1. Introdução
A tecnologia da informação (TI) percorreu um longo caminho desde seu uso inicial em ambientes de negócios. Em cada etapa dessa jornada, direcionadores tecnológicos, organizacionais e de mercado mudaram a forma como a TI é gerenciada. Por exemplo, o advento da computação pessoal mudou drasticamente a forma como os especialistas de TI interagiam com os usuários de negócios. Ainda, a computação cliente-servidor permitiu novas formas de aplicativos de negócios e teve grandes efeitos no gerenciamento de sistemas de informação (Urbach et al., 2019). Para (Alt et al., 2020), a TI entrou em um mundo analógico e foi integrada pouco a pouco, mais lateralmente como suporte técnico, em vez de ser introduzida de baixo para cima, pelo negócio, ou priorizada de cima para baixo, pela gerência.
No passado, vários modelos de governança de TI foram desenvolvidos e implementados, com modos de estruturação centralizados, descentralizados e federais. A governança de TI eficaz é determinada pela forma como a função de TI é organizada e onde a autoridade de tomada de decisão de TI está localizada dentro da organização (De Haes & Van Grembergen, 2004). Segundo (Andriole, 2015), os novos modelos de entrega de tecnologia baseados em nuvem e a proliferação de dispositivos de consumo, mudaram completamente a equação da governança. Novos aplicativos são projetados e desenvolvidos por profissionais internos e, cada vez mais, por desenvolvedores externos responsáveis pelas unidades de negócios, não necessariamente pela TI corporativa.
Além disso, a transformação digital é apontada como um dos principais temas da agenda do líder empresarial e está relacionada às novas formas de trabalhar e gerar fluxos de receita. A velocidade tem sido vista como o principal tópico em muitas áreas, como expectativas de entrega rápida de serviços e produtos de TI (Wasiuk & Lim, 2021). E as habilidades em TI, por sua vez, se espalham por toda a população, em especial, entre as forças atuais de trabalho. Com isso, sistemas de baixa e média complexidade não exigem mais um treinamento extensivo. Assim, os usuários avançados podem criar soluções inovadoras, configurar e operar programas de computadores por conta própria (Urbach et al., 2019).
O elemento-chave na governança de TI é o alinhamento do negócio e da TI para levar à obtenção do valor do negócio. Esse objetivo de alto nível pode ser alcançado reconhecendo a governança de TI como parte da governança corporativa e configurando uma estrutura de governança de TI com as melhores práticas (De Haes & Van Grembergen, 2004). Nesse ambiente, observa-se que a governança tem envolvido um número cada vez maior de partes interessadas, sendo que muitas estão além da barreira corporativa (Andriole, 2015).
Segundo (Alt et al., 2020), o departamento de TI não é mais o único ponto de solução para todos os processos que precisam ser automatizados. Para (Andriole, 2015), as unidades de negócios estão se envolvendo na gestão e adoção de novas tecnologias. Elas utilizam ferramentas de TI e se tornam protagonistas na resolução dos seus próprios problemas.
A autonomia das unidades de negócio é fortalecida pela própria evolução tecnológica (por exemplo, computação em nuvem e dispositivos móveis), com isso, novos aplicativos são desenvolvidos por profissionais internos e externos, e implantados quase instantaneamente (Andriole, 2015). Além disso, a lentidão do departamento de TI na entrega de soluções, as deficiências dos sistemas corporativos e as incertezas no ambiente de negócio são motivadores para a utilização de Shadow IT (Kopper et al., 2019). Como resultado, atualmente as instâncias de TI não são implantadas e mantidas apenas pelo departamento de TI, mas também por unidades de negócio (Klotz et al., 2020).
No entanto, surge a necessidade de governar adequadamente esse ambiente, onde as soluções digitais são criadas a qualquer momento dentro da empresa (Alt et al., 2020). É nesse contexto que a Shadow IT adquire importância. Também chamada de TI Invisível ou TI das Sombras, em português (Mallmann, 2016), esse conceito se refere às instâncias de TI (isto é, software, hardware ou serviços) que são criadas ou utilizadas pelas áreas de negócios sem alinhamento ou conhecimento pelo departamento de TI (Kopper et al., 2018). Para (Mallmann et al., 2018) a Shadow IT é usada nas organizações da seguinte forma: (i) utilização de serviços de nuvem - por exemplo, WhatsApp e Google Apps; (ii) uso de soluções desenvolvidas pelo usuário - por exemplo, uma planilha do Excel ou aplicativo desenvolvido pelo funcionário; (iii) uso de softwares instalados pelo funcionário - por exemplo, baixar e instalar software gratuito disponível na internet; e (iv) dispositivos adquiridos pelo usuário - por exemplo, uso de dispositivos (smartphones, tablets, notebooks etc.) pessoais do colaborador no local de trabalho.
