SlideShare una empresa de Scribd logo

Uma análise sobre a relação risco x desempenho em governança de TI

Descargar como PPTX, PDF
C
Carlos Rodrigo Alves

[1] O documento apresenta uma análise sobre a relação entre risco e desempenho em governança de TI em organizações prestadoras de serviços de TI certificadas ISO 20.000. [2] A pesquisa utilizou questionários e entrevistas em 8 organizações para analisar como os modelos de governança de TI são aplicados e quais fatores influenciam positiva ou negativamente sua adoção. [3] Os resultados indicaram que o foco nos clientes, processos eficazes e comprometimento da alta administração são

1 de 34
Uma análise sobre a relação risco versus desempenho em governança de TI: estudos de caso em organizações prestadoras de serviços de TI certificadas ISO 20.000 Carlos R. C. Alves Orientador: Prof. Dr. Antonio G. R. Vidal Apresentação de defesa de tese 28 de Abril de 2015
2 Conteúdo • O problema de pesquisa • Equacionamento da relação risco versus desempenho • Governança de TI • Modelo canônico de processos de gerenciamento de serviços de TI • Método de pesquisa • Coleta de dados: estudos de caso múltiplos • Fase 1: questionário • Fase 2: entrevistas • Análise de resultados • Conclusões
3 O problema de pesquisa - introdução Sustentabilidade do negócio como preocupação do administrador de empresas ◦ Manter as operações, com lucratividade em face de mudanças constantes Equilíbrio entre Risco e Desempenho ◦ Processo de tomada de decisões Contexto das organizações cujo negócio-fim é Tecnologia da Informação: Governança de TI ◦ Sistema para dirigir e controlar a organização ◦ Sistema de distribuição de direitos e responsabilidades Objetivo da pesquisa Descrever e analisar os fatores associados à aplicação de modelos padronizados de governança de TI em organizações prestadoras de serviços de TI.
4 O problema de pesquisa - motivação Motivação • Ampla, essencial e universal utilização recursos de TI pelas organizações • Necessidade de aplicar práticas de governança pelos fornecedores de recursos de TI • Modelos padronizados de governança de TI e gerenciamento de processos proliferaram • Organizações optam por utilizar um modelo próprio • Gastos corporativos com treinamentos, consultorias e projetos sobre os modelos de governança de TI são expressivos Contribuições Processos • Processos que são mais críticos para as organizações Teórica • Avaliação do grau de formalismo com se aplicam os processos Fatores de influência • Desenvolvimento do modelo de fatores que influenciam positiva ou negativamente a utilização dos modelos padronizados de governança de TI
5 O problema de pesquisa - questão principal Os modelos de referência de governança de TI são utilizados conforme originalmente prescritos, em organizações cujo negócio-fim é a prestação de serviços de TI? Se não: • Quais fatores contribuem para as diferenças em relação ao originalmente prescrito e ao efetivamente aplicado? • Quais fatores são positivos e quais são negativos para obtenção do melhor equacionamento da relação risco versus desempenho?
6 Equacionamento da relação risco versus desempenho Risco Impacto negativo do exercício de uma vulnerabilidade, considerando tanto a probabilidade quanto o impacto de sua ocorrência (NIST, 2001). Desempenho Forma de medir se uma organização atingiu seus objetivos e é capaz de se sustentar como negócio (Maximiliano, 2008) Métricas de acordo com os objetivos de negócio Fig. 15 (p.105)
7 Governança de TI Um estudo sobre a utilização dos modelos de referência de governança de TI • Fortemente apoiados em processos, com prescrição de: • Atividades, papéis, responsabilidades e autorizações sobre as decisões de investimentos e de operação • Objetivos do gerenciamento por processos são: • Gerar entrega consistente dos serviços • Conhecer como as ações afetam os negócios É a forma pela qual uma organização de TI é dirigida, tratando de direitos de decisão, responsabilidades e mecanismos de monitoramento, visando o alinhamento estratégico da TI com o negócio, a avaliação e o gerenciamento de riscos da TI e a melhoria contínua, otimizando os investimentos em pessoas, processos e tecnologias. Governança de TI Definição proposta a partir das referências: Weill e Ross (2004); Simonsson e Johnson (2005); ITGI (2006); Van Grembergen e de Haes (2008); Fernandes e Abreu (2008); Carvalho (2009); Albertin e Albertin (2010) Pesquisa sobre definições publicadas
8 Modelo canônico de processos de gerenciamento de serviços de TI Norma com objetivo de transformar em requisitos certificáveis as práticas de gerenciamento de serviços de TI Modelo canônico • Referência publicada para comparação de práticas executadas na organização (Brown e Diguid, 1991) • Comparação nas organizações brasileiras participantes da pesquisa • Organizações brasileiras adotam como referencial de práticas em gerenciamento de TI • Para que as organizações se certifiquem, devem cumprir minimamente o mesmo conjunto de requisitos ISO 20.000 Justificativa
9 Método de pesquisa Ref.: Webster e Watson (2002) • Pesquisa empírica • Natureza qualitativa • Método de estudos de casos múltiplos (8 casos de 27 organizações certificadas1), dividido em duas fases (1) Identificadas a partir de website, livro especializado e organismos certificadores. Foram contatadas 20 das 27 organizações, sendo que 3 se manifestaram formalmente para não participar (alegando motivos de segurança da informação) e as outras não responderam. (Fig. 14, p.99)
10 Método de pesquisa Fase 1: questionários • Foco na qualificação das organizações • Questões formuladas com base em referencial teórico • Ferramenta SurveyMonkey • Importância relativa dada pelas organizações ao modelo canônico Fase 2: entrevistas • Foco na relação risco versus desempenho • Análise das entrevistas • Perguntas e respostas possíveis com base no referencial teórico • Validação das respostas da Fase 1 • Redução do viés sobre as respostas (Fishbein e Ajzen, 2010) Coleta de dados realizada em duas fases Critérios para interpretar as descobertas da pesquisa (e reduzir viés de estudo de casos) • Uso de questionário para orientar a pesquisa • Questionário quantitativo antes das entrevistas • Realizaçãode piloto • Método anti viés para criar perguntas • Pesquisador realiza as entrevistas, transcrições, redaçãoe análise dos casos • Uso de outras fontes além das entrevistas
