implantando a governanca de ti da estr - fernandes, aguinaldo aragon; abreu, vlad2

1. 3a EDIO

2. Copyright 2012 por Brasport Livros e Multimdia Ltda. Todos os direitos reservados. Nenhuma parte deste livro poder ser reproduzida, sob qualquer meio, especialmente em fotocpia (xerox), sem a permisso, por escrito, da Editora. 1 edio: 2006 Reimpresso: 2007 2 edio: 2008 Reimpresses: 2009, 2010, 2011 3 edio: 2012 Editor: Sergio Martins de Oliveira Diretora: Rosa Maria Oliveira de Queiroz Gerente de Produo Editorial: Marina dos Anjos Martins de Oliveira Reviso: Maria Ins Galvo Editorao Eletrnica: Abreus System Ltda. Capa: Use Design CMM, CMMI, SCAMPI so marcas registradas da Carnegie Mellon University (Software Engineering Institute). CobiT, CobiT Foundation, Information Systems Audit and Control Association, ISACA, IT Governance Institute, ITGI, CISA, CISM, Val IT, Risk IT e CGEIT so marcas registradas da ISACA e do IT Governance Institute. PMBOK, PMP, CAPM e PgMP so marcas registradas do Project Management Institute (PMI). ITIL e PRINCE2 so marcas registradas do OGC (Office for Government Commerce). TOGAF uma marca registrada do The Open Group. eSCM-SP e eSCM-CL so marcas registradas da Carnegie Mellon University (Information Technology Services Qualification Center). BPM CBOK uma marca registrada da Association of Business Process Management Professionals (ABPMP). BABOK uma marca registrada do International Institute of Business Analysis (IIBA). Outros produtos e nomes de empresas mencionadas neste livro podem ser marcas registradas de seus respec- tivos proprietrios. Tcnica emuita ateno foram empregadas na produo deste livro. Porm, erros de digitao e/ou impresso podem ocor- rer. Qualquer dvida, inclusive de conceito, solicitamos enviar mensagem para [email protected], para que nossa equipe, juntamente com o autor, possa esclarecer. A Brasport e o(s) autor(es) no assumem qualquer responsabilidade por eventuais danos ou perdas a pessoas ou bens, originados do uso deste livro. BRASPORT Livros e Multimdia Ltda. Rua Pardal Mallet, 23 Tijuca 20270-280 Rio de Janeiro-RJ Tels. Fax: (21) 2568.1415/2568.1507 e-mails: [email protected] [email protected] [email protected] site: www.brasport.com.br Filial Av. Paulista, 807 conj. 915 01311-100 So Paulo-SP Tel. Fax (11): 3287.1752 e-mail: [email protected]

3. A todos os profissionais, executivos de negcios e de informtica e alunos com quem ao longo desses anos tive a oportunidade de conviver e de compartilhar conhecimento e com os quais tambm aprendi e conti- nuo aprendendo. Aguinaldo Aragon Fernandes minha esposa Juliana, pelo apoio sempre presente durante as muitas horas de pesquisa, aos meus pais Isis e Nilson, por incentivarem desde cedo o gosto pelo estudo e pela escrita, e pequena Ana Luiza, minha mais nova inspirao em todos os momentos. Vladimir Ferraz de Abreu

4. Agradecimentos Esta terceira edio do livro no seria realidade sem o concurso de vrios profissionais e organizaes, dentre os quais destacamos: A Antonio Carlos Abuhab Fernandes e Maritza Maura de Carvalho, Msc., renomados consultores do mercado e especialistas, respectivamente, em Go- vernana SOA e Governana de Dados, pelas valorosas contribuies e pelo aporte de conhecimento ao Captulo 13 desta edio. Ao itSMF Brasil e ao Captulo So Paulo da ISACA, pelo apoio divulga- o deste livro em mbito nacional, desde a sua primeira edio. Ao colega Tiago Nogueira de Carvalho, por nos auxiliar na questo do dashboard. A uma organizao, a qual no podemos citar, que merece nosso agrade- cimento e admirao por ser uma fonte de incentivo, experincia, inovao e aprendizado em Governana de TI e em Governana Corporativa de uma forma geral. Aos nossos alunos e participantes de cursos e palestras sobre Governana de TI, que, alm de fazerem um controle da qualidade, contribuem com suas experincias prticas. Aos nossos milhares de leitores, que fizeram desta obra uma referncia e um best-seller em Governana de TI. Aguinaldo Aragon Fernandes Vladimir Ferraz de Abreu

5. Sobre os Autores Aguinaldo Aragon Fernandes, Dsc Bacharel em Administrao de Empresas pela Universidade Federal do Rio Grande do Sul (1976), Mestre em Cincias em Administrao pela COPPEAD, Universidade Federal do Rio de Janeiro (1983) e Doutor em Engenharia de Produo pela Escola Politcnica de Engenharia da USP (2000). Profissional e pesquisador da rea de tecnologia da informao com atuao no mercado superior a 36 anos. autor de vrios trabalhos publicados, dentre os quais os livros Planejamento e Controle de Sistemas de Informao, publicado em 1984, Gerncia de Projetos de Sistemas: uma abordagem prtica, publicado em 1989, Gerncia Estratgica da Tecnologia da Informao: como obter vantagens competitivas, publicado em 1992, todos pela Livros Tcnicos e Cientficos, Gerncia de Software atravs de mtricas, publicado pela Editora Atlas em 1995, e Fbrica de Software: implantao e gesto de operaes, publicado pela Editora Atlas em 2004. Ao longo de sua carreira atuou como analista, gerente e diretor em empresas de prestao de servios em informtica e gesto empresarial, tendo prestado servios tanto para instituies pblicas como privadas, de mdio e grande porte. Na indstria de servios de TI foi pioneiro no desenvolvimento de produtos e servios, como a primeira fbrica de software do Brasil, operaes de outsourcing de sistemas, metodologias de desenvolvimento de software, de gesto de projetos, de garantia da qualidade, de m- tricas, etc. Teve a oportunidade de coordenar e implantar modelos de qualidade para software e suporte baseados na ISO, no SW-CMM e CMMI. professor da FIA/USP. membro do ISACA e da ABPMP e certificado CGEIT Certified in the Governance Enterprise IT, CobiT Foundation e

6. X Implantando a Governana de TI 3 edio Certificado ITIL Foundation pelo EXIN. Atualmente, gerencia sua empresa de consultoria, a Aragon Consultores Associados. Contatos com o autor atravs do e-mail: [email protected]. Vladimir Ferraz de Abreu Graduado em Engenharia da Computao pela Universidade Estadual de Campinas-UNICAMP (1993), com especializaes em Administrao de Empresas pela Escola Superior de Administrao de Negcios-ESAN (1995), em Qualidade e Produtividade pela Fundao Carlos Alberto Vanzolini-USP (2001) e em Gesto de Processos de Negcios pelo Grupo de Produo In- tegrada da COPPE-UFRJ (2007). Profissional da rea de tecnologia da informao com atuao no mercado h mais de dezoito anos. Ao longo da sua carreira tem atuado como analista de sistemas, consultor de processos, metodologia e qualidade, e gerente de qualidade em empresas de prestao de servios em informtica como CPM, EDS, Getronics, Ilumna, Conceptus e Interadapt, tendo realizado projetos e trabalhos junto a instituies como Icatu Seguros, Bradesco, BCP Telecomunicaes (atual Claro), Philip Mor- ris, Atento, Unisys, Asbace/ATP, BankBoston, Carto Unibanco (atual Itau- card), Unibanco (atual Banco Ita), Caixa Econmica Federal, Telemar (atual Oi), Visanet, T-Systems, Cemar, Sabesp, Hospital Alemo Oswaldo Cruz, Usiminas, Net Servios, Dimension Data, Banrisul, Prodenge e Capemisa. Participou como Lder Tcnico no projeto de implementao e como Team Member na avaliao SCAMPI que qualificou a Getronics Brasil no Nvel 2 do SW-CMM. Atua como professor no programa Master Business Informa- tion Systems, da PUC-SP. certificado em Fundamentos de Gerenciamento de Servios com base na ITIL e na ISO/IEC 20000 e Accredited Trainer pelo EXIN, membro do Conselho Deliberativo do itSMF Brasil, associado ISACA e ABPMP Brasil, e participou da comisso constituda pela ABNT para localizao da norma ISO/IEC 20000 no Brasil. Atualmente trabalha como consultor em iniciativas de governana de TI e de gesto de processos de negcio. Contatos com o autor atravs do e-mail: [email protected].

