GOVERNANÇA E ESTRATÉGIA DE TI APLICADA AOS NEGÓCIOS

Prévia do material em texto

AULA 5 
 
 
 
 
 
 
 
 
 
GOVERNANÇA E ESTRATÉGIA 
DE TI APLICADA AOS 
NEGÓCIOS 
 
 
 
 
 
 
 
 
 
 
 
 
 
Profª Mariana O. Silva 
 
 
 
02 
CONVERSA INICIAL 
Nesta aula, veremos os conceitos relacionados aos processos do COBIT 5. 
No total são 37 processos. Estes processos se dividem em dois grandes grupos: 
processos de governança empresarial de TI e processos de gestão. 
CONTEXTUALIZANDO 
Segundo a Isaca (s.d.): 
Os processos de governança tratam dos objetivos de governança das 
partes interessadas, para a criação de valor, e otimização dos riscos e 
dos recursos – e incluem práticas e atividades voltadas à avaliação das 
opções estratégicas, fornecendo orientação para a TI e monitorando o 
resultado. 
O segundo grande grupo de processos trata dos processos relacionados à 
gestão. A diferença entre esses dois grupos reside em seus objetivos. Em relação 
aos processos de gestão, a Isaca (s.d.) define que: 
Em consonância com as definições de gestão, práticas e atividades dos 
processos de gestão cobrem as áreas de responsabilidade de PBRM 
(Plan, Build, Run, and Monitor) de TI da organização e devem fornecer 
cobertura de TI de ponta a ponta. 
Cada empresa pode organizar seus processos conforme sua necessidade, 
desde que todos os objetivos de governança e gerenciamento sejam alcançados, 
ou seja, o objetivo da organização deve ser implementar a quantidade de 
processos que garanta que as principais áreas sejam cobertas. A Isaca (s.d.) 
defende que “Organizações de menor porte podem ter menos processos; 
organizações de maior porte e mais complexas poderão ter muitos processos, 
todos para cobrir os mesmos objetivos.” 
Além de contar com os processos definidos pelo seu predecessor (COBIT 
4.1), o COBIT 5 incorporou os modelos de processos do Risk IT e do Val IT. Na 
Figura 1, podemos observar a composição desta nova versão do COBIT, na qual 
as práticas do framework Val IT auxiliam e suportam a tomada de decisões nos 
negócios e na TI, proporcionando a criação de valor concreto e mensurável ao 
negócio. O framework Risk IT auxilia a organização na gestão dos riscos de forma 
eficiente e equilibrada, em vez de tentar eliminá-los completamente. 
 
 
 
 
 
03 
Figura 1 – Frameworks da Isaca incluídos no COBIT 5 
 
 
Fonte: Adaptado de Isaca, s.d. 
A seguir veremos detalhadamente cada um dos 37 processos de 
governança e gestão. 
TEMA 1 – PROCESSOS DE GOVERNANÇA 
O grupo de governança define práticas para avaliar, dirigir e monitorar 
(EDM – do inglês evaluate, direct e monitor). Possui 5 processos de governança 
que têm como objetivo primordial a criação de valor para a organização. Seus 
cinco processos são: 
Figura 2 – Processos de governança corporativa de TI 
 
Fonte: Adaptado de Isaca, s.d. 
 
 
 
