NÃO PODE FALTAR Imprimir

GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO

0
Samuel Gonçalves da Silva

seõçatona reV
Fonte: Shutterstock.

Deseja ouvir este material?

Áudio disponível no material digital.

CONVITE AO ESTUDO
Olá, aluno!

Seja muito bem-vindo à quarta unidade da disciplina de Governança Corporativa.

Nesta unidade vamos aprofundar alguns conceitos que permitem uma
compreensão mais ampla acerca do processo da Governança de Tecnologia da
Informação. Abordaremos os conceitos básicos de Governança de Tecnologia da
Informação, as estratégias associadas à Governança Corporativa e o conhecimento
dos frameworks Control Objectives for Information and Related Technologies
(COBIT) e Information Technology Infrastructure Library (ITIL).
Segundo Molinaro e Ramos (2010), a governança de tecnologia da informação é de
responsabilidade do Conselho de Diretores e Executivos. Trata-se de parte da
Governança Corporativa, consistindo no gerenciamento de estruturas
organizacionais e processos que asseguram a sustentabilidade e a ampliação da

0
estratégia e dos objetivos da organização.

seõçatona reV
Vamos iniciar a nossa jornada pela primeira seção: Governança de Tecnologia da
Informação, que tratará os conceitos básicos do tema, estratégias da tecnologia
da informação associada à governança corporativa, às normas e aos modelos de
governança da tecnologia da informação e o desenvolvimento do Balanced
Scorecard (BSC) aplicado à Governança Corporativa.

Na sequência, caminharemos para a segunda seção da unidade que tratará os

assuntos relacionados ao Framework COBIT (Control Objectives for
Information and Related Technologies) no qual serão explorados os conceitos
introdutórios do framework. Serão compreendidos os principais domínios do
COBIT, passando pela aplicação do framework nas organizações e finalizando pelas
ferramentas e certificações.

Na última seção desta terceira unidade, Framework ITIL (Information

Technology Infrastructure Library), falaremos sobre os conceitos básicos do
framework, passando pelas práticas de serviços do ITIL, adentrando as fases e
dimensões dele e finalizando com as certificações e cases do framework.

Objetivando o melhor aproveitamento e entendimento, trataremos casos práticos

que permitam uma compreensão plena do conteúdo abordado e possível
aplicação prática no dia a dia.

Vamos ao estudo!

PRATICAR PARA APRENDER

Caro aluno!
Nesta seção, trataremos o tema Governança de Tecnologia da Informação e a
ideia é que possamos compreender o papel dela dentro do contexto de
Governança Corporativa, suas estratégias, normas, modelos e aplicação do
Balanced Scorecard (BSC).

0
Cada vez mais, a área de tecnologia da informação assume papel estratégico nas

seõçatona reV
organizações e pode contribuir para o sucesso e perpetuação delas.

Molinaro e Ramos (2010) afirmam que a integração da Tecnologia da Informação

com o Negócio é um constante problema nas organizações, gerando grande
esforço financeiro e humano, porém, destacam que as organizações que possuem
o alinhamento entre TI e Negócio são constantemente beneficiadas com a
efetividade organizacional, que não é só́ percebida em áreas isoladas, mas também
em toda a organização.

Para Rossetti e Andrade (2014), o gerenciamento dos riscos operacionais envolve a

inibição de fraudes, a minimização de erros nos processos utilizados pela empresa
e a redução de falhas nos sistemas, principalmente os de tecnologia da
informação.

Oliveira (2015) destaca que o papel da tecnologia da informação é colaborar no

desenvolvimento e orientar a aplicação do Plano Diretor de Informática.

O autor ainda destaca outros pontos de atenção:

Procurar interagir com as gerências e os setores da empresa,

preferencialmente via comitês multidisciplinares.

Manter todos os envolvidos informados dos planos e dos problemas para o

alcance dos objetivos e das metas estabelecidos.

Trabalhar com indicadores de desempenho negociados e entendidos por

todos.

Definir as causas e as possíveis ações para acertos de desvios dos diversos

planejamentos da empresa.
 Acompanhar e avaliar todos os resultados do plano estratégico e dos outros
planejamentos da empresa.

Avaliar a evolução dos projetos e dos planos de ação, tomando as medidas

0
necessárias para possíveis ajustes.

seõçatona reV
Molinaro e Ramos (2010) descrevem que o principal propósito da governança de TI
é apoiar o processo decisório por meio de três dimensões: domínio, fase de
tomada de decisão e divisão por níveis de escopo.

O aprofundamento do tema é relevante para a compreensão do processo de

Governança de Tecnologia da Informação e a sua contribuição para a Governança
Corporativa e sua forma de auxiliar nas estratégias organizacionais.

Caro aluno, imagine que você faz parte de uma equipe que atua em projetos de
Governança de Tecnologia da Informação voltado a empresas privadas e o atual
cliente é uma grande companhia que desenvolve aplicações com tecnologia Radio
Frequency Identification (RFID) no Brasil.

Atualmente, a empresa está situada no estado do Paraná, porém, atende todos os

estados do Brasil, conta com cerca de 500 clientes e 250 colaboradores. A empresa
tem sua estrutura de Governança Corporativa desenvolvida, porém, deseja
aprimorar sua Governança de Tecnologia da Informação.

A situação vivenciada pela empresa no momento é o atendimento de uma estatal

que fará uso das aplicações desenvolvidas pela empresa na área de transportes. A
equipe de empresa precisa fornecer informações inerentes à execução do projeto,
portanto, todo o gerenciamento do projeto deverá ser realizado de forma
minuciosa, gerando apontamentos que permitam a estatal gerenciar percentual de
execução do projeto, investimentos realizados até o momento, dificuldades de
execução, entre outros aspectos. Devido ao projeto acontecer na área de
transportes, diversas equipes estão envolvidas e diversas ações acabam por
ocorrer de forma remota e distantes fisicamente umas das outras. Dessa forma, a
internet representa um recurso fundamental no processo, pois parte das
informações lançadas vão para o portal de transparência da estatal e outras são
apenas de uso interno.

