DIRETRIZES PARA IMPLANTAÇÃO DA GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO COM BASE NO COBIT, A PARTIR DA ISO 9001: ASPECTOS DE GERENCIAMENTO DE PROJETOS

Transcrição

1 PROGRAMA DE PÓS-GRADUAÇÃO STRICTO SENSU EM GESTÃO DO CONHECIMENTO E DA TECNOLOGIA DA INFORMAÇÃO Mestrado em Gestão do Conhecimento e da Tecnologia da Informação DIRETRIZES PARA IMPLANTAÇÃO DA GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO COM BASE NO COBIT, A PARTIR DA ISO 9001: ASPECTOS DE GERENCIAMENTO DE PROJETOS Autor: Wesley Christian Gonçalves das Neves Orientadora: Prof a. Dra. Rejane Maria da Costa Figueiredo Co-orientador: Prof. Dr. Wander Cleber Maria Pereira da Silva 2007

2 ii WESLEY CHRISTIAN GONÇALVES DAS NEVES DIRETRIZES PARA IMPLANTAÇÃO DA GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO COM BASE NO COBIT, A PARTIR DA ISO 9001: ASPECTOS DE GERENCIAMENTO DE PROJETOS Dissertação submetida ao Programa de Pós-Graduação Stricto Sensu em Gestão do Conhecimento e Tecnologia da Informação da Universidade Católica de Brasília, como requisito para obtenção do Título de Mestre em Gestão do Conhecimento e Tecnologia da Informação. Orientadora: Prof. a. Dra. Rejane Maria da Costa Figueiredo Co-orientador: Prof. Dr. Wander Cleber Maria Pereira da Silva Brasília 2007

3 À minha família que sempre me apoiou na minha formação pessoal e profissional. Amo muito todos vocês. iii

4 iv AGRADECIMENTOS A Deus por ter me concedido a oportunidade de vida e saúde para a realização deste trabalho. Em especial, à minha esposa Gislane, namorada, companheira, amiga, razão da minha vida e maior incentivadora em todas as etapas dessa jornada. À minha mãe, Maria José e ao meu pai Israel, responsáveis pela minha educação e formação como homem e por todos os valores morais e pessoais que tenho perseguido ao longo da minha vida. À minha tia Luzia, segunda mãe que me criou e educou tal como seu legítimo filho. À minha irmã Rejane, eterna companheira e amiga desde o meu primeiro ano de idade. A todos os meus familiares que contribuíram direta ou indiretamente na minha educação e a me tornar na pessoa em que me tornei, com muito orgulho. À minha orientadora Rejane, que com muita paciência me orientou desde a formação da idéia deste trabalho. Ao meu co-orientador Wander, que nos momentos de dúvidas, trouxe sugestões iluminadas e engrandecedoras. Aos colaboradores da organização onde foi realizado o estudo de caso deste trabalho, que dedicaram seu tempo por várias vezes na participação das entrevistas. A todos que colaboraram de forma direta ou indireta para a realização desta pesquisa.

5 v Uma volta rápida requer um alto nível de integração entre corpo e mente. É a combinação dos dois que leva a um desempenho ótimo. Eu nunca consegui fazer uma volta perfeita. Sei que, ao olhar para trás, sempre houve um lugar para aperfeiçoar, não importa se em apenas um décimo de segundo ou centésimo de segundo. Sempre haverá espaço para fazer melhor. AYRTON SENNA

6 vi RESUMO Vários trabalhos vêm sendo desenvolvidos visando o aprimoramento e aproximação entre a TI e os negócios e nesse contexto a governança de TI, que é o conjunto de práticas de gestão de TI que busca auxiliar no balanceamento de riscos e oportunidades em um ambiente altamente dinâmico, otimizando tomadas de decisão, controlando custos, pessoas, contratos, possibilitando aos usuários a garantia da segurança dos serviços fornecidos pela TI, vêm sendo cada vez mais adotada pelas organizações. Alguns frameworks e modelos como o COBIT (Control Objectives for Information and Related Technology) vêm sendo adotados para auxiliar na governança de TI. Complementando, diversos trabalhos apresentam a utilização das normas ISO (International Organization for Standardization) como apoio aos frameworks de governança de TI. A norma ISO 9001 é uma norma que integra a série da norma ISO 9000 e descreve os fundamentos de sistemas de gestão de qualidade. Tanto o framework COBIT quanto a norma ISO 9001, abordam processos que estão relacionados aos aspectos de gerenciamento de projetos. Dado o contexto, este trabalho propõe diretrizes para implantação da governança de TI, baseadas no framework COBIT, especificamente nos processos relacionados ao gerenciamento de projetos, a partir de empresas que possuem seus processos atendendo a norma ISO A pesquisa é descritiva e, quanto aos meios de investigação, é bibliográfica e documental. Para refinamento das diretrizes foi realizado um estudo de caso em uma organização que possui seus processos de gerenciamento de projetos atendendo aos requisitos da norma ISO Este trabalho concluiu que os processos advindos da norma ISO 9001 relacionados ao gerenciamento de projetos contribuem para a implantação dos processos de gerenciamento de projetos no contexto da governança de TI, segundo o framework COBIT. Ressalta, no entanto, que empresas que vão implantar seus processos baseados na norma ISO 9001 antes da governança de TI devem se basear em metodologias ou frameworks de gerenciamento de projetos. Palavras-chave: Governança de TI, COBIT, ISO 9001, Gerenciamento de Projetos.

7 vii ABSTRACT Many studies have been developed in order to improve and strength the link between IT and business. In this context, IT governance which is a set of practical of IT management that assists in the risks balancing and opportunities in a highly dynamic environment, optimizing the decision process, controlling costs, people, contracts, making possible to users guarantee the security of services supplied for IT, is being used by organizations. Some frameworks and models such as the COBIT (Objectives Control will be Information and Related Technology) are used to assist the IT governance. In addition to that, many works deal with ISO standards (International Organization for Standardization) as a support to the frameworks of IT governance. The ISO 9001 is a norm that integrates the series of ISO 9000 and describes the fundamentals of quality management systems. Both the COBIT framework and the ISO 9001 approach processes which are related to aspects of project management. This work proposes guidelines to implement IT governance, based on COBIT framework, specifically on the processes related to the project management in companies that have their processes implemented according to the ISO 9001 standards. The research is descriptive, and data was obtained in bibliographical and documentary research. In order to validate those guidelines, a case study was used in an organization having its processes managed using the ISO 9001 standards. This work concludes that processes that follow the ISO 9001 standards for project management contribute to the implementation of project management processes in the context of the IT governance using the COBIT framework. Points out that companies that will still implement processes based on the ISO 9001 standards before implementing IT governance should base on methodologies or frameworks of project management. Keywords: TI Governance, COBIT, ISO 9001, Project Management.

