ESTUDO DA MATURIDADE DE PROCESSOS COBIT EM EMPRESAS DO SETOR DE ENERGIA ELÉTRICA DO BRASIL.

Transcrição

1 ISSN ESTUDO DA MATURIDADE DE PROCESSOS COBIT EM EMPRESAS DO SETOR DE ENERGIA ELÉTRICA DO BRASIL. Carlos Francisco Simões Gomes (UFF) Fernando Cesar Almeida Silva (UFF) Resumo: Este artigo tem como objetivo descrever como foi realizado um estudo da maturidade dos processos Cobit em empresas do setor de energia elétrica do Brasil. Este artigo realiza uma pesquisa onde os integrantes do Comitê de Tecnologia de Informação destas empresas informam sua percepção do nível de maturidade dos diversos processos existentes no CobiT. É realizada uma análise dos resultados onde é considerado o contexto no qual estas empresas se inserem. Para finalizar é proposto um sistema baseado no PDCA com o objetivo de aprimorar os processos que receberam classificação de avaliação mais baixa. A priorização de quais processos devem ser aprimorados primeiro, é baseada em critérios que levam em consideração os principais controles de ambiente do PCAOB, uma vez que estas empresas são auditadas regularmente devido às obrigatoriedades da lei Sarbanes-Oxley. Palavras-chaves: CobiT, Maturidade de processos, PDCA, SOX, PCAOB

2 1. Introdução A grande maioria dos processos empresarias é suportado pela Tecnologia da Informação (TI), e a TI, por sua vez possui processos especializados que orientam as suas operações(al-sa'eed ET AL 2012). Modelos de gestão de TI como o CobiT auxiliam no controle das atividades e ao baseados nas melhores práticas de mercado Entretanto não necessitam ser aplicados de forma integral(von SOLMS, 2005). Entretanto criar padrões de qualidade na implementação de modelos como este é importante para que seja possível, através de refinamentos sucessivos atingirem níveis de maturidade cada vez mais altos e assim levar a TI a entregar serviços de maior relevância para a área de negócio da empresa. Para aumentar a competitividade empresas buscam em seus colaboradores soluções inovadoras, baseadas em sugestões(biancolino ET AL, 2013). 1.1 objetivo e Método Este estudo apresenta uma pesquisa em que a maturidade dos processos do CobiT é avaliada em empresas do setor de energia elétrica do Brasil. O objetivo é permitir uma melhorara do nível de satisfação do cliente, e elevar a qualidade dos serviços prestados e atender aos marcos regulatórios impostos pela legislação e pelas auditorias internas e externas. Foi aplicado um questionário, cuja pesquisa foi respondida por integrantes qualificados das áreas de TI destas empresas, e os resultados são analisados sob o ponto de vista da documentação do CobiT e do contexto atual das empresas pesquisadas. 2. Revisão da Literatura Segundo Juran (1991), os produtos resultam dos processos, e a qualidade daqueles é conseguida de forma consistente a partir da qualidade destes. Com o foco na satisfação dos clientes, as empresas começaram não só a concentrar seus esforços na melhoria da qualidade de seus produtos e serviços, bem como a investir em tecnologia para assegurar os padrões de produção, visando garantir de forma sistemática e disciplinada a melhoria contínua da qualidade de seus produtos e de seus processos. A TI torna-se cada vez mais uma ferramenta de competitividade das empresas, principalmente na gestão por processos e nos programas de Gestão Estratégica da Qualidade, que frequentemente implicam a mudança dos processos organizacionais e têm na TI uma ferramenta valiosa para viabilizar essas alterações(hesing,souza, 2013). O termo Governança é cada vez mais comum, e o aprofundamento neste tema tem ganhado relevância nas organizações(peña et al, 2013). Gestores, financiadores, 2

3 acionistas, entre outros buscam minimizar seus riscos, por meio da transparência na prestação de contas, nas operações financeiras e nos informes. Tais exigências sempre foram requeridas, mas após os escândalos financeiros da Enron e WorldCom, dos novos desafios do mundo global e do desenvolvimento sustentável as empresas foram desafiadas a evoluir nesses fundamentos com a adoção de melhores práticas, criando estruturas para sua manutenção e constante aprimoramento. O IT Governance Institute define o termo Governança de TI, como um arcabouço de relações e processos que dirigem e controlam uma organização, a fim de atingir seus objetivos e de adicionar valor ao negócio através do balanceamento do risco com o retorno do investimento da TI.(CobiT 4.1, 2007) 2.1 Lei Sabannes-Oxley A Lei Sarbanes-Oxley, ou SOX, como também é conhecida, é um extenso conjunto de normas corporativas idealizado pelos parlamentares norte-americanos Paul Sarbanes e Michael Oxley. Criada em 2002 para aumentar a segurança e a confiabilidade dos relatórios financeiros e privilegia o papel crítico do controle interno. A lei exige controles e procedimentos que aumentam a responsabilidade dos executivos das empresas listadas no mercado de capitais dos Estados Unidos, regulamentado pela SEC, instituição equivalente à CVM (Comissão de Valores Mobiliários) no Brasil (VIEIRA, 2007). Após a SOX entrar em vigor, a TI tornou-se o principal meio de garantir que os dados financeiros e operacionais, sejam precisos, confiáveis e atualizados, além de estarem prontamente disponíveis quando solicitados. Seção 404 da SOX exige que gerentes de empresas publicas dos EUA façam um controle interno dos sistemas que gerenciam toda parte financeira da empresa (Kerr, Murthy, 2013).Segundo Almeida (2010), a SOX, estabelece novos padrões para atuação do conselho de administração e comitê de auditoria, para penalidades criminais dos executivos, independência do auditor externo, e também cria o Public Company Accounting Oversight Board (PCAOB), subordinado à SEC, para supervisionar as empresas de auditoria independente. Os controles de ambiente tornaram-se mais importantes no PCAOB Auditing Standard n. 2. O PCAOB também indicou que um controle de ambiente ineficaz deve ser considerado pelo menos como uma deficiência significativa e como um forte indicador de que existe uma fraqueza material nos controles internos sobre relatórios financeiros. Esses comentários aplicam-se aos controles de ambiente globais, que incluem também os controles de ambiente de TI. Os controles de ambiente de TI do PCAOB estão relacionados com os processos CobiT, conforme descrito na figura 1. 3

4 Figura 1 - Mapeamento entre PCAOB e CobiT Fonte: IT Control Objectives for Sabanes-Oxley Definições (Al-Sa'eed et al,, 2012): Operações de computador (Computer operations):estes controles incluem definição, aquisição, instalação, configuração, integração e manutenção da infraestrutura de TI. Acesso a programas e dados (Access to programs and data): Assumem maior importância visto que a conectividade com entidades de rede interna e externa cresce. Controles eficazes de segurança de acesso pode fornecer um nível de segurança aceitável contra acesso indevido e uso não autorizado de sistemas. Desenvolvimento e Mudança de Programa (Program development and program change):possuem dois principais componentes: a aquisição e implementação de novas aplicações e a manutenção de aplicações existentes. A redução de riscos é garantida por metodologias de qualidade. Ferramentas de padronização de software e componentes da arquitetura de TI muitas vezes suportam estas metodologias. 2.2 Metodologia Segundo Gil (1999, p.70), as pesquisas, como a proposta no artigo, se caracterizam pela interrogação direta das pessoas cujo comportamento se deseja conhecer. Basicamente procede-se a solicitação de informações a um grupo significativo acerca do problema estudado, para em seguida, mediante análise quantitativa, obter as conclusões correspondentes aos dados solicitados. Diagrama de Causa e efeito Segundo Carpinetti (2012), o diagrama de causa e efeito, descrito na figura 2, é conhecido também como diagrama de Ishikawa ou ainda como diagrama espinha-de-peixe. Foi desenvolvido para apresentar as relações existentes entre um problema ou o efeito indesejável do resultado de um processo e todas as possíveis causas desse problema, atuando como um guia para a identificação da 4

5 causa fundamental deste problema e para a determinação das medidas corretivas que deverão ser adotadas. Figura 2 - Estrutura básica de um diagrama de causa e efeito Fonte: Livro Gestão a Qualidade Carpinetti, 2012 Para a construção do Ishikawa é necessário seguir certas etapas. O primeiro passo é colocar na cabeçade-peixe, o principal problema detectado pelas ferramentas anteriores e que precisam de análise para identificação da principais causas.(las Casas, 2008 p.81) Ciclo PDCA O Ciclo PDCA (Planejar Executar Verificar - Agir do inglês: PLAN - DO - CHECK ACT), também conhecido como Ciclo de Shewhart, Ciclo da Qualidade ou Ciclo de Deming, é uma metodologia que tem como função básica o auxílio no diagnóstico, análise e prognóstico de problemas organizacionais, sendo extremamente útil para a solução de problemas(lopez, BUIELES, 2012). Poucos instrumentos se mostram tão efetivos para a busca do aperfeiçoamento quanto este método de melhoria contínua, tendo em vista que ele conduz a ações sistemáticas que agilizam a obtenção de melhores resultados, com a finalidade de garantir a sobrevivência e o crescimento das organizações. (QUINQUIOLO, 2002) 2.3 CobiT Uma considerável parte do cenário organizacional se baseia hoje no uso intensivo da TI; com a TI se tornando fundamental para as operações e mesmo para as estratégias organizacionais, fica mais nítida a preocupação com práticas de gestão que reduzam o risco das operações, garantam a continuidade dos serviços por elas prestados, preservando assim as operações da empresa e a sua relação com os clientes (LUCIANO, TESTA, 2011). O IT Governance Institute, (ITGI) foi criado em 1998 para melhoria do pensamento e dos padrões internacionais de direção e controle da tecnologia da informação nas organizações. O ITGI elaborou o CobiT (Control Objectives for Information and related Technology) que contém as boas práticas de TI, por meio de um modelo de domínios e processos e apresenta atividades em uma estrutura lógica e gerenciável. CobiT é mantido pelo ISACA (Information Systems 5

6 Audit and Control Association) (KERR, MURTHY, 2013). Entre as diferentes práticas internacionalmente reconhecidas para a Governança de atividades que envolvam TI, o COBIT se mostra adequado ao controle de processo de negócio, pois disponibiliza uma ampla gama de recursos de controle e auditoria aplicáveis a vários cenários e organizações(luciano, Testa, 2011). As boas práticas do CobiT representam o consenso de especialistas. Elas são fortemente focadas mais nos controles e menos na execução. Essas práticas irão ajudar a otimizar os investimentos em TI, assegurar a entrega dos serviços e prover métricas para julgar quando as coisas saem erradas(neto, Neto, 2013). Ajudam na Governança da TI. No modelo CobiT, são denominados 4 domínios de controle conforme demonstrado na figura 3.(CobiT 4.1): (i) O domínio de planejamento e organização abrange a estratégia e as táticas, preocupando-se com a identificação da maneira em que TI pode melhor contribuir para atingir os objetivos de negócios;(ii) O domínio aquisição e implementação executa a estratégia de TI, as soluções de TI precisam ser identificadas, desenvolvidas ou adquiridas, implementadas e integradas ao processo de negócios; (iii) O domínio de Entrega e suporte trata da entrega dos serviços solicitados, o que inclui entrega de serviço, gerenciamento da segurança e continuidade, serviços de suporte para os usuários e o gerenciamento de dados e recursos operacionais; (iv) Já o domínio de monitoração, aborda o gerenciamento de desempenho, o monitoramento do controle interno, a aderência regulatória e a governança. Figura 3 - Os quatro Domínios Inter-relacionados do CobiT. Fonte: CobiT 4.1 Para Von Solms B. (2005), o CobiT divide a governança de TI em 34 processos, e fornece um objetivo de controle de alto nível para cada um desses 34 processos. Cada controle é novamente dividido em um conjunto de objetivos detalhados de controle, que especificam a forma como o controle de alto nível deve ser gerido, em mais detalhes. No total, são definidos 318 controles para os 34 processos. O raciocínio é que, se cada um desses 34 processos for gerido de forma adequada, a governança de Tecnologia da Informação está assegurada. No anexo III constam as descrições de todos os processos do CobiT(PEÑA ET AL, 2013). Na figura 4 é mostrada a estrutura geral dos processos do CobiT. 6

