2. Copyright 2012 por Brasport Livros e Multimdia Ltda. Todos
os direitos reservados. Nenhuma parte deste livro poder ser
reproduzida, sob qualquer meio, especialmente em fotocpia (xerox),
sem a permisso, por escrito, da Editora. 1 edio: 2006 Reimpresso:
2007 2 edio: 2008 Reimpresses: 2009, 2010, 2011 3 edio: 2012
Editor: Sergio Martins de Oliveira Diretora: Rosa Maria Oliveira de
Queiroz Gerente de Produo Editorial: Marina dos Anjos Martins de
Oliveira Reviso: Maria Ins Galvo Editorao Eletrnica: Abreus System
Ltda. Capa: Use Design CMM, CMMI, SCAMPI so marcas registradas da
Carnegie Mellon University (Software Engineering Institute). CobiT,
CobiT Foundation, Information Systems Audit and Control
Association, ISACA, IT Governance Institute, ITGI, CISA, CISM, Val
IT, Risk IT e CGEIT so marcas registradas da ISACA e do IT
Governance Institute. PMBOK, PMP, CAPM e PgMP so marcas registradas
do Project Management Institute (PMI). ITIL e PRINCE2 so marcas
registradas do OGC (Office for Government Commerce). TOGAF uma
marca registrada do The Open Group. eSCM-SP e eSCM-CL so marcas
registradas da Carnegie Mellon University (Information Technology
Services Qualification Center). BPM CBOK uma marca registrada da
Association of Business Process Management Professionals (ABPMP).
BABOK uma marca registrada do International Institute of Business
Analysis (IIBA). Outros produtos e nomes de empresas mencionadas
neste livro podem ser marcas registradas de seus respec- tivos
proprietrios. Tcnica emuita ateno foram empregadas na produo deste
livro. Porm, erros de digitao e/ou impresso podem ocor- rer.
Qualquer dvida, inclusive de conceito, solicitamos enviar mensagem
para [email protected], para que nossa equipe, juntamente
com o autor, possa esclarecer. A Brasport e o(s) autor(es) no
assumem qualquer responsabilidade por eventuais danos ou perdas a
pessoas ou bens, originados do uso deste livro. BRASPORT Livros e
Multimdia Ltda. Rua Pardal Mallet, 23 Tijuca 20270-280 Rio de
Janeiro-RJ Tels. Fax: (21) 2568.1415/2568.1507 e-mails:
[email protected][email protected][email protected] site: www.brasport.com.br Filial Av.
Paulista, 807 conj. 915 01311-100 So Paulo-SP Tel. Fax (11):
3287.1752 e-mail: [email protected]
3. A todos os profissionais, executivos de negcios e de
informtica e alunos com quem ao longo desses anos tive a
oportunidade de conviver e de compartilhar co- nhecimento e com os
quais tambm aprendi e conti- nuo aprendendo. Aguinaldo Aragon
Fernandes minha esposa Juliana, pelo apoio sempre presente durante
as muitas horas de pesquisa, aos meus pais Isis e Nilson, por
incentivarem desde cedo o gosto pelo estudo e pela escrita, e
pequena Ana Luiza, mi- nha mais nova inspirao em todos os momentos.
Vladimir Ferraz de Abreu
4. Agradecimentos Esta terceira edio do livro no seria
realidade sem o concurso de vrios profissionais e organizaes,
dentre os quais destacamos: A Antonio Carlos Abuhab Fernandes e
Maritza Maura de Carvalho, Msc., renomados consultores do mercado e
especialistas, respectivamente, em Go- vernana SOA e Governana de
Dados, pelas valorosas contribuies e pelo aporte de conhecimento ao
Captulo 13 desta edio. Ao itSMF Brasil e ao Captulo So Paulo da
ISACA, pelo apoio divulga- o deste livro em mbito nacional, desde a
sua primeira edio. Ao colega Tiago Nogueira de Carvalho, por nos
auxiliar na questo do dashboard. A uma organizao, a qual no podemos
citar, que merece nosso agrade- cimento e admirao por ser uma fonte
de incentivo, experincia, inovao e aprendizado em Governana de TI e
em Governana Corporativa de uma forma geral. Aos nossos alunos e
participantes de cursos e palestras sobre Governana de TI, que, alm
de fazerem um controle da qualidade, contribuem com suas
experincias prticas. Aos nossos milhares de leitores, que fizeram
desta obra uma referncia e um best-seller em Governana de TI.
Aguinaldo Aragon Fernandes Vladimir Ferraz de Abreu
5. Sobre os Autores Aguinaldo Aragon Fernandes, Dsc Bacharel em
Administrao de Empresas pela Universidade Federal do Rio Grande do
Sul (1976), Mestre em Cincias em Administrao pela COPPEAD,
Universidade Federal do Rio de Janeiro (1983) e Doutor em
Engenharia de Produo pela Escola Politcnica de Engenharia da USP
(2000). Profissional e pesquisador da rea de tecnologia da informao
com atuao no mercado superior a 36 anos. autor de vrios trabalhos
publicados, dentre os quais os livros Planejamento e Controle de
Sistemas de Informao, publicado em 1984, Gerncia de Projetos de
Sistemas: uma abordagem prtica, publicado em 1989, Gerncia
Estratgica da Tecnologia da Informao: como obter vantagens
competitivas, publicado em 1992, todos pela Livros Tcnicos e
Cientficos, Gerncia de Software atravs de mtricas, publicado pela
Editora Atlas em 1995, e Fbrica de Software: implantao e gesto de
operaes, publicado pela Editora Atlas em 2004. Ao longo de sua
carreira atuou como analista, gerente e diretor em empresas de
prestao de servios em informtica e gesto empresarial, tendo
prestado servios tanto para instituies pblicas como privadas, de
mdio e grande porte. Na indstria de servios de TI foi pioneiro no
desen- volvimento de produtos e servios, como a primeira fbrica de
software do Brasil, operaes de outsourcing de sistemas,
metodologias de desenvolvi- mento de software, de gesto de
projetos, de garantia da qualidade, de m- tricas, etc. Teve a
oportunidade de coordenar e implantar modelos de qua- lidade para
software e suporte baseados na ISO, no SW-CMM e CMMI. professor da
FIA/USP. membro do ISACA e da ABPMP e certificado CGEIT Certified
in the Governance Enterprise IT, CobiT Foundation e
6. X Implantando a Governana de TI 3 edio Certificado ITIL
Foundation pelo EXIN. Atualmente, gerencia sua empre- sa de
consultoria, a Aragon Consultores Associados. Contatos com o autor
atravs do e-mail: [email protected]. Vladimir Ferraz
de Abreu Graduado em Engenharia da Computao pela Universidade
Estadual de Campinas-UNICAMP (1993), com especializaes em
Administrao de Empresas pela Escola Superior de Administrao de
Negcios-ESAN (1995), em Qualidade e Produtividade pela Fundao
Carlos Alberto Vanzolini-USP (2001) e em Gesto de Processos de
Negcios pelo Grupo de Produo In- tegrada da COPPE-UFRJ (2007).
Profissional da rea de tecnologia da in- formao com atuao no
mercado h mais de dezoito anos. Ao longo da sua carreira tem atuado
como analista de sistemas, consultor de processos, metodologia e
qualidade, e gerente de qualidade em empresas de prestao de servios
em informtica como CPM, EDS, Getronics, Ilumna, Conceptus e
Interadapt, tendo realizado projetos e trabalhos junto a instituies
como Icatu Seguros, Bradesco, BCP Telecomunicaes (atual Claro),
Philip Mor- ris, Atento, Unisys, Asbace/ATP, BankBoston, Carto
Unibanco (atual Itau- card), Unibanco (atual Banco Ita), Caixa
Econmica Federal, Telemar (atual Oi), Visanet, T-Systems, Cemar,
Sabesp, Hospital Alemo Oswaldo Cruz, Usiminas, Net Servios,
Dimension Data, Banrisul, Prodenge e Capemisa. Participou como Lder
Tcnico no projeto de implementao e como Team Member na avaliao
SCAMPI que qualificou a Getronics Brasil no Nvel 2 do SW-CMM. Atua
como professor no programa Master Business Informa- tion Systems,
da PUC-SP. certificado em Fundamentos de Gerenciamento de Servios
com base na ITIL e na ISO/IEC 20000 e Accredited Trainer pelo EXIN,
membro do Conselho Deliberativo do itSMF Brasil, associado ISACA e
ABPMP Brasil, e participou da comisso constituda pela ABNT para
localizao da norma ISO/IEC 20000 no Brasil. Atualmente trabalha
como consultor em iniciativas de governana de TI e de gesto de
processos de negcio. Contatos com o autor atravs do e-mail:
[email protected].
7. Prefcio da 3 Edio No so tantos os livros na rea de TI que
sobrevivem por mais de cinco anos e chegam sua terceira edio ou o
mercado os substitui ou ento os autores se cansam de atualizar o
texto numa rea to dinmica como a da tecnologia da informao.
