EDNEY PEREIRA PINTO

JEAN PIERRY ALVES DE SOUZA

JOÃO PEDRO DE SOUSA
LUIZ HENRIQUE SALGADO ANDRADE CARDOSO

SISTEMAS E TECNOLOGIAS DE INFORMAÇÃO

ESTUDO DE CAMPO DA EMPRESA VERDE CAMPO

RÊMULO MAIA ALVES

LAVRAS-MG
2016
SUMÁRIO

Fase 1: Diagnóstico e Análise Organizacional

1 - Perfil Organizacional .........................................................................03

1.1 - Descrição da Organização...........................................................03
1.2 - Desafios Organizacionais.............................................................03

2 - Planejamento Estratégico..................................................................05
2.1 - Desenvolvimento de Estratégias..................................................05
2.2 - Implementação de Estratégias.....................................................06

Fase 2: Especificação da Governança

1 - Análise do Negócio da Organização

1.1 - Levantamento da Missão da Organização
1.2 - Levantamento dos Objetivos de Negócio
1.3 - Levantamento das Estratégias de Negócio da Organização
Fase 1: Diagnóstico e Análise Organizacional

1 Perfil Organizacional

1.1 Descrição da Organização

Proporcionar uma vida mais leve e saudável ao consumidor é o que move a

Verde Campo, desde a sua fundação, a produzir alimentos saudáveis e
diferenciados. Localizada em Lavras, a empresa desenvolve, há 15 anos,
produtos inovadores e de altíssima qualidade. São iogurtes, queijos frescos e
maturados, requeijão e creme de leite de altíssima qualidade – que se destacam
pelo sabor e pela leveza, por conciliarem em sua produção processos modernos
com técnicas artesanais de fabricação de alimentos. Uma história de sucesso
construída com uma mistura de tradição, tecnologia e crenças.

A empresa de laticínios foi criada pelo Sr. Antônio Alberto, conhecido como Sr.
Totonho. Famoso na região, Sr. Totonho era responsável por produzir o queijo
cobocó Gato, reconhecido como o melhor queijo cobocó do país. O queijo era
produzido onde hoje funciona a fábrica da Verde Campo. Seu filho e sucessor,
Alessandro Rios, cursou tecnologia de laticínios e engenharia de alimentos e
dedicou-se à vida acadêmica e de consultoria por 12 anos, até se render à
tradição familiar e criar, em 1999, um centro de referência em tecnologia de
laticínios para produzir derivados lácteos diferenciados e desenvolver
consultorias para clientes de todo o Brasil. Nascia assim a Verde Campo, com o
objetivo de oferecer produtos saudáveis e de qualidade, com investimento
constante em tecnologia e inovação. Os primeiros produtos desenvolvidos na
fábrica foram os produtos diet e light, seguindo uma demanda de mercado que
pedia por produtos mais saudáveis. Em 2004, a Verde Campo saiu do ramo de
consultoria e passou a se dedicar exclusivamente a ela mesma. O sonho estava
se realizando.

Já consolidada no mercado diet e light, a Verde Campo iniciou suas pesquisas

sobre produtos sem lactose e, em 2011, lançou a primeira linha de iogurtes a
base de leite sem lactose do país, a Linha Lacfree. Com a conquista do mercado
e o retorno positivo dos consumidores, a empresa lançou novos produtos sem
lactose (diversos tipos de queijos, requeijão, coalhada, creme de leite e outras
opções de iogurtes) e caiu no gosto dos intolerantes à lactose e daqueles que
buscam uma vida mais saudável.

Reunindo o que há de mais avançado em tecnologia e pesquisa do setor, a Verde

Campo possui a determinação de ser uma marca diferenciada em alimentos
leves e saudáveis. Mais do que isso, quer ser reconhecida como a marca que
melhor combina a saudabilidade com o gostinho bom, as restrições da dieta com
os prazeres do paladar.

