O COBIT APLICADO COMO FERRAMENTA PARA OBTER RETORNO SOBRE O INVESTIMENTO NA FASETE

Transcrição

1 Organização Sete de Setembro De Cultura e Ensino LTDA Faculdade Sete de Setembro FASETE Curso de Bacharelado em Sistemas de Informação Anderson Rogério Lima da Rocha O COBIT APLICADO COMO FERRAMENTA PARA OBTER RETORNO SOBRE O INVESTIMENTO NA FASETE Paulo Afonso-BA Dezembro

2 Anderson Rogério Lima da Rocha O COBIT APLICADO COMO FERRAMENTA PARA OBTER RETORNO SOBRE O INVESTIMENTO NA FASETE Trabalho de conclusão de curso apresentado ao curso de Bacharelado em Sistemas de Informação da Faculdade Sete de Setembro FASETE como requisito para graduação. Orientador: Prof. Esp. Jackson Pires Paulo Afonso-BA Dezembro 2012

3 Dedico esta monografia aos meus pais e meu irmão. Tudo que alcancei foi graças ao apoio que me deram. Muito obrigado!

4 AGRADECIMENTOS Quero agradecer a todos que me ajudaram a terminar este trabalho e a chegar ao final do curso, após todas estas etapas concluídas. Ao meu pai, Erinaldo Bezerra da Rocha, por todas as conversas e conselhos que foram essenciais para moldar o meu caráter, me ensinando valores importantes que vou levar por toda a vida. À minha mãe, Helenice Lima do Nascimento Rocha, por todo o amor e carinho incondicional que me deu, sempre disposta a me apoiar e participar de tudo que acontece em minha vida. Ao meu irmão, Ericson Lima da Rocha, pela parceria e apoio que sempre me deu, me ajudando a encontrar soluções para superar todos os obstáculos e por ser de fato, meu melhor amigo. Ao meu orientador, Jackson Pires, pela paciência, dedicação e apoio que me deu durante o desenvolvimento de todo este trabalho, aumentando ainda mais a admiração que tenho pelo ser humano, profissional e professor que sempre demonstrou ser. Aos professores Ricardo Porto, Igor Medeiros e Igor Costa, que ajudaram bastante para que esta pesquisa pudesse ser desenvolvida. Sem esquecer de todos os outros que me ensinaram e fizeram parte da história do curso, sou muito grato. Aos amigos de infância e do colégio, que continuam participando da minha vida: Franclin, Rafael Moura, Rafael Oliveira, Marlon, Joângelo e Clerison. Aos meus amigos que estudaram comigo durante estes anos, vivenciando todos os trabalhos, provas, projetos e intervalos, fazendo estes momentos se tornarem muito mais divertidos. Um grande abraço pra Leandro, Felipe, Geneilson, José Gomes, Granville, Anderson Rubens, Alcir, Emília, Mariana, Ingrid, Bruno, Diego, Cláudia, Washington, Leonardo, Kattiane, Gessé, Sérgio, Geo, Alex, Júnior, Messias e Jezimiel. A faculdade não seria a mesma sem vocês. Muito obrigado.

5 O mundo não é um mar de rosas. É um lugar sujo, um lugar cruel, que não quer saber o quanto você é durão. Vai botar você de joelhos e você vai ficar de joelhos para sempre se você deixar. Você, eu, ninguém vai bater tão forte como a vida, mas não se trata de bater forte. Se trata de quanto você aguenta apanhar e seguir em frente, o quanto você é capaz de aguentar e continuar tentando. É assim que se consegue vencer. Agora se você sabe do teu valor, então vá atrás do que você merece, mas tem que estar preparado para apanhar. E nada de apontar dedos, dizer que você não consegue por causa dele ou dela, ou de quem quer que seja. Só covardes fazem isso e você não é covarde, você é melhor que isso. Rocky Balboa

6 ROCHA, Anderson Rogério Lima da. O CobiT aplicado como ferramenta para obter Retorno Sobre o Investimento na Fasete Monografia (Curso de Bacharelado em Sistemas de Informação). Faculdade Sete de Setembro FASETE. Paulo Afonso (BA). RESUMO Dentre os modelos de gestão que os executivos utilizam para gerenciar a Tecnologia da Informação (TI) nas empresas, o CobiT se destaca como uma excelente alternativa para esta finalidade, dando suporte à tomada de decisões. Através de seus processos, indica as melhores práticas para alcançar as metas na gestão de TI, como o Retorno Sobre o Investimento (ROI), que permite conhecer o retorno financeiro que pode ser alcançado. Este trabalho tem como objetivo apresentar o CobiT para estudantes e profissionais que desconhecem seu potencial para o melhor gerenciamento da tecnologia, trazendo maior retorno financeiro, além de mostrar que as empresas de pequeno porte podem se beneficiar dos processos do CobiT, através de novas idéias que auxiliem a gestão. A pesquisa visa analisar como o CobiT pode auxiliar a Fasete a aumentar o seu Retorno Sobre o Investimento realizado em TI, mostrando como são gerenciados seus investimentos, medindo o retorno financeiro que pode ser obtido e sugerindo implementações de conceitos do CobiT não alcançados. Para alcançar os resultados foi aplicado um questionário com 54 perguntas na faculdade para obter informações acerca da instituição e de como são realizados os investimentos em TI, apresentando em seguida seus resultados e os níveis de maturidade alcançados. Além disso, são apresentados cálculos de ROI que buscam mostrar como a faculdade pode obter maior retorno financeiro e quais as metas que devem ser alcançadas pela faculdade para melhorar o processo de gerenciamento dos investimentos em TI, demonstrando assim o potencial do CobiT para auxiliar a faculdade. Palavras-chave: CobiT, Retorno Sobre o Investimento, Faculdade Sete de Setembro.

7 ROCHA, Anderson Rogério Lima da. The CobiT applied as a tool for Return on Investment in Fasete Monograph (Course of Bachelor of Information Systems). Faculdade Sete de Setembro FASETE. Paulo Afonso (BA). ABSTRACT Among the models that executives use to manage the Information Technology (IT) in the companies, CobiT can be used as an excellent alternative for this purpose, supporting the decision making. Through its processes, indicates the best practices to achieve the goals in the management of IT, such as Return on Investment (ROI), which allows to know the financial return that can be achieved. This paper aims to present the CobiT for students and professionals that do not know their potential for better management of technology, providing greater financial return, in addition to show that small businesses can benefit from the CobiT processes through which new ideas assist management. The research aims to analyze how the CobiT could help Fasete to increase your Return on Investment made in IT, showing how their investments are managed by measuring the financial return that can be obtained and suggesting concepts of COBIT implementations unreached. To achieve the results was applied a questionnaire with 54 questions in college to get information about the institution and how they are made IT investments, then presenting their results and levels of maturity achieved. Furthermore, it presents ROI calculations that seek to show how the college can get higher returns and what the goals should be achieved by the college to improve the process of managing IT investments, thus demonstrating the potential of CobiT to help college. Keywords: CobiT, Return On Investiment, Faculdade Sete de Setembro.

