Baixe o app para aproveitar ainda mais
Prévia do material em texto
EXPEDIENTE EQUIPE DIRETIVA Oswaldo Luiz Saenger Presidente – Grupo Projeção José Sérgio de Jesus Reitor e Diretor de Educação Henrique Vinícius Ramos e Silva Diretor de Operações Jonathan Rosa Moreira Pró-Reitor e Diretor Acadêmico da Educação Superior ORGANIZAÇÃO José Sérgio de Jesus Jonathan Rosa Moreira Francisca Carla Santos Ferrer Daniel Barbosa Santos Fabrício Vieira de Santana Thamires de Oliveira Alencar EQUIPE EDITORIAL Daniel Barbosa Santos Francisca Carla Santos Ferrer Luis Eduardo Gauterio Fonseca Fabrício Vieira de Santana DESENVOLVIMENTO E SUPORTE TÉCNICO José Gustavo Dias Alves Thamires de Oliveira Alencar Wellington Douglas Cordeiro de Souza Junior SUPORTE ADMINISTRATIVO E LOGÍSTICO Érika Silva Nascimento COBIT Coleção Projeção lato sensu Volume 6 JOSÉ SÉRGIO DE JESUS (Org) JONATHAN ROSA MOREIRA (Org) FRANCISCA CARLA SANTOS FERRER (Org) DANIEL BARBOSA SANTOS (Org) FABRÍCIO VIEIRA DE SANTANA (Org) THAMIRES DE OLIVEIRA ALENCAR (Org) Copyright © Projeção Brasília - 2020 Diagramação: Fabrício Vieira de Santana Capa: Thamires de Oliveira Alencar Coleção: Projeção lato sensu Volume: 6 DADOS INTERNACIONAIS DE CATALOGAÇÃO NA PUBLICAÇÃO (CIP) Elaborada pelo processamento técnico da Biblioteca Central do Centro Universitário Projeção Bibliotecário Luís Eduardo Gauterio Fonseca - CRB 01/1597 658.511.4 COBIT / Organizadores, José Sérgio de Jesus ... [et al.] – Brasília: Projeção, 2020. 63 p. ; 30 cm. (Coleção Projeção latu sensu, v. 6) ISBN: 978-65-89213-26-0 1. Gestão de projetos 2. Capability Maturity Model Integration 3. Processos de software I. Jesus, José Sérgio de. IV. Título V. Coleção CDU 658.511.4 SUMÁRIO 06 .................................................................. Módulo 01 Governança Corporativa e Governança de TI 20 ........................................................................ Módulo 02 Alinhamento Estratégico da TI 36 ........................................................................ Módulo 03 COBIT 50 ........................................................................ Módulo 04 Implantação da Governança de TI GOVERNANÇA CORPORATIVA E GOVERNANÇA DE TI MÓDULO 1 7 APRESENTAÇÃO Nessa unidade vamos compreender o que é Governança. Iniciaremos o estudo da nossa unidade pela Governança Corporativa, cujo objetivo é o de alinhar as expectativas entre exe- cutivos e acionistas de uma organização empresarial. Além disso, ela deve favorecer o controle interno dos ativos organizacionais e possibilitar uma eficiente Gestão de Risco. Uma vez com- preendidos os aspectos da Governança Corporativa, iniciaremos os estudos da Governança de TI, que tem objetivos semelhantes, porém, voltada para o monitoramento dos recursos e ativos de TI, em prol da atribuição de valor da TI para o negócio. Compreenderemos o escopo da Governança em TI, no sentido de alinhar estrategicamente a TI com a organização. 1. O que é Governança? 1.1 Governança Corporativa Uma organização pode ser compreendida como um grupo de pessoas associadas com um objetivo em comum. Geralmente as or- ganizações são estruturadas de forma hierár- quica, com atividades voltadas para a execu- ção de algum tipo de negócio. No topo dessa hierarquia estão aquelas pessoas que deter- minam os rumos da organização. No caso das empresas, que são aquelas organizações que auferem lucro por suas ati- vidades, as pessoas que determinam o seu rumo podem ser os seus proprietários, fun- dadores ou sócios. No caso de empresas de capital aberto, Sociedades Anônimas (S.A.), por exemplo, são os seus acionistas. Também é possível que empresas constituam um con- selho gestor e um conselho de sócios, que não são, necessariamente, compostos pelos mesmos membros. O fato é que, nem sempre, os proprie- tários ou acionistas são os responsáveis por efetuar a gestão da empresa. Por exemplo, qualquer um de nós pode ser acionista de uma grande empresa (S.A.), que possua ações negociadas na bolsa de valores. Mas, isso não significa que nós participemos da sua gestão, tomando decisões sobre investimentos, de- missões de funcionários, contratos com for- necedores, entre uma infinidade de outras tarefas inerentes à gestão de uma grande empresa. A gestão da empresa cabe aos seus executivos. E, é aí que entra a Governança. A Governança Corporativa “[...] funda- mentou-se para criar um conjunto eficiente de mecanismos para assegurar que o comportamento dos executivos esteja sempre alinhado com o interesse dos acio- nistas, e também para evitar fraudes, erros estratégicos e abusos de poder” (TOMIATTI, 2012, p. 12). A definição de Governança Corporativa, de acordo com o Instituto Brasileiro de Go- vernança Corporativa (IBCG, 2020) é: [...] o sistema pelo qual as organizações são dirigidas, monitoradas e incentivadas, envolvendo os relacionamentos entre proprietários, conselhos de administração, diretoria e órgãos de controle. As boas práticas de governança corporativa convertem princípios em recomendações objetivas, alinhando interesses com a finalidade de preservar e otimizar o valor da organização, facilitando seu acesso ao capital e contribuindo para sua longevidade. (IBGC, 2020). Laiane Realce Laiane Realce Laiane Realce Laiane Realce Laiane Realce 8 Ainda de acordo com IBGC, a Governança Corporativa traz alguns princípios. São eles: • Princípio da Transparência: que consiste na obrigação e no desejo de informar resulta- dos e ações. • Princípio da Equidade: tratamento igual para todos os acionistas. • Princípio da Prestação de Contas: os agen- tes da governança corporativa prestam con- tas e são responsáveis pelos seus atos e omissões. • Princípio da Responsabilidade Corporativa: os agentes de governança devem zelar pela sustentabilidade das organizações, visando a sua longevidade, incorporando considera- ções de ordem social e ambiental na defini- ção dos negócios e operações. Portanto, a Governança Corporativa surgiu como uma maneira de implementar boas práti- cas de gestão, para minimizar os conflitos de in- teresse existente entre os executivos gestores e os proprietários da empresa, definindo papéis e responsabilidades para cada um deles. Para Freitas (2013), o objetivo da governan- ça é o de criar mecanismos eficientes de gestão, monitoramento e controle, com vistas a garan- tir que as decisões dos gestores executivos e os processos empresariais estejam alinhados com os interesses dos proprietários ou acionistas. As- sim, é possível conceder transparência no con- trole interno e na gestão dos riscos para os in- vestidores da empresa, garantindo retorno para os seus investimentos. A adoção de boas práticas de Governança Corporativa aumenta a confiança e a disposição dos investidores quem adquirir em ações da empresa. 1.2 Controle Interno e Gestão de Risco Existem modelos de controle interno e de gestão de risco capazes de garantir que os prin- cípios da governança corporativa sejam obede- cidos. O principal modelo norteador da estru- turação de sistemas de controles internos e de gestão de risco é o COSO - The Committee of Sponsoring Organizations ofthe Treadway Com- mission (Comitê das Organizações Patrocinado- ras). COSO é uma entidade sem fins lucrativos, dedicada à melhoria dos relatórios financeiros, pautado na ética, efetividade dos controles inter- nos e governança corporativa. Ela foi criada por iniciativa do setor privado dos Estados Unidos (bancos e seguradoras) para estudar as causas de ocorrências de fraudes em relatórios financei- ros e contábeis, desenvolvendo recomendações para empresas de capital aberto e para institui- ções de ensino. De acordo com o COSO, o controle interno é um processo que pode ser efetuado pelo con- selho de administração, executivos ou qualquer outro funcionário de uma organização. Fernan- des & Abreu (2014) definem, para o COSO, as seguintes finalidades: • Eficiênciae eficácia das operações: que se refere à salvaguarda de seus ativos, preven- ção e detecção de fraudes e erros. • Confiabilidade das demonstrações financei- ras: exatidão, integridade e confiabilidade dos registros financeiros e contábeis. • Conformidade com as leis e regulamentos vi- gentes: aderência às normas administrativas, às políticas da empresa e à legislação à qual está subordinada. Laiane Realce Laiane Realce Laiane Realce Laiane Realce Laiane Realce Laiane Realce Laiane Realce Laiane Realce Laiane Realce Laiane Realce Laiane Realce Laiane Realce Laiane Realce Laiane Realce Laiane Realce Laiane Realce Laiane Realce 9 1.3 Sarbanes-Oxley e Basiléia II Em 2001, a Enron Corporation, companhia de energia americana, localizada em Hous- ton, Texas, que empregava cerca de 21.000 pes- soas, decretou falência. Esse fato causou sur- presa em toda a nação norte-americana, pois a Enron era uma das empresas mais admiradas no mundo. Era considerada a sétima maior empresa dos Estados Unidos, uma das líderes em distri- buição de energia no país. No ano anterior ao da falência, seu faturamento havia atingido 101 bilhões de dólares. Entretanto, após a falência, descobriu-se, na verdade um grande escândalo financeiro, cujas dívidas chegavam à 13 bilhões de dólares. A verdade é que a Enron havia manipulado seus balanços financeiros com a ajuda de empresas e bancos. Esse evento provocou um efeito cas- cata, que ocasionou a falência de várias outras empresas, entre elas fundos de pensão, fundos de investimentos e bancos. Além de prejuízos in- calculáveis a acionistas e investidores. Esse fato originou a elaboração de uma fa- mosa lei, em 2002, pelos congressistas norte-a- mericanos Paul Sarbanes e Michael Oxley (daí o nome da lei, apelidada de SOx), para proteger in- vestidores e demais stakeholders de erros nos registros contábeis e a prática de fraudes. Figura 1: Paul Sarbanes e Michael Oxley Fonte: https://portaldeauditoria.com.br/ A SOx determina que as empresas aumentem seus processos de controle, segurança e transpa- rência. Prevê mecanismos de auditoria, imprime responsabilidades à administração financeira da empresa, controla as escriturações contábeis e obriga a divulgação pública de informações. Ou seja, ela define boas práticas de governança cor- porativa, o que proporciona maior controle inter- no e gestão de riscos. O objetivo principal da SOx é o de identi- ficar, combater e prevenir fraudes que possam impactar no desempenho financeiro das organi- zações, garantindo o compliance (que é o dever de observar e cumprir rigorosamente a legislação à qual se submete determinada organização). To- das as empresa norte-americanas e qualquer ou- tra estrangeira, inclusive as brasileiras, mas que atuam nos Estados Unidos, estão submetidas aos preceitos da SOx. Já o acordo de Basiléia II foi elaborado pelo Comitê de Basileia para Supervisão Bancária, que é um fórum internacional que tem como objetivo reforçar a regulação, a supervisão e as melhores práticas bancárias para a promoção da estabili- dade financeira nas nações. O Acordo de Basileia I (1988) estabelecia re- comendações de exigências mínimas de capital para instituições financeiras internacionalmente ativas, principalmente para fins de mitigação do risco de crédito. Ou seja, era uma norma dire- cionada aos grandes bancos. As recomendações conhecidas como Basileia II (2004), foram uma revisão desse primeiro acordo, que agregou prin- cípios para uma avaliação mais precisa dos riscos aos quais as instituições financeiras estão sub- metidas. 1.4 Compliance O termo compliance tem origem no verbo inglês “comply”, que significa literalmente: agir Laiane Realce Laiane Realce Laiane Realce Laiane Realce Laiane Realce Laiane Realce Laiane Realce Laiane Realce Laiane Realce Laiane Realce Laiane Realce Laiane Realce Laiane Realce Laiane Realce Laiane Realce Laiane Realce 10 de acordo com uma regra, instrução ou coman- do. Portanto, literalmente, quando uma empresa está em “compliance”, isso significa que ela está agindo em conformidade com as leis e regula- mentos (internos e externos), definidos para a sua área de atuação. É fundamental que as em- presas assegurem a conformidade dos seus ne- gócios com a legislação vigente, além da regula- mentação aplicável ao setor econômico e órgãos de regulação. Entretanto, o compliance vai muito além de apenas seguir leis e regulamentos. Atualmente, esse conceito também está relacionado a valores éticos do negócio e as melhores práticas do mer- cado para atender às demandas da sociedade. Até mesmo a atenção com relação às questões socioambientais, atualmente são alvo do com- pliance. 2. Governança de TI A Tecnologia da Informação (TI) possui im- portância fundamental para a grande maioria das organizações, fornecendo suporte para todas as suas atividades, sejam elas estratégicas, táticas ou operacionais. É fundamental que os proces- sos de gestão da TI nas organizações estejam imbuídos das melhores prática, para proporcio- narem ganho substancial para as operações da empresa. O setor de TI existe para possibilitar que as operações da empresa sejam realizadas a contento e também que a própria gestão empre- sarial aconteça com maior eficiência. De acordo com o IT Governance Institute (2007), a Governança de TI é uma responsabili- dade da alta administração (incluindo diretores e executivos), na liderança e nos processos que ga- rantem que a TI da empresa sustente e estenda as estratégias e objetivos da organização. Já na concepção da ISO/IEC 38.500 (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2009) a governança de TI “[...] é o sistema pelo qual o uso atual e futuro da TI são dirigidos e controlados. Significa avaliar e direcionar o uso da TI para dar suporte à organização e monitorar seu uso para realizar planos. Inclui a estratégia e as políticas de uso da TI dentro da organização”. Segundo Weill e Ross (2004), a Governan- ça de TI busca atender às práticas definidas pela Governança Corporativa, visando responder às seguintes questões: 1. As capacidades da TI melhoram a competiti- vidade da empresa? 2. Todos os gerentes da empresa reconhecem suas responsabilidades com o gerenciamen- to e o uso efetivo da TI – ou eles assumem que este é um problema apenas da área de TI? 3. Os investimentos em TI da empresa visam atender aos objetivos estratégicos ou a em- presa desperdiça recursos e investimentos apenas para atender às iniciativas táticas e necessidades operacionais? Para Fernandes e Abreu (2014), a governan- ça de TI deve: • Promover o alinhamento da TI ao negócio (suas estratégias e objetivos), tanto no que diz respeito a aplicações como à infraestru- tura de serviços de TI; • Providenciar a implantação de mecanismos que garantam a continuidade do negócio contra interrupções e falhas (manter e gerir as aplicações e a infraestrutura de serviços); • Viabilizar, com áreas de controle interno, compliance e gestão de riscos, o alinhamento da TI a marcos de regulação externos, como a Sarbanes-Oxley (empresas que possuem ações ou títulos, papéis sendo negociados Laiane Realce Laiane Realce Laiane Realce Laiane Realce Laiane Realce Laiane Realce Laiane Realce Laiane Realce Laiane Realce Laiane Realce Laiane Realce 11 em bolsas de valores norte-americanas), Ba- sileia II (no caso de bancos), além de outras normas. Portanto, perceba que a governança de TI é uma peça fundamental da própria Governança Corporativa. Afinal, a Governança Corporativa não consegue ser eficiente se não houver um correto gerenciamento dos ativos e dos serviços da TI no âmbito de uma organização. 2.1 Componentes da Governança de TI Para Fernandes e Abreu (2014), os compo- nentes típicos da Governança em TI são: • Riscos e compliance: consiste na definição da tolerância de riscos da organização e na avaliação conjunta dos riscos com o negócio, assim como nagarantia de que a TI está ade- rente com requisitos de compliance externos e internos (através dos controles internos aplicáveis). • Avaliação independente: consiste na promo- ção de avaliações (auditorias) independentes para verificar a conformidade da TI com re- quisitos de compliance externos e com os controles internos aos quais está submetida. • Gestão da mudança organizacional: consis- te no processo de avaliar a prontidão para a mudança das áreas de TI, em função da implantação de inovações em processos de gestão e operacional, do planejamento da mudança, do estabelecimento de mecanis- mos de recompensas para a mudança e do gerenciamento da implantação da mudança. • Alinhamento estratégico: consiste na inte- ração entre a TI e a alta administração, no sentido de estabelecer os mecanismos de direitos decisórios, assim como a obtenção dos direcionadores estratégicos e objetivos de negócio que irão afetar a TI, bem como a sua contribuição para a operação e objetivos do negócio. • Entrega de valor: consiste no gerenciamen- to dos programas e projetos, na avaliação do valor entregue e no gerenciamento discipli- nado do portfólio de TI. • Gestão do desempenho: consiste na defini- ção de indicadores, mecanismos de coleta e análise de indicadores de resultado (metas) e de desempenho da TI. • Comunicação: consiste na comunicação do valor entregue pela TI ao negócio e em re- lação ao seu desempenho no atendimento dos níveis de serviços e das metas estabele- cidas pelo planejamento estratégico. • Gerenciamento de recursos: consiste na supervisão do investimento, do uso e da alocação dos recursos de TI, por meio de avaliações periódicas das iniciativas e ope- rações de TI, visando assegurar a existência de recursos suficientes e o alinhamento com objetivos estratégicos e necessidades de ne- gócios atuais e futuras. 2.2 Objetivos da Governança em TI Para compreendermos os objetivos da Go- vernança em TI, é necessário considerar a neces- sidade de alinhamento entre os executivos de negócio, geralmente chamados de CEO (Chief Executive Officer) e os executivos de TI, os CIO (Chief Information Officer). Ambos assumem a responsabilidade de efetuar a gestão dos investi- mentos feitos na área de TI em prol de vantagens competitivas para empresa. Para Fernandes e Abreu (2014), o principal objetivo da Governança de TI é alinhar a TI aos requisitos do negócio, apoiando o negócio, ga- rantindo a continuidade dos serviços e a mini- mização da exposição do negócio aos riscos de Laiane Realce Laiane Realce Laiane Realce Laiane Realce Laiane Realce Laiane Realce Laiane Realce Laiane Realce 12 TI. Para os mesmos autores, como desdobrando este objetivo principal, podemos identificar ou- tros objetivos da Governança de TI. • Promover o posicionamento mais claro e consistente da TI em relação às demais áreas de negócios da empresa. • Promover o alinhamento e a priorização das iniciativas de TI com a estratégia do negócio. • Promover o alinhamento da arquitetura de TI, sua infraestrutura e aplicações às neces- sidades do negócio, em termos de presente e futuro. • Promover a implantação e melhoria dos pro- cessos operacionais e de gestão necessários para atender aos serviços de TI, conforme padrões que atendam às necessidades do negócio. • Prover a TI da estrutura de processos que possibilite a gestão do seu risco e compliance para a continuidade operacional da empresa. • Promover o emprego de regras claras para as responsabilidades sobre decisões e ações relativas à TI no âmbito da empresa. Dada a importância da tecnologia em todas as áreas do negócio, a Governança em TI tam- bém é peça fundamental para efetuar a gestão dos riscos dentro da corporação. Outra atenção importante é que os recursos de TI sejam aplica- dos em um contexto corporativo, com a finalida- de de agregar valor ao negócio. A TI precisa visar o desenvolvimento dos processos de negócio, sempre com transparência, eficiência, eficácia e, principalmente, proporcionando lucro. A Governança em TI é capaz de proporcionar valor agregado ao negócio, possibilitando que a organização gaste seus recursos com mais asser- tividade. Portanto, a adequada utilização da TI no âmbito corporativo pode trazer inúmeros be- nefícios para a organização. Em compensação, se mal utilizada, pode trazer um risco incalculável. 