Professional Documents
Culture Documents
1 APRESENTAÇÃO ................................................................................................... 6
1.1 Introdução.......................................................................................................... 6
1.2 Estrutura do material ........................................................................................ .6
2 COBIT – Melhores Práticas para Governança de TI........................................... 8
4 BIBLIOGRAFIA ..................................................................................................... 55
LISTA DE FIGURAS
1.1 INTRODUÇÃO
Este texto acadêmico apresenta a governança de Tecnologia da Informação sob
o enfoque de modelos de melhores práticas, apresentando a estrutura geral e
diretrizes de aplicação do Control Objectives of Information and related Technology
(COBIT).
Além do COBIT, este material apresenta o modelo Strenghts Weakness
Opportunities Threats (SWOT), contemplando conceitos referentes aos componentes
do modelo e formulação de estratégias relacionadas à tecnologia da informação(TI).
O presente módulo consiste em um material de apoio para iniciação ao COBIT,
devendo ser complementado com o estudo do material original do modelo1 para um
entendimento mais amplo.
Para a aplicação dos conceitos apresentados neste material, sugere-se a
realização das atividades previstas no guia para implantação da Governança de TI
(parte 2), disponível em formato eletrônico através do Ambiente Virtual de
Aprendizagem (AVA). Além do COBIT e SWOT, esse guia contempla a utilização de
outras ferramentas, já apresentadas anteriormente, tais como o Balanced Scorecard,
e conceitos referentes ao planejamento estratégico de TI.
2
Os objetivos de controle do COBIT consistem em requisitos de alto nível a serem considerados no
controle de cada processo de TI.
COBIT – Melhores práticas para governança de TI 11
de processos
Proprietários
Escritório de
gerência de
de negócio
Auditorias,
operações
segurança
Chefes de
Chefes de
análise de
Função
negócio
s de TI
risco e
CEOs
CFOs
CIOs
to
Importância S S P P P S S S S P
Critérios de informação
Para satisfazer os objetivos de negócio, informações precisam atender a certos
critérios de controle, que o COBIT se refere como requisitos de negócio para
informações. Baseando-se em requisitos de qualidade, segurança e confiabilidade,
sete critérios distintos (porém complementares) são definidos:
eficácia ou efetividade: informações relevantes e pertinentes aos negócios
devem ser entregues de forma correta, utilizável, consistente e em tempo
hábil;
eficiência: fornecimento de informações considerando o uso ótimo (da forma
mais rápida, econômica e alinhada aos objetivos estratégicos da
organização) dos recursos;
confidencialidade: proteção de informações sensíveis de acesso não
autorizado;
integridade: precisão e completude de informações como também sua
validade de acordo com os valores e expectativas do negócio;
disponibilidade: informações devem estar disponíveis sempre que for
necessário;
conformidade: conformidade com leis, regulamentos e cláusulas contratuais
aos quais os processos de negócio estão sujeitos;
confiabilidade: fornecimento de informações adequadas para que a
empresa exercite suas responsabilidades.
COBIT – Melhores práticas para governança de TI 15
5
Para entendimento dos objetivos de TI e dos scorecards por parte do cliente, deve-se expressar
estes resultados em linguagem de fácil entendimento desses clientes.
16 EDITORA - UFLA/ FAEPE – Framework para Governança de TI (COBIT)
Recursos de TI
A organização de TI trata os objetivos da organização através de um conjunto
definido de processo que utilizam habilidades de pessoas e infra-estrutura tecnológica
para executar aplicações automatizadas de negócio fornecendo, assim, informações
úteis à organização. Tais recursos, juntamente com os processos de TI, constituem
uma arquitetura organizacional para a TI, como mostra a Figura 2.
Para responder aos requisitos de negócio relacionados a tecnologia da
informação, uma organização precisa investir em recursos necessários para: (1) criar
uma capacidade técnica (por exemplo, um Enterprise Recourse Planning (ERP)); (2)
suportar a capacidade do negócio (por exemplo, a implementação de uma cadeia de
valor); (3) alcançar um resultado esperado (por exemplo, aumentar as vendas e o
retorno financeiro).
