Você está na página 1de 100

UNIVERSIDADE FEDERAL FLUMINENSE

LATEC LABORATRIO DE TECNOLOGIA, GESTO DE NEGCIOS E MEIO


AMBIENTE

DANIELE MACHADO VIEIRA

GOVERNANA DE TI NO SETOR PBLICO - CASO DATAPREV

NITERI,
2005

DANIELE MACHADO VIEIRA

GOVERNANA DE TI NO SETOR PBLICO CASO DATAPREV

Dissertao apresentada ao Curso de Mestrado em


Sistemas de Gesto, da Universidade Federal
Fluminense, como requisito parcial para obteno do
Grau de Mestre em Sistemas de Gesto. rea de
Concentrao: Gesto pela Qualidade To tal.

Orientador: Prof. D.Sc. Martius Vicente Rodriguez y Rodriguez

Niteri,
2005

DEDICATRIA

Aos meus pais, que no contentes em me presentear com a vida, abriram as portas do
meu futuro iluminando o meu caminho com o brilho mais intenso que puderam encontrar o
estudo. Com vocs divido mais esta vitria.

Ao meu marido Marcelo, que acompanha minha caminhada acadmica h muitos anos
e sempre apoiou meus projetos, profissionais e pessoais com muita pacincia e compreenso,
dedico este trabalho e esta conquista, que tambm sua.

AGRADECIMENTOS

Deus, por me acompanhar em mais uma jornada.

Ao Professor Martius, pela sua dedicao e orientao.

Aos professores do Mestrado em Sistemas de Gesto que, com dedicao e respeito,


transmitiram seus conhecimentos e experincias.

Aos gestores da Dataprev, pela oportunidade e pelo apoio para a realizao desta
pesquisa.

Aos colegas de trabalho da Dataprev, em especial, Rosana Osrio, Emanuel Senna e


Ideraldo Figueiredo pelo apoio e incentivo que sempre me deram.

Denise Correa, pela grande ajuda e pelo incentivo que sempre me deu antes e
durante todo o curso.

Aos colegas do mestrado, por todos os momentos compartilhados.

todos os amigos e familiares que contriburam para a realizao deste projeto.

Muito Obrigado!

RESUMO

Este trabalho rene os resultados obtidos na pesquisa realizada na Empresa de


Tecnologia e Informaes da Previdncia Social Dataprev. Com base nos princpios de
governana de TI do modelo Cobit, foram identificados os processos de TI relevantes para a
Empresa em questo.
Atravs da anlise dos dados coletados na pesquisa de campo realizada junto aos
gerentes e supervisores da Diretoria de Operaes e Telecomunicaes dessa Empresa,
concluiu- se que 50% dos processos recomendados pelo modelo tm relevncia para realidade
da empresa.

Palavras-chave: Tecnologia da Informao, Governana de TI, Cobit,

ABSTRACT

This work gathers the results of a research carried through the Empresa de Tecnologia
e Informaes da Previdncia Social Dataprev. Based on the principles of IT Governance of
the Cobit model, it had been identified the relevant IT processes for the company in question.
Through the analysis of the data collected in the field research carried with the
managers and supervisors of the Diretoria de Operaes e Telecomunicaes, it had been
concluded that 50% of the processes recommended for the model have relevance for reality of
the company.

Palavras-chave: Information Technology, IT Governace e Cobit

LISTA DE QUADROS

QUADRO 1

As Quatro Principais Eras da Qualidade

13

QUADRO 2

As mais importantes razes para aquisio do COBIT 3 edio

56

QUADRO 3

Os mais importantes modos de utilizao do COBIT 3 edio

56

QUADRO 4

Realidade x Expectativa com relao ao uso do Cobit

57

QUADRO 5

Processos Relevantes x Processos Praticados

78

QUADRO 6

Processos Relevantes x Prticas Recomendadas pelo modelo Cobit

79

QUADRO 7

Respostas aos objetivos e questo-problema

87

LISTA DE FIGURAS

FIGURA 1

Integrao dos negcios Arquitetura de Informaes

16

FIGURA 2

Integrao dos modelos de governana de TI

19

FIGURA 3

Benefcios da TI e seu aproveitamento no negcio

27

FIGURA 4

Os cinco nveis de maturidade do processo de software

37

FIGURA 5

Famlia de produtos do Cobit

43

FIGURA 6

Domnios do modelo Cobit

45

FIGURA 7

Organograma Funcional da Diretoria de Operaes e Telecomunicaes

63

FIGURA 8

Organograma do Ministrio da Previdncia Social

67

FIGURA 9

Organograma Funcional da Dataprev

67

LISTA DE GRFICOS

GRFICO 1

ndice G

29

GRFICO 2

ndice G por setor

30

GRFICO 3

ndice G do setor bancrio

30

GRFICO 4

Distribuio geogrfica das empresas

55

GRFICO 5

Distribuio das empresas por nmero de funcionrios

55

GRFICO 6

Distribuio dos participantes por cargo

69

GRFICO 7

Distribuio dos participantes por localidade

70

GRFICO 8

Distribuio de Freqncia Absoluta para as respostas da pergunta 1

72

do questionrio
GRFICO 9

Distribuio de Freqncia Absoluta para as respostas da pergunta 1

73

do questionrio ordenadas por freqncia


GRFICO 10 Distribuio de Freqncia Absoluta para as respostas da pergunta 2

75

do questionrio
GRFICO 11 Distribuio de Freqncia Absoluta para as respostas da pergunta 2
do questionrio ordenadas por freqncia

76

LISTA DE TABELAS

TABELA 1

ndice G por regio ou pais

31

TABELA 2

Distribuio de Freqncia Relativa e Absoluta para as respostas da

70

pergunta 1 do questionrio
TABELA 3

Distribuio de Freqncia Relativa e Absoluta para as respostas da

72

pergunta 1 do questionrio ordenadas por freqncia


TABELA 4

Distribuio de Freqncia Relativa e Absoluta para as respostas da

74

pergunta 2 do questionrio
TABELA 5

Distribuio de Freqncia Relativa e Absoluta para as respostas da


pergunta 2 do questionrio ordenadas por freqncia

75

10

LISTA DE SIGLAS

ABNT

Associao Brasileira de Normas Tcnicas

BSC

Balance Score Card

BSI

British Standart Institute

CAPT

Custo Anual por Teclado

CMM

Capability Maturity Model

CMMI

Capability Maturity Model Integration

COBIT

Control Objectives for Information and related Technology

FAQ

Frequency Asqued Questions

IEC

Internacional Eletrotecnical Commission

ISACA

Information Systems Audit and Control

ISACF

Information Systems Audit and Control Foundation

ISO

International Standardization for Organization

ITIL

IT Infrastructure Library

SEI

Software Engeneering Institute

SGSI

Sistema de Gesto de Segurana da Informao

TI

Tecnologia da Informao

TCO

Total Cost of Ownership

VPL

Valor Presente Lquido

11

SUMRIO

O PROBLEMA.......................................................................................................12
1.1 INTRODUO.................................................................................................12
1.2 QUESTO PROBLEMA.................................................................................20
1.3 OBJETIVOS......................................................................................................21
1.4 RELEVNCIA DO TEMA..............................................................................22
1.5 DELIMITAO DO ESTUDO.......................................................................23

REVISO DA LITERATURA..............................................................................24
2.1 A TI COMO VANTAGEM COMPETITIVA................................................24
2.2 INVESTIMENTOS EM TI E METODOLOGIAS DE AVALIAO........26
2.3 GOVERNANA DE TI....................................................................................32
2.4 MODELOS DE GOVERNANA DE TI........................................................33
2.4.1 ITIL - IT Infrastructure Library ...............................................................33
2.4.2 CMM/CMMI - Capability Maturity Model / Capability Maturity
Model Integration..............................................................................................36
2.4.3 BS 7799 - Information Security Standard..................................................40
2.4.4 COBIT - Control Objectives for Information and related
Technology..........................................................................................................42
2.5 O USO DO MODELO COBIT NO MUNDO.................................................54
2.6 A GOVERNANA DE TI NO BRASIL.........................................................58

METODOLOGIA....................................................................................................61
3.1 ESPECIFICAO DO PLANO DE PESQUISA...........................................61
3.2 POPULAO E AMOSTRA DA PESQUISA...............................................62
3.3 INSTRUMENTOS DE MEDIDA.....................................................................63
3.4 COLETA DE DADOS.......................................................................................63
3.5 LIMITAES DO MTODO.........................................................................65

ESTUDO DE CASO................................................................................................66
4.1 A EMPRESA......................................................................................................66
4.2 A PESQUISA.....................................................................................................68
4.3 ANLISE DOS DADOS...................................................................................76

CONCLUSES E RECOMENDAES.............................................................87

REFERNCIAS BIBLIOGRFICAS..................................................................90

APNDICES..................................................................................................................95
APNDICE A - E-mail enviado aos respondentes...............................................96
APNDICE B - Carta de apresentao do projeto, disponibilizada no
site da pesquisa.......................................................................................................97
APNDICE C - Questionrio utilizado na pesquisa de campo,
disponibilizado no site da pesquisa........................................................................98

12

1. O PROBLEMA

1.1 INTRODUO

O conceito de Qualidade foi primeiramente associado definio de conformidade s


especificaes e, nos dias de hoje, baseia-se no conceito de satisfao do cliente.
Segundo Garvin (1992) 1 , a forma original da qualidade era voltada para a inspeo.
Hoje esse conceito foi ampliado, pois as atividades a ela relacionadas se tornaram essenciais
para o sucesso da organizao.
Essa evoluo do conceito da qualidade se deu atravs de vrias descobertas e no de
inovaes marcantes. Garvin organiza essas descobertas em quatro fases, as quais chama de
"Eras da Qualidade".
Era da Inspeo: a viso era de controle. Considerava-se possvel assegurar a
qualidade atravs da inspeo pura e simples do produto final.
Era do Controle Estatstico da Qualidade: com base em tcnicas estatsticas, o
Controle Estatstico passou a ser utilizado para o controle do processo produtivo,
objetivando o aprimoramento de tarefas especficas, o que caracterizou o auge da
Administrao Cientfica de Taylor.
Era da Garantia da Qualidade: o enfoque do controle deu lugar garantia de qualidade.
Todas as funes da Empresa so consideradas como parte do sucesso/insucesso da
busca da qualidade e produtividade. A concorrncia comea a ser representativa. So
fixados nveis mnimos aceitveis na construo da qualidade.

GARVIN, David A. Gerenciando a Qualidade : a viso estratgica e competitiva. Traduo: Joo Ferreira
Bezerra de Souza. Rio de Janeiro: Qualitymark Ed., 1992.

13

Era da Gesto Estratgica da Qualidade: abrangem todas as funes j desenvolvidas


nas trs eras antecedentes, porm os princpios so mais amplos. A Qualidade passou a
ser considerada com uma das vertentes do Planejamento Estratgico da Empresa.
No quadro apresentado a seguir, mostrado o resumo das principais diferenas entre
as quatro Eras da Qualidade de Garvin.
QUADRO 1 As Quatro Principais Eras da Qualidade 2
Etapas do Movimento da Qualidade
Identificao de
Caractersticas
Preocupao
bsica
Viso da
qualidade

nfase

Mtodos

Inspeo

Controle
Estatstico da
Qualidade
Controle

Garantia da
Qualidade

Um
problema a
ser resolvido

Um problema
a ser resolvido

Uniformidade
do produto

Uniformidade
do produto
com menos
inspeo

Instrumento
de medio

Instrumentos e
tcnicas
estatsticas

Um problema a
ser resolvido,
mas que seja
enfrentado
proativamente.
Toda a cadeia
de produo,
desde o projeto
at o mercado,
e a contribuio
de todos os
grupos
funcionais,
especialmente
os projetistas,
para impedir
falhas de
qualidade.
Programas e
sistemas

Verificao

Coordenao

Gerenciamento
Estratgico da
Qualidade
Impacto
estratgico
Uma oportunidade
de concorrncia

As necessidades
de mercado e do
consumidor

Planejamento
estratgico,
estabelecimento de
objetivos e a
mobilizao da
organizao.

GARVIN, David A. Gerenciando a Qualidade : a viso estratgica e competitiva. Traduo: Joo Ferreira
Bezerra de Souza. Rio de Janeiro: Qualitymark Ed., 1992.

14

Papel dos
profissionais da
qualidade

Inspeo,
classificao,
contagem e
avaliao.

Soluo de
problemas e
aplicao de
mtodos
estatsticos

Mensurao de
qualidade,
planejamento
da qualidade e
projetos de
programas.

Quem o
responsvel
pela qualidade

O
departamento
de inspeo

Os
departamentos
de produo e
engenharia

Orientao e
abordagem

"Inspeciona"
a qualidade

"Controla" a
qualidade

Todos os
departamentos,
embora a alta
gerncia s se
envolva
perifericamente
com o projeto,
o planejamento
e a execuo
das polticas de
qualidade.
"Constri" a
qualidade

Estabelecimento
de objetivos,
educao e
treinamento,
trabalho
consultivo com
outros
departamentos e
delineamento de
programas.
Todo na empresa,
com a alta
gerncia
exercendo forte
liderana.

"Gerencia" a
qualidade

Para Juran (1991)3 a Qualidade tem dois significados.


O primeiro consiste na ausncia de falhas.
O segundo, nas caractersticas do produto que vo ao encont ro das necessidades dos
clientes e, dessa forma, proporcionam a satisfao em relao ao produto.
Com o foco na satisfao dos clientes, as empresas comearam no s a concentrar
seus esforos na melhoria da qualidade de seus produtos e servios, bem como a investir em
tecnologia para assegurar os padres de produo, visando garantir de forma sistemtica e
disciplinada a melhoria contnua da qualidade de seus produtos e de seus processos. Segundo
Juran (1991)3 , os produtos resultam dos processos, e a qualidade daquelas conseguida de
forma consistente a partir da qualidade destes.

JURAN, J. M.; GRYNA, Frank M. Controle da Qualidade: conceitos, polticas e filosofia da qualidade.
Traduo: Maria Cludia de Oliveira Santos.4. ed. So Paulo: Makron, 1991.

15

Nesse processo de implantao de polticas e processos de qualidade nas organizaes,


no se pode esquecer da importncia do uso da tecnologia. E dentro dessa perspectiva da
tecnologia, uma das mais crescentes e utilizadas pelas organizaes a Tecnologia da
Informao. (ALBERTIN, 2004) 4
A TI cada vez mais uma ferramenta de competitividade das empresas,
principalmente na gesto por processos e nos programas de Gesto Estratgica da Qualidade,
que freqentemente implicam a mudana dos processos organizacionais e tm na TI uma
ferramenta valiosa para viabilizar essas alteraes.
preciso, no entanto, que haja um alinhamento estratgico entre a gesto da
qualidade, da tecnologia e do negcio.
A tecnologia da informao considerada na dcada de 70 e 80 como um mal
necessrio, passou a ser no final do sculo XX uma ferramenta fundamental em qualquer
empresa.(RODRIGUEZ, 2002)5 .
Para Faria (2004) 6 , o diferencial competitivo de uma empresa e a sua sustentabilidade
nesse mercado exigente esto cada vez mais ligados sua capacidade e sua rapidez de
inovao. E para isso, o domnio da tecnologia deve ser considerado como um fator crtico de
sucesso, pois pode gerar vantagens para a organizao.
Compartilhando desse pensamento, Rodriguez (2002)5 diz que uma empresa da Era da
Informao deve tirar total vantagem do uso de novas tecnologias para obter vantagem
competitiva. Algumas das aes a serem tomadas pela empresa neste sentido so
- orientar o uso da tecnologia da informao como ferramenta de suporte aos negcios
da empresa;
- automatizar os processos produtivos;
- construir uma arquitetura de informaes orientada aos negcios da organizao.

ALBERTIN, A. L.; MOURA, R. M. (Organizadores). Tecnologia de Informao. So Paulo: Atlas, 2004.


