Governanças https://www.governancas.com.br Mon, 25 Mar 2019 12:38:26 +0000 pt-BR hourly 1 https://wordpress.org/?v=4.5.19 https://www.governancas.com.br/wp-content/uploads/2016/06/cropped-G11-Logo-32x32.png Governanças https://www.governancas.com.br 32 32 Governança da Privacidade agora é Lei e multará por inércia https://www.governancas.com.br/2019/03/22/lgpd/ https://www.governancas.com.br/2019/03/22/lgpd/#respond Fri, 22 Mar 2019 11:38:43 +0000 http://www.governancas.com.br/?p=637 A LGPDLei Geral de Proteção de Dados, Lei nº 13.709 de 14 de agosto de 2018, que visa a proteção dos dados pessoais, estabelece um cenário completamente novo nas instituições com relação ao uso desses dados, uma vez que deverão ser tomadas várias ações que visam a proteção dos direitos fundamentais de liberdade/privacidade e o livre desenvolvimento da pessoa natural – agora, os donos dos dados passam a ter domínio sobre seus próprios dados!

 

Governança da Privacidade agora é Lei - www.governancas.com.br

Essa Lei define que deverão estar em conformidade tanto a portaria de um prédio, que registra os dados dos visitantes em um livro, quanto um laboratório de análises clínicas que registra os dados pessoais de seus funcionários na área de RH e disponibiliza os resultados das análises clínicas dos clientes na Web. Esta é a primeira Lei que punirá por inércia: além de as instituições serem obrigadas a se adequar à Lei, deverão demonstrar (evidenciar) a sua conformidade, tanto para o titular quanto para a autoridade nacional, para evitarem as penalizações.

 

 

Algumas definições são importantes para o entendimento da LGPD

 

  • Dado pessoal quaisquer dados que identifiquem ou possam identificar uma pessoa, como seu nome, RG, CPF ou telefone celular.
  • Dado pessoal sensível esses dados incluem, mas não se limitam a, dados de origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização religiosa, filosófica ou política, dado referente à saúde ou à vida sexual e dado genético ou biométrico.
  • Dado anonimizado dado que não possibilita a identificação do seu titular, devido ao uso de técnicas como descaracterização (simples e irreversível) ou criptografia (complexa e reversível).
  • Banco de dados conjunto de dados pessoais armazenados de forma física ou eletrônica.
  • Titular é o dono dos dados pessoais que são alvo de tratamento.
  • Controlador PF ou PJ (empresa privada ou pública), responsável pelas decisões referentes ao tratamento de dados pessoais.
  • Operador PF ou PJ (empresa privada ou pública), responsável pela realização do tratamento de dados pessoais em nome do controlador.
  • Encarregado PF indicada pelo controlador, responsável pela comunicação entre o controlador e os titulares e a autoridade nacional.
  • Agentes de tratamento são o controlador e o operador.
  • Tratamento toda operação realizada com dados pessoais, como: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
  • Anonimização operação técnica aplicada aos dados pessoais impossibilitando a associação, direta ou indireta, a um titular.
  • Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada (e por tempo determinado).
  • Bloqueio suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados.
  • Eliminação suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados.
  • Transferência internacional de dados transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro.
  • Uso compartilhado de dados comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados.
  • Relatório de impacto à proteção de dados pessoais documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.
  • Órgão de pesquisa órgão ou entidade nacional (empresa pública ou empresa privada sem fins lucrativos), que possua missão institucional/objetivo social/estatutário pesquisa de caráter histórico, científico, tecnológico ou estatístico.
  • Autoridade nacional órgão da administração pública indireta responsável por zelar, implementar e fiscalizar o cumprimento desta Lei.

 

Os agentes responsáveis pelos dados pessoais (o controlador, a quem compete as decisões referentes ao tratamento dos dados pessoais; e o operador, responsável por executar as decisões de tratamento desses dados) passarão a ter responsabilidade legal sobre todo o ciclo de vida dos dados pessoais/sensíveis na instituição, desde a obtenção do consentimento formal pelo titular para o tratamento dos dados com uma finalidade determinada, até a conclusão previamente definida do tratamento ou a eliminação do dado por solicitação do titular.

Esta Lei deve ser aplicada a qualquer operação de tratamento realizado por PF ou PJ, quando os dados pessoais forem coletados ou tratados em território nacional (como operações B2C e B2B), executadas tanto de forma física como eletrônica (on-line e off-line). E estende-se às instituições de outras nacionalidades, desde que ela opere ou mantenha relação comercial em território brasileiro. Desta forma, deverão estar em conformidade à LGPD as portarias dos prédios, as operadoras de telefonia, as seguradoras de veículos, os consultórios dentários, os colégios/cursos públicos e privados que mantém registro de seus alunos, as oficinas mecânicas que registram os dados pessoais dos seus clientes, os laboratórios de análises clínicas, os hospitais, dentre muitas outras instituições que fazem tratamento de dados pessoais.

 

 

Obtenção do consentimento

 

O consentimento é um ato temporário e pode ser revogado a qualquer momento pelo titular dos dados. Para isso, os controladores deverão disponibilizar os dados, de forma segura, gratuita e facilitada para consulta e alteração, além de informar a finalidade específica do tratamento e sua forma/duração em uma linguagem simples, clara, acessível e transparente, evitando a nulidade do consentimento, bem como deve informar sobre a possibilidade e consequências de não fornecer o consentimento. Além disso, o titular pode solicitar a portabilidade dos dados a outro fornecedor do serviço ou produto. Só estas ações já geram grande impacto nas instituições que deverão ter seus dados classificados, disponibilizados para visualização/alteração em meio seguro, e ter, ainda, suas finalidades para os tratamentos sendo versionadas e anexadas aos respectivos consentimentos, ou às suas negativas, bem como as futuras revogações dos consentimentos, visando criar prova de consentimento junto à autoridade nacional. Ainda, quando o tratamento dos dados pessoais for baseado em interesses legítimos, os agentes de tratamento deverão focar na transparência do tratamento, que poderá ser alvo de avaliação por parte da autoridade nacional de proteção de dados.

O titular pode, também, requerer ao controlador a confirmação da posse/acesso de seus dados pessoais e deverá receber a resposta do controlador em até 15 dias.

Na necessidade de coleta de dados pessoais sensíveis, os agentes de tratamento devem fazer informes especiais e destacados e coletarem esses dados apenas para finalidades específicas, como estudos, pesquisa ou tutela da saúde (profissionais da saúde ou entidades sanitárias). Os dados pessoais sensíveis não podem ser tratados por razões de interesse legítimo do controlador ou de terceiros, bem como de proteção ao crédito.

Esse nível de cobrança/complexidade eleva-se quando o tratamento se referir aos dados de menores: deverá ser obtido o consentimento de ao menos um de seus pais/responsáveis. Para a obtenção desse consentimento é permitida a coleta limitada (uma única vez e sem armazenamento) de dados pessoais desses menores, que viabilizem o contato com os respectivos responsáveis – e fica definido pela Lei que o controlador deve envidar todos os esforços razoáveis, considerando as tecnologias disponíveis, para obter o consentimento dos responsáveis.

A instituição pode optar por descaracterizar (anonimizar) os dados pessoais obtidos dos usuários e, assim, ficar de fora do escopo de atuação da LGPD, uma vez que, através dessa técnica, perde-se a possibilidade de associação, direta ou indireta, a um indivíduo. De qualquer forma, a instituição deve realizar uma análise de custo versus benefício no esforço de realizar a descaracterização que resultará, por fim, na perda da identidade de seus dados.

Lembrando que, a qualquer momento, a autoridade nacional poderá solicitar um relatório de impacto à proteção de dados pessoais/sensíveis referentes aos tratamentos de dados, contendo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia das informações, além da análise do controlador com relação às medidas, salvaguardas e mecanismos de mitigação de riscos adotados.

E, em caso de incidente de segurança que possa acarretar riscos ou danos relevantes aos titulares, o controlador deverá informar sua ocorrência à autoridade nacional e aos próprios titulares, identificando os dados pessoais e seus respectivos titulares afetados, apresentando as medidas de segurança tomadas, os riscos e danos relacionados ao evento e as ações tomadas para reverter e/ou mitigar o impacto dos prejuízos.

No âmbito das instituições estrangeiras, a transferência internacional de dados pessoais será permitida quando houver o consentimento específico pelo titular para realização da transferência e quando o país receptor possuir proteção de dados adequada à essa Lei, sendo o nível de proteção de dados passível de avaliação pela autoridade nacional. A instituição estrangeira será notificada e intimada de todos os atos processuais previstos nessa Lei, pela autoridade nacional.

 

 

Tratamento dos dados pessoais

 

O tratamento dos dados pessoais somente poderá ser realizado nas seguintes condições:

Condições para tratamento - www.governancas.com.br

É imprescindível que as medidas tomadas nas operações de tratamento para conformidade à LGPD sejam demonstráveis, isto é, sejam geradas evidências de tais ações!

 

 

Princípios a serem aplicados ao tratamento de dados

 

Princípios para o tratamento - www.governancas.com.br

A Lei define ainda sobre o tratamento de dados pessoais pelo Poder Público, que deve visar o atendimento de sua finalidade pública e na persecução do serviço público. Os prazos e procedimentos para o exercício dos direitos dos titulares se alteram, conforme as Leis: Lei do Habeas Data, Lei Geral do Processo Administrativo e Lei de Acesso à Informação. E, ainda abre concessões à transferência de dados a entidades privadas, quando ocorrer a execução descentralizada de atividade pública que exija essa transferência e dá tratamento diferenciado nesses casos específicos.

Os dados pessoais deverão ser eliminados ao término do tratamento, que poderá acontecer quando for obtida sua finalidade, quando terminar o período definido do tratamento, quando o titular revogar seu consentimento ou solicitar a eliminação de seus dados ou, ainda, por uma determinação legal.