Felizmente, temos em mos uma obra que passou pelos dois testes:
tornou- -se um texto de referncia padro para os gestores da rea, o
que motivou os autores para a pesquisa contnua para incluso das
inovaes na rea de Go- vernana de TI e para a busca de uma
sistematizao e proposio de modelo integrativo nesta rea de
complexidade crescente. Presta, deste modo, um servio importante
aos estudantes e praticantes desta (ainda) arte que a de assegurar
a contribuio contnua da TI para os resultados e a continuidade dos
negcios que dela se utilizam. Sou testemunha do valor desta obra
pela sua contribuio nos cursos de Gesto de TI na FIA (Fundao
Instituto de Administrao), mas tambm pela observao do seu uso como
referncia para gestores e consultores da rea. Numa rea em que as
decises do gestor no resultam apenas da consi- derao de interesses
dos negcios da empresa, mas a cada dia aumentam as exigncias de
compliance com normas e legislao, textos como o presente se tornam
leitura obrigatria para os gestores das organizaes. Alm da
atualizao das verses das tcnicas e dos modelos propostos pelas
diferentes organizaes pblicas e profissionais da rea, da incluso de
novos padres e tcnicas, esta edio representa mais uma contribuio
inovadora que a sistematizao de propostas para a operacionalizao do
alinhamento entre a governana corporativa e a TI.
8. XII Implantando a Governana de TI 3 edio Novos estudos de
casos ilustram o uso dos modelos e tcnicas, demons- trando ao mesmo
tempo a maturidade crescente da prtica da governana e da gesto da
TI no nosso meio. Aos leitores desejamos uma leitura estimulante e
uso proveitoso de mais esta obra dos autores. Prof. Dr. Nicolau
Reinhard Vice-Diretor da FEA-USP e Coordenador do MBA em Gesto de
Tecnologia de Informao da FIA.
9. Sumrio
Introduo.............................................................................................................1
Fatores motivadores do
livro........................................................................................1
Objetivos do
livro........................................................................................................3
Estrutura do
livro........................................................................................................4
1 Governana de
TI............................................................................................7
1.1 Os fatores motivadores da Governana de
TI.........................................................7 1.2 O
que a Governana de
TI................................................................................12
1.3 Objetivos da Governana de
TI...........................................................................14
1.4 Componentes da Governana de
TI....................................................................16
1.4.1 Os componentes da etapa de alinhamento estratgico e
compliance.........16 1.4.2 Os componentes da etapa de Deciso,
Compromisso, Priorizao e Alocao de
Recursos................................................................................20
1.4.3 Os componentes da etapa de Estrutura, Processos, Organizao e
Gesto......................................................................................................21
1.4.4 O componente da etapa de Gesto do Valor e do Desempenho da
TI......23 2 Governana Corporativa e Regulamentaes de
Compliance........................24 2.1 Governana Corporativa e a
ligao com a Governana de TI.............................24 2.2
Entendendo as implicaes do Sarbanes-Oxley
Act..............................................28 2.2.1 O que o
Sarbanes-Oxley Act e qual a sua
finalidade...............................28
10. XIV Implantando a Governana de TI 3 edio 2.2.2 Requisitos
do SOX que afetam
TI............................................................31
2.2.3 Impacto do SOX na Governana de
TI....................................................34 2.3
Entendendo as implicaes do Acordo da Basileia
II............................................35 2.3.1 O que o
Acordo da Basileia
II................................................................35
2.3.2 Implicaes do Acordo da Basileia II sobre
TI..........................................35 2.4 O impacto da
Resoluo 3380 do Banco Central do
Brasil..................................37 3 O Modelo de Governana
de
TI....................................................................39
3.1 Viso geral do modelo de Governana de
TI........................................................40 3.2 O
Alinhamento estratgico de
TI........................................................................45
3.2.1 O que o alinhamento
estratgico...........................................................45
3.2.2 O Plano de Tecnologia da
Informao......................................................50
3.2.3 Elaborao do mapa estratgico e do Balanced Scorecard
(BSC).............122 3.3 Mecanismos de deciso em
TI...........................................................................127
3.4 A entrega de
valor..............................................................................................130
3.4.1 Gerenciamento do portflio de
TI.........................................................130
3.4.2 Operaes de servios de
TI...................................................................131
3.4.3 O relacionamento com os usurios e/ou
clientes....................................137 3.4.4 O
relacionamento com os
fornecedores..................................................140
3.5 Gerenciamento de
recursos................................................................................144
3.6 A gesto do
desempenho...................................................................................145
3.6.1 Medies dos resultados da
TI................................................................147
3.6.2 Medies dos resultados para o
negcio..................................................159 3.6.3
Implantao de sistema de gerenciamento de
desempenho.....................161 3.6.4 Gesto do desempenho da
TI.................................................................176
3.7 A
comunicao..................................................................................................179
3.8 A gesto da mudana
organizacional..................................................................185
3.9 Avaliao
independente.....................................................................................189
3.10 Riscos e
compliance.........................................................................................190
3.10.1 Gesto de
riscos....................................................................................190
3.10.2
Compliance.........................................................................................193
4 Os Papis da Governana de TI na
Organizao..........................................195
11. Sumrio XV 5 Modelos de Melhores Prticas e o Modelo de
Governana de TI.................200 6 Modelos Abrangentes de
Governana de TI.................................................203
6.1 ISO/IEC 38500 Governana corporativa de tecnologia da
informao...........203 6.1.1
Aplicao...............................................................................................204
6.1.2
Objetivos...............................................................................................204
6.1.3 Estrutura da
norma................................................................................204
6.1.4 Benefcios com o uso da
norma..............................................................209
6.1.5 Consideraes sobre a
norma.................................................................209
6.2 CobiT Control Objectives for Information and related
Technology...............210 6.2.1 Histrico do
modelo..............................................................................210
6.2.2 Objetivos do
modelo..............................................................................211
6.2.3 Estrutura do
modelo..............................................................................213
6.2.4 Aplicabilidade do
modelo.......................................................................224
6.2.5 Benefcios do
modelo.............................................................................226
6.3 O framework Val
IT..........................................................................................227
6.3.1 Histrico do
modelo..............................................................................227
6.3.2 Objetivos do
modelo..............................................................................228
6.3.3 Estrutura do
modelo..............................................................................228
6.3.4 Aplicabilidade do
modelo.......................................................................234
6.3.5 Benefcios do
modelo.............................................................................236
6.4 O Framework Risk
IT.......................................................................................237
6.4.1 Histrico do
modelo..............................................................................237
6.4.2 Objetivos do
modelo..............................................................................237
6.4.3 Estrutura do
modelo..............................................................................238
6.4.4 Aplicabilidade do
modelo.......................................................................245
6.4.5 Benefcios do
modelo.............................................................................249
6.5 A integrao entre os
modelos...........................................................................250
6.6 Certificaes
ISACA..........................................................................................251
6.7 A Evoluo do
CobiT........................................................................................252
7 Modelos para Gerenciamento de Servios de
TI..........................................255 7.1 ITIL
Information Technology Infrastructure
Library......................................256 7.1.1 Histrico do
modelo..............................................................................256
12. XVI Implantando a Governana de TI 3 edio 7.1.2 Objetivos do
modelo..............................................................................257
7.1.3 Estrutura do
modelo..............................................................................258
7.1.4 Aplicabilidade do
modelo.......................................................................286
7.1.5 Benefcios do
modelo.............................................................................288
7.1.6 Certificaes
relacionadas.......................................................................290
7.2 ISO/IEC
20000................................................................................................292
7.2.1 Histrico do
modelo..............................................................................292
7.2.2 Objetivos do
modelo..............................................................................293
7.2.3 Estrutura do
modelo..............................................................................293
7.2.4 Aplicabilidade do
modelo.......................................................................300
7.2.5 Benefcios do
modelo.............................................................................301
7.2.6 Certificaes
relacionadas.......................................................................302
7.3 CMMI for
Services............................................................................................306
7.4 Microsoft Operations Framework (MOF) uma breve
viso............................311 8 Modelos para Processos de
Software............................................................313
8.1 CMMI - Capability Maturity Model
Integration...............................................314 8.1.1
Histrico do
modelo..............................................................................314
8.1.2 Objetivos do
modelo..............................................................................315
8.1.3 Estrutura do
modelo..............................................................................315
8.1.4 Aplicabilidade do
modelo.......................................................................326
8.1.5 Benefcios do
modelo.............................................................................326
8.1.6 Certificaes
relacionadas.......................................................................328
8.2
MR-MPS..........................................................................................................330
8.2.1 Histrico do
modelo..............................................................................330
8.2.2 Objetivos do
modelo..............................................................................331
8.2.3 Estrutura do
modelo..............................................................................332
8.2.4 Aplicabilidade do
modelo.......................................................................339
8.2.5 Benefcios do
modelo.............................................................................340
8.2.6 Certificaes
relacionadas.......................................................................340
8.3 ISO/IEC
12207................................................................................................341
8.3.1 Viso geral do
modelo............................................................................341
8.3.2 Aplicabilidade do
modelo.......................................................................345
8.4 ISO/IEC
9126..................................................................................................346
13. Sumrio XVII 8.4.1 Viso geral do
modelo............................................................................346
8.4.2 Aplicabilidade do
modelo.......................................................................349
8.5 IBM Rational Unified Process uma breve
viso...............................................349 8.6
Microsoft Solutions Framework uma breve
viso............................................352 9 Modelos para
Gerenciamento de
Projetos...................................................354 9.1
PMBOK Project Management Body of
Knowledge........................................354 9.1.1 Histrico
do
modelo..............................................................................354
9.1.2 Objetivos do
modelo..............................................................................354
9.1.3 Estrutura do
modelo..............................................................................355
9.1.4 Aplicabilidade do
