Alessandro Almeida | www.alessandroalmeida.com

� Objetivo

� Definições Iniciais

� Governança Corporativa

Governança de TI� Governança de TI

� Frameworks e Modelos

� Praticando a Governança de TI

� Formação e Carreira

� Apresentar o conceito de Governança de TI e

alguns (dos diversos) modelos, certificações e

conjuntos de práticas que podem ser

utilizados para implementá-loutilizados para implementá-lo

O que é “Governança”? (segundo o dicionário Houaiss)

� Governança

� “ato de governar(-se); governo, governação”

� Governar

� “ter mando, direção; dirigir, administrar”

� “tratar devidamente de seus próprios negócios e

interesses”

� “deixar-se influenciar por; orientar-se, regular-se”

� Ganância dos altos executivos

� Omissão das auditorias externas

� Erros estratégicos (concentração de poder)

Abuso de poder� Abuso de poder

� “Conflito de agência”

� Escândalos corporativos

� Enron

� WorldCom

� Tyco

� "Governança corporativa é o sistema que assegura aos sócios-proprietários o governo estratégico da empresa e a efetiva monitoraçãoda diretoria executiva. A relação entre propriedade e gestão se dá através do conselho propriedade e gestão se dá através do conselho de administração, a auditoria independente e o conselho fiscal, instrumentos fundamentais para o exercício do controle. A boa governança corporativa garante eqüidade aos sócios, transparência e responsabilidade pelos resultados (accountability)."

� Transparência

� Equidade

� Prestação de Contas

Responsabilidade Corporativa� Responsabilidade Corporativa

� IBGC, Código das Melhores Práticas de

Governança Corporativa, 2009

� Criada em 2002 por Paul Sarbanes e Michael

Oxley

� Após os escândalos financeiros

Impõe padrões mais elevados de Governança � Impõe padrões mais elevados de Governança

Corporativa

� Auditoria

� Segurança

� Evita ocorrência de fraudes

� A governança de TI é de responsabilidade da

alta administração (incluindo diretores e

executivos), na liderança, nas estruturas

organizacionais e nos processos que organizacionais e nos processos que

garantem que a TI da empresa sustente e

estenda as estratégias e objetivos da

organização

� IT Governance Institute, 2005

� Especificação dos direitos decisórios e do

framework de responsabilidades para

estimular comportamentos desejáveis na

utilização da TIutilização da TI

� Weill e Ross, Governança de Tecnologia da

Informação, 2004

� Capacidade organizacional exercida pelo

conselho, pela administração executiva e pela

administração de TI para controlar a

formulação e implementação da estratégia formulação e implementação da estratégia

de TI e, com isso, assegurar a fusão entre os

negócios e a TI

� Wim Van Grembergen, Introduction to the

Minitrack "IT Governance and Its Mechanisms“,

2002

� Governança de TI

� Integra TI com as áreas de negócio

� Apóia a definição e execução da estratégia

� Atua na definição dos papéis e responsabilidades

� Fornece suporte metodológico

� Atua na gestão de processos de TI

� Cada empresa aplica e entende de uma forma

� Conceito ainda não consolidado

� Muitas vezes, a área é conhecida como:

Metodologia� Metodologia

� Auditoria e Compliance

� Métodos e Processos

� Responsabilidades limitadas

� Quando comparamos com as definições

apresentadas

� Permite que a empresa enxergue o valor da TI

� A informação e a TI são dentre os ativos principais

aqueles menos compreendidos na empresa

� O valor da TI depende mais do que apenas � O valor da TI depende mais do que apenas

uma boa tecnologia

� O alinhamento estratégico entre TI e negócio

pode ser um elemento fundamental para o

sucesso da organização

� TI é cara

� Decisões de TI envolvem diversas áreas

� Novas tecnologias podem gerar novas

oportunidades de negóciooportunidades de negócio

� Muitas vezes, TI é uma área nebulosa e

isolada dentro da empresa

� Investidores procuram empresas com melhor

governança

Entrega de Valor

Gestão de Recursos de TI

Direcionadores

dos Stakeholders

Alinhamento

Estratégico de TIGestão de Riscos

Medição de

Performance

O que devemos considerar na implementação da Governança de TI?

� Lado comportamental

� Relacionamentos e padrões de comportamento

entre diferentes agentes de uma empresa

� Lado normativo� Lado normativo

� Regras que regulam os relacionamentos e

comportamentos, moldando, com isso, a

formação da estratégia corporativa

� Qual é a importância de TI para o negócio?

