exemplo, diminuir a quantidade de contribuintes que no pagam impostos.
11 Vantagens competitivas determinam os diferenciais da organizao que tornam

possvel cumprir as determinaes do escopo de negcio.
11 Governana de negcio determina como medir e controlar as aes associadas

ao escopo de negcio e as vantagens competitivas. Est associada forma como os administradores utilizam as informaes disponveis para a tomada de deciso. A Estratgia de TI trata dos seguintes assuntos:
11 Escopo de tecnologia determina as principais tecnologias de suporte ao escopo de

negcios atual, bem como as tecnologias que permitem novas oportunidades, como a proviso de sistemas de informao que possibilitem o acesso rpido a informaes necessrias para a tomada de deciso, por exemplo.
Figura 2.3 Alinhamento entre a Governana Corporativa e a Governana de TI.
Governana de TI
25
11 Competncia sistmica determina as caractersticas vitais e pontos fortes da TI

que oferecem vantagens para a organizao para que o escopo de tecnologia seja alcanado, como por exemplo, manter altos ndices de disponibilidade dos sistemas com baixo tempo de resposta.
11 Governana de TI determina como direcionar as aes para que o escopo de

tecnologia e a competncia sistmica sejam atingidos, como por exemplo, criando indicadores que demonstrem como a TI est contribuindo para o alcance dos objetivos do negcio. Como a TI pode auxiliar no alcance dos objetivos da estratgia de negcio? As estratgias de TI devem estar alinhadas com as estratgias de negcios, sendo definidas pela Governana Corporativa. Conforme a figura anterior, a Governana Corporativa est associada diretamente estratgia de negcio, que determina as aes estratgicas a serem seguidas. A relao entre a Governana Corporativa e a Governana de TI deve ser constante. Os investimentos realizados em TI devem estar orientados para o alcance dos objetivos da organizao, seja ela pblica ou privada. Um erro comum que acontece nas organizaes a rea de tecnologia caminhar de modo independente da rea de negcios, ou vice-versa, causando problemas muitas vezes irrecuperveis.
Exerccio de fixao 1 e Definindo as estratgias de negcios e de TI

Uma prefeitura decide aumentar sua arrecadao e investir em obras de melhoria para a populao. Dentro deste contexto, determine: Para a Estratgia de Negcios: Escopo de negcio:
Vantagens competitivas:
Governana de negcio:
Para a Estratgia de TI:

Escopo de tecnologia:
Competncia sistmica:
26
Governana de TI:
Alinhamento estratgico
O planejamento estratgico de uma organizao uma composio:
11 Dos objetivos 11 Das estratgias pelas quais a organizao atingir seus objetivos 11 Do ambiente em que a organizao pretende operar, das tecnologias utilizadas e do
grau de integrao entre as reas internas
O principal objetivo da Governana de TI com relao ao alinhamento estratgico (definido pela Governana Corporativa) deve ser o de coordenar e aplicar os recursos tecnolgicos de forma a atender, da melhor maneira possvel, o planejamento estabelecido pela Governana Corporativa. Os objetivos e as estratgias da Governana de TI devem estar integrados e alinhados com o planejamento estratgico da organizao. Sendo assim, a rea de tecnologia capaz de determinar as priorizaes necessrias entre os vrios projetos de TI, possibilitando o alcance das metas estabelecidas pela Governana Corporativa. A integrao das estrat gias tecnolgicas e de negcios pode ser graficamente representada como mostra a figura:
Planejamento estratgico de negcios
rea 1
rea 2
rea 3
rea n
Estratgias de TI
Figura 2.4 Planejamento estratgico de negcios.
Sistemas de informao
Infraestrutura tecnolgica
Gesto tecnolgica
Na parte superior est representado o planejamento estratgico de negcios, definido na Governana Corporativa, que essencialmente se desmembra nos objetivos e estratgias das vrias reas internas da organizao. O planejamento dos sistemas de informao e da sua tecnologia subsidiado pela definio dos objetivos e das estratgias da organiza o, desdobrados nas estratgias de TI definidas pela Governana de TI. As informaes so disponibilizadas pelos sistemas de informao e suportadas pela infraestrutura e gesto tecnolgica. As estratgias so desenvolvidas visando qualidade, produtividade e efetividade no aten dimento das necessidades da administrao da organizao, adequando-se a uma poltica de custos controlados, cumprimento de prazos predefinidos e ateno s solues, mudanas e evolues das tecnologias disponveis no mercado. Por sua vez, os objetivos estratgicos so desdobrados em objetivos operacionalizados pelos processos de neg cios. A figura 2.5 representa a relao entre os processos de negcio que so suportados pelos recursos de TI, e operacionalizados pelos processos de TI.
27
possvel observar uma forte ligao entre os recursos e processos de TI, determinados na Governana de TI, e os processos e objetivos de negcios, determinados pela Governana Corporativa. Uma falha nesta cadeia pode causar srio impacto nos negcios, seja de uma organizao pblica ou privada.
Processo de negcio
Objetivo de TI
Recursos de TI
Figura 2.5 Processo de negcio e TI.
Processos de TI
Exerccio de fixao 2 e Alinhamento estratgico

Para entender melhor o alinhamento estratgico, necessrio determinar como a TI suportar o negcio por meio de um objetivo especfico, recursos e processos. Sendo assim, a partir do mesmo contexto abordado no Exerccio de Fixao 1, determine como realizar um alinhamento entre TI e negcios relacionado com o aumento da arrecadao de um munic pio, com base nos seguintes itens:
11 Processo de negcio; 11 Objetivo de TI; 11 Recursos de TI; 11 Processos de TI.

1. Desenvolva:
28
Influncia da Governana Corporativa nos investimentos de TI

Os investimentos em Tecnologia da Informao so determinantes para que uma organizao atinja os seus objetivos de negcios. Tomando como base uma organizao do setor pblico ou privado, um dos objetivos financeiros seria Gerenciar e otimizar os investimentos e despesas com TI.
O gerenciamento e a otimizao dos investimentos e despesas com TI representam um obje tivo vlido para organizaes pblicas e privadas, embora com significados diferentes. Para uma organizao privada, tal objetivo pode ser expresso no aumento da rentabilidade dos acionistas, e consequentemente da margem de lucro, gerando maior eficincia operacional. Para uma empresa pblica, que no visa lucro e no possui acionistas, este objetivo pode significar maior eficincia operacional e um uso mais eficiente da tecnologia, reduzindo o gasto pblico. De qualquer forma, os dois tipos de organizao tm que prover investimen tos em TI que assegurem o cumprimento dos objetivos de negcio, com eficincia e quali dade. Ento, como investir adequadamente? Um dos problemas bsicos enfrentados pelas organizaes relativo capacidade da rea de tecnologia em suportar as atividades relativas ao negcio. Para que os investimentos sejam realizados de forma adequada, necessrio um processo de realimentao entre a rea de negcios e de TI. Uma estratgia que pode ser adotada, e que vem sendo realizada por diversas organizaes, definir um processo de monitorao dos negcios associado com a rea de tecnologia.
Governana Corporativa
Impacto Desempenho Disponibilidade
Gerenciamento do negcio
Governana de TI
Processos de tecnologia Gerenciamento da TI
Figura 2.6 Monitorao dos negcios.
Infraestrutura de TI
O Gerenciamento do Negcio monitora todas as operaes de negcios, de forma a geren ciar os impactos originados pelo desempenho e disponibilidade das operaes. O desem penho e a disponibilidade esto associados diretamente infraestrutura tecnolgica. Da mesma forma, o Gerenciamento de TI monitora toda a infraestrutura tecnolgica associada quantidade de operaes realizadas pelo negcio. Isso significa que se existe um aumento da quantidade de operaes de negcios, a monitorao realizada pela rea de TI conse guir identific-lo e prever a necessidade de incremento da capacidade da infraestrutura, para suportar o crescimento no volume das operaes de negcio. O Gerenciamento do Negcio e da TI garante que as mudanas nas operaes de negcio sejam comunicadas para a rea de tecnologia, e que as mudanas e necessidades de tecno logia sejam comunicadas para a rea de negcio. A adoo de processos e indicadores desta natureza garante um investimento mais adequado na rea de TI. Desta forma, ela no ter
29
uma capacidade maior que sua real necessidade (gerando ociosidade com o investimento desnecessrio) e nem capacidade abaixo da necessidade (comprometendo o negcio). Portanto, o investimento deve ser realizado considerando o alinhamento entre as reas de negcios e de tecnologia, garantindo uma Governana Corporativa efetiva, determinante da linha a ser seguida e do volume de recursos investido.
30
Atividade 1 Definindo insumos para alinhar TI aos negcios
Uma determinada universidade, atravs do seu Instituto de Veterinria e Agropecuria, conhecedora do constante crescimento das atividades de agronegcio no pas, est desen volvendo servios de consultoria junto a rgos pblicos da rea. No campo da pecuria, os rgos reguladores tm se preocupado em controlar adequadamente os rebanhos, visando o aumento das exportaes de carne e derivados. Com o aumento dos investimentos em tecnologia, a universidade tem auxiliado um rgo pblico na identificao dos animais no campo, atravs do desenvolvimento de um cdigo a ser inserido em um sistema informa tizado que permita o rastreamento do animal desde o seu nascimento at o momento do abate, garantindo sua procedncia e facilitando o processo de exportao de sua carne. Tomando como base que o rgo pblico assessorado pela universidade visa prover o abastecimento agropecurio, e que sua viso de futuro Ser reconhecido pela qualidade e agilidade na implementao de polticas e na prestao de servios para o desenvolvimento sustentvel do agronegcio, identifique para o rgo: O escopo de negcio
As vantagens competitivas
A governana de negcio
O escopo de tecnologia
A competncia sistmica
A Governana de TI
31
Atividade 2 Criando um processo para alinhar TI e negcios

Manter a estratgia de TI alinhada e ajustada s necessidades de negcio de uma organiza o imprescindvel para atingir a Governana de TI. O alinhamento da rea de TI com as reas de negcio um exerccio de constante aproximao. Sendo assim, importante que exista um processo contnuo de alinhamento estratgico entre TI e negcio. A importncia desse processo que um alinhamento adequado resulta na obteno do mximo retorno dos investimentos em TI e d o suporte necessrio para a organizao atingir seus obje tivos e metas. O desafio de tudo isso a implementao deste processo, pois raramente as organizaes possuem um plano estratgico de negcios e de TI bem definido. A falta destes planos de negcios e de TI resulta em aes e investimentos pontuais, nem sempre alinhados. A boa prtica de governana de TI mostra que a participao do gerente de TI (ou o profissional responsvel pela rea) nesse processo extremamente necessria. Por outro lado, a rea de TI se esconde na organizao e no mostra claramente do que ela capaz e o que ela realmente representa dentro da organizao. Neste sentido importante que o processo de alinhamento estratgico seja definido. Com as informaes acima, e com o conhecimento adquirido nesta sesso, elabore um pro cesso descritivo de como deveria ocorrer o alinhamento entre TI e negcio.
32
Atividade 3 Definio de indicadores para monitorao dos negcios e da TI

Toda organizao necessita criar indicadores para monitorar os negcios e a TI. A monito rao das funes de negcio est diretamente associada ao desempenho da organizao, fornecendo subsdios para a melhoria ou aumento das funes de negcios existentes. A rea de TI suporta quase a totalidade das funes de negcio, por meio da infraestrutura e sistemas. Criar indicadores que orientem as aes de TI e de negcio fundamental para qualquer organizao. Tomando por base as funes ou servios de negcios da sua organizao, estabelea uma relao entre as funes de negcios e os servios de TI que os suportam e crie indicadores de negcios e indicadores de TI, de forma a monitorar os servios essenciais para a organizao. Utilize o exemplo da tabela a seguir como referncia para executar a atividade. Funo de negcio Servios de TI que suportam a funo de negcio Link de comunicao Indicador de negcio Transao de vendas efetuadas em determinado perodo Transao de vendas efetuadas em determinado perodo Transao de vendas efetuadas em determinado perodo Estatstica de crescimento Indicador de TI
Percentual de disponibilidade do link de comunicao Percentual de disponibilidade da infraestrutura de TI Percentual de transaes no efetivadas em determinado perodo Percentual de disponibilidade do banco de dados
Sistema de vendas on-line

1. Venda de produto pela internet
Infraestrutura de TI (servidores, ativos de rede, sistemas operacionais) Banco de dados
2.
3.
4.
33
O que foi aprendido

11 A importncia da Governana de TI para a Governana Corporativa 11 Como a lei SOX influencia as decises das Governanas Corporativa e de TI 11 Como alinhar os objetivos de TI aos objetivos de negcio de uma organizao 11 Como determinar: 22 Objetivo de negcio 22 Objetivo de tecnologia 22 Recursos de TI 22 Processos de TI
34
3
Viso geral da implantao da Governana de TI com CobiT
objetivos
Apresentar os fundamentos bsicos da implantao da Governana de TI com o CobiT 4.1.
conceitos
Viso geral e requisitos da implantao da Governana de TI com o CobiT 4.1.
Introduo
Na busca pela realizao de uma boa Governana de TI, as organizaes se apoiam em ferramentas que norteiam as aes para a obteno de resultados na melhoria dos processos de tecnologia, bem como na adequao de uma infraestrutura tecnolgica que d sustenta bilidade aos objetivos de negcio da organizao. O mercado oferece uma srie de ferramentas para auxiliar na construo da Governana de TI, sendo que entre elas destaca-se o CobiT: CobiT 4.1 uma ferramenta que auxilia a auditoria da rea de tecnologia, fornecendo um diagnstico do quanto a rea de tecnologia est atendendo adequadamente s suas funes e requisitos, em alinhamento aos objetivos do negcio.
Captulo 3 - Viso geral da implantao da Governana de TI com CobiT
Viso geral do CobiT 4.1

