TCC Aplicacao Do Cobit em Empresas de Medio Porte PDF

FACULDADE DE INFORMTICA E ADMINISTRAO PAULISTA
Ps-Graduao Gesto de Tecnologia da Informao
DAVI CUNHA
MARCOS ALVES PEREIRA
RODRIGO DE OLIVEIRA NEVES
APLICAO DO COBIT EM EMPRESAS DE
MDIO PORTE
So Paulo
2010
DAVI CUNHA
MDIO PORTE
Trabalho de Concluso de Curso

apresentado Faculdade de
Informtica e Administrao
Paulista, como um dos requisitos
para a concluso do Curso de Ps-
Graduao em Gesto de
Tecnologia da Informao
Orientador: Prof. Andra de Paiva
So Paulo
2010
DAVI CUNHA
MDIO PORTE
Trabalho de Concluso de Curso

apresentado Faculdade de
Informtica e Administrao
Paulista, como um dos requisitos
para a concluso do Curso de Ps-
Graduao em Gesto de Tecnlogia
da Informao.
Aprovada em 23 de Abril de 2010.
BANCA EXAMINADORA
Prof(). Dr. ou. Ms Xxx (nome completo)

Orientador
Prof(). Dr. ou. Ms Xxx (nome completo)

Componente da Banca
Experincia no o que acontece com um
homem; o que um homem faz com o que lhe
acontece... (Aldous Huxley). Aos nossos
mestres e professores, o reconhecimento
sempre!
AGRADECIMENTOS
Primeiramente a Deus, que est em nossa vida
desde o primeiro instante. Aos nossos
familiares por nos apoiarem em todos os
momentos. Aos nossos mestres, pelo
conhecimento por eles ensinado e que nunca
ser esquecido.
A todos que nos incentivaram e apoiaram, o
nosso muito obrigado!

RESUMO
A Governana de Tecnologia da Informao (TI) um assunto cada vez

mais presente nas corporaes, independentes de seu porte. Perante o
atual cenrio de competitividade, o alinhamento da TI com o negcio, tem
se tornado foco estratgico para se obter timos resultados. Alm disto, a
necessidade de maior retorno sobre o investimento, transparncia e
confiana da alta administrao tm levado as empresas a aderirem a
padres, normas e procedimentos. Uma das formas de conseguir estes
objetivos a utilizao de um framework que contemple estes requisitos,
como o COBIT (Control Objectives for Information and related
Technology). Este estudo de caso destacar como empresas de mdio
porte de tecnologia posicionam este framework como base para seus
modelos de gesto e controle.
Palavras-chave: Governana de TI. Conformidade. COBIT.

Alinhamento.
ABSTRACT
The Governance of Information Technology (IT) has become a growing

element in corporations, independent of their size. Given the current
competitive scenario, the alignment of IT with the business, has become a
strategic focus to achieve optimal results. Moreover, the necessity for
greater return on investment, transparency and reliability of senior
management have led companies to adhere to standards and procedures.
One way to achieve these goals is the use of a framework that addresses
these requirements, such as COBIT (Control Objectives for Information
and related Technology). This case study will highlight how medium-size
technology companies reference this framework as a model to their
governance and control models.
Keywords: Governance. Compliance. COBIT. Alignment.

LISTA DE ILUSTRAES
FIGURAS
Figura 1 Sistema de Governana Corporativa 19
Figura 2 Relao Governana Corporativa e Governana de TI 23
Figura 3 - rea foco do COBIT 31
Figura 4 - Princpios bsicos do COBIT 35
Figura 5 Cubo COBIT 37
Figura 6 Pontuao da empresa Alfa 52
Figura 7 Mdia arredondada, por domnio, obtida pela empresa Alfa 52
Figura 8 Pontuao da empresa Beta 53
Figura 9 Mdia arredondada, por domnio, obtida pela empresa Beta 54
Figura 10 Pontuao da empresa Gama 55
Figura 11 Mdia arredondada, por domnio, obtida pela empresa Gama 56
Figura 12 Mdia arredondada, por domnio, obtida pelas empresas 57
QUADROS
Quadro 1 Comparativo entre modelos de GC mundial 21
Quadro 2 Matriz de arranjo de governana 24

ii
TABELAS
Tabela 1 Critrios de Pontuao 16
Tabela 2 Classificao de Nvel de Maturidade 16
Tabela 3 - Tabulao das respostas e resultados obtidos 49
Tabela 4 - Valor da Mdia Arredondada por domnio do Cobit 51

LISTA DE SIGLAS
ABNT Associao Brasileira de Normas Tcnicas
COBIT Control Objectives for Information and related Technology
FDC Fundao Dom Cabral
GC Governana Corporativa
GRC Governance, Risk and Compliance
IBGC Instituto Brasileiro de Governana Corporativa
ISACA Information Systems Audit and Control Association
ISACF Information Systems Audit and Control Foundation
ITIL Information Technology Infrastructure Library
ROI Return of Investiment
SLA Service Level Agreement
TI Tecnologia da Informao
SUMRIO
INTRODUO ................................................................................................................................................... 11
OBJETIVO .......................................................................................................................................................... 12
PROBLEMA ........................................................................................................................................................ 13
METODOLOGIA .................................................................................................................................................. 13
1. GOVERNANA .............................................................................................................................................. 18
1.1. GOVERNANA CORPORATIVA NO BRASIL ........................................................................................... 21
1.2. GOVERNANA DE TI ........................................................................................................................... 23
1.2.1. Princpios de liderana para Governana de TI ........................................................................... 27
2. COBIT .............................................................................................................................................................. 30
2.1. ALINHAMENTO ESTRATGICO ............................................................................................................. 31
2.2. ENTREGA DE VALOR ........................................................................................................................... 32
2.3. GESTO DE RECURSOS ........................................................................................................................ 32
2.4. GESTO DE RISCO ............................................................................................................................... 33
2.5. MENSURAO DE DESEMPENHO ......................................................................................................... 33
2.6. PRINCPIOS BSICOS DO COBIT .......................................................................................................... 34
2.7. DOMNIOS DO COBIT ......................................................................................................................... 36
2.7.1 Planejar e Organizar ..................................................................................................................... 37
2.7.2 Adquirir e Implementar ................................................................................................................. 40
2.7.3 Entregar e Suportar ....................................................................................................................... 41
2.7.4 Monitorar e Avaliar ....................................................................................................................... 43
2.8. MODELOS DE MATURIDADE ................................................................................................................ 44
2.9. INDICADORES ...................................................................................................................................... 46
2.9.1 KGI Key Goal Indicators (Indicadores de metas ou objetivos) .................................................. 46
2.9.2 KPI Key Performance Indicators (indicadores de desempenho)................................................ 47
3. PROJETO ........................................................................................................................................................ 49
3.1. RESULTADOS....................................................................................................................................... 49
CONCLUSO ..................................................................................................................................................... 59
REFERNCIAS .................................................................................................................................................. 61
ANEXO I .............................................................................................................................................................. 64
11
INTRODUO
A forma como a gesto dos negcios vem sofrendo constantes alteraes nos dias
atuais levam as Organizaes a se preocuparem com o nvel de controle em toda a
sua estrutura. A alta competitividade, globalizao e a necessidade de atingir os
melhores resultados aumentam ainda mais esta preocupao e exige cada vez mais
do departamento de Tecnologia de Informao, que hoje, um dos principais
artifcios das empresas para vencer neste ambiente.
Para o alcance destes objetivos necessrio a implantao da Governana de TI

nas organizaes que parte integrante da Governana Corporativa.
A Governana Corporativa proporciona para as empresas uma estrutura que

possibilita o estabelecimento de princpios e objetivos da sociedade e os meios para
cumpri-los, alm de supervisionar o seu desempenho.
O que contribuiu para o seu crescente interesse foi o surgimento de uma srie de
escndalos na Europa e nos Estados Unidos, onde envolveu diversas empresas,
auditores e bancos de investimentos. Por conta disto, surgiram diversos cdigos de
boas prticas de Governana Corporativa (LVARES; GIACOMETI; GUSSO, 2008).
Segundo Sandonato, Spritzer e Ferreira (2010), a Governana Corporativa estimula

diversas mudanas na estrutura organizacional das empresas, afetando seus
processos organizacionais.
Neste contexto, a TI exerce papel fundamental para a organizao, pois, visa

garantir o suporte e maximizao adequada dos objetivos e estratgias de negcio,
adicionando valor agregado ao servio entregue, balanceando e gerenciando os
riscos com o propsito de obter melhor retorno sobre os investimentos em
tecnologia.
Para Rasmussen (2008), a TI tem um papel importante, pois possibilita as iniciativas

de Governance, Risk and Compliance (Governana, Riscos e Conformidade - GRC).
Este papel acaba sendo duplo, pois, por um lado, a TI deve gerenciar as suas
12
prprias questes de GRC e, por outro, ela tem que se tornar um facilitador e uma
ferramenta de automatizao de GRC para o negcio.
A relao de dependncia dos negcios e da tecnologia fora as organizaes a

demonstrarem controles cada vez maiores de segurana, onde cada organizao
deve medir e compreender seu prprio desempenho e progresso.
Diante deste cenrio de extrema importncia que as empresas desenvolvam

ferramentas para reconhecer e mitigar riscos.
Para acelerar a adoo da Governana de TI nas empresas, uma srie de

frameworks e metodologias foram criadas, como, por exemplo, o Control Objectives
for Information and Related Technology - COBIT, que o escolhido para o
desenvolvimento deste trabalho. O surgimento destes frameworks, que mostram as
melhores prticas de governana, ajuda na escolha do caminho correto e nos
melhores processos para se atingir estes resultados.
A governana de TI permite que as corporaes tirem o mximo proveito das suas

informaes ao capitalizar as oportunidades de negcio e ao criar vantagens
competitivas robustas (CHALOLA, 2007, p.16).
Com base nestas informaes percebe-se que a rea de Tecnologia da Informao

est se adaptando continuamente de modo a oferecer uma srie de benefcios para
a adoo e o sucesso de iniciativas de implantao de GRC. Cabe-se agora saber,
se todas as corporaes, independentes do seu porte, conseguem, de alguma
forma, utilizar estas boas prticas disponveis no mercado.
Objetivo
O objetivo deste trabalho analisar como as empresas de mdio porte de tecnologia

esto posicionadas frente utilizao do framework Cobit. Devido ao fato do COBIT
ser utilizado para Governana de TI, queremos verificar o grau de adoo deste
modelo nestas empresas.
13
Problema
Baseando-se no modelo de maturidade do COBIT, como identificar e classificar, de

forma macro, a utilizao deste modelo pelas empresas de mdio porte de TI?
Metodologia
A pesquisa realizada baseada em um estudo de caso, possui natureza descritiva e

contempla duas etapas: uma quantitativa e outra de natureza qualitativa, tendo como
apoio para seu desenvolvimento um estudo de caso.
Soares (2010) define o estudo de caso como o estudo de algo minucioso e profundo
de um ou mais objetos.
Para estabelecermos o porte da empresa, utilizamos o critrio definido pelo Sebrae

(2010), para empresas de Comrcio e Servios. Nesta definio ficou institudo que
o nmero de funcionrios de 50 a 99 empregados. Este critrio no possui
fundamentao legal e, para fins legais, vale o que est previsto na legislao do
Simples (Lei 123 de 15 de Dezembro de 2006).
O mtodo utilizado ser o hipottico-dedutivo onde acredita-se que:
Apesar de ser uma metodologia consagrada e conhecida mundialmente por

profissionais da rea de Tecnologia da Informao, acreditamos que poucos
gestores deste segmento, principalmente da rea de prestao de servios,
implantam estas melhores prticas em suas prprias empresas. Normalmente
este tipo de implantao vendido com servio e acaba por no ser
implantada internamente.
Por tambm possuir uma demanda muito grande de tempo para implantao
e controle, acreditamos que este seja um fator que interfira na deciso de
14
empresas de pequeno e mdio porte, por possurem estrutura enxuta de

pessoal.
Yin (2001) define estudo de caso como sendo uma investigao cientfica que
analisa um fenmeno contemporneo dentro de seu contexto da vida real,
especialmente quando os limites entre o fenmeno e o contexto no esto
claramente definidos. Uma situao tecnicamente nica enfrentada, haver muito
mais variveis de interesse do que pontos de dados e, como resultado, baseia-se
em vrias fontes de evidncia beneficiando-se do desenvolvimento prvio de
proposies tericas para conduzir assim a coleta e a anlise dos dados.
A etapa quantitativa permitiu identificar o grau de aderncia destas empresas aos

processos do COBIT verso 4.1. J na etapa qualitativa buscou-se identificar como
as empresas de mdio porte de tecnologia esto estruturadas sobre os processos do
COBIT, assim como destacar e identificar os processos com maior grau de adoo.
A amostra de empresas para nosso estudo envolveu trs empresas do segmento de

tecnologia, de mdio porte, sendo:
Uma empresa de telecomunicaes, situada em So Paulo, com rede de

atendimento exclusiva e limitada atualmente aos bairros do Brs, Pari, Bom
Retiro e Belm, sendo neste trabalho definida como empresa Alfa, pois por
solicitao da empresa, seu nome no pode ser divulgado.
Uma empresa prestadora de servios para grandes empresas de
Telecomunicaes. A empresa, com sede em Alphaville-Barueri, presta
servios que possibilitam gesto de interconexo, gerenciamento de receitas
e operaes, alm de servios de portabilidade numrica para operadoras de
todo o Brasil. Por no poder ter seu nome divulgado, foi definida como
empresa Beta.
Uma empresa prestadora de servios de TI, especializada no
desenvolvimento de sistemas, aplicaes customizadas e consultoria de
processos de negcio. A empresa est situada no municpio de So Bernardo
do Campo, trabalha fortemente com parceiros de negcios e a maioria de
seus clientes est localizada na regio da Grande So Paulo. Neste trabalho
foi definida como empresa Gama.
15
A empresa Alfa possui atuao de destaque em So Paulo desde 2005 e atualmente

est passando por uma grande re-estruturao nos seus processos organizacionais.
Para isto, foram adotados o COBIT e o ITIL como frameworks para ajudar na
definio e criao de processos utilizando das melhores prticas de mercado.
Nesta fase inicial, foram criados processos relacionados ao Gerenciamento de Nvel

de Servio (DS1) e ao Gerenciamento de Mudanas (AI6).
A empresa Beta possui grande visibilidade nacional na prestao de servios de

portabilidade numrica e de telecomunicaes. A empresa vem reestruturando os
processos internos, com iniciativas de funcionrios que esto se capacitando para
poder melhorar os processos internos. A empresa vem aplicando as melhores
prticas ITIL e uma central de servios foi definida (DS8) com os seus respectivos
nveis de servio (DS1), acordado com o cliente. Os processos de nvel 1 esto bem
documentados, alm disso, suportam os processos de gerenciamento de mudana
(AI6 e AI7) e gerenciamento de problemas (DS10). Para projetos de grande porte, os
gerentes de projetos aplicam as melhores prticas do PMBOK (PO10).
A empresa Gama possui mais de 10 anos de presena no mercado de consultoria

de sistemas e processos. Atualmente vem trabalhando fortemente para melhorar a
qualidade no desenvolvimento de sistemas, no estabelecimento e garantia de prazos
e na melhoria contnua do suporte ps-implementao dos projetos. Entre seus
pontos fortes destaca-se a capacidade de identificar as melhores solues para seus
clientes, tanto do ponto de vista tecnolgico, quanto de negcios (AI1).
Como fonte de dados para a pesquisa foi utilizado um formulrio com 34 perguntas.
O formulrio em questo envolveu questes referentes a cada um 34 processos dos
quatro domnios do COBIT - Planejar e Organizar, Adquirir e Implementar, Entregar
e Suportar e Monitorar e Avaliar. O formulrio foi respondido atravs de entrevistas
realizadas com Gerentes de TI de cada uma das empresas. Foram realizadas
03(trs) entrevistas, uma para cada empresa, com os respectivos gestores de TI das
empresas Alfa, Beta e Gama. A preparao deste questionrio envolveu o estudo
aprofundado do framework COBIT.
16
As questes foram respondidas e pontuadas conforme os critrios de classificao

da Tabela 1. O modelo de classificao utilizado na Tabela 1 foi baseado no Modelo
de Maturidade do COBIT, sendo:
Tabela 1 Critrios de Pontuao

Pontuao Classificao
0 Inexistente
1 Inicial / Ad hoc
2 Repetvel, porm intuitivo
3 Processo Definido
4 Gerenciado e Mensurvel
5 Otimizado
Fonte: Elaborado pelos autores
Cada empresa foi analisada individualmente. A partir das respostas dos gestores
determinou-se o valor da mdia somando-se cada uma das 34 respostas e dividindo
pelo nmero total de perguntas. O resultado obtido foi arredondado usando a
seguinte regra: Caso a parte fracionria seja maior ou igual a meio (0,5), o valor
arredondado para cima, caso contrrio para baixo. Aps a obteno da mdia
arredondada, a empresa foi classificada segundo um nvel de maturidade
especificado na Tabela 2 Classificao de Nvel de Maturidade.
Tabela 2 Classificao de Nvel de Maturidade

Mdia (arredondada) Nvel de Maturidade
0 Nvel 0: No Aplicado
1 Nvel 1: Inicial / Ad hoc
2 Nvel 2: Repetvel, porm intuitivo
3 Nvel 3: Processo Definido
4 Nvel 4: Gerenciado e Mensurvel
5 Nvel 5: Otimizado
Com base nos resultados obtidos foram realizadas duas anlises para cada
empresa: por processo e por domnio do Cobit.
17
Para a tabulao dos dados, construo das tabelas e apresentao dos grficos foi
utilizado o software de planilhas eletrnicas Microsoft Office Excel 2007.
18
1. GOVERNANA
A Governana Corporativa (GC) surgiu devido a uma srie de escndalos na Europa

e nos Estados Unidos, onde envolveu diversas empresas, auditores e bancos de
investimentos. (LVARES; GIACOMETI; GUSSO, 2008).
Weill e Ross (2006, p.4) afirmam que a gravidade dos impactos financeiros destes
escndalos diminuiu a confiana dos investidores e aumentou a preocupao das
empresas em proteger seus stakeholders.
Rosenau (2000, p. 15, apud Gonalves 2010) destaca que governana no o

mesmo que governo, pois a governana se refere a atividades apoiadas em
objetivos comuns, que podem ou no derivar de responsabilidades legais e
formalmente prescritas e no dependem de nenhuma fora externa para que sejam
aceitas e venam qualquer tipo de resistncia. J governo, o contrrio.
O IBGC - Instituto Brasileiro de Governana Corporativa (2010), define que a

Governana Corporativa o sistema pelo qual as sociedades so dirigidas e
controladas envolvendo as melhores prticas e os relacionamentos entre o conselho,
a auditoria, os acionistas e os stakeholders.
lvares, Giacometi, Gusso (2008), afirmam que a necessidade e a busca do

fortalecimento de economias de mercado em todos os pases, fizeram com que a
governana corporativa seja definida como fator diferenciador para atrair
investimentos, tanto pblicos como privados.
Os princpios e praticas da boa Governana Corporativa aplicam-se a qualquer tipo

de organizao, independente do porte, natureza jurdica ou tipo de controle.
(IBGC, 2010).
Por possibilitar maior controle e confiabilidade a Governana Corporativa permite

que as empresas, independente de seu porte, possam atrair investidores para seus
negcios, pois, a transparncia e a organizao dos processos, motiva os acionistas
19
a apostarem e a investirem cada vez mais na empresa, pois conseguem ver, de

forma clara o ROI (Return Of Investiment).
Figura 1 Sistema de Governana Corporativa

Fonte: IBGC (2010)
Na figura 1, pode-se ver como funciona a estrutura do sistema de Governana das

organizaes, divididos em:
Propriedade (Scios)
Conselho de Administrao
Gesto
Auditoria Independente
Conselho Fiscal
Conduta e Conflito de Interesses
20
lvares, Giacometi, Gusso (2008), enfatizam que a boa governana est calcada em
princpios que inspiram e norteiam o funcionamento das empresas e outras
organizaes, lhes propiciando maior credibilidade e criao de valor, sendo
fundamental a adoo de princpios slidos e consagrados.
O IBGC (2010) define os princpios bsicos de Governana Corporativa, como

sendo:
Transparncia, que a obrigao de informar e disponibilizar para as partes

interessadas as informaes que sejam de seus interesses. Uma
transparncia adequada resulta em um clima de confiana.
Equidade, que se caracteriza pelo tratamento justo de todos os scios e
stakeholders.
Prestao de contas, no ingls chamado de accountability, que define que
todos os agentes de governana devem prestar contas de seus atos e
assumir toda e qualquer conseqncia dos mesmos.
Responsabilidade Corporativa, onde determina que os agentes de
governana devem zelar pela sustentabilidade das organizaes.
Segundo lvares, Giacometi, Gusso (2008), o desenvolvimento e o fortalecimento do

mercado de capitais no mundo inteiro, influencia positivamente a adoo de prticas
de Governana Corporativa.
Andrade e Rossetti (2010) afirmam que a fora maior que d sustentao ao

processo de adoo de GC a transio para esta nova era, onde formas viciadas
de financiamento dos investimentos estaro superadas, assim como os modos
questionveis da alta gesto.
Embora a Governana Corporativa tenha nascido com o propsito de fornecer maior

transparncia nas empresas de capital aberto, ela hoje entendida como fator
fundamental para o controle de qualquer organizao, pois proporciona a estrutura
que possibilita o estabelecimento dos objetivos da sociedade e a forma cumpri-los e
supervision-los.
21
1.1. Governana Corporativa no Brasil
Segundo lvares, Giacometi, Gusso (2008), os modelos de GC foram criados a

partir das diferentes caractersticas e concepes dos mais variados sistemas de GC
mundial. Os padres concebidos nos Estados Unidos, Inglaterra, Alemanha e Japo
os modelos que exportaram caractersticas para todos os outros pases, sendo:
Modelo americano e ingls baseado no mercado;

Modelo alemo e japons tendo como estrutura central os bancos.
Victria (2010), caracteriza as diferenas entre os modelos acima conforme o quadro

