COMO DESENVOLVER SEU MODELO DE GOVERNANÇA E GESTÃO DE TI

Transcrição

1 LIVRO TEXTO CURSO AVANÇADO COMO DESENVOLVER SEU MODELO DE GOVERNANÇA E GESTÃO DE TI 1 Prof. Dr. Aguinaldo Aragon Fernandes

2 1. Apresentação da ação educacional 1.1 A educação à Distância (EAD) A EAD é uma modalidade de ensino que se apoia em recursos tecnológicos para providenciar a interação entre alunos e professores, quando estes se encontram em locais diferentes. Fazer o uso correto dessas tecnologias, como meio de difusão educacional, depende do conhecimento de técnicas de criação de conteúdo, recursos, ferramentas e atividades, bem como a correta aplicação metodológica de uso desses elementos, a fim de que o aprendizado ocorra de forma efetiva. Com relação ao código de ética para educação a distância, o ITAC aplica as propostas da Associação Brasileira de Educação a Distância ABED, sendo que tais princípios terão, entre outras questões, a função de: oferecer diretrizes às instituições, visando a um trabalho contínuo de melhoria de qualidade da EAD; especificar padrões de qualidade que permitam a avaliação de cursos a distância; criar indicadores que possibilitem proteger os interesses dos alunos e consumidores destes tipos de serviços educacionais. 1.2 A abordagem pedagógica do presente curso Este curso aplica a abordagem pedagógica para alunos que já tenham um conhecimento inicial sobre o tema GOVERNANÇA DE TI, dessa forma estratégias mais formalmente estruturadas são as mais adequadas, pois permitem que o estudante forme conceitos que serão utilizados com referências em futuras explorações. Independentemente das ações propostas, os alunos de EAD devem treinar a si mesmos para adquirir um hábito de estudos diferenciados, tanto no local de trabalho, como em casa. Habilidades tais como: capacidade de concentração, disciplina, foco e interesse no assunto, são algumas das variáveis que ajudam o desenvolvedor do conteúdo didático a compreender o quanto é importante o conhecimento das teorias de aprendizagem, a fim de se estabelecer uma relação produtiva entre a teoria e a prática de um curso online. 1.3 Estratégia de Ensino para o curso Para esse curso será oferecido ao aluno uma instrumentalização para aplicação imediata do conhecimento adquirido no curso, formado por um método. É um curso com formação assistida com livro texto, vídeo aula, vídeo chat e indicação de material para pesquisa e fóruns. Além do livro texto (apostila) o aluno terá acesso a X vídeos-aula. A interação com o professor se dará através do fórum e através do vídeo chat, este de forma programada a ser anunciada no quadro de mensagens. O aluno seguirá o seguinte roteiro de aprendizagem, a partir do ambiente Virtual de Aprendizagem do ITAC: 2

3 Assistir a vídeo-aula da Seção do curso; Ler o capítulo referente à aula na apostila; Interagir com o professor no fórum para tirar as dúvidas; Fazer o quizz quando for o caso; Interagir com o professor no vídeo chat quando for programado; Fazer a prova final do curso; Se aprovado na prova final o aluno poderá emitir o certificado gerado pelo ambiente AVA do ITAC. 1.4 Tópicos a serem abordados no livro texto: Discutir sobre os conceitos de Governança de TI e o que significa o modelo de Governança e Gestão de TI; Apresentar o modelo COBIT 5 que serve como base para a elaboração do modelo de ; Apresentar a metodologia para o desenvolvimento do modelo de ; Apresentar um exemplo de aplicação da metodologia. 3

4 2 - O modelo de 2.1 Introdução As primeiras abordagens de Governança de TI nasceram do contexto de controles internos e de gestão de risco empresarial. O modelo COBIT (Control Objectives for Information and related Technology), considerado o principal modelo de Governança de TI atualmente, teve a sua primeira versão, de 1994, baseada no conceito de controles internos do COSO e as versões posteriores foram evoluindo vis a vis com os novos modelos de gestão do risco empresarial. EXPLORE MAIS: Para saber mais sobre o COSO vá em www. coso.org Portanto o surgimento da Governança de TI ocorreu em função do contexto da gestão de riscos empresariais de forma a evitar e diminuir fraudes de companhias abertas (listadas em Bolsas de Valores). Por este motivo entende-se que a Governança de TI é um subconjunto da Governança Corporativa. Há outros motivadores igualmente importantes como a difusão da tecnologia da informação pelos processos de negócio das organizações, com potencial competitivo ou de habilitador para atendimento aos objetivos estratégicos organizacionais e suas consequências como a questão da segurança da informação. Isto é observável com maior intensidade a partir do final dos anos 90, com a explosão dos Enterprise Resource Planning (tipo SAP, PeopleSoft, RM, etc.) e outras aplicações de automação de processos de negócio e industriais. Neste contexto da difusão da tecnologia da informação surge a necessidade de que os investimentos e soluções de TI não fiquem somente na seara do Departamento de TI da organização. Começa então a necessidade de se estabelecer as responsabilidades e os chamados direitos decisórios (vide em WEILL & ROSS, 2006 essa linha de pensamento). Entretanto como o aluno poderá perceber mais adiante é que há várias linhas de pensamento em torno da Governança de TI, entretanto, vamos procurar explorar os aspectos práticos dessas linhas de forma integrada com os principais modelos publicados no mercado por associações profissionais. O que é a Governança de TI Nos finais dos anos 90 e durante os anos 2000 surgiram várias conceituações sobre Governança de TI vinda de vários autores. Conforme explica ASSIS (2011): 4

5 O termo Governança de TI tem sido muito usado, com significados diferentes, refletindo uma literatura confusa: adoção de melhores práticas, gestão de riscos, gestão de projetos, relacionamento com a Governança Corporativa. Mesmo sendo um campo relativamente novo de pesquisa, a Governança de TI encontra-se numa confluência de disciplinas: Tecnologia da Informação, Administração de Empresas, Economia, Estratégia Empresarial, Conformidade Legal e Riscos. Revisando a literatura sobre Governança de TI, WEBB, POLLARD & RIDLEY (2006), identificaram que Estrutura, Modelos de Controle e Processos são termos que surgem com frequência na literatura em referência. Ainda de acordo com estes autores, para que se chegue a uma definição da Governança de TI é importante explorar estes elementos Abordagem da Estrutura A corrente com foco na estrutura e direitos de decisão é capitaneada pelo pessoal do Center for Information Systems Research do MIT, mais especificamente pelo professor WEILL & ROSS (2006). De acordo com estes autores, Governança de TI é: Consiste em um ferramental para a especificação dos direitos de decisão e responsabilidade, visando encorajar comportamentos desejáveis no uso da TI. Analisando esta definição uma função da Governança de TI define quem deve tomar decisões acerca das questões de TI na organização e as respectivas responsabilidades. A outra parte da definição que visa encorajar comportamentos desejáveis no uso da TI significa que deve haver um conjunto de políticas que moldam os comportamentos desejáveis principalmente no uso da TI no dia a dia da organização e mecanismos para verificar se as mesmas estão sendo seguidas. WEILL & ROSS (2006), com base em uma pesquisa realizada em 256 empresas, identificaram padrões para a tomada de decisões em TI relativas a: Princípios de TI (pode-se entender como políticas); Arquitetura de TI; Estratégia de infraestrutura de TI; Necessidades de aplicações; Investimento e priorização. Os seguintes padrões foram identificados: 5

6 Monarquia do negócio: neste padrão, os executivos seniores do negócio tomam as decisões relativas a TI; Monarquia de TI: neste padrão, os profissionais de TI tomam todas as decisões pertinentes a TI; Feudal: neste padrão, cada área da empresa ou unidade de negócio decide sobre a TI de forma isolada; Federal: neste padrão, tanto a matriz, a holding ou o board, juntamente com as unidades de negócio, tomam as decisões relativas a TI; Duopólio de TI: neste padrão, as decisões são derivadas de acordo entre os executivos de TI e outros executivos de negócio; Anarquia: neste padrão, indivíduos e pequenos grupos tomam suas próprias decisões baseados em suas necessidades locais. Nesta pesquisa, pesquisadores descobriram que as empresas de maior desempenho na TI usam diferentes arquétipos de tomada de decisão, conforme o tipo de decisão. Como já mencionamos anteriormente, as decisões de TI não são mais a seara somente dos executivos de TI, pois a TI permeia praticamente todos os negócios da empresa. Decisões sobre TI passam a ser decisões de negócio, portanto os executivos de negócio devem ser envolvidos. A Figura 1 apresenta os arquétipos de decisão utilizados nas três empresas que maiores desempenhos apresentaram com o uso da TI. Princípios de TI Arquitetura de TI Infra-estrutura de TI Necessidades de Aplicações Investimentos e Priorização Monarquia do Negócio Monarquia de TI Feudalismo Federação Duopólio Tecnológico Anarquia Figura 1 Arquétipos de decisão em TI de maior desempenho (adaptado de Weill & Ross 2006) 6

7 As consequências práticas dessa definição é que um dos principais papéis da Governança de TI (e não estamos falando de uma área organizacional) é o estabelecimento de mecanismos de decisão para definir sobre as políticas, arquitetura e infraestrutura de TI, necessidades de aplicações (aqui no sentido mais amplo), investimentos e prioridades. Geralmente as organizações estabelecem Comitês de Tecnologia da Informação ou Comitês de Investimentos, com a participação de executivos de negócio e de TI para os processos de tomada de decisão ou simplesmente a pauta de TI começa a ser discutida nos fóruns de mais alto nível de decisão das organizações. Há organizações que trabalham com dois níveis decisórios, um onde os projetos de TI e de negócio (que usam TI) são discutidos e priorizados e em outro fórum decidem-se sobre os investimentos e liberação de verbas para esses projetos. Nesta corrente há outros autores como SAMBAMURTHY & ZMUD (1999), que propõe arranjos para a Governança de TI, ou seja, centralizada, descentralizada e federada. NOTA: 7

8 2.1.2 Abordagem dos Modelos de Controle WEBB, POLLARD & RIDLEY (2006) sugerem o entendimento dos modelos de controle são quaisquer tipos de conjunto de processos, procedimentos e políticas, que permitem uma organização medir, monitorar e avaliar sua situação em relação a fatores pré-definidos, critérios ou benchmarkings. Nessa corrente podemos destacar os frameworks Cobit [ISACA,2012] (o qual o aluno vai estudar com maior profundidade na próxima aula), COSO, SAS 70 (este serve para auditar os sistemas de controles internos de prestadores de serviços de TI), dentre outros. Os modelos de controle também fornecem suporte à abordagem de processos. Sumarizando os autores argumentam que os frameworks auxiliam a administração no monitoramento do desempenho e eficácia da TI, podendo coexistir com a corrente da estrutura Abordagem dos Processos Ainda de acordo com WEBB, POLLARD & RIDLEY (2006), na abordagem de processos, a literatura também preconiza que para a efetiva gestão dos recursos de tecnologia da informação, permitindo o fornecimento das informações que o negócio necessita para atingir seus objetivos, deve haver um conjunto de processos de TI. Esta visão parte do pressuposto de que o alinhamento da TI ao negócio requer processos para que isto possa ocorrer, processos esses que atendem aos objetivos de TI que, por sua vez, suportam os objetivos do negócio. 8

9 Podemos subentender que a abordagem dos modelos de controle pode servir de base para os processos de TI. Outra definição que se encaixa na abordagem de processos, de acordo com ASSIS (2011) é a da ISO/IEC (ABNT 2009) onde: A Governança de TI é o sistema pelo qual o uso atual e futuro da TI são dirigidos e controlados. Significa avaliar e direcionar o uso da TI para dar suporte à organização e monitorar seu uso para realizar planos. Inclui a estratégia e as políticas de uso da TI dentro da organização Outros Elementos da Definição Analisando doze definições de Governança de TI encontrados na literatura, WEBB, POLLARD & RIDLEY (2006) identificaram os seguintes elementos embutidos nas definições: Alinhamento estratégico da TI ao negócio; Entrega de valor pelo negócio através da TI; Gestão do desempenho; Gestão do risco; Políticas e procedimentos; Controle e prestação de contas. 2.2 O Fundamento do Modelo de Para melhor entendimento acerca dos processos típicos de Governança de TI é importante que se discuta as diferenças conceituais entre ela e a Gestão de TI conforme se apregoa na literatura. De acordo com PETERSON (2004), o escopo da gestão da tecnologia da informação abrange a eficiência e eficácia da provisão de serviços e produtos de TI internamente à organização, bem como no gerenciamento da sua operação. Ainda conforme este autor, a Governança de TI é mais ampla e tem seu foco em viabilizar a transformação da TI para atender às necessidades atuais e futuras do negócio (foco interno) e dos clientes (foco externo). Em sua versão mais recente o Cobit 5.0 [ISACA 2012] separa bem as funções típicas de Governança com as de Gestão da TI. A Figura 2 apresenta esta visão. De acordo com a Figura 2 a Governança de TI assegura que os objetivos da organização são alcançados a partir da avaliação das necessidades dos stakeholders, das condições e opções, 9

