[1] O documento apresenta uma análise sobre a relação entre risco e desempenho em governança de TI em organizações prestadoras de serviços de TI certificadas ISO 20.000.
[2] A pesquisa utilizou questionários e entrevistas em 8 organizações para analisar como os modelos de governança de TI são aplicados e quais fatores influenciam positiva ou negativamente sua adoção.
[3] Os resultados indicaram que o foco nos clientes, processos eficazes e comprometimento da alta administração são
Governança em TIC prof Marco Antonio Tavares sustentare escola de negocios
Uma análise sobre a relação risco x desempenho em governança de TI
1. Uma análise sobre a relação
risco versus desempenho em governança de TI:
estudos de caso em organizações prestadoras
de serviços de TI certificadas ISO 20.000
Carlos R. C. Alves
Orientador: Prof. Dr. Antonio G. R. Vidal
Apresentação de defesa de tese 28 de Abril de 2015
2. 2
Conteúdo
• O problema de pesquisa
• Equacionamento da relação risco versus desempenho
• Governança de TI
• Modelo canônico de processos de gerenciamento de serviços de TI
• Método de pesquisa
• Coleta de dados: estudos de caso múltiplos
• Fase 1: questionário
• Fase 2: entrevistas
• Análise de resultados
• Conclusões
3. 3
O problema de pesquisa - introdução
Sustentabilidade do negócio como preocupação do administrador de empresas
◦ Manter as operações, com lucratividade em face de mudanças constantes
Equilíbrio entre Risco e Desempenho
◦ Processo de tomada de decisões
Contexto das organizações cujo negócio-fim é Tecnologia da Informação:
Governança de TI
◦ Sistema para dirigir e controlar a organização
◦ Sistema de distribuição de direitos e responsabilidades
Objetivo da pesquisa
Descrever e analisar os fatores associados à aplicação de modelos padronizados
de governança de TI em organizações prestadoras de serviços de TI.
4. 4
O problema de pesquisa - motivação
Motivação
• Ampla, essencial e universal utilização
recursos de TI pelas organizações
• Necessidade de aplicar práticas de
governança pelos fornecedores de
recursos de TI
• Modelos padronizados de governança de
TI e gerenciamento de processos
proliferaram
• Organizações optam por utilizar um
modelo próprio
• Gastos corporativos com treinamentos,
consultorias e projetos sobre os modelos
de governança de TI são expressivos
Contribuições
Processos
• Processos que são mais críticos para as
organizações
Teórica
• Avaliação do grau de formalismo com se
aplicam os processos
Fatores de influência
• Desenvolvimento do modelo de fatores
que influenciam positiva ou
negativamente a utilização dos modelos
padronizados de governança de TI
5. 5
O problema de pesquisa - questão principal
Os modelos de referência de governança de TI são utilizados conforme
originalmente prescritos, em organizações cujo negócio-fim é a prestação de
serviços de TI?
Se não:
• Quais fatores contribuem para as diferenças em relação ao originalmente
prescrito e ao efetivamente aplicado?
• Quais fatores são positivos e quais são negativos para obtenção do melhor
equacionamento da relação risco versus desempenho?
6. 6
Equacionamento da relação risco versus desempenho
Risco
Impacto negativo do exercício de uma
vulnerabilidade, considerando tanto a
probabilidade quanto o impacto de sua
ocorrência (NIST, 2001).
Desempenho
Forma de medir se uma organização atingiu seus
objetivos e é capaz de se sustentar como
negócio (Maximiliano, 2008)
Métricas de acordo com os objetivos de negócio
Fig. 15 (p.105)
7. 7
Governança de TI
Um estudo sobre a utilização dos modelos de referência de governança de TI
• Fortemente apoiados em processos, com prescrição de:
• Atividades, papéis, responsabilidades e autorizações sobre as decisões de
investimentos e de operação
• Objetivos do gerenciamento por processos são:
• Gerar entrega consistente dos serviços
• Conhecer como as ações afetam os negócios
É a forma pela qual uma organização de TI é dirigida, tratando de direitos de
decisão, responsabilidades e mecanismos de monitoramento, visando o
alinhamento estratégico da TI com o negócio, a avaliação e o gerenciamento de
riscos da TI e a melhoria contínua, otimizando os investimentos em pessoas,
processos e tecnologias.
