Governança de TI exige governança corporativa?

image_pdfimage_print

Por Alexandre Hernandes e Carlos Vargas*

Recentemente, abordamos a questão da arquitetura corporativa. Recordando, a arquitetura corporativa é o primeiro passo na busca do nível mais adequado da segurança em negócios que pretendemos obter por meio de nosso modelo de TI. Para aqueles que ergueram a sobrancelha, pensando que “o nível de segurança desejado, em negócios, é sempre o máximo possível”, alertamos: o nível máximo de segurança tem custo infinito!

A arquitetura corporativa nos ajudou a definir os limites pretendidos para nossos sistemas de TI, consideradas as estratégias de negócios, os parâmetros para o design de sistemas, o ambiente de TI escolhido pela empresa, o peso do fator humano e o grau de qualidade pretendido. Isso tudo considerado, estamos prontos para o segundo passo: definir políticas de governança, para o negócio e para TI.

Governança não é um tema novo, embora para muitos pareça algo caro e remoto, tolerável apenas pelos orçamentos das grandes corporações. Isso não é verdade. Sem governança você afunda seu orçamento doméstico, para dar um exemplo banal. Ou seja, não existe equilíbrio entre planejar e executar, sem algum nível de governança, mesmo que empírica. Vamos à analogia doméstica, para trocar o tema em miúdos.

Você vai se casar e, junto com sua noiva (ou vice-versa) define a “arquitetura corporativa” de sua vida futura: vai morar num apartamento de dois quartos, a família terá um carro, sairá de férias por duas semanas (no Brasil), uma vez por ano, mas não abrirá mão da qualidade de vida, com boa alimentação, plano de saúde e escola de bom nível para os futuros filhos.

Com isso, é possível definir a questão da governança corporativa: a esposa vai cuidar da qualidade da alimentação, comprando diretamente os produtos no supermercado, vai acompanhar os resultados dos filhos na escola e seus deveres de casa, anualmente todos irão ao médico e ao dentista, o marido vai cuidar do orçamento doméstico e do IR anual etc. Para que tudo isso funcione, é importante que o casal, que trabalha fora, mantenha as informações sob controle, por meio de mínimos recursos técnicos: computador doméstico, smartphones e integração com os computadores de suas empresas.

O marido, que normalmente é mais ligado em TI, sugere que ambos tenham o mesmo tipo de smartphone, que seja sincronizado diariamente (agenda, to do list) com o computador doméstico e com os computadores da empresa, que ambos usem uma caixa tipo Dropbox para terem à mão os arquivos mais importantes que usarão para controlar suas vidas e que uma vez por mês façam um back up dos arquivos do computador doméstico. Acabamos de desenhar os limites de nossa “governança de TI doméstica”.

A governança corporativa visa garantir a obtenção de resultados positivos e o crescimento para a empresa, para isso decidindo sobre os investimentos, planejando o lançamento de novos produtos e o desenvolvimento do mercado, tudo isso sem perda dos controles do negócio. Parece coisa de chinês, e é. Para facilitar um pouco, em 2002, no embalo de grandes escândalos financeiros (vide Enron), dois senadores americanos redigiram uma lei com o objetivo de evitar a insegurança dos investidores a respeito da governança das grandes corporações.

A lei Sarbanes-Oxley (Sarbox ou SOX), propõe a criação de mecanismos de controle e auditoria, para tornar as grandes empresas transparentes ao investidor, mitigando os riscos do negócio e prevenindo as fraudes. A maioria das grandes empresas brasileiras adotou os padrões Sarbox, até porque são obrigatórios para quem tem ADPs negociadas na bolsa de Nova York.

Enquanto a governança corporativa se preocupa em direcionar o futuro do negócio, sem perda do controle, a governança de TI é, segundo o ITGI (IT Governance Institute), “a capacidade da organizar e controlar implementação da estratégia de TI e dar direção aos investimentos a fim de atingir vantagem competitiva para a companhia”.

A governança de TI define quem tem a autoridade para tomar decisões, determina a responsabilidade pelas ações e propõe a forma como o desempenho de TI será avaliado. COBIT e ITIL são duas instituições que propõem normas e padrões para a instituição da governança de TI em nossas empresas. Para quem quiser se aprofundar um pouco, o link a seguir leva até um white paper muito didático que compara as normas propostas pelas duas instituições: http://www.trainning.com.br/download/Apostila_ITIL_Cobit.pdf

E, ligando as duas coisas, cabe uma pergunta: para ter governança de TI é preciso ter governança corporativa? Sim e não. A governança corporativa é algo básico para a sobrevivência de nosso negócio, em ambiente de crescimento rápido, com volumes crescentes de novos investimentos. Mas, para isso não necessariamente você precisa implantar o Sarbox. No mínimo, bom senso e KPIs (Key Performance Indicators) são recomendados para que seus investimentos não voem pela janela.

Tendo boas normas de governança corporativa, é usual que se estenda o tema governança também para a TI, mas isso não é obrigatório. Normalmente, quando os processos de missão crítica do negócio dependem de TI (ex.: bancos), então a governança de TI passa a ser mandatória.

Se quer implementar com sucesso um modelo de governança de TI, será bom definir qual o nível de riscos que se quer correr, e mostrar ao cliente que a sua empresa está no controle.

*Alexandre Hernandes é diretor de AMS/DEV e Carlos Vargas é diretor de Business Consulting, ambos da Softtek

Fonte: Computer World

Sou bacharel em Sistemas de Informação pela Estácio de Sá (Alagoas), especialista em Gestão Estratégica da Tecnologia da Informação pela Univ. Gama Filho (UGF) e pós-graduando em Gestão da Segurança da Informação pela Univ. do Sul de Santa Catarina (UNISUL). Certificações que possuo: CompTIA Security+, EXIN EHF, MCSO, MCRM, ITIL v3. Tenho interesse por todas as áreas da informática, mas em especial em Gestão e Governança de TI, Segurança da Informação, Ethical Hacking e Perícia Forense.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Quer ficar atualizado?

Inscreva-se em minha newsletter e seja notificado quando eu publicar novos artigos de graça!