Você está na página 1de 67

FACULDADE DE INFORMTICA E ADMINISTRAO PAULISTA Ps-Graduao Gesto de Tecnologia da Informao

DAVI CUNHA MARCOS ALVES PEREIRA RODRIGO DE OLIVEIRA NEVES

APLICAO DO COBIT EM EMPRESAS DE MDIO PORTE

So Paulo 2010

DAVI CUNHA MARCOS ALVES PEREIRA RODRIGO DE OLIVEIRA NEVES

APLICAO DO COBIT EM EMPRESAS DE MDIO PORTE

Trabalho de Concluso de Curso apresentado Faculdade de Informtica e Administrao Paulista, como um dos requisitos para a concluso do Curso de PsGraduao em Gesto de Tecnologia da Informao Orientador: Prof. Andra de Paiva

So Paulo 2010

DAVI CUNHA MARCOS ALVES PEREIRA RODRIGO DE OLIVEIRA NEVES

APLICAO DO COBIT EM EMPRESAS DE MDIO PORTE

Trabalho de Concluso de Curso apresentado Faculdade de Informtica e Administrao Paulista, como um dos requisitos para a concluso do Curso de PsGraduao em Gesto de Tecnlogia da Informao.

Aprovada em 23 de Abril de 2010.

BANCA EXAMINADORA

Prof(). Dr. ou. Ms Xxx (nome completo) Orientador

Prof(). Dr. ou. Ms Xxx (nome completo) Componente da Banca

Experincia no o que acontece com um homem; o que um homem faz com o que lhe acontece... (Aldous Huxley). Aos nossos

mestres e professores, o reconhecimento sempre!

AGRADECIMENTOS

Primeiramente a Deus, que est em nossa vida desde o primeiro instante. Aos nossos

familiares por nos apoiarem em todos os momentos. Aos nossos mestres, pelo

conhecimento por eles ensinado e que nunca ser esquecido.

A todos que nos incentivaram e apoiaram, o nosso muito obrigado!

RESUMO

A Governana de Tecnologia da Informao (TI) um assunto cada vez mais presente nas corporaes, independentes de seu porte. Perante o atual cenrio de competitividade, o alinhamento da TI com o negcio, tem se tornado foco estratgico para se obter timos resultados. Alm disto, a necessidade de maior retorno sobre o investimento, transparncia e confiana da alta administrao tm levado as empresas a aderirem a padres, normas e procedimentos. Uma das formas de conseguir estes objetivos a utilizao de um framework que contemple estes requisitos, como o COBIT (Control Objectives for Information and related Technology). Este estudo de caso destacar como empresas de mdio porte de tecnologia posicionam este framework como base para seus modelos de gesto e controle.

Palavras-chave:
Alinhamento.

Governana

de

TI.

Conformidade.

COBIT.

ABSTRACT

The Governance of Information Technology (IT) has become a growing element in corporations, independent of their size. Given the current competitive scenario, the alignment of IT with the business, has become a strategic focus to achieve optimal results. Moreover, the necessity for greater return on investment, transparency and reliability of senior management have led companies to adhere to standards and procedures. One way to achieve these goals is the use of a framework that addresses these requirements, such as COBIT (Control Objectives for Information and related Technology). This case study will highlight how medium-size technology companies reference this framework as a model to their governance and control models.

Keywords: Governance. Compliance. COBIT. Alignment.

LISTA DE ILUSTRAES

FIGURAS

Figura 1 Sistema de Governana Corporativa Figura 2 Relao Governana Corporativa e Governana de TI Figura 3 - rea foco do COBIT Figura 4 - Princpios bsicos do COBIT Figura 5 Cubo COBIT Figura 6 Pontuao da empresa Alfa Figura 7 Mdia arredondada, por domnio, obtida pela empresa Alfa Figura 8 Pontuao da empresa Beta Figura 9 Mdia arredondada, por domnio, obtida pela empresa Beta Figura 10 Pontuao da empresa Gama Figura 11 Mdia arredondada, por domnio, obtida pela empresa Gama Figura 12 Mdia arredondada, por domnio, obtida pelas empresas

19 23 31 35 37 52 52 53 54 55 56 57

QUADROS
Quadro 1 Comparativo entre modelos de GC mundial Quadro 2 Matriz de arranjo de governana 21 24

ii

TABELAS
Tabela 1 Critrios de Pontuao Tabela 2 Classificao de Nvel de Maturidade Tabela 3 - Tabulao das respostas e resultados obtidos Tabela 4 - Valor da Mdia Arredondada por domnio do Cobit 16 16 49 51

LISTA DE SIGLAS

ABNT Associao Brasileira de Normas Tcnicas COBIT Control Objectives for Information and related Technology FDC Fundao Dom Cabral GC Governana Corporativa GRC Governance, Risk and Compliance IBGC Instituto Brasileiro de Governana Corporativa ISACA Information Systems Audit and Control Association ISACF Information Systems Audit and Control Foundation ITIL Information Technology Infrastructure Library ROI Return of Investiment SLA Service Level Agreement TI Tecnologia da Informao

SUMRIO

INTRODUO ................................................................................................................................................... 11 OBJETIVO .......................................................................................................................................................... 12 PROBLEMA ........................................................................................................................................................ 13 METODOLOGIA .................................................................................................................................................. 13 1. GOVERNANA .............................................................................................................................................. 18 1.1. GOVERNANA CORPORATIVA NO BRASIL ........................................................................................... 21 1.2. GOVERNANA DE TI ........................................................................................................................... 23 1.2.1. Princpios de liderana para Governana de TI ........................................................................... 27 2. COBIT .............................................................................................................................................................. 30 2.1. 2.2. 2.3. 2.4. 2.5. 2.6. 2.7. 2.7.1 2.7.2 2.7.3 2.7.4 2.8. 2.9. 2.9.1 2.9.2 ALINHAMENTO ESTRATGICO ............................................................................................................. 31 ENTREGA DE VALOR ........................................................................................................................... 32 GESTO DE RECURSOS ........................................................................................................................ 32 GESTO DE RISCO ............................................................................................................................... 33 MENSURAO DE DESEMPENHO ......................................................................................................... 33 PRINCPIOS BSICOS DO COBIT .......................................................................................................... 34 DOMNIOS DO COBIT ......................................................................................................................... 36 Planejar e Organizar ..................................................................................................................... 37 Adquirir e Implementar ................................................................................................................. 40 Entregar e Suportar ....................................................................................................................... 41 Monitorar e Avaliar ....................................................................................................................... 43 MODELOS DE MATURIDADE ................................................................................................................ 44 INDICADORES ...................................................................................................................................... 46 KGI Key Goal Indicators (Indicadores de metas ou objetivos) .................................................. 46 KPI Key Performance Indicators (indicadores de desempenho)................................................ 47

3. PROJETO ........................................................................................................................................................ 49 3.1. RESULTADOS....................................................................................................................................... 49

CONCLUSO ..................................................................................................................................................... 59 REFERNCIAS .................................................................................................................................................. 61 ANEXO I .............................................................................................................................................................. 64

11

INTRODUO

A forma como a gesto dos negcios vem sofrendo constantes alteraes nos dias atuais levam as Organizaes a se preocuparem com o nvel de controle em toda a sua estrutura. A alta competitividade, globalizao e a necessidade de atingir os melhores resultados aumentam ainda mais esta preocupao e exige cada vez mais do departamento de Tecnologia de Informao, que hoje, um dos principais artifcios das empresas para vencer neste ambiente. Para o alcance destes objetivos necessrio a implantao da Governana de TI nas organizaes que parte integrante da Governana Corporativa. A Governana Corporativa proporciona para as empresas uma estrutura que possibilita o estabelecimento de princpios e objetivos da sociedade e os meios para cumpri-los, alm de supervisionar o seu desempenho. O que contribuiu para o seu crescente interesse foi o surgimento de uma srie de escndalos na Europa e nos Estados Unidos, onde envolveu diversas empresas, auditores e bancos de investimentos. Por conta disto, surgiram diversos cdigos de boas prticas de Governana Corporativa (LVARES; GIACOMETI; GUSSO, 2008). Segundo Sandonato, Spritzer e Ferreira (2010), a Governana Corporativa estimula diversas mudanas na estrutura organizacional das empresas, afetando seus processos organizacionais. Neste contexto, a TI exerce papel fundamental para a organizao, pois, visa garantir o suporte e maximizao adequada dos objetivos e estratgias de negcio, adicionando valor agregado ao servio entregue, balanceando e gerenciando os riscos com o propsito de obter melhor retorno sobre os investimentos em tecnologia. Para Rasmussen (2008), a TI tem um papel importante, pois possibilita as iniciativas de Governance, Risk and Compliance (Governana, Riscos e Conformidade - GRC). Este papel acaba sendo duplo, pois, por um lado, a TI deve gerenciar as suas

12

prprias questes de GRC e, por outro, ela tem que se tornar um facilitador e uma ferramenta de automatizao de GRC para o negcio. A relao de dependncia dos negcios e da tecnologia fora as organizaes a demonstrarem controles cada vez maiores de segurana, onde cada organizao deve medir e compreender seu prprio desempenho e progresso. Diante deste cenrio de extrema importncia que as empresas desenvolvam ferramentas para reconhecer e mitigar riscos. Para acelerar a adoo da Governana de TI nas empresas, uma srie de frameworks e metodologias foram criadas, como, por exemplo, o Control Objectives for Information and Related Technology - COBIT, que o escolhido para o desenvolvimento deste trabalho. O surgimento destes frameworks, que mostram as melhores prticas de governana, ajuda na escolha do caminho correto e nos melhores processos para se atingir estes resultados. A governana de TI permite que as corporaes tirem o mximo proveito das suas informaes ao capitalizar as oportunidades de negcio e ao criar vantagens competitivas robustas (CHALOLA, 2007, p.16). Com base nestas informaes percebe-se que a rea de Tecnologia da Informao est se adaptando continuamente de modo a oferecer uma srie de benefcios para a adoo e o sucesso de iniciativas de implantao de GRC. Cabe-se agora saber, se todas as corporaes, independentes do seu porte, conseguem, de alguma forma, utilizar estas boas prticas disponveis no mercado.

Objetivo

O objetivo deste trabalho analisar como as empresas de mdio porte de tecnologia esto posicionadas frente utilizao do framework Cobit. Devido ao fato do COBIT ser utilizado para Governana de TI, queremos verificar o grau de adoo deste modelo nestas empresas.

13

Problema

Baseando-se no modelo de maturidade do COBIT, como identificar e classificar, de forma macro, a utilizao deste modelo pelas empresas de mdio porte de TI?

