Defesa_v1

43 visualizações

Publicada em

0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
43
No SlideShare
0
A partir de incorporações
0
Número de incorporações
5
Ações
Compartilhamentos
0
Downloads
2
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide
  • mostrar tendência de mercado – modos do Gartner?
  • Defesa_v1

    1. 1. Uma análise sobre a relação risco versus desempenho em governança de TI: estudos de caso em organizações prestadoras de serviços de TI certificadas ISO 20.000 Carlos R. C. Alves Orientador: Prof. Dr. Antonio G. R. Vidal Apresentação de defesa de tese 28 de Abril de 2015
    2. 2. 2 Conteúdo • O problema de pesquisa • Equacionamento da relação risco versus desempenho • Governança de TI • Modelo canônico de processos de gerenciamento de serviços de TI • Método de pesquisa • Coleta de dados: estudos de caso múltiplos • Fase 1: questionário • Fase 2: entrevistas • Análise de resultados • Conclusões
    3. 3. 3 O problema de pesquisa - introdução Sustentabilidade do negócio como preocupação do administrador de empresas ◦ Manter as operações, com lucratividade em face de mudanças constantes Equilíbrio entre Risco e Desempenho ◦ Processo de tomada de decisões Contexto das organizações cujo negócio-fim é Tecnologia da Informação: Governança de TI ◦ Sistema para dirigir e controlar a organização ◦ Sistema de distribuição de direitos e responsabilidades Objetivo da pesquisa Descrever e analisar os fatores associados à aplicação de modelos padronizados de governança de TI em organizações prestadoras de serviços de TI.
    4. 4. 4 O problema de pesquisa - motivação Motivação • Ampla, essencial e universal utilização recursos de TI pelas organizações • Necessidade de aplicar práticas de governança pelos fornecedores de recursos de TI • Modelos padronizados de governança de TI e gerenciamento de processos proliferaram • Organizações optam por utilizar um modelo próprio • Gastos corporativos com treinamentos, consultorias e projetos sobre os modelos de governança de TI são expressivos Contribuições Processos • Processos que são mais críticos para as organizações Teórica • Avaliação do grau de formalismo com se aplicam os processos Fatores de influência • Desenvolvimento do modelo de fatores que influenciam positiva ou negativamente a utilização dos modelos padronizados de governança de TI
    5. 5. 5 O problema de pesquisa - questão principal Os modelos de referência de governança de TI são utilizados conforme originalmente prescritos, em organizações cujo negócio-fim é a prestação de serviços de TI? Se não: • Quais fatores contribuem para as diferenças em relação ao originalmente prescrito e ao efetivamente aplicado? • Quais fatores são positivos e quais são negativos para obtenção do melhor equacionamento da relação risco versus desempenho?
    6. 6. 6 Equacionamento da relação risco versus desempenho Risco Impacto negativo do exercício de uma vulnerabilidade, considerando tanto a probabilidade quanto o impacto de sua ocorrência (NIST, 2001). Desempenho Forma de medir se uma organização atingiu seus objetivos e é capaz de se sustentar como negócio (Maximiliano, 2008) Métricas de acordo com os objetivos de negócio Fig. 15 (p.105)
    7. 7. 7 Governança de TI Um estudo sobre a utilização dos modelos de referência de governança de TI • Fortemente apoiados em processos, com prescrição de: • Atividades, papéis, responsabilidades e autorizações sobre as decisões de investimentos e de operação • Objetivos do gerenciamento por processos são: • Gerar entrega consistente dos serviços • Conhecer como as ações afetam os negócios É a forma pela qual uma organização de TI é dirigida, tratando de direitos de decisão, responsabilidades e mecanismos de monitoramento, visando o alinhamento estratégico da TI com o negócio, a avaliação e o gerenciamento de riscos da TI e a melhoria contínua, otimizando os investimentos em pessoas, processos e tecnologias. Governança de TI Definição proposta a partir das referências: Weill e Ross (2004); Simonsson e Johnson (2005); ITGI (2006); Van Grembergen e de Haes (2008); Fernandes e Abreu (2008); Carvalho (2009); Albertin e Albertin (2010) Pesquisa sobre definições publicadas
    8. 8. 8 Modelo canônico de processos de gerenciamento de serviços de TI Norma com objetivo de transformar em requisitos certificáveis as práticas de gerenciamento de serviços de TI Modelo canônico • Referência publicada para comparação de práticas executadas na organização (Brown e Diguid, 1991) • Comparação nas organizações brasileiras participantes da pesquisa • Organizações brasileiras adotam como referencial de práticas em gerenciamento de TI • Para que as organizações se certifiquem, devem cumprir minimamente o mesmo conjunto de requisitos ISO 20.000 Justificativa
    9. 9. 9 Método de pesquisa Ref.: Webster e Watson (2002) • Pesquisa empírica • Natureza qualitativa • Método de estudos de casos múltiplos (8 casos de 27 organizações certificadas1), dividido em duas fases (1) Identificadas a partir de website, livro especializado e organismos certificadores. Foram contatadas 20 das 27 organizações, sendo que 3 se manifestaram formalmente para não participar (alegando motivos de segurança da informação) e as outras não responderam. (Fig. 14, p.99)
    10. 10. 10 Método de pesquisa Fase 1: questionários • Foco na qualificação das organizações • Questões formuladas com base em referencial teórico • Ferramenta SurveyMonkey • Importância relativa dada pelas organizações ao modelo canônico Fase 2: entrevistas • Foco na relação risco versus desempenho • Análise das entrevistas • Perguntas e respostas possíveis com base no referencial teórico • Validação das respostas da Fase 1 • Redução do viés sobre as respostas (Fishbein e Ajzen, 2010) Coleta de dados realizada em duas fases Critérios para interpretar as descobertas da pesquisa (e reduzir viés de estudo de casos) • Uso de questionário para orientar a pesquisa • Questionário quantitativo antes das entrevistas • Realizaçãode piloto • Método anti viés para criar perguntas • Pesquisador realiza as entrevistas, transcrições, redaçãoe análise dos casos • Uso de outras fontes além das entrevistas
    11. 11. 11 Coleta de dados – Fase 1: questionários • Qualificadoras, priorização de processos e motivadores • Tamanho das empresas • Adoção de modelos de melhores práticas • Riscos • Prioridade: atendimento aos requisitos dos clientes • Execução: associados a erros dos profissionais • Desempenho • Processos prioritários: visibilidade dos clientes • Fatores de sucesso: comprometimento da alta direção, processos eficazes (controle) • Pessoas • Fazem parte da elaboração dos processos • Relação entre processos e pessoas (controle x reflexão em práticas)
    12. 12. 12 Coleta de dados – Fase 1: questionários Qualificadoras, priorização de processos e motivadores 0.0% 50.0% 12.5% 37.5% até 100 100 a 1.000 1.001 a 2.500 maior que 2.500 Respostas possíveis % de respostas obtidas Gestores da empresa (C-level) em conjunto com as áreas de negócio 50% Gestores da empresa (C-level) 25% Área de TI 25% Gestores das áreas de negócio 0% Disperso entre áreas usuárias 0% Tamanho das organizações Respondentes Relacionado ao modelo federativo (Weill e Ross, 2004) Fig. 16 e Tab. 20 (p.122)
    13. 13. 13 Coleta de dados – Fase 1: questionários 8 7 5 4 3 3 5 3 4 4 2 3 0 0 0 1 2 3 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 ITIL PMBoK Cobit BSC Seis Sigma CMM / CMMI Númeroderespostas Não utilizado Investimento em certificação de profissionais Adotado Sendo que a maioria das organizações já possuía seus processos e os adaptaram à norma. Qualificadoras, priorização de processos e motivadores Fig. 17 (p.123)
