Governança corporativa da tecnologia da informação - Corporate governance of information technology

A governança de tecnologia da informação ( TI ) é um subconjunto da disciplina de governança corporativa , com foco na tecnologia da informação (TI) e em seu desempenho e gerenciamento de risco . O interesse na governança de TI se deve à necessidade contínua dentro das organizações de concentrar os esforços de criação de valor nos objetivos estratégicos da organização e gerenciar melhor o desempenho dos responsáveis ​​pela criação desse valor no melhor interesse de todas as partes interessadas. Evoluiu a partir dos Princípios de Gestão Científica , Gestão da Qualidade Total e sistema de gestão da Qualidade ISO 9001 .

Historicamente, os executivos em nível de conselho adiam as principais decisões de TI ao gerenciamento de TI da empresa e aos líderes de negócios. As metas de curto prazo dos responsáveis ​​pelo gerenciamento de TI podem entrar em conflito com os melhores interesses de outras partes interessadas, a menos que seja estabelecida uma supervisão adequada. A governança de TI envolve sistematicamente a todos: membros do conselho, gerência executiva, equipe, clientes, comunidades, investidores e reguladores. Uma estrutura de Governança de TI é usada para identificar, estabelecer e vincular os mecanismos para supervisionar o uso da informação e da tecnologia relacionada para criar valor e gerenciar os riscos associados ao uso da tecnologia da informação.

Existem várias definições de governança de TI. Enquanto no mundo dos negócios o foco tem sido o gerenciamento de desempenho e a criação de valor, no mundo acadêmico o foco tem sido "especificar os direitos de decisão e uma estrutura de responsabilidade para estimular o comportamento desejável no uso de TI".

A definição do IT Governance Institute é: "... liderança, estruturas organizacionais e processos para garantir que a TI da organização sustenta e amplia as estratégias e objetivos da organização."

AS8015 , o Padrão Australiano para Governança Corporativa de Tecnologia da Informação e Comunicação (TIC), define Governança Corporativa de TIC como "O sistema pelo qual o uso atual e futuro das TIC é dirigido e controlado. Envolve avaliar e direcionar os planos de uso das TIC para apoiar a organização e monitorar seu uso para alcançar os planos. Inclui a estratégia e as políticas para o uso das TIC dentro de uma organização. "

Fundo

A disciplina de governança de tecnologia da informação surgiu pela primeira vez em 1993 como um derivado da governança corporativa e lida principalmente com a conexão entre os objetivos estratégicos de uma organização, metas de negócios e gerenciamento de TI dentro de uma organização . Ele destaca a importância da criação de valor e da responsabilidade pelo uso da informação e da tecnologia relacionada e estabelece a responsabilidade do corpo diretivo, em vez do diretor de informações ou da administração de negócios.

Os principais objetivos da governança da informação e tecnologia (TI) são (1) garantir que o uso da informação e tecnologia gere valor de negócios , (2) supervisionar o desempenho da gestão e (3) mitigar os riscos associados ao uso da informação e tecnologia. Isso pode ser feito por meio de direção em nível de conselho, implementando uma estrutura organizacional com responsabilidade bem definida para as decisões que impactam na realização bem-sucedida dos objetivos estratégicos e institucionalizar as boas práticas por meio da organização de atividades em processos com resultados de processo claramente definidos que podem ser vinculados ao objetivos estratégicos da organização.

Após as falhas de governança corporativa na década de 1980, vários países estabeleceram códigos de governança corporativa no início da década de 1990:

  • Comitê de Organizações Patrocinadoras da Comissão Treadway (EUA)
  • Relatório Cadbury (Reino Unido)
  • King Report (África do Sul).

Como resultado desses esforços de governança corporativa para melhor governar a alavancagem dos recursos corporativos, atenção específica foi dada ao papel da informação e da tecnologia de base para apoiar a boa governança corporativa. Logo se reconheceu que a tecnologia da informação não era apenas um facilitador da governança corporativa, mas como um recurso, era também um criador de valor que precisava de uma melhor governança.

