Baixe o app para aproveitar ainda mais
Prévia do material em texto
Ao final dessa disciplina você será capaz de: • Compreender a importância da governança de TI • Identificar responsabilidades e objetivos da governança de TI • Identificar os principais controles e técnicas para a governança de TI Ao final desta aula, você será capaz de: 1- Aprender o que é governança corporativa; 2- Conhecer a teoria do agente-principal; 3- Saber por que a governança corporativa está sendo cada vez mais utilizada nas empresas; 4- Conhecer a Lei Sabarnes-Oxley (SOX) e seus impactos na área de TI; 5-Identificar os mecanismos da boa governança corporativa; 6- Relacionar a governança de TI com a governança corporativa. . O guarda-chuva 2 representa os ativos financeiros e sob ele estão o dinheiro, investimentos, fluxo de caixa, contas a receber, contas a pagar, etc. O guarda-chuva 3 representa os ativos físicos e sob ele estão os prédios, fábricas, equipamentos, manutenção, segurança, etc. O guarda-chuva 4 representa os ativos da propriedade intelectual e sob ele está a propriedade intelectual, incluindo know-how de produtos, serviços e processos devidamente patenteados, registrados ou embutidos nas pessoas e nos sistemas da empresa. O guarda-chuva 5 representa ativos de relacionamento e sob ele estão o relacionamento dentro da empresa, bem como, relacionamentos, marca e reputação junto a clientes, fornecedores, unidades de negócio, órgãos reguladores, concorrentes, revendas autorizadas, etc. O guarda-chuva 6 representa a tecnologia da informação e sob ele estão os dados, informações e conhecimentos sobre clientes, desempenho de processos, sistemas de informação, etc. Nesta aula, você irá: 1. Saber a importância do alinhamento entre estratégia corporativa e TI. 2. Conhecer a técnica do Balanced Scorecard (BSC). 3. Saber o que é Governança de TI. 4. Identificar as responsabilidades da Governança de TI. 5. Relacionar a Governança de TI com modelos e ferramentas utilizadas. Nesta aula, você irá: 1. Aprender as principais decisões a serem tomadas na governança de TI. 2. Conhecer o conjunto de mecanismos de governança de TI que as empresas adotam para implementar seus arranjos de governança de TI. 3. Identificar os principais arquétipos de governança de TI que são utilizados por diferentes tipos de decisão. 4. Conhecer um framework de governança de TI. 5. Conhecer os requisitos necessários para que a implementação da governança de TI seja bem sucedida. 6. Conhecer os componentes necessários para fazer a gestão do ciclo de vida operacional da governança de TI. Estratégia: o desenvolvimento da estratégia do negócio considera as capacidades atuais e futuras de TI. O planejamento estratégico de TI busca atender às necessidades atuais e contínuas da estratégia de negócio da organização. Aquisição: as aquisições de TI são feitas por razões válidas, com base em análise apropriada e contínua, com tomada de decisão clara e transparente, buscando um equilíbrio adequado entre benefícios, oportunidades, custos e riscos, a curto e longo prazo. Comportamento humano: as políticas, práticas e decisões de TI respeitam o comportamento humano, incluindo as necessidades atuais e futuras de todos os envolvidos no processo. Conformidade: a TI cumpre e está em conformidade com toda a legislação e regulamentação obrigatórias. As políticas e práticas são claramente definidas, implementadas e fiscalizadas. Desempenho: a TI é adequada para suportar adequadamente a organização, fornecendo serviços, níveis de serviço e qualidade de serviço, necessários para atender aos requisitos atuais e futuros do negócio. 2.além do executivo patrocinador, existe necessidade do envolvimento dos demais executivos da empresa porque novos processos podem alterar a forma como as demais áreas da empresa são atendidas por TI; 3.prioritariamente deve-se entender em que estágio os processos de TI se encontram na organização. Isto facilita o planejamento da governança de TI e a imediata correção das eventuais vulnerabilidades de alto risco; 4.Utilizar um modelo de governança de TI que permita planejar sua implantação e seu gerenciamento; 5.atacar imediatamente as vulnerabilidades de alto risco para obter resultados de curto prazo; 6.a implantação da governança de TI é um programa realizado através de vários projetos, considerando perspectivas de curto, médio e longo prazo; 7.a implantação da governança de TI tem impacto não só no pessoal da área de TI, como também nos seus usuários, clientes e fornecedores; 8.alocar pessoas com perfis requeridos e adequados para planejamento, implantação e gerenciamento do Programa; 