GOVERNANCE INSTITUTE" une HT Goansoes Comey Modelo Objetivos de Controle Diretrizes de Gerenciamento Modelos de MaturidadeIT Governance Institute™ OT Governance Institute (ITGI™) (wwwitgi.org) foi estabelecido em 1998 para methoria do pensamento e dos padrdes interna- cionais de diregdo e controle da tecnologia da informagao nas organizagées. Uma governanga de TI efetiva ajuda @ garantir que a TI suporte os objetivas de negécios, otimiza os investimentos em TI ¢ apropriadamente os riscos ¢ as oportunidades relacionados a TI. O ITG™ oferece pesquisa original, recursos eletrénicos ¢ estudos de caso para auxiliar os lideres de organizagées eo conselho de diretores nas suas responsabilidades de governanga de TI Declaragio de responsabilidade pelo uso (disclaimer) 0 ITGI™ (o “Proprietirio”) elaborou e eriou esta publicagdo, intitulada ConiT* 4.1 (0 “Trabalho”), primordialmente como lum recurso educacional para chief information officers (CIOs), geréncia sénior, geréncia de TI ¢ profissionais de controle. Os Proprictérios néo afirmam que qualquer uso do Trabalho iré garantir um resultado de sucesso. O Trabalho no deve ser considera- do inclusivo de qualquer informagdo, procedimentos e teste préprios ou exclusivo de outras informagGes, procedimentos ou testes que sejam razoavelmente direcionados a obtengio dos mesmos resultados. Ao determinar a propriedade de qualquer informag® specifica, procedimento ou teste, os CIOs, geréncis sénior, geréncia de TI e profissionais de controle devem aplicar o seu proprio julgamento profissional as circunstincias especificas apresentadas por um sistema ou ambiente de TI em particular. Direitos de Uso Os direitos autorais deste compéndio foram emitidos em 2007 para o IT Governance Institute™. Todos os direitos so reserva~ dos, Nenhuma parte desta publicagdo pode ser usada, copiads, reproduzida, modificada, distribuida, demonstrada, arquivada em sistema automatizado ou transmitida por qualquer meio (eletrénico, mecinico, fotocSpia, gravagdo ou outro) sem a devida auto- rizagio do ITGI™. A reprodugdo de partes selecionadas desta publicagdo somente para uso interno e nfo comercial ou académico 6 permitida e deve incluir uma declaragio clara da fonte deste material. Nenhum outro diteito ou permissio & concedida com respeito a este trabalho. IT Governance Institute™ 3701 Algonquin Road, Suite 1010 Rolling Meadows, IL 60008 USA Phone: +1,847,590.7491 Fax: +1.847.253.1443, E-mail: info@itgi.org Web site: www.itgi.ong {2007 TT Govemaace Instiate, Todos or Gros reservados wig ongAGRADECIMENTOS OT Governance Institute gostaria de agradecer a: Desenvolvedores Especialistas ¢ Revisores Mark Adler, CISA, CISM, CIA, CISSP, Allstate Ins. Co., USA Peter Andrews, CISA, CITP, MCMI, PIA Consulting, UK Georges Ataya, CISA, CISM, CISSP, MSCS, PBA, Solvay Business School, Belgium Gary Austin, CISA, CIA, CISSP, CGFM, KPMG LLP, USA Gary S. Baker, CA, Deloitte & Touche, Canada David H, Bamett, CISM, CISSP, Applera Corp., USA (Christine Bellino, CPA, CITP, Jefferson Wells, USA. John W. Beveridge, CISA, CISM, CFE, CGFM, CQA, Massachusetts Office of the State Auditor, USA ‘Alan Boardman, CISA, CISM, ‘SP, Fox IT, UK David Bonewell, CISA, CISSP-ISSEP, Accomac Consulting LLC, USA Dirk Brayndonckx, CISA, CISM, KPMG Advisory, Belgium ‘Don Canilglia, CISA, CISM, USA Luis A. Capua, CISM, Sindicatura General de la Nacién, Argentine Boyd Carter, PMP, Elegantsolutions.ca, Canada Dan Casciano, CISA, Ernst & Young LLP, USA. Sean V. Casey, CISA, CPA, USA Sushil Chatter, Edutech, Singapore Ed Chavennes, Emst & Young LLP, USA Christina Cheng, CISA, CISSP, SSCP, Deloitte & Touche LLP, USA Dharmesh Choksey, CISA, CPA, CISSP, PMP, KPMG LLP, USA Jeffrey D. Custer, CISA, CPA, CIA, Emst & Young LLP, USA Beverly G. Davis, CISA, Federal Home Loan Bank of San Francisco, USA Peter De Bruyne, CISA, Banksys, Belgium Steven De Haes, University of Antwerp Management School, Belgium Peter De Koninck, CISA, CFSA, CIA, SWIFT SC, Belgium Philip De Picker, CISA, MCA, National Bank of Belgium, Belgium Kimberly de Vries, CISA, PMP, Zurich Financial Services, USA Roger S. Debreceny, Ph.D., FCPA, University of Hawaii, USA. ‘Zama Dlamini, Deloitte & Touche LLP, South Afiiea Rupert Dodds, CISA, CISM, FCA, KPMG, New Zealand, ‘Troy DuMoulin, Pink Elephant, Canada Bill A. Durrand, CISA, CISM, CA, Emst & Young LLP, Canada Justus Bkeigwe, CISA, MBCS, Deloitte & Touche LLP, USA Rafael Fduardo Fabius, CISA, Republica APAP S.A., Uruguay Urs Fischer, CISA, CIA, CPA (Swiss), Swiss Life, Switzerland Christopher Fox, ACA, PricewatethouseCoopers, USA Bob Frelinger, CISA, Sun Microsystems Inc., USA ‘Zhiwei Fu, Ph, D, Fennie Mae, USA “Monique Garsoux, Dexia Bank, Belgium Edson Gin, CISA, CFE, SSCP, USA. Sauvik Ghosh, CISA, CIA, CISSP, CPA, Emst & Young LLP, USA Guy Groner, CISA, CIA, CISSP, USA Erik Guldentops, CISA, CISM, University of Antwerp Management School, Belgium Gary Hardy, IT Winners, South Africa Jimmy Heschl, CISA, CISM, KPMG, Austria Benjamin K. Hisaio, CISA, Federal Deposit Insurance Corp., USA ‘Tom Hughes, Acumen Alliance, Australia ‘Monica Jain, CSQA, Covansys Corp., US Wayne D. Jones, CISA, Australian National Audit Office, Australia John A. Kay, CISA, USA Lisa Kinyon, CISA, Countrywide, USA Rodney Kocot, Systems Control and Security Ine., USA. Lue Kordel, CISA, CISM, CISSP, CIA, RE, RFA, Dexia Bank, Belgium Linda Kostie, CISA, CPA, USA John W. Lainhart TV, CISA, CISM, IBM, USA Philip Le Grand, Capita Education Services, UK. Elsa K. Lee, CISA, CISM, CSQA, AdvanSoft Intemational Inc., USA Kenny K. Lee, CISA, CISSP, Countrywide SMART Governance, USA Debbie Lew, CISA, Emst & Young LLP, USA ‘© 2007 TF Governance Intute: Todos ox dco reservados, wnlighore atAGRADECIMENTOS (CoNTINUAGAO) Donald Lorete, CPA, Deloitte & Touche LLP, USA Addie C.P. Lui, MCSA, MCSE, First Hawaiian Bank, USA Debra Mallete, CISA, CSSBB, Kaiser Permanente, USA Charles Mansour, CISA, Charles Mansour Audit & Risk Serviee, UK Mario Micallef, CPAA, FLA, National Australia Bank Group, Australia ‘Niels Thor Mikkelsen, CISA, CIA, Danske Bank, Denmark John Mitchell, CISA, CFE, CITP, FBCS, FIA, MITA, QiCA, LHS Business Control, UK Anita Montgomery, CISA, CIA, Countrywide, USA Karl Muise, CISA, City National Bank, USA. Jay S. Munnelly, CISA, CA, CGEM, Federal Deposit Insurance Corp., USA Sang Nguyen, CISA, CISSP, MCSE, Nova Southeastern University, USA Ed O'Donnell, PhD., CPA, University of Kansas, USA Sue Owen, Department of Veterans Affairs, Australia Robert G. Parker, CISA, CA, CMC, FCA, Robert G, Parker Consulting, Canada Robert Payne, Trencor Services (Pty) Ltd, South Africa ‘Thomas Phelps IV, CISA, PricewaterhouseCoopers LLP, USA Vitor Prisca, CISM, Novabase, Portugal Martin Rosenberg, Ph,D,, IT Business Management, UK Claus Rosenquist, CISA, TrygVesata, Denmark Jaco Sadie, Sasol, South Afiica ‘Max Shanahan, CISA, FCPA, Max Shanahan & Associates, Australia Craig W. Silverthorne, 3M, CPA, IBM Business Consulting Services, USA. Chad Smith, Great-West Life, Canada Roger Southgate, CISA, CISM, FCCA, CubelT Management Ltd, UK Paula Spinner, CSC, USA Matk Stanley, CISA, Toyota Financial Services, USA. Dirk E. Steuperact, CISA, PricewaterhouseCoopers, Belgium Robert E, Stroud, CA Inc,, USA Scott L, Summers, Ph.D, Brigham Young University, USA, Lance M. Turcato, CISA, CISM, CPA, City of Phocnix IT Audit Division, USA ‘Wim Van Grembergen, Ph.D., University of Antwerp Management School, Belgium Johan Van Gricken, CISA, Deloitte, Belgium Greet Volders, Voquals NV, Belgium Thomas M, Wagner, GarinerInc., USA Robert M, Walters, CISA, CPA, CGA, Office ofthe Comptroller General, Canada Freddy Withagels, CISA, Capgemini, Belgium ‘Tom Wong, CISA, CIA, CMA, Emst & Young LLP, Canada ‘Amanda Xu, CISA, PMP, KPMG LLP, USA. Comité de Diresao ITGL Everett C, Johnson, CPA, Deloitte & Touche LLP (retired), USA, International President Georges Ataya, CISA, CISM, CISSP, Solvay Business School, Belgium, Viee President William C. Boni, CISM, Motorola, USA, Vice President Avinash Kadam, CISA, CISM, CISSP, CBCP, GSEC, GCIH, Miel e-Sccurity Pvt Ltd, India, Vice President Jean-Louis Leignel, MAGE Conseil, France, Vice President Lucio Augusto Molina Focazzio, CISA, Colombia, Vice President Howard Nicholson, CISA, City of Salisbury, Australia, Vice President Frank Yam, CISA, FHKIoD, FHKCS, FFA, CIA, CFE, CCP, CFSA, Focus Strategic Group, Hong Kong, Vice President Marios Damianides, CISA, CISM, CA, CPA, Emast & Young LLP, USA, Past International President Robert S. Roussey, CPA, University of Southern California, USA, Past international President Ronald Saull, CSP, Great-West Life and IGM Financial, Canada, Trustee Comité de Governanga de TI ‘Tony Hayes, FCPA, Queensland Government, Australia, Chair Max Blecher, Virtual Alliance, South Africa Sushil Chatterji, Edutech, Singapore Anil Jogani, CISA, FCA, Tally Solutions Limited, UK John W. Lainhart IV, CISA, CISM, IBM, USA Remulo Lomparte, CISA, Banco de Crédito BCP, Peru Michacl Schirmbrand, Ph.D., CISA, CISM, CPA, KPMG LLP, Austria Ronald Saull, CSP, Great-West Life Assurance and IGM Financial, Canada z {2007 TT Govemaace Instiate, Todos or Gros reservados wig ongComité de Gerenciamento do ConT Roger Debreceny, Pa.D., FCPA, University of Hawaii, USA, Chair Gary 8. Baker, CA, Deloitte & Touche, Canada Dan Casciano, CISA, Emst & Young LLP, USA. Steven De Haes, University of Antwerp Management School, Belgium Peter De Koninck, CISA, CFSA, CIA, SWIFT SC, Belgium Rafael Eduardo Fabius, CISA, Repiblica AFAP SA, Unuguay Urs Fischer, CISA, CIA, CPA (Swiss), Swiss Life, Switzerland Erik Guldentops, CISA, CISM, University of Antwerp Management School, Belgium Gary Hardy, IT Winners, South Africa Jimmy Heschl, CISA, CISM, KPMG, Austria Debbie A. Lew, CISA, Emst & Young LLP, USA. Maxwell J. Shanahan, CISA, FCPA, Max Shanahan & Associates, Australia Dirk Steuperaert, CISA, PricewaterhouseCoopers LLC, Belgium Robert E, Stroud, CA Ine,, USA Painel de Aconselhamento do ITGI Ronald Saull, CSP, Great-West Life Assurance and IGM Financial, Canada, Chair Roland Bader, F. Hoffmann-La Roche AG, Switzerland Linda Betz, IBM Corporation, USA. Jean-Pierre Comniou, Renault, France Rob Clyde, CISM, Symantec, USA Richard Granger, NHS Connecting for Health, UK Howard Schmidt, CISM, R&H Security Consulting LLC, USA ‘Alex Siow Yuen Khong, StarHub Ltd, Singapore Amit Yoran, Yoran Associates, USA Associagdes afiliadas ¢ apoiadores do ITGI ISACA chapters American Institute for Certified Public Accountants 'ASIS International ‘The Center for Internet Security ‘Commonwealth Association of Corporate Governance FIDA Inform Information Security Forum ‘The Information Systems Security Association Institut de la Gouvernance des Systémes d’ Information Institute of Management Accountants ISACA ITGI Japan Solvay Business School University of Antwerp Management School Aldion Consulting Pte. Lte CA Hewlett-Packard IBM LogLogic Ine, Phoenix Business and Systems Process Inc. Symantec Corporation Wolcott Group LLC World Pass IT Solutions ‘© 2007 TF Governance Intute: Todos ox dco reservados, wnlighore 3Agradecimentos aos profissionais que participaram de forma voluntaria do grupo de tradugio ¢ revisio do Projeto CosT-BR, (© grupo foi formado por profissionais das reas de Auditoria, Seguranga da Informagdo e Governanga em TI, ¢ & representative de diversos segmentos, indistria, bancos, seguradoras, servigos, firmas de consultoria e Srgdios de Governo. Participantes Adriana da Silva Dian Ledo, Sao Paulo Alberto Bastos, CISSP, Rio de Janeiro Alberto Favero, CISSP, CISA, CISM, Sto Paulo Alfred John Bacon, CISA CISM, Rio de Janeiro André Amado, Sa0 Paulo André Pitkowski, CGEIT, OCTAVE, Sio Paulo Antonio de Sousa, Sao Paulo César Augusto Monteiro, Sa0 Paulo Cristiano Kruel, CISA, CGEIT, Rio Grande do Sul David De Paulo Pereira, Brasiliay DF Edgar D’ Andrea, CISA, CISM, CGEIT, So Paulo Gianni Ricciardi, So Paulo Gilmar Souza Santos, CISA, CGEIT, CSQE, So Paulo Jeferson D’ Addario, CBCP, MBCT, Sao Paulo Joo Anténio Ribeiro Ferreira, Coronel PM, So Paulo Laurence Liu, CGEIT, So Paulo Luiz Felix Prado, CISA, CIA, CFSA, So Paulo Luiz. Gustavo Ferracini de Oliveira, CISA, CISM, Siio Paulo Marcelo Silva, CISA, Sao Paulo Marcos Aurélio Rodrigues, Sargento PM, So Paulo Margarete Furuta, CISA, CISM, Sto Paulo Marina Solano, Brasilia/DE Mauro José Souza, CISA, So Paulo Napoledo Verardi Galegale, CGEIT, Sto Paulo Paulo Henrique Passos Ximendes, Brasilia’ DF Ricardo Guedes G. da Silveira, CISM, CISA, So Paulo Ricardo Pires Monteiro Martins, CISA, CIA, So Paulo Roberval Ferreira Franga, Tenente Coronel PM, Sio Paulo Rodrigo Hiroshi Ruiz Suzuki, CISA, So Paulo Silvana Laragnoit Ribas, CISA, Sio Paulo Coordenagao Marcelo F. Melro, CISA, CISM, CISSP, So Paulo Carmen O, Fernandes, CISA, CIA, Sio Paulo Ricardo Castro, CISA, MCSO, CFE, Sio Paulo 0 projeto ComrFBR foi resultado de um esforgo conjunto dos associados ¢ lideres dos Capitulos ISACA no Brasil, ob a Coordenagao da Dirctoria do Capitulo Sio Paulo, ISACA Capitulo Sao Paulo/SP DiretoriaExecutiva em 2008 — 2009 Marcelo Femandes Mclro, CISA, CISM, CISSP, Presidente Ricardo Mathias de Castro, CISA, MCSO, CFE, Viee-Presidente Edméa Pujol Cantén, Diretora Secretaria Carmen Ozores Femandes, CISA, CIA, Diretora de Educago Ivo Luiz Cairrao, Diretor de Controladoria e Administraga0 Andzé Pitkowski, CGEIT, OCTAVE, Diretor de Associados José Luis Diniz, CGEIT, Diretor de Parcerias Fernando Nicolau F. Ferreira, CISM, CGEIT, CFE, CITP, Diretor de Comunicagio Valmir Schreiber, CISM, Past President a {2007 TT Govemaace Instiate, Todos or Gros reservados wig ongISACA Capitulo Rio de Janeiro/RJ Diretoria Executiva em 2009 Allfed John Bacon, CISA, CISM, CISSP, Presidente ‘Marcos Sémola, CISM, Vice-Presidente Leandro Ribeiro, Diretor Secretirio Emani Paes de Barros, CISA, CISM, CGEIT,Diretor de Edueagio Marcelo Duarte, CISA, CGEIT, Diretor de Controladoria ¢ Administrago Dr Paulo Pagliusi, PhD, Diretor de Comunicagdo e RelagGes Institucionais ISACA Capitulo Brasilia/DF Diretoria Executiva em 2009 lan Lawrence Webster, Presidente Dr, Jodo Souza Neto, Vice-Presidente Andre Luiz Furtado Pacheco, Diretor Secretdtio Paulo Henrique Passos Ximendes, Diretor de Associados Leandro Pfeifer Macedo, Diretor de Comunicago e Marketing, Carlos Renato Araujo Braga, Diretor de Educagdo José Geraldo Loureiro Rodrigues, Diretor Tesoureiro Dr. Rildo Ribeiro dos Santos, Diretor Insttucional Roberta Ribeiro De Queiroz Martins, Presidente do Consetho Fiscal Claudio Silva da Cruz, Membro do Conselho Fiscal Daniel Moreira Guithon, Membro do Consetho Fiscal ‘© 2007 TF Governance Intute: Todos ox dco reservados, wnlighoreTABELA DE ConTEUDO Sumario EXeCUtiVO ...oesnnnnnnsnnnnnnsnnnnnnse settee) Modelo Con’... Planejar ¢ Organizat ccm Adquirir ¢ Implementar... Entregar © Supottar ....cnnnnnnnnnnnnnnnnnn onnnnnnnnnnneenee 8 Monitorar e Avaliar.... 155 Apéndice I - Tabelas Relacionando os Objetivos e Processos m1 Apéndice II - Mapeamento de Processos de TI com as Areas Foco de Governanga de TI, COSO, Recursos de TI do ConiT e Critérios de Informagio do ConrT. 177 179 Apéndice III - Modelo de Maturidade para Controle Interno.... Apéndice IV — Material de Referéneia Principal. 181 Apéndice V — Referéneia cruzada entre a 3* Edigao do Cont € 0 COBIT 4.1 coccscsstcnnsnntinnennnennee 83 191 Apéndice VI — Enfoque para Pesquisa ¢ Desenvolvimento... Apéndice VII - Glossirio .. Apéndice VIII — 0 ConiT e os Produtos Relacionados..... Seu feedback sobre o ConiT 4.1 é bem-vindo. Por favor, acesse o site wwmisaca.org/cobitfeedback para enviar seus comentirios. z {2007 TT Govemaace Instiate, Todos or Gros reservados wig ongSumArIo ExEcUTIVvoOSuMArio ExEcuTIvo Para muitas organizagées a informagao e a tecnologia que a suporta representam o seu bem mais valioso, mas muitas vezes é 0 ‘menos compreendido. Organizagdes bem-sucedidas reconhecem os beneficios da tecnologia da informagao e a utiliza para dire- ccionar os valores das partes interessadas no negécio, Essas organizagées também entendem e gerenciam os riscos associados, tais ‘como as crescentes demandas regulatérias e a dependéncia critica de muitos processos de negécios da Tl. Annecessidade da avaliagdo do valor de TI, 0 gerenciamento dos riscos relacionados & TI ¢ as erescentes necessidades de controle sobre as informagSes so agora entendidos como elementos-chave da governanga corporativa. Valor, risco e controle constituem a cesséncia da governanga de TI Agovernanga de TI é de responsabilidade dos executivos e da alta direso, consistindo em aspectos de ideransa, estrutura organiza ‘ional e processos que garantam que a drea de TI da organizagao suporte e aprimore os objetivos e as estratégias da organizacaio. ‘Além disso, a governanga de TI integra e institucionaliza boas priticas para garantir que a rea de TI da organizagao suporte os ‘objetivos de negécios. A governanga de TI habilita a organizagdo a obter todas as vantagens de sua informago, maximizando os beneficios, capitalizando as oportunidades ¢ ganhando em poder competitive. Esses resultados requerem um modelo para contro- le de TI que se adeque e dé suporte a COSO (“Committe of Sponsoring Organisations of the Treadway Commission s Internal Control = Integrated Framework"), um modelo para controles intemnos amplamente aceito para governanga e gerenciamento de riscos empresariais, ¢ outros modelos similares. As organizagdes devem satisfazer os requisites de qualidade, guarda e seguranga de suas informagSes, bem como de todos seus bens. Os executivos devem também otimizar 0 uso dos recursos de TI disponiveis, incluindo os aplicativos, informagies, infia-e trutura e pessoas, Para cumprir essas responsabilidades bem como atingir scus objetivos, os executives devem entender 0 estigio atual de sua arquitetura de TI e decidir que governanga e controles ela deve prover. 