Baixe o app para aproveitar ainda mais
Prévia do material em texto
AULA 5 GOVERNANÇA E ESTRATÉGIA DE TI APLICADA AOS NEGÓCIOS Profª Mariana O. Silva 02 CONVERSA INICIAL Nesta aula, veremos os conceitos relacionados aos processos do COBIT 5. No total são 37 processos. Estes processos se dividem em dois grandes grupos: processos de governança empresarial de TI e processos de gestão. CONTEXTUALIZANDO Segundo a Isaca (s.d.): Os processos de governança tratam dos objetivos de governança das partes interessadas, para a criação de valor, e otimização dos riscos e dos recursos – e incluem práticas e atividades voltadas à avaliação das opções estratégicas, fornecendo orientação para a TI e monitorando o resultado. O segundo grande grupo de processos trata dos processos relacionados à gestão. A diferença entre esses dois grupos reside em seus objetivos. Em relação aos processos de gestão, a Isaca (s.d.) define que: Em consonância com as definições de gestão, práticas e atividades dos processos de gestão cobrem as áreas de responsabilidade de PBRM (Plan, Build, Run, and Monitor) de TI da organização e devem fornecer cobertura de TI de ponta a ponta. Cada empresa pode organizar seus processos conforme sua necessidade, desde que todos os objetivos de governança e gerenciamento sejam alcançados, ou seja, o objetivo da organização deve ser implementar a quantidade de processos que garanta que as principais áreas sejam cobertas. A Isaca (s.d.) defende que “Organizações de menor porte podem ter menos processos; organizações de maior porte e mais complexas poderão ter muitos processos, todos para cobrir os mesmos objetivos.” Além de contar com os processos definidos pelo seu predecessor (COBIT 4.1), o COBIT 5 incorporou os modelos de processos do Risk IT e do Val IT. Na Figura 1, podemos observar a composição desta nova versão do COBIT, na qual as práticas do framework Val IT auxiliam e suportam a tomada de decisões nos negócios e na TI, proporcionando a criação de valor concreto e mensurável ao negócio. O framework Risk IT auxilia a organização na gestão dos riscos de forma eficiente e equilibrada, em vez de tentar eliminá-los completamente. 03 Figura 1 – Frameworks da Isaca incluídos no COBIT 5 Fonte: Adaptado de Isaca, s.d. A seguir veremos detalhadamente cada um dos 37 processos de governança e gestão. TEMA 1 – PROCESSOS DE GOVERNANÇA O grupo de governança define práticas para avaliar, dirigir e monitorar (EDM – do inglês evaluate, direct e monitor). Possui 5 processos de governança que têm como objetivo primordial a criação de valor para a organização. Seus cinco processos são: Figura 2 – Processos de governança corporativa de TI Fonte: Adaptado de Isaca, s.d. 04 EDM01 – Garantir a definição e manutenção do modelo de governança: analisa e articula os requisitos para governança empresarial de TI. Coloca em prática e mantém estruturas, princípios, processos e práticas habilitadoras, com esclarecimento de responsabilidades e autoridades para alcançar a missão, metas e objetivos da organização. Práticas: avaliar, dirigir e monitorar o sistema de governança; EDM02 – Garantir a realização de benefícios: otimiza o valor que é entregue ao negócio a partir de processos de negócio, serviços de TI e ativos resultantes de investimentos feitos na TI. Práticas: avaliar, dirigir e monitorar a otimização de valor; EDM03 – Garantir a otimização do risco: assegura que o apetite e tolerância a riscos da organização é entendido, articulado e comunicado e que o risco ao valor empresarial relacionado ao uso de TI é identificado e gerenciado. Práticas: avaliar, dirigir e monitorar o gerenciamento de riscos; EDM04 – Garantir a otimização de recursos: assegura que habilidades adequadas e suficientes relacionadas a TI estão disponíveis para suportar os objetivos empresariais efetivamente a um custo ótimo. Práticas: avaliar, dirigir e monitorar o gerenciamento de recursos; EDM05 – Garantir a transparência para as partes interessadas: assegura que o desempenho, conformidade e reporte da TI são transparentes para os stakeholders aprovando as metas e métricas e ações de remedição são necessárias. Práticas: avaliar os requisitos de relatórios das partes interessadas, dirigir e monitorar a comunicação e relatórios para as partes interessadas. TEMA 2 – PROCESSOS DE GESTÃO Os processos de Gestão contêm quatro domínios, globalmente responsáveis por planejar, construir, executar e monitorar atividades alinhadas com o direcionamento estabelecido pela área de governança. 