370 likes | 444 Views
Modelos de Gestão e Organização 6. Governança em TI. Márcio Aurélio Ribeiro Moreira marcio.moreira@uniminas.br http://si.uniminas.br/~marcio/. Ref. Profa . Kátia Lopes Silva. Objetivos da unidade. Definir: Governança Corporativa Governança em TI
E N D
Modelos de Gestão e Organização6. Governança em TI Márcio Aurélio Ribeiro Moreira marcio.moreira@uniminas.br http://si.uniminas.br/~marcio/ Ref. Profa. Kátia Lopes Silva
Objetivos da unidade • Definir: • Governança Corporativa • Governança em TI • Especificar os modelos de gestão na área de tecnologia • Identificar as principais características do Modelo COBIT • Identificar as principais características do Modelo ITIL
Governança Corporativa - Fatos • Escândalos de corrupção na Inglaterra: Maxwell e o “CadburyReport” (1992) • Revolta dos conselhos: Boards da GM, Amex, IBM, Sears, Kodak, Time Warner demitem Chairman & CEO • Ativismo dos minoritários: Calpers, TIAA, Fidelity redefinem o dever fiduciário dos fundos de pensão • G7, OECD, FMI, Banco Mundial e IFC atuam por melhor Governança Corporativa global • Casos Enron, Worldcom, Tyco, Adelphia, Marconi, Vivendi, Ahold, etc • Novas regras da NYSE para companhias listadas • “SarbanesOxleyAct”, Julho de 2002 • Organizações multilaterais, como a Organização para a Cooperação e Desenvolvimento Econômico (OCDE), o Fundo Monetário Internacional, o Banco Mundial e o G7 (grupo das 30 mais avançadas nações industriais do mundo) vêem nos princípios da governança uma base sólida para o crescimento econômico. • Para a OCDE a governança corporativa é um dos instrumentos determinantes do desenvolvimento sustentável, em suas três dimensões: econômica, social e ambiental.
Governança Corporativa Âmbitos de atuação Impactos
Governança Corporativa - Conceito • Conjunto de práticas e relacionamentos entre: • Acionistas ou Cotistas • Conselho de Administração • Diretoria • Auditoria Independente • Conselho Fiscal • Partes interessadas • Com a finalidade de: • Melhorar a gestão da companhia e o seu desempenho • Melhorar o processo decisório na alta administração • Melhorar a imagem institucional • Facilitar o acesso ao capital a custos mais baixos • Contribuir para a perenidade da organização
Governança Corporativa:Panorama no Brasil e no mundo • O mercado brasileiro foi considerado, em 2004, pela OCDE, mais avançado do que a maioria dos países emergentes com relação à governança corporativa • Entre as principais iniciativas de estímulo e aperfeiçoamento ao modelo de governança das empresas brasileiras destacam-se: • A reformulação da Lei das S.A • A criação dos Níveis de Governança Corporativa da Bovespa • A atuação do IBGC e • As recomendações da CVM (Comissão de valores Mobiliários) O panorama mundial da governança corporativa se transformou com a aprovação da Lei Sarbanes-Oxley. Novas exigências do mercado acionário, associadas aos padrões mais rígidos de auditoria, surgiram com o objetivo de inibir fraudes contábeis e levaram os conselhos de administração e os executivos a serem mais cuidadosos na elaboração e divulgação dos relatórios financeiros.