7 Figura 4 - Visão Geral do CobiT. Fonte: CobiT 4.1 A utilização de ferramentas da qualidade empregadas juntamente ao método de análise e solução de problemas permite a obtenção de produtos manufaturados, com a qualidade esperada dentro dos prazos estabelecidos de produção, gerando melhorias na qualidade, no processo de fabricação e a redução dos custos de fabricação. (SAMPARA, MATTIODA e CARDOSO, 2009). As ferramentas em questão são o Diagrama de causa e efeito que explora as causas dos problemas e o Ciclo PDCA que se inicia pela criação dos planos de ação e que em sua metodologia básica prevê a melhoria contínua dos processos. A figura 5 apresenta o esquema de melhoria proposto. Figura 5 - Sistema de Identificação de problemas e correção das causas em processos de Gestão de TI No modelo proposto o primeiro passo do sistema avalia o nível de maturidade do processo CobiT. Aqueles,processos, que apresentarem baixa maturidade são analisados sob a ótica do diagrama de causa e efeito, onde as causas para a baixa maturidade serão relacionadas. As causas servem com entrada na fase de planejamento do ciclo PDCA onde são definidos os planos de ação que objetivam a 7

8 elevação do nível de maturidade do processo em questão. Na fase de checagem, a Pesquisa de maturidade é utilizada mais uma vez para verificar se houve ou não elevação no nível de maturidade. A partir deste momento executa-se a fase de ação do ciclo onde se decide se os objetivos foram alcançados ou se é necessário retornar para a fase de planejamento. 3. Metodologia da pesquisa Os métodos de coleta de dados de survey recaem em duas categorias amplas: a primeira diz respeito à administração de questionários pelo pesquisador para que o próprio respondente responda a entrevista; a segunda trata dos questionários que são usados em larga escala para coletar dados quantitativos de um número maior de indivíduos de uma maneira relativamente rápida e conveniente (HAIR JR. et al., 2005). 3.1 Público alvo Gil (1999) define universo ou população como um conjunto definido de elementos que possuem determinadas características. Em geral a População refere-se ao total de habitantes de um determinado lugar. Uma amostra é um subconjunto do universo ou da população, por onde se estimam características desse universo ou população. A amostra utilizada nesta pesquisa é composta por 149 gestores de TI integrantes do Comitê de Tecnologia da Informação, Telecomunicação e Automação do Sistema Eletrobrás (Cotise). A missão do Cotise é criar e manter uma Política integrada de Tecnologia da Informação e Comunicação para o Sistema Eletrobrás, voltada para garantir: A interoperabilidade, ou, pelo menos a conectividade dos sistemas de informação das empresas do Sistema Eletrobrás; O intercâmbio de sistemas de informação das empresas do Sistema Eletrobrás; A unificação de aquisições de equipamentos, softwares, circuitos de telecomunicação, cursos de capacitação técnica e serviços de TIC.(Sítio Eletrobrás A Eletrobrás é a maior companhia do setor de energia elétrica da América Latina. É uma empresa de economia mista e de capital aberto, controlada pelo governo brasileiro, que atua nas áreas de geração, transmissão e distribuição de energia elétrica. Com foco em rentabilidade, competitividade, integração e sustentabilidade, a Eletrobrás Holding lidera um sistema composto de 13 subsidiárias, uma empresa de participações, um centro de pesquisas e metade do capital de Itaipu Binacional. 8

9 3.2 Pesquisa de emprego de modelo de gestão e da Pesquisa de avaliação da maturidade - CobiT A avaliação do modelo de gestão é realizada por meio de graduação que vai de 0 a 5 conforme a graduação de maturidade dos processos descritos no CobiT. Entretanto, existe a sexta opção (*) que faculta ao respondente informar que não possui informações para responder a questão. 0. Inexistente Completa falta de um processo reconhecido. A empresa nem mesmo reconheceu que existe uma questão a ser trabalhada. 1. Inicial / Ad hoc Existem evidências que a empresa reconheceu que existem questões e que precisam ser trabalhadas. No entanto, não existe processo padronizado; ao contrário, existem enfoques Ad hoc que tendem a ser aplicados individualmente ou caso-a-caso. O enfoque geral de gerenciamento é desorganizado. 2. Repetível, porém Intuitivo Os processos evoluíram para um estágio onde procedimentos similares são seguidos por diferentes pessoas fazendo a mesma tarefa. Não existe um treinamento formal ou uma comunicação dos procedimentos padronizados e a responsabilidade é deixada com o indivíduo. Há um alto grau de confiança no conhecimento dos indivíduos e consequentemente erros podem ocorrer. 3. Processo Definido Procedimentos foram padronizados, documentados e comunicados através de treinamento. É mandatório que esses processos sejam seguidos; no entanto, possivelmente desvios não serão detectados. Os procedimentos não são sofisticados mas existe a formalização das práticas existentes. 4. Gerenciado e Mensurável A gerencia monitora e mede a aderência aos procedimentos e adota ações onde os processos parecem não estar funcionando muito bem. Os processos estão debaixo de um constante aprimoramento e fornecem boas práticas. Automação e ferramentas são utilizadas de uma maneira limitada ou fragmentada. 5. Otimizado Os processos foram refinados a um nível de boas práticas, baseado no resultado de um contínuo aprimoramento e modelagem da maturidade como outras organizações. A TI é utilizada como um caminho integrado para automatizar o fluxo de trabalho, provendo ferramentas para aprimorar a qualidade e efetividade, tornando a organização rápida em adaptar-se. * Não possuo informações para responder. 9

