Pesquisar no blog

terça-feira, 2 de novembro de 2010

Governança de TI

História

            Para entendermos o que é Governança de TI, devemos tratar da questão de governança corporativa nas empresas, pois governança de TI é parte integral da governança corporativa. A governança corporativa tornou-se um tema dominante nos negócios devido aos escândalos corporativos em meados de 2002, como Enron, Worldcom e Tyco. A gravidade dos impactos financeiros das fraudes executadas pelas empresas já citadas abalou a confiança dos investidores, e isso contribuiu para a pressão descendente nos preços das ações, estimulando as empresas a tomarem uma atitude para contornar esta situação.


            Uma boa governança corporativa é importante para os investidores profissionais. Grandes instituições atribuem à governança corporativa o mesmo peso que aos indicadores financeiros quando avaliam decisões de investimento. Em sua essência a governança corporativa tem como principal objetivo recuperar e garantir a confiabilidade em uma determinada empresa para os seus acionistas.
            Para que haja aderência ao negócio e sua estratégia é citada seis ativos principais com os elementos essenciais de cada ativo:
  1. Ativos humanos: pessoas, habilidades, treinamento, competências etc.
  2. Ativos financeiros: dinheiro, investimentos, fluxo de caixa, contas a receber etc.
  3. Ativos físicos: prédios, fábricas, equipamentos, manutenção, etc.
  4. Ativos de PI: Propriedade Intelectual (PI), incluindo o know-how de produtos, serviços e processos devidamente patenteado, registrando ou embutindo nas pessoas e nos sistemas da empresa.
  5. Ativos de informação e TI: dados digitalizados, informações e conhecimentos sobre clientes, desempenho de processos, finanças, sistemas de informação e assim por diante.
  6. Ativos de relacionamento: relacionamentos dentro da empresa, bem como relacionamentos, marca e reputação junto a clientes, fornecedores, unidades de negócio, órgãos reguladores, concorrentes, revendas autorizadas etc.
            Controlar e monitorar estes ativos não é tarefa fácil, e necessita de uma forte receptividade da direção de sua empresa. Dentro de todos estes se destaca os “Ativos de informação e TI”, uma vez que as informações disponibilizadas pela tecnologia da informação sustentarão a sua empresa, pois todos os controles, processos, procedimentos e métricas partirão de TI.

Definição

            Governança de TI é um conjunto de práticas, padrões e relacionamentos estruturados, assumidos por executivos, gestores, técnicos e usuários de TI de uma organização, com a finalidade de garantir controles efetivos, ampliar os processos de segurança, minimizar os riscos, ampliar o desempenho, otimizar a aplicação de recursos, reduzir os custos, suportar as melhores decisões e conseqüentemente alinhar TI aos negócios.
            Governança de TI é de responsabilidade da alta administração, incluindo Diretores e Gerentes. É em sua essência uma parte integral da governança da empresa e consiste da liderança, processos e estruturas organizacionais que assegurem que a TI sustente e estenda as estratégias e objetivos da organização.
            O grande desafio do Governante de TI é o de transformar os processos em "engrenagens" que funcionem de forma sincronizada a ponto de demonstrar que a TI não é apenas uma área de suporte ao negócio e sim parte fundamental da estratégia das organizações.
            A implementação efetiva da Governança de TI só é possível com o desenvolvimento de um framework (modelo) organizacional específico. Para tanto, devem ser utilizadas, em conjunto, as melhores práticas de modelos existentes como o BSC, PMBok, CobiT, ITIL, CMMI e ISO 17.799, de onde devem ser extraídos os pontos que atinjam os objetivos do programa de Governança. Além disso, é imprescindível levar em conta os aspectos culturais e estruturais da empresa, devido à mudança dos paradigmas existentes.
            Se a implantação da governança de TI for encarada de forma semelhante à de uma tecnologia ou sistema específico. “Encarar a instituição da governança como se fosse a implantação de um ERP, pensando em trocar tudo, não resolve, pode é haver um descompasso entre expectativa e resultado Governança é um projeto, não um programa. Tem começo, mas nunca tem fim, e modifica as ações de acordo com o que chegar.

