Existem modelos de refer�ncia que abordam a Governan�a de TI de forma mais abrangente, abordando os princ�pios e diretrizes tanto no que diz respeito � organiza��o de TI quanto ao relacionamento com as demais organiza��es que fazem parte da cadeia (como os clientes e fornecedores). Show Entre os modelos temos a norma ISO/IEC 38500 e os modelos da ISACA (Information Systems Audit and Control Association) como o Cobit, Val IT e o Risk IT. Nas pr�ximas se��es veremos melhor cada um desses modelos de governan�a de TI. ISO/IEC 38500 - Governan�a Corporativa de Tecnologia da Informa��oA norma ISO/IEC 38500 tem como objetivo fornecer uma estrutura de princ�pios para os dirigentes utilizarem na avalia��o, gerenciamento e no monitoramento do uso da tecnologia da informa��o nas suas organiza��es. Para encontrar a norma basta visitar o site da Associa��o Brasileira de Normas T�cnicas (ABNT) e procurar a norma NBR ISO/IEC 38500:2009. Podemos aplicar a norma ISO/IEC 38500 em qualquer organiza��o podendo ser p�blica ou privada e de diferentes tamanhos objetivando promover o uso eficaz, eficiente e aceit�vel da Tecnologia da Informa��o nas organiza��es. Utilizar a norma garante aos consumidores, acionistas, funcion�rios e demais interessados que se a norma for seguida pode-se confiar na governan�a corporativa de TI na organiza��o, al�m de informar e orientar os dirigentes quanto ao uso da TI na organiza��o e fornecer uma base para uma avalia��o da governan�a corporativa de TI. Esta norma n�o � objeto de certifica��o, mas traz conceitos muito importantes sobre governan�a de TI e que podem ser �teis no entendimento, pela alta dire��o, de suas responsabilidades em rela��o a TI. Portanto, podemos verificar que esta norma avalia e direciona o uso da TI para oferecer suporte � organiza��o e monitorar seu uso para realizar os planos. EstruturaA norma afirma que existem seis princ�pios que caracterizam uma boa governan�a de TI, s�o eles:
Al�m de definir os princ�pios a norma tamb�m preconiza que os dirigentes governem a TI atrav�s de tr�s tarefas principais:
Segundo a norma devemos aplicar o ciclo Avaliar-Dirigir-Monitorar em cada um dos princ�pios definidos anteriormente. Dessa forma ter�amos:
Usando esta norma temos como benef�cio uma melhor avalia��o dos riscos da TI para o neg�cio e um melhor aproveitamento das oportunidades com o uso da TI na organiza��o. Al�m disso, temos como benef�cio a garantia do cumprimento das obriga��es regulamentares, legislativas, legais, contratuais, e por fim, que o uso da TI contribua de forma positiva para o bom desempenho da organiza��o atrav�s da correta implementa��o e opera��o dos ativos de TI, maior clareza quantos as responsabilidades, continuidade e sustentabilidade do neg�cio, alinhamento entre TI e o neg�cio e inova��o dos servi�os necess�rios ao neg�cio, redu��o de custos. CobiT � Control Objectives for Information and related TechnologyO CobiT (Control Objectives for Information and related Technology) foi criado em 1994 pela ISACF23 e desde l� vem evoluindo com a incorpora��o de padr�es internacionais t�cnicos, profissionais, regulat�rios e espec�ficos para processos de TI. A segunda e terceira edi��o do Cobit em 1997 e 2000 respectivamente introduziram diversas novidades sendo que a �ltima atualiza��o foi publicada pelo IT Governance Institute (ITGI), �rg�o criado pela ISACA com o objetivo de promover um melhor entendimento e a ado��o dos princ�pios de Governan�a de TI. Em 2005 foi publicada a vers�o 4.0 e em 2007 houve uma atualiza��o incremental (vers�o 4.1). Ultimamente foi lan�ada a vers�o 5. O principal objetivo do Cobit � contribuir para o sucesso da entrega de produtos e servi�os de TI com base nas necessidades do neg�cio. Dessa forma, o Cobit estabelece relacionamentos com os requisitos do neg�cio, organiza as atividades de TI em um modelo de processos gen�ricos, identifica os principais recursos de TI que devem possuir mais investimentos e define os objetivos de controle que devem ser