Baixe o app para aproveitar ainda mais
Prévia do material em texto
GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO Izabelly Soares de Morais Objetivos da governança de TI Objetivos de aprendizagem Ao final deste texto, você deve apresentar os seguintes aprendizados: � Relacionar a governança corporativa com a governança de TI. � Descrever as normas da governança de TI. � Reconhecer as boas práticas da governança de TI. Introdução A governança de TI engloba diversos aspectos de uma organização. Dessa forma, possui diversas métricas e metodologias. Você já se perguntou quais são os objetivos de uma governança no setor tecnológico de uma empresa? Perceba que esse contexto envolve a execução de vários pro- cessos simultaneamente. Neste capítulo, aprenderemos sobre os objetivos que norteiam a governança de TI, que é responsável pela gestão dessas atividades. Você entenderá a relação existente entre o âmbito corporativo e a governança e também as normas e boas práticas que compõem esse contexto. Princípios da governança de TI e da governança corporativa O termo “governança de TI” tem suas origens no conceito de “governança corporativa”, mas não devemos confundi-los. Além disso, a “governança de TI” relaciona-se com a “Gestão/gerenciamento de TI”, porém, elas não são a mesma coisa. Para melhor entendermos semelhanças, diferenças e inter- -relacionamento do significado desses termos, seguem algumas definições. “A Governança de TI tem como foco o direcionamento e monitoramento das práticas de gestão e uso da TI de uma organização, tendo como indutor e principal beneficiário a alta administração da instituição.” (BRASIL, c2017). Segundo o Instituto Brasileiro de Governança Corporativa (IBGC) (c2017): [...] governança corporativa é o sistema pelo qual as organizações são dirigidas, monitoradas e incentivadas, envolvendo os relacionamentos entre proprie- tários, Conselho de Administração, Diretoria e órgãos de controle. As boas práticas de governança corporativa convertem princípios em recomendações objetivas, alinhando interesses com a finalidade de preservar e otimizar o valor da organização, facilitando seu acesso a recursos e contribuindo para sua longevidade. Ainda de acordo com IBGC, os princípios da governança corporativa são (INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA, c2017): � transparência: obrigação e desejo de informar resultados e ações. � equidade: tratamento igual para todos os acionistas. � prestação de contas: os agentes da governança corporativa prestam contas e são responsáveis pelos seus atos e omissões. � responsabilidade corporativa: os agentes de governança devem zelar pela sustentabilidade das organizações, visando à sua longevidade, incorporando considerações de ordem social e ambiental na definição dos negócios e operações. Essas características podem ser visualizadas com mais clareza na Figura 1, a seguir. Objetivos da governança de TI2 Figura 1. Dimensões da governança. Fonte: Santos e Baruque (2010, p. 17). A representação gráfica mostrada na Figura 1 destaca claramente os ob- jetivos da governança de TI, começando com o alinhamento de TI com os objetivos de negócio, em que [...] o alinhamento requer que os executivos de negócio (CEO) e de TI (CIO) assumam as responsabilidades de distribuir os benefícios e investimentos feitos em TI entre as áreas corporativas, propiciando a obtenção de vantagens competitivas e gerando novas oportunidades de ne- gócio.” (ZVIRAN, 1990 apud AUDY; BRODBECK, 2003, p. 16). Justamente por essa possibilidade, os executivos de TI têm considerado o alinhamento entre as estratégias de negócio e a TI um dos objetivos mais importantes da área. O impacto da TI na performance dos negócios foi vastamente discutido durante a última década. Pesquisadores das áreas de negócio e TI realizaram diversos estudos examinando as necessidades e os benefícios do alinhamento da TI com o restante dos negócios (AUDY; BRODBECK, 2003, p. 16). Devemos lembrar que, “[...] diferentemente do gerenciamento de TI, que tem como foco o fornecimento de serviços e produtos de TI internos e o ge- renciamento das operações de TI no presente, a governança de TI concentra-se no desempenho e na transformação para atender demandas atuais e futuras do negócio da corporação e do cliente” (TOMIATTI, 2012, p. 17). Um dos outros pontos principais é o uso dos recursos