Gerenciamento VS Governança

            A diferença entre o gerenciamento de serviços de TI e a Governança de TI tem causado grande confusão. O gerenciamento foca em fornecer serviços de TI e produtos de forma eficiente e eficaz e o gerenciamento das operações. Já a governança se preocupa com as operações e desempenho dos negócios transformando e posicionando a TI para alcançar os requisitos dos negócios. A governança é responsável pela auditoria enquanto o gerenciamento seria o responsável pelo controle.
            Observe a figura e observe o posicionamento do gerenciamento e da governança em duas dimensões: negócio e tempo.


Governança de TI
           
            A governança de TI pode ter até cinco tipos de estruturas de tomadas de decisão, são elas:
  1. Monarquia de Negócio: Os diretores seniores tomam as decisões, afetando toda organização
  2. Monarquia de TI: Os profissionais de TI podem tomar a decisão;
  3. Feudalismo: As unidades de negócios tomam decisões para as áreas de responsabilidade;
  4. Federalismo: Decisão coordenada envolvendo a organização e os departamentos;
  5. Duopólio: Acordo bilateral entre executivos de TI e outro grupo.

        Como pode ser visto na figura abaixo, a Governança de TI engloba três pontos fundamentais, que serão discutidos neste tópico.








                               


         O primeiro seria princípio de governança que apresenta dois conceitos chaves: direção e controle. Na direção, o diretor fornece uma direção para implementar uma mudança entendida por ele. Já o controle assegura que o objetivo seja alcançado e que nenhum incidente indesejável aconteça.



         Já o segundo ponto fundamental é os stakeholders que é nada mais que qualquer elemento que tem responsabilidade relacionada a TI ou usufrui algum serviço gerado pela função da TI, como por exemplo: clientes, usuários, fornecedores, acionistas, diretores, executivos, gerentes, entre outros.
            E o terceiro ponto fundamental seria o Escopo da governança que pode ser classificado em cinco áreas conforme a figura:


1.      Alinhamento Estratégico: Refere-se em alinhar a TI com as estratégias do negócio. Para isso é necessário especificar os objetivos, para então desenvolver as estratégias e desenhar planos de ações para implementá-las.
2.      Entrega de Valor: Entregar com a qualidade apropriada dentro do prazo e custo, atingindo os benefícios que foram prometidos. A governança de TI procura estabelecer um modelo de valor entregue pela TI ao negócio antes de embarcar em grandes projetos.
3.      Gerenciamento de Riscos: Está ligada a boa governança e envolve a identificação de riscos sistêmicos, tecnológicos e da informação, a fim de dar maior proteção aos ativos. O gerenciamento busca preservar o valor, que foi criado na entrega de valor e orientado pelo alinhamento estratégico. Os riscos são gerenciados de quatro formas: mitigação de riscos, transferência de riscos, aceitação de riscos e evitar riscos.
4.      Gerenciamento de Recursos: O ponto chave do sucesso do desempenho da TI é o investimento otimizado, uso e alocação de recursos de TI (pessoas, tecnologia, informação) para atender as necessidades da organização.
5.      Monitoração da Performance: É a área fundamental do processo, é nele que irá assegurar o alinhamento, valor entregue, gerenciamento de riscos e o uso adequado dos recursos, para assim gerenciar o processo, monitorando as atividades de TI. Para a monitoração ter sucesso, métricas eficientes devem ser definidas e aprovadas pelos stakeholders.