8 viii SUMÁRIO 1. INTRODUÇÃO Contexto Tema Revisão da literatura Relevância do estudo Formulação do problema Objetivo geral Objetivos específicos Delimitação do estudo Organização do trabalho GOVERNANÇA DE TI O Framework COBIT O processo PO10 Gerenciamento de projetos NORMA ISO METODOLOGIA Classificação da pesquisa Suposições Coleta e analise dos dados Etapa 1 Correlação COBIT x ISO Etapa 2 Entrevista com especialistas Etapa 3 Pesquisa documental no escopo da ISO Etapa 4 Entrevista para verificação das práticas Considerações DIRETRIZES PARA IMPLANTAÇÃO DA GOVERNANÇA DE TI: GP CONCLUSÕES E TRABALHOS FUTUROS Conclusões Trabalhos futuros... 96

9 ix LISTA DE TABELA Tabela 1: Pesquisa literária nas bases de dados... 3

10 x LISTA DE QUADROS Quadro 1: Objetivos de controle do processo PO10 do COBIT Quadro 2: Entradas para o processo PO10 do COBIT Quadro 3: Saídas do processo PO10 do COBIT Quadro 4: Principais atividades do processo PO10 do COBIT e envolvidos Quadro 5: Níveis de maturidade para o processo PO10 do COBIT...19 Quadro 6: ISO 9001 Requisitos da gestão da qualidade Quadro 7: Itens e subitens da norma ISO Quadro 8: Termos utilizados para a correlação COBIT x ISO Quadro 9: Correlação COBIT x ISO Quadro 10: Correlação COBIT x ISO 9001 com pesquisa documental Quadro 11: Correlação COBIT x ISO 9001 com pesquisa documental e entrevistas. 41 Quadro 12: Representação gráfica da correlação COBIT x ISO Quadro 13: Diretrizes para implantação dos processos relacionados ao gerenciamento de projetos Quadro 14: Responsabilidades pelos artefatos de projeto Quadro 15: Plano institucional para treinamentos Quadro 16: Avaliação das ações de capacitação...112

11 xi LISTA DE FIGURAS Figura 1: Princípios básicos do COBIT Figura 2: Modelo de Controle do COBIT Figura 3: Representação gráfica do modelo de maturidade Figura 4: Visão geral do framework COBIT Figura 5: Relacionamento entre processos, metas e métricas Figura 6: Primeira etapa da pesquisa Figura 7: Segunda etapa da pesquisa Figura 8: Terceira etapa da pesquisa Figura 9: Quarta etapa da pesquisa Figura 10: Quinta etapa da pesquisa... 75

12 1 1. INTRODUÇÃO 1.1. Contexto Nas últimas décadas, a tecnologia da informação (TI) deixou de ser coadjuvante no processo organizacional e passou a ser protagonista na estratégia do negócio das organizações (DOMINGUES, 2004). Dada à relevância cada vez maior da área de TI, vários trabalhos vêm sendo desenvolvidos visando o aprimoramento e aproximação entre as áreas de TI e negócio. Segundo Weill e Ross (2006), governança de Tecnologia da Informação (TI) é o conjunto de práticas de gestão de TI que busca auxiliar no balanceamento de riscos e oportunidades em um ambiente altamente dinâmico, otimizando tomadas de decisão, controlando custos, pessoas, contratos, possibilitando aos usuários a garantia da segurança dos serviços fornecidos pela TI, bem como, especifica os direitos de decisão e responsabilidade na estrutura da organização, a fim de, obter o uso desejável da TI. A governança de TI vem sendo adotada com a utilização de alguns frameworks e modelos como o ITIL - Information Technology Infrastructure Library (OGC, 2002) e o COBIT - Control Objectives for Information and Related Technology (ITGI, 2000). Diversos trabalhos, Larsen, Pedersen e Andersen (2006), Von Solms (2005), Garcia (2005), Solnestam e Velásquez (2005), Warland e Ridley (2005) apresentam a utilização das normas ISO (International Organization for Standardization) como apoio aos frameworks de governança de TI. A ISO 9001 é uma norma que integra a série ISO A série ISO 9000 descreve os fundamentos de sistemas de gestão de qualidade e é aplicável a: organizações que buscam vantagens pela implementação de um sistema de gestão da qualidade; organizações que buscam a confiança nos seus fornecedores, certificados ISO, de que os requisitos de seus produtos serão atendidos; usuários dos produtos; agentes internos ou externos à organização, que avaliam o sistema de gestão da qualidade para verificarem a conformidade com os requisitos (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2000a e b). Na Governança de TI os projetos de TI são elementos que efetivamente materializam estratégias de TI. Tanto o framework COBIT quanto a norma ISO 9001, abordam processos que estão fortemente relacionados aos aspectos de gerenciamento de projetos.

