Baixe o app para aproveitar ainda mais
Prévia do material em texto
2 SUMÁRIO 1 INTRODUÇÃO ............................................................................................ 4 2 GOVERNANÇA .......................................................................................... 5 2.1 Governança corporativa ....................................................................... 7 2.2 Princípios ............................................................................................ 10 2.3 Definição e evolução histórica da governança de TI .......................... 12 2.4 Fundamentos da governança de TI .................................................... 17 2.5 Princípios ............................................................................................ 20 2.6 O papel da TI nas organizações ......................................................... 23 2.7 O ciclo da governança de TI ............................................................... 28 2.8 Domínios, modelos e componentes ................................................... 30 2.9 Metodologias para suporte a governança TI ...................................... 33 2.10 COBIT - control objectives for information and related technology . 34 2.11 ITIL - information technology infrastructure library .......................... 34 2.12 PMI (project management institute) ................................................ 35 2.13 CMM - capability maturity model for software ................................. 35 2.14 Balanced scorecard ........................................................................ 35 2.15 Governança da informação ............................................................. 36 2.16 Valor da informação ........................................................................ 46 2.17 Governança de dados ..................................................................... 49 2.18 Conceitos ........................................................................................ 50 2.19 Princípios ........................................................................................ 53 2.20 Domínios e modelos ....................................................................... 54 3 Gestão de TI ............................................................................................. 57 3.1 Gestão estratégica de TI .................................................................... 58 3.2 Diferenças e comparações dos termos .............................................. 59 3 4 BIBLIOGRAFIA ......................................................................................... 63 4 1 INTRODUÇÃO Prezado aluno! O Grupo Educacional FAVENI, esclarece que o material virtual é semelhante ao da sala de aula presencial. Em uma sala de aula, é raro – quase improvável - um aluno se levantar, interromper a exposição, dirigir-se ao professor e fazer uma pergunta, para que seja esclarecida uma dúvida sobre o tema tratado. O comum é que esse aluno faça a pergunta em voz alta para todos ouvirem e todos ouvirão a resposta. No espaço virtual, é a mesma coisa. Não hesite em perguntar, as perguntas poderão ser direcionadas ao protocolo de atendimento que serão respondidas em tempo hábil. Os cursos à distância exigem do aluno tempo e organização. No caso da nossa disciplina é preciso ter um horário destinado à leitura do texto base e à execução das avaliações propostas. A vantagem é que poderá reservar o dia da semana e a hora que lhe convier para isso. A organização é o quesito indispensável, porque há uma sequência a ser seguida e prazos definidos para as atividades. Bons estudos! 5 2 GOVERNANÇA Fonte: dernegocios.com Antes de entrar especificamente no tema da governança deve-se mencionar a sua origem nos estudos organizacionais. Williamson (1975 apud FARIA F; 2013), é personagem central na nova economia institucional, uma corrente do pensamento econômico ligada à Escola Institucionalista, que surge na década de setenta nos Estados Unidos. Esta corrente enfatiza a importância e o papel do arranjo institucional que dá suporte as relações econômicas no mundo capitalista. Os mercados não são perfeitos e é clara a incerteza dos agentes econômicos nestes ambientes devido a fatores como a sua racionalidade limitada, ao sempre presente comportamento oportunista, a assimetria de informações e a total impossibilidade de contratos absolutamente completos, conforme apud FARIA F; (2013). De acordo com Williamson (1991 apud FARIA F; 2013), uma organização econômica pode ser classificada de três diferentes formas genéricas quando considerados os custos de governança e a especificidade dos ativos: mercado, hierarquia e híbrida. 6 As empresas classificadas nestas formas distinguem-se umas das outras pelas diferenças existentes entre as suas capacidades de coordenação, pelos mecanismos de controle e pelas suas habilidades para adaptação a ambientes turbulentos. Williamson elaborou a Teoria dos Custos de Transação a partir dos trabalhos pioneiros de Coase (1937; apud FARIA F; 2013). Na nova economia institucional, os custos de transação são consequência de fatores institucionais, dentre eles: o desenvolvimento tecnológico, as estruturas de mercado, as normas e as leis existentes. A Teoria dos Custos de Transação tem suas bases nos contratos, que são realizados por homens de racionalidade limitada e oportunistas por natureza, e nas transações econômicas, que são realizadas em ambiente com limitações tecnológicas e institucionais. Os custos de transação, segundo Williamson (1985; apud FARIA F; 2013), são aqueles em que há de se incorrer quando se recorre ao mercado ou, ainda, aqueles que movimentam o sistema econômico. Segundo Pugh e Hickson (2004; apud FARIA F; 2013), Willianson associa a economia de mercado à teoria organizacional na forma do institucionalismo econômico. Ele busca a possibilidade de que as medidas da estrutura de mercado eventualmente possam se combinar com as medidas da estrutura interna das organizações. Este é o registro histórico da relação entre o institucionalismo, a nova economia institucional e as questões da governança, conforme FARIA F; (2013). De acordo com Kjaer (2004; apud FARIA F; 2013), a teoria de governança está principalmente preocupada com a mudança institucional. Segundo a autora, governança idealmente combina regras e estruturas. Assim, uma definição institucional ampla de governança deveria envolver um conjunto de regras, a aplicação das regras e a verificação do cumprimento dessas regras. Na sua perspectiva, governança refere-se à definição e gestão de regras políticas do jogo, e mais substancialmente, com uma busca de controle, direção e responsabilidade. Conforme Weill e Ross (2004; apud FARIA F; 2013), a governança determina quem toma decisões. Etimologicamente governança vem do verbo grego kubernan (pilotar ou dirigir, guiar) e foi usado por Platão com relação a como desenhar um sistema de regras. E o termo grego evoluiu para o termo gubernare em latim medieval, que tem a mesma 7 conotação de regulamentar e dirigir (KJAER, 2004). O ato de governar significa ação, efeito de dirigir, capacidade ou possibilidade de exercer domínio sobre algo, controle. 2.1 Governança corporativa A governança corporativa envolve um conjunto de regras e atividades que determina o modo pelo qual a empresa deve operar. Trata-se de um meio de estabelecer e manter a harmonia entre os acionistas e os altos executivos das empresas. Através dela, busca-se identificar maneiras de garantir que as decisões sejam tomadas de forma eficaz, sem perder o foco na eficiência operacional e maximização dos resultados. Existem muitas definições para governança corporativa, mas, de forma geral,todas convergem para os mesmos princípios, práticas e objetivos, conforme FIORINI F; et al., (2016). Para Silva (2012 apud FIORINI F; et al., 2016) “a governança corporativa é um conjunto de práticas que têm por finalidade otimizar o desempenho de uma companhia, protegendo investidores, empregados e credores, facilitando, assim, o acesso ao capital”. Assim, entendemos que governança corporativa é um conjunto de estratégias utilizadas para administrar a relação entre os acionistas e para determinar e controlar a direção estratégica e o desempenho das organizações (HITT; HOSKISSON; IRELAND; 2014 apud FIORINI F; et al., 2016). Conforme FIORINI F; et al., 2016, O Instituto Brasileiro de Governança Corporativa (IBGC), fundado em 1995, inicialmente com o nome de Instituto Brasileiro de Conselheiros de Administração, apresenta o seguinte conceito: Governança corporativa é o sistema pelo qual as empresas e demais organizações são dirigidas, monitoradas e incentivadas, envolvendo os relacionamentos entre sócios, conselho de administração, diretoria, órgãos de fiscalização e controle e demais partes interessadas. As boas práticas de governança corporativa convertem princípios básicos em recomendações objetivas, alinhando interesses com a finalidade de preservar e otimizar o valor econômico de longo prazo da organização, facilitando seu acesso a recursos e contribuindo para a qualidade da gestão da organização, sua longevidade e o bem comum. (IBGC, 2015, p. 20 apud FIORINI F; et al., 2016). Como podemos observar existem inúmeras definições diferentes para o termo “governança corporativa”. Todavia, podemos definir governança corporativa, em 8 linhas gerais, como o conjunto de mecanismos que visam fazer com que as decisões corporativas sejam sempre tomadas com objetivo de maximizar a geração de valor de longo prazo para o negócio e retorno de todos os acionistas (SILVEIRA, 2010 apud FIORINI F; et al., 2016). Em relação aos benefícios que a governança corporativa traz para as