    14. 14. 14 Coleta de dados – Fase 1: questionários 0 3 2 2 1 0 1 2 3 Completamente avessa a riscos Completamente disposta a arriscar Atitude típica da organização perante os riscos Riscos 6 1 1 0 0 1 2 3 4 5 6 Reduz/mitiga os riscos Compartilha/transfere os riscos Aceita o risco Evita o risco Atitude típica da organização perante oportunidade inovadora com um cliente Figs. 19 e 20 (p.125)
    15. 15. 15 Coleta de dados – Fase 1: questionários Fatores externos sobre investimentos de TI Riscos 14 21 27 28 32 0 5 10 15 20 25 30 35 Poder de barganha dos fornecedores Ameaça de produtos/serviços substitutos Rivalidade entre concorrentes Ameaça de concorrentes novos Poder de barganha dos clientes 18 18 26 26 32 0 5 10 15 20 25 30 35 Política interna Otimismo da gerência Projeto Operacional Técnico Classificação de riscos internos Figs. 21 e 23 (p.126 e 127)
    16. 16. 16 Coleta de dados – Fase 1: questionários Processos da ISO 20.000 com maior impacto Desempenho 0 0 1 2 4 7 7 9 12 18 18 21 21 0 5 10 15 20 25 G. da capacidade G. de configuração Orçamento e contabilização para serviços G. de relações de negócio G. de liberações e implantação Desenho e transição de serviços novos ou modificados G. de fornecedores Pl. de continuidade e disp. de serviço G. de problemas G. de nível de serviço G. de mudanças G. da segurança da informação G. de incidentes e requisições de serviço Placar das respostas Processos D D R R R Cl Cl Cl Co Co Relacionamento entre: • Desempenho e Cliente • Risco e Controle D: Desempenho; R: Risco; Cl: Cliente; Co: Controle Fig. 25 (p.129)
    17. 17. 17 Coleta de dados – Fase 1: questionários Fatores mais importantes para sucesso da adoção e manutenção da norma ISO 20.000 Desempenho Pe: Pessoas; Pr: Processos Fig. 26 (p.130) 0 0 1 4 5 5 5 7 8 9 12 15 15 15 19 0 2 4 6 8 10 12 14 16 18 20 Valorizar profissionais competentes Buscar fornecedores confiáveis Obter ajuda externa à organização (ex.: consultorias,… Controlar planos e ações de melhoria Respeitar o funcionário, com relação à comunicação… Ter um sistema de comunicação eficaz Melhorar a qualidade da documentação Investir em educação e treinamento Planejar a implantação de processos Aumentar o foco no cliente Definir métricas do processo ou da gestão Promover educação / mudança da cultura dos funcionários Estabelecer políticas de gerenciamento Estabelecer processos eficazes Obter comprometimento da alta administração Pe Pr Pr Pr Pr Pr Pe
    18. 18. 18 Coleta de dados – Fase 1: questionários Motivos mais importantes para organizações se certificarem ISO 20.000 Desempenho 5 16 20 24 27 28 0 5 10 15 20 25 30 Exigência de fornecedores Pressão dos concorrentes (por exemplo: eles já haviam se certificado) Estabelecer uma linguagem comum sobre os processos dentro da organização Exigência da governança corporativa Necessidade relacionada a oportunidades de mercado Exigência de clientes placar das respostas Razõesparaacertificação D R D D: Desempenho; R: Risco; Cl: Clientes; Pe: Pessoas; Pr: Processos Fig. 27 (p.132) Benefícios • Experiência no negócio-fim de TI • Intensidade do aprendizado organizacional Desempenho • Foco nos clientes • Clientes satisfeitos • Entrega consistente de qualidade • Política, planos e ações de gerenciamento Cl Cl Cl Pr Pe Pe
    19. 19. 19 Coleta de dados – Fase 1: questionários Pessoas Atitudes do chefe imediato para decisões Conhecimento dos processos x Refletem dia-a-dia Participação na definição dos processos Reflexão em práticas Figs. 33, 34, 35 e 36 (p.136 a 138)
