Governança em Tecnologia da Informação - Unidade 1.1

Prévia do material em texto

Governança da Tecnologia da Informação 
 
 
Conceitos e Boas Práticas 
 
 
Elaine L. Civalsci 
CONCEITOS E BOAS PRÁTICAS 
 
O QUE É A GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO? 
 
Nessa unidade vamos discutir aspectos relevantes aos conceitos e boas práticas da 
Governança da Tecnologia da Informação. Para isso precisamos entender o que ela 
representa. 
Para entendermos o que é a Governança da Tecnologia da Informação temos que 
entender o que é Governança Corporativa. 
Segundo o IBGC (Instituto Brasileiro de Governança Corporativa) é “é o sistema pelo 
qual as sociedades (empresas) são dirigidas e monitoradas, envolvendo os 
relacionamentos entre acionistas / cotistas, conselho e administração, diretoria, 
auditoria independente e conselho fiscal. As boas práticas de governança corporativa 
têm a finalidade de aumentar o valor da sociedade, facilitar seu acesso ao capital e 
contribuir para a sua perenidade”. 
A necessidade de se ter uma política de Governança se deu, pois ao longo do tempo a 
complexidade das organizações, concorrência e stakeholders aumentaram muito. 
A abertura de capital, ou seja, o fato das empresas negociarem suas ações na bolsa 
contribuiu muito para a necessidade de uma maior transparência, para que os atuais acionistas 
saibam como vai seu investimento e para que novos acionistas sejam atraídos. 
Saímos de um contexto onde a empresa era administrada pelos “sócios” para um 
cenário onde os acionistas nunca colocaram o pé dentro da empresa. 
Isto justifica parte da definição do IBGC “As boas práticas de governança 
corporativa têm a finalidade de aumentar o valor da sociedade, facilitar seu acesso ao 
capital e contribuir para a sua perenidade”. 
Se governança corporativa é o sistema pela qual a organização é dirigida, podemos 
entender que toda a cadeia de valores, incluindo as atividades de apoio e atividades primárias 
estão envolvidas com a governança corporativa. 
Podemos considerar que a governança corporativa é um consolidador de domínios de 
governança, conforme os exemplos abaixo: 
 Governança de Recursos Humanos 
 Governança Administrativa 
 Governança Industrial 
 Governança de TI 
 etc 
 
 
 
Figura 1 – Sistema de Governança Corporativa 
 
Algumas definições de Governança da Tecnologia da Informação 
 
“Modelo que define direitos e responsabilidades pelas decisões que encorajam 
comportamentos desejáveis no uso de TI”. (Weill e Ross, 2004) 
 
“Processo pelo qual decisões são tomadas sobre os investimentos em TI, o que envolve: 
como as decisões são tomadas, quem toma as decisões, quem é responsabilizado e 
como os resultados são medidos e monitorados”. (Forrester Research, 2005) 
 
“Capacidade organizacional exercida pela alta direção, gerência de negócios e gerência 
de TI para controlar a formulação e implementação da estratégia de TI e, com isso, 
assegurar o alinhamento entre negócios e TI”. (Van Grembergen, 2004) 
 
“Responsabilidade da alta direção, consiste em liderança, estruturas organizacionais e 
processos que garantem que a TI corporativa sustenta e estende as estratégias e 
objetivos da organização”. (IT Governance Institute, 2003) 
 
“Modelo que definem direitos e responsabilidades pelas decisões que encorajam 
comportamentos desejáveis no uso de TI”. (Peter Weill e Jeane W. Ross) 
 
Conforme as definições acima podemos chegar a conclusão que a Governança de 
Tecnologia da Informação é o entendimento, mensuração e valorização dos recursos de TI em 
função do seu melhor gerenciamento, nas estratégia da alta administração em busca por 
melhores resultados de transparência, eficiência e interação com o objetivo principal de 
negócio das empresas. Sem confundir a Tecnologia da Informação com o objetivo de negócio. 
 
Figura 2 – Posicionamento da Governança de TI em função da Governança 
Corporativa 
 
PORQUE A GOVERNANÇA CORPORATIVA E GOVERNANÇA DE TI SÃO IMPORTANTES 
NAS EMPRESAS? 
 
