Análise da Maturidade dos Processos de Negócio da Instituição X através do Estudo do CobiT Abstract. Managers adopt ICT governance methods’ in order to direct and control an institution aiming to achieve targets for growth of the business. One of these methodologies is the CobiT that in this article will be applied to the Strategic Planning of ICT to analyze the maturity of the business processes of the institution X. Resumo. Gestores adotam metodologias de Governança de TIC com o intuito de dirigir e controlar uma instituição objetivando atingir metas de crescimento do negócio. Uma dessas metodologias é o CobiT que, neste artigo, será aplicado ao Planejamento Estratégico de TIC para analisar a maturidade dos Processos de Negócio da Instituição X.
1. Introdução No mundo atual, com a especialização dos mercados e o alto nível de competitividade entre as empresas, o uso da tecnologia como ferramenta intrínseca da administração comercial já se tornou realidade. Desde a terceira revolução industrial, a TIC - Tecnologia da Informação e Comunicação - tornou-se indispensável ao processo de criar e manter uma empresa, pois os sistemas informatizados fundiram-se à própria essência da vida moderna [Campos 1999]. Assim sendo, para conseguir chegar ao topo dos mercados, faz-se necessário a organização de sistemas de informação para manipular os dados operacionais e auxiliar nas decisões a serem tomadas, tudo visando o melhor custo benefício. Surge, assim, a Governança em Tecnologia da Informação e Comunicação (GTIC). Esta é uma composição de procedimentos relacionados para dirigir e controlar uma instituição objetivando atingir suas metas de crescimento do negócio através do gerenciamento de informações e dos riscos comerciais pela plataforma de TIC [Campos 1999]. Dessa maneira, não pairam mais dúvidas sobre a importância do uso da tecnologia nos ramos organizacionais e seus benefícios, desde que as instituições tenham uma boa infra-estrutura para poder entender e interpretar as informações adquiridas, controlando, assim, os efeitos decorrentes do uso das novas TIC. Como solução para os problemas descritos acima são utilizados modelos de GTIC para suportar o planejamento estratégico das empresas. Neste trabalho, o modelo a ser analisado e aplicado é o CobiT (Control Objectives for Information and related Technology). 1.1. Trabalhos Relacionados O trabalho [Santos e Matta 2008] demonstra a importância da utilização de um plano de GTIC para gerir a infra-estrutura de tecnologia da informação e comunicação. Ele mostra que para se tornar viável a prática de educação à distância, tem-se como condição básica a utilização de uma aplicação de gestão de TIC baseada em um modelo de governança. Como sugestão de metodologias para implementação do programa proposto no trabalho, tem-se a combinação do CobiT com o ITIL (Information Technology Infrastructure Library) . Assim como o presente trabalho, o trabalho de [Santos e Matta 2008] aborda como modelo de Governança de TIC o CobiT. Porém, faz somente uma sugestão de implementação do mesmo, diferentemente do que este trabalho propõe-se a fazer: a análise da maturidade de processos de negócios da instituição X com a aplicação do CobiT (a instituição em questão foi propositadamente nomeada X para a não identificação dos autores deste trabalho, respeitando-se assim a revisão cega do mesmo). Já no trabalho [Satin e Schveitzer 2007] foi elaborado um planejamento estratégico de TIC e por fim o documento foi avaliado seguindo as recomendações do processo PO1 do modelo CobiT. De maneira similar, uma das contribuições do presente trabalho é fazer uma análise de um Planejamento Estratégico de TIC através de todos os processos do CobiT.
