Alessandro Almeida | www.alessandroalmeida.com
� Objetivo
� Definições Iniciais
� Governança Corporativa
Governança de TI� Governança de TI
� Frameworks e Modelos
� Praticando a Governança de TI
� Formação e Carreira
� Apresentar o conceito de Governança de TI e
alguns (dos diversos) modelos, certificações e
conjuntos de práticas que podem ser
utilizados para implementá-loutilizados para implementá-lo
� Governança
� “ato de governar(-se); governo, governação”
� Governar
� “ter mando, direção; dirigir, administrar”
� “tratar devidamente de seus próprios negócios e
interesses”
� “deixar-se influenciar por; orientar-se, regular-se”
� Ganância dos altos executivos
� Omissão das auditorias externas
� Erros estratégicos (concentração de poder)
Abuso de poder� Abuso de poder
� “Conflito de agência”
� Escândalos corporativos
� Enron
� WorldCom
� Tyco
� "Governança corporativa é o sistema que assegura aos sócios-proprietários o governo estratégico da empresa e a efetiva monitoraçãoda diretoria executiva. A relação entre propriedade e gestão se dá através do conselho propriedade e gestão se dá através do conselho de administração, a auditoria independente e o conselho fiscal, instrumentos fundamentais para o exercício do controle. A boa governança corporativa garante eqüidade aos sócios, transparência e responsabilidade pelos resultados (accountability)."
� Transparência
� Equidade
� Prestação de Contas
Responsabilidade Corporativa� Responsabilidade Corporativa
� IBGC, Código das Melhores Práticas de
Governança Corporativa, 2009
� Criada em 2002 por Paul Sarbanes e Michael
Oxley
� Após os escândalos financeiros
Impõe padrões mais elevados de Governança � Impõe padrões mais elevados de Governança
Corporativa
� Auditoria
� Segurança
� Evita ocorrência de fraudes
� A governança de TI é de responsabilidade da
alta administração (incluindo diretores e
executivos), na liderança, nas estruturas
organizacionais e nos processos que organizacionais e nos processos que
garantem que a TI da empresa sustente e
estenda as estratégias e objetivos da
organização
� IT Governance Institute, 2005
� Especificação dos direitos decisórios e do
framework de responsabilidades para
estimular comportamentos desejáveis na
utilização da TIutilização da TI
� Weill e Ross, Governança de Tecnologia da
Informação, 2004
� Capacidade organizacional exercida pelo
conselho, pela administração executiva e pela
administração de TI para controlar a
formulação e implementação da estratégia formulação e implementação da estratégia
de TI e, com isso, assegurar a fusão entre os
negócios e a TI
� Wim Van Grembergen, Introduction to the
Minitrack "IT Governance and Its Mechanisms“,
2002
� Governança de TI
� Integra TI com as áreas de negócio
� Apóia a definição e execução da estratégia
� Atua na definição dos papéis e responsabilidades
� Fornece suporte metodológico
� Atua na gestão de processos de TI
� Cada empresa aplica e entende de uma forma
� Conceito ainda não consolidado
� Muitas vezes, a área é conhecida como:
Metodologia� Metodologia
� Auditoria e Compliance
� Métodos e Processos
� Responsabilidades limitadas
� Quando comparamos com as definições
apresentadas
� Permite que a empresa enxergue o valor da TI
� A informação e a TI são dentre os ativos principais
aqueles menos compreendidos na empresa
� O valor da TI depende mais do que apenas � O valor da TI depende mais do que apenas
uma boa tecnologia
� O alinhamento estratégico entre TI e negócio
pode ser um elemento fundamental para o
sucesso da organização
� TI é cara
� Decisões de TI envolvem diversas áreas
� Novas tecnologias podem gerar novas
oportunidades de negóciooportunidades de negócio
� Muitas vezes, TI é uma área nebulosa e
isolada dentro da empresa
� Investidores procuram empresas com melhor
governança
Entrega de Valor
Gestão de Recursos de TI
Direcionadores
dos Stakeholders
Alinhamento
Estratégico de TIGestão de Riscos
Medição de
Performance
� Lado comportamental
� Relacionamentos e padrões de comportamento
entre diferentes agentes de uma empresa
� Lado normativo� Lado normativo
� Regras que regulam os relacionamentos e
comportamentos, moldando, com isso, a
formação da estratégia corporativa
� Qual é a importância de TI para o negócio?
