Embed Size (px)
Citation preview
ESTUDO DE APLICAÇÃO DO COBIT COMO SUGESTÃO DE PRÁTICA DE
GOVERNANÇA EM TI NA SUPERINTENDÊNCIA DE TECNOLOGIA DA
INFORMAÇÃO E COMUNICAÇÃO (SUTEC) DA CORSAN
Vagner Kunz Cabral 1
Orientador: Ery Clovis Petry Jardim Junior2
RESUMO
Atualmente os gestores de empresas que possuem a Tecnologia da Informação como área
fim reconhecem a necessidade de implantação de metodologias e uso de frameworks de
governança para gerenciamento de seus processos internos e busca de excelência em
serviços. Dificuldades adicionais são encontradas em empresas cuja atividade fim não é a
Tecnologia da Informação, como é o caso da CORSAN que tem como foco a prestação de
serviços à comunidade no que tange o saneamento. Assim, o estudo apresentado é focado
na Superintendência de TI e o objetivo é a aplicação de premissas do framework COBIT
para uma medição efetiva de processos e verificação de maturidade neste contexto. Em
alinhamento com práticas de governança de TI o estudo foi desenvolvido em 2011 sobre os
aspectos estratégicos da TI e da organização em uma tentativa de aderência entre os
processos de aspecto operacional, tático e estratégico além de uma busca da excelência nos
mesmos.
Palavras-chave: TI; COBIT; Processos
ABSTRACT
Currently the company managers who have the information technology area in order to
recognize the need for implementation of methodologies and use of governance
frameworks to manage its internal processes and pursuit of service excellence. Additional
1 Bacharel em Análise de Sistemas pela UNISINOS (2000); MBA em Gestão Estratégica e Inovação pelo
UNILASALLE (2008); Especialista em Governança de TI pelo SENAC (2013); MBA em Administração
Pública e Gerência de Cidades pela FATEC INTERNACIONAL / UNINTER (2014); Email:
2 Possui Especialização em MBA em Gestão Ambiental e Projetos Sustentáveis Faculdade Internacional de
Curitiba, FACINTER, Brasil. (2011); Especialização em Gestão de Projetos Ambientais e Sustentabilidade
Faculdade Internacional de Curitiba, FACINTER, Brasil (2011); Especialização em Administração de
Empresas com Ênfase em Qualidade Universidade Federal de Lavras, UFLA, Brasil (2011); Especialização
em Ciências da Educação Universidade Ca'Foscari (2009); Especialização em Ciências da Educação
Universidade do Sul de Santa Catarina, UNISUL, Brasil (2008); Especialização em MBA Executivo
Empresarial em Gestão de RH Escola Superior Aberta do Brasil (2008); Graduação em Administração de
Empresa Universidade Federal do Rio Grande do Sul, UFRGS, Brasil (2011);Graduação em Gestão em
Segurança Pública Universidade do Sul de Santa Catarina, UNISUL, Brasil (2007). Email:
difficulties are found in companies whose main activity is the Information Technology, as
is the case of CORSAN that focuses on the provision of services to the community
regarding sanitation. Thus, the study presented here is focused on IT Oversight and the
goal is to apply COBIT framework of the premises for an effective measurement and
verification process of maturity in this context. In alignment with IT governance practices
study was developed in 2011 on the strategic aspects of IT and the organization in an
attempt to adhesion between the processes of the operational aspect, tactical and strategic
as well as a pursuit of excellence in them.
Keywords: IT; COBIT; Processes
INTRODUÇÃO
Em uma tentativa de tratarmos a Governança de TI como modelo eficaz dentro do
negócio da organização, é preciso que tenhamos implementados, de forma consistente, os
alicerces que sustentam esta governança. Para tratarmos os assuntos de tecnologia sob um
aspecto estratégico (e não mais puramente operacional como no passado) e,
consequentemente alinhados ao planejamento estratégico da organização, é preciso que a
área de tecnologia possua mecanismos transparentes, dinâmicos, sustentáveis e bem
configurados para o auxílio à tomada de decisões.
No contexto do atual cenário de TI da CORSAN, representado pela
Superintendência de Tecnologia da Informação e Comunicação – SUTEC (esta
subordinada à Diretoria Técnica da Cia.), cuja função e atuação são objetos de estudo deste
trabalho, é notável que um Planejamento Estratégico de TI consistente e bem
fundamentado, poderia minimizar mudanças em sua abrangência e aspectos processuais de
TI. Estas mudanças ocorrem frente a alterações no Planejamento Estratégico Corporativo
da Cia. em mudanças de gestão governamental (períodos de quatro anos).
Atualmente a SUTEC passa por um processo de reestruturação departamental em
que demandas internas da Cia. voltadas para a TI aliadas à capacidade operacional do
quadro de funcionários, entre outros de menor relevância, foram fatores determinantes para
a caracterização dos novos departamentos e segmentação dos processos. Desta forma, a
superintendência caracterizaria melhor as demandas a ela destinadas, agregando valor a
produtos e à prestação dos serviços de TI bem como uma determinação mais eficiente de
responsabilidades pela busca de soluções em tecnologia.
Sob a visão de nossos clientes internos, o impacto de uma reestruturação do setor
não causaria mudanças imediatamente significativas no acesso à superintendência, no
entanto, a publicação deste processo bem como da condução dos processos internos da
superintendência norteado pelo real conhecimento das capacidades e responsabilidades é
ponto favorável à gestão de TI solidificando a metodologia aplicada no atendimento às
solicitações destes clientes e fluxo de trabalho desempenhado pelo corpo funcional de TI.
1.2 ESTRUTURA INTERNA DA CORSAN
A seguir é apresentado o Planejamento Estratégico da CORSAN que promove o
alinhamento entre os objetivos estratégicos, as diretrizes de gestão e seus respectivos
Programas e Projetos associados às diretorias de competência.
Figura 1 - Mapa Estratégico – CORSAN
Fonte: SUPLAG – Superintendência de Planejamento Orçamento e Gestão
O Mapa Estratégico da CORSAN reflete o planejamento estratégico, este elaborado
e revisado em períodos sazonais de quatro anos, diretamente relacionado a diretivas e
planejamento do governo do estado.
Internamente na CORSAN os Projetos são constituídos a partir do Planejamento
Estratégico e por consequência contidos nos orçamentos regidos por norteadores formais
como LDO (lei de diretrizes orçamentárias) e outros, sob responsabilidade da
Superintendência de Planejamento, Orçamento e Gestão (SUPLAG) alinhada diretamente à
Diretoria da Presidência.
1.2.2 ORGANOGRAMA
Figura 2 - Organograma das Diretorias
Fonte: SUPRIN – Superintendência de Relações Institucionais
No organograma acima estão apresentadas somente as diretorias, as quais são
compostas por superintendências. Cada Superintendência é composta por um conjunto de
departamentos, os quais suportam os processos a ela atribuídos.
Existem dez polos regionais, onde alguns dos departamentos se replicam em nível
regional.
Além desta estrutura, cada Unidade de Saneamento, que engloba o processo
produtivo, administrativo, comercial e financeiro em cada município em que a CORSAN
atua, possui um Chefe de Unidade, também conhecido como “Gerente”. Estes gerentes
respondem às Superintendências Regionais.
A Companhia Riograndense de Saneamento, CORSAN, oferece a seus clientes o
tratamento e abastecimento de água, a coleta, afastamento e/ou tratamento do esgoto
sanitário, o tratamento de efluentes líquidos, além de buscar a proteção ao meio ambiente,
através da execução de programas ambientais no estado do Rio Grande do Sul e atende
mais de sete milhões de usuários no Estado do Rio Grande do Sul, buscando a
universalização do saneamento, garantindo uma melhor qualidade de vida à população
gaúcha.
1.2.3 RESPONSABILIDADES GERAIS DAS ÁREAS
Conforme o Regimento Interno da CORSAN, no que tange as atribuições de cada
setor, é importante que se tornem conhecidos as responsabilidades expressas neste
documento, a saber:
Das Superintendências
a) elaborar, controlar e manter atualizadas as normas internas que regulamentam as
relações entre a Superintendência e as unidades organizacionais, padronizando
os procedimentos e fazendo cumprir os cronogramas;
b) propor à respectiva diretoria a política de ação e atuação da CORSAN, em sua
área de atuação;
c) elaborar e manter atualizado o planejamento e o orçamento da Superintendência,
contribuindo com os objetivos estratégicos da CORSAN;
d) gerenciar os indicadores da área visando atingir as metas estabelecidas;
e) assessorar tecnicamente o Diretor;
f) representar o Diretor, por delegação, em atos de interesse da Empresa;
g) gerenciar as atividades administrativas, patrimoniais e financeiras afetas à
Superintendência;
h) receber, analisar, registrar/atualizar no sistema de protocolo e encaminhar os
documentos para providências;
i) recepcionar e atender os visitantes;
j) elaborar documentos da Superintendência, conforme padrão definido;
k) manter atualizados os arquivos da Superintendência;
l) cumprir e fazer cumprir as diretrizes institucionais emanadas das Diretorias e da
Diretoria Colegiada;
m) gerenciar os sistemas utilizados para a execução das atividades da área.
Dos Departamentos
a) subsidiar a Superintendência na elaboração da política de atuação da CORSAN,
na área de sua competência;
b) manter os sistemas de orçamento e de planejamento estratégico atualizados no
seu âmbito de atuação;
c) gerenciar os indicadores da área visando atingir as metas estabelecidas;
d) receber, analisar, registrar/atualizar no sistema de protocolo e encaminhar os
documentos para providências;
e) elaborar documentos do departamento;
f) gerenciar os sistemas utilizados para a execução das atividades da área.
1 FUNDAMENTAÇÃO TEÓRICA
1.1 PLANEJAMENTO ESTRATÉGICO
O planejamento estratégico demonstra uma proposta para organizar e alinhar a
empresa frente a objetivos organizacionais e desafia a gestão da empresa a desempenhar
seus desafios com efetividade.
Assim como no ciclo PDCA proposto por Walter Shewhart (URL 04) e mais tarde
divulgado por W. Edwards Demin, o planejamento estratégico é ciclado e deve ser
revisado constantemente para adequações se necessário.
As estratégias estabelecidas pela gestão são feitas a partir de uma análise de
cenários feitos a partir de uma relação entre ameaças e oportunidades sob pontos de vista
internos e externos à organização, reunidas sob forma de objetivos e demonstradas no
planejamento estratégico.
De acordo com este pensamento, podemos encontrar a seguinte passagem em (URL
02):
O plano estratégico nada mais é do que uma consolidação de ideias, que
por si só não produzem resultado algum. Ao contrário, é na implementação
dessas ideias que a organização vai obter o melhor da estratégia.
É necessário observar também que a estratégia precisa ser
constantemente reavaliada e reformulada, pois o processo todo – formulação e
implementação – não é construído apenas apoiado em questões concretas, mas é
produto de mecanismos altamente complexos. Isso sem falar nas mudanças
bruscas nos contextos dentro e fora da organização, imprevisíveis, muitas vezes.
Dessa forma, o maior desafio da gestão estratégica está relacionado à
sua efetividade prática no alcance dos objetivos organizacionais, isto é, na sua
capacidade de movimentar a organização e alinhá-la no sentido da prescrição
proposta pelo plano estratégico, com a adaptabilidade que esse processo exige.
Como toda função de gestão, isso pressupõe uma dinâmica permanente de
planejamento, execução, monitoramento, avaliação, ajustes e reajustes.
Figura 3 - Traduzindo a visão estratégica em 4 perspectivas
Fonte: (BSC 01) pg. 4
Acima, a proposta de Kaplan e Norton (BSC 01), cujo foco é promover a visão e
estratégia da empresa em quarto diferentes perspectivas: Financeira, Clientes, Processos
Internos e Aprendizado Organizacional.
1.2 ALINHAMENTO ESTRATÉGICO DE TI
O alinhamento estratégico da TI ao negócio para o qual a organização se propõe dá-
se em função da atuação e execução dos processos determinados pela Governança de TI.
Estes processos podem tornar o alinhamento e as soluções tecnológicas mais ou menos
aderentes à estratégia do negócio.
Enquanto componente do Ciclo de Governança de TI (GTI 02), o alinhamento
estratégico refere-se ao planejamento de TI que leva em consideração as estratégias da
empresa para seus produtos e atuação em geral.
Figura 4 - O Ciclo de Governança de TI
Fonte: (GTI 02) pg. 14
Desta forma, como demonstrado acima, no Ciclo de Governança de TI é
segmentado em quatro tópicos relacionados e que apresentam uma visão estratégica
ciclada a exemplo do planejamento estratégico circular baseado nas quatro perspectivas
sugeridas por Kaplan.
Para garantir a informação que a organização precisa, os recursos de TI precisam
ser gerenciados e o COBIT reúne processos e objetivos, destacando o impacto dos recursos
de TI com os requisitos de negócio.
1.3 COBIT
Conforme o Modelo COBIT criado e disponibilizado pela ISACA, encontramos em
(CBT 01, p.16):
Em respostas às necessidades descritas na seção anterior, o modelo CobiT
foi criado com as principais características de ser focado em negócios, orientado
a processos, baseado em controles e orientado por medições.
Ainda, logo a seguir, no mesmo Modelo:
O modelo Cobit é baseado nos seguintes princípios:Prover a informação
de que a organização precisa para atingir os seus objetivos, as necessidades para
investir, gerenciar e controlar os recursos de TI usando um conjunto estruturado
de processos para prover os serviços que disponibilizam as informações
necessárias para a organização.
Além disso, a orientação para negócios é o principal tema do COBIT, o
qual foi desenvolvido não somente para ser utilizado por provedores de serviços,
usuários e auditores, mas também, e mais importante, para fornecer um guia
abrangente para os executivos e donos de processos de negócios.
O modelo COBIT é baseado nos princípios ilustrados de forma a prover a
informação de que a organização precisa para atingir os seus objetivos, as
necessidades para investir, gerenciar e controlar os recursos de TI usando um
conjunto estruturado de processos para prover os serviços que disponibilizam as
informações necessárias para a organização.
Assim, é visto que o modelo Cobit v4.1 atua na implementação de metodologias
para alinhamento da estratégia do negócio com a estratégia de TI.
Figura 5 - Ilustração dos princípios do COBIT
Fonte: (CBT 01) pg. 12
2.3.1 OS PROCESSOS DO COBIT
Com um foco também voltado a processos, o Cobit é segmentado em seções
denominadas Domínios, em número de quatro são referenciadas em (CBT 01 pg. 18):
O CobiT define as atividades de TI em um modelo de processos genéricos com
quatro domínios. Esses domínios são Planejar e Organizar, Adquirir e
Implementar, Entregar e Suportar e Monitorar e Avaliar. Esses domínios
mapeiam as tradicionais áreas de responsabilidade de TI de planejamento,
construção, processamento e monitoramento.
O modelo CobiT fornece um modelo de processo de referência e uma linguagem
comum para que todos na organização possam visualizar e gerenciar as
atividades de TI. Incorporar o modelo operacional e a linguagem comum para
todas as áreas de negócios envolvidas em TI é um dos mais importantes passos e
ações preliminares para uma boa governança. Isto também fornece uma
metodologia para medição e monitoramento da performance de TI, comunicação
com provedores de serviços e integração das melhores práticas de
gerenciamento. Um modelo de processos incentiva a determinação de
proprietários dos processos, o que possibilita a definição de responsabilidades.
Na imagem a seguir, a ilustração do inter-relacionamento entre os quatro domínios
de responsabilidades e processos sugeridos pelo Cobit:
Figura 6 - Os Quatro Domínios Inter-relacionados do COBIT
Fonte: (CBT 01) pg. 18
Figura 7 – Visão Geral do Modelo COBIT
Fonte: (CBT 01) pg. 32
2 JUSTIFICATIVA
Atualmente o gerenciamento dos processos de TIC tem-se mostrado órfão de
diferentes resoluções impostas pela gestão estratégica da CORSAN e sujeitos a alterações
em prazos, segmentação de responsabilidades e outros que comprometem o entendimento
de funcionários dos demais setores da companhia sobre responsabilidades e premissas para
constituição de produtos e serviços em TIC.
Diante de possíveis alterações no Planejamento Estratégico da Cia. por diferentes
gestões designadas em função do poder executivo, e frente a uma reestruturação pela qual
passa a SUTEC, faz-se necessário um estudo de modelos e melhores práticas de
Governança de TI além de estudo da aplicação e aderência de frameworks conceituados
para alinhamento estratégico.
Como resultado deste estudo são vislumbradas sugestões de aplicação de
frameworks de melhores práticas em TI, permitindo subsídios na orientação e divulgação
dos processos de TI, interna e externamente à superintendência de TIC.
Assim, o framework escolhido para mapeamento e esclarecimento de objetivos e
responsabilidades foi o COBIT versão 4.1.
3 OBJETIVOS
3.1 OBJETIVO GERAL
Aplicar o COBIT em um estudo no setor de TI da CORSAN e mapear os
envolvidos e a maturidade em processos de TIC mais especificamente nos processos
relacionados ao domínio de Planejamento e Organização que promovem a visão estratégica
da TI.
3.2 OBJETIVOS ESPECÍFICOS
Analisar o cenário atual de Tecnologia da Informação da Cia. Riograndense de
Saneamento – CORSAN e mapear as operações e serviços de TI da
Superintendência de Tecnologia da Informação e Comunicação – SUTEC /
CORSAN;
Aplicar em uma matriz de responsabilidades e;
Elencar e questionar o nível de maturidade de processos sugeridos pelo domínio
Planejar e Organizar (PO) do COBIT.
4 METODOLOGIA
4.1 O CENÁRIO ATUAL DE TIC
Faz parte da estrutura da CORSAN a Superintendência de Tecnologia da
Informação e Comunicação, ligada diretamente à Diretoria Técnica. Esta possui a devida
prerrogativa pelo planejamento, controle e gestão dos projetos de TIC. Sendo assim, é
indicado que a guarda e a responsabilidade pela implementação de metodologia de
governança de TI na CORSAN fique a cargo desta Superintendência.
Conforme o regimento interno da Companhia cabe a SUTEC, resumidamente, as
seguintes atribuições:
Art. 123 A Superintendência de Tecnologia da Informação e Comunicação tem como
objetivo suportar a Governança Corporativa com a melhor utilização dos recursos de
Tecnologia de Informação e Comunicação, provendo soluções alinhadas às diretrizes
estratégicas e necessidades de negócio.
4.1.1 ORGANOGRAMA ATUAL
A SUTEC conta com as seguintes Unidades Organizacionais vinculadas a ela:
I. Departamento de Projetos e Processos - DEPROP
II. Departamento de Tecnologia - DETEC
III. Departamento de Infraestrutura – DEINFRA
Figura 8 - Organograma DTEC
Fonte: SUTEC – Superintendência de Tecnologia da Informação e Comunicação
Ainda, são descritas abaixo as responsabilidades de cada departamento à SUTEC
subordinados, conforme artigos do Regimento Interno da Cia.:
Art. 125 O Departamento de Projetos e Processos – DEPROP tem por objetivo orientar a
gestão de projetos e suportar os processos da Tecnologia da Informação e Comunicação –
TIC;
Art. 126 O Departamento de Tecnologia – DETEC tem por objetivo prover as áreas
de soluções buscando o alinhamento de suas necessidades com as soluções tecnológicas
existentes
Art. 127 O Departamento de Infraestrutura - DEINFRA tem por objetivo manter
operacional e atualizada tecnologicamente a infraestrutura de TI necessária para atender as
áreas de negócio da Companhia
4.1.2 O MAPEAMENTO DE OPERAÇÕES E SERVIÇOS DE TIC
Compondo o catálogo de serviços disponibilizado pela SUTEC por meio de seus
departamentos, temos como exemplo os seguintes serviços ao público interno da
Companhia:
Liberação de acesso a Software
Instalação de Software
Homologação de software
Manutenção de aplicações
Cadastramento de usuários
Compartilhamento de pastas
Alteração de permissões em pastas compartilhadas
Alteração de Grupos de segurança
Alterações de Caixas de email
Manutenção do serviço de impressão
etc.
Para cada procedimento do catálogo de serviços é disponibilizado um fluxograma
ilustrando o processo e as áreas envolvidas. Abaixo um exemplo de procedimento ilustrado
que contempla quatro diferentes estruturas envolvidas no processo de manutenção de
aplicações: DETEC, Fornecedor, Central de Serviços e Usuário.
Figura 9- Procedimento Operacional Padrão DETEC.05 Manutenção de Aplicações
Fonte: SUTEC – Superintendência de Tecnologia da Informação e Comunicação (disponível na intranet da
Cia)
4.1.4 MATRIZ RACI DE TIC - CORSAN
Com o auxílio de um comitê denominado CIMEG (Comitê Interno de Melhoria de
Gestão), formado por profissionais integrantes de todos os departamentos e grupos de
trabalho da SUTEC (apenas um funcionário por foco de atuação/grupo), pôde-se
preencher, conforme o entendimento conjunto e uma conseqüente visão sistêmica dos
processos, a Matriz RACI para cada atividade dos processos identificados no domínio
Planejar e Organizar do COBIT . Os dados foram validados pelos chefes de departamento
após o preenchimento.
Pre
siden
te
Dir
eto
ria
Co
legia
da
Dir
eto
r T
écn
ico
/ A
sses
sor
DT
EC
SU
PL
AG
/ A
gen
te O
rçam
entá
rio
DT
EC
Su
per
inte
nd
ente
SU
TE
C
Chef
e D
ET
EP
RO
Chef
e D
ES
IS
Chef
e D
EIN
FR
A
Chef
e D
ET
EL
Chef
e D
ES
EG
Co
mit
ê(s)
An
alis
ta d
e S
iste
mas
Téc
nic
o e
m T
IC
Ag
ende
Ad
min
istr
ativ
o
Est
agiá
rio
(a)
Cli
ente
/Usu
ário
PO1
Definir um Plano
Estratégico
de TI
Vincular
objetivos de negócio com
objetivos de TI;
I I I C,R C,A,R C,A,R C,A,R C,A,R C,A,R C,A,R R R C I
Identificar as
dependências críticas e o
desempenho
atual;
I I I C,R C,A,R C,A,R C,A,R C,A,R C,A,R C,A,R R R C I
Produzir um
plano estratégico
de TI;
I I I C,R C,A,R C,A,R C,A,R C,A,R C,A,R C,A,R R R C I
Produzir um plano tático de
TI;
I I I C,R C,A,R C,A,R C,A,R C,A,R C,A,R C,A,R R R C I
Analisar o portfólio de
programas e
gerenciar portfólio de
projetos e
serviços
I,A R,A C,I C,I C,I C,I C,I I I I
Tabela 1 - Parte da Matriz RACI das atividades do domínio Planejar e Organizar da TIC-Corsan
Legenda: R – Responsável / A – Accountable: quem presta conta sobre os resultados / I - Informado / C -
Consultado
4.1.5 MATURIDADES
A partir do levantamento dos responsáveis pelos processos, faz-se necessária a
montagem de um estudo da Maturidade de cada processo. Para isso utilizamos uma escala
de valores caracterizada no COBIT como o Modelo de Maturidade Genérico.
0 inexistente Completa falta de um processo reconhecido. A empresa nem mesmo
reconheceu que existe uma questão a ser trabalhada.
1 inicial / Ad hoc
Existem evidências que a empresa reconheceu que existem questões e
que precisam ser trabalhadas. No entanto, não existe processo
padronizado; ao contrário, existem enfoques Ad Hoc que tendem a ser
aplicados individualmente ou caso-a-caso. O enfoque geral de
gerenciamento é desorganizado.
2 Repetível, porém intuitivo
Os processos evoluíram para um estágio onde procedimentos similares
são seguidos por diferentes pessoas fazendo a mesma tarefa. Não existe
um treinamento formal ou uma comunicação dos procedimentos
padronizados e a responsabilidade é deixado com o indivíduo. Há um alto
grau de confiança no conhecimento dos indivíduos e conseqüentemente
erros podem ocorrer.
3 Processo definido
Procedimentos foram padronizados, documentados e comunicados
através de treinamento. É mandatório que esses processos sejam
seguidos; no entanto, possivelmente desvios não serão detectados. Os
procedimentos não são sofisticados, mas existe a formalização das
práticas existentes.
4 Gerenciado e Mensurável
A gerência monitora e mede a aderência aos procedimentos e adota ações
onde os processos parecem não estar funcionando muito bem. Os
processos estão debaixo de um constante aprimoramento e fornecem boas
práticas. Automação e ferramentas são utilizadas de uma maneira
limitada ou fragmentada.
5 otimizado
Os processos foram refinados a um nível de boas práticas, baseado no
resultado de um contínuo aprimoramento e modelagem da maturidade
como outras organizações. TI é utilizada como um caminho integrado
para automatizar o fluxo de trabalho, provendo ferramentas para
aprimorar a qualidade e efetividade, tornando a organização rápida em
adaptar-se.
Tabela 2 - Escala proposta pelo Modelo de Maturidade Genérico
Fonte: (CBT 01) pg. 21
Abaixo temos a visualização de uma matriz com os apontamentos de níveis de
maturidade dos processos do domínio Planejar e Organizar do COBIT elaborada a partir da
realidade da empresa aos olhos dos funcionários integrantes do comitê de melhoria de
gestão em TIC. Em decorrência da falta de um framework adequado e metodologias de
benchmarking, optou-se por suprimir apontamentos sobre maturidades do
mercado/concorrência.
Figura 10 - Maturidades dos processos do domínio PO
No entanto, para uma melhor apreciação do desenvolvimento do modelo de
maturidade da SUTEC, foi utilizada a Tabela de Atributos de Maturidade (ANEXO A) em
cada objetivo dos processos. Desta forma, houve a possibilidade de caracterizarmos cada
objetivo quanto aos diferentes atributos propostos por este modelo, os quais relacionamos
abaixo:
Consciência e comunicação
Políticas, planos e procedimentos
Ferramentas e automação
Habilidades e especialização
Responsabilidade e responsabilização
Definição de objetivos e medição
A aplicação dos níveis de maturidade sugeridos em cada um dos atributos acima
citados, para cada objetivo em cada processo do domínio Planejar e Organizar do COBIT
no contexto da CORSAN nos possibilita diferentes análises de maturidade e
conseqüentemente a verificação de pontos deficitários na governança de TI da empresa.
Podemos verificar a compilação da aplicação destes conceitos no APÊNDICE A –
Compilação dos resultados da aplicação dos Atributos de Maturidade e é a partir desta
compilação que são trazidos os gráficos a seguir. Assim, é possível demonstrar
visualmente a Maturidade nos elementos componentes da Governança de TI da CORSAN
no que tange o aspecto estratégico sugerido pelo COBIT .
Figura 11 - Maturidades dos processos do domínio PO categorizada por atributos, como resultado da
pesquisa
Figura 12 - Diferentes visualizações da maturidade do atributo “Consciência e Comunicação” aplicado ao
domínio Planejar e Organizar (PO) da CORSAN
Figura 13 - Diferentes visualizações da maturidade do atributo “Políticas, Planos e Procedimentos”
aplicado ao domínio Planejar e Organizar (PO) da CORSAN
Figura 14 - Diferentes visualizações da maturidade do atributo “Ferramentas e Automação” aplicado ao
domínio Planejar e Organizar (PO) da CORSAN
Figura 15 - Diferentes visualizações da maturidade do atributo “Habilidades e Especialização” aplicado ao
domínio Planejar e Organizar (PO) da CORSAN
Figura 16 - Diferentes visualizações da maturidade do atributo “Responsabilidade e Reponsabilização”
aplicado ao domínio Planejar e Organizar (PO) da CORSAN
Figura 17 - Diferentes visualizações da maturidade do atributo “Definição de Objetivos e Métricas”
aplicado ao domínio Planejar e Organizar (PO) da CORSAN
Após a apresentação das maturidades dos processos do PO segmentadas por
atributos conforme demonstrado anteriormente, é importante esclarecer que a maturidade
demonstrada para cada processo do PO é a resultante de uma média aritmética dos valores
informados para cada objetivo deste processo.
REFERÊNCIAS
(BSC 01) KAPLAN, Robert & NORTON, David. Using de Balanced Scorecard as a
Strategic Management System. Harvard Business Review JanFev 1996. Disponível em
<http://hbr.org/> . Acessado em Setembro de 2011.
(CBT 01) Information Systems Audit and Control Association - ISACA.COBIT v4.1.
Disponível em <http://www.isaca.org/Knowledge-Center/COBIT/Pages/Overview.aspx>.
Acessado em Setembro de 2011.
(GTI 01) WEILL, Peter & ROSS, Jeanne W. Governança de TI: Tecnologia da
Informação. 1ª ed. M. Books, 2005.
(GTI 02) FERNANDES, Aguinaldo Aragon & ABREU, Vladimir Ferraz. Implantando a
Governança de TI: da Estratégia à Gestão de Processos e Serviços. 2ª ed. Rio de Janeiro:
Brasport, 2008.
(GTI 03) ARKOVSKY, Roberto & CASTRO, Jorge & CARLA, Adriana. Pós Graduação
em Governança de TI - Módulo IV. Rede EAD Senac. Disponível em
<www.senac.eduead.com.br/ead2010>. Acessado em Setembro de 2011.
(URL 01) Site da CORSAN. Porto Alegre, 2007. Disponível em <www.corsan.com.br>.
Acessado em Setembro de 2011.
(URL 02) Portal de Gestão Estratégica do TRT da 10ª Região. Disponível em:
<http://gestaoestrategica.trt10.jus.br>. Acessado em Setembro de 2011
(URL 03) Intranet CORSAN. Regimento Interno CORSAN com aprovação: Ata
Conselho de Administração 23/2009 datado de 13/11/2009. Acessado em Setembro de
2011
(URL 04) HCI. Disponível em <http://www.hci.com.au/hcisite3/toolkit/pdcacycl.htm>.
Acessado em novembro de 2011.
APÊNDICE A – COMPILAÇÃO DOS RESULTADOS DA APLICAÇÃO DOS
ATRIBUTOS DE MATURIDADE
Consciê
ncia e
Comuni
cação
Políticas
, Planos
e
Procedi
mentos
Ferrame
ntas e
Automa
ção
Habilida
des e
Especial
ização
Respo
nsabili
dade e
Respo
nsabili
zação
Defini
ção de
Objeti
vos e
Métric
as
PO1
Defini
r um
Plano
Estrat
égico
de TI
PO1.1 Gerenciamento de Valor da TI 2 3 1 3 4 2
PO1.2 Alinhamento entre TI e
Negócio 3 1 2 3 4 3
PO1.3 Avaliação da Capacidade e
Desempenho Correntes 2 1 0 2 4 1
PO1.4 Plano Estratégico de TI 4 3 5 3 5 5
PO1.5 Planos Táticos de TI 4 4 4 4 5 4
PO1.6 Gerenciamento do Portfólio
de TI 5 2 3 4 4 3
MEDIA 3 2 2 3 4 3
PO2
Defini
r a
Arquit
etura
da
Infor
mação
PO2.1 Modelo de Arquitetura da
Informação da Organização 4 3 1 4 4 4
PO2.2 Dicionário de Dados
Corporativos e Regras de Sintaxe de
Dados 3 1 2 3 2 3
PO2.3 Esquema de Classificação de
Dados 2 1 2 3 2 2
PO2.4 Gerenciamento de Integridade 3 3 2 3 3 3
MEDIA 3 2 1 3 2 3
PO3
Deter
minar
as
Diretri
zes da
Tecnol
ogia
PO3.1 Planejamento da Diretriz
Tecnológica 3 4 5 4 4 5
PO3.2 Plano de Infraestrutura
Tecnológica 4 4 5 4 4 5
PO3.3 Monitoramento de
Regulamentos e Tendências Futuras 4 2 2 4 1 2
PO3.4 Padrões Tecnológicos 3 4 2 3 2 2
PO3.5 Conselho de Arquitetura de TI 2 4 0 3 3 3
MEDIA 3 3 2 3 2 3
PO4
Defini
r os
Proces
sos,
Organ
ização
e
Relaci
oname
ntos
de TI
PO4.1 Estrutura de Processos de TI 4 5 2 5 2 5
PO4.2 Comitê Estratégico de TI 2 3 4 4 4 4
PO4.3 Comitê Executivo de TI 2 3 4 4 4 4
PO4.4 Posicionamento
Organizacional da área de TI 3 1 2 5 1 4
PO4.5 Estrutura Organizacional de
TI 5 3 4 5 4 4
PO4.6 Definição de Papéis e
Responsabilidades 4 2 5 5 4 4
PO4.7 Responsabilidade pela
Garantia de Qualidade 3 2 3 4 2 2
PO4.8 Responsabilidade por Riscos,
Segurança e Conformidade 2 4 4 4 3 3
PO4.9 Proprietários de Dados e
Sistemas 2 4 3 3 4 4
PO4.10 Supervisão 3 3 2 2 3 4
PO4.11 Segregação de Funções 3 4 1 3 3 3
PO4.12 Recrutamento de pessoal de
TI 5 4 0 1 2 4
PO4.13 Pessoal Chave de TI 5 4 0 4 3 4
PO4.14 Políticas e Procedimentos
para Pessoal Contratado 3 5 4 2 3 4
PO4.15 Relacionamentos 2 3 0 2 3 2
MEDIA 3 3 2 3 3 3
PO5
Geren
ciar o
Investi
mento
de TI
PO5.1 Estrutura da Administração
Financeira 3 5 5 5 5 4
PO5.2 Priorização dentro do
Orçamento de TI 5 4 5 5 5 5
PO5.3 Processo de Orçamento de TI 5 5 4 5 5 4
PO5.4 Gerenciamento de Custo 4 4 5 4 5 4
PO5.5 Gerenciamento de Benefícios 3 3 4 4 2 3
MEDIA 4 4 4 4 4 4
PO6
Comu
nicar
Metas
e
Diretri
zes
Geren
ciais
PO6.1 Política de TI e Ambiente de
Controle 3 4 2 3 3 2
PO6.2 Risco de TI Corporativo e
Estrutura Interna de Controle 3 3 2 3 2 3
PO6.3 Gerenciamento de Políticas de
TI 4 4 2 4 3 4
PO6.4 Distribuição da Política 2 1 0 4 2 2
PO6.5 Comunicação dos Objetivos e
Diretrizes de TI 0 4 1 1 2 3
MEDIA 2 3 1 3 2 2
PO7
Geren
ciar os
Recur
sos
Huma
nos de
TI
PO7.1 Recrutamento e Retenção de
Pessoal 3 5 3 3 4 3
PO7.2 Competências Pessoais 3 4 2 5 4 3
PO7.3 Preenchimento de Vagas 2 1 4 4 4 3
PO7.4 Treinamento do Pessoal 4 2 4 3 3 3
PO7.5 Dependência de Indivíduos 4 2 0 3 2 1
PO7.6 Procedimentos de Liberação
de Pessoal 5 5 5 5 5 4
PO7.7 Avaliação de Desempenho
Profissional 3 4 3 4 5 4
PO7.8 Mudança e Desligamento de
Cargo 5 5 5 4 5 2
MEDIA 3 3 3 3 4 2
PO8
GerenPO8.1 Sistema de Gerenciamento de
Qualidade (SGQ) 1 3 1 4 1 1
ciar a
Qualid
ade
PO8.2 Padrões e Práticas de
Qualidade de TI 1 2 3 2 1 1
PO8.3 Padrões de Desenvolvimento
e Aquisição 1 4 4 3 1 1
PO8.4 Foco no Cliente 1 4 1 4 3 1
PO8.5 Melhoria Contínua 1 1 0 4 2 1
PO8.6 Medição, Monitoramento e
Revisão da Qualidade 1 1 0 4 2 1
MEDIA 1 2 1 3 1 1
PO9
Avalia
r e
Geren
ciar os
Riscos
de TI
PO9.1 Alinhamento da gestão de
riscos de TI e de Negócios 2 4 5 5 2 4
PO9.2 Estabelecimento do Contexto
de Risco 3 4 4 4 2 4
PO9.3 Identificação de Eventos 3 3 5 3 1 3
PO9.4 Avaliação de Risco 4 3 5 4 3 3
PO9.5 Resposta ao Risco 3 2 5 3 2 3
PO9.6 Manutenção e Monitoramento
do Plano de Ação de Risco 1 3 3 5 1 3
MEDIA 2 3 4 4 1 3
PO10
Geren
ciar
Projet
os
PO10.1 Estrutura de Gestão de
Programas 3 3 3 4 2 2
PO10.2 Estrutura de Gestão de
Projetos 5 4 3 5 3 4
PO10.3 Abordagem da Gestão de
Projetos 4 3 4 5 4 3
PO10.4 Comprometimento das
Partes Interessadas 3 3 0 3 1 3
PO10.5 Declaração do Escopo do
Projeto 5 5 4 5 4 3
PO10.6 Fase de Início do Projeto 4 4 4 5 4 3
PO10.7 Plano Integrado de Projeto 1 1 2 4 4 2
PO10.8 Recursos do Projeto 3 2 4 3 3 3
PO10.9 Gestão de Risco do Projeto 4 3 4 4 3 3
PO10.10 Plano de Qualidade de
Projeto 2 5 4 4 3 3
PO10.11 Controle de Mudança de
Projeto 3 3 3 4 3 3
PO10.12 Planejamento de métodos
de validação 0 2 1 3 3 1
PO10.13 Medição de Desempenho,
Monitoramento e Reporte do Projeto 1 2 2 4 3 1
PO10.14 Conclusão do Projeto 4 4 5 5 5 4
MEDIA 3 3 3 4 3 2
APÊNDICE B – MATRIZ RACI
Pre
sid
ente
Dir
eto
ria
Co
leg
iad
a
Dir
eto
r T
écn
ico
/ A
sses
sor
DT
EC
SU
PL
AG
/ A
gen
te O
rçam
entá
rio
DT
EC
Su
per
inte
nd
ente
SU
TE
C
Ch
efe
DE
TE
PR
O
Ch
efe
DE
SIS
Ch
efe
DE
INF
RA
Ch
efe
DE
TE
L
Ch
efe
DE
SE
G
Co
mit
ê(s)
An
alis
ta d
e S
iste
mas
Téc
nic
o e
m T
IC
Ag
end
e A
dm
inis
trat
ivo
Est
agiá
rio
(a)
Cli
ente
/Usu
ário
PO1
Definir um
Plano
Estratégico de
TI
Vincular objetivos de negócio com
objetivos de TI; I I I
C
R
C
A
R
C
A
R
C
A
R
C
A
R
C
A
R
C
A
R R R C I
Identificar as dependências críticas
e o desempenho atual; I I I
C
R
C
A
R
C
A
R
C
A
R
C
A
R
C
A
R
C
A
R R R C I
Produzir um plano estratégico de
TI; I I I
C
R
C
A
R
C
A
R
C
A
R
C
A
R
C
A
R
C
A
R R R C I
Produzir um plano tático de TI; I I I
C
R
C
A
R
C
A
R
C
A
R
C
A
R
C
A
R
C
A
R R R C I
Analisar o portfólio de programas
e gerenciar portfólio de projetos e
serviços
I
A
R
A
C
I
C
I
C
I
C
I
C
I I I I
PO2
Definir a
Arquitetura
da
Informação
Criar e manter o modelo de
informação corporativa;
C
I
C
A
R
C
A
R
C
A
R
C
A
R
C
A
R
C
A
R R R R I
Criar e manter os dicionários de
dados corporativos; I
C
A
R
C
A
R
C
A
R
C
A
R
C
A
R
C
A
R R R I
Estabelecer e manter uma estrutura
de classificação de dados; I
C
A
R
C
A
R
C
A
R
C
A
R
C
A
R
C
A
R R R R I
Fornecer aos proprietários de
dados procedimentos e ferramentas
para classificação dos sistemas de
informação; I
R
A
R
A
R
A
R
A
R
A
R
A R R I
Utilizar o modelo de informação
dicionário de dados e estrutura de
classificação para planejar
sistemas otimizados R R R R R R R R R R R R R R R R
PO3
Determinar as
Diretrizes da
Tecnologia
Criar e manter um planejamento de
infraestrutura tecnológica;
C
A
R
C
A
R
C
A
R
C
A
R
C
A
R
C
A
R R R C
Criar e manter padrões
tecnológicos;
C
A
R
C
A
R
C
A
R
C
A
R
C
A
R
C
A
R R R C
Publicar padrões tecnológicos; I A A A A A A R
Monitorar evolução tecnológica;
C
A
R
C
A
R
C
A
R
C
A
R
C
A
R
C
A
R R R C
Definir uso (futuro) (estratégico)
de novas tecnologias
C
A
R
C
A
R
C
A
R
C
A
R
C
A
R
C
A
R R R C
PO4
Definir os
Processos
Organização e
Relacionamen
tos de TI
Estabelecer a estrutura
organizacional de TI incluindo
comitês e relacionamentos com
partes interessadas e fornecedores;
C
A
R
C
A
R
C
A
R
C
A
R
C
A
R
C
A
R R R C
Projetar a estrutura de processos de
TI;
C
A
R
C
A
R
C
A
R
C
A
R
C
A
R
C
A
R R R C C
Identificar os proprietários dos
sistemas; I
C
I
C
R
C
I
C
I
C
I R R
Identificar os proprietários dos
dados; I
C
I
C
I
C
I
C
I
C
I R R
Estabelecer e implementar papéis
funções e responsabilidades de TI
incluindo supervisão e segregação
de atividades
C
A
R
C
A
R
C
A
R
C
A
R
C
A
R
C
A
R R R C C
PO5
Gerenciar o
Investimento
de TI
Manter portfólio de programas;
I
A
C
I
C
R
A
C
I
C
I
C
I R R C
Manter portfólio de projetos;
I
A
C
R
A
C
I
C
I
C
I
C
I R R
Manter portfólio de serviços;
C
A
R
C
A
R
C
A
R
C
A
R
C
A
R
C
A
R R R C C
Estabelecer e manter o processo
orçamentário de TI; C
C
I
R
A
R
A
R
A
R
A
R
A
R
A
Identificar comunicar e monitorar
os investimentos em TI custos e
valor para o negócio I I
R
A
R
A
R
A
R
A
R
A
R
A
PO6
Comunicar
Metas e
Diretrizes
Gerenciais
Estabelecer e manter a estrutura e
ambiente de controle de TI; I
C
A
R
C
A
R
C
A
R
C
A
R
C
A
R
C
A
R R R C I
Desenvolver e manter as políticas
de TI;
C
I
C
I
C
I
C
I
C
I
R
A C C
Comunicar a estrutura de controle
os objetivos e as diretrizes de TI I I
I
A
R
A
R
A
R
A
R
A
R
A R I I I
PO7
Gerenciar os
Recursos
Humanos de
TI
Identificar habilidades descrição
de cargos faixas salariais e
comparações de desempenho
individual com o mercado
(benchmarks) para TI;
I
R
R
A
R
A
R
A
R
A
R
A R C C
Executar políticas e procedimentos
de RH relevantes para TI
(recrutamento contratação
compensação treinamento
avaliação promoção e
desligamento) R
C
R
C
R
C
R
C
R
C
R I I I
PO8
Gerenciar a
Qualidade
Definir um sistema de
gerenciamento da qualidade
(SGQ); I
C
I
C
R
C
R
C
R
C
R
C
R
C
R R R C I
Estabelecer e manter um sistema
de gerenciamento da qualidade;
C
A
R
C
A
R
C
A
R
C
A
R
C
A
R
C
A
R R R I I
Criar e comunicar padrões de
qualidade para a organização; I I I
C
I
C
I
A
C
A
R
C
A
R
C
A
R
C
A
R
C
A
R R R I I
Criar e manter o planejamento de
qualidade para melhoria contínua; I I I
C
I
C
I
A
C
A
R
C
A
R
C
A
R
C
A
R
C
A
R R R C I
Medir monitorar e revisar
criticamente a conformidade com
os objetivos de qualidade
I
A
C
A
R
C
A
R
C
A
R
C
A
R
C
A
R R R C
PO9
Avaliar e
Gerenciar os
Riscos de TI
Promover o alinhamento da gestão
de riscos (por exemplo: avaliação
de riscos); I I
C
I
A
C
R
C
R
C
R
C
R
C
R R
C
R C
Entender os objetivos estratégicos
de negócio relevantes; I I
I
R
I
R
I
R
I
R
I
R
I
R R I I I
Entender os objetivos de processos
de negócio relevantes;
I
R
I
R
I
R
I
R
I
R
I
R R I I I
Identificar objetivos internos de TI
e estabelecer contexto de risco;
C
R
C
R
C
R
C
R
C
R
C
R R C C
Identificar eventos associados com
objetivos [alguns eventos são
orientados ao negócio (negócio é
A); alguns são orientados a TI (TI
é A negócio é C)];
C
R
C
R
C
R
C
R
C
R
C
R R C C
Avaliar criticamente os riscos
associados com eventos;
C
I
R
C
R
C
R
C
R
C
R
C
R R
Avaliar respostas aos eventos;
C
I
R
C
R
C
R
C
R
C
R
C
R R
Planejar e priorizar as atividades
de controle;
C
I
R
C
R
C
R
C
R
C
R
C
R R C C
Aprovar e assegurar o
financiamento de planos de ações
para riscos;
C
R
A
C
R
C
R
C
R
C
R
A
C
R
Manter e monitorar os planos de
ações para riscos
I
A
C
R
C
R
C
R
C
R
C
R R
PO10
Gerenciar
Projetos
Definir uma estrutura de
gerenciamento de programas e
portfólios para os investimentos de
TI;
C
R
C
R
C
R
C
R
C
R
C
R R C C
Estabelecer e manter uma estrutura
de gerenciamento de projetos;
C
R
C
R C C C C
Estabelecer e manter um sistema
de gerenciamento monitoramento e
acompanhamento de projetos de
TI;
C
R
C
R C C C C
Criar cronogramas planos de
qualidade orçamentos planos de
comunicação e planos de
gerenciamento de riscos para
projetos;
C
R
C
R
C
R
C
R
C
R
C
R C
Assegurar a participação e
compromisso das partes
interessadas; R R R R R R
Assegurar o controle eficaz de
projetos e de mudanças em
projetos; R
Definir e implementar uma
metodologia de revisão e qualidade
em projetos
C
R R C C C C C C C
ANEXO A – Tabela de Atributos de Maturidade