A Governança Corporativa passou a ter uma importância fundamental para empresas 
de grande porte através da implantação do Ato Sarbanes-Oxley, que visava garantir a proteção 
de acionistas de empresas com capital aberto na bolsa americana, contra fraudes contábeis e 
de manipulação de resultados. 
A Governança da Tecnologia da Informação tornou-se a principal ferramenta da 
Governança corporativa, para viabilizar os novos parâmetros exigidos pela legislação 
americana em vigor, e por consequência por todas as empresas de vários seguimentos no 
mundo. Tornando-se assim sinônimo de boas práticas. 
 
O que é o Ato SOX (Sarbanes-Oxley)? 
 
Em 30 de julho de 2002, o congresso americano promulgou o Ato Sarbanes-Oxley, 
elaborado pelos senadores americanos Michael Oxley e Paul Sarbanes. 
O escopo da legislação federal "The U.S. Public Company Accounting Reform and 
Investor Protection Act of 2002", mais conhecida como Sarbanes-Oxley Act of 2002, ou 
simplesmente SOX, contém 11 títulos e foca principalmente a responsabilidade penal da alta 
administração. 
Esta lei, que teve como objetivo restabelecer e aumentar a confiança do investidor e a 
sustentabilidade das corporações afetou a forma como as empresas de capital aberto 
passaram a relatar suas operações financeiras. 
 
Quais os impactos nas áreas de TI? 
 
A SOX acabou apresentando um impacto significativo sobre a área de Tecnologia da 
Informação das organizações ao nível mundial uma vez que se insere no âmbito da 
governança corporativa e apresenta artigos diretamente voltados para a área de TI. 
Com a lei, rígidos parâmetros legais foram impostos às companhias de capital aberto e 
suas respectivas subsidiárias, cujas ações são negociadas em Bolsas (NYSE e Nasdaq), o que 
inclui também algumas corporações estrangeiras que negociam ADR’s (American Depositary 
Receipts - recibos de depósito americano de ações de empresas estrangeiras) não negociáveis 
no país de origem. 
No Brasil, essa lei se aplica às empresas com ações negociadas nos mercados de 
capitais dos Estados Unidos, ou seja, multinacionais de capital americano e empresas 
brasileiras com ações naquele país. No entanto, as responsabilidades criadas pela lei são de 
interesse de todas as empresas que queiram se atualizar sobre práticas de gestão de riscos, 
que estão entrando em vigor nos Estados Unidos e que, em curto prazo, terão ressonância 
mundial. 
 
Quais as responsabilidades da Lei? 
 
Em suas 1107 seções, o Ato Sarbanes-Oxley imputa responsabilidades nunca vistas 
perante os diretores de corporações, que vão desde o pagamento de multas ao cumprimento 
de penas de reclusão e sanções estendidas aos auditores que atestarem balanços com 
números fraudulentos. 
As seções 302 e 404 são as mais comentadas, sendo que a seção 302 trata da 
responsabilidade pessoal dos diretores executivos e diretores financeiros e a seção 404 
determina uma avaliação anual dos controles e procedimentos internos para fins de emissão 
dos relatórios financeiros. É, portanto, a seção que mais impacta a área de TI. 
Como não é possível separar processos de negócios e tecnologia no panorama corporativo 
atual, uma avaliação da infraestrutura operacional e pessoal de TI das empresas é igualmente 
requerida. 
A Seção 404 do Ato Sarbanes-Oxley é o principal foco de atenção das empresas neste 
particular, por trazer as determinações sobre os controles de processos internos e sistemas 
contábeis da empresa. 
Esta seção determina uma avaliação anual dos controles e processos internos para a 
realização de relatórios financeiros, com a obrigação de emissão de relatório a ser 
encaminhado à SEC (Security Exchange Comission - órgão regulador das empresas de capital 
abertodos EUA), uma instituição equivalente à Comissão de Valores Mobiliários (CVM) no 
Brasil, que ateste estes parâmetros. 
É importante salientar que o Ato Sarbanes-Oxley requer mais do que a documentação 
citada ou o estabelecimento de controles financeiros. 
Ao regular a atividade de contabilidade e auditoria das empresas de capital aberto, a 
SOX reflete diretamente seus dispositivos nos sistemas de tecnologia da informação. 
 
O que este relatório deve conter? 
 
 Atestado de responsabilidade dos administradores da empresa e manutenção da 
estrutura dos controles internos e demais procedimentos; 
 
 Avaliação e relatório de cumprimento de metas, ao final de cada ano fiscal, da eficácia 
dos procedimentos internos adotados para emissão de relatórios financeiros; 
 
 Declaração que o auditor independente da companhia atestou a avaliação dos 
procedimentos elaborada pela administração. 
 