0 Control Objectives for Information and related Technology (CosiT*) fornece boas praticas através de um modelo de dominios ‘e processos e apresenta atividades em uma estrutura légica e gerencidvel. As boas praticas do ContT representam o consenso de especialistas, Elas sto fortemente focadas mais nos controles € menos na execugdo, E'ssas priticas irdo ajudar a otimizar os investi- ‘mentos em TI, assegurar a entrega dos scrvigas e prover métricas para julgar quando as coisas sacm erradas. Para a drea de TI ter sucesso em entregat os servigos requeridos pelo negécio, os executives devem implementar um sistema intero de controles ou uma metodologia, modelo de controle do CosiT contribui para essas necessidades a0: Fazer uma ligagdo com os requisitos de negécios. Onganizar as atividades de TI em um modelo de processos geralmente aceito, Identificar os mais importantes recursos de TI a serem utilizados, Definir os objetivos de controle gerenciais a serem considerados. Acotientagdo aos negécios do CowiT consiste em objetivos de negécios ligados a objetivos de TI, provendo métricas e modelos de ‘maturidade para medir a sua eficdcia ¢ identificando as responsabilidades relacionadas dos donos dos processos de negécios e de Tl. 0 foco em processos do ConiT ¢ ilustrado por um modelo de processos de TI subdivididos em quatro dominios ¢ 34 processos ‘em linha com as areas responsaveis por planejar, construi, executar e monitorar, provendo assim uma visio total da area de TI. eeitos de arquitetura corporativa ajudam a identificar os recursos essenciais para o sucesso dos processos, ou seja, aplicativos, informagGes, infraestrutura ¢ pessoas, Em resumo, para prover as informagdes de que a empresa necessita para atingir seus objetivos, os recursos de TI precisam ser _gerenciados por uma série de processos naturalmente agrupados. ‘Mas como a empresa consegue implementar contoles na drea de TI de forma que ela entregue as informagSes que a empresa precisa? Como ela gerencia os riscos e garante a suranga dos recursos de TI dos queis€ tio dependente? Como a empresa asse~ fgura que a érea de TI atinge os seus objetivo e atende aos negécios? Primeiramente os executivos precisam de objetivos de controles que definam ¢ meta bésica de implementar politicas, planos € procedimentos, bem como a estrutura organizacional designada para prover razodvel garantia de que: (0s objetivos de negdcio serio atingidos Eventos indesejiveis serdo prevenidos ou detectados ¢ corrigidos ‘© 2007 TF Governance Intute: Todos ox dco reservados, wnlighore 7[Em segundo lugar, no complexo ambien te atual, os executivos estio continua ‘mente procurando informagies conden- sadas ¢ disponiveis que os auxiliem & — tomar decisdes dificeis relacionadas a Como os executvos responsdveis PME > Incicadores? valor, risco e controles, de forma répidae | _ mantémanaviona rota? correta. O que deve ser avaliado e como? As organizagdes precisam de medidas ‘Como a empresa atinge os resultados Moe de objetivas que mostrem onde elas esto & satistatrios para o maior segmento possivel Mga? onde so nocessérias melhorias ¢ também | de pares interessadae precisam implementar instrumentos que ——_______. rmonitorem essas melhorias. A Figura 1 Como a empresa pode adaptar-se em tempo cease pa cxibe algumas questées comuns © as fer- aproriad para as novas tendéncias¢ Comparagac? ramenias de gerenciamento de informa- desenvolvimento neste ambiente? @es usadas para encontrar as respostas, mas 0s painéis de controles (dashboards) precisam de indicadores, os “scorecards” precisam de meios de medigdo ¢ 0 “benchmarking”, de uma escala para comparagies. bec ey n ‘Uma resposta para esses requisitos de definigo e monitoramento dos controles e nivel de performance de TI &a definigdo do ConiT de: Benchmarking da performance e capacidade dos processos de TI, expressos em modelos de maturidade, derivados do “Capability Maturity Model (CMM) do Software Engineering Institute”. © Objetivos e métrieas dos processos de TI para definir e avaliar os seus resultados e performance baseados nos principios do balanced business scorecard publicado por Robert Kaplan e David Norton, Objetivos das atividades para controlar esses processos com base nos objetivas de controle do Cont. A.avaliagao do processo de capacidade baseado nos modelos de maturidade do Cour é uma parte fundamental da implementagao dda governanea de TI. Depois de identificar os processos e controles criticos de TI, © modelo de maturidade permite a identificaga0 das deficiéncias em capacidade e a sua demonstrago para os executivos. Planos de ago podem ser desenvolvides para elevar cesses processos a0 desejado nivel de capacidade. Assim o ConiT suporta a governanga de TI (Figura 2) provendo uma metodologia para assegurar que: © A rea de TI esteja alinhada com os negécios A direa de TI habilite 0 negécio © maximiza os beneticios Os recursos de TI sejam usados responsavelmente + Os tiscos de TI sejam gerenciados apropriadamente A mensurago da performance & essencial para a govemnanga de TI. Isto & suportado pelo Conf, incluindo a definigdo eo moni- foramento dos objetivos de mensuragdo sobre os quais os provessos de TI precisam entregar (processo de saida) e como entregam (processo de capacidade e performance). Muitas pesquisas identificaram a falta de transparéncia dos custos, do valor e dos riscas, de TI como uma das mais importantes metas para a governanga de TI. Embora outras éreas de foco contribuam, a transparéncia é primariamente atingida através da medigio da performance, inte on ‘inhamento etatéico:foca em garantra gag entre os panos de negéas «de TL, defrindo, mantondo «#valdande aproposta de var do, alinhando as perages de TI com as operages da organiza, + Entrega de valor: 6 a execugio da proposta de valor de IT através do cco deentrega, grantindo que Tl tentege os promtidos beneiios provisos na estatgia da arganizago,concenrado-se em otmizarcustos «proven o valor intrinseco de TL + Gestio de recursos: referee & melhor utlizagdopossvl dos ivestimentos eo epropriadogerenciamento ‘GOVERNANGA os recursos cricos de T-apliatvs,nformagées, natura e pessoas. Questesrelevantesreterem- 8 &olimizagdo do coneciment inraestutra. + Gestio de rsco: requer a preocupagéo com rscos pelos funcionrios mas experintes d corporagao, lum entendimento cleo do apeite de risco da empresa e dos requerimentos de conormidace,trans- paréncia sobre os isos signfcantes pera eorganzagioe insergdo do gerenclamento de riscos nas stvidades da companhia, + Mensiagio de deserpento:acompannae mantra aimplementayo da esttigi, mio do prj, uso dos recursos, processo de performance e etrega dos servos, usando, por exemplo, “balanced scorecards" que tae tuzem as eatrlégieem ages para aig os objtvos, mados ares d pracesss cones conencionals z {2007 TT Govemaace Instiate, Todos or Gros reservados wig ongEssas drcas de foco em govemanga de TI descrevem os t6picas que os executives precisam atentar para direcionar a érca de TI dentro de suas organizagSes. Gerentes operacionais usam os processos para organizar e gerenciar as atividades continuas de TI. ConiT prové um modelo de processo genérico que representa todos os processos normalmente encontrados nas fungdes de TI, for- necendo assim um modelo de referéncia comum compreendido por gerentes operacionais de TI e gerentes de negécios. O modelo de processos do ConiT foi mapeado com as areas de governanga de TI (veja o apéndice II, Mapeando os Processos de TI com as Areas Foco de Governanga de TI, COSO, Recursos de TI CopiT e Critérios de Informagio Cont), eriando uma ponte entre o que ‘0 gerentes opcracionais procisam executar ¢ 0 que os executives desejam controlar, Para atingir um governanga efetiva, os executivos requerem que os controles sejam implementados pelos gerentes operacionais ‘com uma metodologia de controles definida para todas os processos de TI. Os objetivos de controle de TI do CouT so organiza dos om processos de TI; portanto o modelo proporciona uma clara ligaglo entre os requerimentos de governanga de'TI, processos de Tle controles de TI. © Con & focado no que & necessiio para PEE ene atingir um adequado controle e gerencia- mento deTI eesti posicionado om clevado nivel. 0 Cou: foi alinhado e harmonizado ome a)» 23d Breng ont ‘com outros padtSes e boas priticas de TI ‘ita Diregie | Sovernance, 2* Eton (veja 0 apéndice IV, ContT 4.1 Material de execu suas Referéncia Principal) mais detalhados. O ‘responsablidades? xT atua como um integrador desses di Executes Alta iragso ferentes materais de orientaglo, resumindo pm repens 10s principais objetivos sob uma metodologia mapodenes ede apertrmanc Tee eae eae eee cwergentes sc —A_ genus de governanga e de negécios ‘como pasar do tempo? Mee de mate 0. COSO (¢ outras metodologias similares) Executives de Negécon ede Tee 6 geralmente aceito como umsa metodologia aa tomes tom de controle interno para corporagdes. O ‘metodologia de implementamos avaliar a metodologia ConiT é um modelo de controes internos overanga eT? "naampresa?” de govomanga TT? sgeralmente accitos para a rea de TI. proisionas de avalago (ascuranceconvolesesequanga (0s produtos do ConiT foram organizados em + 1 + 5 niveis Figura 3) ctiados para dar suporte a a —_— Executives ¢ Alla Dirego Modelos ou eval {TSovenance I Assurance Gude Gerentes de TI e de negécios Ee Profissionas de avaliaglo (assurance), ovetos de conto ccontroles ¢ seguranga ‘Praticas chaves de [Cooit Control Practices, De forma resumida, os produtos CosiT incluem: gerenciamento 2 elton Board Briefing on IT Governance, 2 Este diagrama de pradvios bsseado no Gown apresents os produtas geralmente aplicswtis © suas respectves audéncias, Eaition ~Publicasdo que auxilia os execu- | “anstweniton pass eve pra prpsor open Conta Oct fr aban dy Ee, tivosa entender por que governanga de | xsi icone ergs Ear Sey av anemia Sey Gorin: Bos 0 8 Dives and Beet Manager eu pare sess espesias oT Quchstzua pecs «mids emeeS ‘Tl é importante, quais sio suas principais | spar gondesenpees eset ang simp a mas erin gerry dT questdes e 0 papel deles em gerenci-la Diretrizes de gerenciamento / modelos de maturidade —auxiliam na designasio de responsabilidades, avaliagio de desempenho & ‘benchmark, ¢ trata da solugdo de deficiéncias de capacidade. Direttizes de gerenciamento / modelos de maturidade — auxiliam na designagao de responsabilidades, avaliagdo de desempenho « benchmark e trata da solugao de deficiéncias de capacidade “Métodos: organiza os objetivos da govemanca de TI por dominios e processos de TI ¢ os relaciona com os requisitos de negécios. Objetivos de controle — proporcionam um completo conjunto de requisitos de alto nivel a serem considerados pelos executivos para o controle efetivo de cada processo de TI IT Governance Implementation Guide: Using CosiT* and Val IT TM, 2* Edition — prové um mapa geral para implementar a ‘govemnanga de TI usando os recursos do om:T'e o Val IT uT® Control Practices: Guidance to Achieve Control Objectives for Si ‘0s controles merecem ser implementados ¢ como implementé-los IT Assurance Guide: Using ConiT® ~traz orientagées sobre como o Cont pode ser usado para suportar as variadas atividades de avaliago junto com sugestdes de passos de testes para todos os processos e objetivos de controle de TI ceessful IT Governance, ™ Edition — explica porque 0 diagrama de conteiido do CoarT deserito na Figura 3 apresenta o principal pablico-alvo, suas dividas sobre governanga de Tl e ‘08 produtos apliciiveis que podem Ihes dar as respostas. Também existem produtos derivados para finalidades especificas, domi- nios (como seguranga) ou organizagdes especificas. ‘© 2007 TF Governance Intute: Todos ox dco reservados, wnlighore 3‘Todos os componentes do CoaiT sfo inter-relacionados, proporcionando o suporte para as nocessidades de governanga, geren ‘mento, conttole e avaliagdo de diferentes audigncias, conforme demonstrado na figura 4. Figura 4 - Inter-relacionamento dos componentes CaeiT Objetvos de Negocios ont It a [objetives de T Processos del vias doje ae L« J have dos testes Controls RY 2 wv a bese tateade | |Indcadoresde| |eutaos is] | rods ae | | Conan | Sesninem | tas resorbed | |"rerermane | |"'taags | | Matinade | | Tostsde vol © ConiT & um modelo e uma ferramenta de suporte que permite aos gerentes suprir as deficiéncias com respeito aos requisitos de controle, questdes técnicas e riscos de negécios, comunicando esse nivel de controle as partes interessadas. O Cos:T habilita o desenvolvimento de politicas claras e boas préticas para controles de’Tl em toda a empresa, O ContT 6 atualizado continuamente ¢ hharmonizado com outros padrdes e guias. Assim, o CoaiT tornou-se o integrador de boas priticas de Te a metodologia de gover nanga de TI que ajuda no entendimento ¢ gerenciamento dos riscos e benelicios associads com TI. Acestrutura de processos do ConiT e o seu enfoque de alto nivel orientado aos negécios fornece uma visio geral de TI e das deci- sdes a serem tomadas sobre o assunto. Os beneficios de implementar 0 ConiT como um modelo de governanga de TI incluem: Um methor alinhamento baseado no foco do negécio {Uma visio clara para os executivos sobre o que TI faz + Uma clara divisio das responsabilidades baseada na orientagdo para processos Accitagio geral por terceiros e érgios reguladores Entendimento compreendido entre todas as partes interessadas, baseado em uma linguagem comum, + Cumprimento dos requisitos do COSO para controle do ambiente de TI (© restante deste documento apresenta uma descrigZo do modelo Cox:T e de todos os principais componentes do CoxiT, organiza~ dos pelos quatro dominios e 34 processos de TI do ConiT, Isto resulta em um pritico guia de referéncia sobre todas as principais orientagdes do CoxiT. Muitos apéndices sio também fornecidos como referencias iteis. InformagSes mais completas e atualizadas sobre o Cont ¢ 0s produtos relacionados, incluindo ferramentas on-line, guias de im- plementagio, estudos de caso, noticias e material educacional, estdo dispontveis no site wwwisaca.org/eobit, ET {2007 TT Govemaace Instiate, Todos or Gros reservados wig ongMobeELo CosiTMopeto CosiT MissAo po Cost Pesquisar, desenvolver, publicar e promover um modelo de controle para governanga de TI atualizado e internacionalmente reconhecido para set adotado por organizagdes ¢ utilizado no dia-a-dia por gerentes de negécios, profissionais de TI e profissio- nais de avaliagio, A NECESSIDADE DE UM MODELO DE CONTROLE PARA A GOVERNANCA DE TI Um modelo de controle da governanga de TI define as razées pelas quais a governanga de TI 6 necesséria, quais so as partes inte- ressadas e o que esse modelo precisa atingir. Por qué Cada vez mais a Alta Diregdo esté percebendo o significativo impacto que a informacdo tem no sucesso da organiza¢ao. Os ‘executivos esperam um alto entendimento sobre a forma como TI funciona e o quanto ela esté sendo bem administrada para alingir vantagens competitivas. Em particular, 0s executivos precisam saber se as informagSes esto sendo gerenciadas pela empresa de modo a: Possivelmente atingir os objetivos ‘Ter resiligncia suficiente para aprender se adaptar Gerenciar adequadamente os riscos encontrados “Apropriadamente reconhecer as oportunidades e agir sobre elas, As organizagSes ndo podem atingir seus requisitos de negécios e governanga sem adotar e implementar um modelo para governan= ‘sae controle de TI para: Fazer uma ligagio com os requisites de negscios ‘Tornar transparente a performance obtida comparada a esses requisitos, Onganizar as atividades de acordo com um modelo de processos geralmente aceito {dentificar os recursos mais importantes a serem aprimorados Definir os objetivos de controles gerenciais a serem considerados Adicionalmente, as metodologias de governanga e controle estio tomnando-se parte das boas prticas de gerenciamento de TI e slo facilitadoras para o estabelecimento de governanga de TI c adcréncia aos cada vez mais crescentes requisites regulatérios. As boas praicas de TI tornaram-se significantes devido a inimeros fatores Exccutivos de negécio c a Alta Diresio demandando um melhor retomo dos investimentas em TI, isto ¢, que a area de TI entre ‘gue as necessidades da area de negécios para aumentar o valor para partes interessadas Preocupagio com o aumento observado dos gastos com TI Anccessidade de atender as exigéncias regulatérias de controles de TI em dreas como privacidade de informagGes ¢ relatérios fi- nanceiros (por exemplo, Lei Sarbanes-Oxley e Basiléia II) e regulamentagies para setores especificos como as areas de finangas, farmacéutica e salle Selego de provedares de servigos ¢ © gerenciamento e aquisigio de servigos terceirizados (05 riscos relacionados a TI cada vez. mais complexos, como a seguranga de redes Iniciativas de governanga de TI que incluem a adogdo de metodologias de controles e boas priticas que ajudem a monitorar € aprimorar as atividades criticas de TI para ampliar o valor do negécio ¢ reduzir os riscos. ‘Anccessidade de otimizar os custos seguindo, sempre que possivel, um enfoque padronizado em vez. de abordagens especial- ‘mente desenvolvidas. Acrescente maturidade e consequente aceitagdo de metodologias bem-sucedidas, tais como © CosiT, IT Infrastructure Library (ITIL), séries ISO 27000 sobre padrdes relacionados A seguranca da informacZo, ISO 9001:2000 — Requerimentos — Sistemas de Gerenciamento de Qualidade, Capability Maturity Model Integration (CMND, Projects in Controlled Environments 2 (PRINCE2) co Guide to the Project Management Body of Knowledge (PMBOK). ‘Annccessidade de as empresas avaliarem como estio em relagdo aos padrées geralmente accitos e em comparasdo seus parceiros e organizagdes similares (benchmarking) ‘© 2007 TF Governance Intute: Todos ox dco reservados, wnlighore aQuem ‘Uma metodologia de govemanga ¢ controles precisa servir a uma variedade de partes interessadas tanto internas como externas, cada uma com necessidades especifcas Partes interessadas dentro da empresa (stakeholders) que procuram gerar valor a partir dos investimentos en TI: ‘Aqueles que tomam decisdes sobre investimentos ‘Aqueles que decidem sobre requsitos ‘Aqueles que usam os servigos de TL Parts interessadas dentro ¢ fora da empresa que fornccem servigos de TI: ‘Aqueles que gerenciam a organizagao e os processos de TI + Aqueles que desenvolvem as capacidades Aqueles que operam os servigas Partes interessadas dentro e fora da empresa gue tém responsabilidades sobre controesitiscos: + Agueles com responsabilidades sobre seguranga, confidencalidade e/ou riscos ‘Agucles que executam fungdes de conformidade ‘Aqueles que requcrem ou fomecem servigos de avaliagdo oO qué Para atender aos requisites listados na se¢do anterior, uma metodologia de governanga e controle de TI deve: Tomecer um fos de negécios par peril alinhameal etre a objets demegécioae de TT Estabelecerum processo de oentaio para defnirosescopos ca extensio da cobertra, comumaestaturadefinida pemitindo uma facil navegagao em seu conteido Ser geraimento vcclia por ar conrsteate com st boas pica « pdbes de Te ndpendente de teologis epecttcas ‘rover uma linguagem comum com um conunto de termes edefinigbs geralment entendids por todas spats intcesadas * Ajudar a tender aoe requlsitosregulatirios por ser consistent com padres de goveranga geralmenteacelios (como 0 COSO) t olrols del experades por rguladoreae wotiore exteros COMO O CosiT ATENDE A NECESSIDADE [Em respostas as necessidades descritas na segdo anterior, o modelo ConiT foi criado com as principais caracteristicas de ser focado em negocios, orientado a processos, baseado em controles e orientado por medigbes. Focado em negéclos Pe ‘Aceintaio prs egos Go ppl tam do Cot, ol foi desnvolvdo nao soment pra ser uilizado por provedares as de servigos, usuarios e auditores, mas também, e mais importan- de Negocios: te pure fonecec un gui brengente pars os exectivs e doves de processos de negécios © modelo Cost & baseado nos seguintes prineipias (figura 5) Provera informagao de que a organizago precisa para i Recursos atingir os seus objetivos, as necessidades para investir, Organizacional eT gerenciar e controlar os recursos de TI usando um conjunto estruturado de processos para prover os servigos que dispo- nibilizam as informagSes necessérias para a organizagzo. para entogae sas por Processos © gerenciamento e o controle da informagdo esto presentes deTl em toda a metodologia ConiT e ajudam a asseguraro al ‘mento com os requisitos de negécios. CRITERIOS DE INFORMAGAO DO Coit Para atender aos objetivos de negécios, as informagdes precisam se adequar a certos critérios de controles, aos quais 0 ConiT. denomina necessidades de informagao da empresa. Baseado em abrangentes requisitos de qualidade, guarda e seguranga, sete critérios de informagao distintos e sobrepostos so definidos, como segue: Efetividade lida com a informago relevante e pertinente para o processo de negécio bern como a mesma sendo entregue em ‘tempo, de maneira correta, consistente e uilizavel + Bfici@neia relaciona-se com a entrega da informagdo através do melhor (mais produtive e econémico) uso dos recursos. Confidencialidade esta relacionada com a protegio de informagées confidenciais para evitar a divulgagio indevida, 2D {2007 TT Govemaace Instiate, Todos or Gros reservados wig ongIntegridade relacions-sc com a fidedignidade ¢ totalidade da informagio bem como sua validade de acordo os valores de negé- cos ¢ expectativas, Disponibilidade relaciona-se com a disponibilidade da informagio quando exigida pelo provesso de negécio hoje e no futuro. ‘Também esta ligada & salvaguarda dos recursos necessérios ¢ capacidades associadas. Conformidade lida com a aderéncia a leis, eegulamentos e obrigagdes contratuais aos quais os processos de negécios esto sujeitos, isto é, eritérios de negécios impostos externamente e