2. Conceitos Fundamentais As seções seguintes tratarão de conceitos que serão utilizados no decorrer deste trabalho. 2.1. Tecnologia da Informação e Comunicação (TIC) Muitas são as designações dadas ao termo Tecnologia da Informação e Comunicação (TIC), mas nenhuma consegue ser abrangente o suficiente para determiná-lo com completude. Segundo [Alecrim 2008], pode-se definir a TIC como sendo um conjunto de atividades e soluções providas por recursos de computação. Além dessa classificação, o termo também é utilizado por [Luftman et al. 1993] para designar o conjunto de recursos tecnológicos e computacionais utilizados para fornecer dados, informações e conhecimento. A adoção de TIC também é reconhecida como um processo de mudança que além de incluir o ambiente tecnológico, também abrange o ambiente técnico, os recursos humanos e toda a estrutura da organização [Teixeira e Rodrigues 2004]. Neste trabalho, a utilização do conceito de TIC envolve a união de todas as definições supracitadas. 2.2. Governança de Tecnologia da Informação e Comunicação (GTIC) A GTIC é composta por estruturas e processos que têm como objetivo assegurar que a Tecnologia da Informação e Comunicação suporte e maximize de maneira adequada os objetivos e estratégias de negócio da organização. Dessa forma, espera-se que sejam adicionados valores aos serviços entregues, que os riscos sejam balanceados e que se obtenha o retorno sobre os investimentos em TIC. Estando relacionada com os focos Valor de Serviços de TIC para o negócio e Mitigação de Riscos de TIC, a GTIC possui cinco domínios, sendo eles: Alinhamento Estratégico, Valor de TIC, Gerenciamento de Risco, Gerenciamento de Recursos e Medidas de Desempenho. Os modelos de GTIC podem ser associados para um melhor resultado no gerenciamento de TIC das empresas. Alguns exemplos deles são: Balanced Scorecard, ITIL e CobiT. Este último será apresentado mais adiante neste trabalho na forma de um guia descrevendo a sua utilização ou aplicação. 2.3. Planejamento Estratégico de TIC (PETIC) O PETIC é uma nova metodologia para dar suporte à GTIC que está sendo concebida na instituição X. Como o próprio nome diz, consiste em um conjunto de normas e diretrizes para a concepção de um planejamento estratégico voltado para a área de Tecnologia da Informação e Comunicação. Através dele, é feita uma avaliação das condições atuais da empresa e, baseando-se nelas, são previstas futuras necessidades de TIC. O planejamento consiste na realização de processos seqüenciais a fim de determinar objetivos e metas que podem ser alcançados utilizando recursos de TIC [Vicente et al 2007]. Esses recursos, que podem ser tecnologias, dados, aplicações e pessoas, são escolhidos com o intuito de constituir um conjunto de Sistemas de Informação que suporte eficiente e eficazmente o negócio.
2.4. CobiT O CobiT é um modelo de GTIC que vem sendo muito utilizado por gestores de empresas. Ele é um guia formulado como framework livre e aberto mantido pela Information Systems Audit and Control Association (ISACA) para auxiliar no gerenciamento e no controle das iniciativas de TIC [Luciano 2006]. O CobiT é recomendado por especialistas em gestão e institutos independentes para: (i) Gerentes que precisam fazer avaliação do risco e controle dos investimentos de TIC melhorando o retorno sobre os mesmos em uma organização; (ii) Usuários que possuem produtos e serviços dependentes de serviços de TIC e precisam de garantias de que estes estão sendo bem gerenciados e (iii) Auditores que, através das recomendações do CobiT, podem avaliar o nível da gestão de TIC e aconselhar o controle interno da organização [ITGI 2007]. A orientação de negócio do CobiT é altamente focada no controle e menos em execução. Para isso, são fornecidas boas práticas a fim de aperfeiçoar investimentos e indicadores para medir o sucesso de suas conquistas. Além disso, o framework tem como metas o auxílio ao negócio uma vez que garante o alinhamento dos objetivos de negócio a objetivos de TIC, a utilização responsável dos recursos de TIC e o apropriado gerenciamento de riscos [ITGI 2007]. Como mostra a Figura 1, o CobiT é dividido em 4 domínios e 34 processos que abrangem diferentes áreas de TIC. O domínio Planejamento e Organização (Plan and Organize) descreve os processos PO1 a PO10, o domínio Aquisição e Implantação (Acquire and Implement) descreve os processos AI1 a AI7, o domínio Entrega e Suporte (Deliver and Support) descreve os processos DS1 a DS13 e o domínio Monitoração e Avaliação (Monitor and Evaluate) descreve os processos ME1 a ME4.
