Por Marcos Bernardino em 18/09/2018 em Artigo

A governança de TI é uma estrutura formal que garante que os investimentos e práticas em TI suportem os objetivos de negócios.  A governança de TI fornece uma estrutura para alinhar a estratégia de TI com a de negócios. Seguindo uma estrutura formal, as organizações podem produzir resultados mensuráveis ​​para alcançar suas estratégias e metas.

Programa formal

Um programa formal também leva em consideração os interesses das partes interessadas. Assim como as necessidades do pessoal e os processos que eles seguem.  Para isso é necessário que funções, processos, pessoas, políticas, ferramentas e tudo que é relacionado a TI sejam geridos segundo as diretrizes de TI. Além disso, estejam alinhadas aos objetivos do negócio. No quadro geral, a governança de TI é parte integrante da governança corporativa.

As organizações hoje estão sujeitas a muitas regulamentações que regem a proteção de informações confidenciais, responsabilidade financeira, retenção de dados e recuperação de desastres, entre outras. Elas também estão sob pressão de acionistas e clientes. Para garantir que atendam aos requisitos internos e externos, muitas organizações implementam um programa formal de governança de TI. Ele fornece uma estrutura de melhores práticas e controles.

Tanto organizações do setor público quanto do setor privado precisam de uma maneira de garantir que suas funções de TI apoiem ​​estratégias e objetivos de negócios. No entanto, a implementação de um programa abrangente de governança de TI exige muito tempo e esforço. Organizações muito pequenas podem praticar apenas métodos essenciais de governança de TI. Já o objetivo de organizações maiores e mais regulamentadas deve ser um programa de governança de TI completo.

Origens

O aumento da preocupação e das práticas de governança mais amadurecidas estão em 2002. A governança corporativa foi um tema de discussão dominante no meio corporativo em meio a descoberta de fraudes em demostrativos financeiros de algumas empresas nos EUA. Por consequência destes fatos, houve desconfiança entre os investidores. A partir daí o nível de regulamentação aumentou e a governança corporativa se adaptou para que o comportamento dos executivos estivessem alinhados com o interesse dos acionistas, para evitar fraudes, erros estratégicos e abuso de poder. Por consequência se aprimoraram as práticas de governança de TI, para que a TI estivesse alinhada como um todo ao negócio.

Frameworks

Existem várias maneiras de implementar a Governança de TI, no entanto, a maneira mais fácil é começar com um framework criado por especialistas do setor e usado por milhares de organizações. Muitas estruturas incluem guias de implementação para ajudar as organizações a entrar em fase de um programa de governança de TI com menos problemas e mais rápido.

Alguns frameworks mais usados são, por exemplo:

COBIT

O COBIT(Control Objectives for Information and related Technology) foi desenvolvido na década de 90 pelo ISACA (Information System Audit and Control Association). A sua publicação define o COBIT como “Modelo Corporativo para Governança e Gestão de TI da Organização”. Este framework completo adota princípios, práticas, ferramentas analíticas e modelos globalmente aceitos. A estrutura de governança de TI do COBIT® tem como objetivo vincular metas de negócios a objetivos de TI. Dessa forma, ela fornece modelos de métricas e maturidade para medir cada conquista, além de identificar as responsabilidades associadas dos proprietários de negócios e de TI.

O COBIT 5, lançado em 2012, é a mais recente versão do COBIT e incorpora as atividades de governança da ISO 38500 e outras estruturas ISACA.

O COBIT 5 leva em consideração o pensamento mais recente sobre a governança da tecnologia da informação. Assim, ele fornece princípios, ferramentas analíticas e modelos para aumentar a confiança e o valor derivado dos sistemas de informação.

O framework COBIT pode ajudar organizações de todos os tamanhos a:

  • Melhorar e manter informações de alta qualidade para apoiar decisões de negócios.
  • Usar a TI de maneira eficiente para atingir as metas de negócios.
  • Usar a tecnologia para promover a excelência operacional.
  • Garantir que os riscos de TI sejam gerenciados de maneira eficaz.
  • Garantir o retorno sobre o investimento em serviços e tecnologia de TI.
  • Alcançar a conformidade com leis, regulamentos e acordos contratuais.