11 Coleta de dados – Fase 1: questionários • Qualificadoras, priorização de processos e motivadores • Tamanho das empresas • Adoção de modelos de melhores práticas • Riscos • Prioridade: atendimento aos requisitos dos clientes • Execução: associados a erros dos profissionais • Desempenho • Processos prioritários: visibilidade dos clientes • Fatores de sucesso: comprometimento da alta direção, processos eficazes (controle) • Pessoas • Fazem parte da elaboração dos processos • Relação entre processos e pessoas (controle x reflexão em práticas)
12 Coleta de dados – Fase 1: questionários Qualificadoras, priorização de processos e motivadores 0.0% 50.0% 12.5% 37.5% até 100 100 a 1.000 1.001 a 2.500 maior que 2.500 Respostas possíveis % de respostas obtidas Gestores da empresa (C-level) em conjunto com as áreas de negócio 50% Gestores da empresa (C-level) 25% Área de TI 25% Gestores das áreas de negócio 0% Disperso entre áreas usuárias 0% Tamanho das organizações Respondentes Relacionado ao modelo federativo (Weill e Ross, 2004) Fig. 16 e Tab. 20 (p.122)
13 Coleta de dados – Fase 1: questionários 8 7 5 4 3 3 5 3 4 4 2 3 0 0 0 1 2 3 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 ITIL PMBoK Cobit BSC Seis Sigma CMM / CMMI Númeroderespostas Não utilizado Investimento em certificação de profissionais Adotado Sendo que a maioria das organizações já possuía seus processos e os adaptaram à norma. Qualificadoras, priorização de processos e motivadores Fig. 17 (p.123)
14 Coleta de dados – Fase 1: questionários 0 3 2 2 1 0 1 2 3 Completamente avessa a riscos Completamente disposta a arriscar Atitude típica da organização perante os riscos Riscos 6 1 1 0 0 1 2 3 4 5 6 Reduz/mitiga os riscos Compartilha/transfere os riscos Aceita o risco Evita o risco Atitude típica da organização perante oportunidade inovadora com um cliente Figs. 19 e 20 (p.125)
15 Coleta de dados – Fase 1: questionários Fatores externos sobre investimentos de TI Riscos 14 21 27 28 32 0 5 10 15 20 25 30 35 Poder de barganha dos fornecedores Ameaça de produtos/serviços substitutos Rivalidade entre concorrentes Ameaça de concorrentes novos Poder de barganha dos clientes 18 18 26 26 32 0 5 10 15 20 25 30 35 Política interna Otimismo da gerência Projeto Operacional Técnico Classificação de riscos internos Figs. 21 e 23 (p.126 e 127)
16 Coleta de dados – Fase 1: questionários Processos da ISO 20.000 com maior impacto Desempenho 0 0 1 2 4 7 7 9 12 18 18 21 21 0 5 10 15 20 25 G. da capacidade G. de configuração Orçamento e contabilização para serviços G. de relações de negócio G. de liberações e implantação Desenho e transição de serviços novos ou modificados G. de fornecedores Pl. de continuidade e disp. de serviço G. de problemas G. de nível de serviço G. de mudanças G. da segurança da informação G. de incidentes e requisições de serviço Placar das respostas Processos D D R R R Cl Cl Cl Co Co Relacionamento entre: • Desempenho e Cliente • Risco e Controle D: Desempenho; R: Risco; Cl: Cliente; Co: Controle Fig. 25 (p.129)
17 Coleta de dados – Fase 1: questionários Fatores mais importantes para sucesso da adoção e manutenção da norma ISO 20.000 Desempenho Pe: Pessoas; Pr: Processos Fig. 26 (p.130) 0 0 1 4 5 5 5 7 8 9 12 15 15 15 19 0 2 4 6 8 10 12 14 16 18 20 Valorizar profissionais competentes Buscar fornecedores confiáveis Obter ajuda externa à organização (ex.: consultorias,… Controlar planos e ações de melhoria Respeitar o funcionário, com relação à comunicação… Ter um sistema de comunicação eficaz Melhorar a qualidade da documentação Investir em educação e treinamento Planejar a implantação de processos Aumentar o foco no cliente Definir métricas do processo ou da gestão Promover educação / mudança da cultura dos funcionários Estabelecer políticas de gerenciamento Estabelecer processos eficazes Obter comprometimento da alta administração Pe Pr Pr Pr Pr Pr Pe
18 Coleta de dados – Fase 1: questionários Motivos mais importantes para organizações se certificarem ISO 20.000 Desempenho 5 16 20 24 27 28 0 5 10 15 20 25 30 Exigência de fornecedores Pressão dos concorrentes (por exemplo: eles já haviam se certificado) Estabelecer uma linguagem comum sobre os processos dentro da organização Exigência da governança corporativa Necessidade relacionada a oportunidades de mercado Exigência de clientes placar das respostas Razõesparaacertificação D R D D: Desempenho; R: Risco; Cl: Clientes; Pe: Pessoas; Pr: Processos Fig. 27 (p.132) Benefícios • Experiência no negócio-fim de TI • Intensidade do aprendizado organizacional Desempenho • Foco nos clientes • Clientes satisfeitos • Entrega consistente de qualidade • Política, planos e ações de gerenciamento Cl Cl Cl Pr Pe Pe
19 Coleta de dados – Fase 1: questionários Pessoas Atitudes do chefe imediato para decisões Conhecimento dos processos x Refletem dia-a-dia Participação na definição dos processos Reflexão em práticas Figs. 33, 34, 35 e 36 (p.136 a 138)
20 Coleta de dados – Fase 2: entrevistas Fator Evidências Decisão - Investimentos • Tomada de decisões: envolvimento do board Segurança da informação • Regulamentações externas e conformidade • Erros operacionais dos profissionais Continuidade de serviços / Riscos de TI • Atitude perante risco: oferta aos clientes Atitude perante o risco • Depende do momento da organização: • Crescimento = flexibilidade • Estabilização = controle Salvaguarda de ativos • Não apresenta resultados diretos aos clientes Tomada de decisão baseada em informações • Métricas de processos: • Controle operacional e comparar desempenho • Decisões estratégicas Gerenciamento das mudanças • Formalizado para evitar erros operacionais Conformidade com políticas internas • Governança corporativa e decisões do board Risco Tab. 32 (p.181)
