Professional Documents
Culture Documents
Governana de TI
Edson Roberto Gaseta
Fundamentos de
Governana de TI
Fundamentos de
Governana de TI
Copyright 2012 Rede Nacional de Ensino e Pesquisa RNP Rua Lauro Mller, 116 sala 1103 22290-906 Rio de Janeiro, RJ Diretor Geral
Nelson Simes
Diretor de Servios e Solues
Luiz Coelho
Edio
Pedro Sangirardi
Coordenao Acadmica de Segurana e Governana de TI
Edson Kowask
Reviso Tcnica Leandro Pfeifer Macedo Equipe ESR (em ordem alfabtica)
Alexandre Csar Motta, Celia Maciel, Cristiane Oliveira, Derlina Miranda, Elimria Barbosa, Lourdes Soncin, Luciana Batista, Luiz Carlos Lobato, Renato Duarte e Sergio de Souza
Capa, projeto visual e diagramao
Tecnodesign
Verso
1.0.1
Este material didtico foi elaborado com fins educacionais. Solicitamos que qualquer erro encontrado ou dvida com relao ao material ou seu uso seja enviado para a equipe de elaborao de contedo da Escola Superior de Redes, no e-mail info@esr.rnp.br. A Rede Nacional de Ensino e Pesquisa e os autores no assumem qualquer responsabilidade por eventuais danos ou perdas, a pessoas ou bens, originados do uso deste material. As marcas registradas mencionadas neste material pertencem aos respectivos titulares. Distribuio
Rua Lauro Mller, 116 sala 1103 22290-906 Rio de Janeiro, RJ http://esr.rnp.br info@esr.rnp.br
Dados Internacionais de Catalogao na Publicao (CIP) G247f Gaseta, Edson Roberto. Fundamentos de Governana de TI / Edson Roberto Gaseta. Rio de Janeiro: RNP/ESR, 2011. 102 p. : il. ; 27,5 cm Bibliografia: p.89-90. ISBN 978-85-63630-03-2
1. Tecnologia da informao Gesto. 2. Administrao de empresas Proteo de dados. 3. COBIT (formato padro de gesto de tecnologia de informao). 4. ITIL (Biblioteca de infraestrutura de tecnologia da informao) I. Ttulo. CDD 004.068
Sumrio
1. Fundamentos da Governana de TI
Introduo1 Exerccio de nivelamento 1 Entendimento da Governana de TI2 Fundamentos de Governana de TI2 Motivadores para a implantao da Governana de TI3 Objetivos da Governana de TI4 Definio de negcio6 Foco da Governana de TI7 Importncia da Governana de TI9 Exerccio de fixao 1 Determinando as cinco decises de TI10 Benefcios da Governana de TI10 Exerccio de fixao 2 Aes para a Governana de TI12 Roteiro de Atividades 115 Atividade 1 Organizao privada15 Atividade 2 Organizao pblica: incluso digital17 Atividade 3 Organizao pblica: nota fiscal eletrnica18
iii
Fundamentos de Governana Corporativa22 Exerccio de nivelamento 2 Exemplificando a Governana Corporativa24 Lei Sarbanes-Oxley (SOX)24 Relao entre a Governana de TI e a Governana Corporativa25 Exerccio de fixao 1 Definindo as estratgias de negcios e de TI26 Alinhamento estratgico27 Exerccio de fixao 2 Alinhamento estratgico28 Influncia da Governana Corporativa nos investimentos de TI29 Roteiro de Atividades 231 Atividade 1 Definindo insumos para alinhar TI aos negcios31 Atividade 2 Criando um processo para alinhar TI e negcios32 Atividade 3 Definio de indicadores para monitorao dos negcios e da TI33
iv
Bibliografia 89
vi
A metodologia da ESR
A filosofia pedaggica e a metodologia que orientam os cursos da ESR so baseadas na aprendizagem como construo do conhecimento por meio da resoluo de problemas tpicos da realidade do profissional em formao. Os resultados obtidos nos cursos de natureza terico-prtica so otimizados, pois o instrutor, auxiliado pelo material didtico, atua no apenas como expositor de conceitos e informaes, mas principalmente como orientador do aluno na execuo de atividades contextualizadas nas situaes do cotidiano profissional. A aprendizagem entendida como a resposta do aluno ao desafio de situaes-problema semelhantes s encontradas na prtica profissional, que so superadas por meio de an lise, sntese, julgamento, pensamento crtico e construo de hipteses para a resoluo do problema, em abordagem orientada ao desenvolvimento de competncias. Dessa forma, o instrutor tem participao ativa e dialgica como orientador do aluno para as atividades em laboratrio. At mesmo a apresentao da teoria no incio da sesso de aprendizagem no considerada uma simples exposio de conceitos e informaes. O instrutor busca incentivar a participao dos alunos continuamente.
vii
As sesses de aprendizagem onde se do a apresentao dos contedos e a realizao das atividades prticas tm formato presencial e essencialmente prtico, utilizando tcnicas de estudo dirigido individual, trabalho em equipe e prticas orientadas para o contexto de atuao do futuro especialista que se pretende formar. As sesses de aprendizagem desenvolvem-se em trs etapas, com predominncia de tempo para as atividades prticas, conforme descrio a seguir: Primeira etapa: apresentao da teoria e esclarecimento de dvidas (de 60 a 90 minutos). O instrutor apresenta, de maneira sinttica, os conceitos tericos correspondentes ao tema da sesso de aprendizagem, com auxlio de slides em formato PowerPoint. O instrutor levanta questes sobre o contedo dos slides em vez de apenas apresent-los, convidando a turma reflexo e participao. Isso evita que as apresentaes sejam montonas e que o aluno se coloque em posio de passividade, o que reduziria a aprendizagem. Segunda etapa: atividades prticas de aprendizagem (de 120 a 150 minutos). Esta etapa a essncia dos cursos da ESR. A maioria das atividades dos cursos assn crona e realizada em duplas de alunos, que acompanham o ritmo do roteiro de atividades proposto no livro de apoio. Instrutor e monitor circulam entre as duplas para solucionar dvidas e oferecer explicaes complementares. Terceira etapa: discusso das atividades realizadas (30 minutos). O instrutor comenta cada atividade, apresentando uma das solues possveis para resolv-la, devendo ater-se quelas que geram maior dificuldade e polmica. Os alunos so convidados a comentar as solues encontradas e o instrutor retoma tpicos que tenham gerado dvidas, estimulando a participao dos alunos. O instrutor sempre estimula os alunos a encontrarem solues alternativas s sugeridas por ele e pelos colegas e, caso existam, a coment-las.
Sobre o curso
Introduzir os princpios bsicos da governana de TI, capacitando o aluno para a dissemina o em sua organizao dos conceitos-chave necessrios para oferecer sustentao para a implantao posterior das boas prticas de governana de TI, em bases slidas e ancora das em modelos de governana que garantem adequado alinhamento estratgico da TI aos objetivos do negcio.
A quem se destina
Gestores e tcnicos de TI que desejam atualizar os seus conhecimentos sobre modelos de governana de TI e sua aplicabilidade nas organizaes.
viii
Contedo de slide
Indica o contedo dos slides referentes ao curso apresentados em sala de aula.
Smbolo
Indica referncia complementar disponvel em site ou pgina na internet.
Smbolo
Indica um documento como referncia complementar.
Smbolo
Indica um vdeo como referncia complementar.
Smbolo
Indica um arquivo de adio como referncia complementar.
Smbolo
Indica um aviso ou precauo a ser considerada.
Smbolo
Indica questionamentos que estimulam a reflexo ou apresenta contedo de apoio ao entendimento do tema em questo.
Smbolo
Indica notas e informaes complementares como dicas, sugestes de leitura adicional ou mesmo uma observao.
Permisses de uso
Todos os direitos reservados RNP. Agradecemos sempre citar esta fonte quando incluir parte deste livro em outra obra. Exemplo de citao: GASETA, E. R. Fundamentos de Governana de TI. Rio de Janeiro: Escola Superior de Redes, 2011.
Comentrios e perguntas
Para enviar comentrios e perguntas sobre esta publicao: Escola Superior de Redes RNP Endereo: Av. Lauro Mller 116 sala 1103 Botafogo Rio de Janeiro RJ 22290-906 E-mail: info@esr.rnp.br
Sobre os autores
Edson Roberto Gaseta analista de Sistemas da Fundao CPqD, onde atua h 26 anos, com MBA em Gesto Empresarial pela faculdade ESAMC, especialista em Redes de Computadores pelo Instituto de Computao da Unicamp, gerente de projetos de tecnologia da informao, especialista em CobiT e ITIL, especialista em infraestrutura ambiente Microsoft, especialista em segurana em ambiente Microsoft - Las Colinas - Texas - USA, professor do curso de ps-graduao em Segurana da Informao da Faculdade IBTA, professor acadmico tendo ministrado aulas na Faculdade Hoyler, Universidade So Marcos e Faculdade Fleming.
ix
Alexandre Cesar Motta tem mestrado em administrao com nfase em planejamento organizacional e gesto de recursos humanos pela PUC Rio. MBA em gerenciamento de projetos pela FGV-RJ. Economista pela PUC-Rio com mais de 10 anos de experincia profissional em cargos de coordenao e direo de importantes instituies de ensino superior. Professor de cursos de graduao e ps-graduao em disciplinas das reas de marketing, recursos humanos, planejamento organizacional e gerenciamento de projetos. Possui experincia como facilitador em programas de treinamento e desenvolvimento de competncias e habilidades tcnicas e gerenciais, e na implementao de projetos de consultoria em gesto de recursos humanos, gerenciamento de projetos e organizao de empresas. Jacomo Dimmit Boca Piccolini formado em Engenharia pela Universidade Federal de So Carlos, com ps-graduaes no Instituto de Computao e Instituto de Economia da UNICAMP. Com mais de 12 anos de experincia na rea de segurana, possui certificaes na rea de Segurana e Governana de TI. tambm Diretor de Pesquisa do Dragon Rese arch Group, Coordenador de Treinamentos do FIRST.org, membro da Diretoria da ISACA Braslia e professor convidado em cursos de ps-graduao nas disciplinas de anlise forense, tratamento de incidentes, segurana de sistemas, criao e gerenciamento de CSIRTs.
1
Fundamentos da Governana de TI
objetivos
Apresentar os princpios fundamentais da Governana de TI, sua importncia e seus objetivos e benefcios.
conceitos
Introduo
11 Investimento em Tecnologia da Informao 11 Organizaes pblicas e privadas 11 Desafios relacionados a TI enfrentados pelas organizaes pblicas e privadas
As organizaes privadas investem recursos significativos na rea de Tecnologia da Informa o (TI), para que o suporte aos negcios esteja associado aos investimentos que proporcio nam melhoria nos servios de TI.
Frequentemente, as organizaes privadas no investem adequadamente no setor de TI, apesar das altas cifras despendidas. Desta forma, em sua maioria ainda no utilizam todo o potencial que os recursos de TI proporcionam para alavancar novos negcios e aumentar a competitividade no mercado. Da mesma forma, as organizaes pblicas tambm investem em TI para atingir seus obje tivos. Como nas organizaes privadas, no utilizam todo o potencial da TI para cumprir o seu papel de rgo pblico. Portanto, o grande desafio das organizaes pblicas e privadas gerenciar adequadamente a estrutura de TI e direcionar os investimentos em TI de forma
adequada, buscando atingir os melhores resultados dos servios prestados pela TI, por meio de uma Governana de TI bem planejada e implementada.
?
Direcionar os investimentos em TI de forma adequada
Fundamentos de Governana de TI
11 Definio da Governana de TI 11 Fundamentos 11 Governana de TI possibilita definir e entender os objetivos de TI 11 Alinhamento estratgico da TI
A Governana de TI definida como uma estrutura de relacionamento e processos para
Processo Sequncia de tarefas (ou atividades) que ao serem executadas transformam insumos (entradas) em um resultado com valor agregado (sada). A execuo de um processo consome recursos materiais e/ou humanos para agregar valor ao resultado do processo. Insumos so matriasprimas, produtos ou servios vindos de fornecedores internos ou externos que alimentam o processo. Os resultados so produtos ou servios que vo ao encontro das necessidades de clientes internos ou externos.
dirigir e controlar uma organizao, a fim de atingir os objetivos corporativos, adicionando valor ao negcio e equilibrando os riscos em relao ao retorno do investimento em TI e seus processos. Tais estruturas e processos buscam garantir que a TI contribua para que os objetivos e estratgias da organizao assumam seu valor mximo, de forma a controlar a execuo e a qualidade dos servios de TI em benefcio da organizao. Basicamente, ter uma estrutura de relacionamento e processos garantir que as aes da Governana de TI sejam compartilhadas com os dirigentes da organizao (pblica ou privada), estabelecendo os processos necessrios para suportar o uso da TI nas atividades dirias de usurios e clientes, que formam os pblicos interno e externo.
Fundamentos de Governana de TI
A Governana de TI ganha fora no atual cenrio de competitividade do mundo dos negcios. Um mundo onde cada vez maior a necessidade de adoo, pela rea de TI, de mecanismos que permitam estabelecer objetivos, avaliar resultados e examinar, de forma concreta e deta lhada, se as metas foram alcanadas. O ambiente de uma organizao se apoia na tecnologia em constante mutao, exigindo modelos mais geis e flexveis de gerenciamento. Os negcios das organizaes esto sempre em transformao e a TI, igualmente, est em constante processo de mudana. Por isso, necessrio designar poderes de deciso da melhor maneira possvel, visando manter o alinhamento entre os negcios e a Tecnologia da Informao.
