G estão da tecnologia da informação e da comunicação
G estão da tecnologia da informação e da comunicação
© Copyright 2013 da Laureate. É permitida a reprodução total ou parcial, desde que sejam respeitados os direitos do Autor, conforme determinam a Lei n.º 9.610/98 (Lei do Direito Autoral) e a Constituição Federal, art. 5º, inc. XXVII e XXVIII, "a" e "b". Dados Internacionais de Catalogação na Publicação (CIP) (Sistema de Bibliotecas da UNIFACS Universidade Salvador - Laureate International Universities)
R696
Rodrigues Junior, Waldir Gestão da tecnologia da informação e da comunicação / Waldir Rodrigues Junior- São Paulo: Anhembi Morumbi, 2013. 219 p.; 18,3 x 23,5cm. ISBN 978-85-8344-035-2 1. Gestão da informação e da comunicação 2. Tecnologia I. Título. CDD: 303.4833
S umário ( 1)A
área de Tecnologia da Informação (TI), 13 1.1 A história da tecnologia, 16 1.2 Agregando valor ao negócio com a TI, 17 1.3 Planejamento estratégico corporativo, 21 1.4 Níveis de maturidade em TI, 25 1.5 Metodologia para elaboração de um planejamento estratégico de TI, 28 1.6 Arquitetura tecnológica nas organizações, 32
( 2 ) Dado,
informação e conhecimento, 39
2.1 Pirâmide da informação, 42 2.2 Dado, 42 2.3 Informação, 43 2.4 Conhecimento, 46 2.5 Competência, 49 2.6 O valor do conhecimento, 51 2.7 Matrizes de competência, 52 2.8 Ética na gestão de dados, 54 2.9 Gestão estratégica da informação, 56 2.10 Conceito e dimensões da gestão do conhecimento (Knowledge Management - KM), 63 2.11 Tipos de conhecimento, 67 2.12 Projetos da gestão do conhecimento, 69 ( 3 ) Governança
em TI, 75
3.1 Sarbanes-Oxley, 79 3.2 A Governança Corporativa no Brasil, 81 3.3 Governança de TI, 85 3.4 Padrões, metodologias e normas para Governança em TI, 92 3.5 Mitos da Governança de TI, 97 ( 4 ) Sistemas
(ERP), 103
de Gestão Empresarial
4.1 Conceito de ERP, 108 4.2 Seleção do ERP, 112 4.3 Projeto de implementação de ERP, 118 4.4 Gerência do projeto, 120 4.5 Estratégia de implementação, 122
4.6 Gestão de mudanças, 125 4.7 Fatores críticos de sucesso, 126 4.8 Trabalho contínuo pós-implementação, 128 ( 5 ) Ciclos
de vida de software, 133
5.1 Ciclo de vida de projeto de software, 136 5.2 Ciclo de vida de implantação de software, 139 5.3 Ciclo de vida de software, 141 5.4 Visão completa dos ciclos de vida, 144 5.5 Análise de TCO (Total Cost of Ownership), 146 ( 6 ) Terceirização
de TI (outsourcing), 149
6.1 Conceito, 152 6.2 Outsourcing de TI - core e contexto, 156 6.3 O que as empresas terceirizam em TI?, 159 6.4 Implementação de um outsourcing, 163 6.5 Riscos associados ao processo de outsourcing, 166 6.6 Offshore e nearshore, 167 6.7 SLA - Service Level Agreement, 167 ( 7 ) Modelando
negócio, 173
e compondo processos de
7.1 Arquitetura Orientada a Serviços (Service-Oriented Architecture - SOA), 176 7.2 Business Process Management (BPM), 182 7.3 Business Process Management System (BPMS), 184 7.4 Modelo de maturidade em SOA/BPM, 188
( 8 ) Segurança
da informação, 197
8.1 A segurança da informação, 202 8.2 A importância da segurança da informação, 206 8.3 Criptografia, 210 8.4 Problemas mais comuns de segurança nas empresas, 212 8.5 Política de segurança da informação, 213
(1)
A área de Tecnologia da Informação (TI)
Os objetivos da unidade são: contextualizar sobre a participação da área de TI nas organizações; abordar conceitos para o planejamento estratégico de TI; e entender as características do landscape tecnológico de TI nas organizações.
GLOSSÁRIO Landscape, em TI, é a composição de todos os ativos tecnológicos da empresa (hardware e software).
1.1 A história da tecnologia Ao falar da história da tecnologia, não se pode deixar de lembrar das primeiras máquinas, ainda manuais, que auxiliavam na realização de cálculos. • Ábaco - surgiu na Mesopotâmia, e foi aperfeiçoado ao longo dos tempos, ganhando algumas variações: mesopotâmio, babilônico, egípcio, grego, romano, indiano, chinês, japonês. O ábaco da Roma antiga era composto de bolinhas de mármore deslizando sobre uma placa de bronze. Ainda hoje, o ábaco é visto em uso em alguns locais da China. • Primeira calculadora - Blaise Pascal, francês, é conhecido como o inventor da primeira máquina de calcular, que fazia somas e subtrações por meio de engrenagens similares a um odômetro. • O primeiro computador eletromecânico, chamado de Z1 pelo seu criador, o engenheiro alemão Konrad Zuse, surgiu em 1936, e era constituído de relês. Fazia cálculos exibindo seu resultado em fita perfurada. O
Gestão da tecnologia da informação e da comunicação
16
Z3, também obra de Zuse, foi o primeiro computador programável, criado em 1941. Em 1943, Alan Turing foi o líder do projeto que construiu o Colossus, utilizado pela Inglaterra na Segunda Guerra Mundial. Seu processamento era de 25.000 caracteres por segundo. A IBM, em 1944, lançou o Harvard Mark I, construído por uma equipe liderada por Howard Hathaway Aiken.
O primeiro computador digital eletrônico de grande escala foi chamado de ENIAC (Electrical Numerical Integrator and Calculator). Foi criado em 1946 pelos norte-americanos John Eckert e John Mauchly, da Electronic Control Company. Depois de alguns anos de evolução, em 1975, foi desenvolvido o primeiro computador pessoal, o Altair, que saiu da fábrica com apenas 256 bytes de memória.
Testando Qual foi o nome do primeiro computador? ( ) Colossus, de Alan Turing ( ) Z1, de Konrad Zuse ( ) Harvard Mark I, da IBM ( ) ENIAC, da Electronic Control Company
1.2 Agregando valor ao negócio com a TI Apoiadas na evolução tecnológica, as organizações mantinham seus departamentos de informática centralizando as informações e a automatização de seus processamentos internos. Neste período, a área de informática, também charada das demais áreas da empresa. Existiam dois principais tipos de separação: 1. Física – os departamentos de informática ficavam isolados das demais áreas, pela necessidade de grande área para os servidores ou pela grande necessidade de refrigeração dos equipamentos;
17 A área de Tecnologia da Informação (TI)
mada de CPD (Centro de Processamento de Dados), era sepa-
2. Pessoal – por não entenderem de tecnologia, os membros das demais áreas se afastavam da equipe de informática. Como consequência de todo esse cenário, os departamentos de informática eram: 1. Área de suporte para processos internos; 2. Apenas um centro de custo dentro da empresa; 3. Tecnologia apenas para automatizar tarefas (sem inteligência); 4. Sem influência direta nos objetivos e metas das organizações. Com o passar do tempo, o cenário globalizado trouxe, para as organizações, uma necessidade maior de informação e agilidade nas respostas ao mercado. A maior parte dos executivos passou a entender que a área de tecnologia poderia pela transformação de uma simples área de automatização para uma área capaz de trazer vantagens competitivas aliadas ao negócio. Foi aí que a Informática passou a se chamar Tecnologia da Informação, pois ela expressa o uso da tecnologia a favor da informação, dentro e fora da empresa. Gestão da tecnologia da informação e da comunicação
18
Assim, as organizações começaram a entender que a área de Tecnologia da Informação (TI) é: 1. Apoio estratégico aos processos do negócio; 2. Fator crítico para obtenção, combinação e sustentabilidade de vantagens competitivas:
a. Fator de crescimento de lucros; b. Redução de custos operacionais. Atualmente, alguns setores favorecem o reconhecimento da TI em suas organizações, como por exemplo, a área financeira, com internet banking, caixas eletrônicos, operações de pagamento e crédito etc. Neste caso, a TI exerce papel crítico para o funcionamento da empresa. Dentro desse cenário, um gestor da TI em uma organização deve se preocupar em: 1. Agregar valor e qualidade aos produtos e serviços da empresa; 2. Melhorar processos decisórios; 3. Usar as informações para estar à frente dos concorrentes. Apesar desse amadurecimento, ainda é possível identificar organizações que não perderam a visão de um departamento de informática tradicional. De acordo com Graeml (2003, p. 37), algumas das características dessas organizações são: 1. Gerente de informática com dificuldade de acesso aos processos de decisão na empresa; demora nas decisões; 3. Orçamento de TI sempre sujeito a cortes e paralizações; 4. A tecnologia é tratada como recurso operacional e não como ativo estratégico.
19 A área de Tecnologia da Informação (TI)
2. Projetos sempre discutidos com base nos custos, e
Segundo Rezende (2001, p. 242 apud Castro, 2004, p. 70), quando a TI é realmente percebida nas organizações, “o responsável pela TI tem acesso fácil à alta administração, oportunidades de alinhar tecnologia aos planos organizacionais, priorizar projetos que terão impacto nos resultados futuros da organização, estando a tecnologia a serviço dos objetivos de negócio e das metas estratégicas da organização. Para isto, as estratégias da unidade da tecnologia da informação devem observar a visão dos gestores quanto aos seus negócios e devem contribuir com a inteligência organizacional.”
Tão importante quanto a visão da empresa sobre a área de TI deve ser o direcionamento do gestor dessa área, traduzindo a estratégia da empresa em objetivos menores, capazes de serem trabalhados pela sua equipe. Dessa forma, a TI contribuirá para que a organização seja ágil, flexível e robusta.
Afinal, como obter resultados positivos com a área de TI?
Gestão da tecnologia da informação e da comunicação
20
O ponto-chave para o retorno positivo é a integração com a estratégia de negócio. A organização deve promover investimentos em TI que estejam associados aos objetivos estratégicos da empresa. A tecnologia deve refletir as necessidades de negócio em vez de determinar e/ou limitar o negócio. A área de TI também deve ter um sponsor com poder na organização, alguém que possa brigar pelos interesses corporativos ao lado de TI. Segundo Martins et al. (2003), “(...) na chamada ‘Era da Informação’, a base da riqueza das organizações não provém mais do ativo contábil ou da massificação da produção, mas sim do capital intelectual, do uso sistemático do conhecimento de mercados,
domínio de processos e tecnologias e relacionamento com organizações, como geradores de vantagens competitivas.”
Essas vantagens competitivas só podem ser alcançadas quando a equipe de TI direciona seus esforços para entender as necessidades do negócio. Aliando o conhecimento tecnológico às necessidades de compras, vendas, produção, finanças etc., um analista de TI pode trazer a diferença de agilidade e segurança aos processos da empresa, fazendo com que ela se destaque perante a concorrência.
1.3 P lanejamento estratégico corporativo “Para quem não sabe para onde vai, não há ventos favoráveis.” Planejamento: 1. Serviço de preparação de um trabalho ou de uma tarefa, com o estabelecimento de métodos convenientes. Estratégia: põe ou de explorar as condições favoráveis de que porventura se desfrute, visando ao alcance de determinados objetivos. Planejamento estratégico corporativo: 1. Análise de oportunidades, ameaças, pontos fracos e pontos fortes da empresa, por meio da análise dos ambientes externo e interno;
21 A área de Tecnologia da Informação (TI)
1. Arte de aplicar com eficácia os recursos de que se dis-
2. Definição de metas que reforcem os pontos fortes, remodelem os pontos fracos, aproveitem as oportunidades e mitiguem as ameaças; 3. Identificação de estratégias para cumprimento das metas. No planejamento estratégico corporativo, os executivos da empresa determinam a direção que a empresa deve tomar para atingir seus objetivos. A equipe de gestão trabalha na definição de caminhos que podem levar a empresa na direção determinada, enquanto a camada operacional dita a velocidade do motor que fará a empresa seguir nos caminhos traçados.
Gestão da tecnologia da informação e da comunicação
22
Planejamento estratégico
Foco principal dos níveis organizacionais
Estratégico
Tático
Operacional
Define onde subir
Define por onde subir
Define como subir
• O nível estratégico define “onde subir”; • O nível tático define “por onde subir”; • O nível operacional define “como subir”. Planejamento estratégico em TI O planejamento estratégico na Tecnologia da Informação deve sempre estar alinhado com o planejamento estratégico corporativo, e precisa garantir a obtenção de vantagens competitivas para que a empresa se destaque de seus concorrentes. A missão da empresa traz objetivos e metas estratégicos que devem ser seguidos pela organização na busca de sua consolidação e expansão no mercado. Os processos organizacionais expressam a forma pela qual a empresa conduzirá suas ações na busca da conclusão das metas estipuladas. A busca pela eficiência faz com que os processos organizacionais sejam constantemente remodelados e, com isso, surgem novas necessidades de informação e, aliado a isso, a necessidade de novos investimentos em tecnologia. Planejamento estratégico de TI: alinhamento da TI com a estratégia corporativa
Define
Alcança
Processos organizacionais Executa
Decisões
Considera
23
Guia Suporta
Informação Aplica
Processa
Tecnologia
A área de Tecnologia da Informação (TI)
Missão
O planejamento estratégico de TI deve manter foco em: 1. Apoio ao negócio por meio de: a. Automação e ganho de produtividade; b. Melhoria no controle; c. Melhor qualidade de informações. 2. Definição e implementação de um landscape tecnológico capaz de suportar as estruturas de negócio; 3. Controle e segurança na produção e distribuição de informações na empresa; 4. Apoio na tomada de decisões com ferramentas, dados e sistemas.
Exemplo... <fecha box>
Uma empresa que vende produtos pela internet, onde vários clientes podem realizar pedidos simultaneamente, deve manter um controle de estoques altamente confiável, de forma que possa oferecer uma previsão realista de entrega. Aliado a isso, os processos de estoques e logísticas devem ser extremamente ajustados para que não haja problemas com a entrega solicitada. Neste exemplo, entrega rápida e sem erros garante uma vantagem competitiva em relação aos concorrentes.
Gestão da tecnologia da informação e da comunicação
24
1.4 Níveis de maturidade em TI Estágios de maturidade das empresas no contexto de TI
Estágio da gestão da informação Estágio da retomada do controle Estágio do caos Estágio de euforia tecnológica
Maior maturidade
Estágio da maturidade de TI
Estágio de introdução à informática Estágio pré-informativo
Fonte: adaptado de Rezende (2001) e Foina (2001) apud Martins et al. (2003, p. 53)
nível de utilização e aproveitamento da TI na organização. Quanto maior o nível de maturidade, melhor será a capacidade de aproveitamento tecnológico para ganhos competitivos.
25 A área de Tecnologia da Informação (TI)
O nível de maturidade de TI nas empresas indica o
Curiosidade... A importância da maturidade em TI é tanta que as empresas podem perder seu valor de mercado. Segundo pesquisa realizada por uma universidade dos EUA, as falhas em iniciativas das áreas de Tecnologia da Informação podem gerar até 2% de queda nas ações que as empresas ofertam na bolsa de valores. Veja em: http://cio.uol.com.br/opiniao/2009/08/25/pesquisa-falha-em-ti-reduz-ate-2-o-valor-de-acoes-negociadas-em-bolsa/ Estágio pré-informativo 1. Empresa de pequeno porte; 2. Baixo volume de dados; 3. Pouco ou nenhum recurso de TI; 4. Fluxo da informação totalmente informal; 5. Esforço pessoal para suprir deficiências sistêmicas. Estágio de introdução da informática 1. Início de sistematização, principalmente em: a. Folha de pagamento; b. Contabilidade; c. Estoque.
Gestão da tecnologia da informação e da comunicação
26
Estágio da euforia tecnológica 1. Informatização de mais processos de negócio; 2. Criação do Departamento de Informática. Estágio do caos 1. Ideia de que os sistemas resolvem os problemas da empresa;
2. “Abismos” entre a área de informática e as áreas de negócio; 3. Conflitos internos na empresa; 4. Áreas de negócio buscam soluções sem anuência da área de informática; 5. Falta de planejamento adequado para a implantação de ferramentas e sistemas. Estágio da retomada de controle 1. Identificação e eliminação das bases redundantes (mesma informação em mais de um sistema); 2. Integrações para garantir integridade - eliminação de processos manuais quando o processo envolve passagem por mais de um sistema; 3. Agrupamento das informações para tomadas de decisões estratégicas; 4. Percepção de que a estrutura de TI pode se transformar em um diferencial competitivo. Estágio da gestão da informação 1. Unificação das bases de dados e integração dos sistemas; 2. Disponibilização das mesmas informações para 3. Necessidade de um Gestor de Informações. Estágio da maturidade de TI 1. Todas as áreas da empresa são atendidas por sistemas integrados; 2. Infraestrutura sólida e de alta disponibilidade;
27 A área de Tecnologia da Informação (TI)
todas as áreas de negócio;
3. Definição de políticas formais para: a. Segurança da informação; b. Padronização de ferramentas de TI; c. Planos estratégicos de TI. 4. Unidade de TI centralizada, mas com ação distribuída; 5. TI se torna instrumento indispensável nos processos de tomada de decisão estratégicas e operacionais.
1.5 Metodologia para elaboração de um planejamento estratégico de TI Na montagem do planejamento estratégico de TI, deve-se identificar o estágio de maturidade atual da empresa e considerar o estágio-alvo, isto é, aquele em que a empresa pretende estar nos próximos dois a cinco anos. Metodologia de elaboração do planejamento estratégico
Gestão da tecnologia da informação e da comunicação
28
1
Organizar o projeto
2
Capacitar a equipe
3
Identificar objetivos e informações organizacionais
4
Identificar e avaliar os sistemas de informação
5
Planejar e propor sistemas de informação
6
Planejar infraestrutura paralela
7
Planejar recursos humanos
8
Organizar a unidade de Tecnologia da Informação
9
Estabelecer prioridades
10
Analisar os impactos
11
Elaborar plano econômico-financeiro
12
Elaborar planos de ação
13
Gerir, documentar e aprovar o projeto Fonte: Martins et al. (2003)
Organizar o projeto 1. Definição de atividades-chave, objetivos, metas, equipe de trabalho e prazos; 2. Importante a participação de profissionais com bom conhecimento em processos da empresa e Tecnologia da Informação. Capacitar a equipe 1. Familiarização das equipes com as ferramentas que serão utilizadas; 2. Processo contínuo em toda a organização. Identificar objetivos e informações organizacionais 1. Identificação clara e objetiva das principais atividades desenvolvidas pela organização; 2. Identificação das reais necessidades de informação; 3. Modelagem dos processos de negócio para identificar: a. Subprocessos; c. Como os setores interagem e colaboram entre si; d. Informações envolvidas nos processos; e. Regras.
29 A área de Tecnologia da Informação (TI)
b. Responsabilidades;
Identificar e avaliar os sistemas de informação 1. Avaliar os atuais sistemas na visão de melhoria em: a. Hardware; b. Software; c. Infraestrutura de rede; d. Processos de negócio; e. Capacitação de recursos humanos. 2. Avaliar adaptações ou reformulações nos sistemas; 3. Avaliar os potenciais sistemas de mercado. Planejar e propor sistemas de informação 1. Propor alternativas detalhadas para melhoria dos sistemas já em uso com base nas deficiências identificadas na fase anterior; 2. Planejamento para implantação de novos softwares: a. Desenvolvimento próprio; b. Software de terceiro. 3. Propor formas de otimização dos processos de negócio, definição de exigências de alta disponibilidade e integração das diversas bases de dados. Planejar infraestrutura paralela
Gestão da tecnologia da informação e da comunicação
30
1. Planejamento para revisão, manutenção e/ou implantação de elementos redundantes; 2. Definição de estruturas de backup para dar suporte às estruturas de alta disponibilidade. Planejar recursos humanos 1. Definição de processos de ajuste para: a. Suprir deficiências;
b. Definir como aproveitar mais as potencialidades dos colaboradores. Organizar a unidade da Tecnologia da Informação 1. Definir uma unidade exclusivamente dedicada à Tecnologia da Informação; 2. Garantir a continuidade na gestão da informação; 3. Abrigar profissionais com perfil adequado e claras responsabilidades. Estabelecer prioridades 1. Definir a ordem de implantação: sistemas, programas, normas, políticas etc.; 2. Revisão periódica das prioridades e do controle de prazos. Analisar impactos 1. Análise crítica dos efeitos das ações planejadas nas etapas anteriores; 2. Auxilia na determinação da viabilidade de execução dos projetos, definição de prioridades e estabelecimento de estratégias; 3. Implementação de ajustes necessários.
1. Busca de aprovações para todos os planejamentos que necessitem de investimentos financeiros; 2. Ajuda a definir a ordem de execução das atividades; 3. Evolução desta fase: orçamento anual para investimentos na área de TI.
A área de Tecnologia da Informação (TI)
31
Elaborar o plano econômico-financeiro
Elaborar planos de ação 1. Iniciada após definição de prioridades e orçamentos; 2. Elaboração dos planos de ação operacionais. Gerir, documentar e aprovar o projeto 1. Implementação dos planos de ação operacionais.
1.6 A rquitetura tecnológica nas organizações A composição da infraestrutura técnica com os sistemas que rodam sobre ela, integrando processos e informações, é chamada de Arquitetura Tecnológica (ou Arquitetura de TI). O gestor de TI deve manter disponível uma arquitetura capaz de suportar as características principais do negócio e as necessidades de mudanças e adaptações. A arquitetura de TI envolve: 1. Controle, armazenamento e distribuição de informações;
Gestão da tecnologia da informação e da comunicação
32
2. Sistemas integrados; 3. Plataforma tecnológica de telecomunicações e sistemas; 4. Topologia de redes de computadores; 5. Protocolos de comunicação de dados. Os principais desafios do gestor de TI na preparação e sustentação da arquitetura tecnológica são:
1. Escalabilidade: possibilidade de aumento da capacidade técnica na medida em que existe nova demanda de mercado. a. Processamento; b. Armazenamento; c. Velocidade de transmissão; d. ... 2. Disponibilidade: cada negócio possui uma necessidade de disponibilidade diferente e, por isso, de uma arquitetura diferente. a. 24 x 7 – 24 horas por dia, 7 dias por semana; b. 9 x 5 – 9 horas por dia, 5 dias por semana (horário comercial); c. 9 x 6 – 9 horas por dia, 6 dias por semana (horário comercial + sábado); d. ... 3. Robustez: produz resultados corretos quando as entradas válidas são fornecidas, mas não produz resultados inesperados quando as entradas inválidas são fornecidas.
bem como o seu acesso somente a pessoas permitidas. A construção de uma arquitetura tecnológica recebe influências internas e externas à organização, e deve estar preparada para atender aos processos de gestão, às necessidades de informação, aos modelos de dados e aos sistemas de informação existentes.
33 A área de Tecnologia da Informação (TI)
4. Segurança: garantir integridade das informações,
Ambiente externo Processos de gestão
Influências internas e externas
Processos decisórios
Infraestrutura de hardware e software
Sistema de informação
Fluxo de informações
Modelo de dados
Ambiente interno
“A definição de uma arquitetura tecnológica adequada apresenta um papel estratégico não só como recurso capaz de alterar as regras de competitividade entre as empresas, atribuindo maior valor agregado aos processos, mas, também, de gerar vantagem competitiva ao facilitar o desenvolvimento e disponibilização de novos produtos e serviços ao mercado.” Gesinaldo Ataíde Candido; Alessandra de L. Jacobsen; Avanilde Kemczinski; Lia Krücken Um grande desafio para os gestores de TI é a decisão de mudar uma arquitetura obsoleta ou simplesmente atualizá-la.
Gestão da tecnologia da informação e da comunicação
34
O gerente de TI deve exercer o papel de zelador pela conformidade dos novos sistemas críticos com a arquitetura de TI existente, sem, no entanto, pretender impor uma forma única em que devam ser encaixadas todas as iniciativas de TI da organização. Transportando essa decisão para o domínio pessoal, com as devidas proporções, é como se a dúvida fosse entre colocar mais memória e mais disco rígido em um computador pessoal ou analisar a necessidade de comprar um computa-
dor novo, com placa mãe mais robusta, processador em nova tecnologia, memória em padrão mais rápido etc. Permanecer com a arquitetura atual, apenas atualizando-a, traz o risco de deixá-la ficar obsoleta e, com isso, deixar de atender à demanda de negócio. Por outro lado, a troca da arquitetura faz com que obtenha maiores vantagens perante a concorrência, mas necessita de altos investimentos. Por fim, a arquitetura de TI precisa ser periodicamente atualizada para refletir eventuais mudanças necessárias nos processos internos e no ambiente externo, e deve permitir uma variedade de padrões alternativos que possam ser aplicados a diferentes tipos de projeto. O gestor de TI deve preocupar-se em estabelecer para a organização um conjunto de padrões de plataformas, linguagens, protocolos e segurança que oriente a aquisição de novas aplicações e a contratação de serviços terceirizados, visando a garantir a consistência do ambiente computacional como um todo. Mas ele não pode se esquecer de proporcionar um nível adequado de flexibilidade, que permita acomodar as diferentes necessidades da organização.