modelo.......................................................................365
9.1.5 Benefcios do
modelo.............................................................................366
9.1.6 Certificaes
relacionadas.......................................................................366
9.2 Padro para Gesto de
Portflio.........................................................................367
9.2.1 Histrico do
modelo..............................................................................367
9.2.2 Objetivos do
modelo..............................................................................367
9.2.3 Estrutura do
modelo..............................................................................368
9.2.4. Aplicabilidade do
modelo......................................................................375
9.2.5 Benefcios do
modelo.............................................................................375
9.2.6 Certificaes
relacionadas.......................................................................376
9.3 Padro para Gesto de
Programas......................................................................376
9.3.1 Histrico do
modelo..............................................................................376
9.3.2 Objetivos do
modelo..............................................................................377
9.3.3 Estrutura do
modelo..............................................................................377
9.3.4 Aplicabilidade do
modelo.......................................................................389
9.3.5 Benefcios do
modelo.............................................................................389
9.3.6 Certificaes
relacionadas.......................................................................390
9.4 Outros padres e certificaes
PMI...................................................................391
9.5
PRINCE2.........................................................................................................392
9.5.1 Histrico do
modelo..............................................................................392
9.5.2 Objetivos do
modelo..............................................................................393
9.5.3 Estrutura do
modelo..............................................................................393
9.5.4 Aplicabilidade do
modelo.......................................................................398
9.5.5 Benefcios do
modelo.............................................................................399
14. XVIII Implantando a Governana de TI 3 edio 9.5.6
Certificaes
relacionadas.......................................................................399
9.6
SCRUM............................................................................................................399
9.6.1 Histrico do
modelo..............................................................................399
9.6.2 Objetivos do
modelo..............................................................................400
9.6.3 Estrutura do
modelo..............................................................................401
9.6.4 Aplicabilidade do
modelo.......................................................................405
9.6.5 Benefcios do
modelo.............................................................................408
9.6.6 Certificaes
relacionadas.......................................................................409
10 Modelos para Segurana da Informao ISO/IEC 27001 e
27002............410 10.1 Histrico do
modelo.......................................................................................410
10.2 Objetivos do
modelo.......................................................................................412
10.3 Estrutura do
modelo.......................................................................................412
10.3.1 ISO/IEC
27001...................................................................................412
10.3.2 ISO/IEC
27002...................................................................................418
10.4 Aplicabilidade do
modelo................................................................................424
10.5 Benefcios do
modelo......................................................................................425
10.6 Certificaes
relacionadas................................................................................426
10.7 Gesto da Continuidade do
Negcio...............................................................426
10.8 Outras normas ISO relativas segurana da
informao..................................428 11 Modelos para
Gerenciamento de
Sourcing..................................................430 11.1
eSCM-SP........................................................................................................430
11.1.1 Histrico do
modelo............................................................................430
11.1.2 Objetivos do
modelo............................................................................431
11.1.3 Estrutura do
modelo............................................................................431
11.1.4 Aplicabilidade do
modelo.....................................................................439
11.1.5 Benefcios do
modelo...........................................................................439
11.1.6 Certificaes
relacionadas.....................................................................440
11.2
eSCM-CL.......................................................................................................442
11.2.1 Histrico do
modelo............................................................................442
11.2.2 Objetivos do
modelo............................................................................442
11.2.3 Estrutura do
modelo............................................................................443
11.2.4 Aplicabilidade do
modelo.....................................................................454
15. Sumrio XIX 11.2.5 Benefcios do
modelo...........................................................................454
11.2.6 Certificaes
relacionadas.....................................................................455
11.3 CMMI for
Acquisition....................................................................................455
12 Modelos para Disciplinas Complementares Governana de
TI.................459 12.1 BPM
CBOK..................................................................................................459
12.1.1 Histrico do
modelo............................................................................459
12.1.2 Objetivos do
modelo............................................................................460
12.1.3 Estrutura do
modelo............................................................................460
12.1.4 Aplicabilidade do
modelo.....................................................................470
12.1.5 Benefcios do
modelo...........................................................................472
12.1.6 Certificaes
relacionadas.....................................................................473
12.2
BABOK.........................................................................................................473
12.2.1 Histrico do
modelo............................................................................473
12.2.2 Objetivos do
modelo............................................................................474
12.2.3 Estrutura do
modelo............................................................................474
12.2.4 Aplicabilidade do
modelo.....................................................................482
12.2.5 Benefcios do
modelo...........................................................................483
12.2.6 Certificaes
relacionadas.....................................................................484
12.3 Balanced
Scorecard..........................................................................................484
12.3.1 Histrico do
modelo............................................................................484
12.3.2 Objetivos do
modelo............................................................................486
12.3.3 Estrutura do
modelo............................................................................486
12.3.4 Aplicabilidade do
modelo.....................................................................489
12.3.5 Benefcios do
modelo...........................................................................491
12.3.6 Certificaes
relacionadas.....................................................................492
12.4 Seis
Sigma.......................................................................................................492
12.4.1 Histrico do
modelo............................................................................492
12.4.2 Objetivos do
modelo............................................................................493
12.4.3 Estrutura do
modelo............................................................................494
12.4.4 Aplicabilidade do
modelo.....................................................................500
12.4.5 Benefcios do
modelo...........................................................................501
12.4.6 Certificaes
relacionadas.....................................................................502
12.5 The Open Group Architecture Framework -
TOGAF......................................502 12.5.1 Histrico do
modelo............................................................................502
12.5.2 Objetivos do
modelo............................................................................503
12.5.3 Estrutura do
modelo............................................................................504
12.5.4 Aplicabilidade do
modelo.....................................................................505
16. XX Implantando a Governana de TI 3 edio 12.5.5 Benefcios do
modelo...........................................................................506
12.5.6 Certificaes
relacionadas.....................................................................507
12.6 ISO
9001:2008...............................................................................................508
12.6.1 Viso geral do
modelo..........................................................................508
12.6.2 Aplicabilidade do
modelo.....................................................................512
12.7 ISO
31000......................................................................................................512
12.7.1 Viso geral do
modelo..........................................................................512
12.7.2 Aplicabilidade do
modelo.....................................................................516
13 Extenses e Derivaes do Conceito de Governana de
TI..........................517 13.1 Governana de
Processos.................................................................................517
13.1.1 Princpios e conceitos
gerais.................................................................517
13.1.2 Modelos de referncia
relacionados......................................................521
13.1.3 Aplicabilidade do
conceito...................................................................525
13.1.4 Certificaes
relacionadas.....................................................................526
13.2 Governana
SOA............................................................................................526
13.2.1 Princpios e conceitos
gerais.................................................................526
13.2.2 Modelos de referncia
relacionados......................................................530
13.2.3 Aplicabilidade do
conceito...................................................................542
13.2.4 Certificaes
relacionadas.....................................................................546
13.3 Governana de
Dados.....................................................................................547
13.3.1 Princpios e conceitos
gerais.................................................................548
13.3.2 Modelos de referncia
relacionados......................................................551
13.3.3 Aplicabilidade do
conceito...................................................................557
13.3.4 Certificaes
relacionadas.....................................................................558
14 Governana de TI para Pequenas e Mdias
Empresas..................................561 15 Governana de TI no
Governo.....................................................................569
15.1 O modelo de Governana de TI no governo
brasileiro.....................................569 15.2 O papel da
Secretaria de Logstica e Tecnologia da
Informao........................576 15.3 O papel do Tribunal de
Contas da
Unio........................................................577
15.4 O papel do Departamento de Segurana da Informao e Comunicaes
do Gabinete de Segurana Institucional da Presidncia da
Repblica.......................577 15.5 Situao atual da Governana
de TI no Governo Federal, na viso do TCU....579 15.6 Legislao bsica
pertinente.............................................................................581
17. Sumrio XXI 15.7 Governana de TI no Judicirio
Brasileiro.......................................................583
16 Como Implantar a Governana de
TI..........................................................586
16.1 Roteiro de implantao da Governana de
TI..................................................587 16.2
Fatores crticos de sucesso para a implantao da Governana de
TI................599 17 Estudos de
Casos.........................................................................................601
Referncias
Bibliogrficas..................................................................................606
Pginas
Web.......................................................................................................614
18. Introduo Fatores motivadores do livro O que pretendemos com
este livro fornecer orientao e um guia sobre o que , de fato, a
Governana de Tecnologia da Informao. Nossa conceituao vai um pouco
mais alm do que debatido no mer- cado atualmente, que v como
Governana de TI a implantao de melhores prticas aplicveis TI.
Procuramos trazer para este debate a necessidade de alinhar a TI ao
neg- cio, tanto de forma esttica, a partir das estratgias e dos
planos de negcio da empresa, como dinamicamente, fazendo ajustes
contnuos em virtude do surgimento de novas oportunidades de negcio,
onde a TI um ator impor- tante para a gerao de valor para o negcio.