10 estabelecendo a direção através da priorização e da tomada de decisão e pelo monitoramento do desempenho, conformidade e progresso em relação aos objetivos acordados. A Gestão por sua vez, planeja, constrói, executa e monitora as atividades em linha com a direção estabelecida pelo corpo de governança para tender aos objetivos da organização. Fica claro que este conceito que a Governança fornece o direcionamento e deve promover que processos sejam executados em nível de gestão para que os objetivos da organização possam ser apoiados pela TI e está totalmente alinhado com a ISO (ABNT 2009). NOTA: O objetivo desta norma é fornecer uma estrutura de princípios para os dirigentes (incluindo proprietários, membros do conselho de administração, diretores, parceiros, executivos seniores ou similares) utilizarem na avaliação, no gerenciamento e no monitoramento do uso da tecnologia da informação em suas Organizações. A norma já se encontra localizada pela Associação Brasileira de Normas Técnicas (ABNT 2009) como Norma Brasileira NBR ISO/IEC 38500:2009 Figura 2 Governança de TI x Gestão de TI No Cobit 5.0 essas áreas foco se transformaram em Processos de Governança, quais sejam: Processo de Assegurar o estabelecimento e a manutenção do framework de Governança: este processo foca no estabelecimento de um modelo de governança de TI, seu relacionamento 10

11 com o ambiente de controle e a definição de um modelo de direitos decisórios e princípios e o monitoramento do funcionamento deste modelo. Processo de Assegurar a entrega dos benefícios: aqui o foco é otimizar o valor da TI para o negócio a partir dos processos de negócio, serviços e ativos de TI derivados de investimentos em TI considerando um custo aceitável. Processo de Assegurar a otimização dos riscos: o foco neste caso é assegurar que o apetite e a tolerância ao risco sejam entendidos, articulados e comunicados e que o risco de TI que afeta o negócio seja identificado e gerenciado. Processo de Assegurar a otimização dos recursos: o foco aqui é garantir que a TI tenha os recursos (pessoas, processos e tecnologia) e a capacidade para atender ao negócio. Implica no envolvimento com a estratégia de terceirização da organização e em políticas de contratação e de uso de recursos. Processo de Assegurar a transparência para as partes interessadas: este processo tem como finalidade assegurar que a medição do desempenho e conformidade da TI da organização seja transparente e que os stakeholders aprovem as metas e métricas e as ações de remediação. Em relação aos processos de Gestão, os mesmos podem ser entendidos como fazendo parte de domínios que dizem respeito a: Planejamento e organização; Construir, adquirir e desenvolver ; Entregar serviços; Monitorar e avaliar o desempenho. Dentro deste contexto, por exemplo, um processo de Planejamento Estratégico de TI pode visto como integrante do domínio planejamento e organização. Mas felizmente não precisamos reinventar a roda, pois o COBIT 5 já traz um modelo pré-definido a partir do qual podemos construir o nosso modelo em particular. 11

12 3 O modelo de referência COBIT Evolução do COBIT O CobiT (Control Objectives for Information and related Technology) foi criado em 1994 pela ISACF a partir do seu conjunto inicial de objetivos de controle e vem evoluindo através da incorporação de padrões internacionais técnicos, profissionais, regulatórios e específicos para processos de TI. NOTA: ISACF, Information Systems Audit and Control Foundation, ligada à ISACA (Information Systems Auditing and Control Association) acesse através do site Inicialmente era empregado para avaliar a capacidade de processos de TI como elemento para a avaliação dos riscos que TI representavam para o negócio. A seguir a cronologia de evolução do modelo: 1998 publicada a segunda edição; 2000, publicada a terceira edição; 2005, publicada a versão 4.0, alinhada com padrões mais maduros como COSO, ITIL e ISO 17799, de segurança da informação; 2007 foi feita uma evolução incremental, a versão 4.1; 2012 foi feito o lançamento do CobiT 5 que representou uma transformação estrutural do modelo para um framework de negócio completo para governança e gerenciamento da TI, integrando o conteúdo existente até o momento de várias outras publicações da ISACA, tais como CobiT 4.1, Val IT, Risk IT, BMIS, ITAF, TGF e Board Briefing on IT Governance. 12

13 Explore Mais: Acesse o site para obter mais detalhes do Cobit 4.1e Objetivos do Cobit 5 Segundo o CobiT 5, a informação é um recurso chave para qualquer empresa e a tecnologia tem um papel muito importante durante todo o seu ciclo de vida. A TI (Tecnologia da Informação) tem se tornado cada vez mais uma área vital nas empresas e em todos os ambientes sociais, públicos e de negócio. Neste sentido, a adoção de uma abordagem onde tanto o gerenciamento quanto a governança da TI trabalham juntas, visando o atingimento dos objetivos estratégicos, tem sido cada vez mais valorizada nas empresas.. O CobiT 5 endossa esta abordagem, uma vez que: Seu uso auxilia as empresas a atingirem seus objetivos de governança e gerenciamento da TI em âmbito corporativo, assim como a otimizarem o valor da sua TI, balanceando os riscos versus os benefícios. Seu uso habilita a TI a ser gerenciada e governada de forma holística por toda a Empresa (incluindo áreas de negócio, áreas funcionais da TI e partes interessadas internas e externas). Pode ser utilizado por empresas de qualquer natureza, mercado ou tamanho. O modelo do CobiT é genérico o bastante para representar todos os processos normalmente encontrados nas funções da TI e compreensível tanto para a operação como para os gerentes de negócios, pois cria uma ponte entre o que o pessoal operacional precisa executar e a visão que os executivos desejam ter para governar. 3.3 Os Princípios do CobiT 5 A Governança de TI, quando implantada de forma integrada, permite que a empresa gerencie de forma eficiente seus investimentos em recursos tecnológicos e suas informações, transformando-as em maximização de benefícios, oportunidades de negócio e vantagem competitiva no mercado. Para o CobiT, a Governança e o Gerenciamento da TI empresarial princípios, conforme mostra a Figura 3. está sustentada por cinco A seguir, será dada uma visão geral da estrutura do modelo, sob o enfoque de cada dos seus princípios. 13

