O que diz a norma ISO IEC quanto à implementação da governança em TI?

por João Souza Neto, Marcelo Silva da Cunha, Tomás Roberto Cotta Orlandi, Antônio João Azambuja, Rogério Guimarães, Fábio Batista e Helga Hedler

1.             INTRODUÇÃO

Hoje, as organizações públicas e privadas dependem sobremaneira da efetividade das suas áreas de Tecnologia da Informação (TI). No entanto, apesar de seu avanço e maturidade, essas tecnologias inseridas nos contextos organizacionais muitas vezes são percebidas como onerosas e dissociadas das missões, objetivos estratégicos e metas organizacionais. Não se percebendo um claro retorno de valor da TI.

Contrapondo tudo isso, a Governança de Tecnologia da Informação (GTI) está associada ao uso racional e efetivo da TI para sustentar e garantir o cumprimento dos interesses estratégicos das organizações e, nesse sentido, se apresenta como prática capaz de mitigar esse aparente desgoverno (NETO, 2013).

Van Grembergen e De Haes (2009, p.3) definem e posicionam a GTI em uma organização qualquer, seja ela do setor público ou privado. Esses autores estabelecem claramente a abrangência corporativa e organizacional da GTI. Segundo eles:

a Governança Corporativa de Tecnologia da Informação é parte integral da Governança Corporativa e aborda a definição e implementação, na organização, de processos, estruturas e mecanismos relacionais que habilitam tanto o pessoal de negócio quanto o pessoal de TI a executarem suas responsabilidades em suportar o alinhamento estratégico e a criação de valor de negócio a partir dos investimentos habilitadores pela TI.

Num mundo globalizado e fortemente alicerçado em uma economia digital, as organizações públicas e privadas nutrem uma crescente dependência de TI para o compartilhamento tempestivo de informações, efetivo controle operacional, rapidez na inovação e satisfação do cidadão/cliente. Mais do que nunca, a transformação digital, impulsionada pela convergência digital, tecnologias móveis, Internet das coisas, computação em nuvem, redes sociais e data analytics, se faz presente e necessária, e assim a GTI vem se tornando cada vez mais vital e complexa.

Neste contexto, as Administrações Públicas Estaduais e Distrito Federal (APED) necessitam de estratégias de TI alinhadas que busquem maximizar o valor dos investimentos em TI, enquanto minimizam os riscos associados ao seu uso e gerenciam os recursos tecnológicos, financeiros e humanos de forma a viabilizar o alcance efetivo dos objetivos estratégicos governamentais.

Diante do exposto, as APED precisam assegurar que as decisões da alta administração sejam baseadas em estratégias, prioridades e necessidades das organizações do executivo estadual. Os responsáveis pela Governança de TI das APED - alta administração - devem se envolver nas decisões relacionadas com o uso da TI nas organizações do executivo estadual, para garantir que não se perca o foco no atendimento às necessidades do cidadão.

2.             A NECESSIDADE DA GOVERNANÇA DE TI NAS APED

2.1.    Governança de TI no Setor Público

Autores como Cepik e Canabarro (2014), Campbell, McDonald e Sethibe (2009), Raup-Kounovsky et al (2009) e Liu e Ridley (2007) chamam a atenção para as diferenças da GTI no setor público e na iniciativa privada, sobretudo sobre o aumento da complexidade em se tratando do poder público.

Campbell, McDonald e Sethibe (2009, p.10) alertam para as diferenças contextuais, que devem ser consideradas entre a GTI no setor público e no setor privado australianos. Fatores ambientais como menos incentivo para a produtividade, mais restrições formais e legais e prestígio político, influenciam fortemente a efetividade da GTI e devem ser abordados.

Raup-Kounovsky et al (2009, p.369), com foco nos Estados Unidos da América, destacam que o alinhamento entre o contexto governamental e a governança é um elemento crítico a ser considerado antes de se projetar um framework de GTI. O estabelecimento de papéis e responsabilidades de GTI em organizações governamentais complexas mostra-se muito difícil, por exemplo, ao se levar em consideração toda a extensão de um estado.

