tgctrc_2010
DESCRIPTION
Trabalho de conclusãoTRANSCRIPT
FACULDADE DE TECNOLOGIA DE SÃO JOSÉ DOS CAMPOS
APARECIDA VIEIRA DA FONSECA
ANÁLISE DE BOAS PRÁTICAS DE GOVERNANÇA DE TI NO CENTRO DE
OPERAÇÕES INTEGRADAS EM SÃO JOSÉ DOS CAMPOS-SP.
SÃO JOSÉ DOS CAMPOS
2010
APARECIDA VIEIRA DA FONSECA
ANÁLISE DE BOAS PRÁTICAS DE GOVERNANÇA DE TI NO CENTRO DE
OPERAÇÕES INTEGRADAS EM SÃO JOSÉ DOS CAMPOS-SP.
Trabalho de graduação apresentado à Faculdade
de Tecnologia de São José dos Campos, como
parte dos requisitos necessários para a obtenção
do título de tecnólogo em redes de computadores.
Orientador: Murilo da Silva Dantas, Me
SÃO JOSÉ DOS CAMPOS
2010
APARECIDA VIEIRA DA FONSECA
ANÁLISE DE BOAS PRÁTICAS DE GOVERNANÇA DE TI NO CENTRO DE
OPERAÇÕES INTEGRADAS EM SÃO JOSÉ DOS CAMPOS-SP.
Trabalho de graduação apresentado à Faculdade
de Tecnologia de São José dos Campos, como
parte dos requisitos necessários para a obtenção
do título de tecnólogo em redes de computadores.
Orientador: Murilo da Silva Dantas, Me
______________________________________________________________
Adriana da Silva Jacinto, Me
______________________________________________________________
Antônio Wellington Sales Rios, Me
______________________________________________________________
Murilo da Silva Dantas, Me
___/___/___
DATA DE APROVAÇÃO
IV
Aos verdadeiros amigos, que estiveram presente em todos os
momentos.
V
AGRADECIMENTOS
Agradeço a Deus por me fortalecer a cada instante, por ser meu pai, meu amigo, minha dupla
e minha força por estar efetivamente presente em todos os segundos da minha existência.
Ao meu orientador o Profº Murilo, pela dedicação e paciência no decorrer deste trabalho, sua
participação foi e é fundamental, pois sem ele não saberia o caminho a trilhar.
Aos professores, Egydio e Giuliano que sempre aplicaram uma injeção de autoestima em
momentos no qual o desânimo prevalecia e em especial a Profª Érica, por seus conselhos que
me encorajou a continuar a caminhada em busca dos meus objetivos.
Aos meus amigos Bruno, Jaqueliane e Paulo que estiveram ao meu lado quando precisei que
souberam me compreender e me apoiar em momentos complicados.
E finalmente, à minha família por entender a minha ausência e falta de tempo para as
reuniões, eventos e problemas de família.
VI
“O que faz andar o barco
não é a vela enfunada, mas o
vento que não se vê”.
Platão
VII
RESUMO
O avanço da tecnologia tem impulsionado cada vez mais as empresas públicas e privadas a
manterem maior controle sobre suas operações. Para isso, é necessário o apoio das práticas de
Governança de TI, que proporcionam o desenvolvimento homogêneo de toda organização.
Este trabalho tem como objetivo detectar as principais falhas ou ausência de mecanismos
adequados no Centro de Operações Integradas de São José dos Campos. Esta análise resultou
na composição de um cronograma especificando as principais etapas a serem introduzidas na
empresa em questão. O cronograma é fundamentado pelas boas práticas de Governança como
o COBIT (Control Objectives for Information and related Technology), o ITIL (Information
Technology Infrastructure Library) e PMBOK (Project Management Body of Knowledge).
Também foram considerados alguns fatores predominantes no setor público. O resultado final
foi a elaboração de um cronograma de implantação de Governança de TI mínimo e suficiente
para iniciar um processo de elevação da qualidade nas operações, além de prover organização
em todo o ambiente.
Palavras chaves: COBIT, ITIL, PMBOK, Governança de TI.
VIII
ABSTRACT
The advance in technology has driven more and more public and private companies to
maintain greater control over their operations. For this, we need the support of IT
governance practices, which provide the homogeneous development of the entire
organization. This study aims to detect major failures or lack of appropriate mechanisms at
the Center for Integrated Operations in Sao Jose dos Campos. This analysis resulted in the
composition of a schedule specifying the main steps to be introduced in the company in
question. The schedule is motivated by good governance practices such as COBIT (Control
Objectives for Information and related Technology), ITIL (Information Technology
Infrastructure Library) and PMBOK (Project Management Body of Knowledge). It were also
considered some predominant factors in the public sector. The final result was the
elaboration of an IT governance deployment schedule minimum and enough to start a
process of raising the quality in operations, besides providing organization in the entire
environment.
Keywords: COBIT, ITIL, PMBOK, schedule;
IX
LISTA DE FIGURAS
Figura 1 - Aderentes das Práticas de Governança de Tecnologia da Informação. ................... 17
Figura 2 - Modelo em Governança de Tecnologia da Informação. .......................................... 21
Figura 3 - Áreas de atuação da Governança de TI ................................................................... 23
Figura 4 - Áreas de atuação do PMBOK .................................................................................. 26
Figura 5 - Ciclo de atuação do PMBOK sobre uma estrutura .................................................. 27
Figura 6 - Nível de dificuldade na implantação do COBIT. .................................................... 29
Figura 7 - Arquitetura do COBIT ............................................................................................. 30
Figura 8 - Composição da Biblioteca ITIL ............................................................................... 40
Figura 9 - Composição da Biblioteca ITIL ............................................................................... 41
Figura 10 - Estrutura Hierárquica das Premissas...................................................................... 46
Figura 11 - Disposição dos critérios selecionados do PMBOK ............................................... 47
Figura 12 - Disposição dos critérios selecionados do COBIT ................................................. 47
Figura 13 - Disposição dos critérios selecionados da biblioteca ITIL ..................................... 48
Figura 14 – Cenário da Organização: As áreas sombreadas de preto correspondem aos pontos
detectados na organização. ....................................................................................................... 70
Figura 15 - Composição do cronograma .................................................................................. 71
Figura 16 - Cronograma de Implantação .................................................................................. 73
Figura 17 – Cronograma sob o focado no PMBOK ................................................................. 74
Figura 18 - Cronograma sob o foco do COBIT ........................................................................ 75
Figura 19 – Cronograma sob o foco da biblioteca ITIL ........................................................... 75
X
LISTA DE TABELAS
Tabela 1 - Domínio do COBIT ................................................................................................. 30
Tabela 2 - Modelo de Maturidade do COBIT .......................................................................... 37
Tabela 3 - Cenários da Governança de TI ................................................................................ 44
XI
LISTA DE GRÁFICOS
Gráfico 1 – Verificação da existência de política para a segurança das informações obtidas
durante os serviços prestados ................................................................................................... 51
Gráfico 2 - Demonstrativo de respostas obtidas com a aplicação do questionário .................. 53
Gráfico 3 - Demonstrativo do nível de comunicação em relação ao acesso às informações ... 55
Gráfico 4 – Demonstrativo do tratamento dados aos incidentes que ocorrem na organização 56
Gráfico 5 - Resultados referente à aquisição da infraestrutura tecnológica e expansão da
organização ............................................................................................................................... 58
Gráfico 6 – Demonstrativo do uso de mecanismos para mensurar o desempenho .................. 60
Gráfico 7 – Verificação de meios para manter os serviços na ocorrência de imprevistos ....... 61
Gráfico 8 - Controle sobre recursos e pessoas .......................................................................... 62
Gráfico 9 – Verificação do conhecimento dos riscos presentes na organização ...................... 64
Gráfico 10 – Demonstração da existência de procedimentos não formalizados para resolver as
vulnerabilidades presentes ........................................................................................................ 64
Gráfico 11 - Proporção do Impacto na ocorrência de um ou mais riscos sobre a organização 65
Gráfico 12 – Análise do ponto de vista dos funcionários em relação ao gerenciamento de
incidentes na organização ......................................................................................................... 68
XII
LISTA DE ABREVIATURAS
TI Tecnologia da Informação
ISACF Information Systems Auditand Control Foudation
COBIT Control Objectives for Information and Related Technology
ITIL Information Technology Infrastructure Library
PMBOK Project Management Body of Knowledge
COI Centro de Operações Integradas
XIII
SUMÁRIO
1 INTRODUÇÃO ................................................................................................................ 16
1.1 Motivação .................................................................................................................... 16
1.2 Objetivos ..................................................................................................................... 18
1.2.1 Objetivo Geral ............................................................................................................. 18
1.2.2 Objetivos Específicos .................................................................................................. 18
1.3 Metodologia ................................................................................................................ 18
1.4 Organização do Trabalho ............................................................................................ 19
2 ATUALIZAÇÃO TEÓRICA .......................................................................................... 20
2.1 Conceitos Gerais ......................................................................................................... 20
2.1.1 Tecnologia da Informação ........................................................................................... 22
2.1.2 Áreas de foco da Governança de TI ............................................................................ 22
2.2 Práticas de Governança ............................................................................................... 24
2.3 O PMBOK ................................................................................................................... 24
2.3.1 Analogia entre gerenciamento de projetos e Governança de TI ................................. 25
2.3.2 Áreas de atuação do PMBOK ..................................................................................... 25
2.3.3 Ciclo do PMBOK ........................................................................................................ 27
2.4 COBIT ......................................................................................................................... 28
2.4.1 Estrutura do COBIT .................................................................................................... 30
2.4.2 Ferramentas para o gerenciamento com o COBIT ...................................................... 36
2.5 ITIL ........................................................................................................................... 38
2.5.1 Metas do ITIL.............................................................................................................. 39
2.5.2 Estrutura da biblioteca ITIL ........................................................................................ 39
2.5.3 Composição básica da biblioteca ITIL ........................................................................ 41
3 MATERIAIS E MÉTODOS ........................................................................................... 43
3.1 A Organização ............................................................................................................. 43
XIV
3.2 Critérios para a avaliação ............................................................................................ 43
3.2.1 Identificação do cenário .............................................................................................. 44
3.2.2 Entrevista ..................................................................................................................... 44
3.2.3 Questionário ................................................................................................................ 45
3.2.4 O papel do PMBOK .................................................................................................... 48
4 ANÁLISES E AVALIAÇÃO DA EMPRESA ............................................................... 50
4.1 Entrevista ..................................................................................................................... 50
4.2 Aplicação do Questionário .......................................................................................... 52
4.3 Gestão de Projetos ....................................................................................................... 53
4.3.1 Áreas: gerenciamento de tempo .................................................................................. 54
4.3.2 Áreas: gerenciamento de comunicação ....................................................................... 54
4.3.3 Áreas: gerenciamento de riscos ................................................................................... 55
4.4 Gestão de Estrutura ..................................................................................................... 57
4.4.1 Domínio: aquisição e implementação ......................................................................... 57
4.4.2 Domínio: entrega e suporte ......................................................................................... 59
4.4.3 Domínio: monitorar e avaliar ...................................................................................... 62
4.4.4 Domínio: planejamento e organização ........................................................................ 63
4.5 Gestão de Serviços ...................................................................................................... 66
4.5.1. Disciplinas Táticas: Gerenciamento de Serviços ........................................................ 67
4.5.2 Disciplinas Operacionais: Gerenciamento de Incidentes ............................................ 67
4.5.3 Disciplinas Operacionais: Gerenciamento de Problemas............................................ 68
4.6 Informações adicionais ao questionário ...................................................................... 69
4.7 O Cenário .................................................................................................................... 70
5 RESULTADOS ................................................................................................................ 71
5.1 Cronograma ................................................................................................................. 71
5.1.1 Prazos .......................................................................................................................... 74
XV
5.2 Cronograma: A Gestão de Projetos ............................................................................. 74
5.3 Cronograma: A Gestão de Estrutura ........................................................................... 75
5.4 Cronograma: A Gestão de Serviços ............................................................................ 75
6 CONSIDERAÇÕES FINAIS .......................................................................................... 77
6.1 Contribuições .............................................................................................................. 77
6.1.1 Publicação ................................................................................................................... 78
6.2 Trabalhos Futuros ........................................................................................................ 79
7 REFERÊNCIAS ............................................................................................................... 80
ANEXO A: Questionário aplicado aos funcionários do Centro de Operações Integradas de
São José dos Campos ................................................................................................................ 84
ANEXO B: Transcrição da entrevista...................................................................................... 87
16
1 INTRODUÇÃO
1.1 Motivação
O crescimento de novas tecnologias aplicadas aos negócios alavancou novas
responsabilidades e a busca por desempenho sem grandes impactos na estrutura
organizacional. Para comportar os objetivos da organização as práticas oferecidas pela
Governança Tecnológica, ou Governança de TI (IT Governance) têm sido introduzidas nas
organizações, estabelecendo a sintonia entre todos os mecanismos distintos na organização,
ou seja, a sintonia entre as partes envolvidas (dispositivos para a realização do trabalho,
processos essenciais e pessoas).
