Modelos de Gestão e Organização 6. Governança em TI

Sistemas de Informações

Modelos de Gestão e Organização6. Governança em TI

Márcio Aurélio Ribeiro Moreira

[email protected]

http://si.uniminas.br/~marcio/Ref. Profa. Kátia Lopes Silva

Márcio Moreira 6. Governança em TI – Slide 2 Modelos de Gestão &

Organização

Definir:Governança CorporativaGovernança em TI

Especificar os modelos de gestão na área de tecnologia

Identificar as principais características do Modelo COBIT

Identificar as principais características do Modelo ITIL

Objetivos da unidade


Organização

Princípios Gerais

Equidade Transparência Prestação de Contas

Refere-se a um conjunto de códigos e práticas recomendáveis para nortear o relacionamento entre acionistas, auditores, executivos e

sociedade.

Nasceu com escândalos envolvendo conselhos de administração de grandes corporações na Inglaterra e Estados Unidos.

Governança Corporativa


Organização

Governança Corporativa - Fatos Escândalos de corrupção na Inglaterra:

Maxwell e o “Cadbury Report” (1992) Revolta dos conselhos: Boards da GM,

Amex, IBM, Sears, Kodak, Time Warner demitem Chairman & CEO

Ativismo dos minoritários: Calpers, TIAA, Fidelity redefinem o dever fiduciário dos fundos de pensão

G7, OECD, FMI, Banco Mundial e IFC atuam por melhor Governança Corporativa global

Casos Enron, Worldcom, Tyco, Adelphia, Marconi, Vivendi, Ahold, etc

Novas regras da NYSE para companhias listadas

“Sarbanes Oxley Act”, Julho de 2002

Organizações multilaterais, como a Organização para a Cooperação e Desenvolvimento Econômico (OCDE), o Fundo Monetário Internacional, o Banco Mundial e o G7 (grupo das 30 mais avançadas nações industriais do mundo) vêem nos princípios da governança uma base sólida para o crescimento econômico.

Para a OCDE a governança corporativa é um dos instrumentos determinantes do desenvolvimento sustentável, em suas três dimensões: econômica, social e ambiental.


Organização

Governança Corporativa

Âmbitos de atuação

Empresa

FamíliaPatrimônio

Impactos

• Governança Corporativa• Boas Práticas• Conselho de Administração• Modelo de Gestão Profissional

Empresa

• Governança Familiar• Formação de acionistas• Herança• Ética e Conduta• Acordo de Família

Família

• Planejamento Patrimonial• Acordo de Acionistas• Investimentos• Family Office

Patrimônio


Organização

Governança Corporativa - Conceito

Conjunto de práticas e relacionamentos entre:Acionistas ou CotistasConselho de

AdministraçãoDiretoriaAuditoria IndependenteConselho FiscalPartes interessadas

Com a finalidade de:Melhorar a gestão da

companhia e o seu desempenho

Melhorar o processo decisório na alta administração

Melhorar a imagem institucional

Facilitar o acesso ao capital a custos mais baixos

Contribuir para a perenidade da organização


Organização

O mercado brasileiro foi considerado, em 2004, pela OCDE, mais avançado do que a maioria dos países emergentes com relação à governança corporativa

Entre as principais iniciativas de estímulo e aperfeiçoamento ao modelo de governança das empresas brasileiras destacam-se: A reformulação da Lei das S.A A criação dos Níveis de Governança Corporativa da Bovespa A atuação do IBGC e As recomendações da CVM (Comissão de valores Mobiliários)

Governança Corporativa:Panorama no Brasil e no mundo

O panorama mundial da governança corporativa se transformou com a aprovação da Lei Sarbanes-Oxley. Novas exigências do mercado acionário, associadas aos padrões mais rígidos de auditoria, surgiram com o objetivo de inibir fraudes contábeis e levaram os conselhos de administração e os executivos a serem mais cuidadosos na elaboração e divulgação dos relatórios financeiros.


Organização

Objetiva restaurar a confiança dos investidores A U.S. SEC (Securities and Exchange Commission)

é a responsável pela sua regulamentação Estabelecido um comitê de supervisão responsável

pelas práticas de auditoria (PCAOB – Public Company Accounting Oversight Board)

Abrange as empresas que tenham títulos negociados em bolsas americanas (inclusive as estrangeiras)

Lei Sarbanes-Oxley (SOX) de 2002


Organização

Estabelecer a vinculação das Atividades de Controle com a Governança Corporativa:A efetividade da supervisão da Alta Administração e a certificação da

estrutura de controles internos pelo CEO/CFO é comprometida, normalmente, pela inadequação:

Dos vínculos entre a governança corporativa e as atividades de controleDa documentação da estrutura de controlesDos controles internos voltados aos controles de divulgaçãoDo conhecimento das atividades de controle

Os desafios das empresas

O “elo perdido” é um programa e infra-estrutura de compliance para mensurar e monitorizar a efetividade e o alinhamento entre a governança corporativa e as atividades de controle, provendo bases sólidas para a certificação.


