1

IMPLANTAO DE GOVERNANA DE TI Andr Luiz Guimares dos Reis 11 Joo Souza Neto 21 Tomas Roberto C. Orlandi 31

andrer@correios.com.br szneto@correios.com.br tomasroberto@correios.com.br

1 Empresa Brasileira de Correios e Telgrafos (ECT), Braslia, DF, Brasil

RESUMO

Este trabalho tem por objetivo apresentar como a ECT vem utilizando o Framework CobiT como arcabouo de sua Governana de TI, por meio da identificao do nvel de maturidade dos processos internos de TI, iniciada em 2005, quando a Diretoria de Tecnologia avaliou os 34 processos do CobiT 3.0, gerando o Diagnstico de Maturidade. Este trabalho propiciou conhecer o nvel de alinhamento da rea de TI com os negcios da empresa e identificar o nvel de maturidade dos principais controles de TI. Foram selecionados 13 processos que figuravam com baixo nvel de maturidade e com possibilidade de causarem prejuzos ao sucesso das solues de TI que apiam os negcios da empresa. Assim, iniciou-se um Plano de Melhoria de processo sob a tica da mais nova verso CobiT 4.0, onde sero implementados novos controles detalhados e otimizados, possibilitando que a rea de TI apie o alcance das metas de negcios da organizao.

Palavras-chave: Framework CobiT; Governana de TI; Diagnstico de Maturidade; CobiT 4.0.

1. INTRODUO A ECT iniciou o uso do framework CobiT atravs da rea de auditoria interna da

empresa, que efetuou pesquisas sobre a possibilidade de utilizao deste Framework no incio do ano 2000. Aps dois anos, realizou-se a primeira auditoria nos departamentos da Diretoria de Tecnologia (DITEC) usando o CobiT 3.0, com o intuito de avaliar e emitir opinio acerca da eficincia dos controles internos adotados pela TI e implementar novos controles para aperfeioar a gesto da rea. Posteriormente, a rea de auditoria integrou aos seus procedimentos o anexo Audit Guideline da terceira edio do CobiT. Em 2004 houve a reestruturao da DITEC, tendo a Governana de TI (CobiT) como um dos seus pilares. Aps realizar vrios treinamentos, palestras e sensibilizao em relao ao CobiT nos mais diversos nveis da organizao, a Alta Administrao percebeu que a soluo de certos problemas da rea de TI s seriam resolvidos com a adoo de uma abordagem sistmica e integrada.

Assim, foram identificadas algumas motivaes para implementao de prticas de governana de TI na organizao: aumento da competitividade no ramo postal; necessidade de melhoria da qualidade dos servios postais que dependem de implementao de TI; reduo dos prazos de entrega de servios; melhoria contnua do nvel de servios; maior segurana da informao; diminuio de custos operacionais; aumento do retorno sobre os investimentos dentre outras.

No incio de 2005 a DITEC decidiu usar o CobiT para implementar a avaliao de todos os seus processos de TI. Para que houvesse a implementao de um trabalho com resultado imparcial e proficiente, optou-se pela contratao de uma consultoria externa especializada no assunto, para levantar todos os processos contidos no CobiT 3.0, criar um Diagnstico de Maturidade e elaborar um Guia de Recomendaes para efetivao de melhorias.

A partir do Diagnstico de Maturidade iniciou-se o trabalho de amadurecimento da rea de TI para identificao dos processos tidos como crticos e necessrios para a efetivao de melhorias que, atravs de estudos estratgicos, originou a implementao do Plano de Melhoria.

2. INTRODUO AO COBIT O acrnimo CobiT, que significa Control Objectives for Information and related Technology Objetivos de Controle para Informaes e Tecnologias relacionadas, um conjunto de estruturas e orientaes (framework) focado na Governana Corporativa e na necessidade de constituio de controles de melhorias nas empresas, sendo um guia para a gesto de TI, abrangendo diretrizes de gerenciamento, objetivo de controle e diretrizes de auditoria, CobiT 4.0 (2005). O CobiT foi desenvolvido pela Fundao ISACA e mantido pelo ITGI - Instituto de Governana de TI.