0
Você e a equipe da sua empresa deverão apresentar à empresa alvo do estudo
uma proposta de implementação de Governança de Tecnologia da Informação que

seõçatona reV
enfatize o papel da área de TI dentro do processo de Governança, suas aplicações,
suas vantagens e seus impactos. O intuito é mostrar como é possível melhorar a
gestão e seus processos. Você e sua equipe deverão, também, trazer os aspectos
de abrangência e as aplicações da Governança que auxiliarão na delimitação e
melhor execução do projeto junto com o departamento responsável. A ideia é que
o cliente seja capaz de compreender como a Governança de Tecnologia da
Informação poderá contribuir para a sustentação dos quatro princípios de
Governança Corporativa e as vantagens que acarretará para a empresa. Uma outra
demanda da empresa envolve a segurança do processo de coleta e distribuição de
informações que vão para o portal da transparência da estatal ou para outras
áreas.

Para solucionar essa situação, sua equipe de Governança de Tecnologia da

Informação deverá, basicamente, usar o modelo de Governança de Tecnologia da
Informação, assim como as perspectivas do Balanced Scorecard (BSC) de uma
forma que minimize impactos dessa natureza na companhia. Como produto desse
trabalho, você deverá entregar um relatório que contenha as estratégias e os
indicadores de desempenho que devem ser utilizados e as soluções
implementadas.

Aprofunde seus estudos para que possa entregar um relatório de qualidade e que
atenda às expectativas do contratante.

Vamos lá?

Mãos à obra e boa sorte!

Animado para receber informações sobre Governança de Tecnologia da
Informação? Então, vamos seguir adiante, entender e levar esses conceitos para o
dia a dia, pois com certeza você poderá fazer a diferença na gestão de uma
empresa!

0
seõçatona reV
CONCEITO-CHAVE
CONCEITO DE GOVERNANÇA DE TI
Weill e Ross (2004) definem Governança de Tecnologia da Informação (GTI) como
um ferramental que especifica decisões e as responsabilidades para melhorar o
desempenho dessa área, promovendo transparência nos negócios, alinhamento
estratégico e controle dos processos, além de encorajar comportamentos
desejáveis. Neste contexto, os comportamentos desejáveis são os que estão
alinhados aos objetivos estratégicos da empresa e estes podem variar de empresa
para empresa.

Segundo Fernandes e Abreu (2014), o IT Governance Institute descreve que a

Governança de Tecnologia da Informação é de responsabilidade dos diretores e
executivos no que tange a intermediação da compreensão das estratégias e dos
objetivos da organização por parte da área de TI.

Os objetivos da Governança de Tecnologia da Informação são:

Tecnologia da Informação (TI) com posicionamento mais claro diante dos

demais departamentos: as estratégias do negócio devem ser compreendidas
e traduzidas em planos para sistemas, aplicações, soluções, estrutura
organizacional, processos e infraestrutura, estratégias de sourcing e de
segurança da informação.

Alinhamento entre as iniciativas de Tecnologia da Informação e a

estratégia do negócio: priorizar para que o planejado seja atingido,
respeitando as restrições de investimento e gerando um portfólio de
Tecnologia da Informação.
 Alinhamento da arquitetura de Tecnologia da Informação: implantar os
projetos e serviços por prioridade e com visão de presente e futuro.

Melhoria contínua dos processos de gestão de Tecnologia da Informação:

0
as implantações e implementações devem respeitar os padrões do negócio e a
gestão deve acontecer com base no planejamento, controle, avaliação e

seõçatona reV
melhoria.

Estrutura que permita melhor gestão de riscos: os processos devem

considerar a mitigação de riscos para o negócio.

Regras claras para as responsabilidades da área de Tecnologia da

Informação: estabelecer as regras acerca de princípios, arquitetura,
necessidades, investimentos, segurança, fornecedores e parcerias de
Tecnologia da Informação.

O Strategic Sourcing é um método para avaliar a complexidade de obtenção de

determinado produto, bens de consumo ou serviços no mercado versos o
impacto que o mesmo traz para o negócio. (FERNANTES; ABREU, 2014)

O estudo da Governança em Tecnologia da Informação precisa considerar diversas

dimensões: o ambiente de negócio, a integração tecnológica, a segurança da
informação, a dependência da TI com o negócio, a questão da conformidade
regulatória, a disponibilidade e o manuseio da informação. A Figura 4.1 ajuda a
compreender os fatores motivadores da Governança de Tecnologia da Informação;
apesar de ter como fator principal a transparência da administração, também se
encontram outros.

Figura 4.1 | Fatores motivadores da Governança de Tecnologia da Informação

 0
seõçatona reV
Fonte: FERNANDES; ABREU (2014, p. 7)

Weill e Ross (2004) identificam seis ativos principais que contribuem para a geração
de valor ao negócio: os ativos humanos, financeiros, físicos, de propriedade
intelectual, de informação e Tecnologia da Informação (TI) e de relacionamento
que são “governados” por estruturas, processos, comitês, procedimentos e
auditorias, conforme destacado na Figura 4.2.

Figura 4.2 | Ativos que contribuem para a geração de valor

 0
seõçatona reV
Fonte: elaborada pelo autor.

Os autores ainda reforçam que os ativos financeiros e físicos são os melhores

governados e, normalmente, os ativos de informação são os piores.

