UNIVERSIDADE FEDERAL DE SANTA CATARINA20... · ISO/IEC-17799 e a lei Sarbanes-Oxley. - Focar os...
Transcript of UNIVERSIDADE FEDERAL DE SANTA CATARINA20... · ISO/IEC-17799 e a lei Sarbanes-Oxley. - Focar os...
UNIVERSIDADE FEDERAL DE SANTA CATARINA
GOVERNANÇA DE TI: AVALIAÇÃO DE MATURIDADE DO COBIT EM UMA EMPRESA GLOBAL
Estefan Macalli Alves Thomas Augusto Damo Ranzi
Florianópolis - SC 2006
UNIVERSIDADE FEDERAL DE SANTA CATARINA
DEPARTAMENTO DE INFORMÁTICA E ESTATÍSTICA
CURSO DE SISTEMAS DE INFORMAÇÃO
GOVERNANÇA DE TI: AVALIAÇÃO DE MATURIDADE DO COBIT
EM UMA EMPRESA GLOBAL
Estefan Macalli Alves
Thomas Augusto Damo Ranzi
Trabalho de conclusão de curso apresentado
como parte dos requisitos para obtenção do grau
de Bacharel em Sistemas de Informação pela
Universidade Federal de Santa Catarina.
Florianópolis - SC
2006
2
Estefan Macalli Alves
Thomas Augusto Damo Ranzi
GOVERNANÇA DE TI: AVALIAÇÃO DE MATURIDADE DO COBIT EM UMA EMPRESA GLOBAL
Trabalho de conclusão de curso apresentado como parte dos requisitos para obtenção do grau de Bacharel em Sistemas de Informação pela Universidade Federal de Santa Catarina.
___________________________________ Aline França de Abreu, Ph. D.
Orientadora
Banca Examinadora
___________________________________Roberto Carlos dos Santos Pacheco, Dr.
Coorientador
___________________________________José Francisco Salm Jr.
Membro
3
AGRADECIMENTOS Às nossas famílias, amigos e namoradas pelo apoio irrestrito e incondicional. À Professora Aline França de Abreu pela orientação, paciência e comprometimento. Aos membros da banca Professor Roberto Carlos dos Santos Pacheco e Professor José Francisco Salm Jr. pelas sugestões sempre adequadas. À WEG pela oportunidade e divulgação dos resultados. Aos colegas do Departamento de Sistemas de Informação, em especial à seção Planejamento e Controle de TI pelo incentivo, colaboração e amizade nesta jornada. Aos colegas do IGTI pelos ensinamentos e contribuições.
A todos que de alguma maneira contribuíram para a realização deste trabalho.
4
RESUMO
Esta pesquisa teve como objetivo avaliar o grau de maturidade dos processos
de TI de uma empresa global do setor metal-mecânico, com matriz em Santa
Catarina (WEG Equipamentos Elétricos S/A) com relação aos objetivos de controle
existentes no COBIT. O trabalho foi considerado de grande importância para a
empresa, já que vai ao encontro dos esforços realizados relacionados ao
planejamento e direcionamento dos recursos e investimentos em TI. Além de
detalhar as melhores práticas de controle descritas no COBIT, para realizar a
avaliação de maturidade identificou-se a necessidade de adaptar a metodologia
oficialmente proposta. Ao final foi executado um GAP Analysis, onde a diferença
entre o grau de maturidade atual e o desejado pela empresa foi analisado e com
base nestes resultados, foram propostas ações visando a elevação de maturidade
dos processos de TI e a implantação de um modelo de Governança de TI na
empresa em questão.
Palavras-Chave: Governança de TI, Planejamento Estratégico de TI, Alinhamento Estratégico, Tecnologia da Informação, COBIT, GAP Analysis.
5
ABSTRACT
This research had the objective to asses the maturity level of IT processes of
WEG – Electric Equipments S/A, a global organization with headquarters in Santa
Catarina, Brazil, comparing to control objectives presented on COBIT (Control
Objectives for Information and related Technology). The work was considered of
great importance, since it meets with the previous efforts of the company related with
planning and directing IT resources and investments. Beyond detailing the best
practices of COBIT, to execute the maturity level assessment the need of adapting
the methodology officially proposed was identified. Finally, a Gap Analysis was
executed, where the difference between the current and the desired maturity level
was analyzed. Based on these results, actions were proposed aiming to raise the
maturity of the IT processes and the implementation of an IT Governance model in
the company.
Keywords: IT Governance, IT Strategic Planning, Strategic Alignment, Information Technology , COBIT, GAP Analysis.
6
SUMÁRIO 1 INTRODUÇÃO.................................................................................................11 1.1 TEMA...............................................................................................................11 1.2 JUSTIFICATIVAS ............................................................................................12 1.3 RESULTADOS ESPERADOS .........................................................................12 1.4 OBJETIVO GERAL ..........................................................................................13 1.5 OBJETIVOS ESPECÍFICOS............................................................................13 2 REFERENCIAL TEÓRICO ..............................................................................15 2.1 PLANEJAMENTO ESTRATÉGICO .................................................................15 2.1.1 O que leva uma empresa a usar o Planejamento Estratégico? .......................16 2.1.2 Planejamento Estratégico dos Negócios .........................................................17 2.1.3 Planejamento Estratégico de TI - PETI ...........................................................20 2.1.4 Métodos de Planejamento Estratégico de TI....................................................23 2.2 ALINHAMENTO ESTRATÉGICO ....................................................................25 2.3 GOVERNANÇA DE TI .....................................................................................30 2.3.1 Governança Corporativa ..................................................................................32 2.3.2 “Framework” de Governança de TI ..................................................................35 2.3.3 COBIT..............................................................................................................38 2.3.4 Gap Analysis....................................................................................................44 3 A EMPRESA....................................................................................................46 3.1 DEPARTAMENTO DE SISTEMAS DE INFORMAÇÃO DA WEG ...................47 3.1.1 Plano Estratégico de TI – PETI........................................................................48 3.1.2 Metodologia de Gerenciamento de Projetos ....................................................49 4 METODOLOGIA PROPOSTA PARA AVALIAÇÃO DE MATURIDADE.........51 4.1 FUNDAMENTOS .............................................................................................51 4.2 METODOLOGIA PROPOSTA .........................................................................53 4.2.1 Passos .............................................................................................................54 4.2.2 Aplicação da Planilha.......................................................................................55 5 RESULTADOS OBTIDOS...............................................................................59 6 CONSIDERAÇÕES FINAIS.............................................................................81 6.1 LIMITAÇÕES ...................................................................................................81 6.2 SUGESTÕES PARA TRABALHOS FUTUROS...............................................83 REFERÊNCIAS BIBLIOGRÁFICAS.........................................................................84 APÊNDICES .............................................................................................................87 ANEXOS:..................................................................................................................90
7
LISTA DE FIGURAS Figura 2.1 Planejamento Estratégico em Movimento ................................................20 Figura 2.2 Modelo Conceitual de Alinhamento Estratégico. ......................................29 Figura 2.3 Os 3 níveis do COBIT. Fonte: ITGI,2005 .................................................39 Figura 2.4 Representação da estrutura do COBIT 4.0. Adaptado de ITGI (2005).....43 Figura 3.1 Estrutura do Departamento de Sistemas de Informação da WEG ...........47 Figura 3.2 Estrutura de decomposição do trabalho (EDT) para o projeto COBIT .....50
8
LISTA DE TABELAS Tabela 2.1 Métodos de Planejamento Estratégico ....................................................24 Tabela 4.1 Transformação dos cenários COBIT em sentenças ................................53 Tabela 4.2 Transformação dos valores de pontuação conforme natureza da
sentença. ................................................................................................55 Tabela 4.3 Planilha de avaliação de maturidade para o nível 1 do processo PO1....56 Tabela 4.4 Conformidade da WEG para cada nível ..................................................57 Tabela 4.5 Resultados finais para o processo PO1 ..................................................57
9
LISTA DE REDUÇÕES COBIT – Control Objectives for Information and Related Technology
SI – Sistemas de Informação
TI – Tecnologia da Informação
IT – Information Technology
PETI – Planejamento Estratégico de Tecnologia da Informação
PSI – Planejamento de Sistemas de Informação
SOX – Lei Sarbanes-Oxley
ITIL – Information Technology Infrastructure Library
PMBok – Project Management Body of Knowledge
CMMi – Capability Maturity Model Integration
ISACA – Information Systems Audit and Control Association
ITGI – Information Technology Governance Institute
10
1 INTRODUÇÃO
Ao analisar o histórico das organizações, tem-se que, até meados do século
passado, os passos para atingir as metas eram tomados sem levar em conta o seu
relacionamento com o ambiente em que estava inserida.
Com as novas regras impostas pelo mercado, como principalmente a
globalização, para gerar lucro, fica evidente a necessidade de uma boa cadeia de
relacionamentos da organização com o ambiente externo. Para administrar essa
nova realidade, algumas características passam a ser fundamentais, como, por
exemplo, a flexibilidade e a adaptação às mudanças.
Dentro deste contexto, as organizações passam a ser diretamente
influenciadas na sua gestão e na concepção de uma estratégia empresarial pelo uso
de sistemas de informação e da tecnologia da informação. Nesta busca de
adequação entre a orientação estratégica de negócios e a estratégia de TI
(Tecnologia da Informação) pode-se observar o importante papel da Governança
Corporativa e da Governança de TI.
Neste trabalho, buscou-se verificar a importância da Governança de TI através
da sua aplicação em um ambiente de uma empresa de grande porte.
1.1 Tema
O trabalho consiste em analisar a situação atual e desejada da área de TI de
uma empresa global e compará-la com as melhores práticas de governança de TI
descritas no modelo COBIT (Control Objectives for Information and related
Technology). Isso será feito através de um estudo in loco na empresa em questão.
11
1.2 Justificativas
A governança de TI é atualmente um termo muito utilizado, porém pouco
compreendido. O COBIT é um guia de melhores práticas para a governança de TI
reconhecido e aplicado internacionalmente. Com isso, acredita-se que, através da
aplicação da metodologia de avaliação de maturidade do COBIT proposta no
presente trabalho, o conceito de governança de TI possa ser melhor compreendido e
aplicado.
Visando suportar a estratégia definida para a organização e a demanda de
serviços de TI, as empresas buscam diversas iniciativas para melhor planejar e
direcionar seus projetos e investimentos de TI.
Nesse contexto, o presente trabalho é considerado de grande importância
para a empresa em estudo, pois, além de avaliar a situação atual da TI através de
um framework de governança de TI mundialmente reconhecido, a identificação de
vantagens competitivas e necessidades de melhorias poderão suportar as decisões
sobre os rumos da TI da mesma.
1.3 Resultados Esperados
Os resultados esperados para o trabalho incluem uma proposta de
metodologia de avaliação de maturidade do COBIT, sua aplicação em uma empresa
de porte global e a divulgação dos resultados alcançados. Para a empresa, os
resultados do projeto servirão de base para:
- Identificar oportunidades de melhoria nos processos internos da
organização relacionados à Governança de TI.
12
- Suportar a implantação de normas e regulamentações como a NBR
ISO/IEC-17799 e a lei Sarbanes-Oxley.
- Focar os investimentos de TI nos projetos que forneçam o melhor suporte à
estratégia de negócios e produzam o melhor retorno.
- Minimizar riscos através de controles mais eficientes dos processos de TI.
1.4 Objetivo Geral
Avaliar os processos atuais da TI de uma empresa do setor metal-mecânico
de Santa Catarina com relação às praticas previstas no COBIT, através da
metodologia de avaliação de maturidade proposta.
1.5 Objetivos Específicos
- Detalhar, baseado na literatura, o modelo de melhores práticas do COBIT
em seus quatro domínios de processos (Planejamento e Organização,
Aquisição e Implementação, Entrega e Suporte e Monitoramento e
Avaliação).
- Adaptar a metodologia de avaliação de maturidade do COBIT para a
empresa em questão.
- Aplicar a metodologia para encontrar o nível de maturidade dos processos
internos relacionados ao modelo COBIT.
- Executar um GAP analysis entre o nível de maturidade encontrado e o
desejado pela organização, ou seja, avaliar quais requisitos estão faltando
para se atingir o nível de maturidade desejado.
- Elaborar um relatório contendo os resultados finais do mapeamento.
13
- Consolidar os resultados visando a implantação de um modelo de
Governança de TI na empresa em estudo.
14
2 REFERENCIAL TEÓRICO
Neste capítulo, será abordada a revisão da literatura que dá sustentação
teórica ao trabalho.
Inicialmente serão abordados os objetivos e a necessidade do planejamento
estratégico, bem como sua importância para o perfeito equilíbrio entre os negócios
da empresa e dos objetivos da área de TI que fazem parte do alinhamento
estratégico da empresa. Em seguida será discutido o foco deste trabalho, a
Governança de TI, suas aplicações, ferramentas e principais modelos utilizados,
dando destaque para o COBIT e GAP Analysis.
2.1 Planejamento Estratégico
Neste item, encontra-se a abordagem sobre o Planejamento Estratégico
observando as principais práticas, objetivos e motivos que levam uma empresa a
adotar um planejamento estratégico.
Planejamento, planeamento ou planificação é definido como o ato ou
processo de estabelecer objetivos (metas), diretrizes (princípios orientadores) e
procedimentos (metodologias) para uma unidade de trabalho. Qualquer
organização/instituição, independentemente de sua situação financeira ou porte,
passa, em um determinado momento a aplicar o Planejamento Estratégico para
resolver seus problemas de ordem econômica, organizacional e/ou estrutural.
O objetivo do Planejamento Estratégico é prover direção, concentração de
esforço, constância de propósito, e flexibilidade, como um negócio continuamente
empenhado em impor sua posição em todas as áreas estratégicas (BOAR, 1994).
Desta forma pretende-se estruturar e sistematizar as ações para aproveitar
15
oportunidades e pontos fortes e minimizar ameaças e pontos fracos. O processo de
planejamento é mais importante que seu produto final, identificando-se com
prováveis mudanças, estabelecendo assim uma harmonia entre a organização e seu
meio ambiente.
Historicamente as organizações de TI têm feito planejamentos de tecnologia
primários que possuem uma ligação muito pobre com o objetivo do negócio. Já nos
anos 60, foi proposto por Ansoff o Planejamento Estratégico, considerando a
estratégia como uma forma de entender a relação “Produto x Mercado”, ou seja,
passava-se a levar em consideração o ambiente externo e o princípio da
descontinuidade temporal, porém não havia preocupação com os problemas
internos da organização. O princípio da descontinuidade temporal significava que os
sistemas nunca vão se comportar no futuro como se comportavam no passado, pois
tem que acompanhar as mudanças culturais e os avanços tecnológicos.
Com o natural aumento da pressão sobre essas empresas, como a crescente
demanda por soluções de TI, aceleração da mudança de tecnologia e competição
dos recursos de TI, as organizações passaram a usar os métodos do Planejamento
Estratégico para guiar também sua evolução tecnológica.
2.1.1 O que leva uma empresa a usar o Planejamento Estratégico?
A globalização dos mercados, com a conseqüente intensificação da
competitividade e o crescente nível de exigência relacionado aos produtos e
serviços, levam a acreditar que, num futuro próximo, todos os aspectos da
organização vão influenciar o seu posicionamento competitivo (AMARAL e
VARAJÃO, 2000).
16
Considerando esta afirmação podemos listar alguns dos motivos que levam
um a empresa a adotar o Planejamento Estratégico de suas atividades:
- Flexibilidade: As mudanças que ocorrem no cenário global, exigem que a
empresa seja capaz de assimilar rapidamente as conseqüências e
exigências de mercado no qual está inserida;
- Integração Organizacional: Os processos da empresa passam a ser
observados como um processo contínuo que interage diretamente para o
sucesso/insucesso dos objetivos determinados;
- Motivação da equipe: As pessoas envolvidas com o planejamento passam a
pensar estrategicamente, buscando informações e formas de racionalizar o
uso dessas informações. Desta forma, a motivação da equipe contribui para
a geração de novas idéias e a inovação;
- Espírito Organizacional: A empresa passa a enxergar os desafios como
parte integrante da rotina da empresa. As pessoas lutam para atingir os
objetivos determinados, pois têm conhecimento da importância do seu
trabalho para o alcance dos mesmos.
2.1.2 Planejamento Estratégico dos Negócios
A utilização do planejamento estratégico como ferramenta para promover um
melhor direcionamento da empresa foi proposto por Henry Fayol em 1916. Desde
esta época, o conceito de estratégia de negócios continua evoluindo, acompanhado
da criação de novas técnicas, teorias e modelos de gestão. Elas permitem que a
empresa formule seu direcionamento para cada ramo de negócio, defina as relações
com clientes e fornecedores, suas dificuldades, inovações, controle de qualidade,
17
entre outros. Algumas estratégias dependem das leis impostas seja pelo governo (do
próprio país ou governo estrangeiro) ou boas práticas de mercado. Já em 1977
Ansoff sugere a incorporação de tecnologia para gerenciar as estratégias da
organização.
O uso do planejamento estratégico como ferramenta de gestão permite a
determinação da relação da organização com o meio ao qual ela está inserida, suas
relações com o mercado, políticas de mudanças, administração de recursos,
controle de processos e determinação de estratégias que devem agir de maneira
eficiente e eficaz nos níveis estratégico, tático e operacional. Para implantar tais
estratégias alguns passos devem ser seguidos:
- Determinação do Enfoque da Empresa: significa determinar a identidade da
empresa, seus objetivos quanto organização, ramos de atuação e valores
organizacionais;
- Prospecção: identificar qual o patamar a empresa deseja alcançar no futuro
de acordo com os objetivos levantados anteriormente;
- Planejamento: deve levantar as oportunidades que a empresa tem de obter
sucesso em suas ações, levantamento de riscos e identificação de prós e
contras para a implantação de estratégias;
- Elaboração de Estratégias: significa compor um plano de ação para
programar as atividades a serem executadas, levando em consideração os
limites das ações, sua seqüência e recursos necessários: pessoais,
financeiros, materiais e outros.
- Implementação: a organização deve executar as atividades definidas para
operacionalização do plano e alcance dos objetivos, havendo um constante
acompanhamento e adequação do planejamento à realidade.
18
- Revisão e Avaliação: aplicação de revisão e avaliação para ajustes nos
desvios ocorridos durante o planejamento.
Mesmo sendo considerados essenciais, estes passos podem ser definidos de
outra maneira, mesmo que todas as atividades contidas sejam exatamente as
mesmas. Um outro modelo de seqüência, como denotam alguns autores, pode ser
definido por:
- Análise dos ambientes externos e internos;
- Estabelecimento de diretrizes organizacionais através da missão, cenários,
objetivos e metas (componentes do plano);
- Formulação da estratégia com a especificação das políticas, regras,
atividades e responsabilidades;
- Controle estratégico, ou seja, controle das mudanças e atendimento das
metas (CHIAVENATO e MATOS, 1999).
Outro modelo de planejamento descrito por Boar (1993) apresenta como
característica a visão de estratégia em constante movimento. O autor determina que
o modelo de planejamento estratégico deve representar este movimento, através de
sentidos e concentrações de esforços, na continuidade dos negócios em áreas
estratégicas, na visão de comprometimento das pessoas com as mudanças e na
visão do componente de feedback durante a execução (vigilância e aprendizado
sobre os projetos desenhados).
O modelo, apresentado na Figura 2.1, apresenta a ação da gestão estratégica,
de mover o negócio da posição atual para a posição futura, considerando que uma
estratégia de ação é uma estratégia de força, tendo como conseqüência este
19
movimento. As mudanças de rumo, devem ser permitidas, apenas, de maneira
rápida. Para tanto, as organizações devem configurar-se se em estruturas flexíveis e
articuladas, permitindo velocidade de ação ou redirecionamento estratégico.
Figura 2.1 Planejamento Estratégico em Movimento. Fonte: Wiley & Sons, 1993
2.1.3 Planejamento Estratégico de TI - PETI
Em meados dos anos 70, o principal foco da área de sistemas de informação
e ciências da computação era a atividade de processamento de dados. A visão era
orientada para o armazenamento de dados e não para a disponibilização e uso da
informação para gerar benefícios para a organização. Nas décadas seguintes,
algumas metodologias de planejamento estratégico de tecnologia de informação
começaram a emergir e o gerenciamento das organizações começa a ser envolvido
nesta prática, dessa forma as informações provenientes dos dados adquiridos passa
20
a ser um fator diferencial no sucesso da organização. Com a evolução de novas
tecnologias como a Internet, comércio eletrônico e e-business o planejamento
estratégico de TI tem sido consistentemente identificado pelos executivos de
tecnologia de informação (Chief Information Oficcer - CIO), como uma atividade
essencial para o bom gerenciamento dos recursos de TI.
A área de TI pode ser focalizada como uma agente de mudanças estratégicas
nas organizações, através de três tipos de usos de TI (Venkatraman, 1997). Estes
tipos de uso são:
- O redesenho do processo do negócio, onde a TI é usada para realinhar as
atividades e relacionamentos do negócio, na busca de maior performance.
- O redesenho dos relacionamentos do negócio, onde a TI é usada para
agregar valor ao negócio em toda a sua cadeia de valor.
- A redefinição do escopo do negócio, onde a TI é parte de uma extensão dos
produtos e mercados, alterando alguns dos papéis das organizações.
Segundo Torres(1994), o planejamento estratégico de TI pode ser definido
como um processo de identificação de infra-estrutura e aplicações para suportar o
negócio das organizações através do atendimento dos objetivos organizacionais.
Atualmente, o planejamento estratégico de TI tem se tornado uma atividade crítica
para muitas organizações. Alguns aspectos relacionados ao aumento das pressões
dos negócios, dos riscos, das competências e da relação preço/performance, tem
servido para mudar os papéis e funções da TI, incluindo o seu uso para obtenção de
vantagens competitivas e como transformadora dos processos, estrutura e
relacionamentos do negócio. Com isto, está se tornando difícil separar os aspectos
de planejamento de TI dos de negócio.
21
Existe uma grande diversidade de conceitos utilizados no planejamento
estratégico de TI. De forma geral, os principais conceitos a serem identificados no
processo são:
- Missão: Inclui a proposta, o negócio em que está engajada para alcançar a
sua proposta e os valores que a guiam.
- Visão: Literalmente a imagem mental da realização bem-sucedida de sua
missão e da sua proposta organizacional.
- Objetivos de Sistemas de Informação: Medidas de performance do uso dos
recursos das informações e da tecnologia de informações.
- Políticas de Sistemas de Informação: Regras gerais que deverão ser usadas
para guiar o desenvolvimento dos Sistemas de Informação.
- Estratégias de Sistemas de Informação: Respostas de uma organização,
por meio das ações sobre o ambiente dinâmico e hostil, em busca do
alcance de sua missão.
- Programas de Desenvolvimento, como sendo as atividades e regras
específicas que servem de guia para a implementação dos SI e da
tecnologia disponibilizada (ROSSETO, 2000; BRODBECK 2000).
Outro modelo de planejamento estratégico de TI, que apresenta um grande
enfoque na identificação de uma filosofia e capacitação da empresa é definido por
três elementos chaves: comprometimento, posicionamento estratégico do negócio e
uso da TI. O comprometimento dos integrantes do plano deve ser obtido através de
participação (trabalho em grupo) e capacitação (aprendizado e experiência) dos
mesmos com a TI. O posicionamento estratégico da empresa, ou seja, das
informações operacionais, gerenciais e corporativas e da estrutura interna
22
(processos) da empresa, reflete na TI a ser adotada, influenciando no formato de
gestão da informação e na estrutura organizacional (TORRES. 1994).
Dessa forma, o uso da TI pela empresa e avaliação de seu impacto sobre a
estrutura corporativa deve ser focado nos resultados esperados em relação às
estratégias definidas no plano de. A importância do PETI encontra-se justamente no
alcance dos objetivos fixados para o futuro, na alocação e sincronização dos
recursos (desempenho) e na obtenção de vantagens competitivas. As grandes
contribuições do PETI devem ser:
- Melhoria da performance da área de TI, seja pela alocação mais eficiente de
recursos, como pelo aumento de produtividade dos analistas e
programadores.
- Alinhamento das estratégias de TI com as estratégias do negócio,
possibilitando vantagens competitivas.
- Comprometimento da alta administração através da alocação dos recursos
e resultados intermediários e incrementais.
- Antecipação de tendências futuras (inovação tecnológica contínua, evitando
rupturas drásticas e altos investimentos).
- Aumento do nível de satisfação dos usuários ofertando tecnologia
compatível e com facilidade de manuseio (Brodbeck 2000).
2.1.4 Métodos de Planejamento Estratégico de TI
Uma metodologia pode ser entendida como uma maneira pré-definida de
como executar determinada atividade. Da mesma forma com que podemos executar
23
uma determinada tarefa de diversas maneiras diferentes, um planejamento
estratégico de TI pode ser feito de diversas formas.
Levando em conta as diversas características de cada autor, a grande
diversidade de métodos existentes é atribuída como conseqüência das mais
diversas finalidades do processo de planejamento estratégico, da grande
diversidade de abordagens, mudança do foco de atenção e adoção de adaptações
particulares para cada caso a ser estudado. A tabela 2.1 mostra os principais
métodos utilizados para planejamento estratégico.
Tabela 2.1 Métodos de Planejamento Estratégico. Fonte: Varajão e Amaral, 2000.
Sigla Nome Referência BIAIT Business Information Analysis and Integration Carlson, 1979 BICS Business Information Characterization Study Kerner, 1979 CRLC Customer Resourse Life Cicle Ives e Learmonth,1984CSF Critical Sucess Factors Rockart, 1979 E/MA End-Means Analysis Wetherbe e Davis, EAP Enterprise Architecture Planning Spewak e Hill, 1993 IQA Information Quality Analysis Vacca, 1984
ISP/IE Information Strategy Planning/Information Martin, 1986 NNM Nolan-Norton Method Moskowitz, 1986 PQM Process Quality Management Ward, 1990
RACINES Recueil Actualisé des Choix Informatiques Racines, 1978 SDP Strategic Data Planning Martin, 1982 SOG Stages of Growth Nolan, 1982 SPC Strategic Planning Cicle Bunn, et al, 1989 SST Strategic Set Transformation King, 1978 VCA Value Chain Analysis Porter e Millar, 1985
É importante salientar que a metodologia BSP (IBM, 1984), é a que se
destaca como sendo a mais utilizada nos últimos anos. Criada na década de 70, é
uma metodologia de planejamento focada nos recursos disponíveis para a
implementação da TI pela organização e, explora o relacionamento dos sistemas
com os negócios das organizações. A sua visão de base é de um processo de
24
planejamento estático, top-down (de cima para baixo), onde se desenha o plano de
capacitação tecnológica, implementa-se este plano e encerra-se o processo. As
técnicas e instrumentos de coleta de dados utilizados são: reuniões, entrevistas
estruturadas, listagem de problemas, relatórios atuais. Ela apresenta quatro
elementos de base para o planejamento de SI: processos, organização, sistemas e
os dados.
2.2 Alinhamento Estratégico
Nesta seção abordamos o alinhamento, os principais modelos adotados e
suas respectivas variações.
A noção básica de alinhamento é a de quando as partes estão em um estado
de alinhamento, elas naturalmente trabalham juntas para atingir determinado fim.
Não há pontos de discórdia e todas as partes complementam e reforçam umas as
outras.
A partir daí, podemos identificar em uma organização, que seu negócio está
em estado de alinhamento quando todas as funções e processos estão interligadas
por um objetivo comum.
O conceito de alinhamento estratégico varia de acordo com o ponto de vista
de cada autor. Os principais conceitos encontrados são:
- O alinhamento das estratégias significa aderência dos investimentos e
gastos em TI levando em consideração o valor que eles agregam aos
negócios de uma organização (FAGUNDES, 2004).
- O alinhamento ou coordenação entre Planejamento Estratégico de
Negócios/Planejamento Estratégico de TI é alcançado quando o conjunto de
25
estratégias de TI (sistemas, objetivos, obrigações e estratégias) é derivado
do conjunto estratégico organizacional (missão, objetivos e estratégias)
(LEDERER e MENDELOW 1989).
- A ligação entre Planejamento Estratégico de Negócios/Planejamento
Estratégico de TI corresponde ao grau no qual a missão, os objetivos e
planos de TI refletem e são suportados pela missão, os objetivos e planos
de negócio e vice-versa (REICH, 1992).
- O alinhamento estratégico corresponde à adequação estratégica e
integração funcional entre os ambientes externo (mercado, política,
fornecedores, etc.) e interno (estrutura administrativa e recursos financeiros,
tecnológicos e humanos) para desenvolver as competências e maximizar a
performance organizacional (HENDERSON e VENKATRAMAN,1993;
LUFTMANN, 1993).
- O alinhamento entre Planejamento Estratégico de Negócios/Planejamento
Estratégico de TI é a adequação entre a orientação estratégica do negócio e
a orientação estratégica de TI (CHAN, 1997).
Levando essas definições para o ambiente organizacional, temos que hoje em
dia, o nível de competição não permite que as organizações tenham dúvidas quanto
ao correto direcionamento das ações e desdobramentos de seus vários processos e
das diretrizes estratégicas no nível corporativo.
Segundo Roberto Shinyashiki (2005):
“Ter uma estratégia definida impede que a empresa fique vagando sem rumo, experimentando de tudo um pouco e tentando acertar todo e qualquer possível alvo. A idéia é procurar, encontrar ou até mesmo inventar uma proposta diferente e especial. Definir a estratégia significa criar uma proposta única.”
26
Com essa perspectiva, o sucesso das atividades de TI passa a ser avaliado
pela contribuição que os gastos e investimento realizados oferecem à organização
como um todo. Obter o alinhamento significa desenvolver habilidade para
desenvolver estudos de viabilidade e práticas de gerenciamento de custos, o que, a
princípio, parece ser uma tarefa simples, mas que na prática tem sido uma atividade
que envolve extremo desafio que dependendo do enfoque, pode levar a um sucesso
extraordinário, como também a um revés de proporções gigantescas (FAGUNDES,
2004).
Para avaliar a eficiência das operações de TI dependemos de um modelo que
considere os fatores usados dinamicamente para criar e explorar pontos como:
arquitetura tecnológica, elementos que compõem processos de produção,
comunicação, armazenamento e recuperação de informações.
Embora algumas empresas adotem o processo de apuração e controle de
custos, elas nem sempre conseguem avaliar o quanto suas estratégias estão
alinhadas. Normalmente, isso se deve ao fato de que na maioria dos casos, o
controle de custos baseia-se num modelo não técnico e que, conseqüentemente, é
executado informalmente, fato que traz frustrações e compromete o sucesso da
iniciativa.
A boa prática gerencial mostra que é necessária uma metodologia que
forneça ao CIO uma visão muito bem definida sobre o valor que a atividade de TI
agrega aos negócios da empresa e o quanto ela ajuda uma área ou a organização
como um todo no cumprimento da sua missão (FAGUNDES, 2004).
27
Boar (1993) define um modelo de cinco estágios para avaliar se a área de TI
está em um perfeito estado de alinhamento:
- Estágio 1 – Sistemas funcionais: A TI é usada para automatizar funções de
negócio individuais.
- Estágio 2 – Sistemas Funcionais Cruzados: A TI é usada para construir
sistemas que limitam e permitem a divisão de dados.
- Estágio 3 – Reengenharia de Negócios: A TI é usada de forma a criar
sincronização com a estratégia de negócios. Os limites do sistema incluem
clientes, suprimentos e qualquer outra parte envolvida.
- Estágio 4 – Imagem do Negócio: a TI é usada como alicerce de uma radical
reestruturação dos negócios. A completa vantagem nos negócios guia a
seleção e o uso das tecnologias mais importantes para introduzir vantagens
nos processos do negócio.
- Estágio 5 – Criar e Explorar Oportunidades de Negócio: A TI adquiriu um
estado de plena força e manuseio que pode ser usada pelo negócio para
criar deslocamentos e a correspondente exploração destes deslocamentos
no mercado.
