GOVERNANCA DE TI 1.1 Os Fatores MOTIVADORES DA GoveERNANGCA DE TI ‘A Governanga de TI é motivada por varios fatores (embora 0 senso comum, considete a maior transparéncia da administracao como sendo o principal motivador desse movimento que vemos no ambiente de TI das organizacées), como podemos observar na Figura 1.1: Ambiente de Negécios Marcos de Regulagao Ticomo Prestadora de Servicos i eo me GOVERNANGA, DETI a RQ seguranca sa t Informagao Dependancia do Negécio em relacao a TI Inplanando_Goveanea_Tesecceoinds 7 Figura 1.1 ~ Fatores motivadores da Governanca de TI orsapera toss ane8 Implantando a Governanca de TI — 4° edicdo Intensa competi Surgimento de produtos e setvigos substitutos. Novos concorrentes globais e de baixo custo. Barganha crescente de fornecedores ¢ clientes. Ciclo de vida cada vez mais curto para 0s produtos e servigos. Novas ameagas devido 4 maior internacionalizagao da economia, Clientes mais conscientes e exigentes. Exigéncia de maior cransparéncia nos negécios. Diversidade dos acionistas. Maior dinamismo dos requerimentos do negécio para TT. “Custo Brasil” ainda muito alto. o de novos entrantes no mercado. Crescimento econdmico do Brasil. Surgimento de uma nova classe média. 17 Integracio das cadeias de suprimento, através de aplicagtees de supply- -ohain ¢ da infeaestrucura de comunicacio ¢ [ncerner. OF Integracéo entre a gestio da empresa ¢ 0 seu chao de Fabrica, através de aplicacdes de Erterprise Resource Planvring— ERP ¢ de Manufiretu- ving Execution System — MES. 17 Integracéo entre as fungGes administrativas e padronizagio dos apli- cativos de back-office no contexto da empresa, de suas divisdes e filiais através de ERP. OF Integracéo de redes de distribuicto, tanto em termos de aplicarivos como da infraestrutura de comunicacéo de dados. 17 Integracéo dos processos de desenvolvimento de productos com os processos de manufatura, através de aplicagdes de Produce Life Cyele Management e de Product Data Management. OF Processos de gestio de clientes altamente sofisticados, através de apli- cativos de Customer Resource Management. OF Urilizacéo de aplicaées de BPM (Business Process Management) © ECM (Enterprise Content Management) como mecanismos de auto- googoggoggoggogogoooo0o Inplaniando_Govemanea_Teseccesinds 8 Ovsapena 10s ateGovernanca de TI 9 macio de processos de negécio, integrando em seus fuxos de eraba- Iho todos os sistemas ¢ reas Funcionais da organizacio, tendo como perspectiva os processos de negécio transversais © a cadeia de valor. OF Integracio da gest empresas, através de aplicacses de data warehouse, data mining « de inceligéncia organizacional. OF Ukilizacao e analise de grandes volumes de dados nao necessariamen- 10 estratégica com a gestio tatica e operacional das te estruturados, provenientes de varias fontes, visando gerar informa- ces titeis para a comada de decisGes estratégicas (no conceito de Big Data). As ilhas de sistemas de informacio estéo terminando. As integracées tecnoldgicas de processos através da tecnologia da informa- sao (aplicagdes ¢ infracserutura computacional ¢ de comunicacao de dados) fazem com que 0 tisco que a TI representa para a continuidade do negécio seja alamente visivel. E ébvio que tal risco deve set mitigado e contingencia- do de uma forma sem precedentes ¢ nio imaginada até entio. Lembramos que grande parte das melhores praticas apliciveis a TI ja esta disponivel ha varios anos e somente a partir de 2005 os adminiscradores “acor- daram” pata a necessidade da boa gestio das atividades de TI. Até 0 mais desavisado dos administradores (aquele que nao entende a TI da sua empresa) jd percebeu o risco que é para o seu negécio uma TT mal gerenciada, pois provavelmente jé precisou lidar com um incidente de indis ponibilidade ou perda de dados de aplicagdes criticas, 1) No mundo interligado da Internet, a gestao de TT também ficou mais complexa ¢ a infraestrucura de TI softe riscos didtios de intrusao vie sando'o “roubo” de dados ¢ a disseminacao de cédigos