A empresa vem construindo uma verdadeira filosofia do que fazer, de como fazer
e de como compartilhar os benefícios de tudo o que é feito. Este é um trabalho
que certamente não se faz sozinho, depende de todos: colaboradores,
produtores, gestores, clientes, comunidades e quem mais estiver comprometido
com uma vida leve, saudável e, acima de tudo, gostosa.
 Missão, visão e valores:

"Promover saúde e criar melhores oportunidades de vida, desenvolvendo e

produzindo, de forma inovadora e diferenciada, alimentos leves, saudáveis e
gostosos.”

“Ser a principal referência em alimentos diferenciados e saudáveis do Brasil até

2017”.

Tecnologia da Informação

● O parque de TI da organização contem 37 computadores, 4 servidores

físicos e 7 virtuais, atualmente os servidores estão passando por um
processo de melhoria (Implantação de solução tecnológica de cluster de
alta disponibilidade, para que sejam evitadas perdas operacionais,
administrativas e sobretudo financeiras);
● São 4 impressoras na rede;
● Rede controlada pelo rb mikrotik (Firewall, VPN, Ip’s, etc);
● 5 Switch;
● Banco de Dados Postgres e SQL Server Express;
● 3 roteadores para acesso sem fio (2 específicos para atender os negócios
relacionados a empresa e 1 para acesso dos clientes);
● No data center tem 2 racks, sendo um para os servidores e outro para
redes, o data center é equipado com nobreaks, piso elevado e ar
condicionado;
● Para a distribuição da rede pelos andares da empresa, são mais 2 racks.

Organograma da Empresa:

Estrutura Organizacional da TI:

1.2 Desafios Organizacionais

No caso da opção estratégica da empresa, baixo custo e excelência no

atendimento, a distinção dos recursos de TI tem como tônica a alavancagem e
desenvolvimento das competências que vêm a viabilizar esta estratégia. O caso
da empresa é típico do quadrante de coordenação do modelo foco-dominância,
onde deve prevalecer a preocupação com a melhoria da comunicação interna,
melhoria do trato com os clientes, aumento da efetividade operacional além do
controle dos processos e redução de custo
2 Planejamento Estratégico

2.1 Desenvolvimento de Estratégias

2.2 Implementação de Estratégias

Análise SWOT da empresa:

Analisando esses objetivos de negócio, observamos que não há um alinhamento

estratégico entre os negócios e a Tecnologia da Informação. Percebemos que a
empresa não faz uso de práticas condizentes com o gerenciamento de riscos,
apesar de a empresa ter escolhido esses objetivos. Porém, a mesma está
disposta a adotar práticas que levem a melhora deste tipo de gerenciamento
internamente.
Fase 2: Especificação da Governança

1 Análise do Negócio da Organização

1.1 Levantamento da Missão da Organização
1.2 Levantamento dos Objetivos de Negócio

Objetivos a longo e médio prazo:

O principal desafio da empresa é manter o padrão de produção, expandir o

estoque de maneira equilibrada, se preparando para uma expansão nacional
em alguns meses.

As estratégias utilizadas para atingir estes objetivos são:

● Reuniões gerais mensais de avaliação (AGM), baseadas em gestão de

processos, com ações.

● Treinamentos de conhecimentos dos processos, rodízios de posto de

trabalho; Programas de incentivos a participação em cursos de fabricação
de queijos e iogurtes.

Levantamento das Estratégias de Negócio da Organização Matriz de

Arranjo

A “matriz de arranjo em Governança de TI” é fundamental para entender o

estado atual da governança na organização.
Alta direção
Analista de TI Analista de TI Analista de TI

Alta direção e
Analista de TI

3.1 Nova matriz de arranjo proposta para a empresa:

4 Processos de TI

O objetivo de TI escolhido se relaciona com os seguintes processos:

4.1 EDMO3:01 Gerência de Avaliação de Riscos

Examinar continuadamente e fazer julgamento sobre o efeito de riscos

sobre os usos atuais e futuros de TI na empresa. Considerar se o apetite de
riscos empresariais é apropriado e se o risco para o valor relatado da empresa
para o uso de TI é identificado e gerenciado.

