Escolar Documentos
Profissional Documentos
Cultura Documentos
Brasília – DF
2015
2
3
RESUMO
Esta pesquisa teve por objetivo propor um modelo único e integrado de Governança
Corporativa e Governança de Tecnologia da Informação para empresas do setor privado e
para estatais no cenário brasileiro. O modelo proposto foi elaborado a partir de uma revisão
bibliográfica que resultou na análise de códigos de Governança Corporativa e de frameworks
de Governança de TI que pudessem atender o objetivo da pesquisa. O modelo proposto foi
avaliado em uma reunião de grupo focal composta por especialistas das áreas de Governança
Corporativa e Governança de Tecnologia da Informação. O grupo focal contribuiu não só com
sugestões pontuais, mas também com propostas de estudos futuros. O modelo proposto
integra a Governança Corporativa com a Governança de Tecnologia da Informação, com a
participação efetiva do Conselho de Administração na condução da Governança de
Tecnologia da Informação.
ABSTRACT
This research aimed to propose a single model that integrates the Corporate Governance and
the Governance of Information Technology for companies in the private and public sector in
the brazilian scenario. The proposed model was developed from a literature review that
consisted in the analysis of corporate governance codes and IT governance frameworks that
could meet the research objective. Then, the proposed model was evaluated in a focus group
meeting, composed of experts from the areas of Corporate Governance and Information
Technology Governance. The focus group helped not only with specific suggestions, but also
with proposals for future studies. The proposed model integrates the Corporate Governance
and the Information Technology Governance, with the active participation of the Board in the
direction of the Information Technology Governance.
LISTA DE FIGURAS
LISTA DE TABELAS
LISTA DE GRÁFICOS
LISTA DE QUADROS
SUMÁRIO
RESUMO...................................................................................................................................8
ABSTRACT...............................................................................................................................9
LISTA DE FIGURAS.............................................................................................................10
LISTA DE TABELAS............................................................................................................11
LISTA DE GRÁFICOS..........................................................................................................12
LISTA DE QUADROS...........................................................................................................13
LISTA DE SIGLAS E ABREVIATURAS............................................................................14
SUMÁRIO...............................................................................................................................16
1. INTRODUÇÃO.............................................................................................................18
1.1 REVISÃO DA LITERATURA.....................................................................................21
1.2 FORMULAÇÃO DO PROBLEMA.............................................................................23
1.3 QUESTÃO DE PESQUISA..........................................................................................24
1.4 RELEVÂNCIA DO ESTUDO......................................................................................24
1.5 OBJETIVOS..................................................................................................................26
1.5.1 OBJETIVO GERAL.................................................................................................26
1.5.2 OBJETIVOS ESPECÍFICOS....................................................................................26
2. REFERENCIAL TEÓRICO........................................................................................27
2.1 GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO.....................................27
2.1.1 NORMA ABNT NBR ISO/IEC 38500.....................................................................28
2.1.2 MODELO DE WEILL E ROSS................................................................................31
2.1.3 FRAMEWORK COBIT 4.1.......................................................................................34
2.1.4 FRAMEWORK COBIT 5..........................................................................................39
2.2 GOVERNANÇA CORPORATIVA.............................................................................55
2.2.1 RELATÓRIO CADBURY........................................................................................59
2.2.2 IBGC – INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA.......61
2.2.3 KING III – SOUTH AFRICA CODE OF GOVERNANCE....................................62
2.3 MODELOS INTEGRADOS DE GOVERNANÇA CORPORATIVA E DE TI......68
2.3.1 POLÍTICA DE SERVIÇO PÚBLICO DE GOVERNANÇA CORPORATIVA DA
TECNOLOGIA DA INFOMAÇÃO E COMUNICAÇÃO...............................................68
2.4 PESQUISAS REALIZADAS NOS SETORES PÚBLICO E PRIVADO.................76
2.4.1 LEVANTAMENTO DE GOVERNANÇA DE TI DO TCU....................................76
2.4.2 PESQUISA UCB SOBRE GOVERNANÇA............................................................78
3. METODOLOGIA.........................................................................................................81
12
1. INTRODUÇÃO
A forma com que os investimentos e as tecnologias têm sido gerenciadas tem feito
com que os executivos de tecnologia e os de negócios reconheçam que o sucesso da TI,
14
atualmente, não está na tecnologia em si, mas sim na forma como ela é governada
(PETERSON, 2004). É a partir desse contexto que desponta a governança de TI como uma
tentativa de garantir que o dinheiro investido em tecnologia esteja agregando valor à
organização. Destaque-se que em uma série de publicações, especialmente após a quebra de
grandes empresas norte-americanas por fraudarem seus relatórios financeiros, a Governança
de TI (GTI) aparece como um meio de justificar e, principalmente, otimizar os investimentos
realizados em TI (DE HAES e VAN GREMBERGEN, 2004).
Diferentes pesquisas têm levantado indícios que empresas com bons modelos de
Governança de TI apresentam resultados superiores aos de seus concorrentes, especialmente,
porque tomam decisões consistentes sobre a TI (WEILL, 2004; WEILL e ROSS, 2004a).
Mecanismos como a presença de comitês, a participação da área de tecnologia na formulação
da estratégia corporativa, bem como os processos de elaboração e aprovação de orçamentos e
projetos de TI são apenas alguns mecanismos que procuram encorajar um comportamento
consistente da organização, buscando sempre alinhar os investimentos de TI com a missão,
estratégia, valores e cultura organizacional (WEILL e ROSS, 2005).
Como a TI tem sido amplamente apontada como um dos principais componentes das
grandes organizações, a governança de TI torna-se um assunto de grande relevância para a
alta administração. Os riscos referentes às tecnologias adotadas, assim como o seu
desempenho, a sua relação com as estratégias corporativas e, ainda, as políticas e
responsabilidades ligadas à TI certamente irão afetar a organização, em uma maior ou menor
proporção. Uma simples quebra de segurança, um erro ou um ataque de vírus já são
suficientes para causar um sério prejuízo financeiro, e de reputação e imagem à organização
(HARDY, 2006).
Segundo King (2013) a governança corporativa ao redor do mundo está promovendo o
conceito de relatórios integrados. É um conceito cujo tempo chegou. Os relatórios
corporativos do último século não atendem os propósitos atuais e não direcionam decisões
conscientes por parte dos investidores em relação à capacidade das organizações de criar valor
sustentado no nosso mundo.
Segundo Gartner (2012) “O board, ou Conselho de Administração, das empresas está
priorizando os gastos com Tecnologia da Informação (TI) e vendas. TI e vendas estão lado a
lado entre as prioridades de 175 membros da diretoria de companhias, especialmente nos
Estados Unidos e no Reino Unido”. Ainda segundo Gartner (2012), dos Conselhos de
Administração entrevistados, 90% disseram que a TI é uma "contribuição estratégica" para as
operações da empresa e que o investimento em Tecnologia da Informação aumentaria
15
consideravelmente até 2014. Metade dos entrevistados concorda que a TI pode "mudar as
regras da concorrência" em seus setores.
Dado o direcionamento dos investimentos, identificado na pesquisa do instituto
Gartner (2012), e a necessidade contínua de prestação de contas e transparência nas
organizações, faz-se necessária uma integração entre a Governança Corporativa e a
Governança de Tecnologia da Informação, devidamente direcionada pela alta administração
da organização, principalmente com atuação do Conselho de Administração, uma vez que a
Governança de Tecnologia da Informação agregará mais valor se estiver norteada pelos
objetivos estratégicos da organização.
Na maioria dos códigos de Governança Corporativa pesquisados não existem
princípios relacionados à Governança de Tecnologia da Informação. Da mesma forma, nas
normas e frameworks de Governança de Tecnologia da Informação não se define qual a sua
relação com a Governança Corporativa. Foi identificado apenas um modelo integrado de
Governança Corporativa e de Governança de TI, utilizado no governo sul-africano, mas que
não foi aderente aos objetivos dessa pesquisa.
O objetivo desse trabalho é a elaboração de diretrizes para modelo integrado de
Governança Corporativa e de Governança de Tecnologia da Informação, que seja adequado à
realidade de empresas privadas e empresas estatais brasileiras.