7. Prefcio da 3 Edio No so tantos os livros na rea de TI que sobrevivem por mais de cinco anos e chegam sua terceira edio ou o mercado os substitui ou ento os autores se cansam de atualizar o texto numa rea to dinmica como a da tecnologia da informao. Felizmente, temos em mos uma obra que passou pelos dois testes: tornou- -se um texto de referncia padro para os gestores da rea, o que motivou os autores para a pesquisa contnua para incluso das inovaes na rea de Go- vernana de TI e para a busca de uma sistematizao e proposio de modelo integrativo nesta rea de complexidade crescente. Presta, deste modo, um servio importante aos estudantes e praticantes desta (ainda) arte que a de assegurar a contribuio contnua da TI para os resultados e a continuidade dos negcios que dela se utilizam. Sou testemunha do valor desta obra pela sua contribuio nos cursos de Gesto de TI na FIA (Fundao Instituto de Administrao), mas tambm pela observao do seu uso como referncia para gestores e consultores da rea. Numa rea em que as decises do gestor no resultam apenas da considerao de interesses dos negcios da empresa, mas a cada dia aumentam as exigncias de compliance com normas e legislao, textos como o presente se tornam leitura obrigatria para os gestores das organizaes. Alm da atualizao das verses das tcnicas e dos modelos propostos pelas diferentes organizaes pblicas e profissionais da rea, da incluso de novos padres e tcnicas, esta edio representa mais uma contribuio inovadora que a sistematizao de propostas para a operacionalizao do alinhamento entre a governana corporativa e a TI.

8. XII Implantando a Governana de TI 3 edio Novos estudos de casos ilustram o uso dos modelos e tcnicas, demons- trando ao mesmo tempo a maturidade crescente da prtica da governana e da gesto da TI no nosso meio. Aos leitores desejamos uma leitura estimulante e uso proveitoso de mais esta obra dos autores. Prof. Dr. Nicolau Reinhard Vice-Diretor da FEA-USP e Coordenador do MBA em Gesto de Tecnologia de Informao da FIA.

9. Sumrio Introduo.............................................................................................................1 Fatores motivadores do livro........................................................................................1 Objetivos do livro........................................................................................................3 Estrutura do livro........................................................................................................4 1 Governana de TI............................................................................................7 1.1 Os fatores motivadores da Governana de TI.........................................................7 1.2 O que a Governana de TI................................................................................12 1.3 Objetivos da Governana de TI...........................................................................14 1.4 Componentes da Governana de TI....................................................................16 1.4.1 Os componentes da etapa de alinhamento estratgico e compliance.........16 1.4.2 Os componentes da etapa de Deciso, Compromisso, Priorizao e Alocao de Recursos................................................................................20 1.4.3 Os componentes da etapa de Estrutura, Processos, Organizao e Gesto......................................................................................................21 1.4.4 O componente da etapa de Gesto do Valor e do Desempenho da TI......23 2 Governana Corporativa e Regulamentaes de Compliance........................24 2.1 Governana Corporativa e a ligao com a Governana de TI.............................24 2.2 Entendendo as implicaes do Sarbanes-Oxley Act..............................................28 2.2.1 O que o Sarbanes-Oxley Act e qual a sua finalidade...............................28

10. XIV Implantando a Governana de TI 3 edio 2.2.2 Requisitos do SOX que afetam TI............................................................31 2.2.3 Impacto do SOX na Governana de TI....................................................34 2.3 Entendendo as implicaes do Acordo da Basileia II............................................35 2.3.1 O que o Acordo da Basileia II................................................................35 2.3.2 Implicaes do Acordo da Basileia II sobre TI..........................................35 2.4 O impacto da Resoluo 3380 do Banco Central do Brasil..................................37 3 O Modelo de Governana de TI....................................................................39 3.1 Viso geral do modelo de Governana de TI........................................................40 3.2 O Alinhamento estratgico de TI........................................................................45 3.2.1 O que o alinhamento estratgico...........................................................45 3.2.2 O Plano de Tecnologia da Informao......................................................50 3.2.3 Elaborao do mapa estratgico e do Balanced Scorecard (BSC).............122 3.3 Mecanismos de deciso em TI...........................................................................127 3.4 A entrega de valor..............................................................................................130 3.4.1 Gerenciamento do portflio de TI.........................................................130 3.4.2 Operaes de servios de TI...................................................................131 3.4.3 O relacionamento com os usurios e/ou clientes....................................137 3.4.4 O relacionamento com os fornecedores..................................................140 3.5 Gerenciamento de recursos................................................................................144 3.6 A gesto do desempenho...................................................................................145 3.6.1 Medies dos resultados da TI................................................................147 3.6.2 Medies dos resultados para o negcio..................................................159 3.6.3 Implantao de sistema de gerenciamento de desempenho.....................161 3.6.4 Gesto do desempenho da TI.................................................................176 3.7 A comunicao..................................................................................................179 3.8 A gesto da mudana organizacional..................................................................185 3.9 Avaliao independente.....................................................................................189 3.10 Riscos e compliance.........................................................................................190 3.10.1 Gesto de riscos....................................................................................190 3.10.2 Compliance.........................................................................................193 4 Os Papis da Governana de TI na Organizao..........................................195

11. Sumrio XV 5 Modelos de Melhores Prticas e o Modelo de Governana de TI.................200 6 Modelos Abrangentes de Governana de TI.................................................203 6.1 ISO/IEC 38500 Governana corporativa de tecnologia da informao...........203 6.1.1 Aplicao...............................................................................................204 6.1.2 Objetivos...............................................................................................204 6.1.3 Estrutura da norma................................................................................204 6.1.4 Benefcios com o uso da norma..............................................................209 6.1.5 Consideraes sobre a norma.................................................................209 6.2 CobiT Control Objectives for Information and related Technology...............210 6.2.1 Histrico do modelo..............................................................................210 6.2.2 Objetivos do modelo..............................................................................211 6.2.3 Estrutura do modelo..............................................................................213 6.2.4 Aplicabilidade do modelo.......................................................................224 6.2.5 Benefcios do modelo.............................................................................226 6.3 O framework Val IT..........................................................................................227 6.3.1 Histrico do modelo..............................................................................227 6.3.2 Objetivos do modelo..............................................................................228 6.3.3 Estrutura do modelo..............................................................................228 6.3.4 Aplicabilidade do modelo.......................................................................234 6.3.5 Benefcios do modelo.............................................................................236 6.4 O Framework Risk IT.......................................................................................237 6.4.1 Histrico do modelo..............................................................................237 6.4.2 Objetivos do modelo..............................................................................237 6.4.3 Estrutura do modelo..............................................................................238 6.4.4 Aplicabilidade do modelo.......................................................................245 6.4.5 Benefcios do modelo.............................................................................249 6.5 A integrao entre os modelos...........................................................................250 6.6 Certificaes ISACA..........................................................................................251 6.7 A Evoluo do CobiT........................................................................................252 7 Modelos para Gerenciamento de Servios de TI..........................................255 7.1 ITIL Information Technology Infrastructure Library......................................256 7.1.1 Histrico do modelo..............................................................................256

12. XVI Implantando a Governana de TI 3 edio 7.1.2 Objetivos do modelo..............................................................................257 7.1.3 Estrutura do modelo..............................................................................258 7.1.4 Aplicabilidade do modelo.......................................................................286 7.1.5 Benefcios do modelo.............................................................................288 7.1.6 Certificaes relacionadas.......................................................................290 7.2 ISO/IEC 20000................................................................................................292 7.2.1 Histrico do modelo..............................................................................292 7.2.2 Objetivos do modelo..............................................................................293 7.2.3 Estrutura do modelo..............................................................................293 7.2.4 Aplicabilidade do modelo.......................................................................300 7.2.5 Benefcios do modelo.............................................................................301 7.2.6 Certificaes relacionadas.......................................................................302 7.3 CMMI for Services............................................................................................306 7.4 Microsoft Operations Framework (MOF) uma breve viso............................311 8 Modelos para Processos de Software............................................................313 8.1 CMMI - Capability Maturity Model Integration...............................................314 8.1.1 Histrico do modelo..............................................................................314 8.1.2 Objetivos do modelo..............................................................................315 8.1.3 Estrutura do modelo..............................................................................315 8.1.4 Aplicabilidade do modelo.......................................................................326 8.1.5 Benefcios do modelo.............................................................................326 8.1.6 Certificaes relacionadas.......................................................................328 8.2 MR-MPS..........................................................................................................330 8.2.1 Histrico do modelo..............................................................................330 8.2.2 Objetivos do modelo..............................................................................331 8.2.3 Estrutura do modelo..............................................................................332 8.2.4 Aplicabilidade do modelo.......................................................................339 8.2.5 Benefcios do modelo.............................................................................340 8.2.6 Certificaes relacionadas.......................................................................340 8.3 ISO/IEC 12207................................................................................................341 8.3.1 Viso geral do modelo............................................................................341 8.3.2 Aplicabilidade do modelo.......................................................................345 8.4 ISO/IEC 9126..................................................................................................346

