Pró-Reitoria de Pós-Graduação e Pesquisa
Programa Stricto Sensu em Gestão do Conhecimento e da
Tecnologia da Informação
DIRETRIZES PARA MODELO INTEGRADO DE
GOVERNANÇA CORPORATIVA E DE GOVERNANÇA DA
TECNOLOGIA DA INFORMAÇÃO
Brasília
–
DF
2014
RODRIGO DE GRAZIA BACHA ESTEVAM
DIRETRIZES PARA MODELO INTEGRADO DE GOVERNANÇA CORPORATIVA E DE GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO
Dissertação apresentada ao Programa de Pós-Graduação Stricto Sensu em Gestão do
Conhecimento e da Tecnologia da Informação da Universidade Católica de Brasília, como requisito parcial para obtenção do Título de Mestre em Gestão do Conhecimento e da Tecnologia da Informação.
Orientador: Prof. Dr. João Souza Neto
AGRADECIMENTO
A DEUS, que sempre me iluminou e direcionou o meu caminho frente a todos os obstáculos encontrados no decorrer desta conquista.
A minha família, principalmente a minha esposa Bianca e meu filho Nicolas, por todo o amor, inspiração, compreensão e apoio em todos os momentos. Ao meu irmão Raphael, minha mãe Angélica, meu pai Raimundo, e minha irmã Raynara, que sempre me incentivaram a buscar meus objetivos, e que me apoiam e acompanham ao longo dos anos, mesmo à distância. A minha sogra Josilene por nos apoiar com o Nicolas, possibilitando minha dedicação com o curso e o desenvolvimento do modelo proposto.
Ao amigo, Superintendente da CNEC, Prof. Dr. Tarcísio Tomazoni, pela troca de experiências, sempre produtivas e focadas buscar soluções, pelo incentivo constante à busca de inovações na gestão e tecnologia, e pela amizade, confiança e parceria ao longo dos anos, que contribui sobremaneira para o meu desenvolvimento pessoal e profissional. Agradecendo o Prof. Dr. Tarcísio Tomazoni, agradeço também a Diretoria Geral da CNEC pelo apoio e confiança depositados ao longo dos últimos 13 anos.
Ao amigo, orientador, Prof. Dr. João Souza Neto, pela sua amizade e comprometimento, que sempre me motivaram a buscar nossos objetivos e desenvolver uma solução inovadora que contribuísse sobremaneira com a área de governança corporativa e de TI no Brasil. Meus sinceros agradecimentos por todo seu empenho em me desafiar o tempo todo, acreditando no meu potencial, e me incentivando a quebrar paradigmas e desenvolver trabalhos de relevância. Agradeço e tenho certeza que não tive a sorte de ter um excelente orientador, mas acima de tudo, de ter ganho um grande parceiro para a vida.
Aos meus colegas de trabalho da CNEC, especialmente a equipe da Gerência de TI da CNEC pela troca de experiências e incentivo, e à Profa Goretti pelo apoio espontâneo e sincero de sempre.
Aos meus amigos de longa data, Renard, Thiago e Paulo, que sempre me apoiaram, e buscaram me motivar a cada encontro para alcançar meus objetivos pessoais e profissionais.
A Profa Dra Luiza pelo apoio ao longo dos dois anos de curso, e ao agradecê-la, também registro minha gratidão a todos os professores do curso pela contribuição valorosa e aos funcionários da universidade pela atenção e empenho do dia-a-dia.
"Não deixe o barulho da opinião dos outros abafar sua voz interior. E mais importante, tenha a coragem de seguir seu coração e sua intuição. Eles de alguma forma já sabem o que você realmente quer se tornar. Tudo o mais é secundário."
RESUMO
Referência: ESTEVAM, Rodrigo. Diretrizes para Modelo integrado de Governança Corporativa e de Governança de Tecnologia da Informação. 2014. 129 f. Dissertação (Mestrado em Gestão do Conhecimento e da Tecnologia da Informação) – Universidade Católica de Brasília, Brasília-DF, 2014.
Esta pesquisa teve por objetivo propor um modelo único e integrado de Governança Corporativa e Governança de Tecnologia da Informação para empresas do setor privado e para estatais no cenário brasileiro. O modelo proposto foi elaborado a partir de uma revisão bibliográfica que resultou na análise de códigos de Governança Corporativa e de frameworks de Governança de TI que pudessem atender o objetivo da pesquisa. O modelo proposto foi avaliado em uma reunião de grupo focal composta por especialistas das áreas de Governança Corporativa e Governança de Tecnologia da Informação. O grupo focal contribuiu não só com sugestões pontuais, mas também com propostas de estudos futuros. O modelo proposto integra a Governança Corporativa com a Governança de Tecnologia da Informação, com a participação efetiva do Conselho de Administração na condução da Governança de Tecnologia da Informação.
ABSTRACT
This research aimed to propose a single model that integrates the Corporate Governance and the Governance of Information Technology for companies in the private and public sector in the brazilian scenario. The proposed model was developed from a literature review that consisted in the analysis of corporate governance codes and IT governance frameworks that could meet the research objective. Then, the proposed model was evaluated in a focus group meeting, composed of experts from the areas of Corporate Governance and Information Technology Governance. The focus group helped not only with specific suggestions, but also with proposals for future studies. The proposed model integrates the Corporate Governance and the Information Technology Governance, with the active participation of the Board in the direction of the Information Technology Governance.
LISTA DE FIGURAS
Figura 1 – Modelo de Governança – ABNT NBR ISO/IEC 38500 ... 30
Figura 2 – Matriz de Arranjo de Governança de TI ... 32
Figura 3 – Framework de Governança de TI (WEILL e ROSS)... 34
Figura 4 – Áreas de foco na Governança de TI. ... 35
Figura 5 – Quatro domínios inter-relacionados do COBIT ... 36
Figura 6 – Cubo do COBIT ... 37
Figura 7 – Evolução do COBIT ... 40
Figura 8 – Princípios do COBIT 5 ... 40
Figura 9 – Objetivo da Governança: Criação de Valor ... 41
Figura 10 – Visão Geral dos Objetivos em Cascata ... 41
Figura 11 – Habilitadores do COBIT 5 ... 43
Figura 12 – Divisão de Governança e Gestão do COBIT 5 ... 44
Figura 13 – Visão Geral dos Processos do COBIT 5 ... 44
Figura 14 – Sistema de Governança Corporativa (IBGC) ... 61
Figura 15 – KING III ... 63
Figura 16 – Camadas de Governança e a inter-relação entre as diferentes estruturas e padrões ... 69
Figura 17 – Estrutura de supervisão do governo sul africano para a implantação do PSCGICTPF ... 72
Figura 18 – Funcionamento do Sistema de Governança (PSCGICTPF)... 73
LISTA DE TABELAS
LISTA DE GRÁFICOS
LISTA DE QUADROS
Quadro 1 – Princípios Específicos da Governança de TIC Adotados a partir da Inter-relação
entre estas Normas e Padrões do PSCGICTPF ... 75
Quadro 2 - Percentual de Auditorias Realizadas nos Órgãos (iGovTI) ... 78
Quadro 3 - Implantação de Governança de TI no Órgão/Empresa ... 79
Quadro 4 - Utilização de Governança de TI no Órgão/Empresa ... 79
Quadro 5 – Limitações de grupos focais e ações para mitigá-las ... 85
Quadro 6 – Análise dos Frameworks e/ou Normas de Governança de TI abordados na Pesquisa com relação ao seu Relacionamento com a Governança Corporativa. ... 87