A Shadow IT ganhou destaque em grande parte como resultado da introdução da computação pessoal e, cada vez mais, a TI está se tornando onipresente. Embora a crescente presença da TI na organização crie desafios de gestão para o departamento de TI, há uma crescente relevância dos especialistas em TI. Esses especialistas estão presentes não apenas no departamento de TI, mas, também, nos departamentos de negócio, sendo que, neste caso, a sua atuação difere significativamente do papel dos funcionários da área de TI (Chua et al., 2014).
De acordo com (Fürstenau et al., 2021), a Shadow IT representa muitos desafios e oportunidades para as organizações, pois pode oferecer resultados positivos e negativos (Behrens & Sedera, 2004). Os gerentes de TI enfrentam o desafio de equilibrar controle e autonomia em seu modelo de governança de TI (Kopper et al., 2020) para minimizar as desvantagens e promover as suas vantagens (Raković et al., 2020). Cabe destacar o alerta de (Haag & Eckhardt, 2017) que advertem que a Shadow IT pode representar uma ameaça ainda maior para a segurança das informações e dados, algo que as organizações dificilmente podem controlar se essa utilização ocorrer de forma desconhecida e/ou invisível. Por outro lado, o modelo da TI gerenciada pelo negócio - definida como soluções de TI conhecidas dentro da área de responsabilidade das unidades de negócio - permite obter vantagens e evitar algumas das desvantagens da Shadow IT (Kopper et al., 2018).
Diante do exposto, o objetivo deste trabalho foi analisar as percepções dos gestores de negócio sobre as práticas de gestão que podem promover a TI gerenciada pelo negócio, levando em consideração os benefícios e riscos associados à Shadow IT. Para alcançar esse objetivo, realizou-se uma revisão de literatura, com base no protocolo de pesquisa de (Kitchenham, 2004), por meio da busca de artigos na Scopus (Elsevier) e teses e dissertações na Biblioteca Digital Brasileira de Teses e Dissertações (BDTD), e iniciou com a utilização das palavras-chave “Shadow IT”, “Feral systems” e “IT workaround”.
2. Revisão de literatura
2.1. Trabalhos correlatos
A revisão de literatura mostrou que os principais autores tratam dos temas relacionados aos fatores motivadores e causadores de Shadow IT e de TI gerenciada pelo negócio. Segue breve resumo dos trabalhos identificados como relevantes para este estudo.
Os autores (Kopper et al., 2018) introduziram o conceito da “TI gerenciada pelo negócio” com a finalidade de distinguir as instâncias de Shadow IT que não estão mais nas “sombras” e que fazem parte do gerenciamento organizacional de TI. Essas soluções de TI desenvolvidas abertamente pelas unidades de negócio possibilitam controles mais específicos e melhor equilíbrio entre seus riscos e benefícios. A conceituação também tem o objetivo de evitar o estigma do termo “Shadow IT” e dar mais visibilidade positiva dessas soluções.
A estrutura conceitual desenvolvida por (Klotz et al., 2019) possibilitou identificar os principais temas abordados nos estudos sobre Shadow IT (instâncias secretas) e TI gerenciada pelo negócio (instâncias abertas), e forneceu uma alocação de temas de pesquisa relevantes para os dois conceitos. Essa estrutura foi aperfeiçoada por (Kopper et al., 2019), que avaliaram as percepções de gestores (TI e negócio) em relação a esses conceitos e compararam com diversos achados da literatura.
A partir desses estudos, verificou-se que o tema da TI gerenciada pelo negócio tem recebido atenção significativa desde 2016. Apesar disso, segundo (Klotz et al., 2019), outras pesquisas devem ser desenvolvidas para aprimorar temas de estudos específicos.
2.2. Shadow IT e TI gerenciada pelo negócio
Conforme apresentado, para os autores (Kopper et al., 2018) Shadow IT refere-se às instâncias de TI que não são conhecidas nem envolvidas no gerenciamento organizacional de TI. Essas instâncias são frequentemente encontradas nas unidades de negócio, mas também podem existir no próprio departamento de TI. De acordo com (Klotz et al., 2022), é fundamental que as instâncias de TI sejam identificadas e não sejam consideradas como "Shadow IT" (desconhecidas) a fim de possibilitar um gerenciamento adequado.
Quando as instâncias de TI estão visíveis e são gerenciadas abertamente pelas unidades de negócio, torna-se possível implementar medidas mais específicas de controle e monitoramento, conservando benefícios semelhantes aos da Shadow IT (por exemplo, agilidade, menor carga na TI oficial, autonomia nos departamentos) e evitando alguns dos seus riscos (por exemplo, falta de transparência, riscos de proteção de dados, segurança de TI e riscos de conformidade regulatória, perda de controle e aumento de custos) (Kopper et al., 2018).