16
Nesta revisão, foi adotada a cronologia organizada por teorias relacionadas aos temas
principais: Governança Corporativa e Governança de Tecnologia da Informação. Foi
realizado, entre junho e julho de 2012, um levantamento das principais publicações
pertinentes ao tema e que foram pesquisadas em bases científicas nacionais e internacionais,
utilizando-se expressões simples e compostas, nas Línguas Portuguesa e na Língua Inglesa
conforme apresentado nas Tabelas 1 e 2. As pesquisas com palavras-chave simples tiveram o
objetivo de explorar os temas de forma isolada, para compreensão de cada tipo de
Governança, desde os aspectos históricos até os códigos, normas e frameworks mais
modernos. Na pesquisa com palavras-chave compostas, o pesquisador buscou possíveis
relações entre a Governança Corporativa e de Tecnologia da Informação a fim de identificar
códigos ou tendências de atuação conjunta dessas Governanças.
A principal base científica pesquisada foi a Coordenação de Aperfeiçoamento de
Pessoal de Nível Superior – CAPES, que disponibiliza o Portal de Periódicos
(www.periodicos.capes.gov.br), uma biblioteca virtual que reúne e disponibiliza a instituições
de ensino e pesquisa no Brasil um acervo de mais de 29 mil títulos com texto completo.
Segundo CAPES (2013), o Portal de Periódicos foi lançado em novembro de 2000 e é uma
das maiores bibliotecas virtuais do mundo, reunindo conteúdo científico de alto nível
disponível à comunidade acadêmico-científica brasileira. Permite, ainda, acesso a 130 bases
referenciais, nove bases dedicadas exclusivamente a patentes, além de livros, enciclopédias e
obras de referência, normas técnicas, estatísticas e conteúdo audiovisual. A Universidade
Católica de Brasília (UCB) possui convênio com a CAPES, o que garante a seus alunos o
acesso aos artigos disponibilizados na área reservada do portal.
Para realização das buscas no portal da CAPES, foram selecionadas as seguintes bases
para pesquisas: ScienceDirect, Cambrigde Journal e Scielo. Foram feitas, ainda, buscas no
portal Google Acadêmico (http://scholar.google.com.br).
17
Segundo TCU (Brasil, 2012), em outubro de 2012, o TCU – Tribunal de Contas da União
fez uma pesquisa, envolvendo 337 instituições públicas, e constatou uma evolução de 38%
para 50% das instituições com estágio intermediário na implantação de Governança de TI,
demonstrando evolução constatada na última pesquisa do TCU que evidenciava 54% dos
órgãos em estado inicial, dos quais 34% continuam neste estágio na pesquisa de 2012. Ainda
de acordo com essa pesquisa, a evolução da área pública na implantação de Governança de TI
deve-se, em parte, à atuação da Alta Administração que é responsável pela avaliação e
estabelecimento das políticas de Governança, gestão e uso corporativo de TI em 64%. Apesar
do envolvimento da Alta Administração nas definições políticas, a pesquisa afirma que apenas
34% dos órgãos realizam avaliação e monitoramento. Assim sendo, o envolvimento da Alta
Administração, atualmente, é direcionamento em sua maioria apenas à definição política, não
havendo uma conexão mais consistente, que possa direcionar a Governança de TI conforme
os objetivos estratégicos do órgão.
Segundo Masson, Junior, Pereira (2013), com relação ao setor privado, conforme pesquisa
realizada no primeiro semestre de 2013, por mestrandos do curso de Gestão do Conhecimento
e da Tecnologia da Informação, da Universidade Católica de Brasília, identificou-se que as
empresas privadas têm um direcionamento para estabelecer seu próprio modelo de
governança corporativa, enquanto que na Governança de TI, a maioria das empresas não
utiliza nenhum framework, ou seja, não tem Governança de TI.
19
Segundo Infoexame (2013), um estudo, baseado em uma pesquisa com 1256 empresas
e executivos de TI em todo o mundo, aponta que a tecnologia da informação continuará a ser
um elemento estratégico para as empresas durante os próximos anos e que mais de 80% das
companhias brasileiras pesquisadas afirmam que a tecnologia é um fator muito importante
para o sucesso nos negócios.
A Tecnologia da Informação (TI) tem se tornado cada vez mais um elemento
indispensável para as organizações. A grande diversidade de recursos tecnológicos e a
constante evolução desses recursos têm exigido atenção dos gestores que buscam estabelecer
20
uma relação ótima entre custos envolvidos e retornos esperados (LAURINDO, 2001). De
acordo com Luftman (2000), o alinhamento estratégico entre TI e negócio pode ser descrito
como a aplicação de recursos de TI em tempo e de modo apropriado, em harmonia com as
estratégias de negócio, metas e necessidades. Assim, com esta visão, no contexto das
organizações, parte-se do pressuposto que a TI apoia a estratégia da organização, sendo
devidamente planejada e executada para tal fim. Entretanto, a ausência de alinhamento entre
estratégias de negócios e de TI tem sido apontada como uma das causas de resultados
adversos de investimentos em TI (LAURINDO, 2001).
As informações obtidas nesse levantamento não deixam margem à dúvida de que a
situação da GTI na Administração Pública Federal (APF) ainda se encontra em estado
precário e pode-se inferir que a adoção dos conceitos de GTI pela APF ainda é incipiente. [...]
há instituições que geram recursos orçamentários substanciais e que não demonstraram boa
Governança de TI no presente levantamento, o que sugere maior risco na gestão do dinheiro
público (BRASIL, 2010e).
AgenciaBrasil (2012) afirma em entrevista com o Ministro da Ciência e Tecnologia,
Marco Antonio Raupp, que o governo espera, em quatro anos, que os investimentos do setor
privado em inovação, ciência e tecnologia atinjam as mesmas cifras do que é aplicado pelo
setor público. Hoje, os investimentos das empresas representam 0,55% do Produto Interno
Bruto (PIB) do país, enquanto o governo injeta o equivalente a 0,61% do PIB. Segundo IDC
(2012), os gastos mundiais com TI, em 2013, devem ultrapassar US$ 2,1 trilhões, o que
representa um crescimento de 5,7% em relação ao investimento de 2012, de acordo com
projeção da IDC. Já nos mercados emergentes, a consultoria avalia que as despesas com TI
terão alta de 8,8%, ultrapassando a casa dos US$ 730 bilhões. Os países que compõem o
chamado BRIC (Brasil, Rússia, Índia e China) deverão continuar a dominar os investimentos
em TI entre os países emergentes, sendo que a China será responsável por mais de um quarto
dos gastos.
Gartner (2013) afirma que o investimento mundial em TI deve subir 4,2 por cento em
2013, para 3,7 trilhões de dólares, uma aceleração ante o crescimento de 1,2 por cento
estimado para o ano passado.
Um modelo integrado de governança de Governança Corporativa e de Governança de
TI, com atuação efetiva do Conselho de Administração, poderia garantir, não só a otimização
dos controles para obtenção de conformidade, transparência e prestação de contas para o
Conselho de Administração definidas por Rossetti (2006), como também o uso adequado do
21
investimento realizado em TI, alinhado com seus objetivos estratégicos citado por Laurindo
(2001), ampliando a capacidade de governança da organização como um todo.
1.5 OBJETIVOS
2. REFERENCIAL TEÓRICO
De acordo com Weill e Ross (2006), “as empresas administram muitos ativos –
pessoas, dinheiro, instalações e o relacionamento com os clientes, mas a informação e as
tecnologias que coletam, armazenam e disseminam informações talvez sejam os ativos que
lhes causem maior perplexidade.” Em um cenário onde a gestão de negócios sofre mudanças
constantes, a gestão da informação tende a ser um fator crucial e, muitas vezes, a gestão da TI
não acompanha a mudanças que os negócios necessitam.
Segundo Gartner (2012) “O board, ou Conselho de Administração, das empresas está
priorizando os gastos com TI, assim como os investimentos feitos em vendas. TI e vendas
estão lado a lado entre as prioridades de 175 membros da diretoria de companhias,
especialmente nos Estados Unidos e no Reino Unido”. Ainda de acordo com o Gartner
(2012), “Dos Conselhos de Administração entrevistados na pesquisa, 90% disseram que TI é
uma ‘contribuição estratégica’ para as operações da empresa e que o investimento em
Tecnologia da Informação aumentaria consideravelmente até 2014. Metade dos ouvidos pelo
levantamento concorda que a TI pode ‘mudar as regras da concorrência’ em seus setores. Os
membros do Conselho estão cada vez mais interessados em diversificar as ofertas das linhas
de negócios. CIOs (Chief Information Officer – Diretores de TI) e outros gerentes de TI
deverão dedicar mais tempo para analisar suas estratégias e pensar em novas tecnologias e
sistemas.”
