Governança corporativa aplicada em TI: como usar os frameworks
A governança corporativa é um conjunto de práticas que garante a transparência, a eficiência e a responsabilidade das organizações em relação aos seus stakeholders. Além disso, ela envolve aspectos como estratégia, gestão de riscos, compliance, ética e sustentabilidade. Portanto, essas práticas são essenciais para assegurar que a organização opere de maneira íntegra e eficaz, atendendo às expectativas de todas as partes interessadas.
Valores Fundamentais da Governança Corporativa
Ela baseia-se em valores fundamentais que incorporam práticas, conceitos e processos. Esses valores incluem:
- Justiça (senso de equidade): Garante o tratamento equitativo aos acionistas, respeitando os direitos dos acionistas minoritários e majoritários. Além disso, trata de forma justa os demais stakeholders.
- Transparência (disclosure): Forneçe informações transparentes sobre questões relevantes para os negócios, incluindo resultados financeiros, riscos e oportunidades.
- Responsabilidade (accountability): Presta contas de forma responsável, seguindo as melhores práticas de contabilidade e auditoria. Garantindo, assim, a confiabilidade na gestão.
- Conformidade (compliance): Cumpre as normas regulatórias, contratuais e políticas aplicáveis.
Esses valores estão presentes em todos os conceitos de governança corporativa e são aplicáveis em qualquer localidade, cultura ou tipo de empresa.
Além disso, é importante alinhar os recursos e os processos de tecnologia da informação aos objetivos e às necessidades do negócio. Isso gera valor e minimiza os riscos. A governança corporativa em TI também busca garantir a qualidade, a segurança e a conformidade dos serviços e produtos de TI, visando a satisfação dos clientes e usuários.
Portanto, para implementar a governança corporativa em TI, adote frameworks que orientem as melhores práticas e os padrões de referência para o gerenciamento de projetos, serviços e processos de TI. Neste artigo, apresentamos três dos principais frameworks utilizados no mercado: o COBIT 2019, o ITILv4 e o PMBOK.
COBIT 2019
O COBIT 2019 é a versão mais recente do framework de governança e gestão de TI desenvolvido pela ISACA (Information Systems Audit and Control Association). Ele é baseado em seis princípios:
- Fornecer valor para as partes interessadas: o sistema de governança deve atender às necessidades e expectativas das partes interessadas, equilibrando benefícios, riscos e recursos.
- Ter uma abordagem holística: o sistema de governança deve integrar componentes de diferentes tipos, como processos, estruturas, pessoas, informações e cultura.
- Ser dinâmico: o sistema de governança deve se adaptar às mudanças internas e externas que afetam a organização e o ambiente de TI.
- Ser personalizado: o sistema de governança deve ser adequado ao contexto e à realidade da organização, considerando fatores como tamanho, setor, cultura e estratégia.
- Ser orientado por objetivos: o sistema de governança deve definir e monitorar os objetivos de governança e gestão de TI, alinhados aos objetivos do negócio.
- Seguir um modelo baseado em desempenho: o sistema de governança deve medir e avaliar o desempenho da TI em relação aos objetivos estabelecidos.
Componentes Principais do COBIT 2019
Modelo de Referência do Sistema de Governança
Este Modelo de Referência do Sistema de Governança descreve os elementos essenciais para um sistema eficaz de governança de TI. Ele fornece uma estrutura que ajuda as organizações a entender e implementar práticas de governança que atendam às suas necessidades específicas. Esse modelo é fundamental para garantir que todos os aspectos da governança de TI sejam considerados e integrados de maneira coerente.
Modelo de Referência do Processo
O Modelo de Referência do Processo define os processos necessários para a gestão de TI, agrupados em quatro domínios principais:
- Avaliar, Direcionar e Monitorar (ADM): Este domínio foca na avaliação das necessidades de TI, no direcionamento das estratégias e na monitoração do desempenho.
- Alinhar, Planejar e Organizar (APO): Este domínio trata do alinhamento das estratégias de TI com os objetivos de negócios, do planejamento das iniciativas de TI e da organização dos recursos.
- Construir, Adquirir e Implementar (BAI): Este domínio cobre a construção, aquisição e implementação de soluções de TI que atendam às necessidades do negócio.
