Resumo Gestão Estratégica TI

Prévia do material em texto

Gestão Estratégica de TI
DBA – Data Base Administrator: responsável pelo gerenciamento do Servidor de Banco de Dados usado. Cuida para que o SGBD usado tenha o melhor desempenho e age quando encontra um problema de falha de integridade dos dados e corrupção do banco ou quando precisa atualizar um patch de correção do produto.
DBA – Data Base Administrator: responsável pelo gerenciamento do Servidor de Banco de Dados usado. Cuida para que o SGBD usado tenha o melhor desempenho e age quando encontra um problema de falha de integridade dos dados e corrupção do banco ou quando precisa atualizar um patch de correção do produto.
Administrador dos Servidores de Aplicação: responsável por obter o melhor desempenho possível dos servidores de aplicação da em- presa, seja em termos de tempo de resposta ou em disponibilida- de. Resolve problemas de indisponibilidade, configura parâmetros operacionais, aloca memória, atualiza a versão do produto, instala e desinstala servidores.
Analista de Sistema Operacional: responsável por manter os sistemas operacionais, dos computadores existentes, operando com o maior desempenho possível. Instala e desinstala sistemas operacionais e suas atualizações de versões, configura e ajusta os parâmetros operacionais, resolve problemas de instabilidade e indisponibilidade de algum computador em decorrência de problemas no respectivo sis- tema operacional etc.
Analista de Serviços Web: responsável por garantir o pleno funciona- mento e o máximo desempenho dos serviços disponibilizados pelo servidor Web. Esse profissional monitora o funcionamento do servi- dor Web, verifica a operação correta de todos os serviços previstos, restabelece serviço que tenha sido desativado, identifica tentativas de sobrecarregar o servidor (DOS – denied of service), atualiza as versões dos serviços etc.
Analista de Redes: responsável por manter as redes de dados e os diversos links externos operando com o máximo de desempenho e disponibilidade. Interage com as operadoras de serviços de teleco- municação para resolver problemas de indisponibilidade ou insta- bilidade dos links, configura e ajusta os parâmetros dos switches e roteadores existentes na empresa, configura e mantém atualizados o firewall e as políticas de restrição de acesso etc.
A segurança pode ser desmembrada em duas grandes classes: segurança física e segurança lógica. A segurança física objetiva preservar o patrimônio da empresa, inclusive seus arquivos, contra roubos ou sabotagem. A segurança física fica restrita ao CPD e aos pontos de acesso remotos (terminais, micro- computadores etc.) e suas redes de dados.
Os problemas mais comuns relacionados com a segurança física são:
• Roubo de insumos (tais como fitas, papel, CDs etc.) e de partes de microcomputadores (memórias, discos etc.).
Acesso de pessoas não autorizadas aos relatórios da empresa, ainda dentro do setor de Tecnologia de Informação.
•	Roubo de dados armazenados em arquivos magnéticos (fitas, memó- rias etc.) ou ópticos (CDs, DVDs, etc.) com conteúdo de interesse de outras empresas (lista de clientes, arquivos de senhas etc.).
•	Sabotagem em equipamentos e arquivos de dados.
A segurança lógica compreende a integridade dos arquivos de dados e os programas da empresa. A segurança lógica trabalha estabelecendo mecanismos de acesso aos ar- quivos, aos sistemas e às páginas Web da empresa, limitando a disponibilidade de recursos para cada usuário. Um bom sistema de controle de acesso permi- te identificar tentativas de quebras de segurança antes que elas se efetivem (detecção de intruso). Mesmo havendo quebra de segurança, esses sistemas permitem rastrear a origem da violação e os efeitos causados sobre os arquivos (rastreabilidade).
Balanced Scorecard
A estratégia de uma empresa diz respeito à sua vantagem competitiva. O método analítico para realizar as análises e as escolhas necessárias para criar vantagem competitiva é o processo de planejamento estratégico. 
Estratégia, no BSC, é definida como um conjunto de hipóteses sobre os rela- cionamentos de causa e efeito: (a) entre os objetivos e as ações necessárias para que eles sejam alcançados; (b) entre os objetivos e as medidas do desempenho obtido no esforço de alcançá-los.
