Melhores Práticas em Governança de TI J. Souza Neto, PhD, CGEIT, CRISC Certified in the Governance of Enterprise IT Certified in Risk and Information Systems Control Agenda • Definições de Governança de TI • Norma de Governança de TI • Alternativas de Diagnóstico de Maturidade do CobiT • 10 “Conselhos” Governança pra quê ??? 3 DEFINIÇÕES DE GOVERNANÇA DE TI Uma definição… Kubernán (gr): pilotar um navio – o processo de continuamente orientar e ajustar a direção Autor MITI (1999, p.20) Conceito GTI é a capacidade organizacional para controlar a formulação e implementação da estratégia de TI, e para guiar na direção correta, a fim de conseguir vantagens competitivas para a corporação. Korac-kakabadse e Kakabadse (2001, p.9) GTI se concentra na estrutura das relações e processos a desenvolver, dirigir e controlar os recursos de TI de modo a atingir os objetivos da empresa, gerando valor por suas contribuições, que representam um equilíbrio entre risco e retorno sobre recursos de TI e seus processos Broadbent (2002, p.2) GTI especifica os direitos de decisão e framework de responsabilidades para encorajar comportamentos desejáveis na utilização da TI Schwarz e Hirschheim (2003, p.131) GTI são as estruturas ou arquiteturas de TI implementadas para realizar, com êxito, atividades em resposta aos imperativos ambientais e estratégicos da empresa. Van Grembergen (2003, p.1) GTI é a capacidade organizacional exercida pelo Conselho, Gerência Executiva e Gerência de TI para controlar a formulação e implementação da estratégia de TI e, com isso, assegurar a fusão do negócio e TI. ITGI (2003, p.10) GTI é uma parte integrante da Governança Empresarial e consiste da liderança e da estrutura e processos organizacionais, que assegurem que a TI da organização sustente e estenda suas estratégias e objetivos. Sherer (2004, p.97) Governança de TI é o sistema de estruturas e processos para direção e controle dos sistemas de informação. 6 Governança, Governar governança Acepções ■ substantivo feminino ato de governar(-se); governo, governação governar Acepções ■ verbo 1. dirigir como chefe de governo; exercer autoridade soberana e continuada sobre (outrem); controlar e dirigir a formulação e a administração da política em 2. ter mando, direção; dirigir, administrar 3. controlar, dirigir ou fortemente influenciar as ações e o comportamento de (algo ou alguém) 4. controlar a velocidade e a direção de (cavalgaduras, veículos, máquinas); dominar 5. tratar devidamente de seus próprios negócios e interesses 6. deixar-se influenciar por; orientar-se, regular-se 7. Regionalismo: Sul do Brasil; obedecer (um cavalo) à ação das rédeas 8. Regionalismo: Sul do Brasil; ir na direção de; encaminhar-se, dirigir-se 9. Regionalismo: Sul do Brasil; saber o que faz, ter juízo, funcionar bem 10. Rubrica: termo de marinha; conduzir (embarcação), operando o leme; guiar 7 Matriz de Arquétipos do MIT/Sloan Jogo do Poder ! Arquétipos de Governança Monarquia de Negócio Monarquia de TI Feudalismo Federalismo Duopólio Princípios de TI Contribuição Decisão Arquitetura de TI Contribuição Decisão Estratégia de Infra-Estrutura de TI Contribuição Decisão Necessidades de aplicações de negócio Contribuição Decisão Investimento de TI Contribuição Decisão O CIO consegue governar sozinho a TI ? “...ter a direção da TI responsável tanto pela gestão quanto pela governança de TI é, geralmente, uma situação perdeperde. Quando a direção da TI está usando o seu “chapéu de governança, ela deve tomar decisões sobre quando e onde investir na TI, sem conhecimento suficiente dos negócios da empresa, das suas unidades de negócio e das suas estratégias funcionais. Além disso, a direção da TI toma decisões sobre como priorizar os projetos do seu portafólio, também sem uma compreensão completa de todas as estratégias e suas interdependências”. Gartner Group Gestão de TI x Governança de TI Gestão de TI Governança de TI Gestão de Acordos de Nível de Serviço Reunião mensal com as áreas de negócio para discussão dos resultados dos Acordos de Nível de Serviço Planejamento orçamentário da área de TI Planejamento orçamentário da área de TI definido pelos gestores de TI definido por um Comitê TI-Negócios NORMA DE GOVERNANÇA DE TI Norma internacional ISO/IEC 38500:2008, “International Standard for Corporate Governance of IT” • A norma ISO/IEC 