Além disso, essa transparência permite um maior envolvimento na gestão corporativa de TI, pois sua natureza é conhecida. Isso pode incluir um alinhamento com o departamento de TI ou a adoção de um modelo de responsabilidade compartilhada. Nesse contexto se insere o modelo TI gerenciada pelo negócio, ou seja, uma abordagem que se refere às soluções de TI adotadas e mantidas dentro da área de responsabilidade das unidades de negócio em alinhamento com o departamento de TI (Kopper et al., 2018).
3. Procedimentos metodológicos
Esta pesquisa investigou as práticas que podem ser adotadas para promover a TI gerenciada pelo negócio a fim de obter os benefícios da Shadow IT, reduzindo seus riscos. Portanto, baseia-se em uma abordagem de pesquisa qualitativa (Creswell, 2021). Para avaliar as percepções dos gestores de negócio, utilizou-se o instrumento de entrevistas semiestruturadas para coleta de dados. Dessa forma, este estudo caracteriza-se como uma pesquisa qualitativa que utiliza entrevistas semiestruturadas.
A pesquisa foi realizada em uma instituição pública brasileira do setor financeiro que possui mais de 50 mil funcionários e está entre as cinco maiores instituições do país em número de clientes. Seu foco principal de atuação está na operacionalização de políticas públicas e ações para promoção do desenvolvimento social em nível nacional. É importante mencionar que ela opera em um setor altamente regulamentado, regido por legislações internacionais e nacionais como, por exemplo, resoluções do Banco Central do Brasil (BACEN). Algumas dessas resoluções incluem a Resolução nº 4.557, de 23 de fevereiro de 2017, que dispõe sobre a estrutura de gerenciamento de risco operacional (BACEN, 2017) e Resolução nº 4.893, de 26 fevereiro de 2021, que dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem (BACEN, 2021).
Recentemente, resultados de trabalhos de auditorias internas e externas na instituição, elencaram recomendações e apontamentos sobre a gestão das soluções de TI criadas no contexto de Shadow IT. Nesse sentido, a instituição criou grupos de trabalho para discussão do tema, visando o estabelecimento de uma estratégia organizacional no sentido de possibilitar maior controle do uso dessas soluções de TI e mitigação de riscos associados. Assim, a instituição enfrenta o desafio de lidar adequadamente com as soluções desenvolvidas no âmbito da Shadow IT de modo a usufruir dos seus benefícios e ao mesmo tempo reduzir os seus riscos.
Foram entrevistados quatro gestores de negócio, cada um atuando em unidades distintas. Essas unidades de negócio têm um escopo que abrange, entre outras funções, gerenciar canais de relacionamento com o cliente, executar atividades de suporte ao negócio (por exemplo, demandas relacionadas aos produtos e serviços comercializados), realizar a gestã0 contábil e atuar no gerenciamento de risco de mercado. Os gestores são responsáveis por desenvolver e manter soluções Shadow IT (ferramentas e aplicativos de TI) e foram selecionados mediante amostragem intencional (Creswell, 2021), com base em indicações de funcionários das áreas de negócio e de TI. Foi elaborado um protocolo de entrevista contendo informações básicas, perguntas sobre o conteúdo e um roteiro de entrevista com 14 questões. As entrevistas foram realizadas individualmente de forma virtual, gravadas e tiveram duração média de 45 minutos.
Os dados provenientes das entrevistas semiestruturadas foram transcritos e tratados utilizando um software qualitativo de análise de texto, o IRAMUTEQ (Interface de R pour lês Analyses Multidimensionnelles de Textes et de Questionnaires), desenvolvido por (Ratinaud, 2009). Essa abordagem visa melhor representar os resultados e aumentar a possibilidade de identificação de padrões e temas conforme recomendado por (Creswell, 2021). Utilizou-se a ferramenta de análise textual, denominada Classificação Hierárquica Descendente (CHD) - baseada na técnica de Reinert - para processamento do corpus textual (conjunto de textos). Assim, o software gerou segmentos de texto que foram classificados de acordo com seus respectivos vocabulários e particionados conforme a frequência das raízes das palavras. Através das classes de vocabulário resultantes, foi possível realizar inferências sobre as ideias que o corpus textual transmitia e, com isso, chegar na definição dos temas (Salviati, 2018). Nas análises, foram consideradas as palavras com uma porcentagem de frequência média quiquadrado (χ2) superior a 3.84 (Souza et al., 2018). Essas palavras são consideradas mais significativas em relação à classe a que pertencem, conforme indicado por (Salviati, 2018).