2.3 Escopo da Governança em TI Para Fernandes e Abreu (2014), a Governan- ça de TI compreende mecanismos e componen- tes logicamente integrados, que permitem a exe- cução do Planejamento Estratégico desenhado para a TI. Esses componentes são agrupados em quatro domínios. A estrutura que define esse es- copo é a seguinte: Figura 2: Os domínios e componentes da Governança de TI Fonte: Fernandes e abreu (2014, p.38) Vejamos a explicação a respeito de cada um desses componentes a seguir. • Alinhamento estratégico – É a forma como a TI atende ao negócio. Corresponde às de- finições da TI com relação à sua arquitetura, infraestrutura, aplicações, processos e orga- nização; em conformidade com as necessi- dades presentes e futuras do negócio. Essas definições devem constar do Plano Diretor de TI. • Princípios de TI - São as regras que todos os colaboradores, desde a alta gestão até os de nível operacional, devem seguir. São de- finições sobre a forma como os ativos de TI Laiane Realce Laiane Realce Laiane Realce Laiane Realce Laiane Realce Laiane Realce Laiane Realce Laiane Realce Laiane Realce Laiane Realce 13 devem ser utilizados. • Gestão da demanda – É a análise sobre os serviços necessários para atender a deman- da, incluindo análise das capacidades dos componentes, melhoria dos serviços, neces- sidades de inovação, entre outros. • Necessidades de aplicações – Aplicações de TI voltadas para atender à continuidade do negócio. Definem as aplicações que devem ser implantadas, assim como as que devem ser mantidas, melhoradas ou substituídas. • Arquitetura de TI - Conjunto computacional que define como será a utilização da TI, no âmbito de seus processos, tecnologias, apli- cações. • Infraestrutura de TI – Define a capacidade planejada para a TI (em termos de recursos técnicos é humanos). • Objetivos de desempenho - Responde às metas traçadas pela administração da TI, para atender aos seus objetivos organizacio- nais. Geralmente, estão relacionados a medi- ção dos níveis de serviço. • Capacidade de atendimento da TI - Define a quantidade de recursos necessários para atender a demanda pelos sistemas e servi- ços, sejam eles humanos ou recursos com- putacionais. • Estratégia de sourcing - Sourcing é um mé- todo da área de suprimentos que permite analisar o orçamento dedicado a determi- nados produtos ou serviços, de acordo com um mapeamento de mercado para avaliar a melhor proporção custo-benefício para o ne- gócio, em termos de suprimentos. • Política de segurança da informação - Con- siste em determinar diretrizes e procedimen- tos específicos, voltados a garantir a segu- rança dos ativos da organização. • Competências - Corresponde ao conjunto de conhecimentos que torna possível o de- senvolvimento e a implantação de iniciativas da área de TI. • Processos e organização - Representa a for- ma como os serviços e produtos de TI serão desenvolvidos, gerenciados e oferecidos aos usuários. • Plano de Tecnologia da Informação (ou Pla- no Estratégico de TI ou Plano Diretor de TI) - Consiste no principal elemento de ali- nhamento estratégico entre TI e organiza- ção. É um documento que contempla uma comunicação clara a respeito dos objetivos viva produtos e serviços de TI para todos na organização. • Mecanismos de decisão - Define as respon- sabilidades sobre as decisões relacionadas à TI dentro da organização. • Critérios de decisão - Definem como serão priorizadas e quais os critérios a serem obe- decidos acerca de cada decisão relacionada a TI. • Portfólio de TI- Possibilita o gerenciamento de todos os projetos e serviços de TI ofer- tados na organização, conferindo níveis de prioridade sobre quais devem ser priorizados ou não. • Projetos - São divididos entre projetos alocados (aqueles onde a TI não é parte gestora) e projetos sob responsabilidade di- reta da TI. • Serviços - Estão relacionados às operações que acontecem na organização e que são ofertadas pela TI. Podem incluir serviços aos usuários, gestores, clientes, fornecedores, parceiros, etc. 14 • Inovações - Podem ocorrer tanto em nível de processos de negócio (uma nova forma de executar um processo de maneira mais eficaz, por exemplo), como também em pro- dutos ou serviços ofertados pela TI. • Relacionamento com o cliente - É a forma como a TI possibilita a interação entre usu- ários (internos ou externos) e a organização, bem como o atendimento as demandas ge- radas por eles. • Relacionamento com fornecedores - Inclui solicitações, consultas, acordos, controle de qualidade e desempenho, entre outros. • Gestão do valor da TI - Está relacionado às atividades que possibilitam que a TI de- monstre a sua importância e o seu valor para o negócio, em termos de retorno do investi- mento, custos relativos e valor agregado. • Gestão do desempenho - Refere-se ao mo- nitoramento da eficiência e da eficácia dos serviços de TI, considerando qualidade do suporte, entrega dos serviços, segurança da informação, medição dos níveis de serviço, entre outros. Portanto, o escopo da governança em TI con- siste em centralizar esforços para alinhar estrate- gicamente a TI com a organização, promovendo benefícios efetivos para o negócio. A utilização de recursos de TI de forma responsável, permite que a empresa explore novas oportunidades e maximize o retorno do seu investimento na área de tecnologia. Laiane Realce O conselho de administração de uma empresa de energia S/A, aprovou a compra de uma outra empresa sediada no exterior. À época, a com- panhia anunciou ao mercado, através de fato relevante, a operação e o valor do negócio, sem explicitar detalhes relativos às sinergias ou a como aquela operação criaria valor a seus acionistas. O estatuto da empresa imputava ao conselho de administração a responsabilidade pela aprovação de operações de aquisição desse porte, e não aos dire- tores. Anos mais tarde, uma investigação apontou que o preço pago na operação foi bastante superior ao real valor de mercado da empresa objeto da aquisição, o que trouxe prejuízos aos acionistas minoritários. A empresa é considerada de grande porte, com executivos de alto es- calão e mais de 100.000 funcionários. Essa empresa conta com di- versas filiais em todo o Brasil e realiza operações que superam vários milhões de reais. Pensando nesse contexto, seu desafio é o de elencar argumentos para responder aos seguintes questionamentos: Do ponto de vista dos pilares de sustentação da governança corpo- rativa, quais foram as falhas no sistema de governança da empresa? Como uma política eficaz de governança norteada pelos pilares pode- ria coibir esse tipo de situação? Comente esses dois questionamentos. Quais os principais fatores ativos da governança em TI dentro de uma organização desse porte. 15 DESAFIO 16 A Governança Corporativa tornou-se um dos temas mais discutidos no mundo dos negócios com grande impacto acadêmico e prático. A pesquisa objetiva identificar, a partir da análise da litera- tura, o desenvolvimento da temática e as oportunidades de pesquisa. A partir da análise de 31 artigos teóricos e 59 artigos empíricos identificaram-se oportunidades de pesquisa dentro de uma abordagem interpretativista e crítica com vistas a orientar estudos em distintos contextos e par- ticularidades. Também foi observada a predominância da Teoria da Agência, todavia com limitada investigação dos conflitos entre acionistas, e entre credores e gestão. As oportunidades de pesqui- sas voltam-se à compreensão de fenômenos pela análise interligada da Teoria da Agência, Teoria dos Stakeholders, Stewardship e Dependência de Recursos. Foi possível evidenciar, por meio da literatura, que a análise dos mecanismos internos e externos de maneira complementar fornece maiores subsídios às investigações. A pesquisa contribuiu para geração de conhecimento, ao apre- sentar de maneira sistematizada as principais características dos pesquisadores de GC, os aspectos conceituais e teóricos da área, além de apresentar às potencialidades para futuras pesquisas, quan- to à abordagem, teoria e mecanismos de governança corporativa. KREUZBERG, Fernanda; VICENTE, Ernesto Fernando Rodrigues. Para Onde Estamos Caminhando? Uma Análise das Pesquisas em Governança Corporativa. Rev. adm. contemp., Curitiba, v. 23, n. 1, jan./feb. 2019. Disponível em: https://www.scielo.br/scielo.php?pid=S1415-65552019000100043&script=sci_arttext&tlng=pt. Acesso em: 5 out. 2020. Este estudo teve o objetivo de analisar a influência da estrutura de governança corporativa na mitigação da Possibilidade de Relatórios Financeiros Fraudulentos (PRFF) das empresas no Brasil. Os dados de 314 empresas abertas foram utilizados para estimação da previsibilidade de falência e da possibilidade da manipulação de resultados, para posterior identificação da PRFF. Verificou-se que em 5,5% das observações houve indicativo de Possibilidade de Relatório Financeiro Fraudu- lento, além de a probabilidade de falência ter sido identificada em 16,91% das observações e a probabilidade de manipulação de resultados ter sido identificada em 17,73% delas. A estrutura de governança corporativa das empresas apresentou influência na mitigação da , seja de forma direta ou indireta por meio da redução das probabilidades de falência ou de manipulação de resultados. Notou-se que as práticas de governança relacionadas ao Conselho de Administração foram mais eficientes contra a probabilidade de falência, ao passo que as práticas relacionadas à auditoria esti- veram