HUGO QUEIROZ ABONIZIO GAIA PDTI E A GOVERNANÇA DE TIC NO CONTEXTO DAS PREFEITURAS MUNICIPAIS BRASILEIRAS

Transcrição

1 HUGO QUEIROZ ABONIZIO GAIA PDTI E A GOVERNANÇA DE TIC NO CONTEXTO DAS PREFEITURAS MUNICIPAIS BRASILEIRAS LONDRINA PR 2016

2

3 HUGO QUEIROZ ABONIZIO GAIA PDTI E A GOVERNANÇA DE TIC NO CONTEXTO DAS PREFEITURAS MUNICIPAIS BRASILEIRAS Trabalho de Conclusão de Curso apresentado ao curso de Bacharelado em Ciência da Computação da Universidade Estadual de Londrina para obtenção do título de Bacharel em Ciência da Computação. Orientador: Prof. Dr. Rodolfo Miranda de Barros LONDRINA PR 2016

4 Hugo Queiroz Abonizio GAIA PDTI e a Governança de TIC no Contexto das Prefeituras Municipais Brasileiras/ Hugo Queiroz Abonizio. Londrina PR, p. : il. (algumas color.) ; 30 cm. Orientador: Prof. Dr. Rodolfo Miranda de Barros Universidade Estadual de Londrina, Governança de TI 2. PDTI I. Rodolfo Miranda de Barros II. Universidade Estadual de Londrina CDU 02:141:005.7

5 HUGO QUEIROZ ABONIZIO GAIA PDTI E A GOVERNANÇA DE TIC NO CONTEXTO DAS PREFEITURAS MUNICIPAIS BRASILEIRAS Trabalho de Conclusão de Curso apresentado ao curso de Bacharelado em Ciência da Computação da Universidade Estadual de Londrina para obtenção do título de Bacharel em Ciência da Computação. BANCA EXAMINADORA Prof. Dr. Rodolfo Miranda de Barros Universidade Estadual de Londrina Orientador Prof. Dr. Segundo Membro da Banca Universidade/Instituição do Segundo Membro da Banca Prof. Dr. Terceiro Membro da Banca Universidade/Instituição do Terceiro Membro da Banca Prof. Ms. Quarto Membro da Banca Universidade/Instituição do Quarto Membro da Banca Londrina PR, 4 de fevereiro de 2016

6

7 Este trabalho é dedicado às crianças adultas que, quando pequenas, sonharam em se tornar cientistas.

8

9 AGRADECIMENTOS Agradeço a todos que contribuíram para este trabalho, tanto de forma direta como indireta. Agradeço ao meu orientador Prof. Dr. Rodolfo Miranda de Barros, por toda a direção e aprendizado que me proporcionou em todos esses anos. Agradeço aos meus amigos e à minha namorada, que foram fundamentais durante esse tempo para a realização desta, e de todas as atividades, acadêmicas ou não.

10

11 A indiferença é o peso morto da história. É a bala de chumbo para o inovador, é a matéria inerte em que se afogam freqüentemente os entusiasmos mais esplendorosos, é o fosso que circunda a velha cidade e a defende melhor do que as mais sólidas muralhas, melhor do que o peito dos seus guerreiros, porque engole nos seus sorvedouros de lama os assaltantes, os dizima e desencoraja e às vezes, os leva a desistir de gesta heróica. (Os Indiferentes, Antonio Gramsci)

12

13 ABONIZIO, H. Q.. GAIA PDTI e a Governança de TIC no Contexto das Prefeituras Municipais Brasileiras. 50 p. Trabalho de Conclusão de Curso (Bacharelado em Ciência da Computação) Universidade Estadual de Londrina, Londrina PR, RESUMO Atualmente, a Tecnologia da Informação e Comunicação tem um papel fundamental nas organizações, deixando de servir apenas de suporte ao negócio e se tornando indispensável para alcançar os objetivos de negócio. Nesse contexto, a governança de TI é um fator chave no cumprimento dos objetivos de TI dentro de uma organização, e o sucesso na implantação da governança é fundamentada em modelos e frameworks que suportam esses processos. Desta forma, o Plano Diretor de Tecnologia da Informação (PDTI) é um importante instrumento de planejamento, diagnóstico e gestão dos recursos de informática que visa auxiliar a governança na tomada de decisão. Esse trabalho tem como objetivo fazer um mapeamento dos processos para verificar o quão alinhado está o GAIA PDTI com o framework COBIT. Dessa forma, o trabalho tem como finalidade demonstrar que o GAIA PDTI é um modelo válido de documento para aplicação e implantação de governança de TIC nas prefeituras municipais brasileiras. Palavras-chave: Governança de TI, PDTI, COBIT, ITIL

14

15 ABONIZIO, H. Q.. The importance of MPIT in the implementation of IT Governance in Prefectures Brazilian. 50 p. Final Project (Bachelor of Science in Computer Science) State University of Londrina, Londrina PR, ABSTRACT Today, the Information and Communication Technology plays a key role in organizations, no longer serving only as support to the business and becoming indispensable to achieve business goals. In this context, IT governance is a key factor in meeting the goals of IT within an organization, and the successful implementation of governance is based on models and frameworks that support these processes. Therefore, the Director Plan of Information Technology (DPTI) is an important tool for planning, diagnosis and management of computing resources that aims to help governance in decision making. This study aims to map the processes to check how is aligned GAIA PDTI with COBIT framework. Thus, the work aims to demonstrate that the GAIA PDTI is a valid document model for application and implementation of ICT governance in Brazilian municipalities. Keywords: IT governance, PDTI, COBIT, ITIL

16

17 LISTA DE ILUSTRAÇÕES Figura 1 Avaliar, Direcionar e Monitorar [1] Figura 2 Princípios do COBIT [2] Figura 3 Cobertura de outros modelos e padrões pelo COBIT [2] Figura 4 Principais áreas de governança e gestão [2] Figura 5 Processos do COBIT, adaptado de [3] Figura 6 Aplicações de modelos de referência [4]