Metodologia

A pesquisa realizada baseada em um estudo de caso, possui natureza descritiva e contempla duas etapas: uma quantitativa e outra de natureza qualitativa, tendo como apoio para seu desenvolvimento um estudo de caso. Soares (2010) define o estudo de caso como o estudo de algo minucioso e profundo de um ou mais objetos. Para estabelecermos o porte da empresa, utilizamos o critrio definido pelo Sebrae (2010), para empresas de Comrcio e Servios. Nesta definio ficou institudo que o nmero de funcionrios de 50 a 99 empregados. Este critrio no possui fundamentao legal e, para fins legais, vale o que est previsto na legislao do Simples (Lei 123 de 15 de Dezembro de 2006). O mtodo utilizado ser o hipottico-dedutivo onde acredita-se que: Apesar de ser uma metodologia consagrada e conhecida mundialmente por profissionais da rea de Tecnologia da Informao, acreditamos que poucos gestores deste segmento, principalmente da rea de prestao de servios, implantam estas melhores prticas em suas prprias empresas. Normalmente este tipo de implantao vendido com servio e acaba por no ser implantada internamente. Por tambm possuir uma demanda muito grande de tempo para implantao e controle, acreditamos que este seja um fator que interfira na deciso de

14

empresas de pequeno e mdio porte, por possurem estrutura enxuta de pessoal. Yin (2001) define estudo de caso como sendo uma investigao cientfica que analisa um fenmeno contemporneo dentro de seu contexto da vida real, especialmente quando os limites entre o fenmeno e o contexto no esto claramente definidos. Uma situao tecnicamente nica enfrentada, haver muito mais variveis de interesse do que pontos de dados e, como resultado, baseia-se em vrias fontes de evidncia beneficiando-se do desenvolvimento prvio de proposies tericas para conduzir assim a coleta e a anlise dos dados. A etapa quantitativa permitiu identificar o grau de aderncia destas empresas aos processos do COBIT verso 4.1. J na etapa qualitativa buscou-se identificar como as empresas de mdio porte de tecnologia esto estruturadas sobre os processos do COBIT, assim como destacar e identificar os processos com maior grau de adoo. A amostra de empresas para nosso estudo envolveu trs empresas do segmento de tecnologia, de mdio porte, sendo: Uma empresa de telecomunicaes, situada em So Paulo, com rede de atendimento exclusiva e limitada atualmente aos bairros do Brs, Pari, Bom Retiro e Belm, sendo neste trabalho definida como empresa Alfa, pois por solicitao da empresa, seu nome no pode ser divulgado. Uma empresa prestadora de servios para grandes empresas de

Telecomunicaes. A empresa, com sede em Alphaville-Barueri, presta servios que possibilitam gesto de interconexo, gerenciamento de receitas e operaes, alm de servios de portabilidade numrica para operadoras de todo o Brasil. Por no poder ter seu nome divulgado, foi definida como empresa Beta. Uma empresa prestadora de servios de TI, especializada no

desenvolvimento de sistemas, aplicaes customizadas e consultoria de processos de negcio. A empresa est situada no municpio de So Bernardo do Campo, trabalha fortemente com parceiros de negcios e a maioria de seus clientes est localizada na regio da Grande So Paulo. Neste trabalho foi definida como empresa Gama.

15

A empresa Alfa possui atuao de destaque em So Paulo desde 2005 e atualmente est passando por uma grande re-estruturao nos seus processos organizacionais. Para isto, foram adotados o COBIT e o ITIL como frameworks para ajudar na definio e criao de processos utilizando das melhores prticas de mercado. Nesta fase inicial, foram criados processos relacionados ao Gerenciamento de Nvel de Servio (DS1) e ao Gerenciamento de Mudanas (AI6). A empresa Beta possui grande visibilidade nacional na prestao de servios de portabilidade numrica e de telecomunicaes. A empresa vem reestruturando os processos internos, com iniciativas de funcionrios que esto se capacitando para poder melhorar os processos internos. A empresa vem aplicando as melhores prticas ITIL e uma central de servios foi definida (DS8) com os seus respectivos nveis de servio (DS1), acordado com o cliente. Os processos de nvel 1 esto bem documentados, alm disso, suportam os processos de gerenciamento de mudana (AI6 e AI7) e gerenciamento de problemas (DS10). Para projetos de grande porte, os gerentes de projetos aplicam as melhores prticas do PMBOK (PO10). A empresa Gama possui mais de 10 anos de presena no mercado de consultoria de sistemas e processos. Atualmente vem trabalhando fortemente para melhorar a qualidade no desenvolvimento de sistemas, no estabelecimento e garantia de prazos e na melhoria contnua do suporte ps-implementao dos projetos. Entre seus pontos fortes destaca-se a capacidade de identificar as melhores solues para seus clientes, tanto do ponto de vista tecnolgico, quanto de negcios (AI1). Como fonte de dados para a pesquisa foi utilizado um formulrio com 34 perguntas. O formulrio em questo envolveu questes referentes a cada um 34 processos dos quatro domnios do COBIT - Planejar e Organizar, Adquirir e Implementar, Entregar e Suportar e Monitorar e Avaliar. O formulrio foi respondido atravs de entrevistas realizadas com Gerentes de TI de cada uma das empresas. Foram realizadas 03(trs) entrevistas, uma para cada empresa, com os respectivos gestores de TI das empresas Alfa, Beta e Gama. A preparao deste questionrio envolveu o estudo aprofundado do framework COBIT.

16

As questes foram respondidas e pontuadas conforme os critrios de classificao da Tabela 1. O modelo de classificao utilizado na Tabela 1 foi baseado no Modelo de Maturidade do COBIT, sendo:
Tabela 1 Critrios de Pontuao Pontuao 0 1 2 3 4 5 Classificao Inexistente Inicial / Ad hoc Repetvel, porm intuitivo Processo Definido Gerenciado e Mensurvel Otimizado Fonte: Elaborado pelos autores

Cada empresa foi analisada individualmente. A partir das respostas dos gestores determinou-se o valor da mdia somando-se cada uma das 34 respostas e dividindo pelo nmero total de perguntas. O resultado obtido foi arredondado usando a seguinte regra: Caso a parte fracionria seja maior ou igual a meio (0,5), o valor arredondado para cima, caso contrrio para baixo. Aps a obteno da mdia arredondada, a empresa foi classificada segundo um nvel de maturidade especificado na Tabela 2 Classificao de Nvel de Maturidade.
Tabela 2 Classificao de Nvel de Maturidade Mdia (arredondada) 0 1 2 3 4 5 Nvel de Maturidade Nvel 0: No Aplicado Nvel 1: Inicial / Ad hoc Nvel 2: Repetvel, porm intuitivo Nvel 3: Processo Definido Nvel 4: Gerenciado e Mensurvel Nvel 5: Otimizado Fonte: Elaborado pelos autores

Com base nos resultados obtidos foram realizadas duas anlises para cada empresa: por processo e por domnio do Cobit.

17

Para a tabulao dos dados, construo das tabelas e apresentao dos grficos foi utilizado o software de planilhas eletrnicas Microsoft Office Excel 2007.

18

1. GOVERNANA

A Governana Corporativa (GC) surgiu devido a uma srie de escndalos na Europa e nos Estados Unidos, onde envolveu diversas empresas, auditores e bancos de investimentos. (LVARES; GIACOMETI; GUSSO, 2008). Weill e Ross (2006, p.4) afirmam que a gravidade dos impactos financeiros destes escndalos diminuiu a confiana dos investidores e aumentou a preocupao das empresas em proteger seus stakeholders. Rosenau (2000, p. 15, apud Gonalves 2010) destaca que governana no o mesmo que governo, pois a governana se refere a atividades apoiadas em objetivos comuns, que podem ou no derivar de responsabilidades legais e formalmente prescritas e no dependem de nenhuma fora externa para que sejam aceitas e venam qualquer tipo de resistncia. J governo, o contrrio. O IBGC - Instituto Brasileiro de Governana Corporativa (2010), define que a Governana Corporativa o sistema pelo qual as sociedades so dirigidas e controladas envolvendo as melhores prticas e os relacionamentos entre o conselho, a auditoria, os acionistas e os stakeholders. lvares, Giacometi, Gusso (2008), afirmam que a necessidade e a busca do fortalecimento de economias de mercado em todos os pases, fizeram com que a governana corporativa seja definida como fator diferenciador para atrair investimentos, tanto pblicos como privados. Os princpios e praticas da boa Governana Corporativa aplicam-se a qualquer tipo de organizao, independente do porte, natureza jurdica ou tipo de controle. (IBGC, 2010). Por possibilitar maior controle e confiabilidade a Governana Corporativa permite que as empresas, independente de seu porte, possam atrair investidores para seus negcios, pois, a transparncia e a organizao dos processos, motiva os acionistas

19

a apostarem e a investirem cada vez mais na empresa, pois conseguem ver, de forma clara o ROI (Return Of Investiment).

Figura 1 Sistema de Governana Corporativa Fonte: IBGC (2010)

Na figura 1, pode-se ver como funciona a estrutura do sistema de Governana das organizaes, divididos em: Propriedade (Scios) Conselho de Administrao Gesto Auditoria Independente Conselho Fiscal Conduta e Conflito de Interesses

20

lvares, Giacometi, Gusso (2008), enfatizam que a boa governana est calcada em princpios que inspiram e norteiam o funcionamento das empresas e outras organizaes, lhes propiciando maior credibilidade e criao de valor, sendo fundamental a adoo de princpios slidos e consagrados. O IBGC (2010) define os princpios bsicos de Governana Corporativa, como sendo: Transparncia, que a obrigao de informar e disponibilizar para as partes interessadas as informaes que sejam de seus interesses. Uma transparncia adequada resulta em um clima de confiana. Equidade, que se caracteriza pelo tratamento justo de todos os scios e stakeholders. Prestao de contas, no ingls chamado de accountability, que define que todos os agentes de governana devem prestar contas de seus atos e assumir toda e qualquer conseqncia dos mesmos. Responsabilidade Corporativa, onde determina que os agentes de

governana devem zelar pela sustentabilidade das organizaes. Segundo lvares, Giacometi, Gusso (2008), o desenvolvimento e o fortalecimento do mercado de capitais no mundo inteiro, influencia positivamente a adoo de prticas de Governana Corporativa. Andrade e Rossetti (2010) afirmam que a fora maior que d sustentao ao processo de adoo de GC a transio para esta nova era, onde formas viciadas de financiamento dos investimentos estaro superadas, assim como os modos questionveis da alta gesto. Embora a Governana Corporativa tenha nascido com o propsito de fornecer maior transparncia nas empresas de capital aberto, ela hoje entendida como fator fundamental para o controle de qualquer organizao, pois proporciona a estrutura que possibilita o estabelecimento dos objetivos da sociedade e a forma cumpri-los e supervision-los.

