Governança de TI: Definição, estruturas e práticas recomendadas

Sophie Danby Julho 10, 2024
- 13 min read

A governança de TI é a cola que mantém unido o restante do Gerenciamento de Serviços de TI (ITSM). Ela garante que sua organização, seus dados e seu pessoal estejam protegidos. A governança de TI eficaz ajuda a TI a permanecer em sincronia com os objetivos comerciais e, ao mesmo tempo, reduz os riscos.

Neste artigo, veremos por que ela é importante para sua empresa, seus domínios, as diferentes estruturas disponíveis e as funções envolvidas na garantia da governança de TI em toda a empresa.

Vamos começar.

O que é governança de TI?

A governança de TI é a estrutura que fornece uma estrutura formal para que as organizações garantam que os investimentos em TI apoiem os objetivos comerciais. Ela enfatiza a importância de alinhar a estratégia de TI com a estratégia geral de negócios para produzir resultados mensuráveis e atingir as metas organizacionais. É o gerenciamento de como as organizações são administradas para promover a transparência e a responsabilidade nas operações comerciais.

A governança tornou-se importante após alguns casos de fraude corporativa de alto nível na década de 1990 e no início dos anos 2000. Esses eventos levaram vários países a estabelecer e manter regras e regulamentos para a governança corporativa, como a Lei Sarbanes-Oxley e a Lei Graham-Leach-Bailey.

Os cinco domínios da governança de TI

IT governance is typically divided into five domains: value delivery, strategic alignment, Performance Management, Resource Management, Risk Management.

A governança de TI é normalmente dividida em cinco domínios:

  • Entrega de valor, orientada para o fato de a TI entregar ou não valor para o restante da empresa.
  • Alinhamento estratégico, que questiona se as metas de TI e da organização estão alinhadas.
  • Gerenciamento de desempenho, focado em como o desempenho de TI está sendo gerenciado.
  • Gerenciamento de recursos, orientado para saber se os recursos de TI estão sendo gerenciados de forma eficaz e adequada.
  • Gerenciamento de riscos, que verifica se os riscos estão sendo identificados, relatados e tratados.

Por que a governança de TI é importante?

A governança de TI eficaz traz os seguintes benefícios:

  • Garante que os requisitos legais, regulamentares e de conformidade da empresa sejam atendidos.
  • Reduz os riscos.
  • Oferece suporte às metas comerciais e garante que os objetivos de TI estejam alinhados com o restante dos negócios.
  • Apoia o crescimento e a inovação, proporcionando à organização uma base sólida de operações.
  • Proporciona às empresas uma vantagem competitiva maior, especialmente se houver uma norma ISO ou outra iniciativa de prática recomendada verificada de forma independente.
  • Garante que as políticas, os processos e os procedimentos adequados sejam aplicados de forma consistente em toda a organização.

O que é conformidade regulatória?

A conformidade regulatória refere-se à adesão as leis, aos regulamentos, as diretrizes e as especificações relevantes para o negócio de uma organização. No contexto da governança de TI, ela garante que as empresas sigam padrões e estruturas específicos para proteger os dados, manter a integridade operacional e atender aos requisitos legais.

Esses regulamentos podem variar de acordo com o setor e a região, o que torna crucial que as organizações se mantenham informadas sobre as últimas atualizações e alterações para evitar possíveis penalidades e problemas legais.

A conformidade regulamentar eficaz envolve a implementação de políticas e procedimentos robustos, a realização de auditorias regulares e a garantia de monitoramento e relatórios contínuos. Ao fazer isso, as organizações podem não apenas evitar repercussões legais e financeiras, mas também criar confiança entre as partes interessadas, demonstrando um compromisso com práticas éticas e segurança de dados. A integração da conformidade normativa às estruturas de governança de TI ajuda as organizações a alinhar suas estratégias de TI com os objetivos definidos pelos líderes de negócios, promovendo uma cultura de responsabilidade e transparência.