RODRIGUEZ, M. V. R. Gesto Empresarial: organizaes que aprendem. Rio de Janeiro: Qualitymark,
2002.
6
FARIA, Fabio. Prefcio. In: ALBERTIN, L. A.; MOURA, R. M. (Organizadores). Tecnologia de Informao.
So Paulo: Atlas, 2004.
5

16

Com o avano tecnolgico e a importncia que a tecnologia tem hoje dentro das
organizaes, o planejamento e a implantao de uma arquitetura de informaes se tornaram
tarefas complexas.
Por arquitetura de informaes, entende-se, segundo Rodriguez (2002)5 , um conjunto
de informaes, modelos de dados e toda infra-estrutura tecnolgica necessria para suportar
os fluxos de informaes gerados a partir dos processos decisrios de uma organizao.
A integrao entre a tecnologia e o negcio a chave para o sucesso organizacional. A
figura 1 apresenta um esquema dessa integrao.
FIGURA1: Integrao dos negcios Arquitetura de Informaes7

Gesto

Processo Decisrio
Fluxo de Informaes
Modelo de Dados
Sistemas de Informao

Tecnologia da
Informao

Infra-estrutura de
Hardware/Software

Segundo o IT Governace Institute, a sobrevivncia e o sucesso de uma organizao


diante desse novo mercado globalizado, onde os tempos e as distncias foram suprimidos,
esto no efetivo gerenciamento das informaes e de suas relativas tecnologias. Ou seja, as
organizaes precisam gerenciar sua arquitetura de informaes como um todo, desde a infraestrutura at as informaes, passando pelos sistemas e processos geradores dessas
informaes.

RODRIGUEZ, M. V. R. Gesto Empresarial: organizaes que aprendem. Rio de Janeiro: Qualitymark,


2002.

17

Para muitas empresas, essas informaes e tecnologias que as suportam so seus


principais ativos. Por isso, o gerenciamento da informao e suas tecnologias precisam
garantir, entre outras coisas, a distribuio, a segurana e integridades das informaes.

Nesse contexto em que a tecnologia da informao assume um papel estratgico


dentro das organizaes, surgem os modelos de governana em TI com o objetivo de auxiliar
estas organizaes a gerir suas reas de tecnologia, fornecendo ferramentas e mtricas que
garantam o alinhamento entre os processos de TI e os objetivos estratgicos da organizao.

O conceito de governana em TI derivado do conceito de governana corporativa.

Instituto

Brasileiro

de

Governana

Corporativa

define

governana

corporativa como o sistema pelo qual as sociedades so dirigidas e monitoradas, envolvendo


os relacionamentos entre Acionistas/Cotistas, Conselho de Administrao, Diretoria,
Auditoria Independente e Conselho Fiscal.

As boas prticas de governana corporativa tm a finalidade de aumentar o valor da


sociedade, facilitar seu acesso ao capital e contribuir para a sua perenidade, de forma
transparente, com os custos e riscos controlados.

Com o mesmo intuito, a rea de TI das empresas vem investindo esforos e recursos
financeiros, para instituir o que foi denominado de Governana de TI - um conjunto de
processos que direciona a estratgia de Tecnologia da Informao, garantindo que a TI possa
suportar as estratgias e objetivos do negcio.

O IT Governance Institute define a Governana de TI como uma estrutura de


relacionamentos e processos, para dirigir e controlar a organizao no sentido de atender os
objetivos dessa organizao, adicionando valo r, ao mesmo tempo em que equilibra os riscos
em relao ao retorno da TI e seus processos.

No se tem conhecimento de quando esse termo surgiu, mas o certo que esses
conceitos de governana tm influenciado as organizaes, e a partir da muitos modelos e
metodologias foram criados e disseminados, e hoje j so utilizados por vrias empresas.

18

No caso da Governana em TI, foco deste trabalho; alguns dos modelos mais
conhecidos so

Cobit Control Objectives for Information and related Technology;

ITIL - IT Infrastructure Library;

BS7799 Information Security Standard;

CMM / CMMI - Capability Maturity Model / Capability Maturity Model

Integration.
Cada um desses modelos tem focos distintos.

O Cobit fornece boas prticas para o alinhamento dos processos de TI s necessidades


do negcio, focado em governana, controle e auditoria de tecnologia da informao.

O ITIL uma estrutura de padro e prticas para o gerenciamento da operao e da


infra-estrutura de TI.

O BS7799 um padro, com guias e recome ndaes sobre as boas prticas de gesto
de segurana.

O CMM / CMMI uma certificao concedida pelo Software Engeneering Institute


que mede o grau de maturidade dos processos de desenvolvimento de software.

Apesar de cada modelo ter um foco diferente, eles no so mutuamente excludentes


(MINGAY e BITTINGER, 2002) 8 , podem ser combinados para prover um melhor
gerenciamento da tecnologia, garantindo no s o suporte tecnolgico necessrio, para que a
organizao atinja seus objetivos estratgicos com qualidade e preo competitivo, mas
tambm a satisfao dos seus clientes.
Rubin (2004) 9 chama essa combinao dos modelos de mix de gesto. Segundo a
autora, para muitas empresas, a adoo de um desses modelos pode no ser suficiente. A
8

MINGAY, S; BITTINGER, S. Combine CobiT and ITIL for Powerful IT Governance, in Research Note,
TG-16-1849, Gartner, 2002. Dis ponvel em http://www3.gartnet.com. Acesso em: mai. 2005
9
RUBIN, Rachel. ITIL: Grito de Guerra. Information Week. So Paulo, n. 112, 2004.

19

melhor opo pode ser a combinao de mais de um modelo, conforme demonstra a figura
abaixo.

FIGURA 2: Integrao dos modelos de governana de TI10

OBJETIVOS DE NEGCIO

GOVERNANA DE TI
Processos

CobiT

Operao

ITIL

Inovao

CMMI

Segurana

BS 7799

No Brasil e no mundo algumas empresas, vm adotando esses modelos e suas


combinaes.

A construtora Odebrech, por exemplo, combina o ITIL com o Cobit na sua estratgia
de gesto de TI.

10

Adaptado de CID, Miranda; PIMENTEL, Luis F. Fundamentos de Governana de TI. In. SEMINRIO
SUCESU, 2005. Rio de Janeiro

20

A CASSI adotou o ITIL em 2003 e, em alguns projetos segue tambm a metodologia


do CMM, assim como o Banco Santander, que tambm combina esses dois modelos.

A ABN Amro Bank do Brasil adotou o ITIL em 2002 e j tem bons resultados
mensurados e divulgados, como:11
-

aumento de 58% da produtividade;

aumento de 38% do nvel de servio (medido pelo nmero de chamadas

atendidas por segundo no Help Desk);


-

reduo de custo de 19% no perodo de 2002 para 2003.

A Companhia Area GOL iniciou, em 2004, um trabalho para melhorar a governana


da Empresa e da TI, instituindo um comit de TI. Foram feitos um diagnstico da maturidade
dos processos com o Cobit e a implementao do modelo.

O uso de modelos de gesto de TI vem crescendo medida que a competitividade do


mercado fora as empresas a se preocuparem cada vez mais com a qualidade dos servios
prestados e com os custos de suas operaes, pois esses modelos permitem um melhor
gerenciamento do nvel de servio por meio da padronizao.

1.2. QUESTO PROBLEMA

No caso das empresas pblicas brasileiras, em funo da complexidade administrativa


e das restries oramentrias, adotar um modelo de governana em TI e implant- lo de
forma integral pode ser um projeto difcil e muito longo.

A soluo para essas empresas pode estar na implantao de parte do modelo ou da


combinao deles, ou seja, adequar o modelo escolhido para a realidade de cada uma das
empresas; colocando em prtica as recomendaes consideradas mais relevantes para a
organizao.

11

RUBIN, Rachel. ITIL: Grito de Guerra. Information Week. So Paulo, n. 112, 2004.

21

No caso particular da Dataprev, visando atender a alguns objetivos estratgicos,


definidos no Planejamento Estratgico Participativo 2004-2007, alguns projetos vm sendo
desenvolvidos, com esse foco de adaptao e combinao dos modelos de gesto de TI.

O primeiro deles, com foco no desenvolvimento de software, buscou identificar os


impactos na qualidade de produtos de software na Dataprev, sob a tica do cliente,
ocasionados pela utilizao das prticas e proposies do modelo CMM (Capability Maturity
Model), no desenvolvimento de projetos de software.

O segundo projeto baseado no modelo ITIL e tem como objetivo elaborar uma
poltica de gerncia de configurao da infra-estrutura que compe a Rede de
Telecomunicaes da Previdncia Social, seguindo as recomendaes e prticas desse modelo
de referncia.

O presente estudo se insere nesse contexto como mais um projeto, objetivando


responder a seguinte questo:

Qual a adequabilidade do modelo Cobit para a realidade de uma Empresa Pblica de


Tecnologia da Informao?

Para fazer esta anlise, pretende-se identificar, entre os 34 objetivos de controle do


modelo Cobit, quais so os mais relevantes para a realidade da Dataprev, na viso dos
gestores de tecnologia da Empresa.

1.3. OBJETIVOS

Objetivo Principal
Realizar um estudo de caso, aplicando as recomendaes e prticas de governana de
TI, preconizadas pelo modelo Cobit, em que sero identificados os processos de TI relevantes
para a empresa em estudo.

22

Objetivos Intermedirios
1.

Analisar os modelos atuais de governana em TI.

2.

Identificar os principais objetivos de controle do modelo Cobit adequados

realidade da Empresa.
3.

Identificar quais prticas/objetivos de controle, recomendados pelo modelo, j

so adotados pela Empresa.


4.

Identificar os processos relevantes para a Organizao.

1.4. RELEVNCIA DO TEMA

Para a pesquisadora

Por atuar na rea de gesto de TI h aproximadamente oito anos, a pesquisadora se


props a buscar pela excelncia na gesto dos processos e a soluo para os problemas
enfrentados no dia-a-dia das organizaes, na rea de tecnologia.

Os resultados deste trabalho permitiro desenvolver a capacidade profissional da


pesquisadora dentro das reas de produo e gesto de TI da Empresa pesquisada.

Para a Empresa

Com um modelo de gesto de TI adequado sua realidade - resultado deste estudo, a


Empresa poder adotar as melhores prticas de gesto, visando melhoria de seus processos e
a prestao de servios de melhor qualidade aos seus clientes.

Para a Universidade

O estudo da adequao de um modelo de gesto de TI realidade de uma empresa


brasileira pode despertar o interesse de outros pesquisadores, que podero encontrar novos
caminhos para estudos em organizaes de diferente porte e estrutura administrativa da

23

Empresa pesquisada neste trabalho, alm de ampliar o campo de pesquisa da universidade na


rea de gesto de tecnologia.

1.5. DELIMITAO DO ESTUDO

O presente trabalho teve a pretenso de desenvolver o estudo baseado no modelo de


governana de TI Cobit, na Empresa de Tecnologia e Informaes da Previdncia Social Dataprev, ficando, portanto, limitado realidade dessa Empresa e s prticas recomendadas
por esse modelo de gesto.

Cabe esclarecer que, dos 352 objetivos de controle do modelo Cobit, somente 34
foram analisados por serem considerados de alto nvel, como previstos no modelo. Da mesma
forma no se incluem nesta tarefa os demais modelos de gesto de TI existentes.

Foram considerados alvos de pesquisa somente os gerentes e os supervisores da


Diretoria de Operaes e Telecomunicaes da referida empresa, excluindo, portanto, os
funcionrios de nvel mdio dessa Diretoria e os funcionrios das demais reas da empresa.

Consideraram-se como objetos de observao o diagnstico resultante dos


questionrios aplicados e a anlise de suas informaes.

24

2. REVISO DA LITERATURA

2.1 A TI COMO VANTAGEM COMPETITIVA

(...) a tecnologia da informao uma alavanca cada vez mais importante


disposio das empresas para criar vantagem competitiva. (PORTER/MILLAR, 1999) 12

Com grande velocidade, a acentuada reduo nos custos da tecnologia de sistemas de


informao (...) permitiu que os sistemas de computadores se transferissem de sistemas de
suporte

atividades

de

escritrio,

para

sistemas

que

oferecem

vantagem

competitiva.(MCFARLAN, 1998) 13

Alguns autores contestam essa importncia estratgica da tecnologia da informao,


reavaliando a relao direta do investimento em tecnologia com o ganho de produtividade.
Para Nicholas Carr (2003)14 , a TI se tornou uma commodity, deixando de ser uma
vantagem competitiva, uma vez que est disponvel para todos. A premissa de que a
disseminao da TI aumentou o seu valor estratgico errada na viso de Carr. Segundo o
autor, o que torna um recurso estratgico o que o capacita a servir de base para uma
vantagem competitiva sustentada no sua ubiqidade, mas sua escassez.

Robert Solow, prmio Nobel em 1987, com a frase "vemos o computador por toda
parte, menos nas estatsticas de produtividade", sintetizou o que ficaria conhecido como
paradoxo da produtividade, abrindo, assim, a discusso sobre o verdadeiro impacto da
tecnologia da informao nos ndices de produtividade.

12

PORTER, M. E.; MILLAR, V. E. Como a informao proporciona vantagem competitiva. In: PORTER,
M.E.. Competio on competition: estratgias competitivas essenciais. Rio de Janeiro: Campus, 1999. p. 83106.
13
MCFARLAN F. W. A tecnologia da informao muda sua maneira de competir. In: RODRIGUEZ, M. V.
R. Gesto Estratgica. Rio de Janeiro: Elsevier, 2005.
14
CARR, Nicholas G.TI j no importa. Harvard Business Review Amrica Latina, vol.
81, n 5, p. 30-. 37, maio, 2003

25

Diante desse novo cenrio da tecnologia, Nicholas Carr (2003) 15 afirma que as
empresas devem reavaliar seus mtodos e investimentos em TI e relaciona as trs diretrizes
bsicas para o futuro da gesto de TI:

gastar menos;

seguir as lideranas tecnolgicas;

focar na segurana do ambiente tecnolgico.

Para Strassmann (2003)16 essas recomendaes fazem parte de polticas adotadas h


50 anos e afirma que os produtos de TI so diversos e no podem ser considerados
commodity.
McFarlan e Nolan (2003)16 compartilham da idia de que a TI permanece com o seu
valor estratgico. Para eles, as novas tecnologias continuaro a trazer vantagens para as
organizaes atravs da diferenciao por servios, produtos ou custo. E orientam os novos
gestores a olharem para o uso da TI, focando o custo e a eficincia, para o incremento de
produtos e servios, ou a criao de novos servios baseados em TI, visando ampliar a
proposta de valor aos clientes.
Para McFarlan (APUD Mariano, 2003) 17 , a possibilidade de combinao dos servios
com as novas tecnologias potencializa as inovaes que sustentaro a diferena dos
competidores.

A TI deve ser entendida como uma ferramenta de suporte ao negcio de uma empresa
(RODRIGUEZ, 2002) 18 . E, para que seja realmente uma vantagem competitiva, devem ser
feitas uma anlise das necessidades tecnolgicas da organizao e uma avaliao dos riscos de
investimento nessas tecnologias.

15

CARR, Nicholas G.TI j no importa. Harvard Business Review Amrica Latina, vol.
81, n 5, p. 30-. 37, maio, 2003
16
Does IT matter? HBR debate. Harvard Business Review - letters to the editor, junho, 2003
17
MARIANO, Sandra R. H. A lgica perversa do investimento em TI. Valor Econmico, So Paulo, 26 set.
2003. Disponvel em http://sandramariano.com.br. Acesso em: fev. 2005
18
RODRIGUEZ, M. V. R. Gesto Empresarial: organizaes que aprendem. Rio de Janeiro: Qualitymark,
2002.

26

Cada empresa deve escolher a tecnologia mais adequada ao seu perfil e no investir no
que existe de mais moderno no mercado (QUINTELLA e BOGADO,2004) 19
Para Mariano (2003) 20 , uma soluo para evitar desperdcio de investimento em TI
pode estar na adoo de metodologias que avaliem sistematicamente os investimentos em TI a
partir de indicadores de eficincia e cenrios ps-implantao.

2.2 INVESTIMENTOS EM TI E METODOLOGIAS DE AVALIAO

A criao e a manuteno de uma infra-estrutura de TI requerem investimentos que


muitas vezes so questionados pela alta administrao da empresa, por duvidar dos reais
benefcios da tecnologia.
Para Faria (2004)21 , o grande desafio das organizaes justamente comprovar esses
benefcios diretos e indiretos da TI no desempenho dos negcios.
Albertin e Moura (2004) 22 definem esses benefcios da TI como custo, produtividade,
flexibilidade, qualidade e inovao. E reforam que esses benefcios devem ser para os
negcios e aproveitados no negcio. A figura abaixo representa esses benefcios e seu
aproveitamento no negcio da organizao.