CobiT significa Control Objectives for Information and related Technology. uma ferra menta focada em Governana de TI criada e mantida pela Information Systems Audit and Control Association (ISACA), que atende aos requisitos de controle e auditoria de TI. Atualmente est nas verses 4.1 e 5 (este curso aborda a verso 4.1). A ISACA disponibiliza um repositrio de conhecimento para os associados e mantm o IT Governance Institute (ITGI). Links:
11 ISACA www.isaca.org 11 ITGI www.itgi.org
35
O CobiT um conjunto de informaes usado como modelo de referncia para Governana de TI. Inclui um sumrio executivo, um framework, controle de objetivos, mapas de audi toria, ferramentas para implementao e um guia com tcnicas de gerenciamento. Alm disso, o CobiT est orientado a processos e negcios, com base em controles e medidas de desempenho dos processos de TI.
Objetivos de controle relacionados ao uso da TI

O CobiT contribui para a Governana de TI nos seguintes aspectos:
11 Estabelece a ligao da TI com os requisitos de negcios da organizao 11 Organiza as atividades de TI dentro de um modelo de processos 11 Identifica os principais recursos de TI que suportam os negcios da organizao 11 Define o gerenciamento dos objetivos de controle mais significativos para a Governana de TI O CobiT suporta a governana de TI fornecendo uma estrutura para garantir:
11 O alinhamento da TI com os negcios 11 Que a TI seja orientada ao negcio e produza benefcios 11 Que os recursos de TI sejam utilizados de forma responsvel 11 O gerenciamento dos riscos de TI
Exerccio de nivelamento 1 e Definio de processo

Qual o seu entendimento sobre processos de TI e processos de negcio?
36
Inter-relacionamento dos componentes do CobiT
Negcio
Requisitos Processos de TI
Co
ncia
u ns
o ad
or
nt
ro
la
do
po
Audita
Realiz ado c om ecc ia e e ci
Objetivos de controle
Im
do por
do
Nvel de maturidade
Indicador de performance Indicador de resultados
Modelo Maturidade KPI
em
ple me
zin
nta
du
do
Tra
sp or
KGI
Metas das atividades
Guia de auditoria
Prticas de controle
Figura 3.1 Inter-relacionamento dos componentes do CobiT.
O ncleo central do CobiT so os Processos de TI. Os processos de TI so controlados por Objetivos de Controle, que traduzem os resultados que se espera obter com a implementa o de procedimentos de controle em uma determinada atividade de TI. Os objetivos de controle so implementados por Prticas de Controle de TI, como, por exemplo, o modelo adotado para aquisio de bens e servios tecnolgicos, e traduzidos por um Guia de Auditoria, que audita os processos de TI. Os processos de TI tambm esto associados s Metas das Atividades, que fazem parte do fluxo de atividade do processo, como por exemplo, a mudana de qualquer item de tecnologia, sendo que a mensurao realizada pelo Modelo de Maturidade, Indicador de Performance e Indicador de Resultados. A estrutura do CobiT est representada na figura abaixo, possuindo:
11 4 Domnios 11 34 Processos 11 34 Objetivos de controle de alto nvel 11 210 Objetivos de controle detalhados
37
Objetivos do negcio
Governana de TI
Informaes
Eccia Ecincia Condencialidade Integridade Disponibilidade Conformidade Conabilidade
Monitorao e Avaliao
Planejamento e Organizao
Recursos de TI
Aplicativos Informaes Infraestrutura Pessoas
Entrega e Suporte
Aquisio e Implementao
Figura 3.2 Estrutura do CobiT.
As tabelas a seguir mostram o desdobramento dos processos relativos aos seguintes domnios: Planejamento e Organizao (PO), Aquisio e Implementao (AI), Entrega e Suporte (DS) e Monitorao e Avaliao (ME).
Domnio Planejamento e Organizao (PO)

Processos: PO1 Denir o planejamento estratgico de TI PO2 Denir a arquitetura de informaes PO3 Determinar a direo tecnolgica PO4 Denir os processos, organizao e relacionamentos da TI PO5 Gerenciar o investimento em TI PO6 Comunicar os objetivos e direo da gerncia PO7 Gerenciar recursos humanos de TI
PO8 Gerenciar qualidade PO9 Avaliar e gerenciar os riscos de TI PO10 Gerenciar projetos
Domnio Aquisio e Implementao (AI)

Processos: AI1 Identicar solues automatizadas AI2 Adquirir e manter software aplicativo AI3 Adquirir e manter infraestrutura tecnolgica AI4 Possibilitar operaes e uso AI5 Obter recursos de TI
38
AI6 Gerenciar mudanas AI7 Instalar e homologar solues e mudanas
PO7 Gerenciar recursos humanos de TI PO8 Gerenciar qualidade PO9 Avaliar e gerenciar os riscos de TI PO10 Gerenciar projetos
Domnio Aquisio e Implementao (AI)

Processos: AI1 Identicar solues automatizadas AI2 Adquirir e manter software aplicativo AI3 Adquirir e manter infraestrutura tecnolgica AI4 Possibilitar operaes e uso AI5 Obter recursos de TI AI6 Gerenciar mudanas AI7 Instalar e homologar solues e mudanas
Domnio Entrega e Suporte (DS)

Processos: DS1 Denir e gerenciar nveis de servios DS2 Gerenciar servios terceirizados DS3 Gerenciar desempenho e capacidade DS4 Garantir continuidade de servios DS5 Garantir segurana de sistemas DS6 Identicar e alocar custos de TI DS7 Educar e treinar usurios DS8 Gerenciar service desk e incidentes DS9 Gerenciar conguraes DS10 Gerenciar problemas DS11 Gerenciar dados DS12 Gerenciar o ambiente fsico DS13 Gerenciar operaes de TI
Domnio Monitorao e Avaliao (ME)

Processos: M1 Monitorar e avaliar o desempenho de TI M2 Monitorar e avaliar controles internos M4 Prover Governana de TI
M3 Assegurar conformidade com as regu-lamentaes
Basicamente, o CobiT uma estrutura top down, como mostra a prxima figura:
Domnios
Processos
Figura 3.3 Estrutura top down do CobiT.
Atividades
39
As informaes provenientes dos recursos de TI suportam os objetivos de negcio da organizao. Por sua vez, estas informaes possuem sete critrios que devem ser atendi dos, sendo eles: Qualidade:
11 Eficcia a informao deve ser relevante e pertinente aos processos de negcios,

bem como deve ser entregue em tempo, de forma correta, consistente e til.
11 Eficincia a informao deve ser fornecida com o uso de recursos da forma mais
produtiva e econmica. Segurana:
11 Confidencialidade a informao deve ser protegida de acesso no autorizado. 11 Integridade a informao deve ser precisa e completa, bem como sua validade deve
estar em concordncia com o conjunto de valores e expectativas do negcio.
11 Disponibilidade a informao deve estar disponvel quando requerida pelo processo

de negcio. Fiducirio:
11 Conformidade a informao deve estar em conformidade com leis, regulamentos e

contratos aos quais os processos de negcios esto associados.
11 Confiabilidade a informao deve ser provida de forma apropriada, permitindo seu

uso na operao da organizao, na publicao de relatrios financeiros para seus usurios e rgos fiscalizadores, conforme leis e regulamentos. Para atender aos objetivos de negcios, a organizao deve possuir os recursos de TI necessrios. O CobiT aborda os seguintes recursos de TI:
11 Aplicativos sistemas de informao usados na organizao. 11 Informaes dados em todas as suas formas utilizados nos sistemas de informao
e pelos processos de negcios.
11 Infraestrutura tecnologia utilizada, como os equipamentos, sistemas operacionais e

rede de comunicao de dados que processam as aplicaes.
11 Pessoas as pessoas requeridas para planejar, organizar, adquirir, entregar, dar

suporte e monitorar os aplicativos, processos e servios de TI. As pessoas podem ser funcionrios da prpria organizao ou de empresas terceirizadas.
Exerccio de fixao 1 e Definindo critrios de informao e recursos

Uma organizao educacional decide ampliar a sua rea de pesquisa cientfica no campo da agropecuria. Identifique e justifique, para cada critrio de informao e recursos de TI do
CobiT, o que esta organizao deve prever. Critrios de informao Eficcia Definir os indicadores necessrios para a tomada de deciso, baseados em dados ambientais.
Figura 3.4
40
Critrios de informao Eficcia Definir os indicadores necessrios para a tomada de deciso, baseados em dados ambientais.
Figura 3.5
Recursos de TI
Domnios e processos do CobiT 4.1

O CobiT possui os seguintes domnios:
11 PO Planejamento e Organizao; 11 AI Aquisio e Implementao; 11 DS Entrega e Suporte; 11 ME Monitorao e Avaliao.
PO Planejamento e Organizao
Este domnio compreende estratgias e tticas e procura identificar como a TI pode contri buir para o alcance das metas da organizao. Alm disso, uma infraestrutura tecnolgica deve ser definida para atender aos objetivos da organizao. Esse domnio normalmente atende s seguintes questes de Governana de TI:
11 As estratgias de TI e de negcios esto alinhadas? 11 A organizao est utilizando seus recursos da melhor forma possvel? 11 Todos conhecem as metas de TI? 11 Os riscos de TI so entendidos e esto sendo administrados? 11 A qualidade dos sistemas de TI atende s necessidades corporativas?
Processos do domnio Planejamento e Organizao:
11 PO1 Definir um Plano Estratgico de TI definir um plano estratgico de TI alinha do com os objetivos de negcios.
11 PO2 Definir a Arquitetura da Informao estabelecer um modelo de dados

corporativo que incorpore um esquema de classificao de dados para assegurar a integridade e consistncia de todos os dados.
41
11 PO3 Determinar Direcionamento Tecnolgico definir e implementar um plano

de infraestrutura tecnolgica, arquitetura e padres que reconheam e alavanquem oportunidades de negcio.
11 PO4 Definir Processo, Organizao e Relacionamentos da TI estabelecer estru turas organizacionais de TI transparentes, flexveis e responsveis; definir e imple mentar processos de TI com regras e responsabilidades integradas aos processos de negcios.
11 PO5 Gerenciar o Investimento em TI decidir de forma eficiente e efetiva sobre os

investimentos de TI.
11 PO6 Comunicar Metas e Diretrizes comunicar todas as aes e os planos de TI,

bem como relatrios da capacidade de TI para atender s necessidades do negcio.
11 PO7 Gerenciar Recursos Humanos de TI contratar e treinar pessoal, promovendo

a motivao atravs de planos de carreira claros, atribuindo papis que correspondam s habilidades, estabelecendo um processo definido de reviso, criando descries de cargos e assegurando a conscincia de dependncia nos indivduos.
11 PO8 Gerenciar Qualidade gerenciar a qualidade dos servios de TI para atender as

necessidades do negcio, garantindo que os requisitos de qualidade sejam atendidos.
11 PO9 Avaliar e Gerenciar Riscos de TI desenvolver uma estrutura de gerencia mento de riscos de TI integrada estrutura de gerenciamento de riscos operacionais e de negcio, avaliar e mitigar riscos e comunicar riscos residuais.
11 PO10 Gerenciar Projetos definir uma abordagem de gerenciamento de projetos

que seja aplicada aos projetos de TI.
AI Aquisio e Implementao
Para compreender as estratgias de TI, as solues precisam ser identificadas, desenvolvidas ou adquiridas, implementadas e integradas aos processos da organizao. Alm disso, a manuteno e mudanas dos sistemas existentes esto cobertas por este domnio, para garantir a continuidade das solues de acordo com os objetivos de negcio da organizao. Esse domnio normalmente atende s seguintes questes de Governana de TI:
11 Existe planejamento de novos projetos para entrega de solues de acordo com as

necessidades de negcio?
11 Existe planejamento de novos projetos para ser entregue no prazo e dentro do ora mento previsto?
11 Novos sistemas estaro funcionando corretamente aps a implementao? 11 Mudanas podero ser realizadas sem comprometer as operaes de negcios
em andamento? Processos do domnio Aquisio e Implementao:
11 AI1 Identificar Solues Automticas identificar solues automatizadas que

atendam necessidade de TI, para traduzir funes de negcios e requisitos de con trole em um projeto eficiente e eficaz de solues automatizadas (sistemas).
11 AI2 Adquirir e Manter Aplicaes e Sistemas adquirir e manter sistemas aplicativos que atendam necessidade de TI, alinhando as aplicaes disponveis com os requisitos de negcios, e obedecendo a prazos e custos.
42
11 AI3 Adquirir e Manter Infraestrutura Tecnolgica adquirir e manter infraestrutura tecnolgica que atenda necessidade de TI, adquirindo e mantendo uma infraestrutura de TI padronizada e integrada.
11 AI4 Habilitar Operao e Uso habilitar operao e uso que atenda necessidade de
TI, garantindo a satisfao do usurio final com os servios oferecidos e nveis de servio, e integrando aplicaes e solues tecnolgicas de acordo com os processos de negcios.
11 AI5 Obter Recursos de TI obter recursos de TI que atendam necessidade de TI de

melhorar o custo benefcio de TI e sua contribuio para a rentabilidade dos negcios.
11 AI6 Gerenciar Mudanas gerenciar mudanas que atendam necessidade de TI,

correspondendo aos requisitos dos negcios alinhados com a estratgia da organizao, enquanto reduz os defeitos de soluo e retrabalhos.
11 AI7 Autorizar e Instalar Mudanas e Solues instalar e homologar as solues