Soluções de governança de TI

As soluções de governança deTI são projetadas para ajudar as organizações a gerenciar e controlar seus recursos de TI de forma eficaz, garantindo que os investimentos em TI apoiem as metas comerciais. Em geral, essas soluções incluem estruturas, ferramentas e práticas recomendadas que orientam os processos de tomada de decisão, otimizam o desempenho da TI e reduzem os riscos. Com a implementação de soluções de governança de TI, as organizações podem obter maior alinhamento entre as estratégias de TI e de negócios, melhorar a alocação de recursos e aumentar a eficiência operacional geral.

As estruturas populares de governança de TI, como COBIT, ITIL e ISO/IEC 38500, oferecem abordagens estruturadas para o gerenciamento de serviços e recursos de TI. Essas estruturas oferecem diretrizes para definir funções e responsabilidades, estabelecer métricas de desempenho e implementar processos de melhoria contínua. Além disso, soluções de software como plataformas de gerenciamento de serviços de TI (ITSM) e ferramentas de governança, risco e conformidade (GRC) fornecem a infraestrutura necessária para automatizar e otimizar as atividades de governança de TI, garantindo uma governança consistente e eficaz em toda a organização.

Estruturas de governança de TI

Existe apenas uma estrutura de governança de TI? Bem, não. Existem várias estruturas, cada uma com seus próprios princípios e requisitos. A implementação de uma estrutura de governança de TI em um programa de governança de TI é essencial para cumprir as regras e os regulamentos específicos do setor. Vamos dar uma olhada mais de perto nas seis estruturas mais comuns.

1. ISO 38500

A ISO 38500 é o padrão internacional para a governança corporativa da tecnologia da informação. Ela orienta aqueles que aconselham, informam ou auxiliam os diretores sobre o uso eficaz e aceitável da tecnologia da informação pela organização.

Essa estrutura de governança define seis princípios:

  1. Estabelecer responsabilidades.
  2. Planejar para melhor apoiar a organização.
  3. Fazer aquisições por motivos válidos.
  4. Garantir os níveis de desempenho necessários.
  5. Garantir a conformidade com as regras.
  6. Garantir o respeito aos fatores humanos.

A ISO/IEC 38500 é aplicável à governança de decisões e processos de gerenciamento relacionados aos serviços de informação e comunicação de uma organização.

2. ISO/IEC 27000

A ISO/IEC 27000 é a norma para a gestão da segurança da informação. A ISO/IEC 27000:2018 fornece uma visão geral da prática, bem como definições comumente usadas nos padrões de ISMS.

Essa norma garante que as organizações tenham as políticas corretas para assegurar que haja privacidade, confidencialidade e segurança adequadas em relação aos serviços de TI e de segurança cibernética.

 

 

 

3. COBIT

O COBIT é uma estrutura detalhada de práticas, modelos e ferramentas analíticas aceitas globalmente e projetadas para a governança e o gerenciamento da TI corporativa. Seu objetivo é ajudar as organizações a atender aos requisitos regulatórios e de gerenciamento de riscos e aliar a estratégia de TI às metas do negócio como um todo.

O COBIT tem cinco princípios fundamentais:

  1. Atender às necessidades das partes interessadas.
  2. Abranger a empresa de ponta a ponta.
  3. Aplicação de uma única estrutura integrada.
  4. Possibilitar uma abordagem holística.
  5. Separar a governança do gerenciamento.

4. ITIL

A ITIL éa estrutura de práticas recomendadas que permite que os departamentos de TI ofereçam suporte aos negócios de forma eficaz, eficiente e segura. Ela tem sete princípios orientadores:

  1. Foco no valor.
  2. Colaborar e promover a visibilidade.
  3. Otimizar e automatizar.
  4. Começar onde você está.
  5. Avance iterativamente com feedback.
  6. Mantenha a simplicidade e a praticidade.
  7. Pense e trabalhe de forma holística.