A TI (Tecnologia da Informação) é definida como fator importantíssimo na gestão financeira,
econômica e estratégica aplicada a qualquer negócio e não apenas a função de suporte na
organização (SÓRTICA, 2004). Essa definição tem sido explorada pelas organizações
públicas e privadas cada vez mais, pois a aderência dos modelos de Governança de TI tem se
elevado com o passar dos anos (REZENDE, 2004).
Isso se deve ao fato de que a informação tem seu valor e o descuido com a mesma pode gerar
danos irreparáveis, tais como, perda de credibilidade em relação aos seus clientes, exposição a
ataques externos e o desconhecimento de alguns riscos provenientes da ineficiência na gestão
e segurança da informação. Nesse sentido de proteção à informação é que as melhores
práticas trabalham cada uma com suas peculiaridades, mas todas com objetivos semelhantes.
Um fato que enfatiza o papel da Governança de TI é a possibilidade de aumento da
lucratividade e desempenho, considerando a efetividade dos processos, a inatividade dos
riscos e a segurança fornecida com implantação total das práticas. Segundo a pesquisa
realizada em setembro de 2009 pelo Massachusetts Institute of Technology (MIT) e divulgada
no mesmo ano pelo site da Computer World, cerca de 38% das grandes corporações no Brasil
já possuíam projetos de Governança de TI em 2009 e este percentual dever crescer (LISBOA,
2009).
17
Isso ressalta a necessidade da Governança de TI sendo identificada pelo poder decisório da
organização (gerentes, administradores, equipes de TI). A Figura 1 nos dá uma ideia de
algumas empresas que optaram pela Governança de TI.
Figura 1 - Aderentes das Práticas de Governança de Tecnologia da Informação.
Entretanto existe uma barreira entre a área de TI e a organização na qual ela se encontra, essa
barreira consiste no valor limitado de recursos disponibilizados e sobrecarga de funções à
equipe de TI, sendo esta uma fatalidade que paralisa iniciativas que atenderiam melhor as
necessidades da organização (HARDY, 2006).
No entanto, essa barreira tem se dissolvido, a partir do momento em que o avanço tecnológico
impulsiona as organizações públicas e privadas a administrar, controlar ativos e riscos, através
da aplicação dos conceitos de Governança de TI colocados em prática, apesar do alto valor de
investimento em sua implantação.
18
1.2 Objetivos
A seguir são descritos os objetivos do trabalho
1.2.1 Objetivo Geral
Analisar a estrutura organizacional, conforme a seleção de critérios extraídos das principais
práticas de Governança de TI, detectando os pontos críticos, dos quais serão investidos na
elaboração de um cronograma mínimo de implantação, que sugere uma sequência de passos
importantes a serem inseridos no Centro de Operações Integradas de São José dos Campos.
1.2.2 Objetivos Específicos
a) Avaliar a empresa em estudo detectando o estado no qual ela está em
relação à Governança de TI;
b) Selecionar critérios para avaliação aplicáveis à empresa pública escolhida,
levando em consideração suas limitações orçamentárias;
c) Sugerir a aplicação de práticas de Governança adequadas à organização,
delimitando o tempo adequado para a adoção das medidas corretivas de
acordo com as práticas COBIT, ITIL e PMBOK.
1.3 Metodologia
Por meio de estudos bibliográficos, foi elaborada uma seleção de critérios aplicáveis no
Centro de Operações Integradas e quaisquer organizações públicas. Esses critérios incorporam
as práticas da biblioteca ITIL e os domínios do COBIT no tratamento de estrutura e
processos. A seleção de critérios contempla a coleta de informações e definição de métricas
19
para a avaliação da organização, além de fazer uma projeção da Governança de TI na
organização.
1.4 Organização do Trabalho
Este trabalho está organizado da seguinte forma:
a) Capítulo 2- Apresenta a fundamentação teórica sobre os conceitos
importantes envolvidos, como frameworks e principais conjuntos de
práticas existentes.
b) Capítulo 3 – Destina-se à apresentação da situação na qual a organização
está definindo um modelo a ser aplicado no estudo de caso. Neste capitulo
serão definidas as métricas e metodologia para a análise estrutural.
c) Capítulo 4 – Expõe os resultados obtidos através do modelo aplicado
juntamente com a especificação detalhada dos recursos utilizados e a forma
de utilização no trabalho.
Capítulo 5 – Retrata o cronograma produzido a partir dos resultados da
avaliação realizada na organização.
d) Capítulo 6 – Exprime a conclusão do trabalho, enfatizando os resultados e a
importância do trabalho no contexto da análise e aplicação da Governança
de TI por etapas.
20
2 ATUALIZAÇÃO TEÓRICA
O objetivo deste capítulo é apresentar os conceitos envolvidos na Governança de TI expondo,
suas principais práticas destacando suas características e os modos de alcançar os objetivos
com a implantação. Portanto, este capítulo está organizado como segue: a seção 2.1 descreve
os principais conceitos de Governança de TI; na 2.2 encontram-se as definições sobre práticas
e quais os principais recursos disponíveis na Governança de TI; já a 2.3 caracteriza os
princípios do COBIT; a 2.4 contextualiza o PMBOK; e a 2.5 conceitua o framework ITIL.
Finalmente a seção 2.6 faz uma menção a tudo que foi abordado durante o capítulo.
2.1 Conceitos Gerais
O conceito de Governança de TI surgiu a partir da Governança Corporativa, pois a Tecnologia
da Informação (TI) está inserida no contexto da organização (MIRANDA, 2009). O termo
Governança de TI foi introduzida na literatura de Sistema de Informação no ano de 1991, na
Inglaterra e seu surgimento no Brasil foi com a fundação do IBGC (Instituto Brasileiro de
Governança Corporativa) no ano de 1995 (LUNARDI, 2007).
Sua conceituação foi bem discutida por vários autores e pesquisadores. O ITGI – IT (2005)
Governance Institute, define a Governança de TI como um eixo da Governança corporativa,
encadeando gestão de estrutura organizacional e processos propiciando à equipe de TI
suportar os objetivos e estratégias da organização.
Para WEILL (2002), a Governança de TI é um conjunto combinado de práticas que
comportam processos, mecanismos de relacionamento e estrutura. A Figura 2 apresenta os
três elementos básicos para a Governança de TI, caracterizando os pilares para a construção
de qualquer modelo específico, ou seja, ele estabelece os pontos cruciais a serem estudados e
modelados de forma particular para atingir os objetivos da organização.
21
Figura 2 - Modelo em Governança de Tecnologia da Informação.
Os componentes envolvidos no modelo de Governança de TI visível na Figura 2 são descritos
na seguinte forma:
a) Estrutura: basicamente incorpora a definição de papéis e responsabilidades, isto é, o
que cada um, representa dentro da organização detalhando qual o seu papel,
englobando os equipamentos.
b) Processos: incluem os métodos para avaliar desempenho de TI e a elaboração do
planejamento estratégico,
c) Relacionamento: resolução ativa dos serviços, catalogação dos serviços prestados,
fornecendo mecanismo para a recompensa e incentivos funcionais.
A Governança de TI incorpora esses componentes, para absorção e aplicação com êxito de
qualquer framework, ou seja, a Governança de TI vê a informação como um ativo primordial
presente em todas as atividades, seja nos processos ou na estrutura, em tudo há informação até
mesmo nas pessoas. Por isso com o intuito da transparência e integridade para com a
informação que a área de TI tem persistido e conquistado seu espaço.
22
2.1.1 Tecnologia da Informação
Ao iniciar a contextualização da Governança e suas raízes, é necessário definir os elementos
envolvidos, sendo que um dos principais elementos é a informação, que é definida no
contexto da Governança como: agregação de recursos computacionais (software, hardware e
serviços) que promovem a comunicação, o processamento e armazenamento de dados
(SILVA, 1999). Já no contexto da Informática, a informação é definida como o agrupamento
de dados que são utilizados para a comunicação entre humanos e máquinas, envolvendo
processos (SÊMOLA, 2003).
Portanto, a Tecnologia de Informação compreende as mais diversas formas de tecnologias
disponíveis para a criação, manutenção, armazenagem, troca e uso da informação, nas mais
variadas formas (vídeo, dados, imagem).
2.1.2 Áreas de foco da Governança de TI
Essas áreas de foco na Governança de TI são as áreas que utilizam-se de conhecimento
diversificado a fim de alcançar as metas com qualidade, desempenho e segurança. Para
enfatizar a aplicabilidade da Governança de TI, são demonstrados na Figura 3, quais são as
áreas que a Governança de TI busca atingir (SANT’ANNA, 2008).
23
Figura 3 - Áreas de atuação da Governança de TI
Cada área tem suas peculiaridades, por isso é preciso caracterizar com precisão cada uma,
para maior compreensão:
a) Alinhamento Estratégico: visa integrar a TI ao escopo do negócio, atribuindo
responsabilidades, incorporando a TI com as operações rotineiras.
b) Entrega e Valor: garantir que a TI esteja efetiva, cumprindo os prazos determinados
por meio dos acordos estabelecidos.
c) Gestão de Recursos: destina-se à escolha da melhor maneira de investimento na TI e
seus recursos de trabalho, tais como: aplicativos, pessoas e etc.
d) Gestão de Riscos: requer concentração e investimento na elaboração de planos de fuga
ou planos preventivos, priorizando a transparência das transações.
24
e) Mensuração de Desempenho: é como a TI verificará seus resultados, como saber se
seu desempenho está bom.
2.2 Práticas de Governança
A partir dos conhecimentos básicos envolvidos na Governança de TI surgiram várias práticas,
que são definidas como o conjunto de etapas que visam o aprimoramento e correção de
eventuais falhas numa empresa ou organização, considerando todos os aspectos envolvidos
direta ou indiretamente (FAGUNDES, 2004).
As principais práticas em circulação no mercado são: a ITIL (Information Technology
Infrastructure Library), o COBIT (Control Objectives for Information and Related
Technology), a ASL (Apliction Services Library), o PMBOK (Project Management Body of
Knowledge), a SEIS SIGMA, a SAS 70 (Statements on Auditing Standards), etc. Neste
trabalho serão detalhadas apenas as práticas do PMBOK, COBIT e ITIL.
2.3 O PMBOK
O PMBOK (Project Management Body of Knowledge) é um guia que reúne um conjunto de
conhecimentos sobre projetos. As práticas inseridas no PMBOK são aplicadas a diversas
áreas, das quais se pode concluir que os conhecimentos expostos neste guia são aplicados a
qualquer projeto.
Fornece um vocabulário especifico e tem como público alvo os diretores, gerentes, clientes,
educadores, consultores e pesquisadores. O PMBOK assegura uma comunicação adequada de
acordo com o nível dos participantes.
A comunicação ocorre a partir do conhecimento sobre o PMBOK, por intermédio da acepção
sobre seus principais conceitos. Este conhecimento é possível com a conceituação do termo
“projeto”, que para o PMBOK é definido como: um esforço de tempo limitado para criar um
25
produto, serviço ou resultado com exclusividade. Os projetos são uma forma de realizar a
organização das atividades numa organização, quando esta não consegue este feito no
decorrer de sua rotina (GUIA PMBOK, 2008).
2.3.1 Analogia entre gerenciamento de projetos e Governança de TI
O gerenciamento de projetos é um esforço que reúne conhecimento com ferramentas,
habilidades com técnicas com o propósito de atender os requisitos programados. Na gerência
de projetos estão inclusos: determinar quais são as necessidades, definição dos objetivos de
forma concisa, adaptação dos requisitos, planos e estratégias para as diversas partes
envolvidas (GUIA PMBOK, 2008).
A definição exata sobre gerenciamento de projetos é mostrada por DINSMORE (1992) na
qual ele conclui que gerência de projetos contempla a junção de pessoas, técnicas e sistemas
necessários à administração dos recursos importantes para o alcance do objetivo final, que é a
concretização do projeto.
