autor
REGINALDO GOTARDO
GOVERNANÇA EM
TECNOLOGIA DA
INFORMAÇÃO
Conselho editorial regiane burger; roberto paes; gladis linhares; karen fernanda bortoloti; helcimara affonso de souza
Autor do original reginaldo aparecido gotardo Projeto editorial roberto paes
Coordenação de produção gladis linhares
Coordenação de produção EaD karen fernanda bortoloti Projeto gráfico paulo vitor bastos
Diagramação bfs media
Revisão linguística amanda carla duarte aguiar Imagem de capa artur marciniec | dreamstime.com
Todos os direitos reservados. Nenhuma parte desta obra pode ser reproduzida ou transmitida por quaisquer meios (eletrônico ou mecânico, incluindo fotocópia e gravação) ou arquivada em qualquer sistema ou banco de dados sem permissão escrita da Editora. Copyright seses, 2015.
Dados Internacionais de Catalogação na Publicação (cip)
G683g Gotardo, Reginaldo
Governança em tecnologia da informação / Reginaldo Gotardo. Rio de Janeiro : SESES, 2015.
144 p. : il.
ISBN 978-85-5548-027-0
1. Governança de TI. 2. Governança corporativa. 3. Tomada de decisão. 4. Gestão de TI. I. SESES. II. Estácio.
CDD 658.004
Diretoria de Ensino — Fábrica de Conhecimento Rua do Bispo, 83, bloco F, Campus João Uchôa
Sumário
Prefácio 7
1. Introdução à Governança Corporativa
9
Objetivos 10
1.1 Introdução à Governança Corporativa 11
1.2 A Organização Empresarial 14
1.3 Breve Histórico da Governança 16
1.4 Princípios, Conceitos e Responsabilidades 16
1.5 Lei Sarbanes-Oxley (SOX) 19
1.6 Modelos de Governança Corporativa 20
1.7 Alinhamento de TI à Governança Corporativa 21
1.8 Responsabilidades da Governança de TI 23 1.9 Ciclo da Governança de TI 25 1.10 Balanced Scorecard 26 Atividades 30 Reflexão 31 Referências bibliográficas 32
2. Processo de Decisão na
Governança de Tecnologia da Informação
33
Atividades 53 Reflexão 54 Referências bibliográficas 55
3. Introdução ao COBIT 5
57
Objetivos 58 3.1 Histórico e Apresentação 59 3.2 Governança Empresarial de TI 62 3.3 Princípios do COBIT 5 643.3.1 Princípio 1 – Atender às Necessidades das Partes Interessadas 67 3.3.2 Princípio 2 – Cobrir a Organização de Ponta a Ponta 75 3.3.3 Princípio 3 – Aplicar um Framework Único e Integrado 76 3.4 Princípio 4 – Permitir uma Abordagem Holística 77 3.5 Princípio 5 – Distinguir a Governança da Gestão 78 3.6 Modelo de Referência e Domínios de Processo no COBIT 5 85
3.6.1 Avaliar, Dirigir e Monitorar (EDM) 86
3.6.2 Alinhar, Planejar e Organizar (APO) 87
3.6.3 Construir, Adquirir e Implementar (BAI) 89
3.6.4 Entregar, Serviço e Suporte (DSS) 90
3.6.5 Monitorar, Avaliar e Analisar (MEA) 91
3.7 Implementação 91
3.8 Aceitação do Modelo 93
Atividades 93 Reflexão 95
Referências bibliográficas 95
4. Val IT, CMMI e ISO 27001 e 27002
97
Objetivos 98
4.1 Val IT 99
4.2 O Conceito de Valor 102
4.5 CMMI - Abordagem de Implementação por Estágios 106
4.6 CMMI - Abordagem de Implementação Contínua 108
4.7 Áreas dos Processos CMMI 110
4.8 ISO 27001 e 27002 112
Atividades 115 Reflexão 116
Referências bibliográficas 116
5. Seis Sigma e as Ferramentas de Qualidade
117
Objetivos 118
5.1 Breve História 119
5.2 Mas o que significa “sigma”? 120
5.3 O Six Sigma 120
5.4 Six Sigma – Papéis e Responsabilidades 123
5.5 DMAIC 124 5.6 DFSS 127 5.7 DMAVD 128 5.8 As 7 Ferramentas da Qualidade 129 5.8.1 Fluxograma 129 5.8.2 Diagramas de Dispersão 131 5.8.3 Folhas de Verificação 131 5.8.4 Gráficos de Pareto 133
5.8.5 Diagrama de Causa e Efeito 133
5.8.6 Histograma 134
5.8.7 Cartas de Controle 135
Prefácio
Prezados(as) alunos(as),
Na disciplina de Governança em Tecnologia da Informação você aprenderá sobre os principais conceitos de Governança Corporativa, sobre a Governança em Tecnologia da Informação e sobre os modelos que podem ser usados para aplicação da mesma nas empresas.
Na disciplina, nós começamos estudando a origem da Governança Corpora-tiva, os conceitos envolvidos na sua definição e implantação. Depois estudamos a Governança de Tecnologia de Informação, sua aplicação nas empresas e os desafios envolvidos na tomada de decisão que envolve tecnologia.
Na sequência falaremos de um framework, o COBIT, para alinhamento entre os objetivos de negócio e a tecnologia da informação. Falaremos tam-bém sobre frameworks para tecnologia propriamente e sobre processos de melhoria.
Temos uma grande jornada pela frente.
Aproveite o que preparamos, pesquise e estude outras fontes indicadas para se aperfeiçoar no tema.
Introdução à
Governança
Corporativa
O termo Governança Corporativa é dominante em negócios atualmente, pois, nas últimas décadas tivemos uma série de casos envolvendo escândalos corpo-rativos. A possibilidade de instabilidades financeiras nas empresas por falhas de gestão minou perspectivas de vários investidores, e isso causou muita des-confiança nos diversos setores de negócio.
Basicamente, a preocupação é “Como as empresas podem proteger seus stakeholders?”.
Os investimentos em Governança Corporativa refletem no valor da empre-sa. Possuir uma boa Governança (altos padrões de como fazê-la) pode fazer com que investidores aceitem pagar mais caro pelas ações da empresa. Isso ocorre, pois trata-se de: relação confiança. A melhor governança gera melhor confiança no mercado e gera melhor economia para empresa.
Perceba que não estamos falando na produção e venda de produtos ou ser-viços, mas sim na capacidade de manter os processos funcionando adequada-mente e entregando valor aos stakeholders.
OBJETIVOS
Neste capítulo, os objetivos principais são:
• Aprender o que é Governança Corporativa;
• Saber por que a Governança Corporativa está sendo cada vez mais utilizada nas empresas; • Conhecer a Lei Sabarnes-Oxley (SOX) e seus impactos na área de TI;
• Identificar os mecanismos da boa Governança Corporativa; • Relacionar a governança de TI com a Governança Corporativa. • Saber a importância do alinhamento entre estratégia corporativa e TI. • Conhecer a técnica do Balanced Scorecard (BSC).
• Saber o que é Governança de TI.
• Identificar as responsabilidades da Governança de TI.
1.1 Introdução à Governança Corporativa
O uso do termo “governance” surgiu a partir de reflexões do Banco Mundial sobre as gestões públicas mundiais. Em 1992, foi apresentado um documento sobre o tema intitulado: Governance and Development. Já no prefácio do do-cumento, encontramos a noções fundamentais desse tema, escrito, na época, pelo Presidente Lewis T. Preston, do Banco Mundial, em abril de 1992, onde lemos:
A boa governança é um complemento essencial para a saúde das políticas econômi-cas. A gestão eficiente e responsável pelo setor público, um quadro político previsível e transparente são fundamentais para a eficiência dos mercados e governos, e, conse-quentemente, para o desenvolvimento econômico.
A definição de governança foi apresentada no documento em linhas ge-rais como: o uso da autoridade, controle, administração e o exercício do poder tendo em vista questões sociais e econômicas, visando seu legitimo desenvol-vimento. A partir dessa vertente, a capacidade governativa não seria avaliada apenas pelos resultados das políticas governamentais, mas pela forma como o governo exerce o poder, essa visão mais abrangente envolvem as dimensões sociais do fazer político.
