Implementação da governança de ti: estudo de caso do colégio Pedro II

(1)

ESCOLA DE ENGENHARIA

DEPARTAMENTO DE ENGENHARIA DE PRODUÇÃO

LABORATÓRIO DE TECNOLOGIA, GESTÃO DE NEGÓCIOS E MEIO AMBIENTE MESTRADO EM SISTEMAS DE GESTÃO

MÁRCIO ALESSANDRO DO VAL

IMPLEMENTAÇÃO DA GOVERNANÇA DE TI: ESTUDO DE CASO DO COLÉGIO PEDRO II

Dissertação apresentada ao Curso de Mestrado em Sistemas de Gestão da Universidade Federal Fluminense como requisito parcial para obtenção do Grau de Mestre em Sistemas de Gestão. Área de Concentração: Organizações e Estratégia. Linha de Pesquisa: Sistema de Gestão pela Qualidade Total

Orientadora:

Profª Mirian Picinini Méxas, D.Sc.

Niterói, RJ 2017

(2)

Ficha Catalográfica

V135i Val, Márcio Alessandro do

Implementação da Governança de TI: Estudo de Caso do Colégio Pedro II / Márcio Alessandro do Val – Niterói, 2017.

213 p.: il.

Dissertação. (Mestrado) – Universidade Federal Fluminense, Escola de Engenharia, 2017.

Orientadora: Profa. Dra. Mirian Picinini Méxas

1. Governança de TI 2. ITIL 3. COBIT 4. ISO 38.500 4. Comoditização I. Título.

(3)

(4)

Dedico este trabalho a minha amada esposa pelo apoio nos momentos bons e ruins e a minha filha que acaba de chegar a este mundo.

(5)

AGRADECIMENTOS

A Deus, Pai, criador de todas as coisas, por tudo que fez, por tudo que faz e por tudo que ainda fará em nossas vidas.

À Danielle Fernandes Farias do Val, amada esposa, companheira, incentivadora, farol ético e moral nos dias de sol e de chuva.

À Ana Sofia Fernandes Farias do Val, filha amada que veio ao mundo em maio de 2016, enchendo de alegria meus dias e noites.

A UFF e LATEC pela oportunidade, pela inovação e qualidade deste programa.

A minha orientadora, Mirian Picinini Méxas, pela ajuda nos momentos mais difíceis deste trabalho.

Aos gestores e colegas do Colégio Pedro II, pelo apoio na realização do trabalho como um todo.

(6)

“A melhor definição de Governança de TI seria permitir a redução do esforço em enxugar gelo, tendo que armazenar esta água para poder apagar os incêndios futuros”.

(7)

RESUMO

O crescimento da importância da implementação da Governança de TI, ocorre devido ao aumento na agregação de valor ao negócio e evidencia-se no incremento do número de publicações acadêmicas sobre o tema, no esforço dos órgãos de controle da Administração Pública Federal na sua promoção e também no alinhamento com o planejamento estratégico da organização ou com a necessidade de garantir a aderência à legislação vigente. A simples aceitação da necessidade de adoção da Governança de TI, que fez com que fosse tratada como um mero produto a ser adquirido e implementado, pode levar ao entendimento de que estamos diante de uma commodity. A popularização dos frameworks de Governança de TI, em especial a ISO 38.500, o ITILv3 e o COBIT5, pode reforçar essa ideia. A partir desse ponto de vista, a proposta desse trabalho analisou, por meio do estudo de caso, se o modelo adotado pelo Colégio Pedro II para a implementação da Governança de TI está alinhado com o Guia de Governança de TI da SISP, voltado para a Administração Pública Federal, e se tal modelo não poderia se tornar uma commodity. Para alcançar esse objetivo, foram analisadas duas estruturas concorrentes: a de conformidade e a de apoio; além de três frameworks de Governança de TI. Também foi realizado um estudo de caso no Colégio Pedro II, preparado através da revisão literária e da utilização de um survey, visando fornecer subsídios para o planejamento e gestão dos escassos recursos de TI. Como contribuição foi mapeada a percepção das vantagens da implementação da governança de TI na administração pública e propostas recomendações para auxiliar na sua implementação de forma colaborativa.

(8)

The growth in the importance of the IT Governance implementing, occurs due to the increase in the value added to the business and is evidenced by the increase in the number of academic publications on the subject, in the effort of its promotion by the regulatory agencies of the federal government, is consequence of the increase in adding value to the business and is also noted in alignment with the strategic planning of the organization or in the need to ensure compliance with current legislation. Simply accepting the need to adopt IT Governance, which made it handle as a product to be purchased and implemented, may lead to understanding that we are facing a commodity. The growth in disclosure of IT governance frameworks, especially ISO 38,500, ITILv3 and COBIT5, may reinforce this idea. The purpose of this study is to analyze the model adopted by the Colégio Pedro II in IT governance implementation is aligned with IT Governance Guide of SISP, focused on Federal Public Administration, and if such a model could not become a commodity. For this reason, was analyzed two competing structures: compliance and support, and three IT Governance frameworks. It was also made a case study in the Colégio Pedro II, using literature review and a survey to provide inputs for the planning and management IT resources. As a contribution was mapped the perception of the advantages of the implementation of the IT governance in public administration and to make recommendations to assist its implementation in a collaborative way.

(9)

Figura 01 Modelo de distribuição de investimentos em TI 14 Figura 02 Modelo das dimensões do uso de TI em benefício dos negócios 15

Figura 03 Modelo de Alinhamento Estratégico de TI 16

Figura 04 Relação entre Governança Corporativa e a Governança de TI 27

Figura 05 Escala de maturidade da função de TI 28

Figura 06 Modelo de Cinco Dimensões ou Áreas de Foco da Governança de TI 29

Figura 07 Diferenças entre gestão e Governança de TI 31

Figura 08 Modelo de Governança de TI da Norma ISO/IEC-38500 34

Figura 09 Linha do Tempo do Desenvolvimento do COBIT 36

Figura 10 Princípios do COBIT5 38

Figura 11 Habilitadores Corporativos do COBIT5 39

Figura 12 Áreas chave de governança e gestão do COBIT5 40

Figura 13 Ciclo de Vida de Serviço do ITILV3 42

Figura 14 Relação entre os processos do ITIL e a Central de Serviços 44

Figura 15 Relacionamento entre as práticas de Governança de TI 52

Figura 16 Mapa de precedência de implementação das práticas de Governança de TIC 52

Figura 17 Caracterização da Pesquisa 57

Figura 18 Fases da Metodologia 58

Figura 19 Topologia de lógica e telefonia do CPII 66

Figura 20 Estrutura Organizacional da DAP 67

Figura 21 Estrutura Organizacional da DDI 68

Figura 22 Evolução do Perfil de TI no CPII 72

Figura 23 Estrutura Organizacional da DTI 72

Figura 24 Análise do grau de importância e da percepção da questão 3 87 Figura 25 Análise do grau de importância e da percepção da questão 4 88 Figura 26 Análise do grau de importância e da percepção da questão 5 89 Figura 27 Análise do grau de importância e da percepção da questão 6 90 Figura 28 Análise do grau de importância e da percepção da questão 7 91 Figura 29 Análise do grau de importância e da percepção da questão 8 92 Figura 30 Análise do grau de importância e da percepção da questão 9 93 Figura 31 Análise do grau de importância e da percepção da questão 10 94 Figura 32 Análise do grau de importância e da percepção da questão 11 95 Figura 33 Análise do grau de importância e da percepção da questão 12 96 Figura 34 Análise do grau de importância e da percepção da questão 13 97 Figura 35 Análise do grau de importância e da percepção da questão 14 98 Figura 36 Análise do grau de importância e da percepção da questão 15 99 Figura 37 Análise do grau de importância e da percepção da questão 16 100 Figura 38 Análise do grau de importância e da percepção da questão 17 101 Figura 39 Análise do grau de importância e da percepção da questão 18 102 Figura 40 Análise do grau de importância e da percepção da questão 19 103 Figura 41 Análise do grau de importância e da percepção da questão 20 104 Figura 42 Análise do grau de importância e da percepção da questão 21 105 Figura 43 Análise do grau de importância e da percepção da questão 22 106 Figura 44 Proposta de alteração nos perfis na Estrutura Organizacional da DTI 117 Figura 45 Proposta de alteração nos perfis na Estrutura Organizacional da DTI 124