Benefícios da Governança de TI
           
l  Custo baixo cada vez menor (devido sua universalização)
l  Ganho de escala
l  Redução nos custos da organização
l  TI torna-se mais comprometida com o negocio
l  Retorno sobre o investimento (ROI) maior
l  Serviços mais confiáveis
l  Mais transparência

Modelos
            Modelos são alguns padrões de práticas de governança de TI, abaixo alguns dos principais modelos:
  1. ITIL
            A ITIL (Information Technology Infrastructure Libray) foi desenvolvida no final dos anos 80 pela CCTA (Central Computer and Telecommunications Agency) e atualmente sob custódia da OGC (Office for Government Commerce) da Inglaterra. Tem o foco na operação e na infra-estrutura de TI. Não se preocupa com desenvolvimento de software e tampouco com alinhamento estratégico de negócios.
            É um conjunto de recomendações e melhores práticas para a gestão da infra-estrutura, desenvolvido pelo governo inglês. Não é uma metodologia restrita e não possui uma certificação, o que não compromete a qualidade do conteúdo integrante da biblioteca. Quaisquer aplicações das práticas que compõem o ITIL resulta em uma grande mudança cultural por parte das organizações. Envolve reorganização de equipes, participação da alta direção, etc., assim como qualquer projeto estrutural.
            A ITIL endereça estruturas de processos para a gestão de uma organização de TI apresentando um conjunto abrangente de processos e procedimentos gerenciais, organizados em disciplinas, com os quais uma organização pode fazer sua gestão tática e operacional em vista de alcançar o alinhamento estratégico com os negócios.
  1. CobiT
            O CobiT (Control Objectives for Information and related Technology), foi desenvolvido pelo IT Governance Institute, inclui o framework CobiT que define 34 processos de TI.  É uma ferramenta eficiente para auxiliar o gerenciamento e controle das iniciativas de TI nas empresas.
            O CobiT é um guia para a gestão de TI recomendado pelo ISACF (Information Systems Audit and Control Foundation, www.isaca.org). Inclui recursos tais como um sumário executivo, um framework, mapas de auditoria, controle de objetivos. O CobiT define um nível mais alto de objetivos de controle para cada processo e de 3 a 30 objetivos de controle mais detalhados.
            Os objetivos de controle contém declarações dos resultados desejados ou metas a serem alcançadas na implementação de procedimentos de controle específicos dentro de uma atividade de TI e fornecem uma política clara para o controle de TI na empresa. As práticas de gestão do CobiT são recomendadas pelos peritos em gestão de TI que ajudam a otimizar os investimentos de TI e fornecem métricas para avaliação dos resultados.
            O CobiT independe das plataformas de TI adotadas nas empresas. É orientado ao negócio. Fornece informações detalhadas para gerenciar processos baseados em objetivos de negócios. É projetado para auxiliar três audiências distintas: gerentes que necessitam avaliar o risco e controlar os investimentos de TI em uma organização; usuários que precisam ter garantias de que os serviços de TI que dependem os seus produtos e serviços para os clientes internos e externos estão sendo bem gerenciados e auditores que podem se apoiar nas recomendações do CobiT para avaliar o nível da gestão de TI e aconselhar o controle interno da organização.
            O CobiT está dividido em quatro domínios (um conjunto de processos para garantir a completa gestão de TI):
            Planejamento e Organização - Define o plano estratégico de TI, a arquitetura da informação, a organização de TI e seus relacionamentos; determina a direção tecnológica; gerencia o investimento de TI, a comunicação das direções de TI, os recursos humanos, os projetos, a qualidade; assegura o alinhamento de TI com os requerimentos externos e avalia os riscos
            Aquisição e implementação - Identifica as soluções de automação; adquire e mantém os softwares, a infra-estrutura tecnológica; desenvolve e mantém os procedimentos; instala e certifica softwares e gerencia as mudanças
            Entrega e suporte - Define e mantém os acordos de níveis de serviços (SLA); gerencia os serviços de terceiros, a performance e capacidade do ambiente; assegura a continuidade dos serviços, assegura a segurança dos serviços; identifica e aloca custos;
treina os usuários; assiste e aconselha os usuários; gerencia a configuração, os problemas e incidentes, os dados, a infra-estrutura e as operações.
            Monitoração - Monitora os processos; analisa a adequação dos controles internos e prova auditorias independentes e segurança independente.
            Os mapas de controle fornecidos pelo CobiT auxiliam os auditores e gerentes a manter controles suficientes para garantir o acompanhamento das iniciativas de TI e recomendar a implementação de novas práticas, se necessário. O ponto central é o gerenciamento da informação com os recursos de TI para garantir o negócio da organização.
  1. CMM
            CMM (capability matury model) é uma certificação concedida pela Software Engeneering Institute (SEI), da Universidade Carnegie Mellon (EUA), que mede o grau de maturidade no processo de desenvolvimento de software em uma organização. O CMM fornece às organizações orientação sobre como ganhar controle do processo de desenvolvimento de software e como evoluir para uma cultura de excelência na gestão de software, que considera o fator de produção com maior potencial de melhoria a prazo mais curto. 
            Outros fatores, como tecnologia e pessoas, só são tratados pelo CMM na medida em que interagem com os processos. Para enfatizar que o escopo do CMM se limita aos processos de software, o SEI passou a denominá-lo de SW-CMM, para distingui-lo de outros modelos de capacitação aplicáveis a áreas como desenvolvimento humano, engenharia de sistemas, definição de produtos e aquisição de software. Entretanto, esta denominação evolui para CMMI, adotada atualmente.
