estudo da maturidade de processos cobit em … · desenvolvimento sustentável as empresas foram...

ESTUDO DA MATURIDADE DE PROCESSOS COBIT EM

EMPRESAS DO SETOR DE ENERGIA ELÉTRICA DO BRASIL.

Carlos Francisco Simões Gomes

(UFF)

Fernando Cesar Almeida Silva

(UFF)

Resumo: Este artigo tem como objetivo descrever como foi realizado um estudo da maturidade dos processos Cobit

em empresas do setor de energia elétrica do Brasil. Este artigo realiza uma pesquisa onde os integrantes do Comitê de

Tecnologia de Informação destas empresas informam sua percepção do nível de maturidade dos diversos processos

existentes no CobiT. É realizada uma análise dos resultados onde é considerado o contexto no qual estas empresas se

inserem. Para finalizar é proposto um sistema baseado no PDCA com o objetivo de aprimorar os processos que

receberam classificação de avaliação mais baixa. A priorização de quais processos devem ser aprimorados primeiro, é

baseada em critérios que levam em consideração os principais controles de ambiente do PCAOB, uma vez que estas

empresas são auditadas regularmente devido às obrigatoriedades da lei Sarbanes-Oxley.

Palavras-chaves: CobiT, Maturidade de processos, PDCA, SOX, PCAOB

ISSN 1984-9354

X CONGRESSO NACIONAL DE EXCELÊNCIA EM GESTÃO 08 e 09 de agosto de 2014

2

1. Introdução

A grande maioria dos processos empresarias é suportado pela Tecnologia da Informação (TI), e a TI,

por sua vez possui processos especializados que orientam as suas operações(AL-SA'EED ET AL

2012). Modelos de gestão de TI como o CobiT auxiliam no controle das atividades e ao baseados nas

melhores práticas de mercado Entretanto não necessitam ser aplicados de forma integral(VON

SOLMS, 2005). Entretanto criar padrões de qualidade na implementação de modelos como este é

importante para que seja possível, através de refinamentos sucessivos atingirem níveis de maturidade

cada vez mais altos e assim levar a TI a entregar serviços de maior relevância para a área de negócio

da empresa. Para aumentar a competitividade empresas buscam em seus colaboradores soluções

inovadoras, baseadas em sugestões(BIANCOLINO ET AL, 2013).

1.1 objetivo e Método

Este estudo apresenta uma pesquisa em que a maturidade dos processos do CobiT é avaliada em

empresas do setor de energia elétrica do Brasil. O objetivo é permitir uma melhorara do nível de

satisfação do cliente, e elevar a qualidade dos serviços prestados e atender aos marcos regulatórios

impostos pela legislação e pelas auditorias internas e externas.

Foi aplicado um questionário, cuja pesquisa foi respondida por integrantes qualificados das áreas de TI

destas empresas, e os resultados são analisados sob o ponto de vista da documentação do CobiT e do

contexto atual das empresas pesquisadas.

2. Revisão da Literatura

Segundo Juran (1991), os produtos resultam dos processos, e a qualidade daqueles é conseguida de

forma consistente a partir da qualidade destes. Com o foco na satisfação dos clientes, as empresas

começaram não só a concentrar seus esforços na melhoria da qualidade de seus produtos e serviços,

bem como a investir em tecnologia para assegurar os padrões de produção, visando garantir de forma

sistemática e disciplinada a melhoria contínua da qualidade de seus produtos e de seus processos. A TI

torna-se cada vez mais uma ferramenta de competitividade das empresas, principalmente na gestão por

processos e nos programas de Gestão Estratégica da Qualidade, que frequentemente implicam a

mudança dos processos organizacionais e têm na TI uma ferramenta valiosa para viabilizar essas

alterações(Hesing,Souza, 2013). O termo “Governança” é cada vez mais comum, e o aprofundamento

neste tema tem ganhado relevância nas organizações(Peña et al, 2013). Gestores, financiadores,


3

acionistas, entre outros buscam minimizar seus riscos, por meio da transparência na prestação de

contas, nas operações financeiras e nos informes. Tais exigências sempre foram requeridas, mas após

os escândalos financeiros da Enron e WorldCom, dos novos desafios do mundo global e do

desenvolvimento sustentável as empresas foram desafiadas a evoluir nesses fundamentos com a

adoção de melhores práticas, criando estruturas para sua manutenção e constante aprimoramento. O IT

Governance Institute define o termo Governança de TI, como um arcabouço de relações e processos

que dirigem e controlam uma organização, a fim de atingir seus objetivos e de adicionar valor ao

negócio através do balanceamento do risco com o retorno do investimento da TI.(CobiT 4.1, 2007)

2.1 Lei Sabannes-Oxley

A Lei Sarbanes-Oxley, ou SOX, como também é conhecida, é um extenso conjunto de normas

corporativas idealizado pelos parlamentares norte-americanos Paul Sarbanes e Michael Oxley. Criada

em 2002 para aumentar a segurança e a confiabilidade dos relatórios financeiros e privilegia o papel

crítico do controle interno. A lei exige controles e procedimentos que aumentam a responsabilidade

dos executivos das empresas listadas no mercado de capitais dos Estados Unidos, regulamentado pela

SEC, instituição equivalente à CVM (Comissão de Valores Mobiliários) no Brasil (VIEIRA, 2007).

Após a SOX entrar em vigor, a TI tornou-se o principal meio de garantir que os dados financeiros e

operacionais, sejam precisos, confiáveis e atualizados, além de estarem prontamente disponíveis

quando solicitados. Seção 404 da SOX exige que gerentes de empresas publicas dos EUA façam um

controle interno dos sistemas que gerenciam toda parte financeira da empresa (Kerr, Murthy, 2013)

.Segundo Almeida (2010), a SOX, estabelece novos padrões para atuação do conselho de

administração e comitê de auditoria, para penalidades criminais dos executivos, independência do

auditor externo, e também cria o Public Company Accounting Oversight Board (PCAOB),

subordinado à SEC, para supervisionar as empresas de auditoria independente. Os controles de

ambiente tornaram-se mais importantes no PCAOB Auditing Standard n. 2. O PCAOB também

indicou que um controle de ambiente ineficaz deve ser considerado pelo menos como uma deficiência

significativa e como um forte indicador de que existe uma fraqueza material nos controles internos

sobre relatórios financeiros. Esses comentários aplicam-se aos controles de ambiente globais, que

incluem também os controles de ambiente de TI. Os controles de ambiente de TI do PCAOB estão

relacionados com os processos CobiT, conforme descrito na figura 1.


