Baixe o app para aproveitar ainda mais
Prévia do material em texto
GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO Izabelly Soares de Morais Catalogação na publicação: Karin Lorien Menoncin CRB-10/2147 M827g Morais, Izabelly Soares de. Governança de tecnologia da informação [recurso eletrônico] / Izabelly Soares de Morais, Glauber Rogerio Barbieri Gonçalves; [revisão técnica: Jeferson Faleiro Leon]. – Porto Alegre: SAGAH, 2018. ISBN 978-85-9502-343-7 1. Tecnologia da informação. I. Gonçalves, Glauber Rogerio Barbieri. II.Título. CDU 004 Revisão técnica: Jeferson Faleiro Leon Graduado em Desenvolvimento de Sistemas Especialista em Formação Pedagógica O que é a governança de TI Objetivos de aprendizagem Ao final deste texto, você deve apresentar os seguintes aprendizados: � Descrever as principais definições que norteiam a governança de TI. � Compreender o que é a governança de TI. � Elencar as etapas que conduzem a governança de TI. Introdução Você já imaginou a quantidade de processos existentes em um contexto corporativo? Tente conceber a quantidade de transações que ocorre a cada minuto, as quais envolvem compra de matéria-prima, controle de produção, preenchimento de controles financeiros, planilhas, entre outros. Muita coisa, não é? A governança de TI auxilia a gerenciar os recursos tecnológicos que contribuem para que haja organização e gestão das atividades em uma empresa. Neste capítulo, estudaremos sobre a governança de TI, que é respon- sável por apoiar o universo executivo diante dessa enorme demanda de gerenciamento. Para isso, você aprenderá conceitos, definições e as principais etapas que norteiam a governança de TI. Principais conceitos que norteiam a governança de TI Antes de abordarmos a governança de TI, precisamos entender que ela traz diversos fatores novos para o ambiente corporativo organizacional. Então, podemos voltar um pouco no tempo e imaginar, caso você não tenha vivido essa época, o momento em que os primeiros maquinários começaram a chegar nas empresas, quando trabalhos que eram realizados antes de forma totalmente manual passaram a ter o auxílio de máquinas. Qual fora a reação da maioria dos trabalhadores fabris da época? E quando os primeiros computadores e telefones passaram a ser implantados nas grandes corporações? Arrisca-se imaginar que, na época, tornaram-se o assunto do momento, e todos provavelmente passaram a se questionar como aquilo tudo funcionava, ou, até mesmo, como aquele maquinário contribuiria com o trabalho que estava sendo desenvolvido. A organização pode ser compreendida como um grupo de indivíduos associados com um objetivo comum, e é geralmente organizada de forma hierárquica com atividades que abrangem as características do negócio. De simples definição, mas de complexa realidade, as organizações são um campo de infinitas possibilidades para modelos, tendências e focos que, algumas vezes, são influenciados pelo contexto histórico ou por resultados de pesquisas ou es- tudos. Desde o início do século XX começaram a surgir teorias organizacionais com a função de apoiar gerencialmente as organizações, de modo a torná-las mais efetivas e eficientes em seu contexto (MOLINARO; RAMOS, 2011, p. 4). A Figura 1 cita os tipos de governança e, a seguir, veremos de que forma os diferentes tipos de governança agem no contexto de negócios e tecnologias. Figura 1. Diferentes tipos de governança. Fonte: Molinaro; Ramos (2011). Apesar de o interesse em sistemas ter começado em meados da década de 1960, foram nos anos 1980 que a tecnologia da informação ocupou seu lugar. A TI era uma novidade para a grande maioria dos trabalhadores, e, por essa razão, havia, falta de maturidade, capacidade e habilidade dos usuários em relação à melhor forma de explorar os novos recursos. Como consequência, os setores que adotaram intensamente TI não estavam colhendo ganhos signifi- cativos de produtividade. Com o aumento dos investimentos em treinamento, conhecimento e talento no final dos anos 1980 e seguintes, tais setores passa- ram a obter, nos últimos quinze anos, os resultados dos investimentos em TI O que é a governança de TI2 por meio de elevados ganhos de performance corporativa (MANSUR, 2011, p. 10). Com o tempo, diversos termos e práticas começaram a surgir, como Governança Corporativa, Governança Empresarial, Governança de Negócios e Governança de TI, além de diversos outros que acabam sendo inseridos no contexto dos já citados, como gestão, estratégias, etc. A governança corporativa “[...] fundamentou-se para criar um conjunto eficiente de mecanismos para assegurar que o comportamento dos executivos esteja sempre alinhado com o interesse dos acionistas, e também para evitar fraudes, erros estratégicos e abusos de poder” (TOMIATTI, 2012, p. 12). A definição de governança corporativa de acordo com o Instituto Brasileiro de Governança Corporativa (IBCG) é: [...] o sistema pelo qual as organizações são dirigidas, monitoradas e incen- tivadas, envolvendo os relacionamentos entre proprietários, conselhos de administração, diretoria e órgãos de controle. As boas práticas de governança corporativa convertem princípios em recomendações objetivas, alinhando interesses com a finalidade de preservar e otimizar o valor da organização, facilitando seu acesso ao capital e contribuindo para sua longevidade. (IBGC, 2012 apud TOMIATTI, 2012, p. 13). A governança empresarial é um sistema pelo qual as entidades são dirigidas e controladas. Os problemas referentes à governança não podem ser resolvidos sem a TI, uma vez que o negócio é altamente dependente da tecnologia. A go- vernança empresarial deve, portanto, dirigir e contribuir para o estabelecimento da governança de TI. A TI, por sua vez, pode influenciar as oportunidades estratégicas da empresa, fornecendo informações valiosas para a elaboração de planos estratégicos. Dessa forma, a governança de TI ajuda a empresa a tirar o máximo proveito da informação e é vista como um fator propulsor da governança empresarial (SANTOS; BARUQUE, 2010, p. 17). Para Palma (2017, p. 20), a governança empresarial se divide em governança de negócios, que está preocupada com aspectos de performance da área de negócio, como lucratividade, redução de custos e cumprimento de expectativas do cliente; e governança corporativa, que está preocupada com conformidade e envolvendo cumprimento de regulamentos internos e/ou externos. 3O que é a governança de TI O Instituto Brasileiro de Governança Corporativa (IBGC) lançou o primeiro “Código das Melhores Práticas de Governança Corporativa” do país, abordando temas como o relacionamento entre controladores e minoritários e diretrizes para o funcionamento do Conselho de Administração (MOLINARO; RAMOS, 2011, p. 24). O que é a governança de TI? Estima-se que o termo “governança de TI” tenha sido mencionado pela primeira vez no âmbito tecnológico no início da década de 1990, em meados de 1991. A princípio, era definido apenas como uma forma de mensurar as relações que englobavam as regras de negócios por meio de um sistema de tecnologia da informação. Atualmente, a tecnologia da informação remete aos procedi- mentos aplicados por alguma tecnologia, os quais visam ao direcionamento das informações. Alguns autores, como Lunardi et al. (2014, p. 49), fizeram um breve levan- tamento sobre a trajetória da governança de TI. Segundo eles, em 1992, Hen- derson e Venkatraman (apud LOH, 1993) expandem a definição anterior para abranger escolhas de mecanismos estruturais (como joint ventures, contratos de longo prazo e boas parcerias) que seriam utilizados para obter as capacidades de TI. Ainda conforme os autores, o conceito é novamente revisado em 1999 e caracterizado por Sambamurthy e Zmud (1999) como a implementação de estruturas e arquiteturas (e padrões de autoridade associadas) relacionadas à TI para atingir com sucesso atividades em resposta ao ambiente e à estratégia organizacional. Weill e Ross (2004) definem a governança de TI como o sistemaque especifica a estrutura de responsabilidades e os direitos de decisão para encorajar comportamentos desejáveis no uso da TI. Entretanto, é a partir de 2001, com o conceito proposto por Korac-Kakabadse e Kakabadse (2001 apud LUNARDI et al., 2014, p. 49), que a governança de TI passa a se concentrar também na necessidade de definir processos e mecanismos de relacionamento – e não apenas estruturas – para desenvolver, dirigir e controlar os recursos de TI, de modo a atingir os objetivos da organização. Para Santos e Baruque (2010, p. 8), “[...] a governança de TI pode ser traduzida como a administração da Tecnologia da Informação (TI) de forma a garantir o total controle sobre os seus resultados, que devem O que é a governança de TI4 estar alinhados aos objetivos do negócio”. Já para Weill e Ross (2004), a governança de TI “[...] consiste em um ferramental para a especificação dos direitos de decisão e responsabilidade, visando encorajar comportamentos desejáveis no uso da TI”. De acordo com o IT Governance Institute (2007), a governança de TI é de responsabilidade da alta administração (incluindo diretores e executivos), na liderança, nas estruturas organizacionais e nos processos que garantem que a TI da empresa sustente e estenda as estratégias e objetivos da organização. A princípio, estamos falando de conceitos, e não de aplicações. Portanto, repare que podemos ter diversas definições dos termos, os quais podem ser adaptados de acordo com o contexto em que estão inseridos. A concepção dada pela ISO/IEC 38.500 (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNI- CAS, 2009) afirma que a governança de TI “[...] é o sistema pelo qual o uso atual e futuro da TI são dirigidos e controlados. Significa avaliar e direcionar o uso da TI para dar suporte à organização e monitorar seu uso para realizar planos. Inclui a estratégia e as políticas de uso da TI dentro da organização”. É possível notar que, ao longo dos anos, o conceito passou por diversas mudanças, as quais estão relacionadas à ampliação do uso não só do termo, mas da aplicação da prática no âmbito corporativo. Perceba que, no início da década de 1990, a expressão era bem direcionada a algumas atividades relacionadas a regras de negócio, como a realização de joint venture. Já a partir dos anos seguintes, a gestão estratégica passou a fazer parte desse contexto, no qual era vista como algo fundamental para o sucesso do negócio. Logo, podemos dizer que, atualmente, a governança engloba todos esses fatores que foram sendo adicionados à sua definição ao longo dos anos, e um pouco mais. Ainda dentro dessa ótica, para Fernandes e Abreu (2012, p. 13), a gover- nança de TI deve: � promover o alinhamento da TI ao negócio (suas estratégias e objeti- vos), tanto no que diz respeito a aplicações como à infraestrutura de serviços de TI; � providenciar a implantação de mecanismos que garantam a continuidade do negócio contra interrupções e falhas (manter e gerir as aplicações e a infraestrutura de serviços); � viabilizar, com áreas de controle interno, compliance e gestão de riscos, o alinhamento da TI a marcos de regulação externos como a Sarbanes- -Oxley (empresas que possuem ações ou títulos, papéis sendo negociados em bolsas de valores norte-americanas), Basileia II (no caso de bancos) e outras normas. 5O que é a governança de TI De acordo com Wolffenbüttel (2006), na tradução literal, a expressão “joint venture” quer dizer “união com risco”. Ela, de fato, refere-se a um tipo de associação em que duas entidades se juntam para tirar proveito de alguma atividade, por um tempo limitado, sem que cada uma perca a identidade própria. Por essa definição, qualquer sociedade, mesmo envolvendo pessoas físicas, poderia ser classificada como joint venture. Porém, a expressão se tornou mais conhecida para definir a associação entre duas empresas. O modelo mais comum é aquele em que um fabricante forma uma joint venture com uma firma comerciante de outro país para explorar o mercado estrangeiro. Mas não precisa ser necessariamente assim. Fonte: Wolffenbüttel (2006). Ciclos da Governança de TI Segundo Weill e Ross (2004), a governança de TI busca atender às práticas definidas pela governança corporativa, e visa responder às seguintes questões: 1. As capacidades da TI melhoram a competitividade da sua empresa? 2. Todos os gerentes da empresa reconhecem suas responsabilidades com o gerenciamento e o uso efetivo da TI – ou eles assumem que este é um problema apenas da área de TI? 3. Os investimentos em TI de sua empresa visam atender aos objetivos estratégicos ou sua empresa desperdiça recursos e investimentos apenas para atender às iniciativas táticas e necessidades operacionais? Diante desses questionamentos podemos complementar com as se- guintes perguntas: onde estamos tentando inserir a melhoria? Qual é o nosso objetivo com as metodologias que estamos querendo adotar? O que devemos fazer para atingir nossos objetivos? Conseguimos chegar aonde planejamos? Se sim, podemos ver brevemente o resultado de melhoria. Porém, devemos sempre estar em busca de melhorias, devemos lembrar que, na era tecnológica em que vivemos, a cada dia que passa a compe- titividade se torna mais acirrada. A partir daí, podemos nos questionar: e agora, aonde queremos chegar? Quanto queremos evoluir e para que direção iremos? Caso o ciclo não tenha dado certo, podemos iniciar tudo novamente realizando as mudanças necessárias. O que é a governança de TI6 Para Fernandes e Abreu (2012, p. 14), o ciclo da governança de TI possui quatro grandes etapas: o alinhamento estratégico; um momento para decisão; uma fase para estrutura e processos; e, por fim um período para gestão do valor e desempenho. Podemos ver mais claramente essas etapas na Figura 2, a seguir. Figura 2. Ciclo da governança de TI. Fonte: Fernandes e Abreu (2012). Para Fernandes e Abreu (2012), o alinhamento estratégico e compliance refere-se ao planejamento estratégico da tecnologia da informação que leva em consideração as estratégias da empresa para seus vários produtos e seg- mentos de atuação, assim como os requisitos de compliance externos, como o Sarbanes-Oxley Act e o Acordo da Basileia. A etapa de decisão, compromisso, priorização e alocação de recursos refere-se às responsabilidades pelas decisões relativas à TI em termos de arquitetura de TI, serviços de infraestrutura, investimentos, necessidades de aplicações, etc., assim como à definição dos mecanismos de decisão, ou seja, em que fóruns da empresa são tomadas essas decisões. Além disso, trata da obtenção do envolvimento dos principais tomadores de decisão da organização, assim como do conceito de prioridades de projetos e serviços e da alocação efetiva de recursos monetários no contexto de um portfólio de TI. A etapa de estrutura, processos, operações e gestão diz respeito à estrutura organizacional e funcional de TI, e aos processos de gestão e operação dos produtos e serviços de TI, alinhados com as necessidades estratégicas e ope- racionais da empresa. Nessa fase, são definidas ou redefinidas as operações de 7O que é a governança de TI sistemas, infraestrutura, suporte técnico, segurança da informação, governança de TI e outras funções auxiliares ao CIO (chief information officer), etc. A etapa de gestão do valor e do desempenho refere-se à determinação, coleta e geração de indicadores de resultados dos processos, produtos e ser- viços de TI, à sua contribuição para as estratégias e objetivos do negócio e à demonstração do valor da TI para o negócio. Com base nessas informações, passamos a compreender que esses fatores trazem para o contexto corporativo a possibilidade de abertura a possíveis mudanças. Por meio delas, a empresa tem como se programar para eventuais imprevistos, até porque, por meio da gestão de seus processos, é possível indicar possibilidades positivas e negativas para o negócio. A China facilita a entrada no país para companhias que formemjoint ventures com empresas chinesas do mesmo setor, de modo a oportunizar a transferência de tec- nologia. Caso algum empreendedor queira se estabelecer na China sem se associar a uma companhia local, enfrentará barreiras quase intransponíveis. No Brasil, em 1987, foi feita uma clássica joint venture: a união entre a Volkswagen e a Ford, dando origem à Autolatina. Ambas mantiveram suas identidades e marcas, e a sociedade tinha um prazo determinado para se dissolver. Existem muitas joint ventures conhecidas. Uma delas é a prestadora de telefonia móvel Vivo, fruto de uma fusão entre a organização portuguesa Telecom e a espanhola Telefonica Móviles. Fonte: Wolffenbüttel (2006). ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 38500:2009: governança corporativa de tecnologia da informação. Rio de Janeiro: ABNT, 2009. FERNANDES, A. A.; ABREU, V. F. Implantando a governança de TI: da estratégia à gestão de processos e serviços. 3. ed. Rio de Janeiro: Brasport, 2012. IT GOVERNANCE INSTITUTE. COBIT QuickStart. 2nd ed. Rolling Meadows: ITGI, 2007. LOH, L. The economics and organization of information technology governance: sourcing strategies for corporate information infrastructure. 1993. 241 f. Thesis (Ph. D.)–Massa- chusetts Institute of Technology, Cambridge, 1993. O que é a governança de TI8 LUNARDI, G. L. et al. Análise dos mecanismos de governança de TI mais difundidos entre as empresas brasileiras. Revista Alcance Eletrônica, Rio Grande, v. 21, n. 1, jan./mar. 2014. Disponível em: <http://www.repositorio.furg.br/bitstream/handle/1/5286/4727- 16728-1-PB.pdf?sequence=1>. Acesso em: 26 out. 2017. MANSUR, R. Governança de TI verde: o ouro verde da nova TI. São Paulo: Ciência Moderna, 2011. MOLINARO, L. F. R.; RAMOS, K. H. C. Gestão de tecnologia da informação: governança de TI. São Paulo: LTC, 2011. PALMA, F. Governança de TI na prática: uma visão direta, clara e simplificada. [S.l.]: Portal GSTI, 2017. Disponível em: <https://pt.slideshare.net/fernando.palma/ebook- -governana-de-ti-na-prtica>. Acesso em: 03 dez. 2017. SAMBAMURTHY, V.; ZMUD, R. Arrangements for information technology governance: a theory of multiple contingencies. MIS Quarterly, Minneapolis, v. 23, n. 2, p. 261-290, 1999. SANTOS, L. C.; BARUQUE, L. B. Governança de tecnologia da informação. Rio de Janeiro: Fundação CECIERJ, 2010. TOMIATTI, T. S. Governança de TI. 2012. Monografia–Faculdade de Tecnologia de São Paulo, São Paulo, 2012. Disponível em: <http://www.fatecsp.br/dti/tcc/tcc00048. pdf>. Acesso em: 30 out. 2017. WEILL, P.; ROSS, J. W. IT governance: how top performers manage IT decision rights for superior results. Boston: Harvard Business, 2004. WOLFFENBÜTTEL, A. O que é? Joint-venture. Desafios do Desenvolvimento, Brasí- lia, DF, ano 3, n. 25, 2006. Disponível em: <http://www.ipea.gov.br/desafios/index. php?option=com_content&id=2110:catid=28&Itemid=23>. Acesso em: 28 out. 2017. Leituras recomendadas AUDY, J. L.; BRODBECK, Â. F. Sistemas de informação: planejamento e alinhamento estratégico nas organizações. Porto Alegre: Bookman, 2003. BREALEY, R. A.; MYERS, S. C.; ALLEN, F. Princípios de finanças corporativas. 10. ed. Porto Alegre: AMGH, 2013. FUSCO, C. Governança de TI: o que ela (não) faz por você. [S.l.]: Computerworld, 2007. Disponível em: <http://computerworld.com.br/gestao/2007/10/15/idgnoti- cia.2007-10-11.4971729199/>. Acesso em: 27 out. 2017. 