Esta viso importante, pois a TI uma fonte de investimentos e
despesas significativas para qualquer empresa que j atingiu uma
dependncia estrat- gica. Portanto, estar alinhada ao negcio passa a
ser um imperativo para a TI, assim como, para algumas empresas,
seguir regulamentos externos tambm passa a ser prioritrio. Em
virtude de escndalos corporativos de fraudes observados no passado
e, mais recentemente, da crise financeira mundial de 2008/2009, h
uma maior exigncia por mecanismos de Governana Corporativa, no
sentido de maior transparncia das empresas. Adicionalmente, marcos
de regulao externa (re- presentados principalmente por dispositivos
como o Sarbanes-Oxley Act, o
19. 2 Implantando a Governana de TI 3 edio Acordo da Basileia
II e as resolues do Banco Central) tm trazido tambm maior
complexidade para a gesto da TI. Em suma, alm de a TI ter que estar
alinhada ao negcio, visando seu crescimento e perenidade, tambm
afetada por esses marcos de regulao, aos quais devem se submeter as
empresas de capital aberto e que negociam suas aes nas bolsas de
valores norte-americanas, alm das instituies financeiras.
Acreditamos que, ao mostrarmos o caminho para o entendimento sobre
o que a Governana de TI, daremos nossa contribuio para o enrique-
cimento do tema, tentando sair um pouco do debate tecnolgico, mas
fazendo um equilbrio entre o negcio, a tecnologia e,
principalmente, a gesto da tecnologia da informao, e mostrando como
a TI pode gerar valor para o negcio. Estamos cientes de que esta
obra um pequeno passo para que possamos obter melhor compreenso do
que a Governana de TI e das suas implica- es para as organizaes.
Mostraremos, nesta nova edio, onde os vrios modelos de melhores
prticas aplicados na rea de Tecnologia da Informao se encaixam no
Ci- clo da Governana de TI proposto neste livro e como eles podem
se rela- cionar. Acreditamos fortemente que cada organizao deve
usar as melhores prticas para desenvolver a sua prpria arquitetura
de processos de TI, de maneira adequada para a maturidade e o
ambiente organizacional em que a TI est inserida. Abordaremos tambm
a aplicao estendida do conceito de Governana de TI para outras
disciplinas. Sobre outro aspecto muito em voga atualmente, e que
podemos cha- mar de a nova gerao de contratos de outsourcing,
procuraremos explo- rar como os conceitos e componentes da
Governana de TI se aplicam em um contexto dessa natureza, ou seja,
como manter os princpios da Governana quando h vrios fornecedores
de servios de TI atuando para a empresa. Por fim, relacionamos
logicamente vrios conceitos e abordagens, dando origem a um modelo
proposto de Governana de TI, que a base de nossa discusso em grande
parte do livro. Procuramos tornar esse modelo o mais compreensvel
possvel, cobrindo da estratgia gesto dos processos e dos servios de
TI.
20. Introduo 3 Objetivos do livro Os principais objetivos deste
livro so: Conceituar de uma forma mais ampla a Governana de TI;
Apresentar modelos de Governana de TI que possam ser aplicados em
diferentes organizaes e cenrios; Mostrar onde as melhores prticas,
tais como CobiT, ITIL, CMMI, ISO 27001, etc., se encaixam num
processo de Governana de TI, evidenciando sua aplicabilidade;
Apresentar a rea de TI como uma Fbrica de Servios, apoiada por
diversos tipos de Operaes, alinhadas com o negcio; Apresentar a
Governana de TI em cenrios de outsourcing de siste- mas e servios
de TI; Apresentar como se estrutura um programa de Governana de TI
e tambm como ele executado e gerenciado; Apresentar a importncia da
gesto da mudana organizacional como fundamental para a implantao da
Governana de TI na empresa ou instituio; Abordar a Governana de TI
no contexto governamental; Abordar nossa viso sobre Governana de TI
para pequenas e mdias empresas. O livro procura responder s
seguintes indagaes usualmente feitas por parte de executivos de TI:
O que Governana de TI? Como eu alinho a TI ao negcio? Quais as
melhores prticas que mais se adaptam para a minha empresa? Como as
melhores prticas se relacionam? Quais os benefcios das melhores
prticas? O que eu devo exigir dos meus fornecedores em termos de
melhores prticas? Como eu implanto as melhores prticas na minha
empresa?
21. 4 Implantando a Governana de TI 3 edio Estrutura do livro O
livro foi estruturado considerando uma abordagem dedutiva, que uma
caracterstica dos autores, iniciando pela apresentao dos conceitos
e fundamen- tos da Governana deTI e de seus objetivos, domnios e
componentes principais. Logo aps, discutido o impacto que marcos de
regulao externos, tais como Sarbanes-Oxley, Basileia II e outros,
tm sobre a gesto da tecnologia da informao. Grande parte das atenes
dos Chief Information Officers (CIOs) tem sido dedicada a esses
marcos. Em seguida, apresentado um modelo genrico de Governana de
TI, que serve de base para que faamos os encaixes necessrios
relativos s melhores prticas de gesto de TI. A partir desse modelo
genrico, sustentado pelo que denominamos o Ci- clo da Governana de
TI, fazemos um breve resumo de cada uma das me- lhores prticas que
podem ser usadas nas diversas operaes de servios, como sistemas,
segurana da informao, infraestrutura, etc. O livro tambm discute
como conduzir e estruturar a Governana de TI em um ambiente de
outsourcing intensivo ou significativo. Finalizando, entendemos que
cada empresa pode definir sua Governana de TI e que, uma vez tomada
a deciso, a sua implementao um programa composto por diversos
projetos, cuja manuteno e melhoria devem ser siste- mticas e
gerenciadas. Em relao segunda edio, fizemos vrias modificaes, como
os leitores podero observar na estrutura do livro. A seguir,
apresentamos uma sinopse dos captulos. O objetivo do Captulo 1
Governana de TI explorar o significado de Governana de TI,
enumerando os seus objetivos, fatores motivadores e componentes
constituintes, e mostrando como o cenrio de negcios vem in-
fluenciando a melhoria da gesto da tecnologia da informao pelas
empresas. O Captulo 2 Governana Corporativa e Regulamentaes de Com-
pliance mostra onde a TI e sua gesto sofrem impacto da Governana
Cor- porativa, de regulamentaes de compliance externas e internas
(mais precisa- mente do Sarbanes-Oxley Act, do Acordo da Basileia
II e da Resoluo 3380 do Banco Central do Brasil), de sistemas de
controle interno e sistemas de gesto corporativa de riscos.
22. Introduo 5 O Captulo 3 O Modelo de Governana de TI
apresenta um modelo de Governana de TI proposto, que denominamos IT
Governance Extended Model e, baseado no Ciclo da Governana de TI e
nos seus domnios, detalha cada um dos componentes, considerando
questes como alinhamento estra- tgico da TI, plano de tecnologia da
informao, mecanismos de tomada de deciso, etc. O Captulo 4 Os Papis
da Governana de TI na Organizao apre- senta como os papis da
Governana de TI se enquadram nas funes de uma rea de TI, destacando
as responsabilidades e abordagens para instituir meca- nismos de
Governana de TI. O Captulo 5 Modelos de Melhores Prticas e o Modelo
de Gover- nana de TI situa as principais melhores prticas
difundidas no mercado, tais como CMMI, ITIL, CobiT, ISO, PMBOK,
PRINCE2, etc., no modelo de Governana de TI, de uma forma geral e
abrangente. O Captulo 6 Modelos Abrangentes de Governana de TI
apresenta os frameworks Control Objectives for Information and
related Technology Co- biT, Val IT e Risk IT, assim como a norma
ISO/IEC 38500, evidenciando para cada modelo seu objetivo, sua
estrutura, sua aplicabilidade e seus benefcios. O Captulo 7 Modelos
para Gerenciamento de Servios de TI apre- senta, brevemente,
objetivos, estrutura, aplicabilidade e benefcios de mo- delos de
referncia orientados para o Gerenciamento de Servios de TI, tais
como o framework patrocinado pela agncia do governo britnico Office
of Government Commerce OGC, denominado Information Technology
Infras- tructure Library ITIL, a norma ISO/IEC 20000, o CMMI for
Services e o MOF (Microsoft Operations Framework). O Captulo 8
Modelos para Processos de Software apresenta, breve- mente,
objetivos, estrutura, aplicabilidade e benefcios de modelos, tais
como o Capability Maturity Model Integration CMMI, o modelo MR-MPS
e o metamodelo de processos de software representado pela ISO/IEC
12207. O Captulo 9 Modelos para Gerenciamento de Projetos
apresenta, bre- vemente, objetivos, estrutura, aplicabilidade e
benefcios dos modelos patroci- nados pelo PMI (Project Management
Institute) para gerenciamento de projetos (PMBOK), gerenciamento de
programas e gerenciamento de portflio, assim como da metodologia de
gerenciamento de projetos denominada Projects in Controlled
Environments 2 (PRINCE2), patrocinada pela OGC, e do SCRUM.
