O documento discute riscos de negócio associados ao outsourcing de sistemas de informação. Apresenta um framework para gerenciamento de riscos com foco nos processos de negócio. Também discute modelos de outsourcing e a importância de avaliar capacidades dos provedores, especialmente para tecnologias emergentes.
Business Risk Perspectives on Information Systems Outsourcing
1. 1
Artigo: Bhattacharya, S., Behara, R. and Gundersen, D. Business Risk Perspectives on
Information Systems Outsourcing. International Journal of Accounting Information Systems.
v.4, p.75-93, 2003.
2. 2
Objetivo do Artigo:
Propor um framework de gerenciamento de riscos do
Outsourcing de Sistemas de Informação para o negócio,
abrindo caminho para pesquisas futuras.
Business Risk Perspectives on Information Systems Outsourcing
3. 3
Agenda:
1. Introdução
2. Modelos de Outsourcing de Sistemas de Informação
3. Administrando o risco para o negócio
4. Conclusão
Agenda:
1. Introdução
2. Modelos de Outsourcing de Sistemas de Informação
3. Administrando o risco para o negócio
4. Conclusão
Business Risk Perspectives on Information Systems Outsourcing
4. 4
Introdução:
2000’s: Outsourcing de Sistemas de Informação (SI) visto como “next
big wave”.
Grandes provedores (IBM, EDS, etc) preparados para ofertar
serviços.
Popularização do tema e ênfase da mídia.
Marco histórico: Sucesso da KODAK no Outsourcing de SI.
Os motivadores para o Outsourcing de SI tanto internos como
externos.
Business Risk Perspectives on Information Systems Outsourcing
5. 5
Introdução:
O foco do artigo não está nos riscos da terceirização de tecnologia,
mas nos riscos da terceirização de processos de negócio.
Business Risk Perspectives on Information Systems Outsourcing
Sistemas de Informação (SI)
existem para executar-se
processos de negócio.
Sistemas de Informação (SI)
existem para executar-se
processos de negócio.
O Outsourcing de SI lida direta
ou indiretamente com os
processos de negócio (auxiliares
ou de missão crítica).
O Outsourcing de SI lida direta
ou indiretamente com os
processos de negócio (auxiliares
ou de missão crítica).
O fenômeno do Outsourcing
“desconfigurou” a estrutura
tradicional da TI.
O fenômeno do Outsourcing
“desconfigurou” a estrutura
tradicional da TI.
O excesso de confiança nos
parceiros acelerou a perda do
controle das funções de TI.
O excesso de confiança nos
parceiros acelerou a perda do
controle das funções de TI.
6. 6
Modelos de Outsourcing de Sistemas de Informação:
Características prévias da empresa para Outsorcing de SI:
1. Redução e controle de custos
• Assume-se que o provedor é capaz de fazer o mesmo serviço a um custo menor.
Provedores controlam melhor os custos, tem expertise e economia de escala.
Empresas menores geralmente são mais sensíveis a variável custo.
2. Foco no “core business”
TI vista como atividade de suporte. Ex: British America Tobacco.
Reter apenas os componentes de TI que são estratégicos para o negócio.
3. Necessidade de desinvestir ou desimobilizar a TI
Retorno financeiro pela transferências de ativos tangíveis e intangíveis ao provedor.
Provedor explora o compartilhamento da estrutura com outros clientes.
4. “Capabilities” da TI
Insatisfação e conseqüente busca por melhores serviços.
Necessidade de renovar a TI sem fazer investimentos.
Geralmente sucede uma falha em um projeto estratégico.
5. Fatores externos (ambiente)
Desejo de seguir a tendência de mercado: mídia, pressão do fornecedor, etc.
Fácil acesso a novas tecnologias e talentos.
Business Risk Perspectives on Information Systems Outsourcing
7. 7
Modelos de Outsourcing de Sistemas de Informação:
Modelo 4-S para Outsourcing:
.
Business Risk Perspectives on Information Systems Outsourcing
Fatores:
• O provedor é capaz de
fazer o mesmo serviço a
um custo menor.
• Decisão racional.
Fatores:
• O provedor é capaz de
fazer o mesmo serviço a
um custo menor.
• Decisão racional.
Fatores:
• Ganhos de curto prazo.
• Reinvestimento no
negócio.
Efeito colateral:
• Perda de capital
humano.
Fatores:
• Ganhos de curto prazo.
• Reinvestimento no
negócio.
Efeito colateral:
• Perda de capital
humano.
Fatores:
• Dificuldade em gerir a TI. “Transferir o
abacaxi”.
Efeito colateral:
• Falta incentivo para o provedor tornar-se
um parceiro de fato.
• Pouco espaço para o provedor inovar
nas atividades de missão crítica.
• No caso de falha o caminho de volta é
muito difícil.
Fatores:
• Dificuldade em gerir a TI. “Transferir o
abacaxi”.
Efeito colateral:
• Falta incentivo para o provedor tornar-se
um parceiro de fato.
• Pouco espaço para o provedor inovar
nas atividades de missão crítica.
• No caso de falha o caminho de volta é
muito difícil.
Fatores:
• Alto valor agregado nas
áreas de especialização.
• Escalabilidade do
provedor.
Fatores:
• Alto valor agregado nas
áreas de especialização.
• Escalabilidade do
provedor.
8. 8
Modelos de Outsourcing de Sistemas de Informação:
Matriz de decisão Outsourcing-Reengenharia:
.
Business Risk Perspectives on Information Systems Outsourcing
Requer grande
esforço de
coordenação e
cooperação.
Requer grande
esforço de
coordenação e
cooperação.
A aplicação é
concebida de forma
emergente e dinâmica.
A aplicação é
concebida de forma
emergente e dinâmica.
