Governança de ti: avaliaçÃo de maturidade do cobit em uma empresa global



Baixar 76.82 Kb.
Encontro02.04.2019
Tamanho76.82 Kb.


GOVERNANÇA DE TI: AVALIAÇÃO DE MATURIDADE DO COBIT EM UMA EMPRESA GLOBAL


Estefan Macalli Alves, Thomas Augusto Damo Ranzi

Universidade Federal de Santa Catarina – UFSC

Departamento de Informática e Estatística – Curso de Sistemas de Informação

Abstract: This research had the objective to asses the maturity level of IT processes of WEG – Electric Equipments, a global organization with headquarters in Santa Catarina, Brazil, comparing to control objectives presented on COBIT (Control Objectives for Information and related Technology). The work was considered of great importance, since it meets with the previous efforts of the company related with planning and directing IT resources and investments. Beyond detailing the best practices of COBIT, to execute the maturity level assessment the need of adapting the methodology officially proposed was identified. Finally, a Gap Analysis was executed, where the difference between the current and the desired maturity level was analyzed. Based on these results, actions were proposed aiming to raise the maturity of the IT processes and the implementation of an IT Governance model in the company.
Resumo: Esta pesquisa teve como objetivo avaliar o grau de maturidade dos processos de TI de uma empresa global do setor metal-mecânico, com matriz em Santa Catarina (WEG Equipamentos Elétricos S/A) com relação aos objetivos de controle existentes no COBIT. O trabalho foi considerado de grande importância para a empresa, já que vai ao encontro dos esforços realizados relacionados ao planejamento e direcionamento dos recursos e investimentos em TI. Além de detalhar as melhores práticas de controle descritas no COBIT, para realizar a avaliação de maturidade identificou-se a necessidade de adaptar a metodologia oficialmente proposta. Ao final foi executado um GAP Analysis, onde a diferença entre o grau de maturidade atual e o desejado pela empresa foi analisado e com base nestes resultados, foram propostas ações visando a elevação de maturidade dos processos de TI e a implantação de um modelo de Governança de TI na empresa em questão.

1. Introdução

Ao analisar o histórico das organizações, tem-se que até meados do século passado, os passos para atingir as metas eram tomados sem levar em conta o seu relacionamento com o ambiente em que estava inserida.

Com as novas regras impostas pelo mercado, como principalmente a globalização, para gerar lucro, fica evidente a necessidade de uma boa cadeia de relacionamentos da organização com o ambiente externo. Para administrar essa nova realidade, algumas características passam a ser fundamentais: como por exemplo, a flexibilidade e a adaptação às mudanças.

Dentro deste contexto, as organizações passam a ser diretamente influenciadas na sua gestão e na concepção de uma estratégia empresarial pelo uso de sistemas de informação e da tecnologia da informação. Nesta busca de adequação entre a orientação estratégica de negócios e a estratégia de TI (Tecnologia da Informação) podemos observar o importante papel da Governança Corporativa e da Governança de TI.



2. Referencial Teórico

Nesta seção será abordada a revisão da literatura que dá sustentação teórica ao trabalho. Inicialmente serão abordados os objetivos e a necessidade do planejamento estratégico, bem como sua importância para o perfeito equilíbrio entre os negócios da empresa e dos objetivos da área de TI que fazem parte do alinhamento estratégico da empresa. Em seguida será discutido o foco deste trabalho, a Governança de TI, suas aplicações, ferramentas e principais modelos utilizados, dando destaque para o COBIT.


2.1. Planejamento Estratégico
O objetivo do Planejamento Estratégico é prover direção, concentração de esforço, constância de propósito, e flexibilidade, como um negócio continuamente empenhado em impor sua posição em todas as áreas estratégicas (Boah, 1994). Desta forma pretende-se estruturar e sistematizar as ações para aproveitar oportunidades e pontos fortes e minimizar ameaças e pontos fracos. O processo de planejamento é mais importante que seu produto final, se identificando com prováveis mudanças, estabelecendo assim uma harmonia entre a organização e seu meio ambiente.

