Modelos de Governança de TI

Veja neste artigo os principais modelos de governança de TI que são aplicados em praticamente todas as organizações de médio e grande porte.

Existem modelos de referência que abordam a Governança de TI de forma mais abrangente, abordando os princípios e diretrizes tanto no que diz respeito à organização de TI quanto ao relacionamento com as demais organizações que fazem parte da cadeia (como os clientes e fornecedores).

Entre os modelos temos a norma ISO/IEC 38500 e os modelos da ISACA (Information Systems Audit and Control Association) como o Cobit, Val IT e o Risk IT.

Nas próximas seções veremos melhor cada um desses modelos de governança de TI.

ISO/IEC 38500 - Governança Corporativa de Tecnologia da Informação

A norma ISO/IEC 38500 tem como objetivo fornecer uma estrutura de princípios para os dirigentes utilizarem na avaliação, gerenciamento e no monitoramento do uso da tecnologia da informação nas suas organizações.

Para encontrar a norma basta visitar o site da Associação Brasileira de Normas Técnicas (ABNT) e procurar a norma NBR ISO/IEC 38500:2009.

Podemos aplicar a norma ISO/IEC 38500 em qualquer organização podendo ser pública ou privada e de diferentes tamanhos objetivando promover o uso eficaz, eficiente e aceitável da Tecnologia da Informação nas organizações. Utilizar a norma garante aos consumidores, acionistas, funcionários e demais interessados que se a norma for seguida pode-se confiar na governança corporativa de TI na organização, além de informar e orientar os dirigentes quanto ao uso da TI na organização e fornecer uma base para uma avaliação da governança corporativa de TI.

Esta norma não é objeto de certificação, mas traz conceitos muito importantes sobre governança de TI e que podem ser úteis no entendimento, pela alta direção, de suas responsabilidades em relação a TI.

Portanto, podemos verificar que esta norma avalia e direciona o uso da TI para oferecer suporte à organização e monitorar seu uso para realizar os planos.

Estrutura

A norma afirma que existem seis princípios que caracterizam uma boa governança de TI, são eles:

Além de definir os princípios a norma também preconiza que os dirigentes governem a TI através de três tarefas principais:

Segundo a norma devemos aplicar o ciclo Avaliar-Dirigir-Monitorar em cada um dos princípios definidos anteriormente. Dessa forma teríamos:

Usando esta norma temos como benefício uma melhor avaliação dos riscos da TI para o negócio e um melhor aproveitamento das oportunidades com o uso da TI na organização. Além disso, temos como benefício a garantia do cumprimento das obrigações regulamentares, legislativas, legais, contratuais, e por fim, que o uso da TI contribua de forma positiva para o bom desempenho da organização através da correta implementação e operação dos ativos de TI, maior clareza quantos as responsabilidades, continuidade e sustentabilidade do negócio, alinhamento entre TI e o negócio e inovação dos serviços necessários ao negócio, redução de custos.

CobiT – Control Objectives for Information and related Technology

O CobiT (Control Objectives for Information and related Technology) foi criado em 1994 pela ISACF23 e desde lá vem evoluindo com a incorporação de padrões internacionais técnicos, profissionais, regulatórios e específicos para processos de TI. A segunda e terceira edição do Cobit em 1997 e 2000 respectivamente introduziram diversas novidades sendo que a última atualização foi publicada pelo IT Governance Institute (ITGI), órgão criado pela ISACA com o objetivo de promover um melhor entendimento e a adoção dos princípios de Governança de TI. Em 2005 foi publicada a versão 4.0 e em 2007 houve uma atualização incremental (versão 4.1). Ultimamente foi lançada a versão 5.

O principal objetivo do Cobit é contribuir para o sucesso da entrega de produtos e serviços de TI com base nas necessidades do negócio. Dessa forma, o Cobit estabelece relacionamentos com os requisitos do negócio, organiza as atividades de TI em um modelo de processos genéricos, identifica os principais recursos de TI que devem possuir mais investimentos e define os objetivos de controle que devem ser considerados para a gestão.

O Cobit é um modelo genérico que representa todos os processos normalmente encontrados nas funções da TI sendo compreensível tanto para a operação quanto para os gerentes. Além disso, o Cobit é representado por cinco áreas que sustentam o seu núcleo: o alinhamento estratégico que é a ligação entre o negócio e a TI, agregação de valor que se restringe em executar aquilo que entregue benefícios de acordo com a estratégia, gerenciamento de recursos em que se procura otimizar os investimentos, gerenciamento de riscos em que a alta direção conhece e entende os riscos, e a medição de desempenho em que acompanha-se e monitora-se a implantação e o andamento dos projetos e recursos associados.

Estrutura

O Cobit é o modelo de gestão de TI perfeito quando desejamos integrar e institucionalizar boas práticas de planejamento e organização, aquisição e implementação, entrega e suporte, e monitoramento e avaliação de desempenho da TI. Com isso empresa pode gerenciar de forma eficiente seus investimentos em recursos tecnológicos e suas informações, maximizando assim seus benefícios, oportunidades de negócio e vantagem competitiva no mercado.

