Hermes do Amaral Pacheco GESTÃO DE TI UM ESTUDO DE CASO Hermes do Amaral Pacheco hermes@icomnet.com.br www.icomnet.com.br

AGENDA Introdução Governança de TI Modelo COBIT O caso SEFAZ - SP

INTRODUÇÃO A informação e a Tecnologia da Informação como fatores críticos para as organizações Diferencial competitivo Potencialmente vulneráveis Consumidoras de capital Capacidade de propiciar mudanças radicais Geradoras de expectativas É comum se referir à informação como o bem mais valioso das empresas. Certamente, para algumas empresas a informação é seu maior ativo, assim como, para outras, é seu único ativo. A empresa moderna tem no conhecimento organizado: patentes, processos de produção, capacitação de seus colaboradores, o seu principal diferencial competitivo. Portanto, é natural que um bem tão valioso e estratégico seja tratado como elemento crítico. Mas não basta possuir a informação útil, ela precisa estar disponível, no local e hora adequados, para a pessoa certa. A informação precisa ser tratada, modificada na sua forma e transportada sem perder as características definidas pelo seu proprietário, daí, o aparato necessário para realizar esse processamento ser, igualmente, considerado crítico. As empresas são crescentemente mais dependentes da informação e da tecnologia da informação. Se a popularização das tecnologias da informação, por um lado, ampliam a sua utilização, por outro, expandem o potencial de vulnerabilidades. Tratar, disponibilizar e proteger a informação são operações cada vez mais intensivas em capital. As novas tecnologias, ao mesmo tempo que, reduzem os custos unitários de processamento, aumentam os custos globais. Por isso, o investimento crescente em TI é também outro elemento que contribui para a criticidade. Mas a informação e as tecnologias que a manipulam são fundamentalmente críticas pela capacidade que têm de mudar radicalmente as organizações e as práticas de negócio, criando novas oportunidades e reduzindo custos. A percepção destas criticidades associadas ao cenário de competição fazem crescer nas empresas a expectativa com relação ao desempenho dos serviços da área de TI, passando as administrações das empresas a requerem níveis de serviço que representem incrementos em qualidade, funcionalidade, facilidade de uso, melhores tempos de resposta, segurança e custos mais baixos.

INTRODUÇÃO Qual a importância da área de TI para as organizações? (Acadys e Standish Group, 2001) Departamentos pouco realizadores Poucas organizações são capazes de avaliar os retornos da área Alto grau de insucesso dos projetos Valor da informação subestimado Acadys – www.acadys.com Standish Group – www.standisgroup.com Estudos realizados em 2001 por Acadys (Europa) e Standish Group (USA) mostraram que as empresas não tratam suas áreas de TI como importantes realizadores, porque as áreas de negócio vêem os departamentos de TI mais como fornecedores do que como parceiros ou porque a alta gerencia não dá a atenção devida à area.

RELACIONAMENTOS DA ÁREA DE TI O estudos realizados em 2001 por Acadys (Europa) e Standish Group (USA) mostraram que as empresas não tratam suas áreas de TI como importantes realizadores porque as áreas de negócio não encaram a área de TI como parceiros ou a alta gerencia não dá a devida atenção a área. Fonte: IT Governance Institute

AVALIAÇÃO DO RETORNO DAS ÁREA DE TI 50% Apenas uma ema oito empresas consegue avaliar os retornos da área de TI. Dessas avaliações, metade são consideradas a cima da expectativa, aproximadamente 30% são apropriadas e 20% abaixo das expectativas. 30% 20% Fonte: IT Governance Institute

INSUCESSO DOS PROJETOS DE TI 23% dos projetos de TI são bem suscedidos 28% apresentam resultados duvidosos, e 49% falham. Fonte: IT Governance Institute

VALOR DA INFORMAÇÃO Ativos intangíveis Informação (maior parte) 85% dos ativos de uma organização são constituídos por bens intangiveis, destes a maior parte é representada pela pelos bens de informação. Ativos intangíveis Informação (maior parte) Reputação Imagem Confiança Fonte: IT Governance Institute

GOVERNANÇA DE TI - ABORDAGEM É um componente da Governança Corporativa Está focada em: Considerar os valores das pessoas ao definir estratégias; Direcionar os processos que implementam a estratégia; Assegurar que os processos produzam resultados mensuráveis; Informar os resultados e desafios; Assegurar que os resultados sejam proveitosos. O IT Governance Institute define Governança de TI como: Uma estrutura de relacionamentos e processos para orientar e controlar as empresas na busca de seus objetivos, adicionando valor e balanceando riscos e retornos da Tecnologia da Informação e seus processos. A governança de TI deve ser entendida como um elemento da governança Corporativa e deve está perfeitamente alinhada com esta.