8 SUMÁRIO 1 INTRODUÇÃO JUSTIFICATIVA PROBLEMA DE PESQUISA HIPÓTESE OBJETIVOS OBJETIVO GERAL OBJETIVOS ESPECÍFICOS METODOLOGIA ESTRUTURA DO TRABALHO GOVERNANÇA DE TI E COBIT GOVERNANÇA DE TI COBIT CARACTERÍSTICAS DOMÍNIOS E PROCESSOS O PROCESSO PO O MODELO DE MATURIDADE DO COBIT O MODELO DE MATURIDADE DO PO INDICADORES DO COBIT GESTÃO DE TI NA FACULDADE SETE DE SETEMBRO A FACULDADE SETE DE SETEMBRO O DEPARTAMENTO DE TECNOLOGIA E INFORMAÇÃO ELABORAÇÃO DO QUESTIONÁRIO RESULTADOS DA PESQUISA A FACULDADE MATURIDADE ANÁLISES E PROPOSTAS RETORNO SOBRE O INVESTIMENTO ANÁLISES RECEITA AQUISIÇÃO DE COMPUTADORES CONSUMO DE ENERGIA NOS SERVIDORES O CÁLCULO DO ROI PROPOSTAS OBJETIVOS DE CONTROLE A SER ALCANÇADOS... 63

9 4.3.2 MELHORAR A MATURIDADE CONSIDERAÇÕES FINAIS TRABALHOS FUTUROS REFERÊNCIAS APÊNDICE... 74

10 9 1 INTRODUÇÃO As organizações, de qualquer porte, necessitam utilizar a Tecnologia da Informação (TI), para gerenciar seus dados, que auxiliam no funcionamento da empresa e dão suporte à tomada de decisões. Existem uma série de práticas e processos que auxiliam os executivos a gerenciar mais eficientemente a tecnologia nas empresas, para melhorar o controle, minimizar riscos, otimizar o desempenho e reduzir os custos. O CobiT 1 surge como uma alternativa que atende a esses requisitos de maneira satisfatória. Segundo o ITGI (2007, p. 7), o CobiT é um framework 2 que fornece boas práticas através de domínios e processos, representando o consenso de especialistas. Suas práticas são focadas mais nos controles e menos na execução, ajudando a otimizar os investimentos em TI, a assegurar a entrega dos serviços e prover métricas para realizar julgamentos quando ocorrerem erros. Apesar de ser mais utilizado em grandes empresas, pode ser aplicado por todas. A partir dos seus processos, poderá ser alcançado o Retorno Sobre o Investimento (ROI), que indica o retorno financeiro que o COBIT pode trazer para a empresa que o utilizar. Este trabalho visa apresentar o CobiT e seus processos, a partir da versão 4.1, buscando relacionar esse framework com a Governança de TI, ilustrando suas características e seu potencial como modelo de gestão da Tecnologia da Informação. Além disso, a Faculdade Sete de Setembro (Fasete) e o seu Departamento de Tecnologia e Informação serão apresentados e utilizados como objetos de estudo, 1 CobiT (Control Objectives for Information and Related Technology): modelo que garante que a TI esteja alinhada com os objetivos de negócios, seus recursos sejam usados de forma responsável, e os riscos gerenciados adequadamente. 2 Framework: É um leque de diretrizes (melhores práticas).

11 10 para que sejam elaboradas propostas de implementações, baseando-se no modelo de processos do CobiT, visando contribuir para o melhor gerenciamento da TI pela instituição. Neste trabalho, pretende-se também utilizar o Retorno Sobre o Investimento, que é sugerido pelo CobiT como forma de melhorar a gerência dos gastos em TI, para realizar análises que indiquem o retorno financeiro que a faculdade poderia obter ao utilizar as métricas do ROI, mostrando como ela se beneficiaria com o seu uso. Com esta pesquisa, busca-se mostrar o potencial do CobiT, como ele pode auxiliar a empresa a otimizar suas operações e ter melhor gerenciamento dos investimentos em TI, maior retorno financeiro e apresentar algumas soluções de melhoria para a faculdade a partir do seu perfil baseado em processos. 1.1 JUSTIFICATIVA Segundo Batista (2011), O CobiT é um framework flexível que abrange aspectos de governança e gestão da Tecnologia da Informação, que erroneamente acredita-se que tem valor apenas para grandes empresas. Muitas vezes por desconhecimento do que pode ser realmente alcançado pelo uso de boas práticas da gestão de TI proporcionado pelo CobiT, as empresas não o utilizam e perdem boas oportunidades de aumentar sua eficiência e melhorar o controle e integração da tecnologia com a organização. Ainda de acordo com Batista (2011), o CobiT é um mapa abrangente que as empresas podem usar para determinar seu estado atual e seus objetivos finais. Logo, pode ser usado por qualquer empresa, independentemente do seu tamanho, localização, indústria ou nível atual de gerenciamento e capacidade de governança. A Faculdade Sete de Setembro (Fasete), não utiliza este framework, mesmo tendo um departamento de tecnologia, não usufruindo dos benefícios do CobiT.

12 11 A partir deste trabalho, busca-se apresentar o CobiT para os profissionais e estudantes que desconhecem o mesmo, ilustrando seu grande potencial para a gerência da tecnologia, permitindo que as empresas reduzam custos e aumentem seus lucros, trazendo maior retorno financeiro. De forma análoga, pretende-se mostrar que as empresas de pequeno porte podem se beneficiar dos processos apresentados no CobiT, oferecendo novas idéias para empresários e gestores que desconhecem a importância de boas práticas na gerência de TI. 1.2 PROBLEMA DE PESQUISA Para Fonseca (2009), através do CobiT, as organizações podem conhecer uma estrutura e uma base de conhecimento para processos de TI, que são perfeitamente adaptáveis a empresas de qualquer porte, permitindo que desfrutem dos seus benefícios. Segundo o ITGI (2007, p.49), o retorno financeiro possibilitado pelo seu uso pode ser analisado através de um dos seus processos, que aborda o Retorno Sobre o Investimento. Tendo como foco a Faculdade Sete de Setembro (Fasete), o problema de pesquisa a ser abordado neste trabalho é: É possível utilizar o CobiT como ferramenta para auxiliar a Faculdade Sete de Setembro (Fasete) a visualizar o Retorno Sobre o Investimento em Tecnologia da Informação? 1.3 HIPÓTESE Para Batista (2011), apesar de ser mais comumente utilizados em grandes empresas, se bem aplicados, os processos do CobiT podem ser utilizados também

13 12 nas de pequeno porte, trazendo inúmeras vantagens e melhorando o processo de gestão da TI. Segundo o ITGI (2007, p.49), uma das formas de fazer a medição dos benefícios que o framework pode oferecer é através do Retorno Sobre o Investimento, que ilustra como a empresa observada, a Faculdade Sete de Setembro, pode ter lucro ou reduzir seus custos. Neste contexto, foi formulada a seguinte hipótese: Com a utilização dos processos disponíveis no CobiT, será possível obter Retorno Sobre o Investimento através de sua aplicação na Faculdade Sete de Setembro (Fasete). 1.4 OBJETIVOS Objetivo Geral Analisar como o CobiT poderá auxiliar a Faculdade Sete de Setembro (Fasete) a aumentar o seu Retorno Sobre o Investimento realizado em Tecnologia da Informação Objetivos Específicos Apresentar uma análise do CobiT como framework que auxilia na gerência de TI; Mostrar como a Faculdade Sete de Setembro (Fasete) gerencia os investimentos em Tecnologia da Informação; Sugerir as alterações que precisariam ser feitas na Faculdade Sete de Setembro (Fasete) para implementar os conceitos do CobiT não alcançados;

14 13 Medir o retorno financeiro que a empresa teria no caso da implantação do framework CobiT. 1.5 METODOLOGIA Segundo Minayo 3 (apud Silva e Menezes, 2005, p.19) a pesquisa é uma atividade básica das ciências na sua indagação e descoberta da realidade. Pode ser considerada como uma atitude e uma prática teórica de constante busca que define um processo inacabado e permanente. É uma atividade de aproximação sucessiva da realidade que nunca termina, combinando teoria e dados. Neste trabalho, várias etapas devem ser seguidas com a finalidade de encontrar os resultados esperados dessa pesquisa. O trabalho utilizará pesquisas em livros, artigos, publicações e sites que abordam os temas estudados, um questionário que visa obter informações acerca da Faculdade Sete de Setembro e sua gerência de TI, a ser aplicado com o responsável pelas tecnologias utilizadas na instituição. Inicialmente, será apresentada uma visão geral do CobiT e sua relevância na gerência de TI. Esta etapa é baseada em pesquisa bibliográfica, fazendo uma introdução a partir do levantamento de informações a respeito dos temas. A pesquisa bibliográfica abrange toda bibliografia já tornada pública em relação ao tema em estudo, desde publicações avulsas, boletins, jornais, revistas, livros, pesquisas, monografias, teses, material cartográfico etc., até meios de comunicação orais: rádio, gravações em fita magnética e audiovisuais: filmes e televisão. (LAKATOS e MARCONI 4 apud FREIRE, 2011, p.11) 3 MINAYO, Maria Cecília de Souza. O desafio do conhecimento. São Paulo: Hucitec, LAKATOS, E. M.; MARCONI, M. de A. Técnicas de pesquisa. 4. ed. São Paulo: Atlas S. A., p.