empresas, podemos citar que: Existem dois potenciais benefícios principais que a boa governança pode acarretar às empresas: os benefícios externos, associados à maior facilidade de captação de recursos e à redução do custo de capital; e os benefícios internos, vinculados ao aprimoramento do processo decisório na alta gestão. (SILVEIRA, 2010, p. 7 apud FIORINI F; et al., 2016). Como caracteriza FIORINI F; et al., (2016), a redução do custo de capital está associada ao menor risco de uma empresa com boa governança, que consequentemente se torna mais atraente para os investidores. Entretanto, apesar destes benefícios consideráveis, a implantação de um sistema de governança corporativa envolve custos. Tais custos são provenientes da implementação de processos melhores estruturados, elaboração de relatórios financeiros mais sofisticados, sistema de remuneração adequado para conselho de administração e executivos, entre outros, conforme observaremos mais à frente. Muito tem se discutido sobre os custos envolvidos para implementação de boas práticas de governança corporativa. Contudo, mesmo considerando estes custos observamos que uma governança eficaz pode afetar positivamente o crescimento e desenvolvimento das empresas e, consequentemente, o desenvolvimento econômico dos países, Conforme FIORINI F; et al., 2016. Por outro lado, as más práticas de governança podem impactar negativamente o crescimento econômico. Como exemplo, podemos citar os casos das crises nos mercados emergentes no final do século XX e a série de escândalos corporativos no Estados Unidos e Europa no início dos anos 2000, Conforme FIORINI F; et al., 2016. A GC é uma visão mais ampla da estratégia da empresa, considerando, inclusive, os relacionamentos com a comunidade e visa criar um conjunto eficiente de mecanismos, incentivos e de monitoramento para assegurar o alinhamento entre os comportamentos dos executivos e os dos acionistas (INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA, 2009 apud ASSIS C; 2018). 9 Extrapolando o âmbito financeiro e a adequação a regulamentações do mercado aberto de ações, a GC norteia-se por princípios como transparência, equidade, prestação de contas e responsabilidade corporativa (STEINBERG et al., 2003; INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA, 2009 apud ASSIS C; 2018). A GC almeja elevar o valor da organização (COOMBES; WATSON, 2000; RIOTTO, 2008 apud ASSIS C; 2018). Uma definição abrangente entende que a Governança Corporativa envolve um conjunto de relacionamentos entre a gestão de uma empresa, seu Conselho de Administração, seus acionistas e outras partes interessadas. Governança Corporativa também fornece a estrutura através da qual os objetivos da empresa são definidos, os meios de atingir esses objetivos e a forma de monitoramento de desempenho (ORGANIZATION FOR ECONOMIC CO-OPERATION AND DEVELOPMENT, 2004, p. 11 apud ASSIS C; 2018). O quadro mostra uma compilação das definições mais citadas na literatura, caracterizando seu foco de análise (estrutura de decisão ou processos), e um resumo de suas contribuições teóricas. Fonte: teses.usp.br 10 2.2 Princípios Apesar de não haver consenso sobre as práticas de Governança nos mercados, pode-se afirmar que todas se baseiam nos princípios da transparência, equidade, prestação de contas e responsabilidade corporativa (INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA, 2009; apud ASSIS C; 2018). Os princípios da Governança Corporativa buscam endereçar problemas relativos a existência de agendas ocultas, que não são do conhecimento de todos e que não atendem ao interesse coletivo (STEINBERG et al., 2003; INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA, 2009; apud ASSIS C; 2018): Princípio da transparência: tem por objetivo criar um clima de confiança nas relações internas e externas. É o "desejo de informar", para além da "obrigação de informar", visando a uma comunicação interna e externa objetiva, clara, espontânea e oportuna. Deve ir além da legislação específica e expandir-se para assuntos e fatores que possam ser do interesse dos públicos da organização, como valores e ações estratégicas, conforme ASSIS C; (2018). Princípio da equidade: busca erradicar atitudes ou práticas discriminatórias, consideradas como inaceitáveis. Corresponde ao tratamento justo e igualitário dos grupos minoritários, abrangendo pequenos acionistas, colaboradores, clientes, fornecedores e credores, conforme ASSIS C; (2018). Princípio da prestação de contas: visa atribuir aos devidos encarregados a responsabilidade integral por atos praticados no decorrer de seus mandatos. É muito conhecida pelo termo original em inglês - accountability - e determina que todos os responsáveis pela Governança devem prestar contas a quem os impostou ou lhes atribuiu as responsabilidades, conforme ASSIS C; (2018). Princípio da responsabilidade corporativa: deve zelar pela continuidade e perenidade da organização, acoplando uma visão de longo prazo e de sustentabilidade. Caracteriza-se por ser uma visão mais ampla e de longo prazo da estratégia organizacional, contemplando todos os seus relacionamentos. Incorpora a "função social" da 11 empresa, visando a criação de riqueza, a geração de oportunidades de emprego, o estímulo ao desenvolvimento científico e a melhoria da qualidade de vida. Também inclui as questões ambientais e a defesa do meio ambiente. Os princípios para a GC das empresas não substituem o comando ou as iniciativas de se desenvolver melhores práticas no assunto (ORGANIZATION FOR ECONOMIC CO-OPERATION AND DEVELOPMENT, 2004; apud ASSIS C; 2018). Em 1999 Cadbury expressa que a "Governança Corporativa deve se preocupar com o equilíbrio entre as metas econômicas e sociais, e entre as metas individuais e comuns” (CADBURY apud ISKANDER; CHAMLOU, 2000, p. 4; apud ASSIS C;2018). Segundo Smallwood (2014; apud ASSIS C; 2018), a GC é o nível mais alto de governança em uma organização, e o contexto maior para as demais governanças; mais especificamente, a Governança Corporativa é o contexto para a Governança de TI (KHATRI; BROWN, 2010; SMALLWOOD, 2014; apud ASSIS C; 2018). Percebe-se que nenhuma teoria ou modelo até então desenvolvido é suficientemente completo para compreender em sua totalidade a questão da governança corporativa. Pode-se, no entanto, afirmar que governança diz respeito a métodos para tornar mais transparentes, organizadas e legítimas as práticas de gestão e monitoramento do desempenho das organizações, conforme FARIA F; (2013). Nas corporações modernas, há quatro mecanismos internos de governança corporativa – concentração de propriedade, conselho de administração, remuneração executiva e estrutura multidivisional – e um mecanismo externo – o mercado para controle corporativo (HITT, IRELAND e HOSKISSON, 2005 apud FARIA F; 2013). Andrade e Rossetti (2006 apud FARIA F; 2013), mostram que do ponto de vista organizacional e dentro de uma estrutura de poder, a governança corporativa reúne os processos e práticas de gestão, envolvendo um conjunto constituído por pelo menos três subconjuntos: propriedade, conselho de administração e diretoria. Estes elementos estão explicitados nas Figuras abaixo. 12 Fonte: lume.ufrgs.br - Modelo de estrutura Gov Síntese das dimensões Corporativa Deve-se acrescentar que quando o modelo é aberto, inclui-se uma quarta parte no modelo, denominada como outras partes interessadas, conforme ilustrado no modelo de governança apresentado na figura acima, são apresentados os cinco P´s ou a síntese das cinco dimensões conceituais com as quais se pode analisar a governança corporativa. 2.3 Definição e evolução histórica da governança de TI Para TEODORO A, et al., (2014) Governança de TI é o termo usado para descrever a forma como as pessoas responsáveis pela governança de uma organização considerarão a TI em supervisão, monitoramento, controle e direção. A forma como a TI é aplicada na organização terá um impacto imenso sobre o alcance (ou não) da visão, da missão e dos objetivos estratégicos da organização (ITGI, 2003 apud TEODORO A, et al., 2014). Para Weill e Ross (2006, p. 8 apud TEODORO A, et al., 2014), GTI é “a especificação dos direitos decisórios e do framework de responsabilidades para estimular comportamentos desejáveis na utilização da TI”; e Lunardi (2008, p. 38 apud TEODORO A, et al., 2014) detalha, governança de TI consiste no sistema responsável pela distribuição de responsabilidades e direitos sobre as decisões de TI, bem como pelo gerenciamento e controle dos recursos tecnológicos da organização, buscando, dessa forma, garantir o alinhamento da TI às estratégias e aos objetivos organizacionais. 13 As definições de GTI (Governança de TI), possuem em comum aspectos que tratam de estrutura, processos, controle e pessoas da TI, alinhamento da TI com os processos de negócio, estratégias e objetivos da organização, tomada de decisão e geração de valor para a organização (Peterson, 2004; Alves et al., 2013 apud TEODORO A, et al., 2014). Trabalhos recentes, como os de Jaeger Neto, Becker, Luciano e Testa (2009 apud TEODORO A, et al., 2014) e Tarouco e Graeml (2011 apud TEODORO A, et al., 2014), comprova a importância da GTI na área de administração, no Brasil. Alves et al. (2013 apud TEODORO A, et al., 2014) demonstram que há um crescente interesse pelo tema na literatura acadêmica brasileira. Com base nos conceitos citados na revisão de 90 artigos, de 2004 a 2011 apud TEODORO A, et al., 2014, os autores propuseram quatro variáveis-chave para a GTI, que podem ser aplicadas aos estudos de organizações brasileiras: Estrutura organizacional e participação da TI e de outras áreas na tomada de decisão sobre GTI; Negócios e alinhamento de TI; Tamanho e tipo de empresa; Relações entre pessoas e áreas para entender as relações de poder e o fluxo da informação. No entanto, embora a GTI seja um tema importante para as organizações, sua influência nas medidas de sucesso dos negócios não acompanha o nível de importância que lhe é atribuído (Jaeger Neto et al., 2009 apud TEODORO A, et al., 2014). As decisões da GTI são centralizadas e localizadas em áreas de TI ou unidades de negócios e estão quase sempre estritamente relacionadas a assuntos internos da organização, o que significa que as direções de TI são determinadas por orientação de redução de custos, em vez de contribuir para formas inovadoras de fazer negócio (Alves et al., 2013 apud TEODORO A, et al., 2014). Diversos estudos têm apontado que a GTI é utilizada nas organizações por meio de um conjunto de mecanismos referentes à estrutura, aos processos e ao relacionamento da TI com as demais áreas de negócio (Peterson, 2004 apud TEODORO A, et al., 2014). 