4

Figura 1 - Mapeamento entre PCAOB e CobiT

Fonte: IT Control Objectives for Sabanes-Oxley

Definições (Al-Sa'eed et al,, 2012):

Operações de computador (Computer operations):Estes controles incluem definição, aquisição,

instalação, configuração, integração e manutenção da infraestrutura de TI.

Acesso a programas e dados (Access to programs and data): Assumem maior importância visto

que a conectividade com entidades de rede interna e externa cresce. Controles eficazes de

segurança de acesso pode fornecer um nível de segurança aceitável contra acesso indevido e uso

não autorizado de sistemas.

Desenvolvimento e Mudança de Programa (Program development and program change):Possuem

dois principais componentes: a aquisição e implementação de novas aplicações e a manutenção de

aplicações existentes. A redução de riscos é garantida por metodologias de qualidade. Ferramentas

de padronização de software e componentes da arquitetura de TI muitas vezes suportam estas

metodologias.

2.2 Metodologia

Segundo Gil (1999, p.70), as pesquisas, como a proposta no artigo, se caracterizam pela interrogação

direta das pessoas cujo comportamento se deseja conhecer. Basicamente procede-se a solicitação de

informações a um grupo significativo acerca do problema estudado, para em seguida, mediante análise

quantitativa, obter as conclusões correspondentes aos dados solicitados.

Diagrama de Causa e efeito

Segundo Carpinetti (2012), o diagrama de causa e efeito, descrito na figura 2, é conhecido também

como diagrama de Ishikawa ou ainda como diagrama espinha-de-peixe . Foi desenvolvido para

apresentar as relações existentes entre um problema ou o efeito indesejável do resultado de um

processo e todas as possíveis causas desse problema, atuando como um guia para a identificação da


5

causa fundamental deste problema e para a determinação das medidas corretivas que deverão ser

adotadas.

Figura 2 - Estrutura básica de um diagrama de causa e efeito

Fonte: Livro Gestão a Qualidade – Carpinetti, 2012

Para a construção do Ishikawa é necessário seguir certas etapas. O primeiro passo é colocar na cabeça-

de-peixe, o principal problema detectado pelas ferramentas anteriores e que precisam de análise para

identificação da principais causas.(Las Casas, 2008 p.81)

Ciclo PDCA

O Ciclo PDCA (Planejar – Executar – Verificar - Agir do inglês: PLAN - DO - CHECK – ACT),

também conhecido como Ciclo de Shewhart, Ciclo da Qualidade ou Ciclo de Deming, é uma

metodologia que tem como função básica o auxílio no diagnóstico, análise e prognóstico de problemas

organizacionais, sendo extremamente útil para a solução de problemas(LOPEZ, BUIELES, 2012).

Poucos instrumentos se mostram tão efetivos para a busca do aperfeiçoamento quanto este método de

melhoria contínua, tendo em vista que ele conduz a ações sistemáticas que agilizam a obtenção de

melhores resultados, com a finalidade de garantir a sobrevivência e o crescimento das organizações.

(QUINQUIOLO, 2002)

2.3 CobiT

Uma considerável parte do cenário organizacional se baseia hoje no uso intensivo da TI; com a TI se

tornando fundamental para as operações e mesmo para as estratégias organizacionais, fica mais nítida

a preocupação com práticas de gestão que reduzam o risco das operações, garantam a continuidade dos

serviços por elas prestados, preservando assim as operações da empresa e a sua relação com os clientes

(LUCIANO, TESTA, 2011). O IT Governance Institute, (ITGI) foi criado em 1998 para melhoria do

pensamento e dos padrões internacionais de direção e controle da tecnologia da informação nas

organizações. O ITGI elaborou o CobiT (Control Objectives for Information and related Technology)

que contém as boas práticas de TI, por meio de um modelo de domínios e processos e apresenta

atividades em uma estrutura lógica e gerenciável. CobiT é mantido pelo ISACA (Information Systems


6

Audit and Control Association) (KERR, MURTHY, 2013). Entre as diferentes práticas

internacionalmente reconhecidas para a Governança de atividades que envolvam TI, o COBIT se

mostra adequado ao controle de processo de negócio, pois disponibiliza uma ampla gama de recursos

de controle e auditoria aplicáveis a vários cenários e organizações(Luciano, Testa, 2011). As boas

práticas do CobiT representam o consenso de especialistas. Elas são fortemente focadas mais nos

controles e menos na execução. Essas práticas irão ajudar a otimizar os investimentos em TI, assegurar

a entrega dos serviços e prover métricas para julgar quando as coisas saem erradas(Neto, Neto, 2013).

Ajudam na Governança da TI. No modelo CobiT, são denominados 4 domínios de controle conforme

demonstrado na figura 3.(CobiT 4.1): (i) O domínio de planejamento e organização abrange a

estratégia e as táticas, preocupando-se com a identificação da maneira em que TI pode melhor

contribuir para atingir os objetivos de negócios;(ii) O domínio aquisição e implementação executa a

estratégia de TI, as soluções de TI precisam ser identificadas, desenvolvidas ou adquiridas,

implementadas e integradas ao processo de negócios; (iii) O domínio de Entrega e suporte trata da

entrega dos serviços solicitados, o que inclui entrega de serviço, gerenciamento da segurança e

continuidade, serviços de suporte para os usuários e o gerenciamento de dados e recursos operacionais;

(iv) Já o domínio de monitoração, aborda o gerenciamento de desempenho, o monitoramento do

controle interno, a aderência regulatória e a governança.