15 14 Em seguida, a Faculdade Sete de Setembro (Fasete) será apresentada com o objetivo de conhecer como é realizado o gerenciamento dos investimentos em TI, para que posteriormente possa ser feita uma analise sobre como o CobiT se aplicará a essa estrutura. Nesta etapa será feita uma pesquisa quantitativa, que conta com um questionário aplicado ao responsável pelo departamento de tecnologia da faculdade, visando colher dados sobre o gerenciamento dos investimentos em TI na Fasete. Silva e Menezes (2005, p.20) afirmam que a pesquisa quantitativa considera que tudo pode ser quantificável, traduzindo em números, opiniões e informações para classificá-las e analisá-las. Requer o uso de recursos e de técnicas estatísticas. Por último, serão realizadas algumas análises com o objetivo de medir o retorno financeiro que a organização possuiria ao se aplicar as métricas do Retorno Sobre o Investimento. Para isso, alguns cálculos que apresentam o ROI da empresa precisarão ser feitos, a partir dos dados da faculdade que serão coletados. Esta pesquisa pode ser classificada do ponto de vista de sua natureza como aplicada, pois de acordo com Silva e Menezes (2005, p.20), objetiva gerar conhecimentos para aplicações práticas e dirigidos à solução de problemas específicos. 1.6 ESTRUTURA DO TRABALHO Este trabalho está dividido em quatro capítulos, concluindo a pesquisa com as Considerações Finais, que se complementarão e buscarão resolver o problema de pesquisa proposto. O trabalho possui inicialmente uma introdução, apresentando suas idéias e explicando os motivos para a sua realização. Também apresenta o problema de pesquisa, hipótese, os objetivos e a metodologia desta pesquisa.

16 15 Em seguida serão explanados conceitos básicos abordados na pesquisa, com uma introdução à Governança de TI, explicando seu desenvolvimento e apresentando alguns modelos utilizados pelas empresas. Em seguida, haverá um aprofundamento no CobiT, explicando como é seu funcionamento, seus processos, indicadores e Modelo de Maturidade. O capítulo seguinte apresentará a faculdade, fornecendo sua descrição, além de apresentar o Departamento de Tecnologia e Informação, com suas funções e métodos empregados para realizar a gestão dos investimentos em TI, que serão conhecidos através da aplicação de um questionário destinado ao responsável pelo departamento. Na sequência, uma análise sobre os resultados do questionário, apresentando o nível de adequação da faculdade às propostas do CobiT. A seguir, haverá a apresentação da idéia de Retorno Sobre o Investimento, sua fórmula e quais as suas aplicações, além da realização de cálculos para encontrar o ROI a partir de situações que surgem na faculdade relacionadas à gestão dos investimentos em TI. Para concluir, serão feitas propostas de melhoria para a faculdade com base nos resultados encontrados, ilustrando o modo mais eficiente de aproveitar as propostas do CobiT, otimizando o trabalho da instituição. Por fim, serão realizadas as Considerações Finais, com uma análise de todo o trabalho, apresentando os resultados e sugerindo possibilidades para trabalhos futuros baseados nesta pesquisa.

17 16 2 GOVERNANÇA DE TI E COBIT Neste capítulo serão abordados os conceitos de Governança de TI e CobiT, incluindo seus domínios e processos, Modelo de Maturidade, indicadores e o processo PO5, que é utilizado como base neste trabalho de pesquisa. O objetivo de abordar estes conceitos é para apresentar as visões de diversos autores a respeito destes assuntos e que são necessárias para o desenvolvimento do trabalho. 2.1 GOVERNANÇA DE TI Com o desenvolvimento dos computadores e das Tecnologias da Informação (TI), muitas possibilidades surgiram para auxiliar as empresas a organizar melhor seus dados e, de acordo com a Aghatha Maxi Consulting (2011), as corporações elevaram a sua capacidade de processar grandes volumes de operações, e este aumento, acelerou o crescimento destas empresas, aumentando a quantidade de investidores, promovido por décadas de operações e de crescimento constante. Ainda de acordo com a Aghatha Maxi Consulting (2011), surgiu um novo risco: a possibilidade de alterar valores e modificar o resultado, prejudicando a organização. A partir destas fraudes, os investidores perderam a confiança nas empresas, fazendo com que seu valor no mercado de capitais fosse prejudicado. Alguns desses fatos ocorreram entre os anos de 2001 e 2002 com diversas empresas americanas e, após a descoberta e divulgação ao público, prejudicou as economias de grandes investidores. De acordo com Costa (2006), por conta destes problemas corporativos e financeiros, foi promulgada nos Estados Unidos a Lei Sarbanes-Oxley, conhecida também como SOX, em 30 de junho de 2002, pelos Senadores Paul Sarbanes e Michael Oxley. O objetivo desta lei é justamente aperfeiçoar os controles financeiros das empresas e apresentar eficiência na governança corporativa, a fim de evitar que aconteçam outros prejuízos conforme os casos ocorridos. A lei visa garantir a transparência na

18 17 gestão financeira das organizações, na contabilidade, auditoria, além da segurança das informações, para que sejam realmente confiáveis, evitando assim fraudes, fuga de investidores, etc. Segundo Pinheiro (2007), a SOX trouxe mudanças significativas na área de Tecnologia da Informação nas organizações, pois está inserida no âmbito da governança corporativa e apresenta artigos destinados à área de TI. Com a lei, rígidos parâmetros legais foram impostos às companhias de capital aberto, cujas ações são negociadas em Bolsas de Valores. A partir desta lei, segundo a Aghatha Maxi Consulting (2011), estabeleceu-se a idéia atual de Governança Corporativa e, como consequência da participação e importância da tecnologia nas operações das organizações, surge também a Governança de TI, visando estabelecer mecanismos de proteção, segurança e confiabilidade nas empresas para com isto evitar a ocorrência de fraudes, viabilizar meios para a sua identificação, protegendo o mercado investidor americano. Fagundes (2011) afirma que para criar e manter uma infraestrutura de TI, os investimentos feitos são altos, de modo que a direção da empresa cria diversas restrições, pois duvidam dos benefícios reais da tecnologia. Além disso, outros problemas surgem, como gestores de TI que não sabem demonstrar os riscos que o negócio terá caso não tenha um bom investimento em TI. Ainda de acordo com o mesmo autor, para melhorar a análise de riscos e tomada de decisão é necessário um processo estruturado para gerenciar e controlar as iniciativas de TI nas empresas, garantir o retorno dos investimentos e adicionar melhorias nos processos empresariais. Esse movimento é conhecido como Governança de TI e pode ser definido como uma estrutura de relações e processos que dirige e controla uma organização a fim de atingir seu objetivo de adicionar valor ao negócio através do gerenciamento balanceado do risco com o retorno do investimento de TI. A governança de TI é de responsabilidade dos executivos e da alta direção, consistindo em aspectos de liderança, estrutura organizacional e processos

19 18 que garantam que a área de TI da organização suporte e aprimore os objetivos e as estratégias da organização. (ITGI, 2007, p.7). Para Fagundes (2011), em um ambiente de negócios altamente competitivo e dinâmico é requerido uma excelente habilidade gerencial, onde a TI deve suportar as tomadas de decisão de forma rápida, constante e com custos cada vez mais baixos. A tecnologia aplicada aos negócios traz inúmeros benefícios, contudo, para serem bem sucedidas, as organizações devem compreender e controlar os riscos associados ao uso dessas tecnologias. Segundo Moraes e Mariano (2008, p. 7-17), para alcançar o sucesso de forma sustentável, a empresa deve adotar um modelo de gestão que permita o uso eficiente e eficaz da tecnologia, frente às áreas de negócio que necessitam gradativamente de mais qualidade, flexibilidade e disponibilidade, a um custo cada vez menor. Alguns destes modelos são os seguintes: BSC 5 : sistema concebido e estruturado para integrar medições de desempenho e análise consistente de informações com a estratégia das companhias; ITIL 6 : é um grupo de padrões e melhores práticas para gerenciar os serviços e a infraestrutura de TI; PMBOK 7 : formaliza diversos conceitos em gerenciamento de projetos, incluindo a própria definição de projeto e do seu ciclo de vida, reconhece cinco grupos de processos de gerenciamento de projetos e nove áreas de conhecimento; 5 BSC: Balanced Scorecard 6 ITIL: Information Technology Infrastructure Library 7 PMBOK: Project Management Body Of Knowledge

20 19 CMMI 8 : fornece orientação para melhorar os processos de uma organização, e é hábil em gerenciar o desenvolvimento, aquisição e manutenção de produtos ou serviços; ISO/IEC 20000: utiliza abordagem de processo baseado na gestão de qualidade ISO 9001:2000, pela inclusão do ciclo PDCA (Planejar, Construir, Executar e Monitorar), e exigência de melhoria contínua. Existem diversos outros modelos utilizados para a gestão de TI. Dentre eles, situase o CobiT, que será analisado a seguir. 2.2 COBIT O CobiT, segundo o ITGI (2007, p. 7), oferece boas práticas, que são consenso entre especialistas, através de domínios, processos e atividades em uma estrutura lógica e gerenciável, ajudando a melhorar os investimentos em TI, garantir que os serviços serão entregues e prover métricas para corrigir falhas. A cronologia da evolução do CobiT, de acordo com o InfoSec Council (2006, p ), é a seguinte: 1996: a primeira versão elaborada pela ISACF (Information Systems Audit and Control Foundation); 1998: a segunda versão, que incluía documentação de alto nível, controles e objetivos detalhados; 2000: a terceira versão, que focava em Governança de TI; 2005: a quarta versão, com mudanças que permitiam melhor integração com regulamentações e leis. 8 CMMI: Capability Maturity Model Integration

21 20 No ano de 2007, foram apresentadas melhorias na quarta versão, chamada de 4.1, que segundo a Computerworld (2007), possui guias para análise de desempenho, diretrizes de performance e formas de medir os resultados da implantação. Além disso, novos objetivos mais elaborados foram adicionados visando o controle de gerenciamento e atualizações nas diretrizes para o cumprimento de políticas internas e exigências contratuais. Para Aragon e Vladmir 9 (2008, apud Junior, 2009, p. 25), para que a governança de TI com base no CobiT seja aplicada é necessário que esteja consistente com os objetivos do negócio e suas estratégias relacionadas a TI, pois a implantação de padrões e boas práticas permite alcançar melhores resultados se for aplicada com um conjunto de princípios e um ponto inicial para adaptar os processos na empresa, substituindo o uso de soluções prontas para solucionar todos os problemas. O CobiT tem grande alcance, permitindo que diversos grupos de pessoas usufruam de seus benefícios, como é citado por Fagundes (2011): Gerentes que precisam avaliar riscos e controlar investimentos em TI em uma organização; Usuários que necessitam estar seguros de que os serviços de TI que dependem os seus produtos e serviços para os clientes internos e externos estejam bem gerenciados; Auditores que podem utilizar as recomendações que o CobiT disponibiliza para avaliar o nível da gestão de TI e aconselhar o controle interno da organização. 9 ARAGON, F. e VLADMIR, F. de A. Implantando a governança de TI: da estratégia à gestão dos processos e serviços. Rio de Janeiro : Brasport, Edição.

22 Características De acordo com o ITGI (2007, p ), o modelo CobiT foi criado com as principais características de: Ser focado em negócios: não foi desenvolvido apenas para ser utilizado por provedores de serviços, usuários e auditores, mas também fornecer um guia completo para ser utilizado pelos executivos e donos de processos de negócios; Orientado para processos: o CobiT define as atividades de TI como um modelo de processos genéricos com quatro domínios, que contemplam as diversas áreas de TI em planejamento, construção, processamento e monitoramento; Baseado em controles: o CobiT fornece um conjunto completo de requisitos de alto nível a serem considerados pelos executivos para um controle efetivo de cada processo de TI; Baseado em medição: toda organização deve conhecer a situação de seus sistemas de TI, o nível de controle que a empresa deve ter e se o custo é justificado pelo benefício. Para Dorow (2010), o CobiT auxilia na identificação de quais processos serão necessários implementar para o bom gerenciamento da TI, de modo que os executivos do negócio tenham o controle sobre ela. O CobiT é um integrador de frameworks, como o ITIL, PMI, ISO27001, dentre outros, que indicam como implementar os processos, enquanto ele foca em quais devem ser utilizados. De acordo com o ITGI (2007, p. 8), o CobiT provê uma metodologia que assegura que a TI esteja alinhada com os negócios, utilizando de forma responsável os recursos da Tecnologia da Informação e gerenciando de forma apropriada os riscos. Para isso, baseia-se em cinco áreas de foco na Governança da TI, conforme Figura 1:

23 22 Figura 1 - Áreas de Foco na Governança de TI Fonte: ITGI Alinhamento estratégico: busca garantir a ligação entre os planos de negócios e os de TI, definindo, mantendo e validando sua proposta de valor, alinhando as operações de tecnologia com as operações corporativas; Entrega de valor: onde se executa a proposta de valor da TI através do ciclo de entrega, garantindo que ela forneça os benefícios que foram previstos na estratégia da organização, buscando otimizar custos; Gestão de riscos: necessita que os funcionários mais experientes da organização gerenciem os riscos, inserindo essa gestão nas atividades da companhia, possuam um claro entendimento do apetite de risco da empresa e dos requerimentos de conformidade e transparência sobre os riscos significantes para a organização; Gestão de recursos: a busca pelo melhor uso dos investimentos e o gerenciamento correto dos recursos críticos de TI, como aplicativos, informações, infraestrutura e pessoas; Mensuração de desempenho: acompanhamento e monitoramento da implementação da estratégia, término do projeto, uso dos recursos, processo de performance e entrega dos serviços.

24 23 Para Vetter (2007, p. 51), os recursos de TI são gerenciados pelos processos para alcançarem metas que respondam aos requerimentos de negócio. Este é o princípio básico desse framework, que é representado pelo cubo do CobiT, como mostrado na Figura 2: Figura 2 - Cubo do CobiT Requisitos de Negócios Processos de TI Efetividade Eficiência Confidencialidade Integridade Domínios Processos Atividades Disponibilidade Conformidade Confiabilidade Aplicativos Informação Infraestrutura Pessoas Recursos de TI Fonte: Vetter Segundo a Bridge Consulting (2010, p. 4-5), com essa estrutura, o CobiT permite gerenciar os recursos de TI (aplicativos, informações, infraestrutura e pessoas) de modo que forneça informações relevantes ao atendimento dos objetivos de negócio e da governança com base em critérios de informação definidos (efetividade, eficiência, confidencialidade, integridade, disponibilidade, conformidade e confiabilidade), que são requisitos de controle aos quais as informações necessitam se adequar para atender aos objetivos do negócio Domínios e Processos Como afirmam Luciano e Testa (2011, p. 10), o CobiT é um guia para gestão e governança de TI que está baseado em quatro domínios, envolvendo um conjunto de 34 processos que irão garantir a completa gestão de TI, totalizando 318 atividades de controle que fazem parte destes processos. De acordo com o ITGI (2007), os quatro domínios do CobiT, são os seguintes:

25 24 1. Planejar e Organizar Este domínio cobre a estratégia e as táticas da organização, buscando o melhor planejamento para que a TI contribua a alcançar os objetivos de negócios. Para isso, precisa ser planejado, comunicado e gerenciado por diferentes perspectivas. Este domínio ajuda a responder a questões gerenciais, como: Saber se as estratégias de TI e de negócios da organização estão alinhadas; Se a empresa está obtendo um uso eficiente dos recursos utilizados; Se todos os funcionários da organização compreendem os objetivos da TI; Se os riscos de TI são entendidos e estão sendo gerenciados; Se a qualidade dos sistemas de TI é adequada às necessidades de negócios da organização. Os processos contidos neste domínio são: PO1 - Definir um Plano Estratégico de TI; PO2 - Definir a Arquitetura da Informação; PO3 - Determinar as Diretrizes de Tecnologia; PO4 - Definir os Processos, a Organização e os Relacionamentos de TI; PO5 - Gerenciar o Investimento de TI; PO6 - Comunicar Metas e Diretrizes Gerenciais; PO7 - Gerenciar os Recursos Humanos de TI;

