03:34 PM, 10/9/2010
Segundo a Wikipedia:
O termo Compliance tem origem no verbo em inglês to comply, que significa agir de acordo com uma regra, um comando ou um pedido. No âmbito institucional e corporativo, Compliance é o conjunto de disciplinas para fazer cumprir as normas legais e regulamentares, as políticas e as diretrizes estabelecidas para o negócio e para as atividades da instituição ou empresa, bem como evitar, detectar e tratar qualquer desvio ou inconformidade que possa ocorrer.
Compliance é muito presente em instituições e empresas do mercado financeiro, mas tem se estendido para as mais diversas organizações privadas e governamentais, especialmente aquelas que estão sujeitas a forte regulamentação e controle.
Pois bem, durante essa semana observei a confusão de alguns colegas quanto ao termo Compliancerelacionado à Governança de TI (GTI). Muitos profissionais de TI referem-se ao termo como se fosse uma referência generalista a tudo o que é de GTI. Isso é errado!
Na verdade gente, a definição de Compliance da Wiki aproxima bem o conceito que nos interessa. Compliance em TI são marcos de regulação (leis, acordos, tratados governamentais) que representam restrições ao negócio da organização, mas que devem ser seguidos tendo em vista o potencial que têm de atração de capital de risco e geração de lucros.
Ok, mas como a TI faz isso? – Governança não trata só da implantação de melhores práticas (COBIT, ITIL, CMMI). Cuida do alinhamento estratégico da TI ao negócio, com base na continuidade do negócio, atendimento às estratégias e conformidade com os marcos de regulação externos (Compliances). É nesse sentido que a TI (ou a GTI) deve atuar.
Ou seja, quando um marco regulatório impõe restrições ao negócio no âmbito da TI, esta deve atuar em conformidade com o mesmo. Exemplo:
Em um determinado cenário de instituições financeiras, uma lei impõe que, para atingir menor risco, os aplicativos (softwares) geradores de fatos contábeis e financeiros devem produzir artefatos auditáveis. Neste caso, cabe ao Gestor de TI gerar a demanda em sua área de desenvolvimento (ou nos terceirizados que fornecem e desenvolvem o software) de uma implementação que evidencie trilhas de auditoria e verifique minuciosamente os processos realizados dentro do sistema.
Pronto, está desfeita a confusão. Falta só citar que o atendimento à demanda que citei deverá ser feito com base em melhores práticas (apareceram as margaridas!).
Faltou dizer também que, atualmente, os marcos regulatórios mais presentes e influentes em TI são o Sarbanes-Oxley Act, o Acordo da Basiléia II e a Resolução 3380 do Banco Central do Brasil. Mas estes serão assunto pra um próximo post.
por Thiago Fagury
http://fagury.com.br/sys/?tag=acordo-da-basileia-ii
http://g1.globo.com/tecnologia/noticia/2010/09/copa-libertadores-de-pro-evolution-soccer-tera-cinco-times-brasileiros.html
11:57 AM, 10/9/2010
Muito tem se falado sobre o Basiléia 2, acordo que regulamentará as necessidades adicionais de capital próprio de instituições financeiras para suportar futuras perdas. Criou-se um cenário de muita expectativa e até um pouco paranóico no mercado. Várias empresas do setor financeiro aqui no Brasil estão avaliando quais os impactos que o acordo trará para seus ambientes de Tecnologia da Informação e de que forma podem tirar proveito para tornarem-se mais competitivas frente à concorrência. As consultorias também se movimentam para oferecer ao mercado serviços que sejam necessários para a gestão de riscos, que encadeará em implementações e alterações de sistemas dentro das organizações. E, no meio disso tudo, o que realmente é essencial, e a que, tanto as empresas de finanças quanto as de TI, devem estar atentas?
