O documento apresenta os principais conceitos e modelos de governança de tecnologia da informação (TI), como COBIT, ITIL e outros. Discutem-se conceitos como alinhamento da TI aos objetivos de negócios, gestão por processos, uso de métricas e modelos de maturidade. O documento também explica como esses conceitos e modelos podem ser aplicados no Tribunal de Contas da União para aprimorar a governança e gestão da tecnologia da informação na instituição.
1. Tribunal de Contas da União
Secretaria de Tecnologia da Informação
Governança de Tecnologia da Informação:
conceitos, modelos e sua aplicação no TCU
Gledson Pompeu Corrêa da Costa
Missão da SETEC: Melhorar os resultados do TCU por meio da otimização de
seus processos de trabalho e da participação nas ações de Controle Externo,
com aplicação de conhecimentos especializados em Tecnologia da Informação
2. Governança de Tecnologia da Informação:
conceitos, modelos e sua aplicação no TCU
Governança de TI
Conceitos e boas práticas
ITIL
Estrutura, conceitos e processos
COBIT
Estrutura, conceitos e processos
CMMI, ISO 17799, PMBOK e outros modelos
Visão geral
Integração e aplicação dos modelos
Tribunal de Contas da União
Secretaria de Tecnologia da Informação
3. Histórico e evolução
• Primeira versão em 1996
– Information System Control and Audit Foundation (ISACF)
– Compilação de referências sobre controle e auditoria de TI
• Segunda versão em 1998
– Information System Control and Audit Association (ISACA)
– Acréscimo e atualização de referências, kit de implantação
• Terceira versão em 2000 (Cobit 3ª Edição)
– IT Governance Institute
– Criação do “Management Guidelines”
• Quarta versão em 2005 (Cobit 4.0)
– Consolidação e detalhamento de instrumentos gerenciais
• Refinamento em 2007 (Cobit 4.1)
4. Princípios básicos
• Objetivos de negócios requerem informações
– Informações devem atender aos critérios de qualidade,
segurança e confiabilidade
• Informações são produzidas por recursos de TI
– Dados, aplicações, infra-estrutura e pessoas
• Recursos de TI são gerenciados por processos
– Definição de responsabilidades e metas
• Processos devem ser controlados
– Objetivos de controle, indicadores de desempenho e
indicadores de resultados
(IT Governance Institute, 2007)
6. Características gerais
• Foco no negócio
– Alinhamento das metas de TI a metas de negócio
• Orientado a processos
– Organização das atividades de TI em um modelo de
processos aplicável de forma geral
– Identificação de responsabilidades pelos processos nas
áreas de negócio e TI
• Baseado em controles
– Definição dos objetivos de controle a serem
considerados pela gerência
• Dirigido por métricas
– Uso de indicadores e modelos de maturidade
(IT Governance Institute, 2007)
8. Critérios da informação -
Qualidade
• Efetividade/Eficácia (Effectiveness)
– A informação deve ser pertinente e relevante
para o processo de negócio
– A informação deve ser entregue de forma
tempestiva, correta, consistente e em formato útil
• Eficiência
– A informação deve ser provida por meio do uso
otimizado dos recursos
(IT Governance Institute, 2007)
9. Critérios da informação -
Segurança
• Confidencialidade
– A informação deve ser protegida contra acesso não
autorizado
• Integridade
– A informação deve ser precisa, completa, e válida de
acordo com as expectativas e os valores do negócio
• Disponibilidade
– A informação deve estar disponível quando requerido pelo
processo de negócio, agora e no futuro
– Os recursos e capacidades associados à informação
devem ser protegidos
(IT Governance Institute, 2007)
10. Critérios da informação -
Adequação
• Conformidade
– A informação obedece a leis, normas e contratos
aos quais o processo de negócio está sujeito, ou
seja, aos requisitos impostos ao negócio
• Confiabilidade
– A informação deve ser adequada para gerenciar
a operação do negócio e para a alta direção
exercer sua responsabilidade de geração de
relatórios financeiros e de conformidade
(IT Governance Institute, 2007)
11. Quais são os critérios mais
importantes para o TCU?
