Línguas
Páginas
Legal
Universidade Federal do Rio de Janeiro
Escola Politécnica
Departamento de Eletrônica e de Computação
Análise de Maturidade de Processos de TI e Plano de Governança: Case em uma empresa de manufaturados
Autor:
_________________________________________________Leonardo Dias Martins
Orientador:
_________________________________________________Prof. Marcos Cavalcanti
Examinador:
_________________________________________________
Examinador:
_________________________________________________
UNIVERSIDADE FEDERAL DO RIO DE JANEIRO
Escola Politécnica – Departamento de Eletrônica e de Computação
Centro de Tecnologia, bloco H, sala H-217, Cidade Universitária
Rio de Janeiro – RJ CEP 21949-900
Este exemplar é de propriedade da Universidade Federal do Rio de Janeiro, que
poderá incluí-lo em base de dados, armazenar em computador, microfilmar ou adotar
qualquer forma de arquivamento.
É permitida a menção, reprodução parcial ou integral e a transmissão entre
bibliotecas deste trabalho, sem modificação de seu texto, em qualquer meio que esteja
ou venha a ser fixado, para pesquisa acadêmica, comentários e citações, desde3 que sem
finalidade comercial e que seja feita a referência bibliográfica completa.
Os conceitos expressos neste trabalho são de responsabilidade do(s) autor(es) e
do(s) orientador(es).
ii
À minha família.
AGRADECIMENTO
Agradeço sinceramente e primeiramente a meus familiares José Martins,
Sonia Regina, Luiza, Gustavo, Guilherme e Lúcia Helena, pelo apoio e pela presença
indiscutivelmente necessária ao longo de todo o curso; a todos os meus professores, que
tanto contribuíram para a minha formação, em especial ao Professor Marcos Cavalcanti,
pela orientação neste trabalho; ao coordenador Rezende, pela dedicação ao curso; ao
Ricardo O’Connor, Pedro Paulo Ornellas, Rafael Quinteiro, Rodrigo Augusto Gomes,
Rodrigo Maestrelli Leobons, Pedro Henrique Nunes, Bléia Campos e Carolina Belchior,
pela amizade e companheirismo incontestáveis desde o início do curso, e alguns desde o
início da escola; a meus amigos e companheiros de turma e de curso: Silvia Benza,
Thiago Castelló, Verônica Taquette, Victor Bursztyn, Marden, Ulysses, Rômulo
Fernandes, Fábio Fonseca, Daniel Pitthan, Vinícios Bravo, Carlos Pivotto, Gabriel
Gebara, Anselmo Lira, Igor Vaz, Jonas Dias, Pedro Esposito, Rafael Zuquim, Pedro
Paulo Rossi, Alexandre Ribeiro, Bernardo, Eric Couto, Jefferson Elbert, Rafael Santos,
Priscila Pechio, Gustavo Fernandes, e a todos aqueles que de alguma forma
contribuíram para a conclusão de cada etapa deste curso; aos amigos da Fluxo
Consultoria, em especial ao Rafael Junqueira que acompanhou de perto todo o período
como membro da empresa e sempre se postando como um grande amigo; aos amigos da
Bridge Consulting, em especial a Carlos Eduardo e Carolina Abrantes; e por fim, mas
não menos importante ao povo brasileiro que contribuiu de forma significativa à minha
formação e estada nesta Universidade. Este projeto é uma pequena forma de retribuir o
investimento e confiança em mim depositados.
iii
RESUMO
Segundo Cassio Dreyfuss, vice-presidente de pesquisas da Gartner, “do ponto de
vista do mercado, espera-se um aumento significativo da importância da Governança de
TI. Isso significa que haverá cada vez mais disponibilidade de diferentes ferramentas
que apoiem os modelos de governança. Significa também que os prestadores de serviço
adotarão modelos de governança cada vez mais sofisticados na prestação de serviços”.
Tendo isso em vista, este trabalho reúne informações relativas a um serviço
prestado pela empresa Bridge Consulting junto a uma grande empresa de
manufaturados, visando auxiliar a reestruturação da área de TI da última. Para tal, serão
apresentadas as principais atividades e a motivação para implementação de práticas de
Governança de TI em conjunto a uma visão da movimentação do mercado em relação a
essa nova tendência.
Palavras-Chave: Governança de TI, CobiT, ITIL, processos de TI
iv
ABSTRACT
According to Cassio Dreyfuss, vice president of research at Gartner, "from the
markets point of view, we expect a significant increase in the importance of IT
governance. This means that there will be increasing the availability of tools that
support different models of governance. It also means that service providers will adopt
more sophisticated governance models in service delivery. "
With this in mind, this document brings together information related to a service
provided by Bridge Consulting within a large manufacturing company, to assist the
restructuring of your IT area. This will present the main activities and motivation for
implementation of IT Governance practices together with a market vision of this new
trend.
Key-words: IT Governance, Cobit, ITIL, IT processes
v
SIGLAS
UFRJ – Universidade Federal do Rio de Janeiro
ITIL - Information Technology Infrastructure Library
Cobit - Control Objectives for Information and related Technology
TI – Tecnologia da Informação
PO - Planejar e Organizar
AI - Adquirir e Implementar
DS - Entregar e Suportar
ME - Monitorar e Avaliar
BSC – Balanced Scorecard
SLA – Service Level Agreement
SEC – Securities and Exchange Commission
vi
Sumário
1 - Introdução....................................................................................................................12 - Governança Corporativa..............................................................................................4
2.1 – Governança Corporativa no Brasil.......................................................................52.2 – O Novo Mercado..................................................................................................7
3 - Governança de TI.......................................................................................................103.1 Mercado: O Cenário..............................................................................................13
4 - O Cobit 4.1.................................................................................................................195 - ITIL............................................................................................................................246 - Balanced Scorecard....................................................................................................277 - O Projeto....................................................................................................................29
7.1 - Apresentação do Projeto.....................................................................................297.2 - Alinhamento entre Estratégia de Negócio e Estratégia de TI.............................307.3 Mapeamento dos processos críticos da TI.............................................................37
7.3.1 - PO5 – Gerir o Investimento de TI................................................................407.3.2 - PO10 – Gerenciar Projetos...........................................................................417.3.4 - AI2 e AI3 – Adquirir e Manter Sistemas e Infraestrutura............................427.3.5 - AI6 – Gerenciar Mudanças..........................................................................427.3.6 - AI7– Homologar Soluções e Mudanças.......................................................437.3.7 - DS8 – Gerenciar a Central de Serviço e os Incidentes.................................437.3.8 - ME1 – Monitorar e Avaliar o Desempenho de TI.......................................44
7.4 Assessment de maturidade de processos e análise de gaps...................................447.4.1 Análise de Gap dos processos críticos............................................................477.4.2 Benchmarks....................................................................................................59
7.5 Plano de Governança.............................................................................................617.5.1 Macroprocesso................................................................................................617.5.2 Melhorias dos Processos Críticos...................................................................647.5.3 Roadmap de implantação...............................................................................71
7.6 Balanced Scorecard de TI......................................................................................747.6.1 Dashboard de Indicadores..............................................................................757.6.2 Objetivos Estratégicos....................................................................................767.6.2 Plano Hoshin..................................................................................................77
Conclusão........................................................................................................................79
vii
Lista de Figuras
Figura 1 - Ranking de estratégias de negócio..................................................................14Figura 2 - Contrinuição da TI para o negócio.................................................................15Figura 3 - Importância da TI na entrega da visão e estratégia de negócio......................16Figura 4 - Tendências na utilização de frameworks........................................................17Figura 5 - Modelo CobiT.................................................................................................20Figura 6 – Modelo ITIL...................................................................................................25Figura 7 – Visão BSC......................................................................................................27Figura 8 - Mudança de papel da TI.................................................................................34Figura 9 - Mapeamento de objetivos estratégicos de negócio da empresa com objetivos estratégicos genéricos do Cobit.......................................................................................35Figura 10 - Mapeamento objetivos de negócio para objetivos de TI Cobit....................36Figura 11 - Macroprocesso de Projetos...........................................................................42Figura 12 - Nível de Maturidade de um Processo de TI..................................................46Figura 13 – Modelo para avaliação de maturidade.........................................................46Figura 14 - Maturidade PO2............................................................................................47Figura 15 - Maturidade PO5............................................................................................48Figura 16 - Maturidade PO6............................................................................................49Figura 17 - Maturidade PO10..........................................................................................50Figura 18 - Maturidade AI2.............................................................................................52Figura 19 - Maturidade AI3.............................................................................................52Figura 20 - Maturidade AI6.............................................................................................53Figura 21 - Maturidade AI7.............................................................................................54Figura 22 - Maturidade DS2............................................................................................55Figura 23 - Maturidade DS5............................................................................................56Figura 24 - Maturidade DS8............................................................................................57Figura 25 - Maturidade ME1...........................................................................................58Figura 26 - Benchmark com empresas da América Central e Sul...................................60Figura 27 - Benchmark com empresas de manufaturas...................................................60Figura 28 - Overview dos níveis de maturidade da empresa...........................................61Figura 29 - Macroprocesso de TI....................................................................................63Figura 30 - Ilustração Service Desk ITIL........................................................................66Figura 31 - Processo de Service Desk.............................................................................68Figura 32 - Blocos de Implementação.............................................................................71Figura 33 - Roadmap de Implementação.........................................................................74Figura 34 - Dashboard de Indicadores.............................................................................76Figura 35 – BSC de TI.....................................................................................................77Figura 36 - Plano Hoshin.................................................................................................78
viii
Lista de Tabelas
Tabela 1 - Exemplo de empresas aderentes ao Novo Mercado.........................................9Tabela 2 - Exemplo de empresas aderentes ao Nível 1.....................................................9Tabela 3 - Exemplo de empresas aderentes ao Nível 2.....................................................9Tabela 4 - Objetos utilizados para mapeamento de processo..........................................39
ix
Capítulo 1
1 - Introdução
De acordo com Peter F. Ducker, presidente honorário da Drucker Foundation e
professor de ciências sociais da Claremont Graduate Califórnia, “... o aumento da
escassez de recursos de toda a ordem e a alta competitividade do mercado globalizado,
aliadas à transformação do comportamento da clientela e fornecedores, faz com que as
organizações se defrontem com novos cenários em seu ambiente de atuação em um
ciclo cada vez mais rápido”.
A afirmação acima demonstra todo o esforço feito pelas grandes organizações
para manter a perpetuidade de seu negócio. A transformação do comportamento da
clientela, citada acima, resulta no aumento da necessidade de rapidez, efetividade e
qualidade para a aceitação e apresentação de melhores condições de aquisição e
fornecimento por parte dos clientes e fornecedores, respectivamente. Com isso, temos
uma alteração no modus operandi da organização.
Com tais conceitos em vista, as organizações procuram uma metodologia
distinta para adaptar seus processos de gestão, medição e estabelecimento de metas de
uma maneira mais efetiva no que se refere à capacidade de resposta da organização as
mudanças apresentadas pelo mercado.
No contexto apresentado, notamos a Governança Corporativa aparecendo como
um método eficaz para atingir este objetivo uma vez que com ela, é possível a criação
de mecanismos tais como processos, práticas, políticas, normas e regulamentos que
auxiliem na gestão da empresa.
Em consequência dos grandes escândalos financeiros envolvendo empresas tais
como a Eron e a Worldcom, que mesmo não atingindo diretamente o mercado
brasileiro, foi o grande impulsionador da adoção dos princípios da governança nas
empresas. Tendo em vista também a grande importância estratégica da Governança
Corporativa, notamos que a mesma encontra-se em uma realidade no seu auge.
Portanto, o alinhamento da TI aos propósitos dos negócios e a observar como
um fator ativo passou a ser fundamental as organizações. Neste cenário, vemos a adoção
e melhoria dos processos de governança como prioridade estratégica para os
investimentos em 2011.
1
Conhecendo esse cenário, o presente trabalho abordará as atividades adotadas para
o começo da implementação de iniciativas de Governança de TI em uma grande empresa do
ramo de manufaturados.
O trabalho se limita a apresentar o que foi acordado no escopo do projeto e não
deve ser tido como um guia para implantação completa de Governança de TI. Nos
parágrafos seguintes será apresentada a estruturação desse documento, de modo a tornar
evidentes as limitações descritas.
A bibliografia consultada foi direcionada a embasar conceitos e contextualizar o
trabalho. Não foram feitas comparações entre autores. Procurou-se manter o foco na análise
do método e das dificuldades encontradas.
Se tratando de um projeto recente e que envolve informações confidenciais da
organização, o nome da mesma não será revelado e os dados utilizados serão fictícios,
mantendo o foco no método, como dito no parágrafo anterior.
No capítulo seguinte, conceitos de Governança Corporativa serão aprofundados,
apresentando como esses conceitos suportam o cenário apresentado neste capítulo.
A Governança de TI será abordada no capítulo 3, revisando conceitos e
apresentando frameworks e boas práticas para sua implantação. Além disso, será
apresentado o cenário atual da governança de TI, através de uma análise junto a 834
executivos de negócio e responsáveis de TI em suas corporações.
Nos capítulos seguintes serão detalhados os frameworks utilizados no projeto.
Portanto, no capítulo 4 será feita uma análise do CobiT 4.1 e no capítulo 5 será falado
sobre o ITIL V3.
No capítulo 6 mostrará como os conceitos presentes no Balanced Scoredcard
auxiliaram na definição dos indicadores de TI.
O capítulo 7 irá detalhar as etapas do projeto, bem como a metodologia
utilizada. Ele será divido em 5 sub tópicos:
(1) Alinhamento entre Estratégia de Negócio e Estratégia de TI
a) Entendimento dos Objetivos de Negócio;b) Definição dos Objetivos Genéricos de TI a partir do item (a);c) Definição dos Processos de TI críticos para o Negócio, a partir do item
(b).
(2) Mapeamento dos Processos de TI críticos;
a) Levantamento da situação atual (as is) dos processos priorizados
(3) Assessment de maturidade de processos e análise de gaps;
a) Método para levantamento de informação
b) Ferramenta utilizada para assessment
2
c) Definição da nota de maturidade para cada processo de TI
(4) Elaboração de um Plano de Governança;
a) Documento com boas práticas para atendimento dos gaps
identificados
(5) Elaboração do Balanced Scorecard de TI.
a) Definição de um visão de macro processo para TI
b) Definição de indicadores para os processos críticos
c) Definição de Objetivos Estratégicos para TI
d) Definição de uma ferramenta para controle de KPIs
3
Capítulo 2
2 - Governança Corporativa
Segundo Lodi (2000, apud SILVA, 2001, p. 42) a Governança Corporativa “... é
um novo nome para o sistema de relacionamento entre acionistas, auditores
independentes e executivos da empresa (liderado pelo Conselho de Administração)”.
Ainda segundo o autor, no que tange aos debates sobre o tema, o questionamento que
mais aparece é sobre o real papel da empresa: atender e gerar retorno financeiro aos
acionistas ou atender aos seus stakeholders, grupo composto por empregados,
fornecedores, clientes, cidadãos, etc., ou seja, as partes interessadas e afetadas (com
menos ou mais intensidade) pela organização? Tal discussão sobre governança
corporativa é fruto da tentativa de superar o conflito de agência dos gestores, resultado
da separação entre a propriedade e a gestão nas organizações. Dependendo da estrutura
apresentada na empresa, esse conflito de interesses pode assumir diferentes
características.
Muito do que foi absorvido da Governança Corporativa nas empresas foi fruto
da imposição de novas exigências legais impostas por órgãos reguladores. Podemos
destacar a Lei Sarbanes-Oxley (ou Sox ou Sarbox) entre as mais novas legislações que
pressiona as empresas quanto ao cumprimento de normas fiscais e financeiras. Essa lei
foi criada nos Estados Unidos com o intuito de aperfeiçoar o controle sobre as empresas
que possuem capital na Bolsa de Valores de Nova Iorque, incluindo aproximadamente
70 empresas brasileiras.
A Governança Corporativa caracteriza-se por englobar conhecimentos de áreas
distintas tais como direito, economia e finanças. Seu estudo ganhou mais visibilidade a
partir da década de 80, inicialmente nos Estados Unidos e Grã-Bretanha. Segundo
Zingales (1998) o termo governança corporativa nem ao mesmo existia na literatura
referente à administração de empresas nos anos oitenta, demonstrando assim a
atualidade do tema em questão.