O primeiro passo para a implantação do BSC é o desenho do mapa estratégi- co. O mapa estratégico tem como finalidade decodificar os complexos processos de escolha frente aos quais os gestores de todos os níveis são expostos diariamente. A vantagem competitiva e a estratégia da empresa, no BSC, são expressas em objetivos estratégicos distribuídos em quatro perspectivas de gestão: financeira, de clientes, de processos internos e de aprendizado e crescimento.
O mapa estratégico, para tanto, deve explicitar as hipó- teses que os gestores levantaram sobre os relacionamentos de causa e efeito entre as ações e a estratégia.
O relacionamento causa e efeito pode ser expresso por uma seqüência de afirmações do tipo “se-então”.
A integração lateral se dá entre as perspectivas. O que se pretende alcançar financeiramente (perspectiva financeira) deve orientar o que se pode e deve fa- zer em termos de produto e de mercado consumidor (o que fazer e para quem) (perspectiva de clientes), que, por sua vez, deve orientar as escolhas quanto aos modos de produção e disposição desses produtos/serviços (perspectiva de pro- cessos internos), que, por sua vez, devem orientar a decisão sobre a estrutura organizacional e administrativa e sobre a tecnologia de informação, identificadas como necessárias para dar suporte aos amplos processos de produção e venda (perspectiva de aprendizado e crescimento).
A integração vertical se dá da estratégia às ações. As ações e as metas críticas ao cumprimento da estratégia são identificadas por meio de hipóteses sobre relacionamentos de causa e efeito entre elas.
Em suma, dado que os recursos (financeiros, tecnológicos, físicos, capacitação humana etc.) são limitados, o BSC explicita o critério pelo qual esses recursos devem ser combinados e utilizados (assim como quais devem ser adquiridos, modificados ou dispensados).
Entenda-se desperdício quando alguma ação prioritária (que está no mapa estratégico) deixa de ser atendida para se gastar com outra ação que não é prioritária.
Kaplan e Norton enfatizaram três diferentes estágios do negócio, para os quais devem ser definidos conjuntos diferentes de medidas, pois os objetivos são tam- bém diferentes:
rápido crescimento (rapid growth), quando a empresa está entrando no mercado;
sustentação (sustain), quando a empresa já não é mais uma promessa e sim, efetivamente, uma concorrente no mercado;
colheita (harvest),22 quando a empresa já tem uma posição consolidada.
Perspectiva Financeira
Em geral, esse êxito é medido pela sua lucratividade, pelo crescimento do negócio e pelo incremento do valor para o acionista (shareholder value). 
	No estágio de rápido crescimento (rapid growth), os objetivos financeiros enfatizarão o crescimento das vendas, os novos mercados e novos consumidores, os novos produtos e novos serviços, os sistemas, a capacitação de funcionários, o estabelecimento de novos canais de marketing, vendas e distribuição, mantendo um nível adequado de gastos com desenvolvimento de produtos e processos.
	No estágio de sustentação (sustain), os objetivos financeiros enfatizarão as medidas financeiras tradicionais, tais como retorno sobre capital investido, lucro operacional e margem bruta. Os investimentos em projetos, nesse estágio, serão avaliados por análises de padrões, fluxo de caixa descontado e orçamento de capital. Alguns podem incorporar o valor econômico agregado (EVA) e o incremen- to de valor para o acionista (shareholder value). Essas medidas representam o objetivo financeiro clássico: excelente retornosobre o capital investido.
	No estágio de colheita (harvest), a ênfase financeira recairá sobre o fluxo de caixa. Qualquer investimento deverá prover retorno em caixa (cash payback) cer- to e imediato, pois o objetivo não é maximizar o retorno sobre o investimento. Os gastos com pesquisa e desenvolvimento se escasseiam, pois o ciclo de vida do negócio está em seu estágio final. Nesse caso, variáveis que possam comprometer o desfecho planejado do negócio (uma venda, uma liquidação, por exemplo) de- vem ser monitoradas. Essas variáveis podem ser o endividamento crescente, a contaminação ambiental, a insatisfação de clientes etc.
	Os temas financeiros mais usados pelas empresas, para realizar a estratégia, são: crescimento e mix de receita; redução de custo e aumento de produtividade; utilização de ativos e estratégia de investimento. Eles podem ser usados em qual- quer um dos três estágios estratégicos antes referidos. As medidas financeiras, no entanto, é que serão diferentes de acordo com o caso.
