NORMA ABNT NBR BRASILEIRA ISO/IEC 38500 Primeira edi¢ao 06.04.2009 Valida a partir de 06.05.2009 Governanga corporativa de tecnologia da informagao Corporate governance of information technology Palavras-chave: Governanga. Tecnologia da informagao. Descriptors: Governance. Information technology. Ics 35.080 ISBN 978-85-07-01447-8 TECNICAS 15 paginas Exemplar para uso exclusivo - TRIBUNAL DE CONTAS DA UNIAO - 00.414.607/0001-18 (Pedido 195206 Impresso: 09/10/2009) © ISO/IEC 2008 - © ABNT 2009Exemplar para uso exclusivo - TRIBUNAL DE CONTAS DA UNIAO - 00.414.607/0001-18 (Pedido 195206 Impresso: 09/10/2008) ABNT NBR ISO/IEC 38500:2009 © ISONEC 2008 Todos os direitos reservados. A menos que especificado de outro modo, nenhuma parte desta publicagao pode ser reproduzida ou utlizada por qualquer meio, eletranico ou mecanico, incluindo fotocépia e microfime, sem permissao por escrito da ABNT, nico representante da ISO ne teritrio brasileiro, © ABNT 2009 Todos os direitos reservados. A menos que especificado de outro modo, nenhuma parte desta publicagao pode ser reproduzida ou utlizada por qualquer meio, eletrénico ou mecdniea, incluindo fotocépia e microfime, sem permissao por escrito da ABNT. ABNT Av.Treze de Maio, 13 - 28° andar 2031-901 - Rio de Janeiro - RU Tel: + 55 21 3974-2300 Fox: + 55 21 3974-2346 abni@abnt.org.br wow.abnt.org.br ii © ISOVIEC 2008 - © ABNT 2008 - Todos os direltos reservadosExemplar para uso exclusivo - TRIBUNAL DE CONTAS DA UNIAO - 00.414.607/0001-18 (Pedido 195206 Impresso: 09/10/2009) ABNT NBR ISO/IEC 38500:2009 Sumario Pagina Prefacio Nacional... Introdugéo ESCOPO, APLICAGAO E OBJETIVOS. 1 Escopo. 2 Aplicacao... 3 Objetives ... 4 Beneficios do uso desta Norma. 5 6 Documentos de Referéncia Definigses.. ESTRUTURA PARA UMA BOA GOVERNANGA CORPORATIVA DE Tl. 1 Principios .. 2 Modelo 3 GUIA PARA A GOVERNANGA CORPORATIVA DE TI... 3.1 Generalidades. 3.2 Principio 1: Responsabilidade 3.3. Principio 2: Estrategia... 3.4 Principio 3: Aquisicao... 3.5 Principio 4: Desempenho 3.6 Principio 5: Conformidade. 3.7 Principio 6: Comportamento Humano. 1 4 1 4 2 3 3 6 6 7 9 9 9 1 2 3 4 5 © ISO/IEC 2008 - © ABNT 2009 - Todos os aretas reservados iExemplar para uso exclusivo - TRIBUNAL DE CONTAS DA UNIAO - 00.414.607/0001-18 (Pedido 195206 Impresso: 09/10/2009) ABNT NBR ISO/IEC 38500:2009 Prefacio Nacional A Associagdo Brasileira de Normas Técnicas (ABNT) é o Foro Nacional de Normalizagao. As Normas Brasileiras, cujo contetido & de responsabilidade dos Comités Brasileiros (ABNTICB), dos Organismos de Normalizacao Setorial (ABNT/ONS) @ das Comissdes de Estudo Especiais (ABNT/CEE), sdo elaboradas por Comissées de Estudo (CE), formadas por representantes dos setores envolvidos, delas fazendo parte: produtores, consumidores € neutros (universidade, laboratério e outros). Os Documentos Técnicos ABNT sao elaborados conforme as regras das Diretivas ABNT, Parte 2. A Associagdo Brasileira de Normas Técnicas (ABNT) chama atengao para a possibilidade de que alguns dos elementos deste documento podem ser objeto de direito de patente. A ABNT nao deve ser considerada responsdvel pela identificagdo de quaisquer direitos de patentes. A ABNT NBR ISO/IEC 38500 foi elaborada no Comité Brasileiro de Computadores e Processamento de Dados {ABNTICB-21), pela Comissao de Estudo de Operagdes de Tecnologia da Informagdo (CE-21:007.25). © Projeto circulou em Consulta Nacional conforme Edital n® 02, de 30.01.2009 a 02.03.2009, com o ntimero de Projeto 21:007.25-002. Esta Norma 6 uma adogao idéntica, em contetido técnico, estrutura e redagdo, 4 ISO/IEC 38500:2008, que foi elaborada pelo Technical Committee Information technology (!SO/IEC JTC1), conforme ISO/IEC Guide 21-1:2005 Q Escopo desta Norma Brasileira em inglés é 0 seguinte: Scope This Standard provides guiding principles for directors of organizations (including owners, board members, directors, partners, senior executives, or similar) on the effective, efficient, and acceptable use of Information Technology (IT) within their organizations. This Standard applies to the governance of management processes (and decisions) relating to the information and communication services used by an organization. These processes could be controlled by IT specialists