A ITIL é uma das estruturas de governança mais usadas em todo o mundo. Seu principal benefício é que ela fornece orientação prática sobre o gerenciamento e a melhoria dos serviços de TI e as funções e responsabilidades necessárias para dar suporte e executá-los.

5. CMMI

O modelo CMMI (Capability Maturity Model Integration, Integração do Modelo de Maturidade de Capacidade) ajuda as organizações a realizar o aprimoramento do processo e a desenvolver comportamentos que diminuem os riscos no desenvolvimento de serviços, produtos e software.

Embora o CMMI tenha sido inicialmente adaptado para atividades de desenvolvimento de software, as versões mais recentes podem ser aplicadas ao desenvolvimento de hardware-software e de serviços de ponta a ponta. O modelo permite que as organizações meçam, criem e aprimorem recursos para melhorar o desempenho geral.

O modelo CMMI tem cinco níveis:

  1. Inicial.
  2. Gerenciado.
  3. Definido.
  4. Gerenciado quantitativamente.
  5. Otimização.

6. Análise fatorial do risco da informação

Abreviado como FAIR, o Factor Analysis of Information Risk é um modelo de governança que ajuda as organizações a quantificar os riscos. O foco está na segurança cibernética e no risco operacional para apoiar uma tomada de decisão mais bem informada. Seu objetivo é fornecer às organizações os padrões e as práticas recomendadas para medir, gerenciar e relatar o risco da informação sob a perspectiva dos negócios.

Estrutura de governança de TI: funções e responsabilidades

É essencial lembrar que a governança de TI precisa ser sustentada por funções e responsabilidades para ser eficaz. A publicação ITIL 4 Direct, Plan, and Improve recomenda a seguinte estrutura para auxiliar a governança de TI eficaz:

Estrutura de governança Função na governança organizacional
Conselho de Administração

Responsável pela governança da organização. Suas principais responsabilidades incluem:

  • Definir objetivos estratégicos.
  • Fornecer a liderança para implementar a estratégia.
  • Supervisionar a administração.
  • Prestar contas aos acionistas.
Acionistas

Responsável pela indicação de diretores e auditores para garantir uma governança eficaz

Comitê de Auditoria

Responsável por apoiar o conselho de administração, fornecendo uma avaliação independente do desempenho e da conformidade da administração

Embora o exposto acima lhe dê um ponto de partida, é importante observar que há aspectos da governança que são de responsabilidade de todos na organização. Um exemplo é o uso adequado e seguro dos equipamentos de TI, com o treinamento, o suporte e o compartilhamento de conhecimento necessários para que isso aconteça.

Práticas recomendadas de governança de TI

Uma das perguntas mais frequentes sobre governança é: "Como posso saber se minha organização está fazendo isso bem?" A resposta vem na forma de mais perguntas, a saber:

  • A governança tem os níveis adequados de suporte em sua organização? Ela é priorizada em todos os níveis? Todos na empresa sabem quais são suas responsabilidades com relação à governança organizacional?
  • O órgão de governança faz seu trabalho de forma eficaz? Quem faz o controle?
  • A função de TI toma decisões independentemente do restante da empresa ou há colaboração ou, pelo menos, supervisão entre os dois?
  • Quais controles estão em vigor para monitorar os gastos de TI a fim de garantir transparência e justiça?

Uma coisa é certa: as organizações dos setores público e privado precisam de governança de TI para garantir que suas funções de TI apoiem as estratégias e os objetivos comerciais.

São muitas perguntas, certo? Felizmente, podemos nos apoiar em nossos velhos amigos COBIT e ISO/IEC 38500I para obter ajuda. A estrutura do COBIT tem os seguintes princípios sobre governança, informando que a governança de TI deve:

  • Satisfazer as necessidades das partes interessadas e gerar valor a partir do uso de informações e tecnologia.
  • Ser construída a partir de vários componentes que podem ser de diferentes tipos e que trabalham juntos de forma holística.
  • Ser dinâmica, sempre considerando o efeito de mudanças em qualquer um de seus fatores de projeto.
  • Distinguir claramente entre atividades e estruturas de gerenciamento e governança.
  • Ser adaptada às necessidades da empresa, usando um conjunto de fatores de projeto como parâmetros para personalizar e priorizar seus componentes.
  • Cobrir a empresa de ponta a ponta, concentrando-se em toda a tecnologia e no processamento de informações que ela usa para atingir seus objetivos, inclusive o processamento terceirizado.