A relação com a Governança de TI está presente no ponto em que ao implantar quaisquer
práticas é preciso ter estabelecido um escopo de como será feito, qual será o começo, quem
são os interessados.
2.3.2 Áreas de atuação do PMBOK
O PMBOK abrange as mais diversas áreas, envolvendo todos os lados ou eixos num projeto.
As áreas definidas no Guia PMBOK totalizam nove que estão à mostra na Figura 4.
26
Figura 4 - Áreas de atuação do PMBOK
O detalhamento de cada área facilitará a absorção conceitual sobre o PMBOK.
a) Gerência de Aquisições: trabalha com os contratos formados e pedidos de compras do
projeto.
b) Gerência de Comunicações: compreende a função de coletar, disponibilizar e
armazenar as informações. Basicamente o foco é manter em sintonia toda a equipe.
c) Gerência de Custos: visa cumprir o planejamento financeiro, ou seja, que o projeto não
ultrapasse o orçamento.
d) Gerência de Escopo: assegura que no decorrer de todo o projeto tudo o que foi
proposto, incluindo o documento descrevendo todo o processo, associando as
expectativas e visões dos clientes. Abrange a criação, desenvolvimento e conclusão do
“escopo”, esquema do projeto.
27
Gerência de Integração: tem como objetivo unificar os processos, provendo maior
facilidade para administrá-los. Nessa etapa, consistem alguns procedimentos que devem
ser seguidos, tais como: desenvolvimento do plano do projeto, execução do mesmo,
controle geral sobre as mudanças.
e) Gerência de Qualidade: distinguir políticas para assegurar a qualidade, podendo
utilizar diversos recursos para esse propósito.
f) Gerência de Recursos Humanos: organiza a equipe, delimitando suas respectivas
responsabilidades.
g) Gerência de Riscos: efetua a identificação e medidas de correção dos riscos. Também
se preocupa com o impacto que cada risco acarreta sobre o projeto.
h) Gerência de Tempo: destina-se em garantir que o projeto seja concluído nos prazos
determinado. Nesta etapa, o cronograma é predefinido e articulado pelos membros
participantes.
2.3.3 Ciclo do PMBOK
O ciclo do PMBOK é constituído por quatro conjuntos de procedimentos, como mostra a
Figura 5, baseada no Guia PMBOK.
Figura 5 - Ciclo de atuação do PMBOK sobre uma estrutura
28
O ciclo do PMBOK é a forma mais ampla e clara para entender um projeto e suas etapas, pois
basicamente todo projeto inicia, planeja etapas e seus elementos, executa podendo ocorrer
novamente o planejamento e enfim o processo final.
Na seção a seguir será conceituada a prática do COBIT que visa estrutura e dividir em
categorias as etapas as serem trabalhadas numa organização.
2.4 COBIT
O COBIT (Control Objectives for Information and Related Technology) é uma espécie de
guia para a gestão de TI, recomendado pelo ISACF (Information Systems Auditand Control
Foudation). Ele é orientado ao negócio, fornecendo informações explícitas para o
gerenciamento de processos de acordo com as metas da organização.
Sua aparição foi em 1996, quando ocorreu o estabelecimento do IT Governance Institute -
ITGI, visando avançar os padrões internacionais referentes à gestão e controle da Tecnologia
da Informação no local aplicado (SÓRTICA, 2003).
O COBIT foi amplamente utilizado nos últimos anos, porém devido as dificuldade de
implantação, que pode ser analisada a partir dos dados retirados da pesquisa do IT
Governance Institute realizada em 2006 com os executivos de várias empresas em vários
países no mundo.
A pesquisa1 foi divulgada no ano de 2006, os dados estão expressos na Figura 6 reflete os
níveis diagnosticados pelos executivos que impedem o crescimento em números elevados
(ITGI, 2006).
1 Os dados reais foram convertidos num gráfico exposto na figura 6.
29
Figura 6 - Nível de dificuldade na implantação do COBIT.
O COBIT foi projetado para atender quatro tipos de público:
a) Direção executiva: trabalhar sobre os riscos equilibrando os investimentos.
b) Administração do negócio: prover garantia dos serviços oferecidos internamente ou
por terceiros além do controle sobre as ações.
c) Administração de TI: sustentar os serviços providos, adaptando-se à estratégia da
empresa controlando os passos da equipe de TI e dos processos.
d) Auditores: aconselhar e expor sua experiência à equipe de TI.
O público é a base para o trabalho numa organização que pretende incorporar a prática do
COBIT (FAGUNDES, 2004).
As atividades numa organização devem passar por mudanças contínuas com o intuito de
atender a demanda ou necessidade do seu público alvo. Portanto, ele fornece o
direcionamento para tais mudanças, pois visa à integração de toda a estrutura organizacional
(SODRÉ, 2007a).
30
2.4.1 Estrutura do COBIT
Conforme a Figura 7 mostra, o COBIT é estruturado no modo hierárquico, sendo que cada
camada representa um conjunto de atividades ou passos.
Figura 7 - Arquitetura do COBIT
Os domínios são categorias com diversos processos no seu escopo; os processos são os
conjuntos de procedimentos e, por fim, os procedimentos são o passo a passo com atividades
na sua composição para pôr em prática algo possível de concretizar (SANTOS, 2009).
Então, na busca por atender todas as áreas de uma organização, o COBIT é constituído de
quatro domínios, visualmente exposto na Tabela 1.
Tabela 1 - Domínio do COBIT
DOMÍNIO DESCRIÇÃO
Planejamento e
organização
Trata-se das estratégias e táticas da organização, identificando como a TI
pode contribuir ainda mais para o negócio.
Aquisição e
Implementação Detectar, elaborar e incorporar soluções na organização.
Entrega e
Suporte
Refere-se à entrega dos serviços solicitados, incluindo operações de
segurança.
Monitoramento Avaliar os processos, para analisar a qualidade atual e promover mudanças
destinadas ao aumento da qualidade.
Dentro de cada domínio existem vários processos, e estes são de grande importância na
organização, pois dinamizam as funções e atividades incorporando todas as áreas
31
(comunicação, segurança. riscos e etc.). Portanto, se faz necessário, o detalhamento de cada
domínio, para maior compreensão das áreas de cobertura.
O domínio Planejamento e Organização tem a pretensão do gerenciamento e controle das
ações, de forma a integrar pessoas, organização2 e tecnologia. Este domínio conta com dez
processos, sendo eles:
a) Definir planejamento estratégico: visa o alinhamento estratégico da TI com os
objetivos do negócio.
b) Definir a arquitetura da informação: identificar quais são as informações importantes
para a organização, delimitando qual a sua utilidade e sistemas que trabalhará com
essa informação. Considera mecanismos para a proteção da informação.
c) Definir a direção tecnológica: em cada ambiente numa organização, é necessária a
presença de um responsável que fale em nome de todos; na equipe de TI também é
imprescindível a escolha de alguém para tomar decisões, comparecer em reuniões, etc.
d) Comunicar os objetivos e a direção da TI para a administração da organização: cada
equipe ou setor numa organização tem seus objetivos, eles devem ser bem claros e
informados a administração da organização juntamente com a apresentação da equipe
de direção da TI.
e) Gerenciar os investimentos da TI: geralmente, a área de TI recebe uma “cota” para
investir, considerando as necessidades da equipe e da estrutura por ela abrangida. O
responsável pela TI, deve definir prioridades para investir, considerando custo e
benefícios para cada investimento.
f) Avaliar e gerenciar riscos: definir quais são os riscos para a organização, avaliando as
consequências de cada um deles e, com isso, definir medidas corretivas para cada um.
2 A organização refere-se à empresa que for utilizar-se do COBIT.
32
g) Determinar quais processos envolvem a TI: nem todos os processos são automatizados
numa organização, sendo assim, deve estabelecer os processos atendidos pela TI de
acordo com a necessidade da organização.
h) Gerenciar a qualidade: delimitar meios para verificar a qualidade e eficiência dos
processos de TI com foco no cliente incorporando padrões de qualidade na
organização.
i) Gerenciar projetos: delimitar um plano de ação, descrevendo os passos a serem
efetuado, considerando que neste plano deve ser detalhado, identificando quem
participará, os riscos, quais as etapas, custo, benefícios e duração.
j) Gerenciar recursos humanos: tanto as vagas para a área de TI quanto o pessoal que
integra a equipe precisam ser monitorados e deslocados para as funções de acordo com
os talentos de cada um, ou seja, cada integrante é destinado para as atividades que
coincidem com suas experiências e formação. Trabalha a motivação da equipe e a
capacitação profissional dos integrantes da organização.
O domínio Aquisição e Implementação é mais estrutural, pois se destina a área de recursos de
tecnologia. Este domínio interconecta inovação, manutenção, tecnologia e a organização,
como base suplementar na realização dos processos. Este domínio conta com cinco processos,
sendo eles:
a) Identificar as soluções de automação: de acordo com o segmento da organização,
verificar a existência de aplicativos e outras tecnologias para a execução dos processos
organizacionais.
b) Aquisição de manutenção de software: destina-se à troca de programas ou atualização
para versões mais recentes.
c) Aquisição e manutenção da estrutura tecnológica: destina–se à compra de
equipamentos e manutenção dos existentes.
33
d) Instalação e certificação de software: tem a finalidade de documentar e certificar a
autenticidade dos softwares, verificando o tipo de licenças.
e) Gestão de mudanças: é um processo muito complexo, pois define estratégias para gerir
o período de mudança numa organização. São delimitadas quais são as mudanças a
serem realizadas.
O domínio Entrega e Suporte consiste em fazer o elo entre organização, tecnologia, serviços e
terceiros. Este domínio conta com treze processos, sendo eles:
a) Estabelecer e manter acordos de níveis de serviços: prover a comunicação eficiente
entre a direção de TI e os clientes do negócio, estabelecendo os serviços necessários
por meios de um acordo definido e documentado que aborda os serviços de TI e os
níveis de serviço esperados, incluindo a forma de monitoramento.
b) Gerência dos serviços prestados por terceiros: é comum à existência de pessoas ou
empresas, que não pertencem à equipe ou à organização, realizar determinadas tarefas
e, por isso, há a necessidade de supervisionar e controlar as ações do mesmo na
organização.
c) Gerenciar a capacidade e o desempenho no ambiente: analisa a estrutura, observando
se está de acordo com os recursos existentes podendo estabelecer mudanças para
melhorar o desempenho e a capacidade.
d) Fornecer garantias de continuidade do serviço: estabelece as formas de manter os
serviços disponíveis por tempo indeterminado. A partir de um plano de continuidade,
no qual é estabelecida a manutenção dos processos.
e) Gerência de segurança dos sistemas: inclui o monitoramento, testes periódicos e a
implantação de ações corretivas das deformidades ou dos incidentes de segurança. A
gestão eficaz de segurança protege todos os ativos de TI minimizando o impacto sobre
os negócios. Utiliza-se de controles de contas de usuários, criptografia e detecção de
softwares maliciosos.
34
f) Alocar e identificar os custos: identifica os custos, mensurando com transparência
cada custo, utilizando recursos de contabilidade.
g) Capacitação e treinamento de usuários: caracteriza as necessidades dos membros da
organização, fornecendo a capacitação adequada, estipulando uma avaliação do
treinamento.
h) Assistência aos usuários: é necessário, dependendo do porte da organização, ter uma
equipe ou um profissional destinado a atender os usuários, esclarecendo suas dúvidas
ou reparando seus erros.
i) Gerência de configuração: mantém a integridade de hardware e software,
acrescentando a manutenção de equipamentos. Coleta informações sobre configuração
dos equipamentos mantendo um registro das mudanças efetivadas.
j) Gerência de dados: ajusta a forma de trabalhar com os dados obtidos, limitando o
modo de transporte, backup e políticas de segurança.
k) Gerência de infraestrutura: verifica o layout organizacional, distribui os recursos de
tecnologia de acordo com o alinhamento da estratégia, comporta requisitos de
segurança física.
l) Gerência de operações: inclui a definição de políticas e procedimentos de operações
para o gerenciamento eficiente do processamento de dados, proteção de resultados
sigilosos, monitoramento de infraestrutura e manutenção preventiva de hardware.
m) Gerência de central de serviços e incidentes: estabelece uma central de serviço, que é a
interligação entre o usuário e a TI, para registrar, comunicar, despachar e analisar
todos os chamados, incidentes reportados, solicitações de serviços e demanda de
informações.
n) Gerência de problemas: requer a identificação e classificação dos problemas,
analisando as causas e as respectivas soluções. Tem como foco detectar, averiguar e
corrigir problemas. Integra o gerenciamento de mudanças e configuração.