Na Austrália, o AS8015 Corporate Governance of ICT foi publicado em janeiro de 2005. Foi adotado rapidamente como ISO / IEC 38500 em maio de 2008.

O processo de governança de TI impõe um vínculo direto dos recursos e processos de TI com os objetivos da empresa em linha com a estratégia. Existe uma forte correlação entre a curva de maturidade da governança de TI e a eficácia geral da TI.

Problemas

A governança de TI costuma ser confundida com gerenciamento de TI , conformidade e controles de TI . O problema é agravado por termos como "governança, risco e conformidade (GRC)", que estabelecem um vínculo entre governança e conformidade. O foco principal da governança de TI é a administração dos recursos de TI em nome de várias partes interessadas, cuja classificação é estabelecida pelo corpo diretivo da organização. Uma maneira simples de explicar a governança de TI é: o que pode ser alcançado com o aproveitamento dos recursos de TI. Enquanto a gestão de TI trata de "planejar, organizar, dirigir e controlar o uso dos recursos de TI" (ou seja, como ), a governança de TI trata de criar valor para as partes interessadas com base na orientação dada por aqueles que governam. A ISO 38500 ajudou a esclarecer a governança de TI ao descrever um modelo a ser usado pelos diretores da empresa.

Embora os diretores sejam responsáveis ​​por essa administração, não é incomum delegar essa responsabilidade à administração (negócios e TI), que deve desenvolver a capacidade necessária para entregar o desempenho esperado. Embora o gerenciamento de riscos e a garantia de conformidade sejam componentes essenciais da boa governança , o foco principal é entregar valor e gerenciar o desempenho (ou seja, "Governança, entrega de valor e gerenciamento de desempenho" (GVP)).

Frameworks

Existem algumas referências de apoio que podem ser guias úteis para a implementação da governança da informação e tecnologia (TI). Alguns deles são:

  • AS8015-2005 Padrão Australiano para Governança Corporativa de Tecnologia da Informação e Comunicação. AS8015 foi adotado como ISO / IEC 38500 em maio de 2008
  • ISO / IEC 38500: 2015 Governança corporativa de tecnologia da informação, (muito baseada em AS8015-2005) fornece uma estrutura para governança eficaz de TI para ajudar aqueles no mais alto nível das organizações a compreender e cumprir suas obrigações legais, regulamentares e éticas em relação ao uso de TI por suas organizações. A ISO / IEC 38500 é aplicável a organizações de todos os tamanhos, incluindo empresas públicas e privadas, entidades governamentais e organizações sem fins lucrativos. Este padrão fornece princípios orientadores para diretores de organizações sobre o uso eficaz, eficiente e aceitável da Tecnologia da Informação (TI) em suas organizações.
  • O COBIT é considerado a estrutura de governança e controle de TI líder mundial. O COBIT fornece um modelo de referência de 37 processos de TI normalmente encontrados em uma organização. Cada processo é definido junto com as entradas e saídas do processo, as principais atividades do processo, os objetivos do processo, as medidas de desempenho e um modelo de maturidade. A ISACA publicou o COBIT2019 em 2019 como uma "estrutura de negócios para a governança e gerenciamento de TI empresarial". O COBIT2019 consolida substitui o COBIT 5, que substituiu o COBIT 4.1, Val IT e Risk IT em uma única estrutura que atua como uma estrutura corporativa alinhada e interoperável com TOGAF e ITIL.
  • IGPMM- O Modelo de Maturidade dos Processos de Governança da Informação depende do amadurecimento de 22 processos que auxiliam na identificação - e no aprimoramento da gestão - do valor, custo e risco da informação. O CGOC atualizou o IGPMM em março de 2017. Os processos refletem as necessidades dos principais interessados ​​em informações, incluindo jurídico, gerenciamento de informações cadastrais (RIM), privacidade e segurança, linhas de negócios e TI. A maturação de cada processo de negócios passa por quatro estágios:
    • Estágio 1: Ad hoc e inconsistente
    • Estágio 2: Siled e manual
    • Estágio 3: Siled, consistente e instrumentado
    • Estágio 4: integrado, instrumentado e otimizado

