Professional Documents
Culture Documents
NITERI,
2005
Niteri,
2005
DEDICATRIA
Aos meus pais, que no contentes em me presentear com a vida, abriram as portas do
meu futuro iluminando o meu caminho com o brilho mais intenso que puderam encontrar o
estudo. Com vocs divido mais esta vitria.
Ao meu marido Marcelo, que acompanha minha caminhada acadmica h muitos anos
e sempre apoiou meus projetos, profissionais e pessoais com muita pacincia e compreenso,
dedico este trabalho e esta conquista, que tambm sua.
AGRADECIMENTOS
Aos gestores da Dataprev, pela oportunidade e pelo apoio para a realizao desta
pesquisa.
Denise Correa, pela grande ajuda e pelo incentivo que sempre me deu antes e
durante todo o curso.
Muito Obrigado!
RESUMO
ABSTRACT
This work gathers the results of a research carried through the Empresa de Tecnologia
e Informaes da Previdncia Social Dataprev. Based on the principles of IT Governance of
the Cobit model, it had been identified the relevant IT processes for the company in question.
Through the analysis of the data collected in the field research carried with the
managers and supervisors of the Diretoria de Operaes e Telecomunicaes, it had been
concluded that 50% of the processes recommended for the model have relevance for reality of
the company.
LISTA DE QUADROS
QUADRO 1
13
QUADRO 2
56
QUADRO 3
56
QUADRO 4
57
QUADRO 5
78
QUADRO 6
79
QUADRO 7
87
LISTA DE FIGURAS
FIGURA 1
16
FIGURA 2
19
FIGURA 3
27
FIGURA 4
37
FIGURA 5
43
FIGURA 6
45
FIGURA 7
63
FIGURA 8
67
FIGURA 9
67
LISTA DE GRFICOS
GRFICO 1
ndice G
29
GRFICO 2
30
GRFICO 3
30
GRFICO 4
55
GRFICO 5
55
GRFICO 6
69
GRFICO 7
70
GRFICO 8
72
do questionrio
GRFICO 9
73
75
do questionrio
GRFICO 11 Distribuio de Freqncia Absoluta para as respostas da pergunta 2
do questionrio ordenadas por freqncia
76
LISTA DE TABELAS
TABELA 1
31
TABELA 2
70
pergunta 1 do questionrio
TABELA 3
72
74
pergunta 2 do questionrio
TABELA 5
75
10
LISTA DE SIGLAS
ABNT
BSC
BSI
CAPT
CMM
CMMI
COBIT
FAQ
IEC
ISACA
ISACF
ISO
ITIL
IT Infrastructure Library
SEI
SGSI
TI
Tecnologia da Informao
TCO
VPL
11
SUMRIO
O PROBLEMA.......................................................................................................12
1.1 INTRODUO.................................................................................................12
1.2 QUESTO PROBLEMA.................................................................................20
1.3 OBJETIVOS......................................................................................................21
1.4 RELEVNCIA DO TEMA..............................................................................22
1.5 DELIMITAO DO ESTUDO.......................................................................23
REVISO DA LITERATURA..............................................................................24
2.1 A TI COMO VANTAGEM COMPETITIVA................................................24
2.2 INVESTIMENTOS EM TI E METODOLOGIAS DE AVALIAO........26
2.3 GOVERNANA DE TI....................................................................................32
2.4 MODELOS DE GOVERNANA DE TI........................................................33
2.4.1 ITIL - IT Infrastructure Library ...............................................................33
2.4.2 CMM/CMMI - Capability Maturity Model / Capability Maturity
Model Integration..............................................................................................36
2.4.3 BS 7799 - Information Security Standard..................................................40
2.4.4 COBIT - Control Objectives for Information and related
Technology..........................................................................................................42
2.5 O USO DO MODELO COBIT NO MUNDO.................................................54
2.6 A GOVERNANA DE TI NO BRASIL.........................................................58
METODOLOGIA....................................................................................................61
3.1 ESPECIFICAO DO PLANO DE PESQUISA...........................................61
3.2 POPULAO E AMOSTRA DA PESQUISA...............................................62
3.3 INSTRUMENTOS DE MEDIDA.....................................................................63
3.4 COLETA DE DADOS.......................................................................................63
3.5 LIMITAES DO MTODO.........................................................................65
ESTUDO DE CASO................................................................................................66
4.1 A EMPRESA......................................................................................................66
4.2 A PESQUISA.....................................................................................................68
4.3 ANLISE DOS DADOS...................................................................................76
CONCLUSES E RECOMENDAES.............................................................87
REFERNCIAS BIBLIOGRFICAS..................................................................90
APNDICES..................................................................................................................95
APNDICE A - E-mail enviado aos respondentes...............................................96
APNDICE B - Carta de apresentao do projeto, disponibilizada no
site da pesquisa.......................................................................................................97
APNDICE C - Questionrio utilizado na pesquisa de campo,
disponibilizado no site da pesquisa........................................................................98
12
1. O PROBLEMA
1.1 INTRODUO
GARVIN, David A. Gerenciando a Qualidade : a viso estratgica e competitiva. Traduo: Joo Ferreira
Bezerra de Souza. Rio de Janeiro: Qualitymark Ed., 1992.
