Baixe o app para aproveitar ainda mais
Prévia do material em texto
Francis Berenger 1 1Fr a n c is B e re n g e r v 1 .3 INF1021 – Princípios da Governança em TI 2 Depto. Informática Depto. Administração Engenharia Eletrônica Informática Psicologia Mestrado em Administração F or m aç ão A ca dê m ic a Francis Berenger berenger@puc-rio.br Francis Berenger 2 3Fr a n c is B e re n g e r v 1 .3 Objetivos do Curso O aluno ao final do curso deve estar apto a: • Conhecer as mudanças que estão ocorrendo no cenário atual da arquitetura de infra-estrutura e no modelo de serviços da TI; • Entender como as mudanças nos modelos de serviços de TI se refletem nas estratégias, modelos de negócio e na estrutura organizacional nas empresas; • Conhecer os princípios da Governança da TI e sua relação com a Governança Corporativa e estratégia do negócio; • Entender o modelo de Governança da TI com base no COBIT e sua importância para a estratégia de uma organização. 4Fr a n c is B e re n g e r v 1 .3 Bibliografia do Curso A Grande Mudança Nicholas Carr – Editora Landscape COBIT 4.1. IT Governance Institute Governança de TI - Tecnologia da Informação Peter Weill / Jeanne W. Ross – Editora M.Books Francis Berenger 3 5Fr a n c is B e re n g e r v 1 .3 Sobre o Curso • Programa, Cronograma e Critérios de Aprovação; • Uso do Moodle; • Estudo / Leitura / Trabalho em Grupo; • Participação em aula; • Frequência e Chamada. 6Fr a n c is B e re n g e r v 1 .3 Sumário Parte I: Sobre o Futuro da TI nas Organizações: Leitura e debate com base no livro “A Grande Mudança – Nicholas Carr”. Parte II: Gestão Estratégica, Gestão da TI e Governança Corporativa: 1 – Gestão Estratégica, Indicadores de Desempenho e BSC 2 – Sobre TI e Negócios 3 – O Papel da TI na Estrutura Organizacional 4 – Conceitos sobre Governança Corporativa Parte III: Princípios da Governança da TI: 5 – Governança da Tecnologia da Informação 6 – Melhores Práticas da Governança da TI e Introdução ao COBIT 7 – Modelo COBIT Francis Berenger 4 7Fr a n c is B e re n g e r v 1 .3 1 – Gestão Estratégica, Indicadores de Desempenho e BSC 8Fr a n c is B e re n g e r v 1 .3 Gestão Estratégica Francis Berenger 5 9Fr a n c is B e re n g e r v 1 .3 MISSÃO Por que existimos? VISÃO O que queremos ser? ESTRATÉGIA Qual o nosso plano de jogo? O que é Estratégia? 10Fr a n c is B e re n g e r v 1 .3 O que é Estratégia? MissãoMissão VisãoVisão EstratégiaEstratégia ONDE QUERO CHEGAR COMO CHEGAR Francis Berenger 6 11Fr a n c is B e re n g e r v 1 .3 O que é Estratégia? Onde Quero Chegar Ambiente Futuro “Estratégia denota o movimento de uma organização da posição atual para uma posição futura desejável, mas incerta.” (Kaplan & Norton) Ambiente Atual Onde Estou 12Fr a n c is B e re n g e r v 1 .3 Com Estratégia Com Alinhamento Sem Estratégia Sem Alinhamento O que é Estratégia? Francis Berenger 7 13Fr a n c is B e re n g e r v 1 .3 O que é Estratégia? "Forma de pensar no futuro, integrada no processo decisório, com base em um procedimento formalizado e articulador de resultados.” (Mintzberg) 14Fr a n c is B e re n g e r v 1 .3 O que é Estratégia? “A chave para a implementação da estratégia é a compreensão das hipóteses por toda a organização, o alinhamento de recursos com as hipóteses, o teste contínuo das hipóteses e suas adaptações em tempo real, conforme as necessidades.” (Kaplan & Norton). Francis Berenger 8 15Fr a n c is B e re n g e r v 1 .3 Principais Características da Estratégia • Devem ser basear no resultado da Análise do Ambiente; • Devem criar vantagem competitiva; • Devem ser viáveis e compatíveis com os recursos organizacionais; • Devem buscar o compromisso das pessoas envolvidas; • Devem ser fundamentadas nos princípios da empresa. 16Fr a n c is B e re n g e r v 1 .3 • Aumentar o conhecimento sobre seu Setor Industrial; • Revelar forças e fraquezas organizacionais; • Revelar ameaças e oportunidades do ambiente; • Aumentar conhecimento sobre parceiros e concorrentes; • Orientar as ações da empresa. Para que ter uma Gestão Estratégica? Francis Berenger 9 17Fr a n c is B e re n g e r v 1 .3 MISSÃO Por que existimos? VISÃO O que queremos ser? ESTRATÉGIA Qual o nosso plano de jogo? OBJETIVOS ESTRATÉGICOS O que precisamos fazer? O que é Estratégia? 18Fr a n c is B e re n g e r v 1 .3 Planejar a Estratégia Planejar a Estratégia Executar a Estratégia Executar a Estratégia Monitorar a Estratégia Monitorar a Estratégia Ajustar a Estratégia Ajustar a Estratégia P-D-C-A Gestão Estratégica Francis Berenger 10 19Fr a n c is B e re n g e r v 1 .3 Planejar a Estratégia Planejar a Estratégia Executar a Estratégia Executar a Estratégia Monitorar a Estratégia Monitorar a Estratégia Ajustar a Estratégia Ajustar a Estratégia P-D-C-A A Estratégia em Ação Gerenciamento de Desempenho 20Fr a n c is B e re n g e r v 1 .3 Gerenciando Desempenho “O que não é medido não é gerenciado” Francis Berenger 11 21Fr a n c is B e re n g e r v 1 .3 BSC (Balanced Scorecard) 22Fr a n c is B e re n g e r v 1 .3 Crescimento sustentável“desvio” estratégico Planejar para quando? Mensuração Não é possível gerenciar algo que não é medido O que é estratégia? Francis Berenger 12 23Fr a n c is B e re n g e r v 1 .3 Você na área de TI tem visão de futuro? Você possui remuneração vinculada a estratégia da empresa? 24Fr a n c is B e re n g e r v 1 .3 Francis Berenger 13 25Fr a n c is B e re n g e r v 1 .3 Financeira Clientes ProcessosInternos Aprendizado e Crescimento Criação de Valor Métricas contábeis e financeiras 26Fr a n c is B e re n g e r v 1 .3 Francis Berenger 14 27Fr a n c is B e re n g e r v 1 .3 Remuneração variável Medição de resultados Você se motivaria? 28Fr a n c is B e re n g e r v 1 .3 Objetivos estratégicos Relação de causa-efeito Geração de valor Mapa estratégico = Estratégia da Organização Metas estratégicas O que você entende por novo patamar de desempenho?Projetos Francis Berenger 15 29Fr a n c is B e re n g e r v 1 .3 30Fr a n c is B e re n g e r v 1 .3 Curto, médio e longo prazo Como você priorizaria recursos dentro de uma organização? Acionistas Satisfeitos Clientes Encantados Processos Efetivos Pessoas Motivadas e Preparadas Francis Berenger 16 31Fr a n c is B e re n g e r v 1 .3 • Simplicidade •Eficácia •Clareza • Motivador •Compreensão do todo • Oportunidades de melhoria 32Fr a n c is B e re n g e r v 1 .3 Estratégia no centro do processo Francis Berenger 17 33Fr a n c is B e ren g e r v 1 .3 34Fr a n c is B e re n g e r v 1 .3 Francis Berenger 18 35Fr a n c is B e re n g e r v 1 .3 BSC – Principal Modelo de Gerenciamento da Estratégia Visão de Futuro 36Fr a n c is B e re n g e r v 1 .3 Francis Berenger 19 37Fr a n c is B e re n g e r v 1 .3 2 – Sobre TI e Negócios 38Fr a n c is B e re n g e r v 1 .3 Profissionais de negócio não colaboram com TI Negócio não sabe o que deseja Líderes de negócio tentam consertar problemas de negócio com tecnologia Barreiras para colaboração Source: Gartner Executive Programs 2006 CIO Survey 1. Entregar projetos que possibilitem crescimento do negócio (1*) 3. Construir habilidades de negócios na organizáção de TI (9*) 3. Construir habilidades de negócios na organizáção de TI (9*) 2. Alinhar estratégias de negócio e TI (2*) 2. Alinhar estratégias de negócio e TI (2*) CIOs Top Three Prioridades 2006 *2005 survey ranking Qual é o Problema? Francis Berenger 20 39Fr a n c is B e re n g e r v 1 .3 Qual é o Problema? 