4. Resultados e discussões
Após o processamento do corpus textual, foram identificadas 13.139 ocorrências (palavras), 1.924 formas (palavras distintas) e 377 segmentos de texto. O tratamento de dados, realizado por meio da técnica de classificação (CHD), resultou no aproveitamento total de 81,7% dos segmentos de textos (308 de 377) e gerou seis classes de palavras. A análise dessas classes de palavras permitiu a definição de temas, os quais foram classificados com base na maior significância dos discursos dos sujeitos. Os temas identificados são: (i) “lentidão do departamento de TI” (Classe 5 - 22,4%); (ii) “competências da equipe” (classe 2 - 19,1%); (iii) “ameaças e oportunidades” (Classe 6 - 16,2%); (iv) “motivadores da utilização” (Classe 4 - 14,9%); (v) “resolução de lacunas” (Classe 1 - 14,6%); e (vi) “deficiências dos sistemas corporativos” (Classe 3 - 12,6%), conforme mostrado na Tabela 1.
Repartição | Classes | Análise lexicográfica | ||
Palavra | χ2 | % | ||
Percepções dos gestores negócio | Classe 5 - 22,4% (Lentidão do departamento de TI) | Demanda Manutenção Abrir Atendimento Demorar Correção Ajuste Atrasar | 23,21 20,02 19,87 16,52 16,52 14,04 14,04 10,49 | 76,92 87,5 75,00 85,71 85,71 100,00 100,00 100,00 |
Classe 2 - 19,1% (Competências da equipe) | Funcionário Entender Tecnologia Programação Negócio Equipe Conhecer | 37,92 28,92 21,98 21,98 17,72 16,06 15,00 | 90,91 81,82 69,23 69,23 46,88 52,38 56,25 | |
Classe 6 - 16,2% (Ameaças e oportunidades) | Concordar TI gerenciada pelo negócio Benefício Aumento Risco Produtividade | 224,97 101,37 99,38 57,76 55,71 30,90 | 89,58 71,79 80,00 92,31 53,19 80,00 | |
Classe 4 - 14,9% (Motivadores da utilização) | Solução de TI Usar Unidade de negócio Uso Departamento de TI Interação Construir Utilizar Conhecimento | 85,18 57,87 47,47 34,85 34,68 34,04 22,53 18,30 18,30 | 70,97 91,67 66,67 100,00 43,48 87,50 83,33 53,33 53,33 | |
Classe 1 - 14,6% (Resolução de lacunas) | Conseguir Atender Melhor Eficiente Evoluir Forma Processo Melhoria Sistema | 39,05 29,65 21,98 17,71 17,42 16,20 13,29 8,70 8,39 | 48,65 77,78 63,64 100,00 80,00 40,74 66,67 45,45 22,32 | |
Classe 3 - 12,6% (Deficiências dos sistemas corporativos) | Tratamento Ferramenta Consolidar Informação Tratar API (Application Programming Interface) Lote Limitação | 45,80 41,10 35,06 34,75 27,95 27,95 - 27,95 27,64 | 71,43 51,85 100,00 46,67 100,00 100,00 - 100,00 83,33 |
A análise dos discursos dos participantes derivou descobertas que foram resumidas e organizadas com base na estrutura proposta por (Klotz et. al, 2019a), nas seguintes categorias e respectivas subcategorias: (i) Fatores Motivadores, com as subcategorias “motivadores” (M) e “facilitadores” (F); (ii) Governança, com a subcategoria “governança geral” (GG); (iii) Resultados, com as subcategorias “riscos” (R) e “benefícios” (B). Os achados da pesquisa estão descritos da Tabela 2:
Categoria | Achados |
Lentidão do departamento de TI | (M1) Lentidão para correção de falhas: três (dos quatro) gestores mencionaram que o departamento de TI leva muito tempo para corrigir as falhas dos sistemas corporativos; (M2) Demora no desenvolvimento de soluções: a maioria dos participantes também comentou que a construção de soluções corporativas é lenta, em comparação com a velocidade exigida pelo negócio. |
Motivadores da utilização | (M3) Limitação dos sistemas corporativos: a maioria dos gestores entende que é comum a ausência de funcionalidades específicas nos sistemas corporativos e isso impacta a realização de determinadas atividades de negócio; (M4) Contingência do sistema corporativo: um gestor comentou que a ferramenta Shadow IT é utilizada em complemento ou em substituição ao sistema corporativo; (M5) Incertezas do ambiente de negócio: foi comentado que as soluções Shadow IT são usadas em cenários que exigem rápida adaptação organizacional, principalmente em razão de mudanças no cenário de negócio. |
Deficiências dos sistemas corporativos | (M6) Ausência/Falha de integração entre sistemas: comentou-se que os sistemas corporativos não têm cobertura para algumas atividades de negócio, resultando no desenvolvimento de soluções de TI paralelas (Shadow IT). |