within the organization or external service providers, or by business units within the organization. It also provides guidance fo those advising, informing, or assisting directors. They include: — senior managers; — members of groups monitoring the resources within the organization; — external business or technical specialists, such as legal or accounting; specialists, retail associations, or professional bodies; — vendors of hardware, software, communications and other IT products; — internal and extemal service providers (including consultants); — ITauditors. iv © ISOVIEC 2008 - © ABNT 2008 - Todos os direltos reservadosExemplar para uso exclusivo - TRIBUNAL DE CONTAS DA UNIAO - 00.414.607/0001-18 (Pedido 195206 Impresso: 09/10/2009) ABNT NBR ISO/IEC 38500:2009 Introdugao © objetivo desta Norma 6 fornecer uma estrutura de principios para os dirigentes usarem na avaliagao, gerenciamento e monitoramento do uso da tecnologia da informagao (Tl) em suas organizagées. ‘A maioria das organizagoes usa a TI como uma ferramenta fundamental do negécio e poucas podem realmente funcionar eficazmente sem ela. A T| 6 também um fator importante nos futuros planos de negécio de muitas organizagoes. ‘As despesas com TI podem representar uma proporgao significativa dos gastos de recursos financeiros @ humanos de uma organizago. No entanto, o retorno desse investimento nao totalmente obtido com freqléncia 2 08 efeitos adversos podem ser significativos para as organizagoes. A principal razao para esses resultados negativos é a énfase nos aspectos técnico, financeiro e de programagao das atividades de TI ao invés da énfase no uso da TI no contexto geral do negécio. Esta Norma oferece uma estrutura para a govemanga eficaz de TI que ajuda a alta administragao das organizagées a entender e cumprir suas obrigagdes legals, regulamentares e éticas com relagdo ao uso da TI em suas organizagGes. A estrutura apresenta defiiges, principios e um modelo. Esta Norma esta alinhada com a definigao de Governanga Corporativa publicada como Relatério do Comité sobre Aspectos Financeiros de Governanga Corporativa (0 Relatério Cadbury) em 1992. O Relatério Cadbury também forneceu a definicdo basica de Governanca Corporativa para os Principios de Governanga Corporativa da OECD em 1999 (revisado em 2004). Os usuérios desta Norma sao encorajados a se familiarizem com o Relatorio Cadbury e com os Principios de Governanga Corporativa da OECD. Governanga é diferente de gerenciamento e, para evitar confusdo, os dois conceitos sao claramente definidos na Norma, Embora esta Norma seja destinada principalmente a diretoria, que por sua vez pode decidir que certas agdes sejam tomadas pela administragao da organizacao, ela permite também que, em algumas organizacdes (geralmente menores), os membros da diretoria possam também ocupar papéis importantes no gerenciamento. Dessa forma, garante que a Norma seja aplicdvel em todas as organizagées, desde as menores até as maiores, independentemente da area de aluag&o, do propésito e da estrutura de propriedade. ‘A Norma também tem como finalidade informar e orientar os envolvides no projeto e na implementagao do sistema de gerenciamento de politicas, processos e estruluras que suportam a governanga, © ISOVIEC 2008 - © ABNT 2009 - Todos os dreltos reservados v(6002/01/60 :ossoudw| gozsét opip .000/409°PL¥'00 - OVINN VG SVNOO 30 TYNNERAL - oA!snjoxo osn wed JeldwoxgExemplar para uso exclusivo - TRIBUNAL DE CONTAS DA UNIAO - 00.414.607/0001-18 (Pedido 195206 Impresso: 09/10/2008) NORMA BRASILEIRA ABNT NBR ISO/IEC 38500:2009 Governanga corporativa de tecnologia da informagao 1 ESCOPO, APLICAGAO E OBJETIVOS 1.1 Escopo Esta Norma oferece principios para orientar os dirigentes das organizagées (incluindo proprietérios, membros do conselho de administragao, diretores, parceiros, executivos seniores ou similares) sobre o uso eficaz, eficiente @ aceitével da Tecnologia de Informagao (TI) dentro de suas organizagées. Esta Norma se aplica aos processos de gerenciamento da governanga (e decisdes) relacionados aos servigos de informagao e comunicagao usados por uma organizagdo. Esses processos podem ser controlados por especialistas em TI dentro da propria organizago, por provedores externos de servigo ou pelas unidades de negécio da organizacao. Ela também forece orientagdes para aqueles que aconselham, informam ou assessoram os dirigentes. Incluem-se ‘+ gerentes seniores; ‘+ membros de grupos de monitoramento de recursos dentro da organizagao; ‘+ especialistas externos, de negdcios ou técnicos, tais como juridico ou contabil; especialistas, associagdes de varejo ou entidades profissionais; ‘+ fomecedores de hardware, software, comunicagdes e outros produtos de TI; ‘+ fornecedores intemos e externos de servigos (incluindo consultores); auditores de TI. 1.2 Aplicagao Esta Norma se aplica a todas as organizagdes, incluindo organizagdes publicas ou privadas, entidades governamentais © organizagdes sem fins lucrativos. A Norma se aplica as organizagdes de todos os tamanhos, Pequenas e grandes, independentemente da extensdo de seus usos de TI 1.3. Objetivos propésito desta Norma 6 promover 0 uso eficaz, eficiente e aceitavel da TI em todas as organizagées, para: + garantir as partes interessadas (Incluindo consumidores, acionistas e funciondrios) que, se a Norma for seguida, pode-se confiar na governanca corporativa de TI da organizagao; ‘+ informar e orientar os dirigentes quanto ao uso da TI em suas organizagées; € ‘+ fornecer uma base para uma avaliacao objetiva da governanga corporativa de TI. © ISOJIEC 2008 - © ABNT 2009-- Todos os aretas reservados. 1Exemplar para uso exclusivo - TRIBUNAL DE CONTAS DA UNIAO - 00.414.607/0001-18 (Pedido 195206 Impresso: 09/10/2008) ABNT NBR ISO/IEC 38500:2009 1.4 Benefic ios do uso desta Norma 1.4.1 Generalidades Esta Norma estabelece os principios para 0 uso eficaz, eficiente e aceitavel da TI. Ela assegura as organizagoes, que seguem estes principios que os dirigentes poderdo avaliar melhor os riscos e aproveitar as oportunidades advindas com 0 uso da TI Esta Norma estabelece um modelo para a governanga de TI. O risco dos dirigentes nao cumprirem suas obrigagdes pode ser minimizado se for dada a devida atencéo ao modelo e a sua correla aplicacdo aos principios. Norma estabelece um vocabulério para a Governanga de TI. 4.4.2 Conformidade da organizagéo ‘A governanga corporativa de TI corretamente aplicada pode ajudar os dirigentes a garantir 0 cumprimento das obrigagées (regulamentares, legislativas, legals, contratuais) relativas ao uso aceltavel da TI Sistemas de TI inadequados podem expor os dirigentes ao risco de nao cumprir com a legislagao. Por exemplo, em algumas jurisdigdes, os dirigentes podem ser pessoalmente responsabilizados se um sistema inadequado de contabilidade resultar em nao-pagamento de impostos. Processos tratados por T! incorporam riscos especificos que devem ser corretamente abordados. Por exemplo, os dirigentes de organizagées podem ser responsdveis por violagGes de: © normas de seguranga; * legistagdo de privacidade; + legislagao de spam; * _legislagao de praticas de comércio; + direitos de propriedade intelectual, incluindo acordos de licengas de softwares; * exigéncias de registro de informagées; ‘+ legislagao e regulamentagdes ambientais; + legislagio de satide e seguranga; © legislagdo de acessibilidade; * normas de responsabilidade social, Os dirigentes que usarem as orientagdes fornecidas nesta Norma tém maior probabilidade de cumprir com suas obrigagoes. 1.4.3 Desempenho da organizacao A apropriada governanca corporativa de TI ajuda os dirigentes a garantir que 0 uso da TI contribua positivamente para o bom desempenho da organizacdo, através de: + correta implementagao e operagao dos ativos de TI; + clareza quanto a responsabilidade © obrigatoriedade em prestar conta, tanto quanto ao uso quanto proviséo da TI para atingir as metas da organizagao; + conlinuidade e sustentabilidade do negécio; + alinhamento da TI com as necessidades do negécio; 2 © ISOVIEC 2008 - © ABNT 2008 - Todos os direltos reservadosExemplar para uso exclusivo - TRIBUNAL DE CONTAS DA UNIAO - 00.414.607/0001-18 (Pedido 195206 Impresso: 09/10/2008) ABNT NBR ISO/IEC 38500:2009 + alocagdo eficiente de recursos; ‘+ inovagao nos servigos, mercados e negécio: * boas praticas nos relacionamentos com as partes interessadas; * redugao nos custos da organizagao; & + concretizagao atual dos beneficios aprovados de cada investimento de TI 1.5 Documentos de Referéncia Esta Norma faz referéncia aos seguintes documentos: Relatério do Comité sobre Aspectos Financeiros de Governanga Corporativa, Sir Adrian Cadbury, Londres, 1992 ISBN 0 85258 913 1 ECD Principios de Governanga Corporativa, OECD, 1999 e 2004 Guia ISO 73 2002 — Gerenciamento de risco — Vocabulario — Diretrizes para uso em Normas. 