23. 6 Implantando a Governana de TI 3 edio O Captulo 10
Segurana da Informao aborda as normas mais re- centes sobre
Segurana da Informao, principalmente a ISO/IEC 27001 e a ISO/IEC
17799. O Captulo 11 Modelos para Gerenciamento de Sourcing aborda
principalmente o modelo eSCM eSCM eSourcing Capability Model, tanto
na viso do provedor de servios como na do cliente, e o modelo CMMI
for Acquisition. O Captulo 12 Modelos para Disciplinas
Complementares Gover- nana de TI apresenta os modelos BPM CBOK,
BABOK, Balanced Score- card, Seis Sigma, TOGAF e ISO 9001. O
Captulo 13 Extenses e Derivaes do Conceito de Governana de TI
mostra a aplicao dos conceitos de Governana de TI de forma esten-
dida, para disciplinas como Governana de Processos, Governana SOA e
Governana de Dados. O Captulo 14 Governana de TI para Pequenas e
Mdias Empresas aborda quais devem ser as preocupaes do responsvel
pela rea de TI para implantar os conceitos de Governana de TI em
uma organizao de pequeno ou mdio porte. O Captulo 15 Governana de
TI para Governo aborda os requisitos e o ambiente de governo para a
Governana de TI, discutindo notadamente as implicaes da legislao de
compras do Governo Federal, a Instruo Nor- mativa 04 do Ministrio
de Planejamento e Gesto e os principais acrdos do Tribunal de
Contas da Unio, que tambm impactam na implantao deste conceito em
organizaes governamentais da administrao direta e indireta. O
Captulo 16 Como Implantar a Governana de TI aborda os aspec- tos
tcnicos e organizacionais necessrios implementao de um Programa de
Governana de TI na organizao, considerando a sua estrutura, o seu
pla- nejamento, o seu gerenciamento e a necessidade da gesto da
governana de TI, assim como a importncia do gerenciamento da mudana
organizacional e da demonstrao do valor da TI para o negcio. O
Captulo 17 Estudos de Caso aborda, de forma sinttica, casos de
implantao da Governana de TI em algumas organizaes no Brasil.
24. 11 Governana de TI 1.1 Os fatores motivadores da Governana
de TI A Governana de TI motivada por vrios fatores (embora o senso
comum considere a maior transparncia da administrao como sendo o
principal motivador desse movimento que vemos no ambiente de TI das
organizaes), como podemos observar na Figura 1.1: Figura 1.1
Fatores motivadores da Governana de TI
25. 8 Implantando a Governana de TI 3 edio O ambiente de
negcios no Brasil vem sendo caracterizado por: Intensa competio de
novos entrantes no mercado. Surgimento de produtos e servios
substitutos. Novos concorrentes globais e de baixo custo. Barganha
crescente de fornecedores e clientes. Ciclo de vida cada vez mais
curto para os produtos e servios. Novas ameaas devido maior
internacionalizao da economia. Clientes mais conscientes e
exigentes. Exigncia de maior transparncia nos negcios. Diversidade
dos acionistas. Maior dinamismo dos requerimentos do negcio para
TI. Custo Brasil ainda muito alto. Crescimento econmico do Brasil.
Surgimento de uma nova classe mdia. Integraes tecnolgicas,
caracterizadas por: Integrao das cadeias de suprimento, atravs de
aplicaes de supply- -chain e da infraestrutura de comunicao e
Internet. Integrao entre a gesto da empresa e o seu cho de fbrica,
atravs de aplicaes de Enterprise Resource Planning ERP e de
Manufactu- ring Execution System MES. Integrao entre as funes
administrativas e padronizao dos apli- cativos de back-office no
contexto da empresa, de suas divises e filiais atravs de ERP.
Integrao de redes de distribuio, tanto em termos de aplicativos
como da infraestrutura de comunicao de dados. Integrao dos
processos de desenvolvimento de produtos com os processos de
manufatura, atravs de aplicaes de Product Life Cycle Management e
de Product Data Management. Processos de gesto de clientes
altamente sofisticados, atravs de apli- cativos de Customer
Resource Management.
26. Governana de TI 9 Utilizao de aplicaes de BPM Business
Process Management e ECM Enterprise Content Management como
mecanismos de automao de processos de negcio, integrando em seus
fluxos de trabalho todos os sistemas e reas funcionais da
organizao, tendo como perspectiva os processos de negcio
transversais e a cadeia de valor. Integrao da gesto estratgica com
a gesto ttica e operacional das empresas, atravs de aplicaes de
data warehouse, data mining e de inteligncia organizacional. As
ilhas de sistemas de informao esto terminando. As integraes
tecnolgicas de processos atravs da tecnologia da informa- o
(aplicaes e infraestrutura computacional e de comunicao de dados)
fazem com que o risco que a TI representa para a continuidade do
negcio seja altamente visvel. bvio que tal risco deve ser mitigado
e contingencia- do de uma forma sem precedentes e no imaginada at
ento. Lembramos que grande parte das melhores prticas aplicveis TI
j est disponvel h vrios anos e somente a partir de 2005 os
administradores acor- daram para a necessidade da boa gesto das
atividades de TI. At o mais desavisado dos administradores (aquele
que no entende a TI da sua empresa) j percebeu o risco que para o
seu negcio uma TI mal gerenciada, pois provavelmente j precisou
lidar com um incidente de indis- ponibilidade ou perda de dados de
aplicaes crticas. A segurana da informao impacta a integridade do
negcio: No mundo interligado da Internet, a gesto de TI tambm ficou
mais complexa e a infraestrutura de TI sofre riscos dirios de in-
truso visando o roubo de dados e a disseminao de cdigos maliciosos
e vrus, o que pode afetar, sobremaneira, a operao da empresa.
Conforme o nvel de acesso dos vrios pontos da empresa grande rede,
maior a necessidade de envolver todos os nveis da organiza- o na
questo da gesto da TI e, em especial, na gesto da segurana da
informao.
27. 10 Implantando a Governana de TI 3 edio A dependncia do
negcio em relao TI caracterizada por: Quanto mais as operaes dirias
e as estratgias corporativas chaves dependem da TI, maior o papel
estratgico da TI para a empresa. Conforme a Figura 1.2: Quando a TI
tem alto impacto nas operaes chaves (presente) e alto impacto nas
estratgias chaves (futuro), diz-se que a TI estratgica para o
negcio. Quando a TI tem alto impacto nas operaes chaves e baixo
impacto nas estratgias chaves, tem a conotao de uma Fbrica para o
negcio, ou seja, o dia a dia do negcio depende da TI, mas o seu
futuro no. Quando a TI tem baixo impacto nas operaes chaves e baixo
im- pacto nas estratgias chaves, diz-se que ela est executando
apenas tarefas de suporte, no sendo, do ponto de vista dos
dirigentes, essencial para o negcio. Quando a TI tem baixo impacto
nas operaes chaves e alto im- pacto nas estratgias chaves, diz-se
que ela est exercendo um pa- pel de mudana, ou seja, est apoiando
fortemente o direciona- mento futuro da organizao. Fbrica (melhorar
o desempenho em processos chaves) Estratgico (transformar a
organizao ou indstria) Suporte (melhorar o desempenho local) Mudana
(identificar e lanar novos empreendimentos) IMPACTO DA TI NA
ESTRATGIA CHAVE AltoBaixo AltoBaixo IMPACTODATINASOPERAESCHAVES
Figura 1.2 Impacto estratgico da tecnologia da informao Fonte:
Lynda M. Applegate
28. Governana de TI 11 Marcos de regulao (compliance)
representam restries ao negcio, mas de- vem ser seguidos tendo em
vista sua capacidade de atrao de capital de risco, a um custo mais
baixo, e de gerao de lucros. O Sarbanes-Oxley Act determina que os
relatrios financeiros e con- troles associados tenham fidedignidade
e responsabiliza conjunta- mente diretores e o responsvel pela rea
de finanas por atos lesivos aos acionistas e ao mercado. Isto
significa, para a rea de TI, que os aplicativos transacionais da
empresa, geradores de fatos contbeis e financeiros, devem: Ter
disponibilidade para acesso e emisso de relatrios de resulta- dos
financeiros e contbeis. Armazenar os dados e as informaes de forma
adequada e com segurana. Ter a possibilidade de implementar trilhas
de auditoria e verifica- o de processos. Ter os seus riscos (assim
como os pertinentes infraestrutura) conhecidos e gerenciados. O
Acordo da Basileia II obriga os bancos a desenvolverem metodolo-
gias para a gesto de riscos operacionais e de crdito, a gerenciarem
es- ses riscos e a publicarem essas metodologias em seus relatrios
de resul- tados. Quanto melhores essas metodologias, menor a
necessidade de reserva quanto a perdas e, portanto, maior a
lucratividade do negcio: Especialmente em bancos que apresentam um
alto grau de inte- grao e sofisticao tecnolgica (como no caso dos
bancos brasi- leiros), a TI um dos principais elementos de riscos
operacionais; portanto, o gerenciamento de riscos uma necessidade
que deve estar presente na pauta do dia a dia dos Executivos de
Negcio e dos CIOs dessas instituies. A TI como prestadora de
servios: O que os usurios esperam da TI? Projetos dentro do prazo e
ora- mento, atendimento aos requisitos do negcio, disponibilidade
das aplicaes, disponibilidade da infraestrutura, capacidade para
expan- dir o negcio, rpida resoluo de incidentes e de servios. Tudo
isto requer postura e organizao orientadas prestao de servios.