9.considerado um dos elementos mais importantes para o Programa. A alta administração só entenderá os investimentos no Programa se as melhorias puderem ser demonstradas através de números e de agregação de valor ao negócio. Recomenda-se a criação de um painel de indicadores; 10.criar uma estratégia de marketing focada na comunicação interna, para apoiar o Programa durante a sua implementação e fazer com que as realizações sejam entendidas por todos na empresa. O trabalho de implementação do Programa de Governança de TI requer a aplicação de uma série de técnicas baseadas nos modelos concebidos a partir das melhores práticas do mercado. Para iniciar o trabalho é comum as empresas utilizarem o COBIT (Control Objectives for Information and related Technology), como referência global para os processos de TI. Uma vez que os processos foram identificados através do COBIT, é recomendado selecionar modelos específicos com as melhores práticas para cada tipo de processo e adaptá-los à realidade da empresa. Nesta aula, você irá: 1. Saber a importância de ter um gerente bem preparado para a função. 2. Conhecer como funcionam os controles de uma forma geral. 3. Saber por que as informações, o ambiente operacional de TI, comércio eletrônico na Internet e o desenvolvimento de sistemas necessitam ser controlados. 4. Conhecer alguns recursos de proteção de rede e ambiente operacional utilizados pelas empresas. 5. Saber por que as empresas fazem auditoria nos sistemas de informação considerados críticos para o negócio. Independente da escolha entre desenvolver ou comprar pronto, ainda é bastante comum encontrar projetos com orçamentos estourados, prazos vencidos e escopos não cumpridos. As razões disto costumam ser principalmente a falta de planejamento associada à falta de controle. Em função desses acontecimentos, a preocupação com a administração de projetos vem ganhando força nos últimos anos e exigindo gerentes de projetos cada vez melhor preparados. Associações como o Project Management Institute (PMI) vêm se destacando na formação e certificação de gerente de projetos (PMP), contribuindo com mais uma especialização para a área de TI e ajudando a fortalecer os seus controles. Controle de Operações Outro ponto de atenção é a operação dos sistemas. A falta de controle pode gerar prejuízos incalculáveis. Um caso memorável foi o bug do milênio, quando se aproximou o ano 2000 e ninguém sabia como os computadoresiriam se comportar a partir de 01/01/2000. Isto porque na época existiam muitos sistemas antigos que, para economizar espaço (o custo de armazenamento de informação era muito caro), guardavam apenas as duas posições finais do ano. Quando havia necessidade de utilizar as quatro posições, bastava concatenar com 19. Assim, em vez de 1980 gravava-se 80 e o ano de 1999 ficava armazenado como 99. A lógica era bastante simples e toda vez que chegava o final do ano se adicionava 1 ao ano corrente para se obter o ano seguinte. Ou seja, para passar de 98 para 99 bastava adicionar 1 ao ano corrente. Tudo funcionaria corretamente até que chegasse o ano 2000. Isto porque se nada fosse feito nos programas, ao se somar 1 a 99 iria obter 00. E, na sequência da lógica antiga, ao se concatenar com 19 o ano passaria a ser 1900. Ou seja, passaria de 1999 para 1900. Dá para imaginar todos os desdobramentos que poderiam ocorrer por erro de conta se nada fosse feito. Como se comportariam os aviões e as torres de controle? E o que dizer dos sinais de trânsito? Como ficariam os rendimentos financeiros? E as bombas de abastecimento de combustível? Felizmente o mundo se mobilizou e com muito trabalho o bug do milênio não passou de um susto. Hoje existem muitas preocupações de controle sobre o ambiente de tecnologia de informação. Políticas antivírus, monitoramento para evitar a invasão da rede e a segmentação de acesso são apenas alguns exemplos. Além disso, a Lei SOX também acabou ajudando as empresas a controlar melhor os seus processos. Comércio Eletrônico e Controle O comércio eletrônico na Internet endereça naturalmente ao uso de cartões de crédito. Durante uma transação de compra o cliente tem que informar o número do seu cartão e esse número pode ser interceptado e utilizado por pessoas desautorizadas. A utilização de criptografia permitindo que os dados não trafeguem em claro aumenta a proteção do número do cartão e dá maior credibilidade às transações efetuadas na Internet. Segurança O advento da Internet criou um mundo de novas oportunidades de interação. Tanto empresas da era industrial como da era informacional se estabeleceram nesse canal de comunicação, normalmente