relacionadas à redução da manipulação de resultados. Entre as contribuições deste estudo, 1. Para onde estamos caminhando? Uma análise das pesquisas em governança corporativa 2.Influência da governança corporativa na mitigação de relatórios financeiros fraudulentos LEITURA COMPLEMENTAR A título de leitura complementar, para se aprofundar nas questões tratadas nessa unidade, são sugeridas três leituras: 17 Estudos relatam que a adesão às boas práticas de governança corporativa agrega valor à empresa. No entanto, os resultados de tal adesão parecem estar condicionados a características institucio- nais e legais específicas de cada país. Este estudo objetiva analisar o compliance às boas práticas de governança corporativa no contexto das empresas de capital aberto do mercado brasileiro. A amostra é composta por 1336 observações anuais de 167 empresas listadas na B3 (Brasil, Bolsa, Balcão) no período 2010-2017. Utilizaram-se como referência as recomendações dos principais códigos de governança corporativa existentes no Brasil. Fez-se teste de comparação de média (teste t) e de proporção (teste z) entre o observado no coletivo de empresas e as recomendações no mercado brasileiro. Apesar da adesão a muitas das boas práticas recomendadas ainda há espaço para a empresa brasileira avançar. Os resultados indicam inobservância da empresa brasileira às re- comendações referentes ao comitê de auditoria e conselho fiscal, o que pode fragilizar em especial transparência e controle dos atos internos da empresa. Ademais, a adesão a níveis diferenciados de mercado está associada a uma maior inclinação a observar as sugestões emanadas dos códigos, o que pode ser devido à percepção de uma favorável relação custo-benefício da adoção da go- vernança corporativa. Como contribuição do trabalho tem-se a análise detalhada do atual cenário da governança corporativa da empresa brasileira a partir da avaliação do grau de adoção de cada prática recomendada individualmente. CRISÓSTOMO,Vicente Lima; GIRÃO, Aline Maria Coelho. Análise do Compliance das empresas brasileiras às boas práticas de governança corporativa. Revista ambiente contábil, v. 11, n. 2, jul./dez., 2019. Disponível em: https:// periodicos.ufrn.br/ambiente/article/view/16369/11849. Acesso em: 5 out. 2020. 3. Análise do compliance das empresas brasileiras às boas práticas de governança corporativa estão a identificação das probabilidades de fraudes nos relatórios, de falência e de manipulação de resultados para as empresas no Brasil, assim como a verificação de que a governança corporativa foi eficaz na mitigação desses problemas, seja de forma direta ou indireta, informação que é útil a investidores e reguladores desse mercado. MARTINS, Orleans Silva; VENTURA JÚNIOR, Raul. Influência da governança corporativa na mitigação de relató- rios financeiros fraudulentos. RBGN: Revista Brasileira de Gestão de Negócios, v. 22, n. 1, p. 65-84, 2020. Dis- ponível em: https://dialnet.unirioja.es/servlet/articulo?codigo=7292316. Acesso em: 5 out. 2020. Um dos fatos que mais contribuiu para a solidificação dos preceitos de Go- vernança Corporativa, e consequentemente da Governança de TI, foi o es- cândalo da Enron Corporation. Além de servir como pontapé inicial para a criação da lei denominada Sarbanes-Oxley, o caso também foi um marco, para que governo e empresas iniciassem um empreendimento de esforços inédito, em busca da transparência nas operações de grandes empresas e da redução de riscos para investidores. No link abaixo, você confere detalhes a respeito do escândalo Enron Cor- poration. SCHMITT, Cecília. Entenda o Caso Enron. 2002. Disponível em: http://www.pro- vedor.nuca.ie.ufrj.br/eletrobras/artigos/schmitt1.htm. Acesso em: 5 out. 2020. 18 SAIBA + 19 Referências ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 38500:2009: governan- ça corporativa de tecnologia da informação. Rio de Janeiro: ABNT, 2009. CRISÓSTOMO, Vicente Lima; GIRÃO, Aline Maria Coelho. Análise do Compliance das empresas brasileiras às boas práticas de governança corporativa. Revista ambiente contábil, v. 11, n. 2, jul./ dez., 2019. Disponível em: https://periodicos.ufrn.br/ambiente/article/view/16369/11849. Acesso em: 5 out. 2020. FERNANDES, Aguinaldo Aragon; ABREU, Vladimir Ferraz. Implantando a governança de TI: da es- tratégia à gestão dos processos e serviços. 4. ed. Rio de Janeiro: Brasport, 2014. FREITAS, Marcos André dos Santos. Fundamentos do gerenciamento de serviços de TI. 2. ed. Rio de Janeiro: Brasport, 2013. INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA. Governança corporativa. São Paulo: IBGC, 2017. Disponível em: http://www.ibgc.org.br/inter.php?id=18161. Acesso em: 30 jun. 2020. IT GOVERNANCE INSTITUTE. COBIT QuickStart. 2. ed. Rolling Meadows: ITGI, 2007. KREUZBERG, Fernanda; VICENTE, Ernesto Fernando Rodrigues. Para Onde Estamos Ca- minhando? Uma Análise das Pesquisas em Governança Corporativa. Rev. adm. contemp., Curitiba, v. 23, n. 1, jan./feb. 2019. Disponível em: https://www.scielo.br/scielo.php?pi- d=S1415-65552019000100043&script=sci_arttext&tlng=pt. Acesso em: 5 out. 2020. MARTINS, Orleans Silva; VENTURA JÚNIOR, Raul. Influência da governança corporativa na mitiga- ção de relatórios financeiros fraudulentos. RBGN: Revista Brasileira de Gestão de Negócios, v. 22, n. 1, p. 65-84, 2020. Disponível em: https://dialnet.unirioja.es/servlet/articulo?codigo=7292316. Acesso em: 5 out. 2020. PORTAL DE AUDITORIA. Introdução à Lei Sarbanes Oxley (SOx). Disponível em: https://portalde- auditoria.com.br/. Acesso em: 1 jul.2020. SCHMITT, Cecília. Entenda o caso Enron. 2002. Disponível em: http://www.provedor.nuca.ie.ufrj.br/ eletrobras/artigos/schmitt1.htm. Acesso em: 5 out. 2020. TOMIATTI, T. S. Governança de TI. 2012. Monografia – Faculdade de Tecnologia de São Paulo, São Paulo, 2012. Disponível em: http://www.fatecsp.br/dti/tcc/tcc00048.pdf. Acesso em: 30 jun. 2020. WEILL, P.; ROSS, J. W. IT governance: how top performers manage IT decision rights for superior results. Boston: Harvard Business, 2004. ALINHAMENTO ESTRATÉGICO DA TI MÓDULO 2 21 1. Alinhamento estratégico da TI O alinhamento estratégico acontece quando todos os eixos ou setores da organi- zação concorrem para um mesmo objetivo. O que inclui o alinhamento entre a gestão orga- nizacional e a gestão de TI, fundamental para que a organização mantenha a eficácia em seu negócio. Geralmente, esse alinhamento tem início com um planejamento estratégico integrado, realizado entre as áreas de negó- cio é de tecnologia da informação (TI). Os do- cumentos que norteiam esse planejamento são denominados Planejamento Estratégico Organizacional ou de Negócio (PE), realiza- do no âmbito da organização, e Planejamen- to Estratégico de TI (PETI), ou simplesmen- te Plano de TI, realizado especificamente no âmbito da TI. Sobre esses dois importantes instrumen- tos de planejamento, Morais (2018) chama atenção para algumas questões importantes. • O alinhamento entre PE e PETI é alcança- do quando o conjunto de estratégias de TI (sistemas, objetivos, obrigações, estra- tégias), é derivado do conjunto estratégi- co organizacional, composto de missão, objetivos, planejamentos e estratégias. • O elo entre PE e PETI está na forma como o Plano de TI suporta o Plano de Negócio (PN) da organização. • O alinhamento estratégico entre PE e PETI deve promover a integração funcio- nal entre os ambientes externo (merca- dos) e interno (estrutura administrativa e recursos financeiros, tecnológicos e hu- manos) para desenvolver as competên- cias e maximizar a performance organi- zacional. • O alinhamento entre PE e PETI reflete a junção entre a orientação estratégica do negócio e a orientação estratégica de TI. • O alinhamento estratégico entre PE e PETI impacta na performance organiza- cional, que que se traduz na sua eficiên- cia e eficácia de atuação. Esse alinhamento consiste em transpor- tar a estratégia do negócio para a estratégia de TI, garantindo que os objetivos do negócio sejam suportados pela área de TI. Da mesma forma, as estratégias de TI devem potenciali- zar estratégias de negócio que seriam impos- síveis de serem implantadas sem o auxílio de tecnologia. Assim, a estratégia de TI influen- cia e é influenciada pela estratégia de negó- cio, promovendo uma interação recíproca en- tre elas. APRESENTAÇÃO Nessa unidade de estudos trataremos de compreender as características do alinhamento estratégico da TI. Veremos que, para que haja esse alinhamento, é necessário haver primeiro um Planejamento Estratégico Organizacional, que irá nortear a construção de um Planeja- mento Estratégico de TI (PETI). Compreenderemos as características do PETI e a importân- cia desse planejamento seguir o mesmo ritmo do Planejamento Organizacional, devendo ser construído a partir dos objetivos e das estratégias definidas para a organização. Finalizaremos a unidade compreendendo os fatores que influenciam na análise estratégica da organização e, por fim, os papéis inerentes à Governança de TI. Laiane Realce Laiane Realce Laiane Realce Laiane Realce Laiane Realce Laiane Realce Laiane Realce Laiane Realce Laiane Realce Laiane Realce Laiane Realce Laiane Realce 22 O Modelo de Ramizes e Sender (2003) ilus- tra bem essa interdependência entre o PETI e o PE. Esse alinhamento estratégico pode aconte- cer em diversos momentos do ciclo de vida da organização. Por exemplo, no momento em que os gestores se reúnem para planejar os objetivos do negócio a médio e longo prazo, definindo es- tratégias para atingir esses objetivos. Ou então, quando eles se reúnem para analisar o cenário competitivo em busca de novas oportunidades. Por isso, Fernandes e Abreu (2014) categorizam o alinhamento estratégico como estático ou di- nâmico. • Alinhamento estático - Ocorre no momento em que a empresa planeja o seu futuro. É derivado do Plano Estratégico e do Plano de Negócios da empresa. • Alinhamentodinâmico - Refere-se às altera- ções da estratégia de TI em função de mu- danças nas estratégias de negócios da em- presa, ocasionadas por mudanças de cenário da economia ou da política, por exemplo, fazendo com que a empresa precise redire- cionar os seus esforços. 