13
nfase
Mtodos
Inspeo
Controle
Estatstico da
Qualidade
Controle
Garantia da
Qualidade
Um
problema a
ser resolvido
Um problema
a ser resolvido
Uniformidade
do produto
Uniformidade
do produto
com menos
inspeo
Instrumento
de medio
Instrumentos e
tcnicas
estatsticas
Um problema a
ser resolvido,
mas que seja
enfrentado
proativamente.
Toda a cadeia
de produo,
desde o projeto
at o mercado,
e a contribuio
de todos os
grupos
funcionais,
especialmente
os projetistas,
para impedir
falhas de
qualidade.
Programas e
sistemas
Verificao
Coordenao
Gerenciamento
Estratgico da
Qualidade
Impacto
estratgico
Uma oportunidade
de concorrncia
As necessidades
de mercado e do
consumidor
Planejamento
estratgico,
estabelecimento de
objetivos e a
mobilizao da
organizao.
GARVIN, David A. Gerenciando a Qualidade : a viso estratgica e competitiva. Traduo: Joo Ferreira
Bezerra de Souza. Rio de Janeiro: Qualitymark Ed., 1992.
14
Papel dos
profissionais da
qualidade
Inspeo,
classificao,
contagem e
avaliao.
Soluo de
problemas e
aplicao de
mtodos
estatsticos
Mensurao de
qualidade,
planejamento
da qualidade e
projetos de
programas.
Quem o
responsvel
pela qualidade
O
departamento
de inspeo
Os
departamentos
de produo e
engenharia
Orientao e
abordagem
"Inspeciona"
a qualidade
"Controla" a
qualidade
Todos os
departamentos,
embora a alta
gerncia s se
envolva
perifericamente
com o projeto,
o planejamento
e a execuo
das polticas de
qualidade.
"Constri" a
qualidade
Estabelecimento
de objetivos,
educao e
treinamento,
trabalho
consultivo com
outros
departamentos e
delineamento de
programas.
Todo na empresa,
com a alta
gerncia
exercendo forte
liderana.
"Gerencia" a
qualidade
JURAN, J. M.; GRYNA, Frank M. Controle da Qualidade: conceitos, polticas e filosofia da qualidade.
Traduo: Maria Cludia de Oliveira Santos.4. ed. So Paulo: Makron, 1991.
15
16
Com o avano tecnolgico e a importncia que a tecnologia tem hoje dentro das
organizaes, o planejamento e a implantao de uma arquitetura de informaes se tornaram
tarefas complexas.
Por arquitetura de informaes, entende-se, segundo Rodriguez (2002)5 , um conjunto
de informaes, modelos de dados e toda infra-estrutura tecnolgica necessria para suportar
os fluxos de informaes gerados a partir dos processos decisrios de uma organizao.
A integrao entre a tecnologia e o negcio a chave para o sucesso organizacional. A
figura 1 apresenta um esquema dessa integrao.
FIGURA1: Integrao dos negcios Arquitetura de Informaes7
Gesto
Processo Decisrio
Fluxo de Informaes
Modelo de Dados
Sistemas de Informao
Tecnologia da
Informao
Infra-estrutura de
Hardware/Software
17
Instituto
Brasileiro
de
Governana
Corporativa
define
governana
Com o mesmo intuito, a rea de TI das empresas vem investindo esforos e recursos
financeiros, para instituir o que foi denominado de Governana de TI - um conjunto de
processos que direciona a estratgia de Tecnologia da Informao, garantindo que a TI possa
suportar as estratgias e objetivos do negcio.
No se tem conhecimento de quando esse termo surgiu, mas o certo que esses
conceitos de governana tm influenciado as organizaes, e a partir da muitos modelos e
metodologias foram criados e disseminados, e hoje j so utilizados por vrias empresas.
18
No caso da Governana em TI, foco deste trabalho; alguns dos modelos mais
conhecidos so
Integration.
Cada um desses modelos tem focos distintos.
O BS7799 um padro, com guias e recome ndaes sobre as boas prticas de gesto
de segurana.
MINGAY, S; BITTINGER, S. Combine CobiT and ITIL for Powerful IT Governance, in Research Note,
TG-16-1849, Gartner, 2002. Dis ponvel em http://www3.gartnet.com. Acesso em: mai. 2005
9
RUBIN, Rachel. ITIL: Grito de Guerra. Information Week. So Paulo, n. 112, 2004.
19
melhor opo pode ser a combinao de mais de um modelo, conforme demonstra a figura
abaixo.
OBJETIVOS DE NEGCIO
GOVERNANA DE TI
Processos
CobiT
Operao
ITIL
Inovao
CMMI
Segurana
BS 7799
A construtora Odebrech, por exemplo, combina o ITIL com o Cobit na sua estratgia
de gesto de TI.