Um dos focos do Cobit é no negócio onde o modelo preconiza que para fornecer a informação necessária que a empresa necessita para atingir suas metas de negócio é necessário associá-los às suas metas de TI, utilizando um conjunto estruturado de processos garantindo a entrega dos serviços de TI. Outro foco do Cobit é na orientação para processos onde o Cobit identificou 34 processos de TI e os distribuiu entre quatro domínios que espelham os agrupamentos usuais existentes em uma organização de TI.

Os quatro domínios identificados no Cobit são: Planejamento e Organização (PO) onde atua-se na parte estratégica e tática procurando identificar formas em que a TI pode contribuir para atender aos objetivos do negócio; Aquisição e Implementação (AI) onde identificamos, desenvolvemos e adquirimos soluções de TI para implementar, integrar e executar a estratégia estabelecida; Entrega e Suporte (DS) que é onde entregamos os serviços requeridos, incluindo gerenciamento de segurança e continuidade, suporte aos serviços para os usuários, gestão dos dados e da infraestrutura operacional; Monitoração e Avaliação (ME) é onde assegura-se a qualidade dos processos de TI, assim como a governança e a conformidade com os objetivos de controle, através de acompanhamento, monitoração de controles internos e de avaliações internas e externas.

Mais um foco importante do Cobit é o Controle através de objetivos. O Cobit define como controle o conjunto de políticas, procedimentos, práticas e estruturas organizacionais desenvolvidas para dar uma garantia razoável de que os objetivos de negócio serão atingidos e de que os eventos indesejáveis serão prevenidos ou detectados e corrigidos. Já um objetivo de controle define um resultado desejados ou propósito a ser atingido através da implementação de procedimentos de controle em uma atividade de TI específica. Esses objetivos de controle constituem os requisitos mínimos para que os processos de TI possam ser controlados de forma eficaz.

Dessa forma, as informações de controle extraídas da operação de cada processo de TI são comparadas aos objetivos de controle e com isso as ações corretivas/preventivas necessárias são empreendidas para a melhoria do processo. Alguns controles são genéricos e aplicáveis a todos os processos, entretanto, outros são mais específicos. Outro foco do Cobit é o direcionamento para medições em que se procura definir o que deve ser medido, como e onde obter os dados e em que perspectiva os resultados devem ser agregados. As empresas precisam medir a situação atual e monitorar as ações de melhoria que foram realizadas em cima disso. Outra situação importante é analisar a relação custo-benefício do controle. O Cobit ainda propõe um modelo de maturidades baseado em cinco níveis onde cada nível indica a situação atual da organização, permite comparar com a situação das melhores organizações no segmento, comparar com padrões internacionais, estabelecer e monitorar passo a passo as melhorias dos processos, entre outros. A visão integrada do modelo é outro foco importante do Cobit onde o Cobit pode ser definido em função do princípio básico que recursos de TI são gerenciados por processos de TI para atingir metas de TI, que, por sua vez estão estreitamente ligadas aos requisitos do negócio. Por fim, outro foco de modelo é o conteúdo dos processos de TI em que os processos de TI estão organizados na documentação do modelo de forma a mostrar uma visão completa como devem ser controlados, gerenciados e medidos.

O Cobit também possui produtos complementares, além do documento principal, como o "Board Briefing on IT Governance" que é um guia executivo que aborda o entendimento da importância da Governança de TI e das suas principais características, assim como das responsabilidades da alta direção na sua condução, o "Building the Business Case for CobiT and Val IT – Executive Briefing" que mostra uma visão geral de casos de implantação do Cobit e do Val IT em empresas de diversos segmentos, o "Information Security Governance: Guidance for Boards of Directors and Executive Management" que apresenta a segurança da informação nos termos do negócio, entre outros.

Portanto, o Cobit cobre todo o conjunto de atividades de TI, concentrando-se mais em "o que" deve ser atingido em vez de "como" atingir. Assim, o Cobit é recomendado ser utilizado no nível estratégico aplicando-se a toda a organização favorecendo muito o entendimento dos processos de TI e fornecendo um excelente guia para a sua implementação ou melhoria nas organizações, assim como para a avaliação da maturidade atual dos processos existentes.

Val IT

O modelo Val IT foi criado pelo IT Governance Institute (ITGI) devido à necessidade de demonstração de retorno que a TI deve fornecer para o negócio como uma forma de mostrar aos executivos o retorno dos investimentos da TI para o negócio. O modelo foi criado com a ajuda de representantes de empresas e do meio acadêmico, considerando tanto as metodologias existentes como emergentes e o desenvolvimento de pesquisas. O Val IT foi publicado em 2006 e obteve sua versão 2.0 em 2008.

Entre os objetivos do modelo temos o auxilio à gerência para assegurar que as organizações obtenham o máximo de retorno dos investimentos em TI para oferecer suporte ao negócio a um custo razoável e com nível de risco conhecido e aceitável, e outro objetivo é o fornecimento de diretrizes, processos e práticas para subsidiar a diretoria e a gestão executiva no entendimento e no desempenho dos seus respectivos papéis em relação aos investimentos em TI.

