A governança de TI com as melhores práticas do Cobit

(1)

DCEEng – DEPARTAMENTO DE CIÊNCIAS EXATAS E ENGENHARIAS

A GOVERNANÇA DE TI COM AS MELHORES PRÁTICAS DO COBIT

ALAN DRESSLER CHRISTMANN

Ijuí / RS Dezembro/2013

(2)

UNIJUI - UNIVERSIDADE REGIONAL DO NOROESTE DO ESTADO DO RIO GRANDE DO SUL

DCEEng – DEPARTAMENTO DE CIÊNCIAS EXATAS E ENGENHARIAS

Trabalho de Conclusão de Curso

apresentado ao Curso de Informática - Sistemas de Informação do Departamento

de Ciências Exatas e Engenharias

(DCEEng), da Universidade Regional do Noroeste do Estado do Rio Grande do Sul (UNIJUÍ), como requisito para a obtenção do título Bacharel em Informática - Sistemas de Informação.

Orientador: Prof. Msc. Romário Lopes Alcântara

Ijuí / RS Dezembro / 2013

(3)

Trabalho de Conclusão de Curso

apresentado ao Curso de Informática - Sistemas de Informação do Departamento

de Ciências Exatas e Engenharias

(DCEEng), da Universidade Regional do Noroeste do Estado do Rio Grande do Sul (UNIJUÍ), como requisito para a obtenção do título Bacharel em Informática - Sistemas de Informação.

______________________________________ Prof. Msc Romário Lopes Alcântara

Orientador

BANCA EXAMINADORA

______________________________________ Prof. Msc Marcos Ronaldo Melo Cavalheiro

Coordenador da Disciplina

Ijuí / RS Dezembro/2013

(4)

RESUMO

A alta competitividade entre empresas evidencia a real necessidade de pequenos detalhes que fazem a diferença para o cliente na hora de escolher a empresa para fornecer o serviço e/ou produto. Esses detalhes podem ser muitas vezes processos que aumentam a chance de sucesso dentro da empresa, por exemplo, processos de TI que facilitem a tomada de decisão dos executivos.

Organização e automatização de processos internos é a solução para a atualidade. A Governança de TI surgiu após o mercado evidenciar uma real necessidade de ter tudo que ocorre dentro de uma empresa sob controle dos executivos, das pessoas onde a tomada de decisão precisa ser rápida e correta. A transparência dos custos, do valor e dos riscos de TI foi uma das maiores metas buscadas pela Governança de TI algum tempo atrás.

O framework COBIT é focado no que é necessário para atingir um adequado controle e gerenciamento de TI, ele foi alinhado e harmonizado com outros padrões de boas praticas de TI mais detalhados, englobando tudo que uma empresa necessita para se manter viva e organizada no mercado competitivo atual.

Através do acompanhamento da implementação dos processos do COBIT é possível ter conhecimento dos custos, riscos e valores embarcados em cada processo. A mensuração de desempenho provida pelo COBIT é o diferencial que a Governança de TI buscava.

(5)

ABSTRACT

The high competitiveness among companies highlights the real need for small details that make a difference to the customer in choosing the company to provide the service and / or product. These details can often be processes that increase the chance of success within the company, for example, IT processes that facilitate the decision making of executives.

Organization and automation of internal processes is the solution to the present. IT Governance has emerged after the market show a real need to have everything that occurs within a company under the control of executives, people where decision making needs to be quick and accurate. The transparency of costs, the value and risks of IT was one of the greatest goals sought by IT Governance a while ago.

The COBIT framework is focused on what is necessary to achieve adequate control and management of IT , it was aligned and harmonized with other standards of good practices in IT more detailed , encompassing everything a company needs to stay organized and living in the competitive market current .

By monitoring the implementation of COBIT processes can be aware of the costs, risks and values embedded in each process. The performance measurement is provided by the differential COBIT IT Governance sought.

(6)

LISTA DE FIGURAS

Figura 1 - Empresas que utilizam Governança de TI e o COBIT 4.1...19 Figura 2 – Aplicação do COBIT...27 Figura 3 – Áreas da Governança de TI...28 Figura 4 – Cubo do COBIT 4.1, Critérios de informação (Requisitos de Negócios), Recursos de TI, Processos de TI...31 Figura 5 – Exemplo fictício de uma empresa e seu processo de implementação do COBIT 4.1...54

(7)

LISTA DE ABREVIATURAS

TI Information Technology

COBIT Control Objectives for Information and Related Technology

ITIL Information Technology Infrastructure Library

TCU Tribunal de Contas da União

CEO Chief Executive Officer

EUA Estados Unidos da América

EDIFACT Eletronic Data Interchange For Administration, Commerce and Transport

OECD Organisation for Economic Co-operation and Development

ISACA Information Systems Audit and Control Association

ITSEC Information Technology Security Evaluation Criteria

TCSEC Truted Computer System Evaluation Criteria

ISO International Organization for Standardization

TICKIT Certification Program for quality-management

COSO Committee of Sponsoring Organizations of the Treadway Commission

IFAC International Federation of Accountants

AICPA American Institute of Certified Public Accountants

CICA Canadian Institute of Chartered Accountants

IIA Institute of International Auditors

GAO Government Accountability Office

IBAG Integrative Bayesian Analysis of high-dimensional multiplatform genomics

data

NIST National Institute of Standards and Technology

(8)

SUMÁRIO RESUMO ... 4 ABSTRACT ... 5 LISTA DE FIGURAS ... 6 OBJETIVOS ... 11 Objetivo Geral ... 11 Objetivo Específico ... 11 JUSTIFICATIVA ... 12 INTRODUÇÃO ... 13

1. ASPECTOS GERAIS DA GOVERNANÇA DE TI ... 15

1.1 Surgimento da Governança de TI ... 16

1.2 Diversos Frameworks de Governança de Tecnologia de Informação ... 16

1.3 A Governança de TI na Área Publica Federal ... 18

1.4 A Governança de TI na Área Privada ... 20

2. COMPARATIVO ENTRE AS DUAS FERRAMENTAS DE GOVERNANÇA MAIS UTILIZADAS DA ATUALIDADE ... 21

2.1 Escolha dos frameworks ou ferramentas para análise ... 21

2.2 Introdução a Ferramenta ITIL ... 21

2.3 Desvantagens de Implementar a ITIL ... 23

2.4 Benefícios da Implementação da ITIL ... 24

2.4.1 Benefícios para a Organização ... 25

2.4.2 Benefícios para os clientes ... 25

3. O USO DAS MELHORES PRÁTICAS COM COBIT E SUA APLICABILIDADE... 26

3.1 Aprofundando-se no COBIT ... 26

3.2 A missão do COBIT ... 28

3.3 Contribuições estruturais que ajudaram o COBIT a ser o que é hoje ... 30

3.4 Resumo do Framework COBIT 4.1 ... 31

3.4.1 Planejar e Organizar ... 33

3.4.1.1 Definir um plano estratégico de TI... 33

3.4.1.2 Definir a Arquitetura da Informação ... 33

(9)

