IH — O que é gerir ativos e riscos da TI?

MAURÍCIO — O tema de gestão de ativos e riscos está muito em voga em função do Basiléia 2 — trata de gestão de risco de crédito, de risco de mercado e de risco operacional. Ninguém pode fazer nada a respeito de risco de mercado, o governo sabe disso. Pensamos controlar o risco de crédito, e mesmo assim temos surpresas. Eu sou o exemplo vivo disso. Graças a Deus, ainda vivo. (risos).

IH — O Maurício foi o CIO do Banco Santos...

MAURÍCIO — Quanto ao risco operacional, temos boa condição de ajudar, e gestão de ativos tem tudo a ver com a gestão de risco operacional. Eu dividiria gestão de risco operacional na área de TI em três tópicos. O primeiro é a gestão de perfis de pessoas, ou seja, o que as pessoas podem e devem fazer. O segundo é a gestão da infra-estrutura: hardware, software, telecomunicações e, obviamente, a gestão da continuidade e da estabilidade dos negócios dependentes dessa infra-estrutura. O terceiro é a gestão de conteúdos e processos: quem administra quais conteúdos e como. Algo na linha do ECM e do BPM (ECM: gestão dos conteúdos da empresa; BPM: gestão dos processos da empresa). Como, usando ECM e BPM, podemos ter processos aderentes à realidade da empresa, auditáveis, eficientes, alcançados pelos clientes por meio de interface única, interligados aos legados da empresa? A área de TI pode fazer muito. Pode uniformizar as plataformas, para simplificar a administração e, conseqüentemente, diminuir o risco. Usando vários mecanismos, pode prover contingência e continuidade dos negócios. Pode treinar o pessoal, de modo a diminuir a ocorrência de falhas. Pode monitorar a infra-estrutura — a disponibilidade, o desempenho, a saturação de determinados legados, os níveis de serviço. É importante tornar fiel a documentação dos processos, a documentação tem de ser espelho do processo e o processo, espelho da documentação. É boa forma de diminuir o risco. É bom treinar o pessoal para que valorize os processos — não as ferramentas, não os sistemas operacionais, não as linguagens. Nada disso faz sentido. O que vale a pena é o processo, pensando desde o princípio em vulnerabilidades, flexibilidade e capacidade de auditoria. Outra questão: é preciso trabalhar de forma mínima, sempre questionar toda e qualquer mudança no ambiente de TI, porque às vezes inserimos uma novidade na TI e inserimos risco também.

ADILSON — Cada banco, conforme o tamanho, enxerga esse tema de maneira diferente. No Banco Alfa, não temos desenvolvimento de sistemas, usamos soluções de mercado. A diferença só está em quem faz, é fornecedor externo contra fornecedor interno, mas as outras preocupações são as mesmas. Resolvi selecionar um pouquinho das pesquisas, feitas pelo mundo, sobre esse assunto; o que fazemos aqui, praticamos aqui ou sofremos aqui não é uma especificidade nossa, o mundo está passando por transformações. Por exemplo, a lei Sarbanes-Oxley. Em 2005, previu o Gartner, 10% do orçamento para serviços de TI, no caso empresas na América Latina, será gasto para cumprir as exigências da Sarbanes-Oxley, quando for o caso; vejam o impacto desse tipo de regulamentação na economia, nas empresas e na TI. Num outro estudo, da Oracle Corporation e da revista The Economist, feito com 136 executivos e com 65 investidores, os entrevistados falaram de três coisas críticas: comportamento ético dos profissionais, boa governança e transparência nas negociações. Tudo isso vem ganhando importância muito grande para quem investe em TI ou gerencia a TI. Ao mesmo tempo, uma outra pesquisa, feita pela Veritas Disaster Recovery e pela Dynamics, mostrou que só 38% das empresas possuem um plano integrado de continuidade dos negócios. Então, tem um gap, e esse gap deve ser estudado. A gente precisa entender também que, aqui, o Banco Central está auditando as instituições financeiras, por meio de um modelo de governança chamado Cobit. A exigência é a mesma, para banco grande, médio ou pequeno. Então, essas coisas não têm muito a ver com o porte, ou seja, todos temos o que fazer.