Figura 3 - Os quatro Domínios Inter-relacionados do CobiT. Fonte: CobiT 4.1

Para Von Solms B. (2005), o CobiT divide a governança de TI em 34 processos, e fornece um objetivo

de controle de alto nível para cada um desses 34 processos. Cada controle é novamente dividido em

um conjunto de objetivos detalhados de controle, que especificam a forma como o controle de alto

nível deve ser gerido, em mais detalhes. No total, são definidos 318 controles para os 34 processos. O

raciocínio é que, se cada um desses 34 processos for gerido de forma adequada, a governança de

Tecnologia da Informação está assegurada. No anexo III constam as descrições de todos os processos

do CobiT(PEÑA ET AL, 2013). Na figura 4 é mostrada a estrutura geral dos processos do CobiT.

http://www.scopus.com.ez24.periodicos.capes.gov.br/authid/detail.url?origin=resultslist&authorId=6602260095&zone=


7

Figura 4 - Visão Geral do CobiT. Fonte: CobiT 4.1

A utilização de ferramentas da qualidade empregadas juntamente ao método de análise e solução de

problemas permite a obtenção de produtos manufaturados, com a qualidade esperada dentro dos prazos

estabelecidos de produção, gerando melhorias na qualidade, no processo de fabricação e a redução dos

custos de fabricação. (SAMPARA, MATTIODA e CARDOSO, 2009). As ferramentas em questão são

o Diagrama de causa e efeito que explora as causas dos problemas e o Ciclo PDCA que se inicia pela

criação dos planos de ação e que em sua metodologia básica prevê a melhoria contínua dos processos.

A figura 5 apresenta o esquema de melhoria proposto.

Figura 5 - Sistema de Identificação de problemas e correção das causas em processos de Gestão de TI

No modelo proposto o primeiro passo do sistema avalia o nível de maturidade do processo CobiT.

Aqueles,processos, que apresentarem baixa maturidade são analisados sob a ótica do diagrama de

causa e efeito, onde as causas para a baixa maturidade serão relacionadas. As causas servem com

entrada na fase de planejamento do ciclo PDCA onde são definidos os planos de ação que objetivam a


8

elevação do nível de maturidade do processo em questão. Na fase de checagem, a Pesquisa de

maturidade é utilizada mais uma vez para verificar se houve ou não elevação no nível de maturidade.

A partir deste momento executa-se a fase de ação do ciclo onde se decide se os objetivos foram

alcançados ou se é necessário retornar para a fase de planejamento.

3. Metodologia da pesquisa

Os métodos de coleta de dados de survey recaem em duas categorias amplas: a primeira diz respeito à

administração de questionários pelo pesquisador para que o próprio respondente responda a entrevista;

a segunda trata dos questionários que são usados em larga escala para coletar dados quantitativos de

um número maior de indivíduos de uma maneira relativamente rápida e conveniente (HAIR JR. et al.,

2005).

3.1 Público alvo

Gil (1999) define universo ou população como um conjunto definido de elementos que possuem

determinadas características. Em geral a População refere-se ao total de habitantes de um determinado

lugar. Uma amostra é um subconjunto do universo ou da população, por onde se estimam

características desse universo ou população. A amostra utilizada nesta pesquisa é composta por 149

gestores de TI integrantes do Comitê de Tecnologia da Informação, Telecomunicação e Automação do

Sistema Eletrobrás (Cotise). A missão do Cotise é criar e manter uma Política integrada de Tecnologia

da Informação e Comunicação para o Sistema Eletrobrás, voltada para garantir: A interoperabilidade,

ou, pelo menos a conectividade dos sistemas de informação das empresas do Sistema Eletrobrás; O

intercâmbio de sistemas de informação das empresas do Sistema Eletrobrás; A unificação de

aquisições de equipamentos, softwares, circuitos de telecomunicação, cursos de capacitação técnica e

serviços de TIC.(Sítio Eletrobrás – http://www.eletrobras.com). A Eletrobrás é a maior companhia do

setor de energia elétrica da América Latina. É uma empresa de economia mista e de capital aberto,

controlada pelo governo brasileiro, que atua nas áreas de geração, transmissão e distribuição de energia

elétrica. Com foco em rentabilidade, competitividade, integração e sustentabilidade, a Eletrobrás

Holding lidera um sistema composto de 13 subsidiárias, uma empresa de participações, um centro de

pesquisas e metade do capital de Itaipu Binacional.

http://www.eletrobras.com/


9

3.2 Pesquisa de emprego de modelo de gestão e da Pesquisa de avaliação da

maturidade - CobiT

A avaliação do modelo de gestão é realizada por meio de graduação que vai de 0 a 5 conforme a

graduação de maturidade dos processos descritos no CobiT. Entretanto, existe a sexta opção (*) que

faculta ao respondente informar que não possui informações para responder a questão.

0. Inexistente – Completa falta de um processo reconhecido. A empresa nem mesmo reconheceu

que existe uma questão a ser trabalhada.

1. Inicial / Ad hoc – Existem evidências que a empresa reconheceu que existem questões e que

precisam ser trabalhadas. No entanto, não existe processo padronizado; ao contrário, existem enfoques

Ad hoc que tendem a ser aplicados individualmente ou caso-a-caso. O enfoque geral de gerenciamento

é desorganizado.

2. Repetível, porém Intuitivo – Os processos evoluíram para um estágio onde procedimentos

similares são seguidos por diferentes pessoas fazendo a mesma tarefa. Não existe um treinamento

formal ou uma comunicação dos procedimentos padronizados e a responsabilidade é deixada com o

indivíduo. Há um alto grau de confiança no conhecimento dos indivíduos e consequentemente erros

podem ocorrer.

3. Processo Definido – Procedimentos foram padronizados, documentados e comunicados através

de treinamento. É mandatório que esses processos sejam seguidos; no entanto, possivelmente desvios

não serão detectados. Os procedimentos não são sofisticados mas existe a formalização das práticas

existentes.

4. Gerenciado e Mensurável – A gerencia monitora e mede a aderência aos procedimentos e

adota ações onde os processos parecem não estar funcionando muito bem. Os processos estão debaixo

de um constante aprimoramento e fornecem boas práticas. Automação e ferramentas são utilizadas de

uma maneira limitada ou fragmentada.

5. Otimizado – Os processos foram refinados a um nível de boas práticas, baseado no resultado

de um contínuo aprimoramento e modelagem da maturidade como outras organizações. A TI é

utilizada como um caminho integrado para automatizar o fluxo de trabalho, provendo ferramentas para

aprimorar a qualidade e efetividade, tornando a organização rápida em adaptar-se.

* Não possuo informações para responder.


10

4. Análise dos resultados

Para a análise das questões referentes ao tema, utilizou-se o conceito de regra de decisão, explicitado

pelo fluxograma da figura 6. Foi aplicado critério que leva em consideração as médias de cada nível de

maturidade dos processos avaliados na pesquisa. A média foi obtida com as avaliações dos processos

que fazem parte de um mesmo domínio do CobiT. Os critérios de avaliação são listados a seguir. Para

pertencer ao grupo 1 é necessário que o processo tenha sido avaliado com nível 5, e o percentual de

avaliações neste nível seja maior do que a média do percentual de avaliações 5 que os processos de seu

domínio obtiveram. Excluídos os processos do grupo 1, para pertencer ao grupo 5 é necessário que o

processo tenha sido avaliado no nível 0, com o percentual de avaliações neste o nível, maior do que a

média do percentual de avaliações 0, que os processos de seu domínio, obtiveram. Excluídos os

processos dos grupos 1 e 5, para pertencer ao grupo 2 é necessário que o processo tenha sido avaliado

nos níveis 3 e 4, com os percentuais de avaliações nestes níveis maiores do que as médias dos

percentuais de avaliações 3 e 4 que os processos de seu domínio obtiveram. Excluídos os processos

dos grupos 1, 2 e 5 para pertencer ao grupo 3 é necessário que o processo tenha sido avaliado no nível

4, com o percentual de avaliações neste o nível maior do que a média do percentual de avaliações 4

que os processos de seu domínio obtiveram. Todos os processos que não se enquadram nas regras

anteriores, para pertencer aos grupos 1, 2, 3 e 5, serão alocados ao grupo 4.

Figura 6 - Fluxo de agrupamento dos processos


11

4.1 Processos relativos ao domínio planejamento e organização

Conforme apresentado na tabela 1 o único processo que obteve avaliação 5 no domínio planejamento e

organização foi o PO1 – Definir Plano Estratégico de TI que é um processo chave para a gestão de TI.

Processo Nível de Maturidade – Frequência relativa

0 1 2 3 4 5 *

PO1 - Definir um Plano

Estratégico de TI 6,7% 20,0% 20,0% 28,9% 15,6% 2,2% 6,7%

PO2 - Definir a Arquitetura

da Informação 13,3% 35,6% 17,8% 13,3% 6,7% 0,0% 13,3%

PO3 - Determinar as

Diretrizes de Tecnologia 6,7% 22,2% 22,2% 26,7% 11,1% 0,0% 11,1%

PO4 - Definir os Processos, a

Organização e os

Relacionamentos de TI

8,9% 31,1% 35,6% 11,1% 4,4% 0,0% 8,9%

PO5 - Gerenciar o

Investimento de TI 6,7% 15,6% 22,2% 26,7% 15,6% 0,0% 13,3%

PO6 - Comunicar Metas e

Diretrizes Gerenciais 8,9% 26,7% 22,2% 15,6% 13,3% 0,0% 13,3%

PO7 - Gerenciar os Recursos

Humanos de TI 13,3% 28,9% 24,4% 13,3% 6,7% 0,0% 13,3%

PO8 - Gerenciar a Qualidade 22,2% 31,1% 17,8% 11,1% 2,2% 0,0% 15,6%

PO9 - Avaliar e Gerenciar os

Riscos de TI 15,6% 40,0% 13,3% 13,3% 6,7% 0,0% 11,1%

PO10 - Gerenciar Projetos 4,4% 22,2% 15,6% 40,0% 11,1% 0,0% 6,7%

Médias das avaliações 10,67% 27,34% 21,11% 20,00% 9,34% 0,22% 11,33%

Tabela 1 – Avaliação dos processos planejamento e organização e suas médias

Do plano estratégico surgem todas as ações a serem realizadas, pois ele define, valida e institucionaliza

todos os processos fundamentais de governança de TI. Portanto é esperado que este processo seja bem

desenvolvido nas empresas do grupo Eletrobrás, devido ao seu papel central na área de TI. O processo

com mais baixa avaliação é o PO8 – gerenciar a qualidade. Este é um indicativo de que os processos,

de forma generalizada não possuem padrões. Para que um processo seja executado com qualidade é

necessário que haja um sistema que gere requisitos, procedimentos e políticas de qualidade, orientados

por indicadores quantificáveis e atingíveis. A gestão da qualidade é fundamental para que a TI forneça

valor para o negócio, melhoria contínua e transparência para as partes interessadas.

A tabela 2 apresenta o agrupamento dos processos do domínio planejamento e organização.


12

Grupo Processo

1 PO1 - Definir um Plano Estratégico de TI

2

PO3 - Determinar as Diretrizes de Tecnologia

PO5 - Gerenciar o Investimento de TI

PO10 - Gerenciar Projetos

3 PO6 - Comunicar Metas e Diretrizes Gerenciais

4 PO4 - Definir os Processos, a Organização e os Relacionamentos de TI

5

PO2 - Definir a Arquitetura da Informação

PO7 - Gerenciar os Recursos Humanos de TI

PO8 - Gerenciar a Qualidade

PO9 - Avaliar e Gerenciar os Riscos de TI

Tabela 2 - Agrupamento dos processos - planejamento e organização

Há grande concentração de processos no grupo 5, que é o de pior avaliação. Nestes, se destacam os

processos PO8 e PO9. Entretanto há boa avaliação para os processos PO3, PO5 e PO10 que se

encontram no grupo 2.

4.2 Processos relativos ao domínio aquisição e implementação

Na tabela 3 estão os resultados da pesquisa relativos à avaliação dos processos do domínio aquisição e

implementação.