politicas internas, Confiabilidade relaciona-se com a entroga da informatio apropriada para os executivos para administrar a entidade ¢ exercer suas responsabilidades fidueiarias e de governanga, OBJETIVOS DE NEGOCIOS E OBJETIVOS DE TI Enquanto os ctitérios de informagio fornecem um método genérico para definir os requisitos de negécios, definir um conjunto genéti- co de objetivos de negécios ¢ de TI fornece uma base mais refinada para o estabelecimento dos requisites de negécios ¢ o desenvolv ‘mento de métricas que permitam avaliar se esses objetivos foram atendidos. Toda organizagio usa TI para fazer funcionar as iniciai vvas de negocios e essas podem ser representadas como objetivos de negécios para a érea de TI. Esses exemplos genéricos podem ser utilizados como um guia para determinar os requisites de negécios especificos, as metas ¢ as métricas para a organizacao, Para a drea de TI entregar de maneira bem-sucedida os servigos que suportam as estratégias de negocios, deve existir uma clara | «aici ar cone da etme ene | tre de ges ura, ‘Seionkos dese apis, sine de ‘Miso ities ntact. ! outa [~~ Se, | etn ove desi do win moe Fret deemed no rete de aes 6 el cna ‘ego gor exempted dates pare do malo corporv edu, ode, ‘cn de mets de doe rds! dans de ado opi deem Gap Pewentea ce apne ema coomase eg dar bids d aii de Nise! depetiopes a cmenindede van ‘© 2007 TF Governance Intute: Todos ox dco reservados, wnlighore aaE ame Cee Definir a Arquitetura da Informagao MonpeLo pe MATURIDADE. PO2 Definir a Arquitetura da Informagao © gerenciamento do processo de “Definir a Arquitetura da Informacao” que satisfaga ao requisito do negécio para a TI de “ser gil em responder aos requisitos, fornecer informacdo confidvel e consistente e integrar completamente as aplicagbes aos pro- cessos de negécio” &: 0. Inexistente quando "Nao hi conscientizagio da importincia da arquitetura da informagdo na organizagio. conhecimento, o parecer téenico e as res- ponsabilidades necessdrias para desenvolver esta arquitetura no existem na organizagio, 1 Inia Ad hoe quando {A goréncia reconhece a necessidade de uma arqutetura da informagao. O desenvolvimento de alguns componentes de uma ar- duitetura da informagdo ocorre deforma ad hoc. As definigSes abrangem dados ao invés de informagdo e sio direcionadas plas ofertas de fornecedores de software aplicativo, Ha comunicagdo esporica e inconsstente sobre a necessidade de uma arguitctura ds informagdo 2 Repetivel, porém Intuitivo quando ‘Um processo de arquitetura da informag4o comega a surgir procedimentos similares, ainda que informais ¢ intuitivos, so se- zuidos por diferentes pessoas dentro da organizago. As pessoas adquirem habilidades em desenvolverarquitetura de informagio através de experitncia priticas erepetidas aplicagSes de téenicas, Requisitos titicos impulsionam o desenvolvimento de compo- nentes da arquitetura da informagao por individuos, 3 Processo Definido quando ‘Aimportincia da arquittura da informagdo ¢entendida eaceita e a responsabilidade por sua entrega ¢estabelecida eclaramente divulgada, Os procedimentos, ferramentas e tcnicas, embora nto soisticads, tém sido padronizados e docuentados e fazer parte das atividades de treinamento informal, Foram desenvolvidas politica basicas da arqitetura de informagio, incluindo alguns reqisitos estratégicos, porém a conformidade com politica, padres e ferramentas ndo é imposta de maneira consstene. ‘Uma area de administragdo de dados foi recentemente definida e formalmente estabelecida, determinando os padres organizacio- nais¢ dando inicio aos relaérios sobre a entrega¢ o uso da arquitetura de informagio, Ferramentas automalizadas estio come- ando a ser empregadas, mas os processos eas rerasutlizados so definidos por meio de ofertas de fomnecedores de software de branco de dados. Atividades formais de trinamentos so definidas, documentadas ¢aplicadas consstentemente 4 Gerenciado e Mensuravel quando 0 desenvolvimento ¢ a imposig%o da arquitetura da informagio so completamente sustentados por métodes e téenicas formais. Aresponsabilizag3o pelo desempenho dos processos de desenvolvimento da arquitetura é imposta, e 0 sucesso da arquitetura de informagdo é medido, Ferramentas automaticas de apoio sio difundidas amplamente, mas ainda nio estdo integradas, Métricas bésicas foram identificadas, e foi estabelecido um sistema de mensuragdo. O processo de definigdo da arquitetura de informago é pproativo e com faco no atendimento das necessidades futuras do negécio. A organizagao de administragao dos dados esta ativa- ‘mente envolvida em todos os esforgos de desenvolvimento de aplicagses pata assegurar consisténcia, Um repositério automatiza- do esté completamente implementado, Modelos de dados mais complexos so implementados para alavancar a informagao contida nos bancas de dados. Os sistemas de informagdes executivas e sistemas de apoio a decisées aproveitam a informagio disponivel. 5 Otimizado quando ‘A arquitetura da informagio ¢ imposta de forma consistente em todos os niveis da organizagio. O valor da arquitetura de infor- rmagdo é continuamente enfatizado no negocio. A equipe de TI tom a habilidade e a especializagio necessérias para desenvolver ¢ ‘manter uma arquitetura de informagio robusta ereativa que refita todas as necessidades do negécio, A informagao fornecida pela arquitetura de informagao ¢ aplicada de forma consistente¢ extensiva, Melhores priticas da indistria no desenvolvimento e na ma- nutengio da arquitetura da informagao sfo extensivamente utlizadas, incluindo um processo de melhoria continua, Esta definida uma estratégia para utilizar a informagao por meio da tecnologia de armazenamento de dados (datawarehousing) e de pesquisa de dados (data mining). Aarquitetura da informagdo € aprimorada continuamente e leva em consideragio a informagio nko tradicio- nal dos processos, organizagSes ¢ sistemas. a {2007 TT Govemaace Instiate, Todos or Gros reservados wig ongEa Cee Pee eee nie) DescricAo DE PRocesso PO3_Determinar as Diretrizes da Tecnologia (0s responsiveis pelos servigos de informagao determinam um direcionamento tecnol6gico que suporta 0 negéeio. Isso demanda a criagdo de um plano de infraestrutura tecnolégica e um consclho de arquitetura que estabelega e gerencic expectativas claras ¢ re- alistas do que a tecnologia pode oferecer em termos de produtos, servigos e mecanismos de entrega. O plano é atualizado regular ‘mente e abrange aspectos como arquitetura de sistemas, direcionamento tecnol6gico, plano de aquisigdes, padrdes, estratégias de migragdo © contingéncia, Isso permite respostas répidas a mudancas em um ambiente competitivo, economia de escala em equipes ‘e em investimentos de sistemas de informagdo, bem como melhor interoperabilidade entre plataformas e aplicagées. oan ee Controle sobre o seguinte processo de TI: Determinar as Diretrizes da Tecnoclogia que satisfaga aos seguintes requisitos do negécio para a TI: ter sistemas aplicativos, recursos e capacidades padronizados, integrados, estiveis, com boa relasio custo-beneficio, que atendam os requisites atuais e futuros do negécio com foco em: definire implementar um plano de infraestrutura, arquitetura e padrdes de tecnologia que reconhega e aproveite as oportunidades tecnoligicas 6 alcangado por: Estabelecimento de um forum para direcionar a arquitetura e verificar a sua conformidade; Estabelecimento de um plano equilibrado de infraestrutura tecnolégica com relago aos requisitos, custos e riscos; Definigdo dos padrées de infraestrutura teenologica com base nos requisitos da arquitetura a informagao. e medido por: Quantidade e tipo de desvios do plano de infraestrutura tecnolégica Frequéncia de revisdo/atualizagao do planejamento de infraestrutura teenolégica Quantidade de plataformas de tecnologia por érea da organizaga0 ‘© 2007 TF Governance Intute: Todos ox dco reservados, wnlighore 3aE ae Cee Deemer Osretivos DE CoNTROLE DETALHADOS PO3 Determinar as Diretrizes da Tecnologia PO3.1 Planejamento da Diretriz Tecnolégica Analisar as tecnologias existentes e emergentes e planejar qual direcionamento é apropriado para realizar a estratégia de Tle a arquitetura de sistemas do negécio. Identificar também no plano quais as tecnologias com potencial para gerar oportunidades de negécio, O plano deve contemplar a arquitetura de sistemas, o direcionamento tecnolégico, estratégias de migrapio e aspectos contingenciais dos eomponentes de infraestrutura. PO3.2 Plano de Infraestrutura Tecnolégica Criar e manter um plano de infraestruturatecnolégica adequado 20s planos titico e estratégico de TI. O plano esti baseado no di- recionamento tecnoldgico ¢ inclu acordos de contingénciae direcionamento para a aquisigdo de recursos tecnolégicos. Considera madanges no ambiente competitiv, economia de escala em investimentos em pessoal e sistemas de informagéo, assim como ‘melhorias na interoperabilidade entre plataformas eaplicagdes. PO3.3 Monitoramento de Regulamentos ¢ Tendéncias Futuras Estabelecer um processo para monitorar as tendéncias das reas de negécio, tecnologia, infraestrutura, legal e regulatéria, Incorporar as consequéncias dessas tendéncias ao desenvolvimento do plano de infraestrutura de tecnologia de TI PO34 Padrées Tecnolégicos Prover solugdes tecnologicas seguras,eficazes e consistentes, em toda a onganizagao, estabelecer um forum de tecnologia para prover diretrizes tecnolégicas, aconselhamento sobre a infraestrutura de produtos, orientagao na sclegao da tecnologia e avaliar a conformidade com estes padraes ¢ diretrizes. Este forum direciona os padrées e priticas tecnolégicos com base na relevancia para ‘o negécio, nos riscos ¢ na conformidade com requisitos externos. PO35 Conselho de Arquitetura de TI Estabelecer um conselho de arquitetura de TI para prover diretrizes de arquitetura, orientar a aplicagio e verificar a conformidade. Esta entidade norteia o projeto da arquitetura de TI assegurando que sejam implementadas as estratégias de negécio c considera- dos os requisitos de conformidade e continuidade. Esté relacionado/vinculado ao PO2 Definieido da arquitetura da informagéo. ro {2007 TT Govemaace Instiate, Todos or Gros reservados wig ongEa Cee Pee eee nie) DireTRIZES DE GERENCIAMENTO PO3 Determinar as Diretrizes da Tecnologia en ra or [runsanen es Grote engine 2 oa (Pi size we ateras a neice Pare nabicon aia a [Oe cura ainrmaie [mosbgie perbsesr ao eras cwtanwey [an [a2 | a [as [ptosis train ansone dae svira wenn a bss Jerario ge dsenpene pane fess arrose Pos Tabela RACI Fungées = Wy f nc le MW ir maa pean Ria Ba tet eee es oe a oa ee Poteet Aarne cote etepetete Denia te eae ea Ra ZEEHERECHH ojos oui orm nese eine nen no np thesee i Soe aa a rr ee ores yr es Foebepgelt my eos om a fm QO fer ‘ote ip de devine do pln Peel de i cote oie retain d eas ean fran ‘nme ome tendo ‘enti (snd de leona de col ar Sed ae eee ‘© 2007 TF Governance Intute: Todos ox dco reservados, wnlighore aaE ae Cee Deemer MonpeLo pe MATURIDADE. PO3 Determinar as Diretrizes da Tecnologia © gerenciamento do processo de “Determinar as diretrizes da tecnologia” que satisfaga a0 requisito do negécio para a TI de “ter sistemas aplicativos, recursos e capacidades padronizados, integrados, estiveis, com boa relac&o custo-beneficio, que atendam 0s requisitos atuais e futuros do negécio” & 0. Inexistente quando "Nao hi conscientizagio da importincia de um planejamento de infraestrutura de tecnologia para a entidade. O conhecimento e a habilidade necessarios para desenvolver tal plano de infraestrutura tecnoldgica nao existem. Ha uma caréncia de entendimento de que o planejamento das mudanyas tcenologicas & fundamental para alocar recursos com efiicia 1 Inicial/ Ad hoc quando A Diregdo reconhece a necessidade do planejamento de infraestrutura de tecnologia. Os desenvolvimentos de componentes de tec- nologia ¢ implementagdes de tecnologias emergentes sdo ad hoc ¢ isolados. Existe uma abordagem reativa ¢ focada operacional- ‘mente no plangjamento da infraestrutura, © direcionamento da tecnologia é guiado pelos planos de evolugdo muitas vezes contra- ditGrios de fornecedores de hardware, softwares de sistemas e aplicativos. A eomunicagao do impacto em potencial das mudangas na tecnologia ¢ inconsistente, 2. Repetivel, porém Intuitivo quando ‘Anecessidade e a importincia de um plano teenoldgico slo comunicadas. © planejamento ¢ titico e direcionado a geragao de solugdes técnicas para os problemas técnicos, ao invés de se concentrar no uso da tecnologia para satisfazer as necessidades do_ negécio, A avaliagio das mudansas tecnolégieas & deixada a cargo de diferentes individuos que seguem procestos intuitivos, porém similares. As pessoas adquirem suas habilidades de planejamento tecnolégico através de aprendizado pritico e repetidas aplicagdes de técnicas. Técnicas ¢ padrées comuns estio sendo criados para o desenvolvimento de componentes de infraestrutura, 3 Proceso Definido quando [A Diego estéciente da importincia do plano de infaestrturatecnoldgica. O processo de desenvolvimento do plano de infraes- truturateenoldgicaérazoavelmente discutido e est alinhado ao plano estatégico de TI. Exste um plano de infiaestrturateeno- 16gica definido, documentado ¢ comunicado, mas aplicado de forma inconsistent, O drecionamento da infraestrutura tecnolégica inclui um entendimento do quanto a organizagio quer mantra lideranga ou recuar no uso da tecnologia, com base nos riscos © em alinhamento com a etratégia da organizagdo. Fomecedores-chave so selecionados com base no entendimento de seus planos de longo prazo de desenvolvimento de tecnologias ¢ produtos ¢ em conformidade com o direcionamento da organizagao. Ha treina- mento formal e comunicasao de papéise responsabilidades. 4. Gerenciado e Mensuravel quando A Dirego garante o desenvolvimento e a manutengdo do plano de infraestrutura tecnoldgica, A equipe de TI tem a especializa- cio © as habilidades necessiias para desenvalver um plano de infruestrutura tecnoldgica. O impacto em potencial do surgimen- to e de mudangas de tecnologias ¢ levado em consideragdo. A Diregdo pode identficar desvios do plano e antever problemas. A responsabilidade pelo desenvolvimento ¢ manutengao de um plano de infraestrutura tecnolégica foi atribuida, O processo de desenvolvimento do plano de infraestratura tecnoldgica ¢ sofisticado e responde & mudanga. Boas pritieas internas foram introduzidas no processo. A estratégia de recursos humanos esta alinhada com o direcionamento tecnol6gico para garantir que a equipe de TI possa administrar mudangas de tecnologia. Para introduzir novas tecnologias sdo definidos planos de migragao, Terccitizagies e parcerias esto sendo utilizadas para obter conhecimentos ¢ habilidades necessérios. A Diregio analisou @ accitagdo do risco relative ao avango ou tecuo no uso da tecnologia para o desenvolvimento de novas oportunidades de negécio ou a melhoria da efiiéncia operacional 5 Otimizado quando Existe uma atividade de pesquisa para investigar as tecnologias emergentes e em evoludo ¢ realizar comparages da organizaSo com os padrbes do seu segmento (benchmarking). O direcionamento do planejamento de infraestutura tecnoldgica é guiado por padres e desenvolvimentos intemacionsis e do segmento e nfo pelos apresentados por fornecedores de tecnologia. O impacto em potencial sobre o negécio devido a uma mudanca tecnolégica é revisado em nivel de Dirctoria, Ha aprovacio exccutiva formal de mudangas ou novos direcionamentos tecnoldgicos. A entidade tem um plano de infraestruturatecnologica robusto que reflete 6s requisitos de negécio e reativo, podendo ser modificado para refletir mudangas no ambiente de negécio, Hi um processo de rmelhoria continua do plano de infracsirutura tecnolégica, As melhores priticas do segmento so extensivamente empregadas para determinar o ditecionamento técnico, am {2007 TT Govemaace Instiate, Todos or Gros reservados wig ongEa Cee Pee reece Descricao DE PRocEsso P04 Definir os Processos, Organizacao e Relacionamentos de TI Uma organizagao de TI ¢ definida considerando os requisitos de pessoal, habilidades, fungdes, autoridade, papéis ¢ responsabilids- des, rastreablidade e supervisio. Essa organizagao deve fazer parte de uma estrutura de processos de TI que assegute transparén- cia controle, assim como o envolvimento de executivos sénior ¢ a Dirego do negécio. Um comité estratégico deve assegurar a supervisio da Diregdo de TI, ¢ um ou mais comités dos quais as ércas de negécio e TI participem devem definir a priorizagio dos recursos de TI em linha com as necessidades do negécio. Os processos, as politicas administrativas e os procedimentos precisam estar estabelecidos para todas as fungdes, com especial atengio as de controle, garantia da qualidade, gestio de riseo, seguranga a informagao, propriedade de sistemas ¢ dados e segregagdo de fungdes. Para assegurar o rapido atendimento das exigéncias do negécio, a TI deve ser envolvida nos processos de decisdo relevantes. oan ee Controle sobre o seguinte processo de TI: Definir os processos, a organizapio c os relacionamentos de TI que satisfaga aos seguintes requisitos de negécio para a TI: ser digil em resposta estratégia de negécio e, ao mesmo tempo, atender aos requisitos de Governanga e forecer pontos de contatos definidos e competentes com foco em: estabelecer estruturas organizacionais de TI transparentes, flexiveis e responsivas e definir € implementar processos de TI com proprietirias (de sistemas e dados), papéis e responsabilidades integrados aos processos de negécio e provessos de devisio, 6 aloangado por: Definigdo de uma estrutura de processos de TI Estabelecimento de conselhos ¢ estruturas onganizacionais apropriadas Definigdo de papéis e responsabilidades e medido por: Percentual de fungdes com posigdes e descrigdes de autoridade documentadas: \Niimero de unidades/processos de negécios no suportados pela organizagao de Tl, ‘mas que deveriam ser suportados de acordo com a estratégia; ‘Niimero de atividades centrais de TI realizadas fora da organizag2o de TI e que nido sio aprovadas ou submetidas aos padres organizacionais de TI ‘© 2007 TF Governance Intute: Todos ox dco reservados, wnlighore a8aE ae ee eee ee tal Osretivos DE CONTROLE DETALHADOS P04 Definir os Processos, Organizacao e Relacionamentos de TI PO4.1 Estrutura de Processos de TI Definir um modelo de processos de TI para executar o plano estratégico de TI. Este modelo inclui uma estrutura de processos & relacionamentos de TI (por exemplo, gerenciarfalhas ou interposigdes de processos), definigdo de um proprietério, maturidade, medigdo de desempenho, melhorias, conformidade, metas de qualidade e planos para atingi-las. O modelo prové integragao entre 60s pracessos de TI, gestio de portfolio corporativo, processos de negéeio e mudangas nos processos. O modelo de processos de TI deve estar integrado a um sistema de gestio da qualidade e a uma estrutura de controles interns. PO4.2 Comité Estratégico de TI Bstabelecer um comité estratégico de TI em nivel de Diretoria, Fsse comité assegura que a governanga de TI seja devidamente considerada como parte da governanga corporativa, aconselha sobre o direcionamento estratégico e analisa os principais investi= ‘ments, em nome de toda a Diregao. PO4.3 Comité Executive de TI Estabelecer um comité executivo (ou equivalente) composto pelas Diretorias Executiva, Negécios ¢ TI para Determinar prioridades dos programas de investimentos em TI em linha com as estratégias e prioridades do negécio, ‘Monitorar 0 estado atual dos projetos e resolver conflitos de recursos Monitorar niveis de servigo e suas melhorias PO4.4 Posicionamento Organizacional da frea de TT Posicionar a érea de'TI na estrutura geral organizacional através de um modelo que efetivamente considere sua importancia e as, necessidades de contingéncia, considerando a importincia da TI para a estratégia de negécio e o nivel de dependéneia operacional, Allinha de reporte do CTO deve ser proporcional & importincia da TI dentro do negécio. PO45 Estrutura Organizacional de TI Estabelecer uma estrutura organizacional interna e extema de TI que reflita as necessidades do negécio, Adicionalmente estabe- lecer um processo para revisar periodicamente a estrutura organizacional de TI e ajustar os requisites de pessoal e estratégias de fornecimento para atender aos objetivos de negécio esperados e a possiveis situagdes de mudanga, PO4.6 Definigio de Papéis e Responsabilidades Definir ¢ comunicar para o pessoal de TI e usuarios finais seus respectivos papéis e responsabilidades, que especifiquem a autori- dade, responsabilidade ¢ responsabilizagdo, com o objetivo de atender as necessidades da organiza. PO4.7_Responsabilidade pela Garantia de Qualidade Atribuir responsabilidade pelo desempenho da fungdo de garantia de qualidade (Q4, quality assurance), ¢ prover a esse grupo co- nnhecimento e sistemas adequados de controle e comunicasio. Garantir que o posicionamento na organizaglo, o dimensionamento da responsabilidad ¢ tamanho do grupo de QA atendam aos requisitos da organizago PO4.8. Responsabilidade por Riscos, Seguranga e Conformidade Incluir nas fungées de negécio a propriedade e a responsabilidade pelos riscos relacionados a TI a um nivel sénior apropriado, Definir ¢ atribuir papéis criticos para o gerenciamento dos riscos de TI, incluindo a responsabilidade especifica pela seguranga da informagao, seguranga fisica e conformidade. Estabelecer responsabilidade no nivel organizacional pelo gerenciamento de risco ¢ seguranga para questées de nivel organizacional Pode ser preciso atrbuir responsabilidades adicionais de gerenciamento de seguranga ao nivel de um sistema especifico para lidar com questées de seguranga relacionadas. Obter direcionamento da Diretoria sobre os niveis especificos de risco de TI accitaveis e aprovagdo de quaisquer riscos residuais PO4.9 Proprietirios de Dados e Sistemas Estabelecer procedimentose disponibilizarferramentas que possibilitem tratar as responsebilidades dos proprietrios dos dados ¢ sistemas de informagao. Os proprietirios tomam decisdes sobre a clssficagdo da informagio e dos sistemas e os protegem em conformidade com essa classficagao, PO4.10 Supervision Implementar téenicas de supervisio adequadas na rca de TI para assegurar que os papéis ¢ as responsabilidades sejam adequa- damente exercidos, avaliar se todo o pessoal tem autoridade e recursos suficientes para exercer seus papéis e responsabilidades revisar de forma geral os indicadores-chave de desempenho, a {2007 TT Govemaace Instiate, Todos or Gros reservados wig ongEa Cee Pee reece PO4.L Segregasio de Fungies Implementar uma separagio de papéis ¢ responsabilidades que reduza a possibilidade de um inico individuo subverter um proces 0 critico. A geréncia também deve se certficar de que o pessoal esteja executando apenas tarefas autorizadas relevantes aos seus respectivos cargos ¢ posigdes. PO4.12 Recrutamento de pessoal de TI Avaliar os requisitos de recrutamento regularmente ou com base em grandes mudangas nos ambientes de TI, operacional ou de negécio para garantir que a area de TI tenha quantidade suficiente de pessoal para suportar de forma adequada os objetivos e metas de negécios. PO4.13. Pessoal Chave de TL Definire identificar 0 pessoal-chave de TI (ex., pessoal para reposigdo/backup) e minimizar o excesso de confianga em um Ginico individuo executando uma fungiio critica P.O4.14_ Politicas e Procedimentos para Pessoal Contratado Definir e implementar politicas e procedimentos para controlar as atividades de consultores ¢ outros contratados da érea de TI -visando assegurar a protego dos ativos de informagio da organizacao e o cumprimento das exigéncias contratuais firmadas, PO4.15 Relacionamentos Estabelecer ¢ manter uma estrutura otimizada de coordenagdo, comunicagao ¢ conexdo entre a fungdo de TI ¢ diversos ‘outros interesses dentro ou fora da area de TI; por exemplo, Diretoria, unidades de negécios, usudrios individuals, fornece- dores, profissionais de seguranga, gerentes de risco, gerenciamento de pessoal terceitizado ¢ externo e 0 grupo de conformi- dade corporativa (compliance) ‘© 2007 TF Governance Intute: Todos ox dco reservados, wnlighore coPagina intencionalmente deixada em branco e "© 2007 TT Governance Intute, Todos os Gitar reservados, wo ighoreEa Cee Pee reece DireTRIZES DE GERENCIAMENTO P04 Definir os Processos, Organizagao e Relacionamentos de TI a SS Se a Soa i. ose Saco paamed = Me [reloionadss com a entrega de servigus de Tk ona raties Ky Lis Ly YW Uf sn dal Wed Estabelecer a estutura orgarizecional de TL, inchindo coms e relacionamentos com partes interessadas efomecedores ‘ 5 ' Projetar a esrvtura de processos eT tpepefal fefefe|alele Identicar os proprietris dos sistemas. cfefatefat Pipi t Identicar 0s proprietrios dos dados: rhebefe( tape pep fe Estabelecere implementar papéis,fungbes e responsabiidades de I, inaluindo supervisio e sogrogagio de aividades ch a at iva qm & ween specials) lu foreade Objetivos e Metricas Reyoner so rss de sverige oe) Pasa ies ante Geese ete Resear erin Sagi alas Defect de poring oe paz opoines (ie ce pide oT “reteset arose — t—> etme eatne [~~ te, | etn ! outa eta ssi i presen ‘Gate dereipcntiaus cores Ferra ppt eas cut (Gera, ‘om np sepepita deade, om desi ene eres ey ‘ante esas tea eh Perea de pace ea peri de [Names demiddesorrenc de np so Pewee pres ies ats co see redo logis del gu even reponse de ‘iro de vies cee de Tels fore Seeeeee eee eee ‘© 2007 TF Governance Intute: Todos ox dco reservados, wnlighore a7aE ae ee ee eee Se tal MonpeLo pe MATURIDADE. P04 Definir os Processos, Organizagao e Relacionamentos de TI Gerenciamento do processo de “Definir 0 Processo, Organizacio e Relacionamentos de TI” que satisfagam aos requisitos de negécio para TI em “ser dgil em resposta @ estratégia de negécio e, ao mesmo tempo, atender aos requisitos de Governanca e fornecer pontos de contatos definidos e competentes” &: 0 Inexistente quando A organizagio de TI nao esté estabelecida de forma eficiente com foco nos objetivos do negocio. 1 Inicial / Ad hoc quando [As reas eatividades de TI so reativas e implementadas de mancira inconsistente, ATI & envolvida apenas nos estigios finais dos projetos de negécio. Area de TI € considerada uma fea de apoio, sem uma perspectiva geral da organizagio, Ha um enten- dimento implicto da necessidade de uma organizagio de TI, entretanto os papéis e responsabilidades nao so formlizados nom mpostos. 2. Repetivel, porém Intuitive quando A rca de TI é organizada para responder taticamente, porém de forma inconsistente, as necessidades dos clientes ¢ relacionamen- to com fomecedores. A necessidade de uma organizagao estruturada e um gerenciamento de fornecedores & comunicada, mas as, decisdes ainda sao dependentes em termos de conhecimento e habilidades de pessoas-chave, Esto surgindo téenicas bisivas para controlar a organizagio de TI ¢ os relacionamentos com fornecedores. 3 Processo Definido quando Existem definigdes de papéis e responsabilidades da organizagao de Tl e de terceiros. A organizagao de TI é desenvolvida, docu- rmentada, comunicada e alinhada com a estratégia de TI. O ambiente de controle interno é definido, Hi formalizagdo dos relacions- ‘mentos com outras partes, incluindo comités executivos, auditoria interna e gerenciamento de fornecedores. A organizagio de'Tl & funcionalmente completa, Ha definigBes das fungSes a serem desempenhadas pelo pessoal de Tle daquelas a serem desempenha- das pelos usuirios. Os requisitos ehabilidades essenciais do pessoal de TI sto definidos atendidos. 1 uma definigdo formal dos relacionamentos com usuiris eterceitos. A segregasio de papéisc responsabilidades ¢ defnida e implementada, 4. Gerenciado e Mensuravel quando A organizagao de TI responde as mudangas de forma proativa e contempla todos os papéis necessirios para atender as exigéncias do negécio, A Diresio da érca de TI, os propretiris dos processos e as responsabilidades si definidos ¢ equilibrados. As melho~ res prticas intemas tm sido aplicadas na organizagio das fungdes de TI. A Diregdo da érea de TI tem habilidades e ténicas apro- priadas para definir, implementar ¢ monitorar a organizagao ¢ os relacionamentos desejados. As métricas mensurdveis para apoiar 0s objetivos de negocio ¢ fates criticos de sucesso definidos pelos usuarios so padronizadas. Hi um inventirio de habilidades disponivel para apoiar a alocagdo de profissionais em projetos eo desenvolvimento profssional. © equilfbrio ene as habilidades e ‘0s recursos disponiveis internamente e aqueles exigidos pelas organizagSes externas est definido e é mantido, A estrutura orga- nizacional da TI reflete apropriadamente as necessidades do negocio através da oferta de servigos alinhados com os processos de negécio estratégicos ao inves de teenologias isoladas 5 Otimizado quando A cstrutura onganizacional de TI éflexivel ¢ adaptivel e sto aplicadas as melhores préticas do mercado, Hé amplo uso de teenolo- gia para auxiliar e monitorar o desempenho da organizagio de TI e seus processos. A tecnologia esté& altura da complexidade e da distribuigdo geogrifica da organizagdo, Existe um continuo processo de melhoria estabelecido we {D007 TF Governance insane, Todos or Gros reservados. wo igloreEOE a Cue ean nero Descri¢&o Do Proceso POS Gerenciar o Investimento de TI Estabelecer ¢ manter uma estrutura para gerenciar os programas de investimentos cm TI que contemple custos, bencticios, priori- ‘dade dentro do orgamento, um processo formal de definisio orgamentéria e gerenciamento de acordo com o orgamento. As partes interessadas so consultadas para identficar e controlar os custos totais e os benefficios dentro dos contextos estratégicas e tticos da Tle iniciar apdes de corregao quando necessério. O processo promove a parceria entre a TI c as partes interessadas do negécio, permite 0 uso eficaz e eficiente dos recursos de TI, prové transparéncia, atribui responsabilidade pelo custo total de propriedade (TCO, Total Cost of Ownership), realizagio dos beneficios do negécio e do retomno sobre os investimentos em TI. oan ee Controle sobre o seguinte processo de TI: Gerenciar 0 investimento de TI que satisfaga aos seguintes requisitos do negécio para aT: melhorar continua ¢ visivelmente a relago custo-beneficio da TI e sua contribuigéo para a lucratividade ddo negécio com servigos integrados e padronizados que atendam as expectativas do usuario final com foco em: decidir 0 portflio e investimentos em TI de forma eficaz.e eficiente e elaborare rastrear os orgamentos de TI em linha com estratégias de TI e decisdes de investimento 6 alcangado por: Previsio e alocago de orgamentos Definigio do critério de investimento formal (ROI —Retorno sobre Investimento, periodo de recuperagdo de investimento, NPV — Valor Presente Liquido) Medigdo ¢ avaliagao do valor de negécio comparado a previsio. e medido por: Redugo percentual do custo unitério dos servigos de TI entregues Percentual de desvio do valor orgamentério comparado com o orgamento total Percentual dos gastos de TI expressos através de motivadores de valor de negécio (por exemplo: aumento de vendas/servigos devido ao aumento da conectividade) mi ramise © Seuneiie ‘© 2007 TF Governance Intute: Todos ox dco reservados, wnlighore 43aE ae Cee orn Loree OBJETIVOS DE CONTROLE DETALHADOS POS Gerenciar o Investimento de TI POS. Estrutura da Administragio Financeira Estabelecer e manter uma estrutura financeira para gerenciar investimentos e custos de bens e servigos de TI através de portflios de investimentos, estudos de caso e orgamentos de TT, POS2 Priorizagio dentro do Orgamento de TI Implementar um processo de tomada de decistio para priorizar a alocagdo dos recursos de TI em operagSes, projetos e manuten- fo visando maximizar a contribuigdo da TI na otimizagao dos retornos do programa de investimentos em TI e outros servigas ¢ recursos da TL POS.3. Proceso de Orgamento de TI Estabelecer um processo para preparar e controlar um orgamento que reflta as prioridades estabelecidas pelo portdlio de progra- mas de investimentos de TI da organizagio, incluindo os custos continuos de operagdo e manutengBo da infraestrutura atual. 0 processo deve sustentar 0 desenvolvimento do orgamento de TI total, bem como o desenvolvimento de orgamentos para programas individuais, com énfase especial nos componentes de TI de tais programas. O processo deve permitir revisio, refinagio e aprova- ho continuas do orgamento de TL total e de todos os orgamentos de programas individuais, POS.4 Gerenciamento de Custo Implementar um processo de gerenciamento de custo comparando os custos ¢ beneficios reais, Os custos devem ser monitorados © relatados. Se houver desvios, devem ser identificados a tempo, avaliados os impactos destes sobre os programas e ages corretivas apropriadas precisam ser tomadas junto com o patrocinador do negécio desses programas. Quando necessétio, o estudo de caso (business case) deve ser atualizado, POSS Gerenciamento de Beneficios Implementar um processo de monitoramento dos beneficios de prover e manter capacidades de TI apropriadas. Devem ser iden- {ificadas, pactuadas, monitoradas ¢ reportadas as contribuigdes esperadas de TI para com os resultados de negocio, tanto como ‘um componente de programas de investimento em TI quanto como parte da operacdo de suporte regular. Os relatérios devem ser revisados e agdes apropriadas devem ser definidas e implantadas onde houver oportunidade para methorar a contribuigdo de TI. O programa de estudo de caso deve ser atualizado quando afetado por mudangas na contribuigdo da TI ou por projetos relacionados. Ea {D007 TF Governance insane, Todos or Gros reservados. wo igloreEOE a Cue ean nero DireTRIZES DE GERENCIAMENTO POS Gerenciar o Investimento de TI ros JPinnanentsessigeetite eh paso ae poe sera dT oom Pa [oss | Me | Mes Os, Piscean Ost pore rte roa oe anal Pa [ar [suas ae wantane sequen aegic [ar evo ponent bs Jowimer2ge ssenpense pane Psa ose pecs tance ce estos eral eewaass pr oe overs om edie hniade pr Tabela RACL Atividades: Fungées fy Yi Uf Vy Manter porto de programas, Manter porto de projtos: a ete Manterportflo de sorvios Estabeleser @ manter oprocesso orgamentiio de Th >[s|5|= ele Identficar, comunicar e monorar os investmentos em TI, custase valor para @ negécio tfefe 5 Ua abel AH aii quem &ecesiel i rsp consuls} eu inert Objetivos e Metricas Mera da ln de coo Te cmb Vitis de nvenimemor de THe ces epee, Ded tr een mal (Ol Retrno elven prs ‘Grn enarni cenenments Sut, Ethers eraeament de ramets fe rcpei de vernnt, NV = aor Sestic eatpn, utc enves deser ‘a Tai ieee eataaradeuta. Pree gui) en, {ovens oT Pr eatraode eet ‘are que denon guitate desersiga con | om] + Omg Jecoserinsodeteet+ fm] «Mens wos ar desi cone sosnsebe ttn cine rouse | done | code ating | rope, a maga ats a Ey | etl ! tne ‘Paci denies de Tg xeon sings beta de po ede Deena de ara eT eapean ect tale ear dec fer xl ume (yee a rec) ‘Got dari rt era oar de doi spare een eel docs unr cng deseo eT, Peele pots cm eet defi secpetonene| vera poo rect dretro dees Pees de ets ie dona ‘ears eee ho dsp au Gnegein de caro, depen ‘Poop cei) ‘© 2007 TF Governance Intute: Todos ox dco reservados, wnlighore aLaE ae Cee orn Loree MonpeLo pe MATURIDADE. POS Gerenciar o Investimento de TI © gerenciamento do processo de “Gerenciar 0 Investimento de TI” que satisfaga ao requisito do negécio para a TI de “methorar continuamente ¢ visivelmente a relacao custo-beneficio da TI e sua contribuicdo para a lucratividade do negécio com servicos integrados e padronizados que satisfacam as expectativas do usuério final” &: 0 Inexistente quando Nao hi consciéncia da importincia da sclego do investimento ¢ orgamento de TI. Ni hé monitoramento ou rastreamento dos investimentos e gastos em TI. 1 Inicial/ Ad hoc quando A organizagio reconhece a necessidade de gerenciar 0 investimento em TI, mas essa necessidade & comunicada inconsistente- mente. alocago das responsabilidades pela sclesio de investimento e desenvolvimento orgamentirio de TI éfeita de forma ad hoc, Acontecem implementagées isoladas de selegdo de investimento e orgamento de TI e sdo documentadas informalmente 0s investimentos de TI sio justificados de forma ad hoc. Ocorrem decisdes orgamentirias reativas e focadas operacionalmente. 2. Repetivel, porém Intuitive quando Hé um entendimento implicit da necessidade de selesdo de investimento e orgamento de TI, A necessidade de um processo or- gamentario ¢ de selegdo ¢ comunicada. A conformidade depende da iniciativa de algumas pessoas da organizagao, Estdo surgindo {éenicas comuns para descnvolver componentes do oryamento de TI. So tomadas decisdes orgamentiriastticase rativas 3 Processo Definido quando {As politicas eos processos de investimento e orgamento so definidos, documentados e eomunicados e contemplam aspectos, tecnol6gicos e de negécio fundamentais, 0 orgamento de TI esté alinhado aos planos de negécio e & estratégia de T. Os proces- s0s de orgamentoe selegdo de investimentos de TI sfo formalizados, documentados e comunicados. Esdo surgindo treinamentos formais, mas ainda sdo baseados fundamentalmente em iniciativas individuas. A aprovagdo formal das selegdes de investimentos oxyamento de TI é eslabelecida, A equipe de TI tem babilidades ¢ experiéneia nevesséris para claborar 0 orgamento de TI ereeo- rmendar investimentos em TI apropriados, 4. Gerenciado e Mensuravel quando Arresponsabilidade pela definigao de orgamento ¢ selegdo de investimento € atribuida a uma pessoa especifica, As variagbes oryamentérias sio idenifcadas c resolvidas, Anilises Formais de custo sfo exccutadas abrangendo custos dirctos ¢ indirctos das operagies existentes, bem como investimentos propostos, considerando todos os custos incidentes sobre o ciclo de vida total. E usado um processo orgamentério proativo e padronizado, O impacto da migrasio de custos oriundos do desenvolvimento e da operas de hardware e software para aintegragio de sistemas ¢ recursos humans de TI é revonhecido nos planos de investimen- to. Os beneficios eretomos sto calculados em termos financeiros e nfo financeiros. 