Livro - Governança

Prévia do material em texto

SISTEMAS DE 
INFORMAÇÕES 
GERENCIAIS
Katia Cilene Neles
da Silva
 
Governança
Objetivos de aprendizagem
Ao final deste texto, você deve apresentar os seguintes aprendizados:
 � Analisar o conceito de governança e sua necessidade na abertura de 
capital de uma empresa.
 � Diferenciar planejamento estratégico, plano diretor de TI e planeja-
mento estratégico de TI.
 � Relacionar os pilares da Lei Sarbanes-Oxley.
Introdução
Vivemos em uma época em que cada vez mais é exigido transparência 
nos relacionamentos corporativos, seja entre os sócios, entre a organiza-
ção e seus investidores, funcionários, clientes e fornecedores. Para isso, 
é necessário haver um controle criterioso controle na gestão financeira, 
nas rotinas e processos, na implementação de planejamentos, no código 
de condutas, ou seja, na gestão como um todo.
Todas essas características pertencem à governança, responsável por 
nortear todos os processos de uma organização e tornar a sua conduta 
transparente, permitindo que a organização mantenha-se forte e sólida 
na construção de seu sucesso.
Neste capítulo, você analisará o conceito de governança e sua ne-
cessidade na abertura de capital de uma empresa, saberá diferenciar 
planejamento estratégico, plano diretor de tecnologia da informação 
(TI) e planejamento estratégico de TI, além de relacionar os pilares da 
Lei Sarbanes-Oxley (SOx).
Governança em tecnologia da informação
A governança em TI é um dos braços da governança corporativa, para que você 
entenda o conceito de governança em TI, primeiramente é preciso entender 
o conceito de governança corporativa, que, segundo o Instituto Brasileiro de 
Governança Corporativa (IBGC, [201?]):
Governança corporativa é o sistema pelo qual as empresas e demais organiza-
ções são dirigidas, monitoradas e incentivadas, envolvendo os relacionamentos 
entre sócios, conselho de administração, diretoria, órgãos de fiscalização e 
controle e demais partes interessadas. 
As boas práticas de governança corporativa convertem princípios básicos em 
recomendações objetivas, alinhando interesses com a finalidade de preservar 
e otimizar o valor econômico de longo prazo da organização, facilitando seu 
acesso a recursos e contribuindo para a qualidade da gestão da organização, 
sua longevidade e o bem comum.
Como todas informações cruciais de uma empresa ficam armazenadas nos 
sistemas de informações, é preciso ter a garantia de que elas estão seguras 
e com os acessos monitorados. Para entender o quão grave e importante é 
a implementação de sistemas de segurança das informações, o congresso 
norte-americano criou uma a chamada Lei SOx, com o objetivo de fomentar 
a criação de mecanismos de segurança confiáveis nas empresas, garantindo 
a transparência na condução de seus negócios.
O conceito da governança em TI é, portanto, estabelecer controles que 
garantam máxima transparência no fluxo de informações da empresa para 
os acionistas, diretores e gestores.
Alguns fatores motivadores para a implementação da governança de TI são:
 � integração tecnológica;
 � estar de acordo com normas e regulações do mercado;
 � manter o ambiente de negócio atualizado;
 � TI fazendo o papel de prestador de serviço;
 � segurança da informação;
 � dependências do negócio em relação à TI;
 � prestação de contas;
 � transparência.
Lei Sarbanes-Oxley
Você acabou de ver que esta lei foi criada pelo congresso norte-americano a 
fim de estabelecer regras com o foco na transparência no fluxo das informações 
das empresas. Confira a seguir os principais requisitos da lei:
Governança2
 � controlar a criação, a edição e o versionamento dos documentos em 
um ambiente de acordo com os padrões ISO, para controle de todos os 
documentos relativos à Seção 404 da Lei SOx;
 � cadastrar os riscos associados aos processos de negócios e armazenar 
os desenhos de processo;
 � utilizar ferramentas como editor de texto e planilha eletrônica para 
criação e alteração dos documentos da Seção 404 da Lei SOx;
 � publicar em múltiplos websites os conteúdos da Seção 404 da Lei SOx;
 � gerenciar todos os documentos controlando seus períodos de retenção 
e distribuição;
 � digitalizar e armazenar todos os documentos que estejam em papel, 
ligados à seção 404.
Seção 404
A Seção 404 da Lei SOx determina uma avaliação anual dos controles e 
procedimentos internos para emissão de relatórios financeiros. Além disso, o 
auditor, independentemente da companhia, deve emitir um relatório distinto, 
que ateste a asserção da administração sobre a eficácia dos controles internos 
e dos procedimentos executados para a emissão de relatórios financeiros.
Acordo de Basileia
Um dos acontecimentos mais conhecidos relacionados à preocupação de riscos 
é o Acordo de Basileia I, de 1988, realizado na cidade de Basileia na Suíça. 
O acordo de Basileia tem o objetivo de fixar índices, criando uma padroniza-
ção financeira mundial, tendo como objetivo diminuir o risco operacional e, 
consequentemente, o risco das instituições financeiras “falirem”. Em 2004, 
esse acordo ganhou sua segunda versão, o Basileia II, trazendo melhorias nas 
regras estabelecidas, algumas impactando diretamente a área de TI.
Alguns pontos que o Acordo Basileia II impacta em TI são: capacidade de 
armazenamento de dados, integridade das transações, segurança, contingência, 
planejamento da capacidade, integridade na emissão de relatórios entre outros.
3Governança
Gestão de portfólios e projetos
A gestão de portfólio de projetos, do inglês Project Portfolio Management 
(PPM), é responsável por trabalhar com vários projetos de forma paralela em 
um único portfólio e com objetivos comuns, obtendo, assim, a maximização 
dos resultados e a otimização na alocação integrada dos recursos da empresa. 
Ela controla e gerencia o andamento do desenvolvimento dos projetos e, em 
acordo com a estratégia definida pela empresa, os projetos são escolhidos e 
priorizados para o desenvolvimento.
O principal objetivo é a otimização do retorno sobre o investimento (ROI), 
aplicado na execução de todos os projetos relacionados em sintonia com 
os objetivos da organização. Logo, os critérios de priorização do portfólio 
para desenvolvimento se baseiam em investimentos de recursos alinhados às 
estratégias da empresa.
Normas e procedimentos para gestão 
de tecnologia da informação
Quando falamos em implementação de práticas e rotinas para a segurança das 
informações, significa seguir modelos existentes no mercado que auxiliam na 
aplicação correta da governança de TI. Eles estão em total sintonia com a Lei 
SOX e o acordo de Basileia. A seguir, você irá conhecer as principais normas 
e procedimentos para gestão de TI.
 � Information Technology Infrastructure Library (ITIL): é a publicação 
das melhores práticas para gerenciamentos de serviços em TI.
 � Control Objectives for Information and related Technology (COBIT): é 
um framework de boas práticas criado pela Information Systems Audit 
and Control Association (ISACA) para a governança de TI.
 � Capability Maturity Model Integration (CMMI): é um modelo com 
enfoque para a capacidade de maturidade de processos de software. 
 � Project Management Book Of Knowledge (PMBOK): é um guia criado 
pelo Project Management Institute (PMI), que tem o objetivo de divulgar 
boas práticas que podem ser aplicadas em gerenciamento de projetos.
 � Norma brasileira ISO International Electrotechnical Commission (IEC) 
NBR ISSO/IEC nº 17799: é um código de prática para a gestão de segu-
rança da informação, que tem como objetivo “estabelecer diretrizes e 
Governança4
princípios gerais para iniciar, implementar, manter e melhorar a gestão 
de segurança da informação em uma organização”.
A Figura 1 apresenta as áreas de foco da governança de TI.
Figura 1. Ilustração das cinco áreas de foco da governança de TI de acordo com o COBIT.
Fonte: OpServices (2014).
Governança de tecnologia da informação 
de acordo com o Control Objectives for Information 
and related Technology 
O COBITpossui o propósito de entregar todas as informações que a or-
ganização precisa para atingir os seus objetivos. Segundo a publicação do 
COBIT 4.1: “Essas áreas de foco em governança de TI descrevem os tópicos 
5Governança
que os executivos precisam atentar para direcionar a área de TI dentro de 
suas organizações”. A seguir, você verá um resumo das cinco áreas de foco 
segundo o COBIT.
 � Alinhamento estratégico: segundo o COBIT, “focar em garantir a 
ligação entre os planos de negócios e de TI, definindo, mantendo e 
validando a proposta de valor de TI, alinhando as operações de TI com 
as operações da organização”.
