TRADUÇÃO LIVRE COBIT 5 e governança corporativa de ... · baseiem no COBIT 5. Como tal, o...
Transcript of TRADUÇÃO LIVRE COBIT 5 e governança corporativa de ... · baseiem no COBIT 5. Como tal, o...
DE HAES, Steven; VAN GREMBERGEN, Wim; DEBRECENY, Roger S. COBIT 5 and
enterprise governance of information technology: Building blocks and research
opportunities. Journal of Information Systems, v. 27, n. 1, p. 307-324, 2013.
1
TRADUÇÃO LIVRE
COBIT 5 e governança corporativa de
tecnologia da informação: blocos de construção e oportunidades de pesquisa
Steven De Haes
Wim Van Grembergen University of Antwerp Roger S. Debreceny
University of Hawai’i at Manoa
RESUMO: O COBIT, atualmente em sua quinta edição, é uma estrutura de boas práticas para a governança corporativa de TI. Há uma pesquisa acadêmica limitada que analisa o COBIT ou utiliza o COBIT como um instrumento na execução de programas de pesquisa. Através da vinculação dos principais elementos e princípios do COBIT aos insights da literatura relacionada a TI e gerenciamento geral, este artigo explora o uso do COBIT em atividades futuras de pesquisa. Este artigo posiciona o COBIT como uma estrutura para o controle corporativo de TI. As principais direções e princípios fundamentais da estrutura são descritos. Conexões são feitas destas orientações e princípios para a literatura relevante. Perguntas de pesquisa para pesquisas futuras sobre governança corporativa de TI e COBIT 5 são propostas e discutidas.
Palavras-chave: governança corporativa de TI; Governança de TI; COBIT; alinhamento de negócios /
TI; de indicadores equilibrados; sistemas organizacionais; Controles de TI.
I. INTRODUÇÃO
A tecnologia de informação (IT) tornou-se crucial no apoio, sustentabilidade e crescimento das empresas. Anteriormente, as diretorias e os executivos da alta
administração poderiam minimizar seu envolvimento na direção da TI, deixando a maioria das decisões para o gerenciamento funcional. Na maioria dos setores e indústrias, tais
atitudes são agora impossíveis, já que as empresas estão cada vez mais dependentes da TI
para sobreviver e crescer. Essas organizações também enfrentam um amplo espectro de
ameaças externas decorrentes de TI, incluindo abuso, cibercrime, fraude, erros e
omissões. A TI tem o potencial de suportar as estratégias de negócios existentes, bem como
moldar novas estratégias. A TI torna-se cada vez mais não só um fator de sucesso para o dia-a-dia das operações, mas também como um facilitador crítico para o aumento da
vantagem competitiva ( Van Grembergen e De Haes 2009; Weill e Ross 2009). Dada a
centralidade da TI no gerenciamento de riscos corporativos e geração de valor, um foco
específico na governança corporativa de TI (EGIT) surgiu nas últimas duas décadas ( De
Haes e Van Grembergen, 2008b; Thorp, 2003; Wilkin e Chenhall, 2010). A governança corporativa de TI é parte integrante da governança corporativa. O EGIT aborda a definição e
implementação de processos, estruturas e mecanismos relacionais na organização que
permitem que o conselho e o gerenciamento sênior de negócios e TI executem suas
responsabilidades no suporte ao gerenciamento de risco e valor ( Van Grembergen e De
Haes 2009).
As empresas estão cada vez mais fazendo investimentos tangíveis e intangíveis na
melhoria da governança corporativa de TI. Em apoio a isso, as empresas estão recorrendo à
relevância prática de estruturas de boas práticas geralmente aceitas , como o COBIT
( ISACA 2009a). O COBIT, agora em sua quinta edição, descreve um conjunto de boas
2
práticas para a diretoria e gerência operacional e de TI sênior1 ( ISACA 2012b).Estabelece
um conjunto de controles sobre a tecnologia da informação e os organiza em torno de uma
estrutura lógica de processos relacionados à TI2. O COBIT faz parte de um conjunto de
produtos, incluindo: implementação; guias de gerenciamento e garantia de serviços; nível
baixo práticas; e mapeamento para cognate frameworks e standards. Pesquisas indicam
que as organizações estão adotando o COBIT na prática ( Debreceny e Gray 2013; ISACA
2011c; Van Grembergen e De Haes 2009). Dadas as origens históricas do COBIT na
comunidade de auditoria, há uma conexão particular entre a estrutura do COBIT e a
conduta da garantia de TI. No entanto, tem havido pesquisas acadêmicas limitadas que
alavancam ou exploram o COBIT. Muitos dos princípios básicos do COBIT baseiam-se em
modelos, conceitos e teorias das literaturas de TI e de gerenciamento geral. Existem, como
resultado, oportunidades de pesquisa que referenciam e alavancam o COBIT. Neste artigo,
discutimos como o framework COBIT 5 abrange conceitos das literaturas profissional e
acadêmica e se baseia em iterações anteriores do COBIT. A principal contribuição deste
artigo é que ele busca fornecer orientações e desafios para a realização de pesquisas que se
baseiem no COBIT 5. Como tal, o principal objetivo do documento é estreitar a lacuna entre
pesquisa e prática acadêmica. O artigo fornece uma visão geral das direções que o COBIT está tomando e oferece
sugestões de pesquisas que tomam o COBIT como sua unidade de análise ou como uma
fonte de modelos, práticas e conhecimento para o design da pesquisa. O trabalho prossegue da seguinte forma. Na Seção II, o conceito de Enterprise Governance of IT é definido com
mais detalhes. O COBIT é então posicionado como uma estrutura para o controle
corporativo de TI. Em seguida, na Seção III, a maneira pela qual o COBIT 5 abraça insights
da literatura de TI e gerenciamento geral é explorada. Algumas orientações para pesquisas
futuras sobre governança corporativa de TI e COBIT estão descritas na Seção
IV. Finalmente, a Seção V traz algumas considerações finais juntas.
II. FUNDO
Esta seção do documento fornece informações sobre a forma do EGIT, coloca o COBIT dentro do desenvolvimento histórico do EGIT e descreve algumas das principais dimensões da abordagem do COBIT para a governança de TI.
Governança Corporativa de TI
O conceito de governança de TI existe há menos de duas décadas. No início da
década de 1990, as principais vertentes da governança de TI podiam ser discernidas na
literatura acadêmica. A primeira vertente estudou formas alternativas de organização da
função de TI e o impacto dessas formas nos resultados de negócios ( ITGI 2005; Ives e
Jarvenpaa 1993). Uma segunda vertente explorou a natureza e o efeito do alinhamento
entre os consumidores corporativos de serviços de TI ("o negócio") e a função de TI
( Henderson e Venkatraman, 1993; Luftman, 1996; Venkatraman et al., 1993). Uma
terceira vertente, inspirada na pesquisa de Porter sobre estratégia e vantagem competitiva
( Porter 1979, 1985), abordava as ligações entre a estratégia empresarial, o investimento em
1 Os autores deste documento participaram ativamente do desenvolvimento do COBIT ao longo da última
década, incluindo a participação no Comitê Diretor do COBIT e equipes de desenvolvimento em vários
momentos do período.
2 Uma estrutura é um conjunto de princípios orientadores e boas práticas que são explicitamente
projetados para serem adaptados pelas organizações adotantes. As estruturas são diferenciadas dos
padrões projetados para adoção monolítica. Os padrões também estão mais tipicamente associados à certificação de organizações adotantes. Confusamente, alguns dos ―padrões‖ promulgados pela International Standards Organization são essencialmente estruturas (por exemplo, ISO / IEC 2008).
3
TI e o desempenho empresarial (Andreu e Ciborra 1996; Chan et al. 1997; Weill 1990,
1992). Essa vertente recebeu um ímpeto considerável à medida que os pesquisadores
reagiram à pesquisa de Brynjolfsson (1993) que apontava para um aparente paradoxo entre
altos níveis de investimento em TI e uma ausência de evidências sobre os retornos desse
investimento. Foi somente no final dos anos 1990 que os artigos mencionaram a
governança de TI no título ou resumo (por exemplo, Brown 1997; Sambamurthy e Zmud
1999), embora esses artigos focassem principalmente em debates sobre a forma mais eficaz
de organização de TI. Na área profissional, a ISACA criou o IT Governance Institute (ITGI)
(www.itgi.org) em 1998 para promover o conceito de governança de TI. Conforme explicado
em mais detalhes em breve, as várias publicações da ISACA e do ITGI incorporaram
explicitamente noções de governança de TI no COBIT 3 ( ITGI 2000) e no conselho de
administração sobre governança de TI ( ITGI, 2001).
As perspectivas atuais sobre a governança corporativa de TI veem o EGIT como parte
integrante da governança corporativa. O recente Padrão ISO / IEC 38500 '' Governança
Corporativa de TI '' define a governança de TI como '' O sistema pelo qual o uso atual e
futuro da TI é direcionado e controlado. A governança corporativa de TI envolve a avaliação
e o direcionamento do uso de TI para apoiar a organização e monitorar esse uso para obter
planos. Inclui a estratégia e as políticas para usar a TI dentro de uma organização '' ( ISO /
IEC 2008). Van Grembergen e De Haes (2009)define o EGIT como o ''Conselho que
supervisiona a definição e implementação de processos, estruturas e mecanismos
relacionais na organização que permitem que os negócios e TI executem suas
responsabilidades no suporte ao alinhamento de negócios/TI e a criação de valor de
negócios de investimentos‖. Ambas as definições indicam claramente que a governança de
TI é responsabilidade dos conselhos diretivos e que a execução é da alta gerência.
O conceito de governança de TI tem recebido considerável atenção na literatura
acadêmica na última década. Wilkin e Chenhall (2010), em uma pesquisa recente sobre
governança de TI, estabelecem uma taxonomia de governança de TI. Eles vêem conceitos de
alinhamento estratégico, medição de desempenho, gerenciamento de risco e entrega de
valor como os facilitadores mais significativos da governança de TI. Wilkin e Chenhall
(2010) observam que estruturas organizacionais mais amplas, processos e tecnologias de
negócios e recursos de recursos influenciam os facilitadores e, por extensão, a governança
de TI. Wilkin e Chenhall (2010) veem a governança corporativa como uma influência
primordial na forma de governança de TI. Este foco na governança corporativa foi em
resposta a duas direções nas comunidades acadêmicas e profissionais. Primeiro, a
crescente importância da governança corporativa na administração geral e na literatura
acadêmica influenciou a pesquisa em governança de TI, assim como a orientação
profissional nos EUA ( COSO 1992) e suas contrapartes em outras partes do
mundo. O Sarbanes-OxleyO ato nos EUA em 2002 proporcionou um impulso significativo à
adoção generalizada de métodos de governança corporativa no campo e a uma expansão
dramática na literatura acadêmica, junto com publicações especializadas. Segundo, a
crescente importância da TI no cumprimento das metas da empresa, juntamente com a
tensão inerente ao alinhamento de negócios e gerenciamento de TI, levou a um
reconhecimento da importância de estabelecer metas de TI e direitos de decisão no nível de
governança ( De Haes e Van Grembergen 2008a; Thorp 2003; Weill e Ross 2009). Essas
forças iniciaram uma mudança na nomeação do conceito de "governança de TI" para
"governança de TI empresarial‖, que enfoca o envolvimento da diretoria e do gerenciamento
sênior de negócios em direções estratégicas e táticas para TI.
Origens e Posicionamento do COBIT
O COBIT é uma estrutura de governança de TI desenvolvida pela ISACA. A Figura 1
mostra os principais marcos no desenvolvimento do COBIT. A estrutura do COBIT surgiu
de iniciativas de membros da ISACA nas comunidades de auditoria financeira e de TI. Esses
profissionais de auditoria confrontaram ambientes cada vez mais automatizados. Para
orientar seu trabalho, o desenvolvimento inicial do COBIT foi como uma estrutura para a
4
execução de atribuições de auditoria de TI. Foi construído em torno de um conjunto
abrangente dos chamados "Objetivos de Controle para Processos de TI" (IASCF, 1994).
Em versões sucessivas, o COBIT fez a transição para uma estrutura de
gerenciamento e governança de TI mais ampla com ferramentas de gerenciamento,
incluindo métricas, fatores críticos de sucesso, modelos de maturidade e ferramentas para
a atribuição de funções e responsabilidades pelos processos de TI. O COBIT 4 viu o
desenvolvimento de ferramentas para alinhar os negócios e as metas de TI e seu
relacionamento com o suporte aos processos de TI. O COBIT 4 também fortaleceu a
conexão com outras estruturas de governança e estruturas e padrões de TI relevantes (ITGI
2005). Mais recentemente, o COBIT foi complementado com as estruturas de TI de TI e
Risco do Val ( ISACA 2009c, 2010). Estas abordaram as questões relacionadas a processos
de negócios e responsabilidades na criação de valor (Val IT) e gerenciamento de riscos (Risk
IT). Em cada caso, o Val IT e o Risk IT extraíram os conceitos e processos-chave do COBIT e
adicionaram orientação específica ao domínio .
Em abril de 2012, o COBIT 5 foi lançado, com o conceito de governança corporativa de TI como base ( ISACA 2012b). De acordo com a ISACA, '' o COBIT 5 fornece uma estrutura abrangente que ajuda as empresas a atingirem seus objetivos de governança e
gerenciamento da TI corporativa. O COBIT 5 permite que a TI seja governada e gerenciada
de maneira holística para toda a empresa, abrangendo as áreas funcionais e de
TI completas de ponta a ponta , considerando os interesses de TI das partes interessadas
internas e externas ‖ (ISACA 2012b). O COBIT 5 integra o conhecimento previamente disperso nas três estruturas da ISACA, a saber : COBIT, Val IT e Risk IT (ISACA 2009c,
2010; ITGI 2005).O COBIT, até certo ponto na quarta edição e de forma mais sistemática na
quinta edição, abrange o ciclo de vida da governança, gestão estratégica e tática dentro do
domínio de TI. As funções relativas de vários governos gerais, as estruturas de governança
de TI e de gerenciamento de TI são ilustradas na Figura 2, em duas dimensões: o nível de
abstração da estrutura ou padrão e a extensão em que a estrutura abrange o ciclo de vida da TI, desde o design de sistemas de governança até o gerenciamento tático de TI.
5
Estruturas de governança corporativa de propósito geral , como o COSO, estão em
um alto grau de abstração e abrangem apenas questões de governança e organização. No
outro extremo do contínuo, padrões como o TickIT (um padrão para desenvolvimento de
software de qualidade) estão relacionados apenas a um aspecto específico da TI. O TickIT e
outros padrões de TI se relacionam são relevantes no nível tático dentro da função de
TI. Outros padrões bem conhecidos , como o ITIL e o CMMI, referem-se principalmente à
administração, e não à governança, e às táticas, e não à estratégia ( Ahern et al., 2008;
Cabinet Office, 2011). Em lançamentos recentes, tanto o ITIL quanto o CMMI mudaram
mais para a estratégia e pelo menos alguns aspectos da governança.
Conceitos de controle no COBIT
O conceito de controle no COBIT baseia-se na literatura geral de controle de
gerenciamento e sistemas de controle de gerenciamento. A teoria do controle gerencial
surgiu do comércio, particularmente com o desenvolvimento da corporação privada, à
medida que as empresas cresciam, de tal forma que a propriedade se separou da
administração ( Berle e Means, 1932 ), e de teorias que incluem a teoria geral da
administração de Fayol, teoria organizacional ( Cyert e March de 1963; March e Simon
1958 ) e a cibernética de Stafford Beer ( Beer, 1959, 1972). Visões anteriores do controle
gerencial foram fortemente influenciadas pelas abordagens de gestão científica de Anthony
e outros ( Anthony, 1965) e relacionadas principalmente à aquisição e uso de recursos na
busca de objetivos organizacionais. Mais tarde, porém, a teoria do controle gerencial
gravitou mais na direção de ver o controle como um conjunto de ferramentas para alcançar
os objetivos estratégicos da empresa ( Simons 1990, 2000). Por exemplo, Simons vê o
6
controle gerencial como um conjunto de normas informais e processos formais projetados
para vincular os resultados organizacionais aos objetivos estratégicos da organização.
Simons (1990, 2000) define quatro tipos de sistemas formais:
sistemas de crenças (―sistemas formais usados pelos altos executivos para definir, comunicar e reforçar os valores básicos, propósito e direção para a organização‖),
sistemas de fronteiras (' 'sistemas formais usados pelos altos gerentes para estabelecer limites e regras explícitas que devem ser respeitados),
sistemas de controle de diagnóstico (' 'sistemas de feedback formal usados para monitorar resultados organizacionais e corrigir desvios dos
padrões de desempenho pré-definidos' ') e
sistemas de controle interativo ( '' sistemas formais usados pelos gerentes de topo para se envolverem regularmente e pessoalmente nas atividades
de decisão dos subordinados '').
A visão de controle dentro do COBIT está amplamente alinhada com a perspectiva
de Simons. Por exemplo, a definição de controle no COBIT 3 é "as políticas, procedimentos,
práticas e estruturas organizacionais projetadas para fornecer garantia razoável de que os
objetivos de negócios serão alcançados e que eventos indesejados serão evitados ou
detectados e corrigidos" ( ITGI 2000). ,12). O conceito de um objetivo de controle é exclusivo
do COBIT. Ele vê a instituição do controle como levando a um resultado necessário ou a um
estado final. Como será discutido nas próximas seções, a palavra '' controle '' não está em
uso no COBIT 5 e é substituída por '' boas práticas ''. Elas estão em linguagem altamente
ativa e prescritiva, e sua dívida com o antigo controle do COBIT pressupostos objetivos é
claro. Essas novas boas práticas são definidas como ―uma atividade ou processo
comprovado que tem sido usado com sucesso por várias empresas e tem mostrado
resultados confiáveis‖ ( ISACA 2012b ).
III PRINCIPAIS INSTRUÇÕES NO COBIT 5
Esta seção analisa e coloca em contexto algumas das principais orientações do
COBIT 5. Isso fornece uma base para o desenvolvimento de um conjunto de questões de
pesquisa. Primeiro, a estrutura do COBIT 5 é construída em torno de cinco princípios
básicos:
atender às necessidades das partes interessadas;
cobrir a empresa de ponta a ponta;
aplicação de um quadro único e integrado;
possibilitar uma abordagem holística; e
separar a governança da gestão.
Esta seção discute cada um desses princípios e relaciona-os aos conceitos e insights
das literaturas gerenciais, contábeis e de TI. Segundo, a consideração da implementação do
COBIT agora tem um papel mais central na estrutura. Terceiro, o COBIT fez mudanças
significativas na medição da maturidade do processo de TI, mudando o conceito para
capacidade de processamento. Essa alteração alinha o COBIT com o padrão ISO / IEC
15504. Quarto, e por fim, as alterações no domínio e na estrutura do processo do
framework são revisadas.
7
Atendendo às necessidades das partes interessadas: Alinhamento estratégico de
negócios / TI
De acordo com a ISACA, o Princípio 1 (Atendimento às Partes Interessadas)
implica que o COBIT 5 forneça todos os processos necessários e outros capacitadores para
apoiar a criação de valor de negócios e o gerenciamento de riscos através do uso de TI. Este
princípio está intimamente ligado à noção de alinhamento estratégico iniciada
por Henderson e Venkatraman (1993). A ideia por trás do alinhamento estratégico entre a
diretoria, o gerenciamento operacional e a TI é abrangente e está presente no framework
COBIT desde o início. No entanto, o desafio é como as organizações podem alcançar o
alinhamento. O framework COBIT é grande e complexo. Normalmente, levará alguns anos
para a adoção total, mesmo para uma empresa relativamente pequena. Algumas das
questões importantes que a diretoria e a gerência devem abordar incluem:
Quais processos devem ser gerenciados com o COBIT?
Em que ordem deve esses processos serão introduzidos e desenvolvidos?
Quão profundo deve ser o investimento na implementação do conjunto de
processos?
A equipe de desenvolvimento do COBIT 5 realizou uma pesquisa para entender como
as metas da empresa direcionam as metas relacionadas à TI e vice-versa . Esses projetos de
pesquisa usaram entrevistas em profundidade em diferentes setores, juntamente com
pesquisas Delphi de especialistas no assunto. Esta pesquisa estabeleceu uma lista genérica
de metas corporativas, metas relacionadas a TI e suas inter-relações, ou ―cascata‖. Essa
cascata agora constitui o ponto de entrada principal do COBIT 5. No COBIT 5, há uma
suposição explícita de que as organizações devem começar analisando seu estado de
alinhamento de negócios / TI por meio da definição de metas corporativas, vinculando
essas metas a objetivos relacionados à TI e, posteriormente, aos processos de TI dentro do
COBIT ( De Haes e Van Grembergen 2010; Van Grembergen et al. 2008). Nos objetivos em
cascata, as metas corporativas e de TI são categorizadas em perspectivas financeiras, de
clientes, internas e de aprendizado e crescimento (Figura 3).
Isso segue as dimensões geralmente aceitas da análise do balanced scorecard. Cada
perspectiva contém vários objetivos comumente referenciados em organizações nessa área,
com base em pesquisas exploratórias executadas anteriormente ( Van Grembergen et al.
8
2008). Em seguida, os relacionamentos primários (P) e secundários (S)
entre as metas corporativas e relacionadas à TI são fornecidos, com base nas opiniões dos
especialistas. Essas relações indicam como as metas da empresa
direcionam as metas relacionadas à TI e / ou como asas metas apoiam as metas da
empresa. Como ilustração desta cascata, A Figura 4 mostra que o objetivo da empresa de ''
de conformidade externa com as leis e regulação '' requer um foco primário (P) sobre
os relacionados com TI objetivos do '' de conformidade e suporte de TI para o cumprimento
de negócios com externo leis e regulamentos '' e '' segurança da informação e infraestrutura
de processamento ''.
Ao adotar o COBIT 5, as organizações terão a importância ponderada
das metas relacionadas à TI para orientá-las na decisão sobre quais subgrupos dos 37
processos de TI são os mais importantes. para adoção antecipada.
Atendendo às necessidades das partes interessadas: o balanced scorecard
Para verificar se as necessidades das partes interessadas estão de fato sendo atendidas, um processo de medição precisa ser estabelecido ( Elbashir et al. 2008;
Hyvo¨nen 2007; O'Connor e Martinsons 2006). Os métodos tradicionais de desempenho,
como o retorno do investimento (ROI), capturam o valor financeiro dos projetos e sistemas
de TI, mas refletem apenas uma parte limitada do valor que pode ser fornecido pela TI ( Davern e Wilkin, 2010; Van Grembergen e De Haes, 2009). O COBIT baseia-se no
equilíbrio conceitos de scorecard desenvolvidos por Kaplan e Norton (1996) e adaptados
para o domínio de TI ( Hu e Huang 2006; Van Grembergen et al. 2003 ).
O COBIT 5 fornece medidas de resultado no nível do processo de TI. A Figura 5
mostra um exemplo do processo de "Gerenciamento de segurança", fornecendo metas de
processo específicas e métricas relacionadas. A consolidação dessas métricas nos níveis de
processos corporativos, relacionados a TI e COBIT permite que as organizações criem um
scorecard abrangente para todo o ambiente de TI. Isso permite que as organizações
desenvolvam um instrumento de medição para verificar as necessidades das partes
interessadas.
9
Cobrindo a Empresa de ponta a ponta
O segundo princípio (Abrangendo a Empresa de Ponta a Ponta ) articula que o
COBIT 5 cobre todas as funções e processos dentro da empresa. O COBIT 5 não se
concentra apenas na "função de TI", mas trata as informações e tecnologias relacionadas
como ativos ou capacidades que precisam ser examinadas junto com outros ativos da
empresa. Essa perspectiva se alinha com Weill e Ross (2009) sobre as literaturas de visão e
capacidades baseadas em recursos ( Andreu e Ciborra, 1996; Feeny e Willcocks, 1998; Law
e Ngai, 2007; Tarafdar e Gordon, 2007). Weill e Ross esclarecem a necessidade de que a
administração geral de negócios assuma a responsabilidade de governar o uso de TI na
criação de valor a partir de investimentos de negócios habilitados por TI e responsabilidade
por eles . Em muitas organizações, isso implica uma mudança crucial nas atitudes e no
comportamento da administração geral de negócios e de TI, bem como do conselho
administrativo. Como Weill e Ross (2009)nota: ―Se os gerentes seniores não aceitarem a
responsabilidade pela TI, a empresa inevitavelmente lançará seu dinheiro de TI em
múltiplas iniciativas táticas, sem impacto claro nas capacidades organizacionais. A TI se
torna um passivo em vez de um ativo estratégico‖.
Relacionado a essa discussão, o COBIT 5 abrange processos de TI e processos de negócios relacionados a TI . Colaboração e relações recíprocas e dependências
de tarefas entre gerenciamento de negócios, gerenciamento de TI e partes externas são um
elemento importante da governança de TI ( Cragg et al. 2011; Zarvi c et al. 2012). O COBIT 5 fornece gráficos RACI (Responsável, Responsável, Consultado, Informado) nos quais as
funções de negócios e de TI são incluídas. Para ilustrar isso, a Figura 6 fornece um exemplo
de gráfico RACI para o processo '' Gerenciar Contratos de Serviço ''.
10
Esse gráfico RACI indica que, para o processo de SLA, as funções de negócios e de TI têm primário (P) e secundário (S) responsabilidades3 e responsabilidades.
Aplicação de uma estrutura única e integrada: COBIT, Risk IT e Val IT
O Princípio 3 (Aplicando uma estrutura única e integrada) explica que o COBIT 5 se alinha em um alto nível com outros padrões e estruturas relevantes. Assim, ele pode
servir como uma estrutura abrangente para governança e gerenciamento da TI
corporativa. O COBIT 5 integra todos os departamentos de TI da ISACA anteriores materiais de governança no COBIT 4, no Val IT e no Risk IT ( ISACA 2007, 2009c, 2010).Nesta
abordagem abrangente, o COBIT identifica 37 processos de TI espalhados por domínios de
governança e gerenciamento. Os cinco processos de governança são responsabilidades do
conselho em TI, abrangendo a definição da estrutura de governança, responsabilidades em
termos de valor (por exemplo, critérios de investimento), riscos (por exemplo, apetite ao risco), recursos (por exemplo, otimização de recursos) e transparência. TI para as partes
interessadas. Nós retornamos ao governo mais adiante nesta seção. No domínio de
gerenciamento, existem quatro subdomínios: '' Alinhar, Planejar e Organizar '' (APO); ''
Construir, Adquirir e Implementar '' (BAI); '' Deliver, Service and Support '' (DSS); e ''
Monitorar, Avaliar e Avaliar '' (MEA). O domínio APO diz respeito à identificação de como a
TI pode contribuir melhor para a realização dos objetivos de negócios. Uma estrutura de gerenciamento é necessária e processos específicos relacionados à estratégia e táticas de TI,
arquitetura corporativa, inovação e gerenciamento de portfólio. Outros processos
importantes neste domínio abordam o gerenciamento de orçamentos e custos, recursos
humanos, relacionamentos, contratos de serviços, fornecedores, qualidade, risco e
segurança.
3 accountabilities and responsibilities. / accountabilitie - prestação de contas
11
O domínio BAI concretiza a estratégia de TI através da identificação, em detalhe, dos
requisitos de TI e da gestão do programa e projetos de investimento. Este domínio considera
ainda a capacidade de gerenciamento, mudança organizacional, mudanças de TI, aceitação
e transição, conhecimento, ativos e configurações. O domínio Entrega, Serviço e Suporte
(DSS) refere-se à entrega real dos serviços de TI necessários. Ele contém processos de
gerenciamento de operações, solicitações de serviços e incidentes, problemas, continuidade,
serviços de segurança e controles de processos de negócios. O quarto domínio de
gerenciamento, MEA, inclui os processos que são responsáveis pela avaliação da qualidade
em conformidade com os requisitos de controle para todos os processos mencionados
anteriormente. Ele aborda o gerenciamento de desempenho, o monitoramento do controle
interno e a conformidade regulamentar (ISACA 2012b).
O COBIT 5 enfatiza a exigência de que a gerência geral de negócios seja responsável
pelo gerenciamento de TI. Processos que abordam funções de negócios específicas são
APO3: Gerenciar Arquitetura Empresarial, APO4: Gerenciar Inovação e BAI05: Gerenciar
Mudança Organizacional. Um processo específico nos controles de processos de negócios
(controles de aplicativos) é incluído ('' DSS06: Gerenciar Controles de Processos de Negócios
'').
Possibilitando uma Abordagem Holística: Sistemas Organizacionais
O quarto princípio (Habilitando uma Abordagem Holística) explica que a
implementação eficiente e eficaz da governança e gerenciamento da TI corporativa requer
uma abordagem holística. Essa abordagem leva em consideração vários componentes
interativos: processos, estruturas organizacionais e recursos humanos. Esse desafio de
implementação está relacionado ao que é descrito na literatura de gerenciamento
estratégico como a necessidade de um sistema organizacional, ou seja, "a forma como uma
empresa leva seu pessoal a trabalhar em conjunto para realizar o negócio" ( De Wit e Meyer,
2005).). Tal sistema organizacional requer a definição e aplicação de estruturas (por
exemplo, unidades e funções organizacionais) e processos (para garantir que as tarefas
sejam coordenadas e integradas), e atenção às pessoas e aspectos relacionais (por exemplo,
cultura, valores, crenças conjuntas).
Peterson (2004) e De Haes e Van Grembergen (2009) aplicaram essa teoria do
sistema organizacional ao EGIT. As organizações podem e estão implantando o EGIT
usando uma mistura de várias estruturas, processos e mecanismos relacionais. As
estruturas EGIT incluem unidades organizacionais e funções responsáveis por tomar
decisões de TI e por permitir contatos entre as funções de tomada de decisões
de gerenciamento de negócios e de TI (por exemplo, comitês de direção de TI). Os processos
EGIT referem-se à formalização e institucionalização de procedimentos estratégicos de
tomada de decisão e monitoramento de TI, para garantir que o dia-a-dia os resultados são
consistentes com as políticas e fornecem um ciclo de feedback (por exemplo, balanced
scorecard de TI). Esses mecanismos relacionais são, em última instância, sobre a
participação ativa e relacionamento colaborativo entre o conselho, altos executivos, gestão
de TI e gestão de negócios.
O COBIT 5 baseia-se nessas percepções e incorpora discussões formais sobre os chamados '' Enablers '' em sua estrutura. Esses são fatores que, individual e coletivamente,
influenciam se algo funcionará - nesse caso, governança e gerenciamento da TI
corporativa. A estrutura descreve sete categorias de facilitadores, dos quais os "processos",
"estruturas organizacionais" e "cultura, comportamento e ética" se relacionam estreitamente com o conceito de sistemas organizacionais.
12
Separando a Governança da Gestão
Finalmente, o Princípio 5 é sobre a distinção que o COBIT 5 faz entre
governança e gerenciamento. Isso se baseia fortemente na orientação do padrão ISO /
IEC sobre '' Governança Corporativa de TI '' (ISO 38500) ( ISO / IEC 2008) e estruturas
gerais de governança, como o COSO. Havia elementos de governança nas versões anteriores
do COBIT, mas eles estavam misturados aos aspectos de gerenciamento. No COBIT 5, a
organização dos processos de governança segue o modelo EDM ('' Evaluate - Direct -
Monitor '')conforme estabelecido na ISO 38500. Os processos de governança de TI são de
responsabilidade do conselho de administração e asseguram que os objetivos da empresa
sejam alcançados através da avaliação das necessidades das partes interessadas; definição
de direção por meio de priorização e tomada de decisão; e monitorar o desempenho, a
conformidade e o progresso em relação aos planos. Com base nessas atividades de
governança, os planos de negócios e de TI planejam, criam, executam e monitoram
atividades (uma tradução COBIT do círculo PDCA, Fazer, Verificar, Agir) de Deming em
alinhamento com a direção definida pelo órgão de governança para atingir os objetivos da
empresa.
Implementando Governança Corporativa de TI
Outra mudança importante no COBIT 5 é a atenção aos desafios da implementação
do EGIT na empresa. A ISACA já havia fornecido orientações sistemáticas sobre a
implementação da governança de TI ( ISACA 2009a, 2009b), mas essa orientação era
separada da estrutura básica do COBIT. Como resultado, as organizações adotantes
frequentemente negligenciaram os consideráveis desafios da implementação do COBIT. A
orientação sobre a implementação foi atualizada ( ISACA 2012a), mas agora, no entanto, as
mensagens centrais desta orientação são incorporadas ao framework COBIT. A orientação
define um estágio de setes ciclos de vida para a implementação do EGIT, desde o início do
programa EGIT, passando pela revisão da eficácia e sustentando a implementação. As
principais mensagens da orientação incluem a necessidade de criar um ambiente
apropriado para as mudanças envolvidas na implementação do EGIT, e reconhecendo a
importância crítica de construir um caso de negócio realista para a realização do EGIT.
Maturidade do processo e capacidade de processo
A maturidade do processo tem sido um componente essencial do COBIT por mais de
uma década. A determinação do nível de maturidade do processo para determinados
processos permite que as organizações determinem quais processos estão essencialmente
sob controle e quais representam possíveis desafios de gerenciamento ( Weill, 1992). A
avaliação da maturidade do processo é discutivelmente uma condição necessária para a
implementação do EGIT. O conceito de maturidade do processo em versões anteriores do
COBIT foi adotado e adaptado do Modelo de Maturidade da Capacidade do Software
Engineering Institute ( Debreceny e Gray 2013). No COBIT 5, a maturidade do processo foi
substituída pelo conceito de capacidade de processo ( ISACA 2011b), baseado no padrão
ISO / IEC 15504 (SPICE) '' Tecnologia da Informação – Processo Avaliação. ‖Um benefício
deste modelo de avaliação é o foco aprimorado em confirmar que um determinado processo
está realmente atingindo sua finalidade e entregando os resultados exigidos conforme o
esperado. De fato, um requisito para atender ao nível um do modelo de maturidade de cinco
níveis do COBIT 5 é que o ―o processo implementado alcança seu propósito de processo‖ e,
no nível dois, o processo é ―implementado de forma gerenciada (planejada, monitorada e
ajustada), e seus produtos de trabalho são apropriadamente estabelecidos, controlados e
mantidos‖. Pode ser um desafio para as organizações demonstrarem e, como resultado, os
níveis de maturidade do processo sob o novo modelo de avaliação serão consideravelmente
13
menores do que no modelo anterior de maturidade do processo baseado em CMM no COBIT
4. Isso pode apresentar alguns desafios de implementação.
IV. COBIT 5 E OPORTUNIDADES DE INVESTIGAÇÃO
Esta seção baseia-se nas seções anteriores que procuraram desenvolver uma
compreensão dos principais princípios e conceitos do COBIT 5 para explorar possíveis
novas oportunidades de pesquisa. Wilkin e Chenhall (2010) definiram cerca de 20 questões
de pesquisa em vários domínios em sua taxonomia4 de governança de TI (alinhamento
estratégico, entrega de valor, gerenciamento de risco, gerenciamento de recursos e medição
de desempenho). Nosso objetivo é complementar Wilkin e Chenhall, apontando para uma
pesquisa que
investiga o COBIT como um artefato5;
vê o COBIT dentro de um ecossistema de estruturas e padrões
competitivos e complementares; ou
usa o COBIT como uma base de medição comum para a investigação de
algum aspecto particular do EGIT ou áreas cognatas de investigação,
como auditoria e garantia de TI.
Pesquisando o COBIT como um artefato
O COBIT e seu conjunto de produtos associados é um conjunto amplo, multifacetado e complexo de orientação. O conteúdo do COBIT é consideravelmente mais
complexo que o COSO ou as estruturas de alto nível , como a ISO / IEC 38500. O COBIT é
sistematicamente projetado para abranger todo o ciclo de vida do investimento, com aspectos de governança e gerenciamento. Essa complexidade dá origem à necessidade de
pesquisas sobre o COBIT como um artefato.
A qualidade e consistência do COBIT como um artefato
É necessário investigar os fundamentos, o design, a aplicabilidade e a consistência
interna do COBIT, ou a falta deles. Por exemplo, o COBIT 5 integra três estruturas
significativas, porém relacionadas, que abrangem a governança e o gerenciamento de TI
(COBIT), a geração de valor (Val IT) e o gerenciamento de riscos (Risk IT). Essa integração é
uma grande empresa e o sucesso dessa integração ainda não está claro. Um exemplo de
pesquisa sobre o COBIT como artefato é o de Boritz (2005), que considerou noções de
integridade da informação no COBIT, outras estruturas de prática e a literatura
acadêmica. Boritz (2005), após os especialistas em levantamentos, concluiu-se que a
maneira como os atributos de informação e a integridade das informações eram
estabelecidos no COBIT deveria ser significativamente modificada para incorporar
informações. O estudo Boritz é a única pesquisa que sistematicamente investiga o projeto
de qualquer aspecto do COBIT. Existe uma clara necessidade de pesquisa adicional.
4 Taxonomia: ciência ou técnica de classificação. 5 Artefato: aparelho, engenho, mecanismo construído para um fim determinado.
14
A associação entre prescrição e condições do mundo real
O COBIT e outras estruturas similares são tiradas da boa prática no campo e são
essencialmente prescritivas. A qualidade dessa prescrição é tão boa quanto o processo de identificação da boa prática. As várias iterações do COBIT são baseadas em
pesquisa original,
uso generalizado de especialistas em workshops e grupos de trabalho, e
contribuições de padrões e estruturas cognatas.
Essa abordagem é, necessariamente, apenas uma amostragem parcial das condições do mundo real . Tuttle e Vandervelde (2007) pesquisam a aplicabilidade do COBIT 3 como uma estrutura de controle interno para a auditoria de demonstrações financeiras e
concluem que o COBIT pode ser empregado dessa maneira. Há uma necessidade de
pesquisa para entender a relação entre as prescrições do COBIT e as condições do mundo
real.
COBIT como um framework
O COBIT é uma estrutura e não um padrão e, como resultado, é projetado para ser adaptado pela adoção de organizações. No entanto, pouco se sabe a respeito de quais
componentes da estrutura são necessários para ser retida, a fim de que a adoção ainda seja
eficaz. Isso se aplica tanto horizontalmente (escolha de processos) quanto vertical
(componentes incluindo capacidade de processo, gráficos RACI, etc.). Por exemplo:
Seria viável adotar o COBIT com apenas cinco processos na camada de governança, desprovidos de gráficos RACI, modelagem de capacidade de
processo e outros atributos COBIT principais?
O COBIT poderia ser usado apenas pelo conselho e pelo comitê de auditoria e ainda ser funcional?
Pesquisando o COBIT dentro de um ecossistema de estruturas competitivas e
complementares
Um princípio fundamental do projeto do COBIT 5 é alinhar sistematicamente com estruturas e padrões cognatos. Isso inclui estruturas de governança de maior abstração
(por exemplo, ISO / IEC 2008) e estruturas mais específicas posicionadas no nível
de gerenciamento relacionado a TI (por exemplo, TOGAF [Open Group 2009]). Entender
como o COBIT opera em um ecossistema de estruturas concorrentes e colaboradoras é uma
importante área de pesquisa.
A relação entre COBIT, COSO, ISO / IEC 38500 e outras estruturas de governança
ISACA tem feito um grande investimento ao longo dos anos em COBIT mapeamento
para outros frameworks, com mapeamentos detalhados de COBIT 4 a dez outras estruturas
incluindo COSO, ITIL, PMBOK, e TOGAF ( ISACA 2011a ). Não há pesquisas acadêmicas sobre a interação dessas relações. Perguntas incluem:
Como uma empresa gerencia vários frameworks e padrões?
Como as empresas medem e gerenciam o desempenho em vários frameworks e padrões?
15
O envolvimento do Conselho de Administração em Governança Corporativa de TI
Como discutimos acima, há uma forte influência no COBIT a partir de estruturas
gerais de governança, incluindo a estrutura de controle interno do COSO, e da ISO / IEC
38500. O COBIT 5 distingue claramente entre governança e gerenciamento. Pesquisas limitadas estão disponíveis sobre como os conselhos estão assumindo a responsabilidade de
governar e monitorar a TI. A partir da análise dos relatórios anuais e das Discussões e
Análises da Gerência (MD & As), ou através de estudo de caso, estudo de campo ou
levantamento, seria interessante entender se o conselho está assumindo as cinco áreas de
responsabilidade discutidas no COBIT:
Quais dos cinco processos de governança são realmente adotados pelos conselhos?
O que os conselhos relatam sobre suas funções de governança de TI no relatório anual?
Qual é a relação entre o envolvimento dos conselhos e o desempenho de governança de TI?
COBIT 5 e a Auditoria de Controles Internos
No contexto dos EUA, a Lei Sarbanes-Oxley exige que os registrantes da SEC certifiquem se há pontos fracos importantes no controle interno, alinhados com uma
estrutura de controle. Registrantes maiores devem ter seus controles internos
auditados. Embora a Lei Sarbanes-Oxley não exija uma única estrutura de controle interno,
efetivamente todos os registrantes escolhem a estrutura do COSO. A estrutura do COSO inclui alguns comentários limitados sobre o papel da tecnologia da informação na
manutenção de controles internos e a minuta de exposição para uma versão revisada do
COSO torna essa conexão ainda mais forte ( Janvrin et al., 2012 ). Faz agora sete anos
desde que uma versão personalizada do COBIT para os objetivos de controle de TI sob
o ato Sarbanes-Oxley foi promulgado pelo ISACA ( ITGI 2006). Perguntas de pesquisa incluem:
Qual papel o COBIT desempenha no suporte a programas de auditoria
internos e externos?
O COSO faz menção explícita aos controles de aplicativos. Os controles de aplicativos de negócios agora são mais centrais no COBIT 5. Até que ponto a
orientação sobre os controles de aplicativos de negócios no COBIT e no COSO
está correlacionadas? Quais são as aplicações práticas e uso desta
orientação?
COBIT como uma base de medição comum
O COBIT fornece orientação de boas práticas para o ciclo de vida completo do investimento em TI. Ele vem com um conjunto de ferramentas de gerenciamento e
orientação de suporte. O COBIT oferece, então, uma base para a medição de uma ampla
variedade de pesquisas sobre o EGIT. Debreceny e Gray (2013) explicitam os componentes
de processos de TI e maturidade de processo do COBIT 4 em um grande estudo de campo
internacional. Pesquisas similares podem nos permitir entender o cenário do EGIT e validar o projeto do COBIT.
Alinhamento de metas corporativas e de TI
O conceito de alinhamento de negócios / TI não é novo, mas ainda está no topo da
agenda de muitas organizações. Com base no modelo de alinhamento estratégico
de Henderson e Venkatraman (1993) e na pesquisa original ( Van Grembergen et al. 2008 ),
16
o COBIT fornece uma abordagem sobre como definir metas corporativas
e metas relacionadas à TI . Será importante entender como esse relacionamento é
robusto. A pesquisa de estudo de caso pode revelar se as organizações estão claramente articulando metas corporativas e metas relacionadas à TI , e até que ponto essas metas são
simbióticas6. Questões específicas podem incluir:
As empresas estão claramente articulando suas prioridades à TI?
A TI está ativamente envolvida na discussão estratégica de negócios
A empresa está envolvida na definição dos objetivos relacionados à TI ?
Como as organizações medem o desempenho da TI?
Medir o valor da TI é um desafio complexo. À medida que o COBIT alavanca os
insights do balanced scorecard, ele fornece uma referência para construir estruturas de medição conceituais para a TI como um todo ou para processos específicos de TI. Projetos
de pesquisa poderiam trabalhar na construção de tais estruturas conceituais baseadas no
COBIT, e então validar se tais instrumentos de medição estão em uso e otimizados com
base em conclusões empíricas. Exemplos de questões específicas são:
As organizações estão usando o COBIT para criar balanced scorecards?
As métricas do COBIT 5 são utilizáveis para prática?
Como as empresas estão organizando o processo de gerenciamento de desempenho?
Como está envolvido o negócio em governança corporativa de TI?
Há uma ênfase no COBIT 5 no estabelecimento de responsabilidades de ponta a ponta em governar e gerenciar ativos e recursos de TI. Os gráficos RACI no COBIT 5
fornecem modelos utilizáveis para a análise de se o gerenciamento geral de negócios está
assumindo suas responsabilidades relacionadas à TI . Perguntas de pesquisa incluem:
Os gerentes de negócios estão cientes das responsabilidades atribuídas nos gráficos COBIT 5 RACI?
Os gerentes de negócios assumem as responsabilidades conforme atribuído nos gráficos COBIT 5 RACI?
Quais são os facilitadores e inibidores para os gerentes de negócios assumirem as responsabilidades conforme atribuído nos gráficos COBIT 5
RACI?
Como as organizações estão implementando a governança corporativa de TI?
As empresas reconhecem cada vez mais a importância do EGIT. Muitas organizações lutam para implementar e incorporar essas práticas de governança em suas
organizações. Através de pesquisa de casos e pesquisas, será vital verificar como as
organizações estão adotando o EGIT. Com base na teoria de sistemas organizacionais, o
COBIT 5 pode ser uma base para protocolos de entrevista e pesquisa. Algumas questões
específicas são:
Quais processos do COBIT 5 e práticas / estruturas relacionadas são mais
adotadas nas organizações?
Quais processos do COBIT 5 e práticas / estruturas relacionadas são percebidos como mais eficazes?
6 Simbiose: associação íntima entre duas pessoas.
17
Quais processos e práticas / estruturas relacionadas ao COBIT 5 são percebidos como fáceis / difíceis de implementar?
V. RESUMO E CONCLUSÃO
Nas últimas duas décadas, o papel da tecnologia da informação nas organizações
mudou de uma função basicamente de suporte e transacional para um pré-requisito
essencial para a geração de valor estratégico. Além disso, embora a TI desempenhe um
papel importante na mitigação7 do risco corporativo, as tecnologias da informação também
criam riscos. Esses riscos incluem possíveis perdas monetárias, redução da capacidade
operacional e, particularmente importante em um mundo cada vez mais conectado, perdas
para a reputação da empresa. O aumento do foco em TI para geração de valor, bem como o
cumprimento das obrigações de conformidade em uma série de setores, resultou em maior
atenção da diretoria e da gerência sênior em TI. O início dos anos 90 viu a introdução do
termo governança de TI,
Em um período similar, a ISACA promulgou cinco versões da estrutura EGIT de
boas práticas, COBIT. A comunidade de auditoria de TI teve uma forte influência na
primeira versão em 1996. Serviu como um plano para a realização de auditorias de funções
de TI. O COBIT amadureceu e se adaptou às mudanças no ambiente externo. A última
iteração8, COBIT 5, inclui vários desenvolvimentos importantes influenciados por mudanças
no ambiente externo e por estruturas novas e revisadas às quais o COBIT se alinha.
Primeiro, há uma separação distinta entre governança e
gerenciamento. O novo domínio de governança tem cinco processos
que estariam nas mãos do conselho e da administração mais
graduada.
Em segundo lugar, o COBIT 5 integra a orientação no COBIT 4, no
Val IT e no Risk IT.
Terceiro, A importante contribuição que a TI faz no alcance dos
objetivos organizacionais é central para o framework.
Quarto, a avaliação da maturidade do processo, uma métrica
principal no COBIT, agora se alinha aos padrões internacionais.
Quinto, responder aos desafios da adoção de estruturas de
governança, como o COBIT, foi mais diretamente integrado à
estrutura.
O COBIT é uma estrutura de governança e gerenciamento completa e abrangente
que se beneficia de muitos anos de experiência e alinhamento com outras estruturas e
padrões. No entanto, há pouca pesquisa acadêmica que utiliza o COBIT como um
instrumento na execução de programas de pesquisa. Por meio de uma indicação clara de
como os elementos centrais do COBIT 5 são baseados em insights de gerenciamento geral e
de TI, este artigo contribui para a exploração do uso do COBIT em atividades futuras de
pesquisa. Um catálogo de possíveis perguntas de pesquisa é fornecido que
investiga o COBIT como um artefato;
vê a estrutura dentro de um ecossistema de estruturas e padrões
competitivos e complementares; ou
usa-lo como uma base de medição comum para a investigação de
algum aspecto particular de EGIT ou áreas cognatas de investigação,
como auditoria e garantia de TI.
Essas questões de pesquisa podem ser uma fonte de inspiração para pesquisadores
neste campo. Existem muitas oportunidades de pesquisa em EGIT e domínios de pesquisa
alinhados. Finalmente e provavelmente mais importante, essas oportunidades têm
implicações tanto para a teoria quanto para a prática.
7 Mitigar: tornar(-se) mais brando, mais suave, menos intenso (ger. dor, sofrimento etc.);
aliviar, suavizar, aplacar. 8 Iteração: repetição.
18
REFERÊNCIAS
Ahern, DM, A. Clouse e R. Turner. 2008. CMMI Distilled: Uma Introdução Prática à Melhoria Integrada de
Processos. 3ª edição . Boston, MA: Addison-Wesley.
Andreu, R. e C. Ciborra. 1996. Aprendizado organizacional e desenvolvimento de capacidades essenciais: o papel
da TI. Journal of Strategic Information Systems 5 (2): 111-127.
Anthony, RN 1965. Sistemas de Planejamento e Controle: Uma Estrutura para Análise . Boston, MA: Divisão de
Pesquisa, Escola de Pós-Graduação em Administração de Empresas, Universidade de Harvard.
Beer, S. 1959. Cibernética e Gestão . Londres, Reino Unido: English Universities Press.
Cerveja, S. 1972. Cérebro da Empresa . Londres, Reino Unido: The Penguin Press.
Berle, AA e GC significa. 1932. A Corporação Moderna e a Propriedade Privada . Nova Iorque, NY: The Macmillan
Company.
Boritz, JE 2005. Opinião dos praticantes sobre os principais conceitos de integridade da informação. Revista
Internacional de Sistemas de Informação Contábil 6 (4): 260-279.
Brown, C. 1997. Examinando o surgimento de soluções híbridas de governança de SI: Evidências de um único site
de caso. Information Systems Research 8 (1): 69-94.
Brynjolfsson, E. 1993. O paradoxo da produtividade da tecnologia da informação. Comunicações do ACM36
(12): 66-77.
Escritório do Gabinete. 2011. ITIL Lifecycle Suite . Londres, Reino Unido: O escritório de artigos de papelaria.
Chan, YE, SL Huff, DW Barclay e DG Copeland. 1997. Orientação estratégica de negócios, orientação estratégica
de sistemas de informação e alinhamento estratégico. Pesquisa de Sistemas de Informação: ISR: Uma Revista do
Institute of Management Sciences 8 (2): 125–150.
Comitê de Organizações Patrocinadoras da Comissão Treadway (COSO). 1992. Controle Interno - Estrutura
Integrada . New York, NY: Comitê de Organizações Patrocinadoras da Comissão Treadway.
Cragg, P., M. Caldeira e J. Ward. 2011. Competências dos sistemas de informação organizacional nas pequenas
e médias empresas. Informação e Gestão 48 (8): 353-363.
Cyert, RM e JG March. 1963. Uma Teoria Comportamental da Empresa . Englewood Cliffs, NJ: Prentice Hall, Inc.
Davern, MJ e CL Wilkin. 2010. Para uma visão integrada da medição de valor de TI. Revista Internacional de
Sistemas de Informação Contábil 11 (1): 42-60.
De Haes, S. e W. Van Grembergen. 2008a. Analisando a Relação entre a Governança de TI e a Maturidade do
Negócio / Alinhamento de TI . Proceedings da 41ª Conferência Internacional do Havaí em Ciências do
Sistema, Kailua-Kona, HI, Shidler College of Business, Universidade do Havaí em Manoa.
De Haes, S. e W. Van Grembergen. 2008b. Um estudo exploratório sobre o projeto de uma linha de base mínima
de governança de TI através da pesquisa Delphi. Comunicações do AIS 22: 443-458.
De Haes, S. e W. Van Grembergen. 2009. Um estudo exploratório sobre implementações de governança de TI e seu
impacto no alinhamento de negócios / TI. Gestão de Sistemas de Informação 26 (2): 123–137.
De Haes, S. e W. Van Grembergen. 2010. Analisando o impacto da governança corporativa das práticas de TI no
desempenho dos negócios. Revista Internacional de Alinhamento e Governança de TI / Negócios 1 (1): 14–38.