 

 

Governança da Privacidade

 

Com relação às Governanças (a Governança dos Dados e, principalmente, a Governança da Privacidade), a LGPD fomenta a formulação de boas práticas, estabelecimento de políticas e padronização, ações educativas, organização, supervisão e mitigação de riscos. E, dispõe, ainda, sobre a implantação de um programa de Governança da Privacidade, o qual, no mínimo:

a) demonstre o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;

Para o atendimento desse item, deverão ser definidos processos e políticas que tratem e apoiem normas e boas práticas voltadas à proteção dos dados pessoais, bem como o uso de apresentações, palestras e informativos (impressos e eletrônicos) que tratem e disseminem a mudança cultural da instituição, promovendo a importância sobre a manutenção da proteção dos dados pessoais.

b) seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta;

As políticas e processos estabelecidos deverão estender-se a todos os dados pessoais sob o controle da instituição, independentemente da forma de coleta do dado (on-line ou off-line) e durante todo seu ciclo de vida, desde a entrada até o expurgo (podendo ocorrer por solicitação do titular ou, automaticamente, pelo término do tratamento).

c) seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados;

As políticas e processos estabelecidos deverão moldar-se ao porte das operações da instituição, quanto maior e mais complexa a organização, maior deverá ser a segurança pretendida (maiores os riscos e os pontos de falha). E, quanto mais sensíveis forem os dados tratados (dados de análise de mapeamento genético para propensão a doenças, por exemplo), maior deverá ser o nível de segurança a ser garantido e mantido e, certamente, maiores serão suas punições em caso de incidentes.

d) estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;

As políticas e processos de proteção aos dados pessoais deverão estar dimensionados adequadamente aos impactos e riscos à privacidade previamente identificados e analisados de forma quantitativa e qualitativa, quanto maiores forem os impactos identificados, mais rígidos deverão ser o monitoramento e o controle da privacidade.

e) tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular;

Devem ser promovidas ações de transparência junto aos titulares informando a finalidade e a temporalidade no uso de seus dados, obtendo o consentimento através de informes claros de como seus dados serão tratados e deve ser considerada a possibilidade de intervenção do titular a qualquer momento no ciclo de vida dos dados, através da permissão, em meio seguro, de consulta, alteração ou eliminação de seus dados pessoais.

f) esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos;

Para atender essa necessidade, faça com que a implementação da Governança da Privacidade seja parte integrante da arquitetura atual da instituição, garantindo que o foco na privacidade dos dados pessoais permeie e seja o centro de todas as suas áreas de negócio (privacy by design). Estabeleça processos de supervisão e auditoria buscando gaps nas políticas, normas e processos (busca por compliance), bem como, proceda com ações de análises de vulnerabilidades na segurança dos dados pessoais por todo o ciclo de vida dos dados na instituição.

g) conte com planos de resposta a incidentes e remediação; e

Prepare planos de resposta a incidentes de vazamento de dados pessoais (obrigações do controlador), bem como, mantenha plano de remediação (reparação) dos danos, visando minimizar os impactos do incidente e realizar o cumprimento de suas obrigações legais. Esses planos devem ser periodicamente revisados e mantidos.

h) seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas;

Os planos que compõem o programa de Governança da Privacidade deverão estar sendo revisitados e atualizados através de processos sendo executados sob o ciclo DMAIC, garantindo que as ações sejam reavaliadas e que ocorram evoluções constantes em todo o programa.

 

 

Busca da conformidade à Lei

 

Para obtenção da conformidade à LGPD, serão necessárias várias ações alinhadas, através do estabelecimento de um programa de compliance à LGPD. Algumas ações em nível macro foram enumeradas, mas não se limitam a:

  • Defina o profissional que será o Data Protection Officer, responsável pela privacidade dos dados e pela equipe de proteção aos dados e, consequentemente, pela conformidade à Lei.
  • Conheça os dados pessoais e sensíveis coletados pela instituição através do mapeamento de seus pontos de entrada e entenda como a LGPD o afeta.
  • Faça um assessment (avaliação de gaps) para alcance da conformidade, visando a construção de planos de ação.
  • Faça a avaliação e controle dos riscos, visando priorização de ações na eliminação ou mitigação dos mesmos.
  • Faça uma análise de conformidade das políticas (Governança de Dados, Governança da Informação e Governança da Privacidade), documentos, processos e contratos que atuem com dados pessoais de empregados, terceirizados e clientes, visando suas evoluções em busca da conformidade legal.
  • Estabeleça um programa de mudança cultural visando disseminar a proteção dos dados como centro dos negócios, buscando atendimento às obrigações da LGPD.
  • Defina a política de tratamento de incidentes, visando conformidade à Lei através de comunicação aos titulares e à autoridade nacional, além de ações de remediação, em caso de incidente com dados pessoais.
  • Revise sua Política de Segurança da Informação e estabeleça a política de Governança de Privacidade.
  • Estenda a política de Governança de Privacidade junto aos seus fornecedores e parceiros, visando total conformidade.
  • Faça o planejamento evolutivo dos pontos de entrada de dados visando apresentar as informações obrigatórias legais sobre o tratamento dos dados pessoais e obter o consentimento dos titulares.
  • Nas entradas de dados, informe clara e adequadamente, e obtenha (ou não) o consentimento. Faça o versionamento dos informes e seus respectivos consentimentos de uso de dados pessoais (ou das negativas) visando produção de provas de consentimento.
  • Faça o planejamento da evolução de arquitetura, infraestrutura e entrada de dados da instituição: segurança em conexões, transferências, compartilhamentos, transações, interfaces, conexões, bancos de dados locais e na nuvem, arquivos no file system, controle de acessos e permissões, etc. Mapeie, avalie e garanta a segurança em cada ponto.
  • Registre as operações e tratamento de dados, visando criação de evidência de conformidade à Lei.
  • Utilize com regularidade de ferramentas e técnicas que apoiem a precaução de incidentes: análise e gestão de vulnerabilidades, análise de tráfego, prevenção contra intrusos, proteção contra ameaças, etc.
  • Garanta que os titulares tenham seus direitos exercidos de forma facilitada, transparente, clara e gratuita.

 

Direitos e deveres - www.governancas.com.br

 

As penalizações por infração cometida à LGPD, além da advertência, poderão ser de até 2% do faturamento, sendo limitada ao valor de R$50 milhões; multa diária; publicização da infração (marketing negativo); bloqueio e eliminação dos dados que sofreram a infração. O prazo para as instituições estarem em conformidade à Lei é até 15 de fevereiro de 2020, isto é, menos de 11 meses… sim, é um trabalho imenso para ser executado em um prazo curtíssimo!

 

O lado negro da força sempre tentará atacar, mas a conformidade à LGPD deixará a segurança dos dados nas instituições em alto nível. Como você está tratando a aderência à Lei da Governança da Privacidade na sua instituição?

 

Solicite apoio do Governanças na busca de sua conformidade à LGPD. Faça-nos uma consulta!

 

Baixe essa publicação aqui!

 

 

 

REFERÊNCIAS

 

Governancas.com.br

LEI Nº 13.709, DE 14 DE AGOSTO DE 2018

LEI Nº 12.527, DE 18 DE NOVEMBRO DE 2011

Sete importantes considerações sobre Governança de Dados

Understanding data governance

Governanças – O Livro

]]>
https://www.governancas.com.br/2019/03/22/lgpd/feed/ 0
Reduzindo custos através da Governança de TIC https://www.governancas.com.br/2018/11/21/reduzindo-custos-atraves-da-governanca-de-tic/ https://www.governancas.com.br/2018/11/21/reduzindo-custos-atraves-da-governanca-de-tic/#respond Wed, 21 Nov 2018 12:19:29 +0000 http://www.governancas.com.br/?p=596 Além de todos os benefícios já apontados resultantes da implantação da Governança de TIC (GTIC), ela também deve ser utilizada com foco na redução de custos, através da aplicação eficiente do orçamento de TIC, fazendo uso de políticas, diretrizes, qualidade, processos e das boas práticas de GRC.

Redução de custos pela Governança de TIC, www.governancas.com.br

Reduzindo custos através da Governança de TIC, www.governancas.com.br

Para que isso aconteça é necessário planejar, estabelecer e conduzir (gestão e controle) um programa de direcionamento/aperfeiçoamento da GTIC, tendo como alvo a minimização de seus custos diretos e indiretos. Algumas ações trazem resultados positivos na efetiva redução de custos de TIC:

  1. Atuar na ampliação do conhecimento e da capacitação dos gestores de TIC, fazendo com que esses percebam os resultados positivos e se tornem pontos de referência na evolução da GTIC.
  2. Fomentar e debater as disciplinas que compõem o tema Governança de TIC, focando no impacto resultante da excelência da gestão, mantendo os gestores alinhados desde as políticas até o uso das boas práticas.
  3. Estabelecer um programa de avaliação e evolução de performance dos processos, visando medir os impactos de gaps e bottlenecks e reduzir efetivamente seus tempos de execução.
  4. Estabelecer um framework de Arquitetura Corporativa específico que suporte o negócio, aplicando metodologias e melhores práticas já conceituadas no mercado, como TOGAF, COSO, ISO, COBIT, ITIL, PMBOK, CMMI, etc.
  5. Aplicar a Governança da Arquitetura Corporativa, visando trazer redução de custo por reuso, redução de curva de aprendizado e ampliação da integração e conformidade aos processos e Sistemas de Informação.
  6. Avaliar os processos produtivos, visando desonerar as equipes técnicas das atividades administrativas e permitir que as mesmas possam aplicar mais tempo produtivo (e dispendioso) nos desafios específicos de TIC.
  7. Estabelecer um programa de gestão de riscos corporativos (maximizar oportunidades e reduzir perdas) com o objetivo de atuação normatizada, consistente, convergente à estratégia da empresa e, mais importante ainda, aderente às demandas regulatórias (compliance).
  8. Atuar rigidamente na Governança de Dados, buscando o aumento da Segurança da Informação pela melhoria dos controles, redução de redundâncias e inconsistências, concessão de permissões de acessos devidos e proteção aos dados sigilosos/privados, proporcionando redução de custos de infraestrutura e de eventuais processos legais.
  9. Definir práticas para a contratação de serviços (terceirização) com base nos melhores procedimentos, buscando aumento na produtividade e qualidade do serviço (profissionais atualizados e regrados por SLA), na segurança da informação (Non-Disclosure Agreement), na excelência do negócio, na redução dos custos fixos mensais (custo operacional) e na redução dos riscos (terceirizados e contratados).
  10. Avaliar a terceirização das atividades de Service Desk, caso não seja um processo que componha a atividade-fim, permitindo a contratação sob demanda com segurança, uma vez que os serviços serão padronizados (rotineiros) e garantidos por SLA.
  11. Avaliar a aquisição ou terceirização do desenvolvimento de sistemas de informação, assim como no caso do Service Desk, caso não seja uma atividade integrante da atividade-fim, gerenciando, controlando e medindo as entregas através de metodologias conceituadas e SLA.
  12. Avaliar a contratação de Data Center externo ou Cloud Computing, evitando, desta forma, a aquisição de sala-cofre e seu alto custo de manutenção, gerenciamento, depreciação e defasagem tecnológica de SW e HW, possibilitando, ainda, flexibilidade na gestão dos recursos demandados (ampliação de capacidade por demanda), além da redução do TCO (custo total de propriedade).
  13. Estender as ações de GTIC junto aos fornecedores visando garantir que os serviços/produtos entregues pelos mesmos agreguem efetivamente valor ao negócio, ratificando que a opção de compra (contratação externa) para redução de risco tenha sido a melhor escolha (análise make-or-buy).
  14. Atuar na gestão da qualidade (valor da entrega) dos serviços/produtos com o objetivo de reduzir o retrabalho, melhorar o índice de satisfação dos clientes e, consequentemente, aumentar sua competitividade e rentabilidade.
  15. Estabelecer um programa que fomente a governança abrangente e integrada em todas as disciplinas da cadeia de valor de TIC (estratégia de TIC, arquitetura, projeto e portfólio, ciclo de vida do aplicativo/produto, infraestrutura e dados, ciclo de vida de serviço, fornecedor e terceirização), visando homogeneidade, fluidez e convergência dos objetivos.
  16. Atuar na Governança da Inovação, visando melhoria da eficiência da TIC na adoção de novas soluções (metodologias, tecnologias, ferramentas, frameworks e outros).
  17. Avaliar, medir e evoluir sua infraestrutura de redes, visando aplicação de canal de voz na rede de dados (VoIP).
  18. Ao avaliar a aquisição versus locação de ativos de TIC (servidores, desktops, notebooks, storages, appliances e outros), além de analisar o impacto no fluxo de caixa, ponderar com relação ao breakeven dessas opções levando em consideração, as configurações disponibilizadas, a depreciação do ativo, se o ativo estará em missão crítica, quem dará suporte às manutenções corretivas, se existem manutenções evolutivas planejadas, se há possibilidade de substituição por defeito/quebra, os custos de licenças de SWs básicos e se o ativo terá seguro – nos dois casos, considere a inclusão de processo de segurança às informações sensíveis mantidas nos ativos que serão descartados ou que retornarão à empresa proprietária ao término da locação.
  19. Manter os custos de TIC rastreáveis, possibilitando estudos e análises detalhadas e seguras, permitindo ajustes e acompanhamento dos indicadores financeiros e precisão nas informações alavancadores de decisões.
  20. Estabelecer baselines com o planejamento dos recursos (ativos, financeiros e humanos) visando avaliação do gerenciamento efetivo da Governança de TIC. Essas baselines deverão ser mantidas atualizadas, objetivando análise e indicação de previsibilidade de variações futuras, direcionando à implementação de ações preventivas ou corretivas.