9O que é a governança de TI Encerra aqui o trecho do livro disponibilizado para esta Unidade de Aprendizagem. Na Biblioteca Virtual da Instituição, você encontra a obra na íntegra. Conteúdo: GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO Glauber Rogério Barbieri Gonçalvez ITIL – Information Technology Infrastructure Library Objetivos de aprendizagem Ao final deste texto, você deve apresentar os seguintes aprendizados: � Conhecer o framework ITIL. � Reconhecer as principais vantagens do ITIL. � Compreender a relevância do ITIL para o gerenciamento de TI nas organizações. Introdução A Tecnologia da Informação (TI), com o passar do tempo, começou a assumir papel de protagonista dentro das organizações. O que antes era um complemento, hoje figura-se como um importante ativo para a permanência da empresa no mercado. Ela é um fator crítico de sucesso para a organização, e assume, tam- bém, um importante diferencial de mercado na busca por melhores resultados. Há empresas que são TI pura e outras que dependem de um bom gerenciamento dessa área para considerar e consolidar a TI como fator-chave para o negócio. O apoio aos stakeholders (partes interessadas) é buscado pelo atendimento aos desafios da TI dentro das organizações, como o alinhamento dos serviços com as necessidades atuais e futuras da organização, a complexidade dos cenários e a dependência da TI para o negócio. Tudo isso, correlacionado com investimentos corretos, redução de custos e riscos, transformou a TI em um grande campo para sustentar as organizações. A TI é um parceiro estratégico, sendo assim, necessita de ferramentas que auxiliem na utilização e no gerenciamento dessa área nas organizações, para que o nível de serviço seja adequado às necessidades organizacionais. Nesse contexto, surgem os frameworks (conjunto de regras = etapas padronizadas para a resolução de um ou vários problemas), que têm a função de auxiliar a gestão no gerenciamento dos serviços de TI dentro da empresa. Neste capítulo, você conhecerá o ITIL, seus princípios, estrutura, im- plementação e capacidade de processos, aliados ao gerenciamento de TI. O gerenciamento de TI Com o advento do aumento da importância da área de TI nas organizações, surge também a necessidade de gestão dessa área. Concordando com o Nelson (ANTÓNIO, 2006) sobre a importância do gerenciar, destaco o conceito de Peter Drucker (2008), que, em seus estudos, faz alusão ao fato de gerenciar e administrar pessoas e processos pode levar a empresa a ter melhores resultados, sem gerenciamento não há como alcançar os objetivos empresariais. A área de TI cada vez mais está dentro das orga- nizações e, com isso, torna a necessidade de gerenciamento desse ativo um importante fator de sucesso empresarial (Figura 1). Figura 1. Gerenciamento de serviço de TI (GSTI). Fonte: Portal GSTI (c2018). O gerenciamento de serviços de TI, também conhecido por GSTI, ganhou notoriedade, pois vem auxiliando as organizações nos desafios dessa nova fase de evolução. ITIL – Information Technology Infrastructure Library214 Além do importante alinhamento da TI com as necessidades atuais e futuras da empresa, o gerenciamento deve adequar os investimentos ao nível de serviço requerido pela organização no atendimento às necessidades dos usuários ou clientes. Dessa forma, gera valor à organização justificando o retorno ao investimento. Também cabe ressaltar que o gerenciamento auxilia a empresa a ter conformi- dade com as leis e os regulamentos aos quais está submetida, de maneira a agir com transparência na governança em TI e corporativa, buscando manter e promover a segurança das informações e consolidando o conhecimento organizacional. A otimização dos processos e das melhores práticas servirá às organizações quanto ao alcance dos objetivos. Sozinhos, os colaboradores não têm mais condições de processar essa quantidade de informações necessárias ao dia a dia empresarial. Desse modo, a TI pode e deve utilizar os frameworks para auxílio no atendimento às suas necessidades. Um bom exemplo de gerenciamento é a segurança. Segundo Renato Leite (2018), “[...] instituições financeiras terão de se adequar a uma série de novidades no Brasil”. Isso porque o Banco Central anunciou consulta pública sobre políticas de segurança da informação para o setor. O escopo abrange também os requisitos para contratação de serviços de computação em nuvem. As principais exigências levarão em conta o modelo de negócio de cada instituição e seu perfil de risco. Também serão conside- radas acomplexidade de seus produtos/serviços e a sensibilidade dos dados com os quais lida. Segundo a proposta, a política implementada deverá prever, no mínimo, o seguinte: os controles e as tecnologias adotadas pela instituição para evitar incidentes de segurança da informação; os controles voltados à rastreabilidade das informações, sobretudo as de natureza sensível, durante todo o seu ciclo de vida; medidas para analisar a causa e o impacto de eventuais incidentes, além de planos para garantir a continuidade dos negócios. Fonte: Leite (2018). ITIL versão 3 O ITIL – “Information Technology Infrastructure Library”, ou ITIL (biblioteca composta das boas práticas para gerenciamento de serviços de TI) é atualmente utilizado para dar suporte e entrega de serviços de TI. 215ITIL – Information Technology Infrastructure Library Foi desenvolvido, inicialmente, pela CCTA (Central Computing and Tele- communications Agency) e está sob o domínio do OGC (Office of Government Commerce), órgão do Reino Unido responsável por ações comerciais. A biblioteca ganha espaço pela grande necessidade de gerenciamento dos serviços de TI nas organizações, pois oferece uma estrutura de processos para manter uma infraestrutura de TI. Esses processos podem ser o desenvolvimento de serviços, gerenciamento de infraestrutura ou fornecimento de serviços. Todos podem e devem buscar melhores práticas, afinal, as boas práticas são fator-chave para um bom ge- renciamento e governança em TI. Figura 2. Certificação ITIL. Fonte: Management Mania (c2011-2016). As boas práticas do ITIL têm como objetivos: � servir de fonte para melhorar os processos de TI nas organizações; � basear as metas para aprimorar os processos de TI, verificando essas boas práticas em outras empresas; � fundamentar instruções sobre processos e práticas; � respaldar decisões sobre a adoção de processos e práticas. Assim, a organização ganha uma melhor adequação às boas práticas padro- nizando os processos para ganhar eficiência, eficácia e efetividade na entrega adequada de soluções à organização. Estruturação da biblioteca ITIL V3 O ITL V3 (CESTARI FILHO, 2011) auxiliará as organizações a cumprir o atendimento do serviço de TI, ou seja, a organização entregará valor aos seus ITIL – Information Technology Infrastructure Library216 clientes, com resultados positivos constantes no planejamento estratégico. Isso com a utilização do gerenciamento desses serviços buscando a melhoria contínua, que é alcançada pelo uso do conjunto de capacidades organizacionais (processos e métodos de trabalho, funções, papéis e atividades) com o objetivo unificado dentro da organização. Possui uma estrutura única composta de um eixo (núcleo) de condução de atividades “estratégia de serviços” que norteiam os demais: desenho de serviço; transição de serviço e operação de serviço. Por fora, está a “melhoria contínua de serviços” (Figura 3). Figura 3. Estruturação da biblioteca ITIL. Fonte: Dorow (2010). A biblioteca, hoje, conta com cinco livros que fazem parte do chamado ciclo de vida do serviço, da estratégia no centro à melhoria contínua, que é a parte mais afastada do núcleo (ITIL TRAINING ACADEMY, c2017). Como 217ITIL – Information Technology Infrastructure Library todo ciclo, há o nascimento, o período de maturação e a morte ou parada de atividade. A proposta é, então, gerenciar todas as fases e não só na maturação do serviço. Com isso, as organizações podem agregar valor desde a criação do serviço até as fases posteriores (Quadro 1). Fonte: Adaptado de ITIL Training Academy (c2017). Livro Conteúdo Estratégia de Serviços Identifica os requisitos e as necessidades do negócio a serem contemplados pelos serviços de TI. Desenho de Serviços De acordo com a necessidade, são projetadas as soluções de TI para o atendimento das necessidades. Transição de Serviços Trata da implantação do serviço propriamente dito. Operação de Serviços Analisa a manutenção no nível de serviço estabelecido para a organização alcançar seus objetivos. Melhoria Contínua de Serviços Desenvolve a possibilidade de melhoria contínua. Quadro 1. Ciclo da vida dos serviços. Livro 1 – Estratégia de Serviços Tem como objetivo o desenvolvimento de estratégias e modelos organiza- cionais baseados nos serviços de TI, contendo a descrição dos serviços que serão ofertados, como esses serviços criarão valor para os clientes, como eles irão perceber esse valor e como serão desenvolvidos os planos de negócios de modo a obter os recursos necessários aos serviços otimizando os recursos e mensurando o desempenho de todo o serviço. Nele, são encontrados os conceitos de competitividade, riscos, fatores críticos de sucesso, contabilidade orientada a serviços e valor do serviço, que é a combinação da utilidade com a garantia de que devem crescer proporcio- nalmente (Figura 4). ITIL – Information Technology Infrastructure Library218 Figura 4. Resultado da estratégia de serviços. Fonte: Adaptada de ITIL Training Academy (c2017). Conforme a Figura 4, os serviços são resultado da sua utilidade e garantia adequados ao propósito e ao uso, com objetivo de criar valor à organização. Os serviços podem ter três tipos de provedores, um servindo a uma unidade de negócio apenas, outro atendendo a várias unidades de negócio, e um terceiro que responda a várias organizações. A escolha dependerá dos resultados esperados para uma melhor adequação, afinal, a TI deve figurar-se como um ativo, ou seja, deve ser utilizada para prover serviços confiáveis. Para o desenvolvimento do serviço, esses ativos se dividem em recursos (capital financeiro, infraestrutura, aplicações, informação e pessoas) e habi- lidades (gerenciamento, organização, processos, conhecimento e pessoas). Os processos, no Livro 1, são encontrados em quatro mnemônicos conforme o Quadro 2 a seguir. 