3.4.1.4 Definir os Processos, Organização e Relacionamentos de TI ... 34

3.4.1.5 Gerenciar o Investimento de TI ... 35

3.4.1.6 Comunicar metas e Diretrizes Gerenciais ... 36

3.4.1.7 Gerenciar os recursos humano de TI ... 36

3.4.1.8 Gerenciar a Qualidade ... 37

3.4.1.9 Avaliar e Gerenciar os Riscos de TI ... 37

3.4.1.10 Gerenciar Projetos ... 38

3.4.2 Adquirir e Implementar ... 38

3.4.2.1 Identificar soluções automatizadas ... 38

3.4.2.2 Adquirir e Manter Software Aplicativo ... 39

3.4.2.3 Adquirir e Manter Infraestrutura de Tecnologia ... 39

3.4.2.4 Habilitar Operação e Uso ... 40

3.4.2.5 Adquirir Recursos de TI ... 40

3.4.2.6 Gerenciar Mudanças ... 41

3.4.2.7 Instalar e Homologar Soluções e Mudanças ... 41

3.4.3 Entregar e Suportar ... 42

3.4.3.1 Definir e Gerenciar Níveis de Serviço ... 42

3.4.3.2 Gerenciar Serviços Terceirizados ... 43

3.4.3.3 Gerenciar o Desempenho e a Capacidade ... 43

3.4.3.4 Assegurar a Continuidade dos Serviços ... 44

3.4.3.5 Garantir a Segurança dos Sistemas ... 44

3.4.3.6 Identificar e Alocar Custos ... 45

3.4.3.7 Educar e Treinar Usuários ... 45

3.4.3.8 Gerenciar a Central de Serviço e os Incidentes ... 46

3.4.3.9 Gerenciar a Configuração ... 46

3.4.3.10 Gerenciar Problemas ... 47

3.4.3.11 Gerenciar os Dados ... 47

3.4.3.12 Gerenciar o Ambiente Físico ... 48

3.4.3.13 Gerenciar as Operações ... 48

3.4.4 Monitorar e Avaliar ... 49

3.4.4.1 Monitorar e Avaliar o Desempenho de TI ... 49

3.4.4.2 Monitorar e Avaliar os Controles Internos ... 50

(10)

3.4.4.4 Prover a Governança de TI ... 51

3.5 Modelos de Maturidade ... 51

3.6 Aplicabilidade do COBIT 4.1 ... 52

3.7 Benefícios na utilização do COBIT 4.1 ... 55

3.8 Malefícios na utilização do COBIT 4.1 ... 56

CONCLUSÃO ... 57

(11)

OBJETIVOS

Objetivo Geral

O Trabalho tem como objetivo analisar a importância da Governança de TI, fazendo uma analise mais profunda e também comparativa com algumas tecnologias do mercado mais voltadas para a área de Governança procurando focar na Tecnologia COBIT 4.1, seus benefícios e aplicabilidade.

Objetivo Específico

A pesquisa terá um estudo Exploratório acerca do COBIT na qual identificará a situação atual do framework e também do mercado em si, acerca das tecnologias disponíveis nessa área.

No estudo Descritivo o trabalho registrará as informações vinculadas à tecnologia assim como identificar os principais benefícios e malefícios trazidos pela ferramenta, tanto a escolhida como as concorrentes e assemelhadas ou ate complementares.

No estudo Explicativo, o trabalho determinará alguns detalhes e pontos importantes para que seja possível realizar as observações, e aprofundar o conhecimento acerca das tecnologias aqui escolhidas e estudadas.

(12)

JUSTIFICATIVA

O tema abordado nesse trabalho de conclusão suscita interesse tanto ao meio acadêmico quanto ao empresarial, por ser um assunto muito abordado na atualidade e de alto diferencial para as empresas que possuem o conhecimento e a prática da Governança de TI.

Usando como exemplo a empresa onde trabalho, posso verificar o déficit do uso de sistemas de informações ou até mesmo as simples tecnologias disponíveis atualmente no mercado e nessa enorme e sem preconceitos prateleira a qual chamamos de internet.

Por mais que o uso da TI não mostre diretamente o aumento na lucratividade da empresa, podemos verificar que as empresas que possuem uma boa Governança de TI se equivalem em níveis de organização as suas concorrentes, evitando assim uma desigualdade ou falta de competitividade entre as envolvidas (WEILL; ROSS, 2004).

Todos os cargos de alto poder de decisão sabem o quão importante é para uma empresa tomar as decisões corretas e na hora correta, e isso muitas vezes não pode ser feito a puro e simples “achismo”, são necessárias informações, planilhas, relatórios e gráficos explicando e informando o caminho correto, o lado para qual levar a empresa e seus funcionários.

Segundo Queiroz (2006), a falta de controle efetivo de ações como, por exemplo, medir os resultados obtidos, possibilitando a eventuais correções de rumo, resulta na perda de recursos investidos, na percepção tardia de resultados negativos, na utilização de ferramental tecnológico inadequado e/ou no oferecimento de produtos não alinhados às expectativas do mercado. Os critérios de efetividade são, portanto, uma forma de posicionar a organização frente às estratégias estabelecidas anteriormente.

Sendo assim, a maioria das organizações tem percebido que a TI já virou parte da empresa, que não é mais apenas um detalhe organizacional ou de capricho do Empresário, a TI esta passando por uma revolução significativa, conduzida pelos novos modelos de negócio, pelo poder dos consumidores, pelas operações globais e também pelo surgimento das novas tecnologias (CAMERON, 2006).

(13)

INTRODUÇÃO

A Informação é algo extremamente valioso atualmente, e pode definir caminhos e algumas vezes o destino de organizações e empresas. Pensando pró ativamente, os Gerentes e outros cargos do alto escalão perceberam a necessidade de obter, juntar, guardar as informações em local seguro e estudá-las para auxiliar no processo de tomada de decisões, o que na maioria dos casos determinava altos índices de sucesso e lucratividade, mesmo esse índice não podendo ser medido claramente.

As decisões são tomadas pelo alto escalão, os cargos mais importantes da empresa, por essa razão que o nome do conjunto de regras e métodos ou melhores praticas para auxilio da tomada de decisões é Governança de Tecnologia de Informação.

A falta de responsabilidades e informações para tomar as decisões corretas de acordo com a estratégia da empresa é um grande problema, e acontece muitas vezes em grande empresas as quais são bem estruturadas, com amplo recurso humano e tecnologia.

Outros pequenos erros como, por exemplo: projetos duplicados, projetos ganhando prioridade por razões políticas, prioridades de TI relacionadas à prioridade de pessoas e não do negócio, novos projetos adicionados sem foco e objetivos claros. Esses são problemas que podem ser solucionados por melhores práticas que fazem parte da Governança de TI, conforme Benson, Bugnitz e Walton (2004, p.33-35).

Usando como exemplo a empresa onde trabalho, posso verificar o déficit do uso de sistemas de informações ou até mesmo as simples tecnologias disponíveis atualmente no mercado e nessa enorme e sem preconceitos prateleira a qual chamamos de Internet.

Por mais que o uso da TI não mostre diretamente o aumento na lucratividade da empresa, podemos verificar que as empresas que possuem uma boa Governança de TI se equivalem em níveis de organização as suas concorrentes, evitando assim uma desigualdade ou falta de competitividade entre as envolvidas (WEILL; ROSS, 2004).

(14)

Todos os cargos de alto poder de decisão sabem o quão importante é para uma empresa tomar as decisões corretas e na hora correta, e isso muitas vezes não pode ser feito a puro e simples “achismo”, são necessárias informações, planilhas, relatórios e gráficos explicando e informando o caminho correto, o lado para qual levar a empresa e seus funcionários.

A governança tecnológica, ou governança de TI, considera a área de TI não apenas como suporte à organização, mas como uma área fundamental para a gestão administrativa e estratégica da organização. Desse modo, a governança tecnológica é definida pelo ITGI (2000a, p. 10) como “a estrutura de relacionamentos entre processos para direcionamento e controle de uma organização de modo a alcançar objetivos corporativos, pela agregação de valor e risco controlado através da utilização da TI e de seus processos”.

Como núcleo central da governança tecnológica, a TI não pode ser simplesmente entendida como a “parte tecnológica”. Para Graeml (2003), a TI é “o conjunto de tecnologias resultantes da utilização simultânea e integrada de informática e telecomunicações”, que compreende um conjunto de processos inter-relacionados e interdependentes da organização.

Na visão da ITIL, TI é um agrupamento de hardware, de software, de instrumentos de comunicação de dados, procedimentos, processos organizacionais e pessoas (OGC, 2002a). Adicionalmente à definição teórica, a IDG Brasil (2006) classifica as áreas de atuação das empresas de tecnologia do Brasil como hardware, software, infraestrutura de TI, telecomunicações e canais de distribuição.

