1
HERON DOMINGUES
GOVERNANÇA DE TI: UM ESTUDO DE CASO SOBRE OS PROCESSOS DECISÓRIOS
Dissertação apresentada ao Curso de Mestrado em Sistemas de Gestão da Universidade Federal Fluminense como requisito parcial para a obtenção do Grau de Mestre em Sistemas de Gestão. Área de Concentração: Gestão pela Qualidade Total. Linha de Pesquisa: Sistema de Gestão pela Qualidade Total.
Orientador:
Prof. José Rodrigues de Farias Filho, D.Sc.
Niterói
2007
Livros Grátis
http://www.livrosgratis.com.br
Milhares de livros grátis para download.
2
HERON DOMINGUES
GOVERNANÇA DE TI: UM ESTUDO DE CASO SOBRE OS PROCESSOS
DECISÓRIOS
Dissertação apresentada ao Curso de Mestrado em Sistemas de Gestão da Universidade Federal Fluminense como requisito parcial para a obtenção do Grau de Mestre em Sistemas de Gestão. Área de Concentração: Gestão pela Qualidade Total. Linha de Pesquisa: Sistema de Gestão pela Qualidade Total.
Aprovada em 30 de março de 2007.
BANCA EXAMINADORA
________________________________________________________________ Prof. José Rodrigues de Farias Filho, D.Sc.
Universidade Federal Fluminense – UFF
________________________________________________________________ Prof. Ruben Huamanchumo Gutierrez, D.Sc.
Universidade Federal Fluminense – UFF
________________________________________________________________ Prof. Jorge de Rezende, D.Sc.
3
Dedico este trabalho
A minha mãe Irany, a minha esposa Ana Lúcia, ao meu filho Rodrigo e ao meu irmão
Iran que me acompanham e incentivam com carinho, paciência e amor.
Ao meu pai Nauredino (in memorian) por tudo que representou em minha vida e de
nossa família.
4
AGRADECIMENTOS
Aos amigos Mattoso, Ricardo, Serrano e Sergio que muito contribuíram com idéias e
apoio para a confecção deste trabalho.
A todos os colegas de trabalho que contribuíram com minha formação,
conscientemente ou não.
A Deus por ter escrito esta realização em minha vida.
5
RESUMO
A tecnologia da informação tem desempenhado um papel central na evolução
das organizações. Pode contribuir substancialmente para o sucesso ou falha de uma
organização. Pode alavancar novos produtos e mercados como apresentar
informações incorretas no seu conteúdo ou tempo, influenciando decisões ruins.
Conhecer os processos decisórios, as ferramentas e controles existentes nos
processos de gestão de TI é o foco deste trabalho de pesquisa. Através de um
estudo de caso em empresa de serviço de processamento de grandes volumes de
informações, com utilização intensiva da tecnologia da informação, foi possível
avaliar a maturidade dos processos decisórios de TI e algumas tendências da
evolução desta maturidade.
Palavras-chave: Governança de TI. Processo decisório. Ferramentas de gestão. Controles.
6
ABSTRACT
The technology of the information has been carrying out an important role in
the evolution of the organizations. It can contribute substantially to the success or it
fails of an organization. It can contribute to new products and markets as it presents
incorrect information in his content or time, influencing bad decisions. To know the
decisions processes, the tools and existent controls in the processes of IT
management is the focal point of this research work. Through a case study in
company of service of processing of great volumes of information, with intensive use
of information technology, it was possible to evaluate the maturity of decision
processes of IT and some tendencies of the maturity evolution.
Keywords: IT Governance. Decision Process. Management Tools. Controls.
7
LISTA DE FIGURAS
Figura 1 - Governança de TI como parte da governança corporativa .......................28
Figura 2 - Família de Produtos CobiT .......................................................................29
Figura 3 - Níveis de Esforços da Gestão de Recursos de TI ....................................32
Figura 4 - Estrutura dos Processos do CobiT............................................................41
Figura 5 - Etapas da Metodologia Científica..............................................................43
Figura 6 - Modelo de Gestão Tecnológica da Empresa A – Organograma da Empresa A ................................................................................................................48
Figura 7 - Modelo de Gestão Tecnológica da Empresa A – Comitê de Tecnologia da Empresa A...........................................................................................................50
Figura 8 - Modelo de Gestão Tecnológica da Empresa A – Estrutura de Alinhamento do Negócio com TI ....................................................................................................53
Figura 9 - Classificação Empresa A: PO1 Definir o Plano Estratégico de TI.............57
Figura 10 - Classificação Empresa A: PO2 Definir a Arquitetura da Informação.......59
Figura 11 - Classificação Empresa A: PO3 Determinar a Direção Tecnológica........60
Figura 12 - Classificação Empresa A: PO4 Definir a Organização de TI e Relacionamentos.......................................................................................................62
Figura 13 - Classificação Empresa A: PO5 Gerenciar os Investimentos de TI..........63
Figura 14 - Classificação Empresa A: PO6 Comunicar Objetivos e Direcionamentos.......................................................................................................65
Figura 15 - Classificação Empresa A: PO7 Gerenciar os Recursos Humanos .........66
Figura 16 - Classificação Empresa A: PO8 Assegurar a Aderência de TI aos Requisitos Externos ..................................................................................................67
Figura 17 - Classificação Empresa A: PO9 Avaliar Riscos .......................................69
Figura 18 - Classificação Empresa A: PO10 Gerenciar Projetos ..............................70
Figura 19 - Classificação Empresa A: PO11 Gerenciar a Qualidade ........................71
Figura 20 - Classificação Empresa A: AI1 Identificar Soluções.................................73
Figura 21 - Classificação Empresa A: AI2 Adquirir e Manter Software Aplicativo .....74
Figura 22 - Classificação Empresa A: AI3 Adquirir e Manter Infra-Estrutra Tecnológica ..............................................................................................................75
Figura 23 - Classificação Empresa A: AI4 Desenvolver e Manter Procedimentos ....77
Figura 24 - Classificação Empresa A: AI5 Instalar e Homologar Sistemas ...............78
Figura 25 - Classificação Empresa A: AI6 Gerenciar Mudanças...............................80
Figura 26 - Classificação Empresa A: ES1 Definir e Gerenciar Níveis de Serviço....81
Figura 27 - Classificação Empresa A: ES2 Gerenciar Serviços de Terceiros ...........83
Figura 28 - Classificação Empresa A: ES3 Gerenciar Desempenho e Capacidade..84
8
Figura 29 - Classificação Empresa A: ES4 Garantir a Continuidade dos Serviços ...85
Figura 30 - Classificação Empresa A: ES5 Garantir a Segurança dos Serviços .......87
Figura 31 - Classificação Empresa A: ES6 Identificar e Alocar Custos.....................88
Figura 32 - Classificação Empresa A: ES7 Educar e Treinar os Usuários ................89
Figura 33 - Classificação Empresa A: ES8 Apoiar e Aconselhar os Clientes............90
Figura 34 - Classificação Empresa A: ES9 Gerenciar a Configuração......................91
Figura 35 - Classificação Empresa A: ES10 Gerenciar Problemas e Incidentes.......92
Figura 36 - Classificação Empresa A: ES11 Gerenciar Dados..................................94
Figura 37 - Classificação Empresa A: ES12 Gerenciar Equipamentos .....................95
Figura 38 - Classificação Empresa A: ES13 Gerenciar Operações ..........................96
Figura 39 - Classificação Empresa A: M1 Monitorar Processos................................97
Figura 40 - Classificação Empresa A: M2 Avaliar a Adequação dos Controles Internos.....................................................................................................................98
Figura 41 - Classificação Empresa A: M3 Manter Garantia Independente................99
Figura 42 - Classificação Empresa A: M4 Obter Auditoria Independente ...............100
Figura 43 - Resumo de Classificação – Planejamento e Organização....................103
Figura 44 - Resumo de Classificação – Aquisição e Implementação......................103
Figura 45 - Resumo de Classificação – Entrega e Suporte.....................................104
Figura 46 - Resumo de Classificação – Monitoração ..............................................104
9
LISTA DE TABELAS
Tabela 1 - Gastos e investimentos/receita – valores internacionais por região ou país ...........................................................................................................................17
Tabela 2 - Gastos e investimentos em informática (média e por setor) ....................17
Tabela 3 - Escala de Classificação – Tipo de Estrutura Decisória ............................54
Tabela 4 - Escala de Classificação – Padronização de Ferramentas .......................55
Tabela 5 - Escala de Classificação – Nível de Controles ..........................................55
Tabela 6 - Escala de Classificação – Tipo de Estrutura Decisória ..........................101
Tabela 7 - Escala de Classificação – Padronização de Ferramentas .....................101
Tabela 8 - Escala de Classificação – Nível de Controles ........................................102
Tabela 9 - Resumo de Classificação – Domínios....................................................105
Tabela 10 - Resumo de Classificação – Empresa A ...............................................105
10
LISTA DE ABREVIATURAS
AI Aquisição e Implementação
AICPA American Institute of Certified Public Accountants
ANS Acordos de Níveis de Serviço
BSC Balanced ScoreCard
CMM Capability Maturity Model
CobiT Control Objective for Information and Related Technology
CPD’s Centros de Processamento de Dados
ES Entrega e Suporte
IBGC Instituto Brasileiro de Governança Corporativa
ISACA Information Systems Audit and Control Association
ITGI IT Governance Institute
KGI Indicadores Chaves de Objetivos
KPI Indicadores Chaves de Performance
M Monitoração
PMBOK Project Management Body of Knowledge
PMI Project Management Institute
PO Planejamento e Organização
SAS-70 Statement on Auditing Standards N070
SCF Fatores Críticos de Sucesso
SOX Sarbanes Oxlay
TI Tecnologia da Informação
11
SUMÁRIO
1 INTRODUÇÃO ......................................................................................................13
1.1 CONTEXTUALIZAÇÃO DO TEMA .....................................................................13
1.1.1 O Surgimento Comercial ..............................................................................13
1.1.2 A Descentralização do Processamento ......................................................14
1.1.3 A Internet e a Globalização ..........................................................................15
1.1.4 Ferramentas de Gestão ................................................................................18
1.2 SITUAÇÃO PROBLEMA.....................................................................................19
1.3 OBJETIVO DA PESQUISA .................................................................................20
1.3.1 Objetivo Geral ...............................................................................................21
1.3.2 Objetivo Específico.......................................................................................21
1.4 ASPECTOS METODOLÓGICOS........................................................................22
1.5 JUSTIFICATIVAS................................................................................................23
1.6 DELIMITAÇÃO DA PESQUISA...........................................................................24
1.7 ESTRUTURA DO TRABALHO............................................................................24
2 REVISÃO BIBLIOGRÁFICA.................................................................................26
2.1 CONCEITOS GERAIS DE GOVERNANÇA........................................................26
2.2 A GOVERNANÇA DE TI .....................................................................................28
2.3 O COBIT (CONTROL OBJECTIVE FOR INFORMATION AND RELATED TECHNOLOGY) ........................................................................................................29
2.3.1 Planejamento e Organização .......................................................................33
2.3.2 Aquisição e Implementação.........................................................................36
2.3.3 Entrega e Suporte .........................................................................................37
2.3.4 Monitoração...................................................................................................40
3 METODOLOGIA CIENTÍFICA ..............................................................................43
3.1 ETAPAS DA PESQUISA CIENTÍFICA................................................................43
3.2 NATUREZA DA PESQUISA................................................................................44
4 DESCRIÇÃO DO CASO (ESTRUTURA DE GOVERNANÇA DA EMPRESA A) ....46
4.1 CARACTERIZAÇÃO DA EMPRESA A ...............................................................46
4.2 ESTRUTURAS DECISÓRIAS DA EMPRESA A.................................................50
4.2.1 Comitê Executivo ..........................................................................................50
4.2.2 Comitê de Tecnologia...................................................................................50
4.2.3 Comitê de Arquitetura ..................................................................................51
12
4.3 MODELO DE GOVERNANÇA DE TI DA EMPRESA A ......................................54
4.3.1 Critérios de Classificação do Questionário Aplicado a Empresa A .........54
4.3.2 Levantamento e Análise da Estrutura de Governança de TI da Empresa A...............................................................................................................55
5 ANÁLISE DOS RESULTADOS ..........................................................................101
6 CONCLUSÃO .....................................................................................................107
REFERÊNCIAS.......................................................................................................113
ANEXO ...................................................................................................................116
13
1 INTRODUÇÃO
1.1 CONTEXTUALIZAÇÃO DO TEMA
A tecnologia da informação ou, a informação através da tecnologia, teve seu
início comercial na década de 60 e desde então evoluiu em ritmo acelerado,
desencadeando a maior transformação que o mundo já vivenciou, dada à amplitude
e a velocidade com que provocou mudanças na forma como as pessoas produzem e
utilizam informação. Com o surgimento e a evolução dos computadores, iniciou-se
um ciclo na sociedade, determinado pela capacidade de processamento de
informações, em escalas até então, inimagináveis. Da aplicação comercial do
computador até a disseminação da cultura digital, muitos paradigmas estão sendo
sucessivamente quebrados e substituídos numa velocidade que não poderia ser
prevista. As sociedades encontram dificuldades de adotar conceitos, que se tornam
obsoletos antes mesmo de serem disseminados.
1.1.1 O Surgimento Comercial
Inicialmente os computadores foram utilizados para automatizar as operações
repetitivas, processo que foi conhecido e tratado como ”Processamento de Dados”.
Esta fase foi caracterizada por máquinas de grandes dimensões, que possuíam alta
capacidade de processamento. As operações eram realizadas, de forma
centralizada, em locais isolados nas organizações, pelas necessidades ambientais
exigidas por este tipo de equipamento, tais como espaço e refrigeração. Os
profissionais, que se iniciaram neste novo mundo e criaram dezenas ou mesmo
centenas de novas profissões, no decorrer do tempo, foram cooptados em áreas de
conhecimento de cunho técnico e de raciocínio lógico apurado, normalmente
engenharia e matemática. A capacidade de tratamento de algoritmos era a
habilidade mais importante neste ambiente. As requisições de negócio tinham o
objetivo de eliminar o trabalho humano em atividades rotineiras, trazendo maior
velocidade e melhor qualidade a estas atividades. As exceções eram tratadas de
forma manual, ficando excluídas do processamento dos dados. A relação entre as
pessoas das áreas de negócio e as pessoas da área de processamento de dados
14
era conduzida de maneira informal, não muito documentada. A linguagem
tecnológica e dos algoritmos era indecifrável para as pessoas que conduziam o
negócio. As condições e restrições para o desenvolvimento das aplicações eram
colocadas pelos analistas de sistemas e programadores, funções que surgiram com
o processamento de dados, sem haver capacitação das pessoas das áreas de
negócio para questionar a adequação e a oportunidade da execução destas
requisições.
Neste contexto, a embrionária tecnologia da informação surge com o poder de
determinar quais tecnologias seriam empregadas, quais aplicações poderiam ser
desenvolvidas e como as áreas de negócio deveriam adaptar-se às tecnologias. Um
poder centralizado e crescente pela dependência cada vez maior do computador no
ganho de escala e automação dos processos fez crescer um grupo de natureza
diferenciada no interior das organizações. OS CPDs (Centros de Processamento de
Dados) se constituíram como um corpo próprio no interior das organizações,
disputando poder com as áreas responsáveis pela condução dos negócios das
empresas.
1.1.2 A Descentralização do Processamento
O surgimento do computador pessoal em 1981 e sua aplicação comercial em
meados da década de 80 permitiram uma primeira grande mudança no
relacionamento das organizações com a tecnologia. O avanço da computação
pessoal e a possibilidade de conexão destes computadores em uma rede, com o
compartilhamento de aplicativos e dos dados, fizeram com que as organizações
vislumbrassem a possibilidade de quebrar o poder centralizado dos CPD’s (Centros
de Processamento de Dados).
Termos como “Downsizing” – Migração das aplicações dos computadores
conhecidos como de grande porte, para computadores pessoais conectados em
rede e “Departamentalização” ou “Descentralização” – Transferência da
responsabilidade de definição, desenvolvimento e operação das aplicações para as
áreas de negócio, começaram a se tornar comum nas organizações. Muitas
expectativas surgiram, algumas correspondidas, porém a frustração é bem maior. A
promessa de redução dos custos da tecnologia e a flexibilidade das soluções locais,
15
com poder e prioridades determinadas pela própria área de negócio, não
concorrendo com outras áreas, nem sendo decididas por técnicos especialistas na
tecnologia, criaram a euforia inicial e foi a alavanca para exploração de novas formas
de utilização da tecnologia.
Porém a migração da tecnologia para as áreas de negócio, visando eliminar a
ilha que existia nos CPD’s, de fato criou diversas pequenas ilhas dentro das
organizações, mantendo os problemas de comunicação entre os dois mundos. Além
disto, com a descentralização e a falta de controle provocaram o aumento dos riscos
na utilização da tecnologia. Estes riscos são traduzidos pela redução da segurança
no acesso aos ambientes, pelos procedimentos pouco definidos na atualização da
infra-estrutura de hardware e software, pela dependência das áreas usuárias de
profissionais altamente especializados e não convenientemente administrados. Este
cenário provocou um ambiente tecnológico instável, fazendo com que as
organizações vivessem em um movimento oscilatório entre a centralização e a
descentralização.
Acompanhando as transformações que acontecem em todas as cadeias
produtivas, surge, o movimento de terceirização do trabalho especializado em
tecnologia. O modelo inicial de terceirização de pessoas migrou rapidamente para
um modelo de “outsourcing”, onde se transfere tanto a responsabilidade de
execução, todo o processo de gestão, bem como os ativos de infra-estrutura de
hardware e software. Como em outros processos de “outsourcing”, o controle sobre
o serviço passa a ser medido por resultados contratados através de cláusulas de
serviços e seus níveis de atendimento ou ANS (Acordos de Níveis de Serviço).
1.1.3 A Internet e a Globalização
Na última década do século passado, a tecnologia proporcionou uma
revolução social, através da disseminação da informação circulando livremente pela
Internet.
16
O conceito da informação disponível em qualquer lugar a qualquer hora tem
modificado a sociedade e por si só merece estudos sociológicos e comportamentais,
para explicar este fenômeno. A Internet impôs às organizações a necessidade de se
adaptar rapidamente sob pena de perecer frente aos concorrentes e as
necessidades crescentes de clientes cada vez mais exigentes, presentes em
qualquer lugar do mundo. A globalização dos mercados de consumidores, bem
como de profissionais, trouxe mais uma variável para a já complexa equação da
gestão da tecnologia.
Resumindo, encontramos o seguinte quadro tecnológico nas organizações
dos dias atuais:
− A infra-estrutura tecnológica, de hardware e software, é altamente
terceirizada.
− Os especialistas em tecnologia estão cada vez mais concentrados em
organizações que tenham como missão o desenvolvimento tecnológico.
− A necessidade de integração dos sistemas desde os fornecedores de
insumos, passando pelos transformadores até os diversos canais de
comercialização é fator de diferencial competitivo e objetivo de todas as
organizações sintonizadas com as necessidades atuais do mercado.
− Novas tecnologias ou melhoria das existentes surgem em ciclos cada vez
menores, forçando a mudança do parque tecnológico e das competências
profissionais necessárias para manter a organização em posição
competitiva.
− Além da mudança tecnológica, o alto grau de integração da cadeia
produtiva faz que qualquer mudança em um elo desta cadeia cause a
necessidade de ajustes na cadeia toda.
Todo este quadro acarreta um crescente investimento em TI (Tecnologia da
Informação), conforme tabela 1 e tabela 2.
17
Tabela 1 - Gastos e investimentos/receita – valores internacionais por região ou país
Região/País 1994 1998 2000 Investe em TI (1)
Estados Unidos 4,0% 6,5% 8% 55%
Europa 2,9% 4,0% 5% 45%
Brasil (2) 2,6% 3,4% 4% 40%
América Latina 1,6% 2,2% 3% 25%
Ásia e 3º Mundo 0,6% 1,1% 2% 15%
(1) Investimento em TI/Investimento de Capital da Empresa; (2) médias e grandes empresas. Fonte: Alberto Luiz Albertin, Rosa Maria de Moura apud FGV-CIA e Gartner Group.
Tabela 2 - Gastos e investimentos em informática (média e por setor)
% do Faturamento Líquido
Média Indústria Comércio Serviço
1994 2,6% 2,0% 1,2% 3,9%
1995 2,7% 2,1% 1,3% 4,1%
1996 3,0% 2,2% 1,5% 4,6%
1997 3,2% 2,3% 1,6% 4,9%
1998 3,4% 2,4% 1,7% 5,3%
1999 3,9% 2,6% 1,8% 5,8%
2000 4,2% 2,8% 1,9% 6,4%
2001 4,5% 3,0% 2,0% 7,0%
2002 4,7% 3,1% 2,1% 7,1%
2003 4,9% 3,2% 2,2% 7,3%
Tendências 5,6% 3,7% 2,5% 8,3%
Fonte: Alberto Luiz Albertin, Rosa Maria de Moura apud FGV-CIA e Gartner Group.
18
1.1.4 Ferramentas de Gestão
Para suportar a complexidade na utilização da tecnologia da informação, as
organizações têm dedicado grandes esforços no sentido de evoluir a gestão de TI
para padrões onde os recursos despendidos em tecnologia estejam alinhados com
os objetivos de negócio e contribuindo com o resultado corporativo.
A aplicação dos conceitos de Governança de TI tornou-se um caminho natural
para procurar estreitar a distância entre os dois mundos no ambiente corporativo,
conforme citado por Van Grembergen (2004):
− De acordo com o IT Governance Institute (2001), “A Governança de TI é
responsabilidade dos dirigentes e executivos. É uma parte integral da
Governança Corporativa e é formada pela liderança, estruturas
organizacionais e processos que garantem que a área de TI sustenta e
melhora a estratégia e objetivos da organização”;
− conforme Van Grembergen (2002), “Governança de TI é a capacidade
organizacional exercida pelos dirigentes, executivos de negócio e de TI,
para controlar a formulação e implementação da estratégia de TI e desta
maneira garantir a fusão do negócio com TI”;
− ou, ainda, conforme The Ministry of International Trade and Industry
(1999), “A capacidade organizacional para controlar a formulação e
implementação da estratégia de TI e guiar para a direção correta com a
proposta de obter vantagens competitivas para a organização”.
Expresso nas três definições apresentadas, o alinhamento entre os objetivos
corporativos e de TI é a principal preocupação das organizações que tenham como
objetivo a otimização da utilização dos recursos de TI.
As auditorias de TI têm focado sua atenção neste alinhamento de Tecnologia
ao negócio. A ISACA (Information Systems Audit and Control Association), criada e
patrocinada por auditores, patrocinou a criação de uma estrutura de controle
denominada CobiT (Control Objective for Information and Related Technology). Esta
estrutura tem se transformado gradualmente numa ferramenta de gestão dos
Executivos de TI para sintonizarem suas ações às estratégias de negócios.
19
1.2 SITUAÇÃO PROBLEMA
Nos dias atuais persiste a divisão e insatisfação mútua entre a organização e
a área de TI. A alta administração tem uma percepção de custos elevados para um
retorno abaixo do esperado. Os usuários sentem-se mal atendidos tanto pela
performance operacional quanto pela falta de agilidade para acompanhar a dinâmica
dos negócios.
TI, por sua vez, convive com duas dinâmicas muito ágeis, que são a de
mudança do negócio e a da própria tecnologia. A necessidade permanente de
alterações, adaptações e implementação de novas infra-estruturas, mudanças de
processos e capacitações, que causam impacto nos próprios usuários que querem
agilidade, fazem com que a área esteja sempre na condição de devedora da
organização.
A organização sente grande dificuldade de entender a linguagem tecnológica
e, em conseqüência, influenciar no direcionamento das ações de TI.
A falta de uma linguagem que consiga traduzir os idiomas de negócio e
tecnológico agrava este descompasso entre as áreas organizacionais e gera a falta
de controle e de alinhamento das ações de TI com a organização. Não existe
referência nem garantia que TI esteja contribuindo de forma otimizada para os
resultados organizacionais.
Conforme Weill e Ross (2004), a Governança de TI deve responder a três
questões:
1) Que decisões devem ser tomadas para garantir a gestão efetiva do uso de
TI?
2) Quem deve tomar estas decisões?
3) Como estas decisões devem ser tomadas e monitoradas?
A primeira questão tem por objetivo conhecer os pontos e conteúdo de
tomada de decisão, que são determinantes para o alinhamento e conseqüente
gestão dos ativos de TI.
A segunda questão visa conhecer quais funções organizacionais são mais
indicadas para ter a responsabilidade de cada decisão crítica, garantindo o
alinhamento buscado pela Governança de TI.
20
Por fim, a terceira questão aborda o conhecimento dos mecanismos e
ferramentas em uso no processo de tomada de decisão e dos controles utilizados
para medir e avaliar a implementação das decisões.
O problema endereçado para a Governança de TI, e foco deste estudo, é a
disfunção da estrutura do processo decisório sobre a Tecnologia da Informação, na
definição e implementação das ações estratégicas de uso da TI e que, desta forma,
não garante que os ativos de TI estejam sendo utilizados em acordo com as
necessidades estratégicas organizacionais. Como conseqüência, ocorre à
manutenção de tecnologias obsoletas que não permitem a exploração de
oportunidades de mercado no tempo exigido por este, ou mesmo a aplicação de
tecnologias avançadas, mas que não estão associadas às oportunidades existentes,
causando investimentos sem os benefícios correspondentes.
A inadequação das decisões estratégicas e táticas causa os mais sérios
impactos negativos nos resultados de TI para a organização. A ausência de
controles adequados para acompanhamento da implementação dos objetivos
estratégicos em planos táticos e posteriormente na sua operacionalização dificulta a
execução das estratégias de negócio, e representa uma das maiores dificuldades
das organizações quando abordam os planejamentos estratégicos.
1.3 OBJETIVO DA PESQUISA
A área de TI é considerada como uma das principais fontes de diferenciais e
estratégias de negócio no século XXI, no entanto a diferenciação tecnológica é
rapidamente igualada. A diferenciação que as empresas buscam hoje, que permite
um salto em relação aos concorrentes, deve ser obtida através dos processos
gerenciais. A melhoria destes processos, que se traduz na transformação dos
hábitos das pessoas envolvidas, não ocorre em saltos nem é conseguida
repentinamente.
21
1.3.1 Objetivo Geral
O conhecimento dos componentes do processo decisório do sistema de
gestão de TI, que tenham influência no alinhamento das estratégias de negócio com
as estratégias de TI e destas com as decisões táticas e operacionais é o caminho
buscado por muitas organizações no contexto da Governança Corporativa e mais
especificamente na Governança de TI. Traduzir as expectativas da organização
quanto às suas necessidades, explicitar os esforços para atender estas expectativas
e garantir que apenas o necessário para a maximização dos resultados da
organização esteja sendo realizado pela área de TI é o resultado esperado das
decisões envolvidas no uso da tecnologia aplicada à informação. A melhoria no
processo de tomada de decisão e em conseqüência no processo de gestão na área
de TI tem reflexo nos resultados corporativos em proporção considerável.
Esta pesquisa tem por objetivo conhecer os processos decisórios no contexto
da gestão de TI utilizados em organizações com uso intensivo de recursos
tecnológicos.
1.3.2 Objetivo Específico
A Governança de TI é expressa pelas estruturas e mecanismos de tomada de
decisões e do sistema de controles, para efeito desta pesquisa. No contexto das
estruturas e mecanismos de tomada de decisão, a pesquisa tem como objetivo
específico identificar e delimitar as decisões mais importantes para a gestão de TI,
bem como, visa conhecer as estruturas organizacionais e mecanismos utilizados no
processo de tomada das decisões e o grau de controle existente nestes processos.
A análise comparativa das estruturas e mecanismos de decisão, dos controles
entre empresas e entre os segmentos econômicos, forma uma base de
conhecimento para a identificação e formação de consenso das melhores práticas
de Governança de TI.
22
1.4 ASPECTOS METODOLÓGICOS
Esta pesquisa possui dois instrumentos para realização de seus objetivos: a
revisão da literatura e a pesquisa de campo.
A revisão da literatura tem o propósito de estudar as linhas de raciocínio
atualmente empregadas no contexto da Governança de TI, identificando as
correntes mais comuns de pensamento e pontos com opiniões discordantes, sem o
consenso estabelecido. A revisão da literatura terá como espinha dorsal o CobiT por
apresentar uma estrutura organizada da área de TI, focando de forma clara suas
funções, bem como orientando para uma estrutura de controle, hoje sendo adotada
por diversas organizações como padrão de governança de TI. Além do CobiT serão
abordados livros e artigos de outros autores, que corroboram e complementam o
CobiT.
Para a pesquisa de campo, foi elaborado roteiro, baseado em questionário
fechado com 7 questões que visam caracterizar a empresa e 102 questões que
abrangem as decisões importantes que envolvem a tecnologia da informação. O
questionário foi aplicado em uma organização, que serviu de estudo de caso. Além
do questionário, houve o acesso a entrevistas com Diretores e a documentos não
apresentados nesta pesquisa, por ser de teor sigiloso e não autorizado. No entanto,
foram fundamentais para o entendimento e classificação dos processos,
complementando o questionário.
O questionário aplicado está estruturado e embasado em obter as respostas a
esta pesquisa, utilizando perguntas fechadas e abertas.
O questionário foi respondido pelo diretor de arquitetura e metodologia,
responsável pela implementação dos modelos de gestão de TI e pela adequação do
sistema de gestão ao CobiT.
O questionário ficou dividido pelas dimensões do tipo de decisão envolvida,
em questões de cunho estratégico, tático e operacional. Para cada dimensão desta,
identificar as decisões de maior impacto para a organização em relação a TI, quais
são os personagens envolvidos nestas decisões e seu papéis, que ferramentas são
utilizadas para apoiar a decisão e finalmente quais controles são utilizados para
garantir a operacionalização adequada das decisões, ou fornecer dados para ajustes
que se façam necessários. As respostas serão fornecidas ao respondente, no
23
formato marque um “X” no item que ache adequado, porém deixando uma margem
de liberdade para que este acrescente itens que não foram previstos.
Além das questões de cunho decisório, questões que caracterizam a
organização, por seu segmento de atuação, porte financeiro e porte de utilização da
tecnologia são abordadas para obter-se uma visão qualitativa das práticas de
governança em relação às características da organização.
O questionário foi enviado, por meio eletrônico, e devolvido respondido por
pessoa com cargo gerencial que possui a visão das questões formuladas. O
questionário está incluído no ANEXO A.
A tabulação dos dados foi realizada agrupando as organizações por suas
características e pelo tipo de decisão tomada. Este cruzamento fornece diversas
visões qualitativas dos aspectos da governança de TI.
1.5 JUSTIFICATIVAS
A pesquisa se justificativa em dois pilares de sustentação que estão em
evidências nos dias atuais.
O primeiro é a necessidade da instituição de processos de Governança
Corporativa através da transparência nas decisões executivas. Esta transparência só
pode ocorrer, nos dias atuais, com a conseqüente transparência dos processos de
tecnologia da informação. O volume e a distribuição das informações ao redor do
mundo, só podem ser pensados através de processos, ainda não muito claros, para
a maior parte das organizações, da coleta, transformação e redistribuição de
informações internas e externas à organização.
O segundo pilar de sustentação é a importância da tecnologia da informação
nos processos de gestão da própria organização. A Governança de TI visa garantir
que os recursos aplicados em TI estão sendo direcionados para os objetivos
estratégicos de forma econômica e financeira otimizada.
Conforme Fernandes e Abreu (2006),
A Governança de TI é motivada por vários fatores, tais como: Ambiente de negócios, integração tecnológica, segurança da informação, dependência do negócio em relação a TI e marcos de regulação. (Embora o senso comum considere a maior transparência da administração como sendo o principal motivador desse movimento que vemos no ambiente de TI das organizações).
24
1.6 DELIMITAÇÃO DA PESQUISA
A pesquisa está baseada no estudo de caso e avaliação de uma empresa
com característica de uso intensivo de tecnologia da informação, como prestadora
de serviço de processamento de informações e fornecimento de infra-estrutura de TI.
A pesquisa assume como premissa os processos do Cobit como a estrutura
básica de gestão como orientação para avaliação dos processos decisórios de TI.
As questões a serem respondidas pelo estudo exploratório das estruturas de
tomada de decisão de TI concentram-se nos seguintes pontos:
1) Quais são as decisões significativas envolvidas na gestão de TI?
2) Que estrutura decisória é aplicada em cada decisão significativa
identificada?
3) Qual o grau de padronização das ferramentas de apoio à tomada da
decisão?
4) Qual o grau de controle existente na operacionalização das decisões?
1.7 ESTRUTURA DO TRABALHO
O presente trabalho está estruturado por uma parte introdutória que visa
fornecer a contextualização do tema e da pesquisa, e encontra-se estruturado dentro
dos seguintes capítulos:
− No capítulo 2, a Revisão Bibliográfica apresenta a sustentação acadêmica
e conceitual às premissas e conceitos assumidos.
− No capítulo 3, a Metodologia Científica aborda a forma e estrutura de
condução da pesquisa, conforme as boas práticas científicas.
− No capítulo 4, a Descrição do Caso apresenta o caso em estudo, situando
o leitor à realidade da organização utilizada como fonte de informações
para responder às questões formuladas nesta pesquisa.
− No capítulo 5, é apresentada a Análise dos Resultados obtidos na
pesquisa de campo efetuada na empresa estudada.
25
− No capítulo 6, a Conclusão visa demonstrar o resultado da pesquisa frente
aos objetivos e questões definidas como foco deste trabalho.
− Ao final, encontram-se as Referências e o Anexo A (questionário utilizado).
26
2 REVISÃO BIBLIOGRÁFICA
2.1 CONCEITOS GERAIS DE GOVERNANÇA
A governança, antes de particularizarmos como de TI, deve ser vista de forma
mais ampla como a governança corporativa, conforme Weill e Ross (2004):
Antes de aprofundar-nos na governança de TI, nós devemos olhar a questão mais ampla da governança corporativa nas organizações. A governança corporativa tornou-se um tópico dominante nos negócios a partir da grande quantidade de escândalos na metade de 2002 – Enron, Worldcom, e Tyco, para citar algumas. O interesse na governança corporativa não é novo, mas a severidade do impacto financeiro destes escândalos mina a confiança dos investidores institucionais e individuais e aumenta a preocupação sobre a capacidade e determinação das empresas privadas de proteger seus acionistas.
Conforme o IBGC − Instituto Brasileiro de Governança Corporativa (IBGC,
2003):
Governança Corporativa é o sistema pelo qual as sociedades são dirigidas e monitoradas, envolvendo os relacionamentos entre Acionistas/Cotistas, Conselho de Administração, Diretoria, Auditoria Independente e Conselho Fiscal. As boas práticas de governança corporativa têm a finalidade de aumentar o valor da sociedade, facilitar seu acesso ao capital e contribuir para a sua perenidade.
Ainda de acordo com o IBGC, os princípios básicos que inspiram este Código
são: transparência, eqüidade, prestação de contas (accountability) e
responsabilidade corporativa, sendo:
Transparência – Mais do que "a obrigação de informar", a Administração deve cultivar o "desejo de informar", sabendo que da boa comunicação interna e externa, particularmente quando espontânea, franca e rápida, resulta um clima de confiança, tanto internamente, quanto nas relações da empresa com terceiros. A comunicação não deve restringir-se ao desempenho econômico-financeiro, mas deve contemplar também os demais fatores (inclusive intangíveis) que norteiam a ação empresarial e que conduzem à criação de valor.
Eqüidade – Caracteriza-se pelo tratamento justo e igualitário de todos os grupos minoritários, sejam do capital ou das demais "partes interessadas" (stakeholders), como colaboradores, clientes, fornecedores ou credores. Atitudes ou políticas discriminatórias, sob qualquer pretexto, são totalmente inaceitáveis.
27
Prestação de Contas (Accountability) – Os agentes da governança corporativa devem prestar contas de sua atuação a quem os elegeu e respondem integralmente por todos os atos que praticarem no exercício de seus mandatos.
Responsabilidade Corporativa – Conselheiros e executivos devem zelar pela perenidade das organizações (visão de longo prazo, sustentabilidade) e, portanto, devem incorporar considerações de ordem social e ambiental na definição dos negócios e operações. Responsabilidade Corporativa é uma visão mais ampla da estratégia empresarial, contemplando todos os relacionamentos com a comunidade em que a sociedade atua. A "função social" da empresa deve incluir a criação de riquezas e de oportunidades de emprego, qualificação e diversidade da força de trabalho, estímulo ao desenvolvimento científico por intermédio de tecnologia, e melhoria da qualidade de vida por meio de ações educativas, culturais, assistenciais e de defesa do meio ambiente. Inclui-se neste princípio a contratação preferencial de recursos (trabalho e insumos) oferecidos pela própria comunidade.
A governança de TI está inserida no contexto da governança corporativa e
deve ser vista como parte integrante desta, conforme figura 1, onde:
Ativos humanos: Pessoas, conhecimentos profissionais, planos de carreiras, treinamentos, relatórios, orientações, competências etc.
Ativos financeiros: Recursos disponíveis, investimentos, dívidas, fluxos de caixa, contas a receber etc.
Ativos físicos: Prédios, terrenos, equipamentos, manutenções, seguros, etc.
Ativos de Propriedade Intelectual: Produtos, serviços e processos patenteados, direitos autorais etc.
Ativos de Informações e TI: Dados digitalizados, informações e conhecimentos sobre os clientes, performance dos processos, finanças, sistemas de informações, etc.
Ativos de Relacionamentos: Relacionamentos dentro da empresa, bem como relacionamentos, marcas e reputação com os clientes, fornecedores, unidades de negócio, órgãos reguladores, competidores, canais de parceiros, etc.
28
Governança Corporativa
Comitê Gestor
Acionistas
Fiscalização
OutrosStakeholders
Divulgação
Estratégia Comportamento desejado
Ativos Chaves
AtivosHumanos
AtivosFinanceiros
AtivosFísicos
AtivosPropriedadeIntelectual
Ativos de Informação
e TI
Ativos de Relacionamentos
Mecanismos de Governança Financeira
(Comitês, orçamentos, etc.)
Mecanismos de Governança de TI
(Comitês, orçamentos, etc.)
Equipe Executiva Senior
Governança dos Ativos Chaves
Governança de TI
Governança Corporativa
Comitê Gestor
Acionistas
Fiscalização
OutrosStakeholders
Divulgação
Estratégia Comportamento desejado
Ativos Chaves
AtivosHumanos
AtivosFinanceiros
AtivosFísicos
AtivosPropriedadeIntelectual
Ativos de Informação
e TI
Ativos de Relacionamentos
Mecanismos de Governança Financeira
(Comitês, orçamentos, etc.)
Mecanismos de Governança de TI
(Comitês, orçamentos, etc.)
Equipe Executiva Senior
Governança dos Ativos Chaves
Governança de TI
Figura 1 - Governança de TI como parte da governança corporativa
Fonte: MIT Sloan School Center for Information System Research (WEILL e ROSS, 2004)
2.2 A GOVERNANÇA DE TI
A governança de TI pode ser definida, conforme Weill e Ross (2004), como
“Especificar os direitos de decisão e a estrutura de prestação de contas para
encorajar o comportamento desejado no uso de TI”.
Ainda conforme Weill e Ross (2004), “Como estas decisões serão realizadas
e monitoradas, requerem projetar e implementar mecanismos de governança tais
como, comitês, papéis, processos formais”.
No entanto, existe a dificuldade da gestão corporativa e de TI de entender os
princípios, objetivos e mecanismos da governança de TI. De acordo com Weill e
Ross:
A complexidade e dificuldade de explicar a governança de TI é uma das mais sérias barreiras para a melhoria da gestão de TI. Nós encontramos, empiricamente, que o melhor indicador de performance da governança de TI é a percentagem de gerentes em posição de liderança que conseguem de forma precisa descrever a governança de TI.
29
Para estruturar de forma mais padronizada, e com o intuito de tornar-se uma
ferramenta que orientasse os auditores de TI, a ISACA (Information System Audit
and Control Association) e o ITGI (IT Governance Institute) criaram em 1996 o CobiT
(Control Objectives for Information and related Technology) que vem crescentemente
sendo aceito como boa prática para controle sobre a informação, TI e riscos
relacionados. Suas orientações permitem à organização implementar efetiva
governança sobre TI.
2.3 O COBIT (CONTROL OBJECTIVE FOR INFORMATION AND RELATED
TECHNOLOGY)
O CobiT reúne um conjunto de ferramentas que apóiam a iniciativa de
desenvolvimento deste plano. A estrutura básica do CobiT é formada, conforme
mostrado na figura 2:
Sumário Executivo
Estrutura de TrabalhoObjetivos de Controle de Alto Nível
Conjunto de Ferramentas deImplementação
DiretrizesGerenciais
Objetivos deControles Detalhados
Diretrizesde Auditoria
Modelo deMaturidade
Fatores CríticosDe Sucesso
Indicadores Chaves deObjetivos
Indicadores Chaves deDesempenho
Sumário Executivo
Estrutura de TrabalhoObjetivos de Controle de Alto Nível
Conjunto de Ferramentas deImplementação
DiretrizesGerenciais
Objetivos deControles Detalhados
Diretrizesde Auditoria
Modelo deMaturidade
Fatores CríticosDe Sucesso
Indicadores Chaves deObjetivos
Indicadores Chaves deDesempenho
Figura 2 - Família de Produtos CobiT
Fonte: CobiT - Sumário Executivo 2000 (ITGI, 2006).
30
− Sumário Executivo: Fornece uma visão resumida e focada nos principais
aspectos do conjunto de ferramentas que o CobiT utiliza para estruturar o
desenvolvimento dos controles de TI. Visa, divulgar de forma estruturada a
importância e estrutura do CobiT para atingir seus objetivos para os
executivos que possuem a responsabilidade de tomada de decisão e de
buscar os caminhos para que a área de TI esteja sob o controle e a serviço
das estratégias da organização.
− Conjunto de Ferramentas de Implantação: Ferramentas de apoio a
implantação do CobiT, formadas por Resumo Executivo, Estudos de
Casos, Principais Perguntas e Respostas, Apresentações, Guia de
Implementação (Diagnóstico de Consciência Gerencial, Diagnóstico de
Controle de TI).
− Estrutura de Trabalho: A base conceitual da estrutura de trabalho do CobiT
é o controle de TI focado nas informações que são necessárias para apoiar
os objetivos ou requerimentos de negócio, e enxergar estas informações
como a aplicação combinada dos recursos de TI que necessitam ser
gerenciados pelos processos de TI.
Para garantir este fluxo o CobiT está estruturado em três grupos de
ferramentas, que são denominadas de Diretrizes Gerenciais, Objetivos de Controles
Detalhados e Diretrizes de Auditoria. Este trabalho utiliza as Diretrizes Gerenciais
como orientador central da pesquisa, e, portanto, não serão abordados os níveis de
Objetivos de Controles Detalhados e Diretrizes de Auditoria, por fugir ao foco de um
modelo de gestão e serem mais utilizados como ferramenta para auditoria. Assim
sendo, serão apenas definidos, para, a seguir, abordarmos as Diretrizes Gerenciais
de modo mais detalhado:
1) Objetivos de Controles Detalhados: Os objetivos de controle definem o
relacionamento entre os domínios, processos e os objetivos de controle.
Para cada processo existe o detalhamento dos sub processos ou objetivos
de controle necessários para garantir a abrangência prevista para o
processo. Nesta ferramenta o Cobit visa definir quais controles são
recomendados, em cada processo, para que, este atinja seu objetivo. É
uma ferramenta de apoio ao processo de auditoria, e cada objetivo de
31
controle definido como prioritário deve possuir uma estrutura de SCF’s,
KGI’s e KPI’s.
2) Diretrizes de Auditoria: É uma ferramenta complementar do CobiT, apoiada
e orientada, pela Estrutura de Trabalho e os Objetivos de Controles
Detalhados. O propósito das Diretrizes de Auditoria é o de fornecer uma
estrutura simples para controle de avaliação e de auditoria baseados em
práticas geralmente aceitas de auditoria que estejam em conformidade
com a estrutura definida pelo CobiT.
Os auditores têm um requisito geral de atender a administração e os gestores
do processo de negócio com garantia e aconselhamento em relação a controles e
riscos em uma organização; de dar garantia razoável que objetivos de controle
estejam sendo alcançados; de identificar onde a fraquezas relevantes naqueles
controles; de associar o risco que pode estar associado com tais fraquezas; e,
finalmente de aconselhar estes executivos nas ações executivas que deveriam ser
tomadas. O CobiT fornece políticas claras para a segurança e controle da
informação e da tecnologia e as Diretrizes de Auditoria integradas com a Estrutura
de Trabalho e os Objetivos de Controles Detalhados fornecem um guia seguro de
avaliação ampla da área de TI.
3) Diretrizes Gerenciais: As diretrizes gerenciais definem uma estrutura de
gestão a ser aplicada à área de TI, baseada em uma visão de três níveis
de esforços, quando vista pela ótica do gerenciamento de recursos. No
nível mais básico, existem atividades e tarefas necessárias para obter
resultados mensuráveis. Atividades têm o conceito de ciclo de vida,
enquanto tarefas possuem ocorrências mais ocasionais. Processos são
definidos em uma camada superior, que agrupam atividades e tarefas, e
finalmente no nível superior, processos são agrupados em domínios, que
normalmente representam domínios de responsabilidades dentro da
estrutura organizacional de TI (figura 3).
32
Processos
Domínios
Atividades/Tarefas
Processos
Domínios
Atividades/Tarefas
Domínios
Atividades/Tarefas
Figura 3 - Níveis de Esforços da Gestão de Recursos de TI
Fonte: CobiT - Sumário Executivo 2000 (ITGI, 2006).
Os domínios definidos pelo CobiT são:
− Planejamento e Organização: Este domínio abrange estratégias e táticas, e
foca a identificação dos caminhos que TI pode melhor contribuir para a
obtenção dos objetivos de negócio. Além disto, a visão estratégica
necessita ser planejada, comunicada e gerenciada em diferentes
perspectivas. Finalmente, uma organização adequada, bem como, uma
infra-estrutura tecnológica deve ser definida e implementada.
− Aquisição e Implementação: Este domínio abrange realizar a estratégia de
TI, através da identificação de soluções necessárias, utilizando o
desenvolvimento ou aquisição e tê-las implementadas e integradas aos
processos de negócio. Além disto, mudanças e manutenção nos sistemas
existentes são consideradas no contexto deste domínio.
− Entrega e Suporte: Este domínio está focado nos produtos reais dos
serviços requeridos, desde operações tradicionais de segurança até
aspectos de continuidade. Para produzir estes serviços, os processos de
33
suporte necessários devem existir. Este domínio inclui o processamento
real de dados, pelos sistemas de aplicação, normalmente classificados em
controles da aplicação.
− Monitoração: Este domínio aborda os processos de TI, necessários de
serem avaliados regularmente nos aspectos de sua qualidade e
conformidade com os requerimentos de controle. Este domínio, além disto,
direciona a vigilância da gerência nos processos de controles da
organização e fornece garantia independente pela auditoria interna ou
externa.
Para cada domínio de TI, são definidos processos que devem ser
controlados, dentro do conceito de estrutura de trabalho definido na figura 4. O
CobiT define 34 processos que devem ser monitorados, conforme apresentados
abaixo.
2.3.1 Planejamento e Organização
a) PO1 – Definir o Plano Estratégico de TI
Tem por objetivo alinhar os objetivos de TI com os objetivos de negócio,
efetuando o balanceamento entre as oportunidades de TI e os requerimentos de
negócio, bem como garantindo sua realização. Disponibilizar através de processo de
planejamento estratégico, realizado em intervalos regulares, planos de longo prazo;
Os planos de longo prazo devem, periodicamente, serem traduzidos em planos
operacionais, apontando claramente e de forma concreta as metas de curto prazo.
b) PO2 – Definir a Arquitetura da Informação
Tem por objetivo otimizar a organização dos sistemas de informações. Criar e
manter um modelo de informações do negócio e garantir que sistemas apropriados
estejam definidos para otimizar o uso destas informações.
34
c) PO3 – Determinar a direção tecnológica
Tem por objetivo proporcionar vantagens competitivas, com relação às
tecnologias disponíveis e emergentes que direcionam e tornam possíveis à
estratégia do negócio. Elaborar e manter o plano de infra-estrutura tecnológica, que
aponte clara e realisticamente as expectativas do que a tecnologia pode oferecer em
termos de produtos, serviços e mecanismos de entrega.
d) PO4 – Definir a Organização e Relacionamentos de TI
Tem por objetivo fornecer os serviços de TI corretamente. Manter a
organização otimizada em quantidades e perfis, com papéis e responsabilidades
bem definidas e comunicadas, alinhadas com o negócio, que facilite as estratégias e
contribua para o efetivo direcionamento e controle adequado.
e) PO5 – Gerenciar Investimentos de TI
Tem por objetivo garantir os recursos financeiros e controlar seus
desembolsos. Desenvolver orçamento periódico de investimentos e despesas
operacionais, aprovadas pela área de negócios.
f) PO6 – Comunicar os Objetivos e Direcionamentos Gerenciais
Tem por objetivo garantir que os usuários tenham consciência e entendimento
dos objetivos gerenciais. Estabelecer políticas e comunicá-las para a comunidade de
usuários; Estabelecer padrões para traduzir as opções estratégicas em regras
práticas e utilizáveis pelos usuários.
g) PO7 – Gerenciar Recursos Humanos
Tem por objetivo gerenciar os recursos humanos para que atendam às
exigências da empresa com a finalidade de adquirir e manter uma força de trabalho
motivada e competente e maximizar a contribuição do pessoal com o processo de
TI. Utilizar práticas de gestão de pessoas de forma justa e transparente para
recrutar, planejar a carreira, avaliar, compensar, treinar, promover e demitir.
35
h) PO8 – Garantir a Conformidade com os Requerimentos Externos
Tem por objetivo garantir conformidade com as obrigações contratuais, legais
e de regulamentação; Identificar e analisar os requerimentos externos e seu impacto
em TI; Implementar medidas apropriadas para atender a conformidade com os
requerimentos.
i) PO9 – Avaliação de Riscos
Tem por objetivo suportar as decisões gerenciais para alcançar os objetivos
de TI e responder as ameaças através da redução da complexidade, aumentando a
objetividade e identificando fatores de decisão importantes; Envolver a própria
organização na identificação dos riscos de TI e na análise do impacto, envolver
funções multidisciplinares e medir os custos efetivos para mitigar os riscos.
j) PO10 – Gerenciar Projetos
Tem por objetivo estabelecer prioridades e entregar no prazo correto e dentro
do orçamento; Identificar e priorizar os projetos alinhados ao plano organizacional e
adotar as melhores práticas de gerenciamento de projetos.
k) PO11 – Gerenciar Qualidade
Tem por objetivo atender os requerimentos dos usuários; Planejar,
implementar e manter os padrões de gerenciamento de qualidade e sistemas
fornecendo para as distintas fases de desenvolvimento, quais são os produtos a
serem entregues e as responsabilidades definidas explicitamente.
36
2.3.2 Aquisição e Implementação
a) AI1 – Identificar soluções automatizadas
Tem por objetivo garantir uma efetiva e eficiente abordagem para satisfazer
os requerimentos do usuário; Identificar de maneira clara e objetiva, e analisar as
alternativas de oportunidades avaliadas pelos requerimentos dos usuários.
b) AI2 – Adquirir e manter software de aplicação
Tem por objetivo adquirir e manter o software para fornecer funções
automatizadas que suportem eficazmente o processo do negócio; Especificar os
requerimentos funcionais e operacionais e considerar a implementação por fases
com as entregas bem definidas.
c) AI3 – Adquirir e manter infra-estrutura de tecnologia
Tem por objetivo adquirir e manter a infra-estrutura de tecnologia para
fornecer plataformas apropriadas para suportar as aplicações do negócio; Adquirir
hardware e software de forma otimizada; Padronizar os softwares; Avaliar o
desempenho do hardware e do software; Administrar o sistema de maneira
consistente.
d) AI4 – Desenvolver e Manter Procedimentos
Tem por objetivo assegurar o uso apropriado dos aplicativos e das soluções
de tecnologia implementadas. Manter de forma estruturada o desenvolvimento dos
manuais de usuários e procedimento operacionais, requerimentos dos serviços e
dos materiais de treinamento.
e) AI5 – Instalar e Validar os Sistemas
Tem por objetivo verificar e confirmar que a solução está adequada à
finalidade pretendida. Realizar plano bem formalizado de migração de instalação,
conversão e aceite.
37
f) AI6 – Gerenciar Mudanças
Minimizar a probabilidade de interrupções, alterações não-autorizadas e
erros. Existir sistema de gerenciamento que forneça dados para a análise,
implementação e acompanhamento de todas as mudanças requisitadas e feitas na
infra-estrutura existente de TI.