4
2.1 – Governança Corporativa no Brasil
A partir da década de 1990, quando iniciado o processo de abertura econômica
do país, viu-se aumentar a participação de investidores estrangeiros no capital das
empresas nacionais. Inicialmente, tal processo se deu através de investimentos dentro do
território nacional e posteriormente através da aquisição de ADR’s (American
Depositary Receipts), ou seja, os representativos das ações de companhias nacionais nas
bolsas americanas.
Uma vez inseridas nas movimentações das bolsas americanas, as empresas de
capital aberto brasileiras precisaram se submeter as regras estabelecidas pela SEC –
Securities and Exchange Commission, órgão regulador do mercado de capitais dos
Estados Unidos no que se refere a aspectos contábeis, transparência e divulgação de
informações, que podem ser vistos como princípios de governança corporativa.
Ainda nesse novo contexto, as companhias brasileiras iniciaram um contato com
avançadas práticas de relação com investidores, acionistas minoritários e analistas de
mercado aplicadas no mercado norte americano. Tais práticas obrigam as empresas a
buscar um aperfeiçoamento de suas políticas de divulgação de informações através, por
exemplo, da realização periódica de non deal roadshow e outras formas de divulgação
destas informações para os investidores.
A partir desta nova realidade, as companhias brasileiras passaram a se
relacionar com acionistas mais exigentes e sofisticados, já acostumados com práticas de
governança corporativa mais avançadas do que as presentes no mercado nacional.
O processo de privatização, iniciado nos anos 90, resultou no surgimento de
grandes empresas privatizadas que possuíam diversos grupos nacionais e estrangeiros
compartilhando seu controle, ou seja, vimos nesse momento a tendência do
aprimoramento das práticas de governança corporativa para adequação as exigências
dos investidores internacionais.
Podemos destacar alguns esforços institucionais e governamentais
implementadas nos últimos anos com o intuito de garantir a melhoria das práticas de
governança corporativa das companhias brasileiras, tais como:
• a aprovação da Lei nº 10.303/01: A Lei 10.303 de 31 de outubro de 2001
trouxe diversas modificações na Lei das Sociedades Anônimas (Lei nº 6.404 de 15 de
dezembro de 1976). Ela modificou 45 artigos e acrescentou mais 4. As modificações
5
mais relevantes no que se diz respeito à Governança Corporativa foram na modificação
de 15 artigos que vieram por acrescentar novos conceitos e condutas de Governança
Corporativa para as sociedades anônimas.
Os acionistas minoritários são analisados dentro deste contexto de mudanças e
busca-se entender a forma de adequá-los com a nova legislação para não deixá-los
desprotegidos. Também é vista a arbitragem que foi alterada pela Lei nº 10.303/01,
modificando o § 3º, art. 109 da Lei nº 6.404/76, que outorga às companhias a faculdade
de incluir em seus estatutos a previsão expressa, que submete os litígios societários à
apreciação da arbitragem como uma forma benéfica de assegurar maior proteção aos
investidores, e agilidade na solução dos litígios.
A Lei nº 10.303/01, não restaurou o princípio do tratamento igualitário contido
originalmente no art. 254, mas consagrou expressamente o princípio do valor
diferenciado de ações da mesma espécie. O art. 254-A em vez de obrigar o adquirente
do controle a estender aos minoritários as mesmas condições oferecidas pelo bloco de
controle determina que ele deva pagar aos minoritários preços no mínimo iguais a 80%
do valor pago por ação integrante do bloco de controle através de oferta pública de
compra.
• a criação do Novo Mercado e dos Níveis 1 e 2 de governança corporativa
pela Bolsa de Valores de São Paulo – Bovespa: Com o objetivo de reaquecer o
mercado, afetado pela crise do mercado acionário brasileiro no final da década de 1990,
a Bovespa cria o chamado Novo Mercado. Ele é caracterizado como um segmento
especial de listagem de ações de companhias que adotarem boas práticas de governança
corporativa. Com a necessidade de se adaptar a realidade do mercado acionário
nacional, dois estágios intermediários são criados: Níveis I e II, que somados ao Novo
Mercado assumem o crescente compromisso de adesão as melhores práticas de
governança corporativa. Esse Novo Mercado será detalhado no sub tópico seguinte.
• as novas regras de definição dos limites de aplicação dos recursos dos
Fundos de Pensão: As Entidades Privadas de Previdência Complementar (EPPC), mais
conhecidas como Fundos de Pensão possuem participação acionária nas principais
companhias de capital aberto no mercado brasileiro.
O Conselho Monetário Nacional, com intuito de incentivar as aplicações das
EPPC em empresas melhores alinhadas as boas regras de governança corporativa,
6
editou a Resolução 3.121, de 25 de setembro de 2003, dando permissão para que tais
entidades possam investir um percentual maior nas ações de companhias listadas nos
Níveis 1 e 2 e no Novo Mercado.
Através desta nova resolução, as EPPC são autorizadas a destinar até 35% dos
recursos aplicados em sua carteira de ação em mercados que não se enquadram aos
segmentos especiais. Caso os padrões de governança corporativa adotados do mercado
sejam de Nível 1, essas entidades podem destinar até 45% dos recursos e caso se
enquadre ao Nível 2 ou do Novo Mercado, está autorizado a destinar até 50% dos
recursos aplicados em sua carteira de ações.
2.2 – O Novo Mercado
Era notável a crise de grandes proporções que passava o mercado de acionário
brasileiro no final da década de 1990. O número de companhias na Bovespa havia
despencado de 500 no ano de 1996 para 440 no ano de 2001. Houve uma diminuição no
volume negociado na bolsa de US$ 191 bilhões em 1997 para US$ 101 bilhões no ano
2000 e apenas US$ 65 bilhões no ano de 2001. Notava-se também mais companhias
fechando o seu capital do que abrindo o mesmo.
Com o objetivo de mudar esse quadro e tentar reaquecer o mercado, a Bovespa
cria o chamado Novo Mercado. Tal mercado é caracterizado como um segmento
especial de listagem de ações de companhias que adotarem boas práticas de governança
corporativa. Com a necessidade de se adaptar a realidade do mercado acionário
nacional, dois estágios intermediários são criados: Níveis I e II, que somados ao Novo
Mercado assumem o crescente compromisso de adesão as melhores práticas de
governança corporativa.
A principal preocupação que serviu de guia a criação do Novo Mercado se deu
pela constatação de que a falta de proteção ao acionista minoritário, entre outros fatores,
contribui para a fragilidade do mercado de capitais nacional. Portanto, quanto maior o
grau de segurança dos direitos concedidos aos acionistas e a qualidade das informações
fornecidas pelas empresas, maior a valorização e a liquidez das ações destas no
mercado.
No cenário antigo que apresentava fraca proteção aos interesses dos acionistas
minoritários, os investidores tinham poder de barganha para exigir um deságio sobre o
7
preço da ação, causando a desvalorização no valor de mercado das companhias.
Portanto, é esperado que as empresas que conseguirem se adaptar e estiverem listadas
nos segmentos diferenciados de governança corporativa sejam capazes de diminuir esse
deságio sobre o preço da ação, uma vez que os riscos envolvidos foram minimizados e
por consequência implica na valorização do patrimônio de todos os acionistas.
As Companhias Nível 1 se comprometem a melhorar o fornecimento de
informações ao mercado e a dispersão acionária da companhia. As principais práticas do
Nível 1 são:
• Ao menos 25% do capital da empresa mantida em circulação;
• Ofertas públicas de ações que favoreçam a dispersão do capital da empresa;
• Maior controle e eficiência das informações aos acionistas prestadas
trimestralmente, incluindo a exigência de consolidação de dados e revisão especial;
• Divulgação eficiente de informações referentes a negociações de ativos e
derivativos de emissão da companhia por parte de acionistas controladores ou
administradores da empresa;
• Divulgação abrangente de acordos de acionistas e programas de stock options;
• Apresentação de um calendário anual de eventos corporativos;
• Apresentação das demonstrações do fluxo de caixa.
Para ser classificada como Companhia Nível 2, além da adequação as exigências
do Nível 1, a empresa e seus controladores adotam um conjunto mais amplo de práticas
de governança e de direitos adicionais para os acionistas minoritários. Os critérios de
listagem de Companhias Nível 2 são:
• Conselho de Administração deve possuir no mínimo cinco membros e ter um
mandato unificado de um ano;
• Balanço anual de acordo com as normas do US GAAP ou IAS;
• Garantia de que todos os acionistas que possuam ações ordinárias, em caso da
venda do controle da companhia, obtenham iguais condições aos controladores da
mesma. E para os acionistas com ações preferenciais, no mínimo 70% deste valor;
• Direito de voto às ações preferenciais em algumas matérias, como
transformação, incorporação, cisão e fusão da companhia e aprovação de contratos entre
a companhia e empresas do mesmo grupo;
8
• Obrigatoriedade de realização de uma oferta de compra de todas as ações em
circulação, pelo valor econômico, nas hipóteses de fechamento do capital ou
cancelamento do registro de negociação neste Nível;
• Adesão à Câmara de Arbitragem para resolução de conflitos societários.
O sucesso desse esforço da Bovespa pode ser notado pela crescente adoção das
companhias a estes segmentos especiais de Governança Corporativa, como indicado na
figura seguinte da relação de companhias listadas no mercado:
Tabela 1 - Exemplo de empresas aderentes ao Novo Mercado
9
Tabela 2 - Exemplo de empresas aderentes ao Nível 1
Tabela 3 - Exemplo de empresas aderentes ao Nível 2
10
Capítulo 3
3 - Governança de TIÉ possível perceber o desapontamento que muitas vezes aflige os altos executivos
quando o assunto se refere à tecnologia de informação e sua equipe de TI. Muitas
reclamações são feitas por parte desses executivos. Indagações tais como “Qual a saída
para o meu problema?”, “Não consigo gerenciar a área com o detalhamento suficiente
por não possuir conhecimento suficiente do assunto” e “A minha equipe de TI, embora
esforçados, não são capazes de entender os reais desafios do meu negocio” são questões
que se repetem com frequência entre diretores e gerentes de diversas empresas.
O mais comum que se ouve por parte destes executivos do alto escalão das
empresas é a respeito do baixo retorno financeiro obtido em comparação ao
investimento necessário para a implementação dessa tecnologia. Para piorar, parece que
cada vez mais aumenta a lista de novas tecnologias descritas como fundamentais para a
TI e isso acarreta no aumento da porcentagem do orçamento que precisa ser investido
em TI por parte das companhias, agravando a frustração por parte dos executivos.
Muitas pesquisas indicam que realmente grande parte das empresas não é capaz
de tirar vantagem de maneira eficaz do investimento feito em TI. As empresas que
conseguiram gerenciar com maior eficácia tais investimentos, obtem até 40% mais
retorno do que as que não possuem tal capacidade.
No entanto, empresas dos mais variados setores dependem da TI para a
realização de muitas de suas operações, demonstrando o importante papel da tecnologia
nos negócios. A Tecnologia da Informação (TI) vem se tornando não apenas uma
despesa significativa, mas também um de seus principais ativos. Tal fato é comprovado
pela ampla adoção desta tecnologia no nível estratégico e operacional das empresas.
Cada vez mais as empresas têm instituído diferentes mecanismos, de maneira a
envolver e conscientizar os executivos de negócios no que se refere às tomadas de
decisão em TI, uma vez que é notável o crescente volume de investimentos e impacto
que tais decisões em TI têm nos negócios. Embora já percebida como um dos principais
ativos das empresas atuais, as decisões relacionadas à adoção, implantação e
11
gerenciamento continuam com um alto grau de complexidade. Ainda existe um grande
questionamento por parte dos executivos sobre os reais benefícios trazidos pelos
investimentos em TI. Existem diversas discussões a respeito do risco envolvido no
investimento em TI. Diversos exemplos de investimentos em projetos de tecnologia
podem ser facilmente encontrados. Sistemas que mesmo contando com a especificação
de suas características desde o planejamento, jamais foram concluídos. Vemos também
casos de sistemas que foram concluídos, porém, boa parte de suas funções
originalmente especificadas não estão presentes, isso sem contar os projetos que
estouraram a verba e/ou o tempo originalmente estabelecidos. Podemos exemplificar
com casos de fracassos de empresas ao adotar sistemas como CRM (Customer
Relationship Management) e o ERP (Enterprise Resource Planning) em grande escala.
Ao contrário do que se imagina, os fracassos não são resultado da complexidade
tecnológica envolvida na implementação de tais sistemas, mas sim pela falta de
percepção que a adoção de tais sistemas são um desafio para o negócio como um todo e
não somente no âmbito tecnológico. Portanto, não foi dada a devida atenção pelas
modificações nos processos organizacionais e de negócios que os sistemas exigem.
Ainda pode ser considerada uma incógnita o real efeito dos grandes
investimentos ocorridos na área de tecnologia. Tal fato se deve ao multifacetado e
complexo relacionamento entre a TI e o desempenho organizacional que dificulta
mensurar o impacto financeiro destes investimentos.
Willcocks e Lester (apud LIN; PERVAN, 2001) apontam três justificativas pelas
quais a identificação e a avaliação do impacto organizacional da TI são prejudicadas:
(1) Muitos executivos acreditam que não existe uma solução viável para esse problema,
mas por razões competitivas, percebem que não podem deixar de investir em TI, mesmo
que não encontrem uma justificativa economicamente plausível, além disso, (2) como a
infraestrutura de TI se torna uma parte inseparável dos processos e da estrutura da
organização torna-se difícil separar o impacto proporcionado pela TI das demais
atividades da organização, e (3) a existência de uma lacuna na identificação e
compreensão dos custos, benefícios e riscos envolvidos nas diferentes tecnologias
adotadas que dificulta a visualização do retorno delas.
A TI tem o poder de modificar a maneira como a produtividade é utilizada pela
empresa, mas ela sozinha não é capaz de aumentar a produtividade da companhia.
Segundo Ward, Taylor e Bond, o que a TI faz é disponibilizar oportunidades para
diferentes benefícios, a forma e a extensão com que esses benefícios serão alcançados
12
vai depender de como a organização gerencia e utiliza sua tecnologia aplicada ao
negócio.
Com intuito de reduzir seus riscos e obter vantagem competitiva, nota-se no
mercado a crescente terceirização dos serviços prestados pela TI.
No entanto, como explicitado por Carlos Eduardo Carvalho, sócio diretor da
empresa Bridge Consulting, “a terceirização não só dos serviços de TI, mas dos serviços
habilitados por TI trouxe uma mudança de paradigma para as organizações que se veem
agora com a missão de gerenciar as entregas de seus fornecedores para atingirem os
resultados esperados com a terceirização”.
Em face às dificuldades percebidas, desponta o recente conceito de Governança
de TI, que aparece com o objetivo de garantir que o montante investido em TI realmente
esteja agregando valor à organização. Além disso, também é impulsionada pelas novas
exigências dos órgãos reguladores, a lei Sarbanes-Oxley, citada anteriormente, por
exemplo.
A Governança de TI mostra-se uma importante ferramenta para justificar e
aperfeiçoar os investimentos realizados em TI. Portanto, a área de tecnologia da
informação fica com a incumbência de cobrir todos os aspectos de segurança e controle
das informações digitais da empresa, devendo desenhar processos de controle das
aplicações para assegurar a confiabilidade do sistema operacional, a veracidade dos
dados de saída e a proteção de equipamentos e arquivos. Para tal, os CIOs precisam
rever todos os processos internos desde a maneira de desenvolver sistemas até as áreas
de operação de computadores. É necessário também estimular a conscientização dos
usuários quanto à importância da segurança e cuidados na manipulação das
informações.
A Governança de TI engloba a aplicação de princípios da Governança
Corporativa para gerenciar a TI de forma estratégica. Ela busca o alinhamento
estratégico entre o negócio e a TI para aumentar valor proporcionado pela mesma à
organização e pela definição dos responsáveis na organização pela tomada de decisões
relativas a TI e que elas sejam diretamente ligadas ao negócio a fim de diminuir os
riscos relacionados a TI.
Desse modo, o ITGI define a Governança de TI como “... uma parte integral da
Governança Corporativa e é formada pela liderança, estruturas organizacionais e
processos que garantem que a TI sustenta e melhora a estratégia e objetivos da
organização”.
