GESTÃO DE TI
UM ESTUDO DE CASO
Hermes do Amaral Pacheco
[email protected]
www.icomnet.com.br
AGENDA
Introdução
Governança de TI
Modelo COBIT
O caso SEFAZ - SP
INTRODUÇÃO

A informação e a Tecnologia da
Informação como fatores críticos para as
organizações
–
–
–
–
–
Diferencial competitivo
Potencialmente vulneráveis
Consumidoras de capital
Capacidade de propiciar mudanças radicais
Geradoras de expectativas
INTRODUÇÃO

Qual a importância da área de TI para as
organizações? (Acadys e Standish Group, 2001)
–
–
–
–
Departamentos pouco realizadores
Poucas organizações são capazes de avaliar os
retornos da área
Alto grau de insucesso dos projetos
Valor da informação subestimado
GOVERNANÇA DE TI - ABORDAGEM


É um componente da Governança Corporativa
Está focada em:
–
–
–
–
–
Considerar os valores das pessoas ao definir estratégias;
Direcionar os processos que implementam a estratégia;
Assegurar que os processos produzam resultados
mensuráveis;
Informar os resultados e desafios;
Assegurar que os resultados sejam proveitosos.
GOVERNANÇA DE TI - DEFINIÇÃO

O IT Governance Institute define
Governança de TI como:
Uma estrutura de relacionamentos e
processos para orientar e controlar as
empresas na busca de seus objetivos,
adicionando valor e balanceando riscos
e retornos da Tecnologia da Informação
e seus processos.
GOVERNANÇA DE TI - OBJETIVOS

Dirigir e controlar TI enfatizando:
–
–
–
–
–
O potencial de TI para alavancar e influenciar
ativos intangíveis;
O alinhamento entre as estratégias de TI e do
negócio;
A revisão e aprovação dos investimentos em TI;
A garantia de transparência para os riscos
associados a TI;
A medição de performance da TI
COBIT – O que é
(Control Objectives for Information and Related Technology)
COBIT é um modelo de gestão de TI proposto
pelo IT Governance Institute, patrocinado
pela ISACAF (Information Systems Audit and
Control Association Foundations), baseado
em código de melhores práticas.
Primeira edição – 1996
Segunda Edição – 1998
Terceira edição (atual) - 2000
O Modelo COBIT



Apresenta as atividades de TI de forma
estruturada e gerenciável;
É focado em processos e objetivos de
negócio;
É dirigido para usuários, gestores,
responsáveis pelos processos de negócio e
auditores.
COBIT – domínios dos processos
OBJETIVOS DE NEGÓCIO
GOVERNANÇA DE TI
34 Processos
Aproximadamente 314
Objetivos de controle
COBIT
INFORMAÇÃO
MONITORAMENTO
Efetividade
Eficiência
Confidencialidade
Integridade
Disponibilidade
Conformidade
Confiabilidade
PLANEJAMENTO E
ORGANIZAÇÃO
RECURSOS DE TI
ENTREGA E
SUPORTE
Pessoas
Infra-estrutura
Tecnologia
Dados e sistemas
AQUISIÇÃO E
IMPLEMENTAÇÃO
Fonte: IT Governance Institute
IMPLEMENTAÇÃO DO COBIT

Documentação
–
–
–
–

Implementação
–
–

Mapeamento dos processos de negócio
Definição de políticas
Identificação dos objetivos de controle
Definição de diretrizes
Divulgação
Conscientização
Gestão dos processos
–
–
–
–
Benchmarks das práticas de controle de TI (Modelo de Maturidade
– CMM)
Fatores Críticos de Sucesso
Indicadores de Objetivos
Indicadores de Performance
MODELO DE MATURIDADE

São utilizados para controlar os processos de TI,
fornecendo um método para quantificar o nível de
maturidade dos processos. Pode variar de não
existentes (0) a otimizados (5), permitindo mapear o
estágio de cada um dos 34 processos de uma
organização e compará-las com o mercado,
considerando:
–
–
–
–
Qual o estágio atual da organização
Qual o estágio corrente da indústria
Qual o status dos padrões internacionais
Onde a organização quer chegar.
MATURIDADE DOS PROCESSOS DE NEGÓCIO
Não
existe
Inicial
Repetitivo
Definido
Gerenciado
Otimizado
0
1
2
3
4
5
Legenda
Estágio atual da empresa
Status dos padrões Internacionais
0 Não existe
–não existe qualquer processo de Gestão;
1 Inicial
–processos ad hoc e desorganizados;
2 Repetitivo
–os processos seguem um padrão regular;
3 Definido
–os processos são documentados e comunicados;
Estágio corrente da indústria
Estratégia da empresa
4 Gerenciado –Os processos são monitorados e medidos;
5 Otimizado
–As melhores práticas são seguidas e automatizadas.
FATORES CRÍTICOS DE SUCESSO


Define as ações de gerenciamento mais
importantes para obter controle dos
processos de TI.
Define o que precisa ser feito nos níveis
estratégico, tático e operacional.
INDICADORES DE OBJETIVOS

Define medidas ou grandezas que devem ser
obtidas para atender os requisitos do negócio,
geralmente expressas na forma de critérios como:
–
–
–
A disponibilidade da informação necessária para suportar
as necessidades do negócio;
Os riscos da perda de integridade e confidencialidade da
informação;
A relação custo-eficiencia dos processos e operações;
INDICADORES DE PERFORMANCE



Define medidas para determinar quão bem
os processos de TI são executados;
Permite identificar se objetivos serão ou não
alcançados;
São bons indicadores de potencialidades,
boas práticas e habilidades.
O CASO SEFAZ - SP
PROGRAMA DE MODERNIZAÇÃO DA
SECRETARIA DA FAZENDA DO ESTADO
DE SÃO PAULO
1995-2003
CARACTERIZANDO A SEFAZ/SP
9.000 funcionários
 1.000.000 de Contribuinte do ICMS
 13.000.000 de veículos

DADOS DO PROJETO
Abrangência estadual



Sede
16 Unidades Regionais
150 Postos de atendimento
Recursos de infra-estrutura





Mais de 28.000 pontos de rede
Mais de 600 roteadores e 50 switches de grande porte
155 conexões WAN
Mais de 60 servidores Risc
Mais de 5600 estações ligadas à rede
DADOS DO PROBLEMA








Falta de conhecimento das novas tecnologias
Dependência de poucos fornecedores
Profissionais com perfil inadequado
Infra-estrutura inadequada
Sistemas antiquados
Estrutura inadequada para a gestão de TI
Resistência à mudanças
Diferentes visões de tecnologia
ALGUMAS METAS DO PROJETO





Reduzir a quase zero a necessidade do
contribuinte ir a um posto de atendimento
criando o Posto Fiscal Eletrônico
Aumentar a eficiência da Fiscalização
Dar total transparência às contas do Estado
através do site da Secretaria da Fazenda
Criar a Bolsa Eletrônica de Compras
Permitir a comunicação rápida e eficiente entre
os funcionários
IDENTIFICAÇÃO DE SOLUÇÕES

Soluções de Gestão
–
–

Criação de dispositivos legais
Desenvolvimento do Plano de Gestão de TI PGTI (1999)
Soluções de Tecnologia
–
–
–
Infra-estrutura
Serviços
Sistemas de informação
PGTI - ABRANGÊNCIA

VISÃO INSTITUCIONAL
–
–

POLÍTICAS DE GESTÃO
–
–
–
–

Estrutura Organizacional de TI
Relacionamentos internos
Gestão única
Capacitação do pessoal interno
POLÍTICAS DE TECNOLOGIA
–
–
–