5. Otimizado quando ‘As melhores priticas da indistria sto utilizadas para comparar custos ¢ idenificar abordagens para a eficacia dos investimentos. Sio usadas andlises de desenvolvimento tecnol6gico no processo orgamentirio e de selegio de investimento, O processo de gerene ciamento de investimento é melhorado continuamente com base nas ligdes aprendidas pela andlise do desempenko real do inves- timento. As decisées de investimentos incorporam tendéncias de melhoria de prego/desempenho. As altemativas de financiamento. so formalmente investigadas ¢ avaliadas no contexto da estrutura de capitais existent na organizacéo, valendo-se de métodos formais de avaliagdo, Ha identificagdo proativa de variagdes. Uma andlise dos custos beneficis a longo prazo do ciclo de vida total € incorporada as decisées de investimentos 2 {D007 TF Governance insane, Todos or Gros reservados. wo igloreEO a Cee Cm eee rece Descri¢&o Do Proceso PO6 Comunicar Metas e Diretrizes Gerenciais ADiregio deve desenvolver uma estrutura de controle de TI corporative ¢ definir ¢ comunicar politicas. Um programa de comuni- ‘cago continuo aprovado e apoiado pela Diresdo deve ser implementado para articular missdo, metas, politicas, procedimentos etc A comunicagdo apoia o aleance dos objetivos de TI e assegura a consciéncia ¢ 0 entendimento dos negécios, dos riscos de TI, dos objetives ¢ das diretrizes. O processo deve assegurar conformidade com leis ¢ regulamentos relevantes, oan ee Controle sobre o seguinte processo de TI: ‘Comunicar as dretizes e expectativas da Diretoria que satisfaga aos seguintes requisitos do negécio para aT: ranter as informagdies precisa ¢ atualizadas nos servigos de Tl atuais e futures, bem como a responsabilidades eos riscos asociados com foco em: fomecer politicas, procedimentos, diretrizes e outras documentagies de forma precisa, compreensfvel e aprovada para as partes interessadas, incorporada a uma estrutura de controles de TI 6 alcangado por: Definigdo de uma estrutura de controle de TL Desenvolvimento ¢ implementagiio de politicas de TI Imposisao de poitcas de TI e medido por: Quantidade de interupgdes no negScio devid s interrupydes em servigos de TL Percentual de partes interessadas que entendem a estrutura corporativa de controle de TI ercentual das partes interessadas que ndo estio em conformidade com a politica Pine Seundie Ee ‘© 2007 TF Governance Intute: Todos ox dco reservados, wnlighorePlanejar e Organizar oman Seen OBJETIVOS DE CONTROLE DETALHADOS PO6 Comunicar Metas e Diretrizes Gerenciais POG. Politica de TI e Ambiente de Controle Definir os elementos de um ambiente de controle de TI alinhados com o estilo operacional e a filosofia de gerenciamento da empresa, Entre esses elementos estio as expectativas e os requisitos de entrega de valor dos investimentos de TI, o grau de aceita- 40 de risco, a integridade, os valores éticos, a competéncia do pessoal ¢ a responsabilizagio. O ambiente de controle esta baseado cem uma cultura que sustenta a entrega de valor e, a0 mesmo tempo, contrala os riscos significativos, incentiva o trabalho em equipe ¢ a cooperagio entre equipes, promove a conformidade, promove o proceso de methoria continua ¢ lida com os desvios (ncluindo falhas) de forma adequada, PO6.2 Risco de TI Corporativo ¢ Estrutura Interna de Controle Desenvolver e manter uma estrutura que estabelega uma abordagem corporativa completa dos riscos e controles de TI ¢ o alinha- ‘mento com as politicas e o ambiente de controle de TI e com a estrutura de riscos e controles da organizagao. PO63 Gerenciamento de Politicas de TL Desenvolver e manter um conjunto de politicas para apoiar a estratégia de TI. Essas politicas devem incluir os objetivos das politicas, papéis e responsabilidades, processos de excegdes, abordagem de conformidade, referéncias a procedimentos, padres & diretrizes, Sua relevincia deve ser regularmente aprovada c ratificada, PO6.4 Distribuigio da Politica Assegurar que as politicas de TI sejam impostas ¢ distribuidas para todo o pessoal relevante, se consolidando e sendo parte inte- agrante das operagdes corporativas. PO6S Comunicagao dos Objetivos e Diretrizes de TI ‘Comunicar visando a conscientizagio e entendimento dos objetivos e direcionamentos de negécios e TI de todas as partes interes- sadas e usuarios apropriados na organizagao, ca {D007 TF Governance insane, Todos or Gros reservados. wo igloreEO a Cee Cm eee rece DireTRIZES DE GERENCIAMENTO PO6 Comunicar Metas e Diretrizes Gerenciais en oo or [Rboganenss erage te oT Essa cope coral AL pesto ae poe sera dT Pots aL Fos [bres prs gest acs aT Ne eit abe een ce to 7 Tabela RACI Fungées nn Wedd WW Eslabelecer 6 manter a estturae ambiente de convole de Th Desonvolver manter as polcas de Tl Taal Tete y ete Comunicar a estrutua de controle, os objets 6 as dretizes eT cbt Ta ete ‘ma abel AT ees quem &enesil i rspnabzuo cosa) uaa Objetivos e Metricas Gane deri cei donc, Deseo de un as Scone Defi dun cae dol eT en appre: se Tshage cma aaa a Deseo arnt Jolie de Gat deer tage atin nego Deserta deena de poli t cra ce naraster sam ene ‘Trebngeeecorum td es npg de pbs de (anna yr eraser ees Comin destin pla estes sminessiebseequenio dvs sci; [meted t—> ‘Crt ep oo weenie wwe bn doin eine i eapinu ga no sero eT, (Garni de lonioe dempensa nrg de plate estes colpeas recess owe fer QO fee ‘Gone de ves germane cone Peel pars ies eee ete drei ou anagto ds aiat ompeneien, tepoli de, poiteas, ‘Cnn imap de epic devi Penal eps teed een ner ete prov da plc esa ‘mcrae de ener dT, several comin sor naa Dive dress a, ici eal Pena ce pres sea Geo to ae eee tee is polizas ene deer de cebcoleiad com pace. rmexpoate Second TL ‘© 2007 TF Governance Intute: Todos ox dco reservados, wnlighore 55Planejar e Organizar oman Seen MonpeLo pe MATURIDADE. POG Comunicar Metas e Diretrizes Gerenciais © gerenciamento do processo de “Comunicar metas e diretrices gerenciais” que satisfaga a0 requisito de negécio para @ TIde “manter as informacdes precisas e atualizadas nos servicos de TI atuais e futuros, bem como as responsabilidades e os riscos associados” & 0 Inexistente quando A Diego nio estabeleceu um ambiente de controle da informagao. Nao hi reconhecimento da necessidade de estabelecer um con- junto de politicas, padrées, procedimentos e processos de conformidade. 1. Inicial/Ad hoc quando A Diregio é reativa no tratamento dos requisitos do ambiente de controle da informagio. As politica, os procedimentos e os padrdes sio desenvolvides e comunicados quando necessirio (ad hoc), impulsionados por casos especifices. Os processos de desenvolvimento, comunicagdo e conformidade sdo informais e inconsistentes. 2. Repetivel, porém Intuitivo quando ‘A Dizeyo tem um entendimento implicito das necssidads dos requisites dem ambisnte de controle deinformayio ice, thas as préteas so muito informais. A Direydo tem comunicado a necessidade de policas de controle, padrdese procedimentos, porém o desenvolvimento fica a critério de cada uma das Diregdes de Area, A qualidade ¢ reconhecida como uma filosofia desejé- ‘ela ser seguida mas as préticas slo deixadas a cargo de cada uma das Diregdes de Area. O treinamento ¢exceutado individual- mente, conforme a necessdade 3. Processo Definido quando Um ambiente completo de gestio da qualidade ¢ controle da informago ¢ desenvolvido, documentado ¢ comunicado pela Dirego, o qual inclui uma estrutura de politicas, padrdes e procedimentos. proceso de desenvolvimento de politica & estruturado, mantido e conhecido pelas equipes, e as politicas, os padrdes e os pro- cedimentos existentes sio razoavelmente divulgados ¢ cobrem temas-chave. A Diregdio considera a importincia da consciéncia da seguranga de TI ¢ inicia programas de conscientizagao. Hé treinamento formal disponivel para apoiar o ambiente de controle da informagdo, mas nao & rigorosamente aplicado. Embora exista uma estrutura de desenvolvimento completa para 9 controle de poli- ticas e padrées, hd um monitoramento inconsistente da conformidade, Existe uma estrutura de desenvolvimento geral, As téenicas para promover a conscientizago de seguranga tém sido padronizadas e formalizadas. 4. Gerenciado e Mensuravel quando A Diregdo assume a responsabilidade de comunicar as politicas de controle interno, delega responsabilidades e aloca recursos: suficientes para manter o ambiente em alinhamento com mudangas signifcativas, Foi estabelecido um ambiente de controle de informagao proativo que contempla o comprometimento com a qualidade e a conscientizagdo da seguranga de TI. Um conjunto completo de politicas, procedimentos ¢ padrdes tem sido desenvolvido, mantido ¢ comunicado e é uma combinagao de boas priti- as internas. Foi estabelecida uma estrutura para implementagio e subseguente veriicago de conformidade, 5 Otimizado quando © ambiente de controle de informagdo estéalinhado com a visio e a estrutura de gerenciamento estratégico é frequentemente revisado, aualizado ¢ continuamente melhorado, Especialistas interos e externos sto designados para assegurar que as melhores priticas industiis estejam sendo adotadas com relagfo a drctizes de contolee téenicas de comunicagdo, O monitoramento, a autoavaliagdo ea verificagdo de conformidade estdo sendo difundidos na organizagdo, A tecnologia éutilizada para manter as bases de conhecimento de politica e conscientizagdo ¢ para otimizar a comunicagio através de ferramentas de automago comer- cial ede teinamento em computador. se {D007 TF Governance insane, Todos or Gros reservados. wo igloreEOE a Cue rege i Descri¢&o Do Proceso PO7 Gerenciar os Recursos Humanos de TI Adquirir, manter e motivar uma forga de trabalho competente para criar e entregar servigos de TI para o negécio. Isso é alcangado seguindo praticas definidas ¢ acordadas de recrutamento, treinamento, avaliagao de desempenho, promogio e desligamento, Esse rocesso ¢ critico porque as pessoas sio ativos importantes ¢ a governanga ¢ o ambiente de controle de dados so altamente depen- dentes da motivagao e da competéncia dessas pessoas. oan ee Controle sobre o seguinte processo de TI: Gerenciar os Recursos Humanos de TI que satisfaga aos seguintes requisitos do negécio para aT: ter pessoas competentes ¢ motivadas pata criar e entregar servigos de TI com foco em: admitir e treinar pessoal, motivar através de planos de carreira claros, atribuir funges ccoerentes com as habilidades, estabelecer um processo de revisio, criar descrisbes de cargos e assegurar a consciéncia da dependéncia de individuos. 6 alcangado por: Revisdo do desempenho do pessoal Admisstio ¢ treinamento do pessoal de TI para sustentarem os planos taticos de TI Mitigar o risco de dependéncia excessiva de recursos-chave e medido por: Nivel de satisfagdo das partes interessades com as experincias € habilidades da equipe de TI Rotatividade da equipe de TI Percentual da equipe de TI certificado de acordo com as necessidades da fangaio mi ramice © Seuneie a7 ‘© 2007 TF Governance Intute: Todos ox dco reservados, wnlighoreaE ae Cee ore to OBJETIVOS DE CONTROLE DETALHADOS PO7 Gerenciar os Recursos Humanos de TI POT. Recrutamento ¢ Retengio de Pessoal ‘Assegurar que os processos de recrutamento de pessoal estejam alinhados com as politicas e os procedimentos de pessoal da orga- nizagéo (por exemplo, admissdo, ambiente de trabalho positive e orientagio). Implementar processos para assegurar que a organi= zagao tenha uma forga de trabalho de‘TI apropriada e com as habilidades necessérias para ating os objetivos da organizagao. PO7.2 Competéncias Pessoais \Verificar regularmente se 0 pessoal tem as competéncias necessarias para exereer suas fungdes com base na formagio, no namento e/ou na experiéneia, Definir os requisitos centrais de competéncia em TI e verificar se esto sendo mantidos através de programas de qualificasao e certificagio onde apropriado. POT. Preenchimento de Vagas Definir, monitorar e supervisionar fungdes, responsabilidades e estrutura de compensago do pessoal, incluindo a necessidade de adesdo aos processos e politicas do gerenciamento, ao c6digo de ética profissional e is préticas profissionais. O nivel de supervisd0 deve estar alinhado com a importincia da posigdo e a extenslo das responsabilidades atribuidas, POT Treinamento do Pessoal Prover ao pessoal de TI treinamento apropriado para manter conhecimento, especializagbes, habilidades, conscientizagio sobre controles internos ¢ seguranga no nivel exigido para atingir os objetivos organizacionais. POTS Dependéncia de Individuos Minimizar a exposiso a dependéncia critica de pessoas-chave através de captagio do conhecimento (documentasio), com- partilhamento de conhecimento, planejamento da sucessdo e desenvolvimento de posstveis substitutos para o papel e a fungao determinados. POT.6 Procedimentos de Liberagio de Pessoal Incluir andlise de antecedentes no processo de recrutamento de TI. A extensdo ¢ a frequéncia de revisto periddica dessas analises dependem da confidencialidade e/ou da importincia da fungo e devem ser aplicadas aos funcionérios, prestadores de servigo fornecedores. PO7.7 Avaliagio de Desempenho Profissional Exigir periodicamente a realizago de avaliag3o dos objetivos individuais derivados dos objetivos da organiza, padrbes estabe- lecidos e responsabilidades especificas do cargo. Os funcionsrios devem receber orientagdo de desempenho e conduta sempre que aproprindo, POTS Mudanga ¢ Desligamento de Cargo Deliberar agdes expedientes conforme mudangas de cargo, especialmente no caso de desligamentos. A transferéncia de conheci- ‘mento precisa ser providenciada, as responsabilidades redistribuidas ¢ os direitos de acesso eliminados, para que os riscos sejam minimizados e seja assegurada a continuidade da fungao. co {D007 TF Governance insane, Todos or Gros reservados. wo igloreEOE a Cue ore ea DireTRIZES DE GERENCIAMENTO PO7 Gerenciar os Recursos Humanos de TI en Das Jorunzaioe racers lear pocedinenar eps Poe ros focusing de pas, ges Movie hones en Poe | Te fees Psere a cn Toe [ai [ee eva soar evento essere carsetneas ont, oer cures vores fees wonaneros epee oer Pps anges eaprsmaees vy Tabela RACL Fungées Yl Atividades if Taare aan ape Rare : ndecuiaandan cts ttln wnat pen Gosia poi «prstinetor dr ieee ps Poach Soahhhhe Sn year tran tare eye ojos oui Coarse Cupane gene Connie as aoe See fete a soon ae pers as Fr |_,I |_, om om Se, [= Se, ! nse Soar Pec pale Toe compen Poem ncaa equa ae Pre de dec en pae ariel iivaaaarrs er sea pen om rages eta ean ol eT ate ae EE conven. Pern x oes de Icom desrsb de Everest conan ongleman ao teal one dats Se desea dacorehiete IeGkere acoso depot eo {etn snr) px pn prt Lave ere owl dpa cote desde Foie dep con psa qU Slant pnp Coogan erescno betap thereon ‘© 2007 TF Governance Intute: Todos ox dco reservados, wnlighore 53aE ae Cee ore to MonpeLo pe MATURIDADE. PO7 Gerenciar os Recursos Humanos de TI © gerenciamento do processo de “Gerenciar os Recursos Humanos de TI” que satisfaga a0 requisito do negécio para a TI de “ter ‘pessoas competentes e motivadas para criar e entregar servicas de TI” &: 0. Inexistente quando ‘Nao hd conscientizagao sobre a importincia de alinhamento do gerenciamento de recursos humanos de TI com o processo de planejamento tecnolégico da organizago, Nio hi pessoa ou grupo formalmente responsivel pelo gerenciamento dos recursos hhumanos de TL 1. Inicial/Ad hoc quando A administragio revonhece a necessidae de gerenciamento dos recursos humanos de TI. 0 processo de gerenciamento de recursos hhumanos é informal ereativo. © processo de recursos humanos de TI esté operacionalmente focado na admissZo e no gerencia- mento de pessoal de Tl, Esté sendo desenvolvida conscineia do impacto das répidas mudangas teonol6gicas e de negécios e das solugies cada vez mais eomplexas que resultam em nevessidade de novas hebilidades eniveis mais clevados de competéncia, 2. Repetivel, porém Intuitive quando Ha uma abordagem titica na admissio e no gerenciamento do pessoal de TI impulsionada pelas necessidades especificas de proje- tos, ao invés do entendimento da diferenga de disponibilidades interna ¢ externa de pessoal especializado. E realizado treinamento informal pare 0 pessoal novo, que a partir de eno rocebe treinamento somente quando necessirio 3 Processo Definido quando Existe um processo defiido e documentado para o gerenciamento dos recursos humanos de TI. Hd um plano de gerenciamento de recursos humanos de TI. Existe uma abordagem estratégica para admissBo e gerenciamento do pessoal de TI, Um plano de treine- ‘mento formal é projetado para atender is necessidades dos recursos humanos de TI, E estabelecido um programa de reciclagem visando expandir as hablidades técnicas ede gerenciamento de negocio. 4 Gerenciado e Mensuravel quando A responsabilidade pelo desenvolvimento ¢ a manutensio de um plano de gerenciamento de recursos humanos de TI esta atribuida ‘uma pessoa ou grupo de pessoas com experiéncia e habilidades para desenvolver e manter 0 plano. O processo de desenvolvi mento e gerenciamento do plano de gerenciamento de recursos humanos de TI responde as mudangas. A organizagaio tem medidas padronizadas que permitem identificar desvios do plano de gerenciamento de recursos humanos de TI, com énfase especial no gerenciamento do aumento e da rotatividade de pessoal de TI. Sio estabelecidas revisdes de desempenho e compensagao, com- paragdes com outras organizagdes de TI com as melhores priticas da industria, O gerenciamento de recursos humanos de TI é proativ ¢ considera planos de desenvolvimento de carreira 5 Otimizado quando 0 plano de gerenciamento de recursos humanos de‘TI 6 constantemente atualizado para atender as exigéneias de mudanga do negécio, O gerenciamento de recursos humanos de TI é integrado com o planejamento tecnolégico, assegurando étimo deseavolvi mento e uso das habilidades disponiveis de TIO gerenciamento de recursos humanos de TI est integrado e em consondncia com a diregdo estratégica da entidade. Os componentes do gerenciamento de recursos humanos de TI estdo de acordo com as melho- res priticas da industria, tais como revisio do desempenho e compensagio, participagdo em foruns da industria, transferéneia do conhecimento, treinamento ¢ orientasdo, Os programas de trinamento so desenvolvidos para todos os novos produtose padres tecnolégicos antes da aplicagio na organizagio, a {D007 TF Governance insane, Todos or Gros reservados. wo igloreEOE a Cee aerate! Descri¢&o Do Proceso P08 Gerenciar a Qualidade Deve ser desenvolvide © mantido um sistema de gestio da qualidade, que inclua padres ¢ processos comprovados de desenvolvi- mento e aquisigio. Isso é feito através de planejamento, implementagdo e manutengdo de um sistema de gestlo de qualidade que gre requisites, procedimentos e politicas de qualidade claros. Requisitos de qualidade devem ser definidos e comunicados em. indicadores quantificaveis e atingiveis. A melhoria continua pode ser aleangada por constante monitoramento, andlise ¢ aluag3o sobre desvios e na comunicagdo dos resultados as partes interessadas. A gestio da qualidade é essencial para assegurar que a TI esteja fornecendo valor para 0 negécio, melhoria continua e transparéneia para as partes interessadas, oan ee Controle sobre o seguinte processo de TI: ‘Gerenciar a Qualidade que satisfaga aos seguintes requisitos do negécio para aT: melhorar continuamentee de forma mensurivel a qualidade dos servigos entregues pela TI com foco em: definir um sistema de gerenciamento de qualidade (SGQ), m« itorar continuamente ‘© desempenho baseado em objetivos predefinidos e implementar um programa de melhoria continua dos servigos de TI 6 alcangado por: Definigdo de priticas e padres de qualidade ‘Monitoragio ¢ revistio dos desempenihos intemo ¢ exteno comparado as priticas « padrées de qualidade definidas Melhoria continua do SGQ e medido por: Percentual das partes interessadas satisfeitas com a qualidade da TI (avaliado segundo a importancia) Percentual dos processos de TI formalmente revisados pelo processo de garantia de qualidade periodicamente e que atingem metas e objetivos de qualidade Percentual dos processos que recebem revisdes de garantia de qualidade (QA-Quality Assurance) i rrmile © Sean ‘© 2007 TF Governance Intute: Todos ox dco reservados, wnlighore aLEa Cee Gerenciar a Qualidade OBJETIVOS DE CONTROLE DETALHADOS PO8 Gerenciar a Qualidade POS. Sistema de Gerenciamento de Qualidade (SGQ) Estabelecer e manter um SGQ que fomega uma abordagem padronizada, formal e continua de gerenciamento da qualidade e alinhada com os requisitos de negocios. © SGQ identifica os requisios ¢ critéios de qualidade, processos-chave de TI (incluindo sequencia e interagdo), politica, critérios e métodos para definir, detectar,corrigire prevenir ndo-conformidades. O SGQ deve definir a estruturaorganizacional para a gestdo da qualidade, abrangendo paps, tarefas eresponsabilidades. Todas a dreas-chave desenvolvem seus planos de qualidade em linha com 0s eritérios e politieas e mantém um histérico dos dados. Monitorar e medir a efetividade e a aceitagdo do SGQ e melhoriclo quando necessério. PO8.2 Padrdes ¢ Priticas de Qualidade de TI Identificar e manter priticas, procedimentos e padres para os processos-chave de TI de forma a orientar a organizagao para slcan- gar as intengdes do SGQ. Utilizar as melhores prticas da indiistria como referéncia na melhoria e personalizagao das praticas de qualidade da organizacio, POSS Padrées de Desenvolvimento e Aqui Adore manter