A resposta é: a gestão de riscos operacionais. Do ponto de vista da governança corporativa e de TI, o acordo Basiléia 2 se aplica à exigência da criação de políticas de gerenciamento de riscos para garantir total segurança e confidencialidade dos dados de clientes. Isso exigirá que as empresas do setor alterem processos e sistemas para cumprir as regras do novo acordo.
O processo para as decisões do Basiléia 2 já começou. As novas normas do acordo que, em síntese, são para mitigar riscos de fraudes e falhas no sistema, deverão ser publicadas em breve pelos bancos centrais dos países que integram o grupo dos sete países mais ricos do mundo, G7. Isto significa que os bancos de todo o mundo deverão estar alinhados com as novas regras de gerenciamento de riscos de crédito, operação e mercado até 2006, prazo fixado pelas autoridades do setor. Isso, é claro, se o Banco Central do Brasil acatar ao Basiléia 2, já que ainda não foi decidido se países não pertencentes ao G7 serão obrigados ou não a seguir o acordo.
Mesmo assim, já há certa movimentação das instituições financeiras para se prepararem, visando o ajuste da gestão de riscos de acordo com as regras estabelecidas pelo Basiléia 2. E não é para menos. A grande questão que tira as noites de “sono” dos executivos que comandam os bancos e financiadoras refere-se ao impacto do risco sobre a lucratividade da empresa, pois quanto maiores os riscos das instituições financeiras, maior será o capital retido, ou seja, elas terão mais capital alocado para cobrir eventuais falhas. Isso terá influência direta na diminuição de recursos para as organizações do setor utilizarem no mercado. O cuidado com os riscos torna-se, então, uma questão primordial para as organizações e passa a ser também um diferencial de competitividade.
Alguns dos grandes bancos já começaram os trabalhos e outros estão a todo vapor para a adoção do risk management, cuja implantação força uma série de alterações nos diversos sistemas existentes dentro das organizações e exige o mapeamento de riscos nos processos operacionais. Quanto mais aprofundado e pró-ativo for a governança tecnológica, menor será a probabilidade com perdas.
Ações de desenvolvimento e adequação de sistemas são necessárias para tornar eficiente a gestão de riscos nos bancos, e estão aquecendo o mercado de consultoria em TI devido à necessidade de alterações de infra-estrutura e de desenvolvimento de sistemas. Após a época de ouro da implantação do sistema de pagamento brasileiro (SPB), essa será uma nova oportunidade de crescimento para os fornecedores de serviços e soluções de TI. Segundo alguns institutos de pesquisa, a estimativa é de que sejam gastos 50 bilhões de dólares em todo o mundo. Caberá, então, aos provedores de serviços e soluções de TI dar suporte às empresas do segmento financeiro, auxiliando-as no cumprimento da política de gerenciamento de riscos como um todo.
Enfim, tanto para os bancos e demais empresas do setor, quanto para as consultorias de TI, o acordo Basiléia 2 deve deixar de ser encarado como uma dificuldade ou uma barreira, para tornar-se uma oportunidade de crescimento no mercado. É desta forma que seus executivos e diretores devem enxergar esse momento de mudanças no mercado financeiro, ou seja, como um desafio. Essa será uma excelente chance para as empresas diferenciarem-se frente aos seus concorrentes. Vai encarar?
* José Gomiz Mateo
http://www2.uol.com.br/canalexecutivo/artigosout10.htm
07:55 AM, 8/9/2010
Já dizia Peter Druker, considerado pai da administração moderna: “O que não se pode medir, não pode se gerenciar”.
O conceito de governança, seja corporativa ou de TI, tem o objetivo de comunicar e direcionar as ações da empresa e/ou de TI através de mecanismos, como missão, visão, gestão de portfólio, análise de riscos (forças, fraquezas, ameaças, oportunidades – Matriz SWOT) e ter o controle sobre seu desempenho e resultado, de forma a certificar-se de que se está no caminho certo ou se são necessários ajustes para que os objetivos sejam alcançados. Para isso, precisamos de indicadores que nos forneçam este poder de controle.