21

1.1.

Governana Corporativa no Brasil

Segundo lvares, Giacometi, Gusso (2008), os modelos de GC foram criados a partir das diferentes caractersticas e concepes dos mais variados sistemas de GC mundial. Os padres concebidos nos Estados Unidos, Inglaterra, Alemanha e Japo os modelos que exportaram caractersticas para todos os outros pases, sendo: Modelo americano e ingls baseado no mercado; Modelo alemo e japons tendo como estrutura central os bancos. Victria (2010), caracteriza as diferenas entre os modelos acima conforme o quadro 1:
Sistema Anglo-Saxo (modelo americano e ingls) Participao acionria pulverizada Estrutura de controle externo empresas com grande nmero de acionistas, estruturas de controle diludas. Alta liquidez Criao de valor voltada para os acionistas Sistema Nipo-germnico (modelo alemo e japons) Maior concentrao acionria Estrutura de controle interno pequeno grupo de acionistas detm maior parte das aes, estruturas de poder concentradas Baixa liquidez Buscam equilbrio entre o interesse dos acionistas e outros grupos interessados na empresa Nvel de transparncia pouco a cima do legal Estrutura de capital destacam-se empresas financiadas por meio de emprstimos e financiamentos de credores

Exige um nvel elevado de transparncia Estrutura de capital predomina empresas financiadas com recursos de acionistas (capital prprio)

O mercado de capitais ativo e desenvolvido responsvel pelo monitoramento da administrao das empresas O conflito de interesse ocorre entre administrao e acionistas.

Mercado de capitais menos lquidos e desenvolvidos, os investidores institucionais no tm papel ativo O conflito da agncia acontece entre acionistas controladores e acionistas minoritrios.

Quadro 1 Comparativo entre modelos de GC mundial Fonte: Adaptado de Victria (2010).

Por meio do quadro 1, pode-se observar que os modelos apresentam definies ajustadas conforme as caractersticas de cada pas de origem, tanto histricas e culturais quanto legais e econmicas.

22

Victria (2010) aponta que devido ao fenmeno da globalizao, uma certa convergncia entre os dois sistemas acontece, quando o modelo nipo-germnico adota caractersticas do anglo-saxo e vice-versa. No Brasil no tende a ser muito diferente, pois estamos diretamente envolvidos com todos estes pases e tambm globalizao. Segundo o IBGC (2010), nos ltimos cinco anos, houveram uma srie de mudanas no ambiente organizacional brasileiro, entre os mais importantes esto: Renascimento do mercado de capitais; Grande nmero de novas empresas listando seu capital na Bolsa de valores; Aparecimento de empresas com capital disperso e difuso; Fuses e aquisies de grandes companhias; Reveses empresariais de veteranas e novatas; Crise econmica mundial. Todos estes fatores reforaram a necessidade da implementao das boas prticas de Governana Corporativa, inclusive, no ambiente brasileiro. Segundo lvares, Giacometi, Gusso (2008), o modelo de GC da Empresa Brasileira est alinhado com a filosofia da Fundao Dom Cabral (FDC), que a de contribuir para o desenvolvimento da sociedade por meio da educao e capacitao de executivos, empresrios e empresas. A concepo de GC da FDC est em algumas premissas, dentre elas, podemos destacar (lvares, Giacometi, Gusso, 2008, p.53): O objetivo das corporaes proporcionar retornos aos proprietrios; O conceito de valor da empresa est associado capacidade de gerao de caixa de forma sustentvel no longo prazo; O atendimento dos interesses dos acionistas e investidores condio fundamental para atender aos demais stakeholders; A evidncia de que boas prticas de governana contribuem para a gerao de valor para os acionistas e para a sociedade;

23

A avaliao do estgio de maturidade e eficcia das prticas proporciona um diagnstico mais prximo da realidade se feito por meio de entrevistas estruturadas com mltiplos agentes. Com base nestas informaes, nota-se que a adeso s melhores prticas de governana corporativa tem avanado, e no Brasil, o que se observa tambm, principalmente nas novas condies que vm se estabelecendo nestes ltimos anos.

1.2.

Governana de TI

A Governana de TI parte integrante da Governana Corporativa. A necessidade em avaliar a TI, gerenciar seus riscos e ter maior controle, so fatores de grande importncia e participao na governana corporativa. Weill e Ross (2006, p.8) afirma que para governar a TI, necessrio primeiramente aprender muito com uma boa governana financeira e corporativa. Valor, risco e controle constituem a essncia da governana de TI. COBIT 4.1 (2010, p. 7).

Governana Corporativa

Governana de TI

Figura 2 Relao Governana Corporativa e Governana de TI Fonte: Elaborado pelos autores

24

O COBIT 4.1 (2010) identifica que na maioria das organizaes, a tecnologia e a informao so os bens mais valiosos, porm muitas vezes o menos compreendido. Governana de TI a especificao dos direitos decisrios e do framework de responsabilidades para estimular comportamentos desejveis na utilizao de TI. (Weil e Ross, 2006, p8). J o COBIT 4.1 (2010) define Governana de TI como sendo as estruturas organizacionais e os processos o que garante que a TI da empresa sustentar e estender as estratgias e objetivos da organizao. [..] a governana de TI integra e institucionaliza boas prticas para garantir que a rea de TI da organizao suporte os objetivos de negcios. (COBIT 4.1, 2010, p. 7). Segundo Weil e Ross (2006, p8), a administrao o processo de tomar e implementar decises, j a governana quem determina quem toma as decises. Esta definio j pode ser tida como uma das principais questes referentes Governana de TI: Quais decises devem ser tomadas e quem tem

responsabilidade em tom-las? Fernandes e Abreu (2008, p. 14) concluem que a Governana de TI busca o compartilhamento de decises de TI com os demais dirigentes da organizao, assim como tambm estabelece as regras, a organizao e os processos que nortearo o uso da tecnologia. Com base nestas definies, pode-se concluir que o principal objetivo da Governana de TI alinhar a TI com os requisitos de negcio da Organizao. Muito se fala sobre o alinhamento estratgico entre os negcios e a TI e para melhor compreenso, importante entender o que significa alinhamento estratgico. Segundo Fernandes e Abreu (2008), o alinhamento estratgico de negcios e TI visa transformar a estratgica de negcio em estratgias e aes de TI, que garantam que os objetivos de negcio sejam apoiados.

25

Este alinhamento deve considerar todos os princpios de TI, que podem ser definidos como (Weil & Ross e Broadbent & Kitzis, apud Fernandes e Abreu, 2008): Papel da TI para a empresa; Informaes e dados; Padres de arquitetura e servios de TI; Comunicaes; Ativos de TI. Weil e Ross (2006) criaram uma relao entre as cinco decises mais comuns de TI relacionados arqutipos para identificar o tipo de pessoa envolvida para tomar uma deciso de TI. Eles utilizaram arqutipos polticos provocativos, pois, a maioria dos administradores se identifica com estes esteretipos. Em seus estudos Weil e Ross (2006) definem que uma das principais incgnitas da Governana de TI estabelecer quem toma qual deciso. Porm, com base nas definies de cada arqutipo, pode-se pr-estabelecer os nveis de responsabilidade decisria de alguns arqutipos, conforme o quadro 2 abaixo:
Estratgia de Deciso Arqutipo Monarquia de negcio Monarquia de TI Feudalismo Federalismo Duoplio Anarquia No se sabe X Quadro 2 Matriz de arranjos de governana Fonte: Adaptado de Weil e Ross (2006, p.12) X X X X X Princpios de TI Arquitetura de TI infraestrutura de TI

Necessidades de aplicaes de negcio

Investimentos em tI

Os arqutipos podem ser identificados como:

26

Monarquia de negcio. Altos gerentes que tomam decises que afetam a empresa como um todo, decises-chave, como por exemplo as de investimentos em TI. Monarquia de TI. Profissionais e especialistas de TI. As monarquias de TI podem ser implementadas de diversas maneiras, porm todas relacionadas ao que diz respeito arquitetura de TI e estratgias de infra-estrutura. Feudalismo. Cada unidade de negcio toma suas decises individualmente. Por este fato, fica difcil relacionar com uma nica responsabilidade decisria e no facilita a tomada de deciso da empresa como um todo. Federalismo. Seria a combinao entre o centro corporativo e as unidades de negcio independentes. Este sem sombra de dvidas o mais difcil arqutipo para a tomada de decises. Duoplio. Arranjo entre duas partes onde as decises representam um consenso bilateral. Normalmente feito pelo grupo de TI e algum outro grupo (alta gerncia ou lderes de unidades de negcio). Arqutipo de difcil relacionamento com uma determinada tomada de deciso. Anarquia. Decises tomadas com base apenas em necessidades locais. Arqutipo de difcil relacionamento com uma determinada tomada de deciso. Por meio das anlises acima, pode-se notar que os princpios de TI e a necessidade de aplicaes de negcio so fatores decisrios, que, no possuem nenhum arqutipo diretamente relacionado e por isto, tornam-se um dos principais desafios da Governana de TI. Alm deste, a Governana de TI possui outros desafios, tais como: Manter a TI em funcionamento; Relao entre custos e benefcios; Conformidade com leis e regulamentos; Preocupao com a segurana; Concluso dos projetos dentro dos prazos estipulados. Uma Governana de TI bem implementada, controlada, medida e avaliada ter como grandes resultados a maior transparncia das informaes, servios de tecnologia mais confiveis, confiana da alta gerncia e melhor retorno de investimento.

27

Para a implementao da Governana de TI alguns frameworks de apoio consagrados so utilizados, pois, tem por objetivo estabelecer as melhores prticas de governana para qualquer organizao, independente do seu porte. Um exemplo destes frameworks o COBIT, que foi utilizado como ferramenta para elaborao deste trabalho e durante o desenvolvimento desta pesquisa se encontra na verso 4.1.