10
Adaptado de CID, Miranda; PIMENTEL, Luis F. Fundamentos de Governana de TI. In. SEMINRIO
SUCESU, 2005. Rio de Janeiro
20
A ABN Amro Bank do Brasil adotou o ITIL em 2002 e j tem bons resultados
mensurados e divulgados, como:11
-
11
RUBIN, Rachel. ITIL: Grito de Guerra. Information Week. So Paulo, n. 112, 2004.
21
O segundo projeto baseado no modelo ITIL e tem como objetivo elaborar uma
poltica de gerncia de configurao da infra-estrutura que compe a Rede de
Telecomunicaes da Previdncia Social, seguindo as recomendaes e prticas desse modelo
de referncia.
1.3. OBJETIVOS
Objetivo Principal
Realizar um estudo de caso, aplicando as recomendaes e prticas de governana de
TI, preconizadas pelo modelo Cobit, em que sero identificados os processos de TI relevantes
para a empresa em estudo.
22
Objetivos Intermedirios
1.
2.
realidade da Empresa.
3.
Para a pesquisadora
Para a Empresa
Para a Universidade
23
Cabe esclarecer que, dos 352 objetivos de controle do modelo Cobit, somente 34
foram analisados por serem considerados de alto nvel, como previstos no modelo. Da mesma
forma no se incluem nesta tarefa os demais modelos de gesto de TI existentes.
24
2. REVISO DA LITERATURA
atividades
de
escritrio,
para
sistemas
que
oferecem
vantagem
competitiva.(MCFARLAN, 1998) 13
Robert Solow, prmio Nobel em 1987, com a frase "vemos o computador por toda
parte, menos nas estatsticas de produtividade", sintetizou o que ficaria conhecido como
paradoxo da produtividade, abrindo, assim, a discusso sobre o verdadeiro impacto da
tecnologia da informao nos ndices de produtividade.
12
PORTER, M. E.; MILLAR, V. E. Como a informao proporciona vantagem competitiva. In: PORTER,
M.E.. Competio on competition: estratgias competitivas essenciais. Rio de Janeiro: Campus, 1999. p. 83106.
13
MCFARLAN F. W. A tecnologia da informao muda sua maneira de competir. In: RODRIGUEZ, M. V.
R. Gesto Estratgica. Rio de Janeiro: Elsevier, 2005.
14
CARR, Nicholas G.TI j no importa. Harvard Business Review Amrica Latina, vol.
81, n 5, p. 30-. 37, maio, 2003
25
Diante desse novo cenrio da tecnologia, Nicholas Carr (2003) 15 afirma que as
empresas devem reavaliar seus mtodos e investimentos em TI e relaciona as trs diretrizes
bsicas para o futuro da gesto de TI:
gastar menos;
A TI deve ser entendida como uma ferramenta de suporte ao negcio de uma empresa
(RODRIGUEZ, 2002) 18 . E, para que seja realmente uma vantagem competitiva, devem ser
feitas uma anlise das necessidades tecnolgicas da organizao e uma avaliao dos riscos de
investimento nessas tecnologias.
15
CARR, Nicholas G.TI j no importa. Harvard Business Review Amrica Latina, vol.
81, n 5, p. 30-. 37, maio, 2003
16
Does IT matter? HBR debate. Harvard Business Review - letters to the editor, junho, 2003
17
MARIANO, Sandra R. H. A lgica perversa do investimento em TI. Valor Econmico, So Paulo, 26 set.
2003. Disponvel em http://sandramariano.com.br. Acesso em: fev. 2005
18
RODRIGUEZ, M. V. R. Gesto Empresarial: organizaes que aprendem. Rio de Janeiro: Qualitymark,
2002.
26
Cada empresa deve escolher a tecnologia mais adequada ao seu perfil e no investir no
que existe de mais moderno no mercado (QUINTELLA e BOGADO,2004) 19
Para Mariano (2003) 20 , uma soluo para evitar desperdcio de investimento em TI
pode estar na adoo de metodologias que avaliem sistematicamente os investimentos em TI a
partir de indicadores de eficincia e cenrios ps-implantao.
19
27
23
23
28
ex-ante;
ex-post.
Metodologias ex-post:
- Gastos e Investimentos Totais (Indice g) o gasto total de TI dividido pelo
faturamento, ou seja, o ndice G o gasto total destinado TI como um percentual do
faturamento lquido da empresa. O gasto total a soma de todos os investimentos, despesas e
verbas alocadas em Informtica, incluindo equipamento, instalaes, suprimentos e materiais
de consumo, software, servios, teleprocessamento e custo direto e indireto com pessoal
prprio e terceirizado trabalhando em sistemas, suporte e treinamento em Informtica.
- Custo anual por teclado (CAPT) o gasto anual com TI dividido pelo nmero de
teclados existentes na organizao. O clculo para o gasto anual com TI o mesmo feito no
ndice G, ou seja, soma de todos os investimentos, despesas e verbas alocadas em
Informtica, incluindo equipamento, instalaes, suprimentos e materiais de consumo,
software, servios, teleprocessamento e custo direto e indireto com pessoal prprio e
terceirizado trabalhando em sistemas, suporte e treinamento em Informtica.
- Total Cost of Ownership (TCO) uma frmula para o clculo do custo de possuir e
operar uma soluo de TI. O custo deve considerar hardware, licenas de software,
manuteno, upgrades, suporte tcnico, segurana, treinamento, administrao, tempo de
operao.
