Após a postagem sobre os 15 sintomas de necessidade de Governança de TIC, evidenciando as divergências, conflitos e disrupturas entre a área de Negócio e a área de Tecnologia da Informação e Comunicação, nada mais justo do que apontar as possíveis ações para apaziguar estas áreas e solucionar definitivamente estes problemas.

O princípio da solução está no alinhamento entre a área de TIC e a área de Negócio, sendo estas conduzidas por um Board integrado, tendo todos os integrantes comprometidos com a estratégia e a estrutura de Governança, apoiados pelos devidos frameworks de GRC – Governance, Risk and Compliance – guiados por Planos de Ação e medidos, acompanhados e evoluídos em frequência regular. Diante de tudo isto, você se pergunta em como fazer para realizar estas imensas e trabalhosas ações… apesar de não existir um fator mágico, aqui surge a principal resposta a todos os 15 sintomas de necessidade de Governança de TIC (e a muitos outros problemas do cotidiano):

 

Ao invés de desistir de um grande problema, fatie-o!

 

 

TIC alinhada ao Negócio, Marcus Rocco, www.governancas.com.br

Governança de TIC: TIC alinhada ao Negócio da Instituição

 

Vamos às possíveis atuações junto aos 15 sintomas de necessidade de Governança de TIC:

 

1 – Falta de alinhamento ao negócio.
A área de TIC deve ter a priorização de seu portfólio de projetos e o consumo de seu orçamento com foco no apoio às necessidades prioritárias e estratégicas do negócio. A Governança de TIC deve ser fortemente marcada pela continuidade das estratégias institucionais e a gestão através de planos formais, com o board da Instituição participando do planejamento da TIC, tanto quanto o board da TIC participando do planejamento estratégico corporativo, disseminando e compartilhando uma visão integrada das funções de TIC da Instituição. Os recursos de TIC devem ser priorizados e alocados com base no Plano Estratégico Institucional. Os recursos humanos devem desenvolvidos e avaliados por um processo de evolução contínua de conhecimento. Todos os custos da TIC devem ser justificados com base no valor que agrega ao negócio. A área de TIC deve possuir consistência com as quatro perspectivas apontadas no BSC corporativo (financeira, cliente, processos internos e, aprendizagem e crescimento), de preferência, com o seu próprio BSC alinhado ao da Instituição.

 

2 – Taxa de falha de projetos empresariais com necessidade de TIC.
Para que um projeto tenha alguma chance de ser bem sucedido ele deve ter sido priorizado e, principalmente, estar focado no atendimento (parcial ou total) de uma estratégia de negócio, pois, assim, já existe grande possibilidade de ter um bom patrocinador. Para que a execução do projeto transcorra dentro de uma metodologia estabelecida, deve se fazer uso de profissionais experientes e, sempre que possível, sendo acompanhado por PMO corporativo, estabelecendo padrões de condução, avaliação, controle e documentação de projetos, garantindo um acompanhamento próximo dos controles definidos, identificando de forma proativa os possíveis desvios (ocasionados por problemas, demandas de mercado ou transformação do negócio) e conduzindo à trilha planejada – além de atentar-se de forma mais macro a indicadores específicos, como a continuidade da necessidade do projeto ao negócio, a avaliação dos riscos do projeto, o cumprimento da padronização estabelecida, a comunicação e o comprometimento das partes. A metodologia de execução do projeto, deve atender às boas práticas descritas pelo PMI e agrupadas no PMBOK dentro de suas áreas de conhecimento (Integração, Escopo, Tempo, Custo, Qualidade, Recursos Humanos, Comunicações, Riscos, Aquisições e Partes Interessadas), cobrindo as falhas comuns de gestão, como variações de escopo, definição de papeis e responsabilidades, estabelecimento de indicadores de acompanhamento, aplicação de ferramentas de qualidade, avaliação de riscos, gerenciamento das expectativas das partes interessadas, estabelecimento de margens de variações de custo, cronograma e recursos, dentre outras.