Para refletir...
35 A área de Tecnologia da Informação (TI)
Um grande fator de mudança de arquitetura tecnológica em uma empresa é a implantação de um sistema de gestão empresarial, também conhecido como ERP. Este sistema une as áreas funcionais de uma empresa (compras, vendas, produção, finanças etc.) em uma plataforma integrada e robusta. Quando uma empresa promove a troca de sistemas caseiros por um ERP, toda arquitetura tecnológica deve ser reavaliada: rede interna, servidores, estações de trabalho, links de comunicação com filiais, data center etc. Isso porque o sistema traz um novo paradigma para a empresa, não somente na Gestão de TI, mas na operação de todas as áreas. Por isso, é comum um projeto de implantação de ERP vir associado a projetos de revisão de processos, change management e readequação tecnológica.
REFERÊNCIAS CASTRO, L. P. V. O papel da Tecnologia da Informação na compreensão do gestor público estadual. Tese (Mestrado) - Universidade Estadual do Ceará, Fortaleza, 2004. Disponível em: http://www.etice.ce.gov.br/index.php/downloads/category/10-publicacoes?download=281%3Ao-papel-da-ti-na-compreensao-do-gestor-publico-estadual. Acesso em: 21 maio 2014. FOINA, P. R. Tecnologia da Informação: planejamento e gestão. São Paulo: Atlas, 2001. GRAEML, A. R. Sistemas de informação: o alinhamento da estratégia de TI com a estratégia corporativa. 2ª ed. São Paulo: Atlas, 2003. MARTINS, G. B. et al. A Tecnologia da Informação no processo organizacional. T&C Amazônia, ano 1, n. 1, fev. 2003. REZENDE, D. A. A Tecnologia da Informação aplicada a sistemas de informação empresariais. São Paulo: Atlas, 2001.
Gestão da tecnologia da informação e da comunicação
36
A área de Tecnologia da Informação (TI)
37
(2)
D ado, informação e conhecimento
O s objetivos da unidade são: explanar e diferenciar dados, informações e conhecimento; trabalhar com conceitos de ética na gestão de informações; e abordar a gestão do conhecimento dentro das organizações. Um grande desafio atual é filtrar informações de qualidade em meio à quantidade disponibilizada. Manter o foco e garantir produtividade na vida e no trabalho está diretamente ligado a quanto se consegue administrar e filtrar as informações corretas para nosso dia a dia. A cada evolução da humanidade, novos meios de envio de informação são criados, mas os receptores (nós) são os mesmos...
2.1 P irâmide da informação Na pirâmide do conhecimento, destaca-se o relacionamento entre dado, informação, conhecimento e competência. O correto entendimento deste conceito é extremamente importante no ambiente corporativo, para o fortalecimento das competências e ampliação do conhecimento. Competência
Conhecimento
Informação
Dado
• Conhecimento aplicado a um resultado • Ação resultante • Informação com significado • Vivência • Dados com contexto • Fatos • Observação
2.2 Gestão da tecnologia da informação e da comunicação
42
D ado Tudo que está a nossa volta pode ser considerado um dado. Por si só, os dados não representam qualquer informação e não tem um significado claro. Para quem está no período pré-alfabético, uma palavra apenas representa um conjunto de letras sem qualquer significado. Os dados são quantificáveis e podem ser armazenados. O simples armazenamento dos dados não garante o enten-
dimento de qualquer mensagem que eles poderiam representar. A forma de armazenamento deve ser conhecida para que a mensagem original seja posteriormente recuperada, no momento em que estivermos nos deparando com o dado novamente. Esse padrão de armazenamento indica que os dados são estruturados, isto é, os dados podem ser ligados uns aos outros para formar uma estrutura de dados. Textos, fotos, vídeos, figuras, sons gravados, animações e números são exemplos de dados. Eles podem ser incompreensíveis para o receptor se este não souber decodificá-los. Um texto é incompreensível para um analfabeto, não importando o idioma. Uma conversa gravada em inglês é incompreensível para quem não entende esse idioma. Apenas dados não sustentam tomadas de decisões nas empresas.
2.3 I nformação gerando algum valor ou significado para um receptor. Dessa afirmação, extrai-se que, neste processo de transformação do dado em informação, é imprescindível a existência do receptor. Sem este, não existe entendimento e, sem entendimento, não existe informação. A frase “Paris é uma cidade fascinante” é uma informação desde que seja lida por alguém que conheça o idioma português, que saiba que Paris é uma cidade e que entenda o sentimento expresso na palavra fascinante (SETZER, 1999).
43 Dado, informação e conhecimento
A informação é obtida pela interpretação dos dados,
Exemplificando... Um texto escrito em mandarim é apenas um conjunto estruturado de dados quando alguém que não conhece esse dialeto chinês tenta lê-lo. No momento em que algum chinês, conhecedor desse dialeto, lê esse texto, ele passa a transformar os dados em informação. Toda informação deve ser codificada (transformada) em dados estruturados para que seja armazenada. Softwares corporativos, ou Sistemas de informação, fazem a conversão de informação para dado quando as informações geradas pelos processos organizacionais são armazenadas em um banco de dados. O processo inverso ocorre quando os sistemas buscam os dados no banco de dados e os convertem em informação entendível ao usuário do sistema. A codificação da informação em dados computacionais pode refletir alguma perda se o modelo de dados e o desenho da aplicação (sistema) não estiverem bem definidos. Ainda no exemplo da frase “Paris é uma cidade fascinante”, para que a palavra fascinante seja codificada, é preciso definir uma escala de armazenamento. Esta pode ser numérica (de 0 a 5, por exemplo) ou relativa (detestável, indi-
Gestão da tecnologia da informação e da comunicação
44
ferente, atraente e fascinante, por exemplo). A definição errada da escala pode gerar uma interpretação errada dos dados no momento de sua codificação. Outro problema que pode ocorrer no armazenamento computacional das informações é a errônea interpretação dos dados. Quando um sistema de informação necessita ler e interpretar os dados gerados por outro sistema, ele precisa conhecer todo o modelo de dados envolvido para que não haja confusão e embaralhamento dos dados na sua decodificação. Os seres humanos são capazes de obter informações que estão além dos dados, quando conseguem formar uma
situação de contexto. A frase “a temperatura média em Paris em dezembro é de 5° C” remete aos pensamentos de: inverno, frio, final do ano, hemisfério norte etc. (SETZER, 1999). A informação pode ser: • Explícita - todos os dados são representados e interpretados sem dúvidas ou subjetividades. Exemplo: os dados de uma transação financeira armazenados no banco de dados. • Implícita - informações obtidas indiretamente a partir de outra informação explícita. Exemplo: a mentalização de uma praia ao ouvir o som das ondas do mar. • Percebida - sem a representação de todos os dados. Exemplo: colocar o braço para fora de casa em um dia frio gera a percepção de temperatura que transmite a informação de frio. A interpretação dos dados pelos computadores se resume a interpretar regras previamente definidas, sem valor de juízo sobre os dados. Isso significa que qualquer ruído exisperder seu sentido final.
Curiosidade... Você consegue ler e entender os três textos a seguir? Texto 1: 4 PR1NC1P4L D1F3R3NÇ4 3N7R3 4 1N73RPR374C40 D05 D4D05 P3L05 C0MPU74D0R35 3 P3L45 P355045 53 R35UM3 N4 C4P4C1D4D3 QU3 05 53R35 HUM4N05 73M P4R4 4857R41R 05 D4D05 3 7R4N5F0RM4-L05 3M 1NF0RM4ÇÃ0.
45 Dado, informação e conhecimento
tente nos dados será propagado para a informação, que pode
Texto 2: PDIPFIPCILPMENPTE PUPMA PMÁPQUIPNA PCONPSEPGUIPRÁ PUPTIPLIPZAR PTOPDA PLÓPGIPCA PSEPMÂNPTIPCA PDOS PSEPRES PHUPMAPNOS PPAPRA PSE PAPDAPTAR PA PQUALPQUER PALPTEPRAPÇÃO PDOS PDAPDOS. Texto 3: De aorcdo com uma pqsieusa de uma uinrvesriddae ignlsea, não ipomtra em qaul odrem as lrteas de uma plravaa etãso. A úncia csioa iprotmatne é que a piremria e útmlia lrteas etejasm no lgaur crteo. O rseto pdoe ser uma ttaol bçguana que vcoê pdoe anida ler sem pobrlmea. Itso é poqrue nós não lmeos cdaa lrtea isladoa, mas a plravaa cmoo um tdoo. Vdaerde! Estas frases demonstram o quanto o conhecimento humano é um diferencial para adaptar os dados de forma a visualizar INFORMAÇÃO onde apenas existiam DADOS embaralhados ou com certo ruído.
2.4 Gestão da tecnologia da informação e da comunicação
46
Conhecimento O conhecimento é a abstração interior sobre algo que foi experimentado ou vivenciado por alguém. Ao ler vários textos, pode-se obter muita informação sobre determinado assunto. Porém, o conhecimento só será realmente adquirido depois que se tiver uma ação, vivência ou experiência sobre o assunto.
Exemplificando... Quando um estudioso na administração desenvolve ou adapta uma nova teoria ou modelo, ele adquiriu o conhecimento sobre o assunto. Para expressar esse conhecimento em um artigo, ele transcreve informações referentes ao contexto, ambiente e conceitos. Esse conteúdo (conjunto de dados) será lido por alguém que decodificará esses dados (o artigo) e ampliará a sua base de informações. Quando este receptor conseguir aplicar essas informações no seu dia a dia, terá adquirido conhecimento. É comum ouvir, no ambiente corporativo, a expressão “gestão do conhecimento”. Como o conhecimento é intrínseco a cada indivíduo e diz respeito à sua vivência, não é possível transferi-lo de forma direta. Porém, como ele pode ser expresso por um conjunto de informações que, por sua vez, podem ser codificadas por dados estruturados, vê-se um caminho para a transferência do conhecimento: a transmissão pela codificação das informações relativas a ele. Neste processo, é difícil garantir a transferência completa do conhecimento, pois existem duas codificações uma decodificação (dados para informação) e uma necessidade de vivência e experimentação das informações para aquisição e formação do conhecimento. Qualquer ruído existente em um destes quatro processos pode afetar a correta transferência do conhecimento. A leitura de um manual de direção faz com que as informações descritas nele sejam absorvidas. Quem desenvolve essa leitura, mesmo que com completo entendimento, sem nunca ter dirigido um carro, ainda não tem conhecimento sobre a arte de dirigir. À medida que aulas práticas são efetuadas, o conheci-
47 Dado, informação e conhecimento
(conhecimento para informação e informação para dados),
mento vai sendo adquirido. Esse exemplo representa a diferença entre absorver informações e adquirir conhecimento. Enquanto a informação pode ser absorvida, o conhecimento deve ser adquirido.
O conhecimento é uma propriedade da mente humana. Algumas coisas são passíveis de serem expressas de maneira clara, como palavras, músicas, arte etc. Outras não, como emoções, dirigir uma bicicleta etc. “Nós sabemos mais do que podemos dizer” (Michael Polanyi).
Exercício... Como você repassaria o seu conhecimento sobre andar de bicicleta? Quais as informações que devem ser codificadas e como elas devem ser codificadas?
Resposta:
Gestão da tecnologia da informação e da comunicação
48
Nós temos dificuldade de expressão em alguns tipos de conhecimento. Sabemos fazer, mas não sabemos dizer como fazer. Simplesmente dizer “suba na bicicleta e pedale sem cair” ou “mantenha o equilíbrio” não é suficiente para alguém que nunca andou de bicicleta. Como fazer para manter o equilíbrio? Com que força apertar o manete de freio? O quanto devemos inclinar o corpo nas curvas? São questões muito difíceis de serem respondidas de forma clara e objetiva.
A criação do conhecimento, então, ocorre na interação social, pois o conhecimento está incorporado às pessoas. Os
computadores são meras ferramentas para armazenamento de dados, que trazem informações se recuperados e interpretados da maneira correta.
2.5 Competência A competência é a capacidade de realizar uma tarefa no mundo real. Não basta adquirir o conhecimento. Deve-se colocá-lo em prática por meio de atividades físicas adquirindo cada vez mais experiência. Portanto, a competência exige conhecimento e habilidades pessoais para colocar o conhecimento em prática. Da mesma forma que o conhecimento, a competência não pode ser facilmente descrita. Ela deve ser reduzida ao nível de dados por meio da qualificação em graus. Por exemplo, a competência “liderança” pode ser qualificada nos graus “nenhuma”, “em desenvolvimento”, “proficiente”, “forte” e “excelente”. Natureza da pirâmida da informação
Conhecimento
Informação
Dado
Natureza subjetiva Cada um tem a vivência de algo de forma diferente Natureza objetiva-subjetiva Descrita de forma objetiva e interpretada de forma subjetiva Natureza objetiva Não depende do usuário
49 Dado, informação e conhecimento
Competência
Natureza subjetiva-objetiva Característica pessoal com resultados vistos por qualquer um.
“Empresas que querem desenvolver competência em seus profissionais em certa área devem fazê-los trabalhar na mesma ou participar de projetos, preferivelmente juntamente com pessoas com grande competência.” (Valdemar W. Setzer) Transmissão de conhecimento e transformação do conhecimento em competência Conhecimento
Competência
Informação
Aplicação prática do conhecimento adquirido
Dados apresentando informações
Locutor
Receptores Interação pessoal
Descrição da experiência vivida Passagem de dados representando informações
Conhecimento transmitido de forma subjetiva
Exercício... 1) O que nós manipulamos: dado, informação ou conhecimento? 2) Por que a manipulação dos dados é importante? 3) Como as empresas podem tirar melhor proveito dos dados e informações?
Gestão da tecnologia da informação e da comunicação
50
Respostas: 1) Nós manipulamos os dados para criar novas visões das informações transmitidas. Quanto mais informações nós absorvemos, maior possibilidade de adquirir conhecimento quando colocarmos em prática o que aprendemos. 2) Como existem cada vez mais fontes de informação e a velocidade exigida para mudanças no mercado é cada vez maior, o correto entendimento e manipulação dos dados são fundamentais para sobrevivência das empresas. 3) Criando ferramentas que possam auxiliar na tomada de decisões, na prevenção de ameaças e na detecção de oportunidades.
2.6 O valor do conhecimento
51 Dado, informação e conhecimento
Era uma vez uma empresa transportadora de cargas. Trabalhava transportando cargas bilionárias, petróleo e toda essa espécie de coisas. A menina dos olhos da empresa era um grande e novíssimo navio, que fora fabricado ao custo de 2 bilhões de dólares. Um dia de serviço desse navio custava à empresa US$ 100.000. Após somente 6 meses de serviço, o navio simplesmente parou de funcionar. Foram chamados técnicos e mais engenheiros e mais mecânicos do fabricante, que ao término de 1 mês não conseguiram resolver o problema de jeito nenhum. 30 dias com esse navio parado significava um prejuízo de 3 milhões de dólares para a empresa, e seus donos estavam à beira de um colapso nervoso quando foi dada a ideia de chamar um especialista independente, que já tinha enfrentado problemas semelhantes e se saído muito bem, devido à sua experiência imensa com a complexa mecânica naval. Eis que no dia seguinte, chega o especialista. Senta-se em frente a uma das partes do motor, tenta ligar, pressiona alguns botões, balança a cabeça, murmura algo para si mesmo… e puxa uma chave de fenda da sua caixa de ferramentas. Desaparece por entre os motores por alguns instantes, e ao retornar diz: “problema resolvido”. Apenas ao toque de um botão, o motor responde e o navio começa a funcionar. O presidente da empresa ficou impressionado, e perguntou ao especialista quanto ele lhe devia. O especialista respondeu: - A conta é US$ 1 milhão, por favor. O presidente da empresa ficou indignado, e falou: - US$ 1 milhão por apenas alguns minutos de trabalho? Para apertar um parafuso? Eu sei que o meu navio é um navio de 2 bilhões de dólares, mas 1 milhão é absurdo! Pagarei somente se receber demonstrativo com todos os detalhes que justifiquem esse valor! O especialista simplesmente balançou a cabeça afirmativamente e saiu.
Na manhã seguinte, o presidente recebe o demonstrativo com o detalhamento do serviço. Ao terminar a leitura, não hesitou e mandou que fosse paga no ato. A nota fiscal dizia: Serviços realizados: Visita técnica: cortesia Apertar um parafuso: US$ 0,10 Saber qual parafuso apertar: US$ 999.999,90 Fonte: http://macaubas.com/scrum/aprenda-a-cobrar-pelo-valor-e-o-ingrediente-secreto-do-scrum
2.7 M atrizes de competência Pode-se entender que a competência é um conjunto de habilidades para produzir algo em uma determinada área de conhecimento. Alguém será competente em um idioma estrangeiro se tiver habilidade de compreender a língua escrita, de compreender a língua falada, de falar, de fazer traduções simultâneas etc. (SETZER, 1999). É possível apresentar Gestão da tecnologia da informação e da comunicação
52
diferentes níveis de competência para cada uma das habilidades. Então, pode-se trabalhar com uma escala para se identificar esse nível.
Matriz de competência para análise de proficiência em idiomas
Fazer traduções simultâneas
Fazer traduções escritas
Proferir conferências
Falar
Matriz de competência para idiomas
Compreender a língua falada
Compreender a língua escrita
Habilidades
Áreas de conhecimento Chinês Espanhol Grego Inglês Japonês Português Russo Graus de competência
Graus de Graus de conhecimento conhecimento
Nenhum
Nenhum
Mal informado
Em desenvolvimento
Fraco
Razoavelmente informado
Proficiente
Razoável
Bem informado
Forte
Bom
Excelente
Excelente Fonte: adaptado de Setzer (1999)
da pessoa não tenha competência para uma determinada habilidade, mas ela pode ter o conhecimento sobre as características dessa habilidade ou até mesmo informações sobre ela. Diz-se, então, que o grau de competência pode ser substituído por um grau de conhecimento, e este, por um grau de informação.
53 Dado, informação e conhecimento
Existe também a possibilidade de que determina-
2.8 Ética na gestão de dados Por definição, ética é: • Característica inerente a toda ação humana; • Fundamentada nas ideias de bem e de virtude; • Valor perseguido por todo ser humano. As pessoas possuem senso ético (consciência moral). Todos vivem se autoavaliando e se autojulgando para saber se suas ações são boas ou más, certas ou erradas, justas ou injustas. Uma empresa ética deve se preocupar com a divulgação clara e precisa das regras corporativas, além da criação de procedimentos de verificação para assegurar o cumprimento destas regras. Consequência positiva do trabalho ético nas organizações Empresa ética
implica
Pessoas éticas
Gestão da tecnologia da informação e da comunicação
54
Política interna
responsáveis pela
boa definição gera
Reforço da marca e imagem
O uso indevido dos dados corporativos pode ser ocasionado pela quebra de segurança com invasões ou por funcionários mal-intencionados ou mal-instruídos. Isso pode gerar grande prejuízo, com perda de clientes que passam a se sentir desrespei-
tados. As causas são várias, como envio de publicidade indevida, publicação ou divulgação de dados de clientes sem autorização, vazamento de informações de estratégia de mercado etc.
Exercício... O maior acidente da aviação foi causado por uma falha na interpretação de dados. Você sabe qual foi?
Resposta: Em 27/03/1977, nas Ilhas Canárias, dois Boeings 747 (um da PAN AM e outro da KLM) se chocaram no solo, deixando 583 vítimas. Enquanto a aeronave da PAN AM taxiava, o comandante da KLM entendeu, em uma comunicação com ruído, que poderia decolar. A falta de visibilidade fez com que os comandantes das duas aeronaves percebessem o erro quando já não havia mais tempo. Uma possível solução é a criação de um código de ética na empresa, que determinará a política de geração e uso dos dados corporativos. Essa política, por sua vez, deve apresentar uma declaração formal dos propósitos da coleta de informações, a forma como os dados serão atualizados e compartilhados, e quais os dados que podem ser armazenados e quais devem ser descartados. CIO, pois ele deve conhecer as possibilidades de combinação, filtragem e segurança dos dados, orientar demais executivos quanto aos riscos envolvidos, e sugerir medidas cabíveis para minimizar riscos. Para criar o código de ética, podem-se seguir os seguintes passos: • Criar uma comissão de ética: o número de participantes depende do porte da empresa;
55 Dado, informação e conhecimento
Aliado a essa necessidade das empresas está o papel do
• Analisar as bases de dados e de informações: identificar quais os meios existentes para “evasão” de dados (lícita ou ilícita); • Definir procedimentos e regras: garantir que os dados e informações permanecerão na empresa.
2.9 G estão estratégica da informação Segundo Lesca e Almeida (1994), o objetivo da gestão estratégica da informação é a obtenção de vantagem competitiva pela empresa através da utilização da informação com orientação estratégica. As organizações se preocupam bastante com o tema, e nunca se investiu tanto na obtenção e processamento das informações. Contudo, dificilmente computam o tempo perdido no rastreamento de dados e informações e o montante de negócios não realizados pela dificuldade de acesso à informação em tempo hábil. Muito dinheiro se perde com Gestão da tecnologia da informação e da comunicação
56
a ausência de estratégia no armazenamento da informação (dados e documentos) e com a falta de capitalização do conteúdo da empresa.
O uso e a manipulação dos dados e informações Mapeamento Aprendizado Transformação Aplicação Subtrai o poder de agregar qualidade e produtividade
Dados e informações
Efetiva a vantagem competitiva de uma empresa
Excesso Escassez Imperícia Fonte: adaptado de Irene Maria Escobar Butti.
Existe uma grande confusão de conceitos que faz com que muitas empresas não atinjam seus objetivos na gestão de informações. Todo trabalho de estruturação e planejamento da gestão estratégica da informação deve manter o foco no conhecimento e na informação; contudo, muitas empresas se preocupam mais do que deveriam com os dados. “Armazenar dados” não é “armazenar conhecimento”, e a preocupação da empresa deve ser com as seguintes questões: • Como utilizar? • Quem mandou guardar isso? • As pessoas estão preparadas para os dados? O êxito e o fracasso podem depender de saber com clareza (sobre dados, informações, conhecimento): • O que se tem? • O que se quer? • O que se pode fazer com eles?
57 Dado, informação e conhecimento
• Para que serve?
As perspectivas na orientação estratégica da gestão da informação devem identificar as informações necessárias para elaboração, implementação e avaliação da estratégia corporativa. Informação
o
açã
Ela
ent
bor aç
m ple
ão
Im
Estratégia
Avaliação
• Informação utilizada para elaborar a estratégia • Informação necessária para implementar a estratégia • Informação usada para avaliar a estratégia Gestão da tecnologia da informação e da comunicação
58
As características esperadas na informação são: • Precisa – sem erros • Completa – contém todos os fatos importantes • Econômica – de produção relativamente econômica • Flexível – pode ser usada para diversas finalidades • Confiável – depende da fonte da informação • Relevante – importante para tomada de decisões
• Simples – facilmente entendida por todos • Pontual – enviada e recebida em tempo, quando necessário • Verificável – pode-se checá-la para saber se está correta A informação estratégica é o produto da interpretação dos dados do ambiente e de aspectos internos da organização; permite ao executivo tomar decisões sobre o produto a ser oferecido e a melhor forma de atender o mercado. Exercício... Complete a tabela de análise de informações estratégicas internas, levando em consideração exemplos preenchidos. Tipos de informação para analisar o desempenho
Tipos de informação para analisar recursos e capacidades - Forma de pagamento - Preço
- Índice de retorno dos clientes - Opinião dos clientes
- Higiene - Arranjo físico
- Nível de estoque - Opinião dos clientes
Grau de importância
Onde obter a informação?