Competências da equipe | (F1) Conhecimento do negócio: três gestores comentaram que um maior conhecimento do negócio (normas, processos, atividades etc.) permite o desenvolvimento de soluções Shadow IT mais alinhadas às necessidades da empresa; (F2) Colaboração entre equipes: ao menos dois gestores comentaram que a existência de perfis multidisciplinares nas unidades de negócio, gera maior colaboração e troca de conhecimento entre as equipes no desenvolvimento de soluções Shadow IT. |
Resolução de lacunas | (GG1) Melhoria no processo de desenvolvimento de soluções corporativas: todos os gestores comentaram a necessidade de revisão do modelo de atuação do departamento de TI em razão, por exemplo, da demora no desenvolvimento de produtos/serviços de TI e entrada em produção; (GG2) Melhoria dos sistemas corporativos: os gestores mencionaram limitações/deficiências dos sistemas de TI, por exemplo, ausência de funcionalidades e falha na integração entre os sistemas corporativos; (GG3) Definição sobre uso de Shadow IT: três gestores destacaram a necessidade de uma definição formal em relação ao uso de soluções desenvolvidas no contexto do negócio, bem como a possibilidade de uma liberação formal. |
Ameaças | (R1) Falha na proteção de dados: três gestores mencionaram que a ausência de controles específicos (nas soluções Shadow IT) pode afetar a proteção de dados; (R2) Recursos tecnológicos limitados: foi comentado que a limitação de recursos computacionais implica em lentidão dos aplicativos/ferramentas e pode impactar a disponibilidade das soluções Shadow IT; (R3) Perda de conhecimento: um gestor comentou que a rotatividade de funcionários culmina em perda de conhecimento das soluções Shadow IT, dificultando sua continuidade; (R4) Documentação escassa: foi mencionado que a falta de documentação das soluções, coloca em risco a continuidade dos sistemas Shadow IT; (R5) Falta de integração: dois gestores comentaram que os sistemas Shadow IT não possuem integração apropriada com as soluções corporativas, mesmo nos casos de dependência de dados entre eles; (R6) Conhecimento limitado em desenvolvimento de software pela equipe de negócio: dois gestores comentaram que o conhecimento dos funcionários das unidades de negócio em programação de sistemas não se equipara ao dos funcionários do departamento de TI; (R7) Equipe de TI limitada: todos os gestores mencionaram que a quantidade de funcionários dedicados ao desenvolvimento de soluções Shadow IT é pequena, o que representa risco para a continuidade dos projetos; (R8) Risco cibernético: três gestores reconhecem que os sistemas Shadow IT não possuem a mesma estrutura que os sistemas corporativos, assim, estão mais suscetíveis a esse tipo de risco. |
Oportunidades | (B1) Agilidade operacional: todos os gestores apontaram que as soluções Shadow IT contribuem para o atendimento de demandas de negócio de forma rápida e no tempo esperado pelos usuários de negócio; (B2) Rapidez na resolução de problemas: foi comentado por três gestores a rapidez em resolver problemas sistêmicos de suas soluções Shadow IT nas próprias unidades de negócio; (B3) Flexibilidade no desenvolvimento de aplicativos: os gestores entendem que existe mais autonomia e flexibilidade no desenvolvimento de aplicativos quando estes estão sob gestão das unidades de negócio; (B4) Aumento de inovação: três gestores comentaram que os processos de criação e inovação ocorrem com mais intensidade quando as unidades de negócios desenvolvem seus próprios aplicativos; (B5) Melhoria da satisfação do usuário: segundo os gestores, por se tratarem de soluções criadas para determinados públicos, existe maior possibilidade de customização e melhor usabilidade; (B6) Melhor colaboração: três gestores argumentaram que o desenvolvimento de soluções nas unidades de negócio permite interação com vários atores do negócio, resultando em uma rede de colaboração entre as equipes, permitindo a troca de informação e conhecimento. |
4.1. Análise das práticas
De acordo com (Kostova, 1999), práticas organizacionais são formas particulares de conduzir funções organizacionais que evoluíram ao longo do tempo sob a influência da história, pessoas, interesses e ações de uma organização. Para a autora, as práticas tendem a ser aceitas e aprovadas pelos funcionários da organização e serem vistas como a maneira natural de realizar determinadas tarefas.
