Leis e NormasSegurança patrimonial e eletrônica

A governança da Tecnologia da informação (TI)

Equipe Target

NBR ISO/IEC 38500 de 11/2018: a governança da TI

A NBR ISO/IEC 38500 de 11/2018 – Tecnologia da informação – Governança da TI para a organização fornece princípios orientativos para os membros das estruturas de governança das organizações (que podem incluir proprietários, diretores, parceiros, gerentes executivos ou similares) sobre o uso efetivo, eficiente e aceitável de tecnologia.

O objetivo desta norma é fornecer uma estrutura de princípios para os dirigentes usarem na avaliação, gerenciamento e monitoramento do uso da tecnologia da informação (TI) em suas organizações. A maioria das organizações usa a TI como uma ferramenta fundamental do negócio e poucas podem realmente funcionar eficazmente sem ela. A TI é também um fator importante nos futuros planos de negócio de muitas organizações.

As despesas com TI podem representar uma proporção significativa dos gastos de recursos financeiros e humanos de uma organização. No entanto, o retorno desse investimento não é totalmente obtido com frequência e os efeitos adversos podem ser significativos para as organizações. A principal razão para esses resultados negativos é a ênfase nos aspectos técnico, financeiro e de programação das atividades de TI ao invés da ênfase no uso da TI no contexto geral do negócio.

Esta norma oferece uma estrutura para a governança eficaz de TI que ajuda a alta administração das organizações a entender e cumprir suas obrigações legais, regulamentares e éticas com relação ao uso da TI em suas organizações. A estrutura apresenta definições, princípios e um modelo. Esta norma está alinhada com a definição de Governança Corporativa publicada como Relatório do Comitê sobre Aspectos Financeiros de Governança Corporativa (o Relatório Cadbury) em 1992.

O Relatório Cadbury também forneceu a definição básica de Governança Corporativa para os Princípios de Governança Corporativa da OECD em 1999 (revisado em 2004). Os usuários desta norma são encorajados a se familiarizem com o Relatório Cadbury e com os Princípios de Governança Corporativa da OECD. Governança é diferente de gerenciamento e, para evitar confusão, os dois conceitos são claramente definidos na norma.

Embora esta norma seja destinada principalmente à diretoria, que por sua vez pode decidir que certas ações sejam tomadas pela administração da organização, ela permite também que, em algumas organizações (geralmente menores), os membros da diretoria possam também ocupar papéis importantes no gerenciamento. Dessa forma, garante que a norma seja aplicável em todas as organizações, desde as menores até as maiores, independentemente da área de atuação, do propósito e da estrutura de propriedade.

Também tem como finalidade informar e orientar os envolvidos no projeto e na implementação do sistema de gerenciamento de políticas, processos e estruturas que suportam a governança. Oferece princípios para orientar os dirigentes das organizações (incluindo proprietários, membros do conselho de administração, diretores, parceiros, executivos seniores ou similares) sobre o uso eficaz, eficiente e aceitável da Tecnologia de Informação (TI) dentro de suas organizações.

Esta norma se aplica aos processos de gerenciamento da governança (e decisões) relacionados aos serviços de informação e comunicação usados por uma organização. Esses processos podem ser controlados por especialistas em TI dentro da própria organização, por provedores externos de serviço ou pelas unidades de negócio da organização.

Ela também fornece orientações para aqueles que aconselham, informam ou assessoram os dirigentes. Incluem-se: gerentes seniores; membros de grupos de monitoramento de recursos dentro da organização; especialistas externos, de negócios ou técnicos, tais como jurídico ou contábil; especialistas, associações de varejo ou entidades profissionais; fornecedores de hardware, software, comunicações e outros produtos de TI; fornecedores internos e externos de serviços (incluindo consultores); auditores de TI.

Esta norma se aplica a todas as organizações, incluindo organizações públicas ou privadas, entidades governamentais e organizações sem fins lucrativos. Aplica às organizações de todos os tamanhos, pequenas e grandes, independentemente da extensão de seus usos de TI. O seu propósito é promover o uso eficaz, eficiente e aceitável da TI em todas as organizações, para: garantir às partes interessadas (incluindo consumidores, acionistas e funcionários) que, se a norma for seguida, pode-se confiar na governança corporativa de TI da organização; informar e orientar os dirigentes quanto ao uso da TI em suas organizações; e fornecer uma base para uma avaliação objetiva da governança corporativa de TI.

Estabelece os princípios para o uso eficaz, eficiente e aceitável da TI. Ela assegura às organizações que seguem estes princípios que os dirigentes poderão avaliar melhor os riscos e aproveitar as oportunidades advindas com o uso da TI. Estabelece um modelo para a governança de TI. O risco de os dirigentes não cumprirem suas obrigações pode ser minimizado se for dada a devida atenção ao modelo e à sua correta aplicação aos princípios.

A governança corporativa de TI corretamente aplicada pode ajudar os dirigentes a garantir o cumprimento das obrigações (regulamentares, legislativas, legais, contratuais) relativas ao uso aceitável da TI. Sistemas de TI inadequados podem expor os dirigentes ao risco de não cumprir com a legislação.

Por exemplo, em algumas jurisdições, os dirigentes podem ser pessoalmente responsabilizados se um sistema inadequado de contabilidade resultar em não pagamento de impostos. Processos tratados por TI incorporam riscos específicos que devem ser corretamente abordados.

Por exemplo, os dirigentes de organizações podem ser responsáveis por violações de: normas de segurança; legislação de privacidade; legislação de spam; legislação de práticas de comércio; direitos de propriedade intelectual, incluindo acordos de licenças de softwares; exigências de registro de informações; legislação e regulamentações ambientais; legislação de saúde e segurança; legislação de acessibilidade; normas de responsabilidade social.

Os dirigentes que usarem as orientações fornecidas nesta norma têm maior probabilidade de cumprir com suas obrigações. A apropriada governança corporativa de TI ajuda os dirigentes a garantir que o uso da TI contribua positivamente para o bom desempenho da organização, através de: correta implementação e operação dos ativos de TI; clareza quanto à responsabilidade e obrigatoriedade em prestar conta, tanto quanto ao uso quanto à provisão da TI para atingir as metas da organização; continuidade e sustentabilidade do negócio; alinhamento da TI com as necessidades do negócio; alocação eficiente de recursos; inovação nos serviços, mercados e negócio; boas práticas nos relacionamentos com as partes interessadas; redução nos custos da organização; e concretização atual dos benefícios aprovados de cada investimento de TI.

Há seis princípios de boa governança corporativa de TI. Os princípios são aplicáveis à maioria das organizações. Os princípios expressam o comportamento preferido para orientar uma tomada de decisão. O enunciado de cada princípio refere-se ao que convém acontecer, mas não descreve como, quando ou por quem os princípios seriam implementados – já que estes aspectos dependem da natureza da organização que está implementando os princípios. Convém que os dirigentes exijam que estes princípios sejam aplicados.

Para o Princípio 1: Responsabilidade, os indivíduos e grupos dentro da organização compreendem e aceitam suas responsabilidades com respeito ao fornecimento e demanda de TI. Aqueles responsáveis pelas ações também têm autoridade para desempenhar tais ações.

Para o Princípio 2: Estratégia, a estratégia de negócio da organização leva em conta as capacidades atuais e futuras de TI; os planos estratégicos para TI satisfazem as necessidades atuais e contínuas da estratégia de negócio da organização.

Para o Princípio 3: Aquisição, as aquisições de TI são feitas por razões válidas, com base em análise apropriada e contínua, com tomada de decisão clara e transparente. Existe um equilíbrio apropriado entre benefícios, oportunidades, custos e riscos, de curto e longo prazo.

Para o Princípio 4: Desempenho, a TI é adequada ao propósito de apoiar a organização, fornecendo serviços, níveis de serviço e qualidade de serviço, necessários para atender aos requisitos atuais e futuros do negócio. Para o Princípio 5: Conformidade, a TI cumpre com toda a legislação e regulamentos obrigatórios. As políticas e práticas são claramente definidas, implementadas e fiscalizadas.

Para o Princípio 6: Comportamento Humano, as políticas, práticas e decisões de TI demonstram respeito pelo Comportamento Humano, incluindo as necessidades atuais e futuras de todas as “pessoas no processo”. Convém que os dirigentes governem TI através de três tarefas principais: avaliar o uso atual e futuro da TI; orientar a preparação e a implementação de planos e políticas para assegurar que o uso da TI atenda aos objetivos do negócio; monitorar o cumprimento das políticas e o desempenho em relação aos planos.

A figura abaixo mostra o modelo do ciclo Avaliar-Dirigir-Monitorar para a Governança de TI. O texto da Figura 1 explica os elementos e relacionamentos descritos.

Os dirigentes devem examinar e avaliar o uso atual e futuro da TI, incluindo estratégias, propostas e arranjos de fornecimento (interno, externo ou ambos). Na avaliação do uso da TI, convém que os dirigentes considerem as pressões externas e internas que influenciam o negócio, tais como mudanças tecnológicas, tendências econômicas e sociais e influências políticas.

Convém que os dirigentes empreendam avaliação contínua, conforme as pressões mudam. Convém que os dirigentes também levem em conta as necessidades atuais e futuras do negócio – os objetivos organizacionais atuais e futuros que devem alcançar, tais como manter a vantagem competitiva além dos objetivos específicos das estratégias e propostas que estão avaliando.

Convém que os dirigentes designem responsabilidade e exijam preparação e implementação dos planos e políticas. Os planos devem estabelecer a direção dos investimentos nos projetos de TI e operações de TI.

As políticas devem estabelecer um comportamento sólido no uso da TI. Os dirigentes devem assegurar que a transição dos projetos para a entrada em operação seja corretamente planejada e gerenciada, levando em conta os impactos no negócio e nas práticas operacionais, como também nos sistemas de TI e infraestrutura existente.

FONTE: Equipe Target

Artigos Relacionados

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Close