- Entregar, Operar e Suportar (DSS): Este domínio se concentra na entrega, operação e suporte dos serviços de TI, garantindo que eles sejam eficientes e eficazes.
Modelo de Referência do Componente Governante
Os componentes que habilitam a governança de TI são especificados pelo Modelo de Referência do Componente Governante. Assim, esses componentes incluem estruturas organizacionais, papéis e responsabilidades, políticas e procedimentos. Eles são essenciais para estabelecer uma base sólida para a governança de TI, garantindo que todos os envolvidos entendam suas funções e responsabilidades.
Guia para Implementação
O Guia para Implementação fornece orientações práticas para implementar o sistema de governança de TI na organização. Além disso, ele oferece um passo a passo detalhado que ajuda as organizações a aplicar os princípios e práticas do COBIT 2019 de maneira eficaz. Esse guia é crucial para garantir que a implementação seja bem-sucedida e que a governança de TI seja mantida ao longo do tempo.
Ademais, o COBIT 2019 também possui um conjunto de publicações complementares que abordam temas específicos como risco, segurança, auditoria e maturidade. Essas publicações, por sua vez, ajudam a aprofundar o entendimento e a aplicação do framework em diferentes contextos organizacionais.
ITILv4
O Information Technology Infrastructure Library, versão 4 (ITILv4) é a versão mais atualizada do framework de gerenciamento de serviços de TI desenvolvido pela Axelos (uma joint venture entre o governo britânico e a Capita). O ITILv4 é baseado em quatro dimensões:
- Organizações e pessoas: que envolve os aspectos relacionados à cultura, à capacitação e à colaboração entre os profissionais de TI e as demais áreas da organização;
- Informações e tecnologias: que abrange os aspectos relacionados aos dados, aos sistemas, às ferramentas e às infraestruturas de TI que suportam os serviços;
- Parceiros e fornecedores: que trata dos aspectos relacionados aos acordos, às relações e às integrações entre a organização e os provedores externos de serviços de TI;
- Fluxos de valor e processos: que diz respeito aos aspectos relacionados aos modos de trabalho, às atividades e às práticas que entregam valor para os clientes e usuários dos serviços de TI.
O ITILv4 possui dois componentes principais
- O Sistema de Valor do Serviço (SVS): que descreve como os componentes e as atividades da organização trabalham em conjunto para facilitar a criação de valor por meio dos serviços de TI;
- O Modelo de Cadeia de Valor do Serviço (CVS): que define as seis etapas para a entrega e o gerenciamento dos serviços de TI, sendo elas: planejar, melhorar, engajar, projetar e transitar, obter/construir e entregar/suportar.
O ITILv4 também possui um conjunto de práticas que fornecem orientações detalhadas para o gerenciamento de serviços de TI. Essas práticas são agrupadas em três categorias. Primeiramente, as práticas gerais incluem gestão de mudanças, gestão de incidentes e gestão de problemas.
Além disso, as práticas de serviço abrangem gestão de catálogo de serviços, gestão de nível de serviço e gestão de portfólio de serviços. Por fim, as práticas técnicas envolvem gestão de ativos, gestão de configuração e gestão de disponibilidade. Essas categorias ajudam a organizar e implementar as melhores práticas para o gerenciamento eficaz dos serviços de TI.
PMBOK
O PMBOK, sigla para Project Management Body of Knowledge, é um guia publicado pelo Project Management Institute (PMI). Ele descreve boas práticas, diretrizes aceitas e terminologias padronizadas no setor de gerenciamento de projetos. O PMBOK baseia-se em 12 princípios:
Ser um bom administrador
Primeiramente, o gerente de projetos deve agir com responsabilidade, respeito e integridade em relação aos recursos do projeto, às partes interessadas e ao ambiente.
Criar um ambiente colaborativo
Além disso, o gerente de projetos deve promover a confiança, a comunicação, a cooperação e o aprendizado entre os membros da equipe do projeto e as demais partes interessadas.
Envolver as partes interessadas
Ademais, o gerente de projetos deve identificar, envolver e gerenciar as expectativas das partes interessadas ao longo do ciclo de vida do projeto.