(10)

Quadro 01 Resultado da busca inicial utilizando palavras-chave 22

Quadro 02 Artigos selecionados para leitura através do SCOPUS 23

Quadro 03 Dissertações e teses selecionados para leitura através de pesquisa na web 24

Quadro 04 Definições sobre Governança de TI na literatura acadêmica 28

Quadro 05 Guia para a Governança Corporativa da TI a Norma ISO/IEC-38500 34

Quadro 06 Processos do COBIT5 39

Quadro 07 Processos e funções do ITIL V3 44

Quadro 08 Objetivos do Levantamento de GovTI do TCU 46

Quadro 09 Conclusões do Levantamento de GovTI do TCU 46

Quadro 10 Cronologia da legislação do SISP 47

Quadro 11 Práticas que compõem o Modelo de Governança de TI do SISP 51 Quadro 12 Etapas de Precedência de Implementação das Práticas de Governança de TIC 53

Quadro 13 Referencial teórico das questões utilizadas na pesquisa 60

Quadro 14 Relação de força de trabalho nos IFECTs 77

Quadro 15 Evolução da força de trabalho na DTI 79

Quadro 16 Relação Modelo de Dimensões com o modelo da SISP 79

Quadro 17 Missão, visão e valores da área de TIC 83

Quadro 18 Relação Modelo de Dimensões com o modelo da SISP 116

Quadro 19 Etapas de precedência para a implementação das ações de Governança de TI 118

Quadro 20 Justificativas para o modelo proposto 118

Quadro 21 Proposta de alteração nos perfis das seções da DTI 124

Quadro 22 Propostas para os projetos do PDTI 126

(11)

ADM Avaliar, Dirigir e Monitorar ANS Acordos de Níveis de Serviços APF Administração Pública Federal APO Alinhar, Planejar e Organizar

ASI Assessoria de Segurança da Informação CAI Construir, Adquirir e Implementar CGU Controladoria-Geral da União

CIAd Centro de Informática Administrativa

COBIT Control Objectives for Information and related Technology

CONIF Conselho Nacional Instituições Federais Educação Profissional, Ciência e Tecnologia CPII Colégio Pedro II

DATI Diretoria Adjunta de Tecnologia da Informação DAP Diretoria de Administração e Planejamento DDI Diretoria de Desenvolvimento Institucional DOD Documento de Oficialização de Demanda DTI Diretoria de Tecnologia da Informação EG Escritório de Governança

EGTI Estratégia Geral de Tecnologia da Informação ERP Enterprise Resource Planning

ESR Escola Superior de Redes ESS Entregar, Serviços e Suporte

ForTI Fórum de Gestores de Tecnologia da Informação GovTI Governança de TI

IBGC Instituto Brasileiro de Governança Corporativa

IFECT Institutos Federais de Educação, Ciência e Tecnologia IFES Institutos Federais de Ensino Superior

IN Instrução Normativa

ISACA Information Systems Audit and Control Association ITGI Information Technology Governance Institute ITIL IT Infrastructure Lybrary

MAA Monitorar, Avaliar e Analisar MEC Ministério da Educação

MPOG Ministério do Planejamento, Orçamento e Gestão OGC Office of Government Commerce

PDTI Plano Diretor de Tecnologia da Informação

PRODI Pró Reitoria de Planejamento e Desenvolvimento Institucional RNP Rede Nacional de Ensino e Pesquisa

SISP Sistema de Administração de Recursos de Tecnologia da Informação SGBD Sistema de Gerenciamento de Banco de Dados

SITI Seção de Infraestrutura de Tecnologia da Informação SLTI Secretaria de Logística e Tecnologia da Informação SPB Software Público Brasileiro

SPSPN Seção de Projetos, Sistemas e Processos de Negócios ST Setor de Telefonia

SSED Setor de Sistemas e Estruturação de Dados SUAP Sistema Unificado de Administração Pública TCU Tribunal de Contas da União

TI Tecnologias da Informação

(12)

1 INTRODUÇÃO ... 13 1.1 CONTEXTUALIZAÇÃO DO TEMA ... 13 1.2 SITUAÇÃO PROBLEMA ... 18 1.3 QUESTÃO DE PESQUISA ... 19 1.4 OBJETIVOS ... 19 1.4.1 Objetivo Geral ... 19 1.4.2 Objetivos Específicos ... 19 1.5 DELIMITAÇÃO DO ESTUDO ... 20

1.6 IMPORTÂNCIA E JUSTIFICATIVA DO ESTUDO ... 20

1.7 ESTRUTURA DO TRABALHO ... 20

2 REVISÃO DA LITERATURA ... 22

2.1 PESQUISA BIBLIOMÉTRICA... 22

2.1.1 Pesquisa nas bases Scopus e Scielo ... 22

2.1.2 Pesquisa de dissertações e teses na web... 24

2.2 GOVERNANÇA CORPORATIVA ... 26

2.2.1 A Origem da Governança Corporativa e sua estrutura... 26

2.2.2 Relação da Governança Corporativa com a Governança de TI ... 26

2.3 GOVERNANÇA DA TECNOLOGIA DA INFORMAÇÃO ... 28

2.3.1 Definições de Governança de TI ... 28

2.3.2 Objetivos da Governança de TI ... 30

2.3.3 Diferença entre Gestão e Governança de TI ... 31

2.3.4 Modelos de Governança de Tecnologia da Informação ... 32

2.3.4.1 Norma ABNT NBR ISO/IEC-38500 de Governança Corporativa de TI ... 32

2.3.4.2 Framework de Governança de TI COBIT5 ... 35

2.3.4.3 Framework de Governança de TI ITILV3 ... 40

2.4 ESTRUTURA DE CONFORMIDADE DA GOVERNANÇA DE TI ... 45

2.4.1 O Tribunal de Contas Da União ... 45

2.4.1.1 Importância da Governança de TI no TCU e o Levantamento da Governança de TI 45 2.4.2 Sistema de Administração dos Recursos de Tecnologia da Informação ... 47

2.4.3 Instrução Normativa no. 04 ... 48

2.5 ESTRUTURA DE APOIO DA GOVERNANÇA DE TI ... 48

2.5.1 Estratégia Geral de Tecnologia da Informação ... 49

2.5.2 Plano Diretor de Tecnologia da Informação ... 49

2.5.3 Comitê de Tecnologia da Informação ... 50

2.5.4 Guia de Governança de TI da SISP... 51

2.5.5 Fórum de Gestores de Tecnologia da Informação... 53

2.5.6 Escola Superior de Redes ... 54

3 METODOLOGIA ... 55

3.1 CLASSIFICAÇÃO DA PESQUISA... 55

3.2 ETAPAS DA METODOLOGIA... 58

3.3 UNIVERSO E AMOSTRA... 62

3.4 INSTRUMENTO E COLETA DE DADOS... 63

4 DIRETORIA DE TECNOLOGIA DA INFORMAÇÃO DO COLÉGIO PEDRO II 65 4.1 EVOLUÇÃO DA INFORMÁTICA NO CPII ... 65

4.1.1 Primeira Fase – Centro de Informática Administrativa – de 1995 a 2009 ... 65

4.1.2 Segunda Fase - Diretoria Adjunta de Tecnologia da Informação – de 2009 a 2013 .. 66

4.1.3 Terceira Fase - Diretoria de Tecnologia da Informação – a partir de 2013 ... 68

(13)

4.4 ANÁLISE DOS PRINCIPAIS PROCESSOS DA DTI ... 72

4.5 PROBLEMAS ENCONTRADOS EM RELAÇÃO AOS PROCESSOS CRÍTICOS 74 4.6 ANÁLISE COMPARATIVA DA FORÇA DE TRABALHO NA DTI DO CPII COMPARADA COM OS OUTROS INSTITUTOS FEDERAIS EM TODO TERRITÓRIO NACIONAL ... 76 4.7 ANÁLISE COMPARATIVA DA DTI COM O MODELO PROPOSTO PELA SISP PARA GOVERNANÇA DE TI ... 78 4.8 ANÁLISE DA EVOLUÇÃO DOS PDTIS ... 82