através de um website, buscando novos negócios. Com a possibilidade desse novo canal as empresas passaram a trocar informações com outras empresas ou com pessoas físicas, muitas vezes confidenciais e de interesse de terceiros. Assim, não tardou aparecerem os programas maliciosos que normalmente se ocupam em monitorar uma rede e interceptar informações para serem utilizadas posteriormente e permitir o domínio dessa rede ou usufruir de dados confidenciais como contas bancárias e cartões de crédito. Isto fez com que fossem desenvolvidas novas técnicas de proteção, aperfeiçoassem o uso da criptografia e surgissem novas empresas especializadas em segurança da informação. Fez também com que as empresas de segurança da informação que já existiam procurassem se especializar neste novo mundo. Hoje, programas antivírus, programas de monitoração de ambiente, roteadores e firewalls são utilizados para proteger perímetros pré-estabelecidos, onde se configuram regras para permitir apenas os acessos autorizados e o controle sobre o uso de programas. Além disso, existe um serviço prestado pelas empresas especializadas que gera um relatório de vulnerabilidades envolvendo a rede, os servidores e as estações de trabalho, permitindo que a empresa analisada possa tratar esses pontos vulneráveis e ficar cada vez mais protegida. Nesta aula, você: • Soube da importância de ter um gerente bem preparado para a função. • Conheceu como funcionam os controles de uma forma geral. • Aprendeu os controles básicos que são exercidos na organização. • Soube por que uma falha de controle pode falir uma empresa. • Soube por que as informações necessitam ser controladas. • Soube por que o desenvolvimento de um sistema precisa ser controlado. • Soube por que o ambiente operacional de TI deve ser controlado. • Soube por que o comércio eletrônico na Internet necessita de cuidado especial. • Conheceu alguns recursos de proteção de rede e ambiente operacional utilizados pelas empresas. • Soube por que as empresas fazem auditoria nos sistemas de informação considerados críticos para o negócio. Na próxima aula faremos uma introdução ao COBIT (Control Objectives for Information and related Technology). Ao final desta aula, você será capaz de: 1. Conhecer o histórico do COBIT. 2. Saber os objetivos do COBIT. 3. Conhecer o framework do COBIT. 4. Conhecer os modelos de maturidade dos processos de TI sob a visão do COBIT. 5. Saber as métricas utilizadas no COBIT. 6. Conhecer a aceitabilidade do COBIT. Framework do COBIT O COBIT é orientado a processos de TI e se dirige prioritariamente aos proprietários desses processos, referindo-se tanto aos processos centrais (exemplos: contratos, operações, marketing e vendas), quanto aos de apoio (exemplos: recursos humanos, administração e tecnologia da informação). Portanto, o COBIT transcende a área de TI abarcando o negócio como um todo. Para atender as necessidades que um modelo de governança de TI exige, o COBIT foi criado com foco nos requisitos de negócios, orientado a processos, baseado em mecanismos de controle e com direcionamento para análise das medições e indicadores de desempenho. Processos são ad hoc e desorganizados; Processos seguem um caminho padrão, mas dependem do conhecimento das pessoas; Processos são documentados e comunicados; Processos são monitorados e medidos; Boas práticas são seguidas e automatizadas. Entrega da informação utilizando os recursos mais produtivos e econômicos; Proteção de informações confidenciais, evitando o acesso desautorizado; Ao final desta aula, você será capaz de: 1. Conhecer a lógica de funcionamento dos processos no COBIT. 2. Aprender os questionamentos gerenciais mais comuns e que são respondidos em cada domínio. 3. Conhecer a quantidade de objetivos de controle que existe por processo em cada domínio. Aula 6: Domínios do COBIT Apesar de as empresas terem como traço comum em suas áreas de TI as responsabilidades de planejar, construir, processar e monitorar, nem todas terão a mesma estrutura de processos ou mesmo aplicarão todos os 34 processos do COBIT. A utilização dos processos depende de cada empresa e devem ser utilizados de acordo com cada necessidade. Cada um dos processos do COBIT é apresentado no mesmo formato, sempre com uma descrição do processo e os principais objetivos e métricas. A tabela mostra os sete processos do domínio AI de forma resumida. Aparece em evidência apenas o processo AI1 com a sua descrição e os seus quatro objetivos de controle, para ajudar a atingir os objetivos de negócio e evitar ou detectar e corrigir os eventos indesejáveis. Toda a dinâmica que foi mostrada no