Tão importante quanto se fazer um bom planejamento é medir para se ter o controle da situação e saber onde se está. Um exemplo simples: você vai fazer uma viagem de Santa Catarina a São Paulo, e na fase de planejamento você identificou através do Google Maps que a distância é de uns 600 KM. Seu carro faz 10 KM por litro, logo, 60 litros de combustível serão suficientes. Para se garantir, você colocou 65 litros. Bom, o planejamento foi feito, você sabe a missão (traçou o destino, o caminho), avaliou os riscos (do carro quebrar e etc) e começou a viagem. Como você se sentiria se não existisse o ponteiro do medidor de combustível no painel? Sem controle nenhum da situação, certo? Se por acaso nesta viagem em particular por algum motivo seu carro fizesse 5 KM, em algum momento teríamos problemas, certo? No mundo corporativo é a mesma coisa, só que muito mais complexo.
Em um tempo mais distante, com menos concorrência, inovação, onde não se olhava muito para o que o cliente queria, bastava para as organizações analisar o faturamento, custos e claro se o lucro estava dentro do esperado. As grandes empresas conseguiam facilmente manter sua posição no mercado, pois elas o dominavam. Hoje o mundo é diferente. As empresas, para manterem sua posição no mercado e crescerem, precisam inovar nos produtos, conhecimento, processos, e não podem olhar apenas números para saber como estão perante seus clientes e o mercado em si, precisa enxergar muito mais.
É aí que entra o BSC, ou Balance Scorecard. O Balanced Scorecard é uma metodologia desenvolvida por Robert Kaplan e David Norton em 1992 para avaliação de desempenho empresarial, mas que atualmente é muito usada também para gestão estratégica. O Balanced Scorecard, traduzindo “Indicadores Balanceados” é focado em indicadores financeiros e não-financeiros. Os indicadores financeiros(Custo, Faturamento, Lucro) são conhecidos também como indicadores de leg, pois medem o passado. Os indicadores não-financeiros trazem outras três perspectivas: Visão do cliente, Processos Internos e Aprendizado e Crescimento. Estes indicadores não-financeiros são uma base importante para avaliar a perspectiva futura do produto/negócio e também financeira. Um exemplo simples e prático: se o % de satisfação dos clientes referente a um produto XYZ está muito abaixo das expectativas é muito provável que no futuro muitos deles parem de comprar o produto, e conseqüentemente a empresa ganhará menos dinheiro ou prejuízo com o produto.
Entendeu porque não podemos só avaliar a questão financeira?
Abaixo temos uma figura que ajuda a clarificar a tradução da visão do negócio para metas baseadas nas perspectivas do Balanced Scorecard.
O BSC organiza os indicadores em diagramas de causa e efeito, onde são definidos primeiro os objetivos Financeiros, baseado nestes indicadores os do Cliente, seguido pelos Processos Internos e finalmente Aprendizado e Crescimento, onde todos estes indicadores estão de alguma forma relacionados. Pelo fato de estar tão ligado a estratégia do negócio, o BSC passou também a auxiliar na montagem da estratégia do negócio, se tornando uma ferramenta importante neste processo. E na TI não é diferente. Frameworks de Governança de TI como o Cobit sugerem o modelo do BSC para montagem dos indicadores, dentro das 4 perspectivas, o que de certa forma auxilia no alinhamento entre TI e o negócio.
Este assunto é muito interessante e vale a pena utilizar algum tempo para estudá-lo. Cada vez mais veremos indicadores de TI e não TI baseados nas perspectivas do BSC.
Esperamos ter auxiliado você, caro leitor, a conhecer mais sobre esta poderosa ferramenta de gestão. Se você quer conhecer mais a fundo sobre o assunto, fique ligado que nos próximos posts iremos detalhar mais sobre o BSC.
