GOVERNANÇA TI REV.3 PG 1/11 Homologado por: Renato Martins Oliva Presidente Data: 26/01/2015 Visto: Homologado por: Cyril Desire Alberis Andre Diretor de Risco de Crédito Data: 26/01/2015 Visto: Homologado por: Robson Nascimento Diretor Financeiro Data: 26/01/2015 Visto: Homologado por: André Gardella Diretor Comercial Data: 26/01/2015 Visto: Homologado por: Luiz Fernando Teixeira Diretor de Crédito e Cobrança Data: 26/01/2015 Visto: ITENS ALTERADOS COM RELAÇÃO ÀS REVISÕES ANTERIORES Grau de Sigilo Revisão Teor da Revisão C1 1 Emissão do documento C1 2 Atualização no item 5.4 Visão Geral do Modelo de Governança de TI (Cobit 4.1). C1 3 Atualização nos itens (6.1, 6.2, 6.3, 6.4) e adequação do documento. 1. Objetivo: Estabelecer os princípios da governança de TI a serem seguidos a fim de que os mesmos sirvam como base para a definição da estrutura e dos processos da Área de TI, os quais devem ser utilizados para definir os passos, papéis desempenhados e responsabilidades, alinhados as estratégias de negócio da organização. 2. Aplicação: Todos os funcionários do Banco Cacique e Banco Pecúnia e das empresas prestadoras de serviços. 3. Responsabilidades: Área de Governança de TI Manter esta Política atualizada e demais responsabilidades descritas no item 7 desta. Demais Áreas de TI e da Organização Manterem atualizadas as Políticas, Normas, Procedimentos e todas as referências que constam nesta Política, além de utilizar a mesma para a execução de suas atividades. 4. Referência: 1
GOVERNANÇA TI REV.3 PG 2/11 Resolução 2.554/98 do Banco Central; Cobit 4.1; ITIL V3; PMBOK Guide. 5. Definições: A governança de TI consiste em aspectos de liderança, estrutura organizacional e processos que garantam que a área de TI suporte e aprimore os objetivos e as estratégias da organização. Além disso, a governança de TI integra e institucionaliza boas práticas e habilita a organização a obter todas as vantagens de sua informação, maximizando os benefícios, capitalizando as oportunidades e ganhando em poder competitivo. Esses resultados requerem um modelo para controle de TI. 5.1. Áreas de Foco na Governança de TI Alinhamento estratégico: foca em garantir a ligação entre os planos de negócios e de TI, definindo, mantendo e validando a proposta de valor de TI, alinhando as operações de TI com as operações da organização. Entrega de valor: é a execução da proposta de valor de TI através do ciclo de entrega, garantindo que TI entregue os prometidos benefícios previstos na estratégia da organização, concentrando-se em otimizar custos e provendo o valor intrínseco de TI. Gestão de recursos: refere-se à melhor utilização possível dos investimentos e o apropriado gerenciamento dos recursos críticos de TI: aplicativos, informações, infraestrutura e pessoas. Questões relevantes referem-se à otimização do conhecimento e infraestrutura. Gestão de risco: requer a preocupação com riscos pelos funcionários mais experientes da corporação, um entendimento claro do apetite de risco da empresa e dos requerimentos de conformidade, transparência sobre os riscos significantes para a organização e inserção do gerenciamento de riscos nas atividades da companhia. Mensuração de desempenho: acompanha e monitora a implementação da estratégia, término do projeto, uso dos recursos, processo de performance e entrega dos serviços, usando, por exemplo, balanced scorecards que traduzem as estratégia em ações para atingir os objetivos, medidos através de processos contábeis convencionais. 5.2. Critérios de Informação da Governança de TI Efetividade lida com a informação relevante e pertinente para o processo de negócio bem como a mesma sendo entregue em tempo, de maneira correta, consistente e utilizável. Eficiência relaciona-se com a entrega da informação através do melhor (mais produtivo e econômico) uso dos recursos. Confidencialidade está relacionada com a proteção de informações confidenciais para evitar a divulgação indevida. Integridade relaciona-se com a fidedignidade e totalidade da informação bem como sua validade de acordo os valores de negócios e expectativas. Disponibilidade relaciona-se com a disponibilidade da informação quando exigida pelo processo de negócio hoje e no futuro. Também está ligada à salvaguarda dos recursos necessários e capacidades associadas. 2