A globalização dos mercados, com a conseqüente intensificação da competitividade e o crescente nível de exigência relacionado aos produtos e serviços, levam a acreditar que, num futuro próximo, todos os aspectos da organização vão influenciar o seu posicionamento competitivo (Amaral e Varajão 2000). Considerando esta afirmação, alguns dos motivos que levam uma empresa a adotar o Planejamento estratégico são: flexibilidade, integração organizacional, motivação do staff e espírito organizacional.


2.2. Planejamento Estratégico de TI
As primeiras pesquisas onde o Planejamento estratégico passou para a área de TI, a visão era orientada para o armazenamento de dados e não para obter vantagens competitivas a partir da informação obtida pelos dados.

Segundo Torres(1994), o planejamento estratégico de TI pode ser definido como um processo de identificação de infra-estrutura e aplicações para suportar o negócio das organizações através do atendimento dos objetivos organizacionais. Atualmente as atividades da área de TI são consideradas críticas para o sucesso da organização, sendo assim, sua responsabilidade sobre os resultados são cada vez maiores. Com isto, está se tornando difícil separar os aspectos de planejamento de TI dos de negócio.


2.3. Alinhamento Estratégico
Segundo Fagundes (2004), O alinhamento das estratégias significa aderência dos investimentos e gastos em TI levando em consideração o valor que eles agregam aos negócios de uma organização. Isto significa que quando os objetivos dos negócios são suportados pelos objetivos do planejamento estratégico de TI, a empresa está estrategicamente alinhada, podendo desta forma obter maior performance organizacional.

Para tanto, normalmente as empresas têm buscado uma metodologia a seguir visando dar sustentação às estratégias e os valores que a área de TI agrega ao negócio da empresa.


2.4 Governança de TI
A Governança de TI é um conceito novo dentro da área de TI. Um número significativo de empresas vêm adotando algum dos modelos de gestão no mercado procurando obter sucesso na administração e no alinhamento com área de TI, pois as empresas realizam um grande investimento em TI esperando obter vantagens e, conseqüentemente, lucros advindos deste investimento.

Segundo a ISACA (2000), a Governança de TI é uma estrutura de relacionamentos e processos para dirigir e controlar a empresa a fim de alcançar os seus objetivos pela adição de valor ao mesmo tempo em que equilibra riscos versus retorno sobre TI e seus processos.

A Governança de TI é essencial para garantir melhorias eficazes e eficientes nos processos da empresa. Ela fornece uma estrutura que liga os processos de TI, os recursos de TI e as informações às estratégias e objetivos da empresa. Além disto compor uma governança de TI significa assegurar que as informações da empresa e a tecnologia aplicada suportam os objetivos do negócio, permitindo, dessa forma, que a empresa tire total proveito dessas informações, maximizando benefícios, capitalizando em oportunidades e adquirindo vantagem competitiva.
2.4.1 Framework para Governança de TI
Assim como em outras áreas de tecnologia, na Governança de TI, uma série de metodologias sugerem métodos e ferramentas para guiar as empresas na preparação, aplicação e gerenciamento dos passos que levam à Governança Corporativa. Na verdade, cada uma dessas metodologias possui um foco específico, o que em muitos casos leva as empresas a adotar várias dessas metodologias em conjunto para aproveitar o que cada uma têm a oferecer de melhor. Com a combinação dessas metodologias podemos obter uma estrutura que denominamos “framework’ de governança de TI.

A seguir serão descritas as principais metodologias adotadas no “framework” de governança de TI e suas principais características.

ITIL é acrônimo de Information Technology Infrastructure Library e tem foco na operação e na infra-estrutura de TI. Este modelo não se preocupa com desenvolvimento de software e tampouco com alinhamento estratégico de negócios. É um conjunto de recomendações e melhores práticas para a gestão da infra-estrutura, desenvolvido pelo governo inglês.

CMM (Capability Matury Model) é uma certificação concedida pela Software Engeneering Institute (SEI), da Universidade Carnegie Mellon (EUA), que mede o grau de maturidade no processo de desenvolvimento de software. O CMM focaliza os processos, que considera o fator de produção com maior potencial de melhoria a prazo mais curto.