Ultimamente, é comum o uso do termo governança nas áreas administrati-va, constituindo o planejamento estratégico da Empresa, o uso do termo acon-tece, principalmente, pelo seu amplo conceito. Segundo definição apresentada pelo Guia do Instituto Brasileiro de Governança Corporativa (IBGC, página 19):
incenti-A Governança Corporativa define um conjunto de ações, normas, costumes, gestão e filosofia, que regulam a direção e gestão de uma empresa e sua relação com os diversos atores que a constitui: chamados de stakeholders.
O termo stakeholders é formado pelas palavras inglesas: Stake que significa interesse, participação, risco, e Holder que significa aquele possui. Sendo as-sim, podemos definir como “aquele que possui participação” ou melhor “parte interessada”.
Um dos princípios da Governança é promover a equidade, igualdade e jus-tiça entre os membros, porém em empresas de capital aberto, os acionistas (shareholders), o conselho, e os executivos, são os stakeholders mais influentes. São também stakeholders os colaboradores, clientes, bancos, fornecedores, governo, a comunidade onde a empresa atua e a relação com o meio ambiente.
Company Employees Manager Owners Suppliers Customers Internal
Stakeholders External Stakeholders
Society
Government
Creditors
Shareholders
Figura 1.1 – Stakeholders da Empresa. Fonte: http://upload.wikimedia.org/wikipedia/com-mons/4/4c/Stakeholder_(en).png
Stakeholders Internos:
• Empregados: • Gerentes: • Proprietários:
Stakeholders Externos: • Fornecedores • Sociedade • Governo • Credores • Acionistas • Consumidores
De maneira geral, os sistemas informartizados de governança corporativa e, claro, os princípios de governança devidamente aplicados, podem ajudar a evitar fracassos como abusos de poder (diretorias sobre acionistas, acionistas majoritários sobre minoritários), erros estratégicos (concentração de poder e decisões concentrados num executivo apenas) e fraudes (uso de informações privilegiadas em benefício próprio).
O que nós veremos ao longo deste material são conceitos de Governança, modelos, frameworks, que visam alinhar a Tecnologia de Informação à Gestão Empresarial.
Boas práticas de Governança Corporativa podem trazer benefícios qualita-tivos e quantitaqualita-tivos às organizações. Desde melhores decisões até redução de custos e impactos financeiros.
Stakeholder refere-se às diversas partes interessadas em projetos, na administração ou na governança das empresas. De maneira geral, refere-se aos envolvidos em pro-cessos (é duradouro, há recorrência) ou projetos (esforços temporários).
1.2 A Organização Empresarial
A globalização da economia baseada no capitalismo acirrou a concorrência en-tre as empresas e trouxe mercados cada vez mais dinâmicos ou turbulentos. Diariamente (ou em questão de segundos) as decisões impactam empresas e pessoas ao redor do mundo todo.
Há a crescente necessidade de agir com rapidez perante este cenário. No entanto, as empresas, em geral grandes e médias, preconizam modelos de or-ganizações pautados em estruturas de trabalhos e funções, ou seja, modelos baseados nos estudos de Frederick Taylor e Henri Fayol.
O desempenho da empresa fica relacionado ao desempenho de suas unida-des funcionais. De forma geral toda empresa precisará produzir algo, usando um conjunto de ferramentas, processos e pessoas. Esta produção pode resultar em produtos ou serviços (1). A empresa também precisará inserir o produto ou serviço no mercado e atrair clientes, além de possuir um controle no pós venda para melhoria de seus produtos/serviços (2). A empresa precisará da estimativa de custos e preços, prestação de contas e previsão de resultados (3). E, por fim, a empresa precisa de pessoas. Precisa treiná-las, adequá-las ao ambiente de tra-balho, definir habilidades e tarefas (4).
Produção Finanças e Contabilidade Recursos Humanos Vendas e MKT Produtos ou Serviços
Assim, como visto na figura, uma empresa precisa de grupos de tarefas para funcionar. As proximidades das competências nestas tarefas geram as unida-des funcionais (às vezes chamadas de silos funcionais).
Uma organização pode ser vista como um conjunto de pessoas com um objetivo em comum. Normalmente essas pessoas se organizam de forma hie-rárquica e essa organização hiehie-rárquica gera o que já comentamos: unidades funcionais baseadas nas características em comum do trabalho a ser realizado.
Nível Estratégico Níveis Hierárquicos ou de Responsabilidade Stakeholders Nível Gerencial Nível de Conhecimento Nível Operacional Gerentes Seniores Gerentes Médios Trabalhadores do Conhecimento de Dados Gerentes Operacionais Áreas ou
Departamentos MarketingVendas e Fabricação Finanças Contabilidade HumanosRecursos
Figura 1.3 – Áreas funcionais de uma empresa. Fonte: Adaptado de (LAUDON e LAUDON, 2007).
A gestão das áreas funcionais é baseada em hierarquia de níveis gerenciais. Como pode ser visto na figura anterior, existem vários níveis gerenciais que
1.3 Breve Histórico da Governança
Quando o Banco Mundial redigiu o documento sobre Governança e Desenvolvi-mento, o cenário mundial vivia uma crise crescente de desconfiança, tanto nos setores públicos quanto privado.
Entre os anos de 1990 e 2002, as crises na Ásia, o enfraquecimento econô-mico da Europa e escândalos em empresas americanas, culminaram na tenta-tiva de que as relações comerciais e governamentais fossem pautadas por ações mais assertivas e honestas.
A Governança Corporativa surgiu nesse cenário, e veio para atender tam-bém aos anseios sociais e ambientais, e não apenas aos ganhos financeiros. Na gestão privada, durante a Era Industrial, o planejamento estratégico era estabe-lecido, principalmente, por grandes investidores e acionistas (shareholders), as negociações e articulações aconteciam com portas fechadas.
As questões sociais e ambientais não apareciam como parte do planejamen-to estratégicos das empresas.
Outro fator que alavancou o conceito de governança foi a globalização. Com a era da Informação foi apresentado ao mundo situações e condições de gover-nabilidade desumanas, ditatoriais e de alto impacto ambiental, a propagação das informações resultaram em demonstrações de repudio por todo o mundo.
Sendo essas situações inaceitáveis e comprovadamente insustentáveis, ace-nava-se para a necessidade de as empresas criarem relações socioambientais mais justas.
1.4 Princípios, Conceitos e Responsabilidades
Os preceitos da governança apontam para equidade e transparência com to-dos os stakeholders, criando o conceito de organização sustentável, que visa o equilíbrio social, a participação, a distribuição dos lucros, e o desenvolvimento de todos os envolvidos, isto é, num processo onde todos devam participar e ga-nhar. Esse novo modelo propõe além do retorno financeiro, retorno e desen-volvimento socioambiental.
Os princípios que norteiam a governança tanto pública, tanto públi-ca como corporativa, são: Transparência, Equidade, Prestação de contas,
• O princípio de transparência propõe que a informação deva ocorrer es-pontaneamente e que sobrepondo ao conceito de “obrigação de informar” que deva haver na corporação um “desejo de informar.” Mais do que informar o que é imposto contratual e legalmente, é necessário que haja transparência nas re-lações e que todas as informações da empresa estejam disponíveis aos interes-sados. A atuação transparente desenvolve um clima de mútua confiança entre todos os envolvidos. Melhorando tanto as relações internas como externas.
CONEXÃO
No Brasil, podemos ver ações como “A Transparência Brasil” que é uma organização inde-pendente e autônoma, fundada em 2000 por um grupo de indivíduos e organizações não-governamentais comprometidos com o combate à corrupção.
Disponível em: http://www.transparencia.org.br/
Segundo o dicionário Houaiss, Equidade nos termos do Direito significa: “O respeito pelo direito de cada pessoa, adequando a norma ao caso concreto, pelo que se considera justo. É a apreciação e julgamento justo em virtude do senso de justiça imparcial, visando a igualdade no julgamento.” Dicionário Houaiss.
Disponível em http://houaiss.uol.com.br/busca.jhtm.
• Sobre o Princípio da Equidade: A palavra equidade tem origem no latim aequitas que significa igualdade, simetria, retidão, imparcialidade, conformi-dade. Quando pensamos em equidade, devemos ter em mente os critérios de igualdade e justiça. Esse conceito revela equivalência entre os stakeholders,
su-• O Princípio da Participação visa oferecer aos stakeholders, liberdade de expressão, de questionamentos, acesso a informações, possibilitando a parti-cipação direto ou indireta.