1.6 Definigées Para os efeitos desta Norma, aplicam-se as seguintes definigdes. Espera-se que a organizagao adapte a terminologia usada nesta Norma para adequar a sua situagao ou estrutura. 1.6.1 Aceitével ‘Atender 8s expectativas das partes interessadas que podem ser apresentadas como razoaveis ou merecedoras. 1.6.2 Governanga corporativa O sistema pelo qual as organizagdes so dirigidas e controladas. (adaptado do Cadbury 1992 e OECD 1999) 1.6.3 Governanga corporativa de TI O sistema pelo qual o uso atual e futuro da TI & dirigido e controlado, Governanga corporativa de TI significa avaliar e direcionar o uso da TI para dar suporte organizaco e monitorar seu uso para realizar os planos. Inclui a estratégia e as politicas de uso da TI dentro da organizagao. 1.8.4 Competente Ter a combinagéo de conhecimento, habilidades formais e informais, treinamento, experiéncia e atributos comportamentais necessaries para desempenhar uma tarefa ou papel. 1.6.5 Dirigente Membro da mais alta diregdo de uma organizagao. Incluem proprietarios, membros do conselho de administracao, parceiros, executivos seniores ou similares e funciondrios autorizados pela legislagao ou regulamentacao. 1.6.6 Comportamento humano Compreensao das interages entre seres humanos e demais elementos de um sistema, com a intengao de garantir 0 bem-estar e 0 desempenho dos sistemas. O comportamento humano inclui cultura, necessidades © aspiragées de pessoas como individuos e como grupos. © ISOJIEC 2008 - © ABNT 2009-- Todos os aretas reservados. 3Exemplar para uso exclusivo - TRIBUNAL DE CONTAS DA UNIAO - 00.414.607/0001-18 (Pedido 195206 Impresso: 09/10/2009) ABNT NBR ISO/IEC 38500:2009 NOTA Com relagao a TI, existem muitos grupos ou comunidades de seres humanos, cada uma com suas necessidades, aspiragses @ comportamentos préprios. Por exomplo, pessoas que usam sistemas de informagao podem aprosentar necessidades relacionadas & acessibildade ¢ ergonomia, além de disponibilidade e desempenho, Pessoas cujo trabalho esta ‘mudando por causa do uso da TI podem apresentar necessidades relacionadas & comunicago, treinamento © confianga. Pessoas envolvidas na construgdo e operacéo das aplicagées de Ti podem apreseniar necessidades relacionadas {8 condigdes de trabalho e desenvolvimento de habilidades. 1.8.7 Tecnologia da informagao (TI) Os recursos necessdrios para adquirir, processar, armazenar e disseminar informag6es. Este termo também inclui “Tecnologia da Comunicagao (TC)" e 0 termo composto de "Tecnologia da Informacao e Comunicagao (TIC)" 1.6.8. Investimento A alocagao de pessoas, capital e outros recursos para alcangar os objetivos definidos e outros beneficios. 1.6.9 Gerenciamento O sistema de controles e processos necessério para alcangar os objetivos estratégicos estabelecidos pela diregao da organizagao. O gerenciamento esta sujeito as diretrizes, as politicas ¢ a0 monitoramento estabelecidos pela governanca corporativa, 1.6.10 Organizagao ualquer companhia, corporagao, governo, entidade sem fins lucrativos ou de qualquer outro tipo, legalmente constituida, incluindo associagdes, clubes, parcerias, érgaos governamentais e empresas privadas que tenham suas préprias praticas e administragao. 1.6.11 Politica Instrugées claras e mensuraveis de diregéo e comportamento desejado que condicionem as decisées tomadas dentro de uma organizagao. 1.6.12 Proposta Compilagao de beneficios, custos, riscos, oportunidades e outros fatores aplicaveis as decis6es a serem tomadas. Inclui casos de negécio (Business cases) 1.6.13 Recursos Pessoas, procedimentos, software, informagées, equipamentos, consumiveis, infra-estrutura, capital e fundos de operagao e tempo. 