Importante
- Clientes (questionário) - Folder
- Funcionários - Clientes (questionário)
59 Dado, informação e conhecimento
Administrativo
Alimentos e Hospedagem bebidas
Marketing (comercial)
Hotel
Informações estratégicas internas
Veja as alternativas para preenchimento na lista a seguir: ⁻⁻ Forma de promoção (internet) ⁻⁻ Tipo de produto ⁻⁻ Vendas ⁻⁻ Equipe de vendas ⁻⁻ Relatório de reservas ⁻⁻ Clientes potenciais ⁻⁻ Telefone e e-mail ⁻⁻ Taxa de ocupação ⁻⁻ Processo de produção (procedimentos) ⁻⁻ Custo das mercadorias ⁻⁻ Equipamentos ⁻⁻ Diversificação de pratos ⁻⁻ Importante ⁻⁻ Qualidade ⁻⁻ Refeições vendidas ⁻⁻ Observação pessoal ⁻⁻ Mídia ⁻⁻ Higiene e limpeza Gestão da tecnologia da informação e da comunicação
60
⁻⁻ Tecnologia de operação (procedimentos) ⁻⁻ Custo de manutenção ⁻⁻ Equipamentos ⁻⁻ Jardinagem (manutenção) ⁻⁻ Instalações ⁻⁻ Quantidade de equipamentos funcionando ⁻⁻ Opinião dos clientes ⁻⁻ Desperdício ⁻⁻ Funcionários
⁻⁻ Observação pessoal ⁻⁻ Clientes (questionário) ⁻⁻ Importante ⁻⁻ Observância dos direitos e deveres dos funcionários ⁻⁻ Competências dos funcionários (postura, educação etc.) ⁻⁻ Custos ⁻⁻ Clima organizacional e relacionamento com os hóspedes ⁻⁻ Valores dos funcionários ⁻⁻ Opinião dos clientes ⁻⁻ Controle dos hóspedes ⁻⁻ Acompanhamento do fluxo de caixa diário ⁻⁻ Encarregados ⁻⁻ Observação pessoal ⁻⁻ Clientes (questionário) ⁻⁻ Importante Exercício... base na tabela do exercício anterior? Complete a tabela aproveitando os itens já preenchidos. Hotel
Informações estratégicas internas
Marketing (comercial)
- Ocupação do hotel
Alimentos e bebidas
- Relatório de itens abaixo do estoque mínimo
Administrativo - Índice de utilização da força de trabalho
61 Dado, informação e conhecimento
Que indicadores de desempenho podemos criar com
Veja as alternativas para preenchimento na lista a seguir: ⁻⁻ Índice de reservas ⁻⁻ Índice de queixas dos clientes ⁻⁻ Serviços oferecidos aos clientes ⁻⁻ Venda por empregado ⁻⁻ Relacionamento com a clientela ⁻⁻ Quantidade de trabalho corretivo ⁻⁻ Índice de perdas ⁻⁻ Tempo total de produção ⁻⁻ Número de novos métodos de produção adotados ⁻⁻ Economia de tempo e custos pelo emprego de novos métodos ⁻⁻ Número de reivindicações de empregados ⁻⁻ Número de acidentes ⁻⁻ Horas trabalhadas pelos empregados além do estabelecido ⁻⁻ Benefícios e incentivos ao trabalhador ⁻⁻ Realização de treinamento
Gestão da tecnologia da informação e da comunicação
62
⁻⁻ Lucro com porcentagem das vendas ⁻⁻ Vendas efetivas de produtos comparadas com as vendas previstas ⁻⁻ Faturamento ⁻⁻ Lucro por empregado ⁻⁻ Índices de dívida ⁻⁻ Pesquisa de clima organizacional
2.10 Conceito e dimensões da gestão do conhecimento (Knowledge Management - KM) Necessidade de se gerenciar bem o conhecimento interno da empresa Ataques terroristas
Decisões importantes
Finanças fraudulentas
Respostas a crises
Empresa Mudanças tecnológicas
Proatividade
Mercado competitivo
Saídas estratégicas
Quando se tem informações disponíveis para tomadas de decisão, é possível ser mais proativo ao invés de reativo, as decisões são tomadas com mais segurança pelo simples fato de se ter mais argumentos para superar as crises, além de ser possível a prevenção de desastres antevendo os acontecimen-
Mais importante que saber é descobrir novos conhecimentos na velocidade correta. Muitas empresas possuem quase toda a informação de que necessitam para se diferenciarem no mercado, para avançarem perante seus concorrentes. Elas estão distribuídas em documentos, e-mails, páginas WEB, relatórios, sistemas, na cabeça das pessoas. Além disso, a maioria das informações que uma empresa necessita está em formato digital. Contudo, poucas
63 Dado, informação e conhecimento
tos como em um jogo de xadrez.
empresas sabem como extrair a informação correta no momento necessário. O acesso rápido e eficiente às informações é fator fundamental de sobrevivência neste mercado globalizado. Não entender seu próprio conteúdo pode ser perigoso para seu negócio
Nessa linha, a gestão do conhecimento tenta conectar eficientemente “quem sabe” com “quem quer saber”, convertendo o conhecimento individual em conhecimento coletivo. Gestão do conhecimento é, então, um modelo de negócio que relaciona todos os aspectos de conhecimento dentro da empresa. Inclui criação, codificação, compartilhamento e uso do conhecimento, além de mostrar como estas atividades promovem aprendizado e inovação. Quando não se tem uma gestão focada no conhecimento, os trabalhos dentro de uma empresa são repetidos por diversas vezes em diferentes áreas, simplesmente porque é impossível rastrear e fazer uso de conhecimentos já obtidos em experiências anteriores. Para mudar esse cenário, as organizações precisam entender qual a sua base de conhecimento (fontes geradoras), e como gerenciar e fazer uso destes “recur-
Gestão da tecnologia da informação e da comunicação
64
sos” para obter um máximo retorno. A principal dificuldade que as organizações enfrentam nesse contexto é o compartilhamento do conhecimento: • Nivelamento do vocabulário ⁻⁻ Criar um glossário para garantir que o conhecimento será corretamente entendido. ⁻⁻ Sem esse alinhamento, não haverá a decodificação dos dados em informação no processo de transferência do conhecimento.
• Capacitação ⁻⁻ Deixar as pessoas aptas a identificar, modelar e tornar explícito seu conhecimento. • Definição da abrangência ⁻⁻ Compartilhar e reutilizar o conhecimento em diferentes aplicações e com vários tipos de usuários. Isso implica em compartilhar as atuais fontes de conhecimento e as futuras. • Disponibilidade ⁻⁻ Identificar os “recursos” de conhecimento e torná-los usáveis e gerenciáveis de maneira eficiente e eficaz. ⁻⁻ Definir métodos e ferramentas da engenharia do conhecimento para suportarem a captura, modelagem, validação, verificação e manutenção do conhecimento da empresa. • Motivação atos naturais: “Se meu conhecimento é valioso, por que compartilhá-lo?” “Se meu trabalho é manipular conhecimento, por que colocar-me em risco usando conhecimento dos outros ao invés do meu?” ⁻⁻ Todos devem estar altamente motivados a fazerem estas tarefas. Algumas empresas avaliam e recompensam o compartilhamento e uso do conhecimento.
65 Dado, informação e conhecimento
⁻⁻ Compartilhar e usar o conhecimento não são
• Criação de política interna ⁻⁻ Criar uma cultura que incentive o compartilhamento do conhecimento. ⁻⁻ Disponibilizar o acesso ao conhecimento da empresa e torná-lo disponível é importante, mas o sucesso do KM também requer atenção e comprometimento. Manter o processo vivo é tão difícil quanto implantá-lo.
Curiosidade... No IT Fórum 2010, os CIOs que estavam em um grupo de estudos de gestão do conhecimento foram unânimes quando falaram sobre a resistência enfrentada nas organizações. “As pessoas ainda usam as informações que detêm como forma de poder e para tentar se manter no cargo.” – esse é um trecho da reportagem que pode ser lida em: http://www.itweb.com.br/noticias/index.asp?cod=67463. Papéis hierárquicos na gestão do conhecimento Nível estratégico Continua exercendo papel fundamental na análise e plano de negócios correntes e conhecimentos necessários para futuros negócios
Gestão da tecnologia da informação e da comunicação
66
Nível tático Tem o papel de identificar e formalizar o conhecimento atual, adquirir novos conhecimentos, arquivá-los e criar sistemas de habilitar aplicações do conhecimento de forma efetiva e eficiente Nível operacional Tem o papel de identificar e formalizar o conhecimento atual, adquirir novos conhecimentos, arquivá-los e criar sistemas de habilitar aplicações do conhecimento de forma efetiva e eficiente
2.11 Tipos de conhecimento Para que uma organização possa obter os melhores ganhos no processo da gestão do conhecimento, é importante que ela conheça como estão organizadas e estruturadas as fontes de conhecimento que ela possui. Existem três formas de organização do conhecimento: • Conhecimento explícito É o conhecimento que já foi dito, escrito ou representado. Capturado em forma de textos, tabelas, diagramas ou qualquer outra forma de representação. Normalmente formal e sistemático. • Conhecimento implícito Esse é o conhecimento que pode ser expresso e representado, mas ainda não foi. • Conhecimento tácito sentado. “Nós sabemos mais do que podemos dizer”. Estes conhecimentos podem ser divididos em dois tipos de repositório: • Repositórios estruturados Bancos de dados em sistemas de informação. Garantem tranquilidade na forma de busca, pois possuem índices, palavras-chave, vocabulário controlado, tabelas de referência, modelos de dados etc.
67 Dado, informação e conhecimento
É aquele conhecimento que não pode ser dito ou repre-
• Repositórios não estruturados Servidores de WEB/Intranet, servidores de arquivos, servidores de e-mail, gerenciadores de documento etc. Armazenam relatórios, contatos, apresentações, documentos, planilhas, mensagens, gráficos etc. São pesquisados por textos livres. Aproximadamente 85% dos conteúdos nas empresas estão armazenados em repositórios não estruturados, que faz com que seja mais complexa e difícil a sua organização e classificação para fácil recuperação quando necessário. Os conhecimentos explícitos e implícitos que residem em cada colaborador de uma organização podem ser expressos e, consequentemente, podem ser armazenados em algum tipo de repositório (estruturado ou não estruturado). Já o conhecimento tácito torna as pessoas uma subdivisão do repositório não estruturado. O conhecimento é transmitido por meio de conversas informais ou experiências de trabalho. E como capturar as informações de transmissão de um conhecimento tácito? O conceito de um collaborate workplace pode ajudar nesse processo. Em vez de trafegar informações por e-mail ou verbalmente, a empresa deve criar canais de discussão online: Gestão da tecnologia da informação e da comunicação
68
• Comunidades online; • Discussões específicas; • Arquivos fáceis de encontrar; • Lugares para armazenar documentos e dicas; • Histórico de sucessos e fracassos.
Diferentes colaboradores necessitam de diferentes informações
Estratégico
Tático
Operacional
Informações estruturadas Informações não estruturadas
2.12 P rojetos da gestão do conhecimento Os principais passos para se implantar e tornar viva a gestão do conhecimento na organização são:
Onde estão? O que contêm? O que usam? Quais formulários usam? Como acessá-los? • Analisar como o conhecimento pode agregar valor Quais as oportunidades de uso dos recursos de conhecimento?
69 Dado, informação e conhecimento
• Identificar os “recursos” de conhecimento
Qual o efeito do seu uso? Quais os obstáculos para usá-los? Qual será o acréscimo de valor na empresa? • Especificar quais ações são necessárias para conseguir melhor usabilidade e adicionar valores Como planejar as ações para usar os recursos de conhecimento? Como decretar as ações? Como monitorar as ações? • Revisar o uso do conhecimento para garantir a adição de valores O uso adicionou o valor esperado? Como pode o recurso do conhecimento ser mantido para este uso? O uso criou novas oportunidades? Depois de implantado o KM, a empresa deve constantemente revisar o plano, criar novas categorias de conhecimento, identificar novas tecnologias para ganho dagens de gerenciamento e adaptar as políticas da gestão
Gestão da tecnologia da informação e da comunicação
de produtividade e/ou confiabilidade, avaliar novas abor70
do conhecimento às mudanças estratégicas. Em resumo: o KM nunca termina. Cobrir todos esses passos e manter o KM vivo na organização não é tarefa simples e barata. Toda implantação, reestruturação e sustentação do KM na organização envolve investimento da empresa, porém as seguintes questões devem ser avaliadas para decisão de quando e quanto investir:
• Qual o custo da falta de conhecimento? • Quanto custa aprender o que os funcionários-chave já sabiam? • Quanto custa não responder as questões de clientes rapidamente ou tomar decisões pobres baseadas em conhecimentos falhos? O ideal é tentar medir o custo do “não saber”.
Curiosidade... Em 1998, documentos de operação e manutenção de aeronaves do Boeing 747 requereram 310 milhões de pacotes de papéis. Se empilhados, representariam 39 km de papéis. Esse é um grande fator de importância para a gestão do conhecimento. Mais do que definir ferramentas tecnológicas, um projeto de KM em uma organização requer também estratégia e revisão de processos. No lado estratégico, o primeiro ponto a se observar é a gestão de mudanças (change management). A maioria das pessoas não está preparada para compartilhar seu so de convencimento deve ser trabalhado inicialmente com alguns incentivos, de forma a estimular o armazenamento e o uso das informações disponíveis. A política definida para controle do KM não pode ser intolerante a falhas, pois isso pode inibir alguém que tenha receio de expor seu conhecimento. A criação de um senso de confiança entre as pessoas também é bastante importante na construção de uma rede de conhecimentos.
71 Dado, informação e conhecimento
conhecimento para o bem maior da empresa. Esse proces-
REFERÊNCIAS DAVENPORT, T. Ecologia da informação. São Paulo: Futura, 2000. LESCA, H.; ALMEIDA, F. C. Administração estratégica da informação. Revista de Administração, São Paulo, v. 29, n. 3, pp. 66-75, jul./set. 1994. SETZER, V. W. Dado, informação, conhecimento e competência. 1999. Disponível em: http://www.ime.usp.br/~vwsetzer/ dado-info.html. Acesso em: 09 maio 2010.
Gestão da tecnologia da informação e da comunicação
72
Dado, informação e conhecimento 73
(3)
G overnanรงa em TI
Os objetivos da unidade são: abordar assuntos de governança focados na área de TI; explanar sobre abordagens de projetos em TI; conceituar a visão de custo total de propriedade; e garantir visão sobre processos de qualidade. O termo governança (governance) surgiu na década de 1990, quando o Banco Mundial passou a entender que um Estado eficiente não era aquele que se preocupava somente com o resultado econômico-financeiro. Era necessário também se preocupar com as dimensões sociais e políticas da gestão pública. O Banco Mundial define governança como o processo pelo qual a autoridade de um país é exercida. E complementa: os processos pelos quais os governos são selecionados, responsabilizados, monitorados e substituídos; a capacidade do governo para gerenciar os recursos, prover serviços eficientemente, e formular e implementar políticas e regula-
mentações sólidas; o respeito pelas instituições que governam interações econômicas e sociais. Na década de 2000, a expressão Governança Corporativa ganhou espaço a partir de escândalos financeiros em grandes empresas, principalmente nos Estados Unidos: Enron, WorldCom, Tyco, entre outras. Estes fatos foram fundamentais para o surgimento de leis que regem o mercado corporativo. Atualmente, empresas que demonstram grande aderência às regras de governança têm suas ações mais valorizadas. Isso é decorrente da maior transparência, controle e previsibilidade que estas empresas demonstram a seus acionistas e ao mercado.
Para leitura
Gestão da tecnologia da informação e da comunicação
78
Alguns links sobre o caso da fraude da Enron, que foi a grande alavanca para a existência da atual Governança Corporativa. Como funcionam as fraudes contábeis: http://empresasefinancas.hsw.uol.com.br/fraudes-contabeis2.htm O caso Enron: http://www.scribd.com/doc/6841023/O-caso-Enron Diretores da Enron são condenados por fraude: http://www. bbc.co.uk/portuguese/economia/story/2006/05/060525_ enronjulgmaentosmb.shtml
Para que as organizações consigam implementar toda sua governança (controle, transparência, integridade de informações etc.), é necessário um apoio fundamental da área de TI, fornecendo soluções técnicas e metodológicas que garantam e viabilizem todas essas necessidades. Esse processo é chamado de Governança de TI.
Para leitura O Banco Mundial, por meio do projeto Worldwide Governance Indicators (WGI), reporta indicadores de governança sumarizados e analíticos para 212 países e territórios desde 1996, em seis dimensões de governança: • Voice and Accountability (voz e responsabilidade); • Political Stability and Absence of Violence (estabilidade política e ausência de violência); • Government Effectiveness (eficácia governamental); • Regulatory Quality (qualidade de regulamentação); • Rule of Law (leis); • Control of Corruption (controle de corrupção). Os relatórios comparativos podem ser encontrados em: http://info.worldbank.org/governance/wgi/index.asp
3.1
Sarbanes-Oxley é o nome da lei criada por Paul Spyros Sarbanes, Senador Democrata de Maryland, e Michael Garver Oxley, Senador Republicano de Ohio. Dentre várias páginas, regras e controles da Sarbanes-Oxley, pode-se destacar: • Responsabilidade civil e criminal para Presidente (CEO) e Diretor Financeiro (CFO) das empresas; • Avaliação anual, pelos auditores externos, dos controles e procedimentos internos das empresas para emissão de seus relatórios financeiros, atestando sua eficácia;
79 Governança em TI
S arbanes-Oxley
• Advogados que venham a saber de uma violação legal por parte de seus clientes terão de relatar o ocorrido ao diretor jurídico, CEO e ao comitê de auditoria ou outros conselheiros; • Multas que variam de US$ 1 a 5 milhões, e penas de reclusão entre 10 e 20 anos para CEO e CFO. A lei possui 1.107 artigos, dos quais se destacam algumas seções: • Seção 302 – Responsabilidade pelos relatórios financeiros ⁻⁻ CFOs e CEOs devem garantir pessoalmente a divulgação de controles, processos e dados financeiros e não financeiros; ⁻⁻ Trimestralmente devem avaliar a efetividade dos controles, divulgar deficiências e atos de fraude.
Gestão da tecnologia da informação e da comunicação
80
• Seção 404 – Avaliação dos controles internos pela administração ⁻⁻ Para provar a efetividade dos controles; ⁻⁻ Deve ser formal e realizada anualmente por auditores externos. • Seção 409 – Real-time disclosure issues ⁻⁻ Divulgação imediata de dados que possam impactar a performance financeira da empresa.
Curiosidade... A Sarbanex-Oxley também é conhecida por duas de suas abreviações: Sarbox ou SOX.
3.2 A Governança Corporativa no Brasil Por que governança? Uma pesquisa publicada na McKinsey Quarterly revelou que dois terços dos investidores pagam até 16% a mais por uma ação se a empresa tiver uma boa Governança Corporativa. Pesquisa publicada na McKinsey Quarterly, que revela quanto os acionistas pagam a mais por ações de empresas com governança 100 90 80 70 60 50 Valor justo
Governança
Transparência Valor mercado
Pode-se verificar, na prática, essa diferença de valorização acompanhando a evolução dos dois principais índices da Bovespa (Bolsa de valores de São Paulo): • Ibovespa: mais importante indicador do desempenho médio das cotações do mercado de ações brasileiro. Sua relevância advém do fato do Ibovespa retratar o comportamento dos principais papéis negociados na BM&FBOVESPA e também de sua tradição, pois o
Governança em TI
81
índice manteve a integridade de sua série histórica e não sofreu modificações metodológicas desde sua implementação em 1968. (Fonte: www.bmfbovespa.com.br) • IGC: o Índice de Ações com Governança Corporativa Diferenciada (IGC) tem por objetivo medir o desempenho de uma carteira teórica composta por ações de empresas que apresentem bons níveis de Governança Corporativa. Tais empresas devem ser negociadas no Novo Mercado ou estar classificadas nos Níveis 1 ou 2 da BM&FBOVESPA. (Fonte: www. bmfbovespa.com.br) Pontos Ibovespa IGC Variação anual
2000
2001
2002
2003
15.259,20
13.577,50
11.268,40
22.236,30
1.000,00
1.011,00
1.026,90
1.845,40
2000
2001
2002
2003
-11,0%
-17,0%
97,3%
1,1%
1,6%
79,7%
2001
2002
2003
-11,0%
-26,2%
45,7%
1,1%
2,7%
84,5%
2001
2002
2003
Ibovespa IGC Variação acumulada
2000
Ibovespa
Gestão da tecnologia da informação e da comunicação
82
IGC Pontos
2000
IGC/Ibovespa Pontos Ibovespa IGC Variação anual
184,9% 2004
2005
2006
2007
26.196,30
33.455,90
44.473,70
63.886,10
2.545,00
3.658,80
5.169,70
6.800,60
2004
2005
2006
2007
Ibovespa
17,8%
27,7%
32,9%
43,6%
IGC
37,9%
43,8%
41,3%
31,5%
Variação acumulada Ibovespa IGC Pontos IGC/Ibovespa
2004
2005
2006
2007
71,7%
119,3%
191,5%
318,7%
154,5%
265,9%
417,0%
580,1%
2004
2005
2006
2007
215,6%
223,0%
217,8%
182,0%
Pontos
2008
2009
2010
37.550,30
68.588,40
63.043,50
3.697,10
6.779,60
6.432,20
2008
2009
2010
Ibovespa
-41,2%
82,7%
-8,1%
IGC
-45,6%
83,4%
-5,1%
2008
2009
2010
Ibovespa
146,1%
349,5%
313,2%
IGC
269,7%
578,0%
543,2%
2008
2009
2010
184,6%
165,4%
173,5%
Ibovespa IGC Variação anual
Variação acumulada
Pontos IGC/Ibovespa
Fonte: http://www.bovespa.com.br, acesso em: 6 jun. 2010
Crescimento Ibovespa: http://www.bmfbovespa.com.br/indices/ResumoTaxaMediaCrescimento.aspx?Indice=Ibovespa&idioma=pt-br Crescimento IGC: http://www.bmfbovespa.com.br/indices/ResumoTaxaMediaCrescimento.aspx?Indice=IGC&idioma=pt-br Afinal, o que é Governança Corporativa?
Pode-se entender, então, que a Governança Corporativa é o conjunto de práticas e relacionamentos entre acionistas ou cotistas, conselho de administração, diretoria, auditoria independente, conselho fiscal e partes interessadas, com a finalidade de: • Melhorar a gestão da companhia e o seu desempenho;
83 Governança em TI
“Governança corporativa é o conjunto de práticas que tem por finalidade otimizar o desempenho de uma companhia ao proteger todas as partes interessadas, tais como investidores, empregados e credores, facilitando o acesso ao capital.” CVM - Junho/2002
• Melhorar
o
processo
decisório
na
alta
administração; • Melhorar a imagem institucional; • Facilitar o acesso ao capital a custos mais baixos; • Contribuir para a perenidade da organização. Em 2004, o mercado brasileiro foi considerado mais avançado do que a maioria dos países emergentes com relação à Governança Corporativa (OCDE - Organização para a Cooperação e Desenvolvimento Econômico). Foram dados destaques para: reformulação da lei das S.A, criação dos níveis de Governança Corporativa da Bovespa, atuação do IBGC (Instituto Brasileiro de Governança Corporativa) e recomendações da CVM (Comissão de Valores Mobiliários). A CVM mantém uma cartilha de boas práticas de Governança Corporativa. Os temas principais abordados nessa cartilha são: • Transparência: assembleias, estrutura acionária, Gestão da tecnologia da informação e da comunicação
84
grupo de controle; • Estrutura e responsabilidade do conselho de administração; • Proteção a acionistas minoritários; • Auditoria e demonstrações financeiras.
Para leitura A cartilha da CVM pode ser encontrada em: http://www. institutoatkwhh.org.br/compendio/?q=node/37
3.3 G overnança de TI De acordo com o IT Governance Institute (http://www. itgi.org/), Governança de TI é “uma estrutura de relacionamentos e processos para orientar e controlar as empresas na busca de seus objetivos, adicionando valor e balanceando riscos e retornos da Tecnologia da Informação e seus processos”. Esse assunto está diretamente ligado ao nível de maturidade da organização. Relação da Governança de TI com a Governança Corporativa Direciona
Acionistas
Governança Gestores Governança Corporativa executivos de TI
Gestores de TI
Viabiliza Fonte: adaptado de Jesus (2007)
Existe certa confusão entre “Gerenciamento de TI” e “Governança de TI”. Um dos fatores críticos de sucesso (FCS) da Governança de TI é o alinhamento com a estratégia da organização. A direção executiva (c-level) define os objetivos de desempenho e de conformidade necessários para a empresa seguir seu crescimento (onde a empresa deve chegar). A Governança Corporativa determina os processos e contro-
Governança em TI
85
les para se buscar os objetivos estratégicos (por onde ir). E a Governança de TI fornece subsídios com ferramentas (sistemas) e infraestrutura de apoio aos processos, controles e regras corporativas (como ir). Para isso, é necessário implantar regras transparentes, métodos reconhecidos de mercado e landscape integrado. Dessa forma, a área de TI estará pronta para suportar as necessidades de negócio, sendo um diferencial para a organização.
