PO-Planejar e Organizar

PLANEJAR
ORGANIZAR
PO1 PO2 PO3 PO4 PO5 PO6 PO7 PO8 PO9
Definir um Plano Estratgico de TI Definir a Arquitetura da Informao Determinar a Direo Tecnolgica Definir os Processos, Organizao e Relacionamentos de TI Gerenciar o Investimento em TI Comunicar Metas e Diretrizes Gerenciais Gerenciar Recursos Humanos de TI Gerenciar Qualidade Avaliar e Gerenciar Riscos em TI
PO10 Gerenciar Projetos
Planejar e Organizar
Definir um Plano Estratgico de TI
PO1
OBJETIVO
DE
CONTROLE
DE
ALTO NVEL
PO1 Definir um Plano Estratgico de TI

O planejamento estratgico de TI exigido para gerenciar e dirigir todos os recursos de TI alinhados com a estratgia e prioridades do negcio. A funo de TI e os stakeholders do negcio so responsveis para assegurar que o melhor valor seja obtido dos portfolios de projeto e servio. O plano estratgico deve melhorar a compreenso das oportunidades e limitaes de TI dos stakeholders chave, avaliar o desempenho atual e esclarecer o nvel do investimento requerido. A estratgia e as prioridades de negcio devem ser refletidas nos portfolios e executada pelo(s) plano(s) ttico(s) de TI, que estabelece objetivos concisos, planos e tarefas entendidas e aceitas por ambos, negcio e TI.
P S
e e e ad ad ia cia ad lid lid c in rid nibi bi g o ic c fia te Ef Efi In isp on C D
ia lid ad e
Planejar e Planejar e Organizar Organizar

rm id ad e
Adquirir e Implementar Entregar e Suportar
en c
on fid
on fo
Monitorar e Avaliar
Controle sobre o processo de TI de

Definir um plano estratgico de TI
que satisfaa o requisito do negcio para a TI de

sustentar ou estender a estratgia de negcio e requisitos de governana ao mesmo tempo que transparente sobre benefcios, custos e riscos
focando em
incorporar TI e gerenciamento de negcio na traduo de requisitos de negcio em ofertas de servio, e no desenvolvimento de estratgias para entregar estes servios de maneira transparente e efetiva
alcanado por
Entrosar com o gerenciamento snior e de negcio no alinhamento do planejamento estratgico de TI com necessidades atuais e futuras do negcio Compreender as potencialidades atuais de TI Providenciar um esquema de prioritizao para os objetivos de negcios que quantifique os requisitos de negcio
e medido por
Porcentagem dos objetivos de TI no plano estratgico de TI que sustenta o plano estratgico de negcio Porcentagem de projetos de TI no portfolio de projeto de TI que pode ser diretamente retrocedido para o plano ttico de TI Demora entre atualizaes do plano estratgico de TI e atualizaes dos planos tticos de TI
nto me co ha tgi in Al stra E
E de ntreg Va a lor
o ura s e rut as a rma est sso lic fo a- Pe Ap In Infr
Gerenciamento de Recursos
Primrio
Secundrio
_____________________________________________________________________________________
IT GOVERNANCE INSTITUTE 29
Gere nc de R iamento iscos
Governana de TI
de de ra o ura e M Mens empenho e Des
PO1
OBJETIVOS
DE
CONTROLE DETALHADO

PO1.1 Gerenciamento de Valor da TI
Trabalhar com o negcio para assegurar que o portfolio de investimentos de TI da empresa contenha programas que possuam slidos casos de negcio. Reconhecer que h investimentos obrigatrios, de manuteno e discricionrios que diferem em complexidade e grau de liberdade na alocao de fundos. Os processos de TI deveriam fornecer distribuio efetiva e eficiente dos componentes de programas de TI e pr-advertncia de quaisquer divergncias de plano, inclusive custo, programao ou funcionalidade, isso poderia impactar os resultados esperados dos programas. Os servios de TI devem ser executados em concordncia com acordos de nvel de servio justos e exeqveis. A responsabilidade para alcanar os benefcios e controlar os custos est claramente atribuda e monitorada. Estabelecer a exposio, avaliao justa, transparente, repetvel e comparvel de casos de negcio inclusive de valor financeiro, o risco de no entregar uma capacidade e o risco de no obter os benefcios esperados.
PO1.2 Alinhamento de Negcios de TI

Educar executivos em capacidades atuais de tecnologia e direes futuras, as oportunidades que a TI fornece, e o que o negcio tem que fazer para capitalizar naquelas oportunidades. Garantir que a direo do negcio ao qual a TI alinhada compreendida. As estratgias de negcios e de TI deveriam ser integradas, ligando claramente as metas da empresa e as metas de TI e reconhecer oportunidades como tambm limitaes de capacidades atuais, e comunicadas amplamente. Identificar onde o negcio (estratgia) criticamente dependente da TI e mediar entre imperativos do negcio e da tecnologia, de maneira que se possa estabelecer prioridades de comum acordo.
PO1.3 Avaliao do Desempenho Atual

Avaliar o desempenho dos planos e sistemas de informao existentes em termos de contribuio para objetivos de negcio, funcionalidade, estabilidade, complexidade, custos, pontos fortes e debilidades.
PO1.4 Plano Estratgico de TI

Criar um plano estratgico que defina, em cooperao com stakeholders relevantes, como a TI contribuir para os objetivos estratgicos da empresa (metas) e custos e riscos relacionados. Inclui como a TI sustentar programas de investimento de TI e entrega operacional do servio. Definir como os objetivos sero alcanados e medidos e recebero sign-off formal dos stakeholders. O plano estratgico de TI deveria cobrir investimento/oramento operacional, fontes de financiamento, estratgia de origem, estratgia de aquisio, requisitos legais e regulatrios. O plano estratgico deveria ser suficientemente detalhado para permitir a definio dos planos tticos de TI.
PO1.5 Planos Tticos de TI

Criar um portfolio dos planos tticos de TI que so derivados do plano estratgico de TI. Estes planos tticos descrevem iniciativas requeridas da TI, requisitos de recurso, e como o uso de recursos e realizao de benefcios sero monitorados e administrados. Os planos tticos deveriam ser suficientemente detalhados para permitir a definio de planos de projeto. Gerenciar ativamente o conjunto de planos e iniciativas tticas de TI atravs de anlise de projeto e portfolio de servios. Isto abrange a comparao de requisitos e recursos em uma base comum, comparando-os com vistas obteno de metas estratgicas e tticas e os benefcios esperados, e tomando atitude apropriada em divergncias.
PO1.6 Gerncia de Portfolio de TI

Gerenciar ativamente com o negcio o portfolio dos programas de investimento de TI requeridos para atingir objetivos especficos de estratgia de negcio identificando, definindo, dando prioridade, selecionando, iniciando, gerenciando e controlando programas. Isto inclui esclarecer resultados de negcio desejados, garantindo que objetivos do programa sustentam a realizao dos resultados, compreendendo o escopo completo do esforo requerido para a realizao dos resultados, atribuindo responsabilidade clara com apoio s medidas, definindo projetos dentro do programa, alocando recursos e financiamento, delegando autoridade, e comissionando projetos exigidos em lanamento de programa.
_____________________________________________________________________________________
30 IT GOVERNANCE INSTITUTE
PO1
DIRETRIZES GERENCIAIS
De
PO5 PO9 PO10 DS1
Entradas
Sadas
Plano estratgico de TI Plano ttico de TI Portfolio de projeto de TI Portfolio de servio de TI Estratgia de origem deTI Estratgia de aquisio de TI
Para
PO2...PO6 PO2...PO6 PO5 PO6 PO5 PO6 DS2 AI5 PO8 PO9 PO10 PO9 PO9 AI1 DS1 AI1 DS1 AI6 DS1
Relatrio custo/benefcio Avaliao de risco Atualizao de portfolio do projeto Novo/atualizado requisitos de servio; atualizao de portfolio de servio Estratgia de negcio e prioridades * Portflio de programa * Entradas de desempenho para ME1 planejamento de TI Relatrio do status da governana de TI; ME4 direo estratgica da empresa para a TI * Entradas externas ao COBIT
Tabela RACI
Funes
es sP He roc ad es Op sO era wn Ch tio er ief ns Arc hit He ec ad t De ve He lop ad me IT nt Ad PM mi nis O tra Co ti o n Rismpl k a ianc nd e, Se Au cu dit rit y ,
C C C R C C C C C C C R C C C C I R C C C I I
so medidos por
Bu sin
A/R R C I
es s
CE O CF O
Ex
Atividades
Vincular objetivos de negcio a objetivos de TI. Identificar dependncias crticas e o desempenho atual. Construir um plano estratgico de TI. Construir planos tticos de TI. Analisar portfolios de programa e gerenciar portfolios de servio e projeto.
C C A C C
I C C I I
CIO
R R A A
Direcionam a
A/R
A tabela RACI identifica quem : Responsible, Accontable, Consulted and/or Informed.
Metas e Mtricas Metas das Atividades Entrosar com o gerenciamento snior e de negcio no alinhamento de planejamento estratgico de TI com as necessidades atuais e futuras do negcio. Compreender as potencialidades atuais de TI. Traduzir planejamento estratgico de TI em planos tticos. Providenciar um esquema de prioritizao para os objetivos de negcio que quantifique os requisitos de negcio. Metas dos Processos Definir como os requisitos de negcios so traduzidos em ofertas de servio. Definir a estratgia para entregar ofertas de servio. Contribuir para o gerenciamento do portfolio de investimentos de negcios de TI. Estabelecer clareza do impacto de risco do negcio para objetivos e recursos de TI. Fornecer transparncia e compreenso de custos, benefcios, estratgia, polticas e nveis de servio de TI. Metas de TI Responder aos requisitos de negcio em alinhamento com a estratgia de negcio. Responder aos requisitos de governana alinhado com a direo do conselho.
Direcionam a
so medidos por
so medidos por
Indicadores de Desempenho Chave Demora entre atualizaes de plano estratgico/ttico de negcios e atualizaes de plano estratgico/ttico de TI. % de reunies de plano estratgico/ttico de TI onde os representantes do negcio participaram ativamente. Demora entre atualizaes de plano estratgico de TI e atualizaes de planos tticos de TI. % de planos tticos de TI em conformidade com estrutura/contedos predefinidos. % de iniciativas/projetos de TI patrocinados por proprietrios de negcio.
Indicadores de Metas Chave de Processo % de objetivos de TI no plano estratgico de TI que sustenta o plano estratgico de negcio. % de iniciativas de TI no plano ttico de TI que sustenta o plano ttico de negcio. % de projetos de TI no portfolio de projeto de TI que pode ser diretamente retrocedido para o plano ttico de TI.
_____________________________________________________________________________________
Bu sin
C C I C R
ec uti ve
Indicadores de Metas Chave de TI Grau de aprovao dos proprietrios de negcios dos planos estratgico/ttico de TI. Grau de conformidade com negcios e requisitos de governana. Nvel de satisfao dos negcios com o estado atual (nmero, mbito, etc.) do projeto e portfolio de aplicaes.
PO1
MODELO
DE
MATURIDADE

O gerenciamento do processo de Definir um plano estratgico de TI que satisfaa o requisito do negcio para a TI de sustentar ou estender a estratgia de negcio e requisitos de governana ao mesmo tempo em que transparente sobre benefcios, custos e riscos :
0 Inexistente quando
O planejamento estratgico de TI no executado. No h nenhuma conscientizao da gerncia que o planejamento estratgico de TI necessrio para sustentar metas de negcios.
1 Inicial/ Ad Hoc quando

A necessidade para planejamento estratgico de TI conhecida pela gerncia de TI. O planejamento de TI executado na base de quando necessrio em resposta a um requisito especfico de negcio. O planejamento estratgico de TI discutido ocasionalmente em reunies de gerenciamento de TI. O alinhamento dos requisitos de negcio, aplicaes e tecnologia ocorrem de forma reativa, ao invs de uma larga estratgia empresarial. A posio de risco estratgico identificada informalmente na base projeto a projeto.
2 Repetvel porm Intuitivo quando

O planejamento estratgico de TI compartilhado com gerenciamento de negcios na base de quando necessrio. Atualizao de planos de TI ocorre em resposta a solicitaes da gerncia. As decises estratgicas so dirigidas na base de projeto a projeto, sem consistncia com uma estratgia global da organizao. Os riscos e os benefcios do usurio de decises estratgicas principais esto sendo identificados de modo intuitivo.
3 Processo Definido quando

Uma poltica define quando e como executar planejamento estratgico de TI. O planejamento estratgico de TI segue uma abordagem estruturada, que documentada e conhecida por todo o pessoal. O processo de planejamento de TI razoavelmente seguro e assegura que com planejamento apropriado plausvel de ser executado. Porm, a discreo dada aos gerentes individuais com respeito implementao do processo, e no h nenhum procedimento para examinar o processo. A estratgia global de TI inclui uma definio consistente de riscos a que a organizao est disposta a aceitar como um inovador ou seguidor. As estratgias dos recursos financeiros, tcnicos e humanos influenciam cada vez mais a aquisio de novos produtos e tecnologias. O planejamento estratgico de TI discutido em reunies de gerenciamento de negcios.
4 Gerenciado e Mensurvel quando

O planejamento estratgico de TI prtica padro e as excees seriam observadas pela gerncia. O planejamento estratgico de TI uma funo de gerenciamento definido com responsabilidades de nvel snior. A gerncia capaz de monitorar o processo de planejamento estratgico de TI, tomar decises com base em suas informaes e medir sua eficincia. Ambos, planejamento de TI de curto alcance e de longo alcance acontecem em cascata na organizao, com atualizaes feitas conforme a necessidade. A estratgia de TI e a estratgia ampla da organizao esto tornando-se cada vez mais coordenadas dirigindo-se a processos do negcio e s capacidades de valor agregado e alavancando o uso de aplicaes e tecnologias atravs da reengenharia do processo do negcio. Existe um processo bem definido para determinar o uso de recursos internos e externos exigido em desenvolvimento de sistemas e operaes.
5 Otimizado quando
O planejamento estratgico de TI um processo ativo e documentado, considerado continuamente no estabelecimento de metas de negcios e resulta em valor de negcio discernvel atravs de investimentos em TI. O risco e as consideraes de valor agregado so atualizados continuamente no processo de planejamento estratgico de TI. Planos realsticos de longo alcance de TI so desenvolvidos e atualizados constantemente para refletir a tecnologia em mudana e os desenvolvimentos relacionados ao negcio. Ocorre benchmarking diante de normas bem compreendidas e confiveis da atividade e integrado com o processo da formulao da estratgia. O plano estratgico inclui o quo novos desenvolvimentos de tecnologia podem levar criao de novas capacidades de negcio e melhorar a vantagem competitiva da organizao.
_____________________________________________________________________________________
Definir a Arquitetura da Informao
PO2
OBJETIVO
DE
CONTROLE
DE
ALTO NVEL
PO2 Definir a Arquitetura da Informao