40Fr a n c is B e re n g e r v 1 .3 Qual é o Problema? Francis Berenger 21 41Fr a n c is B e re n g e r v 1 .3 A Era da Soberba para TI (Anos 1960, 1970 e 1980) 42Fr a n c is B e re n g e r v 1 .3 •Modelo computacional centralizado com base em processamento batch e mainframes. • Somente ter um computador dentro de uma organização já era um diferencial competitivo. •Muitas organizações possuíam uma Diretoria de Informática na sua estrutura departamental com grande força política. • Os profissionais de informática possuíam salários diferenciados dentro da organização e gozavam de grande prestígio. A Era da Soberba para TI (Anos 1960, 1970 e 1980) Francis Berenger 22 43Fr a n c is B e re n g e r v 1 .3 • Minha empresa possui um computador. •Minha empresa possui computadores com um grande banco de dados. •Minha empresa possui computadores com um grande banco de dados e conectados em rede. Qual era o diferencial competitivo? Tecnologia Foco no Acesso aos Dados A Era da Soberba para TI (Anos 1960, 1970 e 1980) 44Fr a n c is B e re n g e r v 1 .3 Tudo era bom até que .... Personal Computer (PC) Modelo computacional distribuído “Departamentalização” da informática A Era da Crise da Identidade da TI (Anos 1990) Francis Berenger 23 45Fr a n c is B e re n g e r v 1 .3 • Minha empresa fez downsizing e reengenharia. •Minha empresa possui desktops e rede local com servidores de arquivo e impressão. • Minha empresa possui acesso à Internet. Qual era o diferencial competitivo? Tecnologia Aplicada Foco em Automação / Decisão A Era da Crise da Identidade da TI (Anos 1990) 46Fr a n c is B e re n g e r v 1 .3 • Minha empresa possui um ERP, CRM e SCM. •Minha empresa possui sistemas Web para uso do meu cliente e fornecedores. • Minha empresa possui TIC como diferencial estratégico para o meu negócio. Qual é o diferencial competitivo? Tecnologia Aplicada aos Negócios Foco no Processo de Negócio A Era do Reposicionamento (Anos 2000 e 2010) Francis Berenger 24 47Fr a n c is B e re n g e r v 1 .3 A Era do Reposicionamento (Anos 2000 e 2010) Estratégia de Negócio Estratégia de TI Governança Corporativa Governança da TI 48Fr a n c is B e re n g e r v 1 .3 3 – O Papel da TI na Organização Francis Berenger 25 49Fr a n c is B e re n g e r v 1 .3 Arquétipos Comuns Usados para descrever combinações de pessoas com direitos decisórios (Ross & Weill): Monarquia dos Negócios Duopólio Anarquia Feudalismo Monarquia de TI Federalismo 50Fr a n c is B e re n g e r v 1 .3 Monarquia de Negócio • Os altos executivos de negócios tomam decisões de TI que afetam a empresa como um todo. • Tipicamente, as monarquias de negócio aceitam contribuições de muitas fontes para decisões-chave: Dos subordinados do CIO; Dos líderes de TI das unidades de negócio; Do processo de gestão de orçamento como um todo; De acordos de nível de serviço e cobrança reversa (charge back); De sistemas de rastreamento de atividades, que mostram todos os recursos de TI e como eles estão sendo utilizados. Francis Berenger 26 51Fr a n c is B e re n g e r v 1 .3 Monarquia de TI • Os profissionais de Tecnologia da Informação tomam as decisões de TI. • Tipicamente, as empresas implementam monarquias de TI de maneiras diferentes, frequentemente envolvendo profissionais de TI, tanto de unidades corporativas quanto unidades de negócio. • Especialistas elaboram regras de arquitetura para alta gerência de TI que zelam pela clareza das regras e detém o poder de impor as normas de arquitetura de TI. 52Fr a n c is B e re n g e r v 1 .3 Feudalismo • Grupos locais, tomam suas próprias decisões, otimizando suas necessidades locais. • No caso da Governança de TI, a entidade feudal é tipicamente a unidade de negócio, a região ou o departamento funcional. • De forma geral, é um modelo incomum porque a maioria das empresas busca sinergia entre as unidades de negócio e este modelo não facilita a tomada de decisões da empresa como um todo. Francis Berenger 27 53Fr a n c is B e re n g e r v 1 .3 Federalismo • Tentam equilibrar as responsabilidades e cobranças de múltiplas partes. • Negociação de interesses tanto da organização central (sede/matriz) como das unidades individuais. • O impacto dos recursos compartilhados no desempenho das unidades de negócio (taxas) costuma suscitar preocupações quanto a justiça. • Nos modelos federalistas, as unidades de negócio maiores e mais poderosas com frequência ganham mais atenção e têm maior influência sobre as decisões. 54Fr a n c is B e re n g e r v 1 .3 Duopólio de TI • Arranjo entre duas partes, em que decisões representam o consenso bilateral entre executivos de TI e algum outro grupo. • O duopólio difere do modelo federalista no sentido do que o arranjo federalista tem sempre representação tanto corporativa como local, ao passo que o duopólio tem uma ou outra, mas nunca ambas e inclui invariavelmente profissionais de TI. • Mais de um terço das empresas pesquisadas pelo MIT em seu estudo de Governança de TI utilizavam o duopólio para decidir nos domínios menos técnicos (mas não menos importantes) das decisões de TI: Os princípios de TI, as necessidades de aplicações de negócio e os investimentos em TI. Francis Berenger 28 55Fr a n c is B e re n g e r v 1 .3 Duopólio de TI • É um arquétipo popular porque envolve somente dois grupos decisórios. • Esses duopólios têm a vantagem de se concentrarem diretamente nas necessidades das unidades de negócio, o que resulta na maior satisfação por parte dessas unidades. Mas tais duopólios podem ser caros e ineficientes quando se está decidindo problemas da organização em geral. 56Fr a n c is B e re n g e r v 1 .3 Anarquia • Em uma anarquia, indivíduos ou pequenos grupos tomam suas decisões somente em base a grupos locais. • Anarquias formalmente sancionadas são raras. • Em geral, são a ruína de muitos grupos de TI, pois são caras de sustentar e preservar. •São adotadas quando se requer um grau de resposta muito rápido as necessidades locais ou de clientes individuais. Francis Berenger 29 57Fr a n c is B e re n g e r v 1 .3 4 – Conceitos sobre Governança Corporativa 58Fr a n c is B e re n g e r v 1 .3 Transparência Corporativa Para quem e por que uma empresa deve ser transparente em suas decisões, estratégias, estruturas e relatórios financeiros? Francis Berenger 30 59Fr a n c is B e re n g e r v 1 .3 Objetivo da Empresa Maximizar a riqueza dos seus acionistas e sócios • Financiamento para o crescimento da empresa • Utilização do mercado de capitais • Oferta pública de ações (IPO) • Pulverização do controle acionário 60Fr a n c is B e re n g e r v 1 .3 Onde há conflitos de interesses? O papel de gestor deixa de ser exercido pelo proprietário. Francis Berenger 31 61Fr a n c is B e re n g e r v 1 .3 Onde há conflitos de interesses? O papel de gestor deixa de ser exercido pelo proprietário. Criação de mecanismos alinhando os interesses dos gestores aos do acionistas. 62Fr a n c is B e re n g e r v 1 .3 Governança Corporativa • Conjunto de processos, costumes, políticas, leis, regulamentos e instituições que regulam a maneira como uma empresa é dirigida, administrada e controlada. • Movimento internacional surgido no início da década de 1990 na Grã-Bretanha e EUA para definir as regras que regem o relacionamento dentro de uma companhia dos interesses de acionistas controladores, acionistas minoritários e administradores. Francis Berenger 32 63Fr a n c is B e re n g e r v 1 .3 "Governança corporativa é o sistema que assegura aos sócios-proprietários o governo estratégico da empresa e a efetiva monitoração da diretoria executiva. A relação entre propriedade e gestão se dá através do conselho de administração, a auditoria independente e o conselho fiscal, instrumentos fundamentais para o exercício do controle. A boa governança corporativa garante equidade aos sócios, transparência e responsabilidade pelos resultados (accountability).“ O que é Governança Corporativa? 64Fr a n c is B e re n g e r v 1 .3 Governança Corporativa Francis Berenger 33 65Fr a n c is B e re n g e r v 1 .3 Relação da Empresa com o Ambiente Organização Sociedade Agentes FinanceirosFuncionários Governo Meio Ambiente Clientes e Fornecedores 66Fr a n c is B e re n g e r v 1 .3 Resultados da Governança Corporativa • Investidores pagariam entre 18% e 28% a mais por ações de empresas que adotam melhores práticas de administração e transparência. (Fonte: Investors Opinion Survey – McKinsey & Co 2000) • Empresas que integram o Nível Diferenciado de Governança Corporativa da BOVESPA representaram 65,52% do volume financeiro e 73,66% da quantidade de negócios à vista. (Fonte: Balanço de 2007 – BOVESPA) Francis Berenger 34 67Fr a n c is B e re n g e r v 1 .3 Governança Corporativa no Brasil • Surgiu devido a necessidade de atrair capitais externos. • Motivadores: - Privatizações; - Globalização; - Transparência das Práticas de Gestão. • Risco de investimento medido pelo grau de conformidade com boas práticas recomendadas. 68Fr a n c is B e re n g e r v 1 .3 Empresas Nível 1, 2 e Novo Mercado Código de Melhores Práticas Cartilha de Governança Corporativa Princípios Essenciais para Supervisão Eficaz do Sistema Financeiro Mundial – Acordo Basiléia Governança Corporativa no Brasil Francis Berenger 35 69Fr a n c is B e re n g e r v 1 .3 Leis Brasileiras Governança Corporativa no Brasil 70Fr a n c is B e re n g e r v 1 .3 Os Problemas das Fraudes Contábeis Lei Sarbanes-Oxley (Sarbox ou SOX) Lei americana (2002) que visa garantir a criação de mecanismos de auditoria e segurança confiáveis nas empresas, incluindo ainda regras para a criação de comitês encarregados de supervisionar suas atividades e operações, de modo a mitigar riscos aos negócios, evitar a ocorrência de fraudes ou assegurar que haja meios de identificá-las quando ocorrem, garantindo a transparência na gestão das empresas. Francis Berenger 36 71Fr a n c is B e re n g e r v 1 .3 Lei Sarbanes-Oxley Mudanças na Governança Corporativa: • Aumento da responsabilidade dos executivos das organizações; • Aumento da responsabilidade dos funcionários pela emissão e divulgação dos relatórios financeiros; • Maior ênfase no uso de controles internos mais rígidos. 