13 Tema Com a crescente busca pelo alinhamento estratégico de TI aos negócios, as organizações estão implantando governança de TI. Para implantar a governança de TI as organizações utilizam frameworks, como o COBIT, para auxiliar nessa implantação. A norma ISO 9001 também vem sendo utilizada como apoio aos frameworks que auxiliam na governança de TI e os projetos são elementos que efetivamente materializam as estratégias da TI. Neste contexto, o propósito deste trabalho é propor diretrizes para implantação da governança de TI, baseadas no framework COBIT, a partir da ISO 9001, com foco nos aspectos de gerenciamento de projetos Revisão da literatura Para o desenvolvimento deste trabalho foi realizado um levantamento bibliográfico contemplando artigos, periódicos, dissertações, teses e livros relacionados ao tema deste trabalho - diretrizes para implantação da governança de TI com base no COBIT, a partir da ISO 9001: aspectos de gerenciamento de projetos. Foram realizadas pesquisas nas bases de dados ACM ( IEEE ( SCIRUS ( SCIELO ( e Web of Science ( Além das bases de dados, também foram realizadas pesquisas em sites de conferências e centros de estudos como ENAMPAD ( CONTECSI ( CATI ( e HICSS ( As pesquisas foram realizadas com a utilização de palavras-chave como: governança de TI, ISO 9000, ISO 9001, alinhamento de TI, alinhamento estratégico de TI, além da utilização dessas palavras de forma combinada, conforme apresentado na Tabela 1. Os primeiros trabalhos buscando estruturar o alinhamento entre TI e negócios foram desenvolvidos por Henderson e Venkatraman (1993), como o modelo Strategic Alignment Model (SAM), que é um dos modelos precursores e mais discutidos na literatura (REZENDE, 2002). No final dos anos 90 surgiram os primeiros trabalhos utilizando o termo governança de tecnologia da informação para as abordagens relacionadas ao alinhamento entre TI e negócios (DE HAES e GREMBERGEN, 2005). Peterson (2004), Grembergen, De Haes e Guldentops (2004), e Weill e Woodham (2002) propõem que a governança de TI deve ser implantada observando as seguintes perspectivas: estrutura, processos e mecanismos relacionados. Segundo De Haes e

14 3 Grembergen (2005), estrutura envolve a responsabilidade e participação dos executivos de TI e comitês apropriados; processos referem aos mecanismos adotados para a tomada e monitoração de decisões estratégicas; e os mecanismos relacionados incluem a participação e integração da TI e negócios. Tabela 1 Pesquisa literária nas bases de dados FONTES DE PESQUISA PALAVRAS-CHAVE Web of ACM IEEE Scirus Science Governança de TI ISO ISO Alinhamento de TI aos Negócios Alinhamento Estratégico de TI IT Governance + ISO IT Governance + ISO Gestão de Projetos + ISO Gestão de Projetos + Governança de TI Modelos e frameworks como o ITIL - Information Technology Infrastructure Library (OGC, 2002) e o COBIT - Control Objectives for Information and Related Technology (ITGI, 2000) tem sido utilizados na adoção da governança de TI. As normas ISO (International Organization for Standardization) também têm sido utilizadas como apoio aos modelos e frameworks utilizados na governança de TI. O ITIL foi desenvolvido pelo governo britânico no final da década de 1980 e tem como foco principal a operação e a gestão da infra-estrutura de tecnologia na organização, e o gerenciamento dos serviços de TI (ITGI, 2000). Segundo Sortica, Clementi e Carvalho (2004), o ITIL considera que um serviço de TI é a descrição de um conjunto de recursos de TI. Os serviços de suporte do ITIL auxiliam no atendimento de uma ou mais necessidades do cliente, apoiando, desta forma, seus objetivos de negócios. O framework COBIT (Control Objectives for Information and Related Technology) foi desenvolvido pela associação ISACA (Information System Audit and Control Association), que formou o instituto ITGI (IT Governance Institute), que atualmente mantém este

15 4 framework. O COBIT foi desenvolvido para auxiliar na melhoria do desempenho da TI em atendimento aos objetivos estratégicos da organização e na comunicação entre os processos de TI e os objetivos de negócios. No COBIT, objetivos de controle de TI são definidos de forma orientada a processos, agrupados em quatro domínios: planejamento e organização, aquisição e implementação, entrega e suporte, e monitoramento. Esses domínios agrupam vários objetivos de controle que se estruturam de tal forma a cobrir os principais aspectos da TI. (ITGI, 2000). A Norma ISO 20000, criada em 2005, certifica as organizações em processos relacionados ao gerenciamento de serviços de TI. A norma é fortemente baseada no ITIL e serve como um selo para atestar a eficiência organizacional no que tange ao gerenciamento de serviços de TI. Essa norma se baseia na implementação de processos de entrega dos serviços de TI, monitoração dos serviços de TI, gerenciamento de mudanças em ambiente, gerenciamento de configurações do ambiente de TI, continuidade e disponibilidade dos serviços e gerenciamento de fornecedores (INTERNATIONAL ORGANIZATION FOR STANDARDIZATION, 2005a e b). Outra norma ISO, utilizada para auxiliar na governança de TI, é a série da norma ISO (SOLNESTAM e VELASQUEZ, 2005) que integra a atual norma ISO 17799, que certifica as organizações em processos de gerenciamento de segurança da informação e a BS 7799 da British Standards Institute, que também aborda melhores práticas para o gerenciamento de segurança da informação. Além de se basear na norma ISO e BS 7799, a norma ISO contempla princípios de qualidade total da norma ISO 9001 (SOLNESTAM e VELASQUEZ, 2005). No contexto de aplicação de governança de TI, foram localizados alguns trabalhos. Dahlberg e Kivijarvi (2006) desenvolveram um framework baseado no COBIT para auxiliar na governança de TI, buscando maximizar a integração entre perspectivas estruturais e de processos organizacionais, para auxiliar os executivos a melhor entender, medir e gerenciar a governança de TI. Segundo os autores, a perspectiva estrutural integrada a perspectiva de processos conduz a uma visão holística, facilitando a visão do todo e aumentando o interesse dos executivos pelos processos. A Hewlett-Packard (HP) implantou o framework COBIT para melhorar seu programa atual de TI buscando aprimorar e monitorar o tempo na resolução de ocorrências e aumentar a