13
Dentro deste âmbito, se enquadra a adoção de modelos de referência e melhores
práticas de TI. A adoção de melhores práticas para a TI tem sido impulsionada pela
necessidade de uma gestão mais efetiva da qualidade e da segurança de TI alinhada aos
negócios, para se adaptar ao crescente número de requisitos regulatórios e contratuais e
também para obter soluções mais eficazes com mais agilidade.
Nos capítulos seguintes serão apresentados os modelos de referência utilizados
no projeto estudado.
Portanto, tendo em visto o cenário descrito acima, podemos justificar a
importância de se investir em governança de TI através dos seguintes pontos:
A cada vez mais se apresenta como um papel estratégico nas
organizações, porém ainda não se consegue obter o valor prometido
pelas iniciativas de TI;
A terceirização está cada vez mais presente no cenário de TI, trazendo
novos paradigmas técnicos e gerencias para as organizações.
Exigências regulatórias estão cada vez mais presentes no universo
organizacional da TI
O uso de modelos de referência de TI é cada vez mais crescente e
organizações buscam cobrir seus gaps de competência balizando-se
nesses frameworks.
3.1 Mercado: O Cenário
Muitas empresas ainda não são capazes de entender o conceito de Governança
de TI, em outras, tal conceito ainda encontra-se em fase de amadurecimento. Este
trabalho toma como ideia fundamental de que as empresas que melhor gerenciam a
estrutura de Governança de TI apresentam um desempenho superior do que a média do
seu mercado atuante.
O Gartner divulgou em um de seus reports do início do ano de 2011 alguns
resultados originados de uma pesquisa feita com 2014 CIOs oriundos de 38 setores
diferentes e incluindo 50 países (entre eles o Brasil).
A figura abaixo mostra as estratégias de negócio que estarão no centro da
atenção dos CIOs no período entre os anos de 2011 e 2014 e também demonstra o
histórico das pesquisas desde o ano de 2008.
14
Figura 1 - Ranking de estratégias de negócio
O apoio ao crescimento do negócio é a principal meta para a TI em 2011.
Portanto, é notório o aumento de sua importância estratégica dentro das companhias.
Segundo Gartner, as empresas “digitais” do futuro terão boa parte de suas receitas
geradas através de serviços e produtos oferecidos online ou outras tecnologias da
informação e não mais apenas tentar reforçar sua presença na web como é visto
atualmente.
A relevância dada à estratégia “melhoria das operações da empresa”, que será o
segundo maior foco entre os CIOs em 2014, vem para reforçar esta tendência
anteriormente citada. Com isso, a TI pode ver deslocada sua posição de suporte aos
processos internos da organização, para ter uma atuação significativa na atividade fim
da empresa. Tal mudança se daria pela obtenção de receita via web, que colocaria a TI
na linha de frente no que diz respeito à responsabilidade do sucesso dos negócios da
companhia.
É necessário o aumento da maturidade de gestão e governança da tecnologia da
informação para sustentar a evolução da mesma no papel estratégico das organizações.
A falta de processos, definição de responsabilidades e controles bem definidos, dentre
15
outras disciplinas de gestão, está pondo em jogo a saúde e sobrevivência da empresa no
mercado.
A PricewaterhouseCoopers foi contratada pelo ITGI para realizar uma pesquisa
sobre Governança de TI em diversas empresas, com o intuito de elaborar a quarta
edição do GEIT (Global Status Report on the Governance of Enterprise IT).
Esta pesquisa entrevistou 834 executivos de negócio, cobrindo 21 países
(incluindo China, República Tcheca, Holanda, França, Alemanha, Japão, Russia etc.),
10 tipos de indústrias e grandes e pequenas empresas.
Podemos destacar em primeiro momento é a avaliação no que se refere à
contribuição da TI para os negócios.
Figura 2 - Contrinuição da TI para o negócio
Realizando uma síntese do gráfico, pode-se perceber que:
1) Percebe-se um padrão nas respostas das empresas entrevistadas. Na maioria
requisitos apresentados, que são fundamentais para criação de valor em TI
(compliance, agilidade às mudanças de negócio, suporte às estratégias, etc.),
temos um padrão de 50% de empresas que concordam sobre a contribuição
da TI para essa criação de valor.
16
2) Vemos também um padrão de cerca de 30% das empresas que concordam
totalmente sobre a contribuição da TI nos requisitos apontados pela pesquisa.
3) Por fim, nota-se um padrão de cerca de 20% de empresas discordam
totalmente ou apenas discordam sobre a contribuição que a TI tem sobre os
negócios das empresas.
Sobre os resultados, podemos analisar sob diferentes horizontes.
Apesar de crescimento apresentado na contribuição da TI para obtenção de valor
e alinhamento da mesma com os resultados dos negócios, notamos que apenas um terço
das empresas entrevistadas concorda totalmente que a TI desempenha tal papel. Além
disso, um quinto das empresas entrevistadas não consegue atribuir a TI essa
contribuição a seus negócios.
Sob o aspecto da melhoria continua este gráfico mostra que há oportunidade
para mudança dos resultados para “concordo totalmente”. Para alcançar esse objetivo é
necessário que as empresas que ainda não conseguem se utilizar da TI de uma maneira
que venha a agregar valor de forma mais significativa, superar os desafios aqui
apresentados.
A propensão indica que a TI é percebida como um importante recurso de
criação de valor e suporte à estratégia do negócio.
Figura 3 - Importância da TI na entrega da visão e estratégia de negócio
17
O gráfico apresentado logo abaixo, apresenta uma inclinação, nos anos de 2006
até 2010, na adoção de frameworks para da Governança de Tecnologia da Informação.
Podemos destacar a utilização do ITIL® por 28% das empresas como fonte de melhores
práticas para seus processos de TI.
Figura 4 - Tendências na utilização de frameworks
É válido lembrar que o ITIL® não é um modelo de referência voltado
especificamente para a Governança de TI (seu principal foco é a Gestão de Serviços de
TI). No entanto, sua visão estratégica da área de TI e sua base de modelos orientada a
processos de negócio tornam possível à estruturação da lógica de tomada de decisões,
alocação de papéis e responsabilidades para a TI, atribuições essas que são
características da Governança.
Nota-se também que existe utilização de mais de um framework em conjunto
pelas empresas, uma vez que a soma dos percentuais, no ano de 2010, soma mais de
cem por cento.
Cada organização deve adaptar a estratégia e seus processos de TI com intuito
de aumentar as chances de gerar diferenciais competitivos. Portanto, os frameworks
18
devem ser vistos como importante fonte de estruturação das praticas da organização e
não como fim a ser buscado cegamente.
Pode ser que a utilização de modelos de referência distintos se mostre como um
caminho viável para obter este diferencial competitivo através da TI. No entanto, deve-
se ter cuidado para que esses modelos diferentes sirvam para suprir pontos de vistas que
não estejam bem esclarecidos em outro modelo. Caso contrário, essa utilização de
diferentes modelos podem gerar pontos conflitantes, comprometendo o resultado final
desejado. Essa implementação em conjunto será aprofundada na descrição do projeto,
no capítulo 7.
19
Capítulo 4
4 - O Cobit 4.1
Para entendimento da metodologia utilizada, este tópico irá apresentar uma
breve descrição do framework que será utilizado ao longo do projeto.
A primeira edição do CobiT® (Control Objectives for Information and Related
Technology) foi lançada em 1996, pelo órgão ISACF (Information Systems Audit and
Control Foundation). Em 1998 foi publicada a segunda edição, com objetivos de
controle revisados e novo conjunto de ferramentas e padrões para implementação. A
terceira edição foi publicada pelo ITGI ( IT Governance Institute) em 2000, evoluindo o
modelo, com uma série de novos detalhamentos, promovendo um melhor entendimento
e adoção dos princípios de governança em TI.
Atualmente, o modelo encontra-se na edição 5.0, no entanto, a versão utilizada
no projeto foi a 4.1 e o estudo será focado nela. A versão utilizada apresenta orientações
sobre análise de desempenho, diretrizes de performance e formas de medir os resultados
da implantação. Também foram incluídos objetivos aprimorados para controle de
gerenciamento e diretrizes atualizadas sobre cumprimento de políticas internas e
exigências contratuais. Estabelecido no mercado, o CobiT abrange práticas
internacionalmente aceitas.
Outro diferencial do modelo é a quantidade de produtos agregados a seu
framework, como o CobiT Security Baseline, o CobiT Control Practices e o CobiT
Online, que permite benchmarking a partir da visualização dos níveis de maturidade do
mercado. Cada usuário do CobiT Online possui um perfil baseado na região geográfica,
porte da organização e mercado. Os níveis de maturidade são associados a essas
informações, permitindo que comparações segundo diferentes critérios sejam feitas.
Com isso, é possível cadastrar a pontuação da organização, compará-la a partir das
informações disponíveis e avaliar a importância dos processos, dos objetivos de controle
e da utilização das métricas. O CobiT funciona como uma entidade de padronização e
estabelece métodos documentados para nortear a área de tecnologia das empresas,
incluindo qualidade de software, níveis de maturidade e segurança da informação.
20
Os documentos do CobiT definem Governança Tecnológica como sendo “uma
estrutura de relacionamento entre processos para direcionar e controlar uma empresa de
modo a atingir objetivos corporativos, através da agregação de valor e risco controlado
pelo uso da tecnologia da informação e de seus processos”.
Figura 5 - Modelo CobiT
21
Fazem parte do modelo 34 processos genéricos, agrupados em 4 domínios,
descritos abaixo. Com essa estrutura, o CobiT propõe uma forma de gerenciar os
recursos de TI (aplicativos, informações, infraestrutura e pessoas) de maneira a fornecer
informações relevantes ao atendimento dos objetivos de negócio e da governança
seguindo critérios de informação definidos (efetividade, eficácia, confidencialidade,
integridade, disponibilidade, conformidade, confiabilidade).
Planejar e Organizar (PO)
Este domínio cobre a estratégia e a tática e procura identificar a melhor maneira
da TI atingir os objetivos do negócio. O planejamento, a comunicação e o
gerenciamento devem ser contemplados por diversas perspectivas para uma gestão
estratégica eficiente.
Adquirir e Implementar (AI)
É preciso identificar, desenvolver ou adquirir, implementar e integrar as
soluções de TI aos processos para que a TI torne-se alinhada aos objetivos de negócio.
Além disso, o domínio cobre alterações e manutenções nos sistemas existentes para
assegurar que as soluções continuem a atender aos objetivos do negócio.
Entregar e Suportar (DS)
Este domínio abrange a entrega dos serviços acordados, o que inclui a entrega do
serviço, gerenciamento da segurança e continuidade, serviços de suporte para os
usuários e o gerenciamento de dados e recursos operacionais.
Monitorar e Avaliar (ME)
Este domínio trata da avaliação periódica de todos os processos da TI para
assegurar a qualidade e a aderência aos requisitos de controle. Aborda também o
gerenciamento de performance, o monitoramento dos controles internos, a aderência
regulatória e a governança.
Além dos quatro domínios que guiam o bom uso da tecnologia da informação na
organização, existem também questões ligadas à auditoria que permitem verificar,
através de assessments, o nível de maturidade dos processos de TI. O método proposto é
baseado no Capability Maturity Model (CMM).
22
A vantagem de uma abordagem de modelo de maturidade é a relativa facilidade
de os gerentes colocarem-se a si mesmos em uma escala e avaliar o que está envolvido
no aprimoramento da performance, se necessário. As escalas incluem o 0, pois é
possível que um processo não exista de fato. A escada de 0 a 5 é baseada em uma escala
simples de maturidade, demonstrando como um processo evolui de capacidade
inexistente para capacidade otimizada. Os níveis de maturidade são descritos abaixo:
0 Inexistente – Completa falta de um processo reconhecido. A empresa nem
mesmo reconheceu que existe uma questão a ser trabalhada.
1 Inicial / Ad hoc – Existem evidências que a empresa reconheceu que existem
questões e que precisam ser trabalhadas. No entanto, não existe processo padronizado;
ao contrário, existem enfoques Ad Hoc que tendem a ser aplicados individualmente ou
caso-a-caso. O enfoque geral de gerenciamento é desorganizado.
2 Repetível, porém Intuitivo – Os processos evoluíram para um estágio onde
procedimentos similares são seguidos por diferentes pessoas fazendo a mesma tarefa.
Não existe um treinamento formal ou uma comunicação dos procedimentos
padronizados e a responsabilidade é deixada com o indivíduo. Há um alto grau de
confiança no conhecimento dos indivíduos e consequentemente erros podem ocorrer.
3 Processo Definido – Procedimentos foram padronizados, documentados e
comunicados através de treinamento. É mandatório que esses processos sejam seguidos;
no entanto, possivelmente desvios não serão detectados. Os procedimentos não são
sofisticados mas existe a formalização das práticas existentes.
4 Gerenciado e Mensurável – A gerencia monitora e mede a aderência aos
procedimentos e adota ações onde os processos parecem não estar funcionando muito
bem. Os processos estão debaixo de um constante aprimoramento e fornecem boas
práticas. Automação e ferramentas são utilizadas de uma maneira limitada ou
fragmentada.
5 Otimizado – Os processos foram refinados a um nível de boas práticas,
baseado no resultado de um contínuo aprimoramento e modelagem da maturidade como
23
outras organizações. TI é utilizada como um caminho integrado para automatizar o
fluxo de trabalho, provendo ferramentas para aprimorar a qualidade e efetividade,
tornando a organização rápida em adaptar-se.
Embora uma capacidade apropriadamente aplicada já reduza riscos, a
organização ainda precisa analisar quais os controles necessários para assegurar que os
riscos sejam mitigados e que valor é obtido em linha com o apetite de risco e objetivos
de negócios. Esses controles são guiados pelos objetivos de controle do CobiT.
24
Capítulo 5
5 - ITIL
Como visto no capítulo 3, 28% das empresas disseram utilizar o ITIL na
pesquisa apresentada. Além disso, pôde-se concluir que muitas organizações fazem uma
utilização conjunta de diferentes frameworks.
Dessa maneira, além do CobiT explicado no último tópico, o projeto contou com
a utilização do ITIL como um guia de boas práticas para a definição do plano de ação.
O Information Technology Infraestructure Library (ITIL) é uma metodologia
desenvolvida pela Secretaria de Comercio do Governo Inglês (OGC) – Office of
Government Commerce. Essa ferramenta contou com a colaboração de consultores,
especialista e doutores para o desenvolvimento de práticas na gestão de TI que sejam
capazes de gerenciar a estrutura da mesma de maneira eficiente e eficaz de modo a
apresentar excelência nos níveis de serviço acordados com os clientes. Atualmente é um
modelo de referência para gerenciamento de processos de TI mais aceito no mercado.
O ITIL foi desenvolvido, originalmente pela CCTA (Central Computer and
Telecommunications Agency) e atualmente controlado pela OGC, para servir como guia
de melhores práticas por parte do Governo Britânico, mas foi percebida sua grande
utilidade em empresas dos mais diferentes setores e acabou por se tornar referência para
a Gestão de Serviços.
Apesar de o ITIL não ser voltado especificamente para a Governança de TI (seu
principal foco é a Gestão de Serviços de TI) a visão estratégica da área de TI e sua base
de modelos orientada a processos de negócio tornam possível à estruturação da lógica
de tomada de decisões, alocação de papéis e responsabilidades para a TI, atribuições
essas que características da Governança.
O ITIL tem como meta fornecer um modelo para gerenciamento dos serviços de
TI que forneça mais eficiência na gestão dos serviços de TI das empresas.
O ITIL também busca promover na empresa um entendimento no nível
estratégico entre as áreas de negócio e as áreas de TI das empresas. Para atingir esta
25
meta o ITIL fornece um conjunto de termos comuns, que deverão ser compreendidos
tanto pelos técnicos quanto pelos usuários.
O governo publicou a ITIL V3 no dia 30 de maio de 2007, atualizando alguns
conceitos mais antigos da ITIL V2 para o mundo moderno de TI e estruturando o
material sob títulos diferentes, o que resultou em uma publicação com cinco volumes
(daí o termo “biblioteca”), ao invés de dois como era na versão anterior. Os livros são
divididos de acordo com o ciclo de vida de um serviço e são apresentados a seguir:
Figura 6 – Modelo ITIL
• Estratégia de Serviços (Service Strategy): Neste livro é abordado
principalmente as estratégias, políticas e restrições sobre os serviços. Incluem também
temas como definição do valor do serviço, desenvolvimento de um business case,
portfólio de serviços, catálogo de serviços, gerenciamento de demandas, e
gerenciamento financeiro de TI.