72Fr a n c is B e re n g e r v 1 .3 Gerenciamento de Risco Corporativo • Toda organização existe para gerar valor as partes interessados. • Todas as organizações enfrentam incertezas. • Incertezas representam riscos e oportunidades com potencial para destruir ou agregar valor. • Cabe aos administradores determinarem até que ponto o risco deve ser aceito. Gerenciamento de Riscos Corporativos Possibilita aos administradores tratarem com eficácia as incertezas, bem como os riscos e as oportunidades a elas associadas, a fim de melhorar a capacidade de gerar valor. Francis Berenger 37 73Fr a n c is B e re n g e r v 1 .3 COSO Prover guias de referência para gerenciamento de riscos corporativos, controle interno e dissuasão da fraude projetada para melhorar o desempenho organizacional e da governança e reduzir a extensão das fraudes nas organizações. 74Fr a n c is B e re n g e r v 1 .3 Controles Internos Processo efetuado pelo conselho de administração, executivos ou qualquer outro funcionário de uma organização com a finalidade de possibilitar o máximo de garantias nas seguintes categorias de objetivos: • Eficiência e Eficácia das Operações: salvaguarda de seus ativos e prevenção de detecção de fraudes e erros; • Confiabilidade das Demonstrações Financeiras: exatidão, integridade e contabilidade dos registros financeiros e contábeis; • Conformidade com as Leis e Regulamentos Vigentes: aderências às normas administrativas, às políticas da empresa e à legislação a qual está subordinada. Francis Berenger 38 75Fr a n c is B e re n g e r v 1 .3 Controles Internos Os controles internos auxiliam mas não garantem que os objetivos serão atingidos devido a alguns motivos: • Custo/Beneficio: todo controle tem um custo, que deve ser inferior ao custo da consumação do risco que está sendo controlado; • Conluio entre Pessoas: as pessoas responsáveis pelos controles, também podem usar de seus conhecimentos para burlar o sistema com objetivos ilícitos em parceria com outros funcionários, clientes ou fornecedores; • Eventos Externos: eventos externos estão além do controle de qualquer organização podendo ser responsáveis por levar um negócio a deixar de alcançar suas metas operacionais ou até mesmo encerrar com as atividades de uma organização. 76Fr a n c is B e re n g e r v 1 .3 5 – Governança da TI Francis Berenger 39 77Fr a n c is B e re n g e r v 1 .3 Relacionamento Governança Corporativa e Governança de TI (Source: Renato Jesus, Infnet 2008) 78Fr a n c is B e re n g e r v 1 .3 Conceitos de Governança de TI “Uma estrutura de relacionamento e processos para dirigire controlar a Tecnologia da Informação a fim de alcançar as metas da organização pela agregação de valor, enquanto se mantém o equilíbrio dos riscos versus retorno sobre esta e seus processos.” (ITGI) Francis Berenger 40 79Fr a n c is B e re n g e r v 1 .3 Conceitos de Governança de TI “Capacidade organizacional de controlar a formulação e implementação da estratégia de TI e guiar a mesma na direção adequada com o propósito de gerar vantagens competitivas para a corporação.” (The Ministry of International Trade and Industry, 2003). “Governança de TI é de responsabilidade do Corpo de Diretores e Gerencial. GTI integra a Governança da Empresa e consiste em mecanismos de liderança, estrutura organizacional e processos que garantem que a TI da organização mantém e alcançam as estratégias e objetivos da organização.” (Board Briefing on IT Governance, 2006). 80Fr a n c is B e re n g e r v 1 .3 “Governança de TI é o modelo como as decisões são tomadas e responsabilidades direcionadas para encorajar um comportamento desejável no uso de TI” (WEILL, ROSS, 2004). Conceitos de Governança de TI “Governança de TI é a capacidade organizacional exercida pela Diretoria, Gerência Executiva e Gerência de TI para controlar a formulação e implementação da estratégia de TI e neste caminho assegurar a fusão do negócio e TI” (GREMBERGER et. al., 2004). Francis Berenger 41 81Fr a n c is B e re n g e r v 1 .3 (Source: Renato Jesus, Infnet 2008) Relacionamento Governança Corporativa e Governança de TI 82Fr a n c is B e re n g e r v 1 .3 O Modelo de Governança de TI • A importância de um modelo genérico de governança é sua capacidade de se adotar a qualquer tipo de organização. • Para definir este novo paradigma onde a flexibilidade é primordial, alguns princípios importantes: – TI não é somente assunto de TI; – O CIO deve liderar a mudança; – A TI deve ser flexível para lidar com as mudanças no negócio; – Itens que representam custo de TI devem ser reavaliados quanto a sua permanência ou não; – A TI deve ser gerenciada como um negócio; – Implantar Governança de TI depende de marketing interno. Francis Berenger 42 83Fr a n c is B e re n g e r v 1 .3 Objetivos da Governança de TI • O principal objetivo da Governança de TI é alinhar TI ao negócio. • Outros objetivos que são decorrentes deste objetivo principal seriam: –Permitir à área de TI ter um posicionamento mais claro e consistente em relação às demandas de negócio; –Alinhar e priorizar as iniciativas de TI com a estratégia do negócio; –Alinhar a arquitetura de TI, sua infra-estrutura e aplicações às necessidades de negócio, em termos presentes e futuro; –Prover a TI da estrutura de processos que possibilite a gestão de seus riscos operacionais; –Prover regras claras para as responsabilidades sobre as decisões de TI no âmbito da empresa. 84Fr a n c is B e re n g e r v 1 .3 Governança e Gerenciamento da TI Acionistas e Investidores Serviços Projetos Segurança Auditoria Governança Corporativa Governança da TI Gerenciamento da TI CEO Conselho Administração Conselho Fiscal CFO CIO CxO Francis Berenger 43 85Fr a n c is B e re n g e r v 1 .3 (Fonte: Implantando a Governança de TI – Editora Brasport) Estratégias Empresariais para TI 86Fr a n c is B e re n g e r v 1 .3 • São aqueles nos quais a empresa precisa ter bons resultados para ser bem sucedida. • Podem ser: – Estruturais: inerentes à indústria; – De construção: relacionados ao atendimento de metas da empresa; – Temporais. Fatores Críticos de Sucesso para TI Francis Berenger 44 87Fr a n c is B e re n g e r v 1 .3 Fatores Críticos de Sucesso para TI (Fonte: Implantando a Governança de TI – Editora Brasport.) 88Fr a n c is B e re n g e r v 1 .3 Como TI pode entregar Valor? Estoque Controlado pelo Fornecedor (VMI – Vendor-Managed Inventory) Tanque de Combustível Garagem da Empresa de Ônibus Medidor de Tanque Abastecimento de Combustível Sistema de Controle de Consumo Internet CRM Francis Berenger 45 89Fr a n c is B e re n g e r v 1 .3 SCMCRM Aquisição de fornecedores Empacotamento, montagem ou fabricação Distribuição (interna ou externa) ERP CRMSCM ERP ERP Como TI pode entregar Valor? 90Fr a n c is B e re n g e r v 1 .3 Homens saíam à noite para comprar fraldas e aproveitavam para levar algumas latinhas para casa. Data Warehouse Mineração (Data Mining) Aumento em Vendas TI entrega Valor Cervejas e Fraldas devem estar posicionados em gôndolas próximas Como TI pode entregar Valor? Francis Berenger 46 91Fr a n c is B e re n g e r v 1 .3 Fatores Motivadores da Governança de TI Governança de TI TI como TI como prestadora de prestadora de ServiçosServiços Integração Integração TecnológicaTecnológica Segurança da Informação Ambiente de Ambiente de NegóciosNegócios Marcos de Marcos de RegulaçãoRegulação Dependência Dependência do Negócio do Negócio em Relação a em Relação a TITI (Fonte: Implantando a Governança de TI – Editora Brasport) 92Fr a n c is B e re n g e r v 1 .3 1) TI como “Prestadora de Serviços” • Projetos no prazo e orçamento. Atendimento aos requerimentos do negócio, disponibilidade das aplicações, disponibilidade da infra- estrutura, capacidade para expandir o negócio, rápida resolução de incidentes e serviços. • Centro de serviços compartilhados – Centralizar determinadas operações de TI de forma a ganhar escala e prover serviços de TI, eliminando desperdício em estruturas redundantes. Ex. Centro de serviços regionalizados. Fatores Motivadores da Governança de TI Francis Berenger 47 93Fr a n c is B e re n g e r v 1 .3 2) Integração Tecnológica • As “ilhas” de sistemas de informação não devem