Você sabia? (c-level) c-level é o nome dado à direção executiva da empresa. Ele é derivado da terminologia americana de cargos CxO, onde o x representa a área correspondente. Exemplos: - CEO – Chief Executive Officer - CFO – Chief Financial Officer - CIO – Chief Information Officer -…
Gestão da tecnologia da informação e da comunicação
86
Saiba mais em: http://en.wikipedia.org/wiki/Corporate_title.
Contexto da Governança de TI nas organizações Diretrizes estratégicas Objetivos estratégicos Metas de desempenho
Conformidade
Governança Corporativa Controles de indicadores
Processos e regras corporativas
Governança de TI Requerimentos de controle de TI Projetos Desempenho Outsourcing Segurança Serviços de TI Fonte: adaptado de Jesus (2007)
A política de gestão da Governança de TI deve se basear na regra de se fazer tudo o mais simples possível. Alguns passos podem ajudar nesse caminho: • Buscar o alinhamento com as áreas de negócio: ⁻⁻ Estipular objetivos que tragam reais resultados para o negócio. • Mapear projetos e serviços de TI: ⁻⁻ Identificar redundâncias e o que pode ser otimizado ou eliminado. • Estabelecer prioridades: ⁻⁻ Priorizar os projetos e serviços de acordo com a estratégia do negócio. • Acompanhar os resultados: ⁻⁻ Avaliar as políticas de governança constantemente e estipular metas mais factíveis à equipe.
Curiosidade... 87 Governança em TI
Em 2006, uma pesquisa realizada pela Archibald & Prado concluiu que a maturidade em TI das empresas brasileiras está com nota 2,4 em uma escala de 0 a 5. Essa mesma pesquisa detectou que o índice de sucesso em projetos de software não passava de 53%, com 26% dos projetos obtendo sucesso parcial, e 21% de fracassos. Outra pesquisa, realizada em 2009 pela Accenture e IDC, constatou que o Brasil ainda permanecia com nível 2,4, enquanto que a média mundial é 3. Esta avaliação se baseou nas melhores práticas de TI, como ITIL e COBIT. Ainda em 2009, Peter Weill, do MIT, constatou que apenas 38% das grandes corporações brasileiras têm projetos estruturados de Governança em TI, enquanto esse índice sobe para 95% quando se fala de governança na área financeira.
São três os pilares da Governança de TI: Pessoas, Processos e Tecnologia. É um ciclo virtuoso que potencializa os benefícios esperados pela Governança. As pessoas fazem proveito da tecnologia para executar os processos. A tecnologia suporta os processos de negócio, dando produtividade, agilidade e controle para as pessoas. Os processos direcionam as atividades das pessoas e, constantemente, exigem evoluções tecnológicas para diferenciações de mercado. Pilares da Governança de TI Pessoas usam a tecnologia para ganharem produtividade e controle
Pessoas
Pessoas usam os processos e estes direcionam o trabalho
Governança de TI
Gestão da tecnologia da informação e da comunicação
88
Processos
Tecnologia
A tecnologia suporta os processos e estes demandam mais tecnologia Fonte: o autor
Estudos de caso... Grupo Votorantim Na virada do milênio, o Grupo Votorantim tinha um grande desafio pela frente: processos e informações em diferentes sistemas, a área de tecnologia era independente em cada uma das empresas do grupo, não havia padrões de hardware, software, serviços e contratos. Em um esforço contínuo e integrado, o cenário passou do estágio de caos tecnológico para: padronização, integração e otimização de processos e de informações; simplificação da replicação local e global; compartilhamento de conhecimento e implementação de soluções eficiente e eficazes. O resultado foi uma redução de 30% nos custos de TI frente a um crescimento de três vezes nos negócios do grupo. Veja no link a seguir a reportagem completa que fala de casos do Grupo Votorantim, Banco Bradesco e Eaton. http://www.itweb.com.br/noticias/index.asp?cod=67478 Um processo de melhoria é esperado quando se trabalha com Governança de TI. E em cada estágio, deve-se atentar aos padrões e melhores práticas de mercado. Silva (2006) cita
1. Para onde queremos ir? Nesse momento, deve-se identificar a visão e os objetivos estratégicos da empresa, e traçar um plano de TI para suporte a esses objetivos. As ferramentas de apoio a esse processo são: • Benchmarking de mercado; • Análise de padrões, metodologias e normas de mercado: ⁻⁻ COBIT; ⁻⁻ ITIL; ⁻⁻ ISO 17799; ⁻⁻ PMBOK.
89 Governança em TI
quatro estágios:
2. Onde estamos? Avaliação da situação atual da área de TI na empresa. As ferramentas possíveis são: • Análise SWOT (Pontos fortes, pontos fracos, oportunidade e ameaças) da área de TI; • Pesquisas de satisfação com clientes; • Indicadores de desempenho. 3. Como chegamos lá? Sabendo-se onde a área de TI deve chegar e onde ela está no momento, será possível determinar o caminho a ser seguido e como ele será conquistado. Assim, será elaborado o desenho de arquitetura de aplicações e de infraestrutura de TI. Para isso, o conhecimento em padrões, metodologias e normas de mercado é fundamental. 4. Como saberemos que chegamos? “Não se pode gerenciar aquilo que não se pode medir” (autor desconhecido). Para saber se os objetivos foram alcanGestão da tecnologia da informação e da comunicação
90
çados, é necessário estipular métricas de avaliação. Garantir que a empresa esteja no caminho traçado e que os retornos previstos estejam sendo alcançados. O Balanced Scorecard é uma ferramenta útil nesse período de avaliação.
Processo de melhoria da área de TI em uma organização
Para onde queremos ir? Visão e objetivos
Benchmarking ITIL COBIT ISO 17799 PBMOK
Onde estamos?
Como chegamos lá?
Como saberemos se chegamos?
Desenho de TI
Avaliações
Análise SWOT
ITIL
Pesquisa de satisfação
COBIT
Indicadores de desempenho
ISO 17799
PMBOK
Métricas
BSC COBIT Management Guidelines
Ferramentas de apoio de gestão Fonte: adaptado de Silva (2006)
De acordo com o IT Governance Institute, o framework para a Governança de TI segue uma interação constante e repetitiva nos quatro estágios apresentados por Silva (2006). Governança em TI
91
Framework para Governança de TI Definir direção
Avaliação
Definir objetivos • TI direcionada ao negócio • TI apoiando o negócio e maximizando benefícios • Recursos de TI usados com responsabilidade • Riscos relacionados à TI gerenciados apropriadamente
Atividade de TI • Aumentar a automação (tornar o negócio eficaz) • Reduzir custos (tornar o negócio eficiente) • Gerenciar riscos (segurança, confiabilidade, conformidade)
Mediação de performance Fonte: IT Governance Institute
3.4 Gestão da tecnologia da informação e da comunicação
92
Padrões, metodologias e normas para Governança em TI ITIL - Information Technology Infrastructure Library Foi criado no final dos anos 1980 pela Central Computing and Telecommunications Agency. É composto por: • Service support (suporte de serviços); • Service delivery (entrega de serviços). O foco principal é a garantia do nível de serviço acordado com o cliente e, para isso, foca na documentação dos
processos para gerenciamento da infraestrutura de TI de forma eficiente e eficaz. É forte em processos de TI, mas limitado em segurança e desenvolvimento de sistemas. COBIT – Control Objectives for Information and Related Technology Focado em governança, controle e auditoria de Tecnologia da Informação, o COBIT foi criado na década de 1990 pelo ISACA (Information Systems Audit and Control Association) e é mantido atualizado. A última versão disponibilizada é a 4.1, também traduzida para o português. É composto por: • 4 domínios ⁻⁻ Planejamento e organização ⁻⁻ Aquisição e implementação ⁻⁻ Entrega e suporte • 34 objetivos de controle de alto nível ⁻⁻ Indicadores de performance ⁻⁻ Indicadores de metas ⁻⁻ Fatores críticos de sucesso ⁻⁻ Modelo de maturidade • 318 objetivos de controle detalhados É forte em controles de TI e métricas de TI, mas não possui um passo a passo (fluxos de processos). Não é tão forte em segurança.
93 Governança em TI
⁻⁻ Monitoramento
Lista dos 34 objetivos de controle do COBIT distribuídos nos 4 domínios Planejamento e organização P01
Definir um plano estratégico de TI e orientações
P02
Definir a arquitetura de informação
P03
Determinar o gerenciamento tecnológico
P04
Definir os processos de TI, organização e relacionamentos
P05
Gerenciar investimentos em TI
P06
Comunicar os objetivos de gerenciamento, orientar
P07
Gerenciar os recursos humanos de TI
P08
Gerenciar a qualidade
P09
Estimar e gerenciar os riscos de TI
P10
Gerenciar projetos Monitorar e avaliar
M1
Monitorar os processos
M2
Assegurar avaliação dos controles internos
M3
Obter avaliação independente
M4
Prover auditoria independente Entregar e dar suporte
Gestão da tecnologia da informação e da comunicação
94
DS1
Definir e gerenciar níveis de serviço
DS2
Gerenciar serviços de terceiros
DS3
Gerenciar performance e capacidade
DS4
Assegurar serviço contínuo
DS5
Assegurar Segurança de sistema
DS6
Identificar a alocar recursos
DS7
Treinar usuários
DS8
Gerenciar serviços de escritório e incidentes
DS9
Gerenciar a configuração
DS10
Gerenciar problemas
DS11
Gerenciar dados
DS12
Gerenciar o ambiente físico
DS13
Gerenciar operações
Adquirir e implementar AI1
Identificar soluções automatizadas
AI2
Adquirir e manter software de aplicação
AI3
Adquirir e manter infraestrutura de tecnologia
AI4
Habilitar operação de USO
AI5
Obter recursos de TI
AI6
Gerenciar mudanças
AI7
Instalar e credenciar soluções e mudanças
ISO 17799 A norma ISO 17799 é um conjunto de recomendações para prática da segurança da informação. Como ela traz apenas recomendações que podem não ser seguidas, não é possível uma empresa se certificar nela. Nesse caso, a empresa pode optar pela certificação na norma ISO 27001, que traz os requerimentos para sistemas de gestão da segurança da informação. Como cada empresa tem seus próprios requisitos de segurança, a norma não traz roteiros de implementação direta da segurança da informação.
O PMBOK (Project Management Body of Knowledgement Conjunto de Conhecimentos em Gestão de Projetos) foi criado pelo PMI, e está atualmente na sua 4ª Edição (2008 em inglês, e 2009 em português). Ele descreve 42 processos para a gestão de projetos, distribuídos em nove áreas do conhecimento na gestão de projetos: • Gerenciamento de integração do projeto; • Gerenciamento do escopo do projeto; • Gerenciamento do tempo do projeto; • Gerenciamento de custos do projeto;
95 Governança em TI
PMBOK
• Gerenciamento de qualidade do projeto; • Gerenciamento de recursos humanos do projeto; • Gerenciamento de comunicações do projeto; • Gerenciamento de riscos do projeto; • Gerenciamento das aquisições do projeto. Os mesmos 42 processos estão matricialmente distribuídos em cinco grupos de processos: • Grupo de processos de iniciação; • Grupo de processos de planejamento; • Grupo de processos de execução; • Grupo de processos de monitoramento e controle; • Grupo de processos de encerramento. Assim como o COBIT, o PMBOK não é um passo a passo para gestão de projetos. Ele apenas traz as melho-
Gestão da tecnologia da informação e da comunicação
96
res práticas de mercado e que devem ser avaliadas por cada empresa, em cada tipo de projeto. Balanced Scorecard Foi desenvolvido por Robert Kaplan e David Norton no início da década de 1990. De acordo com Kaplan e Norton (1997), é um modelo que se baseia em indicadores financeiros e não financeiros, distribuídos em quatro perspectivas: • Financeira; • Clientes; • Processos Internos; • Aprendizado e Crescimento.
3.5 M itos da Governança de TI Segundo Peterson (2003), existem alguns mitos referentes à Governança de TI: 1. Dizer que a responsabilidade da Governança de TI é do CIO Embora esse assunto seja um elemento essencial no port fólio de tarefas do CIO, este não é o responsável primário pelo assunto. Governança de TI deve ser encarada como uma responsabilidade compartilhada por toda a direção da empresa. Responsabilidade primária e secundária da Governança de TI Stakeholders Direção executiva
Clientes
Fornecedores de TI
Gerentes de negócio
Gerentes de TI
Fornecedores Fonte: Peterson (2003)
Governança em TI
97
2. Pensar que o foco da Governança de TI é a organização das funções de TI da empresa. A visão de que a área de TI possuía uma simples e homogênea função é obsoleta. Segundo Peterson (2003), isso mudou quando TI se difundiu nas organizações com, por exemplo, plataformas técnicas, centros de serviços de TI compartilhados e aplicações de negócio. As organizações contemporâneas têm um portfólio de funções de negócios e capacidades técnicas diferentes e interdependentes. O foco de TI não está mais na área de TI, mas em toda a organização. Portfólio de TI Aplicações de negócios incorporadas nos processos de negócio
Exemplo: • Processamento de pedido de seguro Exemplos: • Contabilidade • Orçamentação • ERP
Aplicações de TI compartilhadas e padronizadas
Gestão da tecnologia da informação e da comunicação
98
Serviços compartilhados de TI
Exemplos: • Padrões de arquitetuira de TI • Plano de segurança
Componentes compartilhados de TI
Exemplos: • Plataforma tecnológica • Redes de comuicação Fonte: Peterson (2003)
3. Achar que a Governança de TI é uma nova maneira de fazer a Gestão de TI Peterson (2003) diz que, embora possa parecer que exista uma pequena linha dividindo Governança de TI de Gestão de TI, existem diferenças fundamentais entre elas. Enquanto a Gestão de TI foca no eficiente e efetivo fornecimento de serviços e produtos de TI e na gestão da operação de TI, a Governança de TI tem dupla demanda:
(i) Contribuir para suportar as operações e a performance do negócio; (ii) Transformar e posicionar a TI para futuros desafios de negócio. E a Gestão de TI pode contratar fornecedores para operacionalizar parte de seus serviços, a Governança de TI é específica da organização e não pode ser relegada a terceiros.
Orientação no negócio
Externo
Limites da Governança de TI e Gestão de TI
Governança de TI
Interno
Gestão de TI
Presente Futuro Orientação no tempo
4. A Governança de TI foca na centralização da TI Peterson (2003) diz que a discussão sobre centralizar ou descentralizar a Governança de TI deve ser baseada em uma perspectiva racional da organização. Pode-se aplicar essa análise a cada uma das capacidades de TI, dentro de seu portfólio. Em geral, deve-se decidir entre ter eficiência e padronização sob a centralização ou eficácia e flexibilidade sob a descentralização.
Governança em TI
99
Tradeoffs da centralização e descentralização Governança centralizada
Governança descentralizada
Especialização
Resposta aos clientes
Propriedade de negócio
Flexibilidade
Direcionamento Sinergia Padronização
REFERÊNCIAS CVM. Recomendações da CVM sobre Governança Corporativa. 2002. Disponível em: www.cvm.gov.br/port/public/ publ/cartilha/cartilha.doc. Acesso em: 06 jun. 2010.
Gestão da tecnologia da informação e da comunicação
100
IT Governance Institute. Disponível em: http://www.itgi. org/. Acesso em: 15 maio 2014. JESUS, R. Governança de TI. Jul. 2007. Disponível em: http:// www.sucesurj.com.br/download/FuturoITIL200707/Comunicacao%20e%20GovernancaTI%20-%202.pdf. Acesso em: 23 maio 2008. KAPLAN, R. S.; NORTON, D. P. A estratégia em ação: Bal anced Scorecard. Rio de Janeiro. Campus. 1997. PETERSON, R. R. Information strategies and tactics for Information Technology Governance. In: GREMBERGEN, W. V.
(Org.). Strategies for Information Technology Governance. Idea Group Publishing, 2003. SILVA, K. L. Modelos de gestão e organização. 2006. Disponível em: http://www.si.lopesgazzani.com.br/docentes/katia/ AULA6MOD.pdf. Acesso em: 15 maio 2014.
Governança em TI
101
(4)
S istemas de Gest達o Empresarial (ERP)
O s objetivos da unidade são: explanar sobre os conceitos de um ERP; e apresentar características de um projeto ERP e seu impacto nas organizações. Sistemas Integrados de Gestão podem ser definidos como um software ou um conjunto de softwares capazes de integrar, em uma base de dados consolidada, todas as informações cadastrais e transacionais de uma empresa, disponibilizando informações, em tempo real, para tomada de decisões corporativas.
GLOSSÁRIO Cadastrais Todas as informações de cadastros básicos da empresa, como clientes, fornecedores, materiais, centros de custo etc.
Transacionais Informações geradas a partir de uma transação/operação da empresa, como partidas em aberto, ordens de venda, pedidos de compra, faturas, ordens de produção etc. O início dos Sistemas Integrados de Gestão ocorreu na década de 1970 com a sistematização do conceito MRP (Material Resource Planning - Planejamento de Recursos de Material). As empresas, preocupadas principalmente com a gestão de seus estoques, mantinham o foco na gestão de consumo de matérias-primas e componentes para produção de seus produtos acabados. As principais questões respondidas pelo MRP eram: • O que iremos fabricar? • O que precisamos para fabricar? • O que temos em estoque?
Gestão da tecnologia da informação e da comunicação
106
A evolução desse conceito trouxe, na década de 1980, o MRP II, que ampliou o foco principalmente para compras e vendas. Basicamente, a preocupação era trabalhar também as entradas e as saídas de um processo de produção: • Como planejaremos as vendas para absorver a nossa produção? • Qual a demanda de produção baseada em nossas vendas previstas? • Quais processos de compra precisamos realizar para suprir a demanda de produção? Consequentemente, o MRP II viabilizou uma visão mais integrada de finanças, em que o foco de “quantidades”
que existia até a fase de MRP passou para um foco de “valores” no MRP II. Nesse processo, houve a incorporação de um planejamento financeiro ao planejamento operacional. Na década de 1990, evoluindo o conceito anterior, surgiu o ERP (Enterprise Resource Planning - Planejamento de Recursos Empresariais), também chamado de Sistema de Gestão Empresarial. Além das áreas de produção, compras, vendas e finanças, foram incorporadas todas as demais áreas de negócio de uma empresa, como recursos humanos, manutenção, planejamento de projetos, controle de ativos, entre outras. As informações cadastrais e transacionais estavam totalmente integradas e prontas para gerarem bases sólidas de conhecimento aos níveis táticos e estratégicos das empresas. Souza e Zwicker (2003) fazem a seguinte observação referente à diferença entre os sistemas antigos de gestão (sistemas customizados) e o ERP:
Segundo Kale (2000), a tendência é a escolha dos pacotes ERP em vez de sistemas desenvolvidos, para não ser necessário recriar o que já foi criado para outras empresas. Mantendo o foco na empresa, mas expandindo suas fronteiras para manter o posicionamento na cadeia de valor e de suprimentos, Brian Zrimsek, diretor de pesquisas da Gartner, divulgou, em 2000, o conceito ERP II como “uma aplicação e uma estratégia de implementação para integrar tudo com foco central na empresa”.
107 Sistemas de Gestão Empresarial (ERP)
“(...) no passado os sistemas customizados eram desenvolvidos a pedido de um departamento da empresa. A visão destes departamentos era naturalmente limitada por sua responsabilidade operacional. Cada departamento definia seus dados de acordo com seus próprios objetivos e prioridades.”
Nessa linha, unem-se ao ERP alguns outros conceitos, tais como: • CRM - Customer Relationship Management (Gestão de Relacionamento com Clientes); • SRM - Supplier Relationship Management (Gestão de Relacionamento com Fornecedores); • SCM - Supply Chain Management (Gestão da Cadeia de Suprimentos).
Produção Finanças Estratégia Colaboração
Gestão da tecnologia da informação e da comunicação
108
Foco principal
Foco e abrangência de um ERP ERP II
ERP
MRP II
MRP
Departamento
Empresa
Corporação
Abrangência Fonte: adaptado de Colangelo Filho (2001)
4.1 Conceito de ERP Conhecendo a evolução de conceitos e nomenclaturas dos Sistemas Integrados de Gestão, pode-se discorrer um pouco sobre a abrangência de um ERP. Basicamente, analisar o que ele se predispõe a fazer.
Toda empresa trabalha por meio de processos. Estes podem ser explícitos ou implícitos; bons ou ruins; burocráticos ou livres de regras; mas sempre existem. Agregando fluxo de informações, responsáveis e atividades aos processos, obtemos um conjunto de procedimentos formatados. A qualidade e a quantidade desses procedimentos dependem do tamanho, estrutura, cultura e formação da empresa. Na aquisição e implantação de um ERP, a empresa adquire um conjunto de processos de negócio traduzidos de forma sistêmica.
GLOSSÁRIO Processos São as atividades que compõem o negócio da empresa.
São todas as atividades descritas de forma organizada. Com a sobreposição de processos, procedimentos e sistema ERP, temos as seguintes situações: • Procedimentos não formatados - processos que fluem de maneira tácita; • Procedimentos formatados - processos descritos de forma coerente; • Aderência - processos, procedimentos e sistema alinhados; • Melhores práticas - sistema que suplanta o processo e o procedimento, agregando valor; • Não aderência - sistema ERP que não atende às necessidades de negócio;
109 Sistemas de Gestão Empresarial (ERP)
Procedimentos
• Desenvolvimentos específicos — necessidades de customização de software para suprir necessidades não atendidas.
Contas a receber Tesouraria Contas a pagar
Faturamento Contabilidade Recursos humanos Fornecedores
Produção Suprimentos
Gestão da tecnologia da informação e da comunicação
110
Planejamento Produção
Vendas
Clientes
Principais áreas de negócio atendidas por um ERP
Fonte: Souza e Zwicker (2003)
A interação com clientes ocorre pelos módulos de Vendas e Contas a Receber; já a interação com fornecedores, pelos módulos de Suprimentos e Contas a Pagar. Essas interações podem ocorrer de maneira sistêmica ou manual, dependendo do nível de informatização e automatização dos parceiros de negócio envolvidos. Como principais características de um ERP, podemos destacar: • Modular - deve ser possível a seleção de um subconjunto de áreas de negócio a serem utilizadas. Não é necessário implantar o ERP em toda a empresa ou em todas as suas áreas de negócio. • Parametrizável - por meio da alteração de parâmetros existentes, as funcionalidades do software mudam de comportamento para melhor aderirem às mudanças • Customizável1 - deve existir a possibilidade de expansão de funcionalidades com alteração ou inclusão de código-fonte do sistema, seja pelo fornecedor, seja por um implementador do ERP.
1. A palavra customizável, utilizada neste capítulo, é derivada da palavra inglesa customer, e possui o sentido de “adaptar-se às necessidades dos clientes”. Apesar de não constar na maioria dos dicionários, é extremamente utilizada no contexto técnico.
111 Sistemas de Gestão Empresarial (ERP)
organizacionais e processuais das empresas.
4.2 S eleção do ERP Dada a diversidade de softwares ERP no mercado, como determinar o que melhor se adapta à empresa? Essa é uma questão com que se deparam executivos, diretores e gerentes na escolha de uma ferramenta que promete garantir a sobrevivência da empresa no âmbito operacional. Segundo Hoff Júnior et al. (1999), os executivos, certos de que as melhores práticas podem apoiar a sua empresa na busca de vantagens competitivas, possuem algumas expectativas com a implantação de sistemas ERP: • Garantia de melhores tomadas de decisão com base na informação certa no momento correto; Gestão da tecnologia da informação e da comunicação
112
• Meio propício para a integração entre as áreas de negócio da empresa, usando dados compartilhados e integrados; • Redução
nas
interfaces
entre
sistemas
e
informações; • Garantia de uso dos procedimentos definidos com mais transparência, baseado na definição sistêmica de responsabilidades e papéis. É importante afastar as ansiedades e destacar muito bem as necessidades de negócio da empresa para que seja possível manter o foco nos resultados. Sabe-se que existem muitas razões para que se decida pela implantação de um ERP (COLANGELO FILHO, 2001, p. 33), e, mesmo nos casos em que o motivo principal apenas é seguir uma tendência,
não trabalhar com objetividade pode fazer com que se perca parte ou todo o investimento realizado. Ciclo de vida de um ERP Fatores contingenciais
Decisão e seleção
Implementação
Pacote selecionado Plano inicial de implementação
Estabilização
Módulos customizados, dados migrados, usuários treinados
Utilização
Sistema ERP estabilizado
Fonte: adaptado de Souza e Zwicker (2003)
Alguns passos devem ser seguidos para a realização da seleção do ERP:
ção do ERP;
113
• Definição de metas mensuráveis para todo o
Sistemas de Gestão Empresarial (ERP)
• Designação de uma equipe responsável pela sele-
processo; • Formatação de uma lista de processos da empresa; • Classificação e validação de aderência aos processos levantados; • Identificação dos custos envolvidos em cada uma das soluções avaliadas; • Identificação de outros critérios, além dos critérios funcionais (lista de processos); • Definição da pontuação dos critérios não funcionais.