219ITIL – Information Technology Infrastructure Library Fonte: Adaptado de ITIL Training Academy (c2017). “Est” geração da estratégia Define o mercado a ser atendido e os recursos necessários para o atendimento das necessidades desse mercado. “Fin” gestão financeira Compreende as atividades de orçamento, contabilização e cobrança. “Port” gerência de portfólio Descreve os serviços que geram valor ao negócio. Aqui são definidos, analisados, aprovados e controlados os processos em atendimento à estratégia do serviço. “Dem” gestão de demandas Estuda a demanda para a correta aplicação dos serviços. Quadro 2. Processos detalhados do Livro 1. Livro 2 – Desenho de Serviços Tem como objetivo o desenho e a evolução de serviços para atender aos re- quisitos atuais e futuros da organização. Traduz o processo final do livro Estratégia de Serviços chamado SLP (Service Level Package), o qual define o valor dos serviços em termos de utilidade e garantia. Nesse livro, o SLP é visto em um conjunto de especificações: produz e mantém planos, processos, políticas, padrões e arquiteturas para criação dos serviços; desenha serviços que forneçam resultados adequados ao negócio; concebe processos para suportar o ciclo de vida dos serviços; desenvolve habilidades e capacidades de TI; projetam recursos seguros e resilientes de infraestrutura, ambiente, aplicações e dados; e cria métodos de mensuração e métricas. Nele, são encontrados os papéis de pessoas, produtos, processos e parceiros, tudo para realizar as atividades de desenvolvimento, produção, gerenciamento e alinhamento dos serviços com políticas e estratégias. Na Figura 5 e no Quadro 3, você verá os processos desse livro. ITIL – Information Technology Infrastructure Library220 Figura 5. Esquema do livro 2. Fonte: Adaptada de ITIL Training Academy (c2017). Fonte: Adaptado de ITIL Training Academy (c2017). “Cat” gerenciamento do catálogo de serviços Atua como fonte centralizada de informações sobre todos os serviços acordados e assegura que estejam disponíveis aos usuários autorizados a trabalhar com eles. “Niv” gerenciamentode nível de serviço Garante que os serviços tenham o desempenho esperado pela organização. “Disp” gerenciamento da disponibilidade Assegura que os serviços sejam entregues de acordo com o projetado. “Cap” gerenciamento da capacidade Mantém os níveis de entrega de serviços a custos acessíveis, assegurando que a capacidade da infraestrutura de TI fique alinhada às necessidades do negócio. “Cont” gerenciamento da continuidade de serviço Tem como objetivo manter continuamente a capacidade de recuperação dos serviços de TI para o atendimento a necessidades, requisitos e prazos do negócio. “SI” gestão de segurança da informação Alinha a segurança de TI ao negócio e às boas práticas de governança em TI e corporativa. “For” gerenciamento de fornecedor Gerencia os fornecedores e serviços ofertados à organização de acordo com as metas de TI. Quadro 3. Processos detalhados do Livro 2. 221ITIL – Information Technology Infrastructure Library Livro 3 – Transição de Serviços Tem como objetivo o planejamento e gerenciamento dos recursos para a entrega dos objetivos empresariais, assegurando o menor impacto possível nos servi- ços e departamentos da empresa. Além disso, gera uma maior satisfação dos clientes internos e externos com os novos projetos alinhados a transparência da informação, propostas de mudanças e projetos compreensivos e de fácil condução ajustados aos planos de transição de serviço. Nele, são encontrados os sistemas de gerenciamento de configuração, que são utilizados para gerenciar os serviços de TI no que tange ao sistema de suporte, deixando mais robusto o nível de atendimento. Esse sistema tem quatro camadas (camada de apresentação, camada de processamento de conhecimento, camada de integração de informação e camada de dados). A seguir no Quadro 4, veremos os processos desse livro: Fonte: Adaptado de ITIL Training Academy (c2017). “Mu” gerenciamento de mudança Assegura que as mudanças sejam feitas de forma controlada e sejam avaliadas, priorizadas, planejadas, testadas, implantadas e documentadas. “Conf” gerenciamento da configuração e de ativo de serviço Identifica todos os itens de configuração necessários para que a TI entregue os serviços. “Conh” gerenciamento do conhecimento Garante que as pessoas certas tenham o conhecimento adequado para entregar e suportar os serviços requeridos. “Sup” planejamento e suporte da transição Aprimora as habilidades e a eficiência do provedor de serviços. “Lib” gerenciamento de liberação e implantação Trata da liberação do serviço no ambiente de produção para sua implantação de fato. “Val” validação de serviço e testes Cuida das evidências de que o serviço novo ou alterado suportará os requisitos planejados para o negócio. “Aval” avaliação Assegura que o serviço continue sendo relevante ao atingimento das metas propostas. Quadro 4. Processos detalhados do Livro 3. ITIL – Information Technology Infrastructure Library222 Livro 4 – Operação de Serviços Tem como objetivo a entrega, aos clientes e usuários, dos níveis de serviço planejados e desejados pela direção da empresa, cuidando do gerenciamento da aplicação, tecnologia e infraestrutura que suportam a entrega da TI para a governança. Aqui, alguns cuidados devem ser estudados, como os objetivos que podem ser conflitantes (visão interna versus visão externa, estabilidade versus tempo de atendimento, qualidade versus custos e atividades proativas versus reativas), para que a organização tenha evolução nos níveis de atendimento sem que algum desses objetivos fique distante do planejado pela empresa. Nele, são encontrados os conceitos de requisição de serviço, evento, alerta, incidente, problema, solução de contorno (workaround), erro conhecido (known error), base de erros conhecidos, impacto, urgência e prioridade e importância da comunicação. Tudo isso para a prevenção dos problemas que podem ocorrer durante a entrega do serviço à organização. A seguir, veremos os processos desse livro (Quadro 5). Fonte: Adaptado de ITIL Training Academy (c2017). “In” gerenciamento de incidentes Restaura o serviço ao normal o mais rápido possível em caso de incidentes. “Ev” gerenciamento de eventos Refere-se a qualquer ocorrência identificável que seja significativa para a gestão de TI que possa vir a alterar o nível de atendimento do negócio. “Cump” cumprimento de requisições Permite ao usuário requerer e receber serviços, fornecendo-os e entregando-os, provendo informações sobre eles com um suporte adequado. “Ace” gerenciamento de acesso Providencia acesso necessário aos serviços ou grupo de serviços para os usuários autorizados. “ Prob” gerenciamento de problemas Previne problemas e incidentes resultantes de problemas, bem como demais incidentes que possam ocorrer no atendimento das necessidades do serviço ao negócio. Quadro 5. Processos detalhados do Livro 4. 223ITIL – Information Technology Infrastructure Library Nesse livro, também surgem as principais funções de operação de contenção de incidentes como a central de serviços (Service Desk), o gerenciamento técnico, e o gerenciamento de aplicações e operações de TI. Livro 5 – Melhoria Contínua de Serviços Tem como objetivo oferecer um guia prático de avaliação e melhoria da qua- lidade de serviço, assim como as boas práticas de melhoria geral do ciclo de gerenciamento do serviço de TI para assegurar os objetivos da governança de TI e a governança corporativa, não só para o serviço atual da empresa, mas para as necessidades futuras da organização. Assim, os serviços poderão ser aperfei- çoados, com investimentos corretos a custos adequados, e serviços mensurados por indicadores de controle, ou seja, a melhoria contínua propriamente dita. Nesse livro, há o fechamento do ciclo de controle, pois ele trata do acompa- nhamento pelas métricas, analisando os resultados obtidos com os desejados e tomando as devidas ações de correção ou melhoria, o que conhecemos na administração como ciclo PDCA. O ITIL recomenda três tipos de métrica, a de serviço, a de processo e a de tecnologia, para serem utilizados continuamente na verificação de resultados dos processos, a fim de propor melhorias e aperfeiçoar as atividades que aumentem a qualidade, a eficiência, a eficácia e a efetividade dos serviços, com o intuito de atender às necessidades dos clientes. A seguir, veremos os processos desse livro (Quadro 6). Fonte: Adaptado de ITIL Training Academy (c2017). “7p” melhoria em sete passos Baseado no ciclo PDCA, tem como objetivo propor as melhorias seguindo os passos (definir o que deve ser medido, definir o que se pode medir, coletar dados, processar dados, analisar dados, apresentar e usar a informação, implantar ação corretiva). “Mens” mensuração de serviços Tem como objetivo validar decisões, direcionar atividades para o alcance das metas e fornecer evidências que justifiquem ações e, eventualmente, tomar ações corretivas. “Rel” elaboração de relatórios de serviços Aqui, são gerados e fornecidos relatórios sobre os resultados alcançados e o desenvolvimento nos níveis de serviço. Quadro 6. Processos detalhados do Livro 5. ITIL – Information Technology Infrastructure Library224 A biblioteca ITIL figura-se, por intermédio de seus livros e profissionais habilitados, como um instrumento de grande importância para o gerencia- mento de TI. Não é o único e deve ser utilizado com os demais frameworks disponíveis para o atingimento das melhores práticas. Lembre-se de que as ferramentas devem ser empregadas corretamente para que os objetivos possam ser atingidos, permitindo às organizações gerar valor percebido pelos clientes e obter, assim, retorno positivo ao capital investido. O Ciclo PDCA – Plan, Do, Check, Action –, ou SDCA (planejar, fazer, verificar e agir), é um método que tem a função de garantir que a empresa organize seus processos, não importando a sua natureza. Esse ciclo foi criado por Walter A. Shewart, na