O documento descreve a norma ISO/IEC 38500 sobre governança de TI. A norma fornece princípios para diretores usarem na avaliação, direcionamento e monitoramento do uso de TI em suas organizações de forma eficiente, eficaz e aceitável. A norma define seis princípios de governança de TI e um modelo no qual os diretores avaliam, direcionam e monitoram o uso de TI.
1. ISO/IEC 38500 - IT Governance Standard
Prof. Cristiano Bertolini
Universidade Federal de Santa Maria (UFSM Campus Frederico Westphalen)
Departamento de Tecnologia da Informa¸c˜ao
cristiano.bertolini@ufsm.br
25 de Maio de 2018
2. Norma ISO/IEC 38500: Defini¸c˜ao
ISO: International Organization for Standardization
IEC: International Electrotechnical Commission
Conceito
ISO/IEC 38500 ´e um padr˜ao alto n´ıvel baseado em princ´ıpios
Objetivo
´E fornecer um conjunto de princ´ıpios para diretores para usar na avalia¸c˜ao,
direcionamento e monitoramento do uso da TI em suas organiza¸c˜oes
C. Bertolini (UFSM) ISO/IEC 38500 Maio 2018 2 / 48
3. Norma ISO/IEC 38500: Motiva¸c˜ao
TI ´e usado como ferramenta de trabalho pelas organiza¸c˜oes
TI ´e considerado um plano futuro dentro de muitas organiza¸c˜oes
Gastar em TI pode representar uma despesa consider´avel
O retorno do investimento muitas vezes n˜ao ´e medido (ou ´e
desconhecido)
Uma das raz˜oes de se ter esses aspectos negativos ´e o foco na parte
t´ecnica, financeira e de recursos humanos
A ideia ´e focar o uso do TI no contexto do neg´ocio (TI como parte do
neg´ocio)
C. Bertolini (UFSM) ISO/IEC 38500 Maio 2018 3 / 48
4. Norma ISO/IEC 38500: Padroniza¸c˜ao
A norma fornece um framework para:
governan¸ca efetiva de TI
capacitar as organiza¸c˜oes a entender o seu papel legal, regulat´orio e de
obriga¸c˜oes no uso da TI
fornece defini¸c˜oes, princ´ıcios e um modelo
C. Bertolini (UFSM) ISO/IEC 38500 Maio 2018 4 / 48
5. Norma ISO/IEC 38500: Importante
Governan¸ca ´e diferente de Gerenciamento
C. Bertolini (UFSM) ISO/IEC 38500 Maio 2018 5 / 48
6. Norma ISO/IEC 38500: Escopo
A norma fornece princ´ıpios no uso eficiente, eficaz e aceit´avel da TI
para diretores de organiza¸c˜oes, incluindo, donos, membros da dire¸c˜ao,
diretores, s´ocios, executivos ou cargos similares
C. Bertolini (UFSM) ISO/IEC 38500 Maio 2018 6 / 48
7. Norma ISO/IEC 38500: Aplica¸c˜ao
A norma ´e aplic´avel em todas organiza¸c˜oes, incluindo p´ublicas e
privadas, governamentais e entidades filantr´opicas
A norma ´e aplic´avel em organiza¸c˜oes de todos os tamanhos, incluindo
pequenas, m´edias e grandes
C. Bertolini (UFSM) ISO/IEC 38500 Maio 2018 7 / 48
8. Norma ISO/IEC 38500: Objetivos
O objetivo da norma ´e promover o uso da TI nas organiza¸c˜oes de
forma eficiente, eficaz e aceit´avel:
assegurando aos envolvidos (stakeholders), se a norma ´e seguida, eles
podem ter confian¸ca na governan¸ca de TI da organiza¸c˜ao
informando e guiando diretores em governar o uso da TI em suas
organiza¸c˜oes
fornecer uma base para a avalia¸c˜ao dos objetivos da governan¸ca de TI
C. Bertolini (UFSM) ISO/IEC 38500 Maio 2018 8 / 48
9. Norma ISO/IEC 38500: Benef´ıcios
A norma fornece um padr˜ao (princ´ıpios, vocabul´ario, etc)
Conformidade da organiza¸c˜ao
Performance da organiza¸c˜ao
C. Bertolini (UFSM) ISO/IEC 38500 Maio 2018 9 / 48
10. Norma ISO/IEC 38500: Defini¸c˜oes
Aceit´avel
Comprometer-se com as expectativas dos envolvidos que s˜ao razo´aveis ou
possuam m´eritos de serem implementadas
