FACULDADE ALVES FARIA MBA EM GESTO DE TECNOLOGIA DA INFORMAO ELEN S. ANDRADE HEYDE F. A. CARMO

A GOVERNANA DE TI COMO ESTRATGIA PARA MELHORIA DOS RESULTADOS DE UMA FBRICA DE SOFTWARE

Goinia 2011

FACULDADE ALVES FARIA MBA EM GESTO DE TECNOLOGIA DA INFORMAO ELEN S. ANDRADE HEYDE F. A. CARMO

A GOVERNANA DE TI COMO ESTRATGIA PARA MELHORIA DOS RESULTADOS DE UMA FBRICA DE SOFTWARE

Monografia apresentada ao Programa de MBA em Gesto de Tecnologia da Informao da Faculdade Alves Faria, como requisito para obteno do ttulo de especialista em Gesto de Tecnologia da informao, orientada pelo Prof. Sirlon Diniz.

Goinia 2011

"Tudo posso naquele que me fortalece!" (Fl 4,13).

NDICE DE TABELAS Tabela 1- PO1 Origem e Entrada.......................................................................84 Tabela 2- PO1 Sada e Destino..........................................................................84 Tabela 3- Tabela RACI.......................................................................................85

Tabela 4- Tabela RACI

NDICE DE FIGURAS Figura 1- Componentes da Gesto da governana de TI..................................36 Figura 2-reas Foco Governana de TI, na viso do COBIT..........................48 Figura 3-Princpios bsicos do COBIT...............................................................50 Figura 4-Domnios do COBIT.............................................................................50 Figura 5- Modelo de maturidade - COBIT..........................................................56 Figura 6- Cubo COBIT........................................................................................57 Figura 7- Inter-relacionamento entre os componentes do COBIT.....................58 Figura 8- Proposta para gerenciamento de fbrica de software........................78 Figura 9- Estrutura COBIT..................................................................................81 Figura 10- Objetivos e Mtricas do Planejamento estratgico de TI.................86 Figura 11- Viso geral dos Processos................................................................91

Figura 11- Viso geral dos Processos

NDICE RESUMO............................................................................................................10 INTRODUO....................................................................................................11 METODOLOGIA.................................................................................................13 1 ESTRATGIA E GESTO...........................................................................15 1.1 1.2 1.3 1.4 Conceitos Bsicos: Dado, Informao e Conhecimento......................15 Definio de Organizao.....................................................................16 Tipologia da Informao........................................................................16 Conceito de Sistema de Informao.....................................................17

1.5 Sistemas de Informao manuais x Sistemas de Informao baseados em Tecnologia da Informao.........................................................................18 1.6 Classificao dos sistemas de informao baseados em tecnologia da informao.......................................................................................................19 1.7 1.8 1.9 1.10 1.11 1.12 1.13 1.14 1.15 1.16 2 2.1 2.2 2.3 2.4 2.5 2.6 O valor da Informao para as Organizaes......................................19 O fluxo de Informao nas Organizaes.............................................20 Segurana da informao.....................................................................22 ISO 27000..........................................................................................23 Estratgia e Informao.....................................................................24 Estratgia e Tecnologia da Informao.............................................26 Gesto Estratgica.............................................................................26 Gesto Estratgica da Informao e da TI........................................27 Etapas da gesto estratgica da informao....................................28 Alinhamento Estratgico....................................................................29 Planejando, Implementando e gerenciando a Governana de TI........30 Planejando o programa de Governana de TI......................................32 Implementando o Programa de Governana de TI...............................34 Gerenciando a Governana de TI.........................................................35 Governana de TI - ISO 38500.............................................................37 Governana de TI e a Gesto do Conhecimento.................................38

GOVERNANA DE TI.................................................................................30

3 INTEGRANDO GOVERNANA DE PROJETOS E OBJETIVOS ESTRATGICOS................................................................................................41 3.1 Medindo o desempenho estratgico.....................................................41

3.2 3.3 3.4 3.5

Definir a Funo da TI na Empresa......................................................42 Etapa de Execuo e Implementao da Governana de TI...............43 Modelos de Referncia Mundial de Gesto de TI.................................46 COBIT Control Objectives for Information and Related technology. .47 Foco no negcio.............................................................................49 Orientao para processos............................................................50 Controle atravs de objetivos.........................................................54 Direcionamento para medies......................................................55 Modelo de Maturidade....................................................................55 Metas e Medies de Desempenho...............................................56 Viso Integrada do Modelo.............................................................57 Contedo dos Processos de TI......................................................58 Aplicabilidade do Modelo................................................................58 Benefcios do modelo..................................................................59 ITIL (IT Infrastructure Library).........................................................60 Gerenciamento de processos..................................................61 Modelo de referencia e a ITIL..................................................62 Detalhamento dos processos da ITIL......................................64 O que no ITIL......................................................................67 Adoo da ITIL.........................................................................68 Benefcios da Implementao da ITIL.....................................69

3.5.1 3.5.2 3.5.3 3.5.4 3.5.5 3.5.6 3.5.7 3.5.8 3.5.9 3.5.10 3.6 3.6.1

Frameworks de Suporte........................................................................60 3.6.1.1 3.6.1.2

3.6.2

Entrega do Servio (Service Delivery)............................................63

3.6.2.1 3.6.2.2 3.6.2.3 3.6.2.4 3.7 3.7.1 3.7.2 3.8 3.8.1 3.8.2 3.8.3 3.8.4

PMI (Project Management Institute)......................................................70 PMBOK (Guide to the Project Management Body of Knowledge). 70 PMBOK- fases e processos de gerenciamento de projetos....71 PMBOK- reas de conhecimento...................................................72 Engenharia de Software.................................................................73 Processo de Software.....................................................................74 Produto de Software.......................................................................74 Qualidade de Software CMMI.....................................................75 3.7.1.1

Fbrica de Software..............................................................................73

4 PROPOSTA DE UM MODELO DE GERENCIAMENTO DE FBRICA DE SOFTWARE APOIADO NA GOVERNANA DE TI...........................................77

4.1

A Governana de TI Utilizando o COBIT...........................................79 Domnios.........................................................................................80 Planejamento e Organizao...................................................80 4.1.1.1

4.1.1

4.1.1.1.1 Gerenciamento de Projetos Melhores Prticas PMBOK Relacionado ao COBIT.........................................................................87 4.1.1.2 4.1.1.3 Aquisio e Implementao.....................................................88 Entrega e Suporte....................................................................88

4.1.1.3.1 Gerenciamento dos servios de TI Utilizando a ITIL Relacionado ao COBIT.........................................................................89 4.1.1.4 Monitoramento e Avaliao.....................................................91 4.1.1.4.1 Direcionamento Baseado em Medio................................91 CONCLUSO.....................................................................................................93 REFERNCIAS..................................................................................................95

A GOVERNANA DE TI COMO ESTRATGIA PARA MELHORIA DOS RESULTADOS DE UMA FBRICA DE SOFTWARE

RESUMO Esta pesquisa traz uma proposta de implantao da Governana de TI como estratgia para melhoria dos resultados de uma fbrica de software, enfatizando sobre a necessidade do alinhamento do plano de negcios da empresa com o planejamento de Tecnologia da Informao. Comenta sobre a importncia do acompanhamento e atualizao deste planejamento de TI, e da estruturao de todas as ferramentas e informaes necessrias para o funcionamento harmnico da organizao. Traz ainda definies das principais metodologias de melhores prticas para auxiliarem a implantao da Governana de TI em uma fbrica de software e mostra uma possvel soluo para os problemas de falta de planejamento e acompanhamento dos projetos de software em fbricas.

Palavras-chave: Governana de TI, COBIT, CMMI, ITIL, PMBOK, Fbrica de Software.

INTRODUO

A evoluo da tecnologia da informao visivelmente crescente traz para as organizaes uma variedade muito grande de solues tecnolgicas e nem sempre as instituies possuem condies de administrar de forma a trazer benefcios satisfatrios para o negcio. Segundo REZENDE (2008), As atividades relacionadas com Planejamento Estratgico, Gesto de Tecnologia da Informao e principalmente com os sistemas de informao devem ser integradas, dependentes e com viso sistmica empresarial. No possvel trabalhar essas atividades de forma isolada. Elas devem estar relacionadas entre si, com sinergia total. De acordo com HENDERSON e VENKATRAMAN (1993), esta falta de habilidade das empresas em obter retornos considerveis dos investimentos em TI se deve (ainda que no totalmente) falta de coordenao e de alinhamento entre as estratgias de negcio e de TI. Este ajuste entre as estratgias de negcio, de TI e as estruturas internas da empresa, considerando o seu posicionamento e sua atuao no mercado, no um evento isolado ou simples de ser obtido, mas um processo dinmico e contnuo ao longo do tempo. Sugere-se uma proposta de implantao da Governana de TI como estratgia para melhoria dos resultados de uma fbrica de software bem como o alinhamento de todas as aes ligadas gesto de TI aos objetivos do negcio. Considerando a necessidade de um melhor planejamento das atividades ligadas a TI, possibilitando a melhoria do planejamento das aes, oramentos e acompanhamento de projetos. O estudo se inicia com uma reviso bibliogrfica a respeito dos padres de governana de TI referenciados, tais como COBIT, ITIL focando gerenciamento de servios de TI, ISO 17799 /27002 que trata da segurana da informao, CMMI detalhando mtodos para garantir a qualidade de software, realizando

um levantamento de caractersticas dos padres estudados. realizada ainda uma Reviso de gerenciamento de projeto (PMBOK), em seguida detalhada as definies de fbrica de software (engenharia de software, processo de software, produto de software, qualidade de software - CMMI). Este documento possui uma descrio das principais metodologias para implantao da Governana de TI, bem como das fases necessrias para a adequao e chegada a situao desejada. Sendo que um dos fatores essenciais a proposta de melhoria e padronizao de conhecimento e metodologias.