4 © ISOVIEC 2008 - © ABNT 2008 - Todos os direltos reservadosExemplar para uso exclusivo - TRIBUNAL DE CONTAS DA UNIAO - 00.414.607/0001-18 (Pedido 195206 Impresso: 09/10/2008) ABNT NBR ISO/IEC 38500:2009 1.6.14 Risco Combinagao da probabilidade de um evento e suas conseqiléncias (ISO/IEC Guia 73), NOTA As conseqiléncias so os impactos na organizago. Podem ser negativos, na pratica, ou “oportunidades" como uso geral 1.6.15 Gerenclamento de risco Atividades coordenadas para dirigir e controlar uma organizago com relagao ao risco (ISO/IEC Guia 73). 1.6.16 Parte interessada (stakeholder) Qualquer individuo, grupo ou organizagao que possa afetar, ser afetado, ou ter a percepgao de que serd afetado Por uma decisao ou atividade (ISO/IEC Guia 73). 1.6.17 Estrat Um plano geral de desenvolvimento da organizagéo que descreve 0 uso oficaz de recursos para apoiar a organizagao em suas alividades fuluras. Envolve o estabelecimento de objetivos e propostas de iniciativas a serem executados. 1.6.18 Uso da TI © planejamento, projeto, desenvolvimento, distribuigao, operagao, gerenciamento e aplicagao da TI para atender as necessidades do negécio. Inclui tanto a demanda como o fornecimento de servigos de TI pelas unidades internas de negécio, unidades especializadas em TI ou fornecedores externos e servigos de utlidade (tais como © fornecimento de software como servigos). © ISOJIEC 2008 - © ABNT 2009-- Todos os aretas reservados. 5Exemplar para uso exclusivo - TRIBUNAL DE CONTAS DA UNIAO - 00.414.607/0001-18 (Pedido 195206 Impresso: 09/10/2008) ABNT NBR ISO/IEC 38500:2009 2 ESTRUTURA PARA UMA BOA GOVERNANGA CORPORATIVA DE TI 2.4 Prinei Esta sogdo estabelece seis principios de boa governanga corporativa de TI. Os principios so aplicdveis & maioria das organizagées. Os principios expressam 0 comportamento preferido para orientar uma tomada de deciséo. O enunciado de cada principio refere-se ao que convém acontecer, mas ndo descreve como, quando ou por quem os principios seriam implementados — jé que estes aspectos dependem da natureza da organizagao que esta implementando os prineipios. Convém que os dirigentes exijam que estes principios sejam aplicados. 2.1.1 Principio 1: Responsabilidade Os individuos © grupos dentro da organizagio compreendem e aceitam suas responsabilidades com respeito a0 fornecimento e demanda de TI. Aqueles responsaveis pelas agdes também tm autoridade para desempenhar tais ages 24.2. Principio 2: Estratégia A estratégia de negécio da organizacao leva em conta as capacidades atuais ¢ futuras de TI; os planos estratégicos para TI satisfazem as necessidades atuais e continuas da estralégia de negécio da organizaco. 2.4.3 Principio : Aquisicao As aquisigdes de TI sao feitas por razdes validas, com base em anélise apropriada e continua, com tomada de decisdo clara e transparente. Existe um equilibrio apropriado entre beneficios, oportunidades, custos e riscos, de curto e longo prazo. 2.1.4 Principio 4: Desempenho ATI & adequada ao propésito de apoiar a organizagdo, fomecendo servigos, niveis de servigo e qualidade de servigo, necessaries para atender aos requisitos atuais e futuros do negécio. ‘onformidade ATI cumpre com toda a legislagao regulamentos obrigatérios. As politicas e praticas so claramente definidas, implementadas e fiscalizadas. 2.1.6 Principio 6: Comportamento Humano As politicas, praticas e decisSes de TI demonstram respeito pelo Comportamento Humano, incluindo as necessidades atuais e futuras de todas as “pessoas no proceso” 6 © ISOVIEC 2008 - © ABNT 2008 - Todos os direltos reservadosExemplar para uso exclusivo - TRIBUNAL DE CONTAS DA UNIAO - 00.414.607/0001-18 (Pedido 195206 Impresso: 09/10/2009) ABNT NBR ISO/IEC 38500:2009 2.2 Modelo Convém que os dirigentes governem TI através de trés tarefas principais: a) Avaliar 0 uso atual e futuro da Tl b) Orientar a preparacdo © a implementagdo de planos e polticas para assegurar que o uso da TI atenda aos objetivos do negécio. ©) Monitorar 0 cumprimento das pollticas @ o desempenho em relagao aos planos. ‘A Figura 1 mostra o modelo do ciclo Avaliar-Dirigit-Monitorar para a Governanga de TI. 0 texto da Figura 1 explica os elementos e relacionamentos descritos, Pressces donegecio y Necessidades do negocio eC Desempento Conformidede Processor do Nagécle roetos TH op V Figura 1 — Modelo para Governanga Corporativa de TI Avaliar Os dirigentes devem examinar e avaliar 0 uso atual e futuro da TI, incluindo estratégias, propostas ¢ arranjos de fornecimento (interno, externo ou ambos). Na avaliacdo do uso da TI, convém que os dirigentes considerem as presses externas e internas que influenciam Co negécio, tals como mudangas tecnolégicas, tendéncias econdmicas e socials e influéncias politicas. Convém que os dirigentes empreendam avaliagdo continua, conforme as pressées mudam Convém que os dirigentes também levem em conta as necessidades atuais e futuras do negécio — os objetivos organizacionais atuals e futuros que devem alcangar, tais como manter a vantagem competitiva além dos objetivos especificos das estratégias e propostas que estao avaliando. Dirigir Convém que os dirigentes designem responsabilidade e exijam preparacdo e implementagao dos planos e politicas. Os planos devem estabelecer a diregdo dos investimentos nos projetos de TI e operagdes de TI ‘As politicas devem estabelecer um comportamento sélido no uso da TI Os dirigentes dever assegurar que a transi¢o dos projetos para a entrada em operagao soja corretamente planejada e gerenciada, levando em conta os impactos no negécio e nas praticas operacionals, como também nos sistemas de TI e infra-estrutura existente. © ISOJIEC 2008 - © ABNT 2009-- Todos os aretas reservados. 7Exemplar para uso exclusivo - TRIBUNAL DE CONTAS DA UNIAO - 00.414.607/0001-18 (Pedido 195206 Impresso: 09/10/2009) ABNT NBR ISO/IEC 38500:2009 Convém que os diretores encorajem uma cultura de boa governanga de TI om suas organizagées, exigindo que os gerentes fornegam as informacées em tempo adequado, cumprindo as orientagdes e em conformidade com os sels principios da boa governanga, Se necessério, os dirigentes devem apresentar as propostas para aprovagao para atender as necessidades identificadas. Monitorar Convém que os dirigentes monitorem através de sistemas de mensuragao apropriados. Convém certificarem-se de que o desempenho esta de acordo com os planos, principalmente no que diz respeito aos objetivos do negacio. Convém que os dirigentes também cerlifiquem que a TI esté em conformidade com as obrigacées externas (regulamentares, legislativas, legais, contratuais) e praticas intemnas de trabalho. NOTA A responsabilidade por aspectos especiticos da T pode ser delegada aos gerentes da organizacao. No entanto, a responsabilidade pelo uso e entrega aceitavel, eficaz e eficiente da TI pela organizagao permanece com os dirigentes e no pode ser delagada, 8 © ISOVIEC 2008 - © ABNT 2008 - Todos os direltos reservadosExemplar para uso exclusivo - TRIBUNAL DE CONTAS DA UNIAO - 00.414.607/0001-18 (Pedido 195206 Impresso: 09/10/2008) ABNT NBR ISO/IEC 38500:2009 3. GUIA PARA A GOVERNANCA CORPORATIVA DE TI 3.1 Generalidades ‘As segdes seguintes fornecem um guia para os principios gerais de boa governanga de Tl ¢ as praticas necessarias para implementar esses principios. As praticas descritas nao sao exaustivas, mas formecem um ponto de partida para a discussdo sobre as responsabilidades dos dirigentes com a governanga de TI. Ou seja, as praticas descritas so racomendagées sugeridas para a Governanga de Tl Cada organizagéo 6 individualmente responsavel por identificar as agées especificas necessérias para implementar os principios, levando em consideragao a natureza da organizagao, a analise apropriada dos riscos e as oportunidades no uso da TI Como base para ilustracao, as praticas descritas, em grande parte, séo aplicdveis 4 maioria das organizagées (grandes ou pequenas). Qualquer variagdo deve ser bem considerada. 3.2 Principio 1: Responsabi lade Avaliar Convém que os dirigentes avaliem as opgdes de delegacao de responsabilidades com respeito ao uso atual e futuro da TI na organizagao. Ao avaliar as opcdes, os dirigentes devem procurar garantir o uso e entrega eficaz, eficiente e aceitavel da TI no apoio dos objetivos atuais e futuros do negécio. Convém que os dirigentes avaliem a competéncia daqueles a quem for delegada a responsabilidade para a tomada de decisées em relagdo a TI. Em geral, essas pessoas devem ser gerentes de negécios que sao também responsdveis pelos objetivos e desempenho do negécio da organizagao, assistides por especialistas em TI que conhecem os valores e os processos do negécio. Convém que os dirigentes exijam que os planos sejam cumpridos de acordo com as responsabilidades delegadas para TI, Convém que os dirigentes exijam o recebimento de informagées que eles necessitam para atender as suas responsabilidades e compromissos. © ISOJIEC 2008 - © ABNT 2009-- Todos os aretas reservados. 9Exemplar para uso exclusivo - TRIBUNAL DE CONTAS DA UNIAO - 00.414.607/0001-18 (Pedido 195206 Impresso: 09/10/2008) ABNT NBR ISO/IEC 38500:2009 Monitorar Convém que os dirigentes monitorem para que os mecanismos apropriados de Governanga de TI sejam estabelecidos. Convém que os dirigentes monitorem para que aqueles que receberam responsabilidades reconhecam compreendam suas responsabilidades. Convém que os dirigentes monitorem 0 desempenho daqueles a quem foi delegada a responsabilidade pela governanca de TI (por exemplo, aquelas pessoas que trabalham em comités de diretivos ou na apresentagao de propostas aos dirigentes). 10 © ISOVIEC 2008 - © ABNT 2008 - Todos os direltos reservadosExemplar para uso exclusivo - TRIBUNAL DE CONTAS DA UNIAO - 00.414.607/0001-18 (Pedido 195206 Impresso: 09/10/2008) ABNT NBR ISO/IEC 38500:2009 3.3 Principio 2: Estratégia Avaliar Convém que os dirigentes avaliem os desenvolvimentos em TI e os processos dos negécios para garantir que a TI apoiara as necessidades futuras do negécio. ‘Ao considerar os planos @ as politicas, convém que os dirigentes avaliom as atividades de TI para assegurar que estejam alinhadas com os objetivos da organizaco com relagdo as mudangas circunstanciais que levem em consideragao o uso de melhores pralicas e salisfacam outros requisitos das partes interessadas. Convém que os dirigentes assegurem que a utilizago de TI seja submetida a andlise e avaliagdes de risco, de acordo com as devidas Normas nacionais e internacionais, Dirigir Convém que os dirigentes liderem a preparacdo e 0 uso de planos e politicas que assegurem que a organizagao seja beneficiada pelos desenvolvimentos de Tl. Convém também que os dirigentes encorajem a apresentagao de propostas para usos inovadores da TI que ermitam que a organizagao possa responder a novas oportunidades e desafios, e empreender novos negécios ou methorar processos. Monitorar Convém que os dirigentes monitorem o progresso das propostas de TI aprovadas para garantir que atinjam seus objetivos dentro dos prazos exigidos utilizando os recursos disponibilizados. Convém que os dirigentes monitorem 0 uso da TI para assegurar que os beneficios pretendidos esto sendo alcangados. © ISOJIEC 2008 - © ABNT 2009-- Todos os aretas reservados. "Exemplar para uso exclusivo - TRIBUNAL DE CONTAS DA UNIAO - 00.414.607/0001-18 (Pedido 195206 Impresso: 09/10/2008) ABNT NBR ISO/IEC 38500:2009 3.4 Principio 3: Aquisigao Avaliar Convém que os dirigentes avaliem opges para o fornecimento da TI de forma a atingir os abjetivos das propostas aprovadas, buscando 0 equilibrio entre os riscos ¢ o retomo nos investimentos propostos. Dirigir Convém que os dirigentes déem a devida orientagao para que os ativos de TI (sistemas e infra-estrutura) sejam adquiridos de forma apropriada, incluindo a preparagao de documentagao adequada que assegure o fornecimento de capacidades necessarias, Os dirigentes devem certificar-se de que os acordos de fornecimento (tanto fomecimento interno como externo) dardo suporte as necessidades da organizagao. Monitorar Convém que os dirigentes monitorem os investimentos de TI para assegurar que eles fomegam as capacidades requeridas. Convém que os dirigentes monitorem até que ponto sua organizagéo e os fornecedores mantém uma compreensdo miitua das intengdes da organizagao ao fazer qualquer aquisigdo de TI 12 © ISOVIEC 2008 - © ABNT 2008 - Todos os direltos reservadosExemplar para uso exclusivo - TRIBUNAL DE CONTAS DA UNIAO - 00.414.607/0001-18 (Pedido 195206 Impresso: 09/10/2008) ABNT NBR ISO/IEC 38500:2009 3.5. Principio 4: Desempenho Avaliar Convém que os dirigentes avaliem proposigdes dos gerentes para assegurar que a TI apoiara os processos do negécio com a capacidade © competéncia necessarias. Convém que estas propostas_enderecem a continuidade Normal da operagao dos negécios e 0 tratamento dos riscos associados com o uso da TI Convém que os dirigentes avaliem os riscos & continuidade da operago resultantes das atividades de TI. Convém que os dirigentes avaliem os riscos a integridade da