Além da orientação do COBIT, a norma ISO/IEC 38500 define seis princípios que são necessários para a governança eficaz da TI:

  • Responsabilidade - Todos os colegas entendem suas responsabilidades e estão capacitados para cumpri-las.
  • Estratégia - Garantir que as estratégias de negócios e de TI estejam alinhadas.
  • Aquisição - Todos os gastos com TI são transparentes, com o equilíbrio adequado de benefícios, custos e riscos levados em consideração.
  • Desempenho - A TI atende às necessidades da empresa e cumpre os níveis de serviço acordados.
  • Conformidade - O uso dos sistemas de TI está em conformidade com todos os requisitos legais e regulamentares, e as políticas de suporte apropriadas são bem gerenciadas e aplicadas.
  • Comportamento humano - As políticas, práticas e decisões de TI demonstram respeito pelo comportamento humano.

Software de governança de TI

A tecnologia tem um papel importante a desempenhar na governança eficaz de TI. Veja como o InvGate Service Management e o Insight podem ajudar:

  • Gerenciamento deincidentes e solicitações - Todos os contatos de TI rastreados em toda a empresa em um local central.
  • Gestão de ativos - ajudando-o a gerenciar, controlar e proteger seu patrimônio
  • Painéis de relatórios para ajudar na tomada de decisões eficazes.
  • A capacidade de compartilhar painéis com os clientes para maior transparência.

O resultado final

A governança de TI é essencial em qualquer organização orientada a serviços para garantir que ela opere de forma transparente e atenda às diretrizes regulamentares, legais e de conformidade. Embora possa ser um pouco complicado, as seis estruturas de governança de TI são ótimas aliadas para superar os desafios, portanto, deixe que elas o orientem durante o processo.

E certifique-se de que você tenha o software de governança de TI certo para ajudá-lo também. Se você quiser descobrir o que InvGate Service Management e Insight podem fazer por você, agende uma chamada com a nossa equipe ou solicite o teste gratuito de 30 dias para explorá-lo no seu ritmo!

Perguntas frequentes

Como escolher a estrutura de governança de TI correta?

Observe a área de exposição mais significativa em sua organização de TI. É a maturidade do processo? Nesse caso, o ITIL, o COBIT e o CMMI podem ajudá-lo a elevar o nível de suas práticas de TI. É o gerenciamento de riscos? Então, considere o padrão FAIR ou ISO 38500. É a segurança de TI? Então, dê uma olhada na ISO 27001.

Como implementar a governança de TI?

Novamente, comece com seu maior risco ou área de exposição. Concentre-se primeiro em colocar isso sob controle e, depois, desenvolva a partir daí.

Para que a implementação da governança de TI seja bem-sucedida, é fundamental integrá-la às operações da organização e garantir que os investimentos em TI apoiem os objetivos comerciais.

O que há em um plano de governança de TI?

Um plano para analisar como os recursos tecnológicos serão usados, gerenciados e monitorados para garantir que a TI ofereça os resultados certos e, ao mesmo tempo, reduza os riscos.

O que é o processo de governança de TI?

A governança de TI direciona, monitora e planeja os recursos de TI para garantir que todos os resultados regulamentares, legais e de conformidade sejam cumpridos.

Como auditar a governança de TI?

Um processo de auditoria independente deve ser implementado para garantir que seus processos de governança estejam funcionando como deveriam. É uma prática recomendada compartilhar os resultados com a diretoria e o comitê de auditoria para garantir honestidade e transparência.

Read other articles like this : ITIL