14 1. Satisfazer as Necessidades das Partes Interessadas 5. Separar Governança de Gerenciamento 2. Cobrir a Organização de Ponta a Ponta Princípios do CobiT 5 4. Possibilitar uma visão holística 3. Aplicar um framework integrado único Figura 3 Princípios chave para a Governança e o Gerenciamento da TI Empresarial, na visão do CobiT (Fonte: ISACA, 2012) Satisfazer as Necessidades das Partes Interessadas Segundo o CobiT, toda empresa deve ter a geração de valor para as suas partes interessadas como um objetivo de governança e deve buscá-lo por meio da entrega de benefícios, otimizando os riscos e os custos dos recursos. A Governança está ligada às atividades de negociação e decisão considerando as necessidades das várias partes interessadas envolvidas. Tais necessidades devem ser traduzidas em metas corporativas genéricas, atingíveis e customizadas, metas relacionadas a TI e metas dos habilitadores de TI, Para esta finalidade, o CobiT 5 propõe um sistema de metas em cascata que está ilustrado na Figura 4. Metas mais específicas aplicáveis a cada organização podem ser facilmente mapeadas para as metas genéricas propostas no sistema de cascata proposto pelo CobiT. Habilitadores são fatores tangíveis e intangíveis que, individualmente e coletivamente, possuem influência sobre o funcionamento da Governança e do Gerenciamento de TI. 14

15 Figura 4 O sistema de metas em cascata do CobiT (Adaptado de ISACA, 2012) Cobrir a organização de ponta a ponta O CobiT 5 não concentra o seu foco apenas na área de TI, mas sim na governança e no gerenciamento da informação e das tecnologia relacionadas onde quer que estejam, cobrindo a Empresa de ponta a ponta. Neste sentido, integra a governança empresarial de TI ao contexto da governança corporativa e endereça todos os serviços de TI e processos de negócio (internos e externos). Um sistema de governança é formado pelos seguintes componentes: Habilitadores da governança : Recursos organizacionais utilizados para a governança, como princípios, frameworks, estruturas, processos e práticas, através dos (ou para os) quais são conduzidas a ções e atingidos objetivos. Escopo da governança : Área que será efetivamente governada (desde um ativo tangível ou intangível até uma entidade ou mesmo a empresa inteira). 15

16 Os papeis, atividades e relacionamentos : Definem as partes interessadas envolvidas, o que elas fazem e como devem interagir dentro do escopo do sistema de governança Aplicar um framework integrado único O CobiT 5 pode ser considerado um framework integrado único ou mesmo um integrador entre os principais frameworks do mercado, em suas versões mais atualizadas, uma vez que sua arquitetura é simples e serve como uma fonte consistente e integrada de diretrizes para a utilização desses modelos. O CobiT 5 está alinhado com frameworks importantes conforme mostra a figura 5 a seguir. AVALIAR,DIRIGIR E MONITORAR ISO/IEC ALINHAR, PLANEJAR E ORGANIZAR TOGAF ISO/IEC PRINCE2/PMBOK CMMI ISO/IEC CONSTRUIR, ADQUIRIR E IMPLEMENTAR ITIL V e ISO/IEC ENTREGAR, SERVIÇOS E SUPORTE Figura 5 - Integração dos Modelos de Melhores Práticas no CobiT 5 MONITORAR, AVALIAR E AFERIR Figura Permitir uma visão holística O CobiT 5 descreve sete (7) categorias de habilitadores de TI, que possuem grande influência no sucesso da governança e do gerenciamento da TI: Princípios, políticas e estruturas, que auxiliam a traduzir comportamentos desejados em um guia prático para o dia a dia; Processos, que descrevem práticas e atividades para atingir objetivos específicos e também apoiam o atingimento das metas globais relacionadas a TI. 16

17 Estruturas organizacionais, entidades de tomada de decisões -chave em uma empresa; Cultura, ética e comportamento dos envolvidos, geralmente muito subestimado como um fator crítico de sucesso para as atividades de governança e gerenciamento. Informação gerada e utilizada pela empresa, que a mantém em funcionamento e que, n o nível operacional, é parte integrante do seu produto principal. Serviços, infraestrutura e aplicações que apoiam a organização com processamento e serviços de TI; Pessoas, habilidades e competências presentes nas pessoas e requeridas para a execução das atividades relacionadas ao escopo em questão. Todos esses habilitadores possuem um conjunto de dimensões comuns, que fornece uma forma simples e estruturada para tratá-los, permitindo que as interações entre eles sejam gerenciadas (por mais complexas que sejam) e facilitando a obtenção de saídas robustas e bem estruturadas. A Figura 6 mostra como essas dimensões podem simplificar o entendimento dos habilitadores. Dimensões do Habilitador Partes Interessadas Internas / Externas Metas Qualidade (intrínseca, relevância, efetividade), acessibilidade e segurança Ciclo de Vida Baseado no PDCA Boas Práticas Internas / Externas Os requisitos de desempenho das partes estão endereçados? As metas do habilitador foram cumpridas? O ciclo de vida está gerenciado? Boas práticas foram aplicadas? Métricas para Atingimento das Metas (Lag Indicators) Métricas para aplicação das práticas (Lead Indicators) Gestão do Desempenho do Habilitador Figura 6 Dimensões e gestão do desempenho dos habilitadores (Adaptado de ISACA, 2012). Cada habilitador possui partes interessadas (internas e externas) que desempenham algum papel ativo ou simplesmente têm algum interesse nos seus resultados, cujas necessidades devem ser traduzidas em metas corporativas e gerenciadas apropriadamente. 17

