Fundamentos e modelos de Governança de TI Aula virtual Prof. Paulo Henrique S. Bermejo Dr., COBIT F. Certified Certified, ISACA , Advocate Member Departamento de Ciência da Computação – DCC Universidade Federal de Lavras – UFLA bermejo@ufla.br • O que é governança? • O que é governança de TI? • Focos da governança de TI e gestão de TI • Objetivos da governança de TI • Como alinhar TI ao negócio? Sumário • Alinhamento estratégico da TI • Por que governança de TI? • Ferramentas para governança • COBIT e outras ferramentas • Considerações finaisO que é Governança? • Governança é: – “A ação, maneira, função ou poder de governo” – “... Exercer autoridade sobre; decidir, administrar, dirigir, controlar, gerenciar, etc.” • Tipos de Governança – Governança Organizacional: lida com ferramentas para coordenar todas as atividades de gestão considerando todos os envolvidos da organização – Governança Corporativa: refere-se primeiramente ao conselho e aos executivos da organização. Mantém relacionamento direto com ações de auditoria – Governança de TI: foca no uso da tecnologia para atender aos objetivos organização, conforme direcionamento da gestão. (HAMAKER, 2003) – Governança Corporativa de TI: governança organizacional com o uso intensivo e pervasivo da TI para viabilizar as estratégias de negócio• Na visão do ITGI, Governança de TI é: (ITGI, 2005) – “A Governança de TI é de responsabilidade da alta direção, na liderança, nas estruturas organizacionais e nos processos que garantem que a TI da empresa sustente e estenda as estratégias e os objetivos da organização.” O que é Governança de TI? • Os professores do CISR/MIT Peter Weill e Jeanne Ross definem a Governança de TI como: “Consiste em um ferramental para a especificação dos direitos de decisão e de responsabilidade, visando encorajar comportamentos desejáveis no uso da TI”• Concluindo a definição: – A Governança de TI busca o compartilhamento de decisões de TI com os demais dirigentes da empresa e estabelece as regras, a organização e os processos que O que é Governança de TI? nortearão o uso da TI pelos envolvidos (usuários, departamentos, divisões, fornecedores, clientes e outros) e também determina como a TI deverá prover os serviços da empresa (FERNANDES; ABREU, 2006)Focos da Governança de TI e da Gestão de TI• Segundo o ITGI, os objetivos gerais da Governança de TI são os seguintes: – Alinhamento de TI com os objetivos de negócio – Garantia de entrega de valor pela TI Objetivos de Governança de TI – Gerenciamento de riscos em TI – Responsabilidade (accountability) – Medição (gestão) de desempenho “O que não se pode medir, não se pode gerenciar” – Peter Drucker (apud GRAEML, 2003)Por que Governança de TI? • Por que as organizações precisam de sistemas suficientes de Governança de TI? (BROADBENT; KITZIS, 2005) • Uma boa Governança de TI é importante por diversas razões: – Desenvolve confiança – Possibilita melhor entrega – Permite obter sincronia com os negócios – Encoraja comportamentos desejados • Veja detalhes a seguir:...Por que Governança de TI? • Desenvolve confiança: – Uma boa Governança de TI constrói confiança: a transparência e as responsabilidades providas através da governança asseguram maior confiança a todos os envolvidos (stakeholders)Por que Governança de TI? • Favorece o enfrentamento a novos desafios: – Sustentabilidade – Crise econômica – Negócios em rede e colaboração • Favorece aproveitamento de novas tecnologias e paradigmas: – Cloud computing – Green IT – SOA – Software As a Service – Infrastructure As a Service Por que Governança de TI? • Possibilita melhor entrega: – Uma boa Governança de TI significa melhor entrega: quando a Governança de TI é realizada de forma apropriada, ela assegura que somente os projetos de TI suportem as metas e os objetivos de negócio – Os projetos de TI também recebem maior apoio dos líderes de negócio, e projetos concluídos são vistos mais freqüentemente como um importante fator de sucesso para o negócioPor que Governança de TI? • Permite obter sincronia com os negócios: – Uma boa Governança de TI sincroniza a estratégia de TI com as estratégias de negócio, o que permitirá que as atividades de