Framework Para Governanca de TI COBIT

CURSO DE PÓS-GRADUAÇÃO “LATO SENSU” (ESPECIALIZAÇÃO) A DISTÂNCIA

MBA EXECUTIVO EM GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO

Framework para Governança de TI (COBIT)

Paulo Henrique de Souza Bermejo Rêmulo Maia Alves

Universidade Federal de Lavras - UFLA Fundação de Apoio ao Ensino, Pesquisa e Extensão - FAEPE

Lavras – MG 2008

Parceria Universidade Federal de Lavras - UFLA Fundação de Apoio ao Ensino, Pesquisa e Extensão - FAEPE

Reitor Antônio Nazareno Guimarães Mendes

Vice-Reitor Elias Tadeu Fialho

Diretor da Editora Marco Antônio Rezende Alvarenga

Pró-Reitor de Pós-Graduação Joel Augusto Muniz

Pró-Reitor Adjunto de Pós-Graduação “Lato Sensu” Marcelo Silva de Oliveira

Coordenação do curso André Luiz Zambalde Paulo Henrique de Souza Bermejo

Presidente do Conselho Deliberativo da FAEPE Nadiel Massahud

Editoração Centro de Editoração da FAEPE

Impressão Gráfica Universitária/UFLA Ficha Catalográfica Preparada pela Divisão de Proce ssos Técnicos da

Biblioteca Central da UFLA

Nenhuma parte desta publicação pode ser reproduzida ,

por qualquer meio, ou forma, sem a prévia autorizaç ão da FAEPE.

Framework para Governança de TI (COBIT)

Paulo Henrique de Souza Bermejo; Rêmulo Maia Alves

– Lavras: UFLA/FAEPE, 2008.

56 p.:il. – Curso de Pós-graduação “Lato Sensu” (Especialização) a Distância – MBA EXECUTIVO EM GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO

Bibliografia:

1. Governança de TI. 2. Tecnologia da Informação. I. Universidade Federal de Lavras. II. Fundação de Apoio ao Ensino, Pesquisa e Extensão. III. Título.

CDD-005.1

ÍNDICE

1 APRESENTAÇÃO .................................. ................................................................. 6

1.1 Introdução.......................................................................................................... 6

1.2 Estrutura do material ........................................................................................ .6

2 COBIT – Melhores Práticas para Governança de T I ........................................... 8

2.1 Visão Geral ......................................................................................................... 8

2.2 Estrutura do COBIT ............................................................................................ 9

2.3 Orientação ao negócio ..................................................................................... 13

2.4 Orientação a processos .................................................................................... 18

2.4.1 Planejamento e organização ...................................................................... 19

2.4.2 Aquisição e implementação ........................................................................ 26

2.4.3 Entrega e suporte ....................................................................................... 29

2.4.4 Monitoramento e avaliação ......................................................................... 35

2.5 Abordagem de controle .................................................................................... 37

2.6 Orientação a medições .................................................................................... 39

2.6.1 Modelo de maturidade ................................................................................ 40

2.6.2 Medidas de resultado e indicadores de desempenho ................................ 44

2.7 Relacionamento entre os componentes do COBIT .......................................... 47

3 INTRODUÇÃO AO MODELO SWOT ..................... ............................................... 51

3.1 Introdução ........................................................................................................ 51

3.1.1 Estrutura do framework .............................................................................. 52

3.1.2 Correlação entre os elementos em uma análise SWOT ............................. 53

3.2 Considerações finais ........................................................................................ 54

4 BIBLIOGRAFIA .................................. ................................................................... 55

LISTA DE FIGURAS

Figura 1 Princípio básico do COBIT (Adaptado de ITGI, 2007)........................ 13

Figura 2 Definição de objetivos de TI e arquitetura de TI (Adaptado de ITGI,

2007)...................................................................................................

15

Figura 3 Gerenciando recursos de TI e alcançando objetivos de TI

(Adaptado de ITGI, 2007)...................................................................

17

Figura 4 Framework COBIT (Adaptado de ITGI, 2007).................................... 18

Figura 5 Modelo de controle (Adaptado de ITGI, 2007).................................... 37

Figura 6 Exemplo de maturidade para um processo de TI (Adaptado de

ITGI, 2007)..........................................................................................

41

Figura 7 Representação gráfica de maturidade para um processo de TI

(Adaptado de ITGI, 2007)...................................................................

42

Figura 8 Exemplo de relacionamento entre objetivos (Adaptado de ITGI,

2007)...................................................................................................

43

Figura 9 Exemplo de medidas de resultado para objetivos (Adaptado de

ITGI, 2007)..........................................................................................

44

Figura 10 Exemplo de indicadores de desempenho (Adaptado de ITGI, 2007) 44

Figura 11 Relacionamento entre objetivos e métricas (Adaptado de ITGI,

2007)...................................................................................................

45

Figura 12 Modelo de gerenciamento, controle, alinhamento e monitoramento

do COBIT (Adaptado de ITGI, 2007)..................................................

46

Figura 13 Cubo do COBIT (Adaptado de ITGI, 2007)......................................... 47

Figura 14 Inter-relação entre componentes do COBIT (Adaptado de ITGI,

2007)...................................................................................................

48

LISTA DE TABELAS

Tabela 1 Públicos-alvo do COBIT (Adaptado de ITGI 2007, p. 10).................. 11 Tabela 2 Relacionamento entre domínios da governança de TI e

componentes do Cobit (Adaptado de Kordel, 2004)........................... 12

Tabela 3 Descrição dos níveis de maturidade referenciados pelo COBIT

(Adaptado de ITGI, 2007)................................................................... 40

Tabela 4 Relacionamento entre componentes da análise SWOT (Adaptado

de Martins e Turrioni, 2002................................................................. 51

1 APRESENTAÇÃO

1.1 INTRODUÇÃO

Este texto acadêmico apresenta a governança de Tecnologia da Informação sob o enfoque de modelos de melhores práticas, apresentando a estrutura geral e diretrizes de aplicação do Control Objectives of Information and related Technology (COBIT).

Além do COBIT, este material apresenta o modelo Strenghts Weakness Opportunities Threats (SWOT), contemplando conceitos referentes aos componentes do modelo e formulação de estratégias relacionadas à tecnologia da informação(TI).

O presente módulo consiste em um material de apoio para iniciação ao COBIT, devendo ser complementado com o estudo do material original do modelo1 para um entendimento mais amplo.

Para a aplicação dos conceitos apresentados neste material, sugere-se a realização das atividades previstas no guia para implantação da Governança de TI (parte 2), disponível em formato eletrônico através do Ambiente Virtual de Aprendizagem (AVA). Além do COBIT e SWOT, esse guia contempla a utilização de outras ferramentas, já apresentadas anteriormente, tais como o Balanced Scorecard, e conceitos referentes ao planejamento estratégico de TI.

1.2 ESTRUTURA DO MATERIAL

O texto acadêmico está estruturado da seguinte forma:

O capítulo 1 traz uma apresentação geral e estrutura do texto, contemplando a

contextualização de modelos de melhores práticas na governança de TI.

O capítulo 2 apresenta uma visão geral do COBIT, descrevendo os principais componentes do modelo e como tais componentes podem, juntos, auxiliar na implantação de um ambiente de controle para a TI em uma organização. 1 O COBIT está disponível de forma gratuita no site www.isaca.org

Apresentação

7

O capítulo 3 descreve a importância de se analisar uma organização através de uma análise SWOT, considerando fatores internos e externos. Serão abordados os componentes de uma análise SWOT e como estes podem ser úteis para a elaboração de estratégias adequadas à organização.

Além do conteúdo exposto acima, encontra-se disponível no Ambiente Virtual de Aprendizagem a segunda parte do Guia de Implantação da Governança de TI. Este guia estabelece etapas e templates necessários para, a partir dos resultados obtidos na etapa 1 do projeto, estabelecer estratégias necessárias para a implantação da governança e TI em uma organização.

2 COBIT – MELHORES

PRÁTICAS PARA GOVERNANÇA DE TI

2.1 VISÃO GERAL

Frameworks de melhores práticas são essenciais para garantir que os recursos de TI estejam alinhados com os objetivos de negócio das organizações e que os serviços entregues através da tecnologia da informação satisfaçam a requisitos de qualidade, custos, segurança etc.

Atualmente, a utilização de modelos de melhores práticas tem sido cada vez mais direcionada por requisitos de negócio para melhorar o desempenho, prover transparência, agregar valor e aumentar o controle sobre as atividades que envolvem a TI.

Organizações procuram agregar valor através da tecnologia da informação, ao mesmo tempo em que gerenciam riscos relacionados à TI cada vez mais complexos. Nesse sentido, a utilização de frameworks de melhores práticas pode auxiliar as organizações a não mais “reinventarem a roda”, uma vez que esses frameworks reúnem práticas testadas e comprovadamente bem-sucedidas no mercado.

O crescimento na adoção de modelos de melhores práticas tem sido direcionado pela necessidade do mercado em gerenciar de forma mais adequada a qualidade e a confiabilidade da tecnologia da informação, além da necessidade de responder a um número cada vez maior de requisitos contratuais e regulatórios, como a lei Sarbanes-Oxley e o Acordo Basiléia II.

No entanto, é preciso estar atento aos perigos de uma interpretação e implementação inadequadas desses modelos. Práticas potencialmente benéficas podem se tornar custosas e desfocadas, caso sejam tratadas como guias puramente técnicos. Para ser mais efetiva, as melhores práticas devem ser aplicadas considerando-se o contexto de cada organização, focando em áreas nas quais a utilização do modelo irá fornecer maiores benefícios à organização. Além disso, é importante que a alta direção, gerentes de negócio, consultores externos e gerentes

COBIT – Melhores práticas para governança de TI

9

de TI estejam comprometidos e trabalhem juntos para garantir que as práticas implantadas direcionarão para a criação de um ambiente de controle para a TI.

A implementação de melhores práticas deve ainda ser consistente com outros métodos e práticas presentes na organização. É preciso ter em mente que modelos de melhores práticas não são uma panacéia, e que a sua efetividade depende de como são implantadas. Sendo assim, esses modelos são úteis quando aplicados como um conjunto de princípios e como um ponto de partida para a construção de procedimentos específicos ao contexto de cada organização.

2.2 Estrutura do COBIT

A necessidade de estimar o valor da tecnologia da informação (TI), o gerenciamento dos riscos relacionados a TI e o aumento dos requisitos de controles sobre informações são entendidos agora como elementos chave para as organizações. Nesse sentido, valor, risco e controle relacionados à atividades de tecnologia da informação constituem o centro da governança de TI.

A governança de TI é responsabilidade dos executivos e da alta direção, e consiste de liderança, estrutura organizacional e processos que garantem que a organização de TI sustenta e estende a estratégia e os objetivos organizacionais.

Além disso, governança de TI integra e institucionaliza boas práticas para garantir que a tecnologia da informação suporte os objetivos de negócio, permitindo que a organização tire proveito da sua informação e, com isso, maximize benefícios, aproveitando oportunidades e ganhando vantagem competitiva.

A definição mostrada acima ressalta a dificuldade de se estabelecer controles efetivos sobre a tecnologia da informação em uma organização. Muitas variáveis devem ser consideradas, desde o comportamento das pessoas e o ambiente organizacional até aspectos técnicos de alta complexidade relacionados à TI. Sendo assim, a governança de TI não consiste em uma disciplina ou atividade isolada, mas sim uma parte integral da organização, considerando:

� alinhamento estratégico;

� entrega de valor através da TI;

� gerência de riscos;

� gerência de recursos de TI;

� medição de desempenho.

