ads:
FUNDAÇÃO EDSON QUEIROZ
UNIVERSIDADE DE FORTALEZA – UNIFOR
HAROLDO NUNES MENEZES
AVALIAÇÃO DO NÍVEL DE MATURIDADE DA
GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO:
ESTUDO DE CASO EM INDÚSTRIAS DE GRANDE PORTE
Fortaleza
2005
ads:
Livros Grátis
http://www.livrosgratis.com.br
Milhares de livros grátis para download.
ii
HAROLDO NUNES MENEZES
AVALIAÇÃO DO NÍVEL DE MATURIDADE DA
GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO:
ESTUDO DE CASO EM INDÚSTRIAS DE GRANDE PORTE
Dissertação submetida ao corpo docente do Curso de
Mestrado em Informática Aplicada da Universidade
de Fortaleza como requisito parcial para a obtenção
do título de Mestre em Ciência da Computação.
Orientador: Prof. Dr. José Bezerra da Silva Filho
Fortaleza
2005
ads:
iii
HAROLDO NUNES MENEZES
AVALIAÇÃO DO NÍVEL DE MATURIDADE DA
GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO:
ESTUDO DE CASO EM INDÚSTRIAS DE GRANDE PORTE
Data de aprovação:
Banca examinadora:
________________________________________________
Prof. Dr. José Bezerra da Silva Filho
(Universidade de Fortaleza)
________________________________________________
Prof. Dr. João José Peixoto Furtado
(Universidade de Fortaleza)
________________________________________________
Prof. Dr. Francisco Mílton Mendes Neto
(Serviço Federal de Processamento de Dados - SERPRO)
iv
MENEZES, HAROLDO NUNES. Avaliação do nível de maturidade da Governança de
Tecnologia da Informação: Estudo de caso em indústrias de grande porte. Fortaleza:
UNIFOR, Dissertação de Mestrado, 2005.
Perfil do autor: Tecnólogo em Processamento de Dados pela Universidade Federal do Ceará,
Pós-graduado em Ciência da Computação pela Universidade Federal do Ceará e em
Administração Financeira pela Universidade de Fortaleza. Ex-professor da Universidade de
Fortaleza onde lecionou disciplinas Projeto de Sistemas, Engenharia de Software e Banco de
Dados. Consultor de Tecnologia da Informação (TI) com ênfase em planejamento estratégico.
Gerente de TI de M. Dias Branco Indústria e Comércio de Alimentos Ltda.
PALAVRAS-CHAVE: Governança corporativa – Governança de TI – Sarbanes-Oxley –
ITIL® – COSO – CobiT® – Tecnologia da Informação – Planejamento estratégico –
Alinhamento estratégico.
v
Para Marisa, Lara e Andréa,
fontes inesgotáveis de minha inspiração.
vi
AGRADECIMENTOS
Aos meus pais, Vladir e Heydina, a quem devo a minha educação, com zelo e amor, e pelo
exemplo que me proporcionaram.
Ao professor José Bezerra, meu orientador, no sentido amplo da palavra, que, nos momentos
mais difíceis desta caminhada, me proporcionou uma luz e me conduziu nesta empreitada.
Ao professor Ângelo Brayner, que admiro como profissional e amigo.
Ao professor Plácido, pela capacidade de nos contagiar com sua vibração pela ciência e
pesquisa.
A todos os professores do MIA, pela inestimável contribuição.
Ao Gustavo Carvalho e à Renata Santos, pela contribuição na elaboração das ilustrações deste
trabalho.
Ao professor Eduardo Bezerra, pelos ensinamentos de análise estatística.
Ao Ricardo Leno, pelo auxílio na elaboração dos gráficos.
Aos colegas do MIA, com quem pude trocar experiências e muito aprender no convívio
diário, especialmente ao Fernando Siqueira e ao Fernando Parente, por não me deixarem
desanimar diante das dificuldades.
A todos aqueles que me incentivaram nesta jornada.
vii
ABSTRACT
The compliance with the existing regulations, the demands arising from the increase in
the dependence level of business in regard to IT field and the financial management of
projects have created the conditions that favored the appearance of IT Governance models,
which suggest the adoption of guides of better practices to achieve the efficiency in the
management of IT services. Auditing models have also been proposed to identify the maturity
level of the organization and techniques adopted to define metrics that allow its evolution to
be evaluated. This paper presents an evaluation of a sample of eighteen large-sized
enterprises, within the industry branch activity of the maturity level of the processes involved
in the Governance of Information Technology and of the knowledge level of applicable
methods, techniques and tools. The researched organizations are owners or not of
implementation initiatives of incipient IT Governance models. While observing the statistical
measure that determines the highest frequency of CobiT® processes, we verify that 16
processes are at the nonexistent stage and 8 at the Initial ad hoc. In a general manner, the
results obtained suggest that the maturity level of the processes involved in IT Governance are
Nonexistent or Initial Ad hoc. The indicators within the sample suggest a reactive behavior in
the IT field, ignorance of managers of guides of better practices, auditing framework and
evaluation metrics. In the researched organizations we observe lack of training plans and
certification processes of professionals. We conclude that, in spite of regulations that begin to
exist in the national setting, the researched organizations are not mobilized to overcome the
challenges in the IT field, what can jeopardize the export strategies in the medium term
because of the inadequacy to Sarbanes-Oxley Act, and the negotiation of their shares in the
Stock Exchange or the opening of capital for not complying with the recommendations of the
Securities and Exchange Commission.
viii
RESUMO
A conformidade com os regulamentos vigentes, as exigências decorrentes do aumento
do grau de dependência do negócio em relação à área de Tecnologia da Informação (TI) e o
gerenciamento financeiro dos projetos criaram as condições propícias para o surgimento de
modelos de Governança de TI que sugerem a adoção de guias de melhores práticas para
atingir a eficiência na gestão dos serviços de TI. Modelos de auditoria também foram
propostos para identificar o nível de maturidade da organização e técnicas adotadas para
definir métricas que permitam avaliar sua evolução. Este estudo apresenta uma avaliação em
uma amostra de dezoito empresas de grande porte do ramo de atividade industrial, do nível de
maturidade dos processos envolvidos na Governança de TI e do grau de conhecimento de
métodos, técnicas e ferramentas aplicáveis. Algumas das organizações pesquisadas possuem
iniciativas de implementação de modelos de Governança de TI incipientes. Ao observar a
medida estatística que determina a maior freqüência dos 34 processos do CobiT® verifica-se
que 16 processos encontram-se no estágio Inexistente e 8 no Inicial / Ad hoc. Os resultados
obtidos, de maneira geral, sugerem que os níveis de maturidade dos processos envolvidos na
Governança de TI posicionam-se nas categorias Inexistente ou Inicial / Ad hoc. Indicadores
sugerem, dentro da amostra, um comportamento reativo da área de TI, desconhecimento dos
gestores de guias de melhores práticas, framework de auditoria e métricas de avaliação. Nas
organizações pesquisadas, observa-se a ausência de planos de treinamento e processos de
certificação de profissionais. Conclui-se que, mesmo com os regulamentos que se iniciam no
cenário nacional, as organizações pesquisadas não estão se mobilizando para cumprir os
novos desafios da área de TI, podendo comprometer no médio prazo: estratégias de
exportação, pela inadequação à Lei Sarbanes-Oxley, e negociação das suas ações na Bolsa de
Valores ou abertura de capital, pela não adesão às recomendações da Comissão de Valores
Mobiliários (CVM).
ix
SUMÁRIO
LISTA DE ILUSTRAÇÕES xii
LISTA DE ABREVIATURAS E SIGLAS xvi
1 INTRODUÇÃO 17
1.1 Motivação 17
1.2 Objetivo geral 18
1.2.1 Objetivos complementares 19
1.3 O problema da pesquisa 19
1.4 Organização da dissertação 20
2 TECNOLOGIA DA INFORMAÇÃO E PRINCÍPIOS DA GOVERNANÇA 22
2.1 Conceitos e evolução 22
2.2 Alinhamento estratégico entre negócios e TI 25
2.3 Governança corporativa 27
2.4 Governança de TI 32
3 GOVERNANÇA DE TI: MELHORES PRÁTICAS, AUDITORIA E MÉTRICAS
36
DE AVALIAÇÃO
3.1 Information Technology Infrastructure Library – ITIL® 36
3.1.1 Gestão de serviços de TI 38
3.1.2 Suporte aos serviços 39
3.1.3 Entrega de serviços 40
3.1.4 Gestão da infra-estrutura da TI e da comunicação 42
3.1.5 Gestão da segurança 43
3.1.6 ITIL® e o ciclo de Deming 46
3.2 Control objectives for information and related technology - CobiT® 48
3.3 IT Governance Maturity Model 58
3.4 IT BSC 60
x
4 METODOLOGIA DA PESQUISA 62
4.1 Objetivos da pesquisa 62
4.2 O problema da pesquisa 63
4.3 Natureza da pesquisa 64
4.4 População e amostra da pesquisa 64
4.5 Natureza das variáveis 65
4.6 Estratégia da pesquisa 66
5 RESULTADOS DE MEDIDAS EXPERIMENTAIS 70
5.1 Domínio Planejamento e Organização – PO 70
5.1.1 Processo PO1 – Define a estratégia de TI 71
5.1.2 Processo PO2 – Define a arquitetura da informação 72
5.1.3 Processo PO3 – Determina a direção tecnológica 73
5.1.4 Processo PO4 – Define a organização de TI e seus relacionamentos 74
5.1.5 Processo PO5 – Gerencia os investimentos de TI 76
5.1.6 Processo PO6 – Gerencia a comunicação das diretrizes de TI 77
5.1.7 Processo PO7 – Gerencia os recursos humanos 78
5.1.8 Processo PO8 – Assegura alinhamento da TI com recursos externos 79
5.1.9 Processo PO9 – Avalia os riscos 80
5.1.10 Processo PO10 – Gerencia os projetos 81
5.1.11 Processo PO11 – Gerencia a qualidade 83
5.2 Domínio Aquisição e Implementação – AI 84
5.2.1 Processo AI1 – Identifica as soluções de automação 84
5.2.2 Processo AI2 – Adquire os softwares e provê sua manutenção 85
5.2.3 Processo AI3 – Adquire a infra-estrutura tecnológica e provê sua
manutenção
86
5.2.4 Processo AI4 – Desenvolve os procedimentos e provê sua manutenção 87
5.2.5 Processo AI5 – Instala e certifica os softwares 88
5.2.6 Processo AI6 – Gerencia as mudanças 89
5.3 Domínio Entrega e Suporte – DS 90
5.3.1 Processo DS1 – Define os acordos de níveis de serviço e provê sua
manutenção
91
5.3.2 Processo DS2 – Gerencia os serviços de terceiros 92
xi
5.3.3 Processo DS3 – Gerencia a performance e capacidade do ambiente 93
5.3.4 Processo DS4 – Assegura a continuidade dos serviços 94
5.3.5 Processo DS5 – Provê a segurança dos serviços 95
5.3.6 Processo DS6 – Identifica e aloca custos 96
5.3.7 Processo DS7 – Treina os usuários 97
5.3.8 Processo DS8 – Assiste e aconselha os usuários 98
5.3.9 Processo DS9 – Gerencia a configuração 99
5.3.10 Processo DS10 – Gerencia problemas e incidentes 100
5.3.11 Processo DS11 – Gerencia os dados 101
5.3.12 Gerencia a infra-estrutura 103
5.3.13 Gerencia as operações 104
5.4 Domínio Monitoramento – M 105
5.4.1 Processo M1 – Monitora os processos 105
5.4.2 Processo M2 – Analisa a adequação dos controles internos 106
5.4.3 Processo M3 – Provê auditorias independentes 107
5.4.4 Processo M4 – Provê segurança independente 108
5.5 Conhecimento das tecnologias 109
5.5.1 ITIL® 109
5.5.2 CobiT® 110
5.5.3 IT Governance Maturity Model 111
5.5.4 PMBOK 112
5.5.5 CMM SW 113
6 CONCLUSÃO 115
Considerações finais 117
Limitações da pesquisa 117
Sugestões de trabalhos futuros 118
REFERÊNCIAS BIBLIOGRÁFICAS 120
APÊNDICES 127
A – Análise estatística das questões relacionadas aos processos 127
B – Análise estatística das questões relacionadas ao conhecimento da tecnologia 130
C – Questionário utilizado na pesquisa 132
xii
LISTA DE ILUSTRAÇÕES
FIGURAS
2.1 Alinhamento entre negócios e TI 27
2.2 Modelo de melhoria de processos 33
3.1 ITIL® framework 37
3.2 Suporte aos serviços 39
3.3 Entrega dos serviços 40
3.4 Desenvolvimento do gerenciamento da ICT 42
3.5 Ciclo de Deming e o nível de maturidade no tempo 47
3.6 Framework para implementação dos processos CobiT® 49
3.7 Domínios do CobiT® 51
3.8 O Cubo CobiT® 56
3.9 Framework do CobiT® para um processo 57
3.10 Digital cockpit 61
TABELAS
4.1 Distribuição quantitativa de empresas no Brasil, por porte e setor – 2002/2003 65
5.1 Distribuição da freqüência das respostas do processo PO1 71
5.2 Distribuição da freqüência das respostas do processo PO2 72
5.3 Distribuição da freqüência das respostas do processo PO3 73
5.4 Distribuição da freqüência das respostas do processo PO4 75
5.5 Distribuição da freqüência das respostas do processo PO5 76
5.6 Distribuição da freqüência das respostas do processo PO6 77
5.7 Distribuição da freqüência das respostas do processo PO7 78
5.8 Distribuição da freqüência das respostas do processo PO8 79
xiii
5.9 Distribuição da freqüência das respostas do processo PO9 80
5.10 Distribuição da freqüência das respostas do processo PO10 82
5.11 Distribuição da freqüência das respostas do processo PO11 83
5.12 Distribuição da freqüência das respostas do processo AI1 84
5.13 Distribuição da freqüência das respostas do processo AI2 85
5.14 Distribuição da freqüência das respostas do processo AI3 86
5.15 Distribuição da freqüência das respostas do processo AI4 87
5.16 Distribuição da freqüência das respostas do processo AI5 88
5.17 Distribuição da freqüência das respostas do processo AI6 89
5.18 Distribuição da freqüência das respostas do processo DS1 91
5.19 Distribuição da freqüência das respostas do processo DS2 92
5.20 Distribuição da freqüência das respostas do processo DS3 93
5.21 Distribuição da freqüência das respostas do processo DS4 94
5.22 Distribuição da freqüência das respostas do processo DS5 95
5.23 Distribuição da freqüência das respostas do processo DS6 96
5.24 Distribuição da freqüência das respostas do processo DS7 97
5.25 Distribuição da freqüência das respostas do processo DS8 98
5.26 Distribuição da freqüência das respostas do processo DS9 99
5.27 Distribuição da freqüência das respostas do processo DS10 100
5.28 Distribuição da freqüência das respostas do processo DS11 102
5.29 Distribuição da freqüência das respostas do processo DS12 103
5.30 Distribuição da freqüência das respostas do processo DS13 104
5.31 Distribuição da freqüência das respostas do processo M1 105
5.32 Distribuição da freqüência das respostas do processo M2 106
5.33 Distribuição da freqüência das respostas do processo M3 107
5.34 Distribuição da freqüência das respostas do processo M4 108
5.35 Distribuição da freqüência das respostas do ITIL® 109
5.36 Distribuição da freqüência das respostas do CobiT® 110
5.37 Distribuição da freqüência das respostas do IT Governance Maturity Model 111
5.38 Distribuição da freqüência das respostas do PMBOK 112
5.39 Distribuição da freqüência das respostas do CMM SW 113
A.1 Medidas de tendência central dos processos 127
xiv
A.2 Medidas de dispersão dos processos 128
B.1 Medidas de tendência central do conhecimento da tecnologia 130
B.2 Medidas de dispersão do conhecimento da tecnologia 131
GRÁFICOS
4.1 Dispersão do expurgo 68
5.1 Níveis de maturidade do processo PO1 71
5.2 Níveis de maturidade do processo PO2 73
5.3 Níveis de maturidade do processo PO3 74
5.4 Níveis de maturidade do processo PO4 75
5.5 Níveis de maturidade do processo PO5 76
5.6 Níveis de maturidade do processo PO6 78
5.7 Níveis de maturidade do processo PO7 79
5.8 Níveis de maturidade do processo PO8 80
5.9 Níveis de maturidade do processo PO9 81
5.10 Níveis de maturidade do processo PO10 82
5.11 Níveis de maturidade do processo PO11 83
5.12 Níveis de maturidade do processo AI1 84
5.13 Níveis de maturidade do processo AI2 86
5.14 Níveis de maturidade do processo AI3 87
5.15 Níveis de maturidade do processo AI4 88
5.16 Níveis de maturidade do processo AI5 89
5.17 Níveis de maturidade do processo AI6 90
5.18 Níveis de maturidade do processo DS1 91
5.19 Níveis de maturidade do processo DS2 92
5.20 Níveis de maturidade do processo DS3 93
5.21 Níveis de maturidade do processo DS4 94
5.22 Níveis de maturidade do processo DS5 96
5.23 Níveis de maturidade do processo DS6 97
xv
5.24 Níveis de maturidade do processo DS7 98
5.25 Níveis de maturidade do processo DS8 99
5.26 Níveis de maturidade do processo DS9 100
5.27 Níveis de maturidade do processo DS10 101
5.28 Níveis de maturidade do processo DS11 102
5.29 Níveis de maturidade do processo DS12 103
5.30 Níveis de maturidade do processo DS13 104
5.31 Níveis de maturidade do processo M1 106
5.32 Níveis de maturidade do processo M2 107
5.33 Níveis de maturidade do processo M3 108
5.34 Níveis de maturidade do processo M4 109
5.35 Conhecimento do ITIL® 110
5.36 Conhecimento do CobiT® 111
5.37 Conhecimento do IT Governance Maturity Model 112
5.38 Conhecimento do PMBOK 113
5.39 Conhecimento do CMM SW 114
A.1 Medidas de tendência central dos processos 128
A.2 Medidas de dispersão dos processos 129
B.1 Medidas de tendência central do conhecimento da tecnologia 130
B.2 Medidas de dispersão do conhecimento da tecnologia 131
xvi
LISTA DE ABREVIATURAS E SIGLAS
ABNT Associação Brasileira de Normas Técnicas
BOVESPA Bolsa de Valores do Estado de São Paulo
BSC Balanced Scorecard
CCTA Central Computer and Telecommunications Agency
CEO Chief Executive Officer
CIO Chief Information Officer
CFO Chief Financial Officer
CMDB Configuration Management Database
CMM SW Capability Maturity Model for Software
CMN Conselho Monetário Nacional
CobiT® Control Objectives for Information Technology
COSO Comitee of Sponsoring Organizations
CVM Comissão de Valores Mobiliários
ISACF Information Systems Audit and Control Foundation
IT Information Technology
ITIL® Information Technology Infrastructure Library
ITGI IT Governance Institute
ITSM IT Service Management
itSMF IT Service Management Forum
MOF Microsoft Operations Framework
OGC Office of Government Commerce
PMBOK Project Management Body of Knowledge
PMI Project Management Institute
SEI Software Engineering Institute
SLA Service Level Agreement
TI Tecnologia da Informação
CAPÍTULO 1
INTRODUÇÃO
O presente capítulo apresenta as condições básicas da dissertação: a motivação, o
objetivo geral, os objetivos complementares e a caracterização do problema. O capítulo é
complementado com a apresentação da estrutura do trabalho.
1.1 Motivação
A Tecnologia da Informação (TI) contribui decisivamente para uma empresa
aperfeiçoar seus serviços e operações, aumentar seus lucros, melhorar sua participação no
mercado e aprimorar seus processos internos. A evolução do papel da TI nas organizações é
notória e perceptível em todos os níveis hierárquicos e setores.
A evolução da TI e sua disseminação nos setores das organizações geraram uma
dependência significativa do negócio em relação aos serviços prestados. Essa dependência
cria exigências como disponibilidade, garantia de continuidade, segurança, eficiência,
qualidade na entrega e no suporte, controles, conformidade, consistência e tempestividade.
Aliado a isso, atualmente o cenário regulatório requer a utilização de estruturas de
gerenciamento cada vez mais complexas.
Se, por um lado, as exigências se tornam cada vez maiores, por outro lado, os
investimentos em TI passam a condicionar-se a demonstrações de viabilidade econômica e de
18
retornos sobre o investimento cada vez mais expressivos. A obtenção de vantagens
competitivas por meio da TI pressupõe o desenvolvimento de estratégias de negócios como
ponto de partida para as estratégias de TI. O alinhamento com o negócio tem sido evidenciado
como fator determinante para o sucesso da área de TI.
Diversos regulamentos surgiram no cenário internacional como decorrência da
necessidade de mitigar riscos oriundos da indisponibilidade da tecnologia, bem como de
proporcionar um grau de transparência compatível com as expectativas de investidores.
Desdobramentos da legislação e dos regulamentos internacionais começam a surgir no Brasil,
com implicações diretas no curto prazo para instituições financeiras, sociedades de capital
aberto, filiais de empresas multinacionais com sede nos Estados Unidos e fornecedores de
empresas americanas.
A conformidade com os regulamentos vigentes, as exigências decorrentes do aumento
do grau de dependência do negócio em relação à área de TI e o gerenciamento financeiro dos
projetos criaram as condições propícias para o surgimento de modelos de Governança de TI
que sugerem a adoção de guias de melhores práticas para atingir a eficiência na gestão dos
serviços de TI. Modelos de auditoria também foram propostos para identificar o nível de
maturidade da organização, e técnicas foram adotadas para definir métricas que possibilitem
avaliar sua evolução.
1.2 Objetivo geral
O principal objetivo desta pesquisa é avaliar o nível de maturidade da Governança de
TI nas indústrias de grande porte nacionais, contemplando cada um dos 34 processos descritos
no CobiT®
1
com envolvimento do gerenciamento dos serviços e da infra-estrutura de TI.
1
Objetivos de Controle para Informação e Tecnologia relacionada é um framework para Gestão de TI.
19
1.2.1 Objetivos complementares
• identificar o grau de conhecimento dos executivos de TI das indústrias de
grande porte macionais sobre métodos, técnicas e ferramentas que embasam os
processos de TI, e a adoção das boas práticas de Governança de TI;
• verificar se as empresas pesquisadas estão certificando profissionais, com
vistas à implementação futura de projetos na área de Governança de TI; e
• verificar a efetiva aplicação do conhecimento dos métodos, técnicas e
ferramentas que apóiam a Governança de TI nas organizações pesquisadas.
1.3 O problema da pesquisa
O problema da pesquisa avalia o nível de maturidade da Governança de TI em
organizações que poderão ser afetadas por exigências de regulamentos, conforme descrito nos
capítulos subseqüentes, identificando-se os níveis em que se encontram, e como estão se
preparando. Em breve, exigências de aplicação de boas práticas de Governança de TI serão
decisivas para estratégias de negócio envolvendo exportação e/ou abertura de capital.
Sobre o problema, formulam-se as seguintes hipóteses:
• H
1
– As indústrias de grande porte encontram-se em níveis de maturidade de
governança com Processos definidos ou, pelo menos, Repetitivo mas intuitivo,
haja vista que atuam em mercados globalizados como exportadores, recebendo
influências da Lei Sarbanes-Oxley (SARBANES-OXLEY ACT, 2002), e/ou
são empresas de capital aberto, para as quais existe a cartilha Recomendações
da CVM sobre Governança Corporativa (CVM, 2002).
• H
2
– Os resultados do experimento deverão caracterizar uma mobilização dos
setores de TI das indústrias de grande porte, objetivando a adesão a normas e
20
padrões (compliance) e a implantação de melhores práticas de gerenciamento
de serviços e infra-estrutura de TI (best pratices).
• H
3
– Os executivos de TI das indústrias de grande porte pesquisadas detêm um
conhecimento acerca de métodos e práticas que fundamentam a implantação da
Governança de TI e estão treinando suas equipes técnicas para adequação
dessas recomendações.
1.4 Organização da dissertação
Este estudo está organizado em mais cinco capítulos, resumidamente descritos a
seguir:
CAPÍTULO 2 – TECNOLOGIA DA INFORMAÇÃO E PRINCÍPIOS DA
GOVERNANÇA
Inicia-se o desenvolvimento do referencial teórico que suportou o estudo,
conceituando Tecnologia da Informação e descrevendo sua evolução, o alinhamento
estratégico entre negócios e Tecnologia da Informação, a Governança Corporativa e a
Governança de TI.
CAPÍTULO 3 – GOVERNANÇA DE TI: MELHORES PRÁTICAS,
AUDITORIA E MÉTRICAS DE AVALIAÇÃO
Apresenta uma revisão da literatura, descrevendo guias de melhores práticas,
frameworks para auditoria de nível de maturidade de Governança de TI e métricas
para planejamento e acompanhamento da evolução do nível de maturidade de
Governança.
21
CAPÍTULO 4 – METODOLOGIA DA PESQUISA
Descreve os procedimentos metodológicos utilizados no estudo de caso e a estratégia
de elaboração do trabalho.
CAPÍTULO 5 – RESULTADOS DE MEDIDAS EXPERIMENTAIS
Dedicado à apresentação dos resultados do experimento e sua análise. Possibilita o
entendimento dos níveis de maturidade da Governança de TI nas organizações
pesquisadas.
CAPÍTULO 6 – CONCLUSÃO
Aqui, evidenciam-se a contribuição da pesquisa e suas limitações, bem como são
apresentadas sugestões para o desenvolvimento de trabalhos futuros.
CAPÍTULO 2
TECNOLOGIA DA INFORMAÇÃO E PRINCÍPIOS DA
GOVERNANÇA
Neste capítulo são apresentados os principais conceitos, importância e motivações
para o desenvolvimento do trabalho. Após exaustiva pesquisa bibliográfica, é compilada uma
revisão da literatura abordando os conceitos de Tecnologia da Informação (TI), planejamento
de tecnologia, alinhamento estratégico entre negócios e TI, Governança Corporativa e
Governança de TI.
2.1 Conceitos e evolução
Segundo Toffler (1985) a informação tornou-se tão (ou mais) importante quanto a
terra, o trabalho, o capital e a matéria-prima. Desde a década de 1970, quando os
computadores começaram a fazer parte do sistema empresarial corporativo, é crescente a
participação dessa tecnologia nos processos e nas decisões corporativas. Novos paradigmas
tecnológicos apontam para um fator de riqueza determinante na era pós-industrial: a posse da
informação. Num mundo altamente competitivo como o atual, as informações assumem papel
fundamental no sucesso de qualquer empreitada (SIQUEIRA FILHO; SILVA FILHO, 2004).