21 Coleta de dados – Fase 2: entrevistas Fator Evidências Recursos e processos dos parceiros • Atividades principais: profissionais da própria organização Foco nos clientes / Clientes satisfeitos • Principal fator de desempenho • Momento da organização (flexibilidade x controle) Escopo de tecnologia • Mercado e demanda dos clientes Competências sistêmicas / Processos eficazes / Saídas de qualidade / Arquitetura • Processos: estabilizar e padronizar operações • Arquitetura de TI: secundária Outros recursos da organização • Investimentos de TI: independentes dessas áreas Conhecimento no negócio de TI • Métricas extraídas dos processos: resultados aparentes Profissionais competentes • Investimentos em capacitação Sistemas de comunicação eficazes • Treinar e comunicar os objetivos e mudanças Políticas de gerenciamento, investimentos, planos e ações • Presença do board Definir um plano estratégico de TI • Cultura de melhoria contínua Desempenho Tab. 32 (p.184)
22 Análise de resultados Fase 1 Distribuição das organizações Intervalo de distância euclidiana quadrática com Z-scores: resultado bom (stress=5,0%, RSQ=0,99) Fig. 37 (p.190) Variáveis utilizadas: • Tamanho da organização (Q4) • Estratégia de adoção da norma (Q8) • Atitude perante o risco (Q17 e Q18) • Características dos profissionais (Q21 a Q31)
23 Análise de resultados Fase 1 Organizações de acordo com as atitudes dos profissionais* Análise de conglomerados Avessas a riscos Dispostas a arriscar 1 4 6 7 2 3 5 8 * Intervalo de distância euclidiana quadrática com Z-scores: resultado bom (stress=5,5%, RSQ=0,99): variáveis Q21 a Q31 (Fig. 38, p.192)
24 Análise de resultados Fase 1 • Participação dos profissionais • Cultura de melhoria contínua • Relação diretamente proporcional: • Visibilidade de ações e Reflexão em práticas Conformidade reflexiva Controle panótico Visibilidade das ações Controle Conformidade às regras Reflexão em práticas Fig. 5 (p.49)
25 Análise de resultados Fase 2 Tomada de decisões Práticas institucionalizadas de melhoria contínua 88% 13% 0% 0% 0% 5- planos de ação e melhoria, com acompanhamento de seu andamento 4- reuniões de acompanhamento 3- análise formalizada 2- apenas geração de informação, sem análise 1- não são gerados relatórios 0% 20% 40% 60% 80% Fig. 40 (p.194)
26 Análise de resultados Fase 2 - Risco Riscos de TI que afetam mais diretamente as operações Gerenciamento de mudanças como principal contramedida dos riscos operacionais • Processo/controle x pessoas Tab. 33 (p.197); Fig. 45 (p.199) Operacional (necessita revisões de processos que estão além da capacitação da equipe) 75% Disponibilidade dos serviços 25% Técnico (necessita tecnologia que não está disponível) 0% Político 0% 0% 13% 13% 13% 13% 50% N/A- não há processo definido 1- mudanças são feitas ad hoc 2- há controle das mudanças, mas não formalizado nem para todas as mudanças 3- processo definido, mas com erros na execução 4- processo definido e medido através de relatórios 5- processo definido, interage com outros procesos de governança de TI e seu… 0% 10% 20% 30% 40% 50% Controle e comunicação das mudanças
27 Análise de resultados Fase 2 - Desempenho Relação entre desempenho e requisitos e satisfação dos clientes Tab. 35 (p.201)
28 Análise de resultados Fases 1 e 2 Fig. 47 (p.212). Escalonamento multidimensional: 23 variáveis padronizadas. Resultado bom (stress=5,6%, RSQ=0,98) Variáveis: • Tamanho da organização (Q4) • Processo da tomada de decisão (Q5, R1, R9, R11) • Estratégia e benefícios da adoção da norma (Q8, D4) • Atitude perante o risco (Q17, Q18) • Atitude dos profissionais (D8, Q21 a Q31) • Processos (R10, D12)
29 Análise de resultados Particularidades dos casos • Empresas menores: maior disposição a riscos para que possam crescer • Empresas maiores: visibilidade e controle, consistência de práticas para aumento de escala • Empresa não-TI: maior foco em disponibilidade (em detrimento a): olhar do cliente interno Pontos comuns Adotar mais de um modelo de referência Adotar o modelo canônico para consolidar práticas internas Contratar serviços de terceiros para transferir riscos Investir em treinamentos e certificação Gerenciar à vista através de métricas Apontar processos como principal diferencial da organização Adequar as práticas às regulamentações Considerar pouca importância aos terceiros Considerar pouca importância para o processo de gerenciamento de configuração Considerar planos de recuperação de desastres apenas quando o cliente está disposto a contratar Pontos divergentes Adotar processos padronizados apenas para ganhar escala nas áreas centralizadas (compartilhadas) Verificar na prática a influência da governança de TI no processo de decisão sobre investimentos Fomentar processos de troca de práticas internas Destacar a arquitetura de TI como diferencial Fases 1 e 2
30 Análise de resultados Fig. 48 (p.212)
31 Conclusões Como são utilizados os modelos de referência de governança de TI em organizações cujo negócio-fim são a prestação de serviços e infraestrutura de TI? • Quais fatores contribuem para as diferenças em relação aos processos originalmente prescritos pelos modelos de referência de governança de TI e aos efetivamente aplicados? • Quais fatores são positivos e quais são negativos para obtenção do melhor equacionamento da relação risco x desempenho? Não são aplicados como originalmente prescritos. • Controle e visibilidade sobre as atividades • Áreas centralizadas x próximas do cliente • Utilidade do processo • Estabelece o ecossistema de org. de TI Tabs. 38 e 39 (p.215 e 216) • Priorização das necessidades dos clientes • Maior desempenho  maior risco • Decisão: arcar com os custos da governança • Padronizar atividades para minimizar riscos operacionais • G. Mudanças • Melhoria contínua Negativos Positivos
32 Conclusões Método • Definir as questões e possíveis respostas antes da aplicação dos instrumentos de coleta facilita a análise de dados • Aplicar a Fase 1 para mais organizações • Aprofundar a Fase 2 para um número menor de casos Trabalhos futuros • Panorama de TI no Brasil: inclusão de mais organizações • Melhoria do questionário através das perguntas propostas nas entrevistas • Propostas da evolução do modelo canônico • Maior adequação à realidade das organizações • Utilidade relativa dos processos • Pressão sobre os profissionais • Pesquisa nas organizações para determinar esta influência
33 Agradecimentos
Uma análise entre a relação risco versus desempenho em governança de TI: estudos de caso em organizações certificadas ISO 20.000 Carlos R. C. Alves Orientador: Prof. Dr. Antonio G. R. Vidal NUSP 2377105 - crcalves@usp.br