07:32 AM, 8/9/2010
A lei Sarbanes-Oxley foi criada nos EUA em 30 de Julho de 2002 pelos senadores Sarbanes e Oxley, sendo a lei batizada com a junção de seus nomes. O gatilho para a criação desta lei foram os escândalos financeiros ocorridos nos EUA. Algumas empresas, sendo o caso mais famoso da Enron, uma das líderes mundiais em distribuição de energia e comunicações da época e de faturamento de cerca de 100 bilhões de dólares no ano 2000, fraudou diversos demonstrativos fiscais e contábeis com auxílio de empresas e bancos, omitindo do seu balanço anual dívidas de cerca de 25 bilhões de dólares. Esta omissão fez com que investidores comprassem ações de uma empresa aparentemente rentável e sadia, sendo que a mesma estava á beira da falência, onde muitos perderam investimentos de uma vida (nos EUA muitas pessoas investem em ações assim como no Brasil colocamos dinheiro na poupança). Para fazer com que a credibilidade nas aplicações na bolsa fossem melhoradas, surgiu a SOX.
Antes da SOX, somente as empresas eram punidas devido a fraudes financeiras. Portanto, se o executivo cometia alguma fraude o mesmo passava ileso, sendo a empresa responsabilizada. A SOX responsabiliza civil e criminalmente os executivos do negócio em caso de fraudes, mesmo que eles não tenham participação direta. A idéia da SOX é que as empresas demonstrem eficiência na Governança Corporativa. A SOX define uma série de controles que são necessários para garantir a segurança, veracidade, integridade entre outros aspectos da informação.
A SOX afeta empresas que tem suas ações negociadas na Bolsa de Nova York. Algumas empresas brasileiras que tem as ações na bolsa de NY são: Petrobrás, GOL, TAM entre outras.
E como esta lei afeta a TI?
Esta lei afeta diretamente a TI pelo fato de todas as informações financeiras serem guardadas em sistemas de informação. A SOX estabelece, entre outras coisas, que:
- Regras de elaboração e publicações de resultados financeiros. Portanto os sistemas de informação precisam estar adequados para isso.
- O CEO e CFO precisam atestar e assinar que os relatórios financeiros estão corretos. Imaginem a pressão deles por controles adequados dos sistemas por parte da TI. Eles são responsabilizados em casos de erros, fraudes e etc.
- O conteúdo da informação precisa ser correto.
- A informação precisa estar disponível no momento correto (questões de disponibilidade).
- Acessível somente por pessoas autorizadas (segurança).
- Informação precisa estar atualizada.
- Os sistemas internos precisam ter controles relativos às informações, novas funcionalidades e permitir o rastreio (logs) no caso de erros em relatórios, alterações indevidas.
- Novos processos de TI precisam ser implementados para mitigar os riscos.
- Indicadores de desempenho precisarão ser criados.
- Entre outros aspectos.
No pouco que listamos acima, podemos notar que processos maduros de desenvolvimento de software, gestão de serviços de TI e segurança da informação são de fundamental importância para que a SOX seja cumprida. O COBIT, framework de governança de TI, será utilizado para “governar” e controlar todos estes processos, dando a visão gerencial a respeito da TI para os executivos, e fazer com que a TI esteja alinhada ao negócio de forma a cumprir a lei.
http://www.profissionaisti.com.br/2010/08/governanca-de-ti-lei-sarbanes-oxley-e-a-ti/
Por Emerson Dorow | 17 de agosto de 2010 | Governança de TI
11:23 AM, 6/9/2010
Governança de TI
Conceito:
Governança de TI: A especificação dos direitos decisórios e doframework de responsabilidades para estimular comportamentos desejáveis na ultilização da TI.
O Equívoco
Grandes equívocos de definição tem ocorrido freqüentemente, onde se conceitua GTI como um painel de indicadores, ou como um processo de gestão de portfólio dos projetos estratégicos. Conceito de que com a implementação de alguns processos baseados em apenas uma das melhores práticas ou modelos (como Balanced Scoredcards (BSC), CobiT, ou ITIL) por si só, garantem a Governança, entretanto este conceito está incorreto.