14 As estruturas estão relacionadas aos responsáveis pelas ações de TI e aos diversos comitês para tomada de decisões. Os processos estão relacionados ao direcionamento estratégico e a seu monitoramento pela TI. Nos relacionamentos, estão inclusos a participação da TI nas demais áreas, o diálogo estratégico, o aprendizado e a comunicação apropriada (Van Grembergen, De Haes & Guldentops, 2004 apud TEODORO A, et al., 2014). Segundo Van Grembergen et al., (2004 apud TEODORO A, et al., 2014), os mecanismos mais comumente ligados à estrutura de tomada de decisão de TI são: a clara definição de responsabilidades e dos papéis na TI, a estrutura da TI na organização, a presença do Chief Information Officer (CIO) no conselho de administração ou em um comitê executivo, a existência de um escritório de projetos, além da possibilidade de existência de diversos outros comitês. Os mecanismos de GTI ligados a processos fazem com que os responsáveis por TI e pelas áreas de negócio trabalhem em conjunto para que as decisões de TI e o negócio estejam alinhados, executando e monitorando a aplicação das decisões, em um processo de retroalimentação do aprendizado dessas iniciativas (Ribbers, Peterson & Parker, 2002 apud TEODORO A, et al., 2014). Segundo De Haes e Van Grembergen (2005 apud TEODORO A, et al., 2014), os mecanismos de governança de TI relacionados aos processos são: a utilização de indicadores de desempenho, o planejamento estratégico de sistemas de informação, a utilização de metodologias como Information Technology Infrastructure Library (ITIL) e Control Objectives for Information and Related Technology (Cobit), e a utilização de acordos de nível de serviço (SLA – Software Level Agreement). O relacionamento entre TI e as demais áreas de negócio permite que as soluções para problemas ou projetos possuam saídas mais ligadas às reais necessidades de negócio, ultrapassando as fronteiras funcionais (Lunardi, 2008 apud TEODORO A, et al., 2014). Os mecanismos que o implementam são canais de comunicação entre as áreas de negócio e a TI, e pode-se criar um âmbito de colaboração que aproxima as necessidades de negócio às soluções e às restrições da TI (De Haes & Van Grembergen, 2005 apud TEODORO A, et al., 2014). 15 Segundo Lunardi (2008 apud TEODORO A, et al., 2014), pode haver casos em que os processos e a estrutura da TI estejam bem ajustados, mas, mesmo assim, em virtude de problemas de relacionamento entre a TI e o negócio, a área de TI não funcione de forma satisfatória. Os mecanismos de relacionamento são indispensáveis para a governança, haja vista a importância da comunicação efetiva com os diversos públicos da organização. Segundo Weill e Ross (2006 apud TEODORO A, et al., 2014), quanto mais a organização comunica os mecanismos de governança e seu funcionamento, mais eficaz será sua governança. Outro exemplo é o compartilhamento de aprendizagem,que assegura o compartilhamento de conhecimento entre as áreas de negócio e a TI, de forma que a TI se mantenha alinhada aos objetivos da organização (Callahan & Keyes, 2004; De Haes & Van Grembergen, 2005 apud TEODORO A, et al., 2014).O compartilhamento e a gestão do conhecimento são facilitados por algumas ferramentas, como o treinamento funcional entre TI e as áreas, a educação continuada e a utilização de banco de projetos (Lunardi, 2008 apud TEODORO A, et al., 2014). Para Lunardi, Becker e Maçada (2010 apud TEODORO A, et al., 2014), algumas áreas podem ser destacadas como foco de atuação da governança de TI das organizações, conforme explicitado na Figura: Fonte: researchgate.net 16 Alinhamento estratégico – faz com que o trabalho executado pela TI e suas prioridades estejam atendendo às necessidades estratégicas estabelecidas pelas áreas de negócio da organização (ITGI, 2003 apud TEODORO A, et al., 2014); Valor da TI – busca assegurar que a TI entregue ao negócio os benefícios pretendidos, dentro dos prazos e custos dos investimentos propostos; Gerenciamento de riscos – propõe a proteção dos ativos da TI, tanto ativos físicos quanto informação ou disponibilidade dos serviços; recursos de TI – buscam utilizar da melhor forma a infraestrutura e os conhecimentos de TI da organização, por meio de investimentos e da utilização adequadamente distribuída dos recursos, sejam pessoal, dados, suporte, tecnologia etc. (Lunardi, 2008 apud TEODORO A, et al., 2014); Mensuração do desempenho da TI – busca acompanhar e monitorar a implementação da estratégia, os processos, o gerenciamento e os projetos de TI, com o intuito de melhorar a entrega de valor da TI ao negócio; Accountability – visa definir, para cada decisão da TI, quem são os responsáveis e as diversas partes envolvidas, e assegurar que a organização compreenda essas estruturas. Segundo Van Grembergen et al. (2004 apud TEODORO A, et al., 2014), é um ponto-chave para uma boa GTI. De acordo com LUNARDI (2008 apud BARROS C; 2016), “A primeira vez que o termo apareceu na literatura de Sistemas de Informação foi em 1991, sendo definida por Venkatraman (apud LOH, 1993) como o meio utilizado para descrever como a TI media ou governa os relacionamentos de negócios, através de um sistema baseado em TI. Em 1992, Henderson e Venkatraman (apud LOH, 1993 apud BARROS C; 2016) expandem a definição elaborada anteriormente para abranger escolhas de mecanismos estruturais, tais como joint ventures, contratos de longo prazo e boas parcerias, que seriam utilizadas para obter as capacidades requisitadas da TI. Em 1997, o conceito é novamente visitado, sendo definido por Sambamurthy e Zmud (1999 apud BARROS C; 2016) como a implementação de estruturas e arquiteturas (e padrões de autoridade associadas) relacionadas à TI para atingir com sucesso atividades em resposta ao ambiente e à estratégia organizacional. A ideia da necessidade em definir diferentes estruturas como forma de atingir o sucesso da TI é reforçada nessa definição e corroborada com a visão de Weill e Ross (2004 apud BARROS C; 2016), que definem a governança de TI como o sistema que especifica a estrutura de responsabilidades e direitos de 17 decisão para encorajar comportamentos desejáveis no uso da TI. Entretanto, é a partir de 2001, com a definição proposta por KORACKAKABADSE e KAKABADSE (2001) que a governança de TI passa a se concentrar também na necessidade de definir processos e mecanismos de relacionamento – e não apenas estruturas – para desenvolver, dirigir e controlar os recursos de TI, de modo a atingir os objetivos da organização. Nessa mesma linha, aparecem as definições de PETERSON (2004 apud BARROS C; 2016), TURBAN, MCLEAN e WETHERBE (2004 apud BARROS C; 2016) e do ITGI (2003 apud BARROS C; 2016) ”. Para o Information Technology Governance Institute (ITGI), Governança de TI “é a responsabilidade dos executivos e do conselho de diretores, e consiste na liderança de estruturas organizacionais e processos que garantem que a TI da empresa sustenta e estende os objetivos e estratégias da Organização”. (ISACA, 2015 apud BARROS C; 2016). O ITGI (2003 apud BARROS C; 2016), refere-se à governança de TI como sendo um subconjunto da governança corporativa. De acordo com BARROS C; (2016), em 2006, Weill e Ross conceituam governança de TI como “a especificação dos direitos decisórios e do framework de responsabilidades para estimular comportamentos desejáveis na utilização da TI”. E um fator crucial na governança de TI é conseguir identificar os responsáveis pelas decisões e quem responderá (positiva ou negativamente) por elas. A Governança de TI busca o compartilhamento de decisões de TI com os demais gestores da organização, assim como estabelece as regras, a arquitetura e os processos que nortearão o uso da TI pelos usuários, departamentos, unidades de negócio, fornecedores e clientes (Fernandes e Abreu, 2008 apud BARROS C; 2016). 