Governana de TIC e Cobit

27
Conteúdo Governança de TI e Cobit 4.1 .............................................................................................................................. 4 O que é governança de TI ................................................................................................................................ 4 Benefícios da governança de TI ....................................................................................................................... 5 Escopo da Governança de TI ........................................................................................................................... 5 Conceitos básicos ............................................................................................................................................ 6 Componentes do Cobit – “o Cubo” ................................................................................................................... 6 Atividades dos Processos e Gráficos RACI (Responsible, Accountable, Consulted, and Informed) ................... 7 Indicadores Chaves de Metas (KGI – Key Goal Indicator) ................................................................................. 7 Indicadores Chave de Desempenho (KPI – Key Performance Indicator) ........................................................... 7 DIRETRIZES DE AUDITORIA (AUDIT GUIDELINES) ...................................................................................... 8 Estrutura do Processo de Auditoria .................................................................................................................. 8 Requisitos para a Auditoria de Processos......................................................................................................... 8 O Relacionamento entre os Processos do COBIT .............................................................................................. 10 Os números de Entradas e Saídas entre os Dominós do COBIT. ................................................................... 10 Objetivos de controle...................................................................................................................................... 11 Modelo de processo do Cobit ......................................................................................................................... 11 Os Detalhes dos Processos ............................................................................................................................... 13 1. Planejamento e Organização - PO ................................................................................................................. 13 PO1 Definir um Plano Estratégico de TI.......................................................................................................... 13 PO2 Definir a Arquitetura de Informação ........................................................................................................ 13 PO3 Determinar a Direção Tecnológica.......................................................................................................... 13 PO4 Definir Processos de TI, Organização e Relacionamento........................................................................ 13 PO5 Gerenciar o Investimento em TI .............................................................................................................. 13 PO6 Comunicar Metas e Diretivas Gerenciais ................................................................................................ 14 PO7 Gerenciar Recursos Humanos ................................................................................................................ 14 PO8 Gerenciar a Qualidade ........................................................................................................................... 14 PO9 Avaliar e Gerenciar Riscos ..................................................................................................................... 14 PO10 Gerenciar Projetos................................................................................................................................ 14 2. Aquisição e Implementação - AI ..................................................................................................................... 15 AI1 Identificar soluções .................................................................................................................................. 15 AI2 Adquirir e manter software aplicativo ........................................................................................................ 15 AI3 Adquirir e manter arquitetura tecnológica ................................................................................................. 15 AI4 Desenvolver e manter procedimentos de TI.............................................................................................. 15 AI5 Obter Recursos de TI ............................................................................................................................... 15 AI6 Gerenciar mudanças ................................................................................................................................ 15 AI7 Instalar e certificar Soluções e Mudanças................................................................................................. 16 3. Entregar e suporte - DS ................................................................................................................................. 16 DS1 Definir níveis de Serviços ....................................................................................................................... 16

Transcript of Governana de TIC e Cobit

Page 1: Governana de TIC e Cobit

Conteúdo

Governança de TI e Cobit 4.1 .............................................................................................................................. 4

O que é governança de TI ................................................................................................................................ 4

Benefícios da governança de TI ....................................................................................................................... 5

Escopo da Governança de TI ........................................................................................................................... 5

Conceitos básicos ............................................................................................................................................ 6

Componentes do Cobit – “o Cubo” ................................................................................................................... 6

Atividades dos Processos e Gráficos RACI (Responsible, Accountable, Consulted, and Informed) ................... 7

Indicadores Chaves de Metas (KGI – Key Goal Indicator) ................................................................................. 7

Indicadores Chave de Desempenho (KPI – Key Performance Indicator) ........................................................... 7

DIRETRIZES DE AUDITORIA (AUDIT GUIDELINES) ...................................................................................... 8

Estrutura do Processo de Auditoria .................................................................................................................. 8

Requisitos para a Auditoria de Processos ......................................................................................................... 8

O Relacionamento entre os Processos do COBIT .............................................................................................. 10

Os números de Entradas e Saídas entre os Dominós do COBIT. ................................................................... 10

Objetivos de controle ...................................................................................................................................... 11

Modelo de processo do Cobit ......................................................................................................................... 11

Os Detalhes dos Processos ............................................................................................................................... 13

1. Planejamento e Organização - PO ................................................................................................................. 13

PO1 Definir um Plano Estratégico de TI.......................................................................................................... 13

PO2 Definir a Arquitetura de Informação ........................................................................................................ 13

PO3 Determinar a Direção Tecnológica .......................................................................................................... 13

PO4 Definir Processos de TI, Organização e Relacionamento ........................................................................ 13

PO5 Gerenciar o Investimento em TI .............................................................................................................. 13

PO6 Comunicar Metas e Diretivas Gerenciais ................................................................................................ 14

PO7 Gerenciar Recursos Humanos ................................................................................................................ 14

PO8 Gerenciar a Qualidade ........................................................................................................................... 14

PO9 Avaliar e Gerenciar Riscos ..................................................................................................................... 14

PO10 Gerenciar Projetos................................................................................................................................ 14

2. Aquisição e Implementação - AI ..................................................................................................................... 15

AI1 Identificar soluções .................................................................................................................................. 15

AI2 Adquirir e manter software aplicativo ........................................................................................................ 15

AI3 Adquirir e manter arquitetura tecnológica ................................................................................................. 15

AI4 Desenvolver e manter procedimentos de TI.............................................................................................. 15

AI5 Obter Recursos de TI ............................................................................................................................... 15

AI6 Gerenciar mudanças ................................................................................................................................ 15

AI7 Instalar e certificar Soluções e Mudanças ................................................................................................. 16

3. Entregar e suporte - DS ................................................................................................................................. 16

DS1 Definir níveis de Serviços ....................................................................................................................... 16

Page 2: Governana de TIC e Cobit

DS2 Gerenciar Serviços de Terceiros ............................................................................................................. 16

DS3 Gerenciar Performance e Capacidade .................................................................................................... 16

DS4 Garantir Continuidade dos Serviços ........................................................................................................ 16

DS5 Garantir Segurança dos Sistemas .......................................................................................................... 16

DS6 Identificar e Alocar Custos ...................................................................................................................... 17

DS7 Educar e Treinar usuários ....................................................................................................................... 17

DS8 Gerenciar Serviços de Suporte e Incidentes ........................................................................................... 17

DS9 Gerenciar a Configuração ....................................................................................................................... 17

DS10 Gerenciar Problemas ............................................................................................................................ 17

DS11 Gerenciar Dados .................................................................................................................................. 17

DS12 Gerenciar os Ambientes Físicos ........................................................................................................... 18

DS13 Gerenciar Operações ........................................................................................................................... 18

4. Monitoração e avaliação ................................................................................................................................ 18

ME1 Monitorar e Avaliar a Performance de TI ................................................................................................ 18

ME2 Monitorar e Avaliar Controle Interno ....................................................................................................... 18

ME3 Assegurar Conformidade Regulatória ..................................................................................................... 18

ME4 Fornecer Governança de TI.................................................................................................................... 18

VAL – IT ............................................................................................................................................................ 19

Introdução ...................................................................................................................................................... 19