padres para todos os desenvolvimentos e aquisigdes que sigam 0 cielo de vida da entrega finale ineluir libera- es formais para 0s marcos-chave (milestones) de acordo com critérios de acctacio definidos. Quesiées a considcrarincluem padroes de codificagdo, convengdo de nomes, formato de arquivos, padres de projeto de arquiteturae dicionério de dados, padres de interface de usuirio,interoperabilidade, eficiéncia no desempenho de sistemas, escalabilidade, padrGes de desenvolvi- mento ¢ estes, vaidagGes comparadas com requisitos, planos de test, testes unitirios, testes de regressio ¢ testes integrados. POR4 Foco no Cliente Assegurar que a gestio de qualidade tenha como foco o cliente determinando scus requisitos e os mantenha alinhados com os ‘padrées e praticas de TI. Papéis e responsabilidades definidas para a resolugo de conflitos entre usuario/cliente e a organizagao de TL PO8S Melhoria Continua ‘Um plano geral de qualidade que promove a melhoria continua ¢ mantido e comunicado regularmente. PO8.6 Mediséo, Monitoramento e Revisio da Qualidade Definir, planejar e implementar métricas para monitorar continuamente 0 atendimento ao SGQ, bem como 0 valor que 0 SGQ fornece. Medigdo, monitoramento ¢ atmazenamento de informagdes devem ser utilizados pelo proprietario do processo para tomar medidas corretivas e proventivas a {D007 TF Governance insane, Todos or Gros reservados. wo igloreEOE a Cee eee Tes DireTRIZES DE GERENCIAMENTO PO8 Gerenciar a Qualidade En ro Por [Paneer ex Poses pa ase mn [az | a | as | ose pore [Pion anerss rina ra ares pw rswolina rena at | we [AB a Incr [Pies eae pr remessgies fare organs equst ee neves [NL [este nebern de eeldne Po | ae Tabela RACL Fungées “YY fff a Me We WWM Fran aa pr ae SO othr SE a hee ae op ebaretetetepep ete ars oan pat de nal ss ogNe rotetretepetetete Teds Hata near ctcsienes anaes on ET aS ana ojos oui Tere rao nienineyeeaone vo nas pens =e a ae reece a peace ees pest parse erence Tren a ecemeecr sae om om fm QO fer a Faceted Mir dace ae Pera depts ue eben vse de (und de Trl segundo seperti tren pri fn deg, Pree relies std deere Peon ds equine T quer en teense por sto pr ms, teed concatg press Peer ees de Tala ie setae Denr sr batvermeS gule reves gar dade ala pat Fede ner se depen Pees orcs gece eves (uninde quand non cone de Ae peda gas ‘ane Pees prs sess eis ee levee ae ‘© 2007 TF Governance Intute: Todos ox dco reservados, wnlighore 63Ea Cee Gerenciar a Qualidade MonpeLo pe MATURIDADE. PO8 Gerenciar a Qualidade © gerenciamento do processo de “Gerenciar a Qualidade” que satisaca ao requisite do negécio para a TI de “methorar continu- amente e de forma mensurdvel a qualidade dos servicos entregues pela TI” & 0. Inexistente quando A organizagio carece de um processo de planejamento de SGQ (Sistema de Gerenciamento da Qualidade) e de uma metodologia de cielo de desenvolvimento de sistema, A Diregdo Geral a Diregto de TI nfo reconbecem a nscessidade de um programa de qualidade. Os projtos e operages nunca sBo revisados com base na qualidade. 1. Inicial/Ad hoc quando Hi conscineia por parte da Diregdo da necessidade de um SGQ. © SGQ é impulsionado por individuos onde ele se faz nevessiri, A Dire faz julgamentos informs acerca da qualidade. 2 Repetivel, porém Intuitivo quando ‘Um programa esta sendo estabelecido para definir ¢ monitorar as atividades do SGQ dentro da TI. As atividades de SGQ esto focadas em iniciativas de projetosc processos de TI e nfo nos processos de toda a organizago. 3. Processo Definido quando ‘Um processo de SGQ definido ¢ comunicado pela Diregao e envolve a Diregdo de Tl e das dreas usudrias, Um programa de ensino: ¢ treinamento é implantado para orienta todos os niveis da organizagdo sobre a qualidade. Expectativas bésicas de qualidade foram definidas e compartlhadas entre os projets e na organizasio da TI. Ferramentas e préticas de controle de qualidade comuns comegam a ser utilizadas. Pesquisas de satisfagio com a qualidade sdo planejadas e realizadas ocasionalmente. 4 Gerenciado e Mensurave! quando © SGQ ¢ considerado em todas os pracessos, aqueles que dependem de terceiras. Uma base de conhecimento padronizada esti sendo estabelecida por métricas de qualidade. Métodos de anilise de custo beneficio so utilizados para justificar as iniciativas do ‘SGQ. Comegam a ser feitas comparagdes com a indistria ¢ concorrentes (benchmarking). Um programa de ensino e treinamento foi instituido para ensinar qualidade a todos os niveis da organizagao, Ferramentas ¢ priticas estio sendo padronizadas, ¢ andli- ses de causa-raiz sio aplicadas periodicamente. Levantamentos de satisfagdo da qualidade so constantemente realizados. Hé um programa padronizado para medigdo de qualidade implantado e bem estruturado. A Diregdo de TI esta consolidando uma base de conhecimento para métricas de qualidade. 5 Otimizado quando 0 SGQ estd integrado ¢ ¢ imposto em todas as atividades da TI. Os processos de SGQ sao flexiveis e adaptaveis 4s mudangas no ambiente de TI. A base de conhecimento para méticas de qualidade esté otimizada com as melhores prticas extemas, Uma com- paragio com padres extemos (benchmarking) ¢rotineiramente realizada. A pesquisa de saisfagdo com a qualidade & um processo que leva’ andlise da causa-raiz ea ages de melhoria, Ha garantia formal quanto ao nivel do processo de controle de qualidade. a {D007 TF Governance insane, Todos or Gros reservados. wo igloreEOE a Cue Noe eta Descri¢&o Do Proceso PO9 Avaliar e Gerenciar os Riscos de TI Criar ¢ manter uma estrutura de gosto de risco, Esta cstrutura documenta um nivel comum ¢ acordado de riscos de TI, estratégias de mitigagao e riscos residuais. Qualquer impacto em potencial nos objetivos da empresa causado por um evento néo planejado deve ser identificado, analisado e avaliado. Estratégias de mitigagdo de risco devem ser adotadas para minimizar o isco residual aniveis accitaveis. O resultado da avaliagdo deve ser entendido pelas partes interessadas e expresso em termos financeiros para permitir que as partes interessadas alinhem o risco a niveis de tolerincia aceitéveis. oan ee Controle sobre o seguinte processo de TI: Avaliare gerenciar os riscos de TI que satisfaga aos seguintes requisitos do negécio para aT: analisar e comunicar 0s riscos de‘Tle seus possiveis impactos nos processos e abjetivos de negécio com foco em: desenvolver uma estrutura de gerenciamento de risco integrada as estruturas corporativa & ‘operacional de gerenciamento de risco, avaliagdo, mitigagao e comunicag3o de risco residual 6 alcangado por: Garantia de que o getenciamento de risco esteja completamente integrado aos processos gerenciais, interna e externamente, e seja aplicado de forma consistente Realizagio de avaliagbes de risco Recomendagiio e comunicago de planos de ago de remediagdo dos riscos. e medido por: Percentual de objetivos criticos de TI cobertos pela avaliago de risco Percentual de riscos eriticos de TI identificados que tenham planos de ago desenvolvidos Percentual dos planos de agdo de gestio de risco aprovados para implementagio Pine Sens 65 ‘© 2007 TF Governance Intute: Todos ox dco reservados, wnlighoreaE ae ee ere) Petra OBJETIVOS DE CONTROLE DETALHADOS PO9 Avaliar e Gerenciar os Riscos de TI PO9.1 Alinhamento da gestio de riscos de TI e de Negécios Estabelecer uma estrutura de gestio de riseos de TT alinhada com a estrutura de gestdo de riscos da organizaglo (corporagao) PO9.2. Estabelecimento do Contexto de Risco Estabelecer 0 contexto ao qual a estrutura de avaliag3o de risco ¢ aplicada para assegurar resultados esperados. Isso inchui a de- finigio dos contextos interno ¢ externo de cada avaliagio de risco, o objetivo da avaliagdo € os critérios pelos quais os tiscos so avaliados. PO9.3 Identificagio de Eventos [dentificar eventos (importante ameaga real que explora significativas vulnerabilidades) com potencial impacto negativo nos obje- tivos ou nas operagGes da organizagao, incluindo aspectos de negécios, regulamentagdo, aspectos juridicos, tecnologia, parcerias de negécio, recursos humanos ¢ operacionais, Determinar @ natureza do impacto e manter esta informagio, Registrar ¢ manter um histérico dos riscos relevantes. PO9.4 Avaliagio de Risco Avaliar regularmente a probabilidade ¢ o impacto de todos os riscos identificades, utilizando métodos qualitativos ¢ quantitatives. A probabilidade eo impacto associado ao risco inerente e residual devem ser determinados individualmente, por categoria e com base no portfilio da organizagao, Desenvolver e manter um processo de respostas a riscos para assegurar que controles com uma adequada relago custo-beneficio rmitiguem a exposigiio aos riscos de forma continua, O processo de resposta ao risco deve identificar estratégias de tisco, tais como evitar, reduzir, compartilhar ou aceitar o risco, determinar responsabilidades, e considerar os niveis de tolerancia definidos. PO9.6 Manutencéo e Monitoramento do Plano de Agao de Risco Priovizar e planejar as atividades de controle em todos os niveis da organizasio para implementar as respostas aos riscos identifi- ceadas como necessérias, incluindo a identificagio de custos, beneficios e responsabilidade pela execugio. Obter aprovagdes para ages recomendadas e aceitago de quaisquer riscos residuais ¢ assegurar que as ages aprovadas sejam assumidas pelos donos dos ‘processos afetados, Monitorar a execugao dos planos e reportar qualquer desvio para a Alta Diresao. % {D007 TF Governance insane, Todos or Gros reservados. wo igloreEOE a Cue Noe eta DireTRIZES DE GERENCIAMENTO PO9 Avaliar e Gerenciar os Riscos de TI en Das or [Rboganenss stag te eo Pvtasecries scos, pov | ose [055 | osr2 | we pesto serves Reh eric Ned fave [Pana ar gemneanens eam o pa Drees pars eo fas oT i tse [Record trent ns gi para renedaci de sconzoTi__| Po4 | we st esate es esis a comgirom oss wberbiantereoagar ge apron uc sen reais ee ise [met fra seotiveleerti aco do Tabela RACI Fungées YY sn Mele Mii romaveroalnhamonto da gostio de rscos (por exemple: avaliagdo de isos) male i Entender os obetves esratégcos de negéciorelevantes, Le faal ee i Enfender os abetives de processos de negéciorelevantes Le [aa H [enticarobjtivosinteros de Te estabelecercontexo de isc: wml Pepetet Identficar eventos assocados com objets [alguns events sao orientados 30 nogSci negdcio 6 A); alguns so orientados aT (716 A, negécio 6) Avaliarcriicamente os isco associados com eventos Avaliarrespostas aos eventos 7 Planejar 8 priorizar as atvidades de contol ¢ Aorovar @assegurarofinanclamento de plangs de agies para rise ante ¢ monitorar os planos de agées para riscos x le RAH eis quem renee repre cost ‘Objetivos e Métricas ara eu oben de Taam adda Deke elated baba de Gana de gu prencinens deis cme dr mpc 0 epi eds sexe psd i eT ‘es comoleamen nega ab poo Cudare protege todos os twos de TL fees pr rcs rio eT Fala requente de esis dena som era | [ae] «secre emia de pins de etme eine | se cerned do ae, ! outa [~~ te, | etn ‘eens ae jean cs coer Pa SS ecenal do pees de Tor So vate dere: ffemneyeorepeinarn poo dens aac crema Paces dese ces Tia ‘Gace deans se os Tide eqn dei dopo de pee sontipn de pet den de frat Compras seo eo seis dT (inde deine evo cas Peer de alates de ics ies feted ar (ands eee de maiarse de Fret ec citinde entific ane com cerns ards Pees ds plane de ao depos die ‘roses opener ‘© 2007 TF Governance Intute: Todos ox dco reservados, wnlighore 7aE ae ee ere) Petra MonpeLo pe MATURIDADE. PO9 Avaliar e Gerenciar os Riscos de TI (© gerenciamento do processo de “Avaliar e Gerenciar os Riscos de TI” que satisfaga ao requisito do negécio para a TI de “a sar e comunicar os riscos de TI e seus potenciais impactos nos processos e objetivos de negicio” &: 0 Inexistente quando ‘Nao acontece avaliagdo de risco para processos e decisées de negécio. A organizagdo no considera os impactos no negécio asso- ciados a vulnerabilidades da seguranga e ineertezas de projetos de desenvolvimento. Gerenciar riscos nio & considerado relevante para adquirirsolugdes ou entregar servigos de TL 1 Inicial/ Ad hoc quando Os riscos de TI sdo considerados de forma ad hoc. Avaliagdes informais de risco de projeto sio realizades quando solicitadas em cada projeto. AvaliagSes de risco sio as vezes identificadas em um plano de projeto, mas raramente atribuidas aos gerentes corres pondentes. Riscos especificos relacionados a TI, como seguranga, disponibilidade ¢ integridade, sio ocasionalmente considerados nos projetos. Os riscos de TI que afetam o dia-a-dia da operacdo sto raramente discutidos em reuniGes gerenciais. Mesmo onde (0s riscos sdo levantados, as ages para mitigé-los sdo inconsistentes. Estd surgindo um entendimento de que os riscos de TI so importantes e devem ser considerados, 2. Repetivel, porém Intuitivo quando Existe uma abordagem imatura einicial de avaliagdo de visco tilizada a critério de alguns gerentes de projeto. A gestio de risco 6 superficial e geralmente aplicada somente a grandes pojetos ou em resposta a problemas, O provesso de mitigaglo de risco esta comegando a ser implementado onde sio idemtficados riscos 3 Processo Definido quando ‘Uma politica corporativa de gestio de risco define onde ¢ como conduzir as avaliagées de risco. A gestdo de risco segue um pro- cesso definido ¢ dacumentado, Hé treinamento em gestio de risco disponivel para todo o pessoal. Decisbes de seguir o proceso de gestlo de risco e receber teinamento so deixadas a ertério de cada individuo. A metodologia de avaliagdo de rsco & convincente, robusta e assegura a identificagio dos riscos—chave para o negécio, Um processo para mitigar 0s riscos-chave ¢ implementado apis a idemifcapio dos riscos. As responsablidades pela gestio de riscosest¥o definidas nas descrigdes de cargo. 4. Gerenciado e Mensuravel quando ‘Aavaliagio e a gestio de risco slo procedimentos padronizados. As excegBes do provesso de gestlo de risco so relatadas & Diretorie de TI. A gestdo de risco de TI é uma responsabilidade da Alta Diregao. 0 risco € avaliado € mitigado no nivel de projeto ¢ também regularmente no nivel de operagao de TI. O comit® executivo € avisado das mudangas no ambiente de negécios e de TI que podem afetar consideravelmente os censrios de riscos relacionados a TI. A Diretoria é capaz de monitorar a posigao do risco € tomar decisées fundamentadas no nivel de exposiglo accitivel. Todos os riscos identificados tém um responsavel definido, ¢ 0 comité exccutivo e a Diretoria de Tl estabeleceram os niveis de risco que a organizasao ira tolerar. A rea de TI desenvolven ind adores padrlo para avaliarriseos e definir taxas de riscosiretornos, A ea de'TIaloca recursos para um projeto de gestio de risco operacional a fim de reavaliar periodicamente os riscos. Um banco de dados de gestdo de risco ¢ estabelecido, ¢ uma parte dos processos de gerenciamento de risco esti comegando a ser automatizada, A érea de TI estuda estratégias de mitigagdo de riscos. 5 Otimizado quando (© gerenciamento de risco atingiu um estigio de desenvolvimento em que ha um processo organizacional estruturado cm vigor e bem gerenciado, Boas priticas so aplicadas em toda a organizagdo. A captura, a anilise e o relato de dados de gestdo de risco esto altamente automatizados. F recebida otientagdo de liderangas da drea, ¢ a organizagao de TI participa de grupos de discussio para troca de experiéncias. A gestdo de risco esta totalmente integrada as operagdes de negécio e de TI, é bem aceita e envolve ex- tensivamente os usuarios dos servigos de TI. A Diregdo de TI detecta e age quando grandes decisées operacionais e de investimen- tos de TI so tomadas sem considerar 0 plano de gestio de risco. A Diregdo de TI avatia continuamente as estratégias de mitigagao de risco, ee {D007 TF Governance insane, Todos or Gros reservados. wo igloreEa Ce er ac Descri¢&o Do Proceso PO10 Gerenciar Projetos Estabelecer um programa ¢ uma estrutura de gestio de projeto para o gerenciamento de todos os projetos de TI. Essa estrutura deve assegurar a correta priorizagdo e a coordenagio de todos os projetos. A estrutura deve incluir um plano mestre,atribuigdo de recursos, definigao dos resultados a serem entregues, aprovagdo dos usuarios, uma divisdo por fases de entrega, garantia da ‘qualidade, um plano de teste formal c uma revisio pés-implementagio para assegurar a gestdo de risco do projeto e a entrega de valor para o negécio. Esta abordagem reduz o risco de custos inesperados e de cancelamentos de projeto, aperfeigoa a comunica- ‘¢2o, methora o envolvimento das dreas de negécio e dos usuérios finais, assegura o valor e a qualidade dos resultados do projeto & ‘maximize a contibuigio para os programas de investimentos em TI. oan ee Controle sobre o seguinte processo de TI: Gerenciar Projetos que satisfaga aos seguintes requisitos do negécio para aT: entregar resultados de projetos dentro do tempo, do orgamento e da qualidade acordados com foco em: aplicar aos projetos de TI um programa definido e uma abordagem de gestdo de projetos que permitam a participago das partes interessadas e a monitoragdo do andamento e dos riscos do projeto 6 alcangado por: Definigdo e implantagdo de programas, estruturas e abordagens de projeto Publicacdo de diretrizes de gestdo de projeto Realizagio de planejamento de projeto para todo o portfdlio de projetos e medido por: Percentual de projetos que atendem as expectativas das partes interessadas (prazo, orgamento e escopo ~ ponderados de acordo com a importincia) Percentual de projetos que foram revisados apés a implementagio Percentual de projetos que seguem os padrdes ¢ as priticas de gerenciamento de projetos ‘© 2007 TF Governance Intute: Todos ox dco reservados, wnlighore 68Planejar e Organizar ergo Opretivos pe Controte DETALHADOS P0140 Gerenciar Projetos POIO.1 Estrutura de Gestio de Programas Manter o programa de projetos (relacionados ao portfélio de programas de investimentos em TI) identificando, definindo, avalian- do, priorizando, selecionando, iniciando, gerenciando e controlando projetos. Assegurar que os projetos sustentem os objetivos dos programas. Coordenar as atividades e interdependéncias de miltiplos projetos, gerenciar a contribuigdo de todos os projetos de um programa para os resullados esperados ¢ resolver requisitos ¢ conilitos de recursos, PO10.2 Estrutura de Gestio de Projetos Eslabelecer e manter uma estrutura de gestdo de projetos que defina o escopo ¢ @ abrangéncia dos projetos gerenciados, bem como, ‘os métodos a serem adotados ¢ aplicados a cada projeto iniciado. A estrutura ¢ as metodologias de suporte dever ser integradas as processos de gerenciamento de programas. PO10.3 Abordagem da Gestio de Projetos Estabelecer uma abordagem de gestio de projetos adequada ao tamanho, & complexidade e aos requisitos regulatérios de cada projeto. A estrutura de governanga de projeto deve incluir os papéis, as responsabilidades e o acompanhamento dos resultados do patrocinador do programa, patrocinador do projeto, comité diretor, coordenador e gerente do projeto ¢ os mecanismos pelos quais cles podem cumprir com essas responsabilidades (como relatérios e revises de estagios do projeto). Assegurar que todos os proje- {os de TI tenham patrocinadotes com autoridade suficiente para serem seus proprietarios dentro do programa estralégico geral PO10.4 Comprometimento das Partes Interessadas Obter comprometimento e participagdo das partes interessadas afetadas na definigdo & na execugdo do projeto dentro do contexto do programa de investimento geral de TI. PO10.S Declaragio do Escopo do Projeto Definir e documentar a natureza e 0 escopo do projeto, visando confirmar e desenvolver um entendimento comum do escopo do projeto com as partes interessadas e quanto ao relacionamento com outros projetos de um programa de investimento em TI. A. definigo deve ser formalmente aprovada pelo patrocinador do programa e pelo patrocinador do projeto antes de seu inicio. PO10.6 Fase de Inicio do Projeto Assegutar que a fase de inicio do projeto seja formalmente aprovada e comunicada a todas as partes interessadas. A aprovagdo da fase de inicio deve ser bascada nas decisdes da governanca do programa, A aprovagiio das fases subsequentes deve ser bascada na revisdo e na accitagio dos resultados entregues da fase anterior e na aprovaso de um estudo de caso atualizado na préxima revisio geral do programa, No caso de uma sobreposigdo de fases, deve ser estabelecido um ponto de aprovagio pelos patrocina- dores do programa e do projeto para autorizar a continuidade. PO10.7 Plano Integrado de Projeto Estabelecer um plano integrado de projeto formalizado ¢ aprovado (que abranja recursos de negécio de sistemas de informagiio) para orientar a execugdo e 0 controle em todas as etapas do projeto. As atividades e interdependéncias de miltiplos projetos dentro de um programa devem ser entendidas e documentadas. O plano de projeto deve passar por manutengao durante todas as etapas do projeto, O plano de projeto eas alteragGes feitas nele devem ser aprovados de acordo com a estrutura de governanga do programa edo projeto. PO10.8 Recursos do Projeto Definir responsabilidades, relacionamentos, autoridades e critérios de desempenho para os membros da equipe de projeto e espe- cificar a base de aquisiedo e atribuigdo de funcionarios e/ou prestadores de servigo competentes para o projeto. A contratagdo de produtos ¢ servigos necesssirios para cada projeto deve ser planejada ¢ gerenciada para atingir os objetivos do projeto utilizando as Priticas de contratagao da organizagio. PO10.9 Gestio de Risco do Projet Eliminar ou minimizar riscos especificos associados a cada projeto através de um processo sistematico de planejamento, iden+ tificagdo, analise, resposta, monitoramento e controle de reas ou eventos com potencial para eausar mudangas indesejadas. Os riscos identificados pelo processo de gestio de projeto € os resultados esperados do projeto devem ser estabelecidos e central- mente registrados. 