governanca de ti
DESCRIPTION
Portal GSTI ----------------------------------------------------- Participe dos treinamentos de preparação para a certificação ITIL e COBIT via EAD. Solicite agora mesmo o material gratuito de amostra dos cursos e inicie seus estudos. [email protected] ----------------------------------------------------- http://www.portalgsti.com.br/Publicidade Portal GSTI ----------------------------------------------------- Participe dos treinamentos de preparação para a certificação ITIL e COBIT via EAD. Solicite agora mesmo o material gratuito de amostra dos cursos e inicie seus estudos. [email protected] ----------------------------------------------------- http://www.portalgsti.com.br/Publicidade Portal GSTI ----------------------------------------------------- Participe dos treinamentos de preparação para a certificação ITIL e COBIT via EAD. Solicite agora mesmo o material gratuito de amostra dos cursos e inicie seus estudos. [email protected] ----------------------------------------------------- http://www.portalgsti.com.br/TRANSCRIPT
•Anna Conolly
• Marcelo Nascimento
• Paulo Rogério
• Tiago Macedo
Governança de TI
Conceito:Governança de TI:A especificação dos direitos decisórios e do framework de responsabilidades para estimular comportamentos desejáveis na ultilização da TI.
O Equívoco
Grandes equívocos de definição tem ocorrido freqüentemente, onde se conceitua GTI como um painel de indicadores, ou como um processo de gestão de portfólio dos projetos estratégicos. Conceito de que com a implementação de alguns processos baseados em apenas uma das melhores práticas ou modelos (como Balanced Scoredcards (BSC), CobiT, ou ITIL) por si só, garantem a Governança, entretanto este conceito está incorreto.
Conceito:“Governança de TI é um conjunto de práticas, padrões e relacionamentos estruturados, assumidos por executivos, gestores, técnicos e usuários de TI de uma organização, com a finalidade de garantir controles efetivos, ampliar os processos de segurança, minimizar os riscos, ampliar o desempenho, otimizar a aplicação de recursos, reduzir os custos, suportar as melhores decisões e conseqüentemente alinhar TI aos negócios.”
Professor da FGV Sr. João R. Peres
Dentro destes conceitos, uma GOVERNANÇA DE TI eficaz deve tratar de três questões:
1. Quais decisões devem ser tomadas para garantir a gestão e o uso eficaz de TI? 2. Quem deve tomar essas decisões? 3. Como essas decisões serão tomadas e monitoradas?
Por que a Governaça de TI é importante?
Porque a estrutura em Governança de TI irá garantir que os objetivos acordadospara TI, controles de gestão e efetivo monitoramento do desempenho para manteros resultados sobre controle e evitar resultados indesejados estejam implantados.
As organizações requerem uma boa estrutura para gerenciar estes e outrosdesafios como:
Arquétipos da Governança de TI para a Alocação de Direitos Decisórios
Para compreender como as empresas governam, descreveu-se os arranjos de governança de 256 empresas pesquisadas. Eram empresas de grande porte com investimento médio de 8% de suas despesas totais em Tecnologia da Informação e empregava 850 profissionais de TI.
Arquétipos (Modelos, padrão..)
Foram utilizados arquétipos políticos (monarquia, feudalismo, federalismo, duopólio e anarquia) para descrever as combinações de pessoas que têm direitos decisórios ou que contribuem para a tomada de decisões de TI. Um desses arquétipos pode descrever como a empresa toma uma ou mais das cinco decisões-chave de TI ou contribui com os tomadores de decisão
Monarquia de Negócio
Os altos executivos de negócios tomam decisões de TI que afetam a empresa como um todo. Tipicamente, as Monarquias de Negócios aceitam contribuições de muitas fontes para as decisões-chave. Por exemplo, decisões de investimentos em TI recebem contribuições dos subordinados diretos do CIO (chief Information Officer – Gestor de TI), dos líderes de TI das unidades de negócios, do processo de gestão de orçamento da empresa, e etc.
Monarquia de TI
Profissionais de Tecnologia da Informação tomam as decisões de TI. As empresas implementam monarquia de TI de muitas maneiras diferentes. Um exemplo é um grupo de arquitetura de TI com representações de todas as regiões, de todas as unidades de negócios estratégicas que propõe “regras” de arquitetura para a equipe da alta gerência de TI formada pelo CIO corporativo e pelos CIOs das maiores unidades de negócios. Essa equipe é responsável pela clareza dessas regras e detém o poder de impor as normas de arquitetura de TI.
Feudalismo
Baseado nas tradições da Inglaterra feudal, onde os príncipes e as princesas ou os cavaleiros por eles escolhidos, tomavam suas próprias decisões otimizando suas necessidades locais. No caso da Governança de TI a entidade feudal é tipicamente a unidade de negócio, a região ou a função.De modo geral, esse modelo não se mostrou muito comum, porque a maioria das empresas estava em busca de sinergia (inter-relação) entre as unidades de negócio. Esse modelo não facilita a tomada de decisão da empresa como um todo.