existir; • Mesmo administradores com baixa percepção tomaram consciência dos riscos envolvidos para seu negócio de uma TI mal gerenciada; • Eliminação de duplicação de dados, desnecessariamente causada por sistemas isolados. Padronização de conceitos de negócio em toda a empresa (Ex. conceito de “cliente”). Fatores Motivadores da Governança de TI 94Fr a n c is B e re n g e r v 1 .3 Fatores Motivadores da Governança de TI 3) Segurança da Informação Ao crescer o tamanho das redes, cresce a superfície de exposição dos ambientes corporativos. A área de Segurança de Informação e decisões relativas aos riscos de segurança crescem de importância dado o impacto que um incidente de segurança de informação pode ter na empresa. Francis Berenger 48 95Fr a n c is B e re n g e r v 1 .3 4) Ambiente de Negócios • Novos concorrentes globais de baixo custo; • Clientes mais conscientes e exigentes; • Barganha crescente de fornecedores e clientes; • Nova economia e o modelo de cloud computing; • Ciclo de vida cada vez mais curto para produtos e serviços. Fatores Motivadores da Governança de TI 96Fr a n c is B e re n g e r v 1 .3 5) Marcos de Regulação Aplicativos transacionais da empresa geradores de fatos contábeis e financeiros, devem: • Ter disponibilidade para acesso de emissão de relatórios de resultados financeiros e contábeis; • Ter trilhas de auditoriano que se refere a manipulação dos dados; • Ter os riscos sistêmicos e de infra-estrutura conhecidos e gerenciados. Fatores Motivadores da Governança de TI Francis Berenger 49 97Fr a n c is B e re n g e r v 1 .3 Fatores Motivadores da Governança de TI 6) Dependência do Negócio em Relação a TI Dado o aumento das operações diárias e estratégias chave da empresa que dependem da TI, pode se dizer que a TI é estratégica conforme aumenta a participação da TI neste tipo de operação. 98Fr a n c is B e re n g e r v 1 .3 Impacto da TI na Organização Francis Berenger 50 99Fr a n c is B e re n g e r v 1 .3 Do que trata a Governança de TI? As decisões de governança de TI se concentram nas respostas a três grandes perguntas: Quais decisões devem ser tomadas para garantir a gestão e o uso eficiente da TI? Quem deve tomar estas decisões? Como estas decisões devem ser tomadas e monitoradas? 100Fr a n c is B e re n g e r v 1 .3 Decisão 1 – Princípios de TI • Declarações de alto nível sobre como a TI deve ser utilizada. • Devem refletir os princípios de negócio, sendo o seu “espelho” em TI. Exemplos: ٠ Princípios de negócio: Estímulo a economia de escalas / Padronização de processos e tecnologia sempre que apropriada. ٠ Princípios de TI: Custo total de propriedade (TCO) mínimo com benchmark / Integridade arquitetônica. Francis Berenger 51 101Fr a n c is B e re n g e r v 1 .3 O que é TCO? TCO (Total Cost of Ownership) ou Custo Total de Propriedade é uma estimativa financeira que possibilita avaliar os custos diretos e indiretos relacionados à compra de software e hardware, além do gasto inerente de tais produtos para mantê-los em funcionamento, ou seja, os gastos para que se continue proprietário daquilo que foi adquirido. Compra Implantação Manutenção Desativação • Custo de compra • Treinamento • Pessoal (interno e terceirizado) • Consultoria • Operação • Custos associados a incidentes • Custos de violações de segurança (perda de reputação e recuperação) • Custo de testes • Backup • Auditoria • Espaço físico • Energia elétrica • Custo de desativação • Depreciação • Valor de revenda 102Fr a n c is B e re n g e r v 1 .3 Decisão 2 – Arquitetura de TI • Organização lógica dos dados, aplicações e infraestruturas, definidas a partir de um conjunto de políticas, relacionamentos e opções técnicas bem adotadas para obter a padronização e a integração técnicas e de negócio desejadas. • São cruciais para uma gestão eficiente da TI. • Uma organização que vai moldar as capacidades de TI em toda a organização. Ex.: A integração dos processos permite que múltiplas unidades de negócio apresentem uma face única aos clientes. • Algumas empresas requerem maior padronização, outras nem tanto mas podem igualmente se beneficiar dos aspectos positivos da padronização. Francis Berenger 52 103Fr a n c is B e re n g e r v 1 .3 Decisão 3 – Infra-estrutura de TI • Serviços de TI coordenados de maneira centralizada e compartilhados, que provêm a base para a capacidade de TI da empresa. • A infraestrutura certa no momento certo, habilita a rápida implementação de futuras iniciativas de negócio com base em tecnologia. • Em uma empresa típica corresponde por cerca de 55% do orçamento de TI. • Avaliação dos serviços que podem ser prestados internamente ou terceirizados (outsourcing). • Uma infraestrutura de TI superior contém serviços consistentes com a direção estratégica da empresa. 104Fr a n c is B e re n g e r v 1 .3 Decisão 4 – Necessidades de Aplicações de Negócio • Especificações de necessidades de negócio de aplicações de TI adquiridas no mercado ou desenvolvidas internamente. • São as decisões referentes a necessidade de aplicações que geram valor diretamente. Exemplos de empresas fabricantes “best of breed” de aplicativos de negócio: Francis Berenger 53 105Fr a n c is B e re n g e r v 1 .3 Decisão 5 – Investimentos e priorização de TI • Decisões sobre o quanto ou onde investir em TI, incluindo a aprovação de projetos e as técnicas de justificação. • Investimentos em TI devem ser encarados como qualquer investimento, você deve obter um retorno (ROI). • Frequentemente é a mais visível e a mais controversa das decisões. • Empresas com desempenho superior tem clareza na hora de fazer a distinção entre projetos do tipo “precisamos ter” e “seria interessante que tivéssemos”. • Em geral enfrentam 3 dilemas: • Quanto gastar? (Benchmarking) • Onde gastar? (Portfólio de TI) • Como reconciliar as diferentes necessidades de grupos distintos? 106Fr a n c is B e re n g e r v 1 .3 Governança da TI Francis Berenger 54 107Fr a n c is B e re n g e r v 1 .3 6 – Modelo COBIT 108Fr a n c is B e re n g e r v 1 .3 Por que usar Melhores Práticas e Padrões? • Não é necessário reinventar a roda: Tempo é dinheiro... • Melhores práticas: Atividades testadas e aprovadas por diversas pessoas e organizações em todo o mundo. • Conhecimento compartilhado: Experiências disseminadas mais rapidamente entre os grupos interessados. • Facilita auditoria: Seguindo padrões, é mais produtivo e transparente o serviço de auditoria (interna e externa). • Aumenta a chance de dar certo: Reduz riscos na avaliação de novas tendências de gestão e/ou tecnologias. • Benchmarking: Facilita a comparação com melhores do mercado. Francis Berenger 55 109Fr a n c is B e re n g e r v 1 .3 Melhores Práticas e Padrões 110Fr a n c is B e re n g e r v 1 .3 Melhores Práticas e Padrões Modelo de melhores práticas Escopo do Modelo COBIT - Control Objectives for Information and related Technology Modelo Abrangente aplicável para governança, auditoria e controle de processos de TI, desde o Planejamento até a monitoração e auditoria de todos os processos. VAL IT Modelo para gestão do valor e investimentos de TI CMMI - Capability Maturity Model Integration (For Development) Desenvolvimento de produtos e projetos de sistemas / software. ITIL - Infrastructure Technology Information Library Gestão da Infra-estrutura de Tecnologia da Informação ISO/IEC 27001 e ISO IEC 27002 - Código de prática para gestão da Segurança da Informação Segurança da Informação Modelos ISO - International Organization for Standardization Sistemas da qualidade, ciclo de vida de software, teste de The eSourcing Capability Model for Service Providers (eSCM-SP) Outsourcing de serviços que usam TI de maneira intensiva The eSourcing Capability Model for Service Client Organizations (eSCM-CL) Guia para o cliente que depende de maneira intensiva de serviços de TI. Aplicável na definição de estratégias e gerenciamento de outsourcing Prince 2 - Projects in Controlled Environments Metodologia de Gerenciamento de Projetos P3M3 - Portifolio, Programme & Project Management Maturity Model Modelo de maturidade para Gerenciamento de Projetos, Programas e Portifólios PMBOK - Project Management Body of Knowledge Base de conhecimentos em gestão de projetos OPM3 - Organizational Project Management Maturity Model Modelo de maturidade para gerenciamento de projetos BSC - Balanced Score Card Metodologia de planejamento e gestão da estratégia Seis Sigma Metodologia para melhoramento da qualidade de processos TOGAF Modelo para o desenvolvimento e implementação de arquiteturas de negócios, aplicações e de tecnologia. SAS 70 - Statementon Auditing Standards for Service Organizations Regras de auditoria para organizações de serviços (Fonte: Implantando a Governança de TI – Editora Brasport) Francis Berenger 56 111Fr a n c is B e re n g e r v 1 .3 Relacionamento entre os Frameworks 112Fr a n c is B e re n g e r v 1 .3 Melhores Práticas e Padrões Francis Berenger 57 113Fr a n c is B e re n g e r v 1 .3 Definição de Controle e sua Importância “1 Ato de dirigir qualquer serviço, fiscalizando-o e orientando-o do modo mais conveniente. 