LAB GSTI 2.0: Será Governança Corporativa de Tecnologias de Informação Cozinha de fusão?
Bruno Horta Soares, CISA®, CGEIT®, CRISC™, PMP®, COBIT 5 | bruno.soares@govaas.com
Este é o terceiro artigo de uma série dedicada à Governança Corporativa de Tecnologias de Informação. Depois de falar sobre os 6 princípios orientadores e as 3 práticas de referência relacionadas com a governança, chegou a hora de “colocar tudo na panela e servir”, apresentando a forma como a ISO 38500 pode ser utilizada como um guia para implementar os princípios e as boas práticas nas Organizações.
Quando falamos de cozinha de fusão falamos de uma forma de cozinhar que tem por base a mistura de vários sabores, técnicas e tradições de várias culturas. Ora, quando colocamos Governança e Tecnologias da Informação na mesma frase, de certa forma o que se pretende é precisamente aproveitar o que de melhor existe em cada um dos domínios para que as Organizações possam inovar e desenvolver novas formas de criar valor (ou novos sabores!).
É neste contexto que surge a ISO 38500, um guia de boas práticas sobre a governança corporativa das tecnologias da informação (TI) que poderá ser utilizado por “Chefs” candidatos a Estrelas Michelin, como por qualquer “Cozinheiro” amador que seja um entusiasta pela boa gestão. Por estar suportada em princípios orientadores, o guia permite um claro entendimento das boas práticas para o desenho e implementação de uma boa governança corporativa das TI, mas não pretende ser exaustivo, prescritivo ou orientado a um setor de atividade específica. Desta forma, pretende-se apoiar as Organizações, independentemente da sua dimensão ou indústria, a conhecer e entender um conjunto de princípios orientadores, desenhando e implementando as práticas de avaliação, direção e monitorização necessárias para colocar esses princípios em prática.
De seguida apresenta-se um conjunto de boas práticas que poderão apoiar os órgãos de governança na implementação dos 6 princípios.
Princípio #1 – Responsabilidade
Avaliar
A atribuição de responsabilidades pelas TI deve ser avaliada tendo em consideração a utilização atual e futura das TI na Organização. Ao avaliar as opções, a Diretoria deverá garantir que as TI são utilizadas e entregues de forma eficiente e eficaz, tendo em consideração os objetivos corporativos, atuais e futuros.
As competências daqueles a quem é dada responsabilidade pelas decisões que envolvam as TI deverão ser igualmente avaliadas, devendo ser garantida uma correta articulação entre aqueles que são responsáveis pelos objetivos e performance da Organização e os especialistas em TI, os quais deverão partilhar esses objetivos e compreender o seu papel na criação de valor.
Direcionar
Após atribuição das responsabilidades, caberá à Diretoria garantir que os planos operacionais são preparados tendo em consideração essas responsabilidades. A Diretoria deverá direcionar a Organização no sentido de lhes ser disponibilizada toda a informação necessária para assegurar que as responsabilidades definidas são implementadas.
Monitorizar
É responsabilidade da Diretoria garantir que se encontram implementados mecanismos adequados de governança corporativa de TI. Deverão monitorizar que a Organização conhece e entende as responsabilidades atribuídas, e que essas responsabilidades são devidamente implementadas (quer sejam funções individuais ou comités).
Princípio #2 – Estratégia
Avaliar
A Diretoria deverá avaliar os desenvolvimentos ao nível das tecnologias e processos da Organização por forma a garantirem que as TI garantem o suporte das necessidades atuais e futuras da Organização.
No que refere aos planos e políticas, a Diretoria deverá avaliar as atividades relacionadas com as TI para garantir que estas estão alinhadas com os objetivos da Organização, têm em consideração as boas práticas de referência e que satisfazem as necessidades dos seus stakeholders .
Por fim, deverão garantir que a utilização das TI tem em consideração boas práticas de gestão de risco.
Direcionar
A Diretoria é responsável por direcionar a preparação e a utilização de planos e políticas que garantam que a Organização beneficia da utilização de TI. A apresentação de propostas para inovação na adoção e utilização de TI deve ser encorajada, permitindo desta forma que a Organização possa responder a novos desafios e oportunidades de negócio ou melhoria contínua dos seus processos de suporte.
Monitorizar
A Diretoria deverá monitorizar a implementação das estratégias suportadas por TI, garantindo que os objetivos são endereçados, que os recursos utilizados são otimizados e que os benefícios são satisfeitos.
Princípio #3 – Aquisição
Avaliar
A Diretoria é responsável por avaliar as alternativas disponíveis de aquisição de TI, balanceando os riscos e o “value for money” desses investimentos.
Direcionar
A Diretoria deverá direcionar a aquisição adequada de recursos de TI (pessoas, software, hardware, infraestruturas), garantindo a capacitação necessária. Deverão ainda direcionar os processos de aquisição (internos ou externos) garantindo que estes satisfazem as necessidades da Organização.
Monitorizar
A Diretoria é responsável por monitorizar que os investimentos relacionados com TI entregam os resultados planeados. São ainda responsáveis por monitorizar que a Organização e os seus fornecedores conhecem e entendem os objetivos relacionados coma a aquisição de TI.
Princípio #4 – Performance
Avaliar
A Diretoria deverá avaliar as formas propostas para garantir que as TI suportam de forma adequada os processos da Organização. A avaliação deverá ter em consideração a normal atividade da Organização bem como os riscos relacionados com a utilização das TI.
