Definir a Função do CIO (Chief Information Officer)

O principal papel do CIO, principal executivo de TI da empresa, é ser o elo de ligação do nível estratégico (diretoria) que define as diretrizes estratégicas de TI e, a organização de TI que gerencia os recursos de informação e as tecnologias disponíveis para a empresa. É importante que o CIO trabalhe junto com a diretoria na definição do papel de TI, na definição do modelo de governança de TI e o mais importante, auxilie a diretoria na definição da

estratégia de TI. Este envolvimento aumenta a capacidade do CIO de estruturar a organização de TI mais adequada às necessidades da empresa, além de favorecer o alinhamento de TI aos negócios. Conforme proposta de Keen (apud Amaral; Varajão, 2000), para a descrição de carreiras profissionais que caracteriza o perfil ideal de um gestor de SI como sendo o de um forte conhecedor do negócio da organização e possuidor de conhecimentos técnicos adequados. Posicionar convenientemente os responsáveis pela Gestão de TI na estrutura da organização é um dos principais problemas que se colocam a esta função (Trauth; Wysocki; Young apud Amaral; Varajão, 2000), porque em muitas organizações, apesar de se aceitar a sua importância, ainda não se atua de acordo com essa convicção, talvez pela inércia à mudança que caracteriza as organizações.

Na definição de Rodriguez; Ferrante (2000), a função de CIO se tornará mais e mais importante nos próximos anos. O CIO deve ter, além de uma visão dos negócios da companhia, um perfeito conhecimento da tecnologia da informação. Muitas vezes o sucesso ou falha dos negócios poderá depender das decisões tomadas pelo CIO. De fato, devido ao alto grau de exigência colocado em suas mãos, o CIO possui um alto grau de vulnerabilidade, de modo que na média são substituídos a cada três anos. O CIO deve ser uma pessoa de grande habilidade para tratar das relações interpessoais, além de ser muito bom na percepção das necessidades e deficiências individuais. O perfil dos profissionais da área de tecnologia de informação dever ser definido, dando-se mais ênfase às avaliações psicológicas, porque estes profissionais não poderão mais dar as costas aos seus usuários e continuar a trabalhar diretamente com as máquinas. O CIO deve trazer o profissional de tecnologia de informação para um entendimento claro, cooperando com ele, de forma a conduzi-lo para atividades que contribuam com os objetivos de negócio da organização. Deverá, o CIO, procurar a terceirização de algumas atividades da Função Informação, fornecendo alternativas para a operação e processamento durante os períodos de pico, particularmente considerando que há organizações muito bem qualificadas trabalhando neste mercado. Entretanto, estas atividades devem ser as relativas a rotinas físicas ou intelectuais que não necessitem manter o conhecimento dentro da organização. O CIO deve esforçar-se para que todos os profissionais que trabalhem na área de tecnologia de informação estejam capacitados no fornecimento dos serviços de atendimento e consultoria aos usuários. Devem também, ser capaz de ajudar na definição de políticas, estratégias, padrões e procedimentos da área de tecnologia de informação. A função do CIO tem evoluído consideravelmente desde a sua introdução nas

organizações. Hoje, esta função somente faz sentido se tiver o poder necessário, e para isto, o CIO deve estar ligado diretamente ao principal executivo da organização. O CIO enfrentará, segundo Rodriguez; Ferrante (2000), os seguintes desafios:

• Convencer e educar os gerentes sobre as possibilidades da tecnologia da informação.

• Integrar novas tecnologias com os negócios da organização.

• Preparar compromissos de parcerias, de longo prazo, com os fornecedores de tecnologia da informação.

• Otimizar as estruturas organizacionais. • Entender e prever mudanças tecnológicas. • Identificar padrões e conflitos.

• Gerenciar o patrimônio tecnológico da organização

Serão muitas as pressões segundo Rodriguez; Ferrante (2000), que atuarão sobre o CIO, vindo do segmento de negócio e do segmento tecnológico. As principais pressões vindas do segmento de negócio são: Custos; Qualidade; Demanda dos usuários; Integração dos processos da organização. Do segmento de tecnologia da informação, as principais pressões são: Conectividade; Padrões; Gerenciamento; Ferramentas de desenvolvimento; Novos equipamentos; Novos softwares. O CIO será um elemento de fundamental importância na definição da estratégia global, baseada nos cenários de negócio e na tecnologia de informação disponível. Através da arquitetura dos negócios são obtidas: a soma de todos os produtos e serviços, a organização, o gerenciamento e os processos, a alocação de recursos, os valores e as recompensas. Por outro lado, a arquitetura de informações é a soma de todas as aplicações, dados de rede, padrões e interfaces, conhecimento especializado e organização, gerenciamento, processos e níveis de consolidação. Uma arquitetura de informações desconectada ou não alinhada com os objetivos do negócio significará pessoas executando funções periféricas, à margem dos objetivos da organização, despendendo energia em atividades não produtivas. O CIO deverá enfrentar os seguintes desafios (Rodriguez; Ferrante,2000):