O COBIT 5 é um marco importante na governança da TI, permitindo que as empresas simplifiquem seus esforços implementando uma estrutura única de governança, risco e conformidade (GRC) em toda a organização. Por exemplo, se uma empresa está apenas começando, o COBIT 5 ajudará mapeando um roteiro para uma abordagem acelerada. O COBIT também dá um melhor controle à governança da TI corporativa se uma empresa já tiver um ambiente de GRC em vigor.

Princípios

Existem sete habilitadores e cinco princípios, que segundo está escrito na publicação do COBIT 5, apoiam as organizações no desenvolvimento, implementação, melhoria e monitoramento contínuos das boas práticas de governança e gestão de TI. Sendo que habilitador é definido como algo tangível ou intangível que auxilia na efetividade da governança de TI. Dessa forma, o COBIT 5 diferencia claramente entre governança e gerenciamento de TI. Os cinco princípios são:

  • Princípio 1: Atender às Necessidades das Partes Interessadas
  • Princípio 2: Cobrir a Empresa de Ponta a Ponta
  • Princípio 3: Aplicar um Modelo Único Integrado
  • Princípio 4: Permitir uma Abordagem Holística
  • Princípio 5: Distinguir a Governança da Gestão

ITIL

A IT Infrastructure Library (ITIL) é uma framework que descreve uma estrutura de melhores práticas para fornecer serviços de TI. A ITIL passou por várias revisões em sua história. Atualmente compreende cinco livros, cada um abrangendo vários processos e estágios do ciclo de vida do serviço de TI. O ITIL v3, concentra-se em negócios e integração de TI, e as certificações ITIL podem ser obtidas em cinco níveis. Dessa forma, a abordagem sistemática da ITIL ao gerenciamento de serviços de TI pode ajudar as empresas a gerenciar riscos, fortalecer as relações com os clientes, estabelecer práticas econômicas e construir um ambiente de TI estável que permita crescimento, escalabilidade e mudança. Na versão atual o cinco volumes são:

Estratégia de Serviço da ITIL

Ajuda as empresas a desenvolver metas e objetivos organizacionais para priorizar as necessidades do cliente.

Desenho de Serviço ITIL

Oferece uma estratégia para construir um plano para cumprir os objetivos de negócio.

Transição de Serviço da ITIL

Concentra-se no desenvolvimento do projeto e no uso operacional dos serviços, diferenciando-o da manutenção de TI do dia-a-dia.

Operação de Serviço ITIL

Oferece as melhores práticas para atender às expectativas de serviço com os usuários finais, equilibrando custos e encontrando quaisquer problemas. Este volume é dividido em duas seções (processo e funções), cada uma com suas próprias subcategorias.

Melhoria Contínua de Serviço da ITIL

Alcançar melhorias incrementais e em larga escala de serviços usando um processo de sete etapas.

Uma organização de TI bem administrada que gerencia riscos e mantém a infraestrutura funcionando não apenas economiza dinheiro, mas também permite que os executivos realizem seus trabalhos com mais eficiência. O ITIL fornece uma abordagem sistemática e profissional ao gerenciamento da provisão de serviços de TI e oferece os seguintes benefícios:

  • custos reduzidos de TI
  • melhora os serviços de TI por meio do uso de processos comprovados de melhores práticas
  • melhoria da satisfação do cliente através de uma abordagem mais profissional à prestação de serviços
  • padrões e orientação
  • produtividade melhorada
  • melhor uso de habilidades e experiência
  • melhor entrega de serviços de terceiros através da especificação de ITIL ou BS15000 como o padrão para prestação de serviços em aquisições de serviços

O framework ITIL também pode melhorar os serviços:

  • ajudando empresas a gerenciar riscos, interrupções e falhas
  • fortalecendo as relações com os clientes oferecendo serviços eficientes que atendam às suas necessidades
  • estabelecendo práticas rentáveis
  • construir um ambiente estável que ainda permita crescimento, escalabilidade e mudança.