� Qual é a estratégia da empresa?
� Missão
� Visão
� Planejamento Estratégico
▪ Mapa Estratégico
� Definir o Plano Estratégico de TI
� Como faremos as medições?
� Derivação do Mapa Estratégico?
� Indicadores
� Acrônimo de “Balanced Scorecard”
� Ferramenta de gestão estratégica
� “Desdobra” a estratégia em todas as áreas da
organizaçãoorganização
� Contempla 4 perspectivas:
� Financeira
� Cliente
� Processos Internos
� Aprendizado e Crescimento
� “Governança corporativa de tecnologia da
informação”
� Criada em 2008
2009: Tradução para o português� 2009: Tradução para o português
� Seis princípios para uma boa governança
corporativa de TI
� Responsabilidade
� Estratégia
� Aquisição
� Desempenho
� Conformidade
� Comportamento Humano
GG
Avaliar
Governança
Corporativa de TI
GGMonitorarDirigir
Projetos TI
Pla
no
s
Po
lític
as
Pro
po
sta
s
De
sem
pe
nh
o
Co
nfo
rmid
ad
eOperações TI
Processos do Negócio
� Control Objectives for Information and
Related Technology
� Representa todos os processos normalmente
encontrados nas funções da TIencontrados nas funções da TI
� Framework de apoio para implementar a
Governança de TI
� Cria uma ponte entre o operacional e o
estratégico
� Project Management Body of Knowledge� Mantido pelo PMI (Project Management
Institute)� Primeira versão publicada em 1996� Primeira versão publicada em 1996� Cinco grupos de processos
� Iniciação
� Planejamento
� Execução
� Monitoramento e controle
� Encerramento
� Framework britânico para gestão de projetos
� Acrônimo de "Projects in Controlled
Environments"
Primeira versão lançada em 1989� Primeira versão lançada em 1989
� Composta por processos, componentes e
técnicas
� Modelo de maturidade
� P3M3: Portfolio, Programme & Project
Management Maturity Model
� Modelos de maturidade mantidos pelo SEI
(Software Engineering Institute)
� Abrangem todo ciclo de vida para o
desenvolvimento de software (CMMI-DEV), desenvolvimento de software (CMMI-DEV),
serviços de TI (CMMI-SVC) e projetos de
aquisição (CMMI-ACQ)
CMMI
CMMI-SVC
CMMI
Model
Foundation
CMMI-DEV CMMI-ACQ
Fonte: -http://www.sei.cmu.edu/cmmi/models/CMMI-Services-status.html
Decision Analysis and Resolution (DAR)
Integrated Project Management +IPPD (IPM)
Organizational Process Definition +IPPD (OPD)
Organizational Process Focus (OPF)
�Organizational Process Performance (OPP)
Quantitative Project Management (QPM)Quantitatively Managed
�Causal Analysis and Resolution (CAR)
Organizational Innovation and Deployment (OID)Optimizing
Processos ad hoc�Initial
Configuration Management (CM)
Measurement and Analysis (MA)
Project Monitoring and Control (PMC)
Project Planning (PP)
Process and Product Quality Assurance (PPQA)
Requirements Management (REQM)
Supplier Agreement Management (SAM)
�Managed
Organizational Process Focus (OPF)
Organizational Training (OT)
Product Integration (PI)
Requirements Development (RD)
Risk Management (RSKM)
Technical Solution (TS)
Validation (VAL)
Verification (VER)
�Defined
� Melhoria de processo do software brasileiro
� www.softex.br/mpsbr
� Foco em micro, pequenas e médias empresas
Custo de implementação e avaliação menor� Custo de implementação e avaliação menor
� Foi definido em conformidade com o CMMI
for Development
� 19 áreas de processos distribuídas em 7 níveis
de maturidade
� Níveis:
G (Parcialmente Gerenciado) até A (Em � G (Parcialmente Gerenciado) até A (Em
otimização)
� Acrônimo de "Information Technology
Infrastructure Library"
� Agrupamento das melhores práticas
utilizadas para o gerenciamento de serviços utilizadas para o gerenciamento de serviços
de TI
� Lançado no final dos anos 80 pelo CCTA
� Central Computer and Telecommunications
Agency
� Seu núcleo é composto por 5 publicações que
englobam todo ciclo de vida do serviço
� Estratégia
� Design
� Transição
� Operação
� Melhoria Contínua
� Série de normas focadas na segurança da informação
� Atualmente contempla as seguintes normas:� ISO/IEC 27001 – Information Security � ISO/IEC 27001 – Information Security
Management Systems – Requirements;
� ISO/IEC 27002 – Code of Practice for Information Security Management
� ISO/IEC 27006 – Requirements for Bodies Providing Audit and Certification of Information Security Management Systems
� Cada empresa deve criar o seu, considerando
suas necessidades
� O ideal é aquele que atende a estratégia da
organizaçãoorganização
� Lembrando a pergunta que deve ser
respondida:
� Qual é a importância de TI para a nossa empresa?
