Nos
últimos anos eu venho recebendo uma grande quantidade de mensagens de
profissionais enaltecendo os seus méritos nos projetos de governança de Tecnologia
de Informações (TI) realizados pelo setor financeiro nacional. Todos destacaram
que os sistemas são robustos com elevada disponibilidade e alto nível de
segurança. Muitos destacaram os papéis
que eles desempenharam nos projetos de ITIL e COBIT dos bancos. Em geral estes
profissionais que destacaram o enorme avanço da governança no setor financeiro
alegavam que estavam sem tempo para responder as minhas perguntas sobre como os
projetos foram executados. Eles preferiam alardear apenas palavras de ordem.
Lamentavelmente
a realidade dos fatos é cruel contra os que vivem no mundo das ilusões. O
artigo” MPF investiga 'erro' que custou R$ 1 bilhão à Caixa” (http://epocanegocios.globo.com/Empresa/noticia/2016/10/mpf-investiga-erro-que-custou-r-1-bilhao-ao-banco.html,
acessado em 27/10/2016) revelou o altíssimo custo da fragilidade da governança
de TI para os bancos brasileiros. Por um erro (ainda está sendo investigado se
foi realmente erro) foi publicado (entre setembro de 2008 e agosto de 2009) na
produção um aplicativo com falhas estruturais que gerou uma perda de 1 bilhão
de reais para o banco. Caso a governança de TI estivesse tão avançada e madura
como os terceiros de empresas terceirizadoras afirmavam existiriam mecanismos e
processos que impediriam que este aplicativo fosse instalado e permanecesse no
ambiente de produção. No mínimo existiriam relatórios de auditoria apontando o
problema, os responsáveis, as soluções e quem determinou que um aplicativo com
erro entrasse em produção.
Nada
disto existe. Os pejotinhas não apontaram os problemas nos relatórios de
auditoria. Os que olham os fatos com conhecimento e capacitação perguntam como
foi possível ter tantos profissionais enaltecendo o pleno sucesso na adoção do COBIT
e ITIL e inexistir a competência de gerenciamento das liberações? A competência
é um item básico destas melhores práticas.
Os
fatos mostram que que o corrido não é um fato isolado. Em 2016, o processo de migração
dos clientes corporativos do HSBC para o Bradesco falhou e como consequências milhares
de trabalhadores não receberam os seus salários na data correta. O artigo “Clientes
que eram do HSBC têm salário atrasado com migração para Bradesco” (http://www1.folha.uol.com.br/mercado/2016/10/1824084-clientes-que-eram-do-hsbc-tem-salario-atrasado-com-migracao-para-bradesco.shtml,
acessado em 27/10/2016) revelou um grande volume de falhas na migração das
contas pessoas jurídicas. Não existiu um plano alternativo. O básico da
governança exige que antes de publicar uma revisão de um software, que o mesmo
seja testado em um ambiente isolado e controlado e depois que o mesmo seja
simulado fora da produção em um ambiente que é a cópia fiel do ambiente de
produção. No caso explicitado pelo artigo, A falha no processo de liberação de
uma nova versão de aplicação ocorreu sem a execução de um plano de contingência
contra falhas (assumindo que ele existisse). O erro ocorreu e quem foi chamado
para pagar a conta foram os trabalhadores que ficaram sem os seus salários.
O
artigo “Caixa Econômica Federal fica fora do ar em todo o país” (http://www1.folha.uol.com.br/mercado/2014/11/1544212-caixa-economica-federal-fica-fora-do-ar-em-todo-o-pais.shtml,
acessado em 27/10/2016) é de 2014. Ele reforça que as fragilidades na governança
de TI estão presente no sistema financeiro nacional há muito tempo e pouco ou
nada vem sendo feito para eliminá-las.
O
artigo “Brechas em sites do Bradesco e do Banco do Brasil expõem milhões de
clientes” (http://www1.folha.uol.com.br/tec/2013/08/1331286-brechas-em-sites-do-bradesco-e-do-banco-do-brasil-expoem-milhoes.shtml,
acessado em 27/10/2016) revelou que um jovem analista de sistemas identificou
falhas de segurança nos sites do Banco do Brasil, do Bradesco, do serviço de
pagamentos Moip e da Boa Vista Serviços (administradora do cadastro de
devedores SCPC) que expuseram a privacidade dos clientes. Foi preciso a
manifestação de uma pessoa de fora para que estas organizações descobrissem as
suas graves vulnerabilidades de segurança. O básico da governança de TI afirma
que devem ser realizados testes periódicos de segurança e que as falhas graves
devem ser corrigidas imediatamente. Mais uma vez o sistema financeiro
apresentou uma governança de TI frágil.
Estou no início de estudos sobre Governança em TI, e realmente parece que ainda não atingimos maturidade nessa área. Há muitos gurus (e vendem muito livros) mas poucos exemplos práticos de tais aplicações.
ResponderExcluirOlá Ricardo,
ResponderExcluirAcompanho seu blog a algum tempo e também estou iniciando a leitura de seu livro Governança de TI: A revolução.
Trabalho e sempre trabalhei em pequenas empresas e nelas a pressão comercial para a liberação de uma nova versão de software faça com que as boas práticas sejam esquecidas. Talvez seja esta pressão quem também leve a tantas falhas nos sistemas bancários.
Como você vê esta questão? Qual caminho sugere para contornar estas pressões?
Prezado Sedentário,
ExcluirA pressão comercial existe em diversos lugares. Para citar empregas pequenas e grandes Ela existe na cozinha de um restaurante para entregar a comida rapidamente para os clientes e fazer a casa girar no almoço ou jantar, ela no vendedor de uma loja de bairro para que o cliente compre rapidamente, ela existe no consultório médico ou dentário, ela existe na cabeleireiro. ela existe em um grande laboratório que está desenvolvendo um novo remédio, Enfim esta pressão não é exclusividade de TI. Em todos estes lugares temos de um lado a pressa para entregar o produto ou o serviço e a qualidade da entrega. Não é difícil que fora da TI e sem a grande quantidade de livros de governança tal problema foi resolvido. A pressão da entrega é equalizada com a necessidade do cliente. No caso TI tá cheio de trabalhos falando o que fazer. Mesmo assim não é feito. O primeiro passo é uma mão de obra adequadamente qualificada.
Mansur, gosto muito de ler seus artigos.
ResponderExcluirPercebo após cada leitura ou café contigo, o quanto ainda tenho que aprender nesta vida profissional.
Atuando na área de GRC agora, percebo o ilusionismo na prática, e também nas empresas anteriores que prestei consultoria, só não tinha esta visão do ilusionismo.
Vejo que os projetos de COBIT e ITIL são como projetos das lixeiras coloridas dentro das empresas e depois um funcionário vem recolhe o lixo de cada lixeira e coloca em um único saco preto. Acabando de vez com o processo de reciclagem.