14

METODOLOGIA

Segundo Cervo (2009), a pesquisa conforme o procedimento a pesquisa pode ser subdivida em trs tipos importantes: a bibliogrfica, a descritiva e a experimental. A pesquisa bibliogrfica procura explicar um problema a partir de referncias tericas publicadas em artigos, livros, dissertaes e teses. A pesquisa descritiva observa, registra, analisa e correlaciona fatos ou fenmenos sem manipula-los. A pesquisa experimental caracteriza-se por manipular diretamente as variveis relacionadas com o objeto do estudo. Com relao aos objetivos a pesquisa pode ser classificada como exploratria. Gil (2002) define a pesquisa exploratria como sendo a pesquisa que "tm como objetivo proporcionar maior familiaridade com o problema com vistas a torn-lo mais explicito ou a construir hipteses". Para Selltiz et al (apud GIL, 2002) na maioria dos casos, a pesquisa exploratria envolve: (a) levantamento bibliogrfico; (b) entrevistas no documentadas com pessoas que tiveram experincias prticas com o problema pesquisado, para que possibilitasse um melhor entendimento por parte dos pesquisadores; e (c) anlise "de exemplos que estimulem a compreenso". Sero utilizados neste trabalho dois tipos de pesquisas, a saber: a pesquisa bibliogrfica, constituda principalmente de artigos cientficos e livros, visto que permite a cobertura de uma gama de fenmenos muito mais ampla; e a pesquisa documental. Embora esta ltima se assemelhe pesquisa bibliogrfica, permite que se tenha acesso a documentos tipo: reportagens de jornal, relatrios de pesquisa, documentos oficiais, entre outros.

15

CAPITULO 1 1 1.1 ESTRATGIA E GESTO Conceitos Bsicos: Dado, Informao e Conhecimento

Na literatura encontramos inmeras definies acerca de dado, informao e conhecimento, de forma que seus significados diferem de um autor para outro. De acordo BEAL (2009, p.11), apesar das diferenas de conceituao, pode-se identificar um entendimento comum: um conjunto de dados no produz necessariamente uma informao, nem um conjunto de informaes representa necessariamente um conhecimento. Consequentemente dados so transformados em informao agregando-se valor a eles, dando mesma relevncia e propsito; e informao em conhecimento acrescentando-se a ela vrios outros elementos atravs da combinao de informao contextual, experincias, insight, etc. Desta forma temos as seguintes definies; Dado: so registros ou fatos em sua forma primria no necessariamente fsicos, ou seja, so fatos bsicos tais como o nome de um funcionrio ou nmeros de peas em estoque, um conjunto de fatos organizados de modo a terem valor adicional. Informao: so dados coletados, organizados e orientados, aos quais so atribudos significados e contexto. Conhecimento: a conscincia e o entendimento de um conjunto de informaes e formas de torn-las teis para apoiar uma tarefa especifica ou tomar uma deciso. (STAIR e REYNOLDS, 2009, p.5). Ou ainda segundo Davenport e Pursak, (apud BEAL, 2009, p. 12), uma mistura fluida de experincia condensada, valores, informao contextual e insight experimentado, a qual proporciona uma estrutura para avaliao e incorporao de novas experincias e informaes.

1.2

Definio de Organizao De acordo MAXIMIANO (2005, p.4) organizao um conjunto de

recursos (humanos, financeiros e materiais) que procura realizar algum tipo de objetivo em comum (ou conjunto de objetivos). Alm de objetivos e recursos, as organizaes tm dois outros componentes tais sejam: processo de transformao e diviso do trabalho.

1.3

Tipologia da Informao

No tocante a aplicabilidade da informao nos diferentes nveis organizacionais, Moresi (apud BEAL, 2009, p. 14) nos fornece a seguinte classificao: Informao de nvel institucional: permite ao nvel institucional monitorar e avaliar o desempenho e subsidiar o planejamento e as decises de alto nvel. Informao de nvel intermedirio: permite ao nvel intermedirio monitorar e avaliar seus processos, o planejamento e a tomada de deciso de nvel gerencial. Informao de nvel operacional: possibilita ao nvel operacional executar tarefas e atividades, monitorar o espao geogrfico sob sua responsabilidade e subsidiar o planejamento e a tomada de deciso de nvel operacional. Quanto fonte onde se origina, a informao pode se enquadrar nas seguintes categorias (BEAL, 2009, p.14): Fonte formal: imprensa, bases de dados, informaes cientificas (artigos cientficos), informaes tcnicas (patentes), documentos da imprensa etc; Fonte informal: seminrios, congressos, visitas a clientes, exposies, agencias de publicidade, informaes ou at mesmo boatos sobre produtos, fornecedores etc. Do ponto de vista da sua organizao, as informaes podem ser classificadas em (BEAL, 2009, p.14):

Informaes estruturadas: so aquelas que seguem um padro previamente definido. Um formulrio com campos preenchidos um exemplo de informao estruturada; Informao no estruturada: so aquelas que no seguem um padro previamente definido. Um artigo de revista um exemplo de informao no estruturada. Lesca e Almeida (apud BEAL, 2009, p. 15) fazem ainda a diviso da informao em: Informao de atividade: aquela que permite a organizao garantir seu funcionamento. Informao de convvio: a que permite aos indivduos de uma organizao se relacionarem e pode influenciar seus comportamentos. Quanto aplicao nas organizaes pode-se acrescentar ainda a seguinte classificao: Informao estratgica: aquela capaz de melhorar o processo decisrio em funo de sua capacidade de reduzir o grau de incertezas em relao s variveis que afetam as melhores alternativas para a superao de desafios e o alcance dos objetivos. (Beal, 2009, p.15).

1.4

Conceito de Sistema de Informao Um sistema uma combinao de elementos ou componentes

relacionados entre si que interagem a fim de atingir objetivos previamente estabelecidos. sistema. Sistema de Informao um tipo especializado de sistema, um conjunto de elementos ou componentes inter-relacionados que coletam (entrada), manipulam (processo) e disseminam (sada) dados e informaes e oferecem um mecanismo de realimentao para atingir um objetivo. (STAIR e REYNOLDS, 2009, p.12). Bio (apud BEAL, 2009, p. 17) define ainda o Sistema de Informao como sendo um subsistema do sistema organizao, sendo constitudo de um conjunto de subsistemas de informao interdependentes, tais como o subsistema financeiro, contbil, de marketing etc. Os sistemas possuem entradas, mecanismos de processamento, sadas e opinio uma sada para fazer ajustes na atuao do

Desta forma um sistema de informao aquele capaz de coletar e capturar dados (entrada) e fazer a transformao ou converso dos mesmos (processamento) de formar a produzir informaes teis (sada); j o feedback seria os procedimentos de deteco e correo de erros de dados de entrada ou no processamento, sendo, portanto um dos principais suportes para a produo e transferncia de informao dentro de uma organizao. Para tanto o sistema de informao utiliza como recursos pessoas, hardware, software, dados, e redes. Quanto ao objetivo dos Sistemas de Informao Moresi (apud BEAL, 2009, p. 18) nos acrescenta que os mesmos tm sido desenvolvidos para otimizar o fluxo de informao relevante dentro das organizaes, desencadeando um processo de conhecimento, tomada de deciso e interveno na realidade.

1.5

Sistemas de Informao manuais x Sistemas de Informao baseados em Tecnologia da Informao O termo Tecnologia da Informao (TI) usado para designar o

conjunto de recursos tecnolgicos e computacionais para a gerao e uso da informao (REZENDE, 2000). Desta forma TI denota a soluo ou conjunto de solues sistematizadas baseadas no uso de mtodos, recursos de informtica, de comunicao e de multimdia com o objetivo de resolver problemas relativos no s gerao, bem como o armazenamento, veiculao, processamento e reproduo de dados e ainda subsidiar processos que convertem dados em informao. No contexto do sistema de informao os mesmos podem ser tanto manuais quanto baseados em tecnologia da informao ou uma combinao de ambos. Vale registrar que o fato de um sistema de informao ser baseado em TI, no elimina o fator humano, uma vez que a interao dos componentes de TI com o componente humano que traz a funcionalidade e a utilidade para os sistemas informatizados.

1.6

Classificao dos sistemas de informao baseados em tecnologia da informao Dentre as vrias formas de se classificar os sistemas de informao

baseados em TI, Beal (2009, p.18) destaca a classificao de acordo com o tipo de informao processada, tais sejam: Sistemas de Informao Operacional ou Sistemas de Processamento de Transaes (SPT): tratam das transaes rotineiras da organizao, fornecendo dados detalhados sobre as operaes das funes organizacionais. Sistemas de Informao Gerencial (SIG): agrupam e sintetizam os dados das operaes da organizao para facilitar a tomada de deciso pelos administradores, tendo como principal caracterstica a apresentao de dados agrupados ou sintetizados em totais, percentuais, acumuladores etc., permitindo assim uma melhor viso das operaes regulares da organizao. Sistemas de Informao Estratgica: oferece informaes grficas e bem estruturadas, bem como integram e sintetizam dados de fontes internas e externas, utilizando ferramentas de anlise e comparao complexas, simulao e outras facilidades visando auxiliar o processo de tomada de deciso da cpula estratgica da organizao. Tambm so conhecidos por Sistemas de Suporte Deciso (SSD) ou Executive Information System, ou Sistemas de Informao Executiva (EIS).

1.7

O valor da Informao para as Organizaes A informao representa hoje uma das principais fontes de energia em

uma organizao, tornando-se o seu principal combustvel e o mais importante recurso ou insumo, indispensvel para a sobrevivncia de qualquer organizao. Desta forma o valor da informao est diretamente ligado a como ela auxilia os tomadores de decises a atingir seus objetivos organizacionais. De acordo com Lesca e Almeida (apud BEAL, 2009, p. 21) a informao de qualidade (relevante, precisa, clara, consistente, oportuna) capaz de direcionar todos os esforos e apontar os rumos a seguir, podendo ainda ser aplicada nos diferentes contextos organizacionais, tais sejam:

Fator de apoio deciso: a informao de qualidade fornece subsdios que permitem que escolhas sejam feitas com menor risco e no momento adequado, possibilitando assim a reduo de incertezas na tomada de deciso. Fator de produo: a informao importante para se criar e introduzir no mercado produtos/servios de maior valor adicionado. Fator de sinergia: o fluxo bem como o intercambio de ideias e informao em uma organizao propicia um maior desenvolvimento bem como fortalece e aprimora as relaes entre as unidades organizacionais. Fator determinante de comportamento: a informao precisa e de qualidade pode influenciar o comportamento dos indivduos e grupos dentro e fora das organizaes. Vale registrar ainda que a utilidade e o valor da informao so determinados pelo usurio, nas suas aes e decises.