Na visão do COBIT, a responsabilidade da alta direção, consiste

em liderança, estruturas organizacionais e processos que garantem que a TI corporativa sustenta e estende as estratégias e objetivos da organização, processo pelo qual decisões são tomadas sobre os investimentos em TI, o que envolve: como as decisões são tomadas, quem toma as decisões, quem é responsabilizado e como os resultados são medidos e monitorados (IT Governance Institute, 2007).

O COBIT independe das plataformas de TI adotadas nas empresas, tal como independe do tipo de negocio e do valor e participação que a tecnologia da informação tem na cadeia produtiva da empresa. Porem cada empresa pode dar um peso maior ou menos aos controles implementados, de acordo com a importância de TI para o seu negócio.

(15)

1. ASPECTOS GERAIS DA GOVERNANÇA DE TI

O Gerenciamento de Serviços de TI segundo Magalhães e Pinheiro (2007) é um serviço destinado para auxiliar as organizações quanto ao gerenciamento e a integração entre pessoas (Clientes, Funcionários...), processos e tecnologias. O objetivo principal é a entrega e o suporte aos serviços de TI.

A governança tecnológica, ou governança de TI, considera a área de TI não apenas como suporte à organização, mas como uma área fundamental para a gestão administrativa e estratégica da organização.

Desse modo, a governança tecnológica é definida pelo ITGI (2000a, p. 10) como “a estrutura de relacionamentos entre processos para direcionamento e controle de uma organização de modo a alcançar objetivos corporativos, pela agregação de valor e risco controlado através da utilização da TI e de seus processos”.

Como núcleo central da governança tecnológica, a TI não pode ser simplesmente entendida como a “parte tecnológica”. Para Graeml (2003), a TI é “o conjunto de tecnologias resultantes da utilização simultânea e integrada de informática e telecomunicações”, que compreende um conjunto de processos inter-relacionados e interdependentes da organização.

O serviço de Governança tem como foco as necessidades dos clientes e à estratégia de negócio da organização visando os objetivos de custo e desempenho através de acordos do nível de serviço entre a área de TI e as demais áreas de negócio da empresa.

Conforme Magalhães e Pinheiro (2007), sua utilização é possível em qualquer organização independentemente do seu segmento (Governamental, Pequenas e Médias Empresas, Multinacionais, fornecedores de serviços de TI por outsourcing “contratação externa”...) ou tamanho, podendo ser implantada até mesmo com apenas uma pessoa destinada pela área de TI.

(16)

1.1 Surgimento da Governança de TI

A necessidade de se obter uma Governança de TI operante originou-se com as necessidades de controle, transparência e previsibilidade das empresas nos meados dos anos 90. Nessa época a demanda por governança de TI era notável, mas a economia em ritmo galopante fez com que essa necessidade ficasse em segundo plano, esquecida, pois os lucros demonstravam que tudo ia de bem a melhor.

Na segunda metade dos anos 90, algo inesperado e de caráter mundial aconteceu, uma crise envolvendo muitos países, entre eles a Rússia, o México e a Ásia, fez com que os investidores mudassem de comportamento, passando a ver a importância de um controle efetivo e a capacidade de previsão, exigindo assim dos líderes administrativos e financeiros das empresas, mais conhecidos como CEOS, um maior acerto nas precisões orçamentárias.

Conseguimos alcançar um nível desejável de Governança Tecnológica apenas no final dos anos 2000, o que representou um enorme avanço para a área de Governança. Mesmo com esse grande avanço, a economia ainda tinha uma necessidade de aprimorar os processos e ter melhores resultados, o que somente veio á acontecer após o Bug do milênio, onde a governança se tornou algo indispensável e até mesmo prioridade nas mesas dos CEOS.

O que trouxe as empresas a se consolidar em um nível considerado essencial de Governança de TI foi à lei Sarbanes-Oxley (lei de conformidade fiscal americana, mais conhecida como lei SOX, a qual permite que os responsáveis das empresas sejam presos em casos de fraudes contra a economia). Essa lei fez com que as empresas consolidassem a documentação e processos para efetivação de uma Governança de TI ativa e com extrema importância em todos os setores da empresa (SARBANES-OXLEY, 2002).

1.2 Diversos Frameworks de Governança de Tecnologia de Informação

A diversidade de modelos e opções que são oferecidos no mercado para tornar o processo de maturidade da Governança de TI de uma empresa mais fácil, é enorme. Temos

(17)

diversas maneiras de fazer a mesma coisa, muitos modelos são parecidos em sua natureza ou modo de trabalho, mas quase todos são diferentes em seu interior, em seu resultado final.

Embora possa haver alguma sobreposição entre alguns modelos, na maioria das vezes eles não entram em conflito entre si, mas sim são complementares uns aos outros. Sendo assim uma empresa pode utilizar de vários modelos de Governança sem que haja problemas.

No mercado atual, os mais conhecidos modelos e frameworks de Governança de TI são os seguintes:

COBIT – Control Objectives for Information and Related Technology: Objetivos de Controle para a informação e Tecnologia é tradução do seu nome original do Inglês, inicialmente criado para alinhar os recursos e processos de TI com os objetivos de negocio, padrões de qualidade, controle monetário e necessidade de segurança (OLTISIK, 2003). Composto por quatro domínios: Planejamento e Organização, Aquisição e Implementação, Entrega e Suporte e Monitoramento. Este Framework é o foco desse trabalho de Conclusão.

ITIL – Information Technology Infrastructure Library: Biblioteca de Infraestrutura, Informação e Tecnologia é a tradução do seu nome original do Inglês, criado no final dos anos 80 pela CCTA (Central Computing and Telecommunications Agency) por um pedido do governo britânico, reunindo um conjunto de informações divididas em dois blocos: Suporte de Serviços e Entrega de Serviços (CACIATO, 2004). Neste modelo temos descritos os processos necessários para gerenciar a infraestrutura de TI de uma organização eficazmente e eficientemente, de modo a garantir os níveis de serviço acordados com os clientes internos e externos, tudo isso não passa de disciplinas táticas, ou de planejamento, e operacionais.

PMI – Project Management Institute: Instituto de Administração de Projetos, é a tradução do seu nome original do Inglês, é uma organização sem fins lucrativos, composta por profissionais da área de gerenciamento de projetos. Faz parte do PMBOK (Guide to the Project Management Body of Knowledge), pois possui suas definições e processos publicados dentro desse projeto. O PMI

(18)

é um manual que consegue definir e descrever habilidades, ferramentas e técnicas para o gerenciamento de um projeto em seu total desenvolvimento. Ele é dividido em Cinco partes, são elas: Início, Planejamento, Execução, Controle e Fechamento, bem como Nove áreas do conhecimento: Integração, Escopo, Tempo, Custo, Qualidade, Recursos Humanos, Comunicação, Análise de Risco e Aquisição (GAMA, 2008).

CMM – Capability Maturity Model for Software: Modelo de Capacitação e Maturação para Programas, é a tradução do seu nome original do Inglês, foi criado por um grupo de profissionais da área de Software da Universidade Carnegie Mellon de Pittsburgh, EUA. Teve sua primeira versão publicada em 1991, e possui cinco níveis sequenciais bem definidos: Inicial, Repetível, Definido, Gerenciável e otimizado. Esses níveis fazem parte de uma escala crescente para mensurar a maturidade das organizações de software e ajudam as organizações a definir prioridades nos esforços de melhoria dos processos (GAMA, 2008).

BSC – Balanced Scorecard: Gráfico Balanceado, é a tradução do seu nome original do Inglês, criado por Robert Kaplan e David Norton nos anos 90, constitui-se em um novo modelo de gestão estratégica, completamente baseado em indicadores financeiros e não financeiros vinculados à estratégia organizacional e divididos em Quatro perspectivas de avaliação: financeira, clientes, processos internos e aprendizado e crescimento (KAPLAN E NORTON, 1997).

1.3 A Governança de TI na Área Publica Federal

Em 2007 foi realizado sob a responsabilidade do Tribunal de Contas da União o primeiro levantamento de Governança de TI na área da Administração Publica Federal de nosso país, naquele ano, duzentas e cinquenta e cinco instituições federais participaram, as participantes tiveram que responder a 39 questões com alternativas e após enviando os devidos relatórios dentro de um prazo definido (TCU, 2010).