1:
Sistema Anglo-Saxo Sistema Nipo-germnico

(modelo americano e ingls) (modelo alemo e japons)
Participao acionria pulverizada Maior concentrao acionria
Estrutura de controle externo empresas com Estrutura de controle interno pequeno grupo
grande nmero de acionistas, estruturas de de acionistas detm maior parte das aes,
controle diludas. estruturas de poder concentradas
Alta liquidez Baixa liquidez
Criao de valor voltada para os acionistas Buscam equilbrio entre o interesse dos
acionistas e outros grupos interessados na
empresa
Exige um nvel elevado de transparncia Nvel de transparncia pouco a cima do legal
Estrutura de capital predomina empresas Estrutura de capital destacam-se empresas
financiadas com recursos de acionistas (capital financiadas por meio de emprstimos e
prprio) financiamentos de credores
O mercado de capitais ativo e desenvolvido Mercado de capitais menos lquidos e

responsvel pelo monitoramento da desenvolvidos, os investidores institucionais
administrao das empresas no tm papel ativo
O conflito de interesse ocorre entre O conflito da agncia acontece entre acionistas
administrao e acionistas. controladores e acionistas minoritrios.
Quadro 1 Comparativo entre modelos de GC mundial

Fonte: Adaptado de Victria (2010).
Por meio do quadro 1, pode-se observar que os modelos apresentam definies

ajustadas conforme as caractersticas de cada pas de origem, tanto histricas e
culturais quanto legais e econmicas.
22
Victria (2010) aponta que devido ao fenmeno da globalizao, uma certa

convergncia entre os dois sistemas acontece, quando o modelo nipo-germnico
adota caractersticas do anglo-saxo e vice-versa.
No Brasil no tende a ser muito diferente, pois estamos diretamente envolvidos com
todos estes pases e tambm globalizao. Segundo o IBGC (2010), nos ltimos
cinco anos, houveram uma srie de mudanas no ambiente organizacional
brasileiro, entre os mais importantes esto:
Renascimento do mercado de capitais;

Grande nmero de novas empresas listando seu capital na Bolsa de valores;
Aparecimento de empresas com capital disperso e difuso;
Fuses e aquisies de grandes companhias;
Reveses empresariais de veteranas e novatas;
Crise econmica mundial.
Todos estes fatores reforaram a necessidade da implementao das boas prticas

de Governana Corporativa, inclusive, no ambiente brasileiro.
Segundo lvares, Giacometi, Gusso (2008), o modelo de GC da Empresa Brasileira

est alinhado com a filosofia da Fundao Dom Cabral (FDC), que a de contribuir
para o desenvolvimento da sociedade por meio da educao e capacitao de
executivos, empresrios e empresas.
A concepo de GC da FDC est em algumas premissas, dentre elas, podemos

destacar (lvares, Giacometi, Gusso, 2008, p.53):
O objetivo das corporaes proporcionar retornos aos proprietrios;

O conceito de valor da empresa est associado capacidade de gerao de
caixa de forma sustentvel no longo prazo;
O atendimento dos interesses dos acionistas e investidores condio
fundamental para atender aos demais stakeholders;
A evidncia de que boas prticas de governana contribuem para a gerao
de valor para os acionistas e para a sociedade;
23
A avaliao do estgio de maturidade e eficcia das prticas proporciona um

diagnstico mais prximo da realidade se feito por meio de entrevistas
estruturadas com mltiplos agentes.
Com base nestas informaes, nota-se que a adeso s melhores prticas de

governana corporativa tem avanado, e no Brasil, o que se observa tambm,
principalmente nas novas condies que vm se estabelecendo nestes ltimos anos.
1.2. Governana de TI
A Governana de TI parte integrante da Governana Corporativa. A necessidade

em avaliar a TI, gerenciar seus riscos e ter maior controle, so fatores de grande
importncia e participao na governana corporativa. Weill e Ross (2006, p.8)
afirma que para governar a TI, necessrio primeiramente aprender muito com uma
boa governana financeira e corporativa.
Valor, risco e controle constituem a essncia da governana de TI. COBIT 4.1

(2010, p. 7).
Governana
Corporativa
Governana
de TI
Figura 2 Relao Governana Corporativa e Governana de TI

24
O COBIT 4.1 (2010) identifica que na maioria das organizaes, a tecnologia e a

informao so os bens mais valiosos, porm muitas vezes o menos
compreendido.
Governana de TI a especificao dos direitos decisrios e do framework de

responsabilidades para estimular comportamentos desejveis na utilizao de TI.
(Weil e Ross, 2006, p8).
J o COBIT 4.1 (2010) define Governana de TI como sendo as estruturas

organizacionais e os processos o que garante que a TI da empresa sustentar e
estender as estratgias e objetivos da organizao.
[..] a governana de TI integra e institucionaliza boas prticas para garantir que a

rea de TI da organizao suporte os objetivos de negcios. (COBIT 4.1, 2010, p.
7).
Segundo Weil e Ross (2006, p8), a administrao o processo de tomar e

implementar decises, j a governana quem determina quem toma as decises.
Esta definio j pode ser tida como uma das principais questes referentes
Governana de TI: Quais decises devem ser tomadas e quem tem
responsabilidade em tom-las?
Fernandes e Abreu (2008, p. 14) concluem que a Governana de TI busca o

compartilhamento de decises de TI com os demais dirigentes da organizao,
assim como tambm estabelece as regras, a organizao e os processos que
nortearo o uso da tecnologia.
Com base nestas definies, pode-se concluir que o principal objetivo da

Governana de TI alinhar a TI com os requisitos de negcio da Organizao.
Muito se fala sobre o alinhamento estratgico entre os negcios e a TI e para melhor

compreenso, importante entender o que significa alinhamento estratgico.
Segundo Fernandes e Abreu (2008), o alinhamento estratgico de negcios e TI visa

transformar a estratgica de negcio em estratgias e aes de TI, que garantam
que os objetivos de negcio sejam apoiados.
25
Este alinhamento deve considerar todos os princpios de TI, que podem ser definidos
como (Weil & Ross e Broadbent & Kitzis, apud Fernandes e Abreu, 2008):
Papel da TI para a empresa;

Informaes e dados;
Padres de arquitetura e servios de TI;
Comunicaes;
Ativos de TI.
Weil e Ross (2006) criaram uma relao entre as cinco decises mais comuns de TI
relacionados arqutipos para identificar o tipo de pessoa envolvida para tomar uma
deciso de TI. Eles utilizaram arqutipos polticos provocativos, pois, a maioria dos
administradores se identifica com estes esteretipos.
Em seus estudos Weil e Ross (2006) definem que uma das principais incgnitas da
Governana de TI estabelecer quem toma qual deciso.
Porm, com base nas definies de cada arqutipo, pode-se pr-estabelecer os

nveis de responsabilidade decisria de alguns arqutipos, conforme o quadro 2
abaixo:
Estratgia de
Necessidades
Deciso Princpios de Arquitetura infra- Investimentos
de aplicaes
TI de TI estrutura de em tI
de negcio
Arqutipo TI
Monarquia
X
de negcio
Monarquia de TI X X
Feudalismo
Federalismo
Duoplio X X
Anarquia
No se sabe X X
Quadro 2 Matriz de arranjos de governana

Fonte: Adaptado de Weil e Ross (2006, p.12)
Os arqutipos podem ser identificados como:

26
Monarquia de negcio. Altos gerentes que tomam decises que afetam a

empresa como um todo, decises-chave, como por exemplo as de
investimentos em TI.
Monarquia de TI. Profissionais e especialistas de TI. As monarquias de TI
podem ser implementadas de diversas maneiras, porm todas relacionadas
ao que diz respeito arquitetura de TI e estratgias de infra-estrutura.
Feudalismo. Cada unidade de negcio toma suas decises individualmente.
Por este fato, fica difcil relacionar com uma nica responsabilidade decisria
e no facilita a tomada de deciso da empresa como um todo.
Federalismo. Seria a combinao entre o centro corporativo e as unidades de
negcio independentes. Este sem sombra de dvidas o mais difcil
arqutipo para a tomada de decises.
Duoplio. Arranjo entre duas partes onde as decises representam um
consenso bilateral. Normalmente feito pelo grupo de TI e algum outro grupo
(alta gerncia ou lderes de unidades de negcio). Arqutipo de difcil
relacionamento com uma determinada tomada de deciso.
Anarquia. Decises tomadas com base apenas em necessidades locais.
Arqutipo de difcil relacionamento com uma determinada tomada de deciso.
Por meio das anlises acima, pode-se notar que os princpios de TI e a necessidade
de aplicaes de negcio so fatores decisrios, que, no possuem nenhum
arqutipo diretamente relacionado e por isto, tornam-se um dos principais desafios
da Governana de TI.
Alm deste, a Governana de TI possui outros desafios, tais como:
Manter a TI em funcionamento;
Relao entre custos e benefcios;
Conformidade com leis e regulamentos;
Preocupao com a segurana;
Concluso dos projetos dentro dos prazos estipulados.
Uma Governana de TI bem implementada, controlada, medida e avaliada ter como

grandes resultados a maior transparncia das informaes, servios de tecnologia
mais confiveis, confiana da alta gerncia e melhor retorno de investimento.
27
Para a implementao da Governana de TI alguns frameworks de apoio

consagrados so utilizados, pois, tem por objetivo estabelecer as melhores prticas
de governana para qualquer organizao, independente do seu porte. Um exemplo
destes frameworks o COBIT, que foi utilizado como ferramenta para elaborao
deste trabalho e durante o desenvolvimento desta pesquisa se encontra na verso
4.1.
1.2.1. Princpios de liderana para Governana de TI
Para Weill e Ross (2006) com bases nos seus estudos, definem os dez princpios
mais importantes de liderana para governana de TI:
Formule ativamente a governana: exige que os executivos seniores

assumam a liderana e dediquem recursos, ateno e suporte a processos.
Formular a governana dar sustentabilidade ao processo de governana

como um todo e ser capaz de liderar times que vo de encontro com os
objetivos e metas estabelecidas pela organizao.
Saiba quando reformular: repensar a estrutura da governana requer que

indivduos aprendam novos papis e relacionamentos. Aprender leva tempo.
Por isso, a reformulao da governana deve ser infreqente.
Entender como funciona a estrutura da governana na organizao e saber

identificar se eventuais mudanas so necessrias, so tarefas que devem
ser pensadas com extrema importncia em projetos destes tipos. O lder tem
que analisar e prover com transparncia qualquer tipo de mudana no
ambiente, para que o mesmo no se cause caos e sempre siga no caminho
dos objetivos da empresa.
Envolva os administradores seniores: CIOs devem ser efetivamente

envolvidos na governana de TI para haver sucesso. Outros administradores
28
seniores devem tomar parte de comits, nos processos de aprovao e nas

avaliaes de desempenho.
O envolvimento de todos da gerncia visa agregar valor governana TI,

envolvendo-se basicamente em decises estratgicas. Outro ponto
importante saber como contribuir, por isso sempre importante saber as
responsabilidades de cada envolvido.
Faa escolhas: a boa governana, como boa estratgia, requer escolhas. No

possvel que a Governana de TI atenda a todas as metas, mas a
governana pode e deve revelar metas conflitantes para debate.
Administrar estes conflitos importante na organizao para que se chegue a