Figura 1. Visão geral do CobiT
Nas próximas seções, serão mostradas características básicas do CobiT: focado no negócio, orientado ao processo, baseado em controles e direcionado à medição. 2.4.1. Focado no negócio Como principal tema do CobiT, tem-se a orientação ao negócio. Isso decorre do fato dele ser projetado para ser utilizado em organizações em geral, não sendo somente específico para as organizações de TIC. Como princípio básico do framework destaca-
se: “Provimento da informação que a empresa requer para alcançar seus objetivos e para as necessidades da empresa em investir, gerenciar e controlar os recursos de TIC usando um conjunto estruturado de processos para prestar os serviços de informação requeridos.” [ITGI 2007]. 2.4.2. Baseado em controles O CobiT define objetivos de controle para os 34 processos presentes em seus domínios. Cada objetivo de controle consiste em práticas, políticas, procedimentos e estruturas organizacionais que têm por finalidade controlar efetivamente cada processo de TIC através de ações para aumentar o valor ou reduzir riscos e garantir que os objetivos de negócio serão alcançados e eventos indesejados serão prevenidos [ITGI 2007]. 2.4.3. Direcionado à medição Devido à necessidade de os gerentes das empresas precisarem entender o nível atual da organização e decidir em que nível chegar, o CobiT dispõe de três ferramentas para auxiliar nesse processo: Modelos de Maturidade, Métricas e Objetivos de desempenho e Metas de atividades [ITGI 2007]. 2.4.4. Orientado ao Processo O CobiT divide as atividades de TIC em um modelo composto por 4 domínios identificados pelas iniciais em inglês e que podem ser mapeados para as tradicionais áreas de TIC: Planejamento, Construção, Execução e Monitoração [ITGI 2007]. Na próxima seção, será apresentado um guia para análise da maturidade dos processos de uma organização utilizando o CobiT.
3. Guia simplificado e prático para analisar a maturidade dos processos de uma organização utilizando o CobiT Esse guia consiste das descrições dos processos presentes no CobiT e de um modelo de maturidade genérico adotado pelo mesmo. Sua utilização é bem simples bastando a identificação dos processos presentes na organização utilizando a seção 3.1 e, através da tabela contendo o modelo de maturidade genérico presente na seção 3.2, fazer uma análise da maturidade dos processos que foram identificados. Feito isso, preenche-se uma matriz, como a mostrada na seção 4, para se ter uma visão geral da maturidade dos processos da instituição. Tendo preenchido a matriz, faz-se uma análise da mesma verificando qual é o nível no qual a organização se encontra e, assim, define-se a maturidade da mesma. 3.1. Identificação dos Processos de Negócio Como já foi dito, o CobiT é dividido em 4 domínios e cada um deles é composto por processos. Nas próximas seções, serão mostrados os domínios do CobiT com a descrição dos respectivos processos. 3.2.1 Planejamento e Organização (PO) O primeiro domínio do CobiT é “Planejamento e Organização” (PO). Esse domínio apresenta estratégias e táticas para a melhor utilização da TIC visando alcançar os
objetivos e metas do negócio. Como a estratégia precisa ser planejada, comunicada e gerenciada por diferentes perspectivas o domínio sugere a criação de um plano estratégico de TIC para gerenciar todos os recursos de TI. Com ele, uma infra-estrutura tecnológica adequada deve ser posta em prática. A Tabela 1 mostra todos os processos do domínio e suas descrições. Tabela 1. Descrição dos Processos do Domínio PO Processos
Descrição
PO1 Definição de um Planejamento Estratégico de TI
Para gerenciar e direcionar os recursos de TIC e obter um valor otimizado de projetos e serviços é necessária a elaboração de um Planejamento Estratégico de TI.
