GESTÃO DE TI

UM ESTUDO DE CASO

Hermes do Amaral Pachecohermes@icomnet.com.br

www.icomnet.com.br

AGENDA

Introdução Governança de TI Modelo COBIT O caso SEFAZ - SP

INTRODUÇÃO

A informação e a Tecnologia da Informação como fatores críticos para as organizações– Diferencial competitivo– Potencialmente vulneráveis– Consumidoras de capital– Capacidade de propiciar mudanças radicais– Geradoras de expectativas

INTRODUÇÃO

Qual a importância da área de TI para as organizações? (Acadys e Standish Group, 2001)

– Departamentos pouco realizadores – Poucas organizações são capazes de avaliar os r

etornos da área– Alto grau de insucesso dos projetos– Valor da informação subestimado

GOVERNANÇA DE TI - ABORDAGEM

É um componente da Governança Corporativa Está focada em:

– Considerar os valores das pessoas ao definir estratégias;– Direcionar os processos que implementam a estratégia;– Assegurar que os processos produzam resultados

mensuráveis;– Informar os resultados e desafios;– Assegurar que os resultados sejam proveitosos.

GOVERNANÇA DE TI - DEFINIÇÃO

O IT Governance Institute define Governança de TI como:

Uma estrutura de relacionamentos e processos para orientar e controlar as empresas na busca de seus objetivos, adicionando valor e balanceando riscos

e retornos da Tecnologia da Informação e seus processos.

GOVERNANÇA DE TI - OBJETIVOS

Dirigir e controlar TI enfatizando:– O potencial de TI para alavancar e influenciar

ativos intangíveis;– O alinhamento entre as estratégias de TI e do

negócio;– A revisão e aprovação dos investimentos em TI;– A garantia de transparência para os riscos

associados a TI;– A medição de performance da TI

COBIT – O que é

COBIT é um modelo de gestão de TI proposto pelo IT Governance Institute, patrocinado pela ISACAF (Information Systems Audit and Control Association Foundations), baseado em código de melhores práticas.

Primeira edição – 1996Segunda Edição – 1998Terceira edição (atual) - 2000

(Control Objectives for Information and Related Technology)

O Modelo COBIT

Apresenta as atividades de TI de forma estruturada e gerenciável;

É focado em processos e objetivos de negócio;

É dirigido para usuários, gestores, responsáveis pelos processos de negócio e auditores.

COBIT – domínios dos processos

Fonte: IT Governance Institute

OBJETIVOS DE NEGÓCIO

COBIT

GOVERNANÇA DE TI

INFORMAÇÃO

PLANEJAMENTO EORGANIZAÇÃO

AQUISIÇÃO E IMPLEMENTAÇÃO

ENTREGA ESUPORTE

MONITORAMENTO

RECURSOS DE TI

EfetividadeEficiênciaConfidencialidadeIntegridadeDisponibilidadeConformidadeConfiabilidade

PessoasInfra-estruturaTecnologiaDados e sistemas

34 ProcessosAproximadamente 314Objetivos de controle

IMPLEMENTAÇÃO DO COBIT

Documentação– Mapeamento dos processos de negócio– Definição de políticas– Identificação dos objetivos de controle– Definição de diretrizes

Implementação– Divulgação– Conscientização

Gestão dos processos– Benchmarks das práticas de controle de TI (Modelo de Maturidade –

CMM)– Fatores Críticos de Sucesso – Indicadores de Objetivos– Indicadores de Performance

MODELO DE MATURIDADE

São utilizados para controlar os processos de TI, fornecendo um método para quantificar o nível de maturidade dos processos. Pode variar de não existentes (0) a otimizados (5), permitindo mapear o estágio de cada um dos 34 processos de uma organização e compará-las com o mercado, considerando:

– Qual o estágio atual da organização– Qual o estágio corrente da indústria– Qual o status dos padrões internacionais– Onde a organização quer chegar.

MATURIDADE DOS PROCESSOS DE NEGÓCIO

0 1 2 3 4 5

Nãoexiste Inicial Repetitivo Definido Gerenciado Otimizado

Legenda

Estágio atual da empresa

Status dos padrões Internacionais

Estágio corrente da indústria

Estratégia da empresa

–não existe qualquer processo de Gestão;

–processos ad hoc e desorganizados;

–os processos seguem um padrão regular;

–os processos são documentados e comunicados;

–Os processos são monitorados e medidos;

–As melhores práticas são seguidas e automatizadas.

0 Não existe

1 Inicial

2 Repetitivo

3 Definido

4 Gerenciado

5 Otimizado

FATORES CRÍTICOS DE SUCESSO

Define as ações de gerenciamento mais importantes para obter controle dos processos de TI.

Define o que precisa ser feito nos níveis estratégico, tático e operacional.

INDICADORES DE OBJETIVOS

Define medidas ou grandezas que devem ser obtidas para atender os requisitos do negócio, geralmente expressas na forma de critérios como:

– A disponibilidade da informação necessária para suportar as necessidades do negócio;

– Os riscos da perda de integridade e confidencialidade da informação;

– A relação custo-eficiencia dos processos e operações;

INDICADORES DE PERFORMANCE

Define medidas para determinar quão bem os processos de TI são executados;

Permite identificar se objetivos serão ou não alcançados;

São bons indicadores de potencialidades, boas práticas e habilidades.