� Qual é a estratégia da empresa?

� Missão

� Visão

� Planejamento Estratégico

▪ Mapa Estratégico

� Definir o Plano Estratégico de TI

� Como faremos as medições?

� Derivação do Mapa Estratégico?

� Indicadores

Balanced Scorecard

� Acrônimo de “Balanced Scorecard”

� Ferramenta de gestão estratégica

� “Desdobra” a estratégia em todas as áreas da

organizaçãoorganização

� Contempla 4 perspectivas:

� Financeira

� Cliente

� Processos Internos

� Aprendizado e Crescimento

� “Governança corporativa de tecnologia da

informação”

� Criada em 2008

2009: Tradução para o português� 2009: Tradução para o português

� Seis princípios para uma boa governança

corporativa de TI

� Responsabilidade

� Estratégia

� Aquisição

� Desempenho

� Conformidade

� Comportamento Humano

GG

Avaliar

Governança

Corporativa de TI

GGMonitorarDirigir

Projetos TI

Pla

no

s

Po

lític

as

Pro

po

sta

s

De

sem

pe

nh

o

Co

nfo

rmid

ad

eOperações TI

Processos do Negócio

� Control Objectives for Information and

Related Technology

� Representa todos os processos normalmente

encontrados nas funções da TIencontrados nas funções da TI

� Framework de apoio para implementar a

Governança de TI

� Cria uma ponte entre o operacional e o

estratégico

� 34 processos distribuídos entre 4 domínios:

� Project Management Body of Knowledge� Mantido pelo PMI (Project Management

Institute)� Primeira versão publicada em 1996� Primeira versão publicada em 1996� Cinco grupos de processos

� Iniciação

� Planejamento

� Execução

� Monitoramento e controle

� Encerramento

� Framework britânico para gestão de projetos

� Acrônimo de "Projects in Controlled

Environments"

Primeira versão lançada em 1989� Primeira versão lançada em 1989

� Composta por processos, componentes e

técnicas

� Modelo de maturidade

� P3M3: Portfolio, Programme & Project

Management Maturity Model

� Modelos de maturidade mantidos pelo SEI

(Software Engineering Institute)

� Abrangem todo ciclo de vida para o

desenvolvimento de software (CMMI-DEV), desenvolvimento de software (CMMI-DEV),

serviços de TI (CMMI-SVC) e projetos de

aquisição (CMMI-ACQ)

CMMI

CMMI-SVC

CMMI

Model

Foundation

CMMI-DEV CMMI-ACQ

Fonte: -http://www.sei.cmu.edu/cmmi/models/CMMI-Services-status.html

Decision Analysis and Resolution (DAR)

Integrated Project Management +IPPD (IPM)

Organizational Process Definition +IPPD (OPD)

Organizational Process Focus (OPF)

�Organizational Process Performance (OPP)

Quantitative Project Management (QPM)Quantitatively Managed

�Causal Analysis and Resolution (CAR)

Organizational Innovation and Deployment (OID)Optimizing

Processos ad hoc�Initial

Configuration Management (CM)

Measurement and Analysis (MA)

Project Monitoring and Control (PMC)

Project Planning (PP)

Process and Product Quality Assurance (PPQA)

Requirements Management (REQM)

Supplier Agreement Management (SAM)

�Managed

Organizational Process Focus (OPF)

Organizational Training (OT)

Product Integration (PI)

Requirements Development (RD)

Risk Management (RSKM)

Technical Solution (TS)

Validation (VAL)

Verification (VER)

�Defined

� Melhoria de processo do software brasileiro

� www.softex.br/mpsbr

� Foco em micro, pequenas e médias empresas

Custo de implementação e avaliação menor� Custo de implementação e avaliação menor

� Foi definido em conformidade com o CMMI

for Development

� 19 áreas de processos distribuídas em 7 níveis

de maturidade

� Níveis:

G (Parcialmente Gerenciado) até A (Em � G (Parcialmente Gerenciado) até A (Em

otimização)

� Acrônimo de "Information Technology

Infrastructure Library"

� Agrupamento das melhores práticas

utilizadas para o gerenciamento de serviços utilizadas para o gerenciamento de serviços

de TI

� Lançado no final dos anos 80 pelo CCTA

� Central Computer and Telecommunications

Agency

� Seu núcleo é composto por 5 publicações que

englobam todo ciclo de vida do serviço

� Estratégia

� Design

� Transição

� Operação

� Melhoria Contínua

Fonte: http://bit.ly/aYOobx

� Série de normas focadas na segurança da informação

� Atualmente contempla as seguintes normas:� ISO/IEC 27001 – Information Security � ISO/IEC 27001 – Information Security

Management Systems – Requirements;

� ISO/IEC 27002 – Code of Practice for Information Security Management

� ISO/IEC 27006 – Requirements for Bodies Providing Audit and Certification of Information Security Management Systems

Qual é o modelo ideal?

