Baixe o app para aproveitar ainda mais
Prévia do material em texto
Pó s- Gr ad ua çã o a Di st ân ci a 1 Governança de Tecnologia da Informação Direito reservado ao Posead. Brasília-DF, 2010. Go ve rn an ça d e Te cn ol og ia d a In fo rm aç ão 2 Elaboração: Mauricio Santos Evangelista Produção: Equipe Técnica de Avaliação, Revisão Linguística e Editoração Pó s- Gr ad ua çã o a Di st ân ci a 3 Sumário Apresentação .......................................................................................................................................... Organização do Caderno de Estudos e Pesquisa .................................................................................. Organização da Disciplina ..................................................................................................................... Introdução .............................................................................................................................................. Unidade I – Governança de TI e suas Melhores Práticas .................................................................... Capítulo 1 – Conceitos Básicos sobre Governança Corporativa e de TI .......................................... Capítulo 2 – Tecnologia da Informação um Ativo da Organização .................................................. Capítulo 3 – Arquétipos da Governança de TI ................................................................................ Capítulo 4 – Mecanismos para Elaboração da Governança de TI .................................................... Unidade II – Metodologias e Padrões .................................................................................................... Capítulo 5 – Information Technology Infrastructure Library – ITIL ................................................ Capítulo 6 – Control Objectives for Information and Related Technology – CobiT .......................... Capítulo 7 – BSS 7799 (ISO17799) .............................................................................................. Unidade III – A Norma ISO 20000 ......................................................................................................... Capítulo 8 – Conceituações da Norma ISO 20000 ......................................................................... Capítulo 9 – Abordagem do Processo ........................................................................................... Para (não) Finalizar ................................................................................................................................ Referências ............................................................................................................................................. 04 05 06 07 09 09 15 21 24 29 29 39 48 53 53 55 57 58 Go ve rn an ça d e Te cn ol og ia d a In fo rm aç ão 4 Caro aluno, Bem-vindo à disciplina Governança de Tecnologia da Informação. Este é o nosso Caderno de Estudos e Pesquisa, material elaborado com o objetivo de contribuir para a realização e o desenvolvimento de seus estudos, assim como para a ampliação de seus conhecimentos. Para que você se informe sobre o conteúdo a ser estudado nas próximas semanas, conheça os objetivos da disciplina, a organização dos temas e o número aproximado de horas de estudo que devem ser dedicadas a cada unidade. A carga horária deste módulo é de 40 (quarenta) horas, cabendo a você administrar o tempo conforme a sua disponibilidade. Mas, lembre-se, há um prazo para a conclusão da disciplina, incluindo a apresentação ao seu tutor das atividades avaliativas indicadas. Os conteúdos foram organizados em unidades de estudo, subdivididas em capítulos, de forma didática, objetiva e coerente. Eles serão abordados por meio de textos básicos, com questões para reflexão, que farão parte das atividades avaliativas do curso; serão indicadas, também, fontes de consulta para aprofundar os estudos com leituras e pesquisas complementares. Desejamos a você um trabalho proveitoso sobre os temas abordados nesta disciplina. Lembre-se de que, apesar de distantes, podemos estar muito próximos. A Coordenação do PosEAD Apresentação Pó s- Gr ad ua çã o a Di st ân ci a 5 Organização do Caderno de Estudos e Pesquisa Organização do Caderno de Estudos e Pesquisa Apresentação: Mensagem da Coordenação do PosEAD ao cursista. Organização da Disciplina: Apresentação dos objetivos e carga horária das unidades. Introdução: Contextualização do estudo a ser desenvolvido pelo aluno na disciplina, indicando a importância desta para a sua formação acadêmica. Ícones utilizados no material didático: Provocação: Pensamentos inseridos no material didático para provocar a reflexão sobre sua prática e seus sentimentos ao desenvolver os estudos em cada disciplina. Para refletir: Questões inseridas durante o estudo da disciplina, para estimulá-lo a pensar a respeito do assunto proposto. Registre aqui a sua visão, sem se preocupar com o conteúdo do texto. O importante é verificar seus conhecimentos, suas experiências e seus sentimentos. É fundamental que você reflita sobre as questões propostas. Elas são o ponto de partida de nosso trabalho. Textos para leitura complementar: Novos textos, trechos de textos referenciais, conceitos de dicionários, exemplos e sugestões, para apresentar novas visões sobre o tema abordado no texto básico. Sintetizando e enriquecendo nossas informações: Espaço para você fazer uma síntese dos textos e enriquecê-los com a sua contribuição pessoal. Sugestão de leituras, filmes, sites e pesquisas: Aprofundamento das discussões. Praticando: Atividades sugeridas, no decorrer das leituras, com o objetivo pedagógico de fortalecer o processo de aprendizagem. Para (não) finalizar: Texto, ao final do Caderno, com a intenção de instigá-lo a prosseguir na reflexão. Referências: Bibliografia citada para a elaboração do curso. Go ve rn an ça d e Te cn ol og ia d a In fo rm aç ão 6 Organização da Disciplina Ementa: Conceitos relacionados à Governança de Tecnologia da Informação e sua necessidade atual nas empresas; Conceitos e aplicações que tornam importantes a aplicação da Governança Corporativa nas Organizações, sejam elas do ramo de prestadoras de serviços de Tecnologia da Informação ou empresas que utilizam a tecnologia como suporte aos seus processos; As melhores práticas de Governança de Tecnologia da Informação; Metodologias e padrões de governança em Tecnologia da Informação; A norma ISO 20000. Objetivos: – Apresentar as principais metodologias voltadas para a área da Governança de Tecnologia da Informação. – Conhecer os procedimentos para um alinhamento entre as áreas de Tecnologia da Informação e a estratégia de negócios de uma empresa. – Apresentar os mecanismos para a implantação da Governança de Tecnologia da Informação. – Refletir sobre o Alinhamento Estratégico, a Governança de Tecnologia da Informação e o Desempenho das Organizações. – Identificar e apresentar as normas que interagem com a Governança de Tecnologia da Informação. Unidade I – Governança de TI e suas Melhores Práticas Carga horária: 15 horas Conteúdo Capítulo Conceitos Básicos sobre Governança Corporativa e de TI 1 Tecnologia da Informação um Ativo da Organização 2 Arquétipos da Governança de TI 3 Mecanismos para elaboração da Governança de TI 4 Unidade II – Metodologias e Padrões Carga horária: 15 horas Conteúdo Capítulo Information Technology Infrastructure Library – ITIL 5 Control Objectives for Information and Related Technology – CobiT 6 BSS 7799 (ISO17799) 7 Unidade III – A Norma ISO 20000 Carga horária: 10 horas Conteúdo Capítulo Conceituações da Norma ISO 20000 8 Abordagem do Processo 9 Pó s- Gr ad ua çã o a Di st ân ci a 7 Introdução O que não se pode medir, não se pode gerenciar. Peter Drucker A ênfase dos gestores de Tecnologia da Informação, hoje, está direcionada ao desenvolvimento global da organização, enfocando sempreo negócio ou a atividade principal da organização. Para uma boa gestão da Tecnologia da Informação, recomenda-se uma gestão participativa, vinculada à alta administração e com trabalhos conjuntos com os clientes ou usuários. Como as informações das empresas estão, na maioria, armazenadas em sistemas de informações, em forma digital, o setor de Tecnologia da Informação passou a desempenhar um papel fundamental na governança das organizações. As demandas por mais controle, a transparência e a previsibilidade das organizações tornaram ainda mais necessária a Governança de Tecnologia da Informação – TI. As origens dessas demandas datam do começo dos anos 1990, quando as questões relativas à qualidade ganharam uma enorme importância no cenário mundial. Nesse sentido, o primeiro momento do curso tem, como proposta, mostrar os principais conceitos e as aplicações que tornam importante a utilização da Governança de Tecnologia da Informação nas organizações; em seguida, percorreremos as principais metodologias, os padrões e as melhores práticas da Governança de Tecnologia da Informação, incluindo ITIL, COBIT e ISO 17799. Finalizando este Caderno, estudaremos a norma ISO 20000, destinada para a área de serviço. Tal norma se tem mostrado importante na composição da Governança de Tecnologia da Informação, devido esse último recurso nada mais ser do que um conjunto de preciosos serviços. Go ve rn an ça d e Te cn ol og ia d a In fo rm aç ão 8 Pó s- Gr ad ua çã o a Di st ân ci a 9 Governança de TI e suas Melhores Práticas Unidade I Governança de TI e suas Melhores Práticas Unidade I Capítulo 1 – Conceitos Básicos sobre Governança Corporativa e de TI Se a empresa mudar apenas a tecnologia e continuar a realizar as atividades da mesma forma como elas eram realizadas com a tecnologia antiga, além de não garantir o sucesso do investimento, pode levar a empresa à falência. Tadeu Cruz, 1998 Não conseguimos definir ao certo quando a importância da Tecnologia da Informação ficou clara