Organização

O IT Governance Institute a define como: “Uma estrutura de relacionamentos e processos para orientar e

controlar as empresas na busca de seus objetivos, adicionando valor e balanceando riscos e retornos da Tecnologia da Informação e seus processos.”

Abordagem:É um componente da Governança CorporativaEstá focada em:

Considerar os valores das pessoas ao definir estratégiasDirecionar os processos que implementam a estratégiaAssegurar que os processos produzam resultados mensuráveis Informar os resultados e desafiosAssegurar que os resultados sejam proveitosos

Governança de TI - Definição


Organização

Estruturas e processos visando a garantir que a TI suporte e maximize os objetivos e estratégias da organização

Permite controlar (medir e auditar) a execução e a qualidade dos serviços

Viabiliza o acompanhamento de contratos internos e externos

Define condições para o exercício eficaz da gestão com base em conceitos consolidados de qualidade

Governança de TI - Conceitos


Organização

Alinha a estratégia de TI com as do negócio Mais capacidade e agilidade para novos modelos

de negócios ou ajustes nos modelos atuais Explicita a relação entre aumento nos custos de TI

e aumento no valor da informação Mantém os riscos do negócio sob controle Explicita a importância da TI na continuidade dos

negócios Mede e melhora continuamente a performance de

TI

Vantagens da Governança de TI


Organização

Qual a importância da área de TI para as organizações?Segundo Acadys e Standish Group, 2001:

Departamentos pouco realizadores Poucas organizações são capazes de avaliar

os retornos da áreaAlto grau de insucesso dos projetosValor da informação subestimado

Importância de Governança de TI


Organização

Relacionamentos da área de TI

Fonte: IT Governance Institute


Organização

ITIL e BS15000COBITMOF – MSF – MSM

BS7799 / ISO 17799CMM / CMMIPMBOK

BSC

Metodologias e frameworks


Organização

Melhoria contínua em TI

Para onde vamos?

Onde estamos?

Como chegaremos lá?

Como saberemos se chegamos lá?

Visão & Objetivos

Avaliações

Desenho de TI

Métricas

ITILISO 17799COBIT

AlinhamentoCompliance COBITSegurança ISO 17799Benchmark de custosPesquisas de satisfação

ITILISO 17799COBIT

COBITGuidelines


Organização

Control Objectives for Information and related Technology:Focado em governança, controle e auditoria de TICriado e mantido pelo ISACA – Information Systems Audit and

Control AssociationO ISACA mantém o K-NET, um repositório de conhecimento

para os associados e o IT Governance Institute para difusão dos conceitos

O que é:COBIT é um modelo de gestão de TI proposto pelo IT

Governance Institute, patrocinado pela ISACA Foundations, baseado em código de melhores práticas.

Edições: 1ª 1996, 2ª 1998, 3ª 2000 e 4ª 2005

COBIT


Organização

COBIT: Modelos e Componentes

Modelos:Apresenta as atividades

de TI de forma estruturada e gerenciável;

É focado em processos e objetivos de negócio;

É dirigido para usuários, gestores, responsáveis pelos processos de negócio e auditores.

Componentes:4 domínios:

Planejamento e Organização

Aquisição e Implementação

Entrega e SuporteMonitoramento

34 processos de controle de alto nível

318 objetivos de controle detalhados


Organização

Componentes do COBIT

Informação

Recursos de TIPlanejamento e

Organização

Aquisição e Implementação

Entrega e Suporte

Monitoração

Governança de TI

Objetivos de Negócios


Organização

Estrutura do COBIT

DOMÍNIOS DEGOVERNANÇA

RECURSOSDE TI

REQUISITOSDE NEGÓCIO

PLANEJAMENTO& ORGANIZAÇÃO11 Processos de TI• Definir PETI • Gerenciar RH• Gerenciar Projetos...

AQUISIÇÃO &IMPLEMENTAÇÃO6 Processos de TI• Adquirir Software • Manter Infra TI• Homologar Sist....