� Cada empresa deve criar o seu, considerando

suas necessidades

� O ideal é aquele que atende a estratégia da

organizaçãoorganização

� Lembrando a pergunta que deve ser

respondida:

� Qual é a importância de TI para a nossa empresa?

ITIL

mps.Br

ISO/IEC 27000ISO/IEC 27000ISO/IEC 27000ISO/IEC 27000

ISO/IEC 20000eSCM-SP

Etc...

ISO/IEC 38500

ITIL

CMMI-DEV

CobiT

ISO/IEC 27000ISO/IEC 27000ISO/IEC 27000ISO/IEC 27000

Val IT

PMBoKPMBoKPMBoKPMBoK

OPM3

PRINCE2eSCM-CL

CMMI-SVC

CMMI-ACQ BSC

Etc...

O que aprendemos e o que já vivenciamos?

� O diagnóstico deve ser muito bem feito

� Foto da situação atual

� Cada doença com seu remédio...

Saiba onde você deseja chegar� Saiba onde você deseja chegar

� Quais são as metas?

� “Por que estamos iniciando esta empreitada?”

� A iniciativa deve estar alinhada com a

estratégia da empresa

� Alguém “forte” na organização deve ser o

padrinho do projetopadrinho do projeto

� Normalmente envolve mudança cultural

� Traga o pessoal de RH para o projeto

� Conte com os “integradores”

� TODOS devem participar (desde analistas até

diretores)

Alguém deve gerenciar a iniciativa� Alguém deve gerenciar a iniciativa

� Seja “subversivo”

� Sempre questionem!

� “Por que fazer assim se podemos fazer diferente?”

� Seja um “herege”

� Cuidado com os “religiosos”!

� “Misture” práticas, metodologias, ferramentas e

etc.etc.

� Comunique!

� Cuidado com aqueles que só estão

preocupados com o “diploma” na parede

� CMMIs... mps.Br... ISOs... Etc...

Cuidado com as "melhores práticas"� Cuidado com as "melhores práticas"

� "Melhor" para quem?

� Não queremos uma ditadura!

� Mas ninguém deseja viver em uma anarquia...

� A carreira é “construída”

� Para atuar com Governança de TI, a experiência é

fundamental

� Dificilmente forma-se um profissional de Governança � Dificilmente forma-se um profissional de Governança

somente com cursos

� Além dos conhecimentos específicos de

Governança...

� vivência em TI, experiência em gestão de mudança

cultural e gestão de processos são muito úteis (ou

fundamentais) para um projeto ser bem sucedido

� Por onde começar?

� Cursos e experiências que podem ser úteis (ou

essenciais):

▪ Graduação e experiência em TI▪ Graduação e experiência em TI

▪ CobiT

▪ Gestão de Processos

▪ Auditoria

▪ ITIL

▪ CMMI e afins

� Livros

� Certificações

Conclusões, dúvidas, comentários e afins

alessandro.almeida@uol.com.br

� Lei Sarbanes-Oxley:

http://pt.wikipedia.org/wiki/Lei_Sarbanes-

Oxley

IBGC: http://www.ibgc.org.br/� IBGC: http://www.ibgc.org.br/

� Código das Melhores Práticas de Governança

Corporativa – 4º Edição:

http://www.ibgc.org.br/CodigoMelhoresPrati

cas.aspxcas.aspx

� Recomendações da CVM Sobre Governança

Corporativa:

http://www.ibgc.org.br/OutrosCodigos.aspx

� A Premium for Good Governance, McKinsey

Quarterly, 2002

� Global Investor Opinio Survey, McKynsey &

Company, 2002Company, 2002

� International Efforts to Improve Corperate

Governance: Why and How, OCDE, 2000

� Board Briefing on IT Governance, ISACA,

Second Edition

� CobiT 4.1, ITGI

ABNT NBR ISO/IEC 38500, 2009� ABNT NBR ISO/IEC 38500, 2009

� BSC: http://pt.wikipedia.org/wiki/BSC