13. Sumrio XVII 8.4.1 Viso geral do modelo............................................................................346 8.4.2 Aplicabilidade do modelo.......................................................................349 8.5 IBM Rational Unified Process uma breve viso...............................................349 8.6 Microsoft Solutions Framework uma breve viso............................................352 9 Modelos para Gerenciamento de Projetos...................................................354 9.1 PMBOK Project Management Body of Knowledge........................................354 9.1.1 Histrico do modelo..............................................................................354 9.1.2 Objetivos do modelo..............................................................................354 9.1.3 Estrutura do modelo..............................................................................355 9.1.4 Aplicabilidade do modelo.......................................................................365 9.1.5 Benefcios do modelo.............................................................................366 9.1.6 Certificaes relacionadas.......................................................................366 9.2 Padro para Gesto de Portflio.........................................................................367 9.2.1 Histrico do modelo..............................................................................367 9.2.2 Objetivos do modelo..............................................................................367 9.2.3 Estrutura do modelo..............................................................................368 9.2.4. Aplicabilidade do modelo......................................................................375 9.2.5 Benefcios do modelo.............................................................................375 9.2.6 Certificaes relacionadas.......................................................................376 9.3 Padro para Gesto de Programas......................................................................376 9.3.1 Histrico do modelo..............................................................................376 9.3.2 Objetivos do modelo..............................................................................377 9.3.3 Estrutura do modelo..............................................................................377 9.3.4 Aplicabilidade do modelo.......................................................................389 9.3.5 Benefcios do modelo.............................................................................389 9.3.6 Certificaes relacionadas.......................................................................390 9.4 Outros padres e certificaes PMI...................................................................391 9.5 PRINCE2.........................................................................................................392 9.5.1 Histrico do modelo..............................................................................392 9.5.2 Objetivos do modelo..............................................................................393 9.5.3 Estrutura do modelo..............................................................................393 9.5.4 Aplicabilidade do modelo.......................................................................398 9.5.5 Benefcios do modelo.............................................................................399

14. XVIII Implantando a Governana de TI 3 edio 9.5.6 Certificaes relacionadas.......................................................................399 9.6 SCRUM............................................................................................................399 9.6.1 Histrico do modelo..............................................................................399 9.6.2 Objetivos do modelo..............................................................................400 9.6.3 Estrutura do modelo..............................................................................401 9.6.4 Aplicabilidade do modelo.......................................................................405 9.6.5 Benefcios do modelo.............................................................................408 9.6.6 Certificaes relacionadas.......................................................................409 10 Modelos para Segurana da Informao ISO/IEC 27001 e 27002............410 10.1 Histrico do modelo.......................................................................................410 10.2 Objetivos do modelo.......................................................................................412 10.3 Estrutura do modelo.......................................................................................412 10.3.1 ISO/IEC 27001...................................................................................412 10.3.2 ISO/IEC 27002...................................................................................418 10.4 Aplicabilidade do modelo................................................................................424 10.5 Benefcios do modelo......................................................................................425 10.6 Certificaes relacionadas................................................................................426 10.7 Gesto da Continuidade do Negcio...............................................................426 10.8 Outras normas ISO relativas segurana da informao..................................428 11 Modelos para Gerenciamento de Sourcing..................................................430 11.1 eSCM-SP........................................................................................................430 11.1.1 Histrico do modelo............................................................................430 11.1.2 Objetivos do modelo............................................................................431 11.1.3 Estrutura do modelo............................................................................431 11.1.4 Aplicabilidade do modelo.....................................................................439 11.1.5 Benefcios do modelo...........................................................................439 11.1.6 Certificaes relacionadas.....................................................................440 11.2 eSCM-CL.......................................................................................................442 11.2.1 Histrico do modelo............................................................................442 11.2.2 Objetivos do modelo............................................................................442 11.2.3 Estrutura do modelo............................................................................443 11.2.4 Aplicabilidade do modelo.....................................................................454

15. Sumrio XIX 11.2.5 Benefcios do modelo...........................................................................454 11.2.6 Certificaes relacionadas.....................................................................455 11.3 CMMI for Acquisition....................................................................................455 12 Modelos para Disciplinas Complementares Governana de TI.................459 12.1 BPM CBOK..................................................................................................459 12.1.1 Histrico do modelo............................................................................459 12.1.2 Objetivos do modelo............................................................................460 12.1.3 Estrutura do modelo............................................................................460 12.1.4 Aplicabilidade do modelo.....................................................................470 12.1.5 Benefcios do modelo...........................................................................472 12.1.6 Certificaes relacionadas.....................................................................473 12.2 BABOK.........................................................................................................473 12.2.1 Histrico do modelo............................................................................473 12.2.2 Objetivos do modelo............................................................................474 12.2.3 Estrutura do modelo............................................................................474 12.2.4 Aplicabilidade do modelo.....................................................................482 12.2.5 Benefcios do modelo...........................................................................483 12.2.6 Certificaes relacionadas.....................................................................484 12.3 Balanced Scorecard..........................................................................................484 12.3.1 Histrico do modelo............................................................................484 12.3.2 Objetivos do modelo............................................................................486 12.3.3 Estrutura do modelo............................................................................486 12.3.4 Aplicabilidade do modelo.....................................................................489 12.3.5 Benefcios do modelo...........................................................................491 12.3.6 Certificaes relacionadas.....................................................................492 12.4 Seis Sigma.......................................................................................................492 12.4.1 Histrico do modelo............................................................................492 12.4.2 Objetivos do modelo............................................................................493 12.4.3 Estrutura do modelo............................................................................494 12.4.4 Aplicabilidade do modelo.....................................................................500 12.4.5 Benefcios do modelo...........................................................................501 12.4.6 Certificaes relacionadas.....................................................................502 12.5 The Open Group Architecture Framework - TOGAF......................................502 12.5.1 Histrico do modelo............................................................................502 12.5.2 Objetivos do modelo............................................................................503 12.5.3 Estrutura do modelo............................................................................504 12.5.4 Aplicabilidade do modelo.....................................................................505

16. XX Implantando a Governana de TI 3 edio 12.5.5 Benefcios do modelo...........................................................................506 12.5.6 Certificaes relacionadas.....................................................................507 12.6 ISO 9001:2008...............................................................................................508 12.6.1 Viso geral do modelo..........................................................................508 12.6.2 Aplicabilidade do modelo.....................................................................512 12.7 ISO 31000......................................................................................................512 12.7.1 Viso geral do modelo..........................................................................512 12.7.2 Aplicabilidade do modelo.....................................................................516 13 Extenses e Derivaes do Conceito de Governana de TI..........................517 13.1 Governana de Processos.................................................................................517 13.1.1 Princpios e conceitos gerais.................................................................517 13.1.2 Modelos de referncia relacionados......................................................521 13.1.3 Aplicabilidade do conceito...................................................................525 13.1.4 Certificaes relacionadas.....................................................................526 13.2 Governana SOA............................................................................................526 13.2.1 Princpios e conceitos gerais.................................................................526 13.2.2 Modelos de referncia relacionados......................................................530 13.2.3 Aplicabilidade do conceito...................................................................542 13.2.4 Certificaes relacionadas.....................................................................546 13.3 Governana de Dados.....................................................................................547 13.3.1 Princpios e conceitos gerais.................................................................548 13.3.2 Modelos de referncia relacionados......................................................551 13.3.3 Aplicabilidade do conceito...................................................................557 13.3.4 Certificaes relacionadas.....................................................................558 14 Governana de TI para Pequenas e Mdias Empresas..................................561 15 Governana de TI no Governo.....................................................................569 15.1 O modelo de Governana de TI no governo brasileiro.....................................569 15.2 O papel da Secretaria de Logstica e Tecnologia da Informao........................576 15.3 O papel do Tribunal de Contas da Unio........................................................577 15.4 O papel do Departamento de Segurana da Informao e Comunicaes do Gabinete de Segurana Institucional da Presidncia da Repblica.......................577 15.5 Situao atual da Governana de TI no Governo Federal, na viso do TCU....579 15.6 Legislao bsica pertinente.............................................................................581

17. Sumrio XXI 15.7 Governana de TI no Judicirio Brasileiro.......................................................583 16 Como Implantar a Governana de TI..........................................................586 16.1 Roteiro de implantao da Governana de TI..................................................587 16.2 Fatores crticos de sucesso para a implantao da Governana de TI................599 17 Estudos de Casos.........................................................................................601 Referncias Bibliogrficas..................................................................................606 Pginas Web.......................................................................................................614

18. Introduo Fatores motivadores do livro O que pretendemos com este livro fornecer orientao e um guia sobre o que , de fato, a Governana de Tecnologia da Informao. Nossa conceituao vai um pouco mais alm do que debatido no mercado atualmente, que v como Governana de TI a implantao de melhores prticas aplicveis TI. Procuramos trazer para este debate a necessidade de alinhar a TI ao negcio, tanto de forma esttica, a partir das estratgias e dos planos de negcio da empresa, como dinamicamente, fazendo ajustes contnuos em virtude do surgimento de novas oportunidades de negcio, onde a TI um ator importante para a gerao de valor para o negcio. Esta viso importante, pois a TI uma fonte de investimentos e despesas significativas para qualquer empresa que j atingiu uma dependncia estratgica. Portanto, estar alinhada ao negcio passa a ser um imperativo para a TI, assim como, para algumas empresas, seguir regulamentos externos tambm passa a ser prioritrio. Em virtude de escndalos corporativos de fraudes observados no passado e, mais recentemente, da crise financeira mundial de 2008/2009, h uma maior exigncia por mecanismos de Governana Corporativa, no sentido de maior transparncia das empresas. Adicionalmente, marcos de regulao externa (re- presentados principalmente por dispositivos como o Sarbanes-Oxley Act, o

19. 2 Implantando a Governana de TI 3 edio Acordo da Basileia II e as resolues do Banco Central) tm trazido tambm maior complexidade para a gesto da TI. Em suma, alm de a TI ter que estar alinhada ao negcio, visando seu crescimento e perenidade, tambm afetada por esses marcos de regulao, aos quais devem se submeter as empresas de capital aberto e que negociam suas aes nas bolsas de valores norte-americanas, alm das instituies financeiras. Acreditamos que, ao mostrarmos o caminho para o entendimento sobre o que a Governana de TI, daremos nossa contribuio para o enrique- cimento do tema, tentando sair um pouco do debate tecnolgico, mas fazendo um equilbrio entre o negcio, a tecnologia e, principalmente, a gesto da tecnologia da informao, e mostrando como a TI pode gerar valor para o negcio. Estamos cientes de que esta obra um pequeno passo para que possamos obter melhor compreenso do que a Governana de TI e das suas implicaes para as organizaes. Mostraremos, nesta nova edio, onde os vrios modelos de melhores prticas aplicados na rea de Tecnologia da Informao se encaixam no Ci- clo da Governana de TI proposto neste livro e como eles podem se rela- cionar. Acreditamos fortemente que cada organizao deve usar as melhores prticas para desenvolver a sua prpria arquitetura de processos de TI, de maneira adequada para a maturidade e o ambiente organizacional em que a TI est inserida. Abordaremos tambm a aplicao estendida do conceito de Governana de TI para outras disciplinas. Sobre outro aspecto muito em voga atualmente, e que podemos cha- mar de a nova gerao de contratos de outsourcing, procuraremos explorar como os conceitos e componentes da Governana de TI se aplicam em um contexto dessa natureza, ou seja, como manter os princpios da Governana quando h vrios fornecedores de servios de TI atuando para a empresa. Por fim, relacionamos logicamente vrios conceitos e abordagens, dando origem a um modelo proposto de Governana de TI, que a base de nossa discusso em grande parte do livro. Procuramos tornar esse modelo o mais compreensvel possvel, cobrindo da estratgia gesto dos processos e dos servios de TI.

20. Introduo 3 Objetivos do livro Os principais objetivos deste livro so: Conceituar de uma forma mais ampla a Governana de TI; Apresentar modelos de Governana de TI que possam ser aplicados em diferentes organizaes e cenrios; Mostrar onde as melhores prticas, tais como CobiT, ITIL, CMMI, ISO 27001, etc., se encaixam num processo de Governana de TI, evidenciando sua aplicabilidade; Apresentar a rea de TI como uma Fbrica de Servios, apoiada por diversos tipos de Operaes, alinhadas com o negcio; Apresentar a Governana de TI em cenrios de outsourcing de sistemas e servios de TI; Apresentar como se estrutura um programa de Governana de TI e tambm como ele executado e gerenciado; Apresentar a importncia da gesto da mudana organizacional como fundamental para a implantao da Governana de TI na empresa ou instituio; Abordar a Governana de TI no contexto governamental; Abordar nossa viso sobre Governana de TI para pequenas e mdias empresas. O livro procura responder s seguintes indagaes usualmente feitas por parte de executivos de TI: O que Governana de TI? Como eu alinho a TI ao negcio? Quais as melhores prticas que mais se adaptam para a minha empresa? Como as melhores prticas se relacionam? Quais os benefcios das melhores prticas? O que eu devo exigir dos meus fornecedores em termos de melhores prticas? Como eu implanto as melhores prticas na minha empresa?

21. 4 Implantando a Governana de TI 3 edio Estrutura do livro O livro foi estruturado considerando uma abordagem dedutiva, que uma caracterstica dos autores, iniciando pela apresentao dos conceitos e fundamentos da Governana deTI e de seus objetivos, domnios e componentes principais. Logo aps, discutido o impacto que marcos de regulao externos, tais como Sarbanes-Oxley, Basileia II e outros, tm sobre a gesto da tecnologia da informao. Grande parte das atenes dos Chief Information Officers (CIOs) tem sido dedicada a esses marcos. Em seguida, apresentado um modelo genrico de Governana de TI, que serve de base para que faamos os encaixes necessrios relativos s melhores prticas de gesto de TI. A partir desse modelo genrico, sustentado pelo que denominamos o Ci- clo da Governana de TI, fazemos um breve resumo de cada uma das melhores prticas que podem ser usadas nas diversas operaes de servios, como sistemas, segurana da informao, infraestrutura, etc. O livro tambm discute como conduzir e estruturar a Governana de TI em um ambiente de outsourcing intensivo ou significativo. Finalizando, entendemos que cada empresa pode definir sua Governana de TI e que, uma vez tomada a deciso, a sua implementao um programa composto por diversos projetos, cuja manuteno e melhoria devem ser siste- mticas e gerenciadas. Em relao segunda edio, fizemos vrias modificaes, como os leitores podero observar na estrutura do livro. A seguir, apresentamos uma sinopse dos captulos. O objetivo do Captulo 1 Governana de TI explorar o significado de Governana de TI, enumerando os seus objetivos, fatores motivadores e componentes constituintes, e mostrando como o cenrio de negcios vem in- fluenciando a melhoria da gesto da tecnologia da informao pelas empresas. O Captulo 2 Governana Corporativa e Regulamentaes de Com- pliance mostra onde a TI e sua gesto sofrem impacto da Governana Cor- porativa, de regulamentaes de compliance externas e internas (mais precisa- mente do Sarbanes-Oxley Act, do Acordo da Basileia II e da Resoluo 3380 do Banco Central do Brasil), de sistemas de controle interno e sistemas de gesto corporativa de riscos.

22. Introduo 5 O Captulo 3 O Modelo de Governana de TI apresenta um modelo de Governana de TI proposto, que denominamos IT Governance Extended Model e, baseado no Ciclo da Governana de TI e nos seus domnios, detalha cada um dos componentes, considerando questes como alinhamento estratgico da TI, plano de tecnologia da informao, mecanismos de tomada de deciso, etc. O Captulo 4 Os Papis da Governana de TI na Organizao apresenta como os papis da Governana de TI se enquadram nas funes de uma rea de TI, destacando as responsabilidades e abordagens para instituir mecanismos de Governana de TI. O Captulo 5 Modelos de Melhores Prticas e o Modelo de Gover- nana de TI situa as principais melhores prticas difundidas no mercado, tais como CMMI, ITIL, CobiT, ISO, PMBOK, PRINCE2, etc., no modelo de Governana de TI, de uma forma geral e abrangente. O Captulo 6 Modelos Abrangentes de Governana de TI apresenta os frameworks Control Objectives for Information and related Technology Co- biT, Val IT e Risk IT, assim como a norma ISO/IEC 38500, evidenciando para cada modelo seu objetivo, sua estrutura, sua aplicabilidade e seus benefcios. O Captulo 7 Modelos para Gerenciamento de Servios de TI apresenta, brevemente, objetivos, estrutura, aplicabilidade e benefcios de modelos de referncia orientados para o Gerenciamento de Servios de TI, tais como o framework patrocinado pela agncia do governo britnico Office of Government Commerce OGC, denominado Information Technology Infras- tructure Library ITIL, a norma ISO/IEC 20000, o CMMI for Services e o MOF (Microsoft Operations Framework). O Captulo 8 Modelos para Processos de Software apresenta, brevemente, objetivos, estrutura, aplicabilidade e benefcios de modelos, tais como o Capability Maturity Model Integration CMMI, o modelo MR-MPS e o metamodelo de processos de software representado pela ISO/IEC 12207. O Captulo 9 Modelos para Gerenciamento de Projetos apresenta, brevemente, objetivos, estrutura, aplicabilidade e benefcios dos modelos patroci- nados pelo PMI (Project Management Institute) para gerenciamento de projetos (PMBOK), gerenciamento de programas e gerenciamento de portflio, assim como da metodologia de gerenciamento de projetos denominada Projects in Controlled Environments 2 (PRINCE2), patrocinada pela OGC, e do SCRUM.