Sede, Regionais e Postos Fiscais
Relacionamento com a IntraGov
Atualização tecnológica
Desenvolvimento de sistemas
Padronização
POLÍTICA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO
–
–
Visão Institucional
Estrutura Organizacional de Gestão de SI extrapola os limites do DTI
PGTI - OBJETIVOS





Criar uma estrutura para a administração dos
recursos (pessoas, infra-estrutura, tecnologia, dados
e sistemas) de TI no âmbito da Secretaria da
Fazenda, SP;
Alocar responsabilidades para os diferentes agentes
do sistema de TI;
Estabelecer regras para a gestão unificada de TI;
Estabelecer padrões de relacionamentos com outras
unidades internas, parceiros e fornecedores;
Estabelecer padrões de tecnologia;
ESTRUTURA ORGANIZACIONAL
CTI
GS
CAT
CAF
CECI
CGA
FAZESP
DTI
Administração
de Sistemas
Operações e
Infra-estrutura
Internet e
Intranet
Controle
EXEMPLOS DE SISTEMAS
DESENVOLVIDOS
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Legislação “Linkada”
DECA
AIIM
GIA Eletrônica
Cálculo de Débito do ICMS
Guias de Procedimentos
Conta Fiscal
IPVA
Licenciamento eletrônico
ITCMD
Serviços ao Contabilista
Serviços à Procuradoria Fiscal
SIAFEM
SIGEO
SIAFISICO
SIAFACIL
BEC
GDOC
SIAP
ADEQUAÇÃO AO MODELO COBIT



Padronização das políticas – uma para cada
processo de TI.
Focalização em processos ao invés de
atividades.
Avaliação das diretrizes estabelecidas no
PGTI em função dos objetivos de controle
definidos pelo COBIT.
PGTI vesus COBIT


95 diretrizes de TI
+ 20 diretrizes de
segurança da
informação

314 objetivos de
controle relacionados
aos 34 processos de
TI
EXEMPLO DE UMA POLÍTICA
PO1 – Planejamento estratégico
Para atender os objetivos específicos da Secretaria da Fazenda e obter um balanceamento ótimo entre
oportunidades oferecidas pela Tecnologia da Informação e os requisitos do negócio deve ser desenvolvido
um processo de planejamento estratégico de longo prazo com revisões periódicas.
O planejamento de longo prazo deve ser traduzido em planos operacionais, estabelecendo metas claras e concretas
de curto prazo, tendo em consideração:
–
–
–
–
–
–
A definição dos objetivos do negócio e as necessidades de TI;
Inventário das soluções de tecnologia e da infra-estrutura atuais;
Acompanhamento das evoluções tecnológicas;
As mudanças organizacionais;
Estudos de oportunidade; e
A avaliação dos sistemas atuais.
A quem se aplica:
–
Pessoas
–
Aplicações
–
Tecnologia
–
Instalações
–
Dados
MODELO DE IMPLEMENTAÇÃO
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
Ações
Corretivas
Avaliação
de Risco
Análise do
Ambiente
Diagnóstico
Gerenciamento de
Risco
Metodologia
Definição da
Estratégia de
Normatização
Manual de
Segurança
Gerenciamento de
Novas Soluções
Política de
Segurança da
Informação
Monitoração e
Controle
Conscientização
Definição das
Diretrizes
Novas
Soluções
de TI
Controle de
Mudanças
Mecanismos de
Gerenciamento
Conscientização
Revisão da Política
de Segurança
Análise de Risco
Controles da
Implementação
Ferramentas
Diretrizes de
Segurança da
Informação
Implementação
Operacional
Procedimentos
Solução
Técnica
LICÕES APRENDIDAS
O acesso ao centro de decisões da Instituição é
indispensável para o setor de TI;
 É necessário desenvolver competência interna em
áreas estratégicas;
 Evitar aquisição de grandes pacotes de tecnologia;
 Avaliar as relações com os fornecedores
(Ex.:Companhias de Processamento de Dados)
 Gestão unificada de TI

CONTATO
 www.icomnet.com.br
[email protected]