18

19 LISTA DE TABELAS Tabela 1 Avaliar, Dirigir e Monitorar Tabela 2 Alinha, Planejar e Organizar Tabela 3 Construir, Adquirir e Implementar Tabela 4 Entregar, Atender e Apoiar Tabela 5 Monitorar, Avaliar e Analisar Tabela 6 Mapeamento do domínio EDM Tabela 7 Mapeamento do domínio BAI Tabela 8 Mapeamento do domínio APO Tabela 9 Mapeamento do domínio DSS Tabela 10 Mapeamento do domínio MEA

20

21 LISTA DE ABREVIATURAS E SIGLAS COBIT IBGE ISACA ÍTGI ITIL MP SISP SLTI TI TIC Control Objectives for Information and related Technology Instituto Nacional de Geografia e Estatística Information Systems Audit and Control Association IT Governance Institute Information Technology Infrastructure Library Ministério do Planejamento, Orçamento e Gestão Sistema de Administração dos Recursos de Tecnologia da Informação Secretaria de Logística e Tecnologia da Informação Tecnologia da Informação Tecnologia da Informação e Comunicação

22

23 SUMÁRIO 1 INTRODUÇÃO FUNDAMENTAÇÃO TEÓRICA Planejamento estratégico Governança Corporativa Governança de TI PDTI - Plano Diretor de Tecnologia da Informação COBIT Processos de Governança Processos de Gestão ITIL METODOLOGIA GAIA PDTI ALINHAMENTO ENTRE GAIA PDTI E COBIT Mapeamento de processos CONCLUSÃO Trabalhos futuros REFERÊNCIAS

24

25 23 1 INTRODUÇÃO Atualmente, a Tecnologia da Informação deixou de ser utilizada somente como suporte ao negócio das organizações e se tornou um papel de alinhamento aos objetivos organizacionais. O atual contexto de intensas mudanças faz com que as organizações tenham que se adaptar rapidamente ao mercado ou ambiente de atuação, não podendo mais simplesmente responder às demandas geradas, e nesse escopo mostra-se importante o planejamento estratégico de TI. Com o papel imprescindível que a Tecnologia da Informação e Comunicação assumiu nos últimos anos nas empresas e organizações públicas, a automação e digitalização dos processos se faz cada vez mais necessário. O crescente volume de informações, instrumentos de diagnóstico e planejamento deixam de ser vistos como fonte de custos e gastos, que servem apenas como suporte do negócio principal, e passam a ser um ativo estratégico alinhado aos objetivos da organização. Um grande obstáculo em relação à TIC, entretanto, é como aplicá-la da melhor maneira, para obter os melhores resultados. Nesse contexto, frameworks como o COBIT e o ITIL surgem como forma de nortear a governança a partir de boas práticas utilizadas no mundo em organizações públicas e privadas. Além disso, vários esforços com o objetivo de regular os processos de governança de TIC foram tomados. Um exemplo para a governança corporativa de TIC é a norma ISO/IEC 38500, que estabelece um modelo para a chamada boa governança de TIC, definindo princípios que norteiam o uso de TIC nas organizações. No contexto de administração pública, a melhora na prestação de serviços nas esferas Federal, Estadual ou Municipal, está ligada ao papel da organização dentro do Estado Democrático [5]. Diferente de uma organização privada, organizações públicas não utilizam a melhoria na eficiência de seus processos visando lucro, mas sim uma melhor qualidade no atendimento às necessidades do cidadão. Sendo assim, a boa governança, neste sentido, se caracteriza por envolver a participação dos cidadãos, promover a transparência e accountability (responsabilidade e prestação de contas). Essas características são necessárias pois a administração pública precisa ser eficaz, atendendo as necessidades do cidadão e pautada em indicadores de qualidade [6]. No âmbito municipal, a atual situação da TIC nas prefeituras mostra que em grande parte dos municípios os setores de TI são subordinados a uma secretaria, muitas vezes a Secretaria de Administração. Em municípios de menor porte predomina a inexistência de uma estrutura específica [7]. Essa falta de autonomia destes setores na administração municipal, demonstram que é dada uma baixa prioridade aos processos de TIC pelos gestores.

26 24 A inexistência de um planejamento a longo prazo para tomada de decisão, identificado na maior parte dos municípios [7], indica uma falta de capacidade de governança e gestão na área. É nesse contexto que se ressalta a importância de um planejamento estratégico do setor de TI, pois nesse ambiente é necessário aproveitar da melhor maneira os recursos públicos disponíveis. Nesse contexto, Plano Diretor de Tecnologia da Informação (PDTI) é um documento de planejamento, diagnóstico e gestão dos recursos de tecnologia da informação de uma entidade ou organização [8] que tem suma importância na governança de TIC. Para realização do estudo proposto neste trabalho, foi utilizado o GAIA PDTI, que é um modelo de PDTI que foi desenvolvido no laboratório GAIA - Soluções em TIC do Departamento de Computação da Universidade Estadual de Londrina. Este trabalho tem como objetivo fazer um mapeamento para verificar o quão alinhado está o GAIA PDTI com o COBIT, que é um framework reconhecidamente eficiente pelas organizações e pela literatura sobre o assunto [9]. Para isso, são associados os processos que compõem o COBIT 5 às seções do modelo GAIA PDTI, mostrando onde são abordados, com objetivo de demonstrar a cobertura de todos os processos dos domínios do modelo de referência. Com isso, este trabalho tem como finalidade demonstrar a validação do modelo GAIA PDTI como modelo base para implantação de planejamento estratégico de governança em TIC nas prefeituras municipais brasileiras. Na seção 2, são apresentados conceitos importantes para a fundamentação teórica do trabalho. São apresentados os conceitos de planejamento estratégico e governança, é apresentado o conceito de Plano Diretor de TI, e os frameworks COBIT e ITIL. A 3 a seção detalha o modelo de documento utilizado para análise, o GAIA PDTI, e a metodologia utilizada para o mapeamento dos processos do COBIT. A seção 4 trata do alinhamento entre o modelo GAIA PDTI e o framework COBIT, mostrando através de tabelas o mapeamento de processos dos domínios do modelo de referência. Ao final são feitas as considerações finais, e sugestões de trabalhos futuros.

