GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO

AULA 05 – GOVERNANÇA DE TI, ALINHAMENTO REGULATÓRIO E PLANO DIRETOR DE TI

1o semestre 2016

Prof. Maigon Nacib Pontuschka

maigonp@gmail.com

Bibliografia da aula

SANTOS, Luís Claudio e BARUQUE, Lúcia. Governança em Tecnologia da

Informação. Rio de Janeiro: Fundação CECIERJ, 2010.

BARROS, Fabio Gomes Elaboração de PDTI – Rio de Janeiro: RNP/ESR,

2014.

WEILL, Peter e ROSS, Jeanne Governança de TI Tecnologia da Informação:

Como as empresas com melhor desempenho administram os direitos

decisórios de TI na busca de resultados superiores. São Paulo: M. Books,

2006

AO FINAL DA AULA

• Descrever o conceito de Governança em TI;

• Explicar os efeitos da legislação sobre a Governança em TI;

• Identificar e listar os passos da elaboração de um modelo de

Governança em TI;

• Explicar como acontece a elaboração de um PDTI - plano diretor

de TI.

RELEMBRANDO DAS QUESTÕES IMPORTANTES

•O que é planejamento estratégico?

•O que é Alinhamento Estratégico de TI?

•O que é Governança de TI?

GOVERNANÇA EMPRESARIAL

• Conjunto de processos, costumes, políticas e procedimentos que regulam

a maneira como uma empresa é administrada em todas as suas áreas.

• Envolve:

• Acionistas.

• Conselho de administração.

• Funcionários do nível executivo.

• Funcionários em geral.

• Fornecedores e parceiros.

• Usuários e clientes.

• Instituições reguladoras

GOVERNANÇA EMPRESARIAL

• Conjunto de processos, costumes, políticas e procedimentos que regulam

a maneira como uma empresa é administrada em todas as suas áreas.

• Envolve:

• Acionistas.

• Conselho de administração.

• Funcionários do nível executivo.

• Funcionários em geral.

• Fornecedores e parceiros.

• Usuários e clientes.

• Instituições reguladoras

GOVERNANÇA EM TI

"Governança em TI consiste em um ferramental para a especificação dos

direitos de decisão das responsabilidades, visando encorajar

comportamentos desejáveis no uso da TI." (WEILL e ROSS, 2006)

“Responsabilidade da alta administração, incluindo diretores e executivos,

na liderança, nas estruturas organizacionais e nos processos que garantam

que a TI da empresa sustente e estenda as estratégias e objetivos da

organização.“ ITGI –IT Governance Institute

ISACA - INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION

• A ISACA formou o ITGI – IT Governance institute em 1998 em reconhecimento

ao aumento cada vez maior da importância da TI para o sucesso de todas as

empresas. Procura focar em pesquisa sobre Governança de Ti e assuntos

relacionados.

http://www.isaca.org

DIMENSÕES DA GOVERNANÇA EM TI

DIMENSÕES DA GOVERNANÇA EM TI

•Ambiente de negócio da TI

• intensa competição,

• necessidade de inovação constante

• busca diária pela eficiência operacional em detrimento da

eficácia estratégica.

• concorrência agora é global,

• o poder dos clientes e fornecedores é alto na maioria dos

setores.

• Tudo isso aumenta muito os riscos que podem afetar o negócio

INTEGRAÇÃO TECNOLÓGICA

• Sistemas sofrem integração ou migração

para outros sistemas

• ERP (Enterprise Resource Planning)

começaram a tentar unir uma verdadeira

"colcha de retalhos“ de bancos de dados e

sistemas

• Excesso de soluções

INTEGRAÇÃO TECNOLÓGICA

Várias siglas prometem

organizar a manipulação da

informação de maneira a agregar valor à

organização

• Data Mining.

• Data Warehouse.

• BI (Business Inteligence).

• CRM (Customer Relationship Management).

