GOVERNANA DE TI: AVALIAO DE MATURIDADE DO COBIT EM UMA EMPRESA GLOBAL

Estefan Macalli Alves, Thomas Augusto Damo Ranzi Universidade Federal de Santa Catarina UFSC Departamento de Informtica e Estatstica Curso de Sistemas de Informao Abstract: This research had the objective to asses the maturity level of IT processes of WEG Electric Equipments, a global organization with headquarters in Santa Catarina, Brazil, comparing to control objectives presented on COBIT (Control Objectives for Information and related Technology). The work was considered of great importance, since it meets with the previous efforts of the company related with planning and directing IT resources and investments. Beyond detailing the best practices of COBIT, to execute the maturity level assessment the need of adapting the methodology officially proposed was identified. Finally, a Gap Analysis was executed, where the difference between the current and the desired maturity level was analyzed. Based on these results, actions were proposed aiming to raise the maturity of the IT processes and the implementation of an IT Governance model in the company. Resumo: Esta pesquisa teve como objetivo avaliar o grau de maturidade dos processos de TI de uma empresa global do setor metal-mecnico, com matriz em Santa Catarina (WEG Equipamentos Eltricos S/A) com relao aos objetivos de controle existentes no COBIT. O trabalho foi considerado de grande importncia para a empresa, j que vai ao encontro dos esforos realizados relacionados ao planejamento e direcionamento dos recursos e investimentos em TI. Alm de detalhar as melhores prticas de controle descritas no COBIT, para realizar a avaliao de maturidade identificou-se a necessidade de adaptar a metodologia oficialmente proposta. Ao final foi executado um GAP Analysis, onde a diferena entre o grau de maturidade atual e o desejado pela empresa foi analisado e com base nestes resultados, foram propostas aes visando a elevao de maturidade dos processos de TI e a implantao de um modelo de Governana de TI na empresa em questo. 1. Introduo Ao analisar o histrico das organizaes, tem-se que at meados do sculo passado, os passos para atingir as metas eram tomados sem levar em conta o seu relacionamento com o ambiente em que estava inserida. Com as novas regras impostas pelo mercado, como principalmente a globalizao, para gerar lucro, fica evidente a necessidade de uma boa cadeia de relacionamentos da organizao com o ambiente externo. Para administrar essa nova realidade, algumas caractersticas passam a ser fundamentais: como por exemplo, a flexibilidade e a adaptao s mudanas.

Dentro deste contexto, as organizaes passam a ser diretamente influenciadas na sua gesto e na concepo de uma estratgia empresarial pelo uso de sistemas de informao e da tecnologia da informao. Nesta busca de adequao entre a orientao estratgica de negcios e a estratgia de TI (Tecnologia da Informao) podemos observar o importante papel da Governana Corporativa e da Governana de TI. 2. Referencial Terico Nesta seo ser abordada a reviso da literatura que d sustentao terica ao trabalho. Inicialmente sero abordados os objetivos e a necessidade do planejamento estratgico, bem como sua importncia para o perfeito equilbrio entre os negcios da empresa e dos objetivos da rea de TI que fazem parte do alinhamento estratgico da empresa. Em seguida ser discutido o foco deste trabalho, a Governana de TI, suas aplicaes, ferramentas e principais modelos utilizados, dando destaque para o COBIT. 2.1. Planejamento Estratgico O objetivo do Planejamento Estratgico prover direo, concentrao de esforo, constncia de propsito, e flexibilidade, como um negcio continuamente empenhado em impor sua posio em todas as reas estratgicas (Boah, 1994). Desta forma pretende-se estruturar e sistematizar as aes para aproveitar oportunidades e pontos fortes e minimizar ameaas e pontos fracos. O processo de planejamento mais importante que seu produto final, se identificando com provveis mudanas, estabelecendo assim uma harmonia entre a organizao e seu meio ambiente. A globalizao dos mercados, com a conseqente intensificao da competitividade e o crescente nvel de exigncia relacionado aos produtos e servios, levam a acreditar que, num futuro prximo, todos os aspectos da organizao vo influenciar o seu posicionamento competitivo (Amaral e Varajo 2000). Considerando esta afirmao, alguns dos motivos que levam uma empresa a adotar o Planejamento estratgico so: flexibilidade, integrao organizacional, motivao do staff e esprito organizacional. 2.2. Planejamento Estratgico de TI As primeiras pesquisas onde o Planejamento estratgico passou para a rea de TI, a viso era orientada para o armazenamento de dados e no para obter vantagens competitivas a partir da informao obtida pelos dados. Segundo Torres(1994), o planejamento estratgico de TI pode ser definido como um processo de identificao de infra-estrutura e aplicaes para suportar o negcio das organizaes atravs do atendimento dos objetivos organizacionais. Atualmente as atividades da rea de TI so consideradas crticas para o sucesso da organizao, sendo assim, sua responsabilidade sobre os resultados so cada vez maiores. Com isto, est se tornando difcil separar os aspectos de planejamento de TI dos de negcio. 2.3. Alinhamento Estratgico Segundo Fagundes (2004), O alinhamento das estratgias significa aderncia dos investimentos e gastos em TI levando em considerao o valor que eles agregam aos