O que é VAL-IT e seu relacionamento com Cobit ........................................................................................ 20

Princípios do VAL-IT ................................................................................................................................... 20

Os Processos do VAL-IT ............................................................................................................................. 21

Agregando valor aos seus investimentos através de metodologias.............................................................. 23

Value Measuring Methodology (VMM) ......................................................................................................... 24

Gestão de Portfólio e Portfólio de Investimentos ......................................................................................... 24

Relacionamento com outros Padrões ................................................................................................................. 27

Page 3: Governana de TIC e Cobit

Governança de TI e Cobit 4.1 Os Investimentos na área de tecnologia da informação (TI) continuam a crescer à medida que os negócios enfrentam competição, expectativas e a necessidade de estarem em conformidade com as regulamentações vigentes. Considerada por muitos como “caixa preta”, a área de TI tem suas ações e iniciativas pouco conhecidas dentro das organizações. Na maioria das empresas, não existe alinhamento das estratégias de TI com as estratégias de negócios. É um setor que necessita enorme quantidade de recursos, que tem linguagem própria de difícil entendimento pela organização. Só um novo sistema de gestão pode trazer esse conhecimento mais amplo dos objetivos de TI. Apenas com novas práticas de governança será possível fazer a adequação da TI com a estratégia de negócios das organizações.

O que é governança de TI Governança de TI são estruturas e processos que buscam garantir que a Tecnologia da Informação suporte e leve os objetivos e estratégias da organização a assumirem o seu valor máximo. É uma responsabilidade da alta direção, exigindo uma liderança formal e forte. Em sua essência, a governança determina quem toma decisões. Mas para se tomar decisões é necessário que haja informações, controles, processos e procedimentos, em uma cadeia de responsabilidades de comportamentos desejáveis no âmbito da TI. Quanto mais rápido e preciso for a informação, mais eficaz é a gestão e o direcionamento da área de TI e do negócio para o sucesso. Todos estes controles, também configuram a transparência das instituições para com os seus investidores, conselhos e diretoria executiva mostrando a real aplicação dos recursos e o retorno esperado/alcançado até o momento. Para tal, a Governança de TI provê estruturas e processos que buscam garantir que a Tecnologia da Informação suporte e leve os objetivos e estratégias da organização a demonstrarem seu valor máximo. É um conjunto de processos e controles relacionados com o alinhamento entre as Estratégias Corporativas e as Estratégias de Tecnologia da Informação de uma organização, garantindo melhorias operacionais, vantagens competitivas, redução dos riscos e otimização dos custos. Para se ter uma boa governança, é importante lembrar que os processos organizacionais são de extrema importância para o bom andamento dos negócios. Em TI isto não é diferente; é essencial que os processos sejam eficazes para o alcance dos objetivos de TI e da organização. Mas, quais os processos de TI que a minha empresa precisa para suportar a Governança de TI? Muitas são as fontes de modelos, boas práticas e metodologias como: COBIT, ITIL, PMBOK, ISO17799, ISO20000, ISO35800, Balanced Scorecard, Six-sigma, controles internos, entre outros, devidamente adaptadas para o seu ambiente organizacional. É preciso que os relacionamentos organizacionais sejam maduros e responsáveis. Deve existir cumplicidade entre TI e os processos de negócios. A cultura organizacional da empresa deve estimular a comunicação clara entre as diversas áreas e a troca de experiências entre as pessoas de negócios e as de TI. Os princípios da governança de TI podem ser expressos da seguinte forma: • Governança de TI é agregação do valor e o gerenciamento dos riscos; • Agregação de valor, que incorpora o conceito de retornos relacionados ao risco é, talvez, a mais importante; • Não é possível obter a agregação do valor sem o alinhamento estratégico, o gerenciamento de riscos e o gerenciamento de recursos; • É impossível fornecer a transparência do sucesso ou da falha sem a medição de desempenho;

Page 4: Governana de TIC e Cobit

O IT Governance Institute (ITGI) define que agregação de valor é a execução da proposição de valor através do tempo ou ciclo de entrega, assegurando que a TI entregue os benefícios prometidos de acordo com a estratégia, concentrando-se em aperfeiçoar custos e comprovar seu valor intrínseco. A principal responsabilidade dos diretores e gerentes de qualquer empresa é garantir que o valor para os stakeholders (as partes interessadas) seja obtido através de investimentos e de alocação de recursos provenientes das decisões-chaves. E para que este valor possa ser alcançado é necessário:

• Prover estruturas de relacionamentos e processos para dirigir e controlar a organização para alcance de seus objetivos (agregar valor)

• Permitir controlar a execução e a qualidade dos serviços • Viabilizar o acompanhamento de contratos internos e externos • Definir as condições para o exercício eficaz da gestão com base em conceitos consolidados de qualidade; • Equilibrar os riscos em relação ao retorno da tecnologia de informação e a seus processos.

Benefícios da governança de TI

Confiança da alta administração; TI mais comprometida com o negócio; Retorno sobre o investimento (ROI) maior; Serviços mais confiáveis; Mais transparência.

Escopo da Governança de TI

Alinhamento Estratégico: TI ao Negócio. Entrega de Valor: Qualidade apropriada dentro do prazo e custo. Devendo atingir os benefícios prometidos. Gerenciamento de Riscos: Tratamento das incertezas. Gerenciamento de Recursos: Investimento otimizado, uso e alocação de recursos de TI. Monitoração de Performance: Medição e monitoração das atividades da TI.

Page 5: Governana de TIC e Cobit

Conceitos básicos

Cobit, do inglês, Control Objectives for Information and related Technology; É um conjunto de boas práticas sobre os processos de gerenciamento da TI nas organizações, com

aspectos técnicos, processos e pessoas; O Cobit está organizado em processos interligados objetivando o controle da TI, formando um framework

de controle que tem o propósito de assegurar que os recursos de TI estarão alinhados com os objetivos da organização;

É baseado na premissa que a TI precisa entregar a informação que a empresa necessita para atingir seus objetivos, por isso, tem como objetivo otimizar investimentos e garantir entrega dos serviços com as devidas métricas;

O princípio do framework do Cobit é vincular as expectativas dos gestores de negócio com as responsabilidades dos gestores de TI;

O Cobit não é um padrão definitivo, tem que ser adaptado para cada empresa.

Componentes do Cobit – “o Cubo”

Page 6: Governana de TIC e Cobit

Atividades dos Processos e Gráficos RACI (Responsible, Accountable, Consulted, and

Informed) Atividades dos Processos e gráficos RACI mostram várias funções que existem para as atividades chaves, podendo ser do tipo:

Responsible (Responsável) Accountable (Deve prestar Conta) Consulted (Deve ser Consultado) Informed (Deve ser informado)

Indicadores Chaves de Metas (KGI – Key Goal Indicator) Representam a meta e resultados do processo. Medidos após o fato (LAG). É a medida do quanto “bem” o processo está desempenhando a meta e contribuindo ao negócio. São orientados por TI, mas direcionados (foco) ao negócio. Podem expressar resultados negativos (não alcançar uma meta). Não podem ser vagos (número ou percentual). Deve expressar uma direção e ser um desafio (difícil) – aumentar disponibilidade; decrescer custo. Focados em critérios de informação primários. O COBIT define 2 níveis de KGIs: um para o departamento de TI (KGI de TI) e outro para o processo de TI (KGI de processo). Exemplo: P010 Gerenciar Projetos: KGI de TI: ! Percentual de projetos que estão atingindo as expectativas dos stakeholders (a nível de tempo, orçamento e

requisitos de negócios – por peso de importância). KGI de Processo: ! Percentual de projetos no prazo e dentro do orçamento; ! Percentual de projetos que estão atingindo as expectativas dos stakeholders.