A funo de sistemas de informao deveria criar e atualizar regularmente um modelo de informao de negcio e definir os sistemas apropriados para otimizar o uso desta informao. Isto abrange o desenvolvimento de um dicionrio de dados corporativo com as regras de sintaxe de dados da organizao, esquema de classificao de dados e nveis de segurana. Este processo melhora a qualidade da tomada de deciso gerencial assegurando que a informao confivel e segura seja fornecida, e habilita racionalmente recursos de sistemas de informao para combinar apropriadamente estratgias de negcio. Este processo de TI necessrio tambm para aumentar a responsabilidade para a integridade e segurana de dados e elevar a eficcia e o controle de compartilhamento de informaes atravs de aplicaes e entidades.
S P S P
e e e ad ad ia cia ad lid ilid c in rid nibi b ic g o fia te Ef Efic In isp on C D
ad e

ia lid
en c
on fid
on fo
rm
id
ad e
Monitorar e Avaliar

Definir a arquitetura da informao
que satisfaa o requisito do negcio para a TI

ser gil na resposta aos requisitos, fornecer informao confivel e consistente e integrar sem emendas as aplicaes nos processos de negcio
focando em
estabelecer um modelo de dados da empresa que incorpore um esquema de classificao de dados para assegurar integridade e consistncia de todos os dados
alcanado por
Assegurar a preciso da arquitetura da informao e modelo de dados Atribuir a posse dos dados Classificar a informao usando um esquema combinado de classificao
e medido por
Porcentagem de redundncia/duplicidade de elementos de dados Porcentagem de aplicaes desobedecendo arquitetura da informao Freqncia de atividades de validao de dados
nto me co ha gi lin trat A s E
E de ntreg Va a lor
o ura s s e rut a a rma est sso lic fo a- Pe Ap In Infr
Gerenciamento de Recursos Secundrio
Primrio
_____________________________________________________________________________________
Governana de TI
d d o de ura ura ura M M Mens empenho pe pe De De Des
PO2
OBJETIVOS
DE
CONTROLE DETALHADO

PO2.1 Modelo da Arquitetura da Informao da Empresa
Estabelecer e manter um modelo de informao da empresa para permitir o desenvolvimento de aplicaes e atividades de deciso-suporte, consistente com planos de TI como os descritos no PO1. O modelo facilita a criao favorvel, uso e compartilhamento de informao pelo negcio de maneira a manter sua integridade, sendo flexvel, funcional, custo-efetivo, oportuno, seguro e resistente a falha.
PO2.2 Dicionrio de Dados e Regras de Sintaxe de Dados da Empresa

Manter um dicionrio de dados da empresa que incorpore as regras de sintaxe de dados da organizao. Este dicionrio permite o compartilhamento de elementos de dados entre aplicaes e sistemas, promove uma compreenso comum de dados entre a TI e usurios de negcio, e previne a criao de elementos de dados incompatveis.
PO2.3 Esquema de Classificao de Dados

Estabelecer um esquema de classificao que se aplique por toda a empresa, baseado na criticalidade e sensibilidade de dados da empresa (ex: pblico, confidencial, super-secreto). Este esquema inclui detalhes sobre propriedade de dados, definio de nveis de segurana e controles apropriados de proteo, e uma breve descrio de requisitos de reteno e de destruio de dados, criticalidade e sensibilidade. usado como a base para se aplicar controles tais como controles de acesso, arquivamento ou encriptao.
PO2.4 Gerenciamento da Integridade

Definir e implementar procedimentos para assegurar integridade e consistncia de todos os dados armazenados em forma eletrnica, como databases, data warehouses e data archives.
_____________________________________________________________________________________
PO2
De
PO1 AI1 AI7 DS3 ME1
Entradas
Plano estratgico e ttico de TI Estudo de viabilidade dos requisitos de negcio Reviso de ps-implementao Informao de desempenho e capacidade Entradas de desempenho para planejamento de TI
Sadas
Esquema de classificao de dados Plano otimizado dos sistemas de negcio Dicionrio de dados Arquitetura da informao Classificaes atribudas dos dados Procedimentos e ferramentas de classificao * Sadas para COBIT externo
Para
AI2 PO3 AI2 AI2 DS11 PO3 DS5 DS1 DS4 DS5 DS11 DS12 *
Tabela RACI
Funes
es sP He roc ad es sO Op era wn Ch tio er ief ns Arc hit He ec ad t De ve He lop ad me IT nt Ad PM mi nis O tra Co ti o n Rismpl k a ian nd ce, Se Au cu dit rit y ,
R I I A/R C C R C R C C C C C C R R I
so medidos por
es s
CE O CF O
Ex Bu sin
I A A I
Atividades
Criar e manter modelo de informao corporativo/empresa. Criar e manter dicionrio(s) de dados corporativo. Estabelecer e manter esquema de classificao de dados. Fornecer posse de dados com procedimentos e ferramentas para classificar sistemas de informao. Utilizar modelo de informao, dicionrio de dados e esquema de classificao para planejar sistemas otimizados do negcio.
C I I C C C C
CIO
A I C C A
Direcionam a
A tabela RACI identifica quem : Responsible, Accontable, Consulted and/or Informed. Metas e Mtricas Metas das Atividades Assegurar a exatido da arquitetura de informao e modelo de dados. Atribuir posse de dados. Classificar a informao usando esquema combinado de classificao. Assegurar consistncia entre componentes de infra-estrutura de TI (arquitetura da informao, dicionrios de dados, aplicaes, sintaxe de dados, esquemas de classificao e nveis de segurana). Manter a integridade de dados. Metas dos Processos Estabelecer um modelo de dados da empresa. Reduzir redundncia de dados. Sustentar gerenciamento de informao efetiva. Metas de TI Otimizar o uso da informao. Assegurar integrao de aplicaes sem emendas nos processos de negcio. Responder aos requisitos de negcio em alinhamento com a estratgia de negcio. Criar a agilidade de TI.
Direcionam a
so medidos por
so medidos por
Indicadores de Desempenho Chave Freqncia de atualizaes ao modelo de dados da empresa. % de elementos de dados que no tm um proprietrio. Freqncia de atividades de validao de dados. Nvel de participao da comunidade de usurios.
Indicadores de Metas Chave de Processo % de elementos de dados que no so parte do modelo de dados da empresa. % da no conformidade com o esquema de classificao dos dados. % de aplicaes que desobedecem as arquiteturas de informao.
_____________________________________________________________________________________
Bu sin
C C C C C
ec uti ve
Indicadores de Metas Chave de TI % da satisfao de usurios do modelo de informao (ex: o dicionrio de dados amigvel?). % de redundncia/duplicidade de elementos de dados.
PO2
MODELO
DE
MATURIDADE

O gerenciamento do processo de Definir a Arquitetura da Informao que satisfaa o requisito do negcio para a TI de ser gil na resposta aos requisitos, fornecer informao confivel e consistente e integrar sem emendas aplicaes nos processos de negcio :
No h nenhuma conscientizao da importncia da arquitetura da informao pela organizao. O conhecimento, a percia e as responsabilidades necessrias para desenvolver esta arquitetura no existem na organizao.

A gerncia reconhece a necessidade de uma arquitetura da informao. O desenvolvimento de alguns componentes de uma arquitetura da informao ocorre em uma base ad hoc. As definies endeream dados ao invs de informao, e so dirigidas por ofertas de vendedor de software de aplicao. Existe comunicao inconsistente e espordica da necessidade para uma arquitetura da informao.

Um processo da arquitetura da informao emerge e procedimentos similares, embora informais e intuitivos, so seguidos por indivduos diferentes dentro da organizao. As pessoas adquirem suas habilidades em construir a arquitetura da informao atravs da experincia prtica e aplicao repetida de tcnicas. Os requisitos tticos dirigem o desenvolvimento de componentes da arquitetura da informao por indivduos.

A importncia da arquitetura da informao entendida e aceita, a responsabilidade por sua entrega atribuda e comunicada claramente. Procedimentos relacionados, ferramentas e tcnicas, embora no sofisticadas, tem sido padronizadas e documentadas e so parte de atividades de treinamento informal. As polticas bsicas da arquitetura da informao foram desenvolvidas, inclusive alguns requisitos estratgicos, mas a conformidade com polticas, padres e ferramentas no imposta consistentemente. Uma funo formalmente definida da administrao de dados est instalada, ajustando amplamente padres da organizao, e est comeando a relatar sobre a entrega e uso da arquitetura da informao. As ferramentas automatizadas esto comeando a ser empregadas, mas os processos e regras usados so definidos por ofertas de vendedor de software de banco de dados. As atividades de treinamento formal so definidas, documentadas e consistentemente aplicadas.

O desenvolvimento e a aplicao da arquitetura da informao so sustentados completamente por mtodos e tcnicas formais. A responsabilidade pelo desempenho do processo de desenvolvimento da arquitetura imposta e o sucesso da arquitetura da informao est sendo medido. As ferramentas automatizadas de apoio so largamente difundidas, mas ainda no so integradas. As mtricas bsicas foram identificadas e um sistema de medida est instalado. O processo de definio da arquitetura da informao proativo e focado em dirigir-se s necessidades futuras do negcio. A organizao da administrao de dados ativamente envolvida em todos os esforos de desenvolvimento da aplicao, para assegurar consistncia. Um repositrio automatizado completamente implementado. Os modelos de dados mais complexos esto sendo implementados para alavancar o contedo de informao dos bancos de dados. Os sistemas de informao executiva e os sistemas de apoio deciso esto alavancando as informaes disponveis.
5 Otimizado quando
A arquitetura da informao imposta consistentemente em todos os nveis. O valor da arquitetura da informao para os negcios enfatizado continuamente. O pessoal de TI tem a percia e habilidades necessrias para desenvolver e manter uma arquitetura da informao robusta e responsiva que reflete todos os requisitos de negcio. A informao fornecida pela arquitetura da informao aplicada consistentemente e extensivamente. O uso extensivo feito das melhores prticas da atividade no desenvolvimento e manuteno da arquitetura da informao incluindo um processo de melhoria contnua. A estratgia para alavancar informao atravs de tecnologias data warehousing e data mining definida. A arquitetura da informao continuamente melhorada e leva em considerao informaes no tradicionais sobre processos, organizaes e sistemas.
_____________________________________________________________________________________
Determinar a Direo Tecnolgica
PO3
OBJETIVO
DE
CONTROLE
DE
ALTO NVEL
PO3 Determinar a Direo Tecnolgica

A funo de servios de informao deveria determinar a direo da tecnologia para sustentar o negcio. Isto exige a criao de um plano de infra-estrutura tecnolgica e um conselho de arquitetura que fixe e gerencie expectativas claras e realsticas do que a tecnologia pode oferecer em termos de produtos, servios e mecanismos de entrega. O plano deveria ser atualizado regularmente e abranger aspectos como a arquitetura de sistemas, direo tecnolgica, plano de aquisies, padres, estratgias de migrao e de contingncia. Isto permite a obteno de respostas oportunas para as mudanas no ambiente competitivo, economias de escala para staffing de sistemas de informao e investimentos, como tambm melhorar a interoperabilidade de plataformas e aplicaes.
P P
e e e ad ad ia cia ad lid ilid c in rid nibi b g o ic c fia te Ef Efi In isp on C D
ad e
Planejar Planejar e e Organizar Organizar

ia lid
on fi d en c
on fo
rm
id
ad e
Monitorar e Avaliar

Determinar a direo tecnolgica
que satisfaa o requisito do negcio para a TI

ter sistemas de aplicao padronizados, integrados, estveis e econmicos, recursos e capacidades que atendam aos requisitos atuais e futuros do negcio
focando em
definir e implementar um plano de infra-estrutura de tecnologia, arquitetura e padres que reconhea e alavanque oportunidades tecnolgicas
alcanado por
Estabelecer um forum para direcionar a arquitetura e verificar conformidade Estabelecer um plano de infra-estrutura tcnica ponderado de acordo com custo, risco e requisitos Definir padres de infra-estrutura tcnica baseados em requisitos da arquitetura da informao
e medido por
Nmero e tipo de divergncias do plano de infra-estrutura de tecnologia Freqncia da reviso/atualizao do plano de infra-estrutura de tecnologia Nmero de plataformas de tecnologia por funo atravs da empresa
to en am ico nh tg Ali stra E
E de ntreg Va a lor
Gerenciamento de Recursos Secundrio
Primrio
_____________________________________________________________________________________
Governana de TI
o o de u sura o Mens empenho mp D Des
PO3
OBJETIVOS
DE
CONTROLE DETALHADO

PO3.1 Planejamento da Direo Tecnolgica
Analisar tecnologias existentes e emergentes e planejar qual direo tecnolgica apropriada para realizar a estratgia de TI e a arquitetura de sistemas do negcio. Tambm identificar no plano quais tecnologias tem potencial para criar oportunidades de negcio. O plano deveria direcionar-se a arquitetura de sistemas, direo tecnolgica, estratgias de migrao e aspectos de contingncia de componentes de infra-estrutura.
PO3.2 Plano de Infra-estrutura Tecnolgica

Criar e manter um plano de infra-estrutura tecnolgica que esteja de acordo com planos estratgico e ttico de TI. O plano baseado na direo tecnolgica e inclui arranjos de contingncia e direo para aquisio de recursos de tecnologia. Considera mudanas no ambiente competitivo, economias de escala para staffing de sistemas de informao e investimentos, e melhorias na interoperabilidade de plataformas e aplicaes.
PO3.3 Monitoramento das Tendncias e Regulamentos Futuros

Estabelecer um processo para monitorar negcios setor/atividade, tecnologia, infra-estrutura, tendncias legais e regulatrias do ambiente. Incorporar as conseqncias destas tendncias no desenvolvimento do plano de infraestrutura de tecnologia de TI.
PO3.4 Padres de Tecnologia

Para fornecer solues tecnolgicas consistentes, efetivas e seguras amplamente na empresa, estabelecer um forum de tecnologia para fornecer diretrizes de tecnologia, aconselhar na infra-estrutura de produtos e orientar na seleo da tecnologia, e mensurar conformidade com estes padres e diretrizes. Este forum dirige padres e prticas de tecnologia baseadas em sua relevncia de negcios, riscos e conformidade com requisitos externos.
PO3.5 Conselho de Arquitetura de TI

Estabelecer um conselho de arquitetura de TI para fornecer diretrizes de arquitetura e aconselhar em sua aplicao e verificar conformidade. Esta entidade direciona o projeto de arquitetura de TI garantindo que este habilite a estratgia de negcios e considera requisitos regulatrios de conformidade e de continuidade. Isto informado/vinculado arquitetura de informaes.
_____________________________________________________________________________________
PO3
De
PO1 PO2 AI3 DS3
Entradas
Planos estratgico e ttico de TI Plano otimizado dos sistemas de negcio, arquitetura de informao Atualizaes para padres de tecnologia Informao de desempenho e capacidade
Sadas
Oportunidades de tecnologia Padres de tecnologia Atualizaes regulares do estado da tecnologia Plano de infra-estrutura de tecnologia Requisitos de infra-estrutura
Para
AI3 AI1 AI1 AI3 PO5 AI3 AI2 AI7 AI3 DS5
Tabela RACI
Funes
es sP He roc ad es Op sO era wn Ch tio er ief ns Arc hit He ec ad t De ve He lop ad me IT nt Ad PM mi nis O tra Co ti o n Rismpli k a anc nd e, Se Au cu dit rit y ,
C C I C C R R R R R C C I C C C I I I I C C C I I C C
so medidos por
Bu sin
I I I C
es s
CE O CF O
Ex
Atividades
Criar e manter um plano de infra-estrutura de tecnologia. Criar e manter padres de tecnologia. Publicar padres de tecnologia. Monitorar a evoluo da tecnologia. Definir uso (futuro)(estratgico) da nova tecnologia.
I I I C
Metas e Mtricas Metas das Atividades Definir os padres tcnicos de infraestrutura baseado em requisitos da arquitetura da informao Estabelecer um plano de infra-estrutura tcnica ponderado de acordo com custo, risco e requisitos Estabelecer um forum para direcionar a arquitetura e verificar conformidade
Direcionam a
Metas dos Processos Identificar e alavancar oportunidades de tecnologia. Desenvolver e implementar o plano de infra-estrutura e tecnologia. Definir a arquitetura e padres de tecnologia para a infra-estrutura de TI.
CIO
A A A A A
Direcionam a
so medidos por
so medidos por
Indicadores de Desempenho Chave Freqncia de reunies realizadas pelo forum de tecnologia Freqncia de reunies realizadas pelo conselho de arquitetura de TI Freqncia da reviso/atualizao do plano de infra-estrutura de tecnologia
Indicadores de Metas Chave de Processo % de no conformidade com padres de tecnologia nmero de plataformas de tecnologia por funo atravs da empresa
_____________________________________________________________________________________
Bu sin
ec uti ve
Metas de TI Otimizar infra-estrutura de TI, recursos e capacidades. Adquirir e manter sistemas de aplicao integrados e padronizados.
Indicadores de Metas Chave de TI nmero e tipo de divergncias do plano de infra-estrutura de tecnologia
PO3
MODELO
DE
MATURIDADE

O gerenciamento do processo de Determinar a direo tecnolgica que satisfaa o requisito do negcio para a TI de ter sistemas de aplicao padronizados, integrados, estveis e econmicos, recursos e capacidades que atendam aos requisitos atuais e futuros do negcio :
No h nenhuma conscientizao da importncia do planejamento de infra-estrutura de tecnologia para a entidade. O conhecimento e a percia necessria para desenvolver tal plano de infra-estrutura de tecnologia no existe. Existe a falta de entendimento de que o planejamento para mudana tecnolgica crtico para alocar recursos eficazmente.

