Text page

A governança da Tecnologia da informação (TI)

Como pode ser definida a governança corporativa de TI? Como pode ser descrito o Princípio 1: Responsabilidade? Como pode ser descrito o Princípio 3: Aquisição? Como pode ser descrito o Princípio 4: Desempenho? Esses questionamentos estão sendo mostrados no texto sobre a governança da TI.

19/12/2018 - Equipe Target

NBR ISO/IEC 38500 de 11/2018: a governança da TI

A NBR ISO/IEC 38500 de 11/2018 - Tecnologia da informação - Governança da TI para a organização fornece princípios orientativos para os membros das estruturas de governança das organizações (que podem incluir proprietários, diretores, parceiros, gerentes executivos ou similares) sobre o uso efetivo, eficiente e aceitável de tecnologia.

Clique nos links para acessar algumas questões relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Como pode ser definida a governança corporativa de TI?

Como pode ser descrito o Princípio 1: Responsabilidade?

Como pode ser descrito o Princípio 3: Aquisição?

Como pode ser descrito o Princípio 4: Desempenho?

O objetivo desta norma é fornecer uma estrutura de princípios para os dirigentes usarem na avaliação, gerenciamento e monitoramento do uso da tecnologia da informação (TI) em suas organizações. A maioria das organizações usa a TI como uma ferramenta fundamental do negócio e poucas podem realmente funcionar eficazmente sem ela. A TI é também um fator importante nos futuros planos de negócio de muitas organizações.

As despesas com TI podem representar uma proporção significativa dos gastos de recursos financeiros e humanos de uma organização. No entanto, o retorno desse investimento não é totalmente obtido com frequência e os efeitos adversos podem ser significativos para as organizações. A principal razão para esses resultados negativos é a ênfase nos aspectos técnico, financeiro e de programação das atividades de TI ao invés da ênfase no uso da TI no contexto geral do negócio.

Esta norma oferece uma estrutura para a governança eficaz de TI que ajuda a alta administração das organizações a entender e cumprir suas obrigações legais, regulamentares e éticas com relação ao uso da TI em suas organizações. A estrutura apresenta definições, princípios e um modelo. Esta norma está alinhada com a definição de Governança Corporativa publicada como Relatório do Comitê sobre Aspectos Financeiros de Governança Corporativa (o Relatório Cadbury) em 1992.

O Relatório Cadbury também forneceu a definição básica de Governança Corporativa para os Princípios de Governança Corporativa da OECD em 1999 (revisado em 2004). Os usuários desta norma são encorajados a se familiarizem com o Relatório Cadbury e com os Princípios de Governança Corporativa da OECD. Governança é diferente de gerenciamento e, para evitar confusão, os dois conceitos são claramente definidos na norma.

Embora esta norma seja destinada principalmente à diretoria, que por sua vez pode decidir que certas ações sejam tomadas pela administração da organização, ela permite também que, em algumas organizações (geralmente menores), os membros da diretoria possam também ocupar papéis importantes no gerenciamento. Dessa forma, garante que a norma seja aplicável em todas as organizações, desde as menores até as maiores, independentemente da área de atuação, do propósito e da estrutura de propriedade.

Também tem como finalidade informar e orientar os envolvidos no projeto e na implementação do sistema de gerenciamento de políticas, processos e estruturas que suportam a governança. Oferece princípios para orientar os dirigentes das organizações (incluindo proprietários, membros do conselho de administração, diretores, parceiros, executivos seniores ou similares) sobre o uso eficaz, eficiente e aceitável da Tecnologia de Informação (TI) dentro de suas organizações.

Esta norma se aplica aos processos de gerenciamento da governança (e decisões) relacionados aos serviços de informação e comunicação usados por uma organização. Esses processos podem ser controlados por especialistas em TI dentro da própria organização, por provedores externos de serviço ou pelas unidades de negócio da organização.

Ela também fornece orientações para aqueles que aconselham, informam ou assessoram os dirigentes. Incluem-se: gerentes seniores; membros de grupos de monitoramento de recursos dentro da organização; especialistas externos, de negócios ou técnicos, tais como jurídico ou contábil; especialistas, associações de varejo ou entidades profissionais; fornecedores de hardware, software, comunicações e outros produtos de TI; fornecedores internos e externos de serviços (incluindo consultores); auditores de TI.

Esta norma se aplica a todas as organizações, incluindo organizações públicas ou privadas, entidades governamentais e organizações sem fins lucrativos. Aplica às organizações de todos os tamanhos, pequenas e grandes, independentemente da extensão de seus usos de TI. O seu propósito é promover o uso eficaz, eficiente e aceitável da TI em todas as organizações, para: garantir às partes interessadas (incluindo consumidores, acionistas e funcionários) que, se a norma for seguida, pode-se confiar na governança corporativa de TI da organização; informar e orientar os dirigentes quanto ao uso da TI em suas organizações; e fornecer uma base para uma avaliação objetiva da governança corporativa de TI.

