GOVERNANÇA EM TI TELEAULA

Prévia do material em texto

Ao final dessa disciplina você será capaz de: 
• Compreender a importância da governança de TI 
• Identificar responsabilidades e objetivos da governança de TI 
• Identificar os principais controles e técnicas para a governança de TI 
 
 
Ao final desta aula, você será capaz de: 
1- Aprender o que é governança 
corporativa; 
2- Conhecer a teoria do agente-principal; 
 
3- Saber por que a governança 
corporativa está sendo cada vez mais 
utilizada nas empresas; 
 
4- Conhecer a Lei Sabarnes-Oxley (SOX) e 
seus impactos na área de TI; 
 
5-Identificar os mecanismos da boa 
governança corporativa; 
6- Relacionar a governança de TI com a 
governança corporativa. . 
 
 
 
 
 
 
 
 
 
 
 
 
O guarda-chuva 2 representa os ativos financeiros e sob ele estão o dinheiro, investimentos, fluxo de caixa, contas a 
receber, contas a pagar, etc. 
O guarda-chuva 3 representa os ativos físicos e sob ele estão os prédios, fábricas, equipamentos, manutenção, 
segurança, etc. 
O guarda-chuva 4 representa os ativos da propriedade intelectual e sob ele está a propriedade intelectual, incluindo 
know-how de produtos, serviços e processos devidamente patenteados, registrados ou embutidos nas pessoas e nos 
sistemas da empresa. 
O guarda-chuva 5 representa ativos de relacionamento e sob ele estão o relacionamento dentro da empresa, bem 
como, relacionamentos, marca e reputação junto a clientes, fornecedores, unidades de negócio, órgãos reguladores, 
concorrentes, revendas autorizadas, etc. 
O guarda-chuva 6 representa a tecnologia da informação e sob ele estão os dados, informações e conhecimentos sobre 
clientes, desempenho de processos, sistemas de informação, etc. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Nesta aula, você irá: 
1. Saber a importância do alinhamento 
entre estratégia corporativa e TI.
 
2. Conhecer a técnica do Balanced 
Scorecard (BSC).
 
3. Saber o que é Governança de TI.
 
4. Identificar as responsabilidades da 
Governança de TI.
 
5. Relacionar a Governança de TI com 
modelos e ferramentas utilizadas. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Nesta aula, você irá: 
1. Aprender as principais decisões a serem tomadas 
na governança de TI.
 
2. Conhecer o conjunto de mecanismos de 
governança de TI que as empresas adotam para 
implementar seus arranjos de governança de TI.
 
3. Identificar os principais arquétipos de governança 
de TI que são utilizados por diferentes tipos de 
decisão. 
4. Conhecer um framework de governança de TI.
 
5. Conhecer os requisitos necessários para que a 
implementação da governança de TI seja bem 
sucedida. 
6. Conhecer os componentes necessários para fazer a 
gestão do ciclo de vida operacional da governança de 
TI. 
 
 
 