PO2 Definição da Arquitetura de Informação
A função dos Sistemas de Informação é criar e atualizar regularmente um modelo de informação empresarial e definir os sistemas adequados para otimizar a utilização dessa informação. Isso envolve o desenvolvimento de um dicionário de dados que tenha as regras, o esquema de classificação e o nível de segurança dos dados
PO3 Determinar Direção Tecnológica
Criar um plano de infra-estrutura tecnológica que estabeleça e gere expectativas sobre o que a tecnologia pode oferecer em termos de produtos, serviços e mecanismos de entrega.
PO4 Definir os Processos de TI, Organização e Relacionamentos
Para se definir a TIC de uma organização consideram-se diversos requisitos, dentre eles, os recursos humanos com a separação de funções e hierarquia. Logo, esta organização está inserida em um processo de TIC que garanta a transparência e controle bem como o envolvimento de altos executivos e gestão empresarial.
PO5 Gerenciar os investimentos de TI
É estabelecido um framework para a gestão da TIC voltada para investimentos e programas que englobam os custos, benefícios e prioridades e um processo formal de planejamento orçamentário.
PO6 Comunicar os objetivos de Gestão e Direção
A Gestão desenvolve um framework de controle de TIC e define e comunica políticas. Um programa de comunicação, aprovado e apoiado pela gerência, é implementado para articular a missão, objetivos de serviço, as políticas e procedimentos, etc.
PO7 Gestão de Pessoas da TI
Uma força-tarefa competente é adquirida e mantida para a criação e entrega de serviços de TIC ao negócio. Isto é conseguido quando se seguem práticas definidas e pré-aprovadas de recrutamento, treinamento, avaliação de desempenho, promoções e demissões.
PO8 Gestão de Qualidade
Um Sistema de Gerenciamento de Qualidade é criado e mantido através do desenvolvimento e da aquisição de processos e normas.
PO9 Avaliar e gerir riscos de TI
Um quadro de gestão de risco é criado e mantido para que qualquer potencial impacto sobre os objetivos da organização, causado por um acontecimento não planejado, seja identificado e avaliado.
PO10 Gestão de Projetos
Um framework de gestão de programas e projetos é estabelecido para a gerência de todos os projetos TIC com o objetivo de assegurar a melhor definição de prioridades e coordenação dos mesmos.
3.2.2 Aquisição e Implantação (AI) Para a realização da estratégia de TI, as soluções de TIC precisam ser identificadas, desenvolvidas ou adquiridas, implantadas e integradas ao processo de negócio. Além disso, mudanças e manutenções em sistemas existentes também fazem parte desse domínio para assegurar que as soluções continuam a satisfazer os objetivos da empresa. A Tabela 2 mostra todos os processos do domínio e suas descrições. Tabela 2. Descrição dos Processos do Domínio AI Processos
Descrição
AI1 Identificação de Soluções Automatizadas
Este processo abrange a definição das necessidades, os meios de produção e a conclusão sobre "fazer" ou "comprar". Todos estes passos permitem que as organizações minimizem o custo para adquirir e implementar soluções.
AI2 Aquisição e
Este processo abrange a concepção das aplicações, a correta inclusão de controles de aplicação e dos
manutenção de aplicativos de software
requisitos de segurança, o desenvolvimento e a configuração de acordo com as normas. Isto permite que as organizações apóiem adequadamente as operações comerciais.
AI3 Aquisição e manutenção de Infraestrutura Tecnológica
Requer uma abordagem planejada e que esteja em conformidade com a tecnologia pré-definida e as estratégias da empresa. Isso garante um contínuo apoio tecnológico para aplicações empresariais.
AI4 Permitir Funcionamento e Utilização
O conhecimento sobre novos sistemas são disponibilizadas, com isto, faz-se necessário a produção de documentos e manuais para os utilizadores e fornece formação para garantir a boa utilização e funcionamento de aplicações e infra-estruturas.
AI5 Adquirir Recursos de TI
Exige a definição e execução dos procedimentos de procura, seleção dos fornecedores, configuração das disposições contratuais e a aquisição propriamente dita Recursos de TI
AI6 Gerenciar Mudanças
Todas as mudanças relativas a infra-estrutura e aplicações no ambiente da produção são gerenciadas de uma forma controlada.
AI7 Instalar e Homologar Soluções e Mudanças
Novos sistemas precisam ser feitos de forma operacional até que o desenvolvimento esteja completo. Isto exige que todos os procedimentos anteriormente citados tenham sido feitos com perfeição, inclusive com planejamento, avaliação e todos os testes concluídos.
3.2.3 Entrega e Suporte (DS) Este domínio abrange a real prestação de serviços requisitados, que inclui a prestação de serviços, gestão de segurança e continuidade, serviço de suporte aos usuários, gestão de dados e instalações operacionais. A Tabela 3 mostra todos os processos do domínio e suas descrições. Tabela 3. Descrição dos Processos do Domínio DS Processos
Descrição
DS1 Definir e Gerenciar Níveis de Serviços
Uma comunicação sobre os serviços necessários é feita através de uma definição prévia sobre os serviços de TIC e os níveis de serviço. Este processo inclui também a monitoração e notificação rotineira para os interessados sobre o cumprimento dos níveis de serviço.
DS2 Gerenciamento de Serviços de terceiros
Para assegurar que serviços fornecidos por terceiros estão de acordo com os requisitos comerciais existe um processo de gerenciamento dos mesmos que consiste na definição de papéis, responsabilidades e expectativas em acordos.
DS3 Gerenciamento de Desempenho e Capacidade
Para gerir desempenho e capacidade dos recursos de TIC existe um processo de revisão periódica destes recursos que inclui a previsão de necessidades futuras baseadas nos requisitos de carga de trabalho, armazenamento e contingência.
DS4 Garantir Serviço Contínuo
A necessidade de prestação contínua de serviços de TIC requer o desenvolvimento, a manutenção e testes contínuos dos planos além do fornecimento periódico do plano de treinamento.
DS5 Garantir a Segurança dos Sistemas
A necessidade de manter a integridade das informações e proteger os bens de TIC exige um processo de gestão de segurança. Este processo inclui o estabelecimento e a manutenção de papéis e responsabilidades, políticas, normas e procedimentos de segurança da TI.
DS6 Identificar e Alocar Custos
A necessidade de um sistema de atribuição dos custos de TIC ao negócio requer uma medição precisa dos custos e compatibilidade com os utilizadores empresariais sobre a repartição equitativa. Este processo inclui a construção e operação de um sistema de captação, alocação e informação dos custos de TIC aos usuários dos serviços.
DS7 Instruir e Treinar usuários
Uma educação eficaz de todos os utilizadores dos sistemas de TIC exige identificar as necessidades de formação de cada grupo de usuários e inclui a definição e execução de uma estratégia eficaz para a formação e a avaliação dos resultados.
DS8 Gestão de Service Desk e Incidentes
Este processo inclui a criação de um serviço de atendimento com registros, gráficos de incidentes, tendências e análise das causas e resoluções.
DS9 Gestão de Configuração
Garantir a integridade das configurações de hardware e software requer o estabelecimento e a manutenção de uma rigorosa e completa configuração de reposição ou atualização.
DS10 Gestão de Problemas
Uma gestão de problemas eficaz requer a identificação e classificação dos problemas, análise das causas e resolução de problemas. Esse processo inclui também a formulação de recomendações de melhoria, manutenção de registros dos problemas e avaliação do estado das ações corretivas.
DS11 Gestão de Dados
Para se conseguir uma gestão de dados eficaz exige-se a identificação das necessidades de dados, a criação de procedimentos para gerir a biblioteca dos meios de comunicação, backup e recuperação de dados e a eliminação adequada destes.