PMBOK (Project Management Body of Knowledge) é um guia onde se descreve a as principais áreas de conhecimento e as melhores práticas dentro da área de gerência de projetos. Outro objetivo do PMBOK é a padronização de termos utilizados em gerência de projetos.

SOX (lei Sarbanes-Oxley) é uma lei aprovada em 2002 pelo governo americano voltada principalmente para companhias de capital aberto com ações nas bolsas de valores ou com negociação na Nasdaq acabar com as fraudes contábeis. Esta lei possui 11 seções que são direcionadas principalmente à responsabilidade penal da diretoria. As seções 302 e 404 dizem respeito à responsabilidade corporativa pela veracidade de conteúdo dos relatórios financeiros produzidos e pela área de TI e avaliação dos controles internos.

ISO 17799 é uma norma homologada pelo comitê ISO que prevê os mais diversos tópicos para a área da segurança da informação. Esta norma está dividida em 10 capítulos principais, contendo 127 controles de segurança que mantêm o foco na gestão de riscos, suas principais definições são códigos de práticas para a gestão da informação sob os aspectos de confidencialidade, integridade e disponibilidade.
2.5 COBIT
Segundo ISACA (Information Systems Audit and Control Association), o COBIT é editado pelo ITGI (Information Technology Governance Institute) e aceito internacionalmente como uma boa prática de controle sobre informações, TI e riscos relacionados. Utiliza-se o COBIT para implantar a governança de TI e melhorar os controles de TI.
Segundo ITGI (2005), o COBIT foi projetado para ser utilizado por 4 diferentes públicos:


  • Direção executiva: Para obter valor dos investimentos de TI e equilibrar os riscos e controlar os investimentos no ambiente freqüentemente imprevisível de TI.

  • Administração do negócio: Para garantir o gerenciamento e controle dos serviços de TI prestados internamente ou por terceiros.

  • Administração de TI: Para prover os serviços de TI requeridos para suportar a estratégia do negócio de uma maneira controlada e gerenciada.

  • Auditores: Para subsidiar seus pareceres e aconselhar a administração sobre controles internos.

2.5.1 Estrutura do COBIT:


Buscando atuar em todos as atividades de uma organização de TI, o COBIT se sub-divide em 3 níveis como mostrado na figura a seguir:


Figura 1: Os 3 níveis do COBIT. Fonte: ITGI,2005

Domínios:




  • Planejamento e Organização (PO): Este domínio trata das estratégias e táticas, e procura identificar a maneira que a TI pode melhor contribuir para o alcance dos objetivos do negócio. Neste domínio existem 10 processos:

    • PO1 - Definir o plano estratégico de TI

    • PO2 - Definir a arquitetura da informação

    • PO3 - Determinar a direção tecnológica

    • PO4 - Definir processos, organização e relacionamentos da TI

    • PO5 - Gerenciar os investimentos de TI

    • PO6 - Comunicar os objetivos e direção da administração

    • PO7 - Gerenciar os recursos humanos

    • PO8 - Gerenciar a qualidade

    • PO9 - Avaliar e gerenciar os riscos de TI

    • PO10 - Gerenciar projetos



  • Aquisição e Implementação (AI): Para concretizar a estratégia de TI, é necessário identificar, desenvolver ou adquirir as soluções de TI, bem como integrá-las ao processo do negócio. Esse domínio também contempla as mudanças e manutenções nos sistemas existentes para assegurar que as soluções continuem atendendo aos objetivos do negócio. Neste domínio estão sete processos:

    • AI1 - Identificar as soluções de automação

    • AI2 - Adquirir e manter os Softwares Aplicativos

    • AI3 - Adquirir e manter a infra-estrutura tecnológica

    • AI4 - Habilitar a operação e o uso

    • AI5 - Obter recursos de TI

    • AI6 - Gerenciar as mudanças

    • AI7 - Instalar e validar as soluções e as mudanças




  • Entrega e Suporte (DS): Este domínio atua sobre as entregas desejadas dos serviços o que inclui entrega de serviços, gerenciamento da segurança e da continuidade, suporte aos usuários e gerenciamento dos dados e do ambiente operacional. Abaixo deste domínio existem 13 processos:

    • DS1 - Definir e manter os acordos de níveis de serviços (SLA)

    • DS2 - Gerenciar os serviços de terceiros

    • DS3 - Gerenciar a performance e a capacidade

    • DS4 - Assegurar o serviço contínuo

    • DS5 - Garantir a segurança dos sistemas

    • DS6 - Identificar e alocar custos

    • DS7 - Educar e Treinar usuários

    • DS8 - Gerenciar o Service Desk e os Incidentes

    • DS9 - Gerenciar a configuração

    • DS10 - Gerenciar os problemas

    • DS11 - Gerenciar os dados

    • DS12 - Gerenciar o ambiente físico

    • DS13 - Gerenciar as operações




  • Monitoração e Avaliação (ME): Todos os processos de TI devem ser avaliados regularmente quanto à qualidade e conformidade com requisitos de controle. Este domínio abrange o gerenciamento do desempenho, monitoramento dos controles internos, conformidade com as regulamentações e governança. Neste domínio ficam 4 processos:

    • ME1 - Monitorar e Avaliar a Performance de TI

    • ME2 - Monitorar e Avaliar os Controles Internos

    • ME3 - Assegurar Conformidade com Regulamentações

    • ME4 - Prover a Governança de TI

A estrutura do COBIT possui 34 processos agrupados em 4 domínios e propõe uma maneira de gerenciar os recursos de TI (Pessoas, Aplicativos, Informações e Infra-estrutura) de maneira a fornecer informações relevantes ao atendimento dos objetivos do negócio e da governança seguindo os sete critérios de informação (Eficácia, Eficiência, Confidencialidade, Integridade, Disponibilidade, Conformidade e Confiabilidade)


Figura 2: Representação da estrutura do COBIT 4.0. Adaptado de ITGI(2005)


3. Metodologia Proposta para Avaliação de Maturidade
Dentre as ferramentas disponibilizadas para a aplicação do COBIT encontra-se o COBIT Management Guidelines que provê um modelo de maturidade, semelhante ao CMMI, com níveis de 0 (Não existente) a 5 (Otimizado) onde em cada nível existe uma descrição de como devem estar dispostos os processos para alcançá-los. Além disso, este modelo pode ser utilizado como um checklist para identificar melhorias nos processos de TI existentes na organização.

Geralmente, estes níveis de maturidade são utilizados para uma organização definir rapidamente, com base nos cenários descritos, em que nível se encontra e em que nível pretende chegar futuramente. Na maior parte das vezes, a aplicação deste modelo é feita através de reuniões com os gestores, onde pede-se que este identifiquem o nível atual e o desejado dos processos. Entretanto, entendeu-se que por esse modelo, a análise é muito genérica e baseia-se apenas na intuição das pessoas, nem sempre especialistas dos respectivos processos.

Outra limitação, é que este modelo é estritamente incremental, ou seja, para determinar em qual nível a empresa se encontra, deve-se atender a todos os requisitos daquele nível e também os requisitos dos níveis anteriores. Dessa forma, iniciativas em níveis posteriores ao encontrado são difíceis de serem identificadas.

Visando sanar essas limitações, Pederiva (2003) propõe uma avaliação de fornecedores utilizando o modelo de maturidade presente no COBIT Management Guidelines, porém transformando as descrições de cada nível de maturidade em sentenças como no exemplo a seguir:



PO01 - Definir um Planejamento Estratégico de TI


Nível 1 - Inicial / Ad hoc

COBIT – Textual

Modelo Proposto – Pontual

A necessidade de um Planejamento estratégico de TI é conhecida pela gerência de TI. O Planejamento de TI é executado em resposta a uma exigência específica do negócio. O Planejamento estratégico de TI é ocasionalmente discutido nas reuniões da gerência de TI. O alinhamento das exigências do negócio, as aplicações e a tecnologia são tratados de forma reativa e não seguindo a estratégia da organização. A posição de risco estratégico é identificada informalmente, projeto por projeto.

- A necessidade de um Planejamento estratégico de TI é conhecida pela gerência de TI.

- O Planejamento de TI é executado em resposta a uma exigência específica do negócio.

- O Planejamento estratégico de TI é ocasionalmente discutido nas reuniões da gerência de TI.

- O alinhamento das exigências do negócio, as aplicações e a tecnologia são tratados de forma reativa e não seguindo a estratégia da organização.

- A posição de risco estratégico é identificada informalmente, projeto por projeto.


Tabela 1: Transformação dos cenários COBIT em sentenças

3.1. Metodologia Proposta
Para o desenvolvimento da Metodologia de Avaliação de Maturidade utilizada no trabalho, adotou-se o COBIT Management Guidelines com a abordagem proposta por Pederiva, pois acredita-se que avaliando cada sentença independente do nível de maturidade, no final obtem-se um resultado mais fiel à realidade. Além disso, pôde-se identificar que a compreensão dos envolvidos foi facilitada, visto que estes deram suas opiniões com relação a pequenas sentenças e não a um cenário único e complexo.

Com relação às limitações encontradas no modelo oficial, relativos à dificuldade de identificar requisitos cumpridos em níveis posteriores ao encontrado, alem de identificar o nível oficial, foi criado o valor Conformidade, que leva em consideração apenas o número de requisitos atendidos e o número de sentenças existentes em cada processo. Este valor permite identificar com maior facilidade o número de requisitos atendidos para cada processo.



3.2. Passos
Para realizar o mapeamento do nível de maturidade na WEG, foram marcadas entrevistas com 3 ou 4 especialistas em cada um dos processos mapeados.

No início, a folha de entrevista, era entregue aos presentes, e fazia-se uma pequena explicação do COBIT e de sua importância. Em seguida, explicava-se o processo a ser mapeado e uma breve discussão era feita, para que possíveis dúvidas fossem sanadas e houvesse um alinhamento do conteúdo do processo.

Em seguida, as sentenças extraídas do modelo de maturidade COBIT eram expostas conforme explicado anteriormente. Após lida cada sentença, os entrevistados respondiam em consenso se a mesma era verdadeira ou falsa para a situação atual da WEG.

Após efetuado o mapeamento de todas as sentenças do processo, o nível alcançado era revelado. Com base nele, os entrevistados apontavam o nível desejado para o ano 2010. Este ano foi utilizado em alinhamento com o Planejamento Estratégico de TI da WEG que considera o mesmo como cenário futuro.



3.3 Aplicação da Planilha
Para aplicar a metodologia proposta, elaborou-se uma planilha na qual os dados foram registrados e tratados. Para evitar pontuações errôneas, considerando a natureza de cada sentença como positiva ou negativa para a empresa, as respostas foram transformadas da seguinte maneira:





Positiva

Negativa

Resposta

Falso  0

Verdadeiro  1



Falso  1

Verdadeiro  0



Tabela 2: Transformação dos valores de pontuação conforme natureza da sentença.

Exemplo:
A sentença “A necessidade de um Planejamento estratégico de TI é conhecida pela gerência de TI.” foi identificada como uma sentença positiva pois ao responder verdadeiro, a empresa cumpre um requisito e informa que a necessidade do PETI é reconhecida pela gerência de TI. Ao final, a empresa obtém um ponto para esta sentença.


Já a sentença “A posição de risco estratégico é identificada informalmente, projeto por projeto.” foi identificada como uma sentença negativa pois ao responder verdadeiro, a empresa não cumpre um requisito e informa que não existe um processo formal de identificação da posição de risco. Ao final, a empresa não recebe ponto para esta sentença.

Concluído o processo de registro das respostas obtém-se para os 6 níveis de maturidade de cada processo COBIT a seguinte tabela:



PO01 - Definir um Planejamento Estratégico de TI


Nível 1 - Inicial / Ad hoc

Verdadeiro

Falso

Pontuação

Pos/Neg

- A necessidade de um Planejamento estratégico de TI é conhecida pela gerência de TI.

X




1

+

- O Planejamento de TI é executado em resposta a uma exigência específica do negócio.




X

1

-

- O Planejamento estratégico de TI é ocasionalmente discutido nas reuniões da gerência de TI.




X

1

-

- O alinhamento das exigências do negócio, as aplicações e a tecnologia são tratados de forma reativa e não seguindo a estratégia da organização.




X

1

-

- A posição de risco estratégico é identificada informalmente, projeto por projeto.

X




0

-






Total


4










Sentenças

5










Conformidade

80%




Tabela 3: Planilha de avaliação de maturidade para o nível 1 do processo PO01
Onde:

Pontuação  Respostas transformadas de acordo com a natureza das sentenças.

Pos/Neg  Identificação da natureza da sentença como positiva ou negativa.

Total  Somatório das pontuações.

Sentenças  Número de sentenças presentes no nível 1 do processo PO01.

Conformidade  Percentual de conformidade da organização com o nível 1 do processo PO01.


Com as respostas de todos os níveis do processo devidamente registradas na planilha, obtém-se o seguinte resultado para cada processo COBIT:


PO01 - Definir um Planejamento Estratégico de TI

Nível

Conformidade

0

100%

1

80%

2

50%

3

43%

4

17%

5

0%

Conformidade Total

48%

Tabela 4: Conformidade da WEG para cada nível

Onde:


Conformidade  Aderência com as sentenças de cada nível do processo.

Conformidade Total  Média da conformidade de todos os níveis somados.


Ao final tem-se para cada processo do COBIT:


PO01 - Definir um Planejamento Estratégico de TI

Resultado Final

Nível Atual

1

Nível Meta

4

Conformidade

48%

Tabela 5: Resultados finais para o processo PO01
Onde:

Nível Atual  Valor oficial. Nível mais elevado a ter 100% dos requisitos atendidos pela WEG.

Nível Meta  Nível desejado para o ano 2010.

Conformidade  Valor não oficial. Representa a aderência aos requisitos do COBIT para este processo, observando cada nível de maturidade.


Visando facilitar a análise dos resultados obtidos e o estudo dos planos de ação propostos, ao final do trabalho um relatório que futuramente servirá como um guia para a empresa atingir conformidade com os requisitos de governança propostos pelo COBIT foi entregue à empresa.
6. Conclusões
De acordo com os objetivos estabelecidos, a metodologia proposta mostrou-se um importante instrumento para a avaliação dos processos de TI, sendo possível, a partir de sua aplicação, executar um Gap Analysis dos processos de TI em relação ao COBIT.

De forma geral, acredita-se que os objetivos propostos foram alcançados e ao que tudo indica os resultados servirão de base para a aplicação de novos projetos relacionados à Governança de TI na empresa estudada.


7. Referências Bibliográficas
AMARAL, Luís Alfredo Martins do, VARAJÃO, João Eduardo Quintela. Planejamento de Sistemas de Informação – Universidade de Minho/Portugal – FCA Editora, 2000.
BOAR, Bernard H. – Critical Steps for Aligning Information Technology with Business Strategies. AT&T. Wiley 1994.
BRODBECK, Ângela Freitag – Alinhamento Estratégico entre Plano de Negócios e Tecnologia da Informação: Um Modelo Operacional para Implementação – Universidade Federal do Rio Grande do Sul – Tese de Doutorado, 2001.
CALVO, Mair Affonso Rangel (2006) , “COBIT: Modelo de Maturidade” - http://www.madah.com.br/COBIT_Modelo_Maturidade.doc
FAGUNDES, E. M. - “Um Kit de Ferramentas para a Excelência na Gestão de TI”, http://www.fagundes.com/artigos/COBIT.html Agosto 2004.
ITGI, “COBIT 3rd Edition”, IT Governance Institute. 2000.
ITGI, “COBIT 4th Edition”, IT Governance Institute. 2005.
PEDERIVA, Andrea - “The COBIT Maturity Model in a Vendor Evaluation Case”, Information Systems Control Journal, Volume 3, 2003.
TORRES, N. A. Manual de Planejamento de Informática Empresarial. Makron Books, SP, 1994.




©aneste.org 2017
enviar mensagem

    Página principal