de TI, os quais são aplicados, obviamente, em um contexto corporativo, em que seu maior objetivo é o de 3Objetivos da governança de TI agregar valor ao negócio. Ou seja, tais meios são utilizados visando o lucro e o desenvolvimento dos processos com transparência diante de todos os envolvidos na corporação. Na era tecnológica em que vivemos, a competitividade se torna bem mais acirrada e não compreende apenas a produtos, mas afeta diretamente as me- todologias de gestão utilizadas nas empresas. Desse modo, a governança de TI ajuda a gerir os riscos tanto do negócio quanto do uso inadequado dos recursos tecnológicos dentro da corporação pois a adequada utilização da TI traz diversos benefícios, contudo, em contrapartida, se houver mau uso dos recursos, o risco pode ser incalculável. O valor agregado ao negócio também pode ser bem relevante, uma vez que, com a devida gestão e alocação de recursos específicos, a empresa deixa de gastar seus recursos com atividades infundadas e que não trazem tantos aspectos positivos para o negócio. A governança depresarial é um sistema pelo qual as entidades são dirigidas e con- troladas. Os problemas referentes à governança não podem ser resolvidos sem a TI, uma vez que o negócio é altamente dependente da tecnologia. A governança depresarial deve, portanto, dirigir e contribuir para o estabelecimento da governança de TI. A TI, por sua vez, pode influenciar as oportunidades estratégicas da empresa, fornecendo informações valiosas para a elaboração de planos estratégicos. Dessa forma, a governança de TI ajuda a empresa a tirar o máximo proveito da informação e é vista como um fator propulsor da governança depresarial (SANTOS; BARUQUE, 2010, p. 17). As metas da governança de TI Dentro da execução de seus objetivos, a governança de TI traz algumas regras básicas consideradas boas práticas. De acordo com Fernandes e Abreu (2012, p. 15), o principal objetivo da go- vernança de TI é alinhar a TI aos requisitos do negócio, considerando soluções de apoio, assim como a garantia da continuidade dos serviços e a minimização da exposição do negócio aos riscos de TI. Para os autores, desdobrando esse objetivo principal, podemos identificar outros propósitos da governança de TI, descrito a seguir (FERNANDES; ABREU, 2012). Objetivos da governança de TI4 � Promover o posicionamento mais claro e consistente da TI em relação às demais áreas de negócios da empresa: A TI deve entender as estratégias do negócio e traduzi-las em planos para sistemas, aplicações, soluções, estrutura organizacional, processos e infraestrutura, desenvolvimento de competências, estratégias de sourcing e de segurança da informação, etc. � Possibilitar o alinhamento e a priorização das iniciativas de TI com a estratégia do negócio: O que foi planejado para acontecer deve ser priorizado, tendo em vista as necessidades do negócio e as restrições de capital de investimento. A priori- zação gera um portfólio de TI que faz a ligação entre a estratégia e as ações do dia a dia. � Promover o alinhamento da arquitetura de TI, sua infraestrutura e aplicações às necessidades do negócio, em termos de presente e futuro: Isso significa que se deve implantar os projetos e serviços planejados e priorizados. Providenciar a implantação e melhoria dos processos operacionais e de gestão necessários para atender aos serviços de TI, conforme padrões que estejam em conformidade com as necessidades do negócio: A execução dos projetos e serviços de TI deve ser realizada de acordo com processos operacionais (execução propriamente dita) e de gestão (planejamento, controle, avaliação e melhoria), que devemestar inseridos em uma estrutura organizacional, que, por sua vez, deve conter competências em pessoas e ativos usados para operar os processos. � Prover a TI da estrutura de processos que possibilite a gestão do seu risco e compliance para a continuidade operacional da empresa: Os processos definidos, tanto operacionais como gerenciais, devem con- siderar a mitigação de riscos para o negócio (p. ex., processos de segurança da informação, gestão de dados e aplicações, etc.). � Promover o emprego de regras claras para as responsabilidades sobre decisões e ações relativas à TI no âmbito da empresa: 5Objetivos da governança de TI É necessário identificar as responsabilidades sobre decisões acerca de princípios de TI, arquitetura