DS12 Gestão do Ambiente Físico
Proteção para o pessoal e o equipamento de informática exige instalações físicas planejadas e bem administradas. O processo de gestão do ambiente físico inclui a definição dos requisitos do local físico, seleção de instalações adequadas, conceber processos eficazes para a monitoração dos fatores ambientais e gestão do acesso físico.
DS13 Gestão de Operações
Para se obter um processamento de dados completo e preciso é necessária uma gestão eficaz dos procedimentos de tratamento de dados e uma ativa manutenção de hardware.
3.2.4 Monitoração e Avaliação (ME) Todos os processos de TIC necessitam ser regularmente avaliados ao longo do tempo pela sua qualidade e cumprimento das exigências de controle. Este domínio abrange desempenho de gestão, acompanhamento de controle interno, o cumprimento regulamentar e de governança. A Tabela 4 mostra todos os processos do domínio e suas descrições. Tabela 4. Descrição dos Processos do Domínio ME Processos
Descrição
ME1 Monitoração e Avaliação do Desempenho da TI
Para se chegar a um bom gerenciamento de desempenho de TI, é necessário um processo de acompanhamento. Este processo inclui a definição de relevantes indicadores de desempenho, informação rápida e sistemática do desempenho e boa atuação sob desvios.
ME2 Monitoração e Avaliação do Controle Interno
Estabelecer um programa de controle interno eficaz para TIC exige um processo de acompanhamento bem definido. Este processo inclui o acompanhamento e elaboração de relatórios de exceções, os resultados das auto-avaliações e opiniões de terceiros.
ME3 Garantir a conformidade com os requisitos externos
Uma fiscalização eficaz do cumprimento exige o estabelecimento de um processo de revisão para garantir a observância das disposições legislativas e requisitos contratuais. Este processo inclui a identificação do cumprimento das obrigações, a otimização e avaliação de respostas, obtenção da garantia de que os requisitos foram cumpridos e, finalmente, a integração do relatório positivo da legalidade da TIC com o resto do negócio.
ME4 Prover Governança em TI
Estabelecer um quadro de governança eficaz inclui definir estruturas organizacionais, processos, liderança, papéis e responsabilidades para garantir que os investimentos em TIC estão alinhados e entregues de acordo com estratégias e objetivos empresariais.
3.1. Identificação da Maturidade dos Processos de Negócio Os modelos de maturidade ajudam na avaliação do nível dos processos da organização para que se possa categorizá-lo em um nível de maturidade que vai de Não existente (0) a Otimizado (5). Para se chegar a um nível mais elevado, não é necessário que se tenham sido preenchidas todas as condições do nível inferior. Na Tabela 5, é mostrado o modelo de maturidade genérico adotado pelo CobiT. Tabela 5. Modelo de Maturidade Genérico Nível 0 Não existente
Descrição Não há processos reconhecidos nem há o entendimento da necessidade de se gerenciá-los.
1 Inicial / Ad Hoc
A empresa reconhece a necessidade de gerenciamento do processo, embora não existam padrões para o mesmo, somente abordagens locais. No geral, o gerenciamento está desorganizado.
2 Repetitivo, mas intuitivo
Procedimentos similares são adotados por diferentes pessoas na execução de mesmas tarefas. Cada uma assume a responsabilidade desses, já que não há padronização por parte da empresa.
3 Definido
Procedimentos são padronizados, documentados e comunicados através de treinamento. A empresa recomenda a utilização dos mesmos, mas não há nenhuma obrigatoriedade nem fiscalização. É o início da
formalização das práticas existentes. 4 Gerenciado e mensurado
Os gerentes monitoram a conformidade com os procedimentos e agem quando os processos parecem não estar trabalhando efetivamente. Há um constante melhoramento dos processos.
5 Otimizado
Os processos estão no nível de melhores práticas e são baseados em resultados de melhoramento contínuo e modelagem de maturidade com outras empresas. A TIC é usada de forma integrada para automatizar o fluxo de trabalho, provendo ferramentas para melhorar a qualidade e efetividade, o que torna a empresa rápida para adaptações.