 

E, além das ações apresentadas acima, é claro que todos os processos que comporão o programa de Governança de TIC deverão ser medidos e controlados, visando a melhoria contínua (método DMAIC) de seus resultados.

Estamos vendo que não é simples planejar e executar ações de redução de custos através da Governança de TIC, menos ainda se forem executadas dentro de processos medidos, controlados e balizados pela GRC, porém, com certeza, os resultados virão e serão satisfatórios!

 

Baixe essa publicação aqui!

 

REFERÊNCIAS

Por que você precisa da GRC

15 sintomas de necessidade de Governança de TIC

Agindo nos 15 sintomas de necessidade de Governança de TIC

Mapeamento de Processos com BPMN e Bizagi

Arquitetura Empresarial através do framework TOGAF

Maturidade no Processo de Gestão de Riscos Corporativos

Governança de Compliance: Due Diligence

Gestão da Terceirização de TIC

Governança de Dados das Vacas e das Coisas

Checklist da Norma ISO 27.001

Governança das Aquisições

Indicadores Financeiros

Como implantar a Governança de TIC

Maximizing Business Value Through Effective IT Governance

How to Improve the Governance of Outsourced IT Contracts While Reducing Cost

IT Financial Management – Cost transparency and effective IT governance

The 7 Habits of Highly Effective IT Governance

 

]]>
https://www.governancas.com.br/2018/11/21/reduzindo-custos-atraves-da-governanca-de-tic/feed/ 0
A Indústria 4.0 e suas Governanças https://www.governancas.com.br/2018/09/30/a-industria-4-0-e-suas-governancas/ https://www.governancas.com.br/2018/09/30/a-industria-4-0-e-suas-governancas/#respond Sun, 30 Sep 2018 15:24:00 +0000 http://www.governancas.com.br/?p=586 A Indústria 4.0, também conhecida como a quarta revolução industrial ou, ainda, smart factories (Fábricas Inteligentes), integra os campos de automação, controle e gestão através da tecnologia da informação, trazendo a automatização e customização de seus processos produtivos, levando ao aumento da qualidade e da eficiência e a redução da força de trabalho operacional bruta, sendo substituída por profissionais mais qualificados.

 

Esquema da Revolução Industrial - www.governancas.com.br

:: As ondas da Revolução Industrial ::

 

Esta revolução baseia-se na implementação de Sistemas Cyber-Físicos (Cyber Physical Systems – CPS) que fundem o mundo físico com o mundo virtual através de redes de informações (máquinas, sistemas de informação, interfaces homem-máquina, sensores, atuadores, controladores, PLCs, sistemas, peças, produtos, transportadoras, seres humanos, etc) em toda a cadeia de valor e durante todo o ciclo de vida de um produto. Através da Internet Industrial das Coisas (IIoT – Industrial Internet of Things, uma evolução da IoT para o ambiente da indústria), com seus softwares e dispositivos inteligentes (elementos básicos e imprescindíveis dessa revolução), os CPS estão interconectados e integrados em tempo real, passando a ter independência e descentralização nas análises e nas tomadas de decisões, provendo serviços internos, cross organizacional e extra organizacional, a serem consumidos pelos participantes das cadeias de produção, logística e consumidores.

Os CPS proporcionam integração vertical: criação de valor desde a concepção da ideia até a conclusão, estocagem inteligente e a entrega do produto, através do uso de sensores em cada etapa da produção, por exemplo, para identificação de defeitos/problemas relacionados a qualidade, resultando em redução de retrabalho, gerando a integração em diferentes níveis da hierarquia – como integração dos CPS com os sistemas de controle, gestão e planejamento da produção, do estoque e das vendas. Proporcionam, também, a integração horizontal: integração com o cliente, como o rastreamento do progresso de seu produto e possibilidade de mudança na configuração do mesmo em tempo real e integração com os fornecedores, através de pedidos automáticos de compra de matérias-primas resultantes da análise dos dados do estoque contra o fluxo de demandas de produtos. Através da união dessas duas integrações, vertical e horizontal, torna-se possível avaliar sua capacidade produtiva em determinado momento e decidir por redirecionar uma demanda de produção à uma planta que poderá realizar a manufatura com mais eficiência, obtendo ganho de produtividade, desempenho financeiro e operacional, ampliação de participação de mercado, além de domínio do controle e da visibilidade em sua cadeia de produção.

A aplicação da TIC (Tecnologia da Informação e Comunicação) na Indústria 4.0, no que diz respeito à cadeia de suprimentos, habilita o uso de softwares sofisticados, que evoluem o conceito de planejamento e controles da produção e da qualidade, com robôs autônomos que podem recuperar, de forma incansável, todos os produtos de vários pedidos dentro de um estoque inteligente, retroalimentando o software com feedbacks em tempo real, disponibilizando visualização atualizada dos status dos processos e alterando o planejamento da linha de produção e de aquisição de estoque, de acordo com as demandas recebidas. Com a integração dos sistemas nas nuvens (cloud computing) todo esse processo produtivo pode ocorrer sem limitadores geográficos, isto é, pode estar acontecendo em paralelo em plantas diferentes, mas todas fornecendo dados de sua produção em tempo real, subsidiando tomadas de decisão pela matriz (integração vertical e horizontal), permitindo a virtualização (descentralização e controle) da fábrica inteligente através de softwares – levando ainda à possibilidade de customização, em tempo de produção, de características dos produtos (personalização) por parte dos consumidores, servindo como exemplo de Internet of Services (IoS), onde agrupamentos lógicos de dados e “coisas” tornam-se novas oportunidades e modelos de negócio que agregam valor ao produto final.

Com toda essa miríade de equipamentos inteligentes gerando dados de forma incessante, passa a ser natural e imprescindível a aplicação do conceito de Big Data (grande volume de dados – estruturados ou não – gerados pelas “coisas” e armazenados por softwares), que, de modo sucinto, é utilizado para fazer a transformação, a análise industrial (Industrial Analytics) e sua devida qualificação, convertendo esse imenso volume de dados brutos em informações relevantes ao negócio, como, por exemplo, apontar uma manutenção preditiva em tempo real, evitando a interrupção da produção por falhas não planejadas de máquinas no chão de fábrica.

 

Smart Factory - www.governancas.com.br

:: Smart Factory ::

 

Com a Indústria 4.0, diversos temas/disciplinas deverão ser conhecidas, exploradas e dominadas pelas indústrias: IIoT (base da CPS), CPS (network de informações que integram os mundos físico e virtual), Cloud Computing, Fog Computing e Edge Computing (pré-processamento de dados brutos ou um middleware para convergência/padronização de protocolos de comunicação das “coisas”, como exemplos), Big Data e Industrial Analytics (análise de grandes volumes de dados gerados pela IIoT), segurança da CPS (TIC e cibernética), capacitação e incentivo à P&D (desenvolvimento de tecnologia embarcada, por exemplo), robótica avançada (smart robots, smart drones, etc), inteligência artificial, virtualização (simulação, projeção em 3D), realidade virtual ou aumentada (smart glasses, tablets, telefones celulares), smart wearables (wristbands, watches, glasses), manufatura aditiva (impressão em 3D), biologia sintética, integração de sistemas (vertical e horizontal), remodelagem de processos (produtivo e logístico) e reavaliação do modelo de negócio. Em contrapartida, pelo lado do governo, além da criação de toda a política governamental que suporte uma estratégia de crescimento e reposicionamento global na inovação (o Brasil ocupa a 69ª colocação no Índice Global de Inovação), será necessário estabelecer incentivos que apoiem, fomentem e financiem esta revolução, fazendo com que o Brasil obtenha melhor posição no mercado internacional.

Diante de tantas informações, você já sabe onde entram as Governanças (leia-se GRC) nesse imenso e maravilhoso cenário da Indústria 4.0? A GRC entra na aplicação de praticamente todos os conceitos de Smart Factories apresentados, desde a complexa Governança de TIC junto aos CPS, até o seu nível mais elementar, os dados produzidos pela IIoT, que precisam ser regulados pela Governança de Dados. Isso tudo perpassando por várias outras governanças, como Governança da Informação produzida por esses ambientes, bem como da Segurança da Informação produzida, a Governança das Arquiteturas Empresariais, garantindo a interoperabilidade e integração dos CPS com os sistemas de informação internos e externos, a Governança do Negócio, cuidando da estratégia, da manutenção dos processos de negócio, da pesquisa e inovação e do capital intelectual, dentre outras.

A orquestração da sinfonia de todas as governanças trabalhando de forma uníssona dentro de um cenário inovador e complexo é um grande desafio, mas a decisão de ingressar na geração 4.0 das indústrias com essa orquestra ainda em descompasso poderá trazer impactos consideráveis ao negócio!

Diante de toda essa explanação, fica a pergunta:

– O quanto nossas indústrias estão preparadas para fazer parte da revolução da Indústria/Governança 4.0?

