Baixe o app para aproveitar ainda mais
Leia os materiais offline, sem usar a internet. Além de vários outros recursos!
material_cobit1
Esta é uma pré-visualização de arquivo. Entre para ver o arquivo original
material_cobit1/Apostilas, Monografias e Cursos/Plano de TI com base no CobiT - Parte 1.pdf Roger Taipina Sexta-feira, 08 de janeiro de 2010 Plano de TI com base no CobiT Parte 1 Muitos dizem aplicar a governança de TI nas empresas em que atuam, mas uma grande porcentagem não define um plano estratégico baseado nos domínios da governança de TI explanados no CobiT. Este fato é um grande fator de insucesso no processo de implantação, principalmente em organizações onde a TI é suporte para o funcionamento desde o operacional até o nível gerencial, como empresas de telefonia e bancos por exemplo. Podemos definir a Governança de TI como o alinhamento da Tecnologia da Informação de uma organização aos objetivos estratégicos da mesma, a fim de obter diferencial competitivo e poder suportar e estender as estratégias de negócio (2009, Taipina). Para entender os domínios da Governança de TI, falaremos separadamente de cada um, explicando seus principais objetivos e aplicações, partindo do ciclo real de TI que vivemos em uma empresa, conforme exibido na figura abaixo: iMasters - Por uma Internet mais criativa e dinâmica http://imasters.com.br/artigo/15491/governanca/pl... 1 de 4 27-12-2010 13:40 Princípio básico do COBIT (Adaptado de ITGI, 2007) Baseado neste ciclo, fica transparente que o mundo dos negócios precisa continuamente de reengenharia, devido às mudanças do mercado, novos recursos ou estratégias de negócio. Para tal, a aplicação da governança de TI baseada em seus domínios resume-se abaixo em: Alinhamento Estratégico e Requisitos de Compliance Decisão, Compromisso, Priorização e Alocação de Recursos Estrutura, Processos, Operação e Gestão Medição do Desempenho É importante explanar que estes tópicos descritos foram aplicados em uma instituição pública de médio porte com sete mil colaboradores. Neste artigo, falaremos sobre os componentes do primeiro e tão importante domínio "Alinhamento Estratégico e Requisitos de Compliance", mais precisamente sobre "Alinhamento Estratégico". Neste domínio, estão os principais componentes no qual a equipe liderada pelo CIO deve aplicar para obter sucesso e não comprometer as outras etapas de implantação da governança de TI, pois são nestes componentes que se aplicam os procedimentos técnicos de segurança da informação, infra-estrutura, arquitetura, reconhecimento minucioso das necessidades de recursos tecnológicos e alinhamento com a estratégia de TI. Os componentes são: Alinhamento Estratégico: procura determinar qual deve ser o alinhamento da TI em termos de arquitetura, infra-estrutura, aplicações e processos da organização num presente momento e momento futuro; Princípios de TI: são regras que todos devem seguir no âmbito da empresa e que subsidiam tomadas de decisão; Necessidade de Aplicações: diz respeito às aplicações de TI, determinando quais devem ser mantidas, melhoradas, substituídas e implantadas. Neste contexto podem ser considerados todos os tipos de aplicações que a empresa mantém ou deverá obter a partir de novas estratégias de negócio. BI, Sistemas Transacionais, gestão... ; Arquitetura de TI: foca na padronização dos processos, dos dados e da tecnologia das aplicações definidas por um conjunto de políticas. Vocês podem reparar que este componente é derivado dos Princípios de TI; Infra-estrutura de TI: neste componente são analisados e definidos os recursos computacionais necessários para apoiar o negócio. Aqui é iMasters - Por uma Internet mais criativa e dinâmica http://imasters.com.br/artigo/15491/governanca/pl... 2 de 4 27-12-2010 13:40 definido como gerir os dados, os ativos de TI (que são um dos principais tópicos deste componente), segurança da informação, comunicação com seus fornecedores externos e equipe interna (rede privada e internet); Objetivos de desempenho: este componente visa a direcionar a administração da TI para atender as metas de desempenho definidas pelos objetivos traçados. Através do gerenciamento dia a dia dos recursos de TI, é possível, na maioria das vezes(por experiência própria), apontar necessidade de melhoria e até mesmo a reengenharia dos processos ou ativos de TI. É bom que se mantenha um profissional, ou parte da equipe, destinado a acompanhar os processos atuais ou os novos processos, para que, assim, o CIO possa ter um feedback das novas tecnologias implantadas; Capacidade de Atendimento da TI: derivando do final do componente acima, a capacidade de atendimento está totalmente ligada aos objetivos de desempenho, pois é através do monitoramento dos recursos a fim de medir o desempenho que podemos obter indicadores da capacidade de atendimento da tecnologia em funcionamento. É importante frisar que neste componente não se analisam somente os recursos computacionais e de infra-estrutura, mas também os recursos humanos deverão ser vistos com olhar clínico em vista de atender a demanda por sistemas e serviços. Estratégia de Outsourcing: neste componente deve-se ter cuidado para não colocar os principais serviços ou produção da empresa na mão de despreparados ou empresas que não atendam a demanda do nível de serviços onde o governante está atuando. Deve-se definir com clareza: - O que passar para o outsourcing; - Como fazer o outsourcing; - Como escolher a melhor alternativa de parceria com um sólido embasamento; - Como gerenciar os serviços terceirizados(a empresa tem ferramenta para gerenciamento? Quais serão os prazos? Como será a comunicação entre o cliente e o parceiro? E o contrato?) - Como gerenciar o desempenho dos fornecedores ou prestadores de serviço; Segurança da Informação: é o componente mais falado atualmente. Determinar diretrizes e ações referentes à segurança de aplicativos, da infra-estrutura, pessoas e informações de negócio é imprescindível nos dias atuais. Neste componente o plano deve ter um olhar minucioso, e não se esquecer da segurança física de ambientes; Competências: são habilidades e conhecimentos necessários para o desenvolvimento e a implantação das iniciativas de TI. Vale lembrar que, no que se refere a ativos de TI, os recursos humanos que atuam com a TI de uma organização são considerados pelo CobiT como recurso de TI, e iMasters - Por uma Internet mais criativa e dinâmica http://imasters.com.br/artigo/15491/governanca/pl... 3 de 4 27-12-2010 13:40 são estes responsáveis por fazer funcionar as iniciativas de TI. Então no plano de TI, devem-se ter colaboradores que realmente poderão gerir as novidades tecnológicas. Isso deve ficar bem claro para o CIO; Processos e organização: apresentam a forma como produtos e serviços de TI deverão ser desenvolvidos, gerenciados e entregues aos usuários e clientes. Este componente, muitas das vezes, na prática, é incorporado ao "Princípio de TI"; Investimento: após verificar quais as necessidades tecnológicas e de recursos de TI baseadas no objetivo de negócio, a disponibilidade de liquidez para investimento é de grande importância. Não se esquecendo de que o governante de TI (CIO ou prestador de serviço) deve convencer a alta administração que todo aparato explanado no plano é investimento, e que este se faz na maioria das vezes se bem planejado, uma única vez. Posteriormente, os investimentos em TI serão para suportar a redefinição de algum processo que não se enquadrava no segmento da empresa ou por ocorrência brusca de mudança do mercado. Bom, assim podemos verificar os componentes do principal domínio da governança de TI. Quero deixar claro aqui que os domínios e os componentes dos mesmos talvez não tenham necessidade de ser aplicados em sua organização, pois depende do nível de maturidade de TI em que a empresa se encontra. O CIO deve ter a visão do que é aplicável no contexto atual da empresa e o que não é. No próximo artigo, falaremos sobre os "Requisitos de Compliance" e continuaremos a ver sobre os outros três domínios que compõe um plano de governança de TI de sucesso: Decisão, compromisso, priorização e alocação de recursos; Estrutura, processos, operação e gestão; Medição do Desempenho. Até mais. iMasters - Por uma Internet mais criativa e dinâmica http://imasters.com.br/artigo/15491/governanca/pl... 4 de 4 27-12-2010 13:40 material_cobit1/Apostilas, Monografias e Cursos/Memorex COBIT.pdf material_cobit1/Apostilas, Monografias e Cursos/TCC - Maturidade em COBIT.pdf UNIVERSIDADE FEDERAL DE SANTA CATARINA GOVERNANÇA DE TI: AVALIAÇÃO DE MATURIDADE DO COBIT EM UMA EMPRESA GLOBAL Estefan Macalli Alves Thomas Augusto Damo Ranzi Florianópolis - SC 2006 UNIVERSIDADE FEDERAL DE SANTA CATARINA DEPARTAMENTO DE INFORMÁTICA E ESTATÍSTICA CURSO DE SISTEMAS DE INFORMAÇÃO GOVERNANÇA DE TI: AVALIAÇÃO DE MATURIDADE DO COBIT EM UMA EMPRESA GLOBAL Estefan Macalli Alves Thomas Augusto Damo Ranzi Trabalho de conclusão de curso apresentado como parte dos requisitos para obtenção do grau de Bacharel em Sistemas de Informação pela Universidade Federal de Santa Catarina. Florianópolis - SC 2006 2 Estefan Macalli Alves Thomas Augusto Damo Ranzi GOVERNANÇA DE TI: AVALIAÇÃO DE MATURIDADE DO COBIT EM UMA EMPRESA GLOBAL Trabalho de conclusão de curso apresentado como parte dos requisitos para obtenção do grau de Bacharel em Sistemas de Informação pela Universidade Federal de Santa Catarina. ___________________________________ Aline França de Abreu, Ph. D. Orientadora Banca Examinadora ___________________________________ Roberto Carlos dos Santos Pacheco, Dr. Coorientador ___________________________________ José Francisco Salm Jr. Membro 3 AGRADECIMENTOS Às nossas famílias, amigos e namoradas pelo apoio irrestrito e incondicional. À Professora Aline França de Abreu pela orientação, paciência e comprometimento. Aos membros da banca Professor Roberto Carlos dos Santos Pacheco e Professor José Francisco Salm Jr. pelas sugestões sempre adequadas. À WEG pela oportunidade e divulgação dos resultados. Aos colegas do Departamento de Sistemas de Informação, em especial à seção Planejamento e Controle de TI pelo incentivo, colaboração e amizade nesta jornada. Aos colegas do IGTI pelos ensinamentos e contribuições. A todos que de alguma maneira contribuíram para a realização deste trabalho. 4 RESUMO Esta pesquisa teve como objetivo avaliar o grau de maturidade dos processos de TI de uma empresa global do setor metal-mecânico, com matriz em Santa Catarina (WEG Equipamentos Elétricos S/A) com relação aos objetivos de controle existentes no COBIT. O trabalho foi considerado de grande importância para a empresa, já que vai ao encontro dos esforços realizados relacionados ao planejamento e direcionamento dos recursos e investimentos em TI. Além de detalhar as melhores práticas de controle descritas no COBIT, para realizar a avaliação de maturidade identificou-se a necessidade de adaptar a metodologia oficialmente proposta. Ao final foi executado um GAP Analysis, onde a diferença entre o grau de maturidade atual e o desejado pela empresa foi analisado e com base nestes resultados, foram propostas ações visando a elevação de maturidade dos processos de TI e a implantação de um modelo de Governança de TI na empresa em questão. Palavras-Chave: Governança de TI, Planejamento Estratégico de TI, Alinhamento Estratégico, Tecnologia da Informação, COBIT, GAP Analysis. 5 ABSTRACT This research had the objective to asses the maturity level of IT processes of WEG – Electric Equipments S/A, a global organization with headquarters in Santa Catarina, Brazil, comparing to control objectives presented on COBIT (Control Objectives for Information and related Technology). The work was considered of great importance, since it meets with the previous efforts of the company related with planning and directing IT resources and investments. Beyond detailing the best practices of COBIT, to execute the maturity level assessment the need of adapting the methodology officially proposed was identified. Finally, a Gap Analysis was executed, where the difference between the current and the desired maturity level was analyzed. Based on these results, actions were proposed aiming to raise the maturity of the IT processes and the implementation of an IT Governance model in the company. Keywords: IT Governance, IT Strategic Planning, Strategic Alignment, Information Technology , COBIT, GAP Analysis. 6 SUMÁRIO 1 INTRODUÇÃO.................................................................................................11 1.1 TEMA...............................................................................................................11 1.2 JUSTIFICATIVAS ............................................................................................12 1.3 RESULTADOS ESPERADOS .........................................................................12 1.4 OBJETIVO GERAL ..........................................................................................13 1.5 OBJETIVOS ESPECÍFICOS............................................................................13 2 REFERENCIAL TEÓRICO ..............................................................................15 2.1 PLANEJAMENTO ESTRATÉGICO .................................................................15 2.1.1 O que leva uma empresa a usar o Planejamento Estratégico? .......................16 2.1.2 Planejamento Estratégico dos Negócios .........................................................17 2.1.3 Planejamento Estratégico de TI - PETI ...........................................................20 2.1.4 Métodos de Planejamento Estratégico de TI....................................................23 2.2 ALINHAMENTO ESTRATÉGICO ....................................................................25 2.3 GOVERNANÇA DE TI .....................................................................................30 2.3.1 Governança Corporativa ..................................................................................32 2.3.2 “Framework” de Governança de TI ..................................................................35 2.3.3 COBIT..............................................................................................................38 2.3.4 Gap Analysis....................................................................................................44 3 A EMPRESA....................................................................................................46 3.1 DEPARTAMENTO DE SISTEMAS DE INFORMAÇÃO DA WEG ...................47 3.1.1 Plano Estratégico de TI – PETI........................................................................48 3.1.2 Metodologia de Gerenciamento de Projetos ....................................................49 4 METODOLOGIA PROPOSTA PARA AVALIAÇÃO DE MATURIDADE.........51 4.1 FUNDAMENTOS .............................................................................................51 4.2 METODOLOGIA PROPOSTA .........................................................................53 4.2.1 Passos .............................................................................................................54 4.2.2 Aplicação da Planilha.......................................................................................55 5 RESULTADOS OBTIDOS...............................................................................59 6 CONSIDERAÇÕES FINAIS.............................................................................81 6.1 LIMITAÇÕES ...................................................................................................81 6.2 SUGESTÕES PARA TRABALHOS FUTUROS...............................................83 REFERÊNCIAS BIBLIOGRÁFICAS.........................................................................84 APÊNDICES .............................................................................................................87 ANEXOS:..................................................................................................................90 7 LISTA DE FIGURAS Figura 2.1 Planejamento Estratégico em Movimento ................................................20 Figura 2.2 Modelo Conceitual de Alinhamento Estratégico. ......................................29 Figura 2.3 Os 3 níveis do COBIT. Fonte: ITGI,2005 .................................................39 Figura 2.4 Representação da estrutura do COBIT 4.0. Adaptado de ITGI (2005).....43 Figura 3.1 Estrutura do Departamento de Sistemas de Informação da WEG ...........47 Figura 3.2 Estrutura de decomposição do trabalho (EDT) para o projeto COBIT .....50 8 LISTA DE TABELAS Tabela 2.1 Métodos de Planejamento Estratégico ....................................................24 Tabela 4.1 Transformação dos cenários COBIT em sentenças ................................53 Tabela 4.2 Transformação dos valores de pontuação conforme natureza da sentença. ................................................................................................55 Tabela 4.3 Planilha de avaliação de maturidade para o nível 1 do processo PO1....56 Tabela 4.4 Conformidade da WEG para cada nível ..................................................57 Tabela 4.5 Resultados finais para o processo PO1 ..................................................57 9 LISTA DE REDUÇÕES COBIT – Control Objectives for Information and Related Technology SI – Sistemas de Informação TI – Tecnologia da Informação IT – Information Technology PETI – Planejamento Estratégico de Tecnologia da Informação PSI – Planejamento de Sistemas de Informação SOX – Lei Sarbanes-Oxley ITIL – Information Technology Infrastructure Library PMBok – Project Management Body of Knowledge CMMi – Capability Maturity Model Integration ISACA – Information Systems Audit and Control Association ITGI – Information Technology Governance Institute 10 1 INTRODUÇÃO Ao analisar o histórico das organizações, tem-se que, até meados do século passado, os passos para atingir as metas eram tomados sem levar em conta o seu relacionamento com o ambiente em que estava inserida. Com as novas regras impostas pelo mercado, como principalmente a globalização, para gerar lucro, fica evidente a necessidade de uma boa cadeia de relacionamentos da organização com o ambiente externo. Para administrar essa nova realidade, algumas características passam a ser fundamentais, como, por exemplo, a flexibilidade e a adaptação às mudanças. Dentro deste contexto, as organizações passam a ser diretamente influenciadas na sua gestão e na concepção de uma estratégia empresarial pelo uso de sistemas de informação e da tecnologia da informação. Nesta busca de adequação entre a orientação estratégica de negócios e a estratégia de TI (Tecnologia da Informação) pode-se observar o importante papel da Governança Corporativa e da Governança de TI. Neste trabalho, buscou-se verificar a importância da Governança de TI através da sua aplicação em um ambiente de uma empresa de grande porte. 1.1 Tema O trabalho consiste em analisar a situação atual e desejada da área de TI de uma empresa global e compará-la com as melhores práticas de governança de TI descritas no modelo COBIT (Control Objectives for Information and related Technology). Isso será feito através de um estudo in loco na empresa em questão. 11 1.2 Justificativas A governança de TI é atualmente um termo muito utilizado, porém pouco compreendido. O COBIT é um guia de melhores práticas para a governança de TI reconhecido e aplicado internacionalmente. Com isso, acredita-se que, através da aplicação da metodologia de avaliação de maturidade do COBIT proposta no presente trabalho, o conceito de governança de TI possa ser melhor compreendido e aplicado. Visando suportar a estratégia definida para a organização e a demanda de serviços de TI, as empresas buscam diversas iniciativas para melhor planejar e direcionar seus projetos e investimentos de TI. Nesse contexto, o presente trabalho é considerado de grande importância para a empresa em estudo, pois, além de avaliar a situação atual da TI através de um framework de governança de TI mundialmente reconhecido, a identificação de vantagens competitivas e necessidades de melhorias poderão suportar as decisões sobre os rumos da TI da mesma. 1.3 Resultados Esperados Os resultados esperados para o trabalho incluem uma proposta de metodologia de avaliação de maturidade do COBIT, sua aplicação em uma empresa de porte global e a divulgação dos resultados alcançados. Para a empresa, os resultados do projeto servirão de base para: - Identificar oportunidades de melhoria nos processos internos da organização relacionados à Governança de TI. 12 - Suportar a implantação de normas e regulamentações como a NBR ISO/IEC-17799 e a lei Sarbanes-Oxley. - Focar os investimentos de TI nos projetos que forneçam o melhor suporte à estratégia de negócios e produzam o melhor retorno. - Minimizar riscos através de controles mais eficientes dos processos de TI. 1.4 Objetivo Geral Avaliar os processos atuais da TI de uma empresa do setor metal-mecânico de Santa Catarina com relação às praticas previstas no COBIT, através da metodologia de avaliação de maturidade proposta. 1.5 Objetivos Específicos - Detalhar, baseado na literatura, o modelo de melhores práticas do COBIT em seus quatro domínios de processos (Planejamento e Organização, Aquisição e Implementação, Entrega e Suporte e Monitoramento e Avaliação). - Adaptar a metodologia de avaliação de maturidade do COBIT para a empresa em questão. - Aplicar a metodologia para encontrar o nível de maturidade dos processos internos relacionados ao modelo COBIT. - Executar um GAP analysis entre o nível de maturidade encontrado e o desejado pela organização, ou seja, avaliar quais requisitos estão faltando para se atingir o nível de maturidade desejado. - Elaborar um relatório contendo os resultados finais do mapeamento. 13 - Consolidar os resultados visando a implantação de um modelo de Governança de TI na empresa em estudo. 14 2 REFERENCIAL TEÓRICO Neste capítulo, será abordada a revisão da literatura que dá sustentação teórica ao trabalho. Inicialmente serão abordados os objetivos e a necessidade do planejamento estratégico, bem como sua importância para o perfeito equilíbrio entre os negócios da empresa e dos objetivos da área de TI que fazem parte do alinhamento estratégico da empresa. Em seguida será discutido o foco deste trabalho, a Governança de TI, suas aplicações, ferramentas e principais modelos utilizados, dando destaque para o COBIT e GAP Analysis. 2.1 Planejamento Estratégico Neste item, encontra-se a abordagem sobre o Planejamento Estratégico observando as principais práticas, objetivos e motivos que levam uma empresa a adotar um planejamento estratégico. Planejamento, planeamento ou planificação é definido como o ato ou processo de estabelecer objetivos (metas), diretrizes (princípios orientadores) e procedimentos (metodologias) para uma unidade de trabalho. Qualquer organização/instituição, independentemente de sua situação financeira ou porte, passa, em um determinado momento a aplicar o Planejamento Estratégico para resolver seus problemas de ordem econômica, organizacional e/ou estrutural. O objetivo do Planejamento Estratégico é prover direção, concentração de esforço, constância de propósito, e flexibilidade, como um negócio continuamente empenhado em impor sua posição em todas as áreas estratégicas (BOAR, 1994). Desta forma pretende-se estruturar e sistematizar as ações para aproveitar 15 oportunidades e pontos fortes e minimizar ameaças e pontos fracos. O processo de planejamento é mais importante que seu produto final, identificando-se com prováveis mudanças, estabelecendo assim uma harmonia entre a organização e seu meio ambiente. Historicamente as organizações de TI têm feito planejamentos de tecnologia primários que possuem uma ligação muito pobre com o objetivo do negócio. Já nos anos 60, foi proposto por Ansoff o Planejamento Estratégico, considerando a estratégia como uma forma de entender a relação “Produto x Mercado”, ou seja, passava-se a levar em consideração o ambiente externo e o princípio da descontinuidade temporal, porém não havia preocupação com os problemas internos da organização. O princípio da descontinuidade temporal significava que os sistemas nunca vão se comportar no futuro como se comportavam no passado, pois tem que acompanhar as mudanças culturais e os avanços tecnológicos. Com o natural aumento da pressão sobre essas empresas, como a crescente demanda por soluções de TI, aceleração da mudança de tecnologia e competição dos recursos de TI, as organizações passaram a usar os métodos do Planejamento Estratégico para guiar também sua evolução tecnológica. 2.1.1 O que leva uma empresa a usar o Planejamento Estratégico? A globalização dos mercados, com a conseqüente intensificação da competitividade e o crescente nível de exigência relacionado aos produtos e serviços, levam a acreditar que, num futuro próximo, todos os aspectos da organização vão influenciar o seu posicionamento competitivo (AMARAL e VARAJÃO, 2000). 16 Considerando esta afirmação podemos listar alguns dos motivos que levam um a empresa a adotar o Planejamento Estratégico de suas atividades: - Flexibilidade: As mudanças que ocorrem no cenário global, exigem que a empresa seja capaz de assimilar rapidamente as conseqüências e exigências de mercado no qual está inserida; - Integração Organizacional: Os processos da empresa passam a ser observados como um processo contínuo que interage diretamente para o sucesso/insucesso dos objetivos determinados; - Motivação da equipe: As pessoas envolvidas com o planejamento passam a pensar estrategicamente, buscando informações e formas de racionalizar o uso dessas informações. Desta forma, a motivação da equipe contribui para a geração de novas idéias e a inovação; - Espírito Organizacional: A empresa passa a enxergar os desafios como parte integrante da rotina da empresa. As pessoas lutam para atingir os objetivos determinados, pois têm conhecimento da importância do seu trabalho para o alcance dos mesmos. 2.1.2 Planejamento Estratégico dos Negócios A utilização do planejamento estratégico como ferramenta para promover um melhor direcionamento da empresa foi proposto por Henry Fayol em 1916. Desde esta época, o conceito de estratégia de negócios continua evoluindo, acompanhado da criação de novas técnicas, teorias e modelos de gestão. Elas permitem que a empresa formule seu direcionamento para cada ramo de negócio, defina as relações com clientes e fornecedores, suas dificuldades, inovações, controle de qualidade, 17 entre outros. Algumas estratégias dependem das leis impostas seja pelo governo (do próprio país ou governo estrangeiro) ou boas práticas de mercado. Já em 1977 Ansoff sugere a incorporação de tecnologia para gerenciar as estratégias da organização. O uso do planejamento estratégico como ferramenta de gestão permite a determinação da relação da organização com o meio ao qual ela está inserida, suas relações com o mercado, políticas de mudanças, administração de recursos, controle de processos e determinação de estratégias que devem agir de maneira eficiente e eficaz nos níveis estratégico, tático e operacional. Para implantar tais estratégias alguns passos devem ser seguidos: - Determinação do Enfoque da Empresa: significa determinar a identidade da empresa, seus objetivos quanto organização, ramos de atuação e valores organizacionais; - Prospecção: identificar qual o patamar a empresa deseja alcançar no futuro de acordo com os objetivos levantados anteriormente; - Planejamento: deve levantar as oportunidades que a empresa tem de obter sucesso em suas ações, levantamento de riscos e identificação de prós e contras para a implantação de estratégias; - Elaboração de Estratégias: significa compor um plano de ação para programar as atividades a serem executadas, levando em consideração os limites das ações, sua seqüência e recursos necessários: pessoais, financeiros, materiais e outros. - Implementação: a organização deve executar as atividades definidas para operacionalização do plano e alcance dos objetivos, havendo um constante acompanhamento e adequação do planejamento à realidade. 18 - Revisão e Avaliação: aplicação de revisão e avaliação para ajustes nos desvios ocorridos durante o planejamento. Mesmo sendo considerados essenciais, estes passos podem ser definidos de outra maneira, mesmo que todas as atividades contidas sejam exatamente as mesmas. Um outro modelo de seqüência, como denotam alguns autores, pode ser definido por: - Análise dos ambientes externos e internos; - Estabelecimento de diretrizes organizacionais através da missão, cenários, objetivos e metas (componentes do plano); - Formulação da estratégia com a especificação das políticas, regras, atividades e responsabilidades; - Controle estratégico, ou seja, controle das mudanças e atendimento das metas (CHIAVENATO e MATOS, 1999). Outro modelo de planejamento descrito por Boar (1993) apresenta como característica a visão de estratégia em constante movimento. O autor determina que o modelo de planejamento estratégico deve representar este movimento, através de sentidos e concentrações de esforços, na continuidade dos negócios em áreas estratégicas, na visão de comprometimento das pessoas com as mudanças e na visão do componente de feedback durante a execução (vigilância e aprendizado sobre os projetos desenhados). O modelo, apresentado na Figura 2.1, apresenta a ação da gestão estratégica, de mover o negócio da posição atual para a posição futura, considerando que uma estratégia de ação é uma estratégia de força, tendo como conseqüência este 19 movimento. As mudanças de rumo, devem ser permitidas, apenas, de maneira rápida. Para tanto, as organizações devem configurar-se se em estruturas flexíveis e articuladas, permitindo velocidade de ação ou redirecionamento estratégico. Figura 2.1 Planejamento Estratégico em Movimento. Fonte: Wiley & Sons, 1993 2.1.3 Planejamento Estratégico de TI - PETI Em meados dos anos 70, o principal foco da área de sistemas de informação e ciências da computação era a atividade de processamento de dados. A visão era orientada para o armazenamento de dados e não para a disponibilização e uso da informação para gerar benefícios para a organização. Nas décadas seguintes, algumas metodologias de planejamento estratégico de tecnologia de informação começaram a emergir e o gerenciamento das organizações começa a ser envolvido nesta prática, dessa forma as informações provenientes dos dados adquiridos passa 20 a ser um fator diferencial no sucesso da organização. Com a evolução de novas tecnologias como a Internet, comércio eletrônico e e-business o planejamento estratégico de TI tem sido consistentemente identificado pelos executivos de tecnologia de informação (Chief Information Oficcer - CIO), como uma atividade essencial para o bom gerenciamento dos recursos de TI. A área de TI pode ser focalizada como uma agente de mudanças estratégicas nas organizações, através de três tipos de usos de TI (Venkatraman, 1997). Estes tipos de uso são: - O redesenho do processo do negócio, onde a TI é usada para realinhar as atividades e relacionamentos do negócio, na busca de maior performance. - O redesenho dos relacionamentos do negócio, onde a TI é usada para agregar valor ao negócio em toda a sua cadeia de valor. - A redefinição do escopo do negócio, onde a TI é parte de uma extensão dos produtos e mercados, alterando alguns dos papéis das organizações. Segundo Torres(1994), o planejamento estratégico de TI pode ser definido como um processo de identificação de infra-estrutura e aplicações para suportar o negócio das organizações através do atendimento dos objetivos organizacionais. Atualmente, o planejamento estratégico de TI tem se tornado uma atividade crítica para muitas organizações. Alguns aspectos relacionados ao aumento das pressões dos negócios, dos riscos, das competências e da relação preço/performance, tem servido para mudar os papéis e funções da TI, incluindo o seu uso para obtenção de vantagens competitivas e como transformadora dos processos, estrutura e relacionamentos do negócio. Com isto, está se tornando difícil separar os aspectos de planejamento de TI dos de negócio. 21 Existe uma grande diversidade de conceitos utilizados no planejamento estratégico de TI. De forma geral, os principais conceitos a serem identificados no processo são: - Missão: Inclui a proposta, o negócio em que está engajada para alcançar a sua proposta e os valores que a guiam. - Visão: Literalmente a imagem mental da realização bem-sucedida de sua missão e da sua proposta organizacional. - Objetivos de Sistemas de Informação: Medidas de performance do uso dos recursos das informações e da tecnologia de informações. - Políticas de Sistemas de Informação: Regras gerais que deverão ser usadas para guiar o desenvolvimento dos Sistemas de Informação. - Estratégias de Sistemas de Informação: Respostas de uma organização, por meio das ações sobre o ambiente dinâmico e hostil, em busca do alcance de sua missão. - Programas de Desenvolvimento, como sendo as atividades e regras específicas que servem de guia para a implementação dos SI e da tecnologia disponibilizada (ROSSETO, 2000; BRODBECK 2000). Outro modelo de planejamento estratégico de TI, que apresenta um grande enfoque na identificação de uma filosofia e capacitação da empresa é definido por três elementos chaves: comprometimento, posicionamento estratégico do negócio e uso da TI. O comprometimento dos integrantes do plano deve ser obtido através de participação (trabalho em grupo) e capacitação (aprendizado e experiência) dos mesmos com a TI. O posicionamento estratégico da empresa, ou seja, das informações operacionais, gerenciais e corporativas e da estrutura interna 22 (processos) da empresa, reflete na TI a ser adotada, influenciando no formato de gestão da informação e na estrutura organizacional (TORRES. 1994). Dessa forma, o uso da TI pela empresa e avaliação de seu impacto sobre a estrutura corporativa deve ser focado nos resultados esperados em relação às estratégias definidas no plano de. A importância do PETI encontra-se justamente no alcance dos objetivos fixados para o futuro, na alocação e sincronização dos recursos (desempenho) e na obtenção de vantagens competitivas. As grandes contribuições do PETI devem ser: - Melhoria da performance da área de TI, seja pela alocação mais eficiente de recursos, como pelo aumento de produtividade dos analistas e programadores. - Alinhamento das estratégias de TI com as estratégias do negócio, possibilitando vantagens competitivas. - Comprometimento da alta administração através da alocação dos recursos e resultados intermediários e incrementais. - Antecipação de tendências futuras (inovação tecnológica contínua, evitando rupturas drásticas e altos investimentos). - Aumento do nível de satisfação dos usuários ofertando tecnologia compatível e com facilidade de manuseio (Brodbeck 2000). 2.1.4 Métodos de Planejamento Estratégico de TI Uma metodologia pode ser entendida como uma maneira pré-definida de como executar determinada atividade. Da mesma forma com que podemos executar 23 uma determinada tarefa de diversas maneiras diferentes, um planejamento estratégico de TI pode ser feito de diversas formas. Levando em conta as diversas características de cada autor, a grande diversidade de métodos existentes é atribuída como conseqüência das mais diversas finalidades do processo de planejamento estratégico, da grande diversidade de abordagens, mudança do foco de atenção e adoção de adaptações particulares para cada caso a ser estudado. A tabela 2.1 mostra os principais métodos utilizados para planejamento estratégico. Tabela 2.1 Métodos de Planejamento Estratégico. Fonte: Varajão e Amaral, 2000. Sigla Nome Referência BIAIT Business Information Analysis and Integration Carlson, 1979 BICS Business Information Characterization Study Kerner, 1979 CRLC Customer Resourse Life Cicle Ives e Learmonth,1984 CSF Critical Sucess Factors Rockart, 1979 E/MA End-Means Analysis Wetherbe e Davis, EAP Enterprise Architecture Planning Spewak e Hill, 1993 IQA Information Quality Analysis Vacca, 1984 ISP/IE Information Strategy Planning/Information Martin, 1986 NNM Nolan-Norton Method Moskowitz, 1986 PQM Process Quality Management Ward, 1990 RACINES Recueil Actualisé des Choix Informatiques Racines, 1978 SDP Strategic Data Planning Martin, 1982 SOG Stages of Growth Nolan, 1982 SPC Strategic Planning Cicle Bunn, et al, 1989 SST Strategic Set Transformation King, 1978 VCA Value Chain Analysis Porter e Millar, 1985 É importante salientar que a metodologia BSP (IBM, 1984), é a que se destaca como sendo a mais utilizada nos últimos anos. Criada na década de 70, é uma metodologia de planejamento focada nos recursos disponíveis para a implementação da TI pela organização e, explora o relacionamento dos sistemas com os negócios das organizações. A sua visão de base é de um processo de 24 planejamento estático, top-down (de cima para baixo), onde se desenha o plano de capacitação tecnológica, implementa-se este plano e encerra-se o processo. As técnicas e instrumentos de coleta de dados utilizados são: reuniões, entrevistas estruturadas, listagem de problemas, relatórios atuais. Ela apresenta quatro elementos de base para o planejamento de SI: processos, organização, sistemas e os dados. 2.2 Alinhamento Estratégico Nesta seção abordamos o alinhamento, os principais modelos adotados e suas respectivas variações. A noção básica de alinhamento é a de quando as partes estão em um estado de alinhamento, elas naturalmente trabalham juntas para atingir determinado fim. Não há pontos de discórdia e todas as partes complementam e reforçam umas as outras. A partir daí, podemos identificar em uma organização, que seu negócio está em estado de alinhamento quando todas as funções e processos estão interligadas por um objetivo comum. O conceito de alinhamento estratégico varia de acordo com o ponto de vista de cada autor. Os principais conceitos encontrados são: - O alinhamento das estratégias significa aderência dos investimentos e gastos em TI levando em consideração o valor que eles agregam aos negócios de uma organização (FAGUNDES, 2004). - O alinhamento ou coordenação entre Planejamento Estratégico de Negócios/Planejamento Estratégico de TI é alcançado quando o conjunto de 25 estratégias de TI (sistemas, objetivos, obrigações e estratégias) é derivado do conjunto estratégico organizacional (missão, objetivos e estratégias) (LEDERER e MENDELOW 1989). - A ligação entre Planejamento Estratégico de Negócios/Planejamento Estratégico de TI corresponde ao grau no qual a missão, os objetivos e planos de TI refletem e são suportados pela missão, os objetivos e planos de negócio e vice-versa (REICH, 1992). - O alinhamento estratégico corresponde à adequação estratégica e integração funcional entre os ambientes externo (mercado, política, fornecedores, etc.) e interno (estrutura administrativa e recursos financeiros, tecnológicos e humanos) para desenvolver as competências e maximizar a performance organizacional (HENDERSON e VENKATRAMAN,1993; LUFTMANN, 1993). - O alinhamento entre Planejamento Estratégico de Negócios/Planejamento Estratégico de TI é a adequação entre a orientação estratégica do negócio e a orientação estratégica de TI (CHAN, 1997). Levando essas definições para o ambiente organizacional, temos que hoje em dia, o nível de competição não permite que as organizações tenham dúvidas quanto ao correto direcionamento das ações e desdobramentos de seus vários processos e das diretrizes estratégicas no nível corporativo. Segundo Roberto Shinyashiki (2005): “Ter uma estratégia definida impede que a empresa fique vagando sem rumo, experimentando de tudo um pouco e tentando acertar todo e qualquer possível alvo. A idéia é procurar, encontrar ou até mesmo inventar uma proposta diferente e especial. Definir a estratégia significa criar uma proposta única.” 26 Com essa perspectiva, o sucesso das atividades de TI passa a ser avaliado pela contribuição que os gastos e investimento realizados oferecem à organização como um todo. Obter o alinhamento significa desenvolver habilidade para desenvolver estudos de viabilidade e práticas de gerenciamento de custos, o que, a princípio, parece ser uma tarefa simples, mas que na prática tem sido uma atividade que envolve extremo desafio que dependendo do enfoque, pode levar a um sucesso extraordinário, como também a um revés de proporções gigantescas (FAGUNDES, 2004). Para avaliar a eficiência das operações de TI dependemos de um modelo que considere os fatores usados dinamicamente para criar e explorar pontos como: arquitetura tecnológica, elementos que compõem processos de produção, comunicação, armazenamento e recuperação de informações. Embora algumas empresas adotem o processo de apuração e controle de custos, elas nem sempre conseguem avaliar o quanto suas estratégias estão alinhadas. Normalmente, isso se deve ao fato de que na maioria dos casos, o controle de custos baseia-se num modelo não técnico e que, conseqüentemente, é executado informalmente, fato que traz frustrações e compromete o sucesso da iniciativa. A boa prática gerencial mostra que é necessária uma metodologia que forneça ao CIO uma visão muito bem definida sobre o valor que a atividade de TI agrega aos negócios da empresa e o quanto ela ajuda uma área ou a organização como um todo no cumprimento da sua missão (FAGUNDES, 2004). 27 Boar (1993) define um modelo de cinco estágios para avaliar se a área de TI está em um perfeito estado de alinhamento: - Estágio 1 – Sistemas funcionais: A TI é usada para automatizar funções de negócio individuais. - Estágio 2 – Sistemas Funcionais Cruzados: A TI é usada para construir sistemas que limitam e permitem a divisão de dados. - Estágio 3 – Reengenharia de Negócios: A TI é usada de forma a criar sincronização com a estratégia de negócios. Os limites do sistema incluem clientes, suprimentos e qualquer outra parte envolvida. - Estágio 4 – Imagem do Negócio: a TI é usada como alicerce de uma radical reestruturação dos negócios. A completa vantagem nos negócios guia a seleção e o uso das tecnologias mais importantes para introduzir vantagens nos processos do negócio. - Estágio 5 – Criar e Explorar Oportunidades de Negócio: A TI adquiriu um estado de plena força e manuseio que pode ser usada pelo negócio para criar deslocamentos e a correspondente exploração destes deslocamentos no mercado. Já Henderson e Venkatraman propõem um modelo de alinhamento conceitual (Figura 2.2) que permite que a TI complemente e disponibilize o negócio pela aquisição de um alinhamento perfeito com cada nível de decomposição. 28 Figura 2.2 Modelo Conceitual de Alinhamento Estratégico. Fonte: Henderson e Venkatraman, 1993 O modelo define os componentes estratégicos de TI e do negócio e assegura a similaridade dos processos de cada um deles, mostrando que podem caminhar em paralelo ou dar suporte uns aos outros conforme as direções. Esses caminhos de integração estão representados em mão dupla, mostrando a relevância da multidimensionalidade do modelo e do fluxo contínuo dos processos. Além disto, traz a concepção de que o alinhamento estratégico não é um evento isolado, mas um evento dinâmico em constante mudança. Estes dois modelos apresentados focam a organização como um processo ativo. Ainda assim, existem outros modelos propostos que seguem uma linha diferente, como o modelo de Reich, que procura representar o grau de consistência e atendimento entre os objetivos de negócio e TI. 29 2.3 Governança de TI Neste tópico é apresentada a Governança de TI, seus conceitos segundo os principais autores e as vantagens alcançadas com sua adoção. Logo em seguida são apresentados os conceitos de Governança Corporativa e a forma com que a mesma agrega valores à empresa. Após a explanação dos conceitos, são apresentadas as principais ferramentas e técnicas para a governança de TI, que compõem o “Framework” de Governança de TI. Na última parte deste referencial teórico, é abordado o COBIT e suas funcionalidades e modelos e a metodologia de GAP Analysis. A Governança de TI é um conceito novo dentro da área de TI. Um número significativo de empresas vem adotando alguns dos modelos de gestão no mercado, procurando obter sucesso na administração e no alinhamento com a área de TI, pois realizam um grande investimento em TI, esperando obter vantagens e, conseqüentemente, lucros. Segundo a ISACA (2000), a Governança de TI é uma estrutura de relacionamentos e processos para dirigir e controlar a empresa a fim de alcançar os seus objetivos pela adição de valor, ao mesmo tempo em que equilibra riscos versus retorno sobre TI e seus processos. A Governança de TI é essencial para garantir melhorias eficazes e eficientes nos processos da empresa. Ela fornece uma estrutura que liga os processos de TI, os recursos de TI e as informações às estratégias e objetivos da empresa. Além disso, compor uma governança de TI significa assegurar que as informações da empresa e a tecnologia aplicada suportam os objetivos do negócio, permitindo, 30 dessa forma, que a empresa tire total proveito dessas informações, maximizando benefícios, capitalizando em oportunidades e adquirindo vantagem competitiva. Encontramos ainda outras definições como: “um sistema formado por regras, processos e estruturas que busca garantir efetividade nas tomadas de decisão relacionadas a TI” (ROSSI, 2004) e “uma estrutura de relações e processos que dirige e controla uma organização a fim de atingir seu objetivo de adicionar valor ao negócio, através do gerenciamento balanceado dos riscos com o retorno sob os investimentos (ROI) em TI” (FAGUNDES, 2004). Dessa forma, há uma busca pelos papéis e responsabilidades oriundas do CIO, definição de processos, controle de riscos de negócios, identificação de uma cadeia de valor, alinhamento com as estratégias e os mecanismos que permitem realizar e controlar o sistema. Esses fatores podem levar à obtenção não apenas de vantagem competitiva mas também: - Maior agilidade e capacidade para novos modelos de negócios e/ou ajustes nos modelos já em vigor. - Explicitação na relação entre custos de TI e valor da informação. - Explicitação da importância da área de TI na continuidade do negócio. - Medição e melhoria contínua da performance de TI. - Viabilização de acompanhamento de contratos internos e externos. - Definição de condições para o exercício eficaz da gestão com base em conceitos consolidados de qualidade (BRODBECK, 2004). Como observado, as principais abordagens da governança trazem uma nova premissa para as empresas: a da medição e controle. O princípio da medição vem ao encontro do monitoramento das atividades para garantir que os processos sejam 31 qualificados e conhecidos em seus pormenores. Quando ocorre o total conhecimento da cadeia de processos, eles podem ser controlados e alinhados de acordo com os objetivos do negócio. Somente a partir desse controle é que pode ocorrer um gerenciamento eficaz. Este enfoque na medição e no controle ganha ainda mais destaque sob outra ótica: A Governança de TI traz para as empresas uma nova cultura de gestão baseada em medições, que considera aspectos não só financeiros, mas que controla fatores que apontem para o futuro, através de indicadores (CARVALHO, 2004), que podem apresentar à empresa uma melhor definição qualitativa quanto ao desempenho da TI no resultado da empresa. 2.3.1. Governança Corporativa A partir dos anos 90, muito se fala sobre governança corporativa, que pode ser definida de modo simplório como uma nova forma de organizar as relações entre a empresa e o mercado. Segundo o Instituto Brasileiro de Governança Corporativa (IBGC, 2003), a governança corporativa é o sistema pelo qual as sociedades são dirigidas e monitoradas, envolvendo os relacionamentos entre Acionistas/Cotistas, Conselho de Administração, Diretoria, Auditoria Independente e Conselho Fiscal. As boas práticas de governança corporativa têm a finalidade de aumentar o valor da sociedade, facilitar seu acesso ao capital e contribuir para a sua perenidade. De forma análoga, temos que a governança corporativa é o sistema pelo qual se exerce e monitora o controle das corporações. Está claro, desde logo, que este sistema está intimamente vinculado à estrutura de propriedade, às características do 32 sistema financeiro, à densidade e profundidade dos mercados de capitais e ao arcabouço legal de cada economia (RABELO e SILVEIRA, 1994). A expressão Governança é designada para abranger os assuntos relativos ao poder de controle e direção de uma empresa, bem como as diferentes formas e esferas de seu exercício e os diversos interesses que, de alguma forma, estão ligados à vida das sociedades comerciais. Governança corporativa é valor, apesar de, por si só, não criá-lo. Isto somente ocorre quando, ao lado de uma boa governança, temos também um negócio de qualidade, lucrativo e bem administrado. Neste caso, a boa governança permitirá uma administração ainda melhor, em benefício de todos os acionistas e daqueles que lidam com a empresa. Podemos encarar a necessidade da governança sob o ponto de vista de Oliveira (2005), em que os objetivos do titular de uma propriedade nem sempre estão alinhados com os interesses dos administradores desta propriedade. Desta forma, surge a necessidade de mecanismos de monitoramento e incentivo para garantir que o comportamento executivo esteja alinhado com os o interesse dos acionistas. Levando para o âmbito globalizado, vemos que a forma de adoção da governança corporativa é significativamente diferente em cada parte do mundo. Suas características tendem a ser modificadas de acordo com o meio no qual está inserida. O Estado, através da definição dos sistemas financeiro e legal, modela a formação do mercado de capitais local e do grau de proteção dos investidores, influenciando o modelo de governança das empresas. Desta forma, os países apresentam diferenças significativas entre os sistemas de governança corporativa das suas empresas (SILVEIRA, 2002). 33 Dessa forma, fica evidente que os modelos de governança de cada país são orientados de acordo com as principais empresas daquela região. Mesmo assim, as diferenças entre os modelos dos países desenvolvidos tendem a ser menores que a diferença entre países de economias menores. No Brasil, o IBGC propõe um “Código de Melhores Práticas de Governança Corporativa”, em que está definida uma série de objetivos e princípios para guiar as empresas sobre seus passos na governança corporativa, tendo por objetivo: - Aumentar o valor da sociedade. - Melhorar seu desempenho. - Facilitar seu acesso ao capital a custos mais baixos. - Contribuir para sua perenidade. Destacando-se entre os principais princípios do código, estão: - Transparência: para agregar um clima de confiança nas relações com terceiros é necessário além de informar, ter a vontade de informar não apenas os resultados financeiros, mas também os demais fatores que levam à criação de valor. - Eqüidade: eliminação de toda e qualquer diferenciação entre os grupos, sejam eles majoritários ou minoritários, a fim de estabelecer uma relação justa. - Prestação de Contas: prestação de contas de todos os atos praticados durante o exercício do mandato. - Responsabilidade Corporativa: mais do que uma visão estratégica, é uma integração dos valores sociais e ambientais visando à continuidade e sustentabilidade da empresa. 34 2.3.2. “Framework” de Governança de TI Assim como em outras áreas de tecnologia, na Governança de TI, uma série de metodologias sugere métodos e ferramentas para guiar as empresas na preparação, aplicação e gerenciamento dos passos que levam à Governança Corporativa. Na verdade, cada uma dessas metodologias possui um foco específico, o que em muitos casos leva as empresas a adotar várias dessas metodologias em conjunto para aproveitar o que cada uma tem a oferecer de melhor. Com a combinação dessas metodologias podemos obter uma estrutura que denominamos “framework’ de governança de TI. A seguir serão descritas as principais metodologias adotadas no “framework” de governança de TI e suas principais características. ITIL é acrônimo de Information Technology Infrastructure Libray e tem foco na operação e na infra-estrutura de TI. Este modelo não se preocupa com desenvolvimento de software e tampouco com alinhamento estratégico de negócios. É um conjunto de recomendações e melhores práticas para a gestão da infra- estrutura, desenvolvido pelo governo inglês. Não é uma metodologia restrita e não possui uma certificação, o que não compromete a qualidade do conteúdo integrante da biblioteca. Quaisquer aplicações das práticas que compõem o ITIL resultam em uma grande mudança cultural por parte das organizações. Envolve reorganização de equipes, participação da alta direção, etc., assim como qualquer projeto estrutural (PARREIRAS, 2005). CMM (Capability Matury Model) é uma certificação concedida pela Software Engeneering Institute (SEI), da Universidade Carnegie Mellon (EUA), que mede o grau de maturidade no processo de desenvolvimento de software. O CMM focaliza 35 os processos, que considera o fator de produção com maior potencial de melhoria a prazo mais curto. Outros fatores, como tecnologia e pessoas, só são tratados pelo CMM na medida em que interagem com os processos. Para enfatizar que o escopo do CMM se limita aos processos de software, o SEI passou a denominá-lo de SW- CMM, para distingui-lo de outros modelos de capacitação aplicáveis a áreas como desenvolvimento humano, engenharia de sistemas, definição de produtos e aquisição de software. Em 2004Esta denominação evoluiu para CMMI, adotada atualmente (PARREIRAS, 2005). PMBOK (Project Management Body of Knowledge) é um guia onde se descreve as principais áreas de conhecimento e as melhores práticas dentro da área de gerência de projetos. Ele é um material genérico que pode ser utilizado em qualquer área de conhecimento, ou seja, tanto para construção de uma obra de engenharia ou processo de fabricação industrial, como para a produção de software. Outro objetivo do PMBOK é a padronização de termos utilizados em gerência de projetos. SOX (lei Sarbanes-Oxley) é uma lei aprovada em 2002 pelo governo americano voltada principalmente para companhias de capital aberto com ações nas bolsas de valores ou com negociação na Nasdaq para acabar com as fraudes contábeis. Esta lei possui 11 seções que são direcionadas principalmente à responsabilidade penal da diretoria. As seções 302 e 404 dizem respeito à responsabilidade corporativa pela veracidade de conteúdo dos relatórios financeiros produzidos e pela área de TI e avaliação dos controles internos. Mesmo assim, não há nenhuma menção específica sobre quais controles e processos a área de TI da organização necessita ter para que ela esteja adequada à lei. Desta forma, os modelos de Governança de TI servem como uma ferramenta útil para que a organização consiga atender aos 36 requisitos da lei, pois estes modelos ajudam a definir e documentar os controles internos da área de TI. ISO 17799 é uma norma homologada pelo comitê ISO que prevê os mais diversos tópicos para a área da segurança da informação. Esta norma está dividida em 10 capítulos principais, contendo 127 controles de segurança que mantêm o foco na gestão de riscos, suas principais definições são códigos de práticas para a gestão da informação sob os aspectos de confidencialidade, integridade e disponibilidade. 37 2.3.3. COBIT Segundo ISACA (Information Systems Audit and Control Association), o COBIT é editado pelo ITGI (Information Technology Governance Institute) e aceito internacionalmente como uma boa prática de controle sobre informações, TI e riscos relacionados. Utiliza-se o COBIT para implantar a governança de TI e melhorar os controles de TI. O COBIT proporciona um conjunto de práticas internacionais geralmente aceitas e respeitadas que ajudam os conselhos diretores, executivos e gerentes a aumentar o valor de TI e reduzir os riscos correspondentes (ITGI, 2005). A primeira edição foi divulgada em 1994 com um forte foco na auditoria de TI. Atualmente em sua 4ª edição apresenta um enfoque maior em negócios para abordar as responsabilidades em evolução dos conselhos e funcionários. Segundo ITGI (2005), o COBIT foi projetado para ser utilizado por 4 diferentes públicos: - Direção executiva: Para obter valor dos investimentos de TI e equilibrar os riscos e controlar os investimentos no ambiente freqüentemente imprevisível de TI. - Administração do negócio: Para garantir o gerenciamento e controle dos serviços de TI prestados internamente ou por terceiros. - Administração de TI: Para prover os serviços de TI requeridos para suportar a estratégia do negócio de uma maneira controlada e gerenciada. - Auditores: Para subsidiar seus pareceres e aconselhar a administração sobre controles internos. 38 Estrutura do COBIT: Buscando atuar em todas as atividades de uma organização de TI, o COBIT se sub-divide em 3 níveis como mostrado na figura a seguir: Figura 2.3 Os 3 níveis do COBIT. Fonte: ITGI,2005 Domínios: - Planejamento e Organização (PO): Este domínio trata das estratégias e táticas, e procura identificar a maneira que a TI pode melhor contribuir para o alcance dos objetivos do negócio. Neste domínio existem 10 processos: PO1 - Definir o plano estratégico de TI PO2 - Definir a arquitetura da informação PO3 - Determinar a direção tecnológica PO4 - Definir processos, organização e relacionamentos da TI PO5 - Gerenciar os investimentos de TI PO6 - Comunicar os objetivos e direção da administração PO7 - Gerenciar os recursos humanos PO8 - Gerenciar a qualidade 39 PO9 - Avaliar e gerenciar os riscos de TI PO10 - Gerenciar projetos - Aquisição e Implementação (AI): Para concretizar a estratégia de TI, é necessário identificar, desenvolver ou adquirir as soluções de TI, bem como integrá-las ao processo do negócio. Esse domínio também contempla as mudanças e manutenções nos sistemas existentes para assegurar que as soluções continuem atendendo aos objetivos do negócio. Neste domínio estão sete processos: AI1 - Identificar as soluções de automação AI2 - Adquirir e manter os Softwares Aplicativos AI3 - Adquirir e manter a infra-estrutura tecnológica AI4 - Habilitar a operação e o uso AI5 - Obter recursos de TI AI6 - Gerenciar as mudanças AI7 - Instalar e validar as soluções e as mudanças - Entrega e Suporte (DS): Este domínio atua sobre as entregas desejadas dos serviços o que inclui entrega de serviços, gerenciamento da segurança e da continuidade, suporte aos usuários e gerenciamento dos dados e do ambiente operacional. Abaixo deste domínio existem 13 processos: DS1 - Definir e manter os acordos de níveis de serviços (SLA) DS2 - Gerenciar os serviços de terceiros DS3 - Gerenciar a performance e a capacidade DS4 - Assegurar o serviço contínuo DS5 - Garantir a segurança dos sistemas 40 DS6 - Identificar e alocar custos DS7 - Educar e Treinar usuários DS8 - Gerenciar o Service Desk e os Incidentes DS9 - Gerenciar a configuração DS10 - Gerenciar os problemas DS11 - Gerenciar os dados DS12 - Gerenciar o ambiente físico DS13 - Gerenciar as operações - Monitoração e Avaliação (ME): Todos os processos de TI devem ser avaliados regularmente quanto à qualidade e conformidade com requisitos de controle. Este domínio abrange o gerenciamento do desempenho, monitoramento dos controles internos, conformidade com as regulamentações e governança. Neste domínio ficam 4 processos: ME1 - Monitorar e Avaliar a Performance de TI ME2 - Monitorar e Avaliar os Controles Internos ME3 - Assegurar Conformidade com Regulamentações ME4 - Prover a Governança de TI Para satisfazer os objetivos de negócio com qualidade, as informações devem atender a sete critérios (ITGI, 2005): - Eficácia: A informação deve ser relevante e pertinente aos objetivos do negócio, devendo ser disponibilizada às pessoas de forma precisa, consistente e no prazo adequado; 41 - Eficiência: A informação deve ser disponibilizada da forma mais produtiva e econômica possível. - Confidencialidade: Assegura que as informações não serão utilizadas por pessoas não autorizadas. - Integridade: A informação deve ser completa, atual e precisa, atendendo às necessidades do negócio. - Disponibilidade: A informação, assim como todos os recursos necessários para sua geração e utilização, deve estar disponível sempre que necessário. - Conformidade: A informação deve estar em conformidade com leis, regulamentos e arranjos contratuais os quais os processos de negócios estão sujeitos. - Confiabilidade: Fornecimento das informações adequadas aos administradores para que estes possam cumprir adequadamente suas responsabilidades gerenciais, financeiras e de conformidade. Os recursos de TI devem ser gerenciados por um conjunto de processos agrupados por domínios para gerar a informação que a organização necessita para atingir seus objetivos(ITGI, 2005). São definidos como recursos de TI: - Aplicativos: São tanto os sistemas automatizados como os procedimentos manuais que processam a informação; - Informação: São os dados em todas suas formas tanto processados como sendo entrada ou saída dos sistemas de informação. - Infra-Estrutura: são as tecnologias e instalações (hardwares, sistemas operacionais, sistemas de gerenciamento de banco de dados, redes, 42 multimídias e os ambientes físicos que os suportam) que permitem o processamento dos aplicativos. - Pessoas: É a equipe envolvida no planejamento, organização, aquisição, entrega, suporte, monitoração e avaliação dos sistemas de informação e serviços. A estrutura do COBIT possui 34 processos agrupados em 4 domínios e propõe uma forma de gerenciar os recursos de TI de maneira a fornecer informações relevantes ao atendimento dos objetivos do negócio e da governança seguindo os sete critérios de informação citados anteriormente. • Eficácia • Eficiência • Confidencialidade • Integridade • Disponibilidade • Conformidade • Confiabilidade • Pessoas • Aplicativos • Infra-estrutura • Informações INFORMAÇÕES PLANEJAMENTO E ORGANIZAÇÃO MONITORAÇÃO E AVALIAÇÃO AQUISIÇÃO E IMPLEMENTAÇÃO OBJETIVOS DO NEGÓCIO RECURSOS DE TI ENTREGA E SUPORTE CCOBIOBITT OBJETIVOS DE GOVERNANÇA Figura 2.4 Representação da estrutura do COBIT 4.0. Adaptado de ITGI (2005). 43 2.3.4. Gap Analysis De acordo com o ISO 9000:2000, qualidade é definida como “passos que herdam um conjunto de características necessárias para satisfazerem requisitos” e Administração da Qualidade é definida como “atividades coordenadas para controlar e direcionar uma organização respeitando a qualidade”. Direção e controle com respeito à qualidade geralmente incluem o estabelecimento de uma política de qualidade e qualidade de objetivos. Um dos primeiros passos na Administração da Qualidade é comparar todo o Sistema de Administração da Qualidade já existente com algum padrão para podermos relacionar o que de fato deve ser melhorado e o que já está sendo atendido pelo sistema atual. Gap Analysis (análise da diferença) consiste em comparar a situação atual de algo com um modelo pré-determinado. Sua proposta consiste em analisar e identificar o que já está em uso com uma metodologia e o que está faltando. O resultado da análise mostra o que é necessário para fortalecer a qualidade e a administração dos dados e da informação. Um Gap Analysis torna-se necessário quando se deseja obter um guia operacional ou um padrão para a administração da qualidade dos dados através da revisão dos requisitos nos documentos e processos existentes e na identificação das diferenças. A ferramenta mais importante para um Gap Analysis é um Gap Analysis Checklist. Esta ferramenta constitui-se de uma lista de requisitos do padrão a ser analisado, escrita em formato de perguntas. Ao utilizar esta lista, um auditor pode avaliar quais as necessidades de informação, quais processos têm maior carência 44 de acordo com o modelo, além de uma visão geral de todo o sistema analisado contendo uma lista de itens que devem ser implementados, redesenhados, documentados ou até mesmo descontinuados. O conteúdo de uma lista pode variar de acordo com o objetivo a ser verificado. Para a implementação de um alinhamento estratégico pode conter centenas de questões, ao passo que pode conter apenas alguns itens para análises menos sofisticadas. Para assegurar que a implementação do Gap Analysis Checklist está em conformidade com a necessidade de resultados da empresa, são questões a serem observadas: - Se há questões do checklist a serem respondidas com comentários sobre o que está no lugar e o que não está. - Notas explicando quais práticas não são reconhecidas pelo padrão. - Notas onde documentação adicional é obrigatória. - Outras observações relacionadas ao cumprimento do padrão. 