• Terceirização de serviços: os gerentes serão pressionados por menores custos e melhor qualidade. A terceirização dos serviços, principalmente daqueles que não estejam ligados diretamente ao negócio da companhia, poderá ser uma ótima saída

para serem alcançados os objetivos desejados. Entretanto, a terceirização levada a extremos, poderá ocasionar um resultado perigoso e de conseqüências irreversíveis.

• Lutar pela Função Informação: a disputa pela informação poderá ocasionar uma reivindicação dos usuários a assumir partes da função informação, à medida que lhes confira maior poder, necessária à autonomia desejada. Isto levado a um extremo, poderá ocasionar uma desorganização e conflito entre as informações disponíveis.

• Definição de Arquitetura de Informações: esta definição será a base para todo o ambiente computacional, determinante para o sucesso ou falha da Função Informação.

• Definição das ferramentas de desenvolvimento: com a proliferação no mercado de diversas alternativas de ferramentas para o desenvolvimento de aplicações e com a disponibilidade de ferramentas mais amigáveis de acesso às informações, uma grande atenção e cuidado devem ser tomados na seleção destas ferramentas, evitando uma proliferação de alternativas de difícil integração no futuro.

• Alinhamento às estratégias de negócio: esta é uma definição de fundamental importância para a companhia e mais especificamente para a Função Informação. Esta visão de valores e crenças deve ser definida e estar claramente entendida por todos.

Conforme o IT Governance Institute (2001), fundamentalmente, a Governança de TI diz respeito a duas coisas básicas. A primeira, que a TI gere valor aos negócios e a segunda que os riscos da TI sejam minimizados. A primeira é orientada pelo alinhamento de TI aos negócios. A segunda é orientada pela disseminação do uso responsável da TI na empresa. Ambos necessitam ser medido, por exemplo, pelo modelo de balanced scorecard. A responsabilidade do CIO na governança de TI compreende quatro pontos focais, todos orientados a geração de valor aos stakeholders da empresa. Dois destes pontos são resultados a serem obtidos: geração de valor e minimização de riscos. Os outros dois pontos focais são direcionadores: alinhamento estratégico e mensuração de performance, conforme representado na Figura 4.8.

Figura 4.8 – Os quatro pontos focais da governança de TI

Fonte: IT GOVERNANCE INS TITUTE (2001).

O CIO tem quatro funções de gerenciamento essenciais para maximizar os resultados de TI para os negócios: garantir o alinhamento de TI aos negócios, gerar valor para os negócios através da TI, gerenciar a performance de TI, gerenciar os riscos de negócios gerados pela TI.

a) Garantir o alinhamento estratégico de TI aos negócios

Neste momento, a área de TI lida com grande dificuldade com as necessidades dos clientes, pois sabe que algumas solicitações irão tornar totalmente desintegrados os recursos de TI, mas ao mesmo tempo não possui nenhuma política ou orientação para que a solicitação de cliente seja atendida. O que fazer? Nestas situações segundo Rodriguez; Ferrante (2000), a vontade do cliente quase sempre prevalece e a desintegração dos recursos de TI está indevidamente sendo viabilizada, provocando um problema que somente mais tarde vai ser percebido por todos: a falta de integração dos recursos de TI. Segundo os mesmos autores, existem fatores que contribuem para a desconexão da área de TI às Estratégias de Negócios da Organização, apresentados na Figura 4.9.

Geração de Valor Mensuração de Performance Gerenciame nto de Risco TI Alinhamento Estratégico Stakeholder Direcionadores de Valor

Figura 4.9 – Fatores que contribuem para a desconexão da tecnologia de informação às estratégias.

Fonte: RODRIGUEZ; FERRANTE (2000).

A questão chave é saber se os investimentos de TI da empresa estão em harmonia com os objetivos estratégicos e, por conseguinte desenvolver a capacidade de gerar valor aos negócios. Este estado de harmonia é o que entendemos por alinhamento. Para a governança de TI este alinhamento vai além, da integração estratégica entre a (futura) organização de TI e a (futura) estrutura organizacional. Ela diz respeito também se operação de TI está alinhada com as operações atuais da empresa, conforme representado na Figura 4.10.

Figura 4.10 – Alinhamento de TI aos negócios

Fonte: IT GOVERNANCE INSTITUTE (2001).