O CASO SEFAZ - SP

PROGRAMA DE MODERNIZAÇÃO DA SECRETARIA DA FAZENDA DO ESTADO

DE SÃO PAULO

1995-2003

CARACTERIZANDO A SEFAZ/SP

9.000 funcionários 1.000.000 de Contribuinte do ICMS 13.000.000 de veículos

DADOS DO PROJETO

Abrangência estadual Sede 16 Unidades Regionais 150 Postos de atendimento

Recursos de infra-estrutura Mais de 28.000 pontos de rede Mais de 600 roteadores e 50 switches de grande porte 155 conexões WAN Mais de 60 servidores Risc Mais de 5600 estações ligadas à rede

DADOS DO PROBLEMA

Falta de conhecimento das novas tecnologias Dependência de poucos fornecedores Profissionais com perfil inadequado Infra-estrutura inadequada Sistemas antiquados Estrutura inadequada para a gestão de TI Resistência à mudanças Diferentes visões de tecnologia

ALGUMAS METAS DO PROJETO

Reduzir a quase zero a necessidade do contribuinte ir a um posto de atendimento criando o Posto Fiscal Eletrônico

Aumentar a eficiência da Fiscalização Dar total transparência às contas do Estado

através do site da Secretaria da Fazenda Criar a Bolsa Eletrônica de Compras Permitir a comunicação rápida e eficiente entre

os funcionários

IDENTIFICAÇÃO DE SOLUÇÕES

Soluções de Gestão– Criação de dispositivos legais– Desenvolvimento do Plano de Gestão de TI -

PGTI (1999)

Soluções de Tecnologia– Infra-estrutura– Serviços– Sistemas de informação

VISÃO INSTITUCIONAL– Sede, Regionais e Postos Fiscais– Relacionamento com a IntraGov

POLÍTICAS DE GESTÃO– Estrutura Organizacional de TI– Relacionamentos internos– Gestão única– Capacitação do pessoal interno

POLÍTICAS DE TECNOLOGIA– Atualização tecnológica– Desenvolvimento de sistemas– Padronização

POLÍTICA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO– Visão Institucional– Estrutura Organizacional de Gestão de SI extrapola os limites do DTI

PGTI - ABRANGÊNCIA

Criar uma estrutura para a administração dos recursos (pessoas, infra-estrutura, tecnologia, dados e sistemas) de TI no âmbito da Secretaria da Fazenda, SP;

Alocar responsabilidades para os diferentes agentes do sistema de TI;

Estabelecer regras para a gestão unificada de TI; Estabelecer padrões de relacionamentos com outras

unidades internas, parceiros e fornecedores; Estabelecer padrões de tecnologia;

PGTI - OBJETIVOS

ESTRUTURA ORGANIZACIONAL

CAT

GS

CAF CECI CGA

FAZESPDTIDTI

AdministraçãoAdministração

de Sistemasde Sistemas

Operações eOperações e

Infra-estruturaInfra-estrutura

Internet eInternet e

IntranetIntranetControleControle

CTI

EXEMPLOS DE SISTEMAS DESENVOLVIDOS

• Legislação “Linkada” • DECA • AIIM • GIA Eletrônica • Cálculo de Débito do ICMS • Guias de Procedimentos • Conta Fiscal • IPVA• Licenciamento eletrônico• ITCMD • Serviços ao Contabilista• Serviços à Procuradoria Fiscal• SIAFEM• SIGEO• SIAFISICO• SIAFACIL• BEC• GDOC• SIAP

ADEQUAÇÃO AO MODELO COBIT

Padronização das políticas – uma para cada processo de TI.

Focalização em processos ao invés de atividades.

Avaliação das diretrizes estabelecidas no PGTI em função dos objetivos de controle definidos pelo COBIT.

PGTI vesus COBIT

314 objetivos de controle relacionados aos 34 processos de TI

95 diretrizes de TI + 20 diretrizes de

segurança da informação

EXEMPLO DE UMA POLÍTICA

PO1 – Planejamento estratégico

Para atender os objetivos específicos da Secretaria da Fazenda e obter um balanceamento ótimo entre oportunidades oferecidas pela Tecnologia da Informação e os requisitos do negócio deve ser desenvolvido um processo de planejamento estratégico de longo prazo com revisões periódicas.

O planejamento de longo prazo deve ser traduzido em planos operacionais, estabelecendo metas claras e concretas de curto prazo, tendo em consideração:

– A definição dos objetivos do negócio e as necessidades de TI;– Inventário das soluções de tecnologia e da infra-estrutura atuais;– Acompanhamento das evoluções tecnológicas;– As mudanças organizacionais;– Estudos de oportunidade; e– A avaliação dos sistemas atuais.

A quem se aplica:– Pessoas– Aplicações– Tecnologia– Instalações– Dados

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Análise doAmbiente

Diagnóstico

Definição dasDiretrizes

Diretrizes deSegurança daInformação

Revisão da Políticade Segurança

Política deSegurança daInformação

Definição daEstratégia deNormatização

Manual deSegurança

Gerenciamento deRisco

Análise de Risco

ImplementaçãoOperacional

Procedimentos

Monitoração eControle

Controles daImplementação

Gerenciamento deNovas Soluções

Controle deMudanças

Ferramentas

SoluçãoTécnica

Mecanismos deGerenciamento

NovasSoluções

de TI

AçõesCorretivasAvaliação

de Risco

Metodologia

Conscientização

Conscientização

MO

DE

LO

DE

IM

PL

EM

EN

TA

ÇÃ

O

LICÕES APRENDIDAS

O acesso ao centro de decisões da Instituição é indispensável para o setor de TI;

É necessário desenvolver competência interna em áreas estratégicas;

Evitar aquisição de grandes pacotes de tecnologia; Avaliar as relações com os fornecedores

(Ex.:Companhias de Processamento de Dados) Gestão unificada de TI

www.icomnet.com.brhermes@icomnet.com.br

CONTATO