1.8

O fluxo de Informao nas Organizaes O fluxo de informao em uma organizao um processo de

agregao de valor, e o sistema de informao pode ser considerado como a sua cadeia de valor por ser o suporte para a produo e transferncia de informao. A informao percorre um fluxo dentro das organizaes, sendo a atividade de identificao de necessidade e requisitos o elemento acionador do processo, de maneira a estabelecer um ciclo continuo de coleta, tratamento, distribuio/armazenamento e uso para alimentar os processos decisrios e /ou operacionais da organizao, e leva tambm oferta de informaes para o ambiente externo. O fluxo informacional dentro da organizao um ciclo continuo que precisa constantemente se alimentado e atualizado, e que de acordo com BEAL, 2009 segue as seguintes etapas: Identificao de necessidade e requisitos: primeiro deve-se identificar as necessidade de informao quer no ambiente interno quanto externo da organizao, de forma a produzir informaes teis e orientadas a suprir as reais necessidades. Nesse contexto, importante entender no s qual a informao necessria, mas tambm para que e como ela usada, isso pode

ser facilmente detectado atravs do mapeamento das necessidades de informao, o qual nos permite planejar com mais eficcia o desenvolvimento de sistemas e os investimentos em tecnologia da informao, ao assegurar uma compreenso mais clara daquilo que prioritrio com relao s exigncias e expectativas de cada publico alvo (BEAL, 2009, p. 36). Vale ressaltar ainda que o ambiente no qual as organizaes esto inseridas dinmico e mutvel, por isso a avaliao das necessidades de informao deve ser vista como um processo continuo, para que o tempo de resposta a essas mudanas seja cada vez menor, ou ainda que essas organizaes possam se antecipar a essas mudanas. Obteno: definidas as necessidades de informao, a prxima etapa a de obteno das informaes que podem suprir essas necessidades; so desenvolvidas ento atividade de criao, recepo ou captura de informao, provenientes de fonte externa ou interna em qualquer mdia ou formato. Para tanto preciso a identificao dos canais e dos sistemas de coleta mais adequados. Tratamento: depois de obtida a informao necessria trata-la de maneira que seus usurios possam ter facilidade em localiz-las bem como acessa-la; desta forma a informao passa por um processo de organizao, formatao, estruturao, classificao, anlise, sntese e apresentao. Nessa etapa feita a adaptao da informao aos requisitos do usurio bem como sua classificao para que facilitar a gesto e o acesso aos recursos informacionais. Distribuio: feito o tratamento da informao, a mesma j est pronta para ser levada a quem dela precise, processo este que feito atravs da distribuio que pode ser mais eficaz quando a organizao dispe de uma boa rede de comunicao. A distribuio da informao pode ser feita atravs de divulgao ou de busca pelo usurio. Uso: no basta apenas que a informao exista dentro de uma organizao preciso saber como usa-la; o uso da informao possibilita a combinao de informaes e o surgimento de novos conhecimentos, que podem voltar a alimentar o ciclo de informao corporativo, num processo continuo de aprendizado e crescimento (BEAL, 2009, p. 31). O uso da informao representa a etapa mais importante de todo o processo da gesto

da informao, pois permite aos seus usurios melhor interagir com o ambiente que os cerca. Armazenamento: para assegurar a conservao dos dados e informaes necessrio que se faa o armazenamento dos mesmos de forma a possibilitar seu uso e reuso dentro da organizao. Descarte: assim quando a informao no mais for de utilidade se tornando obsoleta para a organizao, deve-se proceder ao seu descarte, processo que deve estar de acordo com as normas legais, polticas operacionais e exigncias internas.

1.9

Segurana da informao Essa rea tem como objetivo garantir a proteo da informao de

acordo com alguns requisitos (Beal, 2009, p.52): Sigilo: proteo contra a divulgao indevida de informaes; Integridade: proteo contra a modificao no autorizada de informao; Autenticidade: garantia de que a informao seja proveniente da fonte qual ela atribuda; Disponibilidade: garantia de que as informaes e servios importantes estejam disponveis para os seus usurios quando requisitados e necessrios; e Irretratabilidade da comunicao: proteo contra a alegao por parte de um dos participantes de uma comunicao de que a mesma no ocorreu. Segundo BEAL, (2009, p.54) a poltica de segurana da informao surge da necessidade de declarao de regrar para o acesso informao, o uso da tecnologia na organizao e o tratamento, manuseio e proteo de dados e sistemas de informacionais. A poltica de segurana da informao deve identificar claramente as responsabilidades em relao a segurana da informao em todos os nveis organizacionais, devendo ainda ser constantemente atualizada e para que melhor possa responder as mudanas nas necessidades do negcio.

1.10 ISO 27000 Para a gesto da segurana da informao so adotadas as normas da srie ISO/IEC 27000, que contempla: 1.ISO/IEC 27001, Information Security Management Systems Requirement, definida para prover um modelo para estabelecer, implantar, operar, monitorar, rever, manter e melhorar um Sistema de Gesto da Segurana da Informao. 2.ISO/IEC 27002, Code of Practice for Information Security Management (substitui a ISO 17799) que tem o objetivo de servir como um guia prtico para desenvolver os procedimentos de segurana da informao e prticas eficientes de gesto da segurana para a organizao. Esta norma composta por um conjunto de aes (controles) que tem como objetivo a proteo da informao. Para cada controle so definidas as suas diretrizes que indicam como deve ser implantado o respectivo controle. Algumas diretrizes indicam a participao direta ou indireta da rea de negcio. A Norma NBR ISO/IEC 27002:2005 indica como um dos fatores crticos de sucesso para a implantao da segurana da informao o fato da poltica, dos objetivos e das atividades do processo de segurana da informao estarem aderentes aos objetivos das reas de negcio. Outro fator que a norma destaca o comprometimento e o apoio visvel de todos os nveis gerenciais. A norma ainda descreve que o processo de segurana da informao deve ser feito em conjunto com os outros processos de gesto de negcio.

1.1

Estratgia e Informao Estratgia uma palavra herdada do grego strtegos, termo este

usado para designar os generais ou comandantes de guerra. De acordo com MAXIMIANO, (2005, P.338) estratgia a seleo dos meios para se realizar

objetivos, e o conceito de estratgia estaria relacionado a situaes de concorrncia tais como: guerra, jogos e negcios. Desta forma o conceito de estratgia foi inicialmente aplicado no meio militar, referindo-se a uma posio (o general no comando de um exrcito), mais tarde veio a designar a arte dos generais, designando a aplicao das competncias de sua funo dentro do processo de preparao para as guerras, ou seja, a estratgia estava relacionada ao planejamento, operaes e/ou manobras militares, cujo objetivo era o de se obter posies vantajosas frente ao inimigo, a vitria. No decorrer dos anos, surgiram vrias vises sobre o significado de estratgia no meio corporativo. A estratgia significa o comportamento global da organizao em relao ao ambiente que a circunda. A estratgia quase sempre uma resposta organizacional s demandas ambientais. Quase sempre os motivos da estratgia esto fora da organizao, isto , no ambiente. (CHIAVENATO & SAPIRO, 2006, p.38) J Mintzberg (apud BEAL, 2009, p. 70) define estratgia da seguinte maneira: A estratgia consiste pode ser vista como uma fora mediadora entre a organizao e seu ambiente. Por essa razo, a formulao da estratgia envolve a interpretao do ambiente e o desenvolvimento de padres consistentes em uma srie de decises organizacionais (estratgias) para lidar com essa estratgia principal. E ainda conforme Bateman e Snell (apud MAXIMIANO, 2005, p.341), Estratgia o padro e aes e alocai de recursos planejados para realizar os objetivos da organizao. A estratgia que a organizao implementa tem como finalidade compartilhar as competncias e os recursos da organizao com as oportunidades do ambiente esterno. Contudo pode se dizer que a estratgia um conjunto de decises, bem como a determinao de metas e objetivos associados a um determinado perodo de tempo, possibilitando a alocao de recursos e identificao de meios adequados e necessrios para que se possam alcanar tais objetivos e/ou metas pr-estabelecidos, de forma a melhor posicionar a organizao no mercado e ainda torn-las competitivas.

De acordo com BEAL (2009, p.75) a informao um elemento essencial para a criao, implementao e avaliao de qualquer estratgia, pois pra tanto necessrio ter acesso a informaes adequadas a respeito das variveis internas e externas da organizao, podendo assim se identificar os pontos fortes e fracos, as ameaas e oportunidades, bem como os valores corporativos e toda variedade de fatores que devem ser considerados na identificao de alternativas e na tomada de decises estratgicas. Desta forma a informao se torna um dos principais insumos para a formulao da estratgia, pois com base nas informaes coletadas acerca do ambiente interno e externo que a organizao tomar decises estratgicas a fim de garantir plena sintonia com o ambiente na qual est inserida, de forma a oferecer respostas adequadas e em tempo hbil, para assim assegurar a sobrevivncia e o crescimento da organizao. BEAL (2009, p.76), ressalta ainda que a informao deve ser objeto de um planejamento estratgico, de modo que possam escolhidas alternativas e nfases em relao informao e aos fluxos informacionais da organizao.

1.2

Estratgia e Tecnologia da Informao A Tecnologia da Informao (TI) nas ltimas duas dcadas invadiu a

vida das organizaes de todos os portes e das pessoas provocando profundas transformaes, modificando a forma de trabalho dentro e fora das organizaes; isso decorre da reduo dos custos dos computadores e redes de comunicao, bem como da facilidade de uso desses equipamentos. Neste contexto, a Tecnologia da Informao (TI) deixou de ser mero item de suporte organizao, passando a desempenhar um papel importante nas organizaes: o de adicionar valor e qualidade aos processos, produtos e servios. (BEAL 2009, p.78) Portanto a TI torna-se um elemento primordial na busca pela vantagem estratgica, uma vez que representa um dos principais meios para se processar a informao, possibilitando a organizao maior agilidade, flexibilidade e eficcia ao coletar, armazenar, acessar dados e informaes, bem como controlar equipamentos e processos de trabalho, tornando-se assim um agente otimizador das atividades, eliminando barreiras de comunicao e

melhorando o processo decisrio, atravs da produo e disseminao a informao no ambiente organizacional.