 
Estratégia: o desenvolvimento da estratégia do negócio considera as capacidades atuais e futuras de TI. O planejamento 
estratégico de TI busca atender às necessidades atuais e contínuas da estratégia de negócio da organização. 
Aquisição: as aquisições de TI são feitas por razões válidas, com base em análise apropriada e contínua, com tomada de 
decisão clara e transparente, buscando um equilíbrio adequado entre benefícios, oportunidades, custos e riscos, a curto 
e longo prazo. 
Comportamento humano: as políticas, práticas e decisões de TI respeitam o comportamento humano, incluindo as 
necessidades atuais e futuras de todos os envolvidos no processo. 
Conformidade: a TI cumpre e está em conformidade com toda a legislação e regulamentação obrigatórias. As políticas e 
práticas são claramente definidas, implementadas e fiscalizadas. 
Desempenho: a TI é adequada para suportar adequadamente a organização, fornecendo serviços, níveis de serviço e 
qualidade de serviço, necessários para atender aos requisitos atuais e futuros do negócio. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
2.além do executivo patrocinador, existe necessidade do envolvimento dos demais executivos da empresa porque 
novos processos podem alterar a forma como as demais áreas da empresa são atendidas por TI; 
3.prioritariamente deve-se entender em que estágio os processos de TI se encontram na organização. Isto facilita o 
planejamento da governança de TI e a imediata correção das eventuais vulnerabilidades de alto risco; 
4.Utilizar um modelo de governança de TI que permita planejar sua implantação e seu gerenciamento; 
5.atacar imediatamente as vulnerabilidades de alto risco para obter resultados de curto prazo; 
6.a implantação da governança de TI é um programa realizado através de vários projetos, considerando perspectivas de 
curto, médio e longo prazo; 
7.a implantação da governança de TI tem impacto não só no pessoal da área de TI, como também nos seus usuários, 
clientes e fornecedores; 
8.alocar pessoas com perfis requeridos e adequados para planejamento, implantação e gerenciamento do Programa; 
9.considerado um dos elementos mais importantes para o Programa. A alta administração só entenderá os 
investimentos no Programa se as melhorias puderem ser demonstradas através de números e de agregação de valor ao 
negócio. Recomenda-se a criação de um painel de indicadores; 
10.criar uma estratégia de marketing focada na comunicação interna, para apoiar o Programa durante a sua 
implementação e fazer com que as realizações sejam entendidas por todos na empresa. 
 
O trabalho de implementação do Programa de Governança de TI requer a aplicação de uma série de técnicas baseadas 
nos modelos concebidos a partir das melhores práticas do mercado. Para iniciar o trabalho é comum as empresas 
utilizarem o COBIT (Control Objectives for Information and related Technology), como referência global para os 
processos de TI. Uma vez que os processos foram identificados através do COBIT, é recomendado selecionar modelos 
específicos com as melhores práticas para cada tipo de processo e adaptá-los à realidade da empresa. 
 
 
 
 
 
Nesta aula, você irá: 
 
1. Saber a importância de ter um gerente 
bem preparado para a função. 
 
2. Conhecer como funcionam os controles 
de uma forma geral. 
 
3. Saber por que as informações, o 
ambiente operacional de TI, comércio 
eletrônico na Internet e o desenvolvimento 
de sistemas necessitam ser controlados. 
 
4. Conhecer alguns recursos de proteção 
de rede e ambiente operacional utilizados 
pelas empresas. 
 
5. Saber por que as empresas fazem 
auditoria nos sistemas de informação 
considerados críticos para o negócio. 
 
 
 
 
 
 
 
 
 
 
Independente da escolha entre desenvolver ou comprar pronto, ainda é bastante comum encontrar projetos com 
orçamentos estourados, prazos vencidos e escopos não cumpridos. As razões disto costumam ser principalmente a falta 
de planejamento associada à falta de controle. Em função desses acontecimentos, a preocupação com a administração 
de projetos vem ganhando força nos últimos anos e exigindo gerentes de projetos cada vez melhor preparados. 
Associações como o Project Management Institute (PMI) vêm se destacando na formação e certificação de gerente de 
projetos (PMP), contribuindo com mais uma especialização para a área de TI e ajudando a fortalecer os seus controles. 
 
Controle de Operações 
 
Outro ponto de atenção é a operação dos sistemas. A falta de controle pode gerar prejuízos incalculáveis. Um caso 
memorável foi o bug do milênio, quando se aproximou o ano 2000 e ninguém sabia como os computadoresiriam se 
comportar a partir de 01/01/2000. Isto porque na época existiam muitos sistemas antigos que, para economizar 
espaço (o custo de armazenamento de informação era muito caro), guardavam apenas as duas posições finais do ano. 
Quando havia necessidade de utilizar as quatro posições, bastava concatenar com 19. Assim, em vez de 1980 
gravava-se 80 e o ano de 1999 ficava armazenado como 99. A lógica era bastante simples e toda vez que chegava o 
final do ano se adicionava 1 ao ano corrente para se obter o ano seguinte. Ou seja, para passar de 98 para 99 bastava 
adicionar 1 ao ano corrente. Tudo funcionaria corretamente até que chegasse o ano 2000. Isto porque se nada fosse 
feito nos programas, ao se somar 1 a 99 iria obter 00. E, na sequência da lógica antiga, ao se concatenar com 19 o ano 
passaria a ser 1900. Ou seja, passaria de 1999 para 1900. 
 
Dá para imaginar todos os desdobramentos que poderiam ocorrer por erro de conta se nada fosse feito. Como se 
comportariam os aviões e as torres de controle? E o que dizer dos sinais de trânsito? Como ficariam os rendimentos 
financeiros? E as bombas de abastecimento de combustível? Felizmente o mundo se mobilizou e com muito trabalho 
o bug do milênio não passou de um susto. 
 
Hoje existem muitas preocupações de controle sobre o ambiente de tecnologia de informação. Políticas antivírus, 
monitoramento para evitar a invasão da rede e a segmentação de acesso são apenas alguns exemplos. Além disso, a 
Lei SOX também acabou ajudando as empresas a controlar melhor os seus processos. 
 
 
Comércio Eletrônico e Controle 
O comércio eletrônico na Internet endereça naturalmente ao uso de cartões de crédito. Durante uma transação de 
compra o cliente tem que informar o número do seu cartão e esse número pode ser interceptado e utilizado por 
pessoas desautorizadas. A utilização de criptografia permitindo que os dados não trafeguem em claro aumenta a 
proteção do número do cartão e dá maior credibilidade às transações efetuadas na Internet. 
 
Segurança 
O advento da Internet criou um mundo de novas oportunidades de interação. Tanto empresas da era industrial como 
da era informacional se estabeleceram nesse canal de comunicação, normalmente através de um website, buscando 
novos negócios. Com a possibilidade desse novo canal as empresas passaram a trocar informações com outras 
empresas ou com pessoas físicas, muitas vezes confidenciais e de interesse de terceiros. Assim, não tardou 
aparecerem os programas maliciosos que normalmente se ocupam em monitorar uma rede e interceptar informações 
para serem utilizadas posteriormente e permitir o domínio dessa rede ou usufruir de dados confidenciais como 
contas bancárias e cartões de crédito. Isto fez com que fossem desenvolvidas novas técnicas de proteção, 
aperfeiçoassem o uso da criptografia e surgissem novas empresas especializadas em segurança da informação. 
Fez também com que as empresas de segurança da informação que já existiam procurassem se especializar neste 
novo mundo. Hoje, programas antivírus, programas de monitoração de ambiente, roteadores e firewalls são 
utilizados para proteger perímetros pré-estabelecidos, onde se configuram regras para permitir apenas os acessos 
autorizados e o controle sobre o uso de programas. Além disso, existe um serviço prestado pelas empresas 
especializadas que gera um relatório de vulnerabilidades envolvendo a rede, os servidores e as estações de trabalho, 
permitindo que a empresa analisada possa tratar esses pontos vulneráveis e ficar cada vez mais protegida. 
 
 
 
Nesta aula, você: 
• Soube da importância de ter um gerente bem preparado para a função. 
• Conheceu como funcionam os controles de uma forma geral. 
• Aprendeu os controles básicos que são exercidos na organização. 
• Soube por que uma falha de controle pode falir uma empresa. 
• Soube por que as informações necessitam ser controladas. 
• Soube por que o desenvolvimento de um sistema precisa ser controlado. 
• Soube por que o ambiente operacional de TI deve ser controlado. 
• Soube por que o comércio eletrônico na Internet necessita de cuidado especial. 
• Conheceu alguns recursos de proteção de rede e ambiente operacional utilizados pelas empresas. 
• Soube por que as empresas fazem auditoria nos sistemas de informação considerados críticos para o negócio. 
 
 
Na próxima aula faremos uma introdução ao COBIT (Control Objectives for Information and related 
Technology). 
 
Ao final desta aula, você será capaz de: 
1. Conhecer o histórico do COBIT. 
 
2. Saber os objetivos do COBIT. 
 
3. Conhecer o framework do COBIT. 
 
4. Conhecer os modelos de maturidade dos 
processos de TI sob a visão do COBIT. 
 
5. Saber as métricas utilizadas no COBIT. 
 
6. Conhecer a aceitabilidade do COBIT. 
 
 
 
Framework do COBIT 
 
O COBIT é orientado a processos de TI e se dirige prioritariamente aos proprietários desses processos, referindo-se 
tanto aos processos centrais (exemplos: contratos, operações, marketing e vendas), quanto aos de apoio (exemplos: 
recursos humanos, administração e tecnologia da informação). Portanto, o COBIT transcende a área de TI abarcando 
o negócio como um todo. 
 
Para atender as necessidades que um modelo de governança de TI exige, o COBIT foi criado com foco nos requisitos 
de negócios, orientado a processos, baseado em mecanismos de controle e com direcionamento para análise das 
medições e indicadores de desempenho. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Processos são ad hoc e desorganizados; 
Processos seguem um caminho padrão, mas dependem do conhecimento das pessoas; 
Processos são documentados e comunicados; 
Processos são monitorados e medidos; 
Boas práticas são seguidas e automatizadas. 
 
 
 
 
 
 
 
Entrega da informação utilizando os recursos mais produtivos e econômicos; 
Proteção de informações confidenciais, evitando o acesso desautorizado; 
 
 
Ao final desta aula, você será capaz de: 
1. Conhecer a lógica de funcionamento dos 
processos no COBIT. 
 
2. Aprender os questionamentos gerenciais 
mais comuns e que são respondidos em 
cada domínio. 
 
3. Conhecer a quantidade de objetivos de 
controle que existe por processo em cada 
domínio. 
 
 
 
Aula 6: Domínios do COBIT 
 
Apesar de as empresas terem como traço comum em suas áreas de TI as responsabilidades de planejar, construir, 
processar e monitorar, nem todas terão a mesma estrutura de processos ou mesmo aplicarão todos os 34 processos do 
COBIT. A utilização dos processos depende de cada empresa e devem ser utilizados de acordo com cada necessidade. 
Cada um dos processos do COBIT é apresentado no mesmo formato, sempre com uma descrição do processo e os 
principais objetivos e métricas. 
 
 
 
 
A tabela mostra os sete processos do domínio AI de forma resumida. Aparece em evidência apenas o processo AI1 com 
a sua descrição e os seus quatro objetivos de controle, para ajudar a atingir os objetivos de negócio e evitar ou detectar 
e corrigir os eventos indesejáveis. 
Toda a dinâmica que foi mostrada no domínio PO também se aplica aos processos do domínio AI, ajudando a responder 
as questões gerenciais. 
 
 
 
 
A tabela mostra os treze processos do domínio DS de forma resumida. Aparece em evidência apenas o processo DS1 
com a sua descrição e os seus seis objetivos de controle, para ajudar a atingir os objetivos de negócio e evitar ou 
detectar e corrigir os eventos indesejáveis. 
Toda a dinâmica que foi mostrada no domínio PO também se aplica aos processos do domínio DS, ajudando a responder 
as questões gerenciais.Nesta aula, você irá: 
1. Conhecer o histórico e os objetivos do val IT;
 
2. Aprender a relacionar o COBIT com o val IT;
 
3. Aprender o conceito de valor;
 
4. Conhecer a dinâmica de funcionamento do val 
IT; 
5. Conhecer os modelos de maturidade de cada 
domínio do val 
IT; 
6. Aprender a relacionar domínios, processos, 
práticas chave e orientações de 
gestão; 
7. Conhecer a utilidade do caso de negócio. 
 
 
Val IT E COBIT: Um Relacionamento Sinérgico 
Com o apoio de um conjunto de especialistas reconhecidos internacionalmente em governança da informação, 
segurança, controle e auditoria, o ITGI vem tomando bastante cuidado para que juntos, o Val IT e o COBIT garantam aos 
tomadores de decisão em negócio e TI uma estrutura global para criação de valor a partir da entrega de serviços de TI 
de alta qualidade. Desta forma, o Val IT complementa o COBIT e, ao mesmo tempo, é suportado por ele. 
Compreender a relação entre os dois modelos é fundamental. O Val IT leva a visão de governança para a empresa e 
ajuda os executivos a se concentrar, conforme a imagem, em duas das quatro questões fundamentais de TI relacionadas 
com a governança: estamos fazendo as coisas certas? (a questão estratégica) e estamos conseguindo benefícios? (a 
questão de valor). O COBIT, por outro lado, ajuda os executivos a responder as questões: estamos fazendo de forma 
certa? (a questão da arquitetura) e Estamos conseguindo fazê-las bem? (a questão da entrega). 
 