Esses temas também podem ser reorganizados em dois outros grupos genéricos: crescimento e produtividade. Pode-se crescer aumentando a fonte de recei- tas e/ou o valor por cliente atual. Pode-se obter ganho de produtividade mediante a redução dos custos e/ou a melhor utilização dos ativos.
Perspectivas de clientes
Eles terão que definir quais atributos são importantes e qual o nível de excelência em cada um dos atributos importantes. 5 Kaplan e Norton26 organizaram es- ses atributos em três categorias: atributos de serviço/produto; relacionamento com o cliente; e imagem e reputação. Os atributos do produto e serviço dizem respei- to a sua funcionalidade, seu preço e sua qualidade. O relacionamento com o cliente diz respeito à entrega do produto ou serviço, incluindo tempo de resposta e de entrega e como o cliente se sente diante da experiência da compra. A imagem e a reputação dizem respeito ao modo como a empresa se apresenta para seus clientes (posicionamento de marca, por exemplo).
Perspectivas Processos internos
O ganho de produtividade, freqüentemente, é um objetivo em si mesmo. O BSC rompe essa lógica. Os investimentos e as mudanças de processos que aumentam a produtividade só são considerados se forem críticos para o sucesso da estratégia da organização. O BSC exige a atenção para as ondas longas de criação de valor (long wave of value creation). O processo de inovações tem que levar em conta produtos e serviços novos que atenderão aos consumidores atuais e futuros.
É na perspectiva de processos internos que a empresa definirá o que precisa ser melhorado ou criado para atender aos atributos importantes mapeados na perspectiva de clientes. Os principais processos internos são organizados, pelo BSC, em quatro grupos: processos relacionados à gestão operacional, processos relacionados à gestão de clientes, processos de inovação e processos regulatórios e sociais.
A gestão operacional agrupa os processos de produção e entrega do produto, tais como abastecimento por fornecedores, produção, distribuição do produto e gerenciamento de riscos financeiros e operacionais. A gestão de clientes agrupa processos que dão suporte à criação de valor para os clientes, tais como selecionar e mapear o perfil dos clientes-alvo, conquistar clientes, reter clientes e crescer em um segmento de clientes, cultivando relacionamentos com eles. Os processos de inovação são aqueles que tratam de identificar as oportunidades de novos produtos e serviços; de gerenciar o portfólio de pesquisa e desenvolvimento; de projetar e desenvolver novos produtos e serviços e de lançar novos produtos e serviços no mercado. Os processos regulatórios e sociais são aqueles que melhoram a relação com a comunidade e o meio ambiente, tratando do meio ambiente; da segurança e da saúde; das práticas trabalhistas e dos investimentos na comunidade.
Perspectiva de aprendizado e crescimento
O aprendizado e o crescimento da organização vêm de três principais fontes: as pessoas, os sistemas de informação e a estrutura e procedimentos organizacionais.
Sistemas de Controle
Os sistemas de controle são soluções sistematizadas, com o propósito de geren- ciar o risco, relacionadas às diferentes atividades da organização. Entre os sis- temas, podem-se destacar o COSO (Committee of Sponsoring Organizations), o CoCo (Criteria of Control), COBIT (Control Objectives for Information and Rela- ted Technology).
O COSO dedica-se a estudar e criar guias, com a finalidade de estabelecer operações organizacionais efetivas, eficientes e éticas em uma base global. Sua principal função é patrocinar e disseminar estudos, que auxiliam a melhorar a gestão de riscos. É patrocinada por instituições.
O gerenciamento de riscos é um dos atributos do Coso e se subdivide em:
Ambiente Interno – o ambiente interno compreende a filosofia da organiza- ção e fornece a base pela qual os riscos são identificados e abordados pelo seu pessoal, inclusive a filosofia de gerenciamento de riscos, a propensão a risco, a integridade e os valores éticos, além do ambiente em que estão inseridos.
Fixação de Objetivos – as medidas de referência devem existir antes que a gestão possa identificar os eventos em potencial que podem afetar a sua realização. O gerenciamento de riscos corporativos assegura que os gesto- res disponham de um processo para estabelecer as medidas que propiciem suporte e estejam alinhados com a missão da organização e sejam compa- tíveis com a sua propensão a riscos.