de TI, infraestrutura de TI, necessidades de aplicações, investimentos, segurança da informação, estratégia de fornece- dores e parcerias, além de colocar em funcionamento um modelo de tomada de decisão correspondente. Conforme o Board Briefing on IT Governance (IT GOVERNANCE INSTITUTE, 2003), o Banco de Assentamentos Internacionais (BIS) de- fine a governança como arranjos que abrangem o conjunto de relações entre a gestão da entidade e seu órgão de governo, seus proprietários e suas outras partes interessadas, as quais devem fornecer a estrutura da seguinte maneira: � definição dos objetivos gerais da entidade; � estabelecimento do método a ser usado para atingir os objetivos; � descrição da maneira como o desempenho será monitorado. Como o objetivo da governança de TI é dirigir os esforços de TI. O de- sempenho atende aos seguintes objetivos: � alinhamento da TI com a empresa e realização dos benefícios definidos; � uso da TI para permitir que a empresa explore oportunidades e maxi- mize os benefícios; � emprego responsável dos recursos de TI; � gerenciamento apropriado de riscos relacionados à TI. No geral, a governança de TI abrange gerenciamento de recursos, em que todos os stakeholders definem um alinhamento estratégico, que gera valor de Tecnologia da Informação e, consequentemente, um gerenciamento de riscos e performance. Ou seja, esse gerenciamento agrupa todos esses contextos em um só, que é o da governança definida de acordo com o âmbito do negócio. Podemos definir stakeholder como qualquer pessoa envolvida no projeto, seja gerente, cliente, usuário, desenvolvedor, designer. Por esse motivo, o termo é muito comum no contexto tecnológico. Objetivos da governança de TI6 Regulamentos e boas práticas da governança A garantia da execução das políticas e convicções das empresas possui relação com a gestão de risco e o controle interno das organizações. De acordo com Fernandes e Abreu (2012, p. 27), o principal modelo norteador da estruturação de sistemas de controles internos e de gestão de risco é o COSO - The Com- mittee of Sponsoring Organizations of the Treadway Commission (Comitê das Organizações Patrocinadoras). Os autores citam as seguintes informações sobre este comitê (FERNANDES; ABREU, 2012). � O COSO é uma entidade sem fins lucrativos dedicada à melhoria dos relatórios financeiros através da ética, efetividade dos controles inter- nos e governança corporativa, a qual foi criada por iniciativa do setor privado para estudar as causas de ocorrências de fraudes em relatórios financeiros e contábeis e desenvolver recomendações para empresas de capital aberto e para instituições de ensino (ibdem). � Em 1992, o COSO publicou um trabalho intitulado Internal Control Integrated Framework (Controle Interno – Um Modelo Integrado), que se tornou referência para as organizações do mundo todo para a estruturação de seus sistemas de controle interno. De acordo com o COSO (COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION, 2012), o controle interno é um processo efetuado pelo conselho de administração, executivos ou qualquer outro funcionário de uma organização, com a finalidade de possibilitar o máximo de garantia nas seguintes categorias: ■ eficiência e eficácia das operações - salvaguarda de seus ativos e prevenção e detecção de fraudes e erros; ■ confiabilidade das demonstrações financeiras - exatidão, integridade e confiabilidade dos registros financeiros e contábeis; ■ conformidade com as leis e regulamentos vigentes - aderência às normas administrativas, às políticas da empresa e à legislação à qual está subordinada. Em 2012, o comitê realizou a revisão e atualização da publicação. Os requisitos para controle interno efetivo aplicados em um sistema eficaz de controle interno fornecem segurança razoável e alcançam os objetivos de uma entidade. Uma vez que o controle interno é relevante tanto para a entidade quanto para suas subunidades, um sistema efetivo de controle interno pode estar relacionado a uma parte da estrutura organizacional. É um sistema de 7Objetivos da governança de TI controle interno que reduz, para um nível aceitável, o risco de não atingir um objetivo relacionado a uma, duas ou todas as três categorias. Dessa forma, está determinado a ser efetivo. A alta administração e o conselho dos diretores passam a ter uma segurança razoável quanto à organização