domínio PO também se aplica aos processos do domínio AI, ajudando a responder as questões gerenciais. A tabela mostra os treze processos do domínio DS de forma resumida. Aparece em evidência apenas o processo DS1 com a sua descrição e os seus seis objetivos de controle, para ajudar a atingir os objetivos de negócio e evitar ou detectar e corrigir os eventos indesejáveis. Toda a dinâmica que foi mostrada no domínio PO também se aplica aos processos do domínio DS, ajudando a responder as questões gerenciais.Nesta aula, você irá: 1. Conhecer o histórico e os objetivos do val IT; 2. Aprender a relacionar o COBIT com o val IT; 3. Aprender o conceito de valor; 4. Conhecer a dinâmica de funcionamento do val IT; 5. Conhecer os modelos de maturidade de cada domínio do val IT; 6. Aprender a relacionar domínios, processos, práticas chave e orientações de gestão; 7. Conhecer a utilidade do caso de negócio. Val IT E COBIT: Um Relacionamento Sinérgico Com o apoio de um conjunto de especialistas reconhecidos internacionalmente em governança da informação, segurança, controle e auditoria, o ITGI vem tomando bastante cuidado para que juntos, o Val IT e o COBIT garantam aos tomadores de decisão em negócio e TI uma estrutura global para criação de valor a partir da entrega de serviços de TI de alta qualidade. Desta forma, o Val IT complementa o COBIT e, ao mesmo tempo, é suportado por ele. Compreender a relação entre os dois modelos é fundamental. O Val IT leva a visão de governança para a empresa e ajuda os executivos a se concentrar, conforme a imagem, em duas das quatro questões fundamentais de TI relacionadas com a governança: estamos fazendo as coisas certas? (a questão estratégica) e estamos conseguindo benefícios? (a questão de valor). O COBIT, por outro lado, ajuda os executivos a responder as questões: estamos fazendo de forma certa? (a questão da arquitetura) e Estamos conseguindo fazê-las bem? (a questão da entrega). Conhecendo O Conceito De Valor Segundo o ITGI (2008), o conceito de valor é complexo, específico ao contexto e dinâmico. É o resultado esperado de um investimento de negócio viabilizado por TI que pode ser financeiro, não financeiro ou uma combinação entre ambos. Em muitos casos o valor desafia a medição quantitativa. A natureza de valor é diferente para diferentes tipos de empresas. Embora as empresas estejam evoluindo com a questão do valor de natureza não financeira, os executivos ainda tendem a ver o valor principalmente em termos financeiros, muitas vezes na conta simples de aumentar o lucro a partir do investimento. Para o setor público e empresas sem fins lucrativos, o valor é mais complexo e, muitas vezes, de natureza não financeira. Ele pode incluir resultados de políticas públicas, melhoria na quantidade e na qualidade de serviços prestados e/ou aumento da receita disponível para prestar esses serviços, mas ambos são decorrentes de investimento. Reconhecerão que há diferentes tipos de investimentos, os quais serão avaliados e gerenciados diferentemente; Definirão e monitorarão métricas chave e responderão rapidamente a quaisquer mudanças ou desvios; Envolverão todos os interessados relevantes e atribuirão responsabilidades pelo resultado de forma apropriada para a entrega das capacitações e a realização dos benefícios para o negócio; Serão continuamente monitoradas, avaliadas e melhoradas. Aula 8: CMMI Nesta aula, você irá: 1. Conhecer o histórico do CMMI; 2. Conhecer os objetivos do modelo; 3. Conhecer o conceito de constelação; 4. Conhecer os dois tipos de representação do CMMI; 5. Aprender a diferença entre níveis de capacidade e níveis de maturidade; 6. Conhecer as áreas de processo e os componentes de cada área; 7. Conhecer as quatro categorias das áreas de processo; 8. Saber os benefícios do CMMI. Níveis de capacidade e de maturidade Níveis do CMMI O CMMI propõe a melhoria de processos através de níveis que são utilizados para descrever um caminho evolutivo, recomendado para a organização que deseja utilizar esses processos melhorados para desenvolver e manter seus produtos e serviços. Também existe a possibilidade de obter os níveis através de avaliações realizadas nas empresas. Existem dois caminhos para melhoria. O primeiro funciona melhorando os processos de forma incremental, abrangendo uma ou mais áreas de processo da organização. Já o segundo trabalha na melhoria de um conjunto de processos interralacionados, tratando de forma incremental os sucessivos conjuntos de áreas de processo. Estes dois caminhos de melhoria estão associados às representações que já foram vistas. Para a representação contínua emprega-se a