Segurança da Informação e SOX 
 
Por força do Ato Sarbanes-Oxley, temos a obrigatoriedade da observância de práticas 
de segurança em sistemas e redes e critérios rígidos para uso de aplicações terceirizadas por 
companhias que se encontram ao alcance da lei. 
 As Invasões de sistemas, ataques, vírus, acesso indevido a bancos de dados, fraudes 
de senhas e demais ameaças à segurança da informação de uma corporação podem, se não 
houver prova suficiente de adoção de medidas preventivas coordenadas com os parâmetros da 
seção 404, implicar em responsabilidade direta dos administradores, surgindo daí 
possibilidades concretas de sanções civis e penais. 
Neste momento, dois pontos devem ser observados cuidadosamente no que se refere 
ao uso dos sistemas de informação inserido no âmbito do Ato Sarbanes-Oxley: 
 
 Segurança de sistemas de informação 
 Controle de registros 
 
A adequação do conteúdo da SOX deve ocorrer entre toda a cadeia de comunicação 
da empresa, principalmente nos recursos concernentes a informações financeiras: 
 
 Sistemas de gestão - ERP (Enterprise Resource Planning) 
 Aplicativos contábeis 
 Sistemas de relacionamento com clientes - CRM (Customer Relationship Management) 
 Sistemas de gerenciamento de cadeia de suprimentos (Supply Chain Management) 
 
Em conjunto com as demais aplicações de comunicação, banco de dados e 
armazenamento de informações precisa estar em sintonia com as regras adotadas na 
legislação. 
Consequentemente, a atenção do administrador deve se estender à utilização de todo 
e qualquer recurso tecnológico da empresa por parte dos funcionários e as políticas de 
segurança da informação adotadas devem ser adaptadas ao teor do Ato Sarbanes-Oxley. 
Uma atenção especial também deve ser conferida a terceirização (outsourcing) de 
serviços; 
 
CONCEITOS DA GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO 
 
Podemos observar na figura 3, como fica disposta a estrutura de uma empresa 
considerando a Governança de TI. 
 
 
Figura 3 – Estrutura da Governança de TI 
 
 
CONCEITOS DA GOVERNANÇA DA TECNOLOGIA DA INFORMAÇÃO 
 
As estruturas e processos da Governança de Tecnologia da Informação visa garantir 
que a TI suporte e maximize os objetivos e estratégias da organização, bem como: 
 
 Permite controlar – medir, auditar – a execução e a qualidade dos serviços. 
 Viabiliza o acompanhamento de contratos internos e externos. 
 Define condições para o exercício eficaz da gestão com base em conceitos 
consolidados de qualidade. 
 
A Governança de TI está focada em algumas premissas tais como: 
 Considerar os valores das pessoas ao definir estratégias; 
 Direcionar os processos que implementam a estratégia; 
 Assegurar que os processos produzam resultados mensuráveis; 
 Informar os resultados e desafios; 
 Assegurar que os resultados sejam proveitosos; 
 
A Governança de Tecnologia da Informação tem foco no direcionamento e 
monitoramento das práticas de gestão e uso da TI de uma organização, tendo como indutor e 
principal beneficiário a alta administração da instituição. 
Um exemplo prático de mecanismo de governança de TI é o estabelecimento de um 
processo transparente de tomada de decisão sobre a priorização de grandes demandas de TI. 
Tal processo é necessário para garantir que as ações de TI estejam alinhadas com os 
objetivos institucionais e para garantir que as demandas que tenham maior impacto nesses 
objetivos tenham atendimento prioritário. 
Esta é uma decisão que não cabe às unidades de TI (embora devam sempre opinar). 
Portanto, o estabelecimento desse processo, os participantes e suas competências é uma 
iniciativa de governança de TI a ser liderada pela alta administração. 
 
Quais os objetivos da Governança da Tecnologia da Informação? 
 
O principal objetivo da governança de TI é alinhar TI aos requisitos do negócio. Este 
alinhamento tem como base a continuidade do negócio, o atendimento às estratégias do 
negócio e o atendimento a marcos regulatórios externos. 
Esse principal objetivo pode ser desdobrado em outro 6 objetivos: 
 
1) Permitir a TI ter um posicionamento mais claro e consistente em relação às 
demais áreas de negócio da empresa: Isto significa que a TI deve entender as 
estratégias do negócio e traduzi-las em planos para sistemas, aplicações, soluções, 
estrutura e organização, processos e infraestrutura etc. 
 