A Governança de TI vem ao encontro da necessidade de aumento de produtividade por
meio do uso de tecnologias e de mecanismos que permitam definir com clareza os objetivos,
alinhados à estratégia da empresa, e acompanhar e avaliar os resultados, além de estabelecer
responsáveis pela tomada de decisão, com uma prestação de contas transparente. Essas
características impulsionam o uso de Governança de TI nas empresas no atual cenário
competitivo do mercado, a fim de alcançarem os objetivos estratégicos projetados pela alta
Administração e alavancar os resultados do negócio.
ABNT (2009) afirma que “a maioria das organizações usa a TI como uma ferramenta
fundamental de negócios e poucas podem funcionar de forma eficaz sem ela. A gestão eficaz
de TI é um fator importante nos planos de negócios futuros de muitas organizações.”
De acordo com Weill e Ross (2006) “empresas de melhor desempenho têm
retornos sobre investimentos em TI até 40% maiores que seus concorrentes. Essas
23
Segundo ABNT (2009) a norma ABNT NBR ISO/IEC 38500:2009 foi publicada em
2009 e teve seu desenvolvimento alinhado com as definições de Governança Corporativa
publicadas no relatório do Comitê de Aspectos Financeiros de Governança Corporativa, o
Relatório Cadbury, publicado em 1992. O mesmo relatório forneceu a definição dos
princípios de Governança Corporativa para a fundação da Organização para a Cooperação e
Desenvolvimento Econômico (OCDE) em 1999.
De acordo com ABNT (2009), a norma se destina a orientar e guiar os envolvidos no
projeto e implementação de sistema de gestão de políticas, processos e estruturas de
Governança de TI que apoiem a Governança Corporativa. A norma é aplicável a todas as
24
1. Responsabilidade:
O princípio aborda o entendimento e aceitação das responsabilidades relacionadas à
TI, tanto a grupos, quanto a indivíduos da empresa. Diretores devem avaliar as opções
para a garantia de responsabilidades do uso atual e futuro de TI na empresa. O plano
deve ser direcionado e monitorado continuamente para que os responsáveis possam
prestar contas de forma objetiva a transparente à direção.
2. Estratégia:
A estratégia de negócios é focada na capacidade atual e futura da TI da empresa. Os
planos estratégicos de TI devem satisfazer às necessidades atuais e contemplar as
necessidades futuras da empresa relacionadas ao uso de TI. Na elaboração das
estratégias, os diretores devem realizar uma eficiente gestão de riscos, prevendo
ameaças e oportunidades para o uso de TI.
3. Aquisição:
Princípio direcionado à realização de aquisições com base em análises futuras por
meio de tomada de decisões claras e transparentes. Além disso, estabelece um
25
O ciclo de vida de cada um dos princípios citados acima é direcionado pela alta administração
de acordo com o modelo de Governança Corporativa de TI da norma apresentado na Figura 1.
Avaliar:
Os diretores examinam e julgam o uso atual e futuro de TI na empresa, incluindo
estratégias e propostas, e considerando pressões internas e externas que influenciam os
negócios, e, direta ou indiretamente, proporcionam alteração de Tecnologias,
economia e influências políticas.
Direcionar:
Esse elemento retrata a responsabilidade dos diretores pelo desenvolvimento e
implantação de planos e políticas, direcionando investimentos em projetos e operações
de TI.
Monitorar:
Os diretores têm por responsabilidade o monitoramento do desempenho de TI com os
sistemas de mensuração mais apropriados. O planejamento para mensurar o
desempenho deve estar alinhado com os objetivos de negócio.
Ainda de acordo com Weill e Ross (2006), uma Governança de TI eficaz deve tratar de
três questões:
1. Quais decisões devem ser tomadas para garantir a gestão e uso eficazes de TI?
2. Quem deve tomar essas decisões?
27
Weill e Ross (2006) define a Matriz de Arranjos por meio de uma representação
baseada na inter-relação das cinco decisões-chave (colunas) e seus possíveis arquétipos
(linhas) para especificar o processo decisório. As cinco decisões-chave, que buscam fazer da
TI um ativo estratégico da empresa, são:
Princípios de TI: esclarece o papel de negócio da TI. Define como a TI é
utilizada no negócio. Os princípios de TI devem definir o comportamento
desejável tanto para profissionais como para usuários de TI.
Arquitetura de TI: define os requisitos de padronização e integração de
processos na empresa de acordo com o papel da TI no negócio. É a
organização lógica dos dados, aplicações e infraestruturas, definida a partir de
um conjunto de políticas, relacionamentos e opções técnicas adotadas para
obter a padronização e a integração técnicas e de negócio desejadas.
Infraestrutura de TI: é a base da capacidade planejada de TI disponível para
todo o negócio, na forma de serviços compartilhados e confiáveis, e utilizada
por aplicações múltiplas.
Necessidades de Aplicação de Negócios: necessidade comercial de aplicações
de TI, compradas ou desenvolvidas internamente. Costuma ter dois objetivos
conflitantes: criatividade, que identifica maneiras novas e eficazes de gerar
28
Weill e Ross (2006) afirma que a matriz de arranjos organiza os tipos de decisões e os
arquétipos do processo decisório. Porém, a terceira questão de Governança – como as
decisões serão tomadas e monitoradas – requer a formulação e implementação de mecanismos
de Governança, como comitês, funções e processos formais. O framework de Governança de
TI proposto, incluindo o contexto das três questões fundamentais citadas acima, é apresentado
na Figura 3.
29
Planejar e Organizar (PO): Provê direção para entrega de soluções (AI) e entrega de
serviços (DS);
Adquirir e Implementar (AI): Provê as soluções e as transforma em serviços;
Entregar e Suportar (DS): Recebe as soluções e as torna passíveis de uso pelos
usuários finais;
Monitorar e Avaliar (ME): Monitora todos os processos para garantir que a direção
definida seja seguida.
A Figura 5 apresenta os quatro domínios de processos.
Segundo ISACA (2012), a quinta versão do COBIT foi lançada em 2012, cinco anos
após a versão anterior, o release da quarta versão, chamada de COBIT 4.1. A Figura 7
demonstra a evolução do framework, por meio de suas versões e suas principais
características, desde o seu lançamento, em 1996.
09. Gerenciar ativos: Gerenciar os ativos de TI por meio de seu ciclo de vida para se
certificar de que o valor entregue esteja dentro de um custo reduzido, permanecerá
operacional, esteja contabilizado e protegido fisicamente, e que os bens que são
fundamentais para apoiar a capacidade de serviço sejam confiáveis e disponíveis.
Gerenciar licenças de software para garantir que o número ideal seja adquirido,
45
ISACA (2012) afirma que o domínio EDM está em consonância com os conceitos do
padrão da ABNT NBR ISO/IEC 38500:2009 e é dividido em cinco processos:
Rossetti (2006) afirma, ainda, que os valores são os pilares para os quatro elementos-
chave na Governança Corporativa e que existem dois modelos de Governança Corporativa: o
modelo anglo-saxão e o nipo-germânico.
Segundo Lethbridge (1997), o modelo de Governança anglo-saxão tem sua raiz na
separação entre propriedade e gestão, como ocorre predominantemente nos Estados Unidos da
América e no Reino Unido, e suas participações acionárias são relativamente pulverizadas e
bolsas de valores maduras garantem liquidez nas participações. Neste modelo, o executivo
tem como maior desafio o aumento de rentabilidade do negócio e a consequente valorização
de mercado da empresa, prestando contas diretamente aos acionistas (shareholders).
Lethbridge (1997) ainda afirma que no modelo nipo-germânico, a propriedade do
capital é mais concentrada e muitas participações acionárias são de longo prazo. O modelo é
predominantemente utilizado na Alemanha e no Japão e contempla um conjunto ampliado de
direitos e interesses em sua gestão. Ao contrário do modelo anglo-saxão, o foco dos resultados
e da gestão Corporativa não está somente nos acionistas, tendo seu alcance ampliado para
todas as partes interessadas nos resultados (stakeholders).
Rossetti (2006) define os quatro elementos-chave da Governança Corporativa (GC)
como:
1. Relacionamento entre as partes interessadas: O relacionamento é o principal
fator da Governança Corporativa. O relacionamento entre partes interessadas,
que levou ao desenvolvimento da GC, tem base no ativismo pioneiro de países
em que predomina a atividade acionária, onde ocorre a separação entre
propriedade e gestão, como os Estados Unidos da América e a Inglaterra. O
relacionamento é o fator crucial para gerenciamento dos conflitos de agência,
que ocorrem entre acionistas e executivos. O governo da empresa tem como
principal objetivo a obtenção dos resultados esperados pelos acionistas por
meio das ações de seu corpo executivo; assim sendo, é natural que haja
conflitos no caminho e a forma como é realizado o relacionamento entre as
54
De acordo com o Ibgc (2012), Cadbury foi escolhido pelo Banco da Inglaterra em
1991 como chairman2 da comissão formada para estudar esse assunto, após um grande
número de escândalos que levaram à necessidade de uma revisão cuidadosa do papel dos
Conselhos de Administração e de sua composição e responsabilidades na Inglaterra. A
comissão que ele presidiu e que adotou o nome de Comissão Cadbury representava um
esforço conjunto da Bolsa de Valores de Londres, da "Accountancy Profession" e do
Conselho de Reporte Financeiro (Financial Reporting Council), todos da Inglaterra. Chegou-
se à conclusão de que esse tema não havia sido avaliado de maneira suficientemente ampla e
profunda na Inglaterra quanto em outros países, particularmente nos Estados Unidos. Neste
país (EUA), acionistas ativistas, grandes blocos de ações detidos por fundos de pensão com
gerentes de interesse público, e a natureza geralmente litigiosa da sociedade, desenvolveram
um exame minucioso dos Conselhos e de seus membros.
De acordo com Cadbury (1992), a economia dos países depende da gestão e eficiência
de suas empresas. Os Conselhos devem ter liberdade para conduzir o rumo das empresas por
meio de um framework de prestação de contas eficaz. Cadbury acreditava que esta é a
essência de qualquer sistema de uma boa Governança Corporativa. Cadbury ainda define
Governança Corporativa como um sistema pelo qual as empresas são dirigidas e controladas.
O Comitê publicou em dezembro de 1992 o código Cadbury, ou Relatório Cadbury,
que tem o foco das práticas centrado nos interesses dos acionistas, contemplando os papéis
dos Conselhos de Administração, auditoria e os acionistas da empresa.
Conforme Rossetti (2011), o Relatório Cadbury baseia-se em cinco termos focados em
relação aos dois princípios (prestação de contas responsável e maior transparência): que
implicam no grau de responsabilidade de conselheiros e executivos, na análise e apresentação
de informações para os acionistas e outras partes interessadas sobre o desempenho da
companhia; na frequência, na clareza e na forma como as informações contábeis e seus
complementos devem ser apresentados; na constituição e no papel dos conselhos (colocação
de ordem); nas responsabilidades dos auditores e na extensão de suas atribuições e ainda, nas
ligações entre acionistas, conselhos e auditores.
2
O Chairman é o mais alto funcionário de um grupo organizado, como um conselho, comitê ou assembléia
deliberativa. A pessoa que detém o cargo, normalmente, é eleito ou nomeado pelos membros do grupo.
56
Rossetti (2011) afirma ainda que o Relatório Cadbury é considerado um dos quatro
marcos históricos da Governança Corporativa, juntamente com o ativismo de Robert Monks,
a OCDE e a Lei Sarbarnes-Oxley.
Segundo Rossetti (2011), o Relatório Cadbury destacou-se na época por ser pioneiro e
introduzir uma proposta inovadora que se encaixava com a necessidade das empresas
britânicas com relação à Governança Corporativa.
Segundo Rossetti (2011), em 1992 foi publicada a versão do relatório que antes havia
conquistado mais de 200 representações. A gestão de várias corporações do Reino Unido foi
altamente influenciada através das recomendações do Relatório Cadbury. O relatório abriu
caminho para que muitos códigos fossem criados em outros países. Rossetti (2011) traz quatro
principais temas tratados no documento:
• O conselho de administração deve reunir-se regularmente, manter
controle sobre a companhia e monitorar sua direção executiva;
• Os conselheiros não executivos exercerão julgamentos independentes
sobre a estratégia, o desempenho, a destinação dos recursos e os
padrões de conduta da companhia;
• É admitida a existência de conselheiros que exercem cargos de direção;
• É dever do Conselho apresentar uma avaliação equilibrada e
compreensível da situação da companhia.
O relatório foi revisado e aperfeiçoado ao longo dos anos por meio de novos códigos
de Governança desenvolvidos no Reino Unido conforme apresentado abaixo:
• Relatório Greenbury – 1995;
• Relatório Hampel – 1998;
• Relatório Trunbull – 1999;
• Relatório Higgs – 2003.
Mesmo após as revisões e aperfeiçoamentos, o código não apresenta nenhuma prática
relacionada à Governança de Tecnologia da Informação, tendo seus princípios enraizados e
desenvolvidos ao longo dos anos com o foco na atuação do Conselho de Administração e na
prestação de contas no Reino Unido.
57
Segundo King (2012), em 1992, um ex-Juiz do Supremo Tribunal, Mervyn King, foi
convocado pelo governo sul africano para liderar um comitê do setor privado, denominado
“King Committe” (Comitê King), criado com a finalidade de elaborar diretrizes para a
Governança Corporativa na África do Sul. No mesmo ano, foi publicado o primeiro
documento pelo comitê, com uma abordagem integrada e que compreendia o ciclo de vida dos
negócios nas empresas, abrangendo não apenas a visão dos acionistas, como no modelo de
Governança anglo-saxão, mas também de todas as partes interessadas. O comitê revisou o
primeiro relatório em 2002, lançando a segunda versão, denominada King II, em 2009, e, após
59
nova revisão, foi lançada a terceira versão do código de Governança Corporativa, o King III.
A figura 15 apresenta o código KING III.
Ainda segundo King (2012), quando o King III foi lançado, em 2009, Adrian Cadbury,
considerado como o Pai da Governança Corporativa na literatura da área afirmou: “A
Governança de ontem tinha foco em elevar a eficácia dos Conselhos. Governança hoje é
direcionada ao papel das organizações na sociedade e Governança amanhã será direcionada
pelo King III”.
A filosofia do King III é baseada em liderança, sustentabilidade e cidadania
Corporativa. Líderes responsáveis direcionam estratégias da organização e empreendem
operações com foco no alcance de economia sustentável, responsabilidade social e
desempenho ambiental. Os princípios do código são elaborados, de modo que qualquer
entidade – pública, privada ou sem fins lucrativos – possa aplicá-los e atingir um nível
elevado de Governança Corporativa (KING, 2009).
O código adota uma abordagem de risco baseada em auditoria interna para determinar
se os controles são eficazes na gestão do risco direcionada pela estratégia da organização.
Existe uma recomendação na terceira versão do código para integração da análise econômica,
social e ambiental, reportando como os negócios da organização têm impactado positiva e
60
King (2009) afirma que o código é composto por nove elementos e setenta e cinco
princípios, sendo que existem boas práticas direcionadas a cada princípio. Porém, as boas
práticas são sugestões de uso, e, portanto, empresas que optam pela adoção do código podem
utilizar as práticas que são convenientes à sua estratégia de Governança.
Dos nove elementos de Governança existentes no código, três novos foram
desenvolvidos e inseridos na terceira versão do código, o King III. Dentre eles estão o resgate
de negócios (Business Rescue) e transações afetadas e fundamentais (Fundamental and
Affected Transactions). Segundo King (2009) o elemento de resgate de negócios é relativo à
capacidade de salvar as empresas economicamente viáveis em caso de falha na gestão
financeira, enquanto o de transações afetadas e fundamentais direciona ao gestor boas práticas
para que esteja ciente de suas responsabilidades e deveres na realização de fusões, aquisições
e/ou incorporações. O terceiro novo elemento, e certamente entre os de maior destaque no
código, é a inclusão de boas práticas de Governança da Tecnologia da Informação.