Indicadores Chave de Desempenho (KPI – Key Performance Indicator) Constitui uma medida sobre a qualidade do desempenho do processo. São indicadores que podem ser medidos previamente ao fato (LEAD). É a medida do quanto “bem” os processos de TI estão. Orientados ao processo, mas direcionados por TI. Expressos em termos precisos de medição. Focados nos recursos de TI identificados como mais importantes para o processo. Representam oportunidade de melhoria nos processos de TI. Exemplo: PO10 Gerenciar Projetos ! Percentual de projetos seguindo padrões e práticas de gerenciamento; ! Percentual de gerentes de projeto certificados ou treinados;

Page 7: Governana de TIC e Cobit

! Percentual de projetos recebendo revisões após a implementação; ! Percentual de participações dos stakeholders em projetos (índice de envolvimento).

DIRETRIZES DE AUDITORIA (AUDIT GUIDELINES) O COBIT fornece Diretrizes de Auditoria para ajudar os auditores internos e externos a avaliarem a performance da organização. “Está tudo bem? E se não estiver, o que fazer para corrigir?”.

Estrutura do Processo de Auditoria A estrutura do processo de auditoria geralmente aceita compreende 4 estágios:

Requisitos para a Auditoria de Processos

Tendo definido o que será auditado e fornecido segurança, é hora de determinar a forma ou estratégia mais adequada para executar a auditoria. Para isto o COBIT sugere seguir os seguintes requisitos para a auditoria de processo.

Page 8: Governana de TIC e Cobit

Auditoria de Processos de TI

Um processo de TI é auditado através da: Obtenção do entendimento dos riscos relacionados com os requisitos de negócio e medidas de controle relevantes. Avaliação dos controles determinados, avaliando se estes são apropriados. Avaliação de conformidade através de testes que verifiquem se o controle determinado está funcionando

como previsto, de forma consistente e contínua. Substanciação dos riscos dos objetivos de controle que não estão sendo atingidos através de análises

técnicas ou consultando outras fontes alternativas. Práticas de Controle As Práticas de Controle estende a capacidade do COBIT, fornecendo aos usuários um nível adicional de detalhes. Os processos de TI do COBIT, requisitos de negócios e objetivos de controle definem o que precisa ser feito para implementar uma estrutura de controle efetiva. As práticas de controle de TI fornece mais detalhes de como e porque são necessárias para a administração, provedores de serviços, usuários finais e profissionais de controle, para implementar controles específicos baseados na analise de operações e riscos de TI.

Page 9: Governana de TIC e Cobit

O Relacionamento entre os Processos do COBIT Em cada processo do Cobit há um grupo de entradas e saídas que permitem a inclusão, implementação e

desenvolvimento de outros processos posteriormente. Cada saída tem relação com outros processos do

COBIT que estão respectivamente apresentados no guia de gerenciamento na seção relativa a cada processo.

Para alcançar um resultado adequado na implementação de cada processo, a saída do processo deveria ser

automaticamente considerada imprescindível. Desta forma, essa compreensão nos levaria a acreditar que a

adoção de mais processos é extremamente importante.

De Entradas Saídas Para

PO5 Relatórios Custo Benefício Plano Estratégico de TI PO8, PO9, AI1, DS1

PO9 Avaliação de Risco Plano Tático de TI PO9, AI1, DS1

COBIT 4.1 explica que “as entradas do processo são o que o dono do processo necessita dos outros

processos” e que “as saídas do processo são o que o dono do processo tem que entregar”. A partir disto,

podemos concluir que a relação entre os processos do COBIT deveriam ser consideradas para alcançar

sucesso na implementação do mesmo.

O gráfico mostra o Relacionamento entre os processos e suas Entradas e Saídas (ver Apêndices C).

Os números de Entradas e Saídas entre os Dominós do COBIT.

Page 10: Governana de TIC e Cobit

Na matriz apresentada em seguida, estão incluídas as entradas e saídas relacionadas a cada processo do

COBIT, ela funcionará como um guia que mostra as relações entre os processos e ajudará aos clientes a criar

um roteiro para futuros processos a serem adotados. Isso possibilitará a venda de mais soluções, serviços e

licenças.

No domínio do PO encontra-se o maior número de saídas, 186, número superior a três vezes o número de

saídas dos outros domínios. Isso mostra a importância que o COBIT dá ao planejamento e a organização. Mais

que nunca, é importante lembrar que o COBIT é orientado por um ciclo de vida, ou seja, exige constante

reavaliação e melhoria. Os quatro domínios são organizados de acordo com o PDCA (Planejar, fazer, verificar,

agir). Começando com o planejamento (o domínio planejar e organizar [PO]), passando pela distribuição

(domínio de adquirir e implementar [AI]), então executando o que foi determinado (domínio de entregar e

suporte [DS]), e finalmente monitorando e avaliando os resultados (domínio de monitorar e avaliar [ME]). O

domínio PO é justamente o ponto de partida para o continuo aprimoramento do processo.

Saída

PO AI DS ME

En

tra

da PO 55 7 8 12 82

AI 45 16 10 0 71

DS 66 19 27 1 113

ME 20 2 13 6 41

186 44 58 19 Total

Objetivos de controle O Framework de Controle do Cobit, composto por 4 Domínios e 34 Processos de TI, tem 2 focos: 1. Fornecer informações necessárias para suportar os objetivos e requisitos de negócio; 2. Tratar informações como sendo o resultado combinado de aplicações de TI e recursos que precisam ser

gerenciados por processos de TI.

Modelo de processo do Cobit O modelo do Cobit contempla 34 processos definidos em 4 domínios. Estes processos podem ser aplicados em vários níveis da organização. Por exemplo, alguns destes processos podem ser aplicados ao nível corporativo, outros ao nível de função de TI e outros ao nível do responsável pelo processo de negócio.

Page 11: Governana de TIC e Cobit

Os Processos

Monitorar e Avaliar•ME1 Monitorar e Avaliar a Performance de TI

•ME2 Monitorar e Avaliar Controle Interno

•ME3 Assegurar Conformidade Regulatória

•ME4 Fornecer Governança de TI

Planejar e Organizar•PO1 Definir um Plano Estratégico de TI

•PO2 Definir a Arquitetura de

Informação

•PO3 Determinar a Direção Tecnológica

•PO4 Definir Processos de TI,

Organização e

•Relacionamento

•PO5 Gerenciar o Investimento em TI

•PO6 Comunicar Metas e Diretivas

Gerenciais

•PO7 Gerenciar Recursos Humanos

•PO8 Gerenciar Qualidade

•PO9 Avaliar e Gerenciar Riscos

•PO10 Gerenciar Projetos

Adquirir e Implementar•AI1 Identificar soluções

•AI2 Adquirir e manter software aplicativo

•AI3 Adquirir e manter arquitetura tecnológica

•AI4 Desenvolver e manter procedimentos de TI

•AI5 Obter Recursos de TI

•AI6 Gerenciar mudanças

•AI7 Instalar e certificar Soluções e Mudanças

Entregar e Suporte•DS1 Definir níveis de Serviços

•DS2 Gerenciar Serviços de Terceiros

•DS3 Gerenciar Performance e Capacidade

•DS4 Garantir Continuidade dos

Serviços

•DS5 Garantir Segurança dos Sistemas

•DS6 Identificar e Alocar Custos

•DS7 Educar e Treinar usuários

•DS8 Gerenciar Serviços de Suporte e Incidentes

•DS9 Gerenciar a Configuração

•DS10 Gerenciar Problemas

•DS11 Gerenciar Dados

•DS12 Gerenciar os Ambientes Físicos

•DS13 Gerenciar Operações

Page 12: Governana de TIC e Cobit

Os Detalhes dos Processos

1. Planejamento e Organização - PO Objetivo: Este domínio cobre estratégias e táticas, e se preocupa com a melhor forma com a que TI pode contribuir para atingir os objetivos do negócio. Além disto, a realização da visão estratégica precisa ser planejada, comunicada e gerenciada por diferentes perspectivas. Escopo do Domínio: Alinhamento estratégico / empresa - TI

Objetivos de controle de alto nível

PO1 Definir um Plano Estratégico de TI O planejamento estratégico da TI é essencial para que se possa gerenciar e direcionar corretamente a atuação da área de forma alinhada com as necessidades estratégicas da organização. Priorização de projetos e proatividade na busca de soluções para:

Melhoria de processos Redução de custos Criação de diferenciais competitivos Criação de barreiras de entrada Inovação

A participação efetiva da alta direção das áreas de negócio é essencial. A TI não decide sozinha, ela é sempre parceira. A TI deve estar alinhada estrategicamente com a organização, traduzindo necessidades de negócio em oferta de serviços.

PO2 Definir a Arquitetura de Informação A TI deve criar e atualizar regularmente o modelo de informação de negócios e definir os sistemas apropriados para otimizar o uso das informações. Este processo tem como missão aumentar a responsabilidade pela integridade e segurança dos dados. Desta forma provê o fortalecimento, a efetividade e o controle do compartilhamento das informações disponibilizadas pelas aplicações e entidades.

PO3 Determinar a Direção Tecnológica A missão básica deste processo é a de determinar a direção tecnológica que dará suporte aos negócios. Isso requer a criação de uma infra-estrutura tecnológica e um quadro de arquitetura – devidamente atualizados – que estabeleça e gerencie expectativas claras e reais de qual tecnologia deverá ser disponibilizada através dos produtos, serviços e mecanismos de prestação desses serviços.

PO4 Definir Processos de TI, Organização e Relacionamento Este processo visa definir e organizar a TI orientada a processos, considerando as exigências da equipe técnica, conhecimentos, funções, comprometimento, autoridade, papéis, responsabilidades e supervisão. Assegura transparência, envolvimento e controle de Executivos Sênior e Gerências de Negócio.

PO5 Gerenciar o Investimento em TI O objetivo deste processo é o de estabelecer e manter uma estrutura capaz de gerenciar os programas de investimentos em TI, de forma que abranja os custos, benefícios e a priorização dentro de um orçamento em um processo formal de gerenciamento.

Page 13: Governana de TIC e Cobit

Identificar e controlar os custos totais dos benefícios; Visar parceria entre a TI e os financiadores do negócio; Prover transparência e segurança do custo total da propriedade; Compreender os benefícios existentes no negócio; Perseguir ROI – Retorno sobre os Investimentos.

PO6 Comunicar Metas e Diretivas Gerenciais A gerência deverá desenvolver uma estrutura de controle empresarial, definir e comunicar políticas. Um programa de comunicação deverá ser implementado e executado para articular a missão, os serviços e objetivos, políticas e procedimentos, etc., aprovado e suportado pela gerência. A comunicação deverá suportar os objetivos de TI e assegurar a consciência e a compreensão dos riscos do negócio de TI, seus objetivos e direcionamentos. O processo deverá assegurar conformidade com leis e regulamentos relevantes.

PO7 Gerenciar Recursos Humanos O objetivo deste processo é o de adquirir, manter e motivar um trabalho competente para a criação e prestação de serviços de TI ao negócio, através da definição e acordo de práticas que dão suporte ao recrutamento, avaliação de performance e promoção.

PO8 Gerenciar a Qualidade Um sistema de gerência de qualidade deverá ser desenvolvido e mantido, o qual deve incluir o desenvolvimento e aquisição de processos e padrões. Através do planejamento e implementação é permitido manter a qualidade do sistema de gerenciamento, fornecendo exigências, procedimentos e políticas de qualidade. As exigências de qualidade deverão ser indicadas e comunicadas em indicadores que possam ser medidos e arquivados. A melhoria contínua é conseguida por meio da monitoração, análise e ações nos desvios e, comunicando aos interessados os resultados. A gerência da qualidade é essencial para assegurar que TI esteja entregando e agregando valor ao negócio, auxiliando na melhoria contínua e na transparência para partes interessadas.

PO9 Avaliar e Gerenciar Riscos O objetivo deste processo é criar e manter uma estrutura de gerenciamento de riscos. A estrutura documenta um acordo comum dos níveis de riscos em TI, estratégias de mitigação e aceitação dos riscos residuais. Todo o impacto potencial nos objetivos da organização causada por um evento não planejado deve ser identificado, analisado e avaliado. As estratégias de mitigação de riscos devem ser adotadas para minimizar o risco residual a um nível aceitável. O resultado da avaliação deverá ser compreensível às partes interessadas e ser expressado em termos financeiros, para permitir que as partes interessadas alinhem o risco a um nível de tolerância aceitável.

PO10 Gerenciar Projetos Este processo tem como objetivo estabelecer uma estrutura de gerenciamento de projetos de TI. A estrutura deverá assegurar:

A priorização correta e a coordenação de todos os projetos; Garantir o gerenciamento de riscos; Agregação de valor para o negócio; Redução dos riscos de custos inesperados; Redução dos cancelamentos de projetos; Melhoria da Comunicação; Assegurar o valor e qualidade das entregas de projetos; Maximizar sua contribuição para os programas de investimento da TI.

Page 14: Governana de TIC e Cobit

2. Aquisição e Implementação - AI

Objetivo: Para conseguir cumprir a estratégia de TI, as soluções de TI precisam ser identificadas, desenvolvidas ou adquiridas, e implementadas e integradas nos processos de negócio. O domínio da Aquisição e Implementação cobre mudanças e manutenções nos sistemas existentes para assegurar que eles operem sem interrupções. Escopo do Domínio: Novos projetos Empresa

Objetivos de controle de alto nível

AI1 Identificar soluções A necessidade de uma nova aplicação ou função requer a análise, antes da aquisição ou criação, para assegurar que as exigências do negócio sejam satisfeitas. Este processo cobre a definição das necessidades, consideração de fontes alternativas, revisão da prática tecnológica e econômica, execução de uma análise do risco, análise custo-benefício, e uma conclusão final de como fazer ou comprar. Todas estas etapas permitem minimizar o custo das organizações para adquirir e executar soluções que assegurem a conquista dos objetivos do negócio.