e mudanas que atendam demanda de TI por novos sistemas (ou sistemas modifica dos) que operem eficazmente aps a instalao.
DS Entrega e Suporte
Este domnio trata da liberao dos servios requisitados, os quais incluem liberao dos servios, gerenciamento da segurana e continuidade, servios de suporte a usurios, gerenciamento de dados e facilidades operacionais. Esse domnio normalmente atende s seguintes questes de Governana de TI:
11 Os servios de TI esto sendo liberados de forma alinhada com as prioridades do negcio? 11 Os custos de TI esto otimizados? 11 A fora de trabalho est apta a usar os sistemas da TI de forma produtiva e segura? 11 Confidencialidade, integridade e disponibilidade da informao esto adequadamen te tratadas na organizao? Processos do domnio Entrega e Suporte:
11 DS1 Definir e Gerenciar Nveis de Servio identificar requisitos para os servios, 11 DS2 Gerenciar Servios de Terceiros estabelecer relacionamentos e responsabilidades bilaterais com provedores de servios terceirizados qualificados, e monitorar a entrega de servios para verificar e assegurar aderncia aos acordos estabelecidos.
acordando nveis de servio e monitorando a realizao dos nveis de servio.
11 DS3 Gerenciar Desempenho e Capacidade conhecer os requisitos de tempo de

resposta dos acordos de nvel de servios, minimizando o tempo de parada e gerando um desempenho de TI contnuo de forma a melhorar a capacidade da TI por meio de monitoramento e avaliao.
11 DS4 Assegurar Continuidade de Servios construir resilincia dentro de solues

automatizadas e desenvolver, manter e testar planos de continuidade de TI.
11 DS5 Assegurar Segurana de Sistemas definir polticas de segurana, procedi mentos e padres, monitorando, detectando, reportando e resolvendo vulnerabilida des e incidentes de segurana.
11 DS6 Identificar e Alocar Custos realizar levantamento completo e preciso dos

custos de TI, para a obteno de um sistema justo de alocao de custos em acordo com os usurios do negcio, gerando relatrios de uso de TI e custos associados.
43
11 DS7 Educar e Treinar Usurios ter um entendimento claro das necessidades de

treinamento dos usurios de TI, executando uma estratgia efetiva de treinamento e medindo os resultados.
11 DS8 Gerenciar Central de Servios e Incidentes implantar uma central de servios

de TI com respostas rpidas, procedimentos claros de solues e relatrios gerenciais.
11 DS9 Gerenciar Configurao estabelecer e manter um cuidadoso e completo re positrio de configuraes de ativos de TI, com seus atributos e linhas de configurao, mantendo as informaes de alteraes atualizadas.
11 DS10 Gerenciar Problemas registrar, acompanhar e resolver problemas operacio nais de TI, investigando a causa raiz para todos os problemas significativos, definindo solues para problemas identificados na operao da TI.
11 DS11 Gerenciar Dados manter a integralidade, exatido e proteo dos dados

para a gerao precisa das informaes usadas pelos processos de negcios.
11 DS12 Gerenciar Ambiente Fsico prover e manter um ambiente fsico de TI apro priado para proteger os ativos de TI de acessos no autorizados, danos ou roubo.
11 DS13 Gerenciar Operaes definir os procedimentos operacionais para gerenciar

as operaes de TI, garantindo a proteo, monitorao e manuteno de toda a infraestrutura tecnolgica.
ME Monitorao e Avaliao
Todos os processos de TI necessitam de avaliao peridica com relao qualidade e con formidade com os requisitos de controle. Este domnio direciona para o gerenciamento de desempenho, monitoramento dos controles internos, controle da conformidade e proviso da governana. Esse domnio normalmente atende s seguintes questes de Governana de TI:
11 Uma anlise de desempenho da TI est sendo realizada para detectar problemas

antes que imprevistos ocorram?
11 Existe gerenciamento para garantir que os controles internos sejam efetivos e eficientes? 11 O desempenho da TI est ligado aos objetivos do negcio? 11 Existem medidas e relatrios dos controles, riscos, desempenho e conformidade?
Processos do domnio Monitorao e Avaliao:
11 ME1 Monitorar e Avaliar Desempenho de TI monitorar e avaliar o desempenho

de TI com transparncia, conhecimento do custo, benefcios, estratgia, polticas e nveis de servio de TI, sempre em conformidade com os requisitos de governana.
11 ME2 Monitorar e Avaliar Controles Internos monitorar e avaliar os controles

internos para atender as metas de TI, de acordo com as normas e regulamentaes relacionadas TI.
11 ME3 Assegurar Regulamentao de Conformidades garantir a conformidade

com as leis e regulamentaes.
11 ME4 Prover Governana de TI possibilitar que a Governana de TI atenda

necessidade de integrao com as metas de Governana Corporativa e em conformi dade com as leis e regulamentaes.
44
Exerccio de fixao 2 e Trabalhando com os processos do CobiT

Em uma determinada organizao, aps uma auditoria, constatou-se que:
11 A rea de TI, em virtude da falta de planejamento e do alinhamento de suporte a estratgias,

atua em posio reativa, resolvendo os diversos problemas que surgem a todo o momento e atendendo s necessidades de seus clientes, sempre classificadas como emergenciais.
11 No existem polticas, normas, processos e nem procedimentos definidos para as ativi dades operacionais e de gesto da TI. As atividades da rea esto em um estgio onde procedimentos e tarefas so executadas pelos profissionais, cada qual contribuindo com tais atividades com conhecimento pessoal, mas sem uma ao padronizada e controlada. Em vista disso, a responsabilidade pelo sucesso nas aes do indivduo que as executa.
11 No existe um catlogo de servios, sendo que as solicitaes so atendidas pelo Help Desk.
Utilizando os conhecimentos adquiridos at aqui, quais seriam os processos do CobiT utiliza dos para auxiliar a modificar este cenrio? Determine o motivo da escolha de cada processo. Processos PO1 Justificativa Definir um plano estratgico de TI.
Figura 3.6
Viso geral da implantao de Governana de TI com o CobiT 4.1

Como vimos, a Governana de TI uma estrutura de relacionamentos e processos para dirigir e controlar a organizao, para que seus objetivos sejam atingidos, adicionando valor, ao mesmo tempo em que equilibra os riscos em relao ao retorno da TI e seus processos. O CobiT um framework focado em governana, controle e auditoria de Tecnologia da Informao, tendo sido criado pelo Information System Audit and Control Association (ISACA) em 1996, a partir de ferramentas de auditoria, funcionando como uma espcie de guia para a gesto da TI nas empresas. O CobiT inclui uma srie de recursos, como um sumrio exe -
45
cutivo, framework, objetivos de controle, mapas de auditoria e um conjunto de processos definidos e empregados pelas organizaes que necessitam de uma Governana de TI plena. O CobiT independe das plataformas de TI adotadas pelas organizaes e seu uso orien tado a negcios, no sentido de fornecer informaes detalhadas para o gerenciamento de processos. A metodologia voltada para trs nveis distintos:
11 Para gerentes que necessitam avaliar os riscos e controlar os investimentos de TI. 11 Para usurios que precisam assegurar a qualidade dos servios prestados para clien tes internos e externos.
11 Para auditores que necessitam avaliar o trabalho de gesto da TI e aconselhar o contro le interno da organizao (o foco determinar os pontos mais carentes de melhorias). A Governana de TI atravs do CobiT recomendada para otimizar os investimentos em TI e fornecer indicadores para a avaliao dos resultados. Os objetivos de negcio das organizaes pblicas e privadas mapeados em objetivos estratgicos necessitam de uma ferramenta para que a TI suporte-os adequadamente. A Governana de TI com o CobiT a ferramenta adequada para garantir o alinhamento entre TI e o negcio, conforme mostra a figura 3.5. Objetivos de negcio
Estratgias de TI
CobiT
Governana de TI Operao seguindo diretrizes de Governana de TI Operao suportada por modelos de referncias e melhores prticas adequados aos negcios
Figura 3.7 CobiT alinhando TI ao negcio.
O CobiT tem como premissa que a TI deve entregar a informao necessria para que a empresa possa atingir os seus objetivos. Neste sentido, o CobiT auxilia o alinhamento da TI com os objetivos de negcio, focando nas informaes requeridas pelos negcios e os recursos de TI da organizao que sustentam estas informaes. O objetivo facilitar a Governana de TI, entregando o valor que a TI proporciona organizao enquanto gerencia os riscos. A figura abaixo representa o fluxo do alinhamento de TI com os negcios:
gerar informao
Figura 3.8 Fluxo do alinhamento de TI com negcios.
Recursos e Processos de TI
Processos de negcios
para atingir
Objetivos de negcios
necessrio que sejam implantados controles adequados para que a Governana de TI seja alcanada com xito. Os controles so polticas, procedimentos, prticas e estruturas organizacionais desenvolvidas para fornecer segurana razovel para que os objetivos de negcios sejam alcanados e eventos indesejveis sejam prevenidos ou detectados. O CobiT possui objetivos de controle para a Governana de TI, que so uma formalizao do resultado desejado ou proposto, a ser alcanado pela implementao de procedimentos
46
de controle em atividades especficas da TI. Estes objetivos de controle so utilizados para avaliar, por meio de auditoria, se a organizao possui uma Governana de TI adequada, e no caso de no possuir, identificar os meios para alcan-la. O CobiT baseado nos seguintes princpios:
11 Requisitos de negcios os requisitos de negcios que a organizao pretende atingir; 11 Recursos de TI os recursos necessrios para suportar os requisitos de negcios da
organizao;
11 Processos de TI os processos utilizados para garantir que os recursos de TI esto sendo

usados de forma adequada;
11 Informao para a organizao as informaes geradas para que a Governana Corporativa tenha controle e tome decises. A figura a seguir representa o fluxo dos princpios do CobiT.
e nd te
s ao
Requisitos de negcio
direc inve iona stim o en s to

s
ra pa
Informao para a organizao
qu e
CobiT
Recursos de TI
ra
Figura 3.9 Princpios do CobiT.
en tre gar
Processos de TI
qu
ad us o es
Neste sentido, implantar os processos do CobiT torna a Governana de TI mais realista. O desafio enfrentado pelas organizaes implantar todos os processos inseridos no CobiT, misso complexa para a qual devem ser priorizados os processos mais importantes para a organizao. Esta priorizao s acontece com uma integrao adequada entre as reas de TI e negcios. Para obter uma priorizao dos processos necessrio realizar uma avaliao precisa do ambiente de TI, e com o resultado iniciar a implantao a partir das prioridades definidas.
Requisitos para a implantao da Governana de TI

A implantao da Governana de TI deve ser precedida de um planejamento estratgico de TI, que definir as aes que devem ser iniciadas, em curto, mdio e longo prazo. O planejamento estratgico de TI um processo que torna possvel conhecer todo o ambiente tecnolgico e as diretrizes de negcios, tornando a Governana de TI factvel. O domnio Planejamento e Organizao (PO do CobiT 4.1) traz como primeiro processo o PO1 Definir um planejamento estratgico de TI.
os p
elo s
pa
47
A figura 3.7 apresenta as etapas para a realizao de um planejamento estratgico de TI.

Planejar o planejamento estratgico de TI Conhecer as estratgias de negcios Conhecer e avaliar a situao atual do ambiente tecnolgico Propor um novo ambiente tecnolgico Realizar anlise entre situao atual e situao proposta para o ambiente tecnolgico Propor uma viso estratgica de TI e um modelo de governana Denir um modelo de decises estratgicas de TI Publicar, promover e manter as estratgias de TI
Figura 3.10 Planejamento estratgico de TI.
Etapa 1: Realizar o planejamento estratgico de TI
11 Definir os objetivos do planejamento estratgico: importante definir os objetivos que

devem ser alcanados com o planejamento estratgico de TI. Uma das razes mais signifi cativas prover a Governana de TI de forma alinhada aos negcios. Etapa 2: Conhecer as estratgias de negcios
11 Conhecer como a empresa funciona e o seu histrico e posicionamento atual; 11 Documentar a misso, a viso e os valores da organizao; 11 Documentar o oramento de TI da organizao e a relao com os demais investimentos
em outras reas, para avaliar o significado da TI para a organizao;
11 Documentar os objetivos estratgicos de negcios da organizao.

Etapa 3: Conhecer e avaliar a situao atual do ambiente tecnolgico
11 Documentar a estrutura organizacional de TI; 11 Levantar e documentar todos os processos de TI existentes; 11 Levantar e documentar a infraestrutura tecnolgica (equipamentos, rede de comunica o de dados e sistemas);
11 Levantar e documentar os projetos de TI; 11 Obter um entendimento sobre todo o ambiente de TI.
Etapa 4: Propor um novo ambiente tecnolgico
11 Avaliar os pontos fortes e fracos do ambiente de TI;
48
11 Avaliar as oportunidades para a evoluo do ambiente tecnolgico.

Etapa 5: Realizar anlise entre a situao atual e a situao proposta para o ambiente tecnolgico
11 Analisar as diferenas entre a situao atual e a situao futura do ambiente tecnolgico; 11 Definir aes para a evoluo tecnolgica.
Etapa 6: Propor uma viso estratgica de TI e um modelo de governana
11 Definir os objetivos estratgicos de TI; 11 Estabelecer um alinhamento entre os objetivos estratgicos de TI e os objetivos estratgi cos de negcio;
11 Definir um modelo de governana de TI baseado em processos, com a criao de grupos

para a conduo da governana. Etapa 7: Definir um modelo de decises estratgicas de TI
11 Definir indicadores para medir o atingimento dos objetivos estratgicos de TI; 11 Definir um oramento para a implantao da Governana de TI; 11 Definir os projetos prioritrios de TI de curto prazo; 11 Definir cronograma para os projetos de TI de mdio e longo prazos.
Etapa 8: Publicar, promover e manter as estratgias de TI
11 Documentar e publicar o plano estratgico; 11 Criar mecanismo de interao com a rea de negcios, estabelecendo um processo de
comunicao contnuo entre a Governana de TI e a Governana Corporativa;
11 Comunicar e gerenciar as mudanas que ocorrerem.