2.4 Fundamentos da governança de TI Conforme BARROS C; (2016), um dos aspectos da governança de TI é a questão da política de tomada de decisão. Michael Gerrard, enquanto vice-presidente da Gartner, publicou em um de seus artigos: “A governança de TI é definida como os processos que garantem o uso efetivo e eficiente da TI, permitindo que uma organização atinja seus objetivos”. “A governança da demanda por TI (ITDG - o que a TI deve trabalhar) é o processo pelo qual as organizações asseguram a efetiva avaliação, seleção, priorização e financiamento de investimentos de TI concorrentes; supervisionar sua implementação; E extrair (mensuráveis) os benefícios do negócio. O ITDG é um processo de tomada de decisão e de supervisão de investimentos empresariais e é uma responsabilidade de gestão de negócios. A governança do lado da oferta de TI (ITSG - como a TI deve fazer o que faz) preocupa-se em garantir que a organização de TI opera 18 de forma eficaz, eficiente e obediente, e é sobretudo uma responsabilidade do CIO”. (Gartner 2016; apud BARROS C; 2016). Michael Gerrard (2010; apud BARROS C; 2016) recomendou que os líderes de TI sigam três fases principais em seus projetos de governança de TI. Estas fases podem variar, dependendo da sua organização e da extensão da sua iniciativa de planejamento. Na “Estratégia e planejamento” deve-se estabelecer os objetivos e princípios de negócios para a governança de TI. Determinar quais as decisões precisam ser governadas. Desenvolver estratégias e abordagens para a concepção de soluções. Estabelecer os recursos e o escopo do projeto, orçamento e sistemas de governança do projeto, conforme BARROS C; 2016. Na fase de “Solução de Arquiteto”, deve-se definir quais decisões devem ser tomadas, em que nível, por quem, com que responsabilidades e com que estilos de tomada de decisão. Recomendar como implementar o projeto. Comunicar o plano, conforme BARROS C; 2016. Para BARROS C; 2016, na “Criação”, deve-se criar os processos para governança de demanda. Os processos devem incluir aqueles para decisão Comitês, gerenciamento de portfólio, métricas de desempenho de investimentos, financiamento e para o desenvolvimento e fornecimento de TI, e monitoramento e gerenciamento de riscos. Para Weill e Ross (2006 apud BARROS C; 2016), três questões referentes à tomada de decisão devem ser tratadas para uma GTI eficaz: Quem deve tomar as decisões? Quais decisões devem ser tomadas para garantir a gestão e o uso eficaz da TI? Como essas decisões serão tomadas e monitoradas? De acordo BARROS C; 2016 com propuseram uma matriz que aborda questões a respeito da tomada de decisão, a Matriz de Arranjo de GTI. Com relação às principais decisões sobre a governança de TI, os autores sugerem que toda organização precisa tomar cinco grandes decisões inter- relacionadas sobre a TI; são elas: Decisões sobre os Princípiosde TI que são declarações de alto nível sobre como a TI é utilizada no negócio, que se tornam parte do ambiente 19 organizacional e podem ser discutidas, debatidas, apoiadas, recusadas e aprimoradas. Além de definir o comportamento desejável tanto para os profissionais de TI como para os usuários da tecnologia da informação, conforme BARROS C; 2016. Decisões sobre Arquitetura de TI, é a organização lógica dos dados, aplicações e infraestruturas, definida a partir de um conjunto de políticas, relacionamentos e opções técnicas adotadas para obter a padronização e a integração técnicas e de negócio desejadas. As decisões sobre arquitetura são muito importantes para uma gestão e utilização eficazes da TI, conforme BARROS C; 2016. Decisões sobre Infraestrutura de TI, são os serviços de TI coordenados de maneira centralizada e compartilhados, que provêm a base para a capacidade de TI da organização. Possuir a infraestrutura adequada significa fornecer serviços com um bom custo/benefício que permitam à organização adotar de uma forma mais rápida novas aplicações e negócios, conforme BARROS C; 2016. Decisões sobre Necessidades de aplicações de negócio são as especificações da necessidade de negócio de aplicações de TI adquiridas no mercado ou desenvolvidas internamente, conforme BARROS C; 2016. Decisões sobre Investimentos e priorização de TI são as decisões sobre quanto e onde investir em TI, incluindo a aprovação de projetos e as técnicas de justificação. Essas decisões envolvem normalmente três dilemas: quanto se deve gastar, em que gastar e como reconciliar as necessidades de diferentes grupos de interesse, conforme BARROS C; 2016. Essas cinco decisões relacionam-se para resultar em uma governança de TI eficaz, pois cada uma representa aspectos importantes que devem ser observadas dentro da TI. Na Matriz de Arranjo de Governança de TI as decisões (colunas) são cruzadas com arquétipos (linhas) que descrevem combinações de pessoas que possuem os direitos decisórios ou contribuem para a tomada de decisão de TI. (Mendonça et al.; 2013 apud BARROS C; 2016). 20 2.5 Princípios Segundo Weill e Ross (2004b; apud ASSIS C; 2018), os princípios da TI refletem as definições de alto nível sobre o papel da TI sobre os negócios e incorporam os comportamentos desejáveis tanto para profissionais quanto para usuários da TI. “Os princípios estabelecem o posicionamento da empresa de forma a ser traduzido em políticas, padrões e protocolos específicos” (WEILL; ROSS, 2004b, pag. 29; apud ASSIS C; 2018) e precisam esclarecer, pelo menos três expectativas organizacionais para a TI: O modelo operacional desejado pela empresa; Como a TI suporta o modelo operacional desejado; e, Como a TI é financiada. Alguns exemplos destes princípios visam: assegurar a integridade das informações; criar uma visão comum dos clientes; utilizar as normas da indústria; reutilizar antes de comprar; comprar antes de desenvolver; e administrar a TI como um investimento. Após mapearem centenas de empresas, Weill e Ross (2004b; apud ASSIS C; 2018) propõem dez princípios para a Governança de TI: Princípio da modelagem: os mecanismos de GTI devem ser modelados considerando os objetivos da organização e as metas de desempenho, e não resultar de necessidades particulares e pontuais. Um dos objetivos deve ser a avaliação, a melhoria e a consolidação dos mecanismos implantados, conforme ASSIS C; (2018). Princípio do foco: o objetivo da Governança de TI é induzir comportamentos adequados; assim, uma mudança na modelagem da GTI deveria considerar a mudança desejada nos comportamentos, conforme ASSIS C; (2018). Princípio do envolvimento: é fundamental o envolvimento do principal responsável pela TI (Chief Information Officer). Executivos e gestores de negócio precisam participar em comitês e revisões de desempenho, para que possam alocar recursos, dedicar tempo, atenção e apoio ao processo, conforme ASSIS C; (2018). Princípio da escolha: a governança se torna mais complexa na medida em que crescem as escolhas entre diferentes e, algumas vezes, 21 conflitantes objetivos. A definição dos princípios da TI deve levar em consideração os princípios dos negócios, e ser acordada com os apropriados interessados, conforme ASSIS C; (2018). Princípio da exceção: a necessidade de exceções aos processos vigentes gera desafios para as áreas de arquitetura e infraestrutura de TI, porém pode trazer valor para os negócios. Para que os processos de exceção sejam bem implementados, é importante que: sejam bem definidos e entendidos, com critérios claros; tenham poucos passos e sejam escalados rapidamente; e sejam incorporados na arquitetura empresarial, conforme ASSIS C; (2018). Princípio do incentivo: os incentivos para os executivos precisam estar alinhados com a sinergia entre as unidades de negócios e os objetivos da organização, conforme ASSIS C; (2018). Princípio da responsabilidade: a GTI, assim como outras áreas da TI, precisa ter um responsável e um dono com as seguintes competências: uma visão abrangente da TI e dos ativos-chave da empresa, assim como credibilidade dos líderes de negócio; o entendimento de que a GTI não pode ser implantada de forma isolada ou como esforço de um indivíduo; e entendimento de que o portfólio de TI deve ter adequado custo- benefício estar em conformidade com a legislação e atender aos requisitos de segurança, conforme ASSIS C; (2018). Princípio dos múltiplos níveis: a partir de uma visão de governança em nível mais amplo, direcionada pelas metas e estratégias da instituição e, se aplicável, núcleos de GTI conectados em nível de divisão ou unidade de negócio, por exemplo, conforme ASSIS C; (2018). Princípio da transparência e educação: transparência e educação caminham juntas em GTI. As divulgações dos processos nos portais internos da empresa, bem como ações de comunicação por parte dos gestores, representam oportunidades para um melhor entendimento da GTI, conforme ASSIS C; (2018).; Princípio dos mecanismos comuns: a implantação de mecanismos comuns entre os ativos-chave de TI leva a melhores resultados da GTI, conforme ASSIS C; (2018). 22 Os princípios propostos por Weill e Ross (2004b; apud ASSIS C; 2018) são descritivos, de caráter técnico, e procuram mostrar, antes de nortear, determinados comportamentos. O viés técnico é predominante nos princípios da exceção, da transparência e educação e, especialmente, dos mecanismos comuns. O princípio da responsabilidade, diferentemente do conceito aplicado na GC, não tem relação com a prestação de contas nem com a integral imputação de responsabilidade pelos atos cometidos. Para ASSIS C; (2018), O padrão ISO/IEC 38500, proposto pelo Australian Standard (AUSTRALIAN STANDARD, 2010), contempla seis princípios para a GTI, aplicáveis para a maioria das organizações. Tais princípios são orientativos, e não têm caráter normativo em relação a como, quando ou quem deve implementá-los: Princípio da responsabilidade: indivíduos e grupos concordam e aceitam suas responsabilidades acerca da demanda e do fornecimento da TI. Os indivíduos responsabilizados por ações também têm autoridade para desempenhar essas ações, conforme ASSIS C; (2018). Princípio da estratégia: a estratégia do negócio leva em conta as capacidades atuais e futuras da TI e os planos estratégicos para que a TI atenda às necessidades da estratégia organizacional, conforme ASSIS C; (2018). Princípio da aquisição: as compras da TI são feitas de acordo com razões específicas e válidas, baseadas em análises e em processos claros e transparentes de tomada de decisão. Há um balanceamento adequado entre benefícios, oportunidades, custos e riscos, no curto e médio prazo, conforme ASSIS C; (2018). Princípio do desempenho: a TI deveser apta para apoiar a organização, a prestação dos serviços, os níveis de serviço e a qualidade de serviço necessária para atender aos requisitos de negócio atuais e futuros, conforme ASSIS C; (2018). Princípio da conformidade: a TI deve estar de acordo com toda a legislação e regulamentos obrigatórios. As políticas e práticas devem ser claramente definidas, implementadas e executadas, conforme ASSIS C; (2018). 