38500 (2008, p.7) propõe um modelo para Governança de TI, prevendo que os executivos governem a TI por meio de três atividades principais – Avaliação-DireçãoMonitoramento, a saber: – Avaliar o uso corrente e futuro da TI; – Dirigir a preparação e implementação de planos e políticas para assegurar que o uso da TI cumpra os objetivos empresariais; – Monitorar a conformidade com as políticas e com o desempenho, em relação ao que foi planejado. O Framework CobiT, de Gestão, Controle e Governança de TI atende à Norma CobiT CMMI ISO27000 PMBoK ITIL ALTERNATIVAS DE DIAGNÓSTICO DE MATURIDADE DO COBIT Modelo de Maturidade do CobiT - ITGI 1 - Diagnóstico de Maturidade dos 34 Processos do CobiT 2 - Diagnóstico de Maturidade dos Atributos O ITGI publicou em 2008 uma metodologia baseada em atributos: • Sensibilização e Comunicação; • Políticas, Planos e Procedimentos; • Ferramentas e Automação; • Responsabilidade e Responsabilização; e • Metas e Mensuração. Tabela de Maturidade de Atributos Resultados de Maturidade 3 - Diagnóstico de Maturidade dos Objetivos de Controle Detalhados PO3 – DETERMINAR DIREÇÃO TECNOLÓGICA PO6 – COMUNICAR DIRETIVAS E METAS GERENCIAIS PO7 – GERENCIAR RECURSOS HUMANOS DE TI PO3.1 5 PO6.1 5 PO7.1 5 4 4 3 3 2 PO3.5 PO3.2 1 PO7.8 2 PO6.2 1 1 PO7.7 0 0 0 PO7.6 PO3.4 PO3.3 Nível de Maturidade 2 PO9 – AVALIAR E GERENCIAR RISCOS DE TI PO6.4 PO9.6 3 2 PO10 – GERENCIAR PROJETOS PO10.13 PO10.2 3 PO10.3 2 PO10.12 PO10.4 1 1 PO9.5 PO10.1 5 4 0 0 PO10.11 PO9.3 PO10.5 PO10.10 PO10.6 PO10.9 PO9.4 Nível de Maturidade 1 PO7.4 PO6.3 Nível de Maturidade 2 PO10.14 PO9.2 PO7.3 PO7.5 PO9.1 5 4 PO7.2 3 2 PO6.5 4 PO10.7 PO10.8 Nível de Maturidade 2 Nível de Maturidade 2 Elaboração de procedimentos de avaliação do nível de maturidade dos Processos (2006) 4 - Maturidade de Processos Operacionais • Mapeamento de 171 processos operacionais da Tecnologia • Análise de maturidade desses processos, segundo o CobiT • Alinhamento dos processos operacionais aos objetivos de controle do CobiT, com respectivas estimativas de maturidade • Pirâmide Invertida P GE GT P GT GE Alinhamento ao CobiT Pag.23 Pag.23 23 Benefícios da Estratégia com Foco em Processos Operacionais • Promoção da Gestão por Processos • Diagnóstico de maturidade dos processos operacionais e dos objetivos de controle detalhados relacionados • Auto-avaliação de Maturidade CobIT – Simplifica e agiliza o diagnóstico 10 “CONSELHOS” 10 Conselhos 1. Faça um diagnóstico de maturidade CobiT no começo e a cada 6 ou 12 meses. – os resultados do diagnóstico são irrefutáveis ! 10 Conselhos 2. Planeje suas ações. Define seus objetivos de longo prazo, onde você quer chegar no futuro. – O território é mais importante que o mapa. Entretanto, sem o mapa, você vai andar a esmo. – “if you do not know where you are going, you cannot find a way to get there and will not know if you have arrived.” 10 Conselhos 3. Não dependa apenas das pessoas, por melhores e mais competentes que sejam. Dependa também dos processos. 4. Institucionalize os processos 10 Conselhos 5. Padronização e Integração devem ser suas regras de ouro. 6. Faça gestão da sua Arquitetura de TI 10 Conselhos 7. O projeto de implantação da Governança de TI deve ser corporativo e impessoal 10 Conselhos 8. Construa parcerias com as outras áreas, compartilhe o poder. – O duopólio deve ser sua meta Matriz de Arquétipos da ECT Arquétipos de Governança Princípios de TI Contribuição Decisão Arquitetura de TI Contribuição Decisão Estratégia de Infra-Estrutura de TI Contribuição Decisão Necessidades de aplicações de negócio Contribuição Decisão Investimento de TI Contribuição Monarquia de Negócio Monarquia de TI Diretoria Colegiada Lideres de TI Lideres de TI Lideres de TI Lideres de TI Lideres de TI DITEC Feudalismo Líderes de Líderes de Ti/Negócio Ti/Negócio Diretorias Diretorias Colegiadas Colegiadas Federalismo Duopólio Decisão Líderes de Líderes de Ti/Negócio Ti/Negócio Líderes de Ti/Comitê Arquitetura de Negócio Líderes de Ti/Negócio 10 Conselhos 9. Mantenha um esforço contínuo de sensibilização (palestras e seminários) e capacitação. 10 Conselhos 10. Atribua responsabilidades Matriz RACI da ECT Melhores Práticas em Governança de TI J. Souza Neto, PhD, CGEIT, CRISC [email protected] Certified in the Governance of Enterprise IT Certified in Risk and Information Systems Control