16 5 confiabilidade de seus clientes na entrega de produtos e serviços, medida pelo índice de satisfação dos mesmos e ao mesmo tempo priorizar produtos e serviços em consonância com seu planejamento estratégico (SALLÉ e ROSENTHAL, 2005). Segundo Sallé e Rosenthal (2005), o COBIT auxiliou na formulação de estratégias para melhorar o programa atual viabilizando a criação de um novo Balanced Scorecard (BSC). O BSC possibilitou maior integração entre as perspectivas financeiras, perspectivas de clientes, perspectivas internas e perspectivas de crescimento organizacional. Ainda segundo os autores, a adoção dos processos do COBIT resultou em um framework consistente permitindo o corpo gerencial avaliar com maior precisão e clareza os riscos e benefícios associados a vários aspectos de informação e tecnologia, trouxe diretrizes claras e proveu recomendações para alcançarem o estado da arte do programa de TI da HP para alinhar TI aos objetivos organizacionais. De Haes e Grembergen (2005) apresentam diretrizes para implantação da governança de TI. O trabalho foi desenvolvido em uma das maiores empresas européias do ramo financeiro. A implantação da governança de TI se deu diante da necessidade de respostas da organização sobre questões de priorização de projetos, conflito de interesse entre projetos e busca do aumento da competitividade. As diretrizes apresentadas, utilizadas na implantação da governança de TI na organização, também focaram os aspectos estruturais, processos e mecanismos relacionados constatados com o envolvimento da TI e áreas de negócios desde a iniciação do projeto, desenvolvimento e manutenção dos processos. Essa implantação possibilitou que a organização chegasse a uma estrutura que conseguia planejar todos os projetos previstos para o ano seguinte ao ano do exercício atual, priorizando os mais alinhados com a estratégia da organização e maior retorno sobre o investimento. Segundo os autores, a estrutura proposta evitava parcialidade, evitava o desenvolvimento de projetos irrelevantes e diminuía a possibilidade das pessoas pedirem projetos diretamente ao Comitê Executivo sem preparação e correta avaliação. Fernandes e Abreu (2006) apresentam uma visão integrada da governança de TI que pode ser adaptada a vários ambientes organizacionais. A partir de um modelo genérico, os autores detalham as etapas de implementação da governança de TI, abrangendo o alinhamento estratégico da TI ao negócio, a elaboração do portfólio de TI, as operações de serviços de TI, os modelos de relacionamento com usuários, clientes e fornecedores e, por fim, a gestão do desempenho da TI. Analisam as características e benefícios de mais de 20 modelos de melhores práticas que podem ser aplicados aos processos de TI, dentre eles o framework

17 6 COBIT, o ITIL, as referências em desenvolvimento de projetos como o PMBOK e o PRINCE 2, a BS 7799 e as normas ISO e ISO Simões (2006) define diretrizes para auxiliar no acompanhamento de projetos de desenvolvimento de software tendo como base os objetivos estratégicos e os principais problemas identificados no gerenciamento de projetos. O autor aplicou a metodologia de Balanced Scorecard (BSC) para auxiliar na definição de indicadores, metas e ações para atingir os objetivos estratégicos, originando um BSC específico para acompanhamento de projetos, chamado Project Scorecard. Com base no Project Scorecard foram definidos Planos de Medições dos projetos e esses planos de medições deram origem às diretrizes. Costa (2006) define diretrizes de um modelo de atuação estratégica para Escritórios de Gerenciamento de Projetos (EGP) de departamentos de TI. Segundo o autor, os modelos atuais dos EGP de TI são focados em uma atuação operacional sem considerar o alinhamento entre as estratégias de negócio e a TI, diminuindo o potencial dos EGP de gerar valor estratégico para a organização. As diretrizes propostas em seu trabalho objetivam melhorar a integração dos EGP, aumentando o enfoque estratégico para melhor contribuir com a governança de TI nas organizações. Na pesquisa bibliográfica foi encontrado um trabalho que aborda a utilização da norma ISO 9001 no processo de gerenciamento de projetos na governança de TI, foco deste trabalho, desenvolvidos por Warland e Ridley (2005). Os demais trabalhos encontrados faziam citações superficiais. O trabalho desenvolvido por Warland e Ridley (2005), foi incentivado pela pressão cada vez maior exercida pelos executivos às organizações para justificarem os investimentos em TI e o valor que a mesma estaria agregando às organizações. Com objetivo de avaliar como as empresas percebiam o ganho com a utilização de frameworks empregados na governança de TI foram entrevistados várias pessoas chave de diversas organizações. Um dos focos da pesquisa estava relacionado em verificar como se dava o processo de gerenciamento de projetos no âmbito da governança de TI e qual o impacto que a organização teria com a implantação de um framework de governança de TI com relação ao processo atual. A pesquisa mostrou que, em uma das organizações, a adoção dos padrões da norma ISO 9001 auxiliava tanto no planejamento quanto no desenvolvimento dos projetos. Segundo Warland e Ridley (2005), os padrões da norma ISO 9001 facilitavam a

18 7 implantação da governança de TI por auxiliar na definição de padrões e procedimentos por meio da definição clara dos eventos Relevância do estudo Apesar do tema governança de TI ser recente, observa-se o rápido crescimento dos assuntos relacionados e a ênfase dada na utilização de frameworks e modelos para auxiliar na governança de TI. Também se observa a utilização das normas ISO no contexto da governança de TI, tendo como exemplo a própria criação de uma norma, a ISO que foi fortemente baseada no ITIL, que certifica as organizações em processos relacionados ao gerenciamento de serviços de TI. Para a ISO 9001, que é referência em gestão da qualidade, foi identificado somente um trabalho com a utilização desta norma como apoio aos frameworks no processo de implantação da governança de TI. O cenário evidencia a lacuna existente com relação à utilização da norma ISO 9001 no contexto da governança de TI Formulação do problema A literatura é escassa quanto a diretrizes para auxiliar na implantação da governança de TI, principalmente quanto a trabalhos relacionados à utilização da ISO 9001 como facilitadora na implantação da governança de TI baseada no COBIT, em específico nos processos de gerenciamento de projetos. Devido à escassez de material que possam auxiliar na implantação de processos para o gerenciamento de projetos na governança de TI, baseada no COBIT, neste trabalho objetivase definir diretrizes para auxiliar neste cenário, tendo como ponto de partida, a norma ISO Dessa forma a questão principal deste trabalho é: Quais as diretrizes necessárias para implantar gerenciamento de projetos na governança de TI, segundo o COBIT, em organizações que adotam a norma ISO 9001? 1.6. Objetivo geral Definir diretrizes necessárias para implantação da governança de TI, baseada no COBIT, a partir da ISO 9001, para os processos de gerenciamento de projetos.