Governan¸ca Corporativa
O sistema que as organiza¸c˜oes s˜ao dirigidas e controladas (adaptado de
Cadbury 1992 and OECD 1999)
Governan¸ca Corporativa de TI
O sistema que as organiza¸c˜oes s˜ao dirigidas e controladas atrav´es do uso
da TI atual e futuro. Envolve avaliar e direcionar o uso da TI para
suportar a organiza¸c˜ao e monitoramento do planejamento a ser atingido
C. Bertolini (UFSM) ISO/IEC 38500 Maio 2018 10 / 48
11. Norma ISO/IEC 38500: Defini¸c˜oes
Competˆencia
Ter uma combina¸c˜ao de conhecimento, habilidades formais e informais,
treinamento, experiˆencia e atributos comportamentais para executar uma
tarefa ou um papel
Diretor
Membro mais senior da organiza¸c˜ao. Inclui os propriet´arios, membros
diretores, s´ocios, executivos seniors e similares
Comportamento Humano
O entendimento da intera¸c˜ao sobre pessoas e elementos do ambiente no
qual a organiza¸c˜ao est´a envolvida. Comportamento humano inclui cultura,
necessidades e aspira¸c˜oes de pessoas como indiv´ıduos e grupos
C. Bertolini (UFSM) ISO/IEC 38500 Maio 2018 11 / 48
12. Norma ISO/IEC 38500: Defini¸c˜oes
Tecnologia da Informa¸c˜ao (TI)
Recursos requeridos para a aquisi¸c˜ao, processo, armazenagem e
dissemina¸c˜ao da informa¸c˜ao. Este termo tamb´em inclui Tecnologia da
Comunica¸c˜ao e o termo composto Tecnologia de Informa¸c˜ao e
Comunica¸c˜ao (TIC)
Investimento
Aloca¸c˜ao de pessoas, capital e outros recursos para atingir determinados
objetivos e/ou benef´ıcios
Gerenciamento
O sistema de controle e processos requerido para atingir um conjunto de
objetivos estrat´egicos definidos pela alta dire¸c˜ao da organiza¸c˜ao
C. Bertolini (UFSM) ISO/IEC 38500 Maio 2018 12 / 48
13. Norma ISO/IEC 38500: Defini¸c˜oes
Organiza¸c˜ao
Qualquer empresa, corpora¸c˜ao, governo, sem fins lucrativos ou empresa
legal de qualquer natureza incluindo clubes, associa¸c˜oes e/ou agencias
governamentais, empresas p´ublicas e privadas que possuem suas fun¸c˜oes
administrativas pr´oprias
Pol´ıticas
Define as dire¸c˜oes e comportamentos para a tomada de deci¸c˜oes na
organiza¸c˜ao
Proposta
Compila¸c˜ao de benef´ıcios, custo, risco, oportunidades e outros fatores
usados para tomada de decis˜ao. Inclui estudos de caso (business cases)
C. Bertolini (UFSM) ISO/IEC 38500 Maio 2018 13 / 48
14. Norma ISO/IEC 38500: Defini¸c˜oes
Recursos
Pessoas, procedimentos, software, informa¸c˜ao, equipamento, material de
expediente, infraestrutura, capital e tempo
Risco
Combina¸c˜ao da probabilidade de um evento (n˜ao desej´avel) acontecer e
sua consequˆencia (ISO/IEC Guide 73). Consequˆencias s˜ao impactos na
organiza¸c˜ao que podem ser negativas ou oportunidades
Gerenciamento de Risco
Atividades coordenadas para direcionar e controlar uma organiza¸c˜ao
considerando os riscos envolvidos (ISO/IEC Guide 73)
C. Bertolini (UFSM) ISO/IEC 38500 Maio 2018 14 / 48
15. Norma ISO/IEC 38500: Defini¸c˜oes
Envolvidos (stakeholders)
Qualquer indiv´ıduo, grupo ou organiza¸c˜ao envolvido nas atividades ou
decis˜oes da organiza¸c˜ao (adaptado de ISO/IEC Guide 73)
Estrat´egia
Consiste em uma plano de desenvolvimento geral da organiza¸c˜ao
descrevendo o uso efetivo dos recursos no suporte `a organiza¸c˜ao nas suas
atividades futuras. Envolve definir objetivos e novas iniciativas
Uso da TI
O planejamento, projeto, desenvolvimento, implanta¸c˜ao, opera¸c˜ao,
gerenciamento e aplica¸c˜ao da TI que atenda as necessidades do neg´ocio.
