Professional Documents
Culture Documents
• Marcelo Nascimento
• Paulo Rogério
• Tiago Macedo
Governança de TI
Conceito:
Governança de TI:A especificação dos direitos decisórios e do framework de responsabilidades para
estimular comportamentos desejáveis na ultilização da TI.
O Equívoco
Grandes equívocos de definição tem ocorrido freqüentemente, onde se conceitua GTI como um painel
de indicadores, ou como um processo de gestão de portfólio dos projetos estratégicos.
Conceito de que com a implementação de alguns processos baseados em apenas uma das melhores
práticas ou modelos (como Balanced Scoredcards (BSC), CobiT, ou ITIL) por si só, garantem a
Governança, entretanto este conceito está incorreto.
Conceito:
“Governança de TI é um conjunto de práticas, padrões e relacionamentos estruturados, assumidos por
executivos, gestores, técnicos e usuários de TI de uma organização, com a finalidade de garantir
controles efetivos, ampliar os processos de segurança, minimizar os riscos, ampliar o desempenho,
otimizar a aplicação de recursos, reduzir os custos, suportar as melhores decisões e conseqüentemente
alinhar TI aos negócios.”
Dentro destes conceitos, uma GOVERNANÇA DE TI eficaz deve tratar de três questões:
1. Quais decisões devem ser tomadas para garantir a gestão e o uso eficaz de TI?
2. Quem deve tomar essas decisões?
3. Como essas decisões serão tomadas e monitoradas?
Monarquia de Negócio
Os altos executivos de negócios tomam decisões de TI que afetam a empresa como um todo.
Tipicamente, as Monarquias de Negócios aceitam contribuições de muitas fontes para as decisões-
chave. Por exemplo, decisões de investimentos em TI recebem contribuições dos subordinados diretos
do CIO (chief Information Officer – Gestor de TI), dos líderes de TI das unidades de negócios, do
processo de gestão de orçamento da empresa, e etc.
Monarquia de TI
Profissionais de Tecnologia da Informação tomam as decisões de TI. As empresas implementam
monarquia de TI de muitas maneiras diferentes. Um exemplo é um grupo de arquitetura de TI com
representações de todas as regiões, de todas as unidades de negócios estratégicas que propõe “regras”
de arquitetura para a equipe da alta gerência de TI formada pelo CIO corporativo e pelos CIOs das
maiores unidades de negócios. Essa equipe é responsável pela clareza dessas regras e detém o poder
de impor as normas de arquitetura de TI.
Feudalismo
Baseado nas tradições da Inglaterra feudal, onde os príncipes e as princesas ou os cavaleiros por eles
escolhidos, tomavam suas próprias decisões otimizando suas necessidades locais. No caso da
Governança de TI a entidade feudal é tipicamente a unidade de negócio, a região ou a função.
De modo geral, esse modelo não se mostrou muito comum, porque a maioria das empresas estava em
busca de sinergia (inter-relação) entre as unidades de negócio.
Esse modelo não facilita a tomada de decisão da empresa como um todo.
Federalismo
Esse modelo tem uma longa tradição nos governos. Arranjos federalistas tentam equilibrar as
responsabilidades e cobranças de múltiplos órgãos de governo, como país e estados. Sua utilidade está
em negociar tanto os interesses da organização central (tipicamente a sede) como também os interesses
das unidades de negócios.
Os representantes das unidades no modelo federalista podem ser os seus líderes ou os detentores de
processos de negócios. Líderes de TI em nível corporativo e/ou das unidades de negócios também
podem envolver-se como participantes adicionais.
Este modelo é, sem dúvida, o mais difícil arquétipo para a tomada de decisões, pois os líderes das
empresas tem preocupações diferentes das dos líderes de unidades de negócios.
Geralmente, as unidades de negócios maiores e mais poderosas ganham mais atenção e tem maior
influência sobre as decisões. Consequentemente, as unidades menores estão sempre insatisfeitas e por
vezes se separam da união para atender suas próprias necessidades.
As empresas que adotam estruturas de governança federalista costumam fazer uso de equipes
administrativas e comitês executivos para resolver conflitos inerentes.
Duopólio de TI
É um arranjo entre duas partes e as decisões representam um consenso bilateral entre executivos de TI
e algum outro grupo.