Outra ferramenta usada para prover a Governana de TI o Plano Diretor de Tecnologia da Informao (PDTI). O PDTI mostra o direcionamento que a rea de tecnologia deve tomar para consolidar a Governana de TI. O Ministrio do Planejamento, Oramento e Gesto, por meio da Secretaria de Logstica e os rgos da Administrao Pblica Federal. Este modelo de referncia orienta como deve ser realizado um PDTI e os resultados que podem ser alcanados.
Tecnologia da Informao publicou um modelo de referncia para a realizao de PDTI para
Critrios para avaliao do nvel de maturidade de processos

A avaliao da Governana de TI deve ser realizada pelo nvel de maturidade dos processos da rea de TI. necessria a compreenso dos critrios para a determinao do nvel de maturidade estabelecidos pelo CobiT 4.1, conforme mostra a tabela abaixo. Maturidade Nvel 0 (No existe) Nvel 1
Figura 3.11
Descrio Desconhecimento, por parte da organizao, dos processos e do problema a ser tratado. Existe um reconhecimento dos problemas e at dos processos, porm as atividades so executadas de acordo com o conhecimento das pessoas.
(Inicial/ Ad Hoc)
49
Maturidade Nvel 2 (Repetvel) Nvel 3 (Processos definidos) Nvel 4 (Gerenciados e medidos) Nvel 5 (Otimizado)
Descrio Existem processos informalmente definidos, com resultados previsveis, porm sem nenhuma padronizao das atividades. Os processos so definidos, formalizados e padronizados na organizao, os resultados gerados so conhecidos e as pessoas treinadas sempre que necessrio. Os processos formalizados so medidos e controlados, gerando um ambiente de acompanhamento contnuo do desempenho. Existe uma realimentao do desempenho medido, gerando um ciclo de melhoria contnua.
A avaliao da Governana de TI baseada no CobiT 4.1 deve ser realizada por meio de entrevistas com os responsveis das reas tecnolgicas, com o apoio de questionrios preparados para levantar as informaes necessrias e atribuir o nvel de maturidade avaliado. importante salientar que o nvel de maturidade desejado em um primeiro momento o nvel 3. No existe uma regra de mudana de nvel. possvel avaliar um processo com maturidade 2 e em uma nova avaliao este processo estar na maturidade 5, dependendo apenas da organizao realizar as melhorias contnuas nos processos. A tabela abaixo mostra exem plos de avaliao de maturidade dos processos de TI baseados no CobiT: Processo relacionado PO2 Definir a Arquitetura da Informao Nvel de maturidade avaliado 2 Repetvel Descrio da avaliao da maturidade 11Existe um entendimento da necessidade de se definir uma arquitetura de informao corporativa; no entanto, os processos no esto formalmente definidos. 11Alguns dos resultados so previsveis, porm no existe uma padronizao das atividades. 1 Inicial/ Ad Hoc 11Existe o reconhecimento da necessidade e importncia do planejamento tecnolgico, at mesmo dos problemas e processos. 11As atividades ainda so executadas de acordo com o conhecimento das pessoas.
Figura 3.12
PO3 Determinar o Direcionamento Tecnolgico
11Tcnicas e padres comuns esto emergindo do desenvolvimento de componentes de infraestrutura. PO4 Definir os Processos, Organizao e Relacionamentos de TI
2 Repetvel
11Existe um entendimento sobre a necessidade de se definir a organizao de TIC, tanto no que diz respeito ao posicionamento de TI, quanto estruturao e formalizao dos diversos processos necessrios ao alcance dos resultados esperados de TI. 11Mesmo para os processos que esto formalmente definidos, h a necessidade de complementar a sua modelagem, inclusive com o alinhamento s melhores prticas de gesto por processos.
PO5 Gerenciar Investimentos de TI
1 Inicial/ Ad Hoc
11Existe a percepo da necessidade de fazer uma gesto melhor estruturada dos investimentos e do aprovisionamento de recursos financeiros para a rea de TI. 11No h nada formalizado e nem regras estabelecidas que permitam equipe gerencial da rea de tecnologia da informao obter participao no desenvolvimento do planejamento oramentrio e recomendao de investimentos em tecnologia de forma apropriada.
50
Processo relacionado PO9 Avaliar e Gerenciar os Riscos de TI
Nvel de maturidade avaliado 1 Inicial/ Ad Hoc
Descrio da avaliao da maturidade 11No existe um entendimento sobre a importncia da anlise de riscos de tecnologia, a partir dos riscos para o negcio. Embora se tenha uma metodologia implementada, o processo utilizado por tecnologia ainda focado em riscos de projeto, ainda imaturo e em desenvolvimento.
11O tratamento dos riscos operacionais normalmente no ocorre. A rea de tecnologia da informao no tem em suas descries de cargos e procedimentos aes referentes ao tratamento de riscos. PO10 Gerenciar Projetos 2 Repetvel 11Existem processos de gesto de projetos formalmente definidos, com resultados previsveis, porm estes esto fortemente centrados no desenvolvimento de sistemas, podendo, a partir de esforos mnimos, serem implementados tambm para outras coordenaes, inclusive podendo se expandir para outras secretarias que tambm atuem em projetos que envolvam TI. 11Existe um processo entendido e definido para aquisio e implementao de solues, onde os requisitos tendem a ser definidos de forma similar nas diversas reas de desenvolvimento da tecnologia, com base na lei 8666 e nas melhores prticas adotadas na Administrao Pblica Federal. 11A mesma lei 8666 impe restries para que a especificao para a aquisio seja feita em funo dos requisitos tcnicos e de negcios identificados como os mais aplicveis. AI2 Adquirir e Manter Sistemas Aplicativos 2 Repetvel
11A avaliao dos riscos tipicamente em alto nvel e normalmente apenas para grandes projetos (isto , projetos estratgicos).
AI1 Identificar Solues Automatizadas
3 Processo definido
11Existe um processo entendido e definido sobre a aquisio e manuteno de aplicaes. Esse processo suporta necessidades de aplicaes crticas e est alinhado com a estratgia de tecnologia (embora a estratgia no esteja formalizada). No entanto, esse processo nem sempre aplicado. 11Os clientes de tecnologia ainda no conseguem identificar claramente o ganho real obtido com os investimentos em tecnologia
AI6 Gerenciar Mudanas
1 Inicial/ Ad Hoc
11A organizao est ciente da importncia de possuir um processo de gerenciamento de mudanas formalizado. No entanto, a maioria das mudanas no consegue tratar aceitavelmente os riscos de ocorrncia de problemas.
11Tambm no existe uma interface adequada ao processo de gesto da configurao (pela falta de um banco de dados de configurao). Alm disso, o planejamento e anlise de impacto so executados de forma limitada. AI7 Instalar e Garantir Mudanas 2 Repetvel 11Uma metodologia referente instalao, migrao, converso e homologao est estabelecida. Entretanto, a gesto dessa metodologia no traz resultados de conformidade com o processo.
11Embora exista formalmente um ciclo de vida de desenvolvimento, instalao e homologao, ele no integrado gesto de configuraes. A qualidade das solues que entram em produo varivel, pois geralmente elas no so revisadas aps a implantao.
AI3 Adquirir e Manter Infraestrutura Tecnolgica
1 Inicial/ Ad Hoc
11Existe o entendimento da importncia da infraestrutura de TI e da necessidade de adoo de processos e procedimentos formalizados. No entanto no h o alinhamento da aquisio e manuteno da infraestrutura de TI com uma estratgia.
51
Processo relacionado DS1 Definir e Gerenciar Nveis de Servios
Nvel de maturidade avaliado 0 No existe
Descrio da avaliao da maturidade 11Na rea de TI no existe acordo de nvel de servio com os clientes internos e nem catlogo de servios definidos. 11Na rea de suporte, apesar de no existirem Service Level Agreements (SLAs), existe o Operational Level Agreement (OLA) com um fornecedor, que acompanhado e monitorado por um comit especfico. Os relatrios so gerados pelo fornecedor e periodicamente analisados.
DS2 Gerenciar Servios de Terceiros DS5 Garantir a Segurana dos Sistemas
2 Repetvel
11O processo de superviso e acompanhamento da entrega de servios de terceiros baseado nos contratos. Um contrato assinado usado como padro para o acompanhamento, com termos, condies e descrio dos servios providos por terceiros. 11Existe um entendimento geral sobre a segurana de sistemas de informao. 11As responsabilidades pela segurana da informao no so claramente definidas, gerenciadas e monitoradas, bem como as normas e prticas de segurana no esto definidas. Existe uma padronizao para identificao, autenticao e autorizao de usurios.
1 Inicial/ Ad Hoc
DS7 Treinamento de Usurios
1 Inicial/ Ad Hoc
11Existe a necessidade de um programa de treinamento e educao, inclusive com treinamento dos processos operacionais da organizao. 11Os usurios so treinados, porm o pessoal da rea tcnica no recebe treinamento.
DS8 Gerenciar Central de Servios e Incidentes DS9 Gerenciar Configurao
1 Inicial/ Ad Hoc
11Existe uma conscientizao sobre a necessidade de um Help Desk nico e centralizado, entretanto no existe um Service Desk.
2 Repetvel
11A necessidade de um gerenciamento de configuraes reconhecida, inclusive com projeto em andamento para elaborao de um banco de dados de configurao.
11As tarefas de gerenciamento de configurao, tais como manutenes de inventrios de hardware e software, ainda so executadas em bases individuais. No existe uma prtica padronizada. DS10 Gerenciar Problemas 2 Repetvel 11Existe o gerenciamento de incidentes, mas a integrao entre o gerenciamento de incidentes com o gerenciamento de problemas no est efetivamente implementada.
11H a necessidade de estabelecer um processo de gerenciamento de problemas e integr-lo com os processos de gerenciamento de configurao e mudanas. 1 Inicial/ Ad Hoc 11Manter a integridade dos dados uma preocupao dentro da organizao. 11A propriedade de dados ainda no est definida. 11As regras e requisitos de negcio ainda no esto documentados, embora se tenha uma percepo por reas e usurios chaves.
DS11 Gerenciar Dados

DS12 Gerenciar Ambiente Fsico
1 Inicial/ Ad Hoc
11A necessidade de proteo fsica do ambiente de TI conhecida, inclusive com aes de proteo contra interveno humana e natural.
11Embora existam bons controles e um relativo formalismo de aes referentes a instalaes de um modo geral, do ponto de vista de TI no existem procedimentos para a gesto de instalaes, havendo dependncia da habilidade dos envolvidos. 11Existem alguns mecanismos de restrio de acesso ao ambiente dos prdios onde esto localizados os equipamentos de TI.
52
Processo relacionado DS7 Treinamento de Usurios
Nvel de maturidade avaliado 1 Inicial/ Ad Hoc
Descrio da avaliao da maturidade 11Existe a necessidade de um programa de treinamento e educao, inclusive com treinamento dos processos operacionais da organizao.
11Os usurios so treinados, porm o pessoal da rea tcnica no recebe treinamento. 1 Inicial/ Ad Hoc 11Existe uma conscientizao sobre a necessidade de um Help Desk nico e centralizado, entretanto no existe um Service Desk. 11A necessidade de um gerenciamento de configuraes reconhecida, inclusive com projeto em andamento para elaborao de um banco de dados de configurao.
DS8 Gerenciar Central de Servios e Incidentes DS9 Gerenciar Configurao
2 Repetvel
11As tarefas de gerenciamento de configurao, tais como manutenes de inventrios de hardware e software, ainda so executadas em bases individuais. No existe uma prtica padronizada. DS10 Gerenciar Problemas 2 Repetvel 11Existe o gerenciamento de incidentes, mas a integrao entre o gerenciamento de incidentes com o gerenciamento de problemas no est efetivamente implementada.
11H a necessidade de estabelecer um processo de gerenciamento de problemas e integr-lo com os processos de gerenciamento de configurao e mudanas. DS11 Gerenciar Dados 1 Inicial/ Ad Hoc 11Manter a integridade dos dados uma preocupao dentro da organizao. 11A propriedade de dados ainda no est definida. 11As regras e requisitos de negcio ainda no esto documentados, embora se tenha uma percepo por reas e usurios chaves. DS12 Gerenciar Ambiente Fsico 1 Inicial/ Ad Hoc 11A necessidade de proteo fsica do ambiente de TI conhecida, inclusive com aes de proteo contra interveno humana e natural. 11Embora existam bons controles e um relativo formalismo de aes referentes a instalaes de um modo geral, do ponto de vista de TI no existem procedimentos para a gesto de instalaes, havendo dependncia da habilidade dos envolvidos.
11Existem alguns mecanismos de restrio de acesso ao ambiente dos prdios onde esto localizados os equipamentos de TI. DS13 Gerenciar Operaes 3 Processos Definidos 11O gerenciamento das operaes uma atividade reconhecida pela organizao. 11Existe alocao de pessoas na rea com essa atribuio, treinadas inclusive com aes on-the-job.
11As aes repetveis so formalmente definidas, padronizadas e com alguma documentao. 11Os eventos e tarefas resultantes so documentados, mas o relato gerencial ainda limitado.
Est apresentada abaixo a avaliao do nvel de maturidade dos processos de TI de uma organizao com base no CobiT. Complete informando o nvel de maturidade e o processo referente a esta avaliao.
53
Descrio da avaliao da maturidade

