Baixe o app para aproveitar ainda mais
Prévia do material em texto
Governança de TI LUCIANA DO AMARAL TEIXEIRA 1ª Edição Brasília/DF - 2022 Autores Luciana do Amaral Teixeira Produção Equipe Técnica de Avaliação, Revisão Linguística e Editoração Sumário Organização do Livro Didático........................................................................................................................................4 Introdução ..............................................................................................................................................................................6 Capítulo 1 Governança de Tecnologia da Informação ............................................................................................................7 Capítulo 2 O Modelo de Governança de Tecnologia da Informação .............................................................................. 19 Capítulo 3 Planejamento, Implementação e Gerenciamento da Governança de Tecnologia da Informação .. 31 Capítulo 4 COBIT: Control Objectives for Information and Related Technology ...............................................................42 Capítulo 5 ITIL: Information Technology Infrastructure Library ............................................................................................56 Capítulo 6 Outros modelos de suporte à governança de TI ............................................................................................. 70 Referências .......................................................................................................................................................................... 85 4 Organização do Livro Didático Para facilitar seu estudo, os conteúdos são organizados em capítulos, de forma didática, objetiva e coerente. Eles serão abordados por meio de textos básicos, com questões para reflexão, entre outros recursos editoriais que visam tornar sua leitura mais agradável. Ao final, serão indicadas, também, fontes de consulta para aprofundar seus estudos com leituras e pesquisas complementares. A seguir, apresentamos uma breve descrição dos ícones utilizados na organização do Livro Didático. Atenção Chamadas para alertar detalhes/tópicos importantes que contribuam para a síntese/conclusão do assunto abordado. Cuidado Importante para diferenciar ideias e/ou conceitos, assim como ressaltar para o aluno noções que usualmente são objeto de dúvida ou entendimento equivocado. Importante Indicado para ressaltar trechos importantes do texto. Observe a Lei Conjunto de normas que dispõem sobre determinada matéria, ou seja, ela é origem, a fonte primária sobre um determinado assunto. Para refletir Questões inseridas no decorrer do estudo a fim de que o aluno faça uma pausa e reflita sobre o conteúdo estudado ou temas que o ajudem em seu raciocínio. É importante que ele verifique seus conhecimentos, suas experiências e seus sentimentos. As reflexões são o ponto de partida para a construção de suas conclusões. 5 ORGanIzaçãO DO LIvRO DIDáTICO Provocação Textos que buscam instigar o aluno a refletir sobre determinado assunto antes mesmo de iniciar sua leitura ou após algum trecho pertinente para o autor conteudista. Saiba mais Informações complementares para elucidar a construção das sínteses/conclusões sobre o assunto abordado. Gotas de Conhecimento Partes pequenas de informações, concisas e claras. Na literatura há outras terminologias para esse termo, como: microlearning, pílulas de conhecimento, cápsulas de conhecimento etc. Sintetizando Trecho que busca resumir informações relevantes do conteúdo, facilitando o entendimento pelo aluno sobre trechos mais complexos. Sugestão de estudo complementar Sugestões de leituras adicionais, filmes e sites para aprofundamento do estudo, discussões em fóruns ou encontros presenciais quando for o caso. Posicionamento do autor Importante para diferenciar ideias e/ou conceitos, assim como ressaltar para o aluno noções que usualmente são objeto de dúvida ou entendimento equivocado. 6 Introdução Neste livro didático, apresentaremos os conceitos relacionados à Governança da Tecnologia da Informação (TI). Para tanto, discutiremos os vários processos a ela relacionados que permitem aos profissionais dessa área gerenciar de maneira mais adequada os riscos e operar de forma mais eficiente para o benefício da organização. atenção Antes de darmos início à nossa leitura, reflita um instante sobre a palavra “governança”. Qual é o seu significado? A definição de governança que melhor se aplica ao contexto da Tecnologia da Informação diz respeito ao conjunto de medidas adotadas de modo a garantir transparência, igualdade, efetividade e eficiência na administração dos serviços e recursos relacionados à TI. A Governança de TI é um elemento da governança corporativa que busca melhorar a gestão geral de TI e obter maior retorno sobre o investimento em informação e tecnologia. Sua estruturação permite que as organizações gerenciem seus riscos de TI com eficácia e garantem que as atividades associadas à informação e tecnologia estejam alinhadas com os objetivos gerais do negócio. Ao longo deste livro didático, abordaremos temas associados aos fatores motivadores da Governança de TI, bem como seus objetivos e componentes principais. Além disso, discutiremos seu modelo mais genérico, que pode ser adequado a diferentes tipos de organização, e suas funções típicas. Em seguida, veremos de que maneira um programa de Governança de TI deve ser planejado, implementado e gerenciado de forma a garantir sua efetividade. Por fim, conheceremos alguns dos principais modelos de apoio à Governança de TI, como COBIT, ITIL, CMMI, MPS.BR, PMBOK e outros. Objetivos » Apresentar os objetivos, os componentes e o conceito da Governança de TI. » Discutir o Modelo de Governança de TI e suas diferentes áreas. » Explicar o planejamento e a implementação do Programa de Governança de TI. » Orientar sobre o gerenciamento da Governança de TI. » Examinar diferentes modelos de suporte à Governança de TI. 7 Introdução A Governança de TI (GTI) se preocupa com o controle e a supervisão dos recursos e serviços de TI. Isso demanda o alinhamento do gerenciamento e das operações com as necessidades e requisitos do negócio e a garantia de que a organização esteja em conformidade com as políticas e regulamentos internos e externos. A governança também é responsável pela visão de TI a ser adotada pela organização. Assim, ela é tradicionalmente uma responsabilidade da alta gestão, embora seja cada vez mais comum que partes dessa atividade sejam delegadas a níveis hierárquicos mais baixos. É importante ressaltar que a GTI acontece de forma separada da Gestão de TI. Na verdade, elas são complementares: a gestão determina “como” as coisas devem ser feitas, enquanto a governança determina “quem” deve fazê-las. Neste capítulo, discutiremos o conceito de GTI e refletiremos sobre os motivos pelos quais é importante que ela faça parte do plano de gestão geral das organizações. Além disso, veremos quais são os objetivos da Governança de TI e quais componentes contribuem para que eles sejam alcançados. Objetivos » Refletir sobre o conceito de Governança de TI. » Discutir os fatores motivadores da Governança de TI. » Conhecer os objetivos da Governança de TI. » Identificar os componentes da Governança de TI. 1 CAPÍTULO GOvERnança DE TECnOLOGIa Da InFORMaçãO anagu Realce anagu Realce anagu Realce 8 CAPÍTULO 1 • GOvERnança DE TECnOLOGIa Da InFORMaçãO 1.1. Conceito de Governança de TI A Governança de TI pode ser definida de diferentes maneiras. Segundo o Glossário Gartner de Tecnologia da Informação, a GTI pode ser definida como o conjunto de processos que garantem o uso eficaz e eficiente da TI de modo a permitir que uma organização atinja seus objetivos. Pode-se, entretanto, definir a governança de forma mais ampla, considerando-a como a alocação de direitos de decisão e responsabilidades pela empresa:quem tem autoridade para tomar decisões importantes que influenciam a necessidade e o valor derivado da tecnologia e se responsabilizar por elas? Para o IT Governance Institute (ITGI – Instituto de Governança de TI), a GTI se preocupa com dois aspectos principais: a entrega de valor da TI para o negócio e a mitigação dos riscos de TI. Para tanto, é preciso alinhar estrategicamente a TI ao negócio e proceder a inclusão da responsabilidade na empresa. Ambas iniciativas precisam ser apoiadas por recursos adequados para garantir que os resultados sejam obtidos. atenção O IT Governance Institute foi criado em 1998 pela Information Systems Audit and Control Association – ISACA (Associação de Auditoria e Controle de Sistemas de Informação). Seu objetivo é promover padrões internacionais de gestão e controle da tecnologia da informação de uma organização. O ITGI fornece pesquisas, publicações e recursos sobre governança de TI e tópicos relacionados para ajudar os líderes empresariais a garantir que a estratégia de TI apoie a missão e os objetivos do negócio. 