Para a ISO (2009), a Governança de Tecnologia da Informação é o sistema pelo qual

o uso atual e futuro da Tecnologia da Informação é dirigido e controlado. Significa
avaliar e direcionar o uso da Tecnologia da Informação para dar suporte à
organização e monitorar seu uso para realizar planos. Inclui a estratégia e as
políticas de uso da TI dentro da organização.

O papel da Governança de Tecnologia da Informação inclui:

Alinhar a Tecnologia da Informação ao negócio: as aplicações e a

infraestrutura devem ter estratégias e objetivos alinhados às estratégias do
negócio.

Manter infraestrutura de serviços: criar mecanismos contra falhas e

interrupções.

Alinhar a Tecnologia da Informação com marcos regulatórios: em conjunto

com áreas de controle interno, compliance e gestão de riscos, definir quais
normas devem ser seguidas.
Na Figura 4.3 é possível identificar o ciclo da Governança de TI, demonstrando a
amplitude do papel da área de Tecnologia de Informação na Governança
Corporativa.

0
Figura 4.3 | Ciclo da Governança de TI

seõçatona reV
Fonte: FERNANDES; ABREU (2014, p. 14).

Para Weill e Ross (2004), os fatores que podem corroborar nas aplicações da
Governança de TI estão relacionados à percepção dos gestores da organização,
como:

Volume de investimento.

Orçamento compartilhado (proveniente não apenas da área de TI).

Chegada de novas tecnologias (maior disponibilidade de informações via web).

Aprendizado organizacional (real valor da informação).

Adequação de processos (o sucesso não depende apenas de boa tecnologia).

Cultura organizacional (os paradigmas e capacidade de atendimento limitada).

Infraestrutura de TI (que atenda aos requisitos organizacionais).

ASSIMILE

ISO/IEC 27001 é adequada para serviços bancários, serviços financeiros,

saúde, serviços públicos e setores de TI. É também eficaz para organizações
que tenham informações em nome de outras pessoas como forma de
 demonstrar controles de segurança adequados atendendo aos requisitos
legais e outras disposições para a proteção de dados.

A ISO 27001 é composta por requisitos principais e um apêndice que

0
contém controles de segurança.

seõçatona reV
Política de segurança.

Organização da segurança da informação.

Gestão de ativos.

Segurança dos recursos humanos.

Segurança física e ambiental.

Gestão das comunicações e operações.

Controle de acesso.

Aquisição, desenvolvimento e manutenção de sistemas de informação.

Gerenciamento de incidentes na segurança da informação.

Gerenciamento de continuidade de negócios.

Compliance (conformidade).

ESTRATÉGIAS DA TECNOLOGIA DA INFORMAÇÃO PARA GOVERNANÇA

CORPORATIVA
Segundo Lanzini (2020), a quarta revolução industrial chegou gerando grandes
oportunidades, porém, revelando grandes desafios para as organizações. Os ciclos
de inovação e obsolescência dos produtos se modificam de uma maneira muito
rápida.

Complementar à ideia inicial do autor, cada vez mais a Governança ocupa um

papel de maior destaque nas organizações, portanto, o grande desafio é manter os
princípios da transparência, equidade, prestação de contas e responsabilidade
corporativa e manter-se vivo no quesito da inovação.
Lanzini (2020) destaca também que as empresas inovadoras devem contar com
um processo de reinvenção contínuo, dessa forma, a governança deve contribuir,
apoiar as estratégias inovadoras da companhia e se adaptar a essa nova realidade.

0
A fala do autor retrata de forma objetiva a necessidade de mudança do processo
de governança corporativa principalmente no que diz respeito à agilidade. As

seõçatona reV
decisões morosas não podem mais fazer parte da realidade das organizações que
desejam destaque no mercado por meio de uma atuação inovadora. O desafio é
fazer com que inovação e governança não sejam concorrentes, mas sim, possam
se apoiar e trabalhar juntas.

Para Fagundes (2017), a estratégia da Governança de TI deve ser embasada nos

aspectos a seguir:

Criar sinergia entre a liderança de TI e as lideranças de negócios.

Implantar comitês de TI.

Criar parceria entre os profissionais de TI e os profissionais das áreas em busca

de melhoria nos processos.

Criar controles adequados (evitar excesso).

Planejar com base nos objetivos (evite investimentos por expectativas mal
dimensionadas).

Criar um departamento de TI proativo e que agregue valor ao negócio.

Criar um orçamento focado nos objetivos do negócio.

Avaliar o desempenho das atividades e equipe.

Buscar maturidade organizacional.

Atender legislações regionais vinculadas ao negócio.

De acordo com Santos (2010), o Plano Diretor de TI contém diretrizes para a área
de TI de curto, médio e longo prazos. Os prazos praticados, no geral, são de um
ano, dois a três anos e cinco a seis anos, respectivamente. Tais prazos não são
absolutos, pois podem variar de empresa para empresa e de setor para setor.
Para o autor, é fundamental a definição clara de missão e visão da organização
para que o Plano Diretor de TI seja planejado de forma adequada e que atenda da
melhor forma possível os requisitos determinados no planejamento estratégico da
empresa.

0
A Governança de Tecnologia da Informação deve contribuir para o processo de

seõçatona reV
realização dos princípios de governança corporativa, portanto, para que haja
transparência, é necessário disponibilizar informações de forma ágil, fidedigna e
com equidade a todos os stakeholders. Corroborando com esse processo, a
segurança de tecnologia da informação tem um papel relevante na Governança
Corporativa.

Para Fernandes e Abreu (2014), a política de segurança da informação consiste na

determinação de diretrizes e ações referentes à segurança dos aplicativos, da
infraestrutura, dos dados, das pessoas e organizações (fornecedores e parceiros).