35
O domínio Monitoração é mais duradouro numa organização, provendo a estabilidade
esperada, incorporando mecanismos para verificar se as coisas estão em perfeito
funcionamento; desta forma faz a ligação entre tecnologia, metas e controle. Este domínio
conta com quatro processos básicos:
a) Monitoria e desempenho de TI: introduz ferramentas para verificar o desenvolvimento
da TI, possibilitando a detecção de falhas, impulsionando o acréscimo de ações para a
melhoria de desempenho.
b) Analisar o controle interno: monitorar todas as ações, introduzindo a detecção de
exceções, fornecendo relatórios e reporte das exceções de controle; Permite medidas
corretivas nos controles internos.
c) Promover auditorias independentes: assegurar que as atividades realizadas, os recursos
e toda infraestrutura estejam de acordo com as leis regentes.
d) Prover a Governança de TI: distinguir, vincular a estrutura de Governança de TI com a
Governança organizacional e o ambiente de controle, implementando práticas e
responsabilidade.
O COBIT define o controle para cada um dos seus processos. Este controle se define com
políticas criadas para prover certa garantia de que os objetivos serão alcançados e falhas serão
evitadas e corrigidas (ITGI, 2007).
Também utiliza de controles gerais, que são os controles abordados na Governança de TI; tais
controles estão inseridos nos decorrer dos processos de TI e seus serviços. Os controles gerais
são: desenvolvimento de sistemas, gerenciamento de mudanças, segurança, operação de
computadores (ITGI, 2007).
O COBIT assume que a responsabilidade pelo controle é obrigação da equipe de TI, por isso
atribui alguns processos para esse fim. Portanto para a satisfação do negócio (ramo em que a
organização atua) com a qualidade esperada, é necessário que as informações atendam a
alguns critérios:
36
a) Confidencialidade: assegurar que a disposição da informação esteja ao alcance das
pessoas autorizadas.
b) Conformidade: todas as informações devem seguir as regulamentações previstas pelas
leis regentes no país e também à política da organização.
c) Disponibilidade: sempre que necessário à informação e os recursos para sua geração
devem estar disponíveis.
d) Eficácia: a informação deve ser pertinente e relevante aos objetivos do negócio; a
informação deve ser disponibilizada aos interessados de forma precisa e consistente de
acordo com os prazos estabelecidos.
e) Eficiência: todas as informações que forem divulgadas devem seguir critérios como
menor custo para exposição e ser de fácil compreensão.
f) Integridade: garantir a veracidade das informações de forma que sua exposição esteja
completa.
Os critérios descritos acima são aplicados em grande parte das práticas e não apenas no
COBIT.
Os recursos em TI precisam ser gerenciados por um conjunto específico de processos,
agregados por domínios, gerando as informações das quais a organização precisa. Os recursos
de TI são os aplicativos, a informação, a infraestrutura e as pessoas (ALVES, 2006).
2.4.2 Ferramentas para o gerenciamento com o COBIT
A ferramenta mais adequada e bem utilizada são os chamados modelos de maturidade, que
são utilizados para controlar os processos na área de TI. Esses modelos de maturidade
oferecem mecanismos para situar o nível que a organização está; geralmente o modelo de
37
maturidade se baseia em atribuir uma pontuação a organização (FAGUNDES, 2004). Os
detalhes são apresentados na Tabela 2.
Tabela 2 - Modelo de Maturidade do COBIT
Pontuação Nome: Descrição
0 Inexistente Falta de um processo
1 Inicial Existe o processo, porém os usuários não
seguem um padrão.
2 Repetível
Os processos seguem uma lógica por
diferentes pessoas, não existindo regras
formais.
3 Processo Definido
Os procedimentos foram definidos e
documentados, porém há desvios nos
procedimentos.
4 Gerenciado e Mensurável
Monitoramento e utilização de aplicações de
gerência que forneça a possibilidade de
mensurar o desempenho.
5 Otimizado
Os processos foram reformulados
aproximando da perfeição, isso com base em
resultados fornecidos na implantação de
alguma prática.
Os elementos que sustentam o modelo de maturidade concentram-se nos seguintes
componentes:
a) Conscientização e comunicação: destina-se ao entrosamento de todos os membros
inseridos na organização, de forma que todos tenham o conhecimento sobre as
atividades e o funcionamento geral da organização;
b) Planos de procedimentos e políticas: basicamente é um manual do usuário (membro
organizacional), no qual contém todas as informações necessárias para agilidade das
atividades;
c) Responsabilidade e prestação de contas: apresentação de todos os resultados obtidos
ou dos recursos utilizados;
38
d) Habilidades e experiências: destinar as pessoas adequadas com as atividades a serem
exercidas, considerando habilidades para se desenvolver e experiência na atividade a
ela destinada;
e) Ferramentas e automação: é material para o trabalho, incluindo recursos de tecnologia,
tais como: computadores, impressoras, câmeras, e etc.;
f) Definição de metas e formas de mensurar o alcançado: é a forma adequada de
quantificar e qualificar o desempenho estrutural, apresentando o nível no qual a
organização se encontra.
Para investir na melhoria dos serviços o uso da biblioteca ITIL é imprescindível, por isso na
seção a seguir será tratada exclusivamente dessa biblioteca.
2.5 ITIL
A sigla ITIL significa: Information Technology Infrastructure Library (Biblioteca de
Infraestrutura de Tecnologia da Informação).
O ITIL é um conjunto de melhores práticas para aumentar a eficácia no gerenciamento de
serviços de TI, proporcionando uma série de características, tais como: qualidade,
desempenho, segurança e etc.
Essa metodologia foi criada pela secretaria de comércio (Office of Government Commerce,
OGC) do governo inglês, através de um estudo desenvolvido pelos consultores e especialistas
em Governança. O ITIL é do domínio público, isto é, qualquer individuo pode adquirir e
aplicar (OKIMURA, 2006).
O ITIL é uma biblioteca, isto é, sua composição são livros que apresentam visões sobre o
gerenciamento de serviços por meio de processos. O principal objetivo da criação do ITIL foi
modelar algo que fosse possível implantar em qualquer local, independente do ramo do
negócio (COSTA, 2006).
39
2.5.1 Metas do ITIL
A biblioteca ITIL tem como metas a redução de custos numa organização, melhorando
bruscamente seu desempenho, provendo mecanismo que atuam sobre os serviços garantindo
sua disponibilidade total, garantindo eficiência nos processos e segurança (SÓRTICA, 2004).
Além de promover a centralização do controle, removendo gargalos persistentes na
infraestrutura, pois trabalha de modo proativo fazendo alinhamento entre TI e os objetivos do
negócio (SILVA, 2007).
2.5.2 Estrutura da biblioteca ITIL
A estrutura dessa biblioteca no decorrer de seu surgimento sofreu drásticas mudanças.
Inicialmente eram 42 livros, que foram reduzidos para cinco lançados em 2007. Atualmente
continuam os cincos livros. A Figura 8 apresenta o ciclo de livros que compõem a ITIL
atualmente.
40
Fonte: ITIL Version 3 – Service Transition
Figura 8 - Composição da Biblioteca ITIL
No livro Estratégia de Serviço aborda a integração da TI com o negócio, identificando riscos e
oportunidades; no Desenho de Serviço tudo o que foi usado na estratégia de serviço será
acoplado para formular um novo serviço ou reformar o existente; na Transição de Serviço
evidencia-se o gerenciamento de mudança, pois nesta etapa introduz o serviço na organização;
na Operação de Serviços é a prática diária, ou seja, manter efetivo o serviço sem descuidar do
suporte e o gerenciamento voltado para falhas.
E por fim, nesta junção de etapas descritas em livros há a Melhoria de Serviço Continuada
que sinaliza a qualidade, avaliando cada fase do processo por meio de métricas (SANTOS,
2009b).
41
2.5.3 Composição básica da biblioteca ITIL
Basicamente, a biblioteca ITIL é composta por disciplinas, sendo elas, táticas e operacionais.
A Figura 9 apresenta as disciplinas táticas e operacionais, logo a seguir uma breve explicação
sobre cada uma delas.
Figura 9 - Composição da Biblioteca ITIL
As disciplinas táticas correspondem ao gerenciamento, promovendo meios eficazes para
acompanhar e avaliar serviços em geral, o nível tático compõe:
a) Gerenciamento de níveis de serviço: estabelece acordos para cumprir prazos, custo e
principalmente a qualidade e pode ser aplicado no tratamento com terceiros;
b) Gerenciamento de continuidade do serviço: utiliza se de plano estratégico para manter
ativos os serviços primordiais na organização;
42
c) Gerenciamento financeiro: opera sobre equipamentos e recursos de tecnologia;
d) Gerenciamento de capacidade: projeta e distribui os recursos de tecnologia conforme a
infraestrutura;
e) Gerenciamento de disponibilidade do serviço: visa dar o suporte necessário para
manter o serviço ativo de acordo com os custos que isso venha a causar;
Enquanto as disciplinas operacionais são responsáveis pelo gerenciamento no nível de
remodelagem ou transformações no geral, compreendendo as disciplinas:
a) Gerenciamento de incidentes: restabelecer o serviço no menor tempo possível por
meio de medidas rápidas e práticas, incluindo tarefas como: detecção de incidentes e
registro, classificação do incidente conforme impacto causado;
b) Gerenciamento de problemas: tem como foco minimizar a suspensão do serviço,
investigando a causa dos incidentes;
c) Gerenciamento de configuração: fornece espécie de “lista” no qual é informado sobre
toda a estrutura do serviço, como se fosse uma receita;
d) Gerenciamento de mudanças: tem como objetivo planejar e ordenar as mudanças para
evitar impactos estruturais e danos tecnológicos;
e) Gerenciamento de liberação: fornece meios de controlar todos os recursos, gerências e
etc.; podendo ser realizada através de softwares (RODRIGUES, 2006).
Com a finalidade de apresentar os principais conceitos englobados na Governança de TI,
particularizando as concepções do PMBOK, COBIT e a ITIL, este capítulo tratou
exclusivamente dos componentes envolvidos na Governança de TI, caracterizando as
peculiaridades de tais conjuntos de boas práticas. No próximo capítulo, será apresentada a
composição dos critérios que visa atingir os objetivos descritos na seção 1.2 deste trabalho.
43
3 MATERIAIS E MÉTODOS
O objetivo deste capítulo é apresentar os critérios das práticas de Governança estabelecidos de
acordo com a atuação da organização, especificando os detalhes de grande importância e
impacto estrutural. Este capítulo na seção 3.1 descreve brevemente a organização, 3.2 relata
os critérios selecionados para a avaliação da organização e 3.3 recapitula as informações
contidas no capitulo.
3.1 A Organização
O Centro de Operações Integradas funciona em parceria entre a Prefeitura (Guarda Civil
Municipal, Defesa Civil, Transportes, Desenvolvimento Social, Saúde), a Polícia Militar, a
Polícia Civil e o Corpo de Bombeiros.
O COI integra os serviços de emergência do município e faz monitoramento por meio de 232
câmeras distribuídas nas principais vias públicas em todas as regiões do município. Além
disso, monitoram os 380 alarmes de áreas públicas, como escolas e unidades de saúde.
As primeiras oito câmeras de São José dos Campos em vias públicas foram instaladas em
julho de 2000, porém o COI foi inaugurado no dia 10 de dezembro de 2002, quando foram
entregues mais 21 câmeras. (PREFEITURA, 2010)
3.2 Critérios para a avaliação
O propósito do estudo de caso é atender aos objetivos descritos na seção 1.2, admitindo a
identificação do cenário e a avaliação de processos e estrutura possibilitando a elaboração de
um cronograma de implantação com as etapas fracas ou inexistentes na organização.
44
3.2.1 Identificação do cenário
Primeiramente é necessário identificar em qual cenário encontra–se a organização, com base
em dois estilos de cenário organizacional, como mostra a Tabela 3 que aponta as
características de cada cenário (MAGALHÃES, 2009).
Tabela 3 - Cenários da Governança de TI
Cenário s/ Governança Cenário c/ Governança
Atendimento ao usuário Atendimento ao cliente
Comportamento reativo Comportamento proativo
Esforço pessoal Esforço repetitivo e medido
Foco na tecnologia Foco no processo
Gestor de operações Gestor de serviços
Sistema manual Sistema automatizado
A identificação do cenário pode ocorrer de várias formas, entretanto o uso do método da
entrevista com o responsável da organização e o questionário serão o suficiente para
determinar o cenário.