O duopólio difere do federalismo no sentido de que o arranjo federalista tem sempre representação
tanto corporativa como local, ao passo que o duopólio tem uma ou outra, mas nunca as duas
representações, e inclui, invariavelmente, profissionais de TI.
Mais de um terço das 256 empresas consultadas utilizava duopólios nos processos de decisões nos três
domínios menos técnicos da TI: os princípios de TI, as necessidades de aplicações de negócios e os
investimentos em TI. Duopólios também eram frequentemente utilizados para prover contribuições a
decisões sobre arquitetura e infra-estrutura.
Anarquia
Numa anarquia, indivíduos ou pequenos grupos tomam suas próprias decisões com base somente em
suas necessidades locais. As anarquias são a ruína de muitos grupos de TI, sendo caras de sustentar e
preservar. Anarquias formalmente sancionadas são raras, mas aparecem nos casos em que se observa
especificamente um cliente individual.
Princípios de Liderança para a Governança de TI
EIS AQUI ALGUNS SINTOMAS COMUNS DE UMA GOVERNANÇA QUE NÃO FUNCIONA
Quanto mais administradores em posições de liderança forem capazes de descrever com precisão a
Governança de TI, melhor será o desempenho da governança. Em especial, eles sabem quais decisões
são tomadas pela área de TI e quais decisões lhe cabem tomar.
Se os administradores não conseguirem descrever a Governança de TI, como poderão segui-la? Se
menos de 50% dos administradores em posição de liderança forem capazes de descrever com precisão
a governança de TI e o número não estiver aumentando mês a mês, a governança é um problema.
• Outros mecanismos:
1. Comitê administrativo executivo ou sênior
2. Comitê de liderança de TI, compreendendo executivos de TI
3. Equipes de processo com membros de TI
4. Gerentes de relacionamento entre negócios e TI
5. Conselho de TI, compreendendo executivos de negócios e TI
6. Comitê de arquitetura
7. Comitê de aprovação de capital
8. Acompanhamento de projetos de TI e recursos consumidos
9. Acordos de nível de serviço
10. Rastreamento formal do valor de negócio da TI
11. Arranjos de cobrança reversa
12. Trabalho com gerentes que não seguem as regras
13. Comunicados da alta gerência
14. Escritório do CIO ou escritório da governança de TI
15. Portais Web e intranets para TI
1. O desenvolvimento de aplicações deve ser apresentado aos usuários por meio de um portal
comum, e, quando necessários, os dados devem ser compartilhados entre as unidades de
negócio.
2. A Carlson terá uma infra-estrutura de Ti compartilhada
Até o momento, houve poucas pesquisas com base experimental, revelando quais arranjos de
governança funcionam melhor e, ainda, compreendendo o que funciona melhor em geral, assim como
os objetivos específicos de desempenho que determinam o modelo de governança. Os princípios
decorrem da mensuração do desempenho financeiro e de governança numa grande amostra de
empresas e da análise quantitativa e qualitativa sobre quais arranjos funcionam melhor. O Conjunto
resultante de melhores práticas provê idéias sobre quais dos seis arquétipos de governança
(monarquias de negócios e de Ti, feudalismo, duopólio, federalismo ou anarquia) melhor suportam
cada uma das cinco decisões-chave de TI (princípios, infre-estrutura, arquitetura, necessidades de
aplicações de negócios e investimentos em TI). É possível empregar os princípios gerais de
governança resultantes como um fator que, juntamente com questões estratégicas, organizacionais e
culturais mais específicas da empresa, ajudará a conceber a governança de TI otimal para as suas
empresas.
Três perguntas capturam idealmente essas idéias:
• Lucros: retorno sobre o patrimônio líquido (ROE), retorno sobre investimentos (ROI),
margem percentual de lucro.
Descobrimos que as empresas líderes em sua indústria em cada uma dessas três dimensões de
desempenho governavam diversamente das outras empresas.
COBIT
Introdução
Atualmente, é impossível imaginar uma empresa sem uma forte área de sistemas de
informações (TI), para manipular os dados operacionais e prover informações gerenciais
aos executivos para tomadas de decisões. A criação e manutenção de uma infra-estrutura de TI,
incluindo profissionais especializados requerem altos investimentos. Algumas vezes a alta direção da
empresa coloca restrições aos investimentos de TI por duvidarem dos reais benefícios da tecnologia.
Entretanto, a ausência de investimentos em TI pode ser o fator chave para o fracasso de um
empreendimento em mercados cada vez mais competitivos.
Por outro lado, alguns gestores de TI não possuem habilidade para demonstrar os riscos
associados ao negócio sem os corretos investimentos em TI. Para melhorar o processo de análise de
riscos e tomada de decisão é necessário um processo estruturado para gerenciar e controlar as
iniciativas de TI nas empresas, para garantir o retorno de investimentos e adição de melhorias nos
processos empresariais. Esse novo movimento é conhecido como Governança em TI, ou "IT
Governance".
O termo "IT governance" é definido como uma estrutura de relações e processos que dirige e controla
uma organização a fim de atingir seu objetivo de adicionar valor ao negócio através do gerenciamento
balanceado do risco com o retorno do investimento de TI.
Para muitas organizações, a informação e a tecnologia que suportam o negócio representa o seu mais
valioso recurso. Além disso, num ambiente de negócios altamente competitivo e dinâmico é requerido
uma excelente habilidade gerencial, onde TI deve suportar as tomadas de decisão de forma rápida,
constante e com custos cada vez mais baixos.
Não existem dúvidas sobre o benefício da tecnologia aplicada aos negócios. Entretanto,
para serem bem sucedidas, as organizações devem compreender e controlar os riscos
associados no uso das novas tecnologias. O CobiT (Control Objectives for Information and related
Technology) é uma ferramenta eficiente para auxiliar o gerenciamento e controle das iniciativas de TI
nas empresas.
O que o CobiT?
O CobiT é um guia para a gestão de TI recomendado pelo ISACF (Information Systems
Audit and Control Foundation, www.isaca.org). O CobiT inclui recursos tais como um
sumário executivo, um framework, controle de objetivos, mapas de auditoria, um conjunto de
ferramentas de implementação e um guia com técnicas de gerenciamento. As práticas de gestão do
CobiT são recomendadas pelos peritos em gestão de TI que ajudam a otimizar os investimentos de TI
e fornecem métricas para avaliação dos resultados. O CobiT independe das plataformas de TI
adotadas nas empresas.
O CobiT é orientado ao negócio. Fornece informações detalhadas para gerenciar processos baseados
em objetivos de negócios. O CobiT é projetado para auxiliar três audiências distintas:
Gerentes que necessitam avaliar o risco e controlar os investimentos de TI em
uma organização.
Usuários que precisam ter garantias de que os serviços de TI que dependem os
seus produtos e serviços para os clientes internos e externos estão sendo bem gerenciados.
Auditores que podem se apoiar nas recomendações do CobiT para avaliar o
nível da gestão de TI e aconselhar o controle interno da organização.
Planejamento e organização.
Aquisição e implementação.
Entrega e suporte.
Monitoração.
Figura 1: Os quatro domínios do CobiT
A figura 1 ilustra a estrutura do CobiT com os quatro domínios, onde claramente está
ligado aos processos de negócio da organização. Os mapas de controle fornecidos pelo
CobiT auxiliam os auditores e gerentes a manter controles suficientes para garantir o
acompanhamento das iniciativas de TI e recomendar a implementação de novas práticas, se necessário.
O ponto central é o gerenciamento da informação com os recursos de TI para garantir o negócio da
organização.
Cada domínio cobre um conjunto de processos para garantir a completa gestão de TI,
somando 34 processos:
Planejamento e Organização
Define o plano estratégico de TI
Define a arquitetura da informação
Determina a direção tecnológica
Define a organização de TI e seus relacionamentos
Gerencia os investimento de TI
Gerencia a comunicação das direções de TI
Gerencia os recursos humanos
Assegura o alinhamento de TI com os requerimentos externos
Avalia os riscos
Gerencia os projetos
Gerencia a qualidade
Aquisição e implementação
Identifica as soluções de automação
Adquire e mantém os softwares
Adquire e mantém a infra-estrutura tecnológica
Desenvolve e mantém os procedimentos
Instala e certifica softwares
Gerencia as mudanças
Entrega e suporte
Define e mantém os acordos de níveis de serviços (SLA)
Gerencia os serviços de terceiros
Gerencia a performance e capacidade do ambiente
Assegura a continuidade dos serviços
Assegura a segurança dos serviços
Identifica e aloca custos
Treina os usuários
Assiste e aconselha os usuários
Gerencia a configuração
Gerencia os problemas e incidentes
Gerencia os dados
Gerencia a infra-estrutura
Gerencia as operações
Monitoração
Monitora os processos
Analisa a adequação dos controles internos
Prove auditorias independentes
Prove segurança independente
Desenvolvimento do CobiT
A primeira publicação foi em 1996 enfocando o controle e análise dos sistemas de
informação. Sua segunda edição em 1998 ampliou a base de recursos adicionando o guia prático de
implementação e execução. A edição atual, já coordenada pelo IT Governance Institute, introduz as
recomendações de gerenciamento de ambientes de TI dentro do modelo de maturidade de governança.
Benefícios do CobiT
Na era da dependência eletrônica dos negócios e da tecnologia, as organizações devem
demonstrar controles crescentes em segurança. Cada organização deve compreender seu próprio
desempenho e deve medir seu progresso. O benchmarking com outras
organizações deve fazer parte da estratégia da empresa para conseguir a melhor
competitividade em TI. As recomendações de gerenciamento do CobiT com orientação no modelo de
maturidade em governança auxiliam os gerentes de TI no cumprimento de seus objetivos alinhados
com os objetivos da organização.
Os indicadores de objetivos definem como serão mensurados os progressos das ações para atingir os
objetivos da organização, usualmente expressos nos seguintes termos:
Disponibilidade das informações necessárias para suportar as necessidades de
negócios
Riscos de falta de integridade e confidencialidade das informações
Eficiência nos custos dos processos e operações
Confirmação de confiabilidade, efetividade e conformidade das informações.
Mais informações
Muitas informações do CobiT são padrões abertos e disponíveis gratuitamente para
download no site do IT Governance Institue’s www.itgovernance.org ou no site do
Information System Audit & Control Association www.isaca.org.
Introdução
Criada pela secretaria de comércio (Office of Government Commerce, OGC) do governo Inglês, a
partir de pesquisas realizadas por consultores, especialistas e doutores, para desenvolver as melhores
práticas para a gestão da área de TI nas empresas privadas e públicas.
O foco deste modelo é descrever os processos necessários para gerenciar a
infra-estrutura de TI eficientemente e eficazmente de modo a garantir os níveis de serviço acordados
com os clientes internos e externos.
ITIL é um conjunto de melhores práticas, não uma metodologia.
As melhores práticas representam um conjunto de orientações baseadas nas melhores experiências dos
profissionais qualificados e especializados em um determinado campo.
Deve ser encarado como “fonte de inspiração”, indica onde se pode chegar.
Definição
Uma série de documentos públicos, cuja finalidade é APOIAR a implementação de uma estrutura
adequada à GESTÃO DE SERVIÇO DE TI, definindo o escopo de atuação desta estrutura, bem como
os seus serviços.
Estrutura de processos para a disseminação de melhores práticas no aprovisionamento e suporte de
serviços de TI.
Por quê
Devido a percepção negativa das organizações e empresas sobre a área de TI. Como:
As empresas que o adotaram estão preocupadas em gerar valor do TI para os negócios da empresa e
provar este valor de maneira adequada, através de processos corretos.
É escalável, pode ser utilizado em qualquer empresa de qualquer tamanho.
Objetivos
• Reduzir Custos;
• Aumentar a Disponibilidade;
• Ajustar a Capacidade;
• Aumentar a Eficiênciae Eficácia;
• Melhorar a Escalabilidade;
• Reduzir Riscos.
Documentos
Processos
• Objetivo
o Ponto único de contato para usuários
o Monitorar atendimento dos níveis de serviço acordados
o Manter clientes informados
• Atividades
o Contato com usuários
o Registro e controle
• Benefícios
o Gestão do relacionamento
o Controle de custos
• Objetivos
o Normalidade de operação dos serviços
o Minimização de impacto (priorização e escalamento)
o Rápido restabelecimento de serviços
• Atividades
o Ciclo de vida de um incidente
• Benefícios
o Níveis de serviço
o Satisfação dos clientes
o Informações gerenciais
• Objetivos
o Minimizar impacto
o Prevenir a ocorrência de incidentes e problemas
• Atividades
o Controle de problemas e erros
o Análise de tendências
o Revisões de encerramento de problemas críticos
o Identificar, avaliar e documentar erros
• Benefícios
o Redução de incidentes
o Pró-atividade
• Objetivos
o Controle de itens de configuração e seus relacionamentos
o Configuration Management Data Base (CMDB)
• Atividades
o Planejamento (escopo, procedimentos)
o Implantação e controle
• Benefícios
o Informações confiáveis e consolidadas
o Controle e segurança CMDB
• Objetivos
o Padronização de métodos e procedimentos
o Minimização de impacto (eficiência e pontualidade)
o Garantir aprovações
o Mitigar riscos
• Atividades
o Ciclo de vida de uma mudança
o Monitorar resultados
• Benefícios
o Diminuição do impacto de mudanças
o Controle de custos
o Informações gerenciais
• Objetivos
o Gerenciar HW e SW aprovados
o Garantir uso HW e SW autorizados
o Planejar recursos de TI
• Atividades
o Política de versões
o Implementação e gerência
o Controlar pacotes
• Benefícios
o Minimizar chances de erros e indisponibilidades
o Controle centralizado
• Objetivos
o Acordo, monitoração, relatórios e melhorias na qualidade de serviços (foco no
negócio)
• Atividades
o Identificação de serviços
o Negociação com clientes
o Cumprimento e manutenção de SLA’s
• Benefícios
o Qualidade e relacionamento (clientes e terceiros)
o Alinhamento com negócio
• Objetivos
o Gestão efetiva de recursos e custos
• Atividades
o Orçamento
o Contabilidade
o Cobrança (opcional)
• Benefícios
o Gerência de orçamentos e custos
o Medição de eficiência
• Objetivos
o Requisitos de capacidade do negócio (presente e futuro)
• Atividades
o Requisitos
o Análise
o Planejamento e implementação
• Benefícios
o Mapeamento de necessidades e recursos
o Gerenciamento de custos
• Objetivos
o Máxima disponibilidade para serviços de TI
• Atividades
o Planejamento
o Medição
o Melhorias
• Benefícios
o Justificativa de investimentos
o Pro-atividade
o Continuidade de negócio
• Objetivos
o Recuperação dentro de períodos requeridos e acordados
• Atividades
o Planejamento
o Avaliação de impactos e riscos
o Estratégia, implementação e manutenção
• Benefícios
o Gerência de riscos e impacto de falhas
o Vantagem competitiva
Resultados
CASES
• Procter & Gambler que inicialmente reduziu em 10% as chamadas no HelpDesk após
implantação do iTil e em um segundo momento do projeto reduziu entre 6 e 8% os custos
operacionais de tecnologia.
• Cartepilar que após aplicar os princípios de iTil aumentou de 60 para 90% o nível de acerto do
Helpdesk para os incidentes.
• Implantação de Sistema de inventário, prazo três dias, e que teve como resultado imediato
economia no licenciamento do pacote office que em alguns casos era professional e a
necessidade de uso demonstrou que o office standard atendia perfeitamente as necessidades do
usuário.
• Implantação do Sistema de inventário, prazo dois dias, que demonstrou que diversos
aplicativos não estavam em uso pela empresa e que as licenças poderiam ser disponibilizadas
para os usuários que estavam solicitando a aquisição destes produtos – racionalização dos
recursos.
• Integração do sistema de inventário com o helpdesk, prazo 5 dias, que reduziu em até 50% do
tempo de atendimento pois o atendente já chega no usuário sabendo as configurações do
equipamento de hardware e software, slots ocupados, tipo de memória, software instalados,
relatório dos últimos atendimentos, etc.
• Implantação do sistema de inventário, prazo dois dias, que eliminou o lixo eletrônico como
mp3, jpegs, etc disponibilizando espaço em disco e melhorando a performace global da
máquina em termos de processamento, disco e memória
• Implantação do sistema de inventário, prazo dois dias, que eliminou os softwares ilegais e
passou a controlar as licenças dos produtos instalados nas máquinas do usuário.
• Implantação do sistema de distribuição de patches, prazo dois dias, que eliminou em mais de
95% dos custos de atualizações dos patches de segurança do windows.