décadade 1920, mas se tornou conhecido quando William Edward Deming, um dos gurus da gestão de qualidade, espalhou o conceito pelo mundo. Por esse motivo, o ciclo PDCA ficou conhecido a partir da década de 1950 como “Ciclo Deming”. Conforme essa teoria, cada processo da empresa passa por quatro fases. Na fase Planejar (Plan) são definidos os objetivos de cada processo até chegar ao produto/serviço finais requeridos pelo cliente, levando em consideração a política da empresa. Baseado nessa política, o planejamento deve ser composto pelos seguintes passos: identificação do problema, estabelecimento de metas, análise do fenômeno, análise do processo, e plano de ação. A fase Fazer (Do) é o momento em que o plano será executado, assim, os indivíduos que participarem da implantação do ciclo PDCA deverão realizar treinamentos de acordo com o método. Cada processo é realizado conforme aquilo que foi definido na primeira fase. Desse modo, são coletados dados para uma análise posterior. Na fase Verificar (Check), com a implantação, os processos são analisados por meio de ferramentas próprias, a fim de verificar se cada processo cumpre aquilo que foi proposto no planejamento. É nessa fase que poderão ser encontrados erros ou falhas no processo. De acordo com o resultado da etapa “Verificar”, na fase Agir (Action) serão observadas as falhas nos processos e será analisado se os objetivos foram atingidos. Em caso negativo, os processos devem ser melhorados e as etapas devem se reiniciar. Fonte: Gestão de Qualidade (c2018). 225ITIL – Information Technology Infrastructure Library ANTÓNIO, N. S. Estratégia organizacional: do posicionamento ao movimento. 2. ed. Lisboa: Sílabo, 2006. CESTARI FILHO, F. ITIL v3 fundamentos. Rio de Janeiro: RNP/ESR, 2011. Disponível em: <https://pt.scribd.com/doc/50809607/ITIL-v3-Fundamentos>. Acesso em: 16 fev. 2018. DOROW, E. Conhecendo a versão 3 da ITIL. [S.l.]: Profissionais TI, 2010. Disponível em: <https://www.profissionaisti.com.br/2010/05/conhecendo-a-versao-3-da-itil/>. Acesso em: 16 fev. 2018. DUCKER, P. F. Management Cases: revised edition. Nova York: HarperCollins, 2008. GESTÃO DE QUALIDADE. PDCA. [S.l.]: Kerdna, c2018. Disponível em: <http://gestao- de-qualidade.info/ferramentas-da-qualidade/pdca.html>. Acesso em: 03 fev. 2018. ITIL TRAINING ACADEMY. ITIL® Training: leading IT service management training provider and ITIL® bookshop. London, c2017. Disponível em: <https://www.itil.org. uk>. Acesso em: 02 fev. 2018. LEITE, R. Segurança da informação: os novos requisitos para bancos. [S.l.]: IT Manage- ment, 2018. Disponível em: <http://www.itmanagement.com.br/2018/seguranca- da-informacao-nos-bancos/>. Acesso em: 03 fev. 2018. MANAGEMENT MANIA. Logo. Cambridge, c2011-2016. Disponível em: <https://ma- nagementmania.com/uploads/article_image/image/5425/itil-logo.JPG>. Acesso em: 03 fev. 2018. PORTAL GSTI. Gerenciamento de serviço de TI (GSTI). [S.l.], c2018. Disponível em: <https:// www.portalgsti.com.br/media/uploads/fernandopalma/gerenciamento-de-servicos- de-ti.png>. Acesso em: 03 fev. 2018. PORTAL GSTI. Valor. [S.l.], 2016. Disponível em: <https://img.portalgsti.com. br/3LXaz6wsSkTK0sdNKGvpPI_QKjg=/700x260/https://www.portalgsti.com.br/media/ uploads/article/25/2016/10/09/valor.png>. Acesso em: 03 fev. 2018. Leituras recomendadas ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. Conheça a ABNT. Rio de Janeiro: ABNT, c2014. Disponível em: <http://www.abnt.org.br/abnt/conheca-a-abnt>. Acesso em: 29 jan. 2018. FREITAS, M. A. S. Fundamentos do gerenciamento de serviços de TI. 2. ed. Rio de Janeiro: Brasport, 2013. INFNET TRAINING. Certificação ITIL® Foundation. [S.l.], c2018. Disponível em: <https:// www.infnet.edu.br/training/cursos/itilcobit/certificacao/itilr-foundation>. Acesso em: 04 fev. 2018. ITIL – Information Technology Infrastructure Library226 INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO/IEC 38500:2015. Geneva: ISO, 2015. Disponível em: <https://www.iso.org/standard/62816.html>. Acesso em: 30 jan. 2018. ITIL TRAINING ACADEMY. Benefits of ITIL. London, c2017. Disponível em: <https://www. itil.org.uk/itil-benefits>. Acesso em: 04 fev. 2018. ITIL TRAINING ACADEMY. ITIL books. London, c2017. Disponível em: <https://www. itil.org.uk/itil-books>. Acesso em: 03 fev. 2018. ITIL TRAINING ACADEMY. What is ITIL? London, c2017. Disponível em: <https://www. itil.org.uk/what-is-itil>. Acesso em: 03 fev. 2018. TRANSPARENCY International. Berlin, c2017. Disponível em: <https://www.transpa- rency.org/>. Acesso em: 30 jan. 2018. 227ITIL – Information Technology Infrastructure Library GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO Glauber Rogério Barbieri Gonçalves COBIT – Control Objectives for Information and related Technology Objetivos de aprendizagem Ao final deste texto, você deve apresentar os seguintes aprendizados: � Descrever o framework COBIT. � Reconhecer as principais vantagens do COBIT. � Compreender a relevância do COBIT para a governança em TI nas organizações. Introdução A transparência deixou de ser algo que tangencia as organizações para ser necessária à manutenção da empresa no mercado, O relacionamento da empresa com seus públicos exige cada vez mais atitudes transparentes, e os gestores devem incorporar os conceitos da governança corporativa para mapear suas ações e decisões. O atendimento à governança corporativa garantirá a busca por melhores resultados, o que inclui uma maior valorização da empresa, agregando valor ao produto e à marca. Para que a governança seja alcançada, as empresas também necessitam da governança em TI, visto que a quantidade de informações a serem processadas cresce em progressão geométrica. A TI cada vez mais figura-se como suporte obrigatório para que a organização alcance seus objetivos e metas. Para que a governança em TI seja evidenciada e aplicada, necessita de ferramentas para sustentar a grande carga de trabalho à qual estará submetida. Entre essas ferramen- tas surgem os frameworks (conjunto de regras = etapas padronizadas para a resolução de um ou vários problemas), que vêm para auxiliar as organizações na criação de valor para TI. Neste capítulo, você conhecerá o COBIT, seus princípios, estrutura, implementação e capacidade de processos, aliados à governança em TI. A governança em TI Para introduzir o conceito de framework, cabe ressaltar a importância da governança em TI para as organizações. Não se trata do meio, mas do fim no que tange ao alcance dos objetivos e metas, devido à grande complexidade do processamento de informações e grau de transparência exigido pelo mercado das empresas. Mesmo empresas de pequeno porte, se não estiverem bem estruturadas e planejadas, tendem a não permanecer no mercado. Hoje, a velocidade de adaptação tem que ser muito grande, pois há uma exigência para tal, estamos vivendo a era do nanossegundo. E a governança em TI deve ficar em consonância com a governança corporativa para melhorar as práticas empresariais focadas no melhor relacionamento da empresa com os seus públicos. Se os recursos fossem ilimitados, possivelmente a governança em TI não fosse hoje como conhecemos, mas essa premissa não é verdadeira, os recursos são limitados e devem cumprir com o planejado para serem realmente apro- veitados ao máximo para maximizar os resultados esperados. Nesse contexto, é a governança que dará o suporte necessário à empresa para o cumprimento do planejamento estratégico definido pela alta direção (Figura 1). A norma técnica que estabelece um modelo para a governança corporativa em TI é a norma ISO/IEC 38500 (INTERNATIONAL ORGANIZATION FOR STANDARDIZATION, 2015), disponível em: https://goo.gl/RioYK1 COBIT – Control Objectives for Information and related Technology196 Figura 1. Tarefas organizacionais existentes em governança em TI. Fonte: IT Governance Network (c2008-2018). A norma pede que a governança em TI, na organização, seja composta de três tarefas (INTERNATIONAL ORGANIZATIONFOR STANDARDIZA- TION, 2015). A primeira é mensurar o uso atual e futuro dos componentes da TI, a segunda é planejar a implementação de projetos de TI para que contemple os objetivos traçados pela organização, e a terceira é monitorar se esses objetivos e metas estão sendo cumpridos de acordo com o investimento feito na área. Cabe ressaltar, caro leitor, os três itens a serem buscados pelos gestores de TI: � Avaliar: planejar corretamente as necessidades atuais da empresa e também as projeções de crescimento para que os investimentos cum- pram com seu papel, que é a manutenção do nível de serviço desejado pela organização. � Dirigir: após o planejamento, os gestores responsáveis pela preparação e implementação dos planos e políticas devem fazer cumprir o que foi alo- cado de recursos para o correto direcionamento proposto pela alta direção. 