Identificação de Eventos – os eventos internos e externos que influen- ciam o cumprimento das medidas da organização devem ser identificados e classificados entre ameaças e oportunidades. Essas oportunidades iden- tificadas são direcionadas para os processos de formulação das estratégias ou das medidas de referência.
Avaliação de Riscos – os riscos são analisados, considerando-se a sua pro- babilidade e o impacto como base para determinar o modo pelo qual de- vem ser gerenciados. Isto inclui a avaliação dos riscos quanto à sua condi- ção de inerentes e residuais.
Resposta a Risco – os gestores escolhem os planos com a finalidade de evitar, aceitar, reduzir ou compartilhar os riscos, desenvolvendo um con- junto de medidas para alinhar os riscos à tolerância e sua proposição.
Atividades de Controle – são políticas e procedimentos estabelecidos e implementados para assegurar que os riscos sejam eliminados ou mini- mizados.
Informações e Comunicações – as informações relevantes são identifi- cadas, registradas e comunicadas de forma e no prazo que permitam que cumpram suas finalidades. A comunicação eficaz também ocorre em um sentido mais amplo, fluindo em todos os níveis da organização.
Monitoramento – a integridade da gestão de riscos corporativos é moni- torada e são feitas as adaptações e modificações necessárias. O monitora- mento é realizado através de atividades gerenciais contínuas ou avaliações independentes ou de ambas as formas.
Em geral, o gerenciamento de riscos não é um processo sequencial pelo qual uma variação afeta apenas a próxima. É um processo multidirecional e interativo segundo o qual quase todos os componentes influenciam e são in- fluenciados.
Critérios de Controle (COGO)
	Neste sistema, o colaborador executa a tarefa, guiado pela compreensão de seu propósito (medida de referência a ser alcançada) e apoiado por capacidade (informação, recursos, materiais e habilidades). O CoCo entende que o responsável precisa da sensação de compromisso para executar bem, com passar do tempo, a tarefa. O monitoramento do colaborador ou do seu desempenho e do ambiente externo possibilita aprender como fazer melhor a tarefa. Em qualquer organização, o controle tem como essência as finalidades básicas de documenta- ção, disponibilidade de informação, influênciado comportamento e comprometimento, capacidade, monitoramento e aprendizado.
	
	Os propósitos indicam a direção da organização, com estabelecimento e comunicação dos objetivos, missão, visão e estratégias; identificação das ameaças e oportunidades; desenvolvimento de políticas; e planejamento com a definição de medidas de referência.
	O comprometimento estabelece os valores e crenças da organização, com a definição dos valores éticos, inclusive a integridade; políticas de recursos humanos e práticas consistentes com os valores éticos; autoridade e responsabilidade; e confiança mútua para apoiar os colaboradores a atingir os resultados esperados.
	A capacidade descreve a competência da organização com o conhecimento e habilidades necessárias e as ferramentas de apoio às ações e decisões, com a finalidade de consecução das medidas de desempenho; processos de comunicação apoiados em valores; informação suficiente e pertinente; coordenação das decisões e ações em diferentes áreas e níveis; e atividades de controle como parte integrante da organização, levando em consideração as medidas de referência, riscos de realização e inter-relações entre os elementos de controle.
	Já o monitoramento e aprendizado envolvem o acompanhamento e evolução da organização com o monitoramento dos ambientes externos e internos para obtenção da informação que pode sinalizar a necessidade de reavaliar os objetivos ou o controle; monitorar as medidas de referência identificadas nos planos; questões desafiadoras; reavaliação das necessidades e sistemas de infor- mação relacionados, como a mudança das medidas ou como deficiências identificadas; estabelecimento de procedimentos para assegurar as mudanças ou ações; e avaliar a efetividade do controle periodicamente em sua organização e comunicar os resultados aos responsáveis.
	Control Objectives for Information and Related Technology (COBIT)
É um guia, formulado como framework, direcionado para a gestão de tecnologia de infor- mação (TI).
Possui um conjunto de instruções que podem servir como um modelo de referência para gestão da TI, incluindo um sumário executivo, um framework, controle de objetivos, mapas de auditoria, ferramentas para a sua implementação e, principalmente, um guia com técnicas de gerenciamento.