Os autores ainda reiteram que as operações de segurança da informação

contemplam o planejamento e o monitoramento dos riscos do processo de
segurança, além da conscientização e treinamento da equipe para melhor
conhecimento das regras de segurança.

A infraestrutura de TI da empresa, assim como a infraestrutura externa

relacionada a bancos e redes privadas, interferem na realidade de cada
organização. Os serviços de gestão de dados, gestão de ativos, gestão de
infraestrutura, segurança da informação, padrões de interface e educação em TI;
como esses serviços serão dispostos na organização e os recursos computacionais
necessários para apoiar a organização, vão interferir diretamente na política de
segurança da empresa.

A Governança e a segurança da informação estão diretamente relacionadas, pois a

governança deve comunicar as práticas internas e os resultados aos stakeholders e
a segurança da informação deve garantir a divulgação dessas informações de
forma segura.
Nota-se a grande influência que uma gera na outra, pois ao mesmo tempo em que
a Governança precisa “abrir as portas” para o acesso às informações da empresa, a
segurança de TI necessita proteger tais informações.

0
Fernandes e Abreu (2014) destacam que a Governança de TI colabora para a
mitigação ou eliminação dos riscos e controla as informações das organizações.

seõçatona reV
Atualmente, o que contribui para a criação do diferencial competitivo para muitas
organizações é a tecnologia utilizada e a gestão de suas informações. Uma boa
gestão da TI representa, sem dúvida, a criação de valor agregado para a
organização e para seus stakeholders.

Os autores ainda afirmam que as operações de segurança da informação são

compostas pelo planejamento da segurança da informação e o monitoramento do
ambiente computacional diariamente.

Vale a pena ressaltar que a Governança Corporativa não deve impedir a inovação
tecnológica nas organizações, pois é necessário que essas duas frentes atuem em
parceria para uma melhor gestão e um melhor posicionamento da empresa no
mercado diante das necessidades atuais.

Há uma visão que demonstra a governança corporativa como a burocratização e

morosidade da organização, enquanto a inovação traz agilidade. Mesmo os
processos sólidos e que atendem à necessidade da organização podem se
beneficiar da inovação e contribuir para a criação de diferencial competitivo.

O mercado evolui em uma velocidade incrível e as empresas que não se

adaptarem a essa realidade correm risco de perder a participação no mercado que
atuam. A tecnologia e inovação estão presentes em todas as áreas; reflita sobre a
evolução do telefone, começando por aquele que era preso por um fio na parede e
que atualmente temos com aplicativos de troca de mensagens e áudios que são
utilizados em dispositivos móveis.

No ano de 2020, a grande maioria das empresas passou por um grande desafio
devido à COVID-19, com a necessidade de isolamento social e maior destaque do
trabalho remoto.
Amaral (2016) define o trabalho remoto como aquele que é exercido por
trabalhadores fisicamente distantes, permanecendo dessa forma distâncias
estabelecidas entre subordinados e superiores hierárquicos, colegas de trabalho,
pelo simples fato de se encontrarem em locais distintos de trabalho.

0
Foram publicadas pelo Governo Brasileiro diversas medidas provisórias no Diário

seõçatona reV
Oficial da União, porém, a medida provisória n° 927, de 22 de março de 2020, se
destaca para o assunto em questão.

Um dos pontos que a medida provisória destaca é que, em função de um estado

de calamidade pública, o empregador poderá, a seu critério, alterar o regime de
trabalho presencial para o teletrabalho, o trabalho remoto ou outro tipo de
trabalho a distância e determinar o retorno ao regime de trabalho presencial,
independentemente da existência de acordos individuais ou coletivos, dispensado
o registro prévio da alteração no contrato individual de trabalho.

O cenário exposto impacta diretamente nos riscos de vazamento de informações e

até mesmo uma maior vulnerabilidade a ataques cibernéticos.

Coleta e Salum (2020) destacam que o trabalho remoto coloca à prova a segurança
das informações compartilhadas e aumenta a necessidade de cuidados com
ataques virtuais, já que na grande maioria das vezes os computadores pessoais
dos colaboradores têm pouca ou nenhuma supervisão por parte da empresa.

NORMAS E MODELOS DA GOVERNANÇA DA TECNOLOGIA

Segundo a ABNT (2018), a NBR ISO/IEC 38500, do mesmo ano, fornece princípios
que orientam para os membros das estruturas de governança das organizações
sobre o uso da tecnologia de forma eficaz e viável.

A norma tem como objetivo central fornecer uma estrutura de princípios que
permitam que os membros das estruturas de governança utilizem no processo de
avaliação e monitoramento do uso da tecnologia da informação nas organizações.

A ABNT (2018) destaca ainda que o propósito da norma é promover o uso eficaz,
eficiente e aceitável da TI em todas as organizações, para:
 Garantir aos stakeholders (partes interessadas) que, se a norma for seguida,
pode-se confiar na governança corporativa de TI da organização.

Informar e orientar os dirigentes quanto ao uso da TI em suas organizações.

0
Fornecer uma base para uma avaliação objetiva da governança corporativa de

seõçatona reV
TI.

A governança de tecnologia da informação pode, ainda, auxiliar os dirigentes a

garantirem o cumprimento das obrigações regulamentares, legislativas, legais,
contratuais, desde que aplicada corretamente.

Sistemas de tecnologia da informação inadequados podem expor os dirigentes de

organizações e torná-los responsáveis por algumas violações, são elas: normas de
segurança; legislação de privacidade; legislação de spam; legislação de práticas de
comércio; direitos de propriedade intelectual, incluindo acordos de licenças de
softwares; exigências de registro de informações; legislação e regulamentações
ambientais; legislação de saúde e segurança; legislação de acessibilidade; normas
de responsabilidade social.