• Design de Serviços (Service Design): Este livro engloba políticas,
planejamento e implementação. Baseia-se nos cinco aspectos primordiais de design de
26
serviços: disponibilidade, capacidade, continuidade, gerenciamento de nível de serviços
e outsourcing. Vemos também nesse volume informações sobre gerenciamento de
fornecedores e de segurança da informação.
• Transição de Serviços (Service Transition): O volume referente à
transição de serviços aborda a função de gerenciamento de mudança de longo prazo,
mais abrangente, e as práticas de liberação, levando em contra riscos, benefícios,
mecanismo de entrega e facilidade das operações contínuas dos serviços. Este livro
fornece atividades de processos e orientação para a transição de serviços no ambiente
corporativo. Os conceitos e a orientação neste volume incluem gerenciamento de
mudança organizacional e cultural, gerenciamento do conhecimento, sistemas de
gerenciamento de conhecimento de serviço, métodos de liberação, teste etc.
• Operações de Serviços (Service Operations): As operações de rotina de
suporte são o assunto principal deste volume. Possui um foco principal em
gerenciamento de service desk (Central de Serviços) e requisições de serviços,
separadamente de gerenciamento de incidentes e de problemas.
• Melhorias Contínuas de Serviços (Continual Service Improvement): A
ênfase deste livro está nas ações PDCA (Plan, Do, Check, Action), de forma a detectar e
trabalhar em cima de melhorias contínuas dos processos detalhados nos quatro volumes
anteriores. Melhorias nesses aspectos também levam a serviços aprimorados aos
clientes e usuários.
27
Capítulo 6
6 - Balanced Scorecard
Na esfera da gestão estratégica, a ferramenta Balanced Scorecard é utilizada
como um sistema de controle que oferece suporte a elaboração do planejamento tático e
operacional da empresa. A ferramenta é baseada em indicadores que proporcionam a
companhia uma visão atual e futura do negócio, além de possuir um foco abrangente e a
possibilidade de controle dos objetivos planejados.
O Balanced Scorecard foi desenvolvido por David Norton e Robert Kaplan. Ela
se diferencia por se tratar de um método de medição de desempenho que se baseia em
dados que vão além dos dados financeiros, proporcionando uma gestão estratégica em
diversas áreas da empresa, buscando realizar metas estratégicas de longo prazo. Essa
ferramenta se utilizada de quatro perspectivas distintas (financeira, do cliente, processos
internos e de inovação e aprendizado) definindo objetivos a atingir e medindo a
performance da empresa de acordo com tais perspectivas.
Figura 7 – Visão BSC
28
O Balanced Scorecard nasceu do estudo chamado " Measuring Performance in
the Organization of the Future ", esse estudo foi impulsionado pela percepção de que
mensurar a performance de uma empresa apenas por seus indicadores financeiros estava
se tornando obsoleto uma vez que conflitos e deficiências de natureza organizacionais,
por exemplo, não eram detectadas por tais indicadores focados somente no âmbito
financeiro.
Para Kaplan e Norton, “O Balanced Scorecard é basicamente um mecanismo
para a implementação da estratégia, não para sua formulação [...] qualquer que seja a
abordagem utilizada [...] para a formulação de sua estratégia, o Balanced Scorecard
oferecerá um mecanismo valioso para a tradução dessa estratégia em objetivos, medidas
e metas específicos ...”.
29
Capítulo 7
7 - O Projeto
7.1 - Apresentação do Projeto
A Governança de TI é fator chave para que a empresa consiga manter o
alinhamento entre a estratégia de negócio e a estratégia de TI. Por meio da estruturação
de direitos de tomada de decisão e implantação de frameworks que garantam
conformidade com as melhores práticas internacionais, empresas que se preocupam em
governar a TI estão dando passos à frente da concorrência.
O desafio, todavia, é grande. Há diversos métodos e frameworks no mercado
que ditam “como” projetar e gerir processos. Há, nesse sentido, a necessidade de uma
competência organizacional para saber definir quais boas práticas trazem valor para a
empresa e “adaptar”, ao invés de “adotar” simplesmente.
O mercado vem apontando que empresas que conseguem lidar de forma
estruturada com a adaptação dos conceitos do ITIL®, CobiT®, ISO/IEC 20.000® (entre
outros) para promover o alinhamento às reais necessidades são aquelas que obtém maior
valor em iniciativas de Governança de TI.
Nesse sentido, a empresa de consultoria Bridge Consulting desenvolveu um
projeto para uma grande empresa do ramo de manufaturados visando, através dos
modelos de referências citados ao longo do documento, auxilia-la no inicio das
iniciativas de implementação de governança de TI.
Esse tópico irá apresentar o projeto em questão, através do detalhamento das
etapas, descrição dos entregáveis e análise da metodologia utilizada.
Vale ressaltar que algumas informações serão mascaradas devido ao contrato de
confidencialidade tratado entre a consultoria e a empresa.
O projeto de avaliação da maturidade da governança de TI frente ao CobiT
4.1® teve início em Novembro de 2011, com prazo de execução de aproximadamente 3
meses. Ele foi dividido nas seguintes etapas:
30
(1) Alinhamento entre Estratégia de Negócio e Estratégia de TI
a) Entendimento dos Objetivos de Negócio;b) Definição dos Objetivos Genéricos de TI a partir do item (a);c) Definição dos Processos de TI críticos para o Negócio, a partir do item
(b).
(2) Mapeamento dos Processos de TI críticos;
a) Levantamento da situação atual (as is) dos processos priorizados
(3) Assessment de maturidade de processos e análise de gaps;
a) Método para levantamento de informaçãob) Ferramenta utilizada para assessmentc) Definição da nota de maturidade para cada processo de TI
(4) Elaboração de um Plano de Governança;
a) Documento com boas práticas para atendimento dos gaps
identificados
(5) Elaboração do Balanced Scorecard de TI.
a) Definição de um visão de macro processo para TIb) Definição de indicadores para os processos críticosc) Definição de Objetivos Estratégicos para TId) Definição de uma ferramenta para controle de KPIs
7.2 - Alinhamento entre Estratégia de Negócio e Estratégia de TI
Hoje, o termo “Alinhamento Estratégico entre a TI e o Negócio” é muito citado
como a solução para diversas questões relacionadas à qualidade dos serviços entregues
pela TI. Porém, como atingir este alinhamento é uma questão pouco trivial. Esta questão
tem início durante o processo decisório sobre posicionamento da TI na organização, ou
seja, a escolha relacionada ao papel da TI na estrutura organizacional da empresa e toda
sua governança.
Vejamos o caso das concorrentes United Parcel Service (UPS) e FedEx. Ambas
divulgam gastos em TI de cerca de US$ 1 bilhão por ano, mas a FedEx, que tem um
faturamento anual de cerca de US$ 20 bilhões, tem apenas dois terços do porte da UPS.
No entanto, isso não representa que a TI tem um papel mais importante na Fedex do que
na UPS, mas apenas papeis diferentes. A estratégia de TI da UPS, que evoluiu de suas
raízes na engenharia industrial, enfatiza a geração de eficiências no setor, que exige
regularidade e confiabilidade. O ambiente centralizado e padronizado de TI da empresa
permite um serviço confiável ao consumidor a um custo relativamente baixo. Já a
31
FedEx se concentrou na flexibilidade para suprir as necessidades de uma clientela
diversificada. O custo mais elevado da abordagem descentralizada na gestão de TI é
contrabalançado pelos benefícios da inovação localizada e pela maior capacidade de
corresponder às necessidades do cliente. Portanto, não existe uma receita para o
alinhamento estratégico da TI com o negócio, como apresentado a cima, onde duas
empresas do mesmo ramo e concorrentes apresentam um papel diferente para a TI.
Mudanças constantes tanto nas tecnologias disponíveis no mercado quanto no
uso que a empresa faz da tecnologia ou mudanças na própria estrutura e organização da
empresa em si fazem com que seja necessária uma análise periódica sobre o papel que a
TI ocupa na organização para sempre posicioná-la da forma mais adequada.
Levando isso em consideração podemos afirmar, como já discutido
anteriormente, que empresas que possuem uma estrutura de Governança de TI eficaz
tomam melhores decisões e, historicamente, se diferenciam de seus concorrentes
obtendo maior retorno nos investimentos feitos em Tecnologia da Informação.
Para entender o papel da TI na empresa em estudo foi realizada uma reunião
com o Gerente de TI e o Especialista em Governança, a fim de entender quais os
objetivos e como a TI é vista pelo resto da empresa, e uma reunião com o Gerente de
Planejamento Financeiro, o qual apresentou o Balanced Scorecard da empresa,
explicitando os objetivos de negócio e os principais meios de medição.
Através da reunião de alinhamento da estrutura da área de TI e objetivos de
negócio da organização, pode-se traçar a situação atual da TI dentro da empresa.
Dentro do cenário apresentado, pode ser destacado a atual missão da TI e seus
objetivos.
Atualmente, a TI é vista na empresa de maneira distinta entre as áreas. Ela não
possui representatividade junto à diretoria, sendo vista como um centro de custo,
responsável pela parte operacional. Já parte da gerência e área de operações enxergam a
TI de uma maneira diferente, como capital intelectual, não suportando apenas
tecnicamente, mas participando, também, do desenvolvimento de soluções junto às
demais áreas de negócio..
Muitas das atividades da área são realizadas de maneira ad-hoc, sem processos
definidos. Como exemplo, pode-se destacar a criação de novos projetos. A partir da
identificação da necessidade, o início é informal e não estruturado. Aprovações e
assinaturas são recolhidas sem um processo padrão e definido, sendo avaliada somente a
adequação ao orçamento da TI.
32
O acompanhamento dos projetos também ocorre de maneira não estruturada.
Um documento não padronizado é elaborado, contendo o status dos projetos em
andamento e é enviado ao Diretor de Suprimentos e TI. No entanto, não existe uma
cultura de feedback de validação, estas ocorrem apenas em alguns casos.
As demandas de TI surgem, em sua grande maioria, horizontalmente, advindas
de necessidades operacionais. Raramente ocorrem demandas oriundas da diretoria,
Estas normalmente estão relacionadas a projetos maiores de TI, não havendo uma
estratégia corporativa de TI estruturada que guie as ações desta área ao longo do ano.
Entendendo o papel da TI dentro da empresa, foram destacadas duas principais
missões e objetivos básicos atendidos pela TI no cenário atual.
Dentre as missões, podemos destacar:
Manter a operação da organização
o Entregar e manter o básico de forma a facilitar o dia-a-dia e as
evoluções
o Manter os sistemas existentes em funcionamento e a
infraestrutura necessária
Atender às necessidades do negócio através de projetos entregues no
prazo, dentro do escopo e custo definidos e com a qualidade
esperada.
o Atender às necessidades de negócio que chegam até a TI com
soluções bem estruturadas
E os objetivos de TI podem ser divididos em quatro pilares:
Gerenciar Projetos
Gerenciar terceiros
Gerenciar sistemas
Ser um catalisador entre a TI e o negócio
Após a apresentação do cenário atual da TI, foi apresentada a visão de como a TI
quer ser vista na empresa. O Gerente de TI declarou que seu desejo é tornar a TI mais
do que apenas uma área que atenda bem pedidos e entregue projetos, mas sim uma área
que possua profissionais que participem do negócio, com o entendimento dos problemas
de negócio e com a proposição de soluções que atendam as necessidades do negócio,
33
dando opinião não só sobre TI, mas sobre os processos de negócio, fazendo com que a
TI seja mais proativa. Outro ponto importante ressaltado foi a reorganização dos
processos internos da TI, o que será alcançado através do presente projeto de melhoria e
estruturação da governança e dos processos da TI.
Dessa maneira, foram definidas novas missões e objetivos para TI:
Manter a operação da organização
o Entregar e manter o básico de forma a facilitar o dia-a-dia e as
evoluções
o Manter os sistemas existentes em funcionamento e a
infraestrutura necessária
Ser uma TI voltada ao negócio
o Ser capaz de compreender plenamente os processos de negócio e
entregar soluções completas visando a otimização destes.
A primeira missão foi mantida, tendo em vista que é prioridade no negócio
manter o operacional sempre em funcionamento. No entanto, a TI deixa de ter um papel
exclusivamente reativo junto às necessidades operacionais e passa a ter um papel
proativo junto aos objetivos de negócio.
Levando em conta a missão futura, foram reformulados os objetivos:
Excelência em gestão de processos
Redução de custo para o negócio
Gerenciar terceiros
Gerenciar sistemas
Ser um catalisador entre a TI e o negócio
Manter a disponibilidade e a resiliência dos serviços – Entregar serviços
de Qualidade e Qualidade nos Serviços
34
Figura 8 - Mudança de papel da TI
Entendendo o papel da TI e conhecendo os objetivos do negócio, foi utilizada a
metodologia apresentada no CobiT® para traçar objetivos de TI que se alinhem
diretamente com o BSC apresentado.
35
Através da proposta do CobiT, como procedimento inicial, os objetivos de
negócio presentes no BSC da organização foram generalizados em objetivos de negócio
apresentados pelo CobiT. Essa generalização foi feita em conjunto com Gerente de TI e
o Especialista em Governança e um exemplo da parametrização é apresentado abaixo:
Figura 9 - Mapeamento de objetivos estratégicos de negócio da empresa com objetivos estratégicos genéricos do Cobit
Entendendo os objetivos genéricos de negócio, foi utilizada a tabela de
alinhamento presente no CobiT para traçar os objetivos genéricos de TI que mais
impactavam os objetivos de negócio presentes no BSC da empresa.
36
Figura 10 - Mapeamento objetivos de negócio para objetivos de TI Cobit
E em conjunto com a análise feita pelo Gerente de TI e o Especialista em
Governança em cima dos objetivos genéricos de TI presentes no CobiT, foram
relacionados os objetivos de TI abaixo:
1. Responder aos requerimentos de negócios de maneira alinhada com a
estratégia de negócios.
2. Responder aos requerimentos de governança em linha com a Alta Direção.
5. Criar agilidade para TI.
7. Adquirir e manter sistemas aplicativos integrados e padronizados.
8. Adquirir e manter uma infraestrutura de TI integrada e padronizada.
11. Assegurar a integração dos aplicativos com os processos de negócios.
13. Assegurar apropriado uso e a performance das soluções de aplicativos e de
tecnologia.
20. Assegurar que transações automatizadas de negócios e trocas de informações
podem ser confiáveis.
21. Assegurar que os serviços e infraestrutura de TI podem resistir e recuperar-
se de falhas devido a erros, ataques deliberados ou desastres.
24. Aprimorar a eficiência dos custos de TI e sua contribuição para a
lucratividade dos negócios.
37
25. Entregar projetos no tempo certo dentro do orçamento e com os padrões de
qualidade esperados.
28. Assegurar que TI oferece serviços de qualidade com custo eficiente,
contínuo aprimoramento e preparação para mudanças futuras
Sabendo os objetivos de TI, pode-se extrair quais processos de TI seriam
responsáveis por alavancá-los. Foi possível mapear quais dos 34 processos presentes no
Cobit seriam responsáveis por auxiliar o atingimento dos objetivos genéricos de TI e
assim, determinar quais os processos críticos da TI em estudo:
PO2 - Definir a Arquitetura da Informação
PO5 - Gerenciar o Investimento de TI
PO6 - Comunicar Metas e Diretrizes Gerenciais
PO10 - Gerenciar Projetos
AI2 - Adquirir e Manter Software Aplicativo
AI3 - Adquirir e Manter Infraestrutura de Tecnologia
AI6 - Gerenciar Mudanças
AI7 - Instalar e Homologar Soluções e Mudanças
DS2 - Gerenciar Serviços Terceirizados
DS5 - Assegurar a Segurança dos Sistemas
DS8 - Gerenciar a Central de Serviço e os Incidentes
ME1 - Monitorar e Avaliar o Desempenho de TI
Portanto, foram definidos 12 processos críticos, sendo que 60% deles atende ao BSC da apresentado pela organização e 40% serão para reestruturação interna da TI.