27 25 2 FUNDAMENTAÇÃO TEÓRICA Esta seção apresenta os conceitos necessários para a fundamentação das seções posteriores. São apresentados os conceitos de Planejamento estratégico e Governança, sendo este dividido em Governança Corporativa e sua especificação para Governança de TI; o conceito de Plano Diretor de Tecnologia da Informação, documento que tem como objetivo descrever e traçar metas para a TI dentro de uma organização; e por fim os frameworks COBIT e ITIL, detalhando seus processos. 2.1 Planejamento estratégico Segundo o Ministério do Planejamento, Orçamento e Gestão [10], planejamento é entendido como uma preparação para agir de maneira efetiva, controlando os riscos e as incertezas. Com o objetivo de tomar decisões de forma antecipada de possíveis situações futuras, técnicas de planejamento são utilizadas para analisar o cenário atual, traçar objetivos e estratégias para seu alcance. Sendo assim, o planejamento estratégico de TI direciona as ações e projetos de TI dentro de uma organização, onde são identificadas oportunidades para aprimorar os negócios. Planos de ação de curto, médio e longo prazo e a melhor arquitetura dos recursos de TI também são abordados no planejamento estratégico. O planejamento é importante em um contexto de intensas mudanças, onde as organizações são obrigadas a se adaptarem ao novo ambiente rapidamente. Neste cenário instável, o planejamento se mostra imprescindível na tomada de decisão, pois possibilita que os gestores avaliem as possibilidades e onde focar esforços para trazer mais valor às ações tomadas. O planejamento também possibilita aumentar a eficácia aproveitando melhor os recursos disponíveis, aumentar a eficiência minimizando o desperdício e aumentar a inteligência organizacional através do aprendizado [10]. 2.2 Governança Corporativa A governança corporativa surge como conceito na década de 90, como um sistema de dirigir e monitorar uma organização tendo em vista o relacionamento entre os conselhos, equipe executiva e os órgãos envolvidos [4]. Desde seu início, vários esforços foram tomados no intuito de criar relatórios de boas práticas e regular a governança. Dentre as formas de regulação, temos a Lei Sarbanes- Oxley, aprovada em Julho de 2002 nos Estados Unidos [9]. A legislação que entrou em vigor fez com que a boa Governança Corporativa se tornasse lei, garantindo os princípios:

28 26 transparência de informação entre as partes interessadas; equidade de tratamento entre as partes envolvidas no negócio; prestação de contas; e obediência às leis do país Governança de TI Governança de TI é o conjunto de processos e estruturas no escopo organizacional que envolvem a direção, gerentes de TI e gerentes de negócio na coordenação do uso de TI e no monitoramento de seus resultados, com o objetivo de promover o alinhamento entre estratégias e operações das áreas de TI e de negócios [11]. O guia do COBIT 5 [3] conceitua governança de TI como um subconjunto da estratégia de governança corporativa, focando especificamente na parte dos sistemas de tecnologia da informação, gerenciando suas performances e riscos. O principal foco da governança de TI é assegurar que as necessidades dos stakeholders - pessoas ou grupos de interesse na organização - sejam alcançadas, a fim de direcionar os investimentos. A norma ISO/IEC estabelece um modelo para Governança Corporativa de TI [12], definindo Governança Corporativa de TI como o sistema que dirige o uso atual e futuro da TI, envolvendo avaliação e a direção do uso da TI para dar suporte à organização. Assim, a governança de TI inclui as estratégias e as políticas que definem o uso de TI dentro de uma organização. Figura 1 Avaliar, Direcionar e Monitorar [1] A norma orienta que a organização seja governada por três tarefas principais que são ilustradas na figura 1: Avaliar o uso atual e futuro da TI; Direcionar a implementação de planos e políticas que alinhem a TI aos objetivos de negócio; Monitorar o desempenho da TI em relação aos planos definidos de acordo com métricas apropriadas [13].

29 27 decisões [12]. Uma boa governança de TI é guiada por 6 princípios que orientam a tomada de Princípio 1: Responsabilidade Os membros da organização, indíviduos ou grupos, devem compreender e aceitar suas responsabilidades em acordo com o fornecimento e a demanda dos recursos de TI. Princípio 2: Estratégia O planejamento estratégico de TI deve sempre levar em conta as necessidades atuais e contínuas do negócio da organização. Princípio 3: Aquisição A aquisição de soluções de TI devem ser feitas por razões fundamentadas em uma análise contínua, com tomadas de decisão clara e transparente. Levando em consideração o equilíbro entre benefícios, oportunidades, custos e riscos. Princípio 4: Desempenho O desempenho da TI dentro da organização deve ser medido e mensurado através de métricas que visam avaliar os resultados e a qualidade dos serviços, para assim tomar decisões acerca das ações necessárias para manter a TI adequada à finalidade da organização. Princípio 5: Conformidade A TI deve cumprir com a legislação e os regulamentos obrigatórios vigentes, tendo suas políticas e práticas bem definidas e fiscalizadas. Princípio 6: Comportamento Humano As decisões e as práticas de TI devem ter respeito pelo comportamento humano, pois toda implementação exige uma mudança de postura e cultural das pessoas envolvidas dentro da orgnaização, desta forma, é necessário enfatizar a importância das pessoas para alcançar as mudanças necessárias para a adoção da Governança de TI. Para se obter maturidade em governança de TI, existem alguns modelos e metodologias disponíveis [9]. Os principais são: O COBIT (Control Objectives for Information and Related Technology), que é um guia para obter melhor controle da organização da TI; o ITIL (Information Technology Infrastructure Library), que foca na parte operacional dos serviços; PMBOK (Project Management Body of Knowledge), que apresenta melhores práticas no gerenciamento de projetos; CMM (Capability Maturity Model), modelo que

