Controles Internos e Governança de
TI
Para Executivos e Auditores
Para Executivos e Auditores
Charles Holland
e
Alguns Desafios da Gestão da TI
•
Viabilizar a inovação em produtos e serviços do negócio,
que contem cada vez mais TI embarcada;
•
Garantir alta performance e disponibilidade dos ambientes
de forma contínua;
•
Estar em conformidade com leis, normas e padrões do
setor para assegurar a continuidade do negócio ou
viabilizar a entrada em novos negócios;
•
Estabelecer mecanismos de Governança que assegurem o
alinhamento com o negócio e a transparência da gestão
da TI.
Alguns Fatos Relevantes
• O comércio internacional chegou aos serviços de
TI, e a OMC coloca as normas internacionais
(ISO/IEC) como referência;
• O Governo Brasileiro concede margem preferencial
para produtos e serviços que atendam normas
técnicas brasileiras;
• Os processos de TI são fator de exposição positiva
ou negativa das empresas perante seus clientes e
acionistas;
• Executivos
cada
vez
mais
jovens
ocupam
os
cargos, e nem sempre atuaram ou conhecem os
processos das áreas das quais são os responsáveis.
Uso de Padrões Formais
Utilizar padrões formais possibilita:
•
Estabelecer referências claras e perenes sobre o que se
espera da área de TI, e avaliar de forma objetiva a
conformidade;
•
Estruturar e gerir a TI dentro de padrões internacionais de
•
Estruturar e gerir a TI dentro de padrões internacionais de
excelência, e comunicar isso ao mercado;
•
“Não reinventar a roda”, pois uma norma é fruto do
consenso de especialistas sobre um determinado tema;
•
Habilitar a empresa usufruir de margens preferenciais em
licitações públicas, ou mesmo participar de concorrências
em que tais normas são requeridas. ©
Organização Mundial do Comércio
Desejando, portanto, incentivar o desenvolvimento de
tais normas internacionais e sistemas de avaliação de
conformidade;
Organização Mundial do Comércio
Tratamento Igual Entre os Membros
10/11/2010 6 Gianni Ricciardi © 2010
Os membros devem assegurar que, em matéria de
regulamentos técnicos, os produtos importados do território
de qualquer membro terão um tratamento não menos
favorável do que o concedido a produtos similares
originários de qualquer outro país.
Organização Mundial do Comércio
Membros Devem Usar Normas Internacionais
(ISONET)
10/11/2010 Gianni Ricciardi © 2010 7
Quando forem necessárias regulamentações técnicas
e existirem normas internacionais pertinentes ou sua
conclusão é iminente, os Membros devem utilizá-las,
ou as partes pertinentes delas, como base para suas
regulamentações técnicas, ...
B.
Este Código está aberto à aceitação, por qualquer organismo de
normalização no território de um Estado-Membro da OMC,...
Organização Mundial do Comércio
Aceitação do Código Deve Ser Explícita
C.
Organismos de normalização que aceitarem este Código devem
notificar esse fato ao Centro de Informação da ISO/IEC em Genebra.
Certificações no Mundo, exemplo
ISO/IEC 20000:2005
Empresas Certificadas em Norma Para
Serviços de TI ABNT NBR ISO/IEC 20000
Mercado Brasileiro de TI
O Brasil é um mercado interessante para outros países, segundo o Relatório de Tecnologia da Informação Q2 de 2010, publicado pelo Business Monitor International, neste ano a demanda por produtos e serviços de TI apresentará uma taxa de crescimento anual
composta (CAGR) de 12%, fazendo do Brasil um dos melhores desempenhos dos mercados globais. Ainda segundo o relatório, o mercado doméstico brasileiro apresenta as seguintes características em termos de demanda:
– Computadores: mercado de 8,6 Bilhões em 2010, com – Computadores: mercado de 8,6 Bilhões em 2010, com
penetração de 25%, que deverá aumentar para 36% até 2013; – Software: mercado de 3,8 Bilhões em 2010, com previsão de
crescimento de 14% ao ano (CAGR), sendo a atual demanda predominantemente advinda de funcionalidades de ERP e Suply Chain;
– Serviços de TI: mercado de 8,9 Bilhões em 2010, sendo que os jogos (copa e olimpíadas) devem impulsionar investimentos
substanciais em infra-estrutura de TI. O Brasil tem um plano ambicioso de tornar-se um dos melhores destinos de
A partir da MP Nº495 de 19/07/2010 A Lei
Estabelece Margem de Preferência Para Empresas
Que Atendam Normas Técnicas Brasileiras
§ 5º
Nos processos de licitação previstos no caput, poderá ser
estabelecida margem de preferência para produtos manufaturados e
serviços nacionais que atendam a normas técnicas brasileiras.