2. Planejamento Estratégico O planejamento constitui-se de um dos pro- cessos mais importantes na vida de uma organi- zação. Ele é uma peça fundamental para se al- cançar os objetivos organizacionais, na medida em que define as metas a serem alcançadas em cada etapa do caminho, os recursos a serem utili- zados e o método a ser adotado para se atingir os objetivos. Almeida (2003) afirma que o Planeja- mento Estratégico é uma atividade que propicia, para a empresa, a consciência das oportunidades e das ameaças enfrentadas no cumprimento de sua missão. Isso significa que o Planejamento Estratégi- co possibilita a identificação de fatores externos que contribuem como oportunidades ou amea- ças. Por exemplo, mudanças macroeconômicas no país, o surgimento de novos concorrentes ou as altas taxas de câmbio. Assim como, permite a identificação de fatores internos, que podem ser encarados como forças ou fraquezas da or- ganização, como o domínio de uma tecnologia, Figura: Modelo Ramizes e Sender Fonte: Modelo de Ramirez e Sender (2003) sobre o PETI Laiane Realce Laiane Realce 23 necessidade de treinamento de funcionário, bom conhecimento em gestão, entre outros. O Planejamento Estratégico organizacional decorre das estratégias corporativas e competi- tivas definidas pela alta gestão. Essas estratégias, por sua vez, são desenhadas a partir da inteli- gência competitiva que é adquirida ao longo do tempo. Fernandes e Abreu (2014) ilustram bem o surgimento do Plano Estratégico organizacio- nal, bem como a sua relação com os demais pla- nejamentos efetuados pelas áreas funcionais da organização, inclusive o PETI, realizado pela área de TI. Figura: Processo de Planejamento Estratégi- co Organizacional Fonte: Fernandes e Abreu (2014) Vejamos, de acordo com os mesmos autores, quais foram as etapas consideradas para a con- secução de um Plano de TI. • Inteligência competitiva - Refere-se ao tra- tamento das informações (internas e exter- nas), de forma a constituir um aprendizado inteligente sobre como aumentar a competi- tividade da empresa. Esse aprendizado é ob- tido a partir da avaliação de oportunidades e ameaças, pontos fortes e pontos fracos, erros e acertos, em prol de uma evolução or- ganizacional continua. • Estratégia corporativa - Refere-se ao con- junto de métodos adotados pela organização para responder questões fundamentais que norteiam a organização, como: em que negó- cio atuar, como fazer a gestão de portfólio, a melhor forma de alocar recursos, novos ne- gócios a serem desenvolvidos, entre outros. • Estratégia competitiva e de posicionamen- to - Está relacionada à missão da empresa, os objetivos estratégicos do negócio, sua diferenciação frente aos concorrentes, sua estratégia de crescimento, entre outros. • Plano Estratégico - É o documento que con- tém as intenções da alta gestão sobre como atingir os seus objetivos de negócio. Estabe- lece os métodos para que os objetivos sejam atingidos. • Planos funcionais - Desdobram as estraté- gias do negócio em estratégias a serem reali- zadas no âmbito de cada função ou setor da organização. Todos devem estar alinhados para que os objetivos do plano estratégico sejam atingidos. Portanto, o PETI é tido como um dos planos funcionais, que deve estar alinhado ao planeja- mento estratégico organizacional. Entretanto, ele não está restrito somente à área de TI, de- vendo apoiar, em termos de operação e desen- volvimento de novas soluções, as necessidades do negócio e dos diversos setores. Portanto, a compreensão dos gestores de TI sobre o negócio é fundamental para determinar e direcionar os serviços a usuários e clientes que serão disponi- bilizados e suportados. 3. Planejamento Estratégico de TI (PETI) Para Morais (2018), o PETI surgiu outros dois planejamentos anteriormente adotados nas or- ganizações: o Planejamento Estratégico de Infor- mações (PESI), que há alguns anos servia como um portfólio de sistemas disponíveis para obten- ção de informações; e o Plano Diretor de Infor- Laiane Realce Laiane Realce Laiane Realce Laiane Realce Laiane Realce Laiane Realce Laiane Realce Laiane Realce Laiane Realce 24 mática (também chamado de Plano Diretor de TI), utilizado até bem pouco tempo atrás e que tratava mais da parte da infraestrutura necessá- ria para suportar o serviços da TI. Atualmente, o PETI aglutina esses 2 documentos, sendo consi- derado como estrutura principal do alinhamen- to estratégico realizado entre a área de TI e alta gestão da organização. 3.1 Características do PETI Conforme às melhores práticas de governan- ça de TI, o PETI é o principal documento gerado na fase de alinhamento estratégico entre a TI e a organização. Esse tipo de planejamento, ge- ralmente é feito de forma anual. Entretanto ele também pode ser feito para períodos de até 3 anos, desde que sejam realizadas revisões atuais. Principalmente, se considerarmos as constantes transformações e evoluções da tecnologia. O PETI, segue o mesmo ritmo do Planeja- mento Estratégico organizacional, devendo ser construído a partir dos objetivos e estratégias definidas para a organização. Como os dois pla- nos se retroalimentam, as definições contidas no PETI devem sugerir novas oportunidades de negócio a partir do uso da tecnologia ou prover informações sobre como será o apoio aos ob- jetivos estratégias organizacionais, definidos no planejamento organizacional. O que inclui es- tratégias de suporte para as áreas funcionais da empresa, como marketing, produção, recursos humanos, logística, vendas, entre outras. O profundo entendimento da dinâmica do negócio auxilia na determinação dos itens que irão compor o PETI, uma vez que ele deve prever recursos computacionais, materiais e humanos para as atividades a serem desempenhadas pela TI em toda a organização. Uma vez definidas as necessidades, em termos de soluções de aplica- tivos, arquitetura e infraestrutura de TI, é neces- sário reavaliar a organização das operações e a oferta dos serviços, considerando os processos operacionais da organização, os processos de gestão, o relacionamento com clientes e com usuários, a relação com fornecedores, além dos recursos humanos para implantação e gestão de todo esse escopo. Todas essas necessidades indicadas no PETI e que deverão ser supridas quando da execução do planejamento, formarão novo portfólio de TI. Para a finalização do plano, devemos consi- derar que esse portfólio de TI deve ser aprova- do pela alta gestão, o que requer gerenciamento acerca dos investimentos definidos pela organi- zação para a área de TI. Para isso, é necessário considerar critérios de análise, que vão definir as prioridade de execução relacionadas aos proje- tos elencados no PETI. Para Fernandes e Abreu (2014), o Portfólio de TI pode ser subdividido em duas partes: 1. Necessidades do negócio – Que define as aplicações de apoio aos processos geren- ciais e operacionais. Por exemplo: manuten- ção de aplicações existentes, necessidade de upgrades em sistemas, desenvolvimento de soluções (envolvendo Business Intelligen- ce, Cloud Computing, Customer Relationship Management, entre outros). 2. Necessidades Internas da TI - Referem-se à capacitação da TI para atender aos serviços, projetos e inovações que serão implantadas no âmbito da organização. Por exemplo: im- plantação de segurança da informação, de- finição de uma metodologia de gestão de projetos, processos de gestão de mudanças, inovações tecnológicas a serem estudadas, capacitação de pessoal técnico, melhoria da arquitetura de TI, entre outros. Laiane Realce Laiane Realce Laiane Realce Laiane Realce Laiane Realce Laiane Realce Laiane Realce LaianeRealce Laiane Realce Laiane Realce 25 Fernandes e Abreu (2014) definem alguns passos fundamentais que constituem o proces- so de elaboração de um Plano Estratégico de TI. Vejamos cada um deles. Imagem: processo de elaboração de um PETI Fonte: Fernandes e Abreu (2014, p.76) • Análise estratégica da organização - Anali- sar estrategicamente a organização significa compreender os requisitos do negócio que impactam diretamente a TI e também como a TI pode contribuir com o sucesso do ne- gócio. Para isso é importante compreender a estrutura do negócio, os objetivos estra- tégicos do negócio e como eles podem se desdobrar em objetivos para a TI. • Análise do portfólio atual de TI - Analisar o portfólio atual da TI é importante para veri- ficar o que está sendo executado em termos de projetos, serviços e inovação; se o que estava previsto e não foi realizado; se o or- çamento previsto para a TI ficou dentro do previsto ou não; que serviços são fornecidos a usuários e clientes e também quais as pro- postas de melhorias registrados. A análise do portfólio também permite identificar o que deve permanecer e o que deve ser reestru- turado; as ações ou serviços que devem ser cancelados; as necessidades de melhoria, entre outros. • Entendimento da dinâmica do negócio - Compreender a dinâmica envolvida no ne- gócio é fundamental para determinar a ca- pacidade que a TI deve ter para conseguir atender às demandas do negócio. Geral- mente, a análise estratégica da organização e a análise do portfólio atual de TI fornecem elementos para compreender a dinâmica do negócio. Além disso, é fundamental conhe- cer como os processos de negócio estão mapeados, não só para compreender a sua dinâmica, mas também conseguir propor melhorias nas atividades. Além disso, é importante compreender as mudanças e a evolução do negócio, como alteração do perfil do cliente, oferta de