1.3

Gesto Estratgica Segundo COSTA (2007, p. 56) Gesto estratgica o processo

sistemtico, planejado, gerenciado, executado e acompanhado sob a liderana da alta administrao da instituio, envolvendo e comprometendo todos os gerentes e colaboradores da organizao.. O autor acrescenta ainda que a gesto estratgica tem como finalidade assegurar o crescimento, a continuidade e a sobrevivncia da organizao por meio da adaptao continua de sua estratgia, de sua capacitao e estrutura, possibilitando assim enfrentar as mudanas observadas ou previsveis no seu ambiente esterno ou interno, antecipando-se a elas. Gesto estratgia remete ento ao processo pelo qual as empresas compreendem os ambientes internos e externos no qual esto inseridas, bem como possibilitam estabelecer uma direo estratgica de forma a criar e implementar estratgias que objetivem a satisfao de objetivos. 1.4 Gesto Estratgica da Informao e da TI A expresso gesto estratgica da informao designa, a

administrao dos recursos informacionais de uma organizao a partir de um referencial estratgico. A partir desse pressuposto BEAL (2009, p.84), afirma que as organizaes podem ser analisadas sob duas perspectivas: a situacional e a permanente; que dizem respeito aos objetivos organizacionais, objetivos estes se complementa, ou seja, a organizao possui objetivos que se mantm praticamente fixos ao longo do tempo, visando ao cumprimento da misso e ao alcance da viso organizacional, e objetivos estratgicos ou situacionais, que, apesar de tambm levarem em conta a misso, a viso e os valores permanentes da organizao e de contriburem para o alcance de objetivos permanentes, costumam ser bem mais perecveis, tanto por representarem uma resposta a uma conjuntura que provavelmente no permanecer estvel por muito tempo, quanto pelo fato de poderem esgotar seus resultados,

deixando de representar uma foram de superao dos desafios para a sobrevivncia e o crescimento da organizao. Vale registra que gesto estratgica no implica abandonar a perspectiva permanente da gesto da informao, voltada para a coleta, o tratamento e a disponibilizao da informao que d suporte aos processos organizacionais tendo em vista o alcance de seus objetivos permanentes, mas acrescentar a ela a perspectiva situacional, onde o foco a informao voltada para a consecuo dos objetivos estratgicos estabelecidos para determinado tempo. Ainda segundo Davenport (apud BEAL, 2009, p. 84) a gesto da informao deve abranger processos que vo muito alm da simples administrao de infraestrutura de TI e de sistemas de informao, para o autor deve-se incluir tambm a administrao do comportamento informacional, da cultura organizacional e da equipe informacional.

1.5

Etapas da gesto estratgica da informao A gesto estratgica da informao pode ser dividida nas etapas que

comumente compem um processo administrativo qualquer (BEAL, 2009, p. 84): Planejamento: a organizao formula uma estratgia corporativa e estratgias de informao e de TI articuladas entre si, planejando objetivos e metas informacionais para determinado perodo definindo os meios para alcan-los, fazendo-se necessrio a participao da cpula estratgica da organizao. A elaborao dos planos estratgicos de informao e de TI proporciona organizao a oportunidade de interpretar sua estratgia de negocio sob o prisma das necessidades de informao, de sistemas e de infraestrutura de tecnologia da informao, permitindo a concentrao dos recursos em reas-chaves e a elaborao de responsabilidades para o alcance dos resultados pretendidos. (BEAL, 2009, p. 86) Nesta etapa sero desenvolvido o Plano de Informao, onde ser definido o fluxo de informao a ser implantado; o Plano de Sistemas, que o

detalhamento da soluo de sistemas capazes de suportar o fluxo e processamento de informaes definido; e o Plano de Tecnologia, definio dos equipamentos e dispositivos que daro suporte aos sistemas definidos no Plano de Sistemas e s metas estabelecidas no Plano de Informao. Vale registrar que esse planejamento deve ser peridico de modo a melhor responder as necessidades da organizao. Execuo: so implementadas as aes associadas aos objetivos estratgicos, conforme estabelecido durante o planejamento, as estratgias de informao e TI so a principal referncia para todo o processo de administrao da informao, dos sistemas de informao, da infraestrutura de TI e das competncias da equipe de TI. Avaliao e ao corretiva: a organizao deve dispor de um sistema avaliativo capaz de verificar o desempenho das estratgias de informao e TI: se esto sendo executadas, se trazem resultados, se permanecem adequadas. Os problemas levantados so analisados e as solues, identificadas e implementadas, permitindo assim atribuir valor ao processo.

1.6

Alinhamento Estratgico Segundo Fagundes (2004), O alinhamento das estratgias significa

aderncia dos investimentos e gastos em TI levando em considerao o valor que eles agregam aos negcios de uma organizao. Isto significa que quando os objetivos dos negcios so suportados pelos objetivos do planejamento estratgico de TI, a empresa est estrategicamente alinhada, podendo desta forma obter maior performance organizacional. Para tanto, normalmente as empresas tm buscado uma metodologia a seguir visando dar sustentao s estratgias e os valores que a rea de TI agrega ao negcio da empresa.

CAPTULO 2 2 GOVERNANA DE TI

Segundo o dicionrio Aurlio, o termo governar definido como "regular o andamento de"; "conduzir". Considerando que tais definies so condies essenciais para o bom andamento de qualquer tipo ou tamanho de organizao, podemos deduzir que a governana ("ato, cargo ou forma de governar"), inclusive a corporativa, uma ao que se desenvolve h bastante tempo. Atualmente em um ambiente empresarial cada vez mais competitivo, dinmico e regulado, as organizaes no sobrevivem mais sem uma rea de TI estratgica e alinhada aos negcios (VASCONCELO, 2005). Por conceito, a Governana de TI tem como fator primordial o compartilhamento da gesto. uma estrutura de relacionamentos e processos para dirigir e controlar a organizao na obteno dos objetivos desta organizao, adicionando valor, ao mesmo tempo em que equilibra os riscos em relao ao retorno da TI e seus processos.

2.1

Planejando, Implementando e gerenciando a Governana de TI Segundo Fernandes (2008), o processo de implantao da governana

de TI em uma organizao um empreendimento de longo prazo, e que para ser bem sucedida deve atender alguns requisitos: 1.Liderana para mudana: necessrio que pelo menos um executivo da alta direo esteja envolvido garantindo a liderana e os fundos necessrios para implantao. 2.Envolvimento dos executivos da organizao: alm do executivo patrocinador necessrio que os executivos das outras reas da empresa estejam envolvidos, para que caso ocorram

mudanas na forma com que cada rea ser atendida cada um esteja ciente das alteraes. 3.Entendimento dos estgios de maturidade em que se encontra a organizao de TI: deve-se primeiramente entender o estgio em que se encontram os diversos processos de TI na empresa, de forma que se possa planejar o programa de governana de TI. 4.Ter um modelo de governana de TI: a empresa deve ter um modelo de governana de TI a ser seguido, para que facilite o planejamento e a comunicao dentro da empresa. O modelo de governana de Ti o escopo do programa de governana de TI. 5.Instituir um programa de governana de TI: A implantao da governana um programa realizado atravs de vrios projetos, considerando perspectivas de curto, mdio e longo prazo. 6.Ter uma abordagem de gesto de mudanas cultural: As pessoas iro trabalhar de uma forma diferente e sempre haver resistncia, tanto passiva como ostensiva. Deve-se planejar como ser a abordagem da mudana da cultura. Isto certamente exigir uma srie de novos comportamentos por parte do CIO e dos seus gerentes. 7.Equipe qualificada: a implantao requer pessoal qualificado para o processo, esto necessrio que se aloque pessoal com as caractersticas e conhecimentos necessrios para implantar, acompanhar e gerenciar o programa. 8.Certificar-se de que os benefcios previstos pela Governana de TI esto sendo atingidos: de grande importncia que se consiga demonstrar atravs de nmeros para a alta direo os benefcios agregados com a implantao do programa.

1.1

Planejando o programa de Governana de TI Seguindo a proposta de Fernandes (2008), ao se pensar na implantao

da Governana de TI deve-se pensar no seu ciclo, ou seja, implementar processos de planejamento estratgico, de deciso e priorizao das operaes de servios e gesto de desempenho. O autor sugere caminhos alternativos bsicos para concepo de um programa de Governana de TI: 1.Realizar uma avaliao dos processos de TI a partir de um modelo de governana, como por exemplo, o COBIT e analisar as principais diferenas entre o modelo atual e os requisitos do negcio, 2.Conduzir um processo de alinhamento estratgico via um Balanced Scorecard onde a TI define sua estratgia de atuao, face aos requisitos do negcio. As duas alternativas acima possibilitam a definio do escopo do programa de governana de TI. A primeira alternativa bastante empregada, visto que um modelo como o COBIT j fornece todo o instrumental para a avaliao da maturidade dos processos, para estabelecimento de metas de maturidade e dos atributos de maturidade do processo nos quais se deve interferir para a melhoria de desempenho, e para a criao dos indicadores de resultado de processos. Alm disso, o COBIT tem uma lgica bem fundamentada que permite identificar, face aos objetivos do negcio, quais processos de TI devem ser prioritrios. As ferramentas fornecidas pelo COBIT conduzem a uma abordagem indutiva, ou seja, as prprias matrizes de objetivos de negcio x objetivos de TI e de objetivos de TI x processos de TI j fornecem a argumentao para negociar e convencer os executivos de negcio e a alta administrao sobre a necessidade de implantar determinados processos. A segunda alternativa, que o emprego do Balanced Scorecard( BSC), mais focada, mas ainda pouco empregada na rea de TI. Entretanto, com ela possvel ter maior liberdade para no usar no somente o COBIT, mas tambm outros modelos, conforme for apropriado.

O fato de se mais focada permite que seja definido um conjunto restrito de objetivos de resultados e de clientes que, por sua vez, iro requerer uma estratgia mais simplificada por parte de TI, e portanto menos processos para serem implementados. A construo do BSC requer intensa colaborao entre o pessoal de negcios e o de TI. Comparando com a avaliao com base no COBIT, podese dizer que o BSC emprega uma abordagem dedutiva. O escopo do programa independentemente da abordagem escolhida um conjunto de processos relacionados entre si. Seguindo a alternativa que utiliza o COBIT o escopo ser um alista de processos que precisam ser melhorados, para evoluir o grau de maturidade ou realizar a implantao de um processo inexistente. Seguindo o conceito de gesto de programas e projetos sugeridos pelo PMI, o planejamento do Programa de Governana de TI deve conter no mnimo: 1.O escopo do Programa, ou seja, a lista de processos de TI a serem implementados; 2.A sequncia de implantao dos processos, considerando as precedncias tcnicas requeridas. 3.A linha do tempo prevista para a implantao dos processos. 4.O plano de recursos estimado para o programa. 5.Os servios a serem adquiridos. 6.O oramento estimado para o programa e para cada um dos projetos, 7.Os benefcios esperados a serem atingidos, na medida em que os processos forem sendo implantados. 8.Como o programa vai ser gerenciado. 9.A estrutura de gesto do programa, com matriz de responsabilidades. 10.Os riscos do programa. 11.A estratgia de change management. 12.O plano de comunicao do programa.