7.3 Mapeamento dos processos críticos da TI
O objetivo desta etapa é mapear e desenhar os processos críticos de TI da
empresa na maneira que eles são executados atualmente. Devido a confidencialidade,
38
não será possível apresentar o desenho dos processos, no entanto, será apresentada a
metodologia utilizada para mapeamento.
Para o desenho do fluxo de atividades foi escolhida a ferramenta da Microsoft,
MS Visio.
O Visio é um aplicativo gráfico e de desenho que ajuda a visualizar, explorar e
comunicar informações complexas. Com o Visio, é possível transformar textos e tabelas
complicados e de difícil entendimento em diagramas do que comunicam rapidamente as
informações.
A ferramenta fornece formas e modelos modernos para um conjunto diverso de
necessidades de criação de diagramas, incluindo gerenciamento de TI, modelagem de
processos, construção e arquitetura, design de interface do usuário, gestão de recursos
humanos, gerenciamento de projetos e muito mais.
A escolha da ferramenta foi feita em conjunto entre a Bridge Consulting e o
Gerente de TI, e o Especialista em Governança de TI, uma vez que ambas as partes
possuem experiência com a ferramenta e licença para utilização da mesma.
A metodologia escolhida para modelagem é a EPC (Event-Driven Process
Chain). Este padrão é indicado para a estruturação da organização por processos,
explicitando os relacionamentos entre estratégia, pessoas, recursos, tecnologia, métodos
e processos de trabalho. Esta finalidade se assemelha ao objetivo deste projeto,
desenvolvido junto à TI e possibilita ações de melhoria a partir da identificação da
situação atual dos processos de negócio.
A metodologia EPC foi desenvolvida em uma colaboração da empresa IDS (que
desenvolveu a ARIS Toolset) com a SAP AG, sendo o componente chave de
modelagem de business process do SAP R/3. EPC é a sigla em inglês para Event Driven
Process Chain (Cadeia de Processos Dirigida por Eventos). Esse método é parte
simplificada do método ARIS usado para modelagem de processo e tem grande
aceitação no mundo. O EPC habilita a modelagem de processos como uma sequência
lógica de atividades.
Os objetos utilizados no mapeamento são mostrados abaixo:
39
Item Descritivo Símbolo
1 O processo de negócio inicia a partir de um evento de negócio. Os eventos são utilizados após todas as atividades de tomada de decisão durante o fluxo e ao final do fluxo, como um evento que marca o término do processo.
2 A atividade denota a função a ser seguida nesse passo, a ação que deve ser tomada.
3 Responsável pela execução da atividade.
4 O operador lógico “Ou exclusivo” define que somente um dos caminhos será seguido.
5 O operador lógico “E” define que ambos os caminhos acontecem em paralelo.
6 O operador lógico “OU” define que pelo menos um dos caminhos pode acontecer, exemplo: se houver três caminhos (subfluxos), um, dois deles ou três podem acontecer.
6 O Processo modelado pode definir um Evento de Negócio que deve ativar outro Processo de Negócio. Dessa maneira, é utilizado o símbolo de interface para representar essa situação.
Tabela 4 - Objetos utilizados para mapeamento de processo
Dentre os processos críticos, 4 não foram desenhados:
PO2 - Definir a Arquitetura da Informação
PO6 - Comunicar Metas e Diretrizes Gerenciais
DS2 - Gerenciar Serviços Terceirizados
40
DS5 - Assegurar a Segurança dos Sistemas
Para os processos apresentados acima, foi acordado que atualmente não existe
um processo ou práticas comuns definidas para eles. Os processos, normalmente, são
executados de forma diferente entre os profissionais de TI, onde cada um realiza
atividades e práticas de acordo com seu conhecimento e expertise. Esses processos
serão tratados posteriormente, durante o desenvolvimento de ações de melhoria.
Como dito no início do tópico, devido à confidencialidade, os processos
desenhados não serão apresentados. No entanto, abaixo segue a descrição de cada
processo crítico.
7.3.1 - PO5 – Gerir o Investimento de TI
O PO5 consiste em estabelecer e manter uma estrutura para gerenciar os
programas de investimentos em TI que contemple custos, benefícios, prioridade dentro
do orçamento, um processo formal de definição orçamentária e gerenciamento de
acordo com o orçamento. As partes interessadas são consultadas para identificar e
controlar os custos totais e os benefícios dentro dos contextos estratégicos e táticos da
TI e iniciar ações de correção quando necessário. O processo promove a parceria entre a
TI e as partes interessadas do negócio, permite o uso eficaz e eficiente dos recursos de
TI, provê transparência, atribui responsabilidade pelo custo total de propriedade (TCO,
Total Cost of Ownership), realização dos benefícios do negócio e do retorno sobre os
investimentos em TI.
A modelagem do processo de gestão de investimentos de TI foi dividida em
duas partes. A primeira representa o planejamento dos investimentos, que é feito
anualmente a partir de consultas tanto às áreas de negócio quanto à própria equipe de
TI, para que seja elaborado o orçamento de TI (Capex e Opex). A segunda se refere ao
surgimento de necessidades ao longo do ano que são tratadas caso a caso, a partir de
realocação de recursos ou de requisições por recursos extras.
41
7.3.2 - PO10 – Gerenciar Projetos
O PO10 consiste em estabelecer um programa e uma estrutura de gestão de
projeto para o gerenciamento de todos os projetos de TI. Essa estrutura deve assegurar a
correta priorização e a coordenação de todos os projetos. A estrutura deve incluir um
plano mestre, atribuição de recursos, definição dos resultados a serem entregues,
aprovação dos usuários, uma divisão por fases de entrega, garantia da qualidade, um
plano de teste formal e uma revisão pós-implementação para assegurar a gestão de risco
do projeto e a entrega de valor para o negócio. Esta abordagem reduz o risco de custos
inesperados e de cancelamentos de projeto, aperfeiçoa a comunicação, melhora o
envolvimento das áreas de negócio e dos usuários finais, assegura o valor e a qualidade
dos resultados do projeto e maximiza a contribuição para os programas de investimentos
em TI.
A modelagem do processo de gestão de projetos foi feita a partir dos processos
enviados pelo Especialista em Governança de TI. Foi feito o desenvolvimento de um
macroprocesso, apresentado a inter-relação entre os processos envolvidos na gestão de
projeto. Vale ressaltar que a Gestão de Projetos é uma disciplina complexa e sua
representação através de fluxos de processos (atividades) pode não ser rica o bastante
para representar “loopings” de decisão ou lições aprendidas, além de replanejamentos
que devem ser feitos quando uma etapa influencia nas atividades e decisões de etapas
anteriores.
Hoje existe um trabalho sendo executado na empresa pelo especialista em
governança para melhorar a gestão de projetos. Este trabalho já resultou em um manual
que está sendo finalizado. A Bridge trabalhou em conjunto com esta iniciativa para que
as sugestões de melhoria para a Governança possam estar alinhadas ao trabalho que está
sendo realizado para Gestão de Projetos. Para este primeiro momento, a representação
dos processos foi feita com algumas considerações:
O macroprocesso pode ser visto abaixo.
42
Figura 11 - Macroprocesso de Projetos
7.3.4 - AI2 e AI3 – Adquirir e Manter Sistemas e Infraestrutura
As aplicações devem ser disponibilizadas em alinhamento com os requisitos do
negócio. Este processo contempla o projeto das aplicações, a inclusão de controles e
requisitos de segurança apropriados, o desenvolvimento e a configuração de acordo com
padrões. Isso permite às organizações apoiarem de forma adequada as operações do
negócio com as aplicações corretas.
As organizações devem ter processos de aquisição, implementação e atualização
da infraestrutura de tecnologia. Isso requer uma abordagem planejada de aquisição,
manutenção e proteção da infraestrutura em alinhamento com as estratégias
tecnológicas acordadas e o fornecimento de ambientes de desenvolvimento e teste. Isso
assegura um apoio tecnológico contínuo às aplicações de negócio.
Os processos de aquisição de sistemas e aquisição de infraestrutura foram
consolidados em apenas um processo, tendo em vista que tanto a aquisição de um
sistema quanto a de infraestrutura seguem as mesmas atividades.
7.3.5 - AI6 – Gerenciar Mudanças
Todas as mudanças, incluindo manutenções e correções de emergência,
relacionadas com a infraestrutura e as aplicações no ambiente de produção são
43
formalmente gerenciadas de maneira controlada. As mudanças (incluindo
procedimentos, processos, parâmetros de sistemas e de serviço) devem ser registradas,
avaliadas e autorizadas antes da implementação e revisadas em seguida, tendo como
base os resultados efetivos e planejados. Isso assegura a mitigação de riscos de impactos
negativos na estabilidade ou na integridade do ambiente de produção.
7.3.6 - AI7– Homologar Soluções e Mudanças
Novos sistemas precisam ser colocados em operação uma vez concluído seu
desenvolvimento. É necessária a realização de testes apropriados em um ambiente
dedicado, com dados de teste relevantes, definição de instruções de implantação e
migração, planejamento de liberação e mudanças no ambiente de produção e uma
revisão pós-implementação. Isso assegura que os sistemas operacionais estejam
alinhados com as expectativas e os resultados acordados.
O processo de homologação se encerra com uma interface para o processo de
acompanhamento da aplicação. No entanto, esse processo ainda não está definido na
empresa em questão, sendo realizado de forma adhoc.
7.3.7 - DS8 – Gerenciar a Central de Serviço e os Incidentes
A resposta efetiva e em tempo adequado a dúvidas e problemas dos usuários de
TI requer uma central de serviço (service desk) e processos de gerenciamento de
incidentes bem projetados e implementados. Esse processo inclui a implementação de
uma central de serviços capacitada para o tratamento de incidentes, incluindo registro,
encaminhamento, análise de tendências, análise de causa-raiz e resolução. Os benefícios
ao negócio incluem aumento de produtividade por meio de resolução rápida dos
chamados dos usuários. Complementarmente, as áreas de negócio podem tratar as
causas-raiz (como treinamento deficiente de usuário), através de relatórios efetivos.
44
7.3.8 - ME1 – Monitorar e Avaliar o Desempenho de TI
A gestão eficaz de desempenho de TI exige um processo de monitoramento.
Esse processo inclui a definição de indicadores de desempenho relevantes, informes de
desempenho sistemáticos e oportunos e uma pronta ação em relação aos desvios
encontrados. O monitoramento é necessário para assegurar que as atividades corretas
estejam sendo feitas e que estejam em alinhamento com as políticas e diretrizes
estabelecidas.
Nesse processo é apresentado como é feito o monitoramento do desempenho da
TI, através do recebimento de diversos relatórios oriundos dos fornecedores e a
consolidação de tais informações em um único informativo.
7.4 Assessment de maturidade de processos e análise de gaps
O modelo de maturidade para o gerenciamento e controle dos processos de TI é
baseado em um método de avaliação da organização, permitindo a pontuação de um
nível de maturidade não existente (0) a otimizado (5). A legenda com o significado
genérico para cada nível de maturidade segue abaixo.
0 Inexistente – Completa falta de um processo reconhecido. A empresa
nem mesmo reconhece a existência de uma questão a ser trabalhada.
1 Inicial / Ad hoc – Existem evidências que a empresa reconhece que
questões precisam ser trabalhadas. No entanto, não existe processo
padronizado; ao contrário, existem enfoques Ad Hoc (sob demanda) que
tendem a ser aplicados individualmente ou caso a caso. O enfoque geral
de gerenciamento é desorganizado.
2 Repetível, porém Intuitivo – Os processos evoluíram para um estágio
onde procedimentos similares são seguidos por diferentes pessoas ao
realizar a mesma tarefa. Não existe um treinamento formal ou uma
comunicação dos procedimentos padronizados e a responsabilidade é
deixada com o indivíduo. Há um alto grau de confiança no conhecimento
dos indivíduos e consequentemente erros podem ocorrer.
45
3 Processo Definido – Procedimentos foram padronizados,
documentados e comunicados através de treinamento. É mandatório que
esses processos sejam seguidos; no entanto, possivelmente desvios serão
detectados. Os procedimentos não são sofisticados, mas existe a
formalização das práticas existentes.
4 Gerenciado e Mensurável – A gerência monitora e mede a aderência
aos procedimentos e adota ações onde os processos parecem não estar
funcionando muito bem. Os processos estão sob um constante
aprimoramento e fornecem boas práticas. Automação e ferramentas são
utilizadas de uma maneira limitada ou fragmentada.
5 Otimizado – Os processos foram refinados a um nível de boas
práticas, baseado no resultado de um contínuo aprimoramento e
modelagem da maturidade com outras organizações. A TI é utilizada
como um caminho integrado para automatizar o fluxo de trabalho,
provendo ferramentas para aprimorar a qualidade e efetividade, tornando
a organização rápida em adaptar-se.
O método empregado neste projeto utilizou o modelo específico fornecido pelo
CobiT (CobiT Maturity Model) para cada um dos 34 processos, avaliando o
cumprimento ou não dos requisitos listados para cada um dos níveis de maturidade.
O nível de maturidade para o processo é definido como aquele em que todos os
requisitos do nível em questão e dos níveis anteriores são cumpridos. Por exemplo, se o
nível de maturidade de determinado processo é 2, significa que os níveis 0, 1 e 2 são
completamente satisfeitos. Já o nível 3 ainda possui requisitos não cumpridos, que serão
explicitados na análise de gap.
46
Figura 12 - Nível de Maturidade de um Processo de TI
Para elaboração da análise de maturidade e entendimento dos processos de TI
foram realizadas entrevistas com o departamento durante 1 mês, passando pelos 34
processos previstos pelo Cobit 4.1. Nas entrevistas foram coletadas informações que
refletem a situação atual do processo na organização. Com isso, foram obtidas notas
individuais de maturidade para cada processo. Para tornar os resultados mais práticos e
de fácil entendimento, foi utilizada, neste relatório, uma estrutura padrão explicitada
abaixo.
Figura 13 – Modelo para avaliação de maturidade
47
Esses resultados, juntamente com o detalhamento das informações coletadas nas
entrevistas serão apresentados a seguir.
7.4.1 Análise de Gap dos processos críticos
Nesta etapa, foi feita a análise de gaps para todos os 34 processos descritos no Cobit. No entanto, só serão apresentados as análises de processos críticos neste documento.
a) PO2 – Definir a Arquitetura da Informação
Nota de Maturidade: 1
Descrição: Não existe um processo para gestão da arquitetura da informação
definido. Atualmente, a arquitetura é engessada em torno do SAP e há o desejo de
contratar o serviço de terceiros para determinar um novo direcionamento. Não é feito
estudo aprofundado sobre a arquitetura quando há a necessidade de mudança ou
implantação de um novo recurso de infraestrutura. O desenvolvimento de alguns
componentes de uma arquitetura da informação ocorre de forma ad hoc. As definições
abrangem dados ao invés de informação e são direcionadas pelas ofertas de
fornecedores de software aplicativo.
Figura 14 - Maturidade PO2
Gap para próximo nível: 33,3%
Um processo de arquitetura da informação começa a surgir e
procedimentos similares, ainda que informais e intuitivos, são seguidos
por diferentes pessoas dentro da organização.
As pessoas adquirem habilidades em desenvolver arquitetura de
informação através de experiências práticas e repetidas aplicações de
técnicas.
48
Requisitos táticos impulsionam o desenvolvimento de componentes da
arquitetura da informação por indivíduos.
b) PO5 - Gerenciar o Investimento de TI
Nota de Maturidade: 2
Descrição: A TI possui uma estrutura para gerenciar os programas de
investimentos em TI que contemple custos, benefícios, prioridade dentro do orçamento,
no entanto, não é determinado um processo formal de elaboração e controle
orçamentário. As práticas foram definidas pelo Gerente de TI e ainda ocorrem de
maneira informal. Está se definindo um procedimento para determinação dos custos
operacionais. Práticas de priorização são definidas através do conhecimento do Gerente
de TI e o retorno financeiro, em muitos casos, não é definido. São tomadas decisões
táticas e reativas tanto durante o planejamento quanto durante a execução orçamentária.
Figura 15 - Maturidade PO5
Gap para próximo nível: 83,3%
Políticas e processos para investimento e orçamento são definidos,
documentadas e comunicadas e cobrem as principais questões do
negócio e da tecnologia.