A necessidade de um planejamento estratgico de TI conhecida pela direo de TI. O pla nejamento de TI realizado caso a caso, em resposta a um requisito especfico de negcio. O planejamento estratgico de TI ocasionalmente discutido nas reunies da direo de TI. O alinhamento de requisitos de negcio, aplicaes e tecnologia ocorre de forma reativa ao invs de seguir uma estratgia corporativa. A posio estratgica de risco identificada informalmente projeto a projeto. Nvel de maturidade avaliado
Processo relacionado

A necessidade e a importncia de um plano tecnolgico so comunicadas. O planejamento ttico e direcionado gerao de solues para os problemas tcnicos, ao invs de se concentrar no uso da tecnologia para satisfazer s necessidades do negcio. A avaliao das mudanas tecnolgicas deixada a cargo dos indivduos que seguem processos intuitivos, porm similares. As pessoas adquirem suas habilidades de planejamento tecnolgico atra vs de aprendizado prtico e repetidas aplicaes de tcnicas. Tcnicas e padres comuns esto sendo criados para o desenvolvimento de componentes de infraestrutura. Nvel de maturidade avaliado

Uma poltica corporativa de gesto de risco define onde e como conduzir as avaliaes de risco. A gesto de risco segue um processo definido e documentado. H treinamento em gesto de risco disponvel para todo o pessoal. Decises de seguir o processo de gesto de risco e receber treinamento so deixadas a critrio de cada indivduo. A metodologia de avaliao de risco convincente, robusta e assegura a identificao dos riscos chave para o negcio. Um processo para mitigar os riscos chave implementado aps a identificao dos riscos. As responsabilidades pela gesto de riscos esto definidas nas descries de cargo.
54
Nvel de maturidade avaliado

A direo requer a reviso de indicadoresformais padronizados e lies aprendidas em cada projeto, logo aps sua concluso. A gesto de projeto medida e avaliada por toda a organizao e no apenas dentro da TI. Melhorias na gesto de projeto so formalizadas e comunicadas, e os membros das equipes de projeto so treinados nessas melhorias. A rea de TI implementou uma estrutura organizacional de projeto com papis, responsabilidades e critrios de desempenho documentados. Foram estabelecidos critrios para avaliar o sucesso de cada marco. O valor e o risco so medidos e gerenciados antes, durante e depois da concluso do projeto. Os projetos cada vez mais consideram os objetivos da empresa, no sendo apenas especficos de TI. H um suporte slido e ativo dos gestores e das partes interessadas. H treinamento relevante de gesto de projeto planejado para a equipe do escritrio de projetos e todas as reas da TI. Nvel de maturidade avaliado

H polticas e procedimentos para aquisio de TI institudos pela direo de TI. Essas pol ticas e procedimentos so guiados pelo processo geral de aquisio da organizao. O pro cesso de aquisio de TI est totalmente integrado aos sistemas corporativos de aquisio. Existem padres definidos para a aquisio de recursos de TI. Os fornecedores de recursos de TI esto integrados aos mecanismos de gerenciamento de projetos da organizao, de uma perspectiva de gerenciamento de contratos. A direo de TI comunica a necessidade do gerenciamento adequado de aquisies e contratos em toda a rea de TI. Nvel de maturidade avaliado
55

O processo de gerenciamento de mudanas revisado e atualizado regularmente para permanecer em alinhamento com as boas prticas. O processo de reviso reflete o resultado do monitoramento. As informaes de configurao so automatizadas por software e propi ciam o controle de verso. O rastreamento de mudanas sofisticado e inclui ferramentas que detectam software sem licena e no autorizado. O gerenciamento de mudanas de TI integrado ao gerenciamento de mudanas de negcio para assegurar que a TI viabilize o crescimento da produtividade e crie novas oportunidades de negcios para a organizao. Nvel de maturidade avaliado

Existem nveis de servio acordados, que no entanto so informais e no so analisados criticamente. O relatrio de nvel de ser vio incompleto, podendo ser irrelevante ou enganoso aos clientes, a depender das habilidades e da iniciativa individual dos gerentes. Um coordenador de nvel de servio indicado e tem responsabilidades definidas, porm com autoridade limitada. Se existe um processo de conformidade com os acordos de nvel de servio, ele voluntrio e no obrigatrio. Nvel de maturidade avaliado
56

As responsabilidades pela segurana de TI so claramente atribudas, gerenciadas e impostas. Avaliaes crticas de riscos e impactos de segurana so executadas consistentemente. As prticas e polticas de segurana so complementadas com perfis bsicos especficos. mandatria a submisso aos mtodos de promoo de conscientizao da segurana. A identificao, a autenticao e a autorizao do usurio so padronizadas. Certificaes de segurana so buscadas por equipes responsveis pela auditoria e gerenciamento de segurana. Os testes de segurana so realizados utilizando padres e processos formalizados, visando melhorar os nveis de segurana. Os processos de segurana de TI so coordenados com a rea corporativa de segurana da informao. Os relatrios de segurana esto alinhados aos objetivos de negcio. O treinamento em segurana de TI ministrado s equipes de negcios e de TI. O treinamento em segurana da TI planejado e gerenciado para atender s necessidades do negcio e aos perfis de riscos de segurana definidos. Os objetivos e mtricas da gesto de segurana foram definidos, porm ainda no so mensurados. Nvel de maturidade avaliado
57
58
Atividade 1 Problemas na avaliao da gesto de TI
Em uma organizao pblica, aps uma avaliao da gesto de TI baseada no CobiT 4.1, foram detectados os seguintes fatos:
11 No h rotinas de medio do ambiente tecnolgico, o que resulta no fato de que qual quer problema s tratado aps a interrupo ou queda de qualidade de um servio.
11 No h documentao operacional dos sistemas em produo. 11 No h trabalho de planejamento de desempenho e capacidade que possibilite dimensio nar os servidores necessrios para algum servio.
11 No h uma rotina para verificao do uso dos recursos dos servidores, ou seja, no caso
de um servidor atingir o seu limite de capacidade de processamento, o problema s ser verificado quando algum usurio reclamar.
11 H falta de uma rotina de medio da disponibilidade do ambiente tecnolgico, levando a

infraestrutura existente a estar sob a condio de problemas potenciais, que s podero ser identificados quando ocorrerem e forem notificados pelos usurios.
11 H reclamao constante de usurios sobre a velocidade dos sistemas, sempre identifica dos como problemas de rede.
11 A poltica de backup no foi definida pela organizao, que s definiu a reteno das fitas,
mas pela contratada responsvel pelo ambiente. Com base neste diagnstico, responda s seguintes questes:
1. Quais seriam os principais problemas enfrentados pelos negcios desta organizao?
2. Associe os sete critrios de informao e os quatro recursos de TI (obtidos no exerccio
de fixao Definindo critrios de informao e recursos, na p. 40) para cada um dos fatos citados. Itens da avaliao (fatos citados) Recursos de TI Critrios de informao
59
3. Quais processos do CobiT seriam recomendados para auxiliar a corrigir os fatos apresentados?
Itens da avaliao (fatos citados)
Processos do CobiT
Atividade 2 Suporte da TI aos negcios

Tomando como base a figura abaixo, estabelea para a sua organizao cinco objetivos de negcio e determine os processos e recursos de TI, e processos de negcios e informaes associadas necessrias para atingir os objetivos estabelecidos.
Recursos e Processos de TI
gerar informao
para atingir
Objetivos de negcios
Processos de TI
Recursos de TI
Informaes geradas
Objetivos de negcios Objetivo de negcio 1 Objetivo de negcio 2 Objetivo de negcio 3 Objetivo de negcio 4 Objetivo de negcio 5
O que foi aprendido

11 Viso geral sobre o CobiT 4.1 22 Critrios de informao 22 Recursos de TI 22 Domnios e processos 22 Alinhamento com o negcio 11 Etapas para a elaborao de um planejamento estratgico de TI
60
4
Ferramentas de implantao da Governana de TI
objetivos
Apresentar uma viso geral das ferramentas complementares ao CobiT 4.1 na construo da Governana de TI, e a estrutura bsica das ferramentas ITIL v3, ISO 20000, ISO 38500 e Val IT.
conceitos
Viso geral da ITIL v3, Viso geral da implantao de Governana de TI com a ITIL v3, Viso geral da ISO 20000, Relao entre ITIL, ISO 20000 e CobiT, Viso geral da norma ISO 38500, Relao entre ISO 38500 e CobiT, Viso geral do Val IT.
Introduo
Como vimos, o mercado oferece uma srie de ferramentas para auxiliar na construo da Governana de TI. Alm do CobiT, quatro outras ferramentas auxiliam as organizaes a se preparar para a Governana de TI.
11 ITIL ferramenta que auxilia a rea de Tecnologia da Informao a gerenciar melhor

os assuntos de tecnologia, estabelecendo um conjunto de prticas e processos para o gerenciamento dos servios de TI.
q
Captulo 4 - Ferramentas de implantao da Governana de TI
11 ISO 20000 a ISO/IEC 20000 a primeira norma que trata dos assuntos relativos ao
gerenciamento de servios de TI, sendo um conjunto de melhores prticas compatvel com a ITIL.
11 ISO 38500 a ISO/IEC 38500 a primeira norma que direciona as organizaes a implantar a Governana de TI, baseada fundamentalmente no CobiT.
11 Val IT estrutura de processos que auxilia as organizaes na priorizao dos investimentos em TI, bem como na avaliao do retorno que traz para o negcio. Os prximos tpicos fornecero uma viso especfica de cada uma das ferramentas mencionadas.
61
Exerccio de nivelamento 1 e Gerenciamento de servios de TI

As reas de TI das organizaes esto se estruturando para implantar processos e ferra mentas que suportem o gerenciamento de servios de TI. Qual o seu entendimento sobre gerenciamento de servios de TI?
Viso geral da ITIL

A ITIL um conjunto de melhores prticas para o gerenciamento de servios de TI, organiza das na forma de uma biblioteca. O principal objetivo da ITIL estabelecer uma ponte entre o negcio e a tecnologia, por meio da melhoria contnua dos processos de planejamento, aprovisionamento e suporte de servios de TI. A arquitetura central da ITIL baseada no Ciclo de Vida de Servio, que enfatiza a importn cia da coordenao e controle por meio de vrias funes, processos e sistemas necessrios para o gerenciamento do ciclo de vida dos servios de TI. A ITIL tem a viso de que as aes derivadas da rea de TI esto fundamentadas nos servi os de TI. Estes, por sua vez, devem ser definidos com o propsito de atender aos requisitos de negcios da organizao. A figura 4.1 mostra o ciclo de vida de servios.
Negcio
Melhoria
Especicao
Desenho
Otimizao
Projeto
Operao
Desenvolvimento
Entrega
Operao
Retirada
Estratgia
Transio
Figura 4.1 Ciclo de vida de servios.
Dados os requisitos de negcio do cliente, o ciclo iniciado. De acordo com os requisitos do negcio, so definidas as especificaes do servio. Fornecidas as especificaes, o projeto do servio elaborado. De acordo com o projeto desenvolvido o servio. Durante o processo de desenvolvimento, podem ocorrer revises de especificao; terminado o desen volvimento, o servio entregue. Uma vez entregue, o servio colocado em operao; em operao, so identificadas oportunidades de otimizao na operao. Eventualmente, otimizaes podem gerar novas especificaes para a reviso do servio. O servio pode ser retirado de operao aps o seu ciclo de utilizao.
62
Exerccio de nivelamento 2 e Entendendo o conceito de servio

Na sua organizao, como entendido o conceito de servio?
Um servio de TI est relacionado entrega de valor para os usurios, viabilizando os resultados esperados, sem responsabilidade direta sobre custos especficos e riscos. A ITIL est dividida em cinco livros, sendo que cada livro est representado no ciclo de vida de servio.
11 Desenho de Servio (Service Design), Transio de Servio (Service Transition) e