2) Alinhar e priorizar as iniciativas de TI com a estratégia do negócio: Isto significa 
que o que foi planejado para acontecer deve ser priorizado, tendo em vista as 
prioridades do negócio e as restrições de capital de investimento e a priorização gera 
um portfolio de TI, que faz a ligação entre a estratégia e as ações do dia-a-dia. 
 
3) Alinhar a arquitetura de TI, sua infraestrutura e aplicações às necessidades do 
negócio, em termos de presente e futuro: Significa implantar os projetos e serviços 
planejados e priorizados. 
 
4) Promover a implantação e melhoria dos processos operacionais e de gestão 
necessários para atender os serviços de TI, conforme padrões que atendam as 
necessidades do negócio: A execução dos projetos e serviços de TI deve ser 
realizada de acordo com processos operacionais (execução propriamente dita) e de 
gestão (planejamento, controle, avaliação e melhoria), que devem estar inseridos em 
uma estrutura organizacional que, por sua vez, deve conter competências em pessoas 
e ativos usados para operar os processos. 
 
5) Prover a TI da estrutura de processos que possibilite a gestão do risco para a 
continuidade operacional da empresa: os processos definidos, tanto operacionais 
como gerenciais, devem considerar a mitigação de riscos para o negócio (por exemplo: 
processos de segurança da informação, gestão de dados e aplicações etc.). 
 
6) Prover regras claras para as responsabilidades sobre decisões e ações relativas 
à TI no âmbito da empresa: Isto significa identificar as responsabilidades sobre 
decisões acerca de princípios de TI, arquitetura de TI, infraestrutura de TI, 
necessidades de aplicações, investimentos, segurança da informação , estratégia de 
fornecedores e parcerias, além de fazer funcionar um modelo de tomada de decisão 
correspondente. 
 
Quais as Vantagens da Governança da Tecnologia da Informação? 
 
 Alinha a estratégia de TI com as do negócio. 
 Mais capacidade e agilidade para novos modelos de negócios ou ajustes nos modelos 
atuais; 
 Explicita a relação entre aumento nos custos de TI e aumento no valor da informação; 
 Mantém os riscos do negócio sob controle. 
 Explicita a importância da TI na continuidade dos negócios; 
 Mede e melhora continuamente a performance de TI; 
 
Quais os componentes da Governança da Tecnologia da Informação?A Governança de TI compreende vários mecanismos e componentes que, logicamente 
integrados, permitem o desdobramento da estratégia de TI até a operação dos projetos e 
serviços correlatos. 
 
 
 
 
Figura 4 – Componente da Governança da Tecnologia da Informação 
ALINHAMENTO 
ESTRATÉGICO E 
COMPLIANCE
DECISÃO, 
COMPROMISSO, 
PRIORIZAÇÃO E 
ALOCÃÇÃO DE 
RECURSOS
ESTRUTURA, 
PROCESSOS, 
OPERAÇÃO E 
GESTÃO
MEDIÇÃO DO 
DESEMPENHO
ALINHAMENTO ESTRATÉGICO 
 
1) Princípios de TI: regras que todos devem seguir, no âmbito da empresa (refletem as 
diretrizes do negócio para esta função), e que subsidiam tomadas de decisão acerca 
da arquitetura e da infraestrutura de TI, aplicações e recursos. 
2) Necessidades de aplicações: se referem às aplicações necessárias para atender às 
demandas do negócio. 
3) Arquitetura de TI: diz respeito à organização lógica dos dados, aplicações e 
infraestrutura, buscando a integração do negócio e padronização técnica. 
4) Infraestrutura de TI: Se refere à fundação da capacidade planejada de TI (pessoas, 
equipamentos, aplicativos, redes) disponível e requerido pela organização em forma de 
serviços. 
5) Objetivos de desempenho: direcionam a gestão de TI para atender as metas de 
desempenho estipuladas para o setor. 
6) Capacidade de atendimento da TI: define a quantidade de recursos humanos 
necessários para atender à demanda por sistemas e serviços. 
7) Estratégia de outsourcing: cuida da avaliação, seleção negociação (contratos), 
transição e gerenciamento de serviços junto aos fornecedores. 
8) Política de Segurança da Informação: se refere à definição de diretrizes e ações 
referentes à segurança de aplicativos, dados, redes, pessoas e parceiros envolvidos 
com a organização. 
9) Competências: se refere à utilização de recursos necessários para a implantação das 
iniciativas e gestão da mudança da TI. 
10) Processos e organização: apresentam a forma como os serviços de TI serão 
desenvolvidos, gerenciados e entregues aos usuários finais. 
11) Plano de TI: descrevem os objetivos, as ações, os indicadores e os agentes 
envolvidos na realização do alinhamento estratégico entre TI e o organizacional. 
 
