mba-gti-ufla - fundamentos e modelos de governanca de ti ultimo

CURSO DE PÓS-GRADUAÇÃO “LATO SENSU” (ESPECIALIZAÇÃO) A DISTÂNCIA

MBA – EXECUTIVO EM GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO

FUNDAMENTOS E MODELOS DE GOVERNANÇA DE TI

PAULO HENRIQUE S. BERMEJO

Universidade Federal de Lavras – UFLA

Fundação de Apoio ao Ensino, Pesquisa e Extensão – FAEPE

Lavras – MG

2009

Parceria Universidade Federal de Lavras - UFLA Fundação de Apoio ao Ensino, Pesquisa e Extensão - FAEPE Reitor da UFLA Antônio Nazareno Guimarães Mendes Vice-Reitor Elias Tadeu Fialho Diretor da Editora Renato Paiva Pró-Reitor de Pós-graduação Mozar José de Brito Pró-Reitor Adjunto de Pós-graduação “Lato Sensu” Paulo Henrique de Souza Bermejo Coordenador do Curso Paulo Henrique de Souza Bermejo Presidente do Conselho Deliberativo da FAEPE Nadiel Massahud Editoração Centro de Editoração da FAEPE Impressão Gráfica Universitária/UFLA

Ficha Catalográfica preparada pela Divisão de Processos Técnicos da Biblioteca Central da UFLA.

Bermejo, Paulo Henrique S. Fundamentos e modelos de governança de TI. / Paulo Henrique S. Bermejo. Lavras: UFLA, 2ª Ed. 2009. 120p.:il – Curso de Pós-graduação “Lato Sensu” (Especialização) a distância: MBA – Executivo em Governança de Tecnologia da Informação. Bibliografia: 1. Governança de TI. 2. Estrutura. 3. Ferramenta. I. Bermejo, Paulo Henrique de Souza Bermejo. II. Universidade Federal de Lavras. III. Fundação de Apoio ao Ensino, Pesquisa e Extensão. IV. Título. CDD – 658.403

Nenhuma parte desta publicação pode ser reproduzida, por qualquer meio ou forma, sem a prévia autorização da FAEPE.

S U M Á R I O

1 A GOVERNANÇA DE TI ........................................................................................ 5

1.1 A TECNOLOGIA DA INFORMAÇÃO ............................................................. 5

1.2 INTRODUÇÃO À GOVERNANÇA DE TI ....................................................... 6

2 CONFORMIDADE E GOVERNANÇA DE TI ....................................................... 11

2.1 APRESENTAÇÃO ........................................................................................ 11

2.2 REGULAMENTAÇÕES DE CONFORMIDADE (COMPLIANCE) ENVOLVENDO A GOVERNANÇA DE TI .................................................... 11

2.2.1 A lei Sarbanes-Oxley ............................................................................... 13

2.2.2 Basiléia II ................................................................................................. 17

2.2.3 Resolução 3380 ...................................................................................... 19

3 ÁREAS FOCO DA GOVERNANÇA DE TI .......................................................... 21

3.1 APRESENTAÇÃO ........................................................................................ 21

3.2 ALINHAMENTO ESTRATÉGICO ................................................................. 22

3.3 ENTREGA DE VALOR ................................................................................. 25

3.4 GERÊNCIA DE RISCOS .............................................................................. 26

3.5 GERÊNCIA DE RECURSOS ........................................................................ 29

3.6 GESTÃO DE DESEMPENHO ...................................................................... 30

4 ESTRUTURA DA GOVERNANÇA DE TI ............................................................ 32

4.1 APRESENTAÇÃO ........................................................................................ 32

4.2 PAPÉIS E RESPONSABILIDADES .............................................................. 32

4.3 ELEMENTOS DE GOVERNANÇA DE TI: DOMÍNIOS E ARQUÉTIPOS ..... 35

4.3.1 DOMÍNIOS ................................................................................................ 35

4.3.2 Arquétipos de governança de TI para a alocação de direitos de decisão ... ................................................................................................................46

4.4 MECANISMOS DE GOVERNANÇA DE TI................................................... 50

4.5 LIDERANÇA EM GOVERNANÇA DE TI ...................................................... 51

4.6 PORTFÓLIO DE TI ....................................................................................... 55

5 FERRAMENTAS PARA IMPLANTAÇÃO DA GOVERNANÇA DE TI..................60

5.1 APRESENTAÇÃO ........................................................................................ 60

5.2 PLANEJAMENTO ESTRATÉGICO DE TI .................................................... 62

5.2.1 Etapas para o planejamento estratégico de TI ........................................ 62

5.3 BALANCED SCORECARD (BSC) ................................................................ 72

5.3.1 Balanced Scorecard e governança de TI ................................................ 76

5.3.2 Informações adicionais ............................................................................ 81

5.4 COBIT ........................................................................................................... 81

5.4.1 Estrutura do modelo ................................................................................ 82


5.5 ITIL ............................................................................................................... 89

5.5.1 Estrutura do modelo ................................................................................ 92


5.6 PDCA ............................................................................................................ 94

5.7 PRINCE2 ...................................................................................................... 96

5.7.1 Estrutura da metodologia ........................................................................ 96


5.8 PMBOK ....................................................................................................... 100

5.8.1 Estrutura do guia ................................................................................... 100

5.8.2 Informações adicionais .......................................................................... 103

5.9 VALIT ......................................................................................................... 103

5.9.1 Estrutura do VALIT ................................................................................ 104

5.9.2 Informação adicional ............................................................................. 107

5.10 ISO /IEC 38500 ........................................................................................ 107

5.10.1 Estrutura da norma ISO/IEC 38500..................................................... 107

5.10.2 Informação adicional ........................................................................... 110

6 CONSIDERAÇÕES FINAIS ............................................................................... 111

7 REFERÊNCIAS BIBLIOGRÁFICAS .................................................................. 113

1 A GOVERNANÇA DE TI

1.1 A TECNOLOGIA DA INFORMAÇÃO

A tecnologia da informação (TI) tem ocupado um papel cada vez mais central nas organizações. Anteriormente vista como um recurso de suporte administrativo, a TI atualmente tem se dedicado a uma posição mais estratégica (HENDERSON, J. C.; VENKATRAMAN, 1993), sendo, em muitos casos, decisiva para o sucesso ou o fracasso das organizações.

A demanda por tecnologia da informação nas organizações ocorre em praticamente todas as áreas – o que ilustra o quanto as organizações estão dependentes dela (GRAEML, 2003). Esta dependência tende a ser ainda maior no caso de empresas que possuem tecnologia agregada em seus produtos ou fornece produtos de tecnologia, as quais podem ser chamadas de empresas baseadas intensivamente em tecnologia.

O destino de uma organização pode, portanto, ser profundamente afetado por suas decisões tecnológicas. A crescente importância da TI para os negócios da organização tem modificado o modo como decisões sobre esse recurso são encaradas.

Enquanto, no passado, a alta direção das empresas podia delegar, ignorar ou mesmo eliminar decisões referentes a TI, hoje, esta postura tornou-se impraticável (GREMBERGEN, 2004).

A ousadia nas decisões referentes à tecnologia da informação pode levar a casos de sucesso de grande repercussão ou a fracassos estrondosos. Para deixar a situação sobre dependência da TI nos ambientes corporativos um pouco mais complexa, as decisões em um ambiente de TI precisam ser tomadas com muita agilidade, em tempos de competição tão acirrada (GRAEML, 2003), o que possibilita falha ou até decisões erradas.

Por outro lado, postergar decisões, inclusive sobre investimentos em TI, pode acarretar enormes prejuízos em função da perda de oportunidade (GRAEML, 2003).

EDITORA – UFLA/FAEPE – Fundamentos e Modelos de Governança de TI

6

Diante desse cenário, não basta que as decisões de TI sejam corretas, elas também precisam, basicamente: (i) estar mais alinhadas com as estratégias e os objetivos do negócio; (ii) agregar valor à TI e possibilitar, de forma eficiente, o alcance dos objetivos corporativos e; (iii) ter seus riscos controlados e gerenciados dinamicamente.

De acordo com Broadbent e Kitzis (2005, p.105), a postura de executivos de TI deve incluir os seguintes princípios:

• liderar, em vez de simplesmente gerenciar;

• conhecer as bases fundamentais que compõem a estratégia, as necessidades de negócio e os processos de tomadas de decisão de uma empresa;

• criação de uma visão de TI, abordando o seu impacto na organização;

• criar expectativas em relação à utilização e à utilidade da TI pelo estabelecimento de regras que apontem onde a organização deve concentrar esforços para atingir os objetivos traçados.

.

Diante desse cenário, pode-se também deduzir que um dos principais desafios para as organizações, nos últimos tempos, tem sido como gerenciar e desenvolver a TI nas organizações, de forma a atender proativamente às expectativas e às demandas do mercado que as organizações atuam ou possam atuar.

A seguir, serão apresentados os conceitos introdutórios referentes à governança de TI, que consiste em um instrumento para definição e manutenção de um ambiente propício à tomada de decisões referentes à TI, de forma a torná-la estrategicamente alinhada aos negócios, gerenciar seus riscos e recursos, monitorar desempenho e entregar valor ao negócio.

1.2 INTRODUÇÃO À GOVERNANÇA DE TI

O termo “governança”, de acordo com o dicionário Webster (2007), é definido como: (i) “A ação, maneira, função ou poder de governo”, e (ii) “... Exercer autoridade sobre; decidir, administrar, dirigir, controlar, gerenciar etc.”.

Direcionando o uso desse termo para a área de Tecnologia da Informação, governança de TI pode ser definida como “o processo de tomada de decisões sobre a TI” (FORRESTER RESEARCH apud SMITH, 2006).

Na visão do Instituto de Governança de TI (Information Technology Governance

Institute - ITGI), criado pela Associação de Auditoria e Controle em Sistemas de Informação (Information Systems Audit and Control Association - ISACA), a governança de TI é de responsabilidade da alta administração na liderança, nas

A Governança de TI

7

estruturas organizacionais e nos processos que garantam que a TI sustente e estenda as estratégias e os objetivos da organização (ITGI, 2005).

Outra definição comumente utilizada para governança de TI é a apresentada pelos professores do CISR/MIT, Peter Weill e Jeanne Ross (2004). Segundo eles, ela consiste em um ferramental para a especificação dos direitos de decisão e de responsabilidade, visando encorajar comportamentos desejáveis no uso da TI.

Fernandes e Abreu (2006) consideram que a governança de TI busca o compartilhamento de decisões de TI com os demais dirigentes da empresa e estabelece as regras, a organização e os processos que nortearão a sua utilização pelos envolvidos (usuários, departamentos, divisões, fornecedores, clientes e outros). Também determina como a TI deverá prover os serviços da empresa.

De modo geral, a governança de TI pode ser definida como sendo a especificação e execução de direitos e responsabilidades sobre decisões de modo que as organizações possam alinhar a Tecnologia da Informação aos objetivos de negócio (LEE e LEE, 2009; VAN GREMBERGEN e DE HAES, 2008;).

Nesse sentido, no que diz respeito à governança de TI, as organizações devem trabalhar em três níveis: nas estruturas, nos processos e nas abordagens e protocolos de comunicação (LEE e LEE, 2009; VAN GREMBERGEN e DE HAES, 2008;).

As estruturas compreendem a organização e posicionamento da área de TI dentro da empresa, definição de papéis e responsabilidades para tomada de decisões de TI e na composição dos diversos comitês que envolvem a governança de TI (LEE e LEE, 2009; VAN GREMBERGEN e DE HAES, 2008;).

Os processos referem-se à tomada de decisão através das estruturas definidas para tal, além da especificação e execução de controle e monitoramento e do arranjo das principais atividades que envolvem a TI (LEE e LEE, 2009; VAN GREMBERGEN e DE HAES, 2008;).

As abordagens e protocolos de comunicação envolvem a disseminação de padrões e políticas de TI na organização e aos mecanismos que proporcionam: (i) sinergia entre a TI e a organização; (ii) interação entre os diversos comitês que envolvem a governança de TI e; (iii) execução de atividades de treinamento, capacitação e edução em assuntos que envolvem a utilização de recursos de tecnologia da informação (LEE e LEE, 2009; VAN GREMBERGEN e DE HAES, 2008;).

Em um ambiente de governança de TI, os processos1 e as abordagens e protocolos de comunicação devem permear as estruturas no sentido de atender às

1 Em termos práticos, os processos são definidos, implantados e gerenciados com o apoio de

ferramentas, modelos e técnicas para implantação da governança de TI. Nesse material, informações sobre ferramentas, modelos e técnicas são apresentadas no capítulo 4.


8

áreas foco2 da governança de TI, que representam alinhamento estratégico, entrega de valor, gestão de riscos, gestão de recursos de gestão de desempenho.

Um importante aspecto implícito nas definições apresentadas acima é a ligação entre os objetivos presentes e futuros de negócio. Este aspecto leva a uma questão nem sempre esclarecida, que trata da diferença entre a governança de TI e a gestão de TI, conforme demonstrado na Figura 1.

FIGURA 1 Governança de TI e gestão de TI. Fonte: Adaptado de Peterson (2003) apud Grembergen (2004)

A gestão de TI foca no fornecimento interno de serviços de TI e de produtos, além de gerenciar as operações relacionadas à área que estão sendo implementadas atualmente. A governança de TI, por sua vez, está mais voltada para a alta gerência, concentrando-se em melhorar e transformar a tecnologia da informação para que a organização possa atender a demandas presentes e futuras dos próprios negócios e dos negócios de clientes (PETERSON apud GREMBERGEN, 2004).

Na visão de Broadbent e Kitzis (2005, p.106), enquanto a governança considera

2 As áreas foco da governança de TI serão tratadas no capítulo 2 desse material.

A Governança de TI

9

direitos de decisão para atingir comportamentos desejáveis em relação à TI, a gestão de tecnologia da informação trata da implementação de tais decisões.

De acordo com Broadbent e Kitzis (2005), uma boa governança de TI é importante por diversas razões. Entre elas:

a) desenvolve confiança: uma boa governança de TI constrói confiança - a transparência e as responsabilidades providas por meio da governança asseguram maior confiança a todos os envolvidos (stakeholders);

b) possibilita melhor entrega: uma boa governança de TI significa melhor entrega - quando realizada de forma apropriada, ela assegura que somente os projetos de TI suportem as metas e os objetivos de negócio. Os projetos de TI também recebem maior apoio dos líderes de negócio e projetos concluídos são vistos mais freqüentemente, como um importante fator de sucesso para o negócio. Permite obter sincronia com os negócios: uma boa governança de TI sincroniza a estratégia de TI com as estratégias de negócio o que permitirá que as atividades de TI reflitam as estratégias de TI e, conseqüentemente, de negócio;

c) encoraja comportamentos desejados: uma boa governança encoraja comportamentos desejáveis no uso da TI, pois a Governança de TI cria o ambiente e os princípios para os comportamentos desejáveis no uso da TI, tais como diminuição de custo, compartilhamento de dados com cliente (customer data sharing) ou estímulo para a inovação. Ainda, assegura ou favorece que os comportamentos dos indivíduos estejam de acordo com as metas e os objetivos de negócio.

Por fim, com relação à aplicação da governança de TI, já existem inúmeros trabalhos relatando os resultados das organizações que trabalham efetivamente com os fundamentos dessa área, comparados aos que não fazem uso. Um dos mais expressivos foi o estudo realizado pelos professores do CISR/MIT, Peter Weill e Jeanne Ross, que consultaram 250 empresas de todo o mundo e constataram que empresas com governança de TI superior têm lucros, no mínimo, 20% maiores do que as com má governança, considerados os mesmos objetivos estratégicos (WEILL e ROSS, 2004).

Os próximos capítulos deste material abordarão os principais componentes, ferramentas para implantação e relações da governança de TI com os diversos fatores que influenciam as organizações atuais.

O capítulo 2 descreve o relacionamento da governança de TI e a conformidade com leis e normas que afetam a tecnologia da informação nas organizações. São abordados, neste capítulo, a lei Sarbanes-Oxley, o acordo Basiléia II e a Resolução 3380 do Banco Central do Brasil.


10

No capítulo 3, são descritas as principais áreas foco que representam as principais questões a serem tratadas em um ambiente de governança de TI.

No capítulo 4 será discutida a estrutura da governança de TI, abordando: (i) papéis e responsabilidades; (ii) elementos que descrevem as áreas de tomada de decisão e arquétipos para a alocação de direitos de decisão; (iii) comitês relevantes à governança de TI; (iv) portfólio de TI e; (v) tópicos sobre a liderança da alta direção na governança de TI.

No capítulo 5, são apresentadas algumas das principais ferramentas e técnicas relacionadas à implantação de processos de governança de TI nas organizações. Serão abordados:

• Control Objectives for Information and related Technology (COBIT) para Governança de TI, e controle;

• Balanced Scorecard (BSC) para gestão de desempenho de TI;

• IT Infrastructure Library (ITIL) para gestão de infra-estrutura e serviços de TI,

• Project Management Body of Knowledge (PMBOK) para gerenciamento de projetos;

• Planejamento estratégico de tecnologia da informação, como recurso de apoio ao alinhamento estratégico da TI;

• Ciclo Plan-Do-Check-Act (PDCA), aplicável à melhoria contínua de processos;

• VALIT, destinado ao gerenciamento de investimentos em tecnologia da informação;

• ISO/IEC 38500, destinado a governança de TI;

Por fim, no capítulo 6 são dadas as considerações finais deste material.

2 CONFORMIDADE E GOVERNANÇA

DE TI

2.1 APRESENTAÇÃO

Analisando-se as definições expostas no capítulo introdutório deste material pode-se observar que, de modo geral, a governança de TI envolve: (1) direito de decisão e responsabilidades em relação à TI; (2) responsabilidade da alta gerência das organizações; (3) Sustentação e extensão dos objetivos estratégicos das empresas e (4) comportamentos desejáveis no uso da TI.

Diante dessas características fundamentais, podemos relacionar áreas e dependências influentes em governança de TI. Estas áreas e dependências desempenham um importante papel na implantação e no desenvolvimento da governança nas organizações. Além disso, algumas delas atuam como importantes motivadores para a implantação da governança de TI. Como exemplo, podem-se citar leis, como a Sarbanes-Oxley, que demanda um ambiente de TI em conformidade com determinadas diretrizes dessa lei.

Nas seções deste capítulo, serão analisados alguns dos principais marcos regulatórios que afetam a governança de tecnologia da informação das organizações.

2.2 REGULAMENTAÇÕES DE CONFORMIDADE (COMPLIANCE) ENVOLVENDO A GOVERNANÇA DE TI

Leis e negócios possuem uma longa história de relacionamento, muitas vezes nada amigáveis. Este relacionamento torna-se mais estreito após a ocorrência de escândalos corporativos que abalam a confiança da sociedade de modo geral. Nesse sentido, a criação de leis tem tido um importante papel em ditar qual deve ser a postura que os negócios das organizações devem tomar, no sentido de oferecer maior transparência e confiabilidade (DESHMUKH e SHANKAR, 2007, p. 43).

Recentemente, o surgimento de leis, acordos e regulamentações tem trazido maior complexidade para a gestão dos negócios. Fruto de escândalos corporativos e


12

de fraudes referentes a informações financeiras, somado à necessidade de manter instituições financeiras saudáveis, estes regulamentos integram-se cada vez mais à governança corporativa e organizacional e, com a crescente dependência entre negócios e tecnologia, esses regulamentos integram-se também à governança de TI. Organizações e instituições financeiras, independentes do porte, estão sofrendo os efeitos da necessidade de conformidade com novas regulamentações e legislações, tais como a Sarbanes-Oxley (SOX) e a Basiléia II, que foram concebidas no intuito de proteger investidores e stakeholders

3 de fraudes corporativas, decisões de investimento mal tomadas e sistemas de controles ineficientes (PINDER, 2006).

Questões de conformidade podem afetar as organizações tanto de forma direta quanto de forma indireta. No primeiro caso, os marcos regulatórios afetam as instituições financeiras e as empresas de capital aberto.

Já o segundo caso, conforme Pinder (2006), ocorre quando organizações de capital aberto forçam seus fornecedores a adotarem níveis similares de controles internos exigidos pelos marcos regulatórios, aos quais as organizações de capital aberto estão sujeitas. Este caso é conhecido como “adoção de SOX por solicitação (da organização cliente à organização fornecedora) por proxy”, ou “SOX by Proxy”, espalhando no mercado versões similares ou mais brandas de programas de conformidade. Esta situação se dá devido ao fato de que, muitas vezes, empresas diretamente sujeitas a estas regulamentações não conseguem atendê-las, aplicando somente controles internos. É preciso certificar-se de que produtos e serviços fornecidos por terceiros, e que impactam diretamente nos negócios dessas organizações, também estejam em conformidade.

A seguir, serão apresentados a Lei Sarbanes-Oxley e o acordo Basiléia II, que constituem dois dos marcos regulatórios de maior destaque e que têm dado um grande respaldo à área de controles internos e governança. Além destes, também será abordada a Resolução 3380, estabelecida pelo Banco Central do Brasil e que trata de controles internos relacionados a risco operacional em instituições financeiras.

3 Stakeholder, ou parte interessada, refere-se a todas as pessoas e instituições, tais como clientes, colaboradores, investidores, fornecedores e comunidade, que, de algum modo, são influenciadas pela ação de determinada organização.

Conformidade e Governança de TI

13

2.2.1 A lei Sarbanes-Oxley

A Lei Sarbanes-Oxley (SOX ou SARBOX como também é conhecida) foi decretada em 2002, nos Estados Unidos, com o intuito de aperfeiçoar a responsabilidade das organizações por meio da exigência de medidas que reforçam os controles internos e, por fim, aumentam as responsabilidades sobre informações financeiras (DAMIANIDES, 2004). Esta lei foi aprovada em meio a uma série de escândalos corporativos, em que companhias como Enron, WorldCom e Tyco ocultaram ou violaram uma variedade de relatórios de balanços financeiros, resultando em grandes perdas financeiras por parte de investidores e em uma enorme desconfiança por parte destes.

De acordo com Fernandes e Abreu (2006), manter a credibilidade do mercado de capitais é vital para os legisladores norte-americanos e para os responsáveis pela condução econômica dos Estados Unidos, uma vez que, neste país, a bolsa de valores consiste no principal meio de investimento da maioria das famílias.

Como medida preventiva, a SOX afeta significativamente as funções do dia-a-dia da alta direção e executivos de companhias de capital aberto, em especial de diretores executivos de negócio (Chief Executive Officer, CEOs), diretores executivos financeiros (Chief Financial Officer, CFOs) e diretores executivos de tecnologia de informação (Chief Information Officer, CIOs). Desse modo, o principal objetivo da Sarbanes-Oxley é proteger os investidores e aumentar a confiança destes em relação às empresas no mercado de capitais norte-americano (ANAND, 2006). Além disso, esta lei é destinada a exigir da organização o fornecimento de informações precisas em tempo hábil aos investidores em relação ao desempenho da organização. O ideal é que todas as informações relevantes que CEOs e CFOs observem, durante o curso normal dos negócios e que possam afetar financeiramente a empresa por meio da mudança de direção das estratégias ou do curso operacional, devem ser divulgadas aos investidores.

No Brasil, segundo COMPUTERWORLD (2007c), existem cerca de 26 empresas que, por negociarem ações no mercado de capitais norte-americano, estão sujeitas às regulamentações estabelecidas pela SOX. Neste conjunto, algumas empresas já possuem alto nível de conformidade. Organizações como Aracruz, Brasil Telecom, Braskem, Embraer, Gerdau, Gol, Net, TAM, Telesp, Ultrapar, Vivo, Vale (antiga Vale do Rio Doce) e Votorantim Celulose e Papel já apresentaram o relatório de cumprimento com as normas e não apresentaram nenhum tipo de restrição. Além dessas, algumas empresas estão em processo de adequação, tais como Ambev, Cemig, Copel e Sabesp. Em suma, a lei objetiva assegurar que todas as informações relevantes estejam à disposição de CEOs, CFOs e investidores em tempo real e que nenhuma informação relevante seja ocultada ou divulgada tardiamente. O foco da Sarbanes-Oxley concentra-se, então, nos controles internos sobre relatórios financeiros.


14

De acordo com Ramos (apud Fernandes e Abreu, 2006), controles internos podem ser definidos como sendo processos aplicáveis a relatórios financeiros. O propósito geral de tais controles é estimular a preparação de informações confiáveis e precisas, focando nos pontos fracos que possam resultar em erros nos relatórios que tratem de questões financeiras de uma organização (ANAND, 2006).

A SOX e a TI

A SOX afeta a maneira como organizações de capital aberto divulgam balanços financeiros e conseqüentemente, a tecnologia da informação (LAHTI et al., 2005). A TI é altamente solicitada para fornecimento de ferramentas que possibilitem o desenvolvimento e divulgação de tais relatórios. Por conta disso, é importante que todos os sistemas de TI envolvidos neste processo sejam avaliados, documentados e testados, para que haja conformidade de tais sistemas em relação à lei. (DAMIANIDES, 2004).

Apesar de a SOX, de forma geral, já impactar a TI das organizações, existem duas seções4 específicas, que são a 302 e a 404, que tratam especificamente sobre a TI (DAMIANIDES (2003b); ANAND (2006); CHAN (2004)).

A seção 302 ressalta a necessidade de certificação de relatórios, para assegurar que as informações nele contidas são confiáveis e representam claramente a posição financeira de uma companhia em relação aos seus resultados operacionais (ANAND, 2006). Além disso, estabelece que CEOs e CFOs tenham a responsabilidade de manter e estabelecer controles e procedimentos sobre a emissão de relatórios financeiros e controles internos sobre tais relatórios (ANAND, 2006). Em relação a tais controles, é necessário que os seguintes procedimentos sejam executados: (1) avaliação de controles em relação a sua efetividade; (2) comunicação de mudanças em controles internos sobre os relatórios financeiros; (3) comunicação de deficiências que possam levar a um comprometimento de organização em processar, registrar e comunicar informações de ordem financeira e (4) comunicação de eventuais fraudes por parte de colaboradores internos responsáveis pelo registro de controles internos sobre os relatórios financeiros.

Já a seção 404 estabelece a responsabilidade da gerência no estabelecimento de uma estrutura de controles internos, além de avaliar a efetividade destes e executar auditorias externas sobre esta avaliação (ANAND, 2006). Esta seção ainda estabelece uma avaliação anual em relação à efetividade de tais controles (BROWN e NASUTI, 2005).

Além das duas seções mencionadas anteriormente, podem-se também destacar, como sendo importantes para a tecnologia da informação, conforme Pinder (2006), as seções 102 e 802, que tratam de padrões para controles internos; a

4 Para obter mais informações sobre os títulos e seções que compõem a Sarbanes-Oxley, acesse a lei na íntegra, em: http://fl1.findlaw.com/news.findlaw.com/hdocs/docs/gwbush/sarbanesoxley072302.pdf


15

seção 201, que aborda a questão de auditores externos de TI e a seção 301, que trata do papel dos membros do comitê de auditoria que estão ligados à TI.

Para atender aos requisitos da SOX, as informações referentes aos resultados financeiros devem atender aos seguintes princípios (FERNANDES e ABREU, 2006):

• o conteúdo das informações deve ser apropriado;

• a informação deve estar disponível no momento em que for necessária;

• a informação é atual ou, pelo menos, é a última disponível;

• os dados e informações estão corretos;

• a informação é acessível aos usuários interessados;

• há um sistema de controle interno sobre relatórios financeiros que garante todos os demais itens anteriores.

Embora a lei afete predominantemente as responsabilidades de CEOs, CFOs e altas diretorias, no que diz respeito ao gerenciamento corporativo, uma análise dos requisitos de informações financeiras e das seções 302 e 404 leva-nos a inferir que a SOX também tem impacto, como ressaltado anteriormente, na administração da TI, incluindo, de acordo com Brown e Nasuti (2005), a governança de TI e as responsabilidades de CIOs, fornecedores, serviços terceirizados e planos de continuidade de negócio.