Em suma, a governança de TI, quando adequadamente implementada, consiste em uma estrutura organizacional e um conjunto de processos que gerenciam e controlam a tecnologia da informação na organização, possibilitando o alcance dos objetivos organizacionais, através da agregação de valor e do balanceamento entre riscos e retorno sobre a TI.

EDITORA - UFLA/ FAEPE – Framework para Governança d e TI (COBIT)

10

Nesse sentido, o Control Objetives of Information and related Technology (COBIT) fornece às organizações boas práticas através de um modelo de referência, que contempla domínios e processos, organizados em uma estrutura gerenciável e lógica. Através do COBIT, as organizações podem obter uma sólida referência no auxílio ao tratamento dos riscos, das necessidades de controle e dos assuntos técnicos envolvendo a TI.

A primeira edição do COBIT foi lançada pela ISACF no ano de 1996. Em 1998, foi lançada a segunda edição, que contemplava objetivos de controle2 adicionais e um guia da implantação. A terceira edição, lançada pelo IT GOVERNANCE INSTITUTE (ITGI) em 2000, incluía um guia gerencial e objetivos de controle adicionais. No ano de 2005, o ITGI, publicou o COBIT 4.0, que foi o resultado de uma atualização completa no modelo que, a partir daí, passou a demonstrar claramente o foco na governança de TI. Atualmente, o COBIT encontra-se na versão 4.1, que inclui algumas atualizações em relação à versão anterior.

A missão do COBIT, segundo o IT GOVERNANCE INSTITUTE, é: “Pesquisar, desenvolver, publicar e promover um framework para governança de TI, que seja atualizado, consistente e internacionalmente aceito. Tal framework pode ser utilizado por organizações e para o uso no dia-a-dia de gerentes de negócio, profissionais de TI e auditores”.

Algumas das principais características do COBIT são:

� sua utilização parte dos requisitos de negócio;

� tem sua orientação a processos, em que as atividades relacionadas à TI em uma organização podem ser organizadas em um modelo de processos geralmente aceito;

� identifica os principais recursos de TI que devem ser potencializados em uma organização;

� define objetivos de controle a serem considerados em uma organização;

� possibilita mapear objetivos de negócio em objetivos de TI, e vice-versa;

� possibilita um alinhamento mais eficaz, baseando-se em um enfoque voltado para o negócio;

� fornece uma visão compreensível à alta administração sobre o que consiste a tecnologia da informação na empresa;

� estabelece clareza na propriedade e responsabilidade sobre processos.

Usualmente, a utilização do COBIT é justificada por uma ou mais das seguintes situações:

2 Os objetivos de controle do COBIT consistem em requisitos de alto nível a serem considerados no

controle de cada processo de TI.


11

� necessidade de governança de TI;

� serviços entregues pela TI necessitam ser alinhados com os objetivos de negócio;

� processos de TI precisam ser padronizados e automatizados;

� processos de TI precisam ser unificados;

� necessidade de controle de qualidade sobre a TI;

� necessidade de se ter uma abordagem estruturada para auditoria;

� merges e aquisições de empresas estão causando impacto na TI;

� necessidade de controle de custos sobre a TI;

� outsourcing parcial ou total da TI;

� necessidade de estabelecer conformidade com requisitos externos (regulamentações, contratos externos etc.).

� ocorrência de importantes mudanças na organização, nos objetivos de negócio e nos processos, que afetam a TI.

Em qualquer tipo de organização, seja ela pública ou privada, auditores e consultores externos são os principais públicos-alvo do COBIT. Dentro das organizações, o COBIT dá suporte a diretores executivos, gerentes de negócio e de TI e profissionais de segurança da informação, fornecendo as bases para a implantação da governança de TI. A Tabela 1 apresenta os principais públicos-alvo do COBIT, classificados em ordem de importância primária e secundária (representadas respectivamente nas letras P e S). Os diretores executivos estão representados na tabela através das seguintes siglas: Diretores executivos de negócio (CEOs – Chief Executive Officers) e Diretor Executivo de Informação (CIO – Chief Information Officer).

TABELA 1 Públicos-alvo do COBIT (Adaptado de ITGI , 2007)

Função

CE

Os

CF

Os

Exe

cutiv

os d

e ne

góci

o

CIO

s

Pro

prie

tário

s de

pro

cess

os

de n

egóc

io

Che

fes

de

oper

açõe

s

Che

fes

de

dese

nvol

vim

ento

Adm

inis

trad

ore

s de

TI

Esc

ritór

io d

e ge

rênc

ia d

e pr

ojet

os (

PM

O)

Aud

itoria

s,

anál

ise

de

risco

e

segu

ranç

a

Importância S S P P P S S S S P

A Tabela 2 apresenta os domínios da governança de TI e os componentes referenciados pelo COBIT relacionados a cada um desses domínios.


12

TABELA 2 Relacionamento entre domínios da governa nça de TI e componen-tes do COBIT (Adaptado de Kordel, 2004)

Domínio Objetivo do domínio Componente do COBIT utilizado

Alinhamento DIRECIONAR

Construção de habilidades necessárias para agregar valor aos negócios.

Indicadores chave de objetivo

Entrega de valor CRIAR

Entrega bem sucedida de valor aos negócios.

Indicadores chave de desempenho

Processos COBIT

Fatores críticos de sucesso

Objetivos de controle

Práticas de controle

Gerência de riscos PROTEGER

Identificação e mitigação dos riscos para a manutenção do valor entregue aos negócios.

Gerência de recursos

AGIR

Estabelecer e distribuir capacidades de TI que satisfaçam às necessidades de negócio.

Modelo de maturidade

Fatores críticos de sucesso

Objetivos de controle

Práticas de controle

Medição de desempenho

MONITORAR

Estabelecimento de um feedback para direcionar esforços a um re-alinhamento da TI, caso seja necessário.

Modelo de maturidade

Guia de auditoria

Do ponto de vista do COBIT, tanto a governança corporativa3 quanto a governança de TI4 estão intimamente relacionadas. Nesse sentido, a governança corporativa sem um sistema de governança de TI torna-se inadequada, e vice-versa.

A tecnologia da informação pode estender e influenciar o desempenho da organização, mas deve ser submetida a um sistema de governança. Por outro lado, processos de negócio requerem informações vindas dos processos de TI, o que implica em governar de forma adequada o relacionamento entre tais processos.

Neste contexto, segundo ITGI (2007), o ciclo Plan-Do-Check-Act (PDCA) torna-se uma abordagem em evidência. Tanto as informações necessárias (requisito básico para a governança corporativa) quanto as informações entregues (objetivo básico da governança de TI) devem ser planejadas com indicadores mensuráveis (Planejamento). Informações, e possivelmente sistemas de informação, necessitam 3 De forma resumida, pode-se entender por governança corporativa o sistema pelo qual uma

organização é governada e direcionada.

4 De forma resumida, pode-se entender a governança de TI como sendo o sistema pelo qual a tecnologia da informação de uma organização é governada e controlada.


13

ser implementados, entregues e utilizados (DO). Os resultados obtidos a partir da entrega e utilização da informação, por sua, vez, necessitam ser medidos em relação aos indicadores estabelecidos na fase de planejamento (CHECK); a partir daí, desvios precisam ser investigados e ações devem ser tomadas (ACT).

Diante de tal situação, o COBIT fornece uma abordagem estruturada que tem como intuito auxiliar as organizações a otimizar o uso das informações, os investimentos em TI , assegurar a entrega de serviços a partir da TI e estabelecer um sistema de medição para verificar o desempenho de tecnologia da informação. Essa abordagem é dividida em quatro focos: orientação a negócio, orientação a processos, orientação a controle e orientação a medições.

A seguir, serão apresentadas cada uma dessas orientações.

2.3 Orientação ao negócio

A orientação ao negócio consiste na principal característica do COBIT e é designada para ser empregada por provedores de serviços de TI, usuários e auditores, mas também, principalmente, para fornecer um direcionamento consistente para proprietários de processos de negócio e gerentes de negócio.

Nesse sentido, o COBIT baseia-se na seguinte premissa fundamental, descrita a seguir, e representada pela Figura 1:

“Para fornecer as informações que uma organização

necessita para atingir seus objetivos, é necessário investir,

gerenciar e controlar recursos de TI através de um conjunto

estruturado de processos que forneçam os serviços

necessários para entregar estas informações desejadas.”

O gerenciamento e controle de informações são as bases do COBIT, e auxiliam o alinhamento da TI com os requisitos de negócio.


14

FIGURA 1 Princípio básico do COBIT (Adaptado de I TGI, 2007)

Critérios de informação

Para satisfazer os objetivos de negócio, informações precisam atender a certos critérios de controle, que o COBIT se refere como requisitos de negócio para informações. Baseando-se em requisitos de qualidade, segurança e confiabilidade, sete critérios distintos (porém complementares) são definidos:

� eficácia ou efetividade : informações relevantes e pertinentes aos negócios devem ser entregues de forma correta, utilizável, consistente e em tempo hábil;

� eficiência : fornecimento de informações considerando o uso ótimo (da forma mais rápida, econômica e alinhada aos objetivos estratégicos da organização) dos recursos;

� confidencialidade : proteção de informações sensíveis de acesso não autorizado;

� integridade : precisão e completude de informações como também sua validade de acordo com os valores e expectativas do negócio;

� disponibilidade : informações devem estar disponíveis sempre que for necessário;

� conformidade : conformidade com leis, regulamentos e cláusulas contratuais aos quais os processos de negócio estão sujeitos;

� confiabilidade : fornecimento de informações adequadas para que a empresa exercite suas responsabilidades.


15

Objetivos de negócio e objetivos de TI

Enquanto os critérios de informação fornecem um método genérico para a definição dos requisitos de negócio, a definição de um conjunto genérico de objetivos de negócio e de TI fornece uma base refinada e orientada ao negócio, que pode ser utilizada para estabelecer requisitos de negócio e desenvolver métricas que permitam a medição dos resultados obtidos, considerando os objetivos de negócio e de TI estabelecidos.

Toda organização utiliza TI para habilitar iniciativas de negócio, e isso pode ser representado através de objetivos de negócio e de TI. O COBIT fornece objetivos de negócio e de TI genéricos e mostra como estes podem ser mapeados para os critérios de informação. Esses exemplos genéricos podem ser úteis como um guia para determinar os requisitos de negócio, objetivos e métricas específicos de cada organização.

Uma vez que a tecnologia da informação serve para entregar, de forma bem sucedida, serviços que dão suporte à estratégia da organização, deve haver um entendimento claro do que é necessário entregar e de como entregar. A Figura 2 ilustra como a estratégia da organização deve ser traduzida em objetivos relacionados a iniciativas e habilidades por tecnologia da informação (os objetivos de negócio e de TI referenciados pelo COBIT). Esses objetivos devem direcionar para uma definição clara dos objetivos de TI que, por sua vez, definem recursos e capacidades de TI necessários para executar de forma bem sucedida a parte que cabe à tecnologia da informação no cumprimento das estratégias da organização.