04 
 EDM01 – Garantir a definição e manutenção do modelo de governança: 
analisa e articula os requisitos para governança empresarial de TI. Coloca 
em prática e mantém estruturas, princípios, processos e práticas 
habilitadoras, com esclarecimento de responsabilidades e autoridades para 
alcançar a missão, metas e objetivos da organização. Práticas: avaliar, 
dirigir e monitorar o sistema de governança; 
 EDM02 – Garantir a realização de benefícios: otimiza o valor que é 
entregue ao negócio a partir de processos de negócio, serviços de TI e 
ativos resultantes de investimentos feitos na TI. Práticas: avaliar, dirigir e 
monitorar a otimização de valor; 
 EDM03 – Garantir a otimização do risco: assegura que o apetite e 
tolerância a riscos da organização é entendido, articulado e comunicado e 
que o risco ao valor empresarial relacionado ao uso de TI é identificado e 
gerenciado. Práticas: avaliar, dirigir e monitorar o gerenciamento de riscos; 
 EDM04 – Garantir a otimização de recursos: assegura que habilidades 
adequadas e suficientes relacionadas a TI estão disponíveis para suportar 
os objetivos empresariais efetivamente a um custo ótimo. Práticas: avaliar, 
dirigir e monitorar o gerenciamento de recursos; 
 EDM05 – Garantir a transparência para as partes interessadas: assegura 
que o desempenho, conformidade e reporte da TI são transparentes para 
os stakeholders aprovando as metas e métricas e ações de remedição são 
necessárias. Práticas: avaliar os requisitos de relatórios das partes 
interessadas, dirigir e monitorar a comunicação e relatórios para as partes 
interessadas. 
TEMA 2 – PROCESSOS DE GESTÃO 
Os processos de Gestão contêm quatro domínios, globalmente 
responsáveis por planejar, construir, executar e monitorar atividades alinhadas 
com o direcionamento estabelecido pela área de governança. 
 
 
 
 
 
 
 
 
05 
Figura 3 – Processos de Gestão Corporativa de TI 
 
Fonte: Adaptado de Isaca, s.d. 
Seus quatro domínios são: 
 Alinhar, planejar e organizar (APO - do inglês: align, plan e organise); 
 Construir, adquirir e implementar (BAI - do inglês: build, acquire e 
implement); 
 Entregar, serviços e suporte (DSS - do inglês: deliver, service e support); 
 Monitorar, avaliar e analisar (MEA - do inglês: monitor, evaluate e assess). 
2.1 Alinhar, planejar e organizar (APO - do inglês: align, plan e organise) 
Fernandes e Abreu (2012) afirmam que 
este domínio tem abrangência estratégica e tática e identifica as formas 
através das quais a TI pode contribuir melhor para o atendimento dos 
objetivos de negócio, envolvendo planejamento, comunicação e 
gerenciamento em diversas perspectivas.” 
 
 
06 
Seus treze processos estão relacionados com a estratégia e táticas de TI, 
arquitetura empresarial, inovação e gerenciamento de portfólio, ou seja, visam 
alinhar o negócio e o planejamento: 
 APO01 – Gerenciar a estrutura de gestão de TI: define e suporta estruturas 
para gerenciar o uso da TI na organização e o fluxo da informação. 
Algumas práticas: definir a estrutura organizacional, papéis e 
responsabilidades; informar os objetivos e o direcionamento da gestão; 
gerenciar a melhoria contínua dos processos e garantir a conformidade. 
 APO02 – Gerenciar a estratégia: fornece uma visão do atual uso da TI, 
assim como da direção futura e os passos necessários para que esta visão 
de futuro seja atingida. Alinha os planos de TI à estratégia. Algumas 
práticas: compreender o direcionamento corporativo e comunicar a 
estratégia e o direcionamento de TI; avaliar situação atual do ambiente, 
capacidade e desempenho atuais e futuros de TI; realizar um levantamento 
dos Gaps (pontos de falha) e definir o Roadmap (visão de futuro para um 
determinado produto, por exemplo). 
 APO03 – Gerenciar a arquitetura da organização: Estabelece uma 
arquitetura comum que garante que as estratégias de negócio e de TI 
serão realizadas de forma eficaz e eficiente. Essa arquitetura incorpora 
processos de negócios, informações, dados, aplicação e tecnologia. 
Algumas práticas: definir a arquitetura corporativa de referência baseada 
na seleção das melhores oportunidades e soluções; definir como essa 
arquitetura será implementada e prover serviços. 
 APO04 – Gerenciar a inovação: identifica oportunidades de inovação em 
relação às necessidades do negócio, mantendo o alinhamento às 
tendências de TI. Algumas práticas: avaliar tecnologias emergentes e 
oportunidades de inovação; criar um ambiente propício à inovação; 
monitorar a implementação e uso de inovações. 
 APO05 – Gerenciar o portfólio: estima e prioriza programas e serviços com 
base no alinhamento estratégico, mantendo o portifólio atualizado com 
base nas mudanças de prioridades ou em resposta ao desempenho 
organizacional. Algumaspráticas: determinar as fontes de recursos e 
selecionar os programas/projetos e serem custeados por estes recursos. 
Monitorar o desempenho dos investimentos no portifólio. 
 