De acordo com Brown e Nasuti (2005) (apud GARRETSON, 2003), este impacto é particularmente significante no que diz respeito ao conteúdo e ao nível da atualização de relatórios. Nesse sentido, CIOs e CFOs necessitam de uma organização de TI que garanta que a porção automatizada de processos financeiros possua controles apropriados e que os relatórios gerados com auxílio de computadores sejam confiáveis e completos, sendo as exceções capturadas e reportadas no tempo devido.

Segundo Anand (2006), o impacto da Sarbanes-Oxley nos sistemas gerenciais de uma organização pode ser analisado a partir das seguintes perspectivas:

1. agilidade na produção de relatórios: todas as informações relevantes devem ser reunidas, de forma mais rápida, no sistema de relatórios, para que relatórios possam ser gerados com maior agilidade. Isso requer a existência de mecanismos que permitam reunir rapidamente todas estas informações em um repositório centralizado. Este repositório deve estar conectado a sistemas de análise, por onde analistas possam rapidamente analisar, julgar e relatar o efeito de novos eventos ou informações que possam afetar a estratégia e ou as operações da organização. Um sistema de distribuição de relatórios (ou um sistema de gerência de documento e sistema de workflow) irá, por sua vez, divulgar as informações ao CEO e ao


16

CFO, dentro de um prazo que lhes permita efetuar os julgamentos finais sobre a situação. Finalmente, um sistema de distribuição de informações deve rapidamente divulgar estas informações a investidores, stakeholders e autoridades relevantes indicadas pela SOX;

2. exigências de certificação: as várias exigências de certificações da lei Sarbanes-Oxley estabelecem os seguintes requisitos para os sistemas gerenciais de uma organização:

• um sistema preciso de captura de dados e de documentos é necessário para levantar dados e informações relevantes;

• um transporte seguro de dados deve ser estabelecido para transportá-los entre o ponto de geração e o ponto de armazenamento;

• um repositório centralizado e seguro para dados e documentos;

• um sistema seguro de recuperação de dados e documentos armazenados, com sistemas hierárquicos de controle de acesso5;

• procedimentos de destruição de dados e documentos e sistemas baseados nas políticas da empresa;

3. manutenção de documentos: estes requisitos são aconselhados a auditores, que devem manter registros relevantes por sete anos, de acordo com a Sarbanes-Oxley. Este requisito leva os sistemas gerenciais a implementarem recursos que permitam um armazenamento seguro e duradouro de importantes documentos;

4. comunicações: a tecnologia da informação pode cumprir as exigências estabelecidas pela SOX, por meio da implantação de uma comunicação segura entre o comitê de auditoria e os fornecedores de informações (provavelmente os colaboradores). De acordo com Anand (2006), o sistema deve fornecer um canal de comunicação de acesso anônimo6 entre todos os colaboradores e o comitê de auditoria. Além disso, todas as informações armazenadas devem ser acessíveis ao comitê de auditoria, em um intervalo de tempo que seja razoável.

Em suma, dessa forma, a Sarbanes-Oxley afeta praticamente todos os sistemas transacionais de uma empresa. Muitos dos sistemas gerenciais citados anteriormente são encapsulados e implementados por meio de aplicações e tecnologias. Sendo assim, importantes exigências da Sarbanes-Oxley são transferidas para a infra-estrutura tecnológica das companhias (ANAND, 2006).

5 Controle de acesso hierárquico define perfis de acesso a informações em que as permissões são configuradas de acordo com o papel de cada stakeholder na organização. Tais permissões são estabelecidas de tal forma que stakeholders em um nível hierárquico superior herdam as permissões de acesso de todos os níveis hierárquicos dos níveis inferiores.

6 Neste caso, o acesso anônimo se faz necessário, para encorajar denúncias, por parte dos colaboradores, de irregularidades que possam surgir dentro da organização.


17

Ambientes de TI devem ser revisados ao longo de todo ambiente de controle dentro das organizações sujeitas à Sarbanes-Oxley. Nesse sentido, a Governança de TI torna-se um elemento essencial à governança financeira de empresas que possuem ações no mercado de capitais dos EUA (CHAN, 2004). De acordo com Fernandes e Abreu (2006), a SOX, no tocante à governança de TI, influencia os seguintes aspectos:

• questões referentes à lei devem ser traçadas em um plano de tecnologia da informação;

• novos controles (funcionalidades) em aplicações do legado devem ser implantados;

• novas aplicações devem ser implantadas;

• processos de TI existentes devem ser ajustados e melhorados para mitigar riscos;

• novos processos de TI devem ser projetados e implantados;

• ocorrência de prováveis mudanças na estrutura organizacional de TI em função dos processos ajustados e também dos novos;

• novos indicadores de desempenho deverão ser definidos e implantados;

• os riscos de TI devem ser monitorados constantemente.

2.2.2 Basiléia II

Estabelecido pelo Bank of International Settlements (BIS, 2004), que consiste no Banco Central dos Bancos Centrais, e é sediado na cidade de Basiléia, na Suíça, o Acordo Basiléia II tem a finalidade de estipular requisitos de capital mínimo para instituições financeiras, em função dos seus riscos de crédito e operacionais.

O objetivo do Basiléia II é alinhar os requisitos de capital aos riscos que bancos enfrentam. Além disso, o Basiléia II também tem como objetivo promover uma abordagem mais avançada para a supervisão de capital que encoraje bancos a identificar riscos, desenvolvendo e aprimorando esta habilidade (BIS, 2004).

O Acordo Basiléia II contém os seguintes componentes básicos: (1) definição de risco operacional, (2) conjunto de requisitos, baseados em listas de práticas, para gerenciar riscos operacionais e (3) requisitos mínimos de capital para riscos operacionais (GULDENTOPS, 2004). Tais requisitos são definidos por meio de três pilares, que compõem a estrutura do Acordo:

• primeiro pilar: requisitos mínimos de capital (Minimum Capital Requirements) - este pilar descreve a forma de cálculo que relaciona os riscos dos bancos com capital regulamentar que devem ser mantidos. Para tanto, são identificados três tipos de riscos: (1) riscos de crédito, que se relacionam às perdas econômicas sofridas pela incapacidade do tomador de crédito em


18

cumprir suas obrigações contratuais no tempo requerido; (2) riscos operacionais, que consistem em perdas financeiras resultantes, direta ou indiretamente, de processos internos inadequados; (3) riscos de mercado, que se relacionam às flutuações de mercado, tais como taxas de juros e de câmbio e preços de ações (HUDSON, 2003);

• segundo pilar: supervisiry Review Process - o segundo pilar estabelece regras para que, por parte dos Bancos Centrais de cada país, possam-se estabelecer auditorias em instituições financeiras, avaliando a adequação em requisitos de capital e processos de avaliação interna (KING e SINCLAIR, 2003). No contexto de avaliação, enquadram-se os métodos de gestão de riscos e emissão de informações ao mercado acerca da exposição do risco da instituição (FERNANDES e ABREU, 2006);

• terceiro pilar: market Discipline - o terceiro pilar propõe um conjunto de regras para a comunicação, que tem por objetivo disciplinar o mercado e encorajar o uso de boas práticas no setor financeiro (KING e SINCLAIR, 2003). Segundo Fernandes e Abreu (2006), estas comunicações envolvem os requisitos mínimos de capital, frente aos riscos e métodos para cálculo destes riscos.

O acordo Basiléia II e a TI

Iniciativas de gerenciamento de riscos podem gerar novos riscos operacionais e, mais especificamente, riscos de TI. Existe, atualmente, uma grande dependência em recursos de TI na geração, no armazenamento e no controle de informações financeiras. Nesse sentido, a confiabilidade dessas informações é um fator crucial para o negócio (GULDENTOPS, 2004).

Segundo Fernandes e Abreu (2006), no Brasil, os bancos encontram-se em um estágio extremamente avançado em termos de integração, uso de tecnologias, diversidade de canais e diversidade de produtos. Sendo assim, a TI se torna um dos elementos essenciais do risco operacional no setor bancário brasileiro.

O Acordo Basiléia II especifica sistemas de medição e confecção de relatórios que incorporam diferentes tipos de riscos, em que o uso de sistemas de informação constitui um componente essencial. Nesse sentido, além de exigências em relação a processos de coleta de dados, processamento de informações, trilhas de auditoria e gerenciamento de bases de dados, o Basiléia II também influencia os sistemas de TI com relação à segurança, fraudes, falhas, suporte e entrega de serviços (LUTHY e FORCHT, 2006, p. 4).

De acordo com Pinder (2006), o principal foco do Acordo Basiléia II, na perspectiva da TI, está na atenuação dos riscos operacionais. Neste contexto, o FSA handbook (Senior management arrangements, Systems and Control Section – SYSC) define três áreas nas quais os riscos devem ser identificados e controlados. A seguir, encontra-se uma transcrição destas áreas, extraída de Pinder (2006).


19

Pessoas: riscos associados aos colaboradores, que devem ser controlados por meio de mecanismos, tais como:

• responsabilidades e autoridades definidas; • treinamento; • métodos de punição que desencorajem a ocorrência de fraudes.

Processos e sistemas: a automação reduz o risco de erros humanos e facilita a segregação de responsabilidades. Por outro lado, a dependência em TI aumenta os riscos relativos à perda de confidencialidade, se integridade, de disponibilidade e do não-repúdio em transações. Nesse sentido, os seguintes controles podem ser estabelecidos:

• adequação e segurança de documentos internos permitirão o andamento das operações;

• estabelecimento de obrigações devidas a respeito da exatidão, legalidade e confirmação de arranjos contratuais;

• segregação de responsabilidades; • estabelecimento de uma postura adequada em relação à aquisição de

sistemas; • aplicação de mecanismos de controle de acesso e firewalls; • controles sobre autorizações, qualidade e exatidão de informações; • controles para a prevenção de não-repúdio.

Eventos externos e mudanças: os riscos provocados por eventos inesperados podem ser tratados por meio dos seguintes procedimentos:

• processos adequados de gerência de mudanças; • arranjos de contingência para a manutenção da continuidade de serviços e

operações; • resiliência7 a interrupções causadas por falhas de sistemas e perda de

colaboradores-chave;

• procedimentos adequados de gerência de incidentes.

2.2.3 Resolução 3380

A Resolução 3380, definida pelo Banco Central do Brasil, torna obrigatória, para

7 Poder de recuperação, capacidade de resistir a situações anteriores e retornar ao estado anterior.

Resiliência é um conceito deslocado da física, que significa a propriedade de alguns materiais de acumular energia, quando exigidos e estressados, e voltar ao seu estado original sem qualquer deformação. Como um elástico ou a vara do salto em altura – aquela que enverga no limite máximo sem quebrar, volta com tudo e lança o atleta para o alto.


20

todas as instituições financeiras brasileiras, a implantação – até dezembro de 2007 - de uma estrutura de gerência de risco operacional.

Publicada em 29 de julho de 2006, sua intenção é mitigar ao máximo as chances de haver perdas resultantes de erros humanos ou de falhas de processos internos. Quem não se adequar às normas e não publicar um relatório convincente de conformidade junto com as demonstrações contábeis semestrais estará sujeito a restrições operacionais (BOSCOLI, 2007).

De acordo com a Resolução, o termo risco operacional é definido como a possibilidade de ocorrência de perdas resultantes de falhas, deficiências ou inadequação de processos internos, pessoas e sistemas, ou de eventos externos. Dentre esses eventos de risco operacional incluem-se: (1) fraudes internas (2) fraudes externas (3) demandas trabalhistas e segurança deficiente de locais de trabalho, (4) práticas inadequadas referentes a clientes, produtos e serviços, (5) danos a ativos físicos, (6) eventos que acarretem a interrupção das atividades da instituição, (7) falhas em sistemas de Tecnologia da Informação e (8) falhas na execução, no cumprimento de prazos e no gerenciamento das atividades da instituição.

De modo geral, a Resolução 3380 é aderente à Basiléia II. Portanto, no tocante à TI, a Resolução do Banco Central, assim como o Acordo da Basiléia II, demanda a atenuação dos riscos operacionais por meio da aplicação de controles relacionados a pessoas, processos, sistemas, eventos externos e mudanças.

Em relação à TI, a Resolução ainda estabelece que a estrutura de gerenciamento de risco operacional deve prever a implementação, a manutenção e a divulgação de processos estruturados de comunicação e informação. Além disso, as falhas em sistemas de TI devem estar entre os eventos de risco operacional nas instituições financeiras.

Para obter mais informações sobre a Resolução 3380, acesse: http://www5.bcb.gov.br/normativos/detalhamentocorreio.asp?N=106196825&C=&ASS=RESOLUCAO+3.380.

3 ÁREAS FOCO DA

GOVERNANÇA DE TI

3.1 APRESENTAÇÃO

De acordo com o IT Governance Insitute (ITGI, 2007) e Van Grembergen e De Haes (2008), a governança de TI consiste em cinco áreas foco: alinhamento estratégico, entrega de valor, gerenciamento de recursos, gerenciamento de riscos e gestão de desempenho.

Segundo ITGI (2007), essas áreas foco descrevem os pontos que a alta direção deve tratar ao governar a tecnologia da informação de uma organização, servindo de fundamento para a construção de um ciclo que descreve a governança de TI.

A Figura 2 ilustra esse ciclo.

Figura 2 Ciclo da governança de TI conforme as áreas foco (Adaptado de ITGI, 2007)


22

Considerando os focos, a governança de TI pode ser vista como um ciclo que, para um dado objetivo, inicia-se geralmente pelo alinhamento estratégico. A partir daí, deve-se focar no valor a ser entregue pelas estratégias de TI e nos riscos que precisam ser considerados para tal. Para dar suporte à implementação, deve-se gerenciar recursos de TI necessários para que a iniciativa consiga entregar o valor esperado ao negócio, considerando adequação de custos e riscos envolvidos. Por fim, em intervalos regulares, deve-se monitorar a execução da estratégia e medir os resultados obtidos de modo a tomar ações corretivas, caso seja necessário, e iniciar um novo ciclo de alinhamento, conforme novas demandas de negócio.

A seguir, será apresentado e discutido cada um desses focos.

3.2 ALINHAMENTO ESTRATÉGICO

De acordo com ITGI (2007), o alinhamento estratégico possui foco na ligação entre planos de negócio e de tecnologia da informação de modo: (i) a manter e validar a oferta de valor da TI e; (ii) alinhar operações TI e operações de negócio.

Segundo com Duffy (apud GREMBERGEN, 2004), o alinhamento entre os objetivos de negócio e a TI – ou alinhamento estratégico - consiste no processo de alcançar vantagem competitiva por meio do desenvolvimento e da manutenção de um relacionamento entre os negócios e a TI.

Para Fortuin (2006 p. 33), o alinhamento estratégico consiste na busca por um balanceamento entre os requisitos relevantes do ambiente externo (oportunidades e ameaças vindas do mercado) e os recursos internos, capacidades e competências da organização.

O alinhamento estratégico é, no tocante à TI, um conceito de grande importância para entender como os investimentos em TI podem ser traduzidos em maior desempenho e produtividade, aumentar a participação em segmentos de mercado e aumentar os lucros das empresas (BERGERON et al., 2004, p.1). Nesse sentido, de acordo com Boar (1994 p. 29), o perfeito alinhamento ocorre quando a TI é utilizada para criar e explorar dinamicamente as oportunidades do negócio.

Segundo Buckby, Best e Stewart (2009), estudos e aplicações relacionados ao alinhamento estratégico envolvem inúmeros modelos e frameworks, tendo como destaque o Strategic Alignment Model (SAM) proposto por Henderson e Venkatraman (1991).

O modelo SAM propõe que o alinhamento estratégico seja feito por meio de duas dimensões: ajuste estratégico (strategic fit) e integração funcional.

A primeira dimensão – ajuste estratégico - diz respeito à necessidade das estratégias de TI serem articuladas em termos de um domínio externo (como a organização está posicionada no mercado em termos de TI) e de um domínio interno (como a infraestrutura e os processos de TI devem ser configurados e gerenciados).

Áreas Foco da Governança de TI

23

Já a segunda dimensão – integração funcional - visa auxiliar a organização a alinhar seus processos a variáveis internas e externas. Nesse sentido, temos dois tipos de integração funcional: (i) integração estratégica que consiste na ligação entre as estratégias de negócio e as estratégias de TI, refletindo variáveis externas; (ii) integração operacional que reflete as variáveis internas e diz respeito à ligação entre a infraestrutura e processos organizacionais e infraestrutura e processos de TI.

Os autores desse modelo de alinhamento estratégico afirmam que tanto a dimensão interna quanto a dimensão externa possuem igual importância. No entanto, gerentes de TI tradicionalmente tratam estratégias de TI em termos de perspectivas internas, uma vez que historicamente a TI é vista como uma função de suporte e com baixa importância para os negócios.

De acordo com Van Grembergen e De Haes (2008), a variação de focos internos e externos nesse modelo de alinhamento reforça a diferença entre a governança e a gestão de TI, relatada no capítulo 1 desse material. A visão histórica que gerentes possuem do alinhamento da TI com o negócio coincide com uma visão de gerenciamento, enquanto uma visão de governança deve focar não somente em perspectivas internas mas, principalmente, em perspectivas externas.

Para a governança de TI, uma premissa fundamental em relação ao alinhamento estratégico consiste no balanceamento de escolhas feitas em cada um dos componentes do modelo de alinhamento descrito acima.

Nesse sentido, considerando os dois domínios – ajuste estratégico e integração funcional - e os quatro componentes presentes no modelo SAM – estratégia de TI, estratégia de negócio, infraestrutura de TI e infraestrutura de negócio -, Henderson e Venkatraman (1991) propõem quatro combinações – indicadas pela Figura 2 - que demonstram diferentes balanceamentos entre estratégias de negócio, estratégias de TI, infraestrutura organizacional e infraestrutura de TI. A seguir, será mostrada cada uma dessas combinações.


24

O alinhamento baseado em execução estratégica é provavelmente o mais conhecido e aceito, tendo em vista sua característica de utilizar uma visão clássica e hierárquica do alinhamento, onde as estratégias de negócio consistem nas premissas fundamentais que direcionam em termos de infraestrutura organizacional e, a partir daí, desdobra-se em escolhas sobre infraestrutura de TI.

O alinhamento baseado em transformação tecnológica também inicia-se com as estratégias de negócio. No entanto, foca na implementação de tais estratégias por meio do estabelecimento de um conjunto de estratégias de TI e, a partir daí, na articulação de um conjunto de processos e infraestrutura de TI necessários ao alcance das estratégias de negócio e de TI.

O alinhamento baseado em potencial competitivo permite a adaptação de estratégias de negócio considerando as estratégias de TI. Iniciando das estratégias

Figura 3 Componentes do Strategic Alignment Model proposto por Henderson e Vankatraman. (Adaptado de VAN GREMBERGEN e DE HAES, 2008)


25

de TI, esse modelo de alinhamento desdobra-se em escolhas relacionadas a estratégias de negócio e, a partir daí, em escolhas relacionadas a infraestrutura e processos organizacionais.

O alinhamento de nível de serviço possui foco em como criar serviços de TI de alto nível, em comparação com a média do mercado. Isso requer um entendimento de dimensões externas da estratégia de TI que irá traduzir em um projeto interno de infraestrutura e processos de TI.

Como se pode notar nas combinações descritas acima, o modelo SAM propõe duas perspectivas de alinhamento, cada uma delas contendo dois dos modelos descritos acima. A primeira dessas perspectivas é composta pelo alinhamento baseado em execução estratégica e pelo alinhamento baseado em transformação tecnológica e tem como principal característica o fato das estratégias de negócio como fontes primárias para o alinhamento dos demais componentes. Já a segunda perspectiva, composta pelo alinhamento baseado em potencial competitivo e pelo alinhamento de nível de serviço. As estratégias de TI desempenham o papel de fonte primária para o alinhamento dos demais componentes, inclusiva das estratégias de negócio.

3.3 ENTREGA DE VALOR

De acordo com ITGI (2007), a entrega de valor consiste em alinhar os benefícios obtidos à proposta de valor estabelecida pela TI, visando assegurar que a tecnologia da informação entregue os benefícios necessários à estratégia de TI e de negócio de uma organização. Em síntese, o valor da TI pode ser descrito como sendo a entrega de serviços e de recursos baseados em tecnologia da informação de acordo com padrões adequados de tempo, orçamento, quantidade e qualidade (BUCKBY, BEST e STEWART, 2009),

A entrega de valor consiste em um importante foco da governança de TI. Uma vez que as organizações passaram a investir cada vez mais em recursos de TI, tornou-se necessário que executivos e alta direção determinem quais são só benefícios obtidos a partir de investimentos em tecnologia da informação (BUCKBY, BEST e STEWART, 2009),

Segundo Brown e Yarberry (2009), a entrega de valor combina com o alinhamento estratégico no sentido de dar suporte aos negócios de uma organização. Nesse sentido, um importante componente para assegurar a entrega de valor são as medições.

Medições incluem métricas tradicionais, tais como: “o sistema está produzindo informações em tempo hábil, dentro do orçamento e em níveis aceitáveis de qualidade?”. Essas questões são fáceis de se colocar, porém, devido ao grau de subjetividade de alguns de seus componentes, de difícil resposta. Por exemplo, o que


26

significa “em tempo hábil” em um ambiente onde a especificação de sistemas muda constantemente durante sua concepção? O que se pretende dizer com “níveis aceitáveis de qualidade? Usuários satisfeitos: Clientes satisfeitos? Bases de dados que eliminam registros duplicados? Facilidade de manutenção? Tempo de resposta? Redução de custos? Melhoria da eficiência de processos?

Enfim, é preciso ter um entendimento mais adequado dessas questões para medir adequadamente o valor obtido a partir da TI.

De acordo com Brown e Yarberry (2009), podem existir interpretações inadequadas por parte de CIOs e demais executivos em relação essas questões. Muitas vezes, CIOs preferem, por motivos políticos, atender primeiramente os usuários em relação à qualidade, deixando questões sobre custos e direções estratégicas em segundo plano. A partir de situações desse tipo – onde se deixam questões mais relevantes em segundo plano em detrimento de pressões ou mesmo de “demagogia” – mantêm-se plataformas antiquadas para que todos se sintam confortáveis com a interface oferecida ou se adiam processos de integração da arquitetura que seriam importantes do ponto de vista econômico para a organização.

Enfim, para que medições sejam instrumentos confiáveis na garantia de entrega de valor, é preciso ter um entendimento claro do que realmente se pretende medir e controlar, de acordo com os direcionamentos estratégicos definidos para a organização. A entrega de valor torna-se, então, uma conseqüência do: (i) alinhamento estratégico – na promoção de direcionamentos necessários à priorização do que se deve priorizar e do que significa valor; (ii) da gestão de recursos – que promove utilização adequada de recursos de TI, considerando direcionamentos estratégicos e valor pretendido e; (iii) gestão de desempenho – que fornece os mecanismos necessários à comprovação, ou não, da obtenção do valor por meio das medições.

Recentemente, os trabalhos desenvolvidos nessa área estenderam-se para a criação de métodos utilizados para analisar o valor de projetos e investimentos em TI. Nesse contexto, destaca-s o ValIT, framework desenvolvido pelo IT Governance Institute (ITGI) e destinado a dar suporte em decisões sobre investimentos em TI e na obtenção de benefícios a partir de tais investimentos (ITGI, 2006).

3.4 GERÊNCIA DE RISCOS

De acordo com ITGI (2007), a gerência de riscos inclui a conscientização de riscos por parte de executivos e da alta direção, entendimento da propensão da organização para riscos, entendimento de requisitos de conformidade com regulamentações e cláusulas contratuais, transparências quanto a riscos significativos para a organização e definição de responsabilidades associadas à gestão de riscos na organização.


27

No âmbito das organizações, pode-se entender risco como sendo a probabilidade de ameaças, por meio da exploração de vulnerabilidades, se concretizarem, causando impactos negativos para o negócio (ISO/IEC 27005, 2008).

Segundo a norma ISO/IEC 27005 (2008), de modo geral, pode-se definir a gestão de riscos8 como sendo um processo destinado a: (i) análise e avaliação de riscos; (ii) tratamento de riscos; (iii) aceitação de riscos; (iv) comunicação de riscos e; (v) monitoramento e análise crítica de riscos. A Figura 3 ilustra um processo de gestão de riscos, de acordo com a norma ISO/IEC27005.

8 Mais detalhes sobre gerenciamento de riscos serão estudados na disciplina de Gestão de Segurança

da Informação.


28

Figura 4 Visão geral de um processo de gerenciamento de risco (Adaptado de ISO, 2008)


29

O processo de gerenciamento de risco apresentado acima reflete o modelo proposto pela norma ISO/IEC 27005 e se inicia com o estabelecimento de um contexto, que compreende a definição dos ambientes interno e externo e do escopo da gerência de risco. De acordo com Gottschalk (2007), atualmente, no contexto da governança de TI, trabalhos e aplicações em organizações têm focado nos riscos relacionados à terceirização de operações de TI e de negócios, segurança da informação e projetos de TI.

Definido o contexto da gestão de riscos, passa-se à fase de análise e avaliação de riscos, onde são medidos os impactos, as vulnerabilidades, ameaças e os riscos envolvidos no contexto de avaliação. Caso essa fase forneça informações adequadas de forma a dar embasamento à formulação de ações necessárias de mitigação, a tarefa está completa e o tratamento de risco poderá se suceder. Caso contrário, executa-se outra iteração de análise e avaliação a fim de melhorar as informações sobre os riscos levantados (ISO/IEC 27005, 2008).

O tratamento de risco irá depender diretamente dos resultados de análise e avaliação de riscos. Sendo assim, é possível que esse tratamento não produza um nível de risco residual9 que seja aceitável. Neste caso, executa-se uma revisão do contexto e da análise e avaliação de riscos englobando, por exemplo, critérios de avaliação dos riscos, critérios de aceitação de riscos residuais e impactos (ISO/IEC 27005, 2008).

A aceitação de riscos tem como objetivo assegurar que os riscos residuais sejam explicitamente conhecidos e aceitos pela organização. Isso é especialmente importante em situações onde a implantação de controles é omitida ou adiada devido à limitação de recursos (ISO/IEC 27005, 2008).

Durante o processo de definição de contexto, análise e avaliação e tratamento, é importante que os riscos e a forma como são tratados sejam comunicados à organização. Essa comunicação é essencial para a conscientização dos riscos por parte da organização e envolvem os riscos em si, a natureza dos controles e as áreas de impacto.

3.5 GERÊNCIA DE RECURSOS

Segundo ITGI (2007), o gerenciamento de recursos é definido como a otimização de investimentos em tecnologia da informação, além do uso e alocação de recursos de TI relacionados a pessoas, aplicações de negócio, informações e infraestrutura. Esse foco da governança de TI concentra-se, no nível do board das 9 Riscos residuais consistem nos riscos que não serão tratamos, mas que são conhecidos pela

organização. A definição de riscos residuais é necessária uma vez que os recursos de uma organização são sempre limitados, não sendo suficientes para tratamento de todos os riscos. A definição de riscos residuais deve levar em conta os impactos advindos dos riscos levantados e os recursos disponíveis para tratamento.


30

organizações e trata do monitoramento dos gastos e dos recursos de TI em si, tendo como objetivo a qualidade dos recursos de tecnologia da informação em atender necessidades estratégicas e operacionais do dia-a-dia das organizações (ITGI, 2007).

Gerir recursos, portanto, consiste em estabelecer e manter as capacidades de TI necessárias às necessidades de negócio, focando em recursos humanos, informações e tecnologia, de forma a assegurar: (i) o fornecimento de uma infraestrutura de TI eficiente; (ii) que novas tecnologias e recursos sejam introduzidas quando necessário e; (iii) que tecnologias e recursos obsoletos sejam substituídos quando pertinente (ITGI, 2007). A seguir, encontram-se alguns dos principais artifícios10 utilizados no gerenciamento de recursos de TI, de acordo com Brown e Yarberry (2009):

� Aquisição estratégica de serviços;

� Gestão de cadeia de suprimento;

� Gestão de fornecedores;

� Treinamento;

� Automatização de serviços de TI;

� Gerenciamento de demanda;

� Troca de sistemas obsoletos;

Além disso, o gerenciamento de recursos deve reconhecer a importância das pessoas, assegurando a criação e manutenção de conhecimento relacionados à TI na organização.

3.6 GESTÃO DE DESEMPENHO

A gestão de desempenho destina-se ao monitoramento da implantação de estratégias de TI, projetos de TI, desempenho de processos e entrega de serviços de TI (ITGI, 2007).

Segundo ITGI (2007), sem o estabelecimento e monitoramento de medições, é improvável que as áreas foco apresentadas anteriormente (alinhamento estratégico, entrega de valor, gerenciamento de riscos e de recursos) sejam alcançadas. Para tanto, a gestão de desempenho incluem auditorias, medições contínuas e atividades de avaliação no sentido de fornecer evidências sobre o seguimento, ou não, dos direcionamentos estabelecidos para a TI.

10Estes artifícios serão estudados em detalhes no módulo “Gestão de serviço de TI”.


31

A gestão de desempenho é usualmente implantada através do modelo denominado Balanced Scorecard (BSC)11, destinado á tradução de estratégias em ações associadas a medições de desempenho, considerando não somente indicadores financeiros, mas também aqueles que se relacionam a conhecimento, processos internos e clientes.

Com a utilização do Balanced Scorecard, as organizações podem gerenciar o desempenho da TI considerando aspectos que vão além de resultados financeiros de curto prazo, possibilitando medir níveis de satisfação de clientes, eficiências de estruturas e processos internos de TI e desenvolvimento de competências estratégicas para o negócio da organização.

11 Para obter mais informações sobre o Balanced Scorecard e gestão de desempenho da TI, consulte

o capítulo 4 deste material.

4 ESTRUTURA DA GOVERNANÇA DE TI

4.1 APRESENTAÇÃO

Um dos aspectos mais relevantes para a realização de uma boa governança é a forma como ela está estruturada. Essa estrutura é composta por: (i) papéis e responsabilidades; (ii) domínios e arquétipos: (iii) estruturas de tomada de decisão e; (iv) portfólio de TI.

Nas seções a seguir, são abordados cada um desses elementos que compõem a estrutura da governança de TI. Serão também apresentados alguns dos principais aspectos de liderança da alta direção e critérios para avaliação do papel do CIO frente à governança de TI.

4.2 PAPÉIS E RESPONSABILIDADES

De acordo com Van Grembergen e De Haes (2008), é fundamental para uma governança de TI efetiva que papéis e responsabilidades relacionadas a tecnologia da informação sejam claramente definidos, comunicados e entendidos pela organização.

Ainda segundo Van Grembergen e De Haes (2008), no contexto da governança de TI, a gerência executiva das organizações deve ter papéis e responsabilidades claramente definidos. Dependendo da importância estratégica da TI, o envolvimento de tais executivos pode variar de organização para organização. No entanto, todas as responsabilidades devem ser claramente definidas nesse nível.

Nesse contexto, o CIO (Chief Information Officer) é um ator importante, mas não o único em um ambiente de governança de TI (VAN GREMBERGEN e DEHAES, 2008).

De acordo com Gottschalk (2007), o CEO (Chief Executive Officer) encontra-se no primeiro nível na hierarquia de executivos de uma organização e, no contexto da governança de TI, tem a responsabilidade de colocar em práticas os planos de

Estrutura da Governança de TI

33

negócio desenvolvidos pela diretoria e de assegurar que o CIO seja aceito em processos de tomada de decisão (VAN GREMBERGEN e DEHAES, 2008).

Segundo Bradbent e Kitzis (2005), o papel do CIO compreende:

• Liderança e gerenciamento: capacidade de mudar e de influenciar os outros a mudarem, sendo necessário ter uma visão e um ponto de vista sobre como a tecnologia da informação pode tornar a organização mais eficiente. Para tanto, os CIOs devem: (i) atuar em conjunto com executivos de negócio no sentido de estabelecer expectativas da organização e identificar o que é valorizado pelos acionistas e; (ii) liderar a equipe no sentido de fornecer serviços de TI a custos adequados;

• Entendimento do ambiente: conhecimento do mercado que a organização atua, no sentido de fazer com que a TI atenda às demandas do ambiente externo;

• Criação de uma visão de como a TI irá construir o sucesso da organização: CIOs devem ter uma visão de como os executivos de negócio poderão alcançar seus próprios objetivos utilizando a TI;

• Definir e informar expectativas para uma organização, cujas operações são habilitadas pela TI: trabalhar com executivos de outras áreas no sentido de definir necessidades de negócio e estratégias, além de articular a TI para atender a tais necessidades;

• Alinhar estratégias de negócio a estratégias de TI: estratégias de TI são a base para definição dos domínios da TI (princípios, infraestrutura, aplicações, investimentos e priorização em TI) e sua implementação em um dado período. A estratégia de TI significa o desenvolvimento e gerenciamento de portfólios de TI12 destinados a darem suporte aos objetivos e estratégias de negócio;

• Construção de uma nova organização de TI baseada em processos, aquisição estratégica de serviços de TI (considerando provedores internos e externos de serviços de TI) e de acordo com direcionamentos financeiros vindos da alta direção;

• Gerenciar riscos relacionados a TI e assegurar conformidade da TI com requisitos legais13;

• Comunicar o desempenho da TI utilizando linguagem de negócio: comunicar de forma clara e inteligível pelos acionistas e demais executivos de negócio, como a TI está contribuindo para agregação de

12 Mais detalhes sobre portfólios de TI podem ser consultados no capítulo 4 deste material. 13 O capítulo 5 traz informações sobre conformidade da TI com alguns dos principais marcos

regulatórios, considerando a Lei Sarbanes-Oxley, o Acordo Basiléia II e a Resolução 3380, do Banco Central do Brasil.


34

valor ao negócio e quais são os retornos diretos e indiretos para os acionistas.

Tanto o CEO quanto o CIO devem reportar ao conselho, enquanto este desempenha o papel de fiscalizar o desempenho de negócio e a conformidade com padrões internos e externos à organização.

De acordo com Weill e Ross (2005), a definição de papéis e responsabilidades é fundamental para um ambiente de governança de TI, especialmente para a tomada de decisões e para o cumprimento de áreas foco da governança de TI como, por exemplo, entrega de valor, monitoramento e gestão de recursos. A tabela 1 ilustra algumas das principais decisões sobre a TI - considerando a definição e execução de estratégias de TI – e os impactos causados pela eliminação de responsabilidades associadas a algumas decisões estratégicas de TI.

Decisões de TI Papel de executivos Consequências de se abdicar de decisões

Est

raté

gia

Quanto se deve gastar em TI?

Definição do papel estratégico que a TI irá desempenhar e, assim, determinar o orçamento necessário.

Falha no desenvolvimento de plataforma de TI estrategicamente alinhada com o negócio. Gasto excessivo com TI.

Quais processos de negócio devem ser contemplados com os investimentos em TI, de acordo com o orçamento disponível para esse recurso?

Definição de quais iniciativas não serão financiadas.

Falta de foco e atenção em projetos que não irão agregar valor ao negócio da organização.

Quais capacidades de TI deverão ser globais para a organização?

Definição de quais capacidades serão fornecidas centralmente para toda a organização e quais devem ser desenvolvidas para áreas ou negócios específicos.

Padronização excessiva limita a flexibilidade de unidades de negócio. Por outro lado, falta de padronização aumenta custos e limita a sinergia entre as unidades.

Exe

cuçã

o

Quão bom nossos serviços de TI deverão ser?

Decidir quais características – tais como disponibilidade, capacidade, tempo de resposta – são

A organização pode pagar por serviços que não são necessários.


35

necessárias aos serviços fornecidos pela TI, de acordo com custos e benefícios.

Quais riscos iremos aceitar?

Balanceamento entre impactos negativos e recursos disponíveis para tratamento.

Foco excessivo em segurança e privacidade pode ser inconveniente para clientes, baixar a produtividade operacional e aumentar custos. Por outro lado, pouco foco traz vulnerabilidades, aumentando a probabilidade de impactos negativos ao negócio.

Quem será responsabilizado se iniciativas de TI falham?

Atribuir responsabilidade pelos projetos de TI, além do monitoramento de execução desses projetos.

Entrega de valor de projetos de TI não se concretiza. Falta de responsáveis que respondam pelos resultados do projeto e que façam com que o valor se concretize.

Tabela 1 Descrição da importância da definição de papéis e responsabilidades sobre decisões em TI (Adaptado de VAN GREMBERGEM e DE HAES, 2008)

4.3 ELEMENTOS DE GOVERNANÇA DE TI: DOMÍNIOS E ARQUÉTIPOS

De acordo com Weill e Ross (2006, p. 10), uma governança de TI eficaz trata de três questões básicas, que são: (1) Que decisões devem ser tomadas? (2) Quem deve tomar as decisões? e (3) Como tomá-las e monitorá-las?

Para responder às duas primeiras questões, é necessário entender os elementos essenciais que guiarão os processos decisórios sobre TI na organização. Esses elementos são organizados em domínios e arquétipos. Os domínios se referem às áreas da governança de TI que estão sob o processo de decisão da governança. Já os arquétipos se referem a quem estará sob a responsabilidade de tomar decisões sobre os domínios da governança.

A seguir, são abordados mais detalhes sobre os elementos da governança de TI.

4.3.1 Domínios


36

Os domínios se constituem nas áreas de TI que estão sob processos decisórios e são as principais interseções entre os negócios de uma organização e a tecnologia (BROADBENT e KITZIS, 2005, p. 112). Os domínios constituem as cinco decisões inter-relacionadas que as organizações precisam tomar em relação à Tecnologia da Informação, auxiliando, com isso, a responder a questão: “Que decisões devem ser tomadas?”.

Existem cinco domínios possíveis em um ambiente de governança de TI, que são: (1) princípios de TI; (2) arquitetura de TI; (3) infra-estrutura de TI; (4) aplicações de negócio e (5) investimentos e priorização de TI. Tais domínios são apresentados a seguir:

1 Princípios de TI

Os princípios de TI são um conjunto relacionado de declarações de alto nível (mais abstrato) sobre como ela é utilizada no negócio (WEILL e ROSS, 2006, p. 29). Para Broaddbent e Kitzis (2005, p. 90), os princípios de TI são declarações que ilustram a maneira como as organizações devem projetar e implantar a TI.

Os princípios resultam de uma análise de implicações de informações e tecnologias no contexto estratégico da organização como um todo, ou seja, nos princípios de negócio.

Neste contexto, Weill e Ross (2006, p. 30) apresentam um exemplo da empresa MeadWestvaco, que atua no setor de produção de papel, embalagens, artigos para escritório e produtos químicos especializados. Segundo estes autores, este é um bom exemplo de empresa que formulou seus princípios de TI articulando suas expectativas para que ela apoiasse sua estratégia de negócio. Estas estratégias de negócio e os princípios de TI a que estas estratégias conduzirão estão resumidas na Tabela 2.


37

TABELA 2 Princípios de negócio e princípios de TI da empresa MeadWestvaco (Adaptado de Weill e Ross, 2006)

Princípios de negócio Princípios de TI

Padronização de tecnologias, sempre que apropriado Integridade arquitetônica

Ferramentas comuns e diversidade nos negócios Infra-estrutura consistente flexível

Controle de custos e eficiência operacional Rápida implantação de novas aplicações

Alinhamento e responsividade14 a requisitos comerciais negociados

Valor e responsividade mensurados, aprimorados e comunicados

Tendo em vista a necessidade de alinhamento entre os princípios de TI e os princípios de negócio, é importante ressaltar que ambos são específicos, variando de organização para organização, de acordo com o contexto específico de cada uma destas.

Por fim, conforme sugerem Broadbent e Kitzis (2005 p. 91), é importante que os princípios de TI definidos sejam concisos, convincentes, fáceis de comunicar e bem compreendidos, de forma que os colaboradores possam utilizá-los para tomar decisões e executar ações.

2 Arquitetura de TI

A arquitetura de TI define as alternativas técnicas que guiarão a organização no atendimento de suas necessidades de negócio (BROADBENT e KITZIS, 2005 p. 112).

Ao esclarecerem como a TI dá suporte aos princípios de negócio, os princípios de TI estabelecem os requisitos de padronização e integração dos processos de uma empresa. Já a arquitetura de TI consiste na organização lógica de dados, aplicações e infra-estruturas, definidas a partir de um conjunto de políticas, relacionamentos e opções técnicas adotadas para obter a padronização e a integração técnica e de negócio desejadas (WEILL e ROSS 2006, p. 32).

Segundo Fernandes e Abreu (2006, p. 56), a arquitetura de TI foca questões como:

• padronização de dados;

• compartilhamento da infra-estrutura de dados e aplicações, estabelecendo, com isso, o que deve e o que não deve ser compartilhado entre as unidades de negócio e áreas da organização;

• como implantar novas aplicações considerando a arquitetura de dados e processos padrões;

14 Satisfação dos anseios dos clientes de forma rápida e sem alterações no nível de qualidade.


38

• como as novas aplicações devem ser integradas ao legado, a portais etc.;

• padrões de acesso e saídas para usuários;

• reutilização de componentes de serviços e arquiteturas.

De acordo com Weill e Ross (2006, p.33), a padronização de processos de dados é a característica que define a arquitetura de TI de uma organização.

A padronização de dados fornece uma definição unívoca e um conjunto único de características a serem capturados com um elemento de dados. Este processo do ponto de vista tecnológico é a chave para a integração dos processos, que permite às múltiplas unidades de negócio se apresentarem com uma face única ao cliente – quando se disponibilizam dados padronizados, os detentores do negócio podem integrar efetivamente seus processos (WEILL e ROSS, 2006 p. 33).

Já a padronização dos processos proporciona – pela da observância de uma maneira única e consistente de fazer as coisas - previsibilidade e eficiência. Em trabalhos ligados ao conhecimento, esta padronização exige que todos os indivíduos, ao executarem o processo, utilizem o mesmo sistema (WEILL e ROSS, 2006 p. 33).

Segundo Fernandes e Abreu (2006), a busca por uma padronização na arquitetura de TI tem como finalidade otimizar os recursos e fornecer flexibilidade para o negócio. No entanto, é preciso salientar que diferentes empresas requerem diferentes graus de padronização (WEILL e ROSS, 2006 p. 33). Ainda, empresas mais diversificadas em seus ramos de negócio podem ter muito menos necessidade de padronização entre os órgãos que compõem a organização.

O atendimento aos objetivos de negócio também é um fator importante para as arquiteturas de TI. Nesse sentido, diferentes tipos de negócios e estratégias requerem arquiteturas diferentes.

Um bom caminho para avaliar a aderência entre a arquitetura de TI e os objetivos de negócio da organização é pela da utilização dos princípios de TI (FERNANDES e ABREU, 2006 p. 56). Por exemplo, se a empresa tem um princípio de TI que estabelece que “o cliente deve ter facilidade de acesso à posição de seus

pedidos e reclamações”, e a empresa não tem um meio para permitir este acesso, provavelmente, via Internet ou central de atendimento via telefone, significa que a arquitetura não está alinhada com o princípio de TI e, conseqüentemente, com os objetivos de negócio.

3 Infra-estrutura de TI

As estratégias referentes à infra-estrutura de TI descrevem por que, quando e como a organização irá implantar e manter o seu conjunto de serviços, considerados como confiáveis e compartilhados, a fim de atingir os objetivos estratégicos (BROADBENT; KITZIS p. 112, 2005).


39

Segundo Weill e Ross (2006, p. 37), a infra-estrutura consiste da base da capacidade planejada de TI (tanto técnica como humana) disponível em todo o negócio, na forma de serviços compartilhados e confiáveis, e utilizada por aplicações múltiplas. Juntamente com as aplicações, a infraestrutura consiste na concretização de modelos definidos para a arquitetura de TI.

Os vários componentes de uma infra-estrutura de TI são mostrados na Figura 5.

FIGURA 5 Elementos de uma infra-estrutura de TI (Adaptado de WEILL e ROSS, 2006 p. 38)

Na base da infra-estrutura estão os componentes de TI – encontrados facilmente no mercado, tais como computadores, roteadores, pacotes de software para banco de dados e sistemas operacionais.

Por meio de uma infra-estrutura humana de TI, composta de conhecimentos, habilidades, políticas, experiência e padrões, os seus componentes são convertidos em serviços15 compartilhados.

Existe, ainda, uma camada adicional de aplicações compartilhadas,

15 Segundo OGC (2002), serviços de TI são definidos como um conjunto de facilidades que, suportadas

por um provedor, atendem a uma ou mais expectativas dos clientes. Tais serviços incluem gerenciamento de bases de dados, habilidades em pesquisa e desenvolvimento, serviços de redes de comunicação, etc.


40

denominadas aplicações de infra-estrutura. Estas aplicações incluem sistemas empresariais, tais como planejamento de recursos empresariais (Enterprise Resource

Planning - ERP), sistemas de gerenciamento de relacionamento com clientes (Customer Relationship Management - CRM) e sistemas de gerenciamento de cadeias de suprimento (Supply Chain Management - SCMs).

Uma infra-estrutura de TI integrada combina todas as capacidades compartilhadas da TI (tais como acesso, processamento e armazenamento de dados) de uma organização em uma plataforma única, capaz de suportar as atividades de negócio dos diversos setores ou unidades da empresa (WEILL et al., 2002 p. 5). Segundo Weill e Ross (2006, p. 39), esta infra-estrutura comporta – conforme descrito na Figura 6 - dez agrupamentos (clusters) de capacidade, cada um com seus próprios conjuntos de serviços.

Dentre os dez clusters que compõem a infra-estrutura de TI, seis suportam elementos físicos e quatro estão relacionados às capacidades da infra-estrutura voltadas para a administração.

Os clusters que suportam elementos físicos são:

canais eletrônicos integrados: A infra-estrutura de TI conecta-se externamente a parceiros de negócios por meio de padrões pré-acordados. Usualmente, clientes e parceiros obtêm acesso eletrônico por meio de canais eletrônicos integrados, tais como a Web, conexões diretas ponto-a-ponto e telefones celulares (WEILL e ROSS, 2006 p. 39).Integrar todos os canais de comunicação para o estabelecimento de uma visão única do processo de relacionamento com clientes e parceiros constitui um grande desafio para muitas iniciativas de negócio (WEILL et al., 2002 p. 6).

1. segurança e risco: o gerenciamento de segurança e risco aborda decisões referentes ao nível aceitável de risco frente aos custos de se atingir cada nível de proteção (WEILL et al., 2002 p. 7). Os serviços envolvendo segurança e riscos incluem a implantação de firewalls, políticas de segurança, sistemas de controle de acesso, criptografia, planos de contingência, etc. Sendo assim, toda comunicação passa por dispositivos ou recursos com capacidade de segurança e risco (WEILL e ROSS, 2006, p. 40).

2. comunicações: as interações eletrônicas com clientes e parceiros ocorrem por meio de um conjunto de serviços de comunicação. Tipicamante, estes serviços de comunicação incluem os acessos de banda larga, intranets e redes de estações de trabalho (WEILL e ROSS, 2006, p. 40).


41

Aplicações locais de TI

Interfaces padronizadas

Administração de TI

Aplicações de infra-estrutura

Administração de dados

Canais eletrônicos integrados

Segurança e risco

Comunicaçõe

s

Padrões pré-acordados

Clientes, parceiros de negócio, infra-

estruturas públicas

P&D

FIGURA 6 Serviços de infra-estrutura de TI dividida em dez clusters (Adaptado de WEILL e ROSS, 2006 p. 40)

3. administração de dados: de acordo com Weill et al. (2002, p. 7), as informações a respeito de clientes, produtos, processos, desempenho (performance) e capacidades consistem em recursos-chave para um ambiente de negócio interconectado eletronicamente. A administração de dados abrange o gerenciamento de bases de dados, o gerenciamento de middleware e a tradução e a troca de dados (WEILL e ROSS, 2006, p. 40).

4. aplicações de infra-estrutura: como ressaltado anteriormente, as aplicações de infra-estrutura incluem sistemas que são compartilhados e padronizados ao longo de toda a organização, suportando serviços em diversas áreas, tais como as de orçamento, recursos humanos, contabilidade etc. Segundo Weill e Ross (2006, p. 40), as aplicações de infra-estrutura estão estreitamente ligadas à administração de dados;


42

5. administração de facilidades de TI: a administração de facilidades de TI agrega valor à infra-estrutura de TI por meio da integração dos cinco níveis até aqui descritos, otimizando a operação da infra-estrutura como um todo (WEILL et al., 2006, p. 8). De acordo com Weill e Ross (2006, p.41), este nível fornece serviços, como processamento em larga escala, fazendas de servidores e um ambiente comum de desenvolvimento de sistemas.

Descritos os clusters de capacidade de infra-estrutura que portam os elementos físicos desta, os quatro custers restantes, que estão voltados às capacidades relativas à administração, são os seguintes:

1. administração de TI: a administração de TI coordena a infra-estrutura integrada da organização e gerencia as relações com as unidades de negócio (WEILL et al., 2002, p. 8). Estes serviços incluem o planejamento de sistemas de informação, a gerência de projetos, os acordos de níveis de serviços e as negociações com fornecedores e empresas terceirizadas;

2. arquitetura e padrões de TI: os serviços de arquitetura e padrões de TI fornecem um plano de migração para padrões técnicos detalhados, subjacentes à arquitetura da empresa (WEILL e ROSS, 2006, p. 41). Ainda segundo estes autores, estes serviços incluem o monitoramento da eficiência dos padrões da empresa e a identificação de quando tais padrões estão ultrapassados ou exedem os custos viáveis. Segundo Weill et al. (2006, p. 9), os serviços de arquitetura e padrões de TI formam o conjunto fundamental de políticas e regras que direcionam o uso da TI e fornecem plano de migração de acordo com as mudanças futuras nos negócios;

3. educação e treinamento em TI: incluem um treinamento no uso dos sistemas e tecnologias empregados na empresa e uma educação de cunho gerencial sobre como conceber a TI, investir nela e utilizá-la para gerar valor aos negócios (WEILL e ROSS, 2006, p. 41). De acordo com Weill et al. (2002, p. 9), empresas que investem, em treinamento, uma parcela de seu orçamento maior do que as médias de mercado, possuem menores taxas de custo total de propriedade em estações de trabalho. Ainda segundo estes autores, a taxa média de investimento em treinamento gira em torno de 2% do orçamento. O aumento desta taxa para 4%, além de poder diminuir o custo total de propriedade, também abre a possibilidade de um aumento no desempenho dos processos de negócio, medidos em termos de custo e tempo;

4. pesquisa e desenvolvimento em TI: os serviços relativos à pesquisa e ao desenvolvimento incluem os esforços da organização em encontrar novos caminhos em relação ao uso da TI, para agregar valor aos negócios e avaliar propostas de uso de novas tecnologias (WEILL et al., 2002, p. 9). A pesquisa


43

e o desenvolvimento, conforme Weill e Ross (2006, P. 41), encontram-se na interseção entre a administração de TI e os serviços de arquitetura de TI.

De acordo com Weill e Ross (2006, p. 37), numa empresa típica, a infra-estrutura corresponde a, aproximadamente, 55% do total de investimentos em tecnologia da informação. Nesse sentido, os investimentos em infra-estrutura de TI correspondem a uma das mais desafiadoras decisões que podem ser tomadas pela alta gerência de uma empresa (WEILL et al., 2002, p. 1). Segundo estes autores, investir em uma infra-estrutura adequada no tempo certo possibilita, futuramente, uma rápida implantação de iniciativas de negócios baseados em recursos eletrônicos. Uma infra-estrutura de TI superior contém, em cada um dos dez clusters

de capacidade, um conjunto integrado de serviços consistentes com a direção estratégica da empresa (WEILL e ROSS, 2006, p. 42).

Por fim, é importante ressaltar que cada um dos serviços de infra-estrutura pode estar posicionado no nível corporativo, abrangendo toda a empresa, como no nível de unidades de negócio. Sendo assim, determinar onde os serviços locais de infra-estrutura devem se posicionar, de que modo devem ser apreçados, quando devem ser atualizados e a necessidade ou não de terceirizá-los são decisões essenciais para a obtenção de uma boa relação custo/benefício que capacite a empresa a adotar rapidamente novas aplicações de negócio (WEILL e ROSS, 2006, p. 42);

4 Aplicações de negócio

Este domínio da governança de TI envolve a necessidade de se tomar decisões sobre a necessidade de aplicações para os negócios da empresa (BROADBENT; KITZIS p. 112, 2005). Aplicações de negócio podem ser adquiridas ou desenvolvidas internamente para atender aos objetivos de negócio.

Segundo Weill e Ross (2006, p. 42), a identificação da necessidade de negócios em relação às aplicações de TI costuma ter dois objetivos conflitantes – a criatividade e a disciplina. A criatividade consiste em identificar maneiras novas e mais eficazes de gerar valor para os clientes por meio da TI. Já a disciplina consiste na integridade arquitetônica, assegurando que as aplicações aproveitem e amplifiquem a arquitetura da empresa, em vez de desrespeitar os princípios desta arquitetura.

Embora todas as decisões referentes aos cinco domínios da governança de TI16 envolvam o valor estratégico de negócio da tecnologia da informação, são as decisões referentes às necessidades de negócio específicas que diretamente geram valor para à organização (WEILL e ROSS, 2006, p. 42).

16 Os domínios da governança de TI são formados por: princípios de TI, arquitetura de TI, infra-estrutura de TI, aplicações de negócio e investimentos e priorização de TI.


44

Ao serem tomadas decisões referentes às aplicações de negócio, Ross et al. (2006, p. 123) sugerem algumas questões a serem consideradas:

1. Quais são as oportunidades, em termos de mercado e processos de negócio, para novas aplicações de negócio?

2. Como as necessidades de negócio podem ser tratadas dentro dos padrões estabelecidos para a arquitetura de TI na empresa?

3. Quando uma necessidade de negócio justifica o estabelecimento de exceções aos padrões adotados para a TI na organização?

4. Quais experimentos estratégicos devem ser considerados? Como se pode medir o sucesso para tais experimentos?

Por fim, é importante ressaltar que desisões envolvendo necessidades de aplicações de negócio requerem pensadores criativos e gerentes de projeto disciplinados, sendo, provavelmente, a menos madura das cinco decisões referentes aos domínios da governança da TI (WEILL e ROSS, 2006, p. 46).

5 Investimentos e priorização de TI

O rápido crescimento dos investimentos na área de tecnologia da informação tem forçado as organizações a considerarem cada vez mais os riscos e os retornos prometidos por tais investimentos (KIM e SANDERS, 2001, p. 1).

A decisão de investimento em TI é, freqüentemente, a mais visível e controversa das cinco decisões que envolvem os domínios da governança de TI (WEILL e ROSS, 2006, p. 47). Estes autores ainda ressaltam que as empresas que obtêm valor superior da TI concentram seus investimentos em suas prioridades estratégicas, cientes da distinção entre capacidades de TI que “precisamos ter” das que “seria bom se tivéssemos”.

Decisões envolvendo a TI enfrentam alguns dilemas. O desafio atual para as organizações consiste em encontrar maneiras para: (1) separar os investimentos em TI que possuem maior potencial de agregar valor e (2) executar estes investimentos para que tragam o valor esperado (ATAYA e THORP, 2007, p. 20).

Neste contexto, Ross et al. (2006, p. 123) apresentam algumas questões chave que podem nortear as decisões envolvendo estes investimentos. São elas:

1. Quais mudanças e melhorias são estrategicamente importantes para a organização?

2. Qual é a distribuição do atual portfólio17 de TI? Este portfólio está consistente com a estratégia da empresa?

17 Conjunto de iniciativas em TI mantido por uma empresa, abordando investimentos, aplicações e infra-estruturas de TI. Para mais detalhes sobre Portfólio de TI, consulte a sessão específica sobre esse assunto, disponível mais adiante neste material.


45

3. Qual a importância relativa dos investimentos feitos centralmente versus

investimentos feitos em unidades específicas de negócio? As práticas atuais refletem esta importância relativa?

4. Qual é o equilíbrio correto entre projetos top-down e botton-up18 para

equilibrar padronização e inovação?