A TI uma rea com enorme quantidade de recursos, linguagem prpria, de difcil entendimento pela organizao
Governana de TI
Internamente, a Governana de TI visa designar os direitos de deciso nas questes de real valor, com a finalidade de atingir os objetivos de negcio. Considerada por muitos como uma espcie de caixa-preta, a rea de TI tem suas aes pouco conhecidas dentro das organizaes. Na maioria delas no existe alinhamento das estrat gias de TI com as estratgias de negcio. uma rea com enorme quantidade de recursos, linguagem prpria, de difcil entendimento pela organizao.
Figura 1.4 Alinhamento dos objetivos de neg cio e de TI por meio da Governana de TI.
Objetivos de TI
Governana de TI
Objetivos de negcio
mento que apresenta um modelo para auxiliar a construo do PDTI, contendo informaes para aprimorar a gesto de TI nos rgo da Administrao Pblica Federal.
PDTI Utilizado nas organizaes para direcionar as aes de TI em um perodo determinado, devendo ser revisado em perodos de um ano, no mximo.
Instruo Normativa A IN um ato administrativo, no qual o administrador, na sua competncia, e no limite da lei e da Constituio, explica ou instrui os seus subordinados diretos sobre os procedimentos de aplicao de uma lei. Uma IN no pode substituir os pareceres jurdicos das entidades autnomas, tratando-se de orientao nos limites daquele ente ou esfera administrativa. Logo, uma IN da administrao direta se aplica no mbito daquele rgo ou Poder, conforme a autoridade que a emite.
Uma Governana de TI adequada necessria para o conhecimento mais amplo dos obje tivos do setor de TI. As novas prticas de governana possibilitam que a rea de TI esteja adequada estratgia de negcios das organizaes. No Brasil, esse um movimento que comeou com as filiais das empresas estrangeiras, ten dendo a se ampliar para empresas de todos os portes. A Administrao Pblica Federal esta belece documentos de referncia para a implantao da Governana de TI em seus rgos. A Instruo Normativa n 4 o documento de referncia que dispe sobre o processo de contratao de servios de Tecnologia da Informao pela Administrao Pblica Federal (APF) direta, indireta, autrquica e fundacional. O Modelo de Referncia de Plano Diretor de Tecnologia da Informao (PDTI) um docu -
Informaes 11Desvalorizao e desatualizao muito rpida de recursos de TI. 11Dificuldade de gesto de bens de TI. 11Alocao inadequada dos recursos de TI.
11Demora no processo de escolha, aquisio e entrega de solues de TI. 11Oramento de TI insuficiente. Desalinhamento entre as necessidades de negcio e a infraestrutura de TI da organizao. Decises de TI tomadas de forma isolada. 11Infraestrutura de TI superestimada ou subestimada. 11Tempo de implementao das solues de TI no atinge a expectativa dos usurios das reas de negcios da organizao. 11Fluxo de informao truncado devido a processos no implementados por TI. 11Falta de alinhamento entre a rea de TI e de negcios, proporcionando baixa eficincia operacional. 11Servios entregues sem a qualidade desejada.
11rea de TI no vista na organizao como estratgica. 11Falta de integrao entre as reas de negcio e a rea de TI.
11Desconhecimento das necessidades de novos servios de TI para atendimento adequado ao negcio. 11Informaes podem no ser confiveis e ntegras, pois no existe controle sobre elas, gerando perdas significativas para a organizao. 11Perda de credibilidade. 11Quebra de contrato pode causar interrupo de servios de TI.
11Indisponibilidade de informao sobre os proprietrios dos dados dos sistemas e permisses necessrias para a manipulao dos dados. 11Indefinio de uma poltica de segurana.
11Os contratos com terceiros no so firmados de forma adequada, acarretando dificuldade no relacionamento.
11A estratgia para a terceirizao dos servios de TI no atende s necessidades dos clientes e dos objetivos de negcio.
11Servios de TI estratgicos esto sob o controle de terceiros, ocasionando problemas de continuidade dos servios de TI. 11Perda do controle dos servios de TI.
Figura 1.5
Uma Governana de TI eficaz requer uma quantidade significativa de tempo e ateno da administrao. A crescente dependncia das organizaes em relao TI mostra que so vlidos os esforos para implantar a Governana de TI. Uma Governana de TI adequada
Fundamentos de Governana de TI
Objetivos da Governana de TI
A rea de TI de uma organizao enfrenta os seguintes desafios dirios:
11 Entrega de valor a rea de TI deve garantir a entrega dos servios acordados com
os benefcios esperados, visando diminuir os custos e aumentar o valor da TI;
11 Alinhar a TI aos negcios em muitas organizaes existe uma lacuna entre o que
o usurio espera dos servios de TI e o que realmente a TI pode fornecer, sendo necessrio alinhar a TI aos negcios;
11 Controlar, medir e auditar a execuo e a qualidade dos servios de TI 11 Viabilizar o acompanhamento de contratos com prestadores de servios de TI 11 Definir condies para o exerccio eficaz da gesto de TI com base em conceitos
consolidados de qualidade
11 Alinhar a estratgia de TI com a do negcio 11 Aumentar a capacidade e agilidade para novos modelos de negcio ou ajustes nos 11 Explicitar a relao entre o aumento nos custos de TI e o aumento no valor da
informao
Captulo 1 - Fundamentos da Governana de TI
modelos atuais
11 Explicitar a importncia da TI para a continuidade dos negcios 11 Medir e melhorar continuamente o desempenho de TI
Definio de negcio
Um negcio pode ser definido como o produto ou servio que qualquer organizao pretende oferecer, objetivando entregar o resultado esperado pelo cliente/usurio de forma a satisfazer suas necessidades. Para alinhar a TI aos negcios da organizao necessrio ter um entendimento claro dos negcios que a organizao pretende realizar.
Empresa Privada
Empresa Pblica
Figura 1.6 Relao entre TI e o objetivo do negcio.
A TI tem papel fundamental em manter os recursos de TI necessrios para que o objetivo do negcio seja alcanado
importante estabelecer as diferenas entre a definio de negcio para empresas privadas e organizaes pblicas. Para uma empresa privada do setor financeiro, por exemplo, um elemento importante para o seu negcio pode ser garantir um nmero maior de transa es de pagamento de ttulos, aumentando a lucratividade da instituio. Ento, o objetivo estratgico para este negcio sempre buscar um nmero maior de pessoas que faam o pagamento de seus ttulos atravs deste banco. A TI tem o papel fundamental de manter os recursos necessrios para que o objetivo do negcio seja alcanado. J parte do negcio do Ministrio da Agricultura, Pecuria e Abastecimento garantir o controle de todo o rebanho de animais bovinos e bubalinos, registrando e identificando o rebanho no territrio nacional, possibilitando o rastreamento de cada animal desde o nascimento at o abate, com a gerao de relatrios de apoio tomada de decises sobre a qualidade do rebanho nacional e importado. O objetivo estratgico deste negcio garantir que todos os criadores e frigorficos mantenham as informaes em um sistema integrado, para um controle efetivo. A TI tem o papel de garantir os recursos necessrios para que o objetivo de negcio seja alcanado. Organizao privada (setor financeiro) 11Maior nmero de transaes de pagamento de ttulos, aumentando a lucratividade da instituio. 11Objetivo estratgico de negcio de sempre buscar o maior nmero de pagamento de seus ttulos. Organizao pblica (setor de pecuria) 11Registrar e identificar todo o rebanho de animais bovinos e bubalinos, permitindo o rastreamento do animal e a disponibilizao de relatrios de apoio tomada de decises.
Figura 1.7
11Objetivo estratgico de negcio de fornecer a criadores e frigorficos informaes para um efetivo controle dos rebanhos. 11Suporte ao negcio: sistema SISBOV do Ministrio da Agricultura, Pecuria e Abastecimento.
Fundamentos de Governana de TI
O Ministrio da Agricultura, Pecuria e Abastecimento disponibiliza em www.agricultura.gov.br informaes sobre os objetivos de negcios e tambm sobre o sistema Sisbov, que suporta o negcio que garante o controle de todo o rebanho de animais bovinos e bubalinos rastreados.
Sisbov Servio Brasileiro de Rastreabilidade da Cadeia Produtiva de Bovinos e Bubalinos, utilizado para a identificao e controle do rebanho de bovinos e bubalinos em territrio nacional, bem como para o rastreamento do processo produtivo no mbito das propriedades rurais. As informaes coletadas colaboram para nortear a tomada de deciso quanto qualidade do rebanho nacional e importado.
Foco da Governana de TI
O IT Governance Institute (ITGI) www.itgi.org estabelece como principais focos da Governana de TI:
11 Entrega de valor a rea de TI deve garantir a entrega dos servios acordados com os
benefcios esperados, procurando diminuir os custos e aumentar o valor da TI.
11 Gerenciamento de desempenho acompanhamento e monitoramento da implementa o da estratgia de TI alinhada ao negcio, do andamento dos projetos, da utilizao de recursos, do desempenho dos processos e da entrega dos servios, utilizando medies e indicadores de desempenho.
Gerenciamento de recursos
Alinhamento estratgico
Garantir que a estratgia de TI esteja alinhada com os objetivos de negcios da organiza organizao e dos objetivos estratgicos de TI. Aps esta definio, necessrio relacionar os objetivos de negcios aos objetivos de TI, estabelecendo o alinhamento estratgico.
Captulo 1 - Fundamentos da Governana de TI
Alinhar
Objetivo de negcio
Objetivo de TI
Garantir que os servios de TI estejam operacionais quando requeridos
Requer
to en m a o h gic in Al rat t es
En t de rega va lo r
Governana de TI
Entrega de valor
A rea de TI deve garantir a entrega dos servios acordados com os benefcios esperados, procurando diminuir os custos e aumentar o valor da TI. Esta garantia est associada ao retorno sobre os investimentos em TI que devem suportar os objetivos de negcio. Normal mente os investimentos em TI so altos e devem garantir o seu retorno. Uma organizao investe altos valores, por exemplo, para implantar um sistema de gesto empresarial que proporcione uma otimizao nas atividades da organizao, aumentando sua rentabilidade e competitividade. A rea de TI deve garantir que a implantao do sistema de gesto esteja alinhada com a estratgia da organizao, proporcionando o que foi acordado. Um exem plo a garantia de que os pedidos esto automatizados com a linha de produo, proporcionando um maior controle dos produtos da empresa. Se isso no ocorre, a TI no est entregando o valor esperado.
Gerenciamento de risco
Processo de avaliar os riscos identificados, categorizar a gravidade dos riscos e determinar o custo de eventuais perdas organizacionais associadas. As organizaes devem mapear os riscos possveis e tratar de forma adequada cada um deles. Uma organizao financeira, por exemplo, tem uma grande preocupao com os riscos associados s fraudes eletrnicas. Estas organizaes investem para conhecer estes riscos, avaliar a vulnerabilidade associada a cada um deles e prover medidas para resolv-los. Uma fraude eletrnica pode comprometer toda a reputao da organizao e causar perdas significativas. Uma organizao pblica, por exemplo, que controla o pagamento de um benefcio ao cidado, tem que se preocupar se o pagamento feito para a pessoa certa. As fraudes, neste caso, podem estar associadas a uma pessoa que recebia o benefcio enquanto estava desempregada, e quando consegue o emprego no avisa ao rgo pblico para suspender o pagamento, continuando a receber o benefcio. Neste caso, o rgo pblico deve ter uma estrutura de TI para cruzar informaes do Ministrio do Trabalho e Emprego e do Minist rio de Desenvolvimento Social e Combate Fome, para verificar se o benefcio pode conti nuar a ser concedido para um determinado cidado ou se deve ser cancelado.
TCU Auxilia o Congresso Nacional na fiscalizao contbil, financeira, oramentria, operacional e patrimonial da Unio e das entidades da administrao direta e indireta, quanto legalidade, legitimidade, economicidade, aplicao das subvenes e renncia de receitas. Acrdo Documento que contm o resultado de julgamento proferido por um colegiado, isto , por um grupo de juzes ou ministros. Compese de trs partes: relatrio (exposio geral sobre o assunto julgado); voto (fundamentao da deciso tomada) e dispositivo (a deciso propriamente dita). Diz-se acrdo porque a deciso resulta de uma concordncia, total ou parcial.
Gerenciamento de recursos
Otimizao dos investimentos e da gesto adequada de recursos (aplicaes, pessoas, informaes e infraestrutura), essenciais para prover os subsdios de que a empresa necessita para cumprir os seus objetivos.
Medio de desempenho
Fundamentos de Governana de TI
Acompanhamento e monitoramento da implementao da estratgia de TI alinhada ao neg cio, do andamento dos projetos, da utilizao de recursos, do desempenho dos processos e da entrega dos servios, utilizando medies e indicadores de desempenho. O Tribunal de Contas da Unio ( TCU) realiza diversas auditorias na rea de TI que regulam as atividades, procedimentos e decises dos agentes pblicos. A auditoria realizada observando-se as informaes das cinco reas de foco da Governana de TI. O resultado desta auditoria pode ser encontrado no Acrdo 2471/2008.
Importncia da Governana de TI
Sem uma Governana de TI claramente definida, as decises sobre a TI em uma organizao podem no satisfazer adequadamente as necessidades de negcios. Afirmaes que validam a importncia da Governana de TI:
11 Princpios de TI declaraes de alto nvel sobre como a TI deve ser usada na empresa. 11 Infraestrutura de TI estrutura bsica de TI (tcnica e humana) compartilhada por toda
a empresa na forma de servios confiveis, coordenados de maneira centralizada (rede,
Help Desk Servio de apoio a usurios para suporte e resoluo de problemas tcnicos de informtica, telefonia e tecnologias de informao (pr e ps vendas). Este apoio pode ser fornecido internamente (por profissionais responsveis pela manuteno de equipamentos e instalaes dentro da empresa) ou externamente (prestao de servios a usurios).