ADEMAR — Até pouco tempo, as seguradoras não ligadas a bancos não tinham muitas dessas preocupações. Mas a Susep (Superintendência de Seguros Privados) vem regulando cada vez mais. Isso começou com a circular 249, com uma série de passos a seguir, inclusive ter CPD para recuperação de desastres, que, por incrível que pareça, a maioria das seguradoras não tem. Esse é o conceito de proteger não só os acionistas, mas também os segurados. Eu tenho dito na empresa que o ativo mais importante é informação, porque é possível repor todos os outros ativos. Informação perdida não há quem reponha. Uma das dificuldades é que, para cuidar da informação, é preciso dar muito valor a processos, inclusive o de documentação. Tem aquela triste história de organização e métodos, que morreu. E hoje eu vejo: a TI não funciona sem processos, e processos negociados em toda a empresa. E às vezes seguir os passos conflita com outros interesses na empresa, é um problema a resolver. Acho que esses dispositivos legais, como a circular 249, ajudam a gente. Outra circular, a 285, obriga a seguradora a dar conta de todos os ativos de informática e versa sobre a responsabilidade do diretor de informática. Vamos ter muito trabalho para mostrar como os ativos de informática estão bem administrados e como os conteúdos estão à prova de desastres.

JOSÉ — Todos sempre citam processos, pessoas e infra-estrutura. Mas, sem pessoas com qualificação, pessoas com boa vontade para entender e gerir toda a infra-estrutura, nada vai adiantar. Falar sobre recuperação de desastres é chover no molhado, quase ninguém tem isso no Brasil. Todo mundo tem dados replicados, eles não garantem recuperação de desastres. Acontece que informática é uma coisa recente na nossa vida; quem tem a minha idade, viu como antes tudo era feito manualmente. A informática tem evoluído realmente. Não tem mais retorno, essa evolução vai indo em escala geométrica, a informática vai ser uma luta constante dentro das empresas. Se a empresa quiser continuar crescendo, vai precisar de sistemas com todas as informações necessárias, com garantia desses dados para o futuro. Essas regulamentações todas, Basiléia 2 e Sarbanes-Oxley, dão uma organizada nisso, mas toda empresa que pensa no futuro já pensa nessas coisas todas: os controles internos, as auditorias. E a gente não faz nada porque nasceu aqui. Isso tudo é um movimento mundial. A gente se relaciona muito, o mercado está muito aberto, não tem muita saída, ou a empresa está incluída nesse movimento mundial, aliás de onde vêm essas regulamentações, ou está fora do mercado. Não tem saída e o banco não é diferente de ninguém. Mas leva tempo para internalizar a cultura do controle. Sobre infra-estrutura, o próximo salto é apartar, estamos construindo um datacenter em Brasília para isso, para recuperação de desastres.

JOÃO — Sobre gestão de ativos, entendo ativos como tangíveis e intangíveis. Quando falamos de ativos tangíveis, falamos do que conseguimos gerenciar melhor, como infra-estrutura. Quando falamos de ativos intangíveis, falamos do valor associado a cada informação, que sequer é quantificado ou medido, e por isso é difícil a gestão dos riscos associados a esse valor. Mas, quando se fala de mão-de-obra, de capital intelectual, é preciso pensar em gestão da força de trabalho. O capital intelectual é um ativo que pode ser gerenciado, com aprendizado sistematizado, gestão eletrônica de documentos, gestão dos conteúdos da empresa. Mas como as empresas gerenciam ativos? Elas tem um departamento específico, tem lá um software especializado, que controla o inventário dos ativos. Mas qual é a inteligência disso? Como, a partir do inventário, a empresa consegue saber se está aplicando os recursos necessários para atender um processo de negócio? Qual é o retorno sobre o investimento feito nos meus ativos? À medida que as empresas crescem, precisam de controle em tempo real. Uma empresa pode ter abrangência nacional, mas a gestão é centralizada. Como o CIO pode saber que um funcionário desconectou um PC da rede e o levou para casa? Ele só sabe que o PC foi desplugado, mas não sabe o que aconteceu com as informações. Sem processos e infra-estrutura, não é possível saber qual é o prejuízo provocado não só pela falta de segurança física, mas também lógica e estratégica. Por isso, a gente precisa dizer que Basiléia 2 e Sarbanes-Oxley são bênçãos do céus, são processos que a área de TI ganha de presente para implementar.