18 Em geral, as metas de cada habilitador são definidas em termos dos seus resultados esperados ou de sua própria utilização ou operação, e refletem atributos de qualidade, acessibilidade e segurança/acessibilidade. O ciclo de vida de um habilitador cobre desde a sua concepção até o momento em que sua utilização é descontinuada e precisa ser adequadamente gerenciado. As boas práticas mostram exemplos ou sugestões de como implementar cada habilitador, e apoiam o atingimento das suas metas (este é um ponto onde se recomenda a integração com outros padrões e modelos de boas práticas do mercado, conforme o contexto de cada habilitador). O desempenho dos habilitadores deve ser medido em função das saídas produzidas por eles ( lag indicators ) e da maneira como estão funcionando ( lead indicators ) Separação entre O CobiT 5 diferencia claramente os conceitos de governança e gerenciamento, como disciplinas que envolvem diferentes tipos de atividades e estruturas organizacionais, e que servem a propósitos distintos: Governança: Assegura que as necessidades, condições e opções das partes interessadas sejam avaliadas para determinar objetivos corporativos balanceados e acordados a serem atingidos, estabelecendo prioridades, tomando decisões e monitorando o desempenho e a conformidade em relação à direção e aos objetivos acordados. Em geral, é uma responsabilidade do Corpo Diretivo da empresa. Gerenciamento: Planeja, constrói, executa e monitora atividades de forma alinhada com a direção estabelecida pelo grupo de Governança, visando o atingimento dos objetivos corporativos. Em geral, é uma responsabilidade da Gerência Executiva, sob a liderança do CEO da empresa. A criação de um sistema de governança efetivo requer que as disciplinas de governança e gerenciamento interajam de forma estruturada (os habilitadores relacionados na seção anterior podem ser um excelente ponto de partida o estabelecimento dessas interações). 3.4 O Modelo de Processos do CobiT 5 Como um dos passos mais importantes para uma boa governança, o CobiT 5 sugere um modelo de referência que define e descreve processos, agrupando-os nas áreas-chave de Governança e Gerenciamento (ver Figura 5). A Figura 7 também introduz os cinco (5) domínios de processos do CobiT 5: 18

19 Governança (EDM): Este domínio contém cinco (5) processos de governança, dentro dos quais são definidas práticas de avaliação, direção e monitoração. Alinhar, Planejar e Organizar (APO): Este domínio tem abrangência estratégica e tática e identifica as formas através das quais a TI pode contribuir melhor para o atendimento dos objetivos de negócio, envolvendo planejamento, comunicação e gerenciamento em diversas perspectivas. Necessidades do Negócio Governança (EDM) Avaliar Dirigir Realimentação do Gerenciamento Monitorar Gerenciamento Planejar (APO) Construir (BAI) Executar (DSS) Monitorar (MEA) Figura 7 Áreas chave e domínios de processos (adaptado de ISACA, 2012). Construir, Adquirir e Implementar (BAI): Este domínio cobre identificação, desenvolvimento e/ou aquisição de soluções de TI para executar a estratégia de TI estabelecida, assim como a sua implementação e integração junto aos processos de negócio. Mudanças e manutenções em sistemas existen tes também estão cobertas por este domínio, para assegurar a continuidade dos respectivos ciclos de vida. Entregar, Reparar e Suportar (DSS): Este domínio cobre a entrega propriamente dita dos serviços requeridos, incluindo gerenciamento de segurança e continuidade, reparo de equipamentos e demais itens relacionados, suporte aos serviços para os usuários, gestão dos dados e da infraestrutura operacional. Monitorar, Avaliar e Medir (MEA) : Este domínio visa assegurar a qualidade dos processos de TI, assim c omo a sua governança e conformidade com os objetivos de controle, através de mecanismos regulares de acompanhamento, monitoração de controles internos e de avaliações internas e externas. 19

20 NOTA: A sigla EDM vem do inglês Evaluate, Direct and Monitor. A sigla APO vem do inglês Align, Plan and Organise. A sigla BAI vem do inglês Build, Acquire and Implement. A sigla DSS vem do inglês Deliver, Service and Support. A sigla MEA vem do inglês Monitor, Evaluate and Assess. A Figura 8, a seguir, mostra os 37 processos de TI relaivos a cada um dos domínios do CobiT 5. PROCESSOS PARA A GOVERNANÇA DE TI DA ORGANIZAÇÃO AVALIAR, DIRIGIR E MONITORAR EDM01 Assegurar o Estabelecimento e Manutenção do Framework de Governança EDM02 Assegurar a Entrega de Benefícios EDM03 Assegurar a Otimização do Risco EDM04 Assegurar a Otimização dos Recursos EDM05 Assegurar Transparência ao Stakeholder ALINHAR, PLANEJAR E ORGANIZAR AP001 Gerenciar o Framework da Gestão de TI AP008 Gerenciar Relacionamentos AP002 Gerenciar a Estratégia AP009 Gerenciar Acordos de Serviços AP003 Gerenciar a Arquitetura Empresarial AP010 Gerenciar Fornecedores AP004 Gerenciar a Inovação AP011 Gerenciar a Qualidade AP005 Gerenciar o Portfólio AP012 Gerenciar o Risco AP006 Gerenciar Custos e Orçamento AP013 Gerenciar a Segurança AP007 Gerenciar Recursos Humanos MONITORAR, AVALIAR E AFERIR MEA01 Monitorar, Avaliar o Desempenho e a Conformidade CONSTRUIR, ADQUIRIR E IMPLEMENTAR BAI01 Gerenciar Programas e Projetos BAI08 Gerenciar o Conhecimento BAI02 Gerenciar Definição de Requisitos BAI09 Gerenciar Ativos BAI03 Gerenciar Identificação e Construção de Soluções BAI10 Gerenciar a Configuração BAI04 Gerenciar Disponibilidade e Capacidade BAI05 Gerenciar A Mudança Organizacional BAI06 Gerenciar Mudanças BAI07 Gerenciar a Aceitação e Transição da Mudança MEA02 Monitorar, Avaliar o Sistema de Controle Interno ENTREGAR, SERVIÇOS E SUPORTE DSS02 DSS01 Gerenciar as Operações Gerenciar Requisições e Incidentes de Serviços DSS03 Gerenciar Problemas DSS04 Gerenciar a Continuidade DSS05 Gerenciar os Serviços de Segurança DSS06 Gerenciar os Controles de Processos do Negócio MEA03 Monitorar, Avaliar Conformidade com Requisitos Externos PROCESSOS PARA A GESTÃO DA TI DA ORGANIZAÇÃO Figura 8 Processos dos domínios do CobiT 5 (Adaptado de ISACA, 2012). Cada um dos 37 processos de TI é descrito através de seus componentes inter-relacionados: Identificação do processo (código, nome, área -chave e domínio); Descrição do processo; Propósito geral do processo; 20