Federalismo
Esse modelo tem uma longa tradição nos governos. Arranjos federalistas tentam equilibrar as responsabilidades e cobranças de múltiplos órgãos de governo, como país e estados. Sua utilidade está em negociar tanto os interesses da organização central (tipicamente a sede) como também os interesses das unidades de negócios. Os representantes das unidades no modelo federalista podem ser os seus líderes ou os detentores de processos de negócios. Líderes de TI em nível corporativo e/ou das unidades de negócios também podem envolver-se como participantes adicionais. Este modelo é, sem dúvida, o mais difícil arquétipo para a tomada de decisões, pois os líderes das empresas tem preocupações diferentes das dos líderes de unidades de negócios.Geralmente, as unidades de negócios maiores e mais poderosas ganham mais atenção e tem maior influência sobre as decisões. Consequentemente, as unidades menores estão sempre insatisfeitas e por vezes se separam da união para atender suas próprias necessidades. As empresas que adotam estruturas de governança federalista costumam fazer uso de equipes administrativas e comitês executivos para resolver conflitos inerentes.
Duopólio de TI
É um arranjo entre duas partes e as decisões representam um consenso bilateral entre executivos de TI e algum outro grupo. O duopólio difere do federalismo no sentido de que o arranjo federalista tem sempre representação tanto corporativa como local, ao passo que o duopólio tem uma ou outra, mas nunca as duas representações, e inclui, invariavelmente, profissionais de TI.Mais de um terço das 256 empresas consultadas utilizava duopólios nos processos de decisões nos três domínios menos técnicos da TI: os princípios de TI, as necessidades de aplicações de negócios e os
investimentos em TI. Duopólios também eram frequentemente utilizados para prover contribuições a decisões sobre arquitetura e infra-estrutura.
Anarquia
Numa anarquia, indivíduos ou pequenos grupos tomam suas próprias decisões com base somente em suas necessidades locais. As anarquias são a ruína de muitos grupos de TI, sendo caras de sustentar e preservar. Anarquias formalmente sancionadas são raras, mas aparecem nos casos em que se observa especificamente um cliente individual.
Princípios de Liderança para a Governança de TI
Sintomas da Governança Ineficaz
A boa governança melhora a tomada de decisão e o desempenho da TI. Formular a governança consiste em fazer com que as pessoas certas tomem as decisões de TI e monitorem seu desempenho. A boa governança dá poderes decisórios ás pessoas certas mesmo quando as necessidades mudam.
EIS AQUI ALGUNS SINTOMAS COMUNS DE UMA GOVERNANÇA QUE NÃO FUNCIONA
A alta gerência vê pouco valor nos investimentos de TIOS ADMINISTRADORES Seniores tem receio ou dúvidas não-racionais quanto ao valor de negócio derivados de seus investimentos em TI?Tipicamente, os administradores seniores reagem a essas preocupações de maneiras diferentes. Alguns compenetram-se em aprender mais sobre TI. Outros, abdicam da responsabilidade em prol de colegas como Gerentes de TI, pois não sabem como agir ou não acham isso importante. Outros ainda contratam consultores para “consertar o problema”.
Em vez de começar com o aumento de controle, a abdicação ou o envolvimento de novas pessoas, analise primeiro a governança de TI. Talvez as pessoas erradas estejam tomando as decisões de TI ou as pessoas que as tomam precisem de educação administrativa. Se os membros da equipe de administradores seniores não souberem apontar um registro de desempenho dos investimentos recentes de TI, a governança é um problema.
A TI frequentemente é uma barreira para a implementação de novas estratégiasAo invés de agir como habilitadora estratégica, a TI age como frequentemente como uma barreira?
Se a TI limita a habilidade de responder a novas oportunidades de mercado, a infra-estrutura de TI pode ser inadequada ou mesmo não estar operando bem. Problemas como integração de sistemas incompatíveis, decorrentes de plataformas técnicas obsoletas, aplicações redundantes ou dados redundantes com definições não padronizadas. Esses problemas normalmente são causados por sistemas que são desenvolvidos de forma independentes, muitas vezes em plataformas diferentes, em épocas diferentes sem estarem vinculados a nenhuma arquitetura da empresa.Para ajustar a infra-estrutura é preciso levar os líderes de TI à mesa estratégica.
A alta gerência não consegue explicar a Governança de TI Os administradores Seniores entendem como a TI é governada?
Quanto mais administradores em posições de liderança forem capazes de descrever com precisão a Governança de TI, melhor será o desempenho da governança. Em especial, eles sabem quais decisões são tomadas pela área de TI e quais decisões lhe cabem tomar. Se os administradores não conseguirem descrever a Governança de TI, como poderão segui-la? Se menos de 50% dos administradores em posição de liderança forem capazes de descrever com precisão a governança de TI e o número não estiver aumentando mês a mês, a governança é um problema.
Projetos de TI frequentemente atrasam e excedem o orçamento.Grande número de estudos realizados nos últimos dez anos em vários países constatou que a proporção de projetos de TI concluídos dentro do prazo e dentro do orçamento fica tipicamente abaixo da metade. Uma governança de Ti eficaz deve prover consistência a gestão de projetos e à concepção de programas.
Se 90% deles não forem concluídos no prazo e dento do orçamento, a Governança de TI é um problema.
A alta gerência vê a terceirização como um reparo rápido para problemas de TIA terceirização seletiva de capacidades de TI pode ser uma estratégia administrativa. Muitas empresas terceirizam serviços comuns de TI e criam outros internamente ou talvez em parceria (desenvolvimento de sistemas em cooperação com um produtor de ponta!). No entanto, algumas decisões de terceirização resultam em frustrações com as TI. Preocupados com os custos ou com sua falta de valor, alguns administradores recorrem a terceirização como um “reparo rápido” para controlar o problema. Terceirizar como reparo rápido, motivado pela frustração com a TI, sugere que a Governança de TI seja um problema.