26 25 PO8 - Gerenciar a Qualidade; PO9 - Avaliar e Gerenciar os Riscos de TI; PO10 - Gerenciar Projetos. 2. Adquirir e Implementar Ainda segundo o ITGI (2007), para realizar a estratégia elaborada, as soluções de TI precisam ser identificadas, desenvolvidas ou adquiridas, implementadas e integradas aos negócios. Esse domínio também rege alterações e manutenções nos sistemas existentes para garantir que as soluções continuem a atender aos objetivos de negócios. Este domínio lida com as seguintes questões de gerenciamento: Saber se os novos projetos fornecerão soluções que atendam às necessidades de negócios; Se os novos projetos podem ser entregues no tempo e orçamento previstos; Se os novos sistemas ocorreram apropriadamente quando implementados; Se as alterações poderão ser feitas sem afetar as operações de negócios atuais. Este domínio possui os seguintes processos: AI1 - Identificar Soluções Automatizadas; AI2 - Adquirir e Manter Software Aplicativo; AI3 - Adquirir e Manter Infraestrutura de Tecnologia; AI4 - Habilitar Operação e Uso;

27 26 AI5 - Adquirir Recursos de TI; AI6 - Gerenciar Mudanças; AI7 - Instalar e Homologar Soluções e Mudanças. 3. Entregar e Suportar De acordo com o ITGI (2007), este domínio lida com a entrega dos serviços solicitados, incluindo seu fornecimento, gerenciamento da segurança e continuidade, suporte para os usuários e o gerenciamento dos dados e recursos operacionais. Ajuda a responder às seguintes questões de gerenciamento: Saber se os serviços de TI estão sendo entregues conforme as prioridades dos negócios; Se os custos de TI estão otimizados; Se os trabalhadores estão habilitados a utilizar os sistemas de TI de forma produtiva e segura; Se os aspectos de confidencialidade, integridade e disponibilidade estão sendo observados com o objetivo de garantir a segurança da informação. Os processos deste domínio são os seguintes: DS1 - Definir e Gerenciar Níveis de Serviços; DS2 - Gerenciar Serviços Terceirizados; DS3 - Gerenciar o Desempenho e a Capacidade; DS4 - Assegurar a Continuidade dos Serviços;

28 27 DS5 - Garantir a Segurança dos Sistemas; DS6 - Identificar e Alocar Custos; DS7 - Educar e Treinar os Usuários; DS8 - Gerenciar a Central de Serviço e os Incidentes; DS9 - Gerenciar a Configuração; DS10 - Gerenciar Problemas; DS11 - Gerenciar os Dados; DS12 - Gerenciar o Ambiente Físico; DS13 - Gerenciar as Operações. 4. Monitorar e Avaliar Segundo o ITGI (2007), este domínio lida com o gerenciamento de performance, o monitoramento do controle interno, a aderência regulatória e a governança, pois, todos os processos de TI precisam ser avaliados constantemente para garantir sua qualidade e aderência aos requisitos de controle. Aborda as seguintes questões de gerenciamento: Saber se ocorre a medição da performance de TI para detectar problemas antes que ganhem maiores proporções; Se o gerenciamento garante que os controles internos são efetivos e eficientes; Se o desempenho da TI pode ser associado aos objetivos de negócio;

29 28 Se a organização possui controles adequados para garantir confidencialidade, integridade e disponibilidade das informações. Este domínio contém os seguintes processos: ME1 - Monitorar e Avaliar o Desempenho de TI; ME2 - Monitorar e Avaliar os Controles Internos; ME3 - Assegurar a Conformidade com Requisitos Externos; ME4 - Prover Governança de TI. Cada um dos 34 processos, segundo ITGI (2007, p.15), define objetivos de controle, englobando os processos e gerência de aplicativos. Controle se refere às políticas, práticas e estruturas desenvolvidas para prover uma garantia de que os objetivos de negócios serão atingidos e eventos indesejáveis possam ser evitados, detectados e corrigidos, fornecendo um conjunto completo de requisitos de alto nível a serem considerados pelos executivos para uma gestão eficiente dos processos de TI. Neste trabalho, será dado um foco em como o CobiT pode auxiliar a reduzir custos e trazer Retorno Sobre o Investimento, que é abordado por um dos processos do domínio Planejar e Organizar: o PO5. Logo, este processo será especialmente apresentado, ilustrando algumas de suas características O Processo PO5 O processo PO5 (Gerenciar o Investimento de TI), é utilizado com o objetivo de melhor controlar os gastos e aumentar o Retorno Sobre o Investimento. Sua descrição é a seguinte: Estabelecer e manter uma estrutura para gerenciar os programas de investimentos em TI que contemple custos, benefícios, prioridade dentro do orçamento, um processo formal de definição orçamentária e gerenciamento

30 29 de acordo com o orçamento. As partes interessadas são consultadas para identificar e controlar os custos totais e os benefícios dentro dos contextos estratégicos e táticos da TI e iniciar ações de correção quando necessário. O processo promove a parceria entre a TI e as partes interessadas do negócio, permite o uso eficaz e eficiente dos recursos de TI, provê transparência, atribui responsabilidade pelo custo total de propriedade (TCO, Total Cost of Ownership), realização dos benefícios do negócio e do retorno sobre os investimentos em TI. (ITGI, 2007, p.49) Segundo o mesmo autor, este processo busca melhorar de forma contínua e visível a relação custo-benefício da TI e sua contribuição para a lucratividade do negócio. Foca em decidir o portfólio e os investimentos realizados em Tecnologia da Informação de forma eficaz, eficiente e alinhado com as estratégias de TI e decisões de investimento. É alcançado por: Previsão e alocação de orçamentos; Definição do critério de investimento formal, como o ROI Retorno sobre o Investimento; Medição e avaliação do valor de negócio comparado à previsão. E é medido por: Redução percentual do custo unitário dos serviços de TI entregues; Percentual de desvio do valor orçamentário comparado com o orçamento total; Percentual dos gastos de TI expressos através de motivadores de valor de negócio. De acordo com o ITGI (2007, p. 50), este processo possui 5 objetivos de controle detalhados, que são os seguintes:

31 30 PO5.1 Estrutura da Administração Financeira: Busca desenvolver e manter uma estrutura financeira que gerencie investimentos e custos de bens e serviços de TI utilizando portfólios de investimentos, estudos de caso e orçamentos de TI; PO5.2 Priorização dentro do Orçamento de TI: Implementar um processo para realizar tomadas de decisões que priorize a alocação dos recursos de TI nas operações, projetos e manutenção para aumentar a contribuição da TI na otimização dos retornos do programa de investimentos e outros serviços e recursos da TI; PO5.3 Processo de Orçamento de TI: Desenvolver um processo para criar e gerenciar um orçamento que reflita as prioridades estabelecidas no portfólio de programas de investimentos de TI da organização, que contenha os custos de operação e manutenção da infraestrutura. O processo deve suportar a criação do orçamento de TI total, bem como o desenvolvimento de orçamentos para programas individuais, com foco nos componentes de TI. O processo deve permitir revisão, refinação e aprovação contínua do orçamento de TI total e de programas individuais; PO5.4 Gerenciamento de Custo: Busca implementar um processo que gerencie o custo, comparando os custos e benefícios reais, monitorando-os e relatando-os. Quando houver desvios, devem ser identificados a tempo, avaliando os seus impactos sobre os programas e desenvolvendo ações corretivas apropriadas para ser tomadas junto com o patrocinador do negócio desses programas. Quando necessário, o estudo de caso deve ser atualizado; PO5.5 Gerenciamento de Benefícios: Implementar um processo que monitore os benefícios de oferecer e manter capacidades de TI apropriadas. Devem ser identificadas, monitoradas e reportadas as contribuições esperadas da TI para com os resultados de negócio, tanto como um componente de programas de investimento em TI quanto como parte da operação de suporte