 
07 
 APO06 – Gerenciar orçamento e custos: administra os recursos financeiros 
de TI, planejando e priorizando os gastos. Práticas: gerenciar e manter 
finanças e orçamentos; priorizar a alocação de recursos. 
 APO07 – Gerenciar recursos humanos: administra os recursos humanos, 
garantindo a melhor estruturação, colocação e habilidades destes recursos. 
Também é responsável pela comunicação dos papéis e responsabilidades. 
Práticas: gerenciar recursos terceirizados; gerenciar a equipe de TI e do 
negócio, planejando e rastreando dua alocação; avaliar o desempenho dos 
recursos. 
 APO08 – Gerenciar relacionamentos: Gerecia o relacionamento entre a TI 
e o negócio, com transparência e foco na realização dos objetivos. 
Práticas: gerenciar o relacionamento, coordenação e comunicação com o 
negócio; entender as expectativas do negócio e prover a melhoria contínua 
de serviços. 
 APO09 – Gerenciar contratos de prestação de serviços: alinha as 
expectativas do negócio em relação aos serviços prestados pela área de 
TI. Práticas: identificar e catalogar os serviços de TI; definir os SLA 
(Acordos de nível de serviço); monitorar e reportar os níveis de serviços. 
 APO10 – Gerenciar fornecedores: gerencia os serviços de TI prestados 
pelos fornecedores. Práticas: selecionar fornecedores e gerenciar os 
relacionamentos, contratos e riscos; monitorar o desempenho dos 
fornecedores. 
 APO11 – Gerenciar qualidade: determina e informa requisitos de qualidade 
em processos. Práticas: definir e gerenciar padrões, práticas e 
procedimentos de qualidade; monitorar, controlar e revisar a qualidade. 
 APO12 – Gerenciar riscos: identificar, avaliar e mitigar os riscos 
relacionados a TI dentro dos níveis estabelecidos. Práticas: coletar dados 
relacionados aos riscos; analisar os riscos e definir um portifólio de ações 
de gerenciamento de riscos; tratar os riscos. 
 APO13 – Gerenciar segurança: determina, gerencia e monitora um 
mecanismo para gestão de sistemas de informação. Práticas: estabelecer e 
manter um sistema de gestão de seguraça da informação (SGSI), assim 
como, monitorar e revisar este sistema; estabelecer e gerenciar um plano 
de tratamento de riscos de segurança da informação. 
 
 
08 
TEMA 3 – PROCESSOS DE GESTÃO: CONSTRUIR, ADQUIRIR E IMPLEMENTAR 
(BAI – DO INGLÊS: BUILD, ACQUIRE E IMPLEMENT) 
Para Fernandes e Abreu (2012), “este domínio cobre identificação, 
desenvolvimento e/ou aquisição de soluções de TI para executar a estratégia de 
TI estabelecida, assim como a sua implementação e integração junto aos 
processos de negócio.” 
Além disso, esse domínio é responsável pelo gerenciamento da 
capacidade e disponibilidade; da mudança organizacional; gerenciamento de 
mudanças que envolvem TI. Ademais, também endereça o aceite e transição; e 
gerenciamento de ativos, configuração e conhecimento. É constituído por 10 
processos: 
 BAI01 – Gerenciar programas e projetos: gerencia, inicia, planeja, controla 
e executa programas e projetos, e finaliza com uma monitoração após a 
execução dos mesmos. Práticas: iniciar programas e garantir o 
envolvimento das partes interessadas; desenvolver, lançar, executar e 
manter o programa; Iniciar, planejar, executar, monitorar e encerrar 
projetos dentro de um programa. 
 BAI02 – Gerenciar a definição de requisitos: identifica soluções e avalia os 
requisitos antes da aquisição ou criação com o objetivo decertificar que 
eles estão de acordo com os requisitos estratégicos corporativos. Práticas: 
definir, manter e obter aprovação dos requisitos funcionais e técnicos; 
realizar estudo de viabilidade e propor soluções alternativas. 
 BAI03 – Gerenciar a identificação e construção de soluções: determinar e 
manter soluções que estão de acordo com os requisitos de negócios. Estas 
soluções compreendem aspectos de design, desenvolvimento, 
terceirização de recursos e serviços e parcerias com fornecedores. Práticas 
de acordo com o COBIT: “Desenhar, construir e manter soluções e 
detalhes dos componentes das soluções; Desenvolver e/ou adquirir 
componentes das soluções; Desenhar e executar testes; e manter o 
portifólio” (Isaca, s.d.). 
 BAI04 – Gerenciar a disponibilidade e capacidade: avalia a capacidade 
atual e prevê a capacidade futura com base nas necessidades do negócio. 
Práticas: criar uma linha de base avaliando a disponibilidade, desempenho 
e capacidade atuais dos recursos de TI; planejar a capacidade com base 
 
