APO01 FRAMEWORK DE GESTÃO DE TI GERENCIADA

O processo APO01 Framework de Gestão de TI Gerenciada é considerado primordial para o entendimento de todo o framework COBIT. Observe que ele é, substancialmente, relacionado à alta administração, e será destrinchado a seguir.

Conceito: Projete o Sistema de Gestão da TI com base nos objetivos corporativos e objetivos de TI. Com base nesse projeto, implemente todos os componentes necessários do Sistema de Gestão.

Objetivos corporativos e sugestão de métricas:

EG03: Conformidade com leis e regulamentos externos: a. Número de questões de não conformidade observadas pelos reguladores; b. Número de questões de não conformidade relacionadas a acordos contratuais com parceiros de negócios.

EG08: Otimização das funcionalidades dos processos de negócios: a. Níveis de satisfação dos clientes com a entrega do serviço; b. Níveis de satisfação dos fornecedores com a cadeia de suprimentos.

EG11: Conformidade com as políticas internas: a. Número de incidentes relacionados ao não cumprimento das políticas internas; b. Porcentagem de partes interessadas que entendem as políticas internas.

EG12: Programas de transformação digital gerenciados a. Número de programas (conjunto de projetos) dentro do prazo e do orçamento; b. Porcentagem de programas de transformação digital de negócios interrompidos.

Objetivos de TI e sugestão de métricas:

AG03: Benefícios realizados a partir de investimentos em TI e portfólio de serviços: a. Porcentagem de serviços de TI para os quais benefícios esperados (segundo ANS - Acordo de Nível de Serviço) foram realizados.

AG11: Conformidade de TI com as políticas internas: a. Número de incidentes relacionados ao não cumprimento de políticas relacionadas à TI; b. Frequência de revisão e de atualização de políticas relacionadas à TI.

O componente “Processo APO01.01 Projetar o sistema de Gestão de TI”

possui as seguintes atividades sugeridas e os respectivos níveis de Maturidade (M): 1. Obter uma compreensão da visão, direção e estratégia da empresa, incluindo o contexto atual da empresa e os desafi os dela (M:2); 2. Considerar o ambiente interno da empresa, incluindo cultura e fi losofi a de gestão, tolerância a riscos, política de segurança e privacidade, valores éticos, código de conduta, responsabilidade e requisitos para integridade da gestão (M:2); 3. Aplicar a cascata de objetivos do COBIT à estratégia e ao contexto da empresa para decidir as prioridades do sistema de gestão, e, portanto, para a implementação dessas prioridades (M:2); 4. Validar as prioridades selecionadas para a implementação de objetivos, com boas práticas, ou requisitos da indústria (por exemplo, regulamentos específi cos do setor), e com estruturas de governança adequadas (M:3).

O componente “Processo APO01.02 Comunicar objetivos de gestão, direção e decisões tomadas” possui as seguintes atividades sugeridas e os respectivos níveis de Maturidade (M): 1. Fornecer recursos sufi cientes e qualifi cados para apoiar o processo de comunicação (M:2); 2. Defi nir regras básicas para a comunicação, identifi cando as necessidades de comunicação e implementando planos com base nessas necessidades, considerando a comunicação de cima para baixo, de baixo para cima e horizontal (M:3); 3. Comunicar, continuamente, os objetivos e o direcionamento da TI. Garantir que a comunicação seja apoiada, pela gestão executiva, com ações e palavras, utilizando todos os canais disponíveis (M:3); 4. Garantir que as informações comunicadas englobem uma missão, claramente, articulada; objetivos de serviço; controles internos; qualidade;

código de ética/conduta; políticas e procedimentos; funções e responsabilidades etc. Comunique as informações, com o nível de detalhe apropriado, para os respectivos públicos de dentro da empresa (M:2).

O componente “Processo APO01.03 Implementar processos de gestão (para apoiar o cumprimento dos objetivos)” possui as seguintes atividades sugeridas e os respectivos níveis de Maturidade (M): 1. Desenvolver o modelo de processo de métricas de governança de TI específi co para a organização, com base na seleção de objetivos prioritários (produção de metas em cascata) (M:2); 2. Analisar a lacuna (Gap) entre o modelo de processo-alvo da organização e as práticas e as

atividades atuais (M:3); 3. Elaborar um roteiro para a implementação de práticas e de atividades de processos ausentes. Use métricas práticas para acompanhar a implementação (M:4).

O componente “Processo APO01.04 Defi nir e implementar as estruturas organizacionais” possui as seguintes atividades sugeridas e os respectivos níveis de Maturidade (M): 1. Identifi car as decisões necessárias para a realização dos resultados da empresa, da estratégia da TI, e para a execução de serviços de TI (M:2); 2. Envolver as partes interessadas que são críticas para a tomada de decisões (responsáveis, responsabilizados, consultados ou informados) (M:2);

3. Defi nir o escopo, foco, mandato e responsabilidades de cada função dentro da organização relacionada à TI, em linha com a direção da governança (M:2);

4. Defi nir o escopo das funções e papéis internos e externos, e direitos de decisão necessários para cobrir todas as práticas, inclusive, aquelas realizadas por terceiros (M:3); 5. Alinhar as estruturas relacionadas à TI com os modelos organizacionais de arquitetura corporativa (M:3); 6. Estabelecer um comitê de direção de TI (ou equivalente), composto por executivos, gerentes de negócios e de TI, para rastrear os status dos projetos, resolver confl itos de recursos e monitorar os níveis e melhorias de serviço(M:3); 7. Fornecer diretrizes para cada estrutura de gestão (incluindo mandato, objetivos, participantes da reunião, tempo e supervisão) e informações necessárias e resultados esperados das reuniões (M:3); 8. Verifi car, regularmente, a adequação e a efi cácia das estruturas organizacionais (M:4).