um nico objetivo. Metas conflitantes podem gerar interpretaes diferentes, e
por meio disso, prejudicar a governana de TI na empresa, para isso, a
administrao de conflitos se torna uma ferramenta primordial para chegar a
uma soluo.
Esclarea o processo de tratamento de excees: pelas excees que as

empresas aprendem. Em termos de TI, as excees desafiam o status quo,
particularmente a arquitetura e a infra-estrutura de TI. Algumas solicitaes de
exceo so frvolas, mas a maioria decorre de um desejo legtimo de atender
s necessidades do negcio.
Definir um processo para tratamento de excees visa estabelecer regras e

devem ser analisadas com critrios, pois podem acrescentar valor ao negcio
e impactar diretamente TI.
Oferea os incentivos certos: sistema de incentivo e recompensa nas

empresas est bem tratado e compreendido.
A governana de TI deve ter polticas bem definidas na questo de incentivo,

alm disso, deve estar bem alinhada com a prpria governana.
Atribua a propriedade e a responsabilidade pela Governana de TI: como toda

iniciativa organizacional, a Governana de TI deve ter um dono e envolver
29
responsabilidades. Em ltima instncia, o conselho responsvel por toda a

governana, mas ele presumir ou nomear um indivduo ou um grupo
responsvel pela formulao, implementao e desempenho da Governana
de TI.
A governana de TI deve ter dono(s), para que este grupo ou pessoal

responsvel seja o ponto focal para a disseminao do projeto de
governana. Este pronto focal deve estar em constante dilogo com os
setores envolvidos da empresa.
Formule a governana em mltiplos nveis organizacionais: em empresas de

grande porte mltiplas unidade de negcio necessrio considerar a
Governana de TI em vrios nveis.
Dividir em nveis organizacionais em empresas de grande porte pode ser um

facilitador para que a governana chegue ao seu objetivo. Nesta diviso,
importante que os nveis superiores devam prover condies de trabalho para
nveis inferiores.
Proporcione transparncia e educao: quanto maior for a transparncia dos

processos de governana, maior ser a confiana na governana.
Transparncia em processos significa um maior entendimento do mesmo e

conseqentemente, um maior nmero de seguidores deste processo.
Implemente mecanismos comuns entre os seus ativos principais: empresas

que usam os mesmos mecanismos para governar mais de um dos seis ativos
principais tm melhor governana. Por exemplo, comits executivos que
tratam de todas as questes da empresa, inclusive a TI, criam sinergias
considerando mltiplos ativos.
30
2. COBIT
O COBIT (Control Objectives for Information and related Technology) uma melhor
prtica disponvel no mercado para rea de governana de Tecnologia da
Informao.
Segundo Fernandes e Abreu (2008), o framework foi criado em 1994 pela ISACF
(Information Systems Audit and Control Foundation) a partir do seu conjunto inicial
de objetivos de controle e vem evoluindo atravs da incorporao de padres
internacionais tcnicos, profissionais, regulatrios e especficos para processos de
TI. Em 1998, foi publicada a sua segunda edio, contendo uma reviso nos
objetivos de controle de alto nvel e detalhados, e mais um conjunto de ferramentas
e padres para implementao. A terceira edio foi publicada em 2000 com o
objetivo de promover um melhor entendimento e a adoo dos princpios de
Governana de TI. O modelo evoluiu em 2005 para a verso 4.0 atravs de prticas
e padres mais maduros (COSO, ITIL e ISSO/IEC 17799). Em 2007 houve uma
atualizao incremental (verso 4.1) cujo foco foi orientado a uma maior eficcia dos
objetivos de controle e dos processos de verificao e divulgao de resultados.
O modelo j tem quase duas dcadas e ao longo desse tempo, foi revisado pelos
rgos criadores e est em constante evoluo para se aderir s melhores prticas
que vem surgindo no mercado mundial.
Segundo COBIT 4.1 (2010), os pilares em que as boas prticas COBIT sustentam a
Governana de TI so:
Alinhamento Estratgico
Entrega de valor
Gesto de Recursos
Gesto de Risco
Mensurao de Desempenho
31
Figura 3 - rea foco do COBIT

Fonte: COBIT 4.1 (2010)
2.1. Alinhamento Estratgico
Para Fernandes e Abreu (2008), o alinhamento estratgico garante a ligao entre o

plano de negcio e o plano de TI.
Alinhamento estratgico foca em garantir a ligao entre os planos de negcios e

TI, definindo, mantendo e validando a proposta de valor de TI, alinhando as
operaes de TI com as operaes da organizao (COBIT 4.1, 2010, p.08).
Esta rea foco na governana de TI visa alinhar os planos, estratgico e de TI, com
intuito de a TI estar totalmente aderente aos objetivos de negcio da organizao,
ou seja, TI tem que estar preparada para que qualquer requisito de negcio no seja
um problema para TI propriamente dita, nem tampouco ser um impasse para que o
negcio evolua. O alinhamento estratgico visa agregar valor aos produtos e
servios da empresa, auxilia no posicionamento competitivo da organizao alm de
ajudar no uso otimizado dos recursos.
32
2.2. Entrega de Valor
Para o COBIT 4.1 (2010, p.08), entrega de valor :
A execuo da proposta de valor de TI atravs do ciclo de entrega,

garantindo que TI entrega os prometidos benefcios previstos na estratgia
da organizao, concentrando em otimizar custos e provendo o valor
intrnseco de TI.
Nesta rea foco perceptvel o principal objetivo da TI executar e garantir a

entrega dos servios que atendem os requisitos de negcio, fazendo com que a TI
cumpra seu papel na estratgia da organizao. A entrega com qualidade em
conjunto de prazo e custo bem definidos se torna princpios bsicos desta rea.
Pode-se entender que estes princpios so: vantagem competitiva, satisfao do
cliente, produtividade, entre outros.
2.3. Gesto de Recursos
Segundo Fernandes e Abreu (2008, p.176), gesto de recursos :
Otimizao dos investimentos e da gesto adequada dos recursos crticos

de TI (aplicaes, informaes, infra-estrutura e pessoas), essenciais para
fornecer os subsdios de que a empresa necessita para cumprir os
objetivos.
COBIT4.1 (2010, p.08) define gesto de recursos como:
Refere-se melhor utilizao possvel dos investimentos e o apropriado

gerenciamento dos recursos crticos de TI: aplicativos, informaes, infra-
estrutura e pessoas. Questes relevantes referem-se otimizao do
conhecimento e infra-estrutura.
Gesto de Recursos a utilizao eficiente dos recursos de TI citada anteriormente,

com objetivo de cumprir as necessidades e requisitos da organizao. Gerir recursos
33
pode-se entender como maximizar a utilizao dos ativos de TI e conseqentemente

otimizar os custos relacionados aos mesmos. TI deve assegurar que existe
capacidade suficiente de seus recursos para atender e suportar o negcio e desta
forma, terceirizar pode ser um soluo para rea de TI para suportar a velocidade da
mudana que a organizao exige.
2.4. Gesto de Risco
Para o COBIT 4.1 (2010, p.08), gesto de risco:
[...] requer a preocupao com riscos pelos funcionrios mais experientes

da corporao, um entendimento claro do apetite de risco da empresa e dos
requerimentos de conformidade, transparncia sobre os riscos significantes
para a organizao e insero do gerenciamento de riscos nas atividades
da companhia.
Gerenciar riscos fundamental para qualquer organizao no mundo atual, porm

deve-se estar preparado para tal misso. Riscos sistmicos, de informao,
tecnolgicos so exemplos prticos que a rea de TI tem que dar ateno e
proteo para que a rea de negcio flua normalmente. Para esta rea foco, a
preservao dos ativos de TI uma regra que deve ser seguida, para isso, o
entendimento sobre os riscos, seus impactos e probabilidades so de extrema
importncia para a organizao, alm disso, ter um plano de ao auxilia a empresa
a gerenciar estes riscos de forma controlada, tranqila e muito segura.
2.5. Mensurao de Desempenho
Segundo COBIT 4.1 (2010, p.08), mensurao e desempenho:

34
[...]acompanha e monitora a implementao da estratgia, trmino

do projeto, uso dos recursos, processo de performance e entrega dos
servios, usando, por exemplo, balanced scorecards que traduzem
as estratgia em aes para atingir os objetivos, medidos atravs de
processos contbeis convencionais.
Esta rea foco tem como objetivo o acompanhamento e monitorao da

implementao da estratgia, dos projetos em andamento da organizao, da
utilizao dos recursos, entrega de servios entre outros atravs de medies e
extrao de indicadores de desempenho.
2.6. Princpios bsicos do COBIT
O COBIT visa ter um maior alinhamento entre as reas de negcio e tecnologia da

informao para que os stakeholders possam ser atendidos e abastecidos de
informaes importantes para o sucesso da organizao, alm disso, fornece
indicadores de desempenho para identificar se a empresa est caminho daquilo
que foi planejado. O modelo totalmente voltado para o negcio e est baseado nos
seguintes princpios:
35
Figura 4 - Princpios bsicos do COBIT

Os servios que fornecem informaes necessrias para que a organizao atinja

seus objetivos so disponibilizados atravs de um conjunto de processos de TI que
utilizam recursos de TI. (Fernandes e Abreu, 2008, p.177).
Para assegurar o alinhamento da TI com os requisitos de negcios, o modelo COBIT

prev o gerenciamento e controle da informao. Essas informaes necessitam ter
critrios de controles, aos quais so definidos pelo COBIT 4.1 (2010) como:
Efetividade lida com a informao relevante e pertinente para o processo de

negcio bem como a mesma sendo entregue em tempo, de maneira correta,
consistente e utilizvel.
Eficincia relaciona-se com a entrega da informao atravs do melhor (mais
produtivo e econmico) uso dos recursos.
Confidencialidade est relacionada com a proteo de informaes
confidenciais para evitar a divulgao indevida.
Integridade relaciona-se com a fidedignidade e totalidade da informao bem
como sua validade de acordo os valores de negcios e expectativas.
36
Disponibilidade relaciona-se com a disponibilidade da informao quando

exigida pelo processo de negcio hoje e no futuro. Tambm est ligada
salvaguarda dos recursos necessrios e capacidades associadas.
Conformidade lida com a aderncia a leis, regulamentos e obrigaes
contratuais aos quais os processos de negcios esto sujeitos, isto , critrios
de negcios impostos externamente e polticas internas.
Confiabilidade relaciona-se com a entrega da informao apropriada para os
executivos para administrar a entidade e exercer suas responsabilidades
fiducirias e de governana.
A informao que transita dentro da organizao tem que ter critrios de

aceite, conforme prope o modelo COBIT, pois atravs da mesma, os gestores da
empresa podem tomar decises estratgicas e escolher rumos diferentes para a
organizao.
2.7. Domnios do COBIT
COBIT 4.1 (2010) divide o framework COBIT em 4 (quatro) domnios:
Planejar e Organizar (PO): Prov direo para entrega de solues (AI) e

entrega de servios (DS);
Adquirir e Implementar (AI): Prov solues e as transfere para tornarem-se
servios;
Entregar e Suportar (DS): Recebe as solues e as torna possveis de uso
pelo usurios finais.
Monitorar e Avaliar (ME): Monitora todos os processos para garantir que a
direo seja seguida.
37
Figura 5 Cubo COBIT

2.7.1 Planejar e Organizar
Para Fernandes e Abreu (2008, p.178) planejar e organizar:
[...] tm abrangncia estratgica e ttica e identifica as formas atravs das

quais TI pode contribuir melhor para o atendimento dos objetivos de
negcio, envolvendo planejamento, comunicao e gerenciamento em
diversas perspectivas.
Para COBIT 4.1 (2010, p.14):
[...] cobre a estratgia e as tticas, preocupando-se com a identificao da

maneira em que TI pode melhor contribuir para atingir os objetivos de
negcios. O sucesso da viso estratgica precisa ser planejado,
comunicado e gerenciado por diferentes perspectivas. Uma apropriada
organizao bem como uma adequada infra-estrutura tecnolgica devem
ser colocadas em funcionamento.
38
O planejamento e organizao so requisitos fundamentais para qualquer

organizao que tem objetivos bem definidos. COBIT 4.1 (2010), este domnio visa
auxiliar no alinhamento da estratgia de TI com a de negcios, analisar se a
empresa est obtendo um uso eficiente de seus recursos, deixar claro os objetivos
de TI, entre outros.
COBIT 4.1 (2010) divide este domnio em 10 processos e os define como:
PO1 Definir um plano estratgico de TI: necessrio para gerenciar todos

os recursos de TI em alinhamento com as prioridades e estratgias de
negcio. O plano estratgico deve melhorar o entendimento das partes
interessadas no que diz respeito a oportunidades e limitaes da TI, avaliar o
desempenho atual e esclarecer o nvel de investimento requerido. A
estratgia e as prioridades de negcio devem ser refletidas nos portflios e
executadas por meio de planos tticos de TI que estabeleam objetivos
concisos, tarefas e planos bem definidos e aceitos por ambos, negcio e TI.
PO2 Definir a arquitetura da informao: Esse processo melhora a
qualidade de deciso do gerenciamento certificando-se de que informaes
seguras e confiveis sejam fornecidas e permite racionalizar os recursos de
sistemas de informao para atender s estratgias de negcio de forma
apropriada. Esse processo de TI tambm necessrio para permitir um maior
grau de responsabilizao pela integridade e a segurana dos dados e
melhorar a efetividade e o controle do compartilhamento da informao
atravs das aplicaes e entidades.
PO3 Determinar direo tecnolgica: Os responsveis pelos servios de
informao determinam um direcionamento tecnolgico que suporta o
negcio. Isso demanda a criao de um plano de infra-estrutura tecnolgica e
um conselho de arquitetura que estabelea e gerencie expectativas claras e
realistas do que a tecnologia pode oferecer em termos de produtos, servios e
mecanismos de entrega.
PO4 Definir os processos, organizao e relacionamento de TI: Uma
organizao de TI definida considerando os requisitos de pessoal,
habilidades, funes, autoridade, papis e responsabilidades, rastreabilidade
e superviso. Um comit estratgico deve assegurar a superviso da Direo
39
de TI, e um ou mais comits dos quais as reas de negcio e TI participem

devem definir a priorizao dos recursos de TI em linha com as necessidades
do negcio.
PO5 Gerenciar o investimento em TI: Estabelecer e manter uma estrutura
para gerenciar os programas de investimentos em TI que contemple custos,
benefcios, prioridade dentro do oramento, um processo formal de definio
oramentria e gerenciamento de acordo com o oramento.
PO6 Comunicar objetivos e direcionamentos gerenciais: A Direo deve
desenvolver uma estrutura de controle de TI corporativo e definir e comunicar
polticas. Um programa de comunicao contnuo aprovado e apoiado pela
Direo deve ser implementado para articular misso, metas, polticas,
procedimentos etc.
PO7 Gerenciar os recursos humanos: Adquirir, manter e motivar uma fora
de trabalho competente para criar e entregar servios de TI para o negcio.
Isso alcanado seguindo prticas definidas e acordadas de recrutamento,
treinamento, avaliao de desempenho, promoo e desligamento.
PO8 Gerenciar qualidade: Um sistema da gesto da qualidade deve ser
desenvolvido, mantido, e que inclua padres e processos comprovados de
desenvolvimento e aquisio. Isso feito atravs de planejamento,
implementao e manuteno de um sistema de gesto de qualidade que
gere requisitos, procedimentos e polticas de qualidade claros. Requisitos de
qualidade devem ser definidos e comunicados em indicadores quantificveis e
atingveis. A melhoria contnua pode ser alcanada por constante
monitoramento, anlise e atuao sobre desvios e na comunicao dos
resultados s partes interessadas.
PO9 Avaliar e gerenciar riscos de TI: Este processo documenta um nvel
comum e acordado de riscos de TI, estratgias de mitigao e riscos
residuais. Qualquer impacto em potencial nos objetivos da empresa causado
por um evento no planejado deve ser identificado, analisado e avaliado.
Estratgias de mitigao de risco devem ser adotadas para minimizar o risco
residual a nveis aceitveis.
PO10 Gerenciar projetos: Este processo deve assegurar a correta
priorizao e a coordenao de todos os projetos. O processo deve incluir um
40
plano mestre, atribuio de recursos, definio dos resultados a serem

entregues, aprovao dos usurios, uma diviso por fases de entrega,
garantia da qualidade, um plano de teste formal e uma reviso ps-
implementao para assegurar a gesto de risco do projeto e a entrega de
valor para o negcio.
2.7.2 Adquirir e Implementar
Para Fernandes e Abreu (2008, p.178) adquirir e implementar:
[...] cobre a identificao, desenvolvimento e/ou aquisio de solues de

TI para executar a estratgia de TI estabelecida, assim como a sua
implementao e integrao junto aos processos de negcio. Mudanas e
manutenes em sistemas existentes tambm esto cobertas por este
domnio, para garantir a continuidade dos respectivos ciclos de vida.
AI1 Identificar solues automatizadas: A necessidade de uma nova

aplicao ou funo requer uma anlise prvia aquisio ou ao
desenvolvimento para assegurar que os requisitos de negcio sejam
atendidos atravs de uma abordagem eficaz e eficiente. Este processo
contempla a definio das necessidades, considera fontes alternativas, a
reviso de viabilidade econmica e tecnolgica, a execuo das anlises de
risco e de custo-benefcio e a obteno de uma deciso final por
desenvolver ou comprar.
AI2 Adquirir e manter software: As aplicaes devem ser disponibilizadas
em alinhamento com os requisitos do negcio. Este processo contempla o
projeto das aplicaes, a incluso de controles e requisitos de segurana
apropriados, o desenvolvimento e a configurao de acordo com padres.
AI3 Adquirir e manter infra-estrutura tecnolgica: este processo requer uma
abordagem planejada de aquisio, manuteno e proteo da infra-estrutura
41
em alinhamento com as estratgias tecnolgicas acordadas e o fornecimento

de ambientes de desenvolvimento e teste.
AI4 Viabilizar operao e utilizao: Este processo requer a elaborao de
documentao e manuais para usurios e para TI e a promoo de
treinamentos para assegurar a operao e uso apropriado das aplicaes e
infra-estrutura.
AI5 Adquirir recursos de TI: Recursos de TI, incluindo pessoas, hardware,
software e servios precisam ser adquiridos. Isso requer a definio e a
aplicao de procedimentos de aquisio, a seleo de fornecedores, o
estabelecimento de arranjos contratuais e a aquisio propriamente dita.
AI6 Gerenciar mudanas: Todas as mudanas, incluindo manutenes e
correes de emergncia, relacionadas com a infra-estrutura e as aplicaes
no ambiente de produo so formalmente gerenciadas de maneira
controlada. As mudanas (incluindo procedimentos, processos, parmetros de
sistemas e de servio) devem ser registradas, avaliadas e autorizadas antes
da implementao e revisadas em seguida, tendo como base os resultados
efetivos e planejados.
AI7 Instalar e aprovar solues e mudanas: Novos sistemas precisam ser
colocados em operao uma vez concludo seu desenvolvimento.
necessria a realizao de testes apropriados em um ambiente dedicado,
com dados de teste relevantes, definio de instrues de implantao e
migrao, planejamento de liberao e mudanas no ambiente de produo e
uma reviso ps-implementao.
2.7.3 Entregar e Suportar
[...] cobre a entrega propriamente dita dos servios requeridos, incluindo

gerenciamento de segurana e continuidade, suporte aos servios para os usurios,
gesto de dados e da infra-estrutura operacional.(Fernandes e Abreu, 2008, p.179).

42
DS1 Definir e gerenciar nveis de servio: Este processo tambm inclui

monitoramento e relatrio oportuno s partes interessadas quanto ao
atendimento dos nveis de servio. Este processo permite o alinhamento entre
os servios de TI e os respectivos requisitos do negcio.
DS2 Gerenciar servios terceirizados: Esse processo realizado definindo-
se claramente os papis, responsabilidades e expectativas nos acordos de
terceirizao bem como revisando e monitorando tais acordos quanto
efetividade e conformidade. A gesto eficaz dos servios terceirizados
minimiza os riscos de negcio associados aos fornecedores que no
cumprem seu papel.
DS3 Gerenciar desempenho e capacidade: Esse processo inclui a previso
de necessidades futuras com base em requisitos de carga de trabalho,
armazenamento e contingncia. Esse processo assegura que os recursos de
informao que suportam os requisitos do negcio estejam sempre
disponveis.
DS4 Garantir a continuidade dos servios: Prover a continuidade dos
servios de TI requer o desenvolvimento, manuteno e teste de um plano de
continuidade de TI, armazenamento de cpias de segurana (backup) em
instalaes remotas (offsite) e realizar treinamentos peridicos do plano de
continuidade.
DS5 Garantir segurana dos sistemas: Esse processo inclui o
estabelecimento e a manuteno de papis, responsabilidades, polticas,
padres e procedimentos de segurana de TI. A gesto de segurana inclui o
monitoramento, o teste peridico e a implementao de aes corretivas das
deficincias ou dos incidentes de segurana.
DS6 Identificar e alocar recursos: Este processo contempla a construo e a
operao de um sistema para capturar, alocar e reportar os custos de TI aos
usurios dos servios. Um sistema de alocao justo permite empresa
tomar decises mais embasadas sobre o uso dos servios.
DS7 Educar e treinar usurios: A educao efetiva de todos os usurios de
sistemas de TI, inclusive daqueles dentro da prpria TI, requer a identificao
das necessidades de treinamento de cada grupo de usurio. Como
complemento identificao dessas necessidades, esse processo
43
compreende a definio e a execuo de uma estratgia eficaz de

treinamento e medio dos resultados.
DS8 Gerenciar central de servios e incidentes: Esse processo inclui a
implementao de uma central de servios capacitada para o tratamento de
incidentes, incluindo registro, encaminhamento, anlise de tendncias, anlise
de causa-raiz e resoluo.
DS9 Gerenciar configurao: Esse processo inclui a coleta inicial das
informaes de configurao, o estabelecimento de um perfil bsico, a
verificao e a auditoria das informaes de configurao e a atualizao do
repositrio de configurao conforme necessrio.
DS10 Gerenciar problemas: O processo de gerenciamento de problemas
contempla a identificao de recomendaes para melhoria, manuteno dos
registros de problemas e reviso da situao das aes corretivas. Um
processo efetivo de gerenciamento de problemas melhora os nveis de
servio, reduz os custos e aumenta a convenincia e a satisfao do cliente.
DS11 Gerenciar dados: O processo de gerenciamento de dados contempla
o estabelecimento de procedimentos efetivos para controlar a biblioteca de
mdia, cpia de segurana (backup), recuperao de dados e a dispensa de
mdias de forma adequada.
DS12 Gerenciar o ambiente fsico: O processo de gerenciamento do
ambiente fsico inclui a definio dos requisitos do local fsico, a escolha de
instalaes apropriadas, o projeto de processos eficazes de monitoramento
dos fatores ambientais e o gerenciamento de acessos fsicos.
DS13 Gerenciar operaes: Este processo inclui a definio de polticas e
procedimentos de operaes para o gerenciamento eficaz do processamento
agendado, proteo de resultados sigilosos, monitoramento de infra-estrutura
e manuteno preventiva de hardware.
2.7.4 Monitorar e Avaliar

44
Para Fernandes e Abreu (2008, p.179) monitorar e avaliar:
[...] visa assegurar a qualidade dos processos de TI, assim como a sua
governana e conformidade com os objetivos de controle, atravs de
mecanismos regulares de acompanhamento, monitorao de controles
internos e de avaliaes internar e externas.
ME1 Monitorar e avaliar o desempenho da TI: Esse processo inclui a

definio de indicadores de desempenho relevantes, informes de
desempenho sistemticos e oportunos e uma pronta ao em relao aos
desvios encontrados.
ME2 Monitorar e avaliar os controles internos: Esse processo inclui o
monitoramento e reporte das excees de controle, dos resultados de auto-
avaliao e avaliao de terceiros.
ME3 Assegurar conformidade com requisitos externos: Esse processo inclui
identificar os requisitos de conformidade, otimizar e avaliar a resposta,
assegurar que os requisitos sejam atendidos e integrar os relatrios de
conformidade de TI com os das reas de negcios.
ME4 Fornecer governana para TI: O estabelecimento de uma efetiva
estrutura de governana envolve a definio das estruturas organizacionais,
dos processos, da liderana, dos papis e respectivas responsabilidades para
assegurar que os investimentos corporativos em TI estejam alinhados e sejam
entregues em conformidade com as estratgias e os objetivos da
organizao.
2.8. Modelos de Maturidade
Segundo o COBIT 4.1 (2010), o modelo de maturidade para o gerenciamento e

controle dos processos de TI baseado num mtodo de avaliar a organizao,
permitindo que ela seja pontuada de um nvel de maturidade no-existente (0) a
45
otimizado (5). Este enfoque derivado do modelo de maturidade do Software

Engineering Institute (SEI) definido para a maturidade da capacidade de
desenvolvimento de software.
Este modelo foi estabelecido em nveis e para cada um dos 34 processos, possvel
aplicar este modelo.
COBIT 4.1 (2010) define e conceitua estes cinco nveis como:
0 inexistente Completa falta de um processo reconhecido. A empresa nem

mesmo reconheceu que existe uma questo a ser trabalhada.
1 inicial / Ad hoc Existem evidncias que a empresa reconheceu que existem

questes e que precisam ser trabalhadas. No entanto, no existe processo
padronizado; ao contrrio, existem enfoques Ad Hoc que tendem a ser aplicados
individualmente ou caso-a-caso. O enfoque geral de gerenciamento
desorganizado.
2 repetvel, porm intuitivo Os processos evoluram para um estgio onde

procedimentos similares so seguidos por diferentes pessoas fazendo a mesma
tarefa. No existe um treinamento formal ou uma comunicao dos procedimentos
padronizados e a responsabilidade deixada com o indivduo. H um alto grau de
confiana no conhecimento dos indivduos e conseqentemente erros podem
ocorrer.
3 Processo definido Procedimentos foram padronizados, documentados e

comunicados atravs de treinamento. mandatrio que esses processos sejam
seguidos; no entanto, possivelmente desvios no sero detectados. Os
procedimentos no so sofisticados, porm, existe a formalizao das prticas
existentes.
4 Gerenciado e Mensurvel A gerencia monitora e mede a aderncia aos

procedimentos e adota aes onde os processos parecem no estar funcionando
muito bem. Os processos esto debaixo de um constante aprimoramento e fornecem
boas prticas. Automao e ferramentas so utilizadas de uma maneira limitada ou
fragmentada.
46
5 otimizado Os processos foram refinados a um nvel de boas prticas, baseado

no resultado de um contnuo aprimoramento e modelagem da maturidade como
outras organizaes. TI utilizada como um caminho integrado para automatizar o
fluxo de trabalho, provendo ferramentas para aprimorar a qualidade e efetividade,
tornando a organizao rpida em adaptar-se.
Segundo Fagundes (2004), a partir destes nveis o COBIT criou um roteiro:
Onde a organizao est hoje

O atual estgio de desenvolvimento da indstria (best-in-class)
O atual estgio dos padres internacionais
Aonde a organizao quer chegar
2.9. Indicadores
Fernandes e Abreu (2008) demonstram, em trs nveis, o que o negcio espera da

TI (metas de TI), o que o processo de TI precisa entregar para suportar os objetivos
da TI (metas de processos) e o que precisa acontecer dentro do processo para que
o desempenho requerido seja atingido (metas de atividades).
2.9.1 KGI Key Goal Indicators (Indicadores de metas ou objetivos)
Para Fagundes (2004) os indicadores de objetivos definem como sero mensurados

os progressos das aes para atingir os objetivos da organizao.
Segundo Fernandes e Abreu (2008), definem as medies que informam gerncia

se um processo de TI atingiu os objetivos de negcio.
47
Para COBIT 4.1 (2010), so mensuraes que informam aos gerentes depois dos
fatos se um processo de TI atingiu os requisitos de negcios, usualmente expresso
em termos de critrio de informao.
Podemos perceber que este indicador de meta so medidas pr-estabelecidas com

o intuito de determinar se um processo de TI alcanou o requisito de negcio, em
termos de critrio de informao.
So medidas que refletem se foi atingida a meta e conforme Fagundes (2004)

podem ser usualmente expressos nos seguintes termos:
Disponibilidade das informaes necessrias para suportar as necessidades

de negcios
Riscos de falta de integridade e confidencialidade das informaes
Eficincia nos custos dos processos e operaes
Confirmao de confiabilidade, efetividade e conformidade das informaes.
Exemplos reais de indicadores deste tipo:
Aumento do Nvel de entrega de servio

Nmero de clientes e custo por cliente atendido
Aumento da produtividade
Aderncia ao custo de desenvolvimento e prazo, etc.
2.9.2 KPI Key Performance Indicators (indicadores de desempenho)
Fagundes (2004) define indicadores de desempenho como medidas para determinar

como os processos de TI esto sendo executados e se eles permitem atingir os
objetivos planejados; so os indicadores que definem se os objetivos sero atingidos
ou no; so os indicadores que avaliam as boas prticas e habilidades de TI.
48
Segundo Fernandes e Abreu (2008), definem as medies que informa gerncia o

quanto os processos de TI esto sendo bem executados, no sentido de viabilizar o
atendimento dos objetivos de negcio.
Para COBIT 4.1 (2010), so mensuraes que determinam o andamento de um

processo para permitir que um objetivo seja atingido. Eles so indicativos de
tendncias futuras quanto a se um objetivo ser provavelmente atingido; so bons
indicadores de capacidades, prticas e especializao. Medem os objetivos de
atividades que so as medidas que os proprietrios de processos precisam tomar
para um efetivo desempenho do processo.
Indicadores de desempenho so medidas que determina o quanto os processos de

TI conseguiram atingir as metas e objetivos. Alguns exemplos reais deste tipo de
indicador so:
Nmero de clientes de TI
Custo por cliente de TI
Satisfao dos clientes
Produtividade da equipe
Valor entregue por funcionrio
Quantidade de erros e retrabalho, entre outros.
49
3. PROJETO
Este estudo de caso tem o objetivo de analisar e classificar as empresas de mdio

porte de tecnologia sob a tica dos controles do COBIT.
3.1. Resultados
A tabela 3 abaixo apresenta as respostas aos questionamentos, assim como os

resultados da anlise realizada sobre os dados desta pesquisa. Os resultados
obtidos propiciam um melhor entendimento dos nveis de maturidade de Governana
de TI de cada uma das empresas, assim como compreender o grau de
conhecimento e aplicao dos controles, tcnicas e boas prticas que suportam o
framework COBIT.
Tabela 3 Tabulao das respostas e resultados obtidos

Gama
Processo de Controle
Beta
Alfa
PO1. Sua empresa define um plano estratgico para a tecnologia da informao? 3 0 1

PO2. A empresa define um plano para a arquitetura da informao? 1 2 2
PO3. A empresa determina a direo tecnolgica? 2 1 2
PO4. A empresa define os processos de TI, sua organizao e seus relacionamentos? 1 2 1
PO5. Existe mecanismo de gerenciamento para os investimentos de TI? 3 1 2
PO6. A empresa gerencia a comunicao das diretrizes de TI? 2 0 0
PO7. Existe processo de gerenciamento dos recursos humanos de TI? 1 1 2
PO8. Sua empresa gerencia a qualidade dos projetos de TI? 1 1 0
PO9. Existem processos de avaliao e gerenciamento de risco? 1 3 1
PO10. Sua empresa gerencia os projetos? 1 2 3
AI1. A empresa identifica solues de automao? 3 3 4
50
AI2. Sua empresa adquire e mantm software de aplicaes? 2 5 1

AI3. Sua empresa adquire infra-estrutura tecnolgica e prov sua manuteno? 2 3 2
AI4. Sua empresa desenvolve os procedimentos operacionais e prov sua
2 1 3
manuteno?
AI5. A empresa adquire os recursos de TI? 3 2 3
AI6. A empresa gerencia mudanas? 1 4 3
AI7. A empresa instala e certifica softwares e as mudanas? 0 4 4
DS1. A empresa define e gerencia os acordos de nvel de servios? 4 4 3
DS2. Sua empresa gerencia os servios de terceiros? 3 1 2
DS3. Sua empresa gerencia a performance e a capacidade dos sistemas e do
2 4 2
ambiente?
DS4. Asseguram a continuidade dos servios? 3 1 3
DS5. A empresa garante e assegura a segurana dos sistemas? 2 1 2
DS6. Os custos so identificados e alocados? 0 2 4
DS7. A empresa treina os usurios dos sistemas? 2 0 2
DS8. A empresa faz o gerenciamento de incidentes e service desk? 4 4 2
DS9. A empresa faz o gerenciamento de configurao? 2 2 3
DS10. A empresa gerencia problemas? 4 4 2
DS11. Existe gerenciamento para os dados? 1 3 3
DS12. Gerencia a infra-estrutura fsica / ambiente? 3 2 2
DS13. A empresa gerencia as operaes? 1 2 2
ME1. A empresa monitora e avalia a performance de TI? 1 0 2
ME2. A empresa monitora e avalia a adequao dos controles internos? 1 0 2
ME3. A empresa garante conformidade com requerimentos externos empresa? 0 1 2
ME4. A empresa aplica e prov mecanismos de governana de TI? 1 0 1
Mdia: 1,85 1,94 2,15