De acordo com King (2009), sistemas de Informação foram utilizados como
habilitadores para o negócio, mas já se tornaram pervasivos no sentido de que eles são
construídos diretamente na estratégia do negócio. A onipresença da TI nos negócios,
atualmente, elenca a Governança de TI como um fator empresarial indispensável. Na maioria
das empresas, a TI se tornou parte integral do negócio e parte fundamental para apoio,
sustentação e crescimento do negócio. A TI não realiza apenas o papel de habilitador
operacional, mas, acima de tudo, tornou-se um importante ativo estratégico para criar e
explorar oportunidades e ganhar vantagem competitiva no mercado. A facilidade de
automação de processos com o uso adequado da TI resultou na ampliação dos investimentos e
da dependência das empresas em soluções de TI. Neste sentido, as empresas, acompanhando a
evolução da Internet e do comércio eletrônico, têm realizado a gestão dos negócios
eletronicamente, realizando transações instantâneas. Esta evolução na gestão traz riscos
significativos que devem ser regulados e controlados. Assim sendo, o código fornece os
aspectos mais relevantes da Governança de TI para os diretores. Devido à complexidade e
natureza ampla e constante da Governança de TI, essa seção no código não tende a ser
definitiva e sim focada em iniciar um maior grau de consciência sobre Tecnologia da
Informação em nível de direção.
Segundo King (2009), a Governança de Tecnologia da Informação é o quinto elemento
de Governança Corporativa do código, sendo formada por sete princípios:
62
Este princípio tem como base o foco no uso adequado da TI de acordo com os
objetivos estratégicos da empresa. As boas práticas deste princípio sugerem a participação do
Conselho de Administração, garantindo que a estratégia da TI esteja integrada com a
estratégia da organização e seus processos de negócio. Outra prática importante do princípio,
com atuação do Conselho de Administração sugerida pelo código, é a garantia que existirão
processos na Governança de TI para identificar e explorar oportunidades para aumento de
desempenho e sustentabilidade da empresa por meio do uso adequado da TI.
O princípio tem foco na análise de custos da TI. Entre suas práticas destacam-se, mais
uma vez, o papel do Conselho de Administração na Governança de TI, supervisionando a
entrega de valor da TI e monitorando o retorno do investimento de projetos significativos de
TI. Ainda de acordo com as práticas sugeridas, o Conselho de Administração ainda deve obter
da TI (CIO) garantias independentes da Governança de TI e dos controles de serviços
terceirizados de TI.
O princípio tem por finalidade a inserção da TI como parte integral da gestão de risco,
que é um dos pontos de maior relevância na Governança de TI. De acordo com o código, a TI
não só deve compor a gestão de risco, como ser responsável pela criação dos mecanismos de
gestão de risco por meio de sistemas em conjunto com outras áreas. Dentre as práticas
sugeridas, o CIO deve demonstrar regularmente ao Conselho de Administração que a empresa
tem acordos de nível de serviços adequados para recuperação de desastres. O Conselho de
Administração tem responsabilidade neste princípio voltado para garantir a conformidade
legal e de padrões, normas e regras relativas à TI.
áreas de risco e auditoria. O apoio é relativo à definição de controles e relatórios, tanto para a
realização da aferição de riscos e auditoria em tempo hábil e de forma eficaz. O comitê de
riscos auxiliará o Conselho de Administração aferindo os resultados dos controles definidos
para gestão de riscos de TI da organização. O comitê de auditoria deve considerar o uso da TI
para melhoria contínua da eficácia e cobertura da auditoria na organização.
planos de gestão. Além disso, o GITO deverá se reportar ao Chefe do Departamento (HoD –
Head of Department) e compor a Equipe de Gestão Executiva. Desde a publicação do
Relatório da Comissão Presidencial, em 1998, pouco mudou no que diz respeito à Governança
de TIC no serviço público sul-africano até 2010, de acordo com a Auditoria Geral do governo.
Assim sendo, a Auditoria Geral entregou, no final de 2010, ao governo as seguintes
orientações:
(A) Em nível de governo, um framework de Governança de TIC deve ser colocado em
prática a fim de implementar uma estratégia de TIC nacional baseada em processos e
padrões definidos, para enfrentar os riscos de TIC;
(B) As regras e responsabilidades da Governança de TIC devem ser definidas e
implementadas para garantir o uso adequado de TIC no Serviço Público.
PSCGICTPF (2013, p.3) afirma que, em 2011, a Auditoria Geral descobriu que houve
pouco progresso no plano, com apenas 21% dos Departamentos com controles de Governança
de TIC adequados, que ainda eram insustentáveis devido ao fato de não estarem alinhados
pela Administração, não sendo, portanto, aplicáveis no Departamento conforme a expectativa
inicial do projeto. Os demais 79% dos Departamentos não tinham um framework de controle
ou não implementaram nenhum aspecto de Governança de TIC.
A visão da Auditoria Geral é de que a TIC deve ser governada e gerenciada por uma
liderança política em nível de Diretoria, e sustentada por boas práticas internacionalmente
aceitas, na forma de Governança Corporativa, baseada no KING III, a norma ISO\IEC 38500
para a Governança Corporativa da TIC e o COBIT como Framework de Governança de TIC.
Ele também coloca a responsabilidade da Governança de TIC totalmente nas mãos da
Liderança Política e da Gestão Executiva (PSCGICTPF, 2013).
A figura 16 retrata as diferentes camadas de Governança e a inter-relação entre as
diferentes estruturas e padrões.
Fonte: PSCGICTPF(2013)
Nesse contexto apresentado pela Auditoria Geral a autoridade executiva e a gestão dos
Departamentos precisam estender a Governança Corporativa como uma boa prática de gestão
de Governança Corporativa da TIC. Na execução de Governança Corporativa das TIC, eles
devem fornecer as estratégias necessárias, arquiteturas, planos, políticas, estruturas,
procedimentos, processos, mecanismos e controles e cultura ética. Para fortalecer ainda mais a
Governança Corporativa das TIC, o GITO deve ser uma parte integrante da Diretoria
Executiva do Departamento (PSCGICTPF, 2013).
Segundo PSCGICTPF (2013, p.4), a governança Corporativa das TIC é uma função
contínua que deve ser incorporada em todas as operações de um Departamento, de Poder
Executivo e do nível de Gestão Executiva para o negócio e prestação de serviços de TIC. No
projeto a Governança Corporativa da TIC é implementada em duas camadas diferentes:
(a) de Governança Corporativa da TIC (este CGICTPF) e
(b) Governança de TIC (GICTF).
PSCGICTPF (2013, p.4) afirma que para resolver o acima mencionado, o
Departamento de Administração e Serviço Público (DPSA – Department of Public Service
and Administration), em colaboração com o Conselho Diretor de Tecnologia da Informação
do Governo (GITOC – Government Information Technology Officer Council) e a Auditoria
Geral, desenvolveram o Framework da CGICTPF.
Segundo PSCGICTPF (2013, p.5), o objetivo do projeto é institucionalizar a
Governança de TIC como parte integrante da Governança Corporativa dentro dos
Departamentos de governo da África do Sul. Este PSCGICTPF fornece à liderança política e
executiva um conjunto de princípios e práticas que devem ser cumpridas, juntamente com
uma abordagem de implementação a ser utilizada para Governança Corporativa de TIC dentro
dos Departamentos.
67
Fonte: PSCGICTPF(2013)
PSCGICTPF (2013, p.25) afirma que a base da Governança de TIC são as boas
práticas e padrões internacionais de Governança Corporativa e de TIC: King III, ISO/IEC
38500 e COBIT. O quadro 1 contém os princípios específicos da Governança de TIC
adotados a partir da inter-relação entre estas normas e padrões.
Segundo TCU (Brasil, 2012), em outubro de 2012 foi realizado pelo TCU mais um
levantamento de Governança de TI, com o objetivo de acompanhar e manter base de dados
atualizada com a situação de Governança de TI na APF. O de 2012 foi aplicado em 337
instituições que responderam ao questionário do levantamento. Os resultados foram
agrupados nos seguintes segmentos da Administração Pública Federal: EXE-Dest,
abrangendo as empresas públicas federais e as sociedades de economia mista; EXE-Sisp,
abrangendo as instituições que fazem parte do Sistema de Administração dos Recursos de
Informação e Informática (SISP); JUD, abrangendo as instituições que fazem parte do Poder
Judiciário; LEG, abrangendo as instituições que fazem parte do Poder Legislativo; e MPU,
abrangendo as instituições que fazem parte do Ministério Público da União (MPU).