PRODUÇÃO& SUPORTE13 Processos de TI• Ger. Operações • Gerenciar Dados• Ger. Configuração...

MONITORAÇÃO& CONTROLE4 Processos de TI• Monitorar Proces.• Avaliar Controles• Prover Auditorias...

34 PROCESSOS DE CONTROLE DE ALTO NÍVEL

PROCESSOSDE TI


Organização

Manuais do COBIT

COBIT

ESTRUTURADO COBIT

MODELOSDE

MATURIDADE

OBJETIVOSDE CONTROLEDETALHADOS

DIRETRIZESGERENCIAIS

FATORESCRÍTICOS DE

SUCESSO

INDICADORESCHAVES DE

METAS

INDICADORESCHAVES DE

DESEMPENHO

DIRETRIZESDE AUDITORIA

ExecutiveSummary

Framework

DetailedControl

Objectives

ManagementGuidelines

AuditGuidelines


Organização

São utilizados para controlar os processos de TI, fornecendo um método para quantificar o nível de maturidade dos processos.

Pode variar de não existentes (0) a otimizados (5), permitindo mapear o estágio de cada um dos 34 processos de uma organização e compará-las com o mercado, considerando:Qual o estágio atual da organizaçãoQual o estágio corrente da indústriaQual o status dos padrões internacionaisOnde a organização quer chegar.

Modelo de maturidade em processos

• Otimizado5

• Gerenciado4

• Definido3

• Repetitivo2

• Inicial1

• Inexistente0


Organização

Uso do modelo de maturidade

– Não existe qualquer processo de gestão;

– Processos aleatórios e desorganizados;

– Quando aplicados, os processos seguem um padrão;

– Os processos são aplicados sempre;

– O negócio é medido e gerenciado pelos processos;

– As melhores práticas são seguidas e automatizadas.

0 1 2 3 4 5

Nãoexiste Inicial Repetitivo Definido Gerenciado Otimizado

Legenda

Estágio atual da empresa

Status dos padrões Internacionais

Estágio corrente da indústria

Estratégia da empresa

0 Não existe

1 Inicial

2 Repetitivo

3 Definido

4 Gerenciado

5 Otimizado


Organização

ITIL

Information Technology Infrastructure LibraryBiblioteca de Infra-estrutura de Tecnologia da Informação.Coleção de melhores práticas e métodos que otimizam a Infra-

estrutura de TI e Serviços com os requerimentos de negócio.Sugere processos de gestão da infra-estrutura de TI de forma eficaz

e eficiente, garantindo o combinado com o cliente virou padrão.

Baseado no ciclo PDCA (Ciclo de Deming) para Processos, Pessoas e Tecnologia: PDCA sobre PPT:

Plan (Planejar): O que deve ser feito, quando, como, por quem, usando o que e com que propósito?

Do (Agir): Implementação do plano de atividades.Check (Verificar): Determina se as atividades proveram o resultado esperado.Act (Agir): Ajuste do planejamento baseado na garantia da informação enquanto

verificada.


Organização

Histórico do ITIL

•Desenvolver aplicações

•Atender necessidades

Até Anos 70

•Serviços e negócios•CCTA produz o ITIL para padronizar compra de serviços

V1 1989-1995 •Criado o itSMF (IT

Service Management Forum)

1991 itSMF

•Publicações da 2ª versão pela OCG (antiga CCTA)

V2 2000-2004 •Publicada da 3ª

versão pela OCG

V3 2007

Sucesso do ITIL:Não é proprietário: As melhores práticas são públicasNão prescritivo: Sugestões maduras e robustasMelhores práticas: Experiência de anos de utilizaçãoOrientado a processos: Com foco no clienteJustifica custos de TI: Eficaz em organizações de qualquer porteAderente à qualidade: Independente de tecnologia/fornecedor


Organização

Entidades envolvidas com ITIL

OGC (Office of Government Commerce):Antiga CCTA (Central Communications and

Telecommunications Agency)Comitê gestor e proprietário do ITIL

TSO (The Stationery Office):Responsável pelas publicações (Livros e CDs)

itSMF (IT Service Management Forum):Associação mundial de profissionais

EXIN, ISEB, Loyalist College:Coordenam treinamentos e certificações.