novos produtos ou serviços, localidades de atuação da empresa, novos processos de produção, novas lojas em o peração, estudos para expansão das operações, etc. Tudo isso pode acarretar au- mento de demanda dos serviços de TI, bem como nos níveis de serviços requeridos, com impacto em custos e riscos. • Definição da estratégia de serviços - Uma vez compreendido o negócio, a sua dinâmica e analisando também o portfólio atual de TI, é necessário pensar em como os serviços de TI serão ofertados. A estratégia de serviços deve levar em consideração o que gera va- lor para clientes e usuários, para desenvolver como será a oferta dos serviços de TI. Laiane Realce 26 • Definição dos objetivos e metas de TI - De forma geral, podemos considerar que os ob- jetivos e metas de TI são derivados dos se- guintes fatores: o Análise e definição das necessidades do negócio. o Definição da estratégia de serviços. o Análise e definição da arquitetura de TI. o Definição da estratégia de sourcing. o Definição da arquitetura de processos de TI e organização. o Definição da estratégia de segurança da informação. • Análise e definição das necessidades do ne- gócio - Em geral, as necessidades de aplica- ções para o negócio envolvem a implantação de novas aplicações de TI, a melhoria das aplicações já existentes e a substituição ou descarte de aplicações. • Análise e definição da arquitetura de TI – A arquitetura de TI é constituída pela organiza- ção de dados, aplica ações e infraestrutura que proporcionam uma padronização técni- ca para a execução dos serviços de TI. • Definição da estratégia de sourcing - Com a visão formada sobre o que será necessário em termos de necessidades de aplicações, arquitetura de TI, infraestrutura de TI e ca- pacidade requerida, é possível decidir sobre como será feita a oferta desses serviços, o que inclui analisar prós e contras a respeito, por exemplo, de terceirização, utilização de armazenamento em nuvem, análise de for- necedores, entre outros. • Definição da arquitetura de processos de TI e organização - Essa definição está pauta- da em como estará estruturada a operação dos serviços, incluindo serviços de produtos específicos de TI, serviços de suporte, dis- ponibilidade de sistemas e infraestrutura de atendimento a chamados, treinamento, de- senvolvimento de projetos, entre outros. • Definição da estratégia de segurança da informação - Uma Política de Segurança da Informação (PSI) deve estar associada ao ris- co que a TI representa para a continuidade do negócio. Em teoria, essa política só pode ser desenhada após o desenho de todas as arquiteturas anteriores. Afinal, só é possível implantar segurança da informação quando se conhece o panorama onde ela deve ser aplicada. A profundidade e a especificidade da PSI são definidas em função do papel es- tratégico que a TI representa para o negócio. Assim, quanto mais arraigados os serviços de TI para o funcionamento do negócio, maior deve ser o investimento em segurança da in- formação. Fernandes e Abreu (2014) afirmam que, quando se trata de segurança da informação, al- guns aspectos fundamentais devem ser conside- rados: 1. Instituição de um Sistema de Gestão da Se- gurança da Informação ou Information Se- curity Management System, que contemple toda a organização, a liderança, o planeja- mento, o apoio, a operação, o desempenho, a melhoria contínua e a conformidade com requisitos legais e infralegais. 2. Constituição de uma Política de Segurança da Informação documentada. 3. Organização da segurança da informação. 4. Segurança em recursos humanos. 5. Gestão de ativos. 6. Controle de acesso. 7. Criptografia. Laiane Realce Laiane Realce 27 8. Segurança física e ambiental. 9. Segurança das operações. 10. Segurança das comunicações. 11. Aquisição, desenvolvimento e manutenção de sistemas. 12. Relacionamento com fornecedores. 13. Gestão de incidentes de segurança da infor- mação. 14. Aspectos de segurança da informação da gestão da continuidade do negócio. 15. Conformidade. Em função da sua complexidade e da sua im- portância para a condução e a gestão do negó- cio, a Política de Segurança da Informação pode ser considerada de forma autônoma, ou seja, um documento que integra, mas que também pode ser considerado de forma separada do PETI. Os modelos de segurança da informação, re- presentados pelas normas ISO da série 27000, podem ser uma base para se estabelecer a políti- ca de segurança da informação. • Consolidação do portfólio preliminar de TI - Essa etapa consiste em consolidar as ne- cessidades a serem implantadas pela TI no âmbito da organização. Para isso é neces- sário considerar a interdependência entre projetos, serviços e aplicações, bem como a relação entre eles e os objetivos definidos no Planejamento Estratégico da organização. O que inclui avaliações sobre priorização de investimentos. • Definição do orçamento - Orçamento de TI é o resultado nas estimativas de investi- mento para novos projetos, serviços e ino- vações, confrontado com as despesas e os investimentos previstos no plano estratégico organizacional. É importante que, uma vez estabelecidas as prioridades, a TI demonstre como o valor orçado será distribuído pelo seu portfólio. • Priorização de investimentos - os projetos, serviços e inovações devem ser priorizados considerando a capacidade de investimento da empresa. A forma de priorizar os inves- timentos na TI podem obedecer a critérios como risco envolvido, retorno esperado, me- lhoria do serviço, entre outros. É bastante recomendado que essa definição seja feita de maneira conjunta, entre os gestores de TI e os gestores do negócio. • Portfólio de TI aprovado - Esse é o resultado do processo de planejamento de TI. O por- tfólio tem como objetivo comunicar as prio- ridades de investimento de TI da empresa, mostrando os riscos envolvidos e otimizan- do os recursos alocados para a TI. Ele tam- bém é importante para monitorar as iniciati- vas de TI, além de eliminar as redundânciasdessas iniciativas. Além disso, o portfólio é a demonstração do elo entre estratégia do negócio com as iniciativas de TI. Por isso, é recomendado que ele apresente uma lingua- gem mais próxima à linguagem do negócio, em vez de termos específicos da área de TI. O portfólio deverá referenciar os itens dire- tamente relacionados ao atendimento das necessidades do negócio e os itens relacio- nados a necessidades internas da TI. • Plano de TI – Negócios - De acordo com Fernandes e Abreu (2014), o plano de TI vol- tado para os negócios é aquele que contém, por exemplo: o Projetos de desenvolvimento e implanta- ção de sistemas, soluções de ERP, CRM, Contact Center etc. o Projetos de soluções específicas e inova- doras de segurança da informação, como 28 identificação biométrica, sistemas de vi- gilância etc. o Projetos de adoção de novos paradigmas tecnológicos (por exemplo cloud compu- ting, Big Data, BYOD etc.). o Projetos de melhorias em sistemas exis- tentes. o Projetos de Business Intelligence e siste- mas gerenciais. o Sistemas e soluções que deverão ser mantidas e as que irão ser descartadas. • Plano de TI – Interno - Para os mesmos au- tores, o plano de TI interno é constituído por iniciativas da área de TI voltadas a atender o próprio Plano de TI, como: o Projetos de implantação de Governança de TI. o Projetos de implantação de processos de TI. o Projetos de implantação/melhoria de data center. o Projetos de implantação/expansão de re- des de comunicação. o Projetos de segurança da informação. o Projetos de desenvolvimento de com- petências em recursos humanos. o Projetos de infraestrutura de TI. o Projetos de aquisição de software de monitoramento e desempenho do ambi- ente. o Sistemas específicos necessários para a gestão de TI. o Projetos de estudos e prospecção de no- vas tecnologias. o Projetos de otimização da arquitetura de software. o Projeto de implantação do gerenciamen- to de serviços de TI. o Projeto de implantação de novos seviços de TI etc. As prioridades devem estar alinhadas à es- tratégia de serviços de TI definidas anteriormen- te, pois são derivadas das necessidades do negó- cio, do entendimento do negócio, da análise do portfólio atual e do entendimento da dinâmica do negócio. 3.2 Papéis da Governança de TI Em algumas organizações, algumas funções da governança de TI estão integradas à Gover- nança Corporativa. Como aquelas relacionadas à gestão de riscos, controles internos, segurança da informação, priorização de investimentos. De qualquer forma, a definição das responsabilida- des depende das características e do modelo de governança desenhado para cada organização. De qualquer forma, a criação de uma área ou departamento específico para lidar com a Gover- nança de TI tem a função de dar mais visibilidade ao CIO (Chief Information Officer), conferindo lhe responsabilidade para dirigir a implantação das políticas, regras e práticas de gestão e ope- ração de serviços de TI. A implantação de governança de TI deve ser encarada como um programa. Para isso, deve ser designado um gerente, geralmente vinculado ao CIO, para que a organização implante as melho- res práticas. Geralmente, o programa é encerra- do quando os objetivos de maturidade dos pro- cessos são alcançados. Para esclarecer esse aspecto, Fernandes e Abreu (2014) propõem uma interessante e eluci- dativa tabela, contendo as funções e atribuições de cada um dos atores ou setores envolvidos com a implantação da Governança de TI em uma organização. 