1.2.1. Princpios de liderana para Governana de TI

Para Weill e Ross (2006) com bases nos seus estudos, definem os dez princpios mais importantes de liderana para governana de TI: Formule ativamente a governana: exige que os executivos seniores assumam a liderana e dediquem recursos, ateno e suporte a processos. Formular a governana dar sustentabilidade ao processo de governana como um todo e ser capaz de liderar times que vo de encontro com os objetivos e metas estabelecidas pela organizao. Saiba quando reformular: repensar a estrutura da governana requer que indivduos aprendam novos papis e relacionamentos. Aprender leva tempo. Por isso, a reformulao da governana deve ser infreqente. Entender como funciona a estrutura da governana na organizao e saber identificar se eventuais mudanas so necessrias, so tarefas que devem ser pensadas com extrema importncia em projetos destes tipos. O lder tem que analisar e prover com transparncia qualquer tipo de mudana no ambiente, para que o mesmo no se cause caos e sempre siga no caminho dos objetivos da empresa. Envolva os administradores seniores: CIOs devem ser efetivamente envolvidos na governana de TI para haver sucesso. Outros administradores

28

seniores devem tomar parte de comits, nos processos de aprovao e nas avaliaes de desempenho. O envolvimento de todos da gerncia visa agregar valor governana TI, envolvendo-se basicamente em decises estratgicas. Outro ponto

importante saber como contribuir, por isso sempre importante saber as responsabilidades de cada envolvido. Faa escolhas: a boa governana, como boa estratgia, requer escolhas. No possvel que a Governana de TI atenda a todas as metas, mas a governana pode e deve revelar metas conflitantes para debate. Administrar estes conflitos importante na organizao para que se chegue a um nico objetivo. Metas conflitantes podem gerar interpretaes diferentes, e por meio disso, prejudicar a governana de TI na empresa, para isso, a administrao de conflitos se torna uma ferramenta primordial para chegar a uma soluo. Esclarea o processo de tratamento de excees: pelas excees que as empresas aprendem. Em termos de TI, as excees desafiam o status quo, particularmente a arquitetura e a infra-estrutura de TI. Algumas solicitaes de exceo so frvolas, mas a maioria decorre de um desejo legtimo de atender s necessidades do negcio. Definir um processo para tratamento de excees visa estabelecer regras e devem ser analisadas com critrios, pois podem acrescentar valor ao negcio e impactar diretamente TI. Oferea os incentivos certos: sistema de incentivo e recompensa nas empresas est bem tratado e compreendido. A governana de TI deve ter polticas bem definidas na questo de incentivo, alm disso, deve estar bem alinhada com a prpria governana. Atribua a propriedade e a responsabilidade pela Governana de TI: como toda iniciativa organizacional, a Governana de TI deve ter um dono e envolver

29

responsabilidades. Em ltima instncia, o conselho responsvel por toda a governana, mas ele presumir ou nomear um indivduo ou um grupo responsvel pela formulao, implementao e desempenho da Governana de TI. A governana de TI deve ter dono(s), para que este grupo ou pessoal responsvel seja o ponto focal para a disseminao do projeto de governana. Este pronto focal deve estar em constante dilogo com os setores envolvidos da empresa. Formule a governana em mltiplos nveis organizacionais: em empresas de grande porte mltiplas unidade de negcio necessrio considerar a Governana de TI em vrios nveis. Dividir em nveis organizacionais em empresas de grande porte pode ser um facilitador para que a governana chegue ao seu objetivo. Nesta diviso, importante que os nveis superiores devam prover condies de trabalho para nveis inferiores. Proporcione transparncia e educao: quanto maior for a transparncia dos processos de governana, maior ser a confiana na governana. Transparncia em processos significa um maior entendimento do mesmo e conseqentemente, um maior nmero de seguidores deste processo. Implemente mecanismos comuns entre os seus ativos principais: empresas que usam os mesmos mecanismos para governar mais de um dos seis ativos principais tm melhor governana. Por exemplo, comits executivos que tratam de todas as questes da empresa, inclusive a TI, criam sinergias considerando mltiplos ativos.

30

2. COBIT

O COBIT (Control Objectives for Information and related Technology) uma melhor prtica disponvel no mercado para rea de governana de Tecnologia da Informao. Segundo Fernandes e Abreu (2008), o framework foi criado em 1994 pela ISACF (Information Systems Audit and Control Foundation) a partir do seu conjunto inicial de objetivos de controle e vem evoluindo atravs da incorporao de padres internacionais tcnicos, profissionais, regulatrios e especficos para processos de TI. Em 1998, foi publicada a sua segunda edio, contendo uma reviso nos objetivos de controle de alto nvel e detalhados, e mais um conjunto de ferramentas e padres para implementao. A terceira edio foi publicada em 2000 com o objetivo de promover um melhor entendimento e a adoo dos princpios de Governana de TI. O modelo evoluiu em 2005 para a verso 4.0 atravs de prticas e padres mais maduros (COSO, ITIL e ISSO/IEC 17799). Em 2007 houve uma atualizao incremental (verso 4.1) cujo foco foi orientado a uma maior eficcia dos objetivos de controle e dos processos de verificao e divulgao de resultados. O modelo j tem quase duas dcadas e ao longo desse tempo, foi revisado pelos rgos criadores e est em constante evoluo para se aderir s melhores prticas que vem surgindo no mercado mundial. Segundo COBIT 4.1 (2010), os pilares em que as boas prticas COBIT sustentam a Governana de TI so: Alinhamento Estratgico Entrega de valor Gesto de Recursos Gesto de Risco Mensurao de Desempenho

31

Figura 3 - rea foco do COBIT Fonte: COBIT 4.1 (2010)

2.1.

Alinhamento Estratgico

Para Fernandes e Abreu (2008), o alinhamento estratgico garante a ligao entre o plano de negcio e o plano de TI. Alinhamento estratgico foca em garantir a ligao entre os planos de negcios e TI, definindo, mantendo e validando a proposta de valor de TI, alinhando as operaes de TI com as operaes da organizao (COBIT 4.1, 2010, p.08). Esta rea foco na governana de TI visa alinhar os planos, estratgico e de TI, com intuito de a TI estar totalmente aderente aos objetivos de negcio da organizao, ou seja, TI tem que estar preparada para que qualquer requisito de negcio no seja um problema para TI propriamente dita, nem tampouco ser um impasse para que o negcio evolua. O alinhamento estratgico visa agregar valor aos produtos e servios da empresa, auxilia no posicionamento competitivo da organizao alm de ajudar no uso otimizado dos recursos.

32

2.2.

Entrega de Valor

Para o COBIT 4.1 (2010, p.08), entrega de valor :


A execuo da proposta de valor de TI atravs do ciclo de entrega, garantindo que TI entrega os prometidos benefcios previstos na estratgia da organizao, concentrando em otimizar custos e provendo o valor intrnseco de TI.

Nesta rea foco perceptvel o principal objetivo da TI executar e garantir a entrega dos servios que atendem os requisitos de negcio, fazendo com que a TI cumpra seu papel na estratgia da organizao. A entrega com qualidade em conjunto de prazo e custo bem definidos se torna princpios bsicos desta rea. Pode-se entender que estes princpios so: vantagem competitiva, satisfao do cliente, produtividade, entre outros.

2.3.

Gesto de Recursos

Segundo Fernandes e Abreu (2008, p.176), gesto de recursos :


Otimizao dos investimentos e da gesto adequada dos recursos crticos de TI (aplicaes, informaes, infra-estrutura e pessoas), essenciais para fornecer os subsdios de que a empresa necessita para cumprir os objetivos.

COBIT4.1 (2010, p.08) define gesto de recursos como:


Refere-se melhor utilizao possvel dos investimentos e o apropriado gerenciamento dos recursos crticos de TI: aplicativos, informaes, infraestrutura e pessoas. Questes relevantes referem-se otimizao do conhecimento e infra-estrutura.

Gesto de Recursos a utilizao eficiente dos recursos de TI citada anteriormente, com objetivo de cumprir as necessidades e requisitos da organizao. Gerir recursos

33

pode-se entender como maximizar a utilizao dos ativos de TI e conseqentemente otimizar os custos relacionados aos mesmos. TI deve assegurar que existe capacidade suficiente de seus recursos para atender e suportar o negcio e desta forma, terceirizar pode ser um soluo para rea de TI para suportar a velocidade da mudana que a organizao exige.

2.4.

Gesto de Risco

Para o COBIT 4.1 (2010, p.08), gesto de risco:


[...] requer a preocupao com riscos pelos funcionrios mais experientes da corporao, um entendimento claro do apetite de risco da empresa e dos requerimentos de conformidade, transparncia sobre os riscos significantes para a organizao e insero do gerenciamento de riscos nas atividades da companhia.

Gerenciar riscos fundamental para qualquer organizao no mundo atual, porm deve-se estar preparado para tal misso. Riscos sistmicos, de informao, tecnolgicos so exemplos prticos que a rea de TI tem que dar ateno e proteo para que a rea de negcio flua normalmente. Para esta rea foco, a preservao dos ativos de TI uma regra que deve ser seguida, para isso, o entendimento sobre os riscos, seus impactos e probabilidades so de extrema importncia para a organizao, alm disso, ter um plano de ao auxilia a empresa a gerenciar estes riscos de forma controlada, tranqila e muito segura.

2.5.

Mensurao de Desempenho

Segundo COBIT 4.1 (2010, p.08), mensurao e desempenho:

34

[...]acompanha e monitora a implementao da estratgia, trmino do projeto, uso dos recursos, processo de performance e entrega dos servios, usando, por exemplo, balanced scorecards que traduzem as estratgia em aes para atingir os objetivos, medidos atravs de processos contbeis convencionais.

Esta rea foco tem como objetivo o acompanhamento e monitorao da implementao da estratgia, dos projetos em andamento da organizao, da utilizao dos recursos, entrega de servios entre outros atravs de medies e extrao de indicadores de desempenho.

2.6.

Princpios bsicos do COBIT

O COBIT visa ter um maior alinhamento entre as reas de negcio e tecnologia da informao para que os stakeholders possam ser atendidos e abastecidos de informaes importantes para o sucesso da organizao, alm disso, fornece indicadores de desempenho para identificar se a empresa est caminho daquilo que foi planejado. O modelo totalmente voltado para o negcio e est baseado nos seguintes princpios:

35

Figura 4 - Princpios bsicos do COBIT Fonte: COBIT 4.1 (2010)

Os servios que fornecem informaes necessrias para que a organizao atinja seus objetivos so disponibilizados atravs de um conjunto de processos de TI que utilizam recursos de TI. (Fernandes e Abreu, 2008, p.177). Para assegurar o alinhamento da TI com os requisitos de negcios, o modelo COBIT prev o gerenciamento e controle da informao. Essas informaes necessitam ter critrios de controles, aos quais so definidos pelo COBIT 4.1 (2010) como: Efetividade lida com a informao relevante e pertinente para o processo de negcio bem como a mesma sendo entregue em tempo, de maneira correta, consistente e utilizvel. Eficincia relaciona-se com a entrega da informao atravs do melhor (mais produtivo e econmico) uso dos recursos. Confidencialidade est relacionada com a proteo de informaes confidenciais para evitar a divulgao indevida. Integridade relaciona-se com a fidedignidade e totalidade da informao bem como sua validade de acordo os valores de negcios e expectativas.