19 Objetivos específicos Mapear processos abordados pela ISO 9001, para a gestão de projetos, que possam auxiliar na implantação da governança de TI, baseando-se no COBIT; Mapear lacunas que devem ser observadas para implantação dos processos de gerenciamento de projetos na governança de TI, segundo o COBIT, a partir da norma ISO Por meio de pesquisa documental e entrevistas, identificar práticas em uma organização certificada na norma ISO 9001 que possam servir de recomendações para implantação dos processos de gerenciamento de projetos segundo o COBIT, a partir da norma ISO Delimitação do estudo Neste trabalho, é realizada pesquisa em uma única organização de grande porte, prestadora de serviços de TI para bancos e instituições financeiras, tendo sua matriz em Brasília e filiais em todos os estados da nação. Essa organização possui seus processos de gerenciamento de projetos atendendo aos padrões da norma ISO 9001 e pretende adequar seus processos ao framework COBIT no processo de governança de TI Organização do trabalho Este trabalho está organizado da seguinte forma: Neste Capítulo de Introdução situamse: o contexto e o tema do trabalho, revisão da literatura, as justificativas, a formulação do problema, objetivos e a delimitação do estudo. O Capítulo 2 Governança de TI apresenta os aspectos da governança de TI em seu estado da arte com suas principais características. Em seguida, apresenta-se o framework COBIT, ressaltando o processo de gerenciamento de projetos. No Capítulo 3 Norma ISO 9001 é feita uma contextualização da ISO (International Organization for Standardization), com foco na ISO 9001, objeto de estudo deste trabalho e ressalta os itens da norma que abordam os aspectos de gerenciamento de projetos. O Capítulo 4 Metodologia apresenta a classificação da pesquisa, suposições e o processo de coleta e análise dos dados realizada por pesquisa documental, entrevistas e estudo de caso.

20 9 O Capítulo 5 Diretrizes para implantação da governança de TI: GP aborda as diretrizes para implantação dos processos de gerenciamento de projetos em uma estrutura de governança de TI, baseada no framework COBIT, tendo como base o próprio framework do COBIT, a norma ISO 9001, a pesquisa documental e entrevistas realizadas em uma organização certificada na norma ISO No Capítulo 6 Conclusões e Trabalhos Futuros apresentam-se às conclusões e contribuições obtidas na realização desta pesquisa e perspectivas futuras. No APÊNDICE A, encontram-se os detalhamentos das práticas implementadas na organização onde foi realizada a pesquisa documental e as entrevistas, para os processos do escopo da certificação na norma ISO 9001.

21 10 2. GOVERNANÇA DE TI O The Ministry of International Trade and Industry (MITI) define governança de TI como a capacidade da organização de controlar a formulação e implementação de estratégias de TI, guiar e propor caminhos para alcançar vantagem competitiva para a organização. Para Luftman (2004), a estratégia de TI é composta por um conjunto de decisões tomadas pela TI e gerentes seniores que direcionam a estratégia de negócios, por meio da implementação de infra-estrutura de TI e de competências humanas que assistem a organização a se tornar mais competitiva. Segundo o autor, a estratégia de TI deve ser concebida não somente por escolhas tecnológicas, mas também pelo relacionamento das escolhas da tecnologia com as escolhas das estratégias de negócios. Segundo Grembergen (2004), governança de Tecnologia da Informação (TI) é a capacidade organizacional exercida pela alta administração, gerentes executivos e gerentes de TI em controlar a formulação e implementação da estratégia de TI e dessa maneira garantir a fusão entre a TI e o negócio. Para Weill e Ross (2006), a governança de TI é o conjunto de práticas de gestão de TI que busca auxiliar no balanceamento de riscos e oportunidades em um ambiente altamente dinâmico, otimizando tomadas de decisão, controlando custos, pessoas, contratos, possibilitando aos usuários a garantia da segurança dos serviços fornecidos pela TI, bem como, especifica os direitos de decisão e responsabilidade na estrutura da organização, a fim de, obter o uso desejável da TI. Weill e Ross (2006) fizeram um estudo em centenas de empresas e destacaram 10 (dez) princípios a serem observados na governança de TI, conforme seguem: Formular ativamente a governança - Exige o envolvimento de executivos seniores na elaboração da governança de TI, para tanto, é recomendado à criação de um comitê de governança corporativa e de arranjos amplamente entendidos por gerentes; Saber quando reformular - Reformular a governança de TI nos seguintes casos: divergência da mesma com o alinhamento estratégico, baixa performance dos resultados de TI ou ausência de comprometimento das áreas da organização com a estratégia adotada pela governança de TI;

22 11 Envolver os administradores seniores - O envolvimento dos administradores seniores na definição de novas estratégias, na aprovação dos processos e na avaliação dos projetos é apontado pelos autores como aspectos de sucesso para governança de TI; Fazer escolhas - Não é possível que a governança de TI atenda todas as metas da organização, mas pode e deve levar para debate as metas conflitantes, para que sejam avaliadas e estabelecidas prioridades observando interesses e necessidades da organização; Esclarecer o processo de tratamento de exceções - Deve estar previsto os processos de exceções de arquitetura e infra-estrutura de TI (aplicações e padrões), caso haja necessidade de mudança em função de uma área do negócio, bem como a responsabilidade de decisão da implementação do mesmo; Oferecer os incentivos certos - A governança é mais eficaz quando os sistemas de incentivos e recompensas estão alinhados com as metas organizacionais estimulando a sinergia entre as unidades de negócio; Atribuir a propriedade e a responsabilidade pela Governança de TI - A governança não pode ser formulada isoladamente, para tanto os autores recomendam a criação de comitês multidisciplinares, de modo que possam compartilhar a responsabilidade e a cobrança dos resultados mais estratégicos da organização; Formular a governança em múltiplos níveis organizacionais - Os autores recomendam que grandes organizações que possuam múltiplas unidades de negócio monte matrizes e arranjos de governança em múltiplos níveis explicitando as conexões e os pontos de pressão; Proporcionar transparência e educação - A transparência e a educação da organização a respeito dos processos de governança de TI devem ser amplamente difundidas pela organização por meio de portais, revistas internas, intranets, periódicos, dentre outros; Implementar mecanismos comuns entre os seis ativos principais (relacionamento, propriedade intelectual, humanos, informação e TI, físicos e financeiros) - Segundo os autores, controlar e monitorar estes ativos consiste na receptividade da direção da organização, proporcionando uma sinergia entre todos os ativos.