2 Aparelho que regula o mecanismo de certas máquinas; comando. 3 Tecn Dispositivo ou sistema (como alavancas, cabos, partes móveis) que controla os movimentos de um automóvel ou avião. 4 Fiscalização e domínio de alguém ou alguma coisa: Controle de si mesmo (autocontrole), controle dos impulsos, das emoções, das paixões. 5 Econ Fiscalização das finanças. C. de versão, Inform: programa utilitário que permite que vários programadores trabalhem em um arquivo fonte, monitorando as alterações feitas pelos outros programadores. C. de vôo, Aeron: controle de aviões em vôo por estações no solo, como torres de controle, mediante informações transmitidas ao piloto por rádio ou outros dispositivos eletrônicos. C. remoto: a) Eletrôn: aparelho utilizado para operar outros aparelhos a distância; b) Inform: sistema que permite que um usuário remoto controle um computador a distância (executando programas, copiando arquivos etc.). C. social, Sociol: processo pelo qual uma sociedade ou grupo procura assegurar a obediência de seus membros por meio dos padrões de comportamento existentes.” (Fonte Dicionário Michaelis) 114Fr a n c is B e re n g e r v 1 .3 Entendendo a Importância do Controle A maior parte dos estudos comprovam que algo em torno de 70%-85% dos problemas de TI são causados por falta de controle de processos bem definidos ou por falta de seguir os processos pré-estabelecidos. Definição de Controle e sua Importância Francis Berenger 58 115Fr a n c is B e re n g e r v 1 .3 Características de uma Estrutura de Controle • Foco no negócio; • Orientação a processo; • Linguagem comum; • Aceito amplamente; • Adequação a requerimentos legais (regulatory / statutory requirements). 116Fr a n c is B e re n g e r v 1 .3 O que é o COBIT? Sigla do idioma Inglês que significa Objetivos de Controle da Informação e Tecnologias Relacionadas (Control Objectives for Information and Related Technology). É um modelo de referência (framework) que tem por objetivo reduzir o risco de eventos indesejados e aumentar o valor de TI para o negócio. Francis Berenger 59 117Fr a n c is B e re n g e r v 1 .3 Histórico do COBIT 1970: Congresso Americano cria lei requerendo que empresas criem programas de controles internos. 1985: Uma iniciativa do setor privado, chamada comissão nacional de prevenção a fraudes em relatórios financeiros, conhecida como Treadway Commision, é criada. 1987: A Treadway Comission produz o relatório inicial e se formaliza com o nome de COSO – The Committee of Sponsoring Organizations. 1992: Coopers & Lybrand criam o Internal Control Integrated framework. 118Fr a n c is B e re n g e r v 1 .3 Auditoria Controle Gestão Governança COBIT 1 1996 COBIT 2 1998 COBIT 3 2000 COBIT 4 2005 E v o lu ç ã o Histórico do COBIT Francis Berenger 60 119Fr a n c is B e re n g e r v 1 .3 1996: COBIT 1.0 - ISACA publica uma ferramenta de auditoria. 1998: COBIT 2.0 - Publicação do guia de implementação; Formação do ITGI e registro do COBIT como marca. 2000: COBIT 3.0 – Publicação do Management Guidelines. 2004: Publicação pela COSO do Entreprise Risk Management – Internal Control. 2005: COBIT 4.0 - alinhamento TI e Negócios. 2007: COBIT 4.1 - Melhorias e adições. Histórico do COBIT 120Fr a n c is B e re n g e r v 1 .3 COSO e COBIT • A SEC (Security Exchange Comission), orgão americano equivalente à CVM (Comissão de Valores Mobiliários), considera obrigatório o uso do framework COSO; • COSO é aceito amplamente como o framework para atender os requisitos do ato SOX (Sarbanes-Oxley); • COSO limita-se somente ao escopo dos sistemas financeiros; • COBIT se expande como a estrutura para toda a cadeia de TI incluindo toda a informação da empresa não somente a financeira. Francis Berenger 61 121Fr a n c is B e re n g e r v 1 .3 • Desenvolvido pelo professores da Harvard Business School Robert Kaplan e David Norton, em 1992. • Uso consagrado pelo mercado. • Traduzido por “Indicadores Balanceados de Desempenho”. • Consagrou-se como ferramenta de metodologia de Gestão Estratégica. • O COBIT toma como referência o BSC para categorizar metas de TI. Balanced Scorecard (BSC) e COBIT 122Fr a n c is B e re n g e r v 1 .3 Cinco Áreas de Foco da Governança de TI (COBIT) Francis Berenger 62 123Fr a n c is B e re n g e r v 1 .3 Alinhamento Estratégicos Foca em garantir a ligação entre os planos de negócios e de TI, definindo, mantendo e validando a proposta de valor de TI, alinhando as operações de TI com as operações da organização. Entrega de Valor É a execução da proposta de valor de TI através do ciclo de entrega, garantindo que TI entrega os prometidos benefícios previstos na estratégia da organização, concentrado-se em otimizar custos e provendo o valor intrínseco de TI. Gestão de Recursos Refere-se à melhor utilização possível dos investimentos e o apropriado gerenciamento dos recursos críticos de TI: aplicativos, informações, infraestrutura e pessoas. Questões relevantes referem-se à otimização do conhecimento e infraestrutura. Cinco Áreas de Foco da Governança de TI (COBIT) 124Fr a n c is B e re n g e r v 1 .3 Gestão de Risco Requer a preocupação com riscos pelos funcionários mais experientes da corporação, um entendimento claro do apetite de risco da empresa e dos requerimentos de conformidade, transparência sobre os riscos significantes para a organização e inserção do gerenciamento de riscos nas atividades da companhia. Mensuração de Desempenho Acompanha e monitora a implementação da estratégia, término do projeto, uso dos recursos, processo de performance e entrega dos serviços, usando, por exemplo, “balanced scorecards” que traduzem as estratégia em ações para atingir os objetivos, medidos através de processos contábeis convencionais. Cinco Áreas de Foco da Governança de TI (COBIT) Francis Berenger 63 125Fr a n c is B e re n g e r v 1 .3 Estrutura do COBIT 126Fr a n c is B e re n g e r v 1 .3 Algumas Definições do COBIT • Domínios – São agrupamentos de processos, neste caso correspondem as áreas de responsabilidade tradicionais de TI, como por exemplo planejar, construir, executar e monitorar. • Processos – Conjuntos de atividades reunidas por similaridade onde existem delimitações claras através de pontos de controle e monitoramento. • Atividades – Ações reunidas para obter um resultado mensurável. Francis Berenger 64 127Fr a n c is B e re n g e r v 1 .3 Estrutura do COBIT - Domínios 128Fr a n c is B e re n g e r v 1 .3 Desafios da TI – Enfoque COBIT • Manter a TI Operativa: Proteger contra riscos e indisponibilidade; • Valor: Projetos mal definidos e executados precariamente; • Custos: Necessidadede administrar a TI como se fosse um negócio; • Complexidade: Gerenciar relacionamentos técnicos e humanos; Francis Berenger 65 129Fr a n c is B e re n g e r v 1 .3 Desafios da TI – Enfoque COBIT • Alinhamento entre TI e negócios; • Questões estatutárias (regulatory compliance): Ter os controles adequados as normas legais requeridas. • Segurança – Ter os controles adequados implementados. 