Liu e Ridley (2007, p.3) estabelecem que essas diferenças advêm da grande diversidade dos dois setores, quais sejam: fatores ambientais (por exemplo, menor exposição ao mercado, mais restrições legais e formais, e maior influência política); ambiente organizacional de transações (por exemplo, maior nível de poder exigido, escopo de atuação mais amplo, maior nível de controle dos agentes públicos e maiores expectativas); e estruturas e processos internos (por exemplo, critérios mais complexos, poder e papeis dos gestores, mudança mais frequente da alta administração e grande dificuldade em criar incentivos para o desempenho efetivo e eficiente).

Assim, como consequência, tem-se que o controle sobre o processo de TI é ainda mais importante no setor público que no setor privado (Beaumaster, 2002 apud Liu e Ridley, 2007) e (Management Advisory Committee, 2002 apud Liu e Ridley, 2007). Faz-se, portanto, necessário a construção de um Modelo de Governança e Gestão de TI para as Administrações Públicas Estaduais e Distrito Federal.

O modelo proposto de Governança e Gestão de Tecnologia da Informação foi construído com base na família de Normas Técnicas ISO/IEC 38.500 (ISO/IEC 38500:2015, ISO/IEC 38501:2015 e ISO/IEC 38502:2015); na Constituição da República Federativa do Brasil, de 5 de outubro de 1988 (BRASIL, 1988), nos artigos 25, “Os Estados organizam-se e regem-se pelas Constituições e leis que adotarem, observados os princípios desta Constituição”, 32, “O Distrito Federal, vedada sua divisão em Municípios, reger-se-á por lei orgânica, votada em dois turnos com interstício mínimo de dez dias, e aprovada por dois terços da Câmara Legislativa, que a promulgará, atendidos os princípios estabelecidos nesta Constituição”, e 37, “A administração pública direta e indireta de qualquer dos Poderes da União, dos Estados, do Distrito Federal e dos Municípios obedecerá aos princípios de legalidade, impessoalidade, moralidade, publicidade e eficiência”; nas Constituições Estaduais dos estados da federação e na Lei Orgânica do Distrito Federal.

3.             MODELO DE GOVERNANÇA E GESTÃO DE TECNOLOGIA DA INFORMAÇÃO DE UMA APED (MGGTI-APED)

4.1.    O Modelo

O corpo de Governança de TI é responsável e responsabilizado (accountable) quanto ao uso atual e futuro da TI nas organizações estaduais. A figura 1 mostra o modelo proposto de Governança e Gestão de TI de uma APED.

Figura 1 - Modelo de Governança e Gestão de TI de uma APED

Fonte: Os autores.

Na figura 1, são mostrados os principais atores do Modelo:

·        As EETI são as Entidades Estaduais de TI, às quais compete executar as políticas de Tecnologia da Informação do Governo do estado, visando a melhoria dos serviços oferecidos às organizações da APED e aos cidadãos, tendo por finalidade: executar o planejamento da área de TI; desenvolver novos sistemas de informação no âmbito do Governo para prestar serviços ao cidadão; gerir os projetos de investimentos em TI, bem como acompanhar e controlar os seus gastos; realizar a gestão da infraestrutura de TI corporativa da APED; participar do corpo de governança de TI do estado, colaborando na definição de normas e padrões a serem observados pelas organizações estaduais, visando assegurar compatibilidade e qualidade das informações geradas para subsidiar a tomada de decisões;

·        O corpo de Governança de TI estadual deve ser composto, obrigatoriamente por gestores do Governo do Estado, podendo ter, opcionalmente, a participação de gestores da EETI e dos órgãos estaduais, sendo responsável pelo desempenho e conformidade da TI do estado;

·        Os gestores de TI são grupos de pessoas responsáveis pela supervisão da TI das organizações estaduais.

4.2.    Princípios do Modelo

No MGGTI-APED, há seis princípios da boa Governança de TI. Os princípios expressam o comportamento desejado nas tomadas de decisão. A declaração de cada princípio refere-se ao que deve ocorrer, mas não prescreve como, quando ou por quem os princípios devem ser implementados. O corpo de Governança de TI deve exigir que os princípios sejam aplicados em todas as organizações da APED.