que: � alcança objetivos operacionais quando padrões e critérios são estabe- lecidos por legisladores, reguladores e ajustes padrão; � entende até que ponto as operações são gerenciadas de forma eficaz e eficiente quando os padrões externos não existem; � prepara relatórios de acordo com regras, regulamentos e padrões esta- belecidos por legisladores, reguladores e configurações padrão, e tem seus objetivos especificados e políticas relacionadas com o intuito de cumprir as leis e regulamentos aplicáveis. Nós cidadãos estamos sujeitos ao cumprimento de diversas regras, so- ciais, morais e até determinadas pelo Estado. Para ter controle das transações financeiras e de negócios, as empresas passam por diversas normas regula- mentadoras as quais visam ao controle das organizações em todos os seus pontos de funcionamento. A seguir, estão listados outros marcos regulatórios no contexto da gover- nança de TI. � Sarbanes-Oxley (SOX): surgiu em meados de agosto de 2002 com o intuito de dar suporte a investidores da bolsa de valores, com o objetivo de evitar fraudes contábeis. � Basileia III: envolve o capital mínimo das instituições. o Banco Central é regulamentador desse marco no Brasil. O termo “Basileia” se refere a uma cidade na Suíça, situada em um ponto financeiramente estratégico. O acordo de Basileia III, a última versão publicada em 2010, referem- se a um conjunto de propostas de reforma da regulamentação bancária. � ISO/IEC 38.500 (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉC- NICAS, 2009, p. 7): propõe um modelo para governança de TI que prevê a gestão da TI por meio de três atividades principais –avaliar o uso corrente e futuro da TI; dirigir a preparação e implementação de planos e políticas para assegurar que o uso da TI cumpra os objetivos empresariais; e monitorar a conformidade com as políticas e com o desempenho, em relação ao que foi planejado. Essas normas possuem relação com a tecnologia da informação devido à necessidade do alinhamento estratégico, além de estar sempre em correlação com recursos tecnológicos. Dessa forma, esses marcos afetam diretamente Objetivos da governança de TI8 o âmbito tecnológico da organização. Devemos lembrar que elas não são as únicas existentes, mas possuem importância suficiente para serem referen- ciadas neste capítulo. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 38500:2009: governança corporativa de tecnologia da informação. Rio de Janeiro: ABNT, 2009. AUDY, J. L.; BRODBECK, Â. F. Sistemas de informação: planejamento e alinhamento estratégico nas organizações. Porto Alegre: Bookman, 2003. BRASIL. Tribunal de Contas da União. Governança de TI. Brasília, DF: TCU, c2017. Dispo- nível em: <http://portal.tcu.gov.br/comunidades/governanca-de-ti/entendendo-a- -governanca-de-ti/>. Acesso em: 27 out. 2017. COMMITTEEOF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION. Internal control: integrated framework. [S.l.]: COSO, 2012. Disponível em: <https:// ce.jalisco.gob.mx/sites/ce.jalisco.gob.mx/files/coso_mejoras_al_control_interno. pdf>. Acesso em: 30 out. 2017. FERNANDES, A. A.; ABREU, V. F. Implantando a governança de TI: da estratégia à gestão de processos e serviços. 3. ed. Rio de Janeiro: Brasport, 2012. INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA. Governança corporativa. São Paulo: IBGC, c2017. Disponível em: <http://www.ibgc.org.br/inter.php?id=18161>. Acesso em: 30 out. 2017. IT GOVERNANCE INSTITUTE. Board briefing on IT governance. 2. ed. Rolling Meadows: ITGI, 2003. Disponível em: <https://www.isaca.org/Knowledge-Center/Research/ ResearchDeliverables/Pages/Board-Briefing-on-IT-Governance-2nd-Edition.aspx>. Acesso em: 30 out. 2017. SANTOS, L. C.; BARUQUE, L. B. Governança de tecnologia da informação. Rio de Janeiro: Fundação CECIERJ, 2010. TOMIATTI, T. S. Governança de TI. 2012. Monografia–Faculdade de Tecnologia de São Paulo, São Paulo, 2012. Disponível em: <http://www.fatecsp.br/dti/tcc/tcc00048. pdf>. Acesso em: 30 out. 2017. Leituras recomendadas MANSUR, R. Governança de TI verde: o ouro verde da nova TI. São Paulo: Ciência Moderna, 2011. MARINHO, A. Objetivos da governança de TI. São Paulo: Govern@nça & Tecnologia da Informação, 2010. Disponível em: <http://amarinhoti.blogspot.com.br/2010/05/ objetivos-da-governanca-de-ti.html>. Acesso em: 30 out. 2017. 9Objetivos da governança de TI
Compartilhar