Operao de Servio (Service Operation) so fases progressivas do ciclo de vida que representam transformao.
11 Estratgia de Servio (Service Strategy) representa polticas e objetivos. 11 Melhoria Contnua de Servio (Continual Service Improvement) representa aprendiza do e melhoria. Para entender melhor a ITIL, necessrio compreender o que o ciclo de vida de servios de TI. Vamos pensar no exemplo de um servio qualquer de TI, desde a sua concepo (incio) at seu fim; a isto chamamos ciclo de vida de gesto do servio. Existem diversas pessoas e reas da organizao envolvidas no ciclo de vida de um servio, desde o planeja mento, desenho, construo, teste, verses, operao, melhoramento etc. Diferentes nveis da organizao e pessoas com papis diferentes realizam a tomada de deciso, o desenvolvimento e a entrega dos servios. A ITIL se prope a realizar a integrao das necessidades de negcios com a TI. O diagrama do Ciclo de Vida de Servio mostrado na figura seguinte:
63
Q u
Orientao Comp lem en tar s in u a n t d n o o Serv C W a i r io lho ick Me

ernana e Gov os d tod M
Desenho d oS e
Stud y Al ds
erao do Se rvi Op
io rv
Estrat
ia do S g
ITIL
io erv
pl
at
Es
tu
do
Te
de
Tr a n si o d o
Ca
se
sos
Estratgia de Servio
O centro do Ciclo de Vida de Servio a Estratgia de Servio. Esta define o gerenciamento de servios no somente como uma capacidade organizacional, mas como uma estratgia, atravs de princpios que norteiam as prticas de gerenciamento de servios, orientando o desenvolvimento de polticas, guias e processos. A Estratgia de Servio a viso da ITIL que alinha negcio e TI, de modo que cada um extraia o que de melhor existe no outro. Assegura que cada estgio do Ciclo de Vida do Servio se mantenha focado no negcio e esteja relacionado a todos os elementos de processos complementares. Tambm aborda temas como elaborao de estratgias, implementao, redes de valor, portflio de servios, gerenciamento, gesto financeira e ROI. No estgio inicial, a rea de TI inicia a Estratgia de Servio gerenciando os requisitos de negcios (Gesto de Demandas), e traduzindo isto em uma estratgia para entregar o servio (Estratgia do Servio), validando os custos para manter estes servios (Gesto Financeira) e introduzindo o servio dentro do portflio de servios (Gesto de Portflio de Servios). Neste momento a TI ainda no retorna valor para o negcio.
Desenho de Servio
O Desenho de Servio define como implementar servios de TI, incluindo arquitetura, processos, polticas e documentao para atingir os requisitos de negcios atuais e futuros. Prov princpios e mtodos para transformar objetivos estratgicos em portflio de servios e ati vos estratgicos, culminando com o desenvolvimento de uma soluo de servio desenhada para atingir as necessidades do negcio. O Desenho de Servio contempla as estratgias, polticas e a implementao. Baseia-se nos cinco aspectos principais de desenho de servios: Disponibilidade, Capacidade, Continui dade, Gerenciamento de Nvel de Servios e Outsourcing. Tambm esto presentes informa es sobre Gerenciamento de Fornecedores e de Segurana da Informao.
Q u a li c
a
es
rv
es
Pro
duto s d
e V alor A g
rega
do
Figura 4.2 Diagrama do Ciclo de Vida de Servio da ITIL.
ROI O Return on Investment (Retorno sobre Investimento) usado para avaliar o resultado dos investimentos feitos, inclusive em TI, e os benefcios retornados para o negcio.
64
Quando a estratgia est completa, TI inicia a segunda fase, o Desenho do Servio, por meio da definio de requisitos para os nveis de servios (Gesto de Nveis de Servios), anlise da disponibilidade e capacidade requisitada (Gesto de Capacidade e Disponibilidade), seleo dos fornecedores que realizaro o suporte dos servios (Gesto de Fornecedores), proviso de continuidade de servios (Gesto de Continuidade dos Servios), validao e projeto dos requisitos de segurana (Gerenciamento de Segurana) e introduo do servio no Catlogo de Servios (Gesto de Catlogo de Servios).
Transio de Servio
Inclui o gerenciamento e a coordenao dos processos, sistemas e funes para empacotar, construir, testar e distribuir uma atualizao no ambiente de produo. Tambm se rela ciona ao planejamento e gerenciamento dos recursos para garantir a incluso de um novo servio ou a mudana de um servio existente, no ambiente de produo, dentro dos custos definidos, qualidade e prazos estimados, e voltado para o aumento da satisfao do usurio. Na Transio de Servio, o servio est pronto para ser implementado no ambiente de produo. O provedor de servios define o plano de transio (Planejamento de Transio e Suporte) e avalia, aprova, implementa e planeja a mudana (Processo de Gesto de Mudanas). Aps a implementao da mudana, o servio testado (Validao e Teste de Servio) em um ambiente de homologao. Se o teste for bem-sucedido, o servio documentado (Gesto de Conhecimento) e seus componentes so includos no banco de dados de ativos e configurao (Gesto de Ativos e Configurao). A ltima atividade realizar a liberao no ambiente de produo (Gesto de Liberao e Instalao) e aps o go-live, uma reviso dever ser executada aps a implementao (Gesto de Avaliao).
Operao de Servio
A Operao de Servio concretiza a entrega de valor para o negcio. Prov prticas de geren ciamento de servios em operao, direcionando a forma de entregar e suportar servios de maneira efetiva e eficiente, garantindo a entrega de valor para o usurio final. Inclui todas as atividades necessrias para entregar e suportar os servios, envolvendo:
11 Pessoas; 11 Processos; 11 Servios.

Na Operao do Servio, o servio comea a ser gerenciado e suportado para que alcance o nvel de servio acordado atravs do gerenciamento dos chamados dos usurios (Service Desk e Gesto de Solicitaes), monitorando os alertas e eventos do servio (Gesto de Eventos), restaurando as interrupes no programadas dos servios (Gesto de Incidentes), evitando as causas dos incidentes e reduzindo a durao dos mesmos (Gesto de Proble mas), gerenciando a maneira segura de utilizao do servio (Gesto de Acesso), mantendo o produto de software (Gesto de Aplicao), executando as atividades dirias (Gesto de Operao) e suportando a infraestrutura (Gesto Tcnica).
11 Tecnologia;
Melhoria Contnua de Servio

O propsito alinhar e realinhar continuamente os servios de TI s mudanas de que os negcios necessitam, fornecendo uma ligao entre estratgia, desenho, transio e operao do servio. A Melhoria Contnua do Servio foca nos processos de identificao e introduo de aprimoramentos ao gerenciamento de servios e questes relacionadas
65
extino de servios. acionada durante todas as fases do ciclo de vida, responsvel por medir os servios e processos (Medio dos Servios), e documentar os resultados (Reporte do Servio) para que a qualidade do servio e a maturidade dos processos (Melhoria do Servio) sejam aprimoradas. As melhorias devem ser implementadas na prxima fase do ciclo de vida do servio, sendo iniciadas novamente na Estratgia do Servio, de modo a ento recomear o ciclo. A figura 4.3 representa todos os componentes da ITIL.
Figura 4.3 Componentes da ITIL.
Gerenciamento Operaes de TI Gerenciamento de Aplicao Gerenciamento de Fornecedores Gerenciamento de Catlogo Gerenciamento de Segurana Gerenciamento de Risco Gerenciamento de Demanda Gerenciamento de Portflio Gerenciamento Financeiro Gerenciamento de Continuidade Gerenciamento de Capacidade Gerenciamento de Disponibilidade Gerenciamento Nvel de Servio Gerenciamento do Conhecimento Avaliao de Risco e Desempenho Validao e Teste Planejamento e Suporte Gerenciamento de Liberao Gerenciamento de Congurao Gerenciamento de Mudana Gerenciamento Tcnico Requisio de Servio Gerenciamento de Evento Gerenciamento de Acesso Gerenciamento de Problema Gerenciamento de Incidente Central de Servios
Estratgia de Servios
Desenho de Servios
Transio de Servios
Operao de Servios
Melhoria Contnua de Servio Processo de Melhoria Relatrio de Servios Medio de Servios Retorno sobre Investimento
Viso geral sobre a ISO/IEC 20000

A ISO/IEC 20000 a norma ISO para certificao de empresas no gerenciamento de servios de TI, com base nas melhores prticas da ITIL. A norma ISO 20000 foca nas
questes relacionadas com a gesto da TI por meio de uma abordagem de central de servios. Para isso considera a capacidade dos sistemas, as necessidades para gerenciar as suas mudanas, oramentao financeira, controle e distribuio de aplicativos. A norma ISO 20000 foca nas questes relacionadas com a gesto da TI, por meio de uma abordagem de central de servios que permite a identificao e classificao dos problemas. A norma tambm considera a capacidade do sistema, o que necessrio para gerenciar mudanas dos sistemas, oramentao financeira, controle e distribuio de sistemas e aplicativos.
66
A ISO 20000, norma internacional originada da norma inglesa BS 15000, est perfeitamente alinhada com a abordagem gesto por processos definida pela ITIL. A ISO 20000 apresenta duas partes principais:
1. A ISO 20000-1 a especificao formal; define os requisitos para as organizaes presta -
rem servios de qualidade aceitvel aos seus clientes (internos ou externos), incluindo:
22 Requisitos para um sistema de gesto; 22 Planejamento e implementao da gesto do servio; 22 Planejamento e implementao de novos servios ou alterao de servios existentes; 22 Processo de prestao de servios; 22 Processos de relacionamento; 22 Processos de resoluo; 22 Processos de controle.
2. A ISO 20000-2, por outro lado, o Cdigo de Prticas que descreve as boas prticas para
processos de Gesto de Servios. Este cdigo particularmente til para organizaes que se preparam para auditorias de acordo com a ISO 20000-1 ou que planejam melho rias no servio. A ISO 20000 composta dos seguintes processos:
Processos de Entrega de Servios

11 Gerenciamento de Capacidade; 11 Gerenciamento de Nveis de Servios; 11 Gerenciamento de Segurana da Informao; 11 Gerenciamento de Continuidade e Disponibilidade de Servios; 11 Gerenciamento Financeiro de TI.
Processos de Controle
11 Gerenciamento de Configuraes; 11 Gerenciamento de Mudanas.
Processos de Liberao
11 Gerenciamento de Liberao.
Processos de Resoluo
11 Gerenciamento de Incidentes; 11 Gerenciamento de Problemas.
Processos de Relacionamento
11 Gerenciamento de Relacionamento com o Negcio; 11 Gesto de Fornecedores.
67
A figura abaixo representa a estrutura a ser seguida para a certificao ISO 20000.
ISO 20.000 Parte 1 ISO 20.000 Parte 2
Requisitos a serem cumpridos
Orientaes para alcance dos requisitos
ITIL (IT Infrastructure Library)
Detalhamento de processos e prticas de TI

Figura 4.4 Estrutura para a certificao ISO 20000.
Procedimentos internos
Soluo particular da organizao
A ISO 20000 utilizada para:
11 Promover a adoo de uma abordagem por processos na rea de TI 11 Alinhar os servios de TI com as necessidades do negcio 11 Mostrar a qualidade dos servios de TI 11 Reduzir custos por meio de estruturas otimizadas e transparentes 11 Estabelecer a melhoria contnua dos servios de TI na organizao 11 Cumprir os requisitos contratuais 11 Reduzir os riscos operacionais da TI
Relao entre ITIL, ISO 20000 e CobiT

As ferramentas apresentadas so as mais utilizadas na implementao da Governana de TI. Existe uma semelhana muito grande entre elas, embora cada uma tenha a sua particularidade. O CobiT a ferramenta com maior abrangncia para a Governana de TI, pois enderea todos os assuntos relacionados rea de TI e faz o elo com os objetivos de negcio da organizao. Os objetivos de controle dos processos proporcionam uma viso de como a rea de tecnologia se encontra, e como deve ser direcionada no sentido do alinhamento com os negcios da organizao. O CobiT combina uma viso estratgica alinhada a uma viso
operacional de TI. A ITIL uma ferramenta que na sua verso 3 tambm tem o propsito de integrar a TI aos negcios. Baseada no ciclo de vida dos servios de TI, uma ferramenta usada mais na parte operacional do que estratgica, apesar de seus componentes serem estratgicos. A ISO 20000 est baseada na certificao da rea de TI e seus processos esto alinhados tanto com o CobiT quanto com a ITIL. Uma estratgia das organizaes para buscar a certifi cao implantar os processos da ITIL ou CobiT e depois usar as diretrizes da norma para se
68
adequar certificao. Os processos das trs ferramentas so equivalentes, na maioria das vezes com o mesmo princpio. A tabela abaixo apresenta a relao entre as ferramentas do ponto de vista dos processos. CobiT PO4 Definir Processo, Organizao e relacionamentos da TI PO5 Gerenciar o Investimento em TI AI5 Obter Recursos de TI AI6 Gerenciar Mudanas AI7 Autorizar e Instalar Mudanas e Solues DS1 Definir e Gerenciar Nveis de Servio DS3 Gerenciar Desempenho e Capacidade DS4 Assegurar Continuidade de Servios DS5 Assegurar Segurana de Sistemas DS8 Gerenciar Central de Servios e Incidentes DS9 Gerenciar Configurao
Figura 4.5
ITIL / ISO 20000 Gerenciamento de Relacionamento com o Negcio Gerenciamento Financeiro TI Gerenciamento de Fornecedores Gerenciamento de Mudanas Gerenciamento de Liberao Gerenciamento de Nveis de Servios Gerenciamento de Capacidade Gerenciamento de Continuidade e Disponibilidade de Servios Gerenciamento de Segurana da Informao Gerenciamento de Incidentes Gerenciamento de Configuraes Gerenciamento de Problemas
DS10 Gerenciar Problemas
Exerccio de fixao 1 e Aplicao da norma ISO 20000

Como a norma ISO 20000 pode ser aplicada em sua organizao?
69
Viso geral da norma ISO 38500

A norma ISO 38500 utilizada para auxiliar as organizaes com um conjunto de princpios para a avaliao, o gerenciamento e o monitoramento do uso da TI. A norma estabelece os seguintes princpios:
1. Responsabilidade 2. Estratgia 3. Aquisio 4. Desempenho 5. Conformidade 6. Comportamento humano
O objetivo principal da norma, que consultiva, auxiliar as organizaes com um con junto de princpios para a avaliao, o gerenciamento e o monitoramento do uso da TI. Estes princpios so alinhados com modelos de melhores prticas, como o CobiT 4.1. A norma consultiva e trata do uso efetivo da TI para atingir os objetivos de negcios da organizao, o retorno dos investimentos em TI que a organizao realiza, onde gasta, como gasta, onde investe e como investe. A norma tambm tem como finalidade informar e orien tar todos os envolvidos na organizao, nos projetos e na implementao de um sistema de polticas, processos e estruturas que suportam a governana de TI. A aplicao da norma destina-se a todos os tipos e tamanhos de organizao, pblicas ou privadas, pequenas, mdias ou grandes. A norma est estruturada da seguinte forma:
11 Escopo, aplicao e objetivos; 11 Estrutura para uma boa governana corporativa da TI; 11 Guia para a governana corporativa da TI.
A norma estabelece seis princpios para a boa Governana de TI:
1. Responsabilidade Todos na organizao devem compreender e aceitar as suas res-
ponsabilidades relacionadas a TI, sendo que a responsabilidade deve permear toda a estrutura organizacional, iniciando pelas camadas de mais alto nvel.
2. Estratgia O planejamento estratgico da organizao deve levar em considerao a
capacidade de TI em suportar adequadamente as funes de negcios, olhando a capaci dade atual e projetando a capacidade futura dentro das estratgias adotadas.
3. Aquisio As aquisies de TI devem ser de acordo com as estratgias definidas para
atender plenamente ao negcio, atravs de anlise apropriada e continuada, com deci ses claras e transparentes. Deve existir um equilbrio adequado entre os benefcios, oportunidades, custos e riscos, tanto no curto como no longo prazo.
4. Desempenho As aes e atividades de TI devem dar suporte aos negcios da organi -
zao e disponibilizao de servios, entregando o nvel de qualidade dos servios de TI necessrios para responder aos requisitos atuais e futuros do negcio, garantindo o desempenho adequado.
5. Conformidade As aes e atividades de TI devem estar em conformidade com a legislao
e regulamentos aplicveis. As polticas e as prticas esto claramente definidas, e encontram-se implementadas e aplicadas de acordo com as estabelecidas pela organizao.
70
6. O comportamento humano As polticas, prticas e decises de TI devem levar em
considerao o comportamento das pessoas, incluindo as necessidades de capacitao peridica para que todos possam executar as atividades de que so responsveis. Tam bm as mudanas na TI devem ser amplamente comunicadas com o devido suporte, para minimizar os efeitos que possam causar.
Relao entre ISO 38500 e CobiT

