Alessandro Almeida | www.alessandroalmeida.com

Alessandro Almeida | www.alessandroalmeida.com

� Objetivo

� Definições Iniciais

� Governança Corporativa

� Governança de TI

� Frameworks e Modelos

� Praticando a Governança de TI

� Formação e Carreira

� Apresentar o conceito de Governança de TI e

alguns (dos diversos) modelos, certificações e

conjuntos de práticas que podem ser

utilizados para implementá-lo

O que é “Governança”? (segundo o dicionário Houaiss)

� Governança

� “ato de governar(-se); governo, governação”

� Governar

� “ter mando, direção; dirigir, administrar”

� “tratar devidamente de seus próprios negócios e

interesses”

� “deixar-se influenciar por; orientar-se, regular-se”

� Ganância dos altos executivos

� Omissão das auditorias externas

� Erros estratégicos (concentração de poder)

� Abuso de poder

� “Conflito de agência”

� Escândalos corporativos

� Enron

� WorldCom

� Tyco

� "Governança corporativa é o sistema que assegura aos sócios-proprietários o governo estratégico da empresa e a efetiva monitoraçãoda diretoria executiva. A relação entre propriedade e gestão se dá através do conselho de administração, a auditoria independente e o conselho fiscal, instrumentos fundamentais para o exercício do controle. A boa governança corporativa garante eqüidade aos sócios, transparência e responsabilidade pelos resultados (accountability)."

� Criada em 2002 por Paul Sarbanes e Michael

Oxley

� Após os escândalos financeiros

� Impõe padrões mais elevados de Governança

Corporativa

� Auditoria

� Segurança

� Evita ocorrência de fraudes

� Instituto Brasileiro de Governança

Corporativa

� Criado em 1995 como IBCA (Instituto Brasileiro de

Conselheiros de Administração)

� Em 1999 seu nome mudou para IBGC

� Principal referência na América Latina na difusão

das melhores práticas de Governança

� Transparência

� Equidade

� Prestação de Contas

� Responsabilidade Corporativa

� IBGC, Código das Melhores Práticas de

Governança Corporativa, 2009

� A governança de TI é de responsabilidade da

alta administração (incluindo diretores e

executivos), na liderança, nas estruturas

organizacionais e nos processos que

garantem que a TI da empresa sustente e

estenda as estratégias e objetivos da

organização

� IT Governance Institute, 2005

� Especificação dos direitos decisórios e do

framework de responsabilidades para

estimular comportamentos desejáveis na

utilização da TI

� Weill e Ross, Governança de Tecnologia da

Informação, 2004

� Capacidade organizacional exercida pelo

conselho, pela administração executiva e pela

administração de TI para controlar a

formulação e implementação da estratégia

de TI e, com isso, assegurar a fusão entre os

negócios e a TI

� Wim Van Grembergen, Introduction to the

Minitrack "IT Governance and Its Mechanisms“,

2002

� Governança de TI

� Integra TI com as áreas de negócio

� Apóia a definição e execução da estratégia

� Atua na definição dos papéis e responsabilidades

� Fornece suporte metodológico

� Atua na gestão de processos de TI

� Como funciona na sua empresa?

� Há uma área de governança?

� Como está estruturada?

� Quais são as responsabilidades?

� Cada empresa aplica e entende de uma forma

� Conceito ainda não consolidado

� Muitas vezes, a área é conhecida como:

� Metodologia

� Auditoria e Compliance

� Métodos e Processos

� Responsabilidades limitadas

� Quando comparamos com as definições

apresentadas

� Uma boa* Governança de TI compensa

� Empresas com Governança de TI eficaz têm lucro

até 20% maiores do que as empresas sem

governança

� Indicador mais importante do valor que a empresa

obtém com a TI

� *: Aquela que faz sentido para a organização

� Permite que a empresa enxergue o valor da TI

� A informação e a TI são dentre os ativos principais

aqueles menos compreendidos na empresa

� O valor da TI depende mais do que apenas

uma boa tecnologia

� O alinhamento estratégico entre TI e negócio

pode ser um elemento fundamental para o

sucesso da organização

Alinhamento de

Atividades

Operações

Corporativas

Estratégia

Corporativa

Estratégia de TI

Operações de TI

� TI é cara

� Decisões de TI envolvem diversas áreas

� Novas tecnologias podem gerar novas

oportunidades de negócio

� Muitas vezes, TI é uma área nebulosa e

isolada dentro da empresa

� Investidores procuram empresas com melhor

governança

Governança de TI

GOVERNANÇA

CORPORATIVA

Direcionadores

dos Stakeholders

Alinhamento

Estratégico de TI

Entrega de Valor

Gestão de Riscos

Medição de

Performance

Direcionadores

dos Stakeholders

Alinhamento

Estratégico de TI

Entrega de Valor

Gestão de Riscos

Medição de

Performance

Gestão de Recursos de TI

O que devemos considerar na implementação da Governança de TI?

� Lado comportamental

� Relacionamentos e padrões de comportamento

entre diferentes agentes de uma empresa

� Lado normativo

� Regras que regulam os relacionamentos e

comportamentos, moldando, com isso, a

formação da estratégia corporativa

� Qual é a importância de TI para o negócio?

� Qual é a estratégia da empresa?

� Missão

� Visão

� Mapa Estratégico ou BSC

� Definir o Plano Estratégico de TI

� Como faremos as medições?

� Derivação do Mapa Estratégico?

� Indicadores

� Quais decisões devem ser tomadas para

garantir a gestão e o uso eficazes de TI?

� Quem deve tomar essas decisões?

� Como essas decisões serão tomadas e

monitoradas?

Princípios de TI

Arquitetura de TI

Infraestruturade TI

Necessidades de aplicações

de negócio

Investimentos e a priorização

de TI

� Decisões sobre os princípios de TI

� Missão de TI

▪ Qual é o modelo operacional da empresa?

▪ Como a TI dará suporte ao modelo?

▪ Como a TI será financiada?

� Decisões sobre a arquitetura de TI

� Quais são os principais processos de negócio?

Como eles se relacionam?

� Como os dados devem ser integrados?

� Quais atividades devem ser padronizadas para

suportar à integração de dados?

� Quais opções tecnológicas guiarão a abordagem

da empresa para as iniciativas de TI?

� Decisões sobre a infraestrutura de TI

� Serviços de TI coordenados de maneira

centralizada e compartilhados, que provém a base

para a capacidade de TI da empresa

� Necessidades de aplicações de negócio

� Quais são as aplicações necessárias?

� Adquiridas no mercado ou desenvolvidas

internamente?

� Decisões sobre os investimentos e a

priorização de TI

� Quando e onde investir

� Aprovação de projetos

� Monarquia de Negócio

� Decisões tomadas pelo grupo de executivos de

negócios ou executivos individuais (CxOs)

� Não considera executivos de TI que atuem

independentemente

� Monarquia de TI

� Equipe de TI tomando as decisões

� Federalismo� Executivos do nível de diretoria e grupos de

negócios (por exemplo, processos ou unidades de negócios)

� Executivos de TI como participantes adicionais

� Duopólio� Executivos de TI e algum outro grupo (CxO ou

líderes de unidades de negócio)

� Anarquia� Usuários tomando as decisões individualmente

Balanced Scorecard

� Acrônimo de “Balanced Scorecard”

� Ferramenta de gestão estratégica

� “Desdobra” a estratégia em todas as áreas da

organização

� Contempla 4 perspectivas:

� Financeira

� Cliente

� Processos Internos

� Aprendizado e Crescimento

� “Governança corporativa de tecnologia da

informação”