A ABNT (2018) ainda descreve que a estrutura da boa Governança de Tecnologia da

Informação depende de seis princípios:

Responsabilidade: os indivíduos e grupos dentro da organização

compreendem e aceitam suas responsabilidades com respeito ao fornecimento
e à demanda de TI. Aqueles responsáveis pelas ações também têm autoridade
para desempenhar tais ações.

Estratégia: a estratégia de negócio da organização leva em conta as

capacidades atuais e futuras de TI; os planos estratégicos para TI satisfazem as
necessidades atuais e contínuas da estratégia de negócio da organização.

Aquisição: as aquisições de TI são feitas por razões válidas, com base em

análise apropriada e contínua, com tomada de decisão clara e transparente.
Existe um equilíbrio apropriado entre benefícios, oportunidades, custos e
riscos, de curto e longo prazo.
 Desempenho: a TI é adequada ao propósito de apoiar a organização,
fornecendo serviços, níveis de serviço e qualidade de serviço, necessários para
atender aos requisitos atuais e futuros do negócio.

0
Conformidade: a TI cumpre com toda a legislação e regulamentos
obrigatórios. As políticas e práticas são claramente definidas, implementadas e

seõçatona reV
fiscalizadas.

Comportamento Humano: as políticas, práticas e decisões de TI demonstram

respeito pelo Comportamento Humano, incluindo as necessidades atuais e
futuras de todas as “pessoas no processo”. Convém que os dirigentes
governem TI através de três tarefas principais: avaliar o uso atual e futuro da TI;
orientar a preparação e a implementação de planos e políticas para assegurar
que o uso da TI atenda aos objetivos do negócio; monitorar o cumprimento das
políticas e o desempenho em relação aos planos.

A ABNT (2018) apresenta também o modelo para a Governança de Tecnologia da

Informação, conforme Figura 4.4.

Figura 4.4 | Modelo de Governança de Tecnologia da Informação

Fonte: ABNT (2018).

Atualmente, a convergência tecnológica permite os mais variados tipos de acesso
por parte dos usuários e, em sua maioria, dentro de um ambiente de internet. A
utilização de smartphones, tablets, notebooks acessando dados da empresa de
forma remota trazem maior exposição das informações das organizações e do

0
ambiente de TI. A disponibilidade de aplicativos em nuvem (cloud computing) é

seõçatona reV
outro aspecto que deve ser focado no processo de segurança.

Santos (2010) enfatiza que as fraudes em sistemas de TI geram prejuízos cada vez
maiores, pois as empresas utilizam cada vez mais os meios digitais.

Além da tecnologia também podem ser observados fatores no relacionamento

entre os sócios, como modelos ou normas que contribuirão para um processo de
gestão mais eficaz e voltado aos objetivos do negócio.

Os contratos sociais, por exemplo, devem ter características específicas, que

atendam às necessidades dos sócios e contribuam para a perpetuação de negócio.
Normas que envolvam a venda de ações por parte dos sócios e períodos pré-
determinados para que isso aconteça podem contribuir para o engajamento de
todos os membros da empresa e para o seu crescimento, além de limitar as ações
de concorrência quanto à saída de um sócio da sociedade.

As normas e boas práticas surgiram para auxiliar os processos da área de

tecnologia da informação, e as normas da família ISO 27000 são bons exemplos.

A International Organization for Standardization (ISO), organização com sede em

Genebra, na Suíça, e fundada em 1946, é a responsável pela criação da ISO e tem
como objetivo criar normas que possam ser utilizadas de forma padronizada pelo
mundo.

A família de padrões ISO/IEC 27000 em conjunto com a International

Electrotechnical Commission (IEC) ajuda as organizações a manter ativos de
informações seguras.

O uso dessa família de padrões ajuda a organização a gerenciar a segurança de

ativos, tais como informações financeiras, propriedade intelectual, detalhes de
empregados ou informações confiadas por terceiros. A ISO/IEC 27001 é o padrão
mais conhecido da família, fornecendo requisitos para um sistema de
gerenciamento de segurança da informação - Information Security Management
System (ISMS).

0
Um ISMS é uma abordagem sistemática para gerenciar informações confidenciais
da empresa para que ela permaneça segura. Ele inclui pessoas, processos e

seõçatona reV
sistemas de TI aplicando um processo de gerenciamento de riscos, assunto que
trataremos em detalhes adiante.

Também se faz necessário compreender conceitos, como Control Objectives for

Information and Related Technology (COBIT), que significa Objetivo de Controle
para Tecnologia da Informação e Áreas Relacionadas; Information Technology
Infrastructure Library (ITIL), que significa Biblioteca de Infraestrutura para a
Tecnologia de Informação e Lei Geral de Proteção de Dados (LGPD).

No ano de 1996, a Information Systems Audit and Control Association (ISACA)

lançou a primeira versão do framework COBIT. A ISACA foi fundada em 1967 e se
trata de uma associação internacional que sustenta e custeia o desenvolvimento
de métodos e certificações para o desempenho de atividades de auditoria e
controle em sistemas de informação.

Segundo ISACA (2013), o COBIT é um guia para a gestão das melhores práticas da
TI voltado para processos e controles. Utiliza um framework que fornece as
melhores práticas para o gerenciamento de processos de tecnologia da informação
de uma forma estruturada, gerenciável e lógica. Sua estrutura foi idealizada para
atender às necessidades da Governança Corporativa, com foco nos requisitos de
negócio, abordagem de processos, utilização de mecanismos de controle e análise
das medições e indicadores de desempenho. Esse modelo poderá ser utilizado por
qualquer empresa e independe da sua plataforma tecnológica.