Quadro 7 - Análise dos Códigos de Governança Corporativa Abordados na Pesquisa com relação ao seu Relacionamento com Normas e/ou Frameworks de Governança de TI ... 94
Quadro 8 – Análise do Modelo Integrado de Governança Corporativa e de Governança da TI da África do Sul abordado na pesquisa com Relação ao seu Relacionamento com Normas e/ou Frameworks de Governança de TI, e Governança Corporativa ... 98
Quadro 9 – Relação entre KING III e COBIT 5... 103
Quadro 10 – Perfil profissional dos participantes do grupo focal ... 107
LISTA DE SIGLAS E ABREVIATURAS
ABNT NBR ISO/IEC 38500:2009 - Norma para Governança de TI ABNT NBR ISO/IEC 27005:2008 - Framework para Gestão de Riscos
APF - Administração Pública Federal BSC – Balanced ScoreCard
CAPES - Coordenação de Aperfeiçoamento de Pessoal de Nível Superior CEO - Chief Executive Officer
CIO - Chief Information Officer – Diretor de TI
COBIT - Control Objectives for Information and Related Technology
COSO - Committee of Sponsoring Organizations of the Treadway Commission
DPME - Department of Performance Monitoring and Evaluation DPSA – Department of Public Service and Administration
EDM - Evaluate, Direct and Monitor
ECGI – European Corporate Governance Institute
GC - Governança Corporativa GF - Grupo Focal
GICTF - Governance of Information and Comunication Technology
GITO - Government Information Technology Office
GITOC –Government Information Technology Officer Council
GTI - Governança de Tecnologia da Informação HoD – Head of Department
IBCA - Instituto Brasileiro de Conselheiros de Administração IBGC - Instituto Brasileiro de Governança Corporativa iGovTI - Indice de Governança de TI
ISACA - Information Systems Audit and Control Association
ISO - International Organization for Standardization
ITGI - IT Governance Institute
ITIL - Information Technology Infrastructure Library
KING III - Código de Governança Corporativa Sul Africano MPSA - Minister of Public Service and Administration
PSCGICTPF - Public Service Corporate Governance of Information and Communication Technology Policy Framework
PMBoK - Project Management Body of Knowledge
PRINCE2 - PRojects IN Controlled Environments
RACI - Responsible, Accountable, Consulted and Informed
SEFTI - Secretaria de Fiscalização de Tecnologia da Informação
SISP - Sistema de Administração dos Recursos de Informação e Informática TCU - Tribunal de Contas da União
TI - Tecnologia da Informação
TIC - Tecnologia da Informação e Comunicação TOGAF - The Open Group Architecture Framework
SUMÁRIO
RESUMO ... 8
ABSTRACT ... 9
LISTA DE FIGURAS ... 10
LISTA DE TABELAS ... 11
LISTA DE GRÁFICOS ... 12
LISTA DE QUADROS ... 13
LISTA DE SIGLAS E ABREVIATURAS ... 14
SUMÁRIO ... 16
1. INTRODUÇÃO ... 18
1.1 REVISÃO DA LITERATURA ... 21
1.2 FORMULAÇÃO DO PROBLEMA ... 23
1.3 QUESTÃO DE PESQUISA ... 24
1.4 RELEVÂNCIA DO ESTUDO ... 24
1.5 OBJETIVOS ... 26
1.5.1 OBJETIVO GERAL ... 26
1.5.2 OBJETIVOS ESPECÍFICOS ... 26
2. REFERENCIAL TEÓRICO ... 27
2.1 GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO ... 27
2.1.1 NORMA ABNT NBR ISO/IEC 38500 ... 28
2.1.2 MODELO DE WEILL E ROSS ... 31
2.1.3 FRAMEWORK COBIT 4.1 ... 34
2.1.4 FRAMEWORK COBIT 5 ... 39
2.2 GOVERNANÇA CORPORATIVA ... 55
2.2.1 RELATÓRIO CADBURY ... 59
2.2.2 IBGC – INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA ... 61
2.2.3 KING III – SOUTH AFRICA CODE OF GOVERNANCE ... 62
2.3 MODELOS INTEGRADOS DE GOVERNANÇA CORPORATIVA E DE TI ... 68
2.3.1POLÍTICA DE SERVIÇO PÚBLICO DE GOVERNANÇA CORPORATIVA DA TECNOLOGIA DA INFOMAÇÃO E COMUNICAÇÃO ... 68
2.4 PESQUISAS REALIZADAS NOS SETORES PÚBLICO E PRIVADO ... 76
2.4.1 LEVANTAMENTO DE GOVERNANÇA DE TI DO TCU ... 76
2.4.2 PESQUISA UCB SOBRE GOVERNANÇA ... 78
3.1 CLASSIFICAÇÃO DA PESQUISA ... 81
3.2 DESCRIÇÃO DA PESQUISA ... 82
4. RESULTADOS ... 87
4.1 ANÁLISE DOS MODELOS DE GOVERNANÇA CORPORATIVA, GOVERNANÇA DE TI E MODELOS INTEGRADOS DE GOVERNANÇA CORPORATIVA E DE GOVERNANÇA DE TI ... 87
4.1.1 ANÁLISE DOS FRAMEWORKS/NORMAS DE GOVERNANÇA DE TI APRESENTADOS COM RELAÇÃO AO SEU RELACIONAMENTO COM GOVERNANÇA CORPORATIVA ... 87
4.1.2 ANÁLISE DOS CÓDIGOS DE GOVERNANÇA CORPORATIVA APRESENTADOS COM RELAÇÃO AO SEU RELACIONAMENTO COM GOVERNANÇA DE TI ... 94
4.1.3 ANÁLISE DA POLÍTICA DE SERVIÇO PÚBLICO DE GOVERNANÇA CORPORATIVA DA TECNOLOGIA DA INFOMAÇÃO E COMUNICAÇÃO COM RELAÇÃO A GOVERNANÇA CORPORATIVA E A GOVERNANÇA DE TI ... 97
4.1.4 AVALIAÇÃO DOS MODELOS DE GOVERNANÇA ... 99
4.2 PROPOSTA DE MODELO INTEGRADO DE GOVERNANÇA CORPORATIVA E GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO ... 102
4.3 GRUPO FOCAL ... 107
4.3.1 REALIZAÇÃO DO ENCONTRO ... 108
4.3.2 RESULTADOS DO GRUPO FOCAL ... 111
5. CONCLUSÃO ... 113
5.1 LIMITAÇÕES DO ESTUDO ... 114
5.2 RECOMENDAÇÕES PARA TRABALHOS FUTUROS ... 115
6. REFERÊNCIAS BIBLIOGRÁFICAS ... 116
7. APÊNDICE ... 121
1. INTRODUÇÃO
Segundo Magalhães (2007), a governança corporativa (GC) congrega um conjunto de práticas relacionadas à administração das sociedades, que visam minimizar os naturais conflitos entre os acionistas e a administração, não se confundindo nem se limitando, todavia, à proteção do acionista minoritário, uma vez que serve à sociedade, aí considerados todos os envolvidos na consecução do projeto empresarial, ou seja, as diversas categorias de acionistas, credores, empregados, investidores, governo e a comunidade em que ela atua. Com efeito, o acionista controlador também se beneficia com a adoção das boas práticas de governança na sociedade, uma vez que tais práticas agregam valor administrativo e gerencial à companhia.
Entendem-se como posturas essenciais para a boa governança corporativa a integridade ética, permeando todos os sistemas de relações internas e externas, o senso de justiça, no atendimento das expectativas e das demandas de todos os “constituintes organizacionais”; a exatidão na prestação de contas, fundamental para a confiabilidade na gestão; a conformidade com as instituições legais e com os marcos regulatórios [...]; e a transparência, dentro dos limites [...]. (ROSSETTI, 2009, p. 142).
Rossetti (2009) enfatiza ainda que umas das mais importantes dimensões da governança corporativa são os seus valores, que lhe dão sustentação, e amarram concepções, práticas e processos de alta gestão: disclosure (transparência), fairness (senso de justiça, equidade), accountability (prestação responsável de contas) e compliance (obediência às leis).
King (2013) afirma que atualmente fala-se do contexto triplo do negócio – a área de negócio das organizações não pode estar interessada simplesmente nas linhas de fundo. Em vez disso, as empresas devem viver no contexto triplo das finanças, da sociedade e do meio ambiente.
Ainda, segundo King (2013), o impacto do contexto triplo é enorme. As organizações precisam mostrar aos investidores que eles são bons cidadãos corporativos e que têm a capacidade de sobreviver em um século de mudança e turbulência, além de integrar a sustentabilidade ambiental em seus relatórios.