Diante destas questões, nota-se a necessidade do estabelecimento de um equilíbrio entre diferentes grupos de interesse, além de decisões sobre como gastar e em que gastar.

Além de problemas envolvendo conflitos de interesse, nota-se, a partir das questões citadas, a necessidade do estabelecimento de um portfólio de TI19, que seja adequadamente distribuído e esteja consistente com a estratégia da empresa. Segundo Weill e Ross (2006, p. 48), a administração do portfólio de TI permite que os tomadores de decisão alinhem seus portfólios com a estratégia da empresa e balanceiem riscos e retornos.

A implementação de um método de administração de portfólios de TI requer que os recursos financeiros destinados a cada projeto sejam classificados em categorias que reflitam os objetivos de negócio da organização (WEILL e ROSS, 2006 p. 48). Nesse sentido, Lutchen (2004, p. 164) ressalta que esta classificação – que pode ser feita a partir de quatro categorias, como “estratégico”, “ïnformativo”, “transacional” e “infra-estrutural”- é importante para entender como a TI pode fornecer valor aos negócios. Cada categoria possui um conjunto de características típicas de produtos que geram valor aos negócios e um pequeno conjunto de métricas para determinar se estes produtos foram alcançados. As classes de investimentos em TI são (LUTCHEN, 2004, p. 165):

1. estratégicos: consistem em investimentos em tecnologia para a obtenção de vantagem competitiva; posicionar a organização no sentido de ganhar maior fatia de mercado, aumentar vendas e implantar serviços inovadores;

2. informativos: investimentos em tecnologia para gerenciar e controlar os negócios no nível de unidades de negócio tais como controle financeiro, planejamento, suporte a decisões, visando o fornecimento de informações de maneira adequada, com maior integração e controles mais eficientes;

18 Top-down e botton-up constituem estratégias de análise de informações. Na prática, estas duas abordagens podem ser vistas como modos de pensar e ensinar. Em administração, estas abordagens são utilizadas para indicar como as decisões são tomadas. Em uma abordagem top-

down, a alta direção toma as decisões, que são disseminadas nos níveis organizacionais inferiores. Já em uma abordagem botton-up, existe o envolvimento de pessoas que ocupam níveis hierárquicos inferiores. Nesta abordagem, existe o envolvimento de um número maior de pessoas que tomam decisões que são, então, transferidas para os níveis mais altos da organização.

19 Mais detalhes sobre portfólios de TI podem ser consultados na seção 2.4 deste material.


46

3. transacionais: investimentos em tecnologia para processar transações, focando na redução de custos e em processos que envolvem grande volume de dados;

4. infra-estrutural: investimentos em tecnologia para a construção da base para as capacidades de TI, visando a uma padronização, flexibilidade e redução de custos relativos à infra-estrutura. Tais investimentos abrangem recursos como PCs, servidores, redes, serviços de manutenção, sistemas de help desk, etc.

Atualmente, cada vez mais empresas vêm utilizando a abordagem de portfólio como parte do processo de investimento e priorização de TI. Tais empresas ajustam, de acordo com seu perfil, a definição das classes de investimento e criam métricas para ajustar e avaliar seus investimentos em TI. O conceito de portfólio de TI ajuda administrador a balancear e a realinhar os investimentos nesse setor quando a estratégia da empresa ou o clima econômico mudam. Por exemplo, frente a uma crise econômica, podem-se realocar recursos que seriam destinados à classe de investimentos estratégicos, considerados de alto risco e alto retorno, para uma classe de investimentos transacionais, com risco baixo e retornos sólidos (WEILL e ROSS, 2006, p. 49).

Por fim, considera-se que o atributo mais importante de um processo bem-sucedido de investimento em TI é a garantia de que os gastos da organização nesta área refletem suas prioridades estratégicas. Além disso, investimentos em TI implicam em riscos, como qualquer outro investimento. Sendo assim, se bem escolhidos e alinhados às necessidades de negócio, os portfólios de TI reduzem o risco geral dos investimentos em tecnologia por parte da organização.

4.3.2 Arquétipos de governança de TI para a alocação de direitos de decisão

Os arquétipos de governança de TI definem quem será responsável pelas decisões envolvendo os domínios da TI, especificando quais níveis e partes da organização serão envolvidas neste processo decisório.

Uma abordagem estabelecida por Weill e Ross (2006, p. 60) para a definição de estruturas para a alocação de direitos decisórios utiliza arquétipos políticos, que são: monarquia, feudalismo, federalismo, duopólio e anarquia. Tais arquétipos poderiam descrever como as empresas tomam decisões em relação a cada um dos cinco domínios descritos na seção anterior. Os seis diferentes arquétipos aplicáveis à governança de TI, bem como a descrição de cada um destes, encontram-se na Tabela 3.


47

TABELA 3 Arquétipos de governança de TI .

Arquétipo Quem tem direito de decisão ou de contribuição?

Monarquia de negócios

Um grupo de executivos de negócio ou executivos individuais, tais como diretor executivo (Chief Executive Officer - CEO) e diretor financeiro (Chief Financial Officer – CFO). Inclui comitês de executivos seniores de negócio (podendo incluir o diretor executivo de TI (Chief Information Officer - CIO).

Monarquia de TI

Indivíduos ou grupos de executivos de TI.

Feudalismo Líderes das unidades de negócio, detentores de processos-chave. As estruturas federalistas equilibram abertamente as prioridades da empresa com as das unidades de negócio.

Federalismo Executivos no nível de diretoria e grupos de negócio, incluindo executivos de TI como participantes adicionais. Equivalente à atuação conjunta dos governos federal e estadual.

Duopólio Executivos de TI e algum outro grupo (por exemplo, diretores executivos, diretores financeiros, ou os líderes de unidades de negócio ou os líderes de processos).

Anarquia Cada usuário individual.

(Fonte: Center for Information Systems Research (CISR) da MIT Sloan School)

Cada um desses arquétipos pode ser utilizado para a alocação de direitos decisórios em cada um dos diferentes domínios da governança de TI.

Os cinco domínios da governança de TI apresentados na seção anterior, juntamente com os arquétipos, formam a matriz de arranjo da governança, como ilustrado na Tabela 4.

TABELA 4 Matriz de arranjo da governança (Adaptado de WEILL e ROSS, 2006 p. 12)

Princípios de TI

Arquitetura de TI

Infra-estrutura de

TI

Aplicações de negócio

Priorização e Investimentos

Monarquia de negócio

Monarquia de TI

Feudalismo

Federalismo

Duopólio

Anarquia

?


48

Juntos, esses arquétipos descrevem todos os arranjos decisórios já encontrados pelos pesquisadores Peter Weill e Jeanne Ross, do Center for

Information System Research (CISR) da MIT Sloan School. A interrogação no centro da matriz representa o desafio que as empresas enfrentam em determinar quem deve ter a responsabilidade em tomar e contribuir com cada domínio de decisão da governança de TI (WEILL e ROSS, 2006, p. 12).

Preencher a matriz de arranjo de governança, portanto, significa mapear os domínios de decisão para os diferentes arquétipos, estabelecendo quem são os responsáveis pela tomada de decisão e como tais decisões serão tomadas e monitoradas. Segundo Weill e Ross (2004, p. 6), esta atividade de preenchimento da matriz requer o projeto e a implementação de um conjunto coordenado de mecanismos de Governança. A tabela 5 ilustra um exemplo de matriz de arranjo da governança de TI para a empresa Dupont, extraído de Weill e Ross (2004). Nesse exemplo, para cada domínio, são estabelecidos mecanismos para decisão.

Na matriz representada pela tabela 5, estão relacionados os seguintes mecanismos de governança de TI:

� Equipe de arquitetura: composta por 40 especialistas em TI oriundos de várias áreas da empresa

� Líderes de negócio: Líderes das unidades de negócio

� Unidades de negócio: Líderes de negócio e líderes de TI dessas unidades

� TI corporativa: CIO e quatro subordinados diretos

� Líderes de TI: TI corporativa e quinze CIOs de unidades de negócio

� Executivo seniores: Equipe de executivos, incluindo o CIO.


49

Princípios de TI

Arquitetura de TI

Infraestrutura de TI

Aplicações de negócio

Investimento e priorização

Monarquia de negócio

Monarquia de TI

Líderes de TI

Líderes de TI

Feudalismo Líderes de negócio

Federalismo Executivos seniores; TI corporativa

TI corporativa; Líderes de negócio

Duopólio

Tabela 5 Matriz de arranjo da governança de TI da empresa Dupont (Adaptado de Weill e Ross, 2004.

Na matriz de arranjo da governança de TI da Dupont estabelece, para os princípios de TI, uma estrutura federalista, que busca o equilíbrio entre executivos seniores e a TI corporativa. Já para a arquitetura e infraestrutura de TI, a empresa possui uma estrutura baseada em monarquia de TI, cujas decisões são centralizadas nos líderes de TI. A centralização das decisões referentes à arquitetura e infraestrutura contribui para maior padronização e integração da TI na organização.

As aplicações de negócio obedecem a uma estrutura feudal, onde as decisões são de responsabilidade dos líderes das unidades de negócio. Essa descentralização, embora comprometa a integração e padronização ao longo da organização, contribui para o atendimento a demandas específicas das unidades de negócio.

Por fim, para decisões referentes a investimentos e priorização, a empresa utiliza uma estrutura federalista, que busca o consenso entre a TI corporativa e os líderes de cada unidade de negócio.


50

4.4 MECANISMOS DE GOVERNANÇA DE TI

Para implementar seus arranjos de governança, as empresas projetam e implementam estruturas de tomada de decisão, que consistem em comitês ou grupos de colaboradores que ocupam papéis relevantes às decisões.

Segundo Weill e Ross (2006, p. 88), os mecanismos mais visíveis em uma governança de TI são as estruturas de tomada de decisão. Tais mecanismos alocam responsabilidades decisórias de acordo com o arquétipo pretendido para cada domínio da governança.

Embora possam existir inúmeros mecanismos de governança de TI, de forma genérica, os mais comuns são (WEILL e ROSS, 2006, p. 89; BROADBENT e KITZIS, 2005, p. 115):

• comitê administrativo executivo ou sênior: tipicamente, este mecanismo executa decisões, que abrangem toda a organização, por meio de executivos no âmbito de diretoria. Esta abordagem encoraja a obtenção de uma visão holística (BROADBENT e KITZIS, 2005, p. 115). Segundo Weill e Ross (2006, p. 88), empresas diferem consideravelmente em seus modelos de comitê executivo. Em algumas organizações, o CEO trabalha com uma pequena equipe de altos executivos para assegurar que a TI se alinhe com os objetivos corporativos. Já outras empresas trabalham com um subgrupo da equipe administrativa sênior para questões de TI;

• comitê de liderança de TI: este grupo inclui tipicamente grande parte dos executivos de TI da organização, sendo particularmente importantes em empresas de grande porte e com negócios diversificados, nas quais as responsabilidades pelos serviços de infra-estrutura são compartilhadas;

• gerentes de relacionamento entre negócios e TI: estes executivos atuam como intermediários entre os negócios e a TI, ajudando na comunicação entre este recurso e as unidades de negócio (BROADBENT e KITZIS, 2005, p. 116). Segundo Weill e Ross (2006, p. 98), gerentes de relacionamento devem ter um comportamento híbrido, estando à vontade para discutir tanto questões de negócio como (i) a segmentação efetiva de mercado, (ii) questões técnicas, assim como (iii) modelos de banco de dados distribuídos que mais se encaixam às necessidades de clientes;

• equipes de processo: estas equipes são compostas por membros vindos de diversas partes da organização (BROADBENT e KITZIS, 2005, p. 116);

• conselhos de TI: estes conselhos, geralmente, incluem tanto os executivos de negócio como os de TI, focando em vários níveis de políticas de TI e investimentos (BROADBENT e KITZIS, 2005, p. 116). Segundo Weill e Ross (2006, p. 95), por meio da implementação de um conselho decisório conjunto, são uma abordagem para assegurar a interação entre a TI e os negócios;


51

• comitês de arquitetura: compostos, usualmente, de especialistas técnicos, este comitê tem a responsabilidade de definir normas para a arquitetura. Na maioria dos casos, o seu papel é aconselhar a equipe de liderança de TI sobre questões referentes à arquitetura (WEILL e ROSS, 2006, p. 93).

O número de comitês e o perfil de seus integrantes varia de acordo com as necessidades de cada organização. No entanto, independente de tais particularidades, é importante que esses comitês promovam uma sinergia entre a área de TI, as áreas de negócio e a alta direção. Além disso, é fundamental que os membros da alta direção desempenhem papel de liderança sobre esses mecanismos, estabelecendo uma visão clara para a TI frente aos desafios de negócio e influenciando mudanças na organização.

4.5 LIDERANÇA EM GOVERNANÇA DE TI

Até o momento, foram apresentados alguns dos componentes da estrutura da governança de TI. Tais estruturas representam quais decisões devem ser tomadas e, principalmente, quem deve tomar tais decisões no sentido de fazer com que a TI esteja estrategicamente alinhada ao negócio da organização. Dessa forma, é importante que a governança de TI envolva a liderança da alta direção das organizações.

Segundo Broadbent e Kitzis (2005), a liderança relaciona-se à condução de mudanças e influência de outras partes em prol de uma visão. A liderança, portanto, possui foco nas conseqüências e nos direcionamentos de ações.

Dadas as suas particularidades, a liderança requer uma combinação de determinadas características: visão, comunicação e construção de relacionamentos (BROADBENT e KITZIS, 2005).

A visão relaciona-se à construção de um ponto de vista pela qual determinado cenário ou recurso – incluindo a tecnologia da informação – pode evoluir. Trata-se, portanto, de estabelecer onde se quer chegar no futuro.

Já a comunicação relaciona-se à expressão da visão e de demais situações atuais às outras partes interessadas – executivos e conselho da organização. Para tanto, é importante utilizar recursos adequados, tais como linguagem, gráficos, imagens e tratar o assunto em um nível de detalhe adequado a cada situação.

Uma vez que a implantação e manutenção de uma estrutura de governança de TI requerem a sinergia entre diferentes áreas e indivíduos em uma organização, torna-se imperativa a construção de relacionamentos entre esses atores. A partir desses relacionamentos, é possível o compartilhamento de visões e uma comunicação mais efetiva em prol dos objetivos da organização. A construção de relacionamentos, portanto, proporciona meios para que os envolvidos na governança de TI possam exercer seu papel de liderança.


52

A seguir, serão apresentados alguns dos princípios de liderança da governança de TI, de acordo com estudos realizados pelos pesquisadores Peter Weill e Jeanne Ross, ambos do Center for Information Systems Research (CIRS). Em seguida, serão discutidos alguns dos critérios para a avaliação de desempenho do CIO frente a governança de TI.

Princípios de liderança em governança de TI

Após a realização de estudos em centenas de organizações em todo o mundo, os pesquisadores Peter Weill e Jeanne Ross sintetizaram as lições de líderes de destaque em alguns princípios da governança de TI. A seguir, descreveremos cada um desses princípios.

Formulação ativa da governança de TI. A governança de TI deve ser formulada em torno dos objetivos e metas da organização, ao invés de considerar problemas locais, tais como gastos excessivos em duplicações de ferramentas, problemas na arquitetura de TI, etc.

Saber quando reformular a governança de TI. Repensar a estrutura da governança de TI requer que indivíduos aprendam novos papéis e relacionamentos. Como o processo de aprendizagem lava tempo, á importante que reformulações na governança sejam esporádicas. Segundo Weill e Ross (2004), mudanças na governança devem ser seguidas somente de mudanças no modo como a empresa deve se portar frente às estratégias de negócio, ocasionando em mudanças na interação entre agentes para tomada de decisões estratégicas. Envolver a alta direção. Os CIOs e os membros da alta direção devem ser efetivamente envolvido na governança de TI. Além disso, alguns membros da alta direção devem estar envolvidos em comitês relacionados à governança de TI, em processos de aprovação de decisões e iniciativas e na avaliação de desempenho da TI frente o negócio. Segundo Weill e Ross (2004), muitos dos membros da alta direção estão dispostos a se envolverem, mas não sabem qual a melhor forma de contribuir. Nesse sentido, é importante que o CIO e sua equipe comuniquem claramente as responsabilidades – por meio da a matriz de arranjo da governança e de seus comitês associados - relacionadas à governança de TI.

Fazer escolhas. Uma boa governança requer escolhas, não sendo possível atender a todas as metas de negócio. Sempre existem conflitos de metas e de interesses – considerando os diversos objetivos de negócio e as diversas áreas de negócio e setores de uma organização - a serem resolvidos. De acordo com Weill e Ross (2004), empresas de melhor desempenho em governança de TI resolvem esses conflitos por meio de um conjunto reduzido de princípios de negócio que refletem um conjunto de princípios de TI.

Estabelecer processos de tratamento de exceções. As exceções desafiam a integridade e padronização da arquitetura e infraestrutura de TI nas organizações. No


53

entanto, a maioria das exceções propostas decorre do desejo de atender a necessidades de negócio. Se exceções propostas realmente agregarem valor à organização, mudanças na arquitetura e/ou infraestrutura podem trazer benefícios. De acordo com Weill e Ross (2004), em geral, processos de tratamento de exceções são compostos por três elementos básicos: (i) o processo é claramente definido e compreendido por todos e os critérios de aprovação são claros; (ii) processo simplificado, com poucos estágios de aprovação que chegam rapidamente à alta direção e; (iii) exceções bem0sucedidas são adotadas na arquitetura da empresa.

Oferecer incentivos certos. De acordo com Weill e Ross (2004), a governança de TI é menos eficaz quando os sistemas de incentivo e recompensa não estão alinhados às metas organizacionais. Como exemplo, pode-se citar o caso relatado por Weill e Ross (2004), onde, para oferecer uma face única da organização ao cliente, foi estabelecida uma estrutura de governança de TI destinada a incentivar o compartilhamento de informações sobre clientes entre unidades de negócio. Contudo, segundo os autores, somente quando o sistema de recompensa de executivos das unidades foi alterado – de aproximadamente 100% de recompensa baseados no desempenho da unidade de negócio para 50% baseado no desempenho geral da empresa – é que a nova estrutura de governança de TI ganhou força.

Atribuir propriedade e responsabilidade pela governança de TI. Para obter sucesso, uma iniciativa de governança de TI deve possuir um dono e envolver responsabilidades. Em última instância, o conselho da organização é responsável pela governança, no entanto, ele poderá nomear um indivíduo (normalmente o CIO ou o CEO) ou grupo responsável pela formulação, implantação e manutenção da governança de TI (WEILL e ROSS, 2004). Segundo Weill e Ross (2004), ao designar o indivíduo ou grupo como seu representante, o conselho deverá considerar dois fatores: (i) a governança de TI não pode ser formulada de forma isolada dos demais ativos da organização, para tanto, é preciso que o dono da iniciativa tenha uma visão que transcenda a área de TI, bem como credibilidade junto aos líderes de negócio; (ii) o dono não pode implantar a governança de TI sozinho, o conselho deve deixar claro que é esperada a contribuição de todos os executivos de negócio.

Proporcionar transparência e edução. Quanto maior for a transparência dos processos e das estruturas de governança, maior será a confiança nela. Por outro lado, quanto menos transparentes forem as estruturas e os processos, menos pessoas os seguirão, haverá menos confiança na governança de TI e mais atalhos serão tomados. Consequentemente, haverá menos disposição em seguir as regras para atender aos objetivos de negócio. Para tanto, é necessária uma ampla documentação e comunicação de estruturas e dos processos relacionados a governança de TI (WEILL e ROSS, 2004). De acordo com Weill e Ross (2004), quando executivos das áreas de negócio não apresentam um entendimento


54

adequado da governança de TI, têm-se uma boa oportunidade para prover mecanismos de comunicação e refinar as regras da governança por meio do entendimento das objeções de cada área e das causas de não cumprimento das regras.

Avaliando o CIO

Baseando-se em estudos feitos com executivos, Weill e Ross (2004) propõem que a avaliação do responsável pela área de tecnologia da informação seja feita de acordo com dimensões que descrevem o impacto da atuação do CIO. Essas dimensões são as seguintes.

Responsabilidades do CIO que estão claramente sob seu controle

Decisões e comportamentos influenciados pelo CIO

Contribuições feitas pelo CIO, como membro da alta direção, gerando valor para a organização.

Sendo assim, a avaliação do CIO leva em consideração, em última instância, o valor de negócio criado pela TI, que resulta da combinação de três fatores: custo unitário, níveis de serviço de TI e liderança de negócios e trabalho em equipe. A seguir, serão discutidos cada um desses fatores.

1. Custo unitário dos níveis de serviço de TI:

O primeiro fator de avaliação inclui os custo unitário e os níveis de serviço. O custo unitário refere-se ao custo de cada serviço de TI utilizado, por unidade consumida – tal como custo por chamada de suporte ou custo por transação eletrônica. Já os níveis de serviço – considerando componentes tais como disponibilidade, capacidade e tempo de resposta – são avaliados em relação aos investimentos feitos em TI. Ambas os fatores são primeiramente quantitativos, baseando-se em benchmarks, comparações ano a ano, na satisfação dos usuários e no cumprimento dos acordos de nível de serviço (WEILL e ROSS, 2004).

2. Administração de processos de negócio e TI:

Refere-se à conversão dos investimentos em TI em valor para os negócios, habilitando os processos de negócio. Nesse fator, o CIO tem a responsabilidade sobre as disciplinas de administração e implantação de sistemas, incluindo gestão de projetos, integração, migração, treinamento e segurança. Esses sistemas são, por sua vez, fundamentais na definição e como os processos de negócio – sob responsabilidade dos detentores de processos de negócio – são executados. Assim, o relacionamento entre a gestão de processos de negócio e a TI é simbiótico, não podendo ser separadamente avaliados (WEILL e ROSS, 2004).

Segundo Weill e Ross (2004), a avaliação da administração de processos de negócio e TI pode ser feita a partir de uma combinação entre medições qualitativas e quantitativas. Medições qualitativas podem incluir a opinião de gerentes e usuários de


55

processos de negócio, enquanto que as quantitativas podem incluir indicadores de desempenho de processos e de projetos, tais como porcentagem de orçamento gasto em contingência ou porcentagem de prazo ultrapassado por fase de projeto.

3. Liderança de negócios e trabalho em equipe

Esse fator refere-se à avaliação do CIO e de sua equipe através da liderança e do trabalho em grupo, agregar valor ao negócio. Sendo assim, consideram-se os seguintes critérios: (i) como o CIO influenciou a estratégia e auxiliou na agregação de valor; (ii) auxílio aos demais executivos na concepção e implantação de estratégias; (iii) identificação de oportunidades estratégicas e reconhecimento de sinergias potenciais na empresa.

A capacidade de liderança e de trabalho em equipe do CIO pode ser avaliada quantitativamente e qualitativamente. Os indicadores quantitativos consistem na avaliação de lucro gerado e valor estimado das ações, sendo também comuns a outros executivos, Já os indicadores qualitativos, que predominam na avaliação desse fator, incluem agilidade estratégica da empresa.

4.6 PORTFÓLIO DE TI

Para dar um aspecto de negócios aos investimentos em TI, muitas empresas acham útil gerenciar seus recursos e investimentos nessa área, caracterizando-os como um portfólio, assim como investidores individuais têm portfólios ou carteiras de investimentos financeiros. Esta abordagem permite que tomadores de decisão alinhem seus portfólios com a estratégia da empresa, balanceando riscos e retornos (WEILL e ROSS, 2004 p. 48).

A teoria de portfólios originou-se no setor de gerência de recursos financeiros. Em 1952, o economista Harry Markowitz, em um artigo intitulado “Portfolio Selection”, publicado no “Journal of Finance”, introduziu um novo modelo para gerenciar um conjunto de investimentos financeiros. Com este trabalho, o economista ganhou o prêmio Nobel, no ano de 1990. A concepção de gerenciamento estabelecida por Harry Markowitz incluía cálculos matemáticos para avaliar cada opção de investimento de forma consistente, considerando os retornos e os riscos associados (BENSON et al., 2004 p. 50).

Desde então, o conceito de portfólios tem sido aplicado em várias áreas de negócios.

De acordo com Turbull (1989, p.7), este conceito concentra-se na interdependência entre várias decisões gerenciais, enfatizando uma abordagem integrada para a gestão de várias frentes de negócio para se alcançar objetivos de longo prazo. Atualmente, a utilização de portfólio é considerada como sendo de


56

grande importância para obter disciplina na alocação de recursos – sempre limitados – das organizações, procurando-se obter uma combinação de operações de negócios que maximize os retornos em longo prazo e minimize o nível de risco associado a estas operações.

No contexto da TI, conforme mencionado anteriormente, um portfólio pode abordar um conjunto de investimentos, produtos, serviços ou projetos. Cada item do portfólio pode constituir um recurso, tal como um investimento, uma aplicação, um componente de infra-estrutura, um serviço ou projeto de TI ou uma atividade gerencial.

Gerenciar recursos de TI como um conjunto de portfólios é uma idéia que vem sendo amadurecida há mais de 30 anos. Esta idéia originou-se na década de 1970, com o trabalho de Warren McFarlan e outros pesquisadores (BENSON et al., 2004 p. 51). Desde então, a aplicação de conceitos de portfólio na área de TI tem se tornado cada vez mais importante. Em 1996, o congresso norte-americano aprovou uma a lei, denominada Clinger-Cohen Act, que força os tomadores de decisão do governo a tratarem os investimentos em TI como portfólios. Isto faz com que os tomadores de decisão tenham uma ampla visão da TI, considerando, entre outros aspectos, os riscos, os fatores tecnológicos, os retornos e a alocação de capital (KERSTEN e VERHOEF, 2003, p. 27).

Para Fernandes e Abreu (2006, p. 87), os objetivos do portfólio de TI são:

1. comunicar as prioridades de investimento de TI da empresa;

2. mostrar os riscos dos investimentos em TI;

3. eliminar a redundância nas iniciativas de TI;

4. otimizar recursos alocados;

5. monitorar as iniciativas de TI;

6. delimitar as mudanças prioritárias da empresa que são refletidas em TI;

7. ser o elo entre a estratégia, os objetivos do negócio e as iniciativas de TI.

De acordo com Broadbent e Kitzs (2005, p. 131), no coração das estratégias de TI estão a priorização e as decisões de investimento que uma organização deve tomar. Escolhas precisam ser feitas – constantemente – de modo coerente. Priorização, por sua vez, requer uma governança baseada no bom entendimento da organização e no balanceamento adequado entre múltiplos critérios de avaliação.

Conforme Lutchen (2004, p. 50), iniciativas de TI podem ser balanceadas de acordo com seis critérios:

1. longo ou curto prazo;

2. alto ou baixo risco;


57

3. abrangência alta ou baixa;

4. escopo local ou global;

5. alto ou baixo custo;

6. necessidade alta ou baixa.

Um portfólio de TI deve ser balanceado em relação a estes seis critérios quando forem selecionadas as iniciativas para a implementação.

A implementação somente de iniciativas seguras (baixo custo, baixo risco, curto prazo e localmente) coloca a organização em risco de estar em desvantagem em relação aos concorrentes. Por outro lado, implementar somente iniciativas de alto risco (alto custo, alto risco, longo prazo e de abrangência global) coloca a organização em risco de experimentar falhas catastróficas em relação à TI (LUTCHEN, 2004, p. 50).

Nesse sentido, para Lutchen (2004, p. 51), o desenvolvimento de um portfólio deve levar em consideração seis fatores fundamentais:

1. impacto financeiro - Quais são os custos e os benefícios de cada iniciativa?

2. risco - Quais são os riscos associados aos investimentos em cada iniciativa?

3. necessidade de recursos - Quais são as habilidades requeridas para executar cada iniciativa e quais são os gaps

20 entre as habilidades atuais e

as necessárias?

4. esforço interno - Qual a capacidade da organização em executar a iniciativa internamente, atendendo aos requisitos de qualidade estabelecidos?

5. esforço externo - Em que extensão a companhia deve considerar a terceirização de certas iniciativas do portfólio?

6. tempo - Qual o tempo necessário para a implantação de cada iniciativa?

Existem também, segundo Fernandes e Abreu (2006, p. 89), várias alternativas de classificação dos portfólios de TI, algumas delas utilizando mais a linguagem de TI e outras a linguagem de negócio.

Dentre essas alternativas de classificação, existe aquela proposta por Benson et

al. (2004, p.60), em que portfólio de TI é analisado a partir de duas perspectivas principais: de negócios e de TI.

Na perspectiva da TI (Tabela 6), o portfólio pode ser dividido em dois, sendo um que trata dos novos investimentos em TI e outro que trata dos investimentos em

20 Em TI, um gap significa uma lacuna entre competências e recursos de TI disponíveis e competências e recursos de TI necessários a uma organização, para que esta alcance seus objetivos.


58

recursos existentes e em uso pela organização. Tais investimentos, por sua vez, podem ser aplicados em aplicações, infra-estrutura, serviços e gestão.

Já na perspectiva de negócios (Tabela 7), são analisados os investimentos (atuais e existentes) que poderão ser aplicados em aplicações, infra-estrutura, serviços e gestão. Nesta análise, os investimentos são classificados em quatro categorias: estratégicos, fábrica, obrigatório e nova estratégia. Uma descrição das categorias utilizadas na perspectiva de negócio encontra-se na Tabela 8.

TABELA 6 O portfólio de TI, na perspectiva tecnológica (Adaptado de Benson et al., 2004, p. 60)

Aplicações Infra-estrutura Serviços Gestão

Portfólio atual Portfólio de aplicações

Portfólio de infra-estrutura

Portfólio de serviços Portfólio de gestão

Novos investimentos

Portfólio de desenvolvimento

de aplicações

Portfólio de desenvolvimento de infra-estrutura

Portfólio de desenvolvimento de

serviços

Portfólio de desenvolvimento

de gestão

TABELA 7 O portfólio de TI, na perspectiva de negócios (Adaptado de Benson et al., 2004, p. 60)

Estratégico Fábrica Obrigatório Novas estratégias

Investimento

Aplicações

Infra-estrutura

Serviços

Gestão

Aplicações

Infra-estrutura

Serviços

Gestão

Aplicações

Infra-estrutura

Serviços

Gestão

Aplicações

Infra-estrutura

Serviços

Gestão

TABELA 8 Descrição das categorias referentes à perspectiva de negócio (Adaptado de Benson et al., 2006, p. 61)

Categoria Descrição Justificativa Risco

Estratégico Investimentos com impacto direto na competitividade da organização

Desempenho, inovação, flexibilidade e ganho de

mercado

Alto

Fábrica Investimentos que mantêm a organização operando, mantendo a continuidade dos

negócios

Redução de custos, produtividade, redução de

tempo

Baixo

Obrigatórios Investimentos para atingir requisitos legais (compliance)

Nenhum ou os mesmos da categoria fábrica

Baixo

Nova estratégia

Investimentos que terão impacto no desempenho futuro da organização,

tipicamente em novos negócios e/ou novos produtos e serviços

Idem ao estratégico Alto


59

O resultado desejado deste esquema de classificação é permitir que a gerência determine a porcentagem relativa de recursos que será aplicada em cada categoria do portfólio, considerando-se as diversas categorias de investimento, as relações risco/retorno e o resultado da análise de critérios de inovação, priorização, alinhamento e desempenho (BENSON et al., 2004, p. 61).

Por fim, é importante destacar a importância da estratégia, do perfil e do contexto específico de cada organização ao classificar os investimentos em TI. Empresas com diferentes perfis e estratégias certamente terão diferentes classificações para os investimentos em aplicações, infra-estrutura, serviços e gestão. Sendo assim, deve-se tomar cuidado ao estabelecer um portfólio de TI em uma organização por meio da comparação com outras organizações. Uma organização cujo relacionamento com fornecedores é estratégico, possivelmente irá tratar um investimento referente à implantação de um sistema de gerenciamento de cadeia de suprimentos (SCM) como estratégico, ao passo que, para uma empresa que já possui este sistema, os investimentos na manutenção do SCM serão classificados como fábrica.

5 FERRAMENTAS PARA IMPLANTAÇÃO

DA GOVERNANÇA DE TI

5.1 APRESENTAÇÃO

Como abordado no início deste material, as organizações dependem cada vez mais da Tecnologia da Informação para conduzirem seus processos de negócio.

Neste contexto, aproveitar as funcionalidades da TI em benefício dos objetivos de negócio constitui uma necessidade fundamental para a prosperidade das organizações. Com isso, o primeiro passo para atender efetivamente a essa necessidade é a implementação de uma boa Governança de TI (BROADBENT e KITZIS (2005, p. 106)).

Para a implementação da governança de TI, o Instituto de Governança de TI (ITGI, 2005) define que, inicialmente, deve-se atuar na identificação das necessidades e na visualização da solução e, conseqüentemente, na planificação e na implementação da solução. Ainda, segundo o Instituto, é fundamental o estabelecimento de um plano que se adapte às necessidades e às circunstâncias especiais da organização.

Existem, atualmente, diversas ferramentas21 que auxiliam na implantação e na manutenção da governança de TI nas organizações, cada qual atuando em seu nível de profundidade e abrangência em relação à governança.

Uma breve descrição de algumas ferramentas que serão enfatizadas nesse material encontra-se na Tabela 9. Neste material, foram previamente separadas para apresentação as ferramentas seguintes, consideradas como de maior abrangência e destaque para a governança de TI: Control Objectives for Information and related

Technology (COBIT), Planejamento Estratégico de TI (PETI), Balanced Scorecard (BSC), IT Infrastructure Library (ITIL), Plan-Do-Check-Act (PDCA), Project

21 São utilizados diferentes nomes para referenciar as abordagens de melhores práticas e padrões aplicáveis à governança de TI. Para facilitar a referência a esses materiais, foi convencionado, neste trabalho o nome padrão “ferramentas”.

Ferramentas para Implantação da Governança de TI

61

Management Body of Knowledge (PMBOK) e Project IN Controled Environment (PRINCE2).

TABELA 9 Descrição das ferramentas aplicáveis à governança de TI (Adaptado de VANGREMBERGEN e DE HAES, 2007 p. 49)

Ferramenta Descrição Público-alvo

COBIT Estabelece objetivos de controle de TI para o uso no dia-a-dia das organizações

Gerentes, usuários e auditores de TI

ITIL

Fornecimento de uma abordagem orientada a processos para gerência de serviços de TI

Responsáveis pelo planejamento, gerência e execução de serviços de TI

PMBOK

Fornecimento de uma abordagem comum para a aplicação em gerência de projetos

Pessoas responsáveis pelas diversas atividades referentes à gerência e execução de projetos

PRINCE2

Definição de uma metodologia para gerência de projetos

Pessoas responsáveis pelas diversas atividades referentes à gerência e execução de projetos

PDCA Estabelecimento de uma abordagem para a melhoria contínua de processos

Responsáveis por processos

Planejamento estratégico de TI (PETI)

Abordagem direcionada a alinhar a tecnologia da informação aos objetivos de negócio de uma organização

Diretores de organizações e departamentos

Gestores de departamentos de TI, alta gerência

VALIT

Conjunto de processos e práticas destinado a dar suporte a investimentos e obtenção de valor pela TI

Alta direção, executivos e gestores de departamentos e áreas de negócio

ISO/IEC 38500

Padrão que fornece para a governança de TI por meio framework contendo princípios e modelo para avaliação, direcionamento e monitoramento do uso da tecnologia da informação nas organizações

Alta direção e executivos de negócio

As seções seguintes irão abordar algumas das principais ferramentas e práticas gerenciais aplicáveis à governança de TI. Além dos conceitos e estruturas básicas, as seções que tratam do Balanced Scorecard, COBIT, ITIL, PRINCE2,PMBOK e VALIT contêm tópicos que trazem referências para informações adicionais. Já para os tópicos referentes ao planejamento estratégico de TI e PDCA, informações adicionais podem ser obtidas nos materiais citados nos respectivos tópicos.


62

5.2 PLANEJAMENTO ESTRATÉGICO DE TI

A TI, como as demais áreas da empresa, demanda recursos e esforços que exigem um planejamento prévio de todas as suas ações. A principal peça deste planejamento é o Planejamento Estratégico de Tecnologia da Informação (PETI) (FOINA, 2006, P. 23).

O planejamento estratégico de TI, ou PETI, é fundamental e necessário para direcionar e gerenciar todos os recursos de TI, como pessoas, aplicações, informação e infra-estrutura, em linha com as prioridades e as estratégias de negócio (ITGI, 2005), tendo impacto direto na implantação da governança de TI nas organizações. Nesse sentido, o PETI pode contribuir na operacionalização dos fundamentos da governança de TI, por meio da organização e priorização de estratégias de negócio e, conseqüentemente, das estratégias de TI. Além disso, o planejamento estratégico de TI pode trabalhar de forma articulada com conjuntos de melhores práticas para a governança de TI (tais como o COBIT, ITIL, PMBOK e PRINCE2, que serão abordados em seções posteriores deste material), de modo a definir planos estratégicos e táticos para a TI que sejam capazes de concretizar os objetivos de negócio da organização.

Segundo Rezende e Abreu (2002, p. 43), o PETI é um processo dinâmico e interativo para estruturar estratégica, tática e operacionalmente (i) as informações organizacionais, (ii) a TI, (ii) os sistemas de informação, (iv) as pessoas envolvidas e (v) a infra-estrutura necessária para o atendimento de todas as decisões, ações e respectivos processos da organização.

Esse caráter dinâmico do planejamento estratégico de TI deve-se ao fato de o desenvolvimento das estratégias de TI serem desenvolvidas em ambientes instáveis. Sendo assim, estas estratégias devem ser constantemente ajustadas para refletirem novas condições de negócios e de mercado, bem como questões referentes à evolução de tecnologias (LUTCHEN, 2004, p. 40).

5.2.1 Etapas para o planejamento estratégico de TI

Conforme Lutchen (2004, p. 40), seis passos podem ser utilizados no processo de desenvolvimento de estratégias de TI, os quais estão descritos na Figura 7.

Entendimento das estratégias de negócio

O planejamento estratégico de TI inicia-se com o entendimento das estratégias de negócio. Antes de se fazer quaisquer investimentos em TI, deve-se ter uma visão clara de onde se quer chegar, em termos de negócios. Por meio deste entendimento, é possível estabelecer estratégias de TI alinhadas às estratégias de negócio da organização.


63

De modo geral, o escopo dos negócios de uma organização pode ser relacionado aos seguintes atributos:

1. negócio: é o entendimento do principal benefício esperado pelo cliente. Como exemplo de negócio, podemos citar a Marcopolo (empresa que atua na fabricação de veículos de transporte coletivo), que define seu negócio como sendo “Soluções e serviços para transporte coletivo”;

2. visão: consiste na explicação do que se visualiza para a empresa (VASCONCELOS FILHO e PAGNOCELLI, 2001 p. 31). Como exemplo, podemos citar a visão da Xerox: “Ser a líder no mercado global de

documentos, provendo soluções que aumentem a produtividade dos

negócios”;

3. missão: consiste na razão de ser da empresa no seu negócio (VASCONCELOS FILHO e PAGNOCELLI, 2001 p. 31). Como exemplo22, veja a missão da 3M, que é: “Solucionar problemas não solucionados de

maneira inovadora”;

22 Para obter mais exemplos de negócios, missão, visão e princípios de organizações, consulte: VASCONCELOS FILHO, Paulo, PAGNOCELLI, Dernizo. Construindo estratégias para vencer. Rio de Janeiro. Elsevier Editora, 2001.


64

FIGURA 7 Visão geral do processo de planejamento estratégico de TI (Adaptado de LUTCHEN, 2004, p. 41).

1. princípios: constituem os balizamentos para o processo decisório e o comportamento da empresa no cumprimento de sua missão (VASCONCELOS FILHO e PAGNOCELLI, 2001 p. 31). Por exemplo, a empresa McDonald’s que estabelece os seguintes princípios: “Qualidade,

Serviço, Limpeza, Valor”;

2. ambiente: variáveis competitivas que afetam o desempenho dos negócios da empresa;

3. objetivos estratégicos: descrevem as ambições de longo prazo da organização, para que a visão estabelecida seja concretizada;

4. estratégia competitiva: é o que a empresa decide fazer ou não fazer, levando em consideração as variáveis ambientais, para concretizar a visão


65

e atingir os objetivos, respeitando os princípios e visando cumprir a missão dentro do negócio (VASCONCELOS FILHO e PAGNOCELLI, 2001 p. 31).

Atualmente, é cada vez mais freqüente que as organizações desenvolvam simultaneamente as estratégias de negócios e de TI. Por esse motivo, nesse processo, o objetivo é efetuar constantes reavaliações e reformulações da estratégia organizacional e das estratégias de TI.

Tanto as estratégias organizacionais como as estratégias de TI são transformadas em planos e carteiras de projetos que guiarão a implementação do plano estratégico na organização (AMARAL e VARAJÃO apud GARCIA, 2005 p. 44; LUTCHEN, 2004 p. 43), como mostrado na Figura 8.

No desenvolvimento das estratégias de TI integradas com a estratégia organizacional, o planejamento estratégico de TI deixa de ser visto como um processo de suporte e passa a ser considerado um processo integrante, ou mesmo central, na formulação das estratégias de negócio da empresa. O PETI, com sua carteira de projetos é, portanto, o resultado de constantes reavaliações e reformulações da estratégia organizacional, da estratégia de TI, das estruturas organizacionais e das diversas arquiteturas da organização (GARCIA, 2005 p. 44).

FIGURA 8 Visão integrada de estratégias de negócio e de TI (Adaptado de GARCIA, 2005 p. 44).


66

No contexto das organizações, as estratégias correspondem à capacidade de se trabalhar, de forma contínua e sistemática, o ajuste da organização às condições ambientais em mutação, tendo em mente a visão de futuro e a perpetuidade da organização (SILVEIRA e VIVACQUA apud GARCIA, 2005 p. 16). As estratégias de negócio, então, buscam responder à seguinte questão: “Qual é o futuro da organização?” Para tanto, é preciso saber o que se quer obter a partir dos negócios e o como a TI pode auxiliar no alcance destes objetivos (LUTCHEN, 2004 p. 43).

Esta integração parte do pressuposto de que, no atual ambiente de negócio – em que a tecnologia está cada vez mais relacionada aos processos de negócio, a TI deve ser parte integral e inseparável das estratégias de negócio.

Definição da visão de TI

Na medida em que os planos estratégicos de negócio vão surgindo, deve-se trabalhar, simultaneamente, a construção do plano estratégico de TI. Planos de negócio, na maioria das vezes, não são construídos tendo em vista fatores referentes à TI. Sendo assim, parte do planejamento estratégico de TI refere-se à criação de uma visão que habilite a organização a desenvolver um ambiente tecnológico que proporcione a implementação das estratégias de negócio, mesmo que estas últimas não contemplem componentes tecnológicos (LUTCHEN, 2004 p. 46).

A Figura 9 ilustra um exemplo de posicionamento dos objetivos de TI em relação aos respectivos valores estratégicos e atratividade financeira, que medem o retorno esperado dos objetivos de TI. Neste posicionamento, são executadas análises de custos, identificação de oportunidades para investimentos adequados em TI e estabelecimento de prioridades com base nos negócios da organização e considerando os riscos e retornos da cada objetivo.


67

FIGURA 9 Exemplo de matriz de análise de atratividade de objetivos de TI (Adaptado de LUTCHEN, 2004 p. 47)

A criação de uma visão de TI que atenda aos objetivos estratégicos da organização possibilita aos líderes de unidades de negócio ter visões pragmáticas, detalhadas e dinâmicas das principais iniciativas de TI, que se encontram diretamente integradas aos planos de negócio e constituem um fator significativo que habilita o alcance das estratégias de negócio (LUTCHEN, 2004 p. 48).

É importante ressaltar, ainda, que, mesmo que a organização não tenha um plano de negócio, ou plano estratégico organizacional atualizado, pode-se criar um plano estratégico para a TI. No entanto, neste caso, será necessário executar as atividades de entendimento das estratégias de negócio, a fim de recolher informações atualizadas sobre as estratégias da empresa, que serão utilizadas como entrada para o PETI.

Análise da capacidade da TI

A análise de capacidade é responsável pela avaliação de desempenho e capacidade da TI na organização. Para isso são realizadas as seguintes etapas: (1) entendimento da organização (análise do negócio, estrutura organizacional, processos de negócio, aplicações de TI e arquitetura técnica); (2) identificação dos processos críticos de TI e (3) avaliação de maturidade da TI.


68

1. Entendimentos da organização - para o entendimento da organização são analisados os itens a seguir:

• análise do negócio: análise do portfólio de produtos e de serviços oferecidos pela organização (verificação de importância, perspectivas de crescimento e retorno). Dependências, parcerias ou alianças com outras organizações. Análise da indústria: verificação do mercado, principais competidores e produtos, distinção em termos de tamanho de mercado e ritmo de mudança. Entendimento da história da organização (mudanças são mais bem realizadas quando estiverem de acordo com o histórico da organização), verificação de principais mudanças no passado e como se sucederam. Verificação de tendência política, econômica, social e tecnológica (PEST). Verificação de como a TI pode ajudar a organização a criar barreiras de mercado e fortalecer o seu posicionamento competitivo;

• estrutura organizacional: análise da estrutura da organização, objetivos dos departamentos ou das divisões de negócio, dos recursos humanos, dos recursos de TI e da cultura organizacional. Relação de cooperação entre as unidades externas de negócio da organização. Identificação de competências-chave (as demais atividades não relacionadas às competências-chave podem ser candidatas à terceirização);

• processos de negócio: análise da relação entre processos de negócio e de TI, número de participantes envolvidos, disponibilidade ou suporte de recursos de TI para os processos, atividades envolvidas, informação de saída e entrada.

• aplicações de TI: identificação de limitações dos sistemas de informação existentes, custo das aplicações de TI (licenciamento, etc.), escopo e limite dos processos de negócio suportados pela aplicação e interface entre essas aplicações. Análise do portfólio de aplicações em desenvolvimento e priorização de aplicações.

• arquitetura técnica: verificação da infra-estrutura atual de TI, sistema operacional, banco de dados, rede e recursos de hardware relacionados;


69

2. identificação dos processos críticos de TI: com base nos objetivos estratégicos de negócio e de TI (realizados na fase 1) e no entendimento da organização obtido por meio da etapa anterior, são realizadas as atividades de identificação e priorização dos processos críticos de TI.

Para a realização dessas atividades são utilizados os objetivos estratégicos de negócio e de TI que servem para a identificação de novos processos críticos de TI, além dos processos que já foram identificados nas avaliações anteriores;

3. Avaliação de maturidade da TI: nesta etapa, os processos críticos identificados e priorizados na etapa anterior têm sua maturidade avaliada por meio do modelo de maturidade em governança de TI definido pelo COBIT. O resultado da avaliação de maturidade da TI é comparado com os níveis médios e desejados de mercado e é uma atividade potencial para a identificação dos gaps existentes na TI.

Definição das iniciativas estratégicas de TI e análise de portfólio

Esta atividade tem como objetivo produzir uma descrição das iniciativas de TI que podem direcionar a organização para o alcance dos objetivos e das estratégias de negócio (LUTCHEN, 2004 p. 48).

No entanto, conforme descrito na seção 2.4, no coração das estratégias de TI estão a priorização e as decisões de investimento que uma organização deve tomar. Escolhas precisam ser feitas – constantemente – de modo coerente. Priorização, por sua vez, requer uma governança baseada no bom entendimento da organização e no balanceamento adequado entre múltiplos critérios de avaliação.

Sendo assim, de acordo com Lutchen (2004, p. 48), as iniciativas de TI devem ser classificadas, tanto em ordem de importância como em ordem técnica. A primeira depende fortemente da honestidade da alta direção e de líderes de negócios, enquanto a segunda relaciona-se às habilidades e aos conhecimentos relacionados à organização de TI.

Além da análise dos objetivos de TI, que levam em consideração o risco e a atratividade financeira (descrita na Figura 9), outros níveis de análise podem ser feitos antes de se tomar decisões referentes a quais iniciativas serão incluídas no plano estratégico de TI. Dois outros critérios que podem ser utilizados para avaliar as iniciativas mais adequadas aos objetivos da organização são mostrados nas Figuras 11 e 12.

Na Figura 10 estão ilustrados os estágios de suporte da TI às iniciativas de negócio. De acordo com Lutchen (2004, p. 50), é importante entender em qual estágio as iniciativas de TI se situam no presente e onde a organização pretende que as iniciativas se situem no futuro. Isso ajuda a determinar quais riscos necessitam ser tratado no portfólio de iniciativas.


70

FIGURA 10 Estágios de suporte da TI (Adaptado de LUTCHEN p. 51)

O portfólio de iniciativas pode ainda ser mapeado utilizando-se a matriz exposta na Figura 11. Esta matriz tem o intuito de analisar o impacto interno provocado pela TI, relacionando os diversos níveis de mudanças tecnológicas às habilidades de uma organização. De acordo com a Figura, as iniciativas podem ser avaliadas levando-se em consideração as mudanças nas habilidades da organização em relação a estas iniciativas (que podem ir, desde a ausência de mudanças até a criação de novas habilidades proporcionadas, por inovações) e as mudanças tecnológicas provocadas (que vão desde a ausência de mudanças até a criação de novas tecnologias).


71

FIGURA 11 Exemplo de matriz de análise de impacto interno de tecnologias (Adaptado de LUTCHEN, 2004 p. 52)

A análise das iniciativas e portfólio de TI deve levar em consideração os benefícios totais que podem ser obtidos a partir dos custos totais correspondentes a cada iniciativa. Ao avaliar cada iniciativa, fatores tais como concorrência, prognóstico de benefícios, requisitos regulatórios, prognósticos do planejamento, potencial tecnológico, confiabilidade operacional e posicionamento tecnológico precisam ser considerados.

Preparação do plano estratégico de TI

Uma vez estabelecidas as iniciativas de TI, é necessária a construção de um plano que estabeleça regras para implementação e métricas de avaliação. As iniciativas, que constituem parte do planejamento estratégico de TI, são, então, finalizadas de acordo com as suas respectivas importâncias, riscos, custos e possibilidade de alcance.

Desenvolver um plano estratégico de TI não consiste em uma atividade pontual e estática, mas sim um exercício dinâmico e ativo. As estratégias de tecnologia da informação precisam ser atualizadas com freqüência, sendo necessária a revisão do plano estratégico de TI pelo menos na mesma freqüência em que são revisados os planos de negócio (LUTCHEN, 2004, p. 55).


72

Atualmente, a única constante nas organizações é a mudança. Sendo assim, estratégias de TI, enxuta e focada na habilidade da organização agregar valor aos negócios, são mais importantes do que estratégias que estabelecem que “X” será realizado em dois anos e “Y” será realizado em três anos, sem abordar a volatilidade dos ambientes de negócio e de tecnologia. Por melhores que sejam os planos, freqüentemente, as forças do mercado surpreendem as organizações e tomam conta da situação, ditando mudanças nas prioridades estratégicas de TI. Por este motivo, atualmente, o melhor caminho para se planejar a TI é planejar para as mudanças. Deve-se buscar pensar estrategicamente e possuir uma organização de TI que seja flexível para acomodar estas forças que não podem ser previstas facilmente (LUTCHEN, 2004, p. 55).

5.3 BALANCED SCORECARD (BSC)

Gerenciar as organizações modernas em meio a um ambiente competitivo e complexo não é uma tarefa trivial. Executivos precisam de indicadores sobre vários aspectos do ambiente e do desempenho organizacional, sem os quais é possível manter o rumo da excelência empresarial (KAPLAN e NORTON, 1997 p.2).

O Balanced Scorecard (BSC) surgiu por meio de uma pesquisa do Nolan Norton

Institute, liderada por David Norton e com a consultoria acadêmica de Robert Kaplan. Este estudo, que se baseou em vários casos de sistemas inovadores de medição de desempenho, resultou em um sistema multidimensional, chamado de Balanced

Scorecard. O BSC é organizado por quatro perspectivas23, por onde são distribuídas a visão e as estratégias de uma organização: (i) financeira, (ii) clientes, (iii) processos internos e (iv) aprendizado e crescimento, refletindo, desse modo, um balanço entre objetivos de curto e longo prazo, medidas financeiras e não financeiras, indicadores de resultado e de desempenho e entre as perspectivas internas e externas de desempenho organizacional. Na Figura 12 estão ilustradas estas quatro perspectivas e a distribuição da estratégia de uma organização ao longo dessas perspectivas. A visão e a estratégia são, então, traduzidas nas quatro perspectivas na forma de objetivos, indicadores, metas e iniciativas.

Desde os primeiros resultados, publicados em um artigo na Harvard Business

Review, na edição de janeiro-fevereiro de 1992, a aplicação do Balanced Scorecard vem sendo aprimorada. Ao longo do tempo, o BSC passou a ser visto como um

23 Segundo Kaplan e Norton (2006, p. 422), as quatro perspectivas do Balanced Scorecard têm se

mostrado robustas em uma variedade de organizações e em um grande número de mercados. No entanto, estas quatro perspectivas devem ser vistas como um modelo ou exemplo e não como uma “camisa de força” para a organização. Não há uma regra que estabeleça que as quatro perspectivas sejam suficientes, dependendo da situação específica de cada organização, a utilização de um número maior (cinco, por exemplo) ou menor (três, por exemplo) de perspectivas pode ser necessária.


73

instrumento de alinhamento e desdobramento da estratégia de uma organização, passando de uma sistemática de medição de indicadores para um sistema de gestão estratégica, que também poderia ser aplicado como um instrumento de comunicação das estratégias das organizações. Atualmente, o uso do BSC tornou-se bastante difundido no mercado (VAN GREMBERGEN e DE HAES, 2005 p.1), incluindo variações específicas para a própria área de TI (KEYES, 2005), sendo utilizado por milhares de corporações e agências governamentais em todo o mundo24. É apontado pela Harvard Business Review como uma das idéias mais importantes dos últimos 75 anos.

FIGURA 12 Balanced Scorecard: visão geral (Adaptado de KAPLAN e NORTON, 1997, p. 10).

A definição de um Balanced Scorecard que traduza a estratégia em medidas passa pela definição de três princípios: relações de causa e efeito, vetores de desempenho, relação com os fatores financeiros. Tais princípios permitem a integração do BSC de uma organização a sua estratégia (KAPLAN e NORTON, 1997 p. 155). A seguir, serão apresentados estes três princípios.

24 Para obter informações sobre casos de sucesso na adoção do BSC, consulte o site “Balanced

Scorecard Hall of Fame for Executing Strategy”, disponível no endereço: http://bscol.com/bscol/hof/.


74

Relações de causa e efeito

Segundo Kaplan e Norton (1997, p. 30), estratégia é um conjunto de hipóteses sobre causa e efeito. Nesse sentido, um sistema de medição deve tornar explícitas as relações (hipóteses) entre os objetivos (e as medidas) nas várias perspectivas. Tais relações, aplicadas às quatro perspectivas, permitem a visualização da estratégia da empresa de forma que os executivos entendam, além de permitir o alinhamento e comunicação efetiva da estratégia e de seus desdobramentos por toda a empresa (KAPLAN e NORTON, 1997, p. 30).

Na Figura 13 é apresentado um exemplo de como estas relações de causa e efeito podem ser estabelecidos por meio do Balanced Scorecard. É importante ressaltar que toda medida selecionada para um BSC deve ser um elemento integrante da cadeia de relações de causa e efeito.

Neste exemplo, o retorno sobre capital empregado é estabelecido como uma medida no scorecard referente à perspectiva financeira. O vetor desta medida pode ser a ampliação das vendas aos clientes, resultado de um maior grau de lealdade (estabelecido na perspectiva do cliente) por parte destes. A lealdade de clientes, por sua vez, poderia ser alavancada pela entrega pontual de pedidos. Sendo assim, tanto a lealdade de clientes como a pontualidade das entregas – incorporada na perspectiva de clientes – proporcionariam maior retorno sobre o capital empregado.