O componente “Processo APO01.05 Estabeleça funções e responsabilidades”

possui as seguintes atividades sugeridas e os respectivos níveis de Maturidade (M):

1. Estabelecer, concordar e comunicar funções e responsabilidades relacionadas à TI para todo o pessoal da empresa, em alinhamento com as necessidades e os objetivos do negócio. Delinear, claramente, as responsabilidades e os responsabilizados, especialmente, para a tomada de decisões e as aprovações (M:2); 2. Considerar os requisitos da empresa e a continuidade dos serviços de TI ao defi nir funções, incluindo backup de equipe e requisitos de treinamento cruzado (M:2); 3. Fornecer informações para o processo de continuidade de serviço de TI, mantendo informações de contato atualizadas e descrições de funções na empresa (M:2); 4. Incluir requisitos específi cos nas descrições de funções e responsabilidades em relação à adesão às políticas e procedimentos de gestão, ao código de ética e às práticas profi ssionais (M:2); 5. Certifi car-se de que a prestação de contas seja defi nida por meio de funções e de responsabilidades (M:2); 6. Estruturar funções e responsabilidades para reduzir a possibilidade de uma única função comprometer um processo crítico (M:2); 7. Implementar práticas de supervisão adequadas para garantir que as funções e as responsabilidades sejam, devidamente, exercidas, para avaliar se todo o pessoal tem autoridade e recursos sufi cientes para executar essas funções e responsabilidades, além

de revisar o desempenho. O nível de supervisão deve estar alinhado com a sensibilidade da posição e a extensão das responsabilidades atribuídas (M:3).

Esse mesmo processo APO01 possui outros componentes processuais, também, considerados importantes, mas que não serão detalhados aqui.

O componente “Processo APO01.06 Otimize o posicionamento da função de TI” afi rma a necessidade de que a linha de reporte do CIO e o nível de representação da TI, dentro da alta administração, deve ser proporcional à importância da TI dentro da empresa, isto é, onde a TI é importante, o CIO lida, diretamente, com essa alta administração da empresa.

O componente “Processo APO01.07 Defi na as informações (dados) e a propriedade dos sistemas” está relacionado à criação e à manutenção de um inventário de informações (sistemas e dados) que inclua uma lista de proprietários e a classifi cação dessas informações, como sistemas estratégico, crítico, menos importante etc.

Ainda, no APO01, o componente “Processo APO01.08 Defi na as habilidades e competências desejadas” propugna uma análise de lacuna entre as habilidades desejadas para a empresa e as habilidades atuais da força de trabalho. Esse processo está relacionado com outro, "APO07 Recursos Humanos Gerenciados", e que não será detalhado aqui, mas uma sugestão de métrica é interessante destacar: "Número de funcionários que participaram de sessões de treinamento ou conscientização para as habilidades/competências/comportamentos desejados".

Não há TI sem recursos humanos, e toda a atenção deve ser dada a esse, que é o recurso mais importante.

O componente “Processo APO01.09 Defi nir e comunicar políticas e procedimentos" está relacionado à criação de um conjunto de políticas para orientar as expectativas de controle de TI em tópicos importantes, como qualidade, segurança, privacidade, controles internos, uso de ativos de TI, ética e direitos de propriedade intelectual (PI).

O processo APO01 é considerado um dos mais importantes do APO, adicionalmente, um dos mais detalhados.

O componente “Processo APO01.10 Defi nir e implementar infraestrutura, serviços e aplicativos para apoiar o sistema de governança e gestão" trata, por exemplo, da arquitetura do sistema de gestão de TI, dos repositórios, da criação de um método de gerenciamento de risco, de ferramentas de gerenciamento de projeto, de ferramentas de rastreamento de custos e ferramentas de monitoramento de incidentes.

Gerenciar a melhoria contínua do sistema de gestão de TI" está ligado a organizações que buscam um nível de maturidade superior nos próprios processos de governança de TI. Organizações desse tipo avaliam, regularmente, o desempenho dos componentes de cada processo e tomam medidas adequadas para melhorá-los.

Todos os processos do COBIT possuem uma sugestão de papéis (cargos) relacionados a cada componente de cada processo. Para exemplifi car, o Quadro 1 demonstrará essa sugestão para o APO01.

QUADRO 1 – MATRIZ DE RESPONSABILIDADES POR COMPONENTE PROCESSUAL DO APO01

FONTE: Adaptado de ISACA (2019)

O Quadro 1 demonstrou que papéis devem ser responsabilizados (A) e responsáveis (R). A diferença, nessa classifi cação, é quem paga a conta empresarial no caso de o processo não funcionar bem, isto é, o accountable (A), ou responsabilizado, em português. No caso de ações em bolsas, é apontado o responsabilizado (A) por determinado processo.

Duas estruturas de TI ganham destaque aqui: comitê gestor de TI (ou conselho de governança de TI) e comitê de segurança da informação. O primeiro está posicionado no nível da gestão executiva e é responsável pela implementação da estratégia de TI delineada. Supervisiona os principais programas da TI e gerencia as prioridades, os custos e a alocação de recursos (MAES; DE HAES;

VAN GREMBERGEN, 2011). Já o segundo deve abordar, com declarações claras, a intenção da gestão, e demonstrar, para os funcionários, a necessidade de prestarem atenção na integridade, na disponibilidade e na confi dencialidade dos dados eletrônicos armazenados de dentro e transferidos entre sistemas de informação (KNAPP et al., 2009).