4.9 ANÁLISE DO PROCESSO PROPOSTO PARA ELABORAÇÃO DESTA PESQUISA ... 83 5 ENVIO E ANÁLISE DO QUESTIONÁRIO DE PERCEPÇÃO DA IMPORTÂNCIA E DA UTILIZAÇÃO ... 85 5.1 ANÁLISE GRÁFICA DAS RESPOSTA DAS QUESTÕES ENVIADAS ... 86

6 PROPOSTAS DE AÇÕES BASEADAS NO MODELO SISP... 111

6.1 ANÁLISE DA EVOLUÇÃO DOS PROJETOS APRESENTADOS NO PDTI ... 111 6.2 MODELO DE PLANO DE AÇÃO PROPOSTO COMO ALTERNATIVA PARA O MODELO GENÉRICO DA SISP PARA OS IFECTS ... 116 6.2.1 Mapa de precedência de implementação das práticas de Governança de TI... 117

6.2.2 Justificativas para a criação deste modelo... 118

6.3 ANÁLISE DE PROBLEMAS E OPORTUNIDAS NOS PROCESSOS DA DTI .... 119

6.3.1 Análise de problemas ... 119

6.3.2 Análise de oportunidades e mudança nos perfis das seções da DTI ... 121

7 CONCLUSÕES E PROPOSTAS... 125

REFERÊNCIAS... 129

ApêndiceA QUESTIONÁRIO SOBRE AS AÇÕES DA GOVERNANÇA DE TI NO CPII... 137

ApêndiceB Modelo de Plano de Ação para Implementação de Governança de TIC nos IFECTs 144 Anexo 1 RELATÓRIO DE GESTÃO ANO 2008 ... 145

Anexo 2 RELATÓRIO DE GESTÃO ANO 2009 ... 148

Anexo 4 FACTA Nº 335 ... 156

Anexo 5 FACTA Nº 331 ... 157

Anexo 6 FACTA Nº 330 ... 158

Anexo 7 FACTA Nº 336 ... 159

Anexo 8 FACTA Nº 338 ... 161

Anexo 10 FACTA Nº 341 ... 167

Anexo 11 FACTA Nº 342 ... 168

Anexo 13 FACTA Nº 361... 174

Anexo 15 MEMORANDO 121/2014... 181

Anexo 17 MEMORANDO CIRCULAR 006/2016... 192

Anexo 18 PDTI 2011 A 2013... 194

Anexo 19 PDTI 2013 A 2015... 205

Anexo 20 ORDEM DE SERVIÇO 001/2014... 208

Anexo 21 ORDEM DE SERVIÇO 001/2017... 210

(14)

1. INTRODUÇÃO

1.1.

CONTEXTUALIZAÇÃO DO TEMA

Há aproximadamente meio século, os computadores e a tecnologia da informação (TI) foram introduzidos no meio acadêmico, mas o acesso era restrito a poucos usuários. Nos dias atuais, a TI está presente em cada momento, sendo vital nas tomadas de decisões (QUERIDO, 2014).

Em Putz et al. (2015), é possível observar que a significativa evolução pela qual a TI vem passando, com o surgimento de novas tecnologias, possibilita a criação de novos negócios, de operações globais, poder e participação dos usuários. Além disso, há a possibilidade de criação e sustentação de redes de informações e serviços, permitindo explorar redes de negócios em cadeia.

Esses autores afirmam que a percepção, por parte das organizações, de que a TI tem exigido investimentos cada vez mais altos para acompanhar a demanda de serviços e informação, traz consigo, também, a percepção de que a TI vem se tornando um de seus principais ativos.

No ambiente acadêmico, os estudos referentes à gestão da TI têm aumentado nos últimos anos, demonstrando maior preocupação na investigação do tema TI e dos seus impactos nos negócios e nas organizações. E, devido ao alto índice dos investimentos, essa preocupação deve ser compartilhada com os profissionais envolvidos com a TI (HOPPEN; MEIRELLES, 2005).

Löw (2004) destaca a separação entre atividade fim da instituição de ensino, exercida pelos professores e alunos e que envolve as atividades de ensino, pesquisa e extensão, e atividade-meio, exercida pelos funcionários. No entanto, o autor ressalta que apenas as atividades diretamente relacionadas com o processo de ensino-aprendizagem é que compõem a atividade-fim de uma instituição de ensino, o que transforma as atividades de gestão do ensino em atividades administrativas ou de apoio. Ele ainda afirma que os investimentos em infraestrutura de TI são compartilhados entre as atividades-fim e as atividades-meio, conforme figura 01.

(15)

Figura 01: Modelo de distribuição de investimentos em TI Fonte: Löw (2004)

Putz et al. (2015), ao analisar a governança no setor público brasileiro, afirmam que as instituições federais de ensino, enquanto organizações prestadoras de serviços de ensino, pesquisa e extensão, possuem um papel social importante por serem ambientes destinados à criação do conhecimento, adotando estratégias para a utilização da TI de forma mais lenta que a iniciativa privada.

Eles ainda destacam que a autonomia financeira, que permite a aquisição e atualização de tecnologias, é preocupante, pois fazem com que a utilização de inovações tecnológicas ocorram de forma lenta e precária. Isso ocorre em virtude dos institutos federais de educação disporem de parcos recursos governamentais, faltar-lhes uma cultura de gestão, terem pessoal em número reduzido para execução das atividades e pela ausência de processos baseados em indicadores de desempenho para apoiar o planejamento e a melhoria de qualidade.

As diversas organizações utilizam a TI para gerenciar, desenvolver e comunicar ativos intangíveis, especialmente em ambiente baseada no conhecimento. E tal utilização cria um aumento da dependência da TI, ampliando a vulnerabilidade dos ambientes complexos, surgindo a necessidade de garantir o retorno esperado em seus investimentos em TI, mitigando seus riscos. (GREMBERGEN; HAES; GULDENTOPS, 2004).

O modelo apresentado na figura 02 detalha a influência da Governança de TI na organização e nos benefícios proporcionados, uma vez que a dependência da TI aumenta a cada dia, criando uma necessidade de bom gerenciamento entre essas, além de permitir o acompanhamento, a medição e a capacidade de alinhamento entre a TI e o negócio, através da definição de papéis e da entrega de valor (ALBERTIN, 2003).

(16)

Segundo Murphy (2002), os benefícios de TI podem ser divididos em tangíveis, quando afetam diretamente os resultados, e intangíveis, quando provocam melhorias de desempenho do negócio, sem afetar diretamente o resultado. Assim, ele destaca a existência de cinco pilares para a realização de benefícios de TI, que são definidos como:

 Alinhamento estratégico: da estratégia de investimento em TI com o alcance das metas e objetivos do negócio da empresa.

 Impacto nos processos de negócio: a integração da cadeia de valor através do redesenho dos processos de negócio.

 Arquitetura: a integração, escalabilidade e elasticidade de aplicações, sistemas operacionais, bancos de dados e redes da organização.

 Retorno direto: o entendimento dos benefícios que um projeto de TI pode oferecer.

 Risco: identificação das falhas ou desempenho inferior ao planejado nos projetos.

Figura 02 – Modelo de dimensões do uso da TI em benefício dos negócios

(17)

O sucesso no desenvolvimento ou na implementação dos sistemas de informação está relacionado ao investimento no relacionamento entre a TI e o negócio (HEIJDEN, 2000).

Sendo assim, o alinhamento estratégico entre o negócio e a TI deve ser aplicado como ferramenta de gestão, visando a coesão através de uma integração entre seus planos estratégicos, contemplando estrutura, estratégia e cultura organizacional em diversos níveis, na TI e nas unidades de negócio (TEIXEIRA Jr; PONTE, 2004), isto é, refere-se à aplicação apropriada da TI em harmonia com as estratégias, os objetivos e as necessidades de negócio (LUFTMAN, 2000; HENDERSON; VENKATRAMAN, 1989).