23 12 Vale ressaltar, que independente da definição adotada de governança de TI, a mesma deverá abordar o alinhamento da estratégia de TI e de negócios, responsabilidades, segurança da informação e continuidade dos negócios, monitoração dos processos, conformidades regulatórias, retorno sobre o investimento e gerência de risco (MARINHO, 2004). Kfouri (2004) afirma que o sucesso da governança de TI está diretamente relacionado aos seguintes aspectos: Cascatear a estratégia e os objetivos por toda organização; Prover estruturas organizacionais que facilitem a implementação da estratégia e dos objetivos; Instituir frameworks de controle de TI, adaptado e implementado de acordo com a necessidade da organização; Medir o desempenho da TI. Para auxiliar numa gestão eficaz de TI alinhada às estratégias de negócios, as organizações utilizam frameworks como o COBIT - Control Objectives for Information and Related Technology (ITGI, 2000) O Framework COBIT O framework COBIT provê boas práticas para a gestão da TI com foco em processos e atividades de controle. Essas práticas, além de auxiliarem na melhor entrega dos produtos e serviços de TI, também auxiliam na otimização dos investimentos em TI (ITGI, 2007). Conforme o manual de diretrizes de gerenciamento do COBIT 4.1 (ITGI, 2007), publicado pela ITGI em 2007, as principais características do framework COBIT são: a orientação aos negócios, orientação aos processos, orientação aos controles e por último, os mecanismos de medição. A orientação aos negócios busca unir os objetivos de negócio aos objetivos da TI, provendo métricas e modelos de maturidade para melhorar a avaliação da governança de TI, além de auxiliar na identificação de responsabilidades das áreas de negócios e TI. Para tanto, precisam gerenciar e controlar os recursos de TI por meio de processos estruturados que possibilitem entregar os produtos/serviços conforme planejamento. Esse é o princípio básico do COBIT, conforme Figura 1.

24 13 Que respondem aos Requisitos de Negócios Dirigem os investimentos em Informações Empresariais Recursos de TI Que disponibilizam Processos de TI Que são usados para Figura 1 Princípios Básicos do COBIT (ITGI, 2007) A orientação aos processos está definida em 34 (trinta e quatro) processos, divididos em quatro domínios, conforme descritos a seguir (ITGI, 2007): Planejamento e Organização (PO Plan and Organise) aborda as estratégias, táticas e aspectos para melhor contribuição da TI para alcançar os objetivos de negócios; Aquisição e Implementação (AI Acquire and Implement) aborda as estratégias de TI para identificação de soluções de TI necessárias, necessidades de desenvolvimento ou aquisição de tecnologia e implementação e integração com os processos de negócios; Entrega e Suporte (DS Deliver and Support) - aborda as estratégias para entrega dos serviços requisitados, incluindo entrega do serviço, gerenciamento da segurança e continuidade, suporte ao usuário e gerenciamento de dados e facilidades operacionais; Monitoração e Avaliação (ME Monitor and Evaluate) - aborda o gerenciamento de desempenho, monitoração de controles internos e provê a governança, visando avaliar a qualidade dos processos e conformidade com os requisitos de controle.

25 14 A orientação aos controles é definida com políticas, procedimentos e desenvolvimento da estrutura organizacional para garantir que os objetivos de negócios serão alcançados e os eventos indesejados serão prevenidos ou detectados e corrigidos. A Figura 2 mostra os princípios do modelo de controle do COBIT. Figura 2 Modelo de Controle do COBIT (ITGI, 2007) Os mecanismos de medição visam estruturar processos e fornecer ferramentas para avaliar o status atual e implementar estratégias para melhorar o gerenciamento e controle dos processos da governança de TI. Uma das formas de medição é a utilização do modelo de maturidade, conforme Figura 3. A utilização do modelo de maturidade nos 34 processos do COBIT permite identificar o atual estágio de maturidade que a organização se encontra, comparar seu estágio de maturidade com outras organizações e, definir estratégias para melhorar seu nível de maturidade. Figura 3 Representação gráfica do modelo de maturidade (ITGI, 2007)

26 15 A Figura 4 mostra o framework COBIT detalhando os quatro domínios com seus respectivos processos e o gerenciamento dos recursos de TI. ME1 Monitora e avalia desempenho da TI ME2 Monitora e avalia controles internos ME3 Assegura conformidade regulatória ME4 Provê governança de TI PO1 Define um planejamento estratégico de TI PO2 Define a arquitetura da informação PO3 Determina a direção tecnológica PO4 Define processos de TI, organização e relacionamentos PO5 Gerencia o investimento em TI PO6 Comunica objetivos e direcionamento da TI PO7 Gerência de recursos humanos da TI PO8 Gerência da qualidade PO9 Avalia e gerencia os riscos em TI PO10 Gerência de projetos DS1 Define e gerencia níveis de serviço DS2 Gerência de serviços de terceiros DS3 Gerência de desempenho e capacidade DS4 Assegura continuidade dos serviços DS5 Assegura segurança dos sistemas DS6 Identificação e alocação de custos DS7 Educação e treinamento aos usuários DS8 Gerencia prestação de serviços e incidentes DS9 Gerência de configurações DS10 Gerência de problemas DS11 Gerência dos dados DS12 Gerência do ambiente físico DS13 Gerência de operações AI1 Identificação de soluções automatizadas AI2 Aquisição e manutenção de aplicações de softwares AI3 Aquisição e manutenção de infra-estrutura tecnológica AI4 Habilita operação e uso dos recursos de TI AI5 Aquisição de recursos de TI AI6 Gerência de mudanças AI7 Instalação, créditos da solução e mudanças Figura 4 Visão geral do framework COBIT (ITGI, 2007)