A gerncia reconhece a necessidade do planejamento da infra-estrutura de tecnologia. Os desenvolvimentos de componentes de tecnologia e implementaes de tecnologias emergentes so ad hoc e isoladas. H uma abordagem reativa e operacionalmente focada no planejamento da infra-estrutura. O direcionamento da tecnologia guiado pelos planos freqentemente contraditrios da evoluo do produto de hardware, vendedores de software de sistemas e de software de aplicaes. A comunicao do potencial impacto das mudanas em tecnologia inconsistente.

A necessidade em relao importncia do planejamento da tecnologia comunicada. O planejamento ttico e focado na gerao de solues tcnicas para problemas tcnicos, ao invs do uso da tecnologia para buscar as necessidades do negcio. A avaliao de mudanas tecnolgicas deixada para indivduos diferentes que seguem processos intuitivos, porm semelhantes. As pessoas obtm suas habilidades em planejamento de tecnologia atravs de aprendizado na prtica e aplicao de tcnicas repetidas. As tcnicas e padres comuns esto emergindo para o desenvolvimento de componentes de infra-estrutura.

A gerncia est ciente da importncia do plano de infra-estrutura de tecnologia. O processo de desenvolvimento do plano de infra-estrutura de tecnologia razoavelmente seguro e est alinhado com o plano estratgico de TI. Existe um plano de infra-estrutura de tecnologia definido, documentado e bem comunicado, mas aplicado inconsistentemente. A direo da infra-estrutura de tecnologia inclui uma compreenso de onde a organizao quer liderar ou retardar no uso de tecnologia, baseado em riscos e em alinhamento com a estratgia da organizao. Os fornecedores chave so selecionados baseado na compreenso de seus planos de desenvolvimento de tecnologia e produto a longo prazo, consistente com a direo da organizao. Existe treinamento e comunicao formal de papis e responsabilidades.

A gerncia garante o desenvolvimento e manuteno do plano de infra-estrutura de tecnologia. O pessoal de TI tem a percia e habilidades necessrias para desenvolver um plano de infra-estrutura de tecnologia. O impacto potencial de tecnologias em mudana e emergentes levado em considerao. A gerncia pode identificar divergncias do plano e antever problemas. A responsabilidade para o desenvolvimento e manuteno de um plano de infra-estrutura de tecnologia foi atribuda. O processo de desenvolvimento do plano de infra-estrutura de tecnologia sofisticado e responsivo mudana. Boas prticas internas foram introduzidas no processo. A estratgia de recursos humanos est alinhada com a direo de tecnologia, para garantir que o pessoal de TI possa administrar mudanas de tecnologia. Os planos de migrao para introduzir novas tecnologias so definidos. Outsourcing e partnering esto sendo alavancados para acessar percias e habilidades necessrias. A gerncia analisou a aceitao do risco relativo a liderar ou retardar o uso da tecnologia no desenvolvimento de novas oportunidades de negcio ou eficincias operacionais.
5 Otimizado quando
Existe uma funo de pesquisa para investigar tecnologias emergentes e realizar um benchmark da organizao frente a normas da atividade. A direo do plano de infra-estrutura de tecnologia orientada pela atividade e padres internacionais e desenvolvimentos, ao invs de serem dirigidos por vendedores de tecnologia. O impacto potencial do negcio da mudana tecnolgica revisto a nveis de gerncia snior. Existe aprovao executiva formal de novas direes e mudanas tecnolgicas. A entidade tem um plano de infra-estrutura de tecnologia robusto que reflete os requisitos de negcio, responsivo e pode ser modificado para refletir mudanas no ambiente de negcios. Existe um processo contnuo e reforado para melhorar o plano de infra-estrutura de tecnologia. As melhores prticas da atividade so extensivamente usadas em determinar a direo tcnica.
_____________________________________________________________________________________
Definir os Processos, Organizao e Relacionamentos de TI
PO4
OBJETIVO
DE
CONTROLE
DE
ALTO NVEL
PO4 Definir os Processos, Organizao e Relacionamentos de TI

Uma organizao de TI deve ser definida considerando requisitos para staff, habilidades, funes, accountability, responsabilidade, autoridade, papis e responsabilidades, e superviso. Esta organizao estar inserida em um processo de framework de TI que assegure transparncia e controle bem como a participao de executivos sniores e da gerncia de negcios. Um comit de estratgia deveria assegurar superviso do conselho de TI e de um ou mais comits de direo, no qual negcios e a TI participam, deveria determinar prioritizao de recursos de TI alinhado com necessidades do negcio. Processos, polticas administrativas e procedimentos precisam estar implantados para todas as funes, com ateno especfica ao controle, garantia de qualidade, gerncia de risco, segurana da informao, propriedade de dados e de sistemas, e segregao de deveres. Para garantir suporte aos requisitos de negcio, a TI deve estar envolvida nos processos de deciso relevantes.
P P
ad e

ia lid
on fi d en c
on fo
rm
id
ad e
Monitorar e Avaliar


ser gil na resposta estratgia de negcio ao cumprir com requisitos de governana e fornecer pontos de contato definidos e adequados
focando em
estabelecer estrutura organizacional de TI transparente, flexvel e responsiva, definir e implementar processos de TI com os proprietrios, papis e responsabilidades integradas no negcio e nos processos de deciso
alcanado por
Definir um framework do processo de TI Estabelecer estrutura e corpo organizacional apropriados Definir papis e responsabilidades
e medido por
Porcentagem de papis com descries documentadas da posio e da autoridade Nmero de unidades de negcio/processos no apoiados pela organizao de TI que deveria ser apoiada, de acordo com a estratgia Nmero de atividades importantes de TI fora da organizao de TI que no so aprovadas ou no esto sujeitas a padres organizacionais de TI
nt o me co ha gi lin trat A s E
E de ntreg Va a lor
Primrio
Secundrio
_____________________________________________________________________________________
Gere nc de R iamento isco s
Governana de TI
o o o e o d ns ns nsura ho ho ho Mens empenho m m m Des
PO4
OBJETIVOS
DE
CONTROLE DETALHADO

PO4.1 Framework do Processo de TI
Definir um framework do processo de TI para executar o plano estratgico de TI. Este framework inclui uma estrutura do processo de TI e relacionamentos (ex: administrar lacunas de processo e sobreposies), propriedade, maturidade, mensurao de desempenho, melhoria, conformidade, objetivos de qualidade e planos para alcan-los. Fornecer integrao entre processos que sejam especficos TI, gerncia de portfolio da empresa, processos do negcio e processos da mudana do negcio. O framework do processo de TI deveria ser integrado em um sistema de gerenciamento de qualidade e ao framework de controle interno.
PO4.2 Comit de Estratgia de TI

Estabelecer um comit de estratgia de TI a nvel de conselho. Este comit assegura que a governana de TI, como parte da governana corporativa, dirigida adequadamente, aconselha sobre a direo estratgica e rev principais investimentos em nome de todo o conselho.
PO4.3 Comit de Direo de TI

Estabelecer um comit de direo de TI (ou equivalente) composto da gerncia executiva, de negcio e de TI para: Determinar prioritizao de programas de investimento de TI alinhado com estratgia de negcio e prioridades da empresa Trilhar o status de projetos e solucionar conflito de recursos Monitorar nveis de servio e melhorias do servio
PO4.4 Colocao Organizacional da funo de TI

Colocar a funo da TI na estrutura organizacional global com um contingente modelo de negcio sobre a importncia da TI dentro da empresa, especificamente sua criticalidade para estratgia de negcio e o nvel de dependncia operacional em TI. A linha de informao do CIO proporcional importncia da TI dentro da empresa.
PO4.5 Estrutura Organizacional de TI

Estabelecer uma estrutura organizacional interna e externa de TI que reflita as necessidades do negcio. Alm disso, instalar um processo para rever periodicamente a estrutura organizacional de TI para ajustar requisitos de staffing e iniciar estratgias para atingir objetivos esperados de negcios e circunstncias em mudana.
PO4.6 Papis e Responsabilidades

Definir e comunicar papis e responsabilidades para todo o pessoal na organizao com relao a sistemas de informao, de modo que possuam autoridade suficiente para exercer o papel e a responsabilidade a eles determinada. Criar descries de cargo e atualiz-las regularmente. Estas descries delineiam ambas, autoridade e responsabilidade, inclui definies de habilidades e experincia necessria na posio relevante, e so apropriadas para o uso na avaliao de desempenho. As descries de cargo devem conter a responsabilidade para o controle interno.
PO4.7 Responsabilidade para a Garantia de Qualidade da TI

Atribuir responsabilidade para o desempenho da funo da garantia de qualidade e prover o grupo de garantia de qualidade com sistemas de garantia de qualidade, controles e comunicaes especializadas. A localizao organizacional e as responsabilidades e tamanho do grupo de garantia de qualidade satisfazem os requisitos da organizao.
PO4.8 Responsabilidade por Risco, Segurana e Conformidade

Embutir a posse e a responsabilidade dos riscos relacionados a TI dentro do negcio em um nvel snior apropriado. Definir e atribuir papis crticos para gerenciar riscos de TI inclusive a responsabilidade especfica pela segurana de informao, segurana fsica e conformidade. Estabelecer a responsabilidade da gerncia de risco e da segurana de toda a organizao para tratar os resultados de toda a organizao. As responsabilidades adicionais da gerncia de segurana podem precisar ser atribudas a nvel especfico de sistema ao tratar com assuntos relacionados a segurana. Obter orientao da gerncia snior quanto ao apetite de TI por risco e aprovao de alguns riscos residuais de TI.
PO4.9 Posse dos Dados e do Sistema

Prover o negcio com procedimentos e ferramentas permitindo-o enderear suas responsabilidades para a posse de dados e sistemas de informao. Os proprietrios tomam decises sobre a classificao de sistemas e informaes e proteg-los na linha desta classificao.
_____________________________________________________________________________________
PO4.10 Superviso
PO4
Implementar prticas adequadas de fiscalizao da funo de TI para assegurar que papis e responsabilidades sejam exercidos corretamente, avaliar se todo pessoal tem autoridade e recursos suficientes para executar seus papis e responsabilidades, e para verificar os indicadores de desempenho chave de forma geral.
PO4.11 Segregao de Deveres

Implementar uma diviso de papis e responsabilidades que reduza a possibilidade quanto a um nico individuo subverter um processo crtico. A gerncia tambm garante que o pessoal est desempenhando somente os deveres autorizados relevantes a seus trabalhos e posies respectivas.
PO4.12 Staffing de TI
Avaliar requisitos de staffing de maneira metdica ou sobre mudanas principais para os ambientes de negcio, operacionais ou de TI, para assegurar que a funo de TI tenha um nmero suficiente e competente no staff de TI. O staffing leva em considerao a co-locao de trabalho/staff de TI, treinamento interno, rotao de trabalho e oportunidades de outsourcing.
PO4.13 Pessoal Chave de TI

Definir e identificar pessoal chave de TI e minimizar confiana excessiva neles. Um plano para contatar o pessoal chave em caso de emergncia deve existir.
PO4.14 Empregar Polticas e Procedimentos de Staff

Definir e implementar polticas e procedimentos para controlar as atividades de consultores e outro pessoal contratado pela funo de TI para assegurar a proteo dos ativos de informao da organizao e obter os requisitos contratuais combinados.
PO4.15 Relacionamentos
Estabelecer e manter uma tima coordenao, comunicao e estrutura de ligao entre a funo de TI e vrios outros interesses dentro e fora da funo de TI, tal como conselho, executivos, unidades de negcio, usurios individuais, fornecedores, security officers, gerentes de risco, o grupo de conformidade corporativa, outsourcers e gerncia offsite.
_____________________________________________________________________________________
PO4
A pgina saiu em branco intencionalmente
_____________________________________________________________________________________
PO4
De
PO1 PO7
Entradas
Planos estratgicos e tticos Poltica de RH da TI e procedimentos, matriz das habilidades de TI, descries de trabalho Aes de melhoria da Qualidade Planos de ao corretiva de risco relacionado a TI Planos de ao corretiva Relatrio de eficcia de controle de TI Catlogo de requisitos legais e regulatrios relacionados entrega de servio de TI Melhorias do framework de Processo
Sadas
Framework de processo de TI Proprietrios de sistema documentados Organizao e relacionamentos da TI Framework de processo de TI, papis e responsabilidades documentados Papis e responsabilidades documentados
Para
ME4 AI7 DS6 PO7
TODOS
PO8 PO9 ME1 ME2 ME3 ME4
PO7
Tabela RACI
Funes
C C C C I R I C C C I R C C C I I C R R I I R C C I I C I C I C C
so medidos por
Bu sin
C C C A I
es s
CE O CF O
Ex
Atividades
Estabelecer estrutura organizacional de TI, inclusive comits e vnculos para stakeholders e vendedores. Projetar framework de processo de TI. Identificar proprietrios de sistema. Identificar proprietrios de dados. Estabelecer e implementar papis e responsabilidades de TI, inclusive superviso e segregao de deveres.
C C
C C C I I
A tabela RACI identifica quem : Responsible, Accontable, Consulted and/or Informed. Metas e Mtricas Metas das Atividades Definir um framework do processo de TI. Estabelecer estrutura e corpo organizacional apropriados. Metas dos Processos Estabelecer estruturas organizacionais e relacionamentos de TI flexvel e responsivo. Definir claramente proprietrios, papis e responsabilidades para todos os processos de TI e relacionamentos do stakeholder. Metas de TI Responder aos requisitos de Governana diretamente direo do conselho. Responder aos requisitos do negcio em alinhamento com a estratgia do negcio. Criar a agilidade de TI.
Direcionam a
so medidos por
so medidos por
Indicadores de Desempenho Chave % de papis com descries documentadas da posio e da autoridade. % das funes/processos operacionais da TI que so conectados s estruturas operacionais do negcio. Freqncia de reunies de estratgia e comits de direo.
Indicadores de Metas Chave de Processo Nmero de responsabilidades contraditrias na viso da segregao de deveres. Nmero de agravamentos ou assuntos no resolvidos devido falta de ou s atribuies insuficientes de responsabilidade. % de stakeholders satisfeitos com a responsividade da TI.
Direcionam a
CIO
A A A C A
_____________________________________________________________________________________
Bu sin
ec uti ve
Indicadores de Metas Chave de TI Satisfao do stakeholder (pesquisas). Nmero de iniciativas de negcio atrasadas devido inrcia organizacional da TI ou indisponibilidade das potencialidades necessrias. Nmero processos de negcios no suportados pela organizao da TI que deveria ser suportado, de acordo com a estratgia. Nmero de atividades importantes da TI fora da organizao da TI que no so aprovadas nem sujeitas a padres organizacionais de TI.
PO4
MODELO
DE
MATURIDADE

O gerenciamento do processo de Definir os processos, organizao e relacionamentos de TI que satisfaa o requisito do negcio para a TI de ser gil na resposta estratgia de negcio ao cumprir com requisitos de governana e fornecer pontos de contato definidos e adequados :
A organizao da TI no est estabelecida eficazmente para focar na realizao de objetivos de negcio.