            O objetivo principal nas transições desses níveis de maturidade é a realização de um processo controlado e mensurado como a fundação para melhoria contínua. Cada nível de maturidade possui um conjunto de práticas de software e gestão específicas, denominadas áreas-chave do processo. Estas devem ser implantadas para a organização atingir o nível de maturidade em questão. Este caminho de melhoria é definido por cinco níveis de maturidade:
            Inicial - No nível um de maturidade os processos são geralmente caóticos. A organização geralmente não dispõe de um ambiente estável. O sucesso nestas organizações depende da competência e heroísmo dos seus funcionários e não no uso de processos estruturados. Devido ao imediatismo, um ambiente caótico, o nível um de maturidade geralmente produz produtos e serviços que funcionem; entretanto, freqüentemente excedem o orçamento e o prazo de seus projetos.
            Repetível - No nível dois de maturidade, gerencia de requisitos, de subcontratação e de configuração; planejamento de projetos; acompanhamento e supervisão de projetos e garantia de qualidade de software.  A adoção de um processo de desenvolvimento ajuda a garantir que práticas existentes são utilizadas em momentos de stress. Quando estas práticas são adotadas, os projetos decorrem e são gerenciados de acordo com o planejamento inicial.
            Técnicas de gerenciamento de projetos são estabelecidas para mapear custos, prazos, e funcionalidades. Um mínimo de disciplina nos processos é estabelecido para que se possa repetir sucessos anteriores em projetos com escopo e aplicação similar. Ainda há um risco significante de exceder os custos e estimativas de prazo de desenvolvimento.
            Definido - No nível três de maturidade, processos são bem caracterizados e entendidos, e são descritos utilizando padrões, procedimentos, ferramentas e métodos.
            A organização possui um conjunto de processos padrões, os quais são a base do nível três. Estes estão estabelecidos e são melhorados periodicamente. Estes processos padrões são usados para estabelecer uma consistência dentro da organização. Projetos estabelecem seus processos definidos pelo conjunto de padrões processuais da organização de acordo com guias.
            O gerenciamento da organização estabelece os objetivos dos processos baseado no conjunto de padrões pré-definidos e garante que estes objetivos sejam encaminhados de forma apropriada.
            Uma crítica distinção entre os níveis dois e três é o escopo dos padrões, descrição dos processos e procedimentos. No nível dois, os padrões, descrições de processos e procedimentos podem ser bem diferentes em cada instância específica do processo (por exemplo, em um projeto particular). No nível três, os padrões, descrições de processo e procedimentos para o projeto são guiados pelo conjunto padrão de processos da organização. O conjunto de padrões de processo da organização inclui os processos do nível dois e três. Como resultado, os processos que são realizados através da organização são consistentes exceto pelas diferenças permitidas pelos guias manufaturados.
            Outra distinção crítica é que no nível três, processos são tipicamente descritos em mais detalhes e com mais rigor do que no nível dois. No nível três, processos são gerenciados mais proativamente utilizando um entendimento de inter-relacionamentos das atividades dos processos e medidas detalhadas do processo, seus produtos, e seus serviços
            Gerenciado – No nível quatro de maturidade, utiliza métricas precisas, o gerenciamento pode efetivamente controlar os esforços para desenvolvimento de software. Em particular, o gerenciamento pode identificar caminhos para ajustar e adaptar o processo para projetos particulares sem perda de métricas de qualidade ou desvios das especificações. Organizações neste nível conseguem metas quantitativas para o processo de desenvolvimento de software e de manutenção.
            Subprocessos são selecionados conforme a importância na performance total do processo. Esses subprocessos selecionados são controlados usando técnicas estatísticas e quantitativas.
            Uma crítica distinção entre o nível de maturidade três e quatro é a previsibilidade do desempenho do processo. No nível quatro, o desempenho do processo é controlado usando técnicas estatísticas e quantitativas, e é previsível quantitativamente. No nível três, os processos são somente previsíveis qualitativamente.
            Otimização - O nível de maturidade cinco foca no contínuo progresso do desempenho dos processos através de melhorias de inovação tecnológica e incremental. Objetivos de melhoria quantitativa dos processos para a organização são estabelecidos, continuamente revisados, refletindo as mudanças nos objetivos da organização, e usando critérios de melhoria na gerência de processos. Os efeitos da melhora da revisão dos processos são medidas e acompanhadas, utilizando-se de processos de melhoria de qualidade. Os processos definidos e o conjunto de processos padrões da organização são alvos de melhoria de métricas.
            Uma distinção crítica entre os níveis quatro e cinco é o tipo de variação do processo. No nível quatro, processos estão preocupados com causas especiais de variação de processo e em fornecer resultados estatísticos. No nível cinco, processos estão preocupados com causas comuns de variação de processo e mudança no processo para melhorar a performance do processo para adquirir objetivos de melhoria quantitativa de processos.
   