Já Henderson e Venkatraman propõem um modelo de alinhamento conceitual
(Figura 2.2) que permite que a TI complemente e disponibilize o negócio pela
aquisição de um alinhamento perfeito com cada nível de decomposição.
28
Figura 2.2 Modelo Conceitual de Alinhamento Estratégico. Fonte: Henderson e Venkatraman, 1993
O modelo define os componentes estratégicos de TI e do negócio e assegura a
similaridade dos processos de cada um deles, mostrando que podem caminhar em
paralelo ou dar suporte uns aos outros conforme as direções. Esses caminhos de
integração estão representados em mão dupla, mostrando a relevância da
multidimensionalidade do modelo e do fluxo contínuo dos processos. Além disto, traz
a concepção de que o alinhamento estratégico não é um evento isolado, mas um
evento dinâmico em constante mudança.
Estes dois modelos apresentados focam a organização como um processo
ativo. Ainda assim, existem outros modelos propostos que seguem uma linha
diferente, como o modelo de Reich, que procura representar o grau de consistência
e atendimento entre os objetivos de negócio e TI.
29
2.3 Governança de TI
Neste tópico é apresentada a Governança de TI, seus conceitos segundo os
principais autores e as vantagens alcançadas com sua adoção. Logo em seguida
são apresentados os conceitos de Governança Corporativa e a forma com que a
mesma agrega valores à empresa. Após a explanação dos conceitos, são
apresentadas as principais ferramentas e técnicas para a governança de TI, que
compõem o “Framework” de Governança de TI. Na última parte deste referencial
teórico, é abordado o COBIT e suas funcionalidades e modelos e a metodologia de
GAP Analysis.
A Governança de TI é um conceito novo dentro da área de TI. Um número
significativo de empresas vem adotando alguns dos modelos de gestão no mercado,
procurando obter sucesso na administração e no alinhamento com a área de TI, pois
realizam um grande investimento em TI, esperando obter vantagens e,
conseqüentemente, lucros.
Segundo a ISACA (2000), a Governança de TI é uma estrutura de
relacionamentos e processos para dirigir e controlar a empresa a fim de alcançar os
seus objetivos pela adição de valor, ao mesmo tempo em que equilibra riscos versus
retorno sobre TI e seus processos.
A Governança de TI é essencial para garantir melhorias eficazes e eficientes
nos processos da empresa. Ela fornece uma estrutura que liga os processos de TI,
os recursos de TI e as informações às estratégias e objetivos da empresa. Além
disso, compor uma governança de TI significa assegurar que as informações da
empresa e a tecnologia aplicada suportam os objetivos do negócio, permitindo,
30
dessa forma, que a empresa tire total proveito dessas informações, maximizando
benefícios, capitalizando em oportunidades e adquirindo vantagem competitiva.
Encontramos ainda outras definições como: “um sistema formado por regras,
processos e estruturas que busca garantir efetividade nas tomadas de decisão
relacionadas a TI” (ROSSI, 2004) e “uma estrutura de relações e processos que
dirige e controla uma organização a fim de atingir seu objetivo de adicionar valor ao
negócio, através do gerenciamento balanceado dos riscos com o retorno sob os
investimentos (ROI) em TI” (FAGUNDES, 2004). Dessa forma, há uma busca pelos
papéis e responsabilidades oriundas do CIO, definição de processos, controle de
riscos de negócios, identificação de uma cadeia de valor, alinhamento com as
estratégias e os mecanismos que permitem realizar e controlar o sistema.
Esses fatores podem levar à obtenção não apenas de vantagem competitiva
mas também:
- Maior agilidade e capacidade para novos modelos de negócios e/ou ajustes
nos modelos já em vigor.
- Explicitação na relação entre custos de TI e valor da informação.
- Explicitação da importância da área de TI na continuidade do negócio.
- Medição e melhoria contínua da performance de TI.
- Viabilização de acompanhamento de contratos internos e externos.
- Definição de condições para o exercício eficaz da gestão com base em
conceitos consolidados de qualidade (BRODBECK, 2004).
Como observado, as principais abordagens da governança trazem uma nova
premissa para as empresas: a da medição e controle. O princípio da medição vem
ao encontro do monitoramento das atividades para garantir que os processos sejam
31
qualificados e conhecidos em seus pormenores. Quando ocorre o total
conhecimento da cadeia de processos, eles podem ser controlados e alinhados de
acordo com os objetivos do negócio. Somente a partir desse controle é que pode
ocorrer um gerenciamento eficaz.
Este enfoque na medição e no controle ganha ainda mais destaque sob outra
ótica: A Governança de TI traz para as empresas uma nova cultura de gestão
baseada em medições, que considera aspectos não só financeiros, mas que
controla fatores que apontem para o futuro, através de indicadores (CARVALHO,
2004), que podem apresentar à empresa uma melhor definição qualitativa quanto ao
desempenho da TI no resultado da empresa.
2.3.1. Governança Corporativa
A partir dos anos 90, muito se fala sobre governança corporativa, que pode ser
definida de modo simplório como uma nova forma de organizar as relações entre a
empresa e o mercado.
Segundo o Instituto Brasileiro de Governança Corporativa (IBGC, 2003), a
governança corporativa é o sistema pelo qual as sociedades são dirigidas e
monitoradas, envolvendo os relacionamentos entre Acionistas/Cotistas, Conselho de
Administração, Diretoria, Auditoria Independente e Conselho Fiscal. As boas
práticas de governança corporativa têm a finalidade de aumentar o valor da
sociedade, facilitar seu acesso ao capital e contribuir para a sua perenidade.
De forma análoga, temos que a governança corporativa é o sistema pelo qual
se exerce e monitora o controle das corporações. Está claro, desde logo, que este
sistema está intimamente vinculado à estrutura de propriedade, às características do
32
sistema financeiro, à densidade e profundidade dos mercados de capitais e ao
arcabouço legal de cada economia (RABELO e SILVEIRA, 1994).
A expressão Governança é designada para abranger os assuntos relativos ao
poder de controle e direção de uma empresa, bem como as diferentes formas e
esferas de seu exercício e os diversos interesses que, de alguma forma, estão
ligados à vida das sociedades comerciais.
Governança corporativa é valor, apesar de, por si só, não criá-lo. Isto somente
ocorre quando, ao lado de uma boa governança, temos também um negócio de
qualidade, lucrativo e bem administrado. Neste caso, a boa governança permitirá
uma administração ainda melhor, em benefício de todos os acionistas e daqueles
que lidam com a empresa.
Podemos encarar a necessidade da governança sob o ponto de vista de
Oliveira (2005), em que os objetivos do titular de uma propriedade nem sempre
estão alinhados com os interesses dos administradores desta propriedade. Desta
forma, surge a necessidade de mecanismos de monitoramento e incentivo para
garantir que o comportamento executivo esteja alinhado com os o interesse dos
acionistas.
Levando para o âmbito globalizado, vemos que a forma de adoção da
governança corporativa é significativamente diferente em cada parte do mundo.
Suas características tendem a ser modificadas de acordo com o meio no qual está
inserida. O Estado, através da definição dos sistemas financeiro e legal, modela a
formação do mercado de capitais local e do grau de proteção dos investidores,
influenciando o modelo de governança das empresas. Desta forma, os países
apresentam diferenças significativas entre os sistemas de governança corporativa
das suas empresas (SILVEIRA, 2002).
33
Dessa forma, fica evidente que os modelos de governança de cada país são
orientados de acordo com as principais empresas daquela região. Mesmo assim, as
diferenças entre os modelos dos países desenvolvidos tendem a ser menores que a
diferença entre países de economias menores.
No Brasil, o IBGC propõe um “Código de Melhores Práticas de Governança
Corporativa”, em que está definida uma série de objetivos e princípios para guiar as
empresas sobre seus passos na governança corporativa, tendo por objetivo:
- Aumentar o valor da sociedade.
- Melhorar seu desempenho.
- Facilitar seu acesso ao capital a custos mais baixos.
- Contribuir para sua perenidade.
Destacando-se entre os principais princípios do código, estão:
- Transparência: para agregar um clima de confiança nas relações com
terceiros é necessário além de informar, ter a vontade de informar não
apenas os resultados financeiros, mas também os demais fatores que
levam à criação de valor.
- Eqüidade: eliminação de toda e qualquer diferenciação entre os grupos,
sejam eles majoritários ou minoritários, a fim de estabelecer uma relação
justa.
- Prestação de Contas: prestação de contas de todos os atos praticados
durante o exercício do mandato.
- Responsabilidade Corporativa: mais do que uma visão estratégica, é uma
integração dos valores sociais e ambientais visando à continuidade e
sustentabilidade da empresa.
34
2.3.2. “Framework” de Governança de TI
Assim como em outras áreas de tecnologia, na Governança de TI, uma série de
metodologias sugere métodos e ferramentas para guiar as empresas na preparação,
aplicação e gerenciamento dos passos que levam à Governança Corporativa. Na
verdade, cada uma dessas metodologias possui um foco específico, o que em
muitos casos leva as empresas a adotar várias dessas metodologias em conjunto
para aproveitar o que cada uma tem a oferecer de melhor. Com a combinação
dessas metodologias podemos obter uma estrutura que denominamos “framework’
de governança de TI.
A seguir serão descritas as principais metodologias adotadas no “framework”
de governança de TI e suas principais características.
ITIL é acrônimo de Information Technology Infrastructure Libray e tem foco na
operação e na infra-estrutura de TI. Este modelo não se preocupa com
desenvolvimento de software e tampouco com alinhamento estratégico de negócios.
É um conjunto de recomendações e melhores práticas para a gestão da infra-
estrutura, desenvolvido pelo governo inglês. Não é uma metodologia restrita e não
possui uma certificação, o que não compromete a qualidade do conteúdo integrante
da biblioteca. Quaisquer aplicações das práticas que compõem o ITIL resultam em
uma grande mudança cultural por parte das organizações. Envolve reorganização de
equipes, participação da alta direção, etc., assim como qualquer projeto estrutural
(PARREIRAS, 2005).
CMM (Capability Matury Model) é uma certificação concedida pela Software
Engeneering Institute (SEI), da Universidade Carnegie Mellon (EUA), que mede o
grau de maturidade no processo de desenvolvimento de software. O CMM focaliza
35
os processos, que considera o fator de produção com maior potencial de melhoria a
prazo mais curto. Outros fatores, como tecnologia e pessoas, só são tratados pelo
CMM na medida em que interagem com os processos. Para enfatizar que o escopo
do CMM se limita aos processos de software, o SEI passou a denominá-lo de SW-
CMM, para distingui-lo de outros modelos de capacitação aplicáveis a áreas como
desenvolvimento humano, engenharia de sistemas, definição de produtos e
aquisição de software. Em 2004Esta denominação evoluiu para CMMI, adotada
atualmente (PARREIRAS, 2005).
PMBOK (Project Management Body of Knowledge) é um guia onde se descreve
as principais áreas de conhecimento e as melhores práticas dentro da área de
gerência de projetos. Ele é um material genérico que pode ser utilizado em qualquer
área de conhecimento, ou seja, tanto para construção de uma obra de engenharia
ou processo de fabricação industrial, como para a produção de software. Outro
objetivo do PMBOK é a padronização de termos utilizados em gerência de projetos.
SOX (lei Sarbanes-Oxley) é uma lei aprovada em 2002 pelo governo americano
voltada principalmente para companhias de capital aberto com ações nas bolsas de
valores ou com negociação na Nasdaq para acabar com as fraudes contábeis. Esta
lei possui 11 seções que são direcionadas principalmente à responsabilidade penal
da diretoria. As seções 302 e 404 dizem respeito à responsabilidade corporativa pela
veracidade de conteúdo dos relatórios financeiros produzidos e pela área de TI e
avaliação dos controles internos. Mesmo assim, não há nenhuma menção específica
sobre quais controles e processos a área de TI da organização necessita ter para
que ela esteja adequada à lei. Desta forma, os modelos de Governança de TI
servem como uma ferramenta útil para que a organização consiga atender aos
36
requisitos da lei, pois estes modelos ajudam a definir e documentar os controles
internos da área de TI.
ISO 17799 é uma norma homologada pelo comitê ISO que prevê os mais
diversos tópicos para a área da segurança da informação. Esta norma está dividida
em 10 capítulos principais, contendo 127 controles de segurança que mantêm o foco
na gestão de riscos, suas principais definições são códigos de práticas para a
gestão da informação sob os aspectos de confidencialidade, integridade e
disponibilidade.
37
2.3.3. COBIT
Segundo ISACA (Information Systems Audit and Control Association), o
COBIT é editado pelo ITGI (Information Technology Governance Institute) e aceito
internacionalmente como uma boa prática de controle sobre informações, TI e riscos
relacionados. Utiliza-se o COBIT para implantar a governança de TI e melhorar os
controles de TI.
O COBIT proporciona um conjunto de práticas internacionais geralmente
aceitas e respeitadas que ajudam os conselhos diretores, executivos e gerentes a
aumentar o valor de TI e reduzir os riscos correspondentes (ITGI, 2005).
A primeira edição foi divulgada em 1994 com um forte foco na auditoria de TI.
Atualmente em sua 4ª edição apresenta um enfoque maior em negócios para
abordar as responsabilidades em evolução dos conselhos e funcionários.
Segundo ITGI (2005), o COBIT foi projetado para ser utilizado por 4 diferentes
públicos:
- Direção executiva: Para obter valor dos investimentos de TI e equilibrar os
riscos e controlar os investimentos no ambiente freqüentemente
imprevisível de TI.
- Administração do negócio: Para garantir o gerenciamento e controle dos
serviços de TI prestados internamente ou por terceiros.
- Administração de TI: Para prover os serviços de TI requeridos para
suportar a estratégia do negócio de uma maneira controlada e gerenciada.
- Auditores: Para subsidiar seus pareceres e aconselhar a administração
sobre controles internos.
38
Estrutura do COBIT:
Buscando atuar em todas as atividades de uma organização de TI, o COBIT se
sub-divide em 3 níveis como mostrado na figura a seguir:
Figura 2.3 Os 3 níveis do COBIT. Fonte: ITGI,2005
Domínios:
- Planejamento e Organização (PO): Este domínio trata das estratégias e táticas, e
procura identificar a maneira que a TI pode melhor contribuir para o alcance dos
objetivos do negócio. Neste domínio existem 10 processos:
PO1 - Definir o plano estratégico de TI
PO2 - Definir a arquitetura da informação
PO3 - Determinar a direção tecnológica
PO4 - Definir processos, organização e relacionamentos da TI
PO5 - Gerenciar os investimentos de TI
PO6 - Comunicar os objetivos e direção da administração
PO7 - Gerenciar os recursos humanos
PO8 - Gerenciar a qualidade
39
PO9 - Avaliar e gerenciar os riscos de TI
PO10 - Gerenciar projetos
- Aquisição e Implementação (AI): Para concretizar a estratégia de TI, é necessário
identificar, desenvolver ou adquirir as soluções de TI, bem como integrá-las ao
processo do negócio. Esse domínio também contempla as mudanças e
manutenções nos sistemas existentes para assegurar que as soluções continuem
atendendo aos objetivos do negócio. Neste domínio estão sete processos:
AI1 - Identificar as soluções de automação
AI2 - Adquirir e manter os Softwares Aplicativos
AI3 - Adquirir e manter a infra-estrutura tecnológica
AI4 - Habilitar a operação e o uso
AI5 - Obter recursos de TI
AI6 - Gerenciar as mudanças
AI7 - Instalar e validar as soluções e as mudanças
- Entrega e Suporte (DS): Este domínio atua sobre as entregas desejadas dos
serviços o que inclui entrega de serviços, gerenciamento da segurança e da
continuidade, suporte aos usuários e gerenciamento dos dados e do ambiente
operacional. Abaixo deste domínio existem 13 processos:
DS1 - Definir e manter os acordos de níveis de serviços (SLA)
DS2 - Gerenciar os serviços de terceiros
DS3 - Gerenciar a performance e a capacidade
DS4 - Assegurar o serviço contínuo
DS5 - Garantir a segurança dos sistemas
40
DS6 - Identificar e alocar custos
DS7 - Educar e Treinar usuários
DS8 - Gerenciar o Service Desk e os Incidentes
DS9 - Gerenciar a configuração
DS10 - Gerenciar os problemas
DS11 - Gerenciar os dados
DS12 - Gerenciar o ambiente físico
DS13 - Gerenciar as operações
- Monitoração e Avaliação (ME): Todos os processos de TI devem ser avaliados
regularmente quanto à qualidade e conformidade com requisitos de controle. Este
domínio abrange o gerenciamento do desempenho, monitoramento dos controles
internos, conformidade com as regulamentações e governança. Neste domínio ficam
4 processos:
ME1 - Monitorar e Avaliar a Performance de TI
ME2 - Monitorar e Avaliar os Controles Internos
ME3 - Assegurar Conformidade com Regulamentações
ME4 - Prover a Governança de TI
Para satisfazer os objetivos de negócio com qualidade, as informações devem
atender a sete critérios (ITGI, 2005):
- Eficácia: A informação deve ser relevante e pertinente aos objetivos do
negócio, devendo ser disponibilizada às pessoas de forma precisa,
consistente e no prazo adequado;
41
- Eficiência: A informação deve ser disponibilizada da forma mais produtiva
e econômica possível.