12. Recursos de TI
• Aplicações
– Sistemas automatizados e procedimentos manuais que
processam informações
• Dados
– Dados capturados, processados e gerados por sistemas de
informação, em qualquer formato usado pelo negócio
• Infra-estrutura
– Recursos tecnológicos (hardware, sistemas operacionais,
sistemas de banco de dados, redes, etc.) e instalações físicas
que suportam o processamento das aplicações
• Pessoas
– Equipe necessária para planejar, organizar, adquirir,
implementar, entregar, suportar, monitorar e avaliar sistemas de
informação e serviços de TI
(IT Governance Institute, 2007)
14. Domínios
• Planejamento & Organização
– Trata dos aspectos estratégicos e táticos da organização, e de
como a TI pode contribuir para os objetivos de negócios
• Aquisição & Implementação
– Relaciona as estratégias com os recursos e soluções de TI, seu
desenvolvimento e aquisição
• Entrega & Suporte
– Trata da entrega dos serviços requeridos, atentando para os
aspectos de segurança, treinamento e suporte
• Monitoramento & Avaliação
– Endereça aspectos de monitoramento do desempenho e de
avaliação de controles da TI.
(IT Governance Institute, 2007)
15. Domínios e processos
ME1 monitorar e avaliar o desempenho da TI PO1 definir um plano estratégico de TI
ME2 monitorar e avaliar os controles internos PO2 definir a arquitetura de informação
ME3 assegurar conformidade regulatória PO3 determinar a direção tecnológica
ME4 prover governança de TI PO4 definir processos, organização e
relacionamentos da TI
PO5 gerenciar o investimento em TI
PLANEJAMENTO E PO6 comunicar metas e diretivas gerenciais
ORGANIZAÇÃO PO7 gerenciar recursos humanos de TI
PO8 gerenciar qualidade
PO9 avaliar e gerenciar riscos
PO10 gerenciar projetos
MONITORAMENTO AQUISIÇÃO E
E AVALIAÇÃO IMPLEMENTAÇÃO
DS1 definir e gerenciar níveis de serviços
DS2 gerenciar serviços de terceiros
DS3 gerenciar performance e capacidade
DS4 garantir continuidade dos serviços ENTREGA E
DS5 garantir segurança dos sistemas SUPORTE
DS6 identificar e alocar custos
DS7 educar e treinar usuários AI1 identificar soluções
DS8 gerenciar service desk e incidentes AI2 adquirir e manter aplicações
DS9 gerenciar a configuração AI3 adquirir e manter infraestrutura tecnológica
DS10 gerenciar problemas AI4 viabilizar operação e uso
DS11 gerenciar dados AI5 adquirir recursos de TI
DS12 gerenciar o ambiente físico AI6 gerenciar mudanças
DS13 gerenciar a operação AI7 instalar e certificar sistemas e mudanças
(IT Governance Institute, 2007)
16. Baseado em controles
• Políticas, procedimentos, práticas e estruturas
organizacionais para garantir que
– Os objetivos de negócio serão alcançados
– Os eventos indesejáveis serão prevenidos, se
possível, ou então detectados e corrigidos
• Além de controles gerais, aplicáveis a todos
os processos, cada processo possui seus
próprios objetivos de controle
– Declarações dos resultados desejados ou do
propósito a ser alcançado pela implementação de
controles sobre uma atividade
(IT Governance Institute, 2007)
17. Controles gerais de processos
• PC1 Process Owner
– Cada processo deve ter um responsável
• PC2 Repeatability
– Os processos devem ser executados de forma consistente
• PC3 Goals and Objectives
– Os processos devem ter objetivos e metas claras
• PC4 Roles and Responsibilities
– A responsabilidade pela execução das atividades dos processos
deve ser atribuída a papéis específicos
• PC5 Process Performance
– Os processos devem ter seu desempenho medido
• PC6 Policy, Plans and Procedures
– Políticas, planos e procedimentos associados aos processos devem
ser documentados, revisados, mantidos atualizados e comunicados
para os envolvidos
(IT Governance Institute, 2007)
18. Controles gerais de aplicação
• AC1 Source Data Preparation and Authorisation
– Os documentos de origem devem ser preparados e aprovados segundo o
critério de segregação de funções
• AC2 Source Data Collection and Entry
– Os dados devem ser almentados de forma tempestiva por pessoas
autorizadas, e eventuais correções não devem comprometer os níveis de
autorização do sistema
• AC3 Accuracy, Completeness and Authenticity Checks
– Todas as transações devem ser precisas, completas e válidas
• AC4 Processing Integrity and Validity
– Os dados devem ser mantidos íntegros e válidos durante todo o ciclo de
processamento
• AC5 Output Review, Reconciliation and Error Handling
– As saídas do sistema devem ser verificadas quanto à precisão, protegidas
durante a transmissão, entregues aos destinatários corretos e utilizadas
corretamente
• AC6 Transaction Authentication and Integrity
– Os dados passados entre aplicações ou áreas da organização devem ser
verificados quanto à autenticidade e integridade
(IT Governance Institute, 2007)