Recomendados

Infobrasil - 2013
Infobrasil - 2013Infobrasil - 2013
Infobrasil - 2013Odecilia
 
Apostila itil-v3-3
Apostila itil-v3-3Apostila itil-v3-3
Apostila itil-v3-3Roginho Correa
 
TI S. A.
TI S. A.TI S. A.
TI S. A.Ivan Luizio Magalhães
 
Serviços ebooks sc2012_config_mgr_pdf_download
Serviços ebooks sc2012_config_mgr_pdf_downloadServiços ebooks sc2012_config_mgr_pdf_download
Serviços ebooks sc2012_config_mgr_pdf_downloadAndre Nascimento
 
Inovação aberta na indústria de software: Avaliação do perfil de inovação de ...
Inovação aberta na indústria de software: Avaliação do perfil de inovação de ...Inovação aberta na indústria de software: Avaliação do perfil de inovação de ...
Inovação aberta na indústria de software: Avaliação do perfil de inovação de ...Priscila Rosa
 
Analise de swot rodrigo lopes
Analise de swot rodrigo lopesAnalise de swot rodrigo lopes
Analise de swot rodrigo lopesRodrigo Lopes - Eng. - MBA - PMP - SCRUM - ITIL - COBIT
 
GOVERNANÇA DE TI: uma pesquisa quantitativa com empresas brasileiras
GOVERNANÇA DE TI: uma pesquisa quantitativa com empresas brasileirasGOVERNANÇA DE TI: uma pesquisa quantitativa com empresas brasileiras
GOVERNANÇA DE TI: uma pesquisa quantitativa com empresas brasileirasPriscila Rosa
 
Planejamento de Capacidade com ferramentas gratuitas
Planejamento de Capacidade com ferramentas gratuitasPlanejamento de Capacidade com ferramentas gratuitas
Planejamento de Capacidade com ferramentas gratuitasRodrigo Campos
 

Recomendados

Infobrasil - 2013
Infobrasil - 2013Infobrasil - 2013
Infobrasil - 2013Odecilia
 
Apostila itil-v3-3
Apostila itil-v3-3Apostila itil-v3-3
Apostila itil-v3-3Roginho Correa
 
TI S. A.
TI S. A.TI S. A.
TI S. A.Ivan Luizio Magalhães
 
Serviços ebooks sc2012_config_mgr_pdf_download
Serviços ebooks sc2012_config_mgr_pdf_downloadServiços ebooks sc2012_config_mgr_pdf_download
Serviços ebooks sc2012_config_mgr_pdf_downloadAndre Nascimento
 
Inovação aberta na indústria de software: Avaliação do perfil de inovação de ...
Inovação aberta na indústria de software: Avaliação do perfil de inovação de ...Inovação aberta na indústria de software: Avaliação do perfil de inovação de ...
Inovação aberta na indústria de software: Avaliação do perfil de inovação de ...Priscila Rosa
 
Analise de swot rodrigo lopes
Analise de swot rodrigo lopesAnalise de swot rodrigo lopes
Analise de swot rodrigo lopesRodrigo Lopes - Eng. - MBA - PMP - SCRUM - ITIL - COBIT
 
GOVERNANÇA DE TI: uma pesquisa quantitativa com empresas brasileiras
GOVERNANÇA DE TI: uma pesquisa quantitativa com empresas brasileirasGOVERNANÇA DE TI: uma pesquisa quantitativa com empresas brasileiras
GOVERNANÇA DE TI: uma pesquisa quantitativa com empresas brasileirasPriscila Rosa
 
Planejamento de Capacidade com ferramentas gratuitas
Planejamento de Capacidade com ferramentas gratuitasPlanejamento de Capacidade com ferramentas gratuitas
Planejamento de Capacidade com ferramentas gratuitasRodrigo Campos
 
IT Governance
IT GovernanceIT Governance
IT GovernanceJaime Silva
 
Aula 2.0 governança de ti
Aula 2.0 governança de tiAula 2.0 governança de ti
Aula 2.0 governança de tilcumaio
 
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo ConfidentiaCurso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo ConfidentiaPaulo Rodrigues
 
Governança de TI
Governança de TIGovernança de TI
Governança de TIWagner Silva
 
Cobit e itil (1)
Cobit e itil (1)Cobit e itil (1)
Cobit e itil (1)Rafaela Machado
 
TI Alinhada aos Negócios
TI Alinhada aos NegóciosTI Alinhada aos Negócios
TI Alinhada aos NegóciosRogerio J. Gentil
 
Apostila Comparativo Entre Itil E Cobit
Apostila Comparativo Entre Itil E CobitApostila Comparativo Entre Itil E Cobit
Apostila Comparativo Entre Itil E CobitFernando Palma
 
Governança de TI e Datagovernance
Governança de TI e DatagovernanceGovernança de TI e Datagovernance
Governança de TI e DatagovernanceMário Sérgio
 
Gestão de TI com ITIL
Gestão de TI com ITILGestão de TI com ITIL
Gestão de TI com ITILBRAVA Tecnologia
 
Aula3 4 planejamento estratégico de tecnologia da informação
Aula3 4 planejamento estratégico de tecnologia da informaçãoAula3 4 planejamento estratégico de tecnologia da informação
Aula3 4 planejamento estratégico de tecnologia da informaçãoUniversal.org.mx
 
Aula3 4 pl..
Aula3 4 pl..Aula3 4 pl..
Aula3 4 pl..kriolo_loko
 
Apostila itil cobit
Apostila itil cobit Apostila itil cobit
Apostila itil cobit Marcus Fernando
 
Apostila ITIL - COBIT
Apostila ITIL - COBITApostila ITIL - COBIT
Apostila ITIL - COBITTiago Henrique Ribeiro Ferreira
 