30 28 descreve diretrizes para desenvolvimento de software. Dentre estas, o ITIL aparece como mecanismo de governança de TI mais adotado em empresas brasileiras, com 17,70% das empresas, seguido do COBIT, com 13,86% [14]. Sendo assim, a Governança de Tecnologia da Informação - também referida como Governança de Tecnologia da Informação e Comunicação (GTIC) - difere da Gestão de TIC visto que a governança é voltada à alta administração e aos executivos, enquanto a gestão é voltada à eficiência operacional dos produtos e serviços de TIC. 2.3 PDTI - Plano Diretor de Tecnologia da Informação O Plano Diretor de Tecnologia da Informação é um documento de planejamento das ações de TI que apoiam as atividades finais das organizações [8]. O PDTI tem como objetivo sistematizar as ações de TI servindo de instrumento para gestão dos recursos e diagnóstico em um período estabelecido. Como documento de planejamento das ações de TIC, o PDTI é um importante mecanismo de avaliação da atual situação, direcionamento das políticase futuras ações, e monitoramento das atividades, verificando o alinhamento aos objetivos da organização. Dessa forma, em uma organização pública, que visa atender as necessidades do cidadão com eficiência, se faz necessário o uso de instrumentos que auxiliem na tomada de decisão. Dentre eles, o PDTI é indicado pelo Sistema de Administração dos Recursos de Tecnologia da Informação (SISP), que é o sistema federal criado com o instituído com o intuito de gerir os recursos de informação na Administração Pública. [15]. O PDTI é indicado pelo SISP pois abrange tanto elementos estratégicos - como os princípios e visão da organização -, quanto elementos táticos, mais próximos do nível operacional - como as ações para alcançar os objetivos. Em 2010, o documento se tornou obrigatório no planejamento de órgãos e entidades que fazem parte do SISP a partir da Instrução Normativa 04/2010 [16], pela Secretaria de Logística e Tecnologia da Informação (SLTI), do Ministério do Planejamento, Orçamento e Gestão (MP). O SISP disponibiliza um guia de elaboração de PDTI, apresentando a importância do planejamento de TI, os processos para elaboração do documento e de acompanhamento, dentre outras sugestões [10]. Segundo o guia de elaboração [15], o PDTI deve definir indicadores de acordo com os objetivos estratégicos da organização, o planejamento de investimentos e a identificação e gestão de riscos. Esse modelo apresentado como referência aborda elementos estratégicos como missão, visão, valores e análise SWOT (strengths, weakness, opportunities, threats [17]); e

31 29 também elementos tipicamente táticos como projetos e ações necessárias para alcançar os objetivos e metas da organização. O modelo ainda apresenta o ciclo de vida do PDTI nas organizações, e passa por uma série de transformações ao longo do tempo [15]. O ciclo de vida se inicia com a concepção do documento, passando pelos subprocessos de preparação, diagnóstico e planejamento, que constituem o processo de elaboração. Depois de concebido, o documento é acompanhado durante o período de vigência, sendo realizado o monitoramento e a avaliação dos processos. Além disso, o PDTI anterior também representa um importante recurso para o início de um novo ciclo de elaboração do PDTI. Em suma, o guia de elaboração prevê alguns pontos que são requeridos para elaboração deste Plano Diretor: definir a abrangência e o período do documento; definir a equipe e a metodologia de elaboração; identificar os diretrizes e estratégias da organização. Também são apresentados requisitos de diagnóstico: analizar o PDTI anterior; analizar o referencial estratégico de TI; identificar as necessidades das diversas áreas que envolvem a TI, como serviços e infraestrutura; alinhar as necessidades às estratégias da organização. Por fim, no planejamento, o documento deve constar as ações que visam atendar as necessidades levantadas, sendo feita uma análise de prioridade de cada ação tomada. 2.4 COBIT O COBIT (Control Objectives for Information and related Technology) é um framework que tem como objetivo auxiliar no processo de governança e gestão de TIC, sugerindo uma série de boas práticas na organização. Desta forma, o COBIT se propõe a orientar as decisões acerca da TIC. Segundo Briganó [9], o COBIT é orientado a negócio, ou seja, ele sugere a implementação de controles e métricas na organização que visam direcionar a TIC de acordo com os objetivos de negócio, a fim de medir sua eficiência e identificar responsabilidades nos processos de TIC. O framework é desenvolvido pela ISACA (Information Systems Audit and Control Association) através do ITGI (IT Governance Institute) e, de acordo com [18], possui como benefícios: Melhor alinhamento baseado no foco do negócio; Visão mais fácil de entender das tarefas de TI; Clareza em determinar as responsabilidades, baseadas nos processos; A versão 5 do COBIT possui 5 princípios gerais, mostrados na Figura 2: atender às necessidades das partes interessadas; cobrir a empresa de ponta a ponta; aplicar um

32 30 framework único e integrado; permitir uma abordagem holística; e distinguir a governança da gestão. Figura 2 Princípios do COBIT [2] O primeiro direciona a governança para o atender às necessidades das partes interessadas, ou stakeholders. Toda organização, comercial ou não, tem como objetivo criar valor para suas partes interessadas, portanto este será o objetivo da governança. Criar valor, neste contexto, é realizar benefícios, que podem ser financeiros em uma organização comercial ou de serviço público em entidades governamentais, visando otimização dos riscos e recursos. Como as organizações podem ter diversas partes interessadas, que muitas vezes podem ser conflitantes, a governança deve considerar todos os interesses e tomar decisões com base nos benefícios, riscos e recursos envolvidos. Ou seja, a governança é negociar e decidir entre os diferentes interesses dos stakeholders dentro de uma organização. Para isso o COBIT possui um mecanismo chamado Cascata de Objetivos, que possibilita uma visão bottom-up com o intuito de organizar as necessidades de negócio em objetivos corporativos específicos para serem executados. O segundo princípio trata a governança de TI cobrindo a organização de ponta a ponta, não se limitando apenas às funções de TI. Desta forma, tem como objetivo integrar a governança corporativa de TI a governança corporativa da organização, e cobrir todas

