O que é “Shadow IT”? É o “uso de soluções desenvolvidas ou contratadas diretamente pelas áreas de negócio sem o envolvimento da área de TI (soluções departamentais / Shadow IT)”, citando a definição do Banco Central dentro do contexto de Risco de TI em seu Guia de Práticas de Supervisão, disponível em
https://www3.bcb.gov.br/gmn/downloadArquivo.do?method=downloadArquivo&id=2415&isValidar=false.
Num sentido literal ‘TI nas sombras’ ou ‘TI invisível’, um ponto chave é seu setor de TI desconhecer ou não administrar recursos de software e dispositivos utilizados pelos usuários, daí o termo ‘sem o envolvimento’ na definição do regulador. Alguns exemplos de cenários para reflexão, sem a pretensão de cobrir todas as possibilidades:
Software gratuito: o validador do esquema JSON dos Dados Abertos
Tradicionalmente, o regulador disponibilizava um programa validador de estruturas XML (validador.exe), a partir do qual submete-se o arquivo XML de um CADOC gerado pela instituição financeira para conferência de sua estrutura mediante um arquivo XSD fornecido também pelo próprio BC.
Os dados abertos no formato JSON possuem um arquivo de estrutura chamado ‘esquema JSON’ disponibilizado pelo regulador com finalidade análoga de validação. Mas diferente do ‘validador.exe’, o regulador não produziu aplicativo para essa finalidade e orientou para que as instituições financeiras utilizassem amplas opções de ferramentas disponíveis na WEB. Uma área ou usuário utilizando alguma ferramenta gratuita na execução de tarefas da organização sem conhecimento da área de TI se enquadra como um caso clássico de ‘Shadow IT’, considerando a definição exposta no início do artigo.
Contratações departamentais isoladas: efeito no fluxo de informações corporativo
Uma contratação formalizada por um departamento sem aparente necessidade de envolvimento da TI pode desconhecer os efeitos multiplicadores do seu fluxo de informações para outras áreas. Exceto documentos físicos que circulam na ‘boca do caixa’, o restante do fluxo de trabalho em instituições financeiras gira em torno de informações integradas. Por conta disso, são poucos assuntos que não necessitam de acompanhamento da TI em instituições financeiras hoje em dia. Não à toa, a figura do CIO foi elevada ao mais alto nível de decisão estratégica, muitas vezes a TI sendo o gargalo no lançamento de um produto novo, só ficando em um exemplo.
Soluções departamentais: desenvolvimento interno de sofisticadas planilhas Excel
Numa época de menor preocupação em processos, controles, gestão de riscos e continuidade, uma equipe fantástica poderia elaborar planilhas Excel com VBA’s sofisticadas, acessos por ODBC e todos demais recursos avançados integrando uma infinidade de ferramentas a fim de atender as necessidades departamentais imediatamente.
No entanto, quanto mais sofisticados os recursos utilizados, maior dependência de variáveis de assuntos exclusivos sob domínio da TI como segurança de acesso, conexão às bases de dados, gestão de equipamentos e software de toda organização. Sem conhecimento de que tais recursos mais avançados são utilizados por um departamento, muitas vezes não há solução no curto prazo em requisitos não mapeados no projeto técnico de longo prazo da TI.
Foram elencados apenas as condições de alguns cenários de enquadramento da prática de ‘Shadow IT’, cujos possíveis riscos inerentes trataremos numa próxima oportunidade.
#instituicaofinanceira #cadoc #bc #dadosabertos #etl #controlesinternos #pdca #calendario #shadowit
Yoshio Hada: sócio administrador da B3Bee Consultoria e Sistemas, licenciando sistemas às instituições financeiras nos temas de Régua de Sensibilidade ao RSAC, Dados Abertos (Demonstrações Financeiras, Relatório do Pilar 3, Relatório do GRSAC e Canais de Atendimento), CADOC’s (DLI 2062, COS 40XX, Saldos Diários 4111, 5011, ETF 80XX, DF 9011/9061, SVR 9800, DRSAC 2030, RCP 4076, Pagamentos do Varejo e Canais de Atendimento 6209), FGC405, Conversão de layouts (ETL), Calendário de Obrigações Acessórias ou Fluxos de Execução, Validação e Envio de CADOC’s.