36

Disponibilidade relaciona-se com a disponibilidade da informao quando exigida pelo processo de negcio hoje e no futuro. Tambm est ligada salvaguarda dos recursos necessrios e capacidades associadas. Conformidade lida com a aderncia a leis, regulamentos e obrigaes contratuais aos quais os processos de negcios esto sujeitos, isto , critrios de negcios impostos externamente e polticas internas. Confiabilidade relaciona-se com a entrega da informao apropriada para os executivos para administrar a entidade e exercer suas responsabilidades fiducirias e de governana. A informao que transita dentro da organizao tem que ter critrios de aceite, conforme prope o modelo COBIT, pois atravs da mesma, os gestores da empresa podem tomar decises estratgicas e escolher rumos diferentes para a organizao.

2.7.

Domnios do COBIT

COBIT 4.1 (2010) divide o framework COBIT em 4 (quatro) domnios: Planejar e Organizar (PO): Prov direo para entrega de solues (AI) e entrega de servios (DS); Adquirir e Implementar (AI): Prov solues e as transfere para tornarem-se servios; Entregar e Suportar (DS): Recebe as solues e as torna possveis de uso pelo usurios finais. Monitorar e Avaliar (ME): Monitora todos os processos para garantir que a direo seja seguida.

37

Figura 5 Cubo COBIT Fonte: COBIT 4.1 (2010)

2.7.1 Planejar e Organizar

Para Fernandes e Abreu (2008, p.178) planejar e organizar:


[...] tm abrangncia estratgica e ttica e identifica as formas atravs das quais TI pode contribuir melhor para o atendimento dos objetivos de negcio, envolvendo planejamento, comunicao e gerenciamento em diversas perspectivas.

Para COBIT 4.1 (2010, p.14):


[...] cobre a estratgia e as tticas, preocupando-se com a identificao da maneira em que TI pode melhor contribuir para atingir os objetivos de negcios. O sucesso da viso estratgica precisa ser planejado, comunicado e gerenciado por diferentes perspectivas. Uma apropriada organizao bem como uma adequada infra-estrutura tecnolgica devem ser colocadas em funcionamento.

38

O planejamento e organizao so requisitos fundamentais para qualquer organizao que tem objetivos bem definidos. COBIT 4.1 (2010), este domnio visa auxiliar no alinhamento da estratgia de TI com a de negcios, analisar se a empresa est obtendo um uso eficiente de seus recursos, deixar claro os objetivos de TI, entre outros. COBIT 4.1 (2010) divide este domnio em 10 processos e os define como: PO1 Definir um plano estratgico de TI: necessrio para gerenciar todos os recursos de TI em alinhamento com as prioridades e estratgias de negcio. O plano estratgico deve melhorar o entendimento das partes interessadas no que diz respeito a oportunidades e limitaes da TI, avaliar o desempenho atual e esclarecer o nvel de investimento requerido. A estratgia e as prioridades de negcio devem ser refletidas nos portflios e executadas por meio de planos tticos de TI que estabeleam objetivos concisos, tarefas e planos bem definidos e aceitos por ambos, negcio e TI. PO2 Definir a arquitetura da informao: Esse processo melhora a qualidade de deciso do gerenciamento certificando-se de que informaes seguras e confiveis sejam fornecidas e permite racionalizar os recursos de sistemas de informao para atender s estratgias de negcio de forma apropriada. Esse processo de TI tambm necessrio para permitir um maior grau de responsabilizao pela integridade e a segurana dos dados e melhorar a efetividade e o controle do compartilhamento da informao atravs das aplicaes e entidades. PO3 Determinar direo tecnolgica: Os responsveis pelos servios de informao determinam um direcionamento tecnolgico que suporta o negcio. Isso demanda a criao de um plano de infra-estrutura tecnolgica e um conselho de arquitetura que estabelea e gerencie expectativas claras e realistas do que a tecnologia pode oferecer em termos de produtos, servios e mecanismos de entrega. PO4 Definir os processos, organizao e relacionamento de TI: Uma organizao de TI definida considerando os requisitos de pessoal, habilidades, funes, autoridade, papis e responsabilidades, rastreabilidade e superviso. Um comit estratgico deve assegurar a superviso da Direo

39

de TI, e um ou mais comits dos quais as reas de negcio e TI participem devem definir a priorizao dos recursos de TI em linha com as necessidades do negcio. PO5 Gerenciar o investimento em TI: Estabelecer e manter uma estrutura para gerenciar os programas de investimentos em TI que contemple custos, benefcios, prioridade dentro do oramento, um processo formal de definio oramentria e gerenciamento de acordo com o oramento. PO6 Comunicar objetivos e direcionamentos gerenciais: A Direo deve desenvolver uma estrutura de controle de TI corporativo e definir e comunicar polticas. Um programa de comunicao contnuo aprovado e apoiado pela Direo deve ser implementado para articular misso, metas, polticas, procedimentos etc. PO7 Gerenciar os recursos humanos: Adquirir, manter e motivar uma fora de trabalho competente para criar e entregar servios de TI para o negcio. Isso alcanado seguindo prticas definidas e acordadas de recrutamento, treinamento, avaliao de desempenho, promoo e desligamento. PO8 Gerenciar qualidade: Um sistema da gesto da qualidade deve ser desenvolvido, mantido, e que inclua padres e processos comprovados de desenvolvimento e aquisio. Isso feito atravs de planejamento, implementao e manuteno de um sistema de gesto de qualidade que gere requisitos, procedimentos e polticas de qualidade claros. Requisitos de qualidade devem ser definidos e comunicados em indicadores quantificveis e atingveis. A melhoria contnua pode ser alcanada por constante

monitoramento, anlise e atuao sobre desvios e na comunicao dos resultados s partes interessadas. PO9 Avaliar e gerenciar riscos de TI: Este processo documenta um nvel comum e acordado de riscos de TI, estratgias de mitigao e riscos residuais. Qualquer impacto em potencial nos objetivos da empresa causado por um evento no planejado deve ser identificado, analisado e avaliado. Estratgias de mitigao de risco devem ser adotadas para minimizar o risco residual a nveis aceitveis. PO10 Gerenciar projetos: Este processo deve assegurar a correta priorizao e a coordenao de todos os projetos. O processo deve incluir um

40

plano mestre, atribuio de recursos, definio dos resultados a serem entregues, aprovao dos usurios, uma diviso por fases de entrega, garantia da qualidade, um plano de teste formal e uma reviso psimplementao para assegurar a gesto de risco do projeto e a entrega de valor para o negcio.

2.7.2 Adquirir e Implementar

Para Fernandes e Abreu (2008, p.178) adquirir e implementar:


[...] cobre a identificao, desenvolvimento e/ou aquisio de solues de TI para executar a estratgia de TI estabelecida, assim como a sua implementao e integrao junto aos processos de negcio. Mudanas e manutenes em sistemas existentes tambm esto cobertas por este domnio, para garantir a continuidade dos respectivos ciclos de vida.

COBIT 4.1 (2010) divide este domnio em 7 processos e os define como: AI1 Identificar solues automatizadas: A necessidade de uma nova aplicao ou funo requer uma anlise prvia aquisio ou ao desenvolvimento para assegurar que os requisitos de negcio sejam atendidos atravs de uma abordagem eficaz e eficiente. Este processo contempla a definio das necessidades, considera fontes alternativas, a reviso de viabilidade econmica e tecnolgica, a execuo das anlises de risco e de custo-benefcio e a obteno de uma deciso final por desenvolver ou comprar. AI2 Adquirir e manter software: As aplicaes devem ser disponibilizadas em alinhamento com os requisitos do negcio. Este processo contempla o projeto das aplicaes, a incluso de controles e requisitos de segurana apropriados, o desenvolvimento e a configurao de acordo com padres. AI3 Adquirir e manter infra-estrutura tecnolgica: este processo requer uma abordagem planejada de aquisio, manuteno e proteo da infra-estrutura

41

em alinhamento com as estratgias tecnolgicas acordadas e o fornecimento de ambientes de desenvolvimento e teste. AI4 Viabilizar operao e utilizao: Este processo requer a elaborao de documentao e manuais para usurios e para TI e a promoo de treinamentos para assegurar a operao e uso apropriado das aplicaes e infra-estrutura. AI5 Adquirir recursos de TI: Recursos de TI, incluindo pessoas, hardware, software e servios precisam ser adquiridos. Isso requer a definio e a aplicao de procedimentos de aquisio, a seleo de fornecedores, o estabelecimento de arranjos contratuais e a aquisio propriamente dita. AI6 Gerenciar mudanas: Todas as mudanas, incluindo manutenes e correes de emergncia, relacionadas com a infra-estrutura e as aplicaes no ambiente de produo so formalmente gerenciadas de maneira controlada. As mudanas (incluindo procedimentos, processos, parmetros de sistemas e de servio) devem ser registradas, avaliadas e autorizadas antes da implementao e revisadas em seguida, tendo como base os resultados efetivos e planejados. AI7 Instalar e aprovar solues e mudanas: Novos sistemas precisam ser colocados em operao uma vez concludo seu desenvolvimento. necessria a realizao de testes apropriados em um ambiente dedicado, com dados de teste relevantes, definio de instrues de implantao e migrao, planejamento de liberao e mudanas no ambiente de produo e uma reviso ps-implementao.