Inclui tanto a demanda quanto o fornecimento de servi¸cos de TI pela
organiza¸c˜ao como um todo
C. Bertolini (UFSM) ISO/IEC 38500 Maio 2018 15 / 48
16. Norma ISO/IEC 38500: Princ´ıpios
A norma define 6 princ´ıpios para a boa governan¸ca de TI
Os princ´ıpios s˜ao usados para tomada de decis˜ao
Descrevem o deveria acontecer, mas n˜ao como, quando e quem
deveriam implementar tais princ´ıpios
Esses aspectos dependem da natureza da organiza¸c˜ao
Diretores devem requisitar a aplica¸c˜ao desses princ´ıpios
C. Bertolini (UFSM) ISO/IEC 38500 Maio 2018 16 / 48
17. Norma ISO/IEC 38500: Princ´ıpios
Princ´ıpio 1: Responsabilidade
Indiv´ıduos e grupos na organiza¸c˜ao entendem e aceitam as suas
responsabilidades, tanto quem fornece quanto quem demanda servi¸cos de
TI. Quem ´e respons´avel por a¸c˜oes tamb´em possui autonomia para
executar essas a¸c˜oes
C. Bertolini (UFSM) ISO/IEC 38500 Maio 2018 17 / 48
18. Norma ISO/IEC 38500: Princ´ıpios
Princ´ıpio 2: Estrat´egia
A estrat´egia da organiza¸c˜ao considera as capacidades da TI atual e futura.
Um plano estrat´egico deve satisfazer as necessidades atuais e futuras da
estrat´egia de neg´ocio da organiza¸c˜ao
C. Bertolini (UFSM) ISO/IEC 38500 Maio 2018 18 / 48
19. Norma ISO/IEC 38500: Princ´ıpios
Princ´ıpio 3: Aquisi¸c˜ao
Aquisi¸c˜oes da TI s˜ao feitas por raz˜oes v´alidas e com base em an´alise
apropriada com uma tomada de decis˜ao clara e transparente. H´a uma
correla¸c˜ao apropriada entre benef´ıcios, oportunidades, custos e riscos `a
curto e longo prazo
C. Bertolini (UFSM) ISO/IEC 38500 Maio 2018 19 / 48
20. Norma ISO/IEC 38500: Princ´ıpios
Princ´ıpio 4: Performance
TI satisfaz seus objetivos em suporte da organiza¸c˜ao fornecendo servi¸cos
na qualidade esperada que correspondam aos atuais e futuros requisitos do
neg´ocio
C. Bertolini (UFSM) ISO/IEC 38500 Maio 2018 20 / 48
21. Norma ISO/IEC 38500: Princ´ıpios
Princ´ıpio 5: Conformidade
TI deve estar em conformidade com a legisla¸c˜ao e regulamenta¸c˜oes.
Pol´ıticas s˜ao claramente definidas, implementadas e controladas
C. Bertolini (UFSM) ISO/IEC 38500 Maio 2018 21 / 48
22. Norma ISO/IEC 38500: Princ´ıpios
Princ´ıpio 6: Comportamento Humano
As pol´ıticas, pr´aticas e decis˜oes respeitam o comportamento humano,
incluindo as necessidades de todas as pessoas envolvidas no processo
C. Bertolini (UFSM) ISO/IEC 38500 Maio 2018 22 / 48
23. Norma ISO/IEC 38500: Modelo
Diretores devem atuar em governan¸ca de TI atrav´es de 3 tarefas:
Avaliar o uso da TI atual e futuro
Direcionar planos e pol´ıticas de gerenciamento e implanta¸c˜ao para que
o uso da TI possa estar alinhado ao neg´ocio
Monitorar se os planos est˜ao em conformidade com as pol´ıticas e
m´etricas de performance adotadas
C. Bertolini (UFSM) ISO/IEC 38500 Maio 2018 23 / 48
24. Norma ISO/IEC 38500: Avaliar
Diretores devem examinar e julgar o uso da TI, incluindo estrat´egias e
propostas (internas ou externas)
Na avalia¸c˜ao da TI, diretores devem considerar a press˜ao interna e
externa no neg´ocio da organiza¸c˜ao considerando mudan¸cas
tecnologicas, economia e tendˆencias sociais, e influˆencias politicas
Diretores devem considerar uma evolu¸c˜ao cont´ınua
Diretores devem considerar as necessidades atuais e futuras do
neg´ocio, bem como os objetivos organizacionais que devem atingir
como a manuten¸c˜ao da vantagem competitiva
C. Bertolini (UFSM) ISO/IEC 38500 Maio 2018 24 / 48
25. Norma ISO/IEC 38500: Direcionar
Diretores devem delegar responsabilidades para especialistas de cada
´area
Diretores devem garantir que a operacionalizar˜ao de um projeto ´e
planejada e gerenciada de forma adequada, levando em considera¸c˜ao