para nós. Sabemos, sim, que esse processo ocorreu de forma gradativa ao longo dos anos, envolvendo conversas com administradores e diversos estudos de pesquisa, e nós ficamos convencidos de que a Governança de TI é o mais importante fator de geração de valor de negócio de Tecnologia da Informação. Nossa certeza é a de que a Governança de TI pode, em longo prazo, produzir o paradoxo gerencial de incentivar e fomentar a engenhosidade de todas as pessoas da empresa e, ao mesmo tempo, assegurar a observância da visão e dos princípios gerais da empresa. Antes de entramos no conceito de Governança de TI, devemos tratar a questão mais ampla da governança corporativa nas organizações. A Governança Corporativa tornou-se um tema dominante nos negócios por ocasião dos escândalos corporativos ocorridos em meados de 2002 – Enron, Worldcom e Tyco, para citar apenas alguns. O interesse na governança corporativa não é novo, mas a gravidade dos impactos financeiros desses escândalos abalou a confiança de investidores e criou uma preocupação com a habilidade e a determinação das empresas privadas de proteger seus administradores, funcionários, acionistas, parceiros, clientes e usuários. Uma boa governança corporativa é importante para os investidores profissionais. Grandes instituições atribuem à governança corporativa o mesmo peso que aos indicadores financeiros quando avaliam decisões de investimento. Um excelente exemplo de diretrizes para uma boa governança corporativa foi publicado, em 1999, pela Organização e o Desenvolvimento Econômico – OCDE, chamado de Princípios de Governança Corporativa. Tais diretrizes definem a governança corporativa como a criação de uma estrutura que determinasse os objetivos organizacionais e monitorasse o desempenho para assegurar a concretização desses objetivos. É válido lembrar que não existe um modelo único de boa governança corporativa. A seguir, veremos um diagrama elaborado pelo Center for Information Systems Research – CISR, da MIT Sloan School, que serve para associar as Governanças Corporativas e de TI. Go ve rn an ça d e Te cn ol og ia d a In fo rm aç ão 10 Governança de TI e suas Melhores Práticas Unidade I Figura 1 – Associação entre as governanças corporativas e de TI A parte superior do diagrama mostra os relacionamentos no conselho. A equipe executiva sênior, como agente do conselho, articula estratégias e comportamentos desejáveis para cumprir as determinações do conselho. A metade inferior identifica os seis ativos principais por meio dos quais as empresas concretizam suas estratégias e geram valor de negócio. As equipes executivas seniores criam mecanismos para governar a administração e a utilização de cada um desses ativos, tanto independentemente quanto em conjunto. Os elementos essenciais de cada ativo são: • ativos humanos – pessoas, habilidades, planos de carreira, treinamento, relatórios, competências; • ativos financeiros – dinheiro, investimentos, passivo, fluxo de caixa, contas a receber; • ativos físicos – prédios, fábricas, equipamentos, manutenção, segurança, utilização; • ativos de propriedade intelectual – expertise da organização no desenvolvimento de produtos, prestação de serviços e processos devidamente patenteados, registrado ou embutido nas pessoas e nos sistemas da empresa; • ativos de informação e TI – dados digitalizados, informações e conhecimentos sobre clientes, desempenho de processos, finanças, sistemas de informação; • ativos de relacionamento – relacionamentos dentro da empresa, bem como marca e reputação junto a clientes, fornecedores, unidade de negócio, órgãos reguladores, concorrentes, revendas autorizadas. A governança dos principais ativos ocorre por meio de mecanismos organizacionais, tais como: estruturas, processos, comitês, procedimentos e auditorias. Alguns mecanismos são exclusivos de um dado ativo, como, por exemplo, o comitê de arquitetura de TI, e outros cruzam e integram vários tipos de ativos, assegurando a sinergia entre esses ativos. A maturidade Pó s- Gr ad ua çã o a Di st ân ci a 11 Governança de TI e suas Melhores Práticas Unidade I na governança desses seis ativos principais varia, significativamente, na maioria das corporações, com os ativos financeiros e físicos sendo tipicamente os mais bem-governados, e os ativos de informação figurando entre os piores. Ainda analisando Figura 1, vemos que, na base do diagrama, encontram-se os mecanismos utilizados para governar cada um dos seis ativos. Quando temos a empresa com mecanismos comuns para vários ativos, obtemos um melhor desempenho. Como exercício de esclarecimento, esboce rapidamente uma lista dos mecanismos utilizados em sua empresa para governar cada um dos seis ativos. Não somente a criação de mecanismos de governança comuns entre os ativos aumentará a integração, como um número menor resultante de mecanismos os tornará mais fáceis de comunicar e implantar. A educação da equipe de alta gerência sobre como os mecanismos de governança se combinam e atuam em favor da empresa é uma tarefa essencial e constante para que se tenha uma governança efetiva. Costuma-se afirmar que muitos benefícios tangíveis estão à espera de uma Governança de TI melhor. Governança Corporativa é o sistema pelo qual, as sociedades são dirigidas e monitoradas, envolvendo os relacionamentos entre acionistas/cotistas, conselho de administração, diretoria, auditoria independente e conselho fiscal. As boas práticas de Governança Corporativa têm a finalidade de aumentar o valor da sociedade, facilitar seu acesso ao capital e contribuir para a sua perenidade. (Instituto Brasileiro de Governança Corporativa – IBGC). A definição é do Instituto Brasileiro de Governança Corporativa – IBGC, criado em 1994, no intuito de tornar-se referência em Governança Corporativa. É uma entidade cultural de âmbito nacional sem fins lucrativos, destinada a colaborar com a qualidade da alta gestão das organizaçõesbrasileiras. Origem de uma boa Governança: <http://www.ibgc.org.br> Após ter apresentado e definido a Governança Corporativa, e antes de ingressarmos de fato na Governança de TI, veja, a seguir, algumas definições importantes que são comuns nesse ambiente e que são importantes para o nosso curso. • Chief Executive Officer – CEO: pessoa que exerce o cargo de diretor-executivo ou diretor-geral de uma organização ou empresa. • Chief Financial Officer – CFO: pessoa que exerce o cargo de diretor-financeiro de uma empresa. • Chief Information Officer – CIO: pessoa que exerce o cargo de diretor de Tecnologia da Informação de uma empresa. • Stakeholders: pessoas que possuem algum tipo de envolvimento profissional ou pessoal com uma empresa (administradores, funcionários, acionistas, parceiros, clientes, usuários etc.). • Framework: expressão muito utilizada em Governança de TI, para definir qualquer atividade, processo, ação e melhores práticas para se atingir um objetivo. Go ve rn an ça d e Te cn ol og ia d a In fo rm aç ão 12 Governança de TI e suas Melhores Práticas Unidade I Desses conceitos descritos, procure se aprofundar sobre os de um CIO. Identifique as suas funções, seu poder de influência em uma empresa e a constituição da sua equipe subordinada. Para governar TI, podemos aprender muito com uma boa governança financeira e corporativa. Por exemplo, o CFO (diretor financeiro) não assina todos os cheques nem autoriza todos os pagamentos. Em vez disso, estabelece uma governança financeira especificando quem pode tomar essas decisões e como. Em seguida, examina a carteira de investimentos da empresa e administra o fluxo de caixa e a exposição a riscos. Ele acompanha uma série de indicadores para administrar os ativos financeiros da empresa, intervindo somente quando houver problemas ou oportunidades de melhorias no processo. Princípios similares aplicam-se a quem pode comprometer a empresa com um contrato ou parceria. Toda essa analogia deve ser aplicada à Governança de Tecnologia da Informação. Governança de TI: a especificação dos direitos decisórios e do framework de responsabilidades para estimular comportamentos desejáveis na utilização da TI. (PETER WEILL e JEANNE W. Ross,2004 Governança de TI, p. 8) Nessa definição da Governança de TI, Perter Weill e Jeanne W. Ross tentam capturar sua simplicidade – direitos decisórios e responsabilidade – e sua complexidade – comportamentos desejáveis que diferem de empresa para empresa. A governança determina quem toma decisões. A administração é o processo de tomar e implantar decisões. Por exemplo, a governança determina quem tem direito de decidir sobre quanto a empresa investirá em TI. A administração determina a quantia efetivamente a ser investida num dado ano e as áreas em que ocorrerá o investimento. Como exercício, esboce rapidamente uma lista contendo os nomes das pessoas que são responsáveis pelas decisões na sua organização. A alta gerência estabelece os direitos decisórios e as responsabilidades pela TI para estimular os comportamentos desejáveis na empresa. Se o comportamento desejável envolver unidades de negócio independentes e empreendedoras, as decisões de investimento em TI caberão primariamente aos líderes dessas unidades. Em contraste, se o comportamento desejável envolve uma visão unificada da empresa por parte do cliente, com um único ponto de contato, um modelo mais centralizado de governança de investimentos em TI funcionará melhor. Para termos uma Governança de TI eficaz, devemos dar tratamento a três questões: 1. Quais decisões devem ser tomadas para garantir a gestão e o uso eficazes de TI? 2. Quem deve tomar essas decisões? 