(19)

Após esse levantamento foi proposto um Acórdão nº 1.603/2008-TCU - Plenário, assim ficou determinado a Sefti (Secretaria de Fiscalização de Tecnologia de Informação) novos levantamentos futuros buscando comparações e medições do desempenho e evolução dos processos (TCU, 2010).

O novo levantamento foi realizado no ano de 2010, onde trezentas e quinze instituições estavam aptas a enviar seu relatório, mas foram considerados aptos para a estatística apenas as duzentas e cinquenta e cinco que participaram do levantamento no ano de 2007, para facilitar e apurar as comparações e medições, esse numero representa aproximadamente 79% dos recursos previstos nos Orçamentos da União (TCU, 2010).

A partir dos dados que foram coletados e analisados, o ministro Aroldo Cedraz, relator deste Sumário Executivo, chegou aos seguintes pontos críticos:

A Área da Segurança da Informação chama atenção pelo alto índice de não conformidade com as boas praticas internacionais usadas como base na pesquisa, sugerindo que, de forma geral, as organizações públicas, além de não tratarem os riscos aos quais estão expostas, os desconhecem.

Falta maturidade na gestão dos ativos de tecnologia, como o estabelecimento de processos de gestão contratual, de planejamento da contratação e de gestão de serviços da TI, os quais ainda são pouco implantados.

Conceitos de Governança de TI são pouco difundidos nas Instituições Públicas Federais, de uma forma que a alta administração não se considera responsável pelas políticas corporativas de TI e também não por prover a estrutura básica para que sua governança seja efetiva.

Desde modo, o TCU chegou a seguinte conclusão:

Os benefícios estimados no presente trabalho, a partir da identificação dos pontos mais vulneráveis da governança de TI da Área Pública Federal, são: a indução da melhoria da estrutura de governança de TI por meio de recomendações aos órgãos governantes superiores, a indução de melhorias nos processos internos das instituições públicas participantes do levantamento, bem como o subsídio ao processo de planejamento de ações de controle da Sefti e de outras unidades do TCU.

(20)

1.4 A Governança de TI na Área Privada

A Governança de TI pode ser aplicada tanto na área publica como na área privada. Afinal a única diferença entre esses setores é que o Setor público fornece serviços públicos, não serviços para a venda. O aspecto financeiro que diferencia o setor público do privado, permite com mais facilidade e resultado a aquisição de tecnologias de ponta, sendo que o investimento trará competitividade, ganhos financeiros e redução de custos para as empresas privadas, pois elas se enquadram em setores extremamente competitivos, diferente das organizações do setor publico. (ROCHELEAU, 2002)

Na área privada temos cargos e funções muito bem definidas, supervisores, coordenadores e diretores estão sempre à disposição para tirar duvidas e necessitam dos relatórios e outras formas utilizadas para medir o desempenho regulamente, mantendo uma rotina de responsabilidades e compromissos, ou seja, a estrutura organizacional é bem definida permitindo que os objetivos e estratégias da organização sejam alcançados.

A Governança de TI também traz como beneficio para as empresas da área privada a possibilidade de condensar as informações de uma forma prática e confiável, auxiliando a tomada de decisões difíceis dos executivos da organização relacionadas a questões de valor, risco e controles.

Figura 1 – Empresas que utilizam Governança de TI e o COBIT 4.1.

(21)

2. COMPARATIVO

ENTRE

AS

DUAS

FERRAMENTAS

DE

GOVERNANÇA

MAIS

UTILIZADAS DA ATUALIDADE

Nesse capitulo do trabalho serão abordados dois frameworks de Governança de TI, para que seja feita uma analise comparativa entre os dois modelos escolhidos, como por exemplo, identificando qual deles trás para o cliente (empresa ou organização) os melhores benefícios e/ou dificuldades em sua aplicação e acompanhamento.

2.1 Escolha dos frameworks ou ferramentas para análise

Efetuando uma pesquisa rápida na rede mundial e com os mestres que nos cercam em nosso meio universitário é possível observar um grande avanço na divulgação e espaço de mercado que a ITIL vem ganhando dentro do meio acadêmico assim como empresarial, e também verificamos o avanço da ferramenta a qual é o assunto nesse trabalho abordado, o COBIT, que também esta dentre as ferramentas plausíveis e mais escolhidas para ajudar o setor de tecnologia de informação na parte da governança de TI da maioria das empresas.

2.2 Introdução a Ferramenta ITIL

ITIL (Information Technology Infrastructure Library) que significa: Biblioteca de Estrutura e Informação da Tecnologia, é um conjunto de praticas criadas e transformadas em livros, os quais visam auxiliar o Gerenciamento da TI nas empresas. Ou seja, este modelo de boas práticas quando alinhadas com a TI, proporcionam uma gestão com ênfase na eficiência e eficácia. Oliveira (2011), Magalhães e Pinheiro (2007), compartilham do mesmo pensamento ao afirmarem que a ITIL é um dos modelos de referência mais aceitos globalmente.

(22)

A ITIL surgiu com a necessidade que os profissionais da área de TI tinham de ter um material que reunisse as melhores praticas para a Governança de TI, assim a CCTA (Central Communications and Telecom Agency) ao final da década de 80, baseada em diversas pesquisas realizadas por Consultores, Especialistas e Doutores, criou a ITIL e a disponibilizou para o mundo da Tecnologia da Informação. Atualmente a ITIL esta sob a custodia do OGC (Office of Government Commerce) (OLIVEIRA, 2011)

A ITIL sempre manteve a sua gestão focada nos clientes e/ou usuários da TI, visando garantir a qualidade nos serviços desses sistemas através da estruturação de processos, gerenciamento dos processos, organizada em disciplinas facilitando assim a organização gerencial tática e operacional da empresa com o objetivo de alinhar a estratégia com os negócios, trazendo assim uma melhor experiência e satisfação do cliente final.

Em sua primeira versão a ITIL apresentava 40 livros com as melhores práticas conhecidas pelos profissionais da área de TI, assim ficou conhecida como uma biblioteca, pelo seu tamanho e volume, trazia muitas informações, mas era longa e complexa.

A primeira revisão da biblioteca ITIL veio nos meados do século 20, mais conhecida como segunda versão da ITIL, esta trazia apenas sete volumes que foram os seguintes:

Service Support (Suporte aos Serviços); Service Delivery (Entrega dos Serviços);

Planning and Implementation (Planejamento e Implementação) ; Application Management (Gerenciamento de Aplicações); Security Management (Gerenciamento da Segurança);

Infraestructure Management – ICT (Gerenciamento da Infraestrutura de TI e Comunicações);

Business Perspective (Perspectiva do Negócio).

Atualmente podemos contar desde o ano de 2007 com a terceira versão da ITIL, a qual é composta por apenas cinco livros, os quais englobam os tópicos de estratégia, design, transição e operação de serviços e melhorias continuas nos serviços que fazem parte da ITIL, sendo assim a nova versão aborda os processos de forma mais completa e ao mesmo tempo mais enxuta identificando a necessidade, a estratégia, o seu desenho, a sua implementação, a

(23)

operação e também a sua extinção, todas essas etapas formam o tão importante ciclo de vida do serviço, o qual se bem realizado trás a tão importante satisfação do cliente.

Essa segunda revisão é composta pelos seguintes volumes: Service Strategy (Serviço de Estratégia);

Service Design (Serviço de Design); Service Transition (Serviço de Transição); Service Operations (Serviço de Operações); Continual Service Improvement.

Assim como o COBIT a ITIL pode ser a ferramenta utilizada em empresas dos mais diversos tipos e tamanhos, desde pequenas e médias empresas a grandes e multinacionais empresas do setor privado e também organizações governamentais assim como os demais tipos de empresas e organizações.

A ITIL se assemelha com as demais ferramentas de Governança de TI a tal ponto que ela é compatível com elas e pode ser utilizada ao mesmo tempo e até mesmo ajuda a organizar e fornecer uma analise mais profunda do estado atual da empresa, as ferramentas que são normalmente mais utilizadas em conjunto com a ITIL são: o COBIT, o PMBOK e a CMMI (MAGALHAES E PINHEIRO, 2007).