32 31 regular. Os relatórios devem ser revisados e ações apropriadas devem ser definidas e implantadas onde houver oportunidade para melhorar a contribuição de TI. O programa de estudo de caso deve ser atualizado ao ser afetado por mudanças na contribuição da TI ou por projetos relacionados O Modelo de Maturidade do CobiT Segundo Fernandes e Abreu 10 (2008, apud Mancini e Prado, 2011, p. 8) e Bartie 11 (2002, apud Mancini e Prado, 2011, p. 8), o CobiT possui um modelo de maturidade baseado no SW-CMM 12, oferecendo em cada processo de TI níveis de maturidade para uma organização ser medida e avaliada. Os níveis são os seguintes: Nível 0 (Inexistente): Para a organização, não existe nenhum processo a ser gerenciado; Nível 1 (Inicial): Os processos são esporádicos e desorganizados e seu gerenciamento é realizado de acordo com o caso; Nível 2 (Repetível): Os processos já possuem estrutura e procedimentos semelhantes e são seguidos por diferentes indivíduos para a mesma tarefa. Existe grande dependência do conhecimento individual e alguma documentação; Nível 3 (Definido): Os processos são padronizados, documentados e comunicados; 10 FERNANDES, A. A.; V. F. Implantando a governança de TI: da estratégia à gestão dos processos e serviços. Rio de Janeiro: Bras-port, BARTIE, A. Garantia da Qualidade de Software. Rio de Janeiro: Editora Elsevier, SW-CMM: Capability Maturity Model

33 32 Nível 4 (Gerenciado e Mensurável): Processos são monitorados e medidos conforme os procedimentos, e ações são tomadas quando os resultados não são efetivos; Nível 5 (Otimizado): Existe preocupação com a melhoria contínua, adotando as melhores práticas e automatizando os processos. A Figura 3, ilustra o Modelo de Maturidade utilizado pelo CobiT, apresentando todos os seus níveis e utilizando legendas para identificá-los, defini-los e situar, dentre os níveis propostos, o estágio atual da empresa, o nível médio apresentado no mercado e a meta a ser alcançada pela empresa. A figura pode ser vista a seguir, do modo como foi elaborado pelo ITGI (2007, p. 20): Figura 3 - Modelo de Maturidade do CobiT Fonte: ITGI Segundo Mancini e Prado (2011, p. 8), utilizando os níveis de maturidade, pode-se compreender e explicar melhor os pontos de melhoria. Para alcançar o nível almejado, utiliza-se os objetivos estratégicos da organização como referência, pois mostram se a empresa depende da TI para gerar os seus negócios, além de medir o nível de maturidade dos processos de TI, definindo quais são fracos, e quais devem ser melhorados. De acordo com o ITGI (2007, p ), os níveis de maturidade são utilizados como modelos de processos que a empresa reconheceria como situações atuais e futuras.

34 33 Eles não são designados como um modelo onde não se pode avançar para o próximo nível sem antes ter cumprido as condições do nível inferior, e também não há intenção de certificar que aquele nível foi exatamente atingido. Quando a avaliação de maturidade usando o CobiT é aplicada, às vezes uma implementação estará se desenvolvendo em diferentes níveis mesmo que não de maneira completa. Esses pontos fortes podem ser desenvolvidos para aprimorar a maturidade O Modelo de Maturidade do PO5 De acordo com o ITGI (2007, p. 52), o modelo específico para o processo PO5 é o seguinte: Nível 0 (Inexistente): Não existe a consciência da importância de selecionar o investimento e orçamento de TI; Não existe monitoramento dos investimentos e gastos em TI; Nível 1 (Inicial/ Ad hoc): A organização reconhece a necessidade de gerenciar o investimento em TI, mas comunica-a inconsistentemente; A alocação das responsabilidades pela seleção de investimento e desenvolvimento orçamentário de TI é feita de forma ad hoc; Acontecem implementações isoladas de seleção de investimento e orçamento de TI e são documentadas informalmente; Os investimentos de TI são justificados de forma ad hoc; Ocorrem decisões orçamentárias reativas e focadas na operação;

35 34 Nível 2 (Repetível, porém Intuitivo): Existe um entendimento implícito da necessidade de selecionar os investimentos e orçamentos de TI; A necessidade de um processo orçamentário e de seleção é comunicada; A conformidade depende de algumas pessoas da organização; Estão surgindo técnicas comuns para criar componentes do orçamento de TI; São tomadas decisões orçamentárias táticas e reativas; Nível 3 (Processo Definido): Políticas e processos de investimento e orçamento são definidos, documentados e comunicados, contemplando aspectos tecnológicos e de negócio fundamentais; O orçamento de TI está alinhado à sua estratégia e aos planos de negócio; Os processos de orçamento e seleção de investimentos de TI são formalizados, documentados e comunicados; Já existem treinamentos formais, mas ainda baseados em iniciativas individuais; Foi estabelecida a aprovação formal das seleções de investimentos e orçamento de TI; A equipe tem habilidades e experiência necessárias para elaborar o orçamento e recomendar investimentos em TI;

36 35 Nível 4 (Gerenciado e Mensurável): A responsabilidade por definir o orçamento e selecionar investimentos é atribuída a uma pessoa específica; Variações no orçamento são identificadas e resolvidas; Análises formais de custo abrangem custos diretos e indiretos das operações, bem como investimentos propostos, considerando todos os custos incidentes sobre o ciclo de vida total; O processo orçamentário é proativo e padronizado; O impacto da migração de custos de desenvolvimento e operação de hardware e software para a integração de sistemas e recursos humanos de TI é reconhecido nos planos de investimento; Benefícios e retornos são calculados em termos financeiros e não financeiros; Nível 5 (Otimizado): Utiliza-se as melhores práticas da indústria para comparar custos e identificar abordagens visando a eficácia dos investimentos; Utiliza-se análises de desenvolvimento tecnológico no processo orçamentário e de seleção de investimento; O processo de gerenciamento de investimento é melhorado continuamente baseado em lições aprendidas pela análise do desempenho real do investimento; As decisões de investimentos incorporam tendências de melhoria de preço e desempenho;

37 36 As alternativas de financiamento são formalmente avaliadas no contexto da estrutura de capitais da organização, valendo-se de métodos formais de avaliação; Existe identificação proativa de variações; Uma análise dos custos e benefícios em longo prazo do ciclo de vida total é incorporada às decisões de investimentos Indicadores do CobiT Segundo Mancini e Prado (2011, p. 8), para medir o nível de um processo, o CobiT utiliza dois tipos de indicadores: Medições de resultados: indicam se um processo de TI alcançou os objetivos de negócios; Indicadores de desempenho: indicam o quanto os processos de TI estão sendo executados de maneira adequada no atendimento aos objetivos do negócio. Para Vetter (2007, p ), o CobiT define dois tipos de métricas: indicadores de metas e de desempenho. Os indicadores de metas de um nível inferior se tornam indicadores de desempenho em um nível superior. Indicadores de metas chave ou KGI 13 (adicionei o termo em amarelo) definem medidas que avaliam o processo em relação ao seu alcance quanto aos seus requerimentos de negócio, sendo utilizados como critérios de informação do COBIT. Contudo, os indicadores de desempenho chave ou KPI 14, definem métricas para medir a qualidade de execução de um processo para permitir o alcance de uma meta. 13 KGI: Key Goal Indicators. 14 KPI: Key Performance Indicators

38 Mede Alcanço. 37 Ainda de acordo com o mesmo autor, a Figura 4 mostra genericamente a relação entre processo, TI e metas de negócio entre as diferentes métricas. As metas são definidas de cima para baixo (KGI) e a execução é verificada pelas métricas (KPI) que direcionam uma meta de nível superior. As métricas possibilitam para a gerência corrigir o desempenho e realinhar os processos com as metas. Figura 4 - Relação entre Processo, Metas e Métricas Define Metas. Meta Atividade Meta Processo Meta Meta Negócio TI Direciona Direciona Direciona Métricas Atividade Métricas Processo Métricas TI KPI Métrica Negócio KGI Métricas Negócio Melhora e Realinha. KPI Métrica TI KGI KPI Métrica Processo KGI Direciona Desempenho. Fonte: Vetter Como pôde ser observado no decorrer deste capítulo, com os avanços da TI, as empresas passaram a se beneficiar com a sua utilização e, simultaneamente, possibilitou a ocorrência de maiores fraudes, de modo que se precisou elaborar uma lei que permitisse maior transparência nas operações financeiras e que levou as organizações a necessitar de modelos de gestão da tecnologia, dentre eles, o CobiT, que se destaca inclusive por agregar os outros modelos. O CobiT é um framework que apresenta boas práticas para auxiliar no gerenciamento da Tecnologia da Informação nas organizações. Não depende de nenhuma plataforma de TI e é dividido em 4 domínios e 34 processos que abordam todas as atividades que são desenvolvidas pela TI, buscando otimizar o serviço.

39 38 Dentre os processos, se destaca o PO5, que envolve o gerenciamento dos investimentos em Tecnologia da Informação nas empresas, apresentando também 5 objetivos de controle detalhados que indicam metas a serem alcançadas pela organização. O CobiT também apresenta vários níveis de maturidade que são utilizados individualmente por cada processo e possui metas e métricas que auxiliam a alcançar os resultados esperados, de modo que foi apresentado quais ações a empresa deve executar para cada nível de maturidade do processo PO5. A partir da análise do CobiT, com seus domínios, processos e atividades, pode-se ter uma visão ampla sobre os aspectos da TI na organização, abrangendo todos os setores e possibilitando melhor controle das atividades envolvidas no gerenciamento da tecnologia. Nesta pesquisa, o CobiT foi aplicado à Faculdade Sete de Setembro, que será apresentada no capítulo seguinte, juntamente com os resultados do questionário, que utilizou o processo PO5, com seus objetivos de controle detalhados e Modelo de Maturidade.

40 39 3 GESTÃO DE TI NA FACULDADE SETE DE SETEMBRO Neste capítulo, será apresentada a Faculdade Sete de Setembro, seu Departamento de Tecnologia e Informação e como foi realizada a elaboração do questionário para a obtenção de dados sobre a instituição, finalizando com os resultados obtidos na pesquisa. O objetivo deste capítulo é apresentar os ambientes onde a pesquisa foi desenvolvida e que forneceu informações fundamentais para o trabalho, além de abordar os resultados, que indicam como a instituição gerencia seus investimentos em TI. 3.1 A FACULDADE SETE DE SETEMBRO A pesquisa foi realizada com base na Faculdade Sete de Setembro (Fasete), uma instituição de ensino superior privada, localizada na cidade de Paulo Afonso, no estado da Bahia, na Av. Ver. José Moreira Centro. A faculdade possui 1317 alunos matriculados e 6 cursos presenciais: Administração, Direito, Educação Física, Enfermagem, Letras e Sistemas de Informação. Possui também 4 cursos de pós-graduação presenciais: Direito Processual e Constitucional, Docência do Ensino Superior, Gestão de Tecnologia da Informação e Gestão Empresarial, além de oferecer diversos cursos de graduação e pós-graduação na modalidade ensino à distância em parceria com o Grupo Uniasselvi. A faculdade conta também com diversos eventos realizados ao longo do ano, com destaque para o Congresso Interdisciplinar da Faculdade Sete de Setembro (Coninfa), que possibilita a integração de toda a comunidade acadêmica, tendo participação de todos os cursos da instituição e contando com o apoio de outros setores da sociedade, como o comércio da cidade, por exemplo. Também são realizados eventos direcionados aos cursos da faculdade, como o Colóquio de Administração, o Festival Literário de Paulo Afonso (Flipa), a Jornada Jurídica, a

41 40 Semana de Enfermagem da Fasete (Senffa) e o Encontro Tecnológico do Vale do São Francisco (Tecvale). Na instituição, diversos departamentos funcionam em conjunto, visando manter as atividades da faculdade, dentre eles: Assessoria de Desenvolvimento Acadêmico e Profissional (ADAP), Assessoria de Comunicação (ASCOM), Assessoria de Segurança, Biblioteca, Departamento de Recursos Humanos (DRH), Departamento de Serviços de Apoio e Manutenção (DSAM), Departamento de Tecnologia e Informação (DTI), Financeiro e Secretaria Acadêmica. Cada departamento tem funções específicas e todos se utilizam de alguma forma da Tecnologia da Informação, dentre eles, destaca-se o DTI, que é o departamento responsável pela TI utilizada pela faculdade e onde o CobiT pode ser aplicado de modo que traga resultados para a instituição. 3.2 O DEPARTAMENTO DE TECNOLOGIA E INFORMAÇÃO Segundo a Fasete, o Departamento de Tecnologia e Informação é responsável por implantar, acompanhar o funcionamento e manutenção da Tecnologia da Informação na faculdade, incluindo a rede institucional, estações de trabalho dos colaboradores e alunos e dos softwares administrativos e educacionais utilizados, garantindo que a TI seja utilizada de forma correta e com o mínimo de falhas. Este departamento tem uma importância vital para o desenvolvimento das atividades, pois em todos os setores da faculdade, a tecnologia da informação se faz necessária, de modo que não se concebe atualmente um estabelecimento de ensino sem a sua utilização. A TI é aplicada para gerenciar os dados necessários ao funcionamento correto da instituição, pois todos os setores usam softwares para controlar suas atividades e armazenar informações de todo tipo. Sua falta temporária pode paralisar a maior parte das operações realizadas, que teriam que ser repostas depois, além de ter boa

42 41 parte dos funcionários sem poder realizar suas atividades, pois dependem diretamente da tecnologia. Se a TI ficar indisponível a empresa vai ter prejuízo de trabalho e financeiro, algo indesejável e que deve ser evitado através de um bom gerenciamento, análise e suporte da tecnologia, pois quando administrada corretamente auxilia no desempenho da instituição. Segundo a Fasete (2005), dentre as atribuições do DTI está a manutenção do site da instituição, visando mantê-lo sempre disponível, pois ele apresenta as informações, notícias e outros conteúdos acerca da faculdade, dentre eles o Portal Educacional, que armazena os dados dos alunos, como: notas, histórico, documentos, arquivos, pré-matrícula, dentre outras informações fundamentais para o acompanhamento do aluno sobre sua situação atual. Ainda de acordo com a faculdade, o departamento é responsável por inúmeras atividades, como instalação e remoção de softwares e antivírus, de modo que só podem ser realizadas por este setor. Também é responsável pela segurança da informação e das contas dos usuários, mantendo disponíveis os dados dos diretórios pessoais, como também, se necessário o DTI pode apagar arquivos e suspender acessos. Segundo o responsável pelo DTI, os alunos da faculdade tem à sua disposição 3 laboratórios de informática, com um total de 97 computadores, que são utilizados em aulas práticas necessárias às atividades dos cursos. O DTI deve, dentre suas funções, manter estes equipamentos funcionando da forma correta e com os softwares necessários instalados, já que são diretamente aplicados nas aulas diárias do curso.

43 ELABORAÇÃO DO QUESTIONÁRIO Segundo o ITGI (2007, p. 20), o CobiT foi desenvolvido para o gerenciamento de processos de TI com grande ênfase em controles, e é mais bem tratado através de avaliações que provocam a consciência, capturam o consenso geral e incentivam o aprimoramento. Essas avaliações podem ser executadas a partir das descrições do nível de maturidade como um todo ou com um maior rigor através de cada uma das afirmações individuais dessas descrições. Ainda de acordo com o mesmo autor, a vantagem da abordagem de modelo de maturidade é a facilidade de os gerentes colocarem-se em uma escala e avaliar o que está envolvido no aprimoramento da performance da organização. A escala de 0, pois é possível que um processo não exista de fato, a 5 é baseada em uma escala simples de maturidade, demonstrando como um processo evolui de capacidade inexistente para otimizada. Para a realização desta pesquisa, foi elaborado um questionário com 54 perguntas no total, cujo objetivo é obter informações a respeito do Departamento de Tecnologia e Informação (DTI), da Faculdade Sete de Setembro (Fasete) e descobrir como a TI é abordada na instituição, sendo parte do seu planejamento e dos seus investimentos. O questionário foi destinado ao responsável pelo DTI, Igor de Oliveira Costa, e foi dividido em duas partes com objetivos distintos. A primeira parte do questionário possui 18 questões subjetivas relacionadas ao departamento e à gestão da TI e da Fasete, cujo objetivo é obter informações que possam auxiliar na compreensão do ambiente pesquisado e na definição de melhorias que possam ser implementadas pela faculdade. Dentre as 18 questões, 6 foram elaboradas com base nos objetivos de controle do processo PO5 com o intuito de verificar se eles foram alcançados pela instituição.