29 Tabela 1: Funções e atribuições na Governança de TI Funções da governança e de gestão da TI Diretoria executiva CIO Governança de TI Áreas funcionais da TI Áreas de controle, risco e compliance Risco e com- pliance Aprova a política de risco e com- pliance da organi- zação. Faz com que a área de TI siga a política de risco da organização e monitora os ris- cos da TI para o negócio. Segue a política e os métodos, mas trabalha com indicadores e monitora os riscos. Seguem a política, desenvolvem e im- plantam ações de mitigação. Verificam se as ações de miti- gação foram im- plantadas e se foram efetivas. Avaliação in- dependente Aprova a política de controles in- ternos da organi- zação. Faz com que a área de TI siga a política de con- troles internos da organização e monitora as pen- dências. Segue a políti- ca, trabalha com indicadores que monitoram a re- solução das não conformidades. Seguem a política e resolvem os itens não conformes. É de responsabilidade da área de auditoria interna da organização. Gestão da mudança or- ganizacional Aprova mudan- ças na política de pessoal e de desenvolvimento de recursos hu- manos. Aprova o progra- ma de mudança organizacional e lidera a sua im- plantação. A governança de TI pode montar e dirigir o pro- grama de geren- ciamento da mu- dança. Participam do pro- grama de mudança, liderando a mudan- ça na sua área, colo- cando o seu pessoal para ser treinado e capacitado e im- plantam as melho- res práticas em sua área. - Alinhamento estratégico Define e comu- nica a estratégia da organização e decide sobre as priorizações de invest imentos . Aprova o orça- mento da área de TI e monitora os projetos estraté- gicos de negócios em TI. Define a estra- tégia de TI e a comunica para as demais áreas funcionais de TI. Propõe as priori- dades para a di- retoria executiva e gerencia o por- tfólio de TI. Dirige o processo de planejamento de TI e suas re- visões. Verifica a aderência dos planos de TI com a estratégia de TI. Estrutura o portfólio de TI e consolida o orça- mento de TI. Participam da ela- boração da estraté- gia de TI. Elaboram, gerenciam e implan- tam seus planos internos alinhados com a estratégia de TI e elaboram os respectivos orça- mentos. - Entrega de valor Monitora os pro- jetos de negócio e TI estratégicos. Gerencia o por- tfólio de TI, a demanda, o rela- cionamento com clientes e forne- cedores. Monitora o por- tfólio de TI. Veri- fica se os planos de TI estão sen- do implantados e fornece visibili- dade para o CIO. Desenvolvem pro- jetos, fornecem serviços que geram inovações de acor- do com as melhores práticas definidas pelo plano de TI, atendem a clientes e gerenciam serviços de terceiros. - 30 G e r e n c i a - mento de re- cursos Recebe informes sobre a execução orçamentária e de investimentos da área de TI. Gerencia o uso de recursos e define ações para sua otimi- zação. Gerencia o orçamento e invest imentos na área e repor- ta-se à diretoria executiva. Verifica oportu- nidades de otimi- zação de recur- sos. Acompanha a realização do orçamento e os investimentos. Propõem e implan- tam ações para oti- mização de recur- sos. Gerenciam os recursos sob a sua responsabilidade e realizam o controle orçamentário de in- vestimentos em sua área de atuação. - Gestão de desempenho - Gerencia o de- sempenho da TI, gerencia a estra- tégia de TI, soli- cita recuperação de desempenho para os seus ge- rentes e rede es- tratégica. Propõe Métodos de gerenciamen- to do desempe- nho. Mantém o dashboard de governança de TI. Monitora o desempenho e a criação de valor da TI e faz reco- mendações. Ava- lia a efetividade das melhores práticas sobre a geração de valor e sobre o risco da TI. Gerenciam o de- sempenho de seus projetos, assim como a estratégia, os serviços e as ino- vações. Realizam correções, fornecem os indicadores para governança de TI e para o CIO. - comunicação Recebe os infor- mes de desem- penho da TI e da criação de va- lores através de dashboard exe- cutivo. Solicita ações de recupe- ração de melho- ria. Recebe os infor- mes de desem- penho e criação de valor. Avalia a estratégia de TI. Reporta-se à diretoria execu- tiva. Consolida indica- dores de desem- penho e de valor. e específicos de interesse paragovernança de TI e os comunica ao CIO. Mantém o dashboard de TI. Comunicam os re- sultados de seu de- sempenho e criação de valor, alimentan- do o dashboard de gestão de TI. - 31 A governança e a tecnologia trazem para o contexto organizacional di- versas vantagens, que, juntas, geralmente promovem eficiência, segu- rança e transparência dos processos. Com base nesse aspecto, reflita sobre as definições e conceitos que englobam o contexto da Gover- nança de TI Considere que você é funcionário de uma rede de supermercados que tem mais de 2.000 funcionários e filiais em diversos estados do Brasil. Essa rede utiliza a Tecnologia da Informação para suprir a demanda pela necessidade de expansão da qualidade que deve ser aplicada nos processos e, por consequência, nos produtos. Elabore um texto argumentativo contendo cinco vantagens que a apli- cação da governança corporativa e a governança de TI podem trazer para esse contexto. Na sua argumentação, inclua também um ponto negativo que pode ser causado pelo uso da governança. Na sua reflexão, considere: • uso correto da infraestrutura; • segurança de dados; • estão de dados; • transparência dos processos e integração dos serviços; • resistência e necessidade de treinamento por parte dos funcioná- rios de alta escalão para lidar com a governança. DESAFIO 32 O objetivo geral deste estudo foi avaliar o processo de reestruturação da governança corporativa e de compliance da Odebrecht S.A. no contexto do desenvolvimento de seu Sistema de Confor- midade, em resposta aos desafios contemporâneos enfrentados pela empresa. Para tanto, foram realizadas análises de documentos e registros da companhia e entrevistas individuais com pessoas chaves no desenvolvimento do sistema de conformidade. O estudo conclui que: (a) a reestrutura- ção da governança - corporativa e de compliance – e as ações da alta administração para patro- cinar/reforçar o programa impulsionaram o início do aprimoramento do sistema de conformidade da Odebrecht S.A, sem, contudo, atingirem as metas contidas nos compromissos assumidos com autoridades competentes; (b) com a criação de uma instância responsável, dotada de pessoas e recursos adequados, foi instituída uma estrutura permanente de avaliação e melhoria dos proces- sos de conformidade e disseminação de experiências e melhores práticas; e (c) a despeito de ter editado uma política sobre o tema, o processo de gestão de riscos da Odebrecht S.A. mostra-se incipiente, pois ainda não há mapeamento formal de riscos, bem como definição de limites de ex- posição máxima aceitável para estes. SILVA, Marcos Ricardo Cruz da; MONTEIRO, Augusto de Oliveira. Restruturação da governança corporativa e de compliance em uma situação de crise: o caso da Odebrecht S.A. Revista Gestão e Planejamento, Salvador, v. 20, p. 420-436, jan./dez. 2019. Disponível em: https://amazon-c.unifacs.br/index.php/rgb/article/view/5652/3823. Acesso em: 5 out. 2020. A simples adoção de Tecnologia da Informação (TI) por pequenas e médias empresas (PMEs) não influencia diretamente na agregação de valor aos negócios, mas deve ocorrer de forma alinhada com as estratégias organizacionais. O alinhamento da TI com os negócios é discutido no âmbito da governança de TI (GTI) e pode ser alcançado por meio do desenvolvimento de uma visão unificada da adoção de TI em prol da criação de valor comercial. Nesse contexto, o objetivo da pesquisa foi identificar e discutir as relações potenciais entre a literatura de adoção de TI e a de GTI. Adotou-se uma abordagem interdisciplinar, qualitativa, sob uma lógica indutiva e epistemologia interpreta- tivista. A aplicação em conjunto de teorias e modelos clássicos da literatura de adoção de TI, da teoria da Visão Baseada em Recursos e dos princípios de GTI permitiu estabelecer um modelo teórico-relacional dinâmico, e contingenciado pelo ambiente ao qual a organização está inserida. 1. Restruturação da governança corporativa e de compliance em uma situação de crise: O caso da Odebrecht s.a. 2. Como as literaturas de adoção de TI e de governança de TI estão associadas para gerar valor aos negócios: Reflexões no contexto de PMEs LEITURA COMPLEMENTAR A título de leitura complementar, para se aprofundar nas questões tratadas nessa unidade, são sugeridas três leituras: 33 A tecnologia vem avançando e as empresas precisam se preparar para as mudanças e se adaptar a elas. Os clientes finais estão mais exigentes e as organizações passaram a buscar o aumento no nível de satisfação, sendo movidas pela criação de ofertas de maior qualidade, trazendo, como consequência, uma maior competitividade no mercado. Com isso, explora-se na literatura a neces- sidade de respostas mais rápidas às novas demandas, colocando em risco as formas convencionais de atuação na Governança de TI. Este estudo visa responder como o diretor de TI (CIO) de uma grande corporação privada vem atuando no alinhamento entre governança de TI e inovação e quais os principais desafios desse CIO. Assim, a pesquisa tem como objetivos compreender quais fatores são considerados essenciais para esse líder de TI e identificar sua influência na organização. Para isso, foi realizada uma pesquisa qualitativa por meio de entrevista com o líder de tecnologia da empresa JBS S.A. a fim de responder a questão de pesquisa e os objetivos propostos. Os resul- tados deste estudo relacionam aspectos importantes, como Governança de TI, inovação, cultura organizacional bem definida e liderança por reconhecimento, capazes de apoiar a estratégia orga- nizacional e o crescimento corporativo. Este trabalho apresenta validações teóricas e contribuições práticas para o alinhamento entre Governança de TI e inovação na percepção do entrevistado. SOUZA, Ericson Mendes. O papel do CIO no alinhamento estratégico entre governança de TI e inovação: percep- ção de um CIO de multinacional brasileira. 