2.7.3 Entregar e Suportar

[...] cobre a entrega propriamente dita dos servios requeridos, incluindo gerenciamento de segurana e continuidade, suporte aos servios para os usurios, gesto de dados e da infra-estrutura operacional.(Fernandes e Abreu, 2008, p.179). COBIT 4.1 (2010) divide este domnio em 13 processos e os define como:

42

DS1 Definir e gerenciar nveis de servio: Este processo tambm inclui monitoramento e relatrio oportuno s partes interessadas quanto ao atendimento dos nveis de servio. Este processo permite o alinhamento entre os servios de TI e os respectivos requisitos do negcio. DS2 Gerenciar servios terceirizados: Esse processo realizado definindose claramente os papis, responsabilidades e expectativas nos acordos de terceirizao bem como revisando e monitorando tais acordos quanto efetividade e conformidade. A gesto eficaz dos servios terceirizados minimiza os riscos de negcio associados aos fornecedores que no cumprem seu papel. DS3 Gerenciar desempenho e capacidade: Esse processo inclui a previso de necessidades futuras com base em requisitos de carga de trabalho, armazenamento e contingncia. Esse processo assegura que os recursos de informao que suportam os requisitos do negcio estejam sempre disponveis. DS4 Garantir a continuidade dos servios: Prover a continuidade dos servios de TI requer o desenvolvimento, manuteno e teste de um plano de continuidade de TI, armazenamento de cpias de segurana (backup) em instalaes remotas (offsite) e realizar treinamentos peridicos do plano de continuidade. DS5 Garantir segurana dos sistemas: Esse processo inclui o

estabelecimento e a manuteno de papis, responsabilidades, polticas, padres e procedimentos de segurana de TI. A gesto de segurana inclui o monitoramento, o teste peridico e a implementao de aes corretivas das deficincias ou dos incidentes de segurana. DS6 Identificar e alocar recursos: Este processo contempla a construo e a operao de um sistema para capturar, alocar e reportar os custos de TI aos usurios dos servios. Um sistema de alocao justo permite empresa tomar decises mais embasadas sobre o uso dos servios. DS7 Educar e treinar usurios: A educao efetiva de todos os usurios de sistemas de TI, inclusive daqueles dentro da prpria TI, requer a identificao das necessidades de treinamento de cada grupo de usurio. Como complemento identificao dessas necessidades, esse processo

43

compreende a definio e a execuo de uma estratgia eficaz de treinamento e medio dos resultados. DS8 Gerenciar central de servios e incidentes: Esse processo inclui a implementao de uma central de servios capacitada para o tratamento de incidentes, incluindo registro, encaminhamento, anlise de tendncias, anlise de causa-raiz e resoluo. DS9 Gerenciar configurao: Esse processo inclui a coleta inicial das informaes de configurao, o estabelecimento de um perfil bsico, a verificao e a auditoria das informaes de configurao e a atualizao do repositrio de configurao conforme necessrio. DS10 Gerenciar problemas: O processo de gerenciamento de problemas contempla a identificao de recomendaes para melhoria, manuteno dos registros de problemas e reviso da situao das aes corretivas. Um processo efetivo de gerenciamento de problemas melhora os nveis de servio, reduz os custos e aumenta a convenincia e a satisfao do cliente. DS11 Gerenciar dados: O processo de gerenciamento de dados contempla o estabelecimento de procedimentos efetivos para controlar a biblioteca de mdia, cpia de segurana (backup), recuperao de dados e a dispensa de mdias de forma adequada. DS12 Gerenciar o ambiente fsico: O processo de gerenciamento do ambiente fsico inclui a definio dos requisitos do local fsico, a escolha de instalaes apropriadas, o projeto de processos eficazes de monitoramento dos fatores ambientais e o gerenciamento de acessos fsicos. DS13 Gerenciar operaes: Este processo inclui a definio de polticas e procedimentos de operaes para o gerenciamento eficaz do processamento agendado, proteo de resultados sigilosos, monitoramento de infra-estrutura e manuteno preventiva de hardware.

2.7.4 Monitorar e Avaliar

44

Para Fernandes e Abreu (2008, p.179) monitorar e avaliar:


[...] visa assegurar a qualidade dos processos de TI, assim como a sua governana e conformidade com os objetivos de controle, atravs de mecanismos regulares de acompanhamento, monitorao de controles internos e de avaliaes internar e externas.

COBIT 4.1 (2010) divide este domnio em 4 processos e os define como: ME1 Monitorar e avaliar o desempenho da TI: Esse processo inclui a definio de indicadores de desempenho relevantes, informes de desempenho sistemticos e oportunos e uma pronta ao em relao aos desvios encontrados. ME2 Monitorar e avaliar os controles internos: Esse processo inclui o monitoramento e reporte das excees de controle, dos resultados de autoavaliao e avaliao de terceiros. ME3 Assegurar conformidade com requisitos externos: Esse processo inclui identificar os requisitos de conformidade, otimizar e avaliar a resposta, assegurar que os requisitos sejam atendidos e integrar os relatrios de conformidade de TI com os das reas de negcios. ME4 Fornecer governana para TI: O estabelecimento de uma efetiva estrutura de governana envolve a definio das estruturas organizacionais, dos processos, da liderana, dos papis e respectivas responsabilidades para assegurar que os investimentos corporativos em TI estejam alinhados e sejam entregues em conformidade com as estratgias e os objetivos da organizao.

2.8.

Modelos de Maturidade

Segundo o COBIT 4.1 (2010), o modelo de maturidade para o gerenciamento e controle dos processos de TI baseado num mtodo de avaliar a organizao, permitindo que ela seja pontuada de um nvel de maturidade no-existente (0) a

45

otimizado (5). Este enfoque derivado do modelo de maturidade do Software Engineering Institute (SEI) definido para a maturidade da capacidade de desenvolvimento de software. Este modelo foi estabelecido em nveis e para cada um dos 34 processos, possvel aplicar este modelo. COBIT 4.1 (2010) define e conceitua estes cinco nveis como: 0 inexistente Completa falta de um processo reconhecido. A empresa nem mesmo reconheceu que existe uma questo a ser trabalhada. 1 inicial / Ad hoc Existem evidncias que a empresa reconheceu que existem questes e que precisam ser trabalhadas. No entanto, no existe processo padronizado; ao contrrio, existem enfoques Ad Hoc que tendem a ser aplicados individualmente desorganizado. 2 repetvel, porm intuitivo Os processos evoluram para um estgio onde procedimentos similares so seguidos por diferentes pessoas fazendo a mesma tarefa. No existe um treinamento formal ou uma comunicao dos procedimentos padronizados e a responsabilidade deixada com o indivduo. H um alto grau de confiana no conhecimento dos indivduos e conseqentemente erros podem ocorrer. 3 Processo definido Procedimentos foram padronizados, documentados e comunicados atravs de treinamento. mandatrio que esses processos sejam seguidos; no entanto, possivelmente desvios no sero detectados. Os ou caso-a-caso. O enfoque geral de gerenciamento

procedimentos no so sofisticados, porm, existe a formalizao das prticas existentes. 4 Gerenciado e Mensurvel A gerencia monitora e mede a aderncia aos procedimentos e adota aes onde os processos parecem no estar funcionando muito bem. Os processos esto debaixo de um constante aprimoramento e fornecem boas prticas. Automao e ferramentas so utilizadas de uma maneira limitada ou fragmentada.

46

5 otimizado Os processos foram refinados a um nvel de boas prticas, baseado no resultado de um contnuo aprimoramento e modelagem da maturidade como outras organizaes. TI utilizada como um caminho integrado para automatizar o fluxo de trabalho, provendo ferramentas para aprimorar a qualidade e efetividade, tornando a organizao rpida em adaptar-se. Segundo Fagundes (2004), a partir destes nveis o COBIT criou um roteiro: Onde a organizao est hoje O atual estgio de desenvolvimento da indstria (best-in-class) O atual estgio dos padres internacionais Aonde a organizao quer chegar

2.9.

Indicadores

Fernandes e Abreu (2008) demonstram, em trs nveis, o que o negcio espera da TI (metas de TI), o que o processo de TI precisa entregar para suportar os objetivos da TI (metas de processos) e o que precisa acontecer dentro do processo para que o desempenho requerido seja atingido (metas de atividades).

2.9.1 KGI Key Goal Indicators (Indicadores de metas ou objetivos)

Para Fagundes (2004) os indicadores de objetivos definem como sero mensurados os progressos das aes para atingir os objetivos da organizao. Segundo Fernandes e Abreu (2008), definem as medies que informam gerncia se um processo de TI atingiu os objetivos de negcio.

47

Para COBIT 4.1 (2010), so mensuraes que informam aos gerentes depois dos fatos se um processo de TI atingiu os requisitos de negcios, usualmente expresso em termos de critrio de informao. Podemos perceber que este indicador de meta so medidas pr-estabelecidas com o intuito de determinar se um processo de TI alcanou o requisito de negcio, em termos de critrio de informao. So medidas que refletem se foi atingida a meta e conforme Fagundes (2004) podem ser usualmente expressos nos seguintes termos: Disponibilidade das informaes necessrias para suportar as necessidades de negcios Riscos de falta de integridade e confidencialidade das informaes Eficincia nos custos dos processos e operaes Confirmao de confiabilidade, efetividade e conformidade das informaes. Exemplos reais de indicadores deste tipo: Aumento do Nvel de entrega de servio Nmero de clientes e custo por cliente atendido Aumento da produtividade Aderncia ao custo de desenvolvimento e prazo, etc.

2.9.2 KPI Key Performance Indicators (indicadores de desempenho)

Fagundes (2004) define indicadores de desempenho como medidas para determinar como os processos de TI esto sendo executados e se eles permitem atingir os objetivos planejados; so os indicadores que definem se os objetivos sero atingidos ou no; so os indicadores que avaliam as boas prticas e habilidades de TI.

48

Segundo Fernandes e Abreu (2008), definem as medies que informa gerncia o quanto os processos de TI esto sendo bem executados, no sentido de viabilizar o atendimento dos objetivos de negcio. Para COBIT 4.1 (2010), so mensuraes que determinam o andamento de um processo para permitir que um objetivo seja atingido. Eles so indicativos de tendncias futuras quanto a se um objetivo ser provavelmente atingido; so bons indicadores de capacidades, prticas e especializao. Medem os objetivos de atividades que so as medidas que os proprietrios de processos precisam tomar para um efetivo desempenho do processo. Indicadores de desempenho so medidas que determina o quanto os processos de TI conseguiram atingir as metas e objetivos. Alguns exemplos reais deste tipo de indicador so: Nmero de clientes de TI Custo por cliente de TI Satisfao dos clientes Produtividade da equipe Valor entregue por funcionrio Quantidade de erros e retrabalho, entre outros.

49

3. PROJETO

Este estudo de caso tem o objetivo de analisar e classificar as empresas de mdio porte de tecnologia sob a tica dos controles do COBIT.

3.1.

Resultados

A tabela 3 abaixo apresenta as respostas aos questionamentos, assim como os resultados da anlise realizada sobre os dados desta pesquisa. Os resultados obtidos propiciam um melhor entendimento dos nveis de maturidade de Governana de TI de cada uma das empresas, assim como compreender o grau de conhecimento e aplicao dos controles, tcnicas e boas prticas que suportam o framework COBIT.