- Confidencialidade: Assegura que as informações não serão utilizadas por
pessoas não autorizadas.
- Integridade: A informação deve ser completa, atual e precisa, atendendo
às necessidades do negócio.
- Disponibilidade: A informação, assim como todos os recursos necessários
para sua geração e utilização, deve estar disponível sempre que
necessário.
- Conformidade: A informação deve estar em conformidade com leis,
regulamentos e arranjos contratuais os quais os processos de negócios
estão sujeitos.
- Confiabilidade: Fornecimento das informações adequadas aos
administradores para que estes possam cumprir adequadamente suas
responsabilidades gerenciais, financeiras e de conformidade.
Os recursos de TI devem ser gerenciados por um conjunto de processos
agrupados por domínios para gerar a informação que a organização necessita para
atingir seus objetivos(ITGI, 2005). São definidos como recursos de TI:
- Aplicativos: São tanto os sistemas automatizados como os procedimentos
manuais que processam a informação;
- Informação: São os dados em todas suas formas tanto processados como
sendo entrada ou saída dos sistemas de informação.
- Infra-Estrutura: são as tecnologias e instalações (hardwares, sistemas
operacionais, sistemas de gerenciamento de banco de dados, redes,
42
multimídias e os ambientes físicos que os suportam) que permitem o
processamento dos aplicativos.
- Pessoas: É a equipe envolvida no planejamento, organização, aquisição,
entrega, suporte, monitoração e avaliação dos sistemas de informação e
serviços.
A estrutura do COBIT possui 34 processos agrupados em 4 domínios e
propõe uma forma de gerenciar os recursos de TI de maneira a fornecer informações
relevantes ao atendimento dos objetivos do negócio e da governança seguindo os
sete critérios de informação citados anteriormente.
• Eficácia• Eficiência• Confidencialidade• Integridade• Disponibilidade• Conformidade• Confiabilidade
• Pessoas• Aplicativos• Infra-estrutura• Informações
INFORMAÇÕES
PLANEJAMENTO EORGANIZAÇÃO
MONITORAÇÃO E AVALIAÇÃO
AQUISIÇÃO EIMPLEMENTAÇÃO
OBJETIVOS DO NEGÓCIO
RECURSOS DE TI
ENTREGA E SUPORTE
CCOBIOBITT
OBJETIVOS DE GOVERNANÇA
Figura 2.4 Representação da estrutura do COBIT 4.0. Adaptado de ITGI (2005).
43
2.3.4. Gap Analysis
De acordo com o ISO 9000:2000, qualidade é definida como “passos que
herdam um conjunto de características necessárias para satisfazerem requisitos” e
Administração da Qualidade é definida como “atividades coordenadas para controlar
e direcionar uma organização respeitando a qualidade”. Direção e controle com
respeito à qualidade geralmente incluem o estabelecimento de uma política de
qualidade e qualidade de objetivos.
Um dos primeiros passos na Administração da Qualidade é comparar todo o
Sistema de Administração da Qualidade já existente com algum padrão para
podermos relacionar o que de fato deve ser melhorado e o que já está sendo
atendido pelo sistema atual.
Gap Analysis (análise da diferença) consiste em comparar a situação atual de
algo com um modelo pré-determinado. Sua proposta consiste em analisar e
identificar o que já está em uso com uma metodologia e o que está faltando. O
resultado da análise mostra o que é necessário para fortalecer a qualidade e a
administração dos dados e da informação.
Um Gap Analysis torna-se necessário quando se deseja obter um guia
operacional ou um padrão para a administração da qualidade dos dados através da
revisão dos requisitos nos documentos e processos existentes e na identificação das
diferenças.
A ferramenta mais importante para um Gap Analysis é um Gap Analysis
Checklist. Esta ferramenta constitui-se de uma lista de requisitos do padrão a ser
analisado, escrita em formato de perguntas. Ao utilizar esta lista, um auditor pode
avaliar quais as necessidades de informação, quais processos têm maior carência
44
de acordo com o modelo, além de uma visão geral de todo o sistema analisado
contendo uma lista de itens que devem ser implementados, redesenhados,
documentados ou até mesmo descontinuados.
O conteúdo de uma lista pode variar de acordo com o objetivo a ser
verificado. Para a implementação de um alinhamento estratégico pode conter
centenas de questões, ao passo que pode conter apenas alguns itens para análises
menos sofisticadas.
Para assegurar que a implementação do Gap Analysis Checklist está em
conformidade com a necessidade de resultados da empresa, são questões a serem
observadas:
- Se há questões do checklist a serem respondidas com comentários sobre o
que está no lugar e o que não está.
- Notas explicando quais práticas não são reconhecidas pelo padrão.
- Notas onde documentação adicional é obrigatória.
- Outras observações relacionadas ao cumprimento do padrão.
45
3 A EMPRESA
O trabalho foi desenvolvido na empresa WEG Equipamentos Elétricos S/A.
Com sede em Jaraguá do Sul - Santa Catarina, é atualmente a maior fabricante de
motores elétricos da América Latina e uma das mais importantes do mundo.
Possui em sua estrutura 8 unidades de negócio: WEG Motores, WEG
Máquinas, WEG Acionamentos, WEG Transformadores, WEG Química, WEG
Exportadora, WEG Florestal e WEG Automação. Somando-se todas as unidades,
possui um quadro de aproximadamente 14.000 colaboradores.
A WEG Equipamentos Elétricos S/A iniciou suas atividades fabricando
motores no ano de 1961. Mesmo com todas as dificuldades de início de vida de uma
organização, a produção que no primeiro ano foi de 146 motores elétricos passou a
4.085 no ano seguinte.
Nos anos 80, a WEG passou a diversificar ainda mais o seu ramo de atuação.
Passou à fabricação de geradores, componentes eletroeletrônicos, produtos para
automação industrial, transformadores de força e distribuição, tintas líquidas e em pó
e vernizes eletroisolantes.
Hoje a WEG é a maior indústria de motores elétricos da América Latina.
Presente em mais de 100 países nos cinco continentes, com filiais de vendas em 19
(Estados Unidos, México, Argentina, Venezuela, Bélgica, Alemanha, França,
Espanha, Inglaterra, Suécia, Itália, Portugal, Japão, Austrália, Chile, Colômbia, Índia,
China e Cingapura), cada vez mais a WEG intensifica sua internacionalização.
Atualmente, cerca de 45% de seu faturamento provem do mercado externo.
46
3.1 Departamento de Sistemas de Informação da WEG
A estrutura do Departamento de Sistemas de Informação da WEG é dividida
em 8 seções, cada qual com objetivos bem definidos, dispostas da seguinte
maneira:
SecretáriaSecretáriaSecretária
DepartamentoSistemas de Informação
DepartamentoDepartamentoSistemasSistemas de de InformaçãoInformação
SeçãoData Center
SeçãoSeçãoData CenterData Center
Seção Planejamento& Controle - TI
SeçãoSeção PlanejamentoPlanejamento& & ControleControle -- TITI
SeçãoEngenharia de Software
SeçãoSeçãoEngenharia de SoftwareEngenharia de Software
SeçãoAtendimento & Suporte
SeçãoSeçãoAtendimento & SuporteAtendimento & Suporte
SeçãoTelecomunicações
SeçãoSeçãoTelecomunicaçõesTelecomunicações
SeçãoSistemas Corporativos
SeçãoSeçãoSistemas CorporativosSistemas Corporativos
SeçãoSistemas de Engenharia
SeçãoSeçãoSistemas de EngenhariaSistemas de Engenharia
Seção Sistemas Comércio ExteriorSeção Sistemas Seção Sistemas
Comércio ExteriorComércio Exterior
TI - WPTTI - WPT
TI - WMXTI - WMX
TI - WEETI - WEE
TI - WEMTI - WEM
Figura 3.1 Estrutura do Departamento de Sistemas de Informação da WEG
- Seção Planejamento e Controle: Trata das atividades de governança de TI,
planejamento estratégico de TI, gestão da segurança da informação,
gerenciamento de projetos, gestão da qualidade em TI, orçamentação e
acompanhamento financeiro de TI, gestão de fornecedores e de contratos e
mapeamento de processos. Nesta seção foi desenvolvido o Projeto COBIT.
- Seção Sistemas Corporativos: Trata dos sistemas corporativos e
departamentais do grupo WEG. Dentre eles podemos citar os sistemas
ERP, CRM, B2B e de BI.
47
- Seção Sistemas de Engenharia: Trata das soluções de TI para as áreas de
engenharia do Grupo WEG.
- Seção Sistemas Comércio Exterior: Trata das soluções de TI das filiais do
exterior do grupo WEG.
- Seção Engenharia de Software: Responsável pelo desenvolvimento e
manutenção das soluções de TI do Grupo WEG. Possui uma metodologia
de desenvolvimento de software própria, baseada no modelo CMMi.
- Seção Data Center: Gerenciamento e manutenção de toda a infra-estrutura
de TI do grupo WEG. Mantém em Jaraguá do Sul um Data Center que
centraliza todas as operações efetuadas.
- Seção Atendimento e Suporte: Presta atendimento e suporte dos serviços
de TI para todas as unidades do grupo WEG.
- Seção Telecomunicações: Responsável por toda infra-estrutura de
telecomunicações, rede e manutenção de microinformática do grupo WEG.
3.1.1 Plano Estratégico de TI – PETI
Para garantir e suportar um crescimento anual em torno de 20% e uma forte
estratégia de internacionalização e expansão fabril, a WEG identificou a
necessidade de efetuar um melhor planejamento de suas ações e investimentos em
TI. Visando isto, a WEG iniciou a estruturação do PETI – Plano Estratégico de TI.
O PETI tem como objetivo nortear as estratégias e ações da TI em total
sintonia com o planejamento estratégico da organização viabilizando ações de
crescimento, expansão com novos negócios e internacionalização da empresa.
Inicialmente o PETI foi elaborado em 2001 e por se tratar de um processo
contínuo, passa por revisões a cada 2 anos, sempre com visão estratégica de 5
48
anos. A última revisão realizou-se no final de 2005 e teve como visão estratégica de
futuro o ano 2010. A necessidade de avaliar os processos internos de TI com
relação ao COBIT foi uma das ações identificadas através deste processo.
3.1.2 Metodologia de Gerenciamento de Projetos
No departamento de TI da WEG, as atividades são tratadas como projetos que,
por sua vez, são gerenciados através de uma metodologia baseada nas áreas de
conhecimento do PMBok. Seguindo esta metodologia, para a elaboração do estudo,
foi necessário definir e documentar um Plano de Projeto contendo os seguintes
itens: prazo, custo, escopo, comunicação, riscos, recursos envolvidos, aquisições,
qualidade e responsabilidades.
Com base na metodologia de gerenciamento de projetos implantada na WEG, as
etapas para o desenvolvimento do trabalho foram planejadas e detalhadas em uma
Estrutura de Documentação do Trabalho (EDT). A figura a seguir apresenta a EDT
do projeto COBIT.
49
4 METODOLOGIA PROPOSTA PARA AVALIAÇÃO DE MATURIDADE
4.1 Fundamentos
Dentre as ferramentas disponibilizadas para a aplicação do COBIT encontra-se
o COBIT Management Guidelines que provê um modelo de maturidade, semelhante
ao CMMI, com níveis de 0 (Não existente) a 5 (Otimizado) onde, em cada nível,
existe uma descrição de como devem estar dispostos os processos para alcançá-
los. Além disso, este modelo pode ser utilizado como um checklist para identificar
melhorias nos processos de TI existentes na organização. Os seis níveis de
maturidade com suas descrições genéricas são (ITGI, 2005):
- Nível 0: Não existente - Ausência total de processos identificáveis. A
organização não reconhece que há um aspecto a ser tratado.
- Nível 1: Inicial - Há evidências de que a organização reconhece que o
aspecto existe e deve ser considerado. Entretanto, não há processos
padronizados, apenas abordagens eventuais que tendem a ser aplicadas de
forma isolada ou caso a caso.
- Nível 2: Repetível - Os processos foram desenvolvidos até o estágio em que
procedimentos similares são adotados por pessoas distintas que realizam a
mesma tarefa. Não há treinamento ou divulgação formais de procedimentos
padronizados e as responsabilidades são deixadas a cargo das pessoas. Há
um alto grau de confiança no conhecimento pessoal e conseqüente
tendência a erros.
- Nível 3: Definido - Os procedimentos foram padronizados e documentados,
bem como divulgados através de treinamento. Contudo, cabe às pessoas
seguir tais processos, sendo pouco provável que desvios sejam detectados.
Os procedimentos em si não são sofisticados, consistindo na formalização
de práticas existentes.
- Nível 4: Gerenciado - É possível monitorar e mensurar a conformidade dos
procedimentos, bem como adotar medidas quando os processos
aparentarem não funcionar efetivamente. Os processos estão sob constante
melhoria e propiciam boas práticas. Automação e ferramentas são utilizadas
de forma limitada.
- Nível 5: Otimizado - Os processos foram refinados ao nível de melhores
práticas, com base nos resultados de melhorias contínuas e modelagem da
maturidade com outras organizações. A TI é utilizada como uma forma
integrada para automatizar os fluxos, provendo ferramentas para otimizar a
qualidade e a efetividade, tornando a empresa ágil para adaptações.
Com base nos níveis descritos, o COBIT propõe um modelo de maturidade
específico para cada um dos 34 processos. No Anexo A, é apresentado o modelo de
maturidade específico para o processo PO1 – Definir um plano estratégico de TI.
Geralmente, estes níveis de maturidade são utilizados para uma organização
definir rapidamente, com base nos cenários descritos, em que nível se encontra e
em que nível pretende chegar futuramente. Na maior parte das vezes, a aplicação
deste modelo é feita através de reuniões com os gestores, onde se pede que estes
identifiquem o nível atual e o desejado dos processos. Entretanto, entendeu-se que,
por esse modelo, a análise é muito genérica e baseia-se apenas na intuição das
pessoas, nem sempre especialistas dos respectivos processos.
Outra limitação, é que este modelo é estritamente incremental, ou seja, para
determinar em qual nível a empresa se encontra, deve-se atender a todos os
52
requisitos daquele nível e também os requisitos dos níveis anteriores. Dessa forma,
iniciativas em níveis posteriores ao encontrado são difíceis de serem identificadas.
Visando sanar estas limitações, o autor Andrea Pederiva (2003) propõe uma
avaliação de fornecedores utilizando o modelo de maturidade presente no COBIT
Management Guidelines, porém transformando as descrições de cada nível de
maturidade em sentenças como no exemplo a seguir:
Tabela 4.1 Transformação dos cenários COBIT em sentenças
PO1 - Definir um Planejamento Estratégico de TI Nível 1 - Inicial / Ad hoc COBIT – Textual Modelo Proposto – Pontual A necessidade de um Planejamento estratégico de TI é conhecida pela gerência de TI. O Planejamento de TI é executado em resposta a uma exigência específica do negócio. O Planejamento estratégico de TI é ocasionalmente discutido nas reuniões da gerência de TI. O alinhamento das exigências do negócio, as aplicações e a tecnologia são tratados de forma reativa e não seguindo a estratégia da organização. A posição de risco estratégico é identificada informalmente, projeto por projeto.