19

QUINTELLA, Heitor M.; BOGADO, Svio D. C. Anlise bibliogrfica e mapeamento da produo de um


grupo de pesquisa sobre o uso competitivo da tecnologia de informao. Engevista, v.6, n.2, p. 36-47.
Agosto de 2004
20
MARIANO, Sandra R. H. A lgica perversa do investimento em TI. Valor Econmico, So Paulo, 26 set.
2003. Disponvel em http://sandramariano.com.br. Acesso em: fev. 2005
21
FARIA, Fabio. Prefcio. In: ALBERTIN, L. A.; MOURA, R. M. (Organizadores). Tecnologia de Informao.
So Paulo: Atlas, 2004.
22
ALBERTIN, A. L.; MOURA, R. M. (Organizadores). Tecnologia de Informao. So Paulo: Atlas, 2004.

27

FIGURA 3: Benefcios da TI e seu aproveitamento no negcio.

23

Entretanto, a deciso sobre os investimentos em TI no uma tarefa fcil.


Leite (2004) 24 diz que a dificuldade na deciso de investimentos em TI se origina de
vrios pontos, a saber:

- a volatilidade das tecnologias;


- a diversidade de opes;
- a possibilidade de "aprisionamento" a uma tecnologia ruim;
- a possibilidade de no recuperar o investimento realizado em uma tecnologia errada.

Visando minimizar os erros nas decises de investimentos em TI, existem algumas


metodologias de avaliao desses investimentos.
Essas metodologias, segundo a definio de Sanchez e Albertin (2004) 25 , esto
divididas em duas categorias:

23

ALBERTIN, A. L.; MOURA, R. M. (Organizadores). Tecnologia de Informao. So Paulo: Atlas, 2004.


LEITE, Jaci C. Decises de investimentos em tecnologia de informao. In: ALBERTIN, L. A.; MOURA,
R. M. (Organizadores). Tecnologia de Informao. So Paulo: Atlas, 2004.
25
SANCHEZ, O. P.; ALBERTIN, A. L. Investimentos efetivos em tecnologia de informao. In: In:
ALBERTIN, A. L.; MOURA, R. M. (Organizadores). Tecnologia de Informao. So Paulo: Atlas, 2004.
24

28

ex-ante;

ex-post.

A avaliao ex-ante realizada antes do incio do projeto, visando coletar informaes


relevantes para sua execuo; enquanto que a avaliao ex-post feita aps a finalizao do
projeto, analisando todos os recursos e processos utilizados.

Metodologias ex-post:
- Gastos e Investimentos Totais (Indice g) o gasto total de TI dividido pelo
faturamento, ou seja, o ndice G o gasto total destinado TI como um percentual do
faturamento lquido da empresa. O gasto total a soma de todos os investimentos, despesas e
verbas alocadas em Informtica, incluindo equipamento, instalaes, suprimentos e materiais
de consumo, software, servios, teleprocessamento e custo direto e indireto com pessoal
prprio e terceirizado trabalhando em sistemas, suporte e treinamento em Informtica.

- Custo anual por teclado (CAPT) o gasto anual com TI dividido pelo nmero de
teclados existentes na organizao. O clculo para o gasto anual com TI o mesmo feito no
ndice G, ou seja, soma de todos os investimentos, despesas e verbas alocadas em
Informtica, incluindo equipamento, instalaes, suprimentos e materiais de consumo,
software, servios, teleprocessamento e custo direto e indireto com pessoal prprio e
terceirizado trabalhando em sistemas, suporte e treinamento em Informtica.

- Total Cost of Ownership (TCO) uma frmula para o clculo do custo de possuir e
operar uma soluo de TI. O custo deve considerar hardware, licenas de software,
manuteno, upgrades, suporte tcnico, segurana, treinamento, administrao, tempo de
operao.

Metodologias ex-ante:
- ndice de rentabilidade este ndice, tambm conhecido como quociente benefcio /
custo, obtido pela diviso do valor presente dos fluxos de caixa futuros pelo valor do
investimento original.

29

- Valor presente lquido (VPL) - a diferena entre o valor de mercado de um


investimento e o seu custo, ou seja, uma medida do valor que adicionado hoje por realizar
um investimento.

- Balance Score Card (BSC) um conjunto de indicadores que proporciona aos


gerentes uma viso rpida, embora abrangente, de toda a empresa. (KAPLAN, 2004) 26 Esses
indicadores so divididos em 4 perspectivas: perspectiva financeira, perspectiva do cliente,
perspectiva interna da empresa e perspectiva de inovao e aprendizado.

A pesquisa realizada em 2004 pelo Centro de Informtica Aplicada da Escola de


Administrao de Empresas de So Paulo da Fundao Getlio Vargas 27 mostra alguns
nmeros dos investimentos em TI das mdias e grandes empresas privadas do Brasil,
baseados no indicador Gastos e Investimentos Totais (ndice g).
GRFICO 1: ndice G27

26

KAPLAN, Robert S. Kaplan e Norton na prtica. Rio de Janeiro: Elsevier, 2004.


MEIRELLES, Fernando S. Gastos, investimentos e indicadores nas empresas: evoluo e tendncias. In:
ALBERTIN, L. A.; MOURA, R. M. (Organizadores). Tecnologia de Informao. So Paulo: Atlas, 2004.
27

30

GRFICO 2: ndice G por setor28

O ndice G apresenta variaes em funo do porte, nvel de informatizao e o setor


que a empresa est inserida.

O crescimento do ndice diretamente proporcional ao nvel de informatizao das


empresas. Isto pode ser comprovado, ao se analisarem os nmeros do setor bancrio brasileiro,
considerado o ramo da economia que mais investe em tecnologia.
GRFICO 3: ndice G do setor bancrio28

28

MEIRELLES, Fernando S. Gastos, investimentos e indicadores nas empresas: evoluo e tendncias. In:
ALBERTIN, L. A.; MOURA, R. M. (Organizadores). Tecnologia de Informao. So Paulo: Atlas, 2004.

31

Se compararmos os ndices de investimento brasileiros com os dos pases do Primeiro


Mundo, veremos que a mdia nacional ainda est muito abaixo da mdia desses pases.
TABELA 1: ndice G por regio ou pais 29

Regio/Pais

1994

1998

2000

Estados Unidos

4%

6,5%

8%

Europa

2,9%

4%

5%

Brasil

2,6%

3,4%

4%

Amrica Latica

1,6%

2,2%

3%

Para Meirelles (2004)29 , existe muito espao para que os valores do ndice G nacional
atinjam os nveis dos pases desenvolvidos. Ou seja, as empresas brasileiras tm ainda muito
potencial para investimento em novas tecnologias.

Entretanto, conforme j alertado, as organizaes devem compreender e controlar os


riscos associados no uso de novas tecnologias, assim como devem alinhar as estratgias de TI
com as estratgias de negcio, visando obter a vantagem competitiva e a sustentabilidade da
organizao.

A adoo de um modelo de gesto de TI ou a combinao de mais de um deles,


conforme j dito anteriormente, pode auxiliar as empresas no gerenciamento e no controle das
suas iniciativas de TI, dando suporte ao processo decisrio.

29

MEIRELLES, Fernando S. Gastos, investimentos e indicadores nas empresas: evoluo e tendncias. In:
ALBERTIN, L. A.; MOURA, R. M. (Organizadores). Tecnologia de Informao. So Paulo: Atlas, 2004.

32

2.3 GOVERNANA DE TI

Neste contexto, visando a melhorias no processo de anlise dos riscos de


investimentos em TI e a garantia do gerenciamento e do controle das iniciativas de TI na
empresa, dando subsdios para o processo de tomada de deciso, surge o movimento
conhecido como Governana de TI.

O termo Governana de TI definido pelo IT Governance Institute como uma


estrutura de relaes e processos a qual dirige e controla uma organizao, a fim de atingir
seus objetivos de adicionar valor ao negcio atravs do balanceamento do risco com o retorno
do investimento de TI.

A governana de TI, conforme sua prpria definio, se baseia na gerncia dos


processos da empresa. As disciplinas de TI podem colher benefcios quando passam a adotar
tcnicas de gesto por processos em suas atividades, pois estes criam visibilidade, implantam
conceitos de servios e seu gerenciamento, alm de criar enorme integrao entre as diversas
reas da empresa. (NETO, 2004) 30

Em TI existem diversos modelos e padres adotados pelo mercado que utilizam os


conceitos de processo como base. Esses padres so adotados espontaneamente ou quando
exigidos por clientes ou rgos reguladores. Como o caso da lei americana Sarbanes-Oxley,
que gera um conjunto de novas responsabilidades e sanes aos administradores com o
objetivo de coibir prticas lesivas que possam expor as sociedades annimas a elevados nveis
de risco.

Entre os diversos modelos de governana de TI existentes, os mais difundidos e que


sero tratados de forma mais detalhada nas sesses seguintes so:

- ITIL (IT Infrastructure Library) : Elaborado pelo governo britnico para fornecer as
diretrizes para implementao de uma infra-estrutura otimizada de TI. um conjunto de

30

NETO, Joo C. Processos em sistemas e TI um guia bsico. So Paulo: DROMOS Tecnologia e Gesto,
2004.

33

melhores prticas para gerir o planejamento, gerenciamento de incidentes e problemas,


mudanas, configuraes, operaes, capacidade, disponibilidade e custos dos servios de TI.

- CMM/CMMI (Capability Maturity Model / Capability Maturity Model) : uma


certificao concedida pelo Software Engeneering Institute (SEI), da Universidade de
Carnegie Mellon (USA), que mede o grau de maturidade no processo de desenvolvimento de
software.

- BS7799 (Information Security Standard): Norma internacional, de origem britnica,


para segurana em TI. Abrange os aspectos de segurana fsica do ambiente, passando por
pessoas e detalhando cuidados essenciais das questes relacionadas a rede de comunicao,
aplicativos e acesso remoto.

- Cobit (Control Objectives for Information and related Technology): Guia para a
gesto de TI recomendado pelo Informations Systems Audit and Control Foundation (ISACF)
que fornece informaes detalhadas para gerenciar processos baseados nos objetivos de
negcios.

2.4 MODELOS DO GOVERNANA DE TI

2.4.1 ITIL - IT Infrastructure Library

ITIL, abreviao para IT Infrastructure Library, uma metodologia de gesto de TI


que surgiu no final dos anos 80 em funo da necessidade de se ter processos organizados e
claros na rea de TI. A metodologia foi criada pela Secretaria de Comrcio Britnica, a partir
de pesquisas feitas por consultores, especialistas e doutores, com o objetivo de desenvolver as
melhores prticas para a gesto da rea de TI, nas empresas pblicas e privadas, alinhar os
servios de TI s necessidades de negcios destas empresas, melhorar a produtividade
garantindo a execuo de servios TI de uma forma controlada, padronizada e otimizada,
alm de aumentar satisfao da equipe de TI e dos clientes.

34

As melhores prticas do modelo ITIL abrangem cinco processos de suporte a servios,


cinco processos relacionados entrega de servios, alm do Service Desk.

Os processos de entrega de servios so relacionados com a elaborao dos acordos


entre a organizao de TI e seus clientes e com a monitorao dos objetivos para que esses
acordos sejam cumpridos. Paralelamente, no nvel operacional, os processos de suporte a
servios podem ser visto como o apoio entrega dos servios. So processos relacionados ao
dia-a-dia da TI e a manuteno da satisfao do cliente.

Os processos de suporte a servios so:

Gerenciamento de Incidentes
Gerenciamento de Problemas
Gerenciamento de Mudanas
Gerenciamento de Liberaes
Gerenciamento de Configuraes

A Gerncia de Incidentes responsvel pelo registro, classificao, priorizao e


fechamento de um incidente, visando restaurar o servio o mais rpido possvel, minimizando
o impacto para os clientes.

A Gerncia de Problemas tem o objetivo de minimizar os nmeros e os impactos de


novos incidentes e problemas, prevenindo sua recorrncia.

A Gerncia de Mudana deve avaliar, autorizar, testar e programar as mudanas


decorrentes da soluo de problemas, garantindo a utilizao de mtodos e padres
predefinidos.

A Gerncia de Liberao gerencia e implementa as mudanas, garantindo a


integridade do ambiente de produo.

A Gerncia de Configurao monitora e controla todos os itens de configurao da


infra-estrutura de TI fornecendo suporte para os demais processos.

35

Os processos relacionados entrega de servios so:

Gerenciamento de Capacidade
Gerenciamento Financeiro
Gerenciamento de Disponibilidade
Gerenciamento de Nveis de Servios
Gerenciamento de Continuidade de Servios de TI

A Gerncia de Capacidade faz a gesto dos recursos de TI para manter a performance


dos servios conforme acordado com o cliente, alm de monitor as demandas futuras do
negcio, para garantir que a infra-estrutura de TI possa suportar estas demandas, de forma
eficiente e com custo aceitvel.

A Gerncia Financeira realizada a previso oramentria e faz a contabilidade gerindo


a rea de TI com um negcio dentro da organizao.

A Gerncia de Disponibilidade tem como objetivo garantir a entrega dos servios de


forma estvel e a um custo aceitvel que permita que os objetivos do negcio sejam atingidos.
Esta intimamente ligada Gerncia de Nveis de Servio.

Esta, gerencia os acordos e contratos de nveis de servios realizados entre a empresa


de TI e seus clientes, a fim de manter e melhorar gradualmente a qualidade dos servios
prestados.

A Gerncia de Continuidade de Servios de TI nada mais do que o plano de


contingncia da infra-estrutura de TI, buscando a recuperao dos servios de TI dentro de
prazos negociados e aceitveis para o negcio.

O Service Desk funciona como um ponto de contato nico entre clientes, usurios dos
servios de TI e a organizao, sendo responsvel por diversas funes de suporte.

O Service Desk o responsvel pelo registro de todos os incidentes que aparecem,


qualquer que seja a fonte inicial. Quando o incidente for resolvido, o Service Desk deve

36

assegurar que o registro do incidente tenha sido completado e esteja correto e que a resoluo
tenha sido aceita pelo cliente.

Todos os incidentes devem ser registrados em termos de sintomas, dados de


diagnstico bsico e informaes sobre o item de configurao e servios afetados.

O gerenciamento de problema deve identificar a raiz do incidente (problemas), tais


como os itens de configurao que esto falhos e prover o Service Desk com informaes e
conselhos sobre a busca da soluo, quando disponvel. O processo precisa ser
cuidadosamente gerenciado e planejado. As atividades de controle do problema incluem a
identificao do problema, o registro, a classificao, a investigao e o diagnstico.

Todas as informaes relacionadas ao gerenciamento de problemas, incluindo a


concluso da reviso de problemas maiores, integrados com as informaes de gerenciamento
do controle de incidentes produzidos pelo Service Desk, devem ser fornecidas na forma de
relatrios gerenciais, dando visibilidade para a alta administrao da infra-estrutura de TI da
organizao e apoiando o processo de tomada de deciso.

2.4.2 CMM/CMMI - Capability Maturity Model / Capability Maturity Model


Integration

O CMM foi desenvolvido pelo SEI Software Engineering Institute (Instituto de


Engenharia de Software) sediado na Carnegie Mellon University em Pittsburgh,
Pennsylvania, Estados Unidos, com o objetivo de ajudar as organizaes a conhecerem e
melhorarem seus processos de desenvolvimento e manuteno de software, atravs de uma
estrutura (framework) que descreve os principais elementos de um processo de software
efetivo. (FIORINI, 1998) 31

31

FIORINI, S.; STAA, A.; BAPTISTA, R. Engenharia de Software com CMM. Rio de Janeiro:Brasport,
1998.

37

O CMM descreve os estgios atravs dos quais as organizaes de software devem


evoluir quando definem, implementam, medem, controlam e melhoram seus processos de
software.

Essa estrutura dividida em cinco nveis de maturidade mostrada na Figura 3, onde


cada nvel compreende um conjunto de objetivos de processos que, quando satisfeitos,
estabilizam um componente importante do processo de software. Ao alcanar cada nvel da
estrutura de maturidade, so estabelecidos diferentes componentes no respectivo processo,
resultando em um crescimento na capabilidade do processo da organizao.
FIGURA 4: Os cinco nveis de maturidade do processo de software 32 .

O CMM foi concebido como um modelo de capacitao especfico para a rea de


software. Com foca mais abrangente, o CMMI, considerado uma evoluo do modelo CMM,
integra os aspectos de processo de software, de engenharia de sistemas e definio de
produtos.
32

Adaptado de PAULK, Mark. C. et al. Capability Maturity Model for Software. Version 1.1. Software
Engineering Institute, 1993.

38

Pode-se dizer que o desenvolvimento do CMMI foi motivado dentre outros, pelos
seguintes fatores:
necessidade de se unificar os vrios modelos de CMM existentes, com a criao de
um framework comum.
o CMM somente contempla uma forma de representao (Estgio), o que d pouca
flexibilidade ao modelo, dificultando a sua implementao em organizaes que tinham
interesse em implementar nveis de maturidade distintos para reas de processo especficas.