GOVERNANÇA DE TI - DEFINIÇÃO O IT Governance Institute define Governança de TI como: Uma estrutura de relacionamentos e processos para orientar e controlar as empresas na busca de seus objetivos, adicionando valor e balanceando riscos e retornos da Tecnologia da Informação e seus processos.

GOVERNANÇA DE TI - OBJETIVOS Dirigir e controlar TI enfatizando: O potencial de TI para alavancar e influenciar ativos intangíveis; O alinhamento entre as estratégias de TI e do negócio; A revisão e aprovação dos investimentos em TI; A garantia de transparência para os riscos associados a TI; A medição de performance da TI

COBIT – O que é (Control Objectives for Information and Related Technology) COBIT é um modelo de gestão de TI proposto pelo IT Governance Institute, patrocinado pela ISACAF (Information Systems Audit and Control Association Foundations), baseado em código de melhores práticas. Primeira edição – 1996 Segunda Edição – 1998 Terceira edição (atual) - 2000

O Modelo COBIT Apresenta as atividades de TI de forma estruturada e gerenciável; É focado em processos e objetivos de negócio; É dirigido para usuários, gestores, responsáveis pelos processos de negócio e auditores.

COBIT – domínios dos processos OBJETIVOS DE NEGÓCIO COBIT GOVERNANÇA DE TI INFORMAÇÃO PLANEJAMENTO E ORGANIZAÇÃO AQUISIÇÃO E IMPLEMENTAÇÃO ENTREGA E SUPORTE MONITORAMENTO RECURSOS DE TI Efetividade Eficiência Confidencialidade Integridade Disponibilidade Conformidade Confiabilidade Pessoas Infra-estrutura Tecnologia Dados e sistemas 34 Processos Aproximadamente 314 Objetivos de controle Mostrar os processos de cada um dos 4 domínios A governança de TI recebe orientação e devolve resultados alinhados com os objetivos do negócio. O COBIT organiza os processo de TI em quatro grandes domínios, tratando a informação segundo suas características e cobrindo todos os recursos envolvidos. Fonte: IT Governance Institute

PLANEJAMENTO E ORGANIZAÇÃO PO1 - Definição de um Plano Estratégico de TI; PO2 – Definição de uma arquitetura para a informação; PO3 – Determinação da direção tecnológica; PO4 – Definição da organização de TI e seus relacionamentos; PO5 – Gerenciamento dos recursos financeiros de TI; PO6 – Comunicação da direção; PO7 – Administração dos recursos humanos; PO8 – Garantia de cumprimento dos requisitos externos; PO9 – Avaliação de riscos; PO10 – Gerencia de projeto; PO11 – Gestão da qualidade. 11 processos relacionados a planejamento e organização

AQUISIÇÃO E IMPLEMENTAÇÃO AI1 – Identificação de soluções; AI2 – Aquisição e manutenção de sistemas aplicativos; AI3 – Aquisição e manutenção da arquitetura tecnológica; AI4 – Desenvolvimento e manutenção de procedimentos relacionados a TI; AI5 – Instalação e aceitação de sistemas; AI6 – Administração de mudanças;

ENTREGA E SUPORTE DS1- Definição de níveis de serviço; DS2 - Administração de serviços prestados por terceiros; DS3 - Administração de desempenho e capacidade; DS4 - Garantia de continuidade dos serviços; DS5 - Garantia da segurança dos sistemas; DS6 - Identificação e alocação de custos; DS7 - Educação e treinamento dos usuários; DS8 - Apoio e assistência aos clientes de TI; DS9 – Gerencia de configuração; DS10 – Administração de problemas e incidentes; DS11 – Administração de dados; DS12 – Gerenciamento de instalações; DS13 – Gerenciamento de dados;

MONITORAMENTO M1 - Monitoramento dos processos; M2 - Avaliação e adequação do controle interno; M3 – Obtenção de segurança independente; M4 – Provimento de auditoria independente.