A Diretoria deverá avaliar os riscos relacionados com a integridade e proteção dos recursos de TI, incluindo riscos relacionados com propriedade intelectual ou conhecimento organizacional.
Deverão ainda ser avaliadas as alternativas disponíveis para garantir uma tomada de decisão efetiva e atempada na utilização das tecnologias para suportar os objetivos da Organização.
Por fim, a efetividade e performance do sistema de governança de TI deverão ser regularmente avaliadas.
Direcionar
A Diretoria é responsável por assegurar os recursos necessários para que as TI satisfaçam as necessidades da Organização, tendo em consideração as prioridades e constrangimentos de orçamento.
Deverão ainda direcionar os responsáveis por garantir que TI suportam a Organização com informação correta, atualizada e protegida contra perda ou má utilização
Monitorizar
A Diretoria é responsável por monitorizar o nível de suporte das TI à Organização, o nível de alocação de recursos e prioritização de orçamentos em relação aos objetivos da Organização.
Princípio #5 – Conformidade
Avaliar
A Diretoria é responsável por avaliar regularmente a conformidade legal e normativa das TI (ex. regulamentos, legislação, leis, contratos, políticas internas, standards, boas práticas profissionais). Deverão ainda avaliar o nível de conformidade da Organização com o seu sistema de de governança corporativa de TI.
Direcionar
A Diretoria deverá direcionar os responsáveis por implementar os mecanismos de conformidade legal e normativa das TI. Deverão direcionar a definição, implementação e conformidade com as políticas relacionadas com a utilização das TI, bem como assegurar a adoção e aplicação de boas práticas profissionais e comportamentos eticamente responsáveis.
Monitorizar
A Diretoria é responsável por monitorizar das TI através de mecanismos de reporte e práticas de auditoria, garantindo que as avaliações são realizadas de forma correta, atempada e adequada às necessidades da Organização.
A monitorização das atividades relacionadas com as TI deverá garantir o cumprimento das obrigações relevantes relacionadas com aspetos legais, normativos, contratuais, privacidade da informação ou conhecimento organizacional.
Princípio #6 – Comportamentos dos recursos humanos
Avaliar
A Diretoria deverá avaliar as atividades de TI para garantir que os comportamentos dos recursos humanos são identificados e devidamente considerados.
Direcionar
A Diretoria deverá direcionar as atividades de TI para que sejam consistentes com os comportamentos de recursos humanos identificados. Deverão garantir que os riscos, oportunidades, preocupações e desafios são identificados e reportados por qualquer recurso humano em qualquer altura. Estes riscos deverão ser geridos de acordo com as políticas, normas e procedimentos e escalados para os decisores relevantes.
Monitorizar
A Diretoria deverá monitorizar as atividades de TI para garantir que os comportamentos dos recursos humanos permanecem atuais e que são conhecidos, entendidos e aplicados. Deverão ainda monitorizar as atividades operacionais para garantir que consistentes com a utilização apropriada das TI.
Conclusão
Ao longo dos últimos artigos falei sobre governança corporativa de informação, um tema que considero ao mesmo tempo crítico e desafiante. Crítico por se tratar de um tema que está diretamente relacionado com o alinhamento dos objetivos organizacionais e as tecnologias de informação que suportam o sistema de informação; e desafiante por se tratar de colocar na agenda das Diretorias executivas das Organizações assuntos que, até agora, eram vistos como meramente técnicos.
Transitar para um patamar em que as tecnologias de informação são vistas como uma parte integrante no processo de decisão sobre novas formas de fazer negócio, de identificar e endereçar oportunidades, gerir riscos e ganhar vantagens competitivas; é sem dúvida um dos temas emergentes no século 21 e numa sociedade que encara cada vez mais a Informação, e o que se faz com ela, como um ativo fundamental na criação de valor.
Não se trata de desvirtuar os conceitos adquiridos de governança corporativa ou alterar os fundamentos das tecnologias de informação, trata-se de ter a capacidade de entender e colocar em prática uma comunicação efetiva destes dois domínios de competência, possibilitando desta forma que as Organizações possam desenvolver os seus sistemas de informação de forma cada vez mais transparente, maximizando os benefícios para os seus stakeholders, otimizando os riscos direta ou indiretamente relacionados com as tecnologias de informação e otimizando os recursos disponíveis para uma criação de valor eficiente.
Tal como na teoria de sistemas e na cozinha de fusão, o objetivo final da governança corporativa das tecnologias de informação não é mais do que garantir que combinação de dois componentes, aparentemente independentes, possa de facto representar mais do que a simples soma das partes e contribua para a criação de formas inovadoras e diferenciadoras de abordar a governança e a gestão nas Organizações
Cumprimentos desde Portugal… estamos juntos!
Mais sobre Governança de TI no Portal GSTI:
Mais sobre Governança de TI no Portal GSTI:
- 3 tarefas para quem vai no comando: Avaliar, Direcionar e Monitorizar
- 6 pequenos passos para uma boa “Governança Corporativa das Tecnologias de Informação”
- 4 perguntas relacionadas com a criação de valor a partir das Tecnologias de Informação
- O processo de governança de TI com COBIT e ITIL
- Vídeo aulas sobre Governança de TI