Objetivos de negócio
Governança de TI
COBIT
INFORMAÇÃO
Efetividade
Eficiência
Confidencialidade
MONITORAÇÃO E Integridade PLANEJAMENTO E
AVALIAÇÃO Disponibilidade ORGANIZAÇÃO
Conformidade
Confiabilidade
RECURSOS DE TI
ENTREGA E AQUISIÇÃO E
SUPORTE IMPLEMENTAÇÃO
Pessoas
Aplicações
Infra-estrutura
Informação
6
Os diagramas RACI definem o que e para quem as responsabilidades e atividades do processo
deverão ser delegadas. Para cada processo, o COBIT define um diagrama contendo um conjunto de
atividades e os níveis de envolvimento para cada uma dessas atividades. Esses níveis encontram-se
divididos em quatro categorias (Prestador de contas (Accountable), Responsável (Responsible),
Consultado (Consulted) e Informado (Informed)) e são distribuídos a diferentes cargos de uma
organização. De acordo com o COBIT, entender os papéis e responsabilidades para cada processo
é fator fundamental para a governança de TI. Nos diagramas RACI fornecidos pelo COBIT, a pessoa
que deve prestar contas (Accountable) deverá indicar direções a autorizar atividades relacionadas
ao processo. O atributo “responsável” (Responsibility) é atribuído à pessoa que executa as
atividades. Os outros dois atributos – consultado (Consulted) e informado (Informed) asseguram o
envolvimento de pessoas necessárias para dar suporte à execução do processo.
20 EDITORA - UFLA/ FAEPE – Framework para Governança de TI (COBIT)
Para tratar tais questões, o COBIT define 13 objetivos de controle, que serão
descritos a seguir.
DS1- Definir e Gerenciar os Níveis de Serviço.
A comunicação efetiva entre a gerência de TI e os clientes em relação aos
serviços necessários é possibilitada pela definição e documentação dos serviços que
serão fornecidos, bem como dos níveis de tais serviços. Esse processo também inclui
monitoramento e entregas de relatórios que fornecem informações sobre o
cumprimento dos acordos estabelecidos. O processo de definir e gerenciar acordos
de nível de serviço permite o alinhamento entre os serviços de TI e os requisitos de
negócio relacionados a estes serviços
Objetivos de controle detalhados:
DS1.1 – Definição de um framework de gerenciamento de nível de serviço;
DS1.2 - Definição dos serviços;
DS1.3 – Definição de acordos de níveis de serviços;
DS1.4 – Definição de acordos de níveis de operações;
DS1.5 - Monitoramento e confecção de relatórios sobre os níveis de serviço
alcançados;
DS1.6 - Revisão dos acordos de nível de serviço e dos contratos;
DS2 – Gestão de serviços terceirizados.
A necessidade de garantir que serviços terceirizados (fornecedores, vendedores
e parceiros) estejam alinhados aos requisitos de negócio requer um processo efetivo
de que se tenha uma definição clara dos papéis, responsabilidades e expectativas,
que são estabelecidas através acordos e de processos e revisão e monitoramento
destes acordos. Uma gerência efetiva de serviços terceirizados minimiza os riscos de
negócio associados com não comprometimento de fornecedores.
Objetivos de controle detalhados:
DS2.1 – Identificação dos relacionamentos com fornecedores;
DS2.2 – Gestão de relacionamentos com fornecedores;
DS2.3 – Gestão de riscos relacionados a fornecedores;
DS2.4 – Monitoração de desempenho de fornecedores;
DS3 – Gerir desempenho e capacidade.
7
De acordo com o COBIT, esses controles não são prescritivos ou completos, devendo servir de
inspiração para o estabelecimento de controles específicos para cada organização.