O Gráfico 1 apresenta um comparativo do estágio da Governança de TI entre as
avaliações de 2010 e 2012.
Segundo Masson, Junior, Pereira (2013), no primeiro semestre de 2013, foi realizada
uma pesquisa por Mestrandos do curso de Mestrado em Gestão do Conhecimento e da
Tecnologia da Informação da Universidade Católica de Brasília, quando foi aplicado um
questionário com 18 perguntas a empresas e órgãos do setor público e privado, tendo por
objetivo conhecer a realidade da Governança Corporativa e de TI e verificar sua relação com
os princípios de Governança de TI do código de Governança Corporativa KING III. Dentre as
perguntas aplicadas, duas estão relacionadas diretamente à implantação de Governança
Corporativa e de TI, conforme apresentado nos quadros 3 e 4.
Com relação à análise de aderência, percebe-se que 34% dos órgãos não atendem a
nenhum dos princípios do KING III. Também se identifica que nenhum dos órgãos
pesquisados atende à totalidade dos princípios propostos pelo KING III. De forma geral, os
índices de aderência dos órgãos pesquisados aos princípios do Código KING III estão abaixo
de 50%, variando de 13,04% no caso do Princípio 4, que trata de necessidade do Conselho de
Administração monitorar e avaliar investimentos e despesas significativas em TI, a 47,83%
para o Princípio 2, que aborda a necessidade de a TI estar alinhada com o desempenho e
objetivos de sustentabilidade da empresa. Os resultados apresentam um princípio de adoção
de Governança de TI sem que haja integração estabelecida com a Governança Corporativa.
78
3. METODOLOGIA
Segundo Gil (2010) pesquisa define-se como o procedimento racional e sistemático que
tem por objetivo proporcionar respostas aos problemas propostos, e é desenvolvida mediante
o concurso dos conhecimentos disponíveis e a utilização cuidadosa de métodos e técnicas de
investigação científica.
Minayo (1993, p.23), vendo por um prisma mais filosófico, considera a pesquisa
“atividade básica das ciências na sua indagação e descoberta da realidade. É uma atitude e
uma prática teórica de constante busca que define um processo intrinsecamente inacabado e
permanente. É uma atividade de aproximação sucessiva da realidade que nunca se esgota,
fazendo uma combinação particular entre teoria e dados”.
De acordo com Gil (2010), o êxito de uma pesquisa depende fundamentalmente de certas
qualidades intelectuais e sociais do pesquisador, quais sejam conhecimento do assunto a ser
pesquisado, curiosidade, criatividade, integridade intelectual, atitude autocorretiva,
sensibilidade social, imaginação disciplinada, perseverança e paciência, e confiança na
experiência. Segundo Moresi (2003), o sucesso do pesquisador está vinculado, cada vez mais,
à sua capacidade de captar recursos, enredar pessoas para trabalhar em sua equipe e fazer
alianças que proporcionem a tecnologia e os equipamentos necessários para o
desenvolvimento de sua pesquisa.
3.2.3.1 INTRODUÇÃO
Para Malhotra (2012), um grupo focal é uma entrevista realizada por um moderador,
de forma não estruturada e natural, com pequeno grupo de entrevistados, onde o objetivo
principal é obter uma visão aprofundada do público-alvo que detém propriedade ao falar sobre
os problemas que interessam a uma determinada pesquisa.
Grupo focal tornou-se, nos últimos anos, uma técnica bastante popular para a coleta de
dados acerca de opiniões e atitudes (MOURA e FERREIRA, 2005).
Uma mesma pesquisa deveria prever a realização de vários grupos focais, com todos
eles orientados para um mesmo tópico de discussão, mas diferenciados em função dos perfis e
especificidades de seus respondentes (MOURA e FERREIRA, 2005).
pesquisa, foram constituídos dois grupos distintos de colaboradores, com sete em cada um dos
grupos.
Embora plenamente possível de ser utilizada, a técnica de grupo focal possui algumas
limitações que merecem destaque (VERGARA, 2009). O Quadro 5 apresenta algumas
limitações do uso do grupo focal e algumas ações para mitigá-las.
3.2.3.3 PLANEJAMENTO
4. RESULTADOS
Nesta seção são apresentados os resultados das análises das normas e frameworks de
Governança de TI, assim como o resultado da análise dos códigos de Governança Corporativa
e dos modelos integrados abordados nesta pesquisa. As análises foram realizadas, tendo em
vista a relação entre Governança Corporativa e Governança de TI.
abaixo:
riscos de TI;
Obter avaliação periódica independente sobre
desempenho e conformidade com políticas,
padrões e procedimentos;
Resolver questionamentos levantados por
avaliações independentes e assegurar a
implementação das recomendações acordadas;
Gerar relatórios sobre a Governança de TI;
KING III.
organização.
4. O Conselho de Administração
deve monitorar e avaliar
investimentos e despesas
significativos de TI: O
princípio tem foco na análise
de custos da TI. Entre suas
práticas destacam-se, mais uma
vez, o papel do Conselho de
Administração na Governança
de TI, supervisionando a
entrega de valor da TI e
monitorando o retorno do
investimento de projetos
significativos de TI.
5. TI deve fazer parte da gestão
de riscos da empresa: O
princípio tem por finalidade a
inserção da TI como parte
integral da gestão de risco, que
é um dos pontos de maior
relevância na Governança de
TI.
6. O Conselho de Administração
deve garantir que os ativos de
Informação são administrados
eficientemente: As práticas
apontam o Conselho como
responsável por garantir que
exista na organização um
sistema em condições para
gestão da informação, com
segurança e privacidade, além
de ter um planejamento de
94
gestão da segurança,
devidamente implantado,
tratando a informação como
um ativo de negócio.
7. Os Comitês de Risco e de
Auditoria devem apoiar o
Conselho de Administração
quanto às responsabilidades da
TI: O princípio direciona suas
boas práticas na assessoria dos
comitês de risco de e auditoria,
dando suporte ao Conselho de
Administração quanto às
definições do uso da TI nas
áreas de risco e auditoria.
A avaliação foi realizada com o objetivo de elaborar diretrizes para um modelo integrado
de Governança Corporativa e de Governança de TI que contemplasse o direcionamento da
Governança de Tecnologia da Informação pelo Conselho de Administração da organização.
96
ampla com relação à governança de TI, inclusive tendo em seu código um elemento de
governança corporativa específico para a área, e sendo do Conselho de Administração a
responsabilidade central em tudo que se refere à governança de TI na organização. O
elemento de Governança de TI do código sul-africano foi desenvolvido em consonância com
o framework de Governança de TI COBIT 5 e a norma ISO/IEC 38500:2009. A importância
de uma governança de TI em organizações é exaltada no KING III tendo em vista a
característica pervasiva da tecnologia da informação e sua importância com relação à
definição de processos, controles e relatórios integrados (KING, 2009). O código ainda inclui
como assessoria do Conselho de Administração os Comitês de risco e auditoria, que tem a
responsabilidade de atuar com o CIO da organização no desenvolvimento de sistemáticas, e
na aferição das informações.
Com relação à análise do modelo integrado pode-se destacar a relação entre a Governança
Corporativa e a Governança de TI através da norma ISO/IEC 38500. O modelo é direcionado
exclusivamente à estrutura governamental sul-africana. A norma estabelece o fluxo entre a
Governança Corporativa, representada pelo código KING III, e a Governança de TI,
representada pelo COBIT (apesar de todo o direcionamento conceitual do framework para a
versão do COBIT 5, o documento não faz nenhuma afirmação de que a versão utilizada do
framework seria o COBIT 5 ou o COBIT 4.1. Os dois são referenciados ao final). As
responsabilidades relativas à Governança Corporativa são adaptadas à estrutura do governo
sul-africano.