- A necessidade de um Planejamento estratégico de TI é conhecida pela gerência de TI. - O Planejamento de TI é executado em resposta a uma exigência específica do negócio. - O Planejamento estratégico de TI é ocasionalmente discutido nas reuniões da gerência de TI. - O alinhamento das exigências do negócio, as aplicações e a tecnologia são tratados de forma reativa e não seguindo a estratégia da organização. - A posição de risco estratégico é identificada informalmente, projeto por projeto.
4.2 Metodologia Proposta
Para o desenvolvimento da Metodologia de Avaliação de Maturidade utilizada
no trabalho, adotou-se o COBIT Management Guidelines com a abordagem proposta
por Pederiva, pois se acredita que avaliando cada sentença, independente do nível
de maturidade, no final se obtém um resultado mais fiel à realidade. Além disso,
pôde-se identificar que a compreensão dos envolvidos foi facilitada, visto que estes
deram suas opiniões com relação a pequenas sentenças e não a um cenário único e
complexo.
53
Com relação às limitações encontradas no modelo oficial, relativos à dificuldade
de identificar requisitos cumpridos em níveis posteriores ao encontrado, alem de
identificar o nível oficial, foi criado o valor Conformidade, que leva em consideração
apenas o número de requisitos atendidos e o número de sentenças existentes em
cada processo. Este valor permite identificar com maior facilidade o número de
requisitos atendidos para cada processo.
4.2.1 Passos
A seguir, são apresentados os passos utilizados no trabalho de avaliação de
maturidade dos processos da WEG.
Para realizar o mapeamento do nível de maturidade na WEG, foram
marcadas entrevistas com 3 ou 4 especialistas em cada um dos processos
mapeados.
No início, a folha de entrevista, vide Apêndice A, era entregue aos presentes,
e fazia-se uma pequena explicação do COBIT e de sua importância. Em seguida,
explicava-se o processo a ser mapeado e uma breve discussão era feita, para que
possíveis dúvidas fossem sanadas e houvesse um alinhamento do conteúdo do
processo.
Em seguida, as sentenças extraídas do modelo de maturidade COBIT eram
expostas conforme explicado anteriormente. Após lida cada sentença, os
entrevistados respondiam em consenso se a mesma era verdadeira ou falsa para a
situação atual da WEG.
Após efetuado o mapeamento de todas as sentenças do processo, o nível
alcançado era revelado e discutido, sanando eventuais dúvidas e deixando claro o
entendimento sobre o nível de maturidade alcançado. Com base no nível alcançado,
54
os entrevistados apontavam o nível desejado para o ano 2010. Este ano foi utilizado
em alinhamento com o Planejamento Estratégico de TI da WEG que considera o
mesmo como cenário futuro.
4.2.2 Aplicação da Planilha
Para aplicar a metodologia proposta, elaborou-se uma planilha na qual os
dados foram registrados e tratados. Para evitar pontuações errôneas, considerando
a natureza de cada sentença como positiva ou negativa para a empresa, as
respostas foram transformadas da seguinte maneira:
Tabela 4.2 Transformação dos valores de pontuação conforme natureza da sentença.
Positiva Negativa
Resposta Falso ⇒ 0 Verdadeiro ⇒ 1
Falso ⇒ 1 Verdadeiro ⇒ 0
Exemplo:
A sentença “A necessidade de um Planejamento estratégico de TI é conhecida
pela gerência de TI.” foi identificada como uma sentença positiva, pois, ao responder
verdadeiro, a empresa cumpre um requisito e informa que a necessidade do PETI é
reconhecida pela gerência de TI. Ao final, a empresa obtém um ponto para esta
sentença.
Já a sentença “A posição de risco estratégico é identificada informalmente,
projeto por projeto.” foi identificada como uma sentença negativa, pois, ao responder
verdadeiro, a empresa não cumpre um requisito e informa que não existe um
processo formal de identificação da posição de risco. Ao final, a empresa não recebe
ponto para esta sentença.
55
Concluído o processo de registro das respostas, obtém-se, para os 6 níveis de
maturidade de cada processo COBIT, a seguinte tabela:
Tabela 4.3 Planilha de avaliação de maturidade para o nível 1 do processo PO1
PO1 - Definir um Planejamento Estratégico de TI Nível 1 - Inicial / Ad hoc Verdadeiro Falso Pontuação Pos/Neg- A necessidade de um Planejamento estratégico de TI é conhecida pela gerência de TI.
X 1 +
- O Planejamento de TI é executado em resposta a uma exigência específica do negócio.
X 1 -
- O Planejamento estratégico de TI é ocasionalmente discutido nas reuniões da gerência de TI.
X 1 -
- O alinhamento das exigências do negócio, as aplicações e a tecnologia são tratados de forma reativa e não seguindo a estratégia da organização.
X 1 -
- A posição de risco estratégico é identificada informalmente, projeto por projeto. X 0 -
Total 4 Sentenças 5
Conformidade 80%
Onde:
- Pontuação ⇒ Respostas transformadas de acordo com a natureza das
sentenças.
- Pos/Neg ⇒ Identificação da natureza da sentença como positiva ou
negativa.
- Total ⇒ Somatório das pontuações.
- Sentenças ⇒ Número de sentenças presentes no nível 1 do processo PO1.
- Conformidade ⇒ Percentual de conformidade da organização com o nível 1
do processo PO1.
56
Com as respostas de todos os níveis do processo devidamente registradas na
planilha, tem-se o seguinte resultado para cada processo COBIT:
Tabela 4.4 Conformidade da WEG para cada nível
PO1 - Definir um Planejamento Estratégico de TI Nível Conformidade
0 100% 1 80% 2 50% 3 43% 4 17% 5 0%
Conformidade Total 48% Onde:
- Conformidade ⇒ Aderência com as sentenças de cada nível do processo.
- Conformidade Total ⇒ Média da conformidade de todos os níveis somados.
Ao final apresentam-se para cada processo do COBIT:
Tabela 4.5 Resultados finais para o processo PO1
PO1 - Definir um Planejamento Estratégico de TI Resultado Final
Nível Atual 1 Nível Meta 4 Conformidade 48%
Onde:
- Nível Atual ⇒ Valor oficial. Nível mais elevado a ter 100% dos requisitos
atendidos pela WEG.
- Nível Meta ⇒ Nível desejado para o ano 2010.
- Conformidade ⇒ Valor não oficial. Representa a aderência aos requisitos do
COBIT para este processo, observando cada nível de maturidade.
57
Visando facilitar a análise dos resultados obtidos e o estudo dos planos de ação
propostos, ao final do trabalho um relatório que futuramente servirá como um guia
para a empresa atingir conformidade com os requisitos de governança propostos
pelo COBIT foi entregue à empresa.
58
5 RESULTADOS OBTIDOS
A seguir, são apresentados os resultados obtidos na avaliação dos processos
de TI da WEG para os processos do domínio Planejamento e Organização. Os
resultados foram formatados através de um modelo de relatório padrão, conforme
Apêndice B.
59
PO1 – Definir um plano estratégico de TI
O planejamento estratégico de TI (PETI) é necessário para gerenciar e direcionar os recursos de TI de acordo com a estratégia e as prioridades do negócio. Os stakeholders da TI e do negócio são responsáveis por assegurar que o retorno sobre o investimento nos projetos e serviços seja ótimo. O plano estratégico deve melhorar a compreensão dos stakeholders sobre as oportunidades e limitações da TI, deve também avaliar o desempenho atual e esclarecer o nível de investimento necessário à TI. A estratégia e as prioridades do negócio devem ser refletidas nos portfólios e devem ser executadas pelo plano tático de TI, que estabelece objetivos concisos, planos e tarefas compreendidas e aceitas pelo negócio e pela TI.
Resultados Finais Nível Atual – Valor oficial. Nível mais elevado a ter 100% dos requisitos atendidos pela WEG. 1*
Nível Meta - Nível desejado para a WEG o Cenário WEG 2010. 4 Conformidade WEG - Valor não oficial. Representa a aderência da WEG aos requisitos do Cobit para este processo, observando cada nível de maturidade. 48%* Ao analisar o gráfico abaixo, percebe-se 100% de conformidade apenas no nível 0, apesar disso identificou-se que a WEG está em situação melhor ou igual em todos os requisitos do nível 1. Com isso, conclui-se que o cenário ilustrado no nível 1 representa a situação atual da WEG para este processo.
Conformidade WEG - PO01
0%20%40%60%80%
100%
Meta WEG 100% 100% 100% 100% 100% 0%
Situação Atual 100% 80% 50% 43% 17% 0%
Nível 0 Nível 1 Nível 2 Nível 3 Nível 4 Nível 5
Recomendações
- Formalizar o processo de avaliação de riscos e benefícios estratégicos no PETI. - Estabelecer um processo de comunicação do PETI com os gestores do negócio. - Estabelecer um processo formal que defina quando e como elaborar e executar o PETI. - Definir indicadores que permitam aos gestores do negócio monitorar o andamento e a
eficácia do PETI e como também tomar decisões baseados nele. - Elevar o PETI a uma função administrativa, sendo de responsabilidade da Diretoria. - Fazer com que ambos os planejamentos, de curto e longo prazo, ocorram e sejam
profundamente seguidos na organização. - Incluir o PETI na pauta das reuniões de Diretoria. - Considerar, na elaboração do PETI, o planejamento dos recursos internos e externos
requeridos no desenvolvimento e operação dos sistemas.
60
Leitura do Gráfico O gráfico apresenta a conformidade da WEG com os requisitos do Cobit para o processo PO1 -
Definir um Plano Estratégico de TI. Nele, observamos que a WEG possui 100% de conformidade no nível 0, 80% no nível 1, 50% no nível 2, 43% no nível 3, 17% no nível 4 e 0% no nível 5.
Com base nos resultados encontrados, concluímos que para o processo PO1 o nível de maturidade da WEG é 1 e o Nível Meta é 4. Além disso, podemos observar algumas iniciativas em níveis posteriores ao “oficial” encontrado. Para efeito de análise interna, mensuramos estas iniciativas calculando a Conformidade WEG. Este valor indica o quanto a WEG está aderente aos requisitos do Cobit para o processo PO1, e neste caso, é igual a 48%. Não Conformidades
Nível 1 - Inicial/Ad Hoc:
- A posição de risco estratégico é identificada informalmente, projeto por projeto.
Nível 2 - Repetitivo mas Intuitivo:
- O planejamento estratégico de TI é compartilhado com a gerência de negócio somente quando há necessidade.
- Os riscos e os benefícios ao usuário das principais decisões estratégicas são mapeados de uma maneira intuitiva.
Nível 3 - Processo Definido: - Uma política define quando e como executar o planejamento estratégico de TI. - Entretanto, a decisão a respeito de como será a execução destes processos é deixada
aos gerentes e não há nenhum procedimento para examinar este processo de execução.
- A estratégia de TI inclui uma definição consistente dos riscos a que a organização está disposta a correr como inovadora ou seguidora.
- O Planejamento estratégico de TI é discutido em reuniões da gerência de negócio. Nível 4 - Gerenciado e Mensurável:
- O planejamento estratégico de TI é uma prática padrão e as exceções são observadas
pela gerência. - O planejamento estratégico de TI é uma função administrativa definida com
responsabilidade do nível sênior. - A gerência é capaz de monitorar o processo de planejamento estratégico de TI, fazer
decisões baseadas nele e medir sua eficácia. - Ambos os planejamentos, de curto e longo prazo, ocorrem e são profundamente
utilizados na organização, com as atualizações sendo feitas quando necessárias. - Há um processo bem definido para determinar o uso dos recursos internos e externos
requeridos no desenvolvimento e na operação dos sistemas.
61
PO2 – Definir a arquitetura da informação
Os sistemas de informação devem criar e atualizar continuamente um modelo de informação do negócio como também definir os sistemas apropriados para otimizar o uso destas informações. Isto abrange o desenvolvimento de um dicionário corporativo dos dados com as regras de sintaxe dos dados da organização, o esquema de classificação e os níveis de segurança dos dados. Este processo melhora a qualidade das decisões da gerência ao assegurar que as informações fornecidas são de confiança e seguras, além de permitir a racionalização dos recursos dos Sistemas de Informação para ser compatível com as estratégias de negócio. Este processo também é necessário para definir as responsabilidades sobre a integridade e a segurança dos dados e assegurar o controle sobre o compartilhamento das informações através das aplicações.
Resultados Finais Nível Atual – Valor oficial. Nível mais elevado a ter 100% dos requisitos atendidos pela WEG. 1*
Nível Meta – Nível desejado para o Cenário WEG 2010. 4 Conformidade WEG – Valor não oficial. Representa a aderência da WEG aos requisitos do Cobit para este processo, observando cada nível de maturidade. 40%* Ao analisar o gráfico abaixo, percebe-se 100% de conformidade apenas no nível 0, apesar disso identificou-se que a WEG está em situação melhor ou igual em todos os requisitos do nível 1. Com isso, conclui-se que o cenário ilustrado no nível 1 representa a situação atual da WEG para este processo.
Conformidade WEG - PO02
0%
20%
40%
60%
80%
100%
Meta WEG 100% 100% 100% 100% 100% 0%
Situação Atual 100% 25% 33% 38% 44% 0%
Nível 0 Nível 1 Nível 2 Nível 3 Nível 4 Nível 5
Recomendações
- Formalizar o processo de desenvolvimento e validação da arquitetura da informação através de métodos e técnicas formais.
- Comunicar de forma consistente a necessidade e a importância da arquitetura da informação para a organização.
- Direcionar as definições sobre a arquitetura não só para os dados mas também para as informações.
- Definir, documentar e aplicar consistentemente um processo de treinamento sobre arquitetura da informação.
- Atribuir formalmente as responsabilidades sobre a entrega e o desempenho da arquitetura da informação.
- Gerenciar a conformidade da arquitetura com relação a políticas, padrões e ferramentas. - Definir métricas e implantar um sistema para gerenciar o desempenho da arquitetura da
informação. - Focar o processo de arquitetura da informação para identificar pró-ativamente
oportunidades futuras para o negócio. - Implementar modelos de dados mais complexos para levantar as informações contidas
nas bases de dados.
62
Leitura do Gráfico
O gráfico apresenta a conformidade da WEG com os requisitos do Cobit para o processo PO2 - Definir a Arquitetura da Informação. Nele, observamos que a WEG possui 100% de conformidade no nível 0, 25% no nível 1, 33% no nível 2, 38% no nível 3, 44% no nível 4 e 0% no nível 5.
Com base nos resultados encontrados, concluímos que para o processo PO2 o nível de maturidade da WEG é 1 e o Nível Meta é 4. Além disso, podemos observar algumas iniciativas em níveis posteriores ao Nível Atual encontrado. Para efeito de análise interna, mensuramos estas iniciativas calculando a Conformidade WEG. Este valor indica o quanto a WEG está aderente aos requisitos do Cobit para o processo PO2, e neste caso, é igual a 40%. Não Conformidades
Nível 1 - Inicial/Ad Hoc:
- O desenvolvimento de alguns componentes da arquitetura da informação está ocorrendo
de forma “ad hoc" (informal). - As definições são mais voltadas aos dados, que às informações. - Há uma comunicação inconsistente e esporádica da necessidade de uma arquitetura da
informação.
Nível 2 - Repetitivo mas Intuitivo:
- Um processo de arquitetura da informação está surgindo e procedimentos similares são seguidos por pessoas diferentes, embora informal e intuitivamente.
- As pessoas obtêm suas habilidades em construir a arquitetura da informação através da aplicação repetida das técnicas.
Nível 3 - Processo Definido:
- A importância da arquitetura da informação é compreendida e aceita. - A responsabilidade para a entrega da arquitetura da informação é atribuída e
comunicada. - Procedimentos relacionados, ferramentas e técnicas, embora não sofisticados, foram
padronizados e documentados e são parte de atividades informais do treinamento. - A conformidade da arquitetura com políticas, padrões e ferramentas não é reforçada
consistentemente. - As atividades formais de treinamento são definidas, documentadas e aplicadas
consistentemente.