130Fr a n c is B e re n g e r v 1 .3 Benefícios da Governança de TI • Confiança da alta gerência e alinhamento de TI e negócios – fornece uma visão que permite as áreas de negócios entender o que TI faz. • Orientação ao processo – fornecendo a noção de propriedade e responsabilidades. • Aumento da interface entre TI e negócios. • Maior Retorno do Investimento. • Aumento da transparência. • Maior confiabilidade nos serviços de TI. • Aumentar a capacidade de resposta de TI. Francis Berenger 66 131Fr a n c is B e re n g e r v 1 .3 Relacionamento COBIT e ITIL 132Fr a n c is B e re n g e r v 1 .3 Processos Mais Importantes Domínio Processo Descrição PO PO9 Assess and Manage IT Risks Cria e mantém um framework de gerenciamento de riscos de TI. Todos os assuntos relacionados a riscos estão envolvidos neste processo. PO10 Manage Projects Envolve-se com todos os assuntos relacionados ao gerenciamento de projetos de TI. AI AI4 Enable Operation and Use Preocupa-se em disponibilizar conhecimento sobre os novos sistemas. Este processo requer a produção de documentação e manuais para usuários e TI, e fornece treinamento aos usuários. AI6 Manage Changes Inclui todas as mudanças, inclusive as mudanças emergenciais relacionadas com a infraestrutura. DS DS1 Define and Manage Service Levels Define os níveis de serviços requeridos junto com os clientes, e monitora e emite relatórios para os stakeholders. DS2 Manage Third-party Services Assegura os serviços fornecidos por terceiros para que estes satisfaçam as necessidades do negócio. Envolve-se com regras, responsabilidades e acordos com terceiros. Francis Berenger 67 133Fr a n c is B e re n g e r v 1 .3 Família de Produtos do COBIT 134Fr a n c is B e re n g e r v 1 .3 Governança da TI Quiz 1 Francis Berenger 68 135Fr a n c is B e re n g e r v 1 .3 1. Qual das seguintes opções é uma característica chave de otimização de recursos? a) Escolher um conjunto determinado de fornecedores chave b) Utilizar tantos equipamentos quanto forem possíveis c) Garantir capacidade suficiente para as atividades críticas da empresa d) Garantir o menor custo dos recursos humanos utilizados Quiz 136Fr a n c is B e re n g e r v 1 .3 2. Qual das seguintes opções é o principal desafio do gerenciamento da TI? a) Manter a segurança em níveis adequados b) Manter o orçamento da infra-estrutura c) Solucionar problemas técnicos d) Selecionar as melhores ferramentas de gerenciamento Quiz Francis Berenger 69 137Fr a n c is B e re n g e r v 1 .3 3. Qual das seguintes opções apresenta um conceito mais significativo do gerenciamento da TI? a) Fazer a tecnologia funcionar corretamente b) Manter a TI operando c) Manter-se atualizado com as mais recentes soluções d) Suportar desenvolvedores com ferramentas de trabalho Quiz 138Fr a n c is B e re n g e r v 1 .3 4. Qual das opções a seguir representa uma perspectiva organizacional de um Balanced Scorecard: a) Um mecanismo de bonificação b) Um cliente c) Uma métrica d) Um painel de indicadores Quiz Francis Berenger 70 139Fr a n c is B e re n g e r v 1 .3 5. Qual das seguintes opções é um benefício do alinhamento estratégico? a) Reter recursos de alta qualificação técnica b) Uso Produzir software de alta qualidade c) Otimizar o uso de recursos d) Finalizar projetos no prazo e dentro do orçamento Quiz 140Fr a n c is B e re n g e r v 1 .3 Características Gerais do COBIT • De domínio publico. • Estrutura de boas práticas para governança de TI e auditoria. • Reconhecido mundialmente. • Representa a opinião de diversos especialistas e também representa uma visão holística da área de TI. • Funciona como integrador de diversas melhores práticas. • Tem por foco mais em O QUE do que no COMO ou seja foco mais no controle do que na execução. • Evolutivo – Versão 4.1 Francis Berenger 71 141Fr a n c is B e re n g e r v 1 .3 Características Principais do COBIT 1) Foco em negócios 2) Orientado para processos 3) Baseado em controles 4) Direcionamento baseado em medições 142Fr a n c is B e re n g e r v 1 .3 Foco em Negócios Característica 1 Foco em Negócios "Em todas as situações, deve-se considerar o objetivo.” Jean de La Fontaine Francis Berenger 72 143Fr a n c is B e re n g e r v 1 .3 A entrega de serviços de TI garantindo que objetivos de negócio sejam atingidos dependem de dois fatores básicos: 1. Entendimento do negócio e de quais são seus objetivos. 2. A organização de TI precisa ser capaz de entregar serviços que sejam considerados habilitadores do negócio. Fonte: COBIT 4.1 Visão Geral 144Fr a n c is B e re n g e r v 1 .3 Estrutura do COBIT – Princípios Básicos Francis Berenger 73 145Fr a n c is B e re n g e r v 1 .3 Critérios de Informação Para atender aos objetivos de negócios, as informações precisam se adequar a certos critérios de controles, aos quais o COBIT denomina necessidades de informação da empresa. Baseado em abrangentes requisitos de qualidade, guarda e segurança, sete critérios de informação distintos e sobrepostos são definidos, como segue: • Efetividade • Eficiência • Confidencialidade • Integridade • Disponibilidade • Conformidade • Confiabilidade 146Fr a n c is B e re n g e r v 1 .3 Efetividade: Lida com a informação relevante e pertinente para o processo de negócio bem como a mesma sendo entregue em tempo, de maneira correta, consistente e utilizável. Eficiência: Relaciona-se com a entrega da informação através do melhor (mais produtivo e econômico) uso dos recursos. Confidencialidade: Está relacionada com a proteção de informações confidenciais para evitar a divulgação indevida. Integridade: Relaciona-se com a fidedignidade e totalidade da informação bem como sua validade de acordo com os valores de negócios e expectativas. Critérios de Informação Francis Berenger 74 147Fr a n c is B e re n g e r v 1 .3 Disponibilidade: Relaciona-se com a disponibilidade da informação quando exigida pelo processo de negócio hoje e no futuro. Também está ligada à salvaguarda dos recursos necessários e capacidades associadas. Conformidade: Lida com a aderência a leis, regulamentos e obrigações contratuais aos quais os processos de negócios estão sujeitos, isto é, critérios de negócios impostos externamente e políticas internas. Confiabilidade: Relaciona-se com a entrega da informação apropriada para os executivos para administrar a entidade e exercer suas responsabilidades fiduciárias e de governança. Critérios de Informação 148Fr a n c is B e re n g e rv 1 .3 Áreas de Negócio Objetivos do Negócio Fornecedor Objetivos da TI Área de TI Al in ha m e n to TI - N e gó ci o Estratégia Organizacional Clientes Objetivos de Negócio - TI Francis Berenger 75 149Fr a n c is B e re n g e r v 1 .3 • Existem diversas formas de analisarmos a estratégia corporativa e traduzir em metas de TI, este exercício é possível não somente em empresas com planos estratégicos formais mas é possível em qualquer tipo de organização. • Onde buscar a informação sobre a estratégia: • Mapemento do plano estratégico; • Identificação dos fatores críticos de sucesso da empresa; • Análise dos planos táticos e funcionais; • Balanced Scorecard de TI. Estratégias Empresariais para TI 150Fr a n c is B e re n g e r v 1 .3 Exemplo de BSC de TI Francis Berenger 76 151Fr a n c is B e re n g e r v 1 .3 • É um exemplo de um produto que pode ser considerado a principal “saída” da etapa de alinhamento estratégico; • Também conhecido como Plano Diretor de Informática (PDI); • O alinhamento estratégico ocorre em primeiro momento conjuntamente com a construção do plano estratégico empresarial, que pode existir de maneira formal ou informal; • Os princípios de TI orientam a função da TI e são importantíssimos para direcionar a construção do plano; • Em geral, é apoiado por melhores práticas. Plano Estratégico de TI 152Fr a n c is B e re n g e r v 1 .3 Visão Geral (Fonte: COBIT 4.1) Francis Berenger 77 153Fr a n c is B e re n g e r v 1 .3 Objetivos de Negócio / Objetivos da TI Financeiros 1. Prover um retorno de investimento adequado para os investimentos de TI relacionados aos negócios. 2. Gerenciar riscos de negócios relacionados a TI. 3. Aprimorar governança corporativa e transparência. 154Fr a n c is B e re n g e r v 1 .3 Perspectiva do Cliente 4. Aprimorar orientação para clientes e serviços. 5. Oferecer serviços e produtos competitivos. 6. Estabelecer a continuidade e disponibilidade de serviços. 7. Criar agilidade em responder a requerimentos de negócios que mudam continuamente. 8. Atingir otimização dos custos para entrega de serviços. 9. Obter informações confiáveis e úteis para o processo de decisões estratégicas. Objetivos de Negócio / Objetivos da TI Francis Berenger 78 155Fr a n c is B e re n g e r v 1 .3 Perspectiva Interna 10. Aprimorar e manter a funcionalidade dos processos de negócio. 11. Reduzir custos de processos. 12. Conformidade com leis externas, regulamentos e contratos. 13. Conformidade com políticas internas. 14. Gerenciar mudanças de negócios. 15. Aprimorar e manter a operação e produtividade do pessoal. Objetivos de Negócio / Objetivos da TI 156Fr a n c is B e re n g e r v 1 .3 Perspectiva de Aprendizagem e Crescimento 16. Gerenciar a inovação de produtos e negócios. 