1.1

Implementando o Programa de Governana de TI Fernandes (2008), afirma que a grande maioria dos profissionais de TI

possuem dvidas em como implantar o programa de governana de TI e como utilizar os modelos de melhores prticas alm do COBIT. Analisando os objetivos de controle do COBIT percebe-se que quase impossvel utilizando somente sua descrio projetar e implantar um processo de TI. Pode-se utilizar o COBIT como um referencial, porm quando se pensa no projeto do processo necessrio que se consulte outros modelos que fornecem uma viso mais detalhada. Depois de selecionar as praticas dos modelos necessrios, preciso adaptar o processo a realidade da empresa. Segundo o autor, o uso do processo no dia-a-dia pode ser: Manual ou atravs de uma ferramenta que automatizem total ou parcialmente o processo. O roteiro bsico para se implantar um processo : 1. Projetar o processo (elaborar fluxos e diagramas). 2. Elaborar a documentao do processo 3. Identificar e selecionar as ferramentas especialistas que sero utilizadas. 4. Adquirir, customizar e instalar ferramentas de apoio. 5. Treinar o pessoal nas ferramentas e processos 6. Executar o piloto. 7. Entre outras; A partir dos processos selecionados do COBIT, deve-se no primeiro instante instanciar cada um dos processos. Isso significa olhar para os modelos de melhores prticas mais especficos e selecionar as prticas que mais interessam para atender o processo do COBIT selecionado. Seguindo a opinio de Fernandes (2008), o processo COBIT Gerenciar projetos pode ser instanciado atravs do PMBOK do PMI, enquanto o processo COBIT Gerenciar desempenho e Capacidade pode ser instanciado atravs do processo ITIL gerenciamento da Capacidade. Logo que forem selecionadas as prticas, deve- se elaborar o fluxo do processo seguindo uma notao BPMN (padro de representao de

processos de negcios mantido pela OMG) ou equivalente. Lembrando ainda que nenhuma ferramenta elimina a necessidade de documentao dos processos. Assim que o processo for projetado e documentado, deve-se implement-lo com base nas ferramentas definidas anteriormente.

1.1

Gerenciando a Governana de TI Aps a fase de implantao surgem novas dvidas, como quem deve

manter a continuidade, gerir as estratgias de TI, garantir que os processos esto realmente sendo utilizados. Fernandes (2008) sugere que a Gesto da Governana de TI deve ser baseada nos quatro pilares que podemos visualizar na figura1 abaixo:

Gerir Gerir os Gerir a Gerir o PortflioBenefcios Estratgia de TI ProcessosTI de de TI

Figura 1- Componentes da Gesto da governana de TI

Fonte: Adaptado de Fernandes (2008). 1.Gerir a estratgia de TI: atravs da gesto do BSC, realizando a medio e acompanhamento das metas e indicadores estabelecidos. 2.Gerir o Portflio de TI: organizar e realizar a gesto dos investimentos e custeios necessrios, analisar tambm as mudanas que podem impactar no alinhamento estratgico. 3.Gerir os Processos de TI: gesto da conformidade dos processos de TI e suas possveis melhorias, utilizando os indicadores. 4.Gerir os benefcios de da Governana de TI: medir e analisar os benefcios agregados ao negcio aps a implantao da Governana de TI. O autor sugere que em empresas de pequeno porte a responsabilidade de gerir os pilares citados acima podem ser diludas em gesto temporria ou por foras-tarefa, porm enfatiza que pelo menos a gesto da estratgia e de portfolio sejam permanentes.

1.1

Governana de TI - ISO 38500 Esta norma baseada em um padro australiano (AS8015) e cobre os

aspectos relacionados Governana Corporativa de TI. Este padro engloba seis princpios norteadores para o estabelecimento da governana corporativa e tambm para o uso consciente, eficiente e efetivo dos recursos de TI. A ISO 38500 prope Estabelecer responsabilidades facilmente compreensveis para a TI; Planejar a TI para que ela oferea o melhor suporte organizao; Validar as aquisies de TI; Garantir a melhor performance da TI sempre que necessrio; Garantir a conformidade da TI junto s regras formais; Garantir que a utilizao dos recursos de TI respeitem os fatores humanos. Conforme Bezerra (2011) detalha, esta norma prope ainda seis princpios para a boa governana da TI:

1) Responsabilidade: as pessoas da organizao devem compreender e aceitar as suas responsabilidades no fornecimento e na procura de TI. Os indivduos responsveis por aes devem ter a autoridade para as desempenharem. 2) Estratgia: A estratgia de negcio da organizao leva em considerao as capacidades de TI atuais e futuras; os planos estratgicos para a TI satisfazem as necessidades atuais e continuadas da estratgia de negcio da organizao. 3) Aquisies: so feitas por razes vlidas, baseadas na anlise apropriada e continuada, com decises claras e transparentes. H um equilbrio adequado entre os benefcios, oportunidades, custos e riscos, avaliando tanto a curto como a longo prazo. 4) Desempenho: adequado finalidade de suporte da organizao, disponibilizao de servios e quanto aos nveis e qualidade dos servios necessrios para responder aos requisitos atuais e futuros do negcio. 5) Conformidade: respeitando a legislao e regulamentos aplicveis. As polticas e as prticas esto claramente definidas, encontram-se implementadas e so aplicadas. 6) Comportamento Humano: as polticas, prticas e decises nas TI revelam respeito pelo Comportamento Humano, incluindo as necessidades atuais e a evoluo das necessidades de todas as pessoas no processo. Bezerra (2011).

1.2

Governana de TI e a Gesto do Conhecimento Governana em TI e a gesto do conhecimento Governana no um

conceito novo. Usado h muito tempo na administrao, o termo torna-se uma categoria analtica, associando os conceitos como participao, parceria, aprendizagem coletiva, regulao, e prticas de bom governo. Criar estruturas de governana significa definir uma dinmica de papis e interaes entre membros da organizao, de tal maneira a desenvolver participao e engajamento dos membros no processo decisrio estratgico, valorizando estruturas descentralizadas (VASCONCELO, 2005).

No entanto, em TI, este conceito tem servido de anteparo para uma lista de acrnimos. Entre eles, se destacam ITIL, COBIT e PMBOK. ITIL acrnimo de Information Technology Infrastructure Library e tem foco na operao e na infra-estrutura de TI. No se preocupa com desenvolvimento de software e tampouco com alinhamento estratgico de negcios. um conjunto de recomendaes e melhores prticas para a gesto da infra-estrutura, desenvolvido pelo governo ingls. No uma metodologia restrita e no possui uma certificao, o que no compromete a qualidade do contedo integrante da biblioteca (WEIL & BROADBERT, 1998). Quaisquer aplicaes das prticas que compem a metodologia ITIL resultam em uma grande mudana cultural por parte das organizaes. Envolve reorganizao de equipes, participao da alta direo, etc., assim como qualquer projeto estrutural. O COBIT, desenvolvido pelo IT Governance Institute, inclui o frameworkCOBIT que define 34 processos de TI, distribudos em quatro (4) domnios de TI, a saber: 1.Planejamento e Organizao (PO); 2.Aquisio e Implementao (AI); 3.Delivery e Suporte (DS) e 4.Monitoramento (M) O COBIT define um nvel mais alto de objetivos de controle para cada processo e de 3 a 30 objetivos de controle mais detalhados. Os objetivos de controle contm declaraes dos resultados desejados ou metas a serem alcanadas na implementao de procedimentos de controle especficos dentro de uma atividade de TI e fornecem uma poltica clara para o controle de TI na empresa. Contudo, esto os aspectos tratados na gesto do conhecimento. Gesto do conhecimento a gesto explicita e sistemtica do conhecimento essencial e vital para a organizao e envolve os processos de criao, coleta, organizao, difuso, uso e explorao. Relaciona-se com a transformao de conhecimento tcito (pessoal) em conhecimento explcito (que pode ser codificado e mantido pela organizao) e no seu compartilhamento, mas tambm com o uso do conhecimento explcito

nas atividades e sua interiorizao pelos indivduos. Dessa forma, a gesto do conhecimento ocupa-se da gesto de pessoas e de infraestrutura, e da transformao estratgicas. O Capital Intelectual so os ativos intctil relacionados ao conhecimento que a organizao ou empresa tem sobre o seu negcio e que aumentam o seu valor de mercado para alm do valor mensurado, tradicionalmente, pela contabilidade. Emprega modelos que tm por objetivo servir como ferramenta para a valorao dos ativos intangveis. Por se tratar de uma rea sobre a qual no se estabeleceu um consenso, os modelos so importantes, principalmente, pelos conceitos que utilizam. Os mais conhecidos so o Balanced (BSC). (GREMBERGEN, 2003). de novos conhecimentos em vantagens comerciais e

CAPTULO 3 1 INTEGRANDO GOVERNANA ESTRATGICOS DE PROJETOS E OBJETIVOS

Na associao entre governana de projetos, objetivos estratgicos e execuo operacional reside o conjunto de capacidade criativa de uma entidade corporativa. De acordo com Garland (2009), a melhor abordagem para implementar uma estrutura de trabalho de governana de projetos operacional de forma a executar os objetivos estratgicos requer que : 1.Se estabelea as necessidades 2.Se ganhe o comprometimento da alta administrao com relao s necessidades 3.Se obtenha amplo apoio 4.Se adquira ou subcontrate os recursos necessrios Em suma, a governana de projetos fortalece a unidade corporativa direcionando as necessidades para: 1.Objetivos e controles, 2.Adequaes e sustentabilidade e 3.Verificaes e balanos. Ao estruturar um modelo de governana de projetos que seja simples, abrangente e adaptativo, a entidade corporativa fica apta a relacionar os objetivos estratgicos com os requisitos do gerenciamento de projetos.