Mdia (arredondada): 2 2 2
Tabela 3 Tabulao das respostas e resultados obtidos

Com base na Tabela 3 - Tabulao das respostas e resultados obtidos, podemos

determinar:
1. Para a empresa Alfa a mdia obtida foi de 1,85, que seguindo o critrio de
arredondamento anteriormente mencionado, foi atribudo o valor 2,00.
2. Para a empresa Beta a mdia alcanada foi de 1,94, que seguindo o critrio
de arredondamento, foi atribudo o valor 2,00.
3. Para a empresa Gama a mdia obtida foi de 2,15, que seguindo o critrio de
arredondamento, foi atribudo o valor 2,00.
51
A interpretao destes resultados implica que as trs empresas foram classificadas

no Nvel 2 de Maturidade: Repetvel, porm Intuitivo. Tal resultado permite
estabelecer um padro inicial para as empresas de tecnologia de mdio porte,
mostrando que empresas neste patamar tm adotado iniciativas sistemticas, ainda
que no formais, para controles internos de governana de TI. Para este grau de
maturidade percebemos um alto grau de dependncia nas pessoas e nos seus
conhecimentos e experincias.
Em seguida, realizou-se uma anlise similar, determinando-se a mdia arredondada

por domnio do Cobit.
Tabela 4 - Valor da Mdia Arredondada por Domnio do Cobit
Gama
Beta
Alfa
Domnio
Planejar e Organizar (PO) 2 1 1

Adquirir e Implementar (AI) 2 3 3
Entregar e Suportar (DS) 2 2 2
Monitorar e Avaliar (ME) 1 0 2
Tabela 4 Valor da Mdia Arredondada por domnio do Cobit

Da avaliao destes resultados, percebe-se que as empresas demonstraram

maiores graus de maturidade no domnio Adquirir e Implementar (AI) e menor
maturidade no domnio Monitorar e Avaliar (ME).
De forma a compreender melhor os principais motivadores para a adoo destes

mecanismos de controle, em cada uma das empresas, foi construdo um grfico da
pontuao obtida no questionrio versus o nmero da questo associada no
formulrio. Do mesmo modo foi realizada uma anlise por domnio especfico do
Cobit para cada uma das empresas.
52
Figura 6 Pontuao da empresa Alfa

Figura 7 Mdia arredondada, por domnio, obtida pela empresa Alfa

Por se tratar de uma empresa de Telecom uma das suas principais preocupaes
a rapidez e a qualidade no atendimento ao cliente, caracterizada por excelentes
53
nveis de servio (DS1), preocupao com gerenciamento de incidentes e service

desk (DS8) e agilidade no gerenciamento de problemas (DS10).
Os mais baixos nveis de maturidade, entretanto, foram encontrados nos processos

de gesto de mudana de software (AI7), identificao e alocao de custos (DS7) e
conformidade com requerimentos externos (ME3).
Realizando-se a anlise atravs dos domnios (ver Figura 7), percebe-se que a
empresa possui menor grau de maturidade (nvel 1) no domnio Monitorar e Avaliar
(ME). Em particular, o resultado obtido para o domnio ME aponta para a falta de
padronizao de mecanismos de controles efetivos na mensurao de qualidade e
performance de seus processos.
Figura 8 Pontuao da empresa Beta

Fonte: Elaborador pelos autores
54
Figura 9 Mdia arredondada, por domnio, obtida pela empresa Beta

Por se tratar de uma empresa prestadora de servios para grandes empresas na

rea de Telecom, a empresa Beta possui uma metodologia formal para a gesto de
documentaes e processos bem definidos para manter e evoluir o software,
permitindo alteraes rpidas e sem impactos negativos na produo (AI2).
A empresa possui uma gerncia de mudana que est em constante alinhamento

com o cliente (AI6). Todas as alteraes so documentadas, planejadas e aprovadas
pelo comit de mudana do cliente que exige procedimento de implantao e
retorno. Aps a implantao, a reviso feita com intuito de prover feedback ao
cliente.
Os acordos de nvel de servio so estabelecidos em conjunto com o cliente. A

empresa possui uma equipe para gerenciar estes acordos e manter os incidentes no
prazo definido (DS1 e DS8).
55
De lado oposto, os menores nveis de maturidade so encontrados na definio de

um plano estratgico de TI (PO1), na comunicao sobre metas e polticas (PO6),
nos controles de monitoramento e performance (ME1), na adequao de controles
internos(ME2) e na aplicao de mecanismos governana de TI (ME4).
A anlise pelos domnios do Cobit (Figura 9), destaca os baixos nveis de

maturidade para os domnios Monitorar e Avaliar (nvel 0) e Planejar e Organizar
(nvel 1). O resultado aponta para a falta ou inexistncia de mecanismos de
controles efetivos para assegurar a qualidade e a performance dos processos. A
empresa destacou-se no domnio Adquirir e Implementar (AI), onde apresentou nvel
de maturidade 3 superior classificao geral obtida para as trs empresas - Nvel 2
de Maturidade.
Figura 10 Pontuao da empresa Gama

56
Figura 11 Mdia arredondada, por domnio, obtida pela empresa Gama

Por ser uma consultoria especializada em processos de negcio, a empresa sempre

realiza uma anlise prvia e detalhada das solues de automao de modo que os
requisitos de negcio sejam atendidos atravs de uma abordagem eficaz e eficiente
(AI1). Este processo contempla o levantamento de processos, a definio de
necessidades, decises de viabilidade tecnolgica, etc.
A empresa possui uma equipe pequena para testes de qualquer mudana de

software (AI7). Os testes so feitos em ambientes de homologao do prprio
cliente.
Por ser uma consultoria prestadora de servios de TI, a empresa mantm uma forte
conscincia da necessidade de identificar e alocar os custos (DS6). Os custos so
controlados pelo departamento financeiro.
57
Os mais baixos nveis de maturidade, entretanto, foram encontrados nos processos

de comunicao das diretrizes de TI (PO6) e gerenciamento de qualidade dos
projetos de TI (PO8). A presso por reduo de custos nos projetos acaba por levar
a empresa a reduzir seus mecanismos de controle de qualidade sobre os projetos.
A anlise dos domnios do Cobit para a empresa Gama (Figura 11), destaca o grau
de maturidade para o domnio Adquirir e Implementar (nvel 3), e um nvel mais
baixo de maturidade para o domnio Planejar e Organizar (nvel 1), apontando uma
falta de padronizao de iniciativas e processos que permitam um melhor
alinhamento de TI com a estratgia e os negcios da empresa.
Figura 12 Mdia arredondada, por domnio, obtida pelas empresas

58
Ao realizar a anlise por domnios do Cobit para as trs empresas estudadas (Figura
12), percebe-se que, em geral, as empresas apresentam maiores graus de
maturidade no domnio Adquirir e Implementar (AI) e menor maturidade no domnio
Monitorar e Avaliar (ME).
Os resultados deste estudo de caso evidenciam que as empresas de tecnologia de

mdio porte demonstram bom conhecimento sobre as prticas e mecanismos de
controle do COBIT. Ainda que na sua maioria, pontuais e departamentais, a adoo
destes mecanismos de controle e governana se mostra presente no dia-a-dia
destas empresas. Observa-se a existncia de iniciativas de padronizao e
estabelecimento de processos definidos para alguns dos processos do Cobit
A proximidade dos resultados obtidos para o nvel de maturidade das empresas

Repetvel, porm intuitivo - evidencia a existncia de mecanismos de
padronizao, ainda que iniciais, para a governana de TI nas empresas de
tecnologia de mdio porte.
59
CONCLUSO
A cada dia se faz mais necessrio a adoo de Governana de Tecnologia nas

organizaes, pois prov melhor direo, controle e segurana. A implementao da
governana tem como expectativa melhorar os processos da organizao, alinhando
a TI com o negcio, criando valor agregado ao produto, eficincia na administrao
e otimizao no uso dos recursos.
O COBIT trata todas as expectativas acima e pode ser implementado em qualquer

organizao, independente do seu porte, pelo fato de no exigir que todos os seus
processos sejam implantados e sim, somente os que a empresa deseja controlar,
medir e avaliar.
Uma questo tambm muito importante que o COBIT apenas identifica e informa
quais so as melhores prticas, e a organizao pode escolher quais ferramentas ir
utilizar, quanto deseja investir e em quanto tempo deseja implementar a governana
de TI, viabilizando assim a sua adoo por qualquer empresa de forma customizada.
Nas empresas pesquisadas os resultados definiram um padro de maturidade de

nvel 2. Este resultado prova que as iniciativas de governana existem, porm ainda
esto em um nvel de maturidade baixo nas empresas de tecnologia de mdio porte.
Os Gerentes de Tecnologia entrevistados esto satisfeitos com os resultados obtidos

at o presente momento e tem tima expectativa para a implementao de novos
processos e controles.
Com base nas pesquisas realizadas, conclumos que as empresas de mdio porte
do segmento de tecnologia da informao, mesmo que de forma intuitiva, esto
adotando prticas de Governana de TI. Partindo deste pressuposto e das anlises
e questionamentos realizados o COBIT pode ser e j est sendo utilizado de forma
eficaz para suportar o negcio e alinhar com a TI.
60
Devido ao prazo de desenvolvimento deste trabalho e da disponibilidade dos

Gerentes de Tecnologia das empresas pesquisas, no tivemos a oportunidade de
acompanhar por alguns dias suas atividades, o que acreditamos ajudar melhor na
anlise do estudo de caso.
Como sugesto para trabalhos futuros, acreditamos ser importante realizar esta
mesma pesquisa em empresas de pequeno e grande porte, do mesmo segmento, e
traar uma anlise comparativa de quais processos os outros segmentos adotam,
assim como tambm se existe alguma relao referente seqncia em que os
domnios e os processos do COBIT so implantados.
61
REFERNCIAS
LVARES, Elismar; GIACOMETI, Celso; GUSSO, Eduardo. Governana

Corporativa: Um modelo brasileiro. Rio de Janeiro: Elsevier, 2008.
ANDRADE, Adriana; ROSSETTI, J. Paschoal. Cresce adeso s boas prticas de

governana corporativa. Disponvel em:
<http://www.bmfbovespa.com.br/Pdf/Valor_280105.pdf>. Acesso em: 10 abr. 2010.
CHALOLA, Luiz. Gerenciamento de Servios de TI na Prtica: Uma abordagem

com base em COBIT e ITIL. 2007. Ps-graduao em Auditoria em Tecnologia da
Informao. Universidade Estcio de S, 2007. Disponvel em:
<http://www.clubegp.com.br/artigo/governanca_de_ti.pdf>. Acesso em 27 Fev. 2009.
COBIT 4.1. Cobit 4.1 Modelo, Objetivos de Controle, Diretrizes de