Governança de TI
Definição proposta a partir das referências: Weill e Ross (2004); Simonsson e Johnson (2005); ITGI (2006); Van Grembergen e de Haes (2008);
Fernandes e Abreu (2008); Carvalho (2009); Albertin e Albertin (2010)
Pesquisa sobre definições publicadas
8. 8
Modelo canônico de processos de gerenciamento de serviços de TI
Norma com objetivo de transformar em
requisitos certificáveis as práticas de
gerenciamento de serviços de TI
Modelo canônico
• Referência publicada para comparação
de práticas executadas na organização
(Brown e Diguid, 1991)
• Comparação nas organizações
brasileiras participantes da pesquisa
• Organizações brasileiras adotam como
referencial de práticas em
gerenciamento de TI
• Para que as organizações se certifiquem,
devem cumprir minimamente o mesmo
conjunto de requisitos
ISO 20.000 Justificativa
9. 9
Método de pesquisa
Ref.: Webster e Watson (2002)
• Pesquisa empírica
• Natureza qualitativa
• Método de estudos de casos múltiplos (8 casos de 27 organizações certificadas1),
dividido em duas fases
(1) Identificadas a partir de website, livro especializado e organismos certificadores. Foram contatadas 20 das 27 organizações, sendo que 3 se manifestaram
formalmente para não participar (alegando motivos de segurança da informação) e as outras não responderam. (Fig. 14, p.99)
10. 10
Método de pesquisa
Fase 1: questionários
• Foco na qualificação das organizações
• Questões formuladas com base em
referencial teórico
• Ferramenta SurveyMonkey
• Importância relativa dada pelas
organizações ao modelo canônico
Fase 2: entrevistas
• Foco na relação risco versus desempenho
• Análise das entrevistas
• Perguntas e respostas possíveis com base
no referencial teórico
• Validação das respostas da Fase 1
• Redução do viés sobre as respostas
(Fishbein e Ajzen, 2010)
Coleta de dados realizada em duas fases
Critérios para interpretar as descobertas da pesquisa (e reduzir viés de estudo de casos)
• Uso de questionário para orientar a pesquisa
• Questionário quantitativo antes das entrevistas
• Realizaçãode piloto
• Método anti viés para criar perguntas
• Pesquisador realiza as entrevistas, transcrições, redaçãoe análise dos casos
• Uso de outras fontes além das entrevistas
11. 11
Coleta de dados – Fase 1: questionários
• Qualificadoras, priorização de processos e motivadores
• Tamanho das empresas
• Adoção de modelos de melhores práticas
• Riscos
• Prioridade: atendimento aos requisitos dos clientes
• Execução: associados a erros dos profissionais
• Desempenho
• Processos prioritários: visibilidade dos clientes
• Fatores de sucesso: comprometimento da alta direção, processos eficazes (controle)
• Pessoas
• Fazem parte da elaboração dos processos
• Relação entre processos e pessoas (controle x reflexão em práticas)
12. 12
Coleta de dados – Fase 1: questionários
Qualificadoras, priorização de processos e motivadores
0.0%
50.0%
12.5%
37.5%
até 100
100 a 1.000
1.001 a 2.500
maior que 2.500
Respostas possíveis % de respostas obtidas
Gestores da empresa (C-level) em conjunto com as
áreas de negócio
50%
Gestores da empresa (C-level) 25%
Área de TI 25%
Gestores das áreas de negócio 0%
Disperso entre áreas usuárias 0%
Tamanho das organizações
Respondentes
Relacionado ao modelo federativo (Weill e Ross, 2004)
Fig. 16 e Tab. 20 (p.122)
13. 13
Coleta de dados – Fase 1: questionários
8
7
5
4
3 3
5
3
4
4
2
3
0
0
0
1
2
3
0
1
2
3
4
5
6
7
8
9
10
11
12
13
14
ITIL PMBoK Cobit BSC Seis Sigma CMM /
CMMI
Númeroderespostas
Não utilizado
Investimento em certificação de
profissionais
Adotado
Sendo que a maioria das organizações já possuía seus processos e os adaptaram à norma.