2.3 Desvantagens de Implementar a ITIL

Acerca das desvantagens dessa ferramenta temos pouca informação, e esta provem de empresas que adotaram o framework e acabaram identificando os pontos fracos da ITIL, como por exemplo, SESI e SENAI, ambos em São Paulo, e ambas instituições de ensino que possuem filiais em todo o território brasileiro.

Esse levantamento realizado pelo SESI e SENAI foi realizado em Dezembro de 2009 pela área de TI com o objetivo de serem analisados, sendo possível assim uma melhoria no serviço que a ITIL se propõe a prestar (OLIVEIRA, 2011).

(24)

Normas que são difíceis de implementar - Os Standards, como são chamadas as regras da ITIL, descrevem em sua biblioteca de melhores praticas o que precisa ser feito, mas não descreve e nem mostra como esse processo é implementado para que resulte no objetivo previsto, existindo uma lacuna complexa onde muitas vezes o profissional acaba se perdendo ou deixando o trabalho de lado desmotivado.

Não define medidas de acompanhamento - A ITIL não trás para os usuários modelos ou exemplos de medidas para acompanhamento e medição dos resultados que as empresas obtém durante o processo de implementação.

Não conseguir mapear os processos de negocio nos processos de TI – Esta é considerada a maior fraqueza desse modelo de governança. Pois a ITIL apresenta um conjunto de itens que deve ser usada pela área de TI da empresa para atingir o objetivo, ou seja, os Standards são usados para criar a mudança propriamente dita na organização, e não é a mudança como todos pensamos ao começar a trabalhar com esse framework. Assim cada organização é livre para criar seu próprio caminho ate que a empresa esteja completamente de acordo com a situação da norma, fazendo com que o objetivo principal esteja concluído.

2.4 Benefícios da Implementação da ITIL

Os benefícios da implementação da ITIL são benéficos para a organização que implementa esse framework, e também para os clientes que essa empresa ou organização negocia seus produtos ou serviços. Como a ITIL é focada nos processos, a empresa que a utiliza, normalmente ganha destaque no nicho de mercado em que atua, tendo assim uma breve vantagem das outras empresas (OLIVEIRA, 2011).

(25)

2.4.1 Benefícios para a Organização

Melhor Gestão de Mudança; Redução dos Custos de TI; TI alinhado com o negócio;

Preparado para usar ferramentas para gerir TI;

Framework para decisões de outsourcing;

Modelo de Referência Uniforme para comunicação mutual; Mudanças culturais no sentido de fornecimento de serviços; Organização de TI mais sistemática e clara;

Procedimentos estandardizados e fáceis de compreender/reconhecer; Menor duplicação de trabalho e por isso um aumento de eficiência;

É um salto inicial para uma certificação ISO-9000.

2.4.2 Benefícios para os clientes

Serviços de TI, bem documentado e detalhado; Ambiente de TI mais estável;

Aumento de confiança e de credibilidade sendo o objetivo final a garantia e uma qualidade de fornecimento de serviços;

Canais de comunicação claros;

(26)

3. O USO DAS MELHORES PRÁTICAS COM COBIT

E SUA APLICABILIDADE

Nesse Capitulo será abordado com mais detalhes e dados o framework COBIT em sua versão 4.1. Será feita uma analise acerca dos benefícios e implementação da ferramenta.

3.1 Aprofundando-se no COBIT

“O COBIT é uma estrutura de gerenciamento que se dedica ao ciclo de vida completo do investimento de TI. A estrutura suporta as realizações de TI as metas corporativas, garante o alinhamento de TI corporativo e melhora a eficiência e produtividade de TI”, disse Roger Debreceny, diretor do Comitê Geral COBIT do ITGI.

Usado amplamente como uma ferramenta de conformidade com o Sarbanes-Oxley (lei de conformidade fiscal americana, mais conhecida como lei SOX) e muitos outros padrões globais, o COBIT pré-data o controle legislativo sendo executado mundialmente.

Esta ferramenta é um produto de 15 anos de pesquisa e cooperação entre os experts corporativos e de TI globais e é uma estrutura de unificação internacional que integra todos os principais padrões de tecnologia de informação globais, incluindo ITIL, CMMI e ISO17799 (IT Governance Institute, 2007).

A estrutura COBIT é aceita internacionalmente como uma boa prática para o controle da informação, de TI e dos riscos relacionados. O COBIT é usado para implementar governança de TI e melhorar os seus controles. A estrutura contém metas de controle, diretrizes de garantia, medida de desempenho e resultado, fatores críticos de sucesso e modelos de maturidade. Os estudos dos casos COBIT apresentando organizações tais como a Harley-Davidson, Prudential Ásia e Unisys estão disponíveis no http://www.itgi.org (IT Governance Institute, 2007).

(27)

A primeira edição foi liberada em 1996, com base em referencias sobre auditoria e objetivos de controle. Quem reuniu essas informações foi o ISACF (Information Systems Audit and Control Foundation). Os objetivos de controle detalhados e de alto nível foram revisados para a 2ª edição publicada em 1998 acrescida de ferramentas de implementação. A 3ª edição foi lançada em 2000 e foi marcada como a primeira publicação do IT Governance Institute, contando com uma ferramenta adicional Management Guidelines. (GULDENTOPS, 2002).

A sua 4ª edição veio em 2005 e tinha por nomenclatura COBIT 4.0, tinha maior consolidação e detalhamento de instrumentos gerenciais. O COBIT 4.1 veio em 2007 e não trouxe nada de novo, apenas um refinamento acerca da versão 4.0.

A sua versão mais atualizada é a 5.0 e foi lançada em 2012, ainda esta engatinhando na visão dos auditores e usuários.

O COBIT foi projetado para ser utilizado por três públicos distintos. São eles:

a. Administradores podem fazer uso do COBIT para auxiliá-los na avaliação entre risco, investimento e controle de ambientes muitas vezes imprevisíveis, como o de TI.

b. Usuários podem utilizar para se certificarem da segurança e dos controles dos serviços de TI fornecidos internamente ou por terceiros.

c. Por último, mas não menos importante, o COBIT também pode ser utilizado por auditores de sistemas onde serve como subsídio das opiniões emitidas ou para prover aconselhamento aos administradores sobre os controles internos.

(28)

Figura 2 – Aplicação do COBIT

Fonte: Fund. Bradesco (2013, p.15)

3.2 A missão do COBIT

O livro do COBIT 4.1 traz por definição na pagina 13, a seguinte missão de seu Framework:

Pesquisar, desenvolver, publicar e promover um conjunto de objetivos de controle para tecnologia que seja embasado, atual, internacional e aceito em geral para o uso do dia-a-dia de gerentes de negócio e auditores.

O COBIT ajuda a direcionar ou priorizar os esforços e recursos da TI para atender aos requisitos do negócio. A adoção do COBIT não tem como meta controlar todos os processos, mas apenas identificar quais processos da TI estão impactando, ou gerando riscos para o negócio, de modo a priorizar o gerenciamento destes processos.

(29)

Conforme o ITGI o framework do COBIT foi criado tendo como principais características o foco no negócio, a orientação a processos, ser baseado em controles e direcionado por métricas. Adotar COBIT ajuda uma empresa a implementar boas práticas em governança de TI, pois ele oferece um guia de melhores práticas e direcionamento, assim como a ITIL. Sua estrutura classifica os processos em Quatro grandes grupos, criando diversos processos menores, com mais detalhes onde apresenta atividades em uma estrutura gerenciável e lógica.

Figura 3 – Áreas da Governança de TI

(30)

A figura acima mostra as áreas da Governança de TI, as quais são abrangidas pelo COBIT. Cada uma delas tem o seu significado, e para um melhor entendimento futuro, coloco abaixo um breve detalhamento das áreas mostradas conforme o ITGI (2007, p.8):

Strategic Alignment – Alinhamento Estratégico: Visa integrar a TI ao escopo do negocio, atribuindo responsabilidades, incorporando a TI com as operações rotineiras.