Conceito:
“Governança de TI é um conjunto de práticas, padrões e relacionamentos estruturados, assumidos por executivos, gestores, técnicos e usuários de TI de uma organização, com a finalidade de garantir controles efetivos, ampliar os processos de segurança, minimizar os riscos, ampliar o desempenho, otimizar a aplicação de recursos, reduzir os custos, suportar as melhores decisões e conseqüentemente alinhar TI aos negócios.”
Professor da FGV Sr. João R. Peres
Dentro destes conceitos, uma GOVERNANÇA DE TI eficaz deve tratar de três questões:
1.Quais decisões devem ser tomadas para garantir a gestão e o uso eficaz de TI?
2.Quem deve tomar essas decisões?
3.Como essas decisões serão tomadas e monitoradas?
Por que a Governaça de TI é importante?
Porque a estrutura em Governança de TI irá garantir que os objetivos acordados para TI, controles de gestão e efetivo monitoramento do desempenho para manter os resultados sobre controle e evitar resultados indesejados estejam implantados.federalismo, duopólio e anarquia) para descrever as combinações de pessoas que têm direitos decisórios ou que contribuem para a tomada de decisões de TI.
Um desses arquétipos pode descrever como a empresa toma uma ou mais das cinco decisões-chave de TI ou contribui com os tomadores de decisão
Monarquia de Negócio
Os altos executivos de negócios tomam decisões de TI que afetam a empresa como um todo. Tipicamente, as Monarquias de Negócios aceitam contribuições de muitas fontes para as decisões-chave. Por exemplo, decisões de investimentos em TI recebem contribuições dos subordinados diretos do CIO (chief Information Officer – Gestor de TI), dos líderes de TI das unidades de negócios, do processo de gestão de orçamento da empresa, e etc.
Monarquia de TI
Profissionais de Tecnologia da Informação tomam as decisões de TI. As empresas implementam monarquia de TI de muitas maneiras diferentes. Umexemplo é um grupo de arquitetura de TI com representações de todas as regiões, de todas as unidades de negócios estratégicas que propõe “regras” de arquitetura para a equipe da alta gerência de TI formada pelo CIO corporativo e pelos CIOs das maiores unidades de negócios. Essa equipe é responsável pela clareza dessas regras edetém o poder de impor as normas de arquitetura de TI.
Feudalismo
Baseado nas tradições da Inglaterra feudal, onde os príncipes e as princesas ou os cavaleiros por eles escolhidos, tomavam suas próprias decisões otimizando suas necessidades locais.No caso da Governança de TI a entidade feudal é tipicamente a unidade de negócio, a região ou a função. De modo geral, esse modelo não se mostrou muito comum, porque a maioria das empresas estava em busca de sinergia (inter-relação) entre as unidades de negócio. Esse modelo não facilita a tomada de decisão da empresa como um todo.
Federalismo
Esse modelo tem uma longa tradição nos governos. Arranjos federalistas tentam equilibrar as responsabilidades e cobranças de múltiplos órgãos de governo, como país e estados. Sua utilidade está em negociar tanto os interesses da organização central (tipicamente a sede) como também os interesses das unidades de negócios.
Os representantes das unidades no modelo federalista podem ser os seus líderes ou os detentores de processos de negócios. Líderes de TI em nível corporativo e/ou das unidades de negócios também podem envolver-se como participantes adicionais.
Este modelo é, sem dúvida, o mais difícil arquétipo para a tomada de decisões, pois os líderes das empresas tem preocupações diferentes das dos líderes de unidades de negócios.
Geralmente, as unidades de negócios maiores e mais poderosas ganham mais atenção e tem maior influência sobre as decisões. Consequentemente, as unidades menores estão sempre insatisfeitas e por vezes se separam da união para atender suas próprias necessidades.
As empresas que adotam estruturas de governança federalista costumam fazer uso de equipes administrativas e comitês executivos para resolver conflitos inerentes.