11 Arquitetura de TI um conjunto integrado de escolhas tcnicas que direcionam a orga nizao na satisfao de suas necessidades de negcio. A arquitetura um conjunto de polticas e regras que governam o uso da TI e definem um caminho de migrao para o modelo de negcio (dados, tecnologia e aplicaes).
Estabelecendo respostas apropriadas paras estas cinco decises, as organizaes podem dirigir suas aes para a implantao da Governana de TI.
Princpios de TI
Priorizao e investimentos
Infraestrutura de TI
5 Decises de TI
Arquitetura de TI
Figura 1.10 Decises de TI.
A infraestrutura de TI:
A arquitetura de TI:
Priorizao e investimentos:
Fundamentos de Governana de TI
Benefcios da Governana de TI
Benefcios esperados com a implantao da Governana de TI:
11 Possibilitar que a organizao tome decises com a maior acurcia possvel sobre sua
estrutura de TI;
10
11 Disponibilizar mais tempo dos envolvidos para a realizao de atividades chave, foco
do crescimento do negcio, ao invs de alocar tempo na soluo de problemas de TI.
11 Simplificao das decises de compra pelo fato das informaes que direcionam a
aquisio estarem prontamente disponveis dentro de um contexto estratgico.
11 Mais flexibilidade para desenvolver, comprar ou terceirizar as solues de TI. 11 Mais habilidade para tratar problemas crticos da organizao, tais como a segurana
e a gesto de riscos. Alm dos benefcios citados, a Governana de TI capacita a organizao a habilitar novos modelos de negcio e modificar prticas existentes, diminuindo os riscos intrnsecos a um mundo interconectado e a dependncia a entidades fora do controle da organizao. Soma -se a isso o impacto da TI na continuidade do negcio, devido crescente dependncia de todos os aspectos do negcio TI e sua capacidade de construir e manter o conhecimento necessrio para sustentar e expandir o negcio da organizao. Atualmente, um percentual cada vez maior do valor de mercado das empresas migrou de bens tangveis (estoques, instalaes, bens de capital etc.) para intangveis (informao, confiana, experincia, conhecimento, reputao, patentes, marcas etc.). Muitos destes bens intangveis esto intimamente ligados TI, podendo desaparecer da noite para o dia, ao contrrio dos bens tangveis. As organizaes tm se tornado cada vez mais dependentes de TI para executar o seu negcio bsico, a ponto de no poderem sobreviver sem uma infraestrutura de TI que funcione adequadamente, necessitando da implementao adequada dos processos de Governana de TI. Uma das questes mais comuns que as organizaes procuram responder : Quando a TI torna-se crtica para a organizao?. Esta pergunta pode ser respondida da seguinte forma:
Captulo 1 - Fundamentos da Governana de TI
11 Os objetivos do negcio da organizao no podem ser realizados sem o suporte continu ado, efetivo e eficiente da TI:
22 As organizaes no podem existir sem a rea de TI, como por exemplo companhias
areas, bancos, comunicaes, mdia, governo etc.
11 Existe um potencial para os custos de TI erodirem a lucratividade da organizao e, even tualmente, a sua prpria viabilidade (impacto de TI nos negcios):
11
Cenrio 2
Determinada empresa passou muito tempo utilizando TI apenas como um balco de servi os (compra e manuteno de recursos de TI e suporte a sistemas e servios), onde entram e saem pedidos, sem um alinhamento com o negcio, de modo que o setor de TI tornou-se uma rea isolada da empresa. Novas necessidades competitivas exigem que a TI esteja alinhada aos negcios, permitindo estabelecer diferenciais para os clientes internos e externos da empresa.Neste caso, a empresa deve utilizar a Governana de TI como uma direcionadora tecnolgica focada nas necessidades de negcio, estabelecendo uma nova cultura de operao, com novos processos e procedimentos.
Cenrio 3
Fundamentos de Governana de TI
Uma empresa possui uma rea de TI operacional, apenas trabalhando com suporte a servi os, desenvolvimento e manuteno de sistemas departamentais, com um grande nmero de profissionais terceirizados. A empresa no possui catlogo de servio, e desta forma no controla os servios prestados e no possui informaes estatsticas para ajustar os recursos existentes na rea de TI. A empresa possui um mapa de objetivos estratgicos de negcio para os departamentos, porm no existe um alinhamento com a rea de TI. Os departamentos contratam servios de desenvolvimento e manuteno de sistemas para atender as demandas locais sem controle da rea de TI, ocasionando problemas de integra o e indisponibilidade de informaes.
12
Com as informaes descritas acima, qual deve ser o procedimento para mudar o cenrio destas organizaes buscando a Governana de TI? Passo 1: Entender claramente os objetivos de negcio da empresa.
Passo 2:
Passo 3:
Passo 4:
Passo 5:
Passo 6:
13
14
Fundamentos de Governana de TI
Roteiro de Atividades 1
Atividade 1 Organizao privada
1. Uma organizao bancria tem como requisito de negcio o recebimento de faturas. Para
o negcio bancrio, quanto maior o volume de faturas recebidas, maior a rentabilidade e dinheiro entrante no caixa do banco. O banco classifica este recebimento como uma linha de negcio e define os processos necessrios para atender a esta linha de negcio. Cada operao de pagamento caracterizada como uma transao. Para que este requisito de negcio seja atendido, os recursos de TI devem suportar todas as transaes de recebimento. A premissa do requisito de negcio atender ao maior nmero de transaes possvel, sem interrupes, com o menor risco possvel para o negcio. Logo, os recursos de TI devem atender e entregar o que o negcio solicita. Para que os recursos de TI atendam ao requisito do negcio, os processos de TI devem ser implementados para garantir que os recursos sejam operados e disponibilizados adequadamente, fornecendo as informaes necessrias para que a organizao controle e tome as decises necessrias. A partir do caso acima, descreva os passos necessrios para que a rea de TI atenda aos requisitos de negcio estabelecidos. Passo 1:
Passo 2:
Passo 3:
Passo 4:
Passo 5:
Passo 6:
15
Passo 7:
realizando efetivamente o alinhamento estratgico. Suponha que esta mesma instituio bancria tem como meta aumentar o nmero de transaes de pagamentos para um milho diariamente, e esta meta no foi comunicada para a rea de TI. A rea de negcio se prepara para atingir esta meta, aumentando o nmero de agncias e postos de recebimento. Trata-se de uma mudana no requisito de negcio sem o conhecimento da rea de TI. Sendo assim, os recursos de TI podem no estar adequados para atender ao novo requisito, e consequentemente as entregas solicitadas pelo requisito de negcio podero no ser concretizadas. Neste caso, faltou o alinhamento entre a rea de negcio e a rea de TI. Descreva os passos necessrios para resolver o problema narrado acima. Passo 1:
Passo 2:
Passo 3:
Passo 4:
Passo 5:
Fundamentos de Governana de TI
Passo 6:
Passo 7:
16
3. De acordo com as informaes obtidas na resoluo do item 2, descreva para cada item
abaixo o que deveria ser previsto para atender s necessidades de negcio. Requisitos de negcio:
Pessoas:
Processos de TI:
17
Com as informaes fornecidas, descreva os passos necessrios para o alinhamento da rea de TI ao requisito de negcio estabelecido para o municpio. Passo 1:
Passo 2:
Passo 3:
Passo 4:
Passo 5:
Passo 6:
Passo 7:
ser feito para que a prefeitura consiga implantar esse servio sem prejudicar a arrecadao do municpio e das empresas. Deve ser considerado que a premissa mais importante da Governana de TI o alinhamento entre as diretrizes e objetivos estratgicos da organizao com as aes de TI. Considere as cinco reas de foco da Governana de TI (Alinhamento estratgico, Entrega de valor, Gerenciamento de riscos, Gerenciamento de recursos e Medio de desempenho) e descreva as aes para cada uma delas.
18
11 Alinhamento entre os objetivos de TI e os objetivos de negcio 11 Desafios enfrentados para a implantao da Governana de TI 11 Diretrizes do governo para a implantao da Governana de TI
Captulo 1 - Roteiro de Atividades
19
20
Fundamentos de Governana de TI
2
Relao entre Governana de TI e Governana Corporativa
objetivos
Apresentar os princpios fundamentais da governana corporativa, e a sua relao com a governana de TI. Conscientizar para a importncia do alinhamento estratgico entre a TI e os negcios.
conceitos
Introduo
A Governana Corporativa um dos processos fundamentais para o desenvolvimento seguro das organizaes pblicas e privadas, pois:
q
Captulo 2 - Relao entre Governana de TI e Governana Corporativa
11 Prov maior controle sobre a administrao das operaes de negcios. 11 Direciona os investimentos necessrios para a manuteno do equilbrio
organizacional.
Governana O ato de governar o exerccio da autoridade, do controle e da administrao. a maneira pela qual o poder exercido na administrao dos recursos de uma organizao, buscando planejar, formular e implementar polticas e cumprir funes.
11 Um sistema adequado de Governana Corporativa: 11 Ajuda a fortalecer as organizaes; 11 Refora competncias para enfrentar novos nveis de complexidade; 11 Amplia as bases estratgicas da criao de valor; 11 fator de harmonizao de interesses, ao contribuir para que os resultados corporativos
se tornem menos volteis;
11 Aumenta a confiana de investidores nas organizaes privadas e a confiana da socie dade nas organizaes pblicas;
21
Fortalece as organizaes
Fator de harmonizao de interesses Caractersticas de um bom sistema de Governana Corporativa Conana da sociedade nas organizaes pblicas Aumenta a conana de investidores nas organizaes privadas
22
importante ter em mente que a Governana Corporativa o meio atravs do qual as orga BP Demonstrao contbil que apresenta a situao patrimonial da organizao em dado momento, mostrando o valor da organizao. DRE Demonstrao contbil do fluxo das operaes ocorridas em determinado perodo de tempo e o lucro correspondente.
IBGC rgo brasileiro reconhecido como a principal referncia na difuso das melhores prticas de Governana na Amrica Latina. G7 O Grupo dos Sete um grupo internacional que rene os sete pases mais industrializados e desenvolvidos economicamente do mundo: Estados Unidos, Japo, Alemanha, Reino Unido, Frana, Itlia e Canad (e alm destes, a Rssia). Durante as reunies, os dirigentes mximos de cada Estado membro discutem questes de alcance internacional. OCDE Organizao internacional de 31 pases que aceitam os princpios da democracia representativa e da economia de livre mercado. Seus membros tm economias de alta renda com um elevado ndice de Desenvolvimento Humano (IDH), sendo considerados pases desenvolvidos.
23
Enron Enron Corporation era uma companhia americana de energia, localizada em Houston, Texas. Empregava cerca de 21 mil pessoas, tendo sido uma das lderes mundiais em distribuio de eletricidade, gs natural e comunicaes. No ano 2000 seu faturamento chegou a 101 bilhes de dlares, pouco antes do escndalo financeiro que ocasionou sua falncia. WorldCom Empresa do setor de telecomunicaes americana que detinha 50% de todo o trfego de internet dos Estados Unidos e 50% de todos os e-mails da rede mundial. Em 2001, a WorldCom era dona de um tero de todos os cabos de dados nos Estados Unidos. Alm disso, era a segunda maior transportadora de longa distncia em 1998 e 2002.
11 Seo 404 determina uma avaliao anual dos controles e procedimentos internos para a
emisso de relatrios financeiros. Alm disso, uma auditoria externa deve emitir um relat rio distinto que ateste a afirmao da administrao sobre a eficcia dos controles internos e dos procedimentos executados para a emisso das demonstraes financeiras.
24
importante estabelecer o vnculo entre a Governana Corporativa e a lei Sarbanes-Oxley, para demonstrar que o efeito da Governana Corporativa agrega valor e credibilidade para as organizaes. Entender os conceitos principais da Governana Corporativa importante para que os profissionais da rea de Tecnologia da Informao possam aplicar a Governana de TI de forma adequada e eficiente.
Governana Corporativa
Dirige e ajusta
Governana de TI
A relao entre as duas governanas deve ser constante, ou seja, para qualquer mudana no direcionamento da organizao deve existir um alinhamento com a rea de TI. Como mostra a figura 2.2, a Governana de TI est subordinada Governana Corporativa. Sendo assim, as aes de tecnologia devem estar alinhadas com a Governana Corporativa, pois a eficincia operacional da organizao est diretamente associada rea de TI. Este conceito conhe cido como o alinhamento entre a Governana Corporativa e a Governana de TI, represen tado na figura abaixo:
Governana de TI Estratgia de Negcios
Escopo do negcio Alinhamento estratgico Competncia sistmica
Estratgia de TI
Escopo de tecnologia
Vantagens competitivas
Governana do negcio
Governana de TI
25
Vantagens competitivas:
Governana de negcio:
Escopo de tecnologia:
Competncia sistmica:
26
Governana de TI:
Alinhamento estratgico
O planejamento estratgico de uma organizao uma composio:
11 Dos objetivos 11 Das estratgias pelas quais a organizao atingir seus objetivos 11 Do ambiente em que a organizao pretende operar, das tecnologias utilizadas e do
grau de integrao entre as reas internas
O principal objetivo da Governana de TI com relao ao alinhamento estratgico (definido pela Governana Corporativa) deve ser o de coordenar e aplicar os recursos tecnolgicos de forma a atender, da melhor maneira possvel, o planejamento estabelecido pela Governana Corporativa. Os objetivos e as estratgias da Governana de TI devem estar integrados e alinhados com o planejamento estratgico da organizao. Sendo assim, a rea de tecnologia capaz de determinar as priorizaes necessrias entre os vrios projetos de TI, possibilitando o alcance das metas estabelecidas pela Governana Corporativa. A integrao das estrat gias tecnolgicas e de negcios pode ser graficamente representada como mostra a figura:
rea 1
rea 2
rea 3
rea n
Estratgias de TI
Sistemas de informao
Infraestrutura tecnolgica
Gesto tecnolgica
Na parte superior est representado o planejamento estratgico de negcios, definido na Governana Corporativa, que essencialmente se desmembra nos objetivos e estratgias das vrias reas internas da organizao. O planejamento dos sistemas de informao e da sua tecnologia subsidiado pela definio dos objetivos e das estratgias da organiza o, desdobrados nas estratgias de TI definidas pela Governana de TI. As informaes so disponibilizadas pelos sistemas de informao e suportadas pela infraestrutura e gesto tecnolgica. As estratgias so desenvolvidas visando qualidade, produtividade e efetividade no aten dimento das necessidades da administrao da organizao, adequando-se a uma poltica de custos controlados, cumprimento de prazos predefinidos e ateno s solues, mudanas e evolues das tecnologias disponveis no mercado. Por sua vez, os objetivos estratgicos so desdobrados em objetivos operacionalizados pelos processos de neg cios. A figura 2.5 representa a relao entre os processos de negcio que so suportados pelos recursos de TI, e operacionalizados pelos processos de TI.