Outras estruturas oferecem uma visão parcial dos Processos de Gestão e Governança de TI:

  • CMM - O modelo de maturidade de capacidade: foco na engenharia de software
  • ITIL - Foco na gestão de serviços de TI
  • ISO / IEC 20000 - Foco na gestão de serviços de TI
  • ISO / IEC 27001 - Foco em Gestão de Segurança da Informação
  • ISO / IEC 27005 - Foco em Gerenciamento de Risco de Segurança da Informação
  • ISO / IEC 29148 e IREB - Foco em Engenharia de Requisitos
  • ISO / IEC 29119 e ISTQB - Foco em Teste de Software

As estruturas de uso não específicas de TI incluem:

Certificação Profissional

  • Certificado em Governança de Tecnologia da Informação Empresarial ( CGEIT ) é uma certificação criada em 2007 pela ISACA . Ele é projetado para profissionais experientes, que podem demonstrar 5 ou mais anos de experiência, atuando em uma função de gerenciamento ou consultoria com foco na governança e controle de TI em nível empresarial. Também requer a aprovação em um teste de 4 horas, projetado para avaliar a compreensão do candidato sobre o gerenciamento de TI empresarial. O primeiro exame foi realizado em dezembro de 2008.
  • COBIT5 Foundation, COBIT5 Assessor e COBIT5 Implementation são certificações criadas em 2012 pela ISACA .

Veja também

Referências

Leitura adicional

  • Blitstein, Ron, 2012. "IT Governance: Bureaucratic Logjam or Business Enabler" , Cutter Consortium.
  • Brown, Allen E. e Grant, Gerald G. (2005) "Framing the Frameworks: A Review of IT Governance Research," Communications of the Association for Information Systems: Vol. 15, Artigo 38.
  • S. De Haes e W. Van Grembergen , “Explorando a relação entre as práticas de governança de TI e o alinhamento de negócios / TI por meio de análise de casos extremos em empresas financeiras belgas de médio a grande porte”, Journal of Enterprise Information Management , Vol. 22, No. 5, 2009, pp. 615–637.
  • Georgel F., IT Gouvernance: Maitrise d'un systeme d'information , Dunod, 2004 (Ed1) 2006 (Ed2), 2009 (Ed3), ISBN  2-10-052574-3 . "Gouvernance, audit et securite des TI", CCH, 2008 (Ed1) ISBN  978-2-89366-577-1
  • Lutchen, M. (2004). Gerenciando TI como um negócio: um guia de sobrevivência para CEOs. Hoboken, NJ, J. Wiley., ISBN  0-471-47104-6
  • Renz, Patrick S. (2007). "Projeto governamental." Heidelberg, Physica-Verl. (Contributions to Economics) ISBN  978-3-7908-1926-7
  • Van Grembergen, W. , Strategies for Information technology Governance , IDEA Group Publishing, 2004, ISBN  1-59140-284-0
  • Van Grembergen, W. e S. De Haes, Enterprise Governance of IT: Achieving Strategic Alignment and Value , Springer, 2009.
  • Wim Van Grembergen e S. De Haes, “Uma Jornada de Pesquisa em Governança Corporativa de TI, Negócios / Alinhamento de TI e Criação de Valor”, Jornal Internacional de TI / Alinhamento de Negócios e Governança , Vol. No. 1, 2010, pp. 1-13.
  • Weill, P. e Ross, JW (2004). Governança de TI: Como os melhores executores gerenciam os direitos de decisão de TI para resultados superiores, Boston, MA, Harvard Business School Publishing, ISBN  1-59139-253-5
  • Wilkin, CL e Chenhall, RH (2010). A Review of IT Governance: A Taxonomy to Inform AIS, Journal of Information Systems, 24 (2), 107-146.
  • Wood, David J., 2011. "Avaliando a Maturidade da Governança de TI: O Caso de San Marcos, Texas". Projetos de pesquisa aplicada, Texas State University-San Marcos . (Este artigo aplica uma estrutura COBIT modificada a uma cidade de médio porte.)