3. Como essas decisões serão tomadas e monitoradas? A seguir, veremos na tabela 1, Matriz de Arranjos de Governança, que representa as duas primeiras questões referentes à Governança de TI: quais decisões devem ser tomadas e quem deve tomá-las? Os títulos das colunas listam cinco decisões de TI inter-relacionadas. Pó s- Gr ad ua çã o a Di st ân ci a 13 Governança de TI e suas Melhores Práticas Unidade I • Princípios de TI – esclarecendo o papel de negócio da TI. • Arquitetura de TI – definindo os requisitos de integração e padronização. • Infraestutura de TI – determinando serviços compartilhados e de suporte. • Necessidade de aplicações de negócio – especificando a necessidade comercial de aplicações de TI, compradas ou desenvolvidas internamente. • Investimentos e priorização de TI – escolhendo quais iniciativas financiar e quanto gastar. Essas cinco decisões-chave estão inter-relacionadas e requerem vinculação para que haja uma governança eficaz – tipicamente fluindo da esquerda para a direita na tabela. Por exemplo, os princípios de TI motivam a arquitetura, que leva à infraestrutura. A infraestrutura habilita o desenvolvimento de aplicações com base nas necessidades de negócio, especificadas, frequentemente, pelos detentores dos processos comerciais. Finalmente, os investimentos em TI devem ser motivados pelos princípios, pela arquitetura, pela infraestrutura e pelas necessidades de aplicações. Sabemos que na prática uma ou mais pessoas são responsáveis por tomar cada uma dessas decisões. Tipicamente, muito mais pessoas contribuem para o processo decisório. A Governança de TI envolve a definição de quem será responsável por tomar as decisões ou contribuir para elas. Os títulos das linhas da Tabela 1 listam um conjunto de arquétipos* para especificar os direitos decisórios. Em Governança de TI, os grandes autores e pesquisadores do tema adotaram os arquétipos políticos, embora exagerados a grande maioria dos administradores identificam-se com esses estereótipos. Cada arquétipo identifica o tipo de pessoa envolvida em tomar uma decisão em TI. • Monarquia de negócio – os altos gerentes. • Monarquia de TI – os especialistas em TI. • Feudalismo – cada unidade de negócio toma decisões independentes. • Federalismo – combinação entre o centro corporativo e as unidades de negócio, com ou sem envolvimento do pessoal de TI. • Duopólio de TI – o grupo de TI e algum grupo. • Anarquia – tomada de decisões individual ou por pequenos grupos de modo isolado. Tabela 1 – Matriz de Arranjos de Governança Decisão Arquético Princípios de TI Arquitetura de TI Estratégias de Infraestrutura de TI Necessidades de aplicações de negócio Investimentios em TI Monarquia de negócio Monarquia de TI Feudalismo Federalismo Duopólio Anarquia Não se sabe Juntos, esses arquétipos descrevem todos os arranjos decisórios que já foram encontrados. A maioria das empresas utiliza uma variedade de arquétipos para as cinco decisões. O desafio no preenchimento dessa tabela (Tabela 1) está em determinar quem deve ter a responsabilidade por tomar e contribuir com cada tipo de decisão de governança. * É o primeiro modelo de alguma coisa. Modelo político de governança. Go ve rn an ça d e Te cn ol og ia d a In fo rm aç ão 14 Governança de TI e suas Melhores Práticas Unidade I Se a Matriz de Arranjos de Governança (Tabela 1) organiza os tipos de decisões e os arquétipos do processo decisório, a terceira questão – como essas decisões serão tomadas e monitoradas – requer a formulação e a implantação de mecanismos de governança, como comitês, funções e processos formais. Vimos que as empresas tomam cinco tipos de decisões de TI, em vários níveis organizacionais, empregando uma variedade de mecanismos. Fica claro para nós a constatação de como as ações individuais podem agir contra, ao invés de harmonizarem-se. A complexidade e dificuldade de explicar a Governança de TI é uma das mais sérias barreiras ao seu aprimoramento. Um estudo feito pelo Center for Information Systems Research – CISR constatou que o melhor indicador de desempenho para Governança de TI é a porcentagem de administradores em cargos de liderança capazes de descrevê-la corretamente. Algo que agrava os problemas de governança é o fato de que amaioria dos altos executivos não tem familiaridade com sua governança. Nesse estudo, constatou-se também que, em média, somente 38% dos administradores em cargos de liderança nas empresas poderiam descrever com precisão sua Governança de TI. Em empresas com desempenho de governança acima da média, 45% ou mais dos administradores conseguiam descrevê-la corretamente. Em umas poucas empresas de altíssimo desempenho, 80% dos executivos seniores estavam familiarizados com sua Governança de TI. Qual a porcentagem de administradores em cargo de liderança que sabem descrever qual a Governança de TI da sua empresa? Para nos ajudar a entender, comunicar e sustentar uma governança eficaz, o CISR propôs um Framework de Governança de TI aqui esboçado na Figura 2. Esse Framework ilustra a harmonização (setas horizontais) entre a estratégia e a organização da empresa, os arranjos de Governança de TI e as metas de desempenho do negócio. A estratégia da empresa, os arranjos de governança e as metas de desempenho são postos em práticas, respectivamente, pela organização da TI e comportamentos desejáveis, por mecanismos de governança e por métricas. O Framework ilustra, também, a necessidade de harmonizar a Governança de TI com a governança dos outros ativos principais. Figura 2 – Framework de Governança de TI Pó s- Gr ad ua çã o a Di st ân ci a 15 Governança de TI e suas Melhores Práticas Unidade I Uma Governança de TI eficaz requer uma quantidade significativa de tempo e de atenção da administração. A pergunta que você deve estar se fazendo é: A Governança de TI vale a pena? A dependência crescente das empresas em relação à informação e a TI sugere que sim. Uma boa Governança de TI harmoniza decisões sobre a administração e a utilização de TI com comportamentos desejáveis e objetivos do negócio. Sem estruturas de governança, cuidadosamente, projetadas e implantadas, as empresas deixam essa harmonia ao acaso. Há muitas razões para que a tomada de decisões sobre TI não sejam deixadas ao léu e, então, requeira sempre uma boa governança. Go ve rn an ça d e Te cn ol og ia d a In fo rm aç ão 16 Governança de TI e suas Melhores Práticas Unidade I Capítulo 2 – Tecnologia da Informação um Ativo da Organização Toda empresa precisa tomar cinco decisões inter-relacionadas sobre Tecnologia da Informação: os princípios de TI; a arquitetura de TI; a infraestrutura de TI; as necessidades de aplicações do negócio; os investimentos e a priorização de TI. A Figura 3 organiza essas decisões enfatizando suas interconexões críticas. A decisão referente aos princípios de TI fica na parte superior do diagrama, uma vez que ela, por explicitar os objetivos empresariais da TI, estabelece diretrizes para todas as outras decisões. Se os princípios não estiverem claros, é improvável que as outras decisões sejam aderidas de maneira significativa. As decisões sobre a arquitetura de TI convertem os princípios de TI em requisitos de integração e padronização e, então, traçam um guia técnico para prover as capacidades necessárias. As decisões relativas aos investimentos e à priorização da TI mobilizam recursos para converter princípios em sistemas. Decisões sobre os Princípios de TI Declarações de alto nível sobre como a TI é utilizada no negócio Decisões sobre a Arquitetura de TI Organização lógica de dados, aplicações e infra-estruturas, definida a partir de um conjunto de políticas, relacionamentos e opções técnicas adotadas para obter a padronização e a integração de técnicas e de negócios desejadas. Decisões sobre a Infraestrutura de TI Serviços de TI, coordenados de maneira centralizada e compartilhados dos quais provém a base para a capacidade de TI da empresa. Decisões sobre os Investimentos e Priorização de TI Decisões sobre quanto e onde investir em TI, incluindo a aprovação de projetos e as técnicas de justificação. Necessidade de Aplicações de Negócio Especificação da necessidade de negócio de aplicações de TI adquiridas no mercado ou desenvolvidas internamente. Figura 3 – Principais Decisões sobre a Governança de TI Decisões sobre infraestrutura e aplicações podem fluir de cima para baixo dos princípios, da arquitetura e dos critérios de investimento. Nesse caso, a infraestrutura gera as capacidades necessárias de TI e as aplicações fazem uso dessas capacidades. Com a mesma frequência, necessidades e oportunidades de negócio identificam a necessidade de aplicações de TI, que surgem na base para gerar novos requisitos de infraestrutura. Por fim, as decisões de investimento selecionam e financiam as iniciativas de infraestrutura e aplicações, que implantam uma arquitetura projetada para incorporar os princípios de TI – e em última instância os princípios do negócio. Vejamos, então, as decisões a serem tomadas no âmbito da TI para sua utilização eficaz. Essas decisões têm de ser vistas de maneira integrada. Estabelecendo os Princípios de TI Os princípios na área de TI declaram sobre como esse recurso é utilizado para auxiliar o negócio da organização. Portanto, se os negócios da empresa não estiverem claramente definidos, não conseguimos estabelecer os de TI. O CIO deve ter acesso a essas informações. Dessa forma, os princípios de TI são um conjunto relacionado de declarações de alto nível Pó s- Gr ad ua çã o a Di st ân ci a 17 Governança de TI e suas Melhores Práticas Unidade I sobre como a Tecnologia da Informação é utilizada no negócio. Vejamos, a seguir, um exemplo de princípios de negócio de uma organização fabricante de papel e embalagens. – Estímulo das economias de mercado – Padronização de processos e tecnologias sempre que apropriado – Ferramentas comuns e diversidade nos negócios – Controle de custos e eficiência operacional – Alinhamento e responsividade aos requisitos comerciais negociados A empresa formulou seus princípios de TI articulando suas expectativas de que a Tecnologia da Informação apoiasse sua estratégia de negócio. Dessa forma, esses princípios de negócio levaram ao seguinte