10 4. Análise dos resultados Para a análise das questões referentes ao tema, utilizou-se o conceito de regra de decisão, explicitado pelo fluxograma da figura 6. Foi aplicado critério que leva em consideração as médias de cada nível de maturidade dos processos avaliados na pesquisa. A média foi obtida com as avaliações dos processos que fazem parte de um mesmo domínio do CobiT. Os critérios de avaliação são listados a seguir. Para pertencer ao grupo 1 é necessário que o processo tenha sido avaliado com nível 5, e o percentual de avaliações neste nível seja maior do que a média do percentual de avaliações 5 que os processos de seu domínio obtiveram. Excluídos os processos do grupo 1, para pertencer ao grupo 5 é necessário que o processo tenha sido avaliado no nível 0, com o percentual de avaliações neste o nível, maior do que a média do percentual de avaliações 0, que os processos de seu domínio, obtiveram. Excluídos os processos dos grupos 1 e 5, para pertencer ao grupo 2 é necessário que o processo tenha sido avaliado nos níveis 3 e 4, com os percentuais de avaliações nestes níveis maiores do que as médias dos percentuais de avaliações 3 e 4 que os processos de seu domínio obtiveram. Excluídos os processos dos grupos 1, 2 e 5 para pertencer ao grupo 3 é necessário que o processo tenha sido avaliado no nível 4, com o percentual de avaliações neste o nível maior do que a média do percentual de avaliações 4 que os processos de seu domínio obtiveram. Todos os processos que não se enquadram nas regras anteriores, para pertencer aos grupos 1, 2, 3 e 5, serão alocados ao grupo 4. Figura 6 - Fluxo de agrupamento dos processos 10

11 4.1 Processos relativos ao domínio planejamento e organização Conforme apresentado na tabela 1 o único processo que obteve avaliação 5 no domínio planejamento e organização foi o PO1 Definir Plano Estratégico de TI que é um processo chave para a gestão de TI. Processo Nível de Maturidade Frequência relativa * PO1 - Definir um Plano Estratégico de TI 6,7% 20,0% 20,0% 28,9% 15,6% 2,2% 6,7% PO2 - Definir a Arquitetura da Informação 13,3% 35,6% 17,8% 13,3% 6,7% 0,0% 13,3% PO3 - Determinar as Diretrizes de Tecnologia 6,7% 22,2% 22,2% 26,7% 11,1% 0,0% 11,1% PO4 - Definir os Processos, a Organização e os 8,9% 31,1% 35,6% 11,1% 4,4% 0,0% 8,9% Relacionamentos de TI PO5 - Gerenciar o Investimento de TI 6,7% 15,6% 22,2% 26,7% 15,6% 0,0% 13,3% PO6 - Comunicar Metas e Diretrizes Gerenciais 8,9% 26,7% 22,2% 15,6% 13,3% 0,0% 13,3% PO7 - Gerenciar os Recursos Humanos de TI 13,3% 28,9% 24,4% 13,3% 6,7% 0,0% 13,3% PO8 - Gerenciar a Qualidade 22,2% 31,1% 17,8% 11,1% 2,2% 0,0% 15,6% PO9 - Avaliar e Gerenciar os Riscos de TI 15,6% 40,0% 13,3% 13,3% 6,7% 0,0% 11,1% PO10 - Gerenciar Projetos 4,4% 22,2% 15,6% 40,0% 11,1% 0,0% 6,7% Médias das avaliações 10,67% 27,34% 21,11% 20,00% 9,34% 0,22% 11,33% Tabela 1 Avaliação dos processos planejamento e organização e suas médias Do plano estratégico surgem todas as ações a serem realizadas, pois ele define, valida e institucionaliza todos os processos fundamentais de governança de TI. Portanto é esperado que este processo seja bem desenvolvido nas empresas do grupo Eletrobrás, devido ao seu papel central na área de TI. O processo com mais baixa avaliação é o PO8 gerenciar a qualidade. Este é um indicativo de que os processos, de forma generalizada não possuem padrões. Para que um processo seja executado com qualidade é necessário que haja um sistema que gere requisitos, procedimentos e políticas de qualidade, orientados por indicadores quantificáveis e atingíveis. A gestão da qualidade é fundamental para que a TI forneça valor para o negócio, melhoria contínua e transparência para as partes interessadas. A tabela 2 apresenta o agrupamento dos processos do domínio planejamento e organização. 11