A governança muda frequentemente A governança não precisa ser alterada a cada pequena mudança estratégica ou alteração de ênfase. Por exemplo,. Uma livraria on-line que passa a oferecer, além de impressos, produtos eletrônicos e roupas para seus clientes. Houve uma mudança na estratégia, mas a estratégia fundamental de oferecer serviços on-line não mudou.
Os dez princípios mais importantes de Liderança da Governança de TI
1) Formule ativamente a governança2) Saiba quando reformular3) Envolva os administradores seniores4) Faça escolhas5) Esclareça o processo de tratamento de exceções6) Ofereça os incentivos certos7) Atribua a propriedade e a responsabilidade pela governança de TI8) Formule a governança em múltiplos níveis organizacionais9) Proporcione transparência e educação10) Implemente mecanismos comuns entre os seis ativos principais (Ativos humanos, ativos
financeiros, ativos físicos, ativos de propriedade intelectual, ativos de informática e TI e ativos de relacionamento)
1. Mecanismos para Implementar a Governança de TI
Governança de TI pode ser caótica. Ela fomenta debates, negociações, discórdias construtivas, educação mútua e muitas vezes frustração. O processo é caótico, mas bons arranjos de governança habilitam indivíduos que representam metas conflitantes a reconciliar suas visões em beneficio de sua empresa.
As empresas implementas seus arranjos de governança por meio de um conjunto de mecanismos de governança – estruturas, processos e comunicações. Mecanismos bem concebidos, bem compreendidos e transparentes promovem comportamentos desejáveis em termos de TI. Por outro lado, se os mecanismos forem mal implementados, os arranjos de governança não trarão os resultados desejados. Existem mais de quinze mecanismos de governança de TI. Uma governança eficaz adota três tipos diferentes de mecanismos:
• Estruturas de tomadas de decisão: Unidades e papéis organizacionais responsáveis por tomar decisões de TI, como comitês, equipes executivas e gerentes de racionamento entre negócios e TI.
• Processos de alinhamento: Processos formais para assegurar que os comportamentos cotidianos sejam consistentes com as políticas de TI e contribuam com as decisões. Incluem processos de avaliação e proposta de investimento em TI, processos de exceções de arquitetura, acordos de nível de serviço cobrança reversa e métricas.
• Abordagens de comunicação: Comunicados, porta-vozes, canais e esforços de educação que disseminam os princípios e as políticas da Governança de Ti e os resultados dos processos decisórios em TI
• Outros mecanismos:1. Comitê administrativo executivo ou sênior2. Comitê de liderança de TI, compreendendo executivos de TI3. Equipes de processo com membros de TI4. Gerentes de relacionamento entre negócios e TI5. Conselho de TI, compreendendo executivos de negócios e TI6. Comitê de arquitetura7. Comitê de aprovação de capital8. Acompanhamento de projetos de TI e recursos consumidos9. Acordos de nível de serviço10. Rastreamento formal do valor de negócio da TI11. Arranjos de cobrança reversa12. Trabalho com gerentes que não seguem as regras13. Comunicados da alta gerência14. Escritório do CIO ou escritório da governança de TI15. Portais Web e intranets para TI
1.1. Estruturas de tomadas de decisão
Os mecanismos mais visíveis da Governança de TI são as estruturas organizacionais que alocam responsabilidades decisórias de acordo com os arquétipos pretendidos. Idealmente, toda empresa envolve líderes tanto de TI como de negócios no processo de governança. As estruturas de tomadas de decisão são a abordagem natural para gerar comprometimento – embora alguns executivos tenham notoriamente se livrado de suas responsabilidades pela Governança de TI. Para avaliar as alternativas de modelos de governança, identificamos os mecanismos decisórios mais comumente empregados nos arquétipos de monarquia de negócio, federalismo, monarquia de TI e duopólio. Empresas co uma governança eficaz mesclam e combinam estruturas de tomadas de decisão para implementar arquétipos pré-definidos e atingir ao final suas metas organizacionais.
1.2. Processos de alinhamento
As estruturas de tomadas de decisão são o primeiro passo na concepção da Governança de TI. Mas uma governança eficaz é uma questão tanto de ações como de decisões. Os processos de alinhamento são técnicas da administração de TI para assegurar o envolvimento geral na administração e utilização efetiva da Tecnologia da Informação. Os processos de alinhamento devem levar todos a bordo, tanto contribuindo para as decisões de governança como disseminando os produtos das decisões de TI. Os principais processos de alinhamento incluem o processo de aprovação de investimentos, o processo de exceções à arquitetura, os acordos de nível de serviço, a cobrança reversa, o acompanhamento de projetos e o rastreamento formal do valor de negócios gerado da TI.
1.3. Abordagens de comunicação
Os mecanismos de comunicação destinam-se a “difundir a palavra” por toda a empresa sobre as decisões e os processos de Governança de TI e sobre os respectivos comportamentos desejáveis. As empresas comunicam de várias maneiras seus mecanismos de governança. Descobrimos que quanto mais a administração comunicava formalmente a existência de mecanismos de governança, como eles funcionavam e quais os resultados esperados, mais eficaz era sua governança.
1.4. Coordenando mecanismos múltiplos: O caso das companhias Carlson
As companhias Carlson, são um conglomerado privado de US$ 19,8 bilhões no negócio de marketing, hotelaria e viagens. Ela tem crescido mediante aquisições e possui grupos operacionais nas áreas de serviços de marketing de relacionamento, programas de fidelidade, hotéis, restaurantes, cruzeiros e serviços de viagem. Entre os nomes no portfólio da Carlson estão as cadeias de hotéis Regent Internacional Hotels E Radisson Hotel & Resorts, os restaurantes T.G.I.Friday’s, o carlson Marketing Group, a Carlson Wagonlit Travel, A Radisson Seven Seas Cruises e a Gold Points Reward Network. Sediada em Minneapolis, Minnesota, as Companhia Carlson e suas franquias empregam mais de 180 mil pessoas em mais de 140 países.