conjunto de princípios de TI (metas da Governança de TI). – Custo Total de Propriedade – TCO, mínimo com benchmark – Integridade arquitetônica – Infraestrutura consistente e flexível – Rápida implantação de novas aplicações – Valor e responsividade mensurados, aprimorados e comunicados O principal indicador de um conjunto efetivo de princípios de TI é uma trilha clara de evidências que conduza dos princípios de negócio aos princípios de administração de TI. Os princípios de TI podem, também, ser utilizados como ferramenta para educar os executivos. Eles devem definir o comportamento desejável tanto para profissionais quanto para usuários de Tecnologia da Informação. Então, resumidamente, os princípios de TI devem: – prover diretrizes para que a TI seja utilizada de modo a habilitar a estratégia de negócios da empresa; – fornecer informação para os executivos tomarem decisões sobre investimentos em tecnologia; – definir o comportamento desejável tanto para profissionais quanto para usuários dessa tecnologia; – padronizar a integração de processos da empresa. Criando uma Arquitetura de TI Ao mostrar como a TI dá suporte aos princípios de negócio, os princípios de TI estabelecem – implícita ou explicitamente – os requisitos de padronização e integração de processos numa empresa. A arquitetura de TI é a organização lógica dos dados, aplicações e infraestruturas, definida a partir de um conjunto de políticas, relacionamentos e opções técnicas adotadas para obter a padronização e a integração técnicas de negócios desejadas. Por prover o direcionamento para a infraestrutura e aplicações, as decisões arquitetônicas são cruciais para uma gestão e utilização eficazes de Tecnologia da Informação. Nessa área, devemos pensar em como organizar, logicamente, as informações e a infraestrutura com o objetivo de apoiar os negócios da empresa. Para organizar as informações, a padronização dos dados é fundamental,pois só assim promoveremos uma definição unívoca e um conjunto único de características a serem capturados da informação. A centralização dos dados é uma grande solução. As arquiteturas devem capturar a organização lógica em políticas e escolhas técnicas. A maioria das escolhas técnicas não precisa ser comunicada aos altos administradores. Elas são formuladas em níveis intermediários. Go ve rn an ça d e Te cn ol og ia d a In fo rm aç ão 18 Governança de TI e suas Melhores Práticas Unidade I Existe a necessidade de definir dados e infraestrutura que deem suporte a aplicações mais sujeitas a mudanças. As necessidades do negócio mudam, constantemente, por isso as empreses precisam dar flexibilidade a suas arquiteturas. Desde que a empresa não mude sua missão básica, a infraestrutura definida pela arquitetura de TI deve dar suporte a suas aplicações de negócios. A distinção entre infraestrutura e aplicações permite, assim, que as empresas estimulem as economias de escala preservando flexibilidade para reagir a mudanças. A habilidade de conceber e construir uma arquitetura baseada em componentes decorrerá da experiência da empresa com a especificação e a posterior implementação de padrões técnicos, de processos e de informações. Algumas empresas vêm-se movendo rapidamente em direção a arquiteturas baseadas em componentes; outras mal começaram a jornada. A sua empresa possui uma Arquitetura de TI? Elaborando uma Infraestrutura de TI Já que estávamos falando sobre a infraestrutura, é melhor descrever o que temos de levar em consideração. Ela é a base da capacidade de planejamento de TI, tanto no aspecto técnico quanto nos recursos humanos. Para isso, deve disponibilizar serviços compartilhados e confiáveis e ter a capacidade de ser utilizada por múltiplas plataformas tecnológicas. Para se estabelecer uma infraestrutura que atenda às necessidades da empresa, quase sempre é necessário investimentos de grande vulto. Investir pouco resulta em implantações apressadas para cumprir prazos comerciais; em ilhas de automação que atendem a necessidades pontuais, sem integração alguma com o restante da empresa; e no compartilhamento restrito de recursos informacionais. Com isso, o foco e o oportunismo das iniciativas de infraestrutura podem ter um impacto significativo no desempenho da empresa. Na figura a seguir (Figura 4), vemos os vários elementos da infraestrutura de TI. Figura 4 – Elementos da infraestrutura de TI Pó s- Gr ad ua çã o a Di st ân ci a 19 Governança de TI e suas Melhores Práticas Unidade I Normalmente, os serviços a serem disponibilizados pela infraestrutura incluem: – serviço de rede de comunicação de dados; – provisão e gerenciamento de equipamentos computacionais; – desenvolvimento de aplicações informatizadas; – base de dados compartilhada; – criação e acesso a Intranet e Internet. Isso pode ser feito com recursos internos ou de maneira terceirizada. A infraestrutura interna de uma empresa, frequentemente, conecta-se a infraestruturas externas da indústria (como sistemas de pagamento bancário) e a infra- estruturas públicas (como a Internet e as redes de telecomunicações). A respeito da infra-estrutura, sei que devemos descartar isto aqui e acrescentar aquilo ali todos os anos. Você pode desativar as coisas, mas no fim você vai eventualmente acabar encurralado. Por isso, tento disponibilizar fundos para renovar continuamente, o que não é uma opção muito popular. (KEN LACY, CIO da UPS) Cada um dos serviços de infraestrutura de TI pode situar-se no nível corporativo (extensível a toda a empresa) ou no nível das unidades de negócio. Muitas organizações vêm transferindo capacidades de infraestrutura das unidades de negócios para a empresa como um todo, na busca de objetivos de negócio como economias de escala ou um ponto único de contato com o cliente. Determinar onde os serviços locais de infraestrutura devem ser posicionados, de que modo devem ser apreçados, quando devem ser atualizados e se cabe ou não terceirizá-los são decisões essenciais de infra- estrutura. Possuir a infraestrutura correta significa prover com boa relação custo/benefício que capacitem a empresa em adotar rapidamente novas aplicações de negócio. Quais as vantagens e desvantagens de se gerenciar a infra- estrutura de uma empresa, utilizando recursos internos ou serviços terceirizados? Tudo na vida tem pontos positivos e negativos. Definindo as Necessidades de Aplicações de Negócio Embora todas as outras ideias vistas anteriormente envolvam o valor de negócio da TI, são as decisões referentes às necessidades de negócios específicas que geram valor diretamente. A identificação da necessidade de negócios de aplicações de TI costuma ter dois objetivos conflitantes – a criatividade e a disciplina. A criatividade consiste em identificar maneiras novas e mais eficazes de gerar valor para os clientes por meio da TI e envolve a identificação de aplicações de negócio que deem suporte a objetivos de negócio estratégicos e facilitem experimentos de negócios. A disciplina consiste na integridade arquitetônica assegurando que as aplicações aproveitem e amplifiquem a arquitetura de empresa, ao invés de solapar seus princípios. A disciplina envolve, também, foco, comprometendo os recursos necessários para concretizar metas de projetos e negócios. Descreveremos agora decisões gerenciais que resultam em aplicações de negócio criativas e disciplinadas. As empresas precisam de um fluxo constante de experimentos para identificar e aproveitar novas oportunidades de mercado e evitar a obsolescência. Alguns desses experimentos transformar-se-ão em melhorias; outros fracassarão rapidamente. O Go ve rn an ça d e Te cn ol og ia d a In fo rm aç ão 20 Governança de TI e suas Melhores Práticas Unidade I fluxo de experimentos gera energia criativa e alerta continuamente os administradores quanto às mudanças de condições de mercado, permitindo-lhes identificar o próximo grande negócio. As empresas precisam identificar que experimentos poderão ser aproveitados para buscar financiamento e avaliação mais pormenorizada, de maneira que lhes sejam possível sustentar o ciclo constante de ideias criativas e, também, abandonar projetos malsucedidos antes de terem investidos grandes quantias de dinheiro. Todos esses procedimentos seguem o ciclo PDCA. Você o conhece? Pesquise sobre o citado ciclo. Ele poderá ser utilizado em várias situações na sua vida. Soluções criativas podem gerar interessantes desafios técnicos, sobretudo, quando as empresas compram pacotes prontos dos fabricantes para atender às suas necessidades. As empresas bem-sucedidas têm consistentemente se mostrado dispostas a sacrificar a funcionalidade em prol de sustentar a integridade arquitetônica. A minha função é supervisionar a arquitetura e assegurar que ela evolua com o tempo para atingir os resultados desejados. A condição implícita é que sejam escolhidas aplicações que se ajustem ao contexto de nossa arquitetura. Se for uma aplicação obrigatória, encontre um que funcione com esta arquitetura. Se não encontrar, então conversaremos (Descrição do modelo empregado pelo CIO da empresa Meadwestvaco). Sustentar a integridade arquitetônica exige uma disciplinada coordenação de suas demandas com o portfolio de projetos da empresa. Decisões sobre necessidades de aplicações de negócio requerem pensadores criativos e gerentes de projetos disciplinados. Decidindo sobre Investimentos e Priorização de TI A decisão de investimento em TI é, frequentemente, a mais visível e controversa das cinco decisões-chave de TI. Alguns projetos são aprovados, outros são repelidos e o restante passa pelo equivalente organizacional da animação suspensa, com temida solicitação dos tomadores de decisão de “refazer o plano de negócio” ou “prover mais informações”. As empresas que obtêm o valor superior de TI concentram seus investimentos em suas prioridades estratégicas, cientes da distinção entrecapacidades de TI que “precisamos ter” e que “seria