2.3.3 Entrega e Suporte
a) ES1 – Definir e Gerenciar Níveis de Serviços
Tem por objetivo estabelecer um entendimento comum do nível do serviço
requerido. Estabelecer os acordos de níveis de serviço que formalizem os critérios
de desempenho contra os quais a quantidade e qualidade dos serviços serão
medidos.
b) ES2 – Gerenciar Serviços de Terceiros
Tem por objetivo assegurar que os papéis e responsabilidades de terceiros
estejam claramente definidos, para atender os requerimentos. Existir medidas de
controle que permitam revisar e monitorar acordos e procedimentos existentes
quanto a conformidade com a política da organização.
c) ES3 – Gerenciar Desempenho e Capacidade
Tem por objetivo garantir que a capacidade e o uso adequado do
processamento estão disponíveis e são realizados para atender às necessidades de
desempenho; Obter dados, analisar e informar a performance dos recursos, porte
das aplicações e demanda de carga de trabalho.
38
d) ES4 – Garantir a Continuidade dos Serviços
Tem por objetivo garantir que os serviços de TI estejam disponíveis sempre
que necessário e garantir o mínimo impacto nos negócios em eventos de interrupção
considerável; Ter um plano de continuidade de TI operacional e testado, alinhado
com o plano de continuidade de negócios e com os seus requerimentos de negócios
relacionados.
e) ES5 – Garantir a Segurança dos Serviços
Tem por objetivo proteger a informação contra uso, divulgação e modificação
não autorizados, além de danos ou perda; Controlar o acesso lógico garantindo que
o acesso ao sistema, dados e programas seja restrito a usuários autorizados.
f) ES6 – Identificar e Alocar Custos
Tem por objetivo assegurar um correto conhecimento dos custos atribuíveis
aos serviços de TI. Garantir que os custos sejam registrados, calculados e alocados,
com o apoio de um sistema de custo, que permita apropriar no nível de detalhe
desejado e para os serviços realizados.
g) ES7 – Educar e Treinar os Usuários
Tem por objetivo assegurar que os usuários estejam fazendo o uso eficaz da
tecnologia e estejam cientes dos riscos e das responsabilidades envolvidas.
Desenvolver um plano detalhado de treinamento e desenvolvimento.
h) ES8 – Apoiar e Aconselhar os Clientes
Tem por objetivo assegurar que qualquer problema encontrado pelo usuário
será apropriadamente resolvido. Existir um help-desk que é a linha de frente no
suporte e orientação.
39
i) ES9 – Gerenciar a configuração
Tem por objetivo registrar todos os componentes de TI, prevenir-se de
alterações não autorizadas, verificar a existência física e fornecer a base para uma
gerência de mudança sólida; Identificar e registrar todos os ativos de TI e sua
localização física, e um programa de verificação regular que confirme existência
desses ativos.
j) ES10 – Gerenciar Problemas e Incidentes
Tem por objetivo garantir que os problemas e os incidentes estejam
resolvidos e a causa investigada, para impedir novas ocorrências. Registrar e tratar
todos os incidentes, com um sistema de gerenciamento de problemas.
k) ES11 – Gerenciar dados
Tem por objetivo garantir que os dados permaneçam completos, exatos e
válidos durante sua entrada, atualização e armazenamento; Combinar efetivamente
aplicativos e controles gerais sobre as operações de TI.
l) ES12 – Gerenciar equipamentos
Tem por objetivo fornecer um ambiente físico apropriado que proteja as
pessoas e os equipamentos de TI contra a ação dos homens e perigos da natureza;
Instalar controles físicos e ambientais apropriados que sejam regularmente
revisados para seu funcionamento adequado.
m) ES13 – Gerenciar operações
Tem por objetivo garantir que as funções importantes de TI sejam
desempenhadas regularmente e de maneira organizada; Manter um cronograma de
atividades que seja claro e com registro formal para o acompanhamento de todas as
atividades.
40
2.3.4 Monitoração
a) M1 – Monitorar os processos
Tem por objetivo assegurar a realização dos objetivos de performance
estabelecidos para os processos de TI; Definir indicadores relevantes de
performance, relatórios de performance sistemáticos e no tempo adequado e ações
rápidas no caso de desvios.
b) M2 – Avaliar a adequação dos controles internos
Tem por objetivo garantir a realização dos objetivos de controle internos de
acordo com os processos de TI; Estabelecer compromisso de monitorar os controles
internos, avaliando sua efetividade e relatando-os de forma regular.
c) M3 – Obter Garantia Independente
Tem por objetivo aumentar a confiança entre a organização, os clientes, e os
fornecedores terceirizados. Realizar em intervalos regulares revisões de garantia
independente.
d) M4 – Obter Auditoria Independente
Tem por objetivo aumentar o nível de confiança e benefícios das melhores
práticas existentes. Executar auditorias independentes em intervalos regulares.
Cada processo do CobiT está organizado através de uma estrutura formada
pela maturidade do processo, indicadores de objetivos, fatores críticos de sucesso e
indicadores de performance. Esta estrutura está representada na figura 4.
41
Figura 4 - Estrutura dos Processos do CobiT
Fonte: Própria.
A maturidade do processo é determinada pela avaliação de critérios que
determinam a classificação do processo em 6 níveis de maturidade. Esta avaliação
permite identificar as necessidades de ações para a busca de excelência do
processo. Os 6 níveis de maturidade representam determinada qualidade do
processo, conforme descrito abaixo:
0 – Não existentes – Os processos gerenciais não são aplicados.
1 – Iniciais – Os processos são eventuais e desorganizados.
2 – Repetíveis – Os processos seguem um padrão regular.
3 – Definidos – Os processos são documentados e comunicados.
4 – Gerenciados – Os processos são monitorados e medidos.
5 – Otimizados – As melhores práticas de mercado são seguidas e
automatizadas.
A estrutura de controle, existente no processo, é dada por uma relação de
causa e efeito entre o objetivo do processo, os indicadores de alcance destes
objetivos, os fatores críticos de sucesso para que os objetivos sejam alcançados e
por fim os indicadores que os fatores críticos estão ocorrendo:
ProcessosMaturidade
0 1 2 3 4 5 Objetivo
Indicadoresde Objetivos
Fatores Críticosde Sucesso
Indicadores dePerformance
ProcessosMaturidade
0 1 2 3 4 5 Objetivo
Indicadoresde Objetivos
Fatores Críticosde Sucesso
Indicadores dePerformance
42
− Objetivo: Representa a razão de existência do processo.
− Indicadores Chaves de Objetivos (KGI): Representa o objetivo do
processo. É uma medida do “que” tem de ser realizado. É um indicador se
o processo atingiu seus objetivos, constantemente definido como uma
meta.
− Fatores Críticos de Sucesso (SCF): Fornece um guia para implementar
controles sobre TI e seus processos. São as varáveis mais importantes
para que os processos de TI atinjam seus objetivos. São atividades que
podem ser de natureza estratégica, técnica, organizacional, processos ou
procedimentos. Devem ser expressas de forma curta, objetiva e orientadas
a ação, realçando os recursos considerados mais importantes no processo
considerado.
− Indicadores Chaves de Performance (KPI): Representa os fatores críticos
de sucesso dos processos. Como estes indicadores medem os fatores
críticos de sucesso, em conseqüência determinam se um processo de TI
está atingindo seus objetivos.
43
3 METODOLOGIA CIENTÍFICA
3.1 ETAPAS DA PESQUISA CIENTÍFICA
A metodologia da pesquisa adotada é composta por oito etapas, que
conduzem ao resultado da pesquisa, conforme apresentada na figura 5.
Identificação do problema
Definição dosobjetivos
Revisão bibliográfica
Formulaçãodas questões
Definição dametodologiade pesquisa
Aplicação doinstrumento deinvestigação
Exploração decasos
Respostas
Identificação do problema
Definição dosobjetivos
Revisão bibliográfica
Formulaçãodas questões
Definição dametodologiade pesquisa
Aplicação doinstrumento deinvestigação
Exploração decasos
Respostas
Figura 5 - Etapas da Metodologia Científica
Fonte: Própria.
A primeira etapa é a formulação do problema que será foco da pesquisa. Ter
clareza do problema forma a base para o desenvolvimento das próximas etapas.
Com o problema identificado torna possível a revisão bibliográfica e em paralelo a
definição dos objetivos da pesquisa. Visando atender aos objetivos da pesquisa e
delimitando o foco do estudo, as questões são formuladas em uma iteração com a
definição dos objetivos e apoiado em sua sustentação com a revisão bibliográfica.
Com as questões formuladas e ainda com o apoio da pesquisa bibliográfica a
metodologia de pesquisa é definida, permitindo planejar e aplicar o instrumento de
44
investigação, para a exploração de um ou mais casos que fornecerão as respostas
às questões formuladas.
3.2 NATUREZA DA PESQUISA
Autores diversos definem com diferenças as questões relativas á estratégia
de pesquisa. Lakatos e Marconi (1993) definem a existência de duas finalidades
para uma pesquisa:
− Pesquisa pura (básica), que tem como contexto a satisfação do desejo de
adquirir conhecimentos, sem que haja uma aplicação prática prevista.
− Pesquisa aplicada, onde os conhecimentos adquiridos são utilizados para
aplicação prática voltados para a solução de problemas concretos da vida
moderna.
Igualmente, segundo Lakatos e Marconi (1993), os tipos de pesquisa são
classificados nas seguintes dimensões: Área da ciência; Natureza; Objetivos;
Procedimentos; Objeto; Forma de abordagem. Nesta dissertação a metodologia de
pesquisa utilizada é classificada, conforme as dimensões, como:
− Área da ciência – Pesquisa prática, por estar voltada para intervir na
realidade social (pesquisa-ação).
− Natureza – Resumo de Assunto, por dispensar a originalidade, mas sem
abrir mão do rigor científico.
− Objetivos – Exploratória e descritiva, exploratória, por proporcionar maior
familiaridade com o problema, com levantamento de dados e informações
através de entrevistas, e formulação de estudo de caso e descritiva por
fatos observados, registrados, analisados, classificados e interpretados,
sem interferência do pesquisador.
− Procedimentos – Pesquisa de campo, por estar estruturada através da
observação e coleta de dados diretamente no local da ocorrência dos
fatos.
− Objeto – Pesquisa de campo, novamente, mas atendendo outros enfoques
que a pesquisa de campo também permite tais como, construção de um
modelo de realidade, formas de observação, campo da pesquisa, formas
de acesso a esse campo e participantes.
45
− Forma de abordagem – Pesquisa qualitativa, por ser descritiva, as
informações obtidas não poderem ser quantificáveis, os dados obtidos são
analisados indutivamente e a interpretação dos fenômenos e a atribuição
de significados são básicas no processo de pesquisa qualitativa.
46
4 DESCRIÇÃO DO CASO (ESTRUTURA DE GOVERNANÇA DA EMPRESA A)
4.1 CARACTERIZAÇÃO DA EMPRESA A
O estudo de caso se dará focado em empresa de capital privado, do
segmento de prestação de serviço, de grande porte, tanto como estrutura
organizacional como intensiva na utilização da tecnologia da informação. Possui
como característica do porte, mais de 500 colaboradores em seus quadros e mais de
50 colaboradores especificamente em TI, tendo mais de 100 estações de trabalho
em seu ambiente.
A receita anual da organização supera 100 milhões de reais, excedendo a um
milhão de reais o orçamento especificamente para TI. A organização tem como
missão “Fornecer as melhores soluções para alavancar os negócios dos clientes –
guiados por princípios que envolvem a ética, a excelência e o comprometimento.”,
doravante chamada de Empresa A.
A Empresa A, tem na tecnologia da informação sua base para construir, dar
consistência, segurança, agilidade e confiabilidade ao serviço prestado. Tem, desta
forma, as seguintes premissas:
− Relacionamentos pautados pelo compromisso com a verdade, respeitando
pessoas, comunidades e leis.
− Garantia de privacidade de qualquer dado fornecido pelos clientes, de
forma confidencial e segura.
− Total imparcialidade no tratamento dos interesses das partes envolvidas;
− Decisões tomadas independentemente de posições pessoais, baseando-
se em fatos e dados concretos.
− Absoluta atenção com os serviços prestados e interação com as
comunidades em que a empresa atua, baseando-se em princípios de
cidadania global.
47
A Empresa A é líder no segmento de processamento de informações
comerciais. A mola propulsora de todas as atividades é o relacionamento com seus
clientes. E para que este casamento dê certo, é necessário que a empresa tenha o
compromisso de oferecer serviços de qualidade.
Com a meta de desenvolver um trabalho de primeira linha e criar intimidade
com os parceiros, foi planejada a estrutura organizacional (figura 6). As diretorias
foram agrupadas em quatro dimensões: Clientes, Produtos, Produção e Suporte.
Na dimensão Clientes estão as diretorias de Bancos, Clientes Corporativos e
Novos Negócios. A função destas diretorias é suprir todas as necessidades dos
clientes com eficiência e rapidez e, para isso, é necessário que conheçam
profundamente cada negócio da Empresa A.
Já os Produtos ficam nas mãos das diretorias de Risco, Contact Center,
Cartões e Novos Produtos. Cada uma delas deve identificar oportunidades e
antecipar as demandas dos clientes no que diz respeito às necessidades de seus
consumidores, oferecendo soluções que agreguem valor.
A dimensão Produção cuida da excelência operacional. As diretorias de
Atendimento a Cliente, Processamento de Risco, Infra-estrutura Tecnológica e
Operações procuram melhorar continuamente os processos, a racionalização e
otimização de custos, envolvendo-se diretamente com as áreas de produtos e
clientes.
Todas as atividades da empresa são ligadas às áreas de Suporte, que são
responsáveis pelos serviços, políticas e diretrizes da empresa, proporcionando todas
as condições para os negócios da Empresa A. As diretorias de Recursos Humanos,
Finanças, Controle e Administração, Tecnologia e Processos e Comunicação
Institucional fazem parte desta dimensão.
48
Figura 6 - Modelo de Gestão Tecnológica da Empresa A – Organograma da Empresa A
Fonte: Própria.
Não basta oferecer soluções prontas e pacotes de serviços fechados. O
grande desafio da Empresa A é customizar seu processamento, atendendo às
necessidades específicas de cada mercado. O objetivo é fazer com que os clientes
estabeleçam novas características, produtos adicionais, programas de incentivo –
entre outros – o que aumenta os diferenciais competitivos dos seus clientes e a
barreira de migração para a concorrência.
Devido ao grau de intimidade que a Empresa A estabelece com seus clientes,
é possível formular soluções sob medida. Cada serviço ou produto é avaliado antes
de sua aplicação, para contemplar as demandas do mercado em questão.
Soluções eficientes e completas são as conseqüências diretas do know-how
da Empresa A. Possui bagagem adquirida em 30 anos de experiência na área de
processamento de dados comerciais. Desta forma, a empresa conseguiu
disponibilizar rapidamente para seus clientes soluções que contemplam todas as
fases do ciclo de processamento.
Na América Latina, a Empresa A se destaca por aliar grande capacidade de
processamento, tecnologia de ponta e alto padrão de segurança com flexibilidade,
customização e agilidade, quesitos fundamentais para o competitivo mercado de
transações comerciais.
49
Para customizar seus produtos e serviços, a Empresa A usa a experiência
com meios de pagamento eletrônico, valendo-se de suas metodologias de
desenvolvimento, relacionamento, administração, segurança e qualidade.
A Empresa A se diferencia da concorrência pela aproximação que tem com
seus clientes. Priorizar esse contato estreita a identificação de novas oportunidades
de negócios para os clientes. Tendo o mesmo foco que o cliente, fica mais fácil
tomar decisões, desenvolver e implementar os projetos com sucesso. Diminui-se
também o risco de possíveis distorções.
A estrutura organizacional da empresa foi desenhada de forma a privilegiar
esse relacionamento, que é a principal disciplina de valor empresa.
A capacidade de processamento em larga escala é uma das principais
características da Empresa A, independente do mercado em que esteja atuando.
Prevenção e combate à fraude e também sigilo no tratamento de informações
são pontos fundamentais em todos os processos da Empresa A. A empresa possui
um eficiente sistema de segurança, que abrange segurança patrimonial, planos de
contingência, sistemas construídos sob rígidos requisitos de segurança, política de
segurança amplamente divulgada e praticada pelos funcionários, entre outras
medidas.
A Empresa A está totalmente preparada para oferecer soluções em serviços
de processamento de informações comerciais a todo cliente que utilize cartão como
meio de pagamento. Seu experimentado know-how e expertise no mercado de
cartões, possibilita à empresa diversificar os segmentos com os quais trabalha,
disponibilizando também ao mercado novos produtos como: Voucher, CDC, Private
Label e Saúde.
O diferencial da Empresa A está em sua enorme capacidade de processar e
integrar serviços agregados, facilitando os negócios dos clientes, permitindo
alavancar resultados. Tecnologia de ponta, flexibilidade, customizações, agilidade e
altos padrões de segurança ainda evitam que o cliente tenha perdas com fraude.
Para o tipo de serviço prestado pela Empresa A, a utilização da tecnologia da
informação é a base da estratégia, tática e operação da organização. A excelência
nos processos de definição das políticas tecnológicas, na agilidade e qualidade do
processamento das informações torna a Empresa A um caso de campo fértil para a
avaliação dos processos de governança utilizados que garantam a própria existência
da empresa.
50
4.2 ESTRUTURAS DECISÓRIAS DA EMPRESA A
A Empresa A com o intuito de manter as decisões alinhadas entre as diversas
áreas, está organizada em comitês que são apresentados a seguir:
4.2.1 Comitê Executivo
O Comitê Executivo é formado pelo Presidente e por todos os Diretores
Executivos e se reúne uma vez por semana para tomar decisões estratégicas e de
longo prazo, é responsável pelas decisões e plano estratégico da Empresa A. É
também responsabilidade do Comitê Executivo aprovar e acompanhar os grandes
projetos.
4.2.2 Comitê de Tecnologia
O Comitê de Tecnologia é formado por Diretores Adjuntos da Empresa A,
conforme mostra a figura 7:
Figura 7 - Modelo de Gestão Tecnológica da Empresa A – Comitê de Tecnologia da Empresa A
Fonte: Própria.
51
O Comitê de Tecnologia é responsável por definir e controlar a aplicação das
diretrizes tecnológicas na Empresa A.
Cabe ao Comitê de Tecnologia:
− Assessorar o Comitê Executivo nas decisões relativas ao uso de recursos
tecnológicos.
− Aplicar as diretrizes estratégicas de tecnologia definidas pela Empresa A.
− Garantir o alinhamento tecnológico da Empresa A às políticas
corporativas.
− Garantir a adequada execução das políticas e processos de tecnologia
nas diversas áreas de competência da empresa.
− Prospectar, avaliar e decidir pela adoção de tecnologias, plataformas e
soluções que atendam às necessidades dos clientes e assegurem
vantagem competitiva à Empresa A frente aos seus concorrentes locais e
globais.
É responsável ainda pelo Plano Estratégico da Tecnologia da Informação da
Empresa A. O Plano é revisto em todo início do Ano, com base nos Planos de
Negócios de cada Unidade de Negócio.
O Comitê de Tecnologia se reúne periodicamente para discutir e tomar
decisões estratégicas do uso de tecnologia, sendo apoiado pelo responsável pela
Arquitetura Tecnológica.
4.2.3 Comitê de Arquitetura
O Comitê de Arquitetura ocorre semanalmente, e tem por objetivo discutir e
viabilizar soluções de projetos e/ou outros assuntos pertinentes ao escopo da área.
Caso não haja consenso, o caso é levado para decisão no Comitê de Tecnologia.
A Empresa A utiliza 4 áreas de conhecimento:
− Arquitetura de Aplicativos abordando os domínios de Aplicação,
Gerenciamento de Sistemas e Segurança (do ponto de vista de aplicação).
− Arquitetura de Integração abordando os domínios, Integração e Pontos de
Acesso.
− Arquitetura de Software e Hardware abordando os domínios de Infra-
estrutura e Segurança (do ponto de vista de hardware e software).
52
− Administração de Dados abordando o domínio de dados.
As responsabilidades da Arquitetura Tecnológica são:
− Assessorar as atividades do Comitê de Tecnologia.
− Aprovar projetos e manutenções de aplicações.
− Zelar pela aplicação das políticas definidas para a gestão dos recursos
tecnológicos.
− Executar as atividades cotidianas de gerenciamento da arquitetura de
hardware e software, arquitetura de aplicações e administração de dados.
− Coordenar e gerenciar a execução dos processos estabelecidos de gestão
para a arquitetura.
− Coordenar as atividades de prospecção tecnológica e divulgação de
informações.
− Participar do Grupo de Inovações.
Os desafios da Gestão Tecnológica na Empresa A são:
− Obter vantagem competitiva, através da utilização de recursos
tecnológicos, sejam inovações ou já utilizados;
− Mitigar riscos inerentes ao uso da tecnologia, que possam afetar a imagem
ou os ativos financeiros dos nossos clientes.
Tecnologia e sua habilidade de criar ou encontrar novas oportunidades
competitivas são os componentes críticos dos serviços oferecidos pela Empresa A.
Portanto deve estar alinhado com a estratégia de negócios da empresa e
necessidades dos clientes, sendo fundamental uma política ampla, clara e robusta
para a efetiva gestão dessa tecnologia e a aplicação de soluções tecnológicas.
Com base nessa informação a visão da gestão tecnológica é que: “Recursos
tecnológicos são insumos fundamentais para a plena realização da missão da
Empresa A. Domínio e evolução do uso da tecnologia é fator crítico de sucesso para
operar os serviços prestados e integrar as soluções fornecidas aos clientes”.
É fundamental que a gestão da tecnologia esteja alinhada com as estratégias
do negócio. A figura 8 ilustra como este alinhamento é feito na Empresa A.
53
Figura 8 - Modelo de Gestão Tecnológica da Empresa A – Estrutura de Alinhamento do Negócio com TI
Fonte: Própria. A definição dos requisitos de negócios é baseada no Plano Estratégico, cuja
solução tecnológica é definida no Plano Estratégico da Tecnologia da Informação o
que direciona o desenho da Arquitetura Tecnológica e a conseqüente definição da
Infra-estrutura necessária juntamente com as tendências do mercado.
Atualmente, para atender as demandas dos negócios, as aplicações
necessitam ser modificadas rapidamente. Estas sofreram ao longo do tempo
diversas manutenções e tornaram-se complexas. Para controlar essa complexidade,
agilizar a entrega com qualidade e diminuir o custo dos projetos, é necessária uma
gestão de TI consistente, com conceitos como flexibilidade, proximidade com o
negócio, entre outros.
A gestão de TI também fornece subsídios para uma melhor solução
tecnológica para a Empresa A e para o cliente, principalmente porque as
características das novas cadeias de processos envolvem diversas entidades e
tecnologias, e a missão da Empresa A é justamente ser integradora de soluções.
Portanto, a tecnologia e sua gestão são fatores críticos de sucesso para
organização.
O modelo de governança de TI na Empresa A está referenciada ao CobiT,
que divide a área de tecnologia em 4 domínios e 34 processos. Os quatros domínios
54
são: Planejamento e Organização; Aquisição e Implementação; Entrega e Suporte;
Monitoração.
4.3 MODELO DE GOVERNANÇA DE TI DA EMPRESA A
O modelo de Governança de TI da Empresa A está estruturado com base nos
34 processos do CobiT, que representam os pontos significativos de decisão na
gestão de TI.
Em função de levantamento e questionário respondido pela Empresa A, é
apresentada uma descrição considerando os aspectos da estrutura decisória,
ferramentas de apoio e controles envolvidos nos processos, que servem de base a
análise efetuada.
4.3.1 Critérios de Classificação do Questionário Aplicado a Empresa A
Para a tabulação dos dados do questionário aplicado a Empresa A, foram
utilizadas as escalas apresentadas nas tabelas 3, 4 e 5 respectivamente para cada
uma das categorias:
a) Decisão
Tipo de estrutura decisória utilizada nos processos, a classificação numérica
não fornece uma informação direta de maior ou menor adequação da estrutura
decisória, pois esta depende do tipo de decisão a qual ela se aplica.
Tabela 3 - Escala de Classificação – Tipo de Estrutura Decisória
Decisão Não Estruturada 1
TI sem Apoio das Áreas de Negócio 2
Áreas de Negócio sem Apoio de TI 3
TI com Apoio das Áreas de Negócio 4
Áreas de Negócio com Apoio de TI 5
Fonte: Própria.
55
b) Ferramenta
Qual o grau de padronização existente na aplicação das ferramentas de apoio
a decisão.
Tabela 4 - Escala de Classificação – Padronização de Ferramentas
Fonte: Própria.
c) Controle
Qual o nível de controles existentes na implementação das decisões. Os
controles sobre os objetivos do processo, não avaliam a qualidade do processo em
si, mas sim se o objetivo do processo está sendo atendido ou não.
Tabela 5 - Escala de Classificação – Nível de Controles
Fonte: Própria.
4.3.2 Levantamento e Análise da Estrutura de Governança de TI da Empresa A
4.3.2.1 Planejamento e Organização
Este domínio cobre as estratégias e táticas, e abrange a identificação de
como a TI pode contribuir da melhor maneira para atingir os objetivos dos negócios.
Além disso, a visão estratégica necessita ser planejada, comunicada e gerenciada
de diferentes perspectivas. Finalmente, a própria organização como a infra-estrutura
tecnológica deve estar devidamente posicionada.
Não Existe Ferramenta de Apoio 1
Não Existe Padronização de Ferramentas 2
As Ferramentas São Padronizadas 3
Não Existem Controles 1
Controles sobre o objetivo do processo 2
Controles sobre o processo 3
56
a) PO1 – Definir o plano estratégico de TI
a.1) Estrutura Decisória:
As decisões envolvendo a estratégia de TI possuem mão dupla entre a área
de negócio e a área de TI, podendo utilizar tanto a estrutura de negócio apoiada por
TI, quanto surgir na própria área de TI, tendo apoio da área de negócio.
Por ser uma empresa de serviços com forte viés de TI, é muito comum que as
demandas de TI se originem de uma análise do responsável de processo de
negócio, que identificou uma plataforma que o ajuda a executar melhor sua
atividade. Exemplo: adotar um sistema neural para auxiliar na detecção e prevenção
a fraudes. Ainda nesta linha, é comum que alguma área de TI identifique uma
oportunidade onde a utilização de tecnologia possa significar um avanço para a
empresa (exemplo: consolidação de servidores e/ou consolidação de storage). Neste
caso o projeto é encaminhado por uma área de TI e ganha o apoio da empresa.
Considerando a característica tecnológica da Empresa A, as estratégias
adotadas de TI seguem prioritariamente a orientação da área de negócio com o
apoio de TI.
a.2) Ferramentas de Apoio:
No caso dos processos de negócio, existe a avaliação e comparação contra
as práticas de mercado e/ou a expectativa dos clientes, nas dimensões de
desempenho, custo, etc. No caso de adoção de tecnologias, aplica-se o
acompanhamento sistemático do ciclo de tecnologias emergentes junto ao mercado
para identificar o melhor momento para a sua adoção. O BSC (Balanced ScoreCard)
é utilizado como ferramenta de apoio ao planejamento estratégico.
As ferramentas utilizadas são aplicadas e padronizadas no contexto de toda a
organização.
a.3) Controles:
Os indicadores do BSC apóiam o controle sobre a adequação das decisões
estratégicas.
57
PO1-Definir o plano estratégico de TI
0
1
2
3
4
5
Decisão Ferramenta Controle
Estrutura
Cla
ssif
icaç
ãoOs controles são efetuados sobre o resultado deste processo, porém não são
controladas as etapas do processo.
a.4) Análise:
A empresa A possui estrutura participativa nas decisões e ferramentas
adequadas padronizadas para apoiar este processo. Os controles, no entanto,
apresentam-se com a perspectiva da aferição do cumprimento ou não do objetivo,
sem haver controle explicito sobre os processos que garantem a realização dos
objetivos.
Figura 9 - Classificação Empresa A: PO1 Definir o Plano Estratégico de TI
Fonte: Própria.
b) PO2 – Definir a arquitetura da informação
b.1) Estrutura Decisória:
O órgão responsável pela compilação, classificação e acompanhemento da
execução destas diretrizes é o Comitê de Arquitetura. A área de Arquitetura compila,
publica, divulga e avalia as diretrizes de arquitetura tecnológica. Parei aqui
A área de arquitetura incorpora as disciplinas de arquitetura de aplicações,
administração de dados, infra-estrutura de hardware, software e telecomunicações e
integração entre plataformas
Realizada pela gerência de TI com apoio da área de negócio.
58
b.2) Ferramentas de Apoio:
Modelo de Gestão de Tecnologia – Documento que consolida as principais
diretrizes de uso da Tecnologia e que é complementado pelas Políticas e Diretrizes
tecnológicas.
Plano de Tecnologia – Um plano que organiza as ações de tecnologia em 6
principais dimensões de acompanhamento.
Diretrizes da Arquitetura – Definem políticas, plataformas e boas práticas para
as soluções tecnológicas.
Diretrizes de Arquitetura – Documento que compila as principais diretrizes e
políticas de Arquitetura de TI por toda a empresa.
As ferramentas utilizadas são aplicadas e padronizadas no contexto de toda a
organização.
b.3) Controles:
Em relação às políticas de tecnologia, são controladas as não conformidades
identificadas na execução dos processos.
Em relação à aplicação do Plano de Tecnologia, é avaliado o quanto os
objetivos estratégicos e táticos foram cumpridos.
Os controles são efetuados sobre o resultado deste processo, porém não são
controladas as etapas do processo.
b.4) Análise:
A empresa A possui instâncias de decisão sobre a arquitetura da Informação,
com forte influência das áreas de Negócios. As ferramentas institucionalizadas na
empresa definem as diretrizes que devem ser obedecidas. Existem controles sobre o
objetivo, mas não existe controle sobre os processos para que os objetivos sejam
atingidos.
59
P02-Definir a Arquitetura da Informação
012
345
Decisão Ferramenta Controle
Estrutura
Cla
ssif
icaç
ão
Figura 10 - Classificação Empresa A: PO2 Definir a Arquitetura da Informação
Fonte: Própria.
c) PO3 – Determinar a direção tecnológica
c.1) Estrutura Decisória:
A empresa elabora anualmente um Balanced ScoreCard. As decisões
estratégicas de tecnologia são alinhadas com o objetivo de sustentar as decisões do
BSC.
No plano estratégico, a direção tecnológica é determinada pelo Comitê de
Tecnologia, tendo como base o Plano de Tecnologia atualizado. No plano
operacional e tático, as definições de uso de tecnologia são coordenadas pelo
Comitê de Arquitetura. Na ausência de consenso, a decisão é encaminhada ao
Comitê Executivo da empresa.
c.2) Ferramentas de Apoio:
Modelo de Gestão de Tecnologia – Documento que consolida as principais
diretrizes de uso da Tecnologia e que é complementado pelas Políticas e Diretrizes
tecnológicas.
Plano de Tecnologia – Um plano que organiza as ações de tecnologia em 6
principais dimensões de acompanhamento.
Diretrizes da Arquitetura – Definem políticas, plataformas e boas práticas para
as soluções tecnológicas.
As ferramentas utilizadas são aplicadas e padronizadas no contexto de toda a
organização.
60
c.3) Controles:
Em relação às políticas de tecnologia, são controladas as não conformidades
identificadas na execução dos processos.
Em relação à aplicação do Plano de Tecnologia, é avaliado o quanto os
objetivos estratégicos e táticos foram cumpridos.
Os controles são efetuados sobre o resultado deste processo, porém não são
controladas as etapas do processo.
c.4) Análise:
A empresa A possui instâncias de decisão sobre a arquitetura da Informação,
com forte influência das áreas de Negócios. As ferramentas institucionalizadas na
empresa definem as diretirzes que devem ser obedecidas. Existe controles sobre o
objetivo, mas não existe controle sobre os processos para que os objetivos sejam
atingidos.
P03-Determinar a Direção Tecnológica
01
23
45
Decisão Ferramenta Controle
Estrutura
Cla
ssif
icaç
ão
Figura 11 - Classificação Empresa A: PO3 Determinar a Direção Tecnológica
Fonte: Própria.
d) PO4 – Definir a organização de TI e relacionamentos
d.1) Estrutura Decisória:
A empresa adota a organização descentralizada das áreas de TI. As equipes
de sistemas estão alocadas nas áreas de produtos. A infra-estrutura corresponde a
uma diretoria executiva dedicada e a coordenação das atividades de tecnologia é
realizada pela equipe de Arquitetura. Todas as aplicações existentes na organização
são associadas a uma área de negócios responsável.
61
Apóia-se nas áreas de negócio, sem envolvimento formal de TI.
d.2) Ferramentas de Apoio:
Plano de Tecnologia – Um plano que organiza as ações de tecnologia em 6
principais dimensões de acompanhamento.
Diretrizes da Arquitetura – Definem políticas, plataformas e boas práticas para
as soluções tecnológicas.
As políticas e procedimentos da empresa são publicados num repositório
específico, de uso corporativo.
A comunicação entre as diversas áreas da empresa, incluindo as áreas de TI
é estruturada através da Intranet.
Ferramentas não padronizadas em toda a organização.
d.3) Controles:
Os papéis e responsabilidades de Tecnologia são formalmente definidos junto
à área de Recursos Humanos e a organização das atividades leva em consideração
os requisitos segregação de funções.
Existem processos formais de revisões independentes, que asseguram a
aderência aos requisitos legais, políticas e procedimentos da empresa e definições
dos clientes. As não conformidades são registradas e acompanhadas através de
procedimentos formais.
Os controles são efetuados sobre o resultado deste processo, porém não são
controladas as etapas do processo.
d.4) Análise:
As estruturas, processos e controles das áreas de tecnologia são formalmente
definidos e conhecidos por toda a empresa. O copartilhamento das decisões é
realizado através das instâncias diretivas e a comunicação é realizada através de
uma ferramenta institucional.
62
PO4-Definir a Organização de TI e Relacionamentos
0123
45
Decisão Ferramenta Controle
Estrutura
Cla
ssif
icaç
ão
Figura 12 - Classificação Empresa A: PO4 Definir a Organização de TI e Relacionamentos
Fonte: Própria. e) PO5 – Gerenciar investimentos de TI
e.1) Estrutura Decisória:
As previsões de investimento são elaboradas anualmente. Projetos previstos
no orçamento anual têm maior facilidade no processo de aprovação formal.
As decisões sobre investimentos em TI são compartilhadas entre as diretorias
executivas e o Comitê Executivo da empresa.
As prioridades de investimentos são tomadas no nível estratégico pelo Comitê
Executivo e nos níveis táticos pelas Diretorias Executivas.
Incrementos no orçamento precisam ser aprovados formalmente junto a um
Comitê Financeiro.
Apóia-se nas áreas de negócio, sem envolvimento formal de TI.
e.2) Ferramentas de Apoio:
Orçamento anual por área e consolidado da empresa.
Os projetos são apresentados e avaliados através de um documento
específico, onde são descritos: os processos operacionais previstos, os recursos
tecnológicos necessários, os benefícios tangíveis e intangíveis esperados, o
desempenho operacional esperado, os investimentos e despesas operacionais
projetados para o desenvolvimento da operação nos anos seguintes e o retorno
esperado sobre o investimento.
O acompanhamento da execução dos projetos também considera a dimensão
de investimentos e despesas previstos x realizados.
63
As ferramentas utilizadas são aplicadas e padronizadas no contexto de toda a
organização.
e.3) Controles:
Revisão mensal do Plano de Tecnologia, do orçamento e dos controles
relativos à adesão às políticas e requisitos de Segurança da Informação.
Todos os processos operacionais da empresa têm custos estabelecidos,
considerando os custos operacionais diretos e indiretos, amortização dos
investimentos. Estes custos são revisados periodicamente, considerando mudanças
realizadas nos processos, volumes executados e a infra-estrutura tecnológica
alocada.
Os controles são efetuados sobre o resultado deste processo, porém não são
controladas as etapas do processo.
e.4) Análise:
Os investimentos em Tecnologia, baseados em projetos são planejados,
aprovados e acompanhados em diversas instâncias da empresa.
PO5-Gerenciar os Investimentos de TI
012
34
5
Decisão Ferramenta Controle
Estrutura
Cla
ssif
icaç
ão
Figura 13 - Classificação Empresa A: PO5 Gerenciar os Investimentos de TI
Fonte: Própria.
64
f) PO6 – Comunicar Objetivos e Direcionamento
f.1) Estrutura Decisória:
As decisões envolvendo a comunicação dos objetivos são coordenadas e
patrocinadas pelo Comitê Executivo, mas sua execução é conduzida de forma
descentralizada pelas áreas da Empresa.
Apóia-se nas áreas de negócio, sem envolvimento formal de TI.
f.2) Ferramentas de Apoio:
As ferramentas que apoiam o alinhamento do processo de comunicação em
toda a organização é o BSC e os Ciclos de Avaliação de Dedesempenho Anual.
Outra ferramenta que apóia este processo é a intranet, que mantém a
organização toda alinhada com as informações oficiais.
As ferramentas utilizadas são aplicadas e padronizadas no contexto de toda a
organização.
f.3) Controles:
As metas do ciclo de desempenho são utilizadas como controles para este
processo.
Não existe controle para este processo e sim sobre o desempenho da
organização.
f.4) Análise:
O processo de comunicação é bastante utilizado, utilizando-se como
ferramenta principal a Intranet. A efetividade da comunicação e dos seus métodos
não é avaliada.
65
PO6-Comunicar Objetivos e Direcionamentos
0
1
23
4
5
Decisão Ferramenta Controle
Estrutura
Cla
ssif
icaç
ão
Figura 14 - Classificação Empresa A: PO6 Comunicar Objetivos e Direcionamentos
Fonte: Própria. g) PO7 – Gerenciar Recursos Humanos
g.1) Estrutura Decisória:
Existe definição formal e institucionalizada para as funções e atividades
realizadas em todas as áreas da empresa. As pessoas são recrutadas através de
processo coordenado pela área de Recursos Humanos, com base nas descrições de
cargos existentes para cada função. Tanto no processo de recrutamento quanto nos
processos de avaliação são consideradas as competências profissionais e as
habilidades pessoais requeridas. Nas competências pessoais, estão incluídos os
valores da empresa. Existe processo definido e institucionalizado para avaliação de
desempenho das pessoas, que é base para promoções, méritos e evolução
profissional na empresa.
Apóia-se nas áreas de negócio, sem envolvimento formal de TI.
g.2) Ferramentas de Apoio:
Algumas das ferramentas de apoio utilizadas são os ciclos de feedback e
programa de desenvolvimento individual, a Universidade Corporativa, a Avaliação
360º, o Programa Voz do Funcionário e a participação no Programa as Melhores
Empresas para se trabalhar.
As ferramentas utilizadas são aplicadas e padronizadas no contexto de toda a
organização.
66
g.3) Controles:
Os resultados dos ciclos de desempenho, das avaliações 360º e da Voz do
funcionário servem como referência para controlar a adequação das decisões deste
processo.
Os controles são efetuados sobre o resultado deste processo, porém não são
controladas as etapas do processo.
g.4) Análise:
Existe forte atenção com a manutenção dos talentos da organização. Os
processos de recursos humanos não são avaliados, porém o resultado das ações de
RH são medidas por pesquisas e premiações de satisfação do funcionário.
PO7-Gerenciar os Recursos Humanos
0
1
2
3
4
5
Decisão Ferramenta Controle
Est rut ura
Figura 15 - Classificação Empresa A: PO7 Gerenciar os Recursos Humanos
Fonte: Própria.
h) PO8 – Assegurar a Aderência de TI com os Requisitos Externos
h.1) Estrutura Decisória:
As decisões seguem orientação da área corporativa de Conformidade
Institucional e os diversos processos da empresa devem estar aderentes às políticas
e práticas determinadas pelo mercado. Para execução e controle existe uma área
corporativa de Processos e Controles.
Apóia-se nas áreas de negócio, sem envolvimento formal de TI.
67
h.2) Ferramentas de Apoio:
As ferramentas de apoio são as provas departamentais, reclamações junto a
órgão de defesa do consumidor etc.
As ferramentas não são padronizadas.
h.3) Controles:
Os controles são realizados na concepção dos processos através da estrutura
organizacional e em última instância por ocorrências legais.
Não existem controles formais sobre este processo.
h.4) Análise:
As exigências externas são atendidas, porém os processos são avaliados e
conduzidos pela área de negócio. Não existem controles efetivos sobre o processo.
PO8-Assegurar a Aderência de TI aos Requisitos Externos
0
1
2
3
4
5
Decisão Ferramenta Controle
Est rut ura
Figura 16 - Classificação Empresa A: PO8 Assegurar a Aderência de TI aos Requisitos Externos
Fonte: Própria.
i) PO9 – Avaliar os riscos
i.1) Estrutura Decisória:
As decisões envolvendo a identificação, mitigação e planejamento das
respostas aos riscos são conduzidas, de forma distribuída, por cada área, em
conseqüência os riscos relativos a TI são definidos e gerenciados pela própria área
de TI. Os riscos são estabelecidos nos processos e avaliados quanto às
68
metodologias de riscos existentes no mercado. Para cada conjunto de processos é
estabelecido um conjunto de Provas Departamentais, que verificam o nível de
exposição ao Risco.
Existem Planos de Contingência e de Continuidade de Negócios para todos
os processos, com identificação dos níveis de criticidade dos processos.
Gerenciamento de riscos faz parte do Balanced ScoreCard da empresa e item
de avaliação para efeito de bônus e recompensas.
Apóia-se em TI sem envolvimento das áreas de negócio.
i.2) Ferramentas de Apoio:
Como ferramentas de apoio ao processo decisório, existem as provas
departamentais e a matriz de riscos dos processos.
As ferramentas não são padronizadas.
i.3) Controles:
Os controles são aplicados no acompanhamento do plano de gerenciamento
dos riscos.
Os controles são efetuados sobre o resultado deste processo, porém não são
controladas as etapas do processo.
i.4) Análise:
A gestão dos riscos é bem equilibrada, precisando de um maior envolvimento
da área de negócio, com o conseqüente aprofundamento dos riscos envolvidos na
tecnologia, tanto os riscos estratégicos, quanto os operacionais. A utilização de
ferramenta padronizada traria maior capacidade de análise da empresa como um
todo.
69
PO9-Avaliar Riscos
0
1
2
3
4
5
Decisão Ferramenta Controle
Est rut ura
Figura 17 - Classificação Empresa A: PO9 Avaliar Riscos
Fonte: Própria.
j) PO10 – Gerenciar os projetos
j.1) Estrutura Decisória:
As decisões envolvendo a condução dos projetos são realizadas em primeira
instância de forma centralizada pelo escritório de projetos corporativo. Os projetos
são conduzidos pelas equipes de projetos e situadas em cada Unidade de Negócio
porém a parte relativa a TI são conduzidos e acompanhados por TI. Para os projetos
que envolvem mais de uma Unidade de negócio, são determinados os responsáveis
por realizar a integração entre os grupos de projetos.
Apóia-se em TI sem envolvimento das áreas de negócio.
j.2) Ferramentas de Apoio:
Existe um conjunto de ferramentas desenvolvidas internamente que
implementam as metodologias de Projetos e de Projetos de Software. A base
conceitual destes ciclos de vida é inspirada no PMBOK (Project Management Body
of Knowledge), base de conhecimento definido pelo PMI (Project Management
Institute), e no CMM (Capability Maturity Model), modelo de maturidade para os
processos de desenvolvimento de software.
As ferramentas utilizadas são padronizadas na organização.
70
j.3) Controles:
Os controles são realizados de acordo com o indicado pelo PMBOK e CMM.
Os controles são efetuados sobre o resultado deste processo, porém não são
controladas as etapas do processo.
j.4) Análise:
Em função de ferramentas de corpo de conhecimento bem padronizado no
mercado (CMM e PMI), a forma de condução dos projetos é padronizada. No
entanto a falta de controle sobre o processo, leva a discussão apenas dos
resultados, o que esconde necessidades de melhorias não existindo todo o esforço
necessário para a obtenção dos melhores resultados nos projetos.
PO10-Gerenciar os Projetos
0
1
2
3
4
5
Decisão Ferramenta Controle
Est rut ura
Figura 18 - Classificação Empresa A: PO10 Gerenciar Projetos
Fonte: Própria.
k) PO11 – Gerenciar a qualidade
k.1) Estrutura Decisória:
As decisões envolvendo a qualidade são descentralizadas, onde cada área de
negócios tem sua estrutura de processos e qualidade, que acompanha o
desenvolvimento dos processos e afere a qualidade e oportunidades de melhoria.
Apóia-se em TI sem envolvimento das áreas de negócio.
71
k.2) Ferramentas de Apoio:
A ferramenta que apóia as decisões como referência metodológica é a Norma
ISO 9000, para a qual estão certificados os principais processos.
As ferramentas não são padronizadas.
k.3) Controles:
Os controles são realizados pelo indicadores de qualidade e níveis de
serviços acordados tanto internamente quanto com os clientes externos.
Os controles são efetuados sobre o resultado deste processo, porém não são
controladas as etapas do processo.
k.4) Análise:
Existem muitas normas sendo seguidas, com preocupação de indicadores
externos. Os indicadores internos (entre áreas são pouco explorados).
PO11-Gerenciar a Qualidade
0
1
2
3
4
5
Decisão Ferramenta Controle
Est rut ura
Figura 19 - Classificação Empresa A: PO11 Gerenciar a Qualidade
Fonte: Própria.
4.3.2.2 Aquisição e Implementação
As soluções de TI precisam ser identificadas, desenvolvidas ou adquiridas,
assim como implementadas e integradas aos processos de negócios, para que as
estratégias de TI sejam realizadas, Além disso, alterações e manutenções dos
sistemas existentes estão cobertas por este domínio para ter certeza que o ciclo de
vida é contínuo para estes sistemas.
72
a) AI1 – Identificar soluções
a.1) Estrutura Decisória:
As decisões das soluções automatizadas são conduzidas pelas Unidades de
Negócios. São responsáveis por avaliar e implementar as soluções automatizadas.
As Unidades de Negócios tem a Área Corporativa de Arquitetura como apoio, que
por sua vez se orienta nas diretrizes estratégicas e nos Planos de Tecnologia para
garantir a aderência e coerência destas ações.
As decisões são estruturadas nas áreas de negócio com o apoio de TI.
a.2) Ferramentas de Apoio:
As ferramentas que apóiam as decisões deste processo são os
desenvolvimentos de Business Cases, a aplicação de Metodologia da Empresa A
para aquisição de pacotes de software e o Modelo de Gestão de Tecnologia.
Ferramentas não padronizadas.
a.3) Controles:
Os controles que apóiam este processo são os indicadores de aderência
funcional, operacional e técnica, os estudos de viabilidade financeira e avaliação
comparativa de fornecedores, preços etc.
Não existem controles específicos sobre este processo.
a.4) Análise:
Apresenta maturidade na condução do processo de identificação de soluções
automatizadas, porém sem padronização de ferramentas entre as diversas áreas de
negócio, bem como, não mantendo controle efetivo sobre o processo.
73
AI1-Identificar Soluções
0
1
2
3
4
5
Decisão Ferramenta Controle
Est rut ura
Figura 20 - Classificação Empresa A: AI1 Identificar Soluções
Fonte: Própria.
b) AI2 – Adquirir e manter software aplicativo
b.1) Estrutura Decisória:
As decisões para a aquisição e manutenção de software aplicativo são
conduzidas por cada Unidade de Negócios. A área de TI apóia as decisões das
Unidades. A área de Arquitetura corporativa compila, publica e divulga as diretrizes
de Design (conceitual, lógico e físico) das aplicações, considerando as
características dos processos operacionais da empresa. Os arquitetos das áreas de
negócios participam do processo de definição e validação arquitetura das soluções
automatizadas.
As decisões são estruturadas nas áreas de negócio com o apoio de TI.
b.2) Ferramentas de Apoio:
As ferramentas de apoio às decisões concentram-se na metodologia de ciclo
de vida de desenvolvimento de projetos e de projetos de software.
Ferramentas são padronizadas.
b.3) Controles:
As aplicações adquiridas, desenvolvidas ou alteradas somente são
implantadas com aceite formal dos usuários e depois de passar por processos
formais de aceite. Existe controle formal de versões e configurações dos
componentes de software.
Não existem controles que avaliem a adequação deste processo.
74
b.4) Análise:
Apresenta maturidade na condução do processo de adiquirir e manter
software aplicativo, porém não mantem controle efetivo sobre o processo.
AI2-Adiquirir e Manter Software Aplicativo
0
1
2
3
4
5
Decisão Ferramenta Controle
Est rut ura
Figura 21 - Classificação Empresa A: AI2 Adquirir e Manter Software Aplicativo
Fonte: Própria.
c) AI3 – Adquirir e manter infra-estrutura tecnológica
c.1) Estrutura Decisória:
A infra-estrutura tecnológica é conduzida e definida pela própria área. As
necessidades podem surgir de uma necessidade de negócio ou da implementação
de software aplicativo, porém, as decisões de infra-estrutura são tomadas de forma
centralizada pela própria área.
Apóia-se na área de TI sem envolvimento das áreas de negócio.
c.2) Ferramentas de Apoio:
Existem procedimentos internos servem de orientação para as decisões.
Estes procedimentos envolvem: descrição dos processos de homologação de
Hardware; procedimento de orientação específico para hardware homologado;
instalação do Produto (define o procedimento para instalação de Produto em
ambiente produtivo); homologação de Equipamentos (define a metodologia de
avaliação de implementação de equipamentos de Telecomunicações −
Hardware/Software).
São utilizados benchmarking com as tecnologias utilizadas no mercado.
75
As ferramentas são padronizadas.
c.3) Controles:
Os controles são efetuados pela avaliação do atendimento aos requisitos
especificados.
Não existe controle formal sobre este processo.
c.4) Análise:
Apresenta distância entre a área de TI e de negócio, considerando os aspecto
tecnológico do processo, é natural a condução pela área de TI, porém manter o
envolvimento das áreas de negócio permite aproveitar oportunidades e evitar riscos
através da visibilidade do negócio que TI não possui. Este processo sendo
conduzido centralizadamente pela área de TI, mantém padronização de ferramentas
e metodologia, porém não existe controle sobre a adequação do processo.
AI3-Adiquirir e Manter Infra-Estrutura Tecnológica
0
1
2
3
4
5
Decisão Ferramenta Cont role
Est rut ura
Figura 22 - Classificação Empresa A: AI3 Adquirir e Manter Infra-Estrutra Tecnológica
Fonte: Própria.
d) AI4 – Desenvolver e manter os procedimentos
d.1) Estrutura Decisória:
Existe área específica que conduz o desenho e especificação dos processos.
A empresa A tem forte estruturação de processos e procedimentos. As decisões de
implementação e documentação dos procedimentos são distribuídas pelas áreas de
negócio, apoiadas por padrões da área específica de processos. A Empresa A adota
76
um conjunto de diretrizes e padrões de uso de Tecnologia, que formam o que
chamamos de Modelo de Gestão de Tecnologia. A partir deste documento, são
criados e mantidos outros documentos e orientação, como as “Políticas de
Arquitetura”, que determina procedimentos de trabalho para segmento de negócios
onde a Empresa A presta serviços. Todas as Unidades de Negócio contribuem para
a elaboração e revisão do documento, com suas experiências e decisões relativas a
hardware, software e outros recursos tecnológicos necessários para o desempenho
das suas atividades.
Apóia-se na área de negócio sem envolvimento de TI.
d.2) Ferramentas de Apoio:
Existem ferramentas exclusivas para o gerenciamento dos acordos de
serviços e índices de qualidade esperada. Existe treinamento formal sobre os
processos operacionais e de sistemas. Os manuais de procedimentos de sistemas
de infra-estrutura tecnológica existem, mas não abrangem a totalidade dos
processos. Existe alto nível de dependência do conhecimento das pessoas.
As ferramentas não são padronizadas.
d.3) Controles:
Existe acompanhamento e controle sobre a realização dos treinamentos
considerados obrigatórios. A avaliação abrange o controle do público alvo, conteúdo
e satisfação dos participantes. Existe controle formal da execução das atividades
operacionais, com reporte e acompanhamento dos erros e falhas de cada processo.
Não existem controles específicos para avaliar a adequação das decisões
deste processo.
d.4) Análise:
Apresenta distância entre a área de TI e de negócio, sendo conduzido por
área específica e especializada, porém não mantém ferramentas padronizadas nem
controles específicos.
77
AI4-Desenvolver e Manter os Procedimentos
0
1
2
3
4
5
Decisão Ferramenta Controle
Est rut ura
Figura 23 - Classificação Empresa A: AI4 Desenvolver e Manter Procedimentos
Fonte: Própria.
e) AI5 – Instalar e homologar sistemas
e.1) Estrutura Decisória:
As equipes de Projetos de Sistemas fazem parte das equipes de Projetos que
são distribuídas pelas diversas áreas de negócio da empresa. Elas seguem um
processo metodológico baseado nos conceitos do PMI (Project Management
Institute) e do CMM (Capability Maturity Model), que foi customizado numa
ferramenta própria para o desenvolvimento de projetos. Através desta ferramenta é
possível acompanhar todo o ciclo de vida dos projetos de software, desde o
levantamento dos requisitos, até as etapas de aceite pelos usuários, instalação e
acompanhamento pós-implantação. Esta metodologia garantiu à Empresa A a
conquista do Certificado CMM nível 2.
Apóia-se em TI com apoio da área de negócio.
e.2) Ferramentas de Apoio:
O ciclo de vida, dos projetos, contempla os principais processos necessários
para a instalação dos sistemas, testes – incluindo os testes finais de aceite e
passagem para a produção. O ciclo de vida incorpora também a etapa de pós-
implementação, dando suporte às atividades e produtos necessários nesta etapa.
Existem ferramentas específicas para suportar processos de testes integrados dos
processos, com critérios sofisticados, que reproduzem as principais atividades de
negócio das plataformas de processamento.
Ferramenta padronizada.
78
e.3) Controles:
Existe controle formal de versões e configurações dos componentes de infra-
estrutura, porém o processo ou resultado deste não é medido.
Não existem controles específicos para este processo.
e.4) Análise:
Este processo mantém um grau de atenção alto para a Empresa A, pois
reflete diretamente nos acordos contratuais com os clientes. Possui, desta forma,
maturidade em sua condução por TI, com apoio das áreas de negócio. Não controla,
no entanto a efetiva do processo.
AI5-Instalar e Homologar Sistemas
012345
Decisão Ferramenta Controle
Estrutura
Cla
ssif
icaç
ão
Figura 24 - Classificação Empresa A: AI5 Instalar e Homologar Sistemas
Fonte: Própria.
f) AI6 – Gerenciar as mudanças
f.1) Estrutura Decisória:
As mudanças são gerenciadas nas diversas frentes que demandam por
mudanças nos processos produtivos. As 2 frentes que mais demandam controles
são as equipes de software de aplicação e infra-estrutura tecnológica. Mas, em
todos os casos existentes, as mudanças são planejadas, comunicadas com
antecedência, devidamente autorizadas e finalizadas, garantindo o menor impacto
possível nas atividades operacionais. Os planos de mudanças prevêem os riscos
existentes nas mudanças e os planos de volta/superação dos possíveis erros.
Apóia-se em TI sem envolvimento das áreas de negócio.
79
f.2) Ferramentas de Apoio:
Existem ferramentas para o controle das mudanças em qualquer componente
de tecnologia (desde um roteador até um módulo de sistema de aplicação). Existe
ferramental e processos para a realização de mudanças emergenciais não
programadas. Existem ferramentas para a realização da distribuição dos
componentes de software em todas as plataformas (mainframe, risc e Intel).
Ferramenta não padronizada.
f.3) Controles:
A solução dos problemas de projetos, aí incluídos falhas nos processos
relativos à segurança da Informação é acompanhada por equipes de controle. Existe
controle formal de versões e configurações dos componentes de infra-estrutura.
Existe controle e programação para a realização das atualizações de versões de
sistemas de aplicação, sistemas operacionais, gerenciadores de bancos de dados,
monitores de comunicação etc. Os desvios e seus impactos e riscos decorrentes são
comunicados às instâncias decisórias responsáveis. Não existe, no entanto controle
sobre os resultados e processos de mudança.
Não existem controles específicos sobre a efetividade das decisões tomadas
quanto à gestão de mudanças.
f.4) Análise:
As mudanças no ambiente de TI, por seu aspecto tecnológico, são
conduzidas por TI, sem o envolvimento das áreas de negócio. As ferramentas no
entanto não mantém padronização, nem existem controles efetivos sobre o
processo.
80
AI6-Gerenciar as Mudanças
012345
Decisão Ferramenta Controle
Estrutura
Cla
ssif
icaç
ão
Figura 25 - Classificação Empresa A: AI6 Gerenciar Mudanças
Fonte: Própria.
4.3.2.3 Entrega e Suporte
Este domínio trata da entrega dos serviços solicitados, os quais vão desde
operações tradicionais envolvendo aspectos de segurança e continuidade até
treinamentos. A fim de entregar os serviços, o processo de suporte necessário deve
ser criado. Este domínio inclui o processamento dos dados atuais pelos sistemas,
freqüentemente classificados sob os controles das aplicações.
a) ES1 – Definir e Gerenciar Níveis de Serviços
a.1) Estrutura Decisória:
A gestão de níveis de serviços faz parte da cultura da Empresa A. A gestão
da qualidade é praticada na relação com clientes, fornecedores, parceiros
estratégicos, e entre áreas internas da empresa. As decisões envolvendo os níveis
de serviço são descentralizadas pelas diversas interfaces com os fornecedores,
clientes, parceiros e entre áreas internas, porém os indicadores de níveis de serviço
são criados e controlados de forma centralizada por área específica.
Apóia-se em TI sem envolvimento das áreas de negócio.
a.2) Ferramentas de Apoio:
Como ferramentas de apoio para a gestão dos níveis de serviço, a Empresa A
adota a metodologia Six Sigma, para implementar um esforço de melhoria contínua
81
dos seus processos. Anualmente seus principais processos são submetidos a
auditorias de Qualidade ISO-9000.
As ferramentas não são padronizadas.
a.3) Controles:
As falhas de cumprimento dos compromissos críticos e/ou importantes são
registradas, analisadas e dão origem aos planos de melhorias. Não existe, no
entanto, controles sobre a adequação dos níveis de serviço.
Não existem controles específicos quanto à adequação dos indicadores de
níveis de serviço.
a.4) Análise:
Este processo, por sua caratcterística de atendimento, não possui a
integração adequada entre a área de TI e de negócio. Conduzida por TI, sem
padronização de ferramentas e sem controles da efetividade, não do resultado dos
níveis de serviço, mas da qualidade e adequação níveis.
ES1-Definir e Gerenciar Níveis de Serviço
012345
Decisão Ferramenta Controle
Estrutura
Cla
ssif
icaç
ão
Figura 26 - Classificação Empresa A: ES1 Definir e Gerenciar Níveis de Serviço
Fonte: Própria.
b) ES2 – Gerenciar Serviços de Terceiros
b.1) Estrutura Decisória:
Diversas áreas contribuem para a seleção de fornecedores e parceiros e para
a manutenção das relações produtivas ao longo do tempo. A área contratante é a
principal responsável pelo relacionamento. Ela é apoiada diretamente pelas equipes
82
jurídicas e de conformidade para garantir a aderência do relacionamento às
exigências legais e usos e costumes do nosso mercado e pela equipe financeira,
que avalia todas as relações comerciais com os parceiros, garantindo a continuidade
da prestação de serviços, nas condições comerciais combinadas pelas partes.
Apóia-se em TI sem envolvimento da área de negócio.
b.2) Ferramentas de Apoio:
As decisões sobre a contratação e o relacionamento com terceiros seguem a
orientação de ferramentas como as regras da SOX (Sarbanes Oxlay), ato do
congresso americano que regulamenta a relações internas e externas da empresa,
em acordo com os conceitos da Governança Corporativa e da certificação SAS-70
(Statement on Auditing Standards N070), para Organizações de Serviço, é um
padrão de auditoria reconhecido internacionalmente e desenvolvimento pela AICPA
(American Institute of Certified Public Accountants).
Ferramentas não padronizadas.
b.3) Controles:
A gestão das relações com terceiros abrange as seguintes dimensões: gestão
do contrato, gestão financeira, gestão da qualidade dos serviços e dos acordos de
serviços, gestão dos requisitos de segurança patrimonial e de segurança da
informação, contingência e continuidade da prestação de serviços. Existe processo
formal de diligências nos parceiros e fornecedores, para inspeção do cumprimento
de requisitos contratuais dos serviços.
A avaliação é focada no resultado final dos serviços envolvidos nas
contratações.
b.4) Análise:
Os serviços de terceiros prestados para TI, adequadamente, são conduzidos
para o TI, porém, na forma integrada entre negócio e TI, o envolvimento da área de
negócio seria mais adequado ao processo. Existem várias determinações
regulamentares, porém sem padronização em sua utilização. Como os fornecedores
83
são avaliados, existe certo grau de controle, porém não existe o controle sobre a
adequação do processo.
ES2-Gerenciar Serviços de Terceiros
012345
Decisão Ferramenta Controle
Estrutura
Cla
ssif
icaç
ão
Figura 27 - Classificação Empresa A: ES2 Gerenciar Serviços de Terceiros
Fonte: Própria.
c) ES3 – Gerenciar Desempenho e Capacidade
c.1) Estrutura Decisória:
Existe área, específica, responsável pelo planejamento da capacidade de
infra-estrutura. As áreas de negócio apóiam na previsão de crescimento e as de
produto no detalhamento das estimativas de necessidades de recursos. Possuem
processos bem definidos que orientam as decisões.
Processo decisório de TI, com o apóio das áreas de negócio.
c.2) Ferramentas de Apoio:
O Plano de Tecnologia contempla um capítulo específico para o planejamento
de capacidade. As áreas que dependem da ação de pessoas fazem planejamento e
controle de turnos de trabalho, através de ferramentas específicas para este fim.
Existem ferramentas para planejamento e execução operacional, em todos os
ambientes operacionais.
Ferramenta padronizada.
84
c.3) Controles:
Os volumes e níveis de capacidade dos processos críticos são monitorados
permanentemente. São elaborados planos especiais de operação em datas onde
tradicionalmente os volumes transacionais são muito superiores à média.
Controles aplicados sobre os objetivos do processo.
c.4) Análise:
Este processo possui maturidade na condução de TI com apoio das áreas de
negócio, bem como na padronização de seus métodos e ferramentas.
ES3-Gerenciar Desempenho e Capacidade
012
345
Decisão Ferramenta Controle
Estrutura
Cla
ssif
icaç
ão
Figura 28 - Classificação Empresa A: ES3 Gerenciar Desempenho e Capacidade
Fonte: Própria.
d) ES4 – Garantir a Continuidade dos Serviços
d.1) Estrutura Decisória:
A área de infra-estrutura é responsável por manter os planos de recuperação
de desastres e continuidade dos negócios. Grupos de trabalho são instituídos para,
periodicamente, testar os planos. A criação dos planos considera as diretrizes das
áreas de negócio.
Processo decisório de TI, com o apóio das áreas de negócio.
85
d.2) Ferramentas de Apoio:
Os planos são estabelecidos a partir das diretrizes das áreas de negócios,
que criam a “Análise de Impacto nos Negócios”. Esta análise é elaborada por
processo/atividade de negócio, os impactos da sua indisponibilidade no negócio
como um todo e seus desdobramentos para o restante das atividades. Estes planos
são testados anualmente e os relatórios de falhas alimentam os projetos de
melhoria.
Ferramenta padronizada.
d.3) Controles:
Como é um processo que visa a prevenção de grandes interrupções, os
principias controles são feitos de forma simulada, através dos testes realizados pelos
grupos de trabalho.
Controles sobre o processo.
d.4) Análise:
Processo considerado crítico, mantém maturidade elevada, com avaliações
periódicas definidas de sua qualidade e adequação.
ES4-Garantir a Continuidade dos Serviços
01
23
45
Decisão Ferramenta Controle
Estrutura
Cla
ssif
icaç
ão
Figura 29 - Classificação Empresa A: ES4 Garantir a Continuidade dos Serviços
Fonte: Própria.
86
e) ES5 – Garantir a Segurança dos Serviços
e.1) Estrutura Decisória:
Existe uma área central de Segurança da Informação, que coordena as ações
de segurança nos diversos níveis (jurídico, processos, arquitetura de tecnologia,
acessos, operações etc). A área de Segurança da Informação trabalha em estreita
colaboração com a área de Controles Internos, que entre outras atividades, monitora
todas as ocorrências conhecidas que possam provocar “Riscos de Negócios”.
Decisão na área de negócio, com apoio da área de TI.
e.2) Ferramentas de Apoio:
Existem processos bem definidos de controles de acesso às informações,
visando à garantia de que cada informação seja vista ou atualizada somente pelas
pessoas adequadas. Riscos de Segurança são registrados na Matriz de Riscos de
Negócios e acompanhados até a sua solução.
Ferramentas padronizadas.
e.3) Controles:
Existem processos para monitorar atividades operacionais críticas, tais como
o uso de Internet e tecnologias emergentes, tentativas de violação de perímetros,
administração de identidades e acessos etc.
Controle sobre os objetivos do processo.
e.4) Análise:
Processo considerado crítico para o negócio, considerando a
confidencialidade de informações dos clientes em posse da Empresa A. Mantém
maturidade adequada, porém sem controle sobre a adequação dos processos e sim
sobre os resultados obtidos por este.
87
ES5-Garantir a Segurança dos Serviços
0
12
34
5
Decisão Ferramenta Controle
Estrutura
Cla
ssif
icaç
ão
Figura 30 - Classificação Empresa A: ES5 Garantir a Segurança dos Serviços
Fonte: Própria.
f) ES6 – Identificar e Alocar Custos
f.1) Estrutura Decisória:
Existe área específica de gestão dos custos, que tem pó finalidade a
obtenção das informações que forma a estrutura de custos dos serviços de TI. As
decisões de alocação dos custos são distribuídas pelas diversas áreas de negócio.
Decisão em TI sem envolvimento das áreas de negócio.
f.2) Ferramentas de Apoio:
Estrutura de custos ABC, por processo/negócio.
Ferramenta não padronizada.
f.3) Controles:
Existem controles nas áreas de finanças, acompanhando a rentabilidade de
cada linha de serviços e o peso relativo dos componentes tecnológicos em cada
processo.
Não existem controles implementados para aferição das estimativas de custos
alocadas aos projetos. Os custos reais são lançados conforme plano de contas.
Controle sobre os objetivos do processo.
88
f.4) Análise:
A alocação de custos é realizada sem o envolvimento direto das áreas de
negócio, por sua característica operacional de TI. A integração com a área de
negócio permitiria evitar alocações com prioridades em descompasso com os
objetivos de negócio. O processo sendo descentralizado não mantém padronização.
ES6-Identificar e Alocar Custos
01
23
4
5
Decisão Ferramenta Controle
Estrutura
Cla
ssif
icaç
ão
Figura 31 - Classificação Empresa A: ES6 Identificar e Alocar Custos
Fonte: Própria.
g) ES7 – Educar e Treinar os Usuários
g.1) Estrutura Decisória:
As decisões sobre treinamentos necessários aos usuários para a melhor
performance na utilização da tecnologia, são tomadas de forma descentralizada
pelas áreas de negócio, porém identificadas, principalmente, pela área de TI.
Decisão nas áreas de negócio, com apoio de TI.
g.2) Ferramentas de Apoio:
A Universidade Corporativa incorporou ao seu programa todas as
programações de educação e treinamento sobre tecnologia, na forma de cursos e
workshops internos e externos. Existem parcerias com empresas, organismos
voltados para tecnologia a fim de prover educação e treinamento técnico necessário.
Clientes são normalmente incluídos em programas de treinamento, quando é o
ocaso. Também podem ser elaborados programas específicos para clientes.
Ferramenta não padronizada.
89
g.3) Controles:
Toda a programação da Universidade faz parte dos processos de avaliação
de desempenho, para toda a empresa. Existe controle específico sobre treinamentos
obrigatórios, tais como, os treinamentos necessários para as certificações ISO, CMM
e outras.
Não existe controle sobre a efetividade dos treinamentos fornecidos.
g.4) Análise:
Os treinamentos são conduzidos sem haver controle sobre seus resultados. A
Avaliação do treinamento é dada pela satisfação dos treinandos.
ES7-Educar e Treinar os Usuários
0
12
3
4
5
Decisão Ferramenta Controle
Estrutura
Cla
ssif
icaç
ão
Figura 32 - Classificação Empresa A: ES7 Educar e Treinar os Usuários
Fonte: Própria.
h) ES8 – Apoiar e Aconselhar os Clientes
h.1) Estrutura Decisória:
Existe uma estrutura própria para o apoio aos clientes e usuários de TI. A
área de TI identifica e apóia as necessidades de suporte aos clientes. A utilização da
estrutura de apoio aos clientes depende da aplicação e não possuem um processo
unificado na Empresa A.
Decisão em TI sem envolvimento das áreas de negócio.
90
h.2) Ferramentas de Apoio:
Check list, procedimentos e regras de atendimento, apóiam o atendimento ao
cliente.
Ferramentas não padronizadas.
h.3) Controles:
Não existem controles quanto à efetividade e satisfação dos clientes.
h.4) Análise:
Processo sem envolvimento das áreas de negócio e sem controles efetivos.
ES8-Apoiar e Aconselhar os Clientes
0
1
2
3
4
5
Decisão Ferramenta Controle
Estrutura
Cla
ssif
icaç
ão
Figura 33 - Classificação Empresa A: ES8 Apoiar e Aconselhar os Clientes
Fonte: Própria.
i) ES9 – Gerenciar a Configuração
i.1) Estrutura Decisória:
As decisões referentes a este processo são de responsabilidade da área de
infra-estrutura de TI, sendo conduzida de forma centralizada em TI.
Decisão em TI sem envolvimento das áreas de negócio.
91
i.2) Ferramentas de Apoio:
Utiliza-se de ferramentas de software que administram um banco de dados
com os itens de configuração. Não é aplicado a todo o ambiente da empresa A, mas
sim áreas localizadas, mais voltadas para a infra-estrutura de TI.
Ferramentas não padronizadas.
i.3) Controles:
Os controles são dados pelos softwares utilizados, porém não existem
controles que avaliem a adequação deste processo e sim controles sobre os itens
mantidos no software.
i.4) Análise:
Processo com conotação fortemente tecnológica, conduzido sem o apoio das
áreas de negócio. Mantém controle sobre os resultados dos processos.
ES9-Gerenciar a Configuração
0
1
2
3
4
5
Decisão Ferramenta Controle
Estrutura
Cla
ssif
icaç
ão
Figura 34 - Classificação Empresa A: ES9 Gerenciar a Configuração
Fonte: Própria.
j) ES10 – Gerenciar Problemas e Incidentes
j.1) Estrutura Decisória:
A responsabilidade sobre este processo está centralizada na área de TI,
através de alguns processos e sistemas que controlam os problemas e incidentes.
92
j.2) Ferramentas de Apoio:
Sistemas proprietário ou de mercado que controlam desde o surgimento do
incidente/problema até sua solução. Não existe uma clara definição dos limites entre
incidentes e problemas.
Ferramenta não padronizada.
j.3) Controles:
Não existem controles que façam a aferição da adequação destes processos,
bem como não existe um processo unificado na Empresa A.
j.4) Análise:
Processo sem envolvimento das áreas de negócio, mantém baixa maturidade
na condução e controle. A característica interna traz uma informalidade não
adequada.
ES10-Gerenciar Problemas e Incidentes
0
1
2
3
4
5
Decisão Ferramenta Controle
Estrutura
Cla
ssif
icaç
ão
Figura 35 - Classificação Empresa A: ES10 Gerenciar Problemas e Incidentes
Fonte: Própria.
93
k) ES11 – Gerenciar dados
k.1) Estrutura Decisória:
As decisões envolvendo a qualidade dos dados em todo seu processo de
criação, atualização e eliminação, são centralizadas na área de TI, porém
distribuídas pelos aplicativos envolvidos nas áreas de negócio.
Decisão em TI, sem envolvimento das áreas de negócio.
k.2) Ferramentas de Apoio:
Existem áreas formais responsáveis pelos dados da empresa e pela sua
utilização. Estas responsabilidades são compartilhadas entre as áreas de
Administração de Dados e bancos de Dados. Arquivos, tabelas e outros dispositivos
de armazenamento são catalogados nas áreas de processamento e são controlados
quanto ao timing, disponibilidade das informações, processos usuários,
procedimentos de backup, procedimentos de retenção e procedimentos de descarte.
Existem procedimentos formais e ferramentas automatizadas para o backup,
recuperação e restauração da integridade das informações. Existem políticas sobre
o tratamento e guarda de informações sensíveis.
Ferramentas não padronizadas.
k.3) Controles:
Não existem controles específicos para aferir a adequação da qualidade dos
dados e sim controles ambientais pelo uso da informação.
k.4) Análise:
Processo com baixa maturidade, conduzido por TI, sem envolvimento das
áreas de negócio e sem controles sobre sua efetividade.
94
ES11-Gerenciar dados
0
1
2
3
4
5
Decisão Ferramenta Controle
Estrutura
Cla
ssif
icaç
ão
Figura 36 - Classificação Empresa A: ES11 Gerenciar Dados
Fonte: Própria.
l) ES12 – Gerenciar Equipamentos
l.1) Estrutura Decisória:
A segurança física dos ambientes é de responsabilidade de área específica,
com o apoio das diversas áreas de negócio, inclusive a área de TI.
Decisão na área de negócio com apoio de TI.
l.2) Ferramentas de Apoio:
Os recursos de infra-estrutura básica (água, energia elétrica, diesel etc.) são
considerados recursos críticos e estão contemplados nos processos de Contingência
e Continuidade dos Negócios. Existem planos de fuga e evacuação das instalações
e existem treinamentos freqüentes. Existem processos e pessoas designadas para
cuidar da operação dos processos críticos da empresa em caso de contingência.
Existem plantões e turnos estabelecidos nas áreas operacionais, de processos e
sistemas, sempre que a criticidade do processo justifique.
Ferramenta padronizada.
l.3) Controles:
Não existem controles específicos para aferir a adequação do processo de
segurança física. O controle é realizado pela avaliação das ocorrências.
95
l.4) Análise:
Processo conduzido por área específica de negócio, porém com envolvimento
de TI. Mantém padronização de suas ferramentas.
ES12-Gerenciar Equipamentos
0
1
2
3
4
5
Decisão Ferramenta Controle
Estrutura
Cla
ssif
icaç
ão
Figura 37 - Classificação Empresa A: ES12 Gerenciar Equipamentos
Fonte: Própria.
m) ES13 – Gerenciar operações
m.1) Estrutura Decisória:
As decisões são centralizadas na área de TI, porém com premissas e
restrições definidas pelas áreas de negócio.
m.2) Ferramentas de Apoio:
Existe uma grande gama de ferramentas para operação e gestão da
produção, agenda e execução de serviços, monitores de execução etc. Manuais e
documentos específicos orientam as equipes de operação nas atividades cotidianas,
tratamento de exceções, tratamento de erros e procedimentos de contingência.
Ferramentas padronizadas.
m.3) Controles:
Não existem controles específicos de adequação do processo, sendo
realizadas avaliações por desvios no “log´s” de execução das rotinas de produção.
96
m.4) Análise:
Processo conduzido por TI, porém com envolvimento das áreas de negócio.
Mantém padronização de suas ferramentas.
ES13-Gerenciar Operações
0
1
2
3
4
5
Decisão Ferramenta Controle
Estrutura
Cla
ssif
icaç
ão
Figura 38 - Classificação Empresa A: ES13 Gerenciar Operações
Fonte: Própria.
4.3.2.4 Monitoração
Este domínio aborda os processos de TI, necessários de serem avaliados
regularmente nos aspectos de sua qualidade e conformidade com os requerimentos
de controle. Este domínio, além disto, direciona a vigilância da gerência nos
processos de controles da organização e fornece garantia independente pela
auditoria interna ou externa.
a) M1 – Monitorar os Processos
a.1) Estrutura Decisória:
O monitoramento é responsabilidade da área de TI. Porém não existe
processo padronizado para avaliar a organização e sim grupos de controles sobre
níveis de serviço e ocorrências de incidentes e problemas.
Decisão em TI sem envolvimento das áreas de negócio.
97
a.2) Ferramentas de Apoio:
A principal ferramenta para monitoramento dos processos são os Acordos de
Níveis de Serviço.
Não existe ferramenta específica.
a.3) Controles:
Não existem controles específicos quanto à adequação do processo de
monitoramento dos processos.
a.4) Análise:
O processo é conduzido por TI sem o envolvimento das áreas de negócio.
Mantém baixa maturidade em ferramentas de apoio e controles efetivos.
M1-Monitorar os Processos
0
1
2
3
4
5
Decisão Ferramenta Controle
Estrutura
Cla
ssif
icaç
ão
Figura 39 - Classificação Empresa A: M1 Monitorar Processos
Fonte: Própria.
b) M2 – Avaliar a Adequação dos Controles Internos
b.1) Estrutura Decisória:
As decisões envolvidas neste processo são de responsabilidade de área
específica que avalia os riscos de negócio, com o apoio das áreas de negócio e de
TI.
Decisão na área de negócio com apóio de TI.
98
b.2) Ferramentas de Apoio:
Existem ferramentas e processos para a realização da provas
departamentais, registro das não conformidades, registro dos planos de ação e das
correções. Existem registros das não conformidades identificadas pelos Controles
Internos.
Não existe ferramenta formal.
b.3) Controles:
Não existem controles específicos quanto à adequação deste processo.
b.4) Análise:
O processo mantém baixa maturidade em ferramentas de apoio e controles
efetivos.
M2-Avaliar a Adequação dos Controles Internos
0
1
2
3
4
5
Decisão Ferramenta Controle
Estrutura
Cla
ssif
icaç
ão
Figura 40 - Classificação Empresa A: M2 Avaliar a Adequação dos Controles Internos
Fonte: Própria.
c) M3 – Obter Garantia Independente
c.1) Estrutura Decisória:
Não existe processo específico, mas sim a utilização de certificações e
adoção de padrões visando à confiabilidade entre fornecedores e a Empresa A e
esta com seus clientes.
99
c.2) Ferramentas de Apoio:
Certificações ISO, CMM, SAS-70.
Ferramentas não padronizadas
c.3) Controles:
Não existem controles específicos quanto à adequação deste processo.
c.4) Análise:
Não existe processo específico.
M3-Obter Garantia Independente
0
1
2
3
4
5
Decisão Ferramenta Controle
Estrutura
Cla
ssif
icaç
ão
Figura 41 - Classificação Empresa A: M3 Manter Garantia Independente
Fonte: Própria.
d) M4 – Obter Auditoria Independente
d.1) Estrutura Decisória:
As decisões relativas a este processo são determinadas pelas áreas de
negócio e de TI em conjunto, atendendo a exigência de mercado.
Decisão das áreas de negócio com apoio de TI.
d.2) Ferramentas de Apoio:
Auditorias referentes a Sarbanes Oxlay, Basiléia II e SAS-70.
Ferramentas padronizadas.
100
d.3) Controles:
Não existem controles específicos quanto à adequação deste processo.
Controles sobre os objetivos do processo, dados pelos resultados das
auditorias.
d.4) Análise:
O processo apresenta maturidade por ser crítico para o reconhecimento e
confiabilidade dos clientes.
M4-Obter Auditoria Independente
0
1
2
3
4
5
Decisão Ferramenta Controle
Estrutura
Cla
ssif
icaç
ão
Figura 42 - Classificação Empresa A: M4 Obter Auditoria Independente
Fonte: Própria.
101
5 ANÁLISE DOS RESULTADOS
Para a tabulação dos dados do questionário aplicado a Empresa A, está
sendo utilizada a seguinte escala de classificação para cada uma das categorias:
1) Decisão:
Tipo de estrutura decisória utilizada nos processos, a classificação numérica
não fornece uma informação direta de maior ou menor adequação da estrutura
decisória, pois esta depende do tipo de decisão a qual ela se aplica.
Tabela 6 - Escala de Classificação – Tipo de Estrutura Decisória
Fonte: Própria.
2) Ferramenta:
Qual o grau de padronização existente na aplicação das ferramentas de apoio
a decisão.
Tabela 7 - Escala de Classificação – Padronização de Ferramentas
Fonte: Própria.
Decisão Não Estruturada 1
TI sem Apoio das Áreas de Negócio 2
Áreas de Negócio sem Apoio de TI 3
TI com Apoio das Áreas de Negócio 4
Áreas de Negócio com Apoio de TI 5
Não Existe Ferramenta de Apoio 1
Não Existe Padronização de Ferramentas 2
As Ferramentas São Padronizadas 3
102
3) Controle:
Qual o grau de controle existente na implementação das decisões. Os
controles sobre os objetivos do processo, não avaliam a qualidade do processo em
si, mas sim se o objetivo do processo está sendo atendido ou não.
Tabela 8 - Escala de Classificação – Nível de Controles
Fonte: Própria.
Conforme apresentado nas figuras 43 até 46, 38% (13 processos) das
decisões, da Empresa A, envolvidas nos processos de TI são tomadas apenas por
TI, porém 41% (14 processos) das decisões são tomadas em conjunto entre as
áreas de negócio e a área de TI.
A Empresa A possui uma estruturação forte no processo de tomada de
decisão, apresentando apenas um processo com decisão não estruturada.
A utilização de ferramentas para apoio à tomada de decisão é amplamente
difundida, com apenas 6% (2 processos) de processos não utilizando ferramentas.
Fica demonstrado, pelos resultados, um movimento na direção da
padronização das ferramentas, sendo aproximadamente igual o percentual de
ferramentas padronizadas (44% ou 15 processos) e não padronizadas (50% ou 17
processos).
A Empresa A possui controle em aproximadamente metade dos processos
(44% ou 15 processos) focando o resultado esperado, porém o controle sobre a
eficácia ou etapas destes processos, ainda é muito pouco realizado, tendo apenas
um processo com controle amplo (3%). Existem, em conseqüência, 53% de
processos sem um efetivo controle.
Não Existem Controles 1
Controles sobre o objetivo do processo 2
Controles sobre o processo 3
103
PLANEJAMENTO E ORGANIZAÇÃO
0
1
2
3
4
5
Dec
isão
Fer
ram
enta
Con
trol
e
Dec
isão
Fer
ram
enta
Con
trol
e
Dec
isão
Fer
ram
enta
Con
trol
e
Dec
isão
Fer
ram
enta
Con
trol
e
Dec
isão
Fer
ram
enta
Con
trol
e
Dec
isão
Fer
ram
enta
Con
trol
e
Dec
isão
Fer
ram
enta
Con
trol
e
Dec
isão
Fer
ram
enta
Con
trol
e
Dec
isão
Fer
ram
enta
Con
trol
e
Dec
isão
Fer
ram
enta
Con
trol
e
Dec
isão
Fer
ram
enta
Con
trol
e
PO1 PO2 PO3 PO4 PO5 PO6 PO7 PO8 PO9 PO10 PO11
PROCESSOS E CATEGORIAS
CL
AS
SIF
ICA
ÇÃ
O
Figura 43 - Resumo de Classificação – Planejamento e Organização
Fonte: Própria.
AQUISIÇÃO E IMPLEMENTAÇÃO
0
1
2
3
4
5
Dec
isão
Fer
ram
enta
Con
trol
e
Dec
isão
Fer
ram
enta
Con
trol
e
Dec
isão
Fer
ram
enta
Con
trol
e
Dec
isão
Fer
ram
enta
Con
trol
e
Dec
isão
Fer
ram
enta
Con
trol
e
Dec
isão
Fer
ram
enta
Con
trol
e
AI1 AI2 AI3 AI4 AI5 AI6
PROCESSOS E CATEGORIAS
CL
AS
SIF
ICA
ÇÃ
O
Figura 44 - Resumo de Classificação – Aquisição e Implementação
Fonte: Própria.
104
ENTREGA E SUPORTE
0
1
2
3
4
5D
ecis
ão
Fer
ram
enta
Con
trol
e
Dec
isão
Fer
ram
enta
Con
trol
e
Dec
isão
Fer
ram
enta
Con
trol
e
Dec
isão
Fer
ram
enta
Con
trol
e
Dec
isão
Fer
ram
enta
Con
trol
e
Dec
isão
Fer
ram
enta
Con
trol
e
Dec
isão
Fer
ram
enta
Con
trol
e
Dec
isão
Fer
ram
enta
Con
trol
e
Dec
isão
Fer
ram
enta
Con
trol
e
Dec
isão
Fer
ram
enta
Con
trol
e
Dec
isão
Fer
ram
enta
Con
trol
e
Dec
isão
Fer
ram
enta
Con
trol
e
Dec
isão
Fer
ram
enta
Con
trol
e
ES1 ES2 ES3 ES4 ES5 ES6 ES7 ES8 ES9 ES10 ES11 ES12 ES13
PROCESSOS E CATEGORIAS
CL
AS
SIF
ICA
ÇÃ
O
Figura 45 - Resumo de Classificação – Entrega e Suporte
Fonte: Própria.
MONITORAÇÃO
0
1
2
3
4
5
Dec
isão
Fer
ram
enta
Con
trol
e
Dec
isão
Fer
ram
enta
Con
trol
e
Dec
isão
Fer
ram
enta
Con
trol
e
Dec
isão
Fer
ram
enta
Con
trol
e
M1 M2 M3 M4
PROCESSOS E CATEGORIAS
CL
AS
SIF
ICA
ÇÃ
O
Figura 46 - Resumo de Classificação – Monitoração
Fonte: Própria.
105
A Empresa A possui um grau de maturidade médio no processo de tomada de
decisão, que engloba a estrutura decisória e as ferramentas utilizadas, porém a
maturidade dos controles é inferior à maturidade das decisões, possuindo espaço
para a evolução, principalmente para o controle das etapas dos processos.
As tabelas 9 e 10 mostram a relação entre as classificações dos domínios e
da organização como um todo.
Avaliando a estrutura decisória, o domínio com menor grau de integração
entre TI e as áreas de negócio é o de Planejamento e Organização. Nos outros
domínios existe um equilíbrio entre os processos integrados e que não consideram a
integração.
Tabela 9 - Resumo de Classificação – Domínios
PO AI ES M
Classificação
Dec
isão
Fer
ram
enta
Co
ntr
ole
Dec
isão
Fer
ram
enta
Co
ntr
ole
Dec
isão
Fer
ram
enta
Co
ntr
ole
Dec
isão
Fer
ram
enta
Co
ntr
ole
1 0 0 2 0 0 6 0 0 7 1 2 3
2 3 4 9 2 3 0 7 8 5 1 2 1
3 5 7 0 1 3 0 0 5 1 0 0 0
4 2 1 3 0
5 1 2 3 2
Fonte: Própria.
Tabela 10 - Resumo de Classificação – Empresa A
TOTAL
Classificação Decisão Ferramenta Controle
1 1 2 18
2 13 17 15
3 6 15 1
4 6 0 0
5 8 0 0
Fonte: Própria.
106
A padronização da utilização das ferramentas de apoio ao processo decisório
encontra-se mais fortemente desenvolvido no domínio de planejamento e
organização. O domínio de monitoramento é o menos apoiado por padronização ou
mesmo a existência de ferramentas.
Os controles estão ausentes no domínio de aquisição e implementação e
mais fortemente presentes no domínio de Planejamento e Organização.
107
6 CONCLUSÃO
A Governança de TI, conforme Van Grembergen (2002 apud VAN
GREMBERGEN, 2004), é a capacidade organizacional exercida pelos dirigentes,
executivos de negócio e de TI, para controlar a formulação e implementação da
estratégia de TI e desta maneira garantir a fusão do negócio com TI.
A definição dada por Van Grembergen deixa clara a preocupação na
utilização da tecnologia da informação em acordo com as estratégias
organizacionais. Simultaneamente, aponta a dificuldade de manter as ações dos
dirigentes, executivos de negócio e de TI alinhadas com a mesma visão
organizacional. Entender melhor estas dificuldades e como as organizações estão se
estruturando para este desafio, foi o motivador deste estudo, que teve como foco a
premissa da existência de uma disfunção da estrutura do processo decisório sobre a
Tecnologia da Informação, na definição e implementação das ações estratégicas de
uso da TI e desta forma, não garantindo que os ativos de TI estejam sendo utilizados
em acordo com as necessidades estratégicas organizacionais.
A premissa desta disfunção é visível pela persistente insatisfação mútua entre
a organização e a área de TI. A dificuldade de comunicação e de linguagens, a
diferença entre as velocidades de inovações em TI e na área de negócio, as
diferentes percepções entre a área de negócio e TI quanto aos custos de TI e
principalmente a complexidade de se quantificar a contribuição de TI aos resultados
de negócio são alguns dos motivos desta falta de alinhamento nas ações, porém
não só nestas, mas também nas percepções existentes.
A pesquisa teve por objetivo conhecer os processos decisórios no contexto da
gestão de TI utilizados em organizações com uso intensivo de recursos tecnológicos,
através da identificação e delimitação das decisões mais importantes para a gestão
de TI, conhecer as estruturas organizacionais e mecanismos utilizados no processo
de tomada de decisões e o grau de controle existente nestes processos.
A pesquisa de campo ocorreu em empresa, aqui denominada Empresa A, de
grande porte, capital privado, prestadora de serviço de processamento de
informações comerciais a todo cliente que utilize cartão como meio de pagamento,
em conseqüência, com o uso intensivo da tecnologia, fazendo, a tecnologia da
informação, parte do próprio negócio.
108
O estudo da Empresa A permitiu conhecer estruturas e práticas em empresa
considerada referência na utilização da tecnologia e em seus processos de gestão.
Fornece, assim, um viés de identificação das boas práticas hoje buscadas pelo
mercado, mais do que mapear a utilização efetiva de estruturas, ferramentas e
controles nas organizações brasileiras, ou mesmo uma visão de práticas por
segmento econômico. Pesquisas complementares podem fornecer esta visão e
comparação entre as boas práticas da Empresa A, pertencente ao segmento de
serviço de processamento de cartões, descrito neste estudo, com as práticas
existentes em outros segmentos ou mesmo em empresas que não tenham TI como
inerente ao negócio.
Para atender ao objetivo da pesquisa, foram definidas quatro questões a
serem respondidas.
A primeira questão abordou o conhecimento e limitação das decisões,
consideradas significativas, envolvendo a gestão de TI. Para responder esta questão
e limitar o estudo, foi utilizada a estrutura de processo do CobiT, como uma
ferramenta desenvolvida por auditores e que mapeia os processos de TI, esta
fornece uma orientação bastante ampla e precisa das decisões envolvidas em TI.
A estrutura do CobiT, fornece a divisão de TI em quatro domínios:
− Planejamento e Organização (PO);
− Aquisição e Implementação (AI);
− Entrega e Suporte (ES);
− Monitoração (M).
Estes são quatro grandes grupos de decisões envolvendo a TI. O CobiT, além
dos domínios, subdivide estes em processos, que devem ser controlados, para
garantir o alinhamento e a excelência de performance de sua execução. Novamente
a analogia com os processos decisórios significativos é direta:
PO1 – Definir o Plano Estratégico de TI;
PO2 – Definir a Arquitetura da Informação;
PO3 – Determinar a direção tecnológica;
PO4 – Definir a Organização e Relacionamentos de TI;
PO5 – Gerenciar Investimentos de TI;
PO6 – Comunicar os Objetivos e Direcionamentos Gerenciais;
PO7 – Gerenciar Recursos Humanos;
109
PO8 – Garantir a Conformidade com os Requerimentos Externos;
PO9 – Avaliação de Riscos;
PO10 – Gerenciar Projetos;
PO11 – Gerenciar Qualidade;
AI1 – Identificar soluções automatizadas;
AI2 – Adquirir e manter software de aplicação;
AI3 – Adquirir e manter infra-estrutura de tecnologia;
AI4 – Desenvolver e Manter Procedimentos;
AI5 – Instalar e Validar os Sistemas;
AI6 – Gerenciar Mudanças;
DS1 – Definir e Gerenciar Níveis de Serviços;
DS2 – Gerenciar Serviços de Terceiros;
DS3 – Gerenciar Desempenho e Capacidade;
DS4 – Garantir a Continuidade dos Serviços;
DS5 – Garantir a Segurança dos Serviços;
DS6 – Identificar e Alocar Custos;
DS7 – Educar e Treinar os Usuários;
DS8 – Apoiar e Aconselhar os Clientes;
DS9 – Gerenciar a configuração;
DS10 – Gerenciar Problemas e Incidentes;
DS11 – Gerenciar dados;
DS12 – Gerenciar equipamentos;
DS13 – Gerenciar operações;
M1 – Monitorar os processos;
M2 – Avaliar a adequação dos controles internos;
M3 – Obter Garantia Independente;
M4 – Obter Auditoria Independente.
Com a utilização desta estrutura de processos, como orientação à seqüência
do estudo, a abordagem foi bastante ampla e completa, quando se avalia as
decisões envolvidas na tecnologia da informação.
A segunda questão abordou as estruturas decisórias aplicadas em cada um
dos 34 tipos de decisões limitadas pela questão anterior. Esta questão foi orientada
para a identificação da inter-relação das áreas de negócio com a área de TI, através
110
da classificação em quatro grupos de relacionamento e um de identificação da não
existência de estruturação do processo decisório:
− Decisão Não Estruturada;
− TI sem Apoio das Áreas de Negócio;
− Áreas de Negócio sem Apoio de TI;
− TI com Apoio das Áreas de Negócio;
− Áreas de Negócio com Apoio de TI.
A Empresa A apresenta apenas um processo decisório não estruturado, o que
confirma o porte e estrutura da empresa. Os processos no domínio de Planejamento
e Organização, não apresentam a maior integração entre TI e a área de negócio,
sendo o de menor percentual de integração dos processos decisórios (três
processos em onze), enquanto o domínio de entrega e suporte possui seis
processos em treze, com a participação conjunta de TI e das áreas de negócio (vide
tabela 9).
A integração parte do operacional para o estratégico, o que se esperaria
haver uma inversão destes números, onde o planejamento e organização fossem
pensados em conjunto e operacionalizados de forma mais independente. Esta
informação pode demonstrar uma tendência de caminho de maturidade, porém
necessita da confirmação em estudos complementares. Esta tendência pode ser
justificada pela característica da relação fornecedor-cliente neste domínio de Entrega
e Suporte.
Uma outra informação extraída da tabela 9 é a confirmação de que no
domínio de entrega e suporte, contendo processos mais operacionais, não existem
decisões exclusivamente tomadas pelas áreas de negócio e existe um grande
número de decisões tomadas exclusivamente por TI o que demonstra a
especialização técnica direcionando as decisões.
A terceira questão procurou identificar a padronização das ferramentas que
apóiam a tomada de decisão nos 34 processos decisórios avaliados. Foram
consideradas, como informações para esta questão, três grupos:
− Sem Ferramenta;
− Sem Padronização;
− Padronizadas.
111
A empresa A possui um grau de padronização das ferramentas de apoio a
tomada de decisão de aproximadamente metade dos 34 processos decisórios. Esta
informação confirma a estrutura baseada em padrões, necessária às empresas do
porte da Empresa A, porém indica a necessidade de continuidade no trabalho de
padronização. A padronização das ferramentas é maior no domínio de Planejamento
e Organização, caracterizando a tendência à padronização dos processos afetam a
organização como um todo. O domínio mais operacional de Planejamento e
Organização tem o menor grau de padronização. Os processos decisórios
operacionais, por atuarem no nível mais micro das organizações, possuem um grau
maior de granularidade e conseqüente dificuldade na padronização.
A quarta questão visou identificar a existência de controles e qual o grau de
aplicação destes controles, se focados no resultado da decisão ou se aplicados
também na avaliação do processo decisório. Esta classificação está representada
em três grupos:
− Sem Controles;
− Controles dos Objetivos;
− Controles dos Processos.
Conforme demonstrado na tabela 9 o controle dos processos decisórios ainda
não é uma realidade para a Empresa A. Existe uma tendência à medição dos
resultados esperados dos processos, mas não da avaliação de como a Empresa A
se estrutura para obter os resultados. Quais são os fatores críticos de sucesso de
cada processo decisório e que medidas devem ser feitas para garantir o resultado
esperado. O domínio de Planejamento e Organização apresenta o maior percentual
de controles, entre os quatro domínios, representando uma tendência a
implementarmos controles no nível estratégico ou de planejamento, prioritariamente
aos controles operacionais (entrega e suporte).
Em resposta às questões formuladas, a Empresa A fornece um retrato do
caminho natural para a instituição da Governança eficaz de TI. A Empresa A,
formada por cultura fortemente padronizada e com processos de gestão integrados
pela própria característica do negócio, ainda assim apresenta a necessidade de
maior integração entre a área de TI e as áreas de negócio. Porém somente a
integração das partes não garante a efetividade da gestão de TI. A evolução da
maturidade da gestão requer o conhecimento de todo o processo decisório, seus
112
objetivos, seus fatores críticos de sucesso e a capacidade de medir o que é
importante para manter o alinhamento e as decisões envolvendo a tecnologia da
informação voltada para a maximização dos resultados organizacionais.
O resultado desta pesquisa não direciona para uma gestão eficaz, mas indica
o que as empresas podem buscar para a integração das áreas de negócio com a de
TI. Esta integração é um degrau importante na evolução da maturidade da gestão,
em busca da otimização de resultados. A medição desta integração e do processo
decisório trará subsídios para novos avanços na direção do ideal de excelência,
onde a Empresa A é uma referência a ser considerada nesta evolução.
113
REFERÊNCIAS
ALBERTIN, Alberto L.; MOURA, Rosa Maria de. Tecnologia de informação. São Paulo: Atlas, 2004.
CAMERON, Kim et al. Downsizing and redesigning organizations. In: HUBER, George; GLICK, William (Eds.). Organizational change and redesign. New York: Oxford, 1995.
DAVENPORT, Thomas; SHORT, J. E. The new industrial engineering: information technology and business process redesign. Sloan Management Review, v. 31, n. 4, Summer 1990.
DAVENPORT, Thomas. Reengenharia de processos. Rio de Janeiro: Campus, 1994.
DEVARAJ, Sarvanan; KOHLI, Rajiv. The IT Payoff: measuring the business value of information technology investments (hardcover). [s.l.]: Financial Times/Prentice Hall, 2002.
DREYFUSS, Cassio. As redes e a gestão das organizações. Rio de Janeiro: Guide, 1996.
DRUKER, Peter. O melhor de Peter Druker: o homem; a administração; a sociedade. São Paulo: Nobel, 2001.
EARDLEY A.; LEWIS, T.; AVISON, D. POWELL, P. The linkage between IT and business competitive systems: a reappraisal of some ‘classic’ cases using a competitive analysis framework. International Journal of Technology Management, v.11, n.3/4, p.395-411, 1996.
EARL, M.J. Management strategies for information technology. [s.l.]: Prentice Hall/ Hemel Hempstead, 1989.
EARL, M.J.; FEENY, D.F. Is your CIO adding value? Sloan Management Review, v.35, n.3, p.11-20, Spring 1994.
EVANS, P.B.; WURSTER, T.S. Getting real about virtual commerce. Harvard Business Review, v.77, n.6, p.84-94, Nov./Dec. 1999.
______. Strategy and the new economics of information. Harvard Business Review, v.75, n.5, p.71-82, Sep./Oct. 1997.
FARBEY,B.; LAND, F.F.; TARGETT, D. A taxonomy of information systems applications: the benefits evaluation ladder. European Journal of Information Systems, v.4, n.1, p.41-50, 1995.
FERNANDES, A. A.; KUGLER, J. L. C. Gerência de projetos de sistemas: uma abordagem prática. 2. ed. Rio de Janeiro: LTC, 1990.
FERNANDES, Aguinaldo Aragon; ABREU, Vladimir Ferraz. Implantando a governança de TI: da estratégia à gestão dos processos e serviços. Rio de Janeiro: Brasport, 2006.
FREITAS, H.; MACADAR, M.; MOSCAROLA, J. Na busca de um método quanti-qualitativo para estudar a percepção de tomador decisão. In: ENANPAD, 20., Administração da Informação, 23-25 de Setembro de 1996, Angra dos Reis, RJ. Anais... Angra dos Reis, RJ: ANPAD, 1996. p. 253-276.
114
FRONTINI, M.A. A decision making model for investing in electronic business. Dissertation for obtaining the degree of Master of Science in Management of technology. Massachusetts: Massachusetts Institute of Technology, 1999.
GALBRAITH, Jay. Designing organizations. San Francisco: Jossey-Bass, 1995.
GALLIERS, R.D.; BAETS, W.J. Information technology and organizational transformation. Chichester, England: John Wiley and Sons, 1998.
GONÇALVES, José E. L. As empresas são grandes coleções de processos. RAE – Revista de Administração de Empresas, São Paulo, v. 40, n. 1, p. 6-19, Jan./Mar. 2000.
GRAEML, Alexandre R. As idéias com as quais se pensa na avaliação de projetos de Tecnologia da Informação. In: ENEGEP – Encontro Nacional de Engenharia de Produção, 18., e CONGRESSO INTERNACIONAL DE ENGENHARIA INDUSTRIAL, 4., 1998, Niterói. Anais eletrônicos... Cd-rom. Niterói, 1998.
______. Considerações sobre limitações do processo decisório e a racionalidade das decisões humanas. Ciência & Opinião, Curitiba, v. 1, n. 2/4, jul. 2003/dez. 2004.
IBGC. Instituto Brasileiro de Governança Corporativa. Código brasileiro das melhores práticas de governança corporativa. 3. ed. São Paulo: IBGC, 2003.
ITGI. IT Governance Institute. CobiT: governance, control and audit for information and related technology. Sumário Executivo 2000. 3. ed. Disponível em: www.itgi.org. Acesso em: ago. 2006.
KAPLAN, Robert S.; NORTON, David P. A estratégia em ação: balanced scorecard. 13. ed. Rio de Janeiro: Campus, 1997.
KEENEY, Ralph L. Value-focused thinking: Identifying decision opportunities and creating alternatives. European Journal of Operational Research, p. 537 – 549, 1996.
LAKATOS, E. M.; MARCONI, M. de A. Fundamentos de metodologia científica. 3. ed. São Paulo: Atlas, 1993.
LAURINDO, Fernando J.B.; SHIMIZU, Tamio; CARVALHO, Marly M. de; RABECHINI Jr, Roque. O papel da tecnologia da informação (TI). Gestão & Produção, São Paulo, v.8, n.2, p.160-179, ago. 2001.
MARAKAMI, Milton. Decisão estratégica de TI: estudo de caso. São Paulo: FEA/USP, 2003. 167p.
MILLER, George A. The magical number seven, plus or minus two: some limits on our capacity for processing information. The Psychological Review, v. 63, p. 81-97, 1956.
MINTZBERG, Henry. Criando organizações eficazes: estruturas em cinco configurações. São Paulo: Atlas, 2003.
MORRIS, Daniel; BRANDON, Joel. Reengenharia: reestruturando sua empresa. São Paulo: Makron, 1994.
QUINN, James Brian. Intelligent enterprises. New York: Free Press, 1992.
RAMASWAMY, Rohit. Design and management of service processes. [s.l.]: Reading Addison-Wesley, 1996.
115
ROBBINS, Stephen P. Comportamento organizacional. 8. ed. Rio de Janeiro: LTC, 1999.
RUMMLER, Geary; BRACHE, Alan. Improving performance. San Francisco: Jossey-Bass, 1990.
RUSSO, J. Edward; SCHOEMAKER, Paul J. H. Decisões vencedoras. Rio de Janeiro: Campus, 2002.
SIMON, Herbert A. Administrative behavior: a study of decision-making processes in administrative organizations. 4. ed. [s.l.]: The Free Press, 2004.
STEWART, Thomas. The search for the organization of tomorrow. Fortune, May 1992.
VAN GREMBERGEN, W. Strategies for information technology governance. [s.l.]: Idea Group Publishing, 2004.
WEILL, Peter; ROSS, Jeanne W. IT Governance – how top performers manage IT decision rights for superior results. Harvard: Harvard Business School Press, 2004.
116
ANEXO
117
ANEXO A
Governança de TI
Um Estudo Exploratório Sobre os Processos Decisórios Praticados no Brasil
1) Questionário
O presente questionário tem por objetivo a coleta de informações sobre as práticas
de governança de TI que serão à base da pesquisa de campo da dissertação de
mestrado em sistemas integrados em gestão, conduzido pela UNIVERSIDADE
FEDERAL FLUMINENSE (UFF).
O questionário está dividido em duas categorias de perguntas, a primeira visando
caracterizar a organização e a segunda coletar as informações dos processos de
gestão de TI.
118
Características da empresa respondente
2) Nome da empresa: Empresa A
3) Segmento de atuação:
a. Capital Privado (X) b. Capital Misto ( ) c. Governo ( ) a. Financeiro ( ) b. Serviço ( X) c. Comércio ( ) d. Indústria ( )
4) Nr total de colaboradores:
a. Até 100 ( ) b. Mais que 100 e até 500 ( ) c. Mais que 500 (X)
5) Receita anual:
a. Até 10 M ( ) b. Mais que 10 M até 100 M ( ) c. Mais que 100 M (X)
6) Nr de estações de trabalho
a. Até 50 ( ) b. Mais que 50 até 100 ( ) c. Mais que 100 (X)
7) Orçamento anual para TI
a. Até 100 mil ( ) b. Mais que 100 mil até 1 M ( ) c. Mais que 1 M (X)
8) Nr de colaboradores em TI
a. Até 10 ( ) b. Mais que 10 até 50 ( ) c. Mais que 50 (X)
119
Processos de Gestão de TI (CobiT) PO1 - Definir o Plano Estratégico de TI Tem por objetivo alinhar os objetivos de negócio com os objetivos de TI, efetuando o balanceamento entre as oportunidades de TI e os requerimentos de negócio, bem como garantindo sua realização. Disponibilizar através de processo de planejamento estratégico, realizado em intervalos regulares, planos de longo prazo; Os planos de longo prazo devem, periodicamente, serem traduzidos em planos operacionais, apontando claramente e de forma concreta as metas de curto prazo. 1) Qual estrutura organizacional é responsável pelo processo?
a. Não existe este processo ( ) b. Gerência da área de negócio sem participação de TI ( ) c. Gerência da área de TI sem participação da área de negócio ( ) d. Gerência da área de negócio com apoio de TI ( ) e. Gerência de TI com apoio da área de negócio (X) f. Outro ( )
Explicação: Por ser uma empresa de serviços com forte viés de TI, é muito comum que as demandas de TI se originem de uma análise do responsável de processo de negócio, que identificou uma plataforma que o ajuda a executar melhor sua atividade. Exemplo: adotar um sistema neural para auxiliar na detecção e prevenção a fraudes. Ainda nesta linha, é comum que alguma área de TI identifique uma oportunidade onde a utilização de tecnologia possa significar um avanço para a empresa (exemplo: consolidação de servidores e/ou consolidação de storage). Neste caso o projeto é encaminhado por uma área de TI e ganha o apoio da empresa. 2) Que ferramenta(s) apóiam este processo? (Ferramentas/Técnicas/Metodologias) A Empresa A é organizada em áreas de produtos que desenvolvem e mantém conjuntos de processos de negócios. Cada uma destas áreas tem certas características específicas, que mobilizam determinados tipos de recursos tecnológicos. Exemplos; sistemas na área de Risco utilizam sistemas baseados em regras. Sistemas da área de atendimento dependem de tecnologias de tratamento e sincronismo de voz e dados, workflow etc. No caso dos processos de negócio, mantemos comparação do desempenho do processo contra as práticas de mercado e/ou a expectativa dos clientes, nas dimensões de desempenho, custo, etc. No caso de adoção de tecnologias, acompanhamento do hype cicle de tecnologias emergentes junto ao mercado para identificar o melhor mmento para a sua adoção. 3) Quais controles (indicadores) são realizados sobre este processo? Não existem controles ( ) Incluímos um indicador no BSC, que identifica a situação do nosso processo em relação a práticas de mercado. Com base nestas avaliações, são definidos os objetivos de melhorias.
120
PO2 - Definir a Arquitetura da Informação Tem por objetivo otimizar a organização dos sistemas de informações. Criar e manter um modelo de informações do negócio e garantir que sistemas apropriados estejam definidos para otimizar o uso destas informações. 4) Qual estrutura organizacional é responsável pelo processo?
a. Não existe este processo ( ) b. Gerência da área de negócio sem participação de TI ( ) c. Gerência da área de TI sem participação da área de negócio ( ) d. Gerência da área de negócio com apoio de TI ( ) e. Gerência de TI com apoio da área de negócio (X) f. Outro ( )
Explicação: O órgão responsável pela compilação, classificação e acompanhamento da execução destas diretrizes é o Comitê de Arquitetura. 5) Que ferramenta(s) apóiam este processo? (Ferramentas/Técnicas/Metodologias) Modelo Empresa A de Gestão de Tecnologia – Documento que consolida as principais diretrizes de uso da Tecnologia na Empresa A, e que é complementado pelas Políticas e Diretrizes tecnológicas. Plano de Tecnologia – Um plano que organiza as ações de tecnologia em 10 principais dimensões de acompanhamento. 6) Quais controles (indicadores) são realizados sobre este processo? Não existem controles ( ) Em relação às políticas de tecnologia, são controladas as não conformidades identificadas na execução dos processos. Em relação à aplicação do Plano de Tecnologia, é avaliado o quanto os objetivos estratégicos e táticos foram cumpridos. PO3 – Determinar a direção tecnológica Tem por objetivo proporcionar vantagens competitivas, com relação às tecnologias disponíveis e emergentes que direcionam e tornam possíveis à estratégia do negócio. Elaborar e manter o plano de infra-estrutura tecnológica, que aponte clara e realisticamente as expectativas do que a tecnologia pode oferecer em termos de produtos, serviços e mecanismos de entrega. 7) Qual estrutura organizacional é responsável pelo processo?
a. Não existe este processo ( ) b. Gerência da área de negócio sem participação de TI ( ) c. Gerência da área de TI sem participação da área de negócio ( ) d. Gerência da área de negócio com apoio de TI ( ) e. Gerência de TI com apoio da área de negócio (X) a. Outro ( )
121
A empresa elabora anualmente um Balanced ScoreCard. As decisões estratégicas de tecnologia são alinhadas com o objetivo de sustentar as decisões do BSC No plano estratégico, a direção tecnológica é determinada pelo Comitê de Tecnologia, tendo como base o Plano de Tecnologia e os Roadmaps atualizados. No plano operacional e tático, as definições de uso de tecnologia são coordenadas pelo Comitê de Arquitetura. Na ausência de consenso, a decisão é encaminhada ao Comitê Executivo da empresa. 8) Que ferramenta(s) apóiam este processo? (Ferramentas/Técnicas/Metodologias) Modelo de Gestão de Tecnologia – Documento que consolida as principais diretrizes de uso da Tecnologia e que é complementado pelas Políticas e Diretrizes tecnológicas. Plano de Tecnologia – Um plano que organiza as ações de tecnologia em 6 principais dimensões de acompanhamento. Diretrizes da Arquitetura - define políticas, plataformas e boas práticas para as soluções tecnológicas. As ferramentas utilizadas são aplicadas e padronizadas no contexto de toda a organização. 9) Quais controles (indicadores) são realizados sobre este processo? Não existem controles ( ) Em relação às políticas de tecnologia, são controladas as não conformidades identificadas na execução dos processos. Em relação à aplicação do Plano de Tecnologia, é avaliado o quanto os objetivos estratégicos e táticos foram cumpridos. Os controles são efetuados sobre o resultado deste processo, porém não são controladas as etapas do processo. PO4 – Definir a Organização e Relacionamentos de TI Tem por objetivo fornecer os serviços de TI corretamente. Manter a organização otimizada em quantidades e perfis, com papéis e responsabilidades bem definidas e comunicadas, alinhadas com o negócio, que facilite as estratégias e contribua para o efetivo direcionamento e controle adequado. 10) Qual estrutura organizacional é responsável pelo processo?
a. Não existe este processo ( ) b. Gerência da área de negócio sem participação de TI (X) c. Gerência da área de TI sem participação da área de negócio ( ) d. Gerência da área de negócio com apoio de TI ( ) e. Gerência de TI com apoio da área de negócio ( ) f. Outro ( )
A empresa adota a organização descentralizada das áreas de TI. As equipes de sistemas estão alocadas nas áreas de produtos; a infra-estrutura corresponde a uma diretoria executiva dedicada e a coordenação das atividades de tecnologia é realizada pela equipe de Arquitetura. Todas as aplicações existentes na organização são associadas a uma área de negócios responsável (Owner).
122
11) Que ferramenta(s) apóiam este processo? (Ferramentas/Técnicas/Metodologias) Plano de Tecnologia – Um plano que organiza as ações de tecnologia em 6 principais dimensões de acompanhamento. Diretrizes da Arquitetura - define políticas, plataformas e boas práticas para as soluções tecnológicas; As políticas e procedimentos da empresa são publicados num repositório específico, de uso corporativo; A comunicação entre as diversas áreas da empresa, incluindo as áreas de TI é estruturada através da Intranet. 12) Quais controles (indicadores) são realizados sobre este processo? Não existem controles ( ) Os papéis e responsabilidades de Tecnologia são formalmente definidos junto à área de Recursos Humanos e a organização das atividades leva em consideração os requisitos segregação de funções. Existem processos formais de revisões independentes, que asseguram a aderência aos requisitos legais, políticas e procedimentos da empresa e definições dos clientes. As não conformidades são registradas e acompanhadas através de procedimentos formais PO5 – Gerenciar Investimentos de TI Tem por objetivo garantir os recursos financeiros e controlar seus desembolsos. Desenvolver orçamento periódico de investimentos e despesas operacionais, aprovadas pela área de negócios. 13) Qual estrutura organizacional é responsável pelo processo?
a. Não existe este processo ( ) b. Gerência da área de negócio sem participação de TI (X) c. Gerência da área de TI sem participação da área de negócio ( ) d. Gerência da área de negócio com apoio de TI ( ) e. Gerência de TI com apoio da área de negócio ( ) f. Outro ( )
As previsões de investimento são elaboradas anualmente. Projetos previstos no orçamento anual têm maior facilidade no processo de aprovação formal; As decisões sobre investimentos em TI são compartilhadas entre as diretorias executivas e o Comitê Executivo da empresa; As prioridades de investimentos são tomadas no nível estratégico pelo Comitê Executivo e nos níveis táticos pelas Diretorias Executivas; Incrementos no orçamento precisam ser aprovados formalmente junto a um Comitê Financeiro 14) Que ferramenta(s) apóiam este processo? (Ferramentas/Técnicas/Metodologias) Orçamento Anual por Área e consolidado da empresa; Os projetos são apresentados e avaliados através de um documento específico, onde são descritos: os processos
123
operacionais previstos, os recursos tecnológicos necessários, os benefícios tangíveis e intangíveis esperados, o desempenho operacional esperado, os investimentos e despesas operacionais projetados para o desenvolvimento da operação nos anos seguintes e o retorno esperado sobre o investimento; O acompanhamento da execução dos projetos também considera a dimensão de investimentos e despesas previstos x realizados. 15) Quais controles (indicadores) são realizados sobre este processo? Não existem controles ( ) Revisão mensal do Plano de Tecnologia, do orçamento e dos controles relativos à adesão às políticas e requisitos de Segurança da Informação; Todos os processos operacionais da empresa têm custos estabelecidos, considerando os custos operacionais diretos e indiretos, amortização dos investimentos. Estes custos são revisados periodicamente, considerando mudanças realizadas nos processos, volumes executados e a infra-estrutura tecnológica alocada. PO6 - Comunicar os Objetivos e Direcionamentos Gerenciais Tem por objetivo garantir que os usuários tenham consciência e entendimento dos objetivos gerenciais. Estabelecer políticas e comunicá-las para a comunidade de usuários; Estabelecer padrões para traduzir as opções estratégicas em regras práticas e utilizáveis pelos usuários. 16) Qual estrutura organizacional é responsável pelo processo?
a. Não existe este processo ( ) b. Gerência da área de negócio sem participação de TI (X) c. Gerência da área de TI sem participação da área de negócio ( ) d. Gerência da área de negócio com apoio de TI ( ) e. Gerência de TI com apoio da área de negócio ( ) f. Outro ( )
Qual: Este trabalho de alinhamento e comunicação é coordenado e patrocinado pelo Comitê Executivo, mas executado de forma descentralizada pelas áreas da Empresa 17) Que ferramenta(s) apóiam este processo? (Ferramentas/Técnicas/Metodologias) Balanced ScoreCard e Ciclo de Dedesempenho anual; As diretrizes tecnológicas, incluindo-se as diretrizes de arquitetura e metodologias são divulgados e publicdas na Intranet. 18) Quais controles (indicadores) são realizados sobre este processo? Não existem controles ( ) Metas de Ciclo de Desempenho
124
PO7 – Gerenciar Recursos Humanos Tem por objetivo gerenciar os recursos humanos para que atendam às exigências da empresa com a finalidade de adquirir e manter uma força de trabalho motivada e competente e maximizar a contribuição do pessoal com o processo de TI. Utilizar práticas de gestão de pessoas de forma justa e transparente para recrutar, planejar a carreira, avaliar, compensar, treinar, promover e demitir. 19) Qual estrutura organizacional é responsável pelo processo?
a. Não existe este processo ( ) b. Gerência da área de negócio sem participação de TI (X) c. Gerência da área de TI sem participação da área de negócio ( ) d. Gerência da área de negócio com apoio de TI ( ) e. Gerência de TI com apoio da área de negócio ( ) f. Outro ( )
Existe definição formal e institucionalizada para as funções e atividades realizadas em todas as áreas da empresa; As pessoas são recrutadas através de processo coordenado pela área de Recursos Humanos, com base nas descrições de cargos existentes para cada função; Tanto no processo de recrutamento quanto nos processos de avaliação são consideradas as competências profissionais e as habilidades pessoais requeridas. Nas competências pessoais, estão incluídos os valores da empresa; Existe processo definido e institucionalizado para avaliação de desempenho das pessoas, que é base para promoções, méritos e evolução profissional na empresa. 20) Que ferramenta(s) apóiam este processo? (Ferramentas/Técnicas/Metodologias) Ciclo de Desempenho, ciclos de feedback e Programa de Desenvolvimento Individual; Universidade Empresa A; Avaliação 360º; Programa Voz do Funcionário e participação no Programa as Melhores Empresas para se trabalhar. 21) Quais controles (indicadores) são realizados sobre este processo? Não existem controles ( ) Resultados dos ciclos de desempenho, das avaliações 360º e da Voz do funcionário. PO8 – Garantir a Conformidade com os Requerimentos Externos Tem por objetivo garantir conformidade com as obrigações contratuais, legais e de regulamentação; Identificar e analisar os requerimentos externos e seu impacto em TI; Implementar medidas apropriadas para atender a conformidade com os requerimentos.
125
22) Qual estrutura organizacional é responsável pelo processo? a. Não existe este processo ( ) b. Gerência da área de negócio sem participação de TI (X) c. Gerência da área de TI sem participação da área de negócio ( ) d. Gerência da área de negócio com apoio de TI ( ) e. Gerência de TI com apoio da área de negócio ( ) f. Outro ( )
Existe uma área de Compliance institucional e os diversos processos da empresa devem estar aderentes às políticas e práticas determinadas pelo mercado. São características inerentes ao Processo. Para coordenar este trabalho, existe uma área corporativa de Processos e Controles. 23) Que ferramenta(s) apóiam este processo? (Ferramentas/Técnicas/Metodologias) Provas Departamentais, reclamações junto a órgão de defesa do consumidor etc. 24) Quais controles (indicadores) são realizados sobre este processo? Não existem controles ( ) Não existe um processo sistemático de análise de ocorrências para identificação e solução de problemas crônicos. PO9 – Avaliação de Riscos Tem por objetivo suportar as decisões gerenciais para alcançar os objetivos de TI e responder as ameaças através da redução da complexidade, aumentando a objetividade e identificando fatores de decisão importantes; Envolver a própria organização na identificação dos riscos de TI e na análise do impacto, envolver funções multidisciplinares e medir os custos efetivos para mitigar os riscos. 25) Qual estrutura organizacional é responsável pelo processo?
a. Não existe este processo ( ) b. Gerência da área de negócio sem participação de TI ( ) c. Gerência da área de TI sem participação da área de negócio (X) d. Gerência da área de negócio com apoio de TI ( ) e. Gerência de TI com apoio da área de negócio ( ) f. Outro ( )
Os riscos são estabelecidos nos processos e avaliados quanto às metodologias de riscos existentes no mercado. Para cada conjunto de processos é estabelecido um conjunto de Provas Departamentais, que verificam o nível de exposição ao Risco. As situações de exposição ao risco são identificadas, qualificadas e acompanhadas para a Solução. 26) Que ferramenta(s) apóiam este processo? (Ferramentas/Técnicas/Metodologias) Provas Departamentais e Matriz de Risco dos Processos.
126
27) Quais controles (indicadores) são realizados sobre este processo? Quantidade e severidade dos riscos associados ao processo PO10 – Gerenciar Projetos Tem por objetivo estabelecer prioridades e entregar no prazo correto e dentro do orçamento; Identificar e priorizar os projetos alinhados ao plano organizacional e adotar as melhores práticas de gerenciamento de projetos. 28) Qual estrutura organizacional é responsável pelo processo?
a. Não existe este processo ( ) b. Gerência da área de negócio sem participação de TI ( ) c. Gerência da área de TI sem participação da área de negócio (X) d. Gerência da área de negócio com apoio de TI ( ) e. Gerência de TI com apoio da área de negócio ( ) f. Outro ( )
Existem equipes de projetos em cada uma das Unidades de Negócio, porém a condução da parte do projeto de TI é conduzida pela equipe de TI. Para os projetos que envolvem várias áreas, são determinados em cada projeto os responsáveis por realizar a integração entre os grupos de projetos (Intergroup) 29) Que ferramenta(s) apóiam este processo? (Ferramentas/Técnicas/Metodologias) Existe um conjunto de ferramentas desenvolvidas internamente que implementam as metodologias de Projetos e de Projetos de Software. A base conceitual destes ciclos de vida é inspirada no PMBOK e no CMM 30) Quais controles (indicadores) são realizados sobre este processo? Usamos os mesmos indicadores estabelecidos no PMBOK e no CMM PO11 – Gerenciar Qualidade Tem por objetivo atender os requerimentos dos usuários; Planejar, implementar e manter os padrões de gerenciamento de qualidade e sistemas fornecendo para as distintas fases de desenvolvimento, quais são os produtos a serem entregues e as responsabilidades definidas explicitamente. 31) Qual estrutura organizacional é responsável pelo processo?
a. Não existe este processo ( ) b. Gerência da área de negócio sem participação de TI ( ) c. Gerência da área de TI sem participação da área de negócio (X) d. Gerência da área de negócio com apoio de TI ( ) e. Gerência de TI com apoio da área de negócio ( ) f. Outro ( )
Cada área de Negócios tem sua estrutura de Processos e Qualidade, que acompanha o desenvolvimento dos processos e afere a qualidade e oportunidades
127
de melhoria. A referência metodológica é a Norma ISO 9000, para a qual certificamos nossos principais processos anualmente. 32) Que ferramenta(s) apóiam este processo? (Ferramentas/Técnicas/Metodologias) Mapas de Processos e indicadores de qualidade e acordos de serviço por processo 33) Quais controles (indicadores) são realizados sobre este processo? Auditoria ISO 9000 em vários processos operacionais da empresa, incluindo a infra-estrutura de Tecnologia e sistemas que suportam os processos; As não conformidades dos processos de tecnologia são registrados e acompanhados até a solução. No entanto, não existe um processo sistemático de análise de ocorrências para identificação e solução de problemas crônicos. AI1 – Identificar soluções automatizadas Tem por objetivo garantir uma efetiva e eficiente abordagem para satisfazer os requerimentos do usuário; Identificar de maneira clara e objetiva, e analisar as alternativas de oportunidades avaliadas pelos requerimentos dos usuários. 34) Qual estrutura organizacional é responsável pelo processo?
a. Não existe este processo ( ) b. Gerência da área de negócio sem participação de TI ( ) c. Gerência da área de TI sem participação da área de negócio ( ) d. Gerência da área de negócio com apoio de TI (X) e. Gerência de TI com apoio da área de negócio ( ) f. Outro ( )
Cada Unidade de Negócios é responsável por avaliar e implementar suas soluções automatizadas. A área corporativa de arquitetura, baseada nas diretrizes estratégicas e nos Planos de Tecnologia garante a aderência e coerência destas ações 35) Que ferramenta(s) apóiam este processo? (Ferramentas/Técnicas/Metodologias) Business Cases, Metodologia para aquisição de pacotes de software, Modelo de Gestão de Tecnologia 36) Quais controles (indicadores) são realizados sobre este processo? Indicadores de aderência funcional, operacional e técnica, estudos de viabilidade financeira e avaliação comparativa de fornecedores, preços etc. AI2 – Adquirir e manter software de aplicação Tem por objetivo adquirir e manter o software para fornecer funções automatizadas que suportem eficazmente o processo do negócio; Especificar os requerimentos funcionais e operacionais e considerar a implementação por fases com as entregas bem definidas.
128
37) Qual estrutura organizacional é responsável pelo processo?
a. Não existe este processo ( ) b. Gerência da área de negócio sem participação de TI ( ) c. Gerência da área de TI sem participação da área de negócio ( ) d. Gerência da área de negócio com apoio de TI (X) e. Gerência de TI com apoio da área de negócio ( ) f. Outro ( )
Cada Unidade de Negócios cuida da aquisição e implantação das soluções que sustentam seus processos. A área de Arquitetura corporativa compila, publica e divulga as diretrizes de Design (conceitual. Lógico e físico) das aplicações, considerando as características dos processos operacionais da empresa. Os arquitetos das áreas de negócios participam do processo de definição e validação arquitetura das soluções automatizadas. 38) Que ferramenta(s) apóiam este processo? (Ferramentas/Técnicas/Metodologias) Ciclo de vida de desenvolvimento de projetos e de projetos de software. 39) Quais controles (indicadores) são realizados sobre este processo? Não existem controles ( ) As aplicações adquiridas, desenvolvidas ou alteradas somente são implantadas com aceite formal dos usuários e depois de passar por processos formais de aceite; Existe controle formal de versões e configurações dos componentes de software. AI3 – Adquirir e manter infra-estrutura de tecnologia Tem por objetivo adquirir e manter a infra-estrutura de tecnologia para fornecer plataformas apropriadas para suportar as aplicações do negócio; Adquirir hardware e software de forma otimizada; Padronizar os softwares; Avaliar o desempenho do hardware e do software; Administrar o sistema de maneira consistente. 40) Qual estrutura organizacional é responsável pelo processo?
a. Não existe este processo ( ) b. Gerência da área de negócio sem participação de TI ( ) c. Gerência da área de TI sem participação da área de negócio (X ) d. Gerência da área de negócio com apoio de TI ( ) e. Gerência de TI com apoio da área de negócio ( ) f. Outro ( )
A nossa infra-estrutura é vista como uma Unidade de Negócios, quando a questão é a implementação de soluções tecnológicas de Infra-Estrutura. São criados projetos, da mesma forma que as demais áreas. 41) Que ferramenta(s) apóiam este processo? (Ferramentas/Técnicas/Metodologias) As equipes de sistemas utilizam os seguintes documentos de referência: Diretrizes de Arquitetura e Diagramas de funcionalidade dos principais processos de negócio,
129
Plano de Tecnologia, Roadmap de Tecnologia e Planos táticos de Infra-estrutura Tecnológica são as ferramentas para a gestão dos recursos de Infra-estrutura; Os projetos de Infra-Estrutura têm um ciclo de vida de projetos próprio, integrado ao ciclo de vida geral e projetos da empresa. 42) Quais controles (indicadores) são realizados sobre este processo? Não existem controles ( ) Existe controle formal de versões e configurações dos componentes de infra-estrutura. AI4 – Desenvolver e Manter Procedimentos Tem por objetivo assegurar o uso apropriado dos aplicativos e das soluções de tecnologia implementadas. Manter de forma estruturada o desenvolvimento dos manuais de usuários e procedimento operacionais, requerimentos dos serviços e dos materiais de treinamento. 43) Qual estrutura organizacional é responsável pelo processo?
a. Não existe este processo ( ) b. Gerência da área de negócio sem participação de TI (X) c. Gerência da área de TI sem participação da área de negócio ( ) d. Gerência da área de negócio com apoio de TI ( ) e. Gerência de TI com apoio da área de negócio ( ) f. Outro ( )
Quanto ao uso da tecnologia em geral, a Empresa A adota um conjunto de diretrizes e padrões de uso de Tecnologia, que formam o que chamamos de Modelo Empresa A de Gestão de Tecnologia. A partir deste documento, são criados e mantidos outros documentos e orientação, como as “Políticas de Arquitetura”, que determina um Framework de trabalho para segmento de negócios onde a Empresa A presta serviços. Todas as Unidades de Negócio contribuem para a elaboração e revisão do documento, com suas experiências e decisões relativas a hardware, software e outros recursos tecnológicos necessários para o desempenho das suas atividades. Estes documentos são revisados e alterados sempre que necessário, estabelecendo um conjunto de diretrizes para as áreas de Produtos e Projetos. Os aspectos mais importantes destes documentos são transmitidos através de treinamentos da Universidade Empresa A, através de e-learning e treinamentos presenciais. 44) Que ferramenta(s) apóiam este processo? (Ferramentas/Técnicas/Metodologias) Existem ferramentas exclusivas para o gerenciamento dos acordos de serviços e índices de qualidade esperada; Existe treinamento formal sobre os processos operacionais e de sistemas; Os manuais de procedimentos de sistemas de infra-estrutura tecnológica existem, mas não abrangem a totalidade dos processos. Existe alto nível de dependência do conhecimento das pessoas. 45) Quais controles (indicadores) são realizados sobre este processo? Não existem controles ( )
130
Existe acompanhamento e controle sobre a realização dos treinamentos considerados obrigatórios. A avaliação abrange o controle do público alvo, conteúdo e satisfação dos participantes; Existe controle formal da execução das atividades operacionais, com reporte e acompanhamento dos erros e falhas de cada processo. AI5 – Instalar e Validar os Sistemas Tem por objetivo verificar e confirmar que a solução está adequada à finalidade pretendida. Realizar plano bem formalizado de migração de instalação, conversão e aceite. 46) Qual estrutura organizacional é responsável pelo processo?
a. Não existe este processo ( ) b. Gerência da área de negócio sem participação de TI ( ) c. Gerência da área de TI sem participação da área de negócio ( ) d. Gerência da área de negócio com apoio de TI ( ) e. Gerência de TI com apoio da área de negócio (X) f. Outro ( )
As equipes de Projetos de Sistemas fazem parte das equipes de Projetos. Elas seguem um processo metodológico baseado nos conceitos do PMI e do CMM, que foi customizado numa ferramenta própria para o desenvolvimento de projetos. Através desta ferramenta é possível acompanhar todo o ciclo de vida dos projetos de software, desde o levantamento dos requisitos, até as etapas de aceite pelos usuários, instalação e acompanhamento pós-implantação. Esta metodologia garantiu à Empresa A a conquista do Certificado CMM nível 2. 47) Que ferramenta(s) apóiam este processo? (Ferramentas/Técnicas/Metodologias) O ciclo de vida, dos projetos, contempla os principais processos necessários para a instalação dos sistemas, testes - incluindo os testes finais de aceite e passagem para a produção; O ciclo de vida incorpora também a etapa de pós-implementação, dando suporte às atividades e produtos necessários nesta etapa; Existem ferramentas específicas para suportar processos de testes integrados dos processos, com critérios sofisticados, que reproduzem as principais atividades de negócio das plataformas de processamento. 48) Quais controles (indicadores) são realizados sobre este processo? Não existem controles ( ) Existe controle formal de versões e configurações dos componentes de infra-estrutura. AI6 – Gerenciar Mudanças Minimizar a probabilidade de interrupções, alterações não-autorizadas e erros. Existir sistema de gerenciamento que forneça dados para a análise, implementação e acompanhamento de todas as mudanças requisitadas e feitas na infra-estrutura existente de TI.