Definidos os objetivos, é preciso fazer com que eles sejam monitorados, para assegurar que a atual entrega de serviços através da TI atenda às expectativas estabelecidas. Isso é alcançado através de métricas, que são derivadas dos objetivos e tratadas em um balanced scorecard5.

O COBIT fornece uma ligação entre objetivos de negócio, objetivos de TI, processos de TI e critérios de informação. Estas ligações auxiliam a demonstrar o escopo do COBIT e a relação deste com os direcionados de negócio de uma organização.

A Figura 2 mostra o caminho pelo qual a estratégia da organização é traduzida em um balanced scorecard, que servirá para medir o desempenho da arquitetura de

5 Para entendimento dos objetivos de TI e dos scorecards por parte do cliente, deve-se expressar

estes resultados em linguagem de fácil entendimento desses clientes.


16

TI, formada por processos de TI que entregam informação utilizando-se de aplicações, infra-estrutura e pessoas.

FIGURA 2 Definição de objetivos de TI e arquitetu ra de TI (Adaptado de ITGI, 2007)

Recursos de TI

A organização de TI trata os objetivos da organização através de um conjunto definido de processo que utilizam habilidades de pessoas e infra-estrutura tecnológica para executar aplicações automatizadas de negócio fornecendo, assim, informações úteis à organização. Tais recursos, juntamente com os processos de TI, constituem uma arquitetura organizacional para a TI, como mostra a Figura 2.

Para responder aos requisitos de negócio relacionados a tecnologia da informação, uma organização precisa investir em recursos necessários para: (1) criar uma capacidade técnica (por exemplo, um Enterprise Recourse Planning (ERP)); (2) suportar a capacidade do negócio (por exemplo, a implementação de uma cadeia de valor); (3) alcançar um resultado esperado (por exemplo, aumentar as vendas e o retorno financeiro).

Os recursos de TI identificados pelo COBIT podem ser definidos como:

� aplicações: são sistemas automatizados ou procedimentos manuais que processam informação;


17

� informação: são os dados, incluindo informações de entrada para processos, informações processadas e saídas de processos, que são utilizados pelo negócio;

� infra-estrutura: consiste na tecnologia, tais como hardware, sistemas operacionais, banco de dados, e facilidades, tais como ambiente físico para abrigar servidores. A infra-estrutura habilita o processamento das aplicações;

� pessoas: são as pessoas requeridas para planejar, organizar, adquirir, implementar, entregar, dar suporte, monitorar e avaliar os sistemas de informação e os serviços. Tais pessoas podem ser colaboradores internos ou terceirizados.

A Figura 3 exemplifica como os objetivos de TI influenciam a maneira como os recursos de TI precisam ser gerenciados pelos processos para atingir os objetivos estabelecidos. Nesta figura, os objetivos da organização para a TI – requisitos de governança (que são alinhamento estratégico, entrega de valor, gerência de riscos, etc.) e resultados de negócio (por exemplo, resultados financeiros esperados ou número de vendas) direcionam recursos de TI (pessoas, informação, aplicação e infra-estrutura). Tais recursos, por sua vez, são gerenciados pelos processos de TI que precisam atender aos objetivos de tecnologia da informação.

FIGURA 3 Gerenciando recursos de TI e alcançando objetivos de TI (Adaptado de ITGI, 2007)


18

2.4 Orientação a processos

O COBIT define as atividades relacionadas a TI através de um modelo genérico de 34 processos organizados em quatro domínios: Planejamento e organização, Aquisição e implementação, Entrega de Suporte e Monitoramento e avaliação.

De acordo com o COBIT, qualquer serviço entregue pela TI e todo serviço fornecido para os processos de negócio necessitam ser integrados em um ciclo de vida de serviço de TI, representados pelos quatro domínios referenciados pelo COBIT.

A Figura 4 apresenta a organização dos processos de TI definidos pelo COBIT e a relação destes com critérios de informação e recursos de TI.

PessoasAplicações

Infra-estruturaInformação

EfetividadeEficiência

ConfidencialidadeIntegridade

DisponibilidadeConformidadeConfiabilidade

COBIT

INFORMAÇÃO

ENTREGA E SUPORTE

AQUISIÇÃO E IMPLEMENTAÇÃO

MONITORAÇÃO E AVALIAÇÃO

PLANEJAMENTO E ORGANIZAÇÃO

RECURSOS DE TI

Governança de TI

Objetivos de negócio

FIGURA 4 Framework COBIT (Adaptado de ITGI, 2007)


19

Ao longo dos quatro domínios, o COBIT identifica 34 processos de TI que são geralmente utilizados. Tais processos podem ser utilizados para verificar a completude de atividades e responsabilidades. No entanto, não é necessário aplicar todos os processos referenciados pelo COBIT, deve-se ter a prudência de aplicá-los conforme as necessidades específicas de cada organização.

Para cada um dos 34 processos de TI, o COBIT estabelece a ligação com objetivos de negócio e de TI. Além disso, são fornecidas informações sobre como os objetivos relacionados podem ser medidos, quais são as atividades e principais entregas do processo e quais agentes devem ser responsabilizados pelo processo.

Em suma, cada um dos processos do COBIT traz as seguintes informações:

� objetivos de controle;

� critérios de informação afetados pelo processo;

� recursos de TI utilizados pelo processo;

� foco do processo na governança de TI;

� entradas e saídas do processo;

� um diagrama de responsabilidades, denominado RACI chart6;

� objetivos e métricas relacionados ao processo.

A seguir, serão descritas as principais características dos quatro domínios do COBIT

2.4.1 Planejamento e organização

Este domínio cobre estratégias e táticas que estabelecem a melhor maneira como a TI poderá contribuir para o alcance dos objetivos de negócio. O planejamento e organização abrange as seguintes questões gerenciais:

� a TI e os objetivos estratégicos estão alinhados?

� a organização está utilizando os recursos de TI de forma ótima?

6 Os diagramas RACI definem o que e para quem as responsabilidades e atividades do processo

deverão ser delegadas. Para cada processo, o COBIT define um diagrama contendo um conjunto de atividades e os níveis de envolvimento para cada uma dessas atividades. Esses níveis encontram-se divididos em quatro categorias (Prestador de contas (Accountable), Responsável (Responsible), Consultado (Consulted) e Informado (Informed)) e são distribuídos a diferentes cargos de uma organização. De acordo com o COBIT, entender os papéis e responsabilidades para cada processo é fator fundamental para a governança de TI. Nos diagramas RACI fornecidos pelo COBIT, a pessoa que deve prestar contas (Accountable) deverá indicar direções a autorizar atividades relacionadas ao processo. O atributo “responsável” (Responsibility) é atribuído à pessoa que executa as atividades. Os outros dois atributos – consultado (Consulted) e informado (Informed) asseguram o envolvimento de pessoas necessárias para dar suporte à execução do processo.


20

� a organização como um todo entende os objetivos de TI?

� os riscos relacionados à TI são entendidos e gerenciados?

� a qualidade dos sistemas de TI é apropriada para as necessidades de negócio?

Para tratar tais questões, o COBIT define 10 objetivos de controle, que serão descritos a seguir.

PO1 - Definir um plano estratégico em TI

O plano estratégico de TI é necessário para gerenciar e direcionar os recursos de TI alinhados com as estratégias e prioridades de negócio. O pessoal da TI e os stakeholders são responsáveis por assegurar que o valor máximo seja obtido a partir do portfólio de projetos e de serviços. O plano estratégico melhora o entendimento dos stakeholders em relação às limitações e oportunidades da TI, avalia a desempenho atual, identifica as capacidades e as necessidades de recursos humanos e torna claro o nível de investimento requerido. A estratégia e as prioridades do negócio são refletidas no portfólio de projetos e executadas pelos planos táticos de TI, que especificam objetivos concisos, planos de ação e tarefas que são entendidas e aceitas tanto pela TI quanto pela alta administração.

Objetivos de controle detalhados:

� PO1.1 – Gerenciamento do valor da TI;

� PO1.2 – Alinhamento da TI aos negócios;

� PO1.3 – Avaliação das capacidades e desempenho atuais;

� PO1.4 – Plano estratégico de TI;

� PO1.5 – Planos táticos de TI;

� PO1.6 – Gerenciamento de portfólio de TI;

� PO2 – Definir a arquitetura da informação.

Os sistemas de informação criam e atualizam regularmente o modelo de informação dos negócios e define os sistemas apropriados para otimizar o uso de tais informações. Isto engloba o desenvolvimento de um dicionário de dados corporativo com regras sintáticas dos dados da organização, esquema de classificação de dados e níveis de segurança.O processo de definição da arquitetura de informação aumenta a qualidade de tomada de decisões gerenciais através de garantias de fornecimento de informações confiáveis e seguras, e possibilita a racionalização de recursos de sistemas de informação para atingir, de forma apropriada, as estratégias de negócio. Este processo de TI é também necessário para aumentar a confiabilidade através de integridade e segurança dos dados, além de aumentar a efetividade e o controle do compartilhamento de informação através de diversas aplicações, unidades de negócio e organizações.


21


� PO2.1 – Modelo de arquitetura de informação empresarial;

� PO2.2 – Dicionário de dados empresarial e regras sintáticas de dados;

� PO2.3 – Esquema de classificação de dados;

� PO2.4 – Gerenciamento de integridade de dados;

� PO3 – Determinar a direção tecnológica.

A função dos serviços que fornecem informação à organização determina a direção tecnológica para auxiliar os negócios. Isto requer a criação de um plano de infra-estrutura tecnológica e um comitê (grupo) de arquitetura que indicará e gerirá de forma clara e realista as expectativas sobre o que as diversas tecnologias disponíveis podem oferecer em termos de produtos, serviços e mecanismos de entrega. Planos que estabelecem direções tecnológicas são regularmente atualizados e englobam aspectos como a arquitetura de sistemas, direção tecnológica, planos de aquisição, padrões, estratégias de migração e contingências. Isto habilita respostas em tempo hábil para mudanças em um ambiente competitivo, economias em escala para equipes envolvidas em trabalhos relacionados a sistemas de informação e investimentos, bem como aumenta a interoperabilidade de plataformas e aplicações.


� PO3.1 – Planejamento da direção tecnológica;

� PO3.2 – Plano de infra-estrutura tecnológica;

� PO3.3 – Monitorar tendências futuras e regulamentações;

� PO3.4 – Padrões tecnológicos;

� PO3.5 – Comitês (grupo) de arquitetura de TI;

� PO4 - Definir os processos de TI, organização e relacionamentos.

Uma organização de TI é definida levando-se em consideração os requisitos de pessoal, de habilidades, funções, autoridades, papéis e responsabilidades e supervisão. Essa organização deve estar inserida em um framework de processos de TI que garanta transparência e controle tanto quanto o envolvimento dos executivos seniores e gerentes de negócio.

Um comitê de estratégia garante à gerência uma visão geral da TI e um ou mais comitês diretores (steering committees), no qual a TI e os responsáveis pelas decisões de negócio participam, determinam a priorização dos recursos de TI, alinhada com as necessidades do negócio. Processos, políticas administrativas e procedimentos são definidos para todas as funções, em especial para as de controle, qualidade, gerência de riscos, segurança da informação, posse de dados e sistemas


22

e segregação de responsabilidades. Para garantir suporte adequado aos requisitos de negócio, a tecnologia da informação deve estar envolvida em processos de tomada de decisão relevantes para a organização.