1.1.1 as cinco áreas de foco da Governança de TI Introduzir a Governança de TI na organização pode ser uma experiência desafiadora, pois cada especialista na área pode ter uma maneira diferente de implementá-la. O preocupante é que uma interpretação livre da GTI pode ameaçar a integridade da organização e resultar em uma aplicação ineficaz. Um dos principais desafios das organizações é definir onde e como a TI deve ser empregada para atender às demandas de hoje e se preparar para as necessidades de amanhã. De modo a ajudar as empresas a se concentrarem nos aspectos que podem ser mais críticos para que se trilhe o caminho adequado no que diz respeito aos esforços direcionados à tecnologia, a GTI define cinco áreas principais de foco, conforme mostra a figura 1. anagu Realce anagu Realce anagu Realce 9 GOvERnança DE TECnOLOGIa Da InFORMaçãO • CAPÍTULO 1 Figura 1. Cinco áreas de foco da Governança em TI. Governança de TI 1. Alinhamento Estratégico 2. Entrega de Valor 3. Gestão de Riscos 4. Gestão de Recursos 5. Medição de Desempenho Fonte: elaborada pela autora. » Essas cinco áreas de foco foram definidas pela ISACA de modo a determinar um conjunto de diretrizes para a prática imparcial da GTI. A preocupação de cada uma delas é descrita a seguir. » Alinhamento estratégico: para ser eficaz ao permitir e apoiar a realização dos objetivos de negócios, a estratégia de negócios deve orientar a estratégia de TI. Diante disso, pode-se afirmar que as estratégias de negócios e TI estão intrinsecamente relacionadas e as operações de negócios eficientes e eficazes, bem como o crescimento da organização, dependem do alinhamento adequado das duas. Os objetivos organizacionais e os planos de Governança de TI devem estar alinhados de forma a permitir que os dois elementos trabalhem juntos como um só e gerem benefícios para a empresa. A proposta de valor de TI deve ser bem definida, mantida e validada para que o alinhamento real possa ganhar vida. » Entrega de valor: a Governança de TI ajuda a empresa a obter benefícios comerciais otimizados por meio do gerenciamento eficaz de investimentos habilitados para TI. Frequentemente, há uma preocupação considerável em um conselho ou nível de gerenciamento sênior de que as iniciativas de TI não estejam se traduzindo em benefícios. É importante se ater à proposta de valor ao longo de todo o ciclo de entrega. Isso se deve ao fato de que as metas organizacionais, provavelmente, só serão realizadas se a TI cumprir as promessas relacionadas à estratégia. A gestão deve tomar medidas cruciais para otimizar custos e aumentar o valor da TI. anagu Realce 10 CAPÍTULO 1 • GOvERnança DE TECnOLOGIa Da InFORMaçãO » Gestão de riscos: no contexto empresarial, cada vez mais repleto de recursos tecnológicos, identificar, avaliar, mitigar, gerenciar, comunicar e monitorar riscos de negócios relacionados à TI deve ser parte integral das atividades de governança. A alta administração assume a liderança no que se refere ao aumento da consciência de risco na organização, influenciada por uma variedade de fatores internos e externos. As partes responsáveis devem desenvolver um senso aguçado de riscos iminentes que podem afetar as estratégias organizacionais. Além disso, a administração deve garantir a transparência dos riscos a terceiros e incutir responsabilidades de gerenciamento de risco nos funcionários. » Gestão de recursos: para ser eficaz, a TI requer recursos suficientes e competentes (pessoas, informações, infraestrutura e aplicativos) para atender às demandas de negócios e viabilizar as atividades necessárias para atender aos objetivos estratégicos atuais e futuros. Assim, a otimização do conhecimento e da infraestrutura é importante para que se atinjam os objetivos de negócio. O investimento em recursos de TI é necessário para reunir todos os elementos e colocá-los para trabalhar em sincronia uns com os outros. Além disso, a gestão adequada de tais recursos também é necessária para garantir que não haja desperdício e que todos os recursos estejam prontamente disponíveis. » Medição de desempenho: várias técnicas podem ser usadas para rastrear e monitorar a implementação da estratégia de TI. Elas ajudam a fornecer insights sobre o uso de recursos e a entrega de serviços. Isso permite que medidas corretivas sejam tomadas antes que as falhas ocorram. » O que talvez seja mais importante observar, no entanto, não é que todas as cinco áreas de foco da Governança de TI estejam totalmente presentes na empresa, mas que recomendações, padrões e melhores práticas referenciados nos domínios sejam considerados e aplicados de acordo com as necessidades, requisitos e recursos do negócio. Assim, a categorização sugerida pela ISACA é mais útil quando considerada uma diretriz básica para introduzir as melhores práticas de Governança de TI no negócio quando e onde elas são necessárias. No entanto, é aconselhável que, independentemente do tamanho e do nível de maturidade do negócio, pelo menos alguns elementos de cada domínio estejam presentes para garantir uma Governança de TI eficaz. 1.2. Fatores motivadores da Governança de TI A Governança de TI requer que os recursos tecnológicos sejam distribuídos de forma responsável pela organização com vistas a priorizar o sucesso geral dos negócios. anagu Realce anagu Realce anagu Realce anagu Realce 11 GOvERnança DE TECnOLOGIa Da InFORMaçãO • CAPÍTULO 1 Isto é, a GTI exige que a TI não seja alocada com base nas necessidades individuais da equipe, mas sim em metas organizacionais coletivas. Para tanto, alguns aspectos principais motivam a presença da Governança de TI nas organizações, conforme apresentado na figura 2. Figura 2. Fatores motivadores da Governança em TI. Governança de TI 1. TI como serviço 2. Integração tecnológica 3. Segurança da informação 4. Dependência do negócio em relação à TI 5. Marcos de regulação Fonte: adaptada de Fernandes; abreu, 2014, p. 7. Observe a seguir a descrição das características desses fatores que motivam a presença da GTI nas empresas. » TI como serviço: trata-se de um método de entrega que vê a Tecnologia da Informação como um produto e, portanto, fornece para a empresa exatamente a quantidade de hardware, software e suporte de que ela necessita por uma taxa mensal previamente acordada. Do inglês “IT as a service” (ITaaS), nesse contexto, a TI engloba todas as tecnologias para criar, armazenar, trocar e usar dados dos negócios. De acordo com seus proponentes, a ITaaS oferece vários benefícios, dentre eles: › investimento inicial mínimo em TI; › despesas regulares e previsíveis; › transparência financeira nos investimentos de TI; › monitoramento contínuo de serviços; anagu Realce anagu Realce anagu Realce 12 CAPÍTULO 1 • GOvERnança DE TECnOLOGIa Da InFORMaçãO › suporte técnico especializado; › escalabilidade;› atualizações regulares de software e patches; › garantia de hardware atualizado. atenção A escalabilidade é uma característica que permite o aumento da capacidade e das funcionalidades de recursos de hardware e software de acordo com a demanda de seus usuários. Um serviço escalável pode permanecer estável enquanto se adapta a mudanças, atualizações, revisões e ampliação ou redução de recursos. Saiba mais O termo “patch” – que, em português, significa “remendo” – refere-se a um programa de computador criado com o objetivo de corrigir problemas ou incluir melhorias em outros programas já existentes. » Integração tecnológica: diferentes setores da organização podem ser integrados via TI de modo a contribuírem uns com os outros. Segundo Fernandes e Abreu (2014), algumas das integrações mais significativas acontecem entre: › cadeias de suprimento; › gestão da empresa e seu chão de fábrica; › funções administrativas e padronização dos aplicativos nas filiais; › redes de distribuição de produtos; › processos de desenvolvimento e manufatura de produtos; › processos de gestão de clientes; › gestão estratégica com a gestão tática e operacional. Nas integrações descritas anteriormente, diferentes tipos de recursos tecnológicos podem ser necessários, como infraestrutura de rede e internet, aplicações do tipo Enterprise Resource Planning (ERP), Manufacturing Execution System (MES) e Customer Relationship Management (CRM), além de recursos de data warehouse, data mining e de inteligência organizacional. 13 GOvERnança DE TECnOLOGIa Da InFORMaçãO • CAPÍTULO 1 Saiba mais Um sistema do tipo Enterprise Resource Planning (ERP) é um sistema integrado de gestão empresarial que interliga, em um único sistema, os dados e processos de uma organização. Uma aplicação do tipo Manufacturing Execution System (MES) refere-se a um sistema de execução de manufatura que conecta, monitora e controla sistemas de fabricação complexos e fluxos de dados no chão de fábrica. O principal objetivo de um MES é garantir a execução eficaz das operações de manufatura e melhorar a produção. Um sistema de Customer Relationship Management (CRM) compila dados de clientes de vários canais, incluindo site da empresa, registros de telefone, chat ao vivo, mala direta, materiais de marketing e mídia social. Esses sistemas podem oferecer grandes benefícios para as empresas. Um data warehouse – que, em português, significa “armazém de dados” – ajuda os usuários a compreender e aprimorar o desempenho de sua organização. A necessidade de armazenar dados evoluiu à medida que os sistemas computacionais se tornaram mais complexos e precisaram lidar com quantidades crescentes de informações. O termo data mining – que, em português, significa “mineração de dados” – faz referência ao processo de localização de padrões potencialmente úteis em grandes conjuntos de dados. Demanda abordagem multidisciplinar que recorre a aprendizado de máquina, estatística e inteligência artificial para extrair informações de modo a avaliar a probabilidade de determinados eventos futuros. » Segurança da informação: um aspecto que assombra todos os profissionais de segurança da informação é que nunca haverá recursos suficientes para mitigar todos os riscos potenciais de segurança. É função do Chief Information Security Officer (CISO) tomar as decisões críticas sobre onde alocar os recursos da organização para a redução máxima de risco relacionado à informação. É extremamente importante considerar a governança de segurança de TI de forma a priorizar riscos e criar suporte para proteger a organização. Saiba mais O Chief Information Security Officer (CISO) é o executivo responsável pelos dados e necessidades de segurança cibernética de uma organização. » Dependência do negócio em relação à TI: a teoria da dependência baseia-se no princípio de que uma organização deve se envolver em transações com outros atores