• ERP (Enterprise Resource Planning).

• E-Business.

• E-Commerce.

• B2B (Business-to-Business).

B2C (Business-to-Consumer).

SEGURANÇA DA INFORMAÇÃO

• Papel cada vez mais importante

• Calcanhar de Aquiles:

• Tecnologias de acesso remoto (VPNS, extranets, internet etc.)

• Tecnologias de acesso com mobilidade (WiFi, WiMax, 3G etc.)

• Prejuízos cada vez mais altos em fraudes em sistemas de TI

DEPENDÊNCIA DO NEGÓCIO

• A importância da TI para o negócio precisa

ser determinada

•O investimento feito em TI precisa ser justificado por

uma razão diretamente extraída de seu plano

estratégico.

MARCOS REGULATÓRIOS

• Controle cada vez maior pelo Estado ou por

parte de entidades.

• Lei Sarbanes-Oxley e Acordo da Basiléia são os mais

importantes do ponto de vista mundial.

• É necessário atender a uma série de outras questões

regulatórias

• A TI precisa acompanhar a empresa fornecendo os meios para o

atendimento desses requisitos legais.

TI COMO PRESTADORA DE SERVIÇOS

•Aprimoramento de processos é o melhor

caminho para alcançar resultados ótimos em

qualquer área.

•A TI precisa definir, para cada um de seus serviços:

• quem é seu cliente,

• quem é seu usuário,

• quem é seu patrocinador

A ERA DA INFORMAÇÃO

•Muito mais informação,

•Maiores demandas por novos serviços,

• Centenas de fornecedores das mesmas soluções,

• Dezenas de ferramentas e técnicas consagradas pelo mercado,

•Muito mais modelos de gestão

• Tudo isso gera necessidade de maior conectividade (largura de

banda, processamento, memória etc.), e recursos de TI

A ERA DA INFORMAÇÃO

•Muito mais informação,

•Maiores demandas por novos serviços,

• Centenas de fornecedores das mesmas soluções,

• Dezenas de ferramentas e técnicas consagradas pelo mercado,

•Muito mais modelos de gestão

• Tudo isso gera necessidade de maior conectividade (largura de

banda, processamento, memória etc.), e recursos de TI

CONFORMIDADE REGULATÓRIA (COMPLIANCE)

Lei Sarbanes-Oxley (SOX)

• Proteger investidores da bolsa de valores contra fraudes contábeis e financeiras das

companhias americanas que forjavam dados de seus balanços anuais

• Evitar perdas no valor de suas ações.

• Diretrizes sobre geração, uso e armazenamento de informações,

• Diretrizes para auditoria,

• Define papéis e responsabilidades da alta direção,

• Define a responsabilidade de gerentes financeiros, diretores e presidentes no caso de

fraudes

CONFORMIDADE REGULATÓRIA (COMPLIANCE)

Maior benefício da Lei Sarbanes-Oxley (SOX)

• Ensinamentos obtidos a partir de sua publicação nos Estados

Unidos.

• Várias empresas fecharam as portas porque não conseguiram se

adequar aos seus artigos a um custo aceitável

• Não foi mais possível falsificar informações e sair impune

ITENS DA SOX COM IMPACTO DIRETO NA TI

• Informações sobre operações passadas devem ficar

disponíveis por 5 anos para fins de auditoria.

• Informações requisitadas devem estar disponíveis sempre

que necessário às pessoas cujo acesso é legítimo.

• Informações não devem ser acessadas por pessoas que

não possuam direito de acesso legítimo.

•Os dados informados devem ser atualizados e corretos

CONFORMIDADE REGULATÓRIA (COMPLIANCE)

• Empresas que não conseguiram se adequar ao que a lei determinava,

fecharam as portas.