Gerenciamento e Modelos de Maturidade. Disponvel em:
<http://www.isaca.org/ContentManagement/ContentDisplay.cfm?ContentID=55274>.
Acesso em: 15 mar. 2010.
FAGUNDES, Eduardo Mayer. COBIT: Um kit de ferramentas para a excelncia na

gesto de TI. 2004 Disponvel em:
<http://www.efagundes.com/artigos/Arquivos_pdf/Cobit.PDF>. Acesso em: 05 abr.
2010.
FERNANDES, Aguinaldo Aragon; ABREU, Vladimir Ferraz. Implantando a

Governana de TI: da estratgia gesto dos Processos e Servios. Ed.
Brasport, Rio de Janeiro, 2008.
GONALVES, Alcindo. O CONCEITO DE GOVERNANA. Disponvel em:

<http://www.conpedi.org/manaus/arquivos/Anais/Alcindo%20Goncalves.pdf>. Acesso
em: 03 abr. 2010.
62
IBGC. Cdigo das melhores prticas de Governana Corporativa.Disponvel em:

<http://www.ibgc.org.br/Download.aspx?Ref=Codigos&CodCodigo=47>. Acesso em:
03 abr. 2010.
MARINELLI, Marcos. Um estudo exploratrio sobre o estgio de governana

corporativa nas empresas brasileiras. Disponvel em:
<http://200.169.97.104/seer/index.php/RBGN/article/view/50/43>. Acesso em: 09
abr. 2010.
RASMUSSEN, Michael. Desenvolvendo um programa sustentvel e econmico

de conformidade com TI. 2008. Disponvel em:
<http://www.rsa.com/solutions/compliance/wp/9767_DSCE_IT_Com_Prog_WP_0408
_R.pdf>. Acesso em 25 Fev. 2010.
SANDONATO, Franco Dos Santos; SPRITZER, Ilda; FERREIRA, Flavio Jos de

Almeida. A influncia do mercado de capitais sobre a Governana de TI.
Disponvel em: <http://www.simpep.feb.unesp.br/anais/anais_13/artigos/277.pdf>.
Acesso em: 10 mar. 2010.
SEBRAE. CRITRIOS DE CLASSIFICAO DE EMPRESAS - ME - EPP.

Disponvel em: <http://www.sebrae-sc.com.br/leis/default.asp?vcdtexto=4154&^^>.
Acesso em: 01 abr. 2010.
SOARES, Jos Joaquim. Metodologia do trabalho cientfico. Disponvel em:

<http://www.jjsoares.com/media/download/Pesquisa%20_Cient%C3%ADfica_novo.d
oc>. Acesso em 28 Fev. 2010.
VICTRIA, Lia Beatriz Gomes. GOVERNANA CORPORATIVA: PRINCIPAIS

DIFERENAS ENTRE OS MODELOS ANGLO-SAXO E NIPO-GERMNICO.
Disponvel em: <http://www.ufpel.tche.br/cic/2007/cd/pdf/SA/SA_00876.pdf>. Acesso
em: 01 abr. 2010.
YIN, Robert K. Estudo de caso planejamento e mtodos. (2Ed.). Porto Alegre:

Bookman, 2001.
63
WEILL, Peter; ROSS, Jeanne W.. Governana de TI: Tecnologia da Informao.

So Paulo: M. Books do Brasil Ltda., 2006.
64
ANEXO I
Questionrio enviado s empresas analisadas.
O questionrio abaixo foi construido com base no Framework do Cobit 4.1 e em seu
modelo de Maturidade. O questionrio contempla 34 questes associadas a cada
um dos processos do Cobit.
Responda as questes de acordo com os critrios de avaliao definidos abaixo.

Marcar com X na coluna correspondente sua resposta:
Inexistente Completa falta de um processo reconhecido. A empresa nem mesmo

reconhece que este processo deva ser trabalhado.
Inicial / Ad hoc Existem evidncias sobre os processos, que a empresa

reconhece, que precisam ser trabalhadas. No entanto, no existem processos
padronizados; ao contrrio, existem iniciativas pontuais que tendem a ser aplicadas
individualmente ou caso-a-caso. O enfoque geral de gerenciamento
desorganizado.
Repetvel, porm intuitivo Os processos evoluiram para um estgio onde

procedimentos similares so seguidos por diferentes pessoas fazendo a mesma
tarefa. No existe um treinamento formal ou uma comunicao dos procedimentos
padronizados e a responsabilidade deixada com o indivduo. H um alto grau de
confiana no conhecimento dos indivduos e conseqentemente erros podem
ocorrer.
Processo definido Os Procedimentos so padronizados, documentados e

comunicados atravs de treinamento. mandatrio que esses processos sejam
seguidos; no entanto, possivelmente desvios no so detectados. Os procedimentos
no so sofisticados, porm, existe a formalizao das prticas existentes.
Gerenciado e Mensurvel A gerencia monitora e mede a aderncia aos

procedimentos e adota aes onde os processos parecem no estar funcionando
muito bem. Os processos esto debaixo de um constante aprimoramento e fornecem
65
boas prticas. Automao e ferramentas so utilizadas de uma maneira limitada ou

fragmentada.
Otimizado Os processos foram refinados a um nvel de boas prticas, baseado no

resultado de um contnuo aprimoramento e modelagem da maturidade como outras
organizaes. TI utilizada como um caminho integrado para automatizar o fluxo de
trabalho, provendo ferramentas para aprimorar a qualidade e efetividade, tornando a
organizao rpida em adaptar-se.
Repetvel, porm Intuitivo
Gerenciado e Mensurvel
Processo Definido
Processo de Controle
Inicial / Ad Hoc
Inexistente
Otimizado
PO1. Sua empresa define um plano estratgico para a
tecnologia da informao?
PO2. A empresa define um plano para a arquitetura da
informao?
PO3. A empresa determina a direo tecnolgica?
PO4. A empresa define os processos de TI, sua
organizao e seus relacionamentos?
PO5. Existe mecanismo de gerenciamento para os
investimentos de TI?
PO6. A empresa gerencia a comunicao das diretrizes de
TI?
PO7. Existe processo de gerenciamento dos recursos
humanos de TI?
PO8. Sua empresa gerencia a qualidade dos projetos de
TI?
PO9. Existem processos de avaliao e gerenciamento de
risco?
PO10. Sua empresa gerencia os projetos?
AI1. A empresa identifica solues de automao?
AI2. Sua empresa adquire e mantm software de
aplicaes?
AI3. Sua empresa adquire infra-estrutura tecnolgica e
prov sua manuteno?
66
AI4. Sua empresa desenvolve os procedimentos

operacionais e prov sua manuteno?
AI5. A empresa adquire os recursos de TI?
AI6. A empresa gerencia mudanas?
AI7. A empresa instala e certifica softwares e as
mudanas?
DS1. A empresa define e gerencia os acordos de nvel de
servios?
DS2. Sua empresa gerencia os servios de terceiros?
DS3. Sua empresa gerencia a performance e a capacidade
dos sistemas e do ambiente?
DS4. Asseguram a continuidade dos servios?
DS5. A empresa garante e assegura a segurana dos
sistemas?
DS6. Os custos so identificados e alocados?
DS7. A empresa treina os usurios dos sistemas?
DS8. A empresa faz o gerenciamento de incidentes e
service desk?
DS9. A empresa faz o gerenciamento de configurao?
DS10. A empresa gerencia problemas?
DS11. Existe gerenciamento para os dados?
DS12. Gerencia a infra-estrutura fsica / ambiente?
DS13. A empresa gerencia as operaes?
ME1. A empresa monitora e avalia a performance de TI?
ME2. A empresa monitora e avalia a adequao dos
controles internos?
ME3. A empresa garante conformidade com requerimentos
externos empresa?
ME4. A empresa aplica e prov mecanismos de
governana de TI?

TCC Aplicacao Do Cobit em Empresas de Medio Porte PDF

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

TCC Aplicacao Do Cobit em Empresas de Medio Porte PDF

Загружено:

Авторское право:

Доступные форматы

FACULDADE DE INFORMTICA E ADMINISTRAO PAULISTA

Ps-Graduao Gesto de Tecnologia da Informao

MARCOS ALVES PEREIRA

RODRIGO DE OLIVEIRA NEVES

APLICAO DO COBIT EM EMPRESAS DE

MARCOS ALVES PEREIRA

RODRIGO DE OLIVEIRA NEVES

APLICAO DO COBIT EM EMPRESAS DE

Trabalho de Concluso de Curso

Orientador: Prof. Andra de Paiva

MARCOS ALVES PEREIRA

RODRIGO DE OLIVEIRA NEVES

APLICAO DO COBIT EM EMPRESAS DE

Trabalho de Concluso de Curso

Aprovada em 23 de Abril de 2010.

Prof(). Dr. ou. Ms Xxx (nome completo)

Prof(). Dr. ou. Ms Xxx (nome completo)

homem; o que um homem faz com o que lhe

acontece... (Aldous Huxley). Aos nossos

mestres e professores, o reconhecimento

Primeiramente a Deus, que est em nossa vida

desde o primeiro instante. Aos nossos

familiares por nos apoiarem em todos os

momentos. Aos nossos mestres, pelo

conhecimento por eles ensinado e que nunca

A todos que nos incentivaram e apoiaram, o

nosso muito obrigado!

A Governana de Tecnologia da Informao (TI) um assunto cada vez

Palavras-chave: Governana de TI. Conformidade. COBIT.

The Governance of Information Technology (IT) has become a growing

Keywords: Governance. Compliance. COBIT. Alignment.

Figura 1 Sistema de Governana Corporativa 19

Figura 2 Relao Governana Corporativa e Governana de TI 23

Figura 3 - rea foco do COBIT 31

Figura 4 - Princpios bsicos do COBIT 35

Figura 5 Cubo COBIT 37

Figura 6 Pontuao da empresa Alfa 52

Figura 7 Mdia arredondada, por domnio, obtida pela empresa Alfa 52

Figura 8 Pontuao da empresa Beta 53

Figura 9 Mdia arredondada, por domnio, obtida pela empresa Beta 54

Figura 10 Pontuao da empresa Gama 55

Figura 11 Mdia arredondada, por domnio, obtida pela empresa Gama 56

Figura 12 Mdia arredondada, por domnio, obtida pelas empresas 57

Quadro 1 Comparativo entre modelos de GC mundial 21

Quadro 2 Matriz de arranjo de governana 24

Tabela 1 Critrios de Pontuao 16

Tabela 2 Classificao de Nvel de Maturidade 16

Tabela 3 - Tabulao das respostas e resultados obtidos 49

Tabela 4 - Valor da Mdia Arredondada por domnio do Cobit 51

ABNT Associao Brasileira de Normas Tcnicas

COBIT Control Objectives for Information and related Technology

FDC Fundao Dom Cabral

GRC Governance, Risk and Compliance

IBGC Instituto Brasileiro de Governana Corporativa

ISACA Information Systems Audit and Control Association

ISACF Information Systems Audit and Control Foundation

ITIL Information Technology Infrastructure Library

ROI Return of Investiment

SLA Service Level Agreement

Para o alcance destes objetivos necessrio a implantao da Governana de TI

A Governana Corporativa proporciona para as empresas uma estrutura que

Segundo Sandonato, Spritzer e Ferreira (2010), a Governana Corporativa estimula

Neste contexto, a TI exerce papel fundamental para a organizao, pois, visa