44 43 Na segunda parte, foram elaboradas 36 questões que buscam definir o nível de maturidade da faculdade no gerenciamento do investimento em TI, de modo que cada questão foi desenvolvida a partir de uma diretriz do Modelo de Maturidade do processo PO5 do CobiT, assim, cada uma pertence a um nível distinto e possui uma pontuação diferente. Para alcançar os valores de cada questão, foi utilizada a seguinte fórmula: Valor da Questão (x) = 100 / Quantidade de diretrizes do nível (x) Onde x representa o Nível de Maturidade. Logo, se o nível 0 possui duas diretrizes, cada uma vale 50% do nível de maturidade alcançado. Para encontrar a maturidade de um determinado nível, somam-se os valores de todas as questões deste nível cujas respostas estejam de acordo com o Modelo de Maturidade. Para tornar o questionário mais compreensível, algumas questões precisaram ser divididas em duas, de modo que cada uma passou a ter metade do valor de uma questão deste nível. A seguir, são mostradas as questões relacionadas a cada nível de maturidade, com o seu valor, em porcentagem: Nível 0: questão 1 (50 %), questões 24 e 25 (25% cada); Nível 1: questões 6, 8 e 21 (20% cada), questões 9, 10, 26 e 27 (10% cada); Nível 2: questões 2, 3, 22, 23 e 33 (20% cada); Nível 3: questões 4, 5, 11, 12 e 19 (16,66% cada), questões 34 e 35 (8,33% cada);

45 44 Nível 4: questões 7, 13, 14, 20 e 29 (16,66% cada), questões 31 e 32 (8,33% cada); Nível 5: questões 15, 16, 17, 18, 28, 30 e 36 (14,28% cada). 3.4 RESULTADOS DA PESQUISA Serão apresentados a seguir os resultados obtidos a partir da pesquisa realizada através do questionário contendo 54 perguntas e que foi aplicado no DTI da Fasete. O questionário pode ser visto na íntegra no apêndice deste trabalho, pois é inviável apresentá-lo completamente neste capítulo, dada a quantidade de perguntas elaboradas. Os resultados foram divididos em duas partes, para facilitar a organização do trabalho e da compreensão das respostas, com isso, inicialmente serão apresentados os resultados da primeira parte do questionário, que conta com uma junção de todas as respostas, de modo que as informações possam ser melhor compreendidas. Em seguida, os resultados da segunda parte serão apresentados, indicando a maturidade atingida pela instituição A Faculdade A parte 1 do questionário teve 18 perguntas, cujo objetivo era recolher informações acerca da instituição, do Departamento de Tecnologia e Informação e de como a TI é gerenciada. Os resultados obtidos serão apresentados a seguir. O DTI supervisiona na faculdade um total de 196 computadores, que são utilizados nos laboratórios pelos alunos e nos departamentos pelos funcionários, de modo que se mantém uma integração com todos os setores da faculdade, se envolvendo com os assuntos relacionados à Tecnologia da Informação.

46 45 Para que o Departamento possa exercer corretamente suas atividades, estão disponíveis 6 funcionários e 2 estagiários, com os seguintes cargos: Administrador de Redes: responsável por gerenciar a TI de modo geral; Analista de Suporte: responsável por prestar suporte aos sistemas e infraestrutura da faculdade; Técnico de Apoio: presta assistência aos usuários e equipamentos. Os principais investimentos realizados pelo DTI são para a aquisição de equipamentos e softwares e os principais gastos estão relacionados a insumos em geral, como energia, por exemplo. A faculdade começou recentemente a distribuir os custos em tecnologia entre os seus departamentos, de modo que cada setor utiliza sua própria verba para a aquisição dos equipamentos que serão necessários para o desenvolvimento das suas atividades. Esta medida descentraliza os custos, que se concentravam no DTI, que continua responsável pela supervisão dos equipamentos. A realização do planejamento para novos investimentos em Tecnologia da Informação geralmente é realizado no início do ano e é desenvolvido baseado na demanda da faculdade, cuja direção participa diretamente de sua elaboração, de modo que a faculdade não fornece verba para ser utilizada em algum investimento ou gasto imprevisto. O DTI é responsável por fornecer seus dados relacionados à Tecnologia da Informação, sejam ou não financeiros, à faculdade, que os utiliza em seus planejamentos e para aumentar a sua competitividade. No DTI, costuma-se realizar uma avaliação do valor gasto comparando-o ao orçamento que foi previsto, mas a verba destinada à tecnologia não é considerada suficiente para realizar o trabalho como desejado.

47 46 Nunca foi realizada no DTI uma avaliação que utilizasse o Retorno Sobre o Investimento, de modo que não se conhece os resultados que podem ser apresentados por esta análise. Neste questionário, somente 2 das 6 questões baseadas nos objetivos de controle do PO5 tiveram resultado afirmativo, a seguir: No Departamento de Tecnologia e Informação, para que se estabeleça e mantenha uma estrutura financeira adequada, antes de todo investimento realizado é necessário que se desenvolva um projeto e seu orçamento. Existe no DTI um processo de priorização das operações dentro do orçamento previsto para a TI. As outras 4 questões baseadas nos objetivos de controle tiveram um resultado negativo, de modo que não são alcançados em sua maioria. São os seguintes: A faculdade não possui um processo de gerenciamento de custo para seu monitoramento, que pudesse comparar custos e benefícios reais. Caso haja algum desvio nos custos, não é realizado a tempo um processo de identificação, avaliação de impactos e a utilização de ações corretivas. Não existe na instituição um processo definido que gerencie os benefícios, de modo que as contribuições da Tecnologia da Informação para com os resultados do negócio sejam identificadas, monitoradas e reportadas. Porém, o DTI busca sempre alinhar os benefícios da TI com o negócio juntamente à direção da faculdade. Não existe no Departamento de Tecnologia e Informação um processo para o controle do orçamento que reflita as prioridades de um portfólio de investimentos, envolvendo o orçamento total e o de programas individuais.

48 Maturidade A partir das análises dos dados recolhidos na parte 2 do questionário, como a quantidade de questões de cada nível selecionadas, pode-se encontrar a maturidade da faculdade dentro do processo PO5 do CobiT, que é apresentado a seguir: Nível 0 (Inexistente): a faculdade tem uma taxa de 0% de acordo com este nível; Nível 1 (Inicial/ Ad hoc): a faculdade tem uma taxa de 80% de acordo com este nível; Nível 2 (Repetível, porém Intuitivo): a faculdade tem uma taxa de 80% de acordo com este nível; Nível 3 (Processo Definido): a faculdade tem uma taxa de 49,98% de acordo com este nível; Nível 4 (Gerenciado e Mensurável): a faculdade tem uma taxa de 49,98% de acordo com este nível; Nível 5 (Otimizado): a faculdade tem uma taxa de 42,84% de acordo com este nível. No questionário aplicado, nas questões 11 e 31, foram marcadas alternativas que deveriam aumentar a pontuação da taxa de maturidade, mas foi respondido em seguida que em algumas ocasiões as práticas eram realizadas de acordo com o modelo e em outras não. Para que possa ser pontuado, a empresa deve estar de acordo com o modelo, logo, estas 2 questões foram desconsideradas na análise.

49 48 A Figura 5 a seguir, ilustra a comparação entre as taxas de maturidade alcançadas em cada nível, com base nas respostas obtidas no questionário, conforme apresentado anteriormente: Figura 5 Níveis de maturidade alcançados 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% Nível 1 Nível 2 Nível 3 Nível 4 Nível 5 Maturidade Fonte: Rocha A partir dos dados expostos, pode-se concluir que a faculdade está situada nos níveis 1 e 2 com uma taxa de 80% em ambos. Cada nível pode apresentar uma taxa de 0 a 100% de maturidade alcançada. O nível 0, conhecido como Inexistente, teve uma taxa de 0% de maturidade. Este nível não foi apresentado na Figura 5, conforme o modelo apresentado pelo ITGI (2007, p. 20), de modo que para ser alcançado, a faculdade não deveria ter consciência da importância de selecionar o investimento e orçamento de TI e não deveria haver monitoramento dos investimentos e gastos em TI. Como a instituição tem suas atividades em um nível mais elaborado, estas características não se aplicam à faculdade, explicando a taxa alcançada neste nível. Os níveis 1 e 2 atingiram uma alta taxa de maturidade, diferindo do 0 por exemplo. Este fato ilustra a característica do Modelo de Maturidade do CobiT de que um nível