§ 6º
A margem de preferência por produto, serviço, grupo de
produtos ou grupo de serviços, a que refere o § 5o, será
definida pelo Poder Executivo Federal, limitada a até vinte e
cinco por cento acima do preço dos produtos manufaturados
e serviços estrangeiros.
A partir da MP Nº495 de 19/07/2010 A Lei
Estabelece Margem de Preferência Para Empresas
Que Atendam Normas Técnicas Brasileiras
Executivos Jovens e Alta Rotatividade
Araújo, da Korn/Ferry:
“executivos devem
pensar a questão
sucessória”
Araújo explicou que essas questões serão tratadas por líderes cada vez mais jovens, tanto Araújo explicou que essas questões serão tratadas por líderes cada vez mais jovens, tanto no que se refere à faixa etária dos executivos quanto a relação do tempo em que um
decisor permanece no cargo.
“É cada vez maior a freqüência, em países
emergentes, de executivos com idade média de 23 que se reportam
a chefes de 25 anos”
.
Ele também apresentou a questão sucessória como chavepara as organizações a longo prazo.
“ Cerca de 50% ou mais de gerentes e
executivos se aposentarão nos próximos cinco ou sete anos e o
tempo de permanência de lideranças no cargo é menor que três
anos, abaixo do prazo necessário para a condução de um plano
Tratados Internacionais
Normas Internacionais
Tratados Regionais
Declarações Assinadas
Abrangência Global
Ex: ONU, OMC, UNESCO
C
o
n
tr
a
to
s
e
A
co
rd
o
s
S
e
to
ri
a
is
Com ou Sem Vivência Será Cobrada a
Conformidade em Relação a Padrões Formais
Abrangência
Regional
Regulamentações Regionais
Constituição
Leis
Normas Locais
Abrangência
Nacional
Acordos Bilaterais
C
o
n
tr
a
to
s
e
A
co
rd
o
s
S
e
to
ri
a
is
Regional
Ex: OEA, União
Européia, Mercosul
Posicionamento das Normas no
Escopo da Gestão da Empresa
Avaliar Monitorar Dirigir
Pressões do
negócio
Necessidades
do negócio
Governança
Corporativa
de TI
Princípios: Responsabilidade Estratégia AquisiçãoABNT NBR ISO/IEC 38500 – Governança
corporativa de tecnologia da informação
Monitorar
Projetos TI
Operações TI
P la n o s P o lí ti ca s P ro p o st a s Dirigir D e se m p e n h o C o n fo rm id a d e Processos do Negócio Aquisição Desempenho Conformidade Comportamento HumanoABNT NBR ISO/IEC 38500
Princípios
Princípio 1: Responsabilidade
Os
indivíduos e grupos
da organização
compreendem e aceitam suas
responsabilidades
com respeito ao
responsabilidades
com respeito ao
fornecimento e damanda de TI
;
Aqueles
responsáveis
pelas ações
também
tem autoridade
para
ABNT NBR ISO/IEC 38500
Princípios
Princípio 2: Estratégia
A
estratégia de negócio da
organização leva em conta
as
capacidades
atuais e futuras
de TI
;
capacidades
atuais e futuras
de TI
;
Os
planos estratégicos para TI
satisfazem as
necessidades atuais e
contínuas
da
estratégia de negócio
ABNT NBR ISO/IEC 38500
Princípios
Princípio 3: Aquisição
As aquisições de TI são feitas por
razões
válidas
, com
base em análise
apropriada e
contínua
, com
tomada
apropriada e
contínua
, com
tomada
de decisão clara e transparente
;
Existe um
equilíbrio
apropriado entre
benefícios, oportunidades, custos e
riscos
, de
curto e longo prazos
.