O orçamento de TI é alinhado com a estratégia de TI e com os
planos do negócio.
O orçamento e os processos de seleção de investimentos de TI são
formalizados, documentados e comunicados.
Treinamento formal está emergindo, mas ainda é baseado
primitivamente na iniciativa de indivíduos.
Aprovação formal da seleção e orçamento de investimentos de TI
estão sendo estruturadas.
Os membros da equipe de TI têm a expertise e a habilidade
49
necessárias para desenvolver o orçamento de TI e para recomendar
os investimentos de TI apropriados.
c) PO6 - Comunicar Metas e Diretrizes Gerenciais
Nota de Maturidade: 2
Descrição: A estrutura de controle de TI encontra-se num estágio inicial.
Políticas internas foram criadas, mas não são comunicadas. O processo para criação é
definido globalmente, no entanto, a TI ainda não possui um processo padrão de
definição dos objetos das políticas, planos e procedimentos, ou seja, o que deverá virar
uma política, padrão ou procedimento, o público alvo de tais documentos, as formas de
controle do cumprimento dos mesmos e os respectivos responsáveis pela sua elaboração
e gestão. Não é feito treinamento para políticas criadas em TI.
Figura 16 - Maturidade PO6
Gap para próximo nível: 85,7%
Um ambiente completo de controle da informação e gerência da
qualidade é desenvolvido, documentado e comunicado pela gerência
e inclui um framework para políticas, planos e procedimentos.
O processo de desenvolvimento de políticas é estruturado, mantido e
conhecido pela equipe e as políticas, planos e procedimentos
existentes são razoavelmente bons e cobrem as principais questões.
A gerência comunica a importância da consciência sobre a
segurança da TI e inicia programas de conscientização.
Treinamento formal está disponível para suportar o ambiente de
controle de informações porém não é rigorosamente aplicado.
Embora haja um framework desenvolvido para o controle de
políticas e procedimentos, existe um monitoramento inconsistente
do alinhamento com estas políticas e procedimentos.
50
Existe um framework global de desenvolvimento.
Técnicas para promover a conscientização sobre segurança já são
normatizadas e formalizadas.
d) PO10 - Gerenciar Projetos
Nota de Maturidade: 2
Descrição: A Gestão de TI está consciente e comunica a necessidade de
gestão de projeto de TI. A organização está em processo de desenvolvimento e
utilização de algumas técnicas e métodos de gestão de projeto e um manual para
padronizar as atividades de gestão de projetos está sendo desenvolvido. Os projetos de
TI têm definidos informalmente os objetivos técnicos e de negócios. Normalmente, os
registros realizados para projetos são informais e deixados nas trocas de e-mails, salvo
alguns documentos pontuais que são oficiais e preenchidos para a maioria dos projetos.
Há envolvimento limitado das partes interessadas no gerenciamento de projeto de TI,
como a participação de usuários em todos os projetos ou um controle formal da
participação de fornecedores. Foram desenvolvidas diretrizes iniciais contemplando
muitos aspectos de gerenciamento de projeto. A aplicação das diretrizes de
gerenciamento de projeto fica a cargo de cada gerente de projeto, apesar de estar sendo
padronizada, porém, ainda não foi colocado em prática.
Figura 17 - Maturidade PO10
Gap para próximo nível: 66,7%
O processo e a metodologia de gestão de projeto foram
estabelecidos
O processo e a metodologia de gestão de projeto foram
comunicados
Os projetos de TI são definidos com objetivos técnicos e de negócio
apropriados
51
Os gestores de TI e de negócio estão começando a se envolver e
comprometer com a gestão dos projetos de TI
Uma estrutura de gestão de projetos está estabelecida dentro da TI,
com papéis e responsabilidades iniciais definidos.
Os projetos de TI são monitorados com marcos, cronograma,
orçamento e medidas de desempenho definidos e atualizados.
Há um treinamento em gestão de projetos disponível. E esse
treinamento é principalmente o resultado de iniciativas individuais
da equipe
Procedimentos para garantia de qualidade e atividades pós-
implementação de um sistema estão definidas, mas não são
amplamente utilizadas pelos gerentes de TI.
Os projetos começam a ser gerenciados como portfólios.
e) AI2 - Adquirir e Manter Software Aplicativo
Nota de Maturidade: 2
Descrição: Os processos evoluíram para um estágio onde procedimentos
similares são seguidos por diferentes pessoas fazendo a mesma tarefa. Não existe um
treinamento formal ou uma comunicação dos procedimentos padronizados e as
responsabilidades não estão bem definidas. Há um alto grau de confiança no
conhecimento dos indivíduos e consequentemente erros podem ocorrer. Os
procedimentos para aquisição são conhecidos pela equipe. Porém, não existe um
processo formalizado e as atividades são pouco documentadas. Critérios de aquisição e
mecânicas de aprovação estão acordados, mas não estão documentados. Normalmente,
os critérios de aceitação são estipulados caso a caso e não são registrados formalmente,
ficando em e-mails trocados durante o processo de levantamento de necessidades,
aquisição e implantação. As responsabilidades pela aquisição de sistemas estão dispersa
na equipe de TI e não existem artefatos (documentos) padrão para o registro das
aquisições.
52
Figura 18 - Maturidade AI2
Gap para próximo nível: 60%
Existe um processo claro, definido e geralmente bem entendido de
aquisição e manutenção de software aplicativo.
Esse processo está em alinhamento com as estratégias de TI e
negócio.
Existem tentativas de aplicação de processos documentados de
forma consistente em projetos e aplicações.
As metodologias geralmente são inflexíveis e de difícil aplicação
geral, por isso alguns passos provavelmente são pulados.
Atividades de manutenção são planejadas, agendadas e
coordenadas.
f) AI3 - Adquirir e Manter Infraestrutura de Tecnologia
Nota de Maturidade: 2
Descrição: Os processos evoluíram para um estágio onde procedimentos
similares são seguidos por diferentes pessoas fazendo a mesma tarefa. Não existe uma
comunicação dos procedimentos estrategicamente padronizados. Há um alto grau de
confiança no serviço prestado pelos fornecedores e, em casos de não envolvimento de
fornecedor, é totalmente dependente da experiência dos funcionários que compõe a
equipe de infraestrutura, assim, consequentes erros podem ocorrer.
Figura 19 - Maturidade AI3
53
Gap para próximo nível: 75%
Existe um processo claro, definido e geralmente entendido para
aquisição e manutenção da infraestrutura de TI.
O processo atende às necessidades das aplicações de negócios
críticas, está alinhado às estratégias de TI e de negócio, porém não é
aplicado de maneira consistente.
A manutenção é planejada, agendada e coordenada.
Existem ambientes distintos para produção e teste.
g) AI6 - Gerenciar Mudanças
Nota de Maturidade: 2
Descrição: Atualmente, existe um processo formal de gerenciamento de
mudanças, apesar de não estar formalmente registrado, com responsabilidades claras. A
precisão da documentação gerada ao longo da execução do processo não é totalmente
consistente e não existem procedimentos a serem seguidos. Não existem categorizações
formais, utilizadas para todas as mudanças e não existe um processo emergencial. A
avaliação de impacto é realizada de forma intuitiva e não é registrada. Existe o registro
da mudança no sistema, porém, não existe um registro de histórico e passos de
implantação das mudanças, não gerando lições aprendidas.
Figura 20 - Maturidade AI6
Gap para próximo nível: 33,3%
Há um processo formal de gerenciamento de mudanças, que inclui
categorização, priorização, procedimentos de emergência, autorização de
mudança e controle de versão, porém a conformidade com o processo
ainda é emergente.
54
São aplicadas soluções alternativas, e com frequência os processos são
ignorados.
A análise de impacto das mudanças de TI sobre as operações de negócios
começa a ser formalizada para apoiar a implementação planejada de
novas tecnologias e aplicações.
h) AI7 - Instalar e Homologar Soluções e Mudanças
Nota de Maturidade: 2
Descrição: Os processos evoluíram para um estágio onde procedimentos
similares são seguidos por diferentes pessoas fazendo a mesma tarefa. No caso de
sistemas, é comum a utilização de métodos para testes oriundas dos prestadores de
serviços e evidências dos testes são registradas em documentos Word e são aprovadas
por usuários. No caso de infraestrutura, os testes são feitos pela equipe de infraestrutura,
através da experiência de cada analista, e não são registradas evidências. No entanto, os
equipamentos costumam possuir certificado de homologação dos fornecedores. Os
processos de teste são diferentes para solução de sistemas e infraestrutura. Ambientes
para testes são definidos para sistemas, apesar de que para sistemas não SAP exista um
único ambiente para desenvolvimento e homologação. A infraestrutura é testada em
cenários criados pela equipe de infraestrutura e não existem testes de stress e análises de
piores casos.
Figura 21 - Maturidade AI7
Gap para próximo nível: 50%
Existe uma metodologia formal relacionada à instalação, migração,
conversão e aceitação.
Os processos de instalação e verificação estão integrados em um ciclo de
vida do sistema e automatizados até certo ponto.
55
Treinamento, teste, migração para produção e verificação provavelmente
estão sujeitos a desvio do processo definido, com base em decisões
individuais.
A qualidade dos sistemas que entram em produção não é mensurada com
precisão, com novos sistemas podendo apresentar problemas pós-
implementação.
i) DS2 - Gerenciar Serviços Terceirizados
Nota de Maturidade: 2
Descrição: Não existe um treinamento formal ou uma comunicação dos
procedimentos padronizados e a responsabilidade é deixada com o indivíduo. Há um
alto grau de confiança no conhecimento dos indivíduos e consequentemente erros
podem ocorrer. As responsabilidades são definidas, no entanto, não é cobrado o controle
das atividades relacionadas ao gerenciamento dos fornecedores. Os SLAs são definidos
através da experiência dos analistas envolvidos e não são controlados. Fornecedores
apenas são classificados de acordo com o tipo de serviço que eles prestam, não é feito
um registro da qualidade do serviço e não há lesson learned. Nenhuma ferramenta para
gestão de fornecedores é utilizada. O controle é dado de forma tácita, de acordo com a
percepção do gestor do contrato em relação à qualidade dos serviços.
Figura 22 - Maturidade DS2
Gap para próximo nível: 66,7%
Procedimentos bem documentados são implantados para governar
os serviços terceirizados, com processos claros para examinar
cuidadosamente e negociar com os prestadores.
Quando um acordo de prestação de serviços é realizado, o
relacionamento com o terceiro é puramente contratual.
A natureza dos serviços a serem prestados é detalhada no contrato e
56
contempla as exigências operacionais, legais e de controle.
A responsabilidade pela supervisão dos serviços terceirizados é
definida.
Os termos contratuais são baseados em modelos padronizados.
O risco para o negócio associado aos serviços terceirizados é
avaliado e relatado.
j) DS5 - Assegurar a Segurança dos Sistemas
Nota de Maturidade: 1
Descrição: Sistemas e infraestrutura que são de responsabilidade dos
fornecedores são tratados pelos mesmos quanto à segurança e podem existir falhas no
controle da segurança, no entanto, não é comum o recebimento de relatórios relativos a
este quesito. Existe uma política de segurança para TI que fica armazenada na intranet.
No entanto, não existe um trabalho de conscientização da mesma e não é alinhada com a
contratação de novos serviços. Não existe um gerente de segurança em TI, de modo que
a responsabilidade fica dividida entre a área financeira, os fornecedores e o Sergio. O
monitoramento relacionado à segurança da informação existente é feito de forma reativa
a eventos ou incidentes.
Figura 23 - Maturidade DS5
Gap para próximo nível: 42,8%
As responsabilidades pela segurança de TI são atribuídas por um
coordenador de segurança de TI, apesar da autoridade do gestor do
coordenador ser limitada.
A consciência da necessidade de segurança é fragmentada e
limitada.
Embora informações relevantes de segurança sejam produzidas
57
pelos sistemas, elas não são analisadas.
Políticas de segurança estão sendo desenvolvidas, mas as
habilidades e ferramentas são inadequadas.
Os relatórios de segurança de TI são inconsistentes, mal elaborados
ou impertinentes.
Treinamento em segurança está disponível, mas depende da decisão
de cada funcionário.
A segurança de TI é considerada principalmente como sendo de
responsabilidade e domínio de TI, e a empresa não percebe a
segurança da TI como parte do seu domínio.
k) DS8 - Gerenciar a Central de Serviço e os Incidentes
Nota de Maturidade: 2
Descrição: Os processos evoluíram para um estágio onde procedimentos
similares são seguidos por diferentes pessoas fazendo a mesma tarefa. Não existe um
treinamento formal ou uma comunicação dos procedimentos padronizados. A
ferramenta utilizada não atende as necessidades da empresa e, consequentemente, não é
feito a gestão de incidentes e problemas de acordo com melhores práticas. Os chamados
não são solucionados no primeiro nível de atendimento, pois os atendentes responsáveis
não são treinados para tal.
Figura 24 - Maturidade DS8
Gap para próximo nível: 57,1%
A necessidade de uma central de serviço e um processo de
gerenciamento de incidente é reconhecida e aceita.
Os procedimentos foram padronizados e documentados e ocorrem
treinamentos informais.
Entretanto, fica a cargo das pessoas obterem treinamento e seguirem
58
padrões.
Consolidação de perguntas frequentes (FAQs) e diretrizes de
usuários são desenvolvidas, mas as pessoas devem procurá-las e
podem não segui-las.
Chamados e incidentes são rastreados manualmente e monitorados
individualmente, porém não existe um sistema de reporte formal.
A resposta em tempo adequado aos chamados e incidentes não é
medida e os incidentes podem continuar sem solução.
Os usuários foram claramente comunicados sobre onde e como
registrar os problemas e incidentes.
l) ME1 - Monitorar e Avaliar o Desempenho de TI
Nota de Maturidade: 1
Descrição: Não existe um processo definido para monitoramento de
desempenho em TI. São enviados alguns relatórios pelos fornecedores, no entanto, eles
são quantitativos e não qualitativos, não são validados e são considerados insuficientes.
A ferramenta utilizada pelo service desk não suporta um alto nível de monitoramento.
Os analistas possuem controles próprios relacionados aos seus sistemas, porém estes
indicadores não são divulgados para o restante da equipe e não são utilizados
formalmente em ações de melhoria. O monitoramento é implementado, mas com
métricas escolhidas caso a caso, de acordo com as necessidades de projetos e processos
de TI específicos.
Figura 25 - Maturidade ME1
Gap para próximo nível: 50%
Existem métodos e técnicas de coleta e avaliação, porém os
processos não foram adotados por toda a organização.
59
Foram identificadas métricas básicas a serem monitoradas.
A interpretação dos resultados do monitoramento é baseada na
habilidade de pessoas chave.
Ferramentas limitadas são escolhidas e implementadas para coletar
informação, porém a coleta não é baseada em uma abordagem
planejada.
Existem métodos e técnicas de coleta e avaliação, porém os
processos não foram adotados por toda a organização.
Foram identificadas métricas básicas a serem monitoradas.
7.4.2 Benchmarks
A ISACA (Information Systems Audit and Control Association) é uma
associação internacional que suporta e patrocina o desenvolvimento
de metodologias e certificações para o desempenho das atividades de auditoria e
controle em sistemas de informação.
Possuindo uma vasta base de clientes, a ISACA disponibiliza uma série de
informações relativas aos processos do CobiT para associados. Dessa maneira, foi
possível fazer uma análise das informações apresentadas.
Será apresentado neste relatório apenas um benchmark relativo a um processo
crítico para exemplificação.
Para o processo PO10 foi utilizada uma amostragem de 137 empresas de
manufatura e 87 empresas presentes nas Américas Central e Sul.
Abaixo seguem as estatísticas:
60
Figura 26 - Benchmark com empresas da América Central e Sul
Figura 27 - Benchmark com empresas de manufaturas
Nesta etapa do projeto, foi apresentada uma análise oriunda dos benchmarks
realizados. A análise foi feita para cada processo crítico e também foram apresentadas
diferentes visões da maturidade dos processos, sendo dividida por domínio do Cobit,
quantidade de processos não críticos por nível de maturidade, comparação entre
processos críticos e não críticos etc.