TI reflitam as estratégias de TI e, conseqüentemente, de negócioPor que Governança de TI? • Encoraja comportamentos desejados: – Boa governança encoraja comportamentos desejáveis no uso da TI: • A Governança de TI cria o ambiente e os princípios da TI para os comportamentos desejáveis no uso da TI, tais como diminuição de custo, compartilhamento de dados com cliente (customer data sharing) ou estímulo para a inovação – Ainda, assegura ou favorece que os comportamentos dos indivíduos estejam de acordo com as metas e os objetivos de negócioFerramentas para Governança de TI • Pela própria essência da governança de TI (definição abaixo), as ferramentas* ou os modelos de boas práticas desempenham um papel fundamental nas ações da governança de TI – Definição da governança de TI (WEILL; ROSS, 2004):“Consiste em um ferramental para a especificação dos direitos de decisão e responsabilidade, visando encorajar comportamentos desejáveis no uso da TI.” • Uma pesquisa da revista CIO com diretores executivos de TI revelou que 91,5% responderam que consideram média ou alta a importância dos padrões e dos modelos para a Governança de TI (75% alta) (SMITH, 2006) * Consideram-se como ferramenta para ¨governança de TI neste trabalho: modelos de processos, guias de boas práticas, framework, modelos e metodologias que visam ao estabelecimento de práticas ou controles ou diretrizes para a Governança de TIFerramentas para Governança de TI: COBIT • COBIT – Control Objectives for Information and Related Technology – Abrangente e aplicável para auditoria e controle de processos em TI, desde o planejamento até a monitoração e a auditoria de todos os processos. – Criado em 1994, pela ISACA e mantido pelo ITGI. – Contém 34 objetivos de controle de alto nível e 215 processos. – Atualmente, é o framework mais completo para governança de TI. – É alinhado aos modelos COSO, ITIL, ISO/IEC 17799 e Lei Sarbanes-Oxley (SOX). – Provê relação com outros modelos, tais como Prince2 PMBOK, ITIL, BSC.Ferramentas para Governança de TI: COBIT • Princípio básico do COBIT: – Para fornecer a informação que a organização requer para alcançar seus objetivos, a organização necessita investir, gerenciar e controlar seus recursos de TI usando uma estrutura de processos para fornecer os serviços que entregam a informação requeridaFerramentas para Governança de TI: COBIT M1 Monitorar e avaliar o desempenho da TI M2 Monitorar e avaliar o controle interno M3 Assegurar conformidade com requisitos externos M4 Fornecer governança de TI • Pessoas •Aplicações • Infra-estrutura • Informação Planejamento e Recursos de TI PO1 Definir planejamento estratégico de TI PO2 Definir a arquitetura de informação PO3 Determinar a direção tecnológica PO4 Definir a organização de TI e relacionamentos PO5 Gerenciar o investimento de TI PO6 Comunicar direção e metas gerenciais PO7 Gerenciar os recursos de TI PO8 Gerenciar qualidade PO9 Avaliar e gerenciar os riscos em TI PO10 Gerenciar projetos Organização Aquisição e Implementação Entrega e Suporte Monitoração e Avaliação AI1 Identificar soluções automatizadas AI2 Adquirir e manter aplicações de software AI3 Adquirir e manter infra-estrutura tecnológica AI4 Habilitar operação e uso AI5 Obter recursos de TI AI6 Gerenciar mudanças AI7 Instalar e homologar soluções automatizadas DS1 Definir e gerenciar níveis de serviço DS2 Gerenciar serviços terceirizados DS3 Gerenciar desempenho e capacidade DS4 Assegurar continuidade dos serviços DS5 Assegurar segurança dos sistemas DS6 Identificar e alocar custos DS7 Instruir e treinar usuários DS8 Gerenciar service desk e incidentes DS9 Gerenciar configuração DS10 Gerenciar problemas DS11 Gerenciar dados DS12 Gerenciar o ambiente físico DS13 Gerenciar operaçõesFerramentas para Governança de TI: COBIT M1 Monitorar e avaliar o desempenho da TI M2 Monitorar e avaliar o controle interno M3 Assegurar conformidade com requisitos externos M4 Fornecer governança de TI • Pessoas •Aplicações • Infra-estrutura • Informação Planejamento e Recursos de TI PO1 Definir planejamento estratégico de TI PO2 Definir a arquitetura de informação PO3 Determinar a direção tecnológica PO4 Definir a organização de