O framework definido para o CMMI permite a gerao de mltiplos modelos,


relacionados com a representao escolhida (por estgio ou contnua).

A representao por Estgio tem foco na melhoria dos processos de forma sistmica e
estruturada, permitindo que a organizao tenha um caminho pr-definido para estas
melhorias. O alcance dos processos de cada estgio garante o embasamento para os estgios
superiores. Esta representao facilita o processo de migrao do CMM para o CMMI.

J a representao Contnua foca na melhoria do desempenho atravs de processos


especficos, que devem ser selecionados pela organizao e evoludos de acordo com seus
objetivos estratgicos.

Na verso atual do modelo CMMI so contempladas quatro disciplinas, sendo que as


trs primeiras j pertenciam famlia de modelos do CMM:

Engenharia de Sistemas (SE- Systems Engineering)

Engenharia de Software (SW- Software Engineering )

Desenvolvimento Integrado de Produto e Processo(IPPD-CMM; Integrated

Product and Process Development)

Contratao e Gesto de Fornecedores (SS- Supplier Sourcing)

A primeira disciplina, Engenharia de Sistemas (SE- Systems Engineering) cobre o


desenvolvimento total dos sistemas, podendo ou no incluir o software. Esta disciplina foca

39

na transformao das necessidades e expectativas dos clientes em solues completas,


garantindo o suporte a esta soluo durante todo a vida do produto.

A disciplina de Engenharia de Software (SW- Software Engineering) cobre o


desenvolvimento de sistemas de software, focando em processos sistemticos, discip linados e
quantificveis aplicados ao desenvolvimento, operao e manuteno do software.

O Desenvolvimento Integrado de Produto e Processo(IPPD-CMM; Integrated


Product and Process Development) foca na colaborao dos stakehoders durante todo a
vida do produto, para satisfazer as necessidades, expectativas e exigncias do cliente. Os
processos para suportar a disciplina IPPD so integrados com os outros processos da
organizao. As reas de processo do IPPD, seus objetivos e prticas especficas sozinhos no
podem conseguir sucesso. Se um projeto ou uma organizao escolher IPPD, devem executar
suas prticas simultaneamente com outras prticas usadas para o desenvolvimento de
produtos, como por exemplo, as reas de processo da Engenharia de Sistemas ou Engenharia
de Software.

Durante o processo de desenvolvimento de produtos, a organizao pode identificar a


necessidade de se utilizar fornecedores para executar funes especficas em um projeto.
Quando estas funes so crticas, o projeto deve monitorar as atividades desempenhadas
pelos fornecedores antes da entrega do produto ao cliente. A disciplina Contratao e Gesto
de Fornecedores (SS- Supplier Sourcing) auxiliar a organizao na escolha e no
monitoramento destes parceiros.

Da famlia de modelos CMM no foram contempladas no modelo CMMI as


disciplinas:

Aquisio de Software (SA-CMM) e

Gesto de Recursos Humanos (P-CMM ou People Capability Maturity Model).

Essas disciplinas ficaram de ser incorporadas em verses futuras do CMMI. Alm


dessas, ainda est prevista a incluso de novas disciplinas no futuro, conforme a demanda do
mercado.

40

2.4.3 BS7799 - Information Security Standard

O BSI (British Standart Institute) criou a norma BS7799, considerado o mais


completo padro para gerenciamento da Segurana da Informao, com o objetivo de fornecer
recomendaes gesto da segurana para uso daqueles que so responsveis pela introduo,
implementao ou manuteno da segurana nas empresas.

A norma BS7799 divida em duas partes, a saber:

Parte 1: Cdigo de Prtica para Gesto da Segurana da Informao

Esta parte contm apenas recomendaes de segurana, e, portanto, no objeto de


certificao. Apresenta dez sees com requisitos gerais de vrios grupos de controle:

1.

Poltica de Segurana

2.

Segurana Organizacional

3.

Classificao e Controle dos Ativos de Informao

4.

Segurana de Pessoas

5.

Segurana Fsica e do Ambiente

6.

Gerenciamento das Operaes e Comunicaes

7.

Controle de Acesso

8.

Desenvolvimento e Manuteno de Sistemas

9.

Gesto de Continuidade do Negcio

10.

Conformidade

Em dezembro de 2000, essa parte da BS7799 se tornou norma oficial da ISO sob
cdigo ISO/IEC 17799 (IEC - Internacional Eletrotecnical Commission )

Em agosto do ano seguinte, o Brasil adotou esta norma ISO como seu padro atravs
da ABNT, sob o cdigo NBR ISO/IEC 17799.

41

Parte 2: Especificao de Sistema de Gesto de Segurana da Informao

Esta parte da norma define o SGSI Sistema de Gesto de Segurana da Informao,


que objeto de certificao. A adoo da BS7799 Parte 2 como norma ISO est em estudo
inicial e no h previso para concluso desse trabalho em curto prazo.

O BS7799 abrange as questes de segurana de forma ampla desde os aspectos de


segurana fsica do ambiente, passando por pessoas, at os cuidados essenciais com a rede de
comunicao, aplicativos e acesso remoto.

O padro define as dez reas especficas de gesto da segurana, composta por


aproximadamente 127 controles.

Esses podem ser selecionados a partir da norma ISO/IEC 17799 ou de outro conjunto
de controles, ou ainda novos controles podem ser desenvolvidos para atender necessidades
especficas, quando apropriado.

A norma ISO/IEC 17799 considera alguns controles como princpios bsicos para
gesto da segurana da informao, fornecendo um ponto de partida para implementao da
segurana da informao na maioria das organizaes.

Esses controles so baseados nos requisitos legais e nas melhores prticas de


segurana da informao normalmente usadas.

Os controles considerados essenciais para uma orga nizao, sob o ponto de vista legal,
incluem:

proteo de dados e privacidade de informaes pessoais;

salvaguarda de registros organizacionais;

direitos de propriedade intelectual.

Os Controles considerados como melhores prticas para a segurana da informao,


incluem

42

documento da poltica de segurana da informao;

definio das responsabilidades na segurana da informao;

educao e treinamento em segurana da informao;

relatrio dos incidentes de segurana;

gesto da continuidade do negcio.

Apesar desses controles servirem de ponto de partida para elaborao da poltica de


segurana, anlise de risco no pode ser descartada.

A relevncia de qualquer controle deve ser determinada luz de riscos especficos que
uma organizao est exposta, permitindo que se elabore uma poltica de segurana em
conformidade com a realidade e necessidades desta organizao.

2.4.4 COBIT - Control Objectives for Information and related Technology

Em 1996, a Information Systems Audit and Control Foundation (ISACF) publicou a 1


edio da ferramenta Cobit (Control Objectives for Information and Related Technology) com
objetivo de criar um guia para a gesto de TI focado no controle e anlise dos sistemas de
informao.

A 2 edio foi publicada em 1998, e trouxe como novidade mais um documento


Guia de Implementao, alm de revisar e detalhar os objetivos de controle.

A 3 e ltima edio do Cobit foi publicada em 2000 pelo IT Governance Institute.


Este instituto, formado pelo Information Systems Audit and Control (ISACA) e suas
Fundaes, foi criado em 1998 com o objetivo de avanar nos estudos sobre os princpios de
governana de TI.

O Cobit foi baseado originalmente nos Objetivos de Controle da ISACF e, ao longo do


tempo, foi sendo incrementado com novas tcnicas e padres internacionais, resultando nesta
ltima edio, em um conjunto de seis publicaes que incluem uma srie de recursos e

43

prticas de gesto recomendadas pelos peritos em gesto de TI, que ajudam a otimizar os
investimentos nesta rea e fornecem mtricas para avaliao dos resultados, segundo o
modelo de maturidade de governana.

A famlia de produtos da 3 edio do Cobit formada pelas seis publicaes abaixo.


FIGURA 5: Famlia de produtos do Cobit 33

O Sumrio Executivo foi especificamente criado para os executivos e gerentes, para


que estes tenham uma viso geral dos princpios e conceitos chave do Cobit.

O Guia de Implementao foi desenvolvido a fim de facilitar a implementao do


modelo nas organizaes. Ele composto pelo Gerenciamento de Responsabilidades,
Controle de Diagnsticos de TI, Faq`s, Estudos de Caso de empresas que j implementaram o
Cobit e uma apresentao que pode ser utilizada para introduzir os conceitos do Cobit na
organizao.

33

Adaptado de IT GOVERNANCE INSTITUTE. COBIT 3rd Edition Executive Summary. Disponvel em


http://www.isaca.org. Acesso em: nov. 2004

44

O Framework explica como os processos de TI devem fornecer as informaes


necessrias para que organizao atinja seus objetivos estratgicos de negcio. Este processo
controlado por 34 objetivos de controle de alto nvel, agrupados em quatro domnios:

- planejamento e organizao;
- aquisio e implementao;
- entrega e suporte;
- monitorao.

O Framework identifica qual dos sete critrios da informao (efetividade, eficincia,


confidencialidade, integridade, disponibilidade, fidelidade e confiabilidade.) e quais recursos
de TI (pessoas, aplicaes, tecnologia, infra-estrutura e dados) so importantes para que os
processos de TI suportem os objetivos de negcio.

45

FIGURA 6: Domnios do modelo Cobit 34

O Guia de Gerenciamento a mais recente publicao do modelo Cobit e permite que


as empresas gerenciem de forma mais efetiva as necessidades e os requisitos da governana
de TI. Ele composto pelo Modelo de Maturidade, Fatores Crticos de Sucesso, Indicadores
Chave de Metas e Indicadores Chave de Performance.

Um modelo de maturidade um mtodo de avaliao que permite a uma organizao


graduar a sua maturidade para um determinado processo, de no-existente (0) at otimizado
(5), e assim se avaliar acerca das melhores prticas e padres do mercado.

34

Adaptado de IT GOVERNANCE INSTITUTE. COBIT 3rd Edition Executive Summary. Disponvel em


http://www.isaca.org. Acesso em: nov. 2004

46

Dessa forma, as deficincias podem ser identificadas e as aes especficas podem ser
definidas para se atingir as posies desejadas.

Pode-se mover para um nvel mais alto quando todas as condies descritas em um
determinado nvel de maturidade so cumpridas.

Os modelos de maturidade de governana so usados no s para o controle dos


processos de TI bem como para fornecimento de um mtodo eficiente para classificar o
estgio da organizao. A governana de TI e seus processos com o objetivo de adicionar
valor ao negcio atravs do balanceamento do risco e retorno do investimento podem ser
classificados da seguinte forma:

Nvel 0 Inexistente.

Nvel 1 - Inicial - Poucos processos so definidos. Sucesso depende de esforo individual.

Nvel 2 - Repetitivo, mas intuitivo - Processos bsicos de gesto so definidos.

Nvel 3 - Processos definidos - Processos padronizados e integrados em um processo padro


para a organizao.

Nvel 4 - Processos gerenciveis e medidos - Processos e produtos compreendidos e


controlados.

Nvel 5 - Processos otimizados - Melhoria Contnua do Processo.

Essa abordagem derivada do modelo de maturidade para desenvolvimento de


software, Capability Maturity Model for Software (SW-CMM), proposto pelo Software
Engineering Institute (SEI), j explicado em sees anteriores. A partir desses nveis, foi
desenvolvido para cada um dos 34 processos do Cobit o seguinte:

- onde a organizao est hoje;


- o atual estgio de desenvolvimento da indstria (best-in-class);
- o atual estgio dos padres internacionais;

47

- aonde a organizao quer chegar.

Os fatores crticos de sucesso definem os desafios mais importantes ou aes de


gerenciamento que devem ser adotadas para colocar sobre controle a gesto de TI. So
definidas as aes mais importantes do ponto de vista do que fazer a nvel estratgico, tcnico,
organizacional e de processo.

Os indicadores chave de metas definem como sero mensurados os progressos das


aes para atingir os objetivos da organizao, usualmente expressos nos seguintes termos:

- Disponibilidade das informaes necessrias para suportar as necessidades de


negcios;
- Riscos de falta de integridade e confidencialidade das informaes;
- Eficincia nos custos dos processos e operaes;
- Confirmao de confiabilidade, efe tividade e conformidade das informaes.

Os Indicadores Chave de Performance possuem funes diversas, como definir as


medidas para determinar como os processos de TI esto sendo executados, avaliar se os
objetivos planejados esto alcanados e ainda verificar as boas prticas e habilidades de TI.

Os Objetivos de Controle do Cobit fornecem os indicadores necessrios para delinear


uma poltica clara, e as boas prticas para controle de TI.

O CobiT contm 34 Objetivos de Controle de alto nvel e 318 objetivos detalhados


para cada processo de TI, divididos assim pelos 4 domnios do modelo:

-Planejamento e organizao.
-Aquisio e implementao.
-Entrega e suporte.
-Monitorao.

Cada domnio cobre um conjunto de processos para garantir a completa gesto de TI,
somando 34 processos:

48

Planejamento e Organizao

- Define o plano estratgico de TI


- Define a arquitetura da informao
- Determina a direo tecnolgica
- Define a organizao de TI e seus relacionamentos
- Gerencia os investimento de TI
- Gerencia a comunicao das direes de TI
- Gerencia os recursos humanos
- Assegura o alinhamento de TI com os requerimentos externos
- Avalia os riscos
- Gerencia os projetos
- Gerencia a qualidade

Aquisio e implementao
- Identifica as solues de automao
- Adquire e mantm os softwares
- Adquire e mantm a infra-estrutura tecnolgica
- Desenvolve e mantm os procedimentos
- Instala e certifica softwares
- Gerencia as mudanas

Entrega e suporte
- Define e mantm os acordos de nveis de servios (SLA)
- Gerencia os servios de terceiros
- Gerencia a performance e capacidade do ambiente
- Assegura a continuidade dos servios
- Assegura a segurana dos servios
- Identifica e aloca custos
- Treina os usurios
- Assiste e aconselha os usurios
- Gerencia a configurao

49

- Gerencia os problemas e incidentes


- Gerencia os dados
- Gerencia a infra-estrutura
- Gerencia as operaes

Monitorao

- Monitora os processos
- Analisa a adequao dos controles internos
- Prov auditorias independentes
- Prov segurana independente

Para cada um destes 34 processos so definidos seus Fatores Crticos de Sucesso,


Indicadores Chave de Metas, Indicadores Chave de Performance e o Modelo de Maturidade.
E so identificados quais dos sete critrios da informao (efetividade, eficincia,
confidencialidade, integridade, disponibilidade, fidelidade e confiabilidade) e quais recursos
de TI (pessoas, aplicaes, tecnologia, infra-estrutura e dados) so importantes para cada
processo, conforme exemplo abaixo das caractersticas do 1 processo do domnio
Planejamento e Organizao:

50

- Define o plano estratgico de TI

Fatores Crticos de Sucessos


-

O processo de planejamento fornece um esquema de priorizao aos


objetivos de negcio e quantifica, quando possvel, as exigncias do negcio

Uma metodologia documentada para o desenvolvimento da estratgia de TI,


a sustentao de dados validados e um processo de tomada de deciso
estruturado e transparente, viabilizam o gerenciamento e a sustentao.

O plano estratgico de TI indica claramente uma posio do risco de ser


inovador ou seguidor, e faz o balanceamento requerido entre o time-tomarket , o custo e a qualidade do servio.

Todas as suposies do plano estratgico foram testadas.

Os processos, os servios e as funes necessrias foram definidos, mas so


flexveis, com um processo transparente de controle de mudana.

Uma verificao da estratgia foi conduzida por um terceiro e revisada em


momentos oportunos.

Planejamento estratgico traduzido em mapas e em estratgias da migrao

51

Indicadores Chave de Metas


-

Porcentagem do plano de TI e plano estratgico do negcio que esto


alinhados e que conduzem s responsabilidades individuais.

Uma porcentagem das unidades de negcio que tm as capacidades de TI


compreendidas e atualizadas.

A pesquisa da gerncia determina o completo entendimento entre


responsabilidades e os objetivos de negcio e de TI.

Porcentagem de unidades de negcio usando a tecnologia definida no plano


estratgico de TI.

Porcentagem do oramento de TI realizado pelos gestores do negcio.

Nmero aceitvel e razovel de proeminentes projetos de TI.