Pela grande quantidade de códigos existentes, na Governança Corporativa, foram selecionados, para essa pesquisa, os códigos de acordo com o grau de relevância na área e a aderência ao tema considerando o cenário internacional e o nacional.
a partir desse contexto que desponta a governança de TI como uma tentativa de garantir que o dinheiro investido em tecnologia esteja agregando valor à organização. Destaque-se que em uma série de publicações, especialmente após a quebra de grandes empresas norte-americanas por fraudarem seus relatórios financeiros, a Governança de TI (GTI) aparece como um meio de justificar e, principalmente, otimizar os investimentos realizados em TI (DE HAES e VAN GREMBERGEN, 2004).
Diferentes pesquisas têm levantado indícios que empresas com bons modelos de Governança de TI apresentam resultados superiores aos de seus concorrentes, especialmente, porque tomam decisões consistentes sobre a TI (WEILL, 2004; WEILL e ROSS, 2004a). Mecanismos como a presença de comitês, a participação da área de tecnologia na formulação da estratégia corporativa, bem como os processos de elaboração e aprovação de orçamentos e projetos de TI são apenas alguns mecanismos que procuram encorajar um comportamento consistente da organização, buscando sempre alinhar os investimentos de TI com a missão, estratégia, valores e cultura organizacional (WEILL e ROSS, 2005).
Como a TI tem sido amplamente apontada como um dos principais componentes das grandes organizações, a governança de TI torna-se um assunto de grande relevância para a alta administração. Os riscos referentes às tecnologias adotadas, assim como o seu desempenho, a sua relação com as estratégias corporativas e, ainda, as políticas e responsabilidades ligadas à TI certamente irão afetar a organização, em uma maior ou menor proporção. Uma simples quebra de segurança, um erro ou um ataque de vírus já são suficientes para causar um sério prejuízo financeiro, e de reputação e imagem à organização (HARDY, 2006).
Segundo King (2013) a governança corporativa ao redor do mundo está promovendo o conceito de relatórios integrados. É um conceito cujo tempo chegou. Os relatórios corporativos do último século não atendem os propósitos atuais e não direcionam decisões conscientes por parte dos investidores em relação à capacidade das organizações de criar valor sustentado no nosso mundo.
Segundo Gartner (2012) “O board, ou Conselho de Administração, das empresas está
Dado o direcionamento dos investimentos, identificado na pesquisa do instituto Gartner (2012), e a necessidade contínua de prestação de contas e transparência nas organizações, faz-se necessária uma integração entre a Governança Corporativa e a Governança de Tecnologia da Informação, devidamente direcionada pela alta administração da organização, principalmente com atuação do Conselho de Administração, uma vez que a Governança de Tecnologia da Informação agregará mais valor se estiver norteada pelos objetivos estratégicos da organização.
Na maioria dos códigos de Governança Corporativa pesquisados não existem princípios relacionados à Governança de Tecnologia da Informação. Da mesma forma, nas normas e frameworks de Governança de Tecnologia da Informação não se define qual a sua relação com a Governança Corporativa. Foi identificado apenas um modelo integrado de Governança Corporativa e de Governança de TI, utilizado no governo sul-africano, mas que não foi aderente aos objetivos dessa pesquisa.
1.1 REVISÃO DA LITERATURA
Nesta revisão, foi adotada a cronologia organizada por teorias relacionadas aos temas principais: Governança Corporativa e Governança de Tecnologia da Informação. Foi realizado, entre junho e julho de 2012, um levantamento das principais publicações pertinentes ao tema e que foram pesquisadas em bases científicas nacionais e internacionais, utilizando-se expressões simples e compostas, nas Línguas Portuguesa e na Língua Inglesa conforme apresentado nas Tabelas 1 e 2. As pesquisas com palavras-chave simples tiveram o objetivo de explorar os temas de forma isolada, para compreensão de cada tipo de Governança, desde os aspectos históricos até os códigos, normas e frameworks mais modernos. Na pesquisa com palavras-chave
compostas, o pesquisador buscou possíveis relações entre a Governança Corporativa e de Tecnologia da Informação a fim de identificar códigos ou tendências de atuação conjunta dessas Governanças.
A principal base científica pesquisada foi a Coordenação de Aperfeiçoamento de Pessoal de Nível Superior – CAPES, que disponibiliza o Portal de Periódicos (www.periodicos.capes.gov.br), uma biblioteca virtual que reúne e disponibiliza a instituições de ensino e pesquisa no Brasil um acervo de mais de 29 mil títulos com texto completo. Segundo CAPES (2013), o Portal de Periódicos foi lançado em novembro de 2000 e é uma das maiores bibliotecas virtuais do mundo, reunindo conteúdo científico de alto nível disponível à comunidade acadêmico-científica brasileira. Permite, ainda, acesso a 130 bases referenciais, nove bases dedicadas exclusivamente a patentes, além de livros, enciclopédias e obras de referência, normas técnicas, estatísticas e conteúdo audiovisual. A Universidade Católica de Brasília (UCB) possui convênio com a CAPES, o que garante a seus alunos o acesso aos artigos disponibilizados na área reservada do portal.
Para realização das buscas no portal da CAPES, foram selecionadas as seguintes bases para pesquisas: ScienceDirect, Cambrigde Journal e Scielo. Foram feitas, ainda, buscas no
Tabela 1 – Pesquisa com palavras-chave simples
Palavras-Chave Simples CAPES Scielo Cambridge Journals Scholar Science Direct
Governança Corporativa 260 49 9710 177
Corporate Governance 61575 96 4060 436000 17273 Information Technology
Governance 246 8 11 2490 30744
Governança de TI 17 5 945 5
Governança de Tecnologia da
Informação 3 5 253 1
IT Governance 355 352 360942 29900 57452
Fonte: Elaborado pelo autor
Tabela 2 – Pesquisa com palavras-chave compostas
Palavras-Chave
Compostas CAPES Scielo Cambridge Journals Scholar Science Direct
Governança Corporativa e
Governança de TI 3 0 0 51 21
Corporate Governance and
IT Governance 89 0 21 141 115
Fonte: Elaborado pelo autor
Dentre os resultados obtidos, identificou-se um elevado número de publicações sobre Governança Corporativa. As publicações abordam a necessidade de atender os pilares fundamentais da Governança Corporativa, principalmente, os relativos à prestação de contas e transparência. Além disso, foram identificadas publicações que enfocam a responsabilidade social e ambiental das organizações e a ética, principalmente no setor privado. A maioria das publicações de Governança Corporativa relaciona-se ao setor privado.
Ainda com relação à Governança Corporativa, após a pesquisa com palavras-chave, foi explorado o site do Instituto Europeu de Governança Corporativa (ECGI –European Corporate Governance Institute), uma associação científica sem fins lucrativos que tem por finalidade
fornecer um fórum de debate e diálogo entre acadêmicos, legisladores e profissionais, com foco nas principais questões de Governança Corporativa e, assim, promover as melhores práticas de Governança. No portal do instituto (http://www.ecgi.org/codes/all_codes.php), são
disponibilizados códigos de Governança Corporativa de todo mundo.
Com relação às pesquisas acerca da Governança de TI, identificou-se uma ênfase na implantação da Governança a fim de estabelecer maior controle e alinhamento com a área de negócio das organizações.
identificada uma integração entre a Governança Corporativa e a Governança de Tecnologia da Informação, tão pouco um código/framework que contemplasse as duas governanças.
No início de 2013, em continuidade à pesquisa, foi identificado um modelo integrado de Governança Corporativa e Governança de TI, aplicado no governo da África do Sul. O modelo foi estudado em sua totalidade a fim de se identificar os pontos positivos e negativos de sua proposição aos objetivos desta pesquisa.