As atividades e funes da TI so reativas e inconsistentemente implementadas. A TI envolvida em projetos de negcio somente em estgios mais atrasados. A funo da TI considerada uma funo de apoio, sem uma perspectiva global da organizao. H uma compreenso implcita da necessidade para uma organizao de TI; porm, papis e responsabilidades no so formalizados nem impostos.

A funo da TI organizada para responder taticamente, mas inconsistentemente, s necessidades do cliente e aos relacionamentos com vendedores. A necessidade para uma gerncia estruturada da organizao e de vendedores comunicada, mas as decises ainda so dependentes no conhecimento e habilidades de indivduos chave. H o surgimento de tcnicas comuns para gerenciar a organizao da TI e relacionamentos com vendedores.

Existem e esto definidos os papis e responsabilidades para a organizao de TI e parceiros. A organizao de TI desenvolvida, documentada, comunicada e alinhada com a estratgia de TI. O ambiente de controle interno definido. Existe formalizao de relacionamentos com outras partes, incluindo comits de direo, auditoria interna e gerenciamento de vendas. A organizao da TI est funcionalmente completa. H definies de funes para serem desempenhadas pelo pessoal de TI e aquelas para serem desempenhas por usurios. Requisitos essenciais de staffing e percia de TI so definidos e satisfeitos. H uma definio formal de relacionamentos com usurios e parceiros. A diviso de papis e responsabilidades definida e implementada.

A organizao da TI responde proativamente mudana e inclui todos os papis necessrios para reunir requisitos do negcio. Gerenciamento de TI, propriedade do processo, accountability e responsabilidade so definidos e equilibrados. Boas prticas internas foram aplicadas na organizao das funes de TI. A gerncia de TI tem a percia e habilidades apropriadas para definir, implementar e monitorar a organizao e os relacionamentos escolhidos. As mtricas mensurveis para suportar objetivos de negcio e fatores crticos de sucesso so definidas pelo usurio e padronizadas. Os inventrios de habilidade esto disponveis para sustentar o staffing do projeto e desenvolvimento profissional. O equilbrio entre habilidades e recursos disponveis internamente e aqueles necessrios de organizaes externas definido e imposto. A estrutura organizacional da TI reflete apropriadamente as necessidades do negcio fornecendo servios alinhados com os processos estratgicos do negcio, ao invs do uso de tecnologias isoladas.
5 Otimizado quando
A estrutura organizacional da TI flexvel e adaptvel. As melhores prticas da atividade so empregadas. H uso extensivo da tecnologia para ajudar no monitoramento e desempenho da organizao e dos processos de TI. feito o alinhamento da tecnologia para suportar a complexidade e distribuio geogrfica da organizao. Existe um processo contnuo de melhoria.
_____________________________________________________________________________________
Gerenciar o Investimento em TI
PO5
OBJETIVO
DE
CONTROLE
DE
ALTO NVEL
PO5 Gerenciar o Investimento em TI

Estabelecer e manter um framework para gerenciar programas de investimento de TI que abranja custo, benefcios, prioritizao dentro de oramento, um processo formal de gerenciamento e provisionamento de acordo com o oramento. Trabalhar com stakeholders para identificar e controlar os custos e benefcios totais dentro do contexto dos planos tticos e estratgicos de TI, e iniciar ao corretiva onde necessria. O processo promove a parceria entre a TI e stakeholders do negcio, habilita o uso efetivo e eficiente de recursos de TI, e fornece transparncia e accountability no custo total, na concretizao de benefcios de negcios e o retorno nos investimentos realizados em TI.
P P
e e e ad ad ia cia ad id ilid id ibil c in b gr on ic c fia te Ef Efi In isp on C D
ad e

ia lid
on fi d en c
on fo
rm
id
ad e
Monitorar e Avaliar


melhorar continuamente e demonstravelmente custo-eficincia da TI e sua contribuio para rentabilidade do negcio com servios integrados e padronizados que satisfaa as expectativas do usurio final
focando em
decises eficazes e eficientes do investimento e do portfolio de TI, ajustando e acompanhando oramentos de TI alinhado com decises da estratgia e investimento de TI
alcanado por
Prever e alocar recursos Definir critrios formais de investimento (ROI, perodo de retorno, NPV) Mensurar e avaliar valor do negcio frente previso
e medido por
Porcentagem da reduo do custo unitrio dos servios entregues de TI Porcentagem do valor desviado do oramento comparado ao oramento total Porcentagem de gastos de TI expresso em aceleradores de valor de negcio (ex: aumento de vendas/servios devido elevada conectividade)
to en o am gic inh trat Al s E
E de ntre Va ga lo r
Primrio
Secundrio
_____________________________________________________________________________________
Gere n de Rciamento isco s
Governana de TI
ra es o tu s a stru soa a m lic for a- e Pes Ap In Infr
od od od o de u u u ura Mens empenho p p p D D D Des
PO5
OBJETIVOS
DE
CONTROLE DETALHADO

PO5.1 Framework de Gerenciamento Financeiro
Estabelecer um framework financeiro para TI que conduza ao oramento e anlise custo/benefcio, baseado em investimento, servio e portfolios de ativos. Manter o portfolio de programas de investimento em TI, servios de TI e recursos de TI, que formem a base para o oramento da TI atual. Fornecer entrada para casos de negcio para novos investimentos, levando em conta portfolios atuais bens e servios da TI. Novos investimentos e manuteno para servio e portfolios de ativos influenciaro o oramento futuro da TI. Comunicar aspectos de custo e de benefcios desses portfolios aos processos de prioritizao de oramento, do gerenciamento de custo e de benefcios.
PO5.2 Prioritizao Dentro de Oramento de TI

Implementar um processo de tomada de deciso para prioritizar a alocao de recursos de TI nas operaes, projetos e manuteno visando maximizar a contribuio da TI para otimizar o retorno de programas de investimento de TI no portfolio da empresa e outros servios de bens da TI.
PO5.3 Oramento no Processo de TI

Estabelecer um processo para preparar e administrar um oramento refletindo as prioridades estabelecidas pelos programas de investimento de TI do portfolio da empresa, inclusive os custos em andamento de operaes e manuteno da infra-estrutura atual. O processo deveria suportar o desenvolvimento de um oramento global da TI bem como o desenvolvimento de oramentos para programas individuais, com nfase especfica nos componentes de TI daqueles programas. O processo deveria permitir a reviso contnua, refinamento e aprovao do oramento global e fazer previso para programas individuais.
PO5.4 Gerenciamento de Custo

Implementar um processo de gerenciamento de custo comparando custos reais aos orados. Os custos deveriam ser monitorados e comunicados. Onde houver divergncias, estas deveriam ser identificadas em tempo e o impacto destas divergncias nos programas deveria ser avaliado e, em conjunto com o responsvel de negcios daqueles programas, deveria ser tomada ao corretiva apropriada, se necessrio, o case do programa de negcios deveria ser atualizado.
PO5.5 Gerenciamento de Benefcio

Implementar um processo de monitoramento de benefcios. A contribuio esperada da TI para resultados de negcio, como um componente de programas de investimento de TI ou como parte da sustentao operacional regular, deveria ser identificada, combinada, monitorada e reportada. Os relatrios deveriam ser revisados e, onde existem oportunidades para melhorar a contribuio da TI, deveriam ser definidas e tomadas aes apropriadas. Onde as mudanas com a contribuio da TI impactam o programa, ou onde mudanas em projetos relacionados impactam o programa, o case do programa de negcios deveria ser atualizado.
_____________________________________________________________________________________
PO5
De
PO1 PO3 PO10 AI1 AI7 DS3 DS6 ME4
Entradas
Plano estratgico e ttico de TI, portfolios de projeto e servio Requisitos de Infra-estrutura Portfolio de projeto de TI atualizado Estudo de viabilidade dos requisitos do negcio Revises de ps-implementao Plano de desempenho e capacidade (requisitos) Finanas da TI Expectativa de negcios resultante de investimentos de negcio da TI
Sadas
Relatrios de custo/benefcios Oramento de TI Portfolio de servio atualizado Portfolio de projeto atualizado
Para
PO1 AI2 DS6 DS1 PO10 DS6 ME1 ME4
Tabela RACI
Funes
es sP He roc ad es Op sO era wn Ch tio er ief ns Arc hit He ec ad t De ve He lop ad me IT nt Ad PM mi nis O tra Co ti o n Rismpl k a ianc nd e, Se Au cu dit rit y ,
I C C C C C C C C C R R C C C C I I I C
so medidos por
Bu sin
R
es s
CE O CF O
Ex
Atividades
Manter portfolio de programa. Manter portfolio de projeto. Manter portfolio de servio. Estabelecer e manter processo de oramento de TI. Identificar,comunicar e monitorar investimento da TI,custo e valor ao negcio.
A I I I I
R C C C C
CIO
R
Direcionam a
A/R A/R A/R A/R C A C A/R
Metas e Mtricas Metas das Atividades Definir critrios formais de investimento (ROI, perodo de retorno, NPV). Prever e alocar oramentos. Mensurar e avaliar valor do negcio de encontro ao previsto. Metas dos Processos Permitir decises de investimento e de portfolio de TI. Fixar e trilhar oramentos de TI alinhados com decises de estratgia de TI e investimento de TI. Otimizar custos de TI e maximizar benefcios de TI. Metas de TI Melhorar custo-eficincia da TI e sua contribuio para rentabilidade do negcio. Assegurar transparncia e compreenso de custos, benefcios, estratgia, polticas e nveis de servio da TI. Assegurar que a TI demonstre qualidade custo-eficincia do servio, melhoria contnua e prontido para mudana futura.
Direcionam a
so medidos por
so medidos por
Indicadores de Desempenho Chave % de projetos com benefcio definido de antemo. % de custo de servios de TI. % de projetos com uma reviso ps projeto. Freqncia de informao de benefcio. % de projetos onde informao de desempenho disponvel (desempenho de custo, desempenho da programao e perfil do risco).
Indicadores de Metas Chave de Processo Nmero de divergncias de oramento. % de divergncia oramentria comparada ao oramento total. % da reduo do custo de unidade de servio de TI entregue. % de investimentos de TI entregando benefcios predefinidos.
_____________________________________________________________________________________
Bu sin
C C C
ec uti ve
Indicadores de Metas Chave de TI % de investimentos de TI excedendo ou reunindo benefcio predefinido do negcio. % de aceleradores de valor da TI mapeados para aceleradores de valor do negcio. % de gasto da TI expresso em aceleradores de valor do negcio (ex: crescimento das vendas devido a aumento de conectividade).
PO5
MODELO
DE
MATURIDADE
O gerenciamento do processo de Gerenciar o Investimento em TI que satisfaa o requisito do negcio para a TI de melhorar continuamente e demonstravelmente custo-eficincia da TI e sua contribuio para rentabilidade do negcio com servios integrados e padronizados que satisfaa as expectativas do usurio final :
No existe nenhuma conscientizao da importncia de seleo de investimento e oramento de TI. No existe nenhum acompanhamento ou monitorao de investimentos e despesas de TI.

A organizao reconhece a necessidade por gerenciar o investimento em TI, mas esta necessidade comunicada inconsistentemente. A alocao de responsabilidade para seleo do investimento de TI e desenvolvimento do oramento feito em uma base ad hoc. Implementaes isoladas da seleo do investimento de TI e oramento ocorrem, com documentao informal. Os investimentos de TI so justificados em uma base ad hoc. Decises de oramento reativo e focado operacionalmente ocorrem.

H uma compreenso implcita da necessidade para seleo de investimento de TI e oramento. A necessidade para um processo de seleo e de oramento comunicada. A conformidade dependente da iniciativa de indivduos na organizao. H o surgimento de tcnicas comuns para desenvolver componentes do oramento da TI. Ocorrem decises reativas e tticas de oramento.

As polticas e processos para investimento e oramento so definidas, documentadas e comunicadas, e cobrem assuntos chave de negcio e tecnologia. O oramento da TI alinhado com planos estratgicos de TI e negcios. O oramento e processos de seleo de investimento de TI so formalizados, documentados e comunicados. O treinamento formal est emergindo, mas ainda baseado principalmente em iniciativas individuais. A aprovao formal de selees de investimento de TI e oramentos est acontecendo. O staff de TI tem percia e habilidades necessrias para desenvolver o oramento de TI e recomendar investimentos de TI apropriados.