bom se tivéssemos”. Investir em TI deve ter o mesmo princípio de qualquer outro investimento: o retorno precisa ser decente, senão o negócio quebra. As decisões sobre os investimentos nesse recurso residem em três pensamentos: quanto gastar, em que gastar e como conciliar as necessidades dos vários usuários. Para isso a governança de TI é uma ferramenta imprescindível. Os retornos incertos de gastos com TI fazem com que muitos executivos se perguntem se estão gastando muito – ou, até mesmo, muito pouco. Eles recorrem muitas vezes a benchmarks da indústria como meios de determinar os níveis apropriados de gastos, concentram-se no papel estratégico que a TI desempenha na organização e estabelecem um nível de custeio para toda a empresa, que habilitará a tecnologia a atingir o seu objetivo. A solução para esse problema é estabelecer os indicadores de sucesso em investimentos de TI. Não existe uma fórmula ou indicadores padronizados. Cada CIO deve ter esses indicadores previamente aprovados. As melhores empresas com retorno de investimentos em TI obedecem esses padrões. Pó s- Gr ad ua çã o a Di st ân ci a 21 Governança de TI e suas Melhores Práticas Unidade I Outra solução inteligente é dar um aspecto de negócios aos investimentos de TI, e empresas de diversas áreas acham útil considerar esses investimentos como um portfolio, assim como investidores individuais têm portfolios ou carteiras de investimentos financeiros. Isso permite que os tomadores de decisão alinhem seus portfolios com a estratégia da empresa e balanceiem riscos e retornos. Os investimentos e a priorização de TI põem o dinheiro e o pessoal da empresa para trabalhar. Se a alta gerência não esclareceu ou não comunicou a estratégia da empresa, ou se a estratégia muda frequentemente que não vale a pena investir na estratégia de hoje, o processo de investimentos de TI virá abaixo. Nenhum framework ou análise pode substituir uma direção estratégica clara. Quando um comitê de investimento compreende seus objetivos de negócio, ele pode investir seu dinheiro em TI e gerar retornos significativos. Verifique se existem essas práticas na sua organização. Relacione quais as existentes. Elas atendem aos requisitos vistos? Ela é eficaz? O que fazer para melhorar? Como resumo e ponto de partida para a formulação da governança, criamos uma série de perguntas representativas de cada decisão de TI. Responder devidamente a essas e a questões similares é o trabalho das pessoas incumbidas de tomar decisões segundo o Projeto de Governança. Go ve rn an ça d e Te cn ol og ia d a In fo rm aç ão 22 Governança de TI e suas Melhores Práticas Unidade I Capítulo 3 – Arquétipos da Governança de TI Vimos, no capítulo anterior, todas as circunstâncias que envolvem a TI em uma empresa. Com certeza, chegamos à conclusão que esse poderoso recurso não pode mais ser visto como uma simples preocupação de comprar mais ou menos computadores, se esses equipamentos devem ou não acessar a Internet. É um ativo imprescindível nos dias atuais. Necessita de preocupação da alta gerência, de um alto controle e coordenação, portanto, de uma Governança. O propósito deste capítulo é oferecer a você um conjunto de arquétipos e, consequentemente, de opções para os direitos decisórios em TI. O capítulo utiliza tais arquétipos para descrever como as organizações tomam as decisões sobre Tecnologia da Informação. Normalmente, utilizam-se arquétipos políticos (monarquia, feudalismo, federalismo, duopólio e anarquia) para descrever as combinações de pessoas que têm o direito decisório ou contribuem para a tomada de decisões de TI. Um desses seis arquétipos pode descrever como as empresas tomam uma ou mais das cinco decisões-chave de TI ou contribui com os tomadores de decisão. Tabela 2 – Arquétipos de Governança de TI Estilo Quem tem direitos decisórios ou de contribuição? Monarquia de Negócio Um grupo de executivos de negócios ou executivos individuais (CxOs). Inclui comitês de executivos seniores de negócios (podendo incluir o CIO). Exclui executivos de TI que atuem independentemente. Monarquia de TI Indivíduos ou grupos de executivos de TI. Feudalismo Lideres das unidades de negócio, detentores de processos-chave ou seus delegados. Federalismo Executivos do nível de diretoria (c-level) e grupos de negócios; incluindo executivos de TI como participantes adicionais. Equivalente à atuação conjunta dos governos federal e estadual. Duopólio de TI Executivos de TI e algum outro grupo (os CxOs ou os líderes de unidades de negócios ou os líderes de processos). Anarquia Cada usuário individual. Monarquia de Negócio Os altos executivos de negócios tomam decisões de TI que afetam a empresa toda. Tipicamente, as monarquias de negócio aceitam contribuições de muitas fontes para as decisões-chave. Monarquia de TI Os profissionais de Tecnologia da Informação tomam as decisões de TI. As empresas implantam monarquias de TI de maneiras diferentes, frequentemente, envolvendo profissionais de TI tanto de equipes corporativas quanto de unidades de negócio. Feudalismo O modelo feudal é baseado nas tradições da antiga monarquia, em que príncipes, princesas, ou os cavaleiros por eles escolhidos, tomavam suas próprias decisões, otimizando suas necessidades locais. No caso da Governança de TI, a entidade Pó s- Gr ad ua çã o a Di st ân ci a 23 Governança de TI e suas Melhores Práticas Unidade I feudal é, tipicamente, a unidade de negócio, a região ou a função. De forma geral, o modelo feudal não se mostra muito comum, pois a maioria das empresas tem buscado uma sinergia entre as unidades de negócio. Esse modelo não facilita a tomada de decisões da empresa como um todo. Federalismo O modelo decisório federalista tem uma longa tradição nos governos. Arranjos federalistas tentam equilibrar as responsabilidades e cobranças de múltiplos órgãos do governo, como país e estados. Define-se o modelo federalista como a tomada de decisões coordenada que envolve tanto o centro quanto as unidades de negócio. Os representantes das unidades no modelo federalista podem ser os seus líderes ou os detentores de processos de negócio. Líderes de TI em nível corporativo e/ou das unidades de negócio podem, também,se envolver na governança federalista como participantes adicionais. O modelo federalista é, sem dúvida, o mais difícil arquétipo para a tomada de decisões, pois os líderes da organização têm preocupações diferentes das dos líderes das unidades de negócio. Os membros de uma empresa federalista representam suas próprias responsabilidades exclusivas. Além disso, os sistemas de incentivo levam os administradores a focarem, constantemente, nos resultados da unidade de negócio, e não na empresa. Nos modelos federalistas, as unidades de negócio maiores e mais poderosas, com frequência, ganham mais atenção e têm maior influência sobre as decisões. Consequentemente, as unidades menores estão sempre insatisfeitas e, por vezes, separam-se da União para atender às próprias necessidades. As empresas que adotam estruturas de governança federalista costumam fazer uso de equipes administrativas e comitês executivos para resolver conflitos inerentes. Duopólio de TI O duopólio de TI é um arranjo entre duas partes em que as decisões representam o consenso bilateral entre executivos de TI e algum outro grupo. Os executivos de TI podem ser um grupo central de TI ou uma equipe composta por organizações de TI centrais e das unidades de negócio. O outro grupo pode ser constituído de CxOs, líderes das unidades de negócio ou detentores de processos de negócios, ou, ainda, grupos dos principais usuários de sistemas. O duopólio difere do modelo federalista no sentido de que o arranjo federalista tem sempre representação corporativa com local, ao passo que o duopólio tem uma ou outra, mas nunca ambas, e inclui, invariavelmente, profissionais de TI. Anarquia Numa anarquia, indivíduosou pequenos grupos tomam suas próprias decisões com base somente em suas necessidades locais. Anarquias, formalmente sancionadas, são raras, mas existem, sendo adotadas nos casos em que se requer uma resposta muito rápida a necessidades locais ou de clientes individuais. A tabela, a seguir (Tabela 3), enumera as características distintivas dos diferentes arranjos de governança e como se costuma classificar as empresas. Go ve rn an ça d e Te cn ol og ia d a In fo rm aç ão 24 Governança de TI e suas Melhores Práticas Unidade I Tabela 3 – Principais Participantes nos Arquétipos de Governança de TI Executivos de Diretoria (c-level) TI corporativa e/ou das Unidades de Negócio Líderes das Unidades de Negócio ou Detentores dos Principais Processos de Negócio Monarquia de Negócio X Monarquia de TI X Feudalismo X Federalismo X X X X X Duopólio de TI X X X X Anarquia Segundo estudos do Center for Information Systems Research – CISR, da MIT Sloan School, o padrão mais comum de governança permite colaborações de base ampla, com direitos decisórios alocados a grupos que variam conforme a decisão. No caso das três decisões de TI orientadas a negócio (princípios, necessidades de aplicações de negócio e investimentos), mais de 80% das empresas permitem a contribuição por meio de um modelo de governança federalista. Comitês, orçamentos e processos interfuncionais apresentavam oportunidades de contribuição e feedback referentes a tais decisões. Estruturas federalistas também sustentam a contribuição para decisões de TI mais técnicas, mas as abordagens das empresas em relação a aspectos técnicos são mais variadas. Os duopólios são, também, uma abordagem popular de contribuição para as decisões técnicas. A abordagem duopolista em matéria de contribuição para decisões técnicas tem objetivos similares aos da abordagem federalista, mas, ao passo que esta última abordagem envolve tomadas as unidades de negócio, o duopólio emprega um conjunto de relacionamentos bilaterais entre a TI e as unidades de negócio. Além