maliciosos ¢ virus, 0 que pode afetar, sebremaneira, a operacio da empresa. GF Conforme o nivel de acesso dos varios pontos da empresa 4 “grande rede”, maior é a necessidade de envolver todos os niveis da organiza- cao na questio da gestio da TI e, em especial, na gestio da seguranca dainformagio, Inplanando_Govemanca_Teeccesinds 9 Ovsapena 10s ate10 Implantando a Governanca de TI — 4° edicéio 17 Tem sido cada vez mais frequente a necessidade de acesso a recursos de computacao compartilhados, de répido provisionamento e libera- gio, dentro do paradigma da computacao em nuvem (cloud compu- ting), gerando novos requisites de seguranca. 1 Aexplosio da utilizacéo das midias sociais tem gerado novas. pos- sibilidades de comunicacio entre empresas ¢ seus clientes, pat- ceiros, fornecedores ¢ colaboradores, exigindo maior Hexibilidade €, a0 mesmo tempo, controles mais efetives em suas politicas de seguranca, OF Cada vez mais as empresas estio fa itando a utilizagéo de dis- positivos méveis préprios por parte de seus colaboradores (no conceito de BYOD ou bring your own device), requerendo con- troles mais robustos de acesso a informagées, e-mails ¢ aplicagées corporativas. 1 Quanto mais as operagdes dirias ¢ as estratégias corporativas chaves, dependem da TI, maior é 0 papel estratégico da TI para a empresa. 1 Conforme a Figura 1.2: & Quando aT] cem alto impacto nas operagdes chaves (presente) ‘eiplio:linpacto: nas etratdslas ehaves: Paruns lates quevacTl 2 estratégica para 0 negécio. & Quando a TI tem alto impacto nas operagdes chaves ¢ baixo im- pacto nas estratégias chaves, tem a conotagao de uma Fabrica para © negécio, ou seja, o dia a dia do negécio depende da TI, mas o seu futuro nao. 4 Quando aTI tem baixo impacto nas operagées chaves ¢ baixo im- pacto nas estratégias chaves, diz-se que ela est executando apenas carefas de suporte, nia sendo, do ponto de vista dos dirigentes, essencial para o negécio. & Quando a TI tem baixo impacto nas operagdes chaves e alto im- pacto nas estrarégias chaves, diz-se que ela esté exercendo um pa- pel de mudanca, ou seja, esta apolando fortemente:o direciona- mento futuro da organizaga 0. Inplanando_Goveranca_Tesedeasinas 10 Ovsapena 10s ateGovemanca de TI 11 Alto Suporte {ethoraro desemperto toca!) APACTODA TINAS OPERAGOES CHAVES Balxo Alto IMPACTO DA TINA ESTRATEGIA CHAVE Figura 1.2 Impacto estratégico da tecnologia da informiagio Fonte: Lynda M, Applegate 1 © Sarbanes-Oxley Act determina que os relatérias financeitos ¢ con- toles associados renham fidedignidade © responsabiliza conjunta- mene-direcoresrercrresponivel pelardrea'dé:finangas’por:atas ledivos 05 acionistas ¢ ao mercado. 11 Isso significa, para a érea de TI, que os aplicativos tansacionais da empresa, getadores de fatos contabeis e financeitos, devem: © Ter disponibi dos financeiros e contibeis. dade para acesso e emissio de relatérios de resulta: 2 Armazenar os dados ¢ as informagses de forma adequada © com seguranga. Inplanando_Govemanca_T-ecceoinds 11 Ovsapena toss ane12 Implantando a Governanca de TI - 4° edicio & Tera possibilidade de implementar trilhas de auditoria ¢ verifica- cio de processos. & Ter os seus riscos (assim como os pertinences 3 infraestrutura) conhecidos ¢ gerenciados. CO Acordo da Basileia II obriga os bancos a desenvolverem metodo- logias para a gestio de riscos operacionais e de crédito, a gerenciarem esses tiscos ¢ a publicareim esas metodologias em seus relatdrios de resultados, Quanto melhores essas metodologias, menor é a necessi- dade de reserva quanto a perdas e, portanto, maior é a lucratividade do negécio: ©. Especialmente em bancos que apresentam um alto grau de inte- gracio e sofisticacio tecnolégica (como no caso dos bancos bras Leitos), a TT é um dos principais elementos de tiscos operacionais; portanco, 0 gerenciamento de riscos € uma necessidade que deve estar presente na pauta do dia a dia dos Executivas de Negocio ¢ dos CIOs dessas instituigses. 