Desde o seu surgimento, foram divulgadas diversas versões do guia COBIT, e a

última é a COBIT5, que foi divulgada em 2019.
Segundo Santos (2010), a ITIL foi desenvolvida no final dos anos 1980 pelo governo
britânico e, desde então, as empresas e entidades governamentais perceberam
que as suas práticas poderiam ser usadas em processos de TI. A partir de 1990, a
ITIL se tornou um padrão para todo mundo.

0
Com sua crescente relevância no cenário mundial, o Governo decidiu tirá-la dos

seõçatona reV
cuidados da Central Computer and Telecommunications Agency (CCTA) e passá-la
para o Office of Government Commerce (OGC).

No ano de 1991, foi criada a IT Management Forum (ITMF), uma comunidade com
papel de discutir e disseminar as práticas de Gestão de TI, devido à falta de
interesse do governo britânico em ter lucro com a ITIL. Em 1997, o nome dessa
comunidade foi alterado de ITMF para ITSMF (IT Service Management Forum)
devido a TI ter se tornado uma área de serviços.

Segundo Brasil (2018), a Lei nº 13.709, de 14 de agosto de 2018, ou Lei Geral de

Proteção de Dados (LGPD), dispõe sobre o tratamento de dados pessoais, inclusive
nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou
privado, com o objetivo de proteger os direitos fundamentais de liberdade e de
privacidade e o livre desenvolvimento da personalidade da pessoa natural.

A Lei determina ainda que o tratamento de dados pessoais somente poderá ser
realizado nas seguintes hipóteses:

Mediante o fornecimento de consentimento pelo titular.

Para o cumprimento de obrigação legal ou regulatória pelo controlador.

Pela administração pública, para o tratamento e uso compartilhado de dados

necessários à execução de políticas públicas previstas em leis e regulamentos
ou respaldadas em contratos, convênios ou instrumentos congêneres.

Para a realização de estudos por órgão de pesquisa, garantido, sempre que

possível, o anonimato dos dados pessoais.

Quando necessário para a execução de contrato ou de procedimentos

preliminares relacionados a contrato do qual seja parte o titular, a pedido do
 titular dos dados.

Para o exercício regular de direitos em processo judicial, administrativo ou

arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei

0
de Arbitragem).

seõçatona reV
Para a proteção da vida ou da incolumidade física do titular ou de terceiros.

Para a tutela da saúde, exclusivamente, em procedimento realizado por

profissionais de saúde, serviços de saúde ou autoridade sanitária.

Quando necessário para atender aos interesses legítimos do controlador ou de

terceiros, exceto no caso de prevalecerem direitos e liberdades fundamentais
do titular que exijam a proteção dos dados pessoais.

Para a proteção do crédito, inclusive quanto ao disposto na legislação

pertinente.

Segundo Santo & Gozetto (2020), é importante ressaltar que a ISO 27001 direciona
seus esforços na proteção de dados de pessoas, processos e tecnologia e,
portanto, pode ser vista como uma grande aliada da LGPD, pois a Lei determina
que a organização possua controles técnicos. Uma grande parte das indicações de
controles apontados pela LGPD estão presentes na ISO 27001.

Ainda segundo os autores, a ISO 27001 regulamenta os riscos da segurança da

informação e orienta a importância de se alocar um profissional sênior como
responsável pela área. Dessa forma, a empresa se torna capaz de garantir uma
boa performance de seus sistemas de segurança em conformidade com o que é
exigido pela LGPD por meio da ISO 27001.

Todos esses modelos contribuem para a formação do processo de Governança de

TI e demonstram a quantidade de influências possíveis na gestão da governança.

REFLITA

A inovação da Netflix na Governança Corporativa

O valor da Netflix no início de 2021 era em torno de $ 130 bilhões e
desenvolveu uma estrutura única de governança corporativa.

A empresa criou um modelo que aproxima o conselho de administração da

0
gestão e tornar as informações operacionais mais acessíveis, isto é, tudo
aquilo que é utilizado pelos gerentes é disponibilizado de forma

seõçatona reV
transparente para todo o conselho.

Esse modelo permite que o monitoramento do desempenho e das

avaliações estratégicas da administração garanta que o plano de sucessão
do Chief Executiva Officer (CEO) se mantenha em vigor.

De uma forma geral, os conselhos de governança se reúnem entre quatro e

oito vezes no ano, já o conselho da Netflix participa de reuniões mensais e
trimestrais, isto é, possui participação mais ativa.

Tal participação gera memorandos de cerca de 30 páginas com análises e

links para dados relevantes identificados por sistemas internos da empresa,
que contribuem para decisões mais acertadas e com melhor conhecimento
do mercado.

Alguns pontos de destaque que tal mudança gera na empresa:

Diretores trabalham mais, porém, reuniões são mais curtas devido ao

acesso permanente às informações.

Decisões mais ágeis por parte do conselho.

As receitas da companhia praticamente triplicaram desde 2013.

Aumento da capitalização no mercado.

Avaliando o caso, você acredita que o cenário se apresenta com maior

fragilidade para vazamento de informações?

Você acredita que outras empresas estão aptas a adotar esse modelo?

Qual o fator que você considera mais relevante para que o modelo dê
certo?
 DESENVOLVIMENTO DE BALANCED SCORECARD (BSC) APLICADA À
GOVERNANÇA CORPORATIVA
As empresas necessitam mensurar seus resultados, principalmente comparar o
que foi planejado com o que foi realizado. A medição de resultados necessita da

0
definição de períodos, ou seja, de quanto em quanto tempo é necessário aferir a

seõçatona reV
informação (diariamente, semanalmente, quinzenalmente, mensalmente,
bimestralmente etc.).

Um modelo que é utilizado para definição de indicadores de desempenho é o

Balanced Scorecard (BSC). Alguns frameworks de Governança de TI sugerem o BSC
para que os indicadores sejam montados, com base em suas quatro perspectivas,
contribuindo inclusive para o alinhamento da TI ao negócio.