CMMI

O Capability Maturity Model Integration, ou CMMI, é um modelo de processo que fornece uma definição clara do que uma organização deve fazer para promover comportamentos que levem a um melhor desempenho. Com cinco “Níveis de Maturidade” ou três “Níveis de Capacidade”, o CMMI define os elementos mais importantes que são necessários para criar ótimos produtos, ou fornecer excelentes serviços, e os envolve em um modelo abrangente.

O CMMI nos ajuda a entender a resposta para a pergunta “como sabemos?”.

    • Como sabemos em que somos bons?
    • Como sabemos se estamos melhorando?
    • Como sabemos se o processo que usamos está funcionando bem?
    • Como sabemos se nosso processo de mudança de requisitos é útil?
    • Como sabemos se nossos produtos são tão bons quanto eles podem ser?

O CMMI também nos ajuda, por exemplo, a identificar e atingir metas de negócios mensuráveis, construir produtos melhores, manter os clientes mais felizes e garantir que se trabalha da maneira mais eficiente possível.

Áreas de processo

O CMMI é composto por um conjunto de “áreas de processo”. Cada área de processo deve ser adaptada à cultura e aos comportamentos de cada empresa. Entretanto, o CMMI não é um processo, é um livro de “o que” não é um livro de “como” e não define como sua empresa deve se comportar. Mais precisamente, define quais comportamentos precisam ser definidos. Dessa forma, o CMMI é um “modelo comportamental” e também um “modelo de processo”.

Nível de maturidade

As organizações podem ser “classificadas” em um nível de capacidade ou maturidade com base em mais de 300 práticas “genéricas” e “específicas” discretas. Com a intenção de ser interpretado de forma ampla, o CMMI não é um “padrão” (ala ISO), portanto, atingir um “nível” de CMMI não é uma certificação, mas uma “classificação”.

SCAMPI

O Método de Avaliação Padrão do CMMI para Melhoria de Processos (SCAMPI) é o método de avaliação empregado por um Avaliador de Certificação SCAMPI para ajudar um equipe a “atingir um nível”. Existem três tipos diferentes de avaliações, chamadas “Classes” e SCAMPI. A, SCAMPI B ou SCAMPI C. O SCAMPI A é o único método de avaliação que resulta em uma classificação de nível de maturidade ou capacidade.

Assim, um SCAMPI C é normalmente usado como uma ferramenta de análise de lacunas e coleta de dados, e o SCAMPI B é frequentemente empregado como uma avaliação de aceitação do usuário ou “teste”. Os resultados de uma avaliação SCAMPI A estão publicados no site do Instituto CMMI, conhecido como “PARS” e estão disponíveis para visualização pelo público. Apenas um Avaliador Líder Certificado SCAMPI pode conduzir uma Avaliação SCAMPI A.

Comparação entre os frameworks

A maioria das estruturas de governança de TI é projetada para ajudar a determinar como os departamentos de TI estão funcionando, quais são as necessidades de gerenciamento de métricas essenciais e o retorno que a TI está devolvendo aos negócios.

O COBIT é usado principalmente para riscos, enquanto que o ITIL ajuda a simplificar os serviços e as operações. Embora o CMMI fosse originalmente destinado à engenharia de software, ele agora envolve processos de desenvolvimento de hardware, fornecimento de serviços e compras.

Ao revisar as estruturas, deve-se considerar a cultura corporativa. Mas não é preciso escolher apenas um framework. Por exemplo, o COBIT e o ITIL se complementam, pois, o COBIT geralmente explica por que algo é feito ou necessário enquanto o ITIL fornece o “como”.

Mas o principal, deve-se olhar atentamente para a estrutura da organização. Por isso, estudar detalhadamente cada um dos frameworks apresentados e pesquisar outros que são pouco usados. É vital hoje em dia a aplicação da Governança de TI. No entanto, a escolha do framework adequado a cada organização é que vai definir o sucesso ou não da empreitada.