0 1 2 3 4 5 *

AI1 - Identificar Soluções

Automatizadas 8,9% 17,8% 35,6% 15,6% 11,1% 0,0% 11,1%

AI2 - Adquirir e Manter

Software Aplicativo 6,7% 11,1% 28,9% 33,3% 11,1% 0,0% 8,9%

AI3 - Adquirir e Manter

Infraestrutura de Tecnologia 4,4% 11,1% 33,3% 22,2% 15,6% 0,0% 13,3%

AI4 - Habilitar Operação e

Uso 8,9% 11,1% 20,0% 28,9% 11,1% 0,0% 20,0%

AI5 - Adquirir Recursos de TI 4,4% 8,9% 33,3% 31,1% 13,3% 0,0% 8,9%

AI6 - Gerenciar Mudanças 11,1% 26,7% 24,4% 26,7% 8,9% 0,0% 2,2%

AI7 - Instalar e Homologar

Soluções e Mudanças 8,9% 15,6% 26,7% 24,4% 13,3% 0,0% 11,1%

Médias das avaliações 7,61%

14,61

% 28,89% 26,03% 12,06% 0,00% 10,79%

Tabela 3 – Avaliação dos processos de aquisição e implementação e suas médias

O processo mais bem avaliado não possui nenhuma avaliação de maturidade 5. É o processo AI5 -

Adquirir Recursos de TI. Ele obteve bons percentuais de avaliação nos níveis 2 e 3 e na avaliação de

nível 4 ficou acima da média. O resultado mostra que este é um processo maduro, devido à constante

evolução tecnológica da área de TI. Há uma frequente necessidade de adquirir hardware e software,


13

bem como serviços que são essenciais para as operações. Na outra extremidade, encontra-se o processo

AI6 - Gerenciar Mudanças que obteve o maior valor acima da média de avaliações no nível 0. Este

processo visa mitigar os riscos de forma a manter a estabilidade e a integridade dos sistemas no

ambiente de produção. Ele preconiza que todas as mudanças em sistemas e ambientes de TI devem ser

planejadas, controladas, registradas, autorizadas e revisadas. Na Eletrobrás Holding há um projeto de

implantação do modelo de gestão ITIL (Peña et al,2013) que está obtendo bons resultados no

gerenciamento de mudanças. Uma ferramenta de controle de mudanças foi implantada no mês de maio

de 2013 e dá suporte a todo o processo de mudanças. O agrupamento dos processos do domínio

aquisição e implementação não possui nenhum processo pertencente ao grupo 1. Entretanto há 4

processos no grupo 5. Os processos que se encontram nos grupos 3 e 4 são respectivamente os

processos AI3 e AI2, conforme descrito na tabela 4.

Grupo Processo

2 AI5 - Adquirir Recursos de TI

3 AI3 - Adquirir e Manter Infraestrutura de Tecnologia

4 AI2 - Adquirir e Manter Software Aplicativo

5

AI1 - Identificar Soluções Automatizadas

AI4 - Habilitar Operação e Uso

AI6 - Gerenciar Mudanças

AI7 - Instalar e Homologar Soluções e Mudanças

Tabela 4 - Agrupamento dos processos - aquisição e implementação

4.3 Processos relativos ao domínio entrega e suporte

Os dados da tabela 5 apresentam os percentuais de avaliação nos níveis de maturidade para os

processos do domínio entrega e suporte. São processos que possuem íntima relação com os processos

do modelo de gestão ITIL. O processo com melhor avaliação é o DS4 - Assegurar Continuidade de

Serviços. Este processo é inerente à área de infraestrutura, pois nele é definido o plano de continuidade

de TI e o armazenamento de cópias de segurança em instalações remotas. Dessa forma é possível

minimizar a probabilidade e o impacto de uma interrupção de um serviço chave de TI nas funções e

processos críticos de negócio O processo pior avaliado é o DS7 - Educar e Treinar os Usuários. Na

atividade de implementação de sistemas este processo tem relação com os processos AI6 - Gerenciar

Mudanças e PO10 - Gerenciar Projetos. A melhoria da implementação do processo DS7, traz

benefícios no uso efetivo da tecnologia por meio da redução dos erros do usuário o que melhora a

produtividade e aumenta a conformidade com controles principais, tais como as medidas de segurança

do usuário.


14


0 1 2 3 4 5 *

DS1 - Definir e Gerenciar

Níveis de Serviços 6,7% 33,3% 24,4% 22,2% 6,7% 0,0% 6,7%

DS2 - Gerenciar Serviços de

Terceiros 4,4% 20,0% 26,7% 22,2% 15,6% 0,0% 11,1%

DS3 - Gerenciar Capacidade e

Desempenho 20,0% 24,4% 26,7% 8,9% 2,2% 2,2% 15,6%

DS4 - Assegurar Continuidade

de Serviços 8,9% 26,7% 22,2% 15,6% 11,1% 2,2% 13,3%

DS5 - Assegurar a Segurança

dos Serviços 6,7% 17,8% 31,1% 24,4% 4,4% 0,0% 15,6%

DS6 - Identificar e Alocar

Custos 11,1% 28,9% 24,4% 13,3% 6,7% 0,0% 15,6%

DS7 - Educar e Treinar os

Usuários 15,6% 24,4% 33,3% 8,9% 11,1% 0,0% 6,7%

DS8 - Gerenciar a Central de

Serviço e os Incidentes 8,9% 20,0% 13,3% 31,1% 20,0% 0,0% 6,7%

DS9 - Gerenciar a Configuração 8,9% 26,7% 22,2% 24,4% 2,2% 0,0% 15,6%

DS10 - Gerenciar os Problemas 11,1% 31,1% 24,4% 20,0% 2,2% 0,0% 11,1%

DS11 - Gerenciar os Dados 4,4% 20,0% 28,9% 22,2% 8,9% 0,0% 15,6%

DS12 - Gerenciar o Ambiente

Físico 8,9% 8,9% 26,7% 31,1% 6,7% 2,2% 15,6%

DS13 - Gerenciar as Operações 4,4% 15,6% 31,1% 22,2% 6,7% 0,0% 20,0%


Tabela 5 – Avaliação dos processos de entrega e suporte e suas médias

No domínio entrega e suporte os processos não ficaram concentrados num grupo específico. A tabela 6

mostra que houve mais distribuição entre os grupos, evidenciando que seus processos têm processos

evolutivos bastante diversos. Os processos DS1, DS3, DS4,DS8, DS9 e DS10 são similares aos do

modelo de gestão de TI ITIL. Conforme já mencionado, há na Eletrobrás Holding um projeto de

implementação deste modelo de gestão. A expectativa é que os índices de avaliação dos processos

acima citados melhorem.

Grupo Processo

1 DS3 - Gerenciar Capacidade e Desempenho

DS4 - Assegurar Continuidade de Serviços

DS12 - Gerenciar o Ambiente Físico

3 DS2 - Gerenciar Serviços de Terceiros

DS11 - Gerenciar os Dados

4

DS1 - Definir e Gerenciar Níveis de Serviços

DS5 - Assegurar a Segurança dos Serviços

DS13 - Gerenciar as Operações

5 DS6 - Identificar e Alocar Custos


15

DS7 - Educar e Treinar os Usuários

DS8 - Gerenciar a Central de Serviço e os Incidentes

DS9 - Gerenciar a Configuração

DS10 - Gerenciar os Problemas

Tabela 6 - Agrupamento dos processos - entrega e suporte

4.4 Processos relativos ao domínio monitoração

Os processos da tabela 7 são referentes ao domínio monitoração. O processo melhor avaliado é o ME2

- Monitorar e Avaliar os Controles Internos. Ele é relativo ao monitoramento e reporte das execuções

de controle, dos resultados de autoavaliação e avaliação de terceiros. Esse processo é importante para

que a organização opere em conformidade com as leis e os regulamentos vigentes. O processo ME1 -

Monitorar e Avaliar o Desempenho teve avaliação adversa. Como benefício, a melhoria deste processo

assegura que as atividades corretas estejam sendo feitas e que estejam em alinhamento com as políticas

e diretrizes estabelecidas. É necessário que exista a definição de indicadores de desempenho

relevantes, informes de acompanhamento sistemáticos e pronta ação em relação aos desvios

encontrados.


0 1 2 3 4 5 *

ME1 - Monitorar e Avaliar o

Desempenho 15,6% 26,7% 26,7% 13,3% 6,7% 0,0% 11,1%

ME2 - Monitorar e Avaliar os

Controles Internos 8,9% 26,7% 20,0% 20,0% 15,6% 0,0% 8,9%

ME3 - Assegurar a

Conformidade com Requisitos

Externos

8,9% 22,2% 24,4% 17,8% 11,1% 0,0% 15,6%

ME4 - Prover a Governança de

TI 13,3% 28,9% 17,8% 22,2% 4,4% 0,0% 13,3%


Tabela 7 - Avaliação dos processos de monitoração e suas médias

Para o domínio monitoração há apenas três grupos, conforme mostra a tabela 8. Entretanto, existem

dois processos no grupo 5 que é o de pior avaliação. Este domínio envolve questões críticas para a

gestão de TI, como o alinhamento estratégico com a organização, a conformidade com a legislação

externa, o monitoramento dos processos, a autoavaliação e criação de indicadores de desempenho.

Desta forma podem-se justificar as baixas avaliações em vários outros processos do CobiT, pois os

processos de controle não são aplicados de forma consistente.


16

Grupo Processo

2 ME2 - Monitorar e Avaliar os Controles Internos

3 ME3 - Assegurar a Conformidade com Requisitos Externos

5 ME1 - Monitorar e Avaliar o Desempenho

ME4 - Prover a Governança de TI

Tabela 8 - Agrupamento dos processos – monitoração

4.5 Priorização na melhoria dos processos

Dentre os processos do grupo 5 serão selecionados aqueles com mais prioridade para aplicação no

sistema de identificação de problemas e correção das causas em processos de Gestão de TI proposto

neste trabalho. Para isto serão escolhidos os processos apresentados no item 2.6.1 referente à relação

entre os processos do CobiT e o PCAOB. Na tabela 9 está representada a relação entre os processos do

CobiT relevantes para o PCAOB e seus grupos de avaliação.

Os processos CobiT relevantes para o PCAOB que foram classificados no grupo 5, que é o de pior

avaliação, são apresentados na tabela 10. A ordem foi arbitrada utilizando o critério de que o processo

CobiT que cobre o maior número de controles de ambiente de TI do PCAOB seria o primeiro a ser

utilizado no Sistema de Identificação de problemas e correção das causas proposto no item 2.11. Neste

caso, o primeiro processo a ser aprimorado no sistema, é o AI4 – Habilitar Operação e Uso que cuida

da elaboração da documentação e de manuais, bem como da promoção de treinamentos para os

usuários de TI.

Grupo Processos do CobiT relevantes para o PCAOB

3

AI3 - Adquirir e Manter Infraestrutura de Tecnologia

DS2 - Gerenciar Serviços de Terceiros

DS11 - Gerenciar os Dados

4

AI2 - Adquirir e Manter Software Aplicativo

DS1 - Definir e Gerenciar Níveis de Serviços

DS5 - Assegurar a Segurança dos Serviços

DS13 - Gerenciar as Operações

5

AI4 - Habilitar Operação e Uso

AI6 - Gerenciar Mudanças

AI7 - Instalar e Homologar Soluções e Mudanças

DS8 - Gerenciar a Central de Serviço e os Incidentes

DS9 - Gerenciar a Configuração

Tabela 9 - Relação processos CobiT X PCAOB X Grupos de avaliação


17

Controles de ambiente de TI do

PCAOB

Ordem Processo do CobiT

Des

envolv

imen

to

de

pro

gra

ma

Mudan

ças

de

pro

gra

ma

Oper

ações

de

com

puta

dor

Ace

sso a

pro

gra

mas

e

dad

os

1 AI4 - Habilitar Operação e Uso

2 AI7 - Instalar e Homologar Soluções e Mudanças

3 AI6 - Gerenciar Mudanças

4 DS9 - Gerenciar a Configuração

5 DS8 - Gerenciar a Central de Serviço e os

Incidentes

Tabela 10 - Ordem de priorização dos processos

4.6 Considerações Finais

Os modelos de gestão de TI basicamente são frameworks de trabalho que compreendem todas as