Com base nas percepções dos gestores de negócio, foram elaboradas práticas para permitir melhor equilíbrio entre riscos e benefícios da TI gerenciada pelo negócio. Os achados foram combinados em função das suas similaridades, e as práticas foram elaboradas com base na literatura e no conhecimento dos autores. Por exemplo, através dos achados “lentidão para correção de falhas” (M1), “demora no desenvolvimento de soluções” (M2), “limitação dos sistemas corporativos” (M3), “contingência do sistema corporativo” (M4) e “melhoria dos sistemas corporativos” (GG2), gerou-se a prática “revisar periodicamente os processos de sustentação e de desenvolvimento de soluções” (PA4). Para o achado “ausência/falha de integração entre sistemas” (M6), juntamente com uma menção similar feita por (Urbach et al., 2019), foi gerada a prática “promover interoperabilidade entre sistemas corporativos” (PA6). O mesmo processo foi utilizado para os demais achados e o resultado está descrito na Tabela 3.
ID | Práticas | Origem (achados / menções na literatura) |
PA1 | Estabelecer políticas para adoção da TI gerenciada pelo negócio | GG3; (Kopper et al., 2019) |
PA2 | Adotar e fortalecer a TI gerenciada pelo negócio | |
PA3 | Promover o alinhamento entre negócio e departamento de TI | GG1; (Kopper et al., 2019); (Pereira & Ferreira, 2015) |
PA4 | Revisar periodicamente os processos de sustentação e de desenvolvimento de soluções de TI | M1; M2; M3; M4; GG2 |
PA5 | Promover a comunicação da estratégia digital na organização | M5 |
PA6 | Promover interoperabilidade entre sistemas corporativos | M6; (Urbach et al., 2019) |
PA7 | Capacitar as equipes de negócio para concepção de soluções de TI, respeitando as políticas vigentes | F1; (Walters, 2013) |
PA8 | Promover colaboração entre equipes de negócio | F2; (Silic, 2015) |
PA9 | Adotar medidas para tratamento de riscos de TI e proteção de dados | R1; R2; R8; (Kopper et al., 2018) |
PA10 | Incentivar o gerenciamento do conhecimento organizacional | R3; R4; (Steinhueser et al., 2017) |
PA11 | Capacitar equipe negócio no uso de instrumentos de desenvolvimento de software, com bases nas políticas organizacionais | R6; (Kopper et al., 2019) |
PA12 | Adotar o uso de métodos ágeis em larga escala | R7; B1; B2 |
PA13 | Disseminar o uso de plataformas que permitem automatizar processos sem necessidade de codificação (no/low-code) | B3; (Klotz et al., 2022) |
PA14 | Implementar a cultura de inovação | B4 |
PA15 | Criar um ambiente propício para incentivar práticas de inovação | B4 |
PA16 | Alinhar e revisar periodicamente as necessidades dos usuários com as soluções de TI | B5 |
PA17 | Criar um ambiente que promova a colaboração e o compartilhamento | B6; (Candal et al., 2022); (Mallmann et al., 2016) |
Adicionalmente, a Tabela 4 apresenta as práticas da TI gerenciada pelo negócio identificadas na literatura.
ID | Práticas | Origem (literatura) |
PL1 | Criar uma cultura em favor da TI gerenciada pelo negócio | (Klotz et al., 2022) |
PL2 | Promover a comunicação entre as diferentes partes interessadas | |
PL3 | Disponibilizar camada/interface de dados comum | |
PL4 | Fornecer suporte para TI gerenciada pelo negócio | |
PL5 | Fornecer consultoria para soluções da TI gerenciada pelo negócio | |
PL6 | Documentar soluções na TI gerenciada pelo negócio | |
PL7 | Fornecer estrutura/políticas de desenvolvimento | |
PL8 | Fornecer uma arquitetura de TI comum | |
PL9 | Estabelecer políticas sobre a TI gerenciada pelo negócio | (Kopper et al., 2019) |
PL10 | Realizar treinamentos e fomentar o compartilhamento de conhecimento | |
PL11 | Identificar e tratar lacunas de TI nos sistemas corporativos | |
PL12 | Monitorar e identificar soluções da TI gerenciada pelo negócio | |
PL13 | Avaliar e categorizar soluções da TI gerenciada pelo negócio | |
PL14 | Desativar/Substituir soluções Shadow IT | |
PL15 | Internalizar soluções Shadow IT ao modelo de TI corporativa | |
PL16 | Promover a gestão compartilhada entre negócio e departamento de TI | |
PL17 | Criar modelo de corresponsabilidade entre departamento de TI e unidades de negócio | (Zimmermann et al., 2014) |
PL18 | Promover o alinhamento entre departamento de TI e unidades de negócio | (Kopper et al., 2019) |
PL19 | Atualizar frequentemente os sistemas da TI gerenciados pelo negócio | (Hakvoort, 2022), *(Rentrop & Zimmermann, 2012) |
PL20 | Discutir compras de software com as equipes de negócio | |
PL21 | Criar um portfólio dos sistemas Shadow IT/TI gerenciada pelo negócio (*) | |
PL22 | Estabelecer critérios de transparência para a TI gerenciada pelo negócio | |
PL23 | Educar os funcionários sobre segurança da informação (SI) | |
PL24 | Reduzir falhas de SI na TI gerenciada pelo negócio | (Györy et al., 2012) |
PL25 | Mitigar riscos de sobrecarga na infraestrutura de TI corporativa |
Cabe tecer alguns comentários em relação às práticas propostas neste trabalho bem como as identificadas na literatura. Sobre a prática “promover o alinhamento entre negócio e departamento de TI” (PA3), (Kopper et al., 2020), por exemplo, identificaram um caso relacionado a um pequeno sistema desenvolvido por uma unidade negócio em estreito alinhamento com o departamento de TI e aderência a processos comumente acordados. Nesse caso, a unidade de negócio utilizou ferramentas de desenvolvimento e infraestrutura segura fornecida pelo departamento de TI, e trabalhou de forma conjunta para realização de testes e entrada em operação.