� PO4.1 – Definição de um framework de processos de TI;

� PO4.2 – Estabelecimento de comitê para estratégias de TI;

� PO4.3 – Estabelecimento de um comitê diretor de TI;

� PO4.4 – Distribuição organizacional das funções de TI;

� PO4.5 – Estabelecimento de estrutura organizacional de TI;

� PO4.6 – Estabelecimento de papéis e responsabilidades;

� PO4.7 – Responsabilidades pela garantia de qualidade da TI;

� PO4.8 – Comprometimento com riscos, segurança e conformidade;

� PO4.9 – Estabelecimento de posse de dados e sistemas;

� PO4.10 – Supervisão;

� PO4.11 – Separação de responsabilidades;

� PO4.12 – Avaliação da equipe de TI;

� PO4.13 – Definir e identificar pessoas envolvidas com a TI;

� PO4.14 – Estabelecimento de políticas e procedimentos para o pessoal contratado;

� PO4.15 – Estabelecimento e manutenção relacionamentos entre a TI e a organização como um todo;

� PO5 – Gerenciar investimentos em TI.

Um framework é estabelecido e mantido para gerenciar programas de investimentos em TI. Este framework engloba os custos, benefícios, priorizações dentro do orçamento estabelecido, processo formal de orçamento e gerenciamento de acordo com o orçamento. No processo de gerência dos investimentos em TI, os stakeholders são consultados para identificarem e controlarem, dentro do contexto dos planos estratégicos e táticos, os custos totais e os benefícios associados a tais custos e, caso seja necessário, iniciam ações corretivas. O processo de gerência dos investimentos em TI fomenta parcerias entre as equipes de TI e de negócios; possibilita o uso eficiente e eficaz dos recursos de TI; e provê transparência e responsabilidade em relação aos custos totais de propriedade (Total Cost of Ownership - TCO), obtenção de benefícios por parte dos negócios e um melhor retorno sobre os investimento em TI.


23


� PO5.1 – Estabelecimento de um framework de gerência financeira;

� PO5.2 – Implantar processos de tomada de decisão para estabelecer priorizações dentro do orçamento;

� PO5.3 – Implantação de práticas para estabelecer orçamentos;

� PO5.4 – Implantação de um gerenciamento de custos;

� PO5.5 – Gerenciamento de benefícios;

� PO6 – Comunicar metas e diretiva gerenciais.

A gerência desenvolve um framework de controle para a TI e define e comunica as políticas estabelecidas dentro deste framework. Um programa progressivo de comunicação é implementado para articular, dentre outros aspectos, a missão, objetivos de serviço, políticas e procedimentos etc., que são aprovados e subsidiados pela gerência de uma organização. A comunicação auxilia no alcance dos objetivos de TI e assegura o entendimento e a conscientização dos riscos envolvidos nos negócios e na TI. O processo de comunicação de metas e diretivas gerenciais também garante monitoração de regras relevantes e regulamentações.


� PO6.1 – Definição de políticas e controles para a TI;

� PO6.2 – Definição de um framework para tratamento de riscos e controles relacionados à TI;

� PO6.3 – Gerenciamento de políticas de TI;

� PO6.4 – Implantação de políticas, padrões e procedimentos;

� PO6.5 – Comunicação dos objetivos e diretivas de TI;

� PO7 – Gerenciar recursos humanos de TI.

Recursos humanos são contratados e gerenciados na organização para a criação e entrega de serviços de TI que são utilizados pelos negócios. Para tanto, é preciso definir práticas que suportem recrutamento, treinamento, avaliação de desempenho, promoção e desligamento de pessoas.

O processo de gerência de recursos humanos é fundamental para as organizações, na medida em que as pessoas são importantes ativos e a governança, juntamente com os controles internos, são altamente dependentes da motivação e da competências das pessoas que trabalham na organização.


24


� PO7.1 – Criação de processos de recrutamento e manutenção de pessoal;

� PO7.2 – Monitoramento de competências pessoais;

� PO7.3 – Definição dos papéis das equipes;

� PO7.4 – Treinamento de pessoal;

� PO7.5 – Dependência entre indivíduos;

� PO7.6 – Estabelecimento de procedimentos de verificação de experiência profissional;

� PO7.7 – Avaliação de desempenho de colaboradores;

� PO7.8 – Estabelecimento de procedimentos de mudança de cargo e desligamento de colaboradores;

� PO8 – Gestão de qualidade.

Um sistema de gestão de qualidade inclui processos e padrões testados para desenvolvimento e aquisição de recursos de TI. Para tanto, é necessário executar o planejamento, implementação e manutenção do sistema de gestão de qualidade através do fornecimento de requisitos claros de qualidade, além de procedimentos e padrões. Requisitos de qualidade são estabelecidos e comunicados através de indicadores alcançáveis e que possam ser quantificados. A melhoria contínua é alcançada por monitoração, análise e ações para controle de desvios nos critérios de qualidade e pela comunicação dos resultados aos stakeholders. A gestão de qualidade é essencial para assegurar que a TI esteja agregando valor ao negócio, processos de melhoria contínua e transparência para stakeholders.


� PO8.1 – Estabelecimento e manutenção de um sistema de gestão de qualidade;

� PO8.2 – Identificação e manutenção de padrões e práticas de qualidade para os processos de TI;

� PO8.3 – Adoção e manutenção de padrões para aquisição e desenvolvi-mento de recursos e serviços de TI;

� PO8.4 – Foco no cliente;

� PO8.5 – Estabelecimento de processos de melhoria contínua;

� PO8.6 – Mensuração de qualidade, monitoração e revisão;

� PO9 – Avaliar e gerenciar riscos de TI.


25

Um framework de gestão de riscos deve ser criado e mantido a fim de documentar os níveis de risco de TI, as estratégias de mitigação desses riscos e os riscos residuais. Através do processo de avaliação e gerência de riscos de TI qualquer impacto potencial nos objetivos da organização, causado por eventos não planejados deve ser identificado e analisado. O resultado da avaliação é compreensível para os stakeholders e expresso em termos financeiros, habilitando-os, assim, a direcionar os riscos a níveis toleráveis pela organização.


� PO9.1 – Estabelecimento de um framework de gestão de riscos em TI;

� PO9.2 – Contextualização dos riscos;

� PO9.3 – Identificação de eventos;

� PO9.4 – Avaliação de risco;

� PO9.5 – Resposta aos riscos;

� PO9.6 – Manutenção e monitoração do plano de ação;

� PO10 – Gerenciar projetos.

Um framework para gerenciamento de programas e projetos deve ser estabelecido para gerenciar todos os projetos relacionados à TI, garantindo a correta priorização e coordenação de projetos dessa natureza. Este framework inclui, dente outras especificações, a avaliação de recursos necessários, definição de entregas, fases e atividades, plano de testes, riscos envolvidos e revisões pós-implantação. Esta abordagem reduz o risco de custos inesperados e projetos cancelados, melhora a comunicação entre fornecedor e clientes, assegura a qualidade nas entregas do projeto, e maximiza a contribuição da TI em programas de investimentos.


� PO10.1 – Implantação e manutenção de framework de gestão de programas;

� PO10.2 – Implantação e manutenção de um framework de gestão de projetos;

� PO10.3 – Estabelecimento de abordagens de gerenciamento de projetos;

� PO10.4 – Obtenção de comprometimento dos stakeholders nos projetos de TI;

� PO10.5 – Documentação de escopo dos projetos;

� PO10.6 – Adoção de procedimentos para aprovação de iniciação de projeto;

� PO10.7 – Estabelecimento de um plano integrado para o projeto dos Objetivos de Controle;


26

� PO10.8 – Definição de recursos, papéis e responsabilidades para o projeto;

� PO10.9 – Gestão de riscos de projeto;

� PO10.10 – Plano de qualidade de projeto;

� PO10.11 – Controle de mudanças de projeto;

� PO10.12 – Planejamento dos métodos de segurança do projeto (controles internos e requisitos de segurança);

� PO10.13 – Monitoramento e medição de desempenho de projetos;

� PO10.14 – Fechamento de projeto.

2.4.2 Aquisição e implementação

Para executar as estratégias de TI, soluções relacionadas a este recurso necessitam ser identificadas, desenvolvidas e adquiridas, bem como implementadas e integradas aos processos de negócio. Além disso, mudanças e manutenções de sistemas já existentes são tratadas por este domínio, para assegurar que as soluções tecnológicas continuem a atender aos objetivos de negócio. O domínio de aquisição e implementação abrange as seguintes questões:

Novos projetos têm o potencial de entregar soluções que atendam aos objetivos de negócio?

Novos projetos serão entregues no prazo e dentro do orçamento?

Novos sistemas irão trabalhar de forma adequada quando implantados?

Mudanças serão feitas sem que haja interrupção das operações de negócio?


AI1 – Identificar soluções automatizadas

A necessidade de novas aplicações ou funções requer análise antes da aquisição ou criação de soluções, para assegurar que os requisitos de negócios sejam atendidos de forma efetiva e eficaz. O processo de identificação de soluções automatizadas cobre os aspectos referentes à definição das necessidades, consideração de recursos alternativos, análise de viabilidade tecnológica e econômica, análise de risco e de custo/benefício e decisões sobre desenvolver internamente ou adquirir soluções. Todas essas atividades habilitam a organização a minimizar os custos com aquisição e implementação de soluções, além de assegurar que tais soluções habilitem a organização a alcançar os objetivos de negócio.



27

� AI1.1 – Definição e manutenção de requisitos tecnológicos e funcionais de negócio;

� AI1.2 – Documentação da análise de riscos;

� AI1.3 – Estudo de viabilidade e formulação de cursos alternativos de ação;

� AI1.4 – Decisão e aprovação de requisitos e viabilidade;

� AI2 – Adquirir e manter software.

Aplicações são disponibilizadas de acordo com os requisitos de negócio. O processo de aquisição e manutenção de software cobre os aspectos relacionados ao projeto de aplicações, inclusão de controles e requisitos de segurança em aplicações e o desenvolvimento e configuração de acordo com padrões. Essas atividades permitem as organizações a suportarem de maneira adequada os processos de negócio através das aplicações de software corretas.


� AI2.1 – Especificação de alto nível para aplicações de software;

� AI2.2 – Projeto detalhado de aplicações de software;

� AI2.3 – Controles e auditoria em aplicações;

� AI2.4 – Segurança e disponibilidade de aplicações;

� AI2.5 – Configuração e implantação de softwares adquiridos;

� AI2.6 – Estabelecimento de procedimentos para atualizações em sistemas existentes;

� AI2.7 – Estabelecimento de padrões para desenvolvimento de aplicações de software;

� AI2.8 – Garantia de qualidade de software;

� AI2.9 – Gestão de requisitos de software;

� AI2.10 – Desenvolvimento de estratégias e planos para manutenção de aplicações de software;

� AI3 – Adquirir e manter infra-estrutura tecnológica.

Organizações têm processos para aquisição, implementação e atualização de infra-estrutura tecnológica. Isto requer uma abordagem planejada para aquisição, manutenção e proteção da infra-estrutura, de acordo com as estratégias de TI, assegurando que exista um suporte adequado da TI aos negócios.