de procurar contribuições internas para suas decisões, muitas firmas também as procuram externamente. Fornecedores, parceiros comerciais, consultores, associações da indústria, universidades e outros grupos contribuem. Em geral, não se recomenda a concessão de direitos decisórios a grupos externos em decisões-chave de TI (com a exceção de empresas sem fins lucrativos), como ocorre em alguns arranjos de terceirização. Mas fontes externas podem oferecer com frequência contribuições valiosas. Qual ou quais seriam os arquétipos mais comuns de governança empregado nas empresas da sua região? Pó s- Gr ad ua çã o a Di st ân ci a 25 Governança de TI e suas Melhores Práticas Unidade I Capítulo 4 – Mecanismos para Elaboração da Governança de TI Existem duas coisas que é melhor não vermos como são feitas – salsichas e leis. Peter Weill e Jeanne W. Ross,2004 Governança de TI, p. 87 A sentença acima retirada do livro, Governança de TI, enfatiza que em ambos os casos de elaboração – salsichas e leis – um produto bem-embalado resulta de processos caóticos. Similarmente, a Governança de TI pode ser caótica. Ela fomenta debates, negociações, discórdias construtivas, educação mútua e muitas vezes frustração. O processo é desordenado, mas bons arranjos de governança habilitam indivíduos que representam metas conflitantes a reconciliar suas visões em benefício de sua empresa. As empresas desenvolvem seus arranjos de governança por meio de um conjunto de mecanismos de governança – estruturas, processos e comunicações. Mecanismos bem-concebidos, bem-compreendidos e transparentes promovem comportamentos desejáveis em termos de TI. Por outro lado, se os mecanismos forem mal desenvolvidos, os arranjos de governança não trarão os resultados desejados. No capítulo anterior vimos os arquétipos de governança que podem ser implementados para cada decisão. Neste capítulo, trataremos dos mecanismos de governança comuns e como eles empregam os diferentes arquétipos. Na figura, a seguir, (Figura 5) observe quinze dos mecanismos mais comuns de Governança de TI. Tal pesquisa foi realizada em 256 empresas em 23 países. Figura 5 – Mecanismos Comuns de Governança Go ve rn an ça d e Te cn ol og ia d a In fo rm aç ão 26 Governança de TI e suas Melhores Práticas Unidade I Uma governança eficaz adota três tipos diferentes de mecanismos: • Estruturas de tomadas de decisão – Unidades e papéis organizacionais responsáveis por tomar decisões de TI, como comitês, equipes executivas e gerentes de relacionamento entre negócios e TI; • Processos de alinhamento – Processos formais para assegurar que os comportamentos cotidianos sejam consistentes com as políticas de TI, e contribuam com as decisões. Incluem processos de avaliação e proposta de investimentos em TI, processos de exceções de arquitetura, acordos de nível de serviço, cobrança reversa e métricas; • Abordagens de comunicação – Comunicados, porta-vozes, canais e esforços de educação que disseminam os princípios e as políticas da Governança de TI e os resultados dos processos decisórios em TI. Estruturas de Tomadas de Decisão Os mecanismos mais visíveis da Governança de TI são as estruturas organizacionais que alocam responsabilidades decisórias de acordo com os arquétipos pretendidos. Idealmente, toda empresa envolve líderes tanto de TI quanto de negócios no processo de governança. As estruturas de tomadas de decisão são a abordagem natural para geral comprometimento – embora alguns executivos tenham notoriamente se livrado de suas responsabilidades pela Governança de TI. Empresas com uma governança eficaz mesclam e combinam estruturas de tomadas de decisão para implementar arquétipos predefinidos e atingir ao final suas metas organizacionais. Processos de Alinhamento As estruturas de tomadas de decisão são o primeiro passo na concepção da Governança de TI. Mas uma governança eficaz é uma questão tanto de ações quanto de decisões. Os processos de alinhamento são técnicas da administração de TI para assegurar o envolvimento geral na administração e utilização efetiva de Tecnologia da Informação. Os processos de alinhamento devem levar todos a bordo, tanto contribuindo para as decisões de governança quanto disseminando os produtos das decisões de TI. Os principais processos de alinhamento incluem o processo de aprovação de investimentos, o processo de exceções à arquitetura, os acordos de nível de serviço, a cobrança reversa, o acompanhamento de projetos e o rastreamento formal do valor de negócios gerado da TI. O objetivo do processo de aprovação de investimentos em TI é assegurar que os investimentos gerem retornos significativos para a empresa em comparação com outras oportunidades alternativas de investimento. A maioria das empresas formaliza seu processo de proposta de investimentos em TI para garantir que ideias criativas e prioridades estratégicas sejam consideradas pelos tomadores de decisões de investimentos. Muitas empresas usam modelos padronizados de solicitação e aprovação de investimentos, procurando estimar métricas como Return On Investment – ROI, o Valor Presente Líquido – VLP e o risco de cada projeto. Sem modelos de investimento, os tomadores de decisão têm dificuldade em comparar projetos e podem perder oportunidades de gerar valor, fazendo investimentos com benefícios menos assegurados. Embora as propostas padronizadas exponham os benefícios e os riscos relativos a cada projeto, elas são menos eficazes para estabelecer de que modo um projeto proposto contribui para os objetivos estratégicos de uma empresa. A maioria das empresas incumbe as unidades de negócio e as funções de estabelecer suas prioridades com base em seus próprios objetivos. Comitês de investimento determinam tipicamente o conjunto de projetos que, juntos, proporcionam os maiores benefícios estratégicos à empresa. Ainda falando sobre os processos de alinhamento, sabemos que poucasempresas podem dar suporte a todas as plataformas técnicas que pareçam úteis aos negócios. Os padrões tecnológicos são críticos para a eficiência de TI e dos negócios. Mas exceções ocasionais não apenas são apropriadas, como necessárias. A questão é saber como identificar a exceção ocasional. A resposta é o processo de exceções à arquitetura. Pó s- Gr ad ua çã o a Di st ân ci a 27 Governança de TI e suas Melhores Práticas Unidade I É com as exceções que as empresas aprendem. As empresas adotam o processo de exceções para atender a necessidades de negócios específicas e determinar quando os padrões existentes estão se tornando obsoletos. As exceções servem como válvula de escape para reduzir pressões organizacionais. Sem um processo viável de exceções, as unidades de negócio ignoram os padrões da empresa e implementam-nas sem nenhuma aprovação. Essa abordagem provoca tensões organizacionais que se acumulam com o tempo à medida que mais exceções não autorizadas ocorrem. Pior ainda, as exceções não autorizadas privam a empresa da oportunidade de aprender. Os comitês de arquitetura costumam ser responsáveis pelo estabelecimento de padrões. Em muitos casos, o comitê de arquitetura assume também a responsabilidade por autorizar exceções aos padrões. Esses comitês, entretanto, podem facilmente se atolar em batalhas insignificantes, criando um gargalo para as implementações de TI. Para evitar esse dilema, a maioria das solicitações de exceção de arquitetura deve ser resolvida antes de chegar ao comitê de arquitetura. Os processos de exceção mais bem-sucedidos resolvem a maioria das questões no nível da equipe de projetos, passando logo adiante quaisquer pedidos de exceção potencialmente estratégico. Uma abordagem é pôr um arquiteto de TI em todas as equipes de projetos. Os arquitetos esclarecem padrões e resolvem debates menores. Também podem ajudar a equipe de projetos a elaborar seus argumentos para exceções com valor. Em empresas em que a padronização se ajusta facilmente, por exemplo, nas empresas que enfatizam operações de baixo custo, os pedidos de exceção são, necessariamente, raros. Os arquitetos de projetos compreendem a expectativa de que as implementações de sistemas devem-se conformar aos padrões. Passemos agora para os Acordos de Nível de Serviço (Service Level Agreement – SLAs). Estes, usados pela grande maioria das empresas, enumeram os serviços disponíveis, os níveis alternativos de qualidade e respectivos custos. Por meio de negociações entre a unidade de serviço de TI e as unidades de negócio, um SLA permite a articulação das ofertas de serviços de TI e de seus custos. Essas negociações esclarecem os requisitos das unidades de negócio, informando com isso as decisões da governança sobre a infraestrutura, a arquitetura e as necessidades de aplicações de negócios. Os SLAs estimulam, frequentemente, comparações com provedores externos. As comparações devem resultar na prestação de serviços internos com boa relação de custo/benefício ou na decisão de terceirizar alguns serviços de infraestrutura – em ambos os casos com resultados desejáveis. Os SLAs estimulam também as unidades de negócio a serem mais conscienciosas em suas solicitações de TI. Tempos de resposta, garantidos em frações de segundos para transações Web, custam tipicamente mais do que tempos de resposta de 3 segundos. Similarmente, um tempo de resposta garantido em 30 minutos para uma estação de trabalho que sofra panes é mais caro do que um de 4 horas. Um representante de serviços de clientes numa central de atendimento pode justificar o custo extra de um tempo de resposta de 30 minutos mencionando a possibilidade de perda de receita. Um assistente administrativo, no escritório de contabilidade, provavelmente não poderia utilizar a mesma justificativa. Os SLAs obrigam as unidades de TI a pensar como provedores externos. Elas “vendem” seus serviços e por isso devem procurar, constantemente, novos meios de poupar dinheiro. O desafio do processo de SLA está em converter