 

Baixe essa publicação aqui!

 

REFERÊNCIAS

Governança de Dados das Vacas e das Coisas

Por que você precisa da GRC

Maturidade no Processo de Gestão de Riscos Corporativos

Robô autônomo da Alibaba reconhece rostos e faz entregas a 15 km/h

Alibaba anuncia robô capaz de escrever descrições de produtos sozinho

Amazon já tem mais de 100 mil robôs autônomos em seus galpões

ADVANCED MANUFACTURING: A Snapshot of Priority Technology Areas Across the Federal Government

Agenda brasileira para a Indústria 4.0

FIESP identifica desafios da Indústria 4.0 no Brasil e apresenta propostas

FIRJAN – Indústria 4.0: Internet das coisas

FIRJAN – Indústria 4.0

]]>
https://www.governancas.com.br/2018/09/30/a-industria-4-0-e-suas-governancas/feed/ 0
O reconhecimento é a maior satisfação! https://www.governancas.com.br/2018/09/13/o-reconhecimento-e-a-maior-satisfacao/ https://www.governancas.com.br/2018/09/13/o-reconhecimento-e-a-maior-satisfacao/#respond Thu, 13 Sep 2018 10:34:22 +0000 http://www.governancas.com.br/?p=570 Reconhecimento G11 - www.governancas.com.br

O Governança de TIC – Guia Prático de Apoio à Implantação tem conquistado sua (ainda pequena) fatia no mercado, porém, aos poucos, está tornando-se uma evidência no apoio ao planejamento e preparação da implantação da Governança de TIC.

 

www.governancas.com.br

www.governancas.com.br

As muitas Governanças atuando na otimização dos recursos, visando a plena satisfação de todas as partes interessadas!

 

Vejam alguns comentários publicados sobre o livro:

 

“Definitivamente gostei!”

Christian Serapião, doutorando em projetos de TIC pela Universidad Internacional Iberoamericana (México), é mestre em direção e planejamento estratégico em TI e, definitivamente, gostou do livro!

 

“5 livros sobre TI que todo analista deve ler”

A Alerta Security Solutions, uma empresa com mais de 13 anos de atuação, é especializada em segurança cibernética e monitoramento de infraestrutura, classifica o livro como ótimo e detentor de informação mais qualificada.

 

Indicado pelo IFRJ

O livro foi indicado como leitura complementar da disciplina Governança de TI pelo Instituto Federal do Rio de Janeiro (IFRJ – Campus São João de Meriti).

 

Como expressa muito bem o título deste post, o reconhecimento é a maior satisfação, então, da mesma forma, também agradeço e reconheço os leitores e, mais ainda, os que contribuíram com (todo e qualquer tipo de) feedback sobre o Governança de TIC – Guia Prático de Apoio à Implantação – continuem contando comigo no suporte às suas empreitadas de implantação e de evolução da maturidade da Governança de TIC em suas instituições.

 

Um grande abraço!

]]>
https://www.governancas.com.br/2018/09/13/o-reconhecimento-e-a-maior-satisfacao/feed/ 0
Pesquisa Perfil GovTI 2016: Análise de dados https://www.governancas.com.br/2018/03/27/pesquisa-perfil-govti-2016-analise-de-dados/ https://www.governancas.com.br/2018/03/27/pesquisa-perfil-govti-2016-analise-de-dados/#respond Tue, 27 Mar 2018 16:34:50 +0000 http://www.governancas.com.br/?p=555 Recentemente foi liberado pelo Tribunal de Contas da União o arquivo consolidado dos dados coletados para o levantamento do índice de Governança de TI 2016 na Administração Pública Federal – APF.

Vamos à análise!

 

Distribuição por maturidade em Governança de TI (2014 X 2016) - www.governancas.com.br

Distribuição por maturidade em Governança de TI (2014 X 2016) – www.governancas.com.br

 

Pela primeira vez, fica bem aparente um equilíbrio na distribuição de maturidade em Governança de TI entre as instituições que se posicionaram até o nível Básico (185) e as que se posicionaram a partir do nível Intermediário (183), do total de 368 instituições da APF participantes em 2016 (contra 372 instituições participantes da pesquisa realizada em 2014).

 

Comparativo da distribuição de maturidade em Governança de TI (2014 e 2016) - www.governancas.com.br

Comparativo da distribuição de maturidade em Governança de TI (2014 e 2016) – www.governancas.com.br

 

Nos níveis Inicial e Básico podemos verificar a redução de quantidade de instituições que as compõem, evidenciando deslocamentos para o nível seguinte:

  • A faixa de maturidade Inicial foi reduzida em 7,64%, indicando uma migração para o próximo nível, o Básico.
  • A faixa de maturidade Básico foi reduzida em 2,84%, indicando, também, uma migração para o próximo nível, o Intermediário.

Para se obter estes porcentuais, foi levada em consideração a diferença a menor de 4 (quatro) respondentes nos anos de 2014 e 2016, através de proporção entre o subtotal das faixas e o total de respondentes.

 

Ratificando a evolução de maturidade das instituições, cresceram as quantidades de instituições que se encontram nos níveis mais avançados:

  • A faixa de maturidade Intermediário teve um excelente crescimento de 8,21%, indicando o recebimento de instituições vindas dos níveis inferiores.
  • A faixa de maturidade Aprimorado foi aumentada em 2,27%, indicando, também, o recebimento e a evolução de instituições vindas dos demais níveis.

 

 

Evolução da maturidade em Governança de TI - iGovTI 2014 X 2016 - www.governancas.com.br

Evolução da maturidade em Governança de TI – iGovTI 2014 X 2016 – www.governancas.com.br

 

Neste gráfico evolutivo ficam comprovados:

  • O deslocamento da onda no sentido à direita, onde se localiza o quadrante de maior maturidade em Governança de TI.
  • A redução da altura da onda nos dois primeiros níveis (Inicial e Básico), demonstrando a saída de instituições destes níveis.
  • O aumento da altura da onda nos dois últimos níveis (Intermediário e Aprimorado), demonstrando o acréscimo de instituições nestes níveis de maturidade de Governança de TI.

 

Como os dados coletados nos períodos anteriores desta pesquisa de índice de Governança de TI (2012, 2010 e 2007) não foram divulgados de forma aberta, não é possível realizar uma análise comparativa detalhada e montar um gráfico evolutivo da maturidade em Governança de TI de todos os períodos levantados. E, ainda, é bom lembrar que, eventualmente, ocorrem variações nas questões e, consequentemente, na forma de calcular o índice, bem como na quantidade de instituições participantes – o que pode levar a algum pequeno desvio no resultado final do comparativo.

De qualquer modo, podemos concluir que as instituições da APF estão fazendo o “dever de casa” e realmente atuando no crescimento de sua maturidade nas Governanças Corporativa e de TI.

 

Agora, fica a pergunta: a sua instituição está evoluindo na maturidade de Governança de TI?

 

Referência

http://portal.tcu.gov.br/comunidades/fiscalizacao-de-tecnologia-da-informacao/atuacao/perfil-de-governanca-de-ti/

]]>
https://www.governancas.com.br/2018/03/27/pesquisa-perfil-govti-2016-analise-de-dados/feed/ 0
Governança de Compliance: Due Diligence https://www.governancas.com.br/2018/03/12/governanca-de-compliance-due-diligence/ https://www.governancas.com.br/2018/03/12/governanca-de-compliance-due-diligence/#comments Mon, 12 Mar 2018 17:21:57 +0000 http://www.governancas.com.br/?p=542 Com a sucessão de casos de escândalos de corrupção e subornos é imprescindível a existência de Governança de Compliance que habilite e suporte um programa de compliance, e, dentro dele, um sistema eficaz de Due Diligence – conhecida em português como diligência prévia, que quer dizer obtenha o máximo de informações possíveis para embasar uma tomada de ação. Mas o que é a Due Diligence, como ela funciona e para que serve?

 

A Due Diligence, diferente de uma auditoria, atua na coleta e análise de informações sobre a reputação de uma empresa (dentro da ótica da legalidade e ética, busca desvios na situação financeira, fiscal, tributária, contábil, recursos humanos, conformidade aos aspectos regulatórios, gestão da informação, ouvidoria, etc.) e sobre os riscos relacionados aos seus profissionais (background check: avaliação de processos judiciais, existência de histórico criminal, situação financeira, pessoa politicamente exposta, etc.) e sobre sua imagem e reputação na visão de diversos stakeholders internos (acionistas, board, colaboradores) e externos (clientes, concorrentes, fornecedores, além de outros agentes externos) à empresa. É claro que alguns riscos são inerentes ao negócio de atuação da empresa, isto é, uma empresa de detetives particulares, muito provavelmente, terá algum ex-policial contratado e, ainda, ter alguns profissionais com fortes relacionamentos políticos ou em organizações públicas.

Para que a Due Diligence seja eficaz é necessário saber previamente quais informações precisam ser analisadas visando a identificação das red flags existentes (gatilhos que sugiram riscos: éticos, legais, comerciais, operacionais, etc., dentro do contexto em foco, por exemplo, um alerta de suborno em uma avaliação de contratação de empresa prestadora de serviços). Seguindo ainda o exemplo de contratação de empresa prestadora de serviços, com o objetivo de mitigar riscos de inconformidade, além da execução da Due Diligence, é importante obter o comprometimento da prestadora de serviço com a política antissuborno/anticorrupção, o código de conduta e/ou o guia de compliance da contratante, que deve possuir cláusulas contratuais específicas que reprovem condutas ilícitas, bem como possibilitem a realização de auditorias. É importante ressaltar que, após a identificação de uma red flag, um processo de investigação detalhado deverá ser iniciado, assegurando credibilidade ao programa de compliance.

 

www.governancas.com.br, Governança de Compliance Siemens

Governança de Compliance: Programa da Siemens

 

A Due Diligence também pode ser executada dentro da própria organização interessada, normalmente através de uma empresa terceira, para identificar suas próprias red flags e tratar os seus desvios – este processo também é conhecido como vendor due diligence, sell-side due diligence ou seller due diligence.

Existe, ainda, uma versão específica de diligência prévia chamada de ABC Due Diligence (sigla de Anti-Bribery and Corruption Due Diligence) e significa que a diligência prévia possui foco na descoberta de suborno, corrupção, fraudes e lavagem de dinheiro.