1.2 FORMULAÇÃO DO PROBLEMA
Segundo TCU (Brasil, 2012), em outubro de 2012, o TCU – Tribunal de Contas da União fez uma pesquisa, envolvendo 337 instituições públicas, e constatou uma evolução de 38% para 50% das instituições com estágio intermediário na implantação de Governança de TI, demonstrando evolução constatada na última pesquisa do TCU que evidenciava 54% dos órgãos em estado inicial, dos quais 34% continuam neste estágio na pesquisa de 2012. Ainda de acordo com essa pesquisa, a evolução da área pública na implantação de Governança de TI deve-se, em parte, à atuação da Alta Administração que é responsável pela avaliação e estabelecimento das políticas de Governança, gestão e uso corporativo de TI em 64%. Apesar do envolvimento da Alta Administração nas definições políticas, a pesquisa afirma que apenas 34% dos órgãos realizam avaliação e monitoramento. Assim sendo, o envolvimento da Alta Administração, atualmente, é direcionamento em sua maioria apenas à definição política, não havendo uma conexão mais consistente, que possa direcionar a Governança de TI conforme os objetivos estratégicos do órgão.
Segundo Masson, Junior, Pereira (2013), com relação ao setor privado, conforme pesquisa realizada no primeiro semestre de 2013, por mestrandos do curso de Gestão do Conhecimento e da Tecnologia da Informação, da Universidade Católica de Brasília, identificou-se que as empresas privadas têm um direcionamento para estabelecer seu próprio modelo de governança corporativa, enquanto que na Governança de TI, a maioria das empresas não utiliza nenhum
framework, ou seja, não tem Governança de TI.
Nenhuma das pesquisas realizadas identificaram uma integração entre a governança corporativa e governança de TI, nem no setor público, nem no privado.
O problema identificado nesta pesquisa foi a falta de integração da Governança Corporativa com a Governança de TI. Nenhuma das pesquisas avaliadas identificou algum tipo de integração em que a Governança Corporativa pudesse direcionar a Governança de TI, fazendo com que a TI atuasse conforme os objetivos corporativos e estratégicos da empresa. Dado o direcionamento dos investimentos, identificado na pesquisa do instituto Gartner (2012), e a necessidade contínua de prestação de contas e transparência nas organizações, essa integração entre a Governança Corporativa e a Governança de Tecnologia da Informação faz-se necessária, faz-sendo devidamente direcionada pela alta administração da organização, com atuação decisiva do Conselho de Administração, uma vez que a Governança de Tecnologia da Informação agregará mais valor se estiver norteada pelos objetivos estratégicos da organização.
1.3 QUESTÃO DE PESQUISA
Baseado nas reflexões do problema de pesquisa, estabelece-se a seguinte questão: É viável a proposição de diretrizes para um modelo de governança único que integre a governança corporativa e a governança de TI de empresas setor privado e público do cenário nacional?
1.4 RELEVÂNCIA DO ESTUDO
Segundo Infoexame (2013), um estudo, baseado em uma pesquisa com 1256 empresas e executivos de TI em todo o mundo, aponta que a tecnologia da informação continuará a ser um elemento estratégico para as empresas durante os próximos anos e que mais de 80% das companhias brasileiras pesquisadas afirmam que a tecnologia é um fator muito importante para o sucesso nos negócios.
TI tem sido apontada como uma das causas de resultados adversos de investimentos em TI (LAURINDO, 2001).
As informações obtidas nesse levantamento não deixam margem à dúvida de que a situação da GTI na Administração Pública Federal (APF) ainda se encontra em estado precário e pode-se inferir que a adoção dos conceitos de GTI pela APF ainda é incipiente. [...] há instituições que geram recursos orçamentários substanciais e que não demonstraram boa Governança de TI no presente levantamento, o que sugere maior risco na gestão do dinheiro público (BRASIL, 2010e).
AgenciaBrasil (2012) afirma em entrevista com o Ministro da Ciência e Tecnologia, Marco Antonio Raupp, que o governo espera, em quatro anos, que os investimentos do setor privado em inovação, ciência e tecnologia atinjam as mesmas cifras do que é aplicado pelo setor público. Hoje, os investimentos das empresas representam 0,55% do Produto Interno Bruto (PIB) do país, enquanto o governo injeta o equivalente a 0,61% do PIB. Segundo IDC (2012), os gastos mundiais com TI, em 2013, devem ultrapassar US$ 2,1 trilhões, o que representa um crescimento de 5,7% em relação ao investimento de 2012, de acordo com projeção da IDC. Já nos mercados emergentes, a consultoria avalia que as despesas com TI terão alta de 8,8%, ultrapassando a casa dos US$ 730 bilhões. Os países que compõem o chamado BRIC (Brasil, Rússia, Índia e China) deverão continuar a dominar os investimentos em TI entre os países emergentes, sendo que a China será responsável por mais de um quarto dos gastos.
Gartner (2013) afirma que o investimento mundial em TI deve subir 4,2 por cento em 2013, para 3,7 trilhões de dólares, uma aceleração ante o crescimento de 1,2 por cento estimado para o ano passado.
1.5 OBJETIVOS
1.5.1 OBJETIVO GERAL
Elaborar diretrizes para a criação de um modelo de governança único que integre a Governança Corporativa e a Governança de TI em empresas privadas e empresas estatais do cenário brasileiro.
1.5.2 OBJETIVOS ESPECÍFICOS
- Identificar códigos de Governança Corporativa que contemplem a Governança de Tecnologia da Informação;
- Identificar frameworks de Governança de Tecnologia da Informação que tenham relação com códigos de Governança Corporativa;
- Propor diretrizes para modelo de governança único que integre a Governança Corporativa e a Governança de TI em empresas privadas e empresas estatais do cenário brasileiro;
2. REFERENCIAL TEÓRICO
2.1 GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO
De acordo com Weill e Ross (2006), “as empresas administram muitos ativos – pessoas, dinheiro, instalações e o relacionamento com os clientes, mas a informação e as tecnologias que coletam, armazenam e disseminam informações talvez sejam os ativos que lhes causem maior perplexidade.” Em um cenário onde a gestão de negócios sofre mudanças constantes, a gestão da informação tende a ser um fator crucial e, muitas vezes, a gestão da TI não acompanha a mudanças que os negócios necessitam.
Segundo Gartner (2012) “O board, ou Conselho de Administração, das empresas está
priorizando os gastos com TI, assim como os investimentos feitos em vendas. TI e vendas estão lado a lado entre as prioridades de 175 membros da diretoria de companhias, especialmente nos Estados Unidos e no Reino Unido”. Ainda de acordo com o Gartner (2012), “Dos Conselhos de Administração entrevistados na pesquisa, 90% disseram que TI é uma ‘contribuição estratégica’ para as operações da empresa e que o investimento em Tecnologia da Informação aumentaria consideravelmente até 2014. Metade dos ouvidos pelo levantamento concorda que a TI pode ‘mudar as regras da concorrência’ em seus setores. Os membros do Conselho estão cada vez mais interessados em diversificar as ofertas das linhas de negócios. CIOs (Chief Information Officer –Diretores de TI) e outros gerentes de TI deverão dedicar mais tempo para
analisar suas estratégias e pensar em novas tecnologias e sistemas.”
A Governança de TI vem ao encontro da necessidade de aumento de produtividade por meio do uso de tecnologias e de mecanismos que permitam definir com clareza os objetivos, alinhados à estratégia da empresa, e acompanhar e avaliar os resultados, além de estabelecer responsáveis pela tomada de decisão, com uma prestação de contas transparente. Essas características impulsionam o uso de Governança de TI nas empresas no atual cenário competitivo do mercado, a fim de alcançarem os objetivos estratégicos projetados pela alta Administração e alavancar os resultados do negócio.
ABNT (2009) afirma que “a maioria das organizações usa a TI como uma ferramenta fundamental de negócios e poucas podem funcionar de forma eficaz sem ela. A gestão eficaz de TI é um fator importante nos planos de negócios futuros de muitas organizações.”
estratégias de negócio e no papel da TI em concretizá-las, na mensuração e gerenciamento do que se gasta e ganha com a TI, na atribuição das responsabilidades pelas mudanças organizacionais necessárias para tirar proveito dos novos recursos de TI e no aprendizado com cada implementação, tornando-se mais hábeis em compartilhar e reutilizar seus ativos de TI”.
A Governança de TI é um modelo de gestão que engloba as características abordadas por Weill e Ross (2006) nas empresas com alto resultado no retorno de investimentos em TI e propicia aos Conselhos de Administração um alinhamento estratégico e a responsabilidade na execução das iniciativas de TI conforme suas expectativas.