TI e relacionamentos PO5 Gerenciar o investimento de TI PO6 Comunicar direção e metas gerenciais PO7 Gerenciar os recursos de TI PO8 Gerenciar qualidade PO9 Avaliar e gerenciar os riscos em TI PO10 Gerenciar projetos PMBOK Prince2 Organização Aquisição e Implementação Entrega e Suporte Monitoração e Avaliação AI1 Identificar soluções automatizadas AI2 Adquirir e manter aplicações de software AI3 Adquirir e manter infra-estrutura tecnológica AI4 Habilitar operação e uso AI5 Obter recursos de TI AI6 Gerenciar mudanças AI7 Instalar e homologar soluções automatizadas DS1 Definir e gerenciar níveis de serviço DS2 Gerenciar serviços terceirizados DS3 Gerenciar desempenho e capacidade DS4 Assegurar continuidade dos serviços DS5 Assegurar segurança dos sistemas DS6 Identificar e alocar custos DS7 Instruir e treinar usuários DS8 Gerenciar service desk e incidentes DS9 Gerenciar configuração DS10 Gerenciar problemas DS11 Gerenciar dados DS12 Gerenciar o ambiente físico DS13 Gerenciar operações ITIL CMMI Ferramentas para Governança de TI: ISO/IEC38500 • Criada em 2008, a norma ISO/IEC38500 tem como objetivo fornecer um framework de princípios relacionados à governança de TI para que diretores de organizações possam avaliar, direcionar e monitorar a utilização da tecnologia da informação nas organizações, contribuindo para: – Assegurar que strakeholders (incluindo consumidores, acionistas e colaboradores) tenham confiança na governança da tecnologia da informação implantada na organização; – Informar e guiar a alta direção e executivos sobre como governar o uso da TI na organização; – Fornecer uma base para avaliação da governança de TI na organização. Ferramentas para Governança de TI: ISO/IEC38500 Estrutura da norma:Ferramentas para Governança de TI: Gestão de valor • ValIT: – O VALIT consiste em um framework desenvolvido pelo IT Governance Institute (ITGI) com base no Control Objectives of Information and related Technology (COBIT). – O VALIT consiste em um framework cujo objetivo é auxiliar na garantia de que as organizações obtenham valor ótimo a partir de investimentos em TI, considerando custos e níveis aceitáveis de risco. Para tanto, o framework orientações, processos e práticas que auxiliam executivos e alta direção a entenderem e desempenharem responsabilidades relacionadas a investimentos em tecnologia da informação. Especificamente, o VALIT foca em decisões de investimento e na obtenção de valor: • estamos nos portando da maneira correta em relação aos investimentos em TI? • estamos obtendo os benefícios prometidos por tais investimentos?Ferramentas para Governança de TI: Área de Gerenciamento de serviços de TI • ITIL – Information Technology Infrastructure Library – Infra-estrutura de TI (serviços de TI, segurança, gerenciamento da infra-estrutura, gestão de ativos e aplicativos) • ISO/IEC 20000:2005 – Padrão internacional para gestão de serviços de TI. Foi desenvolvido com base e substituiu o padrão britânico BS15000 (também de serviços), que foi descontinuado – É amplamente alinhado com o ITIL e também tem ênfase no atendimento aos objetivos de negócio • eSCM-SP – Service Provider Capability Maturity Model – Para provedores de serviços de TI. Terceirização de serviços que usam a TI de forma extensiva. – Mantido pela ITsqc, da Carnegie Mellon University.Ferramentas para Governança de TI: Área de Riscos e Segurança • SAS70 – Statement on Auditing Standards for Service Organizations – Padrão para auditoria sobre organizações de serviços criada pelo • American Institute of Certified Public Accountants. É compatível com a Lei Sarbanes-Oxley (SOX). – OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation) Method e OCTAVE-s – Framework para gestão de riscos em segurança da informação. Criado pelo Software Engineering Institute (SEI)-Carnegie Mellon University (CMU). • COSO – Comitê das Organizações Patrocinadoras – Framework de controles internos para a gestão de riscos organizacionaisFerramentas para Governança de TI: Área de Riscos e Segurança • ISO 31000 – Norma ISO unificada para gestão de riscos publicada em 2009. – Desenvolvida com base na NS/AS 4360, norma de gestão de risco utilizada