Em 2000, a Chairman e CEO Marilyn Carlson Nelson articulou a idéia de apresentar aos clientes da Carlson uma visão integrada dos negócios da empresa. Tradicionalmente, cada grupo operacional funcionava de maneira independente e Ra até mesmo incentivado a concorrer com outros grupos operacionais. Nelson tencionava mudar o relacionamento entre os grupos operacionais de competitivo para colaborativo. Ela incumbiu o CIO Steve Brown de mapear as fundações tecnológicas ara essa mudança. Brown, que se reportava diretamente à CEO, recebeu a responsabilidade por definir o papel da TI na empresa integrada.
Brown definiu dois princípios de TI:
1. O desenvolvimento de aplicações deve ser apresentado aos usuários por meio de um portal comum, e, quando necessários, os dados devem ser compartilhados entre as unidades de negócio.
2. A Carlson terá uma infra-estrutura de Ti compartilhada
Para traduzir esses princípios em decisões sobre arquitetura, infra-estrutura, aplicações de negócios e investimentos em TI, a Carlson atribuiu responsabilidades pela Governança de TI a cinco estruturas de tomadas de decisão: Comitês Carlson de Arquitetura Tecnológica – residentes nos grupos operacionais –, Organização de Arquitetura da Empresa, Conselho de TI, Conselho Carlson de Serviços Compartilhados e Comitê de Investimentos.
2. Qual Governança de TI Funciona melhor?
Até o momento, houve poucas pesquisas com base experimental, revelando quais arranjos de governança funcionam melhor e, ainda, compreendendo o que funciona melhor em geral, assim como os objetivos específicos de desempenho que determinam o modelo de governança. Os princípios decorrem da mensuração do desempenho financeiro e de governança numa grande amostra de empresas e da análise quantitativa e qualitativa sobre quais arranjos funcionam melhor. O Conjunto resultante de melhores práticas provê idéias sobre quais dos seis arquétipos de governança (monarquias de negócios e de Ti, feudalismo, duopólio, federalismo ou anarquia) melhor suportam cada uma das cinco decisões-chave de TI (princípios, infre-estrutura, arquitetura, necessidades de aplicações de negócios e investimentos em TI). É possível empregar os princípios gerais de governança resultantes como um fator que, juntamente com questões estratégicas, organizacionais e culturais mais específicas da empresa, ajudará a conceber a governança de TI otimal para as suas empresas.
Três perguntas capturam idealmente essas idéias:
• Como podemos avaliar a governança?
• Quais arranjos de governança funcionam melhor?
• Como as empresas líderes governam?
As respostas devem prover-lhe a linguagem e as evidências necessárias para lidar com as questões de governança em sua empresa. Como o desempenho histórico de um grande número de empresas pode indicar apenas o que funcionou em outro lugar, a alta gerência deve combinar essas descobertas gerais com as metas, estratégicas e normas culturais específicas de sua firma.
3 . Como avaliar a governança de TI?
Definimos a governança como a especificação do framework dos direitos decisórios e das responsabilidades para estimular comportamentos desejáveis na utilização da TI. O desempenho da governança consistirá, portanto, na eficácia com que os arranjos de governança estimulam comportamentos desejáveis e, em última instância, em quão bem a firma atinge suas metas de desempenho desejadas.
Identificamos cinco fatores importantes ao avaliar a governança ambiente da empresa, arranjos de governança, consciência da governança, desempenho da governança e desempenho financeiro. Para avaliar o desempenho da governança, mensuramos cada um desses fatores. Sugerimos o uso do framework para comprar sua empresa com aquelas aqui descritas. O ambiente da empresa inclui a indústria, o tamanho, o número de unidades de negócios e o relacionamento entre essas unidades (o nível de sinergia desejado entre elas). Os arranjos de governança descrevem quais arquétipos são utilizados para cada decisão de TI e quais os mecanismos empregados na implementação. A consciência da governança determina quão bem todos na firma compreendem a governança e identificam as abordagens de comunicação destinadas a envolver a administração. A porcentagem de projetos com exceções – tanto formalmente aprovadas como renegadas – indica quão uniformemente as pessoas aplicam os arranjos de governança e qual o aprendizado resultante das mudanças.
O desempenho da governança avalia a eficácia da Governança de TI em cumprir quatro objetivos ordenados de acordo com sua importância para a empresa:
1. Uso da TI com boa relação custo/benefício.2. Uso eficaz da TI para a utilização de ativos.3. Uso eficaz da TI para o crescimento.4. Uso eficaz da TI para a flexibilidade dos negócios.
Ao avaliarem o desempenho da governança, os administradores seniores primeiro identificam a importância relativa desses quatro fatores em sua empresa e, então, classificam o desempenho da empresa em cada fator. Usando uma fórmula de média ponderada, eles podem calcular uma pontuação entre 0 e 100.
Pedir aos administradores seniores que avaliem o impacto da Governança de TI no desempenho da empresa oferece uma perspectiva quanto à eficácia da governança de TI. No final, porém, nós deveremos ver o impacto da Governança de TI nas métricas de desempenho de negócios. Embora muitos outros fatores influenciem as medidas de desempenho financeiro, um desempenho positivo provê confiança na Governança de TI da empresa. Avaliar o desempenho financeiro requer métricas financeiras que cubram as principais categorias. Investigamos se os líderes nas três dimensões de desempenho financeiro a seguir governavam diferentemente de outras firmas.