17. Contratar e manter pessoas habilitadas e motivadas. Objetivos de Negócio / Objetivos da TI Francis Berenger 79 157Fr a n c is B e re n g e r v 1 .3 Transformando Objetivos de Negócio em Objetivos de TI 158Fr a n c is B e re n g e r v 1 .3 Transformando Objetivos de Negócio em Objetivos de TI Francis Berenger 80 159Fr a n c is B e re n g e r v 1 .3 Recursos de TI Aplicações Informações Infra- estrutura Pessoas 160Fr a n c is B e re n g e r v 1 .3 Recursos de TI A organização de TI entrega de acordo com esses objetivos por um conjunto claramente definido de processos que usam a experiência das pessoas e a infra-estrutura tecnológica para processar aplicativos de negócios de maneira automatizada, aprimorando as informações de negócios. Francis Berenger 81 161Fr a n c is B e re n g e r v 1 .3 Es tra té gi a O rg a n iz a ci o n a l Integrar o sistema de estoque ao sistema de CRM do fornecedor Criar um VMI (Vendor-Managed Inventory) para o fornecedor controlar automaticamente as entregas de matéria-prima. Reduzir em 40% os casos de atraso na entrega do produto final. O bje tiv o s de N e gó ci o Objetivos de TIOb jet ivo Es tra té gi co Aumentar a fidelidade dos clientes Planejamento Estratégico / BSC Arquitetura da TI Processos + Recursos 162Fr a n c is B e re n g e r v 1 .3 Orientado para Processos Característica 2 Orientado para Processos “Com organização e tempo, acha-se o segredo de fazer tudo e bem feito.” Pitágoras Francis Berenger 82 163Fr a n c is B e re n g e r v 1 .3 Definição de Processo ProcessoEntrada Insumos que serão modificados pelo processo Saída Resultados do processo Controles Objetivos do processo Parâmetros de qualidade Indicadores de performance Dono do processo Recursos Ferramentas Documentação Procedimento Instrução de Trabalho Habilitadores 164Fr a n c is B e re n g e r v 1 .3 Plantar uma ÁrvoreEntrada Local Semente Adubo Saída Árvore Plantada ControlesEspecificações Jardineiro Regador Pá Habilitadores Exemplo de Processo Francis Berenger 83 165Fr a n c is B e re n g e r v 1 .3 Cavar buraco Habilitadores Controles Local Árvore Plantada Especificações Semear Fechar buraco Semente Adubo Buraco Semente plantada Jardineiro Pá Jardineiro Regador Jardineiro Pá Exemplo de Processo 166Fr a n c is B e re n g e r v 1 .3 • Processo: “Conjunto sequenciado de ações (atividades, mudanças etc.) executado por agentes objetivando satisfazer um propósito ou atingir uma meta.” • Processo Eficaz (Effective): “Conjunto de ações que pode ser repetido, mensurado e gerenciado.” • Processo Eficiente (Efficient): “Conjunto de ações executado com um mínimo de esforço.” Definição de Processo Francis Berenger 84 167Fr a n c is B e re n g e r v 1 .3 Benefícios da Orientação a Processos • Habilita os passos iniciais para a boa governança: - Linguagem comum; - Modelo de processo operacional baseado em planejar, construir, executar e monitorar. • Fornece estrutura para: - Medir e monitorar o desempenho; - Comunicar com clientes. • Estabelecer a noção de propriedade do processo – Responsabilidade e “prestação de contas” (accountability). 168Fr a n c is B e re n g e r v 1 .3 Estrutura do COBIT – Domínios e Processos 10 processos 4 processos 7 processos 13 processos Francis Berenger 85 169Fr a n c is B e re n g e r v 1 .3 Estrutura do COBIT – Domínios e Processos 170Fr a n c is B e re n g e r v 1 .3 Planejar & Organizar / Plan & Organise (PO) • As estratégias de TI e negócios estão alinhadas? • A empresa está obtendo um ótimo uso dos seus recursos? • Todos na organização entendem os objetivos de TI? • Os riscos de TI são entendidos e estão sendo gerenciados? • A qualidade dos sistemas de TI é adequada às necessidades de negócios? Francis Berenger 86 171Fr a n c is B e re n g e r v 1 .3 Planejar & Organizar / Plan & Organise (PO) 172Fr a n c is B e re n g e r v 1 .3 Adquirir & Implementar / Acquire &Implement (AI) • Os novos projetos fornecerão soluções que atendam às necessidades de negócios? • Os novos projetos serão entregues no tempo e orçamento previstos? • Os novos sistemas funcionaram corretamente quando implantados? • As alterações ocorrerão sem afetar as operações de negócios atuais? Francis Berenger 87 173Fr a n c is B e re n g e r v 1 .3 Adquirir & Implementar / Acquire & Implement (AI) 174Fr a n c is B e re n g e r v 1 .3 Entregar & Suportar / Deliver & Support (DS) • Os serviços de TI estão sendo entregues de acordo com as prioridades de negócios? • Os custos de TI estão otimizados? • A força de trabalho esta habilitada para utilizar os sistemas de TI de maneira produtiva e segura? • Os aspectos de confidencialidade, integridade e disponibilidade estão sendo contemplados para garantir a segurança da informação? Francis Berenger 88 175Fr a n c is B e re n g e r v 1 .3 Entregar & Suportar / Deliver & Support (DS) 176Fr a n c is B e re n g e r v 1 .3 Monitorar & Avaliar / Monitor & Evaluate (ME) • A performance de TI é mensurada para detectar problemas antes que seja muito tarde? • O gerenciamento assegura que os controles internos sejam efetivos e eficientes? • O desempenho da TI pode ser associado aos objetivos de negócio? • Existem controles adequados para garantir confidencialidade, integridade e disponibilidade das informações? Francis Berenger 89 177Fr a n c is B e re n g e r v 1 .3 Monitorar & Avaliar / Monitor & Evaluate (ME) 178Fr a n c is B e re n g e r v 1 .3 Governança da TI Quiz 2 Francis Berenger 90 179Fr a n c is B e re n g e r v 1 .3 6. A melhor maneira de uma organização garantir um nível de segurança adequado para seu ambiente de TI é: a) Aumentando a conscientização dos gestores e usuários a respeito das suas responsabilidades e possíveis riscos b) Investindo em soluções de sotware para controle de acesso de última geração e focando na proteção da rede corporativa c) Fisicamente proteger equipamentos computacionais que estão vulneráveis e armazená-los em locais fechados d) Focar em um grupo de especialistas e na contratação de profissionais de alta senioridade na área de segurança Quiz 180Fr a n c is B e re n g e r v 1 .3 7. A Governança da TI é melhor sumarizada por qual das opções? a) Estruturas organizacionais, práticas, procedimentos e políticas elaboradas para prover garantias à área de TI b) Objetivo a ser conquistado através da implementação de procedimentos de controle c) Fatores habilitadores dos processos de TI d) Estrutura de relacionamentos e processos para direcionar e controlar a TI Quiz Francis Berenger 91 181Fr a n c is B e re n g e r v 1 .3 8. O framework do COSO é amplamente aceito para: a) Gerenciamento da TI b) Processualização da T c) Apoiar processos da TI d) Controles internos Quiz 182Fr a n c is B e re n g e r v 1 .3 9. É um método de gerenciamento de risco: a) Ajustar os riscos b) Assumir os riscos c) Medir os riscos d) Aceitar os riscos Quiz Francis Berenger 92 183Fr a n c is B e re n g e r v 1 .3 10. A Governança Corporativa no Brasil surgiu (dentre os outros motivos) devido a necessidade de atrair capitais externos. Abaixo estão listados fatores que são considerados motivadores da Governança Corporativa, exceto? a) Globalização b) Transparência das práticas de gestão c) Necessidade das organizações terem uma Governança da TI d) Privatizações Quiz 184Fr a n c is B e re n g e r v 1 .3 11.A seguir serão apresentadas algumas opções a respeito do fator que diferencia uma tecnologia no que diz respeito a ser considerada Tecnologia proprietária ou ser considerada infraestrutural. Escolha a opção que melhor se aplica? a) Não existe diferença entre os conceitos. Ambos representam tecnologias que podem ser representadas por softwares ou hardwares. b) Tecnologia Proprietária é sempre uma Tecnologia que é de propriedade de uma empresa privada. Já a Tecnologia Infra- estrutural em geral é de propriedade de empresas públicas e são cedidas no modelo de concessão. c) Tecnologia Infraestrutural esta amplamente disponível atualmente enquanto, a Tecnologia proprietária é rara e difícil de copiar. Podem ser vantagem competitiva dependendo do contexto. d) A Tecnologia proprietária é de domínio exclusivo de uma empresa e em geral esta ligada a sua atividade fim. Este tipo de tecnologia pode ser considerado estratégico já que é raro e difícil de copiar. Quiz Francis Berenger 93 185Fr a n c is B e re n g e r v 1 .3 12.Diversos fatores podem ser considerados como motivadores da Governança de TI, que de acordo com o MINISTRY OF INTERNATIONAL TRADE AND INDUSTRY é "a capacidade organizacional de controlar a formulação e implementação da estratégia de TI e guiar a mesma na direção adequada com o propósito de gerar vantagens competitivas para a corporação”. Todos os fatores abaixo são motivadores exceto? a) Normas legais / eliminação da participação da área de negócio nas decisões de Infra-estrutura de TI. b) Marcos de Regulação / Dependência do Negócio em Relação a TI. c) Enxergar a TI como prestadora de Serviços / Integração Tecnológica. d) Segurança da Informação / Ambiente de Negócios. Quiz 186Fr a n c is B e re n g e r v 1 .3 COBIT - Baseado em Controles Característica 