27
possvel observar uma forte ligao entre os recursos e processos de TI, determinados na Governana de TI, e os processos e objetivos de negcios, determinados pela Governana Corporativa. Uma falha nesta cadeia pode causar srio impacto nos negcios, seja de uma organizao pblica ou privada.
Processo de negcio
Objetivo de TI
Recursos de TI
Figura 2.5 Processo de negcio e TI.
Processos de TI
28
Fundamentos de Governana de TI
O gerenciamento e a otimizao dos investimentos e despesas com TI representam um obje tivo vlido para organizaes pblicas e privadas, embora com significados diferentes. Para uma organizao privada, tal objetivo pode ser expresso no aumento da rentabilidade dos acionistas, e consequentemente da margem de lucro, gerando maior eficincia operacional. Para uma empresa pblica, que no visa lucro e no possui acionistas, este objetivo pode significar maior eficincia operacional e um uso mais eficiente da tecnologia, reduzindo o gasto pblico. De qualquer forma, os dois tipos de organizao tm que prover investimen tos em TI que assegurem o cumprimento dos objetivos de negcio, com eficincia e quali dade. Ento, como investir adequadamente? Um dos problemas bsicos enfrentados pelas organizaes relativo capacidade da rea de tecnologia em suportar as atividades relativas ao negcio. Para que os investimentos sejam realizados de forma adequada, necessrio um processo de realimentao entre a rea de negcios e de TI. Uma estratgia que pode ser adotada, e que vem sendo realizada por diversas organizaes, definir um processo de monitorao dos negcios associado com a rea de tecnologia.
Governana Corporativa
Gerenciamento do negcio
Governana de TI
Processos de tecnologia Gerenciamento da TI
Infraestrutura de TI
O Gerenciamento do Negcio monitora todas as operaes de negcios, de forma a geren ciar os impactos originados pelo desempenho e disponibilidade das operaes. O desem penho e a disponibilidade esto associados diretamente infraestrutura tecnolgica. Da mesma forma, o Gerenciamento de TI monitora toda a infraestrutura tecnolgica associada quantidade de operaes realizadas pelo negcio. Isso significa que se existe um aumento da quantidade de operaes de negcios, a monitorao realizada pela rea de TI conse guir identific-lo e prever a necessidade de incremento da capacidade da infraestrutura, para suportar o crescimento no volume das operaes de negcio. O Gerenciamento do Negcio e da TI garante que as mudanas nas operaes de negcio sejam comunicadas para a rea de tecnologia, e que as mudanas e necessidades de tecno logia sejam comunicadas para a rea de negcio. A adoo de processos e indicadores desta natureza garante um investimento mais adequado na rea de TI. Desta forma, ela no ter
29
uma capacidade maior que sua real necessidade (gerando ociosidade com o investimento desnecessrio) e nem capacidade abaixo da necessidade (comprometendo o negcio). Portanto, o investimento deve ser realizado considerando o alinhamento entre as reas de negcios e de tecnologia, garantindo uma Governana Corporativa efetiva, determinante da linha a ser seguida e do volume de recursos investido.
30
Fundamentos de Governana de TI
Roteiro de Atividades 2
Atividade 1 Definindo insumos para alinhar TI aos negcios
Uma determinada universidade, atravs do seu Instituto de Veterinria e Agropecuria, conhecedora do constante crescimento das atividades de agronegcio no pas, est desen volvendo servios de consultoria junto a rgos pblicos da rea. No campo da pecuria, os rgos reguladores tm se preocupado em controlar adequadamente os rebanhos, visando o aumento das exportaes de carne e derivados. Com o aumento dos investimentos em tecnologia, a universidade tem auxiliado um rgo pblico na identificao dos animais no campo, atravs do desenvolvimento de um cdigo a ser inserido em um sistema informa tizado que permita o rastreamento do animal desde o seu nascimento at o momento do abate, garantindo sua procedncia e facilitando o processo de exportao de sua carne. Tomando como base que o rgo pblico assessorado pela universidade visa prover o abastecimento agropecurio, e que sua viso de futuro Ser reconhecido pela qualidade e agilidade na implementao de polticas e na prestao de servios para o desenvolvimento sustentvel do agronegcio, identifique para o rgo: O escopo de negcio
As vantagens competitivas
A governana de negcio
O escopo de tecnologia
A competncia sistmica
Captulo 2 - Roteiro de Atividades
A Governana de TI
31
32
Fundamentos de Governana de TI
Percentual de disponibilidade do link de comunicao Percentual de disponibilidade da infraestrutura de TI Percentual de transaes no efetivadas em determinado perodo Percentual de disponibilidade do banco de dados
2.
3.
4.
33
34
Fundamentos de Governana de TI
3
Viso geral da implantao da Governana de TI com CobiT
objetivos
Apresentar os fundamentos bsicos da implantao da Governana de TI com o CobiT 4.1.
conceitos
Introduo
Na busca pela realizao de uma boa Governana de TI, as organizaes se apoiam em ferramentas que norteiam as aes para a obteno de resultados na melhoria dos processos de tecnologia, bem como na adequao de uma infraestrutura tecnolgica que d sustenta bilidade aos objetivos de negcio da organizao. O mercado oferece uma srie de ferramentas para auxiliar na construo da Governana de TI, sendo que entre elas destaca-se o CobiT: CobiT 4.1 uma ferramenta que auxilia a auditoria da rea de tecnologia, fornecendo um diagnstico do quanto a rea de tecnologia est atendendo adequadamente s suas funes e requisitos, em alinhamento aos objetivos do negcio.
Captulo 3 - Viso geral da implantao da Governana de TI com CobiT
35
O CobiT um conjunto de informaes usado como modelo de referncia para Governana de TI. Inclui um sumrio executivo, um framework, controle de objetivos, mapas de audi toria, ferramentas para implementao e um guia com tcnicas de gerenciamento. Alm disso, o CobiT est orientado a processos e negcios, com base em controles e medidas de desempenho dos processos de TI.
11 Estabelece a ligao da TI com os requisitos de negcios da organizao 11 Organiza as atividades de TI dentro de um modelo de processos 11 Identifica os principais recursos de TI que suportam os negcios da organizao 11 Define o gerenciamento dos objetivos de controle mais significativos para a Governana de TI O CobiT suporta a governana de TI fornecendo uma estrutura para garantir:
11 O alinhamento da TI com os negcios 11 Que a TI seja orientada ao negcio e produza benefcios 11 Que os recursos de TI sejam utilizados de forma responsvel 11 O gerenciamento dos riscos de TI
36
Fundamentos de Governana de TI
Negcio
Requisitos Processos de TI
Co
ncia
u ns
o ad
or
nt
ro
la
do
po
Audita
Objetivos de controle
Im
do por
do
Nvel de maturidade
Indicador de performance Indicador de resultados
em
ple me
zin
nta
du
do
Tra
sp or
KGI
Guia de auditoria
Prticas de controle
O ncleo central do CobiT so os Processos de TI. Os processos de TI so controlados por Objetivos de Controle, que traduzem os resultados que se espera obter com a implementa o de procedimentos de controle em uma determinada atividade de TI. Os objetivos de controle so implementados por Prticas de Controle de TI, como, por exemplo, o modelo adotado para aquisio de bens e servios tecnolgicos, e traduzidos por um Guia de Auditoria, que audita os processos de TI. Os processos de TI tambm esto associados s Metas das Atividades, que fazem parte do fluxo de atividade do processo, como por exemplo, a mudana de qualquer item de tecnologia, sendo que a mensurao realizada pelo Modelo de Maturidade, Indicador de Performance e Indicador de Resultados. A estrutura do CobiT est representada na figura abaixo, possuindo:
Captulo 3 - Viso geral da implantao da Governana de TI com CobiT
11 4 Domnios 11 34 Processos 11 34 Objetivos de controle de alto nvel 11 210 Objetivos de controle detalhados
37
Objetivos do negcio
Governana de TI
Informaes
Eccia Ecincia Condencialidade Integridade Disponibilidade Conformidade Conabilidade
Monitorao e Avaliao
Planejamento e Organizao
Recursos de TI
Aplicativos Informaes Infraestrutura Pessoas
Entrega e Suporte
Aquisio e Implementao
Figura 3.2 Estrutura do CobiT.
As tabelas a seguir mostram o desdobramento dos processos relativos aos seguintes domnios: Planejamento e Organizao (PO), Aquisio e Implementao (AI), Entrega e Suporte (DS) e Monitorao e Avaliao (ME).
PO8 Gerenciar qualidade PO9 Avaliar e gerenciar os riscos de TI PO10 Gerenciar projetos
38
PO7 Gerenciar recursos humanos de TI PO8 Gerenciar qualidade PO9 Avaliar e gerenciar os riscos de TI PO10 Gerenciar projetos
Basicamente, o CobiT uma estrutura top down, como mostra a prxima figura:
Domnios
Processos
Atividades
39
As informaes provenientes dos recursos de TI suportam os objetivos de negcio da organizao. Por sua vez, estas informaes possuem sete critrios que devem ser atendi dos, sendo eles: Qualidade:
11 Eficincia a informao deve ser fornecida com o uso de recursos da forma mais
produtiva e econmica. Segurana:
11 Confidencialidade a informao deve ser protegida de acesso no autorizado. 11 Integridade a informao deve ser precisa e completa, bem como sua validade deve
estar em concordncia com o conjunto de valores e expectativas do negcio.
11 Aplicativos sistemas de informao usados na organizao. 11 Informaes dados em todas as suas formas utilizados nos sistemas de informao
e pelos processos de negcios.
CobiT, o que esta organizao deve prever. Critrios de informao Eficcia Definir os indicadores necessrios para a tomada de deciso, baseados em dados ambientais.
Figura 3.4
40
Critrios de informao Eficcia Definir os indicadores necessrios para a tomada de deciso, baseados em dados ambientais.
Figura 3.5
Recursos de TI
PO Planejamento e Organizao
Este domnio compreende estratgias e tticas e procura identificar como a TI pode contri buir para o alcance das metas da organizao. Alm disso, uma infraestrutura tecnolgica deve ser definida para atender aos objetivos da organizao. Esse domnio normalmente atende s seguintes questes de Governana de TI:
Captulo 3 - Viso geral da implantao da Governana de TI com CobiT
11 As estratgias de TI e de negcios esto alinhadas? 11 A organizao est utilizando seus recursos da melhor forma possvel? 11 Todos conhecem as metas de TI? 11 Os riscos de TI so entendidos e esto sendo administrados? 11 A qualidade dos sistemas de TI atende s necessidades corporativas?
Processos do domnio Planejamento e Organizao:
11 PO1 Definir um Plano Estratgico de TI definir um plano estratgico de TI alinha do com os objetivos de negcios.
41
11 PO4 Definir Processo, Organizao e Relacionamentos da TI estabelecer estru turas organizacionais de TI transparentes, flexveis e responsveis; definir e imple mentar processos de TI com regras e responsabilidades integradas aos processos de negcios.
11 PO9 Avaliar e Gerenciar Riscos de TI desenvolver uma estrutura de gerencia mento de riscos de TI integrada estrutura de gerenciamento de riscos operacionais e de negcio, avaliar e mitigar riscos e comunicar riscos residuais.
AI Aquisio e Implementao
Para compreender as estratgias de TI, as solues precisam ser identificadas, desenvolvidas ou adquiridas, implementadas e integradas aos processos da organizao. Alm disso, a manuteno e mudanas dos sistemas existentes esto cobertas por este domnio, para garantir a continuidade das solues de acordo com os objetivos de negcio da organizao. Esse domnio normalmente atende s seguintes questes de Governana de TI:
11 Existe planejamento de novos projetos para ser entregue no prazo e dentro do ora mento previsto?
11 Novos sistemas estaro funcionando corretamente aps a implementao? 11 Mudanas podero ser realizadas sem comprometer as operaes de negcios
Fundamentos de Governana de TI
11 AI2 Adquirir e Manter Aplicaes e Sistemas adquirir e manter sistemas aplicativos que atendam necessidade de TI, alinhando as aplicaes disponveis com os requisitos de negcios, e obedecendo a prazos e custos.
42
11 AI3 Adquirir e Manter Infraestrutura Tecnolgica adquirir e manter infraestrutura tecnolgica que atenda necessidade de TI, adquirindo e mantendo uma infraestrutura de TI padronizada e integrada.