28

� AI3.1 – Plano de aquisição de infra-estrutura tecnológica;

� AI3.2 – Assegurar proteção e disponibilidade de recursos de infra-estrutura de TI;

� AI3.3 – Manutenção de infra-estrutura;

� AI3.4 – Estabelecimento de ambientes de desenvolvimento e teste;

� AI4 – Habilitar operação e uso.

O processo de habilitação de operação e uso de infra-estruturas de TI requer a produção de documentações e manuais técnicos para usuários, além do fornecimento de treinamento para assegurar o uso adequado de aplicações e infra-estruturas de TI


� AI4.1 – Desenvolvimento de planos para documentação de aspectos técnicos e operacionais de infra-estruturas;

� AI4.2 – Transferência de conhecimento para gestão de negócios;

� AI4.3 – Transferência de conhecimento para usuários;

� AI4.4 – Transferência de conhecimento para grupos de operação e suporte;

� AI5 – Adquirir recursos de TI.

Recursos de TI, incluindo pessoas, hardware, software e serviços precisam ser adquiridos. Isto requer a definição e execução de procedimentos de aquisição, seleção de fornecedores, estabelecimento de contratos e a aquisição propriamente dita. Essas atividades asseguram que a organização possua todos os recursos de TI necessários, de forma eficiente, no tempo necessário e a custos adequados.


� AI5.1 – Controle de aquisições;

� AI5.2 – Gestão de contratos de fornecimento;

� AI5.3 – Seleção de fornecedores;

� AI5.4 – Aquisição de recursos de TI;

� AI6 – Gerir mudanças.

Todas as mudanças, incluindo manutenção de emergência e correções, relacionadas com infra-estrutura e aplicações no ambiente produtivo são formalmente geridas de maneira controlada. Antes da implantação efetiva, as mudanças (incluindo os procedimentos, processos, serviços e sistemas) devem ser registradas, avaliadas e autorizadas. Após a implantação, devem-se revisar as mudanças em relação ao planejamento feito anteriormente. Estas atividades de revisão asseguram a mitigação dos riscos que possam impactar negativamente a estabilidade ou integridade do ambiente produtivo da organização.



29

� AI6.1 – Estabelecimento de padrões e procedimentos para mudanças;

� AI6.2 – Avaliação de impactos, priorização e autorização de mudanças;

� AI6.3 – Definição de procedimentos para tratamento de mudanças de emergências;

� AI6.4 – Acompanhamento de mudanças;

� AI6.5 – Finalização e documentação de mudanças;

� AI7 – Instalar e autorizar soluções e mudanças.

Novos sistemas precisam ser colocados em operação assim que seu desenvolvimento for finalizado. Isso requer testes apropriados em um ambiente dedicado, a definição de instruções de implantação e migração, planejamento para liberação, a promoção para o ambiente de produção da empresa e, por último, a revisão pós-implantação. Esse processo garante que sistemas em operação estejam alinhados com as expectativas e objetivos da organização.


� AI7.1 – Treinamento de usuários;

� AI7.2 – Plano de teste;

� AI7.3 – Plano de implantação;

� AI7.4 – Definir o ambiente de teste;

� AI7.5 – Migração de sistemas e de dados;

� AI7.6 – Testes de mudanças;

� AI7.7 –Teste final de aceitação;

� AI7.8 – Promoção para o ambiente de produção;

� AI7.9 – Revisão pós-implantação.

2.4.3 Entrega e suporte

Este domínio trata das atuais entregas dos serviços, o que inclui entrega de serviços, gerenciamento de segurança e continuidade, suporte aos serviços e gerenciamento de dados e recursos operacionais. As principais questões referentes a este domínio são:

Os serviços de TI estão sendo entregues de acordo com as prioridades do negócio?

Os custos referentes à TI são otimizados?

Os colaboradores da organização estão aptos a utilizarem sistemas de TI de forma segura e produtiva?

Existem adequada confidencialidade, integridade e disponibilidade das informações?


30


DS1- Definir e Gerenciar os Níveis de Serviço.

A comunicação efetiva entre a gerência de TI e os clientes em relação aos serviços necessários é possibilitada pela definição e documentação dos serviços que serão fornecidos, bem como dos níveis de tais serviços. Esse processo também inclui monitoramento e entregas de relatórios que fornecem informações sobre o cumprimento dos acordos estabelecidos. O processo de definir e gerenciar acordos de nível de serviço permite o alinhamento entre os serviços de TI e os requisitos de negócio relacionados a estes serviços


� DS1.1 – Definição de um framework de gerenciamento de nível de serviço;

� DS1.2 - Definição dos serviços;

� DS1.3 – Definição de acordos de níveis de serviços;

� DS1.4 – Definição de acordos de níveis de operações;

� DS1.5 - Monitoramento e confecção de relatórios sobre os níveis de serviço alcançados;

� DS1.6 - Revisão dos acordos de nível de serviço e dos contratos;

� DS2 – Gestão de serviços terceirizados.

A necessidade de garantir que serviços terceirizados (fornecedores, vendedores e parceiros) estejam alinhados aos requisitos de negócio requer um processo efetivo de que se tenha uma definição clara dos papéis, responsabilidades e expectativas, que são estabelecidas através acordos e de processos e revisão e monitoramento destes acordos. Uma gerência efetiva de serviços terceirizados minimiza os riscos de negócio associados com não comprometimento de fornecedores.


� DS2.1 – Identificação dos relacionamentos com fornecedores;

� DS2.2 – Gestão de relacionamentos com fornecedores;

� DS2.3 – Gestão de riscos relacionados a fornecedores;

� DS2.4 – Monitoração de desempenho de fornecedores;

� DS3 – Gerir desempenho e capacidade.

A necessidade de gerir desempenho e capacidade de recursos de TI requer um processo para revisar periodicamente o atual desempenho e capacidade de recursos de TI. O processo de gestão de desempenho e capacidade inclui prognóstico de necessidades futuras, baseando-se em cargas de trabalho, requisitos de


31

armazenamento de dados e de contingências. Este processo provê garantias que recursos de informação necessários para suportar os requisitos de negócio estejam disponíveis continuamente.


� DS3.1 – Planejamento de desempenho e capacidade;

� DS3.2 – Avaliação de desempenho e capacidade atuais;

� DS3.3 – Avaliação de desempenho e capacidade futuras;

� DS3.4 – Disponibilidade de recursos de TI;

� DS3.5 – Monitoração e documentação de resultados;

� DS4 - Garantia de continuidade de serviço.

A necessidade de manter a continuidade de serviços de TI requer que sejam desenvolvidos, mantidos e testados planos de continuidade de TI, que utilizem backups externos e que forneçam planos de treinamento contínuos e periódicos. Um processo efetivo de continuidade de serviços minimiza a probabilidade e o impacto de uma interrupção nos serviços principais de TI, que suportam as principais funções e processos de negócio.


� DS4.1 – Estabelecimento de um framework de continuidade de TI;

� DS4.2 – Desenvolvimento de planos de continuidade de TI;

� DS4.3 - Levantamento de recursos críticos de TI;

� DS4.4 - Manutenção do Plano de Continuidade de TI;

� DS4.5 - Teste do Plano de Continuidade de TI;

� DS4.6 -Treinamento em relação ao Plano de Continuidade de TI;

� DS4.7 - Distribuição do Plano de Continuidade de TI;

� DS4.8 – Definição de planos para recuperação e retomada de serviços;

� DS4.9 - Armazenamento externo de backups;

� DS4.10 - Revisão pós retomada de serviços de TI;

� DS5 – Garantir segurança de sistemas.

A necessidade de manter a integridade da informação e proteger ativos de TI requer um processo de gestão de segurança. O processo de garantir a segurança de sistemas inclui o estabelecimento e manutenção de papéis e responsabilidades, políticas, padrões e procedimento relacionados à segurança. A gestão de segurança também inclui monitoramento, testes periódicos e implantação de ações corretivas frente a incidentes e ameaças. Uma gestão de segurança efetiva protege todos ativos de TI para minimizar o impacto nos negócios por vulnerabilidades de segurança e incidentes.


32


� DS5.1 – Gestão de segurança de TI;

� DS5.2 – Definição do plano de segurança de TI;

� DS5.3 – Gestão de identificações de usuários a atividades em sistemas de TI;

� DS5.4 – Gestão de contas de usuários em sistemas;

� DS5.5 – Testes de segurança, vigilância e monitoração;

� DS5.6 – Definição de incidentes de segurança;

� DS5.7 – Proteção de tecnologias de segurança;

� DS5.8 – Gestão de chaves criptográficas;

� DS5.9 – Prevenção, detecção e correção de softwares maliciosos;

� DS5.10 – Segurança de rede;

� DS5.11 – Tratamento de trocas de dados sensíveis;

� DS6 – Identificar e alocar custos.

A necessidade de um sistema claro e equilibrado para alocação de custos em TI requer medições precisas dos custos de TI e acordo com usuários e clientes. O processo de identificação e alocação de cursos inclui procedimentos de identificação, alocação e comunicação dos custos que envolvem a TI para clientes e usuários de serviços de TI. Um sistema justo de alocação habilita a organização a tomarem decisões sábias em relação ao uso de serviços de TI.


� DS6.1 – Definição de serviços;

� DS6.2 – Identificação e alocação dos custos de TI;

� DS6.3 – Definição de custos e cobrança;

� DS6.4 – Manutenção de modelo de custos;

� DS7 – Educar e treinar usuários.

Educar de forma efetiva os usuários de sistemas de TI, incluindo pessoas dentro do setor de TI, requer a identificação das necessidades de treinamento para cada grupo de usuários. Além disso, para identificar as necessidades, o processo de educação e treinamento de usuários inclui a definição e execução de uma estratégia para treinamento e medição de resultados. Um programa de treinamento efetivo aumenta o uso efetivo das tecnologias através de redução dos erros dos usuários, aumentando a produtividade e a conformidade com controles relevantes, como medição de segurança dos usuários.



33

� DS7.1 – Identificação de necessidades de educação e treinamento;

� DS7.2 – Treinamento e educação;

� DS7.3 – Avaliação de treinamento recebido;

� DS8 - Gerenciar o Service Desk e incidentes.

Respostas rápidas e efetivas a pedidos de usuário requerem uma central de serviços (service desk) e um processo de gerência de incidentes. O processo de gerência de service desk e incidentes inclui o estabelecimento de uma central de serviços que executa registro, escalonamento de incidentes, análise e resolução. Os benefícios do estabelecimento deste processo incluem aumento de produtividade através da rápida resolução de chamadas de clientes.


� DS8.1 - Service Desk;

� DS8.2 - Registro das chamadas de usuários;

� DS8.3 - Escalonamento de incidentes;

� DS8.4 - Encerramento de incidentes;

� DS8.5 - Documentação e análise de tendências em relação ao service desk e incidentes;

� DS9 - Gerência de configuração.

Garantir a integridade nas configurações de hardware e software requer a implantação e manutenção de um repositório de configuração confiável e completo. O processo de gerência de configuração inclui o levantamento inicial de informações de configuração, estabelecimento de bases de dados, verificação, auditoria e atualização de configurações, quando necessário. Uma gerência de configuração efetiva proporciona maior disponibilidade de sistema e minimiza o tempo de resolução de incidentes


� DS9.1 - Estabelecer repositório de configuração;

� DS9.2 - Identificação e manutenção de itens de configuração;

� DS9.3 - Revisão de integridade de configuração;

� DS10 - Gerenciamento de problemas.