Weill e Ross (2006) definem Governança de TI como a especificação dos direitos decisórios e do framework de responsabilidades para estimular comportamentos desejáveis na
utilização de TI.
Segundo o ITGI (2010), “Governança de TI é uma parte integrante da Governança Corporativa, e consiste na liderança e estrutura organizacional e de processos que garantem que a Tecnologia de Informação sustente e expanda os objetivos e estratégias da empresa”.
A ABNT (2009) define Governança de TI como “sistema pelo qual o uso atual e futuro da TI é dirigido e controlado para dar suporte à organização e monitorar seu uso para realizar seus planos”.
Fernandes (2012) afirma que o principal objetivo da Governança de TI é alinhar a TI aos requisitos de negócio, considerando soluções de apoio ao negócio, assim como a garantia da continuidade dos serviços e a minimização da exposição do negócio aos riscos de TI.
2.1.1 NORMA ABNT NBR ISO/IEC 38500
Segundo ABNT (2009) a norma ABNT NBR ISO/IEC 38500:2009 foi publicada em 2009 e teve seu desenvolvimento alinhado com as definições de Governança Corporativa publicadas no relatório do Comitê de Aspectos Financeiros de Governança Corporativa, o Relatório Cadbury, publicado em 1992. O mesmo relatório forneceu a definição dos princípios de Governança Corporativa para a fundação da Organização para a Cooperação e Desenvolvimento Econômico (OCDE) em 1999.
organizações, incluindo empresas públicas e privadas de qualquer porte, entidades governamentais e não-lucrativas independentemente da extensão de seu uso de TI.
Ainda de acordo com a ABNT (2009), o objetivo principal desse padrão é prover um
framework de princípios direcionados a gestores para usá-los na avaliação, monitoramento e
direcionamento do uso da Governança de TI em suas empresas. Além de promover o uso eficaz e aceitável de TI em todas as empresas, pelas partes interessadas, assegurando que, se o padrão for seguido, elas podem ter confiança na Governança Corporativa de TI da sua empresa.
As despesas relacionadas com TI nas empresas podem representar uma grande fatia do todo e vêm crescendo gradativamente nos últimos anos. No entanto, o retorno sobre os investimentos realizados em TI nem sempre é alcançado conforme a expectativa da alta Administração das empresas. Dentre os fatores críticos para se alcançar os resultados esperados, pode-se destacar a ênfase em aspectos técnicos, financeiros e no cronograma de atividades de TI, em vez de se focar no contexto estratégico e de negócio do uso de TI.
A norma é baseada em seis princípios e um modelo que podem ser utilizados em qualquer empresa, oferecendo as diretrizes básicas para a implementação de uma Governança de TI eficaz.
1. Responsabilidade:
O princípio aborda o entendimento e aceitação das responsabilidades relacionadas à TI, tanto a grupos, quanto a indivíduos da empresa. Diretores devem avaliar as opções para a garantia de responsabilidades do uso atual e futuro de TI na empresa. O plano deve ser direcionado e monitorado continuamente para que os responsáveis possam prestar contas de forma objetiva a transparente à direção.
2. Estratégia:
A estratégia de negócios é focada na capacidade atual e futura da TI da empresa. Os planos estratégicos de TI devem satisfazer às necessidades atuais e contemplar as necessidades futuras da empresa relacionadas ao uso de TI. Na elaboração das estratégias, os diretores devem realizar uma eficiente gestão de riscos, prevendo ameaças e oportunidades para o uso de TI.
3. Aquisição:
4. Desempenho:
Nesse princípio, o foco é direcionado à garantia de que o uso de TI apoiará os processos de negócio de acordo com a capacidade necessária. A qualidade e o desempenho são mensurados para garantir que haja recursos suficientes para atender as necessidades da empresa, de acordo com os níveis de serviços acordados.
5. Conformidade:
Necessidade de garantir que o uso de TI satisfaça as obrigações (regulamentos, legislação, leis e contratos), políticas internas, padrões e diretrizes. Este princípio zela pela contínua conformidade interna da empresa com os sistemas de Governança de TI. Além das obrigações, o princípio ainda sugere que o plano direcione as ações de TI de maneira ética.
6. Comportamento.Humano:
Princípio voltado para a definição de políticas, práticas e decisões de TI que demonstrem respeito pelo comportamento humano, incluindo as necessidades atuais e em evolução de todas as pessoas envolvidas com o uso de TI na empresa. As políticas devem garantir que comportamentos humanos sejam identificados e, apropriadamente, considerados nos processos.
O ciclo de vida de cada um dos princípios citados acima é direcionado pela alta administração de acordo com o modelo de Governança Corporativa de TI da norma apresentado na Figura 1.
Figura 1 – Modelo de Governança da ABNT NBR ISO/IEC 38500
O modelo é divido em três elementos chave: Avaliar, Direcionar e Monitorar, descritos abaixo:
Avaliar:
Os diretores examinam e julgam o uso atual e futuro de TI na empresa, incluindo estratégias e propostas, e considerando pressões internas e externas que influenciam os negócios, e, direta ou indiretamente, proporcionam alteração de Tecnologias, economia e influências políticas.
Direcionar:
Esse elemento retrata a responsabilidade dos diretores pelo desenvolvimento e implantação de planos e políticas, direcionando investimentos em projetos e operações de TI.
Monitorar:
Os diretores têm por responsabilidade o monitoramento do desempenho de TI com os sistemas de mensuração mais apropriados. O planejamento para mensurar o desempenho deve estar alinhado com os objetivos de negócio.
2.1.2 MODELO DE WEILL E ROSS
A definição de Governança de TI de Peter Weill e Jeane Ross tem sua fundamentação baseada na tomada de decisão relativa à Tecnologia da Informação, ou seja, a Governança determina, acima de tudo, quem toma as decisões (WEILL e ROSS, 2006).
De acordo com Weill e Ross (2006), “o lado comportamental da Governança de TI define os comportamentos formais e informais e confere direitos decisórios a indivíduos ou grupos de indivíduos específicos. O lado normativo define mecanismos, formalizando os relacionamentos e estabelecendo regras e procedimentos operacionais para assegurar que os objetivos sejam atingidos.”
Ainda de acordo com Weill e Ross (2006), uma Governança de TI eficaz deve tratar de três questões:
1. Quais decisões devem ser tomadas para garantir a gestão e uso eficazes de TI? 2. Quem deve tomar essas decisões?
3. Como essas decisões devem ser tomadas e monitoradas?
O framework proposto pelos autores responde às duas primeiras perguntas com uma Matriz de
Figura 2 – Matriz de Arranjo de Governança de TI
Fonte: WEILL E ROSS (2006) adaptado pelo autor.
Weill e Ross (2006) define a Matriz de Arranjos por meio de uma representação baseada na inter-relação das cinco decisões-chave (colunas) e seus possíveis arquétipos (linhas) para especificar o processo decisório. As cinco decisões-chave, que buscam fazer da TI um ativo estratégico da empresa, são:
Princípios de TI: esclarece o papel de negócio da TI. Define como a TI é utilizada no negócio. Os princípios de TI devem definir o comportamento desejável tanto para profissionais como para usuários de TI.
Arquitetura de TI: define os requisitos de padronização e integração de processos na empresa de acordo com o papel da TI no negócio. É a organização lógica dos dados, aplicações e infraestruturas, definida a partir de um conjunto de políticas, relacionamentos e opções técnicas adotadas para obter a padronização e a integração técnicas e de negócio desejadas.
Infraestrutura de TI: é a base da capacidade planejada de TI disponível para todo o negócio, na forma de serviços compartilhados e confiáveis, e utilizada por aplicações múltiplas.
Investimentos e Priorização de TI: escolha das iniciativas que terão apoio financeiro e com quanto recurso elas contarão. As decisões sobre investimento em TI enfrentam três dilemas: Quanto gastar? Em que gastar? Como conciliar as necessidades de diferentes grupos de interesse?
Além das decisões-chave, a Figura 2 aborda os arquétipos para especificar os direitos decisórios na Governança de TI. Cada arquétipo identifica o tipo de grupo envolvido na tomada de decisão de TI:
Monarquia de Negócio: Grupo de executivos de negócios ou executivos individuais.
Monarquia de TI: os profissionais de TI, isoladamente, tomam as decisões de TI. .
Feudalismo: Líderes das unidades de negócio da empresa, detentores de processos-chave ou seus representantes. Tem foco nas necessidades locais de silos isolados na empresa.
Federalismo: Executivos do nível de diretoria e grupos de negócio. Inclui executivos de TI como participantes adicionais. .
Duopólio de TI: As decisões representam o consenso bilateral entre executivos de TI e algum outro grupo (executivos de negócio, líderes de unidade de negócio ou de processos).
Anarquia: Indivíduos ou pequenos grupos tomam suas decisões com base em necessidades locais.
Weill e Ross (2006) afirma que a matriz de arranjos organiza os tipos de decisões e os arquétipos do processo decisório. Porém, a terceira questão de Governança – como as decisões serão tomadas e monitoradas – requer a formulação e implementação de mecanismos de Governança, como comitês, funções e processos formais. O framework de Governança de TI
Figura 3 – Framework de Governança de TI (WEILL e ROSS)
Fonte: WEILL E ROSS (2006)
2.1.3 FRAMEWORK COBIT 4.1
De acordo com ITGI (2010), o framework de governança de TI, COBIT® (Control Objectives for Information and Related Technology – Objetivos de Controle para Tecnologia
da Informação e Tecnologias Relacionadas), elaborado pelo Instituto de Governança de TI (ITGI –IT Governance Institute), fornece boas práticas por meio de um modelo de domínios e
processos e apresenta atividades em uma estrutura lógica e gerenciável. As boas práticas do COBIT representam o consenso de especialistas. Elas são mais focadas nos controles e menos na execução. Essas práticas irão ajudar a otimizar os investimentos em TI, assegurar a entrega dos serviços e prover métricas para avaliar quando as coisas saem erradas.
A primeira versão do COBIT foi lançada em 1996 pela ISACA (Information Systems Audit and Control Association - Associação de Auditoria e Controle de Sistemas de
Oxley Act (Lei Sarbanes Oxley) foi aprovada, impulsionando a adoção do COBIT nos Estados
Unidos. Por fim, em 2005, a quarta versão do COBIT foi lançada tendo como diferencial a melhoria dos controles a fim de garantir a segurança e a disponibilidade dos ativos de TI das organizações. Em 2007, uma revisão da quarta versão foi lançada com a nomenclatura de COBIT 4.1, incluindo mudanças na descrição dos objetivos e no cascateamento dos processos em relação ao negócio, e processos gerais de TI.
Ainda, de acordo com o ITGI (2010), “A Governança de TI é de responsabilidade dos executivos e da alta direção, consistindo em aspectos de liderança, estrutura organizacional e processos que garantam que a área de TI suporte e aprimore os objetivos e as estratégias da organização”.
O sucesso na entrega de serviços de TI às áreas de negócio está vinculado à implantação de um sistema interno de controles pelos executivos da organização. Nesse sentido, o COBIT contribui, provendo métricas e modelos de maturidade para medir a eficácia da Governança de TI na organização, realizando o alinhamento entre TI e negócio, com a transparência dos papéis, além de buscar a maximização dos benefícios, responsabilidade no uso dos recursos de TI e uma gestão de riscos gerenciada apropriadamente.
O ITGI (2010) afirma que “A mensuração do desempenho é essencial para a Governança de TI. Isto é suportado pelo COBIT, que inclui a definição e o monitoramento dos objetivos de mensuração. Muitas pesquisas identificaram a falta de transparência dos custos, do valor e dos riscos de TI como uma das mais importantes metas da Governança de TI. Embora outras áreas de foco contribuam, a transparência é primariamente atingida através da medição de desempenho.”. Segundo o COBIT 4.1, as áreas de foco da Governança de TI são apresentadas conforme a Figura 4.
Figura 4 – Áreas de Foco na Governança de TI
Os processos do COBIT são subdivididos em quatro domínios e 34 processos, alinhados com as áreas responsáveis por Planejar, Construir, Executar e Monitorar, provendo uma visão total da área de TI. Segundo ITGI (2010), “para que a Governança de TI seja eficiente, é importante avaliar as atividades e riscos da TI que precisam ser gerenciados. Geralmente, eles são ordenados por domínios de responsabilidade de planejamento, construção, processamento e monitoramento.” No modelo COBIT, esses domínios são denominados:
Planejar e Organizar (PO): Provê direção para entrega de soluções (AI) e entrega de serviços (DS);
Adquirir e Implementar (AI): Provê as soluções e as transforma em serviços;
Entregar e Suportar (DS): Recebe as soluções e as torna passíveis de uso pelos usuários finais;
Monitorar e Avaliar (ME): Monitora todos os processos para garantir que a direção definida seja seguida.
A Figura 5 apresenta os quatro domínios de processos.
Figura 5 – Quatro domínio inter-relacionados do COBIT
Fonte: ITGI (2010)
Poucas empresas terão necessidade da aplicação dos 34 processos listados no COBIT 4.1. Assim, apesar de os processos serem utilizados para verificar a totalidade das atividades e responsabilidades na Governança de TI das organizações, os processos podem ser combinados e utilizados de acordo com a necessidade de cada organização. Cada processo tem uma relação com os objetivos de negócio e os de TI, assim como informações sobre os indicadores de medição, atividades-chave, as principais entregas e o responsável por cada uma delas.
apropriadamente gerenciados e controlados com base nos objetivos de controle do COBIT, bem como alinhados e monitorados usando seus objetivos e métricas”. Os recursos de TI são administrados pelos processos de TI, identificados pela organização, necessários para alcançar os objetivos de TI que respondem aos requisitos de negócio. Esse é o princípio do modelo, representado na Figura 6 pelo Cubo do COBIT.
Figura 6 – Cubo do COBIT
Fonte: ITGI (2010)
Dentre os processos do COBIT 4.1, no domínio Monitorar e Avaliar (ME), destaca-se o processo ME4 (Prover Governança de TI). De acordo com a ITGI (2010), esse processo tem por finalidade o estabelecimento de uma efetiva estrutura de Governança que envolve a definição das estruturas organizacionais, dos processos, da liderança, dos papéis e respectivas responsabilidades para assegurar que os investimentos corporativos em TI estejam alinhados e sejam entregues em conformidade com as estratégias e os objetivos da organização.
Segundo ITGI (2010), o processo ME4 é subdivido em sete objetivos de controle: 1. ME4.1 Estabelecimento de uma Estrutura de Governança de TI
Definir, estabelecer e alinhar a estrutura de Governança de TI com a Governança organizacional e o ambiente de controle. Basear a estrutura em processos e modelos de controle de TI adequados e implementar práticas e responsabilidades claras para evitar falhas de controle interno e supervisão. Certificar-se de que a estrutura de Governança de TI assegura a conformidade com leis e regulamentos, está alinhada com as estratégias e os objetivos da organização e corresponde a tais estratégias e objetivos. Produzir relatórios sobre o status da Governança de TI e questões relacionadas.
2. ME4.2 Alinhamento Estratégico
entendimento compartilhado entre o negócio e a TI quanto ao potencial de contribuição de TI com a estratégia de negócio. Trabalhar com o Conselho de Administração para definir e implementar as estruturas de Governança, como um comitê de estratégia de TI, para dar direção estratégica ao gerenciamento relativo à TI, assegurando que a estratégia e os objetivos sejam propagados de cima para baixo nas unidades de negócio e nas funções de TI e que o crédito e a confiança sejam desenvolvidos entre o negócio e a TI. Permitir o alinhamento de TI ao negócio no que tange à estratégia e à operação, incentivando a corresponsabilidade entre o negócio e a TI para tomar decisões estratégicas e obter os benefícios dos investimentos em TI.