12 Grupo Processo 1 PO1 - Definir um Plano Estratégico de TI PO3 - Determinar as Diretrizes de Tecnologia 2 PO5 - Gerenciar o Investimento de TI PO10 - Gerenciar Projetos 3 PO6 - Comunicar Metas e Diretrizes Gerenciais 4 PO4 - Definir os Processos, a Organização e os Relacionamentos de TI PO2 - Definir a Arquitetura da Informação PO7 - Gerenciar os Recursos Humanos de TI 5 PO8 - Gerenciar a Qualidade PO9 - Avaliar e Gerenciar os Riscos de TI Tabela 2 - Agrupamento dos processos - planejamento e organização Há grande concentração de processos no grupo 5, que é o de pior avaliação. Nestes, se destacam os processos PO8 e PO9. Entretanto há boa avaliação para os processos PO3, PO5 e PO10 que se encontram no grupo Processos relativos ao domínio aquisição e implementação Na tabela 3 estão os resultados da pesquisa relativos à avaliação dos processos do domínio aquisição e implementação. Processo Nível de Maturidade Frequência relativa * AI1 - Identificar Soluções Automatizadas 8,9% 17,8% 35,6% 15,6% 11,1% 0,0% 11,1% AI2 - Adquirir e Manter Software Aplicativo 6,7% 11,1% 28,9% 33,3% 11,1% 0,0% 8,9% AI3 - Adquirir e Manter Infraestrutura de Tecnologia 4,4% 11,1% 33,3% 22,2% 15,6% 0,0% 13,3% AI4 - Habilitar Operação e Uso 8,9% 11,1% 20,0% 28,9% 11,1% 0,0% 20,0% AI5 - Adquirir Recursos de TI 4,4% 8,9% 33,3% 31,1% 13,3% 0,0% 8,9% AI6 - Gerenciar Mudanças 11,1% 26,7% 24,4% 26,7% 8,9% 0,0% 2,2% AI7 - Instalar e Homologar Soluções e Mudanças Médias das avaliações 8,9% 15,6% 26,7% 24,4% 13,3% 0,0% 11,1% 7,61% 14,61 % 28,89% 26,03% 12,06% 0,00% 10,79% Tabela 3 Avaliação dos processos de aquisição e implementação e suas médias O processo mais bem avaliado não possui nenhuma avaliação de maturidade 5. É o processo AI5 - Adquirir Recursos de TI. Ele obteve bons percentuais de avaliação nos níveis 2 e 3 e na avaliação de nível 4 ficou acima da média. O resultado mostra que este é um processo maduro, devido à constante evolução tecnológica da área de TI. Há uma frequente necessidade de adquirir hardware e software, 12

13 bem como serviços que são essenciais para as operações. Na outra extremidade, encontra-se o processo AI6 - Gerenciar Mudanças que obteve o maior valor acima da média de avaliações no nível 0. Este processo visa mitigar os riscos de forma a manter a estabilidade e a integridade dos sistemas no ambiente de produção. Ele preconiza que todas as mudanças em sistemas e ambientes de TI devem ser planejadas, controladas, registradas, autorizadas e revisadas. Na Eletrobrás Holding há um projeto de implantação do modelo de gestão ITIL (Peña et al,2013) que está obtendo bons resultados no gerenciamento de mudanças. Uma ferramenta de controle de mudanças foi implantada no mês de maio de 2013 e dá suporte a todo o processo de mudanças. O agrupamento dos processos do domínio aquisição e implementação não possui nenhum processo pertencente ao grupo 1. Entretanto há 4 processos no grupo 5. Os processos que se encontram nos grupos 3 e 4 são respectivamente os processos AI3 e AI2, conforme descrito na tabela 4. Grupo Processo 2 AI5 - Adquirir Recursos de TI 3 AI3 - Adquirir e Manter Infraestrutura de Tecnologia 4 AI2 - Adquirir e Manter Software Aplicativo AI1 - Identificar Soluções Automatizadas AI4 - Habilitar Operação e Uso 5 AI6 - Gerenciar Mudanças AI7 - Instalar e Homologar Soluções e Mudanças Tabela 4 - Agrupamento dos processos - aquisição e implementação 4.3 Processos relativos ao domínio entrega e suporte Os dados da tabela 5 apresentam os percentuais de avaliação nos níveis de maturidade para os processos do domínio entrega e suporte. São processos que possuem íntima relação com os processos do modelo de gestão ITIL. O processo com melhor avaliação é o DS4 - Assegurar Continuidade de Serviços. Este processo é inerente à área de infraestrutura, pois nele é definido o plano de continuidade de TI e o armazenamento de cópias de segurança em instalações remotas. Dessa forma é possível minimizar a probabilidade e o impacto de uma interrupção de um serviço chave de TI nas funções e processos críticos de negócio O processo pior avaliado é o DS7 - Educar e Treinar os Usuários. Na atividade de implementação de sistemas este processo tem relação com os processos AI6 - Gerenciar Mudanças e PO10 - Gerenciar Projetos. A melhoria da implementação do processo DS7, traz benefícios no uso efetivo da tecnologia por meio da redução dos erros do usuário o que melhora a produtividade e aumenta a conformidade com controles principais, tais como as medidas de segurança do usuário. 13

14 Processo Nível de Maturidade Frequência relativa * DS1 - Definir e Gerenciar Níveis de Serviços 6,7% 33,3% 24,4% 22,2% 6,7% 0,0% 6,7% DS2 - Gerenciar Serviços de Terceiros 4,4% 20,0% 26,7% 22,2% 15,6% 0,0% 11,1% DS3 - Gerenciar Capacidade e Desempenho 20,0% 24,4% 26,7% 8,9% 2,2% 2,2% 15,6% DS4 - Assegurar Continuidade de Serviços 8,9% 26,7% 22,2% 15,6% 11,1% 2,2% 13,3% DS5 - Assegurar a Segurança dos Serviços 6,7% 17,8% 31,1% 24,4% 4,4% 0,0% 15,6% DS6 - Identificar e Alocar Custos 11,1% 28,9% 24,4% 13,3% 6,7% 0,0% 15,6% DS7 - Educar e Treinar os Usuários 15,6% 24,4% 33,3% 8,9% 11,1% 0,0% 6,7% DS8 - Gerenciar a Central de Serviço e os Incidentes 8,9% 20,0% 13,3% 31,1% 20,0% 0,0% 6,7% DS9 - Gerenciar a Configuração 8,9% 26,7% 22,2% 24,4% 2,2% 0,0% 15,6% DS10 - Gerenciar os Problemas 11,1% 31,1% 24,4% 20,0% 2,2% 0,0% 11,1% DS11 - Gerenciar os Dados 4,4% 20,0% 28,9% 22,2% 8,9% 0,0% 15,6% DS12 - Gerenciar o Ambiente Físico 8,9% 8,9% 26,7% 31,1% 6,7% 2,2% 15,6% DS13 - Gerenciar as Operações 4,4% 15,6% 31,1% 22,2% 6,7% 0,0% 20,0% Médias das avaliações 8,89% 20,96% 25,70% 22,84% 8,26% 0,31% 13,04% Tabela 5 Avaliação dos processos de entrega e suporte e suas médias No domínio entrega e suporte os processos não ficaram concentrados num grupo específico. A tabela 6 mostra que houve mais distribuição entre os grupos, evidenciando que seus processos têm processos evolutivos bastante diversos. Os processos DS1, DS3, DS4,DS8, DS9 e DS10 são similares aos do modelo de gestão de TI ITIL. Conforme já mencionado, há na Eletrobrás Holding um projeto de implementação deste modelo de gestão. A expectativa é que os índices de avaliação dos processos acima citados melhorem. Grupo Processo 1 DS3 - Gerenciar Capacidade e Desempenho DS4 - Assegurar Continuidade de Serviços DS12 - Gerenciar o Ambiente Físico DS2 - Gerenciar Serviços de Terceiros 3 DS11 - Gerenciar os Dados DS1 - Definir e Gerenciar Níveis de Serviços 4 DS5 - Assegurar a Segurança dos Serviços DS13 - Gerenciar as Operações 5 DS6 - Identificar e Alocar Custos 14