11 AI4 Habilitar Operao e Uso habilitar operao e uso que atenda necessidade de
TI, garantindo a satisfao do usurio final com os servios oferecidos e nveis de servio, e integrando aplicaes e solues tecnolgicas de acordo com os processos de negcios.
DS Entrega e Suporte
Este domnio trata da liberao dos servios requisitados, os quais incluem liberao dos servios, gerenciamento da segurana e continuidade, servios de suporte a usurios, gerenciamento de dados e facilidades operacionais. Esse domnio normalmente atende s seguintes questes de Governana de TI:
11 Os servios de TI esto sendo liberados de forma alinhada com as prioridades do negcio? 11 Os custos de TI esto otimizados? 11 A fora de trabalho est apta a usar os sistemas da TI de forma produtiva e segura? 11 Confidencialidade, integridade e disponibilidade da informao esto adequadamen te tratadas na organizao? Processos do domnio Entrega e Suporte:
11 DS1 Definir e Gerenciar Nveis de Servio identificar requisitos para os servios, 11 DS2 Gerenciar Servios de Terceiros estabelecer relacionamentos e responsabilidades bilaterais com provedores de servios terceirizados qualificados, e monitorar a entrega de servios para verificar e assegurar aderncia aos acordos estabelecidos.
Captulo 3 - Viso geral da implantao da Governana de TI com CobiT
11 DS5 Assegurar Segurana de Sistemas definir polticas de segurana, procedi mentos e padres, monitorando, detectando, reportando e resolvendo vulnerabilida des e incidentes de segurana.
43
11 DS9 Gerenciar Configurao estabelecer e manter um cuidadoso e completo re positrio de configuraes de ativos de TI, com seus atributos e linhas de configurao, mantendo as informaes de alteraes atualizadas.
11 DS10 Gerenciar Problemas registrar, acompanhar e resolver problemas operacio nais de TI, investigando a causa raiz para todos os problemas significativos, definindo solues para problemas identificados na operao da TI.
11 DS12 Gerenciar Ambiente Fsico prover e manter um ambiente fsico de TI apro priado para proteger os ativos de TI de acessos no autorizados, danos ou roubo.
ME Monitorao e Avaliao
Todos os processos de TI necessitam de avaliao peridica com relao qualidade e con formidade com os requisitos de controle. Este domnio direciona para o gerenciamento de desempenho, monitoramento dos controles internos, controle da conformidade e proviso da governana. Esse domnio normalmente atende s seguintes questes de Governana de TI:
11 Existe gerenciamento para garantir que os controles internos sejam efetivos e eficientes? 11 O desempenho da TI est ligado aos objetivos do negcio? 11 Existem medidas e relatrios dos controles, riscos, desempenho e conformidade?
Processos do domnio Monitorao e Avaliao:
internos para atender as metas de TI, de acordo com as normas e regulamentaes relacionadas TI.
44
11 No existem polticas, normas, processos e nem procedimentos definidos para as ativi dades operacionais e de gesto da TI. As atividades da rea esto em um estgio onde procedimentos e tarefas so executadas pelos profissionais, cada qual contribuindo com tais atividades com conhecimento pessoal, mas sem uma ao padronizada e controlada. Em vista disso, a responsabilidade pelo sucesso nas aes do indivduo que as executa.
11 No existe um catlogo de servios, sendo que as solicitaes so atendidas pelo Help Desk.
Utilizando os conhecimentos adquiridos at aqui, quais seriam os processos do CobiT utiliza dos para auxiliar a modificar este cenrio? Determine o motivo da escolha de cada processo. Processos PO1 Justificativa Definir um plano estratgico de TI.
Figura 3.6
45
cutivo, framework, objetivos de controle, mapas de auditoria e um conjunto de processos definidos e empregados pelas organizaes que necessitam de uma Governana de TI plena. O CobiT independe das plataformas de TI adotadas pelas organizaes e seu uso orien tado a negcios, no sentido de fornecer informaes detalhadas para o gerenciamento de processos. A metodologia voltada para trs nveis distintos:
11 Para gerentes que necessitam avaliar os riscos e controlar os investimentos de TI. 11 Para usurios que precisam assegurar a qualidade dos servios prestados para clien tes internos e externos.
11 Para auditores que necessitam avaliar o trabalho de gesto da TI e aconselhar o contro le interno da organizao (o foco determinar os pontos mais carentes de melhorias). A Governana de TI atravs do CobiT recomendada para otimizar os investimentos em TI e fornecer indicadores para a avaliao dos resultados. Os objetivos de negcio das organizaes pblicas e privadas mapeados em objetivos estratgicos necessitam de uma ferramenta para que a TI suporte-os adequadamente. A Governana de TI com o CobiT a ferramenta adequada para garantir o alinhamento entre TI e o negcio, conforme mostra a figura 3.5. Objetivos de negcio
Estratgias de TI
CobiT
Governana de TI Operao seguindo diretrizes de Governana de TI Operao suportada por modelos de referncias e melhores prticas adequados aos negcios
Figura 3.7 CobiT alinhando TI ao negcio.
O CobiT tem como premissa que a TI deve entregar a informao necessria para que a empresa possa atingir os seus objetivos. Neste sentido, o CobiT auxilia o alinhamento da TI com os objetivos de negcio, focando nas informaes requeridas pelos negcios e os recursos de TI da organizao que sustentam estas informaes. O objetivo facilitar a Governana de TI, entregando o valor que a TI proporciona organizao enquanto gerencia os riscos. A figura abaixo representa o fluxo do alinhamento de TI com os negcios:
gerar informao
Figura 3.8 Fluxo do alinhamento de TI com negcios.
Fundamentos de Governana de TI
Recursos e Processos de TI
Processos de negcios
para atingir
Objetivos de negcios
necessrio que sejam implantados controles adequados para que a Governana de TI seja alcanada com xito. Os controles so polticas, procedimentos, prticas e estruturas organizacionais desenvolvidas para fornecer segurana razovel para que os objetivos de negcios sejam alcanados e eventos indesejveis sejam prevenidos ou detectados. O CobiT possui objetivos de controle para a Governana de TI, que so uma formalizao do resultado desejado ou proposto, a ser alcanado pela implementao de procedimentos
46
de controle em atividades especficas da TI. Estes objetivos de controle so utilizados para avaliar, por meio de auditoria, se a organizao possui uma Governana de TI adequada, e no caso de no possuir, identificar os meios para alcan-la. O CobiT baseado nos seguintes princpios:
11 Requisitos de negcios os requisitos de negcios que a organizao pretende atingir; 11 Recursos de TI os recursos necessrios para suportar os requisitos de negcios da
organizao;
11 Informao para a organizao as informaes geradas para que a Governana Corporativa tenha controle e tome decises. A figura a seguir representa o fluxo dos princpios do CobiT.
e nd te
s ao
Requisitos de negcio
ra pa
qu e
CobiT
Recursos de TI
ra
en tre gar
Processos de TI
qu
ad us o es
Neste sentido, implantar os processos do CobiT torna a Governana de TI mais realista. O desafio enfrentado pelas organizaes implantar todos os processos inseridos no CobiT, misso complexa para a qual devem ser priorizados os processos mais importantes para a organizao. Esta priorizao s acontece com uma integrao adequada entre as reas de TI e negcios. Para obter uma priorizao dos processos necessrio realizar uma avaliao precisa do ambiente de TI, e com o resultado iniciar a implantao a partir das prioridades definidas.
Captulo 3 - Viso geral da implantao da Governana de TI com CobiT
os p
elo s
pa
47
11 Conhecer como a empresa funciona e o seu histrico e posicionamento atual; 11 Documentar a misso, a viso e os valores da organizao; 11 Documentar o oramento de TI da organizao e a relao com os demais investimentos
em outras reas, para avaliar o significado da TI para a organizao;
11 Documentar a estrutura organizacional de TI; 11 Levantar e documentar todos os processos de TI existentes; 11 Levantar e documentar a infraestrutura tecnolgica (equipamentos, rede de comunica o de dados e sistemas);
11 Levantar e documentar os projetos de TI; 11 Obter um entendimento sobre todo o ambiente de TI.
Etapa 4: Propor um novo ambiente tecnolgico
48
11 Analisar as diferenas entre a situao atual e a situao futura do ambiente tecnolgico; 11 Definir aes para a evoluo tecnolgica.
Etapa 6: Propor uma viso estratgica de TI e um modelo de governana
11 Definir os objetivos estratgicos de TI; 11 Estabelecer um alinhamento entre os objetivos estratgicos de TI e os objetivos estratgi cos de negcio;
11 Definir indicadores para medir o atingimento dos objetivos estratgicos de TI; 11 Definir um oramento para a implantao da Governana de TI; 11 Definir os projetos prioritrios de TI de curto prazo; 11 Definir cronograma para os projetos de TI de mdio e longo prazos.
Etapa 8: Publicar, promover e manter as estratgias de TI
11 Documentar e publicar o plano estratgico; 11 Criar mecanismo de interao com a rea de negcios, estabelecendo um processo de
comunicao contnuo entre a Governana de TI e a Governana Corporativa;
Descrio Desconhecimento, por parte da organizao, dos processos e do problema a ser tratado. Existe um reconhecimento dos problemas e at dos processos, porm as atividades so executadas de acordo com o conhecimento das pessoas.
(Inicial/ Ad Hoc)
49
Maturidade Nvel 2 (Repetvel) Nvel 3 (Processos definidos) Nvel 4 (Gerenciados e medidos) Nvel 5 (Otimizado)
Descrio Existem processos informalmente definidos, com resultados previsveis, porm sem nenhuma padronizao das atividades. Os processos so definidos, formalizados e padronizados na organizao, os resultados gerados so conhecidos e as pessoas treinadas sempre que necessrio. Os processos formalizados so medidos e controlados, gerando um ambiente de acompanhamento contnuo do desempenho. Existe uma realimentao do desempenho medido, gerando um ciclo de melhoria contnua.
A avaliao da Governana de TI baseada no CobiT 4.1 deve ser realizada por meio de entrevistas com os responsveis das reas tecnolgicas, com o apoio de questionrios preparados para levantar as informaes necessrias e atribuir o nvel de maturidade avaliado. importante salientar que o nvel de maturidade desejado em um primeiro momento o nvel 3. No existe uma regra de mudana de nvel. possvel avaliar um processo com maturidade 2 e em uma nova avaliao este processo estar na maturidade 5, dependendo apenas da organizao realizar as melhorias contnuas nos processos. A tabela abaixo mostra exem plos de avaliao de maturidade dos processos de TI baseados no CobiT: Processo relacionado PO2 Definir a Arquitetura da Informao Nvel de maturidade avaliado 2 Repetvel Descrio da avaliao da maturidade 11Existe um entendimento da necessidade de se definir uma arquitetura de informao corporativa; no entanto, os processos no esto formalmente definidos. 11Alguns dos resultados so previsveis, porm no existe uma padronizao das atividades. 1 Inicial/ Ad Hoc 11Existe o reconhecimento da necessidade e importncia do planejamento tecnolgico, at mesmo dos problemas e processos. 11As atividades ainda so executadas de acordo com o conhecimento das pessoas.
Figura 3.12
11Tcnicas e padres comuns esto emergindo do desenvolvimento de componentes de infraestrutura. PO4 Definir os Processos, Organizao e Relacionamentos de TI
Fundamentos de Governana de TI
2 Repetvel
11Existe um entendimento sobre a necessidade de se definir a organizao de TIC, tanto no que diz respeito ao posicionamento de TI, quanto estruturao e formalizao dos diversos processos necessrios ao alcance dos resultados esperados de TI. 11Mesmo para os processos que esto formalmente definidos, h a necessidade de complementar a sua modelagem, inclusive com o alinhamento s melhores prticas de gesto por processos.
1 Inicial/ Ad Hoc
11Existe a percepo da necessidade de fazer uma gesto melhor estruturada dos investimentos e do aprovisionamento de recursos financeiros para a rea de TI. 11No h nada formalizado e nem regras estabelecidas que permitam equipe gerencial da rea de tecnologia da informao obter participao no desenvolvimento do planejamento oramentrio e recomendao de investimentos em tecnologia de forma apropriada.
50
Descrio da avaliao da maturidade 11No existe um entendimento sobre a importncia da anlise de riscos de tecnologia, a partir dos riscos para o negcio. Embora se tenha uma metodologia implementada, o processo utilizado por tecnologia ainda focado em riscos de projeto, ainda imaturo e em desenvolvimento.
11O tratamento dos riscos operacionais normalmente no ocorre. A rea de tecnologia da informao no tem em suas descries de cargos e procedimentos aes referentes ao tratamento de riscos. PO10 Gerenciar Projetos 2 Repetvel 11Existem processos de gesto de projetos formalmente definidos, com resultados previsveis, porm estes esto fortemente centrados no desenvolvimento de sistemas, podendo, a partir de esforos mnimos, serem implementados tambm para outras coordenaes, inclusive podendo se expandir para outras secretarias que tambm atuem em projetos que envolvam TI. 11Existe um processo entendido e definido para aquisio e implementao de solues, onde os requisitos tendem a ser definidos de forma similar nas diversas reas de desenvolvimento da tecnologia, com base na lei 8666 e nas melhores prticas adotadas na Administrao Pblica Federal. 11A mesma lei 8666 impe restries para que a especificao para a aquisio seja feita em funo dos requisitos tcnicos e de negcios identificados como os mais aplicveis. AI2 Adquirir e Manter Sistemas Aplicativos 2 Repetvel
11A avaliao dos riscos tipicamente em alto nvel e normalmente apenas para grandes projetos (isto , projetos estratgicos).