  1. CMMI
            O CMMI (Capability Maurity Model Integration) é um modelo de referência que contém práticas (genéricas ou específicas) necessárias à maturidade em disciplinas específicas. Desenvolvido pelo SEI (Software Engineering Institute) da Universidade Carnegie Mellon, o CMMI é uma evolução do CMM e procura estabelecer um modelo único para o processo de melhoria corporativo, integrando diferentes modelos e disciplinas. Esse modelo tem como objetivo estabelecer - com base em estudos, históricos e conhecimento operacional - um conjunto de "melhores práticas" que devem ser utilizadas para um fim específico.
            O CMMI possui representações que permitem a organização utilizar diferentes caminhos para a melhoria de acordo com seu interesse. Estas representações se dividem em duas: 
            Representação Continua - Possibilita à organização utilizar a ordem de melhoria que melhor atender os objetivos de negócio da empresa. É caracterizado por Níveis de Capacidade (Capability Levels):
  1. Nível 0: Incompleto (Ad-hoc)
  2. Nível 1: Executado (Definido)
  3. Nível 2: Gerenciado / Gerido
  4. Nível 3: Definido
  5. Nível 4: Quantitativamente gerenciado / Gerido quantitativamente
  6. Nível 5: Em otimização (ou Optimizado)
            Representação Por Estágios - Disponibiliza uma seqüência pré-determinada para melhoria baseada em estágios que não deve ser desconsiderada, pois cada estágio serve de base para o próximo. É caracterizado por Níveis de Maturidade (Maturity Levels):
  • Nível 1: Inicial (Ad-hoc)
  • Nível 2: Gerenciado / Gerido
  • Nível 3: Definido
  • Nível 4: Quantitativamente Gerenciado
  • Nível 5: Em Otimização