    20. 20. 20 Coleta de dados – Fase 2: entrevistas Fator Evidências Decisão - Investimentos • Tomada de decisões: envolvimento do board Segurança da informação • Regulamentações externas e conformidade • Erros operacionais dos profissionais Continuidade de serviços / Riscos de TI • Atitude perante risco: oferta aos clientes Atitude perante o risco • Depende do momento da organização: • Crescimento = flexibilidade • Estabilização = controle Salvaguarda de ativos • Não apresenta resultados diretos aos clientes Tomada de decisão baseada em informações • Métricas de processos: • Controle operacional e comparar desempenho • Decisões estratégicas Gerenciamento das mudanças • Formalizado para evitar erros operacionais Conformidade com políticas internas • Governança corporativa e decisões do board Risco Tab. 32 (p.181)
    21. 21. 21 Coleta de dados – Fase 2: entrevistas Fator Evidências Recursos e processos dos parceiros • Atividades principais: profissionais da própria organização Foco nos clientes / Clientes satisfeitos • Principal fator de desempenho • Momento da organização (flexibilidade x controle) Escopo de tecnologia • Mercado e demanda dos clientes Competências sistêmicas / Processos eficazes / Saídas de qualidade / Arquitetura • Processos: estabilizar e padronizar operações • Arquitetura de TI: secundária Outros recursos da organização • Investimentos de TI: independentes dessas áreas Conhecimento no negócio de TI • Métricas extraídas dos processos: resultados aparentes Profissionais competentes • Investimentos em capacitação Sistemas de comunicação eficazes • Treinar e comunicar os objetivos e mudanças Políticas de gerenciamento, investimentos, planos e ações • Presença do board Definir um plano estratégico de TI • Cultura de melhoria contínua Desempenho Tab. 32 (p.184)
    22. 22. 22 Análise de resultados Fase 1 Distribuição das organizações Intervalo de distância euclidiana quadrática com Z-scores: resultado bom (stress=5,0%, RSQ=0,99) Fig. 37 (p.190) Variáveis utilizadas: • Tamanho da organização (Q4) • Estratégia de adoção da norma (Q8) • Atitude perante o risco (Q17 e Q18) • Características dos profissionais (Q21 a Q31)
    23. 23. 23 Análise de resultados Fase 1 Organizações de acordo com as atitudes dos profissionais* Análise de conglomerados Avessas a riscos Dispostas a arriscar 1 4 6 7 2 3 5 8 * Intervalo de distância euclidiana quadrática com Z-scores: resultado bom (stress=5,5%, RSQ=0,99): variáveis Q21 a Q31 (Fig. 38, p.192)
    24. 24. 24 Análise de resultados Fase 1 • Participação dos profissionais • Cultura de melhoria contínua • Relação diretamente proporcional: • Visibilidade de ações e Reflexão em práticas Conformidade reflexiva Controle panótico Visibilidade das ações Controle Conformidade às regras Reflexão em práticas Fig. 5 (p.49)
    25. 25. 25 Análise de resultados Fase 2 Tomada de decisões Práticas institucionalizadas de melhoria contínua 88% 13% 0% 0% 0% 5- planos de ação e melhoria, com acompanhamento de seu andamento 4- reuniões de acompanhamento 3- análise formalizada 2- apenas geração de informação, sem análise 1- não são gerados relatórios 0% 20% 40% 60% 80% Fig. 40 (p.194)
    26. 26. 26 Análise de resultados Fase 2 - Risco Riscos de TI que afetam mais diretamente as operações Gerenciamento de mudanças como principal contramedida dos riscos operacionais • Processo/controle x pessoas Tab. 33 (p.197); Fig. 45 (p.199) Operacional (necessita revisões de processos que estão além da capacitação da equipe) 75% Disponibilidade dos serviços 25% Técnico (necessita tecnologia que não está disponível) 0% Político 0% 0% 13% 13% 13% 13% 50% N/A- não há processo definido 1- mudanças são feitas ad hoc 2- há controle das mudanças, mas não formalizado nem para todas as mudanças 3- processo definido, mas com erros na execução 4- processo definido e medido através de relatórios 5- processo definido, interage com outros procesos de governança de TI e seu… 0% 10% 20% 30% 40% 50% Controle e comunicação das mudanças