2020. Dissertação (mestrado profissional MPGC) – Fundação Getulio Vargas, Escola de Administração de Empresas de São Paulo. Disponível em: https://bibliotecadigital.fgv.br/dspace/ handle/10438/28985. Acesso em: 5 out. 2020. 3. O papel do CIO no alinhamento estratégico entre governança de TI e inovação FROGERI, Rodrigo Franklin et al. Como as Literaturas de Adoção de TI e de Governança de TI Estão Associadas para Gerar Valor aos Negócios: reflexões no contexto de PMEs. Revista Ibérica de Sistemas e Tecnologias de Informação; Lousada, Ed. E24, p. 363-678, nov. 2019. Disponível em: https://search.proquest.com/openview/ b98bf8683869d7098e22b49813364c4f/1?pq-origsite=gscholar&- cbl=1006393. Acesso em: 5 out. 2020. 34 Nessa apresentação você acompanha como foi o processo de implantação da Governança Corporativa no âmbito do TCU. A apresentação foi idealiza- da pela Assessoria de Segurança da Informação e Governança de Tecnolo- gia da Informação (Assig) TRIBUNAL DE CONTAS DA UNIÃO. Como o TCU vem implantando a gover- nança de TI. [20--]. Disponível em: https://portal.tcu.gov.br/data/files/44/13/ F7/8C/7C75D410F10055D41A2818A8/2509615.PDF. Acesso em: 5 out. 2020. SAIBA + Laiane Realce 35 Referências ALMEIDA, M. I. R. Manual de planejamento estratégico. 2. ed. São Paulo: Atlas, 2003. FERNANDES, Aguinaldo Aragon; ABREU, Vladimir Ferraz. Implantando a governança de TI: da es- tratégia à gestão dos processos e serviços. 4. ed. Rio de Janeiro: Brasport, 2014. FROGERI, Rodrigo Franklin et al. Como as Literaturas de Adoção de TI e de Governança de TI Es- tão Associadas para Gerar Valor aos Negócios: reflexões no contexto de PMEs. Revista Ibérica de Sistemas e Tecnologias de Informação; Lousada, Ed. E24, p. 363-678, nov. 2019. Disponível em: https://search.proquest.com/openview/b98bf8683869d7098e22b49813364c4f/1?pq=-origsite- gscholar&- cbl=1006393. Acesso em: 5 out. 2020. MORAIS, Izabelly Soares de. Governança de tecnologia da informação. Porto Alegre: SAGAH, 2018. RAMIREZ, J. C.; SENDER, C. Alinhando a tecnologia da informação à estratégia.Bain & Company, 2003. SILVA, Marcos Ricardo Cruz da; MONTEIRO, Augusto de Oliveira. Restruturação da governança corporativa e de compliance em uma situação de crise: o caso da Odebrecht S.A. Revista Gestão e Planejamento, Salvador, v. 20, p. 420-436, jan./dez. 2019. Disponível em: https://amazon-c.unifacs. br/index.php/rgb/article/view/5652/3823. Acesso em: 5 out. 2020. SOUZA, Ericson Mendes. O papel do CIO no alinhamento estratégico entre governança de TI e inovação: percepção de um CIO de multinacional brasileira. 2020. Dissertação (mestrado profissio- nal MPGC) – Fundação Getulio Vargas, Escola de Administração de Empresas de São Paulo. Disponí- vel em: https://bibliotecadigital.fgv.br/dspace/handle/10438/28985. Acesso em: 5 out. 2020. TRIBUNAL DE CONTAS DA UNIÃO. Como o TCU vem implantando a governança de TI. [20--]. Disponível em: https://portal.tcu.gov.br/data/files/44/13/F7/8C/7C75D410F- 10055D41A2818A8/2509615.PDF. Acesso em: 5 out. 2020. MÓDULO 3 COBIT 37 1. COBIT O COBIT (Control Objectives for Infor- mation and Related Technology) foi criado em 1994, pela ISACA (Information Systems Audit and Control Association). A ISACA é um órgão que atua mundialmente, composto por várias empresas de TI e que efetua certificações de segurança, auditoria de governança e gestão de risco. Desde que foi criado, o COBIT vem evoluindo em termos de padrões técnicos, profissionais e regulatórios; incorporando também questões específicas dos processos de TI. Em 1998, foi criada a sua segunda edi- ção. A terceira edição foi publicada em 2000, pelo IT Governance Institute (ITGI), entidade criada pela ISACA com o objetivo de promo- ver uma melhor compreensão a respeito dos princípios de Governança de TI. Em 2005 saiu uma versão 4.0 do COBIT, alinhada aos modelos COSO, ITIL e ISO/IEC 17.779. O COBIT 5 surgiu em 2012, quando passou a ser adotado como um framework de negó- cios completo para governança e gerencia- mento da TI. O COBIT foi concebido conforme as exi- gências do COSO – Committe of Sponsoring Organisations of the Treadway Commission’s Internal Control – Integrated Framework, que é um padrão de controles internos adotado por organizações de todo o mundo no que tange ao gerenciamento e à gestão de riscos. 1.2 Objetivos do COBIT O COBIT tem como objetivo: promover o valor agregado pela TI nas organizações, permitindo o gerenciamento da TI de forma transparente e integrada, criando sinergia entre a TI e os demais departamentos da em- presa. Ele promove um melhor gerenciamen- to das informações no âmbito da organização, assegurando qualidade e confiabilidade da gestão, além de possibilitar o gerenciamento dos riscos envolvidos no negócio. Para Fernandes e Abreu (2014), o COBIT: • Ajuda as empresas a atingirem seus obje- tivos de governança e gerenciamento da TI em âmbito corporativo; • Auxiliam as empresas a otimizarem o va- lor da sua TI, balanceando riscos versus benefícios. • Habilita a TI a ser gerenciada e governa- da de forma holística por toda a empresa (incluindo áreas de negócio, áreas funcio- nais da TI e partes interessadas internas e externas). • Pode ser utilizado por empresas de qual- quer natureza, mercado ou tamanho. 1.3 Princípios COBIT No framework COBIT 5, a governança e o gerenciamento de TI são sustentados pelos APRESENTAÇÃO Iniciaremos esta unidade de estudos compreendendo as características e os objetivos do COBIT (Control Objectives for Information and Related Technology). Conheceremos os princípios que norteiam a implantação do COBIT nas organizações e também o modelo de re- ferência de processos no COBIT 5, assim como o agrupamento entre esses processos e seus respectivos domínios. Por fim, veremos as principais diretrizes a serem seguidas pelas empre- sas que decidem pela implementação do COBIT, conhecendo também sua aplicabilidade e os principais benefícios que essa implementação pode trazer para as organizações. Laiane Realce Laiane Realce Laiane Realce Laiane Realce Laiane Realce Laiane Realce Laiane Realce Laiane Realce Laiane Realce Laiane Realce Laiane Realce Laiane Realce Laiane Realce Laiane Realce 38 cinco princípios, descritos a seguir. Figura 1: princípios para a governança e ge- renciamento da TI empresarial Fonte: ISACA (2012) 1. Satisfazer as necessidades das partes interes- sadas No COBIT, a empresa deve gerar valor para as suas partes interessadas, por meio da entrega de benefícios, otimizando riscos e custos. Esse é o principal objetivo que a governança deve buscar. Entre as partes interessadas, podemos citar os acionistas, clientes, colaboradores, fornecedores, sociedade em geral, entre outros. A geração de valor está relacionada ao resultado final, gerado pela organização através dos recursos aplicados durante o processo de geração desse resultado. Portanto, a governança deve considerar as necessidades das várias partes interessadas en- volvidas no negócio. Essas necessidades devem ser traduzidas em metas corporativas genéricas (aplicáveis a toda a organização), metas relacio- nadas à TI (específicas da área) e metas dos ha- bilitadores de TI (fatores tangíveis é intangíveis que, individual ou coletivamente, possuem influ- ência sobre o funcionamento da governança e do gerenciamento da TI). para isso, o COBIT pro- põe um sistema de metas em cascata, descrito a seguir. Figura 2: Metas em cascata COBIT Fonte: ISACA (2012) Esse conceito de cascata permite colocar os objetivos a serem atingidos em ordem lógica, o que facilita a sua consecução. Essa ordem é es- tabelecida em função da tangibilidade de cada um deles, a parte do alinhamento do COBIT ao negócio. 2. Cobrir a empresa de ponta a ponta Aqui, o foco é deixar toda organização ampa- rada pela integração entre a Governança Corpo- rativa e a Governança de TI. A TI deve ser visua- lizada como um grande ativo dentro da empresa. Laiane Realce Laiane Realce Laiane Realce Laiane Realce Laiane Realce Laiane Realce Laiane Realce Laiane Realce 39 No COBIT, o sistema de governança é formado pelos seguintes componentes: • Habilitadores da governança: recursos orga- nizacionais utilizados para viabilizar a gover- nança, como princípios, frameworks, estru- turas, processos e práticas. • Escopo da governança: área que será efeti- vamente governada (que pode incluir desde um ativo tangível ou intangível até uma enti- dade ou mesmo a empresa inteira). • Papéis, atividades e relacionamentos: defi- nem as partes interessadas envolvidas, o que elas fazem e como devem interagir dentro do escopo do sistema de governança. 3. Aplicar um framework integrado único O COBIT funciona como um integrador para a governança e para a gestão. Por isso, é impor- tante que essa integração ocorra através de uma solução única e globalizada para a organização. Por isso, o COBIT serve como uma estrutura base para todas as orientações de gestão, na me- dida em que define o conjunto de habilitadores para a governança e gerenciamento, provendo também a base de boas práticas a serem utiliza- das no âmbito da organização, o que inclui for- mas para definição do escopo, papéis, atividades e relacionamentos. 4. Possibilitar uma visão holística Isso significa que o COBIT deve abarcar a empresa como um todo. Nenhuma área pode ser deixada de lado. Nesse ponto, o COBIT propõe sete categorias de habilitadores de TI, capazes de promover o sucesso da governança e do ge- renciamento de TI. São eles: • Princípios, políticas e estruturas - Auxiliam a traduzir o funcionamento esperado da orga- nização. Constituem-se de comportamentos desejados em um guia prático para o dia a dia da empresa. • Processos - Descrevem práticas e atividades para atingir objetivos específicos, apoiando também o atingimento das metas globais re- lacionadas à TI. • Estruturas organizacionais – São as entida- des de tomada de decisões-chave em uma empresa. • Cultura, ética e comportamento dos envol- vidos
Compartilhar