Gestão da Tecnologia da Informação

Transcrição

1 TLCne P0 Gestão da Tecnologia da Informação Disciplina: Governança de TI São Paulo, Agosto de

2 Sumário TLCne P1 Conteúdo desta Aula Continuação do Domínio de Processos PO (PO4, PO5 e PO6) 1

3 Resumo da última aula TLCne P2 2

4 Domínio de Processos TLCne P3 3

5 TLCne P4 PO1 Definir um Plano Estratégico de TI PO2 Definir a Arquitetura da Informação PO3 Determinar as Diretrizes de Tecnologia PO4 Definir Processos, Organização e Relacionamentos de TI PO5 Gerenciar o Investimento de TI PO6 Comunicar Metas e Diretrizes Gerenciais PO7 Gerenciar os Recursos Humanos de TI PO8 Gerenciar a Qualidade PO9 Avaliar e Gerenciar os Riscos de TI PO10 Gerenciar Projetos 4

6 TLCne P5 PO4 Definir os Processos, Organização e Relacionamentos de TI Uma organização de TI é definida considerando os requisitos de pessoal, habilidades, funções, autoridade, papéis e responsabilidades e supervisão. Essa organização deve fazer parte de uma estrutura de processos de TI que assegure transparência e controle, assim como o envolvimento de executivos sênior e a Direção do negócio. Para assegurar o rápido atendimento das exigências do negócio, a TI deve ser envolvida nos processos de decisão relevantes. é medido por:. Percentual de funções com posições e descrições de autoridade documentadas; Número de unidades/processos de negócios não suportados pela organização de TI, mas que deveriam ser suportados de acordo com a estratégia; 5

7 TLCne P6 PO4 Definir os Processos, Organização e Relacionamentos de TI PO4.1 Estrutura de Processos de TI Definir um modelo de processos de TI para executar o plano estratégico de TI. Este modelo inclui uma estrutura de processos e relacionamentos de TI (por exemplo, gerenciar falhas ou interposições de processos), definição de um proprietário, maturidade, medição de desempenho, melhorias, conformidade, metas de qualidade e planos para atingi-las. O modelo provê integração entre os processos de TI, gestão de portfólio corporativo, processos de negócio e mudanças nos processos. O modelo de processos de TI deve estar integrado a um sistema de gestão da qualidade e a uma estrutura de controles internos. 6

8 TLCne P7 PO4 Definir os Processos, Organização e Relacionamentos de TI PO4.2 Comitê Estratégico de TI Estabelecer um comitê estratégico de TI em nível de Diretoria. Esse comitê assegura que a governança de TI seja devidamente considerada como parte da governança corporativa, aconselha sobre o direcionamento estratégico e analisa os principais investimentos, em nome de toda a Direção. 7

9 TLCne P8 PO4 Definir os Processos, Organização e Relacionamentos de TI PO4.3 Comitê Executivo de TI Estabelecer um comitê executivo (ou equivalente) composto pelas Gerências Executiva, Negócios e TI para: Determinar prioridades dos programas de investimentos em TI em linha com as estratégias e prioridades do negócio Monitorar o estado atual dos projetos e resolver conflitos de recursos Monitorar níveis de serviço e suas melhorias 8

10 PO4 Definir os Processos, Organização e Relacionamentos de TI TLCne P9 PO4.4 Posicionamento Organizacional de TI Posicionar a área de TI na estrutura geral organizacional através de um modelo que efetivamente considere sua importância e as necessidades de contingência, considerando a importância da TI para a estratégia de negócio e o nível de dependência operacional. A linha de reporte do CIO deve ser proporcional à importância da TI dentro do negócio. 9

11 TLCne P10 PO4 Definir os Processos, Organização e Relacionamentos de TI PO4.5 Estrutura Organizacional de TI Estabelecer uma estrutura organizacional interna e externa de TI que reflita as necessidades do negócio. Adicionalmente estabelecer um processo para revisar periodicamente a estrutura organizacional de TI e ajustar os requisitos de pessoal e estratégias de fornecimento para atender aos objetivos de negócio esperados e a possíveis situações de mudança. 10

12 TLCne P11 PO4 Definir os Processos, Organização e Relacionamentos de TI PO4.6 Definição de Papéis e Responsabilidades Definir e comunicar para o pessoal de TI e usuários finais seus respectivos papéis e responsabilidades, que especifiquem a autoridade, responsabilidade e propriedade, com o objetivo de atender às necessidades da organização. 11

13 PO4 Definir os Processos, Organização e Relacionamentos de TI TLCne P12 PO4.6 Definição ãode Papéis e Responsabilidades 12

14 TLCne P13 PO4 Definir os Processos, Organização e Relacionamentos de TI PO4.7 Responsabilidade pela Garantia de Qualidade Atribuir responsabilidade pelo desempenho da função de garantia de qualidade (QA, quality assurance), e prover a esse grupo conhecimento e sistemas adequados de controle e comunicação. Garantir que o posicionamento na organização, o dimensionamento da responsabilidade e tamanho do grupo de QA atendam aos requisitos da organização 13