informagao e & protegao dos ativos de TI, incluindo a propriedade intelectual e a base de conhecimentos da organizagao. Convém que os dirigentes avaliem as opgdes para garantir que as decisées sobre o uso da TI sejam tomadas de forma rapida e eficaz em apoio aos objetivos do negocio. Convém que os dirigentes avaliem regularmente a eficacia @ o desempenho do Sistema de Govemanga de TI da organizacao. Dirigir Convém que os dirigentes assegurem que recursos suficientes sejam alocados de forma a garantir que a TI atenda as necessidades da organizagao, de acordo com as prioridades acordadas e restrigSes orgamentarias. Quando exigido por questées comerciais, os dirigentes devem orientar os responsaveis pela TI sobre a necessidade de manter os dados atualizados e protegidos contra perda ou uso indevido. Monitorar Convém que os dirigentes monitorem até que ponto a T! da suporte ao negécio. Convém que os dirigentes monitorem até que ponto os recursos e 0 orgamento alocados foram priorizados de acordo com os objetivos do negécio. Convém que 0s dirigentes monitorem até que ponto as politicas, tais como aquelas relacionadas com a exatiddo dos dados e a eficiéncia do uso da TI, sao seguidas corretamente. © ISOJIEC 2008 - © ABNT 2009-- Todos os aretas reservados. 13Exemplar para uso exclusivo - TRIBUNAL DE CONTAS DA UNIAO - 00.414.607/0001-18 (Pedido 195206 Impresso: 09/10/2008) ABNT NBR ISO/IEC 38500:2009 3.6 Principio 5: Conformidade Avaliar Convém que os dirigentes avaliem regularmente até que ponto a TI cumpre com as obrigagdes (regulamentares, legislativas, legais, contratuais), polticas interas, Normas e melhores praticas profissionais. Convém que os dirigentes avaliem regularmente a conformidade interna da organizagao com seu sistema de Governanga de TI Dirigir Convém que os ditigentes exijam que aqueles responsaveis por estabelecer mecanismos rotineiros e regulares garantam que 0 uso da TI esta em conformidade com as exigéncias legais (regulamentares, legislativas, juridicas, contratuais) ¢ com as Normas e melhores praticas. Convém que 0s dirigentes exijam que politicas sejam estabelecidas e cumpridas para permitir que a orgar ‘cumpra com suas obrigagées internas no uso da TI. ago Convém que os dirigentes exijam que os profissionais de T! ajam de acordo com as melhores praticas de ‘comportamento e desenvalvimento profissional. Convém que os dirigentes exijam que todas as ages relacionadas com a TI sejam éticas. Monitorar Convém que os dirigentes monitorem o cumprimento © conformidade da TI por meio de relatos apropriados € prdticas de auditoria, assegurando que andlises criticas ocorram dentro dos prazos e sejam realizadas de forma completa e apropriadas, para a avaliagao do grau de satisfagao do negocio. Convém que os dirigentes monitorem as atividades de TI, incluindo a liberagao de ativos e dados, para assegurar (© cumprimento das exigéncias ambientais, de privacidade, de gerenciamento do conhecimento estratégico € de preservagdo da meméria organizacional e outras obrigagées relevantes. 14 © ISOVIEC 2008 - © ABNT 2008 - Todos os direltos reservadosExemplar para uso exclusivo - TRIBUNAL DE CONTAS DA UNIAO - 00.414.607/0001-18 (Pedido 195206 Impresso: 09/10/2008) ABNT NBR ISO/IEC 38500:2009 3.7 Principio 6: Comportamento Humano Avaliar Convém que os dirigentes avaliem as atividades de Tl para garantir que os comportamentos humanos sejam identificados e apropriadamente considerados, Dirigir Convém que os dirigentes exijam que as alividades de TI sejam compativeis com as diferengas do comportamento humano. Convém que os dirigentes exam que riscos, oportunidades, constatagdes © preocupagdes possam ser identificados ¢ relatados por qualquer pessoa a qualquer momento. Esses riscos devem ser gerenciados de acordo com as politicas e procedimentos publicados e levados ao conhecimento dos respectivos responsavels pelas tomadas de decisao. Monitorar Convém que os dirigentes monitorem atividades de TI para garantir que os comportamentos humanos identificados permanegam relevantes e que Ihes sejam dadas a devida atengao. Convém que os dirigentes monitorem as préticas de trabalho para garantir que so consistentes com 0 uso apropriado da TI. 15 © ISO/IEC 2008 - © ABNT 2009 - Todos os aretos reser