A responsabilidade e accountability para seleo de investimento e oramento so atribudas a um indivduo especfico. As variaes de oramento so identificadas e resolvidas. As anlises de custo so realizadas cobrindo custos diretos e indiretos de operaes existentes, como tambm investimentos propostos, considerando todos os custos sobre um ciclo de vida total. Um processo proativo e padronizado para oramento usado. O impacto do desvio em desenvolvimento e custos operacionais de hardware e software para integrao de sistemas e recursos humanos de TI identificado nos planos de investimento. Benefcios e retornos so calculados em termos financeiros e no financeiros.
5 Otimizado quando
As atividades de melhores prticas so usadas para fazer benchmark de custos e identificam abordagens para aumentar a eficcia de investimentos. A anlise de desenvolvimentos tecnolgicos usada no processo de seleo de investimento e oramento. O processo de gerenciamento do investimento melhorado continuamente baseado em lies aprendidas de anlise de desempenho de investimento real. As decises de investimento incluem tendncias de melhoria de preo/desempenho. As alternativas de financiamento so investigadas e avaliadas formalmente dentro do contexto da estrutura de capital existente da organizao, usando mtodos de avaliao formal. Existe identificao proativa de variaes. Uma anlise de longo prazo de custo e benefcios do ciclo de vida total incorporada nas decises de investimento.
_____________________________________________________________________________________
Comunicar Metas e Diretrizes Gerenciais
PO6
OBJETIVO
DE
CONTROLE
DE
ALTO NVEL
PO6 Comunicar Metas e Diretrizes Gerenciais

A gerncia deveria desenvolver um framework de controle de TI da empresa, definir e comunicar polticas. Um programa de comunicao avanado deveria ser implementado para articular a misso, objetivos de servio, polticas e procedimentos, etc., aprovados e apoiados pela gerncia. A comunicao sustenta a realizao de objetivos de TI e assegura conscientizao e compreenso do negcio e riscos da TI, os objetivos e a direo. O processo deveria assegurar conformidade com leis e regulamentos relevantes.
ad e

ia lid
on fi d en c
on fo
rm
id
ad e
Monitorar e Avaliar


obter informao precisa e oportuna sobre servios atuais e futuros da TI, riscos associados e responsabilidades
focando em
fornecer polticas precisas, compreensveis e aprovadas, procedimentos, diretrizes e outra documentao para os stakeholders, embutidas em um framework de controle de TI
alcanado por
Definir um framework de controle de TI Desenvolver e apresentar polticas de TI Impor polticas de TI
e medido por
Nmero de interrupes de negcio devido interrupo de servio de TI Porcentagem de stakeholders que entendem o framework de controle de TI da empresa Porcentagem de stakeholders que so discordantes com a poltica da empresa
Primrio
Secundrio
_____________________________________________________________________________________
Gere n de Rciamento isco s
E nto de ntre me co Va ga ha gi lo r lin trat A s E Governana de TI
d d d o de ura ura ura ura M M M Mens empenho pe pe pe e e e Des
PO6
OBJETIVOS
DE
CONTROLE DETALHADO

PO6.1 Ambiente de Controle e Poltica de TI
Definir os elementos de um ambiente de controle para a TI, alinhados com a filosofia de gerenciamento e estilo operacional da empresa. Estes elementos incluem expectativas/requisitos relativos entrega de valor de investimentos de TI, apetite para risco, integridade, valores ticos, competncia do staff, accountability e responsabilidade. O ambiente de controle baseado em uma cultura que suporta entrega de valor enquanto gerencia riscos significantes, incentiva a cooperao e o trabalho de equipe entre divises, promove a conformidade e melhoria contnua do processo, e lida bem com divergncias do processo (inclusive falhas).
PO6.2 Risco de TI da Empresa e Framework de Controle Interno

Desenvolver e manter um framework que estabelea a abordagem global da empresa aos riscos e ao controle interno para entregar valor ao mesmo tempo em que protege recursos e sistemas de TI. O framework deveria ser integrado com o processo de TI e o sistema de gerenciamento da qualidade, e respeitar os objetivos globais de negcio. Deveria visar maximizao no sucesso da entrega de valor e ao mesmo tempo minimizar riscos para recursos de informaes atravs de medidas preventivas, identificao oportuna de irregularidades, limitao de perdas e recuperao oportuna de recursos do negcio.
PO6.3 Gerncia das Polticas de TI

Desenvolver e manter um conjunto de polticas para apoiar a estratgia de TI. Estas polticas deveriam incluir inteno da poltica, papis e responsabilidades, processo de exceo, abordagem de conformidade e referncias aos procedimentos, padres e diretrizes. As polticas deveriam tratar tpicos chave como qualidade, segurana, confidencialidade, controles internos e propriedade intelectual. Sua relevncia deveria ser confirmada e aprovada regularmente.
PO6.4 Divulgao da Poltica

Assegurar que polticas de TI sejam divulgadas e impostas a todo staff relevante, pois essas polticas estaro incorporadas e so uma parte integral das operaes da empresa. Os mtodos de divulgao devem destinar recursos e levar em conta as necessidades de conscientizao e implicaes.
PO6.5 Comunicao de Objetivos e Direo de TI

Assegurar que a conscientizao e a compreenso do negcio e objetivos e direo da TI sejam comunicados por toda a empresa. A informao comunicada deveria abranger uma misso claramente articulada, objetivos de servio, segurana, controles internos, qualidade, cdigos de tica/conduta, polticas e procedimentos, etc., e ser includa dentro de um programa de comunicao contnua, apoiada pela gerncia superior em aes e palavras. A gerncia deveria dar ateno especial em comunicar sobre a conscientizao da segurana de TI e mensagem de que segurana de TI responsabilidade de todos.
_____________________________________________________________________________________
PO6
De
PO1 PO9 ME2
Entradas
Planos estratgico e ttico de TI, projeto de TI e portfolios de servio Diretrizes da gerncia de risco de TI Relatrio sobre eficcia de controles de TI
Sadas
Framework de controle de TI da empresa Polticas de TI
Para
TODOS TODOS
Tabela RACI
Funes
es sP He roc ad es sO Op era wn Ch tio er ief ns Arc hit He ec ad t De ve He lop ad me IT nt Ad PM mi nis O tra Co ti o n Rismpli k a anc nd e, Se Au cu dit rit y ,
C C C C C C R R C C C
so medidos por
es s
CE O CF O
Ex Bu sin
I I I
Atividades
Estabelecer e manter um ambiente e framework de controle de TI. Desenvolver e manter polticas de TI.
I I
C I
A/R A/R A/R
CIO
Direcionam a
Comunicar framework de controle de TI e objetivos e direo. I I A tabela RACI identifica quem : Responsible, Accontable, Consulted and/or Informed.
Metas e Mtricas Metas das Atividades Definir um framework de controle de TI. Desenvolver e divulgar polticas de TI. Impor polticas de TI.
Metas dos Processos Desenvolver um framework de controle de TI comum e abrangente. Desenvolver um conjunto de polticas de TI comum e abrangente. Comunicar a estratgia de TI, polticas e framework de controle.
Direcionam a
so medidos por
so medidos por
Indicadores de Desempenho Chave Freqncia de reviso/atualizao da poltica. Tempo gasto entre a aprovao da poltica e a comunicao aos usurios. Freqncia de reviso/atualizao do framework de controle de TI da empresa.
Indicadores de Metas Chave de Processo % de stakeholders que entendem a poltica de TI. % de stakeholders que entendem o framework de controle de TI da empresa. % de stakeholders que so discordantes com a poltica da empresa.
_____________________________________________________________________________________
Bu sin
I
ec uti ve
Metas de TI Assegurar e transparncia e compreenso de custos de TI, benefcios, estratgia, polticas e nveis de servio. Assegurar transaes de negcios automatizadas e trocas de informao confiveis. Assegurar que a informao crtica e confidencial seja de acesso restrito queles que no deveriam ter acesso a elas. Assegurar impacto mnimo do negcio no evento de interrupo de servio de TI ou mudana. Assegurar uso e desempenho apropriado das aplicaes e solues de tecnologia. Assegurar que servios de TI e infra-estrutura de TI pode corretamente resistir e recuperar-se de falhas devidas a erro, ataque ou desastre. Indicadores de Metas Chave de TI Nmero de instncias onde a informao confidencial foi comprometida. Nmero de interrupes do negcio devido interrupo de servio da TI. Nvel da compreenso de custos da TI, benefcios, estratgia, polticas e nveis de servio.
PO6
MODELO
DE
MATURIDADE

O gerenciamento do processo de Comunicar Metas e Diretrizes Gerenciais que satisfaa o requisito do negcio para a TI de obter informao precisa e oportuna sobre servios atuais e futuros da TI, riscos associados e responsabilidades :
A gerncia no estabeleceu um ambiente positivo de controle. No h nenhum reconhecimento da necessidade por estabelecer um conjunto de polticas, procedimentos, padres e processos de conformidade.

A gerncia reativa em dirigir-se aos requisitos do ambiente de controle da informao. Polticas, procedimentos e padres so desenvolvidos e comunicados em uma base ad hoc dirigida por assuntos. O desenvolvimento, comunicao e processos de conformidade so informais e inconsistentes.

A gerncia tem uma compreenso implcita das necessidades e requisitos da ambiente efetivo de controle da informao, mas prticas so amplamente informais. A gerncia comunicou a necessidade de polticas de controle, procedimentos e padres, mas o desenvolvimento deixado para a discrio de gerentes e reas de negcios individuais. A qualidade reconhecida como uma filosofia desejvel a ser seguida, mas prticas so deixadas para a discrio de gerentes individuais. O treinamento realizado em base individual quando requerido.

O gerenciamento desenvolveu, documentou e comunicou um ambiente completo de gerncia de controle e qualidade da informao que inclui um framework para polticas, procedimentos e padres. O processo de desenvolvimento da poltica estruturado, mantido e conhecido pelo staff, e as polticas, procedimentos e padres existentes so razoavelmente seguros e cobrem assuntos chave. A gerncia direcionou-se importncia da conscientizao da segurana de TI e iniciou programas de conscientizao. O treinamento formal est disponvel para apoiar o ambiente de controle da informao, mas no aplicado rigorosamente. Apesar de existir um framework de desenvolvimento global para controlar polticas e padres, existe monitorao inconsistente da conformidade com estas polticas e padres. Existe um framework de desenvolvimento global. As tcnicas para promover a conscientizao da segurana tm sido padronizadas e formalizadas.

A gerncia aceita a responsabilidade para comunicar polticas de controle interno, delegou responsabilidade e alocou recursos suficientes para manter o ambiente alinhado com mudanas significativas. Um ambiente positivo, de controle de informao proativo, incluindo um compromisso para conscientizao da qualidade de segurana de TI, foi estabelecido. Um conjunto completo de polticas, procedimentos e padres foi desenvolvido, mantido e comunicado e um composto de boas prticas internas. Um framework para divulgao e verificao subseqente de conformidade foi estabelecido.
5 Otimizado quando
O ambiente de controle da informao est alinhado com o framework de gerenciamento e viso estratgica e revisado freqentemente, atualizado e melhorado continuamente. Peritos internos e externos so designados para assegurar que as melhores prticas da atividade esto sendo adotadas com respeito a diretrizes de controle e tcnicas de comunicao. Monitorao, auto-avaliao e verificao de conformidade so difundidas dentro da organizao. A tecnologia usada para manter bases de conhecimento de conscientizao e poltica e otimizar a comunicao, usando ferramentas de automao de escritrio e treinamento computer based.
_____________________________________________________________________________________
Gerenciar Recursos Humanos de TI
PO7
OBJETIVO
DE
CONTROLE
DE
ALTO NVEL
PO7 Gerenciar Recursos Humanos de TI

Adquirir, manter e motivar mo-de-obra competente para criao e entrega de servios de TI para o negcio. Isto alcanado seguindo prticas definidas e combinadas que suportam recrutar, treinar, avaliar desempenho, promover e terminar. Este processo crtico, pois as pessoas so recursos importantes, e a governana e ambiente de controle interno so fortemente dependentes em motivao e competncia do pessoal.
P P
e e e ad ad ia a ad id ci nc ilid id ibil b gr on ic ci fia te Ef Efi In isp on C D
ad e

ia lid
en c
on fid
on fo
rm
id
ad e
Monitorar e Avaliar

Gerenciar recursos humanos de TI

capacitar e motivar pessoas para criar e entregar servios de TI
focando em
contratar e treinar pessoal, motivar atravs de planos claros de carreira, atribuir papis que correspondam com as habilidades, estabelecer um processo de reviso definida, criar descries de posio e assegurar conscientizao da dependncia em indivduos
alcanado por
Rever desempenho do staff Contratar e treinar pessoal de TI para suportar planos tticos de TI Mitigar risco de dependncia excessiva em recursos chave
e medido por
Nvel de satisfao dos stakeholders com a percia e habilidades do pessoal de TI Mudanas do pessoal de TI Porcentagem das pessoas de TI certificadas de acordo com as necessidades de trabalho
to en o am ic nh ratg i Al s t E
E de ntreg Va a lor
Primrio
Secundrio
_____________________________________________________________________________________
Governana de TI
PO7
OBJETIVOS
DE
CONTROLE DETALHADO

PO7.1 Recrutamento e Reteno do Pessoal
Assegurar que processos de recrutamento de pessoal de TI estejam alinhados com polticas e procedimentos globais de pessoal da organizao (ex: contratao, orientao e ambiente de trabalho positivo). A gerncia implementa processos para assegurar que a organizao tenha uma mo-de-obra desenvolvida que tenha as habilidades necessrias para alcanar as metas organizacionais.
PO7.2 Competncias do Pessoal

Verificar regularmente que o pessoal tenha as competncias para cumprir seus papis com base em sua educao, treinamento e/ou experincia. Definir o centro dos requisitos de competncia de TI e verificar que esto sendo mantidos, usando programas de qualificao e certificao onde for conveniente.
PO7.3 Papis do Staffing

Definir, monitorar e supervisionar papis, responsabilidades e frameworks de compensao para o pessoal, inclusive os requisitos para aderir a polticas e procedimentos gerenciais, cdigo de tica e prticas profissionais. Os termos e condies de trabalho devem destacar a responsabilidade do empregado para a segurana da informao, controle interno e conformidade regulatria. O nvel da superviso deve estar alinhado com a sensibilidade da posio e extenso de responsabilidades atribudas.
PO7.4 Treinamento do Pessoal

Fornecer empregados de TI com orientao apropriada assim que contratados e treinamento contnuo para a manuteno de conhecimento, dons, habilidades, controles internos e conscientizao de segurana ao nvel exigido para alcanar metas organizacionais.
PO7.5 Dependncia em Indivduos

Minimizar a exposio dependncia crtica em indivduos chave atravs da captao do conhecimento (documentao), compartilhamento de conhecimento, planejamento de sucesso e staff para substituio.
PO7.6 Procedimentos de Afastamento de Pessoal

Incluir background checks no processo de recrutamento de TI. A extenso e freqncia da reviso peridica destas verificaes dependem da sensibilidade e/ou importncia da funo e deve ser adotado para empregados, contratantes e vendedores.
PO7.7 Avaliao de Desempenho do Trabalho do Empregado

Requerer avaliao oportuna a ser executada em base regular frente a objetivos individuais derivados das metas da organizao, padres estabelecidos e responsabilidades especficas do trabalho. Os empregados devem receber orientao visando desempenho e conduta sempre que necessrio.
PO7.8 Mudana de Trabalho e Trmino