Value Delivery – Entrega de Valor: Garantir que a TI seja efetiva, cumprindo os prazos determinados por meio dos acordos estabelecidos. Risk Management – Gestão de Risco: Requer concentração e

investimento na elaboração de planos de prevenção, priorizando a transparência das transações.

Resource Management – Gestão de Recursos: serve para que seja escolhida a melhor maneira de investimento na TI e seus recursos de trabalho, tais como aplicativos e pessoas.

Performance Measurement – Mensuração de Desempenho: é como a TI verificara os resultados, medindo o desempenho das ações.

3.3 Contribuições estruturais que ajudaram o COBIT a ser o que é hoje

O COBIT chegou a sua estrutura atual contando com um conjunto de contribuições de várias empresas e organismos internacionais, entre eles podemos citar:

Padrões técnicos da ISO e EDIFACT, dentre outros.

Códigos de conduta emitidos pelo Conselho de Europa, OECD, ISACA e outros.

Critérios de qualificação para TI e processos: ITSEC, TCSEC, ISO 9000, SPICE, TickIT dentre outros.

(31)

Padrões profissionais para controles internos e auditoria, como o COSO, IFAC, AICPA, CICA, ISACA, IIA, GAO e outros.

Práticas e exigências dos fóruns da indústria e das plataformas recomendadas pelos governos (IBAG, NIST, DTI), etc..

Exigências das indústrias emergentes como operação bancária, comércio eletrônico e engenharia de software.

Com a dependência cada vez maior nos recursos de tecnologia as organizações passam a ter a necessidade de demonstrar controles crescentes em segurança.

3.4 Resumo do Framework COBIT 4.1

O COBIT é definido por quatro grandes áreas, e cada área tem seus objetivos e processos com foco diferenciado, conforme Governance Institute (2007, p. 30-170) segue breve relato do framework COBIT 4.1.

A estrutura do resumo será assim disposta: breve resumo dos objetivos do Processo, relação de importância para com os Requisitos de Negócios, os quais estão dispostos no Cubo do COBIT na Figura Quatro, quais os recursos de TI amplamente utilizados nesse processo, os quais também estão na Figura a seguir, e também será detalhado em quais áreas da Governança de TI o processo se encaixa com mais importância.

(32)

Figura 4 – Cubo do COBIT 4.1, Critérios de informação (Requisitos de Negócios), Recursos de TI, Processos de TI.

(33)

3.4.1 Planejar e Organizar

Esta grande área do COBIT é composta por Dez processos, são eles:

3.4.1.1 Definir um plano estratégico de TI

Segundo o ITGI (2010, p.31), o planejamento estratégico da organização é necessário para gerenciar todos os recursos de TI em alinhamento com as prioridades e estratégias do negócio, melhorando assim o entendimento entre as partes interessadas, no que diz respeito a oportunidades e limitações da TI, avaliar o desempenho atual e esclarecer o nível de investimento requerido. A estratégia e as prioridades de negócio devem ser refletidas nos portfólios e executadas por meio de planos táticos de TI que estabeleçam objetivos concisos, tarefas e planos bem definidos e aceitos pelas duas partes, negócio e TI.

Relacionamento para com os Critérios de informação: Primário com a Eficácia e Secundário com a Eficiência.

Recursos de TI utilizados: Aplicações, Informação, Infraestrutura e Pessoas. Áreas de Foco: Primário com o Alinhamento Estratégico e Secundário com

Gestão de Recursos e Gestão de Risco.

3.4.1.2 Definir a Arquitetura da Informação

Conforme o ITGI (2007, p.35), os sistemas de informações devem criar e manter atualizados um modelo de informação do negócio e definir os sistemas apropriados para otimizar o uso dessa informação. Isso abrange o desenvolvimento de um dicionário de dados corporativos com as regras de sintaxe de dados, a classificação desses dados e os níveis de segurança da organização. Isso tudo melhora a qualidade de decisão do gerenciamento, certificando-se que informações seguras e confiáveis sejam fornecidas, racionalizando os recursos de sistemas de informações para atender as estratégias de negocio de forma apropriada, e também aumentando a responsabilidade pela integridade e segurança dos dados,

(34)

melhorando o controle efetivo acerca do compartilhamento de informações através de aplicações e entidades.

Relacionamento para com os Critérios de informação: Primário com a Eficiência e Integridade e Secundário com a Eficácia e Confidencialidade. Recursos de TI utilizados: Aplicações e Informação.

Áreas de Foco: Primário com o Alinhamento Estratégico e Gestão de Recursos e Secundário com Entrega de Valor e Gestão de Risco.

3.4.1.3 Determinar as Diretrizes da Tecnologia

De acordo com o ITGI (2007, p.39), o direcionamento tecnológico dado pelos esponsáveis de sistemas de Informações para suportar o negocio, demanda a criação de um plano de infraestrutura tecnológica e um conselho de arquitetura que estabeleça e gerencie expectativas claras e realistas do que a tecnologia pode oferecer em termos de produtos, serviços e mecanismos de entrega. Necessita de atualização regularmente e abrange aspectos como arquitetura de sistemas, direcionamento tecnológico, plano de aquisições, padrões, estratégias de migração e contingencia, permitindo respostas rápidas e mudanças importantes em um ambiente competitivo, economia de escala em equipes e em investimentos de sistemas de informação, bem como melhor interoperabilidade entre plataformas e operações.

Relacionamento para com os Critérios de informação: Primário com a Eficácia e Eficiência.

Recursos de TI utilizados: Aplicações e Infraestrutura.

Áreas de Foco: Primário com Gestão de Recursos e Secundário com Alinhamento Estratégico, Entrega de Valor e Gestão de Risco.

3.4.1.4 Definir os Processos, Organização e Relacionamentos de TI

Conforme o ITGI (2007, p.43), uma organização de TI é definida considerando os requisitos de pessoal, habilidades, funções, autoridade, papéis e responsabilidades,

(35)

rastreabilidade e supervisão. Isso tudo deve fazer parte de uma organização que possua um comitê que assegure controle e transparência, além de envolver executivos sênior e a direção do negócio. Os processos, as politicas administrativas e os procedimentos precisam estar estabelecidos para todas as funções, com especial atenção às de controle, garantia de qualidade, gestão de risco, segurança da informação, propriedade de sistemas e dados e segregação de funções. Para assegurar o rápido atendimento das exigências do negocio, a TI deve ser envolvida nos processos de decisão relevantes.

Recursos de TI utilizados: Pessoas.

Áreas de Foco: Primário com Gestão de Recursos e Gestão de Risco e Secundário com Alinhamento Estratégico.

3.4.1.5 Gerenciar o Investimento de TI

Segundo o ITGI (2007, p.49), estabelecer e manter uma estrutura para gerenciar os programas de investimentos em TI que contemple custos, benefícios, prioridade dentro do orçamento, um processo formal de definição orçamentaria e gerenciamento de acordo com o orçamento. Mantendo as partes interessadas sempre informadas para identificar e controlar os custos totais e benefícios dentro dos contextos estratégicos e táticos da TI e iniciar correções quanto necessário. Promove a parceria entre a TI a as partes interessadas do negocio, permite o uso eficaz e eficiente dos recursos da TI, prove transparência, atribui responsabilidade pelo custo total de propriedade, realização dos benefícios do negocio e do retorno sobre os investimentos de TI.

Relacionamento para com os Critérios de informação: Primário com a Eficácia e Eficiência e Secundário com a Confiabilidade.

Recursos de TI utilizados: Aplicações, Infraestrutura e Pessoas.

Áreas de Foco: Primário com Entrega de Valor e Secundário com Gestão de Recursos e Alinhamento Estratégico e Mensuração de Desempenho.