 
 
 
 
Conhecendo O Conceito De Valor 
Segundo o ITGI (2008), o conceito de valor é complexo, específico ao contexto e dinâmico. É o resultado esperado de 
um investimento de negócio viabilizado por TI que pode ser financeiro, não financeiro ou uma combinação entre 
ambos. 
Em muitos casos o valor desafia a medição quantitativa. A natureza de valor é diferente para diferentes tipos de 
empresas. Embora as empresas estejam evoluindo com a questão do valor de natureza não financeira, os executivos 
ainda tendem a ver o valor principalmente em termos financeiros, muitas vezes na conta simples de aumentar o lucro 
a partir do investimento. 
Para o setor público e empresas sem fins lucrativos, o valor é mais complexo e, muitas vezes, de natureza não 
financeira. Ele pode incluir resultados de políticas públicas, melhoria na quantidade e na qualidade de serviços 
prestados e/ou aumento da receita disponível para prestar esses serviços, mas ambos são decorrentes de 
investimento. 
 
 
 
 
 
 
Reconhecerão que há diferentes tipos de investimentos, os quais serão avaliados e gerenciados diferentemente; 
Definirão e monitorarão métricas chave e responderão rapidamente a quaisquer mudanças ou desvios; 
Envolverão todos os interessados relevantes e atribuirão responsabilidades pelo resultado de forma apropriada para 
a entrega das capacitações e a realização dos benefícios para o negócio; 
Serão continuamente monitoradas, avaliadas e melhoradas. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Aula 8: CMMI 
 
Nesta aula, você irá: 
 
1. Conhecer o histórico do CMMI; 
 
2. Conhecer os objetivos do modelo; 
 
3. Conhecer o conceito de constelação; 
 
4. Conhecer os dois tipos de representação 
do CMMI; 
 
5. Aprender a diferença entre níveis de 
capacidade e níveis de maturidade; 
 
6. Conhecer as áreas de processo e os 
componentes de cada área; 
 
7. Conhecer as quatro categorias das áreas 
de processo; 
 
8. Saber os benefícios do CMMI. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Níveis de capacidade e de maturidade 
Níveis do CMMI 
O CMMI propõe a melhoria de processos através de níveis que são utilizados para descrever um caminho evolutivo, 
recomendado para a organização que deseja utilizar esses processos melhorados para desenvolver e manter seus 
produtos e serviços. Também existe a possibilidade de obter os níveis através de avaliações realizadas nas 
empresas. 
Existem dois caminhos para melhoria. O primeiro funciona melhorando os processos de forma incremental, abrangendo 
uma ou mais áreas de processo da organização. Já o segundo trabalha na melhoria de um conjunto de processos 
interralacionados, tratando de forma incremental os sucessivos conjuntos de áreas de processo. 
Estes dois caminhos de melhoria estão associados às representações que já foram vistas. Para a representação contínua 
emprega-se a expressão nível de capacidade e para a representação por estágios emprega-se nível de maturidade. 
 Para as duas representações o conceito de nível é o mesmo. Independente de se tratar de nível de capacidade ou nível 
de maturidade; para alcançar a melhoria desejada a organização deve satisfazer a todas as metas associadas à área de 
processo ou ao conjunto de áreas de processo. 
Tanto uma representação quanto outra permite a implementação de melhorias de processo utilizando basicamente a 
mesma filosofia e com os mesmos componentes do modelo 
 
 
 
 
Aula 9: SIX SIGMA 
 
Nesta aula, você irá: 
 