 

3 – Custo da TIC.
Conforme o Gartner, a distribuição do orçamento da área de TIC é dividido em Run the Business (cerca de 65% do orçamento, com o objetivo de atender a operação do negócio), Grow the Business (cerca de 20% do orçamento) e Transform the Business (cerca de 15% do orçamento) – estas duas últimas atendendo às necessidades estratégicas da Instituição. Descubra o perfil da distribuição do orçamento de TIC e confronte com a expectativa definida pelo board. Se sua Instituição possui a distribuição do orçamento de TIC com um desvio significativo do padrão apresentado, pode ser que ela possua um perfil diferenciado ou que realmente está operando “fora” dos padrões: no primeiro caso, em função do percentual de orçamento destinado ao atendimento da área estratégica (Grow/Transform), a Instituição poderá estar situada em um perfil conservador (18% para Grow e 16% para Transform), no perfil intermediário (21% para Grow e 18% para Transform) ou no perfil agressivo (24% para Grow e 22% para Transform) – ainda conforme o Gartner. Porém, no segundo caso, deve ser realizado um planejamento para execução de análise detalhada objetivando identificar a razão de a distribuição do orçamento de TIC não estar coerente com a distribuição definida/normal, com posterior execução de planos de ação para redirecionamento da mesma. Independente do perfil da Instituição, a TIC deve sempre conhecer de forma detalhada a alocação de seus custos, facilitando a realização de análise de benchmark e mantendo a rastreabilidade e responsabilidade para a devida prestação de contas e, ainda, habilitando o cálculo do valor agregado pela área de TIC ao negócio.

 

4 – Existência de TIC concorrente.
Para reduzir o crescimento e a disseminação da Shadow IT, devem ser estabelecidas diretrizes e uma Política de TIC que definam os papeis e as responsabilidades abarcadas pela área de TIC, exponham os tratamentos e seguranças concedidas aos ativos ao se fazer uso da área de TIC oficial, abordem e reforcem a necessidade de corporativação de soluções caseiras que detém parte da estratégia da Instituição, além da realização de programa de conscientização dos riscos (falta de alinhamento ao negócio, falta de compliance, falta de continuidade, falta de segurança da informação, dentre muitos outros) de se manter uma Shadow IT departamental – quanto maior a Instituição, maiores são as chances de aparecimento da TIC concorrente e mais complexo será seu controle. Deve ser criado um board de TIC composto por responsáveis de diversas áreas da Instituição e deve ser realizado o mapeamento das Shadow IT buscando entender dos usuários as necessidades que estas os suprem, visando o planejamento da absorção de suas demandas a nível de custos e de capacidade/qualidade de atendimento. Por outro lado, a área de TIC oficial precisa estar organizada evitando o atendimento precário, imaturo ou insuficiente aos seus usuários, evitando o aparecimento de brechas que favoreçam o ressurgimento da Shadow IT. E, se esta já estiver disseminada na Instituição, somente uma Governança de TIC forte, consistente, integrada e comprometida poderá trazer esta sombra para junto de seu corpo principal, a área oficial de TIC.

 

5 – Board não comprometido.
A direção a ser seguida pela Instituição é apontada pelo board da Instituição, com seniores da área de Negócio e da área de TIC atuando juntos às demais áreas, comprometidos e balizados pelas mesmas Políticas formais que afetam a TODOS os colaboradores da Instituição. A institucionalização de políticas abrangente e integradoras, entre o negócio e a TIC, tornam as decisões coesas, unificadoras e, mais do que tudo, compartilhadas, trazendo os consequentes aculturamento e equilíbrio, resultando na flexibilidade do atendimento às necessidades da Instituição.

 

6 – Falta de estrutura de Governança.
O board deve criar e formalizar a estrutura de Governança, com os devidos órgãos deliberativos e executivos (sempre que o porte da Instituição assim o permitir), como Comitê de Governança Corporativa, Comitê de Governança de TIC, Comitê de Riscos, Comitê de Auditoria, Comitê de Estratégia, Comitê de Crises, dentre outros, com a sua composição, atribuições, autoridades concedidas e seus regulamentos, todos se reportando a um Conselho de Administração que deve eleger/indicar os membros dos comitês com base em experiência e habilidades. Toda a estrutura de governança deve atuar de modo formal, pública e previsível, objetivando transparência, foco e rapidez nas respostas internas e externas à Instituição. Suas ações devem ser previamente comunicadas por diversos meios na Instituição, visando o alcance de todos os seus stakeholders. Os regulamentos dos comitês devem ser formais, cumpridos e acompanhados pelos outros comitês, bem como pelo Conselho avaliando e tomando ações redirecionadoras, quando necessário.