Metodologias ex-ante:
- ndice de rentabilidade este ndice, tambm conhecido como quociente benefcio /
custo, obtido pela diviso do valor presente dos fluxos de caixa futuros pelo valor do
investimento original.
29
26
30
28
MEIRELLES, Fernando S. Gastos, investimentos e indicadores nas empresas: evoluo e tendncias. In:
ALBERTIN, L. A.; MOURA, R. M. (Organizadores). Tecnologia de Informao. So Paulo: Atlas, 2004.
31
Regio/Pais
1994
1998
2000
Estados Unidos
4%
6,5%
8%
Europa
2,9%
4%
5%
Brasil
2,6%
3,4%
4%
Amrica Latica
1,6%
2,2%
3%
Para Meirelles (2004)29 , existe muito espao para que os valores do ndice G nacional
atinjam os nveis dos pases desenvolvidos. Ou seja, as empresas brasileiras tm ainda muito
potencial para investimento em novas tecnologias.
29
MEIRELLES, Fernando S. Gastos, investimentos e indicadores nas empresas: evoluo e tendncias. In:
ALBERTIN, L. A.; MOURA, R. M. (Organizadores). Tecnologia de Informao. So Paulo: Atlas, 2004.
32
2.3 GOVERNANA DE TI
- ITIL (IT Infrastructure Library) : Elaborado pelo governo britnico para fornecer as
diretrizes para implementao de uma infra-estrutura otimizada de TI. um conjunto de
30
NETO, Joo C. Processos em sistemas e TI um guia bsico. So Paulo: DROMOS Tecnologia e Gesto,
2004.
33
- Cobit (Control Objectives for Information and related Technology): Guia para a
gesto de TI recomendado pelo Informations Systems Audit and Control Foundation (ISACF)
que fornece informaes detalhadas para gerenciar processos baseados nos objetivos de
negcios.
34
Gerenciamento de Incidentes
Gerenciamento de Problemas
Gerenciamento de Mudanas
Gerenciamento de Liberaes
Gerenciamento de Configuraes
35
Gerenciamento de Capacidade
Gerenciamento Financeiro
Gerenciamento de Disponibilidade
Gerenciamento de Nveis de Servios
Gerenciamento de Continuidade de Servios de TI
O Service Desk funciona como um ponto de contato nico entre clientes, usurios dos
servios de TI e a organizao, sendo responsvel por diversas funes de suporte.
36
assegurar que o registro do incidente tenha sido completado e esteja correto e que a resoluo
tenha sido aceita pelo cliente.
31
FIORINI, S.; STAA, A.; BAPTISTA, R. Engenharia de Software com CMM. Rio de Janeiro:Brasport,
1998.
37
Adaptado de PAULK, Mark. C. et al. Capability Maturity Model for Software. Version 1.1. Software
Engineering Institute, 1993.
38
Pode-se dizer que o desenvolvimento do CMMI foi motivado dentre outros, pelos
seguintes fatores:
necessidade de se unificar os vrios modelos de CMM existentes, com a criao de
um framework comum.
o CMM somente contempla uma forma de representao (Estgio), o que d pouca
flexibilidade ao modelo, dificultando a sua implementao em organizaes que tinham
interesse em implementar nveis de maturidade distintos para reas de processo especficas.
A representao por Estgio tem foco na melhoria dos processos de forma sistmica e
estruturada, permitindo que a organizao tenha um caminho pr-definido para estas
melhorias. O alcance dos processos de cada estgio garante o embasamento para os estgios
superiores. Esta representao facilita o processo de migrao do CMM para o CMMI.
39
40
1.
Poltica de Segurana
2.
Segurana Organizacional
3.
4.
Segurana de Pessoas
5.
6.
7.
Controle de Acesso
8.
9.
10.
Conformidade
Em dezembro de 2000, essa parte da BS7799 se tornou norma oficial da ISO sob
cdigo ISO/IEC 17799 (IEC - Internacional Eletrotecnical Commission )
Em agosto do ano seguinte, o Brasil adotou esta norma ISO como seu padro atravs
da ABNT, sob o cdigo NBR ISO/IEC 17799.
41
Esses podem ser selecionados a partir da norma ISO/IEC 17799 ou de outro conjunto
de controles, ou ainda novos controles podem ser desenvolvidos para atender necessidades
especficas, quando apropriado.
A norma ISO/IEC 17799 considera alguns controles como princpios bsicos para
gesto da segurana da informao, fornecendo um ponto de partida para implementao da
segurana da informao na maioria das organizaes.
Os controles considerados essenciais para uma orga nizao, sob o ponto de vista legal,
incluem:
42
A relevncia de qualquer controle deve ser determinada luz de riscos especficos que
uma organizao est exposta, permitindo que se elabore uma poltica de segurana em
conformidade com a realidade e necessidades desta organizao.
43
prticas de gesto recomendadas pelos peritos em gesto de TI, que ajudam a otimizar os
investimentos nesta rea e fornecem mtricas para avaliao dos resultados, segundo o
modelo de maturidade de governana.
