I WORKSHOP FNCC
Governança da TI
Mário Sérgio Ribeiro
Sócio-Diretor
mario.ribeiro@enigmaconsultoria.com.br
(11) 2338-1666 (11) 9-9845-7396
OBJETIVO
Apresentar a Enigma
Consultoria;
Falar sobre a Governança
da TI.
Sócio-Diretor da Enigma -
Mário Sérgio Ribeiro• Engenheiro. Mestre em Segurança da Informação pela USP; • Pós-graduado em Computação e Gerência de Projetos;
• Certificado Internacional como Auditor Líder ISO 27001; • Professor da FIA-USP;
• Instrutor da ANBIMA;
• Membro da ACFE e de diversos comitês de normas da ABNT; • 33 anos de experiência em Segurança da Informação, GCN,
Riscos Operacionais, Fraudes Corporativas e TI;
• Mais de 200 projetos concluídos na carreira; • 24 anos de experiência acadêmica;
• Sócio-Diretor da Enigma Consultoria; • Ex CSO do Grupo Pão de Açúcar;
• Outras passagens de sucesso: Grupo Itaú, Alpargatas e CPM; • Palestrante do CNASI desde 2002;
•Segurança da Informação;
• Plano da Continuidade de Negócios;
• Riscos Operacionais;
• Prevenção, Detecção e Investigação de Fraudes;
• Mapeamento e Gestão de Processos;
• Tecnologia da Informação; e
• Auditoria.
MISSÃO
Proporcionar valor por meio de
conhecimento, conteúdo,
comportamento e habilidades
para ajudar nossos clientes a
melhorar sua situação, em troca
de uma remuneração definida
de comum acordo.
COMO?
• Ajudando o cliente a
entender suas necessidades
;
• Definindo claramente
o que é escopo e o que não é escopo
do projeto
;
• Propondo soluções compatíveis com o orçamento, prazo e
resultados que são esperados;
• Trabalhando com
mão de obra experiente em todo o
cronograma do projeto
;
O que se fala da TI?
• Nenhuma empresa hoje vive sem a TI. Impossível!
• Como atividade meio de uma empresa, sem dúvida, é a mais
importante;
• Entretanto, como atividade técnica, é difícil o seu
entendimento ao leigo;
• Se não entrega o Valor que é desejado e que se tem
expectativa, pode ser “elogiada” como uma atividade cara para
a empresa;
• Quando não existe planejamento e gestão, seus compromissos
não são cumpridos, o que aumenta o desapontamento;
• Como custodia a informação (item vital) a segurança é fator
estratégico.
O que se espera?
• Como qualquer outra atividade da empresa, que tenha um
Planejamento eficaz de seus recursos;
• Que esteja devidamente organizada em Processos de TI;
• Que entenda as Necessidades do negócio e fale a linguagem do
mesmo;
• Que o que promete entregar, entregue no Prazo combinado, no
Valor orçamentário acertado e na Qualidade exigida;
• Que seus profissionais entendam que por certo em uma área
técnica e complexa, precisam sempre funcionar como consultor
e assessor das outras áreas da empresa;
• Que precisa medir seu desempenho e resultados par comparar
e melhorar continuamente.
COMO?
• Planejamento;
• Execução;
• Gestão; e
• Governança
GOVERNANÇA DA TI
GOVERNANÇA CORPORATIVA E SEUS PRINCIPAIS ATIVOS
O QUE É A GOVERNANÇA DE TI?
Governança de TI é a responsabilidade de executivos e
conselho de diretores. É uma parte da governança
corporativa e consiste da liderança, estruturas
organizacionais e processos que assegurem que a TI das
organizações suportem e estendam as estratégias
organizacionais e seus objetivos.
O FATOR CRÍTICO DE SUCESSO É...
A efetiva comunicação entre todas as partes baseada
em relações construtivas, uma linguagem comum e um
Comitê participativo para endereçar as questões.
A Proposta da GTI é direcionar os esforços de TI para
assegurar que a performance de TI reúna os seguintes
objetivos:
• Alinhamento de TI com a empresa e a realização dos benefícios
prometidos;
• Uso da TI para habilitar a empresa a explorar oportunidades e
benefícios;
• Uso responsável dos recursos de TI;
• Apropriado gerenciamento dos riscos relacionados com TI.
Interação dos Objetivos e Atividades de TI
oriunda da perspectiva da GTI
Em resposta a direção recebida, as funções de TI
necessitam focar em:
• Alcançar o prometido pelo aumento da automação e
tornando a empresa mais eficaz;
• Diminuição dos custos e tornando toda a empresa mais
eficiente;
• Gerenciando os riscos (segurança, confiabilidade e conformidade)
O Arcabouço de GTI pode ser completado olhando a figura a seguir:
GOVERNANÇA DA TI
POR QUE A GTI É IMPORTANTE?
Com o crescimento da importância da TI nos negócios da
empresa, a Governança necessita prestar atenção em TI, revendo
como fortemente a empresa depende de TI e como TI é crítica
para a execução das estratégias de negócios. Isso desde que:
• TI é crítica em suportar e habilitar as metas da empresa
• TI é estratégica para os negócios (crescer e inovar)
POR QUE A GTI É IMPORTANTE?
Poucos Boards tem focado em TI, apesar de envolver elevados
investimentos e altos riscos. Por que é assim?
Entre as razões temos:
•
TI requer mais conhecimento técnico do que outras disciplinas para entender a empresa e criar riscos e oportunidades;• TI tem sido tradicionalmente tratada como uma entidade separada dos
negócios;
• TI é complexa, bem mais que as operações da empresa em uma economia
em rede.
POR QUE A GTI É IMPORTANTE?
A ineficácia da GTI tem provavelmente uma causa na origem das
experiências negativas que muitos Boards tem tido com a TI:
•
Perda de negócios, danos na reputação ou posicionamento competitivo fragilizado;• Prazos de entrega não cumpridos, alto custo em relação às expectativas e baixa qualidade sobre o prometido;
• A eficiência da empresa e os processos de negócios Core da empresa são impactados negativamente pela pobre qualidade das entregas de TI;
• Falhas nas iniciativas de TI para entregar inovação ou entregar os benefícios prometidos.
O QUE A GTI COBRE?
Fundamentalmente, a GTI está concentrada sobre duas coisas:
• Valor da Entrega de TI para os negócios; • Mitigação dos Riscos de TI
O primeiro é direcionado pelo alinhamento estratégico de TI com os negócios. O segundo é direcionado pela responsabilidade embutida na empresa.
-> Ambos necessitam ser suportados por adequados recursos e
medidas para assegurar que os resultados são obtidos.
Isso acena para as
5 principais Áreas Foco da
GTI.
Duas delas são efeitos: Valor da Entrega e
Gerenciamento do Risco
Três delas são direcionadores:
- Alinhamento Estratégico
- Administração de Recursos
- Medição da Performance
ANALISANDO AS CINCO ÁREAS DA GTI
1. Alinhamento Estratégico (
focando no alinhamento com os negócios e soluções colaborativas).2. Valor da Entrega (
concentrando no gasto otimizado e fornecendo o valor de TI).3. Gerenciamento do Risco (
endereçando a segurança dos ativos de TI e a Recuperação de Desastre).A universal necessidade para demonstrar a boa governança corporativa para acionistas e clientes é o direcionador para aumentar as atividades de
gerenciamento do risco em grandes organizações.
Efetivo Gerenciamento do Risco:
- Inicia com um claro entendimento do apetite da empresa pelo risco;
- Uma sessão de brainstorming no alto nível identificando as exposições da empresa;
- Definir estratégias para gerenciamento desses riscos: . Mitigando – implementar controles
. Transferindo – contratando seguro com empresa do mercado de seguros . Aceitando – Formalmente reconhecer que o risco existe e monitorá-lo.