2.1. Componentes do Framework do CobiT

Segundo CobiT 4.0 (2005), os recursos de TI so gerenciados pelos processos de TI para alcanar os objetivos de TI que, por sua vez, respondem aos requisitos de negcio da organizao. Este o princpio bsico do Framework CobiT, conforme ilustrado pelo cubo ao lado (Figura 1).

(Figura 1 Cubo do CobiT, CobiT 4.0, 2005) Processos de TI:

Segundo o CobiT 4.0 (2005), os processos do CobiT agrupam as principais atividades de TI em um modelo de processo, facilitando o gerenciamento dos recursos de TI para atender as necessidades do negcio. Os processos de TI so definidos e classificados em 4 domnios: Planejamento e Organizao; Aquisio e Implementao; Entrega e Suporte; Monitorao e Avaliao.

Os 4 domnios do CobiT possuem 34 Processos (Figura 2) que especificam o que o negcio precisa para alcanar seus objetivos. A entrega de informao controlada por 34 objetivos de controle de alto nvel, sendo um para cada processo.

(Figura 2 Adaptao: CobiT 4.0, 2005)

Critrios de informao

Requerimentos de qualidade: Eficincia: Refere-se proviso da informao atravs da melhor (mais produtiva e

econmica) forma de utilizao dos recursos. Efetividade: Lida com a relevncia da informao e pertinncia aos processos de negcio

bem como a sua disponibilidade em prazo apropriado, de forma correta, precisa, consistente e em formato adequado para utilizao.

Requerimentos de segurana: Confidencialidade: Refere-se proteo de informao privilegiada contra divulgao

no autorizada. Integridade: Relaciona-se com a preciso e exatido da informao, bem como sua

validade de acordo com os padres e expectativas de negcios estabelecidos. Disponibilidade: Relaciona-se a prover a informao no momento em que for requerida

pelos processos de negcio, o que inclui tambm a salvaguarda dos recursos.

Requerimentos fiducirios: Conformidade: lida com o cumprimento das leis, regulamentos e clusulas contratuais

aos quais um determinado processo de negcio est sujeito. Confiabilidade: relaciona-se ao fornecimento, por parte dos sistemas, de informaes

apropriadas aos gerentes para a tomada de decises, relatrios financeiros precisos e informaes adequadas aos rgos normatizadores sobre o cumprimento das leis.

Recursos de TI

Pessoas: esto includos neste item: qualificaes, conscientizao, produtividade e capacidade para planejar, organizar, adquirir, entregar, suportar e monitorar sistemas e servios. Sistemas Aplicativos: entendido como a soma de procedimentos manuais e automatizados. Tecnologia: cobre hardware, sistemas operacionais, gerenciadores de banco de dados, redes, multimdia etc. Instalaes: recursos para abrigar e suportar os sistemas de informao.

Dados: objetos de dados na sua mais abrangente concepo, isto , estruturados, no estruturados, grficos, sons etc. 2.2. Vantagens dos interessados no CobiT Gerente Executivo Complementar o modelo de controles internos existente e estabelecer

uma linguagem comum entre as reas de negcios e TI. Gerente de Negcios Usar os objetivos de controle como uma boa prtica para lidar com TI

dentro da funo de negcios e definir acordos de nveis de servios. Gerente de TI Estabelecer Acordos de Nveis de Servios, medidas de desempenho

e normas relacionadas TI. Gerente de Projetos Ajudar a assegurar que os planos de projetos incorporem fases

geralmente aceitas. Desenvolvedor Assegurar que todos os objetivos de controle aplicveis no

desenvolvimento de projetos foram enderaados. Usurios Ajudar na definio dos Acordos de Nveis de Servios. Security Officer Estruturar as polticas e procedimentos de segurana da informao. Auditoria Usar como critrio para reviso e exame das auditorias relacionadas

com TI.