20. Como estão nossos controles?
Controles de negócio
Controles de TI
Controles de aplicações
21. Dirigido por métricas
• Modelos de maturidade
– Possibilitam benchmarking e identificação das
necessidades de melhoria
• Metas e indicadores de processos
– Demonstram como os processos atendem às
metas de negócios e de TI, a partir da
mensuração de indicadores baseados no BSC
• Metas de atividades
– Direcionam o desempenho efetivo dos
processos
(IT Governance Institute, 2007)
22. Modelo de maturidade
• Os níveis de maturidade descrevem perfis de
processos de TI que possam ser reconhecidos
pelas organizações
– Esses níveis não estabelecem patamares evolutivos,
onde não se pode alcançar um nível superior sem
antes passar pelos inferiores
• A partir dos níveis de maturidade descritos para
cada um dos 34 processos, é possível identificar
– O desempenho real da organização (onde estamos)
– A situação atual de organizações similares
(benchmarking)
– Os avanços possibilitados pelos padrões e modelos
disponíveis no mercado
– A meta para melhoria do processo da organização
(onde queremos estar)
(IT Governance Institute, 2007)
23. Modelo de maturidade
Nonexistent Initial Repeatable Defined Managed Optimised
0 1 2 3 4 5
Legend for Symbols Used Legend for Rankings Used
Enterprise current status 0 - Management processes are not applied at all.
1 - Processes are ad hoc and disorganised.
International standard guidelines
2 - Processes follow a regular pattern.
Industry best practice 3 - Processes are documented and communicated.
4 - Processes are monitored and measured.
Enterprise strategy 5 - Best practices are followed and automated.
(IT Governance Institute, 2007)
24. Modelo de maturidade
• Nível 0 – Inexistente
– Ausência de processos identificáveis
– A organização não reconhece que existe uma
questão a ser tratada
• Nível 1 – Inicial/Ad-hoc
– A organização reconhece que existe uma
questão a ser tratada
– Abordagens improvisadas tendem a ser
aplicadas a situações individuais
– A gerência do processo é desorganizada
(IT Governance Institute, 2007)
25. Modelo de maturidade
• Nível 2 – Repetível mas intuitivo
– Os processos se desenvolveram de modo que procedimentos
similares são executados por pessoas diferentes que realizam
a mesma tarefa
– Não existe treinamento ou repasse formal de procedimentos,
a responsabilidade é deixada a cargo do indivíduo
– Existe alta dependência do conhecimento individual, o que
gera grande probabilidade de falhas
• Nível 3 – Processo definido
– Procedimentos padronizados, documentados e comunicados
por meio de treinamentos
– Cabe ao indivíduo seguir esses processos; é pouco provável
que desvios sejam detectados
– Os procedimentos não são sofisticados, mas apenas
formalização de práticas existentes
(IT Governance Institute, 2007)
26. Modelo de maturidade
• Nível 4 – Gerenciado e mensurável
– É possível monitorar e medir a conformidade de
procedimentos, para agir quando os processos não
estiverem funcionando de forma eficaz
– Os processos sofrem melhorias constantes e
estabelecem boas práticas
– Ferramentas automatizadas são usadas de forma
limitada ou fragmentada
• Nível 5 – Otimizado
– Os processos foram refinados até alcançar as melhores
práticas, com base no resultado de melhoria contínua e
comparações com outras organizações
– A TI é usada para automatizar os fluxos de trabalho,
provendo ferramentas para aumentar a qualidade e
efetividade dos processos
(IT Governance Institute, 2007)
27. Onde queremos chegar?
Nonexistent Initial Repeatable Defined Managed Optimised
0 1 2 3 4 5
Legend for Symbols Used Legend for Rankings Used
Enterprise current status 0 - Management processes are not applied at all.
1 - Processes are ad hoc and disorganised.
International standard guidelines
2 - Processes follow a regular pattern.
Industry best practice 3 - Processes are documented and communicated.
4 - Processes are monitored and measured.
Enterprise strategy 5 - Best practices are followed and automated.