O gerenciamento efetivo de problemas requer a identificação e a classificação dos problemas, análise das causas e a resolução. O processo de gerenciamento de problemas também inclui a formulação de recomendações para melhorias, manutenção de registros de problemas e revisão do status das ações corretivas. Um processo efetivo de gerenciamento de problemas maximiza a disponibilidade do sistema, melhora os níveis de serviço, reduz custos e melhora a satisfação dos clientes.


34


� DS10.1 - Identificação e classificação dos problemas;

� DS10.2 - Rastreamento e resolução de problemas;

� DS10.3 - Fechamento de problemas;

� DS10.4 - Integração das gerências de configuração, incidentes e problemas;

� DS11- Gestão de dados.

A gestão efetiva de dados requer identificar requisitos de dados. O processo de gerência de dados inclui o estabelecimento de procedimentos efetivos para gerir bibliotecas de mídia, backups e recuperação de dados e descarte de dados. Este processo auxilia no fornecimento de qualidade e disponibilidade de dados necessários para os processos de negócio.


� DS11.1 – Requisitos do negócio para gestão de dados;

� DS11.2 – Definição de arranjos para armazenamento e retenção de dados;

� DS11.3 – Definição de sistema de gestão de biblioteca de mídia;

� DS11.4 – Descarte de recursos de TI;

� DS11.5 – Backup e restauração;

� DS11.6 – Requisitos de segurança para gestão de dados;

� DS12 – Gestão de ambiente físico.

A proteção de computadores e pessoas requer a existência de ambientes físicos bem projetados e bem gerenciados. O processo de gestão de ambientes físicos inclui a definição de requisitos para a definição de localidades, seleção de localidades apropriadas e projeto de processos para monitoramento de fatores ambientais. Uma gestão efetiva de ambientes físicos reduz interrupções de processos de negócio provocadas por danos em equipamentos e pessoas.


� DS12.1 – Definição de áreas e layout;

� DS12.2 – Medidas de segurança física;

� DS12.3 – Definição de procedimento para determinar o acesso físico a ambientes;

� DS12.4 – Proteção contra fatores ambientais;

� DS12.5 – Gestão de facilidades físicas;

� DS13 – Gestão de operações.

Processamento completo e exato de dados requer gestão efetiva de procedimentos de processamento de dados e manutenção preventiva de hardware. O


35

processo de gestão de operações inclui a definição de políticas operacionais para um gerenciamento efetivo para o processamento, proteção de dados sensíveis, monitoramento de desempenho da infra-estrutura a assegurar manutenção preventiva de hardware. Uma gestão efetiva de operações auxilia a manutenção da integridade de dados e reduz custos operacionais.


� DS13.1 – Definição de procedimentos operacionais e instruções;

� DS13.2 – Organizar escalonamento dos processos e atividades;

� DS13.3 – Monitoração de infra-estrutura;

� DS13.4 – Tratamento de documentos sensíveis e dispositivos de saída;

� DS13.5 – Manutenção preventiva de hardware.

2.4.4 Monitoramento e avaliação

Todos os processos de TI precisam ser regularmente avaliados em relação à qualidade e conformidade com requisitos de controle. O domínio de monitoramento e avaliação trata da gestão de desempenho, monitoramento interno. Conformidade com regulamentos e governança. As principais questões que tratam deste domínio são:

O desempenho da TI é medido para detecção de problemas, antes que estes aconteçam?

A gerência assegura que controles internos são efetivos e eficientes?

O desempenho da TI pode ser relacionado aos objetivos de negócio?

Existem controles para confidencialidade, integridade e disponibilidade?


ME1 – Monitorar e avaliar desempenho de TI

Uma gestão efetiva de desempenho de TI requer um processo de monitoração. O processo de monitorar e avaliar o desempenho da TI inclui a definição de indicadores relevantes de desempenho, documentação sistemática e ações adequadas para tratamento de desvios de desempenho. O monitoramento é necessário para garantir que as coisas certas estão sendo feitas e estão alinhadas com os objetivos e políticas da organização.


� ME1.1 – Estabelecimento de uma abordagem de monitoração;

� ME1.2 – Definição e coleta de dados da monitoração;

� ME1.3 – Estabelecimento de métodos de monitoração;

� ME1.4 – Avaliação de desempenho;

� ME1.5 – Fornecimento de relatórios para a alta direção e executivos;


36

� ME1.6 – Identificar ações corretivas;

� ME2 – Monitorar e avaliar controle interno.

Estabelecer um programa de controle interno para TI requer um processo de monitoração bem definido. O processo de monitoramento e avaliação de controles internos inclui o monitoramento e documentação de exceções aos controles, ou seja, situações onde tais controles não são válidos, resultados de auto-avaliação e revisões de serviços terceirizados. Um importante benefício desse processo inclui o fornecimento de garantias de eficiência operacional e conformidade com leis e regulamentações.


� ME2.1 – Monitoramento dos controles internos;

� ME2.2 – Executar revisões de supervisão;

� ME2.3 – Identificar exceções aos controles;

� ME2.4 – Controlar processos de auto-avaliação;

� ME2.5 – Fornecimento de garantia de controle interno;

� ME2.6 – Controle interno de fornecimentos;

� ME2.7 – Identificar ações corretivas;

� ME3 – Garantir conformidade com regulamentações externas.

Assegurar conformidade com requisitos externos requer o estabelecimento de um processo capaz de identificar requisitos de conformidade, avaliá-los e responder a tais requisitos, obtendo a garantia de que esses requisitos serão cumpridos por parte da TI.


� ME3.1 – Identificação de legislações, regulamentações externas e critérios de conformidade com requisitos contratuais;

� ME3.2 – Otimização de respostas para requisitos externos;

� ME3.3 – Avaliação de conformidades com requisitos externos;

� ME3.4 – Assegurar conformidade;

� ME3.5 – Integração da produção de relatórios sobre a TI com critérios de conformidade;

� ME4 – Prover governança de TI.

Implantar um framework de governança efetivo inclui definição de estruturas organizacionais, processos, lideranças, papéis e responsabilidades para garantir que investimentos em TI sejam alinhados e entregues de acordo com estratégias e objetivos de negócios.


37


� ME4.1 – Implantação de um framework de governança de TI;

� ME4.2 – Alinhamento estratégico;

� ME4.3 – Entrega de valor a partir da TI;

� ME4.4 – Gestão de recursos;

� ME4.5 – Gestão de riscos;

� ME4.6 – Medição de desempenho;

� ME4.7 – Obtenção de garantia de conformidade da TI.

2.5 Abordagem de controle

O COBIT define objetivos de controle para todos os 34 processos de TI.

Controles são definidos como políticas, procedimentos, práticas e estruturas organizacionais, que são designados a promover segurança no alcance dos objetivos de negócio e na prevenção, detecção e correção de eventos indesejados.

Os objetivos de controle do COBIT fornecem um conjunto completo de requisitos de alto nível a serem considerados no controle de cada processo de TI. Em suma, os objetivos de controle podem ser descritos como:

� são ações gerenciais com o objetivo de aumentar o valor e reduzir os riscos dos processos de TI;

� consistem em políticas, procedimentos, práticas e estruturas organizacionais;

� são designados a promoverem segurança no alcance dos objetivos de negócio e na prevenção, detecção e correção de eventos indesejáveis.

Ao implantar objetivos de controle relativos a cada processo de TI relevante para a organização, deve-se considerar as seguintes orientações:

� selecione os objetivos de controle aplicáveis, considerando as características peculiares de cada organização;

� escolha como implementar os controles, considerando abrangência, critérios de automatização e freqüência de cada controle;

� entenda os riscos de não aplicar cada controle selecionado.


38

A Figura 5 apresenta um modelo padrão que explica o princípio de funcionamento de um controle. Quando a temperatura ambiente (padrão) é estabelecida para um sistema de calefação (processo), este sistema irá checar constantemente (comparação) a temperatura ambiente (informação de controle) e irá sinalizar (agir) sobre o sistema de calefação para que este forneça mais ou menos calor.

FIGURA 5 Modelo de controle (Adaptado de ITGI, 20 07)

Cada um dos 34 processos referenciados pelo COBIT possui uma descrição e

um número de objetivos de controle. De forma resumida, tais objetivos de controle constituem em características de um projeto bem gerenciado.

Os objetivos de controle são identificados pela sigla correspondente ao domínio do processo, seguido do número do processo e do número do objetivo de controle. Por exemplo, o objetivo de controle número 10 do processo número 10 do domínio Planejamento e organização é identificado como PO10.10 Plano de qualidade do projeto.

Além dos objetivos de controle, cada processo do COBIT possui requisitos de controle genéricos, que são identificados como PCn, em que n é o número do controle do processo. Tais controles devem ser considerados juntamente com os objetivos de controle para se ter uma visão completa dos controles relacionados a cada processo. Os controles de processo referenciados pelo COBIT são:

� PC1 Metas e objetivos do processo. Define e comunica objetivos e metas para uma execução efetiva de cada processo de TI, além de assegurar que esses processos sejam ligados aos objetivos de negócio e sejam suportados por métricas consistentes;


39

� PC2 Propriedade de processo. Atribui um proprietário para o processo. Define de forma clara as responsabilidades e papéis para o proprietário do processo. Esse controle inclui responsabilidades para o desenho de processos, interação com outros processos, resultados do processo, medição de desempenho e identificação de oportunidades de melhoria;

� PC3 Repetitividade do processo. Controle responsável por garantir que um processo pode ser repetido ao longo do tempo e produzir sempre os resultados esperados;

� PC4 Papéis e responsabilidades. Define atividades-chave e entregas de cada processo. Esse controle estabelece papéis e responsabilidades para a execução das atividades-chave do processo;

� PC5. Políticas, planos e procedimentos. Define e comunica como as políticas, planos e procedimentos que direcionam o processo são documentados, revisados, mantidos, aprovados, comunicados e utilizados. Esse controle atribui responsabilidades para cada uma das atividades descritas acima, além de assegurar que as políticas, planos e procedimentos são acessíveis, corretos, entendidos e atualizados;

� PC6 Melhoria de desempenho de processo. Identifica um conjunto de métricas que fornecem, controlam os resultados e o desempenho do processo. Esse controle estabelece metas que refletem os indicadores de desempenho que habilitam o alcance dos objetivos estabelecidos para o processo. Define como as informações relativas ao processo podem ser obtidas e as compara com as metas estabelecidas; quando desvios são encontrados, ações corretivas devem ser estabelecidas.

Controles bem estabelecidos reduzem os riscos, aumentam a probabilidade de entregar valor e a eficiência dos processos. O COBIT fornece exemplos ilustrativos7 de: (i) Entradas e saídas genéricas; (ii) Atividades e orientações sobre responsabilidades em diagramas RACI; (iii) Objetivos chave para atividades; (iv) métricas.

2.6 Orientação a medições

Uma necessidade básica para toda organização é entender o status dos sistemas de TI e decidir qual o nível de controle e gerenciamento deve ser provido. Nesse sentido, para decidir os níveis de controle e gerenciamento sobre a tecnologia da informação, as organizações devem-se fazer o seguinte questionamento: Onde

7 De acordo com o COBIT, esses controles não são prescritivos ou completos, devendo servir de

inspiração para o estabelecimento de controles específicos para cada organização.


40

queremos chegar? Os custos de se chagar a este ponto são justificados em termos de benefícios?