3.2.2 Entrevista
Aplicada ao líder da organização, com o objetivo, de detectar a visão gerencial/administrativa
possibilitando a identificação do cenário além de reunir informações referentes à organização.
A entrevista tem como base os critérios da tabela 3 juntamente com alguns critérios, tais
como:
a) Comunicação e divulgação.
a. Procedimentos de acesso ás informações;
45
b. Cada imprevisto ocorrido é comunicado ou divulgado, chegando ao
conhecimento de todos;
b) Políticas, planos e procedimentos.
a. Ter regras estabelecidas para a execução de cada procedimento, ter meios de
controlar a situação na ocorrência de falhas;
c) Habilidades e experiência.
a. Cada função é distribuída de acordo com as habilidades e experiência.
d) Responsabilidade e prestação de contas
a. Existe reunião, relatório ou alguma forma de mostrar o desempenho e
resultados.
e) Motivação
a. Métodos para motivar funcionários
3.2.3 Questionário
Foi aplicado um questionário, para análise geral da tecnologia da informação na organização,
considerando aspectos estruturais como: disposição funcional e aquisições de novos
componentes. O intuito do questionário é prover todas as informações possíveis para analisar
a estrutura organizacional.
O questionário composto por perguntas do tipo múltiplas escolha, provendo consistência e
clareza nas respostas, ou seja, a veracidade das respostas será mensurada de forma objetiva
garantindo a integridade (DESHAIES, 1997).
No questionário as questões contemplam as premissas: gestão de estrutura - COBIT, gestão de
serviços - ITIL e gestão de projetos – PMBOK.
A premissa é uma nomenclatura para o segmento selecionado, das práticas de Governança de
TI, utilizada nesse trabalho. Nesse segmento, contém alguns critérios que fora introduzido no
questionário.
46
Com o propósito de esclarecer eventuais dúvidas sobre a razão das premissas, a Figura 10
resume o conceito.
Figura 10 - Estrutura Hierárquica das Premissas
Ao modelar a Governança adequada para a organização em estudo, foram selecionados
apenas alguns domínios, disciplinas e áreas de conhecimento, consideradas como vitais a
organização, conforme a análise, considerando o fato do estudo de caso ser numa organização
pública no qual há inúmeras limitações.
Com a finalidade de integrar as mudanças pertinentes na estrutura organizacional, o PMBOK
fornece os mecanismos necessários ao tratar de projetos. Sua utilidade é primordial para a
gestão de implantação das reformas sugerida pelas práticas de Governança de TI. Na Figura
11 encontra-se a disposição das áreas introduzidas neste trabalho.
47
Figura 11 - Disposição dos critérios selecionados do PMBOK
Ressaltando, a área gestão de tempo, será abordado na análise dos resultados do questionário,
delimitando os prazos das etapas.
A escolha do COBIT para análise de estrutura física e organizacional foi justamente por
identificar os objetivos da TI e fornecer direcionamento para enquadrar-se as normas em
vigência, porém essas normas não serão tratadas nesse trabalho. Na Figura 12 está a
disposição dos processos selecionados em cada domínio.
Figura 12 - Disposição dos critérios selecionados do COBIT
48
Para a avaliação dos serviços (processos) foram selecionados alguns processos da biblioteca
ITIL, pelo fato de focar os processos. Conforme a disposição na Figura 13.
Figura 13 - Disposição dos critérios selecionados da biblioteca ITIL
3.2.4 O papel do PMBOK
Considerando o fato de ser uma empresa pública, a gestão de projetos será essencial para
formalizar e favorecer a transparência das transações.
A aplicabilidade do PMBOK inicia-se nas reuniões previstas e decorre durante toda a
implantação, porém desvelam-se nas gestões de tempo, riscos ao projeto de implantação e
comunicação.
Outra gestão que não está no cronograma, mas é inevitável é a gestão de integração, pois
todas as mudanças precisarão se adequar ao ambiente para manter os serviços prestados em
pleno funcionamento.
49
Ela não foi inclusa pelo fato de ser previsível em ambiente público, pois é comum ocorrer
mudanças ou reformas no setor público mantendo nas instalações os mesmos serviços e
profissionais, o que ocorre é um improviso para não interferir nas atividades.
Esse capítulo teve por finalidade, apresentar a seleção de critérios para analisar a empresa em
questão, levantar a maior quantidade de dados, considerando os fatores: empresa pública com
limitações burocráticas e financeiras.
O próximo capítulo resulta na exposição de todos os resultados, atingidos por meio dos
critérios descritos neste capítulo, ressaltando detalhes sobre a escolha desses métodos.
50
4 ANÁLISES E AVALIAÇÃO DA EMPRESA
Com a finalidade de atender os objetivos descritos na seção 1.2.2, os dados apresentados neste
capítulo são os resultados obtidos a partir da aplicação dos métodos pré-selecionados e
descritos no capitulo 3 deste trabalho.
Este capítulo está organizado como segue: a seção 4.1 descreve a entrevista, 4.2 relata o
questionário, a 4.3 menciona a gestão de projetos, 4.4 expõe a gestão de estrutura, 4.5 refere à
gestão de serviços, a seção 4.6 apresenta o cenário geral detectado na organização e enfim a
seção 4.7 resume todo o capítulo.
4.1 Entrevista
A entrevista com o líder da organização teve como finalidade captar as informações que não
estavam contidas no questionário. Ela foi aplicada ao responsável pela organização
considerando os aspectos informados na seção 3.2.2 do texto.
a) Comunicação e divulgação.
No aspecto acesso externo e interno, foi verificado o tratamento dado na divulgação das
informações obtidas em cada atividade realizada pela organização. De acordo com o líder da
organização, as informações são divulgadas de acordo com o interesse da parte que solicitou,
sendo que o acesso à organização é controlado pelos guardas na portaria.
A ocorrência de imprevistos é comunicado ao órgão superior, no caso a Prefeitura, apenas
quando o imprevisto insiste em continuar. No entanto, é anotado num caderno de ocorrência o
evento em questão.
b) Políticas, planos e procedimentos.
51
A execução procedimental é estabelecida seguindo o regimento interno conforme a política
definida pela Prefeitura. Os órgãos públicos são marcados pelo vínculo político que acarreta
uma série de procedimentos burocráticos.
Como pode ser visto no Gráfico 13, toda a organização está amarrada à politica e
procedimentos formalizados pelo órgão superior.
Gráfico 1 – Verificação da existência de política para a segurança das informações obtidas
durante os serviços prestados
A falta de independência detectada por meio das respostas dos funcionários evidencia
problemas para resolver situações emergenciais.
c) Habilidades e experiência.
Um problema existente no órgão é a questão do remanejamento de profissionais. Segundo o
responsável pela organização, com frequência ocorre à entrada de novos funcionários, porém
não há uma comunicação prévia, por isso atividade é atribuída de acordo com o nível
intelectual e hábil do funcionário.
3 A pergunta está resumida, a versão completa se encontra em anexo no final deste trabalho.
19%
81%
0%
Políticas e Procedimentos
TOTAL NÃO TOTAL SIM TOTAL EM BRANCO
52
d) Responsabilidade e prestação de contas
Na entrevista, foi informado que os dados coletados através das operações são transformados
em estatísticas com o uso do programa de computador Microsoft Office Excel. As estatísticas
são utilizadas em reuniões com os membros superiores.
e) Motivação
Em entrevista com o responsável pela organização, ele informou que o método usado para
incentivar os funcionários é por meio de elogios e agradecimentos pessoais; desta forma, fica
visível a falta de política funcional.
4.2 Aplicação do Questionário
Atualmente, o Centro de Operações Integradas está fortemente ligado à Prefeitura Municipal
de São José dos Campos, sendo este um gargalo predominante que afeta a independência na
atuação da organização.
A organização conta com aproximadamente 80 funcionários, dos quais mais de 70% fazem
trabalhos externos, como: fiscalização (aplicação de multas e suporte a eventos), rondas e etc.
Com o propósito de avaliar a situação do órgão, foi aplicado um questionário.
O questionário foi impresso e entregue aos funcionários do Centro de Operações Integradas
(COI) no mês de agosto; o mesmo foi composto por 16 questões com o objetivo de avaliar a
organização, verificando o nível de Governança de TI.
Conforme o gráfico 2, uma parcela de 25% dos funcionários respondeu às questões, devido ao
fato de que vários funcionários ficam em circulação pela cidade.
53
Gráfico 2 - Demonstrativo de respostas obtidas com a aplicação do questionário
De acordo com o Capítulo 3, foram utilizadas as premissas do PMBOK (Figura 11), as
premissas do COBIT (Figura 12) para análise de comunicação e riscos e da biblioteca ITIL
(Figura 13) definidas como primordial em qualquer organização.
Os resultados obtidos, a partir do questionário, estão expostos nas subseções a seguir, eles
estão dispostos de acordo com a premissa investigada pelo questionário e entrevista.
Inicialmente, são apresentados os comentários adicionais do questionário.
4.3 Gestão de Projetos
A gestão de projetos é uma nomeação atribuída ao conjunto de áreas tratadas pelo PMBOK,
na qual visa à transparência na incorporação das práticas da biblioteca ITIL e COBIT. Sua
função é exercer todo aparato nas implantações, ou seja, tem o papel de gerir a introdução dos
domínios e disciplinas neste trabalho.
0
10
20
30
40
50
60
70
80
90
Total de Respostas
Não responderam Responderam
54
O PMBOK conta com nove áreas, porém este trabalho focará apenas três, pois são
consideradas básicas em qualquer projeto com ou sem conhecimento do PMBOK.
4.3.1 Áreas: gerenciamento de tempo
O gerenciamento de tempo abrange os processos necessários para realizar uma determinada
atividade, num certo período. Utilizando de um cronograma detalhado sobre os passos a
serem realizados, a gestão do tempo considerará uma faixa de tempo mínimo para a realização
de implantações.
No cronograma a gestão de tempo tem seu início juntamente com a etapa planejamento e
organização da prática do COBIT, que será detalhado mais a frente. A gestão de tempo conta
com os seguintes passos:
a) Reunião com os principais líderes para esquematizar todas as mudanças a fim de
estabelecer prazos conforme as mudanças, burocracia, pessoas e finanças.
b) Documentar todas as decisões para facilitar a cobrança de prazos e evitar mudanças
fora do escopo.
4.3.2 Áreas: gerenciamento de comunicação
É imprescindível a comunicação em todos os setores, por isso, na implantação de práticas de
Governança de TI, o uso do conhecimento em comunicação tem como base a transparência
dos fatos.
Um fato identificado em relação à comunicação é que as informações não são explícitas,
principalmente em relação ao sistema, como visto no Gráfico 3 isso implica na implantação,
55
pois se não houver conformidade e transparência, o sucesso na implantação e nos serviços
prestados não ocorrerá.
Gráfico 3 - Demonstrativo do nível de comunicação em relação ao acesso às informações
No cronograma a gestão de comunicação tem seu início juntamente com a etapa planejamento
e organização e a gestão de tempo, contendo os seguintes passos:
a) Reunião com os principais líderes, formalizar quem são os interessados no projeto;
b) Definir como será a comunicação entre equipe, chefia e coordenação do projeto;
c) Documentar todas as decisões e disponibilizá-las aos interessados.
4.3.3 Áreas: gerenciamento de riscos
Os riscos são inerentes a qualquer projeto, por isso um gerenciamento voltado para essa área
tem como meta identificar os riscos durante e após a implantação, propondo medidas
corretivas do projeto.
63%
37%
0%
Comunicação na organização
TOTAL NÃO TOTAL SIM TOTAL EM BRANCO
56
No COI foi identificado conforme o Gráfico 4, que não há um gerenciamento de riscos, isso
implica na roteirização de medidas e de controle.
Gráfico 4 – Demonstrativo do tratamento dados aos incidentes que ocorrem na organização
Um projeto, nem sempre segue o que foi estabelecido ou acentua mudanças drásticas na rotina
do local, a gerencia de riscos é capaz de ver além das fronteiras e perceber quais os benefícios
e riscos.