Em seguida, deve-se estabelecer em quais processos a organização deverá alcançar a excelência para se destacar na pontualidade de entregas. Nesse sentido, Kaplan e Norton (1997, p.31) destacam a redução de ciclos de processos operacionais e o aumento da qualidade dos processos internos. Estes objetivos, por sua vez, poderão ser alcançados por meio do treinamento e da melhoria da capacitação de funcionários operacionais (perspectiva de aprendizado e crescimento).


75

FIGURA 13 Exemplo de relação de causa e efeito (Adaptado de KAPLAN e NORTON, 1997 p. 31)

Vetores de desempenho

Um bom Balanced Scorecard deve conter uma combinação de medidas de resultados e vetores de desempenho (KAPLAN e NORTON, 1997, p.32; VAN GRAMBERGEN, 2000 p. 1). Nesta relação, as medidas de resultados, que podem ser representadas por lucratividade, participação no mercado ou produtividade de funcionários, necessitam de vetores de desempenho, tais como número de peças com defeito, tempos de ciclo, para indicarem como os resultados serão alcançados (ITGI, 2005 p.3; VAN GREMBERGEN, 2000 p.1; KAPLAN e NORTON, 1997 p.156).

A combinação adequada entre medidas de resultado e vetores de desempenho é um aspecto importante para o estabelecimento de um bom Balanced Scorecard. De acordo com Kaplan e Norton (1997, p.156), as medidas de resultados sem os vetores de desempenho não comunicam a maneira como os resultados devem ser alcançados, além de não indicarem antecipadamente se a implementação da estratégia está sendo bem-sucedida ou não. Por outro lado, vetores de desempenho sem medidas de resultados permitem que as unidades de negócio obtenham


76

melhorias operacionais em curto prazo, mas não revelarão se estas melhorias foram traduzidas em expansão dos negócios.

Relação com fatores financeiros

Segundo Kaplan e Norton (1997, p. 157), o BCS deve enfatizar fortemente os resultados, principalmente os financeiros, como o retorno sobre capital investido ou valor econômico agregado.

Programas de melhoria, como gestão de qualidade total, reengenharia de processos ou redução de tempo de ciclo devem estar associados a metas específicas no sentido de melhorar o desempenho da organização para o cliente e, conseqüentemente, o desempenho financeiro (KAPLAN e NORTON, 1997 p. 157).

5.3.1 Balanced Scorecard e governança de TI

Balaced Scorecards desenvolvidos especialmente para a área de TI surgiram na metade da década de 1990. Desde então, a aplicação do BSC tem evoluído, em termos de complexidade, estrutura e conteúdo ao longo das últimas duas décadas (CRAM, 2007 p. 33).

De acordo com Cram (2007, p. 33), os avanços na utilização do BSC em TI podem ser caracterizados em três estágios.

O primeiro estágio consiste na introdução, caracterizado por conceitos introdutórios a respeito do BSC na área de TI. Nesta etapa – caracterizada pela falta de dados que relatavam experiências que associavam, na prática, BSC e TI, os trabalhos se concentravam nas perspectivas originais propostas por Kaplan e Norton e no desafio de mostrar os benefícios potenciais que esta ferramenta poderia trazer à área de TI.

A segunda etapa corresponde ao refinamento. Na medida em que a experiência com a aplicação do BSC a TI aumentava, profissionais e acadêmicos iniciaram um processo de refinamento da ferramenta, baseando-se nas idéias de integração entre tecnologia e negócios. Com o aumento de conhecimentos acumulados, houve um direcionamento para abordagens mais sofisticadas do método, incluindo alterações nas perspectivas e nas medições tradicionais, propostas por Kaplan e Norton.

Na terceira etapa, o conteúdo do BSC torna-se específico, tratando individualmente cada componente que envolve a TI nas organizações (governança e I, acordos de níveis de serviços25, ERPs, auditoria em TI, gestão do conhecimento, etc.).

25 Um exemplo de aplicação do Balanced Scorecard em processos de gerência de níveis de serviços pode ser encontrado em: VAN GREMBERGEN, Wim; DE HAES, Steven, AMELINCKX, Isabelle. Using COBIT and the Balanced Scorecard as Instruments for Service Level Management. Information Systems Control journal, v. 4, 2003. Disponível em: <http://www.isaca.org>


77

Estas três etapas de evolução da aplicação do BSC em tecnologia da informação estão ilustradas na Figura 14.

FIGURA 14 Evolução do BSC na TI (Adaptado de CRAM, 2007 p. 34)

Ainda segundo Cram (2007, p. 33), existem atualmente, três direcionadores principais que motivam a aplicação do BSC em TI. Estes direcionadores são:

1. demonstração de valor obtido a partir da TI: com a utilização do BSC é possível reportar um conjunto amplo de métricas que possibilitam quantificar o valor da TI para os diversos envolvidos;

2. corte de custos e eficiência: o BSC trata esta questão por meio da integração de perspectivas relacionadas à eficiência da TI – como, por exemplo, tempo de resposta – e contribuição efetiva aos objetivos da organização – como, por exemplo, redução de custos de manutenção de hardware;

3. governança de TI: medição de desempenho consiste em um dos fatores fundamentais em governança de TI. Nesse sentido, a utilização do BSC é reconhecida como um importante aspecto para as organizações gerenciarem a implantação de estratégias e projetos, o desempenho de processos e a entrega de serviços.


78

O Balanced Scorecard pode ser customizado especialmente para tratar a governança de TI. De acordo com Pearlson e Saunders; Symons (apud BROWN, 2006 p. 150), o BSC tem provado ser uma ferramenta eficiente nesta área, podendo constituir um sistema sofisticado capaz de possibilitar a fusão entre a TI e os negócios, além de ser um meio eficaz para comunicar e reportar à alta direção o valor obtido a partir da TI. Combinar as práticas do BSC com um processo adequado de gerência de portfólio de TI – capaz de maximizar o retorno dos projetos de TI – cria uma base sólida para a governança de TI nas organizações (ITGI, 2005 p. 5).

Segundo Van Grembergen e De Haes (2007 p. 53), o BSC atua como uma ferramenta de grande importância no processo de implantação da governança de TI, permitindo uma avaliação da situação atual da implementação e o estabelecimento do que deve ser melhorado.

Na Figura 15 é apresentado um exemplo de adaptação do BSC para a TI com enfoque em quatro perspectivas: contribuição à organização, envolvidos (stakeholders), excelência operacional e futura, conforme definiram Van Grembergen e De Haes (2005, p. 2). Com esse BSC, CIOs, executivos de negócio e membros da alta direção podem ter uma visão do atual estado do processo de governança de TI e como este pode ser melhorado.

FIGURA 15 BSC aplicado à governança de TI e suas relações de causa e efeito (Adaptado de GREMBERGEN e DE HAES, 2005 p. 3).


79

De acordo com Van Grembergen e De Haes (2005, p. 3), o objetivo principal do desenvolvimento e da implantação de processos de governança de TI é fundir a TI aos negócios, de modo que se possam obter melhores resultados financeiros a partir desta. Sendo assim, é importante – e lógico – que o BSC aplicado à governança de TI inicie pela perspectiva de contribuição à organização. As demais perspectivas, por sua vez, possuem uma relação causal com a perspectiva de contribuição à organização e, entre elas, relações de causa e efeito. Estas relações de causa e efeito, no âmbito da governança de TI, podem ser expressas por meio do seguinte exemplo: educar a organização em relação à governança de TI (perspectiva de orientação futura) pode melhorar o nível dos planos de TI (excelência operacional) que, por sua vez, melhora a satisfação dos envolvidos (na perspectiva dos envolvidos (stakeholders)) e tem impacto positivo no alinhamento estratégico dos principais projetos de TI (perspectiva de contribuição à organização).

Juntamente com os objetivos (medidas de resultado) e as perspectivas, Van Grembergen e De Haes (2005, p. 3) propuseram um conjunto de métricas (vetores de desempenho). De acordo com estes autores, as métricas que se relacionam aos principais elementos da governança de TI podem ser encontradas nas perspectivas de excelência operacional e orientação futura.

A dimensão de contribuição à organização avalia o desempenho do processo de governança de TI. Um balanced scorecard adequadamente implantado deve proporcionar vantagens ao negócio da organização e, ao mesmo tempo, diminuir os riscos relacionados à TI. Algumas das métricas para a perspectiva de contribuição à organização estão ilustradas na tabela 10.

TABELA 10 Objetivos e métricas para a perspectiva de contribuição à organização (Adaptado de VAN GREMBERGEN e DE HAES, 2005 p. 2)

Perspectiva de contribuição à organização

Missão Maximizar os benefícios e diminuir os riscos em TI.

Objetivos Métricas.

Alinhamento estratégico

Desempenho medido da governança

Alinhamento estratégico dos principais projetos de TI

Porcentagem de objetivos de negócio suportados por objetivos de TI.

Entrega de valor

Gerência de desempenho das unidades de negócio

Valor aos negócios de projetos de TI

Retornos sobre os investimentos em TI.

Gestão de riscos

Número de iniciativas de segurança da informação implementada

Cobertura de planos de recuperação de desastres

Número de auditorias em TI executadas e deficiências reportadas.


80

Na perspectiva dos envolvidos (stakeholders), o processo de governança de TI é avaliado de acordo com a visão dos CIOs, gerentes de TI, CEOs, alta direção e usuários. Os objetivos e as métricas aplicáveis a esta perspectiva estão relacionados na Tabela 11.

TABELA 11 Objetivos e métricas para a perspectiva de stakeholders (Adaptado de VAN GREMBERGEN e DE HAES, 2005 p. 4).

Perspectiva de envolvidos (stakeholders)

Missão Medir a satisfação dos envolvidos (stakeholders). Objetivos Métricas.

Satisfação de envolvidos (stakeholders)

Verificação de satisfação por período de tempo Número de reclamações Índice de disponibilidade de sistemas e aplicações.

Gestão de necessidades de envolvidos (stakeholders)

Número de reuniões com envolvidos (stakeholders) Comunicação transparente com CEOs e alta direção Índice de envolvimento de CEOs e alta direção em grandes iniciativas de TI Número de projetos de TI subsidiados por acordos de níveis de serviço (SLA).

Conformidade legal e ética Aderência da TI à Sarbanes-Oxley Aderência da TI às regulamentações de privacidade de dados Aderência da TI a códigos de ética e de conduta.

A perspectiva de excelência operacional identifica as práticas fundamentais de governança de TI – estruturas e processos – a serem implementadas e suas respectivas métricas. De acordo com Van Grembergen e De Haes (2005, p. 4), as estruturas se referem à definição de responsabilidades e os processos à tomada de decisão e monitoramento. Na Tabela 12 encontram-se os objetivos e as métricas relacionados a esta perspectiva.

TABELA 12 Objetivos e métricas para a perspectiva de excelência operacional (Adaptado de VAN GREMBERGEN e DE HAES, 2005 p. 4)


Missão Assegurar uma governança de TI efetiva e sustentável.


Medições de estrutura da governança

Composição do comitê de TI Participação total dos comitês de TI Posicionamento de CIOs na alta direção ou como membro executivo.

Medição de processos de governança

Nível dos planejamentos estratégicos de TI e de negócios Número de horas gasta com questões referentes a estratégias de negócio e de TI Número de processos de TI avaliados; Número de processos de TI subsidiados pelo COBIT Número de processos de TI subsidiados por ITIL Nível de maturidade de processos de TI Porcentagem de objetivos de TI suportados por processos de TI.

Medições de maturidade da governança

Nível total de maturidade do processo de governança de TI.


81

Na perspectiva de orientação futura do modelo proposto por Van Grembergen e De Haes (2005) são abordados os aspectos referentes a habilidades e conhecimentos e integração entre a TI e negócios. Os objetivos e as métricas aplicáveis à perspectiva de orientação futura, de acordo com o modelo proposto por Van Gremberegen e De Haes (2005), encontram-se na Tabela 13.

TABELA 13 Objetivos e métricas para a perspectiva de orientação futura (Adaptado de VAN GREMBERGEN e DE HAES, 2005 p. 6)


Missão Assegurar uma governança de TI efetiva e sustentável.


Habilidades e conhecimentos

Número e nível de sessões de treinamento referentes à integração negócio/TI

Número de sessões de treinamentos que abordam a governança de TI como um todo

Nível e uso dos sistemas de gestão do conhecimento.

Integração entre TI e negócios

Porcentagem de iteração entre a alta gerência e a TI

Porcentagem de iteração entre gerentes de negócio e a TI

Nível de percepção, por parte dos negócios, do valor agregado pela TI.

5.3.2 Informações adicionais

Para obter informações adicionais sobre o Balanced Scorecard acesse o site do BalancedScorecard Institute, disponível no endereço http://www.balancedscorecard.org/.

5.4 COBIT

O COBIT, considerado como sendo o framework mais completo para Governança de TI, representa uma coleção de documentos que podem ser classificados como melhores práticas para governança de TI, controle e segurança (ITGI, 2005). Desenvolvido pelo Information Systems Audit and Control Association (ISACA, antiga ISACF) e mantido atualmente pelo IT Governance Institute (ITGI), sua missão é pesquisar, desenvolver, publicar e promover um conjunto de objetivos de controle para a tecnologia da informação. Concebido no início da década de 1990, atualmente, o COBIT encontra-se na versão 4.1, disponibilizada pela ISACA no ano de 2007.

Para ser bem sucedido em atividades de entrega de serviços e produtos que satisfaçam aos requisitos de negócio, é importante que as organizações tenham sistemas de controle interno (ITGI, 2007). As práticas estabelecidas pelo COBIT possuem foco mais acentuado no controle do que na execução e, segundo o ITGI


82

(2007), têm como objetivo contribuir para o sucesso da entrega de produtos e serviços de TI, a partir de uma perspectiva das necessidades de negócio. Sendo assim, os principais objetivos do COBIT são:

1. estabelecer um relacionamento com os requisitos de negócio;

2. organizar as atividades de TI em um modelo genérico de processos;

3. identificar os principais recursos de TI que devem receber mais investimentos;

4. definir os objetivos de controle que devem ser considerados para a TI nas organizações.

A orientação aos negócios estabelecida pelo COBIT consiste em ligar objetivo e negócio aos objetivos de TI, no fornecimento de métricas e modelos de maturidade e na identificação de responsabilidades associadas aos negócios e processos de TI.

O modelo do COBIT é bastante genérico para fornecer às organizações uma visão de toda a TI, criando uma ponte entre o que se deve executar em termos operacionais e o que a alta direção deseja ter para “governar” (ITGI, 2007 p. 5).

5.4.1 Estrutura do modelo

O COBIT foi criado para atender às necessidades de controle das organizações no que diz respeito à governança de TI.

Para isso, as suas principais características são: (i) foco nas necessidades de negócio; (ii) orientação a processos; (iii) utilização de mecanismos de controle e (iv) direcionamento para análise de medições e indicadores de desempenho. A seguir será abordada a estrutura do COBIT, sob cada um dos enfoques citados anteriormente.

Orientação ao negócio

A orientação aos negócios consiste na principal característica do COBIT (ITGI, 2007 p. 10). Nesta abordagem, o COBIT baseia-se na seguinte premissa.

“Para fornecer as informações que uma organização necessita para atingir seus objetivos, é necessário investir, gerenciar e controlar recursos de TI através de um conjunto estruturado de processos que forneçam os serviços necessários para entregar estas informações desejadas”.

Sendo assim, gerenciar e controlar informações consiste em uma atividade central no COBIT e auxilia no alinhamento às necessidades de negócio.

O COBIT estabelece que as informações, para satisfazerem às necessidades de negócio, devem estar de acordo com certos critérios de informação, que são


83

usados para classificar os objetivos de controle, que podem representar processos da governança e TI. Os critérios de informação estabelecidos pelo COBIT são:

1. eficácia ou efetividade: informações relevantes e pertinentes aos negócios devem ser entregues de forma correta, consistente e em tempo hábil;

2. eficiência: fornecimento de informações considerando o uso ótimo (da forma mais rápida, econômica e alinhada aos objetivos estratégicos da organização) dos recursos;

3. confidencialidade: proteção de informações sensíveis de acesso não autorizado;

4. integridade: precisão e completude de informações;

5. disponibilidade: informações devem estar disponíveis sempre que for necessário;

6. conformidade: conformidade com leis, regulamentos e cláusulas contratuais aos quais os processos de negócio estão sujeitos;

7. confiabilidade: fornecimento de informações adequadas para que a empresa exercite suas responsabilidades.

A entrega de serviços deve ser feita por meio de processos que utilizam recursos de TI. De acordo com o COBIT, estes recursos são: pessoas (habilidades, conhecimentos, índices de produtividade), infra-estrutura (sistemas operacionais, hardware, redes, banco de dados, etc.) e aplicações de automação que manipulam e processam informações a respeito dos negócios.

Orientação a processos

O COBIT define as atividades relacionadas à TI por meio de um modelo genérico, dividido em quatro domínios: planejamento e organização, aquisição em implantação, entrega e suporte e monitoramento e avaliação. Estes quatro domínios, inspirados no ciclo tradicional de melhoria contínua26, refletem os agrupamentos usuais em uma organização padrão de TI. Os quatro domínios do COBIT e sua relação com os recursos de TI e critérios de informação estão ilustrados na Figura 16.

26 Planejar, construir, executar e monitorar.


84

FIGURA 16 Visão geral do COBIT (Adaptado de ITGI, 2007, p. 26).

Planejamento e organização: este domínio possui abrangência estratégica e tática e identifica os caminhos pelos quais a TI pode contribuir, da melhor forma possível, com o alcance dos objetivos de negócio. O domínio de planejamento e controle é subdividido em dez processos de TI, que são:

• PO1 Definir um plano estratégico para a TI;

• PO2 Definir a arquitetura de informação;

• PO3 Determinar a direção tecnológica;

• PO4 Definir a organização de TI;

• PO5 Gerenciar os investimentos em TI;

• PO6 Comunicar objetivos e direcionamentos gerenciais;

• PO7 Gerenciar recursos humanos;


85

• PO8 Gerenciar qualidade;

• PO9 Avaliar e gerenciar riscos de TI;

• PO10 Gerenciar projetos.

Aquisição e implementação: para alcançar as estratégias de TI, soluções de TI precisam ser identificadas, desenvolvidas ou adquiridas, implantadas e integradas aos processos de negócio. Além disso, mudanças e manutenções em sistemas existentes são abordadas neste domínio, para assegurar que tais sistemas continuem a atender aos objetivos de negócio. O domínio de aquisição e implementação é subdividido em sete processos de TI:

• AI1 Identificar soluções automatizadas;

• AI2 Adquirir e manter software aplicativo;

• AI3 Adquirir e manter infra-estrutura tecnológica;

• AI4 Viabilizar operação e utilização;

• AI5 Adquirir recursos de TI;

• AI6 Gerenciar mudanças;

• AI7 Instalar e aprovar soluções e mudanças.

Entrega e suporte: este domínio aborda as entregas atuais dos serviços necessários, incluindo entrega de serviços, gerência de segurança e continuidade de negócio, suporte a usuários e gerência de dados e recursos operacionais. O item Entrega e Suporte é subdividido em treze processos de TI:

• DS1 Definir e gerenciar níveis de serviços;

• DS2 Gerenciar serviços terceirizados;

• DS3 Gerenciar desempenho e capacidade;

• DS4 Assegurar continuidade de serviços;

• DS5 Assegurar segurança em sistemas;

• DS6 Identificar e alocar custos;

• DS7 Educar e treinar usuários;

• DS8 Gerenciar central de serviço (service desk) e incidentes;

• DS9 Gerenciar configuração;

• DS10 Gerenciar problemas;

• DS11 Gerenciar dados;

• DS12 Gerenciar o ambiente físico;

• DS13 Gerenciar operações.


86

Monitoração e avaliação: todos os processos precisam ser regularmente avaliados em relação à qualidade e a conformidade com os requisitos de controle. Este domínio aborda a gerência de desempenho, o monitoramento dos controles internos, a conformidade a regulamentos e a governança. O item Monitoramento e Avaliação é subdividido em quatro domínios:

• ME1 Monitorar e avaliar o desempenho da TI;

• ME2 Monitorar e avaliar controles internos;

• ME3 Assegurar conformidade com requisitos externos;

• ME4 Fornecer governança de TI.

Para cada um destes 34 processos mencionados, o COBIT apresenta uma ligação com objetivos de negócio e objetivos de TI. Além disso, são fornecidas informações sobre como os objetivos podem ser avaliados, quais são as atividades-chave e quem são os responsáveis por cada uma destas atividades.

Abordagem de controle

O COBIT define controle como sendo políticas, procedimentos, práticas e estruturas organizacionais desenhadas para fornecer garantia razoável de que os objetivos de negócio serão alcançados e que os eventos indesejados serão prevenidos, detectados e corrigidos.

Um objetivo de controle define um resultado desejado ou um propósito a ser atingido por meio da implantação de procedimentos de controle em uma atividade de TI específica. Tais objetivos de controle constituem-se nos requisitos mínimos pelos quais os processos de TI devem ser controlados.

Para cada um dos 34 processos de TI referenciados pelo COBIT existem objetivos de controle definidos, que fornecem um conjunto completo de requisitos de alto nível a serem considerados no controle efetivo de cada processo de TI.

Além dos objetivos de controle que são estabelecidos para cada processo de TI, existem controles genéricos (Process Controls, ou PC), que são aplicáveis a todos os processos de TI. Estes controles genéricos devem ser considerados juntamente com os objetivos de controle, para que se tenha uma visão completa de como cada processo de TI deve ser controlado. Alguns desses controles genéricos estabelecidos pelo COBIT são: (1) definição de metas e objetivos para os processos; (2) estabelecimento de um “dono” (owner) para o processo, com responsabilidades claras e (3) repetitividade do processo.


87

Existem ainda controles27 vinculados a aplicações, que suportam processos de negócio por meio de procedimentos relacionados a: autorização e criação de dados entrada de dados interfaces autenticação e integridade de transações e revisão de saídas produzidas.

Orientação a medições

Uma necessidade básica para qualquer organização é entender o status de seus sistemas de TI e estabelecer qual o nível de gerência e controle se deve alcançar. Nesse sentido, deve-se perguntar aonde se quer chegar e se os custos relacionados ao alcance deste objetivo seriam justificados. O COBIT aborda estas questões por meio de: (i) modelos de maturidade, que proporcionam a execução de análises de benchmark

28 e identificação de melhorias necessárias; (ii) objetivos e

métricas de desempenho para processos de TI, que demonstram como os processos podem satisfazer os objetivos de TI.

A seguir serão descritas as duas abordagens de medição descritas no COBIT.

Modelo de maturidade: para cada processo de TI estabelecido pelo COBIT é definido um modelo de maturidade baseado em seis níveis29, representado pelos números de 0 (zero) a 5 (cinco). Por meio deste modelo, pode-se mapear a situação atual da organização, executar análises de benchmark (comparação com as melhores organizações do segmento) e estabelecer e monitorar as melhorias dos processos de acordo com a estratégia da empresa. Os níveis de maturidade, que são estabelecidos para cada um dos 34 processos de TI, são:

• nível 0 (inexistente) - processos de gestão não são aplicados;

• nível 1 (inicial/Ad Hoc) - processos são utilizados esporadicamente e estão desorganizados;

• nível 2 (repetitivo) - processos seguem um padrão de regularidade, porém, são executados de modo intuitivo;

• nível 3 (processos definidos) - processos documentados e comunicados à organização;

• nível 4 (gerenciado) - processos são monitorados e medidos em relação à eficiência destes;

• nível 5 (otimizado) - boas práticas são seguidas e estão automatizadas. Existe um processo de melhoria contínua implantada na organização.

27 Para obter mais detalhes a respeito dos objetivos de controle e dos controles complementares, consulte o COBIT 4.1, disponível para download no site www.isaca.org.

28 Avaliação e comparação do produto ou de resultados de um competidor com o seu próprio produto ou resultado para que melhoras possam ser feitas.

29 O modelo da maturidade utilizado pelo COBIT para projetos de software é derivado do Capability

Maturity Model (CMM), do Software Engineering Institute.


88

Objetivos e métricas de desempenho: objetivos e métricas são definidos em três níveis: (i) o que os negócios esperam da TI (objetivos de TI); (ii) o que os processos de TI devem entregar para suportar os objetivos de TI (objetivos dos processos); (iii) como está o desempenho dos processos de TI (objetivos de atividades). Nesta perspectiva, o COBIT utiliza dois tipos de indicadores:

• medidas de resultado, referenciadas como indicadores-chave de meta (Key

Goal Indicator - KGI) nas versões do COBIT anteriores a 4.1, indicam se os objetivos foram ou não atingidos;

• indicadores de desempenho, referenciados como indicadores chave de desempenho (Key Process Indicator - KPI) nas versões anteriores ao COBIT 4.1 indica o quão bem os processos de TI estão sendo executados para viabilizar o atendimentos dos objetivos de negócio.

As metas são definidas de forma que haja uma correlação entre elas (iniciando pelas metas de negócio e finalizando, em um nível mais baixo, nos objetivos de atividades). Sendo assim, metas de negócio devem determinar quantos e quais objetivos de TI irão suportá-las.

Existem ainda as relações entre as medidas de resultado e os indicadores de desempenho. Medidas de resultado que são estabelecidas em um nível anterior tornam-se indicadores de desempenho para o nível posterior. Sendo assim, medidas de resultado estabelecem uma relação de medição com os objetivos, ao passo que os indicadores de desempenho estabelecem relações de direcionamento com os objetivos.

Um exemplo de relacionamento entre alguns dos objetivos e métricas para o processo PO1: Definir um plano estratégico de TI está ilustrado na Figura 17.


89

FIGURA 17 Relacionamento entre objetivos e métricas para o processo COBIT de definição de um plano estratégico de TI (PO1) (Adaptado de ITGI, 2007 p. 31)


O COBIT encontra-se disponível para download, que pode ser feito gratuitamente por meio do site www.isaca.org. Além disso, este framework será descrito com mais detalhes no módulo Framework para Governança de TI (COBIT) do curso de pós-graduação MBA Executivo em Governança de TI.

5.5 ITIL

A IT Infrastructure Library (ITIL) foi desenvolvida no Reino Unido, em 1989, pela Central Computer and Telecomunication Agency (CCTA), a partir de uma solicitação do governo britânico, que não estava satisfeito com o nível de serviços de Tecnologia da Informação a ele prestado. Em abril de 2001, o CCTA foi incorporado ao Office Government Commerce (OGC)30 que, atualmente, mantém a coordenação oficial do desenvolvimento e divulgação da biblioteca ITIL, em conformidade com a norma ISO/IEC 20000.

O desenvolvimento da biblioteca também conta com o apoio do itSMF (IT

Service Management Forum), uma associação de usuário de ITIL, além de dois institutos de inspeção em gerência de serviços de TI, a holandesa EXIN (Exameninstitut voor Informática) e a inglesa ISEB (Information Systems Examination Board).

30 O OGC é um órgão subordinado à Secretaria-Chefe do Tesouro Britânico e tem o foco na melhoria dos processos de contratação e gestão de serviços privados pelo setor público.


90

Atualmente na versão 3, a ITIL consiste em uma biblioteca que descreve um conjunto de melhores práticas·, cujo desenvolvimento é justificado pela necessidade de gerenciar a utilização eficiente e responsável dos recursos de TI, independentemente de fornecedores e aplicável a organizações com necessidades técnicas e de negócio distintas.

As organizações estão cada vez mais dependentes de recursos de tecnologia da informação para satisfazerem aos objetivos de negócio. Esta crescente dependência demanda maior qualidade nos serviços de TI, qualidades que suporte, na medida em que forem surgindo necessidades de negócios e de usuários (OGC, 2003a).

Devido à abrangência e à profundidade deste conjunto de melhores práticas, a biblioteca ITIL tem se firmado como um padrão mundial de fato para a gerência de serviços recorrentes de TI31.