Os princípios que devem orientar o comportamento dos gestores da APED na tomada de decisão, para o bom exercício da Gestão e da Governança corporativa de TI, são apresentados do Quadro 1.

Quadro 1: Princípios que devem orientar o comportamento dos gestores da APED na tomada de decisão.

Fonte: Norma ISO/IEC 38.502:2015, adaptada.

4.3.    Tarefas de Governança

Segundo a norma ISO/IEC 38.500:2015, o corpo de governança de TI deve governar o uso da TI por meio das seguintes tarefas, explicitadas na Figura 2:

·        Avaliar (no contexto da governança de TI, avaliar envolve julgamentos sobre as circunstâncias e oportunidades internas e externas, atuais e futuras relacionadas ao uso atual e futuro da TI)

·        Direcionar (no contexto da governança de TI, direcionar envolve a definição de objetivos, estratégias e políticas a serem adotadas pelas organizações estaduais para assegurar que o uso da TI atenda aos objetivos estratégicos do estado); e

·        Monitorar (envolve a obtenção rotineira de informações sobre o progresso dos planos, bem como a revisão periódica dos resultados globais à luz das estratégias e metas estabelecidas, provendo uma base para a tomada de decisão e ajustes dos planos).

Figura 2 - Papeis do corpo de governança de TI à luz da norma ISO/IEC 38.500:2015.

Fonte: Norma ISO/IEC 38.500:2015.

As tarefas de avaliar, direcionar e monitorar são realizadas, em estreita cooperação, pelo corpo de governança de TI e os gestores, para permitir ao corpo de Governança de TI dirigir e controlar o uso da TI para cumprir os objetivos estratégicos estaduais.

Na realização de suas atividades de Governança, o corpo de Governança de TI deve levar em conta as obrigações regulatórias e as expectativas legítimas das partes interessadas em suas decisões, bem como os impactos do ambiente interno e externo.

4.4.    Responsabilidades dos Gestores de TI

Os gestores são responsáveis por garantir a realização dos objetivos organizacionais no âmbito das estratégias e políticas estabelecidas pelo corpo de Governança de TI. Os gestores são responsabilizados perante o corpo de Governança de TI no que diz respeito às responsabilidades atribuídas.

No corpo gerencial, pode haver a figura do gerente executivo, que é um servidor com autoridade delegada pelo corpo de Governança de TI para a implementação de estratégias e políticas de TI para cumprir a finalidade de uma organização estadual. Em algumas APED, os gestores executivos nomeados fazem parte do corpo de Governança de TI.

4.5.    Relação entre Governança e Gestão de TI

Os elementos-chave da relação entre Governança e Gestão de TI no modelo apresentado são:

4.5.1. Responsabilidades do corpo de Governança de TI

Os membros do corpo de Governança de TI são responsáveis pela Governança de TI no estado e são responsabilizados pelo uso efetivo, eficiente e aceitável de TI nas organizações da APED.

O papel principal do corpo de Governança de TI é garantir que o estado obtenha valor dos investimentos realizados em TI, com os riscos gerenciados adequadamente.

São responsabilidades do corpo de Governança de TI:

a)  Estabelecer mecanismos de supervisão para a Governança de TI, que sejam apropriadas para o nível de dependência das estratégias estaduais de TI;

b)  Ter uma compreensão clara da importância da TI para a consecução das estratégias estaduais, bem como do risco potencial para o estado do uso estratégico da TI;

c)  Criar uma equipe para auxiliá-lo na supervisão do uso da TI no estado, a partir de um ponto de vista estratégico. A necessidade de uma equipe destacada para esse fim vai depender da importância da TI para o estado e do seu porte;

d)  Garantir que todos os seus membros compreendam a importância do uso estratégico da TI e tenham conhecimento das tendências e direções da TI; e

e)  Monitorar a eficácia dos mecanismos de Governança de TI, exigindo, regularmente, auditorias e avaliações independentes.

4.5.2. Formulação e supervisão da estratégia

A governança provê os meios pelos quais o corpo de Governança de TI define a direção para as organizações estaduais no que refere ao uso da TI e monitora o desempenho dos seus gestores na obtenção dos resultados requeridos.