1.1

Medindo o desempenho estratgico Com a meta de qualquer organizao que visa realizar seus projetos

com excelncia operacional e estratgica devem ser utilizadas rigorosas medies de desempenho para assegurar a efetividade na implementao da

sua estratgia e no gerenciamento dos riscos, direcionando pro ativamente s expectativas dos stakeholders. a medio do desempenho o processo com o qual uma organizao estabelece os parmetros dentro de quais programas, investimentos e aquisies esto sendo atingidos os resultados desejados. Garland (2009). Boas medies de desempenho devem: 1.Proporcionar um mtodo para determinar se a estratgia est funcionando 2.Permitir a medio dos resultados das execues, no somente do trabalho que est sendo realizado. 3.Prover um linguajar comum para a comunicao 4.Ser explicitamente definido em termos de responsabilidade, unidades de medio, frequncia de coleta. Qualidade dos dados, valores esperados e limites. 5.Ser vlido para assegurar que as coisas certas esto sendo medidas 6.Ser verificvel a fim de garantir a preciso dos dados que esto sendo coletados

1.1

Definir a Funo da TI na Empresa Para a determinao da estratgia de TI a empresa faz-se necessrio o

alinhamento com a diretoria da empresa quanto ao papel que a direo espera da rea de tecnologia da informao. necessrio a definir como a empresa utiliza ou pretende utilizar a tecnologia da informao. Existem muitas formas pelas quais as organizaes podem utilizar os sistemas da informao estrategicamente ou podem utiliz-la de maneiras defensivas ou controladas. Se uma empresa enfatiza utilizaes estratgicas da tecnologia da informao, significa que a direo da empresa encara a tecnologia da informao como um importante diferenciador competitivo, ou seja, dedica quantidades

significativas de tecnologia para apoiar a tomada de deciso e melhorar os processos empresariais. Mais e mais empresas esto passando a utilizar estrategicamente os sistemas de informao para obterem vantagem competitiva. Conforme o IT Governance Institute (2001), fundamentalmente, a Governana de TI diz respeito a duas coisas bsicas. A primeira, que a TI gere valor aos negcios e a segunda que os riscos da TI sejam minimizados. A primeira orientada pelo alinhamento de TI aos negcios. A segunda orientada pela disseminao do uso responsvel da TI na empresa. Ambos necessitam ser medido, por exemplo, pelo modelo de balanced scorecard. A responsabilidade do CIO na governana de TI compreende quatro pontos focais, todos orientados a gerao de valor aos stakeholders da empresa. Dois destes pontos so resultados a serem obtidos: gerao de valor e minimizao de riscos. Os outros dois pontos focais so direcionadores: alinhamento estratgico e mensurao de desempenho.

1.2

Etapa de Execuo e Implementao da Governana de TI Para o sucesso deste processo de planejamento, Fernandes (2008)

orienta que de fundamental importncia maior nmero de pessoas possveis de todos os nveis da empresa, durante o processo de formulao da estratgia. A ausncia deste envolvimento amplo um dos maiores causadores de falhas na implementao de muitas estratgias. Para que a estratgia de TI permanea, ela tem que ser um documento dinmico, ou seja, tem que ser continuamente atualizado, acompanhado e apropriadamente mantido. Por outro lado to importante quanto manter a estratgia atualizada, ressalta-se tambm a necessidade de reviso e acompanhamento contnuo do ambiente do ambiente externo e redefinido o curso de ao quando da ocorrncia de eventos modificadores do atual estado. Seguindo o modelo de Boar (2002) a execuo o ato de colocar o plano em movimento. As estratgias so operacionalizadas por meio de programas de implementao com a liderana de um proprietrio da estratgia e o patrocnio de um defensor da estratgia e o patrocnio de um defensor da estratgia. A

execuo confronta os proprietrios e defensores da estratgia com uma grande variedade de problemas, incluindo os seguintes: 1. 2. 3. 4. 5. 6. 7. 8. Habilidades inadequadas de gerenciamento de projetos. Descoberta de problemas imprevistos. Descoberta de comprometimento da organizao. Falta de liderana executiva. Agito da estratgia. Resistncia a mudanas. Demanda por resultados imediatos. Esforos para conteno de custos.

O sucesso projetado e preparado pelo seguinte (BOAR, 2002): 1. 2. 3. 4. 5. 6. 7. 8. 9. pessoal; 10. 11. cliente. A execuo citada como a etapa mais difcil do processo de estratgia. As falhas de estratgia normalmente so atribudas a um fraco gerenciamento de projeto. Boar (2002) no compartilha essa viso. Sem dvida, afirma o autor, a mecnica do gerenciamento de projeto pode ser mal executada, mas a capacidade dos gerentes de projeto executarem programas de implementao O projeto de uma economia de TI interna que motive os Um sistema bem projetado para medio da satisfao do comportamentos desejados e a tomada de deciso; Um plano de comprometimento cuidadoso; Um plano de gerenciamento de mudana totalmente

desenvolvido; A seleo de proprietrios e defensores da estratgia capazes; O projeto de uma arquitetura de recursos humanos que estimule Grande participao no desenvolvimento da estratgia; Treinamento e suporte para o gerenciamento de projeto; Um processo de planejamento estratgico profissional que Uma inteno estratgica digna de esforo individual,

os comportamentos desejados;

ganhe o respeito da organizao; entusiasmo e comprometimento; Uma estratgia profunda e larga, que capture a imaginao do

decretada antecipadamente, durante a etapa de estratgia, pelo projeto da economia interna de TI, pelo projeto da arquitetura de recursos humanos, pela atribuio de proprietrios e defensores, pelo sistema de gerenciamento da satisfao do cliente, pelo plano de comprometimento e pelo plano de gerenciamento de mudana. A etiologia da falha na execuo normalmente acontece devido s falhas no plano estratgico, e no devido a um gerenciamento incompetente de projeto. Os seis itens criam um ambiente de implementao em que os agentes de mudana podem afetar a mudana. A execuo da estratgia vencida ou perdida com base na profundidade, introspeco e prescincia do plano estratgico, e no nos procedimentos do gerenciamento de projeto. O sucesso da execuo pode ser previsto no trmino da etapa de estratgia. Imperfeies no gerenciamento de projeto so relativamente fceis de corrigir. O desafio real o pr-posicionamento para o sucesso. Para Boar (2002), monitorao a reviso formal peridica dos projetos para avaliar o progresso. As aes e as tcnicas precisam ser revisadas, adaptadas e ajustadas com base na experincia do mundo real. Pela reviso cuidadosa e constante, aes proporcionais podem ser tomadas para redirecionar significativamente o curso de nossas estratgias, para que esteja de acordo com tempos e circunstncias em evoluo. A monitorao, no entanto, precisa ir alm das revises convencionais de gerenciamento de projeto. Estamos igualmente preocupados com o aprendizado e a vigilncia. Com aprendizado, Boar (2002), apresenta a busca ativa de lies a partir das experincias prticas e a incorporao dessas lies em processos e programas. As experincias do dia-a-dia das equipes de projeto so algumas das melhores fontes para obter introspeco sobre como melhorar o processo de estratgia. O aprendizado responde pergunta: O que pode ser feito nas etapas de avaliao e estratgia o processo para melhorar e simplificar a etapa de execuo da prxima vez? Na viso de Boar (2002), a verificao proativa contnua do ambiente em busca de eventos que possam exigir uma avaliao e resposta estratgica em tempo real. O modelo de planejamento estratgico apresentado um modelo de calendrio. Infelizmente, o mundo nem sempre escolhe evoluir em sincronismo com um determinado programa de planejamento. Deve-se estar

vigilante para reconhecer eventos imprevistos, que possam mudar os planos. O processo que lida com eventos no antecipados de natureza estratgica denominado gerenciamento dinmico de problemas.

1.1

Modelos de Referncia Mundial de Gesto de TI O papel e a responsabilidade da rea de TI no suporte aos negcios e

como recurso organizacional chave nas empresas globais exige um alto nvel de qualidade e de competncia da organizao de TI. de fundamental importncia para estas empresas adotarem padres de classe mundial de governana e de gesto de TI, tais como: Cube, ITIL, ISO 17799, PMBOK, SLM/SLA, BSC, ISO 9001/2000. Estas metodologias e padres de referncia devem ser utilizados e implantados conforme as prioridades estabelecidas no plano estratgico de TI e devem refletir prioridades e importncia para os negcios da organizao (CPI, 2005): 1. COBIT (Control Objectives for Information and Related

Technology): Foco em prioridades de TI, processos, controles internos e auditoria de TI. 2. 3. 4. 5. 6. 7. ITIL (Information Technology Infrastructure Library) e BS 15000: SLA / SLM (Service Level Agreement / Service Level ISO 17799 e BS7799: Foco em segurana de informaes. CMM/CMMi (Capability Maturity Model Integrated): Foco em PMBOK (Project Management Body of Knowledge): Melhores BSC (Balanced Scorecard): Metodologia de alinhamento Foco em gerenciamento de servios de infra-estrutura. Management): Gerenciamento de acordos de nveis de servios.

desenvolvimento e engenharia de software; prticas de gesto de projeto. estratgico e operaes, ferramenta de implementao e monitoramento de indicadores de gesto de negcios e de TI. 8. TOGAF (The Open Group Architectural Framework) e ZIFA (Zachman Institute for Framework Advancement): Modelos de referencia e metodologias para desenho de arquitetura de negcios e de arquitetura de TI.

Esta complexidade das organizaes de TI de empresas globais tem chamado a ateno de empresas de software disponibilizando software para automao da governana e da gesto da TI, chamados ERP para TI, ou BTO (Business Technology Optimization). J existem solues disponveis, incluindo os prprios grandes fornecedores de ERP.

1.1

COBIT Control Objectives for Information and Related technology O COBIT foi criado em 1996 pela ISACF( Information Systems Audit and

Control Foudantion), com base em um conjunto de objetivos iniciais de controle, incorporando padres internacionais tcnicos, profissionais e especficos para processos de TI. Em 1998 foi lanada a sua segunda verso com revises sem seus objetivos de controle de alto nvel, acrescentando ferramentas e padres para implementao. Em 2000 a 3 edio foi lanada pela ITGovernance Institute( ITGI), com normas e guias pra gesto. Em 2005 houve uma nova evoluo da verso 3, mostrando prticas e padres mais maduros alinhados com os modelos COSO, ITIL e ISO17799.) Em 2007 houve uma atualizao acrescentando uma maior eficcia dos objetivos de controle dos processos, verificao e publicao dos resultados. Alterando assim os objetivos de controle para serem caracterizados como diretrizes de prticas de gesto. Fernandes (2008, p. 174). Em 2010 a verso 4.1 foi lanada em portugus. Ainda este pretende-se lanar a quinta verso. Fernandes (2008). O ITGI segue o princpio de que as informaes e tecnologias necessrias para o funcionamento da empresa no podem ser tratadas isoladamente, devendo ser tratadas como uma parte efetiva da estratgia corporativa, j que so fundamentais para o bom andamento da gesto. o COBIT pode ser considerado um guia para a gesto e controle dos objetivos das atividades relacionadas com a unidade de tecnologia da informao nas organizaes. Rezende (2009. P 136). Segundo Fernandes O principal objetivo das prticas do COBIT contribuir para o sucesso da entrega de servios e produtos de TI, considerando as necessidades do negcio, preocupando-se principalmente

com o controle, e em segundo lugar a execuo. Sendo um modelo genrico que possibilita representar todos os processos ligados s funes de TI. Na viso do COBIT as cindo reas de conhecimento fundamentais que sustentam o ncleo de Governana de TI so alinhamento estratgico, agregao de valor, gerenciamento de recursos, gerenciamento de riscos e medio de desempenho, e podem ser observadas na figura 2 Abaixo:

Figura 2-reas Foco Governana de TI, na viso do COBIT Fonte: Adaptado de Fernandes (2008).