1. Conhecer o histórico e objetivos do six 
sigma; 
 
2. Aprender a lógica de funcionamento do 
six sigma; 
 
3. Saber quais são as ferramentas e 
técnicas utilizadas no six sigma; 
 
4. Saber quais são os papéis e 
responsabilidades envolvidos no six sigma; 
 
5. Saber qual é a colaboração da 
tecnologia da informação no six sigma; 
 
6. Conhecer a aplicabilidade e alguns 
benefícios do modelo; 
 
Histórico Do Modelo 
1980 
O Six Sigma, como um padrão de medição, remonta Carl Frederick Gauss (1777-1855), ao introduzir o conceito de curva 
normal. Já o termo Six Sigma, propriamente dito, foi cunhado pela Motorola na década de 1980. 
Desde 1928, ano de sua fundação, que a Motorola tem se comprometido com a inovação em comunicação e eletrônica, 
sempre alcançando êxito e pioneirismo. 
No ano de 1986, houve um aumento significativo da competição no mercado e isso acabou aflorando a percepção e a 
atenção para as informações vindas de sua força de vendas, acusando a quantidade de reclamações de uso de garantias 
pelos clientes. Em outras palavras, a qualidade dos produtos estava ruim. 
Esse cenário fez com que o CEO da Motorola Bob Galvin estabelecesse um ambicioso programa com a meta de em cinco 
anos fazer com que os produtos Motorola ficassem com qualidade dez vezes melhor, atingindo assim a satisfação do 
cliente. Ainda em 1986, o engenheiro de qualidade da Motorola, Bill Smith, deu a esse processo de melhoria de 
qualidade o nome de Six Sigma. 
Em 1988, a Motorola ganhou o prêmio Malcolm Baldrige National Quality Award – MBNQA, conhecido prêmio nacional 
de qualidade norte-americano, baseado nos resultados obtidos em apenas dois anos. 
Criou-se uma indústria ao redor do Six Sigma. Em 1991, a Motorola introduziu treinamentos para formação de 
especialistas em Six Sigma, denominados black belts. 
Em 1992, a metodologia passou a ser adotada por outras indústrias e hoje milhares de empresas utilizam o Six Sigma 
para otimizar processos e aumentar os lucros. 
Em 2002, a Motorola voltou a ganhar o MBNQA e isso fez com que o Six Sigma se estabelecesse como uma metodologia 
orientada para obtenção de resultados orientados para o negócio. 
O Six Sigma expandiu sua atuação para além dos ambientes de fabricação complexos e se espalhou por todas as 
indústrias e áreas funcionais. 
 
 
 
De acordo com Pande, Neuman & Cavanagh (2001), citados por Fernandes & Abreu (2008), Six Sigma é “um sistema 
abrangente e flexível para alcançar, sustentar e maximizar o sucesso empresarial. É singularmente impulsionado poruma estreita compreensão das necessidades dos clientes, pelo uso disciplinado de fatos, dados e análise estatística e 
pela atenção diligente à gestão, melhoria e reinvenção dos processos de negócio”. 
Marash (2000), citado por Tonini et al. (2005), diz que o “Six Sigma é uma metodologia estruturada que incrementa a 
qualidade por meio do aperfeiçoamento contínuo dos processos de produção de um bem ou serviço, da otimização das 
operações, da eliminação sistemática dos defeitos, falhas e erros, levando em consideração todos os aspectos 
importantes do negócio que possam diferenciar a empresa junto aos seus clientes”. 
Smith & Adams (2000), citados por Tonini et al. (2005), descreve que “alcançar o Six Sigma significa reduzir defeitos, 
erros e falhas praticamente a zero defeito no desempenho dos processos. Muitas vezes, o objetivo prático não é atingir 
esta marca, mas instituir uma forma sistemática de reduzir a variabilidade dos processos, assimilando e organizando a 
informação, melhorar a lucratividade através da melhoria da qualidade ou, ainda, reduzir ou eliminar a incidência de 
erros, defeitos e falhas em um processo e pode ser aplicada na maioria dos setores da atividade econômica”. 
Segundo Fernandes & Abreu (2008), o objetivo principal do Six Sigma “é a melhoria do desempenho do negócio através 
da melhoria do desempenho de processos, tendo como meta um processo que apresente 3,4 defeitos por milhão de 
oportunidades (DPMO) ou Six Sigma, que equivale a um rendimento de 99,9997% de resultados do processo isentos de 
defeitos”.