No geral, o corpo de Governança de TI atua na orientação das organizações estaduais por meio da formulação de estratégias e da supervisão do desempenho gerencial na implementação dessas estratégias. Em muitas organizações estaduais, há um gestor executivo que coordena gestores de TI. Esse gestor executivo deve ter uma visão clara de como a TI pode ser melhor utilizada para o benefício da organização, quer no presente, quer no futuro.

Papel do corpo de Governança de TI na formulação da estratégia:

a)  Garantir que os ambientes interno e externo do estado são monitorados regularmente e analisados para determinar se há necessidade de rever a estratégia de TI e as políticas associadas. Isso inclui necessidades e expectativas dos cidadãos, o relacionamento com outros estados e com o governo federal, os seus pontos fortes, pontos fracos, ameaças e oportunidades, novas tecnologias, exigências regulatórias, mudanças políticas e econômicas, e outros fatores;

b)  Garantir que políticas sejam desenvolvidas para orientar o comportamento organizacional. As políticas devem apoiar a realização dos objetivos estratégicos estaduais, incluindo exigências da legislação e de regulamentos. Podem também ser baseadas nas melhores práticas e nos modelos e frameworks reconhecidos internacionalmente da área de TI, orientando a organização estadual em termos de gestão de riscos de TI ou de melhorias na eficiência e na eficácia; e

c)  Garantir a prontidão estratégica de TI do estado frente à grande dinâmica observada no mercado de TI, cuidando para que haja capacidade nas organizações estaduais para implementar as mudanças necessárias.

4.5.3. Delegação

Aspectos de Governança de TI podem ser tratados por gestores executivos se eles tiverem a responsabilidade adequada, atribuída pelo corpo de Governança de TI, juntamente com a autoridade delegada.

Ao delegar autoridade para a Governança de TI, o corpo de Governança de TI deve estabelecer claramente as responsabilidades e limites para a tomada de decisões, e mecanismos para assegurar a conformidade com as estratégias e políticas e que o desempenho no alcance dos objetivos estratégicos seja monitorado e avaliado.

O corpo de Governança de TI deve garantir que aqueles a quem autoridade foi delegada tenham as competências e as habilidades necessárias, com o corpo de Governança de TI retendo a supervisão das principais decisões.

São atividades de governança que o corpo de Governança de TI, em princípio, não deve delegar:

a)  aprovação de objetivos, estratégias e políticas para o uso de TI;

b)  aprovação de grandes investimentos que envolvam a utilização de TI;

c)  supervisão de programas e projetos com um impacto importante sobre as iniciativas estratégicas estaduais; e

d)  aprovação das principais práticas de gestão de risco como as relativas à segurança e continuidade das iniciativas estratégicas.

4.5.4. Responsabilidades dos gestores

Os gestores são responsáveis pelo alcance dos objetivos estratégicos estaduais em conformidade com as estratégias e políticas para o uso de TI definidas pelo corpo de governança de TI.

Os gestores são responsáveis por assegurar que as organizações estaduais conseguem obter os resultados esperados dentro dos limites estabelecidos pelas estratégias e políticas de TI estipulados pelo corpo de governança de TI. As responsabilidades e responsabilizações dos gestores são determinadas pelo corpo de governança de TI.

Os gestores são responsáveis pela implementação de estratégias e políticas, bem como pela implementação e fiscalização do sistema de gestão necessário ao alcance dos objetivos estabelecidos pelo corpo de governança de TI, o que inclui:

a)  desenvolver e comunicar planos e normas para TI baseados em princípios e políticas estabelecidos pelo corpo de governança de TI;

b)  desenvolver o planejamento estratégico de TI como parte do planejamento estratégico estadual, se a autoridade para tanto lhe foi delegada pelo corpo de governança de TI;

c)  estabelecer mecanismos de gestão do provimento de TI em apoio às iniciativas estaduais;

d)  estabelecer mecanismos para a gestão de oferta e demanda de TI para as iniciativas estaduais;

e)  aplicar gestão de risco de TI, de forma integrada com o sistema de gestão de risco do estado;

f)   garantir que os investimentos de TI serão geridos com foco na agregação de valor às estratégias estaduais; e

g)  monitorar e avaliar o desempenho e a conformidade da sua organização.

