Governança de TI é um conjunto de políticas, estratégias, processos de gestão, monitoramento, prevenção de riscos e investimentos que tem como objetivo principal alinhar o setor de TI ao restante do negócio.
Ao implementar práticas bem estruturadas, a empresa terá a capacidade de integrar a tecnologia a mais ambientes, maximizando os impactos positivos que o TI pode causar no dia-a-dia de cada setor.
A importância é tanta que a ABNT (Associação Brasileira de Normas Técnicas) editou a norma ABNT NBR ISO/IEC 38500:2018 que “fornece princípios orientativos para os membros das estruturas de governança das organizações (que podem incluir proprietários, diretores, parceiros, gerentes executivos ou similares) sobre o uso efetivo, eficiente e aceitável de tecnologia da informação (TI) dentro de suas organizações”.
Nesse contexto, a transparência pode ser vista como fundamento para a boa governança e como pré-requisito essencial para a accountability, envolvendo a prestação de contas e a responsabilização.
O papel da auditoria de governança e gestão de TI, então, consiste em verificações periódicas do compliance de processos para garantir a integração entre os resultados alcançados, a estratégia de alocação dos recursos e os objetivos estratégicos definidos para o exercício. Estas ações demonstrarão o uso dos recursos, os produtos, os resultados e os impactos produzidos.
As melhores práticas, em uso pelos órgãos de controle, abordam o COSO – Committee of Sponsoring Organizations of the Treadway Commission – e o COBIT – Control Objectives for Information and related Technology como frameworks de referência.
Importância da Auditoria de Governança de TI
Cada empresa deve passar por alguns processos de auditoria. Essa rotina permite que as falhas sejam identificadas de forma mais inteligente, focando no alinhamento dos processos ao seu padrão de execução e trabalhando para que a empresa busque sempre um padrão de qualidade superior.
Quando falamos em auditoria de governança de TI, buscamos analisar possíveis falhas nos processos de gestão ou desalinhamento entre a equipe responsável pela execução das atividades do setor de TI e as demais áreas da empresa.
Dessa forma, a empresa consegue manter suas atividades otimizadas, evitando conflitos, erros e gargalos no ambiente de produção.
Contudo, a auditoria de governança de TI deve ser feita com cuidado. Ela exige uma atenção especial dos profissionais que forem verificar os procedimentos para garantir que nenhuma falha fique em branco ou que a companhia tenha dificuldades para alinhar os seus processos com os padrões do mercado.
Nesse sentido, os frameworks são vitais ao auxiliar os os protocolos da auditoria.
Frameworks
COSO (Committee of Sponsoring Organizations of the Treadway Commission)
O framework COSO é utilizado para avaliar o sistema de controles de uma organização.
O COSO fornece uma estrutura para a gestão, conselho de confiança, partes interessadas externas e outros que interagem com o negócio para usar como um guia no desempenho de suas respectivas funções em relação ao controle interno.
COSO é uma iniciativa do setor privado criada em 1985 com a intenção de melhorar a qualidade dos relatórios financeiros por meio do foco na governança corporativa, práticas éticas e controle interno.
Espera-se que o framework ajude as organizações a projetar e implementar o controle interno à luz de muitas mudanças nos ambientes de negócios e operacionais, ampliar a aplicação do controle interno na abordagem de operações e objetivos de relatórios e esclarecer os requisitos para determinar o que constitui um controle interno eficaz.
O Framework apresenta a relação direta que existe entre os objetivos de uma entidade- que é o que uma entidade se esforça para alcançar-, os componentes de controle interno – que representam o que é necessário para atingir os objetivos – e a estrutura organizacional da entidade – o sistema pelo qual as atividades são orientado na busca de alcançar objetivos. Esse relacionamento pode ser descrito na forma de um cubo (como na figura abaixo).
- Três categorias de objetivos são apresentadas em colunas (parte superior do cubo): Operações, Divulgação e Conformidade.
- Cinco componentes de controle interno são apresentados por linhas (frente do cubo): Ambiente de Controle, Avaliação de Risco, Atividades de Controle, Informação e Comunicação e Atividades de Monitoramento.
- A estrutura organizacional de uma entidade é apresentada pela terceira dimensão (lado do cubo): Nível de Entidade, Divisão, Unidade Operacional e Função.
Os cinco componentes do controle interno são suportados por 17 princípios que apresentam os conceitos fundamentais de cada componente.
O Framework também fornece orientação adicional na forma de pontos de foco destinados a auxiliar a administração no projeto, implementação e avaliação de princípios relevantes.
Juntos, os componentes e princípios constituem os critérios do Framework e os pontos de foco fornecem orientações que ajudarão a administração a avaliar se os componentes do controle interno estão presentes, funcionando e operando em conjunto dentro da entidade.