27 16 No domínio de Planejamento e Organização, encontra-se o processo PO10 Gerenciamento de Projetos, que aborda os aspetos relacionados ao gerenciamento de projetos O processo PO10 Gerenciamento de projetos O processo PO10 Gerenciamento de projetos estabelece um framework para o gerenciamento de projetos de TI. Inclui 14 (quatorze) objetivos de controle que norteiam a organização para os principais aspectos a serem observados a fim de atender: ao planejamento do projeto, alocação de recursos, definição de entregáveis, aceitação do projeto pelo usuário, detalhamento das fases para entrega do produto/serviço, garantia da qualidade, plano de testes, testes e, revisão do projeto após a implantação visando gerenciamento dos riscos e valor agregado aos negócios. O Quadro 1 apresenta os 14 objetivos de controle do processo PO10. Quadro 1 Objetivos de controle do processo PO10 do COBIT (ITGI, 2007) Objetivo de controle PO10.1 PO10.2 PO10.3 PO10.4 PO10.5 PO10.6 PO10.7 PO10.8 PO10.9 PO10.10 PO10.11 PO10.12 PO10.13 PO10.14 Nome Estrutura de gerenciamento de programa de projetos Estrutura de gerenciamento de projetos Enfoque do gerenciamento dos projetos Comprometimento dos Stakeholders Escopo do projeto Fase de iniciação do projeto Plano integrado de projetos Recursos do projeto Gerenciamento de riscos do projeto Planejamento da qualidade do projeto Controle de mudanças do projeto Métodos de garantia do planejamento do projeto Monitoração, relatos e medição do desempenho do projeto Encerramento do projeto

28 17 O enfoque dado pelo processo PO10 possibilita a redução de riscos de custos inesperados, minimiza a chance de cancelamento de projetos, melhora a comunicação entre os envolvidos no projeto (TI, áreas de negócios e clientes) e melhora a qualidade dos entregáveis do projeto. Cada um dos 34 processos do COBIT possui outros processos de entrada e geram saídas para outros processos. O Quadro 2 apresenta as entradas para o processo PO10 e a Quadro 3 apresenta as saídas do processo PO10. Quadro 2 Entradas para o processo PO10 do COBIT (ITGI, 2007) Entrada Portfólio de projetos Portfólio de atualização de projetos de TI Matriz de talentos/habilidades de TI Padrões de desenvolvimento Revisão de pós-implementação Processo gerador da entrada PO1 Planejamento Estratégico de TI PO5 Gerenciamento do Investimento em TI PO7 Gerenciamento de recursos humanos PO8 Gerenciamento da qualidade AI7 Instalação, créditos da solução e mudanças Quadro 3 Saídas do processo PO10 do COBIT (ITGI, 2007) Saídas Relatório de desempenho do projeto Plano de gerenciamento de riscos do projeto Diretrizes para o gerenciamento do projeto Plano detalhado do projeto Portfólio atualizado dos projetos de TI Para o Processo ME1 Monitoração e avaliação do desempenho da TI PO9 Avaliação e gerenciamento dos riscos de TI AI1 Identificação de soluções automatizadas AI2 Aquisição e manutenção de aplicações de software AI3 Aquisição e manutenção de infra-estrutura tecnológica AI4 Habilitação da operação e uso dos recursos de TI AI5 Aquisição dos recursos de TI AI6 Gerência de mudanças AI7 Instalação, créditos da solução e mudanças PO8 Gerenciamento da qualidade DS6 Identificação e alocação de custos AI1 ao AI7 PO1 Definição do planejamento estratégico de TI PO5 Gerenciamento do investimento em TI As principais atividades que compreendem o PO10 do COBIT e seus respectivos envolvidos estão relacionadas no Quadro 4.

29 18 Quadro 4 Principais atividades do processo PO10 do COBIT e envolvidos (ITGI, 2007) Atividades CEO CFO Executivo de Negócios CIO Responsável pelo processo de negócios Responsável pela Operação Arquiteto Chefe Responsável pelo Desenvolvimento Responsável pela Administração da TI PMO Conformidade, Audit. Riscos e Segurança Definir um programa/portfólio para gerenciamento de investimentos em TI C C E R C C Estabelecer e manter um framework de gerenciamento de projetos de TI I I I E/R I C C C C R C Estabelecer e manter a monitoração do projetos de TI, medidas e sistemas de gerenciamento I I I R C C C C E/R C Desenvolver project charter, cronogramas, planos de gerenciamento da qualidade, orçamentos, comunicação e riscos C C C C C C C E/R C Garantir a participação e comprometimento dos stakeholders I E R C C Garantir o controle efetivo dos projetos e alterações nos mesmos C C C C C E/R C Definir e implementar métodos de revisão e garantia do projeto I C I E/R C Legenda: R = Responsável E = Executor C = Consultado I = Informado

30 19 PO10. A Figura 5 apresenta o relacionamento entre processos, metas e métricas do processo Objetivos da TI Responder aos requisitos de negócios conforme a estratégia de negócios Entregar os projetos no tempo e orçamento e atendendo aos padrões de qualidade Responder aos requisitos de governança alinhado com a direção da organização Objetivos dos Processos Estabelecer mecanismos para controlar custo e prazo Prover transparência sobre o status dos projetos Tomar decisões no momento correto em pontos críticos Objetivos de Atividades Definir e reforçar o programa e frameworks de projetos Comunicar as diretrizes do gerenciamento de projetos Executar o planejamento do projeto para cada projeto do portfólio são medidos por Direciona são medidos por Direciona são medidos por Indr. Chave Objetivos da TI % de projetos atendendo as expectativas dos stakeholders (prazo, orçamento e atendimento aos requisitos medidos pela importância) Indr. Chave Objetivos Processos % de projetos conforme prazo e orçamento % de projetos atendendo as expectativas dos stakeholders Indicadores Chave de Atividades % de projetos seguindo os padrões e práticas de gerenciamento de projetos % de gerente de projetos certificados ou treinados % de projetos com revisão de pósimplantação % de stakeholders participando nos projetos (índice de envolvimento) Figura 5 Relacionamento entre processos, metas e métricas (ITGI, 2007) O modelo de maturidade para o processo PO10 Gerenciamento de projetos aborda os processos de gerenciamento de projetos que satisfaçam os requisitos de negócios pela TI sobre as entregas dos projetos dentro do prazo, orçamento e qualidade estabelecidos. Os níveis de maturidade para este processo do COBIT estão descritos no Quadro 5. Quadro 5 - Níveis de maturidades para o processo PO10 do COBIT (ITGI, 2007) Nível de Maturidade Descrição 0 Não-existente Técnicas de gerenciamento de projetos não são usadas e a organização não considera os impactos nos negócios associado à falta de gerenciamento de projetos e falhas no desenvolvimento dos projetos.