(36)

3.4.1.6 Comunicar metas e Diretrizes Gerenciais

De acordo com o ITGI (2007, p.53), a direção deve desenvolver uma estrutura de controle de TI corporativo e definir e comunicar politicas, pode ser através de um programa de comunicação contínuo, onde também deve ser articulado a missão, metas, politicas, procedimentos e etc. A comunicação apoia o alcance dos objetivos de TI e assegura a consciência e o entendimento dos negócios, dos riscos de TI, dos objetivos e diretrizes. O processo deve assegurar conformidade com leis e regulamentos relevantes.

Relacionamento para com os Critérios de informação: Primário com a Eficácia e Secundário com a Conformidade.

Gestão de Recursos e Gestão de Risco.

3.4.1.7 Gerenciar os recursos humano de TI

Segundo o ITGI (2007, p.57), contratar, manter e motivar uma força de trabalho competente para criar e entregar serviços de TI para o negocio. Esse objetivo pode ser alcançado se a empresa seguir praticas definidas e acordadas de recrutamento, treinamento, avaliação de desempenho, promoção e desligamento. É um processo critico porque as pessoas são extremamente importantes para que a governança funcione, assim como o ambiente de controle de dados é altamente dependente da motivação e competência dessas pessoas.

Recursos de TI utilizados: Pessoas.

Áreas de Foco: Primário com o Alinhamento Estratégico e Gestão de Recursos e Secundário com Gestão de Risco e Mensuração de Desempenho.

(37)

3.4.1.8 Gerenciar a Qualidade

Conforme o ITGI (2007, p.61), desenvolver e manter um sistema de gestão de qualidade é necessário, onde inclua padrões e processos comprovados de desenvolvimento e aquisição. Isso é feito através de planejamento, implementação e manutenção de um sistema de gestão de qualidade que gere requisitos, procedimentos e politicas claras. Os requisitos de qualidade devem ser definidos e comunicados em indicadores quantificáveis e atingíveis, pois a melhoria continua pode ser alcançada por constante monitoramento, análise e atuação sobre desvios e na comunicação dos resultados as partes interessadas. A gestão de qualidade é essencial para assegurar que a TI esteja fornecendo valor para o negócio, melhoria contínua e transparência para às partes interessadas.

Relacionamento para com os Critérios de informação: Primário com a Eficácia e Eficiência e Secundário com a Integridade e Confiabilidade.

Entrega de Valores e Gestão de Risco.

3.4.1.9 Avaliar e Gerenciar os Riscos de TI

De acordo com o ITGI (2007, p.65), criar e manter uma estrutura de gestão de Risco, essa documentaria um nível comum e acordado de riscos de TI, estratégias de mitigação e riscos residuais. Qualquer impacto em potencial nos objetivos da empresa causado por um evento não planejado deve ser identificado, analisado e avaliado. Estratégias de mitigação de risco devem ser adotadas para minimizar o risco residual a níveis aceitáveis. O resultado da avaliação deve ser entendido pelas partes interessadas e expresso em termos financeiros para permitir que as partes interessadas alinhem o risco a níveis de tolerância aceitáveis.

Relacionamento para com os Critérios de informação: Primário com a Confidencialidade, Integridade e Disponibilidade e Secundário com a Eficácia, Eficiência, Conformidade e Confiabilidade.

(38)

Áreas de Foco: Primário com o Alinhamento Estratégico e Gestão de Risco.

3.4.1.10 Gerenciar Projetos

Conforme o ITGI (2007, p.69), estabelecer um programa e uma estrutura de gestão de projeto para o gerenciamento de todos os projetos de TI. Assegurando assim a correta priorização e a coordenação de todos os projetos. Essa estrutura deve incluir um plano mestre, atribuição de recursos, definição dos resultados a serem entregues, aprovação dos usuários, divisão por fases de entrega, garantia da qualidade, um plano de teste formal e uma revisão pós-implementação para assegurar a gestão de risco de projeto e a entrega do valor ao negocio. Isso tudo reduz o risco de custos inesperados e de cancelamentos do projeto, aperfeiçoa a comunicação, melhora o envolvimento das áreas de negocio e dos usuários finais, assegura o valor e a qualidade dos resultados do projeto e maximiza a contribuição para os programas de investimento em TI.

Áreas de Foco: Primário com o Alinhamento Estratégico e Secundário com Gestão de Recursos, Gestão de Risco, Entrega de Valor e Mensuração de Desempenho.

3.4.2 Adquirir e Implementar

Essa grande área do COBIT é composta por Sete processos, são eles:

3.4.2.1 Identificar soluções automatizadas

Segundo o ITGI (2007, p.75), a necessidade de uma nova aplicação ou função requer uma analise previa à aquisição ou ao desenvolvimento para assegurar que os requisitos de

(39)

negocio sejam atendidos através de uma abordagem eficaz e eficiente. Este processo contempla a definição das necessidades, considera fontes alternativas, a revisão da viabilidade econômica e tecnológica, a execução das analises de risco e de custo-benefício e a obtenção de uma decisão final por “desenvolver” ou “comprar”. Todos esses passos permitem às organizações minimizar custos de aquisição e implementação de soluções e permitem ao negocio alcançar seus objetivos.

Relacionamento para com os Critérios de informação: Primário com a Eficácia e Secundário com a Eficiência.

Recursos de TI utilizados: Aplicações e Infraestrutura.

Áreas de Foco: Primário com o Alinhamento Estratégico e Entrega de Valor e Secundário com Gestão de Recursos e Gestão de Risco.

3.4.2.2 Adquirir e Manter Software Aplicativo

De acordo com o ITGI (2007, p.79), as aplicações devem ser disponibilizadas em alinhamento com os requisitos do negocio, assim esse processo contempla o projeto das aplicações, a inclusão de controles e requisitos de segurança apropriados, o desenvolvimento e a configuração de acordo com os padrões. Permitindo assim às organizações apoiarem de forma adequada às operações do negocio com as aplicações corretas.

Relacionamento para com os Critérios de informação: Primário com a Eficácia e Eficiência e Secundário com a Integridade e Confiabilidade.

Recursos de TI utilizados: Aplicações.

Áreas de Foco: Primário com o Alinhamento Estratégico e Entrega de Valor e Secundário com Gestão de Risco.

3.4.2.3 Adquirir e Manter Infraestrutura de Tecnologia

Conforme o ITGI (2007, p.83), as organizações devem ter processos de aquisição, implementação e atualização da infraestrutura de tecnologia. É necessário assim uma

(40)

abordagem planejada de aquisição, manutenção e proteção da infraestrutura em alinhamento com as estratégias tecnológicas acordadas e o fornecimento de ambientes de desenvolvimento e testes. Assegurando assim um apoio tecnológico continuo as aplicações de negocio.

Relacionamento para com os Critérios de informação: Primário com a Eficiência e Secundário com a Eficácia, Integridade e Disponibilidade.

Recursos de TI utilizados: Infraestrutura.

Áreas de Foco: Primário com Gestão de Recursos

3.4.2.4 Habilitar Operação e Uso

Segundo o ITGI (2007, p.87), o conhecimento e atualização sobre novos sistemas deve sempre estar disponível. Ou seja, esse processo requer a elaboração de documentação e manuais para usuários de TI e a promoção de treinamento para assegurar a operação e uso apropriado das aplicações e infraestrutura.

Relacionamento para com os Critérios de informação: Primário com a Eficácia e Eficiência e Secundário com a Integridade, Disponibilidade, Conformidade, e Confiabilidade.

Áreas de Foco: Primário com a Entrega de Valor e Secundário com Gestão de Recursos e Gestão de Risco e Alinhamento Estratégico.

3.4.2.5 Adquirir Recursos de TI

De acordo com o ITGI (2007, p.91), recursos de TI, incluindo pessoas, hardware, software e serviços precisam ser adquiridos. Requerendo assim a definição e aplicação de procedimentos de aquisição, seleção de fornecedores, estabelecimento de arranjos contratuais e a aquisição propriamente dita. Assegurando assim que a organização tenha todos os recursos de TI necessários a tempo e com boa relação custo-benefício.

(41)

Relacionamento para com os Critérios de informação: Primário com a Eficiência e Secundário com a Eficácia e Conformidade.