- Ambiente de Controle: O conjunto de padrões, processos e estruturas que fornecem a base para a realização do controle interno em toda a organização;
- Avaliação de Riscos: O processo de identificação, avaliação e mitigação de riscos que impedem a organização de atingir seus objetivos;
- Atividades de Controle: Políticas e procedimentos que garantem que as diretrizes da gestão sejam cumpridas e as ações necessárias sejam tomadas para abordar os riscos e atingir as metas. As atividades de controle ocorrem em toda a organização e são realizadas por funcionários em todos os níveis e funções.
- Informação e comunicação: As informações pertinentes devem ser identificadas, capturadas e comunicadas ao pessoal apropriado em tempo hábil. Os sistemas de informação devem fornecer dados que sejam relevantes para os objetivos estabelecidos, precisos e com detalhes suficientes, compreensíveis e em forma utilizável. Comunicações eficazes também devem ocorrer em um sentido mais amplo, fluindo para baixo, através e para cima através da organização.
- Atividade de monitoramento: Avaliação da qualidade do desempenho da organização ao longo do tempo. O monitoramento contínuo ocorre diariamente no curso das operações por meio de supervisão regular de supervisão e avaliações separadas por partes externas.
COBIT (Control Objectives for Information and related Technology)
Objetivos de controle para informações e tecnologias relacionadas, mais popularmente conhecido como COBIT, é uma estrutura que visa ajudar as organizações que buscam desenvolver, implementar, monitorar e melhorar a governança de TI e o gerenciamento de informações.
O COBIT foi estabelecido pela ISACA, que significa Associação de Auditoria e Controle de Sistemas de Informação. A ISACA e o IT Governance Institute (ITGI) o publicam.
O COBIT 2019 atualiza a estrutura para empresas modernas, abordando novas tendências, tecnologias e necessidades de segurança. A estrutura ainda funciona bem com outros frameworks de gerenciamento de TI, o que a torna uma ótima opção como uma estrutura guarda-chuva para unificar processos em uma organização inteira.
Novos conceitos e terminologia foram introduzidos no COBIT Core Model, que inclui 40 objetivos de governança e gerenciamento para estabelecer um programa de governança. O sistema de gerenciamento de desempenho agora permite mais flexibilidade ao usar medições de maturidade e capacidade. No geral, o framework é projetado para dar às empresas mais flexibilidade ao personalizar uma estratégia de governança de TI.
Uma das principais diferenças entre o COBIT e outros frameworks é que ele se concentra especificamente em segurança, gerenciamento de riscos e governança de informações.
Isso é enfatizado no COBIT 2019, com melhores definições do que é e do que não é. Por exemplo, a ISACA diz que o COBIT 2019 não é uma estrutura para organizar processos de negócios, gerenciar tecnologia, tomar decisões relacionadas a TI ou determinar estratégias ou arquitetura de TI.
Em vez disso, é projetado estritamente como uma estrutura para governança e gerenciamento de TI corporativa em toda a organização. Isso é melhor esclarecido para as empresas na versão atualizada, para que haja menos confusão sobre como o COBIT deve ser usado e implementado.
De acordo com a ISACA, o COBIT 2019 foi atualizado para incluir:
- Áreas de foco e fatores de design que dão mais clareza sobre a criação de um sistema de governança para as necessidades de negócios;
- Melhor alinhamento com os padrões globais, estruturas e melhores práticas para reforçar a relevância da estrutura;
- Um modelo de código aberto que permite feedback da comunidade de governança global para incentivar atualizações e melhorias mais rápidas;
- Atualizações regulares lançadas em uma base contínua;
- Mais orientações e ferramentas para apoiar as empresas no desenvolvimento de um “sistema de governança mais adequado, tornando o COBIT 2019 mais prescritivo”;
- A melhor ferramenta para medir o desempenho de TI e alinhamento com o CMMI;
- Mais suporte para a tomada de decisões, incluindo novos recursos de colaboração online.
O COBIT 2019 também introduz conceitos de “área de foco” que descrevem tópicos e questões de governança específicas, que podem ser tratados por objetivos de gestão ou governança.
Alguns exemplos dessas áreas de foco incluem pequenas e médias empresas, cibersegurança, transformação digital e computação em nuvem.
As áreas de foco serão adicionadas e alteradas conforme necessário com base nas tendências, pesquisas e feedback – não há limite para o número de áreas de foco que podem ser incluídas no COBIT 2019.
Quer se aprofundar no assunto? Conheça o curso de Auditoria de Governança de TIC com Cobit e Coso da ESR.