CARACTERÍSTICAS DA INFORMAÇÃO Efetividade Eficiência Confidencialidade Integridade Disponibilidade Conformidade Confiabilidade

RECURSOS DE TI Pessoas Infra-estrutura Tecnologia Dados e sistemas

IMPLEMENTAÇÃO DO COBIT Documentação Mapeamento dos processos de negócio Definição de políticas Identificação dos objetivos de controle Definição de diretrizes Implementação Divulgação Conscientização Gestão dos processos Benchmarks das práticas de controle de TI (Modelo de Maturidade – CMM) Fatores Críticos de Sucesso Indicadores de Objetivos Indicadores de Performance

MODELO DE MATURIDADE São utilizados para controlar os processos de TI, fornecendo um método para quantificar o nível de maturidade dos processos. Pode variar de não existentes (0) a otimizados (5), permitindo mapear o estágio de cada um dos 34 processos de uma organização e compará-las com o mercado, considerando: Qual o estágio atual da organização Qual o estágio corrente da indústria Qual o status dos padrões internacionais Onde a organização quer chegar.

MATURIDADE DOS PROCESSOS DE NEGÓCIO Não existe Inicial Repetitivo Definido Gerenciado Otimizado 1 2 3 4 5 Legenda Estágio atual da empresa 0 Não existe 1 Inicial 2 Repetitivo 3 Definido 4 Gerenciado 5 Otimizado não existe qualquer processo de Gestão; processos ad hoc e desorganizados; os processos seguem um padrão regular; os processos são documentados e comunicados; Os processos são monitorados e medidos; As melhores práticas são seguidas e automatizadas. Status dos padrões Internacionais Estágio corrente da indústria Estratégia da empresa

FATORES CRÍTICOS DE SUCESSO Define as ações de gerenciamento mais importantes para obter controle dos processos de TI. Define o que precisa ser feito nos níveis estratégico, tático e operacional.

INDICADORES DE OBJETIVOS Define medidas ou grandezas que devem ser obtidas para atender os requisitos do negócio, geralmente expressas na forma de critérios como: A disponibilidade da informação necessária para suportar as necessidades do negócio; Os riscos da perda de integridade e confidencialidade da informação; A relação custo-eficiencia dos processos e operações;

INDICADORES DE PERFORMANCE Define medidas para determinar quão bem os processos de TI são executados; Permite identificar se objetivos serão ou não alcançados; São bons indicadores de potencialidades, boas práticas e habilidades.

O CASO SEFAZ - SP PROGRAMA DE MODERNIZAÇÃO DA SECRETARIA DA FAZENDA DO ESTADO DE SÃO PAULO 1995-2003

CARACTERIZANDO A SEFAZ/SP 9.000 funcionários 1.000.000 de Contribuinte do ICMS 13.000.000 de veículos

DADOS DO PROJETO Abrangência estadual Recursos de infra-estrutura Sede 16 Unidades Regionais 150 Postos de atendimento Recursos de infra-estrutura Mais de 28.000 pontos de rede Mais de 600 roteadores e 50 switches de grande porte 155 conexões WAN Mais de 60 servidores Risc Mais de 5600 estações ligadas à rede

DADOS DO PROBLEMA Falta de conhecimento das novas tecnologias Dependência de poucos fornecedores Profissionais com perfil inadequado Infra-estrutura inadequada Sistemas antiquados Estrutura inadequada para a gestão de TI Resistência à mudanças Diferentes visões de tecnologia

ALGUMAS METAS DO PROJETO Reduzir a quase zero a necessidade do contribuinte ir a um posto de atendimento criando o Posto Fiscal Eletrônico Aumentar a eficiência da Fiscalização Dar total transparência às contas do Estado através do site da Secretaria da Fazenda Criar a Bolsa Eletrônica de Compras Permitir a comunicação rápida e eficiente entre os funcionários