A estrutura do COBIT formada por quatro domnios: planejamento e organizao; aquisio e implementao; entrega e suporte; e monitorao do desempenho de TI. Os mapas de controles fornecidos pelo COBIT contribuem para garantir o acompanhamento das iniciativas ligadas a tecnologia da informao nas organizaes, e recomenda quando necessrio a implementao de novas ou boas prticas. O COBIT foi idealizado para atender as necessidades de controle da organizao ligadas a governana de TI, focando principalmente os requisitos do negcio, uma abordagem orientada a processos, utilizao efetiva de controles e medies e indicadores de desempenho. 1.1.1 Foco no negcio Seguindo os princpios do COBIT, para fornecer a informao que a empresa necessita para atingir suas metas necessrio gerenciar os recursos de TI usando processos para garantir entrega e qualidade dos servios de TI.

Obedecendo ainda os seguintes critrios de controle: eficincia, eficcia, confidencialidade, integridade, disponibilidade, conformidade com regulaes e confiabilidade. As informaes necessrias para que a organizao atinja seus objetivos so disponibilizadas atravs de processos de TI que utilizam recursos de TI que podem ser pessoas (habilidades, conhecimento, produtividade), infraestrutura (sistemas operacionais, bancos de dados, hardware e redes), para executar as aplicaes onde sero manipuladas e geradas as informaes de negcio. A figura 3 mostra a ilustrao da arquitetura empresarial pra TI alinhada ao princpio bsico do COBIT.

Figura 3-Princpios bsicos do COBIT Fonte: Adaptado de Fernandes (2008)

1.1.2 Orientao para processos O COBIT fornece um modelo padro de referncia e uma linguagem comum possibilitando que todos os membros de uma organizao sejam capazes de compreender e gerencias as atividades ligadas a TI. Seguindo os princpios de melhoria contnua (planejar, construir, executar, monitorar) o COBIT identificou 34 processos distribudos em 4 domnios. Conforme figura 4 abaixo:

Figura 4-Domnios do COBIT Fonte: adaptado de Garcia, 2010.

Planejamento e Organizao (PO): que dispe sobre o planejamento pelo qual a tecnologia da informao pode contribuir para atender aos objetivos do negcio. Aquisio e Implementao (AI): cobre a identificao das necessidades a serem desenvolvidas ou adquiridas e sua integrao ao processo de negcio, alm de garantir que as alteraes continuem a atender aos objetivos de negcio. Entrega e Suporte (DS): discorre sobre a garantia das entregas e gesto dos servios de suporte ao cliente. Monitorao e Avaliao (ME): detalha o processo de avaliao da qualidade e conformidade aos requerimentos de controle. A tabela 1 abaixo ilustra as questes gerenciais comuns abordadas e os processos relativos a cada um dos domnios do COBIT.Tabela 1- Questes e Processos dos Domnios COBIT

Questes Gerenciais

Processos de TI

Pla nej am ent o e Or ga niz a o (P O):

1.

2.

3.

A estratgia do PO-1 Definir o plano estratgico negcio e a TI para TI esto alinhadas? PO-2 Definir a arquitetura da A empresa est informao otimizando a PO-3 Determinar a direo utilizao dos tecnolgica seus recursos? PO-4 Definir a organizao de TI, os Todos na seus processos e seus organizao relacionamentos compreendem as PO-5 Gerenciar os investimentos de metas de TI? TI Os riscos PO-6 Comunicar os objetivos e relacionados TI direcionamentos gerenciais esto PO-7 Gerenciar os recursos compreendidos e humanos sendo PO-8 Gerenciar a qualidade gerenciados? PO-9 Avaliar e gerenciar os riscos A qualidade dos de TI sistemas de TI est adequada s PO-10 Gerenciar os projetos necessidades do negcio?

4.

5.

Aq uisi o e im ple me nta o (AI)

1.

Os novos projetos AI-1 Identificar as solues conseguem automatizadas entregar solues que atendem as AI-2 Adquirir e manter os softwares Adquirir e manter a necessidades do AI-3 infraestrutura tecnolgica negcio? Os novos projetos AI-4 Viabilizar a operao e conseguem ser utilizao entregues dentro AI-5 Adquirir recursos de TI do prazo e AI-6 Gerenciar as mudanas oramento AI-7 Instalar e aprovar solues e planejados? mudanas Os novos sistemas funcionam adequadamente depois de implementados? As mudanas so conduzidas com baixo impacto nas operaes de negcio correntes?

2.

3.

4.

Ent reg a e Su por te (DS )

1.

Os servios de TI DS-1 Definir e manter os acordos de esto sendo nveis de servios (SLA) entregues com alinhamento as DS-2 Gerenciar os servios de prioridades do terceiros DS-3 Gerenciar a performance e negcio? capacidade do ambiente DS-4 Assegurar a continuidade dos Os custos de TI servios esto otimizados? DS-5 Assegurar a segurana dos servios DS-6 Identificar e alocar custos As equipes de trabalho so DS-7 Educar e treinar os usurios capazes de DS-8 Gerenciar a central de servios utilizar o sistema e incidentes de Ti com DS-9 Gerenciar a configurao segurana e DS-10 Gerenciar os problemas produtividade? DS-11 Gerenciar os dados DS-12 Gerenciar a infraestrutura Atributos como DS-13 Gerenciar as operaes confidencialidade, integridade e disponibilidade esto implementados de forma adequada?

2.

3.

4.

Mo nit ora o e Av alia o ( M E)

1.

2.

As medies de ME-1Monitorar e avaliar o desempenho da desempenho da TI TI detectam problemas antes ME-2Monitorar e avaliar os controles que seja tarde internos ME-3Assegurar a conformidade com demais? requisitos externos H garantias de que os controles ME-4Prover governana para a TI internos sejam eficientes e eficazes? possvel associar diretamente o desempenho de TI s metas de negcio estabelecidas anteriormente? Existem controles para confidencialidade, integridade e disponibilidade adequados para garantir a segurana da informao?

3.

4.

Tabela 1- Questes e processos dos domnios do COBIT Fonte: Fernandes(2008)

1.1.1 Controle atravs de objetivos O COBIT define a atividade de controle da seguinte forma, O conjunto de polticas, procedimentos, prticas e estruturas organizacionais desenvolvidas para dar uma garantia razovel de que os objetivos de negcio sero atingidos e de que os eventos indesejveis sero prevenidos ou mesmo

detectados (2008).

e

corrigidos.

Fernandes

Cada objetivo de controle deve estar diretamente ligado a um propsito que pretende ser atingido com a implantao dos processos controle nas atividades de TI, sendo que o COBIT sugere a documentao de um nmero mnimo de requisitos para que seja vivel o controle eficaz dos processos de TI. Para cada processo de TI existe um detalhamento deste processo e alguns objetivos de controle descritos. Existem alguns objetivos genricos que podem ser aproveitados em todos os processos, como definio e divulgao de metas, estabelecer o responsvel por cada processo, repetio com o objetivo de atingir os resultados almejados, definir papeis claramente, definir e divulgar polticas, procedimentos e planos ligados aos processos e desempenho do processo em relao s metas.

Existem ainda alguns controles mais especficos ligados s aplicaes utilizadas no processo, como a autorizao e criao, entrada e processamento, e sada de dados e interfaces.

1.1.2 Direcionamento para medies Um dos maiores desafios de uma organizao pode ser o de saber em qual profundidade devem ser abordados os mecanismos de controle e medies de desempenho, onde obter dados e como os resultados devem ser agregados. O COBIT sugere que se mea primeiro a atual situao da empresa, focando nos aspectos onde possam ser efetuadas melhorias e monitoras estas aes periodicamente. Para que se decida qual o ponto certo necessrio que se analise o custo benefcio do controle.

1.1.3 Modelo de Maturidade Existe uma abordagem do COBIT, que trata sobre este aspecto que sugere um modelo de maturidade para cada processo de TI em nveis, atravs destes facilitando a avaliao da organizao, conforme pode ser observado na figura 5 abaixo:

Figura 5- Modelo de maturidade - COBIT Fonte: Adaptado de Maturidade_TI_COBIT, Santos.

Seguindo este modelo de maturidade fica possvel que a organizao possa mapear a sua situao atual, compare com a situao de empresas renomadas e outras internacionais, estabelea e monitore as melhorias para atingir a estratgia da empresa. 1.1.4 Metas e Medies de Desempenho Os objetivos e mtricas so definidos no COBIT em trs nveis: o que os negcios esperam de TI; o que os processos de TI precisam entregar para suportar os objetivos de TI; o que precisa acontecer dentro do processo para atingir a requerida. O COBIT utiliza dois tipos de indicadores: Medidas de resultados (sadas) indicam se os objetivos foram atingidos. Esses podem ser medidos somente aps os fatos e, portanto so chamados de indicadores histricos (lag indicators).

Indicadores

de

performance

indicam

se

os

objetivos

sero

possivelmente atingidos. Eles so medidos antes que os resultados sejam claros e, portanto so chamados de indicadores futuros (lead indicators). As medidas de resultados tornam-se um indicador de desempenho para o objetivo de nvel superior. As medidas de resultados obtidas definem as medies que informam a gerncia, depois dos fatos, se a funo, os processos e a atividade de TI atingiram seus objetivos.

1.1.5 Viso Integrada do Modelo

Resumidamente o COBIT pode ser descrito seguindo o principio bsico de seu framework, ou seja, recursos de TI so gerenciados por Processo de TI para atingir metas de TI que esto diretamente ligadas aos requisitos do negcio. Como podemos observar na figura abaixo.

Figura 6- Cubo COBIT Fonte: Adaptado de Fernandes (2008).

1.1.6 Contedo dos Processos de TI O ncleo do COBIT formado principalmente pelos processos de TI que so documentados no modelo de forma a mostrar uma viso ampla e clara de como devem ser controlados, gerenciados e medidos estes processos. Na figura 7 abaixo podemos perceber como os 34 processos de TI so descritos atravs de seus componentes inter-relacionados.

Figura 7- Inter-relacionamento entre os componentes do COBIT Fonte: Adaptado de Fernandes (2008).