Indicadores Chave de Performance


-

Avaliao das capacidades de TI (nmero dos meses desde a ltima


atualizao)

Idade do plano estratgico de TI (nmero dos meses desde a ltima


atualizao)

Avaliao da satisfao dos participantes com o processo do planejamento


estratgico e TI

Retardo de tempo entre a mudana no plano estratgico de TI e mudanas


operacionais

ndice dos participantes envolvidos no desenvolvimento do plano estratgico


de TI, baseado no tamanho do esforo, na relao da participao dos
proprietrios do negcio para TI e o nmero dos participantes chaves

ndice de qualidade do plano de TI , incluindo um deadline para o esforo do


desenvolvimento, a aderncia estrutura da proposta e integralidade do
plano.

52

Modelo de Maturidade
0 - Planejamento estratgico no executado. No h nenhuma conscincia da
gerncia que planejamento estratgico necessrio para suportar objetivos de
negcio.
1 - A necessidade para um planejamento estratgico de TI sabida pela gerncia,
mas no h nenhum processo de deciso estruturado. Planejamento estratgico
de TI executado em resposta a uma exigncia especfica do negcio e os
resultados so conseqentemente espordicos e inconsistentes. Planejamento
estratgico discutido ocasionalmente em reunies da gerncia de TI , mas no
em reunies da gerncia de negcio. O alinhamento de exigncias de negcio, de
aplicaes e de tecnologia ocorre reativamente, dirigido mais por oferecimentos
de terceiros, do que por uma estratgia corporativa. A posio estratgica do
risco identificada informalmente de projeto em projeto.
Nvel 2 - Planejamento estratgico de TI compreendido pela gerncia de TI,
mas no documentado. Planejamento estratgico de TI executado pela
gerncia de TI, mas compartilhado somente com a gerncia de negcio apenas
quando necessrio. Atualizao do plano estratgico de TI ocorre somente em
resposta aos pedidos da gerncia e no h nenhum processo pr-ativo para
identificar desenvolvimentos de TI e de negcio que requerem atualizaes no
plano. As decises estratgicas so dirigidas projeto a projeto, sem consistncia
com a estratgia global da organizao. Os riscos e os benefcios de decises
estratgicas esto sendo reconhecidos, mas sua definio intuitiva.
Nvel 3 - Uma poltica define quando e como executar planejamento estratgico
de TI. Planejamento estratgico de TI segue uma aproximao estruturada, que
est documentada e sabida por toda a equipe de funcionrios. Os processos do
planejamento so razoavelmente sadios e assegura-se de que o planejamento
provvel de ser executado. Entretanto, a descrio dada aos gerentes
individualmente com respeito execuo do processo e no h nenhum
procedimento regular para examina- lo. A estratgia inclui uma definio
consistente dos riscos de que a organizao disposta a correr sendo inovadora
ou seguidor. As estratgias dos recursos financeiros, tcnicos e humanos de TI
dirigem cada vez mais para a aquisio de produtos novos e tecnologias.
Nvel 4 - Planejamento estratgico de TI uma prtica padro e as excees so
observadas pela gerncia. Planejamento estratgico de TI uma funo definida
da gerncia com responsabilidades de nivel snior. Com respeito ao processo do
planejamento estratgico, gerncia pode monitor- lo, tomar as decises baseadas
nele e medir sua eficcia. Tanto o planejamento de TI de curto alcance como os
de longo alcance ocorrem e so informados para toda organizao, com as
atualizaes necessrias. Estratgia de TI e estratgia de negcio da organizao
esto se tornando cada vez mais coordenadas, dirigindo-se aos processos de
negcio e s potencialidades de agregao de valor e nivelando o uso das
aplicaes e das tecnologias com os processos de negcio.

53

H um processo bem definido para balancear os recursos internos e externos


requeridos no desenvolvimento e nas operaes do sistema. Benchmarking das
normas da indstria e dos concorrentes da indstria est se tornando cada vez mais
formalizada.
Nvel 5 - Planejamento estratgico um processo documentado, e considerado
continuamente no ajuste dos objetivos de. As consideraes de risco e valor so
atualizadas continuamente no processo do planejamento estratgico. H uma
funo desse planejamento de TI que integrada funo do planejamento de
negcio. Um plano de longo prazo realstico desenvolvido e constantemente
atualizado para refletir as mudanas da tecnologia. O planejamento de curto prazo
contm os marcos e os produtos das tarefas do projeto, que continuamente so
monitorados e atualizados, como mudanas que ocorrem. Benchmarking das
normas bem-compreendidas e de confiana da indstria um processo bem
definido e integrado com o processo da formulao da estratgia. Organizao
identifica desenvolvimento de novas tecnologias para dirigir o desenvolvimento de
novas potencialidades do negcio e para melhorar sua vantagem competitiva.

Critrios da Informao
Efetividade
Eficincia

Recursos de TI
Pessoas,
Aplicaes
Tecnologia
Infra-estrutura
Dados

As Guias de Auditoria possibilitam aos auditores e gerentes revisarem os processos


especficos de TI, assegurando que os controles so suficientes ou necessitam de melhorias.

O modelo Cobit orientado para fornecer informaes detalhadas para o


gerenciamento de processos baseado em objetivos de negcio, tendo sido projetado para
auxiliar trs audincias distintas:

Gerentes que necessitam avaliar o risco e controlar os investimentos de TI em

uma organizao;

54

Usurios que precisam ter garantias de que os servios de TI, dos quais

dependem seus produtos e servios para os clientes internos e externos, esto sendo bem
gerenciados;

Auditores que podem apoiar-se nas recomendaes do Cobit para avaliar o

nvel da gesto de TI e aconselhar o controle interno da organizao.

2.5 O USO DO MODELO COBIT NO MUNDO

Pesquisas mostram que o uso do modelo Cobit vem crescendo bastante a cada ano,
como a pesquisa realizada pelo ISACA em maio de 2002 e publicada pela Security Magazine 35 ,
sobre a utilizao do Cobit 3 edio. Esse tipo de pesquisa j havia sido realizado para as
edies anteriores do Cobit.

O objetivo desta pesquisa era entender como e por que o Cobit est sendo utilizado e
identificar necessidades futuras.

Esta avaliao foi realizada por uma empresa de pesquisa independente, Industry
Insights, e a metodologia adotada foi o envio de questionrios para os compradores do Cobit
3 edio. Deste grupo, 182 pessoas completaram a pesquisa.

A pesquisa foi realizada em organizaes de diferentes portes, localizadas em


diferentes continentes e de diversos setores de negcio, sendo o setor financeiro o mais
presente.

35

GULDENTOPS, Erik; HAES, Steven D. Avaliao da utilizao do COBIT 3 edio: crescimento da


aceitao do COBIT. Security Magazine. So Paulo, n. 19, p. 47-52, 2003

55

GRFICO 4: Distribuio geogrfica das empresas36

GRFICO 5: Distribuio das empresas por nmero de funcionrios 36

Uma das informaes levantadas na pesquisa foi o motivo pelo qual estas
organizaes adotaram o Cobit 3. Das respostas obtidas foram extradas as cinco razes mais
importantes, listadas abaixo.

36

GULDENTOPS, Erik; HAES, Steven D. Avaliao da utilizao do COBIT 3 edio: crescimento da


aceitao do COBIT. Security Magazine. So Paulo, n. 19, p. 47-52, 2003.

56

QUADRO 2: As mais importantes razes para aquisio do COBIT 3 edio.36

- Melhorar a abordagem e programas de auditoria.


- COBIT 3 edio prov diretrizes para governana de TI.
- Padronizao na abordagem e programas de auditoria.
- COBIT 3 edio um valioso benchmark para controle de TI/SI.
- Melhoria nos controles de TI/SI.

Outras informaes coletadas foram os modos de utilizao do Cobit 3 edio. Das


respostas foram extrados os cinco principais modos de utilizao do modelo, assim listados:
QUADRO 3: Os mais importantes modos de utilizao do COBIT 3 edio 37

- Para o planejamento e desenvolvimento de programas de auditoria.


- Para validar os atuais controles de TI.
- Para avaliar os riscos de TI.
- Para reduo dos riscos de TI.
- Como uma estrutura para melhorias de TI.

Estabelendo uma comparao das razes mais importantes para aquisio do modelo
com os mais importantes modos de utilizao do mesmo, foi criada uma lista de verificao
entre expectativas x realidade, na qual as razes para aquisio esto representadas pela
expectativa e os modos de utilizao, pela realidade. Quando comparadas as informaes,
percebe-se que os cinco principais modos de utilizao do Cobit 3 edio esto alinhados s
razes para aquisio do modelo, conforme demonstra o quatro comparativo abaixo:

37

GULDENTOPS, Erik; HAES, Steven D. Avaliao da utilizao do COBIT 3 edio: crescimento da


aceitao do COBIT. Security Magazine. So Paulo, n. 19, p. 47-52, 2003.

57

QUADRO 4: Realidade x Expectativa com relao ao uso do Cobit.

EXPECTATIVAS

REALIDADE

(As mais importantes razes para aquisio (Os mais importantes modos de utilizao do
do COBIT 3 edio.)

COBIT 3 edio.)

Melhorar a abordagem e os programas de

Para o planejamento e o desenvolvimento de

auditoria.

programas de auditoria.

COBIT 3 edio prov diretrizes para


governana de TI.

Para avaliar os riscos de TI.


Para reduo dos riscos de TI.
Como uma estrutura para melhorias de TI.

Padronizao na abordagem e nos programas

Para o planejamento e o desenvolvimento de

de auditoria.

programas de auditoria.

COBIT 3 edio um valioso benchmark

Para validar os atuais controles de TI.

para controle de TI/SI.


Melhoria nos controles de TI/SI.

Para validar os atuais controles de TI.

Os resultados da pesquisa demonstraram que cerca de 75% dos usurios esto


efetivamente utilizando o Cobit e que 85% destes usurios efetuaram pequenas modificaes na
estrutura do modelo. E ainda, que em alguns casos o Cobit est sendo utilizado em conjunto
com outras metodologias de controle.

Estas duas ltimas concluses evidenciadas pela pesquisa, vm corroborar a teoria de


Mingay e Bittinger 38 e de Rubin 39 , apresentadas em sees anteriores, de que a melhor opo
pode ser a combinao de mais de um modelo, como a proposta desta dissertao, ao defender
atese de que a possibilidade da soluo para as empresas est na implantao do modelo com
algumas modificaes, ou seja, na adequao do modelo escolhido para a realidade da
empresa em questo, colocando em prtica as recomendaes consideradas mais relevantes
para a organizao.
38

MINGAY, S; BITTINGER, S. Combine CobiT and ITIL for Powerful IT Governance, in Research Note,
TG-16-1849, Gartner, 2002. Disponvel em http://www3.gartnet.com. Acesso em: mai. 2005
39
RUBIN, Rachel. ITIL: Grito de Guerra. Information Week. So Paulo, n. 112, 2004.

58

Os usurios pesquisados pelo ISACA reconheceram ainda que a estrutura do Cobit


prov diretrizes para gerenciamento e governana de TI.

A pesquisa concluiu que a aceitao do Cobit est claramente em crescimento. Com


esse resultado ISACA se mostrou satisfeito com as informaes colhidas e est determinado a
suportar a evoluo do modelo atravs do desenvolvimento contnuo de um padro aberto,
tendo em vista as rpidas mudanas no ambiente de negcios da tecnologia de informao.

2.6. A GOVERNANA DE TI NO BRASIL

No Brasil, a realidade ainda um pouco diferente da apresentada na pesquisa descrita


na seo anterior.
Uma pesquisa publicada pela InformationWeek 40 , em novembro de 2004 concluiu que
o conhecimento do empresariado sobre as metodologias e melhores prticas de governana de
TI, no Brasil, ainda superficial.

Participaram da pesquisa 17 empresas e 40 profissionais, diretores, gerentes,


assessores de diretoria, analistas e supervisores de TI de rgos do governo, prestadores de
servio e empresas do setor financeiro, como ABN AMRO, Banco do Brasil, Banespa /
Santander, Bank Boston, BMC Software, Bradesco, Caixa Econmica, Cemig, Nossa Caixa,
Orbitall, Proceda, Prodam, Prodesp, Serasa, Serpro, Tecban e Unibanco.

De acordo com o estudo, a maioria das organizaes no possui um gerenciamento dos


seus servios de TI. Os resultados mostraram que a maioria das companhias (72%) ainda
possui processos padres, no reestruturados pelos atuais modelos de referncia. Apenas 11%
j estabeleceram processos baseados no ITIL, e 3% no Cobit.

40

ITIL e COBIT ainda so mistrios para CIO's. Pesquisa Information Week. Disponvel em

http://www.informationweek.com.br. Acesso em: dez. 2004

59

Apesar de 64% dos profissionais terem conhecimentos sobre negcios, ainda baixo o
nmero dos que esto a par das metodologias e padres de referncia: apenas 13% deles
possuem bons conhecimentos em ITIL, e 8% em Cobit.

Entretanto, apesar do pouco conhecimento das metodologias e padres de referncia


de governana de TI, a pesquisa revelou que o gerenciamento estratgico de TI foi apontado
como a principal meta dos profissionais de tecnologia.

O setor pblico brasileiro se mostra com as mesmas preocupaes em relao gesto


dos seus recursos de TI.

Projetos de governo eletrnico, segurana da informao, certificao digital,


metodologias de gesto e governana de TI aparecem como o foco dos investimentos das
empresas estaduais de processamento de dados nos prximos anos, segundo o estudo,
conduzido pelo Ncleo de Pesquisas em Sistemas de Informao da Universidade Federal de
Pernambuco (NP-SI) 41 .

Um exemplo prtico dessa preocupao o Cepromat - Centro de Processamento de


Dados do Estado de Mato Grosso - que criou uma nova diretoria, chamada Gesto de
Tecno logia da Informao, para promover a governana da TI no Estado.

Outro exemplo a Companhia de Processamento de Dados do Estado do Rio Grande


do Sul PROCERGS - que est em processo de certificao ITIL de seus tcnicos para
implantao da metodologia na empresa.
Uma pesquisa realizada pelo IDC Brasil 42 , publicada em maro de 2005, revelou que
rgos do governo federal tambm esto investindo em governana de TI, a maioria em
processo de criao de indicadores e refinamento de algoritmos para medir o desempenho das
solues implementadas.

41

TI & Governo, n 88, 18 de janeiro de 2005.


IDC Brasil. Pesquisa IDC Brasil analisa os investimentos do governo
http://www.idclatin.com/brasil
42

Mar 31, 2005 disponvel em

60

Como, por exemplo, pode ser citada a CASSI, que adotou o ITIL em 2003, e em
alguns projetos utilizou tambm a metodologia do CMM; o Serpro, que foi a primeira
empresa pblica na Amrica Latina a obter a qualificao nvel 2 do modelo CMM; e o Banco
Central do Brasil, que adotou o Cobit como modelo de governana.

61

3. METODOLOGIA

3.1. Especificao do plano de pesquisa

Os critrios para a classificao dos tipos de pesquisa variam de acordo com o enfoque
dado pelo autor.

Para a especificao deste plano de pesquisa, tomou-se como base a taxionomia


apresentada por Antnio Carlos Gil, 2002 43 , que classifica a pesquisa com base em seus
objetivos gerais e em procedimentos tcnicos utilizados:

a)

Quanto aos Objetivos Gerais, trata-se de uma pesquisa exploratria e descritiva.

Exploratria, pois visa ao desenvolvimento de questes de pesquisa, proporcionando maior


familiaridade com o problema, para o aprimoramento dos conceitos e a realizao de
pesquisas futuras. Descritiva, pois objetiva a descrio, o registro e a anlise de determinado
fenmeno ou fato, preocupando-se com a atuao prtica da questo.

b)

Quanto aos Procedimentos Tcnicos, a pesquisa bibliogrfica, documental, estudo de

caso e pesquisa de campo. Bibliogrfica, pois foram utilizados livros, artigos, documentos
tcnicos e dissertaes para o embasamento terico da pesquisa. A investigao documental,
pois utilizou alguns documentos internos da empresa, objeto da pesquisa. Esta investigao
um estudo de caso, pois tem como alvo a Empresa de Tecnologia e Informaes da
Previdncia Social Dataprev, e uma pesquis de campo pois coletou dados primrios na
referida Empresa.

43

GIL, Antnio C. Como elaborar projetos de pesquisa. So Paulo: Atlas, 2002.

62

3.2. Populao e Amostra da Pesquisa

O problema desta pesquisa est representado pela Empresa de Tecnologia da


Informao da Previdncia Social. A Empresa tem como misso atuar integradamente com
outras instituies pblicas, para o xito das aes de governo, no mbito da seguridade social
e do trabalho, por meio de solues sustentveis em tecnologia da informao, com o
fortalecimento do compromisso entre trabalhadores e empresa, agindo de forma a preservar o
interesse pblico.