AI2 Adquirir e manter software aplicativo As aplicações devem ser disponibilizadas em alinhamento às exigências do negócio. Este processo cobre os projetos de aplicações, controles apropriados e exigências de segurança, desenvolvimento e configuração padronizados. Permitindo assim que as organizações tenham suporte operacional apropriado ao negócio com aplicações automatizadas adequadas.

AI3 Adquirir e manter arquitetura tecnológica As organizações devem ter processos para a aquisição, implementação e atualização da infra-estrutura de tecnologia. Isto requer um planejamento de aquisições, manutenção e proteção da infra-estrutura alinhadas às estratégias acordadas, além do fornecimento de um ambiente de desenvolvimento e testes. Com isso busca-se assegurar a sustentação da tecnologia e das aplicações de negócio.

AI4 Desenvolver e manter procedimentos de TI O conhecimento sobre os novos sistemas deve ser disponibilizado. Este processo requer a produção de documentações e manuais para os usuários da TI, além de fornecer o treinamento necessário para assegurar o uso e operação corretos das aplicações e da infra-estrutura.

AI5 Obter Recursos de TI Os recursos de TI, incluindo pessoas, hardwares, softwares e serviços, devem ser adquiridos. Para tanto, devem ser definidos os esforços necessários e implementar os procedimentos para seleção de fornecedores, definição de modelos contratuais e aquisições. É necessário assegurar que a organização tenha todos os recursos necessários de TI, no tempo e no custo correto.

AI6 Gerenciar mudanças Todas as mudanças, incluindo manutenções de emergência e correções, relacionadas com a infra-estrutura e aplicações dentro do ambiente de produção, devem ser formalmente controladas. As mudanças (incluindo procedimentos, processos, parâmetros de sistemas e serviços) devem ser registradas, avaliadas e autorizadas, além de revisadas antes de suas execuções. Esse procedimento assegura a mitigação de que riscos impactem negativamente na estabilidade ou na integridade do ambiente de produção.

Page 15: Governana de TIC e Cobit

AI7 Instalar e certificar Soluções e Mudanças Os novos sistemas devem ser operacionais, uma vez que o desenvolvimento foi finalizado. É necessário testes apropriados, definições e instruções de migração, planejamento da entrega e implementação para produção, além de revisões pós-implantação. Isso garante que a operação dos sistemas esteja de acordo com as expectativas e resultados acordados.

3. Entregar e suporte - DS Objetivo: Este domínio se preocupa com as entregas reais dos serviços requeridos que abrangem as operações tradicionais sobre aspectos de segurança e continuidade até treinamento. Para poder entregar os serviços será necessário criar processos de suporte. Este domínio também inclui o processamento de dados pelos sistemas de aplicações. Escopo do Domínio: Serviços de TI – Prioridades de Negocio.

Objetivos de controle de alto-nível

DS1 Definir níveis de Serviços Uma comunicação eficaz entre a gerência de TI e os clientes do negócio permite a definição de uma documentação a respeito dos serviços e acordos de TI necessários, além da manutenção dos acordos de níveis de serviço. Este processo inclui também a monitoração e elaboração de relatórios dos níveis e serviços aos interessados e envolvidos. Este processo auxilia no alinhamento entre os serviços de TI e as exigências do negócio.

DS2 Gerenciar Serviços de Terceiros A necessidade de assegurar que os serviços fornecidos por terceiros estejam de acordo com os requisitos da empresa, requer um processo eficaz para a gerência de terceiros. Este processo é realizado claramente com definições de papéis, responsabilidades e expectativas dos acordos com terceiros, assim como revisões e monitoramento constante com o objetivo de manter a conformidade e eficácia dos acordos de serviço estabelecidos. Uma eficiente gerência de serviços de terceiros minimiza os riscos do negócio associados a não execução dos serviços dos fornecedores.

DS3 Gerenciar Performance e Capacidade A necessidade de gerenciar o desempenho e a capacidade dos recursos de TI requer um processo de revisões periódicas do desempenho e das capacidades atuais dos recursos de TI. Este processo inclui os planos de necessidades atuais e futuras baseados em exigências atuais de armazenamento e de contingência. Este processo garante que os recursos suportem as exigências do negócio e que sempre se mantenham continuamente disponíveis.

DS4 Garantir Continuidade dos Serviços A necessidade de fornecer serviços de TI contínuos, requer desenvolver, manter e testar planos de continuidade em TI, além de sites backup, treinamentos periódicos relacionados ao plano de continuidade. Um processo eficaz de serviços contínuos minimiza a probabilidade e o impacto de uma interrupção dos serviços de TI, o que deve impactar em processos chaves do negócio.

DS5 Garantir Segurança dos Sistemas A necessidade de manter a integridade da informação e proteger os ativos de informática requerem um processo seguro de gerenciamento. Este processo inclui a definição e manutenção de papéis e responsabilidades de

Page 16: Governana de TIC e Cobit

segurança da TI, políticas, normas e processos. O gerenciamento da segurança inclui a execução de testes e o monitoramento periódico da segurança, e a implementação de ações corretivas, com o objetivo de identificar fraquezas de segurança ou incidentes identificados. A administração efetiva da segurança protege os ativos de TI e minimiza o impacto para a organização em caso de vulnerabilidades de segurança e incidentes.

DS6 Identificar e Alocar Custos A necessidade de um sistema justo para a atribuição dos custos de TI, requer que seja definida uma medida precisa dos custos e a concordância dos envolvidos de que essa é uma alocação justa. Este processo inclui a construção e operação de um sistema para capturar, alocar e informar os custos de TI aos envolvidos. Um sistema justo de alocação e distribuição de recursos permite a organização tomar decisões mais assertivas em relação ao uso da TI.

DS7 Educar e Treinar usuários Uma educação efetiva de todos os clientes da TI, incluindo-se a equipe de TI, requer que sejam identificados precisamente as necessidade de treinamento de cada grupo. Além de identificar tais necessidades, este processo inclui a definição e execução de uma estratégia efetiva de treinamento e medição dos resultados. Um programa de formação bem definido e implementado, proporciona o aumento do uso efetivo dos recursos de tecnologia, a diminuição dos erros de operação e a elevação da produtividade e aderência aos controles.

DS8 Gerenciar Serviços de Suporte e Incidentes Uma resposta pontual e efetiva para as ocorrências, necessita que seja definida e gerenciada uma estrutura de suporte que lide de forma eficaz com os processos e o gerenciamento dos incidentes. Este processo inclui a definição da função de suporte, o registro de ocorrências, o seu nível de importância, análise de causa-efeito e a resolução em si. Os benefícios empresariais podem ser medidos pelo aumento da produtividade e por uma resolução mais rápida das solicitações. Além disso, viabiliza-se trabalhar na causa efetiva das ocorrências, como por exemplo, necessidade de treinamento.