e organizações em seu ambiente para adquirir recursos. Embora tais transações possam ser vantajosas, elas também podem criar dependências que não as são. Os recursos de que a organização precisa podem ser escassos, nem sempre prontamente obtidos ou estar sob o controle de atores não cooperativos. As trocas desiguais resultantes geram diferenças de poder, autoridade e acesso a anagu Realce 14 CAPÍTULO 1 • GOvERnança DE TECnOLOGIa Da InFORMaçãO recursos adicionais. No que diz respeito à TI, quanto maior o número de processos e serviços organizacionais que dependem da tecnologia para serem realizados e/ou ofertados, maior será o papel estratégico da TI nessa organização. » Marcos de regulação: comumente chamados de “compliance” – que, em português, significa “conformidade” – referem-se aos processos por meio dos quais as organizações mostram que estão obedecendo os requisitos de contratos, regulamentos, políticas e leis. A conformidade é uma preocupação predominante nos negócios, em parte por causa de um número cada vez maior de regulamentações que exigem que as empresas estejam atentas para manter um entendimento completo de seus requisitos de conformidade regulamentar. Um exemplo na área de TI é a Lei Geral de Proteção de Dados Pessoais (LGPD), que busca proteger os dados pessoais contra vulnerabilidades e vazamentos. Saiba mais Se quiser saber mais sobre a Lei Geral de Proteção de Dados Pessoais, visite o site https://www.serpro.gov.br/lgpd/. Acesso em: 7 maio 2021. 1.3. Objetivos da Governança de TI A Governança de TI engloba aspectos relacionados a liderança, estruturas e processos que permitem que a organização tome decisões para garantir que sua TI sustente e amplie suas estratégias e objetivos. A GTI é parte integrante da governança corporativa geral e, portanto, demanda compreensão clara das metas e objetivos estratégicos da empresa, além de uma estrutura com processos passíveis de repetição para apoiar as decisões. Tudo isso visa garantir o alinhamento dos investimentos em TI com as metas e objetivos da organização. De modo geral, conforme apresentam Fernandes e Abreu (2014, pp. 15-16), a GTI reforça que as decisões de TI se concentrem em promover: » o posicionamento mais claro e consistente da TI em relação às demais áreas; » o alinhamento e a priorização das iniciativas de TI com a estratégia do negócio; » o alinhamento da arquitetura de TI, sua infraestrutura e aplicações às necessidades do negócio; 15 GOvERnança DE TECnOLOGIa Da InFORMaçãO • CAPÍTULO 1 » a implantação e a melhoria dos processos operacionais e de gestão necessários ao atendimento dos serviços de TI segundo os padrões que atendem às necessidades da organização; » a TI de estrutura de processos que viabilize a gestão dos riscos e compliance para garantia da continuidade operacional da empresa; » o emprego das regras para as responsabilidades sobre decisões e ações relativas à TI no contexto organizacional. atenção O termo “compliance” foi definido na seção anterior, na qual foram apresentados os fatores motivadores da Governança de TI. Se deixou de ler essa definição, volte à seção anterior antes de prosseguir. Em resumo, a Governança de TI trata da tomada de decisões de maneira estruturada e passível de repetição para apoiar o investimento e o uso de TI com vistas a atingir os objetivos de uma organização. A intenção da GTI é, então, garantir que os investimentos em TI gerem valor comercial e mitiguem os riscos relacionados à tecnologia. É importante ressaltar que a GTI influencia o grau em que uma organização obterá valor de seus investimentos em TI. Pesquisas entre organizações do setor privado descobriram que as empresas de alto desempenho são bem-sucedidas na obtenção de valor de TI onde outras falham porque, em grande parte, realizam implementação eficaz da GTI para apoiar suas estratégias e institucionalizar boas práticas. Esse princípio pode ser estendido aos objetivos da empresa como um todo. Considerando que o objetivo da governança corporativaé, em última instância, derivar valor dos recursos da empresa para todos os seus constituintes com base nas metas e estratégias corporativas definidas, pode-se dizer que o objetivo da Governança de TI é garantir a gestão eficaz e eficiente, bem como a entrega de bens e serviços alinhado às estratégias da empresa. 1.4. Componentes da Governança de TI A Governança de TI compreende diferentes domínios que, quando integrados de maneira adequada, permitem que se apliquem as estratégias de TI de forma a garantir a entrega de produtos e serviços a ela relacionados. Observe na figura 3 a maneira como Fernandes e Abreu (2014, p. 17) apresentam a organização desses componentes e domínios. anagu Realce anagu Realce 16 CAPÍTULO 1 • GOvERnança DE TECnOLOGIa Da InFORMaçãO Figura 3. Domínios da Governança de TI. ALINHAMENTO ESTRATÉGICO E COMPLIANCE DECISÃO, PRIORIZAÇÃO E ALOCAÇÃO DE RECURSOS ESTRUTURA, PROCESSOS, OPERAÇÃO E GESTÃO GESTÃO DO VALOR E DO DESEMPENHO DOMÍNIOS DA GOVERNANÇA DE TI Fonte: adaptada de Fernandes; abreu, 2014, p. 17. No primeiro domínio, o alinhamento estratégico de TI envolve a combinação de estratégias, planos, processos, investimentos e decisões das unidades de TI para apoiar a funcionalidade geral e o propósito das metas e objetivos da organização. A execução desse alinhamento requer a fusão de todos os componentes organizacionais da empresa, incluindo operações, finanças, recursos humanos e departamentos de TI. Já a conformidade em TI refere-se a um conjunto de requisitos e práticas de segurança digital. Segui-los é uma forma de garantir que os processos de negócios de uma empresa sejam seguros e que dados confidenciais (incluindo dados de clientes) não sejam acessados por partes não autorizadas. Para estar em conformidade, é necessário implementar medidas de segurança adequadas para proteger os dados contra acesso não autorizado, exposição, ataques cibernéticos e outras ameaças. Ao implementar fortes práticas de segurança de TI, não apenas cumprem-se as leis, mas também protege-se a empresa das consequências negativas das violações de dados. Além disso, estar em conformidade é uma boa maneira de aumentar a confiança entre a empresa e seus clientes. Quanto ao segundo domínio, há muitos aspectos da tomada de decisão de Governança de TI que precisam ser considerados. Governança tem tudo a ver com decidir “quem, o quê, quando, por que e como” tomar decisões. Por exemplo: que tipo de decisões de TI precisam ser feitas todos os dias? Quem tem os direitos de tomada de decisão? Como as decisões são formadas e implementadas? Além disso, é preciso considerar também como as decisões exigidas pela organização são tomadas, as funções na empresa que são responsáveis por quais decisões, as políticas que orientam como essas decisões são tomadas e em que ponto do processo de governança elas acontecem apropriadamente. Uma estrutura adequada pode realmente ajudar as empresas a alocar direitos de decisão de TI de modo que essas decisões individuais se alinhem aos objetivos estratégicos. anagu Realce anagu Realce 17 GOvERnança DE TECnOLOGIa Da InFORMaçãO • CAPÍTULO 1 No terceiro domínio, estrutura, processos, operação e gestão são elementos importantes da Governança de TI. A estrutura envolve a definição de papéis e responsabilidades dentro de cada divisão da organização. Os processos englobam a tomada de decisões, bem como o planejamento e o monitoramento que garante que as políticas de TI sejam adequadas às necessidades do negócio. A operação refere-se à troca entre TI e negócios, diálogos, conhecimento compartilhado e comunicação. Por fim, a gestão é a responsável por acompanhar as etapas anteriores e garantir que aconteçam conforme planejado. A gestão do valor, citada no quarto domínio, se preocupa com a criação de valor sustentável, seja em nível de projeto, seja em nível de produto, processo, organizacional ou social. Ela se concentra em melhorar e manter um equilíbrio desejável entre as necessidades e desejos dos stakeholders e os recursos necessários para satisfazê-los. Os princípios centrais do valor de TI podem ser vistos como compartilhamento da informação e entrega dentro do cronograma e do orçamento, levando à obtenção dos benefícios prometidos. Saiba mais O termo “stakeholders” – que, em português, significa “partes interessadas” – não costuma ser traduzido e está muito presente na literatura sobre projetos. Ele faz referência a uma parte que tem interesse em uma empresa e pode afetar ou ser afetada pelo negócio. Os principais interessados em uma organização típica são seus investidores, funcionários, clientes e fornecedores. No entanto, com a crescente atenção voltada à responsabilidade social corporativa, o conceito foi estendido para incluir comunidades, governos e associações comerciais. A gestão do desempenho, por sua vez, é um sistema de trabalho que começa quando um trabalho é definido conforme necessário e se encerra quando um funcionário deixa a organização para encontrar um novo emprego ou se aposentar. O gerenciamento de desempenho define como se dá a interação com um funcionário e transforma cada oportunidade de interação em uma ocasião de aprendizagem. Para refletir Existem muitas maneiras de implementar a Governança de TI, mas os princípios permanecem os mesmos. Embora seja possível debater o método de implementação, não há como questionar ou discutir o valor essencial da GTI nas organizações. Independentemente do tamanho da empresa, alguma forma de governança de TI deve fazer parte dos procedimentos organizacionais. Com certeza, trata-se de um processo burocrático, mas definitivamente essencial. anagu Realce 18 CAPÍTULO 1 • GOvERnança DE TECnOLOGIa Da InFORMaçãO Sintetizando Neste capítulo, abordamos: » o conceito de Governança de TI; » os fatores motivadores da Governança de TI; » os objetivos da Governança de TI; » os