A prática “disseminar o uso de plataformas que permitem automatizar processo sem necessidade de codificação (no/low-code)” (PA13), foi elaborada com base em (Klotz et al., 2022). Os autores argumentaram que fornecer padrões, processos e responsabilidades definidas, ou seja, uma estrutura ou plataforma de desenvolvimento pode ser benéfico para instâncias de TI gerenciada pelo negócio. Isso poderia ser, por exemplo, uma plataforma low/no-code ou, segundo (Kopper et al., 2018), uma plataforma de integração de autoatendimento que permite às unidades de negócio e usuários integrar suas próprias aplicações e ter acesso controlado a dados de outros sistemas. Essas plataformas possibilitam dar transparência das atividades das unidades de negócio, fornecendo automaticamente documentação e logs, ou seja, visibilidade da integração. Para (Alt et al., 2020), as ferramentas low-code e no-code, em conjunto com infraestruturas inspiradas em nuvem, marcam o próximo salto nas capacidades de TI das unidades de negócios.
Sobre a prática “adotar medidas para tratamento de riscos de TI e proteção de dados” (PA9), essa foi desenvolvida com base em alguns resultados da literatura. (Kopper et al., 2018) identificaram o caso de uma empresa que apoiou o uso de TI gerenciada pelo negócio sob a condição de aderência a aspectos de conformidade (por exemplo, proteção de dados de clientes e de funcionários no sistema). A empresa se empenhou a incorporar esses requisitos à solução desenvolvida pelo negócio, fornecendo controles sem restringir a criatividade e a responsabilidade do negócio. Além disso, no que diz respeito à importância das medidas relacionadas à segurança e aos riscos computacionais, para (Walters, 2013), a aplicação de medidas de segurança apropriadas para gerenciar riscos é necessária no contexto de Shadow IT. Ainda, (Orr et al., 2022) destaca a importância da preocupação com riscos cibernéticos nesse contexto. (Hakvoort, 2022) avaliou que funcionários capacitados no tema de segurança da informação terão maior capacidade de avaliar seus riscos ao usarem Shadow IT (PL23, por exemplo). Nesse sentido, as práticas identificadas podem contribuir para a redução de riscos relacionados à proteção de dados, por exemplo, ao fornecer estruturas/políticas de desenvolvimento (PL7) e/ou ao disponibilizar uma arquitetura de TI comum (PL8).
Em relação às práticas “revisar periodicamente os processos de sustentação e de desenvolvimento de soluções” (PA4), “capacitar as equipes de negócio para concepção de soluções de TI, respeitando as políticas vigentes” (PA7), “capacitar equipe negócio no uso de instrumentos de desenvolvimento de software, com bases políticas organizacionais” (PA11) e “alinhar e revisar periodicamente as necessidades dos usuários com as soluções de TI” (P16), observa-se que elas podem ser instrumentalizadas, por exemplo, vinculando-as à conformidade regulatória atribuída ao setor bancário. Isso pode ser feito levando em consideração a estrutura para o gerenciamento de risco operacional e a política de segurança cibernética descritas nas Resoluções nº 4.557/2017 (BACEN, 2017) e nº 4.893/2016 (BACEN, 2021), do Banco Central do Brasil.