197COBIT – Control Objectives for Information and related Technology � Monitorar: devem acompanhar todo o projeto com indicadores de de- sempenho, para, assim, tomar ações de correção ou melhoria para que a TI fique em conformidade com as necessidades da organização. No Brasil, seguem informações sobre o ente máximo das normas técnicas: A ABNT é o Foro Nacional de Normalização por reconhecimento da sociedade brasileira desde a sua fundação, em 28 de setembro de 1940, e confirmado pelo governo federal por meio de diversos instrumentos legais. Entidade privada e sem fins lucrativos, a ABNT é membro fundador da International Organization for Standardization (Organização Internacional de Normalização – ISO), da Comisión Panamericana de Normas Técnicas (Comissão Pan-Americana de Normas Técnicas – Copant) e da Asociación Mercosur de Normalización (Associação Mercosul de Normalização – AMN). Desde a sua fundação, é também membro da International Electrotechnical Commission (Comissão Eletrotécnica Internacional – IEC). A ABNT é responsável pela produção das Normas Brasileiras (ABNT NBR), elaboradas por seus Comitês Brasileiros (ABNT/CB), Organismos de Normalização Setorial (ABNT/ ONS) e Comissões de Estudo Especiais (ABNT/CEE). Fonte: Associação Brasileira de Normas Técnicas (c2014). COBIT 5 O Control Objectives for Information and Related Technology, ou sim- plesmente COBIT, é um framework focado na governança em TI nas or- ganizações. É desenvolvido pela Information Systems Audit and Control Association (ISACA). Acesse o link ou o código QR a seguir para saber mais sobre o COBIT. https://goo.gl/tUKFE8 COBIT – Control Objectives for Information and related Technology198 A ISACA é um organismo de classe mundial composto de várias empresas de TI que efetua certificações de segurança, e auditoria de governança e risco internacionalmente reconhecido. O COBIT realiza a integração de outros frameworks publicados pelo insti- tuto, caracterizando-se por ser um conjunto de boas práticas e recomendações de governança em TI. Hoje em sua quinta versão, conta com uma arquitetura formada por quatro domínios que auxiliam as organizações a criar valor para as soluções de TI, mantendo a obtenção de resultados pelo investimento destinado à TI nas empresas e otimizando a utilização dos recursos e os níveis de governança planejados (Figura 2). Foi concebido conforme as exigências do COSO – Committe of Sponsoring Organisations of the Treadway Commission’s Internal Control – Integrated Framework, padrão de controles internos adotado por organizações de todo o mundo no que tange a gerenciamento e gestão de riscos. Figura 2. COBIT 5 como framework da ISACA. Fonte: Architecture Center (c2018). Tem como objetivos centrais ofertar um framework abrangente para otimizar o valor gerado pela TI nas organizações e permitir o gerenciamento da TI de forma transparente e integrada, criando sinergia entre a TI e os demais departamentos da empresa, focada no alcance das metas propostas pela direção da empresa. A Figura 3 mostra a evolução do framework, desde o começo, quando foi utilizado para auditoria e controles de TI, até o momento atual, em que se alinha a outros padrões de mercado como ITIL (Information Technology Infrastructure Library), ISO, Body Project 199COBIT – Control Objectives for Information and related Technology Management of Knowledge, PRINCE2 e The Open Group Architecture Framework (TOGAF). Figura 3. Gráfico demonstrando a evolução do framework. Fonte: MindMeister (c2018). Sendo assim, promove para as organizações um melhor gerenciamento das informações, mantendo qualidade e segurança necessárias para gerar conhecimento e os riscos sobre controle. Além disso, otimiza os custos e deixa a empresa adequada com as leis, regulamentos e acordos nos quais está inserida, atendendo, assim, a todos os stakeholders (partes interessadas) da organização. Princípios do COBIT O COBIT é composto por cinco princípios, sobre os quais faremos uma breve explicação (Figura 4). COBIT – Control Objectives for Information and related Technology200 Figura 4. Princípios que compõem o COBIT 5. Fonte: Bissong (2014). Princípio 1: Atender às necessidades dos stakeholders A empresa existe para criar valor aos públicos a ela relacionados (stakehol- ders), como acionistas, fornecedores, clientes, colaboradores e a socie- dade, entre outros. Criar valor significa obter resultados por intermédio de recursos aplicados aos processos, controlando os riscos e atuando com transparência. Nesse princípio, o COBIT definirá quem receberá os benefícios, quem assumirá os riscos e quais serão os recursos necessários (Figura 5). 201COBIT – Control Objectives for Information and related Technology Figura 5. Necessidades relacionadas ao princípio 1. Fonte: Kolb (2014a). As necessidades viram objetivos e metas da estratégia corporativa, e são bem aderentes ao conceito de alinhamento estratégico de TI e do negócio em si. O COBIT aplica o conceito de cascata, a fim de, assim, colocar os objetivos em ordem lógica para viabilizar seu atingimento. Desse modo, são alcançados os objetivos pela sua definição tangível, pois ela alinha o conhecimento do COBIT com o conhecimento do negócio, permanecendo, então, o objetivo comum entre as áreas (Figura 6). COBIT – Control Objectives for Information and related Technology202 Figura 6. Objetivos de áreas segundo o COBIT. Fonte: Redbelt (2017). Princípio 2: Cobrir a organização de ponta a ponta Este segundo princípio diz respeito a deixar toda a organização amparada pela integração da governança corporativa em TI dentro da governança corpora- tiva. Integrando, nela, todos os processos e funções requeridos, a TI deve ser visualizada como um grande ativo da empresa. O nível gerencial assume o papel de responsável por esse alinhamento (Figura 7). 203COBIT – Control Objectives for Information and related Technology Figura 7. Necessidades relacionadas ao princípio 2. Fonte: Kolb (2014b). O objetivo central é a criação de valor, quando os facilitadores de go- vernança (recursos organizacionais usados na governança, como princí- pios, estruturas, processos e práticas) são correlacionados com o escopo da governança (local de aplicação da governança) e os papéis, as atividades e o relacionamento que são a base (mostra quem, como e o que faz cada participante dentro do escopo). Princípio 3: Aplicar um framework único e integrado Esse é o fundamento da integração, ser uma solução única e globalizada, pois incorpora as demais na busca pela governança transparente em TI, ou seja, o COBIT figura-se como integrador para governança e gestão (Figura 8). COBIT – Control Objectives for Information and related Technology204 Figura 8. Mapeamento do CoBIT® 5. Fonte: Swart (c2018). Princípio 4: Possibilitar uma abordagem holística A abordagem holística dentro da organização significa que o projeto deve abranger a empresa como um todo, áreas não podem ser deixadas de lado. O COBIT apoiará a governança e gestão em TI por intermédio de sete viabiliza- dores (fatores que individual e coletivamenteinfluenciarão o funcionamento da governança) (Ver Quadro 1 e Figura 9). Viabilizadores Explanação Princípios, políticas e frameworks São os itens que traduzem o funcionamento desejado à organização. Processos São os processos descritos de uma forma prática, utilizados para atingir as metas e os objetivos propostos. Estruturas organizacionais Representam como a organização está organizada em níveis de decisão e execução. Quadro 1. Fatores que influenciam o funcionamento da governança. (Continua) 205COBIT – Control Objectives for Information and related Technology Fonte: Adaptado de ISACA (c2018b). Viabilizadores Explanação Cultura, ética e comportamento São a base para a formatação da TI. Têm que focar no mesmo objetivo. Informação A informação deve ser única, protegida e ter ampla circulação dentro da empresa para o bom funcionamento da governança. Serviços, infraestrutura e aplicações Incluem todos os recursos de TI que fornecem serviços à organização. Pessoas, habilidades e competências São chave para o sucesso da governança, principalmente na tomada de decisão. Quadro 1. Fatores que influenciam o funcionamento da governança. Figura 9. Necessidades relacionadas ao princípio 4. Fonte: Bakshi (2017). Esses viabilizadores têm, em conjunto, algumas dimensões para que forneçam uma estrutura simples que permita o gerenciamento na busca de resultados bem-sucedidos. As dimensões são os stakeholders (todos os públicos a serem contemplados com a governança e a transparência), os objetivos (que devem ser alcançados e (Continuação) COBIT – Control Objectives for Information and related Technology206 criar valor à organização), o ciclo de vida (pois cada viabilizador é planejado, executado e monitorado para manter a melhoria contínua), e as boas práticas (papel fundamental para a governança, pois são mensuradas também seguindo o fluxo da melhoria contínua). Tudo isso é gerenciado e acompanhado pela gestão, por exemplo, se as necessidades foram atingidas, se os objetivos foram alcançados, se o ciclo ainda está acontecendo, se as boas práticas realmente estão sendo seguidas ou se deve se fazer alguma intervenção para melhorar algum processo. Princípio 5: Separar a governança da gestão Neste momento, devem ser separadas gestão de governança, para que as duas sejam atingidas. A governança, para assegurar que as necessidades sejam aten- didas, ou seja, obrigação da alta direção da empresa para garantir os recursos necessários, tudo bem planejado. A gestão, por sua vez, para certificar que as atividades alinhadas com a direção estratégica estabelecida pela governança sejam planejadas, construídas, executadas e monitoradas. Veremos mais sobre governança e gestão no modelo de referência do COBIT. Modelo de referência de processos do COBIT 5 Aqui, o COBIT subdivide os 37 processos de TI nas duas áreas – governança e gestão –, as quais são divididas em domínios de processos, conforme mostra a Figura 10. Figura 10. Processos de TI nas áreas de governança e gestão. Fonte: Malcher Jr. (2017). 