Obter uma visão objetiva do desempenho da organização não é uma tarefa fácil. O que deve ser medido e como será medido? Essa é a questão-chave para a criação de uma visão adequada do desempenho da TI na organização.

As organizações precisam medir onde estão, onde as melhorias são necessárias e implementar um conjunto de práticas e recursos para monitorar estas melhorias. O COBIT trata essas questões fornecendo um conjunto de orientações que abrange:

- Modelos de maturidade que habilitam a execução de benchmarking e a identificação de capacidades que precisam ser melhoradas;

- Métricas relacionadas a desempenho e objetivo para processos de TI, que demonstram como processos atendem objetivos de negócio e de TI. Tais métricas são utilizadas para a medição dos processos internos baseando-se nos princípios do Balanced Scorecard (BSC);

- Objetivos de atividades, que possibilitam um desempenho efetivo dos processos.

A seguir, serão detalhadas cada uma dessas orientações referenciadas pelo COBIT para a medição dos processos de TI.

2.6.1 Modelo de maturidade

Atualmente, as organizações necessitam cada vez mais considerar a efetividade do gerenciamento da TI. Para tanto, é necessário o desenvolvimento de níveis de controle e gerenciamento apropriados sobre a tecnologia da informação, considerando um balanceamento entre custos e benefícios e as seguintes questões:

O quê os nossos concorrentes estão fazendo, e como nossa organização está em relação a eles?

Quais são as boas práticas do mercado e como nós estamos em relação a tais práticas?

Baseado nessas comparações, pode-se dizer que estamos fazendo o suficiente?

Como podemos identificar o que é necessário ser feito para alcançar um nível adequado de controle e gerenciamento dos processos de TI?

Responder a tais questões não é uma tarefa fácil. Organizações freqüentemente executam benchmarks e auto-avaliações para saber o que precisa ser feito e como fazer. Partindo dos processos referenciados pelo COBIT, proprietários de processos podem utilizar objetivos de controle para executar benchmarks de forma incremental, atendendo a três necessidades da organização:


41

� medição de onde a organização está;

� decidir para onde se deve ir;

� medir o progresso das melhorias em relação aos objetivos estabelecidos.

Modelos de maturidade para gerenciamento e controle de processos de TI são baseados em um método de avaliar a organização, de forma que esta pode ser ranqueada a partir de um nível de maturidade. Esta abordagem é derivada de um modelo de maturidade proposto pelo Software Engineering Institute (SEI), que é utilizado para avaliar a maturidade de desenvolvimento de software.

No COBIT, um modelo de maturidade é definido para cada um dos 34 processos de TI, fornecendo uma escala de medição incremental, que vai de 0 (não existente) até 5 (otimizado), a Tabela 3 descreve estes níveis. Através desse modelo, pode-se identificar:

� o atual desempenho da organização (Onde se está atualmente);

� o atual status do mercado (Comparação com o mercado);

� as metas da organização em termos de melhorias (Onde a organização deseja estar).


42

TABELA 3 Descrição dos níveis de maturidade refere nciados pelo COBIT (Adaptado de ITGI, 2007)

Nível Descrição

0 Não existente Completa falta de um processo reconhecível

1 Inicial Existem evidências de que a organização reconhece a necessidade de estabelecimento do processo. No entanto, tal processo não se encontra padronizado, ao invés disso, existe uma abordagem adhoc, aplicada de acordo com a visão de cada indivíduo

2 Repetitivo, mas intuitivo O processo encontra-se desenvolvido a ponto de estabelecer procedimentos similares que são seguidos por diferentes pessoas que executam a mesma atividade. Não existe treinamento formal ou procedimentos para comunicação de procedimentos. Nesse nível, existe um alto grau de confiança no conhecimento das pessoas, podendo ocorrer erros.

3 Processo definido Procedimentos referentes ao processo são padronizados e documentados e existem atividades de comunicação e treinamento. No entanto, não existem procedimentos relacionados a controle, o que aumenta a probabilidade de ocorrerem desvios. O processo não é sofisticado, mas os procedimentos executados são documentados, comunicados e treinados com os colaboradores.

4 Gerenciado e mensurável Existem procedimentos de monitoramento e medição de conformidade com padrões estabelecidos. Além disso, ações corretivas são executadas quando ocorrem os desvios. O processo encontra-se constantemente em melhoria e fornecem boas práticas à organização. Ferramentas e recursos de automação são utilizados de forma limitada.

5 Otimizado Baseando-se em resultados de procedimentos de melhoria contínua e em bechmarking com concorrentes, são utilizados recursos de tecnologia da informação para automatizar workflows, fazendo com que a organização se adapte facilmente a mudanças.

Os atributos relacionados aos níveis de maturidade listam as características de gerenciamento dos processos de TI e descrevem como estas evoluem de um processo não existente (nível 0) para um processo otimizado (nível 5). Tais atributos são:

� consciência e comunicação;

� políticas, planos e procedimentos;

� ferramentas e automação;

� habilidades e experiência;

� responsabilidades;

� estabelecimento e medição de objetivos.


43

Os níveis de maturidade são estabelecidos como perfis para os processos de TI. Através de tais perfis pode-se descrever o estado presente e o estado futuro (desejado) de um processo. No entanto, ao utilizar o modelo de maturidade do COBIT, deve-se ter em mente que esse não deve ser utilizado como um modelo rígido, onde não se pode mover para níveis superiores sem antes cumprir todas as condições de níveis anteriores. Ao contrário do modelo proposto pelo SEI, o modelo de maturidade do COBIT não tem a intenção de medir níveis de forma precisa. Os resultados de medições de maturidade através do modelo proposto pelo COBIT resultarão em um perfil, em que condições relevantes de vários níveis de maturidade serão atendidas, como mostra a Figura 6.

0

0,1

0,2

0,3

0,4

0,5

0,6

0,7

Nível 1 Nível 2 Nível 3 Nível 4 Nível 5

Maturidade

FIGURA 6 Exemplo de maturidade para um processo d e TI (Adaptado de ITGI, 2007)

Esta situação ocorre porque, ao avaliar a maturidade dos processos através do modelo do COBIT, em muitos casos, determinados pontos estarão posicionados em diferentes níveis, caso não estejam completos ou suficientes para a organização. Essas deficiências podem ser tratadas em melhorias futuras. Por exemplo, determinadas partes do processo podem estar bem definidas, ao passo que outras podem estar incompletas.

Dada esta característica do modelo, para tornar os resultados mais claros e úteis, pode-se utilizar o gráfico exposto na Figura 7.


44

FIGURA 7 Representação gráfica de maturidade para u m processo de TI (Adaptado de ITGI, 2007)

A vantagem de se utilizar um modelo de maturidade está na facilidade em posicionar a organização em uma escala e avaliar o que deve ser envolvido caso seja necessária uma melhoria de desempenho. A escala inclui o nível 0 porque, em certos casos, é possível que o processo não exista na organização. A escala de 0 a 5 baseia-se em um modelo simples de maturidade e é capaz de mostrar como um processo evolui de não existente para otimizado.

No entanto, maturidade de processo não é o mesmo que desempenho de processo. A maturidade requerida para um processo, determinada pelos objetivos de negócio e de TI, pode não ser a mesma em toda a organização. Já a medição de desempenho, que será tratada na próxima seção, é essencial para determinar o desempenho da organização em relação aos processos de TI.

2.6.2 Medidas de resultado e indicadores de desem penho

Objetivos e métricas são definidos no COBIT em três níveis:

� objetivos e métricas de TI que definem o quê os especialistas no negócio da organização esperam da TI e como mensurar tais expectativas;

� objetivos e métricas relacionados a processos, que definem quais processos de TI precisam entregar para suportar os objetivos de TI e como mensurar este suporte;

� objetivos e métricas relacionados a atividades, que estabelecem o que precisa acontecer dentro do processo para que se alcance o desempenho desejado e como mensurar tal alcance.


45

Os objetivos são definidos de modo que um objetivo de negócio irá determinar um determinado número de objetivos de TI para suportá-lo. Sendo assim, os objetivos de TI auxiliam na definição de um conjunto de objetivos de processo, que, por sua vez, irá requerer um conjunto de atividades que estabelecem objetivos relacionados. A Figura 8 fornece exemplos de relacionamento entre objetivos de negócio, TI, processo e atividade.

Manter liderança e reputação da empresa

Assegurar que os sistemas

possam resistir a ataques

Detectar e eliminar

acessos não autorizados

Assegurar que os sistemas

possam resistir a ataques

Entender requisitos de segurança,

vulnerabilidades e ameaças

Detectar e eliminar

acessos não autorizados

Objetivo denegócio

Objetivo de Processo

Objetivo de TI

Objetivo de TI Objetivo de Processo

Objetivo de Atividade

FIGURA 8 Exemplo de relacionamento entre objetivo s (Adaptado de ITGI, 2007)

Para controlar tais objetivos, o COBIT estabelece um conjunto de métricas. Os termos KGI (Indicadores-chave de objetivo) e KPI (indicadores chave de desempenho), tratados em versões anteriores do COBIT, foram substituídos na versão 4.1 por dois tipos de métricas associadas aos objetivos:

Medidas de resultado, anteriormente referenciadas como indicadores chave de objetivo, que indicam se tal objetivo foi ou não alcançado. Sendo assim, esta métrica só pode ser utilizada após ter ocorrido um fato (por exemplo, após o fechamento do balanço de uma empresa ou após o término de um projeto);

Indicadores de desempenho, anteriormente referenciados como Indicadores chave de desempenho, que indicam se um objetivo será ou não alcançado. Esta métrica deve ser utilizada antes da ocorrência de um resultado (como, por exemplo, o final de um projeto, ou, antes do fechamento do balanço financeiro mensal de uma empresa). A utilidade desse tipo de métrica está em dar uma visão de como a organização está desempenhando as atividades para alcançar os resultados esperados (que podem ser medidos pelos indicadores de resultado).

A Figura 9 ilustra um exemplo de possíveis medidas de resultados para um conjunto de objetivos de negócio, TI, processo e atividade.


46

FIGURA 9 Exemplo de medidas de resultado para obje tivos (Adaptado de ITGI, 2007)

Apesar de haver distinção entre os dois tipos de métricas descritos acima, no

COBIT estes conceitos não são rígidos. As medidas de resultado indicadas no nível inferior tornam-se indicadores de desempenho do nível superior. Tomando como exemplo a situação indicada na Figura 9, um indicador de resultado que trata de detecção e resolução de acesso não autorizado também indicará a necessidade de recuperação e resistência de serviços de TI frente a ataques. Sendo assim, uma medição de resultado torna-se indicador de desempenho do objetivo indicado no nível superior. A Figura 10 ilustra um exemplo de como medidas de resultado tornam-se métricas de desempenho.

FIGURA 10 Exemplo de indicadores de desempenho (A daptado de ITGI, 2007)


47

Desta maneira, as métricas fornecidas são tanto medidas de resultado como indicadores de desempenho para objetivos, processos e atividades. A Figura 11 ilustra o relacionamento entre objetivos de negócio, TI, processo e atividade com as métricas estabelecidas. Do lado superior esquerdo para o lado superior direito, os objetivos são expostos. Abaixo desses objetivos, encontram-se as medidas de resultado para cada objetivo. Estas métricas são também indicadores de desempenho do objetivo estabelecido no nível superior.