Metas e indicadores para implantação do ERP O início do processo seletivo de um ERP passa pela definição de metas. Existem objetivos mensuráveis a serem alcançados em todo o ciclo de vida de implementação do ERP, como: • Quais os níveis máximo e mínimo de aderência que se pretende ter no ERP? • Qual o investimento máximo possível e o fluxo de caixa de desembolso previsto? • Quanto tempo se pode esperar até obter o retorno do investimento realizado? • Quais as áreas de negócio que serão cobertas pelo uso do ERP? • Quais áreas precisam de maior retorno de produtividade com o ERP, e quais os ganhos esperados de produtividade por área de negócio?
Gestão da tecnologia da informação e da comunicação
114
• Por quanto tempo a fase de instabilidade será suportada até que o software permaneça estável? Lista de processos a serem cobertos pelo ERP A preparação da lista de processos da empresa pode ser uma atividade fácil ou difícil, dependendo da quantidade e qualidade de procedimentos formatados que a empresa possui. Pode ser necessário um projeto de revisão de processos nos cenários de maior dificuldade. Para que seja possível a equalização dos pacotes de software ERP, os fornecedores de ERP devem responder algumas questões para cada processo de negócio que necessita ser coberto pelo sistema:
• Qual o nível de aderência de cada processo? • A aderência é nativa ou necessita de customização? • Qual a complexidade da customização, se for o caso?
Subprocesso
Criticidade para negócio
Aderência
Solução customizada
Horas de esforço para customização
Processo Contas a receber
Alta
100%
Nota de crédito
Média
50%
Necessidade de adaptação do layout do documento
24h
Cobrança manual
Média
90%
Necessidade de adaptação do layout do documento
80h
Controle de crédito
Alta
100%
Lançamentos contábeis
Média
100%
Variação cambial
Baixa
Necessidade de adaptação do layout do documento
16h
Balancete
Média
115
(...)
100%
(...)
Custo de implementação do ERP Quando se avalia a questão financeira de uma implementação de ERP, é importante entender todas as variáveis que compõem o TCO (Total Cost Ownership - Custo Total de Propriedade). Esta é a expressão utilizada para descrever todos os custos incorridos na seleção, implementação, uso e
Sistemas de Gestão Empresarial (ERP)
(...)
Lançamentos pré-editados
(...) Contabilidade geral
Finanças e contabilidade
Área de negócio
Exemplo de tabela de avaliação de aderência do ERP
manutenção do ERP. São os custos associados a todo processo do ciclo de vida do sistema ERP. As empresas devem ter ciência de que o processo de implementação do ERP é composto com custos de: • Licenciamento do software (fornecedor do software); • Hardware para instalação do ERP (fornecedor do hardware); • Serviços
de
consultoria
e
implementação
(implementador); • Deslocamento interno de uma equipe para participação do projeto. Após o projeto de implementação, alguns outros custos completarão a composição do TCO:
Gestão da tecnologia da informação e da comunicação
116
• Manutenção anual a ser paga para o fornecedor do ERP; • Equipe de suporte para atendimentos de primeiro e segundo níveis. Essa equipe pode ser interna ou terceirizada; • Necessidades de atualizações de versão do pacote ERP. Outros critérios na seleção do ERP Colangelo Filho (2001) destaca alguns critérios para seleção do sistema ERP: • Escopo funcional e aderência; • Cobertura do escopo geográfico;
• Flexibilidade; • Conectividade; • Facilidade para integração; • Maturidade; • Facilidade de implementação e manutenção; • Tecnologia; • Custos; • Estabilidade econômico-financeira do fornecedor; • Suporte local do fornecedor. Além dos critérios citados, podemos também classificar e pontuar: • Idoneidade da empresa fornecedora do software; • Nível de satisfação dos clientes atuais do ERP;
Consolidando a seleção do software ERP Após realização de toda a bateria de testes e análises, sabe-se da dificuldade de encontrar um software que atenda perfeitamente às necessidades da empresa, sem deixar arestas descobertas. Porém, o trabalho intenso no processo de seleção deve identificar aquele que mais se aproxima do esperado pela empresa, usando os critérios de aderência funcional, custo total, idoneidade do fornecedor etc. Nessa seleção, caso se obtenha dois ou mais pacotes ERP com pontuação muito próxima, “(...) deve-se entender como empate técnico, que deverá ser resolvido em negociações diretas com os fornecedores ou, então, pela execução de uma nova bateria de apresentação e simulação, até não mais persistir o empate” (TONINI, 2003).
117 Sistemas de Gestão Empresarial (ERP)
• Facilidade do uso operacional do sistema.
Assim, como resultado final de todo esse processo, teremos: • Objetivos e metas claras a serem cumpridos em todo processo de implementação do ERP; • Lista de processos, classificados com as informações referentes ao ERP selecionado: nível de aderência dos processos, expectativa de esforço para novas funcionalidades não atendidas atualmente pelo ERP, criticidade para o negócio de cada um dos processos; • Documento com a consolidação das justificativas pela seleção do pacote ERP.
4.3
Gestão da tecnologia da informação e da comunicação
118
Projeto de implementação de ERP Ciclo de vida de um projeto ERP Pode-se definir um ciclo de vida padrão para os projetos de implementação de ERP. Cada fornecedor de software traz consigo uma metodologia de implementação predefinida, com passos bem atrelados ao software que desenvolveram, mas é possível generalizar o ciclo de vida dos projetos em algumas fases básicas: • Preparação do projeto; • Levantamento; • Construção; • Preparação final; • Implantação.
Preparação do projeto planejamento inicial
Levantamento Construção desenho da realização solução
Preparação final testes e treinamento
Implantação suporte e produção
O uso contínuo do sistema faz com que a empresa cresça em maturidade, ocasionando a necessidade de novas implementações, como novos módulos, ou funcionalidades, de adaptação a diferentes cenários de negócio, a mudanças causadas por alguma nova lei etc. Assim, vê-se uma adaptação do conceito trazido por Souza e Zwicker (2000) sobre o ciclo de vida de sistemas ERP. Implementações sucessivas de um ERP, agregando funcionalidades ao sistema Fase 1
Decisão e seleção
Implementação
Utilização Novas necessidades Conhecimento adquirido Parâmetros já estabelecidos
Implementação
Utilização
Implementação
Utilização
Fase n
Curiosidade... Normalmente, o landscape de um ERP é composto por três ambientes distintos: desenvolvimento, qualidade (ou homologação) e produção. O primeiro é utilizado para se desenvolver e parametrizar todo sistema, possui muitos testes de cenários para se chegar ao processo definitivo e, por isso, pode conter dados não muito confiáveis. O segundo, de qualidade, possui somente as parametrizações e desenvolvimentos que foram validados no ambiente de desenvolvimento e tem dados mais consistentes, muitas vezes, replicados do ambiente de produção.
119 Sistemas de Gestão Empresarial (ERP)
Fase 2
O terceiro ambiente é utilizado como ambiente produtivo, contendo todos os dados mestres e transacionais da organização. Frentes de trabalho As frentes de trabalho em um projeto de ERP surgem de maneira matricial em relação ao seu ciclo de vida e se baseiam nas três principais áreas de transformação da empresa: processos, tecnologia e pessoas. Frentes de trabalho em um projeto de ERP Preparação do projeto
Processos
Tecnologia
Levantamento
Construção
Preparação final
Implantação
Gerência do projeto Redesenho de processos Tecnologia da Informação
Gestão da tecnologia da informação e da comunicação
120
Pessoas
Gerência da mudança Treinamento Fonte: adaptado de Colangelo Filho (2001)
4.4 G erência do projeto Analisando casos de implementação de ERP, vê-se que não há regra quanto à origem e à formação do gerente de projetos escolhido pelas empresas. Independentemente da função anterior (gerente de TI, controller, gerente financeiro, gerente de produção etc.), o importante é que a pessoa esco-
lhida pela organização para ser o responsável pelo projeto tenha como características básicas: • Conhecimento da estrutura da empresa; • Reconhecimento de seu papel pela alta direção; • Perfil de liderança; • Ser organizado e manter o controle das informações. Durante o projeto, é papel fundamental do gerente de projetos fazer com que os fornecedores selecionados cumpram seu papel na caminhada para o sucesso. Deve fazer com que todos entendam que o barco é único e que, se afundar, todos terão consequências negativas. Para auxiliar nesse processo, Colangelo Filho (2001) destaca uma tabela com os papéis dos três principais fornecedores em um projeto de ERP (software, hardware e implementação).
Curiosidade... O mercado de fornecedores de ERP tem se consolidado cada vez mais. Em 2003, a Peoplesoft adquiriu a JDEdwards e, em 2005, a Oracle adquiriu a Peoplesoft. Em 2006, a Totvs montou um grupo formado pela Microsiga e RM Sistemas. Mais tarde, adquiriu também a Datasul. A SAP, maior empresa de ERP no mercado mundial, constantemente adquire empresas menores, com soluções focadas em nichos, para aumentar cada vez mais seu port fólio de produtos.
Sistemas de Gestão Empresarial (ERP)
121
Papéis dos fornecedores em um projeto ERP Domínio
Fornecedor do sistema
Implementador
Fornecedor de equipamentos
Processo
Apoio limitado sobre pessoas
Responsável pela gerência, redesenho de processos e confirguração
---
Tecnologia
Apoio em instalação e tuning
Apoio para TI e desenvolvimento de procedimentos
Fornecimento da infra-estrutura
Pessoas
Fornecimento de treinamento pré-implementação
Apoio em gestão de mudanças e treinamentos no sistema configurado
Treinamento em operação e infra-estrutura
Fonte: Colangelo Filho (2001, p. 58)
Se, por um lado, a origem do gerente de projetos não segue uma regra, pode-se dizer que a visibilidade criada sobre gestores de projetos bem-sucedidos é muito alta. Muitos, após o encerramento do projeto e estabilização do sistema, ganham novas posições em suas empresas.
Gestão da tecnologia da informação e da comunicação
122
4.5 E stratégia de implementação Os pacotes ERP são muito flexíveis no que diz respeito às formas de implantação. Assim, cabe à equipe de gestão do projeto a definição de como será o fluxo deste, e quais as principais diretrizes a serem seguidas. A primeira decisão a ser tomada se refere à abrangência do escopo. Será um projeto de implantação em todas as áreas de negócio (um projeto Big Bang) ou um projeto Modular, no qual somente algumas áreas funcionais farão parte do escopo? Se a decisão for por uma implementação Modular, deve-se considerar que, em muitos casos, a existência de rela-
ções de dependências entre os módulos funcionais em um ERP exigirá uma parametrização básica em alguns módulos não escolhidos. Vantagens e desvantagens da implementação Big Bang ou Modular Big Bang
Vantagens
Desvantagens
• Menor prazo de implementação. • Maior motivação das pessoas. • Elimina o desenvolvimento de interfaces. • Gera o senso de urgência, que facilita o estabelecimento de prioridades. • Melhora a integração entre os diversos módulos.
• Aumenta o risco de parada total da empresa. • Difícil retorno ao sistema anterior. • Exige grande esforço da equipe na etapa de estabilização. • Concentração de recursos durante o projeto.
Modular • Menor risco de parada total • É necessário o desenvolvi-
mento de interfaces. • Não há envolvimento de toda a empresa. • Requisitos de módulos futuros são ignorados. • Módulos em implementação acarretam mudanças em módulos estabilizados. • Simultaneidade dos processos das etapas de implementação e estabilização. • Possível perda de foco do projeto. • Maior movimentação de recursos humanos.
Fonte: Souza e Zwicker (2002)
Um segundo ponto a ser definido é sobre a abrangência geográfica. Toda a empresa iniciará a operação de uma única vez ou as implementações serão sequenciadas? A implantação de todos os módulos em uma unidade piloto é, no entanto, denominada por Souza e Zwicker (2002) Small Bang. O terceiro ponto a se definir é quem fará parte da equipe de implementação do projeto. Existem três possibilidades para definição da equipe de trabalho:
123 Sistemas de Gestão Empresarial (ERP)
da empresa. • Pode-se voltar atrás em caso de problemas. • Menor concentração de recursos ao longo do projeto. • Módulos “funcionando” aumentam confiança no desenvolvimento dos subsequentes. • Menor intervalo de tempo entre a modelagem e utilização de cada módulo.
• Utilizar somente recursos internos; • Contratar uma consultoria especializada na implementação de projetos ERP; • Mesclar uma equipe com pessoas internas e com consultores. A equipe mais rica para implantação do ERP será aquela formada por integrantes internos e externos. Aquela que reúne conhecimento dos processos de negócio da empresa aos conhecimentos externos trazidos pelos consultores. Uma consultoria de implementação traz consigo, entre outras coisas, metodologia de implementação comprovada, gerentes experientes na condução de um projeto de ERP, consultores com bagagem de outros projetos. A escolha da equipe interna também é de extrema importância. Pessoas com conhecimento da organização e que sejam reais porta-vozes das suas
Gestão da tecnologia da informação e da comunicação
124
áreas de origem fazem parte dos fatores críticos de sucesso de um projeto. Por fim, um quarto ponto de decisão importante no projeto é a forma de migração das informações do sistema antigo (sistema legado) para o ERP, também chamado de plano de cut-over. Na migração, devem ser transferidos os dados de cadastro (clientes, fornecedores, materiais etc.) e os dados transacionais em aberto (saldo de contas, partidas em aberto, ordens de venda, pedidos de compra não encerrados etc.). Dados transacionais históricos normalmente não são migrados, permanecendo em seu sistema nativo apenas para consulta. Algumas empresas negociam com clientes e fornecedores para antecipar ou postergar registros de vendas, compras, pagamentos, recebimentos, entregas etc.
4.6 G estão de mudanças Apesar de toda a evolução que o ERP sofreu nesses últimos anos, é imprescindível dizer que ele não resolve os problemas internos de processos e procedimentos da empresa. Se esta não tiver seus processos de negócio e os papéis e responsabilidades de cada função na organização claramente definidos, não adianta esperar que o ERP seja a solução dos problemas. É comum projetos fracassarem porque, durante a implementação, o foco incidiu somente na solução sistêmica, e não na mudança das pessoas. Segundo Hehn (1999), “(...) é um engano imaginar que as pessoas só resistem às mudanças ruins. Para grande parte ça, causa grande desconforto”. Isso ocorre porque existe uma
125
aversão natural ao desconhecido. As pessoas tendem a per-
Sistemas de Gestão Empresarial (ERP)
das pessoas, mudar, independentemente do tipo de mudan-
manecer em sua zona de conforto, uma vez que conhecem e dominam todas as situações. Por isso, gestão de mudanças tem um papel fundamental na continuidade da empresa após a implementação. Hehn (1999) diz ainda que as organizações que souberem administrar melhor as mudanças terão significativas vantagens competitivas. Para chegarem a esse estágio, as empresas precisam entender a necessidade de sair do modelo tradicional, departamental, para trabalharem sob um modelo orientado a processos. De nada adiantará a implementação de um sistema totalmente integrado se as pessoas só se imaginam trabalhando isoladamente e de forma departamental.
4.7 Fatores críticos de sucesso Fatores críticos de sucesso (FCS) são itens que podem determinar o sucesso ou o fracasso de um projeto, dependendo do alcance ou não dos seus objetivos. Deve-se trabalhar sempre para manter os FCS sob controle, e esse acompanhamento pode ser estruturado com base na medição contínua de indicadores predefinidos para cada fase do projeto. Segundo Colangelo Filho (2001), os principais FCS em uma implementação de ERP, em ordem de importância, são: • Envolvimento do usuário; • Apoio da direção;
Gestão da tecnologia da informação e da comunicação
126
• Definição clara da necessidade; • Planejamento adequado; • Expectativas realistas; • Marcos intermediários; • Equipe competente; • Comprometimento; • Visão e objetivos claros; • Equipe dedicada. A partir dos FCS definidos para o projeto de implementação do ERP, determinam-se indicadores de desempenho (Key Performance Indexes - KPIs) que auxiliarão no processo de medição do desempenho do projeto.
Fase do projeto
FCS
KPI Alta administração participou da determinação dos objetivos e metas do projeto? Alta administração definiu quem serão os recursos do projeto?
Apoio da direção
Está formado o comitê diretivo do projeto de implementação do ERP? O patrocinador do projeto é ligado ao principal executivo da organização? A alta administração apoia/incentiva o processo de mudança?
Preparação do projeto
(...) A equipe do projeto está designada?
Existe planejamento de alocação de equipe externa, trazendo conhecimento e experiências de outros projetos? (...)
É papel fundamental do gerente de projetos o controle sobre esses indicadores para minimizar as chances de insucesso do projeto ERP.
Curiosidade... Antes de terminar o processo de implementação, todas as customizações realizadas no ambiente do ERP devem ser validadas. Existem, pelo menos, cinco tipos de testes que podem ser realizados para garantir integridade e confiabilidade do Sistema: • Testes unitários – cada parametrização ou desenvolvimento é testado de maneira isolada, sem a preocupação de possíveis efeitos colaterais em outros processos. • Testes integrados – teste de cenários de maneira integrada, simulando os processos reais da empresa.
127 Sistemas de Gestão Empresarial (ERP)
Equipe competente
A equipe do projeto possui conhecimento dos processos de negócio da empresa?
• Testes de regressão – repetição dos testes integrados para cenários que, depois de já terem sido validados, podem sofrer influências de implementações posteriores. • Testes de estresse – testes com grandes volumes de dados, para verificar o comportamento de performance do sistema. • Testes de aceitação – testes realizados com o cliente para validação dos cenários implementados. Normalmente seguem o roteiro de testes dos testes integrados.
4.8 Trabalho contínuo pós-implementação Gestão da tecnologia da informação e da comunicação
128
Inicialmente, a empresa deve perseguir a concretização de todos os benefícios previstos. É importante que os indicadores de desempenho projetados para o final do projeto sejam acompanhados e que haja sempre alguém responsável na corporação por essa atividade. Existem alguns fatores que podem resultar em queda de performance na utilização do ERP: • Insegurança na execução dos processos; • Desconfiança do novo sistema; • Comparações com o sistema antigo; • Medo de perder o emprego ou o espaço adquirido na empresa.
Durante esse período, a vida do ERP continua e, basicamente, três grandes caminhos devem ser seguidos pelas empresas: • Manter o ERP operacional; • Agregar valor ao ERP; • Expandir as fronteiras do ERP. Manter o sistema operando significa ter uma equipe que possa suportar continuamente os usuários finais para que os processos da empresa não parem. Monitoramento, treinamento, correções e ajustes a novos cenários fiscais são algumas das atividades que se enquadram nesse cenário. Nesse momento, trabalhar proativamente pode ser muito menos custoso do que trabalhar de modo reativo. Qual o custo de termos a produção ou as vendas paradas por um problema to contínuo? O processo de agregar valor ao ERP ocorre por meio do trabalho de análise do mercado, das necessidades da empresa e das potencialidades oferecidas pelo ERP. É trabalhar pesquisando, por exemplo, uma melhoria em processo para aumentar a produtividade, reduzir custo ou obter algum outro ganho. Cada nova versão do ERP é um grande potencial de análise para validações de ganhos. Nessa categoria, são também consideradas as implementações de novos módulos que não fizeram parte do projeto inicial do ERP. Por fim, é preciso expandir as fronteiras do ERP, e isso significa aumentar a interação com parceiros de negócio. O sistema integrado de gestão sai das barreiras das áreas funcionais e absorve conceitos novos. Customer Relationship Management (CRM), Supply Chain Management
129 Sistemas de Gestão Empresarial (ERP)
que poderia ter sido detectado em análises de monitoramen-
(SCM), Supplier Relationship Management (SRM), Vendor Managed Inventory (VMI), Business Intelligence (BI), entre outros, são conceitos usados para potencializar o domínio de gestão das empresas. O grande desafio de cada empresa é entender o seu próprio grau de maturidade, bem como o de seus parceiros, para identificar o momento certo de investir nessas novas funcionalidades. Montar a estratégia de ERP II em uma empresa pode exigir que se trabalhe com mais de um fornecedor de soft ware. Entra a necessidade de decisão entre manter uma plataforma única, com um único fornecedor, ou partir para soluções específicas, com funcionalidades mais direcionadas ao negócio.
REFERÊNCIAS
Gestão da tecnologia da informação e da comunicação
130
BANCROFT, N. H. et al. Implementing SAP R/3. 2nd ed. Greenwich: Manning Publications, 1998, p. 310. BERGAMASCHI, L.; REINHARD, N. Implementação de sistemas para gestão empresarial. In: ENCONTRO NACIONAL DOS PROGRAMAS DE PÓS-GRADUAÇÃO EM ADMINISTRAÇÃO — ENANPAD, 24. Anais... Florianópolis, 2000. COLANGELO FILHO, L. Implantação de sistemas ERP. São Paulo: Atlas, 2001. GAMBÔA, F. A. R. Fatores críticos de sucesso na implementação de sistemas integrados de gestão de recursos. In: SIMPEP - SIMPÓSIO DE ENGENHARIA DE PRODUÇÃO, 10. Anais… Bauru: UNESP, 10-12 nov. 2003.
HEHN, H. F. Peopleware: como trabalhar o fator humano nas implementações de sistemas integrados de informação (ERP). São Paulo: Gente, 1999. HOFF JUNIOR, A. et al. Considerações para implantação de um sistema de gerenciamento integrado. São José dos Campos: FAAP, 1999. KALE, V. Implementing SAP R/3: the guide for business and technology manager. Indianapolis: Sams Publishiny, 2000. RODRIGUES JUNIOR, W.; MARQUES, F. P. Sistemas integrados de gestão. In: CARVALHO, A. P. (Org.). MBA Executivo. São Paulo: Editora Saraiva, 2008. SOUZA, C. A.; ZWICKER, R. Sistemas ERP: conceituação, ciA.; SACCOL, A. Z. (Org.). Sistemas ERP no Brasil: teoria e
131
casos. São Paulo: Atlas, 2003.
Sistemas de Gestão Empresarial (ERP)
clo de vida e estudos de casos comparados. In: SOUZA, C.
___________________________. Big-bang, small-bangs ou fases: estudo dos aspectos relacionados ao modo de início de operação de sistemas ERP. In: ENCONTRO NACIONAL DOS PROGRAMAS DE PÓS-GRADUAÇÃO EM ADMINISTRAÇÃO — ENANPAD. Anais... Salvador: ANPAD. 2002. ____________________________. Ciclo de vida de sistemas ERP. Caderno de Pesquisas em Administração, São Paulo, v. 1, n. 11, 1º trim. 2000. TONINI, A. C. Seleção de pacotes ERP. In: SOUZA, C. A.; SACCOL, A. Z. (Org.). Sistemas ERP no Brasil: teoria e casos. São Paulo: Atlas, 2003.
(5)
C iclos de vida de software
O s objetivos da unidade são: explorar os conceitos de ciclo de vida de software; mostrar as diferenças entre os tipos de ciclo de vida e os modelos de ciclo de vida em software; e abordar a visão de custo total de propriedade (TCO - Total Cost of Ownership). Quando aplicado aos seres vivos, ciclo de vida é um termo claro, simples, sem subjetividade, e que representa o processo da vida do início ao fim, passando por nascer, crescer, reproduzir, envelhecer e morrer. Já quando aplicado à tecnologia e, principalmente, ao desenvolvimento e à evolução de um software, existe grande mistura (e até um pouco de confusão) de conceitos. Apesar de não ser algo concreto ou palpável, um software pode ser considerado um produto para determinação de seu ciclo de vida. Na década de 1920, iniciou-se o uso do conceito de ciclo de vida
de produto, focando, principalmente, na indústria automobilística, e foi expandido para todos os demais setores de mercado. Contudo, pode-se dizer que o ciclo de vida de um soft ware é composto por outros ciclos menores, que são utilizados para o processo de criação, evolução e implantação do software. Cada um desses ciclos possui modelos de referência e podem facilitar sua composição e implementação. O correto entendimento do processo de elaboração, sustentação e evolução de softwares auxilia a administração geral da organização.