23 Princípio do comportamento humano: as políticas, práticas e decisões da TI devem demonstrar respeito pelo comportamento humano, incluindo as necessidades atuais e nascentes de todas as "pessoas no processo”, conforme ASSIS C; (2018). 2.6 O papel da TI nas organizações Para Silva e Fleury (1999 apud SILVA R; 2017), a Tecnologia da Informação (TI) pode ser conceituada como: “recursos computacionais (hardware, software e serviços relacionados) que provêm serviços de comunicação, processamento e armazenamento de dados”. Tecnologia de informação, portanto, é um termo que engloba todas as formas de tecnologia utilizadas para criar, armazenar, trocar e usar informação em suas várias formas (dados, voz, imagens estáticas e em movimento). A adoção de TI é reconhecida como um processo complexo que passa pelo planejamento, avaliação do custo/benefício gerado pelo sistema e pela sua adequação à realidade organizacional. É um processo de mudança que não só abrange o ambiente tecnológico, mas também o ambiente técnico, os recursos humanos e toda a estrutura da organização, conforme SILVA R; (2017). Um conceito importante que acentua o papel da tecnologia da informação é o de “cadeia de valores”. Tal conceito identifica as várias atividades diferenciadas, do ponto de vista tecnológico e econômico, que a organização desempenha para executar seu negócio, conforme SILVA R; (2017). A TI permeia todos os pontos da cadeia de valor das organizações, suportando as atividades das mesmas bem como os elos entre elas. Por estar presente em toda a cadeia de valor das organizações, a TI tem uma política de governança alinhada com o negócio da mesma, o que permitirá controlar e gerenciar melhor os ativos de TI (ALBERTIN; ALBERTIN, 2005 apud SILVA R; 2017). Um sistema de informação pode ser definido como um conjunto de componentes inter-relacionados para coletar, recuperar, processar, armazenar e distribuir informação com a finalidade de facilitar o planejamento, o controle, a coordenação, a análise, a avaliação e o processo decisório nas organizações. São mais conhecidos pelos benefícios que trazem para a gestão dos negócios, tentando eliminar os desperdícios, as tarefas demasiadamente repetitivas de maneira a 24 melhorar o controle dos custos, a qualidade do produto ou serviço, maximizando os benefícios alcançados com a utilização de tecnologia da informação (TURINE, CARROMEU, SILVA, CAGNIN, 2011 apud SILVA R; 2017). Segundo Polloni (2000 apud SILVA R; 2017), um Sistema de Informação (SI) pode evoluir para um sistema de informação gerencial, com dados estruturados, sintéticos e trabalhados de forma a dar somente as informações necessárias para o usuário final. Já os sistemas de informação operacionais que se tornaram userfriendly, ou seja, de fácil utilização e manipulação por parte do usuário, foram incorporando funções, transformando-se no que chamamos sistemas abertos. Esses sistemas abertos somaram funções de integração e evoluíram para o Sistema de Apoio à Decisão (SAD). Fonte: repositorio.ufba.br (Conceitos de Sistemas dentro da Organização) Segundo Polloni (2000 apud SILVA R; 2017), existem duas políticas de sistemas: Expansionista: assimila novas funções e faz com que a operacionalização de rotinas automatizadas fique cada vez mais racionalizada em termos de tempo (produtividades, redução de custos, eficiência de recursos aplicados). Organizacional estratificada: atende à necessidade do usuário no momento; é temporal. Ainda, segundo o mesmo autor, cada empresa teria uma estrutura peculiar de sistemas que é regida por uma série de condições culturais, organizacionais e estruturais. (POLLONI, 2000 apud SILVA R; 2017). O recurso mais importante para o Sistema de Informação Gerencial (SIG) seria o banco de dados, que comporta a interligação entre arquivos (vários arquivos lógicos 25 em um único arquivo físico) e promove a obtenção de respostas rápidas e ágeis na manipulação dos dados. Recursos como o teleprocessamento, conectividade e processamento real time são quase que obrigatoriamente utilizados na implementação do SIG, mostrando que só o desenvolvimento tecnológico e os conceitos de sistemas de computação avançados permitiram o surgimento dos SIGs. (POLLONI, 2000 apud SILVA R; 2017). De acordo com Polloni (2000 apud SILVA R; 2017), o desenvolvimento de um modelo de sistema de informação gerencial é bastante complexo e envolve várias técnicas, como: coletar dados a partir de funções, coletar as definições de administradores que conhecem o negócio da empresa, etc. A partir desses levantamentos, deve-se organizar um modelo e integrar, pouco a pouco, as aplicações específicas de cada área funcional da empresa, sempre com atenção para a visão global. Fonte: repositorio.ufba.br (Esquema de Desenvolvimento de SIG) A estrutura tradicional do Centro de Processamento de Dados (CPD) foi alterada e a área de gestão da informação atingiu um status ou nível hierárquico de diretoria ou vice-presidência, conforme SILVA R; (2017). Os cargos dentro do CPD foram implementados: além dos analistas de sistemas, programadores e profissionais de suporte técnico, surgiram cargos de apoio ao desenvolvimento de sistemas que conheciam o processo decisório da empresa e tinham a visão de ligação entre os subsistemas. O sucesso de um SIG depende do modelo da estrutura de decisão. Se a administração for encarada como o processo de transformação da decisão em ação, esse argumento fica mais claro na demonstração da figura abaixo: 26 Fonte: repositorio.ufba.br (Esquema de Subsistemas de uma Empresa: informação-decisão) Cada empresa tem o modelo mais adequado para suas decisões, mas pode ser estabelecido um modelo em linhas gerais que permite identificar, em qualquer organização, a necessidade da informação e a ligação entre seus elementos. As informações são diferentes entre si em relação à decisão e à ação que irão servir, conforme SILVA R; (2017). Segundo Polloni (2000 apud SILVA R; 2017), Sistema é um conjunto de partes coordenadas que concorrem para a realização de um conjunto de objetivos, segundo um plano. Qualquer sistema pode ser encarado como um subsistema de um outro maior, sendo isso denominado hierarquia de sistemas. Para SILVA R; (2017), já um Sistema de Informação é qualquer sistema usado para prover informações (incluindo seu processamento), qualquer que seja sua utilização. Os SIs se desenvolvem em uma empresa segundo duas dimensões: os componentes da empresa e seu nível de decisão. Os componentes da empresa correspondem aos diversos setores que executam as diferentes funções necessárias ao funcionamento da empresa, como por exemplo: setores de pesquisa, produção, marketing, finanças e pessoal. Os níveis de decisão obedecem à hierarquia existente na empresa e são conhecidos como nível estratégico, tático e operacional. (POLLONI, 2000 apud SILVA R; 2017). 27 O Sistema de Informação Gerencial (SIG) é o sistema de informação que engloba todos os componentes da organização e todos os seus níveis de decisão. As características básicas de um Sistema de Informação Gerencial são: dados sintéticos, comparativos, com pouco volume, com ágil tempo de resposta (on-line, real time, banco de dados) e visualização dos dados (POLLONI, 2000 apud SILVA R; 2017). De acordo com SILVA R; (2017), um SI dispõe de três componentes considerados principais:dados, sistemas de processamento de dados e canais de comunicação. Os dados são adquiridos inicialmente pelo SI de seu ambiente e referidos como entradas. O sistema de processamento de dados manipula (processa) e transforma os dados em conjuntos de informações relevantes. Esse sistema é responsável pelo armazenamento, processamento e recuperação dos dados necessários ao funcionamento do SI, do qual é um subsistema. Trata, portanto, do processamento (armazenamento, reparação, reestruturação, classificação, agregação, reordenação, cálculo) de dados, com a finalidade de aumentar sua utilidade e, consequentemente, seu valor, transformando- os em informação, conforme SILVA R; (2017). Um SI deve atingir o mais rapidamente possível seus objetivos de armazenamento e fornecimento de informações para a organização, em formato, tempo e custos apropriados, conforme SILVA R; (2017). Para SILVA R; (2017), identificar as fontes de dados, os componentes e a forma do processamento dos dados que serão utilizados, além de especificar o formato, o custo e o tempo mínimo para a apresentação da informação, são os procedimentos básicos que governam o desenvolvimento dos SIs. Assim, segundo Polloni (2000 apud SILVA R; 2017), um SI eficaz deve ser capaz de: Produzir informações realmente necessárias, confiáveis, em tempo hábil e com custo condizente, atendendo aos requisitos operacionais e gerenciais de tomada de decisão; Ter por base diretrizes capazes de assegurar a realização dos objetivos, de maneira direta, simples e eficiente; Integrar-se à estrutura da organização e auxiliar na coordenação das diferentes unidades organizacionais (departamentos, divisões, diretorias, etc.) por ele interligadas; 28 Ter um fluxo de procedimentos (internos e externos ao processamento) racional, integrado, custo possível; Contar com dispositivos de controle interno que garantam a confiabilidade das informações de saída e adequada proteção aos dados controlados pelo sistema; Ser simples, seguro e rápido em sua operação. Destaca-se dentre os SI, os Sistemas de Apoio à Decisão (SAD) que são sistemas que tratam de assuntos específicos, estatísticas, projeções, comparações de dados referentes ao desempenho da organização, estabelecendo parâmetros para novas ações dentro do negócio. O objetivo principal de um SAD é fornecer ferramentas e recursos para apoio ao trabalho individual (POLLONI, 2000 apud SILVA R; 2017). Especificamente no que diz respeito ao planejamento estratégico e controle gerencial pode-se identificar três classes de decisões, conforme dispostas no quadro abaixo: Fonte: repositorio.ufba.br (Classes de decisões) Essas três classes de decisões Estruturadas, Semiestruturadas e Não estruturadas estão vinculadas ao nível hierárquico da organização. 