ABNT NBR ISO/IEC 38500
Princípios
Princípio 4: Desempenho
A
TI
é
adequada ao propósito
de
apoiar a organização, fornecendo
serviços, níveis de serviço
, e
serviços, níveis de serviço
, e
qualidade
de serviços, necessários
para
atender aos requisitos
atuais e
ABNT NBR ISO/IEC 38500
Princípios
Princípio 5: Conformidade
A
TI cumpre
com toda a
legislação
e
regulamentos obrigatórios;
As
políticas e práticas
são claramente
definidas, implementadas
e
ABNT NBR ISO/IEC 38500
Princípios
Princípio 6: Comportamento Humano
As
políticas, práticas e decisões de TI
demonstram respeito
pelo
Comportamento Humano
, incluindo
Comportamento Humano
, incluindo
as
necessidades
atuais e futuras de
Projetos ISO 10006 Processo de
Desenvolvimento
de Software
ISO 15504 Serviços de TI ISO 20000 Continuidade dos Negócios ISO 15999NBR ISO 10006 - Gestão da qualidade - Diretrizes
para a qualidade no gerenciamento de Projetos
Definições
Produto do Projeto Parte Interessada Processo Avaliação de Progresso ProjetoProcessos de Gerenciamento de Projetos
Processo Estratégico Processo de Gerenciamento de Interdependências Processos Relacionados ao Escopo Processos Relacionados ao Tempo Interdependências Escopo Tempo
Processos Relacionados ao Custo Processos Relacionados aos Recursos Processos Relacionados ao Pessoal Processos Relacionados à Comunicação Processos Relacionados ao Risco Processos Relacionados a Suprimentos
Aprendendo com o Projeto
Registro das Informações do Projeto
ABNT NBR ISO/IEC 15504 – Tecnologia da
informação – Avaliação de Processo
Processo
Identifica
Mudanças
Identifica
Capacidades
É
Examinado
Por
Avaliação do
Processo
Determinação
da Capacidade
Melhoria do
Processo
Mudanças
Para
Capacidades
e Riscos Do
Motiva
Leva
A
Leva
A
ABNT NBR ISO/IEC 15504 – Tecnologia da
informação – Avaliação de Processo
Processos PRINCIPAIS
Processos ORGANIZACIONAIS
Grupo de Aquisição
• Preparação para aquisição • Escolha do fornecedor • Contrato • Acompanhamento do fornecedor • Aprovação do cliente Grupo de Fornecimento • Oferta do fornecedor Grupo de Engenharia • Surgimento de necessidades
• Análise das especificações do sistema • Estrutura do sistema
• Análise das especificações do software • Projeto do software • Construção do software • Integração do software • Teste do software Grupo de Gestão • Alinhamento organizacional • Gerenciamento organizacional • Gestão de projetos • gestão de qualidade • gestão de risco • Aferição Grupo de Melhoria Grupo de Recursos De Infraestrutura
• Gestão de recursos humanos • Treinamento
• Gestão do conhecimento • Infraestrutura
Grupo de
Processo de Desenvolvimento de Software
Processos de Apoio
• Oferta do fornecedor • Liberação do produto • Suporte durante a aprovação
Grupo de Operação • Uso operacional • Suporte ao cliente • Teste do software • Integração do sistema • Teste do sistema • Instalação do software
• Manutenção do software e do sistema
Grupo de Melhoria Do Processo • Estabelecimento do processo • Avaliação do processo • Melhoria do processo Grupo de Reutilização • Gestão de recursos
• Gestão do programa de reutilização • Engenharia de domínio
Grupo de Apoio
• Garantia da qualidade * Avaliação do produto
• Verificação * Documentação
• Validação * Gerenciamento de configuração
• Revisão conjunta * Gestão de solução de problemas
ABNT NBR ISO/IEC 20000 – Tecnologia da
informação – Gerenciamento de Serviços
Gerenciamento da Capacidade Gerenciamento de Nível de Serviço Relato de Serviço Gerenciamento da Continuidade e Disponibilidade dos Serviços Gerenciamento da Segurança da Informação Orçamento e Contabilização para Serviços de TI Gerenciamento de Configuração
Processos de Entrega de Serviço
Processos de Controle Gerenciar Serviços Responsabilidade da direção Planejar Gerenciamento de Configuração Gerenciamento de Mudanças Gerenciamento de Liberação Gerenciamento de Incidentes Gerenciamento de Problemas Gerenciamento do Relacionamento com o Negócio Gerenciamento de Fornecedores Processos de Liberação Processos de Resolução Processos de Relacionamento Fazer Checar Agir
ABNT NBR ISO/IEC 15999 – Gestão de
continuidade de negócios
Melhoria Continua do Sistema de Gestão de Continuidade de Negócios Partes Interessadas Partes Interessadas Estabelecer Requisitos e Especificações de Continuidade de Negócios Continuidade de Negócios Gerenciada Implementar e Operar Monitorar e Analisar Criticamente Manter e Melhorar