Nível 4 - Gerenciado e Mensurável:
- O desenvolvimento e a validação da arquitetura de informação são suportados inteiramente por métodos e por técnicas formais.
- A responsabilidade sobre o desempenho do processo de desenvolvimento da arquitetura é reforçada e o sucesso da arquitetura da informação está sendo medido.
- As métricas básicas foram identificadas e existe um sistema de medição. - O processo de definição da arquitetura da informação é pró-ativo e focado em identificar
necessidades futuras do negócio. - Modelos de dados mais complexos estão sendo implementados para levantar a
informação contida nas bases de dados.
63
PO3 – Determinar a direção tecnológica
Os serviços de informação devem determinar a direção tecnológica para suportar o negócio. Isto requer a criação de um plano de infra-estrutura tecnológica e de uma gerência de arquitetura que ajuste e controle, clara e realisticamente, as expectativas de o que a tecnologia pode oferecer em termos de produtos, serviços e mecanismos de entrega. O plano deve ser atualizado regularmente e abranger aspectos tais como a arquitetura dos sistemas, a direção tecnológica, os planos de aquisição, os padrões, as estratégias de migração e contingência. Isto permite respostas oportunas às mudanças no ambiente competitivo, nas economias com relação à equipe e em investimentos bem como na melhoria da interoperabilidade das plataformas e das aplicações.
Resultados finais Nível Atual – Valor oficial. Nível mais elevado a ter 100% dos requisitos atendidos pela WEG. 1*
Nível Meta - Nível desejado para a WEG no Cenário 2010. 4 Conformidade WEG - Valor não oficial. Representa a aderência da WEG aos requisitos do Cobit para este processo, observando cada nível de maturidade. 49%* Ao analisar o gráfico abaixo, percebe-se 100% de conformidade apenas no nível 0, apesar disso identificou-se que a WEG está em situação melhor ou igual em todos os requisitos do nível 1. Com isso, conclui-se que o cenário ilustrado no nível 1 representa a situação atual da WEG para este processo.
Conformidade WEG - PO03
0%
20%
40%
60%
80%
100%
Meta WEG 100% 100% 100% 100% 100% 0%
Situação Atual 100% 60% 40% 50% 27% 14%
Nível 0 Nível 1 Nível 2 Nível 3 Nível 4 Nível 5
Recomendações
- Formalizar o processo de avaliação, desenvolvimento e implantação de novas tecnologias.
- Estruturar um processo de avaliação e comunicação do impacto potencial das mudanças tecnológicas e das novas tecnologias ao negócio.
- Definir um plano tecnológico bem documentado que vise alinhar o uso das novas tecnologias com as necessidades do negócio, além de comunicá-lo e aplicá-lo consistentemente.
- O plano deve incluir uma compreensão de onde a organização pretende chegar com o uso da tecnologia, baseado em riscos e em alinhamento com a estratégia da organização. Além disso, deve ser preparado para mudanças.
- Definir indicadores para identificar desvios e antecipar problemas no plano. - Fornecer treinamento e comunicação formal sobre os papéis e responsabilidades do
processo. - Analisar o nível aceitável de risco a respeito do uso da tecnologia para desenvolver novas
oportunidades de negócio como também melhorias operacionais. - Alinhar a estratégia de recursos humanos com a direção tecnológica para assegurar que
o pessoal de TI pode controlar mudanças tecnológicas.
64
Leitura do gráfico O gráfico apresenta a conformidade da WEG com os requisitos do Cobit para o processo PO3 -
Determinar a Direção Tecnológica. Nele, observamos 100% de conformidade no nível 0, 60% no nível 1, 40% no nível 2, 50% no nível 3, 27% no nível 4 e 14% no nível 5.
Com base nos resultados encontrados, concluímos que para o processo PO3 o nível de maturidade da WEG é 1 e o Nível Meta é 4. Além disso, podemos observar algumas iniciativas em níveis posteriores ao Nível Atual encontrado. Para efeito de análise interna, mensuramos estas iniciativas calculando a Conformidade WEG. Este valor indica o quanto a WEG está aderente aos requisitos do Cobit para o processo PO3, e neste caso, é igual a 40%. Não Conformidades
Nível 1 - Inicial/Ad Hoc:
- O desenvolvimento de componentes de tecnologia e a implementação de tecnologias emergentes são “ad hoc” (informais) e isolados.
- A comunicação do impacto potencial das mudanças tecnológicas é inconsistente.
Nível 2 - Repetitivo mas Intuitivo:
- O planejamento é tático e mais focado em gerar soluções técnicas aos problemas técnicos, do que no uso da tecnologia alinhado com as necessidades do negócio.
- A avaliação das mudanças tecnológicas é deixada a diferentes indivíduos que seguem processos intuitivos, mas similares.
- As pessoas obtêm suas habilidades no processo de planejamento tecnológico através da aplicação repetida das técnicas.
Nível 3 - Processo Definido:
- Existe um plano de infra-estrutura tecnológica bem documentado e comunicado, mas
este é aplicado inconsistentemente. - A direção da infra-estrutura tecnológica inclui uma compreensão de onde a organização
pretende chegar com o uso da tecnologia, baseado em riscos e em alinhamento com a estratégia da organização.
- Existe treinamento e comunicação formal dos papéis e das responsabilidades. Nível 4 - Gerenciado e Mensurável:
- O impacto potencial de tecnologias emergentes e em constantes mudanças é levado em
consideração. - A gerência pode identificar desvios no plano e antecipar problemas. - A responsabilidade para o desenvolvimento e a manutenção de um plano de infra-
estrutura tecnológica foi atribuída. - O processo de desenvolvimento do plano de infra-estrutura tecnológico é sofisticado e
preparado para mudanças. - As boas práticas internas foram introduzidas ao processo. - A estratégia de recursos humanos é alinhada com a direção tecnológica, para assegurar-
se de que o pessoal de TI pode controlar mudanças na tecnologia. - Planos de migração para introduzir novas tecnologias são definidos. - A gerência analisou o nível aceitável de risco a respeito do uso da tecnologia para
desenvolver novas oportunidades de negócio como também melhorias operacionais.
65
PO4 – Definir os Processos, a Organização e os Relacionamentos da TI
A Organização de TI deve ser definida considerando exigências para a equipe de funcionários bem como: habilidades, funções, prestação de contas, autoridade, os papéis e as responsabilidades, e a supervisão. Esta organização deve ser inserida em uma estrutura de TI que assegure a transparência e o controle, como também o envolvimento dos executivos sênior e da Direção. Para isso deve-se estabelecer um comitê estratégico que assegure que a Direção está supervisionando a TI, além disso, um ou mais comitês que tenham representantes da TI e do negócio devem determinar as priorizações dos recursos de TI de acordo com as necessidades de negócio. Os processos, as políticas e os procedimentos administrativos devem estar presentes em todas as funções da TI, com atenção especial ao controle, à garantia de qualidade, à gerência de risco, à segurança da informação, à posse dos dados e dos sistemas, e à segregação de deveres. Para assegurar o suporte oportuno às exigências do negócio, a TI deve ser envolvida nos processos de decisão relevantes.
Resultados finais Nível Atual – Valor oficial. Nível mais elevado a ter 100% dos requisitos atendidos pela WEG. 1*
Nível Meta - Nível desejado para a WEG no Cenário 2010. 4 Conformidade WEG - Valor não oficial. Representa a aderência da WEG aos requisitos do Cobit para este processo, observando cada nível de maturidade. 56%* Ao analisar o gráfico abaixo, percebe-se 100% de conformidade apenas no nível 0, apesar disso identificou-se que a WEG está em situação melhor ou igual em todos os requisitos do nível 1. Com isso, conclui-se que o cenário ilustrado no nível 1 representa a situação atual da WEG para este processo.
Conformidade WEG - PO04
0%
20%
40%
60%
80%
100%
Meta WEG 100% 100% 100% 100% 100% 0%
Situação Atual 100% 60% 67% 67% 25% 20%
Nível 0 Nível 1 Nível 2 Nível 3 Nível 4 Nível 5
Recomendações
- Considerar a TI como função estratégica e não apenas de suporte. - Estabelecer uma organização de TI desenvolvida, documentada, comunicada e alinhada
com a estratégia de TI e que seja funcionalmente completa. Esta organização deve refletir apropriadamente as necessidades do negócio fornecendo os serviços mais alinhados com os processos estratégicos do negócio, do que com tecnologias isoladas.
- Definir formalmente o relacionamento da TI com usuários e terceiros. - A organização de TI deve responder pró-ativamente às mudanças e incluir todos os
papéis necessários para suportar as exigências do negócio. - Habilitar a administração de TI para que possua o expertise e as habilidades necessários
para definir, implementar e monitorar a organização de TI e seus relacionamentos. - Padronizar métricas mensuráveis para suportar os objetivos do negócio e fatores críticos
de sucesso. - Levantar e disponibilizar um inventário das habilidades necessárias para suportar o
desenvolvimento das equipes dos projetos e o desenvolvimento profissional. - Estabelecer e garantir o equilíbrio entre as habilidades necessárias e os recursos
disponíveis internamente e aquelas que necessitam de organizações externas.
66
Leitura do gráfico
O gráfico apresenta a conformidade da WEG com os requisitos do Cobit para o processo PO4 - Definir os Processos, a Organização e os Relacionamentos da TI. Nele, observamos 100% de conformidade no nível 0, 60% no nível 1, 67% no nível 2, 67% no nível 3, 25% no nível 4 e 20% no nível 5.
Com base nos resultados encontrados, concluímos que para o processo PO4 o nível de
maturidade da WEG é 1 e o Nível Meta é 4. Além disso, podemos observar algumas iniciativas em níveis posteriores ao Nível Atual encontrado. Para efeito de análise interna, mensuramos estas iniciativas calculando a Conformidade WEG. Este valor indica o quanto a WEG está aderente aos requisitos do Cobit para o processo PO4, e neste caso, é igual a 56%. Não Conformidades
Nível 1 - Inicial/Ad Hoc: - A TI é envolvida em projetos do negócio somente em estágios tardios. - A TI é considerada uma função de suporte.
Nível 2 - Repetitivo mas Intuitivo:
- A necessidade de uma organização estruturada e de uma gestão de fornecedores é
reconhecida e comunicada, porém as decisões são dependentes do conhecimento e habilidades dos indivíduos chaves.
Nível 3 - Processo Definido:
- A organização de TI é desenvolvida, documentada, comunicada e alinhada com a
estratégia de TI. - A organização de TI está funcionalmente completa. - Há uma definição formal dos relacionamentos de TI com usuários e terceiros.
Nível 4 - Gerenciado e Mensurável:
- A organização de TI responde pró-ativamente às mudanças e inclui todos os papéis
necessários para suportar as exigências do negócio. - A administração de TI tem o expertise e as habilidades apropriadas para definir,
implementar e monitorar a organização de TI e seus relacionamentos. - Métricas mensuráveis para suportar os objetivos do negócio e fatores críticos de sucesso
definidos pelo usuário são padronizados. - Um inventário das habilidades para suportar o desenvolvimento das equipes dos projetos
e o desenvolvimento profissional está disponível. - O equilíbrio entre as habilidades e os recursos disponíveis internamente e aqueles que
necessitam de organizações externas é definido e reforçado. - A estrutura organizacional de TI reflete apropriadamente as necessidades do negócio
fornecendo os serviços mais alinhados com os processos estratégicos do negócio, do que com tecnologias isoladas.
67
PO5 – Gerenciar os investimentos de TI
Estabelecer e manter uma estrutura para controlar os investimentos em TI que trate dos custos, benefícios e priorizações do orçamento e um processo formal de orçamentação e de gerência do orçamento. Prevê um trabalho conjunto com os stakeholders para identificar e controlar os custos e os benefícios dentro do contexto do plano estratégico e tático de TI, e iniciar a ação corretiva onde seja necessário. O processo promove a parceria entre a TI e os stakeholders do negócio, permite o uso eficaz e eficiente dos recursos de TI, fornece transparência e as responsabilidades do TCO (total cost of ownership), a percepção dos benefícios ao negócio e o retorno dos investimentos de TI. Resultados Finais Nível Atual – Valor oficial. Nível mais elevado a ter 100% dos requisitos atendidos pela WEG. 1*
Nível Meta - Nível desejado para a WEG o Cenário WEG 2010. 3
Conformidade WEG - Valor não oficial. Representa a aderência da WEG aos requisitos do Cobit para este processo, observando cada nível de maturidade. 49%* Ao analisar o gráfico abaixo, percebe-se 100% de conformidade apenas no nível 0, apesar disso identificou-se que a WEG está em situação melhor ou igual em todos os requisitos do nível 1. Com isso, conclui-se que o cenário ilustrado no nível 1 representa a situação atual da WEG para este processo.
Conformidade WEG - PO05
0%20%40%
60%80%
100%
Meta WEG 100% 100% 100% 100% 0% 0%
Situação Atual 100% 67% 60% 33% 33% 0%
Nível 0 Nível 1 Nível 2 Nível 3 Nível 4 Nível 5
Recomendações
- Definir, em cada área, pessoas responsáveis para fornecer feedback dos investimentos e necessidades de TI.
- Formalizar o processo de justificativa de novos investimentos. - Estabelecer um processo de seleção dos investimentos e alocação de recursos. Este
processo deve ser monitorado e deve estar alinhado com a estratégia de TI e do negócio. - Providenciar treinamento formal à equipe de TI para que ela adquira o expertise e as
habilidades necessárias para desenvolver o orçamento de TI e recomendar investimentos apropriados.
68
Leitura do gráfico O gráfico apresenta a conformidade da WEG com os requisitos do Cobit para o processo PO5 -
Gerenciar os investimentos de TI. Nele, observamos que a WEG possui 100% de conformidade no nível 0, 67% no nível 1, 60% no nível 2, 33% no nível 3, 33% no nível 4 e 0% no nível 5.
Com base nos resultados encontrados, concluímos que para o processo PO5 o nível de maturidade da WEG é 1 e o Nível Meta é 3. Além disso, podemos observar algumas iniciativas em níveis posteriores ao Nível Atual encontrado. Para efeito de análise interna, mensuramos estas iniciativas calculando a Conformidade WEG. Este valor indica o quanto a WEG está aderente aos requisitos do Cobit para o processo PO5, e neste caso, é igual a 49%. Não Conformidades
Nível 1 - Inicial/Ad Hoc:
- Investimentos são justificados de forma “ad hoc”. - A alocação de recursos financeiros ocorre de maneira reativa e operacionalmente focada.
Nível 2 - Repetitivo mas Intuitivo: - A conformidade é dependente da iniciativa de alguns indivíduos da organização. - As decisões sobre o orçamento são tomadas de maneira tática e reativa.
Nível 3 - Processo Definido: - O orçamento de TI é alinhado com a estratégia de TI e aos planos do negócio. - O treinamento formal está emergindo, mas ainda é baseado em iniciativas individuais. - A aprovação formal das seleções de investimento e orçamento de TI está ocorrendo. - A equipe de TI tem o expertise e as habilidades necessárias para desenvolver o
orçamento de TI e recomendar investimentos apropriados.
69
PO6 – Comunicar as metas e a direção da administração
A administração deve desenvolver uma estrutura de controle da informação, além de definir e comunicar as políticas. Um programa de comunicação aprovado e suportado pela administração deve ser executado para comunicar a missão, os objetivos dos serviços, as políticas e os procedimentos. Esta comunicação dá suporte ao alcance dos objetivos da TI e assegura a consciência e a compreensão dos riscos, objetivos e direção do negócio e da TI. O processo deve também assegurar a conformidade com leis e regulamentos relevantes. Resultados Finais Nível Atual – Valor oficial. Nível mais elevado a ter 100% dos requisitos atendidos pela WEG. 2*
Nível Meta - Nível desejado para a WEG o Cenário WEG 2010. 4
Conformidade WEG - Valor não oficial. Representa a aderência da WEG aos requisitos do Cobit para este processo, observando cada nível de maturidade. 46%* Ao analisar o gráfico abaixo, percebe-se 100% de conformidade apenas no nível 0 e 1, apesar disso identificou-se que a WEG está em situação melhor ou igual em todos os requisitos do nível 2. Com isso, conclui-se que o cenário ilustrado no nível 2 representa a situação atual da WEG para este processo.