os requisitos de negócio de nível de serviço em serviços de Tecnologia da Informação. Os custos da TI resultam da mão de obra e dos tempos de processamento, da capacidade de armazenamento e assim por diante. As unidades de negócio requerem serviços como processamento de faturas, acesso à Web e respostas rápidas a consultas on-line. Cada vez mais as unidades de TI vêm traduzindo seus custos em encargos que os administradores de negócio conseguem compreender. Um SLA que enumere os cursos de TI em termos tecnológicos não ajudará as unidades de negócio a escolher entre os níveis de serviço de TI nem a utilizar os serviços sabiamente. Tampouco ajudará os comitês de serviços de TI a conceber serviços compartilhados. O SLA tem valor quando a comunicação sobre as necessidades de negócio e serviços facilita decisões que resultem em custos menores e melhor utilização dos recursos de TI. Os SLAs devem ajudar os administradores de negócios e de TI a fazer escolhas melhores – escolhas sobre como comprar, vender e apreçar. SLAs bem-concebidos estimulam o profissionalismo de ambas as partes da cadeia de oferta e demanda. Os resultados são melhores serviços de Tecnologia da Informação e melhor compreensão, por parte tanto dos negócios quanto da TI, sobre o valor de negócio gerado. Go ve rn an ça d e Te cn ol og ia d a In fo rm aç ão 28 Governança de TI e suas Melhores Práticas Unidade I Ainda falando sobre Processos de Alinhamento, veremos agora a Cobrança Reversa. Esta é um mecanismo contábil para alocar os custos centrais da TI nas unidades de negócio. A princípio, ela não parece se associar às decisões de Governança de TO. No entanto, veremos que algumas empresas usam a cobrança reversa com bons resultados para alinhar as decisões sobre infraestrutura, necessidades de aplicações de negócios e investimentos em TI com os objetivos do negócio. O propósito da Cobrança Reversa é alocar custos de tal modo que os custos de TI das unidades de negócio reflitam o uso de serviços compartilhados e que a unidade de serviços compartilhados ajuste ao mesmo tempo seus custos aos negócios a que ela dá suporte. A cobrança reversa pode funcionar juntamente com o SLA, como um mecanismo de cobrança por serviços prestados, ou pode ser uma alternativa ao SLA no caso de serviços de TI para os quais não haja níveis alternativos de serviço. Como no caso dos SLAs, a administração usualmente espera que a cobrança reversa resulte num uso eficaz da TI. A maioria dos administradores reflete comportamentos baseados no mercado em resposta à cobrança reversa de TI, ajustando sua demanda de acordo com o valor que recebem e cortando as cobranças das unidades de TI quando elas parecem fora de linha. Passemos agora para outro tipo de Processo de Alinhamento – o Acompanhamento de Projetos. Um passo crítico na implementação da Governança de TI é desenvolver a disciplina para acompanhar o progresso de projetos individuais de TI. Boa parte das empresas dizem rastrear os recursos consumidos pelos projetos. As empresas usam uma variedade de ferramentas para dar suporte ao acompanhamento dos projetos. Nas organizações de melhor desempenho, o acompanhamento é apenas um dos elementos de uma metodologia padronizada de gestão de projetos. Algumas empresas fazem uso do Modelo de Maturidade da Capacidade – CMM, um processo altamente padronizado para certificar a gestão organizacional de projetos. Outras empresas aplicam uma metodologia de gestão de projetos desenvolvida internamente. Não existem evidências de que um tipo de métrica, ou metodologia de gestão de projetos seja mais bem-sucedida do que um outro tipo, mas qualquer tentativa de mensurar o progresso de implementações e de identificar e corrigir problemas rapidamente aumenta em muito a possibilidade de sucesso da implementação. E, por fim, vejamos o Rastreamento Formal do Valor de Negócio. Grande parte do desafio de criar uma Governança de TO eficaz decorre da dificuldadede estimar o valor da Tecnologia da Informação. Os tomadores de decisões sobre TI decidem tanto melhor quanto melhor compreendem o valor que a empresa aufere da TI. Rastrear formalmente o valor de negócio da TI aumenta o aprendizado organizacional sobre o valor de iniciativas habilitadas pela Tecnologia da Informação. Rastrear inclui determinar se as expectativas de redução de custo de um projeto ou de aumento de receita realmente se materializaram. O processo de rastreamento de valor ajuda executivos tanto de negócios quanto de TI a compreender as fontes e os obstáculos para gerar valor a partir dos investimentos em TI. Com a prática, ele também possibilita estimativas mais realistas dos benefícios propostos de um sistema. Como os resultados dos projetos são difíceis de isolar – particularmente quando os projetos são parte das metas de programas maiores – um número crescente de empresas vem formalizando objetivos intermediários. A Governança de TI envolve a concessão de poderes a todos os funcionários da empresa. Os mecanismos de tomada de decisões concentram-se em trabalhar a estratégia do negócio e as implicações para a TI. Os processos de alinhamento permitem que decisões estratégicas orientem ações cotidianas. Além disso, esses processos permitem que experiências do dia a dia com a TI proporcionem feedback ao processo estratégico. Abordagens de Comunicação Os mecanismos de comunicação destinam-se a “difundir a palavra” por toda a empresa sobre as decisões e os processos de Governança de TI e sobre os respectivos comportamentos desejáveis. As empresas comunicam de várias maneiras seus mecanismos de governança. Quanto mais a administração comunica formalmente a existência de mecanismos de governança, como esses mecanismos funcionam e quais os resultados esperados, mais eficaz será a governança. Pó s- Gr ad ua çã o a Di st ân ci a 29 Governança de TI e suas Melhores Práticas Unidade I Neste capítulo avaliamos três tipos de mecanismos de governança de TI e identificamos os principais mecanismos dentro de cada tipo. Cada mecanismo deve apresentar três características. • Simples – Mecanismos definem sem ambiguidade responsabilidades ou objetivos para cada pessoa ou grupo específico. • Transparente – Mecanismos eficazes baseiam-se em processos formais. O funcionamento do mecanismo deve ficar claro para todas as pessoas afetadas pelas decisões de governança ou que queiram contestá-la. • Adequado – Mecanismos envolvem os indivíduos em melhor condição de tomar cada decisão. No entanto, mecanismos não funcionam isoladamente. O impacto de mecanismos de governança depende de interações mútuas entre eles. Observemos cinco princípios para conceber conjuntos eficazes de mecanismos. • Escolher mecanismos dos três tipos – Mecanismos de tomadas de decisão, de alinhamento e de comunicação têm objetivos diferentes. Todos são importantes para uma governança eficaz. • Limitar as estruturas de tomadas de decisão – A tomada de decisões nas empresas não é um fenômeno de “quanto mais, melhor”. Organizações complexas exigem múltiplas estruturas de tomadas de decisão, mas quanto mais estruturas de tomadas de decisão, maiores serão as chances de contradições e discrepâncias. As responsabilidades pela tomada de decisões devem ser disseminadas na empresa toda por meio de mecanismos de alinhamento, e não de estruturas de tomadas de decisão. • Posicionar membros comuns nas estruturas de tomada de decisão – A Governança de TI requer contribuições sérias em decisões sobre necessidades de negócios estratégicas e capacidades tecnológicas. Para assegurar que essas perspectivas críticas influenciem todas as decisões de Governança de TI pertinentes, os principais órgãos de tomadas de decisão precisam ter membros em comum ou mandatos claros. O modelo da Governança de TI deve evitar descompassos entre as decisões de negócios e as de TI. • Implementar mecanismos em múltiplos níveis na empresa – Embora empresas diversificadas possam ter requisitos limitados de integração e padronização, uma única unidade de negócio talvez deseje processos estreitamente integrados. Por isso, o modelo da Governança de TI no nível da empresa reflete somente uma camada da governança. A governança no nível da empresa influencia decisões no nível das unidades de negócio, mas estas precisam, frequentemente, de arranjos próprios de governança, com mecanismos correspondentes. Uma boa governança numa firma com múltiplas unidades de negócio requer conexões entre a governança geral e a das unidades de negócio. Mecanismos como comitês de arquitetura e processos de orçamento de TI costumam proporcionar tais conexões. • Esclarecer a responsabilidade – Múltiplos mecanismos podem inadvertidamente gerar confusões sobre quem é responsável pelo o quê ou limitar a habilidade dos administradores de gerar os resultados pelos quais são responsáveis. O modelo de Governança de TI deve esclarecer os objetivos administrativos e suas métricas. Go ve rn an ça d e Te cn ol og ia d a In fo rm aç ão 30 Metodologias e Padrões Unidade II Metodologias e Padrões Unidade II Capítulo 5 – Information Technology Infrastructure Library – ITIL Os problemas significativos que enfrentamos não podem ser resolvidos pelo mesmo nível de pensamento que os criou. Albert Einstein Falaremos muito sobre processo neste capítulo. Procure identificar o que vem a ser um processo e a sua composição (fornecedores, insumos, input, output e realimentação). Controle, transparência e previsibilidade passaram a ser agora ferramentas de gestão das organizações. Como as informações estão, na maioria dos casos, no formato digital, a área de TI passou a desempenhar um papel vital na governança. A auditoria, em geral, trabalhava com as métricas específicas de TI e comparava os resultados tanto no âmbito interno quanto externo da empresa. No entanto, representava pouco, pois era necessário melhorar os serviços e processos, e os CIOs passaram a adotar o ITIL e as suas