 

A Due Diligence deve ser realizada para:

  1. Medir a maturidade de conformidade, visando sua evolução em um programa de compliance
  2. Apoiar nas descobertas de fraudes
  3. Apoiar transações de compra/venda de produtos ou serviços
  4. Identificar desvios de conformidade ético e/ou legal
  5. Apresentar seus resultados a uma empresa a qual deseja tornar-se parceira
  6. Apresentar seus resultados a uma empresa compradora
  7. Apoiar processos de aquisição de empresas
  8. Apoiar processos de fusão entre empresas
  9. Obter capital externo (investimento ou investidores)
  10. Apoiar a realização de uma IPO
  11. Avaliar riscos e oportunidades, etc…

 

De acordo com a organização Transparency International em seu relatório Corruption Perceptions Index de 2017 (classificação de 180 países pelos níveis percebidos de corrupção do setor público de acordo com especialistas e empresários), demonstra que a maioria dos países está fazendo pouco ou nenhum progresso para reduzir o nível de corrupção. Porém, contrário ao resultado obtido pela organização, o Ministério Público Federal do Brasil assinou recentemente (23/jan/2018) um memorando de entendimento com o Serious Fraud Office (Departamento de Investigação de Fraude Séria do Reino Unido), órgão responsável por investigar casos complexos de corrupção e de lavagem de dinheiro, onde se comprometem com a troca de informações para prevenção e identificação de crimes de fraudes sérias ou complexas, incluindo suborno e corrupção.

 

www.governancas.com.br, CPI 2017

Índice de percepção de corrupção – 2017

 

Na tentativa de reduzir os cenários de corrupção, o Decreto nº 8.420/2015 definiu no artigo 41 o que é o Programa de Integridade (“Programa de integridade consiste, no âmbito de uma pessoa jurídica, no conjunto de mecanismos e procedimentos internos de integridade, auditoria e incentivo à denúncia de irregularidades e na aplicação efetiva de códigos de ética e de conduta, políticas e diretrizes com objetivo de detectar e sanar desvios, fraudes, irregularidades e atos ilícitos praticados contra a administração pública, nacional ou estrangeira.”), mediante à definição, a CGU estabeleceu os cinco pilares de um Programa de Integridade:

  1. Comprometimento e apoio da alta direção: o board deve estar comprometido e servir de exemplo de conduta para funcionários e terceiros.
  2. Instância responsável pelo Programa de Integridade: o responsável pelo programa deve possuir recursos e autonomia para conduzir o programa e executar as atividades.
  3. Análise de perfil e riscos: A Governança de Riscos estabelece o alicerce para a criação de regras, políticas e processos que visam prevenir, detectar e remediar os desvios/riscos, através da gestão de riscos.
  4. Estruturação das regras e instrumentos: Os artefatos (regras, políticas, normas e processos) originados pela Governança de Riscos devem ser formais, públicas, divulgadas e mantidas por processos vivos.
  5. Estratégias de monitoramento contínuo: o programa deve ser executado dentro de um ciclo PDCA/DMAIC, garantindo a evolução da maturidade da Governança de Compliance.

 

Reforçando a necessidade de implementar a Governança de Compliance, a empresa de consultoria ICTS, através de uma pesquisa de perfil ético dos profissionais das corporações brasileiras, com 8.718 entrevistados, obteve os seguintes resultados:

– com relação à atitude frente a erros alheios: 61% possivelmente omitirão por complacência, corporativismo, pela falta de percepção da gravidade ou por receio da punição.

– com relação à processos auditáveis de concorrência e contratação referente a recebimento de suborno: apenas 2% das empresas responderam de forma positiva e o restante respondeu de forma contrária por acreditar ser um crime sem vítimas ou pela banalização da prática.

 

A formatação da Governança de Compliance deve considerar a necessidade de execução e avaliação frequente de seu programa de compliance que contemple a Due Diligence de forma corporativa, ampla e irrestrita, acionando gatilhos de riscos (red flags) que devem ser apontados e tratados pela política de riscos corporativa (Governança de Riscos).

 

Para apoiar o estabelecimento de um programa de compliance, uma lista de red flags de corrupção de Terceiros foi criada e publicada pelo FCPAméricas, uma organização que cobre questões anticorrupção com foco na América Latina. Somando-se a esta, a organização Society of Corporate Compliance and Ethics produziu o checkup de reputação/responsabilidade utilizando terceiros em todo o mundo. Estas duas referências, que deverão ser incrementadas/evoluídas conforme a necessidade do negócio, já são um bom começo para planejar a Due Diligence de terceiros.

 

Assim sendo, o seu programa de Compliance segue as diretrizes corporativas de uma sólida Governança de Compliance?

 

Baixe essa publicação aqui!

 

 

Referências consultadas:

Memorando entre o Ministério Público Federal (BR) e o Serious Fraud Office (UK) https://https://www.sfo.gov.uk/download/memorandum-understanding-federal-prosecution-service-federative-republic-brazil-serious-fraud-office/
A Resource Guide to the FCPA U.S. Foreign Corrupt Practices Act https://www.justice.gov/sites/default/files/criminal-fraud/legacy/2015/01/16/guide.pdf
Corruption Perceptions Index da Organização Transparency International http://www.transparency.org/cpi
Red Flags da FCPAméricas http://fcpamericas.com/portuguese/lista-geral-de-red-flags-de-corrupcao-de-terceiros/
Checkup de reputação/responsabilidade quando utilizando terceiros http://www.corporatecompliance.org/Portals/1/PDF/Resources/complimentary/ThirdPartyEssentials-Doyle_PORTUGUESE.pdf
Programa de Integridade: diretrizes para empresas privadas – CGU http://www.cgu.gov.br/Publicacoes/etica-e-integridade/arquivos/programa-de-integridade-diretrizes-para-empresas-privadas.pdf

 

]]>
https://www.governancas.com.br/2018/03/12/governanca-de-compliance-due-diligence/feed/ 1
Análise do Relatório iGovTI TCE-RJ https://www.governancas.com.br/2017/09/12/analise-do-relatorio-igovti-tce-rj/ https://www.governancas.com.br/2017/09/12/analise-do-relatorio-igovti-tce-rj/#respond Tue, 12 Sep 2017 16:04:32 +0000 http://www.governancas.com.br/?p=490 Este post visa apresentar e analisar o resultado de uma auditoria de levantamento realizado em 20 órgãos da administração estadual.

É importante frisar que, apesar de o relatório ter sido gerado a partir de uma pequena amostra, estes 20 órgãos estaduais auditados são responsáveis por mais de 90% das despesas relacionadas à TI no exercício de 2015 no Estado do Rio de Janeiro e que este mesmo relatório cita ainda que são aplicadas altas cifras em Tecnologia da Informação, portanto, torna-se uma amostra de considerável impacto com relação à aplicação de investimentos em Tecnologia da Informação – objetivando que esta área esteja alinhada e dê suporte ao negócio através das devidas práticas de governança.

 

De acordo como relatório iGovTI TCE-RJ [1] gerado a partir desta auditoria, com relação à Governança Corporativa, podemos verificar que:

  • Apesar de 40% (8 órgãos) possuírem uma matriz de responsabilidade para a Governança Corporativa e…
  • apesar de 35% (7 órgãos) adotarem integralmente um comitê de direção estratégica,
    • apenas 25% (5 órgãos) dispõem integralmente de um Código de Ética e, pior ainda,
    • apenas 5% (1 órgão) dispõe integralmente de Política Corporativa de Gestão de Riscos e, também,
    • apenas 5% (1 órgão) dispõe integralmente de Política de Gestão de Continuidade do Negócio.

Esse resultado de efetividade da Governança Corporativa demonstra que, apesar de incipiente, existe um esforço de se estabelecê-la na esfera estadual, mas que ainda falta organização e consistência, pois praticamente inexistem políticas corporativas de gestão de riscos e de gestão de continuidade de negócio. Isso se traduz em um negócio que atua à mercê dos riscos e que pode ser interrompido devido um grave incidente, isto é, uma prestação de serviço público insegura e instável.

 

Demonstra ainda o relatório, com relação à Governança de TI:

  • Apenas 5% (1 órgão) está completamente alinhado com os riscos de TI (diretrizes para a gestão, matriz de responsabilidades e nível de risco).
  • 85% (17 órgãos) não definem integralmente diretrizes para avaliação do desempenho da TI.
  • Apenas 25% (5 órgãos) adotam integralmente avaliação periódica de SI.
  • Apenas 10% (2 órgãos) definem integralmente diretrizes para avaliação da governança e da gestão de TI.
  • Em apenas 10% (2 órgãos) a auditoria interna monitora as ações de governança e gestão de TI e a gestão de riscos de TI.
  • Apenas 40% (8 órgãos) possuem seus principais processos de negócio informatizados.
  • Apesar de 55% (11 órgãos) possuírem PEI vigente, apenas 35% (7 órgãos) possuem PDTI em vigência.
  • Apesar de 85% (17 órgãos) publicarem os editais e seus resultados, apenas 15% (3 órgãos) efetivamente publicam sua execução orçamentária de TI.
  • Com relação ao seu pessoal, apenas 15% (3 órgãos) atua integralmente na evolução e retenção, 20% (4 órgãos) define integralmente uma política de avaliação e incentivo ao desempenho e apenas 5% (1 órgão) define diretrizes para os cargos importantes de TI. Porém, com relação ao desenvolvimentro das competências de TI, no máximo 20% (4 órgãos) atuam de forma eficiente no plano de capacitação, monitoramento da execução e programa de benefícios para o desenvolvimento destas competências.
  • Apenas 10% (2 órgãos) atuam de forma eficiente no estabelecimento de metas, avaliação e estabelecimento de benefícios referentes ao desempenho do pessoal de TI.
  • Apenas 10% (2 órgãos) atuam no tratamento eficiente de identificação, avaliação e tratamento dos riscos de TI dos processos críticos de negócio, através da execução de um processo formal de gestão de riscos de TI.
  • Apenas 5% (1 órgão) negocia com a área cliente os Acordos de Níveis de Serviço.
  • Apenas 35% (7 órgãos) dispõem integralmente de uma PSI formal.
  • Apenas 20% (4 órgãos) possuem um gestor de SI formalmente designado.
  • Apenas 10% (2 órgãos) possuem integralmente uma política formal de controle de acesso à informação.
  • 55% (11 órgãos) não dispõem de uma política de backup formal.

Assim, com relação aos resultados obtidos para a Governança de TI, pode-se destacar que a área de TI, além de estar pouco alinhada ao negócio/clientes do seu referido órgão e de não avaliar/apoiar o seu próprio desempenho e a evolução de seu pessoal, trata com baixo rigor os riscos e a segurança da informação e realiza ações mínimas com relação à transparência de sua gestão, enfim, possui baixa governança de TI e baixa gestão de TI.