23. 6 Implantando a Governana de TI 3 edio O Captulo 10 Segurana da Informao aborda as normas mais re- centes sobre Segurana da Informao, principalmente a ISO/IEC 27001 e a ISO/IEC 17799. O Captulo 11 Modelos para Gerenciamento de Sourcing aborda principalmente o modelo eSCM eSCM eSourcing Capability Model, tanto na viso do provedor de servios como na do cliente, e o modelo CMMI for Acquisition. O Captulo 12 Modelos para Disciplinas Complementares Gover- nana de TI apresenta os modelos BPM CBOK, BABOK, Balanced Score- card, Seis Sigma, TOGAF e ISO 9001. O Captulo 13 Extenses e Derivaes do Conceito de Governana de TI mostra a aplicao dos conceitos de Governana de TI de forma estendida, para disciplinas como Governana de Processos, Governana SOA e Governana de Dados. O Captulo 14 Governana de TI para Pequenas e Mdias Empresas aborda quais devem ser as preocupaes do responsvel pela rea de TI para implantar os conceitos de Governana de TI em uma organizao de pequeno ou mdio porte. O Captulo 15 Governana de TI para Governo aborda os requisitos e o ambiente de governo para a Governana de TI, discutindo notadamente as implicaes da legislao de compras do Governo Federal, a Instruo Nor- mativa 04 do Ministrio de Planejamento e Gesto e os principais acrdos do Tribunal de Contas da Unio, que tambm impactam na implantao deste conceito em organizaes governamentais da administrao direta e indireta. O Captulo 16 Como Implantar a Governana de TI aborda os aspectos tcnicos e organizacionais necessrios implementao de um Programa de Governana de TI na organizao, considerando a sua estrutura, o seu planejamento, o seu gerenciamento e a necessidade da gesto da governana de TI, assim como a importncia do gerenciamento da mudana organizacional e da demonstrao do valor da TI para o negcio. O Captulo 17 Estudos de Caso aborda, de forma sinttica, casos de implantao da Governana de TI em algumas organizaes no Brasil.

24. 11 Governana de TI 1.1 Os fatores motivadores da Governana de TI A Governana de TI motivada por vrios fatores (embora o senso comum considere a maior transparncia da administrao como sendo o principal motivador desse movimento que vemos no ambiente de TI das organizaes), como podemos observar na Figura 1.1: Figura 1.1 Fatores motivadores da Governana de TI

25. 8 Implantando a Governana de TI 3 edio O ambiente de negcios no Brasil vem sendo caracterizado por: Intensa competio de novos entrantes no mercado. Surgimento de produtos e servios substitutos. Novos concorrentes globais e de baixo custo. Barganha crescente de fornecedores e clientes. Ciclo de vida cada vez mais curto para os produtos e servios. Novas ameaas devido maior internacionalizao da economia. Clientes mais conscientes e exigentes. Exigncia de maior transparncia nos negcios. Diversidade dos acionistas. Maior dinamismo dos requerimentos do negcio para TI. Custo Brasil ainda muito alto. Crescimento econmico do Brasil. Surgimento de uma nova classe mdia. Integraes tecnolgicas, caracterizadas por: Integrao das cadeias de suprimento, atravs de aplicaes de supply- -chain e da infraestrutura de comunicao e Internet. Integrao entre a gesto da empresa e o seu cho de fbrica, atravs de aplicaes de Enterprise Resource Planning ERP e de Manufactu- ring Execution System MES. Integrao entre as funes administrativas e padronizao dos aplicativos de back-office no contexto da empresa, de suas divises e filiais atravs de ERP. Integrao de redes de distribuio, tanto em termos de aplicativos como da infraestrutura de comunicao de dados. Integrao dos processos de desenvolvimento de produtos com os processos de manufatura, atravs de aplicaes de Product Life Cycle Management e de Product Data Management. Processos de gesto de clientes altamente sofisticados, atravs de aplicativos de Customer Resource Management.

26. Governana de TI 9 Utilizao de aplicaes de BPM Business Process Management e ECM Enterprise Content Management como mecanismos de automao de processos de negcio, integrando em seus fluxos de trabalho todos os sistemas e reas funcionais da organizao, tendo como perspectiva os processos de negcio transversais e a cadeia de valor. Integrao da gesto estratgica com a gesto ttica e operacional das empresas, atravs de aplicaes de data warehouse, data mining e de inteligncia organizacional. As ilhas de sistemas de informao esto terminando. As integraes tecnolgicas de processos atravs da tecnologia da informa- o (aplicaes e infraestrutura computacional e de comunicao de dados) fazem com que o risco que a TI representa para a continuidade do negcio seja altamente visvel. bvio que tal risco deve ser mitigado e contingencia- do de uma forma sem precedentes e no imaginada at ento. Lembramos que grande parte das melhores prticas aplicveis TI j est disponvel h vrios anos e somente a partir de 2005 os administradores acor- daram para a necessidade da boa gesto das atividades de TI. At o mais desavisado dos administradores (aquele que no entende a TI da sua empresa) j percebeu o risco que para o seu negcio uma TI mal gerenciada, pois provavelmente j precisou lidar com um incidente de indis- ponibilidade ou perda de dados de aplicaes crticas. A segurana da informao impacta a integridade do negcio: No mundo interligado da Internet, a gesto de TI tambm ficou mais complexa e a infraestrutura de TI sofre riscos dirios de intruso visando o roubo de dados e a disseminao de cdigos maliciosos e vrus, o que pode afetar, sobremaneira, a operao da empresa. Conforme o nvel de acesso dos vrios pontos da empresa grande rede, maior a necessidade de envolver todos os nveis da organiza- o na questo da gesto da TI e, em especial, na gesto da segurana da informao.

27. 10 Implantando a Governana de TI 3 edio A dependncia do negcio em relao TI caracterizada por: Quanto mais as operaes dirias e as estratgias corporativas chaves dependem da TI, maior o papel estratgico da TI para a empresa. Conforme a Figura 1.2: Quando a TI tem alto impacto nas operaes chaves (presente) e alto impacto nas estratgias chaves (futuro), diz-se que a TI estratgica para o negcio. Quando a TI tem alto impacto nas operaes chaves e baixo impacto nas estratgias chaves, tem a conotao de uma Fbrica para o negcio, ou seja, o dia a dia do negcio depende da TI, mas o seu futuro no. Quando a TI tem baixo impacto nas operaes chaves e baixo impacto nas estratgias chaves, diz-se que ela est executando apenas tarefas de suporte, no sendo, do ponto de vista dos dirigentes, essencial para o negcio. Quando a TI tem baixo impacto nas operaes chaves e alto impacto nas estratgias chaves, diz-se que ela est exercendo um papel de mudana, ou seja, est apoiando fortemente o direcionamento futuro da organizao. Fbrica (melhorar o desempenho em processos chaves) Estratgico (transformar a organizao ou indstria) Suporte (melhorar o desempenho local) Mudana (identificar e lanar novos empreendimentos) IMPACTO DA TI NA ESTRATGIA CHAVE AltoBaixo AltoBaixo IMPACTODATINASOPERAESCHAVES Figura 1.2 Impacto estratgico da tecnologia da informao Fonte: Lynda M. Applegate

28. Governana de TI 11 Marcos de regulao (compliance) representam restries ao negcio, mas devem ser seguidos tendo em vista sua capacidade de atrao de capital de risco, a um custo mais baixo, e de gerao de lucros. O Sarbanes-Oxley Act determina que os relatrios financeiros e controles associados tenham fidedignidade e responsabiliza conjunta- mente diretores e o responsvel pela rea de finanas por atos lesivos aos acionistas e ao mercado. Isto significa, para a rea de TI, que os aplicativos transacionais da empresa, geradores de fatos contbeis e financeiros, devem: Ter disponibilidade para acesso e emisso de relatrios de resultados financeiros e contbeis. Armazenar os dados e as informaes de forma adequada e com segurana. Ter a possibilidade de implementar trilhas de auditoria e verifica- o de processos. Ter os seus riscos (assim como os pertinentes infraestrutura) conhecidos e gerenciados. O Acordo da Basileia II obriga os bancos a desenvolverem metodologias para a gesto de riscos operacionais e de crdito, a gerenciarem esses riscos e a publicarem essas metodologias em seus relatrios de resultados. Quanto melhores essas metodologias, menor a necessidade de reserva quanto a perdas e, portanto, maior a lucratividade do negcio: Especialmente em bancos que apresentam um alto grau de integrao e sofisticao tecnolgica (como no caso dos bancos brasi- leiros), a TI um dos principais elementos de riscos operacionais; portanto, o gerenciamento de riscos uma necessidade que deve estar presente na pauta do dia a dia dos Executivos de Negcio e dos CIOs dessas instituies. A TI como prestadora de servios: O que os usurios esperam da TI? Projetos dentro do prazo e oramento, atendimento aos requisitos do negcio, disponibilidade das aplicaes, disponibilidade da infraestrutura, capacidade para expan- dir o negcio, rpida resoluo de incidentes e de servios. Tudo isto requer postura e organizao orientadas prestao de servios.