33 31 as funções e processos necessários para controlar toda a informação da organização e as tecnologias de processamento da informação. O terceiro princípio do COBIT torna o framework possível de se alinhar com outros modelos de governança com o COBIT servindo de principal integrador de governança e gestão, pois é completo na cobertura de toda a organização, servindo de base para outros padrões e práticas. A figura 3 mostra a cobertura de outros padrões e modelos pelo COBIT 5, mostrando que este serve de base para outros modelos, conforme o terceiro princípio do COBIT. Figura 3 Cobertura de outros modelos e padrões pelo COBIT [2] Seguindo o quarto princípio, o COBIT define 7 habilitadores (enablers), que são fatores que determinam se a governança e a gestão de TI vão funcionar. Os habilitadores são: princípios, políticas e modelos, que são o veículo de conversão do comportamento desejado em práticas para a gestão; processos que descrevem um conjunto de práticas e atividades para alcançar determinados objetivos; estruturas organizacionais, que são as entidades chave na tomada de decisão; cultura, ética e comportamento dos indivíduos e da organização; a informação produzida e usada pela organização, necessária para manter o funcionamento e a governança; serviços, infraestrutura e aplicativos incluem a tecnologia que fornece à organização suporte no processamento das informações; pessoas, habilidades e competências são requeridos para que as atividades sejam efetuadas com sucesso e para que decisões sejam tomadas de forma correta. O quinto princípio do COBIT torna clara a distinção entre governança e gestão. Esses dois conceitos possuem diferentes estruturas organizacionais e possuem propósitos

34 32 diferentes. Do ponto de vista do COBIT, governança garante que as necessidades das partes interessadas sejam avaliadas e, com base nelas e suas prioridades, determinar objetivos corporativos monitorar o desempenho da execução. A gestão é responsável pelo planejamento, desenvolvimento, execução e monitoramento das atividades alinhadas às direções definidas pela governança para atingir os objetivos corporativos [2], ou seja, a governança define a direção, enquanto a gestão consiste em planejar e executar as atividades baseadas neste direcionamento. Na versão 4.1, o COBIT era disposto de 4 domínios compostos por 34 processos, que são largamente explorados na literatura, como em [19] e [20]. Na versão atual, publicada pela primeira vez em 2012, o COBIT 5 possui 37 processos divididos em duas grandes áreas - gestão e governança - divididos em domínios de processos, como mostra a figura 4. Figura 4 Principais áreas de governança e gestão [2] Processos de Governança Os processos de governança propostos pelo COBIT 5 estão dispostos em 1 domínio - Avaliar, Dirigir e Monitorar (Evaluate, Direct and Monitor - EDM) - que contém 5 processos que são descritos na tabela 4. Esses processos correspondem às responsabilidades da alta direção para avaliação, direcionamento e monitoração da TI, definindo um framework de governança. Tabela 1 Avaliar, Dirigir e Monitorar EDM01 Assegurar o Estabelecimento e Manutenção do Framework de Governança Analisa os requisitos para a governança corporativa de TI, e executa as práticas para alcançar as metas e objetivos da organização.

35 33 EDM02 EDM03 EDM04 EDM05 Assegurar a Entrega de Benefícios Assegurar a Otimização de Riscos Assegurar a Otimização de Recursos Assegurar a Transparência para as partes interessadas Otimiza a geração de valor para o negócio resultantes dos investimentos em TI, através de processos, serviços e outros recursos de TI. Assegura um risco controlado e bem identificado para a organização. Assegura que os recursos (pessoas, processos e tecnologia) relacionados à TI estão disponíveis e suportam a organização de maneira eficaz. Assegura que os relatórios e métricas sejam acessíveis a todas as partes interessadas para que sejam aprovados os objetivos e metas da organização Processos de Gestão Composto por 4 domínios de acordo com as responsabilidades de planejar, criar, executar e monitorar - plan, build, run and monitor (PBRM). Alinhar, Planejar e Organizar (APO) O domínio APO define como a TI pode contribuir com os objetivos de negócio, com processos relacionados a estratégia, arquitetura corporativa, orçamento e outros, como detalhado na tabela 2 Tabela 2 Alinha, Planejar e Organizar APO01 Gerenciar o Framework de Gestão de TI Esclarece e mantém a missão e visão da governança de TI da organização, além de implementar mecanismos de gerenciar a TI dentro da organização. APO02 Gerenciar a Estratégia Fornece uma visão do estado atual e a direção futura do negócio. APO03 Gerenciar a Arquitetura Fornece uma arquitetura única sobre os processos, Corporativa informações e tecnologia envolvida na TI para alcançar de maneira eficiente as estratégias. APO04 Gerenciar a Inovação Mantém uma consciência de tendências e serviços relacionados, identificando oportunidades de inovação visando beneficiar a organização nos seus objetivos de negócio.

36 34 APO05 Gerenciar o Portfólio Avalia e prioriza programas e serviços dentro das restrições dos recursos com base no alinhamento dos objetivos estratégicos. Monitora o desempenho de todo o portfólio de serviços e programas, e realiza mudanças necessárias. APO06 Gerenciar Orçamento e Administra as atividades financeiras relacionadas Custos a TI, realizando priorização dos gastos e gestão dos custos. APO07 Gerenciar Recursos Humanos Explica como o desempenho dos indivíduos deve ser alinhado aos objetivos corporativos e como e responsabilidades devem ser definidas. APO08 Gerenciar as Relações Gerencia o relacionamento entre negócio e TI de maneira transparente que garanta um objetivo comum. APO09 Gerenciar os Acordos de Gerencia contratos de prestação de serviço Serviço adequados e objetivos do serviço, incluindo especificação, projeto e acompanhamento. APO10 Gerenciar os Fornecedores Seleção de fornecedores e gestão do relacionamento e de contratos. Realiza o monitoramento do desempenho dos fornecedores para manter a eficiência. APO11 Gerenciar a Qualidade Inclui controles de qualidade e monitoramento contínuo, o uso de práticas e padrões na melhoria contínua de todos os processos. APO12 Gerenciar os Riscos Identifica e avalia constantemente os riscos visando reduzir os riscos relacionados a TI aos níveis de tolerância estabelecidos. APO13 Gerenciar a Segurança Opera e monitora a gestão da segurança da informação. Construir, Adquirir e Implementar (BAI) O domínio BAI identifica os requisitos de TI e os torna concretos, gerenciando os investimentos e projetos associados.