negcios de uma organizao. Isto significa que quando os objetivos dos negcios so suportados pelos objetivos do planejamento estratgico de TI, a empresa est estrategicamente alinhada, podendo desta forma obter maior performance organizacional. Para tanto, normalmente as empresas tm buscado uma metodologia a seguir visando dar sustentao s estratgias e os valores que a rea de TI agrega ao negcio da empresa. 2.4 Governana de TI A Governana de TI um conceito novo dentro da rea de TI. Um nmero significativo de empresas vm adotando algum dos modelos de gesto no mercado procurando obter sucesso na administrao e no alinhamento com rea de TI, pois as empresas realizam um grande investimento em TI esperando obter vantagens e, conseqentemente, lucros advindos deste investimento. Segundo a ISACA (2000), a Governana de TI uma estrutura de relacionamentos e processos para dirigir e controlar a empresa a fim de alcanar os seus objetivos pela adio de valor ao mesmo tempo em que equilibra riscos versus retorno sobre TI e seus processos. A Governana de TI essencial para garantir melhorias eficazes e eficientes nos processos da empresa. Ela fornece uma estrutura que liga os processos de TI, os recursos de TI e as informaes s estratgias e objetivos da empresa. Alm disto compor uma governana de TI significa assegurar que as informaes da empresa e a tecnologia aplicada suportam os objetivos do negcio, permitindo, dessa forma, que a empresa tire total proveito dessas informaes, maximizando benefcios, capitalizando em oportunidades e adquirindo vantagem competitiva. 2.4.1 Framework para Governana de TI Assim como em outras reas de tecnologia, na Governana de TI, uma srie de metodologias sugerem mtodos e ferramentas para guiar as empresas na preparao, aplicao e gerenciamento dos passos que levam Governana Corporativa. Na verdade, cada uma dessas metodologias possui um foco especfico, o que em muitos casos leva as empresas a adotar vrias dessas metodologias em conjunto para aproveitar o que cada uma tm a oferecer de melhor. Com a combinao dessas metodologias podemos obter uma estrutura que denominamos framework de governana de TI. A seguir sero descritas as principais metodologias adotadas no framework de governana de TI e suas principais caractersticas. ITIL acrnimo de Information Technology Infrastructure Library e tem foco na operao e na infra-estrutura de TI. Este modelo no se preocupa com desenvolvimento de software e tampouco com alinhamento estratgico de negcios. um conjunto de recomendaes e melhores prticas para a gesto da infra-estrutura, desenvolvido pelo governo ingls. CMM (Capability Matury Model) uma certificao concedida pela Software Engeneering Institute (SEI), da Universidade Carnegie Mellon (EUA), que mede o grau de maturidade no processo de desenvolvimento de software. O CMM focaliza os processos, que considera o fator de produo com maior potencial de melhoria a prazo mais curto. PMBOK (Project Management Body of Knowledge) um guia onde se descreve a as principais reas de conhecimento e as melhores prticas dentro da rea de gerncia de

projetos. Outro objetivo do PMBOK a padronizao de termos utilizados em gerncia de projetos. SOX (lei Sarbanes-Oxley) uma lei aprovada em 2002 pelo governo americano voltada principalmente para companhias de capital aberto com aes nas bolsas de valores ou com negociao na Nasdaq acabar com as fraudes contbeis. Esta lei possui 11 sees que so direcionadas principalmente responsabilidade penal da diretoria. As sees 302 e 404 dizem respeito responsabilidade corporativa pela veracidade de contedo dos relatrios financeiros produzidos e pela rea de TI e avaliao dos controles internos. ISO 17799 uma norma homologada pelo comit ISO que prev os mais diversos tpicos para a rea da segurana da informao. Esta norma est dividida em 10 captulos principais, contendo 127 controles de segurana que mantm o foco na gesto de riscos, suas principais definies so cdigos de prticas para a gesto da informao sob os aspectos de confidencialidade, integridade e disponibilidade. 2.5 COBIT Segundo ISACA (Information Systems Audit and Control Association), o COBIT editado pelo ITGI (Information Technology Governance Institute) e aceito internacionalmente como uma boa prtica de controle sobre informaes, TI e riscos relacionados. Utiliza-se o COBIT para implantar a governana de TI e melhorar os controles de TI. Segundo ITGI (2005), o COBIT foi projetado para ser utilizado por 4 diferentes pblicos: - Direo executiva: Para obter valor dos investimentos de TI e equilibrar os riscos e controlar os investimentos no ambiente freqentemente imprevisvel de TI. - Administrao do negcio: Para garantir o gerenciamento e controle dos servios de TI prestados internamente ou por terceiros. - Administrao de TI: Para prover os servios de TI requeridos para suportar a estratgia do negcio de uma maneira controlada e gerenciada. - Auditores: Para subsidiar seus pareceres e aconselhar a administrao sobre controles internos. 2.5.1 Estrutura do COBIT: Buscando atuar em todos as atividades de uma organizao de TI, o COBIT se subdivide em 3 nveis como mostrado na figura a seguir:

Figura 1: Os 3 nveis do COBIT. Fonte: ITGI,2005

Domnios: Planejamento e Organizao (PO): Este domnio trata das estratgias e tticas, e procura identificar a maneira que a TI pode melhor contribuir para o alcance dos objetivos do negcio. Neste domnio existem 10 processos: - PO1 - Definir o plano estratgico de TI - PO2 - Definir a arquitetura da informao - PO3 - Determinar a direo tecnolgica - PO4 - Definir processos, organizao e relacionamentos da TI - PO5 - Gerenciar os investimentos de TI - PO6 - Comunicar os objetivos e direo da administrao - PO7 - Gerenciar os recursos humanos - PO8 - Gerenciar a qualidade - PO9 - Avaliar e gerenciar os riscos de TI - PO10 - Gerenciar projetos

Aquisio e Implementao (AI): Para concretizar a estratgia de TI, necessrio identificar, desenvolver ou adquirir as solues de TI, bem como integr-las ao processo do negcio. Esse domnio tambm contempla as mudanas e manutenes nos sistemas existentes para assegurar que as solues continuem atendendo aos objetivos do negcio. Neste domnio esto sete processos: - AI1 - Identificar as solues de automao - AI2 - Adquirir e manter os Softwares Aplicativos - AI3 - Adquirir e manter a infra-estrutura tecnolgica - AI4 - Habilitar a operao e o uso - AI5 - Obter recursos de TI - AI6 - Gerenciar as mudanas - AI7 - Instalar e validar as solues e as mudanas

Entrega e Suporte (DS): Este domnio atua sobre as entregas desejadas dos servios o que inclui entrega de servios, gerenciamento da segurana e da continuidade, suporte aos usurios e gerenciamento dos dados e do ambiente operacional. Abaixo deste domnio existem 13 processos: - DS1 - Definir e manter os acordos de nveis de servios (SLA) - DS2 - Gerenciar os servios de terceiros - DS3 - Gerenciar a performance e a capacidade - DS4 - Assegurar o servio contnuo - DS5 - Garantir a segurana dos sistemas - DS6 - Identificar e alocar custos - DS7 - Educar e Treinar usurios - DS8 - Gerenciar o Service Desk e os Incidentes - DS9 - Gerenciar a configurao - DS10 - Gerenciar os problemas - DS11 - Gerenciar os dados - DS12 - Gerenciar o ambiente fsico - DS13 - Gerenciar as operaes Monitorao e Avaliao (ME): Todos os processos de TI devem ser avaliados regularmente quanto qualidade e conformidade com requisitos de controle. Este domnio abrange o gerenciamento do desempenho, monitoramento dos controles internos, conformidade com as regulamentaes e governana. Neste domnio ficam 4 processos: - ME1 - Monitorar e Avaliar a Performance de TI - ME2 - Monitorar e Avaliar os Controles Internos - ME3 - Assegurar Conformidade com Regulamentaes - ME4 - Prover a Governana de TI

A estrutura do COBIT possui 34 processos agrupados em 4 domnios e prope uma maneira de gerenciar os recursos de TI (Pessoas, Aplicativos, Informaes e Infraestrutura) de maneira a fornecer informaes relevantes ao atendimento dos objetivos do negcio e da governana seguindo os sete critrios de informao (Eficcia, Eficincia, Confidencialidade, Integridade, Disponibilidade, Conformidade e Confiabilidade)

OBJETIVOS DE GOVERNANA

OBJETIVOS DO NEGCIO

COBIT
INFORMAES
Eficcia Eficincia Confidencialidade Integridade Disponibilidade Conformidade Confiabilidade

MONITORAO E AVALIAO

PLANEJAMENTO E ORGANIZAO

RECURSOS DE TI
Pessoas Aplicativos Infra-estrutura Informaes

PRODUO E SUPORTE

AQUISIO E IMPLEMENTAO

Figura 2: Representao da estrutura do COBIT 4.0. Adaptado de ITGI(2005)

3. Metodologia Proposta para Avaliao de Maturidade Dentre as ferramentas disponibilizadas para a aplicao do COBIT encontra-se o COBIT Management Guidelines que prov um modelo de maturidade, semelhante ao CMMI, com nveis de 0 (No existente) a 5 (Otimizado) onde em cada nvel existe uma descrio de como devem estar dispostos os processos para alcan-los. Alm disso, este modelo pode ser utilizado como um checklist para identificar melhorias nos processos de TI existentes na organizao. Geralmente, estes nveis de maturidade so utilizados para uma organizao definir rapidamente, com base nos cenrios descritos, em que nvel se encontra e em que nvel pretende chegar futuramente. Na maior parte das vezes, a aplicao deste modelo feita atravs de reunies com os gestores, onde pede-se que este identifiquem o nvel atual e o desejado dos processos. Entretanto, entendeu-se que por esse modelo, a anlise muito genrica e baseia-se apenas na intuio das pessoas, nem sempre especialistas dos respectivos processos.

Outra limitao, que este modelo estritamente incremental, ou seja, para determinar em qual nvel a empresa se encontra, deve-se atender a todos os requisitos daquele nvel e tambm os requisitos dos nveis anteriores. Dessa forma, iniciativas em nveis posteriores ao encontrado so difceis de serem identificadas. Visando sanar essas limitaes, Pederiva (2003) prope uma avaliao de fornecedores utilizando o modelo de maturidade presente no COBIT Management Guidelines, porm transformando as descries de cada nvel de maturidade em sentenas como no exemplo a seguir: PO01 - Definir um Planejamento Estratgico de TI Nvel 1 - Inicial / Ad hoc
COBIT Textual A necessidade de um Planejamento estratgico de TI conhecida pela gerncia de TI. O Planejamento de TI executado em resposta a uma exigncia especfica do negcio. O Planejamento estratgico de TI ocasionalmente discutido nas reunies da gerncia de TI. O alinhamento das exigncias do negcio, as aplicaes e a tecnologia so tratados de forma reativa e no seguindo a estratgia da organizao. A posio de risco estratgico identificada informalmente, projeto por projeto. Modelo Proposto Pontual - A necessidade de um Planejamento estratgico de TI conhecida pela gerncia de TI.

- O Planejamento de TI executado em resposta a uma exigncia especfica do negcio.

- O Planejamento estratgico de TI ocasionalmente discutido nas reunies da gerncia de TI. - O alinhamento das exigncias do negcio, as aplicaes e a tecnologia so tratados de forma reativa e no seguindo a estratgia da organizao. - A posio de risco estratgico identificada informalmente, projeto por projeto.

Tabela 1: Transformao dos cenrios COBIT em sentenas

3.1. Metodologia Proposta Para o desenvolvimento da Metodologia de Avaliao de Maturidade utilizada no trabalho, adotou-se o COBIT Management Guidelines com a abordagem proposta por Pederiva, pois acredita-se que avaliando cada sentena independente do nvel de maturidade, no final obtem-se um resultado mais fiel realidade. Alm disso, pde-se identificar que a compreenso dos envolvidos foi facilitada, visto que estes deram suas opinies com relao a pequenas sentenas e no a um cenrio nico e complexo. Com relao s limitaes encontradas no modelo oficial, relativos dificuldade de identificar requisitos cumpridos em nveis posteriores ao encontrado, alem de identificar o nvel oficial, foi criado o valor Conformidade, que leva em considerao apenas o nmero de requisitos atendidos e o nmero de sentenas existentes em cada processo. Este valor permite identificar com maior facilidade o nmero de requisitos atendidos para cada processo. 3.2. Passos Para realizar o mapeamento do nvel de maturidade na WEG, foram marcadas entrevistas com 3 ou 4 especialistas em cada um dos processos mapeados.

No incio, a folha de entrevista, era entregue aos presentes, e fazia-se uma pequena explicao do COBIT e de sua importncia. Em seguida, explicava-se o processo a ser mapeado e uma breve discusso era feita, para que possveis dvidas fossem sanadas e houvesse um alinhamento do contedo do processo. Em seguida, as sentenas extradas do modelo de maturidade COBIT eram expostas conforme explicado anteriormente. Aps lida cada sentena, os entrevistados respondiam em consenso se a mesma era verdadeira ou falsa para a situao atual da WEG. Aps efetuado o mapeamento de todas as sentenas do processo, o nvel alcanado era revelado. Com base nele, os entrevistados apontavam o nvel desejado para o ano 2010. Este ano foi utilizado em alinhamento com o Planejamento Estratgico de TI da WEG que considera o mesmo como cenrio futuro. 3.3 Aplicao da Planilha Para aplicar a metodologia proposta, elaborou-se uma planilha na qual os dados foram registrados e tratados. Para evitar pontuaes errneas, considerando a natureza de cada sentena como positiva ou negativa para a empresa, as respostas foram transformadas da seguinte maneira: Positiva Falso 0 Verdadeiro 1 Negativa Falso 1 Verdadeiro 0

Resposta

Tabela 2: Transformao dos valores de pontuao conforme natureza da sentena.

Exemplo: A sentena A necessidade de um Planejamento estratgico de TI conhecida pela gerncia de TI. foi identificada como uma sentena positiva pois ao responder verdadeiro, a empresa cumpre um requisito e informa que a necessidade do PETI reconhecida pela gerncia de TI. Ao final, a empresa obtm um ponto para esta sentena. J a sentena A posio de risco estratgico identificada informalmente, projeto por projeto. foi identificada como uma sentena negativa pois ao responder verdadeiro, a empresa no cumpre um requisito e informa que no existe um processo formal de identificao da posio de risco. Ao final, a empresa no recebe ponto para esta sentena.