• Nas Decisões Orientadas por Consenso deve-se considerar o consenso nas relações sociais, as decisões devem ser tomadas de forma participativa, cla-ra e explicita, considecla-rando os diferentes pontos de vistas. Assegucla-rando a to-dos os membros que façam parte das decisões da corporação. Projetando ações que visam resultados a médio e longo prazo, para atingir o desenvolvimento sustentável.
• Na Efetividade e Eficiência há a busca em garantir processos que produ-zam bons resultados fazendo o melhor uso possível dos recursos disponíveis. Garantindo a sustentabilidade.
Como vemos, os princípios da governança estão pautados no comparti-lhamento e transparência de informações, na responsabilidade fiscal, social e ambiental. As empresas que aderem à Governança Corporativa têm ganhos de imagem e reputação, considerados ativos intangíveis, esses ganhos têm de-monstrado o quanto pode-se criar valor através de boas ações mercadológicas.
A governança tem como seus principais ativos:
• Ativos Humanos: pessoas, treinamentos, planos de carreira; • Ativos Financeiros: dinheiro, investimentos, fluxo de caixa, etc; • Ativos Físicos: prédios, fábricas, equipamentos, manutenção, etc; • Ativos de Propriedade Intelectual: know-how de produtos, serviços, pro-cesso com patentes ou registros;
• Ativos de relacionamento: interno à empresa, relacionamento com clien-tes, reputação, fornecedores, governo;
• Tecnologia da Informação: dados, informações, sistemas de informação, dados dos processos, etc.
Estes ativos devem ser protegidos e controlados pela governança através de estruturas gerenciais, processos, comitês, conselhos e auditores.
A conformidade da gestão pode ser verificada com auditorias externas con-tratadas pela empresa ou por órgãos regulatórios como a ANATEL (telecomuni-cações no Brasil), ANEEL (energia elétrica), Banco Central do Brasil (financei-ro), dentre outros. Alguns destes órgãos regulatórios causam forte impacto na
1.5 Lei Sarbanes-Oxley (SOX)
O Sabarnes-Oxley Act (SARBANE e OXLEY, 2002) foi motivado pelos escândalos financeiros em companhias abertas nos Estados Unidos que determinaram a perda de confiança de investidores no mercado de capital americano. A bolsa de valores nos Estados Unidos é um dos principais meios de investimento das famílias norte-americanas. Assim, era importante manter a credibilidade das empresas e do funcionamento dos sistemas.
A Lei foi sancionada pelo presidente dos Estados Unidos, George W. Bush em julho de 2002, e afetou a divulgação financeira de empresas que têm ações negociadas em bolsas dos Estados Unidos.
A lei visa regular tanto empresas norte-americanas com ações nas bolsas americanas quanto empresas estrangeiras com ações nas bolsas americanas.
Pela lei, CEO e o CFO das empresas estão sujeitos a sanções pecuniárias de US$ 1.000.000 a US$ 5.000.000 e/ou 10 a 20 anos de reclusão, caso não atendam aos requisitos da Securities and Exchange Commission (SEC).
Para a TI, os requisitos do SOX que a afetam estão nas seções 302 e 404 da lei. A seção 302 especifica, dentre outros itens, que:
• O CEO e CFO devem revisar os relatórios financeiros
• O CEO e CFO declaram ter conhecimento dos resultados e atestam que os relatórios financeiros não contêm declaração falsa ou omissão de dados;
• O CEO e CFO são responsáveis por manter e estabelecer controles e proce-dimentos sobre a emissão de relatórios financeiros e controles internos sobre eles.
• As deficiências dos sistemas de controle interno que possam afetar a ha-bilidade da empresa em registrar, processar, sumarizar, e comunicar informa-ções financeiras devem ser comunicadas.
• A administração deve avaliar a efetividade do sistema de controle interno para emissão de relatórios financeiros.
• A administração deve realizar uma auditoria independente, para atestar e divulgar a avaliação feita pela administração sobre os controles e procedimen-tos internos para emissão de relatórios financeiros.
Para atender aos requisitos do SOX as informações financeiras devem aten-der a alguns princípios:
• O conteúdo da informação deve ser apropriado.
• A informação deve estar disponível de acordo com a necessidade • A informação deve representar a última atualização, ou seja ser atual. • Os dados e informações devem estar corretos.
• A informação é acessível aos usuários interessados autorizados
• Deve haver um sistema de controle interno sobre relatórios financeiros para garantir a veracidade dos itens anteriores.
As informações financeiras e os resultados da empresa são oriundos de pro-cessos de negócio. Há, neste caso, a geração de fatos contábeis e financeiros na empresa. Assim, os sistemas transacionais (geradores de informações na em-presa e que estão no nível operacional – consulte a figura da seção 2) devem ser considerados quando se tratar da SOX.
1.6 Modelos de Governança Corporativa
De acordo com o Instituto Brasileiro de Governança Corporativa (IBGC) cada país institui melhores práticas de governança corporativa com base em seus modelos econômicos, corporativos, regulatórios e seu ambiente social. O pró-prio IBGC afirma que torna-se impossível descrever de forma detalhada todos os modelos de governança vigentes no mundo.
Mas, é possível observar os tipos de modelos de governança através da análi-se do que o mercado pratica. Há, análi-segundo o IBGC, duas grandes categorias que compreendem os modelos adotados pelo mundo:
• Outsider System: trata-se de um sistema de Governança anglo-saxão (Estados Uni-dos e Reino Unido) onde há muitos acionaUni-dos (pulverização) e, normalmente, fora do comando diários das operações das empresas. Há também foco grande na maximiza-ção do retorno para acionistas. A propriedade fica dispersa, até por conta da natureza dos acionistas.
• Insider System: trata-se de um sistema de Governança da Europa Continental e Japão onde há grandes acionistas relacionados ao comando das operações diárias das empresas ou pessoas indicadas por estes acionistas. A estrutura de propriedade é mais concentrada e há a presença de grandes grupos empresariais.
O modelo de governança corporativa no Brasil se aproxima mais do Insider System com propriedades mais concentradas e forte presença de empresas fa-miliares ou empresas controladas pelo Estado.
Algumas exigências legais e regulatórias devem ser cumpridas para a obten-ção de uma boa governança corporativa. Isto deve ser feito pela criaobten-ção de um conjunto de mecanismos externos e internos eficientes que assegurem o com-portamento dos executivos alinhado aos interesses dos acionistas.
Como mecanismos internos podem ser considerados o conselho de admi-nistração, a concentração acionária e a atuação de investidores institucionais. Os mecanismos externos pode ser a proteção legal aos investidores, o grau de competição do mercado, a fiscalização de agentes do mercado, e a própria es-trutura de capital.
O conselho de administração deve exercer seu papel com a elaboração de estratégias para a empresa e deve eleger (e destituir) o executivo principal, fis-calizar e avaliar o desempenho da gestão e executar auditorias de forma inde-pendente, refletindo, assim, as boas práticas da governança corporativa e tem como objetivo os princípios vistos na seção 4.
e personalizadas, para ajudar na sua gestão de forma mais inteligente. No en-tanto, para que isto se torne uma realidade é necessário que o planejamento estratégico da área de Tecnologia da Informação esteja alinhado ao planeja-mento estratégico do negócio de forma coerente. A área de TI deve trabalhar com seus esforços voltados para as ações que possam agregar valor ao negócio da empresa, sendo flexível para acomodar as frequentes mudanças, antecipar informações, simular cenários e avaliar tendências.
O alinhamento da área de TI com a área de negócio é o ingrediente principal para a criação da governança de TI sob a guarda da governança corporativa.
A Governança Corporativa nos apresenta a sua importância para a organi-zação e para os investidores nas empresas e mostra que, em conjunto com o planejamento estratégico de TI alinhado ao negócio, influencia diretamente a estruturação da governança de TI.
Várias práticas de governança em outras áreas, como a governança finan-ceira, podem oferecer guias gerais na construção de uma governança de TI. Por exemplo, o Chief Financial Officer (CFO – Diretor Financeiro) delega autorida-de e especifica quem poautorida-de assinar os cheques, os valores limites para cada fun-ção na empresa, quem pode realizar pagamentos, quais os valores, tudo isto para estabelecer uma governança financeira. Ele também administra o fluxo de caixa da empresa e avalia riscos. Este formato de delegação e controle, com dis-tribuição de tarefas e responsabilidades pode e deve ser utilizado para modelos de governança de TI.