A Empresa possui representao em cada estado do Brasil, tendo sua matriz localizada
em Braslia. A pesquisa foi realizada no Rio de Janeiro e Braslia, em funo da localizao
dos Centros de Processamento de Dados da Empresa e da lotao dos sujeitos da pesquisa.

A amostra da pesquisa foi formada pelos gerentes e pelos supervisores da Diretoria de


Operaes e Telecomunicaes da Empresa de Tecnologia e Informaes da Previdncia
Social Dataprev. Esta amostra foi selecionada, em funo de sua rea de atuao estar
intimamente ligada gesto de TI da Empresa.

O objetivo desta diretoria formular polticas e estabelecer diretrizes e procedimentos


de tecnologia da informao em seu campo de competncia, para as reas de
desenvolvimento, produo e telecomunicaes, no mbito da Previdncia Social, planejando
sua operacionalizao e promovendo as aes necessrias para garantia de integridade,
segurana, altos nveis de disponibilidade, desempenho e qualidade nos servios prestados.

A Diretoria de Operaes e Telecomunicaes formada pelas reas de suporte


tcnico, redes, administrao da produo, alm dos CPDs do Rio de Janeiro, So Paulo e
Braslia, conforme o organograma abaixo.

63

FIGURA 7: Organograma Funcional da Diretoria de Operaes e Telecomunicaes44

Diretoria de Operaes e
Telecomunicaes

Centro de

Departamento

Departamento

Departamento

Tratamento de

de

de Suporte

de Redes de

Informaes de

Administrao

Tcnico

Telecomunica-

So Paulo / Rio

dos Ambientes

de Janeiro /

de Produo

es

Braslia

3.3. Instrumentos de medida

A pesquisa de campo foi realizada com os gerentes e supervisores da Diretoria de


Operaes e Telecomunicaes da Empresa de Tecnologia e Informaes da Previdncia
Social Dataprev, localizados no Rio de Janeiro e Braslia, atravs de questionrio elaborado
pela pesquisadora, com base nas recomendaes e prticas do modelo Cobit.

3.4. Coleta dos Dados

Os dados foram coletados pela prpria pesquisadora por meio de:

44

Organograma. Disponvel em http://www-dop. Acesso em jan. 2005.

64

a. Pesquisa bibliogrfica em livros, artigos, documentos tcnicos e dissertaes com dados


pertinentes ao assunto, que serviram para o embasamento terico do trabalho.

b. Pesquisa documental na empresa objeto do estudo, atravs de documentos internos que


identifiquem o histrico, a estrutura e caractersticas da Empresa.

c. Pesquisa de campo, atravs de questionrio elaborado pela pesquisadora.

A pesquisa de campo foi feita com os 44 gerentes e supervisores ligados gesto de TI da


Empresa, com o objetivo de:

1. Identificar os objetivos de controle do modelo Cobit, adequados realidade da


Empresa.

2. Identificar quais objetivos de controle recomendados pelo modelo j so adotados pela


Empresa.

Nesta pesquisa, foi utilizado o questionrio elaborado pela pesquisadora, com base nas
recomendaes e prticas do modelo Cobit. Foi enviado um convite aos 23 gerentes e 21
supervisores ligados gesto de TI da Empresa, atravs de correio eletrnico, apresentando a
pesquisa, a pesquisadora e seu orientador, e solicitando a participao de todos para responder
ao questionrio disponibilizado em um site na Internet. A aplicao do questionrio se deu no
perodo de 29/03/05 a 02/05/05

Para anlise e avaliao dos dados foram feitas distribuies de freqncia absoluta e de
freqncia relativa de cada resposta, com relao aos dois aspectos investigados (identificao
dos processos mais adequados realidade da empresa e identificao dos processos j adotados
pela empresa) e posteriormente foi aplicado o Teorema de Pareto para selecionar os processos.

Participaram efetivamente da pesquisa de campo 16 funcionrios, sendo 12 gerentes e 04


supervisores. 14 participantes esto alocados no Rio de Janeiro e 02 em Braslia.

65

3.5. Limitaes do Mtodo

Por se tratar de um estudo de caso em uma Empresa especfica, os resultados deste


estudo no permitem generalizaes, fornecendo caractersticas especficas da Empresa
pesquisada.

A falta de interao da pesquisadora com o respondente no momento do


preenchimento do questionrio, em funo da coleta de dados acontecer atravs de site na
Internet, pode causar distores nas respostas. Situaes, como a falta de conhecimento do
respondente sobre o assunto pesquisado e o grau de motivao do respondente, poderiam ser
contornadas caso a pesquisadora estivesse presente.

66

4. ESTUDO DE CASO

4.1. A EMPRESA

4.1.1. Histrico

A Lei n 6.125, de 04 novembro 1974, autorizou o Poder Executivo a constituir a


Empresa de Processamento de Dados da Previdncia Social DATAPREV, enquadrando-a
no grupo de entidades da administrao indireta, com sede e foro na cidade do Rio de Janeiro,
ao em todo o territrio nacional e dependncias onde for julgado necessrio.
O Decreto- Lei no 75.463, de 10 de maro de 1975, constituiu a Empresa e aprovou seu
Estatuto Social, estabelecendo, em conseqncia, a organizao e as atribuies dos rgos
competentes de sua estrutura bsica.

A Medida Provisria n 2.143-36, de 24 de agosto de 2001 alterou a razo social da


Dataprev para Empresa de Tecnologia e Informaes da Previdncia Social, com sede e
foro na cidade de Braslia, filial regional na cidade do Rio de Janeiro, ao em todo o
territrio nacional.

4.1.2. Organograma

No contexto da Previdncia Social, a Dataprev est subordinada ao Ministrio da Previdncia


Social conforme organograma abaixo:

67

FIGURA 8: Organograma do Ministrio da Previdncia Social 45

Ministrio da Previdncia
Social - MPS

Instituto Nacional de
Seguridade

Social

Empresa de Tecnologia
e Informaes da
Previdncia Social

A Empresa constituda da Presidncia e de quatro Diretorias, conforme o


organograma funcional representado abaixo:

FIGURA 9: Organograma Funcional da Dataprev46

45

A EMPRESA. Disponvel em http://www.dataprev.gov.br/. Acesso em jan. 2005.

68

4.1.3. Valores, Misso e Viso da Dataprev

Valores:
- Cooperao
- Criatividade
- Determinao
- tica
- Foco em Resultados
- Integridade
- Proatividade
- Transparncia

Misso:
Atuar integradamente com outras instituies pblicas para o xito das aes de
governo, no mbito da seguridade social e do trabalho, por meio de solues sustentveis em
tecnologia da informao, com o fortalecimento do compromisso entre trabalhadores e
Empresa, agindo de forma a preservar o interesse pblico.

Viso:
Ser uma empresa pblica de solues de TI reconhecida por sua excelncia na gesto,
pelos servios prestados e pela contribuio para a incluso social e reduo das
desigualdades.

4.2. A PESQUISA

A pesquisa de campo foi realizada com os gerentes e supervisores da Diretoria de


Operaes e Telecomunicaes da Empresa de Tecnologia e Informaes da Previdncia

69

Social Dataprev, localizados no Rio de Janeiro e Braslia, atravs de questionrio elaborado


pela pesquisadora, com base nas recomendaes e prticas do modelo Cobit.

Para a pesquisa de campo, foram enviados convites a 23 gerentes e 21 supervisores da


Diretoria de Operaes e Telecomunicaes da Dataprev, atravs de correio eletrnico,
apresentando a pesquisa, a pesquisadora e seu orientador, e solicitando a participao de todos
para responder ao questionrio disponibilizado em um site na Internet.

Participaram da pesquisa como respondentes 36,36% da amostra, sendo 12 gerentes e


04 supervisores. Todos os participantes possuem nvel superior e trabalham na empresa h
mais de 10 anos. 14 participantes esto alocados no Rio de Janeiro e 02 em Braslia. As
representaes grficas desses dados aparecem nas figuras abaixo.

GRFICO 6: Distribuio dos participantes por cargo.

25%

Gerentes
Supervisores

75%

70

GRFICO 7: Distribuio dos participantes por localidade

13%

RJ
DF

87%

Para anlise e avaliao dos dados, foram feitas distribuies de freqncia absoluta e
de freqncia relativa de cada resposta. Posteriormente foi aplicado o Teorema de Pareto para
selecionar os processos identificados como mais adequados realidade da Empresa e os
processos j adotados pela Empresa. Para isso, as respostas foram ordenadas por freqncia e
selecionados os processos que correspondiam a 80% destas respostas.

Abaixo esto apresentadas as anlises das respostas das duas perguntas do


questionrio.

Pergunta 1: Dos 34 objetivos de controle do modelo Cobit descritos abaixo, selecione os que
voc considera mais relevantes para aplicao na Dataprev ?

TABELA 2 Distribuio de Freqncia Relativa e Absoluta para as respostas da


pergunta 1 do questionrio.

Processos/objetivos de Controle

Respostas
Freqncia Absoluta Freqncia Relativa

1- Define o plano estratgico de TI

11

5,73%

71

2- Define a arquitetura da informao


3- Determina a direo tecnolgica
4- Define a organizao de TI e seus relacionamentos
5- Gerencia os investimentos de TI
6- Gerencia a comunicao das direes de TI
7- Gerencia os recursos humanos
8- Assegura o alinhamento de TI com os requerimentos
externos
9- Avalia os riscos
10- Gerencia os projetos
11- Gerencia a qualidade
12- Identifica as solues de automao
13- Adquire e mantm os softwares
14- Adquire e mantm a infra-estrutura tecnolgica
15- Desenvolve e mantm os procedimentos
16- Instala e certifica softwares
17- Gerencia as mudanas
18- Define e mantm os acordos de nveis de servios
(SLA)
19- Gerencia os servios de terceiros
20- Gerencia a performance e a capacidade do ambiente
21- Assegura a continuidade dos servios
22- Assegura a segurana dos servios
23- Identifica e aloca custos
24- Treina os usurios
25- Assiste e aconselha os usurios
26- Gerencia a configurao
27- Gerencia os problemas e incidentes
28- Gerencia os dados
29- Gerencia a infra-estrutura
30- Gerencia as operaes
31- Monitora os processos
32- Analisa a adequao dos controles internos
33- Prov auditorias independentes
34- Prov segurana independente

2,08%

11

5,73%

1,04%

3,13%

0,00%

3,65%

2,60%

1,56%

4,17%

10

5,21%

0,00%

1,56%

12

6,25%

3,13%

0,52%

4,69%

11

5,73%

1,04%

11

5,73%

10

5,21%

10

5,21%

0,52%

1,04%

0,00%

3,65%

13

6,77%

1,04%

3,65%

1,56%

4,17%

1,56%

1,56%

0,52%

72

GRFICO 8: Distribuio de Freqncia Absoluta para as respostas da pergunta 1 do

Freq. Absoluta das


respostas

questionrio.
14
12
10
8
6
4
2
0
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34
Processos/objetivos de controle

Ordenando as respostas por freqncia, e selecionando os processos que correspondem


a 80% das respostas (Teorema de Pareto), obtem-se a tabela e o grfico abaixo:

TABELA 3: Distribuio de Freqncia Relativa e Absoluta para as respostas da


pergunta 1 do questionrio ordenadas por freqncia.

Processos/objetivos de Controle

Respostas
Freqncia Absoluta. Freqncia Relativa

27- Gerencia os problemas e incidentes


14- Adquire e mantm a infra-estrutura tecnolgica
1- Define o plano estratgico de TI
3- Determina a direo tecnolgica
18- Define e mantm os acordos de nveis de servios
(SLA)
20- Gerencia a performance e a capacidade do ambiente
11- Gerencia a qualidade
21- Assegura a continuidade dos servios
22- Assegura a segurana dos servios
17- Gerencia as mudanas
10- Gerencia os projetos
31- Monitora os processos
7- Gerencia os recursos humanos
26- Gerencia a configurao
29- Gerencia a infra-estrutura
5- Gerencia os investimentos de TI
15- Desenvolve e mantm os procedimentos
8- Assegura o alinhamento de TI com os requerimentos
externos

13

6,77%

12

6,25%

11

5,73%

11

5,73%

11

5,73%

11

5,73%

10

5,21%

10

5,21%

10

5,21%

4,69%

4,17%

4,17%

3,65%

3,65%

3,65%

3,13%

3,13%

2,60%

73

2- Define a arquitetura da informao


9- Avalia os riscos
13- Adquire e mantm os softwares
30- Gerencia as operaes
32- Analisa a adequao dos controles internos
33- Prov auditorias independentes
4- Define a organizao de TI e seus relacionamentos
19- Gerencia os servios de terceiros
24- Treina os usurios
28- Gerencia os dados
16- Instala e certifica softwares
23- Identifica e aloca custos
34- Prov segurana independente
6- Gerencia a comunicao das direes de TI
12- Identifica as solues de automao
25- Assiste e aconselha os usurios

2,08%

1,56%

1,56%

1,56%

1,56%

1,56%

1,04%

1,04%

1,04%

1,04%

0,52%

0,52%

0,52%

0,00%

0,00%

0,00%

GRFICO 9: Distribuio de Freqncia Absoluta para as respostas da pergunta 1 do

Freq. Absoluta das


Respostas

questionrio ordenadas por freqncia.

14
12
10
8
6
4
2
0
27 14 1 3 18 20 11 21 22 17 10 31 7 26 29 5 15 8 2 9 13 30 32 33 4 19 24 28 16 23 34 6 12 25
Processos/objetivos de controle

80 % das respostas
20 % das respostas

Pergunta 2: Dos 34 objetivos de controle do modelo Cobit, quais voc considera que a
Dataprev j pratica?

74

TABELA 4: Distribuio de Freqncia Relativa e Absoluta para as respostas da


pergunta 2 do questionrio.

Processos/Objetivos de Controle

Respostas
Freqncia Absoluta Freqncia Relativa

1- Define o plano estratgico de TI


2- Define a arquitetura da informao
3- Determina a direo tecnolgica
4- Define a organizao de TI e seus relacionamentos
5- Gerencia os investimentos de TI
6- Gerencia a comunicao das direes de TI
7- Gerencia os recursos humanos
8- Assegura o alinhamento de TI com os requerimentos
externos
9- Avalia os riscos
10- Gerencia os projetos
11- Gerencia a qualidade
12- Identifica as solues de automao
13- Adquire e mantm os softwares
14- Adquire e mantm a infra-estrutura tecnolgica
15- Desenvolve e mantm os procedimentos
16- Instala e certifica softwares
17- Gerencia as mudanas
18- Define e mantm os acordos de nveis de servios
(SLA)
19- Gerencia os servios de terceiros
20- Gerencia a performance e a capacidade do ambiente
21- Assegura a continuidade dos servios
22- Assegura a segurana dos servios
23- Identifica e aloca custos
24- Treina os usurios
25- Assiste e aconselha os usurios
26- Gerencia a configurao
27- Gerencia os problemas e incidentes
28- Gerencia os dados
29- Gerencia a infra-estrutura
30- Gerencia as operaes
31- Monitora os processos
32- Analisa a adequao dos controles internos
33- Prov auditorias independentes
34- Prov segurana independente

3,63%

2,59%

10

5,18%

0,52%

3,63%

0,00%

1,04%

1,04%

1,04%

4,66%

1,55%

3,63%

4,15%

4,15%

4,15%

1,55%

2,07%

1,04%

3,63%

3,63%

4,15%

4,15%

2,07%

3,63%

2,07%

1,55%

4,66%

10

5,18%

10

5,18%

4,66%

12

6,22%

1,04%

1,04%

1,55%

75

GRFICO 10: Distribuio de Freqncia Absoluta para as respostas da pergunta 2 do

Freq. Absoluta das


respostas

questionrio.

14
12
10
8
6
4
2
0
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34
Processos/objetivos de Controle

Ordenando as respostas por freqncia, e selecionando os processos que correspondem


80% das respostas (Teorema de Pareto), obtem-se a tabela e o grfico abaixo:

TABELA 5: Distribuio de Freqncia Relativa e Absoluta para as respostas da


pergunta 2 do questionrio ordenadas por freqncia.