• Lucros: retorno sobre o patrimônio líquido (ROE), retorno sobre investimentos (ROI), margem percentual de lucro.
• Utilização de ativos: retorno sobre ativos (ROA).
• Crescimento: mudança percentual na receita anual.
Descobrimos que as empresas líderes em sua indústria em cada uma dessas três dimensões de desempenho governavam diversamente das outras empresas.
4. Sete características das empresas de melhor desempenho de governança
Começamos esmiuçando o que as empresas de melhor desempenho fazem diversamente das outras empresas. Independente da indústria, do nível de investimentos em TI, das estratégicas ou de quaisquer outros fatores, as empresas de melhor desempenho diferiam das outras em sete características. Todas as relações entre o desempenho da governança i o desempenho financeiro
descritas no restante deste capítulo são estatisticamente significativas, sendo improvável que se devam ao acaso.
As sete características comuns das empresas de alto desempenho são enumeradas na ordem aproximada de impacto, do maior para o menor. Conseqüentemente, sugerimos que ao refinar ou corrigir a governança de TI você enderece essas questões na ordem apresentada;
1. Mais administradores em posições de liderança são capazes de descrever a governança de TI;
2. Envolver, envolver, envolver;
3. Envolvimento mais direto dos líderes seniores na Governança de TI;
4. Objetivos de negócios mais claros para os investimentos em TI;
5. Estratégias de negócio mais diferenciadas;
6. Menos exceções renegadas e mais exceções formalmente aprovadas;
7. Menos mudanças na governança de ano para ano.
4.2 Quais arranjos de Governança funcionam melhor?
Além de terem as sete características, as empresas de melhor desempenho empregavam padrões particulares de arquétipos em seus arranjos de governança. Em todas as empresas estudadas, certos padrões de arranjos de governança superaram de modo geral os demais.
COBIT
Introdução Atualmente, é impossível imaginar uma empresa sem uma forte área de sistemas de informações (TI), para manipular os dados operacionais e prover informações gerenciais aos executivos para tomadas de decisões. A criação e manutenção de uma infra-estrutura de TI, incluindo profissionais especializados requerem altos investimentos. Algumas vezes a alta direção da empresa coloca restrições aos investimentos de TI por duvidarem dos reais benefícios da tecnologia. Entretanto, a ausência de investimentos em TI pode ser o fator chave para o fracasso de um empreendimento em mercados cada vez mais competitivos. Por outro lado, alguns gestores de TI não possuem habilidade para demonstrar os riscos associados ao negócio sem os corretos investimentos em TI. Para melhorar o processo de análise de riscos e tomada de decisão é necessário um processo estruturado para gerenciar e controlar as iniciativas de TI nas empresas, para garantir o retorno de investimentos e adição de melhorias nos processos empresariais. Esse novo movimento é conhecido como Governança em TI, ou "IT Governance". O termo "IT governance" é definido como uma estrutura de relações e processos que dirige e controla uma organização a fim de atingir seu objetivo de adicionar valor ao negócio através do gerenciamento balanceado do risco com o retorno do investimento de TI. Para muitas organizações, a informação e a tecnologia que suportam o negócio representa o seu mais valioso recurso. Além disso, num ambiente de negócios altamente competitivo e dinâmico é requerido uma excelente habilidade gerencial, onde TI deve suportar as tomadas de decisão de forma rápida, constante e com custos cada vez mais baixos. Não existem dúvidas sobre o benefício da tecnologia aplicada aos negócios. Entretanto, para serem bem sucedidas, as organizações devem compreender e controlar os riscos
associados no uso das novas tecnologias. O CobiT (Control Objectives for Information and related Technology) é uma ferramenta eficiente para auxiliar o gerenciamento e controle das iniciativas de TI nas empresas. O que o CobiT? O CobiT é um guia para a gestão de TI recomendado pelo ISACF (Information Systems Audit and Control Foundation, www.isaca.org). O CobiT inclui recursos tais como um sumário executivo, um framework, controle de objetivos, mapas de auditoria, um conjunto de ferramentas de implementação e um guia com técnicas de gerenciamento. As práticas de gestão do CobiT são recomendadas pelos peritos em gestão de TI que ajudam a otimizar os investimentos de TI e fornecem métricas para avaliação dos resultados. O CobiT independe das plataformas de TI adotadas nas empresas. O CobiT é orientado ao negócio. Fornece informações detalhadas para gerenciar processos baseados em objetivos de negócios. O CobiT é projetado para auxiliar três audiências distintas:
Gerentes que necessitam avaliar o risco e controlar os investimentos de TI em uma organização.
Usuários que precisam ter garantias de que os serviços de TI que dependem os seus produtos e serviços para os clientes internos e externos estão sendo bem gerenciados.
Auditores que podem se apoiar nas recomendações do CobiT para avaliar o nível da gestão de TI e aconselhar o controle interno da organização. O CobiT está dividido em quatro domínios:
Planejamento e organização. Aquisição e implementação. Entrega e suporte. Monitoração.
Figura 1: Os quatro domínios do CobiT
A figura 1 ilustra a estrutura do CobiT com os quatro domínios, onde claramente está ligado aos processos de negócio da organização. Os mapas de controle fornecidos pelo CobiT auxiliam os auditores e gerentes a manter controles suficientes para garantir o acompanhamento das iniciativas de TI e recomendar a implementação de novas práticas, se necessário. O ponto central é o gerenciamento da informação com os recursos de TI para garantir o negócio da organização. Cada domínio cobre um conjunto de processos para garantir a completa gestão de TI, somando 34 processos: Planejamento e Organização
Define o plano estratégico de TI Define a arquitetura da informação Determina a direção tecnológica Define a organização de TI e seus relacionamentos Gerencia os investimento de TI Gerencia a comunicação das direções de TI Gerencia os recursos humanos Assegura o alinhamento de TI com os requerimentos externos Avalia os riscos Gerencia os projetos Gerencia a qualidade
Aquisição e implementação
Identifica as soluções de automação Adquire e mantém os softwares
Adquire e mantém a infra-estrutura tecnológica Desenvolve e mantém os procedimentos Instala e certifica softwares Gerencia as mudanças
Entrega e suporte
Define e mantém os acordos de níveis de serviços (SLA) Gerencia os serviços de terceiros Gerencia a performance e capacidade do ambiente Assegura a continuidade dos serviços Assegura a segurança dos serviços Identifica e aloca custos Treina os usuários Assiste e aconselha os usuários Gerencia a configuração Gerencia os problemas e incidentes Gerencia os dados Gerencia a infra-estrutura Gerencia as operações
Monitoração
Monitora os processos Analisa a adequação dos controles internos Prove auditorias independentes Prove segurança independente
Desenvolvimento do CobiT A primeira publicação foi em 1996 enfocando o controle e análise dos sistemas de informação. Sua segunda edição em 1998 ampliou a base de recursos adicionando o guia prático de implementação e execução. A edição atual, já coordenada pelo IT Governance Institute, introduz as recomendações de gerenciamento de ambientes de TI dentro do modelo de maturidade de governança. O CobiT recebe um conjunto de contribuições de várias empresas e organismos internacionais, entre eles:
Padrões técnicos da ISO, EDIFACT, etc. Os códigos de conduta emitidos pelo Conselho de Europa, OECD, ISACA, etc. Critérios de qualificação para TI e processos: ITSEC, TCSEC, ISO 9000, SPICE,
TickIT, etc. Padrões profissionais para controle internos e auditoria: COSO, IFAC, AICPA,
CICA, ISACA, IIA, PCIE, GAO, etc. Práticas e exigências dos fóruns da indústria (ESF, I4) e das plataformas
recomendadas pelos governos (IBAG, NIST, DTI), etc. Exigências das indústrias emergentes como operação bancária, comércio eletrônico
e engenharia de software. Benefícios do CobiT Na era da dependência eletrônica dos negócios e da tecnologia, as organizações devem demonstrar controles crescentes em segurança. Cada organização deve compreender seu próprio desempenho e deve medir seu progresso. O benchmarking com outras organizações deve fazer parte da estratégia da empresa para conseguir a melhor competitividade em TI. As recomendações de gerenciamento do CobiT com orientação no modelo de maturidade em governança auxiliam os gerentes de TI no cumprimento de seus objetivos alinhados com os objetivos da organização. Os guidelines de gerenciamento do CobiT focam na gerência por desempenho usando os princípios do balanced scorecard. Seus indicadores chaves identificam e medem os resultados dos processos, avaliando seu desempenho e alinhamento com os objetivos dos negócios da organização.
Ferramentas de Gerenciamento do CobiT Os modelos de maturidade de governança são usados para o controle dos processos de TI e fornecem um método eficiente para classificar o estágio da organização de TI. A governança de TI e seus processos com o objetivo de adicionar valor ao negócio através do balanceamento do risco e returno do investimento podem ser classificados da seguinte forma: 0 Inexistente 1 Inicial / Ad Hoc 2 Repetitivo mas intuitivo 3 Processos definidos 4 Processos gerenciáveis e medidos 5 Processo otimizados Essa abordagem é derivada do modelo de maturidade para desenvolvimento de software, Capability Maturity Model for Software (SW-CMM), proposto pelo Software Engineering Institute (SEI). A partir desses níveis, foi desenvolvido para cada um dos 34 processos do CobiT um roteiro:
Onde a organização está hoje O atual estágio de desenvolvimento da indústria (best-in-class) O atual estágio dos padrões internacionais Aonde a organização quer chegar
Os fatores críticos de sucesso definem os desafios mais importantes ou ações de gerenciamento que devem ser adotadas para colocar sobre controle a gestão de TI. São definidas as ações mais importantes do ponto de vista do que fazer a nível estratégico, técnico, organizacional e de processo. Os indicadores de objetivos definem como serão mensurados os progressos das ações para atingir os objetivos da organização, usualmente expressos nos seguintes termos:
Disponibilidade das informações necessárias para suportar as necessidades de negócios
Riscos de falta de integridade e confidencialidade das informações Eficiência nos custos dos processos e operações Confirmação de confiabilidade, efetividade e conformidade das informações.
Indicadores de desempenho definem medidas para determinar como os processos de TI estão sendo executados e se eles permitem atingir os objetivos planejados; são os indicadores que definem se os objetivos serão atingidos ou não; são os indicadores que avaliam as boas práticas e habilidades de TI. Mais informações Muitas informações do CobiT são padrões abertos e disponíveis gratuitamente para download no site do IT Governance Institue’s www.itgovernance.org ou no site do Information System Audit & Control Association www.isaca.org.