37 35 Tabela 3 Construir, Adquirir e Implementar BAI01 Gerenciar Programas e Projetos Planeja, controla e executa todos os programas e projetos do portfólio de investimentos alinhados à estratégia organizacional. BAI02 Gerenciar a Definição de Levanta e analisa os requisitos e as soluções Requisitos antes da aquisição ou criação, para assegurar que eles cobrem os objetivos estratégicos da organização. BAI03 Gerenciar a Identificação e Estabelece as soluções identificadas com base Desenvolvimento de Soluçõesign, nos requisitos da organização. Abrange de- desenvolvimento e aquisição. BAI04 Gerenciar a Disponibilidade e Capacidade Mantém o equilíbrio entre as necessidades e disponibilidades futuras e atuais, incluindo a avaliação da capacidade atual de TI levando em conta os riscos. BAI05 Gerenciar Capacidade Visa maximizar a chance de sucesso em implementar uma mudança organizacional sus- de Mudança Organizacional tentável em toda a organização eficientemente e com risco controlado. BAI06 Gerenciar Mudanças Gerencia todas as mudanças relacionadas aos processos de negócio, aplicações e infraestrutura. BAI07 Gerenciar Aceitação e Transição da Mudança Gerencia a aceitação de novas soluções operacionais, incluindo planejamento, testes de aceitação, comunicação e suporte. BAI08 Gerenciar o Conhecimento Mantém a disponibilidade de conhecimento necessário para suportar as atividades do processo de negócio para ajuda a garantir que os usuários estejam habilitados para utilizar os sistemas dede modo efetivo BAI09 Gerenciar os Ativos Gerencia ativos de TI mantendo a capacidade operacional e realizando acompanhamento patrimonial de ativos. BAI10 Gerenciar a Configuração Define e gerencia as descrições dos recursos de TI e suas configurações, estabelecendo um repositório acessível de informações de configuração.

38 36 Entregar, Atender e Apoiar (DSS) O domínio DSS visa a entrega dos serviços de TI necessários para atender os objetivos de negócio, atuando na gestão de disponibilidade e problemas, e nas operações de TI. Tabela 4 Entregar, Atender e Apoiar DSS01 Gerenciar Operações Coordena e executa as atividades operacionais necessários para os serviços de TI DSS02 Gerenciar Solicitações e Incidentes de Serviços Fornece uma resposta eficiente às solicitações dos usuários e soluções para os problemas enfrentados. Restaura a normalidade do serviço, diagnosticando e solucionando os eventuais problemas. DSS03 Gerenciar Problemas Identifica as razões e fornece soluções para prevenir incidentes recorrentes. DSS04 Gerenciar Continuidade Mantém as operações de negócio e de TI respondendo à incidentes ou interrupções, mantendo a disponibilidade da informação. DSS05 Gerenciar Serviços de Segurança Protege informações da organização para manter o nível de risco tolerável, de acordo com as políticas de segurança. DSS06 Gerenciar Controles do Processo de Negócio Define controles de processo de negócio para assegurar que as informações processadas atendem às necessidades. Monitorar, Avaliar e Analisar (MEA) O domínio MEA visa monitorar o desempenho e o alinhamento com objetivos de negócio dos processos relacionados a TI. Tabela 5 Monitorar, Avaliar e Analisar MEA01 MEA02 Monitorar, Avaliar e Analisar Desempenho e Conformidade Monitorar, Avaliar e Analisar o Sistema de Controle Interno Coleta e avalia as métricas dos processos, monitorando se as metas de desempenho estão sendo alcançadas e sua conformidade. Permite à gestão identificar deficiências de controles e ineficiências internas, através de uma avaliação contínua.

39 37 MEA03 Monitorar, Avaliar e Analisar Conformidade com Requisitos Externos Avalia a conformidade dos processos de TI com as leis e regulamentos vigentes, bem como cláusulas contratuais. A organização dos 37 processos de governança e gestão é mostrada na figura 5. Figura 5 Processos do COBIT, adaptado de [3] A aplicação do COBIT 5 depende de um ciclo de vida de implementação que fornece um método para as organizações enfrentarem os desafios na implantação da governança de TI. Esse processo tem 3 componentes - gestão do programa, habilitação da mudança e ciclo de vida da melhoria contínua -, e é implementado em 7 fases: a primeira, onde é reconhecida e aceitada a necessidade da implementação; a segunda fase concentrase no mapeamento dos objetivos corporativos e priorizações; a terceira, onde são definidas metas de melhorias e identificação de falhas e possíveis soluções; a quarta foca no planejamento das soluções práticas; a quinta fase implementa as soluções propostas nas práticas diárias da organização; a sexta realiza o monitoramento do que foi realizado, culminando na sétima que analisa o sucesso da organização, e reforçando a necessidade da melhoria contínua.

40 ITIL O ITIL (Information Technology Infrastructure Library), elaborado no final da década de 80 pelo governo britânico, é o framework mais utilizado para o gerenciamento dos serviços de TI [11]. A biblioteca foi criada com o intuito de agrupar informações sobre como as maiores empresas gerenciavam seus serviços de TI, para assim o setor público inglês apresentar alta eficiência e baixo custo [21]. A terceira versão do ITIL traz um conjunto de cinco livros para descrever o ciclo de vida do serviço: Estratégia de Serviço (Service Strategy), Desenho de Serviço (Service Design), Transição de Serviço (Service Transition), Operação de Serviço (Service Operation) e Melhoria Contínua de Serviço (Continuous Service Improvement), além de um livro de introdução [9]. Segundo o ITIL, um serviço é definido como um meio de entregar valor ao cliente, facilitando os resultados que o cliente quer alcançar, sem que este tenha que assumir a propriedade dos riscos e custos específicos [19]. Abaixo são descritas as etapas do ciclo de vida de um serviço: Estratégia de Serviço: raiz do ciclo de vida atuando para alinhar os serviços com os objetivos da organização, para assim agregar valor ao serviço. Desenho de Serviço: tem o objetivo de modelar um novo serviço - ou alterar um já existente - de acordo com os requisitos da organização. Transição de Serviço: torna real o que foi modelado na fase de desenho, trazendo o projeto para a realidade da organização. Operação de Serviço: visa manter os serviços operando da maneira esperada de acordo com as fases anteriores, garantindo suporte aos serviços. Melhoria Contínua de Serviço: tem como finalidade tornar os processos mais eficientes, mantendo o serviço alinhado com os objetivos de negócio através da identificação e implementação de melhorias. Para obter melhoria contínua dos serviços de TI, o ITIL se baseia no padrão PDCA, referente às fases: Plan, que compreende o planejamento da ação determinando metas e objetivos; Do, é a fase de execução do que foi planejado; Check, utiliza os critérios da fase de planejamento para avaliar o desempenho do que foi executado; Act, que representa a ação a ser tomada com a finalidade de identificar desvio das metas identificados na fase de avaliação [21].

