LAB GSTI 2.0: 6 pequenos passos para uma boa “Governança Corporativa das Tecnologias de Informação”
Bruno Horta Soares, CISA®, CGEIT®, CRISC™, PMP®, COBIT 5 | bruno.soares@govaas.com
Com o lançamento da framework COBIT 5 o ISACA deixa cair o tema de “IT Governance” e passa a focar a sua atenção no “Governance of IT”. Confuso? Hoje vamos falar de “Governança Corporativa das Tecnologias de Informação” e apresentar 6 pequenos passos que poderão mudar a forma de pensar TIs na sua Empresa.
Desde o lançamento da primeira versão do COBIT que o ISACA tem vindo a acompanhar a visão que as Empresas têm das suas tecnologias de informação. Nascida como uma ferramenta de suporte aos auditores de sistemas de informação, o COBIT fez o seu caminho passando pela área de controlo, depois pela área de gestão até ter chegado à versão 4.1 onde foi desenhada a pensar numa ferramenta de suporte ao “IT Governance”. Corria o ano de 2005/2006 e desta forma o ISACA pretendia representar a importância que as tecnologias de informação tinham cada vez mais na boa governança corporativa, preparando a framework para que assegurasse que o sistema de informação fosse governado e gerido de forma a garantir a qualidade da informação para o negócio e dessa forma desempenhar o seu papel no cumprimento dos 5 principais requisitos de “IT Governance”:
- Alinhamento estratégico;
- Criação de Valor;
- Gestão de Recursos;
- Gestão de Riscos; e
- Monitorização de performance.
Cada um dos 34 processos do COBIT 4.1 era mapeado com uma das 5 áreas de IT Governance, permitindo desta forma avaliar de que forma cada processo contribuía para a boa governança do sistema de informação.
Então o que é que mudou com o COBIT 5? Se analisarmos as expressões na sua versão inglesa, do ponto de vista sintático mudou essencialmente o lugar do IT, passando de “IT Governance” para “Governance of Enterprise IT”. Trata-se uma pequena variação que faz toda a diferença na semântica! De uma forma muto resumida, esta alteração pretendeu demonstrar que de nada vale assegurar uma boa governança “dentro” do sistema de informação, é necessário entender que as tecnologias de informação são um facilitador da criação de valor em toda a empresa e como tal apenas uma visão integrada da governança corporativa e da governança das tecnologias de informação permitem assegurar essa criação de valor.
Surge assim uma colagem direta ao conceito de “Governança Corporativa das Tecnologias de Informação”, mapeando com a visão já apresentada anos antes com o lançamento do standard ISO/IEC 38500 [1]. Na verdade, muita da inspiração para a visão de governança definida na framework COBIT 5 veio deste standard, deixando mais uma vez clara a estratégia do ISACA de aproveitar todas as boas práticas de mercado, integrando-as na sua visão holística do sistema de informação.
O standard ISO/IEC 38500 define “Governança Corporativa das Tecnologias de Informação” como: “ Sistema pelo qual o uso atual e futuro das Tecnologias de Informação é dirigido e controlado. Envolve a avaliação e orientação do uso das Tecnologias de informação para suportar a Empresa e a monitorização desse uso para atingir planos. Inclui a estratégia e as políticas para o uso das Tecnologias de Informação dentro da Empresa organização.”
Outro dos aspetos fundamentais do standard é a definição de 6 princípios orientadores para uma boa governança corporativa dos sistemas de informação:
- Responsabilidade : Todos as partes interessadas da Empresa compreendem e aceitam as suas responsabilidades no que diz respeito à solicitação e disponibilização de Tecnologias de Informação. Todos aqueles que têm responsabilidade por atividades também têm autoridade para realização dessas atividades.
- Estratégia : A definição da estratégia da Empresa tem em consideração as capacidades atuais e futuras de Tecnologias de Informação. Os planos estratégicos de Tecnologias de Informação garantem a satisfação das necessidades atuais e estratégia em curso na Empresa.
- Aquisição : As aquisições de Tecnologias de Informação são realizadas por razões válidas, com base numa análise adequada e contínua e através de um processo de decisão claro e transparente. Existe um equilíbrio adequado entre os benefícios, oportunidades, custos e os riscos, a curto, médio e longo prazo.
- Performance : As Tecnologias de Informação são adequadas para suportar a Empresa, disponibilizando serviços, níveis de serviço e qualidade necessários aos requisitos de atividade atual e futura.
- Conformidade : As Tecnologias de Informação estão em conformidade com toda a legislação e regulamentos obrigatório. As Políticas e Normas são claramente definidas, implementadas e executadas.
- Comportamentos : As Políticas e Normas relacionadas com as Tecnologias de Informação demonstram respeito pelo comportamento Humano, incluindo o atual e evolução das necessidades de todas as partes interessadas.
Como qualquer lista de princípios, a sua utilização não deve ser condicionada ao tipo ou dimensão da Empresa, mas deverá sempre garantir uma correta interpretação e adequação a cada contexto concreto.
Conclusão
Cada Empresa terá as suas idiossincrasias de poder e de gestão que poderão facilitar mais ou menos a discussão dos temas de tecnologias de informação ao nível dos órgãos de direção.
Como tal, muitas Empresas preferem começar “por baixo”, começando por definir procedimentos mais operacionais e ir “subindo” à medida que estes temas vão ganhando força na Organização. Este tipo de abordagem não me parece a mais adequada quando toca à Governança Corporativa das Tecnologias de Informação.
O desafio para uma verdadeira criação de valor potenciada por tecnologias de informação não é tarefa fácil, mas levar a aprovação da Administração uma lista de apenas 6 princípios orientadores para a boa Governança Corporativa das Tecnologias de Informação pode ser uma boa forma de começar!
Cumprimentos desde Portugal… estamos juntos!
[1] http://en.wikipedia.org/wiki/ISO/IEC_38500
http://www.iso.org/iso/catalogue_detail?csnumber=51639
Veja outros artigos sobre Governança de TI: