O que é governança de TI
A governança de TI é o sistema pelo qual o uso actual e futuro da TI é dirigido e controlado para suportar os objectivos do negócio. Não é uma função técnica - é uma responsabilidade de liderança que pertence ao conselho de administração e à gestão de topo.
"Corporate governance of information technology: o sistema pelo qual o uso actual e futuro da TI é dirigido e controlado. A governança de TI envolve a avaliação e a orientação dos planos para a utilização da TI no apoio à organização e à monitorização desta utilização para que os planos sejam cumpridos."
Governança vs gestão de TI
A distinção entre governança e gestão é central em todos os frameworks desta área e frequentemente mal compreendida nas organizações.
| Dimensão | Governança de TI | Gestão de TI |
|---|---|---|
| Responsável | Conselho de administração, gestão de topo | Director de TI (CIO), gestores de TI |
| Foco | Direcção estratégica e accountability | Execução e operação dos serviços |
| Questões típicas | O quê? Porquê? Para quem? | Como? Quando? Com que recursos? |
| Horizonte temporal | Estratégico e de médio-longo prazo | Operacional e de curto prazo |
| Framework de referência | ISO 38500, COBIT (domínio EDM) | ITIL 4, COBIT (domínios APO-MEA) |
O COBIT 2019 distingue explicitamente cinco domínios de governança (EDM - Evaluate, Direct, Monitor) de treze domínios de gestão (APO, BAI, DSS, MEA). O ITIL 4 inclui a governança como componente do Sistema de Valor do Serviço (SVS), reconhecendo que a gestão de serviços eficaz requer uma estrutura de governança clara.
Os seis princípios da ISO 38500
A ISO/IEC 38500 define seis princípios que devem orientar a governança corporativa de TI. São princípios, não regras - devem ser interpretados e aplicados no contexto de cada organização.
Cada indivíduo e grupo na organização compreende e aceita as suas responsabilidades em relação ao fornecimento e à procura de TI. A responsabilidade pelo uso de TI é atribuída de forma clara.
A estratégia de negócio da organização tem em conta as capacidades actuais e futuras da TI. Os planos de TI satisfazem as necessidades actuais e futuras da estratégia de negócio.
As aquisições de TI são feitas por razões válidas com base em análises adequadas e contínuas. Existe equilíbrio entre benefícios, oportunidades, custos e riscos a curto e a longo prazo.
A TI é adequada para suportar a organização, fornecendo os serviços, os níveis de serviço e a qualidade de serviço necessários para satisfazer os requisitos actuais e futuros do negócio.
A TI cumpre toda a legislação e regulamentação obrigatória. As políticas e práticas estão claramente definidas, implementadas e aplicadas.
As políticas e práticas de TI demonstram respeito pelo comportamento humano, incluindo as necessidades actuais e emergentes de todas as pessoas envolvidas.
Frameworks de governança
Existem vários frameworks e normas que suportam a implementação da governança de TI. Os mais utilizados no mercado português e europeu são o COBIT 2019, a ISO/IEC 38500, o ITIL 4 e o Val IT.
Principais frameworks de governança de TI
| Framework | Âmbito principal | Público-alvo | Certificação disponível |
|---|---|---|---|
| COBIT 2019 | Governança e gestão empresarial de TI | Auditores, gestores de TI, CIOs | COBIT Foundation, COBIT Design & Implementation |
| ISO/IEC 38500 | Governança corporativa de TI | Conselho de administração, gestão de topo | Não existe certificação individual |
| ITIL 4 | Gestão de serviços de TI (com componente de governança) | Gestores de serviços, equipas de TI | Foundation, MP, SL, PM, Master |
| Val IT | Valor dos investimentos em TI | CFOs, CIOs, gestores de portfolio | Integrado no COBIT |
COBIT vs ITIL na governança
Uma das questões mais frequentes na área de governança de TI é a relação entre o COBIT e o ITIL. São concorrentes? Substituem-se? A resposta é que são complementares por design.
"O COBIT responde ao 'o quê' ao nível estratégico e de controlo. O ITIL responde ao 'como' ao nível operacional e de entrega de serviços. Usados em conjunto, cobrem tanto a governança como a execução da TI."
O que cada framework oferece na governança
| Dimensão | COBIT 2019 | ITIL 4 |
|---|---|---|
| Foco na governança | Domínio EDM com 5 objectivos de governança explícitos | Governança como componente do SVS, orientada para serviços |
| Nível de detalhe | Objectivos, actividades, métricas e modelos de maturidade | Princípios orientadores, práticas e cadeia de valor |
| Alinhamento com negócio | Objectivos de negócio mapeados para objectivos de TI | Co-criação de valor com clientes e partes interessadas |
| Controlo e auditoria | Forte - desenhado para suportar auditoria e compliance | Moderado - foco na melhoria contínua e na entrega de valor |
| Gestão de riscos | Framework de risco integrado (Risk IT) | Gestão de riscos como componente das práticas |
Como usar COBIT e ITIL em conjunto
A abordagem mais eficaz é usar o COBIT para definir a estrutura de governança e os objectivos de controlo, e o ITIL para implementar os processos operacionais que cumprem esses objectivos. Por exemplo:
COBIT define a política de gestão de incidentes
O objectivo DSS02 do COBIT define os requisitos de governança para a gestão de pedidos e incidentes de serviço, incluindo métricas e modelos de maturidade.
ITIL implementa a prática de gestão de incidentes
As práticas ITIL 4 fornecem o processo detalhado, os papéis, os fluxos de trabalho e as boas práticas para gerir incidentes de forma eficaz.
COBIT avalia e monitoriza os resultados
Os mecanismos de medição do COBIT verificam se a implementação ITIL cumpre os objectivos de governança definidos, fechando o ciclo de controlo.
ITIL melhora continuamente com base no feedback
O SVS do ITIL 4 inclui a melhoria contínua como actividade da cadeia de valor, incorporando os dados de monitorização do COBIT para orientar melhorias.
Para uma comparação detalhada entre os dois frameworks, consulte o artigo ITIL vs COBIT: como escolher e como usar em conjunto.
ISO/IEC 38500
A ISO/IEC 38500 é a norma internacional que fornece uma estrutura para a boa governança corporativa de TI. Foi publicada em 2008 e revista em 2015. É a norma de referência para quem quer implementar governança de TI alinhada com as melhores práticas internacionais.
Os seis princípios em detalhe
Os seis princípios da ISO 38500 não são um checklist - são orientações para a tomada de decisão e para a avaliação das práticas de governança.
| Princípio | O que implica | Perguntas de avaliação |
|---|---|---|
| Responsabilidade | Atribuição clara de responsabilidades pelo uso e fornecimento de TI | Sabemos quem é responsável por cada decisão de TI? |
| Estratégia | Alinhamento da TI com a estratégia de negócio | Os planos de TI suportam a estratégia de negócio? |
| Aquisição | Decisões de investimento em TI baseadas em análise rigorosa | Justificamos adequadamente cada investimento em TI? |
| Desempenho | A TI fornece os serviços necessários com a qualidade esperada | A TI entrega o que o negócio precisa? |
| Conformidade | Cumprimento de leis, regulamentação e políticas internas | Estamos em conformidade com todos os requisitos legais? |
| Comportamento humano | Respeito pelas pessoas nas políticas e práticas de TI | As nossas práticas de TI têm em conta o impacto nas pessoas? |
O modelo EDM: Evaluate, Direct, Monitor
A ISO 38500 define três tarefas fundamentais para os órgãos de governação, conhecidas pelo acrónimo EDM.
Evaluate (avaliar)
Avaliar o uso actual e futuro da TI. Examinar e julgar as estratégias, propostas e fornecer direcção sobre investimentos. Esta tarefa inclui a avaliação dos riscos e das oportunidades associados ao uso de TI.
Direct (dirigir)
Dirigir a preparação e implementação de planos e políticas. Atribuir responsabilidades e orientar os investimentos em TI para atingir os objectivos do negócio. Assegurar que a transição entre estados actuais e futuros é devidamente planeada.
Monitor (monitorizar)
Monitorizar o desempenho da TI em relação aos objectivos e políticas definidos. Assegurar que a TI cumpre as obrigações legais, regulatórias e contratuais. Verificar que os controlos estabelecidos estão a funcionar.
O domínio EDM do COBIT 2019 está directamente alinhado com o modelo EDM da ISO 38500. O COBIT pode ser usado como o mecanismo de implementação que dá substância aos princípios da ISO 38500, fornecendo objectivos, actividades e métricas concretas.
Como implementar governança de TI
Implementar governança de TI não é um projecto com início e fim - é uma capacidade organizacional que se desenvolve ao longo do tempo. O processo requer envolvimento da gestão de topo e deve começar por avaliar a situação actual antes de definir o destino.
Avaliar a maturidade actual
Realizar uma avaliação honesta das práticas de governança existentes. O COBIT 2019 fornece um modelo de maturidade (de 0 a 5) para cada objectivo de governança. Identificar as lacunas mais críticas em relação aos objectivos do negócio.
Definir a estrutura de governança
Estabelecer comités de governança de TI com representação da gestão de topo. Definir mandatos, frequências de reunião, KPIs e mecanismos de reporte. A estrutura deve reflectir a dimensão e a complexidade da organização.
Alinhar com os objectivos de negócio
Mapear os objectivos de negócio para os objectivos de TI. O COBIT 2019 fornece uma cascata de objectivos que liga as metas dos stakeholders às metas de governança e gestão de TI. Este alinhamento é a base de toda a governança eficaz.
Definir métricas de desempenho
Estabelecer indicadores que permitam monitorizar se a TI está a cumprir os seus objectivos. As métricas devem incluir tanto indicadores de resultado (o que foi alcançado) como indicadores de desempenho (como estamos a progredir).
Implementar processos e controlos
Usar o ITIL 4 para implementar as práticas de gestão de serviços que suportam os objectivos de governança. Usar o COBIT para definir os controlos que garantem conformidade e gestão de riscos. Os dois frameworks devem ser integrados.
Monitorizar, rever e melhorar
Rever regularmente o desempenho em relação aos objectivos. Ajustar a estrutura de governança à medida que o negócio e a TI evoluem. A governança de TI é um processo contínuo, não um estado final a atingir.
Boas práticas na governança de TI
5 boas práticas para uma governança de TI eficaz
Envolver a direcção desde o início
A governança de TI falha quando é percebida como um assunto exclusivo da área de TI. O conselho de administração e a gestão de topo têm de ser parceiros activos. Sem este envolvimento, as estruturas de governança tornam-se exercícios de formalismo sem impacto real.
Alinhar TI com a estratégia de negócio
Cada decisão de TI deve poder ser justificada em termos do seu contributo para os objectivos do negócio. A cascata de objectivos do COBIT 2019 é uma ferramenta prática para estabelecer e demonstrar este alinhamento de forma estruturada.
Medir valor, não apenas custos
A governança de TI não é apenas sobre controlo de custos. É sobre criar e proteger valor. As métricas devem incluir indicadores de valor entregue ao negócio, não apenas custos e conformidade. O framework Val IT fornece mecanismos para esta avaliação.
Comunicar de forma clara e regular
A comunicação entre a TI e o negócio deve ser regular, clara e adaptada ao público. Os relatórios para o conselho de administração devem focar-se em valor, risco e conformidade - não em detalhes técnicos. A linguagem importa tanto quanto os números.
Começar pequeno e crescer
Não é necessário implementar todos os 40 objectivos do COBIT 2019 de uma vez. Começar pelos objectivos mais críticos para o negócio, demonstrar valor e expandir gradualmente. Uma governança modesta mas efectiva vale mais do que uma arquitectura completa que ninguém usa.
Descarregue a checklist de auditoria ITIL
Checklist de avaliação de maturidade por prática ITIL em formato editável.
Ver todas as templates ITSMPerguntas frequentes
A governança de TI é o sistema pelo qual o uso actual e futuro da TI é dirigido e controlado para suportar os objectivos do negócio. Inclui a definição de responsabilidades, a avaliação das necessidades, a tomada de decisões sobre investimentos e o acompanhamento do desempenho. A norma ISO 38500 define-a como o sistema pelo qual o uso actual e futuro da TI é dirigido e controlado.
A governança de TI diz respeito à direcção estratégica - define o quê e o porquê. A gestão de TI diz respeito à execução - define o como. Os órgãos de governação (conselho de administração, comité de TI) avaliam, dirigem e monitorizam. Os gestores implementam e operam. Esta distinção é central na ISO 38500 e no COBIT 2019.
A ISO/IEC 38500 é a norma internacional de governança corporativa de TI. Define seis princípios (responsabilidade, estratégia, aquisição, desempenho, conformidade e comportamento humano) e um modelo de três tarefas para os órgãos de governação: Evaluate (avaliar), Direct (dirigir) e Monitor (monitorizar), frequentemente abreviado como EDM.
O COBIT 2019 e o ITIL 4 são complementares. O COBIT fornece o framework de governança e gestão empresarial de TI, respondendo ao "o quê" ao nível estratégico. O ITIL fornece as boas práticas de gestão de serviços, respondendo ao "como" ao nível operacional. Muitas organizações usam o COBIT para a estrutura de governança e o ITIL para a execução dos serviços.
Sim. A governança de TI é uma responsabilidade do conselho de administração e da gestão de topo, não apenas da área de TI. A ISO 38500 dirige-se explicitamente a quem governa as organizações. Sem o envolvimento da direcção, a TI tende a operar de forma desalinhada com os objectivos do negócio, gerando custos sem retorno claro.
O retorno da governança de TI mede-se através do alinhamento entre os investimentos em TI e os objectivos de negócio, da redução de riscos, da eficiência operacional e da conformidade regulatória. Frameworks como o Val IT (integrado no COBIT) fornecem mecanismos para avaliar o valor dos investimentos em TI. O COBIT 2019 usa métricas de desempenho associadas a cada objectivo de governação.
Quer alinhar a TI com o negócio?
Aprenda a implementar governança de TI com frameworks reconhecidos internacionalmente. Formação ITIL 4 e COBIT 2019 com o primeiro ITIL 4 Master em Portugal.
Ver formações disponíveis