DS9 Gerenciar a Configuração Para assegurar a integridade do hardware e as configurações de software, é necessário a criação e manutenção de um repositório preciso e completo das configurações. Este processo é composto pela coleta e configuração inicial das informações, estabelecimento de uma linha de base, verificação e auditoria das informações de configuração, e por fim a atualização periódica do repositório de configurações. A administração efetiva das configurações auxilia na oferta de uma maior disponibilidade dos sistemas, reduz o número de ocorrências, e facilita as suas soluções quando ocorrem.

DS10 Gerenciar Problemas A administração efetiva de ocorrências requer a sua correta e precisa identificação e classificação, assim como uma análise da raiz da causa e a própria resolução de problemas. O processo de administração de “problemas” também inclui a identificação de recomendações para que seja possível a evolução, manutenção de um registro das ocorrências e a revisão do status das ações corretivas. Um processo de administração de problema efetivo melhora sensivelmente os níveis de serviço, reduz custos e melhora relação entre os clientes da TI, e a sua satisfação geral com os serviços oferecidos.

DS11 Gerenciar Dados O gerenciamento dos dados requer a identificação das necessidades de gerenciamento sobre os mesmos. O processo de gerenciamento de dados também inclui a definição de processos efetivos para gerenciar a biblioteca de mídia, backup e recuperação de dados, e a própria disposição das mídias. O gerenciamento efetivo dos dados assegura a qualidade, e a disponibilidade dos dados no momento necessário.

Page 17: Governana de TIC e Cobit

DS12 Gerenciar os Ambientes Físicos Proteção para equipamentos e ativos, requer instalações físicas bem-projetadas e bem-administradas. O processo de gerenciamento do ambiente físico inclui a definição das necessidades físicas do local, projeto, definição e seleção de instalações apropriadas, além de processos efetivos para monitorar fatores ambientais e o acesso físico às instalações. A administração efetiva do ambiente físico reduz interrupções provocadas por danos nos equipamentos e pessoas.

DS13 Gerenciar Operações O processamento completo e preciso de dados requer uma administração efetiva das atividades de processamento de dados e manutenção de hardware. Este processo inclui a definição de políticas de operações e processos para administração efetiva de processamento agendado, proteção de “saídas” importantes, monitoramento da infra-estrutura e manutenção preventiva de hardware. O gerenciamento efetivo das operações ajuda na manutenção da integridade de dados e reduz os atrasos e custos operacionais da TI.

4. Monitoração e avaliação Objetivo: Este é o domínio que controla os processos de TI que devem ser avaliados regularmente nos aspectos de qualidade e conformidade. Escopo do Domínio: TI ! Performance

Objetivos de controle de alto-nível

ME1 Monitorar e Avaliar a Performance de TI Um efetivo gerenciamento do desempenho da TI requer um processo de monitoramento bem definido. Este processo inclui a definição de indicadores de desempenho relevantes, um relatório sistemático e periódico de desempenho, e ações nos pontos de desvio. O monitoramento é necessário para assegurar que as “coisas”/ações são terminadas e estão alinhadas com as direções e políticas definidas.

ME2 Monitorar e Avaliar Controle Interno Estabelecer um programa de controle interno efetivo para a TI requer um processo de monitoramento bem definido. Este processo inclui o monitoramento e relatórios de controle de exceções, resultado de auto-avaliações e revisões de terceiros. Um benefício fundamental do monitoramento e controle interno é dar garantias sobre a efetividade e eficiência das operações e aderência as leis e regulamentos.

ME3 Assegurar Conformidade Regulatória A omissão ou não existência de regulamentos efetivos requer que sejam estabelecidos processos de revisão independente para assegurar a aderência a leis e regulamentos. Este processo inclui a definição de um plano de auditoria, um auditor independente, padrões de ética profissional, planejamento, execução de trabalho de auditoria e acompanhamento das atividades de auditoria. O propósito deste processo é garantir e assegurar que as iniciativas de Ti estão de acordo com as leis e regulamentos.

ME4 Fornecer Governança de TI Estabelecer um framework de governança efetivo inclui a definição de estruturas organizacionais, processos, modelos de liderança, papéis e responsabilidades para assegurar que os investimentos da unidade de TI estejam alinhados e forneçam os serviços de acordo com os objetivos e estratégias da organização.

Page 18: Governana de TIC e Cobit

VAL – IT

Introdução Os Investimentos na área de tecnologia da informação (TI) continuam a crescer à medida que os negócios enfrentam competição, expectativas e a necessidade de estarem em conformidade com as regulamentações vigentes. Considerada por muitos como “caixa preta”, a área de TI tem suas ações e iniciativas pouco conhecidas dentro das organizações. Na maioria das empresas, não existe alinhamento das estratégias de TI com as estratégias de negócios. É um setor que necessita enorme quantidade de recursos, que tem linguagem própria de difícil entendimento pela organização. Só um novo sistema de gestão pode trazer esse conhecimento mais amplo dos objetivos de TI. Apenas com novas práticas de governança será possível fazer a adequação da TI com a estratégia de negócios das organizações. Em sua essência, a governança determina quem toma decisões. Mas para se tomar decisões é necessário que haja informações, controles, processos e procedimentos, em uma cadeia de responsabilidades de comportamentos desejáveis no âmbito da TI. Quanto mais rápido e preciso for a informação, mais eficaz é a gestão e o direcionamento da área de TI e do negócio para o sucesso. Todos estes controles, também configuram a transparência das instituições para com os seus investidores, conselhos e diretoria executiva mostrando a real aplicação dos recursos e o retorno esperado/alcançado até o momento. Para tal, a Governança de TI provê estruturas e processos que buscam garantir que a Tecnologia da Informação suporte e leve os objetivos e estratégias da organização a demonstrarem seu valor máximo. É um conjunto de processos e controles relacionados com o alinhamento entre as Estratégias Corporativas e as Estratégias de Tecnologia da Informação de uma organização, garantindo melhorias operacionais, vantagens competitivas, redução dos riscos e otimização dos custos. É preciso que os relacionamentos organizacionais sejam maduros e responsáveis. Deve existir cumplicidade entre TI e os processos de negócios. A cultura organizacional da empresa deve estimular a comunicação clara entre as diversas áreas e a troca de experiências entre as pessoas de negócios e as de TI. Os princípios da governança de TI podem ser expressos da seguinte forma:

a. Governança de TI é agregação do valor e o gerenciamento dos riscos; b. Agregação de valor, que incorpora o conceito de retornos relacionados ao risco é, talvez, a mais

importante; c. Não é possível obter a agregação do valor sem o alinhamento estratégico, o gerenciamento de

riscos e o gerenciamento de recursos;

Page 19: Governana de TIC e Cobit

d. É impossível fornecer a transparência do sucesso ou da falha sem a medição de desempenho;

O IT Governance Institute (ITGI) define que agregação de valor é a execução da proposição de valor através do tempo ou ciclo de entrega, assegurando que a TI entregue os benefícios prometidos de acordo com a estratégia, concentrando-se em otimizar custos e comprovar seu valor intrínseco. A principal responsabilidade dos diretores e gerentes de qualquer empresa é garantir que o valor para os stakeholders (as partes interessadas) seja obtido através de investimentos e de alocação de recursos provenientes das decisões-chaves. E para que este valor possa ser alcançado é necessário: " Prover estruturas de relacionamentos e processos para dirigir e controlar a organização para alcance de

seus objetivos (agregar valor) " Permitir controlar a execução e a qualidade dos serviços " Viabilizar o acompanhamento de contratos internos e externos " Definir as condições para o exercício eficaz da gestão com base em conceitos consolidados de

qualidade; " Equilibrar os riscos em relação ao retorno da tecnologia de informação e a seus processos;

O que é VAL-IT e seu relacionamento com Cobit Lançado em Março de 2006, VAL-IT é uma iniciativa que tem o objetivo de corresponder às necessidades das organizações em otimizar a realização de valor de investimentos da TI. A iniciativa se baseou na experiência coletiva de profissionais e acadêmicos, nas práticas, metodologias existentes e emergentes e na pesquisa para desenvolver a estrutura VAL-IT. O trabalho da equipe foi revisado e melhorado por um grupo mais amplo de conselheiros globais, incluindo organizações escolhidas para endossar os trabalhos da iniciativa. A finalidade do VAL-IT é permitir que os gerentes consigam aumentar o valor de negócio via investimentos de TI, fornecendo uma estrutura de governança. VAL-IT é intimamente integrado com o Cobit versão 4, da ISACA. A diferença entre eles é que o VAL-IT estende e complementa o Cobit, o qual prove uma estrutura de controle compreensível de governança de TI. Especificamente, VAL-IT foca nas decisões de investimento (estamos fazendo as coisas certas?) e o alcance de vantagens (estamos tendo vantagens?), enquanto Cobit foca na execução (estamos fazendo de forma correta, e estamos fazendo de forma adequada?)

Princípios do VAL-IT

" Os investimentos de TI serão gerenciados como um portfólio de investimentos; " Os investimentos de TI incluirão o escopo completo das atividades necessárias para conseguir o valor do

negócio; " Os investimentos de TI serão gerenciados através de seu ciclo de vida econômico;

Page 20: Governana de TIC e Cobit

" As práticas da agregação de valor sugerem a existência de diversas categorias de investimentos que serão avaliadas e gerenciadas diferentemente;

" As práticas da agregação de valor definirão e monitorarão as métricas chaves e responderão rapidamente todas as mudanças ou desvios;

" As práticas da agregação de valor envolverão todos os stakeholders e atribuirão o accountability apropriado para a entrega das potencialidades e da realização de benefícios ao negócio;

" As práticas da agregação de valor serão monitoradas constantemente, avaliadas e melhoradas.

Os Processos do VAL-IT Para se obter retorno sobre o investimento, os princípios do VAL-IT devem ser aplicados pelos stakeholders nos seguintes processos:

Value Governance " Governança de Valor Portfolio Management " Gestão de Portfólio Investment Management " Gestão de Investimento

Page 21: Governana de TIC e Cobit

Value Governance (VG)

O objetivo da Governança de Valor é otimizar o valor da organização e os investimentos de uma TI capacitada por meio dos seguintes passos:

Estabelecer uma estrutura de governança, monitoramento e controle;

Fornecer orientação estratégica para os investimentos;

Definir as características do portfólio de investimentos

Portfólio Management (PM)

O objetivo da Gestão de Portfólio é garantir que todos os portfólios de investimento de uma TI capacitada da organização estejam alinhados e contribuindo com o valor ótimo para os objetivos estratégicos da organização:

Estabelecer e gerenciar os perfis de recursos;

Definir limite de investimentos;

Avaliar, priorizar e selecionar (deferir ou rejeitar) novos investimentos;

Gerenciar o portfólio global;

Monitorar e reportar o desempenho do portfólio.

Investment Management (IM)

O objetivo da Gestão de Investimentos é garantir que as programações individuais dos investimentos, de uma TI capacitada da organização, agreguem o valor otimizado de custo/benefício com um nível conhecido e aceitável de risco:

Identificar as necessidades do negócio;

Desenvolver um entendimento claro sobre possíveis programações de investimento;

Analisar as alternativas;

Definir as programações e documentar em detalhes business case, incluindo os detalhes dos benefícios;

Designar com clareza accountability e propriedade;

Gerenciar a programação por meio do ciclo completo da vida econômico;

Monitorar e reportar o desempenho da programação.

Page 22: Governana de TIC e Cobit

Agregando valor aos seus investimentos através de metodologias Os investimentos em tecnologia, com freqüência, são mais dispendiosos do que aparentam ser no início e o valor que fornecem é ainda mais complicado de medir e demonstrar. Nos últimos anos, as empresas investiram em TI para reduzir custos, aumentar a produtividade e/ou vencer desafios de negócio específicos. Os gestores sofrem muita pressão para justificar o orçamento e aplicar uma mensuração de valor que talvez não seja clara. Uma maneira de tornar o valor de TI mais óbvio é adotar uma metodologia de avaliação. CIOs que adotaram estas metodologias dizem que ajudam a estabelecer uma conexão clara entre TI e estratégia de negócio. Em última instância, ajudam a obter mais recursos para TI e gastá-lo onde é mais benéfico.

Value Governance (VG)

VG1 Garantir liderança informada e comprometida

VG2 Definir e implementar processos

VG3 Definir papéis e responsabilidades

VG4 Garantir accountability apropriada e aceitável

VG5 Definir requisitos de informação

VG6 Estabelecer requisitos de relatórios

VG7 Estabelecer estruturas organizacionais

VG8 Estabelecer rumo estratégico

VG9 Definir categorias de investimentos

VG10 Determinar o alvo do mix de portfólio

VG11 Definir critérios de avaliação por categoria

Investment Management (IM)

IM1 Desenvolver uma definição de alto-nível de oportunidade de investimento

IM2 Desenvolver uma programação inicial sobre business case conceitual

IM3 Desenvolver claro entendimento das programações candidatadas

IM4 Executar análises alternativas

IM5 Desenvolver um plano de programação

IM6 Desenvolver um plano de benefícios a serem realizados

IM7 Identificar o ciclo de vida completo de custos e benefícios

IM8 Desenvolver programação detalhada do business case

IM9 Atribuir de forma clara accountability e propriedade

IM10 Iniciar, planejar e executar a programação

IM11 Gerenciar a programação

IM12 Gerenciar/acompanhar benefícios

IM13 Atualizar o business case

IM14 Monitorar e relatar sobre o performance da programação

IM15 Encerrar programação

Portfolio Management (PM)

PM1 Manter inventário de recursos humanos

PM2 Identificar requisitos de recursos

PM3 Realizar análise de GAP

PM4 Desenvolver um planejamento de recursos

PM5 Monitorar requisitos de recursos e sua utilização

PM6 Estabelecer um limite de investimento

PM7 Avaliar a programação inicial do conceito de negócios

PM8 Avaliar e atribuir uma pontuação relativa para a programação dos business cases

PM9 Criar uma visão geral do portfólio

PM10 Tomar e comunicar as decisões de investimento

PM11 Realizar ponto de controle de decisão das programações selecionadas

PM12 Otimizar o desempenho do portfólio

PM13 Revisar a prioridade do portfólio

PM14 Monitorar e relatar a performance do portfólio

Page 23: Governana de TIC e Cobit

O componente essencial da governança de TI é garantir que a agregação de valor está sendo obtido via os investimentos de tecnologia da informação. Envolve selecionar investimentos de forma prudente e gerenciá-los através do ciclo de vida: do início ao encerramento. A governança, sem liderança, comprometimento e apoio das instâncias superiores, ficará fadada ao insucesso. Para maximizar o retorno de investimentos, podem ser úteis técnicas como preparação formal de business cases consistentes; atenção a gestão de portfólio e aplicação de métricas (tais como taxa de retorno interna), Net Present Value - NPV, Economic Value Added - EVA, Total Cost of Ownership - TCO, Total Economic Impact – TEI, Rapid Economic Justification – REJ, Payback Period (Período de Retorno) e Value Measuring Methodology (VMM).