Tabela 3 Tabulao das respostas e resultados obtidos Processo de Controle Gama 1 2 2 1 2 0 2 0 1 3 4

PO1. Sua empresa define um plano estratgico para a tecnologia da informao? PO2. A empresa define um plano para a arquitetura da informao? PO3. A empresa determina a direo tecnolgica? PO4. A empresa define os processos de TI, sua organizao e seus relacionamentos? PO5. Existe mecanismo de gerenciamento para os investimentos de TI? PO6. A empresa gerencia a comunicao das diretrizes de TI? PO7. Existe processo de gerenciamento dos recursos humanos de TI? PO8. Sua empresa gerencia a qualidade dos projetos de TI? PO9. Existem processos de avaliao e gerenciamento de risco? PO10. Sua empresa gerencia os projetos? AI1. A empresa identifica solues de automao?

3 1 2 1 3 2 1 1 1 1 3

Beta 0 2 1 2 1 0 1 1 3 2 3

Alfa

50

AI2. Sua empresa adquire e mantm software de aplicaes? AI3. Sua empresa adquire infra-estrutura tecnolgica e prov sua manuteno? AI4. Sua empresa desenvolve os procedimentos operacionais e prov sua manuteno? AI5. A empresa adquire os recursos de TI? AI6. A empresa gerencia mudanas? AI7. A empresa instala e certifica softwares e as mudanas? DS1. A empresa define e gerencia os acordos de nvel de servios? DS2. Sua empresa gerencia os servios de terceiros? DS3. Sua empresa gerencia a performance e a capacidade dos sistemas e do ambiente? DS4. Asseguram a continuidade dos servios? DS5. A empresa garante e assegura a segurana dos sistemas? DS6. Os custos so identificados e alocados? DS7. A empresa treina os usurios dos sistemas? DS8. A empresa faz o gerenciamento de incidentes e service desk? DS9. A empresa faz o gerenciamento de configurao? DS10. A empresa gerencia problemas? DS11. Existe gerenciamento para os dados? DS12. Gerencia a infra-estrutura fsica / ambiente? DS13. A empresa gerencia as operaes? ME1. A empresa monitora e avalia a performance de TI? ME2. A empresa monitora e avalia a adequao dos controles internos? ME3. A empresa garante conformidade com requerimentos externos empresa? ME4. A empresa aplica e prov mecanismos de governana de TI? Mdia: Mdia (arredondada): Tabela 3 Tabulao das respostas e resultados obtidos Fonte: Elaborado pelos autores

2 2 2 3 1 0 4 3 2 3 2 0 2 4 2 4 1 3 1 1 1 0 1 1,85 2

5 3 1 2 4 4 4 1 4 1 1 2 0 4 2 4 3 2 2 0 0 1 0 1,94 2

1 2 3 3 3 4 3 2 2 3 2 4 2 2 3 2 3 2 2 2 2 2 1 2,15 2

Com base na Tabela 3 - Tabulao das respostas e resultados obtidos, podemos determinar: 1. Para a empresa Alfa a mdia obtida foi de 1,85, que seguindo o critrio de arredondamento anteriormente mencionado, foi atribudo o valor 2,00. 2. Para a empresa Beta a mdia alcanada foi de 1,94, que seguindo o critrio de arredondamento, foi atribudo o valor 2,00. 3. Para a empresa Gama a mdia obtida foi de 2,15, que seguindo o critrio de arredondamento, foi atribudo o valor 2,00.

51

A interpretao destes resultados implica que as trs empresas foram classificadas no Nvel 2 de Maturidade: Repetvel, porm Intuitivo. Tal resultado permite estabelecer um padro inicial para as empresas de tecnologia de mdio porte, mostrando que empresas neste patamar tm adotado iniciativas sistemticas, ainda que no formais, para controles internos de governana de TI. Para este grau de maturidade percebemos um alto grau de dependncia nas pessoas e nos seus conhecimentos e experincias. Em seguida, realizou-se uma anlise similar, determinando-se a mdia arredondada por domnio do Cobit.

Tabela 4 - Valor da Mdia Arredondada por Domnio do Cobit Gama 1 3 2 2 Beta 1 3 2 0 Alfa 2 2 2 1

Domnio Planejar e Organizar (PO) Adquirir e Implementar (AI) Entregar e Suportar (DS) Monitorar e Avaliar (ME)

Tabela 4 Valor da Mdia Arredondada por domnio do Cobit Fonte: Elaborado pelos autores

Da avaliao destes resultados, percebe-se que as empresas demonstraram maiores graus de maturidade no domnio Adquirir e Implementar (AI) e menor maturidade no domnio Monitorar e Avaliar (ME). De forma a compreender melhor os principais motivadores para a adoo destes mecanismos de controle, em cada uma das empresas, foi construdo um grfico da pontuao obtida no questionrio versus o nmero da questo associada no formulrio. Do mesmo modo foi realizada uma anlise por domnio especfico do Cobit para cada uma das empresas.

52

Figura 6 Pontuao da empresa Alfa Fonte: Elaborado pelos autores

Figura 7 Mdia arredondada, por domnio, obtida pela empresa Alfa Fonte: Elaborado pelos autores

Por se tratar de uma empresa de Telecom uma das suas principais preocupaes a rapidez e a qualidade no atendimento ao cliente, caracterizada por excelentes

53

nveis de servio (DS1), preocupao com gerenciamento de incidentes e service desk (DS8) e agilidade no gerenciamento de problemas (DS10). Os mais baixos nveis de maturidade, entretanto, foram encontrados nos processos de gesto de mudana de software (AI7), identificao e alocao de custos (DS7) e conformidade com requerimentos externos (ME3). Realizando-se a anlise atravs dos domnios (ver Figura 7), percebe-se que a empresa possui menor grau de maturidade (nvel 1) no domnio Monitorar e Avaliar (ME). Em particular, o resultado obtido para o domnio ME aponta para a falta de padronizao de mecanismos de controles efetivos na mensurao de qualidade e performance de seus processos.

Figura 8 Pontuao da empresa Beta Fonte: Elaborador pelos autores

54

Figura 9 Mdia arredondada, por domnio, obtida pela empresa Beta Fonte: Elaborado pelos autores

Por se tratar de uma empresa prestadora de servios para grandes empresas na rea de Telecom, a empresa Beta possui uma metodologia formal para a gesto de documentaes e processos bem definidos para manter e evoluir o software, permitindo alteraes rpidas e sem impactos negativos na produo (AI2). A empresa possui uma gerncia de mudana que est em constante alinhamento com o cliente (AI6). Todas as alteraes so documentadas, planejadas e aprovadas pelo comit de mudana do cliente que exige procedimento de implantao e retorno. Aps a implantao, a reviso feita com intuito de prover feedback ao cliente. Os acordos de nvel de servio so estabelecidos em conjunto com o cliente. A empresa possui uma equipe para gerenciar estes acordos e manter os incidentes no prazo definido (DS1 e DS8).

55

De lado oposto, os menores nveis de maturidade so encontrados na definio de um plano estratgico de TI (PO1), na comunicao sobre metas e polticas (PO6), nos controles de monitoramento e performance (ME1), na adequao de controles internos(ME2) e na aplicao de mecanismos governana de TI (ME4). A anlise pelos domnios do Cobit (Figura 9), destaca os baixos nveis de maturidade para os domnios Monitorar e Avaliar (nvel 0) e Planejar e Organizar (nvel 1). O resultado aponta para a falta ou inexistncia de mecanismos de controles efetivos para assegurar a qualidade e a performance dos processos. A empresa destacou-se no domnio Adquirir e Implementar (AI), onde apresentou nvel de maturidade 3 superior classificao geral obtida para as trs empresas - Nvel 2 de Maturidade.

Figura 10 Pontuao da empresa Gama Fonte: Elaborado pelos autores

56

Figura 11 Mdia arredondada, por domnio, obtida pela empresa Gama Fonte: Elaborado pelos autores

Por ser uma consultoria especializada em processos de negcio, a empresa sempre realiza uma anlise prvia e detalhada das solues de automao de modo que os requisitos de negcio sejam atendidos atravs de uma abordagem eficaz e eficiente (AI1). Este processo contempla o levantamento de processos, a definio de necessidades, decises de viabilidade tecnolgica, etc. A empresa possui uma equipe pequena para testes de qualquer mudana de software (AI7). Os testes so feitos em ambientes de homologao do prprio cliente. Por ser uma consultoria prestadora de servios de TI, a empresa mantm uma forte conscincia da necessidade de identificar e alocar os custos (DS6). Os custos so controlados pelo departamento financeiro.

57

Os mais baixos nveis de maturidade, entretanto, foram encontrados nos processos de comunicao das diretrizes de TI (PO6) e gerenciamento de qualidade dos projetos de TI (PO8). A presso por reduo de custos nos projetos acaba por levar a empresa a reduzir seus mecanismos de controle de qualidade sobre os projetos. A anlise dos domnios do Cobit para a empresa Gama (Figura 11), destaca o grau de maturidade para o domnio Adquirir e Implementar (nvel 3), e um nvel mais baixo de maturidade para o domnio Planejar e Organizar (nvel 1), apontando uma falta de padronizao de iniciativas e processos que permitam um melhor alinhamento de TI com a estratgia e os negcios da empresa.

Figura 12 Mdia arredondada, por domnio, obtida pelas empresas Fonte: Elaborado pelos autores

58

Ao realizar a anlise por domnios do Cobit para as trs empresas estudadas (Figura 12), percebe-se que, em geral, as empresas apresentam maiores graus de maturidade no domnio Adquirir e Implementar (AI) e menor maturidade no domnio Monitorar e Avaliar (ME). Os resultados deste estudo de caso evidenciam que as empresas de tecnologia de mdio porte demonstram bom conhecimento sobre as prticas e mecanismos de controle do COBIT. Ainda que na sua maioria, pontuais e departamentais, a adoo destes mecanismos de controle e governana se mostra presente no dia-a-dia destas empresas. Observa-se a existncia de iniciativas de padronizao e estabelecimento de processos definidos para alguns dos processos do Cobit A proximidade dos resultados obtidos para o nvel de maturidade das empresas Repetvel, porm intuitivo - evidencia a existncia de mecanismos de padronizao, ainda que iniciais, para a governana de TI nas empresas de tecnologia de mdio porte.