Recursos de TI utilizados: Aplicações, Informação, Infraestrutura e Pessoas. Áreas de Foco: Primário com a Gestão de Recursos e Secundário com Entrega

de Valor.

3.4.2.6 Gerenciar Mudanças

Segundo o ITGI (2007, p.95), todas as mudanças, incluindo manutenções e correções de emergência, relacionadas com as infraestruturas e as aplicações no ambiente de produção, são formalmente gerenciadas de maneira controlada. Essas mudanças (incluindo procedimentos, processos, parâmetros de sistemas e de serviço) devem ser registradas, avaliadas e autorizadas antes de sua implementação e revisadas em seguida, tendo como base os resultados efetivos e planejados. Isso assegura a mitigação de riscos de impactos negativos na estabilidade ou na integridade do ambiente de produção.

Relacionamento para com os Critérios de informação: Primário com a Eficácia, Eficiência, Integridade e Disponibilidade e Secundário com a Confiabilidade. Recursos de TI utilizados: Aplicações, Informação, Infraestrutura e Pessoas. Áreas de Foco: Primário com a Entrega de Valor e Secundário com Gestão de

Recursos.

3.4.2.7 Instalar e Homologar Soluções e Mudanças

Conforme o ITGI (2007, p.99), após concluir o desenvolvimento dos novos sistemas, eles necessitam ser colocados em operação. Sendo necessária a realização de testes apropriados em ambiente dedicado, com dados de teste relevantes, definições de instruções de implantação e migração, planejamento de liberação e mudanças no ambiente de produção e uma revisão pós-implementação. Assegurando assim que os sistemas operacionais estejam alinhados com as expectativas e os resultados acordados.

(42)

Relacionamento para com os Critérios de informação: Primário com a Eficácia e Secundário com a Eficiência, Integridade e Disponibilidade.

Recursos de TI utilizados: Aplicações, Informação, Infraestrutura e Pessoas. Áreas de Foco: Primário com a Entrega de Valor e Secundário com Gestão de

Recursos, Gestão de Risco, Alinhamento Estratégico e Mensuração de Desempenho.

3.4.3 Entregar e Suportar

Essa grande área do COBIT é composta por Treze processos, são eles:

3.4.3.1 Definir e Gerenciar Níveis de Serviço

De acordo com o ITGI (2007, p.103), a comunicação eficaz entre os Gerentes da TI e os clientes de negocio acerca dos serviços necessários é necessária e possibilitada por um acordo definido e documentado que aborda os serviços da TI e os níveis de serviço esperado. Inclui também monitoramento e relatório oportuno as partes interessadas quanto ao atendimento dos níveis de serviço. Esse processo permite então o alinhamento entre os serviços de TI e os respectivos requisitos do negocio.

Relacionamento para com os Critérios de informação: Primário com a Eficácia e Eficiência e Secundário com a Confidencialidade, Integridade, Disponibilidade, Conformidade e Confiabilidade.

Recursos de TI utilizados: Aplicações, Informação, Infraestrutura e Pessoas. Áreas de Foco: Primário com o Alinhamento Estratégico, Gestão de Recursos,

(43)

3.4.3.2 Gerenciar Serviços Terceirizados

Segundo o ITGI (2007, p.107), é de grande necessidade assegurar que os serviços prestados por fornecedores satisfaçam aos requisitos do negocio, sendo assim é preciso um processo efetivo de gestão de terceirização. Esse processo é realizado definindo-se claramente os papeis, responsabilidades e expectativas nos acordos de terceirização bem como revisando e monitorando tais acordos quanto à efetividade e à conformidade. Essa gestão eficaz minimiza os riscos de negocio associados aos fornecedores que não cumprem seu papel.

Relacionamento para com os Critérios de informação: Primário com a Eficácia e Eficiência e Secundário com a Confidencialidade, Integridade, Disponibilidade, Conformidade e Confiabilidade.

Recursos de TI utilizados: Aplicações, Informação, Infraestrutura e Pessoas. Áreas de Foco: Primário com a Entrega de Valor e Gestão de Riscos e

Secundário com a Gestão de Recursos e Mensuração de Desempenho.

3.4.3.3 Gerenciar o Desempenho e a Capacidade

Conforme o ITGI (2007, p.111), a necessidade de gerenciar o desempenho e a capacidade dos recursos de TI requer um processo que realize analises criticas periódicas do desempenho e da capacidade atuais dos recursos de TI. Inclui-se aqui a previsão de necessidades futuras com base em requisitos de carga de trabalho, armazenamento e contingência. Assegurando assim que os recursos de informação que suportam os requisitos de negocio estejam sempre disponíveis.

Relacionamento para com os Critérios de informação: Primário com a Eficácia e Eficiência e Secundário com a Disponibilidade.

(44)

Áreas de Foco: Primário com Gestão de Recursos e Secundário com Entrega de Valor, Mensuração de Desempenho, Gestão de Risco e Alinhamento Estratégico.

3.4.3.4 Assegurar a Continuidade dos Serviços

De acordo com o ITGI (2007, p.115), prover a continuidade dos serviços da TI requer o desenvolvimento, manutenção e teste de um plano de continuidade de TI, copias de segurança (backup) em instalações remotas e realizar treinamentos periódicos do plano de continuidade. Um processo eficaz de continuidade de serviços minimiza a probabilidade e o impacto de uma interrupção de um serviço chave de TI nas funções e processos críticos de negócio.

Relacionamento para com os Critérios de informação: Primário com a Eficácia e Disponibilidade e Secundário com a Eficiência.

Recursos de TI utilizados: Aplicações, Informação, Infraestrutura e Pessoas. Áreas de Foco: Primário com Entrega de Valor e Gestão de Risco e Secundário

com o Alinhamento Estratégico, Gestão de Recursos e Mensuração de Desempenho.

3.4.3.5 Garantir a Segurança dos Sistemas

Segundo o ITGI (2007, p.119), para manter a integridade da informação e proteger os ativos da TI, é necessário implementar um processo de gestão de segurança. Esse processo inclui o estabelecimento e a manutenção de papeis, responsabilidades, politicas, padrões e procedimentos de segurança de TI. A gestão de segurança inclui o monitoramento, teste periódico e a implementação de ações corretivas das deficiências ou incidentes de segurança. Essa gestão eficaz protege os ativos de TI e minimiza o impacto sobre os negócios de vulnerabilidade e incidentes de segurança.

(45)

Relacionamento para com os Critérios de informação: Primário com a Confidencialidade e Integridade e Secundário com a Disponibilidade, Conformidade e Confiabilidade.

Recursos de TI utilizados: Aplicações, Informação, Infraestrutura e Pessoas. Áreas de Foco: Primário com Gestão de Risco.

3.4.3.6 Identificar e Alocar Custos

Conforme o ITGI (2007, p.123), a necessidade de um sistema justo e equitativo de alocação de custo de TI para o negocio requer avaliação precisa dos custos de TI e acordo com os usuários do negocio sobre uma alocação razoável. Esse processo contempla a construção e a operação de um sistema para capturar, alocar e reportar os custos de TI aos usuários dos serviços. Esse sistema sendo justo permite à empresa tomar decisões mais embasadas sobre o uso dos serviços.

Relacionamento para com os Critérios de informação: Primário com Eficiência e Confiabilidade.

Recursos de TI utilizados: Aplicações, Informação, Infraestrutura e Pessoas. Áreas de Foco: Primário com Gestão de Recursos e Secundário com Entrega de

Valor e Mensuração de Desempenho.

3.4.3.7 Educar e Treinar Usuários

De acordo com o ITGI (2007, p.127), a educação efetiva de todos os usuários de sistemas de TI, inclusive daqueles dentro da própria TI, requer a identificação das necessidades de treinamento de cada grupo de usuário. Como complemento à identificação dessas necessidades, esse processo compreende a definição e a execução de uma estratégia eficaz de treinamento e medição dos resultados. Assim aumentaria o uso eficaz de tecnologia através da redução dos erros de usuário, aumento na produtividade e aumento da conformidade com os controles principais (como as medidas de segurança do usuário).