4.5.5. Governança e controles internos

A governança de TI efetiva requer o estabelecimento de um sistema eficaz de controles internos, como parte dos sistemas de gestão organizacionais.

Os gestores têm a responsabilidade de avaliar os riscos para a organização e de implementar um sistema de controles internos apropriado. O corpo de governança de TI estabelece políticas de controles internos, levando em conta o apetite a risco do Governo do Estado. A gestão de riscos é um elemento fundamental do MGGTI-APED já que o risco tem de ser considerado durante todas as atividades de avaliação, orientação e acompanhamento.

Estabelecimento de Controles Internos

a)  Os requisitos específicos para o controle interno devem basear-se na concretização dos objetivos estratégicos estaduais e dos requisitos regulamentares;

b)  Controles adequados devem ser concebidos para reduzir os riscos associados a cada processo ou projeto, promovendo a capacidade da organização de atingir seus objetivos estratégicos;

c)  O sistema de controles internos deve contemplar:

·        a definição clara das responsabilidades da TI dentro da organização estadual. Isso inclui as responsabilidades, limites de responsabilidades, autoridade, responsabilizações e procedimentos de reporte;

·        a comunicação de informações relevantes e confiáveis para permitir o exercício adequado das responsabilizações;

·        a gestão de riscos para identificar e analisar os riscos da TI relacionados à concretização dos objetivos estratégicos estaduais e a gestão de políticas e procedimentos de gestão de riscos para assegurar que a gestão de riscos seja efetiva; e

·        o monitoramento contínuo do sistema de controles internos.

4.6.    Elementos Básicos de um Framework de Governança de TI de uma APED

Um framework de governança de TI é composto por estratégias, políticas, estruturas de tomada de decisão e prestação de contas por meio das quais os arranjos de governança de TI das APED operam. O sistema de gestão de TI e o uso da TI devem basear-se num framework de governança de TI.

O framework de governança real será determinado pela própria APED e dependerá das especificidades da administração e das responsabilidades e decisões tomadas pelo seu corpo de governança de TI. A Figura 3 mostra os elementos básicos de um framework de Governança de TI para uma APED e o Quadro 3 os descreve. Os blocos Sistema de Gestão da TI e Uso da TI pelo Estado constituem os elementos de gestão.

Figura 3 - Elementos Básicos de um Framework de Governança de TI de uma APED

Fonte: Norma ISO/IEC 38.502:2015, adaptada.

Quadro 3: Elementos básicos do framework de governança de TI

Fonte: Norma ISO/IEC 38.502:2015, adaptada.

Recomenda-se que os frameworks implantados pelas APED tenham, no mínimo, os elementos básicos acima apresentados.

1.             O LEVANTAMENTO DE GTI UCB/IPEA

A Universidade Católica de Brasília (UCB) e o Instituto de Pesquisa Econômica Aplicada (IPEA) construíram um levantamento, que consistiu na coleta das avaliações de cada APED quanto a vinte e nove sentenças. Para cada sentença, a APED deverá responder se Discorda Totalmente, Discorda Parcialmente, Não Concorda Nem Discorda, Concorda Parcialmente ou Concorda Totalmente, numa escala Likert de 1 a 5.

A sentenças foram organizadas em sete grupos, conforme disposto no Quadro 4.

Quadro 4: Sentenças do instrumento de levantamento de GTI nas APED.

Fonte: Os autores.

Os resultados do questionário serão disponibilizados no próximo post.

1.             CONCLUSÕES

Uma contribuição relevante desta pesquisa foi a definição de um Modelo Governança e Gestão de TI para as Administrações Públicas Estaduais e Distrito Federal - MGGTI-APED - alinhado às melhores práticas internacionais de Governança e Gestão de TI e conforme às mais recentes normas internacionais sobre o tema.

Por conseguinte, essa pesquisa contribuirá para o aprimoramento da gestão de TI nos estados, promovendo a minimização dos riscos, a redução dos custos, a ética e a transparência, em suma, aprimorando a eficiência e a eficácia da máquina pública.   