33
44
- planejamento e organizao;
- aquisio e implementao;
- entrega e suporte;
- monitorao.
45
34
46
Dessa forma, as deficincias podem ser identificadas e as aes especficas podem ser
definidas para se atingir as posies desejadas.
Pode-se mover para um nvel mais alto quando todas as condies descritas em um
determinado nvel de maturidade so cumpridas.
Nvel 0 Inexistente.
47
-Planejamento e organizao.
-Aquisio e implementao.
-Entrega e suporte.
-Monitorao.
Cada domnio cobre um conjunto de processos para garantir a completa gesto de TI,
somando 34 processos:
48
Planejamento e Organizao
Aquisio e implementao
- Identifica as solues de automao
- Adquire e mantm os softwares
- Adquire e mantm a infra-estrutura tecnolgica
- Desenvolve e mantm os procedimentos
- Instala e certifica softwares
- Gerencia as mudanas
Entrega e suporte
- Define e mantm os acordos de nveis de servios (SLA)
- Gerencia os servios de terceiros
- Gerencia a performance e capacidade do ambiente
- Assegura a continuidade dos servios
- Assegura a segurana dos servios
- Identifica e aloca custos
- Treina os usurios
- Assiste e aconselha os usurios
- Gerencia a configurao
49
Monitorao
- Monitora os processos
- Analisa a adequao dos controles internos
- Prov auditorias independentes
- Prov segurana independente
50
51
52
Modelo de Maturidade
0 - Planejamento estratgico no executado. No h nenhuma conscincia da
gerncia que planejamento estratgico necessrio para suportar objetivos de
negcio.
1 - A necessidade para um planejamento estratgico de TI sabida pela gerncia,
mas no h nenhum processo de deciso estruturado. Planejamento estratgico
de TI executado em resposta a uma exigncia especfica do negcio e os
resultados so conseqentemente espordicos e inconsistentes. Planejamento
estratgico discutido ocasionalmente em reunies da gerncia de TI , mas no
em reunies da gerncia de negcio. O alinhamento de exigncias de negcio, de
aplicaes e de tecnologia ocorre reativamente, dirigido mais por oferecimentos
de terceiros, do que por uma estratgia corporativa. A posio estratgica do
risco identificada informalmente de projeto em projeto.
Nvel 2 - Planejamento estratgico de TI compreendido pela gerncia de TI,
mas no documentado. Planejamento estratgico de TI executado pela
gerncia de TI, mas compartilhado somente com a gerncia de negcio apenas
quando necessrio. Atualizao do plano estratgico de TI ocorre somente em
resposta aos pedidos da gerncia e no h nenhum processo pr-ativo para
identificar desenvolvimentos de TI e de negcio que requerem atualizaes no
plano. As decises estratgicas so dirigidas projeto a projeto, sem consistncia
com a estratgia global da organizao. Os riscos e os benefcios de decises
estratgicas esto sendo reconhecidos, mas sua definio intuitiva.
Nvel 3 - Uma poltica define quando e como executar planejamento estratgico
de TI. Planejamento estratgico de TI segue uma aproximao estruturada, que
est documentada e sabida por toda a equipe de funcionrios. Os processos do
planejamento so razoavelmente sadios e assegura-se de que o planejamento
provvel de ser executado. Entretanto, a descrio dada aos gerentes
individualmente com respeito execuo do processo e no h nenhum
procedimento regular para examina- lo. A estratgia inclui uma definio
consistente dos riscos de que a organizao disposta a correr sendo inovadora
ou seguidor. As estratgias dos recursos financeiros, tcnicos e humanos de TI
dirigem cada vez mais para a aquisio de produtos novos e tecnologias.
Nvel 4 - Planejamento estratgico de TI uma prtica padro e as excees so
observadas pela gerncia. Planejamento estratgico de TI uma funo definida
da gerncia com responsabilidades de nivel snior. Com respeito ao processo do
planejamento estratgico, gerncia pode monitor- lo, tomar as decises baseadas
nele e medir sua eficcia. Tanto o planejamento de TI de curto alcance como os
de longo alcance ocorrem e so informados para toda organizao, com as
atualizaes necessrias. Estratgia de TI e estratgia de negcio da organizao
esto se tornando cada vez mais coordenadas, dirigindo-se aos processos de
negcio e s potencialidades de agregao de valor e nivelando o uso das
aplicaes e das tecnologias com os processos de negcio.
53
Critrios da Informao
Efetividade
Eficincia
Recursos de TI
Pessoas,
Aplicaes
Tecnologia
Infra-estrutura
Dados
uma organizao;
54
Usurios que precisam ter garantias de que os servios de TI, dos quais
dependem seus produtos e servios para os clientes internos e externos, esto sendo bem
gerenciados;
Pesquisas mostram que o uso do modelo Cobit vem crescendo bastante a cada ano,
como a pesquisa realizada pelo ISACA em maio de 2002 e publicada pela Security Magazine 35 ,
sobre a utilizao do Cobit 3 edio. Esse tipo de pesquisa j havia sido realizado para as
edies anteriores do Cobit.