61
7.5 Plano de Governança
7.5.1 Macroprocesso
O cenário atual e futuro da TI foi apresentado no início deste tópico. Para atingir
este cenário futuro, a área de TI da organização em questão deve se estruturar através da
visão por processos e de prestação de serviços para o negócio, conforme trazem as boas
práticas de mercado como o Cobit® e o ITIL®, por exemplo. Porém, atualmente, os
processos existentes na TI desta empresa possuem um nível de maturidade compatíveis
com as notas 2 (Repetível, porém intuitivo) e 1 (Inicial/Ad hoc) do framework
Cobit®4.1.
Figura 28 - Overview dos níveis de maturidade da empresa
62
A visão por processos ajudará a TI a enxergar suas atividades do ponto de vista
de entrega de valor para o negócio, facilitando o alinhamento aos objetivos da
organização e aumentando a percepção de valor que o negócio tem da área TI.
Atualmente, práticas comuns são seguidas pela equipe, porém, cada indivíduo
realiza os processos da forma como julga que deve ser feito, respeitando alguns padrões
e registros existentes. Além disso, basicamente, os processos executados, porém sem
formalização, são os seguintes:
Planejamento Orçamentário
Gestão de Projetos
Gestão de Mudanças
Aquisição de sistemas, infraestrutura e serviços de TI
Gestão de Incidentes
Não existe, atualmente, uma visão por processos, de entrega de valor, com
papéis e responsabilidades bem definidos e padrões a serem seguidos. A Bridge propõe
que esta visão seja estruturada a partir de um macroprocesso da TI que irá representar
uma visão agregada dos processos críticos e como a TI trabalha para entregar o valor
desejado para a organização. Após a estruturação deste macroprocesso, deve ser seguido
um roadmap de melhoria para cada processo, dentro de uma ordem de prioridade
estipulada. Esta etapa visa, portanto, sugerir uma versão inicial do macroprocesso para a
TI, dar sugestões de melhoria particulares para os processos críticos e sugerir o
Roadmap de implantação, a fim de guiar as próximas ações para a Governança de TI.
Conhecendo os processos críticos da TI, pode-se organiza-los em uma visão
agregada, de macroprocesso, chegando à seguinte figura:
63
Figura 29 - Macroprocesso de TI
Esta visão agrega os principais processos para a TI, em um esquema de entrega
de valor. Os processos são divididos em grupo para caracterizar a função principal que
cumprem na TI.
Processos de Planejamento processos voltados à estruturação e
planejamento dos investimentos para o próximo ciclo orçamentário e da arquitetura da
informação. Guiarão as prioridades de ação para a TI, através da priorização de
investimentos e direcionamento tecnológico. Estes processos devem ser guiados pelo
Planejamento Estratégico de TI, quando este existir. Não havendo, devem ser um
primeiro passo de planejamento e estruturação para que, posteriormente, um
planejamento estratégico possa ser construído com uma visão de mais longo prazo.
Processos de Entrega processos relacionados à entrega de valor direta da TI
ao negócio. Envolvem, principalmente, os projetos de TI, que construirão novos
serviços, e o processo de atendimento a requisições de serviços já estabelecidos, através
da central de serviços. Os processos de aquisição de recursos (serviços, infraestrutura e
sistemas) e os processos de mudança e liberação fazem parte diretamente da construção
e entrega dos serviços, pertencendo, assim, a este grupo.
64
Processos de Suporte processos de suporte aos serviços em operação na
empresa, com atividades pontuais durante a construção de um novo serviço. Garantem a
operação e a restauração dos serviços caso ocorra um incidente com queda do nível de
serviço. Com a evolução deste processo, atividades mais proativas relacionadas a
processos como gestão de eventos, gestão de problemas e gestão da continuidade podem
ser estabelecidos.
Processos de Apoio Gerencial processos gerenciais da TI, voltados ao
monitoramento dos demais processos para a produção de indicadores de desempenho,
gestão de terceiros para a garantia da qualidade dos serviços contratados e dos níveis de
serviço acordados, gestão rotineira do orçamento planejado e criação e gestão de
políticas e controles de TI para a organização.
Vale ressaltar que esta é uma primeira visão que garante a existência, a
padronização e a melhoria dos processos mais críticos para a TI. Com o ganho de
maturidade nestes primeiros processos críticos e estruturais, as ações seguintes devem
estar voltadas à estruturação de processos secundários e voltados a uma gestão mais
proativa da TI. São esses processos como gestão de problemas, gestão de portfólio,
gestão de catálogo de serviços, gestão de níveis de serviço, gestão de eventos, gestão de
acesso etc.
7.5.2 Melhorias dos Processos Críticos
Para cada processo crítico, serão apresentadas sugestões que visam aumentar sua
maturidade perante o avaliado durante o assessment do Cobit®. Após, será apresentado
um Roadmap com a ordem de priorização das ações de melhoria tanto para um primeiro
momento (melhoria dos processos críticos) como para uma segunda ação de melhoria
(melhoria e implantação dos demais processos). Também será demonstrada, ao final,
uma estrutura de definição de papéis e responsabilidades aderente a esta nova
macroestrutura.
Não necessariamente as melhorias sugeridas visam apenas o aumento de um
nível de maturidade na avaliação do Cobit. A nota de maturidade 2 para a maioria dos
processos demonstra que a TI opera com alto risco, baseado na dependência de
indivíduos. As sugestões estão voltadas, principalmente, para um primeiro passo de
65
melhoria, em direção à nota 3 que significa estruturar a TI através da visão por
processos, diminuindo o risco da dependência do conhecimento tácito dos indivíduos
como hoje ocorre. Antes de a TI pensar em avançar para um nível maior de maturidade
(4, por exemplo), é preciso viver por um tempo a gestão dos processos que serão
implantados para, então, atingir um nível de melhoria contínua destes processos,
representando as notas 4 e 5 do Cobit.
Serão apresentados pontos de melhoria para apenas um processo crítico, visando
apenas a exemplificação do método.
DS8 – Gerenciar a Central de Serviços e Incidentes
Resultado da Avaliação de Maturidade
O processo DS8 – Gerenciar a Central de Serviços e Incidentes foi avaliado segundo os objetivos de controle do CobiT 4.1. A análise de maturidade apontou a atual nota do processo e o gap de requisitos para que se obtivesse uma nota superior.
NOTA: 2
Pontos de melhoria da situação atual
Este processo pode ser considerado como um dos mais visíveis para a organização, na medida em que é por meio da Gestão de Incidentes que os níveis de serviço são restabelecidos e o negócio volta a ter seu desempenho desejado. Com isso, recomenda-se um foco na implantação de melhorias para este processo dado que reflete em curto prazo melhorias para o negócio e aumento da satisfação dos usuários em relação à TI.
1. Modelagem do processo de Gestão de Incidentes e Atendimento às Requisições de Serviço:
Um primeiro passo que precisa ser dado para que os processos acima (e toda a Central de Serviços) funcionem corretamente é o desenvolvimento do Catálogo de Serviços. Considerado pelas principais referências de boas práticas de TI como um item chave para a Gestão dos Serviços de TI, a ausência do Catálogo de Serviços pode inviabilizar a entrega de valor projetada pela TI.
Principais características de um Catálogo de Serviços:
Fonte única, centralizada e atualizada de informações sobre todos os serviços que a TI está autorizada a oferecer para seus usuários finais. Pode ser desenvolvido em formato web, em geral visível na intranet da empresa e acoplado diretamente na ferramenta de atendimento aos usuários.
Nota: Algumas empresas optam também por desenvolvê-lo fisicamente, criando campanhas de endomarketing para conscientizar o bom uso por parte dos funcionários, distribuindo-os em forma de folhetos, livretos, calendários etc.
Deve ser projetado em duas versões que são complementares. A primeira deve ser chamada de
66
Catálogo de Serviços de Negócio. Sua finalidade é apresentar para o usuário final quais são aqueles serviços que ele pode solicitar e quais requisitos de qualidade, desempenho e segurança estão relacionados (através de Acordos de Nível de Serviço –SLA).
A outra versão é o Catálogo de Serviços Técnico, que deve ser composto pelo detalhamento técnico dos serviços presentes no primeiro, além dos serviços ditos transacionais, isto é, aqueles que são demandados e entregues entre as áreas de TI ou entre os níveis de suporte ao usuário. Por exemplo, serviços que a área de Infraestrutura oferece para a área de Sistemas, para que esta última possa entregar um serviço demandado pelo usuário final.
A figura abaixo é retirada diretamente do ITIL®V3 para ilustrar o relacionamento entres as duas instâncias do Catálogo de Serviços. Deve-se ter em mente que para o usuário e para o negócio existe apenas um Catálogo visível.
Figura 30 - Ilustração Service Desk ITIL
O terceiro ponto de destaque para o Catálogo de Serviços é que a linguagem utilizada e a forma de navegação da versão voltada para o usuário final devem ser de fácil compreensão. Projete a descrição e o nome dos serviços de forma que o conjunto maior possível de usuários entenda e esteja familiarizado. Evite termos muito técnicos ou expressões que fujam da realidade da sua empresa porque, no final, são os usuários que devem estar satisfeitos com o Catálogo de Serviços.
Após possuir uma versão acordada e divulgada para a organização do Catálogo de Serviços, passe para o mapeamento dos processos. Abaixo serão explicitadas os pré-requisitos críticos para que esses processos consigam ser executados de forma satisfatória:
1.1 Processo de Atendimento às Requisições de Serviço
Inicia-se no contato do usuário final com a Central de Serviços através de atendimento telefônico, abertura direta na ferramenta web e/ou email (as três formas são vistas nas empresas hoje, cabendo à empresa definir quais serão as portas de entrada autorizadas).
Utilizando o Catálogo de Serviços, os atendentes de primeiro nível devem direcionar para a área específica que possui competências para entregar o serviço solicitado. Torna-se necessário então construir essa árvore de relacionamentos SERVIÇO -> ÁREA SOLUCIONADORA.
67
A área solucionadora deve entregar o serviço demandado dentro do SLA acordado. Para isso, emerge um ponto de alta criticidade que é o projeto e definição dos Níveis de Serviço para cada serviço existente no Catálogo de Serviços. Sem isso a entrega da TI fica prejudicada e não se consegue atingir o valor esperado pelas iniciativas de melhoria com base no ITIL.
Tendo um tempo específico acordado para a entrega e os requisitos de desempenho (disponibilidade, segurança etc.), a área solucionadora deve realizar a entrega do serviço e, no final, averiguar a satisfação do usuário, registrando essa informação para futuras análises de melhoria.
1.2 Processo de Gestão de Incidentes:Como dito anteriormente, pode ser considerado um dos processos mais críticos para a Gestão de Serviços de TI na medida em que é responsável por restabelecer indisponibilidade ou queda do desempenho dos serviços de TI. Todo pensamento sobre esse processo deve levar em conta que 1 minuto a mais de queda de desempenho ou indisponibilidade pode gerar lucros cessantes e perdas significativas para o negócio.Etapas críticas:
Ter claramente projetado no Catálogo de Serviços quais são os sintomas percebidos pelos usuários na ocasião de um incidente. Esse é o ponto de entrada para o contato com a Central de Serviços.
O 1º Nível deve registrar o incidente e classificá-lo de acordo com o item do Catálogo. No momento da classificação, devem ser levantadas informações para que o incidente possa ser priorizado.
A priorização do incidente deve ser feita pela própria ferramenta de atendimento na medida em que o analista de primeiro nível insere os dados sobre o chamado. Em geral são utilizados os seguintes dados para priorização:
a. Tipo do incidente (queda de um serviço de email, quebra de um notebook, etc.)b. Número de Impactados (um único funcionário, um grupo, toda a empresa?)c. Criticidade dos Impactados (diretoria, responsáveis pela venda e produção?)
Uma análise multicritério, levando em conta no mínimo essas três variáveis, possibilita uma priorização alinhada ao negócio e que traz benefícios em curto prazo. A partir desse ponto, aqueles incidentes que realmente forem mais críticos para a empresa serão tratados primeiro (evitando os casos em que incidentes críticos são esquecidos ou casos em que ganha quem gritar mais alto).
Após priorizado, o incidente deve entrar em uma fila automática, sendo direcionado para a área solucionadora específica. Neste momento torna-se crítico o levantamento da árvore INCIDENTES -> ÁREA SOLUCIONADORA.
A área solucionadora então deverá fazer o diagnóstico e a resolução do incidente, tentando sempre aplicar soluções de contorno que tragam o serviço para o padrão de desempenho esperado pelo negócio no menor tempo possível. Após isso, os analistas devem avaliar se é necessária a investigação profunda da causa raiz ou se a solução aplicada satisfaz. Caso seja necessário, abre-se o processo de Gestão de Problemas.
Por fim, todo incidente resolvido deve ser avaliado frente à satisfação do usuário e, só após isso, encerrado formalmente.
Abaixo segue um fluxo de referência contendo as etapas mínimas para a realização do processo de Gestão de Incidentes, retirada diretamente do Service Operation, ITIL®V3.
68
Figura 31 - Processo de Service Desk
1.3 Processo de Gestão de Problemas
A Gestão de Problemas deve ser implantada para diminuir o número de incidentes através de ações tanto proativas quando reativas. Inicialmente deve ser entendido que:
Problema, segundo o ITIL®, pode ser definido como a causa raiz desconhecida de um ou mais
69
incidentes. Dessa forma, seguindo a abordagem reativa do processo:
1) Quando no processo de Gestão de Incidentes uma solução de contorno for aplicada para solucionar momentaneamente os sintomas e for constatada a necessidade de investigar a causa raiz para que não venha a se repetir:
Deve ser designada uma equipe técnica especializada, de alto nível de conhecimento, para investigar as possíveis causas até que se encontre e solucione a causa raiz, anulando assim os efeitos indesejados. (Problem Resolution Team)
No momento em que a causa raiz for detectada e o procedimento para resolução efetivamente implantado, este deve ser registrado em um banco de dados como Erro Conhecido (KE).
Os Erros Conhecidos devem ser arquivados em um Banco de Dados de Erros Conhecidos (KEDB), que deve estar disponível para os times de resolução de incidentes (todos os níveis) para que tomem conhecimento do que deve ser feito no caso de uma repetição.
Diferentemente da Gestão de Incidentes, a Gestão de Problemas não deve trabalhar com metas de resolução baseadas em tempo para identificação e sim na efetividade das soluções aplicadas. Idealmente causas raiz tratadas não devem futuramente provocar novos incidentes.
2) A abordagem proativa da Gestão de Problemas se baseia na análise de dados para prevenção de incidentes. Dessa forma, devem ser implantadas rotinas de investigação dos relatórios da Gestão de Incidentes, Gestão de Eventos (monitoramento dos serviços e da infraestrutura) e da Gestão de TI em geral para:
Identificar áreas, departamentos ou usuários com comportamento fora do padrão, em relação ao uso dos serviços de TI.
Mapear tais indivíduos para que seja feito um monitoramento direcionado. Antecipar ações para evitar que ocorram incidentes. Dentre essas ações podem ser listadas:
treinamento direcionado, troca de ativo ou item de configuração, investigação e diagnóstico.
O principal objetivo da abordagem proativa da Gestão de Problemas é evitar que incidentes ocorram através da identificação de tendências.
Por fim, outra boa prática sugerida pelo ITIL diz respeito à criação de mecanismos de auto ajuda para que usuários não precisem entrar em contato com a TI quando necessitarem de uma primeira ajuda.
Dentre tais mecanismos podemos listar o portal de perguntas mais frequentes (FAQ) que pode ser disponibilizado na intranet da empresa ou em site acessível a todos, que contemple procedimentos básicos de testes e dúvidas. Assim como os outros mecanismos, a implantação de ferramentas self-service tem como objetivo diminuir a demanda relacionada ao tratamento de incidentes.
Metas a serem alcançadas Indicadores a serem implantados
Garantir a satisfação dos usuários através da entrega de serviços dentro dos SLA;
Garantir a pronta resolução de quaisquer desníveis de serviços e incidentes;
Tornar a TI proativa para antecipação de falhas e incidentes;
Maximizar o valor da TI para o negócio garantindo níveis de serviço satisfatórios.