Proativamente avaliar fatores de risco de TI com antecedência às

decisões estratégicas da empresa e garantir que a empresa esteja consciente
dos riscos que são tomadas nas decisões. Uma das atividades desse processo
é proativamente avaliar fatores de risco de TI com antecedência às decisões
estratégicas da empresa para garantir a consciência da empresa perante a
situação de risco, dessa forma, mensalmente é realizado pelo analista algumas
manutenções preventivas na rede da empresa, assim o profissional pode
prover aos gestores alguns possíveis riscos presentes atualmente e avaliar os
riscos que poderão ocorrer futuramente com a aquisição de novos
equipamentos, por exemplo.

Avaliações de atividades de gerência de riscos devem ser feitas para

garantir o alinhamento com a capacidade da empresa de relatar a perda de TI e
tolerâncias de sua liderança. A empresa tenta trabalhar ao máximo para que
não ocorra nenhuma perda relacionada a TI, por exemplo, o analista de TI
adota uma postura de fazer um backup diário na empresa para que se arquivos
forem corrompidos, a tolerância é maior devido ao fato da perda ser de
serviços parciais em relação àquela informação.

4.2 EDM03.02 Gerência de risco direto

Direcionar o estabelecimento de práticas de gestão de risco para

fornecer segurança razoável de que o risco de práticas de gestão é adequado
para garantir que o risco de TI real não exceda o apetite de risco do conselho.

Promover uma cultura consciente de risco de Ti e delegar a empresa

para identificar riscos, oportunidades e impactos de potencial de negócio: Na
empresa são realizados treinamentos com os colaboradores a fim de promover
uma melhor conscientização dos mesmos com relação à segurança da
informação na empresa.

Direcionar a integração da estratégia de risco de Ti e operações com as

decisões estratégicas de riscos e operações: através de reuniões (geralmente
mensais) na empresa, os objetivos do negócio são apresentados e apontados
para os colaboradores de forma a mostrar como estes objetivos são aplicados
em relação a TI.

Direcionar implementação de mecanismos apropriados para responder

rapidamente para mudar os riscos e reportar imediatamente para níveis
apropriados de gerenciamento, suportados pelos princípios aceitos de escala (o
que reportar, quando e como): através dos treinamentos os usuários são
orientados que se houver algum risco relacionado ao sistema utilizado na
empresa, eles deverão acionar a empresa que dá suporte ao sistema através
da Web. Mas se o problema de risco for detectado a algum recurso interno da
empresa os usuários devem acionar o responsável pelo setor de TI.

Direcionar o risco, oportunidades, questões e preocupações que podem

ser identificadas e reportadas por alguém a qualquer hora. Riscos deveriam ser
gerenciados em acordo com políticas publicadas e procedimentos e escalados
para tomadores de decisões relevantes: não se aplica em partes na empresa.
Atualmente um dos problemas enfrentados na empresa é em relação à
centralização do acionamento dos colaboradores na empresa. A empresa
possui uma cultura não centralizada de gerenciamento dos riscos da empresa.

4.3 EDM03.03 Monitoramento de gerência de risco

Monitorar os objetivos-chave e métricas dos processos de gerência de

riscos e estabelecer como desvios ou problemas serão identificados,
rastreados e reportados para remediação.
Recomendamos à empresa que sejam feitas reuniões pelo menos
quinzenalmente para discussão e alinhamento dos objetivos da empresa e
de TI, e caso haja necessidade, reuniões devem ser marcadas mesmo que
antes das datas previstas. Devido ao fato do setor de TI ser reduzido, torna-
se mais fácil e menos burocrático o agendamento dos encontros.
A centralização do Service Desk na empresa seria uma alteração de
alto impacto positivo para a empresa, pois desta forma, o controle de
chamados seria melhor gerenciado e desta forma, sobraria mais tempo ao
setor de TI para fazer melhor o alinhamento entre TI e o negócio.

Nenhuma das atividades descritas neste processo é feita na empresa.

5 Nível de Maturidade

De acordo com o COBIT os níveis de maturidade são divididos em 6

níveis:
 ∙Nível 0 – Inexistente: Ausência de processos identificáveis.