O objetivo desta pesquisa era entender como e por que o Cobit est sendo utilizado e
identificar necessidades futuras.
Esta avaliao foi realizada por uma empresa de pesquisa independente, Industry
Insights, e a metodologia adotada foi o envio de questionrios para os compradores do Cobit
3 edio. Deste grupo, 182 pessoas completaram a pesquisa.
35
55
Uma das informaes levantadas na pesquisa foi o motivo pelo qual estas
organizaes adotaram o Cobit 3. Das respostas obtidas foram extradas as cinco razes mais
importantes, listadas abaixo.
36
56
Estabelendo uma comparao das razes mais importantes para aquisio do modelo
com os mais importantes modos de utilizao do mesmo, foi criada uma lista de verificao
entre expectativas x realidade, na qual as razes para aquisio esto representadas pela
expectativa e os modos de utilizao, pela realidade. Quando comparadas as informaes,
percebe-se que os cinco principais modos de utilizao do Cobit 3 edio esto alinhados s
razes para aquisio do modelo, conforme demonstra o quatro comparativo abaixo:
37
57
EXPECTATIVAS
REALIDADE
(As mais importantes razes para aquisio (Os mais importantes modos de utilizao do
do COBIT 3 edio.)
COBIT 3 edio.)
auditoria.
programas de auditoria.
de auditoria.
programas de auditoria.
MINGAY, S; BITTINGER, S. Combine CobiT and ITIL for Powerful IT Governance, in Research Note,
TG-16-1849, Gartner, 2002. Disponvel em http://www3.gartnet.com. Acesso em: mai. 2005
39
RUBIN, Rachel. ITIL: Grito de Guerra. Information Week. So Paulo, n. 112, 2004.
58
40
ITIL e COBIT ainda so mistrios para CIO's. Pesquisa Information Week. Disponvel em
59
Apesar de 64% dos profissionais terem conhecimentos sobre negcios, ainda baixo o
nmero dos que esto a par das metodologias e padres de referncia: apenas 13% deles
possuem bons conhecimentos em ITIL, e 8% em Cobit.
41
60
Como, por exemplo, pode ser citada a CASSI, que adotou o ITIL em 2003, e em
alguns projetos utilizou tambm a metodologia do CMM; o Serpro, que foi a primeira
empresa pblica na Amrica Latina a obter a qualificao nvel 2 do modelo CMM; e o Banco
Central do Brasil, que adotou o Cobit como modelo de governana.
61
3. METODOLOGIA
Os critrios para a classificao dos tipos de pesquisa variam de acordo com o enfoque
dado pelo autor.
a)
b)
caso e pesquisa de campo. Bibliogrfica, pois foram utilizados livros, artigos, documentos
tcnicos e dissertaes para o embasamento terico da pesquisa. A investigao documental,
pois utilizou alguns documentos internos da empresa, objeto da pesquisa. Esta investigao
um estudo de caso, pois tem como alvo a Empresa de Tecnologia e Informaes da
Previdncia Social Dataprev, e uma pesquis de campo pois coletou dados primrios na
referida Empresa.
43
62
A Empresa possui representao em cada estado do Brasil, tendo sua matriz localizada
em Braslia. A pesquisa foi realizada no Rio de Janeiro e Braslia, em funo da localizao
dos Centros de Processamento de Dados da Empresa e da lotao dos sujeitos da pesquisa.
63
Diretoria de Operaes e
Telecomunicaes
Centro de
Departamento
Departamento
Departamento
Tratamento de
de
de Suporte
de Redes de
Informaes de
Administrao
Tcnico
Telecomunica-
So Paulo / Rio
dos Ambientes
de Janeiro /
de Produo
es
Braslia
44
64
Nesta pesquisa, foi utilizado o questionrio elaborado pela pesquisadora, com base nas
recomendaes e prticas do modelo Cobit. Foi enviado um convite aos 23 gerentes e 21
supervisores ligados gesto de TI da Empresa, atravs de correio eletrnico, apresentando a
pesquisa, a pesquisadora e seu orientador, e solicitando a participao de todos para responder
ao questionrio disponibilizado em um site na Internet. A aplicao do questionrio se deu no
perodo de 29/03/05 a 02/05/05
Para anlise e avaliao dos dados foram feitas distribuies de freqncia absoluta e de
freqncia relativa de cada resposta, com relao aos dois aspectos investigados (identificao
dos processos mais adequados realidade da empresa e identificao dos processos j adotados
pela empresa) e posteriormente foi aplicado o Teorema de Pareto para selecionar os processos.
65
66
4. ESTUDO DE CASO
4.1. A EMPRESA
4.1.1. Histrico
4.1.2. Organograma
67
Ministrio da Previdncia
Social - MPS
Instituto Nacional de
Seguridade
Social
Empresa de Tecnologia
e Informaes da
Previdncia Social
45
68
Valores:
- Cooperao
- Criatividade
- Determinao
- tica
- Foco em Resultados
- Integridade
- Proatividade
- Transparncia
Misso:
Atuar integradamente com outras instituies pblicas para o xito das aes de
governo, no mbito da seguridade social e do trabalho, por meio de solues sustentveis em
tecnologia da informao, com o fortalecimento do compromisso entre trabalhadores e
Empresa, agindo de forma a preservar o interesse pblico.