ITIL
mps.Br
ISO/IEC 27000ISO/IEC 27000ISO/IEC 27000ISO/IEC 27000
ISO/IEC 20000eSCM-SP
Etc...
ISO/IEC 38500
ITIL
CMMI-DEV
CobiT
ISO/IEC 27000ISO/IEC 27000ISO/IEC 27000ISO/IEC 27000
Val IT
PMBoKPMBoKPMBoKPMBoK
OPM3
PRINCE2eSCM-CL
CMMI-SVC
CMMI-ACQ BSC
Etc...
� O diagnóstico deve ser muito bem feito
� Foto da situação atual
� Cada doença com seu remédio...
Saiba onde você deseja chegar� Saiba onde você deseja chegar
� Quais são as metas?
� “Por que estamos iniciando esta empreitada?”
� A iniciativa deve estar alinhada com a
estratégia da empresa
� Alguém “forte” na organização deve ser o
padrinho do projetopadrinho do projeto
� Normalmente envolve mudança cultural
� Traga o pessoal de RH para o projeto
� Conte com os “integradores”
� TODOS devem participar (desde analistas até
diretores)
Alguém deve gerenciar a iniciativa� Alguém deve gerenciar a iniciativa
� Seja “subversivo”
� Sempre questionem!
� “Por que fazer assim se podemos fazer diferente?”
� Seja um “herege”
� Cuidado com os “religiosos”!
� “Misture” práticas, metodologias, ferramentas e
etc.etc.
� Comunique!
� Cuidado com aqueles que só estão
preocupados com o “diploma” na parede
� CMMIs... mps.Br... ISOs... Etc...
Cuidado com as "melhores práticas"� Cuidado com as "melhores práticas"
� "Melhor" para quem?
� Não queremos uma ditadura!
� Mas ninguém deseja viver em uma anarquia...
� A carreira é “construída”
� Para atuar com Governança de TI, a experiência é
fundamental
� Dificilmente forma-se um profissional de Governança � Dificilmente forma-se um profissional de Governança
somente com cursos
� Além dos conhecimentos específicos de
Governança...
� vivência em TI, experiência em gestão de mudança
cultural e gestão de processos são muito úteis (ou
fundamentais) para um projeto ser bem sucedido
� Por onde começar?
� Cursos e experiências que podem ser úteis (ou
essenciais):
▪ Graduação e experiência em TI▪ Graduação e experiência em TI
▪ CobiT
▪ Gestão de Processos
▪ Auditoria
▪ ITIL
▪ CMMI e afins
� Lei Sarbanes-Oxley:
http://pt.wikipedia.org/wiki/Lei_Sarbanes-
Oxley
IBGC: http://www.ibgc.org.br/� IBGC: http://www.ibgc.org.br/
� Código das Melhores Práticas de Governança
Corporativa – 4º Edição:
http://www.ibgc.org.br/CodigoMelhoresPrati
cas.aspxcas.aspx
� Recomendações da CVM Sobre Governança
Corporativa:
http://www.ibgc.org.br/OutrosCodigos.aspx
� A Premium for Good Governance, McKinsey
Quarterly, 2002
� Global Investor Opinio Survey, McKynsey &
Company, 2002Company, 2002
� International Efforts to Improve Corperate
Governance: Why and How, OCDE, 2000