A relao entre os seis princpios da ISO 38500 e o CobiT est mostrada na tabela a seguir: Princpios da norma ISO 38500 Responsabilidade
PO1 Definir um Plano Estratgico de TI PO2 Definir a Arquitetura da Informao PO3 Determinar as Diretrizes de Tecnologia PO4 Definir os Processos, a Organizao e os Relacionamentos de TI PO5 Gerenciar o Investimento de TI PO6 Comunicar Metas e Diretrizes Gerenciais PO7 Gerenciar os Recursos Humanos de TI PO8 Gerenciar a Qualidade PO9 Avaliar e Gerenciar os Riscos de TI PO10 Gerenciar Projetos AI1 Identificar Solues Automatizadas AI2 Adquirir e Manter Softwares Aplicativos AI3 Adquirir e Manter Infraestrutura de Tecnologia AI4 Habilitar Operao e Uso AI5 Adquirir Recursos de TI AI6 Gerenciar Mudanas AI7 Instalar e Homologar Solues e Mudanas
Figura 4.6
x x x x x x x x x x x
Desempenho
Processos do CobiT
Comportamento humano
Conformidade
Estratgia
Aquisio
x x x x x x x x
x x x
DS1 Definir e Gerenciar Nveis de Servios
71
Princpios da norma ISO 38500 Responsabilidade
DS2 Gerenciar Servios Terceirizados DS3 Gerenciar o Desempenho e a Capacidade DS4 Assegurar a Continuidade dos Servios DS5 Garantir a Segurana dos Sistemas DS6 Identificar e Alocar Custos DS7 Educar e Treinar os Usurios DS8 Gerenciar a Central de Servio e os Incidentes DS9 Gerenciar a Configurao DS10 Gerenciar Problemas DS11 Gerenciar os Dados DS12 Gerenciar o Ambiente Fsico DS13 Gerenciar as Operaes ME1 Monitorar e Avaliar o Desempenho de TI ME2 Monitorar e Avaliar os Controles Internos ME3 Assegurar a Conformidade com Requisitos Externos ME4 Prover Governana de TI
Desempenho
Processos do CobiT
x x x x x x x x x x x x
x x x
A vantagem de usar um modelo de processo como o CobiT o seu foco na obteno de resultados especficos, desta forma facilitando a implantao da Governana de TI.
Exerccio de fixao 2 e Aplicao da norma ISO 38500

Como a norma ISO 38500 pode ser aplicada em sua organizao?
72
Comportamento humano
Conformidade
Estratgia
Aquisio
Viso geral do Val IT

Val IT um guia de processos e prticas para auxiliar os executivos da organizao a entender seus papis e responsabilidades relacionados aos investimentos em TI. O modelo Val IT est focado em quatro assuntos:
1. Estratgia:
11 Os investimentos em estratgia de TI esto alinhados com a viso da organizao? 11 Os investimentos esto consistentes com os principais objetivos de negcios? 11 Os investimentos esto contribuindo para os objetivos estratgicos da organizao? 11 Os investimentos esto contribuindo para a entrega de valor dos servios de TI, com
os custos desejados e dentro de uma margem aceitvel de risco?
2. Arquitetura de TI:
11 Os investimentos esto alinhados com a arquitetura de TI da organizao? 11 Os investimentos esto consistentes com os princpios da arquitetura de TI
da organizao?
11 Os investimentos esto contribuindo para a utilizao consciente da arquitetura de TI? 11 Os investimentos na arquitetura de TI esto alinhados com outras iniciativas
da organizao?
3. Valor da TI:
11 A organizao tem um entendimento claro dos benefcios esperados pelos investi mentos em TI?
11 A organizao tem um entendimento claro da responsabilidade para alcanar os

benefcios dos investimentos em TI?
11 A organizao tem mtricas para medir o valor que a TI agrega aos negcios?
4. Entrega:
11 A organizao tem um entendimento sobre as entregas dos servios de TI para suporte aos negcios?
11 A organizao tem competncia e disponibilidade de recursos para entregar: 22 As mudanas organizacionais requeridas para suportar o negcio?
Basicamente o Val IT foca nas decises de investimentos em TI (A organizao est investindo de forma estratgica?) e na obteno dos benefcios esperados (A organizao est obtendo os benefcios esperados?). O CobiT foca na execuo (A organizao est fazendo as coisas do jeito certo?). Processos do Val IT: Governana de Valor (VG) Otimizar o valor na organizao dos investimentos em TI da seguinte forma:
22 A capacidade requerida pelo negcio?
11 Estabelecer a governana, o monitoramento e uma estrutura de controle 11 Prover um direcionamento estratgico para os investimentos 11 Definir um portflio de investimentos
73
Gerenciar Portflio (PM) Garantir que a organizao tenha um portflio de investimentos de TI alinhado aos obje tivos estratgicos da organizao da seguinte forma:
11 Estabelecer e gerenciar perfis de recursos 11 Definir os limites dos investimentos em TI 11 Avaliar, priorizar, selecionar, adiar ou rejeitar um novo investimento de TI 11 Gerenciar completamente o portflio de investimentos 11 Monitorar e apresentar os resultados do desempenho do portflio de investimentos
em TI Gerenciar Investimentos (IM) Garantir que a organizao gerencie os investimentos de TI dentro dos critrios de custos estabelecidos e com o conhecimento dos nveis de riscos associados aos investimen tos de TI da seguinte forma:
11 Identificar requisitos de negcios 11 Entender claramente o programa de investimentos em TI 11 Analisar alternativas de investimentos em TI 11 Definir o programa de investimento em TI e detalhar claramente os planos de neg cio, com os benefcios associados
11 Gerenciar o programa de investimentos em TI por meio de um ciclo de vida econmico 11 Monitorar e apresentar os resultados do desempenho do programa de investimentos
em TI O objetivo do modelo do Val IT, criado pelo Information Technology Governance Institute (ITGI) auxiliar as organizaes no gerenciamento dos investimentos em TI, de forma que o valor gerado pela TI para suportar os negcios seja plenamente conhecido. O Val IT contm um guia, processos e prticas para auxiliar os executivos no entendimento de seus papis e responsabilidades relacionadas aos investimentos em TI. O modelo Val IT est focado em quatro eixos que provocam a reflexo sobre o presente da organizao em relao aos investimentos em TI, considerando as seguintes questes: Estratgia:
11 Os investimentos em estratgia de TI esto alinhados com a viso da organizao? 11 Os investimentos esto consistentes com os principais objetivos de negcios? 11 Os investimentos esto contribuindo para os objetivos estratgicos da organizao? 11 Os investimentos esto contribuindo para a entrega de valor dos servios de TI, com os
custos desejados e dentro de uma margem aceitvel de risco? Arquitetura de TI:
11 Os investimentos esto alinhados com a arquitetura de TI da organizao? 11 Os investimentos esto consistentes com os princpios da arquitetura de TI da organizao? 11 Os investimentos esto contribuindo para a utilizao consciente da arquitetura de TI? 11 Os investimentos na arquitetura de TI esto alinhados com outras iniciativas
da organizao?
74
Valor da TI:
11 A organizao tem um entendimento claro dos benefcios esperados pelos investimentos

em TI?
11 A organizao tem um entendimento claro da responsabilidade de alcanar os benefcios

dos investimentos em TI?
11 A organizao tem mtricas para medir o valor que a TI agrega aos negcios?
Entrega:
11 A organizao tem um entendimento sobre as entregas dos servios de TI para suporte

aos negcios?
11 A organizao tem competncia e disponibilidade de recursos para entregar: 22 A capacidade requerida pelo negcio? 22 As mudanas organizacionais requeridas para suportar o negcio?
Basicamente o Val IT foca nas decises de investimentos em TI (A organizao est investindo certo?) e na obteno dos benefcios esperados (A organizao est obtendo os benefcios esperados?). O CobiT foca na execuo (A organizao est fazendo as coisas do jeito certo?). A figura a seguir mostra a relao entre o Val IT e o CobiT.
Decises e benefcios
A organizao est fazendo a coisa certa?
A organizao est obtendo os benefcios esperados?
Val IT
Execuo
Figura 4.7 Relao entre Val IT e CobiT.
A organizao est fazendo de forma certa?
A organizao est fazendo as coisas do jeito certo?
CobiT
Para obter o retorno dos investimentos de TI, o Val IT deve ser aplicado nas organizaes
atravs dos processos apresentados a seguir.
Governana de Valor (VG)

O objetivo deste processo otimizar o valor dos investimentos em TI da seguinte forma:
11 Estabelecer a governana, o monitoramento e uma estrutura de controle; 11 Prover um direcionamento estratgico para os investimentos; 11 Definir um portflio de investimentos.
Gerenciar Portflio (PM)

O objetivo deste processo garantir que a organizao tenha um portflio dos investimen tos de TI alinhado com os objetivos estratgicos da organizao, da seguinte forma:
11 Estabelecer e gerenciar perfis de recursos; 11 Definir os limites dos investimentos em TI; 11 Avaliar, priorizar, selecionar, adiar ou rejeitar um novo investimento de TI;
75
11 Gerenciar completamente o portflio de investimentos; 11 Monitorar e apresentar os resultados do desempenho do portflio de investimentos em TI.
Gerenciar Investimentos (IM)

O objetivo deste processo garantir que a organizao gerencie os investimentos de TI dentro dos critrios de custos estabelecidos, e com o conhecimento dos nveis de riscos associados aos investimentos de TI da seguinte forma:
11 Identificar requisitos de negcios; 11 Entender claramente o programa de investimentos em TI; 11 Analisar alternativas de investimentos em TI; 11 Definir o programa de investimento em TI e detalhar claramente os planos de negcios,
com os benefcios associados;
11 Gerenciar o programa de investimentos em TI por meio de um ciclo de vida econmico; 11 Monitorar e apresentar os resultados do desempenho do programa de investimentos em TI.
A figura 4.8 mostra a relao entre os processos do Val IT.
Governana de valor (VG)
Gerenciar Investimentos (IM)
Gerenciar Portflio (PM)

Figura 4.8 Processos de Val IT.
Exerccio de fixao 3 e Aplicao do Val IT

Como o Val IT pode ser aplicado em sua organizao?
76
Atividade 1 Criando um planejamento estratgico
Tomando como base a sua organizao, faa um esboo do planejamento estratgico, levando em considerao todas as etapas definidas.
Introduo
Este guia deve ser utilizado para documentar um planejamento estratgico de TI seguindo as oito etapas definidas para a realizao da atividade da Sesso 4 Ferramentas de implantao da Governana de TI, contemplando todo o conhecimento adquirido durante o curso.
Etapa 1
Planejar a estratgia de TI
Passos 11Estabelecer as metas do planejamento estratgico de TI 11Criar uma lista dos principais envolvidos no projeto Documentar
1.1. Escopo do projeto de planejamento 1.2. Objetivo do projeto 1.3. Restries 1.4. Principais tomadores de deciso de TI e pessoas com maior envolvimento 1.5. Convergncia de tecnologias e estratgia de negcio 1.6. Cronograma 1.7. Relatrio preliminar com as principais definies do projeto
11Realizar uma reunio de lanamento do projeto 11Elaborar um relatrio preliminar
1.1 Escopo do projeto de planejamento
1.2 Objetivo do projeto
1.3 Restries
1.4 Principais tomadores de deciso de TI e pessoas com maior envolvimento
77
1.5 Convergncia de tecnologias e estratgia de negcio
1.6 Cronograma
1.7 Relatrio preliminar com as principais definies do projeto
Etapa 2
Conhecer as estratgias de negcios
Passos 11Descrever a organizao 11Conduzir uma anlise da organizao 11Documentar a viso, misso e principais valores da organizao 11Definir o negcio principal da organizao Documentar 2.1. Descrio da organizao 2.2. Prioridades da organizao 2.3. Misso e viso da organizao 2.4. Principais negcios da organizao 2.5. Principal unidade de negcio e suas metas e objetivos 2.6. Oramento e investimento da TI 2.7. Objetivos estratgicos da organizao
11Obter os principais investimentos e oramento de TI 11Listar os objetivos estratgicos da organizao
2.1 Descrio da organizao
2.2 Prioridades da organizao
2.3 Misso e viso da organizao