na Austrália e na Nova Zelândia e considerada a mais eficiente. • Não visa certificação e tem como objetivo permitir uma visão integrada de forma que os diferentes setores falem uma mesma língua em se tratando de riscos. • BS7999 (British Standard), ISO 27001, 17799 – Códigos de prática para risco e segurança da informação.Ferramentas para Governança de TI: Área de Produtos de software • CMMI – Capability Maturity Model Integration – Desenvolvimento de produtos e projetos de sistemas de software. – Criado pelo Software Engineering Institute (SEI)-Carnegie Mellon University (CMU) • MPS-BR -Modelo brasileiro de melhoria de processo de software – É simultaneamente a iniciativa brasileira por meio da Softex para melhoria do processo de software e o modelo resultante dessa iniciativa. O modelo é voltado para realidade das empresas de médio e pequeno porte • ISO/IEC 12207 e ISO/IEC 9126 – Normas ISO para a qualidade de produtos • SPICE -Software Process Improvement and Capability Determination – Padrão internacional para avaliação do processo de softwareFerramentas para Governança de TI: Área de Gerenciamento de projetos • Prince2 – Project in controlled environment – Metodologia para a gerência de projetos criada em 1989 (a partir de um antigo método PROMPTII) pela OGC (Office of Government Commerce) do Governo do Reino Unido. • PMBOK – Project Management Body of Knowledge – O guia PMBOK do Project Management Institute (PMI) é descrito como a soma de conhecimento dentro da profissão de gerente de projeto. É um padrão nacional americano, ANSI/PMI 99-001-2004.Ferramentas para Governança de TI: Área de Gerenciamento de projetos • OPM3 -Organizational Project Management Maturity Model – Modelo do PMI para maturidade em gestão de projetos, lançado no final de 2003 • PMCD -Project Manager Competency Development Framework – Framework do PMI para desenvolvimento de competências de gerente de projetosFerramentas para Governança de TI: Área de Estratégia e Gestão • BSC – Balanced Scorecard – Metodologia para gestão e planejamento da estratégia. – Criada pelos professores Kaplan e Norton, da Harvard Business School em 1992. – Busca a maximização de resultados na organização com base em quatro perspectivas que refletem a visão e a missão empresarial: financeira, clientes, aprendizado e crescimento, e processos internos.Ferramentas para Governança de TI: Área de Melhoria de processos • Seis Sigma (Six Sigma) – É um sistema de práticas originalmente desenvolvido pela Motorola para sistematicamente melhorar os processos por meio da eliminação de defeitos. – Sua popularidade teve forte influência por meio dos resultados da sua aplicação na GE, que, de 1999 a 2002, reduziu 8 bilhões de dólares em custos.Considerações finais • Há muitas evidências da demanda por Governança de TI, incluindo necessidades de conformidade com marcos regulatórios, alinhamento de TI com os negócios, gerenciamento de riscos, etc. • Em relação à conformidade, como já mencionado, a tendência é que as empresas que têm essa obrigação façam exigências de conformidade aos seus fornecedores. • Embora a governança de TI seja uma área que tem um destaque recente (principalmente por motivo de conformidade), as ferramentas disponíveis (ex.: COBIT, ITIL, PMBOK, Prince2 e outras) estão em um nível de maturidade elevado, sendo amplamente aceitas nos mercados nacional e internacional.Considerações finais • Além disso, os inúmeros benefícios de uma efetiva governança deverão fortalecer mais as ações de TI em conjunto com o negócio, inclusive para organizações de pequeno e médio porte. • De modo geral, embora seja difícil medir o impacto de uma boa governança de TI, os resultados de aplicação, na prática, têm sido muito motivadores. • Estudos que relatam que as empresas que dispõem de bons mecanismos de governança têm desempenho superior ao daquelas que não abordam efetivamente o tema.Considerações finais • Por fim, uma boa Governança de TI pode favorecer a superação de desafios atuais nas organizações incluindo sustentabilidade, colaboração, pressões regulatórias e crises econômicas – Isso é permitido por um ambiente de controle e alinhado estrategicamente às prioridades organizacionais, fazendo da TI um recurso de apoio e alavancagem de estratégias de negócio.Referências • BANKER, R. D.; KAUFFMAN, R. J. A scientific approach to the measurement of IT business value. Part 1: a manager’s guide to ‘business value linkage’ impact analysis. Working paper n. 194, Center of Research on Information Systems, Stem School of Business. New York: University, Sept. 1988. Disponível em: . Acesso em: 17 mar. 2007. • BOAR, Bernard. H. The Art of Strategic Planning for Information Technology. 