Tomar aes oportunas relativas a mudanas no trabalho, especialmente trminos de trabalho. A transferncia de conhecimento precisa ser organizada, as responsabilidades redesignadas e os direitos de acesso removidos de maneira que os riscos sejam minimizados e a continuidade da funo seja garantida.
_____________________________________________________________________________________
PO7
De
PO4 AI1
Entradas
Organizao e relacionamentos da TI; papis e responsabilidades documentadas Estudo de viabilidade dos requisitos do negcio
Sadas
Poltica e procedimentos de RH da TI Matriz de habilidades da TI Descries de trabalho Habilidades e competncias dos usurios, inclusive treinamento individual Requisitos de treinamento especficos Papis e responsabilidades
Para
PO4 PO4 PO10 PO4 DS7 DS7
TODOS
Tabela RACI
Funes
es sP He roc ad es Op sO era wn Ch tio er ief ns A rc hit He ec ad t De ve He lop ad me IT nt Ad PM mi nis O tra Co ti o n Rismpli k a anc nd e, Se Au cu dit rit y ,
C R C R C R R R C R C
so medidos por
Bu sin
es s
CE O CF O
Ex
Atividades
Identificar habilidades de TI, descries de posio, escalas salariais e benchmark de desempenho pessoal. Executar polticas e procedimentos de RH relevantes TI (recrutar, contratar, verificar, compensar, treinar, avaliar, promover e despedir).
Metas e Mtricas Metas das Atividades Contratar e treinar pessoal de TI para suportar planos tticos de TI. Mitigar risco de dependncia excessiva em recursos chave. Rever desempenho do staff.
Direcionam a
Metas dos Processos Construir prtica profissional de gerncia de RH de TI. Utilizar todo staff de TI eficazmente enquanto minimiza dependncia em staff chave.
CIO
A A
Direcionam a
so medidos por
so medidos por
Indicadores de Desempenho Chave % do staff de TI que completou planos de desenvolvimento profissional. % do staff de TI com revises de desempenho documentadas e validadas em tempo. % de posies de TI com descries de trabalho e qualificaes de emprego. Nmero mdio de dias de treinamento e desenvolvimento (inclusive orientao) por pessoa por ano. Proporo de rotatividade do staff da TI. % das pessoas de TI certificadas de acordo com necessidades do trabalho. Nmero mdio de dias para preencher vagas abertas de TI.
Indicadores de Metas Chave de Processo % do staff de TI que rene perfil de competncia para papis exigidos como definido na estratgia. % de vagas de TI ocupadas. % de dias de trabalho perdidos devido a ausncia no planejada. % do staff de TI que completam o plano anual de treinamento de TI. Relao real de contratantes para pessoal vs. relao do planejamento. % dos empregados de TI que se submeteram a testes de conhecimentos. % de cargos de TI com pessoal reserva qualificado.
_____________________________________________________________________________________
Bu sin
ec uti ve
Metas de TI Adquirir e manter habilidades de TI que respondam estratgia de TI. Criar a agilidade de TI.
Indicadores de Metas Chave de TI Nvel de satisfao dos stakeholders com a percia e habilidades do pessoal de TI. % do pessoal de TI satisfeito (mtrico composto). Mudana do pessoal de TI.
PO7
MODELO
DE
MATURIDADE

O gerenciamento do processo de Gerenciar Recursos Humanos de TI que satisfaa o requisito do negcio para a TI de capacitar e motivar pessoas a criar e entregar servios de TI :
No existe nenhuma conscientizao sobre a importncia de alinhar a gerncia de recursos humanos de TI com o processo de planejamento de tecnologia para a organizao. No existe nenhuma pessoa ou grupo formalmente responsvel pela gerncia de recursos humanos de TI.

A gerncia reconhece que existe a necessidade de gerenciamento de recursos humanos de TI. O processo de gerenciamento de recursos humanos de TI informal e reativo. O processo de recursos humanos de TI operacionalmente focado em contratar e gerenciar pessoal de TI. Est se desenvolvendo a conscientizao com respeito ao impacto de que mudanas rpidas do negcio e da tecnologia e solues cada vez mais complexas tm necessidade por novas habilidades e nveis de competncia.

Existe uma abordagem ttica para contratar e gerenciar pessoal de TI, dirigida por necessidades especficas de projeto, ao invs de ser baseada na disponibilidade interna e externa de staff qualificado. O treinamento informal ocorre para o pessoal novo, que recebe ento o treinamento quando for necessrio.

H um processo definido e documentado para gerenciar recursos humanos de TI. Um plano de gerenciamento de recursos humanos de TI existe. Existe uma abordagem estratgica para contratar e gerenciar pessoal de TI. Um plano de treinamento formal projetado para reunir as necessidades de recursos humanos de TI. Um programa rotativo, projetado para expanso tcnica e habilidades de gerenciamento do negcio, estabelecido.

A responsabilidade para o desenvolvimento e manuteno de um plano de gerncia de recursos humanos de TI foi atribuda a um individuo ou grupo especfico com a percia e habilidades necessrias requeridas para desenvolver e manter o plano. O processo de desenvolver e administrar o plano de gerncia de recursos humanos de TI responsivo mudana. A organizao padronizou as medidas que permitem identificar divergncias do plano de gerncia de recursos humanos de TI, com nfase especfica em gerenciar aumento do pessoal de TI e rotatividade. Revises de compensao e de desempenho esto sendo estabelecidas e comparadas a outras organizaes de TI e melhores prticas da atividade. A gerncia de recursos humanos de TI proativa, levando em considerao o desenvolvimento do plano de carreira.
5 Otimizado quando
O plano de gerncia de recursos humanos de TI est sendo atualizado continuamente para buscar os requisitos do negcio em mudana. A gerncia de recursos humanos de TI integrada com o planejamento da tecnologia, garantindo o timo uso e desenvolvimento das habilidades disponveis de TI. A gerncia de recursos humanos de TI integrada e responsiva com a direo estratgica da entidade. Os componentes da gerncia de recursos humanos de TI so consistentes com as melhores prticas da atividade, como compensao, revises de desempenho, participao em foros da atividade, transferncia de conhecimento e treinamento. Os programas de treinamento so desenvolvidos para todos os padres e produtos da nova tecnologia antes de seu desdobramento na organizao.
_____________________________________________________________________________________
Gerenciar Qualidade
PO8
OBJETIVO
PO8 Gerenciar Qualidade
DE
CONTROLE
DE
ALTO NVEL
Um sistema de gerenciamento da qualidade deve ser desenvolvido e mantido, que inclua desenvolvimento e processos de aquisio e padres provados. Isto conseguido com planejamento, implementao e manuteno do sistema de gerncia de qualidade fornecendo requisitos de qualidade, procedimentos e polticas claras. Os requisitos de qualidade devem ser declarados e comunicados em indicadores quantificveis e alcanveis. A melhoria contnua alcanada pela monitorao contnua, analise e atuao em divergncias, e comunicao de resultados aos stakeholders. A gerncia de qualidade essencial para assegurar que a TI entregue valor para o negcio, melhoramento e transparncia contnua para os stakeholders.
P P
e de ad de da ia a ci nc lid da ibili i ri n bi g o ic c fia te Ef Efi In isp on C D
ad e

ia lid
on fi d en c
on fo
rm
id
ad e
Monitorar e Avaliar

Gerenciar qualidade

melhoria contnua e mensurvel da qualidade dos servios entregues de TI
focando em
a definio de um sistema de gerncia de qualidade (QMS), monitorao de desempenho contnua frente a objetivos predefinidos, e implementao de um programa para melhoria contnua de servios de TI
alcanado por
Definir padres e prticas de qualidade Monitorar e rever desempenho interno e externo frente a padres de qualidade e prticas definidos Melhorar o QMS de uma maneira contnua
e medido por
Porcentagem de stakeholders satisfeitos com a qualidade de TI (ponderados pela importncia) Porcentagem de processos de TI formalmente revisados por garantia de qualidade em uma base peridica que vise atingir metas de qualidade e objetivos Porcentagem de processos que recebem reviso da segurana de qualidade (QA)
Primrio
Secundrio
_____________________________________________________________________________________
E nto de ntreg me co Va a ha gi lor lin trat A s E Governana de TI
PO8
Gerenciar Qualidade
OBJETIVOS
DE
CONTROLE DETALHADO
PO8.1 Sistema de Gerenciamento de Qualidade

Estabelecer e manter um QMS que fornea uma abordagem padro, formal e contnua relativa gerncia de qualidade que alinhada com os requisitos do negcio. O QMS identifica requisitos e critrios de qualidade, processos chave de TI e sua seqncia e interao, e as polticas, critrios e mtodos para definir, detectar, corrigir e prevenir a no conformidade. O QMS deveria definir a estrutura organizacional para gerenciamento de qualidade, cobrindo os papis, tarefas e responsabilidades. Todas as reas chave desenvolvem seus planos de qualidade alinhados com critrios e polticas e registram dados de qualidade. Monitorar e mensurar a eficcia e aceitao do QMS e melhor-lo quando necessrio.
PO8.2 Padres de TI e Prticas de Qualidade

Identificar e manter padres, procedimentos e prticas para os processos chave de TI para guiar a organizao a alcanar os propsitos do QMS. Usar as melhores prticas da atividade como referncia quando elaborar as prticas de qualidade da organizao.
PO8.3 Padres de Desenvolvimento e de Aquisio

Adotar e manter padres para todo desenvolvimento e aquisio que siga o ciclo de vida do ltimo entregue e incluir um cronograma de recebimentos de acordo com um critrio combinado. Os assuntos a considerar incluem padres de codificao de software; nomear convenes; formatos de arquivo; esquema e padres de projeto de dicionrio de dados; padres de interface de usurio; interoperabilidade; eficincia do desempenho do sistema; escalabilidade; padres para desenvolvimento e teste; validao de encontro aos requisitos; planos de teste; e teste de unidade, regresso e integrao.
PO8.4 Foco no Cliente

Garantir que o gerenciamento da qualidade esteja focado nos clientes para determinar seus requisitos e alinh-los aos padres e prticas de TI. Os papis e as responsabilidades relativos resoluo de conflito entre usurio/cliente e a organizao da TI so definidos.
PO8.5 Melhoria Contnua

Um plano de qualidade total que promova melhoria contnua mantido e comunicado regularmente.
PO8.6 Mensurar, Monitorar e Revisar Qualidade

Definir, planejar e implementar medidas para monitorar conformidade contnua para o QMS, como tambm o valor que o QMS fornece. Mensurar, monitorar e gravao de informao devem ser usadas pelo proprietrio do processo para que sejam tomadas aes preventivas e corretivas apropriadas.
_____________________________________________________________________________________
Gerenciar Qualidade
PO8
De
PO1 PO10 ME1
Entradas
Plano estratgico de TI Planos do projeto detalhado Planos de ao corretiva
Sadas
Padres de aquisio Padres de desenvolvimento Padres de qualidade e requisitos de mtricas Aes da melhoria da qualidade
Para
AI1 AI2 PO10 AI1
TODOS
AI3 AI2
AI5 AI3
DS2 AI7
PO4 AI6
Tabela RACI
Funes
I C C C C I C C C C I C C C C I C C C C I C C C C C C C C C
so medidos por
Bu sin
C
es s
CE O CF O
Ex
Atividades
Definir um sistema de gerenciamento da qualidade. Estabelecer e manter um sistema de gerenciamento da qualidade. Construir e comunicar padres de qualidade pela organizao. Construir e gerenciar o plano de qualidade para a melhoria contnua. Mensurar, monitorar e rever conformidade com as metas de qualidade.
C I I I
A/R A/R A/R A/R A/R
CIO
Direcionam a
Metas e Mtricas Metas das Atividades Definir padres e prticas de qualidade. Monitorar e rever desempenho interno e externo frente a padres de qualidade e prticas definidos. Metas dos Processos Estabelecer padres de qualidade e cultura para os processos de TI. Estabelecer uma funo eficiente e eficaz da garantia de qualidade de TI. Monitorar a eficcia de processos de TI e de projetos de TI. Metas de TI Garantir a satisfao de usurios finais com ofertas de servio e nveis de servio. Reduzir a entrega de solues e servios com defeitos e retrabalho. Entregar projetos a tempo e no oramento, reunindo padres de qualidade.
Direcionam a
so medidos por
so medidos por
Indicadores de Desempenho Chave % de projetos que recebem reviso do QA. % do staff de TI que recebem a conscientizao da qualidade/treinamento gerencial. % de processos e de projetos de TI com participao ativa da garantia de qualidade dos stakeholders. % de processos que recebem reviso do QA. % de stakeholders que participam em pesquisa de qualidade.
Indicadores de Metas Chave de Processo % de defeitos descobertos antes da produo. % da reduo no nmero de incidentes de alta gravidade por usurio por ms. % de projetos de TI revisados e signed off por QA que vise atingir metas de qualidade e objetivos. % de processos de TI formalmente revisados por QA em uma base peridica que vise atingir metas de qualidade e objetivos.
_____________________________________________________________________________________
Bu sin
I I I I I
ec uti ve
Indicadores de Metas Chave de TI % de stakeholders satisfeitos com a qualidade da TI (ponderados pela importncia).
PO8
Gerenciar Qualidade
MODELO
DE
MATURIDADE
O gerenciamento do processo de Gerenciar Qualidade que satisfaa o requisito do negcio para a TI de melhoria contnua e mensurvel da qualidade dos servios entregues de TI :
A organizao no possui um processo QMS de planejamento nem uma metodologia de ciclo de vida de desenvolvimento de sistemas. A gerncia snior e o staff de TI no reconhecem que um programa de qualidade necessrio. Os projetos e operaes nunca so revisados visando qualidade.

Existe uma conscientizao da gerncia pela necessidade de um QMS. O QMS dirigido por indivduos onde ele ocorre. A gerncia faz consideraes informais sobre qualidade.

Um programa est sendo estabelecido para definir e monitorar atividades de QMS dentro da TI. As atividades de QMS que ocorrem so focadas em projeto de TI e em iniciativas orientadas ao processo, e no nos processos globais da organizao.

Um processo definido de QMS foi comunicado pela gerncia e envolve a gerncia de TI e do usurio final. Programas de treinamento e educao esto surgindo para ensinar todos os nveis da organizao sobre qualidade. As expectativas de qualidade bsica foram definidas e so compartilhadas entre projetos e dentro da organizao de TI. Ferramentas e prticas comuns para gerenciar qualidade esto surgindo. As pesquisas de satisfao da qualidade so planejadas e conduzidas ocasionalmente.