PATRÍCIA — Em 2001, o SPB nos pegou de surpresa — nós e o mercado inteiro. A Tecban teve de instituir uma câmara de compensação e liquidação, para nós a tecnologia e a regulamentação foram surpresa. A câmara é sujeita à resolução 2.554, que trata de controles internos e é a resposta do Banco Central ao Basiléia 1. Não bastava fazer, era preciso provar que fazia. Precisamos passar por processo de formalização muito grande. Tivemos cerca de um ano, e fizemos um mapeamento macro de todos os processos da Tecban, processos de negócio e de suporte ao negócio, e fizemos uma grande parte da identificação de riscos: a 2.554 pede que você conheça os riscos e trabalhe neles. A Tecban é uma empresa muito operacional, nosso negócio é administrar caixas eletrônicos de auto-atendimento. O mais interessante é que nossos maiores riscos não eram ligados à operação das máquinas, mas à operação da TI, à segurança da informação. Acesso é de longe o maior risco, com a integridade e a disponibilidade das informações ao longo do tempo. O segundo maior risco é desenvolvimento íntegro de sistemas; é preciso gerenciar corretamente fontes, objetos, versões de aplicativos, configurações, mudanças, além da conformidade, isto é, só desenvolver o que realmente precisa ser desenvolvido.

TÁCITO — Mesmo tendo me desligado da Serasa, de certa forma ainda a represento. A Serasa pertence aos bancos, presta serviço aos bancos, mas é um serviço distinto, de apoio a decisões de crédito, é tão vital quanto serviços operacionais. Hoje, a Serasa recebe entre 2 e 3 milhões de consultas por dia. Dar garantia da continuidade é muito importante. Mudança de cultura foi uma dificuldade. Quando a Serasa decidiu investir em certificação digital, o trabalho de criar a infra-estrutura foi uma oportunidade semelhante à trazida pelo Basiléia 2 e pela Sarbanes-Oxley. O SPB nos deu condições de fazer coisas concretas, pois tivemos de provar nossa capacidade de fazer as coisas adequadamente. Com a infra-estrutura de chaves públicas, a gente passou por umas 20, 30 auditorias. Cultura é muito importante, fazer com que a empresa aceite e valorize os novos procedimentos. Obtivemos a certificação da BS 7799 faz um ano, e todo mês temos reuniões para avaliar o risco na certificação digital. Não é fácil mensurar o risco operacional, ou seja, quanto dinheiro um banco perde com acidentes na operação. Na Serasa, que vive de informações, a perda pode ser séria. Por isso, construímos no ano passado um segundo CPD, que já está operacional, com dois mainframes síncronos, com continuidade praticamente imediata. O que está em andamento é a documentação de tudo isso. Estamos investindo também em processos de gestão dos componentes dos software, como já fazíamos no mainframe. Na minha visão, o importante é estabelecer elos de realimentação. A gestão da empresa precisa saber o que está fazendo. A Serasa já obteve o Prêmio Nacional da Qualidade em 1995, em 2000, e vai tentar se qualificar de novo. Para ser sincero, para quem está no processo, é difícil. Mas isso leva ao aculturamento, temos um grupo de medições que olhamos periodicamente — é uma visão que te empurra à nota dez.

IH — Que parte tem a gestão das pessoas na gestão de ativos e riscos da TI?