disciplinas pertinentes e importantes para a área de TI. A importância de sua implementação reside no

fato de que não se pode controlar ou administrar o que não é conhecido. Os modelos de gestão,

baseados nas melhores práticas de mercado, orientam em como implantar os seus processos e depois

acompanhá-los com o objetivo de melhorá-los de forma contínua e consistente até que seus processos

atinjam um alto grau de maturidade. Com este cenário a TI pode prover serviços de qualidade para

toda a Organização. Implementar ou alterar processos é semelhante a fazer intervenções cirúrgicas no

corpo inteiro. É bastante comum que os processos de uma organização sejam mapeados ou

redesenhados sem que se saiba a razão exata deste trabalho. Isto pode envolver muito tempo e dinheiro

que nem sempre oferecem retorno ideal. A forma mais apropriada para abordar a questão é fazer a

priorização dos processos a serem aplicados ou melhorados, com base numa estratégia definida e

controlada, de preferência apoiada numa estratégia corporativa. Neste trabalho optou-se por tratar

processos do CobiT com as avaliações mais baixas e que são importantes para os controles do PCAOB

devido aos requisitos da lei SOX. Como existem, em um mesmo processo, percentuais de avaliação

que estão entre valores de 0 a 5, a criação de grupos por critérios de similaridade elimina a

subjetividade da priorização. Desta forma é possível é possível escolher os processos que serão

analisados primeiro no Sistema de Identificação de problemas e correção das causas em processos de

Gestão de TI. Assim é possível aplicar um trabalho contínuo com foco na melhoria com o uso de

ferramentas como o Diagrama de Ishikawa e o PDCA. Isto evita que se aplique o mesmo recurso de


18

melhoria a todos os processos indistintamente. É preciso um diagnóstico e então a aplicação do recurso

de melhoria ideal para os sintomas de cada processo. O Gestor tem a oportunidade de resolver

problemas nos processos com um método simples objetivo.

5. Conclusão

Este estudo verifica a maturidade dos processos do modelo de Gestão de TI CobiT, por meio de

realização de levantamento do tipo survey que mostra a visão dos integrantes do Cotise quanto à

avaliação dos processos CobiT. Com as avaliações constantes na pesquisa foi possível classificar os

processos em grupos e assim priorizar as ações corretivas a serem realizadas pelas áreas de gestão da

TI. O processo melhor avaliado individualmente está no domínio planejamento e organização. É o

processo PO1 – Definir Plano Estratégico de TI que é um processo chave para a gestão de TI, pois do

plano estratégico surgem todas as ações a serem realizadas. Ele define, valida e institucionaliza todos

os processos fundamentais de governança de TI. Portanto é esperado que este processo seja bem

desenvolvido nas empresas do grupo Eletrobrás, devido ao seu papel central na área de TI. O estudo

também propõe o uso do resultado da pesquisa nas fases de planejamento e checagem do ciclo PDCA,

criando um sistema de melhoria contínua com o objetivo de servir de base para a elaboração do

Planejamento Estratégico de TI. Desta forma foi criado o Sistema de Identificação de problemas e

correção das causas em processos de Gestão de TI que integra o a pesquisa de avaliação de

maturidade, o diagrama de Ishikawa e o ciclo PDCA. A aplicação do Sistema de Identificação de

problemas e correção das causas em processos de Gestão de TI necessita ser executada em ciclos com

período definido e por meio de uma equipe específica dedicada a esta atividade. Este é um dos

requisitos que faz parte do tema melhoria contínua e dos domínios da qualidade em processos de TI.

Na pesquisa de avaliação, o processo PO8 – Gerenciar a Qualidade obteve individualmente avaliação

mais baixa. Este é um fato relevante, pois o processo de qualidade possui um papel central e permeia

todos os outros processos do CobiT. Sua implementação e/ou melhoria, implica diretamente na

melhoria de todos os outros processos do CobiT. Este é um indicativo de que os processos, de forma

generalizada, não possuem padrões. Para que um processo seja executado com qualidade é necessário

que haja um sistema que gere requisitos, procedimentos e políticas de qualidade, orientados por

indicadores quantificáveis e atingíveis. A gestão da qualidade é fundamental para que a TI forneça

valor para o negócio, melhoria contínua e transparência para as partes interessadas.

Os processos avaliados foram classificados em grupos que possuem critérios de similaridade. As

informações utilizadas na criação dos grupos são provenientes do resultado da pesquisa de maturidade


19

dos processos CobiT. Foram determinados 5 grupos onde o grupo 1 é aquele que possui os processos

mais bem avaliados e o grupo 5 é o que possui os processos com avaliação mais baixa. O grupo 5 foi

destacado para ter seus processos priorizados na aplicação do Sistema de Identificação de problemas e

correção das causas em processos de Gestão de TI. Depois disso, passaram por outro critério de

seleção que leva em conta o relacionamento do processo com os controles do PCAOB, visto que a

adequação à lei SOX é uma premissa crítica nas empresas do Sistema Eletrobrás. Ao final foram

selecionados 5 primeiros processos a serem aplicados no Sistema de Identificação de problemas e

correção das causas em processos de Gestão de TI. De uma forma geral, os resultados da pesquisa

apontam que a grande maioria dos processos CobiT foi classificada dentro do grupo 5 que é o de pior

avaliação. Ao todo foram 15 processos, o que é quase a metade da quantidade total dos processos do

CobiT. Esta constatação apresenta um grande desafio para as áreas de TI das empresas do Sistema

Eletrobrás, pois a eficiência e a eficácia dos serviços de TI prestados, depende de grandes melhorias na

implementação dos processos de gestão de TI. Por outro lado, com uma visão de oportunidade, as

áreas de TI possuem um vasto campo de trabalho para desenvolvimento dos suas atividades de forma a

consolidar sua posição estratégica dentro da organização como um todo. Há também exigências legais

que são revisadas periodicamente por auditorias. Elas focam em controles impostos pelos órgãos

governamentais e pela lei SOX. A implementação dos modelos de gestão de TI, também são

preponderantes no cumprimento da legislação. Estes modelos são aderentes às leis e produzem

documentação e artefatos rastreáveis aceitos pelas as auditorias. Além do mais, como coroamento do

esforço realizado pela TI para implementar modelos de gestão de TI, existe a possibilidade da

obtenção de certificações e a conquista da posição de centro de referência dentro do setor elétrico e até

mesmo centro de referência em todos os setores em âmbito nacional e internacional.