GOVERNANÇA TI REV.3 PG 3/11 Conformidade lida com a aderência a leis, regulamentos e obrigações contratuais aos quais os processos de negócios estão sujeitos, isto é, critérios de negócios impostos externamente e políticas internas. Confiabilidade relaciona-se com a entrega da informação apropriada para os executivos para administrar a entidade e exercer suas responsabilidades fiduciárias e de governança. 5.3. Recursos de TI Aplicativos são os sistemas automatizados para usuários e os procedimentos manuais que processam as informações. Informações são os dados em todas as suas formas, a entrada, o processamento e a saída fornecida pelo sistema de informação em qualquer formato a ser utilizado pelos negócios. Infraestrutura refere-se à tecnologia e aos recursos (ou seja, hardware, sistemas operacionais, sistemas de gerenciamento de bases de dados, redes, multimídia e os ambientes que abrigam e dão suporte a eles) que possibilitam o processamento dos aplicativos. Pessoas são os funcionários requeridos para planejar, organizar, adquirir, implementar, entregar, suportar, monitorar e avaliar os sistemas de informação e serviços. Eles podem ser internos, terceirizados ou contratados, conforme necessário. 5.4. Domínios de Responsabilidade Para que a governança de TI seja eficiente, é importante avaliar as atividades e riscos da TI que precisam ser gerenciados. Eles são ordenados por domínios de responsabilidade de planejamento, construção, processamento e monitoramento que são denominados: Planejar e Organizar (PO) - Provê direção para entrega de soluções (AI) e entrega de serviços (DS). Adquirir e Implementar (AI) - Provê as soluções e as transfere para tornarem-se serviços. Entregar e Suportar (DS) - Recebe as soluções e as tornam passíveis de uso pelos usuários finais. Monitorar e Avaliar (ME) - Monitora todos os processos para garantir que a direção definida seja seguida. 3
GOVERNANÇA TI REV.3 PG 4/11 5.5. Visão Geral do Modelo de Governança de TI (CobiT 4.1) Visão Geral Objetivos de Negócio Objetivos de Governança CobiT ME1 Monitorar e Avaliar o Desempenho ME2 Monitorar e Avaliar os Controles Internos ME3 Assegurar a Conformidade com Requisitos Externos ME4 Prover a Governança de TI MONITORAR E AVALIAR CRITÉRIOS DE INFORMAÇÃO Efetividade Eficiência Confidencialidade Integridade Disponibilidade Conformidade Confiabilidade RECURSOS DE TI Aplicativos Informações Infraestrutura Pessoas PO1 Definir um Plano Estratégico de TI PO2 Definir a Arquitetura da Informação PO3 Determinar o Direcionamento Tecnológico PO4 Definir os Processos, Organização e os Relacionamentos de TI PO5 Gerenciar o Investimento de TI PO6 Comunicar as Diretrizes e Expectativas da Diretoria PO7 Gerenciar os Recursos Humanos de TI PO8 Gerenciar a Qualidade PO9 Avaliar e Gerenciar os Riscos de TI PO10 Gerenciar Projetos PLANEJAR E ORGANIZAR ENTREGAR E SUPORTAR ADQUIRIR E IMPLEMENTAR DS1 Definir e Gerenciar Níveis de Serviços DS2 Gerenciar Serviços de Terceiros DS3 Gerenciar Capacidade e Desempenho DS4 Assegurar Continuidade de Serviços DS5 Assegurar a Segurança dos Serviços DS6 Identificar e Alocar Custos DS7 Educar e Treinar os Usuários DS8 Gerenciar a Central de Serviço e os Incidentes DS9 Gerenciar a Configuração DS10 Gerenciar os Problemas DS11 Gerenciar os Dados DS12 Gerenciar o Ambiente Físico DS 13 Gerenciar as Operações AI1 Identificar Solução Automatizadas AI2 Adquirir e Manter Software Aplicativo AI3 Adquirir e Manter Infraestrutura de Tecnologia AI4 Habilitar Operação e Uso AI5 Adquirir Recursos de TI AI6 Gerenciar Mudanças AI7 Instalar e Homologar Soluções e Mudanças 4
GOVERNANÇA TI REV.3 PG 5/11 6. Diretrizes: As diretrizes desta Política de Governança de TI estão ordenadas pelos domínios de responsabilidade que constam no item 5. Definições e que seguem os padrões do Modelo do CobiT 6.1. Planejar e Organizar (PO) 6.1.1. A Área de TI deve efetuar seu planejamento estratégico alinhado às estratégias de negócio da organização, validadas em EST CMT 012 Comitê de Tecnologia da Informação, cujos objetivos e definições estão disponíveis na intranet corporativa; 6.1.2. A Área de TI deve revisar sua Arquitetura da Informação periodicamente e conforme ocorra seu re-planejamento estratégico. 6.1.3. A Área de TI deve determinar, através de normas, o Direcionamento Tecnológico da organização, sendo que os recursos de TI (vide item 5. Definições) devem estar submetidos a estas normas. 6.1.4. A Área de TI deve ter seus processos, organização e relacionamentos documentados e disponíveis para a organização, todos disponibilizados na intranet corporativa. 6.1.5. A Área de TI deve elaborar e gerenciar seu orçamento financeiro, evidenciando seus investimentos, com embasamento nas Políticas das Áreas de Contabilidade, disponíveis na intranet corporativa. 6.1.6. Deve existir um plano de comunicação das diretrizes e expectativas da organização para as equipes de TI. 6.1.7. Os recursos humanos de TI (funcionários, estagiários e prestadores de serviços) devem ser gerenciados através de procedimentos de controle com embasamento nas Políticas da Área de Recursos Humanos, disponíveis na intranet. 6.1.8. A Área de TI deve identificar, avaliar e gerenciar os riscos inerentes aos seus processos através de procedimentos de controle. Atualmente estes controles são gerenciados pela Supervisão Permanente, Relatório KRI (Key Risks Indicators), RCSA (Risk and Control Self-Assessment) e Relatório de Perdas Operacionais, embasados nos procedimentos de Controles Internos, Controladoria e Risco, disponibilizados na intranet corporativa. 6.1.9. Devem existir normas e procedimentos alinhados às melhores práticas de mercado (PMBOK), a fim de assegurar o efetivo gerenciamento dos projetos da organização, com base na Metodologia PRISM e diretrizes de priorização de projetos, conforme MP TI 011 - Priorização de Projetos. 6.2. Adquirir e Implementar (AI) 6.2.1. A Área de TI deve manter atualizada a documentação de cartografia de seus aplicativos, cujas informações são de responsabilidade do gestor da Área de Soluções e Sistemas. 6.2.2. A Área de TI deve seguir a política de compras e contratação de serviços da organização, com embasamento nas Políticas das Áreas de Compras e Sourcing disponíveis na intranet. 6.2.3. Devem existir normas e procedimentos para a decisão da aquisição de softwares e hardwares. 6.2.4. O desenvolvimento e a manutenção em softwares (aplicativos) e hardwares devem seguir as normas e procedimentos das áreas de Soluções & Sistemas e Infraestrutura. 6.2.5. Devem existir procedimentos operacionais para a habilitação de aplicativos em Produção que incluam manuais de operação e uso dos mesmos, baseados na Metodologia PRISM e diretrizes estabelecidas no procedimento PO TI 10 - Manual de Gerenciamento de Mudanças. 5
GOVERNANÇA TI REV.3 PG 6/11 6.2.6. A Área de TI deve seguir a política de recursos humanos da organização a fim de gerir seus colaboradores, com embasamento nas Políticas da Área de Recursos Humanos, disponíveis na intranet corporativa. 6.2.7. Todas as mudanças de software e hardware devem ser homologadas e ter os seus impactos avaliados antes de serem implantadas no ambiente de Produção, conforme diretrizes estabelecidas no procedimento PO TI 10 - Manual de Gerenciamento de Mudanças. 6.2.8. Devem ser definidos, com as áreas que possam ser afetadas, os critérios de teste e homologação de aplicativos e mantidos registros da sua realização para a implantação das mudanças no ambiente de Produção, conforme diretrizes da Metodologia PRISM; 6.2.9. As mudanças devem passar por um processo de Gerência de Mudanças e obterem o aceite das áreas envolvidas, conforme diretrizes estabelecidas no procedimento PO TI 10 - Manual de Gerenciamento de Mudanças. 6.3. Entregar e Suportar (DS) 6.3.1. Devem existir normas e procedimentos para o gerenciamento dos serviços terceirizados de TI. 6.3.2. A capacidade de recursos humanos das equipes de TI deve ser gerenciada conforme procedimento operacional. 