Por fim, observou-se que algumas práticas relacionadas aos achados (PA) não foram encontradas na literatura, por exemplo: (i) “revisar periodicamente os processos de sustentação e de desenvolvimento de soluções de TI” (PA4); (ii) “promover a comunicação da estratégia digital na organização” (PA5); (iii) "adotar o uso de métodos ágeis em larga escala" (PA12); (iv) "implementar a cultura de inovação" (PA14); (v) "criar um ambiente propício para incentivar práticas de inovação" (PA15); e (vi) "alinhar e revisar periodicamente as necessidades dos usuários com as soluções de TI" (PA16).
5. Considerações finais
As organizações dependem cada vez mais da TI para a realização de negócios. A popularização dos recursos tecnológicos, as mudanças no ambiente de negócios e a necessidade de rápida adaptação têm levado as unidades de negócio a utilizarem cada vez mais soluções de TI desenvolvidas localmente. No entanto, a proibição da Shadow IT pode levar ao aumento de soluções criadas de forma oculta, além de gerar riscos mais significativos do que as soluções desenvolvidas de maneira transparente trariam. Portanto, é essencial que as instâncias de TI sejam conhecidas e deixem de ser consideradas Shadow IT, para que possam ser corretamente implantadas e gerenciadas nas unidades de negócio.
Nesse sentido, a adoção do modelo de TI gerenciada pelo negócio pode auxiliar as organizações a lidarem de forma mais eficaz com as soluções dispersas fora do departamento de TI. A transparência na criação e utilização das soluções de TI pelas unidades permite a implementação de medidas mais específicas de gestão e governança pela organização, além de possibilitar a manutenção de benefícios como agilidade, inovação e um melhor gerenciamento de riscos. Adicionalmente, as soluções desenvolvidas nesse contexto possibilitam o compartilhamento de responsabilidades entre as unidades de negócio e o departamento de TI.
Esta pesquisa teve como objetivo identificar práticas que podem promover a TI gerenciada pelo negócio a fim de obter os benefícios da Shadow IT, minimizando os seus riscos. O objetivo deste estudo foi alcançado por meio da identificação das percepções dos gestores de negócio sobre os benefícios e riscos mencionados na literatura, e pela análise das práticas de gestão da TI gerenciada pelo negócio, levando em consideração os benefícios e riscos associados à Shadow IT. Os resultados foram comparados com os da literatura, o que permitiu a identificação de um conjunto de práticas organizacionais.
Por meio deste estudo, foram identificados novos aspectos da Shadow IT e da TI gerenciada pelo negócio, especialmente relacionados aos riscos, benefícios e formas de gestão. No que diz respeito aos riscos, a segurança cibernética emergiu como um alerta nessa área. As entrevistas ratificaram a importância de considerar os riscos cibernéticos nas soluções desenvolvidas no contexto do negócio. Em relação aos benefícios, os gestores unanimemente reconheceram sua existência.
Entende-se que os resultados desta pesquisa contribuem para a literatura, trazendo novas perspectivas e fortalecendo o entendimento sobre o tema. As percepções dos gestores, assim como os resultados identificados, podem auxiliar outras organizações, especialmente do setor financeiro, a promover práticas de TI gerenciada pelo negócio e apoiar o desenvolvimento de mecanismos de gestão. Além disso, as práticas identificadas fornecem um ponto de partida para ações que podem ser adotadas pelas instituições no contexto da TI gerenciada pelo negócio.
Em relação às limitações do estudo, as entrevistas semiestruturadas ficaram restritas a um número reduzido de gestores. Portanto, pesquisas adicionais podem acrescentar outras perspectivas e fornecer novos resultados. Além disso, apenas gestores de negócio foram entrevistados, e as percepções de profissionais de outras áreas, como gestores de TI, governança e risco, assim como usuários de negócio, não foram investigadas. Também, não foi realizada investigação acerca dos perfis multidisciplinares e dos diferentes níveis de responsabilidade relacionados ao desenvolvimento de soluções de TI no contexto da Shadow IT. Além disso, não foi analisado o fenômeno levando em consideração uma visão mais abrangente das unidades organizacionais.
Como sugestões para trabalhos futuros, novos estudos poderiam: (i) confirmar as práticas identificadas nesta pesquisa, levando em consideração a percepção de outros atores do negócio; (ii) realizar uma análise comparativa das percepções de gestores de TI e de negócio em relação aos benefícios e riscos da Shadow IT; (iii) investigar os benefícios e riscos da Shadow IT em outras organizações públicas ou em organizações de diferentes setores; (iv) explorar as melhores práticas no contexto da TI gerenciada pelo negócio; e (v) pesquisar os fatores críticos de sucesso e indicadores de desempenho para a TI gerenciada pelo negócio. Por fim, estudos futuros poderiam se concentrar no gerenciamento eficaz e eficiente da TI nas áreas de negócio.