A governança de TI pode ser definida como (WEILL e ROSS, 2006):
“A especificação dos direitos decisórios e do framework de responsabilida-des para estimular comportamentos responsabilida-desejáveis na utilização de TI”.
Assim, a governança de TI determina os tomadores de decisão, como, por exemplo, quem decidirá sobre o investimento em TI e qual o valor do investimento.
A governança de TI também deve abordar as seguintes questões (WEILL e ROSS, 2006):
• Quais decisões devem ser tomadas para garantir a gestão e o uso eficazes de TI?
• Quem deve tomar essas decisões?
O IT Governance Institute (ITGI) descreve a governança como:
“Responsabilidade dos executivos e da alta direção que consiste na lide-rança, em aspectos estruturais organizacionais, em processos que garantam que a TI da organização fornece suporte e aprimore objetivos e estratégias da empresa.”
Assim, outras questões devem ser debatidas e respondidas como:
Como a empresa consegue implementar controles na área de TI de forma que TI entregue as informações que a empresa precisa?
Como a empresa gerencia os riscos e garante a segurança dos recursos de TI dos quais é tão dependente?
Como a empresa assegura que a área de TI atinja seus objetivos e atenda ao negócio?
O ITGI é um Instituto criado em 1998 para melhoria e controle de padrões internacio-nais sobre tecnologia da informação nas empresas.
Por sua vez, a governança de TI deverá ser vista como parte da governança corporativa de forma que agregue valor ao negócio e vise:
• Manter a TI ainhada ao negócio;
• Implementar medidas para a continuidade do negócio em caso de falhas ou interrupções;
• Incluir marcos regulatórios externos como o SOX, que já citamos.
A ISO 38500:2009, fundamentada nos princípios de Responsabilidade, Estratégia, Aquisições, Desempenho, Conformidade e Comportamento Humano, é a norma da International Organization for Standardization (ISO –
franca. A equidade reporta-se ao tratamento justo e igualitário entre os stake-holders. A prestação de contas (Accountability) remete a informação clara so-bre todos os atos praticados pelos executivos; e a responsabilidade corporativa zela pela sustentabilidade da companhia e sua perpetuação.
A Governança de TI tem como objetivo principal armazenar, processar e disponibilizar informações com qualidade e segurança, atendendo a tríade Confidencialidade, Integridade e Disponibilidade (CID).
Com os princípios revistos, a implantação da governança deve estar arti-culada com a gestão estratégica e com os papeis e responsabilidades de cada entidade bem definidas. A definição de papeis, elenca o responsável (CEO) ou responsáveis (CIO e ou CFO) pelas tomadas de decisões, e a definição dos me-canismos que serão articulados.
Uma das responsabilidades da Governança de TI é avaliar os valores dos stakeholders para o consenso, direcionando ações de valor para o negócio. Veja na imagem abaixo: Stakeholder Estratégia Processos Recursos: • Desempenho • Informação • Capacidade Resultados • Desempenho • Resultado • Riscos Direciona valor Responsabilidade da Governança de TI Confirmam ou mudam Direciona Utilizam Medem Reportam Melhoram
Figura 1.4 – Responsabilidades da Governança de TI. Fonte: Material Estácio WebAula.
Utilizando as estratégias descritas acima, há um direcionamento na utiliza-ção dos processos com os resultados mensurados e analisados, é possível ade-quar ou confirmar o uso das estratégias disponíveis para o fluxo dos processos.
1.9 Ciclo da Governança de TI
O “Ciclo da Governança de TI”, é composto por 4 etapas: 1. Alinhamento estratégico e Compliance
2. Decisão
3. Estrutura e Processos
4. Medição de desempenho da TI
Veja como o Ciclo é representado na imagem abaixo (FERNANDES e ABREU, 2008): 1 2 3 4 Decisão, compromisso, priorização e alocação de recursos Estrutura, processos
operações e gestão desempenhoMedição do Alinhamento
estratégico e
compliance
Ciclo da Governança de TI
Figura 1.5 – Ciclo da Governança e TI. Fonte: Material Estácio WebAula.
1. Alinhamento Estratégico e Compliance trata de que o planejamento estra-tégico da TI estejam alinhadas as estratégicas da organização considerando seus produtos e segmento de atuação, cumprindo as normas legais e regulamentares, as politicas e diretrizes estabelecidas evitando qualquer desvio ou inconformidade.
2. Decisão, Compromisso, priorização e alocação de recursos trata das responsabilidades pelas decisões envolvendo a TI, respondendo por quem, o
1.10 Balanced Scorecard
O Balanced Scorecard (BSC) é um método usado pelas organizações para a im-plantação das estratégias estabelecidas. Usando o BSC é possível desenhar um mapa estratégico para interpretar a missão e visão da organização e criar mé-tricas de desempenho a partir desse alinhamento estratégico. O BSC tem sua métrica alinhada a quatro requisitos, relacionando-as, dessa forma, qualquer medida escolhida deve estar articulada a uma cadeia de relações de causa e efeito proporcionando melhoria no desempenho financeiro.
Financeiro
Para ter sucesso financeiramente, como nós devemos aparecer para os nossos investidores? Aprendizado e Crescimento
Para alcançar nossa visão, como sustentar a
habilidade de mudar e progredir?
Cliente
Para alcançar nossa visão, como devemos
ser vistos pelos clientes Processos Internos Para satisfazer os clientes, em quais processos devemos nos sobressair? Visão e Estratégia
Figura 1.6 – Perspectivas do BSC. Fonte: Material Estácio WebAula
O objetivo no BSC é alcançado pelas seguintes ações e respostas às questões: • Integração da Visão: onde queremos chegar? Com a estratégia definida o que fazer para alcança-la?
• Articular com o setor Financeiro: como ter e mostrar ter sucesso financeiro? • E com os clientes: Como devemos ser vistos pelo cliente?
• Integração da Visão: onde queremos chegar? Com a estratégia definida o que fazer para alcança-la?
• Articular com o setor Financeiro: como ter e mostrar ter sucesso financeiro? • E com os clientes: Como devemos ser vistos pelo cliente?
• Revendo os processos internos: Quais processo/ações são mais atraentes aos clientes?
• Usando o Aprendizado e crescimento: usar as experiências para mudar e progredir. • Esclarecer e traduzir a visão e a estratégia, esse método também contribui para a construção de consensos entre os gestores e sobre a visão e estratégia da organização.
Atender as demandas dos quatro requisitos possibilita o ajuste continuo da estratégia. A busca constante por resposta, permite levantar mensuras simul-taneamente financeiras e não financeiras, inerentes ao sistema de informação tangível a todos os níveis da organização. Alinha os indicadores externos e os indicadores internos, compreendendo investimentos, processos, inovação, aprendizagem e crescimento; alinha os resultados do esforço passado e os in-dicadores dos desempenhos futuros; alinha inin-dicadores quantificáveis e indi-cadores subjetivo de desempenho.
Na perspectiva Financeira o que normalmente se vê é a estratégia de cres-cimento, rentabilidade e risco do negócio. Os objetivos financeiros servem de foco para as perspectivas seguintes do BSC. Na perspectiva do Cliente, busca-se alinhamento de resultados, proporcionando satisfação, fidelidade, capta-ção e lucratividade. Já na terceira perspectiva vem os Processos Internos, onde ocorre uma análise dos processos mais críticos, levando em consideração as duas primeiras perspectivas. A última perspectiva, denominada Aprendizado e Crescimento, oferece sustentação, suporte à mudança, e inovação e o cres-cimento organizacional para as três primeiras perspectivas alcançarem seus objetivos.
rela-Perspectivas do Mercado e dos Clientes:
• Participação no Mercado: Qual a representatividade (%) das vendas da empresa no mercado.
• Fidelidade: Percentual de clientes regulares.
• Conquista de Novos Clientes: Número de clientes novos por segmento e quanti-dade de vendas a estes clientes.
• Insatisfação: Quantidade (%) de clientes que apontaram itens que influenciaram negativamente em suas decisões de compra.
• Satisfação: Percentual de clientes declarados satisfeitos.
• Informação: Intensidade com que o mercado potencial recebe informações positivas da empresa.
