GOVERNANÇA DE TI ATRAVÉS DA ADMINISTRAÇÃO DE RISCOS
1.
Introdução
A importância de TI para as organizações é um fato consumado. Nenhum executivo de negócio questiona essa afirmação. Nem
precisamos mais justificá-la com argumentos como “o advento da globalização, sustentado pela Internet no nosso dia-a-dia, faz de TI
algo mais do que imprescindível para qualquer negócio”. Também não é mais preciso lembrar que em segmentos como o Financeiro a
importância da TI é equivalente à da Tecnologia da Automação na indústria de Manufatura... O que aconteceria se as máquinas de
uma linha de produção parassem de funcionar? O mesmo caos que aconteceria se os servidores de aplicações críticas do negócio
ficassem indisponíveis!
No mundo organizacional, Importância é sinônimo de Dependência. O grande desafio dos executivos de TI é justamente tornar isso
claro para o Negócio.
Hipoteticamente, uma das maneiras mais simples e diretas seria a utilização da Teoria da Certeza: colocar todos os recursos de TI em
estado de indisponibilidade e deixar, literalmente, o circo pegar fogo... Melhor dizendo, Roma (a organização) passaria a conhecer
instantaneamente, e em detalhes, o poder de Nero (o CIO).
No mundo real, o desafio é comprovar para o Negócio os danos do incêndio sem ter de passar pelo fogo! Comprovar as perdas - mais
do que isso, os valores das perdas! – sem precisar passar por verdadeiros sinistros de indisponibilidade, de falta de desempenho, de
erros de funcionalidade, de fragilidade de segurança, de falta de capacidade, entre outras anomalias de TI que interromperiam os
serviços e causariam danos reais.
Para os executivos de TI saírem do “mundo da incerteza”, repleto de citações de “probabilidades com perdas desconhecidas”, e
entrarem no mundo da administração de riscos, também baseado em probabilidades, só que com perdas conhecidas e devidamente
expressas em valores, o caminho é um só: entender e adotar modelos de Governança, uma arma que o próprio negócio vem
utilizando cada vez mais na última década. Estamos falando aqui de mapas estratégicos baseados nas perspectivas do Balanced
Scorecard – BSC, cuja transparência permite administrar facilmente os mais variados riscos do negócio.
O BSC permite comprovar a necessidade de investimentos sob a ótica de redução da probabilidade da perda. Isto através de uma
simples matemática de custo e benefício, traduzida por montante de investimento X redução do valor financeiro da perda.
Exemplificando: quanto estaríamos dispostos a investir em um novo servidor de cartão de crédito, levando em consideração que:
Ele será responsável pela geração de uma receita de R$ 5.000.000,00 (cinco milhões) por hora;
Conforme o histórico dos últimos 12 meses, ele tem 5% de probabilidade de ficar indisponível pelo menos uma hora/mês.
Que os executivos de TI sejam bem vindos ao mundo da Governança. Ao mundo da transparência. Ao mundo da administração de
riscos dos recursos face aos objetivos de negócio. Ao mundo dos processos, pessoas, cultura e automação. Ao mundo que já existe
como parte integrante e sedimentada da Governança do Negócio.
2. O que várias implantações de um ERP de TI nos ensinaram a definir como Governança de TI?
Nossa experiência de mais de sete anos de implantações de projetos de automação dos processos de TI e viabilização automatizada
da Governança de TI, nos levou a uma definição simples de Governança como um todo, que se aplica também a Governança de TI:
Observamos que nossa definição é uma tentativa de sintonizar a Governança de TI com a realidade de CIOs e gerentes de TI com os
quais nos deparamos no dia-a-dia de implantação, execução e gestão de processos automatizados de TI, abordando os principais
frameworks de TI e Compliance, entre eles: Cobit, Basel II, Sarbox, PMI, CMMi e ITIL.
Então, vamos à ela: Governança é um modelo de ações orientado à transparência e administração de riscos. Especificamente ações
contínuas para estabelecer, conduzir e evoluir controles sobre os recursos de TI com o objetivo de reduzir os riscos de não-realização
dos objetivos de negócio (lucros).
- Ações contínuas, neste contexto, podem ser traduzidas por hábito. Modelos de Governança não existem sem ações continuas. Uma
boa Governança é resultado da freqüência das ações e não da intensidade das ações.
- Entendemos por Controle, por sua vez, a condição de ditar o comportamento, ou seja, a condição de estabelecer e avaliar as ações
de TI em conformidade com modelos estabelecidos para atingir objetivos e estratégias de negócio.
- Recursos de TI, por sua vez, são processos, pessoas, cultura e tecnologia sob forma de hardware e software. Quando não são
utilizados de forma apropriada, podem provocar perdas – como, por exemplo, as ocasionadas por interrupções operacionais.
Recursos mal utilizados também podem levar o Negócio a deixar de ganhar, avaliando e priorizando erroneamente as iniciativas.
- Risco é um estado de incerteza que envolve uma ou mais perdas – mas as perdas devem ser obrigatoriamente identificadas. Não
existe Governança de TI se não existir a capacidade de medir a perda financeira acarretada por um ou mais eventos – lembre-se da
indisponibilidade do servidor que mencionamos anteriormente.
- Não podemos falar de Governança de TI sem falar em risco de TI. É inacreditável que as áreas de negócio venham conduzindo, há
anos, suas ações sob a ótica de riscos, o que, como vimos, requer uma mensuração de perda e probabilidade do evento ou eventos
que acarretam essa mesma perda. É impensável que um executivo de TI, a exemplo dos executivos de negócio, não possam
comprovar, em números, o valor de suas perdas. Como é possível trabalhar na incerteza? Como é possível desconhecer os valores e
até mesmo desconhecer quais as perdas envolvidas?