Lei Sarbanes-Oxley (SOX) de 2002 • Objetiva restaurar a confiança dos investidores • A U.S. SEC (Securities and Exchange Commission) é a responsável pela sua regulamentação • Estabelecido um comitê de supervisão responsável pelas práticas de auditoria (PCAOB – Public Company Accounting Oversight Board) • Abrange as empresas que tenham títulos negociados em bolsas americanas (inclusive as estrangeiras)
Os desafios das empresas • Estabelecer a vinculação das Atividades de Controle com a Governança Corporativa: • A efetividade da supervisão da Alta Administração e a certificação da estrutura de controles internos pelo CEO/CFO é comprometida, normalmente, pela inadequação: • Dos vínculos entre a governança corporativa e as atividades de controle • Da documentação da estrutura de controles • Dos controles internos voltados aos controles de divulgação • Do conhecimento das atividades de controle
Governança de TI - Definição • O IT Governance Institute a define como: • “Uma estrutura de relacionamentos e processos para orientar e controlar as empresas na busca de seus objetivos, adicionando valor e balanceando riscos e retornos da Tecnologia da Informação e seus processos.” • Abordagem: • É um componente da Governança Corporativa • Está focada em: • Considerar os valores das pessoas ao definir estratégias • Direcionar os processos que implementam a estratégia • Assegurar que os processos produzam resultados mensuráveis • Informar os resultados e desafios • Assegurar que os resultados sejam proveitosos
Governança de TI - Conceitos • Estruturas e processos visando a garantir que a TI suporte e maximize os objetivos e estratégias da organização • Permite controlar (medir e auditar) a execução e a qualidade dos serviços • Viabiliza o acompanhamento de contratos internos e externos • Define condições para o exercício eficaz da gestão com base em conceitos consolidados de qualidade
Vantagens da Governança de TI • Alinha a estratégia de TI com as do negócio • Mais capacidade e agilidade para novos modelos de negócios ou ajustes nos modelos atuais • Explicita a relação entre aumento nos custos de TI e aumento no valor da informação • Mantém os riscos do negócio sob controle • Explicita a importância da TI na continuidade dos negócios • Mede e melhora continuamente a performance de TI
Importância de Governança de TI • Qual a importância da área de TI para as organizações? • Segundo Acadys e StandishGroup, 2001: • Departamentos pouco realizadores • Poucas organizações são capazes de avaliar os retornos da área • Alto grau de insucesso dos projetos • Valor da informação subestimado
Relacionamentos da área de TI Fonte: IT Governance Institute
Metodologias e frameworks • ITIL e BS15000 • COBIT • MOF – MSF – MSM • BS7799 / ISO 17799 • CMM / CMMI • PMBOK • BSC
Melhoria contínua em TI Para onde vamos? Visão & Objetivos ITIL ISO 17799 COBIT Alinhamento Compliance COBIT Segurança ISO 17799 Benchmark de custos Pesquisas de satisfação Onde estamos? Avaliações Como chegaremos lá? Desenho de TI ITIL ISO 17799 COBIT Como saberemos se chegamos lá? Métricas COBIT Guidelines
COBIT • Control Objectives for Information and related Technology: • Focado em governança, controle e auditoria de TI • Criado e mantido pelo ISACA – Information Systems Audit and Control Association • O ISACA mantém o K-NET, um repositório de conhecimento para os associados e o IT GovernanceInstitute para difusão dos conceitos • O que é: • COBIT é um modelo de gestão de TI proposto pelo IT GovernanceInstitute, patrocinado pela ISACA Foundations, baseado em código de melhores práticas. • Edições: 1ª 1996, 2ª 1998, 3ª 2000 e 4ª 2005
COBIT: Modelos e Componentes • Modelos: • Apresenta as atividades de TI de forma estruturada e gerenciável; • É focado em processos e objetivos de negócio; • É dirigido para usuários, gestores, responsáveis pelos processos de negócio e auditores. • Componentes: • 4 domínios: • Planejamento e Organização • Aquisição e Implementação • Entrega e Suporte • Monitoramento • 34 processos de controle de alto nível • 318 objetivos de controle detalhados