 
09 
em novos serviços ou alterações em serviços; monitorar e revisar a 
capacidade. 
 BAI05 – Gerenciar a implementação de mudança organizacional: 
responsável pelo sucesso na implementação de mudanças organizacionais 
de forma rápida e com risco reduzido. Práticas: estabelecer, comunicar e 
sustentar o desejo de mudança; definir um time de implementação da 
mudança; estabelecer papéis e ganho. 
 BAI06 – Gerenciar mudanças: gerencia todas as mudanças, desde a 
avaliação de impacto da mudança, até o encerramento. Práticas: avaliar, 
priorizar, autorizar, rastrear, reportar e encerrar mudanças; além de 
gerenciar mudanças emergenciais. 
 BAI07 – Gerenciar aceite e transição de mudança: planeja a 
implementação da mudança, conversão de dados, testes de aceitação, 
comunicação, preparação de liberação, promoção para produção, assim 
como o processo de suporte à produção e pós-implementação da solução. 
Algumas práticas: gerar um plano de implementação; definir um ambiente 
de testes e realizar os testes de aceitação; promover a mudança para 
produção e gerenciar as versões; revisar a mudança após a 
implementação. 
 BAI08 – Gerenciar o conhecimento: planejar a identificação, coleta, 
organização, manutenção e utilização do conhecimento. Responsável por 
manter a disponibilidade do conhecimento. Práticas: fomentar uma cultura 
de compartilhamento de conhecimento; avaliar e descontinuar informações. 
 BAI09 – Gerenciar os ativos: identifcar e gerenciar os ativos de TI que 
agregam valor ao negócio e garantir que eles estão fisicamente protegidos, 
são confiáveis e disponíveis. Práticas: levantar e catalogar os ativos 
correntes, assim como, os ativos críticos; gerenciar o ciclo de vida e 
otimizar os custos; gerenciar licenças. 
 BAI10 - Gerenciar a configuração: estabelecer uma linha de base das 
configurações de serviços, mantendo o repositório de configuração 
atualizado; efetuar a verificação e auditoria de informações de 
configuração. Práticas: criar e manter um modelo, repositório e linha de 
base de configuração; garantir o controle dos itens de configuração; 
produzir relatórios. 
 