Estabelece os princípios para o uso eficaz, eficiente e aceitável da TI. Ela assegura às organizações que seguem estes princípios que os dirigentes poderão avaliar melhor os riscos e aproveitar as oportunidades advindas com o uso da TI. Estabelece um modelo para a governança de TI. O risco de os dirigentes não cumprirem suas obrigações pode ser minimizado se for dada a devida atenção ao modelo e à sua correta aplicação aos princípios.

A governança corporativa de TI corretamente aplicada pode ajudar os dirigentes a garantir o cumprimento das obrigações (regulamentares, legislativas, legais, contratuais) relativas ao uso aceitável da TI. Sistemas de TI inadequados podem expor os dirigentes ao risco de não cumprir com a legislação.

Por exemplo, em algumas jurisdições, os dirigentes podem ser pessoalmente responsabilizados se um sistema inadequado de contabilidade resultar em não pagamento de impostos. Processos tratados por TI incorporam riscos específicos que devem ser corretamente abordados.

Por exemplo, os dirigentes de organizações podem ser responsáveis por violações de: normas de segurança; legislação de privacidade; legislação de spam; legislação de práticas de comércio; direitos de propriedade intelectual, incluindo acordos de licenças de softwares; exigências de registro de informações; legislação e regulamentações ambientais; legislação de saúde e segurança; legislação de acessibilidade; normas de responsabilidade social.

Os dirigentes que usarem as orientações fornecidas nesta norma têm maior probabilidade de cumprir com suas obrigações. A apropriada governança corporativa de TI ajuda os dirigentes a garantir que o uso da TI contribua positivamente para o bom desempenho da organização, através de: correta implementação e operação dos ativos de TI; clareza quanto à responsabilidade e obrigatoriedade em prestar conta, tanto quanto ao uso quanto à provisão da TI para atingir as metas da organização; continuidade e sustentabilidade do negócio; alinhamento da TI com as necessidades do negócio; alocação eficiente de recursos; inovação nos serviços, mercados e negócio; boas práticas nos relacionamentos com as partes interessadas; redução nos custos da organização; e concretização atual dos benefícios aprovados de cada investimento de TI.

Há seis princípios de boa governança corporativa de TI. Os princípios são aplicáveis à maioria das organizações. Os princípios expressam o comportamento preferido para orientar uma tomada de decisão. O enunciado de cada princípio refere-se ao que convém acontecer, mas não descreve como, quando ou por quem os princípios seriam implementados – já que estes aspectos dependem da natureza da organização que está implementando os princípios. Convém que os dirigentes exijam que estes princípios sejam aplicados.

Para o Princípio 1: Responsabilidade, os indivíduos e grupos dentro da organização compreendem e aceitam suas responsabilidades com respeito ao fornecimento e demanda de TI. Aqueles responsáveis pelas ações também têm autoridade para desempenhar tais ações.

Para o Princípio 2: Estratégia, a estratégia de negócio da organização leva em conta as capacidades atuais e futuras de TI; os planos estratégicos para TI satisfazem as necessidades atuais e contínuas da estratégia de negócio da organização.

Para o Princípio 3: Aquisição, as aquisições de TI são feitas por razões válidas, com base em análise apropriada e contínua, com tomada de decisão clara e transparente. Existe um equilíbrio apropriado entre benefícios, oportunidades, custos e riscos, de curto e longo prazo.

Para o Princípio 4: Desempenho, a TI é adequada ao propósito de apoiar a organização, fornecendo serviços, níveis de serviço e qualidade de serviço, necessários para atender aos requisitos atuais e futuros do negócio. Para o Princípio 5: Conformidade, a TI cumpre com toda a legislação e regulamentos obrigatórios. As políticas e práticas são claramente definidas, implementadas e fiscalizadas.

Para o Princípio 6: Comportamento Humano, as políticas, práticas e decisões de TI demonstram respeito pelo Comportamento Humano, incluindo as necessidades atuais e futuras de todas as “pessoas no processo”. Convém que os dirigentes governem TI através de três tarefas principais: avaliar o uso atual e futuro da TI; orientar a preparação e a implementação de planos e políticas para assegurar que o uso da TI atenda aos objetivos do negócio; monitorar o cumprimento das políticas e o desempenho em relação aos planos.

A figura abaixo mostra o modelo do ciclo Avaliar-Dirigir-Monitorar para a Governança de TI. O texto da Figura 1 explica os elementos e relacionamentos descritos.

Clique na imagem acima para uma melhor visualização

Os dirigentes devem examinar e avaliar o uso atual e futuro da TI, incluindo estratégias, propostas e arranjos de fornecimento (interno, externo ou ambos). Na avaliação do uso da TI, convém que os dirigentes considerem as pressões externas e internas que influenciam o negócio, tais como mudanças tecnológicas, tendências econômicas e sociais e influências políticas.

Convém que os dirigentes empreendam avaliação contínua, conforme as pressões mudam. Convém que os dirigentes também levem em conta as necessidades atuais e futuras do negócio – os objetivos organizacionais atuais e futuros que devem alcançar, tais como manter a vantagem competitiva além dos objetivos específicos das estratégias e propostas que estão avaliando.