15 DS7 - Educar e Treinar os Usuários DS8 - Gerenciar a Central de Serviço e os Incidentes DS9 - Gerenciar a Configuração DS10 - Gerenciar os Problemas Tabela 6 - Agrupamento dos processos - entrega e suporte 4.4 Processos relativos ao domínio monitoração Os processos da tabela 7 são referentes ao domínio monitoração. O processo melhor avaliado é o ME2 - Monitorar e Avaliar os Controles Internos. Ele é relativo ao monitoramento e reporte das execuções de controle, dos resultados de autoavaliação e avaliação de terceiros. Esse processo é importante para que a organização opere em conformidade com as leis e os regulamentos vigentes. O processo ME1 - Monitorar e Avaliar o Desempenho teve avaliação adversa. Como benefício, a melhoria deste processo assegura que as atividades corretas estejam sendo feitas e que estejam em alinhamento com as políticas e diretrizes estabelecidas. É necessário que exista a definição de indicadores de desempenho relevantes, informes de acompanhamento sistemáticos e pronta ação em relação aos desvios encontrados. Processo Nível de Maturidade Frequência relativa * ME1 - Monitorar e Avaliar o Desempenho 15,6% 26,7% 26,7% 13,3% 6,7% 0,0% 11,1% ME2 - Monitorar e Avaliar os Controles Internos 8,9% 26,7% 20,0% 20,0% 15,6% 0,0% 8,9% ME3 - Assegurar a Conformidade com Requisitos 8,9% 22,2% 24,4% 17,8% 11,1% 0,0% 15,6% Externos ME4 - Prover a Governança de TI 13,3% 28,9% 17,8% 22,2% 4,4% 0,0% 13,3% Médias das avaliações 11,68% 26,13% 22,23% 18,33% 9,45% 0,00% 12,23% Tabela 7 - Avaliação dos processos de monitoração e suas médias Para o domínio monitoração há apenas três grupos, conforme mostra a tabela 8. Entretanto, existem dois processos no grupo 5 que é o de pior avaliação. Este domínio envolve questões críticas para a gestão de TI, como o alinhamento estratégico com a organização, a conformidade com a legislação externa, o monitoramento dos processos, a autoavaliação e criação de indicadores de desempenho. Desta forma podem-se justificar as baixas avaliações em vários outros processos do CobiT, pois os processos de controle não são aplicados de forma consistente. 15

16 Grupo Processo 2 ME2 - Monitorar e Avaliar os Controles Internos 3 ME3 - Assegurar a Conformidade com Requisitos Externos ME1 - Monitorar e Avaliar o Desempenho 5 ME4 - Prover a Governança de TI Tabela 8 - Agrupamento dos processos monitoração 4.5 Priorização na melhoria dos processos Dentre os processos do grupo 5 serão selecionados aqueles com mais prioridade para aplicação no sistema de identificação de problemas e correção das causas em processos de Gestão de TI proposto neste trabalho. Para isto serão escolhidos os processos apresentados no item referente à relação entre os processos do CobiT e o PCAOB. Na tabela 9 está representada a relação entre os processos do CobiT relevantes para o PCAOB e seus grupos de avaliação. Grupo Processos do CobiT relevantes para o PCAOB AI3 - Adquirir e Manter Infraestrutura de Tecnologia DS2 - Gerenciar Serviços de Terceiros DS11 - Gerenciar os Dados AI2 - Adquirir e Manter Software Aplicativo DS1 - Definir e Gerenciar Níveis de Serviços DS5 - Assegurar a Segurança dos Serviços DS13 - Gerenciar as Operações AI4 - Habilitar Operação e Uso AI6 - Gerenciar Mudanças AI7 - Instalar e Homologar Soluções e Mudanças DS8 - Gerenciar a Central de Serviço e os Incidentes DS9 - Gerenciar a Configuração Tabela 9 - Relação processos CobiT X PCAOB X Grupos de avaliação Os processos CobiT relevantes para o PCAOB que foram classificados no grupo 5, que é o de pior avaliação, são apresentados na tabela 10. A ordem foi arbitrada utilizando o critério de que o processo CobiT que cobre o maior número de controles de ambiente de TI do PCAOB seria o primeiro a ser utilizado no Sistema de Identificação de problemas e correção das causas proposto no item Neste caso, o primeiro processo a ser aprimorado no sistema, é o AI4 Habilitar Operação e Uso que cuida da elaboração da documentação e de manuais, bem como da promoção de treinamentos para os usuários de TI. 16

17 Desenvolvimen to de programa Mudanças de programa Operações de computador Acesso a programas e dados X CONGRESSO NACIONAL DE EXCELÊNCIA EM GESTÃO Controles de ambiente de TI do PCAOB Ordem Processo do CobiT 1 AI4 - Habilitar Operação e Uso 2 AI7 - Instalar e Homologar Soluções e Mudanças 3 AI6 - Gerenciar Mudanças 4 DS9 - Gerenciar a Configuração DS8 - Gerenciar a Central de Serviço e os 5 Incidentes Tabela 10 - Ordem de priorização dos processos 4.6 Considerações Finais Os modelos de gestão de TI basicamente são frameworks de trabalho que compreendem todas as disciplinas pertinentes e importantes para a área de TI. A importância de sua implementação reside no fato de que não se pode controlar ou administrar o que não é conhecido. Os modelos de gestão, baseados nas melhores práticas de mercado, orientam em como implantar os seus processos e depois acompanhá-los com o objetivo de melhorá-los de forma contínua e consistente até que seus processos atinjam um alto grau de maturidade. Com este cenário a TI pode prover serviços de qualidade para toda a Organização. Implementar ou alterar processos é semelhante a fazer intervenções cirúrgicas no corpo inteiro. É bastante comum que os processos de uma organização sejam mapeados ou redesenhados sem que se saiba a razão exata deste trabalho. Isto pode envolver muito tempo e dinheiro que nem sempre oferecem retorno ideal. A forma mais apropriada para abordar a questão é fazer a priorização dos processos a serem aplicados ou melhorados, com base numa estratégia definida e controlada, de preferência apoiada numa estratégia corporativa. Neste trabalho optou-se por tratar processos do CobiT com as avaliações mais baixas e que são importantes para os controles do PCAOB devido aos requisitos da lei SOX. Como existem, em um mesmo processo, percentuais de avaliação que estão entre valores de 0 a 5, a criação de grupos por critérios de similaridade elimina a subjetividade da priorização. Desta forma é possível é possível escolher os processos que serão analisados primeiro no Sistema de Identificação de problemas e correção das causas em processos de Gestão de TI. Assim é possível aplicar um trabalho contínuo com foco na melhoria com o uso de ferramentas como o Diagrama de Ishikawa e o PDCA. Isto evita que se aplique o mesmo recurso de 17

18 melhoria a todos os processos indistintamente. É preciso um diagnóstico e então a aplicação do recurso de melhoria ideal para os sintomas de cada processo. O Gestor tem a oportunidade de resolver problemas nos processos com um método simples objetivo. 5. Conclusão Este estudo verifica a maturidade dos processos do modelo de Gestão de TI CobiT, por meio de realização de levantamento do tipo survey que mostra a visão dos integrantes do Cotise quanto à avaliação dos processos CobiT. Com as avaliações constantes na pesquisa foi possível classificar os processos em grupos e assim priorizar as ações corretivas a serem realizadas pelas áreas de gestão da TI. O processo melhor avaliado individualmente está no domínio planejamento e organização. É o processo PO1 Definir Plano Estratégico de TI que é um processo chave para a gestão de TI, pois do plano estratégico surgem todas as ações a serem realizadas. Ele define, valida e institucionaliza todos os processos fundamentais de governança de TI. Portanto é esperado que este processo seja bem desenvolvido nas empresas do grupo Eletrobrás, devido ao seu papel central na área de TI. O estudo também propõe o uso do resultado da pesquisa nas fases de planejamento e checagem do ciclo PDCA, criando um sistema de melhoria contínua com o objetivo de servir de base para a elaboração do Planejamento Estratégico de TI. Desta forma foi criado o Sistema de Identificação de problemas e correção das causas em processos de Gestão de TI que integra o a pesquisa de avaliação de maturidade, o diagrama de Ishikawa e o ciclo PDCA. A aplicação do Sistema de Identificação de problemas e correção das causas em processos de Gestão de TI necessita ser executada em ciclos com período definido e por meio de uma equipe específica dedicada a esta atividade. Este é um dos requisitos que faz parte do tema melhoria contínua e dos domínios da qualidade em processos de TI. Na pesquisa de avaliação, o processo PO8 Gerenciar a Qualidade obteve individualmente avaliação mais baixa. Este é um fato relevante, pois o processo de qualidade possui um papel central e permeia todos os outros processos do CobiT. Sua implementação e/ou melhoria, implica diretamente na melhoria de todos os outros processos do CobiT. Este é um indicativo de que os processos, de forma generalizada, não possuem padrões. Para que um processo seja executado com qualidade é necessário que haja um sistema que gere requisitos, procedimentos e políticas de qualidade, orientados por indicadores quantificáveis e atingíveis. A gestão da qualidade é fundamental para que a TI forneça valor para o negócio, melhoria contínua e transparência para as partes interessadas. Os processos avaliados foram classificados em grupos que possuem critérios de similaridade. As informações utilizadas na criação dos grupos são provenientes do resultado da pesquisa de maturidade 18

19 dos processos CobiT. Foram determinados 5 grupos onde o grupo 1 é aquele que possui os processos mais bem avaliados e o grupo 5 é o que possui os processos com avaliação mais baixa. O grupo 5 foi destacado para ter seus processos priorizados na aplicação do Sistema de Identificação de problemas e correção das causas em processos de Gestão de TI. Depois disso, passaram por outro critério de seleção que leva em conta o relacionamento do processo com os controles do PCAOB, visto que a adequação à lei SOX é uma premissa crítica nas empresas do Sistema Eletrobrás. Ao final foram selecionados 5 primeiros processos a serem aplicados no Sistema de Identificação de problemas e correção das causas em processos de Gestão de TI. De uma forma geral, os resultados da pesquisa apontam que a grande maioria dos processos CobiT foi classificada dentro do grupo 5 que é o de pior avaliação. Ao todo foram 15 processos, o que é quase a metade da quantidade total dos processos do CobiT. Esta constatação apresenta um grande desafio para as áreas de TI das empresas do Sistema Eletrobrás, pois a eficiência e a eficácia dos serviços de TI prestados, depende de grandes melhorias na implementação dos processos de gestão de TI. Por outro lado, com uma visão de oportunidade, as áreas de TI possuem um vasto campo de trabalho para desenvolvimento dos suas atividades de forma a consolidar sua posição estratégica dentro da organização como um todo. Há também exigências legais que são revisadas periodicamente por auditorias. Elas focam em controles impostos pelos órgãos governamentais e pela lei SOX. A implementação dos modelos de gestão de TI, também são preponderantes no cumprimento da legislação. Estes modelos são aderentes às leis e produzem documentação e artefatos rastreáveis aceitos pelas as auditorias. Além do mais, como coroamento do esforço realizado pela TI para implementar modelos de gestão de TI, existe a possibilidade da obtenção de certificações e a conquista da posição de centro de referência dentro do setor elétrico e até mesmo centro de referência em todos os setores em âmbito nacional e internacional. 19