2.7 O ciclo da governança de TI O principal objetivo da Governança de TI é alinhar a TI aos requisitos do negócio, considerando soluções de apoio ao negócio, assim como a garantia da 29 continuidade dos serviços e a minimização da exposição do negócio aos riscos de TI (FERNANDES; ABREU, 2014 apud SILVA R; 2017). O “Ciclo da Governança de TI” é composto por quatro grandes etapas: Alinhamento estratégico e compliance, Decisão, Estrutura e processos e Gestão do valor e do desempenho. Fonte: O ciclo da Governança de TI O alinhamento estratégico e compliance refere-se ao planejamento estratégico da tecnologia da informação, que leva em consideração às estratégias da empresa para seus vários produtos e segmentos de atuação, assim como os requisitos de compliance externos, tais como Sarbanes-Oxley Act e o Acordo da Basileia, conforme SILVA R; 2017. A etapa de decisão, compromisso, priorização e alocação de recursos refere- se às responsabilidades pelas decisões relativas à TI em termos de: arquitetura de TI, serviços de infraestrutura, investimentos, necessidades de aplicações e outros âmbitos, assim como à definição dos mecanismos de decisão, ou seja, em que fóruns da empresa são tomadas essas decisões, conforme SILVA R; 2017. Adicionalmente, trata da obtenção do envolvimento dos tomadores de decisão chaves da organização, assim como da definição de prioridades de projetos e serviços e da alocação efetiva de recursos monetários no contexto de um portfólio de TI. 30 A etapa de estrutura, processos, operações e gestão refere-se à estrutura organizacional e funcional de TI, aos processos de gestão e operação dos produtos e serviços de TI, alinhados com as necessidades estratégicas e operacionais da empresa, conforme SILVA R; 2017. Nesta fase são definidas ou redefinidas as operações de sistemas, infraestrutura, suporte técnico, segurança da informação, governança de TI e outras funções auxiliares aos CIO, etc. A etapa de gestão do valor e do desempenho refere- se à determinação, coleta e geração de indicadores de resultados dos processos, produtos e serviços de TI, à sua contribuição para as estratégias e os objetivos do negócio aos riscos de TI. (FERNANDES; ABREU, 2014 apud SILVA R; 2017). 2.8 Domínios, modelos e componentes O Modelo de Decisões da Governança da TI proposto por Weill e Ross (2004b; apud ASSIS C; 2018) categoriza as decisões em TI de acordo com cinco domínios, com foco nos ativos físicos, demonstrado no quadro abaixo: Fonte: teses.usp.br (Domínios de decisão da GTI) Como caracteriza ASSIS C; (2018), os princípios, conforme já analisados no item anterior, contemplam as definições sobre as expectativas e o papel da TI para os negócios. Os investimentos relacionam-se basicamente a quanto gastar, em quais projetos gastar e como conciliar as necessidades de diferentes grupos de interesse. Diferentes contextos estratégicos fazem com que as empresas tenham diferentes níveis de investimentos, diferentes portfólios e diferentes indicadores de sucesso. As decisões sobre investimento, consideradas as mais visíveis e polêmicas das decisões essenciais, devem contrapor as necessidades específicas dos negócios com as necessidades corporativas e compartilhadas, e privilegiar aquelas que estejam em maior sincronia com a estratégia da empresa, conforme ASSIS C; (2018). 31 No dizer ASSIS C; (2018), de a padronização de processos e de dados são as características que definem a arquitetura da empresa e que sustentam as capacidades de TI, oferecendo, em determinadas situações, objetivos comuns como o processamento mais barato, acordos negociados com fornecedores e segurança empresarial. A maioria das arquiteturas empresariais especifica a infraestrutura, os dados e as aplicações, e captura a organização lógica em políticas e escolhas técnicas. Assim, a arquitetura de uma empresa define dados e infraestrutura como uma plataforma estável, que dá suporte a aplicações específicas de negócios, e, portanto, mais sujeitas a mudanças. Prover a infraestrutura de TI adequada significa boa relação custo-benefício que capacite a empresa a adotar rapidamente novas aplicações de negócio. Determinar onde os serviços locais de infraestrutura devem ser posicionados, como financiá-los e ratear seus custos entre as unidades de negócio, quando devem ser atualizados e se cabe ou não terceirizá-los são decisões essenciais de infraestrutura (WEILL; ROSS, 2004b; apud ASSIS C; 2018). Weill e Ross (2004b; apud ASSIS C; 2018) propõem um modelo para relacionar a Governança Corporativa e a Governança de TI (Figura abaixo), no qual a estratégia e os comportamentos desejados são direcionados pelo alto escalão para estabelecer a governança dos ativos fundamentais. Fonte: teses.usp.br (Relação entre GC e ativos, inclusive GTI) 32 Os ativos fundamentais permitem que a organização viabilize sua estratégia e gere valor. A governança e gerenciamento devem ser realizados através de mecanismos adequados criados pelo timede executivos seniores. Na visão de Weill e Ross (2004b; apud ASSIS C; 2018), os ativos fundamentais podem ser estabelecidos como: Recursos humanos - pessoas, competências, planos de carreira, treinamentos e mentores; Ativos financeiros - ativos líquidos, investimentos, fluxos de caixa e total de contas a receber; Ativos físicos - prédios, instalações, equipamentos, seguros e planos de manutenção; Ativos de propriedade intelectual - produtos, serviços, processos patenteados ou incorporados ao conhecimento organizacional e direitos registrados; Informações e ativos de TI - dados digitalizados, informações, conhecimento sobre clientes e fornecedores, desempenho dos processos e sistemas de informação, conforme ASSIS C; 2018. A governança dos ativos-chave é feita através de mecanismos gerais (válidos para todos os tipos de ativos) e únicos (específicos para um determinado tipo de ativo). Exemplos de mecanismos gerais são as estruturas, comitês, políticas e auditorias, enquanto que mecanismos específicos podem ser exemplificados por um comitê de arquitetura de TI (WEILL; ROSS, 2004b; apud ASSIS C; 2018). Apesar de poucos autores tratarem destes componentes em conjunto, Johnstone et al. (2006; apud ASSIS C; 2018) identificam três deles (Quadro abaixo): Fonte: teses.usp.br (Componentes da GTI) 33 ASSIS C; (2018), utiliza-se da argumentação que a estrutura hierárquica ou a estrutura de autoridade trata do padrão e da melhor estrutura para a tomada de decisões em assuntos relacionados à TI. Está associada a definição de responsabilidades e papéis das partes envolvidas com a Tecnologia da Informação. O conjunto de mecanismos são os processos, padrões e métodos formalmente adotados e que suportam a tomada de decisão. Vários modelos de referência genéricos foram criados para ajudar as empresas na implantação destes mecanismos, conhecidos como os frameworks da Governança de TI, conforme ASSIS C; (2018). O conjunto de políticas provê a ligação entre a estratégia definida e sua execução, oferecendo direcionamentos e restrições formais e estáveis para que gestores possam tomar suas decisões. A falta de políticas permite que os gestores tomem decisões arbitrárias e de seus próprios interesses, aumentando o risco em projetos e outras iniciativas, conforme ASSIS C; (2018). Com foco no conceito da informação, considerada como recurso fundamental às organizações o modelo COBIT5 propõe a TI para a automação dos processos informacionais, desde a coleta até a destruição (INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION, 2012; apud ASSIS C; 2018). Incorpora funções e processos para controlar informações e tecnologias da organização, sem ater- se apenas nas funções de TI. O modelo trata a informação e a tecnologia como ativos organizacionais e considera a informação como uma necessidade para o bom funcionamento e governança de uma organização (INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION, 2012; apud ASSIS C; 2018). 2.9 Metodologias para suporte a governança TI É comum as organizações que estão desenvolvendo seus processos de Governança de TI se depararem com uma diversidade de modelos de qualidade e governança à sua disposição. Surge então a primeira dúvida: qual modelo seguir? Na edição especial da Revista Computer World de maio de 2004, Terzian (2004 apud Gama F; et al., 2006) cita que, embora haja alguma sobreposição entre esses 34 modelos, na maior parte dos casos eles não entram em conflito e podem até mesmo serem complementares. Assim, as empresas podem utilizar mais de um modelo, ou adaptar os modelos existentes para sua necessidade. Nas próximas sessões serão apresentados alguns dos modelos e metodologias utilizados como suporte a GTI, conforme edição especial da Revista Computer World, conforme Gama F; et al., (2006). 