� Criada em 2008

� 2009: Tradução para o português

� Seis princípios para uma boa governança

corporativa de TI

� Responsabilidade

� Estratégia

� Aquisição

� Desempenho

� Conformidade

� Comportamento Humano

� Control Objectives for Information and

Related Technology

� Representa todos os processos normalmente

encontrados nas funções da TI

� Framework de apoio para implementar a

Governança de TI

� Cria uma ponte entre o operacional e o

estratégico

� Criado em 1994 pela ISACF

� Information Systems Audit and Control

Foundation

� Atualmente está na versão 4.1 e é mantido

pelo IT Governance Institute

� Orgão da ISACA

� A versão 5 está em desenvolvimento

� 34 processos distribuídos entre 4 domínios:

� Fronteiras

� Project Management Body of Knowledge� Mantido pelo PMI (Project Management

Institute)� Primeira versão publicada em 1996� Cinco grupos de processos

� Iniciação

� Planejamento

� Execução

� Monitoramento e controle

� Encerramento

� 9 áreas de conhecimento� Integração

� Escopo

� Tempo

� Custos

� Qualidade

� Recursos humanos

� Comunicações

� Riscos

� Aquisições� Modelo de Maturidade

� OPM3

� Framework britânico para gestão de projetos

� Acrônimo de "Projects in Controlled

Environments"

� Primeira versão lançada em 1989

� Composta por processos, componentes e

técnicas

� Modelo de maturidade

� P3M3: Portfolio, Programme & Project

Management Maturity Model

� Modelos de maturidade mantidos pelo SEI

(Software Engineering Institute)

� Abrangem todo ciclo de vida para o

desenvolvimento (CMMI-DEV) e operação de

software (CMMI-SVC)

� Também aborda projetos de aquisição

(CMMI-ACQ)

CMMI

Model

Foundation

CMMI-DEV CMMI-ACQ

CMMI-SVC

Fonte: -http://www.sei.cmu.edu/cmmi/models/CMMI-Services-status.html

Processos ad hoc�Initial

Configuration Management (CM)

Measurement and Analysis (MA)

Project Monitoring and Control (PMC)

Project Planning (PP)

Process and Product Quality Assurance (PPQA)

Requirements Management (REQM)

Supplier Agreement Management (SAM)

�Managed

Decision Analysis and Resolution (DAR)

Integrated Project Management (IPM)

Organizational Process Definition (OPD)

Organizational Process Focus (OPF)

Organizational Training (OT)

Product Integration (PI)

Requirements Development (RD)

Risk Management (RSKM)

Technical Solution (TS)

Validation (VAL)

Verification (VER)

�Defined

�Organizational Process Performance (OPP)

Quantitative Project Management (QPM)Quantitatively Managed

�Causal Analysis and Resolution (CAR)

Organizational Innovation and Deployment (OID)Optimizing

� Melhoria de processo do software brasileiro

� www.softex.br/mpsbr

� Foco em micro, pequenas e médias empresas

� Custo de implementação e avaliação menor

� Foi definido em conformidade com o CMMI

for Development

� 19 áreas de processos distribuídas em 7 níveis

de maturidade

� Níveis:

� G (Parcialmente Gerenciado) até A (Em

otimização)

� Acrônimo de "Information Technology

Infrastructure Library"

� Agrupamento das melhores práticas

utilizadas para o gerenciamento de serviços

de TI

� Lançado no final dos anos 80 pelo CCTA

� Central Computer and Telecommunications

Agency

� Seu núcleo é composto por 5 publicações que

englobam todo ciclo de vida do serviço

� Estratégia

� Design

� Transição

� Operação

� Melhoria Contínua

Fonte: http://bit.ly/aYOobx

� Série de normas focadas na segurança da informação

� Atualmente contempla as seguintes normas:� ISO/IEC 27001 – Information Security

Management Systems – Requirements;

� ISO/IEC 27002 – Code of Practice for Information Security Management

� ISO/IEC 27006 – Requirements for Bodies Providing Audit and Certification of Information Security Management Systems

Qual é o modelo ideal?