De Wit, B. e R. Meyer. 2005. Síntese da Estratégia: Paradoxos da Estratégia Rotativa para Criar Vantagem
Competitiva . Londres, Reino Unido: Cengage Learning EMEA.
Debreceny, RS e GL Gray. 2013. Governança de TI e maturidade de processo: um estudo de campo
multinacional. Jornal de Sistemas de Informação 27 (1).
Elbashir, M. Z., P. A. Collier, and M. J. Davern. 2008. Measuring the effects of business intelligence systems: The
relationship between business process and organizational performance. International Journal of Accounting
Information Systems 9 (3): 135–153.
Feeny, D., and L. Willcocks. 1998. Core IS capabilities for exploiting information technology. Sloan Management
Review 39 (3): 9–21.
Henderson, J. C., and N. Venkatraman. 1993. Strategic alignment: Leveraging information technology for
transforming organizations. IBM Systems Journal 32 (1): 4–16.
Hu, Q., and C. D. Huang. 2006. Using the balanced scorecard to achieve sustained IT-business alignment: A case
study. Communications of AIS 17: 2–45.
Hyvo¨nen, J. 2007. Strategy, performance measurement techniques, and information technology of the firm and
their links to organizational performance. Management Accounting Research 18 (3): 343–366.
ISACA. 2007. COBITt 4.1. Rolling Meadows, IL: ISACA.
ISACA. 2009a. Building the Business Case for COBITt and Val ITe: Executive Briefing. Rolling Meadows, IL: ISACA.
ISACA. 2009b. Implementing and Continually Improving IT Governance. Rolling Meadows, IL: ISACA.
ISACA. 2009c. The Risk IT Framework: Risk IT Based on COBIT. Rolling Meadows, IL: ISACA.
ISACA. 2010. Enterprise Value: Governance of IT Investments. The Val IT Framework 2.0. Rolling
Meadows, IL: ISACA.
ISACA. 2011a. COBIT Mapping: Overview of International IT Guidance. Rolling Meadows, IL: ISACA.
19
ISACA. 2011b. COBITt Process Assessment Model (PAM): Using COBITt 4.1. Rolling Meadows, IL:
ISACA.
ISACA. 2011c. Global Status Report on the Governance of Enterprise IT (GEIT)—2011. Rolling Meadows, IL:
ISACA.
ISACA. 2012a. COBIT 5 Implementation. Rolling Meadows, IL: ISACA.
ISACA. 2012b. COBIT 5: A Business Framework for the Governance and Management of Enterprise IT. Rolling
Meadows, IL: ISACA.
Information Systems Audit and Control Foundation (IASCF). 1994. Control Objectives for Information and Related
Technology: COBIT. Rolling Meadows, IL: Information Systems Audit and Control Foundation.
International Organization for Standardization/International Electrotechnical Commission (ISO/IEC).
2008. ISO/IEC 38500 Corporate Governance of Information Technology. Geneva, Switzerland: International
Organization for Standardization/International Electrotechnical Commission.
IT Governance Institute (ITGI). 2000. COBIT. Rolling Meadows, IL: IT Governance Institute.
IT Governance Institute (ITGI). 2001. Board Briefing on IT Governance. Rolling Meadows, IL: IT Governance
Institute.
IT Governance Institute (ITGI). 2005. COBITt 4. Rolling Meadows, IL: IT Governance Institute.
IT Governance Institute (ITGI). 2006. IT Control Objectives for Sarbanes-Oxley: The Role of IT in the Design and
Implementation of Internal Control over Financial Reporting. 2nd Ed. Rolling Meadows, IL: IT Governance
Institute.
Ives, B., and S. L. Jarvenpaa. 1993. Organizing for global competition: The fit of information technology. Decision
Sciences 24 (3): 547–580.
Janvrin, D. J., E. A. Payne, P. Byrnes, G. P. Schneider, and M. B. Curtis. 2012. The updated COSO
Internal Control—Integrated Framework: Recommendations and opportunities for future research. Journal of
Information Systems 26 (2): 189–213.
Kaplan, R. S., and D. P. Norton. 1996. The Balanced Scorecard: Translating Strategy into Action. Boston, MA:
Harvard Business School Press.
Law, C. C. H., and E. W. T. Ngai. 2007. IT infrastructure capabilities and business process improvements:
Association with IT governance characteristics. Information Resources Management Journal 20 (4): 25–47.
Luftman, J. N. 1996. Competing in the Information Age: Strategic Alignment in Practice. Oxford, U.K.: Oxford
University Press.
March, J., and H. Simon. 1958. Organizations. New York, NY: John Wiley.
O’Connor, N. G., and M. G. Martinsons. 2006. Management of information systems: Insights from accounting
research. Information and Management 43 (8): 1014–1024.
Open Group. 2009. The Open Group Architecture Framework (TOGAF), Version 9. Zaltbommel, The Netherlands:
Van Haren Publishing.
Peterson, R. 2004. Crafting information technology governance. Information Systems Management 21 (4): 7–22.
Porter, M. E. 1979. How competitive forces shape strategy. Harvard Business Review (March-April):137– 145.
Porter, M. E. 1985. Competitive Advantage: Creating and Sustaining Superior Performance. New York, NY: Free
Press.
Sambamurthy, V., and R. W. Zmud. 1999. Arrangements for information technology governance: A theory of
multiple contingencies. MIS Quarterly 23 (2): 261–290.
Simons, R. 1990. The role of management control systems in creating competitive advantage: New
perspectives. Accounting, Organizations and Society 15 (1/2): 127–143.
Simons, R. 2000. Performance Measurement and Control Systems for Implementing Strategy. Upper Saddle River,
NJ: Prentice Hall.
Tarafdar, M., and S. Gordon. 2007. Understanding the influence of information systems competencies on process
innovation: A resource-based view. The Journal of Strategic Information Systems 16 (4): 353–392.
Thorp, J. 2003. The Information Paradox. New York, NY: McGraw-Hill Ryerson.
Tuttle, B., and S. D. Vandervelde. 2007. An empirical examination of CobiT as an internal control framework for
information technology. International Journal of Accounting Information Systems8 (4): 240–263.
Van Grembergen, W., and S. De Haes. 2009. Enterprise Governance of Information Technology: Achieving Strategic
Alignment and Value. New York, NY: Springer.
Van Grembergen, W., R. Saull, and S. J. De Haes. 2003. Linking the IT balanced scorecard to the business
objectives at a major Canadian financial group. Journal for Information Technology Cases and Applications 5
(1): 23–45.
Van Grembergen, W., S. De Haes, and H. Van Brempt. 2008. Understanding How Business Goals Drive IT Goals.
Rolling Meadows, IL: ISACA.
Venkatraman, N., J. C. Henderson, and S. Oldach. 1993. Continuous strategic alignment: Exploiting information
technology capabilities for competitive success. European Management Journal 11 (2): 139–149.
Weill, P. 1990. Strategic investment in information technology: An empirical study. Information Age 12 (3): 141–
147.
20
Weill, P. 1992. The relationship between investment in information technology and firm performance: A study of
the value-manufacturing sector. Information Systems Research 3 (4): 307–333.
Weill, P., and J. W. Ross. 2009. IT Savvy: What Top Executives Must Know to Go From Pain to Gain. Boston, MA:
Harvard Business School Press.
Wilkin, C. L., and R. H. Chenhall. 2010. A review of IT governance: A taxonomy to inform accounting information
systems. Journal of Information Systems 24 (2): 107–146.
Zarvic, N., C. Stolze, M. Boehm, and O. Thomas. 2012. Dependency-based IT governance practices in inter-
organizational collaborations: A graph-driven elaboration. International Journal of InformationManagement 32
(6): 541–549.