    27. 27. 27 Análise de resultados Fase 2 - Desempenho Relação entre desempenho e requisitos e satisfação dos clientes Tab. 35 (p.201)
    28. 28. 28 Análise de resultados Fases 1 e 2 Fig. 47 (p.212). Escalonamento multidimensional: 23 variáveis padronizadas. Resultado bom (stress=5,6%, RSQ=0,98) Variáveis: • Tamanho da organização (Q4) • Processo da tomada de decisão (Q5, R1, R9, R11) • Estratégia e benefícios da adoção da norma (Q8, D4) • Atitude perante o risco (Q17, Q18) • Atitude dos profissionais (D8, Q21 a Q31) • Processos (R10, D12)
    29. 29. 29 Análise de resultados Particularidades dos casos • Empresas menores: maior disposição a riscos para que possam crescer • Empresas maiores: visibilidade e controle, consistência de práticas para aumento de escala • Empresa não-TI: maior foco em disponibilidade (em detrimento a): olhar do cliente interno Pontos comuns Adotar mais de um modelo de referência Adotar o modelo canônico para consolidar práticas internas Contratar serviços de terceiros para transferir riscos Investir em treinamentos e certificação Gerenciar à vista através de métricas Apontar processos como principal diferencial da organização Adequar as práticas às regulamentações Considerar pouca importância aos terceiros Considerar pouca importância para o processo de gerenciamento de configuração Considerar planos de recuperação de desastres apenas quando o cliente está disposto a contratar Pontos divergentes Adotar processos padronizados apenas para ganhar escala nas áreas centralizadas (compartilhadas) Verificar na prática a influência da governança de TI no processo de decisão sobre investimentos Fomentar processos de troca de práticas internas Destacar a arquitetura de TI como diferencial Fases 1 e 2
    30. 30. 30 Análise de resultados Fig. 48 (p.212)
    31. 31. 31 Conclusões Como são utilizados os modelos de referência de governança de TI em organizações cujo negócio-fim são a prestação de serviços e infraestrutura de TI? • Quais fatores contribuem para as diferenças em relação aos processos originalmente prescritos pelos modelos de referência de governança de TI e aos efetivamente aplicados? • Quais fatores são positivos e quais são negativos para obtenção do melhor equacionamento da relação risco x desempenho? Não são aplicados como originalmente prescritos. • Controle e visibilidade sobre as atividades • Áreas centralizadas x próximas do cliente • Utilidade do processo • Estabelece o ecossistema de org. de TI Tabs. 38 e 39 (p.215 e 216) • Priorização das necessidades dos clientes • Maior desempenho  maior risco • Decisão: arcar com os custos da governança • Padronizar atividades para minimizar riscos operacionais • G. Mudanças • Melhoria contínua Negativos Positivos
    32. 32. 32 Conclusões Método • Definir as questões e possíveis respostas antes da aplicação dos instrumentos de coleta facilita a análise de dados • Aplicar a Fase 1 para mais organizações • Aprofundar a Fase 2 para um número menor de casos Trabalhos futuros • Panorama de TI no Brasil: inclusão de mais organizações • Melhoria do questionário através das perguntas propostas nas entrevistas • Propostas da evolução do modelo canônico • Maior adequação à realidade das organizações • Utilidade relativa dos processos • Pressão sobre os profissionais • Pesquisa nas organizações para determinar esta influência
    33. 33. 33 Agradecimentos
    34. 34. Uma análise entre a relação risco versus desempenho em governança de TI: estudos de caso em organizações certificadas ISO 20.000 Carlos R. C. Alves Orientador: Prof. Dr. Antonio G. R. Vidal NUSP 2377105 - crcalves@usp.br

    ×