3. ME4.3 Entrega de Valor
Gerenciar os programas de investimentos e demais recursos e serviços de TI para assegurar que eles forneçam o maior valor possível no suporte aos objetivos e estratégia do negócio. Assegurar que sejam alcançados os resultados esperados pelo negócio quanto aos investimentos de TI, que o escopo completo de esforços necessários para o alcance desses resultados seja entendido, que estudos de caso abrangentes e consistentes sejam criados e aprovados pelas partes interessadas, que os ativos e investimentos sejam gerenciados durante seus ciclos de vida econômicos, que exista o gerenciamento ativo da realização dos benefícios (como contribuição com os novos serviços, ganhos de eficiência e resposta rápida para as demandas do cliente). Impor uma abordagem disciplinada de gerenciamento de portfólio, programas e projetos, insistindo que o negócio tenha responsabilidade sobre todos os investimentos de TI e assegurando que a TI otimize os custos da disponibilização dos serviços e da capacidades da TI.
4. ME4.4 Gerenciamento de Recursos
Supervisionar o investimento, o uso e a alocação dos recursos de TI por meio de avaliações periódicas das iniciativas e operações de TI, visando assegurar a existência de recursos suficientes e o alinhamento com objetivos estratégicos e necessidades de negócios atuais e futuras.
5. ME4.5 Gestão de Riscos
6. ME4.6 Medição de Desempenho
Confirmar se os objetivos acordados de TI foram atingidos ou excedidos ou se o progresso na direção dos objetivos de TI atende às expectativas. Quando os objetivos acordados não forem atingidos ou o progresso não for como esperado, deve-se revisar as ações de correção. Regularmente, deve-se reportar para a Alta Direção os portfólios, programas e o desempenho de TI relevantes, suportados por relatórios que permitam à Alta Direção revisar o progresso da organização no que diz respeito aos objetivos definidos.
7. ME4.7 Avaliação Independente
Obter avaliação independente (interna ou externa) sobre a conformidade de TI com leis e regulamentos relevantes, como políticas padrões e procedimentos organizacionais, com práticas geralmente aceitas e o efetivo e eficiente desempenho de TI.
A matriz de responsabilidade do processo ME4 define o CEO (Chief Executive Officer
– Presidente) como principal responsável pelo processo, e o Conselho de Administração (Board) da empresa, como responsável pela prestação de contas. O processo é responsável por
integrar a Governança de TI aos objetivos de Governança Corporativa e ter conformidade com leis, regulamentações e contratos, preparando relatórios gerenciais sobre estratégia, o desempenho e os riscos de TI e atender aos requisitos de Governança em alinhamento com as diretrizes da Alta Direção.
2.1.4 FRAMEWORK COBIT 5
Segundo ISACA (2012), a quinta versão do COBIT foi lançada em 2012, cinco anos após a versão anterior, o release da quarta versão, chamada de COBIT 4.1. A Figura 7
demonstra a evolução do framework, por meio de suas versões e suas principais características,
Figura 7 – Evolução do COBIT
Fonte: ISACA (2012)
O COBIT 5 fornece um framework de linguagem comum que auxilia as empresas no
alcance de seus objetivos de Governança e gestão de TI. Em resumo, ajuda a empresa na criação de valor de TI pela manutenção do equilíbrio entre a realização dos benefícios e a otimização de níveis de risco e do uso dos recursos de TI. O COBIT 5 habilita a Governança e a gestão de TI de uma forma holística por toda a empresa, tendo o negócio e as áreas funcionais de TI contemplados fim-a-fim, considerando o interesse de TI de partes interessadas, internas e externas. O COBIT 5 é genérico e útil para empresas de todos os tamanhos, de fins comerciais, sem fins lucrativos, ou em setores públicos. O COBIT 5 é composto por 37 processos, divididos em cinco domínios(ISACA, 2012a).
2.1.4.1 Princípios do COBIT 5
A Figura 8 ilustra os cinco princípios do COBIT 5. Figura 8 – Princípios do COBIT 5
1. Identificar as necessidades das partes interessadas:
Empresas existem para criar valor para suas partes interessadas por meio da manutenção do equilíbrio entre a realização dos benefícios e a otimização dos riscos e do uso dos recursos de TI, conforme apresentado na Figura 9.
Figura 9 – Objetivo da Governança: Criação de Valor
Fonte: ISACA (2012)
O COBIT 5 fornece todos os processos requeridos e outros habilitadores para apoiar a criação de valor do negócio pelo uso adequado de TI. Porque toda empresa tem objetivos diferentes, a empresa pode customizar o COBIT 5 para atender seu próprio contexto por meio dos objetivos em cascata, traduzindo objetivos de alto nível da empresa em objetivos gerenciáveis, específicos, relacionados com a TI, e mapeá-los para processos e práticas específicas. A Figura 10 demonstra em detalhes a visão geral dos objetivos em cascata. Figura 10 – Visão Geral dos Objetivos em Cascata
2. Cobrir a empresa fim-a-fim:
O COBIT 5 integra a Governança de TI à Governança Corporativa da empresa. Nesse contexto, o framework abrange todas as funções e processos da empresa, não focando
apenas nas funções de TI, mas no tratamento da informação e tecnologias relacionadas como ativos da empresa. Considera todos os habilitadores de Governança Corporativa e de
TI, analisando a empresa de ponta a ponta, o que é importante para a Governança e gestão das informações e tecnologias relacionadas dentro da empresa.
3. Aplicar um framework único e integrado:
Existem vários padrões e boas práticas de TI, cada um fornecendo orientações e um subconjunto de atividades relacionadas à TI. O COBIT 5 realiza um alinhamento com outros padrões utilizados nas empresas a fim de incorporá-los para estabelecer um framework
único para Governança Corporativa e de TI. Dentre outros frameworks, o COBIT 5
alinha-se com padrões e boas práticas como o ITIL (Information Technology Infrastructure Library - Bilioteca de Infraestrutura da TI), ISO (International Organization for Standardization - Organização Internacional para Padronização), PMBoK (Project Management Body of Knowledge - Corpo de Conhecimento de Gestão de Projetos),
PRINCE2 (PRojects IN Controlled Environments – Projetos em Ambientes Controlados)
e TOGAF (The Open Group Architecture Framework - Grupo Aberto de Arquitetura de Framework).
4. Habilitar uma abordagem holística:
O COBIT 5 define um grupo de habilitadores para apoiar a implantação de uma Governança global e um sistema de gestão para a empresa. Os habilitadores auxiliam no alcance dos objetivos da empresa. O COBIT 5 define sete categorias de habilitadores (Figura 11):
1. Princípios, políticas e frameworks;
2. Processos;
3. Estruturas organizacionais; 4. Cultura, ética e comportamento; 5. Informação;
Figura 11 – Habilitadores do COBIT 5
Fonte: ISACA (2012)
5. Separar Governança de gestão:
O COBIT 5 deixa clara a distinção entre Governança e gestão. Estas duas disciplinas abrangem diferentes tipos de atividades, requerem diferentes estruturas organizacionais e servem para diferentes propósitos. O framework aborda a divisão entre a Governança e a gestão
de TI, sendo que a Governança de TI é parte da Governança Corporativa da empresa, e não é tratada de forma isolada como na versão anterior.
ISACA (2012a) aborda os processos de Governança em um domínio exclusivo do
framework chamado de EDM (Evaluate, Direct and Monitor), com cinco processos, que
asseguram que as necessidades das partes interessadas da empresa (stakeholders) sejam
avaliadas (Evaluated) para determinar o equilíbrio para alcançar os objetivos estratégicos;
definindo a direção (Direction) por meio de priorizações e tomada de decisão; e monitorando
(Monitoring) o desempenho e a conformidade. A gestão (PBRM – Plan, Build, Run and Monitoring) é definida como planos (Plan) que constroem (Build), executam (Run) e
monitoram (Monitoring) atividades alinhadas com o direcionamento baseado na Governança
Corporativa para atingir os objetivos estratégicos.