componentes da Governança de TI. 19 Introdução Nos últimos anos, a atenção da gestão corporativa tem se concentrado cada vez mais na governança de TI. Em conjunto com a governança da empresa como um todo, a TI deve estar integrada em uma estrutura holística que seja orientada para o objetivo corporativo e que defina diretrizes e padrões com relação aos recursos de tecnologia da informação. A eficiência, os riscos e os custos associados a esses recursos devem ser gerenciados tão profissionalmente quanto qualquer outro fator crítico de sucesso de uma empresa. Para tanto, as organizações costumam recorrer a modelos que ajudem na orientação da implementação adequada dos aspectos relacionados à governança de TI. O Modelo de Governança de Tecnologia da Informação (MGTI) define as formas e os métodos pelos quais uma organização pode implementar, gerenciar e monitorar a governança de TI. Ele estabelece princípios, regras e processos que permitem uma tomada de decisão eficaz e viabiliza formas para abordar como as decisões são tomadas, quem tem autoridade para tomá-las e como elas serão comunicadas. O MGTI deve ser adequado e flexível, de modo que possa se adaptar prontamente às mudanças nos requisitos de negócios. Esse modelo precisa ser multicamadas, idealmente em três níveis: executivo, comercial e operacional. Isso não apenas garante uma tomada de decisão eficaz, mas também fornece um caminho de escalonamento claro para a resolução de conflitos. Neste capítulo, discutiremos uma visão geral do MGTI e refletiremos acerca do alinhamento estratégico da área de TI com as outras da organização. Além disso, conheceremos os aspectos principais do plano de TI e do portfólio de TI e conheceremos os serviços de tecnologia da informação. Por fim, abordaremos alguns aspectos principais relacionados à gestão do desempenho da TI. 2 CAPÍTULO O MODELO DE GOvERnança DE TECnOLOGIa Da InFORMaçãO anagu Realce 20 CAPÍTULO 2 • O MODELO DE GOvERnança DE TECnOLOGIa Da InFORMaçãO Objetivos » Conhecer uma visão geral do Modelo de Governançade TI. » Refletir sobre o alinhamento estratégico de TI. » Identificar os principais aspectos do plano de TI. » Discutir as características do portfólio de TI. » Especificar os serviços de TI. » Apreciar a finalidade da gestão de desempenho de TI. 2.1. visão geral do Modelo de Governança de TI O MGTI é um tipo de estrutura que define as formas e os métodos pelos quais uma organização pode implementar, gerenciar e monitorar a governança de TI. O MGTI ajuda as organizações a estabelecerem e avaliarem aspectos relacionados ao desempenho e à eficácia dos processos de governança de TI e preocupa-se com questões relacionadas à conformidade legal e regulatória dos recursos de TI. Para o desenvolvimento, a introdução e o controle da governança de TI, em um sentido mais preciso, a gestão da empresa deve criar um modelo organizacional específico para TI, com especificações acerca da tomada de decisão, papéis e responsabilidades. Além disso, o modelo precisa definir as características dos cinco domínios principais da GTI. São eles: » alinhamento estratégico: a estratégia de TI deve estar alinhada com a estratégia da organização como um todo; » entrega de valor: a contribuição de valor da TI para o sucesso de uma organização deve ser medida e avaliada; » gestão de riscos: os riscos devem ser identificados e gerenciados; » gestão de recursos: as decisões devem ser tomadas considerando o uso eficiente e orientado para objetivos de recursos; » medição de desempenho: o grau de implementação dos primeiros quatro domínios deve ser medido e avaliado. O MGTI, em específico, deve estar baseado em três elementos principais: a estrutura, o processo e a comunicação, conforme veremos na figura a seguir. 21 O MODELO DE GOvERnança DE TECnOLOGIa Da InFORMaçãO • CAPÍTULO 2 Figura 4. Elementos principais do Modelo de Governança de TI. Estrutura Processo Comunicação MODELO DE GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO Fonte: elaborada pela autora. As especificidades de cada elemento são as seguintes. » Estrutura: Quem deve tomar as decisões? Que organizações estruturais serão criadas, quem fará parte dessas organizações e que responsabilidades assumirão? » Processo: Como são tomadas as decisões relacionadas a investimentos em TI? Quais são os processos de tomada de decisão para propor investimentos, revisar investimentos, aprovar investimentos e priorizar investimentos? » Comunicação: Como os resultados dos processos e decisões serão monitorados, medidos e comunicados? Quais mecanismos serão usados para comunicar as decisões de investimento em TI ao conselho de administração, gestão executiva, gestão de negócios, gestão de TI, funcionários e acionistas? Um aspecto relevante com relação a um modelo genérico de governança de TI é que ele é adaptável a diferentes contextos. Isso significa que seus componentes podem ser combinados de maneiras distintas com vistas a se adequarem às necessidades da organização na qual o modelo será implantado. Aragon e Ferraz (2014, p. 41) sugerem um modelo genérico que pode ser usado como ponto de partida para a implantação da GTI. A sequência inicial básica de estruturação, segundo os autores, pode ser a que se vê na figura a seguir. Figura 5. Modelo Genérico de Governança de TI. Riscos e compliance Avaliação independente Gestão de mudança organizacional Alinhamento estratégico Entrega de valor Gestão de desempenho Comunicação Fonte: adaptada de aragon; Ferraz, 2014, p. 41. 22 CAPÍTULO 2 • O MODELO DE GOvERnança DE TECnOLOGIa Da InFORMaçãO Conforme esclarecido anteriormente, o modelo apresentado na figura 5 serve apenas como um norte na definição do MGTI específico de cada empresa. Todas as áreas descritas podem ser consideradas ou apenas algumas delas. Isso deve ser definido segundo o contexto da organização. Existem alguns modelos específicos, também chamados de frameworks, bastante utilizados na área de Governança de TI. Veja alguns deles: » COBIT: este é o modelo mais popular de GTI e será discutido em detalhes no Capítulo 4. A sigla significa Control Objectives for Information and Related Technology – em português, “Objetivos de controle para informação e tecnologia afim”. Ele especifica 37 processos de TI, cada um deles com entradas e saídas de processo, objetivos, métodos para medir o desempenho e muito mais; » ISO/IEC 38500: tem como objetivo auxiliar aqueles no topo da organização a compreender melhor suas obrigações legais e éticas no que se refere ao uso de TI pela empresa. Será detalhado no Capítulo 6; » ITIL: a sigla significa Information Technology Infrastructure Library – em português, “Biblioteca de Infraestrutura de Tecnologia da Informação”. Trata-se de um modelo que inclui cinco boas práticas de gerenciamento que visam garantir que a TI ofereça suporte às principais operações de negócios da organização. Esse modelo será apresentado em detalhes no Capítulo 5; » CMMI: este processo usa uma escala de 1 a 5 para entender melhor como a organização está se saindo e amadurecendo ao longo do tempo. A sigla significa Capability Maturity Model Integration – em português, “Integração do modelo de maturidade de capacidade”. Será detalhado no Capítulo 6. A lista anterior não está completa. Existem diversos modelos de governança de TI que oferecem uma visão completa ou parcial dos aspectos relacionados à GTI e que podem ser úteis quando se trata da aplicação de um processo de governança sólido e eficaz. Saiba mais O termo framework é bastante utilizado na área de Computação. Em geral, um framework tem como principal objetivo sugerir resoluções para problemas recorrentes de uma área com uma abordagem genérica, permitindo que o profissional concentre seus esforços na resolução do problema em si. Adaptado de https://tableless.github.io/iniciantes/manual/js/o-que-framework.html. Acesso em: 18 maio 2021. 23 O MODELO DE GOvERnança DE TECnOLOGIa Da InFORMaçãO • CAPÍTULO 2 2.2. O alinhamento estratégico de TI Em qualquer segmento, algumas empresas se saem melhor do que outras. O alinhamento estratégico é uma das principais diferenças entre as organizações que apresentam um bom desempenho e aquelas que não o fazem. Trata-se, portanto, de uma característica fundamental para qualquer empresa que deseje atingir seus objetivos. A compreensão do alinhamento estratégico começa com a compreensão do conceito de estratégia. É muito comum que se pense em estratégia como “declarações de visão” ou “declarações de missão”, mas essas características são apenas uma pequena parte da estratégia geral. A missão e a visão são declarações que ajudam a definir para que serve a organização e para onde os executivos gostariam de levá-la. No contexto do alinhamento estratégico, a estratégia define o “como”. Por exemplo, a visão ou missão pode definir algo como: “Queremos ser o fabricante de widgets mais lucrativo do mundo”. A pergunta-chave que precisa ser respondida antes que qualquer ação para implementação dessa visão estratégica seja implementada é: “Como devemos fazer isso?”. No caso do fabricante de widgets, é possível dizer: “Seremos o fornecedor de menor custo e teremos uma grande participação no mercado”. A definição de “como” leva à definição dos objetivos estratégicos, ou seja, os alvos específicos que precisam ser atingidos para que se alcance a visão/missão. No exemplo anterior, no qual a organização decide ser um fabricante de widgets de baixo custo e grande participação no mercado, alguns dos objetivos estratégicos podem ser: reduzir os custos para fornecimento de widgets; aumentar os canais de distribuição; gerenciar o fluxo de caixa, pois, conforme o volume aumenta, a organização precisará de mais dinheiro para manter o estoque, por exemplo. Saiba mais O termo “widget” pode ter três definições distintas. Veja: » um pequeno dispositivo mecânico, como um botão ou interruptor, especialmente aquele cujo nome não é conhecido ou não podeser lembrado; gadget: “uma fileira de widgets no painel de instrumentos”; » algo considerado típico ou representativo, a partir de produtos de um fabricante: “os widgets saindo da linha de montagem”; » em tecnologia, um módulo em um site, em um aplicativo ou na interface de um dispositivo que permite aos usuários acessar informações ou executar uma função: “adicionei um widget de previsão do tempo à minha tela”. Adaptado de https://www.dictionary.com/browse/widge. Acesso em: 19 mai. 2021. 24 CAPÍTULO 2 • O MODELO DE GOvERnança DE TECnOLOGIa Da InFORMaçãO Definir uma estratégia, entretanto, não é suficiente, pois somente ela não é capaz de causar um efeito real no desempenho da organização. É o alinhamento das atividades com as estratégias que faz a diferença. Pense na seguinte situação: decidir que deseja uma xícara de café (estratégia) não é o mesmo que se levantar e fazer uma xícara de café (alinhar ações à estratégia). É comum que se pense em alinhamento estratégico como um substantivo (o estado de ter tudo alinhado à estratégia), mas é melhor que o termo seja considerado um verbo, visto que demanda ação. Assim, pode-se definir o alinhamento estratégico como o processo de alinhar as decisões e ações de uma organização de forma que apoiem a realização dos objetivos estratégicos. Veja que a definição cita tomada de decisão e ações. As ações normalmente seguem as decisões; logo, se a organização não tem a capacidade de tomar decisões bem alinhadas, possivelmente não será capaz de implementar ações bem alinhadas. No que se refere à GTI, pode-se dizer que o alinhamento estratégico entre negócios e TI é um dos conceitos de gestão modernos mais populares nas organizações, pois se refere ao grau de congruência entre as estratégias de negócios e a TI. Houve aumento significativo da importância do papel dos sistemas de informação e da TI nas organizações e diversas oportunidades surgiram a partir da presença da tecnologia nas empresas. O uso estratégico da TI tornou-se uma questão fundamental para todos os negócios. A utilização eficaz e eficiente dos recursos de tecnologia requer o alinhamento das estratégias de TI com as estratégias de negócios, o plano de negócios e suas implementações. Isso viabilizará melhoria na competitividade e na produtividade, além de aprimorar os principais processos de negócios e explorar as oportunidades fornecidas pela TI para redesenhá-los. atenção Lembre-se: “o alinhamento estratégico é bidirecional, ou seja, da estratégia do negócio para a estratégia de TI, e vice-versa, pois a TI pode potencializar estratégias que seriam impossíveis de ser implementadas sem o auxílio da tecnologia da informação” (ARAGON; FERRAZ, 2014, p. 46). 2.3. O Plano de Tecnologia da Informação Um Plano de TI, também conhecido como Plano Estratégico de TI (PETI), detalha as etapas a serem percorridas para a implementação da estratégia de TI da organização, bem como os prazos para a realização de cada uma delas. Essas etapas são necessárias 25 O MODELO DE GOvERnança DE TECnOLOGIa Da InFORMaçãO • CAPÍTULO 2 para que a estratégia de TI seja implementada e devem ter sua prioridade estabelecida. São fases distintas, mas iterativas, ou seja, pode-se retornar a uma etapa sempre que for necessário. Um PETI visa definir os recursos de TI disponíveis na organização de modo a alinhar a infraestrutura tecnológica e da informação aos objetivos estratégicos. Não se trata de uma prescrição, mas de uma estrutura para permitir que os gerentes tomem decisões e implementem soluções que apoiem o plano estratégico geral. Um plano de TI não deve ser estático. Portanto, recomenda-se que ele seja construído de modo a permitir atualizações e se adaptar às mudanças advindas do contexto. Conforme explicam Aragon e Ferraz (2014, p. 51), o plano de TI é um dos diversos planos estratégicos existentes na organização. Desse modo, ele precisa estar alinhado não apenas com a estratégia empresarial e competitiva da organização, mas também com os outros planos funcionais existentes. Veja a relação entre o PETI e os demais níveis da organização na figura a seguir. Figura 6. Relação do Plano Estratégico de TI com outros planos funcionais. Fonte: aragon; Ferraz, 2014, p. 51. Um plano estratégico de TI é uma ferramenta muito importante. Ter um plano documentado permite que se converse com os executivos sobre os objetivos. Mais que isso, o PETI fornece à liderança a oportunidade de redirecionar qualquer um de seus esforços que possam não estar totalmente alinhados com a visão estratégica da organização. Ele permite que a liderança estabeleça compreensão acerca do trabalho do departamento de TI sem que seja necessário se envolver nas operações cotidianas. 26 CAPÍTULO 2 • O MODELO DE GOvERnança DE TECnOLOGIa Da InFORMaçãO 2.4. O portfólio de TI Quando um supermercado introduz o self-checkout, seu objetivo pode ser cortar custos para obter mais lucro. Quando um restaurante de fast-food, como o Burger King ou o McDonalds, introduz a possibilidade de realizar pedidos por meio de um aplicativo móvel, seu objetivo pode ser fornecer um serviço aos nativos digitais de modo a permanecer como uma escolha relevante em um mundo cada vez mais on-line. Saiba mais O sistema de self-checkout permite que os clientes escaneiem os produtos que desejam comprar e paguem por conta própria, ou seja, sem a presença de um funcionário na função de caixa. Se quiser ver um exemplo desse tipo de sistema, assista ao vídeo do Grupo Elgin, disponível em https://youtu.be/xYbNdHYTj24. Acesso em: 20 mai. 2021. Os exemplos mostram que um mesmo investimento em TI pode agregar valores de negócio diferentes, dependendo do objetivo subjacente. Assim, as organizações podem escolher diferentes investimentos em TI para atender a diferentes objetivos e para se alinharem com seus modelos e metas de negócios. Assim como os investidores abordam seus objetivos de risco e retorno usando portfólios de investimentos financeiros, algumas organizações também usam o portfólio de TI para combinar de forma mais adequada os investimentos em TI com os objetivos estratégicos. atenção Quanto mais alinhado estiver o portfólio de TI ao modelo de negócios, maiores as chances de sucesso da organização. Em um estudo de 2006, alguns pesquisadores da Escola de Administração do Massachussets Institute of Tecnhnology investigaram investimentos em TI em um grupo de empresas americanas. Eles identificaram quatro tipos de investimentos em TI que contribuem para formação de um portfólio adequado, conforme detalhado a seguir. » Investimentos transacionais: recomendados para reduzir custos ou aumentar o rendimento sem que haja aumento de custo. A TI dá suporte às operações básicas e repetitivas da empresa. » Investimentos informacionais: recomendados para que se obtenham informações que apoiem a tomada de decisões e o controle da gestão, como contabilidade, relatórios, compliance, comunicação ou análise. Usa infraestrutura de TI e sistemas transacionais. 27 O MODELO DE GOvERnança DE TECnOLOGIa Da InFORMaçãO • CAPÍTULO 2 » Investimentos estratégicos: recomendados para que se alcance vantagem competitiva, apoiando a entrada em novos mercados ou ajudando no desenvolvimento de produtos, serviços ou processos de negócios inovadores. É importante observar que investimentos estratégicos podem se tornar transacionais ou infraestruturais com o passar do tempo. Os caixas eletrônicos, por exemplo, eram uma iniciativa estratégica de TI, mas se tornaram transacionais. » Investimentos em infraestrutura: representam os serviços de TI compartilhados por vários aplicativos, por exemplo, servidores, redes, notebooks, bancos de dados etc. Dependendo do serviço, os investimentos em infraestrutura atuam como base para futuras iniciativas de negócios ou servem para reduzir os custos de TI de longo prazo. É possível perceber, a partir das categorias listadas, que a teoria do portfólio de TI é uma abordagemsofisticada de decisão de investimento que permite à organização classificar, estimar e controlar o tipo e a quantidade de risco e retorno esperados. Pensar em investimentos em TI como um portfólio ou um conjunto equilibrado de investimentos fornece uma abordagem abrangente para diferentes tipos de retornos de valor para o negócios, conforme se vê na tabela a seguir. Tabela 1. Tipos de investimento em um portfólio de TI. Tipo de Investimento Valor Agregado Grau de Risco/Retorno Informativo (17% do investimento) Maior controle; melhor informação; melhor integração; qualidade aprimorada. Risco e retorno moderados. Inovação estratégica de produto (11% do investimento) Inovação de processos; vantagem competitiva; entrega de serviço renovada; aumento de vendas; posicionamento de mercado. alto risco, retorno potencialmente alto. Transacional (26% do investimento) Corte de custos; aumento do rendimento Baixo risco, retorno sólido. Infraestrutura (46% do investimento) Integração de negócios; flexibilidade de negócios; custo marginal reduzido de TI da unidade de negócios; custos de TI reduzidos; padronização. Risco e retorno moderados. Fonte: elaborada pela autora. atenção As tecnologias de informação e comunicação são os principais facilitadores de negócios, pois impactam grande parte da organização e contribuem para seu sucesso geral. Qualquer investimento em tecnologia da informação precisa gerar um retorno ou agregar valor – conhecido como valor de negócio. 28 CAPÍTULO 2 • O MODELO DE GOvERnança DE TECnOLOGIa Da InFORMaçãO 2.5. Os serviços de TI O conjunto de serviços de TI de uma organização constituem um catálogo com informações detalhadas desses serviços em uma linguagem capaz de ser compreendida pelos clientes. Esse catálogo pode ser impresso ou virtual, disponibilizado na intranet da empresa ou por meio de uma mídia que o contenha. Independentemente do formato, o ideal é que ele seja de fácil acesso e compreensão. O catálogo de serviços de TI pode variar, mas seu conteúdo deve levar em consideração os procedimentos relacionados à segurança da informação que tenham sido adotados pela organização. Normalmente, ele é composto por uma parte mais geral e outra mais específica. Aragon e Ferraz (2014, p. 75) apresentam uma estrutura e a sugerem como modelo para a definição do catálogo de serviços de TI. Figura 7. Modelo para o Catálogo de Serviços de TI. CATÁLOGO DE SERVIÇOS DE TI Como usar o catálogo de serviços Estrutura de TI Quem é quem na TI Tecnologia de TI SERVIÇOS A USUÁRIOS SERVIÇOS À TI SERVIÇOS A CLIENTES E FORNECEDORES Service Desk Serviços de suporte Procedimentos de aceitação de sistemas Service Desk Procedimentos de gestão do TI Equipamentos homologados Solicitação de projetos Solicitação de manutenções Solicitações emergenciais Solicitação de extração de informações Eventos e treinamentos programados Catálogo de equipamentos homologados Serviços de segurança da informação Disponibilidade de aplicações Disponibilidade da rede Disponibilidade da infraestrutura Níveis de serviços Softwares homologados Serviços não disponíveis Procedimentos de gestão da mudança Solicitação de estudos de viabilidade Solicitação de documentos Banco de dados de problemas conhecidos Serviços de gestão de TI Serviços de sistemas Serviços de suporte Serviços de segurança da informação Serviços de infraestrutura Solicitação de documentos Procedimentos de sistemas Procedimentos de segurança da informação Procedimentos de gestão da infraestrutura Procedimentos de suporte Gestão de fornecedores Softwares homologados Níveis de serviços Banco de dados de problemas conhecidos Serviços não disponíveis Service Desk Uso dos sistemas Treinamentos disponíveis Níveis de serviços Bancos de dados de problemas conhecidos Fonte: aragon; Ferraz, 2014, p. 51. Um aspecto importante relacionado aos serviços de TI é a sua gestão. O gerenciamento de serviços de TI abrange todas as atividades envolvidas no planejamento, no projeto, na transição, na entrega e na melhoria contínua dos serviços de TI. Muitas vezes limitado à nomenclatura “suporte de TI” ou “service desk”, o gerenciamento de serviços de TI vai além do gerenciamento de incidentes do dia a dia e do atendimento de solicitações de serviço. 29 O MODELO DE GOvERnança DE TECnOLOGIa Da InFORMaçãO • CAPÍTULO 2 A implementação de um sistema de gerenciamento de serviços de TI pode formalizar todas as práticas, estabelecendo funções e responsabilidades, políticas e procedimentos. Isso resulta em planejamento, projeto e entrega mais estruturados. Além disso, ele economiza custos ao adicionar previsibilidade e fornece insights que ajudam a melhorar a tomada de decisões. Saiba mais O gerenciamento, ou gestão, de serviços de TI (GSTI) engloba o conjunto de processos que abrangem o planejamento, a execução e o monitoramento dos serviços de TI. Ele pode ser também referenciado pelo seu nome em inglês, que é Information Technology Service Management (ITSM). O gerenciamento de serviços de TI visa garantir que os clientes tenham acesso a serviços de qualidade e que estes atendam às necessidades de negócio. Para isso, é necessário investir em pessoas, processos e tecnologia. Fonte: https://www.euax.com.br/2019/10/gerenciamento-de-servicos-de-ti/. Acesso em: 4 jun. 2021. 2.6. a gestão do desempenho de TI A gestão de desempenho de TI é a área responsável pela supervisão da infraestrutura de tecnologia da informação presente na organização. Seu objetivo é garantir que os principais indicadores de desempenho bem como os níveis de serviço e os orçamentos estejam alinhados aos objetivos da organização. O termo engloba as decisões de compra, a padronização dos equipamentos de TI e a orientação sobre capital e recursos humanos. O gerenciamento de desempenho de TI também se refere a uma classe de ferramentas de software que permitem ao grupo de operações de TI monitorar e controlar aspectos relacionados à infraestrutura. Além de monitorar o desempenho, essas ferramentas ajudam a equipe de operações de TI a reunir e analisar métricas de desempenho, prever demandas futuras e identificar recursos abandonados ou subutilizados. O desempenho de TI abrange áreas como desempenho geral dos sistemas, virtualização de servidor e gerenciamento de nuvem, monitoramento de desempenho de aplicativos, gerenciamento de rede e gerenciamento de automação. As ferramentas de gerenciamento de desempenho são especialmente necessárias à medida que mais aspectos do ambiente de TI se tornam virtualizados e complexos. A virtualização de aspectos da infraestrutura pode ser fácil de fazer, mas significa que a infraestrutura pode crescer dez vezes, razão pela qual as ferramentas de monitoramento são essenciais para o gerenciamento. Existem ferramentas específicas para monitorar aplicativos executados na nuvem. anagu Realce 30 CAPÍTULO 2 • O MODELO DE GOvERnança DE TECnOLOGIa Da InFORMaçãO Ferramentas mais simples fornecem dados brutos, o que significa que as equipes de operações de TI devem primeiro entender as informações para só então agirem. Cada vez mais, as ferramentas de gerenciamento de desempenho de TI analisam os dados coletados para encontrar possíveis erros ou irregularidades que possam levar ao fracasso. As ferramentas de gerenciamento de desempenho de TI preditivas, por exemplo, buscam descobrir o início dos problemas e corrigi-los antes que eles ocorram. É importante frisar que a gestão eficaz do desempenho é essencial para as organizações. Por meio de processos formais e informais, ela ajuda a alinhar funcionários, recursos e sistemas para que se alcancem os objetivos estratégicos. Ela também funciona como um sinalizador, avisando antecipadamente sobre problemas em potencial e permitindo que os gerentes saibam quando devem fazer ajustes para manter o negócionos trilhos. Sintetizando Neste capítulo, abordamos: » uma visão geral do Modelo de Governança de TI; » o alinhamento estratégico de TI; » os principais aspectos do plano de TI; » as características do portfólio de TI; » as operações de serviços de TI; » a finalidade da gestão de desempenho de TI. 31 Introdução A Governança de TI diz respeito à tomada de decisões de maneira estruturada para apoiar o investimento e o uso de TI para atingir os objetivos de uma organização. Seus objetivos são garantir que os investimentos em TI gerem valor comercial e mitiguem os riscos de TI. A Governança de TI ajuda na implementação de boas práticas que garantem às empresas um desempenho de destaque no que diz respeito ao emprego dos recursos de TI. Para que isso seja uma realidade no contexto organizacional, é preciso que a governança seja implementada de forma planejada e, depois disso, siga sendo monitorada e ajustada conforme novas demandas da organização surgirem. Neste capítulo, discutiremos a relevância do planejamento da Governança de TI e a importância de definição de um plano para sua implementação. Refletiremos também acerca do alinhamento necessário entre o plano planejado e a efetiva implantação do programa de Governança de TI. Concluiremos o capítulo abordando alguns aspectos essenciais relacionados à gestão da Governança de TI. Objetivos » Conhecer os aspectos envolvidos no planejamento da Governança de TI. » Discutir o modo de implementação da Governança de TI. » Refletir sobre o gerenciamento da Governança de TI. 3.1. Planejamento da Governança de TI A Governança de TI existe para ajudar os líderes das organizações em sua responsabilidade de tornar a TI eficaz no suporte aos objetivos e missão da empresa. Ela auxilia esses profissionais a pensarem sobre questões essenciais relacionadas à TI e a estabelecerem 3 CAPÍTULO PLanEJaMEnTO, IMPLEMEnTaçãO E GEREnCIaMEnTO Da GOvERnança DE TECnOLOGIa Da InFORMaçãO 32 CAPÍTULO 3 • PLanEJaMEnTO, IMPLEMEnTaçãO E GEREnCIaMEnTO Da GOvERnança DE TECnOLOGIa Da InFORMaçãO uma compreensão mais apurada entre a equipe com relação aos recursos de tecnologia. Tal governança também ajuda diretoria, gerentes executivos e CIOs a garantirem que a TI atenda e supere as expectativas da organização. Saiba mais O cargo de CIO (sigla em inglês para Chief Information Officer) surgiu inicialmente como uma evolução do cargo de diretor de TI das organizações. Originalmente, essa mudança de nomenclatura visava traduzir o aumento da importância de uma posição que antes focava apenas no planejamento da área de TI das empresas. Tal readequação foi necessária na medida em que as tecnologias evoluíram e acabaram permeando, de maneira contundente, todas as áreas de negócio de uma organização ao ponto de muitas vezes ser impossível dissociar os processos críticos de uma companhia das ferramentas que os instrumentalizam. Fonte: https://canaltech.com.br/carreira/o-novo-papel-do-cio-80957/. Acesso em: 17 jun. 2021. Estabelecer a Governança de TI em uma organização é uma maneira importante de garantir que as políticas e os procedimentos de TI sejam cumpridos. Para tanto, é essencial que se faça um planejamento com vistas a estruturar um plano de governança a ser seguido. Nesse plano, muitas reflexões são essenciais. Algumas delas serão elencadas e discutidas a seguir. » Planeje o rumo da governança de TI da organização: nessa primeira etapa, o objetivo deve ser identificar e descrever as funções e responsabilidades estratégicas e táticas da governança de TI. Nesse momento, é importante: › certificar-se de que a organização possui funções e responsabilidades bem definidas para os integrantes do conselho, bem como para seus executivos e membros do comitê de estratégia de TI; › descrever como as prioridades são definidas, como os recursos são alocados e por quem, e como os projetos são monitorados; › trabalhar em conjunto com os gerentes sêniores das divisões de TI e de negócios, pois eles atuam como os principais apoiadores para distribuir e promover a adoção de procedimentos e políticas de governança de TI. » Estabeleça um plano de implementação da governança de TI: A organização precisa de um plano de ação eficaz e que alinhe as características específicas com as necessidades do negócio. É crucial que o conselho de Diretivo se aproprie do plano de governança de TI e auxilie na definição da direção que os gerentes devem seguir. Essas decisões são formuladas de forma eficaz e visam garantir que o conselho opere com os objetivos da governança de TI em mente, que incluem: 33 PLanEJaMEnTO, IMPLEMEnTaçãO E GEREnCIaMEnTO Da GOvERnança DE TECnOLOGIa Da InFORMaçãO • CAPÍTULO 3 › certificar-se de que as questões relacionadas à TI estejam na agenda do conselho; › auxiliar os gerentes a alinhar iniciativas de TI com necessidades de negócios tangíveis; › analisar o impacto potencial dos riscos relacionados à TI sobre os negócios; › exigir que o desempenho de TI seja medido e relatado à diretoria; › estabelecer um comitê de estratégia de TI que seja responsável por comunicar os problemas de TI às partes interessadas; › insistir para que a organização use uma metodologia comum para empregar uma estrutura de gerenciamento para governança de TI. » Estabeleça um plano de Governança de TI para estratégias de longo prazo: a governança de TI deve ser coordenada com os objetivos de governança corporativa mais amplos e estratégicos. Uma metodologia de governança de TI auxilia o conselho e a gerência a compreender as principais sugestões e ramificações da TI e garante que a organização possa manter suas operações e executar as estratégias necessárias para ampliar suas operações para crescimento futuro. » Almeje objetivos e marcos de Governança de TI de curto prazo: depois que a organização tiver definido um roteiro estratégico de Governança de TI, identifique os problemas de curto prazo que podem ser resolvidos de forma mais rápida e, assim, fazer com que a organização dê início à sua política de Governança de TI. Essas resoluções funcionarão como marcos importantes e darão um bom sinal dos resultados potenciais e das dificuldades associadas à execução de um plano de Governança de TI sólido. Esses marcos ajudam a revelar as barreiras corporativas que precisam ser derrubadas antes que as estratégias de longo prazo possam ser implementadas. Essas conquistas também ajudarão a evidenciar os procedimentos e políticas de Governança de TI que podem ajudar e proteger a organização, bem como estabelecer a credibilidade para a implementação de políticas de Governança de TI. » Reconheça e administre riscos e oportunidades relacionados à TI: pesquise o que os usuários desejam e descubra como essas necessidades influenciam os diferentes usos da TI na organização. Ao fazer isso, pode-se descobrir riscos e oportunidades relacionados à tecnologia da informação. Uma sugestão para identificar riscos ou oportunidades para a TI corporativa é pesquisar ou conduzir uma avaliação dos usuários. Eles podem ser uma das melhores fontes de informações para identificar lacunas de segurança ou uso impróprio de TI. 34 CAPÍTULO 3 • PLanEJaMEnTO, IMPLEMEnTaçãO E GEREnCIaMEnTO Da GOvERnança DE TECnOLOGIa Da InFORMaçãO » Reavalie as políticas de governança de TI em uma base consistente: Depois que uma organização constrói um conjunto de práticas de Governança de TI, o processo pode permanecer em vigor até que uma mudança na direção estratégica ou uma oportunidade de negócios reavalie o que a organização considera um uso desejável dos recursos de TI. No entanto, às vezes surgem oportunidades que não são totalmente (ou parcialmente) abordadas nas políticas e procedimentos de Governança de TI. Quando essa situação ocorre, as políticas devem ser revisadas para tratar essas situações. » Aumente a transparência da Governança de TI: um dos fatores mais importantes que podeminfluenciar o sucesso da política e dos procedimentos de Governança de TI é o número de funcionários que podem descrever com precisão as políticas da organização relacionadas à tecnologia da informação. Os executivos de TI e seu pessoal devem se envolver em conversas proativas com executivos e usuários de TI para compreender melhor as necessidades corporativas. Uma sugestão para promover a política de Governança de TI em uma organização é aprimorar os esforços de relações públicas do departamento de TI. Por exemplo, considere gerar e distribuir um relatório anual do departamento de TI que explique e compartilhe aspectos relacionados à Governança de TI da organização e seus objetivos e planos estratégicos futuros. » Estabeleça exceções para os processos de governança: de vez em quando, ocorrem circunstâncias de negócios ou oportunidades que não são legisladas ou abordadas pelas políticas de Governança de TI da organização. Esses eventos surgem porque o planejamento pode negligenciar ações específicas ou as abordagens de governança podem estar desatualizadas. Pense em um procedimento a ser seguido pela organização se aparecer a necessidade de atualizar ou dar um tratamento diferenciado a uma exceção às políticas de Governança de TI que estão em vigor. Observe a seguir uma figura que resume as principais recomendações para o planejamento eficiente de um programa de Governança de TI para as organizações. Vale ressaltar que esta é uma lista de sugestões apenas. Outros aspectos podem ser incluídos de modo a adequar as recomendações aos diferentes contextos organizacionais. 35 PLanEJaMEnTO, IMPLEMEnTaçãO E GEREnCIaMEnTO Da GOvERnança DE TECnOLOGIa Da InFORMaçãO • CAPÍTULO 3 Figura 8. Recomendações para o planejamento eficiente da Governança de TI. PL AN EJ AM EN TO D A G O VE R N AN Ç A D E TI Planeje o rumo da Governança de TI da organização. Estabeleça um plano de implementação da Governança de TI. Estabeleça um plano de governança de TI de longo prazo. Almeje objetivos e marcos de governança de TI de curto prazo. Reconheça e administre riscos e oportunidades relacionados à TI. Reavalie as políticas de governança de TI em uma base consistente. Aumente a transparência da Governança de TI. Estabeleça exceções para os processos de governança. Fonte: elaborada pela autora. 3.2. Implementação da Governança de TI No tópico anterior, vimos que é essencial que se estabeleça um plano para a implementação da Governança de TI na organização. Esse plano pode ser estruturado de diferentes maneiras, a depender do contexto organizacional. Como exemplo, observe as etapas de implementação sugeridas por Aragon e Ferraz (2014, p. 598) e apresentadas na figura 9. Trata-se de um roteiro com 20 etapas que variam desde a sensibilização da alta direção com relação à importância de um programa de governança até a revisão e a evolução desse programa para que ele continue atendendo às necessidades da empresa. A seguir, falaremos um pouco mais sobre cada uma das etapas sugeridas no roteiro. » Sensibilizar a alta direção: é bastante provável que o plano de Governança de TI não saia do papel se a alta direção não o apoiá-lo. A primeira tarefa deve ser, então, conscientizar os tomadores de decisão sobre a relevância do programa. Para tanto, diferentes ações podem ser implementadas, tais como: realizar encontros para apresentação de casos de sucesso de outras empresas; visitar empresas que possuam um programa de Governança de TI já implementado e sólido; discutir os riscos que a organização corre diante da ausência de um programa de Governança de TI; refletir sobre as vulnerabilidades relacionadas à segurança da informação etc. 36 CAPÍTULO 3 • PLanEJaMEnTO, IMPLEMEnTaçãO E GEREnCIaMEnTO Da GOvERnança DE TECnOLOGIa Da InFORMaçãO » Estabelecer o foco do programa: conforme já discutido, um programa de Governança de TI somente terá valor se estiver alinhado aos objetivos organizacionais. Assim, é preciso definir o foco do programa a ser implantado para que ele esteja em conformidade com as estratégias da organização. Você se lembra da análise estratégica? Ela será de suma importância neste momento, pois identifica os fatores de sucesso da organização que deverão ser pontos de interesse do programa de Governança de TI. » Definir papéis, estrutura e relacionamento com os interessados relevantes: parte das preocupações da implementação de um programa de Governança de TI inclui decidir sobre a estrutura organizacional que se envolverá com esse programa. Uma nova área específica será criada? A responsabilidade pela Governança de TI será compartilhada com os executivos já existentes? Um novo profissional receberá a incumbência de gerir a área de Governança de TI? E mais, quem são as pessoas com poder decisório com relação aos investimentos da área de tecnologia da informação? Essas questões precisam ser pensadas e respondidas para que se assegure a boa implementação do programa de governança. » Estruturar preliminarmente o programa: a estruturação do programa de Governança de TI pode seguir algum padrão já existente, como o do Project Management Body Of Knowledge – PMBOK (em português literal, “Corpo de Conhecimento de Gestão de Projetos”). No documento, um programa é definido como um grupo de projetos afins que são gerenciados de forma coordenada com o objetivo de obter benefícios e controle não disponíveis se os projetos fossem gerenciados individualmente. Aqui, então, devem ser descritos os processos a serem implementados no gerenciamento desses projetos distintos da área de TI. » Implantar a estrutura e as responsabilidades: não será possível implementar o programa de Governança de TI sem que exista uma estrutura mínima de recursos e um conjunto de responsabilidades já relacionadas a um grupo de pessoas. As definições deste momento devem ser comunicadas às partes interessadas para que não haja conflito de interesses com relação às responsabilidades e os profissionais a