No Modelo Integrado de Governança Corporativa e de Governança da TI da África do
Sul, o papel exercido pela Liderança Política e Gestão Executiva dos Ministérios equivale ao
papel do Conselho de Administração na governança tradicional. Além disso, também é função
da Liderança Política e Gestão Executiva o direcionamento estratégico da Governança de TI e
sua prestação de contas ao governo. Os níveis organizacionais subordinados administram a
Governança de TI, conforme alinhamento estratégico, isoladamente em cada Departamento. O
Chefe do Departamento tem a responsabilidade de implantar a Governança de TI com as
especificidades do Departamento, porém, em alinhamento com o norte estratégico
determinado.
As limitações observadas nesse modelo foram:
1. Elaborado exclusivamente para a estrutura do governo sul-africano:
O modelo foi elaborado para atender exclusivamente a estrutura governamental
sul-africana. As normas e frameworks de Governança de TI e o código de Governança
Corporativa que sustentam o modelo têm estruturas e abrangências gerais que
98
código. O KING III e o COBIT 5, por sua vez, têm uma relação explícita nos
processos do domínio EDM do COBIT 5 que não foram exploradas no modelo do
governo sul-africano. Já o KING III e a ISO/IEC 38500 não têm relação entre eles em
nenhum de seus princípios, sendo, entretanto, utilizados como relação no modelo,
explorando os princípios da norma com o código sul-africano baseado em
interpretações que resultaram em conexões entre eles.
Dentre as pesquisas realizadas, das empresas ou órgãos que adotam algum código ou
modelo de Governança Corporativa, a maioria utiliza modelo próprio, enquanto o restante
utiliza modelos de mercado que não estabelecem relação explícita com a Governança de TI
(ELOISA, EDSON, JOSIANE, 2013). Quanto à Governança de TI, a maioria das
empresas/órgãos adota o framework COBIT, principalmente na versão 4.1. Algumas poucas
utilizam a versão mais recente, a 5. Segundo TCU (Brasil, 2012), dos modelos de Governança
de TI identificados, somente o COBIT faz referência direta à atuação do Conselho de
Administração, tanto na versão 4.1, quanto na versão 5.
Assim, nas pesquisas analisadas, Masson, Junior, Pereira (2013) e TCU (Brasil, 2012),
não foi identificada nas empresas/órgãos a adoção de nenhum código de Governança
Corporativa que tivesse relacionamento com a Governança de TI, por meio da atuação do
Conselho de Administração. Nesse cenário, a Governança de TI tende a atuar de forma
isolada e desassociada da Governança Corporativa, consequentemente, desvinculadas de seus
objetivos e direcionamentos.
ser o único a proporcionar interação com a Governança Corporativa por meio da atuação do
Conselho de Administração, e por separar seus processos em Governança e gestão de TI.
As diretrizes propostas foram fundamentadas na relação existente entre o código de
Governança Corporativa KING III e o framework de Governança de TI COBIT 5. A relação
explícita existente entre eles propicia a conexão entre a Governança Corporativa e a
Governança de TI, baseada nos princípios do quinto elemento de Governança Corporativa do
KING III - “Governança de TI”, e em quatro dos cinco processos do domínio EDM do
COBIT 5. Apesar do KING III citar o COBIT 5 como referência em seu código, a relação se
materializa de fato no COBIT 5, não só na tabela RACI de papéis e responsabilidades dos
processos EDM01, EDM02, EDM03 e EDM04, onde o Conselho de Administração recebe o
papel de Accountable (responsabilizado), mas principalmente nas Observações Relacionadas
(Related Guidance) de cada processo, onde o KING III é referenciado como Padrão
Relacionado de Governança Corporativa (Related Standard) e seus princípios são citados nas
Referências Detalhadas (Detailed Reference). O Quadro 9 – Relação entre o KING III e o
COBIT 5 apresenta a relação existente entre o KING III e o COBIT 5.
Quadro 9 – Relação entre KING III e COBIT 5
KING III COBIT 5
Princípios Domínio Processo
5.1 O Conselho de Administração deve ser EDM 01 Garantir Definição e Manutenção do
responsável pela governança de TI da empresa EDM framework de Governança de TI
5.2 A TI deve estar alinhada com os objetivos de
desempenho a sustentabilidade da empresa EDM EDM 02 Garantir a entrega de benefícios
5.3 O Conselho de Administração deve delegar a
gestão da empresa a responsabilidade de EDM 01 Garantir Definição e Manutenção do
implementar um framework de governança de TI EDM framework de Governança de TI
5.4 O Conselho deve monitorar e avaliar gastos e
investimentos significativos em TI EDM EDM 02 Garantir a entrega de benefícios
5.5 A TI deve ser parte integral da gestão de riscos da
empresa EDM EDM 03 Garantir otimização de Risco
O processo EDM01 se relaciona com o KING III por meio dos princípios 5.1 - O
Conselho de Administração deve ser responsável pela Governança de TI da empresa e 5.3 - O
Conselho de Administração deve delegar à gestão da empresa a responsabilidade de
implementar um framework de Governança de TI. No princípio 5.1, o Conselho de
Administração deve assumir a responsabilidade pela Governança de TI e colocá-la na agenda
do Conselho. O KING III entende a Governança de TI como um dos principais aspectos da
Governança Corporativa, principalmente pelo fato de proporcionar à alta administração
informações para a tomada de decisão precisa e em tempo hábil. Na condição de responsável
pela implementação da Governança de TI, o Conselho de Administração deve garantir que
políticas de TI sejam estabelecidas e implementadas, e deve receber garantias independentes
relativas à eficiência dos controles internos. O princípio 5.3, por sua vez, trata da
responsabilidade da gestão de TI quanto à implementação de estruturas, processos e
mecanismos para o framework de Governança de TI, além de recomendar a instituição de um
comitê de TI para assessorar o Conselho de Administração e a nomeação de um CIO para
conduzir a implantação do framework de Governança de TI.
O processo EDM02 tem relação estabelecida com o código KING III por meio dos
princípios 5.2 - A TI deve estar alinhada com os objetivos de desempenho e a sustentabilidade
da empresa e 5.4 - O Conselho deve monitorar e avaliar gastos e investimentos significativos
em TI. O princípio 5.2 tem suas práticas direcionadas a garantir que a estratégia de TI esteja
alinhada com a estratégia de negócios da empresa. Nesse princípio, o Conselho de
Administração tem, ainda, a incumbência de estabelecer processos que possam identificar e
explorar oportunidades para otimizar o desempenho e a sustentabilidade da empresa por meio
do uso de TI. Por sua vez, o princípio 5.4 tem suas práticas focadas na responsabilidade do
Conselho de Administração em inspecionar o valor da entrega de TI, monitorar o retorno do
investimento, obter garantias independentes da Governança de TI e controlar os serviços de
TI terceirizados, assim como garantir que a propriedade intelectual contida nos sistemas de
informação esteja protegida.
O processo EDM03 tem relação estabelecida com o KING III por meio dos princípios
5.5 - A TI deve ser parte integral da gestão de riscos da empresa e 5.7 - Os comitês de Risco e
Auditoria devem assistir o Conselho de Administração em suas responsabilidades com a TI. O
princípio 5.5, tem suas práticas direcionadas à atuação conjunta da TI e das demais áreas na
condução da gestão de risco da empresa. O Conselho de Administração cobra, neste princípio,
que toda a conformidade legal esteja integrada na gestão de riscos. Já o princípio 5.7 tem suas
103
práticas direcionadas à eficácia da gestão de riscos pelos comitês de risco e de auditoria por
meio da abordagem adequada de riscos financeiros, de TI, dentre outros, além de utilizar a TI
para melhoria da eficácia de auditoria.
Quase vinte possíveis candidatos, à luz dos requisitos definidos, foram contatados pelo
autor, primeiramente por telefone e, em seguida, por e-mail. Nesse contato prévio, o autor
desta pesquisa se apresentou e explicou as orientações aos convidados que poderiam compor
o grupo restrito de pessoas criteriosamente selecionadas para discutir assuntos de Governança
Corporativa e Governança de TI com base em suas experiências profissionais. Dias antes do
grupo focal, foi enviada aos participantes, por e-mail, um material introdutório com o resumo
das diretrizes propostas para que pudessem conhecer previamente os principais tópicos
abordados no grupo focal.
Dos vinte possíveis candidatos, onze confirmaram presença e têm seu perfil
profissional sintetizado no Quadro 10 – Perfil profissional dos participantes do grupo focal.