Porcentagem de serviços entregues dentro dos SLA acordados;
Porcentagem de incidentes resolvidos dentro dos SLA acordados;
Tempo médio de resolução de incidentes (por nível e por categoria)
Tempo médio entre falhas; Porcentagem de problemas resolvidos que
geraram erros conhecidos;
70
Tendências e benchmark do mercadoPontos de melhoria da situação atual Um dos principais indicadores usados hoje pelo mercado que caminha para o Service Desk é a taxa
de resolução em primeiro nível (FCR – First Contact Resolution). Para o Gartner®, as empresas devem mirar em uma FCR entre 75% e 85% do total de chamados para a TI. Essa meta impacta diretamente nas condições e infraestrutura de implantação da central de serviços (competências alocadas, metas, processos, entre outros.)
No Brasil, porém, vemos que essa meta não é atingida por grande parte das organizações que ainda buscam ganhar maturidade na implantação de processos efetivos de classificação e escalonamento de incidentes. Os dois últimos projetos entregues pela Bridge Consulting focaram no desenho do Catálogo de Serviços e na formação dos times de resolução (por níveis) para, apenas depois disso, estruturar os processos de atendimento.
Formas de melhorar o atendimento de primeiro nível passam pela capacitação e seleção de profissionais com experiência técnica, infraestrutura capaz de suportar acessos remotos e investigação, além de uma boa base de conhecimento que contemple Erros Conhecidos, Scripts de Atendimento, etc.
Implantações bem sucedidas no Operador Nacional do Sistema Elétrico (ONS), na Eletrobras, na SHV Gás e em outras empresas comprovaram que a prática de coleta de feedback de satisfação do usuário é de extrema importância para que a TI consiga avaliar se está caminhando para um aumento de produtividade ou não. Mantenha como etapa obrigatória a avaliação de satisfação (mesmo que de forma simples, a priori) em relação ao serviço prestado ou o incidente solucionado.
O Relatório IT Key Metrics Data 2012, sobre Service Desk do Gartner® aponta que:
a. A média mensal de chamados atendidos por analista de Service Desk, segundo a pesquisa que cobre toda a indústria norte-americana, européia e parte da América do Sul/Central é de 449. (inclui todos os tipos de contato; dúvidas, incidentes, ligações erradas, serviços, etc.).
b.c. A taxa média de resolução em 1º nível em 2011 foi de 62,7%.
71
7.5.3 Roadmap de implantação
Após as sugestões de melhoria para os processos considerados críticos e os
demais processos relacionados como Gestão do Catálogo de Serviços, Gestão de
Problemas e Gestão de Incidentes, por exemplo, será apresentado um Roadmap para a
implantação das melhorias.
Sabe-se que uma organização de TI possui recursos limitados e, apesar de ter
consciência da importância da implantação de melhorias nos processos, a operação não
pode ser impactada de forma significativa. Assim, a implantação de melhorias precisa
ser sequenciada. Para tal, algumas premissas devem ser colocadas:
O sequenciamento sugerido foi baseado nas melhores práticas de implantação
dos processos do ITIL V3;
Os processos foram divididos em blocos, onde cada bloco representa uma frente
de atuação e os blocos devem ser executados de forma sequencial, salvo o bloco de
Gestão de Projetos e Monitoramento e Avaliação do Desempenho da TI, que será um
bloco on going, paralelo aos demais.
Tempo
PRIMEIRO BLOCO DE MELHORIAS
SEGUNDO BLOCO DE MELHORIAS
TERCEIRO BLOCO DE MELHORIAS
BLOCO PARALELO AOS DEMAIS
Figura 32 - Blocos de Implementação
Foram abordados todos os processos críticos e mais alguns outros processos que
complementam a estruturação da operação de TI através da visão do ITIL V3.
O Roadmap foi estruturado em um documento Excel para facilitar a visualização
e será apresentado também neste relatório em formato de figura, juntamente com um
texto explicativo do porquê desta sequência escolhida.
72
As estimativas de tempo de implantação das melhorias foram baseadas em uma
média de mercado, mas que é altamente dependente da disponibilidade de recursos da
TI, se será ou não contratada consultoria externa para a realização de tais melhorias e
das atividades específicas que o board da TI decidirá por em prática em cada bloco. O
tempo exato de execução só poderá ser estimado com maior precisão na etapa de
planejamento detalhado das ações.
Justificativa:
Primeiro Bloco Gestão de Incidentes e Requisições de Serviço; Gestão do
Catálogo de Serviço; Gestão de Problemas; Gestão de Mudança e Liberação e Gestão da
Configuração.
Este bloco possui os principais processos de front office do ITIL V3. Estes são
os processos relacionados diretamente à entrega de valor para o cliente final da TI da
organização. Assim, ao estruturar estes processos, a organização já terá uma percepção
sobre a melhoria que está ocorrendo nas operações da TI.
Os processos de Gestão de Incidentes e Requisições de Serviços e Gestão do
Catálogo de Serviços estão diretamente relacionados ao atendimento ao cliente. O
processo de Gestão de Problemas poderá ser implantado após uma estruturação mínima
da Gestão de Incidentes, com o objetivo de aumentar a eficiência na investigação e no
tratamento de causas-raiz e alimentar a base de dados de erros conhecidos, aumentando
a taxa de incidentes solucionados nos primeiros níveis de atendimento.
Já a Gestão de Mudança e Liberação é um processo bastante relacionado à
Central de Serviços já que, segundo as melhores práticas, as requisições de mudanças
devem ser feitas através deste ponto único de contato. Assim, como este também é um
processo crítico e bastante acionado na TI, sua estruturação neste primeiro momento
também trará grande valor agregado.
A Gestão de Configuração, segundo as melhores práticas, é um dos principais
processos estruturantes da TI, uma vez que fornecerá informações úteis do ponto de
vista do gerenciamento dos itens de configuração, que estão presentes e são utilizados
por todos os demais processos da TI.
Segundo bloco Gestão de Investimento de TI (Portfólio de Serviços), Gestão
de Terceiros e Gestão de Aquisições.
Uma vez que o front office da TI está estruturado, é preciso voltar os esforços
para a estruturação das operações de suportam a entrega destes serviços. Este é o foco
73
do segundo e terceiro blocos. Foram priorizados, para uma segunda frente de atuação, a
contratação e gestão de fornecedores uma vez que, para a maioria das entregas da TI,
estão envolvidas contratações e atualmente o controle gerencial sobre estes agentes é
relativamente pequeno, o que aumenta o risco das operações da TI e aumenta a
dependência da empresa em relação a estes fornecedores.
A Gestão de Investimentos foi priorizada por envolver as atividades de
levantamento e priorização de necessidades do negócio para serem atendidas pela TI ao
longo do ano. Para que a TI seja reconhecida pela entrega de valor significativa à
organização, é preciso que as atividades de seleção e priorização de ações sejam
embasadas em critérios alinhados aos objetivos de negócio.
Terceiro bloco Gestão de Arquitetura de TI, Segurança da Informação,
Gestão da Capacidade, Disponibilidade e Continuidade dos Serviços e Comunicar
Metas e Diretrizes Gerenciais.
O terceiro bloco está voltado para as operações de TI, para que estas possam ser
estruturadas de forma a atender bem os serviços entregues e garantir que os níveis de
serviço acordados sejam cumpridos.
Além disso, com a área de TI mais estruturada e a Segurança da Informação com
diretrizes mais claras (com uma política definida), pode-se estruturar o processo de
comunicação de metas e diretrizes da TI para a organização.
Bloco paralelo aos demais Gestão de Projetos e Monitoramento e Avaliação
do Desempenho da TI.
Como já existe uma ação em andamento em relação à gestão de projetos liderada
pelo profissional de governança de TI, considerou-se que o esforço para a melhoria
deste processo já está sendo empenhado, paralelo às ações de melhoria dos demais
processos. Além disso, o processo de monitoramento também foi considerado uma ação
paralela por ser liderado pelo profissional de governança, que atua paralelamente às
operações da TI, recebendo insumos dos demais processos após sua reestruturação
(inputs para os indicadores de TI).
Na página seguinte será apresentado o Roadmap, com a estimativa dos tempos
de execução de cada bloco.
74
Frentes de Atuação/Meses Mês 1 Mês 2 Mês 3 Mês 4 Mês 5 Mês 6 Mês 7 Mês 8 Mês 9 Mês 10 Mês 11 Mês 12
PRIMEIRO BLOCO
Gestão de Incidentes e Requisição de Serviços
Gestão do Catálogo e Níveis de Serviço
Gestão de Problemas
Gestão de Mudanças e Liberação
Gestão da Configuração
SEGUNDO BLOCO
Gestão de Aquisições
Gestão de Terceiros
Gestão de Investimento de TI - Portfólio de Serviços
TERCEIRO BLOCO
Gestão de Aquitetura de TI
Segurança da Informação
Gestão de Capacidade, Disponibilidade e Continuidade dos Serviços
Comunicar metas
BLOCO PARALELO AOS DEMAISIniciativas que já estão sendo iniciadas/em andamento
Gestão de projetos
Monitorar desempenho
Figura 33 - Roadmap de Implementação
7.6 Balanced Scorecard de TI
O alto crescimento da terceirização e as recorrentes falhas nos serviços de TI
atentam para uma necessidade latente: tanto clientes quanto fornecedores de serviços
precisam estar aptos a atender aos fatores críticos da terceirização de TI a fim de
aumentar a probabilidade de sucesso deste tipo de relacionamento.
Uma empresa, como a em questão, que possui diversos fornecedores deve
possuir uma alta maturidade na gestão destes terceiros. Inclusive, a colaboração entre os
fornecedores pode trazer maior valor para os serviços oferecidos pela TI à organização.
A TI deve ser capaz de avaliar como os fornecedores estão posicionados na prestação
75
dos serviços oferecidos ao negócio e tentar incentivar colaborações que possam ser
benéficas à qualidade de tais serviços.
Neste sentido, esta etapa visa apresentar uma ferramenta, desenvolvida pela
Bridge, com o objetivo de determinar os indicadores para controle dos fornecedores de
TI correspondentes aos processos críticos presentes no macroprocesso e, além disso,
apresentar um Balaced Scorecard em conjunto ao Plano Hoshin.
7.6.1 Dashboard de Indicadores
Tendo em vista a crescente necessidade de uma gestão de fornecedores e o
cenário apresentado pela organização, a empresa Bridge Consulting desenvolveu uma
ferramenta a fim de suportar o controle dos prestadores de serviços.
Essa ferramenta será continuidade do trabalho feito pela Bridge Consulting na
organização e usará como base a nova visão por processos que foi sugerido para a TI
implantar. A visão por processos ajudará a TI a enxergar suas atividades do ponto de
vista de entrega de valor para o negócio, facilitando o alinhamento aos objetivos da
organização e aumentando a percepção de valor que o negócio tem da área TI.
A Bridge propôs que esta visão seja estruturada, a partir de um macroprocesso
da TI que irá representar uma visão agregada dos processos críticos e como a TI
trabalha para entregar o valor desejado para a organização.
Dessa maneira, a ferramenta apresentará indicadores e metas. Essas medições
estarão dividas de acordo com a influência dos indicadores nos processos críticos da TI.
O Dashboard apresenta uma proposta de indicadores para a TI, no entanto, sendo
eles influenciados por fornecedores ou não. Os indicadores influenciados por
fornecedores corresponderão a SLAs que, caso não existam contratualmente, sugere-se
que seja avaliada sua inserção.
76
Figura 34 - Dashboard de Indicadores
7.6.2 Objetivos Estratégicos
Segundo os desenvolvedores da metodologia e, também, professores da Harvard
Business School, Robert Kaplan e David Norton, Balanced Scorecard é uma técnica que
visa a integração e balanceamento de todos os principais indicadores de desempenho
existentes em uma empresa. Tendo isso em vista, a Bridge Consulting propôs um BSC
para a TI de modo que auxilie a gestão estratégica da mesma.
O desenvolvimento do Balanced Scorecard teve como fonte três pilares: o
trabalho de governança já realizado, o BSC da organização e o BSC da TI global da
empresa.
77
Todos objetivos estratégicos propostos para TI estão diretamente ligados aos
objetivos da organização e/ou aos objetivos da TI global.
Figura 35 – BSC de TI
7.6.2 Plano Hoshin
Após a criação do BSC de TI, foi desenvolvido o Plano Hoshin, de maneira a
apresentar os indicadores, previamente definidos por processo, auxiliando os objetivos
estratégicos.
O Plano Hoshin se encontra na segunda aba da ferramenta e não possui
autorização para edição. Nele, para alguns objetivos estratégicos, foram escolhidos
indicadores que servirão de medição única e estão representados em vermelho. Esses
indicadores são os que possuem maior alinhamento com o BSC da empresa e foram
selecionados para representarem a TI ao resto da companhia.
Uma visão do Plano Hoshin é apresentada abaixo:
78
Figura 36 - Plano Hoshin
Como pode ser visto na figura acima, cada objetivo estratégico de TI possui indicadores que auxiliarão a sua medição. Esses indicadores estão atrelados a processos críticos de TI.
79
Capítulo 8
Conclusão
O objetivo deste documento era o de relatar o método utilizado para início da
implementação de Governança de TI em uma empresa de manufaturados foi atingido
com sucesso.
Como é possível observar ao longo do documento, é necessária uma atenção
especial aos primeiros passos em direção ao alinhamento da TI com o negócio. É nele
que o planejamento estratégico de TI irá se apoiar e um erro nesta etapa pode acarretar
em insucesso da TI e aumento significativo no custo sem retorno expressivo.
Os frameworks e conceitos apresentados foram utilizados como ferramenta para
implementação e não foram, e nem devem, ser considerados verdades absolutas.
A empresa em questão apresenta, como pode ser visto neste documento, um
nível de maturidade muito baixo nos seus processos de TI e apresenta um alto risco
atrelado a TI.
Através da análise dos gaps apresentados é possível criar um plano de ação para
elevação dos níveis de maturidade dos processos. Um roadmap de implementação foi
sugerido para guiar futuros investimentos de TI.
O retorno apresentado pelo projeto superou as expectativas do cliente, inclusive
engatilhando novos projetos.
Atualmente, a Bridge Consulting se encontra ativa na empresa auxiliando a
implementação de um catálogo de serviços e a reestruturação do service desk, através da
criação de métodos de priorização e categorização de incidentes e pedidos de serviços,
além da troca da ferramenta utilizada.
Após a total reestruturação da central de serviços, será possível termos retornos
quantitativos para avaliar a efetividade do método proposto.
80
Bibliografia
[1] IT SERVICE MANAGEMENT FORUM (ITSMF) ITIL V3®: OGC, 2005
[2] DRUCKER, P. F. O Milênio começa. Boston: HSM - Harvard School of Manage-ment Magazine, 2000.
[3] SILVA, A. L. P. Governança Institucional: Um Estudo do Papel e das Operações deConselhos das Organizações da Sociedade Civil no Contexto Brasileiro. Tese deDissertação, Mestrado em Administração, USP, Faculdade de Economia, Administração e Contabilidade, Departamento de Administração, Programa de Pós-Graduação em Administração, São Paulo, Abril - 2001.
[4] PAGANO, Marco, PANETTA, Fabio, ZINGALES, Luigi. Why do companies go public? An empirical investigation. Jounal of Finance, v.53, February, 1998.
[5] BRIDGE CONSULTING; “Sourcing de TI - Eficiência nas iniciativas de sourcing de TI Como alcançá-la?”, Rio de Janeiro, 2010
[6] BRIDGE CONSULTING; “Governança de TI: Por que a Governança de TI é vista como fator chave para criação de valor para o Negócio?”, Rio de Janeiro, 2010
[7] WILLCOCKS, L. P. and S. LESTER (1999) Beyond the IT Productivity Paradox: Assessment Issues,Wiley, Chichester.
[8] Jeanne W. Ross; Seis decisões que sua equipe de TI não deve tomar; julho 2012
[9] FERNANDES, A. & ABREU, V. Implantando a Governança de TI: da Estratégia dos Processos e Serviços, Rio de Janeiro: Brasport, 2006.
[10] YAMASHITA, E. C., A Identificação de Práticas de Gerenciamento de Relações de Terceirização no Brasil: Estudo de Caso de Terceirização de Serviços Logísticos [Rio de Janeiro] 2007 XI, 252 p. 29,7 cm, Tese - Universidade Federal do Rio de Janeiro, COPPE.
[11] Global Status Report on the Governance of Enterprise IT (Geit)—2011; ITGI
81
Top Related