Qualificadoras, priorização de processos e motivadores
Fig. 17 (p.123)
14. 14
Coleta de dados – Fase 1: questionários
0
3
2 2
1
0
1
2
3
Completamente
avessa a riscos
Completamente
disposta a
arriscar
Atitude típica da organização perante os riscos
Riscos
6
1 1
0
0
1
2
3
4
5
6
Reduz/mitiga os riscos Compartilha/transfere
os riscos
Aceita o risco Evita o risco
Atitude típica da organização perante
oportunidade inovadora com um cliente
Figs. 19 e 20 (p.125)
15. 15
Coleta de dados – Fase 1: questionários
Fatores externos sobre investimentos de TI
Riscos
14
21
27
28
32
0 5 10 15 20 25 30 35
Poder de barganha dos fornecedores
Ameaça de produtos/serviços substitutos
Rivalidade entre concorrentes
Ameaça de concorrentes novos
Poder de barganha dos clientes
18
18
26
26
32
0 5 10 15 20 25 30 35
Política interna
Otimismo da gerência
Projeto
Operacional
Técnico
Classificação de riscos internos
Figs. 21 e 23 (p.126 e 127)
16. 16
Coleta de dados – Fase 1: questionários
Processos da ISO 20.000 com maior impacto
Desempenho
0
0
1
2
4
7
7
9
12
18
18
21
21
0 5 10 15 20 25
G. da capacidade
G. de configuração
Orçamento e contabilização para serviços
G. de relações de negócio
G. de liberações e implantação
Desenho e transição de serviços novos ou modificados
G. de fornecedores
Pl. de continuidade e disp. de serviço
G. de problemas
G. de nível de serviço
G. de mudanças
G. da segurança da informação
G. de incidentes e requisições de serviço
Placar das respostas
Processos
D
D
R
R
R
Cl
Cl
Cl
Co
Co
Relacionamento entre:
• Desempenho e Cliente
• Risco e Controle
D: Desempenho; R: Risco; Cl: Cliente; Co: Controle
Fig. 25 (p.129)
17. 17
Coleta de dados – Fase 1: questionários
Fatores mais importantes para sucesso da adoção e manutenção da norma ISO 20.000
Desempenho
Pe: Pessoas; Pr: Processos
Fig. 26 (p.130)
0
0
1
4
5
5
5
7
8
9
12
15
15
15
19
0 2 4 6 8 10 12 14 16 18 20
Valorizar profissionais competentes
Buscar fornecedores confiáveis
Obter ajuda externa à organização (ex.: consultorias,…
Controlar planos e ações de melhoria
Respeitar o funcionário, com relação à comunicação…
Ter um sistema de comunicação eficaz
Melhorar a qualidade da documentação
Investir em educação e treinamento
Planejar a implantação de processos
Aumentar o foco no cliente
Definir métricas do processo ou da gestão
Promover educação / mudança da cultura dos funcionários
Estabelecer políticas de gerenciamento
Estabelecer processos eficazes
Obter comprometimento da alta administração
Pe
Pr
Pr
Pr
Pr
Pr
Pe
18. 18
Coleta de dados – Fase 1: questionários
Motivos mais importantes para organizações se certificarem ISO 20.000
Desempenho
5
16
20
24
27
28
0 5 10 15 20 25 30
Exigência de fornecedores
Pressão dos concorrentes (por exemplo: eles já
haviam se certificado)
Estabelecer uma linguagem comum sobre os
processos dentro da organização
Exigência da governança corporativa
Necessidade relacionada a oportunidades de
mercado
Exigência de clientes
placar das respostas
Razõesparaacertificação
D
R
D
D: Desempenho; R: Risco; Cl: Clientes; Pe: Pessoas; Pr: Processos
Fig. 27 (p.132)
Benefícios
• Experiência no negócio-fim
de TI
• Intensidade do aprendizado
organizacional
Desempenho
• Foco nos clientes
• Clientes satisfeitos
• Entrega consistente de
qualidade
• Política, planos e ações de
gerenciamento
Cl
Cl
Cl
Pr
Pe
Pe
19. 19
Coleta de dados – Fase 1: questionários
Pessoas
Atitudes do chefe imediato
para decisões
Conhecimento dos processos
x
Refletem dia-a-dia
Participação na definição dos
processos
Reflexão em práticas
Figs. 33, 34, 35 e 36 (p.136 a 138)
20. 20
Coleta de dados – Fase 2: entrevistas
Fator Evidências
Decisão - Investimentos • Tomada de decisões: envolvimento do board
Segurança da informação • Regulamentações externas e conformidade
• Erros operacionais dos profissionais
Continuidade de serviços / Riscos de TI • Atitude perante risco: oferta aos clientes