IDENTIFICAÇÃO DE SOLUÇÕES Soluções de Gestão Criação de dispositivos legais Desenvolvimento do Plano de Gestão de TI - PGTI (1999) Soluções de Tecnologia Infra-estrutura Serviços Sistemas de informação

PGTI - ABRANGÊNCIA VISÃO INSTITUCIONAL POLÍTICAS DE GESTÃO Sede, Regionais e Postos Fiscais Relacionamento com a IntraGov POLÍTICAS DE GESTÃO Estrutura Organizacional de TI Relacionamentos internos Gestão única Capacitação do pessoal interno POLÍTICAS DE TECNOLOGIA Atualização tecnológica Desenvolvimento de sistemas Padronização POLÍTICA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO Visão Institucional Estrutura Organizacional de Gestão de SI extrapola os limites do DTI

PGTI - OBJETIVOS Criar uma estrutura para a administração dos recursos (pessoas, infra-estrutura, tecnologia, dados e sistemas) de TI no âmbito da Secretaria da Fazenda, SP; Alocar responsabilidades para os diferentes agentes do sistema de TI; Estabelecer regras para a gestão unificada de TI; Estabelecer padrões de relacionamentos com outras unidades internas, parceiros e fornecedores; Estabelecer padrões de tecnologia;

ESTRUTURA ORGANIZACIONAL CTI GS CAT CAF CECI CGA DTI FAZESP Administração de Sistemas Operações e Infra-estrutura Internet e Intranet Controle

A REDE SEFAZ

ALGUNS SERVIÇOS IMPLANTADOS Solução integrada de gerenciamento centralizado E-mail e acesso WEB para todos os funcionários Videoconferência em todas as regionais Telefonia IP entre regionais Extranet com acesso seguro (VPN) Ambiente de produção no modelo ASP (Aplication Service Provider) Aplicações Intranet

EXEMPLOS DE SISTEMAS DESENVOLVIDOS Legislação “Linkada” DECA AIIM GIA Eletrônica Cálculo de Débito do ICMS Guias de Procedimentos Conta Fiscal IPVA Licenciamento eletrônico ITCMD Serviços ao Contabilista Serviços à Procuradoria Fiscal SIAFEM SIGEO SIAFISICO SIAFACIL BEC GDOC SIAP

ADEQUAÇÃO AO MODELO COBIT Padronização das políticas – uma para cada processo de TI. Focalização em processos ao invés de atividades. Avaliação das diretrizes estabelecidas no PGTI em função dos objetivos de controle definidos pelo COBIT.

PGTI vesus COBIT 95 diretrizes de TI + 20 diretrizes de segurança da informação 314 objetivos de controle relacionados aos 34 processos de TI

EXEMPLO DE UMA POLÍTICA PO1 – Planejamento estratégico Para atender os objetivos específicos da Secretaria da Fazenda e obter um balanceamento ótimo entre oportunidades oferecidas pela Tecnologia da Informação e os requisitos do negócio deve ser desenvolvido um processo de planejamento estratégico de longo prazo com revisões periódicas. O planejamento de longo prazo deve ser traduzido em planos operacionais, estabelecendo metas claras e concretas de curto prazo, tendo em consideração: A definição dos objetivos do negócio e as necessidades de TI; Inventário das soluções de tecnologia e da infra-estrutura atuais; Acompanhamento das evoluções tecnológicas; As mudanças organizacionais; Estudos de oportunidade; e A avaliação dos sistemas atuais. A quem se aplica: Pessoas Aplicações Tecnologia Instalações Dados

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO MODELO DE IMPLEMENTAÇÃO

LICÕES APRENDIDAS O acesso ao centro de decisões da Instituição é indispensável para o setor de TI; É necessário desenvolver competência interna em áreas estratégicas; Evitar aquisição de grandes pacotes de tecnologia; Avaliar as relações com os fornecedores (Ex.:Companhias de Processamento de Dados) Gestão unificada de TI

CONTATO www.icomnet.com.br hermes@icomnet.com.br