• Empresas que se adequaram aos novos princípios legais tinham uma

característica em comum: possuíam áreas de TI ao mesmo tempo eficazes

e eficientes

CONFORMIDADE REGULATÓRIA (COMPLIANCE)

Acordo da Basileia

• Acordo internacional assinado por representantes de vários

bancos centrais de vários países do mundo na cidade de Basileia,

Suíça.

3 PILARES DO ACORDO DA BASILEIA

• Estabelece procedimentos mínimos para o cálculo dos riscos de

capital (risco de crédito e risco operacional)

• Define regras para auditorias em instituições financeiras, visando a

avaliar os métodos de identificação, análise, monitoramento e controle dos

riscos.

• Estabelece regras para tornar públicas as informações acerca do

grau de exposição ao risco ao qual está sujeita uma instituição, face aos

resultados obtidos em auditorias

REGULAMENTAÇÃO NO BRASIL

• Ambiente instável faz a conformidade legal algo complicado para as

empresas

• A questão não pode ser descartada da agenda de diretores e gerentes de TI

• Executivos precisam ter reservas de recursos (e de tempo) para lidar com

questões de conformidade regulatória

• Tentar se antecipar a elas o quanto possível

• A conformidade legal sempre foi uma exigência para todas as outras áreas

da empresa e, desde os marcos regulatórios da SOX e da Basileia, passou a

ser também para a TI.

PLANEJAMENTO DE TI

• A literatura acadêmica registra várias denominações sobre

planejamento de TI:

• Planejamento Estratégico de TI (PETI);

• Planejamento Estratégico de Sistemas de Informação (PESI)

• Plano Diretor de TI (PDTI)

• Plano Tático de TI

• Plano de Sistemas de Informação, Conhecimento e Informática

(PSICI)

(BARROS, 2014)

PLANEJAMENTO DE TI

• Estas práticas diferem entre si em relação às dimensões do planejamento:

• O PETI tem a características de ser estratégico, enquanto o PDTI tem caráter

tático;

• O assunto abordado pelo PESI são os sistemas de informação. Já o PDTI e

PETI abordam a TI como um todo, além dos sistemas de informação;

• O PETI geralmente é de longo prazo. Por sua vez o PDTI tende a ser de

médio prazo

(BARROS, 2014)

Fonte:

http://www.athiva.com.br

Planejamento Estratégico da Empresa

Conformidade regulatória

(Compliance)

Plano Diretor de TI

Decisão e Alocação

Controle e Gestão da Operação

UM MODELO PARA A GOVERNANÇA EM TI

Medição e Desempenho

O QUE É O PDTI - PLANO DIRETOR DE TI?

• Contém diretrizes para a área de TI

• Curto prazo. +- um ano

• Médio prazo : dois a três anos

• Longo prazo: de cinco a seis anos

• Seus valores variam de empresa para empresa e de setor para setor.

• PDTI deve ser revisado periodicamente e novas estratégias podem ser

adotadas, dependendo dos novos cenários.

TOMAR DECISÕES E FAZER ALOCAÇÕES

Com o PDTI em mãos, o diretor de TI deve executar funções como:

• Decidir sobre quais projetos iniciar ou cancelar.

• Interromper ou iniciar operações da TI.

•Obter recursos para os projetos e operações.

• Fazer a alocação dos recursos.

• Estabelecer as diretrizes para o gerenciamento da capacidade,

disponibilidade e continuidade da infraestrutura de serviços de TI.

TOMAR DECISÕES E FAZER ALOCAÇÕES

Esta é uma etapa que tem foco na eficácia estratégica, ou seja,

escolher o que deve ser feito de acordo com o PDTI, que,

por sua vez, teve sua origem no plano estratégico da organização.

As direções para a TI, que significam a eficácia estratégica, já

foram dadas no PDTI.

GARANTIR O CONTROLE E O GERENCIAMENTO DA OPERAÇÃO

• Uma vez iniciados os projetos e as operações, a área de TI deve

ter como meta a utilização eficiente dos recursos.