• Imagem: Percentual de pessoas com visão positiva da empresa. • Conhecimento: Lembrança da marca (ou produtos). Percentual.
• Valor Relativo do Produto ou Serviço: Outros valores associados aos produtos/ serviços como pontualidade, qualidade, atendimento, etc.
• Manifestações dos Clientes: Reclamações e devoluções registradas e procedentes. • Relacionamento: Prazo médio para solução dos problemas com os clientes.
Perspectivas Financeiras:
• Valor Econômico Agregado: Valor dos bens produzidos depois de deduzido o custo dos insumos (EVA – Economic Value Added).
• Rentabilidade sobre Patrimônio Líquido: Lucro líquido dividido pelo Patrimônio líquido. Ou seja, é um indicador de atratividade, pois indica qual o retorno sobre o pa-trimônio investido.
• Liquidez Corrente: Mede a capacidade da empresa de saldar seus compromissos imediatos. Ativo circulante dividido pelo passivo circulante.
• Crescimento de Receita: Receita no período atual dividida pela receita no período anterior
• Margem Bruta: Total das vendas menos o custo de produtos e serviços vendidos dividido pelo total das vendas. Equilibrio entre receita e despesa.
• Geração de Caixa: Saldo médio de caixa dividido pelo Total das vendas. Equilíbrio entre contas a receber e a pagar.
• Vendas: Capacidade de fazer previsões e concretizá-las. Médias das vendas reais (últimos 12 meses) dividido pela Média das Vendas Previstas (mesmo período).
Perspectivas dos Processos
• Conformidade do Produto em relação ao Padrão: Especificação determinada pelo cliente ou empresa, norma ou legislação.
• Conformidade do serviço em relação ao padrão: Entrega de serviços no prazo previsto (%).
• Produtividade: Custo real do processo dividido pelo custo ideal.
• Eficiência Operacional: % utilizado da capacidade de produção da empresa. • Conformidade do Processo Crítico: Número de não conformidades que são críti-cas para o negócio.
• Desperdício: % de materiais perdidos no processo.
• Qualidade do Planejamento: % realizado da programação de produção. • Flexibilidade: Prazo médio entre pedido e entrega.
• Análise do Processo de Inovação: Tempo do ciclo do projeto e custos em pesquisa e desenvolvimento.
Perspectivas de Aprendizado, Inovação e Crescimento
• Tempo para recuperar investimentos: Meses necessários para retorno.
• Receita de novos produtos: % de receita obtida com novos produtos ou serviços. • Conformidade do Processo: Número de não-conformidades ou alterações. • Conformidade do Projeto: Idem anterior, mas por projeto.
• Geração de Idéias: % de idéias de produtos ou serviços em relação as pessoas envolvidas nisso.
• Aceitação de Novos Produtos ou Serviços: % de novos produtos/serviços vendi-dos em relação a venda prevista.
ATIVIDADES
Com base no conteúdo apresentado neste capítulo e com base na figura abaixo, responda as seguintes questões:
Mapa estratégico da empresa XPTO
Perspectiva Financeira Cliente Processos internos Aprendizagem e Crescimento
Mapa da estratégia Objetivos - Crescimento do negócio; - Participação no mercado - Retenção do cliente; - Clientes novos - Melhorar o atendimento ao cliente; - Identificar necessidades de treinamento; - Treinar equipe;
Lucros Receitas - Lucro operacional - Market share - Percentual de retenção cliente - Percentual de crescimento vendas - Quantidade de clientes novos - Quantidade de reclamações do clientes - Produtividade individual - Crescimento do negócio; - Participação no mercado - 80% retenção clientes - ano - 10% crescimento vendas - ano - 10% clientes novos - ano - Máximo de 5% do número de clientes ativos (ano) - Aumento de 15% na produtividade individual - ano - Crescimento do negócio; - Participação no mercado
- Mudar agência de propaganda - Aumentar número de campanhas
- Implantar novo software de atendimento - Rever processo de atendimento - Oferecer bolsas de estudo - Oferecer treinamentos in company - Incentivar participação em congressos
Indicadores Metas Ações
Qualidade de serviço Excelência no serviço Competências pessoais Capacitação das pessoas
Figura 1.7 – Mapa Estratégico da Empresa XPTO. Fonte: Material Estácio WebAula.
01. Estabeleça a relação entre a Estratégia de Geração Receitas e Lucros e os indicadores apresentados.
REFLEXÃO
Como vimos neste capítulo, a Governança Corporativa é um conceito e reúne práticas para melhor atender os interesses das partes interessadas da empresa. Vimos também que a Tecnologia da Informação está intrinsicamente relacionada a isso. Neste contexto, faça uma reflexão sobre a seguinte questão: Como a Governança Corporativa e Governança de TI podem auxiliar na Gestão Empresarial e na tomada de decisões melhores?
LEITURA
Para complementar seu aprendizado sobre Governança Corporativa e Governança de TI, visite esses sites:
• COSO: http://www.coso.org • IBGC: http://www.ibgc.org.br
• Basileia II: http://www.bis.org/publ/bcbsca.htm • http://www.bacen.gov.br/?BASILEIA2
• SOX: http://www.sec.gov/about/laws.shtml
• http://www.sec.gov/about/laws/soa2002.pdf (texto original) • ITGI (governança de TI): http://www.itgi.org
• ISACA: http://www.isaca.org
Também sugiro a leitura de livros como:
• Balanced Scorecard: KAPLAN, Robert S.; NORTON, David P. "Mapas Estratégicos: conver-tendo ativos intangíveis em resultados tangíveis". Rio de Janeiro. Editora campus, 4ª edição, 2004.
REFERÊNCIAS BIBLIOGRÁFICAS
LAUDON, K. C.; LAUDON, J. P. Sistemas de informação gerenciais. 7. ed. São Paulo: Pearson Prentice Hall, 2007.
SARBANES, P.; OXLEY M. G. Sarbanes-Oxley Act of 2002. House of Representatives 107th Congress, 2nd session, Report 107-601. July 24th, 2002.
WEILL P.; ROSS W. J. Governança de Tecnologia da Informação. Makron Books, São Paulo, 2006. IBGC, INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA. Guia das Melhores Práticas de Governança para Fundações e Institutos Empresariais. Acesso em 01/02/2015. Disponível em: http://www.institutocamargocorrea.org.br/Documents/guia_governanca.pdf
FERNANDES A. A.; ABREU V. F. Implantando a Governança de TI: da estratégia à gestão dos processos e serviços. Brasport, 2008.
MARANHÃO, M. e MACIEIRA, M. E. B. O processo nosso de cada dia: modelagem de processos de trabalho. Rio de Janeiro - RJ: Qualitymark. 2004.
OLIVEIRA, D. D. P. R. D. Administração de Processos: conceitos, metodologia, práticas. São Paulo - SP: Atlas. 2007.
Processo de
Decisão na
Governança de
Tecnologia da
A tomada de decisão deve ser assertiva e em tempo hábil. A Governança de TI está principalmente envolvida com a tomada de decisão. Pesquisas apontam que empresas que possuem modelos eficazes de Governança de TI e com re-sultados melhores do que seus concorrentes executam de forma consistente as melhores decisões sobre a TI.
As empresas sempre estão diante do desafio de acertar na decisão tomada. Um líder poderia decidir uma ação de formal informal, como dizem “bater o martelo”. Mas em uma organização essa questão é bem mais complexa, envol-vem riscos e incertezas.
Um arranjo organizacional eficiente conta com o parecer de vários colabora-dores que contribuem com a análise da decisão, apresentando seu ponto de vista e as projeções de impacto nas áreas que atuam. É necessário a presença de lideres hábeis, aberto as criticas e sugestões, e empáticos para entender a dimensão que cada membro traz de sua vivência dentro da empresa. A tomada de decisão pode também ter a ajuda de pesquisas realizadas entre os membros internos e externos da organização. É importante que haja um escopo, um mapeamento de ações com levantamento de questões que devem ser respondidas prospectando ambiente interno, externo, relações entre os stakeholders e impactos presentes e futuros.
Nesse aspecto, algumas questões são levantadas como você pode ver nos seus objetivos sobre aprendizagem.
OBJETIVOS
Neste capítulo, você irá tomar conhecimento sobre:
1. As principais decisões que devem ser tomadas na Governança de TI. 2. O conjunto de mecanismos de Governança de TI adotados pelas empresas.