� Cada empresa deve criar o seu, considerando

suas necessidades

� O ideal é aquele que atende a estratégia da

organização

� Lembrando a pergunta que deve ser

respondida:

� Qual é a importância de TI para a nossa empresa?

� Como sua empresa poderia utilizar (ou

utilizar melhor) a Governança de TI?

ITIL

CMMI-DEV

CobiT

mps.Br

ISO/IEC 27000ISO/IEC 27000ISO/IEC 27000ISO/IEC 27000

Val IT

PMBoKPMBoKPMBoKPMBoK

OPM3

PRINCE2

ISO/IEC 20000eSCM-SP

eSCM-CL

CMMI-SVC

CMMI-ACQ BSC

Etc...

ISO/IEC 38500ISO 31000

NBR 15999

O que aprendemos e o que já vivenciamos?

� O diagnóstico deve ser muito bem feito

� Foto da situação atual

� Cada doença com seu remédio...

� Saiba onde você deseja chegar

� Quais são as metas?

� “Por que estamos iniciando esta empreitada?”

� A iniciativa deve estar alinhada com a

estratégia da empresa

� Alguém “forte” na organização deve ser o

padrinho do projeto

� Normalmente envolve mudança cultural

� Traga o pessoal de RH para o projeto

� Conte com os “integradores”

� TODOS devem participar (desde analistas até

diretores)

� Alguém deve gerenciar a iniciativa

� Seja “subversivo”

� Sempre questionem!

� “Por que fazer assim se podemos fazer diferente?”

� Seja um “herege”

� Cuidado com os “religiosos”!

� “Misture” práticas, metodologias, ferramentas e

etc.

� Comunique!

� Cuidado com aqueles que só estão

preocupados com o “diploma” na parede

� CMMIs... mps.Br... ISOs... Etc...

� Cuidado com as "melhores práticas"

� "Melhor" para quem?

� Não queremos uma ditadura!

� Mas ninguém deseja viver em uma anarquia...

� A carreira é “construída”

� Para atuar com Governança de TI, a experiência é

fundamental

� Dificilmente forma-se um profissional de Governança

somente com cursos

� Além dos conhecimentos específicos de

Governança...

� vivência em TI, experiência em gestão de mudança

cultural e gestão de processos são muito úteis (ou

fundamentais) para um projeto ser bem sucedido

� Por onde começar?

� Cursos e experiências que podem ser úteis (ou

essenciais):

▪ Graduação e experiência em TI

▪ CobiT

▪ Gestão de Processos

▪ Auditoria

▪ ITIL

▪ CMMI e afins

� Livros

� Certificações

Conclusões, dúvidas, comentários e afins

alessandro.almeida@uol.com.br

� Lei Sarbanes-Oxley:

� http://pt.wikipedia.org/wiki/Lei_Sarbanes-Oxley

� IBGC:

� http://www.ibgc.org.br/

� Mapa Estratégico Capixaba:

� http://www.ideies.org.br/mapadaindustriacapixab

a/

� Código das Melhores Práticas de Governança

Corporativa – 4º Edição:

� http://www.ibgc.org.br/CodigoMelhoresPraticas.a

spx

� Recomendações da CVM Sobre Governança

Corporativa:

� http://www.ibgc.org.br/OutrosCodigos.aspx

� A Premium for Good Governance, McKinsey

Quarterly, 2002

� Global Investor Opinio Survey, McKynsey &

Company, 2002

� International Efforts to Improve Corperate

Governance: Why and How, OCDE, 2000

� Board Briefing on IT Governance, ISACA,

Second Edition

� CobiT 4.1, ITGI

� ABNT NBR ISO/IEC 38500, 2009

� BSC:

� http://pt.wikipedia.org/wiki/BSC

� CMMI

� http://sei.cmu.edu/cmmi