Conforme OGC(2003a), as características que tornam a biblioteca ITIL um modelo reconhecido e amplamente utilizado são:

Fornecimento de uma biblioteca de domínio público

Desde o início de seu desenvolvimento, a biblioteca ITIL está publicamente disponível para uso. Isso significa que qualquer organização pode utilizar as práticas

descritas pelas publicações do OGC. Devido ao seu caráter público, a biblioteca ITIL está presente em organizações de grande e pequeno porte e que atuam nos mais variados setores, como energético, financeiro, serviços e manufatura.

Consiste em uma biblioteca de melhores práticas

A biblioteca ITIL documenta as melhores práticas do mercado. De acordo com Beaumont (2005), pode-se definir o termo “melhores práticas” como sendo um caminho cooperativo em que organizações tratam as atividades de negócio em processos relativos à liderança, planejamento, clientes, fornecedores, produção e fornecimento de produtos e serviços, além do uso de medidas de desempenho. Estas práticas, quando interligadas de forma efetiva, levam ao aumento da qualidade dos serviços prestados, bem como da flexibilidade, da competitividade, da inovação e da redução de custos.

Inicialmente, a CCTA coletou informações sobre como as organizações tratavam o gerenciamento de serviços. Posteriormente, a agência analisou e filtrou

31 Serviços recorrentes de TI consistem em serviços, nos quais existe um período de operação continuada, acessíveis por um único ponto de contato. As práticas do ITIL são compatíveis com várias modalidades de prestação de serviços de TI, tanto locais como remotas. Neste conjunto, destacam-se os serviços de manutenção de equipamentos, gerência de redes, suporte na utilização a aplicações, terceirização (outsourcing), manutenção de aplicações e gerenciamento de demandas.


91

essas informações para que estas fossem úteis para si e para os clientes do governo britânico.

A biblioteca ITIL descreve os contornos da organização do gerenciamento de serviços. Seus modelos mostram os objetivos, as atividades gerais, as entradas e as saídas para vários processos que podem ser incorporados nas organizações de TI.

As melhores práticas descritas no modelo podem ser utilizadas de modos diferentes, de acordo com as necessidades de uma organização em particular. Ela também pode ser utilizada em organizações nos quais já existam métodos e atividades para o gerenciamento de serviços. Seu uso, assim, não implica em uma mudança completa no modo de pensar e agir. A biblioteca ITIL fornece um framework para que se possam ajustar os métodos e atividades existentes em um contexto estruturado. Por meio da ênfase na relação entre processos, qualquer deficiência de comunicação e cooperação entre várias funções de TI pode ser eliminada ou minimizada.

É um padrão de fato

Em meados da década de 1990, a biblioteca ITIL foi internacionalmente reconhecida como padrão de fato para gerência de serviços. A maior vantagem de se ter um padrão é a utilização de uma linguagem comum.

Foco na qualidade

No passado, muitas organizações de TI focavam internamente e se concentravam em aspectos puramente técnicos. Atualmente, os negócios possuem alta expectativa quanto a aspectos de qualidade de serviços e estas expectativas mudam constantemente.

Sendo assim, as organizações de TI têm que se concentrar em qualidade de serviços e uma abordagem voltada para o cliente. Os custos são, nesta abordagem, de grande importância, assim como o desenvolvimento de uma atitude metódica no fornecimento dos serviços. A biblioteca ITIL foca no fornecimento de serviços de alta qualidade, com atenção particular para o relacionamento com o cliente. Isso significa que a organização de TI deve fornecer os serviços conforme acordos feitos com clientes, o que implica em uma forte relação entre as organizações de TI e seus clientes e parceiros.

itSMF

O Fórum (Internacional) de Gerência de Serviços de TI (IT Service Management

Forum - itSMF) foi criado para dar suporte e influenciar o gerenciamento de serviços de TI no mercado. Este fórum tem um grande número de membros em todo o mundo e possui considerável influência na promoção de atividades evolvendo melhores práticas, além de auxiliar nas atualizações da biblioteca ITIL.


92

5.5.1 Estrutura do modelo

Na terceira versão, a biblioteca fornece um conjunto de processos estruturados em uma abordagem de ciclo de vida de serviços de TI.

De acordo com OGC (2007), o ciclo de vida corresponde aos vários estágios de um serviço. Alguns exemplos de ciclo de vida de serviços são:

• Ciclo de vida de uma aplicação de software que passa por fases de especificação e análise de requisitos, modelagem, desenvolvimento, teste, liberação, operação em ambiente de produção, otimização e, quando pertinente, descarte;

• Ciclo de vida de um incidente, compreendendo estágios de detecção, resposta, diagnóstico, reparo e recuperação.

As fases do ciclo de vida de serviços propostas pela ITIL V3 são as seguintes:

• Fase 1 – Estratégia de serviço: fornece um conjunto de processos e práticas para orientar no desenvolvimento, implantação e gerência de serviços de TI conforme as estratégias de negócio e de TI de uma organização. Para tanto, são abordados os seguintes processos:

o Desenvolvimento de mercados e estratégias;

o Gerenciamento de catálogo de serviço

o Gerenciamento de portfólio de serviço

o Gerenciamento financeiro.

• Fase 2 – Desenho de serviço: O desenho de serviço tem como principal objetivo projetar novos serviços ou modificar serviços já existentes, de acordo com direcionamentos estabelecidos pela estratégia de serviço. Para tanto, são abordados os seguintes processos:

o Gerenciamento de nível de serviço;

o Gerenciamento de capacidade;

o Gerenciamento de disponibilidade

o Gerenciamento de continuidade de serviços;

o Gerenciamento de segurança da informação;

o Gerenciamento de fornecedores.

• Fase 3 – Transição de serviço: A transição de serviço é responsável pela implantação de serviços novos ou modificados no ambiente operacional, considerando a construção de liberações, teste, avaliação e implantação. Para tanto, são abordados os seguintes processos:

o Planejamento e suporte à transição;

o Gerenciamento de mudança;

o Gerenciamento de ativos e configuração;


93

o Gerenciamento de liberação;

o Validação e teste;

o Avaliação e gestão do conhecimento.

• Fase 4 – Operação de serviço: A Operação de serviço tem como objetivo entregar aos clientes e usuários os serviços de TI implantados em um ambiente operacional, considerando acordos de nível de serviços estabelecidos. Para tanto, são abordados os seguintes processos:

o Gerenciamento de evento;

o Gerenciamento de incidente;

o Cumprimento de requisição;

o Gerenciamento de problema;

o Gerenciamento de acesso.

• Fase 5 – Melhoria contínua de serviço: proporciona um alinhamento contínuo entre os serviços e os requisitos de negócio que mudam ao longo do tempo. Para tanto, são executas atividades direcionadas a: (i) revisão, análise e recomendações sobre melhorias nas demais fases do ciclo de vida; (ii) revisão e análise de resultados relacionados à entrega dos serviços; (iii) identificação e implantação de atividades necessárias para melhorar a qualidade dos serviços de TI; (iv) assegurar que métodos de gerenciamento de qualidade sejam aplicados em atividades de melhoria contínua de serviço. Para tanto, são abordados os seguintes processos:

o Processo de melhoria em sete passos;

o Medição de serviço;

o Relatório e prestação de contas de serviço.


94


Para obter informações adicionais sobra a biblioteca ITIL, consulte o site oficial da biblioteca: http://www.ogc.gov.uk/guidance_itil.asp. Além disso, a biblioteca ITIL será abordada com mais detalhes no módulo Gestão de serviços de TI, do curso de pós-graduação MBA Executivo em Governança de TI.

5.6 PDCA

O ciclo Plan-Do-Check-Act (PDCA, que pode ser traduzido como Planejar-Executar-Verificar-Agir) é um modelo bastante conhecido para a melhoria contínua de processos. Conhecido também como ciclo de Shewhart ou ciclo de Deming, este método foi concebido na Bell Laboratories pelo estatístico norte-americano Walter A. Shewhart, durante a década de 1930 (JOHNSON, 2002 p.120).

No entanto, o método foi popularizado na década de 1950, pelo especialista em qualidade W. Edwards Deming, que ficou mundialmente conhecido ao aplicar o ciclo nos conceitos de qualidade em trabalhos desenvolvidos no Japão. Devido a estes trabalhos, o PDCA tornou-se conhecido como Ciclo de Deming.

Atualmente, diversos modelos baseiam-se no ciclo PDCA para organizar o ciclo de seu uso. No tocante às ferramentas aplicáveis à governança de TI, podemos citar o COBIT e o PMBOK. O COBIT organiza seus quatro domínios (planejamento e organização, aquisição e implantação, entrega e suporte e monitoração e avaliação) com base no ciclo Deming. Já o PMBOK estabelece seus cinco grupos de processos para gerenciar projetos (grupo de processos de iniciação, grupo de processos de planejamento, grupo de processos de execução, grupo de processos de monitoramento e controle e grupo de processos de encerramento) por meio de uma adaptação do ciclo PDCA. Mais detalhes sobre a utilização do ciclo de Deming para os grupos de processos de gerência de projetos estabelecidos pelo PMBOK serão tratados em seções posteriores deste capítulo.

O ciclo PDCA estabelece quatro módulos que fazem parte dos passos básicos concebidos originalmente por Shewhart, sendo posteriormente aprimorados por Deming. Estes módulos são:

1. planejar (Plan): consiste no primeiro passo para a execução do ciclo. Nesta fase são estipulados os objetivos e metas, bem como são definidos procedimentos e métodos necessários para o alcance destes primeiros. Em suma, a fase de planejamento consiste no processo de tomada de decisão para o futuro;

2. executar (Do): nesta fase, os objetivos e metas, que foram devidamente formalizados na forma de planos de ação, deverão ser postos em prática;

3. verificar (Check): consiste na verificação das ações executadas na etapa anterior. Tal verificação deve basear-se nos resultados de etapas


95

anteriores. Sendo assim, todas as ações deverão ser adequadamente monitoradas na fase de execução, para que a verificação dos resultados na fase em questão possa ser realizada da melhor forma possível. Uma organização deve estar atenta a todos os indicadores propostos na etapa de planejamento e monitorados na fase de execução, analisando os mesmos de forma adequada e exprimindo quais ações obtiveram bons resultados e quais ações não alcançaram a eficácia desejada, que é medida pelos indicadores em questão;

4. agir (Act): este módulo é responsável pela padronização das ações executadas, cuja eficácia foi verificada na etapa anterior. Dessa forma, as decisões nesta etapa devem basear-se nos resultados positivos obtidos na etapa de verificação, na expectativa de padronizar as ações bem-sucedidas para serem utilizadas em ocasiões semelhantes.

Na Figura 18 estão ilustrados o ciclo PDCA, a relação e a iteratividade entre as suas fases.

FIGURA 18 O ciclo PDCA

90909090

Planejar

Executar

Verificar

Agir


96

É importante notar que este ciclo é projetado para ser utilizado como um modelo dinâmico, no qual os resultados obtidos a partir de uma volta completa no ciclo irão fluir para o começo de um próximo ciclo, e assim sucessivamente.

De acordo com Snee (1998, p. 715), o Ciclo PDCA consiste em uma abordagem formal para a resolução de problemas, no qual a solução ou resultado final é conhecido. No entanto, é necessário um esforço considerável para implementar tal solução. Sua utilização envolve várias possibilidades, podendo ser para o estabelecimento de metas de melhorias provindas da alta direção e na resolução de problemas crônicos ou críticos que prejudicam o desempenho de projetos, serviços ou processos, enfatizando que cada programa de melhoria deve começar com um planejamento cuidadoso, resultar em ações efetivas (como resultado de processos de verificação) e, por fim, obter resultados de melhoria, podendo ser reutilizado em oportunidades futuras (através do processo de padronização).

5.7 PRINCE2

O Prince2 foi criado em 1989, pela Agência Central de Computação e Telecomunicações CCTA32 (Central of Computer and Telecommunication Agency) a partir de um antigo método chamado PROMPTII, da época de 1975, desenvolvido por um grupo de ex-gerentes da empresa IBM. Atualmente, tem sido utilizado tanto pelo setor público (onde teve origem) quanto pelo setor privado. Exemplos de organizações internacionais que atualmente utilizam o Prince2 como metodologia para a gerência de seus projetos incluem Nat West, British Rail, BT, London Underground, Royal Mail, Hitachi, entre outras (CHAVART, 2003).

5.7.1 Estrutura da metodologia

O Prince2 é formado essencialmente por três elementos: (1) técnicas, (2) componentes e (3) processos.

Processos

A metodologia abrange todas as fases da gerência de projetos por meio de seus processos, que são:

• abertura do projeto (Starting Up a Project - SU): objetiva assegurar a presença dos requisitos necessários para o início do projeto;

32 O CCTA foi incorporado ao Office of Government Commerce, do governo britânico


97

• condução do projeto (Directing a Project - DP): este processo se inicia ao final da abertura do projeto e finaliza juntamente com o fechamento do projeto, sendo de responsabilidade do comitê do projeto33 ou do grupo de tomadores de decisão, que representam o negócio, usuários e fornecedores. Este processo contempla: (i) autorização de início do projeto; (ii) alocação de recursos; (iii) monitoramento do progresso do projeto; (iv) ações para tratamento de riscos (v) encerramento do projeto, controle do encerramento do contrato e desmobilização de recursos alocados;

• iniciação do projeto (Initiating a Project - IP): este processo tem como objetivo: (i) definir o nível de qualidade do produto a ser gerado; (ii) planejar o projeto e seus custos; (iii) revisar o Business Case

34; (iv) assegurar que os esforços e o tempo necessários são justificados em termos de riscos do projeto; (iv) permitir e encorajar o comitê do projeto a envolver-se na direção do projeto; (v) promover as bases para processos de tomada de decisão e (vi) assegurar a disponibilidade de recursos para a próxima etapa do projeto;

• gerência dos limites de fase (Managing Stage Boundaries - SB): este processo tem como objetivo produzir informações para que o comitê do projeto decida se o projeto irá continuar ou não. Este processo contempla: (i) assegurar que os produtos correspondentes à fase atual foram contemplados; (ii) fornecer informações ao comitê do projeto para que este avalie a viabilidade do projeto; (iii) fornecer informações para que o comitê aprove o estágio atual e autorize a execução do próximo estágio (iv) registrar lições aprendidas que possam ajudar em fases posteriores.

• controle e monitoramento de fase (Controlling a Stage - CS): este processo consiste no principal esforço do gerente de projeto e consiste em (i) autorização de execução de trabalho; (ii) obtenção de informações sobre o progresso dos trabalhos; (iii) análise de mudanças; (iv) revisão do projeto; (iv) confecção de relatórios do projeto e (v) tomada de ações corretivas;

• gerência da entrega de produto (Managing Product Delivery - MP): este processo tem como objetivo assegurar que os produtos previstos pelo projeto serão produzidos e entregues. Para tanto, consideram-se: (i) assegurar o compromisso da equipe do projeto com o resultado esperado; (ii) avaliar o progresso dos trabalhos; (iii) garantir que os produtos atendam às especificações de qualidade; (iv) assegurar a realização dos trabalhos do projeto e (v) obter aprovação e homologação de produtos completados;

33 O comitê de projeto tem a responsabilidade de finalizar cada estágio do projeto e autorizar o início

do próximo estágio. Este comitê deve assegurar que os recursos necessários estejam disponíveis e negociar com as partes externas soluções para eventuais problemas. A indicação do gerente de projeto também é de responsabilidade do comitê.

34 O business case consiste em um componente do PRINCE2.


98

• encerramento do projeto (Closing a Project - CP): o objetivo deste projeto é assegurar um fechamento controlado para o projeto. Os objetivos do fechamento de projetos são: (i) verificar a extensão em que os objetivos do projeto foram alcançados; (ii) conformar a aceitação dos produtos por parte do cliente; (iii) fazer recomendações para trabalhos futuros; (iv) produção de planos de revisão pós-projeto; (v) solicitar ao comitê do projeto a desmobilização dos recursos alocados; (vi) confirmar a realização de atividades de manutenção e operação, incluindo a necessidade de treinamentos e (vii) preparação de relatório de finalização do projeto;

• planejamento (Planning - PL): o processo de planejamento é repetitivo e tem um importante papel na execução de outros processos. Destes, os principais são (i) planejamento do estágio de iniciação do projeto; (ii) planejamento do projeto; (iii) planejamento de cada estágio e (iv) atualização do plano do projeto.

Componentes

O PRINCE2 possui oito componentes, que são utilizados pelos processos descritos acima. Tais componentes são:

• business case: o business case descreve, na perspectiva dos negócios, os fundamentos e as justificativas para a realização do projeto. Na lógica do Prince2, os business cases guiam todo o processo de gerência de projeto, das etapas iniciais até o encerramento. Além disso, a existência de um business case viável consiste na principal condição de controle de um projeto. O business case deve ser verificado pelo comitê do projeto antes do início do projeto e sempre que ocorrerem decisões significativas. O PRINCE2 recomenda ainda que um projeto deva ser paralisado caso a viabilidade do business case seja perdida;

• organização: o PRINCE2 fornece uma estrutura para a equipe envolvida na gerência do projeto e uma definição das responsabilidades e relacionamentos de todos os papéis envolvidos;

• planos: a metodologia propõe uma série de níveis de planos que podem ser adaptados conforme a complexidade e as necessidades específicas de cada projeto, além de uma abordagem de planejamento baseada em produtos, em vez de atividades;

• controles: o PRINCE2 fornece um conjunto de controles para facilitar o fornecimento de informações relevantes aos processos de tomada de decisão. Além disso, tais controles são orientados para a gestão por exceção. Estes controles permitem a avaliação dos produtos em termos de atendimento a escopo e qualidade, e do projeto em termos de prazo, custo,


99

esforço, qualidade, etc. Também são incluídas revisões formais em vários pontos do ciclo de vida do projeto;

• gestão de risco: o risco é um dos principais fatores a serem considerados durante o ciclo de vida do projeto. O PRINCE2 define os pontos em que os riscos devem ser revisados. A gestão de riscos é aplicada em todo o ciclo de vida do projeto;

• qualidade no ambiente do projeto: o PRNCE2 incorpora uma abordagem voltada à qualidade nos processos técnicos e gerenciais, abordando planos de qualidade, critérios de aceitação, requisitos de qualidade de produtos e serviços produzidos, registro e verificação da qualidade;

• gerência de configuração: o PRINCE2 define a gerência de configuração como sendo o rastreamento dos componentes de um produto final. Sendo assim, este componente permite o rastreamento dos componentes produzidos ao longo do projeto até a montagem do produto final, pelo estabelecimento de um plano de configuração e de um método que aborda sua execução;

• controle de mudanças: o PRINCE2 enfatiza a necessidade de controlar mudanças por meio de técnicas de controle somadas à identificação dos processos que se aplicam ao tratamento de mudanças. Estes controles de mudanças são fornecidos por meio de um conjunto de diretrizes acerca de como gerenciar as mudanças, que podem ocorrer em função de riscos, surgimento de restrições, etc.

Técnicas

De acordo com OGC (2002a), o PRINCE2 prefere deixar a cargo de quem utiliza a metodologia escolher as técnicas mais adequadas de acordo com as circunstâncias de cada projeto. Entretanto, para dar suporte inicial aos processos e componente, são estabelecidas três técnicas na metodologia: planejamento baseado em produto, controle de mudança e controle de qualidade.


Para obter informações adicionais sobre o PRINCE2, acesse o site oficial http://www.prince2.com. Além disso, o PRINCE2 será abordado com mais detalhes no módulo Gerenciamento de projeto, programa e portfólio, do curso de pós-graduação MBA Executivo em Governança de TI.


100

5.8 PMBOK

O Guia PMBOK tem sido publicado, desde 1987, pelo Project Management

Institute (PMI) e, atualmente, ele é reconhecido como um padrão nacional norte-americano (ANSI/PMI 99-001-2004). Descrito como a soma de conhecimento dentro da profissão de gerente de projeto, esse guia descreve um modelo que vem sendo aplicado com sucesso em um amplo conjunto de projetos em diferentes setores (STEPANEK, 2005). Dessa forma, o seu objetivo é identificar boas práticas e definir uma terminologia comum para a Gerência de Projetos.

5.8.1 Estrutura do guia

O PMBOK trata a disciplina de Gerência de Projetos em nove áreas de conhecimento que estão relacionadas a 39 processos distribuídos em 5 grupos, que podem representar as fases do projeto (veja a Tabela 14).

Os grupos de processo estabelecidos pelo PMBOK são:

1. grupo de processos de iniciação: define e autoriza o projeto ou uma fase dele;

2. grupo de processos de planejamento: define e refina os objetivos, os custos e os riscos referentes ao projeto, além de planejar as ações e o escopo necessário para o alcance dos objetivos. Neste grupo, são definidos o plano de gerenciamento do projeto, o plano de gerência de escopo, cronogramas, orçamentos, plano de gerência de riscos, qualidade, recursos humanos, aquisições, etc.;

3. grupo de processos de execução: o grupo de processos de execução é formado por processos utilizados na finalização do trabalho definido no plano de gerenciamento de projetos, a fim de cumprir os requisitos do projeto;

4. grupo de processos de monitoramento e controle: o grupo de processos de monitoramento e controle é formado pelos processos que são executados, a fim de observar a execução do projeto, de modo que eventuais problemas possam ser identificados no momento adequado e que possam ser tomadas as ações corretivas para controlar a execução do projeto;

5. grupo de processos de encerramento: o grupo de processos de encerramento inclui os processos utilizados na finalização formal de todas as atividades de um projeto ou fase, entregar o produto terminado para outros ou encerrar um projeto cancelado.

A interação entre esses grupos de processo obedece ao ciclo PDCA (plan, do,

check, act), aplicado em processos de melhoria contínua e descrito na sessão 7.3.


101

Segundo o guia PMBOK, embora a natureza integradora dos grupos de processos estabelecidos no guia seja mais complexa do que o ciclo PDCA básico, pode-se relacionar o grupo de processos de iniciação ao “planejar” do ciclo PDCA.

O grupo de processos de execução relaciona-se ao “fazer” (do) e o grupo de processos de monitoramento e controle corresponde ao “verificar” (check). Além disso, como a gerência de projetos é um esforço finito, o grupo de processos de iniciação inicia o ciclo e o grupo de processos de encerramento encerra este ciclo. A natureza integradora do gerenciamento de projetos exige que haja uma interação do grupo de processos de monitoramento e controle, com todos os aspectos dos outros grupos de processo. Essa natureza integradora por meio de uma adaptação do ciclo PDCA está ilustrada na Figura 19.

FIGURA 19 Mapeamento entre os grupos de processos de gerenciamento de projetos e o ciclo PDCA (Adaptado de PMI, 2004 p. 40)


102

TABELA 14 Relação entre áreas de conhecimento e grupo de processos do PMBOK

Áreas de conhecimento Grupo de processos

Grupo de processos de

iniciação

Grupo de processos de planejamento

Grupo de processos de

execução

Grupo de processos de monitoramen- to e controle

Grupo de processos

de encerramen-

to

Integração da gerência de

projeto

Desenvolvi- mento do termo de

abertura do projeto

Desenvolver o plano de

gerenciamento de projeto

Orientar e gerenciar a

execução do projeto

Monitorar e controlar o trabalho do

projeto

Encerrar o projeto

Desenvolver a declaração de

escopo preliminar do

projeto.

Gerência de escopo

Planejamento de escopo

Verificação do escopo

Definição do escopo

Controle do escopo

Criar estrutura analítica do

projeto (EAP)

Gerência de tempo

Definição de atividades

Controle do cronograma

Seqüenciamen- to de atividades Estimativa de recursos da

atividade Estimativa de duração de atividades

Desenvolvimen- to do

cronograma

Gerência de custos

Estimativa de custo

Orçamento

Controle de custos

Gerência de qualidade

Planejamento da qualidade

Realizar garantia de qualidade

Realizar controle de qualidade

Gerência de recursos humanos

Planejamento de recursos humanos

Contratar ou mobilizar a equipe do

projeto

Gerenciar a equipe do projeto;

Desenvolver a equipe do

projeto

Continua...


103

Continuação...

Gerência de

comunicações

Planejamento de

comunicações

Distribuição das

informações

Relatório de desempenho

Gerenciar partes

interessadas

Gerência de riscos

Planejamento da gerência de

riscos

Monitoramen- to e controle

de risco

Identificação de riscos

Análise qualitativa de

riscos Análise

quantitativa de riscos

Planejamento de resposta a

riscos

Gerência de aquisições

Planejamento de compras e

aquisições

Solicitar respostas de fornecedores

Administra- ção de

contrato

Encerramen- to de

contrato Planejar

contratações Selecionar

fornecedores


O guia PMBOK encontra-se disponível para download, que pode ser feito gratuitamente através do site www.pmi.org. Além disso, este guia será descrito em mais detalhes no módulo de Gerenciamento de projeto, programa e portfólio, do Curso de Pós-graduação MBA Executivo em Governança de TI.

5.9 VALIT

O VALIT consiste em um framework desenvolvido pelo IT Governance Institute (ITGI) com base no Control Objectives of Information and related Technology (COBIT). O VAIT complementa o COBIT no que diz respeito à perspectiva de retorno financeiro e obtenção de valor a partir de iniciativas de TI.

O VALIT consiste em um framework cujo objetivo é auxiliar na garantia de que as organizações obtenham valor ótimo a partir de investimentos em TI, considerando custos e níveis aceitáveis de risco. Para tanto, o framework orientações, processos e práticas que auxiliam executivos e alta direção a entenderem e desempenharem responsabilidades relacionadas a investimentos em tecnologia da informação. Especificamente, o VALIT foca em decisões de investimento – estamos nos portando da maneira correta em relação aos investimentos em TI? – e na obtenção de valor – estamos obtendo os benefícios prometidos por tais investimentos? (ITGI, 2006).


104

5.9.1 Estrutura do VALIT

Considerando que, no contexto da tecnologia da informação, o valor é definido como sendo os resultados, em termos de negócio, esperados a partir de investimentos em TI e que esses resultados podem ser financeiros, não-financeiros ou uma combinação de ambos35, o VALIT considera alguns princípios que deverão nortear a aplicação e utilização desse framework pelas organizações, de acordo com ITGI (2006):

• Investimento em TI devem ser gerenciados de acordo com um portfólio;

• Propostas de investimentos em TI devem ser acompanhadas de um conjunto de atividades detalhadas destinadas à obtenção do valor proposto por tais investimentos;

• Práticas destinadas à entrega de valor deverão considerar que existem diferentes categorias de investimentos que precisam ser avaliadas e gerenciadas de forma diferente;

• Práticas destinadas à entrega de valor deverão definir e monitorar métricas para avaliação de resultados, além de prever ações para correção de desvios;

• Práticas de entrega de valore devem engajar todos os stakeholders e atribuir responsabilidades a eles quanto à realização dos benefícios pretendidos;

• Práticas de entrega de valor deverão ser continuamente monitoradas, avaliadas e melhoradas.

Para implantação de tais princípios, o VALIT considera um conjunto de três princípios a serem aplicados pelos stakeholders:

• Governança de valor (Value Governance – VG): tem como objetivo otimizar o valor dos investimentos em TI por meio de: (i) estabelecimento de uma estrutura de governança de TI, monitoramento e controle; (ii) fornecer direções estratégicas para investimentos em TI e; (iii) definição das características do portfólio de investimentos em TI. Para tanto

• Gerenciamento de potfólio (Portfolio Management – PM): tem como objetivo assegurar que o portfólio de TI da organização esteja alinhado ao portfólio de investimentos gerais, contribuindo para geração de valor

35 De acordo com ITGI (2008), valor é um conceito complexo e dependente do contexto, podendo

variar de acordo com a natureza de cada organização. Valor pode ser visto em termos financeiros, tal como aumento no lucro e no faturamento, ou em termos não financeiros, tal como aumento do desempenho de processos de negócio, melhoria da imagem da organização perante o mercado, aumento da disponibilidade de serviços. A intensidade com que uma organização irá focar em retornos financeiros ou não irá depender da natureza e das circunstâncias em que cada empresa está inserida.


105

necessário ao alcance das estratégias organizacionais.Para tanto, esse processo visa: (i) estabelecer e gerenciar recursos; (ii) definir limites para investimentos; (iii) Avaliar, priorizar, selecionar, escolher ou rejeitar novos investimentos; (iv) Gerenciar portfólio de TI; (v) monitorar e divulgar o desempenho do portfólio.