elas associados. » Estabelecer os direitos decisórios: é preciso definir quem toma as decisões, quem decide as prioridades, a quem pertence o orçamento, quem aprova investimentos etc. Essas definições, entretanto, devem ser feitas em conjunto com a alta administração a fim de evitar possíveis conflitos entre os stakeholders. » Realizar avaliação dos processos-foco: um programa de Governança de TI pode começar com uma abrangência reduzida e ir ampliando seu escopo aos poucos, à medida que vai se solidificando. Para tanto, será necessário decidir sobre os 37 PLanEJaMEnTO, IMPLEMEnTaçãO E GEREnCIaMEnTO Da GOvERnança DE TECnOLOGIa Da InFORMaçãO • CAPÍTULO 3 processos organizacionais que farão parte do programa nos curtos, médio e longo prazos. » Estabelecer metas e indicadores de progresso e de resultado: avaliar um programa de Governança de TI e seus resultados é tão importante quanto implementá- lo. Para que isso seja possível, contudo, é preciso definir metas que possam ser avaliadas com base em indicadores. » Estabelecer um roadmap de implementação: um roadmap é uma espécie de mapa de percurso que visa estabelecer a ordem para execução das melhorias e implantação dos processos planejados. Se um dos objetivos envolver implantar práticas de gerenciamento de serviços (ARAGON; FERRAZ, 2014), pode-se definir o seguinte roadmap: estruturar a central de serviços e de gerenciamento de incidentes; implantar a gestão de mudanças e o gerenciamento de capacidade e disponibilidade; implantar o processo de gestão da continuidade dos serviços. » Elaborar o plano do programa: uma vez definido o roadmap, já estarão bem delineados todos os projetos a serem contemplados no plano. Assim, o plano precisará estabelecer uma ordem de prioridade para execução dos projetos, bem como uma previsão da estrutura de TI necessária para que sejam conduzidos. Além disso, será preciso definir uma previsão com relação à implantação desses projetos.Outros pontos a serem definidos incluem: plano de recursos e serviços, orçamento, benefícios esperados, modelo e estrutura de gestão do programa, mapa de responsabilidades, riscos, estratégias de gestão de mudanças, plano de comunicação, critérios de qualidade, métricas de progresso etc. » Definir parcerias (auditoria, riscos e compliance): a criação de parcerias com as áreas de auditoria interna e externa bem como com as áreas responsáveis por riscos e compliance tem muito valor para os responsáveis pelo programa de Governança, pois essas áreas normalmente mantêm bom relacionamento com a alta direção. Além disso, elas também podem auxiliar a identificar áreas críticas a serem tratadas pela Governança de TI, em especial no que diz respeito aos riscos operacionais. » Aprovar o programa: a efetiva implementação do programa de Governança de TI somente terá início após a aprovação da alta direção. Além do aval desse nível, será necessário dispor do orçamento previsto para que sejam alocados os recursos necessários, realizem-se os treinamentos de pessoal, adquiram-se ferramentas e consultorias etc. » Elaborar o plano de gerenciamento da mudança da cultura organizacional de TI: de acordo com Aragon e Ferraz (2014, p. 604), “a cultura de uma organização é formada pelo comportamento coletivo das pessoas mais um conjunto de 38 CAPÍTULO 3 • PLanEJaMEnTO, IMPLEMEnTaçãO E GEREnCIaMEnTO Da GOvERnança DE TECnOLOGIa Da InFORMaçãO símbolos, sistemas e processos”. Preocupar-se com essa cultura é essencial para garantir o sucesso do programa de Governança de TI, pois sem mudanças comportamentais corre-se o risco de comprometer aspectos essenciais do plano de implantação da GTI. É importante pensar que a cultura desejada levará aos resultados desejados; portanto, deve-se planejar com cuidado a transição de uma cultura a outra. » Elaborar o plano de projetos de implantação de Governança de TI: cada uma das ações previstas para a implantação da Governança de TI demandará um projeto. Para criar os diferentes projetos necessários, é possível recorrer ao PMBOK, explicado no tópico 4 – Estruturar preliminarmente o programa. » Implantar as ações do plano de gerenciamento da mudança da cultura organizacional: o plano de gerenciamento da mudança da cultura organizacional explicado no tópico 13 precisa não apenas ser redigido, mas também implementado. Essa implementação pode acontecer em paralelo ao tópico 14 – Elaborar o plano de projetos de implantação de Governança de TI. » Executar os projetos de implantação da Governança de TI: a execução dos diferentes projetos previstos para a implantação da Governança de TI deve também seguir as recomendações do PMBOK, explicado no tópico 4 – Estruturar preliminarmente o programa. » Monitorar a execução dos projetos de implantação da Governança de TI: embora a implantação dos diferentes projetos previstos pelo programa de Governança de TI seja de responsabilidade de diferentes setores, o monitoramento desses projetos para controle de sua execução é encargo da área de GTI apenas. É importante conhecer a metodologia de gestão de projetos adotada pela organização para segui-la também neste momento. » Avaliar os resultados dos projetos de implementação da Governança de TI: um projeto é um planejamento para que se alcancem determinados objetivos. Ao conclui-lo, é importante que se verifique se os objetivos planejados foram, de fato, alcançados. » Comunicar o valor gerado pela TI ao negócio: é muito importante que o valor agregado pela TI ao negócio seja divulgado. Os executivos precisam saber que os investimentos geraram retorno e é possível fazer isso por diferentes meios: como entregar projetos de acordo com os requisitos levantados e dentro do cronograma e orçamento previstos, manter aplicações e serviços disponíveis segundo os níveis de serviço previamente combinados, resolver com eficiência os imprevistos relacionados à TI que possam impactar os negócios etc. 39 PLanEJaMEnTO, IMPLEMEnTaçãO E GEREnCIaMEnTO Da GOvERnança DE TECnOLOGIa Da InFORMaçãO • CAPÍTULO 3 » Revisar e evoluir o programa: a finalização de alguns projetos relacionados ao programa de Governança de TI acarretará mudança desejada na cultura organizacional. Embora isso seja bastante positivo, é preciso manter esse programa atualizado e alinhados aos negócios. Para tanto, é necessário revisar e evoluir o programa de GTI com a frequência necessária para que ele se mantenha útil para a organização. Figura 9. Sugestão de roteiro para implementação da Governança de TI. Fonte: aragon; Ferraz, 2014, p. 598. É importante ressaltar que existem muitas soluções possíveis para Governança de TI, mas nenhuma delas realmente cobre a ampla gama de problemas que você enfrentará ao lidar com todo o espectro de questões de governança dessa área. Isso não é necessariamente algo ruim, pois garante que as organizações tenham liberdade para adequar a solução ao seu perfil. 3.3. Gerenciamento da Governança de TI A Governança de TI é extremamente importante porque ajuda a atingir os resultados e comportamentos desejados na organização. A relação entre ela e a criação de valor efetiva dos investimentos em TI é bastante reconhecida e citada como a razão para alcançar a excelência na gestão de TI. 40 CAPÍTULO 3 • PLanEJaMEnTO, IMPLEMEnTaçãO E GEREnCIaMEnTO Da GOvERnança DE TECnOLOGIa Da InFORMaçãO A GTI permite comunicação eficaz entre clientes e fornecedores, estabelecendo responsabilidade conjunta para investimentos em TI. A aplicação dos processos de governança é articulada pelo gerenciamento de portfólio de TI e é usada pelos líderes de TI para gerenciar investimentos, projetos e recursos de TI em um esforço para revisar oportunidades, reduzir a redundância em todo o ambiente de TI e gerar economia de custos. A governança oferece um caminho para o sucesso e permite que os líderes sejam ativos na gestão estratégica de TI e garantam que os seguintes elementos básicos estejam em vigor. » Alinhamento e capacidade de resposta: a governança trabalha lado a lado com o gerenciamento de portfólio para alinhar os investimentos em TI aos objetivos da organização, permitindo que os gerentes melhorem a capacidade de resposta aos desafios e gerenciem os investimentos de TI atuais e futuros. Ela garante transparência aos investimentos de TI e garante que o dinheiro seja gasto de acordo com a missão da organização. » Tomada de decisão objetiva: a governança permite que a liderança se comprometa ativamente com a melhoria da gestão e do controle das atividades de TI na organização. » Balanceamento de recursos: o gerenciamento adequado de recursos críticos permite o controle do planejamento e da organização de iniciativas de TI. Isso dá aos gerentes a capacidade de garantir que o suporte de TI adequado esteja disponível para investimentos de TI atuais e futuros. » Gerenciamento de risco organizacional: o gerenciamento proativo de risco garante que os gerentes de TI e a liderança estejam cientes do risco associado às iniciativas de TI e fornece a base para implementar estratégias de mitigação de risco. » Execução e fiscalização: a governança fornece aos gestores a estrutura para gerenciar todas as iniciativas e demandas de TI por meio de um único ponto onde são priorizadas e atendidas. Ela permite padronizar as plataformas de tecnologia e ajuda os gerentes a tomar decisões informadas sobre as iniciativas de TI. » Prestação de contas: a governança eficaz significa prestação de contas. Isso permite que os gerentes cumpram as responsabilidades relacionadas ao gerenciamento do programa de TI. 41 PLanEJaMEnTO, IMPLEMEnTaçãO E GEREnCIaMEnTO Da GOvERnança DE TECnOLOGIa Da InFORMaçãO • CAPÍTULO 3 Figura 10. aspectos básicos a serem garantidos pela GTI. Alinhamento e capacidade de resposta Tomada de decisão objetiva Balanceamento de recursos Gerenciamento de risco organizacional Execução e fiscalização Prestação de contas
Compartilhar