Na década de 90, Henderson e Venkatraman (1993) definiram um modelo que envolve estratégias, processos e infraestrutura de TI, onde são consideradas quatro áreas de decisão no processo, detalhados na figura 03. Vale destacar que um dos componentes da estratégia de TI é a governança, uma vez que a define como uma autoridade capaz de definir a aplicação de recursos, analisar os riscos, atuar na resolução de conflitos e as suas responsabilidades são compartilhados entre as áreas de negócio. Na estratégia de negócio, a Governança de TI será inserida como parte integrante da Governança Corporativa, na qual são estabelecidos os relacionamentos entre o gerenciamento da empresa, os patrocinadores e os diretores.

Carr (2003) afirma que não existe mais vantagem competitiva no investimento em TI, uma vez que essa se tornou acessível a todos, como ocorreu com a eletricidade e a telefonia, transformando-a em uma commodity.

(18)

Figura 03 – Modelo de Alinhamento Estratégico de TI

Fonte: Henderson e Venkatraman (1989)

Dentro deste contexto vale ressaltar que o crescimento da presença da TI no dia a dia do Colégio Pedro II (CPII) aumentou a sua dependência, o que ocasionou uma preocupação com a utilização de ferramentas e de métricas que permitissem o alinhamento dos serviços e dos produtos de TI, desenvolvidos internamente, adquiridos ou fornecidos por terceiros, aos objetivos estratégicos da instituição, visando à redução dos custos envolvidos.

Logo, pode-se afirmar que a Diretoria de Tecnologia da Informação (DTI) do CPII vem investindo esforços e recursos financeiros para instituir o que foi denominado de Governança de TI – um conjunto de processos que direcionam a estratégia, garantindo que essa possa suportar as estratégias e objetivos do negócio. Entre as várias ações implementadas, destaca-se a modificação na estrutura da DTI na qual foram criadas duas novas seções: o Escritório de Governança e a Assessoria de Segurança da Informação, que, juntamente com o Diretor de TI, receberam a incumbência de implementar a Governança de TI e garantir a aderência às normas e legislação em vigor.

A DTI trabalha de modo que o Gerenciamento de TI tenha como foco fornecer serviços de TI à comunidade do CPII e que a Governança de TI vise o alinhamento estratégico das operações, ofertando serviços cada vez mais eficazes.

(19)

Já no âmbito da Administração Pública Federal (APF), Fernandes e Abreu (2014), afirmam que desde a década de 1990, o Governo Federal Brasileiro vem desenvolvendo um modelo de Governança de TI que envolve um conjunto de instruções normativas, resoluções e legislação específica, através de um sistema que engloba órgãos da administração direta e indireta federal, sendo as ações de Governança de TI no âmbito do executivo federal representadas pelo Sistema de Administração de Recursos de Tecnologia da Informação – SISP.

Sendo assim, o crescimento da utilização dos mecanismos oferecidos pela Governança de TI, seja através de suas boas práticas, seja através da criação de novos processos de governança, permitirá reduzir os custos da gestão dos recursos de TI. E para que se alcancem serviços de qualidade, é necessário que os novos processos sejam bem conhecidos pelos seus patrocinadores, o que implica na necessidade de analisar o seu nível de maturidade para estabelecer possíveis melhorias, visando atingir melhores resultados e produtividade.

1.2. SITUAÇÃO PROBLEMA

Segundo Molinaro (2012), toda a instituição depende das ferramentas de informação e o controle do seu acesso exige da área de TI agilidade em seus processos, visando à melhoria da sua disponibilização e, surgindo pressões em relação ao acesso, sejam elas regulatórias ou não, influenciando as rotinas efetivas. E, para tal, aconselha-se a implementação das melhores práticas adotadas pela governança de TI.

O alinhamento da TI com os objetivos da instituição é uma das preocupações da governança de TI. Enquanto a oferta interna de serviços e produtos de TI é o foco do esforço do gerenciamento de TI e da gestão efetiva, eficaz ou eficiente das operações, a governança de TI se concentra em realizar e transformar a TI para atender às demandas presentes e futuras da instituição e dos clientes, gerando assim um certo conflito entre essas duas gestões.

Através dessa ótica, pode-se definir a governança de TI como o mecanismo de controle da atividade de TI, consistindo de um processo contínuo de tomada de decisão que considera o monitoramento e a melhoria contínua do seu desempenho.

Desta forma, surge a necessidade de que as rotinas de TI se tornem efetivas e não apenas eficientes ou eficazes. Nesse contexto, a implementação da cultura da

(20)

governança de TI na instituição ganha status estratégico, seja inicialmente através de exigência legal, via Tribunal de Contas da União - TCU e Controladoria-Geral da União - CGU, ou de iniciativas oriundas do Ministério do Planejamento, Orçamento e Gestão – MPOG, através da Secretaria de Logística e Tecnologia da Informação - SLTI , do SISP, e posteriormente através do aumento no grau de exigência dos clientes dos serviços oferecidos.

Visando reduzir o tempo e o custo de sua implementação, utilizam-se frameworks ou modelos aceitos pelo mercado e pelos meios acadêmicos, que são coletâneas de boas práticas da governança de TI.

Saber o grau de implementação dessas boas práticas, isto é, o seu grau de aderência, permite melhorar o planejamento da utilização dos recursos computacionais, afetando a qualidade dos processos internos. Além do levantamento do grau de aderência da governança de TI no CPII, a criação da cultura da governança de TI nos profissionais lotados na diretoria de TI permitirá a sua evolução, além da melhoria da qualidade dos serviços ofertados.

1.3. QUESTÃO DE PESQUISA

Diante da situação problema, surge a seguinte questão central de pesquisa: As ações realizadas pela DTI na implementação da Governança de TI são suficientes para uma instituição pública de ensino?

Esta questão permite desdobramento nas seguintes questões específicas:

a) Qual a percepção da alta administração e da equipe técnica da DTI quanto às vantagens da implementação da governança de TI para o êxito da administração pública?

b) Quais

recomendações podem ser propostas para auxiliar na formalização da implementação da governança de TI?

c) Existe algum risco das boas práticas de Governança de TI disponibilizadas para a APF se tornarem uma commodity?

1.4. OBJETIVOS 1.4.1. Objetivo Geral

(21)

Avaliar a implementação da Governança de TI no Colégio Pedro II através da análise das ações executadas pela DTI, propondo a formalização destas ações.

Esse estudo visa avaliar a implementação dos processos de gestão de TI do CPII, evoluindo da fase do Gerenciamento de Serviços de TI para a Governança de TI, utilizando as boas práticas do framework ITIL na Seção de Infraestrutura e do framework COBIT no restante da DTI, em especial no Escritório de Governança, seção criada no final de 2013, formalizando estas ações.

1.4.2. Objetivos Específicos

Sendo assim, os objetivos específicos estão descritos a seguir:

a) Mapear a percepção da alta administração e da equipe técnica da DTI quanto às vantagens da implementação da governança de TI para o êxito da administração pública.

b) Propor recomendações para auxiliar a implementação da governança de TI, formalizando essas ações.

c) Analisar o risco da “comoditização” das boas práticas de governança de TI propostas para a APF.

1.5. DELIMITAÇÃO DO ESTUDO

No presente estudo, foram consideradas as rotinas colocadas em prática pela DTI para implementar as boas práticas da governança de TI, compreendidas entre os anos de 2008 a 2016 e a legislação vigente referente às ações envolvendo a governança de TI na APF.

1.6. IMPORTÂNCIA DO ESTUDO E JUSTIFICATIVA

Em termos de relevância para a gestão dos recursos de TI, a pesquisa pretende fornecer subsídios para o planejamento e gestão desses recursos, a partir do entendimento e da avaliação dos processos implementados, identificando oportunidades de melhoria e o seu nível de maturidade.

Além de vislumbrar oportunidades de aperfeiçoamento nos processos de Governança de TI, busca-se, com base nos resultados, incentivar outros estudos sobre os processos críticos da Diretoria de TI e, assim, ampliar o conhecimento sobre os

(22)

processos de trabalho, tornando-os mais eficientes. Uma vez que, para atender a esses objetivos organizacionais e entregar os serviços almejados pelos usuários, é preciso desenvolver processos maduros e bem estruturados.