29. 12 Implantando a Governana de TI 3 edio Em grandes
organizaes brasileiras e multinacionais, est surgindo com bastante
fora a ideia de centros de servios compartilhados, cujo objetivo
centralizar determinadas operaes de TI (e tambm de algumas reas de
negcio), de forma a ganhar escala e prover ser- vios de TI para
vrias unidades ou divises da mesma empresa ou empresas do mesmo
grupo. O mesmo est ocorrendo com os chamados captive centers, que
so centros de servios focados que atendem regies inteiras como, por
exemplo, Amrica Latina, Amricas, etc. Para que conceitos como os de
centros de servios compartilhados e de captive centers funcionem de
forma adequada, so necessrios processos de TI eficazes e
eficientes. Neste contexto, justifica-se a implantao de um Progra-
ma de Governana de TI. 1.2 O que a Governana de TI De acordo com o
IT Governance Institute (2007): A governana de TI de
responsabilidade da alta administrao (incluin- do diretores e
executivos), na liderana, nas estruturas organizacionais e nos
processos que garantem que a TI da empresa sustente e estenda as
estra- tgias e objetivos da organizao. Outra definio dada por Weill
& Ross (2004): Consiste em um ferramental para a especificao
dos direitos de deciso e responsabilidade, visando encorajar
comportamentos desejveis no uso da TI. Para a ISO/IEC 38.500 (ABNT
2009), a Governana de TI o sistema pelo qual o uso atual e futuro
da TI so dirigidos e controlados. Significa ava- liar e direcionar
o uso da TI para dar suporte organizao e monitorar seu uso para
realizar planos. Inclui a estratgia e as polticas de uso da TI
dentro da organizao.
30. Governana de TI 13 Analisando essas definies, podemos
concluir que a Governana de TI, como disciplina, busca o
direcionamento da TI para atender ao negcio e o monitoramento para
verificar a conformidade com o direcionamento tomado pela
administrao da organizao. Portanto, a Governana de TI no somente a
implantao de mode- los de melhores prticas, tais como CobiT, ITIL,
CMMI, etc. Ainda dentro dessa tica, a Governana de TI deve:
Promover o alinhamento da TI ao negcio (suas estratgias e objeti-
vos), tanto no que diz respeito a aplicaes como infraestrutura de
servios de TI. Promover a implantao de mecanismos que garantam a
continuida- de do negcio contra interrupes e falhas (manter e gerir
as aplica- es e a infraestrutura de servios). Promover, juntamente
com reas de controle interno, compliance e gesto de riscos, o
alinhamento da TI a marcos de regulao externos como a
Sarbanes-Oxley (empresas que possuem aes ou ttulos, pa- pis sendo
negociados em bolsas de valores norte-americanas), Basi- leia II
(no caso de bancos) e outras normas. Entretanto, a viso de
Governana de TI que sugerimos vai alm dessas de- finies e pode ser
representada pelo que chamamos de Ciclo da Governan- a de TI,
composto por quatro grandes etapas: (1) alinhamento estratgico e
compliance, (2) deciso, (3) estrutura e processos e (4) gesto do
valor e do desempenho. A Figura 1.3, a seguir, apresenta este
ciclo. Figura 1.3 O ciclo da Governana de TI
31. 14 Implantando a Governana de TI 3 edio O alinhamento
estratgico e compliance refere-se ao planejamento estrat- gico da
tecnologia da informao que leva em considerao as estratgias da em-
presa para seus vrios produtos e segmentos de atuao, assim como os
requisitos de compliance externos, tais como o Sarbanes-Oxley Act e
o Acordo da Basileia. A etapa de deciso, compromisso, priorizao e
alocao de recursos refere-se s responsabilidades pelas decises
relativas TI em termos de: arqui- tetura de TI, servios de
infraestrutura, investimentos, necessidades de apli- caes, etc.,
assim como definio dos mecanismos de deciso, ou seja, em que fruns
da empresa so tomadas essas decises. Adicionalmente, trata da
obteno do envolvimento dos tomadores de deciso chaves da organizao,
assim como da definio de prioridades de projetos e servios e da
alocao efetiva de recursos monetrios no contexto de um portflio de
TI. A etapa de estrutura, processos, operaes e gesto refere-se
estrutura organizacional e funcional de TI, aos processos de gesto
e operao dos pro- dutos e servios de TI, alinhados com as
necessidades estratgicas e operacio- nais da empresa. Nesta fase so
definidas ou redefinidas as operaes de siste- mas, infraestrutura,
suporte tcnico, segurana da informao, governana de TI e outras
funes auxiliares ao CIO, etc. A etapa de gesto do valor e do
desempenho refere-se determinao, coleta e gerao de indicadores de
resultados dos processos, produtos e ser- vios de TI, sua
contribuio para as estratgias e objetivos do negcio e demonstrao do
valor da TI para o negcio. 1.3 Objetivos da Governana de TI O
principal objetivo da Governana de TI alinhar a TI aos requisitos
do ne- gcio, considerando solues de apoio ao negcio, assim como a
garantia da con- tinuidade dos servios e a minimizao da exposio do
negcio aos riscos de TI. Desdobrando este objetivo principal,
podemos identificar outros objetivos da Governana de TI: Promover o
posicionamento mais claro e consistente da TI em rela- o s demais
reas de negcios da empresa:
32. Governana de TI 15 Isto significa que a TI deve entender as
estratgias do negcio e traduzi-las em planos para sistemas,
aplicaes, solues, estrutu- ra organizacional, processos e
infraestrutura, desenvolvimento de competncias, estratgias de
sourcing e de segurana da informa- o, etc. Promover o alinhamento e
a priorizao das iniciativas de TI com a estratgia do negcio: Isto
significa que o que foi planejado para acontecer deve ser prio-
rizado, tendo em vista as prioridades do negcio e as restries de
capital de investimento. A priorizao gera um portflio de TI que faz
a ligao entre a estratgia e as aes do dia a dia. Promover o
alinhamento da arquitetura de TI, sua infraestrutura e aplicaes s
necessidades do negcio, em termos de presente e futuro: Isto
significa implantar os projetos e servios planejados e priori-
zados. Promover a implantao e melhoria dos processos operacionais e
de gesto necessrios para atender aos servios de TI, conforme padres
que atendam s necessidades do negcio: A execuo dos projetos e
servios de TI deve ser realizada de acordo com processos
operacionais (execuo propriamente dita) e de gesto (planejamento,
controle, avaliao e melhoria), que devem estar inseridos em uma
estrutura organizacional, que, por sua vez, deve conter competncias
em pessoas e ativos usados para operar os processos. Prover a TI da
estrutura de processos que possibilite a gesto do seu risco e
compliance para a continuidade operacional da empresa: Os processos
definidos, tanto operacionais como gerenciais, de- vem considerar a
mitigao de riscos para o negcio (por exem- plo: processos de
segurana da informao, gesto de dados e apli- caes, etc.). Promover
o emprego de regras claras para as responsabilidades sobre decises
e aes relativas TI no mbito da empresa: Isto significa identificar
as responsabilidades sobre decises acerca de princpios de TI,
arquitetura de TI, infraestrutura de TI, ne- cessidades de
aplicaes, investimentos, segurana da informao, estratgia de
fornecedores e parcerias, alm de colocar em funcio- namento um
modelo de tomada de deciso correspondente.
33. 16 Implantando a Governana de TI 3 edio 1.4 Componentes da
Governana de TI A Governana de TI compreende vrios mecanismos e
componentes que, logicamente integrados, permitem o desdobramento
da estratgia de TI at a operao dos produtos e servios correlatos. A
Figura 1.4 mostra os componentes da Governana de TI dentro de cada
etapa (ou domnio). ALINHAMENTO ESTRATGICO E COMPLIANCE DECISO,
COMPROMISSO, PRIORIZAO E ALOCAO DE RECURSOS ESTRUTURA, PROCESSOS,
OPERAO E GESTO GESTO DO VALOR E DO DESEMPENHO Alinhamento
estratgico Princpios de TI Necessidades de aplicaes Arquitetura de
TI Infraestrutura de TI Objetivos de desempenho Capacidade Sourcing
Segurana da informao Competncias Processos e organizao Plano de TI
Mecanismos de deciso Portfolio de TI Projetos Relacionamento com
usurios Relacionamento com fornecedores Gesto do desempenho da TI
DOMNIOS E COMPONENTES DA GOVERNANA DE TI Gesto do valor da TI
Servios Inovaes Critrios de priorizao Gesto da demanda Figura 1.4
Os domnios e componentes da Governana de TI 1.4.1 Os componentes da
etapa de alinhamento estratgico e compliance O processo de
alinhamento estratgico da tecnologia da informao pro- cura
determinar qual deve ser o alinhamento da TI em termos da
arquitetura, infraestrutura, aplicaes, processos e organizao com as
necessidades pre- sentes e futuras do negcio. Este processo
executado no contexto do Plano de Tecnologia da Informao.
34. Governana de TI 17 Princpios de TI so regras que todos
devem seguir, no mbito da empresa, e que subsidiam tomadas de
deciso acerca da arquitetura de TI, infraestru- tura de TI, aquisio
e desenvolvimento de aplicaes, uso de padres, gesto dos ativos de
TI, etc. A gesto da demanda diz respeito anlise da dinmica do
negcio, em termos de padres de atividades do negcio que indicam
necessidades de no- vos servios, melhoria dos servios existentes,
necessidade de mais capacidade em sistemas e infraestrutura,
necessidades de inovao em negcios e tecnolo- gia e assim
sucessivamente. As necessidades de aplicaes dizem respeito s
aplicaes de TI que so necessrias para atender continuidade e s
estratgias do negcio. Determinam tambm quais aplicaes devero ser
mantidas, melhoradas, substitudas e implantadas. Neste contexto,
podem ser consideradas como aplicaes: Sistemas transacionais.
Sistemas de gesto. Aplicaes de business intelligence. Dispositivos
de segurana na captura de transaes. Sistemas de controle de risco.