Concludo o processo de registro das respostas obtm-se para os 6 nveis de maturidade de cada processo COBIT a seguinte tabela: PO01 - Definir um Planejamento Estratgico de TI Nvel 1 - Inicial / Ad hoc Verdadeiro - A necessidade de um Planejamento estratgico X de TI conhecida pela gerncia de TI. - O Planejamento de TI executado em resposta a uma exigncia especfica do negcio. - O Planejamento estratgico de TI ocasionalmente discutido nas reunies da gerncia de TI. - O alinhamento das exigncias do negcio, as aplicaes e a tecnologia so tratados de forma reativa e no seguindo a estratgia da organizao. - A posio de risco estratgico identificada X informalmente, projeto por projeto. Falso Pontuao Pos/Neg 1 X X 1 1 + -

1 0

Total Sentenas Conformidade

4 5 80%

Tabela 3: Planilha de avaliao de maturidade para o nvel 1 do processo PO01

Onde:

Pontuao Respostas transformadas de acordo com a natureza das sentenas. Pos/Neg Identificao da natureza da sentena como positiva ou negativa. Total Somatrio das pontuaes. Sentenas Nmero de sentenas presentes no nvel 1 do processo PO01. Conformidade Percentual de conformidade da organizao com o nvel 1 do processo PO01.

Com as respostas de todos os nveis do processo devidamente registradas na planilha, obtm-se o seguinte resultado para cada processo COBIT:
PO01 - Definir um Planejamento Estratgico de TI
Nvel 0 1 2 3 4 5 Conformidade Total Conformidade 100% 80% 50% 43% 17% 0% 48%

Tabela 4: Conformidade da WEG para cada nvel

Onde: Conformidade Aderncia com as sentenas de cada nvel do processo. Conformidade Total Mdia da conformidade de todos os nveis somados. Ao final tem-se para cada processo do COBIT:
PO01 - Definir um Planejamento Estratgico de TI Resultado Final
Nvel Atual Nvel Meta Conformidade Tabela 5: Resultados finais para o processo PO01 1 4 48%

Onde: Nvel Atual Valor oficial. Nvel mais elevado a ter 100% dos requisitos atendidos pela WEG. Nvel Meta Nvel desejado para o ano 2010. Conformidade Valor no oficial. Representa a aderncia aos requisitos do COBIT para este processo, observando cada nvel de maturidade. Visando facilitar a anlise dos resultados obtidos e o estudo dos planos de ao propostos, ao final do trabalho um relatrio que futuramente servir como um guia para a empresa atingir conformidade com os requisitos de governana propostos pelo COBIT foi entregue empresa. 6. Concluses De acordo com os objetivos estabelecidos, a metodologia proposta mostrou-se um importante instrumento para a avaliao dos processos de TI, sendo possvel, a partir de sua aplicao, executar um Gap Analysis dos processos de TI em relao ao COBIT. De forma geral, acredita-se que os objetivos propostos foram alcanados e ao que tudo indica os resultados serviro de base para a aplicao de novos projetos relacionados Governana de TI na empresa estudada. 7. Referncias Bibliogrficas AMARAL, Lus Alfredo Martins do, VARAJO, Joo Eduardo Quintela. Planejamento de Sistemas de Informao Universidade de Minho/Portugal FCA Editora, 2000. BOAR, Bernard H. Critical Steps for Aligning Information Technology with Business Strategies. AT&T. Wiley 1994.

BRODBECK, ngela Freitag Alinhamento Estratgico entre Plano de Negcios e Tecnologia da Informao: Um Modelo Operacional para Implementao Universidade Federal do Rio Grande do Sul Tese de Doutorado, 2001. CALVO, Mair Affonso Rangel (2006) , COBIT: Modelo de Maturidade http://www.madah.com.br/COBIT_Modelo_Maturidade.doc FAGUNDES, E. M. - Um Kit de Ferramentas para a Excelncia na Gesto de TI, http://www.fagundes.com/artigos/COBIT.html Agosto 2004 . ITGI, COBIT 3rd Edition, IT Governance Institute. 2000. ITGI, COBIT 4th Edition, IT Governance Institute. 2005. PEDERIVA, Andrea - The COBIT Maturity Model in a Vendor Evaluation Case, Information Systems Control Journal, Volume 3, 2003. TORRES, N. A. Manual de Planejamento de Informtica Empresarial. Makron Books, SP, 1994.