2.10 COBIT - control objectives for information and related technology O CobiT - Control Objectives for Information and Related Technology - foi desenvolvido na década de 90 pela ISACA - Information System Audit and Control Association - e pode ser traduzido como Objetivos de Controle para a Informação e Tecnologia. O Cobit é um modelo de governança em TI, criado para alinhar os recursos e processos de TI com os objetivos do negócio, padrões de qualidade, controle monetário e necessidades de segurança (OLTISIK, 2003 apud Gama F; et al., 2006). Ele é composto por quatro domínios: Planejamento e Organização; Aquisição e Implementação; Entrega e Suporte; e Monitoramento. 2.11 ITIL - information technology infrastructure library O ITIL, Information Technology Infrastruture Library, foi criado no final dos anos 80 pela Central Computing and Telecommunications Agency para o governo britânico, reunindo um conjunto de recomendações divididas em dois blocos: suporte de serviços (service support), que inclui cinco disciplinas e uma função; e entrega de serviços (service delivery), com mais cinco disciplinas (CACIATO, 2004 apud Gama F; et al., 2006). O foco deste modelo é descrever os processos necessários para gerenciar a infraestrutura de TI eficientemente e eficazmente, de modo a garantir os níveis de serviço acordados com os clientes internos e externos. O ITIL trata de disciplinas táticas, ou de planejamento, e operacionais. 35 2.12 PMI (project management institute) O PMI (Project Management Institute) é uma organização sem fins lucrativos, composta por profissionais da área de gerenciamento de projetos. As definições e processos do PMI estão publicados no PMBOK (Guide to the Project Management Body of Knowledge). Esse manual define e descreve as habilidades, ferramentas e técnicas para o gerenciamento de um projeto. Este compreende cinco processos – Início, Planejamento, Execução, Controle e Fechamento, bem com nove áreas de conhecimento: Integração, Escopo, Tempo, Custo, Qualidade, Recursos Humanos, Comunicação, Análise de Risco e Aquisição, conforme Gama F; et al., (2006). 2.13 CMM - capability maturity model for software De acordo com conforme Gama F; et al., (2006), o modelo CMM – Capability Maturity Model foi produzido pelo SEI (Software Engineering Institute) da Universidade Carnegie Mellon (CMU), em Pittsburgh, EUA, por um grupo de profissionais de software, sendo a 1ª versão lançada em 1991. O processo do CMM é dividido em cinco níveis sequenciais bem definidos: Inicial, Repetível, Definido, Gerenciável e Otimizado. Os níveis provêm de uma escala crescente para mensurar a maturidade das organizações de software e ajudam as organizações a definir prioridades nos esforços de melhoria dos processos. 2.14 Balanced scorecard O Balanced Scorecard foi desenvolvido por Robert Kaplan e David Norton no início da década de 90, constituindo-se num novo modelo de gestão estratégica, baseado em indicadores financeiros e não-financeiros vinculados à estratégia organizacional e divididos em quatro perspectivas de avaliação: perspectivas Financeira, dos Clientes, dos Processos Internos e do Aprendizado e Crescimento (KAPLAN, NORTON, 1997; apud Gama F; et al., 2006). Como caracteriza Gama F; et al., (2006), o conceito do BSC tem sido aplicado nos processos de Tecnologia da Informação. Considerando que a área de TI é provedora de serviços internos, Haes et al. (2004) sugere que as perspectivas propostas originalmente pela metodologia do BSC devem ser mudadas para 36 Contribuição com a Corporação, Orientação para Usuários, Excelência Operacional e Orientação para o Futuro. Haes et al. (2004) cita também que a ligação entre o BSC Corporativo e o BSC da área de TI, conforme figura abaixo, é considerado um mecanismo de suporte para a Governança de TI. Fonte: legado.fucape.br (Balanced Scorecards em TI) 2.15 Governança da informação Segundo Weill e Ross (2006, p. 22; apud LAJARA T; 2013), “a informação sempre foi importante nasempresas, mas com os desenvolvimentos tecnológicos dos últimos anos seu papel e valor mudaram significantemente”. Além dos avanços da tecnologia, a importância do cuidado com a informação aumentou também devido as altas perdas monetárias causadas, em grande parte, por problemas no controle da informação, como nos escândalos citados na introdução do projeto de dissertação. Fonte: accesscorp.com.br 37 A governança da informação é necessária, pois “a governança deve auxiliar as empresas a aprender de modo que elas parem de cometer os mesmos erros repetitivamente” (WEILL e ROSS, 2009, p. 97; apud LAJARA T; 2013). Utilizando a teoria de Akerlof (1970; apud LAJARA T; 2013) pode-se notar que a presença de informação assimétrica nas organizações traz um prejuízo na qualidade percebida da informação. De acordo com LAJARA T; (2013), esse prejuízo significa que o usuário não sabe se a informação que ele recebe é um “limão” ou uma boa informação, logo, em longo prazo, há a possibilidade de duas realidades no mercado dos limões: O colapso, que no caso pode ser representado pela perda total de confiança nas informações, ou o segundo resultado que são as instituições criadas para contrapor os efeitos da assimetria de informação. A governança da informação é uma das instituições que podem contrapor os efeitos da assimetria da informação, conforme figura mostra abaixo. Fonte: lume.ufrgs.br.com (Teorias de base da governança da informação) Segundo Klann, Beuren e Hein (2008, p. 2; apud LAJARA T; 2013) a teoria da agência também busca “resolver os problemas de assimetria de informação e conflitos de interesse entre os gestores e os acionistas das organizações”. Devos, Landeghem e Deschoolmeester (2011; apud LAJARA T; 2013) acreditam que a informação assimétrica, o risco moral e a seleção adversa são alguns dos pontos compartilhados entre teoria da agência e teoria dos limões. Para Klann, Beuren e Hein (2008; 2013 p. 2; apud LAJARA T; 2013) os “mecanismos de governança corporativa, além de proporcionar maior transparência e maior proteção aos acionistas minoritários, procuram 38 também mitigar a assimetria de informação entre os diversos stakeholders das organizações”. Dado esse efeito da governança corporativa, fica claro o motivo da governança da informação vir como um mecanismo dentro da estrutura de governança nas organizações. Para Blair (2011 apud LAJARA T; 2013) governança da informação não é sinônimo de governança corporativa ou de governança de tecnologia da informação (TI), mas sim incorpora elementos dessas governanças em seu modelo. Para Wende (2007; apud LAJARA T; 2013) é importante fazer a distinção entre governança da informação e governança de TI. Enquanto a governança de TI lida com os ativos de TI da empresa a governança da informação envolve os ativos de informação da firma. E a diferença, segundo Khatri e Brown (2010, p. 148; apud LAJARA T; 2013), é que “os ativos de TI se referem as tecnologias (computadores, comunicação e bases de dados) que auxiliam a suportar a automação de tarefas bem definidas, enquanto os ativos de informação (ou de dados) são definidos como fatos que têm valor ou valor em potencial que são documentados”. Sendo assim, o modelo da estrutura de governança pode ser visualizado na figura abaixo: Fonte: lume.ufrgs.br.com (Estrutura de governança) Governança pode ser um termo já comum hoje (KOOPER; MAES; LINDGREEN, 2011; apud LAJARA T; 2013), mas depois da introdução dessa estrutura, se faz necessário mais detalhes sobre as diferenças entre governança corporativa, de TI e da informação. Para auxiliar na diferenciação entre os tipos de governança, ver o quadro abaixo, adaptada de Hamaker (2003; apud LAJARA T; 2013). 39 Fonte: lume.ufrgs.br.com (Adaptado de Hamaker; 2003, p. 2; apud LAJARA T; 2013) Como caracteriza LAJARA T; (2013), dentro dessa estrutura de governança, pode-se visualizar um refinamento no controle, facilitando a administração de responsabilidades e tarefas pelo conselho de administração e diminuindo os riscos de problemas na empresa. Quando Hamaker (2003; apud LAJARA T; 2013) propôs esse quadro ele envolvia governança corporativa, de TI e empresarial, governança que foi substituída pela autora por dados referentes a governança da informação e também foram reduzidos os pontos abordados. Outra questão importante é a influência da teoria da agência quando se trata de governança. A governança corporativa é um conjunto de mecanismos que buscam minimizar o custo de agência vem de autores como Carvalho (2007; apud LAJARA T; 2013) e Hutchinson e Gul (2004; apud LAJARA T; 2013). 40 Carvalho (2007; apud LAJARA T; 2013) trata com o conceito de governança corporativa exposto na seção de governança corporativa e Hutchinson e Gul (2004; apud LAJARA T; 2013) explicitamente, na seção de teoria da agência, escrevendo que pesquisas anteriores mostraram que a governança corporativa reduz custos de agência. Sobre a governança de TI buscar minimizar a assimetria da tomada de decisões, a referência é Posthumus e Von Solms (2008; apud LAJARA T; 2013) em que os autores mencionam que a falta da governança de TI pode acarretar risco moral e seleção adversa por parte dos gestores de TI. Sobre a influência da teoria da agência na governança da informação, poderá ficar mais claro após mais definições de governança da informação e demonstração de seu papel fundamental para minimizar a assimetria nas informações. O primeiro registro em artigo científico de governança da informação apareceu em 2004; apud LAJARA T; 2013, com Donaldson e Walker, que escreveram sobre a implantação de governança da informação no Serviço Nacional de Saúde na Escócia (Reino Unido). Nesse artigo os autores não apresentam um conceito, mas sugerem um modelo para governança da informação, modelo HORUS, que envolve controlar o acesso à informação, a obtenção justa e eficiente da informação, a gravação da informação de forma confiável e o uso e compartilhamento adequado e eficiente da informação. Após esse artigo, muito outros foram escritos sobre a governança da informação no Serviço Nacional de Saúde do Reino Unido. Por exemplo, Barham (2010; apud LAJARA T; 2013) e Dunnill e Barham (2007; apud LAJARA T; 2013) escreveram sobre princípios, legislação e compromissos que os profissionais de saúde deveriam conhecer e seguir para lidar com as informações dos pacientes. Apesar dessa ênfase, Williams (2008, p. 211; apud LAJARA T; 2013) explica que governança da informação não tem como objetivo apenas a proteção das informações, mas também “garantir sua disponibilidade [das informações] quando e onde seja necessário fornecer, que seja consistente com ética, profissionalismo e nos padrões legais”. Gianella e Gujer (2006; apud LAJARA T; 2013) utilizam uma abordagem de governança da informação com elementos de gestão do conhecimento, apresentando um modelo denominado OKB (Organizational Knowledge Base). Esse modelo foi desenvolvido a partir de três estudos de casos, em empresas suíças. 