31 20 Nível de Maturidade Descrição 1 Inicial / Ad Hoc Técnicas de gerenciamento de projetos e o enfoque da TI é uma decisão deixada para os gerentes de TI. Falta de comprometimento do responsável pelo projeto e do gerenciamento do projeto. Decisões críticas são tomadas sem a participação do usuário ou opiniões do cliente. É pouco ou inexistente o envolvimento dos clientes na definição dos projetos de TI. Não existe uma organização clara no gerenciamento de projetos de TI. Não são definidas regras e responsabilidades. Projetos, cronogramas e marcos são pobremente definidos. O grupo de trabalho e os custos não são traçadas e comparados com o orçamento. 2 Repetitivo, mas intuitivo 3 Processo definido 4 Gerenciado e medido Os gerentes seniores conhecem e comunicam a necessidade do gerenciamento de projetos de TI. A organização segue um processo de desenvolvimento e utiliza algumas técnicas e métodos para os projetos. Os projetos de TI possuem objetivos técnicos e de negócios definidos informalmente. Há envolvimento limitado dos stakeholders. O direcionamento inicial é desenvolvido sobre vários aspectos do gerenciamento de projetos. A aplicação do direcionamento é por conta de cada gerente de projetos. Os processos de gerenciamento de projetos de TI e metodologias são estabelecidos e comunicados. Os projetos de TI são definidos com objetivos técnicos e de negócios apropriados. Os gerentes de negócios e de TI estão comprometidos e envolvidos. É estabelecido um escritório de gerenciamento de projetos dentro da TI, com regras iniciais e responsabilidades definidas. Os projetos de TI são monitorados, com marcos definidos e atualizados, orçamento e medidas de execução. Existe treinamento em gerenciamento de projetos. O treinamento geralmente surge como resultado de uma iniciativa individual. Procedimentos para a garantia da qualidade e atividades de pósimplementação são definidos, mas de uma forma em geral, não são aplicados pelos gerentes de TI. Os projetos começam a ser gerenciados como portfólio. Os requisitos formais de gerenciamento e métricas padronizados de projetos e lissões aprendidas são revistas na finalização do projeto. O gerenciamento do projeto é medido e avaliado pela organização e não apenas pela TI. Melhorias no processo são formalizadas e comunicadas e os membros envolvidos em projetos são treinados com essas melhorias. A gerência de TI possui uma estrutura de organização de projetos com regras documentadas, responsabilidades e critérios de desempenho da equipe. São estabelecidos critérios para avaliação de sucesso em cada marco do projeto. Existem medidas e gerenciamento preventivo de valores e riscos durante e após o término dos projetos. Os objetivos da organização estão cada vez mais fundamentados em projetos, particularmente os projetos de TI. Existe um forte e ativo suporte a projetos pelos patrocinadores seniores e stakeholders. Treinamentos relevantes são planejados pela equipe do escritório de gerenciamento de projetos e oferecidos além das funções de TI.

32 21 Nível de Maturidade 5 Otimizado Descrição Um completo ciclo de vida de projeto é comprovado e uma metodologia de programa é implementada, reforçada e integrada dentro da cultura organizacional como um todo. Existe implementada uma avançada iniciativa para identificar e institucionalizar melhores práticas de gerenciamento de projetos. É definida uma a estratégia de TI para o desenvolvimento de fontes e projetos de operacionalização. Um escritório de gerenciamento de projetos integrado é responsável pelos projetos e programas desde seu início até sua pós-implementação. Todo planejamento organizacional de programas e projetos assegura que o usuário e os recursos de TI são melhores utilizados para auxiliar nas iniciativas estratégicas.

33 22 3. NORMA ISO 9001 A ISO (International Organization for Standardization) é uma organização nãogovernamental que foi fundada em 1947 para desenvolver inicialmente um conjunto de normas para manufatura, comércio e comunicação na Europa. É um dos organismos das Nações Unidas com sede em Genebra, na Suíça. Atualmente é constituída por 137 países membros, dentre eles o Brasil (LUZ, 2002; INDG, 2006). Segundo o Instituto de Desenvolvimento Gerencial (INDG), a ISO nos remete ao conjunto de normas internacionalmente reconhecidas que definem os requisitos a serem considerados por uma organização a fim de garantir um nível de qualidade aos seus produtos ou serviços. Tais requisitos abrangem desde os estágios de recebimento até a entrega do produto final ao cliente. Alcançar a satisfação do cliente significa oferecer produtos que minimamente atendam suas expectativas. Para isso, é imperativo que a organização disponha de um processo confiável e previsível, norteado por boas práticas gerenciais (INDG, 2006). Ainda segundo o INDG (2006), as normas da série ISO 9000 representam o consenso internacional destas práticas que, bem implementadas, viabilizam alcançar a satisfação do cliente. Por isso, a norma ISO 9001, norma que integra a série ISO 9000 e apresenta os requisitos para um sistema de gestão da qualidade, representa uma aprovação da organização em nível internacional. A Associação Brasileira de Normas Técnicas (ABNT) é o representante brasileiro na ISO e é o órgão responsável pela distribuição da norma no País. A série ISO 9000 apresenta oito princípios de gestão da qualidade que podem ser usados pela Alta Direção para conduzir a organização à melhoria de seu desempenho (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2000a). Foco no Cliente organizações dependem de seus clientes e devem atender as necessidades atuais e futuras, buscando exceder suas expectativas; Liderança os líderes devem estabelecer unidade de propósito e rumo da organização, criando ambiente interno no qual as pessoas possam estar totalmente envolvidas no propósito de atingir os objetivos da organização;