Viso:
Ser uma empresa pblica de solues de TI reconhecida por sua excelncia na gesto,
pelos servios prestados e pela contribuio para a incluso social e reduo das
desigualdades.
4.2. A PESQUISA
69
25%
Gerentes
Supervisores
75%
70
13%
RJ
DF
87%
Para anlise e avaliao dos dados, foram feitas distribuies de freqncia absoluta e
de freqncia relativa de cada resposta. Posteriormente foi aplicado o Teorema de Pareto para
selecionar os processos identificados como mais adequados realidade da Empresa e os
processos j adotados pela Empresa. Para isso, as respostas foram ordenadas por freqncia e
selecionados os processos que correspondiam a 80% destas respostas.
Pergunta 1: Dos 34 objetivos de controle do modelo Cobit descritos abaixo, selecione os que
voc considera mais relevantes para aplicao na Dataprev ?
Processos/objetivos de Controle
Respostas
Freqncia Absoluta Freqncia Relativa
11
5,73%
71
2,08%
11
5,73%
1,04%
3,13%
0,00%
3,65%
2,60%
1,56%
4,17%
10
5,21%
0,00%
1,56%
12
6,25%
3,13%
0,52%
4,69%
11
5,73%
1,04%
11
5,73%
10
5,21%
10
5,21%
0,52%
1,04%
0,00%
3,65%
13
6,77%
1,04%
3,65%
1,56%
4,17%
1,56%
1,56%
0,52%
72
questionrio.
14
12
10
8
6
4
2
0
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34
Processos/objetivos de controle
Processos/objetivos de Controle
Respostas
Freqncia Absoluta. Freqncia Relativa
13
6,77%
12
6,25%
11
5,73%
11
5,73%
11
5,73%
11
5,73%
10
5,21%
10
5,21%
10
5,21%
4,69%
4,17%
4,17%
3,65%
3,65%
3,65%
3,13%
3,13%
2,60%
73
2,08%
1,56%
1,56%
1,56%
1,56%
1,56%
1,04%
1,04%
1,04%
1,04%
0,52%
0,52%
0,52%
0,00%
0,00%
0,00%
14
12
10
8
6
4
2
0
27 14 1 3 18 20 11 21 22 17 10 31 7 26 29 5 15 8 2 9 13 30 32 33 4 19 24 28 16 23 34 6 12 25
Processos/objetivos de controle
80 % das respostas
20 % das respostas
Pergunta 2: Dos 34 objetivos de controle do modelo Cobit, quais voc considera que a
Dataprev j pratica?
74
Processos/Objetivos de Controle
Respostas
Freqncia Absoluta Freqncia Relativa
3,63%
2,59%
10
5,18%
0,52%
3,63%
0,00%
1,04%
1,04%
1,04%
4,66%
1,55%
3,63%
4,15%
4,15%
4,15%
1,55%
2,07%
1,04%
3,63%
3,63%
4,15%
4,15%
2,07%
3,63%
2,07%
1,55%
4,66%
10
5,18%
10
5,18%
4,66%
12
6,22%
1,04%
1,04%
1,55%
75
questionrio.
14
12
10
8
6
4
2
0
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34
Processos/objetivos de Controle
Processos/Objetivos de Controle
Respostas
Freqncia Absoluta Freqncia Relativa
12
6,22%
10
5,18%
10
5,18%
10
5,18%
4,66%
4,66%
4,66%
4,15%
4,15%
4,15%
4,15%
4,15%
3,63%
3,63%
3,63%
3,63%
3,63%
3,63%
76
2,59%
2,07%
2,07%
2,07%
1,55%
1,55%
1,55%
1,55%
1,04%
1,04%
1,04%
1,04%
1,04%
1,04%
0,52%
0,00%
14
12
10
8
6
4
2
0
31 3 28 29 10 27 30 13 14 15 21 22 1 5 12 19 20 24 2 17 23 25 11 16 26 34 7 8 9 18 32 33 4 6
Processos/objetivos de controle
80 % das respostas
20 % das respostas
77
Fazendo uma anlise das respostas do questionrio, pode-se observar que, com relao
pergunta 1, ao aplicarmos o Teorema de Pareto, os objetivos de controle, considerados mais
relevantes para aplicao na Dataprev, na viso dos gerentes e supervisores da Diretoria de
Operaes e Telecomunicaes, so:
- Monitora os processos
- Determina a direo tecnolgica
- Gerencia os dados
- Gerencia a infra-estrutura
78
- Gerencia os projetos
- Gerencia os problemas e incidentes
- Gerencia as operaes
- Adquire e mantm os softwares
- Adquire e mantm a infra-estrutura tecnolgica
- Desenvolve e mantm os procedimentos
- Assegura a continuidade dos servios
- Assegura a segurana dos servios
- Define o plano estratgico de TI
- Gerencia os investimentos de TI
- Identifica as solues de automao
- Gerencia os servios de terceiros
- Gerencia a performance e a capacidade do ambiente
- Treina os usurios
- Define a arquitetura da informao
Processos Relevantes
- Define o plano estratgico de TI
- Determina a direo tecnolgica
- Gerencia os investimento de TI
- Gerencia os recursos humanos
- Gerencia os projetos
- Gerencia a qualidade
Processos Praticados
- Define o plano estratgico de TI
- Define a arquitetura da informao
- Determina a direo tecnolgica
- Gerencia os investimento de TI
- Gerencia os projetos
- Identifica as solues de automao
- Adquire e mantm os softwares
- Adquire e mantm a infra-estrutura
tecnolgica
- Desenvolve e mantm os procedimentos
79
OBJETIVOS DE CONTROLE
PRTICAS RECOMENDADAS
os
tecnologias
padres
antes
e
de
produtos
sua
de
novas
distribuio
organizao.