4. Análise do PETIC da “Instituição X” utilizando-se o CobiT Nesta seção, fez-se uma análise do PETIC da Instituição X através dos processos do CobiT. Em particular, serão observados os modelos de maturidade dos principais processos de negócio da instituição X através da matriz obtida na Figura 2. Níveis de Maturidade
Domínios e Processos 0
1
2
PO1 Definição de um Planejamento Estratégico de TI
3
4
X
Planejamento e Organização
PO2 Definição da Arquitetura de Informação PO3 Determinar Direção Tecnológica
X
PO4 Definir os Processos de TI, Organização e Relacionamentos PO5 Gerenciar os investimentos de TI PO6 Comunicar os objetivos de Gestão e Direção PO7 Gestão de Pessoas da TI
X
PO8 Gestão de Qualidade PO9 Avaliar e gerir riscos de TI
Aquisição e Implantação
PO10 Gestão de Projetos AI1 Identificação de Soluções Automatizadas AI2 Aquisição e manutenção de aplicativos de software AI3 Aquisição e manutenção de Infra-estrutura Tecnológica AI4 Permitir Funcionamento e Utilização AI5 Adquirir Recursos de TI
X
AI6 Gerenciar Mudanças AI7 Instalar e Homologar Soluções e Mudanças DS1 Definir e Gerenciar Níveis de Serviços DS2 Gerenciamento de Serviços de terceiros DS3 Gerenciamento de Desempenho e Capacidade
Entrega e Suporte
DS4 Garantir Serviço Contínuo DS5 Garantir a Segurança dos Sistemas DS6 Identificar e Alocar Custos DS7 Instruir e Treinar usuários
X
DS8 Gestão de Service Desk e Incidentes DS9 Gestão de Configuração DS10 Gestão de Problemas DS11 Gestão de Dados DS12 Gestão do Ambiente Físico
X
5
Monitoração e Avaliação
DS13 Gestão de Operações ME1 Monitoração e Avaliação da Desempenho da TI ME2 Monitoração e Avaliação do Controle Interno ME3 Garantir a conformidade com os requisitos externos ME4 Prover Governança em TI
Figura 2. Matriz de Processos X Níveis de Maturidade
Observando a Figura 2, pode-se perceber que foram poucos processos que puderam ser analisados. Isso ocorreu devido ao PETIC estar direcionado à área de Planejamento enquanto que o CobiT engloba não somente essa, mas também as áreas de Aquisição, Implantação, Entrega, Suporte, Monitoração e Avaliação. O primeiro processo que foi analisado foi o PO1 que obteve o nível de maturidade 3, pois foi encontrado um Planejamento Estratégico documentado, mas que ainda não foi colocado em prática uma vez que ele foi finalizado recentemente. O segundo processo analisado foi o PO3 que obteve o nível de maturidade 3, pois no PETIC existem diretivas para aquisição de infra-estrutura de TIC, porém essas ainda não foram seguidas pelo mesmo motivo citado anteriormente. O terceiro processo analisado foi o PO7 que obteve o nível de maturidade 4, pois existe um processo documentado para gerenciamento de pessoas de TIC que é atribuído a um gestor com habilidades para desenvolver e manter o plano. Porém esse processo ainda deixa a desejar quanto às contratações, pois são feitas através de concursos onde não são levadas em consideração as necessidades de projetos da instituição. O quarto processo analisado foi o AI5 que obteve o nível de maturidade 3 , pois existem políticas e procedimentos para aquisição de TIC cuja responsabilidade é da Coordenação de Planejamento (COPLAN). Após receber as solicitações, a COPLAN analisa a real necessidade de TIC da instituição para que seja feita uma licitação. O quinto processo analisado foi o DS7 que obteve o nível de maturidade 3, pois existe uma política de implantação de cursos de capacitação que visa atender às necessidades de serviços de acordo com o ambiente organizacional. O sexto processo analisado foi o DS11 que obteve o nível de maturidade 2, pois há o conhecimento da necessidade do gerenciamento dos dados, embora esse ainda seja feito de forma individual e tenha problemas como: modelagem e documentação deficientes, falta de padronização, de análise dos projetos e de Data Warehouse. Tendo analisado todos esses processos, percebe-se que a maturidade da instituição X, que obteve níveis entre 2 e 4, ainda se encontra em um patamar intermediário. Assim, mudanças devem ser implantadas para que um processo como o DS11 Gestão de Dados, que é de fundamental importância para a organização, não fique em um nível tão baixo e para que os outros processos possam obter melhores níveis.