A organização e a estruturação dos processos também são requisitos necessários no planejamento e na implementação de tecnologia de informação para a automatização e a inovação dos processos e dos serviços dentro da DTI. Isso posto, julga-se relevante conhecer como é realizado o processo de governança de TI e analisar o seu nível de maturidade.

1.7. ORGANIZAÇÃO DO ESTUDO

Esse trabalho está estruturado em capítulos, sendo que este primeiro capítulo, a “Introdução”, contém um panorama geral sobre a governança de Tecnologia da Informação na atualidade, as questões de pesquisa, os objetivos do trabalho, a delimitação e a importância e a justificativa do estudo.

O segundo capítulo, que trata da Revisão da Literatura, contém a fundamentação teórica que serve como base para o estudo, versando sobre a governança da tecnologia da informação, sua origem e evolução, os principais conceitos relacionados, bem como legislação, normas e procedimentos que facilitam sua aplicabilidade e as medidas de segurança que podem ser implantadas.

O terceiro capítulo, “Metodologia”, apresenta as etapas segundo as quais foi desenvolvida essa pesquisa e o levantamento das informações estratégicas.

No quarto capítulo, apresenta-se um breve histórico do CPII, a evolução e a sua estrutura organizacional de informática, a implementação da governança de TI e sua equipe de TI.

O quinto capítulo, é apresentado o relatório de envio do questionário, a análise gráfica das respostas, além da análise dos resultados.

O sexto capítulo apresenta a proposta de planejamento, definição e implementação das ações de Governança de Tecnologia da Informação, desenvolvida a partir de uma compilação de diversas propostas de modelos, principalmente do modelo proposto pela SISP, e que poderá servir de referência para as demais instituições de ensino.

No sétimo capítulo, a conclusão do trabalho, serão apresentadas contribuições e sugestões para trabalhos futuros. O modelo de governança da tecnologia da informação

(23)

proposto procura definir regras para que possa ser seguido um padrão de utilização dos diversos recursos descritos em uma Instituição de Ensino, como o Colégio Pedro II.

(24)

2. REVISÃO DA LITERATURA

Este capítulo será utilizado para pesquisar na literatura artigos técnicos, dissertações e teses sobre Governança de TI e sua relevância para a Administração Pública Federal.

2.1. PESQUISA BIBLIOMÉTRICA DA GOVERNANÇA DE TI

A estratégia adotada para a seleção do referencial inicial foi busca direta (de textos) em bibliotecas na web. Os mecanismos de busca foram realizados no Portal de Periódicos da Capes, nas bases Scopus e Scielo, assim como pesquisa web de dissertações e teses. O principal objetivo dessa pesquisa foi identificar a evolução na publicação de artigos sobre o tema da governança de TI.

Gil (2011) trata da questão da Pesquisa Bibliográfica definindo-a como aquela elaborada a partir de material já publicado, constituído principalmente de livros, artigos de periódicos e atualmente com material disponibilizado na Internet.

A pesquisa bibliométrica na base do Portal de Periódicos da Capes foi efetuada entre abril e setembro de 2016.

2.1.1. Pesquisa nas bases Scopus e Scielo

Para efetuar as buscas, foram utilizadas as palavras-chave “GOVERNANCE”, “TECHNOLOGY” e “INFORMATION” nas bases Scopus e Scielo no título, abstract ou palavras-chave, publicados nos últimos quinze anos. A seguir, o quadro 01 mostra o resultado da busca inicial nestes termos:

Quadro 01 – Resultado da busca inicial utilizando palavras-chave

Palavra-chave: GOVERNANCE and TECHNOLOGY and INFORMATION

ANO SCOPUS SCIELO CAPES

2016 ₂₀₇ ₂₅₀ ₁₇₄ 2015 ₄₁₂ ₆₁₀ ₃₁₁ 2014 ₄₇₁ ₇₂₂ ₃₄₈ 2013 ₄₉₁ ₆₉₃ ₃₃₉ 2012 ₄₃₂ ₅₂₂ ₂₉₆ 2011 ₄₅₂ ₄₄₀ ₃₀₄

(25)

2010 ₃₈₄ ₃₈₃ ₂₈₉ 2009 ₃₄₅ ₃₂₉ ₂₄₃ 2008 ₂₈₆ ₂₆₅ ₂₀₇ 2007 ₂₄₄ ₁₈₉ ₁₇₀ 2006 ₂₂₃ ₇₅ ₁₃₅ 2005 ₁₆₃ ₄₂ ₉₀ 2004 ₁₀₉ ₂₆ ₇₄ 2003 ₇₅ ₃₁ ₃₄ 2002 ₄₈ ₂₂ ₃₁ 2001 ₄₈ ₂₄ ₃₁ 2000 ₃₄ ₁₀ ₃₀

Fonte: Elaboração própria (2016)

A seguir, foi realizado um trabalho de seleção, que resultou na escolha de 23 (vinte e três) artigos mais próximos ao tema por relevância e publicados nos últimos 3 (três) anos, os quais foram lidos visando aprofundar a implementação da governança de TI na APF. O Quadro 02, a seguir, apresenta os artigos selecionados para leitura:

Quadro 02 – Artigos selecionados para leitura através do SCOPUS

Título Autor Evento Ano

An approach to select effectively the best framework IT according to the axes of the governance IT, to handle and to set up an objective IT

Chakir, A., Chergui, M., Medromi, H., Sayouti, A.

WCCS 2015 2016

An Integrated Model for ICT Governance and Management

Montenegro, C.W., Flores, D.A.

ICCCS 2015 2016

Value-Based Information Technology

Governance Quality Assessment: Systematic Mapping Study

Merchan, V. CHILECON 2015

2016

An analysis of information technology governance case study: Statistics Indonesia

Romadhona, A., Arman, A.A.

ICITSI 2015 2016

An Integrative Framework of COBIT and TOGAF for Designing IT Governance in Local Government

Wahab, I.H.A., Arief, A. ICITACEE 2015 2016

The Creation of Inter-Organizational IT Governance for Social Welfare and

Healthcare IT – Lessons from a Case

Dahlberg, T. IJNVO 2016

Critical success factors (CSFs) for information technology governance (ITG)

Alreemy, Z., Chang, V., Walters, R., Wills, G.

IJIM 2016

The maturity level of information technology governance of online cosmetics business

Kosasi, S., Vedyanto CONMEDIA 2015

2016

Risks, challenges and issues in a possible scrum and COBIT marriage

Ozkan, N. Proceedings APSEC 2016

2016

IT Governance in a Public Organization in a Developing Country: A Case Study of a Governmental Organization

Al Qassimi, N., Rusu, L. Procedia Computer Science

2015

Can IS/IT Governance Contribute for Business Agility?

Couto, E.S., Lopes, M.F.C., Sousa, R.D.

Procedia Computer Science

(26)

A conceptual Model for IT Governance in Public Sectors

Janahi, L., Griffiths, M., Al-Ammal, H.

FGCT 2015 2015

IT governance implementation: a tool design of COBIT 5 roadmap

Youssfi, K., Boutahar, J., Elghazi, S.

WCCS 2014 2015

Information technology governance in Egypt Research institutions-a case study

El-Morshedy, R.M., Mazen, S.A., Hassanein, E., Fahmy, A.A., Hassanein, M.K.

ICET 2014 2015

It governance in the public sector: a conceptual model

Tonelli, A.O., Bermejo, P.H.S, Santos, P.A., Zuppo, L., Zambalde, A.L.

Information Systems Frontiers

2015

Discriminating IT Governance Tiwana, A., Kim, S.K. Information

Systems Research

2015

Assessment of IT governance in organizations: A simple integrated approach

Bin-Abbas, H., Bakry S.H. Computers in Human

Behavior 32

2014

A model to support IT infrastructure planning and the allocation of IT governance authority

Thompson, S., Ekman, P., Selby, D., Whitaker, J.

