GOVERNANA DE TI: AVALIAO DE MATURIDADE DO

COBIT EM UMA EMPRESA GLOBAL

Estefan Macalli Alves, Thomas Augusto Damo Ranzi
Universidade Federal de Santa Catarina UFSC
Departamento de Informtica e Estatstica Curso de Sistemas de Informao
Abstract: This research had the objective to asses the maturity level of IT processes of
WEG Electric Equipments, a global organization with headquarters in Santa Catarina,
Brazil, comparing to control objectives presented on COBIT (Control Objectives for
Information and related Technology). The work was considered of great importance, since
it meets with the previous efforts of the company related with planning and directing IT
resources and investments. Beyond detailing the best practices of COBIT, to execute the
maturity level assessment the need of adapting the methodology officially proposed was
identified. Finally, a Gap Analysis was executed, where the difference between the current
and the desired maturity level was analyzed. Based on these results, actions were proposed
aiming to raise the maturity of the IT processes and the implementation of an IT
Governance model in the company.
Resumo: Esta pesquisa teve como objetivo avaliar o grau de maturidade dos processos de
TI de uma empresa global do setor metal-mecnico, com matriz em Santa Catarina (WEG
Equipamentos Eltricos S/A) com relao aos objetivos de controle existentes no COBIT.
O trabalho foi considerado de grande importncia para a empresa, j que vai ao encontro
dos esforos realizados relacionados ao planejamento e direcionamento dos recursos e
investimentos em TI. Alm de detalhar as melhores prticas de controle descritas no
COBIT, para realizar a avaliao de maturidade identificou-se a necessidade de adaptar a
metodologia oficialmente proposta. Ao final foi executado um GAP Analysis, onde a
diferena entre o grau de maturidade atual e o desejado pela empresa foi analisado e com
base nestes resultados, foram propostas aes visando a elevao de maturidade dos
processos de TI e a implantao de um modelo de Governana de TI na empresa em
questo.
1. Introduo
Ao analisar o histrico das organizaes, tem-se que at meados do sculo passado, os
passos para atingir as metas eram tomados sem levar em conta o seu relacionamento com o
ambiente em que estava inserida.
Com as novas regras impostas pelo mercado, como principalmente a globalizao, para
gerar lucro, fica evidente a necessidade de uma boa cadeia de relacionamentos da
organizao com o ambiente externo. Para administrar essa nova realidade, algumas
caractersticas passam a ser fundamentais: como por exemplo, a flexibilidade e a adaptao
s mudanas.

Dentro deste contexto, as organizaes passam a ser diretamente influenciadas na sua

gesto e na concepo de uma estratgia empresarial pelo uso de sistemas de informao e
da tecnologia da informao. Nesta busca de adequao entre a orientao estratgica de
negcios e a estratgia de TI (Tecnologia da Informao) podemos observar o importante
papel da Governana Corporativa e da Governana de TI.
2. Referencial Terico
Nesta seo ser abordada a reviso da literatura que d sustentao terica ao trabalho.
Inicialmente sero abordados os objetivos e a necessidade do planejamento estratgico,
bem como sua importncia para o perfeito equilbrio entre os negcios da empresa e dos
objetivos da rea de TI que fazem parte do alinhamento estratgico da empresa. Em seguida
ser discutido o foco deste trabalho, a Governana de TI, suas aplicaes, ferramentas e
principais modelos utilizados, dando destaque para o COBIT.
2.1. Planejamento Estratgico
O objetivo do Planejamento Estratgico prover direo, concentrao de esforo,
constncia de propsito, e flexibilidade, como um negcio continuamente empenhado em
impor sua posio em todas as reas estratgicas (Boah, 1994). Desta forma pretende-se
estruturar e sistematizar as aes para aproveitar oportunidades e pontos fortes e minimizar
ameaas e pontos fracos. O processo de planejamento mais importante que seu produto
final, se identificando com provveis mudanas, estabelecendo assim uma harmonia entre a
organizao e seu meio ambiente.
A globalizao dos mercados, com a conseqente intensificao da competitividade e o
crescente nvel de exigncia relacionado aos produtos e servios, levam a acreditar que,
num futuro prximo, todos os aspectos da organizao vo influenciar o seu
posicionamento competitivo (Amaral e Varajo 2000). Considerando esta afirmao, alguns
dos motivos que levam uma empresa a adotar o Planejamento estratgico so:
flexibilidade, integrao organizacional, motivao do staff e esprito organizacional.
2.2. Planejamento Estratgico de TI
As primeiras pesquisas onde o Planejamento estratgico passou para a rea de TI, a
viso era orientada para o armazenamento de dados e no para obter vantagens
competitivas a partir da informao obtida pelos dados.
Segundo Torres(1994), o planejamento estratgico de TI pode ser definido como um
processo de identificao de infra-estrutura e aplicaes para suportar o negcio das
organizaes atravs do atendimento dos objetivos organizacionais. Atualmente as
atividades da rea de TI so consideradas crticas para o sucesso da organizao, sendo
assim, sua responsabilidade sobre os resultados so cada vez maiores. Com isto, est se
tornando difcil separar os aspectos de planejamento de TI dos de negcio.
2.3. Alinhamento Estratgico
Segundo Fagundes (2004), O alinhamento das estratgias significa aderncia dos
investimentos e gastos em TI levando em considerao o valor que eles agregam aos

negcios de uma organizao. Isto significa que quando os objetivos dos negcios so
suportados pelos objetivos do planejamento estratgico de TI, a empresa est
estrategicamente alinhada, podendo desta forma obter maior performance organizacional.
Para tanto, normalmente as empresas tm buscado uma metodologia a seguir visando
dar sustentao s estratgias e os valores que a rea de TI agrega ao negcio da empresa.
2.4 Governana de TI
A Governana de TI um conceito novo dentro da rea de TI. Um nmero significativo
de empresas vm adotando algum dos modelos de gesto no mercado procurando obter
sucesso na administrao e no alinhamento com rea de TI, pois as empresas realizam um
grande investimento em TI esperando obter vantagens e, conseqentemente, lucros
advindos deste investimento.
Segundo a ISACA (2000), a Governana de TI uma estrutura de relacionamentos e
processos para dirigir e controlar a empresa a fim de alcanar os seus objetivos pela adio
de valor ao mesmo tempo em que equilibra riscos versus retorno sobre TI e seus processos.
A Governana de TI essencial para garantir melhorias eficazes e eficientes nos
processos da empresa. Ela fornece uma estrutura que liga os processos de TI, os recursos de
TI e as informaes s estratgias e objetivos da empresa. Alm disto compor uma
governana de TI significa assegurar que as informaes da empresa e a tecnologia aplicada
suportam os objetivos do negcio, permitindo, dessa forma, que a empresa tire total
proveito dessas informaes, maximizando benefcios, capitalizando em oportunidades e
adquirindo vantagem competitiva.
2.4.1 Framework para Governana de TI
Assim como em outras reas de tecnologia, na Governana de TI, uma srie de
metodologias sugerem mtodos e ferramentas para guiar as empresas na preparao,
aplicao e gerenciamento dos passos que levam Governana Corporativa. Na verdade,
cada uma dessas metodologias possui um foco especfico, o que em muitos casos leva as
empresas a adotar vrias dessas metodologias em conjunto para aproveitar o que cada uma
tm a oferecer de melhor. Com a combinao dessas metodologias podemos obter uma
estrutura que denominamos framework de governana de TI.
A seguir sero descritas as principais metodologias adotadas no framework de
governana de TI e suas principais caractersticas.
ITIL acrnimo de Information Technology Infrastructure Library e tem foco na
operao e na infra-estrutura de TI. Este modelo no se preocupa com desenvolvimento de
software e tampouco com alinhamento estratgico de negcios. um conjunto de
recomendaes e melhores prticas para a gesto da infra-estrutura, desenvolvido pelo
governo ingls.
CMM (Capability Matury Model) uma certificao concedida pela Software
Engeneering Institute (SEI), da Universidade Carnegie Mellon (EUA), que mede o grau de
maturidade no processo de desenvolvimento de software. O CMM focaliza os processos,
que considera o fator de produo com maior potencial de melhoria a prazo mais curto.
PMBOK (Project Management Body of Knowledge) um guia onde se descreve a as
principais reas de conhecimento e as melhores prticas dentro da rea de gerncia de

projetos. Outro objetivo do PMBOK a padronizao de termos utilizados em gerncia de

projetos.
SOX (lei Sarbanes-Oxley) uma lei aprovada em 2002 pelo governo americano voltada
principalmente para companhias de capital aberto com aes nas bolsas de valores ou com
negociao na Nasdaq acabar com as fraudes contbeis. Esta lei possui 11 sees que so
direcionadas principalmente responsabilidade penal da diretoria. As sees 302 e 404
dizem respeito responsabilidade corporativa pela veracidade de contedo dos relatrios
financeiros produzidos e pela rea de TI e avaliao dos controles internos.
ISO 17799 uma norma homologada pelo comit ISO que prev os mais diversos
tpicos para a rea da segurana da informao. Esta norma est dividida em 10 captulos
principais, contendo 127 controles de segurana que mantm o foco na gesto de riscos,
suas principais definies so cdigos de prticas para a gesto da informao sob os
aspectos de confidencialidade, integridade e disponibilidade.
2.5 COBIT
Segundo ISACA (Information Systems Audit and Control Association), o COBIT
editado pelo ITGI (Information Technology Governance Institute) e aceito
internacionalmente como uma boa prtica de controle sobre informaes, TI e riscos
relacionados. Utiliza-se o COBIT para implantar a governana de TI e melhorar os
controles de TI.
Segundo ITGI (2005), o COBIT foi projetado para ser utilizado por 4 diferentes
pblicos:
- Direo executiva: Para obter valor dos investimentos de TI e equilibrar os riscos e
controlar os investimentos no ambiente freqentemente imprevisvel de TI.
- Administrao do negcio: Para garantir o gerenciamento e controle dos servios de
TI prestados internamente ou por terceiros.
- Administrao de TI: Para prover os servios de TI requeridos para suportar a
estratgia do negcio de uma maneira controlada e gerenciada.
- Auditores: Para subsidiar seus pareceres e aconselhar a administrao sobre
controles internos.
2.5.1 Estrutura do COBIT:
Buscando atuar em todos as atividades de uma organizao de TI, o COBIT se subdivide em 3 nveis como mostrado na figura a seguir:

Figura 1: Os 3 nveis do COBIT. Fonte: ITGI,2005

Domnios:
-

Planejamento e Organizao (PO): Este domnio trata das estratgias e tticas, e

procura identificar a maneira que a TI pode melhor contribuir para o alcance dos
objetivos do negcio. Neste domnio existem 10 processos:
- PO1 - Definir o plano estratgico de TI
- PO2 - Definir a arquitetura da informao
- PO3 - Determinar a direo tecnolgica
- PO4 - Definir processos, organizao e relacionamentos da TI
- PO5 - Gerenciar os investimentos de TI
- PO6 - Comunicar os objetivos e direo da administrao
- PO7 - Gerenciar os recursos humanos
- PO8 - Gerenciar a qualidade
- PO9 - Avaliar e gerenciar os riscos de TI
- PO10 - Gerenciar projetos

Aquisio e Implementao (AI): Para concretizar a estratgia de TI, necessrio

identificar, desenvolver ou adquirir as solues de TI, bem como integr-las ao
processo do negcio. Esse domnio tambm contempla as mudanas e manutenes
nos sistemas existentes para assegurar que as solues continuem atendendo aos
objetivos do negcio. Neste domnio esto sete processos:
- AI1 - Identificar as solues de automao
- AI2 - Adquirir e manter os Softwares Aplicativos
- AI3 - Adquirir e manter a infra-estrutura tecnolgica
- AI4 - Habilitar a operao e o uso
- AI5 - Obter recursos de TI
- AI6 - Gerenciar as mudanas
- AI7 - Instalar e validar as solues e as mudanas