(IT Governance Institute, 2007)
28. Metas e indicadores
• Metas e indicadores são definidos em três níveis
– Metas e indicadores de TI, que definem o que o
negócio espera da TI
– Metas e indicadores de processos, que definem o que
cada processo de TI deve entregar para suportar as
metas de TI
– Metas e indicadores de atividades, que definem o que
deve ser realizado no âmbito de cada processo para
alcançar o desempenho esperado
• São definidos dois tipos de indicadores
– Métricas de resultado (antigo KGI), que indicam se as
metas foram alcançadas
– Indicadores de desempenho (antigo KPI), que indicam
se as metas poderão ser alcançadas
(IT Governance Institute, 2007)
35. Detalhamento do conteúdo
• Para cada processo, o
COBIT apresenta
– Objetivos do processo – Indicadores
– Critérios de informação – Objetivos de controle
atendidos – Relação entre processos
– Recursos de TI (entradas e saídas)
gerenciados – Matriz RACI (Responsible,
– Áreas de governança Accountable, Consulted,
afetadas Informed)
– Metas de TI associadas – Metas e indicadores
– Metas do processo – Modelo de maturidade
– Metas de atividades
36.
37. Utilização do conteúdo
• As entradas indicam o que o dono do processo deve
requerer dos outros processos
• Os objetivos de controle descrevem o que o dono do
processo precisa garantir que seja feito
• A matriz RACI define o que deve ser delegado pelo dono
do processo e para quem
• As saídas indicam quais produtos o dono do processo
deve entregar e para quais processos
• As metas e indicadores mostram como o processo deve
ser monitorado e avaliado
• O modelo de maturidade mostra o que pode ser feito
para melhorar o processo
38. Exemplo do conteúdo
Planejamento e Organização
Definir um plano estratégico de TI
39.
40.
41.
42.
43.
44.
45. Domínios e processos
Objetivos de Negócios
Governança de TI
Informação
Monitoramento Planejamento
e Avaliação Recursos de TI e Organização
Entrega e Aquisição e
Suporte Implementação
(IT Governance Institute, 2007)
46. Planejamento e organização
• PO1 Definir um plano estratégico de TI
• PO2 Definir a arquitetura de informação
• PO3 Determinar a direção tecnológica
• PO4 Definir processos, organização e relacionamentos
• PO5 Gerenciar o investimento em TI
• PO6 Comunicar metas e diretivas gerenciais
• PO7 Gerenciar recursos humanos de TI
• PO8 Gerenciar qualidade
• PO9 Avaliar e gerenciar riscos
• PO10 Gerenciar projetos
(IT Governance Institute, 2007)
47. Aquisição e implementação
• AI1 Identificar soluções
• AI2 Adquirir e manter aplicações
• AI3 Adquirir e manter infraestrutura tecnológica
• AI4 Viabilizar operação e uso
• AI5 Adquirir recursos de TI
• AI6 Gerenciar mudanças
• AI7 Instalar e certificar sistemas e mudanças
(IT Governance Institute, 2007)
48. Entrega e suporte
• DS1 Definir e gerenciar níveis de serviços
• DS2 Gerenciar serviços de terceiros
• DS3 Gerenciar performance e capacidade
• DS4 Garantir continuidade dos serviços
• DS5 Garantir segurança dos sistemas
• DS6 Identificar e alocar custos
• DS7 Educar e treinar usuários
• DS8 Gerenciar service desk e incidentes
• DS9 Gerenciar a configuração
• DS10 Gerenciar problemas
• DS11 Gerenciar dados
• DS12 Gerenciar o ambiente físico
• DS13 Gerenciar a operação
(IT Governance Institute, 2007)
49. Monitoramento e avaliação
• ME1 Monitorar e avaliar o desempenho da TI
• ME2 Monitorar e avaliar os controles internos
• ME3 Assegurar conformidade regulatória
• ME4 Prover governança de TI
(IT Governance Institute, 2007)
52. Cobit x Sarbanes-Oxley
• AI2 Adquirir e manter aplicações
• AI3 Adquirir e manter infraestrutura tecnológica
• AI4 Viabilizar operação e uso
• AI6 Gerenciar mudanças
• AI7 Instalar e certificar sistemas e mudanças
• DS1 Definir e gerenciar níveis de serviços
• DS2 Gerenciar serviços de terceiros
• DS5 Garantir segurança dos sistemas
• DS8 Gerenciar service desk e incidentes
• DS9 Gerenciar a configuração
• DS10 Gerenciar problemas
• DS11 Gerenciar dados
• DS12 Gerenciar o ambiente físico
• DS13 Gerenciar a operação
(IT Governance Institute, 2006)
54. Tribunal de Contas da União
Secretaria de Tecnologia da Informação
Governança de Tecnologia da Informação:
conceitos, modelos e sua aplicação no TCU
Gledson Pompeu Corrêa da Costa
Missão da SETEC: Melhorar os resultados do TCU por meio da otimização de
seus processos de trabalho e da participação nas ações de Controle Externo,
com aplicação de conhecimentos especializados em Tecnologia da Informação