Conformidade WEG - PO06
0%
20%
40%
60%
80%
100%
Meta WEG 100% 100% 100% 100% 100% 0%
Situação Atual 100% 100% 60% 14% 0% 0%
Nível 0 Nível 1 Nível 2 Nível 3 Nível 4 Nível 5
Recomendações
- Desenvolver, documentar e comunicar por toda a organização um processo completo de gerência da qualidade e de controle da informação que inclui um framework (modelo) para políticas, procedimentos e padrões.
- Estruturar, manter e comunicar por toda a equipe, um processo para o desenvolvimento de políticas, procedimentos e padrões que siga as boas práticas internas.
- Disponibilizar treinamento formal para suportar o ambiente de controle da informação. - Através de um processo definido, monitorar consistentemente a conformidade com as
políticas, procedimentos e padrões estabelecidos. - Padronizar e formalizar técnicas para promover a consciência da necessidade da
segurança da informação. - A administração deve aceitar a responsabilidade por comunicar as políticas internas de
controle, além disso, deve delegar responsabilidades e alocar recursos suficientes para manter o ambiente alinhado com mudanças significativas.
70
Leitura do gráfico O gráfico apresenta a conformidade da WEG com os requisitos do Cobit para o processo PO6 -
Gerenciar os investimentos de TI. Nele, observamos que a WEG possui 100% de conformidade no nível 0, 100% no nível 1, 60% no nível 2, 14% no nível 3, 0% no nível 4 e 0% no nível 5.
Com base nos resultados encontrados, concluímos que para o processo PO6 o nível de
maturidade da WEG é 2 e o Nível Meta é 4. Além disso, podemos observar algumas iniciativas em níveis posteriores ao Nível Atual encontrado. Para efeito de análise interna, mensuramos estas iniciativas calculando a Conformidade WEG. Este valor indica o quanto a WEG está aderente aos requisitos do Cobit para o processo PO6, e neste caso, é igual a 46%. Não Conformidades
Nível 2 - Repetitivo mas Intuitivo:
- A qualidade é reconhecida como uma filosofia desejável a ser seguida, mas as práticas
são deixadas à escolha dos gerentes. - O treinamento é realizado de forma reativa.
Nível 3 - Processo Definido: - A administração desenvolveu, documentou e comunicou um processo completo de
gerência da qualidade e de controle da informação que inclui um framework (modelo) para políticas, procedimentos e padrões.
- O processo de desenvolvimento de políticas é estruturado, mantido e conhecido por toda a equipe, e as políticas, procedimentos e padrões existentes são razoavelmente específicos e cobrem a maioria dos problemas chaves.
- O treinamento formal para suportar o ambiente de controle da informação está disponível, mas não é aplicado consistentemente.
- Existe um framework (modelo) de desenvolvimento de políticas e padrões de controle. - Há uma monitoração inconsistente da conformidade com as políticas e padrões. - As técnicas para promover a consciência da segurança foram padronizadas e
formalizadas.
Nível 4 - Gerenciado e Mensurável: - A administração aceitou a responsabilidade por comunicar as políticas internas de
controle, além disso, delegou responsabilidades e alocou recursos suficientes para manter o ambiente alinhado com mudanças significativas.
- Um ambiente de controle da informação pró-ativo que inclui um compromisso com a qualidade e uma consciência da importância da segurança da informação foi estabelecido.
- Um conjunto completo de políticas, procedimentos e padrões foi desenvolvido, mantido e comunicado e segue as boas práticas internas.
- Um framework para verificar a conformidade com políticas e padrões foi estabelecido.
71
PO7 – Gerenciar os Recursos Humanos da TI
Adquirir, manter e motivar uma equipe de trabalho competente para a criação e a entrega dos serviços de TI ao negócio. Isto é alcançado seguindo práticas definidas e acordadas de recrutamento, treinamento, avaliação de desempenho e promoções. Este processo é crítico, visto que as pessoas são recursos importantes e a governança e os controles internos são altamente dependentes da motivação e competência do pessoal. Resultados Finais Nível Atual – Valor oficial. Nível mais elevado a ter 100% dos requisitos atendidos pela WEG. 1
Nível Meta - Nível desejado para a WEG o Cenário WEG 2010. 4
Conformidade WEG - Valor não oficial. Representa a aderência da WEG aos requisitos do Cobit para este processo, observando cada nível de maturidade. 55%
Conformidade WEG - PO07
0%
20%
40%
60%
80%
100%
Meta WEG 100% 100% 100% 100% 100% 0%
Situação Atual 100% 100% 50% 20% 40% 20%
Nível 0 Nível 1 Nível 2 Nível 3 Nível 4 Nível 5
Recomendações
- Estruturar um plano de administração dos recursos humanos de TI, contendo práticas definidas de recrutamento, treinamento, avaliação de desempenho e promoções, voltado para a estratégia da organização. Este plano deve suportar mudanças no ambiente de TI.
- A responsabilidade de desenvolver e manter o plano de administração dos recursos humanos de TI deve ser formalmente atribuída a um indivíduo ou a um grupo específico com o expertise e as habilidades necessárias.
- Revisões de performance e de compensação devem ser executadas e comparadas a outras organizações de TI e às melhores práticas da indústria
- Estabelecer um plano de treinamento para suprir as necessidades de habilidades dos recursos humanos de TI.
- Instituir um programa de rodízio visando expandir habilidades técnicas e de administração do negócio.
72
Leitura do gráfico O gráfico apresenta a conformidade da WEG com os requisitos do Cobit para o processo PO7 -
Gerenciar os Recursos Humanos da TI. Nele, observamos que a WEG possui 100% de conformidade no nível 0, 100% no nível 1, 50% no nível 2, 20% no nível 3, 40% no nível 4 e 20% no nível 5.
Com base nos resultados encontrados, concluímos que para o processo PO7 o nível de maturidade da WEG é 1 e o Nível Meta é 4. Além disso, podemos observar algumas iniciativas em níveis posteriores ao “oficial” encontrado. Para efeito de análise interna, mensuramos estas iniciativas calculando a Conformidade WEG. Este valor indica o quanto a WEG está aderente aos requisitos do Cobit para o processo PO7, e neste caso, é igual a 55%. Não Conformidades
Nível 2 - Repetitivo mas Intuitivo:
- Ocorre treinamento informal para os novos colaboradores.
Nível 3 - Processo Definido:
- Existe um plano de administração de recursos humanos de TI. - Há uma abordagem estratégica para contratar e administrar pessoal de TI. - Um plano formal de treinamento é projetado de acordo com as necessidades dos
recursos humanos de TI. - Um programa de rodízio, projetado para expandir habilidades técnicas e de administração
do negócio, é estabelecido.
Nível 4 - Gerenciado e Mensurável:
- A responsabilidade para o desenvolvimento e a manutenção do plano de gerência de recursos humanos de TI foi atribuída a um indivíduo ou a um grupo específico com a perícia e as habilidades necessárias para desenvolver e manter o plano.
- O processo de desenvolver e administrar o plano de gerência de recursos humanos de TI suporta mudanças.
- Revisões de performance e compensação estão sendo estabelecidas e comparadas a outras organizações de TI e às melhores práticas da indústria
73
PO8 - Gerenciar a qualidade
Um sistema de gestão da qualidade que inclua processos e padrões de desenvolvimento e aquisição deve ser desenvolvido e mantido. Isto é alcançado através de planejamento, execução e manutenção do sistema de gestão da qualidade fornecendo exigências, procedimentos e políticas claras de qualidade. As exigências de qualidade devem ser transformadas e comunicadas em indicadores quantificáveis e alcançáveis. A melhoria contínua é atingida por monitoração, análise e ação sobre os desvios, e com a comunicação dos resultados aos stakeholders. A gestão da qualidade é essencial para assegurar que a TI esteja fornecendo valor ao negócio, melhoria contínua e transparência para os stakeholders.
Resultados finais Nível Atual – Valor oficial. Nível mais elevado a ter 100% dos requisitos atendidos pela WEG. 3
Nível Meta - Nível desejado para a WEG no Cenário 2010. 5
Conformidade WEG - Valor não oficial. Representa a aderência da WEG aos requisitos do Cobit para este processo, observando cada nível de maturidade. 76%
Conformidade WEG - PO08
0%
20%
40%
60%
80%
100%
Meta WEG 100% 100% 100% 100% 100% 100%
Situação Atual 100% 100% 100% 100% 56% 0%
Nível 0 Nível 1 Nível 2 Nível 3 Nível 4 Nível 5
Recomendações
- Expandir o uso do sistema de gestão da qualidade (QMS) para todas as atividades de TI inclusive para os processos relacionados a terceiros.
- Definir processos de QMS flexíveis e adaptáveis às mudanças no ambiente de TI. - Executar benchmark com padrões externos freqüente e consistentemente. - Utilizar métodos de análise de custo/benefício para justificar as iniciativas de QMS. - Efetuar exames consistentes de satisfação da qualidade que conduzam a análises de
causa raiz e à ações de melhoria. - Fornecer garantia formal do nível do processo de gestão da qualidade.
74
Leitura do gráfico O gráfico apresenta a conformidade da WEG com os requisitos do Cobit para o processo PO8 –
Gerenciar a qualidade. Nele, observamos 100% de conformidade no nível 0, 100% no nível 1, 100% no nível 2, 100% no nível 3, 56% no nível 4 e 0% no nível 5.
Com base nos resultados encontrados, concluímos que para o processo PO8 o nível de
maturidade da WEG é 3 (nível mais elevado com 100% de conformidade) e o Nível Meta é 5. Além disso, podemos observar algumas iniciativas em níveis posteriores ao “oficial” encontrado. Para efeito de análise interna, mensuramos estas iniciativas calculando a Conformidade WEG. Este valor indica o quanto a WEG está aderente aos requisitos do Cobit para o processo PO8, e neste caso, é igual a 76%. Não Conformidades
Nível 4 - Gerenciado e Mensurável:
- O QMS encontra-se em todos os processos, incluindo aqueles processos relativos a terceiros.
- Métodos de análise de custo/benefício são usados para justificar as iniciativas de QMS. - Ferramentas e práticas estão sendo padronizadas e a análise da causa raiz é aplicada
periodicamente. - Exames de satisfação da qualidade são conduzidos consistentemente.
Nível 5 - Otimizado:
- O QMS é integrado e reforçado em todas as atividades de TI. - Os processos de QMS são flexíveis e adaptáveis às mudanças no ambiente de TI. - A base de conhecimento para as métricas da qualidade é definida com as melhores
práticas. - Benchmarking com padrões externos estão sendo executados rotineiramente. - Exame da satisfação da qualidade é um processo contínuo e conduz a análises de causa
raiz e à ações de melhoria. - Há uma garantia formal do nível do processo de gestão da qualidade.
75
PO9 - Avaliar e Gerenciar os Riscos de TI
Criar e manter um framework de gerência de riscos. Este framework documenta um nível acordado dos riscos de TI, estratégias de mitigação e riscos residuais. Qualquer impacto potencial nos objetivos da organização causados por um evento não planejado deve ser identificado, analisado e avaliado. Estratégias de mitigação de riscos devem ser adotadas para minimizar riscos residuais a um nível aceitável. O resultado da avaliação deve ser compreensível para os stakeholders e expressado em termos financeiros, para permitir aos stakeholders alinhar os riscos em um nível aceitável de tolerância.
Resultados finais Nível Atual – Valor oficial. Nível mais elevado a ter 100% dos requisitos atendidos pela WEG. 0
Nível Meta - Nível desejado para a WEG no Cenário 2010. 3
Conformidade WEG - Valor não oficial. Representa a aderência da WEG aos requisitos do Cobit para este processo, observando cada nível de maturidade. 16%
Conformidade WEG - PO09
0%20%40%60%80%
100%
Meta WEG 100% 100% 100% 100% 0% 0%
Situação Atual 67% 29% 0% 0% 0% 0%
Nível 0 Nível 1 Nível 2 Nível 3 Nível 4 Nível 5
Recomendações
- Definir um processo de administração de riscos definido e documentado que seja considerado na aquisição de soluções e entrega de serviços de TI. Este processo deve possuir uma avaliação de riscos que assegure que os riscos chaves ao negócio estão sendo identificados. Deve também definir quando e como conduzir as avaliações de risco.
- Definir um processo de administração de riscos definido e documentado que seja considerado na aquisição de soluções e entrega de serviços de TI. Este processo deve possuir uma avaliação de riscos que assegure que os riscos chaves ao negócio estão sendo identificados. Deve também definir quando e como conduzir as avaliações de risco.
- Estabelecer um processo de mitigação de riscos, a ser usado assim que os riscos são identificados.
- Reavaliar a descrição de novos cargos considerando responsabilidades de administração de riscos.
- Disponibilizar treinamento formal sobre administração de riscos para toda a equipe de TI. - Assegurar, através de indicadores, que o processo de administração de riscos está sendo
seguido em todos os projetos.
76
Leitura do gráfico O gráfico apresenta a conformidade da WEG com os requisitos do Cobit para o processo PO9 –
Avaliar e Gerenciar os Riscos de TI. Nele, observamos 67% de conformidade no nível 0, 29% no nível 1, 0% no nível 2, 0% no nível 3, 0% no nível 4 e 0% no nível 5.
Com base nos resultados encontrados, concluímos que para o processo PO9 o nível de
maturidade da WEG é 0 e o Nível Meta é 3. Além disso, podemos observar algumas iniciativas em níveis posteriores ao “oficial” encontrado. Para efeito de análise interna, mensuramos estas iniciativas calculando a Conformidade WEG. Este valor indica o quanto a WEG está aderente aos requisitos do Cobit para o processo PO9, e neste caso, é igual a 16%. Não Conformidades
Nível 0 - Não Existente :
- A administração de riscos não foi identificada como relevante para adquirir soluções de TI
e serviços de TI. Nível 1 - Inicial/Ad Hoc:
- Os riscos de TI são tratados de uma maneira “ad hoc” (reativa). - Avaliações informais dos riscos dos projetos são feitas de acordo com as definições de
cada projeto. - Às vezes, avaliações de risco são identificadas em um plano de projeto, mas raramente
atribuídas a gerentes específicos. - Riscos específicos relacionados a TI, tais como segurança, disponibilidade e integridade
são ocasionalmente considerados projeto a projeto. - Riscos relacionados a TI que afetam operações cotidianas são raramente discutidos em
reuniões da gerência. Nível 2 - Repetitivo mas Intuitivo:
- Existe uma abordagem imatura de avaliação de risco e esta é implementada da maneira
como os gerentes dos projetos julgarem melhor. - A administração de risco está geralmente em um alto nível e é aplicada apenas nos
projetos grandiosos ou em resposta aos problemas. - Processos de mitigação de risco estão começando a ser executados onde os riscos são
identificados. Nível 3 - Processo Definido:
- Uma política organizacional de gerência de riscos define quando e como conduzir
avaliações de risco. - A administração de riscos segue um processo definido e documentado. - O treinamento sobre administração de riscos está disponível a toda a equipe de TI. - Decisões para seguir o processo de administração de riscos e para receber o treinamento
são deixadas à escolha dos indivíduos. - A metodologia para a avaliação do risco está estabelecida e assegura que os riscos
chaves ao negócio estão identificados. - Uma vez que os riscos são identificados, um processo para mitigar os riscos chaves é
geralmente instituído. - A descrição de novos cargos considera responsabilidades de administração de riscos.
77
PO10 – Gerenciar Projetos
Estabelecer um programa e um framework de gerência de projetos para gerenciar todos os projetos de TI. O framework deve garantir a correta priorização e coordenação de todos os projetos. O framework deve incluir um plano mestre, atribuição de recursos, definição das entregas, aprovação dos usuários, uma abordagem para as entregas por etapas, garantia de qualidade, um plano formal de testes, e a revisão dos testes e da fase de pós-implementação para garantir a gerência dos riscos do projeto e dos valores entregues ao negócio. Essa abordagem reduz os riscos de custos não esperados e cancelamentos do projeto, prove comunicação e envolvimento do negócio e dos usuários finais, garante valor e qualidade dos produtos dos projetos e maximiza sua contribuição para habilitar programas de investimento em TI.
Resultados finais Nível Atual – Valor oficial. Nível mais elevado a ter 100% dos requisitos atendidos pela WEG. 1*
Nível Meta - Nível desejado para a WEG no Cenário 2010. 4
Conformidade WEG - Valor não oficial. Representa a aderência da WEG aos requisitos do Cobit para este processo, observando cada nível de maturidade. 44%* Ao analisar o gráfico abaixo, percebe-se 100% de conformidade apenas no nível 0, apesar disso identificou-se que a WEG está em situação melhor ou igual em todos os requisitos do nível 1. Com isso, conclui-se que o cenário ilustrado no nível 1 representa a situação atual da WEG para este processo.
Conformidade WEG - PO10
0%20%40%60%80%
100%
Meta WEG 100% 100% 100% 100% 100% 0%
Situação Atual 100% 50% 67% 33% 11% 0%
Nível 0 Nível 1 Nível 2 Nível 3 Nível 4 Nível 5
Recomendações
- Definir um processo formal de gerenciamento de projetos com objetivos técnicos e de negócio bem definidos e que conte com o envolvimento da administração do negócio. Este processo deve exigir lições aprendidas e métricas formais e padronizadas dos projetos, que devem ser revistas após a conclusão dos projetos.
- Aplicar o processo de gerenciamento de projetos por toda a organização e não apenas na TI.
- Considerar os requisitos dos clientes e a gerência de usuários ao tomar decisões críticas. - Estabelecer um escritório de gerência de projetos dentro da TI, com papéis e
responsabilidades definidas. - Monitorar os projetos de TI, com milestones, cronogramas, orçamento e medidas de
desempenho definidas e atualizadas. - Implementar uma estrutura de organização de projetos com papéis, responsabilidades e
critérios de medidas de desempenho documentados. - Definir e aplicar consistentemente procedimentos de garantia de qualidade e atividades
de pós-implementação dos projetos. - Gerenciar os projetos como portfólios. - As melhorias no processo de gerência de projeto devem ser formalizadas e comunicadas
com os membros da equipe de projeto treinados em mudanças. - Medir e controlar os valores e os riscos antes, durante e após a conclusão dos projetos. - Aplicar um treinamento em gerência de projetos para a equipe de funcionários do
escritório de gerência de projetos como também para pessoas da área de TI.
78
Leitura do gráfico O gráfico apresenta a conformidade da WEG com os requisitos do Cobit para o processo PO9 –
Avaliar e Gerenciar os Riscos de TI. Nele, observamos 100% de conformidade no nível 0, 50% no nível 1, 67% no nível 2, 33% no nível 3, 11% no nível 4 e 0% no nível 5.
Com base nos resultados encontrados, concluímos que para o processo PO10 o nível de
maturidade da WEG é 1 e o Nível Meta é 4. Além disso, podemos observar algumas iniciativas em níveis posteriores ao “oficial” encontrado. Para efeito de análise interna, mensuramos estas iniciativas calculando a Conformidade WEG. Este valor indica o quanto a WEG está aderente aos requisitos do Cobit para o processo PO10, e neste caso, é igual a 44%.
Não Conformidades
Nível 1 - Inicial/Ad Hoc:
- Há uma falta de compromisso da administração com a gerência de projetos e com a
“propriedade” dos projetos. - Decisões críticas na gerência de projetos são feitas sem levar em conta a gerência de
usuários e requisitos do cliente. - Não são definidos papéis e responsabilidades para a gerência dos projetos. - Projetos, programações e os milestones são mal definidos ou não definidos.
Nível 2 - Repetitivo mas Intuitivo:
- A organização está no processo de desenvolvimento e de utilização de algumas técnicas
e métodos projeto a projeto. - Há um envolvimento limitado dos stakeholders na gerência de projetos de TI
Nível 3 - Processo Definido:
- Projetos de TI são bem definidos de acordo com objetivos técnicos e de negócio
apropriados. - A administração sênior de TI e de negócios estão começando a ser comprometidas e
envolvidas na gerência de projetos de TI. - Um escritório de gerência de projetos é estabelecido dentro da TI, com papéis e
responsabilidades definidas. - Projetos de TI são monitorados, com milestones definidos e atualizados, cronogramas,
orçamento e medidas de desempenho. - Os procedimentos de garantia de qualidade e as atividades de execução do sistema
foram definidos, mas não são amplamente aplicados pelos gerentes de TI. - Projetos estão começando a ser gerenciados como portfólios.
Nível 4 - Gerenciado e Mensurável:
- A administração requer lições aprendidas e métricas formais e padronizadas dos projetos,
que devem ser revistas depois da conclusão do projeto. - A gerência de projetos é medida e avaliada dentre toda a organização e não apenas
dentro da TI. - Melhorias no processo de gerência de projeto são formalizadas e comunicadas com os
membros da equipe de projeto treinados em mudanças. - A gerência de TI tem implementado uma estrutura de organização de projetos com
papéis, responsabilidades e critérios de medidas de desempenho documentados. - Os critérios para a avaliação do sucesso foram estabelecidos para cada milestone. - Os valores e os riscos são medidos e controlados antes, durante e após a conclusão dos
projetos. - Há um suporte forte e ativo aos projetos por parte dos gerentes sênior bem como por
parte dos stakeholders.
79
- Um relevante treinamento em gerência de projetos foi planejado para a equipe de funcionários do escritório de gerência de projetos como também através do Departamento de TI.
80
6 CONSIDERAÇÕES FINAIS
A metodologia apresentada foi elaborada a partir da adaptação do modelo de
avaliação de maturidade proposto oficialmente pelo COBIT. Seguindo a cultura da
empresa, os trabalhos foram todos realizados internamente sem a ajuda de
consultoria externa.
De acordo com os objetivos estabelecidos no início do trabalho, a metodologia
proposta mostrou-se um importante instrumento para a avaliação dos processos de
TI, sendo possível, a partir de sua aplicação, executar um Gap Analysis dos
processos de TI em relação ao COBIT.
De forma geral, acredita-se que os objetivos propostos foram alcançados e, ao
que tudo indica, os resultados servirão de base para a implementação de novos
projetos relacionados à Governança de TI na WEG.
6.1 Limitações
Para o desenvolvimento do presente trabalho, foram identificadas as seguintes
dificuldades:
- Poucos cases públicos: Apesar de ser uma estrutura de domínio público,
geralmente as empresas optam por contratar consultorias para realizar o
mapeamento dos níveis de maturidade. Isso torna as metodologias de
mapeamento do COBIT pouco acessíveis.
- Falta de motivação: Inicialmente uma das principais dificuldades
encontradas foi a respeito da resistência das pessoas em cooperarem com
o trabalho. Percebeu-se que, por muitas vezes, essa resistência vinha do
81
pouco conhecimento sobre o tema e objetivos do trabalho. Buscando
amenizar essa dificuldade, antes de iniciarem-se os mapeamentos, foi
realizada uma reunião de sensibilização, que contou com a presença da
maioria dos envolvidos, inclusive o CIO e o coordenador do departamento
de sistemas de informação. Nesta reunião, comentou-se sobre a
necessidade estratégica da governança de TI, apresentou-se o COBIT
como ferramenta para atingir uma boa governança e os objetivos do
trabalho foram expostos. Além disso, com o andamento das reuniões de
mapeamento, por muitas vezes os requisitos do COBIT foram identificados
como novas oportunidades de melhoria para a WEG, e com isso um
crescente aumento do interesse dos envolvidos foi percebido.
- Valores de Respostas: Para simplificar o processo de mapeamento, optou-
se por uma resposta binária, com as opções: Verdadeiro ou Falso. Porém,
com o passar das entrevistas, percebeu-se que a melhor opção seria utilizar
os valores: Melhor, Igual ou Pior. Isso porque, com os valores Verdadeiro e
Falso, as sentenças respondidas com falso podiam causar ambigüidade, já
que uma determinada situação poderia ser falsa por ser melhor ou pior que
a situação atual. Quando este problema ocorreu, foi necessário fazer
observações e pontuar as sentenças manualmente.
- Tradução: Outra dificuldade encontrada foi quanto à falta de uma versão em
português do COBIT. Com isso, para facilitar o entendimento e não gerar
críticas, identificou-se a necessidade de traduzir os níveis de maturidade
dos processos. Provavelmente, esta foi a etapa do projeto que demandou
mais tempo, já que, por muitas vezes, o texto possui expressões técnicas e
82
ambíguas. Para não gerar polêmicas, as folhas de entrevista possuíam,
abaixo de cada nível traduzido, a versão original.
6.2 Sugestões para trabalhos futuros
Para dar continuidade ao presente trabalho, foram identificadas algumas
oportunidades de trabalhos futuros:
Acadêmicos:
- Aperfeiçoar a metodologia, aplicando fatores que permitam priorizar os
processos mapeados (Impacto, Urgência, Esforço, Custo).
- Avaliar ou desenvolver um software para aplicação da metodologia
proposta.
- Relacionar a metodologia com regulamentações, tais como a lei Sarbanes-
Oxley e a ISO-17799, visando dar suporte ao alcance de conformidade.
Para a Empresa:
- Aplicar os planos de ação propostos.
- Estabelecer indicadores, KPIs e KGIs, para mensurar o andamento dos
planos de ação dos processos.
83
REFERÊNCIAS BIBLIOGRÁFICAS
AMARAL, Luís Alfredo Martins do, VARAJÃO, João Eduardo Quintela. Planejamento
de Sistemas de Informação – Universidade de Minho/Portugal – FCA Editora, 2000.
ANSOFF, H. Igor, DECLERK, Roger P., HAYES, Robert L. (Org.) Do planejamento
estratégico à administração estratégica. São Paulo: Atlas, 1987.
ANSOFF, H. Igor. Estratégia empresarial. São Paulo: McGraw-Hill do Brasil, 1977.
BOAR, Bernard H. – Critical Steps for Aligning Information Technology with Business
Strategies. AT&T. Wiley 1994.
BORGES, Ana Paula Dornelles, Governança de TI: Um estudo de caso em uma
instituição financeira, Universidade do Vale do Rio dos Sinos – UNISINOS, 2005.
BRODBECK, Ângela Freitag – Alinhamento Estratégico entre Plano de Negócios e
Tecnologia da Informação: Um Modelo Operacional para Implementação –
Universidade Federal do Rio Grande do Sul – Tese de Doutorado, 2001.
BRODBECK, Henrique J. – Curso de Especialização em Gestão Empresarial,
Universidade Federal do Rio Grande do Sul – UFRGS, 2004.
CALVO, Mair Affonso Rangel (2006) , “Cobit: Modelo de Maturidade” -
http://www.madah.com.br/Cobit_Modelo_Maturidade.doc
CARVALHO, T. C. – “Falta a Chamada Governança de TI”,
http://www.itweb.com.br/colunista/artigo.asp?id=50613, 2004.
Department Justice Canadá - IT Process/Audit Gap Analysis;
FAGUNDES, E. M. - “Um Kit de Ferramentas para a Excelência na Gestão de TI”,
http://www.fagundes.com/artigos/cobit.html Agosto 2004.
84
FORTES, Waldyr Gutierrez - Planejamento Estratégico,
http://www.portaldomarketing.com.br/Artigos/Planejamento%20Estratgico.htm,
Novembro 2000.
GHERMAN, Marcelo, “Controles Internos - Buscando a solução adequada - Parte V”,
http://www.checkuptool.com.br/artigo_10.htm, Novembro 2005.
GRÜN, Roberto – Atores e Ações na Construção da Governança Corporativa
Brasileira – Revista Brasileira de Ciências Sociais/SP. 2003.
IBGC (Instituto Brasileiro de Governança Corporativa) - Código das Melhores
Práticas de Governança Corporativa -. Governança Corporativa,
http://www.ibgc.org.br.
ITGI (2000), “COBIT Managament Guidelines”, IT Governance Institute. 3rd Edition.
ITGI (2005), “COBIT Managament Guidelines”, IT Governance Institute. 4th Edition.
MINTZBERG, H. – The Rise and Fall of Strategic Planning. The Free Press (Division
of Macmillan Inc), USA, 1994.
OLIVEIRA, Djalma de Pinho Rebouças de. Estratégia empresarial - Uma Abordagem
Empreendedora. São Paulo: Atlas, 1991.
OLIVEIRA, José Maria. O Papel do Cobit na Governança de TI. Curso de
Especialização de MBA - Universidade Federal de Uberlândia. 2005.
PEDERIVA, Andrea - “The COBIT Maturity Model in a Vendor Evaluation Case”,
Information Systems Control Journal, Volume 3, 2003.
RABELO, S. M, SILVEIRA, J. M. – Estrutura de Governança e Governança
Corporativa. Unicamp/SP. 1999.
REZENDE, Denis Alcides – Alinhamento do Planejamento Estratégico da Tecnologia
da Informação ao Planejamento Empresarial – Tese de Doutorado – UFSC;
85
ROSSETO, C. R. Planejamento Estratégico e seu Desdobramento. Curso de
Extensão de Gestão Estratégica em Projetos. Universidade Federal de Santa
Catarina. 2000.
ROSSI, R. F. R – Modelo de Governança de TI para Organizações Brasileiras,
Universidade Federal de Santa Catarina - UFSC, Tese (Pós-graduação em
Engenharia da Produção), 2004.
SHINYASHIKI, Roberto – Alinhamento Estratégico, Revista Melhor, 2006.
http://revistamelhor.uol.com.br/textos.asp?codigo=10693
SILVEIRA, Alexandre Di Miceli. – Governança Corporativa, Desempenho e Valor da
Empresa no Brasil. Faculdade de Economia, Administração e Contabilidade – USP.
2002.
TORRES, N. A. Manual de Planejamento de Informática Empresarial. Makron Books,
SP, 1994.
VENKATRAMAN, N. IT-Enabled Business Transformation: From Automation to
Business Scope Redefinition. Sloan Management Review, Winter/1994.
WEG Equipamentos Elétricos. Site Institutional. www.weg.net. Acesso em Junho
2006.
86
Apêndice B:
Orientações Iniciais:
Para facilitar a compreensão do documento, apresentamos abaixo o modelo utilizado na formatação dos resultados finais dos processos Cobit. AA00 (Código do processo) – Nome do processo Cobit
Descrição oficial do processo encontrado no documento Cobit 4.0. Este texto geralmente
explica o que é o processo e apresenta os controles que a organização deve possuir para estar aderente ao processo. Resultados Finais Nível Atual – Valor oficial. Nível mais elevado a ter 100% dos requisitos atendidos pela WEG. 0 a 5
Nível Meta - Nível desejado para a WEG no Cenário 2010. 0 a 5
Conformidade WEG - Valor não oficial. Representa a aderência da WEG aos requisitos do Cobit para o processo em questão, observando cada nível de maturidade. 0 a 100%
Conformidade WEG - AA00
0%
20%
40%
60%
80%
100%
Meta WEG 100% 100% 100% 100% 100% 100%
Situação Atual 100% 100% 100% 100% 100% 100%
Nível 0 Nível 1 Nível 2 Nível 3 Nível 4 Nível 5
Plano de Ação Através da análise das Não Conformidades, um plano de ação é proposto para auxiliar a WEG a atingir o Nível Meta. Página 2 Leitura do Gráfico O gráfico apresenta a conformidade da WEG com os requisitos de cada nível do Cobit. Neste espaço, fazemos uma avaliação do gráfico e algumas conclusões a respeito dos resultados obtidos. Para efeito de análise interna, calculamos também a Conformidade WEG, que nada mais é do que a média dos requisitos do processo atendidos, ou seja, quanto a WEG está aderente aos requisitos do processo Cobit em questão. Este valor nos permite ter uma visão real e mais flexível da situação atual dos processos internos da WEG. Não Conformidades
São mostrados os requisitos de cada nível do processo que não obtiveram conformidade durante o mapeamento.
89