Duopólio de TI
É um arranjo entre duas partes e as decisões representam um consenso bilateral entre executivos de TI e algum outro grupo.
O duopólio difere do federalismo no sentido de que o arranjo federalista tem sempre representação tanto corporativa como local, ao passo que o duopólio tem uma ou outra, mas nunca as duas representações, e inclui, invariavelmente, profissionais de TI. Mais de um terço das 256 empresas consultadas utilizava duopólios nos processos de decisões nos três investimentos em TI. Duopólios também eram frequentemente utilizados para prover contribuições a decisões sobre arquitetura e infra-estrutura.
Anarquia
Numa anarquia, indivíduos ou pequenos grupos tomam suas próprias decisões com base somente em suas necessidades locais. As anarquias são a ruína de muitos grupos de TI, sendo caras de sustentar e preservar. Anarquias formalmente sancionadas são raras, mas aparecem nos casos em que se observa especificamente um cliente individual.
03:19 PM, 3/9/2010
Esta é uma questão que muitos CIOs estão fazendo. Isto ocorre devido à diversidade de ferramentas e conceitos que são "despejados" no mercado, gerando dúvidas e definições incorretas sobre o tema.
Os grandes equívocos que ocorrem freqüentemente são de definição, onde se conceitua a Governança de TI (GTI) como um painel de indicadores, ou como um processo de gestão de portfólio dos projetos estratégicos.
Existem algumas frentes defensoras do conceito de que com a implementação de alguns processos baseados em apenas uma das melhores práticas (como Balanced Scoredcards (BSC), CobiT, ou ITIL) por si só, garantem a Governança, entretanto este conceito está incorreto.
A premissa mais importante da Governança de TI é o alinhamento entre as diretrizes e objetivos estratégicas da organização com as ações de TI. A definição do ilustre professor da FGV Sr. João R. Peres demonstra este conceito de forma abrangente, atribuindo os papéis e as responsabilidades conforme abaixo:
“Governança de TI é um conjunto de práticas, padrões e relacionamentos estruturados, assumidos por executivos, gestores, técnicos e usuários de TI de uma organização, com a finalidade de garantir controles efetivos, ampliar os processos de segurança, minimizar os riscos, ampliar o desempenho, otimizar a aplicação de recursos, reduzir os custos, suportar as melhores decisões e conseqüentemente alinhar TI aos negócios.”
Está definição deixa clara a importância da Governança de TI em organizações que almejam atender a crescente demanda por aumento de qualidade de produtos e processos, a alta competitividade do mercado globalizado e a busca por menores custos e maiores lucros.
Outra definição que se encaixa em Governança de TI é de considerá-la como “a Gestão da Gestão”, demonstrando seu papel principal que é de auxiliar o CIO (Governante de TI) a avaliar os rumos a serem tomados para o alcance dos objetivos da organização, onde um direcionamento errado pode levar a empresa ao fracasso em pouco tempo.
Casos de sucesso de um programa de Governança aplicados a uma organização não dão a garantia do mesmo sucesso à outra. Estes casos são muito instrutivos e importantes para auxiliar nos caminhos da elaboração de um programa próprio.
A implementação efetiva da Governança de TI só é possível com o desenvolvimento de um framework (modelo) organizacional específico. Para tanto, devem ser utilizadas, em conjunto, as melhores práticas existentes como o BSC, PMBok, CobiT, ITIL, CMMI e ISO 17.799, de onde devem ser extraídos os pontos que atinjam os objetivos do programa de Governança. Além disso, é imprescindível levar em conta os aspectos culturais e estruturais da empresa, devido à mudança dos paradigmas existentes.
O grande desafio do Governante de TI é o de transformar os processos em “engrenagens” que funcionem de forma sincronizada a ponto de demonstrar que a TI não é apenas uma área de suporte ao negócio e sim parte fundamental da estratégia das organizações.