5.1
Gestão da tecnologia da informação e da comunicação
136
C iclo de vida de projeto de software Segundo o PMI (Project Management Institute), em seu Guia do Conjunto de Conhecimentos em Gerenciamento de Projetos, o PMBOK (Project Management Body of Knowledge), projeto é um esforço temporário empreendido para criar um produto, serviço ou resultado exclusivo. Com intuito de criar um software, as empresas realizam projetos de desenvolvimento de software e estes podem ser desenvolvidos por diversas razões. Entre elas: • Venda do software a terceiros, pessoas físicas ou jurídicas; • Venda de um serviço que está baseado no software; • Suporte a um processo ou área internos da empresa, para ganho de produtividade e agilidade.
Ainda segundo o PMI, o ciclo de vida de um projeto é o conjunto de suas fases, a maneira com as quais elas se relacionam, e seus entregáveis, conectando o início ao fim de um projeto. Especificamente no ambiente de desenvolvimento de software, o ciclo de vida determina macroetapas que precisam ser seguidas para que a construção do produto final seja consistente. Cada empresa desenvolvedora de software determina a sua própria metodologia de gestão de projetos, mas a linha base para essa metodologia se baseia em alguns modelos padrão, que contemplam os seguintes passos: • levantamento de requisitos; • desenho e construção;
Dentre os mais comuns ciclos de vida de um projeto de software, destacam-se: 1. Cascata Consiste em um modelo em que as etapas são feitas de forma sequencial. A construção é feita por funções, que são testadas individualmente e, por isso, a visualização do sistema completo e os testes só podem ocorrer ao final. Exemplo de modelo em cascata Análise Projeto Codificação Testes Implantação Fonte: o autor
137 Ciclos de vida de software
• treinamento e implantação.
Criado pela primeira vez na década de 1970, esse modelo necessita da finalização de uma fase para o início da próxima. A grande vantagem desse modelo é certeza de que o modelo estará definido antes de se passar para o estágio de desenvolvimento, mas a desvantagem é apresentada pela falta de flexibilidade a mudanças. 2. Incremental Esse modelo é caracterizado pela repetição de vários ciclos do modelo cascata, resultando em um modelo evolutivo do software. O principal desafio é o pensamento global do software, para que seja possível incrementá-lo sem que seja necessário remendá-lo.
Gestão da tecnologia da informação e da comunicação
138
Exemplo de modelo incremental, com n-interações Análise global Primeira interação Análise Projeto Codificação Testes Implantação
Segunda interação Análise Projeto Codificação Testes Implantação
n-ésima interação Análise Projeto Codificação Testes Implantação
Software versão x.0 Software versão x.1 Software versão x.(n-1)0 Tempo Fonte: o autor
A grande vantagem desse modelo é a possibilidade de se ter um produto executável (uma versão de software) pronta para o uso antes do final do projeto de desenvolvimento.
3. Espiral É um modelo formado por pequenos ciclos, que passam por planejamento, avaliação, construção e validação. De forma evolutiva, o software é criado. Exemplo de ciclo de vida espiral
Avaliação
Validação
Construção
�
Planejamento
Para leitura...
139
Como complemento de leitura de ciclo de vida de projeto de software: http://www.macoratti.net/proc_sw1.htm
Ciclos de vida de software
Fonte: o autor
Esse modelo é bastante indicado quando não se tem uma total certeza do modelo global do software e, por isso, ele pode ser criado em um processo top-down, iniciando pelas definições-macro e partindo para os ciclos de detalhamento.
5.2 C iclo de vida de implantação de software A implantação de uma aplicação de mercado em uma organização normalmente vem aliada à necessidade de melhoria no negócio, que deve ser suprida pelo produto em questão. Alguns exemplos de aplicações:
• ERP - Sistemas de Gestão Empresarial; • Sistemas de Business Intelligence; • Aplicações de CRM - Customer Relationship Management; • Soluções de portais corporativos e gestão de conhecimento; • Sistemas de frente de loja; • Entre outros. Neste caso, com o foco na organização que utilizará o software criado por alguma Software House, o ciclo de vida do software iniciará com um projeto de implantação do software (em vez do projeto de criação). As fases mais comuns nesse tipo de projeto envolvem: Gestão da tecnologia da informação e da comunicação
140
• Análise de aderência Identificar os deltas entre o que o software oferece e o que a empresa necessita. • Parametrização/adaptação Configurar o software para funcionar de acordo com as necessidades da empresa. • Testes de validação Realizar testes de funcionalidade, de volume e de performance para garantir que a aplicação estará pronta para utilização. • Treinamento Capacitar as pessoas que utilizarão o sistema. • Implantação Colocar o sistema em funcionamento, carregando os seus dados iniciais e garantindo que ele estará estável e pronto para uso.
Exemplo de ciclo de vida para implantação de software Análise de aderência
Parametrização e adaptação
Teste de validação
Treinamento Implantação
Fonte: o autor
Ao final, é importante garantir o pleno funcionamento da aplicação. Para isso, devem-se identificar as necessidades de suporte e atualização do software. Pode ser necessário designar uma equipe que fará atendimento de dúvidas sobre a utilização ou que reportará erros à equipe de correção de software. Porém, isso dependerá de características do sistema e da empresa.
C iclo de vida de software Em uma visão global de uma aplicação, vemos interações entre os ciclos de vida apresentados até o momento. No momento da criação ou da evolução, o ciclo de vida de projeto de software é utilizado. A definição de um plano evolutivo do software é conhecida como roadmap. Em linhas gerais, é um mapa que indica quais as características serão encontradas em cada uma das versões futuras do software. Isso inclui novas funcionalidades e mudanças de arquitetura, entre outros. As perspectivas de mercado, avaliadas pela equipe de P&D (Pesquisa e Desenvolvimento), são as entradas para preparação desse mapa. Assim existirá a garantia de que a aplicação tenha aderência nas suas próximas versões.
141 Ciclos de vida de software
5.3
Exemplo de roadmap da SAP para seu ERP
Esse mapa foi traçado em 2006, para as próximas versões do software a partir dessa data.
Para leitura...
Gestão da tecnologia da informação e da comunicação
142
Para saber mais sobre roadmaps de aplicação, leia o artigo do link a seguir, em inglês: http://gpsobsessed.com/symbian-foundation-releases-platform-roadmap-for-future-symbian-os-versions/ O ciclo de vida do software é formado, então, por várias interações do ciclo de vida de projeto de software. A partir de cada uma dessas interações, surge uma nova versão do software.
Evolução do software
Exemplo de ciclo de vida do software Avaliação de mercado
Projeto de melhoria do software
Software versão 4.0
Avaliação de mercado
Projeto de melhoria do software
Software versão 3.0
Avaliação de mercado
Projeto de melhoria do software
Software versão 2.0
Análise de viabilidade do software
Projeto de software
Software versão 1.0
Ciclo de vida do projeto do software Ciclo de vida do software
Tempo
Fonte: o autor
Uma empresa que decide comprar e implantar uma Com as constantes mudanças no mercado e nos negócios, o software não será aderente às necessidades corporativas por muito tempo. Além disso, a evolução tecnológica é constante e cada vez mais acelerada. Existirá a necessidade de crescimento funcional e técnico do software. Algumas características devem ser avaliadas no ciclo de vida do software: • Evolução funcional Entender as características funcionais que já estão previstas para as próximas versões pode ajudar na decisão de escolha da aplicação. Além disso, será possível traçar planos de expansão futura. • Previsão de evolução técnica Dada a rápida evolução tecnológica, é importante saber quais os planos de evolução previstos para as novas versões.
143 Ciclos de vida de software
aplicação de mercado deve estar atenta a seu ciclo de vida.
• Intervalo previsto entre as versões Além de saber como serão as próximas versões, é importante também saber quando elas estarão disponíveis. Isso ajudará a adequar a expectativa da organização sobre as funções não atendidas atualmente. • Tempo de vida de cada versão Esse é o período na qual a Software House mantém suporte sobre a versão liberada. Um projeto de implantação de software pode demorar de algumas semanas a mais de ano para terminar, dependendo do tamanho da empresa, da abrangência do software e do nível de customizações necessárias. O tempo de utilização dessa aplicação deve ser condi-
Gestão da tecnologia da informação e da comunicação
144
zente com seu tempo de implantação para que haja recuperação do investimento. • Sobreposição de versões Quando uma versão é encerrada no momento da liberação da próxima ou quando esse tempo é muito curto, não haverá tempo de maturação da nova versão no mercado antes de ser necessária a sua substituição. Dependendo da área de aplicação, pode existir risco em implantar uma versão muito nova.
5.4 Visão completa dos ciclos de vida É possível compor uma visão com todos os ciclos de vida apresentados até o momento. Essa visão é composta por dois grandes ciclos que interagem entre si:
• Ciclo de vida de criação e evolução do software ⁻⁻ Ciclo de vida de projeto de criação do software ⁻⁻ Ciclo de vida de projeto de revisão de software (novas versões) • Ciclo de vida de utilização e sustentação do software ⁻⁻ Ciclo de vida de implantação do software ⁻⁻ Atividades de sustentação do software (manter o software operacional) Visão completa dos ciclos de vida de software e suas interações
Projeto de software
Disponibilidade do software no mercado
Preparação para nova versão do software
Ciclo de vida da utilização e sustentação do software Avaliação da necessidade de implantação de outro software Decisão de compra
Projeto de implantação do software
Sustentação do software
Avaliação da implantação de nova versão Fonte: o autor
Curiosidade... Existem ferramentas de mercado para auxílio no processo de controle do ciclo de vida do software. Um exemplo é a ALM, da Borland: http://www.borland.com/br/solutions/ index.html
145 Ciclos de vida de software
Ciclo de vida da criação e evolução do software
5.5 A nálise de TCO (Total Cost of Ownership) Todo investimento em uma organização é cuidadosamente analisado antes de ser concretizado. Isso não é diferente quando se fala de investimento em software. Porém, nem todas as empresas têm a visão clara de qual o valor de investimento necessário. Muitas nem sabem ao certo o que devem considerar no cálculo. Por isso, o Gartner Group definiu o conceito do TCO (Total Cost of Ownership – ou custo total
Gestão da tecnologia da informação e da comunicação
146
de propriedade). Resumidamente, o TCO agrega custos financeiros aos custos de operação. Não basta somar e projetar somente os custos para colocar o sistema disponível. Deve-se contabilizar todo o custo para suportar esse sistema após o projeto de implantação. Na maioria das vezes, um projeto de software envolve os seguintes custos: • Infraestrutura – ativos de TI que suportarão o sistema (redes, servidores, banco de dados etc.). • Licenciamento do software – o direito de uso do software pode ser escalonável por número de usuários ou ter um valor fixo por aplicação. • Custo de manutenção – normalmente permite acesso a atualizações de correção do software e suporte de terceiro nível. • Custo de adaptações para a real necessidade da organização – é comum o sistema não se adaptar
totalmente às necessidades da empresa e, por isso, podem ser necessárias algumas adaptações. • Treinamento para usuários – quanto mais complexa a aplicação, mais falhas por imperícia podem ocorrer. Além disso, o turn-over natural da organização fará com que as pessoas necessitem de constantes treinamentos. • Gestão de integração – gerenciar a integração de todo o contexto do software. Quanto maior a complexidade do cenário envolvido, maior será o esforço de gestão.
Exemplificando...
• Valor de compra e venda; • Consumo médio (km/l); • Custo e periodicidade de manutenção preventiva e corretiva. Todos esses custos compõem o Custo Total de Propriedade (TCO).
REFERÊNCIAS BUCHER, A. et al. Ciclos de vida. Disponível em: http://www. hlera.com.br/clientes/ciclo_de_vida/index.php?s=introducao. Acesso em: 13 jun. 2010.
147 Ciclos de vida de software
Analogamente, pode-se avaliar a compra de um carro. Quando se deseja comparar o valor de dois carros para saber qual é mais vantajoso financeiramente, não se pode olhar apenas o valor de compra, constante da nota fiscal. Existem muitos outros custos envolvidos no processo de compra e utilização do bem adquirido. Alguns exemplos de informações que remetem à variação de custos:
(6)
Terceirização de TI (outsourcing)
O s objetivos da unidade são: explanar sobre conceitos e modelos de terceirização de TI; verificar as diferentes possibilidades de terceirização e seus benefícios; e comparar modelos de mercado para terceirização. Na década de 1980, a internalização da equipe de TI passou a dar lugar à terceirização. Nesse período, os funcionários da área de tecnologia se desligavam da empresa e, regidos por um relacionamento de prestação de serviços, continuavam o seu trabalho técnico quase que sem mudança de foco. O processo foi puramente administrativo, mantendo-se o cenário técnico e de relacionamento pessoal. Foi um modelo encontrado pelas grandes empresas para desonerar sua folha de pagamento sem perder a equipe que detinha o conhecimento da empresa, visto que, naquele momento, o conhecimento era mais das pessoas do que da empresa.
Com o passar do tempo, em um cenário globalizado e com o aumento da competitividade, a simples mudança de modelo de contratação das pessoas não foi suficiente para dar às organizações a vantagem competitiva necessária. Era necessário mudar o relacionamento e o modelo de prestação de serviços, garantindo diferenciais competitivos e níveis de serviço adequados.
6.1
Gestão da tecnologia da informação e da comunicação
152
Conceito Terceirização é um modelo de contratação no qual uma empresa transfere atividades e responsabilidades para outras empresas, por meio de um contrato de prestação de serviços. A justificativa para a terceirização pode ser técnica ou comercial, de maneira que a empresa contratante não poderia igualar os benefícios oferecidos pela empresa contratada. No início, as empresas só terceirizavam serviços de baixo valor agregado, que eram totalmente afastados do core business da empresa, como os serviços de limpeza e segurança, por exemplo. Com o amadurecimento do mercado, algumas barreiras foram vencidas, o que facilitou o fortalecimento do modelo de terceirização: • Possível perda de controle operacional; • Privacidade de informações; • Domínio integral do negócio (terceirização de processos).
“Terceirização é a entrega de uma função do negócio da empresa para execução por terceiros, buscando atingir objetivos que a empresa não poderia atingir internamente.” Sidney Dias da Silva Existem alguns tipos de terceirização em TI: • Terceirização de profissionais ⁻⁻ Também chamada de alocação de profissionais ou body shop. profissionais adequados a um perfil acordado, e a empresa contratante realiza a gestão do serviço com a mão de obra recebida. ⁻⁻ Se o serviço não acontece da maneira esperada, a responsabilidade é do cliente contratante que, se identificar falha no perfil do profissional, deve solicitar substituição à empresa contratada. • Terceirização de serviços ⁻⁻ Também chamada de outsourcing. ⁻⁻ A empresa contratada tem um escopo de trabalho definido, muitas vezes com indicadores de desempenho acordados. ⁻⁻ A responsabilidade pela qualidade do serviço prestado é do contratado que deve adequar a equipe ao nível de serviço acordado. ⁻⁻ O contrato de outsourcing leva valor agregado para o cliente.
153 Terceirização de TI (outsourcing)
⁻⁻ Nesse modelo, a empresa contratada fornece
É importante ressaltar que a contratação de um projeto de TI, independentemente de ser de infraestrutura ou de sistemas, não está sendo considerada uma terceirização (ou outsourcing). Um projeto é um empreendimento temporário com um objetivo específico e único, e, apesar de existir a contratação de uma empresa terceira para realização do projeto, ele não é um serviço contínuo de prestação de serviços. Esse serviço pode ser melhor classificado como consultoria.
Curiosidade... O mercado de outsourcing de TI é tão complexo, que existe um Instituto de Outsourcing, dedicado exclusivamente a esse assunto, relacionando compradores, fornecedores e influenciadores do mercado de outsourcing: visite www. outsourcing.com
Gestão da tecnologia da informação e da comunicação
154
Comparação do modelo de outsourcing no início (puramente terceirização) e atualmente (outsourcing com valor agregado) Ínício do processo de outsourcing: • •
Funcionários deixando a empresa e, com negócio próprio, atendiam a mesma empresa. Mesmas pessoas, mesmos processos, mesmo recursos...
Soluções atuais de outsourcing • • •
Prestadores de serviço especializados. Soluções tecnologicamente adequadas. Empresas liberadas para dedicar seu tempo a sua área de negócios.
Curiosidade... Em 2003, o ABN terceirizou sua rede de dados com a Telemar, obtendo uma economia de aproximadamente 25%.
Pesquisa sobre outsourcing O Outsourcing Institute realizou algumas pesquisas focando o processo de outsourcing. Os resultados são apresentados a seguir: Dez principais razões para a realização do outsourcing: 1. Reduzir e controlar os custos operacionais; 2. Melhorar o foco da companhia; 3. Ganhar acesso a serviços de classe mundial; 4. Liberar recursos internos para outros propósitos (maior foco interno); 6. Acelerar os benefícios de reengenharia de processos; 7. Controlar funções de difícil gestão; 8. Tornar fundos de capital disponíveis para atividades-fim; 9. Compartilhar riscos (o fornecedor compartilha o risco em mais de um contrato); 10. Infundir capital. Dez principais fatores de avaliação na seleção de fornecedores de outsourcing: 1. Comprometimento com a qualidade; 2. Preço; 3. Referências e reputação; 4. Cláusulas flexíveis no contrato; 5. Recursos oferecidos; 6. Capacidade de agregar valor; 7. Compatibilidade cultural; 8. Relacionamento atual; 9. Localização; 10. Outros.
155 Terceirização de TI (outsourcing)
5. Falta de disponibilidade de recursos internos;
Dez principais fatores de sucesso: 1. Entendimento das metas e objetivos da companhia; 2. Visão e plano estratégicos; 3. Seleção do fornecedor correto; 4. Gestão contínua dos relacionamentos; 5. Um contrato bem estruturado; 6. Comunicação aberta com os indivíduos e grupos afetados; 7. Suporte e envolvimento da alta direção; 8. Atenção a questões pessoais; 9. Retorno financeiro próximo;
Gestão da tecnologia da informação e da comunicação
156
10. Uso de conhecimento externo.
6.2 O utsourcing de TI - core e contexto Segundo pesquisas do Outsourcing Institute, a área que mais cresce no processo de outsourcing é a Tecnologia da Informação. Com exceção das empresas que atuam no segmento de TI (consultorias, Software Houses etc.), todas as demais empresas sabem que a área de TI serve de grande alavanca para o seu negócio, fornecendo soluções para melhoria de produtividade, integridade de informações, análises mais elaboradas etc. Apesar desse grande apoio ao negócio, o core business da empresa está ligado diretamente ao segmento em que ela atua. Por exemplo, para uma empresa siderúrgica, o foco principal deve ser a preocupação com a capacidade de produção e o seu mercado de atuação, e não a preocupação em
manter a infraestrutura de TI disponível. Nessa linha, entra o conceito do core e contexto. Para manter cada vez mais o foco no core business, é possível contratar uma empresa especializada nas atividades de contexto, mantendo com ela um relacionamento de parceria de médio a longo prazo. Esse processo deve ser benéfico para ambas as empresas. Modelo de relacionamento de empresas (core x contexto)
Core business Contexto
Core business Contexto
Core business
Core business Contexto
Core business Contexto
Core business Contexto
Empresa que vai terceirizar suas atividades de contexto Empresa que fornece o serviço de outsourcing
157 Terceirização de TI (outsourcing)
Core business Contexto
Exemplificando... Para uma empresa do segmento automotivo, fabricar carros, autopeças, pneus etc. é o foco principal desta empresa. Tudo que está ligado diretamente a esse foco pode ser considerado um processo core. Atividades de marketing, administração de servidores e desenvolvimento e manutenção de sistemas especialistas, por exemplo, são consideradas atividades de contexto. Exemplo de um processo CORE x CONTEXTO, onde o core de uma empresa é o contexto da outra
Gestão da tecnologia da informação e da comunicação
158
Core business Sistemas especialistas Sistemas XYZ especialistas
Core business Propaganda e marketing Marketing
Core business Produção de pneus Servidores Core business Data centers
No processo de outsourcing, não devemos transferir para a empresa terceirizada as atividades relacionadas com nosso core business.
Ativo complexo
Processo de outsourcing
Despesa variável
Transformação de ativos complexos em despesas variáveis a partir do processo de terceirização do contexto existente nas empresas. • Redução dos custos fixos e corporativos; • Capital disponível para investimentos; • Previsibilidade de custos; • Migração dos riscos de obsolescência tecnológica; • Redução de custos com treinamentos técnicos.
6.3 O que as empresas terceirizam em TI? Alguns dos serviços que podem ser terceirizados em TI: • Segurança digital ⁻⁻ Atualizações de patches de segurança; ⁻⁻ Relatórios de vulnerabilidades; ⁻⁻ Instalação de programas de proteção.
Terceirização de TI (outsourcing)
159
GLOSSÁRIO Player é o nome dado para um concorrente. • Armazenamento ⁻⁻ Servidores; ⁻⁻ Técnicos; ⁻⁻ Backups. • Desktops ⁻⁻ Técnico responsável; ⁻⁻ Instalação; Gestão da tecnologia da informação e da comunicação
160
⁻⁻ Locação; ⁻⁻ Manutenção; ⁻⁻ Administração de rede; ⁻⁻ Criação de usuários; ⁻⁻ Manutenção de perfis; ⁻⁻ Monitoramento. • Administração de softwares ⁻⁻ Suporte 1º, 2º e 3º níveis; ⁻⁻ Desenvolvimento de melhorias sob demanda; ⁻⁻ Monitoramento e administração. • Centrais de impressão ⁻⁻ Técnico responsável; ⁻⁻ Equipamentos modernos. • Data centers ⁻⁻ Collocation; ⁻⁻ ASP.
O mercado de TI, em constante mudança e evolução, sempre apresenta focos principais para aplicação de ofertas de outsourcing. Na figura a seguir, vê-se o principal foco das empresas em intervalos de cinco anos. Dentro desses focos específicos, os players de mercado trabalham intensamente para elaborar ofertas que aproximem o cliente. Essas viradas de mercado estimulam as empresas prestadoras de serviços de outsourcing a estarem sempre inovando e buscando novos tipos de oferta. Mudanças de foco no cenário de TI nas últimas três décadas
2000
2005
2010
As principais vantagens esperadas por um processo de outsourcing de TI são: • Liberação de recursos humanos e financeiros para atividades críticas da empresa; • Mudança de foco de processos organizacionais (contexto) para satisfação das necessidades do cliente (core); • Acesso a tecnologias e especialistas não existentes na organização; • Desempenho de atividades de difícil gestão ou controle; • Base para novo desenho organizacional (pirâmide mais achatada), aumentando a flexibilidade e rapidez de adaptação ao mercado;
Terceirização de TI (outsourcing)
1995
Full outsourcing
ERP
1990
E-business
Reengenharia de processos
1985
Bug do milênio
Foco no próprio negócio
161
• Acesso às melhores práticas da indústria; • Melhor utilização dos recursos, eliminando improdutividades; • Transformação de custos fixos em custos variáveis; • Melhor controle e planejamento dos custos; • Compartilhamento de riscos com a empresa contratada. As desvantagens identificadas no processo de outsourc ing estão diretamente ligadas a falhas na implantação e não
Gestão da tecnologia da informação e da comunicação
162
ao modelo conceitual propriamente dito: • Perda de controle da execução das atividades e maior necessidade de controle; • Perda de confidencialidade e conflito de interesses, quando a contratada presta serviço para concorrentes; • Má qualidade do serviço prestado e diminuição do nível de satisfação; • Menor alinhamento com a estratégia e a cultura da empresa; • Reação lenta à mudança; • Dependência excessiva em relação ao contratado; • Custos mais elevados do que se as atividades tivessem sido executadas com os meios internos; • Perda de know-how interno; • Elevados custos de um eventual regresso ao desempenho interno das atividades contratadas; • Elevados custos associados à gestão dos contratados - quer devido à necessidade de controle do seu
desempenho, quer por eventuais dificuldades de integração com as atividades internas. “O outsourcing é uma ferramenta estratégica, que oferece agilidade, flexibilidade, escalabilidade e inovação para pequenas e médias empresas.” Cássio Dreyfuss, vice-presidente de pesquisa do Gartner para a América Latina.
6.4 I mplementação de um outsourcing O processo de implementação de um outsourcing requer muita atenção e avaliações criteriosas. Se a oportunidade escolhida para terceirizar não for a mais indicada ou se os indicadores de acompanhamento não forem muito bem detalhados e alinhados com o negócio, é possível que os resultados do outsourcing não sejam tão bons quanto era o processo internalizado. Assim, pode-se definir cinco principais passos para o processo de outsourcing: Os cinco principais passos para implantação de um outsourcing Identificação Avaliação das das oportunidades oportunidades
Seleção do fornecedor
Processo de transição
Acompanhamento e evolução do desempenho
Competência-chave é aquilo que se sabe fazer melhor do que qualquer outra empresa no mercado. Normalmente está ligada ao core business.