2.             REFERÊNCIAS

BRASIL. Constituição (1988).  Constituição da República Federativa do Brasil. Brasília, DF: Senado Federal, 1990. 210 p.

CAMPBELL, J.; MCDONALD, C.; SETHIBE, T. Public and private sector IT governance: identifying contextual differences. Australasian Journal of Information Systems, v. 16, n. 2, p. 5-18, 2009. Disponível em: < journal.acs.org.au/index.php/ajis/article/download/538/491 >. Acesso em: 31 out. 2016.

CEPIK, M.; CANABARRO, D.R. Governança de TI: transformando a administração pública no Brasil. Porto Alegre: UFRGS/CEGOV, 220 p., 2014. Disponível em: < www.ufrgs.br/cegov/files/pub_48.pdf >. Acesso em: 31 out. 2016.

DE HAES, S.; VAN GREMBERGEN, W. IT governance and its mechanisms. Information Systems Control Journal, v. 1, p. 27-33, 2004. Disponível em: < www.antwerpmanagementschool.be/media/287488/IT%20Gov%20and%20mechanisms.pdf >. Acesso em: 31 out. 2016.

INTERNATIONAL ORGANIZATION FOR STANDARDIZATION - ISO / INTERNATIONAL ELECTROTECHNICAL COMMISSION - IEC. International Standard ISO/IEC 38.500 - Information technology -- Governance of IT for the organization. 2015.

INTERNATIONAL ORGANIZATION FOR STANDARDIZATION - ISO / INTERNATIONAL ELECTROTECHNICAL COMMISSION - IEC. International Standard ISO/IEC 38.501 - Information technology -- Governance of IT -- Implementation guide.

INTERNATIONAL ORGANIZATION FOR STANDARDIZATION - ISO / INTERNATIONAL ELECTROTECHNICAL COMMISSION - IEC. International Standard ISO/IEC 38.502 - Information technology -- Governance of IT -- Framework and model. 2015.

IT GOVERNANCE INSTITUTE – ITGI. Board briefing on IT governance. 2003, 2nd. ed. 66p. Disponível em: < www.isaca.org/knowledge-center/research/researchdeliverables/

pages/board-briefing-on-it-governance-2nd-edition.aspx >. Acesso em: 31 out. 2016.

LIU, Q.; RIDLEY, G. Control in the Australian public sector: an international comparison. In: Proceedings of the Thirteenth European Conference on Information Systems, 26-28 May 2005, Regensburg, Germany. Anais… Regensburg, Germany, p. 26-28, 2005. Disponível em: < eprints.utas.edu.au/753/1/ePrintsVersionLiuECIS13.pdf >. Acesso em: 31 out. 2016.

NETO, S, J; SANTOS, N, L, D. Anuário da governança de TI na administração pública federal. Edição 2012/2013. Brasília, 2013. Disponível em: < www.amazon.com/

Anu%C3%A1rio-Governan%C3%A7a-Administra%C3%A7%C3%A3o-P%C3%BAblica-Portuguese-ebook/dp/B00GWTYUYU/ref=sr_1_1?ie=UTF8&qid=1478004817&sr=8-1&keywords=anuario+governan%C3%A7a >. Acesso em: 31 out. 2016.

RAUP-KOUNOVSKY, A.; HRDINOVÁ, J.; CANESTRARO, D.S.; PARDO, T.A.  Public sector IT governance: from frameworks to action. In: ICEGOV '09 Proceedings of the 3th International Conference on Theory and Practice of Electronic Governance, 3., 2009, Nova Iorque. Anais…Nova Iorque: ACM New York, 2009, p. 369-371. Disponível em: < dl.acm.org/citation.cfm?id=1693120&dl=ACM&coll=DL&CFID=689063905&CFTOKEN=67027728 >. Acesso em: 31 out. 2016.

VAN GREMBERGEN, W.; DE HAES, S. Enterprise governance of information technology: achieving strategic alignment and value, Springer Science, New York. Boston: Springer, 218 p., 2009.

Quais são os princípios básicos definidos pela norma ISO 38.500 para a aplicação de uma governança de TI eficiente?

Faz parte da implementação de governança de TI?

O que são modelos de governança de TI?

Qual modelo é utilizado para a governança de TI?