Novos tipos de POS. Aplicao de tecnologias de reconhecimento
biomtrico. Aplicaes de RFDI (Radio-Frequency IDentification), etc.
De acordo com Weill & Ross (2004), arquitetura de TI : a
organizao lgica para dados, aplicaes e infraestrutura, representada
por um conjunto de polticas, relacionamentos e escolhas tcnicas
para buscar a integrao de- sejada do negcio e da integrao e
padronizao tcnica. A arquitetura foca na padronizao de processos,
dados e tecnologia de aplicaes e derivada dos princpios de TI, os
quais so reflexos das estrat- gias de negcio e dos valores e credos
da organizao. A infraestrutura de TI, ainda de acordo com Weill
& Ross (2004), : a fundao da capacidade planejada de TI (tanto
tcnica como humana) dis-
35. 18 Implantando a Governana de TI 3 edio ponvel no mbito de
toda a organizao como servios compartilhados e confiveis e usados
por mltiplas aplicaes. A infraestrutura de TI liga a empresa a seus
parceiros e fornecedores, assim como a infraestruturas externas,
tais como bancos, redes privadas e Internet, e define: Os servios
de TI requeridos pelo negcio em termos de gesto de dados,
comunicaes, gesto de ativos de TI, gesto da infraestru- tura,
segurana da informao, padres de interfaces, educao em TI, etc. Como
esses recursos estaro dispostos na organizao. Os recursos
computacionais requeridos para apoiar o negcio. Os objetivos de
desempenho direcionam a administrao da TI para aten- der a metas de
desempenho compatveis com os objetivos traados para a prestao dos
servios, enquanto os nveis de servio so acordos estabelecidos com
os clientes internos da empresa. Tanto os objetivos como os nveis
de servio orientam a administrao da TI, o controle do dia a dia e
tambm a forma como, a partir dos indicadores, podem ser realizadas
as melhorias e at mesmo a reengenharia de processos. A capacidade
de atendimento da TI define a quantidade de recursos huma- nos
necessrios para atender demanda por sistemas e servios, assim como
a quantidade de recursos computacionais necessrios, indicando se a
infraes- trutura atual tem ou no condies de atend-la. A estratgia
de sourcing de servios deve decidir sobre: O que passar para o
sourcing. Como fazer o sourcing. Como escolher a melhor alternativa
de parceria. Como gerenciar os servios do sourcing. Como gerenciar
o desempenho dos fornecedores ou prestadores de servios. Como fazer
a transio de um modelo de operao para outro. Como fazer a
transferncia de um fornecedor para outro, etc.
36. Governana de TI 19 A poltica de segurana da informao
consiste na determinao de diretri- zes e aes referentes segurana
dos aplicativos, da infraestrutura, dos dados, pessoas e organizaes
(fornecedores e parceiros). Competncias so as habilidades e os
conhecimentos necessrios para o desenvolvimento e a implantao das
iniciativas de TI e que estaro presentes na estrutura
organizacional e nos processos de servios de TI. Processos e
organizao apresentam a forma como os servios e produtos da TI sero
desenvolvidos, gerenciados e entregues aos usurios e clientes e
como a TI deve se organizar em termos funcionais. O Plano de
Tecnologia da Informao consiste no principal produto do processo de
alinhamento estratgico e deve contemplar informaes sobre: Princpios
de TI. Arquitetura de TI. Infraestrutura de TI. Necessidades de
aplicaes. Objetivos de desempenho e nveis de servio e metas.
Capacidade requerida de atendimento em relao a recursos huma- nos e
infraestrutura. Organizao das operaes de servios de TI. Estratgia
para fornecedores de servios. Competncias requeridas. Polticas de
segurana da informao. Investimentos e custeio. Roadmap de TI. O
plano incorpora elementos que, uma vez documentados, permitem uma
comunicao clara dos objetivos, produtos e servios de TI para todos
na or- ganizao, conforme mostra a Figura 1.5.
37. 20 Implantando a Governana de TI 3 edio Arquitetura de TI
Organizao das Operaes de Servios Polticas de Segurana da Informao
Necessidades de Aplicaes Estratgia de Fornecedores de Servios Plano
de Tecnologia da Informao Princpios de TI Infraestrutura de TI
Investimentos Capacidade de Atendimento Competncias Figura 1.5
Componentes do Plano de Tecnologia da Informao 1.4.2 Os componentes
da etapa de Deciso, Compromisso, Priorizao e Alocao de Recursos Os
mecanismos de deciso definem quem decide o qu em relao TI dentro da
organizao em termos de: Princpios de TI. Arquitetura da informao.
Infraestrutura de TI. Prioridades de aplicaes. Investimentos em
aplicaes e infraestrutura. Poltica de segurana da informao.
Estratgia de sourcing, etc. Critrios de deciso so fundamentais para
a priorizao de investimentos e devem ser eminentemente
institucionais, de forma que a Alta Administrao
38. Governana de TI 21 possa decidir onde colocar o dinheiro,
muito provavelmente alinhado aos objetivos e metas do negcio. O
portflio de TI uma metodologia para a priorizao dos investimentos
de TI com base no retorno de projetos e ativos para a organizao e
no seu alinhamento com os objetivos estratgicos do negcio. Alm do
mais, o portflio de projetos: Torna claras as regras de priorizao
de projetos e ativos. Faz com que a Administrao saiba onde deve
investir. 1.4.3 Os componentes da etapa de Estrutura, Processos,
Organizao e Gesto Os projetos alocados (nos quais a TI no o gestor)
ou sob responsabilidade de TI so planejados, executados,
gerenciados e implantados. So projetos de implantao de sistemas
integrados de gesto, desenvolvimento e manu- teno de sistemas,
infraestrutura, arquitetura, segurana da informao, im- plantao de
processos de TI, etc. Os servios so operaes onde acontece o
atendimento da TI1 no forneci- mento de servios aos usurios,
gestores e, possivelmente, clientes da organi- zao, fornecedores,
parceiros, etc. Nesta etapa um conjunto de atividades operacionais
e gerenciais regido por processos de TI, oriundos de melhores
prticas, inserido em funes or- ganizacionais no contexto de uma
diviso de trabalho. As principais operaes de servios de TI so:
Operaes de sistemas: contemplam desenvolvimento e manuteno de
sistemas. Operaes de suporte tcnico: contemplam atendimento a
usurios no uso dos softwares e infraestrutura da instalao. Operaes
de infraestrutura: contemplam servios de infraestrutura de TI,
suporte de TI, gesto de ativos de software, entrega de servios e
suporte a servios. 1 O conceito de servios adotado por ns mais
amplo, abrangendo todos os servios de TI, desde o atendimento a uma
solicitao de manuteno de sistemas ou um novo projeto de sistemas at
os servios associados infraestrutura de TI.
39. 22 Implantando a Governana de TI 3 edio Operaes de segurana
da informao: contemplam servios de plane- jamento da segurana da
informao e o monitoramento dirio de riscos ao ambiente
computacional da organizao e a seus dados, bem como atividades de
conscientizao, treinamento e educao para a segurana. Operaes de
suporte ao CIO: contemplam atividades de planeja- mento da TI,
oramento da TI, gerenciamento de contratos, geren- ciamento de
fornecedores, escritrio de projetos e inovao tecnol- gica para
negcios, etc. Operaes de Governana de TI: contemplam atividades
para a pro- moo da implantao das melhores prticas na execuo dos
servios deTI, seu planejamento, monitoramento, gesto e melhoria
contnua. Operaes de processos: consiste em projetos de elaborao,
melhoria e implantao de processos de negcio e tambm o desenho de
inova- es nos processos de negcio. Operaes de arquitetura de TI:
consiste em atividades de planeja- mento e definio de arquiteturas
de TI, notadamente de software, infraestrutura tecnolgica e de
aplicaes e de servios. Outras operaes: servios de garantia da
qualidade, grupo de enge- nharia de software, grupo de
gerenciamento da configurao, grupo de novas tecnologias e outras
que dependem do tipo da operao requerida pela organizao, comuns em
empresas que trabalham com vrios produtos do tipo informao
intensiva, como o caso das instituies financeiras. A implantao de
inovaes ocorre tanto no nvel dos processos de negcio (nova forma de
executar um processo de negcio de forma mais diferenciada ou com
menor custo, comparativamente concorrncia, agregando mais va- lor
na percepo do cliente) como na tecnologia aplicada aos servios
como, por exemplo, inovaes em deteco de intruso na rede e inovaes
aplicadas na automao de processos de negcio, como o reconhecimento
biomtrico. O relacionamento com o cliente trata da interao dos
usurios internos ou externos com a rea de TI, abrangendo processos
que devem definir: Como o cliente solicita o servio. Quem pode
solicitar o servio. Como os servios so avaliados.