Apostila itil cobit
Apostila itil cobitApostila itil cobit
Apostila itil cobitKamilla Christtyne
 
Apostila itil cobit
Apostila itil cobitApostila itil cobit
Apostila itil cobitAdriano Santos
 
fileBIB2016530194716 (1).pdf
fileBIB2016530194716 (1).pdffileBIB2016530194716 (1).pdf
fileBIB2016530194716 (1).pdfVitalinaArlindoNhano
 
Impacto da Governança de TI
Impacto da Governança de TIImpacto da Governança de TI
Impacto da Governança de TIRogério Fernandes da Costa
 
Apresentação Disciplina Governança em TI.pptx
Apresentação Disciplina Governança em TI.pptxApresentação Disciplina Governança em TI.pptx
Apresentação Disciplina Governança em TI.pptxJssicadaSilvaGuimare2
 
Governança de TIC
Governança de TICGovernança de TIC
Governança de TICEduardo Fagundes
 
Governança em TIC prof Marco Antonio Tavares sustentare escola de negocios
Governança em TIC prof Marco Antonio Tavares sustentare escola de negociosGovernança em TIC prof Marco Antonio Tavares sustentare escola de negocios
Governança em TIC prof Marco Antonio Tavares sustentare escola de negociosSustentare Escola de Negócios
 

Más contenido relacionado

Similar a Uma análise sobre a relação risco x desempenho em governança de TI

Aula 2.0 governança de ti
Aula 2.0 governança de tiAula 2.0 governança de ti
Aula 2.0 governança de tilcumaio
 
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo ConfidentiaCurso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo ConfidentiaPaulo Rodrigues
 
Apostila Comparativo Entre Itil E Cobit
Apostila Comparativo Entre Itil E CobitApostila Comparativo Entre Itil E Cobit
Apostila Comparativo Entre Itil E CobitFernando Palma
 
Governança de TI e Datagovernance
Governança de TI e DatagovernanceGovernança de TI e Datagovernance
Governança de TI e DatagovernanceMário Sérgio
 
Aula3 4 planejamento estratégico de tecnologia da informação
Aula3 4 planejamento estratégico de tecnologia da informaçãoAula3 4 planejamento estratégico de tecnologia da informação
Aula3 4 planejamento estratégico de tecnologia da informaçãoUniversal.org.mx
 
Apresentação Disciplina Governança em TI.pptx
Apresentação Disciplina Governança em TI.pptxApresentação Disciplina Governança em TI.pptx
Apresentação Disciplina Governança em TI.pptxJssicadaSilvaGuimare2
 
Governança em TIC prof Marco Antonio Tavares sustentare escola de negocios
Governança em TIC prof Marco Antonio Tavares sustentare escola de negociosGovernança em TIC prof Marco Antonio Tavares sustentare escola de negocios
Governança em TIC prof Marco Antonio Tavares sustentare escola de negociosSustentare Escola de Negócios
 

Similar a Uma análise sobre a relação risco x desempenho em governança de TI (20)

IT Governance
IT GovernanceIT Governance
IT Governance
 
Aula 2.0 governança de ti
Aula 2.0 governança de tiAula 2.0 governança de ti
Aula 2.0 governança de ti
 
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo ConfidentiaCurso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
 
Governança de TI
Governança de TIGovernança de TI
Governança de TI
 
Cobit e itil (1)
Cobit e itil (1)Cobit e itil (1)
Cobit e itil (1)
 
TI Alinhada aos Negócios
TI Alinhada aos NegóciosTI Alinhada aos Negócios
TI Alinhada aos Negócios
 
Apostila Comparativo Entre Itil E Cobit
Apostila Comparativo Entre Itil E CobitApostila Comparativo Entre Itil E Cobit
Apostila Comparativo Entre Itil E Cobit
 
Governança de TI e Datagovernance
Governança de TI e DatagovernanceGovernança de TI e Datagovernance
Governança de TI e Datagovernance
 
Gestão de TI com ITIL
Gestão de TI com ITILGestão de TI com ITIL
Gestão de TI com ITIL
 
Aula3 4 planejamento estratégico de tecnologia da informação
Aula3 4 planejamento estratégico de tecnologia da informaçãoAula3 4 planejamento estratégico de tecnologia da informação
Aula3 4 planejamento estratégico de tecnologia da informação
 
Aula3 4 pl..
Aula3 4 pl..Aula3 4 pl..
Aula3 4 pl..
 
Apostila itil cobit
Apostila itil cobit Apostila itil cobit
Apostila itil cobit
 
Apostila ITIL - COBIT
Apostila ITIL - COBITApostila ITIL - COBIT
Apostila ITIL - COBIT
 
Apostila itil cobit
Apostila itil cobitApostila itil cobit
Apostila itil cobit
 
Apostila itil cobit
Apostila itil cobitApostila itil cobit
Apostila itil cobit
 
fileBIB2016530194716 (1).pdf
fileBIB2016530194716 (1).pdffileBIB2016530194716 (1).pdf
fileBIB2016530194716 (1).pdf
 
Impacto da Governança de TI
Impacto da Governança de TIImpacto da Governança de TI
Impacto da Governança de TI
 
Apresentação Disciplina Governança em TI.pptx
Apresentação Disciplina Governança em TI.pptxApresentação Disciplina Governança em TI.pptx
Apresentação Disciplina Governança em TI.pptx
 
Governança de TIC
Governança de TICGovernança de TIC
Governança de TIC
 
Governança em TIC prof Marco Antonio Tavares sustentare escola de negocios
Governança em TIC prof Marco Antonio Tavares sustentare escola de negociosGovernança em TIC prof Marco Antonio Tavares sustentare escola de negocios
Governança em TIC prof Marco Antonio Tavares sustentare escola de negocios
 