3 Processo definido
11Existe um processo entendido e definido sobre a aquisio e manuteno de aplicaes. Esse processo suporta necessidades de aplicaes crticas e est alinhado com a estratgia de tecnologia (embora a estratgia no esteja formalizada). No entanto, esse processo nem sempre aplicado. 11Os clientes de tecnologia ainda no conseguem identificar claramente o ganho real obtido com os investimentos em tecnologia
1 Inicial/ Ad Hoc
11A organizao est ciente da importncia de possuir um processo de gerenciamento de mudanas formalizado. No entanto, a maioria das mudanas no consegue tratar aceitavelmente os riscos de ocorrncia de problemas.
11Tambm no existe uma interface adequada ao processo de gesto da configurao (pela falta de um banco de dados de configurao). Alm disso, o planejamento e anlise de impacto so executados de forma limitada. AI7 Instalar e Garantir Mudanas 2 Repetvel 11Uma metodologia referente instalao, migrao, converso e homologao est estabelecida. Entretanto, a gesto dessa metodologia no traz resultados de conformidade com o processo.
11Embora exista formalmente um ciclo de vida de desenvolvimento, instalao e homologao, ele no integrado gesto de configuraes. A qualidade das solues que entram em produo varivel, pois geralmente elas no so revisadas aps a implantao.
1 Inicial/ Ad Hoc
11Existe o entendimento da importncia da infraestrutura de TI e da necessidade de adoo de processos e procedimentos formalizados. No entanto no h o alinhamento da aquisio e manuteno da infraestrutura de TI com uma estratgia.
51
Descrio da avaliao da maturidade 11Na rea de TI no existe acordo de nvel de servio com os clientes internos e nem catlogo de servios definidos. 11Na rea de suporte, apesar de no existirem Service Level Agreements (SLAs), existe o Operational Level Agreement (OLA) com um fornecedor, que acompanhado e monitorado por um comit especfico. Os relatrios so gerados pelo fornecedor e periodicamente analisados.
2 Repetvel
11O processo de superviso e acompanhamento da entrega de servios de terceiros baseado nos contratos. Um contrato assinado usado como padro para o acompanhamento, com termos, condies e descrio dos servios providos por terceiros. 11Existe um entendimento geral sobre a segurana de sistemas de informao. 11As responsabilidades pela segurana da informao no so claramente definidas, gerenciadas e monitoradas, bem como as normas e prticas de segurana no esto definidas. Existe uma padronizao para identificao, autenticao e autorizao de usurios.
1 Inicial/ Ad Hoc
1 Inicial/ Ad Hoc
11Existe a necessidade de um programa de treinamento e educao, inclusive com treinamento dos processos operacionais da organizao. 11Os usurios so treinados, porm o pessoal da rea tcnica no recebe treinamento.
1 Inicial/ Ad Hoc
11Existe uma conscientizao sobre a necessidade de um Help Desk nico e centralizado, entretanto no existe um Service Desk.
2 Repetvel
11A necessidade de um gerenciamento de configuraes reconhecida, inclusive com projeto em andamento para elaborao de um banco de dados de configurao.
11As tarefas de gerenciamento de configurao, tais como manutenes de inventrios de hardware e software, ainda so executadas em bases individuais. No existe uma prtica padronizada. DS10 Gerenciar Problemas 2 Repetvel 11Existe o gerenciamento de incidentes, mas a integrao entre o gerenciamento de incidentes com o gerenciamento de problemas no est efetivamente implementada.
11H a necessidade de estabelecer um processo de gerenciamento de problemas e integr-lo com os processos de gerenciamento de configurao e mudanas. 1 Inicial/ Ad Hoc 11Manter a integridade dos dados uma preocupao dentro da organizao. 11A propriedade de dados ainda no est definida. 11As regras e requisitos de negcio ainda no esto documentados, embora se tenha uma percepo por reas e usurios chaves.
1 Inicial/ Ad Hoc
11A necessidade de proteo fsica do ambiente de TI conhecida, inclusive com aes de proteo contra interveno humana e natural.
11Embora existam bons controles e um relativo formalismo de aes referentes a instalaes de um modo geral, do ponto de vista de TI no existem procedimentos para a gesto de instalaes, havendo dependncia da habilidade dos envolvidos. 11Existem alguns mecanismos de restrio de acesso ao ambiente dos prdios onde esto localizados os equipamentos de TI.
52
Descrio da avaliao da maturidade 11Existe a necessidade de um programa de treinamento e educao, inclusive com treinamento dos processos operacionais da organizao.
11Os usurios so treinados, porm o pessoal da rea tcnica no recebe treinamento. 1 Inicial/ Ad Hoc 11Existe uma conscientizao sobre a necessidade de um Help Desk nico e centralizado, entretanto no existe um Service Desk. 11A necessidade de um gerenciamento de configuraes reconhecida, inclusive com projeto em andamento para elaborao de um banco de dados de configurao.
2 Repetvel
11As tarefas de gerenciamento de configurao, tais como manutenes de inventrios de hardware e software, ainda so executadas em bases individuais. No existe uma prtica padronizada. DS10 Gerenciar Problemas 2 Repetvel 11Existe o gerenciamento de incidentes, mas a integrao entre o gerenciamento de incidentes com o gerenciamento de problemas no est efetivamente implementada.
11H a necessidade de estabelecer um processo de gerenciamento de problemas e integr-lo com os processos de gerenciamento de configurao e mudanas. DS11 Gerenciar Dados 1 Inicial/ Ad Hoc 11Manter a integridade dos dados uma preocupao dentro da organizao. 11A propriedade de dados ainda no est definida. 11As regras e requisitos de negcio ainda no esto documentados, embora se tenha uma percepo por reas e usurios chaves. DS12 Gerenciar Ambiente Fsico 1 Inicial/ Ad Hoc 11A necessidade de proteo fsica do ambiente de TI conhecida, inclusive com aes de proteo contra interveno humana e natural. 11Embora existam bons controles e um relativo formalismo de aes referentes a instalaes de um modo geral, do ponto de vista de TI no existem procedimentos para a gesto de instalaes, havendo dependncia da habilidade dos envolvidos.
11Existem alguns mecanismos de restrio de acesso ao ambiente dos prdios onde esto localizados os equipamentos de TI. DS13 Gerenciar Operaes 3 Processos Definidos 11O gerenciamento das operaes uma atividade reconhecida pela organizao. 11Existe alocao de pessoas na rea com essa atribuio, treinadas inclusive com aes on-the-job.
11As aes repetveis so formalmente definidas, padronizadas e com alguma documentao. 11Os eventos e tarefas resultantes so documentados, mas o relato gerencial ainda limitado.
Est apresentada abaixo a avaliao do nvel de maturidade dos processos de TI de uma organizao com base no CobiT. Complete informando o nvel de maturidade e o processo referente a esta avaliao.
53
Processo relacionado
Processo relacionado
Fundamentos de Governana de TI
54
Processo relacionado
Processo relacionado
Captulo 3 - Viso geral da implantao da Governana de TI com CobiT
55
Processo relacionado
Processo relacionado
Fundamentos de Governana de TI
Processo relacionado
56
Processo relacionado
57
58
Fundamentos de Governana de TI
Roteiro de Atividades 3
Atividade 1 Problemas na avaliao da gesto de TI
Em uma organizao pblica, aps uma avaliao da gesto de TI baseada no CobiT 4.1, foram detectados os seguintes fatos:
11 No h rotinas de medio do ambiente tecnolgico, o que resulta no fato de que qual quer problema s tratado aps a interrupo ou queda de qualidade de um servio.
11 No h documentao operacional dos sistemas em produo. 11 No h trabalho de planejamento de desempenho e capacidade que possibilite dimensio nar os servidores necessrios para algum servio.
11 No h uma rotina para verificao do uso dos recursos dos servidores, ou seja, no caso
de um servidor atingir o seu limite de capacidade de processamento, o problema s ser verificado quando algum usurio reclamar.
11 H reclamao constante de usurios sobre a velocidade dos sistemas, sempre identifica dos como problemas de rede.
11 A poltica de backup no foi definida pela organizao, que s definiu a reteno das fitas,
mas pela contratada responsvel pelo ambiente. Com base neste diagnstico, responda s seguintes questes:
1. Quais seriam os principais problemas enfrentados pelos negcios desta organizao?
de fixao Definindo critrios de informao e recursos, na p. 40) para cada um dos fatos citados. Itens da avaliao (fatos citados) Recursos de TI Critrios de informao
59
3. Quais processos do CobiT seriam recomendados para auxiliar a corrigir os fatos apresentados?
Processos do CobiT
Recursos e Processos de TI
gerar informao
Processos de negcios
para atingir
Objetivos de negcios
Processos de TI
Recursos de TI
Informaes geradas
Processos de negcios
Objetivos de negcios Objetivo de negcio 1 Objetivo de negcio 2 Objetivo de negcio 3 Objetivo de negcio 4 Objetivo de negcio 5
Fundamentos de Governana de TI
60
4
Ferramentas de implantao da Governana de TI
objetivos
Apresentar uma viso geral das ferramentas complementares ao CobiT 4.1 na construo da Governana de TI, e a estrutura bsica das ferramentas ITIL v3, ISO 20000, ISO 38500 e Val IT.
conceitos
Viso geral da ITIL v3, Viso geral da implantao de Governana de TI com a ITIL v3, Viso geral da ISO 20000, Relao entre ITIL, ISO 20000 e CobiT, Viso geral da norma ISO 38500, Relao entre ISO 38500 e CobiT, Viso geral do Val IT.
Introduo
Como vimos, o mercado oferece uma srie de ferramentas para auxiliar na construo da Governana de TI. Alm do CobiT, quatro outras ferramentas auxiliam as organizaes a se preparar para a Governana de TI.
q
Captulo 4 - Ferramentas de implantao da Governana de TI
11 ISO 20000 a ISO/IEC 20000 a primeira norma que trata dos assuntos relativos ao
gerenciamento de servios de TI, sendo um conjunto de melhores prticas compatvel com a ITIL.
11 ISO 38500 a ISO/IEC 38500 a primeira norma que direciona as organizaes a implantar a Governana de TI, baseada fundamentalmente no CobiT.
11 Val IT estrutura de processos que auxilia as organizaes na priorizao dos investimentos em TI, bem como na avaliao do retorno que traz para o negcio. Os prximos tpicos fornecero uma viso especfica de cada uma das ferramentas mencionadas.
61
Melhoria
Especicao
Desenho
Otimizao
Projeto
Operao
Desenvolvimento
Entrega
Operao
Retirada
Fundamentos de Governana de TI
Estratgia
Transio
Dados os requisitos de negcio do cliente, o ciclo iniciado. De acordo com os requisitos do negcio, so definidas as especificaes do servio. Fornecidas as especificaes, o projeto do servio elaborado. De acordo com o projeto desenvolvido o servio. Durante o processo de desenvolvimento, podem ocorrer revises de especificao; terminado o desen volvimento, o servio entregue. Uma vez entregue, o servio colocado em operao; em operao, so identificadas oportunidades de otimizao na operao. Eventualmente, otimizaes podem gerar novas especificaes para a reviso do servio. O servio pode ser retirado de operao aps o seu ciclo de utilizao.
62
Um servio de TI est relacionado entrega de valor para os usurios, viabilizando os resultados esperados, sem responsabilidade direta sobre custos especficos e riscos. A ITIL est dividida em cinco livros, sendo que cada livro est representado no ciclo de vida de servio.
11 Estratgia de Servio (Service Strategy) representa polticas e objetivos. 11 Melhoria Contnua de Servio (Continual Service Improvement) representa aprendiza do e melhoria. Para entender melhor a ITIL, necessrio compreender o que o ciclo de vida de servios de TI. Vamos pensar no exemplo de um servio qualquer de TI, desde a sua concepo (incio) at seu fim; a isto chamamos ciclo de vida de gesto do servio. Existem diversas pessoas e reas da organizao envolvidas no ciclo de vida de um servio, desde o planeja mento, desenho, construo, teste, verses, operao, melhoramento etc. Diferentes nveis da organizao e pessoas com papis diferentes realizam a tomada de deciso, o desenvolvimento e a entrega dos servios. A ITIL se prope a realizar a integrao das necessidades de negcios com a TI. O diagrama do Ciclo de Vida de Servio mostrado na figura seguinte:
63
Q u
Stud y Al ds
erao do Se rvi Op
io rv
Estrat
ia do S g
ITIL
io erv
pl
at
Es
tu
do
Te
de
Tr a n si o d o
Ca
se
sos
Estratgia de Servio
O centro do Ciclo de Vida de Servio a Estratgia de Servio. Esta define o gerenciamento de servios no somente como uma capacidade organizacional, mas como uma estratgia, atravs de princpios que norteiam as prticas de gerenciamento de servios, orientando o desenvolvimento de polticas, guias e processos. A Estratgia de Servio a viso da ITIL que alinha negcio e TI, de modo que cada um extraia o que de melhor existe no outro. Assegura que cada estgio do Ciclo de Vida do Servio se mantenha focado no negcio e esteja relacionado a todos os elementos de processos complementares. Tambm aborda temas como elaborao de estratgias, implementao, redes de valor, portflio de servios, gerenciamento, gesto financeira e ROI. No estgio inicial, a rea de TI inicia a Estratgia de Servio gerenciando os requisitos de negcios (Gesto de Demandas), e traduzindo isto em uma estratgia para entregar o servio (Estratgia do Servio), validando os custos para manter estes servios (Gesto Financeira) e introduzindo o servio dentro do portflio de servios (Gesto de Portflio de Servios). Neste momento a TI ainda no retorna valor para o negcio.