29. 12 Implantando a Governana de TI 3 edio Em grandes organizaes brasileiras e multinacionais, est surgindo com bastante fora a ideia de centros de servios compartilhados, cujo objetivo centralizar determinadas operaes de TI (e tambm de algumas reas de negcio), de forma a ganhar escala e prover servios de TI para vrias unidades ou divises da mesma empresa ou empresas do mesmo grupo. O mesmo est ocorrendo com os chamados captive centers, que so centros de servios focados que atendem regies inteiras como, por exemplo, Amrica Latina, Amricas, etc. Para que conceitos como os de centros de servios compartilhados e de captive centers funcionem de forma adequada, so necessrios processos de TI eficazes e eficientes. Neste contexto, justifica-se a implantao de um Progra- ma de Governana de TI. 1.2 O que a Governana de TI De acordo com o IT Governance Institute (2007): A governana de TI de responsabilidade da alta administrao (incluin- do diretores e executivos), na liderana, nas estruturas organizacionais e nos processos que garantem que a TI da empresa sustente e estenda as estratgias e objetivos da organizao. Outra definio dada por Weill & Ross (2004): Consiste em um ferramental para a especificao dos direitos de deciso e responsabilidade, visando encorajar comportamentos desejveis no uso da TI. Para a ISO/IEC 38.500 (ABNT 2009), a Governana de TI o sistema pelo qual o uso atual e futuro da TI so dirigidos e controlados. Significa ava- liar e direcionar o uso da TI para dar suporte organizao e monitorar seu uso para realizar planos. Inclui a estratgia e as polticas de uso da TI dentro da organizao.

30. Governana de TI 13 Analisando essas definies, podemos concluir que a Governana de TI, como disciplina, busca o direcionamento da TI para atender ao negcio e o monitoramento para verificar a conformidade com o direcionamento tomado pela administrao da organizao. Portanto, a Governana de TI no somente a implantao de modelos de melhores prticas, tais como CobiT, ITIL, CMMI, etc. Ainda dentro dessa tica, a Governana de TI deve: Promover o alinhamento da TI ao negcio (suas estratgias e objetivos), tanto no que diz respeito a aplicaes como infraestrutura de servios de TI. Promover a implantao de mecanismos que garantam a continuidade do negcio contra interrupes e falhas (manter e gerir as aplicaes e a infraestrutura de servios). Promover, juntamente com reas de controle interno, compliance e gesto de riscos, o alinhamento da TI a marcos de regulao externos como a Sarbanes-Oxley (empresas que possuem aes ou ttulos, papis sendo negociados em bolsas de valores norte-americanas), Basi- leia II (no caso de bancos) e outras normas. Entretanto, a viso de Governana de TI que sugerimos vai alm dessas definies e pode ser representada pelo que chamamos de Ciclo da Governan- a de TI, composto por quatro grandes etapas: (1) alinhamento estratgico e compliance, (2) deciso, (3) estrutura e processos e (4) gesto do valor e do desempenho. A Figura 1.3, a seguir, apresenta este ciclo. Figura 1.3 O ciclo da Governana de TI

31. 14 Implantando a Governana de TI 3 edio O alinhamento estratgico e compliance refere-se ao planejamento estratgico da tecnologia da informao que leva em considerao as estratgias da empresa para seus vrios produtos e segmentos de atuao, assim como os requisitos de compliance externos, tais como o Sarbanes-Oxley Act e o Acordo da Basileia. A etapa de deciso, compromisso, priorizao e alocao de recursos refere-se s responsabilidades pelas decises relativas TI em termos de: arquitetura de TI, servios de infraestrutura, investimentos, necessidades de aplicaes, etc., assim como definio dos mecanismos de deciso, ou seja, em que fruns da empresa so tomadas essas decises. Adicionalmente, trata da obteno do envolvimento dos tomadores de deciso chaves da organizao, assim como da definio de prioridades de projetos e servios e da alocao efetiva de recursos monetrios no contexto de um portflio de TI. A etapa de estrutura, processos, operaes e gesto refere-se estrutura organizacional e funcional de TI, aos processos de gesto e operao dos produtos e servios de TI, alinhados com as necessidades estratgicas e operacionais da empresa. Nesta fase so definidas ou redefinidas as operaes de sistemas, infraestrutura, suporte tcnico, segurana da informao, governana de TI e outras funes auxiliares ao CIO, etc. A etapa de gesto do valor e do desempenho refere-se determinao, coleta e gerao de indicadores de resultados dos processos, produtos e servios de TI, sua contribuio para as estratgias e objetivos do negcio e demonstrao do valor da TI para o negcio. 1.3 Objetivos da Governana de TI O principal objetivo da Governana de TI alinhar a TI aos requisitos do negcio, considerando solues de apoio ao negcio, assim como a garantia da continuidade dos servios e a minimizao da exposio do negcio aos riscos de TI. Desdobrando este objetivo principal, podemos identificar outros objetivos da Governana de TI: Promover o posicionamento mais claro e consistente da TI em rela- o s demais reas de negcios da empresa:

32. Governana de TI 15 Isto significa que a TI deve entender as estratgias do negcio e traduzi-las em planos para sistemas, aplicaes, solues, estrutura organizacional, processos e infraestrutura, desenvolvimento de competncias, estratgias de sourcing e de segurana da informa- o, etc. Promover o alinhamento e a priorizao das iniciativas de TI com a estratgia do negcio: Isto significa que o que foi planejado para acontecer deve ser prio- rizado, tendo em vista as prioridades do negcio e as restries de capital de investimento. A priorizao gera um portflio de TI que faz a ligao entre a estratgia e as aes do dia a dia. Promover o alinhamento da arquitetura de TI, sua infraestrutura e aplicaes s necessidades do negcio, em termos de presente e futuro: Isto significa implantar os projetos e servios planejados e priori- zados. Promover a implantao e melhoria dos processos operacionais e de gesto necessrios para atender aos servios de TI, conforme padres que atendam s necessidades do negcio: A execuo dos projetos e servios de TI deve ser realizada de acordo com processos operacionais (execuo propriamente dita) e de gesto (planejamento, controle, avaliao e melhoria), que devem estar inseridos em uma estrutura organizacional, que, por sua vez, deve conter competncias em pessoas e ativos usados para operar os processos. Prover a TI da estrutura de processos que possibilite a gesto do seu risco e compliance para a continuidade operacional da empresa: Os processos definidos, tanto operacionais como gerenciais, devem considerar a mitigao de riscos para o negcio (por exemplo: processos de segurana da informao, gesto de dados e aplicaes, etc.). Promover o emprego de regras claras para as responsabilidades sobre decises e aes relativas TI no mbito da empresa: Isto significa identificar as responsabilidades sobre decises acerca de princpios de TI, arquitetura de TI, infraestrutura de TI, necessidades de aplicaes, investimentos, segurana da informao, estratgia de fornecedores e parcerias, alm de colocar em funcio- namento um modelo de tomada de deciso correspondente.

33. 16 Implantando a Governana de TI 3 edio 1.4 Componentes da Governana de TI A Governana de TI compreende vrios mecanismos e componentes que, logicamente integrados, permitem o desdobramento da estratgia de TI at a operao dos produtos e servios correlatos. A Figura 1.4 mostra os componentes da Governana de TI dentro de cada etapa (ou domnio). ALINHAMENTO ESTRATGICO E COMPLIANCE DECISO, COMPROMISSO, PRIORIZAO E ALOCAO DE RECURSOS ESTRUTURA, PROCESSOS, OPERAO E GESTO GESTO DO VALOR E DO DESEMPENHO Alinhamento estratgico Princpios de TI Necessidades de aplicaes Arquitetura de TI Infraestrutura de TI Objetivos de desempenho Capacidade Sourcing Segurana da informao Competncias Processos e organizao Plano de TI Mecanismos de deciso Portfolio de TI Projetos Relacionamento com usurios Relacionamento com fornecedores Gesto do desempenho da TI DOMNIOS E COMPONENTES DA GOVERNANA DE TI Gesto do valor da TI Servios Inovaes Critrios de priorizao Gesto da demanda Figura 1.4 Os domnios e componentes da Governana de TI 1.4.1 Os componentes da etapa de alinhamento estratgico e compliance O processo de alinhamento estratgico da tecnologia da informao procura determinar qual deve ser o alinhamento da TI em termos da arquitetura, infraestrutura, aplicaes, processos e organizao com as necessidades presentes e futuras do negcio. Este processo executado no contexto do Plano de Tecnologia da Informao.

34. Governana de TI 17 Princpios de TI so regras que todos devem seguir, no mbito da empresa, e que subsidiam tomadas de deciso acerca da arquitetura de TI, infraestrutura de TI, aquisio e desenvolvimento de aplicaes, uso de padres, gesto dos ativos de TI, etc. A gesto da demanda diz respeito anlise da dinmica do negcio, em termos de padres de atividades do negcio que indicam necessidades de novos servios, melhoria dos servios existentes, necessidade de mais capacidade em sistemas e infraestrutura, necessidades de inovao em negcios e tecnologia e assim sucessivamente. As necessidades de aplicaes dizem respeito s aplicaes de TI que so necessrias para atender continuidade e s estratgias do negcio. Determinam tambm quais aplicaes devero ser mantidas, melhoradas, substitudas e implantadas. Neste contexto, podem ser consideradas como aplicaes: Sistemas transacionais. Sistemas de gesto. Aplicaes de business intelligence. Dispositivos de segurana na captura de transaes. Sistemas de controle de risco. Novos tipos de POS. Aplicao de tecnologias de reconhecimento biomtrico. Aplicaes de RFDI (Radio-Frequency IDentification), etc. De acordo com Weill & Ross (2004), arquitetura de TI : a organizao lgica para dados, aplicaes e infraestrutura, representada por um conjunto de polticas, relacionamentos e escolhas tcnicas para buscar a integrao de- sejada do negcio e da integrao e padronizao tcnica. A arquitetura foca na padronizao de processos, dados e tecnologia de aplicaes e derivada dos princpios de TI, os quais so reflexos das estratgias de negcio e dos valores e credos da organizao. A infraestrutura de TI, ainda de acordo com Weill & Ross (2004), : a fundao da capacidade planejada de TI (tanto tcnica como humana) dis-

35. 18 Implantando a Governana de TI 3 edio ponvel no mbito de toda a organizao como servios compartilhados e confiveis e usados por mltiplas aplicaes. A infraestrutura de TI liga a empresa a seus parceiros e fornecedores, assim como a infraestruturas externas, tais como bancos, redes privadas e Internet, e define: Os servios de TI requeridos pelo negcio em termos de gesto de dados, comunicaes, gesto de ativos de TI, gesto da infraestrutura, segurana da informao, padres de interfaces, educao em TI, etc. Como esses recursos estaro dispostos na organizao. Os recursos computacionais requeridos para apoiar o negcio. Os objetivos de desempenho direcionam a administrao da TI para atender a metas de desempenho compatveis com os objetivos traados para a prestao dos servios, enquanto os nveis de servio so acordos estabelecidos com os clientes internos da empresa. Tanto os objetivos como os nveis de servio orientam a administrao da TI, o controle do dia a dia e tambm a forma como, a partir dos indicadores, podem ser realizadas as melhorias e at mesmo a reengenharia de processos. A capacidade de atendimento da TI define a quantidade de recursos huma- nos necessrios para atender demanda por sistemas e servios, assim como a quantidade de recursos computacionais necessrios, indicando se a infraestrutura atual tem ou no condies de atend-la. A estratgia de sourcing de servios deve decidir sobre: O que passar para o sourcing. Como fazer o sourcing. Como escolher a melhor alternativa de parceria. Como gerenciar os servios do sourcing. Como gerenciar o desempenho dos fornecedores ou prestadores de servios. Como fazer a transio de um modelo de operao para outro. Como fazer a transferncia de um fornecedor para outro, etc.

36. Governana de TI 19 A poltica de segurana da informao consiste na determinao de diretri- zes e aes referentes segurana dos aplicativos, da infraestrutura, dos dados, pessoas e organizaes (fornecedores e parceiros). Competncias so as habilidades e os conhecimentos necessrios para o desenvolvimento e a implantao das iniciativas de TI e que estaro presentes na estrutura organizacional e nos processos de servios de TI. Processos e organizao apresentam a forma como os servios e produtos da TI sero desenvolvidos, gerenciados e entregues aos usurios e clientes e como a TI deve se organizar em termos funcionais. O Plano de Tecnologia da Informao consiste no principal produto do processo de alinhamento estratgico e deve contemplar informaes sobre: Princpios de TI. Arquitetura de TI. Infraestrutura de TI. Necessidades de aplicaes. Objetivos de desempenho e nveis de servio e metas. Capacidade requerida de atendimento em relao a recursos huma- nos e infraestrutura. Organizao das operaes de servios de TI. Estratgia para fornecedores de servios. Competncias requeridas. Polticas de segurana da informao. Investimentos e custeio. Roadmap de TI. O plano incorpora elementos que, uma vez documentados, permitem uma comunicao clara dos objetivos, produtos e servios de TI para todos na organizao, conforme mostra a Figura 1.5.

37. 20 Implantando a Governana de TI 3 edio Arquitetura de TI Organizao das Operaes de Servios Polticas de Segurana da Informao Necessidades de Aplicaes Estratgia de Fornecedores de Servios Plano de Tecnologia da Informao Princpios de TI Infraestrutura de TI Investimentos Capacidade de Atendimento Competncias Figura 1.5 Componentes do Plano de Tecnologia da Informao 1.4.2 Os componentes da etapa de Deciso, Compromisso, Priorizao e Alocao de Recursos Os mecanismos de deciso definem quem decide o qu em relao TI dentro da organizao em termos de: Princpios de TI. Arquitetura da informao. Infraestrutura de TI. Prioridades de aplicaes. Investimentos em aplicaes e infraestrutura. Poltica de segurana da informao. Estratgia de sourcing, etc. Critrios de deciso so fundamentais para a priorizao de investimentos e devem ser eminentemente institucionais, de forma que a Alta Administrao

38. Governana de TI 21 possa decidir onde colocar o dinheiro, muito provavelmente alinhado aos objetivos e metas do negcio. O portflio de TI uma metodologia para a priorizao dos investimentos de TI com base no retorno de projetos e ativos para a organizao e no seu alinhamento com os objetivos estratgicos do negcio. Alm do mais, o portflio de projetos: Torna claras as regras de priorizao de projetos e ativos. Faz com que a Administrao saiba onde deve investir. 1.4.3 Os componentes da etapa de Estrutura, Processos, Organizao e Gesto Os projetos alocados (nos quais a TI no o gestor) ou sob responsabilidade de TI so planejados, executados, gerenciados e implantados. So projetos de implantao de sistemas integrados de gesto, desenvolvimento e manuteno de sistemas, infraestrutura, arquitetura, segurana da informao, implantao de processos de TI, etc. Os servios so operaes onde acontece o atendimento da TI1 no forneci- mento de servios aos usurios, gestores e, possivelmente, clientes da organizao, fornecedores, parceiros, etc. Nesta etapa um conjunto de atividades operacionais e gerenciais regido por processos de TI, oriundos de melhores prticas, inserido em funes organizacionais no contexto de uma diviso de trabalho. As principais operaes de servios de TI so: Operaes de sistemas: contemplam desenvolvimento e manuteno de sistemas. Operaes de suporte tcnico: contemplam atendimento a usurios no uso dos softwares e infraestrutura da instalao. Operaes de infraestrutura: contemplam servios de infraestrutura de TI, suporte de TI, gesto de ativos de software, entrega de servios e suporte a servios. 1 O conceito de servios adotado por ns mais amplo, abrangendo todos os servios de TI, desde o atendimento a uma solicitao de manuteno de sistemas ou um novo projeto de sistemas at os servios associados infraestrutura de TI.

39. 22 Implantando a Governana de TI 3 edio Operaes de segurana da informao: contemplam servios de planejamento da segurana da informao e o monitoramento dirio de riscos ao ambiente computacional da organizao e a seus dados, bem como atividades de conscientizao, treinamento e educao para a segurana. Operaes de suporte ao CIO: contemplam atividades de planejamento da TI, oramento da TI, gerenciamento de contratos, gerenciamento de fornecedores, escritrio de projetos e inovao tecnolgica para negcios, etc. Operaes de Governana de TI: contemplam atividades para a pro- moo da implantao das melhores prticas na execuo dos servios deTI, seu planejamento, monitoramento, gesto e melhoria contnua. Operaes de processos: consiste em projetos de elaborao, melhoria e implantao de processos de negcio e tambm o desenho de inovaes nos processos de negcio. Operaes de arquitetura de TI: consiste em atividades de planejamento e definio de arquiteturas de TI, notadamente de software, infraestrutura tecnolgica e de aplicaes e de servios. Outras operaes: servios de garantia da qualidade, grupo de engenharia de software, grupo de gerenciamento da configurao, grupo de novas tecnologias e outras que dependem do tipo da operao requerida pela organizao, comuns em empresas que trabalham com vrios produtos do tipo informao intensiva, como o caso das instituies financeiras. A implantao de inovaes ocorre tanto no nvel dos processos de negcio (nova forma de executar um processo de negcio de forma mais diferenciada ou com menor custo, comparativamente concorrncia, agregando mais valor na percepo do cliente) como na tecnologia aplicada aos servios como, por exemplo, inovaes em deteco de intruso na rede e inovaes aplicadas na automao de processos de negcio, como o reconhecimento biomtrico. O relacionamento com o cliente trata da interao dos usurios internos ou externos com a rea de TI, abrangendo processos que devem definir: Como o cliente solicita o servio. Quem pode solicitar o servio. Como os servios so avaliados.