Pode-se dizer que o Val IT é um modelo que estende e complementa o Cobit, visto que este aborda a tomada de decisões em relação aos investimentos em TI e a realização efetiva dos benefícios, enquanto que o Cobit tem um foco maior na execução.

Estrutura

O Val IT tem alguns princípios como: os investimentos em TI devem ser gerenciados como um portfólio de investimentos, os investimentos de TI incluirão o conjunto completo de atividades que são requeridos para atingir o valor para o negócio, os investimentos em TI serão gerenciados através do seu ciclo de vida econômico, as práticas de entrega de valor reconhecerão que há diferentes tipos de investimentos que devem ser avaliados e gerenciados de formas diferentes, as práticas de entrega de valor definirão e monitorarão métricas chaves e responderão rapidamente a mudanças e desvios, práticas de entrega de valor envolverão todos interessados relevantes e atribuirão responsabilidades pelo resultado de forma apropriada para a entrega das capacidades e a realização dos benefícios para o negócio, e as práticas de entrega de valor serão continuamente monitoradas, avaliadas e melhoradas.

O modelo está organizado entre processos e domínios, são eles:

Portanto, o Val IT demonstra claramente o planejamento e a gestão dos investimentos em TI, a gestão de programas de investimento em TI, a gestão do portfólio de TI e a implementação de um processo para o planejamento e a gestão de investimentos e do portfólio de TI. O objetivo claro do Val IT é demonstrar o valor que a TI gera para o negócio, porém implementar os seus processos demanda uma mudança cultural muito intensa, além de métodos, técnicas analíticas sobre itens de informação relevantes tanto para o negócio quanto para a operação de TI e que envolvem uma cadeia organizacional de responsabilidades relativamente complexa.

Os benefícios mais evidentes com a utilização do Val IT é o aumento de entendimento e transparência dos custos, riscos e benefícios dos investimentos de TI, aumento da probabilidade da seleção dos melhores investimentos, aumento da possibilidade de sucesso dos investimentos, maior controle sobre a realização dos benefícios dos investimentos, investimentos alinhados com a estratégia da empresa, possibilidade de alinhar rapidamente os investimentos face às mudanças no negócio, maior facilidade de comunicação entre TI e negócio e o CIO consegue mais claramente demonstrar o valor dos investimentos em TI.

O Framework Risk IT

O Risk IT foi desenvolvido pela ISACA com a participação de vários especialistas e foi incialmente publicado em 2009. O modelo é utilizado para auxiliar no gerenciamento de riscos relacionados a TI. Assim como o Val IT o Risk IT também é um complemento do Cobit.

Entre os objetivos do modelo estão: integrar o gerenciamento de risco de TI com o Sistema de Gerenciamento de Riscos da Organização, tomar decisões bem informadas sobre a extensão dos riscos, saber qual a tolerância e o apetite por riscos da organização e entender como responder aos riscos.

Estrutura

Os princípios fundamentais do Risk IT são: conectar os riscos de TI aos objetivos do negócio, garantir que todo risco de TI é um risco de negócio, focar no resultado do negócio com a TI apoiando o atingimentos dos objetivos do negócio e expressando os riscos em termos de impacto sobre o atendimento dos objetivos ou da estratégia do negócio, desenvolver a análise de riscos que contemple uma análise de dependência do processo de negócio em relação a recursos de TI, apoiar o gerenciamento de riscos de TI como um habilitador do negócio e não um inibidor. Além disso, a governança dos ricos de TI deve estar alinhada ao Sistema de Gerenciamento de Riscos da organização e a quantidade de risco que a empresa está disposta a lidar deve estar claramente definida.

O modelo afirma que Risco de TI é o risco do negócio associado com uso, propriedades, operação, envolvimento, influência e adoção da TI dentro da empresa e consiste de eventos e condições relacionados com a TI que podem ter potencial para impactar o negócio.

Basicamente o Risk IT é estruturado em atividades chaves, processos e domínios, e assim como o CobiT, o Risk IT Framework também é composto por um Guia Gerencial, um quadro RACI (Responsible, Accountable, Consulted and Informed) e um esquema de métricas e entradas e saídas dos processos e modelo de maturidade.

Detalhando os domínios e processos do Risk IT temos que o domínio de Governança do Risco é composto por três processos e dezesseis atividades, são eles:

O domínio de Avaliação do Risco é composto por três processos e quatorze atividades, são eles:

O domínio de Resposta ao Risco é composto por três processos e treze atividades, são eles:

Portanto, o Risk IT reduz as perdas para a organização em função de um evento de risco que tenha impacto, reduz as perdas em função do não investimento em novas oportunidades com o apoio da TI, provê um guia bastante abrangente para o gerenciamento dos riscos relacionados à TI, integra o gerenciamento de risco da TI com o da organização e fornece uma linguagem comum acerca de riscos para toda organização.

Bibliografia

[1] Aguinaldo Aragon, Vladimir Ferraz. Implantando a governança de TI. 3ª edição.

Artigos relacionados