Atitude perante o risco • Depende do momento da organização:
• Crescimento = flexibilidade
• Estabilização = controle
Salvaguarda de ativos • Não apresenta resultados diretos aos clientes
Tomada de decisão baseada em
informações
• Métricas de processos:
• Controle operacional e comparar desempenho
• Decisões estratégicas
Gerenciamento das mudanças • Formalizado para evitar erros operacionais
Conformidade com políticas internas • Governança corporativa e decisões do board
Risco
Tab. 32 (p.181)
21. 21
Coleta de dados – Fase 2: entrevistas
Fator Evidências
Recursos e processos dos parceiros • Atividades principais: profissionais da própria organização
Foco nos clientes / Clientes satisfeitos • Principal fator de desempenho
• Momento da organização (flexibilidade x controle)
Escopo de tecnologia • Mercado e demanda dos clientes
Competências sistêmicas /
Processos eficazes / Saídas
de qualidade / Arquitetura
• Processos: estabilizar e padronizar operações
• Arquitetura de TI: secundária
Outros recursos da organização • Investimentos de TI: independentes dessas áreas
Conhecimento no negócio de TI • Métricas extraídas dos processos: resultados aparentes
Profissionais competentes • Investimentos em capacitação
Sistemas de comunicação eficazes • Treinar e comunicar os objetivos e mudanças
Políticas de gerenciamento, investimentos,
planos e ações
• Presença do board
Definir um plano estratégico de TI • Cultura de melhoria contínua
Desempenho
Tab. 32 (p.184)
22. 22
Análise de resultados
Fase 1
Distribuição das organizações
Intervalo de distância euclidiana quadrática com Z-scores: resultado bom (stress=5,0%, RSQ=0,99)
Fig. 37 (p.190)
Variáveis utilizadas:
• Tamanho da organização (Q4)
• Estratégia de adoção da norma (Q8)
• Atitude perante o risco (Q17 e Q18)
• Características dos profissionais (Q21
a Q31)
23. 23
Análise de resultados
Fase 1
Organizações de acordo com as atitudes dos profissionais*
Análise de conglomerados
Avessas a
riscos
Dispostas a
arriscar
1 4
6 7
2 3
5
8
* Intervalo de distância euclidiana quadrática com Z-scores: resultado bom (stress=5,5%, RSQ=0,99): variáveis Q21 a Q31
(Fig. 38, p.192)
24. 24
Análise de resultados
Fase 1
• Participação dos profissionais
• Cultura de melhoria contínua
• Relação diretamente proporcional:
• Visibilidade de ações e Reflexão em práticas
Conformidade reflexiva
Controle panótico
Visibilidade das ações Controle
Conformidade às regras Reflexão em práticas
Fig. 5 (p.49)
25. 25
Análise de resultados
Fase 2
Tomada de decisões
Práticas institucionalizadas de
melhoria contínua
88%
13%
0%
0%
0%
5- planos de ação e melhoria, com
acompanhamento de seu andamento
4- reuniões de acompanhamento
3- análise formalizada
2- apenas geração de informação, sem
análise
1- não são gerados relatórios
0% 20% 40% 60% 80%
Fig. 40 (p.194)
26. 26
Análise de resultados
Fase 2 - Risco
Riscos de TI que afetam mais diretamente as operações
Gerenciamento de mudanças
como principal contramedida dos
riscos operacionais
• Processo/controle x pessoas
Tab. 33 (p.197); Fig. 45 (p.199)
Operacional (necessita revisões de processos que estão
além da capacitação da equipe)
75%
Disponibilidade dos serviços 25%
Técnico (necessita tecnologia que não está disponível) 0%
Político 0%
0%
13%
13%
13%
13%
50%
N/A- não há processo definido
1- mudanças são feitas ad hoc
2- há controle das mudanças, mas não
formalizado nem para todas as mudanças
3- processo definido, mas com erros na
execução
4- processo definido e medido através de
relatórios
5- processo definido, interage com outros
procesos de governança de TI e seu…
0% 10% 20% 30% 40% 50%
Controle e comunicação das mudanças
27. 27
Análise de resultados
Fase 2 - Desempenho
Relação entre desempenho e requisitos e satisfação dos clientes
Tab. 35 (p.201)
28. 28
Análise de resultados
Fases 1 e 2
Fig. 47 (p.212). Escalonamento multidimensional: 23 variáveis padronizadas.