6.3.3. A avaliação de desempenho dos recursos humanos das equipes de TI deve seguir a Política da Área de Recursos Humanos. 6.3.4. Deve existir um plano formal homologado para a Continuidade dos Serviços de TI (processos críticos). Estes planos de continuidade de negócios e desastre devem ser revisados periodicamente. 6.3.5. A segurança das informações e serviços deve ser assegurada através da aderência da organização à Política de Segurança da Informação, POL TI 001 Política Segurança da Informação, disponível na intranet corporativa. 6.3.6. A identificação e alocação dos custos da Área de TI como projetos passíveis de amortização, deve seguir a Política da Área de Contabilidade disponível na intranet corporativa. 6.3.7. A Área de TI deve manter um plano para a capacitação e treinamento de seus colaboradores e usuários (estes últimos quando se aplicar), conforme diretrizes da área de Recursos Humanos. 6.3.8. Deve existir um procedimento para o gerenciamento de incidentes e crises visando ações de prevenção para a mitigação de Riscos em TI, cujas diretrizes estão estabelecidas em procedimento do fornecedor responsável pelo Outsourcing de Infraestrutura. 6.3.9. O gerenciamento de configuração de hardware e software deve estar descrito através de um procedimento operacional específico. 6.3.10. A Área de TI deve manter um procedimento para o gerenciamento de problemas, onde conste o passo-a-passo para a identificação, classificação, análise de causas-raiz e resolução dos problemas relacionados a TI, cujas diretrizes estão estabelecidas em procedimento da empresa TIVIT, empresa responsável pelo Outsourcing de Infraestrutura. 6.3.11. O gerenciamento de dados deve seguir as POL TI 001 Política Segurança da Informação e NOR TI 003 - Backup e Restore, disponível na intranet corporativa. 6.3.12. O gerenciamento do ambiente físico deve ser efetuado seguindo a POL TI 001 Política Segurança da Informação, disponível na intranet corporativa. 6.3.13. O gerenciamento de operações deve ser definido pelas Políticas, Normas e procedimentos da Área de Infraestrutura de TI junto a seu fornecedor de serviços. 6
GOVERNANÇA TI REV.3 PG 7/11 6.4. Monitorar e Avaliar (ME) 6.4.1. A Área de TI deve estabelecer procedimentos de controle visando o monitoramento e avaliação do desempenho em seus processos. 6.4.2. A Área de TI deve executar o monitoramento e avaliação de seus processos conforme a Política, Normas e procedimentos da Área de Controles Internos, os quais encontramse disponíveis na intranet corporativa. 6.3.14. Todos os processos da Área de TI devem estar aderentes aos requisitos externos, ou seja, devem estar em conformidade com leis, regulamentações de mercado, seguindo as diretrizes da Política de Compliance, disponível na intranet, bem como aspolíticas globais submetidas pela Matriz e boas práticas de mercado (tais como Cobit, ITIL, ISO, PMBOK). 6.4.3. A atualização das Políticas e Comitê de TI dever ser feita anualmente, enquanto os Procedimentos da Área de TI devem ser revisados a cada 2 (dois) anos, conforme Política da Área de Controles Internos. As revisões devem ser feitas de forma abrangente, a fim de mantê-la atualizada em relação às mudanças em regulamentações, processos, tecnologia, boas práticas de mercado e estrutura da organização. 6.4.4. A Área de TI deve possuir meios de prover a Governança de TI à organização, conforme diretrizes desta Política. 6.4.5. A Área de Governança de TI, quando do não cumprimento desta Política, deve verificar a necessidade e a forma de aplicação das medidas disciplinares cabíveis, que incluem, mas não se limitam, à ação disciplinar, demissão e processo civil ou criminal, conforme avaliação conduzida pela mesma. 6.4.6. Qualquer atividade que apresente alguma não conformidade relacionada a TI, identificada por processo de monitoração ou outros meios, deve ser levada ao conhecimento do gestor responsável para que sejam tomadas as ações corretivas pertinentes e, para a Área de Governança de TI para a verificação da necessidade de revisão em Políticas, Normas, Procedimentos e controles de TI. 7