 � Entrega de valor: segundo o COBIT, “é a execução da proposta de 
valor de TI através do ciclo de entrega, garantindo que TI entrega 
os prometidos benefícios previstos na estratégia da organização, se 
concentrado em otimizar custos e provendo o valor intrínseco de TI”.
 � Mensuração de desempenho: segundo o COBIT, esta área de foco 
“acompanha e monitora a implementação da estratégia, término do 
projeto, uso dos recursos, processo de performance e entrega dos ser-
viços, usando, por exemplo, “balanced scorecards” que traduzem as 
estratégias em ações para atingir os objetivos, medidos através de 
processos contábeis convencionais”.
 � Gestão de recursos: segundo o COBIT, “refere-se à melhor utilização 
possível dos investimentos e o apropriado gerenciamento dos recursos 
críticos de TI: aplicativos, informações, infraestrutura e pessoas”.
 � Gestão de risco: segundo o COBIT, “requer a preocupação com riscos 
pelos funcionários mais experientes da corporação, um entendimento 
claro do apetite de risco da empresa e dos requerimentos de conformi-
dade, transparência sobre os riscos significantes para a organização 
e inserção do gerenciamento de riscos nas atividades da companhia”.
Para saber mais sobre como a governança de TI pode ajudar uma organização na 
busca de seus objetivos, leia o livro Governança de TI, escrito em 2005 por Peter Weill.
Governança6
Planejamento estratégico
O planejamento estratégico é o conjunto de mecanismos e processos que 
definem metas, ações e decisões na busca de um objetivo, o sucesso. Tanto o 
plano como a estratégia se complementam, embora sejam distintos. O plano é 
baseado em metodologias formais com conhecimento específico para a reali-
zação de um projeto, já a estratégia é formada por ideias podendo originar-se 
de qualquer pessoa.
Ferramentas
No planejamento estratégico podem ser utilizadas inúmeras ferramentas 
para análise e elaboração de um planejamento, veja a seguir algumas dessas 
ferramentas.
 � Análise política, econômica, social e tecnológica (PEST): cobre os 
elementos remotos de ambiente externo, como políticos, econômicos, 
sociais e tecnológicos. 
 � Planejamento de cenários: foi originalmente usado nas forças militares 
e, recentemente, usado por grandes corporações para analisar cenários 
futuros.
 � Análise das cinco forças de Porter: aborda a atratividade da indústria 
e a rivalidade por meio do poder de barganha dos compradores e forne-
cedores e a ameaça de produtos de substituição e novos concorrentes 
no mercado.
 � Análise SWOT (strengths, weaknesses, opportunities e threats): aborda 
forças e fraquezas internas em relação às oportunidades e ameaças 
externas.
 � Matriz de parcela de crescimento: envolve decisões de portfólio sobre 
quais empresas reter ou alienar.
 � Balanced Scorecards e mapas de estratégia: cria um quadro sistemático 
para medir e controlar a estratégia.
 � Avaliação responsiva: utiliza uma abordagem de avaliação constru-
tivista para identificar os resultados dos objetivos, que, em seguida, 
suporta futuros exercícios de planejamento estratégico.
7Governança
Planejamento estratégico de tecnologia 
da informação
O planejamento estratégico de tecnologia da informação (PETI) define todas 
as diretivas voltadas à TI de uma organização, como objetivos, alinhamentos, 
direções, concentrações de esforços, flexibilidade, continuidade dos negócios 
em áreas estratégicas e estruturação.
Ele necessita estar em sintonia com o planejamento estratégico corporativo, 
pois é o responsável por transmitir missão, visão e metas de curto e longo 
prazo voltadas ao setor de TI, permitindo a execução dos objetivos traçados 
para a empresa sair do ponto atual no presente para o ponto desejado no futuro.
Sua função principal é, por meio do planejamento, definir alocações de 
recursos, disponibilização de serviços, mensurabilidade de capacidade de 
infraestrutura para garantir o correto funcionamento de todo o fluxo de ações 
e serviços necessários para o funcionamento da TI da empresa.