40. Governana de TI 23 Quais os canais de comunicao. Como as responsabilidades so atribudas em projetos, entre os usurios e a TI. Como a TI capacitada para atender aos usurios e ao negcio e como os usurios so capacitados sobre o uso da TI. Como os projetos so desenvolvidos em conjunto com o cliente, etc. O relacionamento com os fornecedores, analogamente ao modelo de relacionamento com o cliente, trata dos seguintes aspectos da operao de TI: Como as solicitaes so encaminhadas para os fornecedores. Como o fornecedor responde solicitao. Como os Acordos de Nveis Operacionais2 e Contratos de Apoio3 so controlados. Como a qualidade dos servios avaliada e melhorada. Como o desempenho do fornecedor controlado, etc. 1.4.4 O componente da etapa de Gesto do Valor e do Desempenho da TI A gesto do valor da TI refere-se s atividades conduzidas para que a TI demonstre o seu valor para o negcio em termos de custos relativos, transfor- mao do negcio e apoio estratgia do negcio e as medies decorrentes. A gesto do desempenho refere-se ao monitoramento dos objetivos de desempenho das operaes de servios em termos de desenvolvimento de aplicaes, suporte a servios, entrega de servios, segurana da informao e o seu monitoramento, assim como dos acordos de nveis de servio, acordos de nveis operacionais e nveis de servios dos contratos de apoio. 2 Em ingls, os acordos de nveis operacionais so conhecidos pela sigla OLA (Operational Level Agreements) que compreendem os acordos de nveis de servio entre as reas de TI e entre esta e as reas de suprimento e contratos da empresa. 3 Contratos de apoio so realizados com fornecedores externos de servios e so conhecidos como UC (Underpinning Contracts).

41. 22 Governana Corporativa e Regulamentaes de Compliance Como vimos no incio deste livro, a TI deve atender s necessidades do negcio e tambm a marcos de regulao externos. Em organizaes que apresentam um grau de Governana Corporativa mais avanada, a Governana de TI tem grande interao com sistemas de controle interno e de gesto de riscos corporativos. Dependendo do negcio, existem vrios marcos reguladores. Por exemplo, uma empresa de telecomunicaes no Brasil deve atender a uma srie de instru- mentos regulatrios provenientes da Anatel. O mesmo ocorre com os bancos, em relao s normas do Banco Central ou com as organizaes que possuem aes na BMF-Bovespa, em relao s normas da Comisso de Valores Mobilirios. De qualquer forma, essas regulamentaes geralmente so transformadas em objetivos e entidades de controle no contexto da Governana Corporativa. 2.1 Governana Corporativa e a ligao com a Governana de TI De acordo com o Instituto Brasileiro de Governana Corporativa IBGC (2009), a Governana Corporativa consiste: no sistema pelo qual as sociedades so dirigidas, monitoradas e incentivadas, envolvendo o relacionamento entre proprietrios, Conselho de Administra- o, Diretoria e rgos de controle interno. As boas prticas de governana corporativa convertem princpios em recomendaes objetivas alinhando interesses com a finalidade de preservar e otimizar o valor da organizao, facilitando seu acesso ao capital e contribuindo para a sua longevidade.

42. Governana Corporativa e Regulamentaes de Compliance 25 Os princpios da Governana Corporativa, ainda de acordo com IBGC (2009) so: Transparncia: obrigao e desejo de informar resultados e aes. Equidade: tratamento igual para todos os acionistas. Prestao de contas: os agentes da governana corporativa prestam contas e so responsveis pelos seus atos e omisses. Responsabilidade corporativa: os agentes de governana devem ze- lar pela sustentabilidade das organizaes, visando a sua longevidade, incorporando consideraes de ordem social e ambiental na definio dos negcios e operaes. A figura 2.1 apresenta, de acordo com o IBGC, o Sistema de Governana Corporativa. Conselho de Famlia Governana Scios Conselho de Administrao Auditoria Independente Conselho Fiscal Comit de Auditoria Diretor-Presidente Diretores Auditoria Interna Comits Gesto Administradores Figura 2.1 Sistema de Governana Corporativa Adaptado de IBGC (2009)

43. 26 Implantando a Governana de TI 3 edio Para garantir que os princpios da Governana Corporativa sejam efetivos, seja por sua vontade expressa ou requerida face ao ambiente regulatrio em que se encontra, as organizaes lanam mo de modelos de controle interno e gesto de risco. O principal modelo norteador da estruturao de sistemas de controles internos e de gesto de risco o COSO - The Committee of Sponsoring Organizations of the Treadway Commission (Comit das Organizaes Pa- trocinadoras). O COSO uma entidade sem fins lucrativos dedicada melhoria dos relatrios financeiros atravs da tica, efetividade dos controles internos e governana corporativa, que foi criada por iniciativa do setor privado para estudar as causas de ocorrncias de fraudes em relatrios financeiros e contbeis e desenvolver recomendaes para empresas de capital aberto e para instituies de ensino. Em 1992, o COSO publicou um trabalho intitulado Internal Control Integrated Framework (Controle Interno Um Modelo Integrado), que se tornou referncia para as organizaes do mundo todo para que as elas estru- turem seus sistemas de controle interno. De acordo com o COSO, o controle interno um processo efetuado pelo conselho de administrao, executivos ou qualquer outro funcionrio de uma organizao, com a finalidade de possibilitar o mximo de garantia nas seguintes categorias de objetivos: Eficincia e eficcia das operaes: salvaguarda de seus ativos e pre- veno e deteco de fraudes e erros. Confiabilidade das demonstraes financeiras: exatido, integridade e confiabilidade dos registros financeiros e contbeis. Conformidade com as leis e regulamentos vigentes: aderncia s normas administrativas, s polticas da empresa e legislao qual est subordinada. Em 2001, o COSO iniciou um projeto para a determinao de um modelo de Risco Corporativo, que resultou no documento intitulado Enterprise Risk Management Framework, ampliando o alcance dos controles internos e definindo processos para o gerenciamento de riscos corporativos.

44. Governana Corporativa e Regulamentaes de Compliance 27 A figura 2.2 mostra como esses sistemas de controle e risco e de direitos decisrios da Governana Corporativa criam as restries de operao dos servios e projetos de TI. Por exemplo, supondo que o sistema de controle de riscos aponta que um risco no haver um mtodo de gerenciamento de projetos de TI; a TI deve ento implementar este mtodo (controle interno), em relao ao qual o sistema de controle interno ir verificar a aderncia periodicamente, ou seja, realizar uma auditoria para verificar se os projetos esto aplicando, de fato, o mtodo. Comits Corporativos (Direitos Decisrios) Sistema de Controle Interno (Auditorias) Sistema de Gesto de Riscos GOVERNANA DE TI Governana Corporativa Decises sobre Polticas e Investimentos em TI Auditorias em Controles de TI Monitoramento dos Riscos de TI Projetos de TI Servios de TI Controles de TI Processos de TI Figura 2.2 Integrao Governana Corporativa x Governana de TI Neste contexto, h dois regulamentos bastante fortes, que tm dado um grande poder de fogo s reas de controle interno da maioria das organizaes: o Sarbanes-Oxley Act e o Acordo da Basileia II. O primeiro atinge empresas de capital aberto e que tm aes nas bolsas de valores norte-americanas. No Brasil, atinge algumas empresas de capital majoritariamente nacional e as subsidirias de empresas transnacionais. A segunda atinge instituies financeiras de uma forma geral. uma regu- lamentao patrocinada pelo Bank for International Settlements ou BIS, que

45. 28 Implantando a Governana de TI 3 edio seria o Banco Central dos Bancos Centrais, com sede na cidade de Basileia, na Sua. A partir dela, as autoridades bancrias principais de vrios pases criaram modelos derivados (no caso do Banco Central do Brasil, temos a Re- soluo 3380, tambm abordada neste captulo). Ambas as regulamentaes tm forte impacto na rea de TI e fazem parte do nosso modelo de Governana de TI, pois, dependendo da organizao, devem ser contempladas pelo alinhamento estratgico. Seu atendimento se re- veste de vrios projetos constantes do portflio de TI, que vo criar restries s operaes de servios de TI. Agora vamos explorar um pouco mais as implicaes desses marcos de regulao externos. 2.2 Entendendo as implicaes do Sarbanes- Oxley Act 2.2.1 O que o Sarbanes-Oxley Act e qual a sua finalidade Os motivadores do Sarbanes-Oxley Act (vide Sarbanes & Oxley 2002), como conhecido no mundo dos negcios, foram os escndalos financeiros acontecidos em companhias abertas nos Estados Unidos, como a Enron e outras, que minaram a confiana dos investidores no mercado de capital americano (em especial dos que investiam em aes dessas companhias nas bolsas de valores). Para quem no sabe, a bolsa de valores o principal meio de investimento da maioria das famlias norte-americanas. Portanto, manter a credibilidade do sistema vital para os legisladores americanos e para os responsveis pela conduo econmica dos Estados Unidos. Os objetivos principais dessa lei so proteger os investidores do mercado de capitais americano de fraudes contbeis e financeiras de companhias abertas, assim como instituir uma srie de penalidades contra crimes relacionados. Seu foco sobre controles internos sobre relatrios financeiros. De acordo com Ramos (2004): O termo controle interno sobre relatrios financeiros definido como o processo projetado por ou sob a superviso do principal executivo e do

46. Governana Corporativa e Regulamentaes de Compliance 29 principal responsvel por finanas do emitente, ou pessoas que desempe- nham funes sim