41 Para Gianella e Gujer (2006, p. 11; apud LAJARA T; 2013) a habilidade de gerenciar o conhecimento crítico e o trabalho de suporte sistemático ao conhecimento não é somente de crucial importância para a governança da informação, mas também para outros processos de conhecimento intensivo dentro da organização pública. Já Datskovsky (2009; apud LAJARA T; 2013) acredita que a governança da informação tem três principais objetivos: Fornecer maior transparência e visibilidade da gestão da informação, atingir uma consistência na regulação da informação em organizações que estão em diferentes países e por isso respondem a diferentes regulamentos e leis sobre as informações e por último produzir informações constantes e registradas sobre os processos da organização, para que haja registrossobre como a informação é administrada. A governança da informação está muito mais evidente em consultorias empresariais, de onde vêm muitos conceitos do quadro, como o das empresas de consultoria RSD (2011; apud LAJARA T; 2013) e Accenture (2011; apud LAJARA T; 2013), Russom (2011; apud LAJARA T; 2013) e até o manual de políticas de governança da informação do hospital Sheffield PCT da Inglaterra (2007; apud LAJARA T; 2013). Nesse manual de políticas do hospital inglês Sheffield PCT, eles escrevem sobre o Caldicott, que é uma lista de princípios e recomendações sobre como as informações dos pacientes no serviço de saúde do Reino Unido deve ser utilizada (OXFORD RADCLIFFE HOSPITALS, 2002; apud LAJARA T; 2013). Thomas (2006; apud LAJARA T; 2013) escreveu um livro mostrando como as empresas podem prevenir erros e desastres com a governança de dados, mostrando experiências dela como consultora, voltado para a prática organizacional. Isso demonstra a importância que governança da informação tem para as empresas. Khatri e Brown (2010; apud LAJARA T; 2013) publicaram um artigo em que propõem um modelo de governança da informação fortemente baseado no modelo de governança de TI de Weill e Ross (2006; apud LAJARA T; 2013). O objetivo dos autores é buscar um modelo que seja utilizável na prática, mas que possa auxiliar pesquisadores na questão de governança de dados. É importante citar que no artigo os autores ressaltam que “não diferenciam entre dado e informação” (KHATRI; BROWN, 2010, p.148; apud LAJARA T; 2013) para o contexto do artigo. O mesmo pode ser aplicado para essa pesquisa, será utilizado como sinônimos: Governança de dados e governança da informação. 42 No ano de 2010 foram lançados alguns artigos evidenciando aspectos legais da governança da informação, mais voltados a problemas jurídicos que a empresa pode ter com a informação, como é o caso do artigo de Rosenbaum (2010; apud LAJARA T; 2013), de como gerenciar um ambiente de trocas de informações confidenciais. Em um hospital há essa troca de informações de pacientes com os respectivos planos de saúde, fornecedores e dos médicos com os próprios pacientes, um ambiente em que se deve ter muita atenção quanto a responsabilidades da administração e suas obrigações legais (ROSENBAUM, 2010; apud LAJARA T; 2013). Bruening e Waterman (2010; apud LAJARA T; 2013) dedicam atenção para a parte jurídica, propondo um modelo jurídico para responsabilizar e marcar as informações na governança das informações. Outro artigo que trata sobre preocupações jurídicas da governança da informação é o do Mayer-Schönberger (2010; apud LAJARA T; 2013), que trata sobre as consequências da apropriação de informação pessoal que pode ocorrer com a governança da informação, lidando com a parte jurídica da privacidade. Cragg, Caldeira e Ward (2011; apud LAJARA T; 2013) analisam as competências de sistemas de informação em pequenas e médias empresas de Portugal (9 empresas), Nova Zelândia (4 empresas) e Reino Unido (9 empresas). Nesse estudo, a governança da informação é uma das competências e os autores concluíram que, apesar de poucas empresas terem uma política formal de gestão da informação, grande parte define responsabilidades e papéis para os gestores e outros funcionários (CRAGG, CALDEIRA, WARD, 2011; apud LAJARA T; 2013). O artigo de Grimstad e Myrseth (2010; apud LAJARA T; 2013) tem uma visão mais técnica. Envolve governança de dados com metadados, escrevendo sobre a estrutura da informação, utilizando como referência o artigo de Khatri e Brown do mesmo ano e voltando-se para uma análise no setor público. Já Kooper, Maes e Lindgreen (2011; apud LAJARA T; 2013) utilizam um conceito mais interpretativista, envolvendo mais os atores que produzem, os que recebem as informações e os atores que ‘governam’ essa informação. Ao utilizar essa abordagem interpretativista, os autores diferem- se de todos os outros artigos já escritos, diferenciando o conceito. 43 Como outra importante contribuição para o espaço acadêmico, os autores construíram quatro hipóteses para futuras pesquisas. Do mesmo grupo de estudo, Beijer e Kooper (2010, p. 13; apud LAJARA T; 2013), acreditam que a governança da informação possibilita que a informação seja um fator a ser governando independentemente da tecnologia a ser utilizada na organização e irá oferecer a empresa “não somente para melhor antecipar desenvolvimentos informativos futuros, mas também para estimular conceitos inovadores em torno do uso da informação”. De acordo com Charles Maina (2012; apud LAJARA T; 2013), a governança pode ser utilizada como uma ferramenta para cuidar da transmissão de conhecimento de povos indígenas, no caso, povos do Canadá. Para Maina (2012, p. 21; apud LAJARA T; 2013) as ferramentas de tecnologia da informação e comunicação têm grande potencial para disseminar conhecimentos, mas elas também podem gerar uma apropriação incorreta de conhecimento, trazendo prejuízos para esses povos indígenas, sendo assim, instituições como arquivos e livrarias enfrentam um grande desafio de governança da informação em relação a determinar quais materiais são para serem disponíveis e a que nível, e para administrar e apoiar a propriedade de direitos intelectuais nos materiais arquivados digitalmente. Haja vista a grande pluralidade de conceitos sobre governança da informação, pretende-se contribuir com um conceito que abranja pontos das definições anteriores, mas que se conecte com a estrutura de governança e ao mesmo tempo seja simples, conforme LAJARA T; 2013. “A origem latina da palavra governança denota direção, e governança tipicamente inclui o exercício de autoridade legal e regulatória e o uso de recursos institucionais para administrar organizações”, segundo Tarantino (2008, p. 2; apud LAJARA T; 2013) Logo, pode-se colocar como base para um conceito de governança as normas e controles. Segundo dicionário de Houaiss e Villar (2009, p. 1361; apud LAJARA T; 2013), norma é “aquilo que regula procedimentos ou atos; regra, princípio, padrão ou lei” e controle, também por Houaiss e Villar (2009, p. 541; apud LAJARA T; 2013) é “monitoração, fiscalização”. Thomas (2006; apud LAJARA T; 2013) e Rosenbaum (2010; apud LAJARA T; 2013) citam a questão de responsabilidade. 44 Responsável, para Houaiss e Villar (2009, p. 1653; apud LAJARA T; 2013), é o “que ou aquele que deve prestar contas perante certas autoridades”, ponto importante para a governança da informação. De acordo com a teoria que se está utilizando como base, a governança da informação busca reduzir problemas de assimetria da informação, assim, há que se governar sobre as informações, buscando-se minimizar essa assimetria. Kooper, Maes e Lindgreen (2011, p.195; apud LAJARA T; 2013) escrevem que “governança da informação é uma abordagem para melhor governar o uso da informação dentro e fora da organização” e a informação é o que une todos os conceitos. Além disso, conforme demonstrado na figura abaixo os autores de governança da informação a conectam com qualidade, valor da informação e o compliance da informação. Sendo assim, a governança da informação é definida nessa pesquisa como o conjunto de normas e controles de responsabilidade que visam ao valor, à qualidade e ao compliance da informação no ambiente informacional de uma organização, conforme LAJARA T; 2013. Fonte: lume.ufrgs.br (Governança da informação) 45 O ambiente informacional é uma expressão de Davenport (2000; apud LAJARA T; 2013), que abrange seis componentes, críticos na visão de Davenport (2000; apud LAJARA T; 2013), que são: A equipe da informação (pessoas que lidam com as informações e não, necessariamente, equipe de tecnologia da informação), cultura e comportamento informacional, política da informação, arquitetura da informação, processos de gestão
Compartilhar