“ Eu não posso imaginar qualquer condição a qual possa causar o afundamento desse navio. Eu não
posso conceber que qualquer desastre vital aconteça com esse navio” (Capitão do Titanic – 1912)
4. Gerenciamento dos Recursos
(otimizando conhecimento e infraestrutura) A chave do sucesso para a performance de TI é o investimento otimizado, uso e utilização dos recursos de TI (pessoas, aplicações, tecnologia, infra e dados) em serviço das necessidades da empresa.O Board necessita endereçar os investimentos apropriados em infraestrutura e capacitação para garantir que:
- As responsabilidades com respeito aos sistemas e serviços de TI são entendidos e aplicados;
- Métodos apropriados e adequadas habilidades existem para gerenciar e suportar os sistemas e projetos de TI;
- Investimento e planejamento da melhoria da força de trabalho existem para garantir o recrutamento adequado e, mais importante, retenção de competência do staff de TI
- Educação, treinamento e desenvolvimento em TI necessitam ser identificado e endereçado por todo o staff
5. Medição da Performance
(trilhando a entrega de projetos e monitorando os serviços de TI)A ideia da criação de valor tem mudado dos ativos tangíveis para intangíveis, e ativos intangíveis geralmente não são medidos dentro do tradicional significado financeiro. O Balanced Scorecards traduz estratégia em ação para se alcançar metas com um sistema de medição de performance.
QUAIS QUESTÕES DEVEM SER FEITAS?
Essas questões devem ser focadas em três objetivos:
Objetivo 1: Questões não cobertas por TI
• Quantas vezes os projetos de TI falharam para entregar o que foi prometido?
• Estão os usuários finais satisfeitos com a qualidade dos serviços de TI?
• Os recursos de TI, infra-estrutura e disponibilidade de competências são suficientes para encontrar os objetivos estratégicos?
• Qual tem sido a média de horas extras do orçamento operacional de TI? Quantas vezes e quanto os projetos de TI estiveram acima do
orçado?
Objetivo 2: Para Decidir Como Administrar o
Endereçamento das Questões de TI
• Como bem estão alinhados os objetivos da empresa com TI? • Como está sendo medido o valor entregue por TI?
Objetivo 2
:Para Auto avaliar as práticas de GTI
• O Board regularmente sintetiza os riscos de TI os quais a empresa está exposta?
• TI é um item regular na agenda do board e está endereçada de forma estruturada?
COMO É ACOMPANHADO?
Um conjunto de ferramentas para implementar uma eficaz
Governança de TI, consiste de vários elementos:
Atividades:
compreende ações que devem ser conduzidas para o exercício das responsabilidades da GTI e os assuntos compreendem aqueles itens que tipicamente participam da agenda de Governança (objetivos, oportunidades,riscos, processos chaves e competências)
Resultados Medidos:
relacionado diretamente para os assuntos de GTI, como o alinhamento dos negócios e objetivos de TI, custo/benefício realizado por TI, capacidades e competências geradas e riscos e oportunidadesendereçadas.
Melhores Práticas
: compreende exemplos de como as atividades estão sendo desenvolvidas por aqueles que tem liderança estabelecida emgovernança de TI. Essas práticas devem ser classificadas para refletir as áreas de GTI para o qual eles fornecem a maior contribuição: valor entregue,
alinhamento estratégico, administração de recursos, gerenciamento de risco e/ou performance.
Fatores Críticos de Sucesso:
são condições, competências e atitudes que são críticas para ter sucesso diante das melhores práticas.Direcionadores de Performance:
fornece indicadores de como a Governança de TI é alcançada.COMO SUA ORGANIZAÇÃO COMPARA?
Para que uma eficaz GTI seja implementada, as empresas necessitam avaliar como elas estão atualmente e estar habilitada a identificar onde e como melhorias podem ser realizadas.
Os Modelos de Maturidade fornecem escalas de maturidade e uma descrição das características observáveis de cada nível:
Usando essa técnica a empresa pode:
• Construir uma visão das práticas atuais para discutí-las em workshops e comparando com modelos de exemplos;
• Ter alvos para futuro desenvolvimento considerando as descrições do modelo e comparando com as melhores práticas;
• Planejar projetos para atingir os alvos pela definição de mudanças específicas requisitada para melhoria do gerenciamento;
• Priorizar o trabalho dos projetos identificando onde ocorrerá o maior impacto e onde será mais fácil implementar.
CONCLUSÕES
1. Governança de TI deve ser integrada com a Governança
Corporativa.
2. Responsabilidades e Papéis em GTI necessitam serem
definidos
3. Um Plano de Implementação de GTI é Bem Vindo
.
Ter um framework de governança organizacional . Alinhar a estratégia de TI com as metas de negócios . Entender e definir os Riscos. Definir as áreas alvos
. Analisar a atual capacidade e identificar gaps . Desenvolver estratégias de melhorias
. Medir resultados
. Repetir os passos anteriores com regularidade