No cronograma a gestão de riscos tem seu início juntamente com a etapa planejamento e
organização e a gestão de tempo e gestão de comunicação. Inclui a identificação e plano de
contingência para mediar perante a ocorrência de um ou mais riscos além dos seguintes
passos:
a) Através de uma reunião com os principais líderes para identificar quais são os riscos
eminentes ao projeto de acordo com os objetivos do negócio;
b) De acordo com os riscos detectados formalizar um plano de contingencia criterioso no
qual seja possível ter medidas para cada risco ao projeto;
57
c) Documentar e disponibilizar os riscos do projeto aos interessados e responsáveis pelo
projeto.
Neste trabalho a gestão de riscos se perpetuará a identificação e plano de saída na ocorrência
de um ou mais riscos.
4.4 Gestão de Estrutura
A gestão de estrutura é uma nomeação para um conjunto, que acopla os domínios,
fundamentados pelo COBIT. Conforme o segmento da organização alguns processos foram
descartados devido ao fator “empresa-pública”.
A gestão de estrutura, neste contexto, tem a finalidade de avaliar os procedimentos
organizacionais na empresa em questão, acentuando no cronograma as etapas necessárias para
a resolução dos pontos fracos.
4.4.1 Domínio: aquisição e implementação
Nesse domínio, foi selecionado o processo Adquirir e manter infraestrutura tecnológica
conforme a Figura 12 com o propósito de identificar a burocracia e ineficiência neste
processo. Este processo favorece a projeção de aplicações, ressaltando a utilização de
mecanismos para controle interno.
Foi detectado por meio da pesquisa e entrevista que a organização tem planos para a expansão
e modernização da infraestrutura tecnológica, conforme o Gráfico 5, porém estes planos são
de longo prazo, mantendo as dificuldades atuais por tempo indeterminado.
58
Gráfico 5 - Resultados referente à aquisição da infraestrutura tecnológica e expansão da
organização
O fator que impede a concretização de planos é em relação aos recursos financeiros, pois o
COI é altamente ligado a Prefeitura não possuindo recursos próprios.
Um detalhe importante é a automação de processos, na organização 41% das atividades
procedimentais são realizadas manualmente, desta forma pode se dizer que o serviço manual
representa mais de 25% da estrutura organizacional.
Portanto no cronograma, a premissa aquisição e implementação têm seu início após o
planejamento e organização e a premissa recursos humanos, pois uma vez definido a
composição de pessoas envolvidas na efetivação do projeto de mudanças, resta estudar e
concretizar o meio físico (espaço, equipamentos...etc).
A premissa aquisição e implementação contempla o processo do COBIT Adquirir e Manter
Infraestrutura Tecnológica, e dentro desse processo há as seguintes etapas:
a) Fazer um levantamento de toda composição tecnológica, incluindo todos os
dispositivos (câmeras, telefone, computadores, impressoras...);
b) Analisando os dados do levantamento, apontar quais dispositivos/equipamentos
precisam de manutenção ou inovar;
15%
81%
4%
Aquisição Tecnológica
TOTAL NÃO TOTAL SIM TOTAL EM BRANCO
59
c) Verificar a melhor maneira de realizar a transição sem causar paralisação total dos
serviços;
d) Documentar todas as trocas e reparos.
4.4.2 Domínio: entrega e suporte
Conforme a Figura 12 foram selecionado os processos de gerência de desempenho e gerência
de capacidade dos serviços do domínio Entrega e Suporte, para verificar como é o nível e a
qualidade nas operações do COI.
Devido à necessidade de gerenciar o desempenho e a capacidade dos recursos de TI, que
requer análises críticas e periódicas do desempenho e da capacidade atuais dos recursos de TI,
de forma a proporcionar resultados contundentes que auxiliem no aperfeiçoamento do
processo em questão.
Todavia, a gerência de capacidade dos serviços, provê e requer o desenvolvimento,
manutenção e teste de um plano de continuidade de TI, armazenamento de cópias de
segurança (backup) em instalações remotas (offsite), toda uma infraestrutura capaz de
acomodar os processos decorrentes de uma expansão tecnológica e estrutural.
Como resultado em relação aos mecanismos para mensurar o desempenho, obteve-se o
percentual de 56% (conforme Gráfico 6) apontando que a empresa tem mecanismo para
mensurar seu desempenho, isto se deve ao fato de trabalhar com chamadas de emergência das
quais em termos quantitativos pode se ter um controle.
Ressaltando que o desempenho é mensurado na forma quantitativa (quantidade de casos
atendidos) e não pela qualidade do serviço prestado.
60
Gráfico 6 – Demonstrativo do uso de mecanismos para mensurar o desempenho
Dessa forma conclui-se que o resultado obtido apresenta uma situação regular, pois a
eficiência consiste em mensurar nos dois modos: quantitativo e qualitativo.
A capacidade do serviço se entrelaça com a continuidade do mesmo, por isso em relação à
continuidade dos serviços, conforme o Gráfico 7 foi detectado que não há como realizar com
eficiência, os procedimentos na ocorrência de imprevistos;
O fato, é que dependendo do imprevisto, algumas atividades podem ser realizadas através do
telefone, desde que este esteja em seu perfeito funcionamento, caso contrário, às atividades
ficam suspensas.
37%
56%
7%
Mensurar Desempenho
TOTAL NÃO TOTAL SIM TOTAL EM BRANCO
61
Gráfico 7 – Verificação de meios para manter os serviços na ocorrência de imprevistos
Embora o telefone seja um meio importante e capaz de resolver diversas questões, em
qualquer setor ele não atende ao serviço de monitoria de câmeras realizado pelo COI.
Por isso no cronograma a premissa gestão de desempenho e capacidade designa a mensurar o
desempenho e a capacidade operando juntamente com a premissa monitorar e avaliar.
O que diferencia uma da outra é o fato de que na gestão de desempenho e capacidade o foco
central são os recursos de tecnologia, ou seja, trabalha sob o olhar da demanda, necessitando
de meios para calcular o desempenho e assim estabelecer metas contundentes a capacidade (o
quanto o sistema comporta em questão de tempo e tamanho).
a) A partir de uma reunião com a cúpula administradora da empresa em questão
determinar:
a. Alocação de recurso que contribua para o desempenho;
b. Em junção a gestão de recursos humanos para direcionar profissionais com o
perfil da tecnologia em uso.
b) Definir a meta máxima em que o sistema consegue operar sem danos.
56%
44%
0%
Continuidade dos Serviços
TOTAL NÃO TOTAL SIM TOTAL EM BRANCO
62
4.4.3 Domínio: monitorar e avaliar
O domínio monitorar e avaliar estabelece um programa capaz manter controles internos não
apenas de TI, mas em âmbito geral. Esse processo inclui o monitoramento e controle sobre
recursos além de identificar ações de melhorias.
Esse domínio opera sobre diversos processos, dos quais apenas o processo controle interno,
visando a detectar o nível de responsabilidade com os recursos na organização foi verificado
na organização.
A organização é dependente da Prefeitura Joseense, na ocorrência de problemas na
infraestrutura tecnológica, o responsável pela organização comunica à equipe de TI da
Prefeitura, desta forma, fica a mercê da Prefeitura.
Em entrevista com o líder da organização foi detectado que há controle patrimonial e não
sobre os recursos tecnológicos. Conforme o Gráfico 8, a organização apresenta um empate,
pois os que responderam “sim” se referenciaram ao controle de patrimônio.
Gráfico 8 - Controle sobre recursos e pessoas
63
Os únicos controles internos detectados são em relação ao patrimônio, controle de “acesso” à
organização e aos recursos nela encontrados, ou seja, os movimentos realizados com
equipamentos e utilização dos recursos são controlados, porém não há um controle
especializado como forma de análise no gerenciamento de TI.
Para fins de melhoria continuada e obter um retorno quantitativo e qualitativo do serviço
prestado, a premissa monitorar e avaliar permite uma gerência exclusiva para mensurar a
qualidade no serviço relacionando profissionais, clientes e tecnologia;
Nesta etapa nasce para a organização o conceito cliente, esquecendo-se da posição usuário;
esta premissa inicia após toda a modelagem de gerencia de riscos, aquisição e implementação,
visto que, ela acrescenta e reforma conceitos. No cronograma essa premissa conta com os
seguintes passos:
a) A partir de uma reunião com a cúpula administradora da empresa em questão
determinar: mecanismos capazes de monitorar o sistema, registrando os eventos.
b) Introduzir os mecanismos;
c) Documentar todos os mecanismos introduzidos.
4.4.4 Domínio: planejamento e organização
O domínio planejamento e organização visam integrar toda a infraestrutura de TI,
concentrando investimentos, qualidade, comunicação e avaliação de riscos inerentes a TI.
Este domínio é primordial para se trabalhar com grandes quantidades de informações.
Tendo em vista que a organização é uma empresa pública, trabalha no segmento de segurança
e a rotatividade funcional é constante, foram selecionados os processos gerência de riscos e
gerência de recursos humanos.
64
No processo gerência de riscos, ficou evidente que a organização tem falhas no nível de
segurança, conforme o Gráfico 9 que mostra claramente que a organização em questão está
ciente de seus riscos.
Gráfico 9 – Verificação do conhecimento dos riscos presentes na organização
O percentual de 81% é alto, por isso, com o intuito de averiguar se existem procedimentos
corretivos, que combatam as vulnerabilidades porque estas geram os riscos, foi detectado
conforme o Gráfico 10 que há medidas reparatórias, mas em entrevista o responsável afirmou
que são provisórias.
Gráfico 10 – Demonstração da existência de procedimentos não formalizados para resolver as
vulnerabilidades presentes
19%
81%
0%
Conhecimento do Riscos
TOTAL NÃO TOTAL SIM TOTAL EM BRANCO
15%
70%
15%
Procedimentos para resolver vulnerabilidades
TOTAL NÃO TOTAL SIM TOTAL EM BRANCO
65
Outro fator extremamente importante é o impacto gerado pela ocorrência ou efetividade do
risco; considerando as métricas: baixo, médio e forte impacto, obteve-se como resultado os
valores expressos no Gráfico 11 que mostra um impacto de proporções médias.
Gráfico 11 - Proporção do Impacto na ocorrência de um ou mais riscos sobre a organização
O impacto pode variar de acordo com o tipo de risco, sendo capaz de provocar danos
irreparáveis. Na ocorrência de um ou mais riscos no COI seu funcionamento fica
comprometido, pois sua ferramenta de trabalho são justamente os fatores de riscos.
Por isso a premissa planejamento de organização estabelece, a nível gerencial e metódico toda
a coordenação de serviços, pessoas e recursos tecnológicos. Nesse trabalho está contida nos
seguintes passos:
a) Reunir com os principais líderes para esquematizar todas as etapas;
b) Definir o objetivo do negócio, estabelecendo metas e meios para alcança-lo;
c) Identificar os pontos conflitantes e estudar o meio adequado de resolvê-los;
d) Delimitar juntamente com a premissa de recursos humanos os cargos e funções;
4%
15%
55%
26%
TOTAL EM BRANCO BAIXO IMPACTO MÉDIO IMPACTO FORTE IMPACTO
66
e) No planejamento inclui infraestrutura, recursos e pessoas; Direciona recursos de
acordo com a necessidade local.
4.5 Gestão de Serviços
A gestão de serviços é uma nomeação atribuída ao conjunto de disciplinas tratadas pela ITIL,
Nas disciplinas há a divisão entre serviços táticos e operacionais, contudo neste trabalho,
foram descartados alguns processos das disciplinas aqui relacionadas.
A gestão de serviços, neste contexto, tem a finalidade de avaliar os serviços em atuação na
organização, sendo o alvo das subseções a seguir.
Como o ITIL trata de disciplinas táticas, ou de planejamento, e operacionais. Neste trabalho
considerou apenas o gerenciamento de nível de serviço na categoria tática, devido ao fator
empresa pública que contém além de limitações de espaço e finanças, o tempo é uma peça
chave no contexto problema-solução.
Enquanto nas disciplinas Operacionais, a seleção conteve o gerenciamento de problemas e
gerenciamento de incidentes, pois qualquer organização está sujeita a ocorrência de incidentes
e problemas.
O que diferencia incidentes de problemas é a questão de que um conjunto de incidentes
evidencia um problema ou a constância de um incidente evidencia um problema. Incidentes e
problemas são comuns a qualquer ambiente, por isso é necessário um cuidado especial com
esse serviço para garantir a eficiência e transparência nas operações (SANT’ANNA, 2008).
67
4.5.1. Disciplinas Táticas: Gerenciamento de Serviços
Em entrevista ao responsável pela organização, foi possível notar que o único retorno é o
volume de ocorrências atendidas, sem considerar o caso da qualidade na realização do
serviço, o atendimento e perspicácia para resolução de problemas.