 ∙Nível 1 – Inicial/Ad-hoc: Abordagens improvisadas

tendem a ser aplicadas a situações individuais. A gerência do
processo é desorganizada.

 ∙Nível 2 – Repetível, mas intuitivo: Não existe treinamento

ou repasse formal de procedimentos, a responsabilidade é deixada
a cargo do indivíduo. Grande probabilidade de falhas.

 ∙Nível 3 – Processo definido: Procedimentos

padronizados, documentados e comunicados por meio de
treinamentos. Cabe ao indivíduo seguir esses processos; é pouco
provável que desvios sejam detectados.

 ∙Nível 4 – Gerenciado e mensurável: Os processos

sofrem melhorias constantes e estabelecem boas práticas.
Ferramentas automatizadas são usadas de forma limitada ou
fragmentada.

 ∙Nível 5 – Otimizado: A TI é usada para automatizar os

fluxos de trabalho, provendo ferramentas para aumentar a
qualidade e efetividade dos processos.

Pudemos afirmar de acordo com o nível de maturidade da empresa que

ela se encontra no Nível 5, a TI é usada para automatizar os fluxos de trabalho
por meio deImplantação do sistema ERP Datasul (TOTVS) e aquisição de
máquinas que aumentam a produção automatizada.
6 Soluções:
6.1 AQUISIÇÃO DE UMA SUITE DE SOFTWARES.

Descrição: A empresa poderia optar pela aquisição de uma suite de softwares que
combina a segurança do desktop e servidores, segurança de e-mails, backup e
recuperação de dados.
Solução:Além das operações regulares de segurança, o software integrará todos os
principais elementos de GRC – riscos, políticas, leis/regulamentos, eventos de perda,
indicadores de risco, indicadores de desempenho, problemas, avaliações, planos de
ação e auditorias. Ela facilita o planejamento e o monitoramento, suporta várias
metodologias e conduz a gestão de riscos em várias linhas de negócio e grupos
funcionais, aprimorando tanto a governança de TI como a governança corporativa. Os
gestores vão trabalhar para atingir suas metas tendo o suporte da gestão de riscos e
garantindo conformidade com as políticas corporativas, leis e regulamentações, COBIT
e ISO 31000.
Custo: R$40.000,00 - R$60.000,00
Tempo: 2-4 meses
Envolvidos: Alta gerência, Gerêcia de TI, Suporte Técnico.
Processos do COBIT atendidos: EDM 03.03 – 01 e EDM 03.03 – 04.

6.2 PLANO DE RISCO DE COMUNICAÇÃO

Descrição: Elaboração de um plano de risco de comunicação para a empresa.

Solução: O plano tem como objetivo orientar todos os colaboradores da empresa. Os
colaboradores proativamente poderão descrever durante suas rotinas de trabalho algum
risco identificado para a empresa.
Para que as informações sejam mais fáceis de ser visualizadas pelas pessoas, um
quadro magnético deverá ser implantado no escritório central, onde todos os
colaboradores poderão identificar e alertar possiveis riscos para o negócio.
Custo: R$800,00 - R$1.100,00
Tempo: 1-4 semanas.
Envolvidos: Alta gerência, Gerência de TI e demais colaboradores.
Processos do COBIT atendidos: EDM 03.01 – 04, EDM 03.02 – 03 e EDM 03.02 – 01 .

6.3 CONTROLE DE ACESSOS.

Descrição: Implantar um controle de acesso a sala de telecomunicações ( servidores)

Solução: O controle de acesso de usuários na sala dos servidores da empresa é uma
prática que pode ser implantada na empresa para que apenas pessoas autorizadas
possam ter acesso aos servidores fisicamente na empresa É altamente recomendável
restringir a entrada na sala onde ficam os servidores, evitando muitos problemas como
sabotagem e desligamentos acidentais.
Custo: R$25.000,00 - R$40.000,00
Tempo: 1-3 meses.
Envolvidos: Alta gerência, Gerência de TI e empresa que fará a implantação.
Processos do COBIT atendidos: A questão de segurança da informação é abrangida
em todos os processos relacionados ao EDM03.