Governança de TI exige governança corporativa?

image_pdfimage_print

Por Alexandre Hernandes e Carlos Vargas*

Recentemente, abordamos a questão da arquitetura corporativa. Recordando, a arquitetura corporativa é o primeiro passo na busca do nível mais adequado da segurança em negócios que pretendemos obter por meio de nosso modelo de TI. Para aqueles que ergueram a sobrancelha, pensando que “o nível de segurança desejado, em negócios, é sempre o máximo possível”, alertamos: o nível máximo de segurança tem custo infinito!

A arquitetura corporativa nos ajudou a definir os limites pretendidos para nossos sistemas de TI, consideradas as estratégias de negócios, os parâmetros para o design de sistemas, o ambiente de TI escolhido pela empresa, o peso do fator humano e o grau de qualidade pretendido. Isso tudo considerado, estamos prontos para o segundo passo: definir políticas de governança, para o negócio e para TI.

Governança não é um tema novo, embora para muitos pareça algo caro e remoto, tolerável apenas pelos orçamentos das grandes corporações. Isso não é verdade. Sem governança você afunda seu orçamento doméstico, para dar um exemplo banal. Ou seja, não existe equilíbrio entre planejar e executar, sem algum nível de governança, mesmo que empírica. Vamos à analogia doméstica, para trocar o tema em miúdos.

Você vai se casar e, junto com sua noiva (ou vice-versa) define a “arquitetura corporativa” de sua vida futura: vai morar num apartamento de dois quartos, a família terá um carro, sairá de férias por duas semanas (no Brasil), uma vez por ano, mas não abrirá mão da qualidade de vida, com boa alimentação, plano de saúde e escola de bom nível para os futuros filhos.

Com isso, é possível definir a questão da governança corporativa: a esposa vai cuidar da qualidade da alimentação, comprando diretamente os produtos no supermercado, vai acompanhar os resultados dos filhos na escola e seus deveres de casa, anualmente todos irão ao médico e ao dentista, o marido vai cuidar do orçamento doméstico e do IR anual etc. Para que tudo isso funcione, é importante que o casal, que trabalha fora, mantenha as informações sob controle, por meio de mínimos recursos técnicos: computador doméstico, smartphones e integração com os computadores de suas empresas.

O marido, que normalmente é mais ligado em TI, sugere que ambos tenham o mesmo tipo de smartphone, que seja sincronizado diariamente (agenda, to do list) com o computador doméstico e com os computadores da empresa, que ambos usem uma caixa tipo Dropbox para terem à mão os arquivos mais importantes que usarão para controlar suas vidas e que uma vez por mês façam um back up dos arquivos do computador doméstico. Acabamos de desenhar os limites de nossa “governança de TI doméstica”.

A governança corporativa visa garantir a obtenção de resultados positivos e o crescimento para a empresa, para isso decidindo sobre os investimentos, planejando o lançamento de novos produtos e o desenvolvimento do mercado, tudo isso sem perda dos controles do negócio. Parece coisa de chinês, e é. Para facilitar um pouco, em 2002, no embalo de grandes escândalos financeiros (vide Enron), dois senadores americanos redigiram uma lei com o objetivo de evitar a insegurança dos investidores a respeito da governança das grandes corporações.

A lei Sarbanes-Oxley (Sarbox ou SOX), propõe a criação de mecanismos de controle e auditoria, para tornar as grandes empresas transparentes ao investidor, mitigando os riscos do negócio e prevenindo as fraudes. A maioria das grandes empresas brasileiras adotou os padrões Sarbox, até porque são obrigatórios para quem tem ADPs negociadas na bolsa de Nova York.

Enquanto a governança corporativa se preocupa em direcionar o futuro do negócio, sem perda do controle, a governança de TI é, segundo o ITGI (IT Governance Institute), “a capacidade da organizar e controlar implementação da estratégia de TI e dar direção aos investimentos a fim de atingir vantagem competitiva para a companhia”.

A governança de TI define quem tem a autoridade para tomar decisões, determina a responsabilidade pelas ações e propõe a forma como o desempenho de TI será avaliado. COBIT e ITIL são duas instituições que propõem normas e padrões para a instituição da governança de TI em nossas empresas. Para quem quiser se aprofundar um pouco, o link a seguir leva até um white paper muito didático que compara as normas propostas pelas duas instituições: http://www.trainning.com.br/download/Apostila_ITIL_Cobit.pdf

E, ligando as duas coisas, cabe uma pergunta: para ter governança de TI é preciso ter governança corporativa? Sim e não. A governança corporativa é algo básico para a sobrevivência de nosso negócio, em ambiente de crescimento rápido, com volumes crescentes de novos investimentos. Mas, para isso não necessariamente você precisa implantar o Sarbox. No mínimo, bom senso e KPIs (Key Performance Indicators) são recomendados para que seus investimentos não voem pela janela.

Tendo boas normas de governança corporativa, é usual que se estenda o tema governança também para a TI, mas isso não é obrigatório. Normalmente, quando os processos de missão crítica do negócio dependem de TI (ex.: bancos), então a governança de TI passa a ser mandatória.

Se quer implementar com sucesso um modelo de governança de TI, será bom definir qual o nível de riscos que se quer correr, e mostrar ao cliente que a sua empresa está no controle.

*Alexandre Hernandes é diretor de AMS/DEV e Carlos Vargas é diretor de Business Consulting, ambos da Softtek

Fonte: Computer World

Sou bacharel em Sistemas de Informação pela Estácio de Sá (Alagoas), especialista em Gestão Estratégica da Tecnologia da Informação pela Univ. Gama Filho (UGF) e pós-graduando em Gestão da Segurança da Informação pela Univ. do Sul de Santa Catarina (UNISUL). Tenho interesse por todas as áreas da informática, mas em especial em Gestão, Segurança da Informação, Ethical Hacking e Perícia Forense. Sempre disposto a receber sugestões de assuntos para criar uma postagem.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Quer ficar atualizado?

Inscreva-se em minha newsletter e seja notificado quando eu publicar novos artigos de graça!