Outsourcing é uma
decisão geralmente
apropriada.
Outsourcing é uma
decisão geralmente
apropriada.
A capacidade de provedores
lidarem com soluções inovadoras
precisa ser cuidadosamente
avaliada.
A capacidade de provedores
lidarem com soluções inovadoras
precisa ser cuidadosamente
avaliada.
A matriz de decisão outsourcing-reengenharia contribui para
contrabalançar o risco associado com a inovação e mudança de
processos transfuncionais.
9. 9
Administrando o risco para o negócio:
Risco é a possibilidade de um resultado insatisfatório.
RE – Risk exposure
P(UO) – Probability of an uncertain outcome
L(UO) – Loss to the affected parties if the outcome is unsatisfactory
Risco é percebido como ameaça ao sucesso (impacto negativo).
Risco também pode estar associado a oportunidades (impactos positivos).
Business Risk Perspectives on Information Systems Outsourcing
10. 10
Administrando o risco para o negócio:
O autor cita o ciclo de gerenciamento de risco do PMBoK: Risk Management Planning;
Risk Identification; Quantitative Risk Analysis; Qualitative Risk Analysis; Risk Response
Planning; Risk Monitoring and Control.
Business Risk Perspectives on Information Systems Outsourcing
Se o risco de executar uma
atividade é menor quando a
“transferimos” para um provedor,
ela deve ser terceirizada.
Se o risco de executar uma
atividade é menor quando a
“transferimos” para um provedor,
ela deve ser terceirizada.
Desenvolver as capacidades
internamente, preparar
provedores para que assumam
no futuro.
Desenvolver as capacidades
internamente, preparar
provedores para que assumam
no futuro.
No caso de tecnologias
emergentes, os risco de executar
internamente ou por um terceiro
se equivalem.
No caso de tecnologias
emergentes, os risco de executar
internamente ou por um terceiro
se equivalem.
11. 11
Administrando o risco para o negócio:
Outsourcing e e-business:
Algumas organizações apostam em soluções tecnológicas para melhorar a
competitividade.
A motivação para o outsourcing muda de custo-capacidade para gestão da
mudança tecnológica.
Portfólio de serviços de SI passou a incluir serviços baseados em internet:
• Velocidade – a criticidade do SI aumentou consideravelmente.
• Escalabilidade – para atender o ritmo do negócio tornou-se uma necessidade.
• Disponibilidade do serviço, sem interrupções.
• Flexibilidade – recursos avançados de negócio “on tap”.
• Gestão da mudança – capacidade de inserir novas tecnologias sem gerar impactos
ou descontinuidades para o negócio.
Business Risk Perspectives on Information Systems Outsourcing
12. 12
Framework para gerenciamento do risco no outsourcing de SI:
A contabilidade-financeira é o “alicerce” dos SI de muitas empresas, por esse motivo o
gerenciamento de riscos do Outsourcing de SI fica sob a tutela dessa área.
Business Risk Perspectives on Information Systems Outsourcing
• Contrato que define a performance e qualidade esperadas
e as conseqüencias do não atingimento das metas.
• Clientes vem demandando mais e mais garantias:
disponibilidade, confiabilidade e escalabilidade.
• Quais são os critérios utilizados pelos provedores para definir
a fronteira do risco aceitável?
• Incentivo / Recompensa por
iniciativas bem sucedidas
(comum em projetos).
• É necessário definir critérios para
medir a participação de cada
membro do grupo / consórcio no
caso de sucesso (ex: fornecedor
prime).
• Como os dados serão coletados e
transmitidos?
• Onde eles se originam?
• Que técnicas de autenticação
devem ser empregadas?
• Como a informação deveria ser
processada e protegida?
• Atestados de segurança e
integridade de dados emitidos
pelo AICPA (Amarican Institute of
Certified Public Accountants) para
provedores de serviços de SI.
• Critérios especiais para aceitar e
substituir parceiros de uma
aliança / consórcio.
Uso de mecanismos de
medição de retorno sobre o
investimento com o objetivo de.
maximizar resultados. (ex:
consolidação de parceiros
através de contratos regionais /
globais).
Necessidade de
verificação de
qualidade
Necessidade de
certificação.
13. 13
Conclusão do autor:
A magnitude e a duração dos contratos de outsourcing é um indicativo de que
grandes mudanças estão acontecendo neste campo.
A continuidade dos contratos passa a ter relação direta com a habilidade dos
provedores em gerir o risco associado aos processos de negócio.
O framework proposto é um passo importante no entendimento das capacidades
requeridas pelas empresas e seus provedores.
Uma vez que passamos a adotar dispositivos de “ônus” e “bônus” de contratos de
prestação de serviço, faz-se necessário entender a real contribuição de cada
empresa no contexto de um grupo bem sucedido.
Outsoursing de processos abre espaço para atividades de certificação e
verificação.
Tendência em se valorizar os parceiros de um provedor do que suas
capacidades individuais.
Business Risk Perspectives on Information Systems Outsourcing
14. 14
Comentários:
Em se tratando de outsourcing de processo de negócio, algumas questões
importantes associadas a Assurance & Attestation Functions e Third Party
Assurance foram parcialmente endereçadas pelo artigo, e podem ser exploradas
por pesquisas futuras:
Políticas para concessão de perfis e direitos de acesso (não conflito de
funções).
Acesso a ambientes de projeto e/ou homologação com cópia de dados de
Produção.
Mecanismos de cópia seletiva e criptografia de dados de Produção.
Acesso físico de funcionários e terceiros ao local de trabalho versus o risco
para o negócio.
Práticas para admissão e desligamento de funcionários (boa parte das
sabotagens vem de funcionários ou ex-funcionários da empresa).
Business Risk Perspectives on Information Systems Outsourcing