3. Quais os principais arquétipos de Governança de TI utilizados por diferentes tipos de decisão.
4. Quais os requisitos importantes para a implementação da Governança de TI. 5. Quais componentes são necessários para executar a gestão do ciclo de vida opera-cional da Governança de TI.
6. Os mecanismos de controles de uma forma geral.
7. A importância de controle no ambiente operacional de TI, comércio eletrônico, na Internet e no desenvolvimento de sistemas.
2.1 Tomada de Decisão na Governança de TI
A governança de TI aborda um conjunto de práticas que destinam o gerencia-mento, o controle e a qualidade dos processos com foco em aumento de valor para o negócio. Além das abordagens de controle de risco, as ações estratégicas envolvem toda a gestão da organização. Viabilizando ações de melhoria, bus-cando a eficiência e eficácia, integrando a tecnologia e o fluxo de informações ao objetivo de negócio da organização.
Para que a Governança de TI atue em toda a extensão da empresa, é preciso estabelecer os mecanismos de processo de decisão e o alinhamento estratégico com o negócio. A seguir, quais capacidades devam estar disponíveis:
• Estruturas formais de integração: definição dos executivos e as áreas de atuação, institucionalizar os comitês e conselhos.
• Processos formais de integração: Alinhar e documentar os procedimentos de to-mada de decisão estratégica de TI.
• Integração: Envolve o momento de tomada de decisões da TI. E acontece de várias maneiras como: integrando a área administrativa e a TI em relação ao compartilha-mento do cronograma e orçacompartilha-mento. De maneira sequencial: as decisões de negócio endereçam as tomadas de decisão de TI; De maneira reciproca, quando as decisões de negocio e TI articulam-se mutuamente, e integralmente quando as decisões de negócio e TI caminham num mesmo processo.
A norma NBR ISO/IEC 38500 (2009), trata da Governança Corporativa de Tecnologia da Informação e oferece princípios para orientar os dirigentes das organizações (incluindo proprietários, membros do conselho de administra-ção, diretores, parceiros, executivos seniores ou similares) sobre o uso eficaz,
A norma fundamenta-se em seis princípios que oferecem as diretrizes para a implantação e manutenção de Governança de TI, veja a seguir:
1. Responsabilidade: Todos os participantes da organização devem ter clareza sobre suas responsabilidades na procura e fornecimento de informa-ções na TI. A ética e a distribuição de responsabilidades devem estar claras.
2. Estratégia: Diz respeito a como será realizada a abordagem na busca por mudanças de comportamentos da equipe que beneficiarão a organização. As mudanças de comportamento têm que trazer motivação ao grupo e estar integrada ao cotidiano da organização.
3. Aquisição: Definidas as responsabilidades e adotadas as estratégias, o 3º item, a Aquisição, busca identificar o que será necessário adquirir para dar andamento às estratégias em busca do comportamento almejado, pode ser através de workshops, treinamentos, vivencias, consultorias, etc. A análise e medição dos processos são importantes, pois indicam os objetivos alcança-dos, ou não.
4. Desempenho: Deve ser medido e monitorado, com metas e métricas bem definidas, para que a gestão possa avaliar os resultados obtidos e se ne-cessário, realize ações corretivas necessárias.
5. Conformidade: a adoção de comportamento ético é imprescindível para o sucesso da Governança. É fundamental atuar de forma irrepreensível em relação aos aspectos legais, estatutários, contratuais, regulatórios que envol-vem a organização, alinhando esses preceitos a adoção de uma postura trans-parente e adequada para com o mercado, a sociedade e a sustentabilidade.
6. Comportamento Humano: a busca pela melhora nas relações e no comportamento é enfatizado nesse 6º principio, ficam evidentes a importân-cia do capital humano e da integração dos grupos para o pleno desenvolvimen-to da Governança.
Veja que todos os princípios que compõe a ISO/IEC 38500:2008 priorizam a mudança comportamental daqueles que representam a organização, a TI e por conseqüência a própria organização.
Como pode ser visto na figura abaixo, a norma apresentada sugere que a Governança de TI seja pautada na implementação de planos e políticas que ali-nhem a TI aos objetivos do negócio e ficando em monitoramento do desempe-nho para avaliação da conformidade das ações com o que foi planejado e pro-postas que avaliem constantemente as ações implementadas.
Pressões do negócio
Processos do Negócio
Planos Políticas Propostas
Desempenho Conformidade Necessidades do negócio Governança corporativa de TI Projetos TI Operações TI Dirigir Monitorar Avaliar
Figura 2.1 – A Governança de TI e a relação com as ações da Empresa. Fonte: Material Estácio WebAula.
Sobre os princípios da boa governança de TI, a empresa precisa abordar al-gumas questões para obtê-la (WEILL e ROSS, 2006):
• Quais decisões devem ser tomadas para garantir a gestão e o uso eficazes da TI?
• Quem deve tomar essas decisões?
2.2 Capacidades e Processos sobre Direitos
Decisórios
Cada decisão deve considerar Investimentos em TI, Princípios da TI, Arquitetura, Necessidades de Aplicações de Negócios e Estratégias de Infraestrutura de TI:
• Investimentos em TI: Escolhendo quais iniciativas financiar e quanto gastar. Weill e Ross (2006) apresentam três dilemas enfrentados nas decisões sobre investimentos em TI: quanto gastar, em que gastar e como conciliar as necessidades de diferentes grupos de interesse. Nenhum framework ou análise substitui uma direção estratégica clara. Uma vez entendidos os objetivos de negócio, investimentos em TI costumam gerar retornos significativos.
• Princípios da TI: Uma vez definidos, os princípios de TI tornam-se parte do vocabu-lário da empresa e podem ser discutidos, apoiados, aprimorados ou recusados. Assim, para saber se a TI e a administração estão em acordo é só analisar a integração entre os setores e a fluidez das atividades. A TI é uma boa ferramenta para exercitar a or-ganização das tarefas e educar os executivos sobre as estratégias tecnológicas e as decisões de investimento em tecnologia. Os princípios trazidos pela TI estabelecem uma cultura empresarial voltada para as politicas, normas e diretrizes. Algumas ações estimuladas pela TI são habilitar o negócio, assegurar a integridade das informações, criar uma visão comum entre os clientes, administrar a TI como investimento. Os prin-cípios de TI devem refletir um comportamento adequado tanto para os profissionais quanto para os usuários de TI. Os princípios de TI devem esclarecer pelo menos três expectativas para a TI na empresa (WEILL e ROSS, 2006):
– Qual é o modelo operacional desejado na empresa? – Como a TI dará suporte ao modelo desejado? – Como a TI será financiada?
Veja que as duas primeiras questões são para esclarecer o formato que a empresa deve desenvolver produtos e serviços, antecipando ações futuras. Já a terceira questão busca estabelecer as regras direcionadas aos investimentos em TI.
• Arquitetura: Para que a arquitetura de TI seja eficiente e responda as demandas do projeto, é necessário:
– A definição dos requisitos de intergração e padronização dos processos na em-presa.
– Adotar a organização lógica dos dados, aplicações de infraestrutura, definida a partir de um conjunto de politícas, relacionamentos e opções técnicas adotadas para obter padronização e integração do negócio almejado.
– As decisões sobre a arquitetura de TI são fundamentais tanto para a gestão quanto para a boa utilização de Tecnologia da Informação.
– A integração e a padronização moldam a capacidade de TI.
• Necessidades de aplicações de negócios: Mesmo que todas as decisões de TI envolvam o valor de negócio da Tecnologia da Informação, são as necessidades de aplicações desse negócio que geram valor diretamente. Para articular essas neces-sidades é preciso uma boa dose de criatividade aliada à disciplina. Enquanto que a criatividade busca inovação, a disciplina sustenta que a inovação pretendida, não irá contrariar os princípios da arquitetura adotados pela empresa.