 

Os resultados foram distribuídos dentro dos intervalos que definem os níveis de maturidade em Governança de TI estabelecidos no índice iGovTI, conforme apresentado abaixo:

 

Níveis iGovTI TCE-RJ, Marcus Rocco, www.governancas.com.br

 

Desta forma, o resultado dos índices iGovTI dos órgãos auditados estão abaixo apresentados dentro de seu correspondente intervalo de maturidade de governança de TI:

 

Consolidado iGovTI TCE-RJ, Marcus Rocco, www.governancas.com.br

 

Desmembrando o resultado do relatório e criando-se uma visão com foco nas dimensões do iGovTI, temos o seguinte cenário analítico:

 

Analítico iGovTI TCE-RJ, Marcus Rocco, www.governancas.com.br

Com o cenário acima podemos realizar um extrato dos resultados obtidos:

  • Liderança: 80% (16 órgãos) estão abaixo do nível Intermediário.
  • Estratégia e planos: 50% (10 órgãos) estão abaixo do nível Intermediário.
  • Informações: 55% (11 órgãos) estão abaixo do nível Intermediário.
  • Pessoas: 85% (17 órgãos) estão abaixo do nível Intermediário.
  • Processos: 65% (13 órgãos) estão abaixo do nível Intermediário.
  • Resultados: 65% (13 órgãos) estão abaixo do nível Intermediário.

 

Assim, podemos resumir que:

 

Sintético iGovTI TCE-RJ, Marcus Rocco, www.governancas.com.br

  • 80% (16 órgãos) estão abaixo do nível Intermediário: 50% (10 órgãos) estão no nível Básico e 30% (6 órgãos) estão no nível Inicial.
  • 15% (3 órgãos) estão no nível Intermediário.
  • Apenas 5% dos órgãos auditados estão no nível Avançado, isto é, apenas 1 único órgão.

 

E o que isto tudo quer dizer?

 

Levando-se em consideração de que no nível Básico há pouca chance de que a área de TI esteja contribuindo para melhorar a prestação do serviço público e de que no nível Inicial há pouca contribuição da TI para alcançar os objetivos de seu órgão, de forma analítica podemos afirmar que, em apenas 20% dos órgãos auditados (4 órgãos), a área de TI contribui efetivamente para o alcance dos objetivos do negócio que ela apoia!

 

Assim sendo, o relatório apresenta que ainda há uma grande falta de governança corporativa, falta de governança de TI e falta de gestão de TI nestes órgãos públicos estaduais do ERJ, que se traduz em aplicação ineficiente de investimentos em TI, que pouco agrega valor ao negócio, enfim, em um serviço público que gera insatisfação aos seus usuários.

 

Como este relatório contempla os dados de até o final de 2015, vamos acreditar que os administradores públicos já tenham percebido os problemas advindos do baixo índice de maturidade nas (principalmente) Governanças Corporativa e de Tecnologia da Informação, e que estejam atuando constantemente em sua evolução, visando a satisfação de seus principais stakeholders: nós, o povo.

 

Saiba mais sobre as muitas Governanças em www.governancas.com.br

 

[1] Relatório publicado no site do TCE-RJ: Processo Nº 108.938-5/16

]]>
https://www.governancas.com.br/2017/09/12/analise-do-relatorio-igovti-tce-rj/feed/ 0
Governança das Aquisições https://www.governancas.com.br/2017/05/17/governanca-das-aquisicoes/ https://www.governancas.com.br/2017/05/17/governanca-das-aquisicoes/#respond Wed, 17 May 2017 12:46:10 +0000 http://www.governancas.com.br/?p=479 www.governancas.com.br, Governança das Aquisições, Marcus Rocco

 

Introdução à Governança das Aquisições

 

A Governança das Aquisições busca auxiliar nas tomadas de decisões sobre aquisições através do cumprimento dos papeis e das responsabilidades na função aquisição, a transparência dos processos e resultados, o uso eficiente de recursos e a otimização da disponibilidade e do desempenho dos objetos adquiridos, com a mitigação de riscos nas aquisições e o alinhamento das políticas e das estratégias de gestão das aquisições às prioridades do negócio, isto é, aplicando-se a governança e a gestão das aquisições de forma ampla. A governança, sendo conduzida pela Alta Administração da instituição, indicando o que deve ser feito, dando a direção a ser tomada, avaliando e monitorando a gestão das aquisições, que, por sua vez, sendo conduzida por gestores, definem como deve ser feito, estabelecem processos de trabalho e indicadores de avaliação.

 

A Governança das Aquisições é o conjunto de mecanismos de liderança, estratégia, políticas, diretrizes e estruturas organizacionais e controles, postos em prática para acompanhar, dirigir e avaliar os processos de gestão das aquisições, objetivando que estas contribuam para o alcance das metas da Instituição – definição baseada no Acórdão 2.622/2015-TCU-Plenário e na Resolução TCU 247/2011.

 

Este artigo foca na aplicação da Governança das Aquisições tendo como base o questionário do TCU – Levantamento do Perfil de Governança das Aquisições, que aborda este tema especificamente para a APF – Administração Pública Federal, mas que pode (e deve!) ser adaptado/estendido à qualquer tipo de instituição. Assim sendo, para a plena aplicação de Governança das Aquisições, as seguintes práticas devem ser consideradas:

 

Liderança

Para atender às práticas de liderança a instituição deve possuir e executar processo de seleção dos ocupantes das funções-chave da função de aquisições, considerando as competências necessárias às suas atividades e realizando periodicamente avaliações quantitativa e qualitativa dos recursos humanos que compõem a estrutura de recursos humanos da função de aquisições. A instituição deve, ainda, possuir um código de ética formal e monitorado e sua Alta Administração deve exercer a liderança organizacional estabelecendo objetivos, indicadores e metas para a gestão das aquisições.

 

Estratégia

A instituição deve definir diretrizes para as aquisições, como políticas de terceirização, de compras, de estoques dentre outras, direcionando as decisões operacionais das aquisições. Visando as atribuições e os controles específicos, a instituição deve definir as competências, atribuições e responsabilidades para os setores que compõem a área de aquisições e, visando apoiar decisões críticas sobre as aquisições, deve possuir uma instância colegiada (comitê, conselho, etc.), composta por integrantes de diversas áreas da instituição.

 

Controles

Visando aderência aos processos de governança, riscos e controles, devem existir diretrizes para a gestão de risco das aquisições, os gestores devem ser capacitados para realizá-la e a gestão de risco deve ser realizada e, visando controle social dos processos de aquisição, devem possuir canais para receber denúncias sobre impropriedades nas aquisições da instituição e uma área de auditoria interna na instituição, subordinada à um conselho independente. Ainda, a instituição deve estabelecer diretrizes e controles para conduzir as apurações de desvios ou irregularidades e dar transparência aos processos de aquisição.

 

Planos

A instituição deve executar processo de planejamento estratégico organizacional de aquisições e criar um plano formal com a visão, missão e objetivos organizacionais de longo prazo com indicadores e metas a serem alcançadas anualmente.

 

Pessoas

A instituição deve possuir um mapeamento de competências necessárias ao desempenho das funções-chaves da área de aquisições, além de uma política e processos formais e transparentes para a ocupação e capacitação dos ocupantes destas funções-chaves.

 

Processos

A instituição deve possuir processos formais para o planejamento das contratações, para a seleção de fornecedores e para a gestão dos contratos, fazendo uso de padrões para elaboração de documentos, visando consistência, velocidade, produtividade e minimização de erros. Devem possuir, ainda, processos, critérios e controles para apoiar as fases de elaboração dos instrumentos convocatórios de pregão, de seleção de fornecedor e de gestão dos contratos, cobrindo, assim, todo o fluxo de gestão do contrato.

 

Informação e Conhecimento

Visando a retenção da informação e aprimoramento do conhecimento, a instituição deve fazer uso de sistemas que conduzam à aplicação das diretrizes por ela definida, facilitando a transferência de responsabilidades sem a interrupção dos processos, facilitando a execução de processos para tomada de decisões com relação às aquisições, fazendo uso de informações das aquisições internas, como das informações das aquisições de organizações externas. E, de toda a forma, deve conduzir formalmente a evolução das competências e dos processos relacionados às aquisições.

 

Conclusão

A falta de atendimento às práticas apontadas leva a instituição a:

  • Possuir sua área de aquisições com execução, competências e conhecimentos insatisfatórios, não atendendo à Alta Administração;
  • Possuir sua área de aquisições sem conhecer as competências necessárias à boa execução de suas atividades;
  • Executar aquisições pouco ou não-estratégicas e à mercê de riscos não identificados;
  • Prejudicar os resultados a serem obtidos com as auditorias internas;
  • Prejudicar o controle social dos processos de aquisição sem a devida transparência.
  • Ter produtos/serviços adquiridos fora das expectativas de prazo, valor, qualidade e necessidades, podendo incorrer em problemas legais;
  • Ter seus procedimentos despadronizados e falhos, gerando retrabalho e produtos de trabalho imprecisos e não-repetíveis.

Todos estes problemas se traduzem em perda monetária direta, através da aquisição e/ou recebimento de produtos/serviços de forma indevida, e perda monetária indireta, através da falta de capacidade produtiva competente, despadronização, retrabalhos, aceite de riscos, inconsistências e problemas legais…

 

www.governancas.com.br, Governança das Aquisições, Marcus Rocco

 

Comprar bem é muito mais do que apenas comprar barato; é possuir um processo repetível embasado por diretrizes estratégicas; é ter controles que apoiem à uma seleção justa/criteriosa de fornecedor que se traduza na obtenção de produto/serviço necessário com quantidade, qualidade, prazo e custo orçados/planejados; é manter-se em conformidade interna, social e legal; é deixar todos seus stakeholders satisfeitos!

 

E agora… o que falta para sua Instituição implementar a Governança das Aquisições?

 

Saiba mais sobre as muitas Governanças em www.governancas.com.br

 

 

Baixe essa publicação aqui!

 

 

REFERÊNCIAS

 

Acórdão 2.622/2015-TCU

Resolução TCU 247/2011

]]>
https://www.governancas.com.br/2017/05/17/governanca-das-aquisicoes/feed/ 0
Governança de Dados das Vacas e das Coisas https://www.governancas.com.br/2017/04/05/governanca-de-dados-das-vacas-e-das-coisas/ https://www.governancas.com.br/2017/04/05/governanca-de-dados-das-vacas-e-das-coisas/#comments Wed, 05 Apr 2017 11:19:58 +0000 http://www.governancas.com.br/?p=454 Governança de Dados versus Vacas

 

Uma breve introdução à IoC/IoT

 

Os EUA, com o impacto da doença da vaca louca, buscaram a identificação e o rastreamento de 10% de seu rebanho bovino em 2004[1], porém, a aplicação em escala (do conceito ainda não chamado de IoC) foi publicada no começo de 2010[2]. Um relatório da CISCO em 2011[3] aponta um artigo do The Economist sobre as vacas conectadas à Internet gerando dados diversos que se traduzem em informações comportamentais e de saúde[4], como: o quanto cada vaca produz de leite e qual o teor de gordura, o tempo de cada ordenha, quais estão dentro do período de produtividade máxima e quais estão saindo, alertas de desvios de comportamento, variações de sinais vitais e temperatura, quantas vezes o animal vai se alimentar ou beber água, seu período de descanso, fertilidade, prenhez, parto, etc.

Em 2013, este conceito, também conhecido por “Smart Cows” e “Smart Farms[5] passa a ser chamado de internet das vacas[6, 7] e, hoje, com a evolução tecnológica permitindo o monitoramento em tempo real de múltiplos sensores, mega soluções de IoC já estão disponíveis[8, 9], bem como existem empreendedores brasileiros que criam alternativas de baixo custo, caso da EvoMilk[10], que busca parceiros para ir adiante com sua solução de IoC.

Assim, depois desta pequena introdução ao IoC, você se pergunta:

“– E o que as vacas têm a ver com a Internet?”

É simples… para cada vaca, que é apenas uma única “coisa” conectada na Internet (Internet of Things), espera-se a geração anual, em média, de 200 megabytes de dados[3, 4]. Portanto, a pergunta que deve ser feita é:

“– Como fica a Governança dos Dados gerados pelas Vacas (IoC), pelas Cabras (“IoG”), pelos Búfalos (“IoB”) e por todas e quaisquer outras mais de ~31 BILHÕES de coisas (IoT) conectadas à Internet[11] até 2020?”

 

www.governancas.com.br - IoC - Internet of Cows

IoC – Internet of Cows, Augmented Business | The Economist

 

A Internet das Coisas Inteligentes

 

O que é a IoT?

 

A Internet of Things é um paradigma tecnológico relativamente novo que faz uso intenso da Internet onde as “coisas” (objetos físicos, como sensores, atuadores, concentradores, eletrodomésticos, fechaduras, roupas, tênis, relógios, etc) inteligentes estão constantemente conectadas (na rede e/ou até mesmo uma com as outras) e enviando os dados coletados/produzidos para tratamentos diversos e posteriores análises para obtenção de informações. Estes elementos inteligentes podem atuar sozinhos ou em conjunto com outros para se obter uma determinada informação desejada, compondo, assim, um grande sistema gerador de dados.

 

www.governancas.com.br - IoT - Internet of Things

IoT – Internet of Things

 

Com a aplicação desta nova arquitetura, naturalmente heterogênea devido às múltiplas diversidade de coisas, a área de TI precisa conhecer, analisar e trabalhar bastante para vencer grandes e novos desafios, tendo como alguns dos principais:

  • manter a segurança da informação em rede heterogênea (elementos e comunicação);
  • integrar elementos de baixa compatibilidade (fabricantes diversos);
  • recuperar dados através protocolos de comunicação novos e distintos;
  • tratar dados e metadados em formatos não padronizados;
  • manter o ciclo de dados (desde sua aquisição até o expurgo);
  • garantir a segurança, privacidade e disponibilidade dos dados;
  • cumprir todas as diretrizes da Governança de Dados.

 

Parêntesis 1: sem a evolução do protocolo de comunicação da Internet para o atual IPv6[18], não seria possível uma tranquila existência da IoC, pois a versão anterior deste protocolo estava limitada em cerca de 4 bilhões (4.294.967.296) de endereçamentos possíveis, porém, na nova versão, o limite de endereçamentos foi expandido para 340 undecilhões (340.282.366.920.938.463.463.374.607.431.768.211.456).

 

Os dispositivos da IoT podem variar de simples sensores respondendo ou enviando informações, dispositivos compostos de alguns sensores com ou sem processamento/memória (colares das vacas, relógio de monitoramento cardíaco, pedômetro, localizadores de idosos/crianças, etc.), dispositivos com grande quantidade de sensores (motor de avião), unidades autônomas com centenas de sensores (automóvel). Estes dispositivos podem responder diretamente às redes aos quais estão conectados (ativos), só responder quando for conectado (passivo) ou, ainda, passar dados a elementos concentradores de maior capacidade de gestão e processamento das demandas, antes do envio dos dados à Nuvem.

Com a constante evolução das indústrias, uma profusão de coisas inteligentes conectadas à Internet foram e estão sendo construídas, porém, algumas destas estão gerando dados em volumes imensos, devido à grande quantidade de sensores utilizados e/ou à alta frequência de envio de seus dados, cunhando-se um novo conceito: o Big Data.

 

 

A revolução dos Grandes Dados

 

O conceito de Big Data

 

Com o advento das muitas “smart coisas” conectadas à Internet, várias soluções estão gerando cada vez mais dados para se obter as preciosas informações, alguns exemplos:

  • Um carro moderno processa 25 gigabytes de dados por hora[17] para otimizar sua própria operação/manutenção.
  • Em apenas uma longa viagem de um Boeing com quatro motores, o sistema poderá gerar 640 terabytes de dados[16].
  • Estima-se que o colisor de partículas (Large Hadron Collider – LHC) irá gerar 30 petabytes de dados por ano[15].

 

Parêntesis 2: Em apenas um petabyte cabem, aproximadamente, 223.000 DVDs (4,7 gigabytes cada)[22] ou 500.000.000.000 de páginas de texto impresso padrão[23].

 

Para que as Instituições manipulem esses imensos volumes de dados é necessário um bom planejamento antecipado e muita organização, fazendo uso consciente de seus ativos de TI (infraestrutura) e, ainda, fazer com que os investimentos em análises de valor agregado ao negócio gerem um saldo positivo – após descontar todo os custos dispensados para garantir a segurança da informação destes novos elementos, os custos da comunicação para recepção destes dados, os custos do tratamento processual dos volumosos dados brutos, os custos da retenção temporária destes dados (armazenamento), os custos do tratamento de riscos em todas as etapas e, até mesmo, os custos da própria análise.

Este cenário não se tornará uma realidade para todas as Instituições, porém, de qualquer forma, tudo o que for utilizado para governar os grandes dados, também servirá para os demais volumes de dados, pois as necessidades organizacionais como a política, a metodologia, os processos e frameworks devem ser sempre aplicados, independentemente do tamanho da Instituição, pois, quanto mais maturidade no tratamento concedido aos dados, mais qualidade os dados possuirão.

Um projeto de Big Data pode sair caro, porém também pode ser recompensador – quem define o limite do investimento é a estratégia da Instituição, como a necessidade de aumento de sua eficiência operacional (mais qualidade) ou a necessidade de aumento de sua competitividade (análises preditivas).

 

www.governancas.com.br - IoT - Big Data

IoT – Big Data

 

 

Chegando às Nuvens através do Nevoeiro

 

Entendendo um pouco sobre Fog

 

Agora pense nessa imensa quantidade de dados que os sensores irão enviar através da Nuvem para serem processadas e no tempo dispensado para este envio, processamento e a obtenção do resultado. Se existisse um meio termo entre a Nuvem (Cloud) e a Terra (coisas/sensores da IoT), haveria de imediato uma grande economia de tempo para a transferência deste grande volume de dados. Pense no carro conectado à Internet[2] e o tempo gasto com a transferência de seus dados para a Nuvem, viabilizando que engenheiros analisem, de forma conjunta, dados de veículos similares e gerem informações como veículos com desgastes fora da curva padrão ou com consumo excessivo de combustível e enviando email automático de recall diretamente aos seus proprietários ou ainda informar ao motorista em quais momentos ele está consumindo mais combustível, educando o motorista à uma condução mais econômica. Esta aproximação entre Cloud e IoT está sendo resolvida com o novo conceito de Nevoeiro[14] (Fog Computing ou Fog Networking ou Fogging), onde uma camada mais próxima da Terra (onde se encontram as coisas inteligentes) estará disponível para reduzir o tráfego de rede, acelerar o processamento dos dados e, até mesmo, permitir que as coisas comuniquem entre si e tomem decisões locais – isto tudo sendo realizado pelos próprios elementos de rede, causando grande impacto em ambientes com menos largura de banda, como aplicações que fazem uso de rede 3G. Voltando à ideia do carro conectado, poderiam ser utilizadas antenas em semáforos para captar os dados para o Fog que, por sua vez, pode realizar um tratamento ou um pré-processamento destes dados, para finalmente enviá-los, de forma consolidada, à Nuvem.

Além dos já diversos dados estruturados de sistemas (em uso e legados) e dos não estruturados (metadados), devido à imensa diversidade de coisas conectadas (sensores, concentradores, dispositivos, etc), estas fontes de dados aumentam significativamente a complexidade em diversos pontos, como na segurança (redes de comunicação, protocolos, sistemas operacionais), na classificação, manipulação, tratamento, armazenamento e a devida disponibilidade segura dos dados, bem como na recuperação de dados para atender às consultas legais, exigindo que as Instituições possuam uma política formal de Governança de Dados evoluída, compreensiva, sólida e com o imprescindível alinhamento às necessidades de negócio, visando a melhoria das tomadas de decisões.

 

www.governancas.com.br - IoT - Fog Computing, Cloud, Big Data

IoT, Fog Computing, Cloud Computing e Big Data

 

 

Mantendo a produção de todas as Coisas sob controle

 

Definição básica de Governança de Dados

 

A Governança de Dados refere-se ao conjunto de ações planejadas, padronizadas e aplicadas ao gerenciamento de dados de uma empresa, desde a definição de sua estratégia, política, processos e frameworks que apoiam a gestão dos dados (disponibilidade, privacidade, qualidade, padronização, etc.), passando pela aquisição, tratamento, classificação e armazenamento dos dados, até o seu expurgo de forma segura e controlada.

A Governança de Dados é definida pelo DAMA[12] como uma disciplina composta por nove áreas de conhecimento integradas de gerenciamento de dados (que abordam as visões estratégicas, táticas e operacionais de dados da empresa) e trata do planejamento, monitoramento e controle sobre o gerenciamento dos ativos de dados.

 

www.governancas.com.br - Data Governance

DAMA Functional Framework

 

De forma sucinta, seguem as responsabilidades de cada área de conhecimento:

  1. Arquitetura de Dados trata da estratégia dos dados empresariais como um todo;
  2. Desenvolvimento de Dados trata da análise, modelagem e implementação das estruturas de dados;
  3. Operacional de Banco de Dados trata do ciclo de vida do dado desde sua aquisição até seu expurgo seguro, em banco de dados;
  4. Segurança de Dados trata da padronização, classificação, acesso apropriado e auditoria dos dados;
  5. Dados Mestres e de Referência trata da gestão dos dados compartilhados para reduzir a redundância e garantir mais qualidade dos dados através da definição de padrões;
  6. Data Warehousing e Business Intelligence trata da gestão dos dados que objetivam a geração de análises para apoio às tomadas de decisão;
  7. Conteúdo e Documentos trata do ciclo de vida de dados externos aos bancos de dados (não estruturados);
  8. Metadados trata da definição de arquitetura, integração, controle e uso dos metadados (dados que contém dados);
  9. Qualidade de Dados trata da especificação, análise, medição e melhoria da qualidade dos dados;

 

[Spoiler]: Na próxima versão deste framework será incluída a décima área de conhecimento:

  1. Integração dos Dados e Interoperabilidade que tratará da aquisição, manipulação, replicação e entrega dos dados.

 

Note que todas as etapas para se manter um dado/metadado na instituição estão mapeadas neste framework, desde o seu planejamento arquitetural para realizar a aquisição, até o seu descarte, passando pelo tratamento, padronização, documentação, disponibilização, segurança, qualidade, integração e análises. Para se aplicar devidamente a Governança de Dados, é necessário um bom planejamento cobrindo todas as áreas de conhecimento, com a devida responsabilização sobre as atividades elencadas, sendo executadas dentro de um ciclo DMAIC[25] – visando garantir a evolução da maturidade na Governança de Dados.