Terceirização de TI (outsourcing)
163
1. Identificação das oportunidades ⁻⁻ Definição clara da estratégia da organização. ⁻⁻ Identificação das suas fontes de vantagem competitiva. ⁻⁻ Identificação e distinção entre os processos críticos (CORE) e os que não são vitais para o seu sucesso (CONTEXT). DICA: identificadas as competências-chave da empresa (core competences), pode-se dizer que todas as outras atividades se constituem candidatas à terceirização.
Gestão da tecnologia da informação e da comunicação
164
2. Avaliação das oportunidades ⁻⁻ Análise das oportunidades geradas no passo anterior. ⁻⁻ Avaliação da qualidade e da relação custo-benefício referente ao modo como as atividades são realizadas atualmente. ⁻⁻ Descrição exaustiva do serviço pretendido e do nível de desempenho desejado. ⁻⁻ Definição de padrões de desempenho e instrumentos para a sua medição. ⁻⁻ Fixação clara dos objetivos planejados com a terceirização. ⁻⁻ Comparação das expectativas no cenário de outsourcing em relação às do cenário atual. 3. Seleção do fornecedor ⁻⁻ Identificação dos potenciais terceirizados e o convite para participarem da seleção (RFP ou Licitação). ⁻⁻ Determinação da extensão de controle e do tipo de relacionamento com o fornecedor.
⁻⁻ Definir os requisitos e os critérios com base nos quais será tomada a decisão. ⁻⁻ Análise e avaliação das propostas. ⁻⁻ Escolha do fornecedor vencedor.
GLOSSÁRIO RFP = Request for Proposal É um documento criado por uma empresa que pretende contratar serviço de algum fornecedor e, para isso, abre uma conrequisitos e necessidades para o serviço desejado. Licitação É o processo pelo qual um órgão do governo realiza um processo de concorrência. 4. Processo de transição ⁻⁻ Elaboração do respectivo plano e agendamento de atividades. ⁻⁻ Definição de todos os detalhes relativos ao período de transição dos processos face ao novo cenário (outsourcing) e a sua integração com os restantes processos existentes na empresa. 5. Acompanhamento e evolução do desempenho ⁻⁻ Aferição do nível de desempenho do parceiro de outsourcing. ⁻⁻ Caso existam desvios significativos entre a performance esperada e a real, há necessidade de implementação de medidas corretivas.
165 Terceirização de TI (outsourcing)
corrência. Nesse documento, devem estar descritos todos os
⁻⁻ Nesta última fase procura-se atingir o objetivo da melhoria contínua dos processos da organização.
6.5 R iscos associados ao processo de outsourcing Resultados indesejáveis
Gestão da tecnologia da informação e da comunicação
166
Fatores de risco associados
Custos de gerência e de transição não esperados
• Falta de experiência e de conhecimento da empresa com a atividade • Falta de experiência com terceirização
Dependência de fornecedor
• Utilização de recursos muito específicos • Poucas oportunidades para troca
Alterações contratuais onerosas
• Incerteza com relação ao escopo • Descontinuidade tecnológica
Disputas e litígios
• Problemas com medições • Falta de experiência da empresa e/ ou do fornecedor com contratos de terceirização
Degradação dos serviços
• Interdependência de atividades • Desempenho ambíguo • Falta de experiência ou de conhecimento do fornecedor com a atividade • Tamanho do fornecedor • Estabilidade financeira do fornecedor
Escalada nos custos
• Oportunismo do fornecedor • Falta de experiência da empresa com a gestão de contratos de terceirização
6.6 O ffshore e nearshore A simples prestação de serviços para uma empresa cliente de outro país não representa offshore. Para que seja caracterizado esse tipo de operação, é necessário que a prestação de serviços seja feita para uma empresa subsidiária ou matriz de um mesmo grupo. A Índia é um grande player no processo de offshore, competir nesse mercado estão ligados ao conhecimento de negócio, à proximidade dos fusos horários da América e Europa, e à maior facilidade de entendimento de idioma. Um conceito derivado do offshore é conhecido por nearshore. A principal diferença é a garantia de proximidade no fuso horário e o grande benefício é a possibilidade de ações mais rápidas em necessidades emergenciais.
6.7 S LA - Service Level Agreement O contrato de prestação de serviços de outsourcing pode conter alguns indicadores para acompanhamento do nível do serviço prestado. Esses indicadores formam o que é chamado de SLA – Service Level Agreement (ou ANS – Acordo de Nível de Serviço). Esse acordo deve conter indicadores mensuráveis e quantificáveis para que seja possível o acompanhamento objetivo do relacionamento entre as empresas. Muitas vezes, os contratos de outsourcing possuem multas e prêmios asso-
167 Terceirização de TI (outsourcing)
seguida de perto pela China. Os diferenciais do Brasil para
ciados ao nível do serviço entregue e o SLA representa a forma de medir esse resultado do trabalho. Na revista CIO Magazine, Marina Pita indica sete dicas rápidas para o estabelecimento de um SLA consistente: 1. Verifique claramente o escopo de atividades do fornecedor e determine qual o nível de criticidade, impacto e disponibilidade das mesmas. 2. Determine o modelo de gestão do projeto e a periodicidade de apresentação de relatórios de desempenho do fornecedor. 3. Determine regras de contingência e continuidade
Gestão da tecnologia da informação e da comunicação
168
do negócio se o fornecedor descumprir o que estiver no SLA. 4. Determine o modelo de bônus (em caso de desempenho acima do esperado) e multa. 5. Defina se haverá modelo de riscos compartilhados. 6. Defina o tempo de resposta a pedidos (solicitações) em três níveis (urgente, importante, rotina) especialmente quando há suporte, manutenção ou helpdesk. 7. Deixe todos os seis itens mencionados claros no contrato.
Cases de outsourcing Outsourcing de impressão http://pcworld.uol.com.br/reportagens/2005/09/27/ idgnoticia.2005-09-27.6659792850/IDGNoticia_view http://pcworld.uol.com.br/reportagens/2007/06/27/ idgnoticia.2007-06- 27.2006163189/ Administração de rede http://pcworld.uol.com.br/reportagens/2005/09/27/ idgnoticia.2005-09- 27.1702991575/IDGNoticia_view
REFERÊNCIAS CIO. http://www.cio.com Outsourcing Center. http://www.outsourcing-center.com SILVA, S. D. Terceirização de TI. Disponível em: HTTP:// rmaia.redes.googlepages.com/MA_terc_TI.pdf. The Outsourcing Institute. http://www.outsourcing.com
169 Terceirização de TI (outsourcing)
Navita desenvolve uma aplicação para BlackBerry e oferece o produto em modelo de outsourcing http://pcworld.com.br/dicas/2010/03/26/empresa-brasileira-faz-blackberry-acessar-e-mail-em-linux/
Gestão da tecnologia da informação e da comunicação 170
Terceirização de TI (outsourcing)
171
(7)
Modelando e compondo processos de neg贸cio
Os objetivos da unidade são: discorrer sobre como as organizações estão estruturando seu parque de aplicativos (softwares) para melhor se adaptarem às necessidades de negócio; explanar sobre como as empresas estão organizando sistemicamente seus processos; e discutir sobre os níveis de maturidade na composição dos processos de negócio. As organizações estão passando de um estágio dependente de pessoas para um estágio de amadurecimento dos processos. Constantemente ouve-se falar sobre níveis de maturidade das empresas e associa-se essa evolução à maneira com que a empresa define, documenta, monitora e controla seus processos. Ao encontro desse cenário, surge o conceito de BPM (Business Process Management), que trabalha na definição de como serão gerenciados e conduzidos os processos de negócio de uma organização.
Porém, com os altos volumes de atividades e processos das empresas, fica muito difícil maximizar a produtividade e o controle sem o apoio tecnológico e sistêmico. Nesse sentido, surgem o BPMS (Business Process Management System) e a SOA (Service-Oriented Architecture).
7.1
Gestão da tecnologia da informação e da comunicação
176
A rquitetura Orientada a Serviços (Service-Oriented Architecture - SOA) A arquitetura orientada a serviços combina uma plataforma tecnológica robusta com uma metodologia de desenvolvimento de software. Então, SOA (Service-Oriented Architecture) não é apenas uma tecnologia. É uma estratégia de criação de software por meio de um conceito de orientação a serviços. Definição conceitual para SOA Service-Oriented Architecture
Definição de estrutura da plataforma de desenvolvimento
Metodologia para desenvolvimento de software
Estratégia que proclama a criação de todos os ativos de software de uma empresa via metodologia de programação orientada a serviços Fonte: o autor
O principal foco da SOA é habilitar o rápido desenvolvimento e adaptação de processos de negócios inovadores na mesma velocidade em que mudam os requerimentos de negócio. Essa agilidade na adaptação é possível pelo fato de a estrutura orientada a serviços (plataforma de desenvolvimento de software) ser muito próxima da estrutura orientada a processos. Na verdade, pode-se dizer que serviços são os Vê-se, então, que a SOA está ligada diretamente à gestão e ao controle dos processos de negócio de uma empresa. Apesar disso, ela ainda está emergente no mercado, e muitos projetos de implantação SOA não tiveram sucesso. O principal motivo desses fracassos é o foco puramente técnico em um contexto de transformação da empresa em que a tecnologia deve ser apenas o meio.
Curiosidade… É possível encontrar dezenas de casos de sucesso SOA no site da IBM: http://www-01.ibm.com/software/ success/cssdb.nsf/advancedsearchVW?SearchView&Q uery=[WebSiteProfileListTX]=soa+AND+%28soa%29+A ND+[CompletedDate]%3E01-01-2002&site=soa&cty=en_ us&frompage=ts&start=1&count=10 Processos de negócio Um processo é um grupo de atividades específicas, coordenadas e que seguem um conjunto de procedimentos com intuito de produzirem um produto ou um serviço. Sempre há uma ou mais entradas, um conjunto de atividades (transformação) e uma ou mais saídas.
177 Modelando e compondo processos de negócio
componentes dos processos de negócio.
Representação de um processo Entrada Materiais e informações
Transformação
Saída Produto ou serviços
Fonte: o autor
Os processos são importantes, pois através deles é que as empresas executam suas funções. Todo trabalho dentro de
Gestão da tecnologia da informação e da comunicação
178
uma empresa deveria estar associado a um processo. Cada empresa desenhará o seu processo da maneira que entender que será mais produtivo e menos oneroso. Será uma análise de custo x benefício. Porém, existem práticas de mercado que podem ser compartilhadas entre as empresas. Por exemplo, no processo de compras, é comum buscar pelo menos três cotações de fornecedores antes de fechar alguma compra. Normalmente, os processos mais críticos da empresa passam por um acompanhamento mais próximo, executado por indicadores de avaliação, criados especificamente para cada processo. Podem-se avaliar gargalo, produtividade, custos, tempo de execução etc.
Exercício... Defina quais as entradas necessárias e as possíveis saídas para um processo de compra de materiais indiretos. Resposta: • Entrada: Requisição de compras aprovada. • Saída: Materiais comprados, entregues para os solicitantes e dados de pagamento enviados ao “contas a pagar”.
Serviços Serviços representam uma unidade de trabalho específica, que pode ser utilizada dentro de um ou mais processos de negócio. A grande vantagem da plataforma orientada a serviços é a possível reutilização de rotinas, como se fossem miniprocessos (ou subprocessos). Por exemplo, tanto o processo de venda de serviço quanto o processo de campanha de marketing podem preto da venda, existe a preocupação em saber se o cliente está inadimplente antes de efetivar a nova venda. No lançamento de uma nova campanha de marketing, a posição de crédito dos clientes pode filtrar quem receberá o benefício da campanha ou não. Nota-se que, independentemente de como é feito (transformação) o subprocesso de verificação de crédito, existem dois processos que dependem dele. Assim, pode-se dizer que a verificação de crédito é um serviço utilizado por dois outros processos. Exemplo de serviço sendo chamado por dois processos Dados de compra serviço, prazo, clientes...
Processo de venda de serviços
Serviço vendido proposta, contrato, contas a receber...
Serviço de verificação de crédito
Informações serviço, grupo de clientes, estratégia...
Processo de campanha de marketing Fonte: o autor
Campanha realizada
179 Modelando e compondo processos de negócio
cisar de uma verificação de crédito do cliente. No momen-
O serviço deve ser oferecido por um provedor de serviços, podendo ser executado sob demanda ou de maneira espontânea. Imaginando-se o exemplo do serviço de verificação de crédito, o provedor é o departamento financeiro, e a execução é sob demanda.
Curiosidade...
Gestão da tecnologia da informação e da comunicação
180
Matt Miszewski, CIO (Chief Information Officer) para o estado de Wisconsin, justificou a implantação de uma arquitetura orientada a serviços: “Quando eu disse que tínhamos 18 versões de ‘verificação de crédito’ ligeiramente diferentes embutidas em aplicativos diferentes, em agências diferentes, os diretores das agências entenderam por que era problemático e apoiaram a criação de uma única versão que fosse usada por todos”.
Os serviços podem ser: • De alto nível, orientados a documentos - um serviço para cada tipo de documento interno da empresa ⁻⁻ Ordem de venda; ⁻⁻ Pedido de compra; ⁻⁻ Ordem de produção; ⁻⁻ ... • Construídos de acordo com as necessidades de negócio - um serviço que é executado sob demanda ⁻⁻ Verificação de crédito; ⁻⁻ Verificação de disponibilidade de produto; ⁻⁻ ... De acordo com pesquisa realizada pelo Business Performance Management Institute, no caminho de prepara-
ção dos serviços para estarem disponíveis para os processos de negócios, deve-se dar mais atenção para aqueles que: • Envolvem os clientes de forma direta ou indireta; • Afetam diretamente a receita; • Abordam pontos nevrálgicos da empresa.
Estudo de caso...
Uma simples consulta no “cadastro de clientes” envolvia acesso a 25 sistemas em 4 data centers distintos, pois cada sistema possuía uma informação e uma visão diferente do cliente. Cada sistema que precisava acessar o registro de clientes envolvia uma complexa e demorada operação. Com a implantação da plataforma SOA e a criação do serviço “getCSR” (get Customer Record – obter o registro do cliente), todos os novos sistemas que precisavam das informações dos clientes passaram a chamar o serviço em vez de gastar meses de codificação e testes.
181 Modelando e compondo processos de negócio
A Verizon, operadora norte-americana de telefonia, possuía vários sistemas espalhados em alguns data centers (as bases de dados estavam descentralizadas).
7.2 Business Process Management (BPM) Segundo Harmon (2005), “BPM pode ser definido como uma disciplina de gerência focada na melhora do desempenho corporativo através da gestão dos processos de negócio
Gestão da tecnologia da informação e da comunicação
182
da empresa”. Há alguns anos, o mapeamento de processos de negócio era executado por analistas de O&M (Organização e Método), atualmente quase extintos do mercado de trabalho. Nos dias de hoje, esse papel vem sendo executado por analistas de processos ou analistas de negócios. De acordo com Bergamo Filho (2007), “para obter ganho de produtividade nas empresas, uma ferramenta simples e poderosa consiste em mapear os processos e posteriormente classificar cada etapa com base na visão do cliente. Ou seja, que gere valor agregado ao negócio”. O mapeamento de processos envolve duas principais etapas: • AS IS (como é): Envolve o entendimento dos processos atuais das empresas, desenhando-os da forma que são. Nessa etapa, não há questionamento sobre a eficácia e a eficiência dos processos. Apenas uma representação gráfica ou textual sobre os processos que vigoram na empresa. Normalmente, o trabalho é iniciado pelas áreas mais críticas da empresa, e necessita de entrevistas com os funcionários de todas as áreas envolvidas no mapeamento.
• TO BE (como será): É um desenho de solução futura, partindo do cenário atual e avaliando, junto à estratégia da organização, onde ela pretende chegar. Para esse caminho futuro, os processos necessitam de adequações para tornar a empresa mais ágil e com mais controle. Análises de caminho crítico dos processos e de indicadores das áreas também indicarão necessidades de melhoria tificar os ganhos que a organização terá ao mudar seus processos, pois essa é a maneira de conseguir aprovação da alta direção nessa mudança.
Exercício... Quais são as ferramentas de modelagem de processos existentes hoje no mercado? Resposta: ARIS, Microsoft Visio, BizAgi Modeler, ARPO Process, Websphere BPM, entre outras. Uma forma de avaliar a melhoria proposta aos processos (as is x to be) é acompanhar a evolução da eficiência do ciclo do processo. Segundo Bergman Filho (2007), pode-se realizar o seguinte cálculo:
PCE =
CVA NVA + BVA + CVA
Em que: PCE = Process Cycle Efficiency (Eficiência do Ciclo do Processo) NVA = No Value Add (Nenhum Valor Agregado) BVA = Business Value Add (Valor Agregado ao Negócio) CVA = Customer Value Add (Valor Agregado ao Cliente)
183 Modelando e compondo processos de negócio
nos processos. É importante, nessa análise de futuro, quan-
Todas as medidas são contabilizadas em unidades de tempo, e os tempos de espera existentes no processo devem ser classificados como NVA. De acordo com Bergman Filho (2007), muitas atividades do processo não agregam valor e podem ser eliminadas.
7.3
Gestão da tecnologia da informação e da comunicação
184
Business Process Management System (BPMS) O BPMS é um conjunto de sistemas que permite automatizar, executar, controlar, simular, gerenciar e aperfeiçoar os processos de negócio da empresa. Para isso, é necessário mapear e desenhar nessa ferramenta todos os processos que se deseja medir. O BPMS é também chamado de orquestrador do BPM. Como principais funções de um BPMS, pode-se destacar: • Mapeamento e desenho dos processos de negócio Possibilidade de se importar desenhos de processos escritos em outras ferramentas ou desenhar os processos e suas interações. O correto desenho é fundamental para que o processo seja acompanhado e monitorado pela ferramenta. • Desenho dos fluxos e formulários eletrônicos Fluxo é a representação gráfica de um processo de negócio. Contém a representação em forma de fluxograma ou BPMN (Business Process Modeling Notation). Formulário eletrônico é o local em que os participantes de um processo de negócio interagem para incluir informações necessárias ao processo.
A lâmpada estava plugada?
Não
Sim
Não Plugar a lâmpada
O bulbo queimou?
Comprar nova lâmpada
Sim Trocar o bulbo
GLOSSÁRIO Fluxograma é um tipo de diagrama, e pode ser entendido como uma representação esquemática de um processo, muitas vezes feito através de gráficos que ilustram de forma descomplicada a transição de informações entre os elementos que o compõem. Podemos entendê-lo, na prática, como a documentação dos passos necessários para a execução de um processo qualquer. BPMN é uma notação padrão para o desenho de fluxogramas em processos de negócios. É um conjunto de regras e convenções que determinam como os fluxogramas devem ser desenhados. Atualmente é a notação mais reconhecida no ramo de BPM atualmente. • Definição de workflow O workflow é a automação do processo de negócio, no qual um sistema percorre o fluxo desenhado e direciona as atividades para as pessoas responsáveis por cada atividade do processo de negócio. • Regras de negócio Regras são operações, restrições e definições que são utilizadas nos fluxos dos processos de negócio. Por exemplo, um
185 Modelando e compondo processos de negócio
A lâmpada não funciona
processo de compra pode ter uma regra para definição de alçadas de aprovação: compras até R$ 1.000,00 podem ser aprovadas pelo gerente da área e compras acima de R$ 1.000,00 necessitam também da aprovação do diretor da área solicitante. Exemplo de diagrama de fluxo de trabalho Nova
Gestão da tecnologia da informação e da comunicação
186
Reatribuir
Atribuída
Não aceite
Resolvida
Verificada
Reabrir
Fechada
• Monitoramento em tempo real das atividades Com o monitoramento, torna-se possível o acompanhamento de todos os processos: quanto tempo cada tarefa durou, quem a executou, existência de gargalos, percentual de término no prazo etc. O monitoramento é essencial para a evolução contínua dos processos. Não se pode melhorar aquilo que não se consegue medir. Esse monitoramento é chamado de BAM (Business Activity Monitoring). • Alertas Para cada processo crítico, deve-se identificar os seus indicadores-chave (Key Performance Index – KPI) e, para cada indicador, pode-se definir os limites de tolerância (threshold).
Com essas definições, o BPMS deve ser capaz de monitorar a execução dos processos de negócio e, caso algum indicador ultrapasse os limites aceitáveis e configurados, o sistema pode enviar alertas aos responsáveis cadastrados. Funções esperadas de um BPMS
Alertas
Desenho dos fluxos e formulários eletrônicos
Business Process Management System (BPMS)
Monitoramento em tempo real das atividades
187
Definição de workflow
Regras de negócios
A principal vantagem do BPMS é a garantia de que os processos de negócio estão sendo efetivamente executados da maneira em que foram modelados. No final, isso contribui para que a organização caminhe na busca de seus objetivos.
Modelando e compondo processos de negócio
Mapeamento dos processos de negócio
7.4 Modelo de maturidade em SOA/ BPM Existem algumas literaturas distintas sobre modelos de avaliação de maturidade de empresa no contexto SOA/
Gestão da tecnologia da informação e da comunicação
188
BPM. Cada uma possui uma quantidade distinta de níveis e de nomenclaturas. Exemplos de níveis de maturidade das empresas IBM SOA Maturity Model 1. Silo (integração de dados) 2. Integrado (integração de aplicações) 3. Componentizado (integração funcional) 4. Serviços simples (integração de processos) 5. Serviços compostos (integração na cadeia de suprimentos) 6. Serviços virtualizados (infraestrutura virtual) 7. Serviços reconficuráveis dinamicamente (integração do ecossistema) Sonic and Partners SOA Maturity Model
The Integration Consortium SOA Maturity Model
1. Serviços iniciais
1. Ad-Hoc
2. Serviços arquitetados
2. Ponto a ponto
3. Serviços colaborativos
3. Definido
4. Serviços mensuráveis
4. Gerenciado
5. Serviços otimizados
5. Otimizado
O estágio de evolução da empresa e sua capacidade de trabalhar os processos de negócio sistematizados e aderentes à orientação a serviços dependem de duas principais informações:
• Escopo de adoção: indica a abrangência da aplicação e do uso de serviços para elaboração e controle dos processos de negócio da empresa. O escopo de adoção pode iniciar em um único departamento e se expandir por toda a empresa. • Nível de maturidade: indica o estágio em que a empresa (ou o departamento) se encontra no uso de serviços corporativos. Escopo de adoção SOA/BPM O escopo de adoção indica a abrangência que permeou o trabalho de SOA e BPM dentro da organização. Temos quatro níveis de adoção: • Nível departamental Normalmente escolhido algum departamento para implantação de um projeto piloto e realização de provas de conceito. Após validação, podem ser realizados pequenos roll-outs para outros departamentos. A iniciativa ainda permanece isolada na empresa. • Nível de unidade de negócio Quando o uso da SOA e do BPM permeiam quase todos (ou todos) os departamentos de uma unidade de negócio na organização. Existe grande interação sistêmica com o uso dos serviços. • Entre unidades de negócio A abrangência transcende a unidade de negócios piloto, e a empresa consegue maximizar a reutilização dos serviços. Inicia-se o trabalho para garantir a Governança de TI, com a criação de políticas, processos e padrões.
Modelando e compondo processos de negócio
189
• Nível corporativo Toda a empresa faz uso dos serviços. Escopo de adoção SOA/BPM Projeto de prova de conceitos
Nível departamental
Gestão da tecnologia da informação e da comunicação
190
Pequenos roll-outs
Projetos de integração
Nível de unidades de negócios
Vários departamentos de uma UN
Interação de departamentos por meio de serviços
Início do processo de reutilização
Entre unidades de negócios
Repositório central possibilita maximização da reutilização
Definição de processo de governança
Ciação de políticas, processos e padrões
Configuração dinâmica dos serviços
Reutilização pode entrar em declínio
Nível corporativo
Toda a empresa faz uso dos serviços
Nível de maturidade SOA/BPM Para avaliação de níveis de maturidade corporativa, pode-se seguir os cinco níveis criados pelo SEI (Software Engineering Institute) quando definiram os níveis do CMM (Capability Maturity Model). • Nível 1 – Inicial Os processos são eventuais e não organizados. Não existe um padrão, e a condução da empresa é muito dependente das pessoas.
• Nível 2 – Repetitivo Pela repetição, os processos seguem um padrão regular, mas não há estudo sobre a melhor maneira de se operar a empresa e nem existem procedimentos formais. • Nível 3 – Definido A partir desse nível, os processos passam a estar documentados e divulgados. A empresa passa a ser mais dependente de processos do que de pessoas. Os processos são monitorados e mensurados. Existem indicadores de avaliação de processos e ações são tomadas para manter o padrão de execução na qualidade esperada. • Nível 5 – Otimizado As melhores práticas são seguidas e automatizadas. Existe um processo de melhoria contínua na empresa, redesenhando processos com foco na otimização e no custo/ benefício. Seguindo o conceito desses cinco níveis e apenas mudando o contexto para adaptar ao nível de maturidade em SOA/BPM, podem-se obter os seguintes níveis: • Nível 1 – Serviços iniciais A empresa possui baixo volume de atividades de pesquisa (P&D). Existem pequenos projetos de implantação de SOA/ BPM e, normalmente, são implantações de portais corporativos. • Nível 2 – Serviços arquitetados Começa-se a trabalhar o contexto do ROI (Return on Investment). A partir desse momento, a demanda de criação de serviços vem dos sistemas e não do negócio, pois não existe ainda na organização uma visão global das necessidades.