7 {D007 TF Governance insane, Todos or Gros reservados. wo igloreEa Ce eee PO10.10. Plano de Qualidade de Projeto Preparar um plano de gestdo de qualidade que desereva o sistema de qualidade de projeto ¢ como seri implementado. O plano eve sor formalmente revisado ¢ accito por todas as partes envolvidas ¢ entdo incorporado ao plano integrado de projet. POI0.11 Controle de Mudanga de Projeto Estabelecer um sistema de controle de mudanga para cada projeto, de forma que todas as mudangas feitas no escopo original do projeto (come custo, cronograma, escopo e qualidade) sejam devidamente revisadas, aprovadas e incorporadas ao plano de projeto integrado em alinhamento com a estrutura de governanga de programa e projeto. PO10.12. Planejamento de métodos de validagao Identiticar as atividades necessérias para suportar a validagdo de novos sistemas (ou suas modificagdes) durante o planejamento do projeto ¢ inclui-las no plano integrado do projeto. As tarefas devem assegurar que os controles intemos e aspectos de seguranga ‘atendam aos requisites definidos. PO10.13 Medicéo de Desempenho, Monitoramento e Reporte do Projeto Avaliar 0 desempenho do projeto em comparardo com critérios-chave (como escopo, cronograma, qualidade, custo e risco) Identficar qualquer desvio do plano. Avaliar o impacto dos desvios sobre o projeto e o programa. Reportar os resultados as principais partes interessadas, Recomendar, implementar e monitorar ages corretivas quando necessirias, em alinhamento com & cstrutura de govemnanga de projeto e programa, POI0.14 Conclusio do Projeto Exigir que, a0 final de cada projeto, as partes interessadas apurem se o projeto gerau os resultados e beneficios planejados. Identficar e comunicar quaisquer atividades de destaque necessirias para obter os resultados esperados do projeto e os beneficios do programa, Identificar ¢ documentar as ligbes aprendidas para usé-las em projetos e programs futuros. ‘© 2007 TF Governance Intute: Todos ox dco reservados, wnlighore 7Planejar e Organizar a Pagina intencionalmente deixada em branco am "© 2007 TT Governance Intute, Todos os Gitar reservados, wo ighoreEa Ce er ac DireTRIZES DE GERENCIAMENTO PO10 Gerenciar Projetos En Das por Jets se res remit cesonperne ce poo Me pos [eto ces eT ade oe areneonei de ric gs reo Po for Just ge abtabes en beet ge grercunente das AAT poe ses pr deserve Pnsono deiios ee ps Fos [Aas [ar [ievote psig Prt pos ae ats Por | Pos Tabela RACI Fungées I fe se dad Mad) Dati uma estutura de gevenclamonto do programas e poriloe para os investimentes de T Estabelecer manter uma estrutura de gerenciamento de roel To palo elelate Estabelecer e manter um sistema de gerenciamento, montramento 6 Thilale chet lan acompanhamenta de projtos de T ° : ‘iar cronogramas, planos de qualidade, orgamentos,planos de comurieagao, cleleleletclclanle @ planas de goranclamento do isco para projets: Assogurar a paricipagio e compromisso das partes inleressadasi Tatas [Assoguraro controle eicaz de projetos ede mudangas em projets che =] [ante Define implementar uma melodologia de revisio e qualidade em projetos Te Taal Ua ab ogee I, anus} itorado Objetivos e Metricas eee ee eatin de xampanaens de Defeated progr, ease onsen deep tre econ econ eat fare ahndges Ser ep ce rear en co cep con cos: Pibeata dedesd sto de oes ‘pet senndo so pede uae rpemenstode arpa so de aso apenas Os ei pa te Resins eon eevee > pe reed ies nets A Desi [a Tats tedsstesdeprojaatenpoem — pm ‘ene | een coe eatne [~~ te, | etn ! outa ‘ean ees quae apa Pees oer tence noe Peal eer eee eas dspam rar oamei eo = sane Fate de gobo roto (resent ess pena ewe een een Peon de tet de poets send ovsmlenete Peel prs erala co puicpe ‘oem lpn decree ‘© 2007 TF Governance Intute: Todos ox dco reservados, wnlighore 73Planejar e Organizar aaa MonpeLo pe MATURIDADE. PO10 Gerenciar Projetos © gerenciamento do processo de “Gerenciar Projetos” que satisfaga ao requisito do negécio para a TI de “entregar resultados de projetos dentro do tempo, do orcamento e da qualidade acordados” &: 0. Inexistente quando ‘Técnicas de gerenciamento de projeto nio so utilizadas e a organizagio ndo considera os impactos de negécio associados a0 gerenciamento equivocado e as falhas no desenvolvimento de projetos 1 Inicial/ Ad hoc quando 0 uso de abordagens e téenicas de gestdo de projeto dentro da TI & uma decisdo a crtério da Diregdo de TI 1d falta de compro- rmetimento da Direso de TI com a propriedade ea gestio de projto. Decisses citicas de gestio de projeto sio tomadas sem envolvimento do gestor de negécio ou dos usuatios. Ha pouco ou nenhum envolvimento das clientes e usuarios na definicio dos projetos de TI No existe uma organizaglo clara dentro da TI para 0 gerenciamento de projetos. Papéis eresponsabilidades da esto de projetos nio estio definidos. Pojetos, eronogramas e marcos sio definidos superficialmente. A alocagio de horas de pessoal e os custos do projeto nao sio controlados e comparados com os orgamentos. 2 Repetivel, porém Intuitive quando Alta Diregdo esti consciente e comunica a necessidade de gestio de projeto de TI. A organizagao esté em processo de desenvol- vimento ¢ ulilzagio de algumas téenicas © métodos de gestio de projeto. Os projtos de TI {ém definido informalmente os objeti- vos técnicos e de negécios. Hé envolvimento limitado das parts interessadas no gerenciamento de projeto de TI. Foram desenvol- vidas diretrizes iniciais contemplando muitos aspectos de gerenciamento de projeto. A aplicagdo das diretrizes de gerenciamento_ de projeto fica a cargo de cada gerente de projet 3 Processo Definido quando processo ¢ a metodologia de gestio de projeto foram estabelecidos e comunicados. Os projetos de TI so definidos com objeti- ‘os téenicos e de negocio apropriados. Os gestoes de TI de negocio esto comegande a se envolver e comprometer com a gestto dos projetos de TI. Uma estrutura de gestio de projetos estéestabelecida dentro da TI, com papéis e responsabilidades iniciis de- finidos. Os projetos de TI sdo monitorados com marcos, cronograma, orgamento e medidas de desempenho definidos e atualizados. Hii um treinamento em gestdo de projetos disponivel, Ese treinamento ¢ prineipalmente o resultado de inieiativas individuais da cquipe. Procedimentos de garantia da qualidade e atividades de pds-implementagio foram definidos, mas no estfo sendo ampla- ‘mente aplicados pelos gerentes de TI. Os projetos estdo comegando a ser gerenciados como portfolios. 4 Gerenciado e Mensuravel quando A Diego requer a revisio de indicadores formais padronizados e ligSes aprendidas em cada projeto logo apés sua conclusio. A gestdo de projeto é medida e avaliada por toda a organizagdo e no apenas dentro da TI. Melhorias na gestio de projeto so formalizadas e comunicadas, ¢ os membros das equipes de projeto so treinados nessas melhorias, A dea de TI implementou uma estrutura organizacional de projeto com papéis, responsabilidades ¢ critérios de desempenho documentados. Foram estabelecidos critérios para avaliar o sucesso de cada marco. O valor ¢ 0 risco so medidos e gerenciados antes, durante e depois da conclusio do projeto, Os projetos cada vez mais consideram os objetivos da empresa, néo sendo apenas especificos de TI. Hé um suporte sélido ativo dos gestores e das partes interessadas. Hi treinamento relevante de gestio de projeto plancjado para 2 equipe do escritério de projetos e todas as areas da TI. 5 Otimizado quando ‘Uma metodologia comprovada de ciclo de vide de projeto esta implementada, imposta e integrada & cultura de toda a organizasi ‘Uma iniciativa constante para identificare institucionalizar as melhores priticas de gestdo de projetos foi implementada. Uma estratégia de TI para desenvolvimento de recursos e projetos operacionais esté definida e implementada, Hé urna coordenagio de projetos integrada responsivel pelos projetos e programas desde o inicio até a pés-implementago. Um planejamento corporativo de programas e projetos assegura que recursos de usuério e de TI sejam bem utilizados no apoio as iniciativasestratégicas. ie {D007 TF Governance insane, Todos or Gros reservados. wo igloreADQUIRIR E IMPLEMENTAR AIL Al2 Al3 Al4 AIS: AIG Al7 Identificar Solugdes Automatizadas Adquirir e Manter Software Aplicativo Adquirir e Manter Infraestrutura de Tecnologia Habilitar Operagao e Uso Adquirir Recursos de T! Gerenciar Mudangas Instalar e Homologar Solugdes e MudancasOT eRe Perec eee ene Descricao DE PRocEsso AIL Identificar Solugdes Automatizadas Anecessidade de uma nova aplicagdo ou fungdo requer uma anilise prévia d aquisigdo ou ao desenvolvimento para assegurar que ‘5 requisitos de negécio sejam atendidos através de uma abordagem eficaz e eficiente. Este processo contempla a definigao das necessidades, considera fontes alternativas, a revisdo de viabilidade econdmica e tecnolégica, a execugdo das anilises de risco e de ‘custo-beneficio e a obtengao de uma decisdo final por “desenvolver” ou “comprar”. Todos esses passos permitem ds organizagdes minimizar os custos de aquisiglo e implementagio de solugées permitem ao neg jo aleangar seus objetivos. Adguirir e eu Controle sobre o seguinte processo de TI: Identificar Soluyées Automatizadas que satisfaga aos seguintes requisitos do negécio para a TI: traduzir os requisitos funcionais de negécio e de controle em um projeto eficiente e eficaz de solugdes automatizadas com foco em: identficar solugdes teenicamente vidveis ¢ com boa relasio custo-beneficio 6 alcangado por: + Definigdo dos requisitos téenicos e de negécio + Realizacdo de estudos de viabilidade conforme definido nos padres de desenvolvimento + Aprovacaio (ou rejeigio) de requisitos e resultados de estudos de viabitidade e medido por: + Quantidade de projetos nos quais os beneficios esperados nao foram aleangados devido a premissas incorretas de viabilidade + Percentual de estudos de viabilidade aceitos pelos respectives proprietirios de processos de negécios + Percentual de usuarios satisfeitos com as funcionalidades entregues ‘© 2007 TF Governance Intute: Todos ox dco reservados, wnlighore 75Pam LCL Perimeter acces OBjJETIVOS DE CONTROLE DETALHADOS Al1 Identificar Solugées Automatizadas AIL. Definigio e Manutengio de Requisitos Técnicos e Funcionais de Negécio [dentificar, priorizar, especifcar e pactuar os requisitos técnicos e funcionais do negécio eobrindo todo escopo de todas as iniciati- vas necessérias para obter os resultados esperados do programa de investimentos ern TI A112. Relatério de Anilise de Risco Idemtificar, documentar e analisar 0s riscos associados aos requisitos de negécio e deseniho de solugdes como parte do provesso de desenvolvimento dos requisites da organizagio. AIL}. Estudo de Viabilidade e Formulagio de Ages Alternativas Desenvolver um estudo de viabilidade que examine a possibilidade de implementar os requisitos. © gerenciamento de negécios, suportado pela drea de TI, deve avaliar a viabilidade e as agdes alternativas e fazer recomendagBes ao patrocinador do negécio. A114 Decisio e Aprovasio de Requisitos ¢ Estudo de Viabilidade patrocinador do negécio aprova e sinaliza os requisitos téenicos e funcionais do negécio, bem como os relatérios de estudo de viabilidade em estigios-chave predeterminados, O patrocinador do negécio toma a decisio final quanto a escotha da solugio e & forma de aquisigao. ie {2007 TT Govemaace Instiate, Todos or Gros reservados wig ongOT eRe Perec eee ene DireTRIZES DE GERENCIAMENTO Al1 Identificar Solugdes Automatizadas for [Paosanenss ertaigeoe bteos poz | pos [ror ae | am | as | as oa Yates erases eras gs poses weenie, pow ess pr iio cemvabineri recede grea oe ease Pore Iatnemern abuse de oes [ne [Peergn a pracese a mutans ost st Jivwsraio ae aoreete» PS espacdaepeusios Tabela RACL Fungoes ne “de UW) etn requis tecnicos « ncionals de neq¥eo, T Estabelecerprocessos para integridade/atulizagao de requiem, ct tet fet [aap e Tdenticar documentare analsar os riscos de processos de negédla mapepepapepel ale CConduzir um estudo de vablidade/avaliagao de impacto para a Implementagao dos requisitos de negSclo propostos; aay ayeteye ae eno brtsrtesiiorpporar ors sopra eee lr era a ser rasa ooo afer tetepet aaa ais eee et he et itor oi SE ee ace ee oe a ers a Fearne a peereece secre ie en ares a Sees Be See om cae Rese fm QO fer ‘Gone depos oy gas on eee Pec spats ib aealir| Pes de pots wpa na en of soya devo a reas sts co asi a esas de ‘iq eo jor sede eves neon eb ans Pee eet d abe Lens tee “Tau ra lana fg de eet Felons do pace neni ‘ines nese iodo faved ets de ibe ta Ibvedeimplaneicis. Pewee oon de apes ro cansi renal oor vibe tse tomo deneo omens, ‘© 2007 TF Governance Intute: Todos ox dco reservados, wnlighore 77Pam LCL Perimeter acces MonpeLo pe MATURIDADE. Al1 Identificar Solugées Automatizadas © gerenciamento do processo de “Idemtificar Solugdes Automatizadas” que satisfaga a0 requisito do negécio para a TI de “tradu- zir os requisitos funcionais de negécio e de controle em um projeto eficiente e eficaz de solucdes automatizadas” & 0 Inexistente quando A organizagio nio exige a identificagdo dos requisitos funcionais e operacionais para o desenvolvimento, implementagao e modi- ficagao de solugdes, tais como sistemas, servigos, infraestrutura, sofware e dados. A organizaglo ndo tem consciéncia das solugdes tecnolégicas disponiveis potencialmente relevantes ao seu negécio, 1 Inia Ad hoe quando Hi uma consciéncia da necessidade de definir os equistose identificar as soluydes tecnolégicas. Grupos de pessoas se reinem para discutr nformalmente as necessidades, eos requisitos nem sempre sio documentados. As solugGes ado identifcadas por individyos com base em conhecimentolimitado do mercado ou em resposta a ofertas de fornecedores, Exste pesquisa ou anilise minimamenteestruurade da tecnologia disponivel no mercado 2 Repetivel, porém Intuitivo quando Existem alguns métodos intuitivos para identificar as solugdes de TI, porém variam entre as diferentes areas do negécio, As so- Jugdes so identiicadas informalmente com base nas experigncias e em conhecimentosintemos da rca de TT. sucesso de cada projeto depende da experigncia de poucas pessoas-chave. A qualidade da documentago e das tomadas de decisfo varia considera- velmente. Métodos no estruturados so utilizados para definir os requisitos identificar as solugdes tecnolégicas. 3 Proceso Definido quando Existem métodosclaos eestruturados para deteminar as solugdes de Tl. As abordagens para determinar as solugdes de TI reque- rem que alterativas sjam avaliadas com base em requisites de negdci e do usuério, oportunidadestecnoldgicas,viaildade eco- nica, aalingdo dos risc0s ¢ outros fatores, O processo para determina as solugGes de'Tl éaplicado a alguns projtos baseado em fatores como as deisdes tomadas pelos individuos, o tempo de gerenciamento compromtido ou o tamanko ea pioridade dos requsitos de negécios originais, Métodos estaturados sto utilzados para definitrequisios e identifcarsolugdes de TI 4 Gerenciado e Mensuravel quando Existe uma metodologia estabclecida para identificar ¢ avaliar as solusdes de TI que ¢ utilizada pele maioria dos projetos. A documentagio dos projetos é de boa qualidade, e cada estagio ¢ aprovado de forma adequada. Os requisitos sao bem articulados & hharmonizados com as estruturas predefinidas. SolugGes alternativas so consideradas, incluindo anilises de custos e beneficios. A metodologia ¢ clara, definida, entendida de forma geral e mensurvel. Ha uma interface claramente definida entre o gerenciamento de Tle o negécio para identificar e avaliar as solugdes de TI 5 Otimizado quando ‘A metodologia de idemtficagdo ¢ avaiagSo das solugdes de TI esté sueita a continuo aperfeigoamento. A metodologia de aquisigho « implementagdo flexivel para se ajustar aos projetos de grande porte e de pequeno porte. A metodologia é suportada por um bhanco de dados de conhecimento interno ¢ externo que contém material de referéncia de solugdies tecnoldgicas. A metodologia, por si s6 produz documentagao em uma estutura predefinida que toma eficiene a produydo e a manuten¢0, Novas oportunidades de utilizar a tecnologia para ganhar vantage competitiva, influenciar o processo de reengenharia dos negécios e proporcionar ‘melhoria geral da eicigncia slo frequentemente identifcadas. A Diregdo iri detectar e agit sempre que as solugdes de TI forem aprovadas sem levar em consideraglo tecnologias alternativas ¢ requisites funcionais de negécio, ie {2007 TT Govemaace Instiate, Todos or Gros reservados wig ongOT eMC ere eet Descricao DE PRocEsso Al2 Adquirir e Manter Software Aplicativo As aplics {bes devem ser disponibilizadas em alinhamento com os requisitos do negécio, Este proceso contempla o projeto das aplicagdes, a inclusdo de controles e requisitos de seguranca apropriados, o desenvolvimento e a configuragdo de acordo com padres, Isso permite as organizagdes apoiarem de forma adequada as operagdes do negécio com as aplicagdes corretas. Adan 5 eu Controle sobre o seguinte processo de TI: Adquitire Manter Software Aplicative que satisfaga aos seguintes requisitos do negécio para a TI: tomar disponiveis as aplicages em alinhamento com os requisitos do negécio, no prazo desejado e com um custo razoavel com foco em: assegurar a existéncia de um processo de desenvolvimento que contemple o cumprimento de pravos e otimizagdo de custos 6 alcangado por: ‘Tradugao dos requisitos de negécio nas especificagdes de projeto Adesto aos padres de desenvolvimento em todas as modificagSes Scgregagdo entre as atividades de desenvolvimento, teste ¢ operagao e medido por: Quantidade de problemas em produgio por aplicago que causem perfodos pperceptiveis de indisponibilidade Percentual de usuarios satisfeitos com a funcionalidade oferecida ‘© 2007 TF Governance Intute: Todos ox dco reservados, wnlighore 