Portanto no cronograma, essa premissa esta voltada para acordos referentes ao nível do
serviço prestado, incluindo os serviços de terceiros, com essa premissa o administrador ou
responsável pela empresa poderá ter o controle sobre todos os serviços. Esta premissa inclui
os seguintes passos:
a) A partir de uma reunião com a cúpula administradora da empresa em questão
determinar:
a. Avaliar os serviços prestados pela organização;
b. Estabelecer metas para serem atingidas de acordo com os resultados da
avaliação;
c. Averiguar que estas metas sejam cumpridas.
b) Documentar as metas e meios utilizados na avaliação.
4.5.2 Disciplinas Operacionais: Gerenciamento de Incidentes
Ficou proeminente que o COI tem alguns métodos de saída ou fuga. De acordo com o
responsável pela organização esse plano de fuga depende do “incidente”, sendo uma saída não
oficializada e sim improvisada.
68
No questionário obteve-se como resposta (Gráfico 12) que de todos os incidentes ocorridos
foram métodos criativos e não oficializados, ou seja, uma adaptação conforme o imprevisto
para permitir a continuidade do serviço, isso fica visível.
Gráfico 12 – Análise do ponto de vista dos funcionários em relação ao gerenciamento de
incidentes na organização
Um detalhe de grande importância é que medidas improvisadas podem causar danos mais
desastrosos. Por isso, a premissa tem como objetivo tratar os incidentes e com isso evitar os
problemas, é uma premissa de alto valor, pois permite manter com segurança os serviços
prestados. Esta premissa inclui as seguintes etapas:
a) Documentar todos os incidentes;
b) Estabelecer um plano de ação imediata na ocorrência do incidente;
c) Documentar a medida usada do incidente.
4.5.3 Disciplinas Operacionais: Gerenciamento de Problemas
O gerenciamento de problemas, isto é a análise para a descoberta da causa do incidente, é
importante para garantir que o incidente volte a repetir (SANT’ANNA, 2008).
69
O COI, não tem um gerenciamento de problemas, o que impede o combate aos incidentes, em
entrevista como o responsável pela organização, foi declarado que no geral, quando se
“resolve” um incidente o serviço continua, não havendo uma disposição em saber a causa. No
caso de equipamentos, se o incidente se repetir é então comunicado a equipe de TI da
Prefeitura para analisar e resolver a questão.
O gerenciamento de problemas visa neutralizar os incidentes, pois nele é efetuada a
investigação das causas que alavancam a recorrência dos incidentes. No cronograma, esta
premissa contribui para redução de falhas, e conta com os seguintes passos:
a) Com a documentação de todos os incidentes, averiguar a causa;
b) Estabelecer um padrão para quando ocorrer o mesmo problema já ter uma solução;
c) Documentar o padrão;
d) Disponibilizar aos profissionais;
4.6 Informações adicionais ao questionário
Os principais comentários inseridos no verso do questionário foram em relação ao sistema:
a) Uma pane implicaria significativamente no aumento do tempo para a transmissão de
informações, afetando o atendimento.
b) Uma pane, afeta o deslocamento de viaturas e pessoas, dificultando a fluidez do
trânsito.
c) Caso haja a paralisação de algum dispositivo ou mesmo as câmeras é possível realizar
o serviço precariamente por meio de rádio.
d) As áreas mais afetadas com uma pane são as de alarme e monitoria.
70
4.7 O Cenário
Antes de apresentar o cronograma, vale ressaltar o cenário detectado, conforme a tabela 3 da
seção 3.2.1, o COI conta com uma infraestrutura arrojada, na qual há incidência de diversas
limitações.
O cenário identificado foi insatisfatório, como visto na Figura 14: a organização apresenta
mais tópicos do cenário sem Governança do que o cenário com Governança.
Figura 14 – Cenário da Organização: As áreas sombreadas de preto correspondem aos pontos
detectados na organização.
A partir do cenário e das informações coletadas através da entrevista e questionário, o
próximo capítulo apresenta o cronograma explicando cada passo para usa implantação.
Neste capitulo foi apresentado todos os resultados da análise e avaliação no Centro de
Operações Integradas de São José dos Campos com base nas gestões de estrutura e de
serviços, identificando o cenário da organização.
71
5 RESULTADOS
Com a finalidade de atender os objetivos descritos na seção 1.2.2, este capitulo apresenta
como resultado final o cronograma de implantação da seleção de práticas descritas no capitulo
3 e em conjunto com os resultados do capítulo 4.
Este capítulo está organizado como segue: a seção 5.1 descreve a entrevo cronograma, 5.2
mostra o cronograma sob o foco da gestão de projetos, 5.3 expõe o cronograma sob o foco da
gestão de estrutura, 5.4 refere à gestão de serviços e a 5.5 faz um breve resumo sobre o
capítulo.
5.1 Cronograma
A partir dos critérios utilizados para a análise, estamos sugerindo à gestão municipal de São
José dos Campos-SP, um cronograma viável para implantação das práticas de Governança de
TI. Seguindo uma estrutura lógica na demarcação de passos, tal como na Figura 15.
Figura 15 - Composição do cronograma
72
No cronograma (Figura 16) esta distribuída logicamente, os tipos de gestão que compõe este
trabalho. Ele utiliza um intervalo mínimo de seis meses para exemplificar os passos mínimos
a serem introduzidos na organização em estudo.
73
Figura 16 - Cronograma de Implantação
74
No geral, o fator principal de um cronograma é focar o tempo para cumprir tarefas, por isso o
prazo estipulado nas atividades presume a limitação de tempo e burocracia vigente no setor
público, além de priorizar apenas os pontos mais problemáticos diagnosticado na organização.
Cada etapa deve ser documentada e divulgada aos interessados, pois isso facilita a interação
dos envolvidos além de contribuir para a transparência nas operações. Por isso, para o
entendimento do cronograma, foram divididas as etapas conforme a prática utilizada.
5.1.1 Prazos
O prazo estipulado em todo o cronograma foi de seis meses, iniciando de janeiro a junho. É
um prazo relativamente curto, porque as mudanças sugeridas não são em longo prazo, isto é,
poderiam ser feitas num intervalo menor, mas devido a burocracia e modelo politico da
organização o prazo de seis meses se mostra suficiente; por causa do modelo politico, no qual
a decisão cabe a vários e não apenas um membro que no decorrer das etapas há reuniões.
5.2 Cronograma: A Gestão de Projetos
A gestão de projetos foi convencionada conforme a Figura 17 utilizando se do PMBOK,
privilegiando apenas as três áreas (tempo, comunicação e riscos).
Figura 17 – Cronograma sob o focado no PMBOK
A seção 5.3 tratará da gestão de estrutura com um posicionamento voltado para recursos e
pessoas.
75
5.3 Cronograma: A Gestão de Estrutura
A gestão de estrutura foi convencionada conforme a Figura 18 utilizando se do COBIT,
contemplando os quatros domínios excluindo vários processos devido aos fatores tempo,
dinheiro, política.
Figura 18 - Cronograma sob o foco do COBIT
O prazo estipulado na gestão de estrutura varia de acordo com as premissas, tendo seu inicio
em janeiro e término em junho, o que realmente muda é o inicio e termino de cada premissa.
5.4 Cronograma: A Gestão de Serviços
A gestão de serviços foi convencionada conforme a Figura 19 utilizando-se da biblioteca
ITIL, contemplando duas disciplinas táticas e uma operacional;
Figura 19 – Cronograma sob o foco da biblioteca ITIL
76
O prazo estipulado na gestão de serviços varia de acordo com as premissas, tendo seu inicio
na metade do projeto e finalizando juntamente com as outras premissas.
A finalidade deste capítulo é atender os objetivos específicos descritos no 1º capitulo deste
trabalho. Apresentando o cronograma de implantação das práticas de Governança de TI no
Centro de Operações Integradas.
77
6 CONSIDERAÇÕES FINAIS
Este trabalho apresentou um estudo de caso, realizado no Centro de Operações Integradas de
São José dos Campos, no qual foi detectado o nível de Governança de TI através de um
questionário e entrevista com o responsável pela organização.
A partir da análise dos resultados obtidos com a entrevista e o questionário foi estipulado um
cronograma de implantação, visto que é um órgão público cercado de limitações burocráticas
e financeiras.
Este capítulo está organizado da seguinte forma: A seção 6.1 apresenta as contribuições que o
trabalho proporcionou e as conclusões obtidas. Na seção 6.2 são mostradas sugestões para
trabalhos futuros.
6.1 Contribuições
As contribuições deste trabalho são:
a) Seleção de critérios para avaliação de empresas públicas;
b) Avaliação da empresa em estudo, detectando o estado no qual ela se encontra em
relação à Governança de TI;
c) Apresentação dos pontos coerentes e errôneos de acordo com as práticas de
Governança de Tecnologia da Informação;
d) Construção de um modelo de Governança adequado à organização, delimitando o
tempo adequado para a adoção das medidas corretivas de acordo com as práticas
COBIT, ITIL e PMBOK.
78
A partir dessas contribuições pode se concluir que:
a) No ambiente público a transparência é primordial para evitar e combater problemas e
incidentes, gerando a qualidade e eficiência nas operações.
b) É possível a utilização máxima dos processos e domínios, porém a aplicação com
êxito deverá ser a partir do nível superior a organização;
c) No geral as empresas públicas são fortemente dependentes de outro órgão público ou
de um nível superior, isso restringe a independência na aquisição de novas medidas
aos problemas;
d) O mínimo da Governança de TI equilibra a estrutura organizacional promovendo um
desempenho melhor. Contudo a Governança de fato ocorre com a inserção em todos
os setores que entrelaçam a organização;
e) O cronograma de implantação oferecido se aproxima dos pontos cruciais para melhor
desempenho estrutural, ele direciona de acordo as falhas decorrentes da falta de
Governança.
6.1.1 Publicação
Um dos frutos deste trabalho foi à publicação do artigo (FONSECA e DANTAS, 2010) que
abordou o tema: Práticas de Governança de TI aplicáveis em empresas públicas: Estudo de
caso, no Anais do 12º Simpósio de Iniciação Científica e Tecnológica promovido pela Fatec
São Paulo.
79
6.2 Trabalhos Futuros
As contribuições alcançadas com este trabalho não encerram as pesquisas relacionadas à
Governança de tecnologia da informação, mas abrem oportunidades para alguns trabalhos
futuros:
a) Implantação do gerenciamento de processos a partir de gestão de capacidade;
b) Integração de práticas da biblioteca ITIL com os domínios do COBIT;
c) Estudo de viabilidade na implantação de sistemas de gerenciamento com base nas
práticas de Governança de TI;
d) Modelagem das práticas de Governança de TI no setor público;
e) Estudo sobre os requisitos mínimos para garantir a qualidade nos serviços de TI de
maneira mais ampla incluindo outros setores.
80
7 REFERÊNCIAS
ALVES, E. M.; RANZI, T. A. D.; Governança de TI: Avaliação de Maturidade do COBIT em
uma empresa global. Trabalho de conclusão de curso – Universidade Federal de Santa
Catarina. 2006.
COELHO, M. A.; Governança de TI conquista espaço entre empresas brasileiras. Janeiro de
2008. Disponível em: <www.abramti.org.br> acesso em 09 de março de 2010.
CORRÊA. P.; M.; Um Estudo sobre a Implantação da Governança de TI com base em
Modelos de Maturidade. Dissertação – Centro Estadual de Educação Tecnológica Paula
Souza, São Paulo. 2006.
COSTA, M. A.; NICOLAO, M.. Estudo de ferramentas que permitam a recomendação
inteligente em um sistema de Help Service, utilizando a metodologia ITIL. Universidade
Luterana do Brasil. Guaíba. 2006.
DE HAES, S.; VAN GREMBERGEN, W. Information technology governance best practices
in Belgian organisations. Proceedings of the 39th Hawaii International Conference on System
Sciences, Hawaii, 2006.
DESHAIES, B. ; Metodologia da investigação em ciências humanas. Instituto Piaget. 1997.
DINSMORE, Paul (Supervisão). Como se tornar um profissional em Gerenciamento de
Projeto: livro-base de preparação para certificação PMP. RJ, Editora QualityMark, 2002 -
ISBN 85-7303-447-5
FAGUNDES, Eduardo Mayer; COBIT um kit de ferramentas para a excelência na gestão de
TI. 2004. Disponível em <www.efagundes.com> Acesso em 27 de agosto de 2010.