41 39 3 METODOLOGIA Para alcançar o objetivo deste trabalho, verificar o alinhamento do modelo GAIA PDTI em relação a governança de TIC das prefeituras municipais brasileiras, primeiro é necessário definir um modelo de referência utilizado como base. O modelo escolhido para a análise é o COBIT, pois, como é mostrado na figura 6, o COBIT é o framework mais indicado para essa comparação, visto que, do ponto de vista de governança de TI, o COBIT é o mais próximo da parte estratégica. Diferente do ITIL, que tem uma relação mais estreita com a parte operacional de TI, o COBIT apresenta um ponto de vista de mais alto nível na hierarquia organizacional. Tendo em vista o modelo de referência, foi realizado o mapeamento dos processos propostos pelo COBIT 5 para a seção do GAIA PDTI em que ele é coberto. Para cada domínio do COBIT, uma tabela foi criada relacionando o identificador do processo à seção que abrange o que o processo propõe como objetivo. O mapeamento dos processos tem como finalidade mostrar o alinhamento entre o GAIA PDTI e o framework COBIT, para assim demonstrar que o modelo é válido para a implantação da governança de TIC nas prefeituras municipais brasileiras. Além deste trabalho, um software foi implementado durante o Estágio Supervisionado (5EST314) que realiza a automação do processo de criação do PDTI. O software implementa todas as seções propostas pelo modelo GAIA PDTI, e tem como objetivo auxiliar no planejamento estratégico e a governança de TIC. Figura 6 Aplicações de modelos de referência [4]

42 GAIA PDTI O GAIA PDTI é um modelo desenvolvido no laboratório GAIA para a criação do Plano Diretor de TI de prefeituras, onde foi desenvolvido um software de automação dos processos de criação e manutenção do documento. Em uma plataforma online, diversos colaboradores podem manter e atualizar o documento referente à uma determinada organização. Todos os processos descritos pelo modelo podem ser editados e posteriormente é gerado o documento digital com a formatação necessária e incluindo todas as informações relevantes pertinentes ao Plano Diretor de maneira dinâmica. O sistema administra o acesso e a autorização dos membros das equipes técnica e administrativa que colaboram para a elaboração do PDTI, possibilitando, assim, que o documento seja atualizado de maneira concorrente por mais de um indivíduos. Todos esses fatores técnicos do aplicativo trazem benefícios no sentido de facilidade de edição e de gestão, pela centralização dos dados que a plataforma proporciona. As seções do documento são listadas a seguir: 1. Introdução 1.1. Descrição sucinta do Município 1.2. Estrutura Organizacional da Secretaria de Tecnologia da Informação 1.3. Metodologia de Trabalho 1.4. Estrutura do Documento 2. Referencial Estratégico de TI 2.1. Missão 2.2. Visão 2.3. Objetivos Estratégicos de TIC 2.4. Matriz SWOT da área de TIC 3. Infraestrutura de TIC da Prefeitura 3.1. Redes de Comunicação de Dados 3.2. Data Center 3.3. Servidores 3.4. Estações de trabalho 3.5. Gerência de Redes e Serviços 3.6. Implantação da Rede Ótica

43 41 4. Resultados das Reuniões com as Secretarias 4.1. Síntese das Necessidades Identificadas e Análise das Prioridades 5. Ações para atender às necessidades 6. Quantitativo e a qualificação dos recursos humanos para atendimentos das metas estabelecidas 7. Conclusão O documento inicia apresentando o contexto em que está sendo realizado o planejamento, através da seção chamada Introdução, que contém quatro subseções. As subseções tratam do panorâma em que o PDTI está inserido e como o documento está estruturado. São apresentados dados referentes ao município, não necessariamente relacionados à TIC, como distribuição demográfica e etária da população, que contextualizam o Plano Diretor. Também são descritos os responsáveis pelas funções de TIC e as secretarias envolvidas bem como a metodologia utilizada para a elaboração sistemática do documento junto às partes interessadas. A segunda seção, Refrencial Estratégico de TI, apresenta o posicionamento estratégico do setor de TI em relação à administração municipal. Nesta seção são apresentadas a missão e a visão da entidade. A missão é a razão de ser da organização, ou seja, descreve a razão pela qual a organização existe, identificando sua atividade fundamental e a tarefa que dela se espera. A visão é o que proporciona sentido à organização, e o que orienta o futuro desejado, descrevendo a situação onde a entidade almeja chegar [22]. Também é apresentada nesta subseção a matriz SWOT, que apresenta quatro fatores para análise: as forças (strengths) e fraquezas (weakness), que são características internas, e as oportunidades (opportunities) e ameaças (threats), que são características tanto internas quanto externas [17], que descrevem o cenário da área de TIC da organização. A terceira seção descreve detalhadamente a infraestrutura de TIC da prefeitura a fim de identificar a situação atual e prever futuros problemas acarretados pela infraestrutura. São apresentados em forma de tabelas os itens presentes em cada subseção e descrito como estão dispostos as tecnologias que suportam a TIC, como a rede de comunicação, os servidores e datacenters, e como é feita a gerência dos serviços e da rede. A quarta seção do documento diz respeito ao levantamento e à análise dos requisitos de TI, levantados junto aos usuários dos sistemas e dos processos de TI. Através de questionários são levantados os dados para análise das necessidades, buscando identificar os pontos de falha e onde pode ser melhorado. É importante destacar a metodologia utilizada nesse levantamento sobre a situação da TIC, pois, para obter um resultado sem interferência e imparcial, as respostas são individuais e sem a presença de outros mem-

44 42 bros ou superiores que possam interferir nas respostas. Posteriormente, esses dados são sintetizados e têm suas prioridades avaliadas. A quinta e sexta seção do GAIA PDTI tratam de ações e políticas para solucionar os problemas identificados na fase anterior, com base nas prioridades atribuídas. A partir das necessidades identificadas, a seção cinco descreve os procedimentos a serem tomados acerca da parte técnica e suas devidas áreas, enquanto a seção seis do documento aborda a questão organizacional e de ativos humanos para resolução das necessidades, como mudanças estruturais e a implantação de políticas. Por fim, o modelo GAIA PDTI apresenta a conclusão sintetizando o que foi abordado ao longo do documento, e justificando a importância de sua existência. É importante também ressaltar a necessidade do alinhamento estratégico apresentado no PDTI com as práticas diárias de TIC que serão realizadas na prefeitura.