melhores práticas para os serviços e processos de TI, reduzindo, assim, os custos e melhorando a qualidade dos serviços. O ITIL é o modelo de referência para gerenciamento de processos de TI mais aceito mundialmente. A metodologia foi criada pela Secretaria de Comércio (Office of Government Commerce – OGC) do governo inglês, a partir de pesquisas realizadas por consultores, especialistas e doutores, para desenvolver as melhores práticas na gestão da área de TI, em empresas privadas e públicas. Atualmente, tornou-se a norma BS-15000, sendo esta um anexo da ISO 9000/2000. O foco desse modelo é descrever os processos necessários para gerenciar a infraestrutura de TI eficiente e eficazmente de modo a garantir os níveis de serviço acordados com os clientes internos e externos. O ITIL fornece um método comprovado para o planejamento de processos, papéis e atividades comuns, com a referência apropriada de um para o outro e de como devem ser as linhas de comunicação entre eles. O ITIL considera que o Gerenciamento de Serviços da Tecnologia de Informação e Comunicação – TIC (Information Technology Services Management – ITSM) é constituído de processos estreitamente relacionados e altamente integrados. Um de seus propósitos é alinhar a gestão da tecnologia com as necessidades de negócios, com foco integral na qualidade dos serviços de TIC prestados, assegurando os níveis de serviços imprescindíveis à sustentação das operações críticas. Para atingir os objetivos do ITSM, os processos devem utilizar o tripé pessoas, processos e produtos de forma eficaz, eficiente e econômica. O ITIL define o que deve ser feito, ficando a cargo das organizações a definição de como será feito. Pó s- Gr ad ua çã o a Di st ân ci a 31 Metodologias e Padrões Unidade II Para isso, define os objetivos e as atividades, as entradas e as saídas de cada um dos processos que normalmente as equipes de TI desenvolvem em uma organização. Entretanto, o ITIL não dá uma descriçãoespecífica de como essas atividades devem ser executadas, porque em cada organização estas são diferentes, ou seja, não existe receita de bolo pronta para você implementar o ITIL. A ênfase está em sugestões que foram provadas na prática, mas, dependendo das circunstâncias, pode ser implementada de várias formas. ITIL não é um método, ao invés disso, oferece um framework (melhores práticas) para planejar os processos mais comuns, papéis e atividades, indicando as ligações entre elas e que linhas de comunicação são necessárias. É importante registrar que o ITIL é de domínio público e a utilização dessas práticas podem ser empregadas na sua empresa. Observe, a seguir, as principais características do modelo ITIL. – Modelo de referência para processos de TI não proprietário – Independência de tecnologia e fornecedor – Modelo de referência para a implementação de processos de TI – Padronização de terminologias – Interdependência de processos – Diretivas básicas para implementação – Diretivas básicas para funções e responsabilidades dentro de cada processo – Checklist testado e aprovado – O que fazer e o que não fazer As melhores práticas são os melhores modelos de trabalho identificados em situações reais considerando organizações em atividades similares. Uma melhor prática significa que um modelo foi implementado, anteriormente, após ter sido determinada e comprovada a sua relevância. A implantação de uma melhor prática é tudo aquilo relacionado a "não reinvenção da roda", mas à capacidade de implementar em outras situações similares, modelos e experiências que já se mostraram eficientes. A técnica de implantação de uma melhor prática é baseada em ciclo de vida, cujo foco está sempre relacionado à excelência do Gerenciamento de Serviços, podendo ser aplicada a qualquer tempo e em qualquer circunstância. O objetivo das melhores práticas é reduzir os custos de tecnologia e melhorar o desempenho e a performance dos ativos da tecnologia e da área de TI como um todo. Na sua última instância, o ITIL fornece indicadores para benchmarks. Todos os indicadores atuais são excelentes na sua esfera de competência, mas nenhum deles leva o foco de TI para o usuário. O grau ideal de interação de um usuário com tecnologia é a relação homem versus lápis, ou seja, uma pessoa é treinada na fase de alfabetização e a partir daí ela é capaz de utilizar qualquer lápis a vida inteira, pois o processo de aprendizado de um novo tipo de lápis é totalmente intuitivo. Para responder essa pergunta o primeiro passo é o entendimento da visão da alta administração sobre a tecnologia. A seguir, temos as percepções mais comuns das gerências de negócio sobre TI. Por que adotar o ITIL? Go ve rn an ça d e Te cn ol og ia d a In fo rm aç ão 32 Metodologias e Padrões Unidade II – Provisão de serviços inadequada. – Falta de comunicação e entendimento com os usuários. – Gastos excessivos com infraestrutura (sentimento de se tratar de uma parcela significativa nos gastos totais do negócio). – Justificativas insuficientes ou pouco fundamentadas para os custos da provisão dos serviços (dificuldade na comprovação dos seus benefícios para o negócio). – Falta de sintonia entre mudanças na infraestrutura e os objetivos de negócio. – Entrega de projetos com atrasos e acima do orçamento. É importante destacar que, em geral, os gestores do negócio dão pouca importância para a conquista da excelência operacional, pois na visão deles a otimização dos recursos é o mínimo que a área de TI deveria realizar. Para os gestores do negócio, a área de TI deve oferecer uma taxa de retorno melhor do que simplesmente funcionar com eficiência e eficácia. A adoção das melhores práticas de gerenciamento de serviços ITIL endereça as principais questões em relação ao posicionamento estratégico de TI na organização, como excelência operacional, otimização do uso dos recursos, previsibilidade, alinhamento com o negócio, entre outros. Seguem os principais desafios dos gestores de TI para conquistar a credibilidade e a excelência operacional. – Incrementar a efetividade dos serviços. – Estender o ciclo de vida da tecnologia. – Remover gargalos. – Racionalizar a complexidade. – Assegurar a aderência à evolução dos negócios. Os desafios mostram que na visão do negócio os recursos de TI são subutilizados, complexos em excesso, e, em geral, são barreiras pela falta de flexibilidade. O desafio mais comum e importante no momento é o prazo de entrega dos projetos de TI, que demandam, em geral, por seis ou nove meses de implantação madura (sem erros) em um cenário no qual as empresas trabalham com oportunidades de dois ou três meses. O ciclo de vida da tecnologia é, sem sombra de dúvida, o desafio dos gestores de TI mais cobrado pelo CFO, pois um ativo diretamente ligado à produção é depreciado em aproximadamente 60 meses. As melhores práticas do ITIL surgiram para otimizar o uso dos recursos de TI e para a tecnologia caminhar alinhada aos negócios, gerando benefícios importantes e relevantes. Em razão dos desafios, o mercado entende que os principais objetivos de TI são estes. – Atuar com foco nos processos. – Atuar de forma preventiva e proativa. – Atuar com foco no cliente (usuário). – Apresentar soluções integradas e de gerenciamento centralizado, mas com abrangência distribuída. – Apresentar demonstração dos resultados obtidos de forma clara. – Estar permanentemente alinhada ao negócio. Esses seis pontos estão presentes nos mais diversos tipos e tamanhos de negócios e, em linha geral, constituem as expectativas da alta administração sobre TI. Observe que os objetivos representam um forte equilíbrio entre excelência Pó s- Gr ad ua çã o a Di st ân ci a 33 Metodologias e Padrões Unidade II operacional, otimização dos custos, alinhamento com o negócio e agregação de valor. A adoção do ITIL visa endereçar esses seis objetivos em curto, médio e longo prazo. As melhores práticas do ITIL têm as seguintes metas em curto prazo. – Aumentar a produtividade. – Centralizar controle. – Estender o ciclo de vida da tecnologia. – Remover gargalos. – Simplificar complexidade. Os fatores motivacionais para adoção do ITIL podem ser classificados em três grandes grupos: financeiro, qualidade e competitividade. A seguir, as principais motivações do ponto vista financeiro. – Redução dos custos operacionais de TI. – Fortalecimento dos Controles e da Gestão dos ambientes de TI. O ITIL tem como um dos seus principais pilares de sustentação a melhoria da qualidade de serviços. A seguir, as principais motivações do aspecto qualidade. – Orientação de processos com significativa redução nos tempos de execução e distribuição de serviços. – Diminuição gradativa da indisponibilidade dos recursos e sistemas de Tecnologia da Informação, causados por falhas no planejamento das mudanças e implantações em TI. – Elevação dos níveis de satisfação dos usuários internos e clientes com relação à disponibilidade e qualidade dos serviços de TI. O terceiro fator motivacional é basicamente uma consequência do sucesso dos dois anteriores. Com as melhores práticas nas dimensões financeiras e de qualidade, é natural que a competitividade da empresa esteja sendo melhorada. Custos menores, maior disponibilidade, aumento do ciclo de vida, usuários com melhor atendimento, redução de erros, previsibilidade e constância são os fatores que melhoram a competitividade da empresa pelo uso das melhores práticas do gerenciamento de serviços de TI. Os objetivos das melhores práticas são audaciosos, porém bastante simples, e a simplicidade vem permitindo que o mercado alcance resultados significativos. O ITIL, na verdade, é uma biblioteca. A biblioteca não é uma propriedade privada, está disponível para todos e tem sido produzida utilizando-se os procedimentos certificados para o padrão ISO-9001/BS5750. O núcleo dos livros do ITIL foi revisado e publicado apenas como dois livros, um Suporte a Serviços e outro
Compartilhar