Componentes do COBIT Objetivos de Negócios Governança de TI Informação Monitoração Planejamento e Organização Recursos de TI Entrega e Suporte Aquisição e Implementação
Estrutura do COBIT • PLANEJAMENTO • & ORGANIZAÇÃO • 11 Processos de TI • Definir PETI • Gerenciar RH • Gerenciar Projetos • ... • PRODUÇÃO • & SUPORTE • 13 Processos de TI • Ger. Operações • Gerenciar Dados • Ger. Configuração • ... RECURSOS DE TI REQUISITOS DE NEGÓCIO • AQUISIÇÃO & • IMPLEMENTAÇÃO • 6 Processos de TI • Adquirir Software • Manter Infra TI • Homologar Sist. • ... • MONITORAÇÃO • & CONTROLE • 4 Processos de TI • Monitorar Proces. • Avaliar Controles • Prover Auditorias • ... PROCESSOS DE TI DOMÍNIOS DE GOVERNANÇA 34 PROCESSOS DE CONTROLE DE ALTO NÍVEL
COBIT ESTRUTURA DO COBIT DIRETRIZES GERENCIAIS OBJETIVOS DE CONTROLE DETALHADOS DIRETRIZES DE AUDITORIA MODELOS DE MATURIDADE FATORES CRÍTICOS DE SUCESSO INDICADORES CHAVES DE METAS INDICADORES CHAVES DE DESEMPENHO Manuais do COBIT Detailed Control Objectives Executive Summary Framework Audit Guidelines Management Guidelines
Modelo de maturidade em processos • São utilizados para controlar os processos de TI, fornecendo um método para quantificar o nível de maturidade dos processos. • Pode variar de não existentes (0) a otimizados (5), permitindo mapear o estágio de cada um dos 34 processos de uma organização e compará-las com o mercado, considerando: • Qual o estágio atual da organização • Qual o estágio corrente da indústria • Qual o status dos padrões internacionais • Onde a organização quer chegar.
Uso do modelo de maturidade Não existe Inicial Repetitivo Definido Gerenciado Otimizado 5 0 1 2 3 4 Legenda 0 Não existe 1 Inicial 2 Repetitivo 3 Definido 4 Gerenciado 5 Otimizado • Não existe qualquer processo de gestão; • Processos aleatórios e desorganizados; • Quando aplicados, os processos seguem um padrão; • Os processos são aplicados sempre; • O negócio é medido e gerenciado pelos processos; • As melhores práticas são seguidas e automatizadas. Estágio atual da empresa Status dos padrões Internacionais Estágio corrente da indústria Estratégia da empresa
ITIL • Information Technology Infrastructure Library • Biblioteca de Infra-estrutura de Tecnologia da Informação. • Coleção de melhores práticas e métodos que otimizam a Infra-estrutura de TI e Serviços com os requerimentos de negócio. • Sugere processos de gestão da infra-estrutura de TI de forma eficaz e eficiente, garantindo o combinado com o cliente virou padrão. • Baseado no ciclo PDCA (Ciclo de Deming) para Processos, Pessoas e Tecnologia: • PDCA sobre PPT: • Plan (Planejar): O que deve ser feito, quando, como, por quem, usando o que e com que propósito? • Do (Agir): Implementação do plano de atividades. • Check(Verificar): Determina se as atividades proveram o resultado esperado. • Act (Agir): Ajuste do planejamento baseado na garantia da informação enquanto verificada.
Histórico do ITIL • Sucesso do ITIL: • Não é proprietário: As melhores práticas são públicas • Não prescritivo: Sugestões maduras e robustas • Melhores práticas: Experiência de anos de utilização • Orientado a processos: Com foco no cliente • Justifica custos de TI: Eficaz em organizações de qualquer porte • Aderente à qualidade: Independente de tecnologia/fornecedor
Entidades envolvidas com ITIL • OGC (Office of Government Commerce): • Antiga CCTA (Central Communications and Telecommunications Agency) • Comitê gestor e proprietário do ITIL • TSO (The Stationery Office): • Responsável pelas publicações (Livros e CDs) • itSMF (IT Service Management Forum): • Associação mundial de profissionais • EXIN, ISEB, LoyalistCollege: • Coordenam treinamentos e certificações.