Decision Support Systems

2014

IT governance and business value in the public sector organizations – The role of elected representatives in IT governance and its impact on IT value in U.S. state governments

Pang, M.S. Decision Support Systems

2014

COBIT principles to govern flood management Othman, M.; Ahmad, M.Z.; Suliman, A.; Arshad, N.H.; Maidin,S.S.

IJDRR 2014

COBIT 5 and the Process Capability Model. Improvements Provided for IT Governance Process

Pasquini, A.; Galiè, E. FIKUSZ ’13 2014

Information Technology Governance Framework in the Public Sector Organizations

Amali, L.N.; Mahmuddin, M.; Ahmad, M. TELKOMNIKA, Vol.12, No.2 2014 IT Governance Implementation: The Determinant Factors

PEREIRA, R.; SILVA, M.M.

IBIMA Publishing

2014

2.1.2. Pesquisa de dissertações e teses na web.

Após a busca nas bases acadêmicas, optou-se pela pesquisa na web por publicações de dissertações e teses disponíveis para enriquecer e validar o constructo. Dessa nova pesquisa, as selecionadas para leitura estão relacionadas no Quadro 03:

Quadro 03 – Dissertações e teses selecionados para leitura através de pesquisa na web

Título Autor Evento Ano

Information technology governance evaluation and processes improvement prioritization based on COBIT 5 framework at secretariat general of the Indonesian house of representatives

SUSANTI, R.Y., SUCAHYO, Y.G.

4th ICoICT

2016

2016

The IT audit research based on the information system success model and COBIT

TINGLIAO, L. 10th ISCO 2016

A preliminary study on indicator framework for enterprise, based on COBIT 5 processes and SOA approach

RAZAFIMAMPIANINA, R. ET AL.

5th WICT 2015

Design and implementation information security governance using Analytic Network Process and cobit 5 for Information Security a case study of unit

LAKSONO, H; SUPRIYADI, Y

(27)

XYZ

A code of practice for effective information security risk management using COBIT 5

AL-AHMAD, W.; MOHAMMED, B

2015 InfoSec 2015

The Impact of IT Management Process of COBIT 5 on Internal Control, Information Quality, and Business Value

TSAI, W. ET AL. 2015 IEEEM 2015

Uma proposta de implantação de governança de TIC em instituições federais de ensino

OLIVEIRA JÚNIOR, N.C. UFPE 2015

Uma análise sobre a relação risco versus desempenho em Governança de ti: estudos de caso em organizações prestadoras de serviços de TI certificadas ISO 20.000

ALVES, C.R.C. USP 2015

Risks, Challenges and Issues in a Possible Scrum and COBIT Marriage

OZKAN, N. APSEC 2015

Using Enterprise Architecture for COBIT 5 – Process Assessment and Process Improvement

CADETE, G.R. IST-Lisboa 2015

IT Governance in Public Administrations QUERIDO, D. IST-Lisboa 2014

Alinhamento estratégico da TI: O Caso da UFRN NASCIMENTO, J.A. UFRN 2014 Análise de maturidade da gestão de risco de TI na

FIOCRUZ: definição e aplicação de instrumento de avaliação e especificação de requisitos para um sistema computacional

ARAÚJO, M.S. UNB 2014

Conjunto de boas práticas de governança de TI CAMARGO, R.M.P. UCB 2013

COBIT 5 and Enterprise Governance of Information Technology: Building Blocks and Research Opportunities

DE HAES, S.; DEBRECENY, R.; VAN GREMBERGEN, W.

JIS Vol. 27, No. 1 Spring 2013

2013

Understanding the Core Concepts in COBIT 5 DE HAES, S.;

DEBRECENY, R.; VAN GREMBERGEN, W. ISACA JOURNAL VOLUME 5 2013

Boas práticas de governança de tecnologia da Informação: um estudo em unidades técnico científicas da FIOCRUZ

ALBUQUERQUE JUNIOR, A.E.

UFBA 2012

IMPACT OF INFORMATION TECHNOLOGY GOVERNANCE STRUCTURES ON STRATEGIC ALIGNMENT – A Dissertation Presented in Partial Fulfillment Of the Requirements for the Degree Doctor of Philosophy

GORDON, FITZROY R., Capella University

2012

PDGovTI - modelo de plano diretor de tecnologia da informação: baseado em arquitetura corporativa e governança de ti em governo

FAGUNDES, V. COPPE–UFRJ 2011

Diretrizes para implantação da governança de TI no setor público brasileiro à luz da teoria institucional

RODRIGUES, J.G.L. UCB 2010

IT governance: a framework proposal, and an empirical study.

CAPORARELLO, L. LUISS Univ. 2008

Adopção de ITIL nas Grandes Empresas FARINHA, C. Universidade de Coimbra

2005

Governança de TI no setor público – caso DATAPREV

VIEIRA, D.M. UFF–LATEC 2005

A dissertação “Governança de TI no setor público – caso DATAPREV” serviu de inspiração a essa pesquisa, apesar de ter sido publicada em 2005. Em contrapartida, a dissertação “Uma proposta de implantação de governança de TIC em instituições federais de ensino”, publicada em 2015, exigiu uma revisão da

(28)

proposta inicial, uma vez que a referida pesquisa visava criar uma proposta de implementação da governança de TI nos institutos federais.

Como existem 10 anos separando essas duas dissertações, que servem como referencial, optou-se pela pesquisa nas bases acadêmicas no período de 2000 a 2016, permitindo compreender a evolução do tema e a sua inflência em cada trabalho.

2.2. GOVERNANÇA CORPORATIVA

2.2.1. A Origem da Governança Corporativa e sua Estrutura

O Instituto Brasileiro de Governança Corporativa (IBCG) descreve que a origem da Governança Corporativa se desenvolveu em meio às transformações provocadas na economia pela processo de globalização no decorrer do século XX.

O IBGC (2011) define como objetivo da governança corporativa a criação de mecanismo eficientes que assegurem o alinhamento das ações dos administradores aos melhores interesses da empresa.

Ele ainda destaca que a governança corporativa deve direcionar o comportamento dos responsáveis pela administração no cumprimento do acordado com os acionistas, através de um sistema de controle de gestão composto por mecanismos, estruturas e incentivos definidos pelo conselho.

2.2.2. Relação da Governança Corporativa com a Governança de TI

Para o Information Technology Governance Institute (ITGI), “governança de TI é de responsabilidade dos executivos e da alta direção, consistindo em liderança, estrutura organizacional e processos que garantam que a área de TI da organização suporte e aprimore os objetivos e as estratégias da organização” (ITGI, 2003).

(29)

Figura 04: Relação entre Governança Corporativa e a Governança de TI Fonte: BRASIL (2016a)

A partir da análise da figura 04, é possível destacar que a “Governança Corporativa” visa direcionar e monitorar a gestão da instituição, permitindo a intervenção dos responsáveis finais, isto é, dos sócios ou acionistas, no caso das organizações privadas, e da sociedade, no caso das organizações públicas federais. A mesma figura também permite destacar que a “Governança de TI” visa o direcionamento e monitoramento das práticas de gestão e uso da TI de uma organização, em que o indutor e o principal beneficiário é a alta administração da instituição.

Para Gaseta (2012a) a Governança de TI é uma estrutura de relacionamento e processos, que serve para dirigir e controlar uma instituição, a fim de atingir os objetivos corporativos, adicionando valor ao negócio e equilibrando os riscos em relação ao retorno do investimento em TI e seus processos, garantindo sua contribuição para que os objetivos e estratégias da organização assumam seu valor máximo, de forma a controlar a execução e a qualidade dos serviços em benefício da organização.

A Governança de TI integra e institucionaliza boas práticas para garantir que a área de TI da organização suporte os objetivos do negócio; habilita a organização a obter vantagens com a gestão adequada de seu sistema de informação; explicita os

(30)

objetivos de TI e garante que a TI suportará todas as atividades de negócio. (GASETA, 2012b).

2.3. GOVERNANÇA DA TECNOLOGIA DA INFORMAÇÃO 2.3.1. Definições de Governança de TI

É possível encontrar uma grande quantidade de definições na literatura para a Governança de TI, sendo algumas delas representadas no quadro 04. Este tema vem sendo abordado desde os anos de 1990 pela literatura acadêmica (GORDON, 2012).