207COBIT – Control Objectives for Information and related Technology A governança tem um domínio de “avaliar, dirigir e monitorar” (EDM) com cinco processos de governança os quais ditam as responsabilidades da alta direção para a utilização dos recursos de TI. Ficam cobertos os processos de uso do framework de governança, o estabe- lecimento das responsabilidades, os fatores de risco e recursos e a transparência exigida por todos os stakeholders. Já o processo de gestão contém quatro domínios de acordo com as áreas de responsabilidade de planejar, criar, executar e monitorar (PBRM), explicados no Quadro 2. Fonte: Adaptado de ISACA (c2018b). Domínio Explanação APO – Alinhar, Planejar e Organizar Diz respeito à forma como a TI contribuirá melhor com o alcance dos objetivos do negócio. Aqui encontram-se os processos referentes à estratégia e às táticas de TI e os gerenciamentos (orçamento, qualidade, riscos e segurança). BAI – Construir, Adquirir e Implementar Refere-se a operacionalizar a estratégia montada em TI, cuida do gerenciamento da disponibilidade e capacidade, das mudanças organizacionais, transição de processos, enfim, auxilia a tornar a TI um ativo da organização. DSS – Entregar, Servir e Suportar Trata da entrega dos serviços para atendimento aos objetivos da organização. O domínio tem poder de gerenciar processos, garantir a segurança da informação, ou seja, controlar os processos do negócio. MEA – Monitorar, Avaliar e Medir Mensura o desempenho dos processos de TI, avaliando a conformidade com os objetivos e com os requisitos externos, garantindo a transparência e a criação de valor. Quadro 2. Quatro domínios de acordo com as áreas de responsabilidade. COBIT – Control Objectives for Information and related Technology208 Veja o quadro-resumo na Figura 11. Figura 11. Resumos dos processos gerenciais de TI. Fonte: Veras (2015). Esses processos são desdobrados em práticas de governança ou práticas de gestão, que perfazem os objetivos do COBIT. Os processos, por sua vez, seguem estruturas e modelos baseados na metodologia de projetos. Enfim, a governança em TI e a governança corporativa podem auxiliar muito as organizações na criação de valor, permitindo que as informações gerem conhecimento por meio de boas práticas e transparência. Sem isso, as organizações encontram barreiras no seu crescimento. 209COBIT – Control Objectives for Information and related Technology A ISACA dispõe de um guia de implementação do COBIT 5, que é baseado em um ciclo de melhoria contínua. O conteúdo é bastante importante para que o COBIT tenha aderência dentro da organização, é documento indispensável para que o framework funcione adequadamente. O guia é apoiado por um conjunto de ferramentas de implementação que contém uma variedade de recursos. Acesse o site da ISACA (c2018a) e obtenha maiores informações, ainda mais se gostar e for exercer papel de gestor ou facilitador dentro de uma organização. Disponível em: https://goo.gl/TA6yP4 ARCHITECTURE CENTER. COBIT5-logo. London, c2018. Disponível em: <https://archi- tecture-center.com/images/course-logo/COBIT5-logo.jpg>. Acesso em: 16 fev. 2018. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. Conheça a ABNT. Rio de Janeiro: ABNT, c2014. Disponível em: <http://www.abnt.org.br/abnt/conheca-a-abnt>. Acesso em: 29 jan. 2018. BAKSHI, S. Portfolio, program and project management using COBIT 5. [S.l.]: ISACA, 2017. Disponível em: <http://www.isaca.org/COBIT/focus/Pages/portfolio-program-and- project-management-using-cobit-5.aspx>. Acesso em: 31 jan. 2018. BISSONG, J. COBIT 5 key principles. [S.l.]: ISACA COBIT5 Fundermentals, 2014. Disponível em: <http://jobenoncobit5.blogspot.com.br/2014/01/cobit-5-key-principles.html>. Acesso em: 16 fev. 2018. INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO/IEC 38500:2015. Geneva: ISO, 2015. Disponível em: <https://www.iso.org/standard/62816.html>. Acesso em: 30 jan. 2018. ISACA. COBIT 5 publications directory. [S.l.], c2018a. Disponível em: <http://www.isaca. org/COBIT/Pages/Product-Family.aspx>. Acesso em: 31 jan. 2018. ISACA. What is COBIT 5? [S.l.], c2018b. Disponível em: <http://www.isaca.org/cobit/ pages/default.aspx>. Acesso em: 31 jan. 2018. COBIT – Control Objectives for Information and related Technology210 IT GOVERNANCE NETWORK. Implementing the ISO 38500 standard for corporate gover- nance. [S.l.], c2008-2018. Disponível em: <http://www.itgovernance.co.za/3/index. php/ict-governance/88-it-governance/161-implementing-the-iso-38500-standard- for-corporate-governance>. Acesso em: 16 fev. 2018. KOLB, J. J. Cobit 5: princípio 1. [S.l.]: Compartilhando, 2014a. Disponível em: <http:// jkolb.com.br/wp-content/uploads/2014/11/Cobit-5-princ%C3%ADpio-1.png>. Acesso em: 16 fev. 2018. KOLB, J. J. Cobit 5: princípio 2. [S.l.]: Compartilhando, 2014b. Disponível em: <http:// jkolb.com.br/wp-content/uploads/2014/11/Cobit-5-princ%C3%ADpio-2.png>.Acesso em: 16 fev. 2018. MALCHER JR., J. Necessidades do negócio. [S.l.], 2017. Disponível em: <http://josemalcher. net/wp-content/uploads/2017/02/image11-1.png>. Acesso em: 31 jan. 2018. MINDMEISTER. Governance of enterprise IT. San Francisco, c2018. Disponível em: <https://www.mindmeister.com/generic_files/get_file/7568876?filetype=image_ file&img=22974780&cb=80b221>. Acesso em: 16 fev. 2018. REDBELT. Visão geral da cascata de objetivos do COBIT 5. São Paulo, 2017. Disponível em: <https://www.redbelt.com.br/blog/wp-content/uploads/2017/11/Bobit-5-2. jpg>. Acesso em: 16 fev. 2018. SWART, D. COBIT 5 mapping. [S.l.]: Pinterest, c2018. Disponível em: <https://br.pinterest. com/pin/480126010250017229/>. Acesso em: 16 fev. 2018. VERAS, M. Governança de TI corporativa. [S.l.], 2015. Disponível em: <http://manoelveras. com.br/blog/wp-content/uploads/2015/04/image004.png>. Acesso em: 31 jan. 2018. Leituras recomendadas ANTÓNIO, N. S. Estratégia organizacional: do posicionamento ao movimento. 2. ed. Lisboa: Sílabo, 2006. BRASIL. Conheça seu direito. Brasília, DF, c2018. Disponível em: <http://www.acesso- ainformacao.gov.br/assuntos/conheca-seu-direito>. Acesso em: 30 jan. 2018. BRASIL. Lei nº 12.527, de 18 de novembro de 2011. Brasília, DF, 2011. Disponível em: <http:// www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm>. Acesso em: 30 jan. 2018. BRASIL. Planalto. Presidência da República. Brasília, DF, c2018. Disponível em: <http:// www2.planalto.gov.br/>. Acesso em: 30 jan. 2018. TRANSPARENCY International. Berlin, c2017. Disponível em: <https://www.transpa- rency.org/>. Acesso em: 30 jan. 2018. 211COBIT – Control Objectives for Information and related Technology Catalogação na publicação: Karin Lorien Menoncin CRB-10/2147 M827g Morais, Izabelly Soares de. Governança de tecnologia da informação [recurso eletrônico] / Izabelly Soares de Morais, Glauber Rogerio Barbieri Gonçalves; [revisão técnica: Jeferson Faleiro Leon]. – Porto Alegre: SAGAH, 2018. ISBN 978-85-9502-343-7 1. Tecnologia da informação. I. Gonçalves, Glauber Rogerio Barbieri. II.Título. CDU 004 Revisão técnica: Jeferson Faleiro Leon Graduado em Desenvolvimento de Sistemas Especialista em Formação Pedagógica O modelo de governança de TI Objetivos de aprendizagem Ao final deste texto, você deve apresentar os seguintes aprendizados: � Descrever o modelo de governança de TI. � Identificar os aspectos fundamentais do modelo de governança de TI. � Reconhecer os principais modelos de governança de TI. Introdução Diante da diversidade que temos ao nosso redor, a qual não se limita a um contexto específico, devemos ter, no mínimo, um modelo de governança de TI para que possamos nos basear em suas métricas e, até mesmo, adaptar o que já está sendo aplicado às regras do negócio e à cultura adotada pela organização empresarial. Neste capítulo, estudaremos o Modelo de Governança de TI. Esse instrumento é responsável por proporcionar uma estrutura que poderá ser adaptada ao contexto da empresa, e seu intuito sempre será o de alinhar as regras do negócio e o uso dos recursos tecnológicos. O contexto do modelo da governança de TI Podemos afirmar que, hoje em dia, por estarmos imersos a tantos recursos tecnológicos, debater sobre a tecnologia da informação já não é mais um assunto limitado a profissionais da área. Claro que, em algumas situações, um profissional saberá lidar melhor com determinadas situações, bem como terá propriedade suficiente para tratar o assunto. Contudo, é interessante deixar claro que, por exemplo, em um contexto corporativo, todos os indivíduos estão ligados a uma tecnologia, nem que seja ao uso do smartphone ou ao acesso ao e-mail. Quando mencionamos o termo “modelo”, pode dar a impressão de que é algo que virá com todas as normas e uma estrutura que deverá ser seguida fielmente para que, nesse caso, a governança de TI seja aplicada em um determinado contexto. Mas não. A ideia de ter um modelo de governança é trazer apenas alguns dos pontos mais relevantes, tendo em vista que cada negócio possui suas particularidades. O desenvolvimento e a implantação de um modelo de governança de TI só acontecem de forma satisfatória quando a empresa passa a adotar todas as medidas cabíveis referentes ao modelo que escolherá. Não adianta a empresa querer aderir a apenas algumas métricas. A governança de TI só ocorre quando todos os pontos são inseridos na cultura e no cotidiano daquela organização. De acordo com Santos e Baruque (2010), a governança é simplesmente uma filosofia, que é pautada em uma séria de medidas efetivas e propõe fornecer um controle do negócio de acordo com os recursos disponíveis. Os autores trazem o seguinte questionamento: quais fatores afetam o plano estratégico de uma organização? Antes de responder essa pergunta, devemos ressaltar que a governança de TI nada mais é que um conjunto de métricas que são direcionadas a promover harmonia entre as regras de negócios da empresa e as habilidades e os recursos tecnológicos presentes na execução de suas atividades. Agora que levantamos um questionamento e ressaltamos o objetivo da governança de TI, podemos dar continuidade ao debate, no qual estamos querendo mostrar que, dentro de um modelo de governança de TI, temos diversos outros fatores, pois a tecnologia da informação está enraizada em toda a empresa. Para Santos e Baruque (2010, p. 63), as entradas para a elaboração de um plano estratégico costumam ser de vários tipos: � demandas externas (como imposições econômicas, pressões por ino- vação, diretrizes da matriz e novos concorrentes); � demandas internas (solicitações de novos serviços, projetos em anda- mento em diversos departamentos, resultados de vendas que viram projetos, etc.); � pressões sociais (acessibilidade, inclusão digital, TI Verde, etc.). Os autores (SANTOS; BARUQUE, 2010) levantam outra indagação: quais outros fatores podem afetar o plano