 

7 – Falta de processos formais.
A área de TIC, assim como todas as outras áreas da Instituição, deve possuir documentação de suas normas, processos e controles que possam ser reproduzidos, gerenciados e objetivamente controlados, possibilitando comparativos com os resultados obtidos pelo mercado (benchmark). A documentação pode partir de seu catálogo de serviços, estendendo-se a seus procedimentos operacionais e, tendo como fundação, as bases regulamentares e legais da área, visando a conformidade. Os processos devem ser formais e mantidos por processos de melhoria (PDCA), sendo atualizados pelas evoluções que tiveram resultado positivo – as que obtiveram resultado negativo devem compor a documentação de lição aprendida, evitando as mesmas implementações sem sucesso. Os processos devem possuir uma visão integrada entre as áreas participantes, trocando o viés de concorrentes para o de parceiras, visando atender o objetivo final e único da Instituição, sua estratégia.

 

8 – Ausência de métricas.
Os processos formais de TIC da Instituição devem vir acompanhados de um conjunto de métricas chaves, como receita, custos operacionais, aplicação do orçamento para atendimento à operação (Run) e à estratégia (Grow e Transform), cumprimento de prazos (cronogramas, SLA e OLA), cumprimento de parâmetros de qualidade e conformidade, grau de satisfação dos usuários, dentre outras. As métricas devem ser coletadas, relatadas, avaliadas contra benchmarks, e serem acompanhadas e gerenciadas para que estejam dentro dos limites acordados com as respectivas áreas usuárias e com o board da Instituição.

 

9 – Falta da cultura de Governança.
Para disseminar a cultura de Governança de TIC será necessário o estabelecimento de um programa de transição cultural com o uso de e-mails corporativos instrucionais, mensagens frequentes em quadros de avisos dos corredores, abertura de fóruns de discussão sobre os temas de Governança de TIC, implantação de treinamentos on-line e, até mesmo, formações específicas, tudo isto visando com que seus stakeholders (funcionários, colaboradores, fornecedores, clientes, etc.) conheçam a importância dos controles, o que é esperado deles dentro do framework de governança como um todo, o porquê de sua atividade e a quem recorrer em caso de necessidade. Apesar de o board da Instituição dar o tom da Governança, a mudança cultural de todos os stakeholders é um fator primordial para o sucesso da implantação da Governança de TIC.

 

10 – Falta de garantia na segurança da informação.
Uma boa Política de Segurança da Informação deve endereçar os riscos de violação dos dados e os Planos de Ação derivados devem ser acompanhados e gerenciados visando uma evolução gradual e consistente da maturidade em Segurança da Informação. Prepare os planos de ação tendo como referência frameworks de Segurança da Informação consolidados no mercado, facilitando a conduzindo seus planejamentos. Um Sistema de Gestão de Segurança da Informação deve ser implementado, preferencialmente cadenciado por fases, garantindo sua absorção, maturidade e solidez para tornar-se base para a fase seguinte. E, apoiado na execução de um bom Plano de Transição Cultural o board conseguirá fazer com que todas as pessoas envolvidas com a Instituição estejam comprometidas com o seu SGSI.

 

11 – Risco de falta de conformidade.
Todas as Instituições precisam estar em conformidade com as regras, especificações, diretrizes, políticas, normas, padrões, regulamentos, contratos e leis estipuladas para o seu negócio – todas estas são consideradas regras de compliance, porém, para ficar em conformidade é necessário que a Instituição catalogue, atribua a responsáveis e acompanhe, com os devidos indicadores, por equipes de qualidade, conformidade e auditoria todas as regras a serem mantidas em compliance e desprenda, simultaneamente, um grande esforço em programa de conscientização, ciclo de análise de gaps com seus respectivos planos de ação, estabelecimento de controles, acompanhamento das evoluções e realização de auditorias internas e externas, isto é, fazer um importante investimento inicial e continuar investindo para manter-se em compliance! A Instituição precisa compreender que estar em conformidade, muito mais do que para reduzir/evitar fraudes, processos legais, multas, punições e até prisões do board da Instituição, significa manter a Instituição transparente, ampliar a confiança do mercado e ser bem vista aos olhos de quaisquer stakeholders, porém, sem a GTIC será muito difícil atender todas as regras/leis pertinentes e alcançar a conformidade.

 

12 – Falha na gestão de riscos.
A definição formal de uma Política de Riscos e do apetite ao risco da Instituição baliza a configuração e aplicação do framework de gestão de riscos na área de negócio e nas demais áreas de apoio, enquanto que a gestão dos riscos no nível corporativo visa potencializar a eficácia das ações tomadas através de alinhamento aos objetivos da Instituição, integração e correlação entre as incertezas versus os potenciais riscos analisados. Um ciclo aplicável de gerenciamento de riscos deve abranger as fases de planejamento do gerenciamento dos riscos, a identificação dos riscos, a realização da análise qualitativa dos riscos, a realização da análise quantitativa dos riscos, o planejamento das respostas aos riscos e, finalmente, o controle dos riscos encerrando/reiniciando o ciclo de gerenciamento de riscos e dando início ao ciclo de avaliação/evolução do Processo de Gerenciamento de Riscos. Este processo de gerenciamento de riscos pode ainda ser categorizado em função dos objetivos da Instituição como Estratégico (afetam as metas da Instituição), Operacional (maximização dos resultados com uso otimizado dos recursos financeiros, humanos e ativos), Comunicação (relacionado à conformidade dos informes e relatórios) e Conformidade (relativo à compliance legal/regulamentar). O tratamento dos riscos dentro de um framework deve ser levado a sério e disseminado em todas as áreas da Instituição, sendo os riscos que mais causam impacto (positivo ou negativo) avaliados e acompanhados pelo Comitê de Riscos da Instituição.

 

13 – Falta de arquiteturas.
A Arquitetura Corporativa se divide em camadas, sendo a mais alta relativa aos negócios da Instituição e a mais baixa relativa à sua infraestrutura de TIC, e, como em qualquer sistema de camadas, as camadas de base devem dar suporte às camadas superiores, portanto, é extremamente importante o alinhamento entre essas camadas e as equipes envolvidas na sua construção/operação. Como resultados práticos obtidos da implantação de uma Arquitetura Corporativa sólida temos o alinhamento entre a TIC e o negócio, integração entre áreas, conformidade com leis, políticas e diretrizes, redução de custos, melhor gestão de riscos, dados sendo tratados como ativos da Instituição, evolução da Segurança da Informação, adoção de melhores práticas tecnológicas, e muito mais, contudo, o maior resultado a ser obtido é a elevação dos objetivos da Arquitetura Corporativa ao nível de estratégias da Instituição, aumentando as chances de satisfação dos stakeholders.

 

14 – TI reativa.
Para que a Instituição possa deixar a área de TIC sempre alinhada à sua estratégia, direcione-a através de um Plano Estratégico de TIC, e, ainda, para garantir o planejamento, a execução e o alcance das metas, balize as ações da área de TIC através de um Plano Diretor de TIC, com os seus devidos acompanhamentos e controles. A área de TIC deve atuar mais do que apenas uma área meio, ela deve atuar como uma área facilitadora da estratégia atual e de novas estratégias empresariais e estar sempre alinhada e preparada, acompanhando como uma sombra as mesmas direções planejadas e tomadas pelo negócio da Instituição.

 

15 – Ineficiência operacional.
O alcance da eficiência operacional só é obtido através de contínuas ações a serem executadas no dia a dia, com a implantação de arquitetura corporativa, com o estabelecimento de processos e de métricas com seus respectivos gráficos de controle, todas estas ações sendo governadas por um Plano Estratégico de TIC – resultando em ações que gerem conhecimento acumulado apoiando a evolução da maturidade de Governança de TIC.

 

 

Em suma, para uma solução de Governança de TIC efetiva, é necessária uma iniciativa top-down da Instituição, com sua consequente execução bottom-up pela Governança de TIC, incluindo todas as atividades entre a TIC e o Negócio, de alinhamento, planejamento e execução de Governança de TIC.

 

A área de TIC de uma Instituição pode ser comparada ao sistema circulatório humano, prestando serviço a todos os outros órgãos, devendo sempre atuar na medida certa – não pode ser frágil ao nível de não atender às demandas dos órgãos e nem mesmo agir de forma autônoma e não alinhada, pois tanto a pressão alta quanto a pressão baixa podem levar à falência do organismo. Portanto, para manter o organismo de sua Instituição sob controle faça pleno uso da Governança de TIC.

 

 

Saiba mais sobre os benefícios da Governança de TIC e como colocá-la em prática na sua Instituição no livro Governança de TIC – Guia Prático de Apoio à Implantação.

 

Até o próximo post.

 

Baixe essa publicação aqui!

 

Leia o post complementar 15 sintomas de necessidade de Governança de TIC

 

 

REFERÊNCIAS

Governança de TIC – Guia Prático de Apoio à Implantação

Gartner

Information Management

ZD Net

CIO

IDG

Sarbanes-Oxley Compliance Journal

Deixe uma Resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Você pode usar tags e atributos HTML:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>