Fundamentos de Governana de TI
Desenho de Servio
O Desenho de Servio define como implementar servios de TI, incluindo arquitetura, processos, polticas e documentao para atingir os requisitos de negcios atuais e futuros. Prov princpios e mtodos para transformar objetivos estratgicos em portflio de servios e ati vos estratgicos, culminando com o desenvolvimento de uma soluo de servio desenhada para atingir as necessidades do negcio. O Desenho de Servio contempla as estratgias, polticas e a implementao. Baseia-se nos cinco aspectos principais de desenho de servios: Disponibilidade, Capacidade, Continui dade, Gerenciamento de Nvel de Servios e Outsourcing. Tambm esto presentes informa es sobre Gerenciamento de Fornecedores e de Segurana da Informao.
Q u a li c
a
es
rv
es
Pro
duto s d
e V alor A g
rega
do
ROI O Return on Investment (Retorno sobre Investimento) usado para avaliar o resultado dos investimentos feitos, inclusive em TI, e os benefcios retornados para o negcio.
64
Quando a estratgia est completa, TI inicia a segunda fase, o Desenho do Servio, por meio da definio de requisitos para os nveis de servios (Gesto de Nveis de Servios), anlise da disponibilidade e capacidade requisitada (Gesto de Capacidade e Disponibilidade), seleo dos fornecedores que realizaro o suporte dos servios (Gesto de Fornecedores), proviso de continuidade de servios (Gesto de Continuidade dos Servios), validao e projeto dos requisitos de segurana (Gerenciamento de Segurana) e introduo do servio no Catlogo de Servios (Gesto de Catlogo de Servios).
Transio de Servio
Inclui o gerenciamento e a coordenao dos processos, sistemas e funes para empacotar, construir, testar e distribuir uma atualizao no ambiente de produo. Tambm se rela ciona ao planejamento e gerenciamento dos recursos para garantir a incluso de um novo servio ou a mudana de um servio existente, no ambiente de produo, dentro dos custos definidos, qualidade e prazos estimados, e voltado para o aumento da satisfao do usurio. Na Transio de Servio, o servio est pronto para ser implementado no ambiente de produo. O provedor de servios define o plano de transio (Planejamento de Transio e Suporte) e avalia, aprova, implementa e planeja a mudana (Processo de Gesto de Mudanas). Aps a implementao da mudana, o servio testado (Validao e Teste de Servio) em um ambiente de homologao. Se o teste for bem-sucedido, o servio documentado (Gesto de Conhecimento) e seus componentes so includos no banco de dados de ativos e configurao (Gesto de Ativos e Configurao). A ltima atividade realizar a liberao no ambiente de produo (Gesto de Liberao e Instalao) e aps o go-live, uma reviso dever ser executada aps a implementao (Gesto de Avaliao).
Operao de Servio
A Operao de Servio concretiza a entrega de valor para o negcio. Prov prticas de geren ciamento de servios em operao, direcionando a forma de entregar e suportar servios de maneira efetiva e eficiente, garantindo a entrega de valor para o usurio final. Inclui todas as atividades necessrias para entregar e suportar os servios, envolvendo:
11 Tecnologia;
65
extino de servios. acionada durante todas as fases do ciclo de vida, responsvel por medir os servios e processos (Medio dos Servios), e documentar os resultados (Reporte do Servio) para que a qualidade do servio e a maturidade dos processos (Melhoria do Servio) sejam aprimoradas. As melhorias devem ser implementadas na prxima fase do ciclo de vida do servio, sendo iniciadas novamente na Estratgia do Servio, de modo a ento recomear o ciclo. A figura 4.3 representa todos os componentes da ITIL.
Figura 4.3 Componentes da ITIL.
Gerenciamento Operaes de TI Gerenciamento de Aplicao Gerenciamento de Fornecedores Gerenciamento de Catlogo Gerenciamento de Segurana Gerenciamento de Risco Gerenciamento de Demanda Gerenciamento de Portflio Gerenciamento Financeiro Gerenciamento de Continuidade Gerenciamento de Capacidade Gerenciamento de Disponibilidade Gerenciamento Nvel de Servio Gerenciamento do Conhecimento Avaliao de Risco e Desempenho Validao e Teste Planejamento e Suporte Gerenciamento de Liberao Gerenciamento de Congurao Gerenciamento de Mudana Gerenciamento Tcnico Requisio de Servio Gerenciamento de Evento Gerenciamento de Acesso Gerenciamento de Problema Gerenciamento de Incidente Central de Servios
Estratgia de Servios
Desenho de Servios
Transio de Servios
Operao de Servios
Melhoria Contnua de Servio Processo de Melhoria Relatrio de Servios Medio de Servios Retorno sobre Investimento
questes relacionadas com a gesto da TI por meio de uma abordagem de central de servios. Para isso considera a capacidade dos sistemas, as necessidades para gerenciar as suas mudanas, oramentao financeira, controle e distribuio de aplicativos. A norma ISO 20000 foca nas questes relacionadas com a gesto da TI, por meio de uma abordagem de central de servios que permite a identificao e classificao dos problemas. A norma tambm considera a capacidade do sistema, o que necessrio para gerenciar mudanas dos sistemas, oramentao financeira, controle e distribuio de sistemas e aplicativos.
66
A ISO 20000, norma internacional originada da norma inglesa BS 15000, est perfeitamente alinhada com a abordagem gesto por processos definida pela ITIL. A ISO 20000 apresenta duas partes principais:
1. A ISO 20000-1 a especificao formal; define os requisitos para as organizaes presta -
rem servios de qualidade aceitvel aos seus clientes (internos ou externos), incluindo:
22 Requisitos para um sistema de gesto; 22 Planejamento e implementao da gesto do servio; 22 Planejamento e implementao de novos servios ou alterao de servios existentes; 22 Processo de prestao de servios; 22 Processos de relacionamento; 22 Processos de resoluo; 22 Processos de controle.
2. A ISO 20000-2, por outro lado, o Cdigo de Prticas que descreve as boas prticas para
processos de Gesto de Servios. Este cdigo particularmente til para organizaes que se preparam para auditorias de acordo com a ISO 20000-1 ou que planejam melho rias no servio. A ISO 20000 composta dos seguintes processos:
Processos de Controle
11 Gerenciamento de Configuraes; 11 Gerenciamento de Mudanas.
Processos de Liberao
11 Gerenciamento de Liberao.
Processos de Resoluo
11 Gerenciamento de Incidentes; 11 Gerenciamento de Problemas.
Processos de Relacionamento
11 Gerenciamento de Relacionamento com o Negcio; 11 Gesto de Fornecedores.
67
A figura abaixo representa a estrutura a ser seguida para a certificao ISO 20000.
Procedimentos internos
11 Promover a adoo de uma abordagem por processos na rea de TI 11 Alinhar os servios de TI com as necessidades do negcio 11 Mostrar a qualidade dos servios de TI 11 Reduzir custos por meio de estruturas otimizadas e transparentes 11 Estabelecer a melhoria contnua dos servios de TI na organizao 11 Cumprir os requisitos contratuais 11 Reduzir os riscos operacionais da TI
operacional de TI. A ITIL uma ferramenta que na sua verso 3 tambm tem o propsito de integrar a TI aos negcios. Baseada no ciclo de vida dos servios de TI, uma ferramenta usada mais na parte operacional do que estratgica, apesar de seus componentes serem estratgicos. A ISO 20000 est baseada na certificao da rea de TI e seus processos esto alinhados tanto com o CobiT quanto com a ITIL. Uma estratgia das organizaes para buscar a certifi cao implantar os processos da ITIL ou CobiT e depois usar as diretrizes da norma para se
68
adequar certificao. Os processos das trs ferramentas so equivalentes, na maioria das vezes com o mesmo princpio. A tabela abaixo apresenta a relao entre as ferramentas do ponto de vista dos processos. CobiT PO4 Definir Processo, Organizao e relacionamentos da TI PO5 Gerenciar o Investimento em TI AI5 Obter Recursos de TI AI6 Gerenciar Mudanas AI7 Autorizar e Instalar Mudanas e Solues DS1 Definir e Gerenciar Nveis de Servio DS3 Gerenciar Desempenho e Capacidade DS4 Assegurar Continuidade de Servios DS5 Assegurar Segurana de Sistemas DS8 Gerenciar Central de Servios e Incidentes DS9 Gerenciar Configurao
Figura 4.5
ITIL / ISO 20000 Gerenciamento de Relacionamento com o Negcio Gerenciamento Financeiro TI Gerenciamento de Fornecedores Gerenciamento de Mudanas Gerenciamento de Liberao Gerenciamento de Nveis de Servios Gerenciamento de Capacidade Gerenciamento de Continuidade e Disponibilidade de Servios Gerenciamento de Segurana da Informao Gerenciamento de Incidentes Gerenciamento de Configuraes Gerenciamento de Problemas
69
O objetivo principal da norma, que consultiva, auxiliar as organizaes com um con junto de princpios para a avaliao, o gerenciamento e o monitoramento do uso da TI. Estes princpios so alinhados com modelos de melhores prticas, como o CobiT 4.1. A norma consultiva e trata do uso efetivo da TI para atingir os objetivos de negcios da organizao, o retorno dos investimentos em TI que a organizao realiza, onde gasta, como gasta, onde investe e como investe. A norma tambm tem como finalidade informar e orien tar todos os envolvidos na organizao, nos projetos e na implementao de um sistema de polticas, processos e estruturas que suportam a governana de TI. A aplicao da norma destina-se a todos os tipos e tamanhos de organizao, pblicas ou privadas, pequenas, mdias ou grandes. A norma est estruturada da seguinte forma:
11 Escopo, aplicao e objetivos; 11 Estrutura para uma boa governana corporativa da TI; 11 Guia para a governana corporativa da TI.
A norma estabelece seis princpios para a boa Governana de TI:
1. Responsabilidade Todos na organizao devem compreender e aceitar as suas res-
ponsabilidades relacionadas a TI, sendo que a responsabilidade deve permear toda a estrutura organizacional, iniciando pelas camadas de mais alto nvel.
2. Estratgia O planejamento estratgico da organizao deve levar em considerao a
capacidade de TI em suportar adequadamente as funes de negcios, olhando a capaci dade atual e projetando a capacidade futura dentro das estratgias adotadas.
3. Aquisio As aquisies de TI devem ser de acordo com as estratgias definidas para
Fundamentos de Governana de TI
atender plenamente ao negcio, atravs de anlise apropriada e continuada, com deci ses claras e transparentes. Deve existir um equilbrio adequado entre os benefcios, oportunidades, custos e riscos, tanto no curto como no longo prazo.
4. Desempenho As aes e atividades de TI devem dar suporte aos negcios da organi -
zao e disponibilizao de servios, entregando o nvel de qualidade dos servios de TI necessrios para responder aos requisitos atuais e futuros do negcio, garantindo o desempenho adequado.
5. Conformidade As aes e atividades de TI devem estar em conformidade com a legislao
e regulamentos aplicveis. As polticas e as prticas esto claramente definidas, e encontram-se implementadas e aplicadas de acordo com as estabelecidas pela organizao.
70
considerao o comportamento das pessoas, incluindo as necessidades de capacitao peridica para que todos possam executar as atividades de que so responsveis. Tam bm as mudanas na TI devem ser amplamente comunicadas com o devido suporte, para minimizar os efeitos que possam causar.
PO1 Definir um Plano Estratgico de TI PO2 Definir a Arquitetura da Informao PO3 Determinar as Diretrizes de Tecnologia PO4 Definir os Processos, a Organizao e os Relacionamentos de TI PO5 Gerenciar o Investimento de TI PO6 Comunicar Metas e Diretrizes Gerenciais PO7 Gerenciar os Recursos Humanos de TI PO8 Gerenciar a Qualidade PO9 Avaliar e Gerenciar os Riscos de TI PO10 Gerenciar Projetos AI1 Identificar Solues Automatizadas AI2 Adquirir e Manter Softwares Aplicativos AI3 Adquirir e Manter Infraestrutura de Tecnologia AI4 Habilitar Operao e Uso AI5 Adquirir Recursos de TI AI6 Gerenciar Mudanas AI7 Instalar e Homologar Solues e Mudanas
Figura 4.6
x x x x x x x x x x x
Desempenho
Processos do CobiT
Comportamento humano
Conformidade
Estratgia
Aquisio
x x x x x x x x
x x x
71
DS2 Gerenciar Servios Terceirizados DS3 Gerenciar o Desempenho e a Capacidade DS4 Assegurar a Continuidade dos Servios DS5 Garantir a Segurana dos Sistemas DS6 Identificar e Alocar Custos DS7 Educar e Treinar os Usurios DS8 Gerenciar a Central de Servio e os Incidentes DS9 Gerenciar a Configurao DS10 Gerenciar Problemas DS11 Gerenciar os Dados DS12 Gerenciar o Ambiente Fsico DS13 Gerenciar as Operaes ME1 Monitorar e Avaliar o Desempenho de TI ME2 Monitorar e Avaliar os Controles Internos ME3 Assegurar a Conformidade com Requisitos Externos ME4 Prover Governana de TI
Desempenho
Processos do CobiT
x x x x x x x x x x x x
x x x
A vantagem de usar um modelo de processo como o CobiT o seu foco na obteno de resultados especficos, desta forma facilitando a implantao da Governana de TI.
Fundamentos de Governana de TI
72
Comportamento humano
Conformidade
Estratgia
Aquisio
11 Os investimentos em estratgia de TI esto alinhados com a viso da organizao? 11 Os investimentos esto consistentes com os principais objetivos de negcios? 11 Os investimentos esto contribuindo para os objetivos estratgicos da organizao? 11 Os investimentos esto contribuindo para a entrega de valor dos servios de TI, com
os custos desejados e dentro de uma margem aceitvel de risco?