•Operações e projetos podem ser cancelados ou interrompidos a

qualquer momento por motivos diversos:

• falta de alinhamento com a nova estratégia organizacional,

• determinação de que o projeto ou operação não conseguirá atender mais

aos objetivos iniciais ou

• por falta de recursos

GARANTIR O CONTROLE E O GERENCIAMENTO DA OPERAÇÃO

• Desenvolvimento de acordos com usuários e fornecedores para

garantir a qualidade dos serviços prestados.

• Projetos são selecionados, planejados, executados e encerrados

pela TI só se estiverem de acordo com a PDTI.

O PLANO DIRETOR DE TI

•O PDTI é um documento de alto nível elaborado pelo diretor de TI

com o auxílio de outras partes interessadas e do próprio pessoal

do provedor de TI.

• Deve conter informações menos detalhadas, porém, mais

abrangentes.

• Precisa ser um documento vivo, revisado periodicamente (pelo

menos uma revisão a cada trimestre).

•Metas do PDTI devem estar alinhadas às metas da organização

CONTEÚDO DO PDTI

Todo plano visa a responder questões do tipo:

•O que será feito?

•Quem fará?

•Quando fará?

• Por que fará?

•Onde fará?

• Como fará?

•Quanto custará?

CHIAVENATO, 2004

ELABORAÇÃO DO PDTI

• Feito de forma interdisciplinar, envolvendo pessoas de outras

áreas da organização

• PDTI deve conter o portfólio de TI da empresa, ou seja, deve

guiar a todos com relação ao que a TI faz na forma de projetos

ou operações continuadas e o que a TI não faz. Que serviços a TI

fornece e que serviços ela não fornece.

A ITIL® E O COBIT® NO CONTEXTO DA GOVERNANÇA

Existem dois tipos de organização:

•Organização reativa – espera pressões externas para fazer

mudanças.

•Organização proativa – busca a melhoria proativamente em suas

áreas de processo utilizando algum modelo de boas práticas ou

normas existentes.

• COBIT E ITIL ajudam organizações a serem proativas

COBIT®

Control Objectives

for Information and related Technology

COBIT®

• O COBIT® possui informações sobre os

controles que devem ser perseguidos e os

indicadores-chave de desempenho em

todas as áreas da TI

COBIT®

•O gerenciamento de projetos de TI é bom ou ruim na sua empresa?

•Que critérios adotar para medir seu trabalho e comparar com o que

outras organizações fazem?

• COBIT – 34 áreas de processo da TI para medir a maturidade

de cada uma.

• 1º passo: descobrir nosso nível de maturidade

• 2º passo: saber que grau de maturidade minha empresa quer

atingir

COBIT®

•O gerenciamento de projetos de TI é bom ou ruim na

sua empresa?

•Que critérios adotar para medir seu trabalho e

comparar com o que outras organizações fazem?

• COBIT – 34 áreas de processo da TI para medir

a maturidade de cada uma.

• 1º passo: descobrir nosso nível de maturidade

• 2º passo: saber que grau de maturidade minha

empresa quer atingir

COBIT®

•Algumas perguntas que o COBIT® não responderá:

perguntas começadas com “Como...”

•O COBIT possui os controles e indicadores de desempenho

mas não mostra como a organização pode melhorar e

amadurecer.

•Aqui entra o ITIL – que contém processos que visam à

melhoria do sistema de gerenciamento de serviços de TI.

ITIL® - INFORMATION TECHNOLOGY INFRASTRUCTURE LIBRARY

•A versão 3 consiste de vinte e seis processos e funções

mais importantes para a Tecnologia da Informação

reunidos nos livros de suporte a serviços de TI e entrega

de serviços de TI, agrupados em cinco volumes

•Por meio do COBIT, a empresa descobre o seu grau de

maturidade em alguma área da TI.

•Usando a ITIL pode melhorar esse processo, pois esta

contém informações sobre o que deve ser feito.