O QMS aplicado em todos os processos, inclusive aqueles processos confiados a terceiros. Uma base de conhecimento padronizada est sendo estabelecida para mtricas da qualidade. Os mtodos de anlise custo/benefcio so usados para justificar iniciativas de QMS. Benchmarking contra a atividade e competidores esto surgindo. Educao e programa de treinamento foram institudos para ensinar todos os nveis da organizao sobre qualidade. Ferramentas e prticas esto sendo padronizadas e anlise da causa origem periodicamente solicitada. As pesquisas de satisfao da qualidade so consistentemente conduzidas. Um programa padronizado para mensurar qualidade est instalado e bem estruturado. A gerncia de TI est construindo uma base de conhecimento para as mtricas da qualidade.
5 Otimizado quando
O QMS integrado e imposto em todas as atividades de TI. Os processos do QMS so flexveis e adaptveis s mudanas no ambiente de TI. A base de conhecimento de mtricas de qualidade aprimorada com melhores prticas externas. Benchmarking contra padres externos est sendo executado rotineiramente. Pesquisa de satisfao da qualidade um processo contnuo e conduz anlise de causas e aes para melhoria. Existe garantia formal no nvel do processo da gerncia da qualidade.
_____________________________________________________________________________________
Avaliar e Gerenciar Riscos em TI
PO9
OBJETIVO
DE
CONTROLE
DE
ALTO NVEL
PO9 Avaliar e Gerenciar Riscos em TI

Criar e manter um framework de gerenciamento de risco. O framework documenta um nvel de riscos de TI comum e combinado, estratgias de mitigao e riscos residuais concordados. Qualquer impacto potencial nas metas da organizao causado por um evento no planejado deve ser identificado, analisado e avaliado. As estratgias de mitigao de risco devem ser adotadas para minimizar o risco residual a um nvel aceitvel. O resultado da avaliao deve ser compreensvel aos stakeholders e expresso em termos financeiros, para permitir aos stakeholders alinhar risco a um nvel de tolerncia aceitvel.
S S P P P S S
e e e ad ad ia cia ad lid ilid c in rid nibi b g o ic c fia te Ef Efi In isp on C D
ia lid ad e

on fid en c
on fo
rm
id
ad e
Monitorar e Avaliar

Avaliar e gerenciar riscos em TI

analisar e comunicar riscos de TI e seu impacto potencial nos processos e metas do negcio
focando em
desenvolvimento de um framework de gerenciamento de risco que seja integrado ao negcio e em frameworks operacionais de gerenciamento de risco, avaliao de risco, mitigao de risco e comunicao de risco residual
alcanado por
Assegurar que gerenciamento de risco esteja completamente embutido nos processos de gerenciamento, interna e externamente, e aplicado consistentemente Apresentar avaliaes de risco Recomendar e comunicar planos de ao corretiva de risco
e medido por
Porcentagem de objetivos crticos de TI cobertos pela avaliao de risco Porcentagem de riscos crticos de TI identificados com planos de ao desenvolvidos Porcentagem de planos de ao de gerenciamento de risco aprovados para implementao
to en o am ic nh ratg i Al s t E
E de ntre Va ga lo r
Primrio
Secundrio
_____________________________________________________________________________________
Gere nc de R iamento isco s
Governana de TI
e o d n n n ura ho ho ho Mens empenho m em em Dese
PO9
OBJETIVOS
DE
CONTROLE DETALHADO

PO9.1 TI e Alinhamento da Gerncia de Risco do Negcio
Integrar governana de TI, gerenciamento de risco e framework de controle com o framework de gerenciamento de risco da organizao (da empresa). Isso inclui alinhamento com o apetite de risco da organizao e nvel de tolerncia de risco.
PO9.2 Estabelecimento do Contexto de Risco

Estabelecer o contexto em que o framework de avaliao de risco aplicado para assegurar resultados apropriados. Isso inclui determinar o contexto interno e externo de cada avaliao de risco, o objetivo da avaliao e os critrios sobre que riscos so avaliados.
PO9.3 Identificao do Evento

Identificar qualquer evento (ameaa e vulnerabilidade) com um impacto potencial nas metas ou operaes da empresa, inclusive negcios, regulatrio, legal, tecnologia, parceiro de negcio, recursos humanos e aspectos operacionais. Determinar a natureza do impacto - positivo, negativo ou ambos - e manter esta informao.
PO9.4 Avaliao de Risco

Avaliar em uma base recorrente a probabilidade e o impacto de todos os riscos identificados, usando mtodos qualitativos e quantitativos. A probabilidade e o impacto associados com risco inerente e residual devem ser determinados individualmente, por categoria e em uma base de portfolio.
PO9.5 Resposta ao Risco

Identificar um proprietrio do risco e proprietrios de processos afetados, desenvolver e manter uma resposta ao risco para assegurar que controles de custo-efetivo e medidas de segurana minimizem a exposio aos riscos em uma base contnua. A resposta ao risco deve identificar estratgias de risco como evitao, reduo, compartilhamento ou aceitao. Em desenvolvimento resposta, considerar custos e benefcios e respostas selecionadas que refreiem riscos residuais dentro de nveis definidos de tolerncia de risco.
PO9.6 Manuteno e Monitorao de um Plano de Ao de Risco

Priorizar e planejar as atividades de controle em todos os nveis para implementar as respostas de risco identificadas medida que necessrio, inclusive identificao de custos, benefcios e responsabilidade pela execuo. Obter aprovao para aes e aceitao recomendada de quaisquer riscos residuais, e assegurar que as aes executadas sejam de domnio do proprietrio(s) do processo afetado. Monitorar a execuo dos planos, e relatar em quaisquer divergncias ao gerenciamento snior.
_____________________________________________________________________________________
PO9
De
PO1 PO10 DS2 DS4 DS5 ME1 ME4
Entradas
Planos estratgicos e tticos de TI, portfolio de servio de TI Plano de gerncia do risco de projeto Riscos do fornecedor Resultados do teste de contingncia Ameaas e vulnerabilidades da segurana Tendncias e eventos histricos do risco Apetite da empresa por riscos de TI
Sadas
Avaliao do risco Relatrio do risco Diretrizes gerenciais do risco de TI Planos de ao corretiva do risco de TI
Para
PO1 DS4 ME4 PO6 PO4 AI6 DS5 DS12 ME4
Tabela RACI
Funes
I C C R R R C I C C R R R C I C C R R R C I C C I I I I C C C C I R R R R R I C
so medidos por
Bu sin
C C
es s
CE O CF O
Ex
Atividades
Determinar alinhamento do gerenciamento de risco (ex: avaliar risco). Entender objetivos estratgicos do negcio relevantes. Entender objetivos do processo do negcio relevantes Identificar objetivos internos de TI e estabelecer contexto de risco. Identificar eventos associados com objetivos [alguns eventos so orientados a negcio (negcio A); alguns so orientados a TI (TI A , negcio C)]. Avaliar risco associado com eventos. Avaliar respostas do risco. Dar prioridade e planejar atividades de controle. Aprovar e assegurar investimentos para planos de ao do risco.
R/A C
CIO
C C A/C A R
Direcionam a
R/A C
R/A
C R/A R/A A A A R R R
A/C A/C
I C
I C A
A A A I
Manter e monitorar um plano de ao do risco. A C A tabela RACI identifica quem : Responsible, Accontable, Consulted and/or Informed. Metas e Mtricas Metas das Atividades Assegurar que gerenciamento de risco esteja completamente embutido nos processos de gerenciamento. Apresentar avaliaes de risco formal com gerentes snior e staff chave. Recomendar e comunicar planos de ao corretiva de risco.
Metas dos Processos Estabelecer e reduzir a probabilidade e o impacto dos riscos de TI. Estabelecer planos de ao custo-efetivo para riscos crticos de TI.
Direcionam a
so medidos por
so medidos por
Indicadores de Desempenho Chave % do oramento de TI gasto em atividades de gerenciamento de risco (avaliao e mitigao). Freqncia da reviso do processo de gerenciamento de risco de TI. % das avaliaes de risco signed off. nmero de relatrios de monitorao de risco acionados dentro da freqncia combinada. % de eventos identificados de TI usados em avaliaes de risco. % de planos de ao de gerenciamento de risco aprovados para implementao.
Indicadores de Metas Chave de Processo % de eventos crticos de TI identificados que foram avaliados. nmero de riscos recentemente identificados de TI (comparado ao exerccio anterior). nmero de incidentes significativos causados por riscos no identificados pelo processo de avaliao de risco. % de riscos crticos de TI identificados com planos de ao desenvolvidos .
_____________________________________________________________________________________
Bu sin
ec uti ve
Metas de TI Proteger a realizao de objetivos de TI. Estabelecer clareza no impacto de riscos do negcio aos objetivos e recursos de TI. Considerar e proteger todos os ativos de TI.
Indicadores de Metas Chave de TI % de objetivos crticos de TI cobertos pela avaliao de risco. % de avaliaes de risco de TI integradas na abordagem da avaliao de risco de TI.
PO9
MODELO
DE
MATURIDADE
O gerenciamento do processo de Avaliar e gerenciar riscos em TI que satisfaa o requisito do negcio para a TI de analisar e comunicar riscos de TI e seu impacto potencial nos processos e metas do negcio :
A avaliao de risco para processos e decises de negcio no ocorre. A organizao no considera os impactos do negcio associados com vulnerabilidades de segurana e incertezas do projeto de desenvolvimento. A gerncia de risco no identificou como relevante a aquisio e entrega de servios de TI.

Riscos de TI so considerados em um modo ad hoc. As avaliaes informais de risco de projeto acontecem de acordo com cada projeto. As avaliaes de risco so identificadas s vezes em um plano de projeto mas raramente so atribudos aos gerentes especficos. Riscos especficos de TI tais como segurana, disponibilidade e integridade so ocasionalmente considerados na base projeto a projeto. Riscos de TI afetando o dia-a-dia das operaes so raramente discutidos em reunies da gerncia. Onde riscos foram considerados, a mitigao inconsistente. Existe uma compreenso emergente que os riscos de TI so importantes e precisam ser considerados.

Existe uma abordagem de avaliao de risco imatura e em desenvolvimento e implementada a critrio dos gerentes de projeto. O gerenciamento de risco est geralmente em alto nvel e aplicado tipicamente somente aos projetos principais ou em resposta aos problemas. Os processos de mitigao de risco esto comeando a ser implementados onde os riscos so identificados.

Uma poltica de gerenciamento global de risco na organizao define quando e como conduzir avaliaes de risco. O gerenciamento de risco segue um processo definido que documentado. O treinamento de gerenciamento de risco est disponvel para todo staff. As decises para seguir o processo de gerenciamento de risco e receber treinamento so deixadas a critrio individual. A metodologia para avaliao de risco est convincente e certa e assegura que riscos chave para o negcio so identificados. Um processo para mitigar riscos chave geralmente institudo uma vez que os riscos sejam identificados. As descries de trabalho levam em considerao as responsabilidades da gerncia de risco.

A avaliao e gerenciamento de risco so procedimentos padro. As excees ao processo de gerenciamento de risco so relatadas gerncia de TI. O gerenciamento de risco de TI responsabilidade a nvel de gerncia snior. O risco avaliado e mitigado a nvel de projeto individual e tambm regularmente no que diz respeito operao global da TI. A gerncia aconselhada em mudanas no negcio e no ambiente de TI que poderiam significativamente afetar os cenrios de risco de TI. A gerncia pode monitorar a posio de risco e tomar decises informadas em relao exposio que est disposta a aceitar. Todos os riscos identificados tm um proprietrio nomeado, a gerncia snior e a gerncia de TI determinam os nveis de risco que a organizao tolerar. A gerncia de TI desenvolveu medidas padronizadas para avaliar risco e definir relao risco/retorno. A gerncia ora um projeto de gerenciamento de risco operacional para reavaliar riscos em uma base regular. Um banco de dados de gerenciamento de risco estabelecido e parte dos processos de gerenciamento de risco est comeando a ser automatizado. A gerncia de TI considera estratgias de mitigao de risco.
5 Otimizado quando
O gerenciamento de risco est desenvolvido ao estgio onde um processo estruturado e amplo da organizao imposto e bem administrado. Boas prticas so aplicadas por toda a organizao. A captura, anlise e apresentao de dados do gerenciamento de risco so altamente automatizadas. A orientao elaborada por lderes na rea e a organizao de TI participa de grupos com interesses semelhantes para trocar experincias. O gerenciamento de risco integrado verdadeiramente em todo o negcio e operaes de TI, bem aceito, e envolve extensivamente os usurios de servios de TI. A gerncia detectar e agir quando as maiores decises operacionais e de investimento em TI sejam feitas sem considerao do plano de gerenciamento de risco. A gerncia avalia continuamente estratgias de mitigao de risco.
_____________________________________________________________________________________
Gerenciar Projetos
PO10
OBJETIVO
DE
CONTROLE
DE
ALTO NVEL
Estabelecer um framework de gerncia do programa e de projeto para o gerenciamento de todos os projetos de TI. O framework deve assegurar a correta prioritizao e coordenao de todos os projetos. O framework deve incluir um plano mestre, atribuio de recursos, definio do que pode ser entregue, aprovao pelos usurios, uma abordagem planejada em fases para entrega, garantia de qualidade, um plano de teste formal, testar e revisar ps-implementao depois da instalao para assegurar o gerenciamento de risco do projeto e entrega de valor ao negcio. Esta abordagem reduz o risco de custos inesperados e de cancelamentos de projeto, melhora as comunicaes para o envolvimento do negcio e usurios finais, assegura o valor e a qualidade do que pode se entregue, e maximiza sua contribuio aos programas de investimento de TI.
P P
e de ad de da ia a ci nc lid da ibili i ri n bi g o ic c fia te Ef Efi In isp on C D
ad e

ia lid
on fi d en c
on fo
rm
id
ad e
Monitorar e Avaliar

Gerenciar projetos

entregar resultados do projeto dentro dos perodos de tempo combinados, oramento e qualidade
focando em
um programa definido e abordagem de gerenciamento de projeto que aplicada aos projetos de TI, o qual permite a participao do stakeholder na monitorao de riscos e de progresso do projeto
alcanado por
Definir e impor abordagem, frameworks de programa e projeto Emitir diretrizes de gerenciamento de projeto Executar planejamento do projeto para cada projeto detalhado no portfolio de projeto
e medido por
Porcentagem de projetos atingindo expectativas dos stakeholders (no prazo, no oramento e reunindo requisitos ponderados por importncia) Porcentagem de projetos recebendo revises ps-implementao Porcentagem de projetos seguindo padres e prticas de gerenciamento de projeto
Primrio
Secundrio
_____________________________________________________________________________________
E nto de ntreg me co Va a ha gi lor lin trat A s E Governana de TI
o o o o de s s sura o o o Mens empenho m m m Des
PO10
Gerenciar Projetos
OBJETIVOS
DE
CONTROLE DETALHADO
PO10.1 Framework de Gerenciamento do Programa

Manter o programa dos projetos, relacionado ao portfolio de programas de investimento de TI, para identificar, definir, avaliar, dar prioridade, selecionar, iniciar, gerenciar e controlar projetos. Assegurar que os projetos suportem os objetivos do programa. Coordenar as atividades e interdependncias de projetos mltiplos, gerenciar a contribuio de todos os projetos dentro do programa aos resultados esperados, e solucionar requisitos de recurso e conflitos.
PO10.2 Framework de Gerenciamento de Projeto

Estabelecer e manter um framework de gerenciamento de projeto que defina o escopo e limites de gerenciar projetos, como tambm as metodologias a serem adotadas e aplicadas a cada projeto empreendido. As metodologias devem, no mnimo, iniciar, planejar, executar, controlar e encerrar estgios do projeto, como tambm pontos de verificao e aprovaes. O framework e metodologias de apoio devem ser integrados com os processos de gerenciamento de portfolio da empresa e do gerenciamento do programa.
PO10.3 Abordagem de Gerenciamento do Projeto

Estabelecer uma abordagem de gerenciamento de projeto proporcional ao tamanho, complexidade e requisitos regulatrios de cada projeto. A estrutura de governana do projeto pode incluir papis, responsabilidades e accountabilities do responsvel do programa, responsvel do projeto, comit de direo, escritrio do projeto e gerente do projeto, e os mecanismos atravs dos quais eles podem desempenhar aquelas responsabilidades tais como revises do relatrio e do estgio. Garantir que todos os projetos de TI tenham responsveis com autoridade suficiente para dominar a execuo do projeto dentro do programa estratgico global.
PO10.4 Compromisso do Stakeholder