05 Figura 3 – Processos de Gestão Corporativa de TI Fonte: Adaptado de Isaca, s.d. Seus quatro domínios são: Alinhar, planejar e organizar (APO - do inglês: align, plan e organise); Construir, adquirir e implementar (BAI - do inglês: build, acquire e implement); Entregar, serviços e suporte (DSS - do inglês: deliver, service e support); Monitorar, avaliar e analisar (MEA - do inglês: monitor, evaluate e assess). 2.1 Alinhar, planejar e organizar (APO - do inglês: align, plan e organise) Fernandes e Abreu (2012) afirmam que este domínio tem abrangência estratégica e tática e identifica as formas através das quais a TI pode contribuir melhor para o atendimento dos objetivos de negócio, envolvendo planejamento, comunicação e gerenciamento em diversas perspectivas.” 06 Seus treze processos estão relacionados com a estratégia e táticas de TI, arquitetura empresarial, inovação e gerenciamento de portfólio, ou seja, visam alinhar o negócio e o planejamento: APO01 – Gerenciar a estrutura de gestão de TI: define e suporta estruturas para gerenciar o uso da TI na organização e o fluxo da informação. Algumas práticas: definir a estrutura organizacional, papéis e responsabilidades; informar os objetivos e o direcionamento da gestão; gerenciar a melhoria contínua dos processos e garantir a conformidade. APO02 – Gerenciar a estratégia: fornece uma visão do atual uso da TI, assim como da direção futura e os passos necessários para que esta visão de futuro seja atingida. Alinha os planos de TI à estratégia. Algumas práticas: compreender o direcionamento corporativo e comunicar a estratégia e o direcionamento de TI; avaliar situação atual do ambiente, capacidade e desempenho atuais e futuros de TI; realizar um levantamento dos Gaps (pontos de falha) e definir o Roadmap (visão de futuro para um determinado produto, por exemplo). APO03 – Gerenciar a arquitetura da organização: Estabelece uma arquitetura comum que garante que as estratégias de negócio e de TI serão realizadas de forma eficaz e eficiente. Essa arquitetura incorpora processos de negócios, informações, dados, aplicação e tecnologia. Algumas práticas: definir a arquitetura corporativa de referência baseada na seleção das melhores oportunidades e soluções; definir como essa arquitetura será implementada e prover serviços. APO04 – Gerenciar a inovação: identifica oportunidades de inovação em relação às necessidades do negócio, mantendo o alinhamento às tendências de TI. Algumas práticas: avaliar tecnologias emergentes e oportunidades de inovação; criar um ambiente propício à inovação; monitorar a implementação e uso de inovações. APO05 – Gerenciar o portfólio: estima e prioriza programas e serviços com base no alinhamento estratégico, mantendo o portifólio atualizado com base nas mudanças de prioridades ou em resposta ao desempenho organizacional. Algumaspráticas: determinar as fontes de recursos e selecionar os programas/projetos e serem custeados por estes recursos. Monitorar o desempenho dos investimentos no portifólio. 07 APO06 – Gerenciar orçamento e custos: administra os recursos financeiros de TI, planejando e priorizando os gastos. Práticas: gerenciar e manter finanças e orçamentos; priorizar a alocação de recursos. APO07 – Gerenciar recursos humanos: administra os recursos humanos, garantindo a melhor estruturação, colocação e habilidades destes recursos. Também é responsável pela comunicação dos papéis e responsabilidades. Práticas: gerenciar recursos terceirizados; gerenciar a equipe de TI e do negócio, planejando e rastreando dua alocação; avaliar o desempenho dos recursos. APO08 – Gerenciar relacionamentos: Gerecia o relacionamento entre a TI e o negócio, com transparência e foco na realização dos objetivos. Práticas: gerenciar o relacionamento, coordenação e comunicação com o negócio; entender as expectativas do negócio e prover a melhoria contínua de serviços. APO09 – Gerenciar contratos de prestação de serviços: alinha as expectativas do negócio em relação aos serviços prestados pela área de TI. Práticas: identificar e catalogar os serviços de TI; definir os SLA (Acordos de nível de serviço); monitorar e reportar os níveis de serviços. APO10 – Gerenciar fornecedores: gerencia os serviços de TI prestados pelos fornecedores. Práticas: selecionar fornecedores e gerenciar os relacionamentos, contratos e riscos; monitorar o desempenho dos fornecedores. APO11 – Gerenciar qualidade: determina e informa requisitos de qualidade em processos. Práticas: definir e gerenciar padrões, práticas e procedimentos de qualidade; monitorar, controlar e revisar a qualidade. APO12 – Gerenciar riscos: identificar, avaliar e mitigar os riscos relacionados a TI dentro dos níveis estabelecidos. Práticas: coletar dados relacionados aos riscos; analisar os riscos e definir um portifólio de ações de gerenciamento de riscos; tratar os riscos. APO13 – Gerenciar segurança: determina, gerencia e monitora um mecanismo para gestão de sistemas de informação. Práticas: estabelecer e manter um sistema de gestão de seguraça da informação (SGSI), assim como, monitorar e revisar este sistema; estabelecer e gerenciar um plano de tratamento de riscos de segurança da informação. 