59

CONCLUSO

A cada dia se faz mais necessrio a adoo de Governana de Tecnologia nas organizaes, pois prov melhor direo, controle e segurana. A implementao da governana tem como expectativa melhorar os processos da organizao, alinhando a TI com o negcio, criando valor agregado ao produto, eficincia na administrao e otimizao no uso dos recursos. O COBIT trata todas as expectativas acima e pode ser implementado em qualquer organizao, independente do seu porte, pelo fato de no exigir que todos os seus processos sejam implantados e sim, somente os que a empresa deseja controlar, medir e avaliar. Uma questo tambm muito importante que o COBIT apenas identifica e informa quais so as melhores prticas, e a organizao pode escolher quais ferramentas ir utilizar, quanto deseja investir e em quanto tempo deseja implementar a governana de TI, viabilizando assim a sua adoo por qualquer empresa de forma customizada. Nas empresas pesquisadas os resultados definiram um padro de maturidade de nvel 2. Este resultado prova que as iniciativas de governana existem, porm ainda esto em um nvel de maturidade baixo nas empresas de tecnologia de mdio porte. Os Gerentes de Tecnologia entrevistados esto satisfeitos com os resultados obtidos at o presente momento e tem tima expectativa para a implementao de novos processos e controles. Com base nas pesquisas realizadas, conclumos que as empresas de mdio porte do segmento de tecnologia da informao, mesmo que de forma intuitiva, esto adotando prticas de Governana de TI. Partindo deste pressuposto e das anlises e questionamentos realizados o COBIT pode ser e j est sendo utilizado de forma eficaz para suportar o negcio e alinhar com a TI.

60

Devido ao prazo de desenvolvimento deste trabalho e da disponibilidade dos Gerentes de Tecnologia das empresas pesquisas, no tivemos a oportunidade de acompanhar por alguns dias suas atividades, o que acreditamos ajudar melhor na anlise do estudo de caso. Como sugesto para trabalhos futuros, acreditamos ser importante realizar esta mesma pesquisa em empresas de pequeno e grande porte, do mesmo segmento, e traar uma anlise comparativa de quais processos os outros segmentos adotam, assim como tambm se existe alguma relao referente seqncia em que os domnios e os processos do COBIT so implantados.

61

REFERNCIAS

LVARES,

Elismar;

GIACOMETI,

Celso;

GUSSO,

Eduardo.

Governana

Corporativa: Um modelo brasileiro. Rio de Janeiro: Elsevier, 2008.

ANDRADE, Adriana; ROSSETTI, J. Paschoal. Cresce adeso s boas prticas de governana corporativa. Disponvel em:

<http://www.bmfbovespa.com.br/Pdf/Valor_280105.pdf>. Acesso em: 10 abr. 2010.

CHALOLA, Luiz. Gerenciamento de Servios de TI na Prtica: Uma abordagem com base em COBIT e ITIL. 2007. Ps-graduao em Auditoria em Tecnologia da Informao. Universidade Estcio de S, 2007. Disponvel em:

<http://www.clubegp.com.br/artigo/governanca_de_ti.pdf>. Acesso em 27 Fev. 2009.

COBIT 4.1. Cobit 4.1 Modelo, Objetivos de Controle, Diretrizes de Gerenciamento e Modelos de Maturidade. Disponvel em:

<http://www.isaca.org/ContentManagement/ContentDisplay.cfm?ContentID=55274>. Acesso em: 15 mar. 2010.

FAGUNDES, Eduardo Mayer. COBIT: Um kit de ferramentas para a excelncia na gesto de TI. 2004 Disponvel em:

<http://www.efagundes.com/artigos/Arquivos_pdf/Cobit.PDF>. Acesso em: 05 abr. 2010.

FERNANDES, Aguinaldo Aragon; ABREU, Vladimir Ferraz. Implantando a Governana de TI: da estratgia gesto dos Processos e Servios. Ed. Brasport, Rio de Janeiro, 2008.

GONALVES,

Alcindo.

CONCEITO

DE

GOVERNANA. Disponvel

em:

<http://www.conpedi.org/manaus/arquivos/Anais/Alcindo%20Goncalves.pdf>. Acesso em: 03 abr. 2010.

62

IBGC. Cdigo das melhores prticas de Governana Corporativa.Disponvel em: <http://www.ibgc.org.br/Download.aspx?Ref=Codigos&CodCodigo=47>. Acesso em: 03 abr. 2010.

MARINELLI, Marcos. Um estudo exploratrio sobre o estgio de governana corporativa nas empresas brasileiras. Disponvel em:

<http://200.169.97.104/seer/index.php/RBGN/article/view/50/43>. Acesso em: 09 abr. 2010.

RASMUSSEN, Michael. Desenvolvendo um programa sustentvel e econmico de conformidade com TI. 2008. Disponvel em:

<http://www.rsa.com/solutions/compliance/wp/9767_DSCE_IT_Com_Prog_WP_0408 _R.pdf>. Acesso em 25 Fev. 2010.

SANDONATO, Franco Dos Santos; SPRITZER, Ilda; FERREIRA, Flavio Jos de Almeida. A influncia do mercado de capitais sobre a Governana de TI. Disponvel em: <http://www.simpep.feb.unesp.br/anais/anais_13/artigos/277.pdf>.

Acesso em: 10 mar. 2010.

SEBRAE. CRITRIOS DE CLASSIFICAO DE EMPRESAS - ME - EPP. Disponvel em: <http://www.sebrae-sc.com.br/leis/default.asp?vcdtexto=4154&^^>. Acesso em: 01 abr. 2010.

SOARES, Jos Joaquim. Metodologia do trabalho cientfico. Disponvel em: <http://www.jjsoares.com/media/download/Pesquisa%20_Cient%C3%ADfica_novo.d oc>. Acesso em 28 Fev. 2010.

VICTRIA, Lia Beatriz Gomes. GOVERNANA CORPORATIVA: PRINCIPAIS DIFERENAS ENTRE OS MODELOS ANGLO-SAXO E NIPO-GERMNICO. Disponvel em: <http://www.ufpel.tche.br/cic/2007/cd/pdf/SA/SA_00876.pdf>. Acesso em: 01 abr. 2010.

YIN, Robert K. Estudo de caso planejamento e mtodos. (2Ed.). Porto Alegre: Bookman, 2001.

63

WEILL, Peter; ROSS, Jeanne W.. Governana de TI: Tecnologia da Informao. So Paulo: M. Books do Brasil Ltda., 2006.

64

ANEXO I

Questionrio enviado s empresas analisadas. O questionrio abaixo foi construido com base no Framework do Cobit 4.1 e em seu modelo de Maturidade. O questionrio contempla 34 questes associadas a cada um dos processos do Cobit. Responda as questes de acordo com os critrios de avaliao definidos abaixo. Marcar com X na coluna correspondente sua resposta: Inexistente Completa falta de um processo reconhecido. A empresa nem mesmo reconhece que este processo deva ser trabalhado. Inicial / Ad hoc Existem evidncias sobre os processos, que a empresa reconhece, que precisam ser trabalhadas. No entanto, no existem processos padronizados; ao contrrio, existem iniciativas pontuais que tendem a ser aplicadas individualmente desorganizado. Repetvel, porm intuitivo Os processos evoluiram para um estgio onde procedimentos similares so seguidos por diferentes pessoas fazendo a mesma tarefa. No existe um treinamento formal ou uma comunicao dos procedimentos padronizados e a responsabilidade deixada com o indivduo. H um alto grau de confiana no conhecimento dos indivduos e conseqentemente erros podem ocorrer. Processo definido Os Procedimentos so padronizados, documentados e comunicados atravs de treinamento. mandatrio que esses processos sejam seguidos; no entanto, possivelmente desvios no so detectados. Os procedimentos no so sofisticados, porm, existe a formalizao das prticas existentes. Gerenciado e Mensurvel A gerencia monitora e mede a aderncia aos procedimentos e adota aes onde os processos parecem no estar funcionando muito bem. Os processos esto debaixo de um constante aprimoramento e fornecem ou caso-a-caso. O enfoque geral de gerenciamento

65

boas prticas. Automao e ferramentas so utilizadas de uma maneira limitada ou fragmentada. Otimizado Os processos foram refinados a um nvel de boas prticas, baseado no resultado de um contnuo aprimoramento e modelagem da maturidade como outras organizaes. TI utilizada como um caminho integrado para automatizar o fluxo de trabalho, provendo ferramentas para aprimorar a qualidade e efetividade, tornando a organizao rpida em adaptar-se.

Repetvel, porm Intuitivo

Inicial / Ad Hoc

Processo de Controle Inexistente

Gerenciado e Mensurvel

Processo Definido

PO1. Sua empresa define um plano estratgico para a tecnologia da informao? PO2. A empresa define um plano para a arquitetura da informao? PO3. A empresa determina a direo tecnolgica? PO4. A empresa define os processos de TI, sua organizao e seus relacionamentos? PO5. Existe mecanismo de gerenciamento para os investimentos de TI? PO6. A empresa gerencia a comunicao das diretrizes de TI? PO7. Existe processo de gerenciamento dos recursos humanos de TI? PO8. Sua empresa gerencia a qualidade dos projetos de TI? PO9. Existem processos de avaliao e gerenciamento de risco? PO10. Sua empresa gerencia os projetos? AI1. A empresa identifica solues de automao? AI2. Sua empresa adquire e mantm software de aplicaes? AI3. Sua empresa adquire infra-estrutura tecnolgica e prov sua manuteno?

Otimizado

66

AI4. Sua empresa desenvolve os procedimentos operacionais e prov sua manuteno? AI5. A empresa adquire os recursos de TI? AI6. A empresa gerencia mudanas? AI7. A empresa instala e certifica softwares e as mudanas? DS1. A empresa define e gerencia os acordos de nvel de servios? DS2. Sua empresa gerencia os servios de terceiros? DS3. Sua empresa gerencia a performance e a capacidade dos sistemas e do ambiente? DS4. Asseguram a continuidade dos servios? DS5. A empresa garante e assegura a segurana dos sistemas? DS6. Os custos so identificados e alocados? DS7. A empresa treina os usurios dos sistemas? DS8. A empresa faz o gerenciamento de incidentes e service desk? DS9. A empresa faz o gerenciamento de configurao? DS10. A empresa gerencia problemas? DS11. Existe gerenciamento para os dados? DS12. Gerencia a infra-estrutura fsica / ambiente? DS13. A empresa gerencia as operaes? ME1. A empresa monitora e avalia a performance de TI? ME2. A empresa monitora e avalia a adequao dos controles internos? ME3. A empresa garante conformidade com requerimentos externos empresa? ME4. A empresa aplica e prov mecanismos de governana de TI?