Segundo Chiavenato (2014), o BSC foi criado por Kaplan e Norton como um
sistema de avaliação de desempenho que substituía o modelo tradicional de
avaliação apenas de indicadores financeiros. Dessa forma, o BSC avançou para
uma representação de equilíbrio entre aspectos financeiro e operacionais e foi
dividido em quatro perspectivas, conforme apontado a seguir.

Perspectiva financeira: envolve indicadores financeiros que informam se a

estratégia empresarial e sua implantação e execução estão contribuindo para a
melhoria do resultado financeiro.

Perspectiva do cliente: envolve indicadores sobre mercados e segmentos nos

quais a empresa está competindo. O atendimento ao cliente é traduzido em
medidas específicas sob critérios de qualidade custo, atendimento e garantias,
bem como satisfação do cliente, sua captação e fidelização.

Perspectiva dos processos internos: envolve indicadores para mensurar o

desempenho dos processos nos quais a empresa deve alcançar excelência para
proporcionar melhores resultados financeiros e encantar os clientes.

Perspectiva do aprendizado e do crescimento: está relacionada com o

capital humano e por isso envolve indicadores que permitem o alcance dos
 objetivos pretendidos nas outras três perspectivas anteriores. Foco no
investimento nas pessoas, no aprendizado e no crescimento.

Figura 4.5 | Perspectivas do BSC

0
seõçatona reV
Fonte: adaptada de Chiavenato (2014).

Para aplicar as perspectivas do BSC à área de governança, é necessário, como já

dito anteriormente, trabalhar o alinhamento da tecnologia da informação às
estratégias do negócio. O BSC permite que a organização gerencie indicadores de
desempenho ou Key Performance Indicator (KPI) no seu processo de
monitoramento e controle.

EXEMPLIFICANDO

BSC na prática

Lembrando que as quatro perspectivas do BSC geram uma reação em

cadeia entre elas, sua aplicação na Governança Corporativa de Tecnologia
da Informação pode ser constituída da seguinte forma:

Perspectiva financeira: rentabilidade sobre o patrimônio líquido,

crescimento da receita.

Perspectiva do mercado e dos clientes: percentual que a empresa

detém das vendas totais do setor em que participa.
 Perspectiva dos processos: medir o percentual de serviços entregues
dentro do prazo prometido.

Perspectiva de aprendizado: percentual da receita obtida com novos

0
produtos ou serviços lançados.

seõçatona reV
Como estamos tratando indicadores de desempenho, todos eles devem ser
expressos numericamente.

Para a área de Tecnologia da Informação, o BSC pode ser adaptado da

seguinte forma:

Contribuição aos negócios: retorno de investimentos das aplicações

em tecnologia da informação.

Orientação aos usuários: nível de satisfação dos usuários com as

implementações realizadas.

Excelência operacional: qualidade na entrega de suporte e serviços.

Orientação ao futuro: atenção às tecnologias emergentes,

treinamento e manutenção de profissionais de tecnologia da
informação.

Como você pode perceber, a Governança de Tecnologia da Informação possui uma

complexidade bastante grande, pois envolve os elementos da tecnologia da
informação, suas ferramentas e aplicações com a Governança Corporativa.
Aprofunde seu conhecimento, pesquise mais, dedique-se e amplie seu
conhecimento. Vamos lá? Mãos à obra e boa sorte!

FAÇA VALER A PENA

Questão 1
A segurança da informação não foi preocupação nos primeiros anos da TI, mas
hoje assume um papel cada vez mais importante. Várias tecnologias,
principalmente aquelas que permitem acesso remoto (VPNS, extranets, internet
etc.) e aquelas que permitem acesso com mobilidade (Wi-Fi, WiMax, 3G etc.)
tornam a questão da segurança o calcanhar de Aquiles de qualquer sistema.
(SANTOS, 2010).

0
A Governança de TI e a segurança da informação são influenciadas pelo cenário
descrito no texto-base. Assinale a afirmação VERDADEIRA.

seõçatona reV
a. O ISO/IEC, da família 27000, será a única forma de solucionar a questão.

b. O planejamento e o monitoramento dos riscos do processo de segurança, além da conscientização e do

treinamento da equipe para melhor conhecimento das regras de segurança se tornam mais complexos

c. É preciso de uma definição de critérios claros na organização para classificar as informações com base em
seu valor e lhe oferecer um nível padrão de proteção.

d. As estratégias de proteção às informações organizacionais são derivadas do acesso amplo, níveis de

defesa, ponto fraco, restrição do acesso, exposição do necessário e simplicidade do processo.

e. Envolve normas de segurança; legislação de privacidade; legislação de spam; legislação de práticas de

comércio; direitos de propriedade intelectual, incluindo acordos de licenças de softwares.

Questão 2
Weill e Ross (2004) definem Governança de Tecnologia da Informação (GTI) como
sendo um ferramental que especifica decisões e responsabilidades para melhorar
o desempenho dessa área, promovendo transparência nos negócios, alinhamento
estratégico e controle dos processos, além de encorajar comportamentos
desejáveis.

No que diz respeito à Governança de Tecnologia da Informação, avalie as

afirmações que seguem:

I. Na ISO/IEC 38500, a Governança de TI é o sistema pelo qual o uso atual e futuro

da TI são dirigidos e controlados.

II. O estudo da Governança em TI precisa considerar diversas dimensões: o

ambiente de negócio, as pessoas do processo, a segurança da informação, a
dependência da TI com o negócio, a questão da conformidade regulatória, a
disponibilidade e o manuseio da informação.