Quadro 10 – Perfil profissional dos participantes do grupo focal
Nº do
Participante Órgão/Empresa Cargo/Função
Centro Integrado de Telemática Chefe do Escritório de Projetos
01
do Exército/Exército Brasileiro Corporativo
02 Câmara dos Deputados Assessora Parlamentar
Empresa Invexi Tecnologia da
03 Sócia Administradora
Informação Ltda
04 Supremo Tribunal Federal Analista de TI
05 CNEC Superintendente
Consultor em Implantação de
Grupo TBA – Tribunal Regional
06 Métricas e Processos e certificado
Federal 1a. Região
COBIT 4.1
IFB cedida ao Ministério da Gerente de Desenvolvimento e
07
Defesa Inovação
Universidade Federal de Santa
Analista de TI na UFSC e Consultor
08 Catarina e Ação Social do
na Ação Social do Planalto
Planalto
Analista de Sistemas / Analista do
09 Correios/ECT
Escritório de Projetos Corporativos
10 CNEC Analista de Banco de Dados
11 IBGP Sócio-Diretor
Fonte: Elaborado pelo autor
Para o grupo focal, foi agendado um encontro, na sexta-feira, dia 21 de fevereiro de
2014, das 20h às 21h, no campus da Universidade Católica de Brasília da Asa Norte (SGAN
916 Módulo B Avenida W5), sala B-107.
O encontro teve por objetivo colher reflexões sobre o problema identificado na
pesquisa e as diretrizes propostas. A apresentação utilizada no grupo focal está disponível no
APÊNDICE A – Apresentação do grupo focal.
105
No dia 21 de fevereiro de 2014 foi realizado o grupo focal com o intuito de obter
avaliações qualitativas das diretrizes propostas, com o mínimo de interferência do
pesquisador, que atuou apenas na mediação, a fim de incentivar os participantes a refletirem
livremente sobre as perguntas apresentadas.
O mediador informou aos participantes que eles não seriam identificados no registro
da reunião, o que lhes deu ampla liberdade para comentar aspectos específicos de suas
experiências profissionais. Os participantes autorizaram o mediador a gravar os seus
comentários, o que permitiu ao mesmo manter total atenção nos entrevistados e nas suas
participações. Durante o encontro, os tópicos previstos foram abordados e discutidos.
Na segunda pergunta, “Vocês conhecem algum modelo que integre essas duas
Governanças?”, o participante 11 abriu as reflexões citando a ISO/IEC 38500 como uma
norma que estabelece os conceitos de Governança Corporativa e de Governança de TI, e que
107
o COBIT 5 tenta, por meio de suas boas práticas, possibilitar essa integração. O participante
06 explicitou a dificuldade de se falar de um modelo pela complexidade dessa ação de
integração. Ele fez essa afirmação devido à necessidade de a organização inteira fazer parte
desse processo e que a mudança cultural, nesse caso, é muito complexa. O participante 09
afirmou que não conhece nenhum modelo que realize a integração, porém, conhece modelos
que podem promovê-la. Para melhoria da compreensão da pergunta, o mediador falou um
pouco sobre os modelos pesquisados e, principalmente, os modelos que têm a condição de
integrar os dois modelos de Governança. O grupo foi unânime em afirmar que não conhece
nenhum modelo que integre, efetivamente, a Governança Corporativa e a Governança de TI.
Após a apresentação, foram feitas mais duas perguntas para concluir a reflexão do
grupo. A primeira, “Vocês entendem que o modelo integrado proposto poderia preencher essa
lacuna de falta de alinhamento?”, teve sua reflexão iniciada pelo participante 09, afirmando
que o modelo preencheria essa lacuna se, de fato, com a implantação do modelo em alguma
organização, os resultados fossem devidamente apurados. Como o questionamento em pauta
é, se o modelo poderia preencher a lacuna, ele afirmou que sim, que poderia. O participante
01 fez uma observação com relação à atribuição de responsabilidades ao Conselho de
Administração na Governança de TI. Inicialmente, ele não enxergava como o Conselho de
Administração, que não é especialista em TI, poderia contribuir na Governança de TI, mas
após a apresentação do modelo, sentiu-se convencido dessa atribuição, concordando que o
modelo pode preencher a lacuna da pergunta, inclusive citando exemplos do Exército.
Por fim, na última pergunta, “A implementação deste modelo, no seu entender, seria
viável?”, o participante 05 disse que sim, desde que o Conselho de Administração siga
rigorosamente sua implementação. Já o participante 03 refletiu que não só a implementação
108
deveria ser aferida, mas também os resultados esperados pela empresa. O participante 04
parabenizou o estudo e afirmou que uma contribuição importante do trabalho é o olhar do
responsável pela Governança Corporativa para a Governança de TI. Ele afirmou que, na
maioria dos casos, quem quer a Governança de TI nas organizações é a própria TI e não a alta
administração, e que esse pensamento é extremamente equivocado. O participante 06 apontou
dois fatores importantes para a implementação eficaz no modelo, o conhecimento da
organização sobre Governança de TI e seus benefícios, e a cultura da organização. Ele
afirmou ainda que dentro do que foi apresentado, o modelo pode ser viável e gerar resultados
significativos em organizações.
O grupo teve uma participação significativa no que tange as diretrizes para propostas na
pesquisa. Dentre as várias reflexões e contribuições, os resultados mais relevantes foram:
5. CONCLUSÃO
Com relação às limitações da pesquisa, destaca-se o fato das diretrizes propostas para
o modelo integrado não terem sido implementadas em nenhuma organização devido ao tempo
de duração do curso. Nos resultados do grupo focal, uma das afirmações feitas pelo grupo
reforça a necessidade de implementação das diretrizes modelo para aferir não só sua
viabilidade, mas também os resultados oriundos dessa implementação.
Outra limitação da proposta foi a aderência ao setor público. O foco no setor privado e
empresas estatais foi motivado por sua estrutura de governança corporativa. No setor público,
foram analisadas estruturas de mais de 10 ministérios, mas a falta de padrão, e, acima de tudo,
de definição do papel do Conselho de Administração em suas estruturas fez com que o foco
do trabalho tivesse que ser resumido ao setor privado e empresas estatais, descartando nesse
momento o setor público da pesquisa.
112
6. REFERÊNCIAS BIBLIOGRÁFICAS
GIL, Antonio Carlos. Como elaborar projetos de pesquisa. 5ª. ed. São Paulo:
Atlas, 2010.
HARDY, G. Using IT governance and COBIT to deliver value with IT and respond to legal,
regulatory and compliance challenges. Information Security technical report, 2006, pp. 55-
61.
IDC, IDC Brasil. Gastos mundiais com TI devem ultrapassar US$ 2,1 trilhões em 2013.
Disponível em: < http://convergecom.com.br/tiinside/30/11/2012/gastos-mundias-com-ti-
devem-ultrapassar-us-21-trilhoes-em-2013/#.UgY--5JwrSg > Acesso em: 18 dezembro 2012.
ITGI. IT Governance Institute. COBIT 4.1. USA: Rolling Meadows, 2010. 212 p.
JENSEN, M.; MECKLING, W. Theory of the Firm: Managerial Behavior, Agency Costs and
Ownership Structure. Journal of Financial Economics, v. 3, p. 305-360, 1976. Disponível
em:<http://papers.ssrn.com/sol3/papers.cfm?abstract_id=94043>. Acesso em: 20/09/2012.
KING, Mervyn. Governance is King! How the author of the new South African KING III
Code of Governance 2009 tries to change the tone at the top, the tune in the middle, and
the beat of the feet at the bottom of an organization. Disponível em: <
http://www.sdu.nhs.uk/documents/publications/consultations/1.3-king-governance-is-king-
final.pdf >. Acesso em: 30, nov. 2012
MOURA, Maria Lúcia Seidl; FERREIRA, Maria Cristina. Projetos de pesquisa: elaboração,
redação e apresentação. Rio de Janeiro: EdUerj, 2005. 144 p.
WEILL, P. Don´t just lead govern: how top-performing firms govern IT. MIS Quarterly
Executive, v. 3, n.1, 2004.
WEILL, P.; ROSS, J. IT governance: how top performers manage IT decisions rights for
superior results. Watertown: Harvard Business School Press, 2004.
7. APÊNDICE