FIGURA 11 Relacionamento entre objetivos e métric as (Adaptado de ITGI, 2007)

2.7 Relacionamento entre os componentes do COBIT

Como ressaltado em seções anteriores, o COBIT une requisitos de negócio para informação e governança aos objetivos de TI. O modelo de processo estabelecido pelo COBIT possibilita, através dos objetivos de controle, gerenciar e controlar de maneira adequada as atividades e recursos de TI. Além disso, tais atividades e recursos podem ser monitorados através de métricas. A Figura 12 ilustra como isso acontece.


48

FIGURA 12 Modelo de gerenciamento, controle, alin hamento e monitoramento do COBIT (Adaptado de ITGI, 2007)

Os três componentes do COBIT mencionados em seções anteriores – processos de TI, requisitos de informação e recursos de TI – formam um cubo que ilustra a função de TI em uma organização. As três dimensões desse cubo são ilustradas na Figura 13.


49

FIGURA 13 Cubo do COBIT (Adaptado de ITGI, 2007)

Por fim, tais componentes se relacionam para prover governança de TI em uma organização. A Figura 14 ilustra como os objetivos de negócio são relacionados em objetivos, processos e TI que, por sua vez, são divididos em atividades, medidos por indicadores de desempenho, medidas de resultado e modelos de maturidades e controlados por objetivos de controle.


50

Figura 14 inter-relação entre componentes do COBI T (Adaptado de ITGI, 2007)

3 INTRODUÇÃO AO

MODELO SWOT

3.1 INTRODUÇÃO

Especialistas em negócios caracterizam o atual ambiente de negócios como sendo de alta velocidade e hiper competitivo. Essa constatação significa que o cenário pode mudar devido ao rápido desenvolvimento tecnológico e mudanças no comportamento de concorrentes, consumidores, reguladores, fornecedores, entre outros. Neste novo cenário de negócios, consumidores esperam cada vez mais das organizações; concorrentes introduzem rapidamente novos produtos, inovam em canais de distribuição e copiam inovações um dos outros. Empresas redesenham suas fronteiras de mercado na medida em que globalizam suas operações em resposta ao ambiente competitivo. Nesse contexto mudança – ou mudança acelerada – é o termo chave para entender a nova realidade de negócios que as organizações enfrentam (AKHTER, 2002).

Situações de mudanças aceleradas requerem um dinamismo na criação de estratégias que sejam realmente competitivas. Estratégias consagradas no passado não garantem a sobrevivência no futuro, uma vez que o ambiente competitivo encontra-se em constante transição (MARTINS e TURRIONI 2002).

Toda organização é confrontada com uma variedade de fatores internos e externos que por um lado podem ser um fator de estímulo, mas que por outro podem implicar do forma negativa no alcance dos objetivos e em uma diminuição de desempenho de uma empresa (HOUBEN et al. 1999).

Diante dessa situação, considera-se como primeiro passo para a formulação de estratégias eficazes, a identificação e avaliação desses fatores internos e externos.

Um bom desempenho da organização pode ser resultado da interação adequada da organização com o seu ambiente. Tal ambiente pode ser de natureza interna ou externa à organização. Ainda, considera-se necessário concentrar os


52

objetivos da empresa à luz de suas forças e, ao mesmo tempo, eliminar ou reverter as fraquezas. Nesse sentido responder a forças e fraquezas internas pode constituir-se em um componente essencial para o planejamento estratégico das organizações.

No entanto, o sucesso pode não advir somente a partir de fatores internos. O sucesso é fruto da combinação de forças e fraquezas internas com oportunidades e ameaças externas (HOUBEN et al., 1999).

O reconhecimento de forças e fraquezas internas e de oportunidades e ameaças externas constitui a base do framework SWOT, que constitui na avaliação de pontos fortes (Strenghts) pontos fracos (Weaknesses), oportunidades (Opportunities) e ameaças (Threats). Conforme já mencionado nesse trabalho, esse framework, concebido por Kenneth R. Andrews, na década de 1960, e foi responsável por fundamentar a área de estratégia (Collis e Montgomery, 1995). Por meio desse framework pode-se realizar a análise SWOT, que constitui-se em um meio efetivo para a formulação de estratégias.

A seguir, serão descritas as principais características do framework SWOT.

3.1.1 Estrutura do framework

De acordo com Martins e Turrioni (2002), embora o campo de estudo de estratégia tenha se desenvolvido e crescido em muitas direções, trabalhos recentes continuam a utilizar o modelo SWOT como peça central para a criação das estratégias.

Para a implantação de uma análise SWOT deve-se analisar os seguintes pontos em uma organização (Boar, 2001; Martins e Turrioni, 2002; Collis e Montgomery, 1995):

Forças : consiste na determinação dos pontos fortes da organização. Algumas questões básicas que podem ser utilizadas para esse levantamento são:

Há alguma vantagem inigualável ou distinta que faz sua organização se destacar? Que faz com que os clientes escolham sua organização ao invés da concorrente?

Há algum produto ou serviços que o concorrente não pode imitar (agora e no futuro)?

Fraquezas : consiste na determinação das fraquezas de sua organização, não somente de seu ponto de vista, mas também, o mais importante, de seus clientes. Embora possa ser difícil para a organização reconhecer suas fraquezas, é melhor encarar a realidade, sem procrastinar, aproveitando a oportunidade de sabê-las e ter condições de tratá-las. Algumas questões básicas que podem ser utilizadas para esse levantamento são:

Introdução ao modelo SWOT

53

� Existem operações ou procedimentos que podem ser melhorados?

� No que ou por que seus concorrentes operam melhor que a sua organização?

� Existe algo inoperante da qual sua empresa deveria estar ciente?

� Seus concorrentes têm um determinado segmento de mercado conquistado?

Oportunidades : consiste na determinação de como a organização pode continuar a crescer dentro de seu mercado. Afinal, oportunidades estão em todo lugar, tais como mudanças na tecnologia, política governamental, padrões sociais. Questões que podem auxiliar nesse levantamento:

� Onde e quais são as oportunidades atrativas dentro do seu mercado?

� Existe alguma nova tendência surgindo dentro do mercado?

� Quais as perspectivas futuras da sua empresa que possam vir a descrever novas oportunidades?

Ameaças : consiste na identificação de ameaças, consideradas como fatores internos ou externos da organização que estão ou poderão sair de controle. É vital estar preparado e enfrentar as ameaças durante situações de turbulência. Questões que podem auxiliar nesse levantamento:

� O que o seu concorrente está fazendo que está suprimindo seu desenvolvimento organizacional?

� Existe alguma mudança na demanda do consumidor, que pede por novas exigências de seus produtos e serviços?

� As mudanças tecnológicas estão afetando sua posição dentro do mercado?

3.1.2 Correlação entre os elementos em uma anális e SWOT

Segundo Martins e Turrioni (2002), a maior contribuição da análise SWOT está em cruzar os fatores externos e internos, criando uma matriz estratégica formada por quatro contribuições, a saber: (a) MAXI-MAXI (Forças e Oportunidades); (b) MAXI-MINI (Forças e Ameaças); (c) MINI-MAXI (Fraquezas e Oportunidades); e (d) MINI-MINI (Fraquezas e Ameaças). Essa relação é apresentada na Tabela 4.

TABELA 4 Relacionamento entre componentes da anál ise SWOT (Adaptado de Martins e Turrioni, 2002)

Forças Fraquezas Oportunidades MAXI-MAXI MINI-MAXI Ameaças MAXI-MINI MINI-MINI


54

O detalhamento das correlações na análise SWOT é apresentado a seguir:

� MAXI-MAXI (Forças e Oportunidades): essa combinação mostra as forças e oportunidades da organização. Na essência, uma organização deve se esforçar em maximizar suas forças para capitalizar em novas oportunidades.

� MAXI-MINI (Forças e Ameaças): essa combinação mostra as forças da organização na consideração de ameaças de competidores. Na essência, uma organização deve se esforçar para utilizar suas forças para aparar ou minimizar suas ameaças.

� MINI-MAXI (Fraquezas e Oportunidades): essa combinação mostra as fraquezas da organização no arranjo com as oportunidades. É um esforço para conquistar e reforçar as fraquezas da organização fazendo o máximo possível em qualquer nova oportunidade.

� MINI-MINI (Fraquezas e Ameaças): essa combinação mostra as fraquezas da organização em comparação com as correntes ameaças externas. Isto é mais definitivamente uma estratégia defensiva para minimizar as fraquezas internas da organização e evitar ameaças externas.

3.2 Considerações finais

A abordagem de fatores internos e internos tem sido amplamente utilizada para a descrição de estratégias consistentes com os objetivos da organização. Na medida em que procura conciliar fatores internos e externos, a análise SWOT permite que as organizações tratem de forma adequada cenários caracterizados por mudanças aceleradas. Em suma, pode-se concluir que a utilização de análise SWOT:

� permite a gestão permanente das capacidades internas, o conhecimento do valor humano presente na empresa, a visão clara de como o mercado, objetivo final, enxerga a sua participação como agente competitivo;

� possibilita uma flexibilidade, velocidade e capacidade de alinhar o comportamento de toda a organização em torno de um fim específico;

� permite uma antecipação dos resultados futuros, por meio do estabelecimento de hipóteses estratégicas traçadas com base nos cenários externos e internos e na visão de futuro da organização.

4 BIBLIOGRAFIA

AKHTER, Syed H. Strategic planning, hypercompetition, and knowledge management. Business Horizons, v.46, n.1, 19-24. 2003.

Boar, B. H. (2001), The Art of Strategic Planning for Information Technology. New York: John Wiley, 2 edição.

COLLIS, David J. e MONTGOMERY, Cynthia A., (1995) Competing on resources: strategy in the 1990s. In: ZACK, Michael H. (ed.) Knowledge and Strategy: resources for the knowledge-based economy. Woburn, MA: Butterworth-Heinemann, p. 25-40, 1999.

HOUBEN, G., LENIE, K., VANHOOF, K., A knowledge-based SWOT-analysis system as an instrument for strategic planning in small and medium sized enterprises. Decision Support Systems 26_1999.125–135.

ITGI. Information Technology Governance Institute. COBIT 4.1: Framework, Control objectives, Management guidelines, Maturity models. Rolling Meadows: ITGI, 2007.

ITGI. Information Technology Governance Institute. COBIT Mapping: Mapping of NIST SP800-53 Rev 1 With COBIT 4.1. Rolling Meadows: ITGI, 2007.

ITGI. Information Technology Governance Institute. IT Governance Implementation Guide using COBIT and ValIT. Rolling Meadows: ITGI, 2007.


56

Lee,S.F, KO,A.S.O., Building balanced scorecard with SWOT analysis, and implementing “Sun Tzu’s The Art of Business Management Strategies” on QFD methodology - Managerial Auditing Journal, pp 68-76, 2000.

Martins, R., F., Turrioni, J., B., Análise SWOT e Balanced Scorecard: Uma Abordagem Sistemática e Holística para Formulação da Estratégia. XXII Encontro Nacional de Engenharia de Produção. Curitiba. 2002.

Paulo: ZACK, Michael H. (1999), Knowledge and Strategy: resources for the knowledge-based economy. Woburn, MA: Butterworth-Heinemann, 300p, 1999.

Documents

Framework Para Governanca de TI COBIT