Processos/Objetivos de Controle

Respostas
Freqncia Absoluta Freqncia Relativa

31- Monitora os processos


3- Determina a direo tecnolgica
28- Gerencia os dados
29- Gerencia a infra-estrutura
10- Gerencia os projetos
27- Gerencia os problemas e incidentes
30- Gerencia as operaes
13- Adquire e mantm os softwares
14- Adquire e mantm a infra-estrutura tecnolgica
15- Desenvolve e mantm os procedimentos
21- Assegura a continuidade dos servios
22- Assegura a segurana dos servios
1- Define o plano estratgico de TI
5- Gerencia os investimentos de TI
12- Identifica as solues de automao
19- Gerencia os servios de terceiros
20- Gerencia a performance e a capacidade do ambiente
24- Treina os usurios

12

6,22%

10

5,18%

10

5,18%

10

5,18%

4,66%

4,66%

4,66%

4,15%

4,15%

4,15%

4,15%

4,15%

3,63%

3,63%

3,63%

3,63%

3,63%

3,63%

76

2- Define a arquitetura da informao


17- Gerencia as mudanas
23- Identifica e aloca custos
25- Assiste e aconselha os usurios
11- Gerencia a qualidade
16- Instala e certifica softwares
26- Gerencia a configurao
34- Prov segurana independente
7- Gerencia os recursos humanos
8- Assegura o alinhamento de TI com os requerimentos
externos
9- Avalia os riscos
18- Define e mantm os acordos de nveis de servios
(SLA)
32- Analisa a adequao dos controles internos
33- Prov auditorias independentes
4- Define a organizao de TI e seus relacionamentos
6- Gerencia a comunicao das direes de TI

2,59%

2,07%

2,07%

2,07%

1,55%

1,55%

1,55%

1,55%

1,04%

1,04%

1,04%

1,04%

1,04%

1,04%

0,52%

0,00%

GRFICO 11: Distribuio de Freqncia Absoluta para as respostas da pergunta 2 do

Freq. Absoluta das


respostas

questionrio ordenadas por freqncia.

14
12
10
8
6
4
2
0
31 3 28 29 10 27 30 13 14 15 21 22 1 5 12 19 20 24 2 17 23 25 11 16 26 34 7 8 9 18 32 33 4 6
Processos/objetivos de controle

80 % das respostas
20 % das respostas

77

4.3 ANLISE DOS DADOS

Fazendo uma anlise das respostas do questionrio, pode-se observar que, com relao
pergunta 1, ao aplicarmos o Teorema de Pareto, os objetivos de controle, considerados mais
relevantes para aplicao na Dataprev, na viso dos gerentes e supervisores da Diretoria de
Operaes e Telecomunicaes, so:

- Gerencia os problemas e incidentes


- Adquire e mantm a infra-estrutura tecnolgica
- Define o plano estratgico de TI
- Determina a direo tecnolgica
- Define e mantm os acordos de nveis de servios (SLA)
- Gerencia a performance e a capacidade do ambiente
- Gerencia a qualidade
- Assegura a continuidade dos servios
- Assegura a segurana dos servios
- Gerencia as mudanas
- Gerencia os projetos
- Monitora os processos
- Gerencia os recursos humanos
- Gerencia a configurao
- Gerencia a infra-estrutura
- Gerencia os investimentos de TI
- Desenvolve e mantm os procedimentos

Em relao segunda pergunta, aplicando o Teorema de Pareto, os objetivos de


controle do modelo Cobit, considerados j em prtica da Dataprev pelos gerentes e supervisores
da Diretoria de Operaes e Telecomunicaes, so:

- Monitora os processos
- Determina a direo tecnolgica
- Gerencia os dados
- Gerencia a infra-estrutura

78

- Gerencia os projetos
- Gerencia os problemas e incidentes
- Gerencia as operaes
- Adquire e mantm os softwares
- Adquire e mantm a infra-estrutura tecnolgica
- Desenvolve e mantm os procedimentos
- Assegura a continuidade dos servios
- Assegura a segurana dos servios
- Define o plano estratgico de TI
- Gerencia os investimentos de TI
- Identifica as solues de automao
- Gerencia os servios de terceiros
- Gerencia a performance e a capacidade do ambiente
- Treina os usurios
- Define a arquitetura da informao

Fazendo uma comparao entre o grupo de processos relevantes e o de processos j


praticados pela Empresa, pode-se observar que dos 17 processos cons iderados relevantes, 12
j so praticados e 5 ainda no esto em prtica na Empresa, conforme quadro abaixo:

QUADRO 5 Processos Relevantes x Processos Praticados

Processos Relevantes
- Define o plano estratgico de TI
- Determina a direo tecnolgica
- Gerencia os investimento de TI
- Gerencia os recursos humanos
- Gerencia os projetos
- Gerencia a qualidade

- Adquire e mantm a infra-estrutura tecnolgica


- Desenvolve e mantm os procedimentos
- Gerencia as mudanas
- Define e mantm os acordos de nveis de servios
(SLA)

Processos Praticados
- Define o plano estratgico de TI
- Define a arquitetura da informao
- Determina a direo tecnolgica
- Gerencia os investimento de TI
- Gerencia os projetos
- Identifica as solues de automao
- Adquire e mantm os softwares
- Adquire e mantm a infra-estrutura
tecnolgica
- Desenvolve e mantm os procedimentos

79

- Gerencia os servios de terceiros


- Gerencia a performance e capacidade do ambiente - Gerencia a performance e capacidade do
ambiente
- Assegura a continuidade dos servios
- Assegura a continuidade dos servios
- Assegura a segurana dos servios
- Assegura a segurana dos servios
- Treina os usurios
- Gerencia a configurao
- Gerencia os problemas e incidentes
- Gerencia os problemas e incidentes
- Gerencia os dados
- Gerencia a infra-estrutura
- Gerencia a infra-estrutura
- Gerencia as operaes
- Monitora os processos
- Monitora os processos

Segundo o modelo Cobit 3a edio 46 , para estes 17 objetivos de controle, as melhores


prticas que devem ser adotadas pela Empresa so

QUADRO 6 - Processos Relevantes x Prticas Recomendadas pelo Modelo Cobit

OBJETIVOS DE CONTROLE

PRTICAS RECOMENDADAS

Desenvolver um plano de gerncia de recursos


humanos em conformidade com as exigncias e
necessidades do negcio.
Desenvolver uma poltica de remunerao
baseada no desempenho pessoal.
Gerenciar os recursos humanos

Desenvolver um processo contnuo de avaliao


de desempenho pessoal.
Implementar e avaliar regularmente um processo
de recrutamento interno de pessoal, baseado nas
necessidades do negcio.
Desenvolver programas de capacitao para
todos

os

tecnologias

padres
antes

e
de

produtos
sua

de

novas

distribuio

organizao.
46

IT GOVERNANCE INSTITUTE.. COBIT 3rd Edition Management Guidelines. Disponvel em


http://www.isaca.org. Acesso em: nov. 2004

na

80

Desenvolver um programa de garantia de


qualidade com processos bem definidos de
mensurao e controle da qualidade.
Garantir o envolvimento da alta administrao
no programa de qualidade.
Desenvolver um programa de conscientizao,
Gerenciar a qualidade

sobre a importncia da qualidade dentro da


organizao.
Divulgar para todos os nveis da organizao sua
poltica de qualidade.
Estende a poltica de qualidade da organizao
aos processos e produtos desenvolvidos por
terceiros.

Elaborar a documentao dos produtos em


produo.
Desenvolver os procedimentos para recebimento
Gerenciar as mudanas

e anlise das solicitaes de mudana.


Planejar, autorizar e controlar a manuteno dos
produtos em produo.
Definir uma poltica para gerenciamento de
verso e distribuio de software.
Definir um modelo de acordo de nvel de
servio, antes da entrada do produto em
produo.

Definir e manter os nveis de servio Revisar, periodicamente, os acordos de nvel de


servio e contratos.
Disponibilizar

as

ferramentas

para

monitoramento dos acordos e fornecimentos das


informaes de nvel de servio.

81

Implementar e manter atualizado um sistema de


gerncia de configurao, que contenha todas as
informaes e configuraes necessrias dos
ativos e suas localizaes fsicas.
Gerenciar a configurao

Disponibilizar uma ferramenta de deteco e


verificao das configuraes disponveis nos
ativos.
Desenvolver

um

processo

automtico

de

distribuio e atualizao de software.

Elaborar um planejamento estratgico de TI de


longo prazo que suporte as metas globais da
organizao.
Garantir que o planejamento estratgico de TI de
longo prazo seja regularmente transformado em
planos de TI de curto prazo, com as tarefas de
projetos que, continuamente, so monitoradas e
atualizadas como as mudanas necessrias.
Define o plano estratgico de TI

Manter o planejamento estratgico de TI de


longo prazo constantemente atualizado, de forma
que reflita as novas tecnologias e necessidades
do negcio.
Identificar e avaliar o uso de novas tecnologias a
fim de criar novas oportunidades para o negcio
e

melhorar

vantagem

competitiva

da

organizao.

Criar e atualizar regularmente um plano de infraDetermina a direo tecnolgica

estrutura tecnolgica que esteja de acordo com


os planos da TI de longo e curto prazo e que

82

contenha aspectos, como arquitetura de sistemas,


direo tecnolgica e estratgias de migrao.
Elaborar os planos de aquisio de hardware e
de software, treinamento e recrutamento de
acordo com as necessidades identificadas no
plano de infra-estrutura tecnolgica.
Monitorar as melhores prticas da indstria e
tendncias futuras de modo que estes fatores
possam ser levados em considerao durante o
desenvolvimento e manuteno do plano de
infra-estrutura tecnolgica.
Disseminar os relatrios de tecnologia para todas
as unidades da organizao.

Estabelecer um modelo de investimento e


oramento de TI.
Alinhar os oramentos e investimentos de TI
com o plano de negcios.
Gerencia os investimentos de TI

Analisar os riscos de investimentos envolvidos


quando da adoo ou no de uma nova
tecnologia.

Monitorar os custos e benefcios relativos aos


investimentos em TI.

Adotar

uma

metodologia

de

gerncia

de

projetos.
Capacitar a equipe do projeto quanto
Gerencia os projetos

metodologia adotada.
Identificar e priorizar os projetos em funo dos
objetivos de negcio.
Estabelecer os processos para a transio do

83

projeto da equipe de implementao para a de


operao.
Estabelecer uma poltica de reviso dos projetos
aps sua implantao

Adquirir e manter atualizado o sistema de


inventrio de hardware e software.
Definir uma metodologia de controle do ciclo de
vida de hardware e software para orientar a
seleo, aquisio e manuteno da infraAdquire e mantm a infra-estrutura
tecnolgica

estrutura.
Definir um processo de seleo de novas
tecnologias, baseado na compatibilidade de
plataformas e componentes reutilizveis e que
controle

os

riscos

da

dependncia

de

fornecedores nicos.

Definir uma estrutura padro para documentao


e procedimentos.
Definir os requisitos operacionais e nveis de
servio.
Desenvolve e mantm os
procedimentos

Elaborar o manual de procedimentos do usurio


Elaborar o manual de operao para garantir o
uso apropriado das aplicaes e das solues
tecnolgicas colocadas em operao.
Elaborar e manter o material de treinamento
atualizado com as necessidades do negcio.

Gerencia a performance e capacidade Elaborar um Plano de Capacidade dos recursos


do ambiente
disponveis, e com previso de necessidades

84

futuras.
Definir as ferramentas de modelagem adequadas
para produzir um modelo do sistema e permitir a
sua anlise e monitoramento.
Monitorar o desempenho e a capacidade dos
recursos de infra-estrutura, relatando os
resultados e executando as aes previstas no
Plano de Disponibilidade em caso de desvios.
Programar a aquisio oportuna de novos
recursos, para garantir a disponibilidade dos
servios.

Elaborar e manter um Plano de Contingncia


Capacitar os tcnicos envolvidos nas aes
definidas, para garantir a alta-disponibilidade.
Assegura a continuidade dos servios Identificar e monitorar constantemente os
componentes crticos da infra-estrutura.
Testar aes previstas no Plano de Contingncia
da TI.

Elaborar um Plano de Segurana, visando


garantir a integridade dos dados e seu acesso
somente por pessoal autorizado
Definir os procedimentos para gerenciamento e
reviso das contas de usurios.
Assegura a segurana dos servios

Definir, implantar uma arquitetura de TI segura


atravs de recursos de hardware e software como
firewall e mecanismos de proteo contra vrus.
Estabelecer os procedimentos de monitorao,
deteco, correo e documentao de incidentes
de segurana.

85

Definir

implantar

um

sistema

de

gerenciamento de problemas e incidentes.


Documentar e comunicar a metodologia e os
Gerencia os problemas e incidentes

processos de gerncia de problemas e de


incidentes adotados.
Prover mecanismos para o rastreamento e
auditoria dos problemas.

Definir uma estratgia de gerenciamento visando


garantir a segurana dos equipamentos de TI e
das pessoas.
Elaborar

um

inventrio

da

infra-estrutura,

identificando os possveis pontos de falha.


Prover os componentes para a deteco e
Gerencia a infra-estrutura

proteo contra fatores de riscos ambientais (por


exemplo, fogo, p, energia, excesso de calor e
umidade).
Manter uma rotina de manuteno preventiva
dos equipamentos.
Desenvolver um programa de educao e
treinamentos sobre segurana fsica.

Definir a poltica e os padres de monitorao da


infra-estrutura e sistema de TI.
Coletar
Monitora os processos

monitorar

os

indicadores

de

desempenho dos processos de TI.


Avaliar os servios e produtos da TI, atravs da
medio

de

indicadores

de

desempenho,

indicadores de metas e fatores crticos de


sucesso.

86

Manter atualizado os padres e processos de


monitorao em relao s novas tecnologias.

87

5. CONCLUSES E RECOMENDAES

O objetivo principal e os objetivos intermedirios propostos para este estudo foram


atendidos, assim como foi respondida a questo-problema desta pesquisa, conforme
apresentado no quadro abaixo:

QUADRO 7: Respostas aos objetivos e questo-problema

Objetivo Principal

Realizar um estudo de caso,

O referido estudo foi

aplicando as recomendaes

realizado na Empresa de

e prticas de governana de

Tecnologia da Informao

TI, preconizadas pelo

da Previdcia Social atravs

modelo Cobit, em que sero

de questionrio elaborado

identificados os processos

pela pesquisadora, com base

de TI relevantes para a

no modelo Cobit e aplicados

empresa em estudo.

aos gerentes e supervisores


da Diretoria de Operaes
da Dataprev no perodo de
29/03/05 a 02/05/05.

Objetivos Intermedirios

Analisar os modelos atuais

Foram estudos os modelos

de governana em TI.

CMM/CMMI, BS 7799,
ITIL e Cobit.

Identificar os principais

Atravs do questionrio

objetivos de controle do

elaborado para esta

modelo Cobit adequados

pesquisa, estes objetivos de

realidade da empresa.

controle foram identificados


(ver Tabela 3)

88

Identificar quais

Atravs do questionrio

prticas/objetivos de

elaborado para esta

controle recomendados pelo

pesquisa, estes objetivos de

modelo j so adotados pela

controle foram

empresa.

identificados. (ver Tabela 5)

Identificar os processos

Atravs da anlise das

relevantes para a

respostas obtidas aps a

organizao.

aplicao do questionrio
foram identificados 17
processos relevantes para a
Dataprev. (ver Quadro 6)

Qual a adequabilidade do O modelo Cobit foi


modelo
Questo-Problema

Cobit

para

a considerado adequado para

realidade de uma Empresa a Dataprev, conforme as


Pblica de Tecnologia da concluses da pesquisa
Informao?

apresentadas abaixo.

De acordo com o estudo realizado, verificou-se que dos 34 objetivos de controle do


modelo Cobit, 17 so considerados relevantes para a Empresa de Tecnologia de Informao
da Previdncia Social e dentre esses 17 processos, 12 j so praticados e 5 ainda no esto em
prtica na empresa.

Ou seja, 50% dos processos recomendados pelo modelo Cobit tem relevncia para a
realidade da empresa e 71% destes processos relevantes j so praticados pela empresa,
mesmo sem a adoo efetiva do modelo.

89

Diante desse contexto, pode-se concluir que o modelo Cobit de Governana de TI


adaptvel realidade da Empresa de Tecnologia e Informaes da Previdncia Social
Dataprev, e esta deve iniciar o processo de implantao do seu modelo governana de TI
pelos 17 objetivos de controle relevantes e suas respectivas prticas recomendadas pelo
modelo, descritas na sesso anterior.