considerados para a gest�o. O Cobit � um modelo gen�rico que representa todos os processos normalmente encontrados nas fun��es da TI sendo compreens�vel tanto para a opera��o quanto para os gerentes. Al�m disso, o Cobit � representado por cinco �reas que sustentam o seu n�cleo: o alinhamento estrat�gico que � a liga��o entre o neg�cio e a TI, agrega��o de valor que se restringe em executar aquilo que entregue benef�cios de acordo com a estrat�gia, gerenciamento de recursos em que se procura otimizar os investimentos, gerenciamento de riscos em que a alta dire��o conhece e entende os riscos, e a medi��o de desempenho em que acompanha-se e monitora-se a implanta��o e o andamento dos projetos e recursos associados. EstruturaO Cobit � o modelo de gest�o de TI perfeito quando desejamos integrar e institucionalizar boas pr�ticas de planejamento e organiza��o, aquisi��o e implementa��o, entrega e suporte, e monitoramento e avalia��o de desempenho da TI. Com isso empresa pode gerenciar de forma eficiente seus investimentos em recursos tecnol�gicos e suas informa��es, maximizando assim seus benef�cios, oportunidades de neg�cio e vantagem competitiva no mercado. Um dos focos do Cobit � no neg�cio onde o modelo preconiza que para fornecer a informa��o necess�ria que a empresa necessita para atingir suas metas de neg�cio � necess�rio associ�-los �s suas metas de TI, utilizando um conjunto estruturado de processos garantindo a entrega dos servi�os de TI. Outro foco do Cobit � na orienta��o para processos onde o Cobit identificou 34 processos de TI e os distribuiu entre quatro dom�nios que espelham os agrupamentos usuais existentes em uma organiza��o de TI. Os quatro dom�nios identificados no Cobit s�o: Planejamento e Organiza��o (PO) onde atua-se na parte estrat�gica e t�tica procurando identificar formas em que a TI pode contribuir para atender aos objetivos do neg�cio; Aquisi��o e Implementa��o (AI) onde identificamos, desenvolvemos e adquirimos solu��es de TI para implementar, integrar e executar a estrat�gia estabelecida; Entrega e Suporte (DS) que � onde entregamos os servi�os requeridos, incluindo gerenciamento de seguran�a e continuidade, suporte aos servi�os para os usu�rios, gest�o dos dados e da infraestrutura operacional; Monitora��o e Avalia��o (ME) � onde assegura-se a qualidade dos processos de TI, assim como a governan�a e a conformidade com os objetivos de controle, atrav�s de acompanhamento, monitora��o de controles internos e de avalia��es internas e externas. Mais um foco importante do Cobit � o Controle atrav�s de objetivos. O Cobit define como controle o conjunto de pol�ticas, procedimentos, pr�ticas e estruturas organizacionais desenvolvidas para dar uma garantia razo�vel de que os objetivos de neg�cio ser�o atingidos e de que os eventos indesej�veis ser�o prevenidos ou detectados e corrigidos. J� um objetivo de controle define um resultado desejados ou prop�sito a ser atingido atrav�s da implementa��o de procedimentos de controle em uma atividade de TI espec�fica. Esses objetivos de controle constituem os requisitos m�nimos para que os processos de TI possam ser controlados de forma eficaz. Dessa forma, as informa��es de controle extra�das da opera��o de cada processo de TI s�o comparadas aos objetivos de controle e com isso as a��es corretivas/preventivas necess�rias s�o empreendidas para a melhoria do processo. Alguns controles s�o gen�ricos e aplic�veis a todos os processos, entretanto, outros s�o mais espec�ficos. Outro foco do Cobit � o direcionamento para medi��es em que se procura definir o que deve ser medido, como e onde obter os dados e em que perspectiva os resultados devem ser agregados. As empresas precisam medir a situa��o atual e monitorar as a��es de melhoria que foram realizadas em cima disso. Outra situa��o importante � analisar a rela��o custo-benef�cio do controle. O Cobit ainda prop�e um modelo de maturidades baseado em cinco n�veis onde cada n�vel indica a situa��o atual da organiza��o, permite comparar com a situa��o das melhores organiza��es no segmento, comparar com padr�es internacionais, estabelecer e monitorar passo a passo as melhorias dos processos, entre outros. A vis�o integrada do modelo � outro foco importante do Cobit onde o Cobit pode ser definido em fun��o do princ�pio b�sico que recursos de TI s�o gerenciados por processos de TI para atingir metas de TI, que, por sua vez est�o estreitamente ligadas aos requisitos do neg�cio. Por fim, outro foco de modelo � o conte�do dos processos de TI em que os processos de TI est�o organizados na documenta��o do modelo de forma a mostrar uma vis�o completa como devem ser controlados, gerenciados e medidos. O Cobit tamb�m possui produtos complementares, al�m do documento principal, como o "Board Briefing on IT Governance" que � um guia executivo que aborda o entendimento da import�ncia da Governan�a de TI e das suas principais caracter�sticas, assim como das responsabilidades da alta dire��o na sua condu��o, o "Building the Business Case for CobiT and Val IT � Executive Briefing" que mostra uma vis�o geral de casos de implanta��o do Cobit e do Val IT em empresas de diversos segmentos, o "Information Security Governance: Guidance for Boards of Directors and Executive Management" que apresenta a seguran�a da informa��o nos termos do neg�cio, entre outros. Portanto, o Cobit cobre todo o conjunto de atividades de TI, concentrando-se mais em "o que" deve ser atingido em vez de "como" atingir. Assim, o Cobit � recomendado ser utilizado no n�vel estrat�gico aplicando-se a toda a organiza��o favorecendo muito o entendimento dos processos de TI e fornecendo um excelente guia para a sua implementa��o ou melhoria nas organiza��es, assim como para a avalia��o da maturidade atual dos processos existentes. Val ITO modelo Val IT foi criado pelo IT Governance Institute (ITGI) devido � necessidade de demonstra��o de retorno que a TI deve fornecer para o neg�cio como uma forma de mostrar aos executivos o retorno dos investimentos da TI para o neg�cio. O modelo foi criado com a ajuda de representantes de empresas e do meio acad�mico, considerando tanto as metodologias existentes como emergentes e o desenvolvimento de pesquisas. O Val IT foi publicado em 2006 e obteve sua vers�o 2.0 em 2008. Entre os objetivos do modelo temos o auxilio � ger�ncia para assegurar que as organiza��es obtenham o m�ximo de retorno dos investimentos em TI para oferecer suporte ao neg�cio a um custo razo�vel e com n�vel de risco conhecido e aceit�vel, e outro objetivo � o fornecimento de diretrizes, processos e pr�ticas para subsidiar a diretoria e a gest�o executiva no entendimento e no desempenho dos seus respectivos pap�is em rela��o aos investimentos em TI. Pode-se dizer que o Val IT � um modelo que estende e complementa o Cobit, visto que este aborda a tomada de decis�es em rela��o aos investimentos em TI e a realiza��o efetiva dos benef�cios, enquanto que o Cobit tem um foco maior na execu��o. EstruturaO Val IT tem alguns princ�pios como: os investimentos em TI devem ser gerenciados como um portf�lio de investimentos, os investimentos de TI incluir�o o conjunto completo de atividades que s�o requeridos para atingir o valor para o neg�cio, os investimentos em TI ser�o gerenciados atrav�s do seu ciclo de vida econ�mico, as pr�ticas de entrega de valor reconhecer�o que h� diferentes tipos de investimentos que devem ser avaliados e gerenciados de formas diferentes, as pr�ticas de entrega de valor definir�o e monitorar�o m�tricas chaves e responder�o rapidamente a mudan�as e desvios, pr�ticas de entrega de valor envolver�o todos interessados relevantes e atribuir�o responsabilidades pelo resultado de forma apropriada para a entrega das capacidades e a realiza��o dos benef�cios para o neg�cio, e as pr�ticas de entrega de valor ser�o continuamente monitoradas, avaliadas e melhoradas. O modelo est� organizado entre processos e dom�nios, s�o eles:
Portanto, o Val IT demonstra claramente o planejamento e a gest�o dos investimentos em TI, a gest�o de programas de investimento em TI, a gest�o do portf�lio de TI e a implementa��o de um processo para o planejamento e a gest�o de investimentos e do portf�lio de TI. O objetivo claro do Val IT � demonstrar o valor que a TI gera para o neg�cio, por�m implementar os seus processos demanda uma mudan�a cultural muito intensa, al�m de m�todos, t�cnicas anal�ticas sobre itens de informa��o relevantes tanto para o neg�cio quanto para a opera��o de TI e que envolvem uma cadeia organizacional de responsabilidades relativamente complexa. Os benef�cios mais evidentes com a utiliza��o do Val IT � o aumento de entendimento e transpar�ncia dos custos, riscos e benef�cios dos investimentos de TI, aumento da probabilidade da sele��o dos melhores investimentos, aumento da possibilidade de sucesso dos investimentos, maior controle sobre a realiza��o dos benef�cios dos investimentos, investimentos alinhados com a estrat�gia da empresa, possibilidade de alinhar rapidamente os investimentos face �s mudan�as no neg�cio, maior facilidade de comunica��o entre TI e neg�cio e o CIO consegue mais claramente demonstrar o valor dos investimentos em TI. O Framework Risk ITO Risk IT foi desenvolvido pela ISACA com a participa��o de v�rios especialistas e foi incialmente publicado em 2009. O modelo � utilizado para auxiliar no gerenciamento de riscos relacionados a TI. Assim como o Val IT o Risk IT tamb�m � um complemento do Cobit. Entre os objetivos do modelo est�o: integrar o gerenciamento de risco de TI com o Sistema de Gerenciamento de Riscos da Organiza��o, tomar decis�es bem informadas sobre a extens�o dos riscos, saber qual a toler�ncia e o apetite por riscos da organiza��o e entender como responder aos riscos. EstruturaOs princ�pios fundamentais do Risk IT s�o: conectar os riscos de TI aos objetivos do neg�cio, garantir que todo risco de TI � um risco de neg�cio, focar no resultado do neg�cio com a TI apoiando o atingimentos dos objetivos do neg�cio e expressando os riscos em termos de impacto sobre o atendimento dos objetivos ou da estrat�gia do neg�cio, desenvolver a an�lise de riscos que contemple uma an�lise de depend�ncia do processo de neg�cio em rela��o a recursos de TI, apoiar o gerenciamento de riscos de TI como um habilitador do neg�cio e n�o um inibidor. Al�m disso, a governan�a dos ricos de TI deve estar alinhada ao Sistema de Gerenciamento de Riscos da organiza��o e a quantidade de risco que a empresa est� disposta a lidar deve estar claramente definida. O modelo afirma que Risco de TI � o risco do neg�cio associado com uso, propriedades, opera��o, envolvimento, influ�ncia e ado��o da TI dentro da empresa e consiste de eventos e condi��es relacionados com a TI que podem ter potencial para impactar o neg�cio. Basicamente o Risk IT � estruturado em atividades chaves, processos e dom�nios, e assim como o CobiT, o Risk IT Framework tamb�m � composto por um Guia Gerencial, um quadro RACI (Responsible, Accountable, Consulted and Informed) e um esquema de m�tricas e entradas e sa�das dos processos e modelo de maturidade. Detalhando os dom�nios e processos do Risk IT temos que o dom�nio de Governan�a do Risco � composto por tr�s processos e dezesseis atividades, s�o eles:
O dom�nio de Avalia��o do Risco � composto por tr�s processos e quatorze atividades, s�o eles:
O dom�nio de Resposta ao Risco � composto por tr�s processos e treze atividades, s�o eles:
Portanto, o Risk IT reduz as perdas para a organiza��o em fun��o de um evento de risco que tenha impacto, reduz as perdas em fun��o do n�o investimento em novas oportunidades com o apoio da TI, prov� um guia bastante abrangente para o gerenciamento dos riscos relacionados � TI, integra o gerenciamento de risco da TI com o da organiza��o e fornece uma linguagem comum acerca de riscos para toda organiza��o. Bibliografia [1] Aguinaldo Aragon, Vladimir Ferraz. Implantando a governan�a de TI. 3� edi��o. Plano PRO
Por Higor Em 2014 Receba nossas novidades |