21 Metas em cascata relacionadas (metas relacionadas a TI suportadas primariamente e métricas sugeridas para medi -las); Metas e exemplos de métricas específicas do processo; Matriz de responsabilidades (modelo RACI), associando os papéis às tarefas; Descrição detalhada das práticas do processo (para cada prática): Título e descrição; Entradas e saídas (com origens e destinos); Detalhamento das atividades. Orientações relacionadas, referenciando outros modelos e padrões, além de documentação adicional. O Modelo de Referência de Processos do CobiT 5 sucede o Modelo de Processos do CobiT 4.1 e integra os modelos de processos dos modelos Val IT e Risk IT, que foram descontinuados pela ISACA. 21

22 4 O Modelo de Capacidade do CobiT 5 O CobiT 5 propõe um modelo de Capacidade composto de seis (6) níveis, conforme mostra a Figura 9 a seguir. 22 Figura 9 Modelo de Capacidade do CobiT 5 (adaptado de ISACA, 2012) De acordo com este modelo os níveis de capacidade podem ser entendidos como: Nível 0 processo incompleto: o processo não está implementado ou falha em atender o propósito do processo. Neste nível há pouca ou nenhuma evidência de qualquer atendimento sistemático do Propósito do processo. Nível 1 processo desempenhado: processo implementado atende ao seu propósito. Nível 2 processo gerenciado: o processo implementado no nível 1 é planejado, monitorado, ajustado e os produtos de trabalhos são estabelecidos, controlados e mantidos. Nível 3 processo estabelecido: o processo gerenciado é implementado agora usando um processo definido que é capaz de atender às suas saídas. Nível 4 processo previsível: o processo definido opera agora dentro de limites definidos. Nível 5 processo em otimização: o processo previsível é melhorado continuamente para atender os objetivos de negócio atuais e futuros.

23 Neste modelo a capacidade é cumulativa. Por exemplo, para estar no nível 3 eu preciso ter todas as condições do nível 2 implementadas. Um aspecto que diferencia este modelo de capacidade é que podemos aplicar somente para um ou mais processos, tudo de acordo com os objetivos que pretendemos atingir ou em função de necessidades do negócio. Por exemplo: pode ser que para uma operação 24 x 7 a segurança da informação, o gerenciamento da capacidade, o gerenciamento de incidentes e problemas, o gerenciamento da disponibilidade e da continuidade dos serviços, sejam processos que necessitam estar num patamar mais avançado em termos de capacidade. Diferentemente o que ocorre com outros modelos de melhores práticas, neste aqui você não precisa ter um conjunto de processos num mesmo patamar de capacidade. A capacidade do processo é determinada por atributos, conforme mostram a Tabela 1 a seguir. Tabela 1 Atributos dos níveis de capacidade Nível de Capacidade Atributos Descrição Nível 0 incompleto. Não há atributo. Não se aplica. Nível 1 processo desempenhado Processo desempenhado Mede em que extensão o processo é desempenhado. Atendimento total a este atributo significa que o processo está entregando as suas saídas definitivas. Nível 2 processo gerenciado Desempenho gerenciado Mede em que extensão o processo é gerenciado em termos de: objetivos de desempenho, planejamento e monitoramento do desempenho, ajustamento do desempenho, responsabilidades pelo desempenho do processo, recursos e informações requeridas e comunicação clara entre as partes envolvidas. 23 Produtos de trabalho gerenciados Mede em que extensão os produtos de trabalho gerados pelo processo são gerenciados em termos de: requisitos para os produtos de trabalho, requisitos de documentação e controle, Identificação e controle e revisão dos produtos de

24 Nível de Capacidade Atributos Descrição trabalho. Nível 3 processo estabelecido Definição do processo Implementação do processo Mede a extensão em que o processo padrão é mantido para a implementação de um processo definido. Requer: um processo padrão, guia de adaptação, sequencia de interação com outros processos, competências e papéis para executar o processo, métodos para verificar a eficácia do processo. Mede a extensão em que o processo padrão está implementado como processo definido. Requer: que o processo padrão esteja implementado como definido., papéis e responsabilidades são atribuídas, as pessoas têm a competência e foram treinadas, recursos e serviços foram disponibilizados, infraestrutura disponibilizada e gerenciada e dados são coletados para entendimento do comportamento do processo. Nível 4 processo previsível Mensuração do processo Mede a extensão em que os resultados das medições são usadas para assegurar que o desempenho do processo suporta os seus objetivos de desempenho em apoio ao atendimento aos objetivos de negócio. Requer: necessidades de informação do processo, objetivos de medição do processo, objetivos quantitativos de desempenho, medições e frequência são definidas, resultados das medições são coletados, analisados e comunicados e resultados demonstram o desempenho do processo. 24 Controle do processo Mede a extensão em que o processo é gerenciado quantitativamente para produzir um processo estável, capaz e previsível dentro de determinados limites. Requer: técnicas de análise e controle, limites de controle para a variação do processo, causas especiais de variação são