A informação está se transformando no ativo mais importante da economia
contemporânea. Os Sistemas de Informação corporativos contribuem decisivamente para o
aperfeiçoamento dos serviços e operações, o crescimento dos lucros e a conquista de novos
23
segmentos de mercado (FURLAN, 1991). Atendimento ao cliente, operações, estratégias de
produto e de marketing e distribuição dependem muito, às vezes totalmente, da
disponibilidade de sistemas computacionais (SIQUEIRA FILHO; SILVA FILHO, 2004).
Consolidado na década de 1980, o conceito de TI é o mais largamente utilizado nos
dias atuais, sendo mais abrangente que: Processamento de Dados, Sistemas de Informação,
Informática ou conjunto de hardware e software (TEIXEIRA JÚNIOR, 2003). O website
Whatis (2003 apud TEIXEIRA JÚNIOR, 2003) conceitua TI como:
um termo que engloba todas as formas de tecnologia utilizadas para criar,
armazenar, trocar e usar informação em suas várias formas (dados, voz, imagens
estáticas e em movimento, apresentações multimídia, e outras, incluindo aquelas
ainda não concebidas). É um termo adequado para incluir ambas as tecnologias de
computador e de telefonia na mesma palavra. É a tecnologia que está causando o
que tem sido chamado freqüentemente de “A Revolução da Informação”.
Tecnologia inclui estudo sistemático sobre técnicas, processos, métodos, meios e
instrumentos de ofícios ou domínios da atividade humana. A TI permeia os processos de
negócio da corporação, colocando-se como base para os processos operacionais, e
disponibilizando informações para a gestão tática e estratégica.
No início, a utilização dos computadores era restrita às grandes corporações, e
destinava-se exclusivamente à substituição de trabalhos manuais por processos idênticos
automatizados. O uso dos computadores era caracterizado pela forte atuação no nível
operacional. Esse modelo de utilização de TI persistiu durante décadas, mesmo com o
incremento da escala, da miniaturização e da disseminação do uso do computador em
empresas menores. Bakos e Treacy (1986) denominam o papel de TI como de apoio às
operações, mas não relacionado com as estratégias empresariais como Nível Interno da TI.
No estágio de apoio às operações, a TI é encarada como custo, focada em automação
de processos de retaguarda, sendo o objetivo principal do Gestor de TI justificar as despesas e
evitar subutilização de recursos, haja vista que os executivos das áreas do negócio não
enxergam a TI como um parceiro para obtenção de vantagens competitivas.
24
No Nível Competitivo da TI (BAKOS; TREACY, 1986) a TI apóia as estratégias
empresariais, mas não participa do seu planejamento nem de sua concepção. Mesmo a TI se
situando com um papel em desenvolvimento, sua atuação ainda pode ser caracterizada como
reativa. O foco é a automação de processos e controles internos.
No estágio competitivo, os gestores percebem que a TI pode contribuir para redução
de custos e aumento de receitas, evoluindo da função de retaguarda para o apoio na criação de
novos produtos e serviços. Para esse efeito, contribuíram a disseminação do uso dos
computadores, seu barateamento e o aumento da capacidade de processamento. São criados
comitês de gestão de TI com os principais gestores de negócios e de TI; são priorizados
sistemas de suporte ao processo decisório; e é reconhecida a importância do planejamento
estratégico de TI.
Quando a TI está integrada às estratégias empresariais, Bakos e Treacy (1986) dão a
esse estágio a denominação Nível Portfólio de Negócios, conferindo-lhe o papel de agente
impulsionador das mudanças. A TI é utilizada para incrementar o desempenho do negócio;
apoiar o redesenho dos processos de negócio; agregar valor ao negócio, através de sua cadeia
de relacionamentos; e ampliar o escopo do negócio, estendendo produtos e mercados.
Casos de sucesso relacionados ao papel estratégico da TI podem ser observados nos
mais diversos segmentos da economia, com a utilização da tecnologia em novos negócios, ou
como diferencial para obtenção de vantagens competitivas. No setor financeiro, a Internet
banking modificou a estrutura de custos de operações dos bancos e seu relacionamento com
os clientes; no comércio, a experiência das lojas virtuais obteve significativa participação
(market share) no segmento de livros, CDs e DVDs; dentre inúmeros exemplos.
Apesar do reconhecimento do papel estratégico da TI as pressões sobre custos não
foram reduzidas. Os CIOs
2
tem recebido a cobrança de ações para que a TI eleve a sua
contribuição de valor para os negócios; seja cada vez mais rápida na entrega de soluções;
otimize processos e estruturas; em resumo, encontre novas receitas para fazer mais com
menos. Carr (2004) considera um exagero e contesta o valor estratégico da TI, recomendando
2
Chief Information Officer
25
gastos mais modestos e pensamento mais pragmático, pois TI não seria mais um recurso
estratégico, e sim uma commodity.
Segundo Tapscott (1999), a TI é capaz de agregar valor ao negócio, reduzir custos,
otimizar processos, desenvolver vantagens competitivas e abrir novos mercados. No estágio
de integração às estratégias empresariais, em um ambiente complexo, o sucesso depende de
planejamento, de controle e da capacidade de utilizar os recursos de maneira inteligente.
2.2 Alinhamento estratégico entre negócios e TI
A obtenção de vantagens competitivas através da TI pressupõe o desenvolvimento de
estratégias de negócios como ponto de partida para as estratégias de TI. A tecnologia não
existe por si só, mas para oferecer suporte ao negócio.
A primeira metade do século passado caracterizou-se pelo crescimento continuado e
pela relativa estabilidade, minimizando-se a preocupação das organizações com estratégias.
Na segunda metade, as empresas e nações passaram por uma aceleração no processo de
mudanças. Forças da globalização impulsionaram um novo ambiente de negócios e uma nova
ordem geopolítica, exigindo das empresas uma nova organização, maior dinâmica dos
negócios e, por conseguinte, uso intensivo de TI (MENEZES; SILVA FILHO, 2003).
Na busca desesperada pela competitividade, decorrente do novo contexto que
passaram a vivenciar, muitas organizações têm investido maciçamente em tecnologia, sem
perceber que, na maioria dos casos, o fracasso empresarial se deve mais à falta de integração
do planejamento de tecnologia com o planejamento estratégico.
Para definir seu modelo tecnológico, a empresa deve definir claramente sua missão,
conhecer seu mercado, adequar sua estrutura organizacional, revisar os processos com foco no
cliente e proporcionar o desenvolvimento profissional dos seus funcionários, investindo em
treinamento para formar as habilidades necessárias para garantir o sucesso de suas estratégias.
26
A área de TI deve posicionar-se como suporte aos planos estratégicos e objetivos
organizacionais, com o objetivo de determinar a tecnologia que atenderá aos processos,
focados no cliente, dentro do segmento de mercado de atuação, utilizando a estrutura
organizacional adequada, por meio das pessoas que fazem a organização.
Ao analisar diversas abordagens de alinhamento estratégico entre negócios e TI,
Teixeira Júnior (2003) conclui que o alinhamento dos negócios e da TI é descrito não como
um fenômeno unidimensional, mas como um grande conjunto de múltiplos e simultâneos
componentes de alinhamento que resultam na adequação entre as prioridades e as atividades
da área de TI e das unidades de negócio.
O desconhecimento, pela alta administração, dos recursos da TI e do seu potencial
para alavancar oportunidades de negócios, e a deficiência na comunicação entre as equipes de
TI e as das unidades de negócio são fatores que inibem a utilização do potencial estratégico da
TI, acarretando o desalinhamento entre TI e negócios. Outros fatores igualmente relevantes
devem ser destacados: resistência às mudanças; baixa visão de oportunidades empresariais
com obtenção de vantagens competitivas e falta de instrumentos para mensurar os benefícios
dos recursos da TI (IT GOVERNANCE INSTITUTE, 2003).
O alinhamento estratégico entre TI e negócios é o objetivo fundamental da
Governança de TI. TI é responsável por universalizar a competência de negócios, criando
produtos e serviços que adicionem valor e transformando a organização (IT GOVERNANCE
INSTITUTE, 2003). Para o IT Governance, o alinhamento compreende mais que apenas a
integração de estratégias de TI e da organização; é uma jornada e não apenas um destino. A
Figura 2.1 mostra a interação envolvendo as estratégias e operações de TI e de negócio e as
atividades de alinhamento. As atividades de alinhamento envolvem a estratégia do Negócio e
de TI (futuro), as operações do Negócio e da TI (presente) e a forma como se relacionam.
27
Figura 2.1 – Alinhamento entre negócios e TI
Fonte: Adaptado de IT Governance Institute (2003, p.22)
Provedores de serviço precisam conhecer e compreender o funcionamento do negócio,
suas diretrizes e seus clientes. É de vital importância que os consumidores e usuários de
serviços de Sistemas de Informação entendam o seu funcionamento, suas capacidades e seus
provedores de serviços (OGC, 2004b).
O alinhamento entre a visão de TI e a visão do negócio agrega valor quando a TI está
apta para identificar o relacionamento entre a tecnologia e o processo de negócio que ela
suporta. Cada colaborador da cadeia de valor, incluindo clientes, provedores de serviços de TI
e fornecedores externos, precisa compreender o Sistema de Informação no mesmo contexto de
negócio, para criar uma verdadeira consolidação da visão do valor da TI (OGC, 2004b).
2.3 Governança corporativa
O atentado terrorista contra as Torres gêmeas (World Trade Center) em Nova Iorque,
em 11 de setembro de 2001, gerou tamanho impacto psicológico junto à população americana,
pelo prisma da segurança nacional, que seus reflexos na economia são conhecidos em todo o
mundo.
Estratégia Corporativa
Operação Corporativa
Estratégia de TI
Operação de TI
Atividades de alinhamento
28
Pela ótica da TI o incidente também produziu efeitos. Muito se tem falado sobre
disponibilidade de serviços e continuidade do negócio, desde que a TI passou a exercer papel
fundamental nos processos de negócio das empresas. Entretanto, jamais tal percepção havia
sido comprovada na prática com tamanha assertiva.
O episódio foi a comprovação factual de que a indisponibilidade de informações pode
comprometer a sobrevivência da empresa, tanto quanto estratégias incorretas ou fatores
ligados ao negócio. Desde então, a Gerência de Disponibilidade e um Plano de Continuidade
de Negócios passaram a fazer parte das principais prioridades dos executivos de TI. No Brasil,
32% dos executivos elegeram o tema como sua principal prioridade (IDC 2005a).
Esse fato e as conclusões relativas à continuidade do negócio e ao valor intrínseco da
informação seriam fatores que influenciariam substancialmente a publicação de lei nos
Estados Unidos, com conseqüências determinantes para a área de Tecnologia da Informação.
Naquele país, os fundos de aposentadoria e pensão detêm cerca de um quarto do valor
total das ações das companhias americanas, representando o maior bloco de acionistas
institucionais. Além disso, 95 milhões de norte-americanos – metade dos lares do país –
investiram pessoalmente em fundos mútuos, grande parte objetivando a aposentadoria.
Empresas que adotam boas práticas internacionais de Governança Corporativa
conseguem se financiar a uma taxa menor no mercado, gerando melhores resultados e,
conseqüentemente, maior retorno aos acionistas. Segundo Berton (2003), a valorização das
ações no mercado é influenciada positivamente pelo grau de segurança oferecido pelos
direitos concedidos aos acionistas e pela quantidade de informações disponibilizadas pelas
empresas.
Essas premissas dão origem à possibilidade de as empresas se financiarem a custos
mais baixos, a partir do lançamento de ações no mercado, bem como aos indivíduos, de
efetuarem programas de capitalização com vistas à aposentadoria. Trata-se de modelo mais
adequado à nova realidade, comparativamente, à aposentadoria pelo regime de capitalização.
A transparência envolve uma rede de interessados, reunindo pessoas que possuem
envolvimento financeiro ou pessoal com a organização: administradores, funcionários,
29
fornecedores e clientes. Tapscott e Ticoll (2005) os chamam de stakeholders, e definem
transparência como a acessibilidade dos stakeholders às informações institucionais referentes
a assuntos que afetem seus interesses.
Se, por um lado, empresas atingem uma valorização de suas ações através da
transparência, por outro lado, o ano 2002 foi marcado pelos escândalos contábeis da Enron e
da Worldcom. As fraudes contábeis produziam resultados fictícios, deixavam de declarar
créditos em liquidação, apropriavam receitas antecipadas e pagavam bônus aos
administradores por lucros irreais, tudo isso com a conivência de empresas de auditoria
independente.
Após o “11 de setembro” e os escândalos contábeis, em 2002, foi editada uma lei de
reforma corporativa para dar maior publicidade a informações e propiciar fiscalizações
preventivas pela SEC (Security and Exchange Comission), a comissão de valores mobiliários
dos Estados Unidos.
Para evitar a perda da confiança no mercado financeiro e o conseqüente esvaziamento
dos investimentos, em 30 de Junho de 2002, os senadores Paul Sarbanes (Democrata de
Maryland) e Michael Oxley (Republicano de Ohio) aprovaram a lei que carrega seus nomes.
O objetivo mor da Lei Sarbanes-Oxley é coibir a conduta antiética de administradores e
auditores, restaurando a confiabilidade das demonstrações contábeis e financeiras
(SARBANES-OXLEY ACT, 2002).
A Lei Sarbanes-Oxley apresenta um rol de responsabilidades e sanções tipificando
crimes de colarinho branco, em que agentes podem ser administradores e auditores, e proíbe
práticas contábeis que possam expor qualquer sociedade anônima a riscos sem
provisionamento prévio, bem como veda a concessão de empréstimos a membros de conselho
de administração e de diretoria.
Sob pena de responsabilidade civil e criminal, o presidente (CEO
3
) e o diretor
financeiro (CFO
4
) deverão assinar as demonstrações financeiras, certificando e atestando a
3
Chief Executive Officer
4
Chief Financial Officer
30
eficácia dos procedimentos e controles internos das companhias. As penas a que os
administradores ficam sujeitos podem atingir até vinte anos de detenção.
A Lei exige a criação de mecanismos de auditoria e segurança, incluindo a instalação
de comissões encarregadas de supervisionar as atividades e operações da empresa, de modo a
inibir a ocorrência de fraudes. Dentre essas normas, passaram a ser exigidas características de
confiabilidade e disponibilidade dos sistemas e aplicativos.
A Lei obriga as empresas que possuem capital aberto e ações negociadas na bolsa de
Nova Iorque a responder pelo que fazem com o dinheiro, não só internamente, mas também
em filiais localizadas em outros países, podendo estender a exigência até seus fornecedores.
A Lei Sarbanes-Oxley mudou fundamentalmente os negócios e o cenário regulatório.
No contexto da TI, torna-se claro que a natureza e as características do uso de tecnologia nas
organizações e seus Sistemas de Informação afetam os controles internos e os relatórios
financeiros (IT GOVERNANCE INSTITUTE, 2004b).
Em junho de 2002, a Comissão de Valores Mobiliários (CVM) publicou a cartilha
“Recomendações da CVM sobre Governança Corporativa”, que contém orientações relativas
a boas práticas de Governança Corporativa. Embora a cartilha não constitua norma cujo
descumprimento implique sanções, a adoção das práticas ali recomendadas significa a
utilização de padrões de conduta superiores aos exigidos pela lei e pela regulamentação da
própria CVM (CVM, 2002). Para a CVM:
Governança corporativa é o conjunto de práticas que tem por finalidade otimizar o
desempenho de uma companhia, ao proteger todas as partes interessadas, tais
como investidores, empregados e credores, facilitando o acesso ao capital. A
análise das práticas de governança corporativa aplicadas ao mercado de capitais
envolve principalmente: transparência, eqüidade de tratamento de acionistas e
prestação de contas.
A Bolsa de Valores de São Paulo – Bovespa - criou um novo segmento de mercado,
destinado à negociação de ações de empresas que voluntariamente se comprometerem a
31
adotar “boas práticas de Governança Corporativa”: o cumprimento de regras societárias que
ampliam os direitos dos acionistas melhora a qualidade das informações prestadas pelas
empresas e determina à resolução de conflitos por meio de uma câmara de arbitragem.
A resolução 2.829 do Conselho Monetário Nacional (CMN) estabelece três níveis
distintos de boa Governança Corporativa: os níveis 1, 2 e o novo mercado. O nível 1
estabelece elevados padrões de transparência. O nível 2 implica a adoção de normas de
Governança Corporativa que incluem: utilização de critérios norte-americanos nas
demonstrações contábeis, renovação anual do conselho de administração, e direito de voto aos
detentores de ações preferenciais. O novo mercado é a consolidação do modelo de
Governança Corporativa.
As instituições financeiras nacionais se obrigam a cumprir as diretrizes do Comitê de
Supervisão Bancária da Basiléia (BIS, 2004). O comitê, que supervisiona a atividade
bancária, foi estabelecido pelos presidentes dos bancos centrais do “Grupo dos Dez” em 1975.
Ele consiste de representantes seniores das autoridades de supervisão bancária e dos bancos
centrais da Alemanha, Bélgica, Espanha, Estados Unidos, França, Holanda, Itália, Japão,
Luxemburgo, Reino Unido, Suécia e Suíça.
Além da administração das atividades bancárias, também são abordadas questões
relativas a riscos operacionais e transparência. Para cada área de risco, os bancos devem
descrever seus objetivos e políticas de administração de risco, compreendendo:
• as estratégias e os processos;
• a estrutura e a organização da função de administração de riscos pertinentes;
• o escopo e a natureza dos relatórios e/ou sistemas de mensuração de risco; e
• políticas para atividades de hedging e/ou diminuição de riscos e estratégias
para monitorar sua contínua eficácia.
32
Espera-se que a Governança Corporativa assegure a observância de critérios que
garantam a proteção financeira dos acionistas, como eqüidade entre controladores e
minoritários, transparência (disclosure), responsabilidade pelos resultados (accountability) e
obediência às leis do país (compliance). A Governança Corporativa diz respeito aos sistemas
de controle e monitoramento estabelecidos pelos acionistas controladores da organização, de
tal modo que os administradores tomam as decisões sobre alocação de recursos de acordo
com o interesse dos proprietários (MAGALHÃES FILHO; MENDES-DA-SILVA, 2005).
2.4 Governança de TI
A expressão IT Governance é definida como uma estrutura de relações e processos
que dirige e controla uma organização a fim de atingir seu objetivo de adicionar valor ao
negócio por meio do gerenciamento balanceado do risco com o retorno do investimento. O
objetivo principal da Governança de TI é alinhar a TI ao negócio, agregando valor e
minimizando riscos (IT GOVERNANCE INSTITUTE, 2005).
Um modelo de Governança de TI possibilita: controlar – medir e auditar – a execução
e a qualidade dos serviços; acompanhar contratos internos e externos; e criar condições para o
eficaz exercício da gestão de TI, com base em conceitos consolidados de qualidade. Enquanto
a Gestão de TI possui uma orientação interna e focada no presente, a Governança de TI é
orientada para o negócio, com foco no futuro. Broadbent (2005) ensina que a chave para a
efetividade da Governança de TI é sua orientação para o negócio.
De acordo com Vanni (2005) Governança de TI é uma capacidade organizacional
exercida por um comitê, pela gerência executiva e pela gerência de TI, para definir e
implementar a estratégia de TI com o objetivo de alinhar TI com o negócio, agregando valor e
minimizando riscos.
A Governança de TI descreve a forma como a administração da organização considera
e emprega a TI para atingir os objetivos estabelecidos em planejamentos estratégicos da
organização (BROADBENT, 2002).
33
O propósito da Governança de TI é atingir os seguintes objetivos:
• alinhar a estratégia de TI com o negócio;
• usar a TI eficientemente, para explorar novas oportunidades e maximizar
benefícios para a empresa, medindo o desempenho da TI e ajustando suas
ações, quando necessário;
• usar recursos da TI de forma eficaz, garantindo uma boa relação
custo/benefício; e
• assegurar adequado tratamento aos riscos originários da TI.
A Figura 2.2 mostra um modelo de melhoria de processos, em que se identifica até
onde se pretende chegar; onde a organização se encontra; que ações devem ser adotadas para
atingir o alvo; e como determinar se o objetivo foi atingido, sugerindo frameworks para cada
uma dessas atividades.
Figura 2.2 – Modelo de melhoria de processos
Fonte: Adaptado de OGC (2004e, p.18)
34
Há organizações que possuem uma grande variedade de iniciativas voltadas para a
solução de problemas de Gestão de TI nas diversas áreas, como, por exemplo: ISO 9000-
1994/2000 (Quality Management Systems), ISO 17799 (Data Security Standard), DBI-
PROBE (Competitive Benchmarking), ITIL® (IT Infrastructure Library), PMI (Project
Management Institute), PRINCE2 (Projects IN Controlled Environments), EFQM (Business
Excellence Model), IIP (Investors in People), MOF (Microsoft Operations Framework), BSC
(Balanced ScoreCard) e ASL (Applications Services Library) (BRODBECK, 2005).
Freqüentemente tais iniciativas não estão organizadas na forma de um planejamento
global, nem alinhadas com a estratégia do negócio, pois decorrem de medidas obrigatórias
inseridas em um cenário regulatório imposto por autoridades governamentais americanas ou
britânicas e que se iniciam no Brasil neste momento, primeiramente como recomendações, ou
ainda decorrentes da necessidade de se estabelecer relações comerciais com o mercado norte-
americano e europeu.
No segundo semestre de 2004 na pesquisa CIO Metrics (IDC, 2005) possibilitou
constatar, com relação ao conhecimento profissional dos executivos de TI, que:
a) mais de 50% não conhecem ou não têm planos para implementação de
Governança de TI;
b) mais de 95% não conhecem COSO;
c) mais de 85% não conhecem CobiT®; e
d) mais de 80% não conhecem ITIL®.
Em 2005, a pesquisa realizada pelo IDC no IT Fórum 2005 com os executivos de TI
das maiores empresas brasileiras (IDC, 2005a) levou à constatação de que, para 44% dos
entrevistados, a maior prioridade da área de TI no ano de 2005 era “Alinhar TI ao
negócio/Governança de TI”.
A análise combinada das duas pesquisas enseja dois pontos de discussão:
35
a) reforça a idéia de que as áreas de TI não possuem um planejamento global de
tecnologia alinhado às necessidades do negócio, mas, tão-somente, uma variedade
de iniciativas voltadas para a solução de problemas pontuais de TI; e
b) os executivos de TI tiveram que se inteirar com muita rapidez sobre os requisitos e
ou demandas de conformidade, decorrentes do acordo de Basiléia II, da cartilha de
recomendações da CVM e, ainda, da possibilidade de extensão da Lei Sarbanes-
Oxley a fornecedores de empresas americanas.
Os dois pontos são oriundos de uma aparente contradição: 44% dos CIOs consideram
sua maior prioridade em 2005 “Alinhar TI ao negócio/Governança de TI”; entretanto, 80%
deles não conhecem ITIL®, e 85% não conhecem CobiT® (IDC, 2005 e 2005a).
Os gestores de TI têm consciência de que precisam fazer algo, mas não sabem
exatamente o quê, ou tomaram conhecimento de tais necessidades e redirecionaram suas
prioridades para o período de 2005 em um curto espaço de tempo, compreendido entre as
datas das duas pesquisas.
CAPÍTULO 3
GOVERNANÇA DE TI: MELHORES PRÁTICAS, AUDITORIA
E MÉTRICAS DE AVALIAÇÃO
O presente capítulo apresenta uma revisão da literatura técnica, descrevendo um guia
de melhores práticas (ITIL®), um framework para auditoria do nível de maturidade dos
processos envolvidos na Governança de TI (CobiT®) e métricas para planejamento e
acompanhamento da evolução do nível de maturidade de Governança (IT Governance
Maturity Model e IT BSC).
3.1 Information Technology Infrastructure Library
–
ITIL
®
ITIL®, Biblioteca de Infra-estrutura de TI, é uma estrutura de padrões e melhores
práticas para gerenciar os serviços e a infra-estrutura de TI. É a abordagem mundialmente
mais difundida e adotada para o Gerenciamento de serviços de TI (Service Management)
(OGC, 2005).
Foi elaborada pela CCTA (Central Computer and Telecommunications Agency) em
1980 e transferida para o OGC (Office of Government Commerce), do governo britânico.
Inicialmente, era constituído de dez livros principais e trinta publicações complementares. Em
2002 foi revisado e reorganizado.
ITIL® é a mais abrangente e respeitada fonte de informações sobre processos de TI.
Constitui-se de uma descrição coerente e integrada de melhores práticas de Gerenciamento de
Serviços de TI.
37
Compreende cinco perspectivas: negócio, gerência da infra-estrutura, gerência das
aplicações, entrega de serviços de TI e suporte aos serviços de TI (OGC, 2004a).
ITIL® é composto pelas seguintes publicações:
• Best practice for Planning to Implement Service Management;
• Best practice for Service Support;
• Best practice for Service Delivery;
• Best practice for Security Management;
• Best practice for ICT Infrastructure Management;
• Best practice for Application Management;
• Best practice for Software Asset Management; e
• Best practice for The Business Perspective.
A Figura 3.1 mostra as disciplinas do ITIL®, cobertas pelas publicações listadas
acima.
Figura 3.1 – ITIL® framework
Fonte: OGC (2005b, p. 4)
Um resumo dos objetivos das disciplinas do ITIL® é apresentado nos subitens
subseqüentes.
38
3.1.1 Gestão de serviços de TI
A gestão de serviços de TI (Service Management) visa à melhoria na qualidade dos
serviços de TI e, conseqüentemente, no suporte aos processos de negócio. Para ser capaz de
entregar o que o cliente deseja, a TI deve observar: a especificação, a conformidade, a
consistência, o valor e a comunicação. A especificação detalha a solução de TI, determinando
e clarificando o serviço. A conformidade garante que o serviço esteja de acordo com o que foi
especificado. A consistência visa à regularidade na entrega do serviço. O valor remunera a um
preço justo o produto ou o serviço fornecido. Os clientes desejam ainda ser comunicados
sobre qualquer fato relevante relacionado ao serviço, bem como dispor de canais de
comunicação eficazes, caso enfrentem algum problema ou necessitem de assistência. A gestão
dos serviços também é suportada pelas normas BS 15000-1:2002 e BS 15000-2:2003.
A elaboração do catálogo de serviços é fundamental na gestão dos serviços de TI. O
catálogo especifica todos os serviços fornecidos pela área de TI e o nível de cada serviço. É a
base para elaboração dos Acordos de Níveis de Serviços e para implantação da Gestão de
Incidentes. A Gestão de Incidentes, por sua vez, é a base para implantação de várias
disciplinas do ITIL® (OGC, 2005a).