DECISÃO, COMPROMISSO, PRIORIZAÇÃO E ALOCAÇÃO DE RECURSOS 
 
1) Mecanismos de decisão: define quem é (são) o(s) responsável (is) sobre a TI dentro 
da organização (os arquétipos de tomada de decisão descritos no modelo de Well e 
Ross) 
2) Portfólio de TI: metodologia para a priorização de investimentos de TI com base no 
retorno de projetos e ativos. Toda a empresa possui uma série de ações organizadas 
em projetos no qual pretende realizar, mas a priorização de projetos em decorrência da 
falta ou escassez de recursos deve ser colocada em prática. 
 
ESTRUTURA, PROCESSOS, ORGANIZAÇÃO E GESTÃO 
 
1) Operações de serviços: locais onde acontece o atendimento de serviços de TI; 
Podem ser operações de sistemas, suporte técnico, segurança, suporte ao CIO, de 
processos ou outras operações. 
2) Relacionamento com o cliente: trata da interação dos usuários internos ou externos 
com a área de TI, abrangendo processos que definem como o cliente solicita o serviço, 
quem pode solicitar canais de comunicação, etc. 
3) Relacionamento com o fornecedor: trata de como as solicitações são encaminhadas 
para fornecedores e como eles respondem a solicitação, como os acordos de nível 
operacional e contratos de apoio são controlados, como a qualidade dos serviços é 
avaliada e melhorada, e como o desempenho do fornecedor é controlado etc. 
 
MEDIÇÃO DE DESEMPENHO DA TI 
 
1) Gestão do desempenho: refere-se ao monitoramento dos objetivos de desempenho 
das operações de serviços (suporte e entrega do serviço, segurança da informação, 
SLAs, etc) 
. 
 
BIBLIOGRAFIA BÁSICA 
 
FERNANDES, Aguinaldo Aragon, ABREU, Vladimir Ferraz de Abreu. IMPLANTANDO A 
GOVERNANÇA DE TI: da estratégia a Gestão dos Processos e Serviços. 
 
BIBLIOGRAFIA COMPLEMENTAR 
 
DELOITTE. Lei Sarbanes-Oxley: Guia para melhorar a governança corporativa através de 
eficazes controles internos. Disponível em http://deloitte.com.br>. Acesso em 08 out. 2005. 
 
FAGUNDES, Eduardo Mayer. A lei Sarbanes-Oxley e seu impacto em TI. Artigo disponível em: 
<http://www.efagundes.com/artigos/Sox_e_o_impacto_em_TI.htm>. Acesso em: 08 set. 2006. 
 
lahti, Christian b., PETERSON, Roderick. Sarbanes-Oxley – Conformidade TI usando COBIT e 
ferramentas open source; tradução de Aldir José Coelho. AltaBooks, Rio de Janeiro, 2005. 
 
NEXT GENERATION CENTER. Módulo Governança de TI. Disponível em: 
<http://www.nextg.com.br/br/modulo.aspx>. Acesso em: 18 set. 2005. 
 
PEIXOTO, Rodney de Castro. Implicações da Lei Sarbanes-Oxley na Tecnologia da 
Informação. Disponível em: 
<http://www.wirelessbrasil.org/wirelessbr/colaboradores/rodney_peixoto/sarbanes_oxley.html>. 
Acesso em 08 set. 2006. 
 
SARBANES, P., OXLEY, M. Sarbanes-Oxley Act of 2002. Disponível em 
<http://www.findlaw.com>. Acesso em 08 jul. 2006. 
 
SOUZA, Almir Ferreira, FRAGA, Rodrigo Mariti. Governança Corporativa: Efeitos decorrentes 
da vigência da Sarbanes-Oxley Act nas empresas brasileiras. Artigo disponível em <http://www. 
> . Acesso em 07 set. 2006. 
 
WEILL, Peter, ROSS, Jeanne W., Governança de TI, Tecnologia da Informação; tradução de 
Roger Maioli dos Santos. M Books do Brasil, São Paulo, 2006.