A Figura 05 mostra essa evolução da maturidade da função de TI, passando de provedor de tecnologia a provedor de serviços, e chegando a parceiro estratégico. Nesse contexto, a partir do nível 2, quando a área de TI é reconhecida como um provedor de serviços, o Gerenciamento de Serviços torna-se um elemento indispensável para o alcance da maturidade e da sua sustentação, visando a ascensão ao nível seguinte que é o de maturidade da função de TI, viabilizando assim a implantação da governança de TI.

Várias definições foram apresentadas na literatura acadêmica sobre Governança de TI. O Quadro 04 a seguir destaca algumas dessas principais definições e o respectivo foco, destacando a participação do TCU que se tornou um dos principais incentivadores da governança de TI na APF.

Figura 05: Escala de maturidade da função de TI Fonte: Magalhães e Pinheiro (2007, p. 37)

Quadro 04 – Definições sobre Governança de TI na literatura acadêmica

Referência Definição Peterson

(2004)

É o sistema pelo qual o portfólio de TI de uma organização é direcionado e controlado. A Governança de TI descreve: i) a distribuição de direitos e responsabilidades na tomada de decisões de TI entre os diferentes envolvidos na organização; e ii) as regras e procedimentos para a execução e monitoramento das decisões dos interesses estratégicos da TI.

(31)

(2003) Consiste-se em liderança, estruturas organizacionais e processos que garantam que a organização de TI sustente e amplie suas estratégias e os objetivos da organização.

Weill e Ross (2004)

É o estabelecimento dos direitos de decisão e da matriz de responsabilidades para encorajar comportamentos desejáveis no uso da TI.

Van Grembergen (2004)

Capacidade organizacional exercida pela alta direção, gerências de negócios e de TI para avaliar, dirigir e monitorar o uso da TI para suportar o alcance dos objetivos organizacionais. Trata-se de um sistema pelo qual o uso futuro e atual da TI é dirigido e controlado

TCU (2007) O objetivo da governança de TI é assegurar que as ações de TI estejam alinhadas com o negócio da organização, agregando-lhe valor. O desempenho da área de TI deve ser medido, os recursos, propriamente alocados e os riscos inerentes, mitigados. Assim, é possível gerenciar e controlar as iniciativas de TI nas organizações para garantir o retorno de investimentos e a adoção de melhorias nos processos organizacionais. A governança adequada da área de tecnologia da informação na APF promove a proteção a informações críticas e contribui para que essas organizações atinjam seus objetivos institucionais.

TCU (2010) O objetivo da governança de TI é garantir que TI agregue valor ao negócio. Na APF, a adequada governança da TI promove a proteção de informações críticas e contribui para que as instituições cumpram sua missão. A responsabilidade por prover uma boa governança de TI é dos executivos e da alta administração da instituição.

TCU (2012) A governança de TI é a parte da governança corporativa que busca assegurar que o uso da TI agregue valor ao negócio com riscos aceitáveis. Com esse objetivo, a governança de TI tende a evitar ou mitigar deficiências ainda comuns na gestão de uma instituição, como processo de planejamento inadequado, recorrência de projetos malsucedidos e contratações que não alcançam seus objetivos. Tais deficiências, no contexto da APF, refletem-se em perda de qualidade e de eficiência de serviços públicos prestados à sociedade.

TCU (2014) A governança de TI compreende o conjunto de mecanismos para assegurar que o uso da TI agregue valor ao negócio das organizações, com riscos aceitáveis. São estruturas organizacionais, processos, controles e outros componentes que objetivam evitar ou mitigar deficiências na gestão de uma organização, como falta de capacitação de pessoal, inadequação do processo de planejamento, recorrência de projetos malsucedidos e contratações que não atendem as necessidades do negócio.

Figura 06: Modelo de Cinco Dimensões ou Áreas de Foco da Governança de TI Fonte: ITGI (2003)

(32)

A figura 06 apresenta, de acordo com o COBIT (ITGI, 2007), as cinco áreas de foco da Governança de TI ou Modelo de Cinco Dimensões da Governança de TI.

Segundo o ITGI (2003), as definições das áreas focos da governança de TI estão abaixo descritas:

 O alinhamento estratégico possui como foco garantir a ligação entre os planos de negócios e de TI, definindo, mantendo e validando a proposta de valor de TI, alinhando as operações de TI com as operações da organização.

 A entrega de valor é definida como a execução da proposta de valor de TI através do ciclo de entrega, garantindo que sejam entregues os prometidos benefícios previstos na estratégia da organização, se concentrado em otimizar custos e provendo o valor intrínseco de TI.

 A gestão de risco visa requerer a preocupação com riscos pelos funcionários mais experientes da corporação, um entendimento claro do apetite de risco da empresa e dos requerimentos de conformidade, transparência sobre os riscos significantes para a organização e inserção do gerenciamento de riscos nas atividades da companhia.

 A gestão de recursos se refere à melhor utilização possível dos investimentos e o apropriado gerenciamento dos recursos críticos de TI: aplicativos, informações, infraestrutura e pessoas.

 A mensuração de desempenho visa acompanhar e monitorar a implementação da estratégia, término do projeto, uso dos recursos, processo de performance e entrega dos serviços.

2.3.2. Objetivos da Governança de TI

O principal objetivo da governança de TI, segundo Fernandes e Abreu (2014), é o alinhamento entre a TI e o negócio, através da continuidade do mesmo, a conformidade com os marcos regulatórios e o alinhamento estratégico.

Eles ainda destacam como objetivos da governança de TI, a articulação do alinhamento dos projetos de TI com a estratégia de negócio; da arquitetura, da infraestrutura e das aplicações de TI com o negócio e articular regras para que as responsabilidades sobre estas decisões estejam todas alinhados a um modelo de tomada de decisão, que garanta o alimento da TI com o negócio.

Em Westerman e Hunter (2008), é possível observar também a importância da gestão de risco para continuidade do negócio, minimizando estes riscos.

(33)

Em Al Qassimi e Russu (2015), é possível perceber a preocupação com o retorno do investimento, através da gestão dos processos operacionais para atender aos serviços de TI.

Em Westerman e Hunter (2011), se encontra a necessidade de garantir a agregação de valor ao negócio pela TI, para que ela não seja um fim em si mesmo.

2.3.3. Diferença entre Gestão e Governança de TI

A gestão da TI está direcionada ao fornecimento de serviços e no gerenciamento das suas operações atuais de TI, enquanto que a governança de TI está focada na execução e na transformação da TI para atender às demandas atuais e futuras dos negócios, isto é, possui um foco interno e outro externo (nos clientes desses negócios).

A figura 07 ilustra a distinção entre Gestão e Governança de TI:

Figura 07: Diferenças entre gestão e Governança de TI Fonte: Adaptado de Peterson (2004, p.5).

Essa distinção é demonstrada através da orientação ao negócio e a orientação no tempo, destacando a atuação da gestão internamente e no cotidiano, enquanto que a governança de TI atua mais externamente e no futuro (PETERSON, 2004).

(34)

2.3.4. Modelos de Governança de Tecnologia da Informação

Para Cruz (2008), a área de TI é estratégica para se alcançar os resultados em qualquer empresa ou instituição federal e, portanto, depende dos resultados oriundos de seus contratos de serviço de TI, que podem ser oferecidos internamente por algum departamento ou através de terceirização.

Com o aumento do peso de importância dentro da organização, a TI passou a ter vários desafios. Vejamos alguns:

 Alinhamento da TI com as necessidades atuais e futuras do negócio;  Aumento da complexidade nos ambientes de TI;

 Dependência da TI para o Negócio;  Redução de custos e riscos;

 Justificativa para Retorno sobre os investimentos em TI;  Conformidade com leis e regulamentos;

 Manutenção da segurança sobre as informações.

Em virtude deste cenário, no qual a TI aparece com grande importância para o negócio, buscando por otimização de seus processos, redução de custos e riscos, vários frameworks de processos e melhores práticas foram criados.