os impactos no neg´ocio bem como os sistemas de TI existentes e
infraestrutura
Diretores devem incentivar a cultura organizacional para uma boa
governan¸ca de TI
C. Bertolini (UFSM) ISO/IEC 38500 Maio 2018 25 / 48
26. Norma ISO/IEC 38500: Monitorar
Diretores devem monitorar a TI usando m´etricas
Diretores devem garantir que a TI est´a em conformidade com a
legisla¸c˜ao, leis, regulamentos, contratos e processos internos
C. Bertolini (UFSM) ISO/IEC 38500 Maio 2018 26 / 48
27. Guia Princ´ıpio 1: Responsabilidade
Avaliar:
Diretores devem avaliar as responsabilidades de acordo com o
planejamento da organiza¸c˜ao
Diretores devem avaliar as competˆencias das pessoas que delegam
responsabilidades
Direcionar:
Diretores devem direcionar os planos de acordo com as
responsabilidades assumidas
Monitorar:
Diretores devem monitorar a performance das pessoas que assumem
responsabilidades, bem como o entendimento de suas responsabilidades
C. Bertolini (UFSM) ISO/IEC 38500 Maio 2018 27 / 48
28. Guia Princ´ıpio 2: Estrat´egia
Avaliar:
Diretores devem avaliar se o desenvolvimento da TI est´a de acordo com
as necessidades do neg´ocio
Diretores devem considerar um gerenciamento de riscos na ´area de TI
Direcionar:
Diretores devem direcionar o planejamento da TI em benef´ıcio ao seu
desenvolvimento
Diretores deveriam incentivar a inova¸c˜ao tecnologica
Monitorar:
Diretores devem aprovar os planos estrat´egicos e monitorar se os
objetivos est˜ao sendo atingidos
C. Bertolini (UFSM) ISO/IEC 38500 Maio 2018 28 / 48
29. Guia Princ´ıpio 3: Aquisi¸c˜ao
Avaliar:
Diretores devem avaliar o investimento feito e `a ser feito, valor
agregado e propor propostas que possam ser aprovadas
Direcionar:
Diretores devem direcionar as necessidades da TI (sistemas e
infraestrutura) para a aquisi¸c˜ao de forma adequada
Diretores devem direcionar a aquisi¸c˜ao para o suporte dos neg´ocios da
organiza¸c˜ao
Monitorar:
Diretores devem monitorar os investimentos para garantir que n˜ao
tenha disperd´ıcio
C. Bertolini (UFSM) ISO/IEC 38500 Maio 2018 29 / 48
30. Guia Princ´ıpio 4: Performance
Avaliar:
Diretores devem avaliar os riscos e m´etricas usadas
Direcionar:
Diretores devem alocar resursos suficientes para que a performance
possa ser gerenciada
Monitorar:
Diretores devem assegurar que a performance no uso da TI satisfa¸ca o
neg´ocio
C. Bertolini (UFSM) ISO/IEC 38500 Maio 2018 30 / 48
31. Guia Princ´ıpio 5: Conformidade
Avaliar:
Diretores devem acompanhar de forma cont´ınua a comformidade da TI
com as normas, leis e contratos
Direcionar:
Diretores devem direcionar politicas organizacionais para o suporte a
comformidade da TI na organiza¸c˜ao
Monitorar:
Diretores devem monitorar a conformidade atrav´es de relat´orios e
auditorias
C. Bertolini (UFSM) ISO/IEC 38500 Maio 2018 31 / 48
32. Guia Princ´ıpio 6: Comportamento Humano
Avaliar:
Diretores devem avaliar se o comportamento humano ´e considerado
nas atividades de TI
Direcionar:
Diretores devem direcionar as ativividades de TI de forma consistente
com as pessoas envolvidas, identificando riscos
Monitorar:
Diretores devem monitorar os riscos e oportunidades no uso da TI pelas
pessoas da organiza¸c˜ao
C. Bertolini (UFSM) ISO/IEC 38500 Maio 2018 32 / 48
33. Considera¸c˜oes Finais
A norma define o que fazer, mas n˜ao como ou quem deve fazer
Governan¸ca envolve decis˜oes de alto n´ıvel e benificiam tomadas de
decis˜oes (processo c´ıclico)
C. Bertolini (UFSM) ISO/IEC 38500 Maio 2018 33 / 48
34. Bibliografia
Instituto Brasileiro de Governan¸ca P´ublica http://www.wikigov.net/
Governan¸ca de TI
http://www.devmedia.com.br/governanca-de-ti/8636
C. Bertolini (UFSM) ISO/IEC 38500 Maio 2018 34 / 48