46
na
80
as
ferramentas
para
81
um
processo
automtico
de
melhorar
vantagem
competitiva
da
organizao.
82
Adotar
uma
metodologia
de
gerncia
de
projetos.
Capacitar a equipe do projeto quanto
Gerencia os projetos
metodologia adotada.
Identificar e priorizar os projetos em funo dos
objetivos de negcio.
Estabelecer os processos para a transio do
83
estrutura.
Definir um processo de seleo de novas
tecnologias, baseado na compatibilidade de
plataformas e componentes reutilizveis e que
controle
os
riscos
da
dependncia
de
fornecedores nicos.
84
futuras.
Definir as ferramentas de modelagem adequadas
para produzir um modelo do sistema e permitir a
sua anlise e monitoramento.
Monitorar o desempenho e a capacidade dos
recursos de infra-estrutura, relatando os
resultados e executando as aes previstas no
Plano de Disponibilidade em caso de desvios.
Programar a aquisio oportuna de novos
recursos, para garantir a disponibilidade dos
servios.
85
Definir
implantar
um
sistema
de
um
inventrio
da
infra-estrutura,
monitorar
os
indicadores
de
de
indicadores
de
desempenho,
86
87
5. CONCLUSES E RECOMENDAES
Objetivo Principal
aplicando as recomendaes
realizado na Empresa de
e prticas de governana de
Tecnologia da Informao
de questionrio elaborado
identificados os processos
de TI relevantes para a
empresa em estudo.
Objetivos Intermedirios
de governana em TI.
CMM/CMMI, BS 7799,
ITIL e Cobit.
Identificar os principais
Atravs do questionrio
objetivos de controle do
realidade da empresa.
88
Identificar quais
Atravs do questionrio
prticas/objetivos de
controle foram
empresa.
Identificar os processos
relevantes para a
organizao.
aplicao do questionrio
foram identificados 17
processos relevantes para a
Dataprev. (ver Quadro 6)
Cobit
para
apresentadas abaixo.
Ou seja, 50% dos processos recomendados pelo modelo Cobit tem relevncia para a
realidade da empresa e 71% destes processos relevantes j so praticados pela empresa,
mesmo sem a adoo efetiva do modelo.
89
90
REFERNCIAS BIBLIOGRFICAS
91
Does IT matter? HBR debate. Harvard Business Review - letters to the editor, junho, 2003.
FAGUNDES, Eduardo M. Cobit: um kit de ferramentas para excelncia na gesto de TI.
Disponvel em www.itweb.com.br. Acesso em: dez. 2004.
FARIA, Fabio. Prefcio. In: ALBERTIN, L. A.; MOURA, R. M. (Organizadores).
Tecnologia de Informao. So Paulo: Atlas, 2004.
FIORINI, S.; STAA, A.; BAPTISTA, R. Engenharia de Software com CMM. Rio de
Janeiro:Brasport, 1998.
GARVIN, David A. Gerenciando a Qualidade : a viso estratgica e competitiva. Traduo:
Joo Ferreira Bezerra de Souza. Rio de Janeiro: Qualitymark Ed., 1992.
GIL, Antnio C. Como elaborar projetos de pesquisa. So Paulo: Atlas, 2002.
GONALVES, Jos Ernesto Lima. Os novos desafios da empresa do futuro. Revista de
Administrao de Empresas. So Paulo, v.37,n.3, p. 10-19, jul 1997.
GULDENTOPS, Erik; HAES, Steven D. Avaliao da utilizao do COBIT 3 edio:
crescimento da aceitao do COBIT. Security Magazine . So Paulo, n. 19, p. 47-52, 2003.
IT GOVERNANCE INSTITUTE. COBIT 3rd Edition Audit Guidelines. Disponvel em
http://www.isaca.org. Acesso em: nov. 2004.
_____________. COBIT 3rd Edition
http://www.isaca.org. Acesso em: nov. 2004.
Control
Objectives.
Disponvel
em
Executive
Summary.
Disponvel
em
Guidelines.
Disponvel
em
ITIL e COBIT ainda so mistrios para CIO's. Pesquisa Information Week. Disponvel em
http://www.informationweek.com.br. Acesso em: dez. 2004.
92
93
94
95
APNDICES
96
97
98
99
100