Possuir uma política formal de Governança de Dados é primordial para se manter os dados sob controle. Ela dita as diretrizes de condução/comportamento sobre os dados, define o tratamento de riscos esperado, apoia a Instituição na conformidade regulamentar e legal (compliance), reduz o risco de processos judiciais com a perda de dados sensíveis ou a coleta/uso de dados privados sem a devida autorização do seu proprietário (que podem resultar na depreciação de sua imagem e na perda de clientes e investidores), aponta as metodologias e processos a serem empregados, dentre muitas outras coisas – reforçando, para que a Governança de Dados produza resultados positivos, é necessário que a área de TI esteja plenamente alinhada com o Negócio, ambas focando na estratégia da Instituição[19, 20, 21].

É muito importante que os dados estejam organizados de forma conhecida e metódica, pois visam o apoio nas decisões ou o favorecimento às novas estratégias da Instituição. Os dados são a base para se obter as informações, que, através de análise, geram conhecimento, que, por sua vez, geram inteligência e vantagem competitiva. Afinal, é disto que falamos o tempo todo: tratarmos nossos dados com cuidado para sermos mais competitivos e rentáveis.

A TI, considerada atividade meio para a maioria das Instituições, aumenta ainda mais a sua abrangência e alcance neste cenário onde a IoT se estende aos distantes pontos finais junto aos consumidores, criando oportunidades e cadeias de valores antes inimagináveis.

Com as possíveis 31 bilhões de coisas conectadas produzindo dados de forma massiva, se as áreas de TI não tiverem uma Governança de Dados estabelecida, surgirá uma nova definição para a sigla IoC: “Internet of Chaos” – e esta será a grande diferença entre obter informações relevantes ou simplesmente possuir bandos de dados!

 

Perceba que a Governança de Dados é apenas uma das muitas governanças a serem tratadas… a propósito, como anda a Governança de Dados em sua Instituição?

 

 

Baixe essa publicação aqui!

 

 

Referências

1 – http://www.nytimes.com/2004/02/26/business/small-business-sensing-opportunity-in-mad-cow-worries.html?pagewanted=2&src=pm&_r=0

2 – http://mashable.com/2010/04/27/cows-on-twitter/#CHZQLDaV.5qm

3 – http://www.cisco.com/c/dam/en_us/about/ac79/docs/innov/IoT_IBSG_0411FINAL.pdf

4 – http://www.economist.com/node/17388392

5 – https://publications.csiro.au/rpr/download?pid=csiro:EP137659&dsid=DS2

6 – https://broadbandworldforum.wordpress.com/2013/06/25/smart-networks-smart-cities-smart-cows/

7 – http://www.smh.com.au/it-pro/government-it/cows-on-the-internet-as-broadband-brings-new-ways-to-the-bush-20130621-2oo7s.html

8 – https://news.microsoft.com/features/connected-cows-help-farms-keep-up-with-the-herd/#CjwOFrUv36bA6i76.97

9 – http://www.fujitsu.com/jp/group/kyushu/en/solutions/industry/agriculture/gyuho/

10 – http://evomilk.com.br

11 – http://news.ihsmarkit.com/press-release/technology/tech-companies-creating-strategic-platforms-support-internet-things-ihs-say

12 – https://www.dama.org/content/body-knowledge

13 – https://www.cisco.com/c/dam/en_us/solutions/trends/iot/docs/computing-overview.pdf

14 – http://www.cloudmarket.com.br/blog/cloud-computing/de-nuvem-a-nevoeiro-descubra-o-que-e-fog-computing/

15 – https://home.cern/about/computing

16 – http://www.ni.com/newsletter/51649/en/

17 – http://www.mckinsey.com/industries/automotive-and-assembly/our-insights/whats-driving-the-connected-car

18 – http://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/ipv6/ipv6srnd/basics.pdf

19 – http://data-informed.com/demystifying-data-governance-what-it-is-and-what-its-not/

20 – http://cio.com.br/gestao/2016/07/14/sete-importantes-consideracoes-sobre-governanca-de-dados/

21 – http://www.cio.com/article/3116812/business-intelligence/understanding-data-governance.html

22 – http://www.computerweekly.com/feature/What-does-a-petabyte-look-like

23 – http://www.zmescience.com/science/how-big-data-can-get/

24 – https://www.governancas.com.br/o-livro/

]]>
https://www.governancas.com.br/2017/04/05/governanca-de-dados-das-vacas-e-das-coisas/feed/ 2
Por que você precisa da GRC https://www.governancas.com.br/2016/12/13/por-que-voce-precisa-da-grc/ https://www.governancas.com.br/2016/12/13/por-que-voce-precisa-da-grc/#comments Tue, 13 Dec 2016 12:23:58 +0000 http://www.governancas.com.br/?p=429 Diante do cenário atual, conturbado por constantes descobertas de grandes corrupções (ativas e/ou passivas), as Instituições passaram a sofrer maior pressão de seus stakeholders, e, principalmente, por parte de seus acionistas, resultando em intensa atuação no tratamento de seus desvios de conformidade, tendo que permanecer estável e, ainda, estar competitiva neste mercado cinza. Assim, estas Instituições devem se preparar para evitar receber acusações de descumprimentos legais e até mesmo sair ilesa de uma minuciosa auditoria em seus registros contábeis, que podem apenas perturbar seu equilíbrio no mercado ou, até mesmo, derrubá-la.

 

 

Programa abrangente de GRC, Marcus Rocco, www.governancas.com.br

Programa abrangente de GRC, Marcus Rocco, www.governancas.com.br

 

A aplicação sistemática e integrada de um programa de GRC (Governance, Risk e Compliance, com estas três disciplinas inter relacionadas) além de trazer vários benefícios diretos, mantém a Instituição estrategicamente alinhada, com seus riscos sob controle e em conformidade às suas obrigações:

  • A Governança: como uma abordagem de gestão utilizada na condução da Instituição e no apoio às tomadas de decisões estratégicas através da definição de objetivos, políticas, normas, processos, diretrizes, etc, permeando de forma transparente, responsável, imparcial e contabilizável em todas as suas áreas.
  • O Gerenciamento de Riscos: atuando no devido tratamento às probabilidades de impacto negativas (e potencializando os impactos positivos) aos quais a Instituição está sujeita, incluindo riscos operacionais, financeiros, de TI, de segurança e, inclusive, os riscos estratégicos e de negócio, visando desimpedir o alcance e/ou exceder os resultados dos objetivos estabelecidos.
  • A Conformidade: atuando na gestão, monitoramento e controle do cumprimento da Governança e das demais obrigações pré e pós determinadas pelas áreas regulatórias (normativas, legais, políticas, etc.), demandadas por origens internas e externas à Instituição.

 

A implementação de GRC deve ser aderida, de forma inquestionável, nas Instituições fortemente regulamentadas que atendem a complexos e/ou múltiplos requisitos de conformidade, ou que conduzem um negócio com baixa tolerância a riscos, intolerância a fraudes e à violação de dados sensíveis, ou ainda, àquelas que visam alcançar seus objetivos estratégicos mantendo a transparência de suas operações a todos os interessados. Além destes, alguns outros fatores sinalizam necessidade compulsória de sólida GRC:

  • Instituições multi-sites que devem atuar todas dentro das mesmas definições, regras, processos, avaliações e auditorias, como se fosse uma única entidade;
  • Instituições com complexos processos operacionais, muitos pontos de controle, comunicação, riscos e integrações internas e, inevitavelmente, externas, como parceiros e fornecedores que podem não aplicar a GRC, criando-se um elo fraco;
  • Ocorrência de múltiplos grupos responsáveis por funções participantes de processos de GRC operando em forma de silos com baixa integração e, consequentemente, baixo compartilhamento e formalização de informações importantes;
  • Necessidade de certificação de que não exista um vazamento financeiro através da garantia de precisão e auditabilidade de relatórios contábeis e financeiros, em padrão internacional, como a SOX, J-SOX, EuroSOX, dentre outras;
  • Necessidade de gestão e controle/garantia de atendimento às obrigações contratuais e legais (recursos humanos e ativos, fornecedores, Estado), aos regulamentos ambientais, às normas de saúde e sócio-políticas, às expectativas do mercado, às políticas de segurança da informação, dentre muitas outras;
  • Necessidade de aplicação de GRC em áreas específicas de negócio, como: P&D, IoT, mídia social, big data, mobile, soluções cloud, e-Commerce, etc.

 

Diante disto, todas as Instituições devem ser avaliadas e categorizadas em níveis de necessidades da GRC, uma vez que um forte programa de GRC é um bom indicador da saúde/seriedade geral de uma Instituição e torna-a muito mais atrativa aos possíveis investidores, aos parceiros de negócio e aos clientes.

 

O gráfico abaixo, baseado em informações do International Finance Corporation sobre a importância da Governança em Instituições que buscam investimento, mostra a necessidade da evolução de maturidade em GRC:

A importância da GC, Marcus Rocco, www.governancas.com.br

A importância da GC, Marcus Rocco, www.governancas.com.br

 

É importante que as Instituições possuam GRC adequada, não somente para apoiá-la em direção aos objetivos definidos pelo board, mas, também, para identificar e tratar riscos estratégicos, tecnológicos, operacionais, éticos e muitos outros riscos de não conformidade, visando evitar ações regulatórias, multas, prisões e outros danos à sua imagem de difícil reversão.

 

Em suma, a implantação sistemática e a consolidação cultural de um programa de GRC leva a Instituição a certificar-se de que está fazendo as coisas do modo correto, mantendo o controle do que se está fazendo e alertando quando surgirem riscos ou quando as coisas começarem a sair do que foi planejado, fornecendo transparência aos stakeholders e obtendo, como resultado, sua solidez no mercado e o aumento de sua confiança e atratividade por parte dos investidores.

 

Saiba mais sobre Governança, Gerenciamento de Riscos e Conformidade em Governancas.com.br

 

Baixe essa publicação aqui!

]]>
https://www.governancas.com.br/2016/12/13/por-que-voce-precisa-da-grc/feed/ 2