Pressão dos Fornecedo res

Pressão dos Clientes

CEO’s desconhecem os Recursos de TI

Falta de Integração dos Recursos de TI Falta de Estratégias Falta de Cobrança de Resultados Modelo de Gestão e Organização Disputas Internas Priorização Inadequada dos Recursos Burocracia Tecnologia pela Tecnologia Falta de Competências CONTRIBUEM PARA A DESCONEXÃO DA TECNOLOGIA ÀS ESTRATÉGIAS Estratégia Corporativa

Operações dos Negócios

Operação da TI Atividades de

É responsabilidade de o CIO transmitir confiança para a diretoria da empresa que por sua vez deve se assegurar do perfeito alinhamento da TI aos negócios através do controle e gerenciamento da Governança de TI:

• Assegurar-se que a estratégia de TI está efetivamente alinhada à estratégia de negócios.

• Assegurar-se que os resultados de TI estão de acordo com as estratégias de TI (entregar os produtos de TI no prazo dentro do orçamento definido com as funcionalidades e benefícios propostos devidamente comprovados) através de comprovações de evidências e monitoração de indicadores de performance.

• Definir o portfólio de projetos de TI que suportem as respectivas necessidades de transformar a empresa, a criar uma infra-estrutura que possibilite o crescimento da empresa, assim como competir em novos mercados ou negócios.

• Definir os investimentos na arquitetura de TI de forma a atender de forma balanceada as necessidades de crescimento de receita, melhoria da satisfação dos clientes, bem como, garantir a lealdade e retenção dos clientes com a empresa.

Para atingir os objetivos do alinhamento de TI aos negócios, o CIO deve ter plena consciência das suas responsabilidades na gestão de tecnologia da informação, tais como:

• Proporcionar à alta administração a visão efetiva do papel estratégico da tecnologia da informação;

• Clarificar junto à alta administração o papel de TI. A TI é vista como um provedor de serviços de TI e/ou a TI é vista como viabilizadora de transformações organizacionais;

• Criar direcionadores estratégicos de TI baseados nos direcionadores de negócios. Por exemplo, um direcionador de negócio “desenvolver relacionamento com clientes globais” pode levar a um direcionador de TI tal qual “consolidar a base de clientes mundial e estabelecer processo global de entrada de pedidos”;

• Monitorar o impacto para os negócios da infra-estrutura e da arquitetura de sistemas de informação;

b) Gerar valor para os negócios através da TI

Os princípios básicos de TI são a entrega dos projetos no prazo, dentro do orçamento e efetivando os benefícios que foram previstos. Na visão de negócios, podemos identificar o valor gerado por TI nos processos empresariais, tais como: vantagem competitiva, leadtime de processamento de pedido, entrega completa de pedidos, satisfação do cliente, produtividade das equipes de trabalho, lucratividade etc. O valor que a tecnologia da informação adiciona aos negócios está diretamente relacionado ao grau de alinhamento da organização de TI com os negócios e o quanto ela atende as expectativas dos negócios. Este valor pode estar relacionado com:

• Atender as necessidades e solicitação dos negócios; • Flexibilidade para adaptarem-se as necessidades futuras;

• Capacidade de processamento e tempo de respostas adequadas às necessidades; • Facilidade de uso, capacidade de recuperação e segurança de informação; • Integração, acuracidade e atualização da informação.

Para gerenciar estas expectativas, a área de TI tem que desmistificar a caixa preta, como ela é vista pela direção da empresa, estabelecendo uma linguagem comum que possa medir os resultados e o valor de TI na visão dos impactos gerados aos negócios. O papel da TI no processo de tomada de decisão deve ser medido a luz de indicadores de negócios alinhados a cada processo empresarial, tais como:

• Tempo de desenvolvimento de novos produtos; • Tempo de processamento de pedidos;

• Prazo de entrega para o cliente;

• Qualidade de produtos ou serviços ao cliente. c) Gerenciar a performance de TI

Faz-se necessário definir um conjunto de indicadores que permita acompanhar o desempenho da arquitetura de TI de forma simples e de fácil entendimento por toda a empresa. O modelo de acompanhamento do desempenho de TI pode estar baseado no conceito de balanced scorecard. O balanced scorecard tem por objetivo traduzir a estratégia em ação através de metas a serem alcançadas e indicadores para medir o grau de atendimento

das metas estabelecidas. O gerenciamento de performance através do modelo de balanced

scorecard vai além dos indicadores que medem apenas a visão financeira, ele visa também

medir por ativos que são a capacidade de relacionamento e a gestão de conhecimento tão necessária para competir na era da informação. O IT Scorecard (Painel de Controle de TI) proposto estabelece indicadores para medir a performance financeira, o grau de satisfação de clientes, a eficiência dos processos de TI, bem como a capacidade de aprendizado da organização de TI, como pode ser visto na Figura 4.11.