11 O que os usuarios esperam da TH? Projetos dentro do prazo e or- samento, atendimento aos requisitos do negécio, disponibilidade das aplicagées, disponibilidade da infraestrucura, capacidade para expandir o negécio, rapida resolucao de incidentes e de servicos. Tudo isso cequer postura e organizacao orientadas & prestacdo de servicos, OF Em grandes organizacées brasileiras ¢ multinacionais, esta surgindo com bastante forca’a ideia de “centros de servicos compartilhados”, cujo objetivo é centralizar determinadas operacées de TI (e também de algumas areas de negécio), de forma a ganhar escala © prover ser- vigos de TI para varias unidades ou divisoes da mesma empresa ou empresas do mesmo grupo. 11 O mesmo esti ocorrendo com os'chamados captive centers; que sto centros de servisos focados que atendem a regides inteiras, como por exemplo Am Inplantande_Goveranca_Trsedeaainas 12 Ovsapena toss aneGovemanca de TI 13 Para que conceitos come os dé “centros de servicos compartilhados” e de captive centers funcionem de forma adequada, sao necessitios processos de TI eficazes ¢ eficientes. Neste contexto, justifica-se a implancacéo de um Progra- ma de Governanga de TI. 1.2 O que E a GoverNanca De TI De acordo com 0 IT Governance Institute (2007b): A governance de TLé de responsabilidade da alta administragao (ineluin- dovdinétoresce-execiitives), na:tidenangsy:nas:estréharns'organizacionais:e nas processos que ganintem quea TT da empresa sustente eestenda as estra- ill & Ross (2004) Qutra definicéo € dada por W Consiste.em wm ferramental pans a especificagito dos direitos de decivio e re ponsabilidade tisando encontjar comportamentos desejdveis no uso da TT. Para a ISO/IEC 38500 (ABNT, 2009), a Governaiga de TI “é o sistema pelo qual o uso atual e futuro da TI sio dirigides e controlados. Significa ava- liar ¢ ditecionar o uso da TI pata dar suporte & organizacao ¢ monitorar seu uso para realizar planos, Inclui a estratégia e as politicas de uso da TI dentro da organizacio”. Analisando essas definicdes, podemos concluit que a Governanga de TI, como disciplina, busca o direcionamento da TI para acender ao negdcio ¢ jonamenco tomado, monitoramento para verificar a conformidade com o dite: pela administrag ¢ Portanto, a Governanga de TT nao é somente a implantac: los de melhores praticas, tais como CosrT, ITIL, CMML ete. o da organizacio. 0 de mode- Ainda dentro dessa ética, a Governanca de TI de 1 Promover o alinhamento da TT ao negécio (suas estratégias e objeti- vos), tanto no que diz respeito a aplicagdes como a infraestrutura de 1. servigos de Inplanando_Govemanes_T-sesesaings 19 Ovsapena toss ane14 Implantando a Governanca de TI — 4° edicio 1 Promover a implancagio de mecanismos que garantam a continuida- de do negécio contra interrupgées ¢ falhas (manter e geri as aplica- ces ea infraestrutura de servigos). 1 Promover, juntamente com areas de controle interno, compliance ¢ gestio de tiscos, o alinhamento da TI a marcos de regulagao externos como a Sarbanes-Oxley (empresas que possuem agées ou titulos, pa- nlisoondo nesoctados env Boleas de valbees:ngrteameltianed): Bail- leia II (no caso de bancos) e outras normas. Entretanto, a visto de Governanga de TI que suigetimos vai além dessas de- finigdes ¢ pode ser representada pelo que chamamos de “Ciclo da Gevernan- cade TI”, composto por quatro grandes etapas: (1) alinhamento estratégico ¢ compliance, (2) decisio, (3) estructura e processos e (4) gestio do valor ¢ do desempenho. A Figura 1.3, a seguir, aptesenta este ciclo, © Ciclo da Governanga de TI Figura 1.3 ~0 ciclo da Governanga de! O alinhamento estratégico ¢ compliance refere-se ao planejamento escraté: gico da tecnologia da informacio, qui leva em consideragio as estrarégias da em- presa para seus varios produros e segmentos de atuacio, assim como os requisitos de compliance externos, tais como 0 Sarbanes Onley Act e 0 Acordo da Basileia. A etapa de decisio, compromisso, priotizacae ¢ alocacio de recursos refere-se as responsabilidades pelas decisdes relativas A TLem termos de: arqui- Inplanando_Govemanes_Tesesesaings 14 Ovsapena toss aneGovemanca de TI 15 retura deT I. servigas de infraesteutura, investimentos, necessidades de apli Sie cOes etc., assim como 4 definicio dos mecanismos de decisio, ou seja, em que foruns da empresa sto tomadas essas decisdes. Adicionalmente, trata da obtengio do enyolvimenta dos tomadores de decisio chaves da organizagio, assim como da definigio de prioridades de projetos e servigos e da alocacéo efetiva de recursos monetirios no contexto de um portfdlio de TI. A ctapa de estrutura, processes, operacdes e gestio refete-se a estrutura organiz; dutos ¢ servicos de TI, alinhados com as necessidades esteatégicas ¢ opetacio. cional ¢ funcional de TI, 20s processos de gestio ¢ operacio dos pro- res de siste- nais da empresa, Nesta fase sto definidas ou redefinidas as oper ma infraeserucura, suporee técni Tle outras fungées auxiliares a0 CIO etc. A etapa de gestao do valor e do desempenho refere-se & determinacio, coletae geracio de indicadores de resultados dos processos, produtos ¢ servi- . seguranca da informagio, governanga de gos de TI, & sua contribuigao para as estratégias e os objetivos do negécio ¢ & demonstracao do valor da TI para o negdcio. 1.3 Opszetivos DA GovERNANGA DE TI principal objetivo da Governanga de TI é alinhar a TT aos requisitos do negécio, considerando solugées de apoio ao negécio, assim como a garantia da continuidade dos servicos ¢ a minimizagio da exposicdo do negécio aos riscos de TI. Desdobrando este objetivo principal, podemos identificar outros objetivos da Governanga de TT: jonamento mais claro e consistente da TI em rela- 1 Promover posi sao as demais Areas de neg & Isso significa que a TI deve entender as estratégias do negécio ¢ craduzi-las em planos para sistemas, aplicagdes, solugdes, estrucura ios da empresa: organizacional, processos ¢ infraestrucura, desenvolvimento de com- peténeias, estratégias de sourcing e de seguranga da informagio etc. 1 Promover o alinhamento e a priorizacao das iniciativas de TI com a estratégia do negécio: Iplaniando_Govemanes_T-sesesaings 15 Ovsapena toss ane16 Implantando a Governanca de TI — 4° edicio 4. isso significa que o que foi planejado para acontecer deve ser prio- rizado, tendo em vista as prioridades do negécio e as restrigdes de capital de investimento & A priorizacio gera um portfilio de TI, que fhe a ligacio entre a estratégia e as acées do dia a dia. 1 Promover o alinhamento da arquiterura de TI, sua infraestrucura © aplicagdes as necessidades do neg futuro: 2. Issosignifica implantar os projetos e servigos planejadose priorizados. jo, em temos de presente C1 Promover a implantacio ¢ melhosia dos processos operacionais ¢ de gestio necessdtios para atender aos servicos de TI, conforme padrées que atendam as necessidades do negécio: 4 A execucio dos projetos ¢ servicos de TI dev da de acordo com processos operacionais (execugio propriamente dita) ser realiz e de gestio (planejamento, controle, avaliagao © melhoria), que devem estar inseridos em uma estrutura organizacional, que, por sua vez, deve conter comperéneias em pessoas € ativos usados para operar os processos. OF Provera TI da eserutura de processos que possibilite a gestio do seu risco ¢ compliance para a continuidade operacional da enapresa: 4. Os processos definidos, tanto operacionais como gerenciais, de- vem considerar a mitigagio de riscos para o negécio (por exem- plo: processos de seguranca da informacio, gestio de dados e apli- cagGes ete. OF Promover o emprego de regras claras para as responsabilidades sobre decisdes ¢ agées relativas 4 TI no ambito da empresa: © Isso significa identifie acerca de principios de TT, arquitetura de TI, infraestrucu- ra de TI, necessidades de aplicacoes, investimentos, seguranga da informacao, estratégia de fornecedores e parcerias, além de colocar em funcionamento um modelo de tomada de decisio ar_as_responsabilidades sobre decisdes correspondente. Inplanando_Govemanes_T-sedesaings 16 Ovsapena toss ane