Resultado bom (stress=5,6%, RSQ=0,98)
Variáveis:
• Tamanho da organização (Q4)
• Processo da tomada de decisão
(Q5, R1, R9, R11)
• Estratégia e benefícios da adoção
da norma (Q8, D4)
• Atitude perante o risco (Q17, Q18)
• Atitude dos profissionais (D8, Q21
a Q31)
• Processos (R10, D12)
29. 29
Análise de resultados
Particularidades dos casos
• Empresas menores: maior disposição a riscos para
que possam crescer
• Empresas maiores: visibilidade e controle,
consistência de práticas para aumento de escala
• Empresa não-TI: maior foco em disponibilidade (em
detrimento a): olhar do cliente interno
Pontos comuns
Adotar mais de um modelo de referência
Adotar o modelo canônico para consolidar
práticas internas
Contratar serviços de terceiros para transferir
riscos
Investir em treinamentos e certificação
Gerenciar à vista através de métricas
Apontar processos como principal diferencial da
organização
Adequar as práticas às regulamentações
Considerar pouca importância aos terceiros
Considerar pouca importância para o processo de
gerenciamento de configuração
Considerar planos de recuperação de desastres
apenas quando o cliente está disposto a contratar
Pontos divergentes
Adotar processos padronizados apenas para
ganhar escala nas áreas centralizadas
(compartilhadas)
Verificar na prática a influência da governança
de TI no processo de decisão sobre
investimentos
Fomentar processos de troca de práticas
internas
Destacar a arquitetura de TI como diferencial
Fases 1 e 2
31. 31
Conclusões
Como são utilizados os modelos de referência
de governança de TI em organizações cujo
negócio-fim são a prestação de serviços e
infraestrutura de TI?
• Quais fatores contribuem para as
diferenças em relação aos processos
originalmente prescritos pelos modelos
de referência de governança de TI e aos
efetivamente aplicados?
• Quais fatores são positivos e quais são
negativos para obtenção do melhor
equacionamento da relação risco x
desempenho?
Não são aplicados como originalmente prescritos.
• Controle e visibilidade sobre as atividades
• Áreas centralizadas x próximas do cliente
• Utilidade do processo
• Estabelece o ecossistema de org. de TI
Tabs. 38 e 39 (p.215 e 216)
• Priorização das
necessidades dos
clientes
• Maior desempenho
maior risco
• Decisão: arcar com
os custos da
governança
• Padronizar
atividades para
minimizar riscos
operacionais
• G. Mudanças
• Melhoria contínua
Negativos Positivos
32. 32
Conclusões
Método
• Definir as questões e possíveis respostas
antes da aplicação dos instrumentos de
coleta facilita a análise de dados
• Aplicar a Fase 1 para mais organizações
• Aprofundar a Fase 2 para um número menor
de casos
Trabalhos futuros
• Panorama de TI no Brasil: inclusão de mais
organizações
• Melhoria do questionário através das
perguntas propostas nas entrevistas
• Propostas da evolução do modelo
canônico
• Maior adequação à realidade das
organizações
• Utilidade relativa dos processos
• Pressão sobre os profissionais
• Pesquisa nas organizações para
determinar esta influência
34. Uma análise entre a relação
risco versus desempenho em governança de TI:
estudos de caso em organizações certificadas
ISO 20.000
Carlos R. C. Alves
Orientador: Prof. Dr. Antonio G. R. Vidal
NUSP 2377105 - crcalves@usp.br