08 TEMA 3 – PROCESSOS DE GESTÃO: CONSTRUIR, ADQUIRIR E IMPLEMENTAR (BAI – DO INGLÊS: BUILD, ACQUIRE E IMPLEMENT) Para Fernandes e Abreu (2012), “este domínio cobre identificação, desenvolvimento e/ou aquisição de soluções de TI para executar a estratégia de TI estabelecida, assim como a sua implementação e integração junto aos processos de negócio.” Além disso, esse domínio é responsável pelo gerenciamento da capacidade e disponibilidade; da mudança organizacional; gerenciamento de mudanças que envolvem TI. Ademais, também endereça o aceite e transição; e gerenciamento de ativos, configuração e conhecimento. É constituído por 10 processos: BAI01 – Gerenciar programas e projetos: gerencia, inicia, planeja, controla e executa programas e projetos, e finaliza com uma monitoração após a execução dos mesmos. Práticas: iniciar programas e garantir o envolvimento das partes interessadas; desenvolver, lançar, executar e manter o programa; Iniciar, planejar, executar, monitorar e encerrar projetos dentro de um programa. BAI02 – Gerenciar a definição de requisitos: identifica soluções e avalia os requisitos antes da aquisição ou criação com o objetivo decertificar que eles estão de acordo com os requisitos estratégicos corporativos. Práticas: definir, manter e obter aprovação dos requisitos funcionais e técnicos; realizar estudo de viabilidade e propor soluções alternativas. BAI03 – Gerenciar a identificação e construção de soluções: determinar e manter soluções que estão de acordo com os requisitos de negócios. Estas soluções compreendem aspectos de design, desenvolvimento, terceirização de recursos e serviços e parcerias com fornecedores. Práticas de acordo com o COBIT: “Desenhar, construir e manter soluções e detalhes dos componentes das soluções; Desenvolver e/ou adquirir componentes das soluções; Desenhar e executar testes; e manter o portifólio” (Isaca, s.d.). BAI04 – Gerenciar a disponibilidade e capacidade: avalia a capacidade atual e prevê a capacidade futura com base nas necessidades do negócio. Práticas: criar uma linha de base avaliando a disponibilidade, desempenho e capacidade atuais dos recursos de TI; planejar a capacidade com base 09 em novos serviços ou alterações em serviços; monitorar e revisar a capacidade. BAI05 – Gerenciar a implementação de mudança organizacional: responsável pelo sucesso na implementação de mudanças organizacionais de forma rápida e com risco reduzido. Práticas: estabelecer, comunicar e sustentar o desejo de mudança; definir um time de implementação da mudança; estabelecer papéis e ganho. BAI06 – Gerenciar mudanças: gerencia todas as mudanças, desde a avaliação de impacto da mudança, até o encerramento. Práticas: avaliar, priorizar, autorizar, rastrear, reportar e encerrar mudanças; além de gerenciar mudanças emergenciais. BAI07 – Gerenciar aceite e transição de mudança: planeja a implementação da mudança, conversão de dados, testes de aceitação, comunicação, preparação de liberação, promoção para produção, assim como o processo de suporte à produção e pós-implementação da solução. Algumas práticas: gerar um plano de implementação; definir um ambiente de testes e realizar os testes de aceitação; promover a mudança para produção e gerenciar as versões; revisar a mudança após a implementação. BAI08 – Gerenciar o conhecimento: planejar a identificação, coleta, organização, manutenção e utilização do conhecimento. Responsável por manter a disponibilidade do conhecimento. Práticas: fomentar uma cultura de compartilhamento de conhecimento; avaliar e descontinuar informações. BAI09 – Gerenciar os ativos: identifcar e gerenciar os ativos de TI que agregam valor ao negócio e garantir que eles estão fisicamente protegidos, são confiáveis e disponíveis. Práticas: levantar e catalogar os ativos correntes, assim como, os ativos críticos; gerenciar o ciclo de vida e otimizar os custos; gerenciar licenças. BAI10 - Gerenciar a configuração: estabelecer uma linha de base das configurações de serviços, mantendo o repositório de configuração atualizado; efetuar a verificação e auditoria de informações de configuração. Práticas: criar e manter um modelo, repositório e linha de base de configuração; garantir o controle dos itens de configuração; produzir relatórios. 