• Gerenciamento de investimentos (Investiment Management – IM): tem como objetivo assegurar que um investimento individual entregue valor ótimo, considerando custos e níveis aceitáveis de risco. Para tanto, esse processo apóia-se em: (i)identificar requisitos de negócio; (ii) desenvolver entendimento claro de iniciativas candidatas a receberem investimentos; (iii) analisar alternativas de investimentos; (iv) definir o programa e o caso de negócio (business case), incluindo os benefícios detalhados; (v) atribuir responsabilidades; (vi) monitorar e reportar o desempenho da iniciativa.

Para cada processo descrito acima, o VALIT estabelece um conjunto de práticas de gerenciamento, que correspondem às características de um processo bem gerenciado. Em suma, tais práticas cobrem as características gerais de cada processo listadas acima. A Figura 20 ilustra os processos do VALIT associados às respectivas práticas de gerenciamento.

A partir da Figura 20, pode-se notar que existe uma sequência36 sugerida para os processos de práticas.

Governança de valor estabelece uma abordagem geral para a governança, direções estratégicas, características desejadas do portfólio e requisitos de financiamento.

O gerenciamento de investimento define os programas potenciais baseando-se em requisitos de negócio, repassando esses programas para o gerenciamento de porfólio.

A partir daí, os programas são avaliados com base no alinhamento aos objetivos estratégicos, importância para os negócios (considerando retornos financeiros e não financeiros) e riscos. Feita a avaliação, o gerenciamento de portfólio prioriza os programas, associando a eles recursos e movendo para o portfólio ativo (que contém programas em execução).

O gerenciamento de investimento executa e gerencia os programas ativos, reportando o desempenho ao gerenciamento de porfólio que, por sua, vez, monitora o desempenho do portfólio como um todo, ajustando-o conforme os resultados individuais de cada programa e/ou conforme mudanças nos negócios da organização.

36 Quanto a essa sequência, é importante ressaltar que não há uma abordagem definitiva. Muitos

processos e práticas podem ser executados em paralelo. A sequência de práticas e de processos irá depender das necessidades e características especificas de cada organização.


106

Figura 20 Processos e práticas do VALIT (Adaptado de ITGI, 2006)


107

5.9.2 Informação adicional

O VALIT encontra-se disponível para download no endereço www.isaca.org.

5.10 ISO /IEC 38500

Criada em 2008, a norma ISO/IEC38500 tem como objetivo fornecer um framework de princípios relacionados à governança de TI para que diretores de organizações possam avaliar, direcionar e monitorar a utilização da tecnologia da informação nas organizações, contribuindo para:

• Assegurar que strakeholders (incluindo consumidores, acionistas e colaboradores) tenham confiança na governança da tecnologia da informação implantada na organização;

• Informar e guiar a alta direção e executivos sobre como governar o uso da TI na organização;

• Fornecer uma base para avaliação da governança de TI na organização.

Segundo Hardy (2009), a criação da ISO/IEC38500 marca o reconhecimento global da importância da governança de TI e da necessidade de se formalizar padrões para a adoção dessa por parte das organizações.

5.10.1 Estrutura da norma ISO/IEC 38500

Para alcançar os objetivos propostos, a norma encontra-se estruturada em princípios e modelo de governança de TI.

Princípios

Os princípios expressam os comportamentos desejáveis para tomada de decisão sobre TI em uma organização. Assim, cada princípio refere-se ao que deve se deve fazer para que decisões sobre TI sejam tomadas de forma adequada.

A norma ISO/IEC 38500 estabelece seis princípios que encontram-se descritos a seguir:

� Princípio 1: Responsabilidade. O negócio (cliente) e a TI (provedor) devem atuar em conjunto no tratamento de questões relacionadas a tecnologia da informação utilizando-se de um modelo de colaboração mútua e de um esquema que defina claramente as responsabilidades de ambas as partes. Nesse sentido, faz-se necessário o estabelecimento de estruturas de governança e de papéis de responsabilidades que atribua responsabilidades sobre decisões tomadas.

� Pincípio 2: Estratégia. A organização deve desenvolver um planejamento estratégico de TI no sentido de estabelecer objetivos que sejam traduzidos


108

para planos táticos. O planejamento estratégico de TI deve considerar as capacidades atuais e futuras da TI, dados os objetivos e estratégias do negócio. Nesse sentido, é necessário avaliar a capacidade dos recursos de TI em suportar futuros requisitos de negócio.

� Princípio 3: Aquisição Projetos de aquisição e implantação de recursos de TI devem ser considerados como parte de um processo de mudança nos negócios habilitada pela TI. Nesse sentido, a implantação de novos recursos de TI em uma organização não deve ser considerada somente uma questão técnica da área de TI. A implantação de tais recursos deve ser vista como um processo de mudança organizacional, incluindo revisão de processos de negócio relacionados a novos recursos de TI e treinamento de colaboradores. Projetos de TI devem ser encarados, então, como parte de um programa de mudança organizacional – que inclui iniciativas de revisão de processos de negócio, treinamento de colaboradores, etc. - destinado a obter os resultados esperados sobre a implantação de novos recursos de TI.

� Princípio 4: Desempenho. A alta direção e os executivos devem assegurar que a TI esteja de acordo com direcionamentos estratégicos da organização. De acordo com Hardy (2009), medições de desempenho adequadas dependem do tratamento de dois aspectos: definição de metas em termos de desempenho da TI e; estabelecimento de métricas que sejam capazes de medir o alcance das metas estabelecidas. Além disso, é necessário um processo que assegure a execução de atividades de monitoramento de resultados de forma periódica e consistente.

� Princípio 5: Conformidade A tecnologia da informação deve estar em conformidade com requisitos estabelecidos em leis, regulamentos e cláusulas contratuais. Segundo Hardy (2009), atualmente, as organizações estão sujeitas a um número cada vez maior de leis e cláusulas contratuais que afetam diretamente a TI, tais como privacidade, integridade de confidencialidade de informações, propriedade intelectual e segurança de dados. Nesse sentido, é importante que diretores e executivos estabeleçam políticas e procedimentos de TI para a organização, assegurando a mitigação de riscos advindos da TI e a conformidade com leis e cláusulas contratuais.

� Princípio 6: Comportamento humano A implantação de qualquer iniciativa relacionada à TI, incluindo a própria governança de TI, requer mudanças culturais e comportamentais na organização e, possivelmente, em clientes e parceiros de negócio. Nesse sentido, faz-se necessária a execução de iniciativas destinadas a treinamento, conscientização e melhoria de competências de colaboradores, de forma a assegurar que mudanças ocorram de forma adequada.


109

Modelo

A norma ISO/IEC 38500 estabelece um modelo destinado a orientar a alta direção e executivos a aplicarem os princípios expostos acima.

Esse modelo baseia-se em um ciclo composto por três fases - Avaliar, Dirigir e Monitorar – e que atua como intermediário entre as necessidades e pressões do negócio e os processos de negócio (juntamente com projetos e operações de TI que dão suporte a tais processos). A Figura 21 ilustra o modelo proposto pela norma ISO/IEC 38500.

Figura 21 Modelo de governança de TI proposto pela norma ISO/IEC 38500

(Adaptado de ISO, 2008).


110

A avaliação envolve o exame da utilização atual e futura da TI na organização, considerando: (i) pressões internas e externas que atuam sobre o negócio da organização, tais como mudanças tecnológicas, tendências econômicas e sociais e influências políticas; (i) os objetivos estratégicos da organização. A partir dessas premissas, podem ser estabelecidas estratégias de TI, alternativas de utilização e arranjos de fornecimento de recursos e serviços de TI para os processos organizacionais.

Considerando os resultados de avaliação, a alta direção deve direcionar a preparação e implantação de planos e políticas. Esses planos devem estabelecer um direcionamento para investimentos em projetos e operações de TI. Já as políticas devem estabelecer comportamentos desejáveis na utilização da TI na organização.

Por fim, deve-se monitorar o desempenho da TI em relação aos planos estabelecidos e ao alcance dos objetivos de negócio. Além disso, quando aplicável, deve-se medir o desempenho da TI em relação à conformidade com leis e requisitos contratuais.

5.10.2 Informação adicional

A norma ISO/IEC 38500 encontra-se disponível para compra no site oficial da ISO www.iso.org.

6 CONSIDERAÇÕES FINAIS

A Tecnologia da Informação tem se consolidado, cada vez mais, como um importante fator nos negócios das organizações. Ao longo de um vasto espectro de mercados e países, ela transcende o seu papel tradicional de suporte para ocupar um papel estratégico, com potencial não somente para suportar estratégias de negócio, mas também para habilitar novas perspectivas estratégicas para as empresas.

No entanto, para que a tecnologia possa atuar de forma eficiente no suporte aos processos de negócio e na criação de novas possibilidades para as organizações, é preciso estabelecer estruturas e processos capazes de extrair o valor necessário a partir dos investimentos em TI.

Neste contexto, a governança de TI atua como uma importante prática dentro das organizações, ao estabelecer estruturas e processos para a tomada de decisões sobre a TI e na sua transformação, para que esta possa atender a demandas presentes e futuras dos próprios negócios da organização e dos negócios de clientes.

A definição das responsabilidades nas tomadas de decisão sobre a TI – formalizadas por uma matriz de arranjo da governança – proporciona às organizações maior controle sobre ela e permite formular uma base para a estruturação da governança de TI. Por meio da matriz de arranjo da governança de TI, pode-se determinar quem são os responsáveis pela tomada de decisões relativas à TI e como tais decisões serão tomadas e monitoradas.

O estabelecimento de processos e a adoção de uma abordagem de portfólios para gerenciar a estrutura da governança de TI os recursos de tecnologia da informação atuam como importantes práticas para o estabelecimento de um elo entre as necessidades e as estratégias de negócio e a TI, fazendo com que esta atue de forma eficiente, tanto no suporte aos processos de negócio como na criação de novas perspectivas estratégicas para as organizações.

A formalização de estruturas de responsabilidades em relação à TI e de processos também constituem em importantes práticas para o atendimento às regulamentações (tais como a lei Sarbanes-Oxley e a Resolução 3380), que influenciam cada vez mais os negócios das organizações. Estes regulamentos integram-se cada vez mais à governança corporativa e organizacional e, com a


112

crescente dependência entre negócios e tecnologia, integram-se também à governança de TI.

A implantação e a manutenção de um ambiente de governança de TI que seja capaz de assegurar os diversos benefícios a partir da TI, requerem a utilização de ferramentas e práticas gerenciais. Tais ferramentas e práticas visam potencializar a implantação e manutenção da governança de TI e guiam, em diferentes frentes, estas atividades por meio do fornecimento de abordagens estruturadas e práticas bem sucedidas do mercado.

7 REFERÊNCIAS BIBLIOGRÁFICAS

ABNT. Associação Brasileira de Normas Técnicas. ISO/IEC 27005: Tecnologia da Informação – Técnicas de segurança – Gestão de Riscos de Segurança da Informação. Rio de Janeiro: ABNT, 2008.

AKHTER, Syed H. Strategic planning, hypercompetition, and knowledge management. Business Horizons, v.46, n.1, 19-24. 2003.

ANAND, Sanjay. Sarbanes-Oxley guide for finance and information technology professionals. Hoboken-New Jersey: John Wiley & Sons, 2006.

ATAYA, Georges, THORP, John., Portfolio Management: Unlocking the Value of IT Investment, Information Systems Control Journal, Vol. 7, p.20-21, 2007.

BAETS, Walter. Strategic Planning and Management Learning: Extending the Horizons of Knowledge-based Management. Springer, 2005.

BANK OF INTERNATIONAL SETTLEMENTS, International Convergence of Capital Measurement and Capital Standards. A Revised Framework. Bank for International Settlements Press & Communications, Switzerland. 2004.

BEAMOUT, N., “Best Practice in Australian manufacturing sites”. Technovation 25, 2005.

BENSON, Robert J., BUGNITS, Thomas L., WALTON, Willian B. From Business Strategy to IT Action. Boston, Harvard Business School Press, 2005.

BERGERON, François, RAYMOND, Louis, RIVARD Suzanne, Ideal patterns of strategic alignment and business performance, Information and Management, Vol. 41 No.8, pp.1003-20, 2004.

BOAR, B.H. The Art of Strategic Planning for Information Technology. John Wiley & Sons, Inc.


114

BOAR, Bernand, H., Practical Steps for Aligning Information Technology with Business Strategies: How to Achieve a Competitive Advantage. Wiley, New York, 1994.

BROADBENT, Marianne, KITZIZ, Ellen, S., The new CIO Leader. Harvard Business School Press, Massachusetts, 2005.

BROWN, Willian C. IT governance, architectural competency, and the Vasa. Information Management & Computer Security Vol. 14 No. 2 140-154, 200BROWN, Willian, NASUTI, Frank, What ERP systems can tell us about Sarbanes-Oxley. Information Management & Computer Security. Vol. 13 No. 4: pp 311-327. 2005.

BROWN, Eric J., YABERRY, Willian A. The Efective CIO: How to achieve Outstanding Success through Strategic Alignment, Financial Management, and IT Governance. Auerback: Boca Raton, 2009.

BUCKBY, Sherrena, BEST, Peter, STEWART, Jenny. The Current State of information Technology Governance Literature . in CATER-STEEL, Aileen, Information Technology Governance and Service Management: Frameworks and Adaptations.Information Science Reference: Hershey, 2009.

CAVUSGIL, Tamer, CALANTONE, Roger J., ZHAO, Yushan. Tacit knowledge transfer and firm innovation capability. Journal of Business & Industrial Marketing. Vol. 18 No. 1 6-21, 2003.

CHAMPMAN, Marc. Building an innovative organization: consistent business and technology integration. Strategy & Leadership Vol. 34 No. 4 32-38, 2006.

CHAN, Sally, Sarbanes-Oxley: The IT Dimension. The Internal Auditor. Vol. 61 No. 1: PP 31-33, 2004.

CHARVAT, Jason. Project Management Methodologies – Selecting, Implementing, and Supporting Methodologies and Processes for Projects. John Wiley & Sons: New Jersey, 2003.

CILLI, Claudio, It Governance: Why a Guideline? Information Systems Control Journal, Vol. 3, 2003.

CIO Estratégia de negócios e TI para líderes corporativos. CIOs falham em custos e inovação, dizem CEOs. 13 fev. 2007. Disponível em: <http://cio.uol.com.br/gestao/2007/02/13/idgnoticia.2007-02 13.9931122695/IDGNoticia_view>. Acesso em: 21 abr. 2007.

COMPUTERWORLD. O porta-voz do mercado de TI e comunicação. CIOs devem se aprofundar em gestão e formação de talentos. 21 abr. 2007b. Disponível em: <http://computerworld.uol.com.br/gestao/2007/03/21/idgnoticia.2007-03-

Referências Bibliográficas

115

21.0003798934/IDGNoticia_view>. Acesso em: 22 abr. 2007.

COMPUTERWORLD. O porta-voz do mercado de TI e comunicação. Deficiências em compliance devem derrubar milhares de CFOs. 28 fev. 2007. Disponível em: <http://computerworld.uol.com.br/governanca/2007/02/26/idgnoticia.2007-02-26.6558187241/IDGNoticia_view>. Acesso em: 21 abr. 2007.

COMPUTERWORLD. O porta-voz do mercado de TI e comunicação. Quatro empresas brasileiras atrasam relatórios de Sarbox nos EUA. 16 jul. 2007c. Disponível em:<http://computerworld.uol.com.br/governanca/2007/07/16/idgnoticia.2007-07-16.3145347088/>. Acesso em 19 jul. 2007.

CRAM, Alec. The IT Balanced Scorecard Revised. Information Systems Control Journal v. 5, 2007.

DAMIANIDES, Mario, How Does SOX Change IT?. Journal of Corporate Accounting & Finance, Vol. 15 No. 6, pp 35-41, 2004.

DESHMUKH, Meera, SHANKAR, Raj, Environment Interaction Evaluation: Building Compliance Into Technology Solutions. Information Systems Control Journal, Vol. 7, pp.43-45, 2007.

FERNANDES, Aguinaldo A.; ABREU, Vladimir F. Implantando a Governança de TI: da estratégia à gestão dos processos e serviços. Rio de Janeiro: Brasport, 2006.

FOINA, Paulo R. Tecnologia de Informação: Planejamento e Gestão. São Paulo. Atlas, 2006.

FORTUIN, Frances, T.J.M., Aligning Innovation to Business Strategy. Combining cross-industry and longitudinal perspectives on strategic alignment in leading technology based companies. PhD Thesis, Wageningen University and Research Center, the Netherlands, 2006.

GARCIA, Wandair, J., Modelo de Planejamento Estratégico de Tecnologia da Informação em Empresas Globais. Dissertação (Mestrado em Engenharia de Produção), Programa de Pós-graduação em Engenharia de Produção, Universidade Federal de Santa Catarina, Florianópolis, 2005.

GORDON, Steve R., TARAFDAR, Monideepa. How do a company’s information technology competences influence its ability to innovate? Journal of Information Management Vol. 20 No. 3 271-290, 2007.

GOTTSCHALK, Petter. CIO and Corporate Strategic Management: Changing role of CIO to CEO. Idea Group Publishing: Hershey, 2007.

GRAEML, Alexandre. Reis. Sistemas de informação: o alinhamento da estratégia de


116

TI com a estratégia corporativa. 2. ed. Atlas: São Paulo, 2003.

GULDENTOPS, Erik, The OT Dimension of Basel II. Information Systems Control Journal. Vol. 6, 2004.

HARDY, Gary. ITGI Enables ISO/IEC 38500: 2008 Adoption. ISACA Journal, Volume 3, 2009.

HENDERSON, J. C.; VENKATRAMAN, N. Strategic alignment: leveraging information technology for transforming organizations. IBM System Jornals, Vol. 32, No.1, 1993.

HUDSON, R. “Dealing with Basel II: Basel II – the end of risk management?”, Balance

Sheet, Vol. 1, No. 4, pp. 32-35, 2003.

HUNG, Hsu-Fang. KAO, Hsing-Pei. CHU, Yee-Yeen. An empirical study on knowledge integration, technology innovation and experimental practice. Expert Systems with Applications, 2007.

IDC. International Data Group. IDC Latin America Predictions 2007. jan. 2007. Disponível em: <http://www.idc.com/getdoc.jsp?containerId=LA17145>. Acesso em: 21 abr. 2007.

ITGI. Information Technology Governance Institute. COBIT 4.0: Control objectives, Management guidelines, Maturity models. Rolling Meadows: ITGI, 2005.

ITGI. Information Technology Governance Institute. COBIT 4.1: Control objectives, Management guidelines, Maturity models. Rolling Meadows: ITGI, 2007.

ITGI. Information Technology Governance Institute.Enterprise Value: Governance of IT Investiments. The VALIT Framework. Rolling Meadows: ITGI, 2006.

ISO, International Organization for Standardization. ISO/IEC 38500 Corporate Governance for Information Technology. Switzerland: 2008.

JHONSON, Corinne N., The Benefits of PDCA. Quality Progress. Vol. 35, No. 5, 2002.

KAPLAN, Robert S., NORTON, David P. A Estratégia em Ação: Balanced Scorecard. Rio de Janeiro. Elsevier, 1997.

KERSTEN, Bert, VERHOEF, Chis. IT portfolio management: a banker’s perspective on IT. Cutter IT Journal v.16 n. 4 34–40, 2003.

KEYES, Jessica. Implementing the IT Balanced Scorecard: Aligning IT with Corporate Strategy. Auerbach, 2005.


117

KIM, Yong, J., SANDERS, G., Lawrence, Strategic actions in information technology investment based on real option theory. Decision Support Systems Vol. 33, No.1: pp. 1-11, 2002.

KING, Michael., SINCLAIR, Timothy., J., Private Actors and Public Policy: A Requiem for the New Basel Capital Accord. International Political Science Review, Vol 24, No. 3: pp 345–362, 2003.

KORDEL, Luc, IT Governance Hands-on: Using COBIT to Implement IT Governance. Information Systems Control Journal. Vol. 2, 2004.

LATHI, Christian., LANZA, Steve, PETERSON, Roderick, Sarbanes-Oxley IT Compliance and Open Source Tools. Syngress, 2005.

LEE, Gwo-Guang, BAI, Rong-JI. Organization mechanisms for successful IS/IT strategic planning in the digital era. Management Decision Vol. 41 No. 1 32-42, 2003.

LEE, Junghoon, LEE, Changjin, IT Governance-Based IT Strategy and Management: Review and Future Research Directions. in CATER-STEEL, Aileen, Information Technology Governance and Service Management: Frameworks and Adaptations.Information Science Reference: Hershey, 2009.

LEONARD, Dorothy, SENSIPER, Sylvia. The role of tacit knowledge in group innovation. California Management Review Vol. 40 Nº 3, 1998.

LINDERMAN, Kevin. SCHROEDER, Roger G. ZAHEER, Charles L. CHOO, Adrian S. Integrating quality management practices with knowledge creation processes. Journal of Operations Management Vol. 22 pp 589-607, 2004.

LUTCHEN, Mark. D. Managing IT as a Business: A Survival Guide for CEOs. Hoboken: John Wiley & Sons, 2004.

LUTHY, David, FORCHT, Karen, Laws and regulations affecting information management and frameworks for assessing compliance. Information Management & Computer Security Vol. 14 No. 2: pp. 155-166, 2006.

NONAKA, Ikujiro. RYOKO, Toyama. KONNO, Noboru. SECI, Ba and Leadership: a Unified Model of Dynamic Knowledge Creation. Long Range Planning Vol. pp 33 5-34, 2000.

NONAKA, Ikujiro. TAKEUCHI, Hirotaka. Criação de conhecimento na empresa: Como as empresas Japonesas geram a dinâmica da inovação. Rio de Janeiro. Campus, 1997.

OFFICE OF GOVERNMENT COMMERCE. PRINCE2. OGC – Office of Government Commerce. London: The Stationery Office, 2002a.


118

OFFICE OF GOVERNMENT COMMERCE. Service Delivery OGC – Office of Government Commerce. London: The Stationery Office, 2003.

OFFICE OF GOVERNMENT COMMERCE. Service Support. OGC – Office of Government Commerce. London: The Stationery Office, 2002.

PEPPARD, Joe. WARD, John. Beyond systems: towards an IS capability. Journal of Strategic Information Systems Vol. 13 pp 167-194, 2004.

OGC, Office of Government Commerce (2007a). The Official Introduction to the ITIL Service Lifecycle. London: The Stationery Office. 2007.

PETERSON, Ryan R. O’CALLAGHAN, Ramon, RIBBERS, Peter M. A. Information technology governance by design: investigating hybrid configurations and integration mechanisms. Proceedings of the twenty first international conference on Information Systems, Australia, 2000.

PINDER, Phil, Preparing Information Security for legal and regulatory compliance (Sarbanes–Oxley and Basel II). Information Security Technical Report Vol. 11, pp.32-38, 2006.

PLESSIS, Marina. The role of knowledge management in innovation. Journal of Knowledge Management Vol 11 No. 4 20-29, 2007.

PMI, Project Management Institute. Um guia do conjunto de conhecimento em gerenciamento de projeto. Terceira edição. USA: PMI. Project Management Institute. Four Campus Boulevard, Newton Sq, Pennsylvania USA, 2004.

POLANYI, Michael. Tacit knowing: Its Bearing on Some Problems of Philosophy. Reviews of Moderns Physics Vol. 34 No. 4, 1962.

REICH, Blaize H., BENBASAT, Izak. Factors that influence the social dimension of alignment between business and Information Technology objectives. MIS Quarterly Vol. 24 No. 1, 2000.

REZENDE, Denis Alcides; ABREU, Aline França. Planejamento estratégico da Tecnologia de Informação alinhado ao planejamento estratégico de empresas. Revista de Administração Mackenzie. São Paulo, Ano 3, No. 2, pp. 39-51, Jul. 2002.

ROSS, Jeanne, W., VITALE, Michael, R., BEATH, Cynthia, M. The Untapped Potential of IT Chargeback, MIS Quarterly, Vol. 23, No. 2, June, pp. 215-237, 1999.

ROSS, Jeanne, W., WEILL, Peter, ROBERTSON David C. Enterprise Architecture as Strategy. Cambridge: Harvard Business School Press, 2006.


119

SABHERWAL, Rajiv. The Relationship Between Information System Planning Sophistication and Information System Success: An Empirical Assessment. Decision Sciences Vol. 30 No. 1, 1999.

SAMBAMURTHY, V., ZMUD, Robert W. Research Commentary: The organizing Logic for an Enterprise’s IT Activities in the Digital Era – A Prognosis of Practice and a Call for Research. Information Systems Research Vol. 11 No. 2 105-114, 2000.

SILOCCHI, Paulo Roberto. Motivação à inovação de produtos: um estudo nas empresas industriais metalmecânicas de Caxias do Sul. 2002. Dissertação (Mestrado em Administração) – Programa de Pós-Graduação em Administração, Universidade Federal do Rio Grande do Sul, Porto Alegre, 2002.

SMITH, Gregory S. Straight to the top: becoming a world-class CIO. New Jersey: Wiley, 2006.

SNEE, Ronald D. Non-statistical skills that can help statisticians be more effective. Total Quality Management Vol. 8 No. 8, 1998.

SO C,. F,. BOLLOJU, N., “Explaining the intentions to share and reuse knowledge in the context of IT service”. Journal of Knowledge Management v. 9 n. 6. 2005.

STEPANEK, George. Software Project Secrets: Why Software Projects Fail. Library of Congress Cataloging in Publication Data, 2005.

TENG, James T. C., GROVER, Varum, GUTTLER, Wolfgang. Information Technology Innovations: General Diffusion Patterns and Its Relationships to Inovation Characteristics. IEEE Transactions on Engineering Management Vol. 49 No. 1, 2002.

TIWANA, A. The Knowledge Management Toolkit. Prentice Hall PTR First Edition December 06, 1999.

TSAI, Ming-Tien, LI, Young-Hui. Knowledge creation process in new venture strategy and performance. Journal of Business Research Vol.60 pp 371-381, 2007.

TURNBULL, Peter W. A Review of Portfolio Planning Models for Industrial Marketing for Industrial Marketing and Purchasing Management. European Journal f Marketing Vol. 24 No. 3, 1989. USA, 2001.

VAN GREMBERGEM, Wim, Strategies for Information Technology Governance. Hershey: Idea Group Publishing, 2004.

VAN GREMBERGEN, Wim, DE HAES, Steven, Measuring and Improving IT Governance Through the Balanced Scorecard. Information Systems Control Journal Vol. 2, 2005.


120

VAN GREMBERGEN, Wim, DE HAES, Steven. Implementing Information Technology Governance: Models, Practices, and Cases. IGI Publishing, New York, 2007.

VAN GREMBERGEN, Wim. The Balanced Scorecard and IT Governance. Information Systems Control Journal, 2000.

VASCONCELOS FILHO, Paulo. PAGNONCELLI, Dernizo. Construindo estratégias para vencer: um método prático, objetivo e testado para o sucesso da sua empresa. Rio de Janeiro: Campus, 2001.

Venkatraman, N., Camillus J. C. Exploring the concept of fit in strategic management, Academy of Management Review, 9, pp. 513-525, 1984.

WEILL, Peter, SUBRAMANI, Mani, BROADBENT, Marianne. IT Infrastructure for Strategic Agility. Sloan School of Management: MIT: Center for Information Systems Research, 2002.

WEILL, Peter; ROSS, Jeanne W. Governança de tecnologia da informação: Como as empresas com melhor desempenho administram os direitos decisórios de TI na busca por resultados superiores. São Paulo: M. Books do Brasil, 2006.

WU, Hsueh-Liang. When does internal governance make firms innovative? Journal of Business Research, 2007.

YANG, Jie. Knowledge integration and innovation: Securing new product advantage in high technology industry. Journal of High Technology Management Research Vol. 16 pp 121-135, 2005.

mba-gti-ufla - fundamentos e modelos de governanca de ti ultimo

Documents