terça-feira, 15 de novembro de 2011

Monitoramento Contínuo para Gestão e Governança de TI

Nos encontros sobre monitoramento contínuo, tenho concluído que a demanda sempre existiu, mas era reprimida pela falta de método e software.


Mesmo com o título do post falando de TI, ele vale para qualquer executivo C-level que deseje conhecer mais sobre o assunto.


É comum escutar executivos que desejam "monitorar tudo, o tempo todo", não é a forma correta de começar, mas é um caminho. Usamos como símbolo uma espiral de Fibonacci e adotamos o lema: "pense no todo, comece pequeno, cresça rapidamente", veja o post de setembro "monitorar o que?".


O CIO é um executivo que tem um grande número de assuntos heterogêneos para administrar, atua em um segmento com pouca base teórica de gestão pois é uma profissão nova e em frequente mudança, e carece de ferramenta para sua própria gestão.


Vamos adotar como referência a versão do Cobit 5 que o ISACA disponibilizou em Exposure Draft e usou o título de "The Framework"; realmente ele promete. Esta versão está finalmente alinhada com a governança corporativa e separa a governança da gestão. Note na imagem a seguir que tanto na gestão quanto na governança existem fases de monitoramento.




Monitoramento contínuo é essencialmente uma ferramenta para a gestão, mas permite que a governança tenha indicadores à mão, por isso pode ser aplicado tanto em gestão como na governança. Temos que virar o jogo, hoje a principal ferramenta de monitoramento para a governança é o telefone: quando os indicadores chegam ao nível crítico, alguém liga para o chefe. A maior parte das informações estão na cabeça das pessoas, em bancos de dados e sistemas que não se falam, e em planilhas.


Vamos dividir os temas conforme o modelo proposto pelo Cobit 5. Note mais uma vez que monitoramento é palavra de destaque: ele faz a ligação entre a gestão e a governança.




Veja o monitoramento contínuo através dos domínios do Cobit 5:

  • Plan: O monitoramento da fase de planejamento é a base para as próximas fases, ela considera as demandas e expectativas dos usuários, os padrões de TI, o legado da infra-estrutura, as tendências tecnológicas, os fornecedores e a inovação, tudo isso deve gerar a visão de futuro. Você não precisa esperar o planejamento ficar pronto para adotar o monitoramento contínuo, ele já lhe ajuda nesta fase; 
  • Build: Aqui é a primeira parte da execução, onde há a construção, a definição de requisitos, a implementação dos projetos, as aquisições e a gestão de mudanças. O monitoramento contínuo permitirá o controle de cada atividade, a coerência com os objetivos e o planejamento, e a preparação para a fase de operação;
  • Run: Esta é a fase de operação, quando o ambiente está em produção. Durante esta fase são monitorados os indicadores da operação, os ativos, a segurança, os níveis de serviço, e os problemas e incidentes. Adotar o monitoramento contínuo nesta fase vai lhe fornecer um painel de controle da operação e dos serviços prestados pela área de TI;
  • Monitor: Esta é a fase que une a gestão à governança e é a essência do monitoramento contínuo, a partir dela as fases anteriores são monitoradas e avaliadas conforme os objetivos de negócio e as exigências externas (clientes, legislação e agências reguladoras). A partir destes controles a governança organiza e realiza a evolução contínua das demandas de TI.

Para implementar este modelo nossa proposta é a adoção das fases do Módulo GRC Metaframework:

  • Inventariar: Manter o inventário dos usuários e objetivos de negócio, e dos projetos, operações, sistemas e serviços de TI;
  • Analisar: Coletar e analisar os indicadores de cada elemento inventariado, considerando os modelos preventivo (controles, vistorias, melhores práticas, ...) e corretivo (ocorrências, incidentes, problemas, ...); 
  • Avaliar: As informações coletadas na fase anterior devem ser integradas e analisadas de diversas formas (painel de controle, relatórios, mapas, top 10, ...). Esta é a fase da decisão, e vai considerar a análise de muitas variáveis heterogêneas. As decisões aqui tomadas serão tratadas e acompanhadas na próxima fase;
  • Tratar: Esta é a fase do workflow de acompanhamento das decisões. Durante o processo de gestão e governança de TI são tomadas decisões de planejamento, projeto, operação e de ocorrências, estas decisões precisam ser acompanhadas em sua implementação. Também na fase de tratamento é realizada a prestação de contas;
  • Veja na imagem a seguir que estas fases formam um ciclo, quanto mais giros forem dados, maior será o aprendizado e a melhoria contínua. Por exemplo, você não precisa inventariar tudo para começar a análise, basta inventariar um ativo, projeto, operação, sistema ou serviço por exemplo que o ciclo começa a girar.




Para convencer você a ler o documento do Cobit 5 (ele vai virar o livro de cabeceira do CIO), note na imagem a seguir que o modelo de implementação é mais um modelo cíclico. Veja como as tendências se encontram:




Já temos nossos mantras:

  • Usar modelos cíclicos;
  • Pensar no todo, começar pequeno, crescer rapidamente;
  • Adotar como base teórica o modelo de GRC-Governança, Riscos e Compliance.
O assunto é amplo e será objeto de novos posts, estou à disposição.

Aquele abraço,

FNery
fnery@modulo.com.br
Postado por às

2 comentários:

  1. Andre Luis Araujo15 de novembro de 2011 às 15:59

    Parabéns pelo post Fernando. Como sugestão acho importante reforçar cada vez mais o conceito de que governança de TI é atribuição pessoal e intransferível da Alta Administração e não do gestor de TI. Grande abraço

    ResponderExcluir
  2. Anônimo8 de dezembro de 2014 às 15:30

    Não só da Alta Direção. Ela é essencial, mas se os Gestores não abraçarem... não haverá Governança.

    ResponderExcluir

Assinar: Postar comentários (Atom)