GOVERNANÇA TI REV.3 PG 8/11 7. Organização da Governança de TI PRESIDÊNCIA V. PRESIDÊNCIA DIRETORIA RISCO DE CRÉDITO DIRETORIA TI, RECURSOS E OPERAÇÕES DIRETORIA CRÉDITO E COBRANÇA DIRETORIA COMERCIAL DIRETORIA FINANCEIRA COMITÊ DE TI GERÊNCIA DE INFRAESTRUTURA GERÊNCIA DE SEGURANÇA DA INFORMAÇÃO E GOVERNANÇA DE TI GERÊNCIA DE SOLUÇÕES E SISTEMAS SEGURANÇA DA INFORMAÇÃO GOVERNANÇA DE TECNOLOGIA - Prover a Governança de TI; - Gerencia e Elabora Políticas, Normas, Procedimentos, Manuais e Recomendações; - Elabora e gerencia o orçamento de TI; - Responsável pelo Comitê de TI; - Gerencia a Qualidade de TI; - Gerencia os Riscos de TI; - Gerencia compras e contratações de serviços de TI; - Gerencia Mudanças; - Capacita colaboradores; - Gerencia Incidentes; - Gerencia de Problemas; - Efetua monitorações; - Assegura conformidade; - Suporte às equipes de TI 8
GOVERNANÇA TI REV.3 PG 9/11 7.1. A área de Governança de TI 7.1.1. Tem a atribuição de acompanhar a implantação da Política de Governança de TI. 7.1.2. Deve identificar a necessidade de elaboração ou revisão de políticas, normas, procedimentos, manuais, pontos de controle e determinar metas específicas para cada processo utilizado pela Área de TI. As metas devem incluir instrumentos de medição para quantificar os resultados dos objetivos atingidos, não apenas a mecânica das atividades para alcançá-los. 7.1.3. Suas principais atividades são: Prover a Governança de TI; Gerenciar, Elaborar e Propor a implantação de Políticas, Normas, Procedimentos, Manuais, Recomendações e pontos de controle para a Área de TI; Elaborar e gerenciar o orçamento de TI; Gerenciar pagamentos de fornecedores de serviços de TI; Responsável pelo Comitê de TI; Gerenciar a Qualidade de TI; Gerenciar os Riscos de TI; Gerenciar compras e contratações de serviços de TI; Gerenciar Mudanças; Capacitar colaboradores; Gerenciar Incidentes; Gerenciar Problemas; Efetuar monitorações; Assegurar conformidade dos processos de TI às leis, regulamentações, políticas, normas e boas práticas de mercado; Fornecer suporte às equipes de TI; Estabelecer contato com fóruns e entidades ligados à Governança de TI. 7.2. Colaboradores (Funcionários e Terceiros): 7.2.1. Entende-se por Funcionário o empregado ou estagiário, com vínculo empregatício com o Banco Cacique e Banco Pecúnia, e por Terceiro todos os prestadores de serviços e pessoal de empresas contratadas. 7.2.2. São de suas responsabilidades: Tomar conhecimento da Política de Governança de TI; Cumprir as determinações da Política de Governança de TI; Comunicar ao superior imediato, ao gestor da área ou à área de Governança de TI as ocorrências que afetem, ou possam vir a afetar, o desempenho dos Bancos e da Área de TI. 7.2.3. Quando o Funcionário possuir entre as suas responsabilidades a gestão de pessoas deve também: Disponibilizar a Política de Governança de TI para conhecimento de todo colaborador sob sua gestão; 9
GOVERNANÇA TI REV.3 PG 10/11 Assegurar o cumprimento da Política de Governança de TI por todo colaborador sob sua gestão. 8. Organização da Política de Governança de TI A Política de Governança de TI está dividida em: Diretriz Normas Procedimentos Manuais e Recomendações Política de Governança de TI Diretrizes Estratégico Normas Tático Procedimentos Operacional Manuais e Recomendações 8.1. Diretriz: Regras de alto nível que representam os princípios básicos que a organização resolveu incorporar a sua gestão de acordo com a visão estratégica da alta direção. Servem como base para que as normas e os procedimentos sejam criados e detalhados. 8.2. Normas: Especificam no plano tático, por assim dizer, as escolhas tecnológicas e os controles que deverão ser implementados para alcançar a estratégia definida nas diretrizes. 8.3. Procedimentos: Detalham, no plano operacional, as configurações de um determinado produto ou funcionalidade que devem ser feitas para implementar os controles e tecnologias estabelecidas nas normas. 10
GOVERNANÇA TI REV.3 PG 11/11 8.4. Manuais e Recomendações: São documentos que descrevem, por exemplo. Padrões de instalação e configuração segura para determinadas plataformas. 11