Uma análise sobre a relação risco x desempenho em governança de TI

  • 1. Uma análise sobre a relação risco versus desempenho em governança de TI: estudos de caso em organizações prestadoras de serviços de TI certificadas ISO 20.000 Carlos R. C. Alves Orientador: Prof. Dr. Antonio G. R. Vidal Apresentação de defesa de tese 28 de Abril de 2015
  • 2. 2 Conteúdo • O problema de pesquisa • Equacionamento da relação risco versus desempenho • Governança de TI • Modelo canônico de processos de gerenciamento de serviços de TI • Método de pesquisa • Coleta de dados: estudos de caso múltiplos • Fase 1: questionário • Fase 2: entrevistas • Análise de resultados • Conclusões
  • 3. 3 O problema de pesquisa - introdução Sustentabilidade do negócio como preocupação do administrador de empresas ◦ Manter as operações, com lucratividade em face de mudanças constantes Equilíbrio entre Risco e Desempenho ◦ Processo de tomada de decisões Contexto das organizações cujo negócio-fim é Tecnologia da Informação: Governança de TI ◦ Sistema para dirigir e controlar a organização ◦ Sistema de distribuição de direitos e responsabilidades Objetivo da pesquisa Descrever e analisar os fatores associados à aplicação de modelos padronizados de governança de TI em organizações prestadoras de serviços de TI.
  • 4. 4 O problema de pesquisa - motivação Motivação • Ampla, essencial e universal utilização recursos de TI pelas organizações • Necessidade de aplicar práticas de governança pelos fornecedores de recursos de TI • Modelos padronizados de governança de TI e gerenciamento de processos proliferaram • Organizações optam por utilizar um modelo próprio • Gastos corporativos com treinamentos, consultorias e projetos sobre os modelos de governança de TI são expressivos Contribuições Processos • Processos que são mais críticos para as organizações Teórica • Avaliação do grau de formalismo com se aplicam os processos Fatores de influência • Desenvolvimento do modelo de fatores que influenciam positiva ou negativamente a utilização dos modelos padronizados de governança de TI
  • 5. 5 O problema de pesquisa - questão principal Os modelos de referência de governança de TI são utilizados conforme originalmente prescritos, em organizações cujo negócio-fim é a prestação de serviços de TI? Se não: • Quais fatores contribuem para as diferenças em relação ao originalmente prescrito e ao efetivamente aplicado? • Quais fatores são positivos e quais são negativos para obtenção do melhor equacionamento da relação risco versus desempenho?
  • 6. 6 Equacionamento da relação risco versus desempenho Risco Impacto negativo do exercício de uma vulnerabilidade, considerando tanto a probabilidade quanto o impacto de sua ocorrência (NIST, 2001). Desempenho Forma de medir se uma organização atingiu seus objetivos e é capaz de se sustentar como negócio (Maximiliano, 2008) Métricas de acordo com os objetivos de negócio Fig. 15 (p.105)
  • 7. 7 Governança de TI Um estudo sobre a utilização dos modelos de referência de governança de TI • Fortemente apoiados em processos, com prescrição de: • Atividades, papéis, responsabilidades e autorizações sobre as decisões de investimentos e de operação • Objetivos do gerenciamento por processos são: • Gerar entrega consistente dos serviços • Conhecer como as ações afetam os negócios É a forma pela qual uma organização de TI é dirigida, tratando de direitos de decisão, responsabilidades e mecanismos de monitoramento, visando o alinhamento estratégico da TI com o negócio, a avaliação e o gerenciamento de riscos da TI e a melhoria contínua, otimizando os investimentos em pessoas, processos e tecnologias. Governança de TI Definição proposta a partir das referências: Weill e Ross (2004); Simonsson e Johnson (2005); ITGI (2006); Van Grembergen e de Haes (2008); Fernandes e Abreu (2008); Carvalho (2009); Albertin e Albertin (2010) Pesquisa sobre definições publicadas
  • 8. 8 Modelo canônico de processos de gerenciamento de serviços de TI Norma com objetivo de transformar em requisitos certificáveis as práticas de gerenciamento de serviços de TI Modelo canônico • Referência publicada para comparação de práticas executadas na organização (Brown e Diguid, 1991) • Comparação nas organizações brasileiras participantes da pesquisa • Organizações brasileiras adotam como referencial de práticas em gerenciamento de TI • Para que as organizações se certifiquem, devem cumprir minimamente o mesmo conjunto de requisitos ISO 20.000 Justificativa
  • 9. 9 Método de pesquisa Ref.: Webster e Watson (2002) • Pesquisa empírica • Natureza qualitativa • Método de estudos de casos múltiplos (8 casos de 27 organizações certificadas1), dividido em duas fases (1) Identificadas a partir de website, livro especializado e organismos certificadores. Foram contatadas 20 das 27 organizações, sendo que 3 se manifestaram formalmente para não participar (alegando motivos de segurança da informação) e as outras não responderam. (Fig. 14, p.99)
  • 10. 10 Método de pesquisa Fase 1: questionários • Foco na qualificação das organizações • Questões formuladas com base em referencial teórico • Ferramenta SurveyMonkey • Importância relativa dada pelas organizações ao modelo canônico Fase 2: entrevistas • Foco na relação risco versus desempenho • Análise das entrevistas • Perguntas e respostas possíveis com base no referencial teórico • Validação das respostas da Fase 1 • Redução do viés sobre as respostas (Fishbein e Ajzen, 2010) Coleta de dados realizada em duas fases Critérios para interpretar as descobertas da pesquisa (e reduzir viés de estudo de casos) • Uso de questionário para orientar a pesquisa • Questionário quantitativo antes das entrevistas • Realizaçãode piloto • Método anti viés para criar perguntas • Pesquisador realiza as entrevistas, transcrições, redaçãoe análise dos casos • Uso de outras fontes além das entrevistas
  • 11. 11 Coleta de dados – Fase 1: questionários • Qualificadoras, priorização de processos e motivadores • Tamanho das empresas • Adoção de modelos de melhores práticas • Riscos • Prioridade: atendimento aos requisitos dos clientes • Execução: associados a erros dos profissionais • Desempenho • Processos prioritários: visibilidade dos clientes • Fatores de sucesso: comprometimento da alta direção, processos eficazes (controle) • Pessoas • Fazem parte da elaboração dos processos • Relação entre processos e pessoas (controle x reflexão em práticas)
  • 12. 12 Coleta de dados – Fase 1: questionários Qualificadoras, priorização de processos e motivadores 0.0% 50.0% 12.5% 37.5% até 100 100 a 1.000 1.001 a 2.500 maior que 2.500 Respostas possíveis % de respostas obtidas Gestores da empresa (C-level) em conjunto com as áreas de negócio 50% Gestores da empresa (C-level) 25% Área de TI 25% Gestores das áreas de negócio 0% Disperso entre áreas usuárias 0% Tamanho das organizações Respondentes Relacionado ao modelo federativo (Weill e Ross, 2004) Fig. 16 e Tab. 20 (p.122)
  • 13. 13 Coleta de dados – Fase 1: questionários 8 7 5 4 3 3 5 3 4 4 2 3 0 0 0 1 2 3 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 ITIL PMBoK Cobit BSC Seis Sigma CMM / CMMI Númeroderespostas Não utilizado Investimento em certificação de profissionais Adotado Sendo que a maioria das organizações já possuía seus processos e os adaptaram à norma. Qualificadoras, priorização de processos e motivadores Fig. 17 (p.123)
  • 14. 14 Coleta de dados – Fase 1: questionários 0 3 2 2 1 0 1 2 3 Completamente avessa a riscos Completamente disposta a arriscar Atitude típica da organização perante os riscos Riscos 6 1 1 0 0 1 2 3 4 5 6 Reduz/mitiga os riscos Compartilha/transfere os riscos Aceita o risco Evita o risco Atitude típica da organização perante oportunidade inovadora com um cliente Figs. 19 e 20 (p.125)
  • 15. 15 Coleta de dados – Fase 1: questionários Fatores externos sobre investimentos de TI Riscos 14 21 27 28 32 0 5 10 15 20 25 30 35 Poder de barganha dos fornecedores Ameaça de produtos/serviços substitutos Rivalidade entre concorrentes Ameaça de concorrentes novos Poder de barganha dos clientes 18 18 26 26 32 0 5 10 15 20 25 30 35 Política interna Otimismo da gerência Projeto Operacional Técnico Classificação de riscos internos Figs. 21 e 23 (p.126 e 127)
  • 16. 16 Coleta de dados – Fase 1: questionários Processos da ISO 20.000 com maior impacto Desempenho 0 0 1 2 4 7 7 9 12 18 18 21 21 0 5 10 15 20 25 G. da capacidade G. de configuração Orçamento e contabilização para serviços G. de relações de negócio G. de liberações e implantação Desenho e transição de serviços novos ou modificados G. de fornecedores Pl. de continuidade e disp. de serviço G. de problemas G. de nível de serviço G. de mudanças G. da segurança da informação G. de incidentes e requisições de serviço Placar das respostas Processos D D R R R Cl Cl Cl Co Co Relacionamento entre: • Desempenho e Cliente • Risco e Controle D: Desempenho; R: Risco; Cl: Cliente; Co: Controle Fig. 25 (p.129)
  • 17. 17 Coleta de dados – Fase 1: questionários Fatores mais importantes para sucesso da adoção e manutenção da norma ISO 20.000 Desempenho Pe: Pessoas; Pr: Processos Fig. 26 (p.130) 0 0 1 4 5 5 5 7 8 9 12 15 15 15 19 0 2 4 6 8 10 12 14 16 18 20 Valorizar profissionais competentes Buscar fornecedores confiáveis Obter ajuda externa à organização (ex.: consultorias,… Controlar planos e ações de melhoria Respeitar o funcionário, com relação à comunicação… Ter um sistema de comunicação eficaz Melhorar a qualidade da documentação Investir em educação e treinamento Planejar a implantação de processos Aumentar o foco no cliente Definir métricas do processo ou da gestão Promover educação / mudança da cultura dos funcionários Estabelecer políticas de gerenciamento Estabelecer processos eficazes Obter comprometimento da alta administração Pe Pr Pr Pr Pr Pr Pe
  • 18. 18 Coleta de dados – Fase 1: questionários Motivos mais importantes para organizações se certificarem ISO 20.000 Desempenho 5 16 20 24 27 28 0 5 10 15 20 25 30 Exigência de fornecedores Pressão dos concorrentes (por exemplo: eles já haviam se certificado) Estabelecer uma linguagem comum sobre os processos dentro da organização Exigência da governança corporativa Necessidade relacionada a oportunidades de mercado Exigência de clientes placar das respostas Razõesparaacertificação D R D D: Desempenho; R: Risco; Cl: Clientes; Pe: Pessoas; Pr: Processos Fig. 27 (p.132) Benefícios • Experiência no negócio-fim de TI • Intensidade do aprendizado organizacional Desempenho • Foco nos clientes • Clientes satisfeitos • Entrega consistente de qualidade • Política, planos e ações de gerenciamento Cl Cl Cl Pr Pe Pe
  • 19. 19 Coleta de dados – Fase 1: questionários Pessoas Atitudes do chefe imediato para decisões Conhecimento dos processos x Refletem dia-a-dia Participação na definição dos processos Reflexão em práticas Figs. 33, 34, 35 e 36 (p.136 a 138)
  • 20. 20 Coleta de dados – Fase 2: entrevistas Fator Evidências Decisão - Investimentos • Tomada de decisões: envolvimento do board Segurança da informação • Regulamentações externas e conformidade • Erros operacionais dos profissionais Continuidade de serviços / Riscos de TI • Atitude perante risco: oferta aos clientes Atitude perante o risco • Depende do momento da organização: • Crescimento = flexibilidade • Estabilização = controle Salvaguarda de ativos • Não apresenta resultados diretos aos clientes Tomada de decisão baseada em informações • Métricas de processos: • Controle operacional e comparar desempenho • Decisões estratégicas Gerenciamento das mudanças • Formalizado para evitar erros operacionais Conformidade com políticas internas • Governança corporativa e decisões do board Risco Tab. 32 (p.181)
  • 21. 21 Coleta de dados – Fase 2: entrevistas Fator Evidências Recursos e processos dos parceiros • Atividades principais: profissionais da própria organização Foco nos clientes / Clientes satisfeitos • Principal fator de desempenho • Momento da organização (flexibilidade x controle) Escopo de tecnologia • Mercado e demanda dos clientes Competências sistêmicas / Processos eficazes / Saídas de qualidade / Arquitetura • Processos: estabilizar e padronizar operações • Arquitetura de TI: secundária Outros recursos da organização • Investimentos de TI: independentes dessas áreas Conhecimento no negócio de TI • Métricas extraídas dos processos: resultados aparentes Profissionais competentes • Investimentos em capacitação Sistemas de comunicação eficazes • Treinar e comunicar os objetivos e mudanças Políticas de gerenciamento, investimentos, planos e ações • Presença do board Definir um plano estratégico de TI • Cultura de melhoria contínua Desempenho Tab. 32 (p.184)