expressão nível de capacidade e para a representação por estágios emprega-se nível de maturidade. Para as duas representações o conceito de nível é o mesmo. Independente de se tratar de nível de capacidade ou nível de maturidade; para alcançar a melhoria desejada a organização deve satisfazer a todas as metas associadas à área de processo ou ao conjunto de áreas de processo. Tanto uma representação quanto outra permite a implementação de melhorias de processo utilizando basicamente a mesma filosofia e com os mesmos componentes do modelo Aula 9: SIX SIGMA Nesta aula, você irá: 1. Conhecer o histórico e objetivos do six sigma; 2. Aprender a lógica de funcionamento do six sigma; 3. Saber quais são as ferramentas e técnicas utilizadas no six sigma; 4. Saber quais são os papéis e responsabilidades envolvidos no six sigma; 5. Saber qual é a colaboração da tecnologia da informação no six sigma; 6. Conhecer a aplicabilidade e alguns benefícios do modelo; Histórico Do Modelo 1980 O Six Sigma, como um padrão de medição, remonta Carl Frederick Gauss (1777-1855), ao introduzir o conceito de curva normal. Já o termo Six Sigma, propriamente dito, foi cunhado pela Motorola na década de 1980. Desde 1928, ano de sua fundação, que a Motorola tem se comprometido com a inovação em comunicação e eletrônica, sempre alcançando êxito e pioneirismo. No ano de 1986, houve um aumento significativo da competição no mercado e isso acabou aflorando a percepção e a atenção para as informações vindas de sua força de vendas, acusando a quantidade de reclamações de uso de garantias pelos clientes. Em outras palavras, a qualidade dos produtos estava ruim. Esse cenário fez com que o CEO da Motorola Bob Galvin estabelecesse um ambicioso programa com a meta de em cinco anos fazer com que os produtos Motorola ficassem com qualidade dez vezes melhor, atingindo assim a satisfação do cliente. Ainda em 1986, o engenheiro de qualidade da Motorola, Bill Smith, deu a esse processo de melhoria de qualidade o nome de Six Sigma. Em 1988, a Motorola ganhou o prêmio Malcolm Baldrige National Quality Award – MBNQA, conhecido prêmio nacional de qualidade norte-americano, baseado nos resultados obtidos em apenas dois anos. Criou-se uma indústria ao redor do Six Sigma. Em 1991, a Motorola introduziu treinamentos para formação de especialistas em Six Sigma, denominados black belts. Em 1992, a metodologia passou a ser adotada por outras indústrias e hoje milhares de empresas utilizam o Six Sigma para otimizar processos e aumentar os lucros. Em 2002, a Motorola voltou a ganhar o MBNQA e isso fez com que o Six Sigma se estabelecesse como uma metodologia orientada para obtenção de resultados orientados para o negócio. O Six Sigma expandiu sua atuação para além dos ambientes de fabricação complexos e se espalhou por todas as indústrias e áreas funcionais. De acordo com Pande, Neuman & Cavanagh (2001), citados por Fernandes & Abreu (2008), Six Sigma é “um sistema abrangente e flexível para alcançar, sustentar e maximizar o sucesso empresarial. É singularmente impulsionado poruma estreita compreensão das necessidades dos clientes, pelo uso disciplinado de fatos, dados e análise estatística e pela atenção diligente à gestão, melhoria e reinvenção dos processos de negócio”. Marash (2000), citado por Tonini et al. (2005), diz que o “Six Sigma é uma metodologia estruturada que incrementa a qualidade por meio do aperfeiçoamento contínuo dos processos de produção de um bem ou serviço, da otimização das operações, da eliminação sistemática dos defeitos, falhas e erros, levando em consideração todos os aspectos importantes do negócio que possam diferenciar a empresa junto aos seus clientes”. Smith & Adams (2000), citados por Tonini et al. (2005), descreve que “alcançar o Six Sigma significa reduzir defeitos, erros e falhas praticamente a zero defeito no desempenho dos processos. Muitas vezes, o objetivo prático não é atingir esta marca, mas instituir uma forma sistemática de reduzir a variabilidade dos processos, assimilando e organizando a informação, melhorar a lucratividade através da melhoria da qualidade ou, ainda, reduzir ou eliminar a incidência de erros, defeitos e falhas em um processo e pode ser aplicada na maioria dos setores da atividade econômica”. Segundo Fernandes & Abreu (2008), o objetivo principal do Six Sigma “é a melhoria do desempenho do negócio através da melhoria do desempenho de processos, tendo como meta um processo que apresente 3,4 defeitos por milhão de oportunidades (DPMO) ou Six Sigma, que equivale a um rendimento de 99,9997% de resultados do processo isentos de defeitos”.
Compartilhar