Plano diretor de tecnologia da informação 
O plano diretor de TI (PDTI) é o documento que considera tudo o que foi 
estabelecido no planejamento estratégico de TI e os transforma em ações e 
projetos, que irão permitir que os objetivos definidos sejam alcançados visando 
ao sucesso na implementação da governança de TI. Ele também é responsável 
pela definição de processos críticos que impeçam descontinuidade, falhas e 
má comunicação entre os envolvidos na execução dos projetos. 
Além disso, ele é o responsável pelo levantamento de toda a infraestru-
tura e os recursos disponíveis e necessários para a execução dos objetivos, 
sintetizando suas implementações de forma tática e estratégica por meio de 
cronogramas, prazos, orçamentos, etc. Veja um exemplo na Figura 2.
O PETI é o responsável por definir os objetivos e projetos estratégicos da empresa, 
alinhando esses objetivos ao planejamento estratégico corporativo. O PDTI é o respon-
sável pelo estabelecimento de diretrizes para a TI e que tratam dos planos de execução 
dos projetos prioritários e da alocação de recursos gerados após o planejamento 
estratégico de TI.
Governança8
Figura 2. Fluxograma da implementação do PETI.
Fonte: Adaptada de OpServices (2014).
GOVERNANÇA corporativa. Instituto Brasileiro de Governança Corporativa, [201?]. Dispo-
nível em: . 
Acesso em: 12 mar. 2018.
O QUE você deve saber sobre governança de TI. OpServices, 1 abr. 2014. Disponível 
em: . Acesso em: 8 mar. 2018.
Leituras recomendadas
CHIARI, R. O que é COBIT? Compreenda os principais conceitos do framework. ITSM 
na prática, 8 mar. 2016. Disponível em: . Acesso em: 17 fev. 2018.
CHIARI, R. O que é ITIL? Tudo o que você precisa saber sobre o tema. ITSM na prática, 
15 out. 2016. Disponível em: . 
Acesso em: 17 fev. 2018.
DOROW, E. Governança e a gestão de riscos em TI. Governança de TI, 27 nov. 2010. 
Disponível em: . Acesso em: 17 fev. 2018.
9Governança
http://www.ibgc.org.br/index.php/governanca/governanca-corporativa
https://www.opservices.com.br/governanca-de-ti/
https://www.itsmnapratica.com.br/compre-
https://www.itsmnapratica.com.br/tudo-sobre-itil/
http://www.governancadeti.com/2010/11/governanca-e-a-gestao-
DOROW, E. O que é Governança de TI e para que existe? Governança de TI, 26 jul. 2010. 
Disponível em: . Acesso em: 17 fev. 2018.
DOROW, E. Os 5 focos da governança de TI, segundo o COBIT 4.1. Profissionais TI, 11 
maio 2011. Disponível em: . Acesso em: 15 fev. 2018.
FARIA, A. L. Conheça a NBR ISO/IEC 27002 – parte 1. Profissionais TI, 3 mar. 2010. Dispo-
nível em: . Acesso em: 15 fev. 2018.
GESTÃO de TI: entenda tudo sobre planejamento estratégico do setor de TI. Telium, 
30 jan. 2017. Disponível em: .Acesso em: 17 fev. 2018.
LEI Sarbanes-Oxley. Wikipedia, 10 jan. 2006. Disponível em: . Acesso em: 16 fev. 2018.
O QUE é gestão de portfólio de projetos? Project Builder, 30 maio 2017. Disponível 
em: . Acesso em: 15 fev. 2018.
PLANEJAMENTO estratégico. Wikipedia, 28 jul. 2006. Disponível em: . Acesso em: 16 fev. 2018.
VIDIGAL, V. PMBOK: Conceitos. Medium, 4 jun. 2013. Disponível em: . Acesso em: 15 fev. 2018.
Governança10
http://www.governancadeti.com/2010/07/o-que-e-governanca-de-
https://www.profissionaisti.com.br/2011/05/os-5-focos-
https://www.profissionaisti.com.br/2010/03/conheca-a-nbr-isoiec-27002-
https://blog.telium.com.br/gestao-de-ti-entenda-tudo-
https://pt.wikipedia.org/
https://www.projectbuilder.com.br/blog/o-que-e-gestao-de-portfolio-de-
http://pt.wikipedia.org/
Encerra aqui o trecho do livro disponibilizado para 
esta Unidade de Aprendizagem. Na Biblioteca Virtual 
da Instituição, você encontra a obra na íntegra.
Conteúdo: