AULA 3

GESTÃO DA TECNOLOGIA DA
INFORMAÇÃO

Prof. Emerson Antonio Klisiewicz

CONVERSA INICIAL

Nessa aula, vamos iniciar o estudo dos modelos de melhores práticas e o

modelo de governança de TI a ser implantada em uma empresa.

CONTEXTUALIZANDO

Nos últimos 20 anos, estão surgindo e sendo desenvolvidos diversos

modelos com melhores práticas para serem utilizados em TI, sendo que vários
deles são originais e alguns são resultados de diversos outros modelos. Os
principais atualmente, associados à governança de TI, estão apresentados
abaixo:

Quadro 1 – Principais modelos utilizados em TI

Conforme vemos no quadro, os modelos auxiliam a implantação da

governança de TI, porém existem gaps a serem resolvidos. A implantação da
governança é um empreendimento a longo prazo. Para que sejam bem-
sucedidos, alguns requisitos devem ser atendidos.

TEMA 1 – PLANEJANDO O PROGRAMA DE GOVERNANÇA DE TI

O primeiro passo não é adoção imediata de uma metodologia, mas sim o

conhecimento dos próprios riscos, controles e processos: começar com um bom
diagnóstico, que permita identificar cada um dos gaps, dentro dos quais temos:

02
1.1 Relacionamento de TI com a alta administração

De que forma a TI está relacionada com a alta gestão da empresa?

Possui, por exemplo, uma vice-presidência dedicada, capaz de interagir com
seus pares, entendendo suas necessidades? Participa em algum momento
dos comitês de tomada de decisão?
Independentemente da estrutura existente, a TI deve ter uma visão
clara do que o negócio precisa, e também em qual velocidade necessita
trabalhar.

1.2 Papéis e responsabilidades em TI

Trata-se de definir quem faz o que e quando, para que, ao redesenhar

os processos, seja possível alocar as funções e responsabilidades nos locais
adequados. Algumas empresas redesenham os processos após alocar as
responsabilidades e funções, mas fica uma dúvida: caso exista erro na divisão
das funções definidas, os processos já não estarão comprometidos na sua
concepção? Não seria melhor desenhar os processos e depois verificar quem
irá executar essas funções evitando uma divisão inadequada de funções?

1.3 Mapeamento de todos os processos existentes

Quanto se deve trabalhar formalmente? Existe um fluxo de todos os

processos? Como documentar os trabalhos? Ao término do diagnóstico deve-
se ter de forma bem clara o que é preciso ser formalizado.

1.4 Análise crítica dos processos

Será testada a qualidade? Será envolvida a auditoria? A análise crítica

deve ser capaz de propor modificações nos processos, desde sua extinção,
substituição ou modificação.

1.5 Identificação dos riscos em cada processo

Tudo aquilo que possa comprometer o negócio deve ser relacionado em

cada processo, indicando mesmo quais riscos poderiam comprometer o seu
funcionamento e também de que forma isso pode impactar o business, seja por
perda de receita, seja por comprometimento da imagem etc.

03
1.6 Mapear controles existentes que mitigam os riscos identificados

Após o término do levantamento de todos os processos e o relacionamento

de todos os riscos, devem-se mapear os controles existentes em cada processo.
Esse passo ocorre em paralelo com o mapeamento de processos e sua análise
crítica. Nessa fase verifica-se se os controles existentes realmente suportam as
necessidades dos processos e consequentemente do business.
Em resumo, deve-se fazer a adoção de um modelo de simples execução
para preparação de um diagnóstico que possibilite tomada de decisão com
relação a investimentos, contratação de consultorias, desenho ou redesenho de
processos, diminuindo os riscos.
Independentemente do método que será adotado, os gestores devem ter
consciência de que a Governança de TI é um exercício contínuo do uso das
melhores formas de operação, desenvolvimento, gestão e também do
conhecimento das estratégias de realização, disposição, bom senso e
conhecimento relacionados ao business.

TEMA 2 – CONFORMIDADE REGULATÓRIA

Baseando-se no conceito de que a TI é uma área prestadora de serviços,

situação essa que cada vez mais aceita no mundo, retiramos também a ideia de
que a TI necessita definir, para cada um de seus serviços, quem será o seu cliente,
o seu usuário, o seu patrocinador etc. Isso, sem dúvida, será uma grande
mudança de paradigmas, pois a TI se considera um centro de custo que é
responsável por lidar com todo o hardware e software da empresa e também
oferecer suporte técnico a toda a empresa. Com essa ideia, a TI também deverá
atender em seus processos normas regulatórias. Vamos ver algumas delas a
seguir.

2.1 Sarbanes-Oxley (SOX)

Essa lei objetiva proteger os investidores da bolsa de valores contra fraudes

contábeis e financeiras das empresas do EUA que forjavam dados de seus
balanços anuais para evitar que suas ações tivessem baixas de valores. O nome
Sarbanes-Oxley (SOX) provém dos nomes de dois senadores norte-americanos
responsáveis por escrever essa lei, que atinge diretamente as empresas
americanas que possuem capital aberto e também as suas filiais espalhadas pelo

04
mundo, no caso das empresas serem multinacionais. Outras empresas que se
relacionam com essas companhias também são afetadas e muitas vezes também
são auditadas.
Essa lei apresenta várias diretrizes sobre a geração, a utilização e o
armazenamento de informações, para fins de auditoria, definição dos papéis e
responsabilidades da gestão, considerando a imputabilidade de gerentes
financeiros, diretores e presidentes em caso de fraudes.
O uso do SOX nas empresas teve um grande benefício para as áreas de
TI no mundo. Várias empresas acabaram fechando as suas portas por não se
adequarem aos seus artigos a um custo aceitável para o negócio ou porque não
conseguiram mais realizar a falsificação das informações e sair sem algum tipo
de punição. Abaixo temos alguns dos itens da SOX com impactos sentidos pela
áreas de TI:
 Todas as informações sobre as operações da empresa devem ficar
disponíveis por um período de cinco anos para fins de auditoria.
 Todas as informações requisitadas devem estar disponíveis sempre que
necessário pelos indivíduos que tenham acesso garantido pelas normas da
empresa.
 Pessoas não autorizadas não devem ter acesso a qualquer tipo da
informação.
 Todos os dados repassados devem estar atualizados e corretos.
Muitas das empresas que conseguiram se adequar a esses novos
princípios legais têm uma característica em comum: possuem áreas de TI eficazes
e eficientes. Esse fator é decisivo.
Infelizmente muitas organizações não conseguiram atender ao que a lei
solicitava e acabaram fechando as portas.

2.2 Acordo da Basileia

Esse acordo, que é internacional, foi assinado por representantes de vários

bancos centrais de vários países do mundo na cidade de Basileia, Suíça (por isso
o nome do acordo é Basileia). Esse acordo afetou todos os países que o
assinaram, inclusive o Brasil. Ele é fundamentado em três pilares:
 Ele determina que as empresas tenham procedimentos mínimos, cálculo
dos riscos de capital (risco de crédito e risco operacional), buscando atingir

05
 objetivos comuns mesmo quando a abordagem do gerenciamento de risco
for separada.
 Determina regras para as auditorias nas instituições financeiras,
pretendendo avaliar todos os métodos de identificação, análise,
monitoramento e controle dos riscos.
 Institui regras para tornar públicas as informações sobre o grau de
exposição ao risco ao qual está sujeita a empresa, após os resultados
obtidos nas auditorias.

TEMA 3 – UM MODELO PARA A GOVERNANÇA

Vamos discutir agora os passos mínimos para iniciarmos a governança da TI.

3.1 Qual é o plano estratégico da empresa

O modelo para a Governança deve ser construído como se não houvesse

isso na empresa, pois ela é apenas uma filosofia representada por uma série de
medidas que visam o melhor controle do negócio de acordo com os seus recursos
disponíveis. Diversos fatores afetam o plano estratégico. Por exemplo:
 demandas externas.
 demandas internas.
 pressões sociais.
A empresa necessita estar ciente da sua missão e visão, pois são elas que
definirão as estratégias para atingir metas relacionadas às demandas sem que
aconteça um desvio.
Na figura a seguir temos um exemplo das fases dentro de um modelo de
governança de TI:

Figura 1 – Fases num modelo de governança de TI

06
3.2 Criar um PDTI

Trata-se de um plano diretor de TI. Ele irá utilizar as estratégias que

estão no plano estratégico da empresa e que irão alinhar os objetivos da TI
aos objetivos da companhia. O PDTI contém as metas para a área de TI de
curto, médio e longo prazos. Com o PDTI será possível decidir, por exemplo,
quais projetos iniciar ou cancelar, parar ou iniciar operações da TI, buscar
recursos para os projetos e operações, alocar recursos, fazer o
gerenciamento da capacidade, disponibilidade e continuidade da infra dos
serviços de TI.
Após esses itens, iniciamos o controle e gerenciamento da operação
onde iremos desenvolver os acordos com usuários e fornecedores da TI para
garantir a qualidade dos serviços prestados. Também nesse momento se fará
a seleção, planejamento, execução e encerramento dos projetos realizados
pela TI.

TEMA 4 – ITIL® E COBIT® NA GOVERNANÇA

Uma empresa pode adotar uma postura reativa esperando que pressões
externas ou internas a façam buscar melhorias em seus processos, o que pode
ser extremamente desgastante e gerar diversos traumas na organização. Mas ela
também pode trabalhar de forma proativa, buscando as melhorias em suas áreas
de processos usando modelos de boas práticas ou normas. Isso é facilitado
quando a empresa governa corretamente não só a TI mas todas as suas outras
áreas.