3 Baseado em Controles “Com tudo o que liberta o nosso espírito sem nos dar o controle de nós próprios é prejudicial.” Johan Wolfgang Von Goethe Francis Berenger 94 187Fr a n c is B e re n g e r v 1 .3 Controle é defininido como políticas, procedimentos, práticas e estruturas organizacionais criadas para prover uma razoável garantia de que os objetivos de negócios serão atingidos e que eventos indesejáveis serão evitados ou detectados e corrigidos. Definição de Controle 188Fr a n c is B e re n g e r v 1 .3 Baseado em normas e objetivos padronizados que através de um processo de comparação determina se a condição é normal podendo disparar mecanismos (ação) para trazer a condição de volta a normalidade. Modelo de Controle Francis Berenger 95 189Fr a n c is B e re n g e r v 1 .3 Exemplo: Temperatura de um data center (padrão) é configurada no sistema de resfriamento (processo) que irá constantemente checar (comparar) a temperatura do ambiente da sala (controle de informação) e comandar ao sistema (agir) para resfriar ou aquecer o ambiente. Modelo de Controle 190Fr a n c is B e re n g e r v 1 .3 Controles do COBIT Processo COBIT Objetivos de Controle Genéricos Objetivo de Controle Específicos Francis Berenger 96 191Fr a n c is B e re n g e r v 1 .3 Os objetivos de controle genéricos são idênticos para qualquer um dos processo e estão apresentados a seguir: PC1 – Metas e Objetivos do Processo PC2 – Propriedade dos Processos PC3 – Repetibilidade dos Processos PC4 – Papéis e Responsabilidades PC5 – Políticas, Planos e Procedimentos PC6 – Melhoria do Processo de Performance Objetivos de Controle Genéricos 192Fr a n c is B e re n g e r v 1 .3 Objetivos de Controle Específicos Os objetivos de controle especificos estão detalhados no guia para cada um dos processosidentificados por duas letras para identificar o domínio (PO, AI, DS e ME), um número de processo e um número de objetivo de controle. Francis Berenger 97 193Fr a n c is B e re n g e r v 1 .3 Tabela RACI 194Fr a n c is B e re n g e r v 1 .3 Objetivos e Métricas Francis Berenger 98 195Fr a n c is B e re n g e r v 1 .3 Controles Totalidade Veracidade Validade Autorização Segregação de Funções Desenv. de Sistemas Ger. de Mudanças Operação de ComputadoresSegurança Controles Gerais de TI Controles de Aplicativos 196Fr a n c is B e re n g e r v 1 .3 Controles de Aplicativos Responsabilidade pelos controles de aplicativos é compartilhada entre as áreas de negócios e de TI. • Definir os requisitos funcionais e de controle • Utilizar os serviços automatizados Área de Negócios • Automatizar e implementar os requisitos funcionais e de controle • Estabelecer controles para manter a integridade dos controles de aplicativos Área de TI Francis Berenger 99 197Fr a n c is B e re n g e r v 1 .3 Controles de Aplicativos 198Fr a n c is B e re n g e r v 1 .3 • Reduz o risco sistêmico; • Promove entrega de valor; • Aumenta a eficiência por diminuir erros e por possibilitar uma abordagem gerencial mais consistente. Benefícios do Controle Francis Berenger 100 199Fr a n c is B e re n g e r v 1 .3 Governança da TI Quiz 3 200Fr a n c is B e re n g e r v 1 .3 13. CMMI é uma metodologia usada nas organizações para: a) Planejamento estratégico b) Planejamento de segurança e continuidade de negócios c) Implantar processos de desenvolvimento de software d) Realizar entregas de serviços de TI Quiz Francis Berenger 101 201Fr a n c is B e re n g e r v 1 .3 14. Como as aplicações e as informações são tratadas dentro do framework do COBIT? a) Como um recurso b) Como um fator crítico de sucesso c) Como um requerimento de negócio d) Como um processo de TI Quiz 202Fr a n c is B e re n g e r v 1 .3 15. Qual das opções a seguir faz parte da missão do COBIT? a) Certificar companhias e produtos b) Desenvolver objetivos de controle aceitos internacionalmente c) Produzir um padrão ISO d) Prover consultoria e implementação de serviços Quiz Francis Berenger 102 203Fr a n c is B e re n g e r v 1 .3 16. O COBIT é compatível com outros padrões porque: a) Abrange todos os controles de TI b) Pode ser usado como um guia para gerenciamento de projetos c) Posiciona-se centralmente com grande relacionamento com outros framewoks. d) Não se relaciona com outros frameworks. Quiz 204Fr a n c is B e re n g e r v 1 .3 17. O COBIT possui como princípio ter a seguinte abordagem para a implementação de controles: a) Orientação a processos b) Uso de recursos c) Linha de base para controles d) Avaliação de riscos Quiz Francis Berenger 103 205Fr a n c is B e re n g e r v 1 .3 18. A partir do framework do COBIT, para satisfazer os objetivos de negócio, a informação deve atender determinados critérios incluindo: a) entrega b) segurança c) integridade d) continuidade Quiz 206Fr a n c is B e re n g e r v 1 .3 Direcionamento Baseado em Medições Característica 4 Direcionamento Baseado em Medições “Se quer viver uma vida feliz, amarre-se a uma meta, não às pessoas nem às coisas.” Albert Einstein Francis Berenger 104 207Fr a n c is B e re n g e r v 1 .3 Perguntas dos Executivos Quão distante devemos ir? Será que o custo é justificado pelo benefício? O que deve ser avaliado e como avaliar? 208Fr a n c is B e re n g e r v 1 .3 Algumas Questões Relevantes • O que os nossos concorrentes estão fazendo e como estamos posicionados em relação a eles (benchmarking)? • Quais são as boas práticas aceitáveis para o ambiente de negócio e como estão colocados em relação a estas práticas? • Com base nestas comparações, podemos dizer que estamos fazendo o suficiente? • Como podemos identificar o que precisa ser feito para atingir um nível adequado de gerenciamento e controle sobre processos de TI? Francis Berenger 105 209Fr a n c is B e re n g e r v 1 .3 Algumas Questões Relevantes Onde estou? Para onde vou? Como saber se cheguei? 210Fr a n c is B e re n g e r v 1 .3 • Baseado em um método de avaliar a organização, permitindo que ela seja pontuada de um nível de maturidade não-existente (0) a otimizado (5); • Derivado do modelo de maturidade do Software Engineering Institute (SEI) usado no CMMI; • Um modelo específico é fornecido derivando dessa escala genérica para cada um dos 34 processos COBIT. Modelo de Maturidade Francis Berenger 106 211Fr a n c is B e re n g e r v 1 .3 Nível de Maturidade de um Processo de TI 212Fr a n c is B e re n g e r v 1 .3 Ao utilizar os modelos de maturidade desenvolvidos para cada um dos 34 processos de TI do COBIT, a gerência pode identificar: Modelo de Maturidade O estágio atual de performance da empresa – Onde a empresa está hoje? O estágio atual do mercado – A comparação A meta de aprimoramento da empresa – Onde a empresa quer estar? O caminho do crescimento entre o “como está” e “como será” Francis Berenger 107 213Fr a n c is B e re n g e r v 1 .3 Representação Gráfica dos Modelos de Maturidade 214Fr a n c is B e re n g e r v 1 .3 1 – Inicial / Ad hoc: Existem evidências de que a empresa reconheceu que existem questões e que precisam ser trabalhadas. No entanto, não existe processo padronizado; ao contrário, existem enfoques Ad Hoc que tendem a ser aplicados individualmente ou caso-a-caso. O enfoque geral de gerenciamento é desorganizado. Níveis de Maturidade 0 – Inexistente: Completa falta de um processo reconhecido. A empresa nem reconhece uma questão a ser trabalhada. Francis Berenger 108 215Fr a n c is B e re n g e r v 1 .3 3 – Processo Definido: Procedimentos foram padronizados, documentados e comunicados através de treinamento. É mandatório que esses processos sejam seguidos; no entanto, possivelmente desvios não serão detectados. Os procedimentos não são sofisticados mas existe a formalização das práticas existentes. Níveis de Maturidade 2 – Repetível, porém Intuitivo: Os processos evoluíram para um estágio onde procedimentos similares são seguidos por diferentes pessoas fazendo a mesma tarefa. Não existe um treinamento formal ou uma comunicação dos procedimentos padronizados e a responsabilidade é deixada com o indivíduo. Há um alto grau de confiança no conhecimento dos indivíduos e consequentemente erros podem ocorrer. 216Fr a n c is B e re n g e r v 1 .3 4 – Gerenciado e Mensurável: A gerencia monitora e mede a aderência aos procedimentos e adota ações onde os processos parecem não estar funcionando muito bem. Os processos estão debaixo de um constante aprimoramento e fornecem boas práticas. Automação e ferramenta são utilizadas de uma maneira limitada ou fragmentada Níveis de Maturidade 5 – Otimizado: Os processos foram refinados a um nível de boas práticas, baseado no resultado
Compartilhar