2. Arquitetura de TI:
11 Os investimentos esto alinhados com a arquitetura de TI da organizao? 11 Os investimentos esto consistentes com os princpios da arquitetura de TI
da organizao?
11 Os investimentos esto contribuindo para a utilizao consciente da arquitetura de TI? 11 Os investimentos na arquitetura de TI esto alinhados com outras iniciativas
da organizao?
3. Valor da TI:
11 A organizao tem um entendimento claro dos benefcios esperados pelos investi mentos em TI?
11 A organizao tem mtricas para medir o valor que a TI agrega aos negcios?
4. Entrega:
11 A organizao tem um entendimento sobre as entregas dos servios de TI para suporte aos negcios?
11 A organizao tem competncia e disponibilidade de recursos para entregar: 22 As mudanas organizacionais requeridas para suportar o negcio?
Basicamente o Val IT foca nas decises de investimentos em TI (A organizao est investindo de forma estratgica?) e na obteno dos benefcios esperados (A organizao est obtendo os benefcios esperados?). O CobiT foca na execuo (A organizao est fazendo as coisas do jeito certo?). Processos do Val IT: Governana de Valor (VG) Otimizar o valor na organizao dos investimentos em TI da seguinte forma:
Captulo 4 - Ferramentas de implantao da Governana de TI
11 Estabelecer a governana, o monitoramento e uma estrutura de controle 11 Prover um direcionamento estratgico para os investimentos 11 Definir um portflio de investimentos
73
Gerenciar Portflio (PM) Garantir que a organizao tenha um portflio de investimentos de TI alinhado aos obje tivos estratgicos da organizao da seguinte forma:
11 Estabelecer e gerenciar perfis de recursos 11 Definir os limites dos investimentos em TI 11 Avaliar, priorizar, selecionar, adiar ou rejeitar um novo investimento de TI 11 Gerenciar completamente o portflio de investimentos 11 Monitorar e apresentar os resultados do desempenho do portflio de investimentos
em TI Gerenciar Investimentos (IM) Garantir que a organizao gerencie os investimentos de TI dentro dos critrios de custos estabelecidos e com o conhecimento dos nveis de riscos associados aos investimen tos de TI da seguinte forma:
11 Identificar requisitos de negcios 11 Entender claramente o programa de investimentos em TI 11 Analisar alternativas de investimentos em TI 11 Definir o programa de investimento em TI e detalhar claramente os planos de neg cio, com os benefcios associados
11 Gerenciar o programa de investimentos em TI por meio de um ciclo de vida econmico 11 Monitorar e apresentar os resultados do desempenho do programa de investimentos
em TI O objetivo do modelo do Val IT, criado pelo Information Technology Governance Institute (ITGI) auxiliar as organizaes no gerenciamento dos investimentos em TI, de forma que o valor gerado pela TI para suportar os negcios seja plenamente conhecido. O Val IT contm um guia, processos e prticas para auxiliar os executivos no entendimento de seus papis e responsabilidades relacionadas aos investimentos em TI. O modelo Val IT est focado em quatro eixos que provocam a reflexo sobre o presente da organizao em relao aos investimentos em TI, considerando as seguintes questes: Estratgia:
11 Os investimentos em estratgia de TI esto alinhados com a viso da organizao? 11 Os investimentos esto consistentes com os principais objetivos de negcios? 11 Os investimentos esto contribuindo para os objetivos estratgicos da organizao? 11 Os investimentos esto contribuindo para a entrega de valor dos servios de TI, com os
Fundamentos de Governana de TI
11 Os investimentos esto alinhados com a arquitetura de TI da organizao? 11 Os investimentos esto consistentes com os princpios da arquitetura de TI da organizao? 11 Os investimentos esto contribuindo para a utilizao consciente da arquitetura de TI? 11 Os investimentos na arquitetura de TI esto alinhados com outras iniciativas
da organizao?
74
Valor da TI:
11 A organizao tem mtricas para medir o valor que a TI agrega aos negcios?
Entrega:
11 A organizao tem competncia e disponibilidade de recursos para entregar: 22 A capacidade requerida pelo negcio? 22 As mudanas organizacionais requeridas para suportar o negcio?
Basicamente o Val IT foca nas decises de investimentos em TI (A organizao est investindo certo?) e na obteno dos benefcios esperados (A organizao est obtendo os benefcios esperados?). O CobiT foca na execuo (A organizao est fazendo as coisas do jeito certo?). A figura a seguir mostra a relao entre o Val IT e o CobiT.
Decises e benefcios
Val IT
Execuo
Figura 4.7 Relao entre Val IT e CobiT.
CobiT
Para obter o retorno dos investimentos de TI, o Val IT deve ser aplicado nas organizaes
Captulo 4 - Ferramentas de implantao da Governana de TI
11 Estabelecer a governana, o monitoramento e uma estrutura de controle; 11 Prover um direcionamento estratgico para os investimentos; 11 Definir um portflio de investimentos.
11 Estabelecer e gerenciar perfis de recursos; 11 Definir os limites dos investimentos em TI; 11 Avaliar, priorizar, selecionar, adiar ou rejeitar um novo investimento de TI;
75
11 Gerenciar completamente o portflio de investimentos; 11 Monitorar e apresentar os resultados do desempenho do portflio de investimentos em TI.
11 Identificar requisitos de negcios; 11 Entender claramente o programa de investimentos em TI; 11 Analisar alternativas de investimentos em TI; 11 Definir o programa de investimento em TI e detalhar claramente os planos de negcios,
com os benefcios associados;
11 Gerenciar o programa de investimentos em TI por meio de um ciclo de vida econmico; 11 Monitorar e apresentar os resultados do desempenho do programa de investimentos em TI.
A figura 4.8 mostra a relao entre os processos do Val IT.
Governana de valor (VG)
76
Fundamentos de Governana de TI
Roteiro de Atividades 4
Atividade 1 Criando um planejamento estratgico
Tomando como base a sua organizao, faa um esboo do planejamento estratgico, levando em considerao todas as etapas definidas.
Introduo
Este guia deve ser utilizado para documentar um planejamento estratgico de TI seguindo as oito etapas definidas para a realizao da atividade da Sesso 4 Ferramentas de implantao da Governana de TI, contemplando todo o conhecimento adquirido durante o curso.
Etapa 1
Planejar a estratgia de TI
Passos 11Estabelecer as metas do planejamento estratgico de TI 11Criar uma lista dos principais envolvidos no projeto Documentar
1.1. Escopo do projeto de planejamento 1.2. Objetivo do projeto 1.3. Restries 1.4. Principais tomadores de deciso de TI e pessoas com maior envolvimento 1.5. Convergncia de tecnologias e estratgia de negcio 1.6. Cronograma 1.7. Relatrio preliminar com as principais definies do projeto
1.3 Restries
Captulo 4 - Roteiro de Atividades
77
1.6 Cronograma
Etapa 2
Conhecer as estratgias de negcios
Passos 11Descrever a organizao 11Conduzir uma anlise da organizao 11Documentar a viso, misso e principais valores da organizao 11Definir o negcio principal da organizao Documentar 2.1. Descrio da organizao 2.2. Prioridades da organizao 2.3. Misso e viso da organizao 2.4. Principais negcios da organizao 2.5. Principal unidade de negcio e suas metas e objetivos 2.6. Oramento e investimento da TI 2.7. Objetivos estratgicos da organizao
78
Etapa 3
Conhecer e avaliar a situao atual do ambiente tecnolgico
Passos 11Documentar a estrutura organizacional de TI Documentar 3.1. Organograma da TI 3.2. Conhecimentos da equipe de TI 3.3. Lista dos fornecedores 3.4. Inventrio de software 3.5. Inventrio de hardware 3.6. Principais projetos de TI em execuo 3.7. Principais processos de TI
11Entender o ambiente de TI
3.1 Organograma da TI
Java
Linux
Windows
SQL
ASP
79
Finalidade
80
Etapa 4
Propor um novo ambiente tecnolgico
Passos 11Analisar os pontos fortes e fracos do ambiente tecnolgico 11Listar as oportunidades tecnolgicas Documentar 4.1. Questes para direcionamento 4.2. Maturidade dos processos de TI 4.3. Pontos fortes e fracos da TI 4.4. Definir aes para a evoluo da TI
11Documentar os resultados
2. Os investimentos de TI so transparentes?
81
Conhecimento da equipe de TI
1. A equipe de TI tem o conhecimento necessrio para atender aos requisites de negcio?
82
Oramento
1. A TI tem os recursos suficientes para suportar os negcios?
83
Etapa 5
Realizar anlise entre situao atual e proposta para o ambiente tecnolgico
Passos 11Analisar as diferenas entre as situaes atual e futura Documentar 5.1. Situao atual 5.2. Situao futura desejada 5.3. Recomendaes para direcionamento futuro
84
Fundamentos de Governana de TI
Etapa 6
Propor uma viso estratgica de TI e um modelo de governana
A viso estratgica da TI que se aplica a todos os nveis estratgicos da organizao. necessrio que a organizao defina os objetivos de TI e estabelea o alinhamento com os processos e objetivos de negcios para que os projetos e aes de TI possam ser priorizados de acordo com a estratgia corporativa. Estabelea o alinhamento entre a viso, os objetivos e as aes especficas de TI e os objetivos estratgicos do negcio. Passos 11Definir a viso estratgica da TI Documentar 6.1. Objetivos estratgicos de TI 6.2. Alinhamento entre os objetivos estratgicos de TI e os objetivos estratgicos de negcio
Objetivo de negcio 1
Objetivo de negcio 2
Objetivo de negcio 3
Objetivo de negcio 4
Objetivos
Objetivo 1 Objetivo 2
Captulo 4 - Roteiro de Atividades
Objetivo de negcio 5
85
Etapa 7
Definir um modelo de decises estratgicas de TI
Passos 11Definir indicadores para medir o atingimento dos objetivos estratgicos de TI 11Definir os projetos prioritrios de TI, de curto, mdio e longo prazos Documentar 7.1. Indicadores de TI 7.2. Lista de projetos priorizados
7.1 Indicadores de TI
Nome do indicador Indicador 1 Indicador 2 Descrio
Fundamentos de Governana de TI
Etapa 8
86
87
88
Fundamentos de Governana de TI
Bibliografia
11 ANDRADE, Adriana; ROSSETTI, Jos Paschoal. Governana corporativa: fundamentos, desenvolvimento e tendncias. So Paulo: Atlas, 2004. 11 FERNANDES, Aguinaldo Aragon; ABREU, Vladimir Ferraz de. Implantando a governana de TI: da estratgia gesto dos processos e servios. Rio de Janeiro: Brasport, 2006. 11 Harvard Business Review. Experincias de governana corporativa. Rio de Janeiro: Campus, 2001. 11 ISO/IEC 38500 08. Governana corporativa de tecnologia da informao. Rio de Janeiro: ABNT, 2008. 11 LAHTI, Christian B.; PETERSON, Roderick. Sarbanes-Oxley: conformidade TI usando CobiT e ferramentas open source. Rio de Janeiro: Editora Alta Books, 2006. 11 Ministrio do Planejamento, Oramento e Gesto. Instruo normativa n 4: IN-4 da Secretaria de Logstica e Tecnologia da Informao. 11 Ministrio do Planejamento, Oramento e Gesto. Modelo de Referncia de Plano Diretor de Tecnologia da Informao da Secretaria de Logstica e Tecnologia da Informao. 11 NBR ISO/IEC 20000: 1/08. Tecnologia da informao: gerenciamento de servios (parte 1): especificao. Rio de Janeiro: ABNT, 2008. 11 NBR ISO/IEC 20000: 2/08. Tecnologia da informao: gerenciamento de servios (parte 2): cdigo de prtica. Rio de Janeiro: ABNT, 2008. 11 WEILL, Peter; ROSS, Jeanne W. Governana de TI: tecnologia da informao. So Paulo: M. Books, 2006.
Bibliografia
89
11 CobiT Mapping: Mapping of ITIL v3 with CobiT 4.1: Overview of Interna tional IT Guidance, 2 edio: http://www.isaca.org/KnowledgeCenter/Research/ResearchDeliverables/ Pages/COBIT-Mapping-Mapping-of-ITIL-V3-With-COBIT-4-1.aspx 11 Framework CobiT 4.1: www.isaca.org 11 IT Governance Institute: www.itgi.org 11 IT Governance Institute TM. Modelo Cobit 4.1: http://www.isaca.org/Knowledge-Center/cobit/Documents/cobit41-portuguese.pdf 11 Val IT and Related: http://www.isaca.org/bookstore/Pages/Val-IT-and-Related.aspx 11 Val IT Framework 2.0: http://www.isaca.org/Knowledge-Center/Research/ ResearchDeliverables/Pages/Val-IT-Framework-2.0.aspx
90
Fundamentos de Governana de TI
O O livro livro de de apoio apoio ao ao curso curso Fundamentos Fundamentos de de Governana Governana de de TI TI inicia inicia o o aluno aluno no no entendimento entendimento dos dos principais principais aspectos aspectos e e processos processos bsicos bsicos que que formam formam o o escopo escopo da da governana governana de de TI, TI, e e do do seu seu impacto impacto sobre sobre a a governana governana corporativa corporativa nas nas organizaes. organizaes. O O aluno aluno ter ter ainda ainda um um primeiro primeiro contato contato com com os os modelos modelos CobiT CobiT e e ITIL, ITIL, fundamentais fundamentais no no mbito mbito da da governana governana de de TI. TI. Este Este livro livro inclui inclui os os roteiros roteiros das das atividades atividades prticas prticas e eo o concontedo tedo dos dos slides slides apresentados apresentados em em sala sala de de aula, aula, apoiando apoiando suas suas organizaes organizaes ou ou localidades localidades de de origem. origem.