ITIL – Information Technology Infrastructure Library
Introdução
Criada pela secretaria de comércio (Office of Government Commerce, OGC) do governo Inglês, a partir de pesquisas realizadas por consultores, especialistas e doutores, para desenvolver as melhores práticas para a gestão da área de TI nas empresas privadas e públicas.O foco deste modelo é descrever os processos necessários para gerenciar a infra-estrutura de TI eficientemente e eficazmente de modo a garantir os níveis de serviço acordados com os clientes internos e externos. ITIL é um conjunto de melhores práticas, não uma metodologia.As melhores práticas representam um conjunto de orientações baseadas nas melhores experiências dos
profissionais qualificados e especializados em um determinado campo.Deve ser encarado como “fonte de inspiração”, indica onde se pode chegar.
Definição
Uma série de documentos públicos, cuja finalidade é APOIAR a implementação de uma estrutura adequada à GESTÃO DE SERVIÇO DE TI, definindo o escopo de atuação desta estrutura, bem como os seus serviços.Estrutura de processos para a disseminação de melhores práticas no aprovisionamento e suporte de serviços de TI.
Por quê
Devido a percepção negativa das organizações e empresas sobre a área de TI. Como:
• Provisão de serviços inadequada; • Falta de comunicação e entendimento com os usuários; • Gastos excessivos com infra-estrutura;• Justificativas insuficientes ou pouco fundamentadas para os custos da provisão • dos serviços;• Falta de sintonia entre mudanças na infra-estrutura e os objetivos de negócio; • Entrega de projetos com atrasos e acima do orçamento.
As empresas que o adotaram estão preocupadas em gerar valor do TI para os negócios da empresa e provar este valor de maneira adequada, através de processos corretos. É escalável, pode ser utilizado em qualquer empresa de qualquer tamanho.
Objetivos
Seu objetivo é a Gestão de Serviços de TI.
• Reduzir Custos;
• Aumentar a Disponibilidade;
• Ajustar a Capacidade;
• Aumentar a Eficiênciae Eficácia;
• Melhorar a Escalabilidade;
• Reduzir Riscos.
Documentos
As normas ITIL estão documentadas em aproximadamente 40 livros, onde os principais processos e as recomendações das melhores práticas de TI estão descritas.
• Suporte a Serviços: Descreve os processos associados ao suporte do dia-a-dia e atividades de manutenção associadas com a provisão de Serviços em TI.
• Entrega de Serviços: Cobre os processos necessários para o planejamento e entrega de serviços em TI com qualidade e o aperfeiçoamento desta qualidade.
• Gerenciamento da Infra-estrutura: Cobre todos os aspectos do Gerenciamento da Infra-estrutura (identificação dos requisitos do negócio, testes, instalação, entrega, e otimização das operações normais dos componentes) que fazem parte dos Serviços em TI.
• Gerenciamento de Aplicações: Descreve a gerência das aplicações a partir das necessidades iniciais dos negócios, passando por todos os estágios do ciclo de vida de uma aplicação, até a sua retirada de dentro do ambiente de produção.
• Planejamento para Implementação do Gerenciamento de Serviços: Examina questões e tarefas envolvidas no planejamento, implementação e aperfeiçoamento dos processos do Gerenciamento de Serviços dentro de uma organização e questões relacionadas à cultura e à mudança organizacional.
• Perspectiva de Negócio: Fornece um conselho e guia para ajudar o pessoal de TI entender como eles podem contribuir para os objetivos do negócio e como suas funções e serviços podem estar mais bem alinhados e aproveitados para maximizar sua contribuição para a organização.
• Gerenciamento da Segurança: Detalha o processo de planejamento e gerenciamento, incluindo todos os aspectos associados com a reação da segurança dos incidentes, avaliação e gerenciamento dos riscos e vulnerabilidade, e implementação de custos justificáveis para a implementação de contra-recursos.
Processos
Os mais importantes ou centrais estão relacionados a Gerência de Serviços:
• Suporte a Serviços (Operacionais)o Service Desk: ponto de contato operacional; o Gerenciamento de Incidentes: resolução imediata de falhas;o Gerenciamento de Problemas: eliminação de causa de erros relacionados;o Gerenciamento de Configurações: recursos e relacionamentos ;o Gerenciamento de Mudanças: coordenação e controle de mudanças; o Gerenciamento de Releases: disponibilização e movimentação de recursos.
• Entrega de Serviços (Táticos)o Gerenciamento de Nível de Serviço(SLA): informações sobre serviços a clientes;o Gerenciamento Financeiro: custo x desempenho, cobrança;o Gerenciamento de Capacidade: disponibilização presente e futura de níveis de serviço;o Gerenciamento de Disponibilidade: otimização de disponibilidade;o Gerenciamento de Continuidade: recursos para continuidade.