• Estratégias de infraestrutura de TI: A base do planejamento de TI esta em de-terminar os serviços compartilhados e os serviços de suporte. Tanto a parte técnica quanto à humana devem estar disponíveis para que os serviços sejam compartilhados e confiáveis. Investimentos excessivos ou errados aparecem como desperdício humanos e não humanos, causando atrasos e imcompatibilidades entre sistemas. Já a empresa com investimento reduzido, abaixo do que seria necessário, trabalha com implanta-ções apressadas a fim de atender prazos, por exemplo automação local sem integração com o restante da empresa, e compartilhamento restrito de recursos. Esses exemplos ajudam a ilustrar a responsabilidade que o gestor de TI tem em mãos, pois a falta de requisitos e recursos comprometem todo o trabalho e principalmente a imagem da equipe de TI, mesmo que essa equipe tenha se esforçado para atender o que lhes foi pedido, não souberam impor seu conhecimento e análise para argumentar sobre as melhores decisões. Em contrapartida a organização que entende e é convencida das reais necessidades de investimento em infraestrutura, terá seu investimento retornado em forma de valor, imagem e agilidade.
A tabela a seguir resume os pontos vistos.
PRINCIPAIS DECISÕES SOBRE A GOVERNANÇA DE TI
Decisões sobre os princípios de TI
Declarações de alto nível sobre como a TI é utilizada no negócio
Decisões sobre a arquitetura de TI
Organização lógica de dados, aplicações e in-fraestruturas, definidas a partir de um conjunto de políticas, relacionamen-tos e opções técnicas adotadas para obter a padronização e a integra-ção técnica e de negócio desejadas.
Decisões sobre a infraestrutura de TI
Servições de TI coorde-nados de maneira cen-tralizada e compartilha-dos, que promove a base para a capacidade de TI da empresa.
Decisões sobre os investimentos e a
prioridade da TI
Decisões sobre quanto e onde investir em TI, in-cluindo a aprovação de projetos e as técnicas de justificativas. Necessidades de aplicações de negócio Especificação da neces-sidade de negócio de aplicações de TI, adqui-ridas no mercado ou de-senvolvida internamente.
O uso de arquétipos identifica o tipo de cada função envolvida na tomada de decisões de TI:
• Monarquia de Negócios: Altos executivos de negócio tomam as decisões de TI que afetarão toda a empresa.
• Monarquia de TI: A decisão é tomada pelos especilistas de TI.
• Feudalismo: As decisões são tomadas pelas unidades de negócio da empresa de forma independente.
• Federalismo: Há uma combinação das unidades de negócio com uma central corpo-rativa podendo ou não haver envolvimento do pessoal de TI.
• Duopólio de TI: A decisão envolve dois grupos, sendo um deles os especialistas de TI e outro grupo pode ser formado por líderes da unidade de negócio ou gerentes executivos.
• Anarquia: A tomada de decisão é individual ou feita de forma isolada por pequenos grupos com base em necessidades locais.
Assim, através de uma matriz de relacionamento entre as decisões e os ar-quétipos é possível enumerar quem deve tomar a decisão de TI em diferentes situações. No entanto, há o constante desafio das empresas em identificar quem será o responsável por cada tipo de decisão de governança. Essa matriz recebe o nome de Matriz de Arranjos de Governança (WEILL e ROSS, 2006).
No artigo intitulado “Governança de Tecnologia da Informação: um estudo do processo decisório em organizações públicas e privadas” foi desenvolvida uma pesquisa com 44 gestores da área de TI da cidade de Natal. Eram gestores de organizações públicas e privadas.
Mo-MA
TRIZ DE ARRANJOS DE GOVERNANÇA – QUAIS ARQUÉTIPOS DE GOVERNANÇA
SÃO USADOS POR DIFERENTES TIPOS DE DECISÃO?
Decisão Arquétipo Princípios de TI Arquitetura de TI Estratégia de Infraestrutura de TI Necessidades de aplicação de negócio Investimentos em TI Monarquia de negócio
Monarquia de TI Feudalismo Federalismo
Duopólio
Não se sabe
Princípios de TI
Arquitetura de TI
Estratégias de infraestrutura Necessidades de aplicações de negócio
Investimentos em TI Público Privado Público Privado Público Privado Público Privado Público Privado 0,0% 12,0% 0,0% 6,0% 5,6% 12,0% 5,6% 20,0% 11,1% 32,0% 50,0% 40,0% 72,2% 60,0% 61,1% 68,0% 44,4% 32,0% 33,3% 16,0% 5,6% 8,0% 5,6% 8,0% 0,0% 4,0% 0,0% 12,0% 0,0% 4,0% 5,6% 8,0% 0,0% 0,0% 5,6% 0,0% 5,6% 0,0% 0,0% 4,0% 27,8% 32,0% 5,6% 12,0% 11,1% 12,0% 33,3% 28,0% 38,9% 28,0% 11,1% 8,0% 16,7% 4,0% 16,7% 4,0% 11,1% 8,0% 16,7% 16,0%
Padrões de decisão comuns em todas as empresas pesquisadas segundo W
eill e Ross (2006)
Padrão observado na pesquisa
2.3 Framework de Governança de TI
A todo o momento a alta gerência das empresas precisa avaliar o valor dos in-vestimentos em TI e há muitas dúvidas sobre o ROI (retorno sobre investimen-to) gerado. Muitos sistemas implementados não geram retorno compatível, ou não aprimoram os processos, gerando apenas aumento de despesas anuais sem justificativas. Muitas vezes, ocorrem até interrupções nas operações por sistemas mal implementados. O que vemos com frequência no mercado, atual-mente, é a terceirização da área de TI adotando modelos de Cloud Computing como:
• HaaS: Hardware as a Service (Hardware como Serviço) é uma forma de disponibili-zar recursos de hardware para que emrpesas possam contratá-los via locação, sem se preocupar em tê-los disponíveis localmente.
• SaaS: Software as a Service (Software como Serviço) é quando o cliente não precisa se preocupar com instalação de softwares, configurações de rede, servidores, licenças de programas. O fornecedor do serviço cobra uma taxa de uso para disponibilizar o ser-viço e dar o suporte necessário. O software pode funcionar 100% pela Internet ou ter alguma instalação local. Exemplos disto são Webmails como Gmail, Ymail ou pacotes como o Office 365.
• PaaS: Platform as a Service (Plataforma como Serviço) é um ambiente de compu-tação em camadas e soluções como serviço. É parecido com o SaaS, mas ao invés de software entregue pela Internet oferece um ambiente para criação, hospedagem e controle de software. Possui uma série de recursos para escalabilidade, segurança integrada e integração com outros serviços Web. Exemplos são o Google AppEngine e o Force.com da SalesForce.
• IaaS: Infrastructure as a Service (Infraestrutura como Serviço) é uma forma de entregar toda infraestrutura de servidores, armazenamento, serviços de backup, e outros, numa combinação entre nuvens públicas e privadas. Possui alta escalabilidade e ferramentas com monitoramento avançado. Exemplos são o EC2 da Amazon e o Azure da Microsoft.
No entanto, muitas vezes, a grande questão da empresa são mecanismos de governança mal concebidos ou mal gerenciados e não necessariamente ques-tões isoladas de Tecnologia da Informação.
Como pode ser visto na figura, um framework de governança deve buscar a harmonização entre a estratégia e a organização da empresa, os arranjos de Governança de TI e as metas de desempenho de negócio.
A estratégia e a organização da empresa definem comportamentos espe-rados que motivam a governança. As empresas criam arranjos de governança para cada um de seus ativos, habilitando e influenciando a estratégia. Os arran-jos de governança atribuem direitos decisórios para as decisões de cada ativo. O desempenho das ações é medido por métricas obtidas nos sistemas e geren-ciamento de TI e alinhados às decisões de governança.
Governança de Relacionamentos Governança de Ativos Físicos Governança de PI Propriedade Intelectual Governança de RH Governança Financeira Arranjos de Governança TI Metas de Desempenho do Negócio Métricas e responsabilidades de TI Mecanismos de Governança de TI Decisõesde TI Estratégia e Organização da Empresa Organização de TI e comportamentos desejáveis
Figura 2.2 – Framework de Governança em TI. Fonte: Material Estácio WebAula
A implementação da Governança de TI é pautada em três aspectos: • Abordagens de Comunicação: visa disseminar os princípios e políticas de governança de TI, além dos resultados dos processos decisórios. É feita por comunicados e canais internos diversos.