Como recomendao para trabalho futuro, pode-se sugerir a construo de uma


ferramenta gerencial para a Empresa de Tecnologia e Informaes da Previdncia Social a
partir dos 17 objetivos de controle do modelo Cobit identificados nesta pesquisa como
relevantes para a Empresa. Para cada um destes objetivos de controle devem ser selecionados
os indicadores chave de meta e de performance, e modelado um banco de dados onde sero
armazenadas as metas previstas para cada um destes indicadores e o estgio atual de cada um
deles. Com esta ferramenta a empresa poder realizar anlises dos gaps entre as metas
previstas e reais, buscando identificar suas causas e tomando decises sobre investimentos,
treinamentos e recursos necessrios para o atendimento das metas estabelecidas.

90

REFERNCIAS BIBLIOGRFICAS

A EMPRESA. Disponvel em http://www.dataprev.gov.br/. Acesso em jan. 2005.


ALBERTIN, A. L.; MOURA, R. M. (Organizadores). Tecnologia de Informao. So
Paulo: Atlas, 2004.
ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. Cdigo de prtica para gesto
da segurana da informao - Referncias Elaborao: NBR ISO/IEC 17799. Rio de
Janeiro, 2002.
BRODBECK, A; ROSES, L; BREI, V. Governana de TI: Medindo o nvel de servios
acordados entre as unidades usurias e o departamento de sistemas de informao
[mensagem pessoal].Mensagem recebida por danimachadov@aol.com em 7 dez. 2004.
__________. Governana de TI: Service Level Agreement. In. SEMINRIO EXPO
MANAGEMENT WORLD, 2004, So Paulo.
CARR, Nicholas G. TI j no importa. Harvard Business Review Amrica Latina, vol.
81, n 5, p. 30-. 37, maio, 2003.
CARTER, K; PULTORAK, D. ITIL, COBIT, CMMI, Balanced Scorecard, ISO 9000, Six
Sigma: Putting Them All Together [mensagem pessoal].Mensagem recebida por
danimachadov@aol.com em 10 mai. 2005.
CONCEITOS BSICOS ITIL PARA GERENCIAMENTO DE SERVIOS EM TI. Quint
Wellington Redwood Academy, 2003.
CID, Miranda; PIMENTEL, Luis F. Fundamentos de Governana de TI. In. SEMINRIO
SUCESU, 2005. Rio de Janeiro
COOPER, Donald R.; SCHINDLER, Pamela S. Mtodos de pesquisa em administrao.
Porto Alegre: Bookman, 2003.
DALLAS, Susan; Bell, Michael. The need for IT Governance: Now more than
ever.Gartner Research, 2004.
DAVENPORT, T. Reengenharia de processos: como inovar a empresa atravs da tecnologia
da informao. Rio de Janeiro: Campus, 1994.
DEMO, Pedro. Metodologia do conhecimento cientfico. So Paulo:Atlas, 2000, pp. 160185.

91

Does IT matter? HBR debate. Harvard Business Review - letters to the editor, junho, 2003.
FAGUNDES, Eduardo M. Cobit: um kit de ferramentas para excelncia na gesto de TI.
Disponvel em www.itweb.com.br. Acesso em: dez. 2004.
FARIA, Fabio. Prefcio. In: ALBERTIN, L. A.; MOURA, R. M. (Organizadores).
Tecnologia de Informao. So Paulo: Atlas, 2004.
FIORINI, S.; STAA, A.; BAPTISTA, R. Engenharia de Software com CMM. Rio de
Janeiro:Brasport, 1998.
GARVIN, David A. Gerenciando a Qualidade : a viso estratgica e competitiva. Traduo:
Joo Ferreira Bezerra de Souza. Rio de Janeiro: Qualitymark Ed., 1992.
GIL, Antnio C. Como elaborar projetos de pesquisa. So Paulo: Atlas, 2002.
GONALVES, Jos Ernesto Lima. Os novos desafios da empresa do futuro. Revista de
Administrao de Empresas. So Paulo, v.37,n.3, p. 10-19, jul 1997.
GULDENTOPS, Erik; HAES, Steven D. Avaliao da utilizao do COBIT 3 edio:
crescimento da aceitao do COBIT. Security Magazine . So Paulo, n. 19, p. 47-52, 2003.
IT GOVERNANCE INSTITUTE. COBIT 3rd Edition Audit Guidelines. Disponvel em
http://www.isaca.org. Acesso em: nov. 2004.
_____________. COBIT 3rd Edition
http://www.isaca.org. Acesso em: nov. 2004.

Control

Objectives.

Disponvel

em

_____________. COBIT 3rd Edition


http://www.isaca.org. Acesso em: nov. 2004.

Executive

Summary.

Disponvel

em

_____________. COBIT 3rd Edition Framework. Disponvel em http://www.isaca.org.


Acesso em: nov. 2004.
_____________. COBIT 3rd Edition Implementation Tool Set. Disponvel em
http://www.isaca.org. Acesso em: nov. 2004.
_____________. COBIT 3rd Edition Management
http://www.isaca.org. Acesso em: nov. 2004.

Guidelines.

Disponvel

em

ITIL e COBIT ainda so mistrios para CIO's. Pesquisa Information Week. Disponvel em
http://www.informationweek.com.br. Acesso em: dez. 2004.

92

ITIL SERVICE SUPPORT. Central Computer and Telecommunications Agency, 2000.


JURAN, J. M.; GRYNA, Frank M. Controle da Qualidade: conceitos, polticas e filosofia
da qualidade. Traduo: Maria Cludia de Oliveira Santos.4. ed. So Paulo: Makron, 1991.
KAPLAN, Robert S. Kaplan e Norton na prtica. Rio de Janeiro: Elsevier, 2004.
LEITE, Jaci C. Decises de investimentos em tecnologia de informao. In: ALBERTIN,
L. A.; MOURA, R. M. (Organizadores). Tecnologia de Informao. So Paulo: Atlas, 2004.
LAURINDO, Fernando J. B. Tecnologia da Informao na qualidade e desenvolvimento de
produto. In. Seminrio Classe Mundial, 2000, So Paulo.
MARIANO, Sandra R. H. A lgica perversa do investimento em TI. Valor Econmico, So
Paulo, 26 set. 2003. Disponvel em http://sandramariano.com.br. Acesso em: fev. 2005.
MCFARLAN F. W. A tecnologia da informao muda sua maneira de competir. In:
RODRIGUEZ, M. V. R. Gesto Estratgica. Rio de Janeiro: Elsevier, 2005.
MEIRELLES, Fernando S. Gastos, investimentos e indicadores nas empresas: evoluo e
tendncias. In: ALBERTIN, L. A.; MOURA, R. M. (Organizadores). Tecnologia de
Informao. So Paulo: Atlas, 2004.
MINGAY, S; BITTINGER, S. Combine CobiT and ITIL for Powerful IT Governance, in
Research Note, TG-16-1849, Gartner, 2002. Disponvel em http://www3.gartnet.com. Acesso
em: mai. 2005
MILLER, Andrs. ITIL para o gerenciamento de servios de TI. Disponvel em
http://www.networkdesigners.com.br. Acesso em: dez. 2004
NETO, Joo C. Processos em sistemas e TI um guia bsico. So Paulo: DROMOS
Tecnologia e Gesto, 2004.
NONAKA, Ikujiro; TAKEUCHI, Hirotaka. Criao do conhecimento na empresa: como as
empresas Japonesas geram dinmica da inovao. Traduo de Ana Beatriz Rodrigues,
Priscila Martins Celeste. Rio de Janeiro: Campus, 1997.
PAULK, Mark. C. et al. Capability Maturity Model for Software. Version 1.1. Software
Engineering Institute, 1993.
PORTER, Michael E. Vantagem Competitiva. Rio de Janeiro: Campus, 1989.

93

PORTER, M. E.; MILLAR, V. E. Como a informao proporciona vantagem competitiva.


In: PORTER, M.E.. Competio on competition: estratgias competitivas essenciais. Rio de
Janeiro: Campus, 1999. p. 83-106.
OBJETIVOS E ATRIBUIES. Disponvel em http://www-dop. Acesso em jan. 2005.

OLIVEIRA, M. A. Em busca da excelncia empresarial: seja voc um empreendedor dos


conceitos da qualidade em sua empresa. So Paulo: DVS Editora, 2004.
ORGANOGRAMA. Disponvel em http://www-dop. Acesso em jan. 2005.
OSORIO, Rosana Fernandes. CMM e qualidade: estudo de caso Dataprev.2003. 249f.
Dissertao (Mestrado Profissional em Sistema de Gesto). Universidade Federal Fluminense,
Niteri.
QUINTELLA, Heitor M.; BOGADO, Svio D. C. Anlise bibliogrfica e mapeamento da
produo de um grupo de pesquisa sobre o uso competitivo da tecnologia de informao.
Engevista, v.6, n.2, p. 36-47. Agosto de 2004
RODRIGUEZ, M. V. R. Gesto Empresarial: organizaes que aprendem. Rio de Janeiro:
Qualitymark, 2002.
ROSS, S. A.; WESTERFIELD, R. W.; BRADFORD, D. J. Princpios de administrao
financeira. Traduo de Andra Maria Accioly Fonseca Minardi. So Paulo: Atlas, 2000.
RUBIN, Rachel. ITIL: Grito de Guerra. Information Week. So Paulo, n. 112, 2004.
GULDENTOPS, Erik; HAES, Steven D. Avaliao da utilizao do COBIT 3 edio:
crescimento da aceitao do COBIT. Security Magazine . So Paulo, n. 19, p. 47-52, 2003
SALL, Mathias. IT Service Management and IT Governance: Review, Comparative
Analysis and their Impact on Utility Computing. Palo Alto: HP Reserch Labs, 2004.
SHAPIRO, Carl; HAL, R. V. A economia da informao: como os princpios econmicos
de aplicam na era da Internet. Traduo de Ricardo Inojosa. Rio de Janeiro: campos, 1999.
SANCHEZ, O. P.; ALBERTIN, A. L. Investimentos efetivos em tecnologia de informao.
In: In: ALBERTIN, A. L.; MOURA, R. M. (Organizadores). Tecnologia de Informao. So
Paulo: Atlas, 2004.
STEWART, T. A. Capital Intelectual. A nova vantagem competitiva das empresas.
Traduo de Ana Beatriz Rodrigues, Priscila Martins Celeste. Rio de Janeiro: Campus, 1998.

94

SVEIBY, K.E. A nova riqueza das organizaes: gerenciando e avaliando patrimnios de


conhecimento. Traduo de Ana Beatriz Rodrigues, Priscila Martins Celeste. Rio de Janeiro:
Campus, 1998.
TERRA, J. C. C. Gesto do Conhecimento: o grande desafio empresarial. So Paulo:
Negcios, 2000.

95

APNDICES

96

APNDICE A - E-mail enviado aos respondentes:


Caro Colega,
Estou em fase de concluso de minha dissertao de Mestrado em Sistemas de
Gesto na UFF, cujo tema Governana de TI no setor pblico".
Para a concluso deste projeto de pesquisa, faz-se necessria uma coleta de
dados que, depois de analisados levaro a concluses sobre o tema.
O questionrio apresentado no link abaixo o instrumento de coleta de dados
deste projeto de pequisa, destinado aos gerentes e supervisores da Diretoria de
Operaes e Telecomunicaes da Dataprev.
http://www.danielemachado.targetbr.net/principal.htm
Sua participao como respondente deste questionrio fundamental para o
sucesso do projeto. Ao final da pesquisa, estaremos disponibilizando os
resultados obtidos.
Desde j agradeo sua participao,
Um abrao,
Daniele Machado Vieira

97

APNDICE B - Carta de apresentao do projeto, disponibilizada no site da pesquisa


Prezado Senhor,
O questionrio apresentado neste site o instrumento de coleta de dados
para a dissertao da mestranda Daniele Machado Vieira, do curso de Mestrado
Profissional em Sistemas de Gesto da Universidade Federal Fluminense.
Esta pesquisa visa realizar um estudo de caso, aplicando as
recomendaes e prticas de governana de TI, preconizadas pelo modelo Cobit,
onde sero identificados os processos de TI relevantes para a Empresa de
Tecnologia e Informaes da Previdncia Social Dataprev.
A pesquisa de campo ser realizada com os gerentes e supervisores da
Diretoria de Operaes e Telecomunicaes da empresa em estudo, localizados
no Rio de Janeiro e Braslia.
A coleta de dados ser feita pela prpria pesquisadora, atravs de
questionrios elaborados com base nas recomendaes e prticas do modelo
Cobit.
Todos os dados informados pelos respondentes sero tratados com total
confidencialidade pela pesquisadora e pela Universidade. As respostas sero
apresentadas somente em sumrio, sem qualquer possibilidade de identificao
de informaes especficas de cada usurio participante da pesquisa.
Acreditamos que, alm de trazer uma contribuio significativa para o
projeto, essa pesquisa ser de grande utilidade para a Dataprev.
Desde j, agradecemos a sua participao.
Prof. Dr. Martius Vicente Rodriguez y Rodriguez
Daniele Machado Vieira

98

APNDICE C - Questionrio utilizado na pesquisa de campo, disponibilizado no site da


pesquisa.
Questionrio da Pesquisa de Campo
Prezado respondente,
Este questionrio o instrumento da pesquisa de campo Governana de TI
no setor pblico - Um estudo de caso elaborado pela mestranda Daniele
Machado Vieira, sob a orientao do Prof. Dr. Martius Rodriguez y
Rodriguez, na Universidade Federal Fluminense. A sua participao
fundamental para o sucesso desta pesquisa.
Dados pessoais:
Nome:
Lotao:
Cargo:
Estado:
Perguntas:
1. Dos 34 objetos de controle do modelo Cobit descritos abaixo, selecione
os que voc considera mais relevantes para aplicao na Dataprev?
Planejamento e Organizao
( ) Define o plano estratgico de TI
( ) Define a arquitetura da informao
( ) Determina a direo tecnolgica
( ) Define a organizao de TI e seus relacionamentos
( ) Gerencia os investimentos de TI
( ) Gerencia a comunicao das direes de TI
( ) Gerencia os recursos humanos
( ) Assegura o alinhamento de TI com os requerimentos externos
( ) Avalia os riscos
( ) Gerencia os projetos
( ) Gerencia a qualidade
Aquisio e implementao
( ) Identifica as solues de automao
( ) Adquire e mantm os softwares

99

( ) Adquire e mantm a infra-estrutura tecnolgica


( ) Desenvolve e mantm os procedimentos
( ) Instala e certifica softwares
( ) Gerencia as mudanas
Entrega e suporte
( ) Define e mantm os acordos de nveis de servios (SLA)
( ) Gerencia os servios de terceiros
( ) Gerencia a performance e a capacidade do ambiente
( ) Assegura a continuidade dos servios
( ) Assegura a segurana dos servios
( ) Identifica e aloca custos
( ) Treina os usurios
( ) Assiste e aconselha os usurios
( ) Gerencia a configurao
( ) Gerencia os problemas e incidentes
( ) Gerencia os dados
( ) Gerencia a infra-estrutura
( ) Gerencia as operaes
Monitorao
( ) Monitora os processos
( ) Analisa a adequao dos controles internos
( ) Prov auditorias independentes
( ) Prov segurana independente
2. Dos 34 objetos de controle do modelo Cobit, quais voc considera que
a Dataprev j pratica?
Planejamento e Organizao
( ) Define o plano estratgico de TI
( ) Define a arquitetura da informao
( ) Determina a direo tecnolgica
( ) Define a organizao de TI e seus relacionamentos
( ) Gerencia os investimentos de TI

100

( ) Gerencia a comunicao das direes de TI


( ) Gerencia os recursos humanos
( ) Assegura o alinhamento de TI com os requerimentos externos
( ) Avalia os riscos
( ) Gerencia os projetos
( ) Gerencia a qualidade
Aquisio e implementao
( ) Identifica as solues de automao
( ) Adquire e mantm os softwares
( ) Adquire e mantm a infra-estrutura tecnolgica
( ) Desenvolve e mantm os procedimentos
( ) Instala e certifica softwares
( ) Gerencia as mudanas
Entrega e suporte
( ) Define e mantm os acordos de nveis de servios (SLA)
( ) Gerencia os servios de terceiros
( ) Gerencia a performance e a capacidade do ambiente
( ) Assegura a continuidade dos servios
( ) Assegura a segurana dos servios
( ) Identifica e aloca custos
( ) Treina os usurios
( ) Assiste e aconselha os usurios
( ) Gerencia a configurao
( ) Gerencia os problemas e incidentes
( ) Gerencia os dados
( ) Gerencia a infra-estrutura
( ) Gerencia as operaes
Monitorao
( ) Monitora os processos
( ) Analisa a adequao dos controles internos
( ) Prov auditorias independentes
( ) Prov segurana independente