Concentrar-se no valor
Paralelamente, o gerente de projetos deve definir, entregar e medir o valor do projeto para as partes interessadas, alinhado aos objetivos estratégicos da organização.
Reconhecer, avaliar e responder aos riscos do sistema
Além disso, o gerente de projetos deve considerar os riscos associados ao projeto como um todo, bem como aos seus componentes individuais, e tomar medidas para mitigá-los ou aproveitá-los.
Demonstrar liderança comportamental
Igualmente importante, o gerente de projetos deve liderar pelo exemplo, inspirando, motivando e influenciando positivamente as pessoas envolvidas no projeto.
Adaptar-se ao ambiente
O gerente de projetos deve também adaptar sua abordagem, seus processos e suas práticas ao contexto do projeto, considerando fatores como complexidade, incerteza e ambiguidade.
Construir qualidade nos processos e nos resultados
Além disso, o gerente de projetos deve aplicar padrões de qualidade adequados aos processos e aos resultados do projeto, buscando a melhoria contínua.
Navegar na complexidade
O gerente de projetos deve reconhecer e responder à complexidade do projeto, usando técnicas como pensamento sistêmico, pensamento crítico e criatividade.
Otimizar o fluxo do projeto
Além disso, o gerente de projetos deve otimizar o fluxo das atividades do projeto, eliminando desperdícios, reduzindo gargalos e maximizando valor.
Ser ágil e adaptável
O gerente de projetos deve ser ágil e adaptável na entrega do projeto, incorporando feedbacks, mudanças e acomodando as necessidades dos clientes e usuários.
Habilitar a mudança e a inovação
Finalmente, o gerente de projetos deve habilitar a mudança e a inovação no projeto, incentivando a experimentação, a aprendizagem e a geração de valor.
Grupos de Processos do PMBOK
O PMBOK possui cinco grupos de processos que descrevem as fases do ciclo de vida do projeto:
- Iniciação: Define e autoriza o projeto ou uma fase do projeto. Esse grupo de processos é crucial para estabelecer a base do projeto.
- Planejamento: Estabelece o escopo, os objetivos e o curso de ação necessário para alcançar os objetivos. Além disso, ele detalha como o projeto será executado e controlado.
- Execução: Realiza o trabalho definido no plano de gerenciamento do projeto para satisfazer os requisitos do projeto. Portanto, é a fase onde a maior parte do orçamento é gasto.
- Monitoramento e Controle: Acompanha, revisa e regula o progresso e o desempenho do projeto, identificando áreas onde são necessárias mudanças. Assim, garante que o projeto permaneça no caminho certo.
- Encerramento: Finaliza todas as atividades do projeto ou de uma fase do projeto, formalizando a aceitação do projeto ou da fase e encerrando-o de forma organizada. Dessa forma, assegura que todos os critérios de sucesso foram atendidos.
Áreas de Conhecimento do PMBOK
O Project Management Body of Knowledge (PMBOK) também possui 10 áreas de conhecimento que abordam os aspectos técnicos do gerenciamento de projetos:
- Integração
- Escopo
- Cronograma
- Custo
- Qualidade
- Recursos
- Comunicações
- Riscos
- Aquisições
- Partes Interessadas
Essas áreas de conhecimento ajudam a garantir que todos os aspectos do projeto sejam gerenciados de forma eficaz e eficiente.
Conclusão
Concluindo, a governança corporativa aplicada em TI é uma forma de garantir que os recursos e os processos de TI estejam alinhados aos objetivos e às necessidades do negócio, gerando valor e minimizando os riscos. Assim, para implementá-la, é preciso adotar frameworks que orientem as melhores práticas e os padrões de referência para o gerenciamento de projetos, serviços e processos de TI.
Se você gostou deste conteúdo ou tem alguma dúvida ou sugestão sobre o tema, deixe seu comentário abaixo. E se você quer saber mais sobre segurança cibernética nas empresas, entre em contato conosco. Somos especialistas em cibersegurança e podemos te ajudar a implementar estruturas robustas para a segurança da informação e segurança dos dados de seus negócios.
Bernard Colen, Analista de Comunicação.
“Microhard 30 anos – Cada vez mais próxima para proteger a sua Informação!”