45 3 A EMPRESA O trabalho foi desenvolvido na empresa WEG Equipamentos Elétricos S/A. Com sede em Jaraguá do Sul - Santa Catarina, é atualmente a maior fabricante de motores elétricos da América Latina e uma das mais importantes do mundo. Possui em sua estrutura 8 unidades de negócio: WEG Motores, WEG Máquinas, WEG Acionamentos, WEG Transformadores, WEG Química, WEG Exportadora, WEG Florestal e WEG Automação. Somando-se todas as unidades, possui um quadro de aproximadamente 14.000 colaboradores. A WEG Equipamentos Elétricos S/A iniciou suas atividades fabricando motores no ano de 1961. Mesmo com todas as dificuldades de início de vida de uma organização, a produção que no primeiro ano foi de 146 motores elétricos passou a 4.085 no ano seguinte. Nos anos 80, a WEG passou a diversificar ainda mais o seu ramo de atuação. Passou à fabricação de geradores, componentes eletroeletrônicos, produtos para automação industrial, transformadores de força e distribuição, tintas líquidas e em pó e vernizes eletroisolantes. Hoje a WEG é a maior indústria de motores elétricos da América Latina. Presente em mais de 100 países nos cinco continentes, com filiais de vendas em 19 (Estados Unidos, México, Argentina, Venezuela, Bélgica, Alemanha, França, Espanha, Inglaterra, Suécia, Itália, Portugal, Japão, Austrália, Chile, Colômbia, Índia, China e Cingapura), cada vez mais a WEG intensifica sua internacionalização. Atualmente, cerca de 45% de seu faturamento provem do mercado externo. 46 3.1 Departamento de Sistemas de Informação da WEG A estrutura do Departamento de Sistemas de Informação da WEG é dividida em 8 seções, cada qual com objetivos bem definidos, dispostas da seguinte maneira: SecretáriaSecretáriaSecretária Departamento Sistemas de Informação DepartamentoDepartamento SistemasSistemas de de InformaçãoInformação Seção Data Center SeçãoSeção Data CenterData Center Seção Planejamento & Controle - TI SeçãoSeção PlanejamentoPlanejamento & & ControleControle -- TITI Seção Engenharia de Software SeçãoSeção Engenharia de SoftwareEngenharia de Software Seção Atendimento & Suporte SeçãoSeção Atendimento & SuporteAtendimento & Suporte Seção Telecomunicações SeçãoSeção TelecomunicaçõesTelecomunicações Seção Sistemas Corporativos SeçãoSeção Sistemas CorporativosSistemas Corporativos Seção Sistemas de Engenharia SeçãoSeção Sistemas de EngenhariaSistemas de Engenharia Seção Sistemas Comércio Exterior Seção Sistemas Seção Sistemas Comércio ExteriorComércio Exterior TI - WPTTI - WPT TI - WMXTI - WMX TI - WEETI - WEE TI - WEMTI - WEM Figura 3.1 Estrutura do Departamento de Sistemas de Informação da WEG - Seção Planejamento e Controle: Trata das atividades de governança de TI, planejamento estratégico de TI, gestão da segurança da informação, gerenciamento de projetos, gestão da qualidade em TI, orçamentação e acompanhamento financeiro de TI, gestão de fornecedores e de contratos e mapeamento de processos. Nesta seção foi desenvolvido o Projeto COBIT. - Seção Sistemas Corporativos: Trata dos sistemas corporativos e departamentais do grupo WEG. Dentre eles podemos citar os sistemas ERP, CRM, B2B e de BI. 47 - Seção Sistemas de Engenharia: Trata das soluções de TI para as áreas de engenharia do Grupo WEG. - Seção Sistemas Comércio Exterior: Trata das soluções de TI das filiais do exterior do grupo WEG. - Seção Engenharia de Software: Responsável pelo desenvolvimento e manutenção das soluções de TI do Grupo WEG. Possui uma metodologia de desenvolvimento de software própria, baseada no modelo CMMi. - Seção Data Center: Gerenciamento e manutenção de toda a infra-estrutura de TI do grupo WEG. Mantém em Jaraguá do Sul um Data Center que centraliza todas as operações efetuadas. - Seção Atendimento e Suporte: Presta atendimento e suporte dos serviços de TI para todas as unidades do grupo WEG. - Seção Telecomunicações: Responsável por toda infra-estrutura de telecomunicações, rede e manutenção de microinformática do grupo WEG. 3.1.1 Plano Estratégico de TI – PETI Para garantir e suportar um crescimento anual em torno de 20% e uma forte estratégia de internacionalização e expansão fabril, a WEG identificou a necessidade de efetuar um melhor planejamento de suas ações e investimentos em TI. Visando isto, a WEG iniciou a estruturação do PETI – Plano Estratégico de TI. O PETI tem como objetivo nortear as estratégias e ações da TI em total sintonia com o planejamento estratégico da organização viabilizando ações de crescimento, expansão com novos negócios e internacionalização da empresa. Inicialmente o PETI foi elaborado em 2001 e por se tratar de um processo contínuo, passa por revisões a cada 2 anos, sempre com visão estratégica de 5 48 anos. A última revisão realizou-se no final de 2005 e teve como visão estratégica de futuro o ano 2010. A necessidade de avaliar os processos internos de TI com relação ao COBIT foi uma das ações identificadas através deste processo. 3.1.2 Metodologia de Gerenciamento de Projetos No departamento de TI da WEG, as atividades são tratadas como projetos que, por sua vez, são gerenciados através de uma metodologia baseada nas áreas de conhecimento do PMBok. Seguindo esta metodologia, para a elaboração do estudo, foi necessário definir e documentar um Plano de Projeto contendo os seguintes itens: prazo, custo, escopo, comunicação, riscos, recursos envolvidos, aquisições, qualidade e responsabilidades. Com base na metodologia de gerenciamento de projetos implantada na WEG, as etapas para o desenvolvimento do trabalho foram planejadas e detalhadas em uma Estrutura de Documentação do Trabalho (EDT). A figura a seguir apresenta a EDT do projeto COBIT. 49 Figura 3.2 Estrutura de decomposição do trabalho (EDT) para o projeto COBIT 4 METODOLOGIA PROPOSTA PARA AVALIAÇÃO DE MATURIDADE 4.1 Fundamentos Dentre as ferramentas disponibilizadas para a aplicação do COBIT encontra-se o COBIT Management Guidelines que provê um modelo de maturidade, semelhante ao CMMI, com níveis de 0 (Não existente) a 5 (Otimizado) onde, em cada nível, existe uma descrição de como devem estar dispostos os processos para alcançá- los. Além disso, este modelo pode ser utilizado como um checklist para identificar melhorias nos processos de TI existentes na organização. Os seis níveis de maturidade com suas descrições genéricas são (ITGI, 2005): - Nível 0: Não existente - Ausência total de processos identificáveis. A organização não reconhece que há um aspecto a ser tratado. - Nível 1: Inicial - Há evidências de que a organização reconhece que o aspecto existe e deve ser considerado. Entretanto, não há processos padronizados, apenas abordagens eventuais que tendem a ser aplicadas de forma isolada ou caso a caso. - Nível 2: Repetível - Os processos foram desenvolvidos até o estágio em que procedimentos similares são adotados por pessoas distintas que realizam a mesma tarefa. Não há treinamento ou divulgação formais de procedimentos padronizados e as responsabilidades são deixadas a cargo das pessoas. Há um alto grau de confiança no conhecimento pessoal e conseqüente tendência a erros. - Nível 3: Definido - Os procedimentos foram padronizados e documentados, bem como divulgados através de treinamento. Contudo, cabe às pessoas seguir tais processos, sendo pouco provável que desvios sejam detectados. Os procedimentos em si não são sofisticados, consistindo na formalização de práticas existentes. - Nível 4: Gerenciado - É possível monitorar e mensurar a conformidade dos procedimentos, bem como adotar medidas quando os processos aparentarem não funcionar efetivamente. Os processos estão sob constante melhoria e propiciam boas práticas. Automação e ferramentas são utilizadas de forma limitada. - Nível 5: Otimizado - Os processos foram refinados ao nível de melhores práticas, com base nos resultados de melhorias contínuas e modelagem da maturidade com outras organizações.
Compartilhar
Continue navegando
Materiais relacionados
Perguntas relacionadas
Compartilhar