• Estruturas de Tomada de Decisão: compreende as unidades e papéis organizacionais que visam a tomada de decisão de TI como os comitês, as equipes executivas e os
De acordo com (FERNANDES e ABREU, 2008) o planejamento do Programa de Governança de TI deve adotar conceitos de Gestão de Projetos e Programas contendo:
• Escopo do Programa com a lista de processos a serem implementados; • Sequência de implantação dos processos, considerando precedência dos processos;
• Cronograma para implantação dos processos; • Plano de recursos estimado para o Programa; • Serviços a serem adquiridos;
• Orçamento estimado para os projetos e o Programa; • Benefícios esperados;
• O formato de gerenciamento do Programa; • Riscos;
• A estratégia para gerenciamento de mudança; • Modelo de comunicação.
A implementação do Programa de Governança de TI necessita do emprego de uma série de técnicas baseadas nos modelos considerados como os melho-res do mercado.
Para inicio das atividades é comum a escolha pelo COBIT (Control Objectives for Information and Related Technology), como referência global para os processos de TI, após a identificação dos processos através do COBIT, deve-se escolher modelos específicos para cada processo e adaptá-los as neces-sidades da empresa. Segue a tabela que apresenta as principais ferramentas utilizadas na Governança de TI.
Já falamos sobre algumas dessas ferramentas. A Tecnologia da Informação passa agora a fazer parte de um modelo mais amplo de gestão e governança. Diversos são os modelos e frameworks existentes no mercado para as diversas funções da TI.
ISO 9000 Six Sigma Gestãode TI Governança de TI PRINCE2 PMBOK ISO 27000 ISO 17799 eSCM-SP eSCM-CL ISO 38500 ITIL ISO 20000 BS 15000 MPS.BR ISO 15504 TOGAF Risk IT controle valor CONTEXTUALIZAÇÃO
Serviços Aplicações Segurança Projetos Contratações Plan. e Estrat. Qualidade Arquitetura
COBIT CMMI SOX Val IT BSC-TI COBIT
Figura 2.3 – Os diversos Modelos e Frameworks para Governança e Gestão de TI nas Em-presas. Fonte: Material Estácio WebAula
COBIT, SOX atuam com mecanismos de controle, enquanto VAL IT e Risk IT visam avaliação de valor. O alinhamento da Governança de TI à Gestão de TI vem pelo controle dos diversos aspectos da empresa, desde os serviços ofere-cidos, até a arquitetura empresarial. Podemos citar alguns dos modelos e fra-meworks existentes:
• COBIT (Control Objectives for Information and related Technology): Governança e Controle;
• VAL IT: Investimentos em TI; • ITIL e ISO 20000: Serviço;
• CMMI e MPS BR: Engenharia de Software;
• ISO 27000 a ISO 27008: Segurança da Informação;
• TOGAF (The Open Group Architecture Framework): framework de arqui-tetura de negócio, aplicações e tecnologia;
• NBR ISO/IEC 38500: Governança Corporativa de Tecnologia da Informação
• BPM (Business Process Management): Gerenciamento de Processos de Negócio;
• SAS 70 (Statement on Auditing Standards No. 70 Service Organizations): Regras de auditoria para empresas de serviços.
TOGAF é um framework de arquitetura corporativa. Sugiro que leia mais sobre ele: http://www.opengroup.org/togaf/
A Implementação da Governança de TI nas empresas é um processo de lon-go prazo e visa atender diversos requisitos, como (FERNANDES e ABREU, 2008):
• Liderança para Mudança;
• Instituição de um Programa de Governança de TI; • Envolvimento dos executivos da organização; • Abordagem de Gestão de Mudança Cultural;
• Entendimento dos estágios de maturidade em que a organização de TI está; • Equipe qualificada;
• Modelo de Governança de TI;
• Verificação da satisfação aos objetivos pretendidos pela Governança de TI; • Atacar vulnerabilidades principais;
• Implementar marketing interno para a TI.
A recomendação para o fortalecimento das ações estratégicas em TI é que as equipes sejam permanentes, com funções bem distribuídas, em organizações de grande porte, normalmente, há uma área especifica para a Governança de TI, como um departamento ou Gerência. Já nas empresas de menor porte a Go-vernança de TI tem suas atividades exercidas por uma equipe temporária, que se forma sob demanda, atuando em diferentes frentes, como medindo os bene-fícios alcançados, e em outro momento verificando as melhorias em processos.
O apoio da alta gestão da organização é fundamental para o sucesso da Go-vernança de TI. O desafio é conduzir as mudanças necessárias, fazendo enten-der que é preciso alterar a estrutura e a forma da atuação da TI. É importante que a empresa perceba a Governança de TI como um benefício e não uma buro-cracia. Não se consegue alcançar o sucesso na Governança de TI sem o amparo da alta gestão da empresa e sem a participação do corpo funcional.
CONEXÃO
Veja, por exemplo, os Mecanismos de Governança de TI do Tribunal de Contas da União (TCU) – acesso em 05/02/2015:
http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/governanca_ti/meca-nismos_governanca_ti
2.4 Controles para Governança de TI
Vamos analisar como funciona um sistema que serve como modelo para ex-plicar o funcionamento de um controle de forma geral. Existe um padrão que é ajustado para o valor desejado como, por exemplo, um ar condicionado, a temperatura solicitada é de um ambiente em 22°, aciona-se 22°, um sensor fica verificando a temperatura real do ambiente. A temperatura desejada e a temperatura real são comparadas através de um dispositivo de comparação e, caso haja diferença significativa além da tolerável, o dispositivo de comparação envia um sinal para que alguma ação seja tomada. Este ciclo se repete até que alguma ação seja tomada de forma que o padrão e o sensor possam apresentar uma diferença insignificante para o dispositivo de comparação.
Na empresa os controles acontecem em todos os níveis da organização. A figura a seguir, apresenta algumas ferramentas de controle administrativo bas-tante usado: Administração superior Gerência intermediária Gerência inferior - Estrutura organizacional - Comitês de estrutura - Gratificações - Orçamento - Hierarquia administrativa - Procedimentos - Supervisão - Auditorias - Hierarquia administrativa - Supervisão - Comitês examinadores
Figura 2.4 – Controle na Organização. Fonte: Material Estácio WebAula.
O Controle é realizado através dos cargos de supervisores, gerentes e admi-nistradores. Observe que na base da pirâmide aparece a gerência inferior com diversos procedimentos para indicar como as operações serão realizadas.
As auditorias regulares estão presentes como forma importante de controle. E a hirerquia administrativa estão bem definida.
Na 2ª camada da pirâmide, observe que os gerentes intermediários utilizam o orçamento como forma de controle. A gerência analisa os relatórios demons-trativos de orçamento, analisam o desempenho em relação às metas e em fun-ção dos resultados e controlam os gastos, exercem ainda supervisão sobre seus subordinados e sempre que necessitam utilizam dessa hierarquia para obter informações que não lhe estão acessíveis diretamente. Muitas vezes, os geren-tes intermediários formam comitês organizadores para manter maior controle sobre a gestão.
Como podemos ver, na camada mais alta da figura há Administração Su-perior que pode usar a estrutura da empresa para delegar as responsabilida-des aos seus subordinados. Os subordinados delegam responsabilidaresponsabilida-des aos outros até envolver todos os níveis gerenciais. Esta forma de distribuição em pirâmide permite a distribuição de responsabilidades com cobrança direta a
2.5 Controle no Desenvolvimento de
Sistemas
Em poucos anos assistimos uma evolução nos sistemas de controle, os siste-mas de informação automatizados contribuíram significativamente para o au-mento de controle. Principalmente, se considerarmos os dispositivos que tro-cam as informações em tempo real. Ainda é possível integrar vários sistemas através do conceito de Serviços (Web Services)
Todas as facilidades criam possibilidades, mas também novos desafios, no-vos problemas de controle surgem, principalmente quando se trata de sistemas maiores.
Os grandes sistemas dificilmente terão um responsável capaz de atuar de forma integral em todos os quesitos como sistemas e controles. Para esses grandes sistemas será preciso que se tenham novos controles como, por exem-plo, a segregação de uso através da criação de perfis.
2.6 Controle de Operações
Você se lembra do BUG do milênio?
Aproximando-se do ano 2000 houve muitas especulações, não se sabia como os computadores iriam se comportar a partir de 01/01/2000. O fato é que na época haviam muitos sistemas antigos que, para economizar espaço (o custo de armazenamento de informação era caro), memorizavam apenas as duas posições finais do ano. Como exemplo, o ano de 1999 era lido apenas com os dois últimos dígitos 99. A lógica era bastante simples e toda vez que chegava o final do ano se adicionava 1 ao ano corrente para se obter o ano