 
010 
TEMA 4 – PROCESSOS DE GESTÃO: ENTREGAR, SERVIÇOS E SUPORTE (DSS - 
DO INGLÊS: DELIVER, SERVICE E SUPPORT) 
Fernandes e Abreu (2012) afirmam que 
este domínio cobre a entrega propriamente dita dos serviços requeridos, 
incluindo gerenciamento de segurança e continuidade, reparo de 
equipamentos e demais itens relacionados, suporte aos serviços para os 
usuários, gestão dos dados e da infraestrutura operacional. 
Possui 6 processos: 
 DSS01 – Gerenciar as operações: executa e coordena as atividades e 
procedimentos operacionais que garantirão a entrega dos serviços de TI 
(terceirizados e internos). Práticas: gerenciar serviços de TI providos por 
terceiros; executar procedimentos operacionais; monitorar e gerenciar a 
infraestrutura de TI, assim como o ambiente e as instalações físicas. 
 DSS02 – Gerenciar requisições de serviço e incidentes: processo 
responsável por responderde forma rápida e eficaz às requisições e 
resolver todos os tipos de incidentes. Práticas: definir um mecanismo para 
classificar serviços e incidentes; registrar, classificar, priorizar, investigar, 
classificar, solucionar e efetuar a recuperação de incidentes; registrar, 
classificar, priorizar, verificar, aprovar e atender serviços; encerrar serviços 
e incidentes e produzir relatórios. 
 DSS03 – Gerenciar problemas: identificar e classificar problemas, assim 
como suas causas. Atuar na prevenção de incidentes. Práticas de acordo 
com o COBIT: “Identificar, classificar, investigar, diagnosticar, solucionar, 
encerrar e realizar o gerenciamento de problemas; Registrar erros 
conhecidos” (Isaca, s.d.). 
 DSS04 – Gerenciar a continuidade: responsável por definir e manter um 
plano de continuidade do negócio em caso de incidentes e interrupções, 
visando manter a disponibilidade dos processos críticos de negócios e 
serviços de TI. Práticas: definir, manter e gerenciar um plano de 
continuidade dos negócios (PCN); revisar, manter, melhorar e conduzir 
este plano. 
 DSS05 – Gerenciar os serviços de segurança: responsável por manter o 
nível de risco aceitável para a organização, com base nos níveis definidos 
pela política de segurança. Práticas: gerenciar a segurança de rede, 
conectividade, documentos e disponitivos de saída, acesso lógico de 
 
 
011 
usuários e acesso físico aos ativos de TI; proteger contra malware e 
monitorar a infraestrutura. 
 DSS06 – Gerenciar os controles de processos de negócio: define e 
mantém controles de processos de negócio garantindo que todas as 
exigências de controle das informações pertinentes sejam satisfeitas. 
Práticas: controlar o processamento da informação; gerenciar erros, 
exceções, papéis, responsabilidade e privilégios de acesso; garantir a 
rastreabilidade dos eventos; garantir a segurança dos ativos de informação. 
TEMA 5 – PROCESSOS DE GESTÃO: MONITORAR, AVALIAR E ANALISAR 
(MEA - DO INGLÊS: MONITOR, EVALUATE E ASSESS) 
Conforme definido por Fernandes e Abreu (2012): 
Este domínio visa assegurar a qualidade dos processos de TI, assim 
como a sua governança e conformidade com os objetivos de controle, 
através de mecanismos regulares de acompanhamento, monitoração de 
controles internos e de avaliações internas e externas. 
De acordo com a Isaca, possui 3 processos, classificados conforme segue: 
 MEA01 – Monitorar, Avaliar e Medir o Desempenho e Conformidade: 
Monitora se os processos estão sendo realizados dentro das metas e 
métricas (de desempenho e conformidade) estabelecidas. 
 MEA02 – Monitorar, Avaliar e Medir o Sistema de Controle Interno: 
Responsável por monitorar, avaliar continuamente o ambiente de 
controle, identificando deficiências e oportunidades de melhorias. 
 MEA03 – Monitorar, Avaliar e Medir a Conformidade com Requisitos 
Externos: Responsável por verificar se os processos de TI e negócios 
estão em conformidade com leis, regulamentos e contratos. 
FINALIZANDO 
Nesta aula, finalizamos o estudo detalhado dos 37 processos que 
compõem as áreas de processos de governança e gestão. Também foi possível 
compreender claramente a diferenciação entre as atividades de governança e 
gestão, assim como a importância dos processos de monitoramento e controle. 
Além disso, observamos que a própria Isaca indica que a implementação 
de todos os processos não é obrigatória, e depende diretamente do porte da 
organização e de seus objetivos de negócio. 
 
 
 
 
012 
REFERÊNCIAS 
FERNANDES, A. A.; ABREU, V. F. de. Implantando a governança de TI – da 
estratégia à gestão dos processos e serviços. 3. ed. Rio de Janeiro: Brasport, 
2012. 
ISACA. COBIT 5 – Modelo corporativo para governança e gestão de TI da 
organização. [s.d]. Disponível em: 
<http://sti.tjrr.jus.br/arqpdf/governanca/guias/COBIT-5_res_Por_0914.pdf>. 
Acesso em: 16 jan. 2018.