ADEMAR — Uma das minhas grandes frustrações como diretor é que nunca se aprende a gerenciar pessoas; o mesmo departamento que está bem este ano pode piorar no ano que vem. E a TI hoje tem n camadas. Quando montamos meu departamento, éramos quatro pessoas, fazíamos tudo o que precisava ser feito. Hoje somos mais de cem, mais os terceiros, e o backlog só aumenta. O que nos falta agora é a pessoa que sabe ir ao usuário, ao cliente, definir bem o que ele quer, apresentar a solução — e ele ficar contente com a solução. Mas o que tem acontecido? Você instala coisas, o processo deveria funcionar sem nenhuma manutenção, mas tem um monte de gente carregando aquilo nas costas, é de noite, é sábado, é domingo, porque tem um erro ou uma abordagem mal feita. Por quê? Porque ninguém tem mais tempo para fazer nada, e precisa fazer tudo muito depressa. Como gente de TI, não temos que criticar as circulares da Susep, mas antes usá-las para conseguir investimentos. Minha grande preocupação é formar as pessoas para que realmente consigam entender o negócio, associar esse entendimento à TI, instalar uma vez só e tudo funcionar. É o desafio que vivo perseguindo e que não tenho alcançado.

PATRÍCIA — A gente enxerga as pessoas por três dimensões: o conhecimento, as atitudes e as habilidades. São três dimensões para gerenciar; pessoas são um ativo complicado. Quanto ao conhecimento, além do problema de obtê-lo, tem o da pessoa-chave. É um grande risco operacional ter o conhecimento do negócio só na cabeça das pessoas. Esse risco pode ser minimizado por documentação e descrição de processo. Existem ferramentas para isso, mas antes de mais nada: cultura, de novo. Atitudes são uma coisa que a empresa pode gerenciar até certo nível. Navegar na Internet em sites que trazem risco para a empresa, ou usar mal o e-mail, ou não trocar a senha. Isso dá para melhorar com treinamento e conscientização. E tem que auditar tudo isso. Quanto às habilidades, são o que a pessoa é capaz de fazer: ser líder, auditor, executivo. Isso tudo é o campo fundamental da gestão do conhecimento. E pode automatizar o quanto for: se uma pessoa não tiver o conhecimento, a atitude ou a habilidade necessária, vai estragar tudo. WALDIR — O mais importante na empresa é o capital humano; toda empresa precisa de política muito forte de motivação. O básico é ter confiança no capital humano, ou a empresa desce a níveis exagerados de controle e perde eficiência. Treinar é a palavra-chave. Se você conseguir motivar as pessoas a ponto de ter controles, ótimo. Acho que diminuir riscos está nas mãos das pessoas. Se não tiver confiança nas pessoas, elas sempre acham um jeito de burlar os controles, por mais controles que existam.

IH — Uma pergunta ao Maurício, sobre atrelamento da TI aos objetivos de negócio: no caso do Banco Santos, houve uma dissociação entre a TI e o negócio?

MAURÍCIO — Quando eu saí do banco, ele já estava com problemas financeiros e já tinha dificuldade de pagar o compulsório (ao Banco Central). Quando saí, portanto, já havia tendência a demissões. Mas em qualquer instituição financeira o CIO precisa acreditar nos números que lhe fornecem. Você recebe a boletagem (os dados relativos às operações financeiras) e não tem como saber se aquele cliente existe, se aquele cliente merece crédito, se ele não merece crédito. Existem comitês dentro do banco para avaliar esse merecimento, dos quais, aliás, a TI nem participa. A única coisa que eu posso dizer a respeito do banco é que todas as contas batiam, mesmo sendo absurdas. Papel aceita tudo, Excel aceita tudo e sistema aceita tudo. Além disso, nós seguíamos à risca a regra de segregação de funções: a área de TI não tinha nenhum acesso a dados de produção — nenhum! Logo, eu não tinha nem condições de saber como eram as operações. E o pior é que tudo isso está certo, tem que ser assim mesmo, e só isso já é um grande fardo, acreditem.

JOSÉ — Essas regras, como a Sarbanes-Oxley, definem justamente as responsabilidades e as penalidades. Na tecnologia, os dados vêm daquele contador que pergunta assim, “Chefe, qual é o resultado que o senhor quer no seu balanço?” Essas regras internacionais são uma bênção porque permitem ao pessoal de fora olhar alguns indicadores que não aparecem em balanços.