40. Governana de TI 23 Quais os canais de comunicao. Como as
responsabilidades so atribudas em projetos, entre os usu- rios e a
TI. Como a TI capacitada para atender aos usurios e ao negcio e
como os usurios so capacitados sobre o uso da TI. Como os projetos
so desenvolvidos em conjunto com o cliente, etc. O relacionamento
com os fornecedores, analogamente ao modelo de re- lacionamento com
o cliente, trata dos seguintes aspectos da operao de TI: Como as
solicitaes so encaminhadas para os fornecedores. Como o fornecedor
responde solicitao. Como os Acordos de Nveis Operacionais2 e
Contratos de Apoio3 so controlados. Como a qualidade dos servios
avaliada e melhorada. Como o desempenho do fornecedor controlado,
etc. 1.4.4 O componente da etapa de Gesto do Valor e do Desempenho
da TI A gesto do valor da TI refere-se s atividades conduzidas para
que a TI demonstre o seu valor para o negcio em termos de custos
relativos, transfor- mao do negcio e apoio estratgia do negcio e as
medies decorrentes. A gesto do desempenho refere-se ao
monitoramento dos objetivos de de- sempenho das operaes de servios
em termos de desenvolvimento de apli- caes, suporte a servios,
entrega de servios, segurana da informao e o seu monitoramento,
assim como dos acordos de nveis de servio, acordos de nveis
operacionais e nveis de servios dos contratos de apoio. 2 Em ingls,
os acordos de nveis operacionais so conhecidos pela sigla OLA
(Operational Level Agreements) que compreendem os acordos de nveis
de servio entre as reas de TI e entre esta e as reas de suprimento
e contratos da empresa. 3 Contratos de apoio so realizados com
fornecedores externos de servios e so conhecidos como UC
(Underpinning Contracts).
41. 22 Governana Corporativa e Regulamentaes de Compliance Como
vimos no incio deste livro, a TI deve atender s necessidades do
negcio e tambm a marcos de regulao externos. Em organizaes que
apresentam um grau de Governana Corporativa mais avanada, a
Governana de TI tem grande interao com sistemas de controle interno
e de gesto de riscos corporativos. Dependendo do negcio, existem
vrios marcos reguladores. Por exemplo, uma empresa de
telecomunicaes no Brasil deve atender a uma srie de instru- mentos
regulatrios provenientes da Anatel. O mesmo ocorre com os bancos,
em relao s normas do Banco Central ou com as organizaes que possuem
aes na BMF-Bovespa, em relao s normas da Comisso de Valores
Mobilirios. De qualquer forma, essas regulamentaes geralmente so
transformadas em objetivos e entidades de controle no contexto da
Governana Corporativa. 2.1 Governana Corporativa e a ligao com a
Governana de TI De acordo com o Instituto Brasileiro de Governana
Corporativa IBGC (2009), a Governana Corporativa consiste: no
sistema pelo qual as sociedades so dirigidas, monitoradas e
incentivadas, envolvendo o relacionamento entre proprietrios,
Conselho de Administra- o, Diretoria e rgos de controle interno. As
boas prticas de governana corporativa convertem princpios em
recomendaes objetivas alinhando interesses com a finalidade de
preservar e otimizar o valor da organizao, facilitando seu acesso
ao capital e contribuindo para a sua longevidade.
42. Governana Corporativa e Regulamentaes de Compliance 25 Os
princpios da Governana Corporativa, ainda de acordo com IBGC (2009)
so: Transparncia: obrigao e desejo de informar resultados e aes.
Equidade: tratamento igual para todos os acionistas. Prestao de
contas: os agentes da governana corporativa prestam contas e so
responsveis pelos seus atos e omisses. Responsabilidade
corporativa: os agentes de governana devem ze- lar pela
sustentabilidade das organizaes, visando a sua longevidade,
incorporando consideraes de ordem social e ambiental na definio dos
negcios e operaes. A figura 2.1 apresenta, de acordo com o IBGC, o
Sistema de Governana Corporativa. Conselho de Famlia Governana
Scios Conselho de Administrao Auditoria Independente Conselho
Fiscal Comit de Auditoria Diretor-Presidente Diretores Auditoria
Interna Comits Gesto Administradores Figura 2.1 Sistema de
Governana Corporativa Adaptado de IBGC (2009)
43. 26 Implantando a Governana de TI 3 edio Para garantir que
os princpios da Governana Corporativa sejam efetivos, seja por sua
vontade expressa ou requerida face ao ambiente regulatrio em que se
encontra, as organizaes lanam mo de modelos de controle interno e
gesto de risco. O principal modelo norteador da estruturao de
sistemas de contro- les internos e de gesto de risco o COSO - The
Committee of Sponsoring Organizations of the Treadway Commission
(Comit das Organizaes Pa- trocinadoras). O COSO uma entidade sem
fins lucrativos dedicada melhoria dos rela- trios financeiros
atravs da tica, efetividade dos controles internos e gover- nana
corporativa, que foi criada por iniciativa do setor privado para
estudar as causas de ocorrncias de fraudes em relatrios financeiros
e contbeis e desenvolver recomendaes para empresas de capital
aberto e para instituies de ensino. Em 1992, o COSO publicou um
trabalho intitulado Internal Control Integrated Framework (Controle
Interno Um Modelo Integrado), que se tornou referncia para as
organizaes do mundo todo para que as elas estru- turem seus
sistemas de controle interno. De acordo com o COSO, o controle
interno um processo efetuado pelo conselho de administrao,
executivos ou qualquer outro funcionrio de uma organizao, com a
finalidade de possibilitar o mximo de garantia nas se- guintes
categorias de objetivos: Eficincia e eficcia das operaes:
salvaguarda de seus ativos e pre- veno e deteco de fraudes e erros.
Confiabilidade das demonstraes financeiras: exatido, integrida- de
e confiabilidade dos registros financeiros e contbeis. Conformidade
com as leis e regulamentos vigentes: aderncia s normas
administrativas, s polticas da empresa e legislao qual est
subordinada. Em 2001, o COSO iniciou um projeto para a determinao
de um mo- delo de Risco Corporativo, que resultou no documento
intitulado Enterprise Risk Management Framework, ampliando o
alcance dos controles internos e definindo processos para o
gerenciamento de riscos corporativos.
44. Governana Corporativa e Regulamentaes de Compliance 27 A
figura 2.2 mostra como esses sistemas de controle e risco e de
direitos de- cisrios da Governana Corporativa criam as restries de
operao dos servios e projetos de TI. Por exemplo, supondo que o
sistema de controle de riscos aponta que um risco no haver um mtodo
de gerenciamento de projetos de TI; a TI deve ento implementar este
mtodo (controle interno), em relao ao qual o sistema de controle
interno ir verificar a aderncia periodicamente, ou seja, realizar
uma auditoria para verificar se os projetos esto aplicando, de
fato, o mtodo. Comits Corporativos (Direitos Decisrios) Sistema de
Controle Interno (Auditorias) Sistema de Gesto de Riscos GOVERNANA
DE TI Governana Corporativa Decises sobre Polticas e Investimentos
em TI Auditorias em Controles de TI Monitoramento dos Riscos de TI
Projetos de TI Servios de TI Controles de TI Processos de TI Figura
2.2 Integrao Governana Corporativa x Governana de TI Neste
contexto, h dois regulamentos bastante fortes, que tm dado um
grande poder de fogo s reas de controle interno da maioria das
organiza- es: o Sarbanes-Oxley Act e o Acordo da Basileia II. O
primeiro atinge empresas de capital aberto e que tm aes nas bolsas
de valores norte-americanas. No Brasil, atinge algumas empresas de
capital majoritariamente nacional e as subsidirias de empresas
transnacionais. A segunda atinge instituies financeiras de uma
forma geral. uma regu- lamentao patrocinada pelo Bank for
International Settlements ou BIS, que
45. 28 Implantando a Governana de TI 3 edio seria o Banco
Central dos Bancos Centrais, com sede na cidade de Basileia, na
Sua. A partir dela, as autoridades bancrias principais de vrios
pases criaram modelos derivados (no caso do Banco Central do
Brasil, temos a Re- soluo 3380, tambm abordada neste captulo).
Ambas as regulamentaes tm forte impacto na rea de TI e fazem parte
do nosso modelo de Governana de TI, pois, dependendo da organizao,
devem ser contempladas pelo alinhamento estratgico. Seu atendimento
se re- veste de vrios projetos constantes do portflio de TI, que vo
criar restries s operaes de servios de TI. Agora vamos explorar um
pouco mais as implicaes desses marcos de regulao externos. 2.2
Entendendo as implicaes do Sarbanes- Oxley Act 2.2.1 O que o
Sarbanes-Oxley Act e qual a sua finalidade Os motivadores do
Sarbanes-Oxley Act (vide Sarbanes & Oxley 2002), como conhecido
no mundo dos negcios, foram os escndalos financei- ros acontecidos
em companhias abertas nos Estados Unidos, como a Enron e outras,
que minaram a confiana dos investidores no mercado de capital
americano (em especial dos que investiam em aes dessas companhias
nas bolsas de valores). Para quem no sabe, a bolsa de valores o
principal meio de investimento da maioria das famlias
norte-americanas. Portanto, manter a credibilidade do sistema vital
para os legisladores americanos e para os responsveis pela conduo
econmica dos Estados Unidos. Os objetivos principais dessa lei so
proteger os investidores do mercado de capitais americano de
fraudes contbeis e financeiras de companhias abertas, assim como
instituir uma srie de penalidades contra crimes relacionados. Seu
foco sobre controles internos sobre relatrios financeiros. De
acordo com Ramos (2004): O termo controle interno sobre relatrios
financeiros definido como o processo projetado por ou sob a
superviso do principal executivo e do
46. Governana Corporativa e Regulamentaes de Compliance 29
principal responsvel por finanas do emitente, ou pessoas que
desempe- nham funes sim