15 PO4 Definir os Processos, Organização e Relacionamentos de TI TLCne P14 PO4.8 Responsabilidade por Riscos e Segurança Incluir nas funções de negócio a propriedade e a responsabilidade pelos riscos relacionados a TI a um nível sênior apropriado. Definir e atribuir papéis críticos para o gerenciamento dos riscos de TI, incluindo a responsabilidade específica pela segurança da informação, segurança física e conformidade. Estabelecer responsabilidade no nível organizacional pelo gerenciamento de risco e segurança para questões de nível organizacional. Pode ser preciso atribuir responsabilidades adicionais de gerenciamento de segurança ao nível de um sistema específico para lidar com questões de segurança relacionadas. Obter direcionamento da Diretoria sobre os níveis específicos de risco de TI aceitáveis e aprovação de quaisquer riscos residuais. 14

16 TLCne P15 PO4 Definir os Processos, Organização e Relacionamentos de TI PO4.9 Proprietário de Dados e Sistemas Estabelecer procedimentos e disponibilizar ferramentas que possibilitem tratar as responsabilidades dos proprietários dos Dados e sistemas de informação. Os proprietários tomam decisões sobre a classificação da informação e dos sistemas e os protegem Em conformidade com essa classificação. 15

17 TLCne P16 PO4 Definir os Processos, Organização e Relacionamentos de TI PO4.10 Supervisão Implementar técnicas de supervisão adequadas na área de TI para assegurar que os papéis e as responsabilidades sejam adequadamente exercidos, avaliar se todo o pessoal tem autoridade e recursos suficientes para exercer seus papéis e responsabilidades e revisar de forma geral os indicadores-chave de desempenho. 16

18 TLCne P17 PO4 Definir os Processos, Organização e Relacionamentos de TI PO4.11 Segregação de Funções Implementar uma separação de papéis e responsabilidades que reduza a possibilidade de um único indivíduo subverter um processo crítico. A gerência também deve se certificar de que o pessoal esteja executando apenas tarefas autorizadas relevantes aos seus respectivos cargos e posições. 17

19 TLCne P18 PO4 Definir os Processos, Organização e Relacionamentos de TI PO4.12 Recrutamento de Pessoal de TI Avaliar os requisitos de recrutamento regularmente ou com base em grandes mudanças nos ambientes de TI, operacional ou de negócio para garantir que a área de TI tenha quantidade suficiente de pessoal para suportar de forma adequada os objetivos e metas de negócios. 18

20 TLCne P19 PO4 Definir os Processos, Organização e Relacionamentos de TI PO4.13 Pessoal Chave de TI Definir e identificar o pessoal-chave de TI (ex., pessoal para reposição/backup) e minimizar o excesso de confiança em um único indivíduo executando uma função crítica. 19

21 PO4 Definir os Processos, Organização e Relacionamentos de TI TLCne P20 PO4.14 Políticas e Procedimentos para Pessoal Definir e implementar políticas e procedimentos para controlar as atividades de consultores e outros contratados da área de TI visando assegurar a proteção dos ativos de informação da organização e o cumprimento das exigências contratuais firmadas. 20

22 TLCne P21 PO4 Definir os Processos, Organização e Relacionamentos de TI PO4.15 Relacionamentos Estabelecer e manter uma estrutura otimizada de coordenação, comunicação e conexão entre a função de TI e diversos outros interesses dentro ou fora da área de TI; por exemplo, Diretoria, unidades de negócios, usuários individuais, fornecedores, profissionais de segurança, gerentes de risco, gerenciamento de pessoal terceirizado e externo e o grupo de conformidade corporativa (compliance). 21

23 TLCne P22 Exercício cio 22

24 TLCne P23 PO1 Definir um Plano Estratégico de TI PO2 Definir a Arquitetura da Informação PO3 Determinar as Diretrizes de Tecnologia PO4 Definir Processos, Organização e Relacionamentos de TI PO5 Gerenciar o Investimento de TI PO6 Comunicar Metas e Diretrizes Gerenciais PO7 Gerenciar os Recursos Humanos de TI PO8 Gerenciar a Qualidade PO9 Avaliar e Gerenciar os Riscos de TI PO10 Gerenciar Projetos 23

25 TLCne P24 PO5 Gerenciar o Investimento de TI Estabelecer e manter uma estrutura para gerenciar os programas de investimentos em TI que contemple custos, benefícios, prioridade dentro do orçamento. Identificar e controlar os custos totais e os benefícios dentro dos contextos estratégicos e táticos da TI e iniciar ações de correção quando necessário. Promover a parceria entre a TI e as partes interessadas do negócio, permite o uso eficaz e eficiente dos recursos de TI, atribui responsabilidade pelo custo total de propriedade (TCO, Total Cost of Ownership), realização dos benefícios do negócio e do retorno sobre os investimentos em TI. é medido por: Redução percentual do custo unitário dos serviços de TI entregues Percentual dos gastos de TI expressos através de motivadores de valor de negócio (por exemplo: aumento de vendas/serviços devido ao aumento da conectividade) 24