4.1 COBIT®

Se tivéssemos uma grande área de TI com pessoas que atuassem nas

mais diversas áreas, como poderíamos saber se o gerenciamento de projetos
na TI está bom ou ruim? Quais deveriam ser os critérios para se medir todo o
trabalho que está sendo executado e realizar a comparação com o que outras
empresas estão realizando?
Nesse universo, o COBIT® poderá resolver. Na sua versão mais
,recente, ele projeta 34 áreas de processo da TI fornecendo métricas para
verificar a maturidade de cada uma. Por exemplo, se desejarmos saber o

07
quanto uma equipe é boa em tratar incidentes de TI no dia a dia, o COBIT®
terá quase todas as respostas.

4.2 ITIL®

Existem algumas perguntas que o COBIT não será capaz de

responder: são as perguntas que começam com “Como...”. Isso acontece
devido ao fato de o COBIT possuir informações sobre os controles que devem
ser buscados e os indicadores-chave (métricas) de desempenho para as
áreas da TI, porém não ter informações sobre como a empresa poderá suprir
os gaps para aumentar a experiência em uma determinada área na TI.
Nessa situação, as boas práticas e normas indicadas pelo ITIL podem
ajudar. O ITIL apresenta processos que visam melhorar o sistema de
gerenciamento de serviços de TI. Ele contém os processos mais importantes
para a tecnologia da informação reunidos em suporte e entrega de serviços
de TI. Um exemplo seria a empresa que, usando o COBIT, verifica que a
maturidade em gerenciamento de incidentes da sua TI é ruim. Usando o ITIL,
ela poderá melhorar esse processo, pois ele contém informações sobre o que
deve ser realizado.

TEMA 5 – GOVERNANÇA DE TI NO BRASIL

No Brasil, a governança está crescendo de forma significativa. As

empresas de capital aberto, que possuem capacidade de competir, são
conduzidas, direcionadas a implantarem a governança.
Quase todos os acionistas querem a adequação das empresas às novas
regras, pois com certeza isso traz vantagens com relação à diminuição do risco
estratégico e eleva a competitividade.
O mercado também está oferecendo grandes incentivos para que essa
governança de TI seja implementada. Um exemplo que podemos citar é o Novo
Mercado, criado pela Bovespa. O Novo Mercado é um segmento de listagem
aplicado à negociação das ações emitidas por organizações que se sujeitam, de
forma voluntária, à implantação de práticas de governança e normas adicionais
ao que é exigido pela legislação vigente.
Dessa forma, a valorização e a liquidez das ações do mercado são
influenciadas positivamente pelo grau de segurança e pela qualidade das

08
informações prestadas pelas organizações. Essa é a regra básica do Novo
Mercado.
A entrada de uma organização no Novo Mercado significa o aceite de um
conjunto de regras societárias, definidas como boas práticas de governança
corporativa, que são mais rígidas do que as existentes na legislação brasileira.
Essas regras ampliam os direitos dos acionistas, melhoram a qualidade das
informações prestadas pelas empresas e, resolvendo conflitos por meio de uma
Câmara de Arbitragem, oferece aos investidores segurança, com uma alternativa
ágil e especializada.

FINALIZANDO

Desenvolvemos nesta aula o conceito de que a Governança em TI está

mais próxima de uma filosofia do que do que de um pacote que possamos
implantar ou adquirir através de uma consultoria. A governança, fortemente
atrelada ao pensamento estratégico da organização, está intimamente ligada à
personalidade da empresa. Deve-se ter plena consciência de que, antes de
pensar em implementar uma Governança em TI, a organização deve se
comprometer com a mudança que precisará ser implementada em todos os
setores.
É necessário e importante saber que o planejamento estratégico tem um
papel fundamental na governança. Numa maneira muito simples, o modelo de
governança irá depender da construção de um plano estratégico da organização.
Qualquer modelo de governança de TI dependerá do plano diretor para TI
criado pela empresa, o qual será elaborado com base no plano estratégico voltado
para essa finalidade.
Finalizando, precisamos lembrar que o conceito de governança em TI é
imenso e envolve diversos elementos. É preciso prestarmos atenção a diversos
fatores que podem acabar dificultando as operações na TI e assim também da
empresa.
Como estudamos o grau de problemas que podem aparecer, já sabemos
agora que será maior se maior for a dependência da organização em relação à TI.
A seguir, fazemos um resumo desse modelo:

09
Quadro 2 – Resumo do modelo de governança em TI

010
REFERÊNCIAS

FERNANDES, A. A. ABREU, V. F. Implantação a governança de TI: da

estratégia à gestão de processos e serviços. Rio de Janeiro: Brasport, 2012.

TURBAN, E.; VOLONINO, L. Tecnologia da informação para gestão: em busca

do melhor desempenho estratégico e operacional. 8. ed. Porto Alegre: Bookman,
2013.

011