estratégico? Aí vem, novamente, a questão de que, realmente, “a empresa deve estar ciente de sua missão e visão”, já que todas as estratégias de negócio e, como consequência, de governança serão traçadas a partir dessa confirmação da empresa. Então, podemos concluir, incialmente, que não é suficiente a empresa decidir adotar a governança de TI, ela deve estar aberta a mudanças e à transparência dos processos que envolvem as atividades da empresa. O modelo de governança de TI2 Características do modelo de governança de TI Na Figura 1, podemos visualizar as etapas que norteiam o modelo de gover- nança. Lembremos, novamente, que jamais devemos pensar que modelos, métricas, conceitos, entre outros, devem ser limitados ao que comentamos aqui. Tudo é muito relativo, e pode variar bastante, pois estamos falando de algo que será inserido em um contexto, e cada contexto tem suas particularidades. Figura 1. Etapas do modelo de governança. Fonte: Santos e Baruque (2010, p. 64). Continuando nossa breve análise das etapas do modelo de governança, podemos perceber que o passo primordial para iniciar o desenvolvimento de um modelo é o planejamento estratégico da empresa. Posteriormente, quando falamos do alinhamento de compliance, que é uma política que estabelece diversa diretrizes para a empresa em relação à área financeira, por exemplo, o cumprimento dos marcos regulamentários, entre outros, estamos nos refe- rindo, também, aos riscos a que a organização estará susceptível em relação ao negócio. Cabe, dentro desse contexto, analisarmos a constante avaliação que é realizada de maneira independente, mas que busca averiguar as possíveis conformidades da tecnologia da informação e da política de compliance. Esses fatores abrangem também a gestão da mudança organizacional e, consequen- temente, o alinhamento estratégico do negócio, sugerindo sempre que você 3O modelo de governança de TI faça a ligação entre o contexto da TI e as regras de negócio das empresas, que, aqui,na governança de TI, trabalham juntos. Em um plano maior, diante dessas etapas elencadas na Figura 1, podemos ter em mente, também, componentes que fazem parte da gestão e das opera- ções. Conforme Fernandes e Abreu (2012, p. 40), esses componentes são os descritos a seguir. � Estratégia do negócio: consiste nos direcionamentos estratégicos do negócio, objetivos, planos funcionais de outras áreas da organização, mapa estratégico, além do plano estratégico de médio e longo prazos, que devem ser considerados pela TI para o desenvolvimento de sua estratégia de serviços. � Estratégia de TI: fundamenta-se na elaboração do plano de TI, que pode ter uma visão externa, para os projetos, serviços e inovações para o negócio, e uma visão interna, composta dos projetos e inovações que a TI deve implantar para poder atender aos seus clientes e usuários da organização. Esse plano pode conter o mapa estratégico e o BSC (Balanced Scorecard) da TI. � Plano de TI – negócios: trata-se em projetos, serviços e inovações da TI para o negócio, como implantação de novas aplicações, manuten- ções de aplicações, e implantação de sistemas integrados de gestão, de serviços de TI e de projetos de infraestrutura para apoiar os processos de negócio da organização. � Plano de TI – internos: integra projetos e inovações que a TI deve implantar para atender ao Plano de TI – negócios, como a implantação de processos operacionais e gerenciais, desenvolvimento de recursos humanos, capacitação de pessoal, estratégia de sourcing, segurança da informação, arquitetura da informação, arquitetura tecnológica, organização, estabelecimento de objetivos de desempenho, etc. � Mecanismos de decisão: resume-se no estabelecimento e no apoio a comitês requeridos para tomada de decisões sobre a TI (que são os mecanismos de direitos decisórios), nos critérios de priorização e na priorização dos investimentos em TI, visando estabelecer o portfólio de TI. � Portfólio de TI (orçamento e investimentos): contempla o estabe- lecimento do Portfólio de TI aprovado a partir da priorização e os mecanismos de seu gerenciamento. � Clientes/usuários: são os processos de relacionamento da TI com os seus clientes e usuários. O modelo de governança de TI4 � Operações de serviços: respaldam-se no gerenciamento e na execução dos projetos, serviços e inovações de TI para o negócio e para a própria TI. � Fornecedores: consiste no gerenciamento de contratos e serviços for- necidos por terceiros. � Resultados da TI: compõem-se dos indicadores de desempenho e de resultados da TI em função da execução de projetos, serviços e inovações. � Resultados para o negócio: engloba os resultados da TI para o negócio, em termos de apoio ao aumento da rentabilidade, à redução de custo, ao lançamento de novos produtos, à ampliação de participação no mercado, à expansão física do negócio, etc. � Comunicação e reporte de resultados: abrange a comunicação às partes interessadas (geralmente os executivos de negócio e alta ad- ministração) sobre o desempenho da TI, o atendimento dos níveis de serviço acordados e os objetivos do negócio. Perceba o quanto a estratégia envolvida no negócio está associada à Tec- nologia da Informação e, consequentemente, à governança de TI. Veremos, a seguir, particularidades inseridas em alguns dos principais modelos e fra- meworks da governança de TI. Modelos e frameworks de governança de TI Como mencionamos anteriormente, o modelo da governança de TI determina algumas diretrizes, porém, como o modo irá operar dependerá de como ele será utilizado na empresa. Dessa forma, como o próprio nome já diz, o modelo compreenderá uma estrutura que norteará a aplicação da governança de TI no processo de execução das principais atividades da corporação. 5O modelo de governança de TI Figura 2. Os modelos de melhores práticas no contexto da governança de TI. Fonte: Fernandes e Abreu (2012, p. 202). A Figura 2 ilustra os principais componentes da governança de TI, quais sejam: � alinhamento estratégico e compliance - englobam processos como o alinhamento estratégico da Tecnologia da Informação, os princípios de TI, a gestão da demanda que está relacionada ao negócio, as necessidades de aplicações, a infraestrutura de TI, a capacidade de atendimento da TI, a estratégia de sourcing, a política de segurança da informação, as competências, os processos e a organização e até o plano de TI; � decisão, compromisso, priorização e alocação de recursos - abrange processos como mecanismos de decisão, critérios de decisão e até o portfólio de TI; � estrutura, processos, organização e gestão - compreendem processos relacionados aos projetos, serviços, e relacionamento com o cliente e com os fornecedores; � gestão do valor e do desempenho -, como o nome já diz, determina métodos para a gestão do valor da TI e da gestão do desempenho. O modelo de governança de TI6 Agora perceba que a Figura 2 demonstra, também, alguns dos principais modelos de governança de TI, os quais estão atrelados a algum desses compo- nentes da governança. Fernandes e Abreu (2012, p. 202) afirma que, para usar esses modelos, é importante que a organização elabore sua própria arquitetura de processos de TI, priorizando o que é importante para a agregação de valor para o negócio e balanceando com os riscos de TI para o negócio, assim como os riscos para a continuidade, a flexibilidade futura dos processos e o desenvolvimento de novos produtos e serviços. Ao definir a cadeia de valor e sua arquitetura de processos, podemos empregar várias diretrizes e práti- cas de diversos modelos ao mesmo tempo. Como se propaga no mercado, a governança de TI não se restringe somente à implantação desses modelos de melhores práticas. Entretanto, é importante conhecê-los em termos de objetivos, estruturas e aplicabilidade. Em complemento à Figura 2, Fernandes e Abreu (2012, p. 202) descrevem uma pequena síntese dos principais modelos, os quais estão representados pela Figura 3 e são mencionados como “melhores práticas”, uma vez que a governança de TI é vista também como uma filosofia. 7O modelo de governança de TI Figura 3. Principais modelos de melhores práticas. Fonte: Adaptada de Fernandes e Abreu (2012, p. 202). O modelo de governança de TI8 Os modelos trazem todas as métricas detalhadamente. Dessa forma, abor- daremos os principais detalhes de alguns dos modelos elencados pela Figura 2 e pela Figura 3. Devemos lembrar que esses modelos são formados por frameworks, guias e até normas, por isso, são muitas vezes chamados apenas de “boas práticas”. CobiT® – Control Objectives for Information and related Technology – foi criado em meados de 1994 pela ISACF (Information Systems Audit and Control Foundation, ligada à ISACA (ISAC Association), “[...] possui informações sobre os controles que devem ser perseguidos e os indicadores- -chave de desempenho em todas as áreas da TI, mas não possui informações sobre como a organização suprirá as lacunas (gaps) para amadurecer em alguma área” (SANTOS; BARUQUE, 2010, p. 70). Ainda pelas palavras dos autores, costumamos dizer que o conteúdo do CobiT é baseado em controles para a área de TI diretamente relacionados à gestão do negócio. Não é arriscado dizer que a governança de TI é implementada por meio do CobiT®, ou seja, dentro do âmbito da TI são os seus objetivos de controle que guiarão quaisquer outras iniciativas da TI, por exemplo, com relação à utilização ou não da ITIL® v3, do PMBOK® v4, ou de qualquer outra norma, padrão ou conjunto de boas práticas voltados para a TI.” (SANTOS; BARUQUE, 2010, p. 70). Para Fernandes e Abreu (2012, p. 211), o principal objetivo das práticas do CobiT é contribuir para o sucesso da entrega de produtos e serviços de TI a partir da perspectiva das necessidades do negócio, com um foco mais acentuado no controle que na execução. Os autores salientam, ainda, que O CobiT está totalmente alinhado com a estrutura integrada
Compartilhar