Obter compromisso e participao dos stakeholders afetados na definio e execuo do projeto dentro do contexto do programa de investimento total de TI.
PO10.5 Declarao do Escopo do Projeto

Definir e documentar a natureza e o escopo do projeto para confirmar e desenvolver entre os stakeholders uma compreenso comum do escopo do projeto e como ele se relaciona com outros projetos dentro do programa de investimento global de TI. A definio deve ser formalmente aprovada pelos responsveis do programa e do projeto antes da iniciao do projeto.
PO10.6 Fase de Incio do Projeto

Assegurar que o incio das fases principais do projeto esteja formalmente aprovado e comunicado a todos os stakeholders. A aprovao da fase inicial deve ser baseada em decises de governana do programa. A aprovao das fases subseqentes deve ser baseada em reviso e aceite do que foi entregue na fase precedente, e aprovao de um caso atualizado de negcio na reviso principal do prximo programa. No caso de sobrepor fases de projeto, um ponto de aprovao deve ser estabelecido pelo programa e pelos responsveis de projeto para autorizar o progresso do projeto.
PO10.7 Plano Integrado do Projeto

Estabelecer um plano de projeto formal, aprovado e integrado (cobrindo recursos de sistemas de informao e de negcio) para guiar a execuo do projeto e o controle do projeto durante a vida do projeto. As atividades e interdependncias de projetos mltiplos dentro de um programa devem ser entendidas e documentadas. O plano de projeto deve ser mantido durante a vida do projeto. O plano de projeto, e mudanas a ele, devem ser aprovados em alinhamento com o programa e o framework de governana do projeto.
PO10.8 Recursos do Projeto

Definir as responsabilidades, relacionamentos, autoridades e critrios de desempenho dos membros da equipe do projeto e especificar a base para adquirir e atribuir membros competentes do staff e/ou contratantes para o projeto. A aquisio de produtos e servios exigidos para cada projeto deve ser planejada e gerenciada para alcanar os objetivos do projeto usando as prticas de aquisio da organizao.
PO10.9 Gerenciamento de Risco do Projeto

Eliminar ou minimizar riscos especficos associados com projetos individuais por um processo sistemtico de planejar, identificar, analisar, responder a, monitorar e controlar as reas ou eventos que tm potencial para causar mudana indesejada. Os riscos enfrentados pelo processo de gerenciamento de projeto e a entregabilidade do projeto devem ser estabelecidos e gravados centralmente.
_____________________________________________________________________________________
Gerenciar Projetos
PO10
PO10.10 Plano de Qualidade do Projeto

Preparar um plano de gerenciamento da qualidade que descreva o sistema de qualidade do projeto e como ser implementado. O plano deve ser formalmente revisado e aceito por todas as partes interessadas e ento incorporado no plano integrado do projeto.
PO10.11 Controle da Mudana do Projeto

Estabelecer um sistema de controle da mudana para cada projeto, assim que todas as mudanas para a linha base do projeto (ex: custo, programao, escopo e qualidade) estiverem apropriadamente revisadas, aprovadas e incorporadas no plano de projeto integrado e alinhado com o framework de governana do programa e do projeto.
PO10.12 Planejamento do Projeto de Mtodos de Garantia

Identificar tarefas de garantia exigidas para suportar a credibilidade de sistemas novos ou modificados durante o planejamento do projeto e inclu-las no plano integrado do projeto. As tarefas devem fornecer garantia de que os controles internos e caractersticas de segurana renam os requisitos definidos.
PO10.13 Mensurar Desempenho do Projeto , Reportar e Monitorar

Mensurar desempenho do projeto de encontro aos critrios chave do projeto (ex: escopo, programao, qualidade, custo e risco); identificar quaisquer divergncias de plano; avaliar seu impacto no projeto e programa global; relatar resultados aos stakeholders chave; recomendar, implementar e monitorar ao corretiva, quando exigida, alinhada com o framework de governana do programa e do projeto.
PO10.14 Encerramento do Projeto

Exigir que, no fim de cada projeto, os stakeholders verifiquem se o projeto entregou os resultados e benefcios planejados. Identificar e comunicar quaisquer atividades pendentes exigidas para alcanar os resultados do planejamento do projeto e os benefcios do programa, identificar e documentar lies aprendidas para usar em projetos e programas futuros.
_____________________________________________________________________________________
PO10
Gerenciar Projetos
A pgina saiu em branco intencionalmente
_____________________________________________________________________________________
Gerenciar Projetos
PO10
De
PO1 PO5 PO7 PO8 AI7
Entradas
Portfolio do projeto Portfolio atualizado do projeto de TI Matriz das habilidades de TI Padres de Desenvolvimento Reviso de ps-implementao
Sadas
Relatrios do desempenho do projeto Plano de gerenciamento de risco do projeto Diretrizes da gerncia de projeto Planos detalhados do projeto Portfolio atualizado do projeto de TI
Para
ME1 PO9 AI1 ... AI7 PO8 AI1 ... AI7 PO1 PO5
DS6
Funes Tabela RACI

es sP He roc ad es sO Op era wn Ch tio er ief ns Arc hit He ec ad t De ve He lop ad me IT nt Ad PM mi nis O tra Co ti o n Rismpli k a anc nd e, Se Au cu dit rit y ,
C I C C C C C C C C C C C C R A/R A/R C C C C C C C C I A/R A/R C C
so medidos por
es s
CE O CF O
Ex Bu sin
A I I C I A C I
Atividades
Definir um framework de gerenciamento do programa/portfolio para investimentos de TI. Estabelecer e manter um framework de gerenciamento de projeto de TI. Estabelecer e manter a monitorao de projeto de TI, mensurao e sistema de gerenciamento. Construir carta de patentes de projeto, programaes, planos de qualidade, oramentos, e comunicao e planos de gerenciamento de risco. Assegurar a participao e o compromisso dos stakeholders do projeto. Assegurar o controle eficaz dos projetos e das mudanas do projeto.
C I I
C I I
A/R R C R C C
CIO
R
Direcionam a
Definir e implementar garantia de projeto e mtodos de reviso. A tabela RACI identifica quem : Responsible, Accontable, Consulted and/or Informed. Metas e Mtricas Metas das Atividades Definir e impor abordagem, frameworks de programa e projeto. Emitir diretrizes de gerenciamento de projeto. Executar planejamento do projeto para cada projeto no portfolio de projeto. Metas dos Processos
Estabelecer acompanhamento do projeto e mecanismos de controle de custo/prazo. Fornecer transparncia do status do projeto. Tomar decises oportunas de gerenciamento de projeto em pontos de verificao crticos.
Direcionam a
so medidos por
so medidos por
Indicadores de Desempenho Chave % de projetos seguindo padres e prticas de gerenciamento de projeto. % de gerentes de projeto certificados ou treinados. % de projetos recebendo revises ps-implementao. % de stakeholders que participam nos projetos (ndice de envolvimento).
Indicadores de Metas Chave de Processo % de projetos no prazo, no oramento. % de projetos atingindo expectativas dos stakeholder.
_____________________________________________________________________________________
Bu sin
C C
ec uti ve
Metas de TI Responder aos requisitos do negcio em alinhamento com a estratgia do negcio. Entregar projetos no prazo e no oramento, atingindo padres de qualidade. Responder aos requisitos de governana, alinhado com direo do conselho.
Indicadores de Metas Chave de TI % de projetos atingindo expectativas dos stakeholders (no prazo, no oramento e reunio de requisitos - ponderados por importncia).
PO10
Gerenciar Projetos
MODELO
DE
MATURIDADE
O gerenciamento do processo de Gerenciar projetos que satisfaa o requisito do negcio para a TI de entregar resultados do projeto dentro dos perodos de tempo combinados, oramento e qualidade :
Tcnicas de gerenciamento de projeto no so usadas e a organizao no considera os impactos do negcio associados com a m administrao de projetos e falhas do projeto de desenvolvimento.

O uso de tcnicas e abordagens de gerenciamento de projeto dentro da TI uma deciso deixada aos gerentes de TI individualmente. H uma falta de comprometimento gerencial para a propriedade e gerenciamento do projeto. Decises crticas em gerenciamento de projeto so tomadas sem participao do gerenciamento do usurio ou cliente. Existe pouco ou nenhum envolvimento do cliente e usurio em definir projetos de TI. No existe nenhuma organizao clara dentro da TI para o gerenciamento de projetos. Os papis e responsabilidades para o gerenciamento de projetos no so definidos. Projetos, programaes e pontos de verificao so pobremente definidos, se que existem. O tempo e as despesas de staff do projeto no so verificados e nem comparados aos oramentos.

A gerncia snior adquiriu e comunicou a conscientizao da necessidade para gerenciamento de projeto de TI. A organizao est na fase de desenvolver e aproveitar algumas tcnicas e mtodos de projeto a projeto. Os projetos de TI tm objetivos de negcio e tcnicos definidos informalmente. Existe um envolvimento limitado do stakeholder no gerenciamento do projeto de TI. Diretrizes iniciais foram desenvolvidas para muitos aspectos do gerenciamento de projeto. A aplicao de diretrizes de gerenciamento de projeto deixada a critrio do gerente individual do projeto.

O processo e a metodologia de gerenciamento de projeto de TI foram estabelecidos e comunicados. Os projetos de TI so definidos com objetivos tcnicos e de negcio apropriados. A gerncia snior de TI e do negcio est comeando a ser comprometida e envolvida no gerenciamento de projetos de TI. Um escritrio de gerenciamento de projeto estabelecido dentro da TI, com papis iniciais e responsabilidades definidas. Os projetos de TI so monitorados, com pontos de verificao, programaes, oramento e mensurao de desempenho definidos e atualizados. O treinamento do gerenciamento de projeto est disponvel. O treinamento do gerenciamento de projeto primeiramente um resultado de iniciativas individuais do staff. Os procedimentos da garantia de qualidade e atividades de implementao pssistema foram definidos, mas no esto aplicados amplamente por gerentes de TI. Os projetos esto comeando a ser administrados como portfolios.

O gerenciamento exige mtricas formais e padronizadas de projeto e lies aprendidas a serem revistas depois da concluso do projeto. O gerenciamento do projeto medido e avaliado por toda a organizao e no somente dentro da TI. Aprimoramentos no processo de gerenciamento de projeto so formalizados e comunicados aos membros da equipe do projeto treinados em aprimoramentos. O gerenciamento de TI implementou uma estrutura de organizao de projeto com papis, responsabilidades e critrios de desempenho do staff documentados. Os critrios para avaliar o sucesso em cada ponto de verificao foram estabelecidos. Valor e risco so medidos e gerenciados antes, durante e aps a concluso dos projetos. Os projetos crescentemente direcionam-se s metas da organizao, ao invs de somente s especficas de TI. Existe um suporte de projeto forte e ativo de patrocinadores de gerenciamento snior como tambm stakeholders. O treinamento de gerenciamento relevante de projeto planejado pelo staff no escritrio de gerenciamento de projeto e atravs da funo de TI.
5 Otimizado quando
Um comprovado, completo ciclo de vida do projeto e metodologia de programa implementado, imposto e integrado na cultura de toda a organizao. Uma iniciativa contnua para identificar e institucionalizar melhores prticas de gerenciamento de projeto foi implementada. Uma estratgia de TI para fornecimento de projetos operacionais e de desenvolvimento definida e implementada. Um escritrio de gerenciamento de projeto integrado responsvel por projetos e programas do incio at a ps-implementao. O planejamento de programas e projetos globais da organizao assegura que os recursos do usurio e de TI sejam melhor utilizados para apoiar iniciativas estratgicas.
_____________________________________________________________________________________

PO-Planejar e Organizar

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

PO-Planejar e Organizar

Enviado por

Direitos autorais:

Formatos disponíveis

PLANEJAR

PO1 PO2 PO3 PO4 PO5 PO6 PO7 PO8 PO9

PO10 Gerenciar Projetos

PO1 Definir um Plano Estratgico de TI

e e e ad ad ia cia ad lid lid c in rid nibi bi g o ic c fia te Ef Efi In isp on C D

Planejar e Planejar e Organizar Organizar

Controle sobre o processo de TI de

que satisfaa o requisito do negcio para a TI de

nto me co ha tgi in Al stra E

o ura s e rut as a rma est sso lic fo a- Pe Ap In Infr

Gere nc de R iamento iscos

de de ra o ura e M Mens empenho e Des

PO1 Definir um Plano Estratgico de TI

PO1.2 Alinhamento de Negcios de TI

PO1.3 Avaliao do Desempenho Atual

PO1.4 Plano Estratgico de TI

PO1.5 Planos Tticos de TI

PO1.6 Gerncia de Portfolio de TI

A tabela RACI identifica quem : Responsible, Accontable, Consulted and/or Informed.

PO1 Definir um Plano Estratgico de TI

1 Inicial/ Ad Hoc quando

2 Repetvel porm Intuitivo quando

3 Processo Definido quando

4 Gerenciado e Mensurvel quando

PO2 Definir a Arquitetura da Informao

e e e ad ad ia cia ad lid ilid c in rid nibi b ic g o fia te Ef Efic In isp on C D

Planejar e Planejar e Organizar Organizar

Controle sobre o processo de TI de

que satisfaa o requisito do negcio para a TI

nto me co ha gi lin trat A s E

o ura s s e rut a a rma est sso lic fo a- Pe Ap In Infr

Gerenciamento de Recursos Secundrio

Gere nc de R iamento iscos

d d o de ura ura ura M M Mens empenho pe pe De De Des

PO2 Definir a Arquitetura da Informao

PO2.2 Dicionrio de Dados e Regras de Sintaxe de Dados da Empresa

PO2.3 Esquema de Classificao de Dados

PO2.4 Gerenciamento da Integridade

PO2 Definir a Arquitetura da Informao

1 Inicial/ Ad Hoc quando

2 Repetvel porm Intuitivo quando

3 Processo Definido quando

4 Gerenciado e Mensurvel quando

PO3 Determinar a Direo Tecnolgica

e e e ad ad ia cia ad lid ilid c in rid nibi b g o ic c fia te Ef Efi In isp on C D

Planejar Planejar e e Organizar Organizar

Controle sobre o processo de TI de

que satisfaa o requisito do negcio para a TI

to en am ico nh tg Ali stra E

Gerenciamento de Recursos Secundrio

Gere nc de R iamento iscos

o ura s e rut as a rma est sso lic fo a- Pe Ap In Infr

o o de u sura o Mens empenho mp D Des

PO3 Determinar a Direo Tecnolgica

PO3.2 Plano de Infra-estrutura Tecnolgica

PO3.3 Monitoramento das Tendncias e Regulamentos Futuros

PO3.4 Padres de Tecnologia

PO3.5 Conselho de Arquitetura de TI

A tabela RACI identifica quem : Responsible, Accontable, Consulted and/or Informed.

Indicadores de Metas Chave de TI nmero e tipo de divergncias do plano de infra-estrutura de tecnologia

PO3 Determinar a Direo Tecnolgica

1 Inicial/ Ad Hoc quando

2 Repetvel porm Intuitivo quando

3 Processo Definido quando