2. ed. New York: John Wiley, 2001. • BROADBENT, Marianne; KITZIS, Ellen S. The new CIO Leader: setting the agenda and delivering results. Boston: Harvard Business School Press, 2005. • CIO Estratégia de negócios e TI para líderes corporativos. CIOs falham em custos e inovação, dizem CEOs. 13 fev. 2007. Disponível em: . Acesso em: 21 mar. 2007. • COMPUTERWORLD. O porta-voz do mercado de TI e comunicação. Deficiências em compliance devem derrubar milhares de CFOs. 28 fev. 2007. Disponível em: . Acesso em: 21 mar. 2007. • COMPUTERWORLD. O porta-voz do mercado de TI e comunicação. Gartner: CIOs precisam se focar em expertise de negócios. 14 fev. 2007b. Disponível em: . Acesso em: 21 mar. 2007. • COMPUTERWORLD. O porta-voz do mercado de TI e comunicação. CIOs devem se aprofundar em gestão e formação de talentos. 21 mar. 2007c. Disponível em: . Acesso em: 22 mar. 2007. • FERNANDES, Aguinaldo Aragon; ABREU, Vladimir Ferraz. Implantando a Governança de TI: da estratégia à gestão dos processos e serviços. Rio de Janeiro: Brasport, 2006. • GRAEML, Alexandre. Reis. Sistemas de informação: o alinhamento da estratégia de TI com a estratégia corporativa. 2. ed. Atlas: São Paulo, 2003. • HAMAKER, Stacey. Principles of Governance. Information Systems Control Journal, volume 3, 2003. • HAMAKER, Stacey. Principles of IT Governance. Information Systems Control Journal, volume 2, 2004.Referências • IDC. International Data Group. Worldwide IT Spending 2006–2010 Forecast by Vertical Market: North America, Western Europe, Asia/Pacific, and Rest ofWorld. agosto de 2006. Disponível em: • . Acesso em: 21 mar. 2007. • ISACA. Information Systems Audit and Control Association. Serving IT Governance Professionals. Disponível em:. Acesso em: 22 mar. 2007. • IDC. International Data Group. IDC Latin America Predictions 2007. janeiro de 2007. Disponível em: . Acesso em: 21 mar. 2007. • ITGI. Information Technology Governance Institute. COBIT 4.0: Control objectives, Managemen guidelines, Maturity models. Rolling Meadows: ITGI, 2005. • ITGI. Information Technology Governance Institute. COBIT Mapping: Overview of International I Guidance. 2. ed. Rolling Meadows: ITGI, 2006. • ITGI. IT Governance Institute. Board Briefing on IT Governance. 2. ed. RollingMeadows: ITGI, 2003. • ITGI. Information Technology Governance Institute. Leading the IT Governance Community. Disponível em: . Acesso em: 22 mar. 2007. • MANUAL, Duncan. Six Sigma methodology: reducing defects in business processes. Filtration & Separation, vol. 43, Issue 1, January-February 2006. • SILOCCHI, Paulo Roberto. Motivação à inovação de produtos: um estudo nas empresas industriais metalmecânicas de Caxias do Sul. 2002. Dissertação (Mestrado em Administração) -Programa de Pós-Graduação em Administração, • Universidade Federal do Rio Grande do Sul, Porto Alegre, 2002. • SMITH, Gregory S. Straight to the top: becoming a world-class CIO. New Jersey:Wiley, 2006. • STRASSMANN, Paul. The economics and politics of information management. KPMG Impact Program, June 2006. Disponível em: . Acesso em: 14 mar. 2007. • HENDERSON, J. C.; VENKATRAMAN, N. Strategic alignment: leveraging information technology for transforming organizations. IBM SystemJornals, vol 32, no.1, 1993. • WEILL, Peter; ROSS, Jeanne W. Governança de tecnologia da informação: Como as empresas com melhor desempenho administram os direitos decisórios de TI na busca por resultados superiores. São Paulo:M. Books do Brasil, 2006. • WEILL, Peter; WOODHAM, Richard. Don’t Just Lead, Govern: Implementing Effective IT Governance. Sloan School of Management: MIT: Center for Information Systems Research, 2002.