78Adquirir e Implementar Pte esc) OBjJETIVOS DE CONTROLE DETALHADOS Al2 Adquirir e Manter Software Aplicativo ANZA Projeto em Nivel Macro ‘Traduzir os requisitos de negécio em especificagSes de projeto em nivel macro para o desenvolvimento de software, levando em considerapdo o direcionamento teenol6gico e a arquitetura de informagdo da organizagdo. O gerenciamento deve aprovar as especificaydes de projeto para asegurar que projeto de alto nivel atenda aos requisitos. Reavaliar quando ocorrerdiserepan téenicas ou ligicas significativas durante o desenvolvimento ou a manutengdo. A122. Projeto Detalhado Detalhar requisitos técnicos e de projeto dos softwares aplicativos. Definir os critérios de aceitagio dos requisites. Aprovar os requisitos para assegurar que eles correspondam ao projeto em nivel macro, Reavaliar quando ocorrer discrepdncias téenicas ou lgicas significativas durante o desenvolvimento ou a manutengio. A123. Controle e Auditabilidade do Aplicativo Assegurar que 0s controles de negscio sejam expressos adequadamente nos controles dos aplicativos de forma que o processamen- to ocorra no prazo correto e stja exato, completo, autorizado e auditivel. AI24 Seguranga ¢ Disponibilidade do Aplicativo Considerar os requisitos de seguranga c disponibilidade em resposta aos riscos identificados ¢ em Tina com a classificago de dados, a arquitetura de seguranga da informagdo e o perfil de tolerincia a riscos da organizagio. AIS. Configuragio e Implementasiio de Software Aplicative Adquirido Customizar e implementar as funcionalidades automatizadas adquitidas para alcangar os objetivos de negécios, A126 Principais Atualizagées dos Sistemas Existentes ‘Seguir um processo de desenvolvimento similar ao de desenvolvimento de novos sistemas quando ocorrer grandes mudangas nos sistemas existentes que possam resultar em mudangas significativas nos projetos e/ou funcionalidades atuais, 12.7 Desenvolvimento de Software Aplicativo Assegurar que as funcionalidades automatizadas sejam desenvolvidas em conformidade com as especificagdes de projeto, padres de desenvolvimento ¢ documentagdo ¢ requisites de qualidade ¢ de autorizagao. Assegurar que todos os aspectos contrat legais sejam identificados e considerados nos softwares aplicativos desenvolvides por terceiros. A128. Garantia de Qualidade de Software Desenvolver e exccutar o plano de garantia de qualidade de software para obter a qualidade especificada na definigao dos requisi- tos de projeto e nos procedimentos e potiticas de qualidade da organizagio. A129. Gest dos Requisitos das Aplicagies Acompanhar a situagdo individual dos requisitos (incluindo todos os requisites rejeitados) durante o desenho, o desenvolvimen- to ca implementagdo e garantir que as mudangas nos requisitos sejam aprovadas através de um processo de gerenciamento de mudangas. A110 Manutensio de Software Aplicativo Desenvolver a estratégia eo plano de manutengio de software apicativ. Eo {2007 TT Govemaace Instiate, Todos or Gros reservados wig ongOT eMC ere eet DireTRIZES DE GERENCIAMENTO Al2 Adquirir e Manter Software Aplicativo En Das roe |aados, Plano otimizado Ge sistemas de negico: elicagoes; oss aoe aaa bse ee == Toone rare a hy radu os requlsos de negclo em macro expeciicagées de prota e{_fefm{— fate Proparar projetodetalnadoe requsitos técnicos dos softwares aplioatve The pepe fl [ee Especiicar no projto os convoles das aplcagies iz aay Pape Customize e implementar as funcionalidades avtomatizadas ada ¢ aay Pepe Desonvolver metodlogie eprovessos formas para gerencaro proceso C chal de desenvolvimento de apicagses FL Tete ay eyes ‘rar um plano de garantia da qualidade de software para os prjeas, TP epee Rasteare gerenciar requisites das aplicagéesi xT _[ae Desonvolver um plano para a manutengio dos Sofiwaresapleatvos t male Ua tel AI aetiie quem espe i rnp cos [au erode Objetivos e Metricas etn de come ruts deni come Aas mann de pute ce “Tro rein dnp mics ‘so sndundon mole amie Suet © ‘endo cot aleund oxo Je seer pos aes esis ‘Ae or re de deena om eee esse emt tate ns meine ‘merino eeoaceeisetee Poza demain obese J}. Canis equeopacose ue deonci Fey lenin epi dare | erie senienn pram eientonrcinio | doting | « Sepepio envio & dwn, ! outa [~~ Se, | etn Fesenat demu en ene desis Pee eget deseo Fen ot de tae pave vdeo prs te ode ra ons, mpl esti a ul da tae God depot ondeo bettie xpendot onal erg de evant Aeremotier ender eee eee eee enpreendnena mani epee Penal ope de uae patna teeter cess omar pao deans ar er oven. es tt con alas (eae rb prop teenie Gases. sc ue lees aids pete ‘espa mat pnb cons a Siete tase mca ome pon ein (Gate eo opera prs pe nar ot ponte deft). tro aide roams pars essepr Foor i ou nts ce cis ‘© 2007 TF Governance Intute: Todos ox dco reservados, wnlighore aAdquirir e Implementar Pte esc) MonpeLo pe MATURIDADE. Al2 Adquirir e Manter Software Aplicativo (© gerenciamento do processo de “Adquirir e Manter Software Aplicativo” que satisfaga ao requisito do negécio para a TI de “tornar disponiveis as aplicagdes em alinhamento com os requisitos do negécio, no prazo desejado e com um custo razodvel” & 0 Inexistente quando Nao ha processo para especificasio ¢ o projeto de aplicagSes. Em geral as aplicages sto obtidas com base nas ofertas de fornece- dores, no reconhecimento de marca ou familiaridade do pessoal de TI com produtos especificos, com pouco ou nenhum reconheci- ‘mento dos requisitos reais do negécio, 1 Inicia Ad hoe quando i uma conscientizagdo da necessidade de um processo de aquisigdo e manutensdo. Formas de aquisio e manatengdo do sof- ware aplicatvo variam a cada projeto. Existe uma variedade de solugGes ioladas para os requisitosespecificos de negscios, provavelmente adquiridas de modo independent, 0 que resulta om ineficiéncias de manutengioe suporte. Aspectos de segurange € Aisponibilidade sao pouco considerados no projeto ou na aquisgao do software aplicativo. 2 Repetivel, porém Intuitive quando Ha varios processos paralelos similares de aquisig0 ¢ manutengo de aplicativos com base nas habilidades funcionais dos profis- sionais da TT. A taxa de sucesso com as aplicagles depende altamente das habilidades do nivel de experiénca interna da TI. A ‘manutengo normalmente é problenmitica esofte forte impacto quando se perde o conhecimento interno devide &saida de pessoas da organizagao, Aspectos de seguranga ¢ disponibilidade foram pouco considerados no projeto ou na aquisi¢do do software aplicativo 3 Processo Definido quando Existe um processo claro, defini e geralmente bem entendido de aquisigdo e manutengdo de software aplicativo. Esse processo esté em alinhamento com as estratéyias de TI e negécio. Existem tentativas de aplicaglo de provessos documentados de forma consistente em projetos eaplicages. As metodologias geralmente sio inflexiveis e de dificil aplicaydo geral, por isso alguns passos provavelmente sfo pulados. Atividades de manutenglo sio planejadas, agendadas e coordenadas. 4 Gerenciado e Mensuravel quando Hé uma metodologia formal c bem entendida que inclui um processo de especificagaio ¢ projcto, critérios de aquisigo, um pro- ceesso de teste e requisitos para documentagdo. Existem mecanismos de aprovasdo acordados e documentados para assegurar que {todos os passos sejam seguidos e as excegdes sejam devidamente autorizadas, Priticas ¢ procedimentos estio bem ajustados & organizagao, sio utilizados por todo pessoal c aplicaveis & maioria dos requisitos de aplicagao. 5 Otimizado quando {As priticas de aquisigdo e manutenglo de software de aplicagdo esto alinhadas aos processos detinides, © enfoque baseia-se em componentes, com aplicagSes padronizadas ¢ predefinidas sjustadas as necessidades do negécio, A sbordagem & corporati- va, A metodologia de aquisigdo e manutengao é bem avangada e permite rapidez na implementago, possibilitando agilidade e flexibilidade para reagir a mudangas dos requisitos do negécio, A metodologia de aquisigSo, implementagio e manutengdo de software é submetida a melhoria continua e apoiada por banco de dados de conhecimento intemo ¢ externo contendo material de referéncia e melhores priticas. A metodologia cria documentaso em uma estrutura predefinida que toma a produgio e a rmanutengdo eficientes a {2007 TT Govemaace Instiate, Todos or Gros reservados wig ongBT aR LCL Come gee Cn DescricAo DE PRocesso Al3 Adquirir e Manter Infraestrutura de Tecnologia As organizagées devem ter processos de aquisigdo, implementagdo e atualizagio da infraestrutura de tecnologia, Isso requet ‘uma abordagem plancjada de aquisigo, manutengao e protegéo da infraestrutura em alinhamento com as estratégias tecnol6- ‘aicas acordadas ¢ o fornecimento de ambientes de desenvolvimento e teste. Isso assegura um apoio tecnolégico continuo as aplicagdes de negdcio, Adan 5 eu Controle sobre o seguinte processo de TI: Adguirire manter infaestruturateenol6gica que satisfaga aos seguintes requisitos do negécio para a TI: adguirir¢ manter ume infaestrutura de TI integrada e padronizada com foco em: Disponibilizar plataformas apropriadas as aplicages de negécio em alinhamento ‘com a arquitetura de TI definida e os padres teenoldgicos 6 alcangado por: Preparagdo de um plano de aquisigdo teenol6gica alinhado com o plano de infraestrutura tecnolégica Planejamento da manutengio da infraestrutura Implementagio de controles internos, medidas de seguranga ¢ de auditoria e medido por: Percentual das plataformas que nfo estejam alinhadas com os padrdes definidos de tecnologia e arquitetura de TI Quantidade de processos criticos de negécio sustentados por infraestrutura obsoleta (ou préxima da obsolescéncia) (Quantidade de componentes de infraestrutura que ndo contam mais, com suporte (ou que tendem a ndo ter suporte num futuro préximo) Pino = Senso ‘© 2007 TF Governance Intute: Todos ox dco reservados, wnlighore 83Fa R Le Adquirr e ManterInfraestrutura de Tecnologia Osretivos DE CoNTROLE DETALHADOS Al3 Adquirir e Manter Infraestrutura de Tecnologia AI3.1 Plano de Aquisi¢do de Infraestrutura Tecnolégica, Preparar um plano para aquisiso, implementago e manutengdo da infraestrutura tecnolégica que satisfaga aos requisitos téenicos funcionais estabelecidas do negacio ¢ esteja de acordo com a diregdo tecnolégica da organizasao, AIB.2_Infraestrutura de Recursos, Protegio e Disponibilidade Implementar controlesinternos, medidas de seguranca e auditabilidade durante a configurasdo, integracSo e manutengao de hardware e software da infaestrutura para proteger os recursos e assegurar disponibilidade e integridade. As responsabilidades pela uilizagdo de componentes erticos devem ser claramente definidas e entendidas por aqueles que desenvolver ¢ integram os componentes da infraestrutura, Seu uso deve ser monitorado e avaliado. AI3.3- Manutengio da Infraestrutura Desenvolver uma estratégia ¢ um plano para manutensio da infraestrutura ¢ assegurar que as mudangas sejam controladas em alinhamento com os procedimentos de gerenciamento de mmudanga da organizagao. Incluir revisio periédica com base nas neces- sidades dos negécios, gerenciamento de corregaes ¢ estratégias de atualizagio, anilise de tiscos, vulnerabilidades e requisitos de seguranga, AI34_ Viabilidade do Ambiente de Teste Estabelecer um ambiente de desenvolvimento e de teste para proporcionar eficiéncia ¢ eficacia nos testes de viabilidade e integra- 80 dos componentes da infraestrutura, a {2007 TT Govemaace Instiate, Todos or Gros reservados wig ongBT aR LCL Come gee Cn DireTRIZES DE GERENCIAMENTO AI3 Adquirir e Manter Infraestrutura de Tecnologia Pine ae mae tenga ros Jooprtaes. ataayes pias do eat acre [Pecan de susie Sta cote pra st vant Fess a ane pow [Ps pr aii cemvabineri [antag pr pores coca rscee de grea oe ease Fess oniorenets ge slena [revo |ptenejamento detahaco de proeios [Centecimonte da infrasstrutura: 2 ae jose [capacidade requisitos) ‘Tabela RACI Fungées sm We Y if, j, Detinr processos/procedimentos de aquisigao, Negosiar aquisigao e adquiri a requeria infaestutura com os formacodores (aprovaos) ey patitateteyey |e Defi estratégiae plano de manutengéo para a inreesiutura a Configurar componentes da nfraestrutura aL Late 7 ‘mabe AH eee ue &esesie i rspreabtzao A casual au era Objetivos e Metricas Co Ait manzanita (et ep eT Fanci de plat apap ae abr de um pn dean male apne de epee coe enalmdo como po ensue eee ear enced tenis: en Panjamene & mrtne dnfereusrs: [ay srr centinet [Pay eciosonviinesoe oe ene Gating | - mpleneungt econ woe, ms [~~ Se, [= Se, ! nse ‘Que de ross deep cio ‘exo por iar le (ou pind Peel de phe quo eo ‘Quand tp de waa eos ‘Mena am oun ele tos cnponene ness Dae guieor eh (ane celta de agilo (Gee de plea deals See (Srp drs ere “enpa mé parscanpurrorcompesccs Pewee os comeneri eitesst Penn gered poco oui. ‘Garde decomponen ge steten {eo mals (ogee 0 ‘ear cum fo ee), ‘© 2007 TF Governance Intute: Todos ox dco reservados, wnlighore 85Fa R Le Adquirr e ManterInfraestrutura de Tecnologia MonpeLo pe MATURIDADE. Al3 Adquirir e Manter Infraestrutura de Tecnologia © gerenciamento do processo de “Adquirir e Manter Infraestrutura de Tecnologia” que satisfaga 0 requisito do negécio para a Tide “adguirir e manter uma infraestrutura de TI integrada e padronizada” & 0 Inexistente quando © gerenciamento da infraestrutura tecnol6gica no é reconhocide como um t6pico suficientemente importante para ser considerado, 1 Inicial/ Ad hoc quando Existem alteragdes feitas na inffaestrutura de qualquer aplicagao nova, sem qualquer planejamento geral. Embora exista a consci- éncia de que a infraestrutura de TI é importante, ndo hé nenhuma abordagem consistente e abrangente. A atividade de manuteng30 reage ais necessidades de curto prazo. O ambiente de teste ¢ 0 préprio ambiente de producdo. 2. Repetivel, porém Intuitivo quando Ha consisténcia entre as abordagens téticas de aquisiso ¢ manutensio da inffacstrutura de TI. A aquisiso ¢ a manutengo da infraestrutura de TI no estio baseadas em nenhuma estratégia definida, tampouco consideram as necessidades das aplicagBes de negécios que devem ser suportadas, Hi um entendimento de que a infraestrutura de TI seja importante, apoiada por algumas priticas formais. Algumas manutengSes so programadas, porém nfo so programadas ¢ coordenadas por completo. Para alguns ambientes, ha um ambiente de teste separado. 3. Processo Definido quando Existe um processo claro, definido ¢ geralmente entendido para aguisi¢ao ¢ manutengio da infraestrutura de TI, O processo atende as necessidades das aplicagSes de negécios crticas, esté alinhado as estratégias de Tl e de negécio, porém nao é aplicado de ‘maneira consistente. A manutengdo é planejada, agendada e coordenada. Existem ambientes distintos para produgdo e teste, 4. Gerenciado e Mensuravel quando 0 processo de aquisigéo e manutengo da infracstruturatecnolégica se desenvolveu ao ponto de funcionar bem na maioria das situagdes, & seguido de forma consistente eesti focado na reutilizagio. A infraestrutura de TI suporta adequadamente as aplicagdes de negécio, O processo é bem organizado ¢ proativo, O custo ea expectativa de tempo para atingr os niveis esperados de escala- bilidade, lexiblidade e integragio esto parcialmente otimizados. 5 Otimizado quando © processo de aqusigio e manutengdo de inftaestrturatecnolégica & proativo e bem alinhado com as aplicagbes de negécioeriti- cas € a arquitetura teenol6gica, Boas préticas referents ds solugies tecnolégicas sBo seguidas, ea organizagio esté conseiente dos mais recentes deseavolvimentos de plataformas e ferramentas de gerenciamento, Os custos so reduzidos através de racionalizagio ¢ padronizagdo dos componentes da inraestrutura e pelo uso de automagdo, Um alto nivel de conscigncia téenica pode identificar 0s caminhos ideais de melhoria proativa de desempenho, ineluindo avaliagdo de opgées de tercirizaglo. A infraetrutura de TI é vista como fator-chave para alavancar a uiizago da TI ES {2007 TT Govemaace Instiate, Todos or Gros reservados wig ongOT aM LCL cramer Descricao DE PRocEsso Al4 Habilitar Operacao e Uso Conhecimento sobre novos sistemas deve estar disponivel, Este processo requer a elaborago de documentagio © manuais para usuarios e para TI e a promogao de treinamentos para assegurar a operagdo ¢ uso apropriado das aplicagSes ¢ infraestrutura ij) Controle sobre o seguinte processo de TI: Adan Impl B cue Habilitar operagdo e uso que satisfaga aos seguintes requisitos do negécio para a TI: assegurar a satisfago de usustios finais com ofertas de servigos e niveis de servigos ¢a completa integrasio das aplicagdes e solugdes tecnolégicas aos processos de negécio com foco em: fomecer manuais de usuétio, manuais operacionais e materiais de treinamento cficazes para transferir 0 conhecimento necessirio a operagdo e uso bem-sucedido do sistema, 6 aloangado por: Desenvolvimento e disponibilizagdo de documentagio de transferéncia de conhecimento Comunicaso ¢ treinamento de usuarios, gestores de negécio, equipes de suporte e equipes de operagio Produgdo de materiais de treinamento e medido por: Quantidade de aplicagdes nas quais os procedimentos de TI esto completamente integrados aos processos de negocio Percentual de proprietirios de negécio satisteitos com os treinamentos & Ey ‘material de suporte das aplicagbes Quantidade de aplicagdes que dispdem de treinamento adequado de suporte operacional e de usustio ‘© 2007 TF Governance Intute: Todos ox dco reservados, wnlighore a7Fam Le ferme OBjJETIVOS DE CONTROLE DETALHADOS Al4 Habilitar Operagao e Uso AI4.1 Planejamento para Solugies Operacionais Desenvolver um plano para ideniicar e documenta todos os aspectos téenicos, a eapacidade operacionale os niveis de sexvigos necessirios para que todos que irio operar, utilizar e manter as soluges automatizadas possam exercer suas responsabilidades. AI4.2. Transferéncia de Conhecimento ao Gerenciamento do Negécio Transferit 0 conhecimento ao getenciamento do negécio pata permitir que este assuma a propriedade do sistema e dados, bem como exerya suas responsabilidades nos processos de entrega, qualidade de servigo, controles internos e administrayo da aplicagao. Al4.3. Transferdncia de Conhecimento aos Usuirios Finais ‘Transferir conhecimento e habilidades para permitr aos usuérios © uso efetivo eeficiente dos sistemas aplicativos que sustentam processos de nexécio. AI44 Transferéncia de Conhecimento as Equipes de Operasées e Suporte Transferir conhecimento e habilidades para permitir que as equipes de operayies e suporte téenico entreguem, suportem € mante- nnham os sistemas ¢ a infiaestrutura associada de forma eficaz ¢ eficiente Eo {2007 TT Govemaace Instiate, Todos or Gros reservados wig ongOT aM LCL Peaeae eid DireTRIZES DE GERENCIAMENTO Al4 Habilitar Operagao e Uso em Das rsx: oe gorncamonts dats Mona usin papi, saan. ence Pore fatnmarintataso de pais lesinnatg 2 [se | ose | ss [sat | ose [ates ae vanian cr euston aneaiom Resins ceewurcnseconermere | ogy [az [esac pleas cao ce stare pr imtmenagod slgtes [na [Esnecne aera ota venoms or [rere ennai enon os [ae eerste acon Tabela RACL Fungées Wy jy y iif Atividades MM, Uf Teoma emia aT! tte Desserts csr parsunar ate Deteraerdcueeteaoas aoute eatorovcnoas St etme tapas Fao salar tana OORT a Te Snceurs ganioonnet st gs an ESTO SR ojos oui Sa Sas snes nue a Sa oe =e ee ae ae Saeco ope ae eas Peeler eae ao comes |_| |__| a ance om fm QO fer ‘Gone dso gus rection ‘Gute eines eas por ein Nive de puto estes opens Se Tieste eagle apa ws poses reads europe to'wenumon ead apa eons, ‘testo Inert ene a ganar ot Peer erp empl toe (Garde de hare de rene an. ‘eames pocediene cure eee shape cael eendinei t eh isons eng Pea sien [nde ents om women sectmesigin doen ede wir, one demain pened ‘ean epg co eras mcm oyu este operons edi {iso edo mods antes de ‘econo de wa, oer ope ‘© 2007 TF Governance Intute: Todos ox dco reservados, wnlighore 88