Suporte a Serviços - Service Desk
• Objetivo o Ponto único de contato para usuários o Monitorar atendimento dos níveis de serviço acordadoso Manter clientes informados
• Atividadeso Contato com usuários o Registro e controle
• Benefícioso Gestão do relacionamento o Controle de custos
Suporte a Serviços - Gerenciamento de Incidentes
• Objetivoso Normalidade de operação dos serviços o Minimização de impacto (priorização e escalamento) o Rápido restabelecimento de serviços
• Atividades
o Ciclo de vida de um incidente • Benefícios
o Níveis de serviço o Satisfação dos clientes o Informações gerenciais
Suporte a Serviços - Gerenciamento de Problemas
• Objetivoso Minimizar impacto o Prevenir a ocorrência de incidentes e problemas
• Atividadeso Controle de problemas e erros o Análise de tendências o Revisões de encerramento de problemas críticos o Identificar, avaliar e documentar erros
• Benefícios o Redução de incidentes o Pró-atividade
Suporte a Serviços - Gerenciamento de Configurações
• Objetivoso Controle de itens de configuração e seus relacionamentos o Configuration Management Data Base (CMDB)
• Atividades o Planejamento (escopo, procedimentos) o Implantação e controle
• Benefícios o Informações confiáveis e consolidadas o Controle e segurança CMDB
Suporte a Serviços - Gerenciamento de Mudanças
• Objetivoso Padronização de métodos e procedimentos o Minimização de impacto (eficiência e pontualidade) o Garantir aprovaçõeso Mitigar riscos
• Atividades o Ciclo de vida de uma mudança o Monitorar resultados
• Benefícios o Diminuição do impacto de mudanças o Controle de custos o Informações gerenciais
Suporte a Serviços - Gerenciamento de Releases
• Objetivoso Gerenciar HW e SW aprovados o Garantir uso HW e SW autorizadoso Planejar recursos de TI
• Atividades
o Política de versões o Implementação e gerência o Controlar pacotes
• Benefícios o Minimizar chances de erros e indisponibilidades o Controle centralizado
Entrega de Serviços - Gerenciamento de Nível de Serviço (SLA)
• Objetivoso Acordo, monitoração, relatórios e melhorias na qualidade de serviços (foco no
negócio) • Atividades
o Identificação de serviços o Negociação com clientes o Cumprimento e manutenção de SLA’s
• Benefícios o Qualidade e relacionamento (clientes e terceiros) o Alinhamento com negócio
Entrega de Serviços - Gerenciamento Financeiro
• Objetivoso Gestão efetiva de recursos e custos
• Atividades o Orçamento o Contabilidade o Cobrança (opcional)
• Benefícios o Gerência de orçamentos e custos o Medição de eficiência
Entrega de Serviços - Gerenciamento de Capacidade
• Objetivoso Requisitos de capacidade do negócio (presente e futuro)
• Atividades o Requisitos o Análise o Planejamento e implementação
• Benefícioso Mapeamento de necessidades e recursos o Gerenciamento de custos
Entrega de Serviços - Gerenciamento de Disponibilidade
• Objetivoso Máxima disponibilidade para serviços de TI
• Atividadeso Planejamento o Medição o Melhorias
• Benefícioso Justificativa de investimentos
o Pro-atividade o Continuidade de negócio
Entrega de Serviços - Gerenciamento de Continuidade
• Objetivoso Recuperação dentro de períodos requeridos e acordados
• Atividades o Planejamento o Avaliação de impactos e riscos o Estratégia, implementação e manutenção
• Benefícios o Gerência de riscos e impacto de falhas o Vantagem competitiva
Resultados
Estabelece métricas de controle para a área de tecnologia e uma análise em conjunto das métricas e necessidades de negócios.
• Fortalecimento dos Controles e da Gestão dos ambientes de TI; • Orientação a processos com significativa redução nos tempos de execução e • distribuição de serviços; • Diminuição gradativa da indisponibilidade dos recursos e sistemas de tecnologia • da informação, causados por falhas no planejamento das mudanças e • implantações em TI; • Elevação dos níveis de satisfação dos usuários internos e clientes com relação à • disponibilidade e qualidade dos serviços de TI; • Redução dos custos operacionais de TI; • Reconhecimento da capacidade de gerenciamento pelos acionistas, colaboradores e clientes; • Aderência às instruções normativas das entidades reguladoras e certificadoras.
• Redução de 30% na ocorrênciade falhas e 50% no tempo de resolução.
• Redução de 50% no número de mudanças urgentes, não planejadas e caras.
• Redução de 25% no prazo de implementação de mudanças.
• Redução de 15% na capacidade ociosa. • Aumento de 10% na disponibilidade de TI.
CASES
• Procter & Gambler que inicialmente reduziu em 10% as chamadas no HelpDesk após implantação do iTil e em um segundo momento do projeto reduziu entre 6 e 8% os custos operacionais de tecnologia.
• Cartepilar que após aplicar os princípios de iTil aumentou de 60 para 90% o nível de acerto do Helpdesk para os incidentes.
Exemplos com retorno de curto prazo
• Implantação de Sistema de inventário, prazo três dias, e que teve como resultado imediato economia no licenciamento do pacote office que em alguns casos era professional e a necessidade de uso demonstrou que o office standard atendia perfeitamente as necessidades do usuário.
• Implantação do Sistema de inventário, prazo dois dias, que demonstrou que diversos aplicativos não estavam em uso pela empresa e que as licenças poderiam ser disponibilizadas para os usuários que estavam solicitando a aquisição destes produtos – racionalização dos
recursos.• Integração do sistema de inventário com o helpdesk, prazo 5 dias, que reduziu em até 50% do
tempo de atendimento pois o atendente já chega no usuário sabendo as configurações do equipamento de hardware e software, slots ocupados, tipo de memória, software instalados, relatório dos últimos atendimentos, etc.
• Implantação do sistema de inventário, prazo dois dias, que eliminou o lixo eletrônico como mp3, jpegs, etc disponibilizando espaço em disco e melhorando a performace global da máquina em termos de processamento, disco e memória
• Implantação do sistema de inventário, prazo dois dias, que eliminou os softwares ilegais e passou a controlar as licenças dos produtos instalados nas máquinas do usuário.
• Implantação do sistema de distribuição de patches, prazo dois dias, que eliminou em mais de 95% dos custos de atualizações dos patches de segurança do windows.