Figura 4.11 – Painel de controle de TI

Fonte: IT GOVERNANCE INSTITUTE (2001).

d) Gerenciar os riscos de TI

O impacto aos negócios de eventuais problemas de indisponibilidade da infra-estrutura de TI, erro de informações e falta de acuracidade e atualização das informações, podem ser de grandes proporções. O CIO deve estabelecer em conjunto com a direção da empresa as políticas, os procedimentos e a arquitetura de segurança das informações de modo a garantir o impacto mínimo aos negócios na ocorrência de eventuais problemas ou sinistros na arquitetura de TI.

A seguir uma breve introdução ao gerenciamento de risco apresentado conforme Broadbent; Kitzis (2005). Quase todos os aspectos operacionais de uma empresa e quase todos os segmentos de negócios atualmente apresentam uma forte dependência de TI. Tanto a entrada de dinheiro bem como o relacionamento com clientes usam mecanismos de informática. Ou seja, não importa qual o risco de negócios está sob discussão, o CIO deve estar envolvido nos esforços de gerenciá-lo. No entanto o CIO não pode gerenciar o risco sozinho. Muitas causas e conseqüências estão fora do controle da organização de TI. O

Financeiro

Metas Indicadores

Informação

Cliente Processos de TI

Metas Indicadores Metas Indicadores

Aprendizagem

negócio tem que determinar as propriedades, com a organização de TI fazendo parte das discussões. O negócio não consegue gerenciar os riscos sem o envolvimento ativo do CIO, e o CIO tem que conseguir as respostas no que impacta ou é impactado por TI para os novos riscos inserindo-os num programa corporativo de gerenciamento de riscos da empresa. Broadbent; Kitzis (2005) expõem estratégias básicas para tratar os riscos. São quatro formas clássicas de resolver situações de risco: redução, transferência, aceitação e eliminação.

• Redução – a redução do risco propriamente dito ou de suas conseqüências. Para que a redução do risco ocorra, a empresa tem que ter controle adequado para reduzir ou eliminar a probabilidade ou o efeito de um evento de risco.

• Transferência – transferir o risco para algum agente diferente da empresa. Para a transferência de o risco funcionar, algum agente (por exemplo, um segurador) tem que ser capaz de assumir o risco.

• Aceitação – a consciência e disposição de assumir o risco pela empresa. Para a aceitação do risco funcional, a probabilidade de ocorrência do risco é suportável pela empresa.

• Eliminação – ter a certeza da possibilidade do evento de risco jamais ocorrer. Para muitas empresas, a eliminação de um risco pode significar saída de um negócio ou mercado, ou retirada de um produto.

Nenhuma empresa pode ficar completamente segura contra todos os riscos. A questão fundamental do gerenciamento de riscos é: ‘Quais são os riscos que a empresa pode suportar?’.

Para se chegar a esta resposta, primeiro, analisar os alvos e as respectivas ameaças. Algumas questões importantes para esta análise baseados nos direcionadores de negócios. Quais são as estratégias mais importantes para o nosso negócio? Quais são os obstáculos de cada estratégia? De que forma o mercado, competidores, órgãos reguladores, e outros reagem às nossas estratégias de negócios? Em que estratégias existirá maior concentração de dados, dinheiro, materiais, ou qualquer outro ativo de alto valor? Segundo, deve-se calcular o potencial de ocorrência do risco em cada cenário possível. Calcula-se o risco ou o potencial de perda anual. Terceiro, identificar seu potencial de salvaguardas, e avaliações contra os

riscos potenciais. Uma vez que, foi elaborada a lista de salvaguardas aos riscos potenciais, é importante avaliá-los com os critérios a seguir:

a) Custo.

b) Alinhamento e consistência com os objetivos da empresa.

c) Impacto nos processos de negócios e o custo de mudá-los. O processo necessita ser redesenhado?

d) Possíveis efeitos nas iniciativas de gerenciamento de risco atual e futuro. Ou seja, o quanto é necessário para manter os custos, dificuldade para obter os conhecimentos e habilidades necessárias?

Broadbent; Kitzis (2005) orientam sob a importância de desenvolvimento de uma política formal de segurança de informação. A política de segurança é um conjunto de normas que apresentam a tolerância ao risco da empresa e os procedimentos de segurança para reforçar as proteções contra os riscos potenciais. As políticas devem ser baseadas em padrões de classe mundial tais como COBIT (Control Objectives and Related Technology) ou ISO 17799, pois estes padrões contêm práticas já consagradas de segurança de informação e referenciais para um diagnóstico e administração de um plano de segurança de informações.