ITIL 1: Melhores Práticas • Information Technology Infrastructure Library • Process: • Incident Management • Problem Management • Configuration Management • Change Management • Release Management • Service Level Management • Availability Management • Capacity Management • Financial Management • Continuity Management • Biblioteca de Infra-estrutura de Tecnologia da Informação • Processos: • Gestão de Incidentes • Gestão de Problemas • Gestão de Configurações • Gestão de Mudanças • Gestão de Liberações • Gestão do Nível de Serviço • Gestão de Disponibilidade • Gestão de Capacidade • Gestão Financeira • Gestão de Continuidade Service Support Serviços de Suporte Processos Operacionais Service Delivery Entrega de Serviços Processos Táticos
ITIL 2: Maturidade em Processos • Fortalecimento de processos: • Entrega de aplicações: • Melhorar o desempenho (em: tempo, custo e entrega) de projetos • Habilidade de adaptação e condições de mudanças • Reduzir o número de ciclos de entregas de aplicações • Aumentar a produtividade, capacidade e moral das equipes de desenvolvimento e manutenção • Serviços de infra-estrutura: • Melhorar a qualidade dos serviços • Reduzir o custo operacional • Aumentar a produtividade, capacidade e moral da equipe de operações
ITIL 2: Acréscimos • Função (não processo) de Service Desk: • Função adicionada para unificar o contato com o cliente. • Processo de Security (Segurança): • Adicionar processo para tratar a necessidade de segurança da informação aos serviços de TI.
ITIL 2: Adesão – 10 livros, 2 usados • Serviço de Suporte: • 5 processos operacionais e uma função • Descreve como o cliente acessa o suporte • Fundação da construção de valor para o negócio • Entrega de Serviços: • 5 processos táticos • Descreve necessidades dos clientes e como atendê-las como serviços • Transforma atividades de TI em valores estratégicos Ponto de início 2ª grande meta
ITIL 3: Ciclo de Vida de Serviços • Preserva os conceitos chaves anteriores • Aumenta o alinhamento com o negócio
ITIL 3: Ciclo de Vida de Serviços • Estratégia de Serviços: • Olha todos os objetivos e expectativas do negócio • Garante que a estratégia de TI gera retorno • Projeto de Serviços: • Inicia com um conjunto de requisitos de negócio novos ou alterados • Termina com o desenvolvimento de um serviço concebido para responder às necessidades documentadas do negócio • Transição de Serviços: • Gere mudanças, riscos e garantia de qualidade dos serviços • Implementa os serviços projetados para que a operação de serviços possa gerir o serviço e a infra-estrutura de forma controlada • Operação de Serviços: • Transforma negócio em atividades usuais • Usa práticas robustas de operações fim-a-fim • Melhoria Contínua de Serviços: • Visão global de todos os outros elementos • Busca maneiras de melhorar a forma como os serviços são prestados
Implementação do ITIL • Criar cultura, através da auto-avaliação disponível em: • http://www.itsmf.com/bestpractice/selfassessment.asp • Avalia: Service Support e Service Delivery • Adquirir o Starter Kit (Service Support e Service Delivery) para avaliação do framework e melhores práticas • Planejar a implementação • Iniciar a implementação • Ampliar a coleção das publicações do ITIL
Frameworks Microsoft • Criados para gerenciamento interno e de parceiros, depois estendido a clientes: • MOF – Microsoft Operations Framework • Guia para planejamento, implementação, e manutenção de processos operacionais de TI para soluções de serviço de missão critica – baseado no ITIL • MSF – Microsoft Solutions Framework • Guia para projetos de tecnologia • MSM – Microsoft Solutions for Management • Melhores práticas para serviços de implementação e automação
Outros produtos e comparação • Outros produtos: • Cobit Management Advisor: • Methodware – a empresa produz outros software para gerenciamento de risco • Visual Assurance: • Kirclare Software - Suporte à auto-avaliação aderente a FDICIA, COSO, Sarbanes-Oxley • Comparação: • ITIL: • Forte em processos de TI • Limitado em segurança e desenvolvimento de sistemas • COBIT: • Forte em controles de TI e métricas de TI • Não diz como (fluxos de processos) e é fraco em segurança • ISO17799: • Forte em controles de segurança • Não diz como (fluxo de processos)