45 43 4 ALINHAMENTO ENTRE GAIA PDTI E COBIT 5 Para verificar o alinhamento entre o GAIA PDTI e o COBIT 5, foram feitas as análises de cada processo de acordo com os 5 domínios do COBIT. Para cada domínio foi feita uma tabela que associa a seção do GAIA PDTI ao(s) processo(s) que ele cobre. Dessa forma, o mapeamento busca mostrar exatamente onde os processos de governança e gestão do modelo de referência são atendidos. Assim, mostrando o alinhamento do GAIA PDTI com framework reconhecido pela literatura sobre o assunto, e de acordo com boas práticas de governança segundo padrões internacionais. 4.1 Mapeamento de processos A partir das seções do documento que cobrem os processos de TI da prefeitura, podemos destacar os processos de referência do COBIT que são atendidos. Detalhados na seção 2 desse trabalho, os processos do COBIT 5 podem ser mapeados para esse PDTI, como mostrado a seguir nas tabelas abaixo. Segundo o domínio EDM, mostrado na tabela 6, os processos referentes à alta direção precisam assegurar que os requisitos para governança estão presentes, e que as questões referentes a entrega de benefícios e otimização de riscos e recursos são cobertos. Esses requisitos são cumpridos nas seções 1.2 e 1.3 que são referentes à estrutura da organização, e na 2.4 que apresenta a gestão de riscos. A otimização dos recursos e a entrega de benefícios podem ser previstos nas seções que apresentam as ações a serem tomadas, de acordo com as necessidades levantadas durante o documento. O domínio BAI, mostrado na tabela 7, tem processos que visam tornar concretos os projetos de TI, e o gerenciamento dos investimentos. Estes processos são tratados em diversas seções, pois o planejamento das ações que vão trazer valor à organização é o ponto central do PDTI. Assim, as seções que tratam de infraestrutura e seus projetos, 3 como um todo e 3.5, e posteriormente o levantamento de requisitos, ao longo da seção 4, e suas soluções, na seção 5 do ponto de vista das ações e 6 do ponto de vista organizacional e humano. A tabela 8 apresenta o domínio APO, que define como a TI contribui com os objetivos da organização, com processos relacionados a estratégia, arquitetura corporativa e orçamento. Ao longo de praticamente todo o documento são cobertos os processos deste domínio, pois ele tem como objetivo alinha a TI aos negócios da entidade. Assim, abordados nas seções que descrevem o contexto organizacional e o gerenciamento dos custos, recursos humanos e relações externas, como as seções 1, 3 e 6. Na seção 2 que

46 44 apresenta o referencial estratégico, os processos referentes ao framework de gestão são cobertos. As seções 5 e 6 em que constam as ações e soluções na área de TI abordam os processos que propõem gerenciar a inovação e o portfólio, bem como os serviços de TI. O domínio DSS, tabela 9, visa a entrega dos serviços de TI, com processos para gerenciar o bom funcionamento dos serviços, atuando na gestão dos problemas. Esses aspectos são abordados no levantamento das solicitações na seção 4.1, e nas soluções nas seções 5 e 6. O documento possui também a seção 3.5, que é mais específica para o gerenciamento de serviços. Ao final, o domínio MEA é apresentado na tabela 10, que possui 3 processos para monitorar, avaliar e analisar a conformidade da TI, e os controles internos e externos. Esse processo é abordado na seção 4 do GAIA PDTI, pois apresenta a avaliação por parte dos usuários dos sistemas e processos de TIC, apresentando o resultado da implantação passada. Dessa forma, através das reuniões e obtendo o feedback do usuários, é possível avaliar a implantação e continuar constantemente monitorando. Tabela 6 Mapeamento do domínio EDM Avaliar, Dirigir e Monitorar (EDM) EDM01 EDM02 EDM03 EDM04 EDM Estrutura Organizacional da Secretaria de Tecnologia da Informação x 1.3. Metodologia de Trabalho x x 2.4. Matriz SWOT da área de TIC x 5. Ações para atender às necessidades 6. Quantitativo e a qualificação dos recursos humanos para atendimentos das metas estabelecidas x x x x

47 45 Tabela 7 Mapeamento do domínio BAI 3.5. Gerência de Redes e Serviços 4.1. Síntese das Necessidades Identificadas e Análise das Prioridades 4. Resultados das Reuniões com as Secretarias 6. Quantitativo e a qualificação dos recursos humanos para atendimentos das metas estabelecidas 5. Ações para atender às necessidades 3. Infraestrutura de TIC da Prefeitura Construir, Adquirir e Implementar (BAI) BAI01 BAI02 BAI03 BAI04 BAI05 BAI06 BAI07 BAI08 BAI09 BAI10 x x x x x x x x x x x x x x x x 2.1. Missão x 2.2. Visão x 2.3. Objetivos Estratégicos de TIC 2.4. Matriz SWOT da área de TIC 1.2. Estrutura Organizacional da Secretaria de Tecnologia da Informação 4. Resultados das Reuniões com as Secretarias 6. Quantitativo e a qualificação dos recursos humanos para atendimentos das metas estabelecidas 3. Infraestrutura de TIC da Prefeitura 4.1. Síntese das Necessidades Identificadas e Análise das Prioridades 5. Ações para atender às necessidades Tabela 8 Mapeamento do domínio APO Alinhar, Planejar e Organizar (APO) APO01 APO02 APO03 APO04 APO05 APO06 APO07 APO08 APO09 APO10 APO11 APO12 APO13 x x x x x x x x x x x x x x x