A Central de Serviços (Service Desk) é responsável pelo atendimento a usuários,
clientes e pessoal interno, atuando como primeiro ponto de contato do departamento de TI
com seus clientes e usuários. É responsável também pelo registro de todos os eventos, geração
de relatórios de controle, monitoramento do atendimento e produção de informações
gerenciais capazes de contribuir para o processo de melhoria contínua do atendimento.
A Gestão de Serviços de TI (IT Service Management - ITSM) é composto pelas
disciplinas de Suporte aos Serviços (Service Support) e Entrega de Serviços (Service
Delivery).
39
3.1.2 Suporte aos serviços
Os processos relacionados com o Suporte aos Serviços (Service Support) são,
conforme mostrado na Figura 3.2: Gestão de Incidentes, Gestão de Problemas, Gerência de
Configuração, Gerência de Liberações e Gerência de Mudanças.
Figura 3.2 – Suporte aos serviços
Fonte: Adaptado de OGC (2004e, p. 6)
Gestão de Incidentes – Um incidente é um evento que não faz parte da operação
normal, reduzindo a qualidade ou suspendendo a entrega do serviço. O objetivo da Gestão de
Incidentes é restaurar a operação normal de um serviço no menor período de tempo possível,
a fim de minimizar os aspectos negativos sobre a operação dos negócios e os melhores níveis
de qualidade e disponibilidade. Trata do efeito, e não da causa.
Gestão de Problemas – O objetivo da Gestão de Problemas é minimizar o impacto de
incidentes sobre a capacidade de negócios de uma organização, causados por falhas na infra-
estrutura, e prevenir a recorrência de incidentes. Dá-se através da investigação, diagnóstico e
solução de cada problema. Busca a causa-raiz dos incidentes.
Gestão de Configuração – Tem por objetivo assegurar que somente componentes
autorizados, ou seja, itens de configuração, como software, hardware, documentos, processos
e procedimentos sejam utilizados no ambiente de TI, e que todas as mudanças nesses
componentes sejam gravadas e rastreadas durante todo o ciclo de vida de cada um. Objetiva
ainda garantir a comunicação entre todas as disciplinas da Gestão de Serviços, por meio do
Banco de Dados de Gerência de Configurações (CMDB).
Suporte aos Serviços
Gerência de
Problemas
Gerência de
Configuração
Gerência de
Liberações
Gerência de
Mudanças
Gerência de
Incidentes
40
Gerência de Liberações – Tem os seguintes principais objetivos: coordenar e gerenciar
implantação de releases no ambiente em operação; desenhar procedimentos eficientes para
distribuição e implantação de mudanças no ambiente de TI; planejar, construir, testar e
implantar mudanças; comunicar e gerenciar as expectativas dos clientes durante o
planejamento e a implantação de mudanças. Mantém o banco de dados de configurações
atualizado. Implanta releases de forma controlada e segura, garantindo segurança e
rastreabilidade.
Gestão de Mudanças – O objetivo da Gestão de Mudanças é garantir a aplicação de
métodos e procedimentos padronizados, para lidar eficientemente com todas as mudanças no
ambiente computacional, minimizando impactos na qualidade dos serviços ocasionados por
incidentes relacionados a esses eventos. Todas as partes afetadas por uma mudança devem ter
a oportunidade de acompanhá-la e entender seus impactos.
3.1.3 Entrega de serviços
Os processos relacionados com a Entrega de Serviços (Service Delivery)
compreendem, conforme mostrado na Figura 3.3: Gerência de Nível de Serviço, Gerência de
Capacidade, Gerência de Disponibilidade, Gerência Financeira e Gerência de Continuidade.
Figura 3.3 – Entrega de serviços
Fonte: Adaptado de OGC (2005c, p. 6)
Gerência de Nível de Serviço – Tem por objetivo definir, monitorar e controlar os
Acordos de Nível de Serviço (Service Level Agreements). SLA é um acordo formal, realizado
entre a área de TI e seus clientes, no qual são definidas as metas objetivas de desempenho e as
Entrega de Serviços
Gerência de
Capacidade
Availability
Management
Gerência
Financeira
Gerência de
Continuidade
Gerência de
Nível de
Serviço
Gerência de
Disponibilidade
41
responsabilidades das partes. Possibilita ao departamento de TI entregar exatamente o que foi
solicitado pelo cliente, além de garantir que os serviços são reconhecidos como benéficos para
a organização.
Gerência de Capacidade – Planeja, justifica e gerencia níveis apropriados de recursos
necessários para soluções específicas de TI, evitando a falta ou o excesso de recursos.
Responde por atividades de ajuste para otimizar o uso dos recursos disponíveis. Atua no
gerenciamento da capacidade de negócios, serviços e recursos.
Gerência de Disponibilidade – Este processo é responsável pela racionalização da
capacidade da infra-estrutura e da organização do suporte, para que possa entregar os serviços
de TI a um custo compatível com os níveis de disponibilidade necessários para a satisfação
dos requisitos do negócio, dentro das especificações dos Acordos de Níveis de Serviços.
Realiza o projeto, implantação, medição e gerenciamento da disponibilidade da infra-estrutura
de TI.
Gerência Financeira – Realiza a gestão dos recursos financeiros da área de TI. A
Gerência Financeira deve otimizar os recursos financeiros, contabilizar as despesas de forma a
apropriar os custos de TI de acordo com os serviços prestados, e apoiar decisões de
investimentos em TI. Cobre orçamento (previsão das despesas e investimentos), contabilidade
(registro) e cobrança (apropriação por centros de custos).
Gerência de Continuidade – Garante que qualquer serviço de TI é capaz de prover
valor para seus clientes e usuários, mesmo em situações em que falharem as soluções normais
de disponibilidade. A Gerência de Continuidade deve suportar o planejamento de
continuidade dos negócios, garantindo que todos os recursos e serviços de TI possam ser
recuperados no tempo combinado. Avalia impactos, riscos e ameaças. Administra ações
preventivas e corretivas.
42
3.1.4 Gestão da Infra-estrutura da TI e da Comunicação
O gerenciamento pró-ativo da Infra-estrutura da TI e da Comunicação (ICT –
Information and Comunication Technology) é o foco dessa disciplina. O crescente grau de
dependência do negócio em relação à tecnologia, a crescente complexidade do ambiente, as
necessidades de flexibilidade e satisfação do cliente, as restrições de investimentos e os
reduzidos ciclos de vida de produtos compõem os desafios do gerenciamento (OGC, 2004c).
A Figura 3.4 mostra a evolução da complexidade da infra-estrutura de TI dos anos
1970 até os dias atuais: computação monolítica, redes locais, redes distribuídas e serviços
distribuídos.
Figura 3.4 – Desenvolvimento do gerenciamento da ICT
Fonte: OGC (2004c, p. 3)
O escopo do gerenciamento da infra-estrutura de ICT engloba o desenho, o
planejamento, a implantação, a operação e o suporte técnico. Essa disciplina se relaciona com
as disciplinas entrega dos serviços e suporte ao serviço.
43
3.1.5 Gestão da segurança
A Gestão da Segurança (Security Management) tem como propósito garantir a
segurança do negócio e limitar os danos através da prevenção, minimizando o impacto dos
incidentes de segurança da informação. A Gestão de Segurança adota a BS 7799-1:1999 como
referência de melhores práticas a serem adotadas. Referências podem ser obtidas também na
norma ISO/IEC 17799:2000
5
e em sua equivalente nacional, a ABNT NBR ISO/IEC 17799.
A informação é um ativo que tem valor para a organização e deve ser protegido contra
ameaças, para garantir a continuidade dos negócios e minimizar danos. A segurança preserva
o valor da informação sobre os seguintes aspectos: confidencialidade, integridade e
disponibilidade. A confidencialidade protege informações importantes de uso ou
interceptação não autorizados, garantindo que estarão acessíveis somente a pessoas
autorizadas. A integridade salvaguarda a exatidão e a completude da informação e do
software. A disponibilidade assegura que a informação e os serviços de TI estejam
disponíveis quando necessário (OGC, 2004d).
As organizações, os sistemas de informação e as redes de computadores são colocados
à prova por ameaças à segurança da informação oriundas de várias fontes: fraudes eletrônicas,
espionagem, sabotagem, vandalismo, fogo e inundação. Problemas causados por vírus,
hackers
6
e ataques de denial of service
7
tornam-se a cada dia mais comuns, ambiciosos e
incrivelmente sofisticados. Tais vulnerabilidades agravam-se com a computação distribuída,
interconexão de redes públicas e privadas e compartilhamento de recursos.
É essencial que uma organização identifique os seus requisitos de segurança. Existem
três fontes principais:
• aquela derivada da avaliação de risco dos ativos da organização, identificando-
se as ameaças aos ativos, as vulnerabilidades, a probabilidade de ocorrência e o
impacto potencial;
5
Information Technology – Code of practice for information security management
6
Especialista em informática que acessa sistemas ilegalmente
7
Tipo de ataque que provoca a paralisação dos serviços computacionais
44
• a legislação vigente, os estatutos, a regulamentação e as cláusulas contratuais
que a organização, seus parceiros, contratados e prestadores de serviço devem
atender; e
• o conjunto particular de princípios, objetivos e requisitos para o processamento
da informação que uma organização precisa desenvolver para apoiar suas
operações.
A ISO/IEC 17799:2000 e sua equivalente nacional, a NBR ISO/IEC 17799, são
compostas pelos seguintes módulos:
• Política de segurança – O objetivo é prover à direção uma orientação e apoio para a
segurança da informação. A política de segurança deve ser aprovada pela direção,
publicada e comunicada de forma adequada a todos os funcionários. Deve contemplar
a conformidade com a legislação e as cláusulas contratuais, os requisitos de educação
de segurança, a prevenção e a detecção de vírus e software maliciosos, a gestão de
continuidade do negócio e as conseqüências das violações na política de segurança da
informação;
• Segurança organizacional – Consiste no estabelecimento de uma estrutura de
gerenciamento para iniciar e controlar a implementação da segurança da informação
dentro da organização. Fóruns apropriados de gerenciamento, com liderança da
direção, devem ser estabelecidos para aprovar a política de segurança da informação,
atribuir as funções da segurança e coordenar a implementação através da organização;
• Classificação e controle dos ativos de informação – Os ativos da organização devem
ser inventariados e confiados a comodatários, assegurando-se que cada ativo possua
um responsável. As informações devem ser classificadas para indicar a importância, a
prioridade e o nível de proteção. Alguns itens podem requerer um nível adicional de
proteção ou tratamento especial;
• Segurança em pessoas – Objetiva reduzir riscos de erro, roubo, fraude ou uso indevido
das instalações. Responsabilidades de segurança devem ser atribuídas na fase de
45
recrutamento, incluídas em contratos e monitoradas durante a vigência de cada
contrato de trabalho. Funcionários e prestadores de serviço com acesso a informações
e instalações de informática devem assinar acordo de sigilo. Os usuários devem estar
cientes das ameaças e preocupações de segurança da informação, e estar preparados
para apoiar a política de segurança da informação, minimizando-se riscos. A resposta
aos incidentes de segurança e mau funcionamento visa minimizar os danos, monitorá-
los e aprender com tais incidentes. Incidentes que afetam a segurança devem ser
reportados por meio dos canais apropriados, o mais rapidamente possível;
• Segurança física e do ambiente – Visa prevenir o acesso não autorizado, danos e
interferência às informações e instalações físicas da organização; prevenir perda, dano
ou comprometimento dos ativos e a interrupção das atividades do negócio por meio da
segurança dos equipamentos; e implantar controles para evitar a exposição e o roubo
de informações e recursos de processamento de informação;
• Gerenciamento das operações e comunicações – Se dá por meio do planejamento e
prevenção para garantir adequada disponibilidade de capacidade e recursos,
minimizando-se o risco de falhas nos sistemas. Adota precauções para prevenir e
detectar a infiltração de softwares maliciosos, tais como vírus de computador, a
exemplo de cavalos de tróia e outros;
• Controle de acesso – Consiste em controlar o acesso à informação, prevenir acessos
internos ou externos não autorizados, controlar o acesso aos serviços de rede internos
e externos. Mecanismos especiais devem ser desenvolvidos para controlar acessos
privilegiados, tais como administradores de sistema e de banco de dados. Requer o
desenvolvimento de recursos de sistema para prevenir acessos não autorizados às
aplicações e controlar acessos autorizados;
• Desenvolvimento e manutenção de sistemas – Preocupa-se em garantir que a
segurança seja parte integrante dos Sistemas de Informação. Identifica e implementa
requisitos de segurança e contingência, em articulação com os arquitetos de sistemas,
antes do desenvolvimento das aplicações; previne perda, modificação ou uso
46
impróprio de dados dos usuários nos sistemas aplicativos; e implanta criptografia para
proteger confidencialidade, autenticidade e integridade das informações;
• Gestão da continuidade do negócio – Visa à redução, para um nível aceitável, da
freqüência de interrupções causadas por desastres ou falhas de segurança, por meio da
combinação de ações de prevenção e recuperação. Planos de contingência devem ser
desenvolvidos e implantados para garantir que os processos do negócio sejam
recuperados dentro da escala de tempo requerida. Os planos devem receber
manutenção periódica e ser testados regularmente, tornando-se parte integrante dos
processos gerenciais. Controles devem ser desenvolvidos para identificar e reduzir
riscos, limitando-se as conseqüências dos danos decorrentes de incidentes e
garantindo-se a tempestiva recuperação das operações vitais; e
• Conformidade – Deve-se evitar a violação de leis civis, criminais, estatutos,
regulamentações, obrigações contratuais e quaisquer requisitos de segurança. Deve ser
efetuada uma análise crítica da política de segurança e da conformidade técnica,
mediante auditagem que assegure a conformidade com as normas implantadas.
O ITIL® é eficiente na descrição de como implantar as melhores práticas em processos
de TI, mas limitado em métricas e auditoria. Uma característica do modelo é sua flexibilidade,
pois a recomendação principal é: “adote e adapte”.
3.1.6 ITIL® e o ciclo de Deming
A implementação das disciplinas do ITIL® prevê um processo de melhoria contínua,
partindo de um assessment, o entendimento da situação atual (OGC, 2004f), e um plano de
ação baseado em melhores práticas. O ciclo de melhoria contínua baseia-se no PDCA (Plan –
Do – Check – Act) de Deming, conhecido como o pai da qualidade.
O método, palavra de origem grega que significa meta (além) e hodos (caminho), é o
caminho que o pensamento segue para avançar, ir além, melhorar. Mais do que conhecer o
47
significado do PDCA de Deming, é preciso praticá-lo como instrumento diário no trabalho.
Mais do que educação, é necessário disciplina para se obter resultados com o método.
Segundo o professor Vladenir Menezes (MENEZES, 1997) aí reside a grande
dificuldade das empresas brasileiras, pois nossos executivos já conhecem e dominam as
técnicas da gerência da qualidade. Pareto, Ishikawa, Deming, Victor Mirshawka, Teboul e
Falconi já foram lidos, interpretados e analisados. Entretanto o brasileiro é reconhecidamente
inteligente, mas indisciplinado, improvisador e adepto do “jeitinho” para conseguir as coisas
sem despender o esforço correspondente.
Figura 3.5 – Ciclo de Deming e o nível de maturidade no tempo
Fonte: Adaptado de Menezes (1997, p. 203)
A implementação das melhores práticas em cada uma das disciplinas do ITIL® requer
um processo de melhoria contínua para avançar nos níveis de maturidade e atingir o estágio
otimizado. A relação entre o ciclo de Deming e o nível de maturidade é demonstrada na
Figura 3.5.
Nível de
maturidade
Planejar Desenvolver
Controlar Ajustar
48
3.2 Control Objectives for Information and related Technology
–
COBIT
®
CobiT®, Objetivos de Controle para Informação e Tecnologia Relacionada, é um
framework para a gestão de TI recomendado pelo ISACF (Information Systems Audit and
Control Foundation) (ISACA, 1999). A primeira publicação do CobiT® remonta a abril de
1996, enfocando o controle e análise de Sistemas de Informação. Em 1998 a segunda edição
adicionou o guia prático de implantação e execução. A edição atual é coordenada pelo IT
Governance Institute e contém recomendações de gerenciamento de ambientes de TI em
consonância com o modelo de maturidade de Governança.
O CobiT® fornece um detalhado conjunto de procedimentos e diretrizes que devem
ser aplicados na auditoria dos processos de TI, bem como uma avaliação dos riscos e
probabilidades de sua ocorrência (ISACA, 2005).
As práticas de gestão do CobiT® auxiliam a otimizar os investimentos em TI, e
fornecem métricas para avaliação dos resultados, por meio de um conjunto de recursos,
compreendendo um sumário executivo, um framework, controle de objetivos, mapas de
auditoria, um conjunto de ferramentas de implantação e um guia com técnicas de
gerenciamento (IT GOVERNANCE INSTITUTE, 2005).
A Figura 3.6 sugere modelos para atender aos requisitos do CobiT®. As cores
apresentadas na legenda indicam o framework que deve ser aplicado para cada processo.
49
Figura 3.6 – Framework para implementação dos processos CobiT®
Fonte: Adaptado de Monteiro (2005, p. 130)
O CobiT® é orientado ao negócio da empresa, fornecendo informações detalhadas
para gerenciar processos apoiados em objetivos de negócio. Os gerentes devem avaliar o risco
e administrar os investimentos em TI. Os usuários precisam de garantias de nível de serviço
de TI, das quais dependem os produtos e serviços entregues aos clientes internos e externos.
Os auditores avaliam o nível de gestão de TI apoiados nas recomendações do CobiT® e
sugerem a adoção de novas práticas.
O CobiT® está distribuído em quatro domínios:
• Planejamento e organização – Cobre o uso da tecnologia e o modo como esta
pode ser melhor utilizada na organização para que os objetivos e metas sejam
atingidos. Também destaca a organização e a forma como a infra-estrutura de
TI está preparada para otimizar resultados e gerar maiores benefícios do uso de
TI;
50
• Aquisição e implementação – Endereça a estratégia da empresa na
identificação de requerimentos de TI, na aquisição de tecnologia e na
implementação dentro dos processos de negócio;
• Entrega e suporte – Foca nos aspectos da entrega da TI. Cobre áreas como
execução de aplicações de sistemas de TI e seus resultados, bem como os
processos de suporte que habilitam a execução desses sistemas com efetividade
e eficiência. Os processos de suporte incluem objetivos de segurança e
treinamento; e
• Monitoramento – Alinha com a estratégia da empresa, avaliando se as
necessidades do negócio são atingidas com os sistemas de TI e se os objetivos
de controle necessários cobrem os requerimentos regulatórios. Cobre também
os objetivos de efetividade e disponibilidade, a auditoria e os objetivos de
controles internos e externos.
O CobiT® avalia o grau de confiança, qualidade e segurança adequados para as
necessidades das corporações, provendo sete critérios de informação que podem ser
empregados para definir genericamente o que os negócios requerem da TI: efetividade,
eficiência, confidencialidade, integridade, disponibilidade, conformidade e confiabilidade.
A Figura 3.7 mostra o inter-relacionamento dos objetivos de negócio com a
Governança de TI e com cada um dos domínios do CobiT®.
51
Figura 3.7 – Domínios do CobiT®
Fonte: Adaptado de IT GOVERNANCE INSTITUTE (2004a, p. 12)
Os domínios estão subdivididos em processos, que garantem a completude da gestão
de TI, conforme descritos a seguir.
Domínio planejamento e organização (PO
8
):
• Define a estratégia de TI – Clarifica e formaliza, por meio de um plano
estratégico, até onde a organização pretende chegar, vinculando as diretrizes de
TI às necessidades do negócio;
• Define a arquitetura da informação – Descreve como a organização dos
Sistemas de Informação é suportada pela manutenção de um modelo de
informações de negócio e pela garantia de que os sistemas são apropriados e
estão definidos para otimizar o uso de informações;
8
Planning & Organization
52
• Determina a direção tecnológica – Visão de futuro de tecnologia e adesão à
padrões;
• Define a organização de TI e seus relacionamentos – Estabelece a estrutura da
área de TI, plano de carreira, cargos com seus papéis e os relacionamentos com
as outras áreas da organização;
• Gerencia os investimentos de TI – Avalia o retorno dos investimentos,
contabiliza o custeio e investimentos, e apropria por centro de custos;
• Gerencia a comunicação das diretrizes de TI – Desenvolve e implanta planos
de comunicação que visam disseminar o conhecimento das estratégias de TI
em toda a organização;
• Gerencia os recursos humanos – Cuida do recrutamento, contratação e
capacitação da equipe em relação ao negócio e às tecnologias que compõem a
diretriz tecnológica;
• Assegura alinhamento de TI com os requerimentos externos – Observa o grau
de adesão entre os regulamentos externos e as necessidades explícitas das áreas
de negócio em relação ao planejamento e às ações da área de TI;
• Avalia os riscos – Analisa ameaças, impactos no negócio e vulnerabilidades da
informação e das instalações, bem como a probabilidade de ocorrência;
• Gerencia os projetos – Administra os projetos de TI observando modelos e
melhores práticas de mercado; e
• Gerencia a qualidade – Observa a qualidade da entrega dos softwares e a
utilização de modelos.
53
Domínio aquisição e implementação (AI
9
):
• Identifica as soluções de automação – Analisa as necessidades de automação
dos processos de negócio;
• Adquire os softwares e provê sua manutenção – Define e aplica modelos de
avaliação para a contratação de softwares;
• Adquire a infra-estrutura tecnológica e provê sua manutenção – Define
modelos de avaliação para contratação de equipamentos e serviços de infra-
estrutura;
• Desenvolve os procedimentos e provê sua manutenção – Cuida da construção
de descrições formais dos processos da área de TI;
• Instala e certifica softwares – Cuida da instalação dos softwares em ambiente
de homologação e dos testes de certificação que possibilitam a liberação para o
ambiente de produção; e
• Gerencia mudanças – Avalia e aprova mudanças no ambiente de TI, tanto em
equipamentos e arquitetura como em sistemas e processos.
Domínio entrega e suporte (DS
10
):
• Define os acordos de níveis de serviço (SLA) e provê sua manutenção –
Formaliza os níveis de atendimento e solução requeridos pela área de TI dos
seus fornecedores e das áreas de negócio em relação à área de TI;
• Gerencia os serviços de terceiros – Acompanha e avalia os serviços
contratados;
9
Acquisition and Implementation
10
Delivery and Support
54
• Gerencia a performance e a capacidade do ambiente – Define os recursos
computacionais e garante que não haja escassez de recursos, nem tampouco
subutilização, evitando problemas de desempenho nas aplicações ou
desperdício de investimentos;
• Assegura a continuidade de serviços – Implanta arquiteturas computacionais de
alta disponibilidade, que visam à manutenção dos sistemas e processos
operacionais, reduzindo-se o impacto da indisponibilidade sobre o negócio;
• Assegura a segurança dos serviços – Visa à preservação da confidencialidade,
da integridade e da disponibilidade, garantindo que somente pessoas
autorizadas possam acessar a informação, à exatidão e à completeza da
informação, e que, quando necessário, a informação estará disponível;
• Identifica e aloca custos – Aloca corretamente as despesas e investimentos de
TI nos devidos centros de custos;
• Treina os usuários;
• Assiste e aconselha os clientes – Observa a atuação pró-ativa da área de TI em
relação aos seus clientes internos;
• Gerencia a configuração – Provê a manutenção do banco de dados de
configuração de hardware e software;
• Gerencia problemas e incidentes – Registra e acompanha todos os incidentes
no ambiente de sistemas. Incidente é um evento não previsto que impede ou
atrapalha a realização do serviço;
• Gerencia os dados – Define o modelo de dados e o ciclo de vida da
informação, especificando prazos para manutenção da informação de acordo
com os requisitos do negócio e a legislação pertinente;
55
• Gerencia a infra-estrutura – Administra, desenha e planeja, fornece suporte
técnico, desenvolvimento e operação, focados nos desafios da infra-estrutura
de TI; e
• Gerencia as operações – Administra o funcionamento das operações de TI.
Domínio Monitoramento (M
11
):
• Monitora os processos – Acompanha os processos de negócio, incluindo
sistemas, tecnologia e pessoas, e avalia sua adequação aos requerimentos do
negócio;
• Analisa a adequação dos controles internos;
• Provê auditorias independentes; e
• Provê segurança independente.
A Figura 3.8 mostra os requisitos do negócio para cada um dos 34 processos do
CobiT® e sua aplicabilidade (√) para pessoas, aplicações, tecnologia, infra-estrutura e dados.
11
Monitoring
56
Domínios
Processos
Efetividade
Eficiência
Confidencialidade
Integridade
Disponibilidade
Conformidade
Confiabilidade
Pessoas
Aplicações
Tecnologia
Infra-estrutura
Dados
PO1
Define a estratégia de TI P S √ √ √ √ √
PO2
Define a arquitetura da informação P S S S √ √
PO3
Determina a direção tecnológica P S √ √
PO4
Define a organização de TI e seus relacionamentos P S √
PO5
Gerencia os investimentos de TI P P S √ √ √ √
PO6
Gerencia as comunicações das diretrizes de TI P S √
PO7
Gerencia os recursos humanos P P √
PO8
Assegura alinhamento de TI com requerimentos externos P P S √ √ √
PO9
Avalia os riscos P S P P P S S √ √ √ √ √
PO10
Gerencia os projetos P P √ √ √ √
PO11
Gerencia a qualidade P P P S √ √ √ √
AI1
Identifica as soluções de automação P S √ √ √
AI2
Adquire e mantém os softwares P P S S S √
AI3
Adquire a mantém a infra-estrutura tecnológica P P S √
AI4
Desevolve e mantém os procedimentos P P S S S √ √ √ √
AI5
Instala e certifica os softwares P S S √ √ √ √ √
AI6
Gerencia mudanças P P P P S √ √ √ √ √
DS1
Define e mantém os acordos de nível de serviço P P S S S S S √ √ √ √ √
DS2
Gerencia os serviços de terceiros P P S S S S S √ √ √ √ √
DS3
Gerencia a performance e a capacidade do ambiente P P S √ √ √
DS4
Assegura a continuidade de serviços P S P √ √ √ √ √
DS5
Assegura a segurança dos serviços P P S S S √ √ √ √ √
DS6
Identifica e aloca custos P P √ √ √ √ √
DS7
Treina os usuários P S √
DS8
Assiste e aconselha os usuários P P √ √
DS9
Gerencia a configuração P S S √ √ √
DS10
Gerencia os problemas e incidentes P P S √ √ √ √ √
DS11
Gerencia os dados P P √
DS12
Gerencia a infra-estrutura P P √
DS13
Gerencia as operações P P S S √ √ √ √
M1
Monitora os processos P P S S S P S √ √ √ √ √
M2
Analisa a adequação dos controles internos P P S S S P S √ √ √ √ √
M3
Provê auditorias independentes P P S S S P S √ √ √ √ √
M4
Provê segurança independente P P S S S P S √ √ √ √ √
(P) Primário (S) Secundário (√) Aplicável
Planejamento &
Organização
Monitoramento
Entrega & Suporte
Aquisição &
Implementação
Figura 3.8 – O cubo CobiT®
Fonte: IT Governance Institute (2004a)
Cada um dos 34 processos avalia quatro dimensões: onde a organização se encontra
hoje, o atual estágio de desenvolvimento da indústria (melhores práticas), o atual estágio dos
padrões internacionais e até onde a organização pretende chegar.
A Figura 3.9 apresenta um dos objetivos de controle do CobiT®, o processo PO5 –
Gerenciamento dos Investimentos de TI, que integra o domínio PO, na forma como é
apresentado no guia de auditoria.
57
Figura 3.9 – O framework do CobiT® para um processo
Fonte: Adaptado de IT Governance Institute (2000)
•
Proporção de projetos
que usam
padrões de investimento e orçamento.
•
Proporção de projetos com
patrocinadores na área de negócio.
•
Meses decorridos desde a última
revisão de orçamentos.
•
Tempo decorrido entre a ocorrência e o
apontamento no relatório.
• Proporção de projetos que con
têm
avaliação de investimento.
•
Número de projetos que revelam
conflitos de investimentos.
•
Número de casos de utilização de
tecnologia ultrapassada.
•
Todos os custos de TI são identificados e classificados.
• Um plano de entrega de TI é definido.
• O processo decisório sobre investimentos é definido considerando
impactos em curto,
médio e longo prazo, contribuição estratégica e adequação ao direcionamento e
arquitetura tecnológica.
• Decisões de investimento são tomadas
com base em alternativas mensuráveis e com
avaliações de impacto.
•
Orçamento e investimentos de TI são alinhados com a estratégia de TI e com os
planos de negócio.
• Existem níveis de alçada de delegação para aprovação de despesas.
• Tomadores de decisão consideram impactos, ciclo de vida e efeitos adver
sos em
outras unidades de negócio.
• Mantém-se um inventário de TI que propicia a medição precisa do custo.
• Critérios formais de investimento são definidos para subsidiar decisões.
• Os gastos de TI são adequadamente apropriados por centro de custos.
• Existe ge
renciamento de responsabilidades que permite compreender benefícios e
lucros previstos.
•
Os processos de monitoração eliminam o cruzamento de responsabilidades.
PO5
Planejamento e Organização
Gerencia os Investimentos em TI
Controla o orçamento e desembolsos de recursos financeiros, possibilitando
que os
investimentos definidos e aprovados no orçamento sejam corretamente realizados.
Objetivos de Controle
•
Orçamento anual da operacao de TI.
• Monitoramento de custos e benefícios.
•
Justificativa de custos e
benefícios.
Fatores Críticos de Sucesso
Indicadores
-
c
have de Metas
Indicadores
-
c
have de Desempenho
•
Proporção
de investimentos em TI
excedendo expectativa de ganhos.
•
Participação da despesa de TI na
despesa total versus objetivo.
• Proporção da d
espesa de TI em relação
ao faturamento.
•
Ausência de atrasos no projeto
decorrentes de
indisponibilidade de
financiamento ou retardo em decisões.
58
O CobiT® é eficiente em controles e métricas de TI para auditoria; descreve, para
cada processo, os objetivos de controle, fatores críticos de sucesso, indicadores-chave de
metas e desempenho, além de um modelo de maturidade; mas não descreve a forma de
implementar os processos (FERNANDES, 2004; COEN; RUBINATO FILHO, 2005).
Duas abordagens são utilizadas para avaliação gerencial do estágio de evolução da
implantação do modelo: uma apoiada no Modelo de Maturidade, o IT Governance Maturity
Model, e outra com base no Balanced Scorecard de TI, o IT BSC (IT GOVERNANCE
INSTITUTE, 2003).
3.3 IT Governance Maturity Model
O IT Governance Maturity Model apóia-se nos conceitos do modelo CMM SW
(Capability Maturity Model for Software) proposto pelo SEI (Software Engineering Institute),
com foco no nível de serviço (IT GOVERNANCE INSTITUTE, 2003).
O modelo descreve os processos e atividades, requeridos em cada um dos seis níveis
de maturidade, a saber:
0 Inexistente
Não há gerenciamento de atividades relacionadas a TI para medir o que os objetivos
de TI adicionam de valor para a organização, nem para medir se os riscos relacionados
com TI são apropriadamente gerenciados.
1 Inicial / Ad hoc
O conceito de Governança de TI não existe formalmente e a supervisão se baseia
principalmente em considerações gerenciais de objetivos relacionados de TI,
analisados caso a caso. A Governança de TI depende da iniciativa e da experiência de
um time de gerenciamento, que limita a entrada dos demais integrantes da
organização. A alta gerência somente é envolvida quando surgem problemas mais
graves. O gerenciamento de desempenho é tipicamente limitado a medidas técnicas, e
somente dentro de funções de TI.
59
2 Repetitivo mas intuitivo
A realização supera a formalização. Requer supervisão de TI, sendo necessário
compartilhar responsabilidades com a gerência sênior. Práticas regulares de
Governança são metas. A criação de relatórios regulares de desempenho e
investigação de problemas tomou lugar recentemente nas iniciativas do time de TI.
Usuários-chave ou stakeholders são participantes voluntários ou cooptados,
dependendo do projeto de TI e das prioridades.
3 Processos definidos
Um framework organizacional e de processos está definido para a supervisão e
gerenciamento de atividades de TI e está sendo introduzido na organização como base
para Governança de TI. O corpo gerencial tem objetivos de direção, que têm sido
desenvolvidos segundo procedimentos específicos de gerenciamento, compatíveis com
atividades de Governança. Isso inclui: ajuste regular de objetivos, revisão de
desempenho, assessments de capacidade necessária e planejamento de projetos e
recursos para qualquer necessidade de implementação de TI. Práticas informais
prévias bem sucedidas foram formalizadas, e as técnicas seguidas são relativamente
simples e não sofisticadas.
4 Processos gerenciáveis e medidos
Ajustes de objetivos foram desenvolvidos para um estágio sofisticado, com
relacionamentos entre objetivos externos em termos de negócios. Processos de TI
provêem métricas bem compreendidas. Resultados reais são comunicados à alta
gerência na forma de Balanced Scorecard. O time da gerência corporativa agora
trabalha junto com os objetivos de maximizar o valor da entrega de serviços de TI e
gerenciar os riscos relacionados à TI. Existe um assessment regular das capacidades de
TI e os projetos têm sido entregues com os requisitos reais de desempenho.
Relacionamentos entre as funções de TI, seus usuários da comunidade de negócios e
provedores externos são agora baseados em funções definidas e acordos de níveis de
serviço.
5 Processos otimizados
60
Práticas de Governança de TI são desenvolvidas segundo uma sofisticada abordagem,
empregando técnicas eficazes. Existe uma verdadeira transparência das atividades de
TI e o corpo diretivo percebe o controle das estratégias de TI. Atividades de TI são
priorizadas de acordo com a real prioridade do negócio, o valor entregue para a
corporação pode ser medido e passos adotados tempestivamente corrigem desvios
significativos ou problemas. A abordagem do Balanced Scorecard evoluiu, tornando-
se a mais relevante medida de estratégia de negócios corporativos. O esforço
despendido no gerenciamento de risco é minimizado por meio da adoção de padrões e
automação de processos. A prática de melhoria contínua da capacidade de TI está
embebida na cultura, incluindo benchmarking. Auditorias independentes provêem
garantias de gerenciamento. Além disso, o custo de TI é efetivamente monitorado, e a
organização está habilitada para melhorar continuamente. Seletivamente, serviços
foram terceirizados. A organização está habilitada para demonstrar excelência de
desempenho e demandar melhores práticas de outras organizações.
O IT Governance Maturity Model é eficiente nos passos para avaliar a maturidade dos
processos, mas sugere outros modelos para implantação. Uma maneira de se implantar os
processos é utilizar as melhores práticas para gerenciamento de TI descritas pelo modelo
ITIL®. O mais alto nível de maturidade contempla as disciplinas Gestão de Mudanças nos
Processos, Gestão de Mudanças Tecnológicas e Prevenção de Problemas.
3.4 IT BSC
O IT BSC é baseado no Balanced Scorecard, desenvolvido por Norton e Kaplan, no
início dos anos 1990, quando conduziram o estudo Measuring performance in the organiztion
of the future. Norton e Kaplan acreditavam que os métodos disponíveis para avaliação do
desempenho empresarial, em geral apoiado nos indicadores contábeis e financeiros, estavam
se tornando obsoletos (NORTON; KAPLAN, 1997).
Medir é importante, pois o que não se pode medir não pode ser gerenciado. O
Balanced Scorecard traduz a missão e a estratégia das empresas num abrangente conjunto de
medidas de desempenho, que serve de base para um sistema de medição e gestão estratégica
61
(NORTON, 2001; NORTON; KAPLAN, 2001). A estratégia implica a transição de uma
organização de sua posição atual para uma posição futura desejável, porém incerta
(GUIMARÃES, 1995). Como a organização nunca esteve nessa posição futura, o caminho
que a organização pretende utilizar para chegar até lá envolve uma série de hipóteses
interligadas.
O IT BSC desenvolve de um mapa da estratégia de TI e define métricas para aferir os
resultados das iniciativas de TI contemplando os Fatores críticos de sucesso (FCS),
Indicadores-chave de metas (KGI
12
) e Indicadores-chave de desempenho (KPI
13
).
A Itautec desenvolveu o SYSCORE (ITAUTEC, 2005), uma metodologia que
contempla as melhores práticas do BSC e do CobiT®. O SYSCORE na área de TI suporta a
disciplina Gestão de Nível de Serviço, guidelines do CobiT®, possibilitando a criação de
mapas de estratégia, o detalhamento da estratégia, o detalhamento das ações e o gráfico de
metas.
O acompanhamento através de um cockpit possibilita a verificação, por meio de
interface gráfica e amigável, dos indicadores-chave de metas e desempenho. A Figura 3.10
ilustra um digital cockpit com indicadores do processo de gerenciamento dos investimentos
em TI, o PO5 do CobiT®.
Figura 3.10 – Cokpit do processo PO5
Fonte: Adaptado de ITAUTEC (2005)
12
Key goal indicators
13
Key performance indicators
CAPÍTULO 4
METODOLOGIA DA PESQUISA
O presente capítulo descreve os procedimentos metodológicos utilizados no estudo de
caso. O ponto de partida da pesquisa encontra-se no problema que se deverá definir,
examinar, avaliar e analisar criticamente.
A pesquisa constitui um procedimento formal, com método de pensamento reflexivo,
que requer tratamento científico, e representa o caminho para se conhecer uma realidade.
Toda pesquisa deve basear-se em uma teoria, que serve de suporte para a bem-sucedida
investigação de um ou mais problemas. A pesquisa dos problemas práticos pode levar à
descoberta de princípios básicos, e, freqüentemente, fornece conhecimentos que têm aplicação
imediata (ASTI VERA, 1979).
4.1 Objetivos da pesquisa
Constituem objetivos primordiais da presente pesquisa:
• avaliar o nível de maturidade da Governança de TI nas indústrias de grande
porte, compreendendo cada um dos 34 processos descritos no CobiT® e
envolvendo o gerenciamento dos serviços e da infra-estrutura de TI;
63
• identificar o nível de conhecimento de métodos, técnicas e ferramentas que
embasam os processos de TI, assim como a adoção das boas práticas de
Governança de TI;
• investigar se as empresas estão certificando seus principais profissionais, com
vistas à futura implementação de projetos na área de Governança de TI; e
• verificar, no âmbito das indústrias de grande porte pesquisadas, a efetiva
aplicação do conhecimento dos métodos, técnicas e ferramentas que apóiam a
Governança de TI.
4.2 O problema da pesquisa
Quais os níveis de maturidade da Governança de TI nas indústrias de grande porte,
observados sob a ótica dos 34 processos de gerenciamento dos serviços e da infra-estrutura de
TI descritos no CobiT®?
Os executivos de TI das indústrias de grande porte pesquisadas conhecem as teorias
que apóiam a implementação da Governança de TI e a avaliação dos níveis de maturidade?
A implementação de boas práticas de Governança de TI está na pauta de projetos
desses executivos? Eles estão treinando ou certificando sua equipe com a intenção de adequar
as organizações a essas recomendações?
Trata-se de estudo de caso viável, pois o problema pode ser mapeado mediante
aplicação do questionário; relevante e novo, uma vez que explora conhecimentos em um
campo importante, e sobre o qual não se conseguiram localizar estudos acadêmicos similares;
exeqüível e oportuno, na medida em que traz conclusões aplicáveis à realidade das
organizações pesquisadas.
64
4.3 Natureza da pesquisa
A pesquisa realizada foi de natureza teórico-empírica, na medida em que buscou na
literatura própria a fundamentação teórica, testando-se, na prática, o uso de métodos, técnicas
e ferramentas. Pode ser classificada ainda como aplicada, pois se caracteriza pelo interesse
prático, isto é, com resultados que sejam aplicados ou utilizados, imediatamente, na solução
de problemas reais. A pesquisa aplicada tem como principal objetivo solucionar um problema
específico, mediante redução da incerteza da administração no processo decisório
(MCDANIEL; GATES, 2003).
A pesquisa tem cunho descritivo, na medida em que delineia o que é o funcionamento
no presente, e é focalizada em acontecimentos contemporâneos, caracterizando-se como
estudo de caso com corte transversal (cross-sectional study).
4.4 População e amostra da pesquisa
De acordo com Lapponi (2005), população é o conjunto total de unidades elementares
de pessoas, objetos ou coisas sobre os quais se deseja obter informações, enquanto amostra é
um subconjunto de unidades elementares selecionadas de uma população.
O Sebrae (SEBRAE, 2005) classifica os portes das empresas de acordo com as
seguintes características:
• Microempresa – na indústria, quando emprega até 19; no comércio e serviços,
se emprega até 9 pessoas;
• Pequena empresa – na indústria, se emprega de 20 a 99 pessoas; no comércio e
serviços, se emprega de 10 a 49 pessoas;
• Média empresa - na indústria, se emprega de 100 a 499 pessoas; no comércio e
serviços, se emprega de 50 a 99 pessoas; e
• Grande empresa - na indústria, se emprega mais de 499 pessoas; no comércio e
serviços, se emprega mais de 99 pessoas.
65
Pesquisa do Sebrae (SEBRAE, 2005) aponta a existência de 1.378 indústrias de
grande porte no Brasil em 2003 (Tabela 4.1). Essa categoria de empresa compreende a
população objeto da nossa pesquisa.
Porte/Ano Micro Pequena Média Grande Total
Setor
2002 2003 2002 2003 2002 2003 2002 2003 2002 2003
Indústria
506.325 518.712 35.320 36.086 7.654 7.788 1.322 1.378 550.621 563.964
Construção
173.446 170.795 8.752 8.329 1.603 1.501 153 152 183.954 180.777
Comércio
2.545.640 2.624.309 96.265 102.439 6.201 6.618 3.163 3.394 2.651.269 2.736.760
Serviços
2.047.881 2.151.033 111.724 115.065 13.349 13.579 11.977 12.186 2.184.931 2.291.863
Total
5.273.292 5.464.849 252.061 261.919 28.807 29.486 16.615 17.110 5.570.775 5.773.364
Tabela 4.1 – Distribuição quantitativa de empresas no Brasil, por porte e setor – 2002/2003
Fonte: SEBRAE (2005, p.45)
Uma amostra representativa tem as mesmas características da população de onde foi
extraída. Assim, quanto maior for o tamanho da amostra, menor será a margem de erro da
pesquisa (LAPPONI, 2005). Uma amostra pequena pode refletir as características da
população de onde foi extraída (MCDANIEL; GATES, 2003). A amostra não-probabilística é
um subconjunto de uma população no qual pouca ou nenhuma tentativa é feita para assegurar
uma seção cruzada representativa (MCDANIEL; GATES, 2003). Nossa amostra de 19
empresas corresponde a 1,38% da população das indústrias de grande porte do Brasil.
4.5 Natureza das variáveis
As variáveis da pesquisa são qualitativas, ou seja, observações não numéricas,
ordinais, pois observam uma ordem, uma hierarquia, dando nome a um objeto, categoria ou
classe. Os números são utilizados para diferenciar em ordem de superioridade, seguindo
algum critério hierárquico (LAPPONI, 2005). A variável é do tipo corte transversal, pois não
considera uma seqüência temporal. O foco é uma fotografia em determinado momento,
mostrando os níveis de maturidade de Governança de TI.
66
4.6 Estratégia da pesquisa
A fundamentação dos conceitos utilizados no trabalho pressupôs a revisão da literatura
sobre governança corporativa, planejamento estratégico corporativo, planejamento estratégico
de TI, alinhamento estratégico entre negócios e TI, Governança de TI, métodos, técnicas e
ferramentas que apóiam as melhores práticas (best practices), incluindo consulta a
publicações nacionais e estrangeiras.
O passo seguinte compreendeu o desenvolvimento do projeto de pesquisa e a escolha
do método. Uma pesquisa de cunho exploratório possibilita ao pesquisador aprofundar os
estudos, buscando mais conhecimentos sobre uma realidade específica (FORTE, 2001). O
nível de investigação exploratória, ou pesquisa empírica, é obtido através da observação direta
extensiva, aplicando o questionário como instrumento de coleta de dados, reunindo uma série
ordenada de perguntas que são respondidas por escrito, sem a presença do pesquisador.
Segundo Salomon (1994), as pesquisas por meio de questionário alcançam um retorno
médio de apenas 25%, mas agregam as seguintes vantagens:
a) redução do tempo;
b) capacidade de atingir expressivo número de pessoas simultaneamente;
c) abrange uma área geográfica maior;
d) possibilita a obtenção de respostas mais rápidas e mais precisas;
e) proporciona liberdade de respostas, devido ao anonimato; e
f) apresenta menor risco de distorção por influência do pesquisador.
A preparação do questionário envolveu um estudo detalhado do CobiT®, principal
framework para auditoria dos níveis de Governança de TI, bem como uma análise das
aplicações dos modelos de maturidade, para identificação do nível de maturidade de cada um
dos processos e seus domínios (IT GOVERNANCE INSTITUTE, 2003).
O questionário (Apêndice C) foi estruturado em cinco blocos, reunindo ao todo 39
questões. Descreve-se a seguir o conteúdo dos cinco blocos e a qualificação das respostas.
67
Os quatro blocos iniciais avaliam os quatro domínios do CobiT®: Planejamento e
Organização, Aquisição e Implementação, Entrega e Suporte e Monitoramento. As 34
questões correspondem aos processos do CobiT®. Uma descrição detalhada dos processos do
CobiT® pode ser encontrada na seção 3.2. Todas as respostas dos quatro blocos iniciais foram
qualificadas e hierarquizadas numa escala de 0 a 5, representando os níveis de maturidade.
O quinto bloco avaliou, em cinco questões, o grau de conhecimento e aplicação de
guias de melhores práticas, framework de auditoria, métodos e técnicas relacionados à
Governança de TI. As respostas do quinto bloco foram qualificadas e hierarquizadas numa
escala de 0 a 5, representando os graus de conhecimento e aplicação.
Após a elaboração do questionário e as revisões procedidas para eliminar as diferenças
de entendimento das questões e das respostas, foi aplicado um pré-teste com três executivos
de TI. A aplicação possibilitou mensurar o tempo gasto na coleta e identificar algumas falhas,
decorrentes da complexidade das questões, ambigüidade ou linguagem inacessível. O
questionário foi revisado, para agregar esclarecimentos adicionais para as questões e
especificar melhor o conteúdo de algumas respostas, para se evitar enquadramento em mais
de uma opção.
Os questionários foram enviados para 79 executivos de TI, entre diretores, gerentes,
supervisores ou coordenadores de TI, público-alvo da pesquisa, no período de agosto a
setembro de 2005. As pesquisas foram encaminhadas para indústrias, bancos, administradoras
de cartão de crédito, secretarias de governo, autarquias e empresas de serviço.
Apesar de insistentes apelos para preenchimento e devolução dos questionários,
apenas 19 foram restituídos, correspondendo a um retorno de 24,05% do total enviado, todas
oriundas do setor industrial, abrangendo empresas de Santa Catarina, São Paulo, Pernambuco
e Ceará. Como nenhuma instituição do ramo financeiro devolveu o questionário, ficou
prejudicada a mensuração da influência do Acordo de Basiléia (BIS, 2004) sobre as
iniciativas de Governança, assim como a construção de comparações por setor econômico.
Após a tabulação dos resultados da pesquisa, procedeu-se à análise dos dados. Nessa
etapa pôde-se observar que um dos questionários respondidos evidenciou uma dispersão
acentuada em relação à média e à mediana, conforme mostra o Gráfico 4.1.
68
Dispersão do Expurgo
0
1
2
3
4
5
6
1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39
Questões
Maturidade
Questionário expurgado da pesquisa Mediana Média
Gráfico 4.1 – Dispersão do expurgo
Fonte: Elaboração do autor
A análise dessa situação atípica indicou a necessidade de se procurar evidências da
real existência de documentação formal que comprovasse o estágio de maturidade da
organização. Constatando-se a inexistência de tais documentos, decidiu-se pelo expurgo dessa
unidade da amostra sob análise.
Para facilitar a tabulação dos dados e a análise dos resultados da pesquisa, para cada
questão foi preparada uma tabela de freqüência, para registro do número de respondentes de
cada opção de resposta, dos percentuais de cada nível de maturidade e dos índices
acumulados. O somatório de todos os valores inferiores ao limite superior de um dado
intervalo de classe é denominado freqüência acumulada até e inclusive aquele intervalo
(SPIEGEL, 1976).
Com base na tabela de freqüência, foi construído o gráfico de barras, assim como
foram calculadas as medidas de tendência central e as medidas de dispersão. O mínimo e o
máximo representam os pontos extremos dos dados obtidos, e o desvio-padrão significa o
grau ao qual dados tendem a dispersar-se em torno de um valor médio. O desvio-padrão mede
a dispersão de uma distribuição da freqüência, correspondendo à raiz quadrada da média das
diferenças individuais em relação à média aritmética.
69
Enquanto as medidas de tendência central indicam valores típicos para uma variável
particular, as medidas de dispersão indicam como os dados variam, em relação à tendência
central, o nível de espaçamento (MCDANIEL; GATES, 2003). As medidas de dispersão são
importantes para identificar iniciativas isoladas em processos específicos de Governança de
TI.
A tabulação dos dados, a geração dos resultados estatísticos, a apresentação em tabelas
e a representação gráfica foram desenvolvidas utilizando-se o Microsoft® Office Excel 2003.
Lapponi (2005) descreve detalhadamente a construção de resultados estatísticos utilizando o
MS-Excel®.
CAPÍTULO 5
RESULTADOS DE MEDIDAS EXPERIMENTAIS
O presente capítulo descreve os resultados da análise dos dados pesquisados. O
objetivo primordial é propiciar um entendimento dos níveis de maturidade de Governança de
TI das organizações pesquisadas. Aqui são detalhados os resultados da pesquisa exploratória,
possibilitando uma avaliação de cada um dos processos de gestão de TI, bem como do nível
de conhecimento de métodos, técnicas e boas práticas que suportam o modelo. A estreita
correlação entre o referencial teórico e a pesquisa integra o seu objetivo principal.
5.1 Domínio Planejamento e Organização - PO
O domínio PO cobre o uso da tecnologia na organização, na permanente busca de
alcance dos objetivos e metas, e também a forma como a infra-estrutura de TI está organizada
para otimizar resultados e gerar maiores benefícios.
5.1.1 Processo PO1 – Define a estratégia de TI
O processo PO1 identifica o estágio de planejamento estratégico de TI da organização.
A definição da estratégia clarifica e formaliza até onde a organização pretende chegar,
vinculando diretrizes de TI às necessidades do negócio. Os níveis de maturidade variam desde
71
a inexistência de um planejamento, caracterizando-se pelo atendimento sob demanda, até a
existência de planos formalizados com métricas de avaliação e ações de melhoria.
Nivel de Maturidade
Freqüência
absoluta
Freqüência relativa
(%)
(A) Simples
(A/18)*100
Acumulada
0 Inexistente 2 11,1 11,1
1 Inicial / Ad hoc 10 55,6 66,7
2 Repetitivo mas intuitivo
6 33,3 100,0
3 Processos definidos 0 0,0 100,0
4 Gerenciado e medido 0 0,0 100,0
5 Otimizado 0 0,0 100,0
Total
18 100,0
Tabela 5.1 – Distribuição da freqüência das respostas do processo PO1
Segundo evidenciado pela pesquisa (Tabela 5.1), 66,7% dos entrevistados declararam
que suas empresas se encontram em estágio Inexistente ou Inicial / Ad hoc, caracterizando-se
a ausência de planejamento de TI, ou seja, suas ações são tipicamente reativas, no máximo
atendendo à demanda das áreas de negócio.
As respostas consignadas no questionário indicam que nenhuma das organizações
pesquisadas possui um modelo formal de planejamento de TI. A inexistência desse modelo
Gerenciado e medido, ou Otimizado, tem implicações diretas no alinhamento entre negócios e
TI, porquanto o planejamento de TI decorre do plano de negócios.
0 1 2 3 4 5
PO1 Define a estratégia de TI
Gráfico 5.1 – Níveis de maturidade do processo PO1
72
As medidas estatísticas demonstram que há uma convergência das medidas de
tendência central das organizações para o estágio Inicial / Ad hoc. Nesse estágio há uma
dependência de um time de gerenciamento e a participação do restante da organização é
limitada, haja vista que a inexistência de modelos formais (maturidade < 3) gera dependência
em relação a um grupo que detém o conhecimento. O desvio-padrão de 0,647 indica que não
existem dispersões significativas em relação à tendência central, ou seja, as empresas
pesquisadas apresentam níveis de maturidade bem aproximados (Apêndice A).
5.1.2 Processo PO2 – Define a arquitetura da informação
O processo PO2 identifica como a organização dos sistemas é suportada pela
manutenção de um modelo de informações de negócio e pela garantia de que os sistemas são
apropriados e estão definidos para otimizar o uso de informações. Os níveis de maturidade
variam desde a inexistência de uma arquitetura, até a existência de formalização, métricas de
avaliação e ações de melhoria.
Nivel de Maturidade
Freqüência
absoluta
Freqüência relativa
(%)
(A) Simples
(A/18)*100
Acumulada
0 Inexistente 0 0,0 0,0
1 Inicial / Ad hoc 8 44,4 44,4
2 Repetitivo mas intuitivo
9 50,0 94,4
3 Processos definidos 0 0,0 94,4
4 Gerenciado e medido 1 5,6 100,0
5 Otimizado 0 0,0 100,0
Total
18 100,0
Tabela 5.2 – Distribuição da freqüência das respostas do processo PO2
A Tabela 5.2 mostra que 94,4% dos entrevistados declararam que suas empresas se
distribuem nos estágios Inicial / Ad hoc e Repetitivo mas intuitivo, caracterizando-se a
existência de implementações parciais de diagramas de dados, documentação e regras
sintáticas.
73
0 1 2 3 4 5
PO2 Define a arquitetura da informação
Gráfico 5.2 – Níveis de maturidade do processo PO2
As medidas estatísticas revelam uma maior concentração de organizações no estágio
Repetitivo mas intuitivo. Nesse estágio, a realização supera a formalização, e isso indica que:
em primeiro lugar, há pelo menos uma consciência da necessidade de se desenvolver uma
arquitetura formal, e, em segundo lugar, existem ações pontuais nessa direção. Verifica-se
uma convergência das medidas de tendência central para esse estágio (Apêndice A).
5.1.3 Processo PO3 – Determina a direção tecnológica
O processo PO3 determina a visão de futuro de tecnologia e a adesão a padrões. Os
níveis de maturidade variam desde a inexistência de padrões, até padrões formalmente
definidos e ações de melhoria.
Nivel de Maturidade
Freqüência
absoluta
Freqüência relativa
(%)
(A) Simples
(A/18)*100
Acumulada
0 Inexistente 1 5,6 5,6
1 Inicial / Ad hoc 1 5,6 11,1
2 Repetitivo mas intuitivo
10 55,6 66,7
3 Processos definidos 6 33,3 100,0
4 Gerenciado e medido 0 0,0 100,0
5 Otimizado 0 0,0 100,0
Total
18 100,0
Tabela 5.3 – Distribuição da freqüência das respostas do processo PO3
74
De acordo com o resultado da pesquisa (Tabela 5.3) 88,9% dos entrevistados
declararam que suas empresas se encontram no estágio Repetitivo mas intuitivo ou em
Processos definidos, configurando-se que o gestor de tecnologia tem uma atenção especial
com padrões, traduzida em ações concretas.
As medidas estatísticas demonstram uma maior freqüência das organizações no
estágio Repetitivo mas intuitivo; entretanto 33,3% das organizações já possuem uma direção
tecnológica formalizada.
0 1 2 3 4 5
PO3 Determina a direção tecnológica
Gráfico 5.3 – Níveis de maturidade do processo PO3
O processo PO3 apresenta dispersões moderadas. A convergência da média, mediana e
moda determinam uma curva de freqüência unimodal, ou seja, nesse quesito as organizações
apresentaram níveis de maturidade próximos (Apêndice A).
5.1.4 Processo PO4 – Define a organização de TI e seus relacionamentos
O processo PO4 verifica o grau de maturidade na definição formal da estrutura da área
de TI, plano de carreira, cargos com seus papéis e relacionamentos com outras áreas da
organização.
75
Nivel de Maturidade
Freqüência
absoluta
Freqüência relativa
(%)
(A) Simples
(A/18)*100
Acumulada
0 Inexistente 9 50,0 50,0
1 Inicial / Ad hoc 4 22,2 72,2
2 Repetitivo mas intuitivo
0 0,0 72,2
3 Processos definidos 3 16,7 88,9
4 Gerenciado e medido 1 5,6 94,4
5 Otimizado 1 5,6 100,0
Total
18 100,0
Tabela 5.4 – Distribuição da freqüência das respostas do processo PO4
Segundo o resultado da pesquisa (Tabela 5.4) 72,2% dos entrevistados afirmaram que
suas empresas se encontram em estágio Inexistente ou Inicial / Ad hoc, indicando que a
formalização de estruturas e relacionamentos não ocupa a agenda atual do gestor.
As medidas estatísticas demonstram uma freqüência de 50,0% das organizações no
estágio Inexistente indicando que esse quesito não despertou sequer a percepção da
necessidade de analisá-lo.
0 1 2 3 4 5
PO4 Define a organização de TI e seus relacionamentos
Gráfico 5.4 – Níveis de maturidade do processo PO4
O processo PO4 apresenta a terceira maior dispersão da pesquisa, com desvio-padrão
de 1,629. Enquanto 72,2% das organizações pesquisadas não estão focadas nesse assunto,
27,9% apresentam definições formais (Apêndice A).
76
5.1.5 Processo PO5 – Gerencia os investimentos de TI
O processo PO5 avalia o retorno dos investimentos, a contabilização de despesas e
investimentos e a apropriação por centro de custos.
Nivel de Maturidade
Freqüência
absoluta
Freqüência relativa
(%)
(A) Simples
(A/18)*100
Acumulada
0 Inexistente 1 5,6 5,6
1 Inicial / Ad hoc 6 33,3 38,9
2 Repetitivo mas intuitivo
5 27,8 66,7
3 Processos definidos 4 22,2 88,9
4 Gerenciado e medido 1 5,6 94,4
5 Otimizado 1 5,6 100,0
Total
18 100,0
Tabela 5.5 – Distribuição da freqüência das respostas do processo PO5
Segundo o resultado da pesquisa (Tabela 5.5) 33,4% dos entrevistados afirmaram que
suas empresas possuem mecanismos formais para gerenciar investimentos em TI (maturidade
> 3). O maior nível de maturidade nesse quesito deve-se à pressão orçamentária que a área de
TI vem sofrendo desde meados da década passada, e aos questionamentos do CEO
14
e do
CFO
15
para melhorar sua eficácia (OGC, 2005c).
0 1 2 3 4 5
PO5 Gerencia os investimentos de TI
Gráfico 5.5 – Níveis de maturidade do processo PO5
14
Chief Executive Officer
15
Chief Financial Officer
77
As medidas estatísticas demonstram uma curva de distribuição da freqüência normal,
com presença nos dois extremos e maior freqüência no centro (Apêndice A). O resultado da
pesquisa demonstra que 83,3% das empresas já percebem essa necessidade ou já possuem
mecanismos definidos (maturidade = 1, 2 ou 3), 11,2% possuem métricas de avaliação ou se
encontram em estágio otimizado (maturidade =4 ou 5). Somente 5,6% ainda não perceberam
a necessidade, ou ainda não foram questionados pelo financeiro (maturidade = 0).
5.1.6 Processo PO6 – Gerencia a comunicação das diretrizes de TI
O processo PO6 indica se a área de TI desenvolve e implementa planos de
comunicação destinados a disseminar o conhecimento das estratégias de TI em toda a
organização.
Nivel de Maturidade
Freqüência
absoluta
Freqüência relativa
(%)
(A) Simples
(A/18)*100
Acumulada
0 Inexistente 12 66,7 66,7
1 Inicial / Ad hoc 4 22,2 88,9
2 Repetitivo mas intuitivo 2 11,1 100,0
3 Processos definidos 0 0,0 100,0
4 Gerenciado e medido 0 0,0 100,0
5 Otimizado 0 0,0 100,0
Total
18 100,0
Tabela 5.6 – Distribuição da freqüência das respostas do processo PO6
A Tabela 5.6 mostra que 66,7% dos entrevistados afirmaram que suas empresas não
possuem planos de comunicação e que 88,9% afirmaram que não existe plano, ou têm a
intenção de elaborá-lo, mas concretamente nada ainda foi feito para melhorar a comunicação
das diretrizes de TI na empresa.
78
0 1 2 3 4 5
PO6 Gerencia as comunicações das diretrizes de TI
Gráfico 5.6 – Níveis de maturidade do processo PO6
É uma das mais baixas avaliações do questionário. Essa observação referenda a crítica,
freqüentemente feita pelas áreas usuárias, de que TI ainda é uma “caixa preta”.
5.1.7 Processo PO7 – Gerencia os recursos humanos
O processo PO7 avalia o recrutamento, a contratação e a capacitação da equipe em
relação ao negócio e às tecnologias que compõem a diretriz tecnológica.
Nível de Maturidade
Freqüência
absoluta
Freqüência relativa
(%)
(A) Simples
(A/18)*100
Acumulada
0 Inexistente 5 27,8 27,8
1 Inicial / Ad hoc 7 38,9 66,7
2 Repetitivo mas intuitivo
3 16,7 83,3
3 Processos definidos 2 11,1 94,4
4 Gerenciado e medido 1 5,6 100,0
5 Otimizado 0 0,0 100,0
Total
18 100,0
Tabela 5.7 – Distribuição da freqüência das respostas do processo PO7
Segundo o resultado da pesquisa (Tabela 5.7), 27,8% dos entrevistados declararam
que suas empresas não possuem plano para recursos humanos de TI, 38,9% têm intenção, mas
ainda não possuem, 11,1% possuem um modelo formal e um orçamento em fase de
elaboração, e somente 5,6% têm um plano pronto e formalizado.
79
0 1 2 3 4 5
PO7 Gerencia os recursos humanos
Gráfico 5.7 – Níveis de maturidade do processo PO7
As medidas de tendência central e de dispersão convergem para a inexistência de
planos formais nessa área (Apêndice A).
5.1.8 Processo PO8 – Assegura alinhamento TI com requerimentos externos
O processo PO8 observa o grau de adesão entre os regulamentos externos e as
necessidades explícitas das áreas de negócio em relação ao planejamento e às ações da área de
TI.
Nivel de Maturidade
Freqüência
absoluta
Freqüência relativa
(%)
(A) Simples
(A/18)*100
Acumulada
0 Inexistente 8 44,4 44,4
1 Inicial / Ad hoc 5 27,8 72,2
2 Repetitivo mas intuitivo
5 27,8 100,0
3 Processos definidos 0 0,0 100,0
4 Gerenciado e medido 0 0,0 100,0
5 Otimizado 0 0,0 100,0
Total
18 100,0
Tabela 5.8 – Distribuição da freqüência das respostas do processo PO8
De acordo com os dados obtidos na pesquisa (Tabela 5.8) 100,0% das organizações
não possuem planos formais, nem em fase de elaboração, enquanto 27,8% dos entrevistados
80
afirmaram que suas empresas implementaram algumas ações pontuais para atendimento a
regulamentos.
0 1 2 3 4 5
PO8 Assegura alinhamento de TI com requerimentos externos
Gráfico 5.8 – Níveis de maturidade do processo PO8
As medidas de tendência central e de dispersão convergem para a inexistência de
planos formais nessa área (Apêndice A). A falta de alinhamento com requerimentos externos
pode comprometer estratégias de abertura de capital ou de exportação, afetando diretamente o
negócio, conforme abordado no Capítulo 2.
5.1.9 Processo PO9 – Avalia os riscos
O processo PO9 analisa ameaças, impactos no negócio e vulnerabilidades da
informação e das instalações, bem como a probabilidade de sua ocorrência.
Nivel de Maturidade
Freqüência
absoluta
Freqüência relativa
(%)
(A) Simples
(A/18)*100
Acumulada
0 Inexistente 1 5,6 5,6
1 Inicial / Ad hoc 3 16,7 22,2
2 Repetitivo mas intuitivo
12 66,7 88,9
3 Processos definidos 1 5,6 94,4
4 Gerenciado e medido 1 5,6 100,0
5 Otimizado 0 0,0 100,0
Total
18 100,0
Tabela 5.9 – Distribuição da freqüência das respostas do processo PO9
81
De acordo com os dados obtidos na pesquisa (Tabela 5.9) 5,6% não avaliam risco,
nem se preocupam com o assunto, enquanto 16,7% também não avaliam, mas estão
preocupados com a situação. A freqüência acumulada de 22,2% para os dois níveis iniciais de
maturidade comprova que quase 80% dos entrevistados coordenam ações concretas nessa
área. Enquanto isso, 66,7% das organizações encontram-se no estágio Repetitivo mas
intuitivo, quando as realizações superam as formalizações; ou seja, a avaliação de riscos é
uma prioridade dos executivos de TI, refletida em ações concretas.
0 1 2 3 4 5
PO9 Avalia os riscos
Gráfico 5.9 – Níveis de maturidade do processo PO9
O estágio Repetivo mas intuitivo congrega todas as medidas de tendência central, não
se evidenciando dispersões significativas (Apêndice A).
5.1.10 Processo PO10 – Gerencia os projetos
O processo PO10 verifica a observância de metodologias, modelos e melhores
práticas, como, por exemplo: CMMI, PMBOK, PRINCE2.
82
Nivel de Maturidade
Freqüência
absoluta
Freqüência relativa
(%)
(A) Simples
(A/18)*100
Acumulada
0 Inexistente 12 66,7 66,7
1 Inicial / Ad hoc 3 16,7 83,3
2 Repetitivo mas intuitivo
3 16,7 100,0
3 Processos definidos 0 0,0 100,0
4 Gerenciado e medido 0 0,0 100,0
5 Otimizado 0 0,0 100,0
Total
18 100,0
Tabela 5.10 – Distribuição da freqüência das respostas do processo PO10
Os dados da pesquisa (Tabela 5.10) demonstram que 66,7% das organizações
pesquisadas encontram-se no estágio Inexistente e que nenhuma empresa pesquisada atingiu
um nível de maturidade que confirme a existência de um modelo de gerência de projetos ou
de desenvolvimento de software.
0 1 2 3 4 5
PO10 Gerencia os projetos
Gráfico 5.10 – Níveis de maturidade do processo PO10
Os resultados mostram que a área de TI das indústrias não acompanha a atual
evolução das empresas de software, notadamente no tocante à certificação CMM. O resultado
encontra-se aquém do esperado, pois havia a expectativa de que já existisse na área de TI da
indústria, ainda que incipiente, um movimento na mesma direção das empresas de software. A
convergência das medidas de tendência central e de dispersão indica que a gerência de
projetos de TI com observância das melhores práticas ainda não é implementada nas
indústrias de grande porte (Apêndice A).
83
5.1.11 Processo PO11 – Gerencia a qualidade
O processo PO11 prioriza a qualidade da entrega de softwares e a observância de
referenciais de qualidade, tais como: CMMI, ISO 9001:2000.
Nivel de Maturidade
Freqüência
absoluta
Freqüência relativa
(%)
(A) Simples
(A/18)*100
Acumulada
0 Inexistente 14 77,8 77,8
1 Inicial / Ad hoc 2 11,1 88,9
2 Repetitivo mas intuitivo
2 11,1 100,0
3 Processos definidos 0 0,0 100,0
4 Gerenciado e medido 0 0,0 100,0
5 Otimizado 0 0,0 100,0
Total
18 100,0
Tabela 5.11 – Distribuição da freqüência das respostas do processo PO11
Segundo apurado na pesquisa (Tabela 5.11) nenhuma empresa atingiu um nível de
maturidade com processos de qualidade de software definidos e 77,8% das organizações
pesquisadas encontram-se no estágio Inexistente.
0 1 2 3 4 5
PO11 Gerencia a qualidade
Gráfico 5.11 – Níveis de maturidade do processo PO11
Gerenciar a qualidade dos serviços ainda não é uma prioridade dos executivos de TI.
O resultado corrobora a deficiência no quesito anterior, pois a falta de qualidade é uma das
conseqüências da deficiência da gerência de projetos. Há uma convergência da moda,
84
mediana e média, indicando a inexistência de modelos de qualidade de software nas
organizações pesquisadas (Apêndice A).
5.2 Domínio aquisição e implementação – AI
O domínio AI endereça a estratégia da empresa na identificação de requerimentos de
TI, na aquisição de tecnologia e na implementação dentro dos processos de negócio.
5.2.1 Processo AI1 – Identifica as soluções de automação
O processo AI1 verifica como funciona a análise de necessidades de automação, desde
processos empíricos até formalização de RFI
16
ou RFP
17
.
Nivel de Maturidade
Freqüência
absoluta
Freqüência relativa
(%)
(A) Simples
(A/18)*100
Acumulada
0 Inexistente 4 22,2 22,2
1 Inicial / Ad hoc 12 66,7 88,9
2 Repetitivo mas intuitivo 2 11,1 100,0
3 Processos definidos 0 0,0 100,0
4 Gerenciado e medido 0 0,0 100,0
5 Otimizado 0 0,0 100,0
Total
18 100,0
Tabela 5.12 – Distribuição da freqüência das respostas do processo AI1
Segundo a pesquisa (Tabela 5.12) nenhuma das empresas pesquisadas possui modelo
formal de identificação de soluções. O maior estágio identificado nesse quesito é Repetitivo
mas intuitivo, com freqüência de 11,1%.
16
Request for ideas
17
Request for project
85
0 1 2 3 4 5
AI1 Identifica as soluções de automação
Gráfico 5.12 – Níveis de maturidade do processo AI1
As medidas estatísticas demonstram uma convergência das medidas de tendência
central das organizações para o estágio Inicial / Ad hoc. O desvio-padrão de 0,583 foi um dos
menores identificados na pesquisa (Apêndice A).
5.2.2 Processo AI2 – Adquire os softwares e provê sua manutenção
O processo AI2 verifica como funciona o processo de contratação de software,
compreendendo desde processos empíricos até formalização através de Gap skill analisys ou
outros modelos.
Nivel de Maturidade
Freqüência
absoluta
Freqüência relativa
(%)
(A) Simples
(A/18)*100
Acumulada
0 Inexistente 13 72,2 72,2
1 Inicial / Ad hoc 1 5,6 77,8
2 Repetitivo mas intuitivo 2 11,1 88,9
3 Processos definidos 0 0,0 88,9
4 Gerenciado e medido 2 11,1 100,0
5 Otimizado 0 0,0 100,0
Total
18 100,0
Tabela 5.13 – Distribuição da freqüência das respostas do processo AI2
A Tabela 5.13 mostra uma alta concentração das organizações pesquisadas no estágio
Inexistente.
86
0 1 2 3 4 5
AI2 Adquire os softwares e provê sua manutenção
Gráfico 5.13 – Níveis de maturidade do processo AI2
As medidas estatísticas demonstram a inexistência de uma convergência das medidas
de tendência central e dispersão em quatro níveis de maturidade. O desvio-padrão de 1,364 foi
um dos maiores identificados na pesquisa.
5.2.3 Processo AI3 – Adquire a infra-estrutura tecnológica e provê sua
manutenção
O processo AI3 define modelos de avaliação para contratação de equipamentos e
serviços de infra-estrutura.
Nivel de Maturidade
Freqüência
absoluta
Freqüência relativa
(%)
(A) Simples
(A/18)*100
Acumulada
0 Inexistente 3 16,7 16,7
1 Inicial / Ad hoc 3 16,7 33,3
2 Repetitivo mas intuitivo 2 11,1 44,4
3 Processos definidos 10 55,6 100,0
4 Gerenciado e medido 0 0,0 100,0
5 Otimizado 0 0,0 100,0
Total
18 100,0
Tabela 5.14 – Distribuição da freqüência das respostas do processo AI3
87
Segundo a pesquisa (Tabela 5.14) a maior freqüência situa-se no estágio Processos
definidos. O desvio-padrão foi de 1,211 (Apêndice A). Nesse quesito obteve-se um dos
maiores níveis de maturidade e isto está relacionado com as exigências de eficiência
financeira da área de TI, conforme abordado no Capítulo 2.
0 1 2 3 4 5
AI3 Adquire a infra-estrutura tecnológica e provê sua manutenção
Gráfico 5.14 – Níveis de maturidade do processo AI3
Não há convergência das medidas de tendência central, e as medidas de dispersão são
significativas (Apêndice A).
5.2.4 Processo AI4 – Desenvolve os procedimentos e provê sua manutenção
O processo AI4 trata da construção de descrições formais dos processos da área de TI.
Nivel de Maturidade
Freqüência
absoluta
Freqüência relativa
(%)
(A) Simples
(A/18)*100
Acumulada
0 Inexistente 2 11,1 11,1
1 Inicial / Ad hoc 4 22,2 33,3
2 Repetitivo mas intuitivo 10 55,6 88,9
3 Processos definidos 1 5,6 94,4
4 Gerenciado e medido 1 5,6 100,0
5 Otimizado 0 0,0 100,0
Total
18 100,0
Tabela 5.15 – Distribuição da freqüência das respostas do processo AI4
88
A pesquisa (Tabela 5.15) mostra que 88,9% das empresas pesquisadas não possuem
modelos definidos, formalizados. Dentre as organizações pesquisadas, 11,2% possuem
modelos formais (maturidade > 3).
0 1 2 3 4 5
AI4 Desenvolve os procedimentos e provê sua manutenção
Gráfico 5.15 – Níveis de maturidade do processo AI4
Existe uma convergência das medidas de tendência central para o estágio Repetitivo
mas intuitivo, com desvio-padrão moderado de 0,958 (Apêndice A).
5.2.5 Processo AI5 – Instala e certifica os softwares
O processo AI5 trata da instalação dos softwares em ambiente de homologação e dos
testes de certificação que possibilitam a liberação para o ambiente de produção.
Nivel de Maturidade
Freqüência
absoluta
Freqüência relativa
(%)
(A) Simples
(A/18)*100
Acumulada
0 Inexistente 0 0,0 0,0
1 Inicial / Ad hoc 2 11,1 11,1
2 Repetitivo mas intuitivo
4 22,2 33,3
3 Processos definidos 11 61,1 94,4
4 Gerenciado e medido 1 5,6 100,0
5 Otimizado 0 0,0 100,0
Total
18 100,0
Tabela 5.16 – Distribuição da freqüência das respostas do processo AI5
89
Segundo a pesquisa (Tabela 5.16) 33,3% das empresas pesquisadas não possuem
modelos formais para esse processo. É um dos mais altos níveis de maturidade pesquisados,
indicando que as indústrias já equacionaram os problemas envolvidos com esse processo.
0 1 2 3 4 5
AI5 Instala e certifica os softwares
Gráfico 5.16 – Níveis de maturidade do processo AI5
Todas as medidas de tendência central convergem para o estágio Processos definidos
(Apêndice A).
5.2.5 Processo AI6 – Gerencia mudanças
O processo AI6 avalia e aprova mudanças no ambiente de TI, tanto em equipamentos
e arquitetura, como em sistemas e processos.
Nivel de Maturidade
Freqüência
absoluta
Freqüência relativa
(%)
(A) Simples
(A/18)*100
Acumulada
0 Inexistente 15 83,3 83,3
1 Inicial / Ad hoc 1 5,6 88,9
2 Repetitivo mas intuitivo
2 11,1 100,0
3 Processos definidos 0 0,0 100,0
4 Gerenciado e medido 0 0,0 100,0
5 Otimizado 0 0,0 100,0
Total
18 100,0
Tabela 5.17 – Distribuição da freqüência das respostas do processo AI6
90
Segundo ficou evidenciado na pesquisa (Tabela 5.17), a maior freqüência situa-se no
estágio Inexistente. Esse resultado indica que as organizações pesquisadas não possuem
modelos para gerenciamento de mudanças. No segmento indústria, é pouco comum observar-
se a existência de comitês de gestão de TI, bem como comitês de mudanças.
0 1 2 3 4 5
AI6 Gerencia mudanças
Gráfico 5.17 – Níveis de maturidade do processo AI6
Existe uma convergência de todas as medidas de tendência central e as medidas de
dispersão não são significativas, com desvio-padrão de 0,669 (Apêndice A).
5.3 Domínio entrega e suporte – DS
O domínio DS foca nos aspectos da entrega da TI. Cobre áreas como execução de
aplicações de sistemas de TI e seus resultados, bem como os processos de suporte que
habilitam a execução desses sistemas com efetividade e eficiência. Os processos de suporte
incluem objetivos de segurança e treinamento.
91
5.3.1 Processo DS1 – Define os acordos de níveis de serviço e provê sua
manutenção
O processo DS1 formaliza os níveis de atendimento e solução requeridos pela área de
TI dos fornecedores.
Nivel de Maturidade
Freqüência
absoluta
Freqüência relativa
(%)
(A) Simples
(A/18)*100
Acumulada
0 Inexistente 13 72,2 72,2
1 Inicial / Ad hoc 2 11,1 83,3
2 Repetitivo mas intuitivo
2 11,1 94,4
3 Processos definidos 1 5,6 100,0
4 Gerenciado e medido 0 0,0 100,0
5 Otimizado 0 0,0 100,0
Total
18 100,0
Tabela 5.18 – Distribuição da freqüência das respostas do processo DS1
De acordo com o que se apurou na pesquisa (Tabela 5.18), a maior freqüência situa-se
no estágio Inexistente, concentrando 72,2% das organizações pesquisadas. A definição dos
acordos de níveis de serviço é a base para o desenvolvimento de vários processos e para
diversas disciplinas do ITIL®, como, por exemplo, a gerência de incidentes e problemas.
0 1 2 3 4 5
DS1 Define os acordos de nível de serviço e provê sua manutenção
Gráfico 5.18 – Níveis de maturidade do processo DS1
É um dos processos com o mais baixo nível de avaliação pesquisado. Existe
convergência da moda e da mediana, registrando desvio-padrão moderado de 0,924 (Apêndice
A).
92
5.3.2 Processo DS2 – Gerencia os serviços de terceiros
O processo DS2 cuida do acompanhamento e da avaliação dos serviços contratados.
Nivel de Maturidade
Freqüência
absoluta
Freqüência relativa
(%)
(A) Simples
(A/18)*100
Acumulada
0 Inexistente 10 55,6 55,6
1 Inicial / Ad hoc 2 11,1 66,7
2 Repetitivo mas intuitivo 6 33,3 100,0
3 Processos definidos 0 0,0 100,0
4 Gerenciado e medido 0 0,0 100,0
5 Otimizado 0 0,0 100,0
Total
18 100,0
Tabela 5.19 – Distribuição da freqüência das respostas do processo DS2
De acordo com a pesquisa (Tabela 5.19), nenhuma das empresas possui modelo
formal para avaliação de serviços terceirizados. Esse resultado decorre da ausência de acordos
formais de níveis de serviço, demonstrada no quesito anterior.
0 1 2 3 4 5
DS2 Gerencia os serviços de terceiros
Gráfico 5.19 – Níveis de maturidade do processo DS2
A moda e a mediana convergem para o estágio Inexistente, e o desvio-padrão é
moderado, correspondendo a 0,943 (Apêndice A).
93
5.3.3 Processo DS3 – Gerencia a performance e a capacidade do ambiente
O processo DS3 cuida da definição dos recursos computacionais, garantindo que não
haja escassez de recursos, nem tampouco subutilização, de modo a evitar problemas de
desempenho nas aplicações ou desperdício de investimentos.
Nivel de Maturidade
Freqüência
absoluta
Freqüência relativa
(%)
(A) Simples
(A/18)*100
Acumulada
0 Inexistente 10 55,6 55,6
1 Inicial / Ad hoc 2 11,1 66,7
2 Repetitivo mas intuitivo 2 11,1 77,8
3 Processos definidos 2 11,1 88,9
4 Gerenciado e medido 1 5,6 94,4
5 Otimizado 1 5,6 100,0
Total
18 100,0
Tabela 5.20 – Distribuição da freqüência das respostas do processo DS3
A pesquisa (Tabela 5.20) mostra que a maior freqüência situa-se no estágio
Inexistente, com 55,6% das organizações pesquisadas. Entretanto, nesse processo, observam-
se organizações em todos os estágios, sendo que 22,3% possuem modelos formais
(maturidade > 3).
0 1 2 3 4 5
DS3 Gerencia a performance e a capacidade do ambiente
Gráfico 5.20 – Níveis de maturidade do processo DS3
Não há convergência das medidas de tendência central, e as medidas de dispersão são
significativas, com desvio-padrão de 1,618 (Apêndice A).
94
5.3.4 Processo DS4 – Assegura a continuidade dos serviços
O processo DS4 cuida da implantação de arquiteturas computacionais de alta
disponibilidade, que visam à manutenção dos sistemas e processos operacionais, reduzindo a
indisponibilidade para o negócio.
Nivel de Maturidade
Freqüência
absoluta
Freqüência relativa
(%)
(A) Simples
(A/18)*100
Acumulada
0 Inexistente 0 0,0 0,0
1 Inicial / Ad hoc 9 50,0 50,0
2 Repetitivo mas intuitivo 7 38,9 88,9
3 Processos definidos 2 11,1 100,0
4 Gerenciado e medido 0 0,0 100,0
5 Otimizado 0 0,0 100,0
Total
18 100,0
Tabela 5.21 – Distribuição da freqüência das respostas do processo DS4
Segundo evidenciado na pesquisa (Tabela 5.21) a maior freqüência situa-se no estágio
Inicial / Ad hoc, registrando-se uma freqüência significativa no estágio Repetitivo mas
intuitivo. A preocupação com a continuidade dos serviços existe; entretanto 11,1% das
organizações transformaram sua preocupação em modelos formais para assegurá-la.
0 1 2 3 4 5
DS4 Assegura a continuidade de serviços
Gráfico 5.21 – Níveis de maturidade do processo DS4
95
Há convergência da mediana e da média e as medidas de dispersão não são
significativas, apresentando desvio-padrão de 0,698 (Apêndice A).
5.3.5 Processo DS5 – Provê a segurança dos serviços
O processo DS5 visa à preservação da confidencialidade, da integridade e da
disponibilidade, garantindo que somente pessoas autorizadas podem acessar a informação, à
exatidão e à completeza da informação, e que quando necessário, a informação estará
disponível. A norma ISO 17799:2000 é um dos modelos que podem ser seguidos para
manutenção da segurança da informação.
Nivel de Maturidade
Freqüência
absoluta
Freqüência relativa
(%)
(A) Simples
(A/18)*100
Acumulada
0 Inexistente 0 0,0 0,0
1 Inicial / Ad hoc 0 0,0 0,0
2 Repetitivo mas intuitivo 16 88,9 88,9
3 Processos definidos 2 11,1 100,0
4 Gerenciado e medido 0 0,0 100,0
5 Otimizado 0 0,0 100,0
Total
18 100,0
Tabela 5.22 – Distribuição da freqüência das respostas do processo DS5
A Tabela 5.22 mostra que 88,9% das organizações encontram-se no estágio Repetitivo
mas intuitivo. Nesse estágio a realização supera a formalização. Observa-se que os incidentes
de segurança, principalmente aqueles relacionados à internet, como propagação de vírus e
invasões, obrigam os gestores de TI a controlar este aspecto de segurança.
96
0 1 2 3 4 5
DS5 Provê a segurança dos serviços
Gráfico 5.22 – Níveis de maturidade do processo DS5
Há convergência de todas as medidas de tendência centrais, e as medidas de dispersão
não são significativas, registrando-se o mais baixo desvio-padrão da pesquisa: 0,323. Indica
uma convergência das organizações pesquisadas (Apêndice A).
5.3.6 Processo DS6 – Identifica e aloca custos
O processo DS6 preocupa-se com a correta alocação das despesas e investimentos de
TI nos devidos centros de custos. Quando corretamente realizado, possibilita avaliar o custo
dos projetos de acordo com as áreas de negócio.
Nivel de Maturidade
Freqüência
absoluta
Freqüência relativa
(%)
(A) Simples
(A/18)*100
Acumulada
0 Inexistente 6 33,3 33,3
1 Inicial / Ad hoc 1 5,6 38,9
2 Repetitivo mas intuitivo 2 11,1 50,0
3 Processos definidos 3 16,7 66,7
4 Gerenciado e medido 4 22,2 88,9
5 Otimizado 2 11,1 100,0
Total
18 100,0
Tabela 5.23 – Distribuição da freqüência das respostas do processo DS6
Segundo a pesquisa (Tabela 5.23) a maior freqüência situa-se no estágio Inexistente;
entretanto, registram-se freqüências significativas em todos os níveis de maturidade.
97
0 1 2 3 4 5
DS6 Identifica e aloca custos
Gráfico 5.23 – Níveis de maturidade do processo DS6
Não há convergência de nenhuma das medidas de tendência centrais, e as medidas de
dispersão são significativas, sendo o desvio-padrão de 1,896, o maior valor registrado. Como
o próprio nome já diz, tais medidas indicam que as organizações pesquisadas estão dispersas
por todos os níveis de maturidade (Apêndice A).
5.3.7 Processo DS7 – Treina os usuários
O processo DS7 verifica o treinamento dos usuários.
Nivel de Maturidade
Freqüência
absoluta
Freqüência relativa
(%)
(A) Simples
(A/18)*100
Acumulada
0 Inexistente 10 55,6 55,6
1 Inicial / Ad hoc 2 11,1 66,7
2 Repetitivo mas intuitivo 6 33,3 100,0
3 Processos definidos 0 0,0 100,0
4 Gerenciado e medido 0 0,0 100,0
5 Otimizado 0 0,0 100,0
Total
18 100,0
Tabela 5.24 – Distribuição da freqüência das respostas do processo DS7
A Tabela 5.24 mostra que a maior freqüência situa-se no estágio Inexistente e que
nenhuma das organizações pesquisadas possui modelo formal para treinamento dos usuários.
98
0 1 2 3 4 5
DS7 Treina os usuários
Gráfico 5.24 – Níveis de maturidade do processo DS7
Não há convergência das medidas de tendência centrais, e as medidas de dispersão são
significativas, registrando desvio-padrão igual a 0,943 (Apêndice A).
5.3.8 Processo DS8 – Assiste e aconselha os usuários
O processo DS8 observa a atuação pró-ativa da área de TI em relação aos seus clientes
internos. Ao contrário do service desk cuja atuação ocorre quando acionado, nesse processo a
iniciativa cabe à área de TI.
Nivel de Maturidade
Freqüência
absoluta
Freqüência relativa
(%)
(A) Simples
(A/18)*100
Acumulada
0 Inexistente 4 22,2 22,2
1 Inicial / Ad hoc 8 44,4 66,7
2 Repetitivo mas intuitivo 5 27,8 94,4
3 Processos definidos 1 5,6 100,0
4 Gerenciado e medido 0 0,0 100,0
5 Otimizado 0 0,0 100,0
Total
18 100,0
Tabela 5.25 – Distribuição da freqüência das respostas do processo DS8
De acordo com a Tabela 5.25, 94,4% das organizações pesquisadas não possuem
modelos formais para assistência aos usuários, caracterizando a atuação reativa da área de TI.
99
0 1 2 3 4 5
DS8 Assiste e aconselha os usuários
Gráfico 5.25 – Níveis de maturidade do processo DS8
Existe convergência das medidas de tendência central para o estágio Inicial / Ad hoc,
com desvio-padrão de 0,857 (Apêndice A).
5.3.9 Processo DS9 – Gerencia a configuração
O processo DS9 é responsável pela manutenção do banco de dados de configuração,
contemplando todos os itens de configuração de hardware e software, e definindo regras de
manutenção para o suporte e service desk.
Nivel de Maturidade
Freqüência
absoluta
Freqüência relativa
(%)
(A) Simples
(A/18)*100
Acumulada
0 Inexistente 3 16,7 16,7
1 Inicial / Ad hoc 7 38,9 55,6
2 Repetitivo mas intuitivo 7 38,9 94,4
3 Processos definidos 1 5,6 100,0
4 Gerenciado e medido 0 0,0 100,0
5 Otimizado 0 0,0 100,0
Total
18 100,0
Tabela 5.26 – Distribuição da freqüência das respostas do processo DS9
Conforme se observa naTabela 5.26, a maior freqüência situa-se nos estágios Inicial /
Ad hoc e Repetitivo mas intuitivo, indicando que as organizações pesquisadas se preocupam
100
com o assunto e adotam medidas efetivas. Entretanto ainda não formalizaram modelos de
gerência de configuração.
0 1 2 3 4 5
DS9 Gerencia a configuração
Gráfico 5.26 – Níveis de maturidade do processo DS9
Há convergência das medidas de tendência central e caracterização de uma curva
normal, embora o máximo seja o estágio Processos definidos (Apêndice A).
5.3.10 Processo DS10 – Gerencia os problemas e incidentes
O processo DS10 cuida do registro e acompanhamento de todos os incidentes no
ambiente de sistemas. Incidente é um evento não planejado que impede ou atrapalha a
realização do serviço.
Nivel de Maturidade
Freqüência
absoluta
Freqüência relativa
(%)
(A) Simples
(A/18)*100
Acumulada
0 Inexistente 6 33,3 33,3
1 Inicial / Ad hoc 5 27,8 61,1
2 Repetitivo mas intuitivo 2 11,1 72,2
3 Processos definidos 1 5,6 77,8
4 Gerenciado e medido 2 11,1 88,9
5 Otimizado 2 11,1 100,0
Total
18 100,0
Tabela 5.27 – Distribuição da freqüência das respostas do processo DS10
101
A Tabela 5.27 mostra que as maiores freqüências dentre as empresas pesquisadas
situam-se nos estágios Inexistente e Inicial / Ad hoc; entretanto, registram-se freqüências
significativas em todos os estágios de maturidade, demonstrando uma dispersão entre as
organizações nesse processo.
0 1 2 3 4 5
DS10 Gerencia os problemas e incidentes
Gráfico 5.27 – Níveis de maturidade do processo DS10
Não há convergência de nenhuma das medidas de tendência central, e as medidas de
dispersão são significativas, registrando-se o segundo maior desvio-padrão da pesquisa, 1,782
(Apêndice A).
5.3.11 Processo DS11 – Gerencia os dados
O processo DS11 é responsável pela definição do modelo de dados e pelo ciclo de
vida da informação, especificando prazos para manutenção da informação, de acordo com os
requisitos do negócio e a legislação pertinente, bem como as mídias que possam preservar o
desempenho da aplicação e a relação custo/benefício.
102
Nivel de Maturidade
Freqüência
absoluta
Freqüência relativa
(%)
(A) Simples
(A/18)*100
Acumulada
0 Inexistente 11 61,1 61,1
1 Inicial / Ad hoc 3 16,7 77,8
2 Repetitivo mas intuitivo 3 16,7 94,4
3 Processos definidos 1 5,6 100,0
4 Gerenciado e medido 0 0,0 100,0
5 Otimizado 0 0,0 100,0
Total
18 100,0
Tabela 5.28 – Distribuição da freqüência das respostas do processo DS11
Segundo evidenciou a pesquisa (Tabela 5.28) apenas 5,6% das organizações
pesquisadas gerenciam os dados, enquanto 94,4% não possuem modelos formais para esse
fim. O resultado é particularmente preocupante, levando-se em conta que modelos formais de
administração de dados são largamente empregados há mais de duas décadas. Ressalte-se
ainda que a modelagem de dados é a base para construção de sistemas eficazes.
0 1 2 3 4 5
DS11 Gerencia os dados
Gráfico 5.28 – Níveis de maturidade do processo DS11
Há convergência da média e da mediana para o estágio Inexistente, com desvio-padrão
0,970.
103
5.3.12 Processo DS12 – Gerencia a infra-estrutura
O processo DS12 cobre o gerenciamento e administração, desenho e planejamento,
suporte técnico, desenvolvimento e operação, focado nos desafios da infra-estrutura de TI.
Nivel de Maturidade
Freqüência
absoluta
Freqüência relativa
(%)
(A) Simples
(A/18)*100
Acumulada
0 Inexistente 3 16,7 16,7
1 Inicial / Ad hoc 1 5,6 22,2
2 Repetitivo mas intuitivo 11 61,1 83,3
3 Processos definidos 2 11,1 94,4
4 Gerenciado e medido 1 5,6 100,0
5 Otimizado 0 0,0 100,0
Total
18 100,0
Tabela 5.29 – Distribuição da freqüência das respostas do processo DS12
Segundo o resultado da pesquisa (Tabela 5.29) a maior freqüência situa-se no estágio
Repetitivo mas intuitivo, significando que as realizações superam as formalizações.
0 1 2 3 4 5
DS12 Gerencia a infra-estrutura
Gráfico 5.29 – Níveis de maturidade do processo DS12
Registra-se uma convergência de todas as medidas de tendência central e medidas de
dispersão, com desvio-padrão 1,043 e características de uma curva normal (Apêndice A).
104
5.3.13 Processo DS13 – Gerencia as operações
O processo DS13 está relacionado à disciplina de entrega dos serviços, e observa o
funcionamento das operações de TI.
Nivel de Maturidade
Freqüência
absoluta
Freqüência relativa
(%)
(A) Simples
(A/18)*100
Acumulada
0 Inexistente 2 11,1 11,1
1 Inicial / Ad hoc 5 27,8 38,9
2 Repetitivo mas intuitivo 10 55,6 94,4
3 Processos definidos 1 5,6 100,0
4 Gerenciado e medido 0 0,0 100,0
5 Otimizado 0 0,0 100,0
Total
18 100,0
Tabela 5.30 – Distribuição da freqüência das respostas do processo DS13
Segundo a pesquisa (Tabela 5.30), a maior freqüência situa-se no estágio Repetitivo
mas intuitivo, com comportamento similar ao do processo anterior.
0 1 2 3 4 5
DS13 Gerencia as operações
Gráfico 5.30 – Níveis de maturidade do processo DS13
Existe convergência de todas as medidas de tendência central e medidas de dispersão,
com desvio-padrão 0,784 (Apêndice A).
105
5.4 Domínio monitoramento – M
O domínio M alinha-se com a estratégia da empresa, avaliando se as necessidades do
negócio são atingidas com os sistemas de TI e se os objetivos de controle necessários cobrem
os requerimentos regulatórios. Cobre também os objetivos de efetividade e disponibilidade, a
auditoria e os objetivos de controles internos e externos.
5.4.1 Processo M1 – Monitora os processos
O processo M1 acompanha os processos de negócio, incluindo sistemas, tecnologia e
pessoas, e avalia sua adequação aos requerimentos de negócio.
Nivel de Maturidade
Freqüência
absoluta
Freqüência relativa
(%)
(A) Simples
(A/18)*100
Acumulada
0 Inexistente 3 16,7 16,7
1 Inicial / Ad hoc 7 38,9 55,6
2 Repetitivo mas intuitivo 7 38,9 94,4
3 Processos definidos 0 0,0 94,4
4 Gerenciado e medido 1 5,6 100,0
5 Otimizado 0 0,0 100,0
Total
18 100,0
Tabela 5.31 – Distribuição da freqüência das respostas do processo M1
A pesquisa (Tabela 5.31) mostra que as maiores freqüências situam-se nos estágios
Inicial / Ad hoc e Repetitivo mas intuitivo. Um consagrado princípio de administração diz que
“não se pode controlar o que não se pode medir”. Para agregar resultados significativos à
melhoria dos processos, é necessário não apenas monitorar, mas definir métricas de avaliação
de desempenho, base para um processo de melhoria contínua da qualidade (PDCA de
Deming).
106
0 1 2 3 4 5
M1 Monitora os processos
Gráfico 5.31 – Níveis de maturidade do processo M1
Existe convergência das medidas de tendência central, registrando-se desvio-padrão
0,979.
5.4.2 Processo M2 – Analisa a adequação dos controles internos
O processo M2 verifica os controles internos da organização.
Nivel de Maturidade
Freqüência
absoluta
Freqüência relativa
(%)
(A) Simples
(A/18)*100
Acumulada
0 Inexistente 3 16,7 16,7
1 Inicial / Ad hoc 1 5,6 22,2
2 Repetitivo mas intuitivo
3 16,7 38,9
3 Processos definidos 10 55,6 94,4
4 Gerenciado e medido 0 0,0 94,4
5 Otimizado 1 5,6 100,0
Total
18 100,0
Tabela 5.32 – Distribuição da freqüência das respostas do processo M2
Conforme mostram os dados obtidos na pesquisa (Tabela 5.32) a maior freqüência
situa-se no estágio Processos definidos, caracterizando a existência de modelos de processos
formalizados para verificação de controles internos nas organizações pesquisadas. A maioria
das organizações pesquisadas, 61,2% possui nível de maturidade >
3.
107
0 1 2 3 4 5
M2 Analisa a adequação dos controles internos
Gráfico 5.32 – Níveis de maturidade do processo M2
Existe convergência da moda e da mediana para o nível de maturidade 3 com desvio-
padrão 1,328 (Apêndice A).
5.4.3 Processo M3 – Provê auditorias independentes
O processo M3 verifica a existência de auditorias independentes.
Nivel de Maturidade
Freqüência
absoluta
Freqüência relativa
(%)
(A) Simples
(A/18)*100
Acumulada
0 Inexistente 12 66,7 66,7
1 Inicial / Ad hoc 1 5,6 72,2
2 Repetitivo mas intuitivo 2 11,1 83,3
3 Processos definidos 3 16,7 100,0
4 Gerenciado e medido 0 0,0 100,0
5 Otimizado 0 0,0 100,0
Total
18 100,0
Tabela 5.33 – Distribuição da freqüência das respostas do processo M3
De acordo com a pesquisa (Tabela 5.33) 66,7% das organizações pesquisadas não
possuem auditorias independentes. Apenas 16,7% possuem modelos formais de auditoria
independente.
108
0 1 2 3 4 5
M3 Provê auditorias independentes
Gráfico 5.33 – Níveis de maturidade do processo M3
Há convergência da moda e da mediana para o estágio Inexistente, com desvio-padrão
1,215 (Apêndice A).
5.4.4 Processo M4 – Provê segurança independente
O processo M4 verifica a existência de consultoria de segurança de TI independente.
Nivel de Maturidade
Freqüência
absoluta
Freqüência relativa
(%)
(A) Simples
(A/18)*100
Acumulada
0 Inexistente 13 72,2 72,2
1 Inicial / Ad hoc 0 0,0 72,2
2 Repetitivo mas intuitivo 3 16,7 88,9
3 Processos definidos 2 11,1 100,0
4 Gerenciado e medido 0 0,0 100,0
5 Otimizado 0 0,0 100,0
Total
18 100,0
Tabela 5.34 – Distribuição da freqüência das respostas do processo M4
De acordo com a pesquisa (Tabela 5.34) 72,2% das organizações pesquisadas não
possuem avaliações de segurança independentes. Apenas 11,1% possuem modelos formais
independentes para avaliação da segurança.
109
0 1 2 3 4 5
M4 Provê segurança independente
Gráfico 5.34 – Níveis de maturidade do processo M4
Há convergência da moda e da mediana para o estágio Inexistente, com desvio-padrão
1,138 (Apêndice A).
5.5 Conhecimento das tecnologias
5.5.1 ITIL®
O ITIL® é uma biblioteca de infra-estrutura de TI que endereça as melhores práticas
de gestão.
Conhecimento da tecnologia
Freqüência
absoluta
Freqüência relativa
(%)
(A) Simples
(A/18)*100
Acumulada
0 Não conhece / Não ouviu falar sobre o assunto
1 5,6 5,6
1 Ouviu falar ou leu sobre o assunto
12 66,7 72,2
2 Está pensando em adotar na organização
4 22,2 94,4
3 Está certificando a equipe com o objetivo de implantar
0 0,0 94,4
4 Possui projetos em andamento baseados no conceito
1 5,6 100,0
5 Os projetos foram concluídos e estão em fase de otimização
0 0,0 100,0
Total
18 100,0
Tabela 5.35 – Distribuição da freqüência das respostas do ITIL®
110
Segundo a pesquisa (Tabela 5.35) apenas uma organização possui projetos baseados
no conceito, enquanto 94,4% delas não possuem ações concretas na direção da
implementação de melhores práticas de Governança de TI baseadas no ITIL®.
0 1 2 3 4 5
ITIL
Gráfico 5.35 – Conhecimento do ITIL®
Existe convergência de todas as medidas de tendência central para o nível Ouviu falar
ou leu sobre o assunto, com desvio-padrão 0,840 (Apêndice B).
5.5.2 CobiT®
CobiT® é uma estrutura formal de resultados a serem alcançados pela implementação
de procedimentos de controle em atividades específicas de TI.
Conhecimento da tecnologia
Freqüência
absoluta
Freqüência relativa
(%)
(A) Simples
(A/18)*100
Acumulada
0 Não conhece / Não ouviu falar sobre o assunto
9 50,0 50,0
1 Ouviu falar ou leu sobre o assunto
8 44,4 94,4
2 Está pensando em adotar na organização
1 5,6 100,0
3 Está certificando a equipe com o objetivo de implantar
0 0,0 100,0
4 Possui projetos em andamento baseados no conceito
0 0,0 100,0
5 Os projetos foram concluídos e estão em fase de otimização
0 0,0 100,0
Total
18 100,0
Tabela 5.36 – Distribuição da freqüência das respostas do CobiT®
111
A Tabela 5.36 demonstra que a metade das organizações pesquisadas não ouviu falar
sobre CobiT® e que apenas 5,6% estão pensando em adotá-lo.
0 1 2 3 4 5
CobiT
Gráfico 5.36 – Conhecimento do CobiT
Não há convergência das medidas de tendência central, e medidas de dispersão não
são significativas, com desvio-padrão 0,616 (Apêndice B).
5.5.3 IT Governance Maturity Model
IT Governance Maturity Model é um modelo de avaliação de serviços de TI baseado
no modelo de maturidade.
Conhecimento da tecnologia
Freqüência
absoluta
Freqüência relativa
(%)
(A) Simples
(A/18)*100
Acumulada
0 Não conhece / Não ouviu falar sobre o assunto
3 16,7 16,7
1 Ouviu falar ou leu sobre o assunto
13 72,2 88,9
2 Está pensando em adotar na organização
2 11,1 100,0
3 Está certificando a equipe com o objetivo de implantar
0 0,0 100,0
4 Possui projetos em andamento baseados no conceito
0 0,0 100,0
5 Os projetos foram concluídos e estão em fase de otimização
0 0,0 100,0
Total
18 100,0
Tabela 5.37 – Distribuição da freqüência das respostas do IT Governance Maturity Model
112
Segundo apurou a pesquisa (Tabela 5.37), a maior freqüência dentre os gestores de TI
refere-se a Ouviu falar ou leu sobre o assunto; entretanto, apenas 11,1% pensam em adotá-lo
na organização.
0 1 2 3 4 5
IT Governance Maturity Model
Gráfico 5.37 – Conhecimento do IT Governance Maturity Model
Existe convergência de todas as medidas de tendência central no nível 1 e as medidas
de dispersão não são significativas, com desvio-padrão 0,539 (Apêndice B).
5.5.4 PMBOK
PMBOK (Project Management Body of Knowledge) é uma metodologia para
gerenciamento de projetos.
Conhecimento da tecnologia
Freqüência
absoluta
Freqüência relativa
(%)
(A) Simples
(A/18)*100
Acumulada
0 Não conhece / Não ouviu falar sobre o assunto
2 11,1 11,1
1 Ouviu falar ou leu sobre o assunto
10 55,6 66,7
2 Está pensando em adotar na organização
6 33,3 100,0
3 Está certificando a equipe com o objetivo de implantar
0 0,0 100,0
4 Possui projetos em andamento baseados no conceito
0 0,0 100,0
5 Os projetos foram concluídos e estão em fase de otimização
0 0,0 100,0
Total
18 100,0
Tabela 5.38 – Distribuição da freqüência das respostas do PMBOK
113
A maior freqüência da pesquisa (Tabela 5.38) demonstra que 55,6% correspondem a
Ouviu falar ou leu sobre o assunto; entretanto, nenhuma das organizações pesquisadas está se
preparando para implantar ou tem projetos baseados no PMBOK.
0 1 2 3 4 5
PMBOK
Gráfico 5.38 – Conhecimento do PMBOK
Existe convergência de todas as medidas de tendência central no nível 1, e as medidas
de dispersão não são significativas, com desvio-padrão 0,647 (Apêndice B).
5.5.5 CMM SW
CMM SW (Capability Maturity Model for Software) é um modelo de maturidade
aplicado ao desenvolvimento de software.
Conhecimento da tecnologia
Freqüência
absoluta
Freqüência relativa
(%)
(A) Simples
(A/18)*100
Acumulada
0 Não conhece / Não ouviu falar sobre o assunto
0 0,0 0,0
1 Ouviu falar ou leu sobre o assunto
18 100,0 100,0
2 Está pensando em adotar na organização
0 0,0 100,0
3 Está certificando a equipe com o objetivo de implantar
0 0,0 100,0
4 Possui projetos em andamento baseados no conceito
0 0,0 100,0
5 Os projetos foram concluídos e estão em fase de otimização
0 0,0 100,0
Total
18 100,0
Tabela 5.39 – Distribuição da freqüência das respostas do CMM SW
114
Segundo a pesquisa (Tabela 5.39) 100% dos gestores de TI assinalaram Ouviu falar ou
leu sobre o assunto; entretanto, não existem ações objetivando a implantação de um modelo
de maturidade para construção de software.
0 1 2 3 4 5
CMMSW
Gráfico 5.39 – Conhecimento do CMM SW
Todas as medidas de tendência central e de dispersão convergem para o nível 1 e o
desvio-padrão é nulo (Apêndice B).
CAPÍTULO 6
CONCLUSÃO
O problema levantado na presente dissertação enfatiza a necessidade de focar as ações
no gerenciamento dos serviços de TI, observando-se todos os processos envolvidos:
planejamento e organização, aquisição e implementação, entrega e suporte aos serviços e
monitoramento. O trabalho avaliou os níveis de maturidade da Governança de TI em
indústrias de grande porte.
O presente estudo objetivou contribuir para a teoria, mediante revisão bibliográfica, e
para a prática, por meio da realização de pesquisa empírica para avaliação dos níveis de
maturidade da Governança de TI em indústrias de grande porte.
O referencial teórico apresenta uma consolidação de extensa pesquisa bibliográfica do
estado-da-arte em Governança de TI, consignando guias de melhores práticas, framework de
auditoria e métricas para avaliação.
No início do estudo formula-se a hipótese H
1
: As indústrias de grande porte
encontram-se em níveis de maturidade de Governança com Processos definidos, ou, pelo
menos, Repetitivo mas intuitivo, haja vista que atuam em mercados globalizados como
exportadores recebendo influências da Lei Sarbanes-Oxley, e/ou são empresas de capital
aberto, para as quais existe a cartilha Recomendações da CVM sobre Governança
Corporativa (CVM, 2002).
116
Os resultados do experimento não validaram a hipótese H
1
. As organizações
pesquisadas, pertencentes ao ramo de atividade indústria e ao segmento de grande porte,
possuem iniciativas de implementação de modelos de Governança de TI incipientes ou não as
possuem. Ao observar a medida estatística que determina a maior freqüência, a moda
(Apêndice A), dos 34 processos do CobiT®, verifica-se que 16 processos encontram-se no
estágio Inexistente (PO4, PO6, PO8, PO10, PO11, AI2, AI6, DS1, DS2, DS3, DS6, DS7,
DS10, DS11, M3 e M4) e 8 se situam no Inicial / Ad hoc (PO1, PO5, PO7, AI1, DS4, DS8,
DS9 e M1).
Os mais baixos níveis de maturidade foram encontrados nos processos PO6 Gerencia
as comunicações das diretrizes de TI, PO11 Gerencia a qualidade e AI6 Gerencia mudanças.
Na segunda hipótese elaborada, H
2
, afirma-se que: Os resultados do experimento
deverão caracterizar uma mobilização dos setores de TI das indústrias de grande porte
objetivando a adesão a normas e padrões (compliance) e a implantação de melhores práticas
de gerenciamento de serviços e infra-estrutura de TI (best pratices).
A tabulação das respostas obtidas não validou a hipótese H
2
. Para o autor, o
comportamento da área de TI pode ser caracterizado como reativo, levando-se em conta que
os processos com maior nível de maturidade (Processos definidos), em que foram encontrados
modelos formais, decorrem de exigências de outras áreas, tais como: Financeiro,
Controladoria e Auditoria. Esses processos dizem respeito à aquisição de infra-estrutura (AI3),
em que o Financeiro exige análise de viabilidade econômica para aprovação do investimento;
a Controladoria exige alocação de custos (DS6); e a Auditoria determina a adequação de
controles internos (M2).
Na terceira hipótese formulada, a H
3
, afirma-se que: Os executivos de TI das
indústrias de grande porte pesquisadas possuem um conhecimento a respeito de métodos e
práticas que fundamentam a implantação da Governança de TI, e estão treinando sua equipe
técnica para apoiar o desenvolvimento do trabalho.
Os resultados da pesquisa evidenciaram um desconhecimento da teoria que suporta a
aplicação de melhores práticas, metodologias, ferramentas e critérios de avaliação, visando à
elevação dos níveis de maturidade dos processos que compõem a Governança de TI (ver
117
seções 5.5.1, 5.5.2 e 5.5.3). Nenhuma das organizações pesquisadas possuía técnicos sendo
treinados ou em fase de certificação no ITIL® ou no CobiT®, com o objetivo de aplicar em
projetos na organização. Tais resultados invalidaram a hipótese H
3
.
Considerações finais
De modo geral, os dados obtidos no estudo indicam que as organizações pesquisadas
ainda não estão se preparando para adequação aos regulamentos e recomendações na área de
TI e, como conseqüência, pode haver impactos no negócio da empresa. O cumprimento das
exigências da Lei Sarbanes-Oxley deverá forçar a adoção de guias de melhores práticas para
as empresas que exportam para o mercado norte-americano. Empresas de capital aberto serão
classificadas para operações em mercados, níveis 1 e 2 e novo mercado, de acordo com a
adesão voluntária às recomendações de boas práticas de governança corporativa da CVM.
Na opinião do autor, baseada no estudo das referências bibliográficas que
fundamentaram este trabalho, a implantação de guias de melhores práticas em organizações
de grande porte pode demandar em média dois anos. Os resultados obtidos no estudo de caso
ficaram aquém das expectativas do autor reportadas nas três hipóteses definidas na
introdução. Esperava-se um maior grau de conscientização da importância da adequação às
recomendações de boas práticas de Governança, e também uma mobilização mais
significativa.
Limitações da pesquisa
Devido às dificuldades para obtenção de respostas do questionário da pesquisa, o
estudo limitou-se às indústrias de grande porte. A idéia inicial contemplava um estudo por
ramo de atividade, fornecendo análises comparativas dos resultados. Entretanto, apenas os
gestores de TI dessas organizações responderam o questionário.
Uma segunda limitação também foi causada pela dificuldade de obtenção das
respostas, pois dos 79 questionários enviados, retornaram respondidos apenas 19, apesar de
118
insistentes cobranças. Embora o retorno de 24,05%, próximo do retorno médio padrão de 25%
(SALOMON, 1994), resulte em uma amostra capaz de refletir as características da população
de onde foi extraída (MCDANIEL e GATES, 2003), era esperada uma amostra mais
significativa.
Por não ter sido encontrado estudo similar na pesquisa bibliográfica, disponível até a
presente data, não foi possível realizar análises comparativas ou tentativas de determinar o
grau de confiabilidade dos resultados, por meio de cálculos estatísticos de margem de erro,
dada a inviabilidade de comparações entre pesquisas.
Embora tenha havido preocupação com o rigor científico, os resultados da avaliação
dos níveis de maturidade de Governança de TI podem mudar em um curto período, em
decorrência de: (a) exigências regulatórias da Lei Sarbanes-Oxley, obrigando as companhias
ao cumprimento de seus dispositivos em filiais de empresas americanas localizadas em outros
países e de fornecedores de empresas americanas, afetando empresas nacionais exportadoras
(SARBANES-OXLEY ACT, 2002); e (b) recomendações da Comissão de Valores
Mobiliários contempladas na cartilha Recomendações da CVM sobre Governança
Corporativa (CVM, 2002), afetando empresas de capital aberto.
Sugestões de trabalhos futuros
O presente trabalho objetivou avaliar os níveis de maturidade da Governança de TI em
indústrias de grande porte no país. Possíveis extensões ao presente trabalho podem avaliar a
evolução ocorrida em um período determinado. As exigências regulatórias vigentes no
mercado internacional, já se iniciando no Brasil deverão provocar mudanças significativas no
cenário no curto prazo.
Estudos comparativos por porte da empresa (micro, pequenas, médias e grandes) ou
por ramo de atividade (construção civil, comércio e serviços) podem ser desenvolvidos.
Um estudo específico no ramo financeiro poderá avaliar como as instituições
financeiras nacionais estão reagindo frente às determinações do Acordo de Basiléia 2,
119
porquanto já existem prazos determinados por normativos do Banco Central para
implementação de requisitos de formalização de processos e controle de riscos operacionais,
com influência direta nos processos de TI.
Por fim, sugere-se também estudos comparativos entre organizações de mesmos porte
e ramo de atividade, restringindo o universo de pesquisa a empresas multinacionais presentes
no Brasil e que tenham matriz ou filiais nos Estados Unidos, já que estas estão condicionadas
ao cumprimento da Lei Sarbanes-Oxley.
REFERÊNCIAS BIBLIOGRÁFICAS
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 17799:
tecnologia da informação: código de prática para a gestão da segurança da informação.
Rio de Janeiro: 2001.
ASTI VERA, A. Metodologia da pesquisa científica. 5. ed. Porto Alegre: Globo, 1979.
BAKOS, J. Y. & TREACY, M. E. Information technology and corporate strategy: a
research perspective. MIS Quartely, y. 10, n. 2, Jun. 1986, p. 107-119.
BALANCED SCORECARD. The Balanced ScoreCard Institute. Disponível em
<http://www.balancedscorecard.org>. Acesso em: 12 ago. 2004.
BANK FOR INTERNATIONAL SETTLEMENTS (BIS). Comitê da Basiléia sobre a
supervisão bancária. Basiléia: Press & Comunications, 2004.
BERTON, L. H. Indicadores de desempenho e as práticas de boa governança
corporativa. Tese (Doutorado em Engenharia de Produção) – Universidade Federal de Santa
Catarina, Florianópolis, 2003.
BRITISH STANDARD. BS 7799-1:1999. Information security management – Part 1:
code of practice for information security management. BSI/DISC Committee BDD/2.
London: 1999.
121
BRITISH STANDARD. BS 15000-1:2002. IT service management – part 1: specification
for service management. Technical Committee BDD/3 – Information services management.
London: 2002.
BRITISH STANDARD. BS 15000-2:2003. IT service management – part 2: code of
practice for service management. Technical Committee BDD/3 – Information services
management. London: 2003.
BROADBENT, M. Creating effective IT governance. Gartner Symposium IT EXPO,
Anais... Florida, 2002.
BROADBENT, M. Tailor IT governance to your Enterprise. Gartner. Disponível em
<http://www.itsmf.it/download/PAGINE_BIANCHE/Gartner.ppt>. Acesso em 05 dez.
2005.
BRODBECK, H. J. Governança de TI. Porto Alegre: Universidade Federal do Rio Grande
do Sul, 2005.
CARR, N. G. Does IT matter? information technology and the corrosion of competitive
advantage. Boston: Harvard Business School Press, 2004.
COEN, G; RUBINATO FILHO, S. itSMF no Brasil. In: IT Service Management Forum.
Disponível em <http://www.itsmf.com.br>. Acesso em 07 jun. 2005.
COMISSÃO DE VALORES MOBILIÁRIOS (CVM). Recomendações da CVM sobre
Governança Corporativa. São Paulo: 2002.
COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY
COMMISSION. Internal Control: integrated framework. Disponível em
<http://www.COSO.org>. Acesso em 09 out. 2005.
FERNANDES, J. H. C. Para onde seguem os modelos de qualidade de TI e software:
relação entre os modelos CMMI, CobiT®, ITIL® e SPICE. Simpósio Brasileiro de Banco
de Dados, Simpósio Brasileiro de Engenharia de Software, 2004.
122
FIORINI, S. T.; STAA, A. V.; BAPTISTA, R.M. Engenharia de software com CMM. Rio
de Janeiro: Brasport, 1998.
FORTE, S. H. A. C. Manual de elaboração de tese, dissertação e monografia. Fortaleza:
Universidade de Fortaleza, 2001.
FUNKE, M. ITIL®: o lema da TI é servir bem. Informática Hoje, p. 10-16, nov. 2004.
FURLAN, J. D. Como elaborar e implementar o planejamento estratégico de sistemas de
informação. São Paulo: Makron, McGraw-Hill, 1991.
GUIMARÃES, J. L. Qualidade competitiva no Brasil: transformando valores, atitudes e
comportamentos na busca da qualidade total. Salvador: Casa da Qualidade, 1995.
HP®. Modelo de referência de gereciamento de serviços de TI da HP (ITSM). HPL 5981-
8794PTL, 2004.
HP®. Modelo de referência HP ITSM. Disponível em <http://hp.com.br/itsm>. Acesso
em 21 abr. 2005.
IBM. Gerenciamento de serviços de TI: processos ITIL®. Disponível em
<http://ibm.com/br/navcode>. Acesso em 02 nov. 2005.
IDC. Pesquisa CIO metrics. Disponível em <http://idc.com>. Acesso em 30 jun. 2005.
IDC. Pesquisa IT fórum. Disponível em <http://idc.com>. Acesso em 30 jun. 2005a.
INFORMATION SYSTEM AUDIT & CONTROL ASSOCIATION (ISACA). CobiT®:
control objectives for enterprise governance. Ilinois: IT Governance Institute, 1999.
INFORMATION SYSTEM AUDIT & CONTROL ASSOCIATION (ISACA). IS standards,
guidelines and procedures for auditing and control professionals. Ilinois: ISACA, 2005.
123
INTERNATIONAL STANDARDS ORGANISATION. ISO/IEC 17799:2000 : code of
practice for information security management. Switzerland: ISO, 2000.
IT GOVERNANCE INSTITUTE. Disponível em <http://www.itgovernance.org>. Acesso
21 abr. 2005.
IT GOVERNANCE INSTITUTE. Board briefing on IT governance. Ilinois: IT Governance
Institute, 2003.
IT GOVERNANCE INSTITUTE. CobiT® framework. Ilinois: IT Governance Institute,
2000.
IT GOVERNANCE INSTITUTE. CobiT® mapping: overview of international IT
guidance. Ilinois: IT Governance Institute, 2004a.
IT GOVERNANCE INSTITUTE. IT control objectives for Sarbanes-Oxley: the
importance of IT in the design, implementation and sustainability of internal control
over disclosure and financial reporting. Ilinois: IT Governance Institute, 2004b.
ITAUTEC. SYSCORE. Disponível em <http://www.itautec.com.br/ebusiness>. Acesso em
18 out. 2005.
LAPPONI, J. C. Estatística usando o Excell. Rio de Janeiro: Elsevier, 2005.
LIMA, H. R.; MENEZES, H. N. Planejamento estratégico corporativo e planejamento de
tecnologia da informação. Monografia (Pós-graduação em Administração Financeira) –
Universidade de Fortaleza – UNIFOR, Fortaleza, 1996.
MAGALHÃES FILHO, P. A. O.; MENDES-DA-SILVA, W. Verificando associações entre
governança corporativa e governança de tecnologia da informação: uma análise
empírica com indústrias brasileiras. 2
o
Congresso Anual de Tecnologia da Informação
(CATI 2005). Escola de Administração de Empresas de São Paulo da Fundação Getúlio
Vargas (FGV – EASP). Disponível em
<http://www.fgvsp.br/cati/index.cfm?FuseAction=anais>. Acesso em 05 dez. 2005.
124
MCDANIEL, C. D.; GATES, R. Pesquisa de marketing. São Paulo: Pioneira Thomson
Learning, 2003.
MENEZES, H. N.; SILVA FILHO, J. B. Um modelo de planejamento de tecnologia da
informação integrado ao planejamento estratégico corporativo. In: Congresso Regional
da Sociedade Brasileira de Gestão do Conhecimento, 2003, Fortaleza. Anais... Fortaleza:
SBGC, 2003.
MENEZES, V. Motivação: o elo perdido da qualidade. Crato: Gráfica Universitária, 1995.
MENEZES, V. Qualidade total: os princípios do Dr. Deming frente à realidade
brasileira. Crato: Gráfica Universitária, 1997.
MICROSOFT®. Introdução ao MOF - Microsoft Operations Framework. Disponível em
<http://www.microsft.com/brasil/security/guidance/topics/wlans/ogch10.mspx>. Acesso
em 02 nov. 2005.
MICROSOFT®. Microsoft Operations Framework - MOF. Disponível em
<http://www.microsft.com/technet/itsolutions/cits/mo/mof/default.mspx>. Acesso em 23
abr. 2005.
MONTEIRO, C. Implementando governança de TI utilizando framework COBIT®. São
Paulo: IT Partners, 2005.
NORTON, D. P. Medir a criação de valor, uma tarefa possível. HSM Management, n. 24, p.
88-94, jan/fev 2001.
NORTON, D. P.; KAPLAN, R. S. A estratégia em ação: balanced scorecard. Rio de Janeiro:
Campus, 1997.
NORTON, D. P.; KAPLAN, R. S. A revolução analisada dez anos depois. HSM
Management, n. 27, p. 100-104, jul/ago 2001.
125
OFFICE OF GOVERNMENT COMMERCE (OGC). About ITIL®. Disponível em
<http://www.ogc.gov.uk>. Acesso 01 mai. 2005.
OFFICE OF GOVERNMENT COMMERCE (OGC). An introduction to ITIL®. London:
TSO, 2004a.
OFFICE OF GOVERNMENT COMMERCE (OGC). Best practice for application
management. ITIL®. London: TSO, 2005a.
OFFICE OF GOVERNMENT COMMERCE (OGC). Best practice for business
perspective: the IS view on delivering services to the business. ITIL®. London: TSO, 2004b.
OFFICE OF GOVERNMENT COMMERCE (OGC). Best practice for ICT infrastructure
management. ITIL®. London: TSO, 2004c.
OFFICE OF GOVERNMENT COMMERCE (OGC). Best practice for planning to
implement service management. ITIL®. London: TSO, 2005b.
OFFICE OF GOVERNMENT COMMERCE (OGC). Best practice for service delivery.
ITIL®. London: TSO, 2005c.
OFFICE OF GOVERNMENT COMMERCE (OGC). Best practice for security
management. ITIL®. London: TSO, 2004d.
OFFICE OF GOVERNMENT COMMERCE (OGC). Best practice for service support.
ITIL®. London: TSO, 2004e.
OFFICE OF GOVERNMENT COMMERCE (OGC). Best practice for software asset
management. ITIL®. London: TSO, 2004f.
SALOMON, D. V. Como fazer uma monografia. São Paulo: Martins Fontes, 1994.
SARBANES-OXLEY ACT. Congress of the United States of America. Washington: 2002.
126
SEBRAE. Boletim Estatístico de micro e pequenas empresas. Observatório Sebrae, 2005.
Disponível em <http://www.sebrae.com.br/br/mpe_numeros/>. Acesso em 02 nov. 2005.
SIQUEIRA FILHO, J. B.; SILVA FILHO, J.B. Tecnologia da informação para
administradores. Fortaleza: Universidade de Fortaleza, 2004.
SPIEGEL, M. R. Estatística: resumo da teoria, 875 problemas resolvidos, 619 problemas
propostos. Coleção Schaum. São Paulo: McGraw-Hill do Brasil, 1976.
TAPSCOTT, D. Growing up digital: the rise of the next generation. New York: McGraw-
Hill, 1999.
TAPSCOTT, D.; TICOLL, D. A empresa transparente: como a era da transparência
revolucionará os negócios. São Paulo: M. Books do Brasil, 2005.
TEIXEIRA JÚNIOR, F. Alinhamento estratégico entre os negócios e a tecnologia da
informação (TI): Estudo de Caso em uma Instituição Financeira. Dissertação (Mestrado em
Administração de Empresas) – Universidade de Fortaleza, Fortaleza, 2003.
TOFFLER, A. A empresa flexível. Rio de Janeiro: Record, 1985.
VANNI, R. M. P. Governança de TI na Universidade de São Paulo. São Paulo: USP, 2005.
APÊNDICES
APÊNDICE A – ANÁLISE ESTATÍSTICA DAS QUESTÕES
RELACIONADAS AOS PROCESSOS
MEDIDAS DE TENDÊNCIA CENTRAL
Processo Média
Mediana
Moda
PO1 Define a estratégia de TI 1 1 1
PO2 Define a arquitetura da informação 2 2 2
PO3 Determina a direção tecnológica 2 2 2
PO4 Define a organização de TI e seus relacionamentos 1 1 0
PO5 Gerencia os investimentos de TI 2 2 1
PO6 Gerencia as comunicações das diretrizes de TI 0 0 0
PO7 Gerencia os recursos humanos 1 1 1
PO8 Assegura alinhamento de TI com requerimentos externos 1 1 0
PO9 Avalia os riscos 2 2 2
PO10 Gerencia os projetos 1 0 0
PO11 Gerencia a qualidade 0 0 0
AI1 Identifica as soluções de automação 1 1 1
AI2 Adquire os softwares e provê sua manutenção
1 0 0
AI3 Adquire a infra-estrutura tecnológica e provê sua manutenção 2 3 3
AI4 Desenvolve os procedimentos e provê sua manutenção 2 2 2
AI5 Instala e certifica os softwares
3 3 3
AI6 Gerencia mudanças 0 0 0
DS1 Define os acordos de nível de serviço e provê sua manutenção 1 0 0
DS2 Gerencia os serviços de terceiros 1 0 0
DS3 Gerencia a performance e a capacidade do ambiente
1 0 0
DS4 Assegura a continuidade de serviços 2 2 1
DS5 Provê a segurança dos serviços 2 2 2
DS6 Identifica e aloca custos 2 3 0
DS7 Treina os usuários 1 0 0
DS8 Assiste e aconselha os usuários 1 1 1
DS9 Gerencia a configuração 1 1 1
DS10 Gerencia problemas e incidentes 2 1 0
DS11 Gerencia os dados 1 0 0
128
DS12 Gerencia a infra-estrutura 2 2 2
DS13 Gerencia as operações 2 2 2
M1 Monitora os processos 1 1 1
M2 Analisa a adequação dos controles internos 2 3 3
M3 Provê auditorias independentes 1 0 0
M4 Provê segurança independente 1 0 0
Tabela A.1 – Medidas de tendência central dos processos
Medidas de tendêncial central
0
1
2
3
4
5
1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33
Questões
Maturidade
Média Mediana Moda
Gráfico A.1 – Medidas de tendência central dos processos
MEDIDAS DE DISPERSÃO
Processo
Mínimo Máximo Desvio-
padrão
Variância
PO1 Define a estratégia de TI
0 2 0,647 0,418
PO2 Define a arquitetura da informação
1 4 0,767 0,588
PO3 Determina a direção tecnológica
0 3 0,786 0,618
PO4 Define a organização de TI e seus relacionamentos
0 5 1,629 2,654
PO5 Gerencia os investimentos de TI
0 5 1,259 1,585
PO6 Gerencia as comunicações das diretrizes de TI
0 2 0,705 0,497
PO7 Gerencia os recursos humanos
0 4 1,179 1,389
PO8 Assegura alinhamento de TI com requerimentos externos
0 2 0,857 0,735
PO9 Avalia os riscos
0 4 0,832 0,693
PO10 Gerencia os projetos
0 2 0,786 0,618
PO11 Gerencia a qualidade
0 2 0,686 0,471
AI1 Identifica as soluções de automação
0 2 0,583 0,340
AI2 Adquire os softwares e provê sua manutenção
0 4 1,364 1,859
AI3 Adquire a infra-estrutura tecnológica e provê sua manutenção
0 3 1,211 1,467
AI4 Desenvolve os procedimentos e provê sua manutenção
0 4 0,958 0,918
AI5 Instala e certifica os softwares
1 4 0,778 0,605
AI6 Gerencia mudanças
0 2 0,669 0,448
129
DS1 Define os acordos de nível de serviço e provê sua manutenção
0 3 0,924 0,853
DS2 Gerencia os serviços de terceiros
0 2 0,943 0,889
DS3 Gerencia a performance e a capacidade do ambiente
0 5 1,618 2,618
DS4 Assegura a continuidade de serviços
1 3 0,698 0,487
DS5 Provê a segurança dos serviços
2 3 0,323 0,105
DS6 Identifica e aloca custos
0 5 1,896 3,595
DS7 Treina os usuários
0 2 0,943 0,889
DS8 Assiste e aconselha os usuários
0 3 0,857 0,735
DS9 Gerencia a configuração
0 3 0,840 0,706
DS10 Gerencia problemas e incidentes
0 5 1,782 3,176
DS11 Gerencia os dados
0 3 0,970 0,941
DS12 Gerencia a infra-estrutura
0 4 1,043 1,088
DS13 Gerencia as operações
0 3 0,784 0,614
M1 Monitora os processos
0 4 0,979 0,958
M2 Analisa a adequação dos controles internos
0 5 1,328 1,765
M3 Provê auditorias independentes
0 3 1,215 1,477
M4 Provê segurança independente
0 3 1,138 1,294
Tabela A.2 – Medidas de dispersão dos processos
Medidas de dispersão
0
1
2
3
4
5
1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33
Questões
Maturidade
Mínimo Máximo Desvio-padrão Variância
Gráfico A.2 – Medidas de dispersão dos processos
130
APÊNDICE B – ANÁLISE ESTATÍSTICA DAS QUESTÕES
RELACIONADAS AO CONHECIMENTO DA TECNOLOGIA
MEDIDAS DE TENDÊNCIA CENTRAL
Conhecimento da tecnologia Média
Mediana
Moda
ITIL
1 1 1
CobiT
1 1 0
IT Governance Maturity Model
1 1 1
PMBOK
1 1 1
CMM SW
1 1 1
Tabela B.1 – Medidas de tendência central do conhecimento da tecnologia
Medidas de tendêncial central
0
1
2
3
4
5
35 36 37 38 39
Questões
Conhecimento da
tecnologia
Média Mediana Moda
Gráfico B.1 – Medidas de tendência central do conhecimento da tecnologia
131
MEDIDAS DE DISPERSÃO
Conhecimento da tecnologia
Mínimo Máximo Desvio-
padrão
Variância
ITIL
0 4 0,840 0,706
CobiT
0 2 0,616 0,379
IT Governance Maturity Model
0 2 0,539 0,291
PMBOK
0 2 0,647 0,418
CMM SW
1 1 0,000 0,000
Tabela B.2 – Medidas de dispersão do conhecimento da tecnologia
Medidas de dispersão
0
1
2
3
4
5
35 36 37 38 39
Questões
Conhecimento da tecnologia
Mínimo Máximo Desvio-padrão Variância
Gráfico B.2 – Medidas de dispersão do conhecimento da tecnologia
132
APÊNDICE C – QUESTIONÁRIO UTILIZADO NA PESQUISA
UNIVERSIDADE DE FORTALEZA (UNIFOR)
MESTRADO EM INFORMÁTICA APLICADA (MIA)
QUESTIONÁRIO
Este questionário é parte do projeto de dissertação que avalia o nível de Governança de
Tecnologia da Informação (TI) nas empresas, sob orientação do Prof. Dr. José Bezerra da
Silva Filho. O objetivo principal da Governança de TI é alinhar a tecnologia da informação ao
negócio, agregando valor e minimizando riscos. É uma estrutura de relações e processos que
dirige e controla uma organização a fim de atingir seu objetivo de adicionar valor ao negócio
através do gerenciamento balanceado do risco com o retorno do investimento. Os modelos de
Governança de TI são recomendações baseadas nas melhores práticas de mercado.
Empresa: ______________________________________________________________
Cargo: ________________________________________________________________
As questões deste bloco avaliam o modelo de planejamento e organização da estrutura
de TI. Para cada processo, selecione, dentre as seis afirmações, aquela que melhor
representa o atual estágio de TI em sua empresa.