Value Measuring Methodology (VMM) O objetivo do VMM é iniciar através do desenvolvimento de uma estrutura de valores, incluindo custos, riscos, retornos tangíveis e intangíveis, atribuir pontuações para cada elemento da estrutura. Uma vez que a pontuação relativa dos diferentes tipos de valores está atribuída e acordada, fica possível examinar alternativas e tomar a decisão “sim” ou “não” de uma forma objetivamente justa e contínua, e revisões de progresso usando uma gama de técnicas de programas de gerenciamento quantitativo tradicional. A abordagem quantitativa do VMM permite revisão da contribuição total de um valor particular através de uma gama de projetos.

Relacionamento do VAL–IT e Cobit com VMM

Value Measuring Methodology apresenta um guia mais específico que o VAL-IT:

Os diferentes tipos de valor (tangíveis e intangíveis) podem ser considerados; e Como comparar tangíveis com intangíveis de projetos individuais para ajudar a manter o equilíbrio.

O VMM é uma metodologia que auxilia os planejadores equilibrando valores tangíveis e intangíveis no momento da tomada de decisão de investimentos e monitora seus benefícios.

Gestão de Portfólio e Portfólio de Investimentos Dado a volatividade do portfólio dos projetos de TI, é essencial adotar ativamente a gestão de portfólio na organização para maximizar a criação de valor e minimizar o risco da destruição do valor. A TI tem uma necessidade especial pela gestão de portfólio, pois, tipicamente, recebe solicitações de trabalho das várias áreas da organização. Dado as pressões por recursos dos outros setores, a gestão de portfólio pode ajudar no processo completo de seleção e priorização, tendo a certeza que o orçamento final aprovado e a carga de trabalho reflitam o melhor uso dos recursos de TI sob a perspectiva da empresa. Raro são as empresas tem possuem os recursos que preencham todas as necessidades do negócio. A resposta para gerenciar a escassez de recursos contra demanda ilimitada é criar uma espécie de processo de priorização para garantir que a TI prove e financie o trabalho que agregue mais valor à empresa. O termo “gestão de portfólio” significa gestão de recursos de forma a maximizar retorno e minimizar riscos. Isso inclui entender as diferentes alternativas de investimentos disponíveis e escolhendo aquelas que alcancem seus

Page 24: Governana de TIC e Cobit

objetivos financeiros e estratégicos. Não se pode encarar cada investimento de forma isolada, mas o contexto completo do portfólio é uma questão de estratégia de negócio. Se o valor (e o alinhamento) está correto, o trabalho será autorizado. Se o valor não for conhecido, o trabalho deverá ser eliminado, reduzido ou atrasado. Este foco de valor é especialmente interessante para a TI, a qual é tradicionalmente vista mais como custo para o negócio do que um alavancador de valor de negócio. Líderes da organização que não compreendem como seus orçamentos são gastos e que não podem validar que o trabalho está sendo financiado é o mais importante, serão submetidos um exame minucioso e adivinhação do futuro. Gestão de portfólio pode ajudar a organização a responder uma das mais básicas, ainda que difícil questão a respeito do trabalho desempenhado e valor adquirido. Abaixo, segue o valor de utilização de uma abordagem de gestão de portfólio para gerenciar seu investimento.

Melhorar alocação de recursos Melhorar a crítica sobre o trabalho Aumentar visibilidade do processo de autorização Diminuir ambigüidade na autorização de trabalho Melhorar alinhamento de trabalho Melhorar equilíbrio de trabalho Mudar foco de custos para investimentos Melhorar colaboração e comunicação Aumentar foco quando “vender” (interromper um projeto) Mostrar os riscos dos investimentos em TI Eliminar a redundância nas iniciativas de TI Monitorar as iniciativas de TI Balizar mudanças de prioridades da empresa que são refletidas na TI

O portfólio permite uma melhor comunicação entre TI e o negócio, já que, como premissa, ele deve ser representado em uma linguagem familiar ao negócio. A tabela mostra o impacto da ausência de um portfólio de TI:

O QUE SIGNIFICA NÃO TER O

PORTFÓLIO DE TI

RESULTADOS NO CURTO PRAZO RESULTADOS PARA O NEGÓCIO

As pessoas relutam em cancelar

os projetos;

Novos projetos são adicionados

sem foco e objetivos claros

Custos crescentes em TI Aumento do time-to-market

Altas taxas de falhas nos produtos

e serviços

Seleção dos projetos com base na Os bons projetos são deixados de Poucos produtos são ganhadores

Page 25: Governana de TIC e Cobit

emoção lado

Não há critérios estratégicos para

a seleção de projetos

Projetos sem direcionamento

estratégico

Novos produtos não estão

alinhados com a estratégia

Para dar um aspecto de negócios aos investimentos em TI é útil considerar seus investimentos nessa área como um portfólio, assim como investidores individuais têm portfólios ou carteiras de investimentos financeiras. A administração do portfólio permite que os tomadores de decisão alinhem seus portfólios com a estratégia da empresa e balanceiem riscos e retorno. Assim como os portfólios de investimento pessoal são reavaliados conforme mudam as metas pessoais, os portfólios de TI são, também, repensados com a mudança das condições da organização. Implementar uma metodologia para administrar seu portfólio de TI requer que o dinheiro para cada projeto ou item orçamentário seja classificado em categorias que reflitam objetivos de negócio. Agrupar os investimentos propostos de acordo com o objetivo do negócio permite que a administração selecione projetos que estejam alinhados ao portfólio e à estratégia empresarial. A disponibilidade de informações sobre o histórico do desempenho dos investimentos da empresa em cada categoria resulta em decisões futuras bem alinhadas aos investimentos. Classificação dos investimentos anuais da empresa facilita a análise estratégica e levanta questões sobre decisões de investimento específicas. O atributo mais importante de um processo bem-sucedido de investimento em TI é garantia de que os gastos da empresa nessa área refletem suas prioridades estratégicas. Os processos de investimento devem reconciliar as demandas das unidades de negócio com aquelas relativas a necessidades corporativas.

Page 26: Governana de TIC e Cobit

Relacionamento com outros Padrões Muitas empresas acham conveniente usar o COBIT porque ele se relaciona com outros frameworks.

Page 27: Governana de TIC e Cobit