III. O objetivo da Governança Corporativa é assegurar que os comportamentos

dos administradores estejam em consonância com o que realmente é melhor
 dos administradores estejam em consonância com o que, realmente, é melhor
para a empresa.

IV. A Governança se tornou mais rígida após as fraudes ocorridas em grandes

companhias do país, que demonstravam falta de transparência nos resultados

0
e os gastos absurdos e abusivos contabilizados por executivos de empresas.

seõçatona reV
V. A Governança de TI não é somente a implantação de modelos de melhores
práticas, tais como COBIT, ITIL e CMMI, mas também tem o papel de alinhar a TI
ao negócio, manter infraestrutura de serviços, alinhar a TI com marcos
regulatórios.

Considerando o contexto apresentado, é correto o que se afirma em:

a. I, II, III e IV apenas.

b. I, II, III e V apenas.

c. I, II, IV e V apenas.

d. I, III, IV e V apenas.

e. II, III, IV e IV apenas.

Questão 3
O Balanced Scorecard (BSC) é um sistema de avaliação de desempenho que
substitui o modelo tradicional de avaliação por um que avalia quatro perspectivas
que avançam para uma representação de equilíbrio entre aspectos financeiro e
operacionais.

PORQUE

O ambiente das organizações é cada vez mais volátil e, portanto, é fundamental

controlar os processos internos, para melhor atender às necessidades dos clientes,
criando oportunidade de melhoria continua nos processos e desenvolvimento das
pessoas, aumentando a lucratividade.

Avaliando o texto-base, é correto o que se afirma em:

a. As duas afirmações são verdadeiras e a segunda justifica a primeira.

b. As duas afirmações são falsas.

c. A primeira afirmação é verdadeira e a segunda é falsa.

d. A primeira afirmação é falta e a segunda é verdadeira.

0
e. As duas afirmações são verdadeiras e segunda não justifica a primeira.

seõçatona reV
REFERÊNCIAS
ABNT (Associação Brasileira de Normas Técnicas). NBR ISO/IEC 38500:
Governança Corporativa de Tecnologia da Informação. Rio de Janeiro: ABNT,
2018.

AMARAL, E. et al. Flexibilização das relações de trabalho: A flexibilização e a

inovação da implementação do trabalho remoto no Brasil. Revista Eletrônica FACP,
n. 9, 2016.

BRASIL. Medida provisória nº 927, de 22 de março de 2020. Disponível em:

https://bit.ly/39BiCBb. Acesso em: 10 jan. 2021.

BRASIL. Lei Nº 13.709, de 14 de Agosto de 2018. Disponível em:

https://bit.ly/3u8ejF2. Acesso em 10 jan. 2021.

BURIN, L. T. O valor da governança de TI: um estudo de caso. 2018. 55 f., il.

Trabalho de Conclusão de Curso (Bacharelado em Administração) - Universidade
de Brasília, Brasília, 2018. Disponível em: https://bit.ly/3fxrPhz. Acesso em: 10 jan.
2021.

CERT.br (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no

Brasil). Estatística de Incidentes Reportados ao Cert.br, 2020. Disponível em:
https://bit.ly/3sO2cwY. Acesso em: 10 jan. 2021.

CHIAVENATO, I. Administração: teoria, processo e prática. São Paulo: Editora

Manole, 2014. Disponível em: https://bit.ly/3sHOV99. Acesso em: 10 jan. 2021.

COLETA, K.; SALUM, F. Novas Formas de Trabalhar: Os Impactos do Home Office

Na Crise. Fundação Dom Cabral, 2020. Disponível em: https://bit.ly/2PRByV1.
Acesso em: 10 jan 2021
Acesso em: 10 jan. 2021.

FAGUNDES, E. Dez pontos para o desenvolvimento de uma estratégia de

Governança de TI. Disponível em: https://bit.ly/31EIAiE. Acesso em: 10 jan. 2021.

FERNANDES, A, A.; ABREU, V. F. Implantando a Governança de TI: da estratégia à

0
gestão dos processos e serviços. Rio de Janeiro: Brasport, 2014.

seõçatona reV
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION: ISO/IEC 27000: family -
Information security management systems, 2006. Disponível em:
https://bit.ly/3dkzIEo. Acesso em: 10 jan. 2021.

ISACA. COBIT 2019 Framework: Introduction and Methodology. EUA,

2019. Disponível em: https://bit.ly/3driPI7. Acesso em: 18 jan. 2021.

MOLINARO, L.F.R. RAMOS, K.H. Gestão de Tecnologia da Informação -

Governança de TI: Arquitetura e Alinhamento entre Sistemas de Informação e o
Negócio. São Paulo: Grupo GEN, 2010. Disponível em: https://bit.ly/3cJ2vn7. Acesso
em: 10 jan. 2021.

OLIVEIRA D. D. P. R. D. Governança Corporativa na Prática: Integrando

Acionistas, Conselho de Administração e Diretoria Executiva na Geração de
Resultados, 3ª edição. São Paulo: Grupo GEN, 2015. Disponível em:
https://bit.ly/3wtf51E Acesso em: 10 jan. 2021.

ROSSETTI, J. P. ANDRADE, A. Governança Corporativa: Fundamentos,

Desenvolvimento e Tendências, 7ª ed. São Paulo: Grupo GEN, 2014. Disponível em:
https://bit.ly/3cJ2M9D. Acesso em: 10 jan. 2021.

SANTOS, L. C. Governança em Tecnologia da Informação. Rio de Janeiro:

Fundação CECIERJ, 2010.

SANTOS & GOZETTO. Como a ISO 27001 pode ajudar sua empresa a
implementar a LGPD. São Paulo: 2020.

WEIL, P., ROSS J. W. Governança de Tecnologia da Informação. São Paulo: M.

Books do Brasil, 2006.