Organização

Versões do ITIL

Versão 3

Cic

lo d

e v

ida

de

se

rviç

os

Versão 2

Ma

turid

ad

e

em

p

roce

sso

s

Versão 1Melhores práticas


Organização

ITIL 1: Melhores Práticas

Information Technology Infrastructure Library

Process: Incident ManagementProblem ManagementConfiguration ManagementChange ManagementRelease ManagementService Level ManagementAvailability ManagementCapacity ManagementFinancial ManagementContinuity Management

Biblioteca de Infra-estrutura de Tecnologia da Informação

Processos:Gestão de IncidentesGestão de ProblemasGestão de ConfiguraçõesGestão de MudançasGestão de LiberaçõesGestão do Nível de ServiçoGestão de DisponibilidadeGestão de CapacidadeGestão FinanceiraGestão de Continuidade

Se

rvic

e

Su

pp

ort

Se

rviç

os

de

S

up

ort

e

Se

rvic

e

De

live

ry

En

tre

ga

de

Se

rviç

os

ProcessosOperacionais

ProcessosTáticos


Organização

ITIL 2: Maturidade em Processos

Fortalecimento de processos:Entrega de aplicações:

Melhorar o desempenho (em: tempo, custo e entrega) de projetos

Habilidade de adaptação e condições de mudançasReduzir o número de ciclos de entregas de aplicaçõesAumentar a produtividade, capacidade e moral das equipes de

desenvolvimento e manutenção

Serviços de infra-estrutura:Melhorar a qualidade dos serviçosReduzir o custo operacionalAumentar a produtividade, capacidade e moral da equipe de

operações


Organização

ITIL 2: Acréscimos

Função (não processo) de Service Desk:Função adicionada para unificar o

contato com o cliente.

Processo de Security (Segurança):Adicionar processo para tratar a

necessidade de segurança da informação aos serviços de TI.


Organização

ITIL 2: Adesão – 10 livros, 2 usados

Serviço de Suporte:5 processos operacionais e

uma funçãoDescreve como o cliente

acessa o suporteFundação da construção de

valor para o negócio

Entrega de Serviços:5 processos táticosDescreve necessidades dos

clientes e como atendê-las como serviços

Transforma atividades de TI em valores estratégicos

Ponto de início

2ª grande meta


Organização

ITIL 3: Ciclo de Vida de Serviços

• Preserva os conceitos chaves anteriores• Aumenta o alinhamento com o negócio


Organização

ITIL 3: Ciclo de Vida de Serviços Estratégia de Serviços:

Olha todos os objetivos e expectativas do negócio Garante que a estratégia de TI gera retorno

Projeto de Serviços: Inicia com um conjunto de requisitos de negócio novos ou alterados Termina com o desenvolvimento de um serviço concebido para responder às

necessidades documentadas do negócio Transição de Serviços:

Gere mudanças, riscos e garantia de qualidade dos serviços Implementa os serviços projetados para que a operação de serviços possa gerir o

serviço e a infra-estrutura de forma controlada Operação de Serviços:

Transforma negócio em atividades usuais Usa práticas robustas de operações fim-a-fim

Melhoria Contínua de Serviços: Visão global de todos os outros elementos Busca maneiras de melhorar a forma como os serviços são prestados


Organização

Certificações ITIL


Organização

Criar cultura, através da auto-avaliação disponível em:http://www.itsmf.com/bestpractice/selfassessment.aspAvalia: Service Support e Service Delivery

Adquirir o Starter Kit (Service Support e Service Delivery) para avaliação do framework e melhores práticas

Planejar a implementação Iniciar a implementação Ampliar a coleção das publicações do ITIL

Implementação do ITIL


Organização

Criados para gerenciamento interno e de parceiros, depois estendido a clientes:MOF – Microsoft Operations Framework

Guia para planejamento, implementação, e manutenção de processos operacionais de TI para soluções de serviço de missão critica – baseado no ITIL

MSF – Microsoft Solutions FrameworkGuia para projetos de tecnologia

MSM – Microsoft Solutions for ManagementMelhores práticas para serviços de implementação e

automação

Frameworks Microsoft


Organização

Outros produtos e comparação

Outros produtos:Cobit Management

Advisor:Methodware – a

empresa produz outros software para gerenciamento de risco

Visual Assurance:Kirclare Software -

Suporte à auto-avaliação aderente a FDICIA, COSO, Sarbanes-Oxley

Comparação: ITIL:

Forte em processos de TILimitado em segurança e

desenvolvimento de sistemasCOBIT:

Forte em controles de TI e métricas de TI

Não diz como (fluxos de processos) e é fraco em segurança

ISO17799:Forte em controles de segurançaNão diz como (fluxo de

processos)

Documents

Modelos de Gestão e Organização 6. Governança em TI