010 TEMA 4 – PROCESSOS DE GESTÃO: ENTREGAR, SERVIÇOS E SUPORTE (DSS - DO INGLÊS: DELIVER, SERVICE E SUPPORT) Fernandes e Abreu (2012) afirmam que este domínio cobre a entrega propriamente dita dos serviços requeridos, incluindo gerenciamento de segurança e continuidade, reparo de equipamentos e demais itens relacionados, suporte aos serviços para os usuários, gestão dos dados e da infraestrutura operacional. Possui 6 processos: DSS01 – Gerenciar as operações: executa e coordena as atividades e procedimentos operacionais que garantirão a entrega dos serviços de TI (terceirizados e internos). Práticas: gerenciar serviços de TI providos por terceiros; executar procedimentos operacionais; monitorar e gerenciar a infraestrutura de TI, assim como o ambiente e as instalações físicas. DSS02 – Gerenciar requisições de serviço e incidentes: processo responsável por responderde forma rápida e eficaz às requisições e resolver todos os tipos de incidentes. Práticas: definir um mecanismo para classificar serviços e incidentes; registrar, classificar, priorizar, investigar, classificar, solucionar e efetuar a recuperação de incidentes; registrar, classificar, priorizar, verificar, aprovar e atender serviços; encerrar serviços e incidentes e produzir relatórios. DSS03 – Gerenciar problemas: identificar e classificar problemas, assim como suas causas. Atuar na prevenção de incidentes. Práticas de acordo com o COBIT: “Identificar, classificar, investigar, diagnosticar, solucionar, encerrar e realizar o gerenciamento de problemas; Registrar erros conhecidos” (Isaca, s.d.). DSS04 – Gerenciar a continuidade: responsável por definir e manter um plano de continuidade do negócio em caso de incidentes e interrupções, visando manter a disponibilidade dos processos críticos de negócios e serviços de TI. Práticas: definir, manter e gerenciar um plano de continuidade dos negócios (PCN); revisar, manter, melhorar e conduzir este plano. DSS05 – Gerenciar os serviços de segurança: responsável por manter o nível de risco aceitável para a organização, com base nos níveis definidos pela política de segurança. Práticas: gerenciar a segurança de rede, conectividade, documentos e disponitivos de saída, acesso lógico de 011 usuários e acesso físico aos ativos de TI; proteger contra malware e monitorar a infraestrutura. DSS06 – Gerenciar os controles de processos de negócio: define e mantém controles de processos de negócio garantindo que todas as exigências de controle das informações pertinentes sejam satisfeitas. Práticas: controlar o processamento da informação; gerenciar erros, exceções, papéis, responsabilidade e privilégios de acesso; garantir a rastreabilidade dos eventos; garantir a segurança dos ativos de informação. TEMA 5 – PROCESSOS DE GESTÃO: MONITORAR, AVALIAR E ANALISAR (MEA - DO INGLÊS: MONITOR, EVALUATE E ASSESS) Conforme definido por Fernandes e Abreu (2012): Este domínio visa assegurar a qualidade dos processos de TI, assim como a sua governança e conformidade com os objetivos de controle, através de mecanismos regulares de acompanhamento, monitoração de controles internos e de avaliações internas e externas. De acordo com a Isaca, possui 3 processos, classificados conforme segue: MEA01 – Monitorar, Avaliar e Medir o Desempenho e Conformidade: Monitora se os processos estão sendo realizados dentro das metas e métricas (de desempenho e conformidade) estabelecidas. MEA02 – Monitorar, Avaliar e Medir o Sistema de Controle Interno: Responsável por monitorar, avaliar continuamente o ambiente de controle, identificando deficiências e oportunidades de melhorias. MEA03 – Monitorar, Avaliar e Medir a Conformidade com Requisitos Externos: Responsável por verificar se os processos de TI e negócios estão em conformidade com leis, regulamentos e contratos. FINALIZANDO Nesta aula, finalizamos o estudo detalhado dos 37 processos que compõem as áreas de processos de governança e gestão. Também foi possível compreender claramente a diferenciação entre as atividades de governança e gestão, assim como a importância dos processos de monitoramento e controle. Além disso, observamos que a própria Isaca indica que a implementação de todos os processos não é obrigatória, e depende diretamente do porte da organização e de seus objetivos de negócio. 012 REFERÊNCIAS FERNANDES, A. A.; ABREU, V. F. de. Implantando a governança de TI – da estratégia à gestão dos processos e serviços. 3. ed. Rio de Janeiro: Brasport, 2012. ISACA. COBIT 5 – Modelo corporativo para governança e gestão de TI da organização. [s.d]. Disponível em: <http://sti.tjrr.jus.br/arqpdf/governanca/guias/COBIT-5_res_Por_0914.pdf>. Acesso em: 16 jan. 2018.
Compartilhar