25 Nível de Capacidade Atributos Descrição analisadas, ações corretivas são tomadas em função da variação e limites de controle são reestabelecidos em função da ação corretiva. Nível 5 processo otimizando Inovação do processo Mede a extensão em que mudanças para o processo são identificadas, derivadas das causas comuns de variação ou de investigação de abordagens de inovação para a definição e implementação do processo. Requer: objetivos de melhoria, dados para analisar as causas comuns de variação, análise da dados para descobrir oportunidades de inovação, identificação de melhorias a partir de novas tecnologias e estratégia de implementação das melhorias. Otimização do processo Mede a extensão que mudanças no processo são efetivas. Requer: avaliação do impacto das mudanças nos objetivos do processo, a implementação das mudanças é gerenciada, avaliação das mudanças em função de correção de causas comuns ou especiais de variação do processo. Vamos pegar um exemplo do processo de Gerenciar Requisições de Serviços e Incidentes. A Tabela 2 exemplifica os niveis de capacidade para este processo. Tabela 2 Exemplo de aplicação do nível de capacidade Nível de Capacidade Atributo Exemplo Processo desempenhado As seguintes saídas são geradas pelo processo: Nível 1 processo desempenhado Os serviços de TI estão disponíveis para o uso; Os incidentes são resolvidos de acordo com acordos de níveis de serviços; As requisições de serviços são tratadas de acordo com acordos de níveis de serviços e para 25

26 Nível de Capacidade Atributo Exemplo a satisfação dos usuários. Desempenho gerenciado Este processo tem os seguintes objetivos de desempenho: Reduzir em 10% os incidentes que causam interrupção nos serviços de TI; Aumentar em 30% os incidentes que são resolvidos dentro do acordo de níveis de serviços. Este desempenho foi planejado com base na coleta de informações sobre incidentes e de acordo com objetivos organizacionais desdobrados para TI. O desempenho é monitorado periodicamente conforme o planejamento estabelecido. Nível 2 processo gerenciado As responsabilidades pelo processo foram definidas inclusive com uma matriz de responsabilidades. Os recursos e informações necessárias foram identificados pelo planejamento e disponibilizados em sua execução. Produtos de trabalho gerenciados Os produtos de trabalho do processo como: Acordos de níveis de serviços; Esquema de classificação de incidentes; Relatórios de status de problema; Regras para escalação de incidentes; Registro de encerramento de solicitações, etc, São documentados, controlados e suas respectivas versões são identificadas e revistas. 26

27 Nível de Capacidade Atributo Exemplo Definição do processo Existe um processo padrão projetado e documentado para o processo. Existe um guia de adaptação do processo padrão para o processo definido (que é o processo adaptado do padrão a partir deste guia). O fluxo documentado do processo mostra as interações deste processo com outros como Gerenciar Configurações, Gerenciar Problemas, Gerenciar Operações, etc. Nível 3 processo estabelecido As competências e responsabilidades para operar o processo estão bem definidas e documentadas. Há um método para verificar se o processo do jeito que foi projetado é eficaz e atende aos objetivos de a TI e do negócio. Implementação do processo O processo padrão está implementado como definido. Competências e responsabilidades definidas e comunicadas. Os recursos, serviços, informações e infraesrutura estão disponibilizados conforme o planejamento para a execução do processo. Dados são coletados para entendimento do comportamento do processo. 27 Nível 4 processo previsível Mensuração do processo Há um processo que coleta e analisa as informações sobre o desempenho do processo para verificar se os objetivos de desempenho estão sendo atingidos: Reduzir em 10% os incidentes que causam interrupção nos serviços de TI; Aumentar em 30% os incidentes que são resolvidos dentro do acordo de níveis de

28 Nível de Capacidade Atributo Exemplo serviços; As informações sobre o desempenho são coletadas e analisadas com uma periodicidade planejada e sistemática. Os resultados do desempenho são comunicados às partes interessadas periodicamente. Controle do processo O processo é controlado estatisticamente. As causas principais de variação dos resultados do processo são identificadas e analisadas com o uso de ferramentas e técnicas apropriadas de gestão da qualidade como: diagrama de espinha de peixe, gráficos de dispersão, cartas de controle estatístico do processo e etc. Ações corretivas para a melhoria do processo são tomadas de forma documentada. Os resultados das ações corretivas são analisados para verificiar a sua eficácia. Nível 5 processo otimizando Inovação do processo A partir do controle estatístico do processo, as causas comuns de variação são identificadas e objetivos de melhoria do processo são formalmente estabelecidos, implementadas e acompanhadas. As oportunidades de inovação no processo são analisadas formalmente. Otimização do processo As mudanças no processo são avaliadas quanto a sua efetividade nos objetivos de desempenho do processo e são gerenciadas em sua implantação. 28

29 5 O roteiro e a metodologia de desenvolvimento do modelo de 5.1 Introdução O desenvolvimento de uma arquitetura ou modelo de depende fundamentalmente das necessidades e requisitos do negócio e da estratégia de terceirização de serviços adotada pela organização. O aluno pode refletir sobre a realidade da sua organização, perguntando: Quais são os objetivos e estratégias do negócio da minha organização? Quais são os fatores críticos de sucesso que fazem o diferencial da minha organização? Quais os movimentos estratégicos que a minha organização está fazendo? Está entrando em novos mercados? Está desenvolvendo novos produtos? Se o aluno conseguiu encontrar as respostas, deve procurar analisar os impactos das mesmas na TI. Por exemplo, o negócio da sua organização tem serviços que devem operar 24 x 7? Se sim, como está a infraestrutura e os serviços de TI para suportar esses serviços de negócio? A nossa preocupação principal quando estamos falando de um modelo de Governança e de Gestão de TI, chamam-se processos. Todo e qualquer resultado depende de processos. Estes podem ser estruturados, documentados e automatizados ou simplesmente praticados. Dentro do conceito do Cobit 5 processos é um dos habilitadores dentre sete (7). Portanto um modelo não reside somente em processos, mas em outros habilitadores, tais como a cultura organizacional, as políticas e assim sucessivamente. Ainda pensando no CobiT a definição do modelo mais adequado para a organização do aluno depende do cenário de negócios específico, pois nem todo cenário vai requerer todos os processos de forma simultânea. Além do mais há a questão do nível de capacidade possível em um dado momento e o que a organização deseja em função dos aspectos culturais, filosofia de gestão, porte da organização, sua origem e restrições, urgência, riscos, dentre outras variáveis. Portanto, o melhor modelo é aquele que começa abordando os aspectos mais críticos para o negócio e vai aumentando a capacidade em linha com a capacidade da gestão organização e da evolução da cultura organizacional. 29

30 5.2 O roteiro e metodologia de desenvolvimento do modelo A metodologia para o desenvolvimento do modelo é composta por seis etapas conforme mostra a figura 10 abaixo. Figura 10 Roteiro para o Desenvolvimento do Modelo de A primeira etapa, Identificação das Necessidades das Partes Interessadas em Relação a TI, se preocupa em identificar as necessidades das partes interessadas (usuários internos, executivos, clientes, fornecedores) em relação a TI. Geralmente essas necessidades podem ser classificadas nos seguintes temas: Valor da TI para o negócio; Inovação da TI para o negócio; Realização dos benefícios dos investimentos em TI para o negócio; Se há recursos disponíveis para atender a demanda por serviços; Se os terceiros são gerenciados e contribuem para a organização; A qualidade dos serviços de TI em termos de disponibilidade, desempenho e etc.; Se os custos de TI estão sendo gerenciados e compatíveis com os serviços oferecidos; Se os ativos e informações estão seguras; 30

31 Se a continuidade do negócio que depende de TI está assegurada; Se a TI suporta efetivamente os processos críticos de negócio; Se os projetos de TI atendem ao time do market requerido pela organização no lançamento de novos produtos e serviços; Se a TI está em conformidade com regulações internas e externas. A segunda etapa, Identificação dos Objetivos Organizacionais, procura identificar quais são os objetivos organizacionais ou empresariais. Geralmente classificados dentro de perspectivas FINANCEIRAS, CLIENTE, PROCESSOS INTERNOS e APRENDIZAGEM e CRESCIMENTO. A Tabela 3 abaixo exemplifica objetivos organizacionais ou empresariais. Tabela 3 Objetivos organizacionais classificados em perspectivas Financeira Cliente Perspectiva Processos Internos Aprendizagem e Crescimento Objetivos Organizacionais Valor dos investimentos dos negócios para os acionistas Riscos dos negócios gerenciados Conformidade com leis e regulações Cultura de serviços orientada ao cliente Disponibilidade e continuidade dos serviços Otimização dos custos de entrega Otimização dos processos de negócio Produtividade operacional Otimização dos custos dos processos de negócio Pessoal habilitado e motivado Tecnologias e sistemas apropriados Cultura de inovação de processos e serviços A terceira etapa, Relacionamento das Necessidades com os Objetivos Organizacionais, procura-se identificar os objetivos que devemos desdobrar para TI. Relacionando as necessidades com os objetivos organizacionais podemos fazer esta identificação. 31

32 Figura 11 Relacionamento necessidades x objetivos organizacionais A quarta etapa, Derivar os Objetivos de TI dos Objetivos de Negócio, procura desdobrar os objetivos organizacionais para os objetivos de TI. Uma forma é pegar os objetivos organizacionais por perspectiva e derivar objetivos de TI para aquela perspectiva. A figura 12 mostra esta abordagem. Objetivos Organizacionais Perspectiva Financeira Perspectiva Cliente Objetivos de TI Perspectiva Financeira Perspectiva Cliente Perspectiva Processos Internos Perspectiva Processos Internos Perspectiva Aprendizagem e Crescimento Perspectiva Aprendizagem e Crescimentos Figura 12 Desdobramento dos objetivos organizacionais para os de TI 32

33 Tabela 4 Derivação dos objetivos organizacionais para TI Perspectiva Objetivos Organizacionais Objetivos de TI Financeira Cliente Processos Internos Aprendizagem e Crescimento Valor dos investimentos dos negócios para os stakeholders. Disponibilidade e continuidade dos serviços Otimização dos processos de negócio Pessoal habilitado e motivado Alinhamento de TI com a estratégia do negócio Realização dos benefícios do portfólio dos projetos Prover serviços com alta disponibilidade Garantir a continuidade dos serviços de TI Implementar soluções que apoiem a otimização dos processos de negócio Implementar e manter programa de capacitação em novas tecnologias A quinta etapa, Definir os Processos de Suporte aos Objetivos de TI. Nesta etapa precisamos fortemente de usar o modelo de referência de processos do Cobit 5, conforme mostramos na Figura 8. A Figura 13 mostra um exemplo de relacionamento entre os processos e objetivos de TI. Figura 13 Relacionamento processos e objetivos de TI Com este relacionamento começamos a identificar quais os processos que irão compor o modelo de. 33

34 Uma vez que sabemos quais os processos de TI vão compor o nosso modelo, devemos definir a capacidade que desejamos para cada processo, de forma a compor o modelo. A Determinação da Capacidade Desejada para cada processo se constitui na etapa 6 do roteiro. A sétima e última etapa, Definir o Modelo de, procura organizar os processos de Governança e de Gestão que irão compor o modelo. Para sermos práticos, podemos usar o modelo de referência do Cobit 5 apresentado na Figura 8. No sentido de orientação, este autor define os processos de Governança propostos pelo Cobit como processos default, ou seja, eles vão existir em qualquer modelo de Governança de TI. O modelo de Gestão, dividido nos domínios do Cobit, é que será variável em função dos objetivos organizacionais e das prioridades. Entretanto o modelo somente estará fechado quando definirmos, para cada processo, os demais habilitadores, quais sejam: Iremos definir uma política ou norma para o processo? Iremos propor o uso de um framework para que o processo seja operado? (exemplo ITIL para o processo de gerenciar problemas); Haverá necessidade de mudar ou criar estruturas organizacionais para operar o processo? Quais as necessidades de informações para operar e gerenciar o processo? Qual o complemento que deverá ser feito ao processo a partir do padrão proposto pelo Cobit 5? Qual a postura e cultura requerida para o processo, competências e habilidades? Quais os serviços, infraestrutura, aplicações e ferramentas necessárias para o processo? 5.3 Visão geral do desdobramento do processo de desenvolvimento do modelo Para concluirmos este item do livro-texto, é importante o aluno compreender que o modelo é evolutivo em função da evolução e mudança dos objetivos organizacionais. Ele não é estático. Porém o modelo é o norte que vai pautar a implementação dos processos de Governança e Gestão de TI e em que nível de capacidade do mesmo vai ser implantado. 34