1.1.7 Aplicabilidade do Modelo O COBIT concentra se objetivo de o que dever ser atingido do que em como esse resultado vai ser obtido em relao a governana , gesto e controle. Sendo assim aconselhvel que o COBIT seja utilizado em nvel estratgico da organizao em consonncia com outros modelos de boas prticas existentes no mercado. Segundo Fernandes (2008) pode-se elencar vrias oportunidades de aplicao em uma organizao, conforme pode ser observada abaixo:

1. Avaliao dos processos de TI: como um checklist para avaliar pontos positivos e negativos dos seus processos, facilitando a proposio das melhorias necessrias. 2. Auditoria dos riscos operacionais de TI: os processos podem ser avaliados individualmente ou em conjunto, analisando as diferenas entre os objetivos padres em relao aos riscos que aquele respectivo processo apresentar para a organizao. 3. Implementao modular da Governana de TI: mapeamento de processos do modelo criando uma hierarquia de processos de gesto, facilitando a reutilizao de processos j existentes. Normalmente utiliza-se de modelos como ITIL, CMMI, PMBOK e outros. 4. Realizao de benchmarking: com a utilizao do modelo de maturidade, viabiliza que se compare com dados de outras organizaes, at mesmo internacionais, permitindo que se estabeleam metas de crescimento e melhoria continua. 5. Qualificao de fornecedores de TI: no caso de desenvolvimento de software o CMMI vem agregando valor aos produtos das organizaes que o utiliza, j o COBIT agrega valor a contratao de servios de TI e tambm no estabelecimento de nveis de servio dentro de uma organizao. O COBIT aplicado a um publico alvo bem diferenciado, englobando desde Gesto executiva fornecendo orientao a respeito do retorno dos investimentos, Gesto de negcios garantindo o gerenciamento de servios de TI, Gesto de TI provendo servios de TI, alinhado ao negcio de forma gerencivel e controlada, at Auditores fornecendo o embasamento para concluses a respeito da gesto interna. 1.1.1 Benefcios do modelo O COBIT direcionado ao negcio das organizaes com possibilidade de fornecer informaes para facilitar a gesto das funes empresariais e contribuir com a inteligncia organizacional. A estrutura do COBIT auxilia a visualizao dos processos de TI e fornece um guia para a implementao de

melhorias e avaliaes da maturidade dos processos existentes nas organizaes. Fernandes (2008) elenca alguns dos benefcios que a utilizao sistemtica do COBIT pode trazer a empresa: 1. Clareza nas responsabilidades e informaes 2. Viso facilitada da situao atual dos processos de TI 3. Reduo da exposio a riscos 4. Melhor solides e assertividade no planejamento das aes 5. Reduo de custos operacionais e de propriedade do acervo de TI 6. Melhoria da imagem da organizao perante os clientes Percebe-se que a organizao utilizando o COBIT pode melhorar o retorno dos seus investimentos na rea de tecnologia da informao, assegurar a entrega dos produtos e mensurar aes corretivas de erros e mtricas para avaliao dos resultados. 1.1 Frameworks de Suporte Para atender aos 34 processos do COBIT podem ser utilizados outros modelos que definem boas prticas de gesto, tais como: ITIL, PMBOK, CMMI e ISO/IEC 27001 e 27002. Cada um desses modelos possui algumas prticas definidas para gerir seus processos. A implantao correta dessas prticas garante que a entrega e qualidade dos produtos e servios atendam as necessidades do negcio. 1.1.1 ITIL (IT Infrastructure Library) O desafio de gerenciar uma rea de TI, embora exista h muito tempo o interesse da comunidade de TI, tornou-se recentemente uma preocupao tambm da alta direo das organizaes. Com o alinhamento estratgico da rea de TI com o negocio est agora realado, bem como as abordagens ao Gerenciamento de servios de TI.

As disciplinas relacionadas com o gerenciamento de servios de TI, que buscam esse alinhamento dinmico da rea de TI com o negocio, recebem um reforo substancial com o estabelecimento da ITIL, com o conjunto de melhores praticas para o \gerenciamento de servios de TI. As melhores prticas reunidas na ITIL fornecem uma alternativa para o gerenciamento de servios de TI, pela proposio de uma metodologia de gerenciamento focada nos processos e nas suas relaes de dependncia. A ITIL fornece orientao para a rea de TI baseada nas melhores praticas e em um ambiente de qualidade, visando melhoria continua, envolvendo pessoas, processos e tecnologias. ITIL composta por um conjunto de melhores praticas para definio dos processos necessrios ao funcionamento de uma rea de TI. A metodologia descreve a base para organizao dos processos da rea de TI, visando sua orientao para o gerenciamento de servios de TI. As diversas prticas reunidas descrevem os objetivos, atividades gerais, prrequisitos necessrios e resultados esperados dos vrios processos, os quais podem ser incorporados dentro das reas de TI. A ITIL no define os processos a serem implementados na rea de TI, mas, sim, demonstram melhores praticas que podem ser utilizadas para esta definio. A adoo dessa metodologia no obriga a uma nova maneira de pensar e agir, mas sim fornecer uma base onde colocar os processos existentes em um contexto estruturado, validando as atividades, tarefas, procedimentos e regras. A ITIL fornece um comprovado guia para o planejamento de processos padronizados, funes e atividades para os integrantes da equipe de TI, com referencia e linhas de comunicao apropriadas entre elas.

1.1.1.1 Gerenciamento de processos O gerenciamento de servios de TI baseia-se em processos. Cada processo pode se tornar-se bastante complexo, dependendo da organizao, sendo que, para cada processo, existe um mtodo de gerenciamento especifico. Um determinado processo no deve ser visto como isolado dos outros processos, pois eles esto inter-relacionados, razo pela qual o

gerenciamento de servio de TI necessrio, coordenando todos os processos de TI para obteno do mesmo objetivo. Os objetivos do gerenciamento de processos so: 1. 2. 3. Aumentar a qualidade dos servios Aumentar a previsibilidade do comportamento Diminuir o custo alocado

Os processos responsveis pela entrega dos servios de TI (Service Delivery) pertencem ao nvel ttico, enquanto aqueles responsveis pelo suporte dos servios de TI (Service Support) so nvel operacional. Um implementao da ITIL aos processos da rea de TI, muitos procedimentos j existentes so preservados ou adaptados, pois pode ser a melhor prtica para o desenvolvimento daquela tarefa, naquela rea de TI.

1.1.1.1 Modelo de referencia e a ITIL A interatividade entre os processos descritos na ITIL prope-se a apresentao de um modelo de referencia de processos para a rea de TI. O modelo de referncia de processos proposto possui duas reas em que os processos da ITIL so fundamentais para operacionalizao plena: 1. Suporte ao Servio (Service Support) A concentrao das tarefas de execues dirias destes processos que so necessrias para a manuteno dos servios de TI, so eles: 1. Gerenciamento de Configurao (Configuration Management) 2. Gerenciamento de Incidente (Incident Management) 3. Gerenciamento de Problema (Problem Management) 4. Gerenciamento de Mudana (Change Management) 5. Gerenciamento de Liberao (Release Management)

1.1.1 Entrega do Servio (Service Delivery) Concentra as atividades de planejamento ao longo do prazo dos servios deste processo que so demandados pela organizao e a melhoria dos servios j entregues. So eles: 1. Gerenciamento do Nvel de servio (Service Level Management) 2. Gerenciamento de Capacidade (Capacity Management) 3. Gerenciamento da Disponibilidade (Availability Management) 4. Gerenciamento da continuidade dos servios de TI (IT Service Continuity Management) 5. Gerenciamento Financeiro (Financial Management) As reas descritas so as duas principais existentes, porm o modelo de referencia de processos prev outras relacionadas como: 1. Gerenciamento de Aplicao (Application Management) 2. Gerenciamento de Segurana (Security Management) 3. Gerenciamento de Comunicao (Communication Management) 4. Gerenciamento de Relacionamento (Relation Management) Processos de gerenciamento de aplicao e segurana fazem parte da ITIL. A novidade do modelo de referencia a incorporao dos processos de gerenciamento de comunicao, que responsvel por todo o movimento de informao entre TI e negocio, assim como gerenciamento de relacionamento que responsvel pelo acompanhamento de todo o histrico de interaes do cliente e o consequente suporte para tomada de deciso em negociao com o cliente. Alm dos processos, a ITIL descreve funo de Central de Servios (Service Desk), acrescida da proposio de uma Central de Monitoramento (Command Center). Com isso a ITIL no se limita aos processos nem as funes citadas, compreendendo vrios outros aspectos e processos da rea de TI.

1.1.1.1Detalhamento dos processos da ITIL Segue a descrio sobre os processos da ITIL apresentados no modelo de referencia da rea de TI. Gerenciamento de Configurao Sendo responsvel pela criao base de dados do gerenciamento de configurao (Configuration Management database - CMDB), a qual constituda pelos detalhes dos itens de configurao (Configuration items - CIs) empregados para o aprovisionamento e gerenciamento de servios de TI. Um item de gerenciamento de configurao o componente que faz parte ou esta diretamente relacionado como infra-estrutura de TI, o item de configurao pode ser fsico ou lgico. Gerenciamento de Incidente Responsvel pelo tratamento de e pela resoluo de todos os incidentes observados nos servio de TI, visando o restabelecimento dos servios no menor prazo. Gerenciamento de incidente se apoia na estrutura de central de servio. Central de Servio um importante componente do aprovisionamento de servios de TI para organizao. Os principais focos de uma central de servios so o gerenciamento de comunicao e incidentes. Algumas centrais de servio provem apenas o registro das chamadas e quando detectam ser um incidente, transferem a chamada para outra equipe mais capacitada para o atendimento. Gerenciamento de Problema Responsvel pela resoluo definitiva e preveno das falhas por trs dos incidentes que afetam os funcionamentos normais dos servios de TI. Com isso possvel prevenir falhas e reincidncias, realizando as manutenes preventivas. Gerenciamento de Mudana Tem por finalidade assegurar que todas as mudanas necessrias nos itens de configurao (Configuration Item) sero realizadas conforme planejado

e autorizado, o que incluir assegurar a existncia de uma razo do negocio subjacente a da mudana a ser realizada. Gerenciamento de Liberao Responsvel pela implementao das mudanas no ambiente de infraestrutura de TI, ou seja, pela colocao no ambiente de produo de um conjunto de itens de configurao novos e/ou que sofreram alteraes, os quais foram testados em conjunto. O gerenciamento de liberao contribui para aumentar a eficincia da introduo de mudanas no ambiente de infraestrutura de TI, combinando-a em uma nica liberao. Gerenciamento de Nvel de Servio Processo que serve de base para o gerenciamento dos servios da rea de TI aprovisionado para a organizao, assegurando que os servios de TI, dentro dos nveis de servios acordados, sero entregues quando e onde as reas usurias o definirem. O processo de gerenciamento de nvel de servio pode ser divido nas seguintes subprocessos: 1. 2. 3. 4. 5. 6. 7. Reviso dos servios disponibilizados Negociao com os clientes Reviso dos contratos de servios com fornecedores externos Desenvolviment