Entrega e Suporte (DS): Este domnio atua sobre as entregas desejadas dos servios
o que inclui entrega de servios, gerenciamento da segurana e da continuidade,
suporte aos usurios e gerenciamento dos dados e do ambiente operacional. Abaixo
deste domnio existem 13 processos:
- DS1 - Definir e manter os acordos de nveis de servios (SLA)
- DS2 - Gerenciar os servios de terceiros
- DS3 - Gerenciar a performance e a capacidade
- DS4 - Assegurar o servio contnuo
- DS5 - Garantir a segurana dos sistemas
- DS6 - Identificar e alocar custos
- DS7 - Educar e Treinar usurios
- DS8 - Gerenciar o Service Desk e os Incidentes
- DS9 - Gerenciar a configurao
- DS10 - Gerenciar os problemas
- DS11 - Gerenciar os dados
- DS12 - Gerenciar o ambiente fsico
- DS13 - Gerenciar as operaes

Monitorao e Avaliao (ME): Todos os processos de TI devem ser avaliados

regularmente quanto qualidade e conformidade com requisitos de controle. Este
domnio abrange o gerenciamento do desempenho, monitoramento dos controles
internos, conformidade com as regulamentaes e governana. Neste domnio ficam
4 processos:
- ME1 - Monitorar e Avaliar a Performance de TI
- ME2 - Monitorar e Avaliar os Controles Internos
- ME3 - Assegurar Conformidade com Regulamentaes
- ME4 - Prover a Governana de TI

A estrutura do COBIT possui 34 processos agrupados em 4 domnios e prope uma

maneira de gerenciar os recursos de TI (Pessoas, Aplicativos, Informaes e Infra-estrutura)
de maneira a fornecer informaes relevantes ao atendimento dos objetivos do negcio e da
governana seguindo os sete critrios de informao (Eficcia, Eficincia,
Confidencialidade, Integridade, Disponibilidade, Conformidade e Confiabilidade)

OBJETIVOS DE
GOVERNANA

OBJETIVOS DO
NEGCIO

COBIT
INFORMAES

MONITORAO E
AVALIAO

Eficcia
Eficincia
Confidencialidade
Integridade
Disponibilidade
Conformidade
Confiabilidade

PLANEJAMENTO E
ORGANIZAO

RECURSOS DE TI
Pessoas
Aplicativos
Infra-estrutura
Informaes

PRODUO E
SUPORTE

AQUISIO E
IMPLEMENTAO

Figura 2: Representao da estrutura do COBIT 4.0. Adaptado de ITGI(2005)

3. Metodologia Proposta para Avaliao de Maturidade

Dentre as ferramentas disponibilizadas para a aplicao do COBIT encontra-se o
COBIT Management Guidelines que prov um modelo de maturidade, semelhante ao
CMMI, com nveis de 0 (No existente) a 5 (Otimizado) onde em cada nvel existe uma
descrio de como devem estar dispostos os processos para alcan-los. Alm disso, este
modelo pode ser utilizado como um checklist para identificar melhorias nos processos de
TI existentes na organizao.
Geralmente, estes nveis de maturidade so utilizados para uma organizao definir
rapidamente, com base nos cenrios descritos, em que nvel se encontra e em que nvel
pretende chegar futuramente. Na maior parte das vezes, a aplicao deste modelo feita
atravs de reunies com os gestores, onde pede-se que este identifiquem o nvel atual e o
desejado dos processos. Entretanto, entendeu-se que por esse modelo, a anlise muito
genrica e baseia-se apenas na intuio das pessoas, nem sempre especialistas dos
respectivos processos.

Outra limitao, que este modelo estritamente incremental, ou seja, para determinar
em qual nvel a empresa se encontra, deve-se atender a todos os requisitos daquele nvel e
tambm os requisitos dos nveis anteriores. Dessa forma, iniciativas em nveis posteriores
ao encontrado so difceis de serem identificadas.
Visando sanar essas limitaes, Pederiva (2003) prope uma avaliao de fornecedores
utilizando o modelo de maturidade presente no COBIT Management Guidelines, porm
transformando as descries de cada nvel de maturidade em sentenas como no exemplo a
seguir:
PO01 - Definir um Planejamento Estratgico de TI
Nvel 1 - Inicial / Ad hoc
COBIT Textual
A necessidade de um Planejamento estratgico
de TI conhecida pela gerncia de TI. O
Planejamento de TI executado em resposta a
uma exigncia especfica do negcio. O
Planejamento
estratgico
de
TI

ocasionalmente discutido nas reunies da

gerncia de TI. O alinhamento das exigncias
do negcio, as aplicaes e a tecnologia so
tratados de forma reativa e no seguindo a
estratgia da organizao. A posio de risco
estratgico identificada informalmente,
projeto por projeto.

Modelo Proposto Pontual

- A necessidade de um Planejamento estratgico
de TI conhecida pela gerncia de TI.

- O Planejamento de TI executado em
resposta a uma exigncia especfica do
negcio.
- O Planejamento estratgico de TI
ocasionalmente discutido nas reunies da
gerncia de TI.
- O alinhamento das exigncias do negcio, as
aplicaes e a tecnologia so tratados de forma
reativa e no seguindo a estratgia da
organizao.
- A posio de risco estratgico identificada
informalmente, projeto por projeto.

Tabela 1: Transformao dos cenrios COBIT em sentenas

3.1. Metodologia Proposta

Para o desenvolvimento da Metodologia de Avaliao de Maturidade utilizada no
trabalho, adotou-se o COBIT Management Guidelines com a abordagem proposta por
Pederiva, pois acredita-se que avaliando cada sentena independente do nvel de
maturidade, no final obtem-se um resultado mais fiel realidade. Alm disso, pde-se
identificar que a compreenso dos envolvidos foi facilitada, visto que estes deram suas
opinies com relao a pequenas sentenas e no a um cenrio nico e complexo.
Com relao s limitaes encontradas no modelo oficial, relativos dificuldade de
identificar requisitos cumpridos em nveis posteriores ao encontrado, alem de identificar o
nvel oficial, foi criado o valor Conformidade, que leva em considerao apenas o nmero
de requisitos atendidos e o nmero de sentenas existentes em cada processo. Este valor
permite identificar com maior facilidade o nmero de requisitos atendidos para cada
processo.
3.2. Passos
Para realizar o mapeamento do nvel de maturidade na WEG, foram marcadas
entrevistas com 3 ou 4 especialistas em cada um dos processos mapeados.

No incio, a folha de entrevista, era entregue aos presentes, e fazia-se uma pequena
explicao do COBIT e de sua importncia. Em seguida, explicava-se o processo a ser
mapeado e uma breve discusso era feita, para que possveis dvidas fossem sanadas e
houvesse um alinhamento do contedo do processo.
Em seguida, as sentenas extradas do modelo de maturidade COBIT eram expostas
conforme explicado anteriormente. Aps lida cada sentena, os entrevistados respondiam
em consenso se a mesma era verdadeira ou falsa para a situao atual da WEG.
Aps efetuado o mapeamento de todas as sentenas do processo, o nvel alcanado era
revelado. Com base nele, os entrevistados apontavam o nvel desejado para o ano 2010.
Este ano foi utilizado em alinhamento com o Planejamento Estratgico de TI da WEG que
considera o mesmo como cenrio futuro.
3.3 Aplicao da Planilha
Para aplicar a metodologia proposta, elaborou-se uma planilha na qual os dados foram
registrados e tratados. Para evitar pontuaes errneas, considerando a natureza de cada
sentena como positiva ou negativa para a empresa, as respostas foram transformadas da
seguinte maneira:

Resposta

Positiva
Falso 0
Verdadeiro 1

Negativa
Falso 1
Verdadeiro 0

Tabela 2: Transformao dos valores de pontuao conforme natureza da sentena.

Exemplo:
A sentena A necessidade de um Planejamento estratgico de TI conhecida pela
gerncia de TI. foi identificada como uma sentena positiva pois ao responder verdadeiro,
a empresa cumpre um requisito e informa que a necessidade do PETI reconhecida pela
gerncia de TI. Ao final, a empresa obtm um ponto para esta sentena.
J a sentena A posio de risco estratgico identificada informalmente, projeto por
projeto. foi identificada como uma sentena negativa pois ao responder verdadeiro, a
empresa no cumpre um requisito e informa que no existe um processo formal de
identificao da posio de risco. Ao final, a empresa no recebe ponto para esta sentena.

Concludo o processo de registro das respostas obtm-se para os 6 nveis de maturidade

de cada processo COBIT a seguinte tabela:
PO01 - Definir um Planejamento Estratgico de TI
Nvel 1 - Inicial / Ad hoc
Verdadeiro
- A necessidade de um Planejamento estratgico
X
de TI conhecida pela gerncia de TI.
- O Planejamento de TI executado em resposta
a uma exigncia especfica do negcio.
- O Planejamento estratgico de TI
ocasionalmente discutido nas reunies da
gerncia de TI.
- O alinhamento das exigncias do negcio, as
aplicaes e a tecnologia so tratados de forma
reativa e no seguindo a estratgia da
organizao.
- A posio de risco estratgico identificada
X
informalmente, projeto por projeto.

Falso

Pontuao Pos/Neg
1

Total
Sentenas
Conformidade

4
5
80%

Tabela 3: Planilha de avaliao de maturidade para o nvel 1 do processo PO01

Onde:
Pontuao Respostas transformadas de acordo com a natureza das sentenas.
Pos/Neg Identificao da natureza da sentena como positiva ou negativa.
Total Somatrio das pontuaes.
Sentenas Nmero de sentenas presentes no nvel 1 do processo PO01.
Conformidade Percentual de conformidade da organizao com o nvel 1 do
processo PO01.
Com as respostas de todos os nveis do processo devidamente registradas na planilha,
obtm-se o seguinte resultado para cada processo COBIT:
PO01 - Definir um Planejamento Estratgico de TI
Nvel
0
1
2
3
4
5
Conformidade Total

Conformidade
100%
80%
50%
43%
17%
0%
48%

Tabela 4: Conformidade da WEG para cada nvel

Onde:

Conformidade Aderncia com as sentenas de cada nvel do processo.

Conformidade Total Mdia da conformidade de todos os nveis somados.

Ao final tem-se para cada processo do COBIT:

PO01 - Definir um Planejamento Estratgico de TI
Resultado Final
Nvel Atual
Nvel Meta
Conformidade

1
4
48%

Tabela 5: Resultados finais para o processo PO01

Onde:
Nvel Atual Valor oficial. Nvel mais elevado a ter 100% dos requisitos atendidos
pela WEG.
Nvel Meta Nvel desejado para o ano 2010.
Conformidade Valor no oficial. Representa a aderncia aos requisitos do COBIT
para este processo, observando cada nvel de maturidade.
Visando facilitar a anlise dos resultados obtidos e o estudo dos planos de ao
propostos, ao final do trabalho um relatrio que futuramente servir como um guia para a
empresa atingir conformidade com os requisitos de governana propostos pelo COBIT foi
entregue empresa.
6. Concluses
De acordo com os objetivos estabelecidos, a metodologia proposta mostrou-se um
importante instrumento para a avaliao dos processos de TI, sendo possvel, a partir de sua
aplicao, executar um Gap Analysis dos processos de TI em relao ao COBIT.
De forma geral, acredita-se que os objetivos propostos foram alcanados e ao que tudo
indica os resultados serviro de base para a aplicao de novos projetos relacionados
Governana de TI na empresa estudada.
7. Referncias Bibliogrficas
AMARAL, Lus Alfredo Martins do, VARAJO, Joo Eduardo Quintela. Planejamento de
Sistemas de Informao Universidade de Minho/Portugal FCA Editora, 2000.
BOAR, Bernard H. Critical Steps for Aligning Information Technology with Business
Strategies. AT&T. Wiley 1994.

BRODBECK, ngela Freitag Alinhamento Estratgico entre Plano de Negcios e

Tecnologia da Informao: Um Modelo Operacional para Implementao Universidade
Federal do Rio Grande do Sul Tese de Doutorado, 2001.
CALVO, Mair Affonso Rangel (2006) ,
COBIT: Modelo de Maturidade http://www.madah.com.br/COBIT_Modelo_Maturidade.doc
FAGUNDES, E. M. - Um Kit de Ferramentas para a Excelncia na Gesto de TI,
http://www.fagundes.com/artigos/COBIT.html Agosto 2004.
ITGI, COBIT 3rd Edition, IT Governance Institute. 2000.
ITGI, COBIT 4th Edition, IT Governance Institute. 2005.
PEDERIVA, Andrea - The COBIT Maturity Model in a Vendor Evaluation Case,
Information Systems Control Journal, Volume 3, 2003.
TORRES, N. A. Manual de Planejamento de Informtica Empresarial. Makron Books, SP,
1994.