1. A definição da estratégia de TI clarifica e formaliza, por meio de um plano estratégico, até
onde a organização quer chegar, vinculando as diretrizes de TI às necessidades do negócio.
Em relação à definição da estratégia de TI:
( ) Não existe um plano estratégico formal de TI; a atuação da TI visa atender à demanda
( ) Embora não exista um plano estratégico formal de TI, há a percepção da necessidade de
elaborá-lo
( ) Além de se perceber a necessidade de formalizar um plano estratégico de TI, as ações
implementadas nessa área ocorrem de maneira coordenada
( ) Há um plano estratégico de TI formalizado
( ) Há um plano estratégico de TI formalizado e métricas de avaliação
( ) Há um plano estratégico de TI formalizado, métricas de avaliação e ações de melhoria
133
2. A definição da arquitetura da informação descreve como a organização dos sistemas de
informação é suportada pela manutenção de um modelo de informações de negócio e pela
garantia de que os sistemas são apropriados e estão definidos para otimizar o uso de
informações. Em relação a essa disciplina:
( ) Não há conscientização da importância d a arquitetura da informação na empresa
( ) Embora não exista uma arquitetura formal, há o reconhecimento da necessidade de
formalizar diagramas de dados, documentação e regras sintáticas
( ) Além de se perceber a necessidade de formalizar a arquitetura, há implementações
isoladas e parciais de diagramas de dados, documentação e regras sintáticas
( ) Há uma arquitetura formalizada
( ) Há uma arquitetura formal e métricas para avaliação
( ) Há uma arquitetura formal, métricas para avaliação e ações de melhoria
3. A direção tecnológica determina a visão de futuro de tecnologia e a aderência a padrões,
como por exemplo: software livre ou mercado, dotNet ou java, UML, RUP etc. Em relação à
determinação da direção tecnológica:
( ) Não há uma direção tecnológica formal; as tecnologias são implementadas de acordo
com as necessidades das áreas de negócio, independentemente da plataforma
( ) Embora não exista uma determinação formal, há a percepção da necessidade de
formalizá-la
( ) Além de se perceber essa necessidade, registram-se algumas ações da área de TI nesse
sentido
( ) Há uma formalização da direção tecnológica
( ) Há uma formalização e métricas para avaliação do andamento
( ) Há uma formalização, métricas para avaliação do andamento e ações de melhoria
4. A definição da organização de TI e seus relacionamentos estabelecem a estrutura da área de
TI, plano de carreira, cargos com seus papéis e os relacionamentos com as outras áreas da
organização. Em relação à definição da organização de TI e seus relacionamentos:
( ) Não há uma estrutura formalmente definida
( ) Embora não exista uma definição formal, há a percepção dessa necessidade
( ) Além de perceber essa necessidade, desenvolvem-se ações nessa direção
( ) Há uma definição formalizada
( ) Há uma definição formal e métricas para avaliação do andamento
( ) Há uma definição, métricas para avaliação do andamento e ações de melhoria
134
5. O gerenciamento financeiro avalia o retorno dos investimentos, contabiliza os
investimentos, o custeio, e faz a apropriação por centro de custos. Em relação ao
gerenciamento financeiro:
( ) Não há gerenciamento financeiro sistematizado
( ) Embora não exista gerenciamento financeiro sistematizado, há a percepção da
necessidade de sistematizá-lo
( ) Além de perceber a necessidade de sistematização do gerenciamento financeiro, alguns
projetos são avaliados, com adequada apropriação de seus custos
( ) Há uma sistematização do gerenciamento financeiro
( ) Há uma sistematização do gerenciamento financeiro e métricas para avaliação
( ) Há uma sistematização do gerenciamento financeiro, métricas para avaliação e ações de
melhoria
6. O gerenciamento das comunicações das diretrizes de TI desenvolve e implanta planos de
comunicação que visam disseminar o conhecimento das estratégias de TI em toda a
organização. Em relação a essa disciplina:
( ) Não há gerenciamento da comunicação na área de TI; comunicações são efetuadas
pontualmente
( ) Embora não exista um gerenciamento da comunicação formalizado, há a percepção da
necessidade de formalizá-lo
( ) Além de se perceber a necessidade de formalizar um gerenciamento da comunicação,
parte das diretrizes de TI são adequadamente comunicadas
( ) Há um plano de comunicação de TI formalizado
( ) Há um plano formalizado e métricas para avaliação do andamento
( ) Há um plano formalizado, métricas para avaliação e ações de melhoria
7. O gerenciamento dos recursos humanos cuida do recrutamento, contratação e capacitação
da equipe em relação ao negócio, e das tecnologias que compõem a diretriz tecnológica. Em
relação a essa disciplina:
( ) Não há plano de capacitação incluindo orçamento para investimento em capacitação e
desenvolvimento
( ) Embora não existam um plano e um orçamento designados, há a percepção da
necessidade de elaborá-los
( ) Além de se perceber a necessidade de um plano de capacitação e de um orçamento, os
investimentos são pontualmente direcionados
( ) Há um plano de capacitação e um orçamento formalizados
( ) Há um plano de capacitação, orçamento e métricas para avaliação
( ) Há um plano de capacitação, orçamento, métricas para avaliação e ações de melhoria
135
8. O alinhamento de TI com os requerimentos externos observa o grau de adesão entre os
regulamentos externos, assim como as necessidades explícitas das áreas de negócio em
relação ao planejamento e às ações da área de TI. Em relação a essa disciplina:
( ) Não há adesão, ou não se pode medi-la, devido à ausência de definições formais do
negócio ou de TI
( ) Embora não exista alinhamento de TI com os requerimentos externos, há a percepção da
necessidade de promovê-lo
( ) Além de se perceber a necessidade de promover o alinhamento de TI com os
requerimentos externos, registram-se ações concretas nessa direção
( ) Existem planos formais formalizados
( ) Existem planos formais e métricas para avaliar o alinhamento
( ) Existem planos formais, métricas para avaliar o alinhamento e ações de melhoria
9. A avaliação dos riscos de TI analisa ameaças, impactos no negócio e vulnerabilidades da
informação e das instalações, bem como a probabilidade de sua ocorrência. Em relação a essa
disciplina:
( ) Não foi efetuada uma avaliação do risco
( ) Embora não tenha sido efetuada uma avaliação do risco, há a percepção da necessidade
de fazê-lo
( ) Além de se perceber a necessidade de fazer uma avaliação dos riscos, registram-se ações
para mitigar vulnerabilidades
( ) Há uma avaliação formal do risco
( ) Foi feita uma análise, e há métricas para avaliação das ações
( ) Foi feita uma análise, há métricas para avaliação das ações, e a organização se encontra
no estágio de otimização
10. O gerenciamento de projetos de TI se dá mediante observância de modelos e melhores
práticas de mercado, como, por exemplo, CMM, PMBOK e PRINCE2. Em relação ao
gerenciamento de projetos de TI:
( ) Não há implementação de metodologia para gerenciamento de projetos
( ) Embora não seja implementada metodologia de gerenciamento de projetos, há a
percepção da necessidade de construí-la
( ) Além de se perceber a necessidade de se construir uma metodologia de gerenciamento
de projetos, registram-se ações pontuais baseadas em métodos e nas melhores práticas
( ) Há uma metodologia de gerenciamento de projetos
( ) Há uma metodologia de gerenciamento de projetos e métricas para avaliação
( ) Há uma metodologia de gerenciamento de projetos, métricas para avaliação e ações de
melhoria
136
11. O gerenciamento da qualidade de TI observa a qualidade da entrega de softwares
utilizando guias, como, por exemplo, CMM e ISO 9001:2000. Em relação a gerência da
qualidade:
( ) Não há modelo de avaliação de qualidade de software
( ) Embora não existam modelos de avaliação da qualidade de software, há a percepção da
necessidade de adotá-los
( ) Além de se perceber a necessidade de adoção de modelos de qualidade de software,
registram-se na área de TI ações nessa direção
( ) Há um modelo de qualidade de software elaborada
( ) Há um modelo de qualidade de software e métricas para avaliação
( ) Há um modelo de qualidade de software, métricas para avaliação e ações de melhoria
As questões deste bloco avaliam a aquisição e implementação de software e hardware.
Para cada processo, selecione, dentre as seis afirmações, aquela que melhor representa o
estágio atual de TI em sua empresa.
12. O processo de identificação das soluções de automação analisa as necessidades de
automação dos processos do negócio. Em relação a esse processo:
( ) Não há um modelo formal de identificação de soluções
( ) Embora não exista um modelo formal para identificação de soluções de TI, há a
percepção da necessidade de formalizá-lo
( ) Além de se perceber a necessidade de formalizar o processo de identificação de soluções
de automação, algumas demandas são tratadas via RFI (Request for ideas)
( ) Há um modelo formal de RFI
( ) Há um modelo formal de RFI e métricas de avaliação
( ) Há um modelo formal de RFI, métricas de avaliação e ações de melhoria
13. O processo de aquisição e manutenção de softwares define modelos de avaliação para
contratação de softwares, como, por exemplo, o Gap skill analisys. Em relação a esse
processo:
( ) Não há um modelo-padrão para a contratação de software
( ) Embora não exista um modelo formal para contratação de software, há a percepção da
necessidade de construí-lo
( ) Além de se perceber a necessidade de se construir um modelo-padrão para contratação
de software, algumas demandas são tratadas por meio de modelos de referência
( ) Há um modelo formal para contratação de software
( ) Há um modelo formal para contratação de software e métricas de avaliação
( ) Há um modelo formal para contratação de software, métricas de avaliação e ações de
melhoria
137
14. O processo de aquisição e manutenção da infra-estrutura tecnológica define modelos de
avaliação para contratação de equipamentos e serviços de infra-estrutura. Em relação a este
processo:
( ) Não há um modelo-padrão para a contratação de infra-estrutura
( ) Embora não exista um modelo formal para a contratação de infra-estrutura, há a
percepção da necessidade de formalizá-lo
( ) Além de se perceber a necessidade de se formalizar um modelo para contratação de
infra-estrutura, algumas demandas são tratadas por meio de modelos de referência
( ) Há um modelo formal para contratação de infra-estrutura
( ) Há um modelo formal para contratação de infra-estrutura e métricas de avaliação
( ) Há um modelo formal para contratação de infra-estrutura, métricas de avaliação e ações
de melhoria
15. O processo de desenvolvimento e manutenção de procedimentos trata da construção de
descrições formais dos processos da área de TI. Em relação a essa disciplina:
( ) Não há uma descrição formal dos procedimentos da área de TI
( ) Embora não exista uma descrição formal dos procedimentos da área de TI, há a
percepção da necessidade de formalizá-lo
( ) Além de se perceber a necessidade de se formalizar os procedimentos da área de TI, os
processos estão parcialmente documentados
( ) Há um processo de documentação dos procedimentos da área de TI formalizado
( ) Há documentação formal dos procedimentos da área de TI e métricas de avaliação
( ) Há documentação formal dos procedimentos da área de TI, métricas de avaliação e
ações de melhoria
16. O processo de instalação e certificação de softwares trata da instalação dos softwares em
ambiente de homologação e dos testes de certificação que possibilitam a liberação para o
ambiente de produção. Em relação a esse processo:
( ) Não há um ambiente isolado para instalação e certificação de softwares, nem de
procedimentos formais
( ) Embora não exista um ambiente isolado para instalação e certificação de softwares, nem
de procedimentos formais, há a percepção da necessidade de adoção dessas providências
( ) Além de se perceber a necessidade um ambiente isolado para instalação e certificação de
softwares, bem como de procedimentos formais, algumas instalações já obedecem a esse
modelo
( ) Há um ambiente isolado para instalação e certificação de softwares e procedimentos
formais
( ) Há um ambiente isolado para instalação e certificação de softwares, procedimentos
formais e métricas de avaliação
( ) Há um ambiente isolado para instalação e certificação de softwares, procedimentos
formais, métricas de avaliação e ações de melhoria
138
17. O gerenciamento de mudanças avalia e aprova as mudanças no ambiente de TI, tanto em
equipamentos e arquitetura, como em sistemas e processos. Em relação a essa disciplina:
( ) Não há um comitê de mudanças para avaliar e aprovar as mudanças no ambiente de TI
( ) Embora não exista um comitê de mudanças para avaliar e aprovar as mudanças no
ambiente de TI, há a percepção da necessidade de constituí-lo
( ) Além de se perceber a necessidade de se constituir um comitê de mudanças, algumas
mudanças já são tratadas conjuntamente pela área de TI e pela área de negócios
( ) Há um comitê de mudanças
( ) Há um comitê de mudanças e métricas de avaliação
( ) Há um comitê de mudanças, métricas de avaliação e ações de melhoria
As questões deste bloco avaliam a entrega e o suporte. Para cada processo, selecione,
dentre as seis afirmações, aquela que melhor representa o atual estágio de TI em sua
empresa.
18. A definição e manutenção de acordos de níveis de serviço (SLA – Service Level
Agreement) formaliza os níveis de atendimento e de solução requeridos pela área de TI de
seus fornecedores. Em relação a essa atividade:
( ) Não há formalização de SLA
( ) Embora não exista SLA, há a percepção da necessidade de formalizá-lo
( ) Além de se perceber a necessidade de formalizar, há revisões contratuais em andamento
( ) Todos os contratos estão sendo revisados para incluir SLAs
( ) Há SLA e processo formal de acompanhamento
( ) Há SLA, processo formal de acompanhamento e ações de melhoria
19. O gerenciamento de serviços de terceiros cuida do acompanhamento e da avaliação dos
serviços contratados. Em relação ao gerenciamento de serviços de terceiros:
( ) Não há acompanhamento do cumprimento dos SLAs
( ) Embora não exista acompanhamento, há a percepção da necessidade de se formalizar
esse processo
( ) Além de se perceber essa necessidade, registram-se ações não estruturadas de
acompanhamento
( ) Há um modelo de acompanhamento e controle
( ) Há um modelo formal, com métricas de avaliação
( ) Há um modelo formal, métricas para avaliação e ações de melhoria
139
20. O gerenciamento do desempenho e da capacidade do ambiente cuida da definição dos
recursos computacionais, garantindo que não há escassez de recursos, nem tampouco
subutilização, o que pode ocasionar problemas de desempenho nas aplicações, ou desperdício
de investimentos. Em relação ao gerenciamento do desempenho e da capacidade do ambiente:
( ) Não há um processo contínuo, nem ferramentas de medição e projeção
( ) Embora não exista processo contínuo, há a percepção da necessidade de desenvolver o
processo e/ou adquirir ferramenta
( ) Além de se perceber a necessidade, alguns componentes são avaliados esporadicamente
( ) Há um modelo contínuo e avaliação de ferramentas
( ) Há um modelo elaborado e ferramenta implantada com métricas para avaliação de
desempenho
( ) Há um modelo elaborado e ferramenta implantada, métricas de avaliação e ações de
melhoria
21. A continuidade dos serviços é uma disciplina que cuida da implantação de arquiteturas
computacionais de alta disponibilidade, que visam à manutenção dos sistemas e processos
operacionais, reduzindo o impacto da indisponibilidade sobre o negócio. Em relação à
manutenção da continuidade dos serviços:
( ) Não há um ciclo contínuo de avaliação de sistemas e processos, nem implementações
que visem à continuidade
( ) Embora não exista um ciclo contínuo, há a percepção da necessidade
( ) Além de perceber a necessidade, registram-se ações pontuais para manutenção da
continuidade dos serviços
( ) Há um processo formal
( ) Há um processo contínuo e métricas para avaliação
( ) Há um processo contínuo, métricas para avaliação e ações de melhoria
22. A manutenção da segurança da informação visa à preservação da confidencialidade,
integridade e da disponibilidade, garantindo que somente pessoas autorizadas podem acessar a
informação, a exatidão e completeza da informação, e que, quando necessário, a informação
estará disponível. A norma ISO 17799:2000 é um dos modelos que podem ser seguidos para
manutenção da segurança. Em relação a essa disciplina:
( ) Não existe adesão a nenhum modelo de segurança
( ) Embora não exista adesão, há a percepção da necessidade de adesão
( ) Além de perceber a necessidade, existem ações pontuais focadas em segurança
( ) Há um projeto de adesão a normas de segurança
( ) A estrutura de TI é obediente à normas de segurança e existem métricas para avaliação
( ) A estrutura de TI é obediente à normas de segurança, métricas para avaliação e ações de
melhoria
140
23. A identificação e a alocação de custos se preocupa com a correta alocação das despesas e
investimentos de TI nos devidos centros de custos. Quando corretamente apropriado,
possibilita avaliar o custo dos projetos de acordo com as áreas de negócio. Em relação a esse
processo:
( ) As despesas são alocadas no centro de custos de TI
( ) Embora as despesas sejam alocadas dessa forma, há a percepção da necessidade de
mudança
( ) Além de se perceber essa necessidade, as despesas relacionadas a alguns projetos já são
alocadas por centro de custos
( ) Há um plano de alocação de despesas por centro de custos
( ) Há um método formal de alocação e métricas para avaliação
( ) Há um método formal, métricas para avaliação e ações de melhoria
24. Em relação ao treinamento dos usuários:
( ) Não há plano de capacitação dos usuários; treinamentos ocorrem para atender à
demanda, ou por ocasião de novas implantações
( ) Embora não exista um plano formal, há a percepção dessa necessidade
( ) Além de se perceber essa necessidade, há alguns planos de capacitação já estruturados
( ) Há um plano de capacitação
( ) Há um plano de capacitação e métricas para avaliação
( ) Há um plano de capacitação, métricas para avaliação e ações de melhoria
25. A assistência e o aconselhamento aos usuários observa a atuação pró-ativa da área de TI
em relação aos seus clientes internos. Ao contrário do service desk cuja atuação ocorre
quando acionado, nesse processo a iniciativa cabe à área de TI. Em relação a essa disciplina:
( ) A área de TI não toma a iniciativa de atendimento
( ) Embora a área de TI não tome a iniciativa de atendimento, existe a percepção
generalizada de que a qualidade melhoraria se o fizesse
( ) Além dessa percepção, já existem iniciativas isoladas neste sentido
( ) Há um modelo de assistência e acompanhamento
( ) Há um modelo em funcionamento e métricas de avaliação
( ) Há um modelo em funcionamento, métricas de avaliação e ações de melhoria
141
26. O gerenciamento da configuração é responsável pela manutenção do banco de dados de
configuração, contemplando todos os itens de configuração de hardware e software, com
definição de regras de manutenção para o suporte e para o service desk. Em relação a essa
disciplina:
( ) Não há um banco de dados de configuração
( ) Embora não exista um banco de dados, há a percepção da necessidade de implementá-lo
( ) Além de perceber essa necessidade, há alguns itens já controlados
( ) Há um banco de dados de configuração em fase de construção e um software em
implantação
( ) Há um banco de dados de configuração, software implantado e métricas para avaliação
( ) Há um banco de dados de configuração, software implantado, métricas para avaliação e
ações de melhoria
27. O gerenciamento de problemas e incidentes cuida do registro e acompanhamento de todos
os incidentes no ambiente de sistemas. Um incidente é um evento não planejado que impede
ou atrapalha a realização do serviço. Em relação a esse processo:
( ) Não há registro de incidentes no processo de atendimento
( ) Embora não exista registro de problemas, há algum controle de incidentes
( ) Embora não exista registro de problemas, há registro formal de incidentes
( ) Há registro de incidentes, e encontrando-se em implantação a gerência de problemas
( ) Implantada a gerência de incidentes e a gerência de problemas
( ) Em fase de otimização a gerência de incidentes e a gerência de problemas
28. O gerenciamento dos dados é responsável pela definição do modelo de dados e pelo ciclo
de vida da informação, especificando os prazos para manutenção da informação de acordo
com os requisitos do negócio e a legislação pertinente, bem como as mídias que possam
preservar o desempenho da aplicação e a relação custo/benefício. Em relação a esse processo:
( ) Não há definição formal de ciclo de vida da informação
( ) Embora não exista uma definição formal, há a percepção de sua necessidade
( ) Além de se perceber essa necessidade, há algumas definições
( ) Há um modelo formal de ILM (Information Lifecicle Management)
( ) Há um modelo formal de ILM (Information Lifecicle Management) e métricas de
avaliação
( ) Há um modelo formal de ILM (Information Lifecicle Management), métricas de
avaliação e ações de melhoria
142
29. O gerenciamento da infra-estrutura compreende administração, desenho e planejamento,
suporte técnico, desenvolvimento e operação, focado nos desafios da infra-estrutura de TI. Em
relação a essa disciplina:
( ) Não há uma definição formal de atividades e responsabilidades
( ) Embora não exista uma definição formal, há a percepção de sua necessidade
( ) Além de se perceber essa necessidade, há algumas definições
( ) Há um modelo formal
( ) Há um modelo formal e métricas de avaliação
( ) Há um modelo formal, métricas de avaliação e ações de melhoria
30. O gerenciamento de operações é um processo da disciplina de entrega dos serviços, e
observa o funcionamento das operações de TI. Em relação a esse processo:
( ) Não há uma definição formal das operações da área de TI
( ) Embora não exista uma definição formal, há a percepção de sua necessidade
( ) Além de se perceber essa necessidade, há algumas definições
( ) Há um modelo formal
( ) Há um modelo formal e métricas de avaliação
( ) Há um modelo formal, métricas de avaliação e ações de melhoria
As questões deste bloco avaliam o monitoramento. Para cada processo, selecione, dentre
as seis afirmações, a que melhor representa o atual estágio de TI em sua empresa.
31. O monitoramento de processos acompanha os processos de negócio, incluindo sistemas,
tecnologia e pessoas, e avalia sua adequação aos requerimentos de negócio. Em relação a essa
disciplina:
( ) Não há desenho dos processos
( ) Embora não exista um desenho, há a percepção de sua necessidade
( ) Além de se perceber essa necessidade, há alguns desenhos de processos formalizados
( ) Há um mapeamento dos processos
( ) Há um mapeamento dos processos e métricas de avaliação
( ) Há um mapeamento dos processos, métricas de avaliação e ações de melhoria
32. Em relação aos controles internos, pode-se afirmar que:
( ) Não há mecanismos formais de controle interno
( ) Embora não exista mecanismo formal de controle interno, há a percepção de sua
necessidade
( ) Além de se perceber essa necessidade, há alguns controles incipientes
( ) Há um modelo de controles internos
( ) Há um modelo de controles internos e métricas de avaliação
( ) Há um modelo de controles internos, métricas de avaliação e ações de melhoria
143
33. Em relação à auditoria de TI independente:
( ) Não há auditoria independente na área de TI
( ) Embora não exista, há a percepção de sua necessidade
( ) Além de perceber essa necessidade, há proposta em avaliação
( ) Há auditoria independente
( ) Há auditoria independente e métricas de avaliação
( ) Há auditoria independente, métricas de avaliação e ações de melhoria
34. Em relação à consultoria de segurança de TI independente:
( ) Não há consultoria independente na área de segurança
( ) Embora não exista, há a percepção de sua necessidade
( ) Além de perceber essa necessidade, há proposta em avaliação
( ) Há consultoria de segurança independente
( ) Há consultoria de segurança independente e métricas de avaliação
( ) Há consultoria de segurança independente, métricas de avaliação e ações de melhoria
Em relação aos conceitos, práticas e modelos abaixo, informe o seu grau de
conhecimento:
( 0 ) Não conhece / não ouviu falar sobre o assunto
( 1 ) Ouviu falar ou leu sobre o assunto
( 2 ) Está pensando em adotar na organização
( 3 ) Está certificando a equipe com o objetivo de implantar
( 4 ) Em sua organização há em andamento projetos baseados no conceito
( 5 ) Em sua organização há projetos concluídos, em fase de otimização
35. ITIL® – Information Technology Infrastructure Library. O ITIL® é uma biblioteca de
infra-estrutura de TI, que endereça as melhores práticas de gestão de TI.
( 0 ) ( 1 ) ( 2 ) ( 3 ) ( 4 ) ( 5 )
36. CobiT® – Control Objectives for Information Technology. O CobiT® é uma estrutura
formal de resultados a serem alcançados pela implementação de procedimentos de controle
em atividades específicas de TI.
( 0 ) ( 1 ) ( 2 ) ( 3 ) ( 4 ) ( 5 )
37. IT Governance Maturity Model. Modelo de avaliação de serviços de TI baseado no
Modelo de Maturidade (Capability Maturity Model).
( 0 ) ( 1 ) ( 2 ) ( 3 ) ( 4 ) ( 5 )
38. PMBOK – Project Management Body of Knowledge. PMBOK é uma metodologia para
gerenciamento de projetos.
( 0 ) ( 1 ) ( 2 ) ( 3 ) ( 4 ) ( 5 )
39. CMM SW – Capability Maturity Model for Software. Modelo de maturidade aplicado ao
desenvolvimento e manutenção de software.
( 0 ) ( 1 ) ( 2 ) ( 3 ) ( 4 ) ( 5 )
Livros Grátis
( http://www.livrosgratis.com.br )
Milhares de Livros para Download:
Baixar livros de Administração
Baixar livros de Agronomia
Baixar livros de Arquitetura
Baixar livros de Artes
Baixar livros de Astronomia
Baixar livros de Biologia Geral
Baixar livros de Ciência da Computação
Baixar livros de Ciência da Informação
Baixar livros de Ciência Política
Baixar livros de Ciências da Saúde
Baixar livros de Comunicação
Baixar livros do Conselho Nacional de Educação - CNE
Baixar livros de Defesa civil
Baixar livros de Direito
Baixar livros de Direitos humanos
Baixar livros de Economia
Baixar livros de Economia Doméstica
Baixar livros de Educação
Baixar livros de Educação - Trânsito
Baixar livros de Educação Física
Baixar livros de Engenharia Aeroespacial
Baixar livros de Farmácia
Baixar livros de Filosofia
Baixar livros de Física
Baixar livros de Geociências
Baixar livros de Geografia
Baixar livros de História
Baixar livros de Línguas
Baixar livros de Literatura
Baixar livros de Literatura de Cordel
Baixar livros de Literatura Infantil
Baixar livros de Matemática
Baixar livros de Medicina
Baixar livros de Medicina Veterinária
Baixar livros de Meio Ambiente
Baixar livros de Meteorologia
Baixar Monografias e TCC
Baixar livros Multidisciplinar
Baixar livros de Música
Baixar livros de Psicologia
Baixar livros de Química
Baixar livros de Saúde Coletiva
Baixar livros de Serviço Social
Baixar livros de Sociologia
Baixar livros de Teologia
Baixar livros de Trabalho
Baixar livros de Turismo