131
49) Qual estrutura organizacional é responsável pelo processo? a. Não existe este processo ( ) b. Gerência da área de negócio sem participação de TI ( ) c. Gerência da área de TI sem participação da área de negócio (X) d. Gerência da área de negócio com apoio de TI ( ) e. Gerência de TI com apoio da área de negócio ( ) f. Outro ( )
As mudanças são gerenciadas nas diversas frentes que demandam por mudanças nos processos produtivos. As 2 frentes que mais demandam controles são as equipes de software de aplicação e infra-estrutura tecnológica. Mas, em todos os casos existentes, as mudanças são planejadas, comunicadas com antecedência, devidamente autorizadas e finalizadas, garantindo o menor impacto possível nas atividades operacionais. Os planos de mudanças prevêem os riscos existentes nas mudanças e os planos de volta/superação dos possíveis erros. 50) Que ferramenta(s) apóiam este processo? (Ferramentas/Técnicas/Metodologias) Existem ferramentas para o controle das mudanças em qualquer componente de tecnologia (desde um roteador até um módulo de sistema de aplicação); Existe ferramental e processos para a realização de mudanças emergenciais não programadas; Existem ferramentas para a realização da distribuição dos componentes de software em todas as plataformas(mainframe, risc e Intel). 51) Quais controles (indicadores) são realizados sobre este processo? Não existem controles ( ) A solução dos problemas de projetos, aí incluídos falhas nos processos relativos à segurança da Informação é acompanhada por equipes de controle. Existe controle formal de versões e configurações dos componentes de infra-estrutura; Existe controle e programação para a realização das atualizações de versões de sistemas de aplicação, sistemas operacionais, gerenciadores de bancos de dados, monitores de comunicação etc. Os desvios e seus impactos e riscos decorrentes são comunicados às instâncias decisórias responsáveis. Não existe, no entanto controle sobre os resultados e processos de mudança. ES1 – Definir e Gerenciar Níveis de Serviços Tem por objetivo estabelecer um entendimento comum do nível do serviço requerido. Estabelecer os acordos de níveis de serviço que formalizem os critérios de desempenho contra os quais a quantidade e qualidade dos serviços serão medidos. 52) Qual estrutura organizacional é responsável pelo processo?
a. Não existe este processo ( ) b. Gerência da área de negócio sem participação de TI ( ) c. Gerência da área de TI sem participação da área de negócio (X) d. Gerência da área de negócio com apoio de TI ( ) e. Gerência de TI com apoio da área de negócio ( ) f. Outro ( )
132
Gestão de níveis de serviços já faz parte da cultura da Empresa A. Gestão da Qualidade é praticada na relação com clientes, fornecedores, parceiros estratégicos, e entre áreas internas da empresa. 53) Que ferramenta(s) apóiam este processo? (Ferramentas/Técnicas/Metodologias) A Empresa A adota a metodologia de Six Sigma, para implementar um esforço de melhoria contínua dos seus processos. Anualmente a Empresa A submete seus principais processos a auditorias de Qualidade ISO-9000. 54) Quais controles (indicadores) são realizados sobre este processo? Não existem controles ( ) As falhas de cumprimento dos compromissos críticos e/ou importantes são registradas, analisadas e dão origem a planos de melhorias. Não existe, no entanto, controles sobre a adequação dos níveis de serviço. ES2 – Gerenciar Serviços de Terceiros Tem por objetivo assegurar que os papéis e responsabilidades de terceiros estejam claramente definidos, para atender os requerimentos. Existir medidas de controle que permitam revisar e monitorar acordos e procedimentos existentes quanto a conformidade com a política da organização. 55) Qual estrutura organizacional é responsável pelo processo?
a. Não existe este processo ( ) b. Gerência da área de negócio sem participação de TI ( ) c. Gerência da área de TI sem participação da área de negócio (X) d. Gerência da área de negócio com apoio de TI ( ) e. Gerência de TI com apoio da área de negócio ( ) f. Outro ( )
Diversas áreas da empresa contribuem para a seleção de fornecedores e parceiros e para a manutenção das relações produtivas ao longo do tempo. A área contratante é a principal responsável pelo relacionamento. Ela é apoiada diretamente pelas equipes jurídicas e de “compliance” para garantir a aderência do relacionamento às exigências legais e usos e costumes do nosso mercado e pela equipe financeira, que avalia todas as relações comerciais entre a Empresa A e parceiros, garantindo a continuidade da prestação de serviços, nas condições comerciais combinadas pelas partes. Os processos de gestão de parceiros da Empresa A estão aderentes às exigências da SOX e da certificação SAS-70. 56) Que ferramenta(s) apóiam este processo? (Ferramentas/Técnicas/Metodologias) Existem ferramentas específicas para suportar cada dimensão da gestão do relacionamento com fornecedores.
133
57) Quais controles (indicadores) são realizados sobre este processo? Não existem controles ( ) A gestão das relações com terceiros abrange as seguintes dimensões: gestão do contrato, gestão financeira, gestão da qualidade dos serviços e dos acordos de serviços, gestão dos requisitos de segurança patrimonial e de segurança da informação, contingência e continuidade da prestação de serviços; Existe processo formal de diligências nos parceiros e fornecedores, para inspeção do cumprimento de requisitos contratuais dos serviços. ES3 – Gerenciar Desempenho e Capacidade Tem por objetivo garantir que a capacidade e o uso adequado do processamento estão disponíveis e são realizados para atender às necessidades de desempenho; Obter dados, analisar e informar a performance dos recursos, porte das aplicações e demanda de carga de trabalho. 58) Qual estrutura organizacional é responsável pelo processo?
a. Não existe este processo ( ) b. Gerência da área de negócio sem participação de TI ( ) c. Gerência da área de TI sem participação da área de negócio ( ) d. Gerência da área de negócio com apoio de TI ( ) e. Gerência de TI com apoio da área de negócio (X) f. Outro ( )
Existe uma área responsável por Planejamento de Capacidade na equipe de Infra-estrutura Tecnológica. Os principais insumos para o Planejamento de Capacidade vêm da revisão anual da Operação, definindo as expectativas e metas de crescimento para o ano. Estas previsões são estabelecidas por processo/atividade de negócio, permitindo um adequado grau de assertividade do planejamento. Os desdobramentos das previsões de volumes das principais atividades em necessidades de recursos são responsabilidades de cada uma das áreas de produtos. 59) Que ferramenta(s) apóiam este processo? (Ferramentas/Técnicas/Metodologias) O Plano de Tecnologia contempla um capítulo específico para o planejamento de capacidade; As áreas que dependem da ação de pessoas fazem planejamento e controle de turnos de trabalho, através de ferramentas específicas para este fim; Existem ferramentas para planejamento e execução de schedule operacional, em todos os ambientes operacionais. 60) Quais controles (indicadores) são realizados sobre este processo? Não existem controles ( ) Os volumes e níveis de capacidade dos processos críticos são monitorados permanentemente. São elaborados planos especiais de operação em datas onde tradicionalmente os volumes transacionais são muito superiores à média.
134
ES4 – Garantir a Continuidade dos Serviços Tem por objetivo garantir que os serviços de TI estejam disponíveis sempre que necessário e garantir o mínimo impacto nos negócios em eventos de interrupção considerável; Ter um plano de continuidade de TI operacional e testado, alinhado com o plano de continuidade de negócios e com os seus requerimentos de negócios relacionados. 61) Qual estrutura organizacional é responsável pelo processo?
a. Não existe este processo ( ) b. Gerência da área de negócio sem participação de TI ( ) c. Gerência da área de TI sem participação da área de negócio ( ) d. Gerência da área de negócio com apoio de TI ( ) e. Gerência de TI com apoio da área de negócio (X) f. Outro ( )
Existem grupos de trabalho com a responsabilidade de testar periodicamente e manter atualizados os planos de recuperação de desastres e continuidade dos negócios. 62) Que ferramenta(s) apóiam este processo? (Ferramentas/Técnicas/Metodologias) Os planos são estabelecidos a partir das diretrizes das áreas de Negócios, que criam o que chamamos de “Análise de Impacto nos Negócios”. Esta análise é elaborada por processo/atividade de negócio, os impactos da sua indisponibilidade no negócio como um todo e seus desdobramentos para o restante das atividades. 63) Quais controles (indicadores) são realizados sobre este processo? Não existem controles ( ) Estes planos são testados anualmente e os relatórios de falhas alimentam os projetos de melhoria. ES5 – Garantir a Segurança dos Serviços Tem por objetivo proteger a informação contra uso, divulgação e modificação não autorizados, além de danos ou perda; Controlar o acesso lógico garantindo que o acesso ao sistema, dados e programas seja restrito a usuários autorizados. 64) Qual estrutura organizacional é responsável pelo processo?
a. Não existe este processo ( ) b. Gerência da área de negócio sem participação de TI ( ) c. Gerência da área de TI sem participação da área de negócio ( ) d. Gerência da área de negócio com apoio de TI (X) e. Gerência de TI com apoio da área de negócio ( ) f. Outro ( )
Existe uma equipe central de Segurança da Informação, que coordena as ações de segurança nos diversos níveis (jurídico, processos, arquitetura de tecnologia, acessos, operações etc). A área de Segurança da Informação trabalha em estreita
135
colaboração com a área de Controles Internos, que entre outras atividades, monitora todas as ocorrências conhecidas que possam provocar “Riscos de Negócios”. 65) Que ferramenta(s) apóiam este processo? (Ferramentas/Técnicas/Metodologias) Riscos de Segurança são registrados na Matriz de Riscos de Negócios e acompanhados até a sua solução. 66) Quais controles (indicadores) são realizados sobre este processo? Existem processos para monitorar atividades operacionais críticas, tais como o uso de Internet e tecnologias emergentes, tentativas de violação de perímetros, administração de identidades e acessos etc. ES6 – Identificar e Alocar Custos Tem por objetivo assegurar um correto conhecimento dos custos atribuíveis aos serviços de TI. Garantir que os custos sejam registrados, calculados e alocados, com o apoio de um sistema de custo, que permita apropriar no nível de detalhe desejado e para os serviços realizados. 67) Qual estrutura organizacional é responsável pelo processo?
a. Não existe este processo ( ) b. Gerência da área de negócio sem participação de TI ( ) c. Gerência da área de TI sem participação da área de negócio (X) d. Gerência da área de negócio com apoio de TI ( ) e. Gerência de TI com apoio da área de negócio ( ) f. Outro ( )
Existe área específica de gestão dos custos, que tem pó finalidade a obtenção das informações que forma a estrutura de custos dos serviços de TI. As decisões de alocação dos custos são distribuídas pelas diversas áreas de negócio. 68) Que ferramenta(s) apóiam este processo? (Ferramentas/Técnicas/Metodologias) A Empresa A trabalha com estruturas de custos ABC por processo/atividade. 69) Quais controles (indicadores) são realizados sobre este processo? Não existem controles ( ) Existem controles nas áreas de finanças, acompanhando a rentabilidade de cada linha de serviços e o peso relativo dos componentes tecnológicos em cada processo. ES7 – Educar e Treinar os Usuários Tem por objetivo assegurar que os usuários estejam fazendo o uso eficaz da tecnologia e estejam cientes dos riscos e das responsabilidades envolvidas. Desenvolver um plano detalhado de treinamento e desenvolvimento.
136
70) Qual estrutura organizacional é responsável pelo processo?
a. Não existe este processo ( ) b. Gerência da área de negócio sem participação de TI ( ) c. Gerência da área de TI sem participação da área de negócio ( ) d. Gerência da área de negócio com apoio de TI (X) e. Gerência de TI com apoio da área de negócio ( ) f. Outro ( )
A empresa mantém uma Universidade Corporativa. Vários executivos chave da empresa participam do Grupo Diretivo da Universidade 71) Que ferramenta(s) apóiam este processo? (Ferramentas/Técnicas/Metodologias) A Universidade Corporativa incorporou ao seu programa todas as programações de educação e treinamento sobre tecnologia, na forma de cursos e workshops internos e externos; Existem parcerias com empresas, organismos voltados para tecnologia a fim de prover educação e treinamento técnico necessário; Clientes são normalmente incluídos em programas de treinamento, quando é o ocaso. Também podem ser elaborados programas específicos para clientes. 72) Quais controles (indicadores) são realizados sobre este processo? Não existem controles ( ) Toda a programação da Universidade faz parte dos processos de avaliação de desempenho, para toda a empresa; Existe controle específico sobre treinamentos obrigatórios, tais como, os treinamentos necessários para as certificações ISO, CMM e outras. ES8 – Apoiar e Aconselhar os Clientes Tem por objetivo assegurar que qualquer problema encontrado pelo usuário será apropriadamente resolvido. Existir um help-desk que é a linha de frente no suporte e orientação. 73) Qual estrutura organizacional é responsável pelo processo?
a. Não existe este processo ( ) b. Gerência da área de negócio sem participação de TI ( ) c. Gerência da área de TI sem participação da área de negócio (X) d. Gerência da área de negócio com apoio de TI ( ) e. Gerência de TI com apoio da área de negócio ( ) f. Outro ( )
A Empresa A oferece atendimento e suporte aos seus clientes (pessoas jurídicas) e aos clientes dos seus clientes (pessoas físicas). A área de atendimento ao cliente do cliente (Relações com Consumidores) é extremamente desenvolvida, formando uma Unidade de Negócios completa. É um dos serviços oferecidos aos clientes e que é reconhecido como diferencial competitivo. A área de relações com consumidor vai desde as operações de prospecção e vendas de serviços até retenção, passando por atendimento assistido, Internet e outras formas de relacionamento. Nas relações
137
B2B, a Empresa A adota um processo descentralizado, orquestrado a partir da área Comercial. Existem diversos canais de relacionamento, visto que o cliente também é segmentado na sua atuação. Existem atividades de Help Desk nas áreas de Operações e em Infra-Estrutura Tecnológica. 74) Que ferramenta(s) apóiam este processo? (Ferramentas/Técnicas/Metodologias) Check list, procedimentos e regras de atendimento, apóiam o atendimento ao cliente. Ferramentas não padronizadas. 75) Quais controles (indicadores) são realizados sobre este processo? Não existem controles ( x ) ES9 – Gerenciar a configuração Tem por objetivo registrar todos os componentes de TI, prevenir-se de alterações não autorizadas, verificar a existência física e fornecer a base para uma gerência de mudança sólida; Identificar e registrar todos os ativos de TI e sua localização física, e um programa de verificação regular que confirme existência desses ativos. 76) Qual estrutura organizacional é responsável pelo processo?
a. Não existe este processo ( ) b. Gerência da área de negócio sem participação de TI ( ) c. Gerência da área de TI sem participação da área de negócio (X) d. Gerência da área de negócio com apoio de TI ( ) e. Gerência de TI com apoio da área de negócio ( ) f. Outro ( )
Gerenciamento de Configurações e Mudanças funcionam de forma sincronizada na Empresa A. As mudanças de baseline de configuração são sempre provocadas por algum tipo de mudança, seja no software, seja na infra-estrutura tecnológica. 77) Que ferramenta(s) apóiam este processo? (Ferramentas/Técnicas/Metodologias) São usadas ferramentas de mercado (endevor, por exemplo), com soluções internas, para garantir a integridade das configurações. 78) Quais controles (indicadores) são realizados sobre este processo? Os controles são dados pelos softwares utilizados, porém não existem controles que avaliem a adequação deste processo e sim controles sobre os itens mantidos no software. ES10 – Gerenciar Problemas e Incidentes Tem por objetivo garantir que os problemas e os incidentes estejam resolvidos e a causa investigada, para impedir novas ocorrências. Registrar e tratar todos os incidentes, com um sistema de gerenciamento de problemas.
138
79) Qual estrutura organizacional é responsável pelo processo?
a. Não existe este processo ( ) b. Gerência da área de negócio sem participação de TI ( ) c. Gerência da área de TI sem participação da área de negócio (X) d. Gerência da área de negócio com apoio de TI ( ) e. Gerência de TI com apoio da área de negócio ( ) f. Outro ( )
Existem processos formais de registro, acompanhamento e correção de incidentes e problemas. 80) Que ferramenta(s) apóiam este processo? (Ferramentas/Técnicas/Metodologias) Estes registros são gerenciados nos níveis de processos e atividades (RP- Resolução de Problemas), Sistemas (BIP – Boletim de Irregularidade na Produção) e Infra-Estrutura (PM). 81) Quais controles (indicadores) são realizados sobre este processo? Em cada um destes instrumentos, existem processos definidos para registro, acompanhamento e solução. ES11 – Gerenciar dados Tem por objetivo garantir que os dados permaneçam completos, exatos e válidos durante sua entrada, atualização e armazenamento; Combinar efetivamente aplicativos e controles gerais sobre as operações de TI. 82) Qual estrutura organizacional é responsável pelo processo?
a. Não existe este processo ( ) b. Gerência da área de negócio sem participação de TI ( ) c. Gerência da área de TI sem participação da área de negócio (X) d. Gerência da área de negócio com apoio de TI ( ) e. Gerência de TI com apoio da área de negócio ( ) f. Outro ( )
Como componentes de sistemas e processos, os dados estão sob a responsabilidade dos “process owners”. Eles determinam a classificação que os dados terão e quais são as pessoas e processos que terão acesso e poderão manipulá-los. 83) Que ferramenta(s) apóiam este processo? (Ferramentas/Técnicas/Metodologias) Existem áreas formais responsáveis pelos dados da empresa e pela sua utilização. Estas responsabilidades são compartilhadas entre as áreas de Administração de Dados e bancos de Dados; Arquivos, tabelas e outros dispositivos de armazenamento são catalogados nas áreas de processamento e são controlados quanto ao timing, disponibilidade das informações, processos usuários, procedimentos de backup, procedimentos de retenção e procedimentos de descarte;
139
Existem procedimentos formais e ferramentas automatizadas para o backup, recuperação e restauração da integridade das informações; Existem políticas sobre o tratamento e guarda de informações sensíveis. 84) Quais controles (indicadores) são realizados sobre este processo? Não existem controles ( ) Não existem controles específicos para aferir a adequação da qualidade dos dados e sim controles ambientais pelo uso da informação. ES12 – Gerenciar equipamentos Tem por objetivo fornecer um ambiente físico apropriado que proteja as pessoas e os equipamentos de TI contra a ação dos homens e perigos da natureza; Instalar controles físicos e ambientais apropriados que sejam regularmente revisados para seu funcionamento adequado. 85) Qual estrutura organizacional é responsável pelo processo?
a. Não existe este processo ( ) b. Gerência da área de negócio sem participação de TI ( ) c. Gerência da área de TI sem participação da área de negócio ( ) d. Gerência da área de negócio com apoio de TI (X) e. Gerência de TI com apoio da área de negócio ( ) f. Outro ( )
A Empresa A segue rígidos padrões de segurança Patrimonial de Informação, particularmente nas instalações onde são armazenadas e processadas as informações. Além dos processos produtivos, são mantidos os processos de contingência e continuidade dos negócios e uma série de processos de mitigação de falhas, como topologias de alta disponibilidade, uso de recursos tolerante a falhas etc. 86) Que ferramenta(s) apóiam este processo? (Ferramentas/Técnicas/Metodologias) Os recursos de infra-estrutura básica (água, energia elétrica, diesel etc) são considerados recursos críticos e estão contemplados nos processos de Contingência e Continuidade dos Negócios; Existem planos de fuga e evacuação das instalações e existem treinamentos freqüentes; Existem processos e pessoas designadas para cuidar da operação dos processos críticos da empresa em caso de contingência. Existem plantões e turnos estabelecidos nas áreas operacionais, de processos e sistemas, sempre que a criticidade do processo justifique. 87) Quais controles (indicadores) são realizados sobre este processo? Não existem controles ( ) Não existem controles específicos para aferir a adequação do processo de segurança física. O controle é realizado pela avaliação das ocorrências.
140
ES13 – Gerenciar operações Tem por objetivo garantir que as funções importantes de TI sejam desempenhadas regularmente e de maneira organizada; Manter um cronograma de atividades que seja claro e com registro formal para o acompanhamento de todas as atividades. 88) Qual estrutura organizacional é responsável pelo processo?
a. Não existe este processo ( ) b. Gerência da área de negócio sem participação de TI ( ) c. Gerência da área de TI sem participação da área de negócio ( ) d. Gerência da área de negócio com apoio de TI ( ) e. Gerência de TI com apoio da área de negócio (X) f. Outro ( )
Todas as operações são descritas, controladas e executadas a partir dos mapas de processos. Isto vale também para as operações computacionais, executadas no Data Center. O mesmo modelo de Gestão é aplicado aos parceiros, sempre baseado em conjuntos de processos operacionais, agrupados em Processos de Negócios. 89) Que ferramenta(s) apóiam este processo? (Ferramentas/Técnicas/Metodologias) Existe uma grande gama de ferramentas para operação e gestão da produção, agenda e execução de serviços, monitores de execução etc.; Manuais e documentos específicos orientam as equipes de operação nas atividades cotidianas, tratamento de exceções, tratamento de erros e procedimentos de contingência. 90) Quais controles (indicadores) são realizados sobre este processo? Não existem controles específicos de adequação do processo, sendo realizadas avaliações por desvios no “log´s” de execução das rotinas de produção. M1 – Monitorar os processos Tem por objetivo assegurar a realização dos objetivos de performance estabelecidos para os processos de TI; Definir indicadores relevantes de performance, relatórios de performance sistemáticos e no tempo adequado e ações rápidas no caso de desvios. 91) Qual estrutura organizacional é responsável pelo processo?
a. Não existe este processo ( ) b. Gerência da área de negócio sem participação de TI ( ) c. Gerência da área de TI sem participação da área de negócio (X) d. Gerência da área de negócio com apoio de TI ( ) e. Gerência de TI com apoio da área de negócio ( ) f. Outro ( )
O monitoramento é responsabilidade da área de TI. Porém não existe processo padronizado para avaliar a organização e sim grupos de controles sobre níveis de serviço e ocorrências de incidentes e problemas.
141
92) Que ferramenta(s) apóiam este processo? (Ferramentas/Técnicas/Metodologias) A monitoração dos processos é realizada através dos indicadores operacionais, baseados nos acordos de serviços estabelecidos e dos indicadores de erros e problemas. 93) Quais controles (indicadores) são realizados sobre este processo? Não existem controles ( X ) M2 – Avaliar a adequação dos controles internos Tem por objetivo garantir a realização dos objetivos de controle internos de acordo com os processos de TI; Estabelecer compromisso de monitorar os controles internos, avaliando sua efetividade e relatando-os de forma regular. 94) Qual estrutura organizacional é responsável pelo processo?
a. Não existe este processo ( ) b. Gerência da área de negócio sem participação de TI ( ) c. Gerência da área de TI sem participação da área de negócio ( ) d. Gerência da área de negócio com apoio de TI (X) e. Gerência de TI com apoio da área de negócio ( ) f. Outro ( )
95) Que ferramenta(s) apóiam este processo? (Ferramentas/Técnicas/Metodologias) Existem ferramentas e processos para a realização da provas departamentais, registro das não conformidades, registro dos planos de ação e das correções; Existem registros das não conformidades identificadas pelos Controles Internos. 96) Quais controles (indicadores) são realizados sobre este processo? Não existem controles ( X ) M3 – Obter Garantia Independente Tem por objetivo aumentar a confiança entre a organização, os clientes, e os fornecedores terceirizados. Realizar em intervalos regulares revisões de garantia independente. 97) Qual estrutura organizacional é responsável pelo processo?
a. Não existe este processo (X) b. Gerência da área de negócio sem participação de TI ( ) c. Gerência da área de TI sem participação da área de negócio ( ) d. Gerência da área de negócio com apoio de TI ( ) e. Gerência de TI com apoio da área de negócio ( ) f. Outro ( )
142
A Garantia independente entre a Empresa A e seus clientes é realizada, principalmente pelas auditorias especializadas, tais como ISO-9000, CMM, SAS-70, entre outras. Também patrocinamos e estimulamos a certificação independente para os nossos principais parceiros, estabelecendo uma cadeia de confiança nos processos integrados pela Empresa A. 98) Que ferramenta(s) apóiam este processo? (Ferramentas/Técnicas/Metodologias) ISO-9000, CMM, SAS-70, entre outras. 99) Quais controles (indicadores) são realizados sobre este processo? Não existem controles ( X ) M4 – Obter Auditoria Independente Tem por objetivo aumentar o nível de confiança e benefícios das melhores práticas existentes. Executar auditorias independentes em intervalos regulares. 100) Qual estrutura organizacional é responsável pelo processo?
a. Não existe este processo ( ) b. Gerência da área de negócio sem participação de TI ( ) c. Gerência da área de TI sem participação da área de negócio ( ) d. Gerência da área de negócio com apoio de TI (X) e. Gerência de TI com apoio da área de negócio ( ) f. Outro ( )
Atualmente a Empresa A é auditada periodicamente pelo seu acionista e pelas equipes de auditoria dos seus principais clientes. Estas auditorias estão baseadas principalmente nas necessidades estabelecidas pela SOX e por Basiléia II. A Empresa A foi reconhecida como a primeira empresa de processamento de informações comerciais e financeiras a obter a certificação SAS 70. 101) Que ferramenta(s) apóiam este processo? (Ferramentas/Técnicas/Metodologias) Auditorias referentes a Sarbanes Oxlay, Basiléia II e SAS-70. 102) Quais controles (indicadores) são realizados sobre este processo? Os controles são determinados pelos resultados das auditorias.
Livros Grátis( http://www.livrosgratis.com.br )
Milhares de Livros para Download: Baixar livros de AdministraçãoBaixar livros de AgronomiaBaixar livros de ArquiteturaBaixar livros de ArtesBaixar livros de AstronomiaBaixar livros de Biologia GeralBaixar livros de Ciência da ComputaçãoBaixar livros de Ciência da InformaçãoBaixar livros de Ciência PolíticaBaixar livros de Ciências da SaúdeBaixar livros de ComunicaçãoBaixar livros do Conselho Nacional de Educação - CNEBaixar livros de Defesa civilBaixar livros de DireitoBaixar livros de Direitos humanosBaixar livros de EconomiaBaixar livros de Economia DomésticaBaixar livros de EducaçãoBaixar livros de Educação - TrânsitoBaixar livros de Educação FísicaBaixar livros de Engenharia AeroespacialBaixar livros de FarmáciaBaixar livros de FilosofiaBaixar livros de FísicaBaixar livros de GeociênciasBaixar livros de GeografiaBaixar livros de HistóriaBaixar livros de Línguas
Baixar livros de LiteraturaBaixar livros de Literatura de CordelBaixar livros de Literatura InfantilBaixar livros de MatemáticaBaixar livros de MedicinaBaixar livros de Medicina VeterináriaBaixar livros de Meio AmbienteBaixar livros de MeteorologiaBaixar Monografias e TCCBaixar livros MultidisciplinarBaixar livros de MúsicaBaixar livros de PsicologiaBaixar livros de QuímicaBaixar livros de Saúde ColetivaBaixar livros de Serviço SocialBaixar livros de SociologiaBaixar livros de TeologiaBaixar livros de TrabalhoBaixar livros de Turismo