81
FONSECA, Aparecida Vieira; DANTAS, Murilo da Silva; Práticas de Governança de TI
Aplicáveis em Empresas Públicas: Estudo de Caso. Boletim técnico da Faculdade de
Tecnologia de São Paulo. Boletim técnico da Faculdade Tecnologia de São Paulo, n.12, p.44,
2010. ISSN 15189082.
GULDENTOPS, E.IT Governance Implementation Guide, Rolling Meadows, llinois – USA.
IT Governance Institute. 2003b.
HARDY, G. Using IT governance and COBIT to deliver value with IT and respond to legal,
regulatory and compliance challenges. Information Security technical report, 2006, pp. 55-
61.
ITGI (2005). COBIT Managament Guidelines, IT Governance Institute.4ª edição.
ITGI (2007). COBIT Modelo, objetivos de controle, diretrizes e gerenciamento e modelos de
maturidade, IT Governance Institute. 4.1ª edição.
LIMA, Joselice Ferreira; NETO, Odilon Bráz; MOLINARO, Luis Fernando R.; SILVA, José
Mello; JUNIOR, Humberto Abdalla; Aplicando a biblioteca itil no Gerenciamento de
Serviços de Tecnologia da Informação. In: Conferência IADS Ibero – Americana, 2008,
Brasilia – Brasil.
LISBOA, Patrícia; Apenas 38% das empresas brasileiras têm Governança de TI, 2009.
Disponível em: <www. computerworld.uol.com.br > acesso 15 maio de 2010.
LUNARDI, G. L.; DOLCI, P. C.; BECKER, J. L.; MAÇADA, A. C. G. Governança de TI no
Brasil: uma análise dos mecanismos mais difundidos entre as empresas nacionais. In:
Simpósio de Excelência em Gestão e Tecnologia - SEGET, 2007, Resende – RJ.
MAGALHÃES; I. L.; PINHEIRO; W. B.; Serviços de TI na Prática – Uma abordagem com
base na ITIL. Ed. Novatec. 162f. 2007. ISBN: 978-85-7522-106-8
82
MIRANDA, W.; Governança de TI. 2010. Disponível em:
<http://mundodeti.blogspot.com/2009/03/governanca-de-ti.html1>. Acesso 21 de março de
2010.
NEVES; W. C. G.; Diretrizes para implementação da governança de tecnologia da informação
com base no Cobit, a partir da ISO 9001: Aspecto de gerenciamento de projetos. 2007. 128f.
Dissertação. Universidade Católica de Brasília. Brasília. 2007.
NÓBREGA; R. M. D. R.; Implementação de prática de gerenciamento de serviços de TI no
Superior Tribunal de Justiça: uma análise do impacto em processos do modelo ITIL. 2007
121 f. Monografia. – Fundação Getúlio Vargas – FGV. Brasília – DF. 2007.
OCHNER, J.; Gerência de Projetos: Uma Comparação entre o PMBOK e XPM.2006
Monografia. Universidade Federal de Lavras. Minas Gerais 2006.
OKIMURA, R.. Utilização do BMP e PMBOK em um projeto de serviços ITIL. 2006.
Dissertação. Escola Politécnica da Universidade de São Paulo. São Paulo. 2006.
PADUA, E. M. M. Metodologia de Pesquisa: Abordagem Teórica-Prática. 13ª ed. Campinas –
SP. Papirus; 2007. ISBN 61H9-6TN-JQ7A.
PASCUTTI, M. C. D.; MODESTO, L. R.; UBIRAJARA, F. C. F; SANTOS, T. M.;
AQUINO, W. F. R.; Governança De Tecnologia Da Informação: Um Estudo De Caso Em
Micro E Pequenas Empresas Na Cidade De Apucarana. Revista F@pciência, v.3, n.4, p. 89-
98, 2009. ISSN 1984-2333.
PREFEITURA, São José dos Campos, 2010; Disponível em:
<http://www.sjc.sp.gov.br/sedc/coi.asp>. Acesso 11 de novembro de 2010.
RODRIGUES; C. A. P.; Estudo da adoção das melhores práticas em TI – ITIL e integração
com a metodologia de gestão e avaliação de desempenho BSC. 2006. 173f. Dissertação.
Universidade Federal Fluminense. Niterói. 2006.
83
SANT’ANNA; M. K.; Melhores Práticas em gestão de TI. Universidade Federal do Rio
Grande do Sul – UFRJ.2008. 47f. 2008
SANTOS, G. S.; CAMPOS, F. C. ; Gestão do Conhecimento em Serviços de TI: Um Estudo
do Uso do Modelo Itil-skms em Monitoramento de infraestrutura de TI. Revista Industrial
2009. Edição Especial. p. 123-141, 2009b. ISSN: 1808-0448
SÊMOLA, M. Gestão da segurança da informação. 2ª ed Rio de Janeiro: Campus Elsevier;
2003. ISBN 9788535211917
SILVA, S. M. K da; FLEURY, M.T.L. Aspectos culturais do uso de tecnologia de informação
em pesquisa acadêmica. XXIII ENCONTRO DA ASSOCIAÇÃO NACIONAL DOS
PROGRAMAS DE PÓS-GRADUAÇÃO - ENANPAD, 1999, p. 23. Foz do Iguaçu.
SODRÉ, M. G.; SOUSA, S. M.. Uma análise Comparativa de Metodologia para a
Governança de Tecnologia da Informação – ITIL e COBIT. UFSC – CTC – INE, 2007
SÓRTICA, E. A.; CLEMENTI, S.; CARVALHO, T. C. M. B. Governança de TI:
Comparativo entre COBIT e ITIL. In: CONGRESSO ANUAL DE TECNOLOGIA DA
INFORMAÇÃO, 2004 São Paulo. Anais. São Paulo: FGV-EAESP, 2004.
WEILL, P.; WOODHAM, R. Don’t just lead, govern: implementing effective IT governance.
Center for Information Systems Research. Working paper n. 326, 2002. Disponível em:
<http://ideas.repec.org/p/mit/sloanp/1846.html>
84
ANEXO A: Questionário aplicado aos funcionários do Centro de Operações Integradas de
São José dos Campos
Cargo:
Data: __/ __/ 2010
Obs.: Todas as respostas, contidas neste documento, serão usada apenas para fins acadêmicos,
não afetando sua carreira profissional.
1- Qualquer pessoa tem o acesso aos resultados obtidos após a conclusão dos
procedimentos existentes nas funções de monitoria e help desk ?
( ) Sim ( ) Não
2- Com o objetivo de aprimorar, melhorar a qualidade do serviço prestado pela equipe
existe incentivo (Exemplo: prêmios para os funcionários ) para motivar a participação
de todos nas atividades?
( ) Sim ( ) Não
3- O comprometimento do sistema (no caso, monitoria e help desk) pode ser definido
como vários equipamentos com problemas simultaneamente, afetando a estrutura
básica das atividades. Um comprometimento do sistema afetaria significativamente a
capacidade da empresa de realizar suas funções?
( ) Sim ( ) Não
Se a resposta for sim, descreva abaixo como a organização será afetada:
4- Um sistema automatizado é o uso de recursos tecnológicos, tais como: computadores,
câmeras, programas para fazer o que já se fazia manualmente e etc. Caso ocorrer a
paralisação do sistema automatizado, existe meio de realizar as atividades
manualmente ou com outro sistema de emergência?
( ) Sim ( ) Não
85
5- A organização conhece as falhas de segurança existentes no sistema computacional da
empresa?
( ) Sim ( ) Não
6- Se a resposta à pergunta anterior for sim, responda:
a- A organização tem procedimentos disponíveis para resolver essas vulnerabilidades
de segurança?
( ) Sim ( ) Não
b- Cada vulnerabilidade gera impactos financeiros, estruturais, e etc. Como você
avalia o impacto gerado pelas vulnerabilidades existentes na organização?
( ) Forte ( ) Médio ( ) Baixo
7- Política organizacional pode ser definida como conjunto de procedimentos que visam
os adjetivos (sigilo, integridade, qualidade, segurança, eficiência). Existe uma política
para a segurança das informações obtidas durante os serviços prestados?
( ) Sim ( ) Não
8- Todos os componentes de uma organização precisam de manutenção e atualização,
isso de acordo com as necessidades presentes na organização. Existem na organização,
pessoas destinadas à manutenção dos equipamentos e o sistema?
( ) Sim ( ) Não
9- Para o melhor desempenho das funções organizacionais, é importante que todos os
envolvidos tenham conhecimentos básicos para a realização dos procedimentos da
organização, incluindo os procedimentos que não fazem parte da atribuição do
funcionário. Cada funcionário tem conhecimento sobre todo o sistema de monitoração
e help desk da organização?
( ) Sim ( ) Não
10- É estritamente importante para administração organizacional manter uma catalogação
ou manual de procedimentos atualizados para fins de auditoria, esclarecimento aos
profissionais e formalização processual. Este catálogo deve conter informações
básicas (atividade e nome de responsável). Na organização existe um catálogo de
serviços?
86
( ) Sim ( ) Não
11- As funções e responsabilidades de cada indivíduo envolvido na organização estão
definidas?
( ) Sim ( ) Não
12- O desempenho é um atributo de grande peso, pois com ele é possível verificar se as
funções da organização estão coerentes. A organização tem algum meio de medir o
desempenho do serviço prestado?
( ) Sim ( ) Não
13- A organização tem planejamento para aquisição de novos componentes tecnológicos?
( ) Sim ( ) Não
14- Para a finalidade administrativa, é importante ter o controle sobre seus profissionais e
recursos, por isso a cada movimentação, a obtenção de informações sobre quem o
realizou, quando e por que, deve ser registrada por meio de mecanismos
automatizados ou não. A organização tem um controle sobre os movimentos
realizados?
( ) Sim ( ) Não
15- Numa organização, é comum a existência de procedimentos manuais, devido à falta de
recursos ou capacitação profissional. Os conjuntos de procedimentos básicos para a
realização de cada processo da organização são todos automatizados? (Exemplo: fazer
uso de computadores)
( ) Sim ( ) Não
16- Numa organização é indispensável um plano de incidentes, para garantir o bom
funcionamento das funções essenciais. Esse plano de incidentes descreve medidas para
escapar de situações fora do estado normal, mas que é possível ocorrer. Deste modo, a
organização tem um plano de incidentes?
( ) Sim ( ) Não
87
ANEXO B: Transcrição da entrevista
Foi aplicada ao líder da organização, com o objetivo, de detectar a visão gerencial
possibilitando a identificação do que a organização espera como ela está e o que faz para
alcançar o esperado.
Abaixo um roteiro do que deve ser abordado, porém poderão ocorrer mais questões no
decorrer da entrevista.
1- Quantas pessoas trabalham aqui, no Centro de Operações Integradas?
RESPOSTA: atualmente aproximadamente 80 funcionários, porém mais da metade
opera nas ruas;
2- Existem “projetos” para expansão da organização?
RESPOSTA: Sim, reformar e aumentar o espaço;
3- O que é feito com as informações coletadas em cada atendimento realizado?
RESPOSTA: Fazemos estatísticas com Microsoft Excel.
4- Como é o acesso as informações?
RESPOSTA: as informações são divulgadas de acordo com o interesse da parte que
solicitou, sendo que o acesso à organização é controlado pelos guardas na portaria.
5- Quem define os procedimentos e conduta aqui no COI?
RESPOSTA: A Prefeitura;
6- Como é a distribuição de atividade no COI?
RESPOSTA: É de acordo com os conhecimentos e habilidades
7- Como é tratado o individuo que utiliza dos serviços realizados pelo COI?
RESPOSTA: como usuário/cidadão;
8- Existe um responsável interno para manutenção dos equipamentos?
RESPOSTA: Não, geralmente o reparo é realizado pela prefeitura ou uma empresa
terceirizada.
9- Para o uso dos recursos tecnológicos, existe capacitação profissional?
RESPOSTA: Não há capacitação profissional prévia, mas sim uma orientação de
como usar o sistema.
10- Com a paralisação do sistema de câmeras e telefonia, existe outra forma de realizar o
serviço à comunidade?
88
RESPOSTA: Não, se for apenas às câmeras podemos utilizar o telefone, mas se for os
dois simultaneamente a prestação de serviços fica fora do ar;
11- Qual é a forma usada pela organização para motivar a equipe?
RESPOSTA: Apenas elogios;
12- Ao ocorrer problemas de softwares, configuração e etc, existe um profissional interno
destinado ao apoio do usuário dos sistemas da organização?
RESPOSTA: Não;