4. Conclusões Neste artigo foi apresentado um guia para aplicação do CobiT em organizações. Esse guia consiste em descrições de processos e de um modelo de maturidade genérico para gestores avaliarem o nível dos processos de negócio de suas empresas e, com ele,
detectar pontos que precisam ser melhorados e traçar metas a serem alcançadas. Como estudo de caso, foi feita uma análise do PETIC de uma Instituição X utilizando o guia proposto e obteve-se uma matriz mostrando o nível de maturidade dos processos. Pelo que foi analisado até o momento, a Instituição X possui uma maturidade dos processos de negócios que predomina no nível 3. Isso significa que ela ainda tem que rever muitos processos de negócio se deseja atingir níveis mais elevados e, consequentemente, melhorar a eficácia e eficiência de seus serviços. Outra relevante conclusão é que o PETIC não aborda todos os processos inerentes à GTIC. Um trabalho futuro imediato será a análise de maturidade dos outros processos que não foram abordados neste trabalho. Feito isso, teremos uma percepção mais acurada do nível de maturidade dos processos da Instituição X. A médio e longo prazo, outro trabalho futuro poderá ser a inclusão da análise de processos presentes no CobiT e ausentes no PETIC. Com isso o PETIC poderia tornarse um estudo ainda mais abrangente, revelando tanto uma “fotografia” fiel do atual estado das mesmas quanto os “caminhos” mais adequados que estas devem seguir.
Referências Campos, R. (1999) “A terceira revolução http://www.race.nuca.ie.ufrj.br/journal/c/campos1.doc, February.
industrial”,
ITGI (Estados Unidos) (2007) “CobiT 4.1”, https://www.isaca.org/AMTemplate.cfm?Section=Downloads&Template=/Members Only.cfm&ContentFileID=14002, December. Santos, V. C. e Matta, A. E. R. (2008) “A gestão de TI como base para a prática da educação à distância: um estudo para a aplicação da Governança de TI na prática de EAD do Instituto Anísio Teixeira”, http://www.abed.org.br/congresso2008/tc/612200824438PM.pdf, January. Satin, A. L. S. e Schveitzer, A. (2007) “Planejamento Estratégico de Tecnologia da Informação – PETI: Uma aplicação referenciada pelo COBIT”, http://pet.inf.ufsc.br/abstracao/revistas/4/2/revista_abstracao_ano_4_edicao_2_planej amento_estrat_gico_de_tecnologia_da_informa_o_a_peti_uma_aplica_o_referenciad a_pelo_cobit.pdf, January. Alecrim, E. (2008) “O que é Tecnologia http://www.infowester.com/col150804.php, February.
da
Informação
(TI)?”,
Luftman, J.N., Lewis, P.R.e Oldach, S.H. (1993) “Transforming The Enterprise: The Alignment Of Business and Information Technology Strategies”. IBM Systems Journal, pages 198-221. Teixeira, D.e Rodrigues, R. F. (2004) “A Gerência do Conhecimento como estratégia na Tomada de Decisão nas Organizações”. In: SUCESU 2004 - Congresso Nacional de Tecnologia da Informação e Comunicação, 2004, Florianópolis - SC, 2004. Vicente, C. C. et al. (2007) “PDTIC – Plano Diretor de Tecnologia da Informação e Comunicação”. Biblioteca Nacional.