20

REFERÊNCIAS BIBLIOGRÁFICAS

AL-SA'EED, M.A. ; AL-MAHAMID, S.M. ; Al-Sayyed, R.M.H The impact of control objectives of

information and related technology (COBIT) domain on information criteria and information

technology resources Journal of Theoretical and Applied Information Technology, November 2012,

Vol.45(1), pp.9-18.

ALMEIDA, L. S. S. Projeto de atendimento à lei americana Sarbanes-Oxley: Desafios e soluções do

caso Petrobras. Rio de Janeiro: IBMEC, 2010.

BIANCOLINO, C.A.;MACCARI, E.A, PEREIRA, M.F. Innovation as a Tool for Generating Value in

the IT Services Sector. Rev Bus.Man.vol 14 n 48.p410-426,2013

CAMPOS, F. C.; SANTOS, G. S. Governança na Oferta de Serviço: modelo de outsourcing para

provedores de tecnologia da informação – São Paulo, Atlas 2012.

CAMPOS, V. F. TQC: Controle da Qualidade Total (no Estilo Japonês). 2ª. ed. Belo Horizonte:

Fundação Christiano Ottoni, 1992. (Rio de Janeiro; Bloch Ed.)

CARPINETTI, L.C.R. Gestão da Qualidade: Conceitos e Tecnicas. 2ª ed. São Paulo: Atlas, 2012

CMMI – Sítio http://www.sei.cmu.edu/. Acesso em: 13 de maio de 2013

CobiT 4.1- IT Governance Institute, 2007

GIL, Antônio Carlos. Como elaborar projetos de pesquisa . 4. ed. São Paulo: Atlas, 2002.

_________. Métodos e técnicas de pesquisa social. 5. ed. São Paulo: Atlas, 1999

HAIR JR., Joseph F. et al. Fundamentos de métodos de pesquisa em administração. Porto Alegre:

Bookman, 2005.

HESING, C.W, SOUZA, C.A.Institutional and Strategic Influences on IT Architecture Decisions:

comparative case studies in Brazilian companies. Rev Bus.Man.vol 15 n 48.p390-409,2013

http://www.portalgsti.com.br/2009/10/simulado-itil-v3-online-2.html acessado no dia 29/09/2013

IT GOVERNANCE INSTITUTE. IT Control Objectives for Sarbanes Oxley: The Role of IT in the

Design and Implementation of Internal Control Over Financial Reporting, 2. Ed. Ilinois, EUA, 2006

ITIL V3 – Service Strategy. Office of Government Commerce (OGC), 2011

KERR, DS ; MURTHYUS, The importance of the CobiT framework IT processes for effective

internal control over financial reporting in organizations: An international survey Information &

Management, 2013, Vol.50(7), pp.590-597

LÓPEZ, G. A. M. BUILES J. A. J. Cycle of PDCA T-learing model and its application on interactive

digital TV. Dyna, year 79, Nro. 173, pp. 61-70. Medellin, June, 2012.

http://www.sei.cmu.edu/


21

JURAN, J. M; GRYNA, Frank M. Controle da Qualidade: conceitos, políticas e filosofia da qualidade.

Tradução: Maria Cláudia de Oliveira Santos.4. ed. São Paulo: Makron, 1991

LAS CASAS, A.L. Qualidade Total em Serviços: Conceitos Exercícios, Casos Práticos. 6ª ed. São

Paulo: Atlas, 2008

LUCIANO, E. M. TESTA, M. G. JISTEM - Journal of Information Systems and Technology

Management. Vol. 8, No. 1, 2011, p. 237-262

MPS.BR - SOFTEX, MPS.BR – Melhoria de Processo do Software Brasileiro, Guia Geral 2012,

http://www.softex.br/mpsbr/ (2013).

NETO , J. S., NETO, A. N. F. Metamodel of the it governance framework cobit JISTEM - Journal of

Information Systems and Technology Management Vol. 10, No. 3, Sept/Dec., 2013 pp.521-540

PMBOK (Quarta Edição) – Project Management Institute, 2008

QUINQUIOLO, J. M. Avaliação da Eficácia de um Sistema de Gerenciamento para Melhorias

Implantado na Área de Carroceria de uma Linha de Produção Automotiva . Taubaté ⁄SP:

Universidade de Taubaté, 2002

SAMPARA,E. J; MATIODA,R. A.; CARDOSO,R.S.Análise de insumos e aplicação de sistemática de

solução de problemas para geração de melhorias. Bahia, 2009. ENCONTRO NACIONAL DE

ENGENHARIA DE PRODUÇÃO, XXIX,

PEÑA J. J. S. ; VICENTE E. F. ; OCAÑA A. ITIL, COBIT AND EFQM: CAN THEY WORK TOGETHER? .

International Journal of Combinatorial Optimization Problems and Informatics, 2013, Vol.4(1), p.54-

64

SILVA, E. L.;MENEZES, M.E. Metodologia da pesquisa e elaboração de dissertação – 4 ed. ver.

atual. Florianópolis: UFSC, 2005

VIEIRA, M.F. Gerenciamento de projetos de tecnologia da informação. 2ed. Rio de Janeiro: Elsevier.

2007

VIEIRA, M. V. Governança de TI no setor público – Caso DATAPREV. Dissertação (Mestrado em

Sistemas de Gestão) Universidade Federal Fluminense, Niterói, 2005

VON SOLMS, B. Information Security governance: CobiT or ISO 17799 or both?

(2005) Computers and Security, 24 (2), p. 99-104.

http://www.redalyc.org/articulo.oa?id=265225625006

estudo da maturidade de processos cobit em … · desenvolvimento sustentável as empresas foram...

Documents