Maio/2008
página: 1
©Copyright Mindware Sistemas
GOVERNANÇA DE TI ATRAVÉS DA ADMINISTRAÇÃO DE RISCOS
Entendemos como lucros obtidos a base pela qual é calculado o percentual de redução de lucro face ao valor de concretização da
perda, ou melhor, do risco. Qual a relevância desta perda junto ao lucro (risco operacional – financeiro) e da continuidade desta perda
(risco de reputação – financeiro).
Podemos, em resumo, definir o que é Governança de TI sob a ótica da palavra mais utilizada deste documento: Riscos.
“Governança de TI é simplesmente o processo contínuo de administração de riscos dos recursos de TI junto ao negócio”.
Para diagnosticar a Governança de TI, vamos fazer um paralelo com o Serviço de Saúde e aplicar o modelo simples e objetivo de
prevenções de risco para tentar evitar os estados aflitivos de morbidez e morte da organização de TI e, conseqüentemente, do próprio
Negócio. Podemos fazer um paralelo bem interessante entre o estado atual de TI e as categorias de prevenções de doenças.
Prevenção primária – Para evitar o desenvolvimento da “doença”.
Ações contínuas de Governança significam atividades preventivas. Os investimentos são efetuados antes mesmo de qualquer sinistro.
Conhecendo a perda e a probabilidade dos eventos de gerar a perda (risco), investe-se com a freqüência necessária para permanecer
sempre saudável. A habilidade do CIO neste tipo de prevenção é o que realmente o distingue dos demais – ele consegue prevenir
estados patológicos. Investimentos na saúde dos recursos de TI serão sempre bem menores que as perdas que podem ser
provocadas no Negócio pela falta de recursos. Alimentar-se bem sai mais em conta do que comprar remédios. Alta atuação de
convencimento por administração de riscos por parte do CIO.
Prevenção secundária – Evita a progressão da doença.
As ações de Governança recaem sobre atividades para evitar o agravamento do quadro que já é indiscutivelmente patológico. Ou
seja, a doença existe, mas ainda está longe de um estado de morbidez ou de sofrimento contínuo. As ações ainda podem ser
corretivas e de baixa intensidade – e os investimentos adequados ao que podemos chamar de “patologia amena com sintomas leves”.
Há necessidade de incorrer em perdas, na sua grande maioria conhecidas, para obter recursos que reduzam a probabilidade de
agravamento dos sintomas – ou o quadro patológico poderá passar para mórbido. Em resumo, há necessidade de algum sofrimento
para comprovar a necessidade de investimentos para estancar perdas já conhecidas. Média atuação de convencimento por
administração de riscos por parte do CIO.
Prevenção Terciária – Tenta-se evitar a possível morte em decorrência da doença já existente.
As ações de Governança dizem respeito a atividades para contenção do quadro patológico instalado. A doença existe e, muito
rapidamente, poderá evoluir para um estado de morbidez e sofrimento contínuo. São necessárias atividades corretivas de alta
intensidade. Ou seja, os investimentos serão efetuados diante de um quadro de patologia extrema com sintomas graves – que já
provocam, inclusive, outras patologias. Um cenário devastador. Todos os investimentos efetuados são direcionados para manter os
recursos de TI em situação de bem-estar... Efêmero! Só se comprova a necessidade de investimentos com terríveis dores contínuas
de indisponibilidade, baixo desempenho, funcionalidade errônea, baixa capacidade, fragilidade de segurança, entre outros inúmeros
sintomas graves. A cultura organizacional reflete um estado patológico de dor, de passividade corretiva. Se algo não for feito, a
prevenção terciária levará à morbidez e à morte organizacional de TI, uma vez que dificilmente este tipo de prevenção restabelece as
funções normais de um quadro saudável dos recursos de TI. Em resumo, há necessidade de muito sofrimento para comprovar a
necessidade de investimentos para estancar perdas já conhecidas ou até mesmo, como é característica desta categoria de
prevenção, perdas não-conhecidas. São justamente estas perdas não-conhecidas, ou seja, novas patologias decorrentes, que levam
à morte. Baixíssima atuação de convencimento por administração de riscos por parte do CIO.
DADOS DO AUTOR:
JULIO VIGORITO - Formado em Computer Science pela Florida Atlantic
University. Iniciou sua carreira como arquiteto de banco de dados, projetando e
desenvolvendo “gerenciadores”.
Com mais de 30 anos de experiência na área de TI, atuou desde engenheiro de
software a posições executivas como CIO e Diretor de Tecnologia e Processos em
grandes organizações.
É sócio-fundador da MINDWARE SISTEMAS e responsável pela criação de
inúmeros modelos de gestão voltados à estruturação e automação de processos
de governança e gerenciamento de serviços de TI. No decorrer dos últimos anos
tem sido responsável pela automação dos principais modelos de governança de TI
em grandes organizações nacionais e internacionais utilizando uma plataforma
única de processos, de sua autoria, denominada SPEKX – Service Process
Engineering and Knnowledge Exchange e várias soluções existentes como parte
integrante do ERP de Governança de TI - SPEKX for IT GOVERNANCE.
Em quais dos três tipos de prevenções
sua TI está considerando?
Independente de qual for, implementar
um ERP de Governança de TI é uma
estratégia de comprovado sucesso a
ser adotada.
Agende uma visita dos nossos
consultores de venda e veja como
empresas do tipo: SERPRO, VALE,
MARÍTIMA SEGUROS, BANCO DO
BRASIL, BANCO BMG entre outras que
já estão atuando em suas prevenções
de riscos de TI.
Fone: 11 5506-1165
www.spekx.com.br
Maio/2008
página: 2
©Copyright Mindware Sistemas