Figura 12 – Divisão de Governança e Gestão do COBIT 5
Fonte: ISACA (2012)
A figura 13 mostra por completo os 37 processos de Governança e gestão do COBIT 5. Figura 13 – Visão Geral dos Processos do COBIT 5
Fonte: ISACA (2012)
2.1.4.2 Gestão de TI: Domínios APO, BAI, MEA e DSS
Segundo ISACA (2012a) a gestão de TI do framework COBIT 5 contém quatro
e oferece abrangência fim-a-fim das operações de TI. Esses domínios são uma evolução do domínio e estruturas de processos do COBIT 4.1. Os nomes dos domínios são escolhidos de acordo com as designações das principais áreas, mas contêm mais verbos para descrevê-los. Abaixo, apresentação de cada domínio de gestão de TI e seus processos, segundo ISACA (2012):
1. Alinhar, Planejar e Organizar (APO –Align, Plan and Organize)
O domínio APO é responsável pelo planejamento da Gestão de TI e é dividido em 13 processos, descritos abaixo:
01. Gerenciar a estrutura de gerenciamento de TI: Esclarece e mantém a visão e missão da governança de TI da organização. Implementar e manter mecanismos e políticas de acesso para gerir a informação e o uso da TI na empresa conforme os objetivos da governança de TI, em consonância com seus princípios e políticas. Proporciona uma abordagem de gestão coerente para que os requisitos de governança da empresa possam ser cumpridos, abrangendo os processos de gestão, estruturas organizacionais, papéis e responsabilidades, atividades confiáveis e repetíveis, e as habilidades e competências.
02.Gerenciar estratégia: Fornece uma visão holística do negócio e ambiente de TI desejados, o direcionamento futuro, e as iniciativas necessárias à migração para o ambiente projetado. Tem o propósito de alinhar os planos de TI com os objetivos de negócio. Comunicar claramente os objetivos e responsabilidades de cada um, dentro da estratégia de TI, para que eles sejam compreendidos e assimilados por todos envolvidos.
04.Gerenciar inovação: Manter uma consciência e serviços de TI relacionados com as tendências de negócio, identificar oportunidades de inovação e planejar como se beneficiar da inovação em relação às necessidades do negócio. Analisar quais as oportunidades de inovação empresarial ou melhorias que possam ser criadas por tecnologias emergentes, serviços ou de inovação de negócios de TI. Influenciar o planejamento estratégico e as decisões de arquitetura de TI da empresa.
05.Gerenciar Portfólio: Executar o investimento da empresa conforme direcionamento estratégico considerando diferentes categorias de investimentos e os recursos e restrições de financiamento. Avaliar, priorizar e balancear programas e serviços, gestão de demanda dentro das restrições de recursos e de financiamento, o equilíbrio com base no seu alinhamento com os objetivos estratégicos da empresa. Monitorar o desempenho do portfólio de serviços e programas em consonância com o programa e desempenhos dos serviços ou alteração de prioridades da empresa.
06.Gerir o orçamento e custos: Administrar as atividades financeiras relacionadas com TI, abrangendo orçamento, custos, gestão de benefícios, e priorização dos gastos com o uso de práticas formais de orçamento e de um sistema justo e equitativo de alocação de custos para a empresa. Consultar as partes interessadas para identificar e controlar os custos e benefícios totais no contexto dos planos táticos e estratégicos de TI, iniciando ações corretivas quando necessário.
07.Gerir os recursos humanos: Otimizar as capacidades dos recursos humanos da empresa conforme objetivos estratégicos. Comunicar os papéis e responsabilidades definidas, planos de aprendizagem e crescimento, e as expectativas de desempenho.
08.Gerenciar relacionamentos: Gerenciar o relacionamento entre o negócio e TI de uma maneira formal e transparente, que garanta foco na realização de um objetivo comum, e compartilhada dos resultados empresariais bem-sucedidos em prol dos objetivos estratégicos e dentro da limitação dos orçamentos e tolerância ao risco.
TI, níveis de serviço e indicadores de desempenho. Certificar-se de que os serviços de TI e níveis de serviço atendam às necessidades empresariais atuais e futuras.
10.Gerenciar fornecedores: Gerenciar serviços relacionados à TI prestados por todos os tipos de fornecedores para atender as necessidades da empresa, incluindo a seleção de fornecedores, gestão de relacionamentos, gestão de contratos e revisão e monitoramento de desempenho de fornecedores conforme acordo de nível de serviço.
11.Administração de qualidade: Definir e comunicar os requisitos de qualidade em todos os processos, procedimentos e resultados relacionados aos objetivos da empresa, incluindo controles, monitoramento contínuo e uso de práticas comprovadas e padrões na melhoria contínua.
12.Gerenciar risco: Identificar, avaliar e reduzir os riscos relacionados à TI dentro dos níveis de tolerância estabelecidos pela diretoria executiva da empresa.
13.Gerenciar a segurança: Definir, operar e monitorar um sistema para gestão de segurança da informação.
2. Construir, Adquirir e Implementar (BAI – Build, Acquire and Implement)
O domínio BAI é responsável pela implementação da Gestão de TI e é dividido em 10 processos, descritos abaixo:
01.Gerenciar programas e projetos: Gerenciar todos os programas e projetos do portfólio em alinhamento com a estratégia da empresa.
03.Gerenciar e construir soluções: Estabelecer e manter soluções em conformidade com os requisitos da empresa abrangendo design, desenvolvimento, aquisição/terceirização e parcerias com fornecedores. Gerenciar configuração, testes, requisitos de gestão e manutenção dos processos de negócio, aplicações, informações/dados, infra-estrutura e serviços.
04.Gerenciar disponibilidade e capacidade: Equilibrar as necessidades atuais e futuras de disponibilidade, desempenho e capacidade de prestação de serviços com custo reduzido. Avaliar capacidades atuais, e prever necessidades futuras com base em requisitos, análise de impactos e avaliação de risco do negócio para planejar e implementar ações para atender as necessidades.
05.Gerenciar habilitação de mudança organizacional: Maximizar a probabilidade de implementar com sucesso a mudança organizacional sustentável em toda a empresa, de forma rápida e com risco reduzido, cobrindo o ciclo de vida completo da mudança e todas as partes interessadas afetadas no negócio e TI.
06.Gerenciar mudanças: Gerenciar todas as mudanças de maneira controlada, incluindo mudanças de padrão e manutenção de emergência relacionadas com os processos de negócio, aplicações e infraestrutura. Inclui procedimentos e padrões de mudança, avaliação de impacto, priorização e autorização, mudanças emergenciais, acompanhamento, elaboração de relatórios, encerramento e documentação.
07.Gerenciar a mudança na aceitação e transição: Aceitar e aplicar novas soluções operacionais, incluindo planejamento de implementação de sistema, conversão de dados, testes de aceitação, comunicação, preparação de lançamento, promoção para alteração ou produção de novos processos e serviços de TI, e uma revisão pós-implementação.
tomada de decisão. Plano para a identificação, coleta, organização, manutenção, utilização e retirada de conhecimento.
09.Gerenciar ativos: Gerenciar os ativos de TI por meio de seu ciclo de vida para se certificar de que o valor entregue esteja dentro de um custo reduzido, permanecerá operacional, esteja contabilizado e protegido fisicamente, e que os bens que são fundamentais para apoiar a capacidade de serviço sejam confiáveis e disponíveis. Gerenciar licenças de software para garantir que o número ideal seja adquirido, mantido e implementado em relação ao negócio, e que o software instalado esteja em conformidade com os acordos de licença.
10.Gerenciar configuração: Definir e manter as descrições e as relações entre os principais recursos e as capacidades necessárias para prestar serviços habilitados por TI, incluindo a coleta de informações de configuração, o estabelecimento de linhas de base, verificação e auditoria de informações de configuração e atualizar o repositório de configuração.
3. Entregar, Serviço e Suporte (DSS - Deliver, Service and Support)
O domínio DSS é responsável pela execução da Gestão de TI e é dividido em 06 processos, descritos abaixo:
01.Gerenciar operações: Coordenar e executar as atividades e procedimentos operacionais necessários para a entrega de serviços internos e terceirizados de TI.
02.Gerenciar solicitações de serviços e incidentes: Fornecer uma resposta rápida e eficaz às solicitações dos usuários e resolução de todos os tipos de incidentes. Restaurar o serviço normal; registrar e atender às solicitações dos usuários e registrar, investigar, diagnosticar, escalar e solucionar incidentes.