26 TLCne P25 PO5 Gerenciar o Investimento de TI PO5.1 Estrutura da Administração Financeira Estabelecer e manter uma estrutura financeira para gerenciar investimentos e custos de bens e serviços de TI através de portfólios de investimentos, estudos de caso e orçamentos de TI. 25

27 TLCne P26 PO5 Gerenciar o Investimento de TI PO5.2 Priorização dentro do Orçamento Implementar um processo de tomada de decisão para priorizar a alocação dos recursos de TI em operações, projetos e manutenção visando maximizar a contribuição da TI na otimização dos retornos do programa de investimentos em TI e outros serviços e recursos da TI. 26

28 TLCne P27 PO5 Gerenciar o Investimento de TI PO5.3 Processo de Orçamento Estabelecer um processo para preparar e controlar um orçamento que reflita as prioridades estabelecidas pelo portfólio de programas de investimentos de TI da organização, incluindo os custos contínuos de operação e manutenção da infraestrutura atual. O processo deve sustentar o desenvolvimento do orçamento de TI total, bem como o desenvolvimento de orçamentos para programas individuais, com ênfase especial nos componentes de TI de tais programas. O processo deve permitir revisão, refinação e aprovação contínuas do orçamento de TI total e de todos os orçamentos de programas individuais. 27

29 TLCne P28 PO5 Gerenciar o Investimento de TI PO5.4 Gerenciamento de Custo Implementar um processo de gerenciamento de custo comparando os custos e benefícios reais. Os custos devem ser monitorados e relatados. Se houver desvios, devem ser identificados a tempo, avaliados os impactos destes sobre os programas e ações corretivas apropriadas precisam ser tomadas junto com o patrocinador do negócio desses programas. Quando necessário, o estudo de caso (business case) deve ser atualizado. 28

30 TLCne P29 PO5 Gerenciar o Investimento de TI PO5.5 Gerenciamento de Benefícios Implementar um processo de monitoramento dos benefícios de prover e manter capacidades de TI. Devem ser identificadas, pactuadas, monitoradas e reportadas as contribuições esperadas de TI para com os resultados de negócio, tanto como um componente de programas de investimento em TI quanto como parte da operação de suporte regular. Os relatórios devem ser revisados e ações apropriadas devem ser definidas e implantadas onde houver oportunidade para melhorar a contribuição de TI. O programa de estudo de caso deve ser atualizado quando afetado por mudanças na contribuição da TI ou por projetos relacionados. 29

31 TLCne P30 PO1 Definir um Plano Estratégico de TI PO2 Definir a Arquitetura da Informação PO3 Determinar as Diretrizes de Tecnologia PO4 Definir Processos, Organização e Relacionamentos de TI PO5 Gerenciar o Investimento de TI PO6 Comunicar Metas e Diretrizes Gerenciais PO7 Gerenciar os Recursos Humanos de TI PO8 Gerenciar a Qualidade PO9 Avaliar e Gerenciar os Riscos de TI PO10 Gerenciar Projetos 30

32 TLCne P31 PO6 Comunicar Metas e Diretrizes Gerenciais A Direção deve desenvolver uma estrutura de controle de TI corporativo e definir e comunicar políticas. Um programa de comunicação contínuo aprovado e apoiado pela Direção deve ser implementado para articular missão, metas, políticas, procedimentos etc. A comunicação apoia o alcance dos objetivos de TI e assegura a consciência e o entendimento dos negócios, dos riscos de TI, dos objetivos e das diretrizes. O processo deve assegurar conformidade com leis e regulamentos relevantes. é medido por: Quantidade de interrupções no negócio devido a interrupções em serviços de TI Percentual de partes interessadas que entendem a estrutura corporativa de controle de TI Percentual das partes interessadas que não estão em conformidade com a política 31

33 TLCne P32 PO6 Comunicar Metas e Diretrizes Gerenciais PO6.1 Política de TI Definir os elementos de um ambiente de controle de TI alinhados com o estilo operacional e a filosofia de gerenciamento da empresa. Entre esses elementos estão as expectativas e os requisitos de entrega de valor dos investimentos de TI, o grau de aceitação de risco, a integridade, os valores éticos, a competência do pessoal e a responsabilização. O ambiente de controle está baseado em uma cultura que sustenta a entrega de valor e, ao mesmo tempo, controla os riscos significativos, incentiva o trabalho em equipe e a cooperação entre equipes, promove a conformidade, promove o processo de melhoria contínua e lida com os desvios (incluindo falhas) de forma adequada. 32

34 TLCne P33 PO6 Comunicar Metas e Diretrizes Gerenciais PO6.2 Riscode TI Desenvolver e manter uma estrutura que estabeleça uma abordagem corporativa completa dos riscos e controles de TI e o alinhamento com as políticas e o ambiente de controle de TI e com a estrutura de riscos e controles da organização. 33

35 TLCne P34 PO6 Comunicar Metas e Diretrizes Gerenciais PO6.3 Plano de Comunicação Comunicar visando a conscientização e entendimento dos objetivos e direcionamentos de negócios e TI de todas as partes interessadas e usuários apropriados na organização. 34

36 TLCne P35 Exercício cio 35