2.4 Principais negcios da organizao
78
2.5 Principal unidade de negcio e suas metas e objetivos
2.6 Oramento e investimento da TI
2.7 Objetivos estratgicos da organizao
Etapa 3
Conhecer e avaliar a situao atual do ambiente tecnolgico
Passos 11Documentar a estrutura organizacional de TI Documentar 3.1. Organograma da TI 3.2. Conhecimentos da equipe de TI 3.3. Lista dos fornecedores 3.4. Inventrio de software 3.5. Inventrio de hardware 3.6. Principais projetos de TI em execuo 3.7. Principais processos de TI
11Documentar a infraestrutura tecnolgica de hardware e software 11Levantar os principais projetos de TI
11Entender o ambiente de TI
3.1 Organograma da TI
3.2 Conhecimentos da equipe de TI (planilha de exemplo)

Conhecimento Nome Roberto Carol Joo x x x x x x x x x x
Java
Linux
Windows
SQL
ASP
79
3.3 Lista dos fornecedores

Nome do fornecedor Principais servios ou produtos fornecidos
3.4 Inventrio de software

Nome do software/ sistema Principais reas que atende
3.5 Inventrio de hardware

Identificao do HW Principais sistemas/software que suporta
3.6 Principais projetos de TI em execuo

Nome do projeto
Finalidade
80
3.7 Principais processos de TI

Nome do projeto Finalidade
Etapa 4
Propor um novo ambiente tecnolgico
Passos 11Analisar os pontos fortes e fracos do ambiente tecnolgico 11Listar as oportunidades tecnolgicas Documentar 4.1. Questes para direcionamento 4.2. Maturidade dos processos de TI 4.3. Pontos fortes e fracos da TI 4.4. Definir aes para a evoluo da TI
11Documentar os resultados
4.1 Questes para direcionamento

Documente as respostas. Governana e responsabilidade
1. Est claro o que a TI est executando?
2. Os investimentos de TI so transparentes?
3. A TI suporta os negcios com os nveis de servio adequados?
81
4. A TI participa das decises estratgicas da organizao?
Alinhamento entre TI e negcios

1. Os objetivos de TI esto alinhados com os objetivos de negcio da organizao?
2. Os recursos de TI esto adequados para suportar o negcio?
3. Quais riscos de negcio esto associados aos riscos de TI?
Conhecimento da equipe de TI
1. A equipe de TI tem o conhecimento necessrio para atender aos requisites de negcio?
2. Os recursos terceirizados so gerenciados corretamente?
Processos e gerenciamento de projetos

1. Os usurios esto satisfeitos com os servios de TI?
2. Com qual frequncia os projetos de TI falham em entregar o prometido?
82
3. Existe uma prtica efetiva para gerenciamento de projetos de TI?
4. Os servios de TI possuem acordos de nveis de servios?
Oramento
1. A TI tem os recursos suficientes para suportar os negcios?
2. Com qual frequncia os projetos de TI excedem o oramento planejado?
4.2 Maturidade dos processos de TI

Nome do processo Maturidade
4.3 Pontos fortes e fracos da TI

Nome do processo Maturidade
83
4.4 Definir aes para a evoluo da TI

Ao 1 Ao 2 Exemplo: o custo da TI ser monitorado para a organizao investir corretamente os seus recursos financeiros.
Etapa 5
Realizar anlise entre situao atual e proposta para o ambiente tecnolgico
Passos 11Analisar as diferenas entre as situaes atual e futura Documentar 5.1. Situao atual 5.2. Situao futura desejada 5.3. Recomendaes para direcionamento futuro
11Documentar as diferenas e as possveis solues
5.1 Situao atual
5.2 Situao futura desejada
5.3 Recomendaes para direcionamento futuro
84
Etapa 6
Propor uma viso estratgica de TI e um modelo de governana
A viso estratgica da TI que se aplica a todos os nveis estratgicos da organizao. necessrio que a organizao defina os objetivos de TI e estabelea o alinhamento com os processos e objetivos de negcios para que os projetos e aes de TI possam ser priorizados de acordo com a estratgia corporativa. Estabelea o alinhamento entre a viso, os objetivos e as aes especficas de TI e os objetivos estratgicos do negcio. Passos 11Definir a viso estratgica da TI Documentar 6.1. Objetivos estratgicos de TI 6.2. Alinhamento entre os objetivos estratgicos de TI e os objetivos estratgicos de negcio
6.1 Objetivos estratgicos de TI

Objetivo 1 Objetivo 2 Objetivo 3 Objetivo 4 Objetivo 5 Objetivo 6 Objetivo 7
6.2 Alinhamento entre os objetivos estratgicos de TI e de negcio

Objetivo de negcio
Objetivo de negcio 1
Objetivos
Objetivo 1 Objetivo 2
Objetivo 3 Objetivo 4 Objetivo 5
85
Etapa 7
Definir um modelo de decises estratgicas de TI
Passos 11Definir indicadores para medir o atingimento dos objetivos estratgicos de TI 11Definir os projetos prioritrios de TI, de curto, mdio e longo prazos Documentar 7.1. Indicadores de TI 7.2. Lista de projetos priorizados
7.1 Indicadores de TI
Nome do indicador Indicador 1 Indicador 2 Descrio
7.2 Lista de projetos priorizados

Prioridade Prioridade 1 Prioridade 2 Prioridade 3 Prioridade 4 Nome do projeto
Etapa 8
86
Publicar, promover e manter as estratgias de TI

Passos 11Apresentar o plano para a alta direo da organizao 11Elaborar plano de comunicao Documentar 8.1. Plano de comunicao
8.1 Plano de comunicao

Tipo de comunicao Apresentao Meio utilizado Reunio Periodicidade Sempre que necessrio Pblico-alvo Executivos
O que foi aprendido

11 Conceitos bsicos da ITIL v3 11 Definio de servio de TI 11 Entendimento do ciclo de vida de servios de TI 11 Aplicao da ITIL v3 na implantao da Governana de TI 11 Conceitos bsicos da norma ISO 20000 11 Entendimento da estrutura e dos processos da ISO 20000 11 Relao entre CobiT, ITIL e ISO 20000 11 Conceitos bsicos da ISO 38500 e do Val IT
87
88
Bibliografia
11 ANDRADE, Adriana; ROSSETTI, Jos Paschoal. Governana corporativa: fundamentos, desenvolvimento e tendncias. So Paulo: Atlas, 2004. 11 FERNANDES, Aguinaldo Aragon; ABREU, Vladimir Ferraz de. Implantando a governana de TI: da estratgia gesto dos processos e servios. Rio de Janeiro: Brasport, 2006. 11 Harvard Business Review. Experincias de governana corporativa. Rio de Janeiro: Campus, 2001. 11 ISO/IEC 38500 08. Governana corporativa de tecnologia da informao. Rio de Janeiro: ABNT, 2008. 11 LAHTI, Christian B.; PETERSON, Roderick. Sarbanes-Oxley: conformidade TI usando CobiT e ferramentas open source. Rio de Janeiro: Editora Alta Books, 2006. 11 Ministrio do Planejamento, Oramento e Gesto. Instruo normativa n 4: IN-4 da Secretaria de Logstica e Tecnologia da Informao. 11 Ministrio do Planejamento, Oramento e Gesto. Modelo de Referncia de Plano Diretor de Tecnologia da Informao da Secretaria de Logstica e Tecnologia da Informao. 11 NBR ISO/IEC 20000: 1/08. Tecnologia da informao: gerenciamento de servios (parte 1): especificao. Rio de Janeiro: ABNT, 2008. 11 NBR ISO/IEC 20000: 2/08. Tecnologia da informao: gerenciamento de servios (parte 2): cdigo de prtica. Rio de Janeiro: ABNT, 2008. 11 WEILL, Peter; ROSS, Jeanne W. Governana de TI: tecnologia da informao. So Paulo: M. Books, 2006.
Bibliografia
89
11 CobiT Mapping: Mapping of ITIL v3 with CobiT 4.1: Overview of Interna tional IT Guidance, 2 edio: http://www.isaca.org/KnowledgeCenter/Research/ResearchDeliverables/ Pages/COBIT-Mapping-Mapping-of-ITIL-V3-With-COBIT-4-1.aspx 11 Framework CobiT 4.1: www.isaca.org 11 IT Governance Institute: www.itgi.org 11 IT Governance Institute TM. Modelo Cobit 4.1: http://www.isaca.org/Knowledge-Center/cobit/Documents/cobit41-portuguese.pdf 11 Val IT and Related: http://www.isaca.org/bookstore/Pages/Val-IT-and-Related.aspx 11 Val IT Framework 2.0: http://www.isaca.org/Knowledge-Center/Research/ ResearchDeliverables/Pages/Val-IT-Framework-2.0.aspx
90
LIVRO DE APOIO AO CURSO
O O livro livro de de apoio apoio ao ao curso curso Fundamentos Fundamentos de de Governana Governana de de TI TI inicia inicia o o aluno aluno no no entendimento entendimento dos dos principais principais aspectos aspectos e e processos processos bsicos bsicos que que formam formam o o escopo escopo da da governana governana de de TI, TI, e e do do seu seu impacto impacto sobre sobre a a governana governana corporativa corporativa nas nas organizaes. organizaes. O O aluno aluno ter ter ainda ainda um um primeiro primeiro contato contato com com os os modelos modelos CobiT CobiT e e ITIL, ITIL, fundamentais fundamentais no no mbito mbito da da governana governana de de TI. TI. Este Este livro livro inclui inclui os os roteiros roteiros das das atividades atividades prticas prticas e eo o concontedo tedo dos dos slides slides apresentados apresentados em em sala sala de de aula, aula, apoiando apoiando suas suas organizaes organizaes ou ou localidades localidades de de origem. origem.
ISBN ISBN 978-85-63630-03-2 978-85-63630-03-2
9 9 788563 788563 630032 630032

Fundamentos de Governança de TI

Uploaded by

Document Information

Copyright

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Fundamentos de Governança de TI

Uploaded by

Copyright:

Fundamentos de

Edson Roberto Gaseta

Edson Roberto Gaseta

Rio de Janeiro Escola Superior de Redes 2012

Jos Luiz Ribeiro Filho

Escola Superior de Redes

Escola Superior de Redes

2. Relao entre Governana de TI

3. Viso geral da implantao da Governana de TI com CobiT

4. Ferramentas de implantao da Governana de TI

Escola Superior de Redes

Convenes utilizadas neste livro

Fundamentos da Governana de TI e motivadores para a sua implantao.

Figura 1.1 Investimentos em TI.

Captulo 1 - Fundamentos da Governana de TI

Investimentos do setor privado e pblico em TI

Suporte aos negcios da organizao

Proporciona melhoria nos servios de TI

Organizaes pblicas e privadas

Gerenciar adequadamente a estrutura de TI Desao

Melhores resultados dos servios prestados

Figura 1.2 Desafio da Governana de TI.

Neste captulo sero mostrados os princpios fundamentais da Governana de TI.

Exerccio de nivelamento 1 e Entendimento da Governana de TI

O ambiente de uma organizao se apoia na tecnologia

A governana de TI ganha fora no atual cenrio de competitividade do mundo dos negcios

Figura 1.3 Governana de TI e ambiente de negcios.

Os negcios das organizaes esto sempre em transformao

Motivadores para a implantao da Governana de TI

Captulo 1 - Fundamentos da Governana de TI

Motivador Gastos altos com TI.

Riscos 11Diminuir lucratividade da organizao.

11Perda de desempenho das funes de TI e dos negcios da organizao.

A segurana da informao no existe ou no difundida adequadamente na organizao.

A contratao de servios de terceiros no atende s necessidades de TI.

harmoniza as decises administrativas e a utilizao da TI alinhada aos objetivos de negcio.

11 Manter os recursos de TI funcionando as organizaes necessitam garantir a

11 Gerenciar os custos as organizaes necessitam gerenciar os investimentos de

11 Complexidade tecnolgica as organizaes necessitam se organizar para

11 Conformidade com leis e regulamentos as organizaes necessitam cumprir

11 Segurana da informao as organizaes necessitam garantir uma segurana

11 Garantir que a TI suporte e maximize os objetivos e estratgias da organizao por

11 Manter os riscos do negcio sob controle, por meio de uma gesto de

11 Alinhamento estratgico garantir o alinhamento estratgico entre TI e os objetivos de

11 Gerenciamento de risco processo de avaliar os riscos identificados, categoriz-los e

11 Gerenciamento de recursos otimizao dos investimentos e gesto adequada de

o. O alinhamento estratgico obtido por meio da definio dos objetivos de negcio da

Garantir a reputao e a liderana da organizao

Figura 1.9 Alinhamento entre objetivos de TI e de negcio.

Ger en de r ciamen isco to

Figura 1.8 Focos da Governana de TI.

ento iam nho enc Ger sempe e de d

11 A rea de TI cara demais, no cumpre nenhum prazo, dificulta qualquer ideia e

11 importante incentivar a colaborao entre profissionais de negcios e de TI, pois

11 A TI no est alinhada com as estratgias da empresa.

suporte, help desk , dados comuns etc).

11 Necessidade de aplicaes de negcio aplicaes de negcio a serem adquiridas ou

11 Priorizao e investimentos decises sobre como, quanto e onde investir em TI,

Necessidade de aplicaes de negcio

Exerccio de fixao 1 e Determinando as cinco decises de TI

A necessidade de aplicaes de negcios:

11 Fornecer para a organizao uma viso completa do seu ambiente de TI,

11 Propiciar que as organizaes tenham ao seu alcance todas as informaes

11 Facilitar o planejamento de TI, inclusive com estimativas de oramento para projetos

11 Avaliar objetivamente a maturidade em relao a padres internacionais, ao mesmo

11 A definio de processos, indicadores, mtodos e controles dos aspectos priorizados

22 A organizao depende de modelos de negcio baseados em TI.