  • 22. 22 Análise de resultados Fase 1 Distribuição das organizações Intervalo de distância euclidiana quadrática com Z-scores: resultado bom (stress=5,0%, RSQ=0,99) Fig. 37 (p.190) Variáveis utilizadas: • Tamanho da organização (Q4) • Estratégia de adoção da norma (Q8) • Atitude perante o risco (Q17 e Q18) • Características dos profissionais (Q21 a Q31)
  • 23. 23 Análise de resultados Fase 1 Organizações de acordo com as atitudes dos profissionais* Análise de conglomerados Avessas a riscos Dispostas a arriscar 1 4 6 7 2 3 5 8 * Intervalo de distância euclidiana quadrática com Z-scores: resultado bom (stress=5,5%, RSQ=0,99): variáveis Q21 a Q31 (Fig. 38, p.192)
  • 24. 24 Análise de resultados Fase 1 • Participação dos profissionais • Cultura de melhoria contínua • Relação diretamente proporcional: • Visibilidade de ações e Reflexão em práticas Conformidade reflexiva Controle panótico Visibilidade das ações Controle Conformidade às regras Reflexão em práticas Fig. 5 (p.49)
  • 25. 25 Análise de resultados Fase 2 Tomada de decisões Práticas institucionalizadas de melhoria contínua 88% 13% 0% 0% 0% 5- planos de ação e melhoria, com acompanhamento de seu andamento 4- reuniões de acompanhamento 3- análise formalizada 2- apenas geração de informação, sem análise 1- não são gerados relatórios 0% 20% 40% 60% 80% Fig. 40 (p.194)
  • 26. 26 Análise de resultados Fase 2 - Risco Riscos de TI que afetam mais diretamente as operações Gerenciamento de mudanças como principal contramedida dos riscos operacionais • Processo/controle x pessoas Tab. 33 (p.197); Fig. 45 (p.199) Operacional (necessita revisões de processos que estão além da capacitação da equipe) 75% Disponibilidade dos serviços 25% Técnico (necessita tecnologia que não está disponível) 0% Político 0% 0% 13% 13% 13% 13% 50% N/A- não há processo definido 1- mudanças são feitas ad hoc 2- há controle das mudanças, mas não formalizado nem para todas as mudanças 3- processo definido, mas com erros na execução 4- processo definido e medido através de relatórios 5- processo definido, interage com outros procesos de governança de TI e seu… 0% 10% 20% 30% 40% 50% Controle e comunicação das mudanças
  • 27. 27 Análise de resultados Fase 2 - Desempenho Relação entre desempenho e requisitos e satisfação dos clientes Tab. 35 (p.201)
  • 28. 28 Análise de resultados Fases 1 e 2 Fig. 47 (p.212). Escalonamento multidimensional: 23 variáveis padronizadas. Resultado bom (stress=5,6%, RSQ=0,98) Variáveis: • Tamanho da organização (Q4) • Processo da tomada de decisão (Q5, R1, R9, R11) • Estratégia e benefícios da adoção da norma (Q8, D4) • Atitude perante o risco (Q17, Q18) • Atitude dos profissionais (D8, Q21 a Q31) • Processos (R10, D12)
  • 29. 29 Análise de resultados Particularidades dos casos • Empresas menores: maior disposição a riscos para que possam crescer • Empresas maiores: visibilidade e controle, consistência de práticas para aumento de escala • Empresa não-TI: maior foco em disponibilidade (em detrimento a): olhar do cliente interno Pontos comuns Adotar mais de um modelo de referência Adotar o modelo canônico para consolidar práticas internas Contratar serviços de terceiros para transferir riscos Investir em treinamentos e certificação Gerenciar à vista através de métricas Apontar processos como principal diferencial da organização Adequar as práticas às regulamentações Considerar pouca importância aos terceiros Considerar pouca importância para o processo de gerenciamento de configuração Considerar planos de recuperação de desastres apenas quando o cliente está disposto a contratar Pontos divergentes Adotar processos padronizados apenas para ganhar escala nas áreas centralizadas (compartilhadas) Verificar na prática a influência da governança de TI no processo de decisão sobre investimentos Fomentar processos de troca de práticas internas Destacar a arquitetura de TI como diferencial Fases 1 e 2
  • 31. 31 Conclusões Como são utilizados os modelos de referência de governança de TI em organizações cujo negócio-fim são a prestação de serviços e infraestrutura de TI? • Quais fatores contribuem para as diferenças em relação aos processos originalmente prescritos pelos modelos de referência de governança de TI e aos efetivamente aplicados? • Quais fatores são positivos e quais são negativos para obtenção do melhor equacionamento da relação risco x desempenho? Não são aplicados como originalmente prescritos. • Controle e visibilidade sobre as atividades • Áreas centralizadas x próximas do cliente • Utilidade do processo • Estabelece o ecossistema de org. de TI Tabs. 38 e 39 (p.215 e 216) • Priorização das necessidades dos clientes • Maior desempenho  maior risco • Decisão: arcar com os custos da governança • Padronizar atividades para minimizar riscos operacionais • G. Mudanças • Melhoria contínua Negativos Positivos
  • 32. 32 Conclusões Método • Definir as questões e possíveis respostas antes da aplicação dos instrumentos de coleta facilita a análise de dados • Aplicar a Fase 1 para mais organizações • Aprofundar a Fase 2 para um número menor de casos Trabalhos futuros • Panorama de TI no Brasil: inclusão de mais organizações • Melhoria do questionário através das perguntas propostas nas entrevistas • Propostas da evolução do modelo canônico • Maior adequação à realidade das organizações • Utilidade relativa dos processos • Pressão sobre os profissionais • Pesquisa nas organizações para determinar esta influência
  • 34. Uma análise entre a relação risco versus desempenho em governança de TI: estudos de caso em organizações certificadas ISO 20.000 Carlos R. C. Alves Orientador: Prof. Dr. Antonio G. R. Vidal NUSP 2377105 - crcalves@usp.br

Notas del editor

  1. mostrar tendência de mercado – modos do Gartner?