20 REFERÊNCIAS BIBLIOGRÁFICAS AL-SA'EED, M.A. ; AL-MAHAMID, S.M. ; Al-Sayyed, R.M.H The impact of control objectives of information and related technology (COBIT) domain on information criteria and information technology resources Journal of Theoretical and Applied Information Technology, November 2012, Vol.45(1), pp ALMEIDA, L. S. S. Projeto de atendimento à lei americana Sarbanes-Oxley: Desafios e soluções do caso Petrobras. Rio de Janeiro: IBMEC, BIANCOLINO, C.A.;MACCARI, E.A, PEREIRA, M.F. Innovation as a Tool for Generating Value in the IT Services Sector. Rev Bus.Man.vol 14 n 48.p ,2013 CAMPOS, F. C.; SANTOS, G. S. Governança na Oferta de Serviço: modelo de outsourcing para provedores de tecnologia da informação São Paulo, Atlas CAMPOS, V. F. TQC: Controle da Qualidade Total (no Estilo Japonês). 2ª. ed. Belo Horizonte: Fundação Christiano Ottoni, (Rio de Janeiro; Bloch Ed.) CARPINETTI, L.C.R. Gestão da Qualidade: Conceitos e Tecnicas. 2ª ed. São Paulo: Atlas, 2012 CMMI Sítio Acesso em: 13 de maio de 2013 CobiT 4.1- IT Governance Institute, 2007 GIL, Antônio Carlos. Como elaborar projetos de pesquisa. 4. ed. São Paulo: Atlas, Métodos e técnicas de pesquisa social. 5. ed. São Paulo: Atlas, 1999 HAIR JR., Joseph F. et al. Fundamentos de métodos de pesquisa em administração. Porto Alegre: Bookman, HESING, C.W, SOUZA, C.A.Institutional and Strategic Influences on IT Architecture Decisions: comparative case studies in Brazilian companies. Rev Bus.Man.vol 15 n 48.p , acessado no dia 29/09/2013 IT GOVERNANCE INSTITUTE. IT Control Objectives for Sarbanes Oxley: The Role of IT in the Design and Implementation of Internal Control Over Financial Reporting, 2. Ed. Ilinois, EUA, 2006 ITIL V3 Service Strategy. Office of Government Commerce (OGC), 2011 KERR, DS ; MURTHYUS, The importance of the CobiT framework IT processes for effective internal control over financial reporting in organizations: An international survey Information & Management, 2013, Vol.50(7), pp LÓPEZ, G. A. M. BUILES J. A. J. Cycle of PDCA T-learing model and its application on interactive digital TV. Dyna, year 79, Nro. 173, pp Medellin, June,

21 JURAN, J. M; GRYNA, Frank M. Controle da Qualidade: conceitos, políticas e filosofia da qualidade. Tradução: Maria Cláudia de Oliveira Santos.4. ed. São Paulo: Makron, 1991 LAS CASAS, A.L. Qualidade Total em Serviços: Conceitos Exercícios, Casos Práticos. 6ª ed. São Paulo: Atlas, 2008 LUCIANO, E. M. TESTA, M. G. JISTEM - Journal of Information Systems and Technology Management. Vol. 8, No. 1, 2011, p MPS.BR - SOFTEX, MPS.BR Melhoria de Processo do Software Brasileiro, Guia Geral 2012, (2013). NETO, J. S., NETO, A. N. F. Metamodel of the it governance framework cobit JISTEM - Journal of Information Systems and Technology Management Vol. 10, No. 3, Sept/Dec., 2013 pp PMBOK (Quarta Edição) Project Management Institute, 2008 QUINQUIOLO, J. M. Avaliação da Eficácia de um Sistema de Gerenciamento para Melhorias Implantado na Área de Carroceria de uma Linha de Produção Automotiva. Taubaté SP: Universidade de Taubaté, 2002 SAMPARA,E. J; MATIODA,R. A.; CARDOSO,R.S.Análise de insumos e aplicação de sistemática de solução de problemas para geração de melhorias. Bahia, ENCONTRO NACIONAL DE ENGENHARIA DE PRODUÇÃO, XXIX, PEÑA J. J. S. ; VICENTE E. F. ; OCAÑA A. ITIL, COBIT AND EFQM: CAN THEY WORK TOGETHER?. International Journal of Combinatorial Optimization Problems and Informatics, 2013, Vol.4(1), p SILVA, E. L.;MENEZES, M.E. Metodologia da pesquisa e elaboração de dissertação 4 ed. ver. atual. Florianópolis: UFSC, 2005 VIEIRA, M.F. Gerenciamento de projetos de tecnologia da informação. 2ed. Rio de Janeiro: Elsevier VIEIRA, M. V. Governança de TI no setor público Caso DATAPREV. Dissertação (Mestrado em Sistemas de Gestão) Universidade Federal Fluminense, Niterói, 2005 VON SOLMS, B. Information Security governance: CobiT or ISO or both? (2005) Computers and Security, 24 (2), p