Convém que os dirigentes designem responsabilidade e exijam preparação e implementação dos planos e políticas. Os planos devem estabelecer a direção dos investimentos nos projetos de TI e operações de TI.

As políticas devem estabelecer um comportamento sólido no uso da TI. Os dirigentes devem assegurar que a transição dos projetos para a entrada em operação seja corretamente planejada e gerenciada, levando em conta os impactos no negócio e nas práticas operacionais, como também nos sistemas de TI e infraestrutura existente.

FONTE: Equipe Target

Anúncio fixo da norma NBRISO9001 Chegou o novo app Target GEDWeb!
Busque e visualize suas normas ABNT NBR NM
Recursos exclusivos de busca, leitura por voz,
acesso off-line, navegação por setor e muito mais!
Produto/Serviço relacionado à NBRISO9001

Baseado nos documentos visitados

Normas recomendadas para você

Tecnologia da informação - Governança da TI para a organização
NBRISO/IEC38500 de 11/2018

Tecnologia da informação - Governança da TI para a organização

Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Orientações
NBRISO/IEC27003 de 04/2020

Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Orientações

Segurança e resiliência — Sistema de gestão de continuidade de negócios — Requisitos
NBRISO22301 de 06/2020

Segurança e resiliência — Sistema de gestão de continuidade de negócios — Requisitos

Gestão de riscos - Diretrizes
NBRISO31000 de 03/2018

Gestão de riscos - Diretrizes

Tecnologia da informação — Técnicas de segurança — Gestão de riscos de segurança da informação
NBRISO/IEC27005 de 10/2019

Tecnologia da informação — Técnicas de segurança — Gestão de riscos de segurança da informação

Tecnologia da informação - Gerenciamento de Serviços Parte 5: Exemplo de um plano de implementação da ABNT NBR ISO/IEC 20000-1
ABNT ISO/IEC TR 20000-5 de 06/2011

Tecnologia da informação - Gerenciamento de Serviços Parte 5: Exemplo de um plano de implementação da ABNT NBR ISO/IEC 20000-1

Tecnologia da informação - Gestão de serviço - Parte 2: Orientação para aplicação de sistemas de gestão de serviço
NBRISO/IEC20000-2 de 01/2021

Tecnologia da informação - Gestão de serviço - Parte 2: Orientação para aplicação de sistemas de gestão de serviço

Tecnologia da informação - Técnicas de segurança - Código de Prática para controles de segurança da informação
NBRISO/IEC27002 de 11/2013

Tecnologia da informação - Técnicas de segurança - Código de Prática para controles de segurança da informação

Gestão de riscos - Técnicas para o processo de avaliação de riscos
NBRISO/IEC31010 de 08/2021

Gestão de riscos - Técnicas para o processo de avaliação de riscos

Segurança da informação, segurança cibernética e proteção da privacidade - Diretrizes para auditoria de sistemas de gestão da segurança da informação
NBRISO/IEC27007 de 05/2021

Segurança da informação, segurança cibernética e proteção da privacidade - Diretrizes para auditoria de sistemas de gestão da segurança da informação

Tecnologia da informação — Técnicas de segurança — Diretrizes para identificação, coleta, aquisição e preservação de evidência digital
NBRISO/IEC27037 de 12/2013

Tecnologia da informação — Técnicas de segurança — Diretrizes para identificação, coleta, aquisição e preservação de evidência digital

Segurança e resiliência — Sistemas de gestão de continuidade de negócios — Orientações para o uso da ABNT NBR ISO 22301
NBRISO22313 de 06/2020

Segurança e resiliência — Sistemas de gestão de continuidade de negócios — Orientações para o uso da ABNT NBR ISO 22301

Tecnologia da informação - Gestão de serviços - Parte 1: Requisitos do sistema de gestão de serviços
NBRISO/IEC20000-1 de 03/2020

Tecnologia da informação - Gestão de serviços - Parte 1: Requisitos do sistema de gestão de serviços

Tecnologia da informação - Técnicas de segurança - Especificação para redação digital
NBRISO/IEC27038 de 12/2014

Tecnologia da informação - Técnicas de segurança - Especificação para redação digital

Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Requisitos
NBRISO/IEC27001 de 11/2013

Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Requisitos

Tecnologia da informação - Técnicas de segurança - Diretrizes para a prontidão para a continuidade dos negócios da tecnologia da informação e comunicação
NBRISO/IEC27031 de 08/2019

Tecnologia da informação - Técnicas de segurança - Diretrizes para a prontidão para a continuidade dos negócios da tecnologia da informação e comunicação

Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Monitoramento, medição, análise e avaliação
NBRISO/IEC27004 de 08/2017

Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Monitoramento, medição, análise e avaliação

Tecnologia da Informação - Técnicas de segurança - Diretrizes para segurança cibernética
NBRISO/IEC27032 de 06/2015

Tecnologia da Informação - Técnicas de segurança - Diretrizes para segurança cibernética