191 Modelando e compondo processos de negócio
• Nível 4 – Gerenciado
• Nível 3 – Serviços colaborativos A partir desse momento, a empresa está apta a realizar a orquestração dos processos desenhados. A demanda pela criação de serviços é de negócio e não técnica. • Nível 4 – Serviços mensuráveis Início do processo de coleta de informações para realizar monitoramentos e acompanhamentos. Realimentação do
Gestão da tecnologia da informação e da comunicação
192
processo com base nos dados coletados. • Nível 5 – Serviços otimizados Máxima otimização e alinhamento com o negócio. Os 5 Níveis de maturidade SOA Nível 1 Serviços iniciais
Nível 2 Nível 3 Serviços Serviços arquitetados colaborativos
Nível 4 Serviços mensuráveis
Nível 5 Serviços otimizados
Nível 1: • Integração ponto a ponto • Baixo R&D • Pequenos projetos pilotos de SOA • Implementações de portais • Pequeno número de Web Services Nível 2: • Custos de TI começam a mostrar o ROI • Uso de padrões abertos e middlewares comuns • Criação de um SOA Competence Center • Definição bottom-up para identificação dos serviços (aplicação)
Nível 3: • Granularidade suficiente para se obter serviços independentes • Flexibilidade suficiente para que seja possível a orquestração dos processos • Definição top-down para identificação dos serviços (negócios) • Introdução de BPM, BPMS, BPR • Service Registry Nível 4: • Serviços são mensurados e refinados para melhores performance, flexibilidade e reutilização • Métricas de performance de negócio são coletadas e avaliadas • Monitoramento das atividades de negócio Nível 5: • Serviços
otimizados
são
dinamicamente
reconfiguráveis • Máxima otimização e alinhamento com o negócio Mesclando o escopo de adoção com os níveis de maturidade O escopo de adoção e o nível de maturidade devem caminhar próximos na evolução de maturidade da empresa. Evoluir no nível de adoção e se manter nos níveis mais baixos de maturidade representa um cenário inviável, pois presume-se que, quando se atinge o estágio entre unidades de negócio ou até mesmo o nível corporativo, a empresa necessita de processos de governança, não compatíveis com os níveis mais baixos de maturidade.
Modelando e compondo processos de negócio
193
Do lado oposto, manter-se estagnado apenas em um departamento na empresa e querer evoluir no nível de maturidade torna-se uma opção não rentável. O custo de controle, monitoramento e estrutura para garantir qualidade e maturidade ficará muito alto para ratear somente com um ou poucos departamentos da empresa. O ideal, então, é seguir evoluindo simultaneamente com o escopo de adoção e com o nível de maturidade. Uma composição dos dois eixos resulta em um modelo com cinco estágios: Fundamental, Interligada, Flexibilidade, Processos habilitados e Agilidade.
Nível 5 Serviços otimizados Nível 4 Serviços mensuráveis Nível 2 Nível 3 Serviços Serviços arquitetados colaborativos Nível 1 Serviços iniciais Modelo de maturidade
NÃO RENTÁVEL SOA fundamental Nível departamental
Flexibilidade
SOA interligada Nível de unidade de negócios
Entre unidades de negócios
INVIÁVEL
Processos habilitados
Agilidade
Modelo de maturidade: combinação do escopo de adoção com os níveis de maturidade
Nível corporativo
Gestão da tecnologia da informação e da comunicação
194
REFERÊNCIAS BERGAMO FILHO, C. Produtividade e eficiência de processos nas empresas. 2007. Disponível em: http://webinsider. com.br/2007/12/26/produtividade-e-eficiencia-de-processos-nas-empresas-hoje/. Acesso em: 04 jun. 2010. HARMON, P. Best practices in the governance of business process management. 2005. Disponível em: http://www. Hr%20Talk%20for%20IQPC%20BPM%20Conf%20-%20%20 Harmon.pdf.
195 Modelando e compondo processos de negócio
bptrends.com/publicationfiles/05-25-05%20BPT%201%20
(8)
S egurança da informação
O s objetivos da unidade são: explanar sobre a preocupação atual na segurança da informação; discorrer sobre políticas e normas de segurança; e contextualizar o tema nas organizações. Antigamente, quando uma organização planejava e organizava sua segurança, os únicos contextos abordados eram a segurança patrimonial e a segurança pessoal. Nos tempos chamados de “Era da Informação”, a preocupação extrapolou o meio físico e caminhou alinhada ao conhecimento da empresa. A grande representação desse fato está na caracterização de valor entre o ativo fixo e o ativo de informação. O que representa maior valor: o notebook de um executivo de empresa ou o conteúdo que está dentro dele? Como garantir, então, a segurança da informação, mantendo o conhecimento armazenado dentro da empresa e não permitindo acessos indevidos a ele?
Nesse sentido, veem-se inúmeros artigos e reportagens sobre o assunto “segurança da informação”, que não está limitado ao ambiente corporativo. Fraudes, que tentam pegar o usuário desprevenido e, com isso, captar senhas e informações pessoais, estão cada vez mais constantes. Uma pesquisa da Symantec revela quais são as inforGestão da tecnologia da informação e da comunicação
200
mações confidenciais mais comercializadas na internet. Essas informações são conseguidas por meio de invasões ou aplicativos maliciosos. Informações confidenciais mais comercializadas na internet 1
Dados de cartão de crédito - 31%
2
Contas bancárias (pagamentos online, número da conta) 20%
3
Informações para spam e phishing (endereços de e-mail ou senhas) - 19%
4
Serviços de saque - 7%
5
Roubo de dados completos (CPF, RG) - 7%
6
Contas de servidores (para transferência de arquivos em redes) - 5%
7
Computadores infectados por crackers - 4%
8
Contas e sites (login) - 3%
9
Ferramentas e códigos maliciosos - 2%
10 Contas em lojas (compras e vendas online) - 1% Fonte: Symantec
Muitas empresas se preocupam com os acessos de entrada em sua rede e como impedir uma possível invasão, mas não se atentam em proteger as informações da empresa quando um funcionário usa um equipamento corporativo (notebook, por exemplo), para acessar uma rede pública de Wifi em um cibercafé. “Pontos de acesso são ótimos para cibercafés, mas as pessoas que conduzem os negócios têm de entender que é responsabilidade deles protegerem a si mesmos.”
Alguns exemplos de matérias sobre segurança da informação: • Conheça os principais perigos dos pontos de acesso sem fio, disponível em: http://pcworld.com.br/noticias/2010/04/23/conheca-os-principais-perigos-dos• Plano de banda larga exigirá campanha sobre segurança da informação, disponível em: http://pcworld. com.br/noticias/2010/04/15/plano-de-banda-larga-exigira-campanha-sobre-seguranca-da-informacao/ • Redes sociais: como equacionar a segurança e a privacidade, disponível em:
http://pcworld.com.br/
dicas/2010/04/07/redes-sociais-como-equacionar-seguranca-e-privacidade-nass-empresas/ • Estados Unidos destinam meio bilhão de dólares para cibersegurança, disponível em: http://pcworld. com.br/noticias/2010/02/04/estados-unidos-destinam-meio-bilhao-de-dolares-para-ciberseguranca/ • Encontro no Rio de Janeiro debate segurança da informação, disponível em: http://pcworld.com.br/ noticias/2009/11/06/encontro-no-rio-de-janeiro-debate-seguranca-da-informacao/ • Engenharia social: pessoas ainda são elo mais fraco, diz especialista, disponível em: http://idgnow.com. br/seguranca/2010/05/25/engenharia-social-pessoas-ainda-sao-elo-mais-fraco-diz-especialista/#&panel2-1 • Métodos inseguros de troca de arquivos predominam no governo dos EUA, disponível em: http:// idgnow.uol.com.br/seguranca/2010/05/18/metodos-inseguros-de-troca-de- arquivos-predominam-no-governo-dos-eua/
Segurança da informação
201
-pontos-de-acesso-sem-fio/
• Comissão aprova regras para serviços de certificação digital, disponível em: http://idgnow.com.br/ seguranca/2010/05/12/comissao-aprova-regras-para-servicos-de-certificacao-digital/ • A formação das equipes de segurança da infor-
Gestão da tecnologia da informação e da comunicação
202
mação, disponível em: http://idgnow.com.br/blog/ mente-hacker/2010/04/08/a-formacao-das-equipes-de-seguranca-da-informacao/
Curiosidade... O americano Kevin Mitnick ficou conhecido na década de 1990 como o primeiro e o mais famoso hacker da história. Ele entrou para a lista de procurados do FBI após uma impressionante trajetória de invasões a sites de empresas e do governo. Em 1995, apanhado em sua casa, foi condenado a cinco anos de prisão por ter causado prejuízos estimados em 80 milhões de dólares. Seu histórico é obviamente o de um transgressor. A diferença de Mitnick para os hackers que andam hoje soltos no ciberespaço é que o americano nunca colocou um centavo no bolso. Seus golpes eram praticados pela tentação do desafio. Veja uma reportagem com Kevin Mitnick no link: http:// blogdodito.com.br/entrevista-com-o-hacker-mais-famoso-do-mundo-kevin-mitnick
8.1 A segurança da informação Segurança da Informação é o ato de prevenir que indivíduos consigam acesso de forma não autorizada ou uso não autorizado de computadores e redes (HOWARD, 1997). É também o ato de proteger a informação dos seus diversos tipos de ameaças, garantindo continuidade dos
negócios, minimizando danos e maximizando o retorno dos investimentos e das oportunidades (FERREIRA, 2003). O acesso não autorizado ocorre quando a empresa não tem políticas e níveis de alçada claramente definidos ou quando seus sistemas não estão preparados para liberar acesso por meio de senhas e perfis específicos. sui o acesso a determinados recursos ou informações utiliza-os de maneira inapropriada. De acordo com a norma ISO 17799, a segurança da informação é obtida pela confidencialidade, integridade e disponibilidade da informação. Também podem estar envolvidas outras propriedades, como autenticidade, responsabilidade e confiabilidade. 1. Confidencialidade Confidencialidade é obtida pela manutenção do sigilo das informações de pessoas não autorizadas. Alguns instrumentos para garantia da confidencialidade: • Sistemas de controles de acesso físicos e sistêmicos: permitem acesso a locais e a informações somente para pessoas autorizadas. • Acordos de confidencialidade ou de não divulgação: informa aos signatários das suas responsabilidades, para proteger, usar e divulgar a informação de uma maneira responsável e autorizada. • Restrições para cópias e divulgações de documentos: minimizam a circulação indevida de documentos corporativos. • Código de conduta: além da confidencialidade, esse documento trata de proteção de dados, ética, uso apropriado de recursos e equipamentos.
203 Segurança da informação
O uso não autorizado ocorre quando alguém que pos-
2. Integridade A integridade diz respeito à consistência das informações. Para a garantia da integridade, deve existir preocupação com todos os elementos envolvidos no processo de transferência de informação: emissor, meio e receptor. Essas transferências passam por sistemas computacionais e podem estar Gestão da tecnologia da informação e da comunicação
204
armazenadas em banco de dados. Envolvem também o meio físico em que estão armazenadas. Pode-se dizer, então, que existem dois tipos de integridade: • Integridade de dados: é a confiabilidade do conteúdo dos dados. Os sistemas que transitam a informação devem estar íntegros, bem como o meio físico que a armazena e a transfere. • Integridade de origem: deve existir a confiabilidade na fonte da informação. Quanto mais confiável for a fonte, melhor será a integridade da informação transferida. Existem também dois mecanismos de garantia da integridade: • Prevenção: mantém a integridade com o bloqueio de acessos que pretendem modificar os dados e as informações. • Detecção: reporta que a integridade não existe mais, seja de forma total ou parcial, nos dados e informações armazenados. 3. Disponibilidade Os dados e informações de uma empresa precisam estar disponíveis no momento em que são necessários. Ter total disponibilidade na empresa não significa ter disponibili-
dade por todo o tempo. A empresa precisa avaliar o momento em que precisa de cada informação para torná-la disponível no momento correto. Deve se preocupar também com a possível degradação de um serviço de fornecimento de informações para que ele não se torne indisponível no momento necessário. mentos podem prejudicar a disponibilidade dos sistemas. 4. Autenticidade A autenticidade diz respeito à confiança que existe na fonte da informação e à integridade da informação apresentada. 5. Responsabilidade Normalmente associada a quem tem a incumbência de manter a confidencialidade, a integridade e a disponibilidade da informação. Pode-se também associar a responsabilidade a quem agiu de forma a degradar algum fator de segurança: confidencialidade, integridade e disponibilidade. 6. Confiabilidade É o grau de confiança que se tem sobre os dados ou informações.
Exercício... Cada um dos requisitos apresentados terá um diferente nível de importância em cada organização. Identifique quais requisitos são críticos e quais são importantes no ambiente financeiro (bancos) e no ambiente universitário. Respostas: Ambiente financeiro: se alguma transação financeira não estiver disponível em algum momento, não há tanto problema. Porém, não há tolerância a erros nas transações realizadas.
205 Segurança da informação
Imprevistos com ataques externos e quebra de equipa-
Fatores críticos: integridade e confidencialidade Fator importante: disponibilidade
Gestão da tecnologia da informação e da comunicação
206
Ambiente universitário: em um ambiente de pesquisas, o fator mais crítico é a integridade das informações que resultam em teorias novas para o mercado. Fator crítico: integridade Fatores importantes: confidencialidade e disponibilidade
8.2 A importância da segurança da informação A melhor maneira de explorar a importância da segurança da informação é contabilizar quanto custará para a empresa não se preparar nesse tema. 1. Web sites invadidos por hackers prejudicam a imagem da empresa perante seus clientes. Prejuízo maior ocorre para empresas que utilizam seus portais para negócios eletrônicos, pois essa operação ficará “fora do ar” em um momento inesperado. 2. Informações confidenciais, quando chegam à concorrência, reduzem a potencialidade das vantagens competitivas. O responsável pelo vazamento de informações pode ser um funcionário mal-intencionado. 3. A população de uma localidade pode ter seus serviços prejudicados quando uma concessionária pública é invadida. E por que ainda existem tantas falhas de segurança, apesar do enorme investimento que é feito em tecnologias? A
melhoria da segurança não é uma solução puramente tecnológica, e não há uma solução para todos os casos. Ataques Um ataque é uma tentativa de obter acesso não autorizado, visando explorar uma vulnerabilidade de infraestrutuma falha na segurança, que por sua vez, tem origem em: • Má configuração Exemplo: liberação de acesso de leitura e escrita em todos os diretórios da rede para todos os funcionários da empresa. • Falha de sistema Exemplo: constantemente existem atualizações de segurança no Internet Explorer a fim de eliminar possíveis brechas para ataques maliciosos. • Falta de capacitação para operação Exemplo: um usuário que define a sua data de nascimento como sendo a sua senha não foi capacitado para distinguir uma senha forte de uma senha fraca. Os invasores Podemos destacar alguns tipos como sendo os principais perfis de invasores de segurança da informação: • Empregados: muitas vezes, insatisfeitos com sua posição ou salário, abrem mão da ética para obter algum ganho financeiro. • Criminosos profissionais: roubo de dados e informações sigilosas para vender para alguma outra entidade (empresa ou pessoa).
207 Segurança da informação
ra ou de software. Essa vulnerabilidade é decorrente de algu-
• Espiões: procuram descobrir as vantagens competitivas da empresa vigiada. O motivo pode ser político ou industrial. • Vândalos: procuram apenas a destruição de imagem e dados pelo prazer de destruir.
Gestão da tecnologia da informação e da comunicação
208
• Caçadores de publicidade: hackers que estão em busca da fama. Normalmente não executam operações financeiras e, às vezes, conseguem montar uma consultoria em segurança. • Ativistas políticos: procuram realizar protestos por meio da invasão de alguns web sites. Ameaças Ameaça é algum evento ou agente causador de algo inesperado, comprometendo a confiabilidade, a integridade ou a disponibilidade das informações e os recursos associados a elas. Segundo Cunha (2005), as ameaças podem ser divididas em três grupos: • Naturais: decorrentes de fenômenos da natureza, como terremotos, tempestades, aquecimento, raios etc. • Involuntárias: normalmente causadas pelo desconhecimento e podem ser causadas por acidentes ou erros. • Voluntárias: propositais, causadas por agentes humanos - hackers, por exemplo.
Curiosidade <fecha box>
Links: http://www.cert.br/ http://cartilha.cert.br/download/cartilha-completa.zip Estudo de caso... Em um trabalho realizado na Unimed (Pinheiro et al., 2004), verificou-se que a fragilidade na segurança da informação poderia comprometer os processos internos e a imagem da marca. Após um projeto de revisão da segurança da informação, a Unimed passou para um estágio de maturidade, garantindo resultados alinhados com as principais características necessárias para a segurança da informação: confiabilidade, integridade e disponibilidade. O quadro a seguir representa essa evolução:
209 Segurança da informação
O CERT.br – Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil – é o grupo de resposta a incidentes de segurança para a Internet brasileira, mantido pelo NIC.br (Núcleo de Informação e Coordenação do Ponto Br), do Comitê Gestor da Internet no Brasil. O CERT.br é responsável por receber, analisar e responder a incidentes de segurança envolvendo redes conectadas à Internet no Brasil. Para auxiliar no entendimento sobre segurança e auxiliar os usuários a aumentar sua segurança na internet, o CERT.br criou a Cartilha de Segurança para Internet. Esse documento é constantemente atualizado com as novas situações, perigos e formas de prevenção.
Evolução da segurança da informação
Gestão da tecnologia da informação e da comunicação
210
Situação original
Situação atual
Resultado
Acesso irrestrito
Acesso personalizado
Integridade da informação
Política de segurança inexistente
Política de segurança em implantação
Confiabilidade e integridade
Serviços aglomerados em servidores
Serviços em servidores específicos
Maior disponibilidade
Trabalhos de segurança eventuais
Trabalhos de segurança diários
Confiabilidade, disponibilidade e integridade
Organização sem visão de segurança
Quebra de paradigma de alta gerência
Continuidade
Topologia inadequada
Topologia visando segurança
Confiabilidade, disponibilidade e integridade
Segundo Pinheiro et al. (2004), o maior benefício alcançado foi a mudança da cultura da alta gerência, da área de TI e clientes internos, tornando a informação um recurso disponível, íntegro e confiável.
8.3 C riptografia A criptografia é um conjunto de técnicas matemáticas utilizadas para proteger uma informação. Permite transformar palavras em outros tipos de mensagem de tal forma que estas sejam inteligíveis para qualquer um que não conheça a chave necessária para decifrar a mensagem. O objetivo principal da criptografia é garantir que uma informação não seja acessada por pessoas não autorizadas. Isso é necessário porque parte-se do princípio de que a informação pode ser capturada por pessoas não autorizadas.
A criptografia auxilia na garantia de algumas das características necessárias na segurança da informação: • Confidencialidade: prevenir visualização de dados por pessoas não autorizadas; dispositivo que pretende entrar na rede;
211
• Integridade: prevenir a alteração dos dados quando
Segurança da informação
• Autenticação: Verificar a identidade do usuário ou
estes trafegam. Alguns tipos de criptografia • Substituição: os caracteres (letras e números) de uma mensagem são substituídos por outro. O receptor necessita ter a tabela de conversão de caracteres para decifrar a mensagem recebida. O método mais conhecido chama-se “cifra de César”, que, a partir de um número K, realiza a substituição de uma letra do alfabeto por alguma que esteja K posições depois. Exemplo: Se K for igual a 2, a palavra CRIPTOGRAFIA será convertida para ETKRVQITCHKC. • Transposição: nesse método, os caracteres permanecem os mesmos, mas em ordem diferente. Por exemplo, na transposição colunar, o texto é escrito horizontalmente e a leitura é executada verticalmente. A decifragem segue o processo inverso para leitura.
8.4 P roblemas mais comuns de segurança nas empresas Gestão da tecnologia da informação e da comunicação
212
Um estudo de Cesar e Onaga (2007) demonstrou os problemas mais comuns que interferem na segurança da informação das organizações: Problema
Por que é grave
O que fazer
Vírus
Podem paralisar a rede corporativa, tirar o sistema de e-mails do ar e roubar senhas.
É essencial manter um sitema antivírus atualizado, além de treinar os funcionários.
Spam
Ocupam a internet das empresas com mensagens inúteis e podem trazer vírus.
Instalar um software de bloqueio de spam e treinar os funcionários.
Roubo de notebooks
Muitas máquinas contêm informações que podem ser vendidas a concorrentes.
Ter políticas rígidas de senhas para notebooks e manter cópias duplicadas das informações.
Acesso remoto indevido
Invasores podem entrar nas redes das empresas e, uma vez lá dentro, roubar informações
Instalar e monitorar sistemas de firewall e sistemas de detecção de intrusos.
Vazamento de informações
Funcionários mal-intencionados ou incautos podem revelar senhas e dados sigilosos.
Adotar um sistema de gerenciamento de identidade, que controla as senhas de acesso.
Curiosidade... É possível testar a cifra de César no link http://www.testset.com.br/cesar_cipher.php.
8.5 Política de segurança da informação de alto nível que indica o que é permitido e o que não é permitido no uso dos recursos de informação da organização. Segundo a ABNT (2005), o objetivo de uma política de segurança é “prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes”. Ainda segundo a ABNT (2005), “convém que a direção estabeleça uma política clara, alinhada com os objetivos do negócio e demonstre apoio e comprometimento com a segurança da informação por meio da publicação e manutenção de uma política de segurança da informação para toda a organização”. Segundo Moreira (2001), a política de segurança deve descrever como os ativos da empresa serão protegidos, manuseados e tratados. Deve-se definir as expectativas da organização sobre o uso de seus recursos (informações, computadores, redes, sistemas etc.), estabelecendo procedimentos com intuito de se prevenir e responder a incidentes de segurança. A elaboração da política de segurança varia de empresa para empresa, pois as características particulares de cada uma interferem diretamente no resultado. A norma ISO 17799 apoia a criação de uma política de segurança na medida em que define controles necessários para se garantir a segurança. De forma prática, Moreira (2001) indica que uma política de segurança da informação não deve:
213 Segurança da informação
A política de segurança da informação é uma diretriz
• Conter detalhes técnicos: a tecnologia evolui constantemente e a política deve permanecer viva por vários anos. Ela não deve ser dependente da tecnologia que se tem no momento. O detalhamento é criado pelas normas e guias operacionais.
Gestão da tecnologia da informação e da comunicação
214
• Ser imitação de políticas de segurança de outras organizações: cada empresa tem suas características e, por isso, deve criar suas próprias regras. • Ser muito extensa: por ser um caminho estratégico que a empresa seguirá na busca da segurança total, a política de segurança da informação não deve se ater a soluções técnicas, dando liberdade para definição de procedimentos específicos a cada nova situação em que a empresa se encontrar. Para que a adesão à política de segurança da informação seja completa, pode ser necessário implementar na empresa um termo de compromisso. O objetivo é que todos o assinem e estejam cientes das políticas vigentes na empresa.
REFERÊNCIAS ABNT. NBR ISO/IEC 17799:2005. Tecnologia da Informação: código de prática para gestão da segurança da informação. BARMAN, S. Writing information security policies. New Riders Publishing, 2001. CESAR, R.; ONAGA, M. Cercadas por hackers. Exame. 12 jul. 2007. Disponível em: http://portalexame.abril.com.br/revista/ exame/edicoes/0897/tecnologia/m0133377.html.
FERREIRA, F. N. F. Segurança da informação. Rio de Janeiro: Editora Ciência Moderna, 2003. HOWARD, J. D. An analysis of security incidents on the internet: 1989-1995. 1997. Tese (Doutorado) – Carnegie Mellon University, Pittsburgh, Pennsylvania, EUA. MOREIRA, N. S. Segurança mínima: uma visão corporativa da segurança de informações. Rio de Janeiro: Axcel Books, 2001. PINHEIRO, D. et al. Segurança da informação na Aliança Cooperativista Nacional UNIMED. 2004. Disponível em: http://www.lyfreitas.com/artigos_mba/unimed.pdf. Acesso em: 31 maio 2010. PELTIER, T. R. Information security policies, procedures, and standards: guidelines for effective information security management. CRC Press, 2001.
Segurança da informação
215