Nos dias atuais, existem vários modelos que auxiliam na implementação da governança de TI. Nesse estudo serão abordados a norma ABNT NBR ISO/IEC-38500, o COBIT5 e o ITILv3, pois a primeira é baseada no padrão internacional ISO, o segundo é popular nas implementações da Governança de TI seguindo um modelo top-down, partindo-se da gestão de TI para as rotinas técnicas, e o terceiro por sua popularidade em virtude de seu modelo bottom-up de implementações da Governança de TI.

É importante ressaltar que o modelo de governança deve ser escolhido de forma que se adapte e traga os melhores resultados para a organização. A aplicação e a utilização de governança variam de acordo com a atividade predominante dos serviços de TI prestados, além das necessidades da organização. Ou seja, se a TI meramente dá suporte para a área de negócios, provavelmente o modelo ITIL deverá atender completamente às necessidades para governança de TI.

2.3.4.1. Norma ABNT NBR ISO/IEC-38500 de Governança Corporativa de TI

Esta norma teve sua primeira edição publicada em 06 de abril de 2009, utilizando a expressão Governança Corporativa de TI, enfatizava a importância de se

(35)

discutir o papel da TI no contexto corporativo e não de forma independente e isolada pelos dirigentes da TI. (ABNT NBR ISO/IEC-38500, 2009).

Nela são estabelecidos os princípios para o uso eficaz, eficiente e aceitável da TI, assegurando que os dirigentes poderão avaliar melhor os riscos e aproveitar as oportunidades advindas do seu uso nas organizações (BIN-ABBAS, 2014). Além disso, define a governança corporativa como o sistema pelo qual as organizações são dirigidas e controladas, enquanto que a governança corporativa de TI seria como a TI é dirigida e controlada, ou seja, significa avaliar e direcionar o uso da TI para dar suporte à organização e monitorar seu uso para realizar os planos. Inclui a estratégia e as políticas de uso da TI dentro da organização (MONTENEGRO, 2016).

Essa diretriz estabelece seis princípios para a obtenção da boa Governança Corporativa de TI, destacados a seguir (DAHLBERG, 2016):

 Princípio 1: Da responsabilidade, onde todos os envolvidos aceitam suas responsabilidades com respeito ao fornecimento de serviços e demandas de TI;  Princípio 2: Da estratégia, que deve levar em conta as capacidades e os planos

estratégicos da TI;

 Princípio 3: Da aquisição, onde as aquisições de TI devem manter equilíbrio entre benefícios, oportunidades, custos e riscos;

 Princípio 4: Do desempenho, onde o desempenho da TI deve apoiar a organização fornecendo serviços que atendam aos requisitos do negócio;

 Princípio 5: Da conformidade, onde a TI deve cumprir toda a legislação e regulamentos obrigatórios;

 Princípio 6: Do comportamento humano, onde as políticas, práticas e decisões da TI devem demonstrar respeito pelo Comportamento Humano.

Trazendo, portanto, orientações para que os dirigentes governem a TI segundo o modelo definido na figura 08 e que destaca as seguintes tarefas:

a) Avaliar o uso da TI atual e do futuro;

b) Orientar a preparação e a implementação de planos e políticas para o uso da TI, assegurando o atendimento aos objetivos do negócio;

c) Monitorar o cumprimento das políticas e o desempenho dos planos.

A figura 08 mostra o ciclo Avaliar-Dirigir-Monitorar para a Governança Corporativa de TI e abaixo seguem as definições deste modelo (WAHAB,2016):

(36)

 Avaliar: Os dirigentes devem examinar e avaliar o uso da TI de forma

contínua, considerando as pressões internas e externas que afetam o negócio.

 Dirigir: Os dirigentes devem designar responsabilidade e exigir preparação e

implementação das políticas, estabelecendo a direção dos investimentos nos projetos e nas operações de TI.

 Monitorar: Os dirigentes devem monitorar através de sistemas apropriados

de mensuração, certificando-se de que está de acordo com os objetivos do negócio.

Figura 08: Modelo de Governança de TI da Norma ISO/IEC-38500 Fonte: Norma ABNT NBR ISO/IEC-38500 (2009)

O quadro 05 a seguir exibe o Guia para a Governança Corporativa da TI a Norma ISO/IEC-38500.

Quadro 05 – Guia para a Governança Corporativa da TI a Norma ISO/IEC-38500

Princípio Tarefa Descrição 1 –

Responsabilidade

Avaliar Dirigentes avaliam as opções de responsabilidades do uso atual e futuro da TI, garantindo o uso e entrega eficaz, eficiente e aceitável da TI, avaliando competências na tomada de decisões de TI.

Dirigir Dirigentes exigem cumprimento dos planos de acordo com as responsabilidades delegadas para a TI, além de exigir que quem necessita receba as informações necessárias.

Monitorar Dirigentes devem monitorar o estabelecimento dos mecanismos de Governança de TI, que monitorem as necessidades de quem recebe e

(37)

compreenda suas responsabilidades, além de monitorar o seu desempenho e responsabilidade pela Governança de TI.

2 – Estratégia Avaliar Dirigentes avaliam desenvolvimentos em TI e processos de negócio garantindo apoio da TI ao negócio, assegurando alinhamento da TI aos objetivos da organização e a análise de risco das ações de TI.

Dirigir Dirigentes lideram preparação e uso dos planos e políticas que assegurem o benefício com o desenvolvimento da TI, além de incentivar o uso inovador da mesma.

Monitorar Dirigentes devem monitorar o progresso das propostas de TI aprovadas garantindo seus prazos, além dos benefícios pretendidos. 3 – Aquisição Avaliar Dirigentes avaliam opções para fornecimento de TI visando atingir os

objetivos das propostas aprovadas, equilibrando os riscos com o retorno dos investimentos propostos

Dirigir Dirigentes orientem aquisição ativos de TI de forma apropriada, além de certificar que os acordos de fornecimento darão suporte às necessidades da organização.

Monitorar Dirigentes monitoram os investimentos de TI assegurando

fornecimento das capacidades adquiridas, além de monitorar os limites em compreender mutuamente as intenções de cada um ao realizar a aquisição de TI.

4 – Desempenho Avaliar Dirigentes asseguram que a TI apoiará os processos de negócio com a capacidade e competência necessárias, garantindo a continuidade do negócio e a análise de risco, além de avaliar a eficácia e o desempenho da Governança de TI.

Dirigir Dirigentes alocam recursos garantindo que a TI atenda às necessidades da organização, além de orientar sobre o correto uso dos dados. Monitorar Dirigentes monitoram o limite do suporte de TI ao negócio, além de

monitorar o limite de acompanhamento das políticas. 5 –

Conformidade

Avaliar Dirigentes avaliam o limite de cumprimento das obrigações pela TI e a conformidade interna da organização com a Governança de TI Dirigir Dirigentes exigem que responsáveis garantam que o uso da TI está em

conformidade com as exigências legais, além de cumprirem todas as normas, políticas e planos internos e ajam de forma ética.

Monitorar Dirigentes monitoram o cumprimento e conformidade da TI, monitorando suas atividades e assegurando o cumprimento das exigências regulamentares.

6 –

Comportamento Humano

Avaliar Dirigentes avaliem as atividades de TI para garantir que os comportamentos humanos sejam identificados e considerados. Dirigir Dirigentes exijam que as atividades de TI sejam compatíveis com as

diferenças do comportamento humano, além de exigir a identificação e relato dos riscos, oportunidades, constatações e preocupações por qualquer pessoa a qualquer momento.

Monitorar Dirigentes monitorem as atividades de TI para garantir que os comportamentos humanos identificados permaneçam relevantes e recebam a devida atenção, além de monitorar as práticas de trabalho para garantir que sejam consideradas.

Fonte: Norma ISO/IEC-38500 (2009)

2.3.4.2. Framework de Governança de TI COBIT5

Segundo a figura 09, o COBIT (Control Objectives for Information and related Technology) foi desenvolvido pela ISACA (Information Systems Audit & Control Association) em 1996, como um framework para auditoria e controles de TI, com foco nos objetivos de controle, sendo lançada a terceira versão em 2000 com a inclusão de