40 EDITORA - UFLA/ FAEPE – Framework para Governança de TI (COBIT)
Nível Descrição
0 Não existente Completa falta de um processo reconhecível
1 Inicial Existem evidências de que a organização reconhece a necessidade
de estabelecimento do processo. No entanto, tal processo não se
encontra padronizado, ao invés disso, existe uma abordagem adhoc,
aplicada de acordo com a visão de cada indivíduo
2 Repetitivo, mas intuitivo O processo encontra-se desenvolvido a ponto de estabelecer
procedimentos similares que são seguidos por diferentes pessoas que
executam a mesma atividade. Não existe treinamento formal ou
procedimentos para comunicação de procedimentos. Nesse nível,
existe um alto grau de confiança no conhecimento das pessoas,
podendo ocorrer erros.
3 Processo definido Procedimentos referentes ao processo são padronizados e
documentados e existem atividades de comunicação e treinamento.
No entanto, não existem procedimentos relacionados a controle, o
que aumenta a probabilidade de ocorrerem desvios. O processo não é
sofisticado, mas os procedimentos executados são documentados,
comunicados e treinados com os colaboradores.
4 Gerenciado e mensurável Existem procedimentos de monitoramento e medição de
conformidade com padrões estabelecidos. Além disso, ações
corretivas são executadas quando ocorrem os desvios. O processo
encontra-se constantemente em melhoria e fornecem boas práticas à
organização. Ferramentas e recursos de automação são utilizados de
forma limitada.
5 Otimizado Baseando-se em resultados de procedimentos de melhoria contínua e
em bechmarking com concorrentes, são utilizados recursos de
tecnologia da informação para automatizar workflows, fazendo com
que a organização se adapte facilmente a mudanças.
0,7
0,6
0,5
0,4
0,3 Maturidade
0,2
0,1
0
Nível 1 Nível 2 Nível 3 Nível 4 Nível 5
3.1 INTRODUÇÃO
Especialistas em negócios caracterizam o atual ambiente de negócios como
sendo de alta velocidade e hiper competitivo. Essa constatação significa que o
cenário pode mudar devido ao rápido desenvolvimento tecnológico e mudanças no
comportamento de concorrentes, consumidores, reguladores, fornecedores, entre
outros. Neste novo cenário de negócios, consumidores esperam cada vez mais das
organizações; concorrentes introduzem rapidamente novos produtos, inovam em
canais de distribuição e copiam inovações um dos outros. Empresas redesenham
suas fronteiras de mercado na medida em que globalizam suas operações em
resposta ao ambiente competitivo. Nesse contexto mudança – ou mudança acelerada
– é o termo chave para entender a nova realidade de negócios que as organizações
enfrentam (AKHTER, 2002).
Situações de mudanças aceleradas requerem um dinamismo na criação de
estratégias que sejam realmente competitivas. Estratégias consagradas no passado
não garantem a sobrevivência no futuro, uma vez que o ambiente competitivo
encontra-se em constante transição (MARTINS e TURRIONI 2002).
Toda organização é confrontada com uma variedade de fatores internos e
externos que por um lado podem ser um fator de estímulo, mas que por outro podem
implicar do forma negativa no alcance dos objetivos e em uma diminuição de
desempenho de uma empresa (HOUBEN et al. 1999).
Diante dessa situação, considera-se como primeiro passo para a formulação de
estratégias eficazes, a identificação e avaliação desses fatores internos e externos.
Um bom desempenho da organização pode ser resultado da interação
adequada da organização com o seu ambiente. Tal ambiente pode ser de natureza
interna ou externa à organização. Ainda, considera-se necessário concentrar os
52 EDITORA - UFLA/ FAEPE – Framework para Governança de TI (COBIT)
Boar, B. H. (2001), The Art of Strategic Planning for Information Technology. New
York: John Wiley, 2 edição.
Martins, R., F., Turrioni, J., B., Análise SWOT e Balanced Scorecard: Uma
Abordagem Sistemática e Holística para Formulação da Estratégia. XXII Encontro
Nacional de Engenharia de Produção. Curitiba. 2002.
Paulo: ZACK, Michael H. (1999), Knowledge and Strategy: resources for the
knowledge-based economy. Woburn, MA: Butterworth-Heinemann, 300p, 1999.