A estrutura do COBIT abrange quatro domínios, os quais possuem 34 processos (dois objetivos de controle para cada processo), que são apresentados na sequência.
a) Planejar e Organizar
O domínio de planejamento e organização abrange o uso de informação e tecnologia e, com isso, pode ser empregado para que a organização atinja suas medi- das de referência. Ele também salienta que a forma organizacional e a infraestrutura da TI devem ser consideradas para que se atinjam os resultados esperados e para que se gerem os benefícios esperados. Entre as finalidades de controle de alto nível para o domínio do planejamento e organização, podem-se enumerar as seguintes:
•	definir um plano estratégico de TI e orientações (PO1); 
•	definir a arquitetura de informação (PO2); 
•	determinar o gerenciamento tecnológico (PO3); 
•	definir os processos de TI, organização e relacionamentos (PO4); 
•	gerenciar o investimento em TI (PO5);
•	comunicar os objetivos de gerenciamento e orientar (PO6); 
•	gerenciar os recursos humanos de TI (PO7); 
•	gerenciar a qualidade (PO8); 
•	estimar e gerenciar os riscos de TI (PO9); e
•	gerenciar projetos (PO10).
b) Adquirir e Implementar
O domínio de adquirir e implementar abrange os requisitos de TI, aquisição de tecnologia e implementação nos processos de negócios da organização. Esse domínio também foca o desenvolvimento do plano de manutenção que a organização adota para prolongar a vida do sistema de TI e seus componentes. Entre as finalidades do domínio de aquisição e implementação, podem-se destacar as seguintes:
•	identificar soluções automatizadas (AI1); 
•	adquirir e manter software de aplicação (AI2); 
•	adquirir e manter infraestrutura de tecnologia (AI3); 
•	habilitar operações e a sua utilização (AI4); 
•	obter recursos de TI (AI5); 
•	gerenciar mudanças (AI6); e 
•	instalar e credenciar soluções e mudanças (AI7).
c) Entregar e Dar Suporte
O domínio de entregar e dar suporte foca os aspectos de fornecimento e assistência técnica da tecnologia da informação. Ele abrange a execução de aplicações no sistema de TI e seus resultados, assim como o suporte dos processos que habilitam a execução de forma eficiente e efetiva. Esses processos de suporte também incluem questões de segurança e treinamento. Entre as finalidades de controle desse domínio, podem-se enumerar as seguintes:
•	definir e gerenciar níveis de serviço (ES1); 
•	gerenciar serviços de terceiros (ES2);
 •	gerenciar o desempenho e capacidade (ES3); 
•	assegurar serviço contínuo (ES4); 
•	assegurar segurança do sistema (ES5); 
•	identificar e alocar recursos (ES6); 
•	treinar usuários (ES7); 
•	gerenciar serviços de escritório e incidentes (ES8); 
•	gerenciar a configuração (ES9); 
•	gerenciar problemas (ES10); 
•	gerenciar dados (ES11); 
•	gerenciar o ambiente físico (ES12); e
 •	gerenciar as operações (ES13).
d) Monitorar e Avaliar
O domínio de monitorar e avaliar compreende a projeção das necessidades da organização e avalia se o atual sistema de TI atinge as medidas de referência para as quais ele foi projetado e controla os requisitos para atender as medidas regulatórias. Ele também abrange as questões de estimativa independentemente da efetividade do sistema de TI e sua capacidade de atingir as medidas, controlando os processos internos da organização através de auditores internos e externos. Entre as finalidades de controle desse domínio, podem-se destacar:
monitorar os processos (MP1); 
assegurar a avaliação dos controles internos (MP2);
prover avaliação independente (MP3); 
e prover auditoria independente (MP4)
Norma AS/NZS4360
Sua finalidade é fornecer uma estrutura genérica para o estabelecimento dos contextos e para a identificação, análise, avaliação, tratamento, monitoramento e comunicação de riscos. Ela deve ser utilizada em conjunto com outras normas e sistemas aplicáveis ou pertinentes.
Esta norma identifica os elementos do processo de gestão de riscos, porém não tem a finalidade de impor a uniformidade dos sistemas de gestão de riscos.
Governança Corporativa
É um sistema de valores que rege as organizações, tanto em suas relações internas como externas.