2.3. Produtos do CobiT

Framework Explica como o CobiT organiza os objetivos da Governana de TI e melhores prticas atravs de domnios e processos, e os relaciona aos requerimentos de negcios.

Objetivos de Controle Prov as prticas genricas de gerenciamento de objetivos para todas as atividades de TI. Prticas de Controle

Prov direcionamento em como os controles so implantados e porque implant-los.

Guia de Garantia da TI

Prov uma aproximao genrica para auditoria e direcionamento de suporte a auditorias de todos os processos de TI do CobiT.

Objetivos de controle de TI para Sarbanes-Oxley

Direcionamento para garantir conformidade para o ambiente de TI, baseando nos objetivos de controle do CobiT.

Guia de Implementao de Governana de TI

Prov um road map genrico para implementar Governana de TI usando os recursos do CobiT e um kit de ferramentas de suporte.

CobiT Security Baseline

Foca a organizao nos passos essenciais para implantao da segurana da informao na empresa.

CobiT Online

Apresenta informaes do Cobit na web, possibilitando que vrios usurios pesquisem, compartilhem e utilizem sua base de conhecimento, documentos de benchmark, anlise de gap e roadmaps. disponvel em: www.isaca.org.

CobiT QuickStart Verso resumida dos recursos do CobiT. focado nos processos de TI, objetivos de controle e mtricas. Direcionado para empresa de pequeno e mdio porte. Disponvel a partir do CobiT online na internet.

2.4. Modelo de Maturidade

Segundo o CobiT 4.0 (2005), o modelo de maturidade usado para definir o perfil da empresa em relao aos controles adotados para os processos de TI. Ele classifica os processos numa escala de nmeros inteiros de 1 a 5, baseada no modelo elaborado pelo Software Engineering Institute para avaliar a funo de desenvolvimento de sistemas. Este modelo fornece um mtodo de avaliao para cada um dos 34 processos de TI, definidos pelo CobiT, de forma que a organizao possa se enquadrar em uma escala mensurvel. A seguir (Figura 3) apresentamos os nveis de maturidade considerados e suas definies:

(Figura 3 Adaptao: CobiT 4.0, 2006)

3. PRIMEIRO DIAGNSTICO DE MATURIDADE DOS PROCESSOS DE TI Em 2005 iniciou-se o trabalho de Diagnstico de Maturidade dos processos de TI com

base no CobiT guia de melhores prticas, aplicada pela empresa de consultoria BIG-FIVE, com apoio da assessoria da DITEC. As atividades foram conduzidas em Braslia, na Administrao Central dos Correios, e grande parte das informaes foi obtida por meio de entrevistas com os principais gestores de TI, anlise de documentos e uso de questionrios especficos relacionados aos 4 domnios do CobiT 3.0: Planejamento e Organizao (PO), Aquisio & Implementao (AI), Entrega & Suporte (DS) e Monitoramento (M). Perfazendo-se um total de 34 processos de TI e 318 objetivos de controle avaliados e medidos.

Abaixo (Figura 4) apresentado o resultado geral do Diagnstico de Maturidade dos processos de TI da ECT levantados, de acordo com a metodologia CobiT e comparados ao mercado (benchmarking), considerando os dados disponveis e atualizados do CobiT Online, que possui informaes atualizadas sobre empresas divididas por setor, tamanho, nmero de funcionrios etc.

Com o resultado do Diagnstico de Maturidade tambm foi possvel identificar que os processos da rea de TI da ECT apresentam nvel de maturidade superior ou equivalente aos das empresas nacionais e internacionais constantes da base de dados da ISACA. O diagnosticou apontou que dois processos (PO08 e PO09), menos de 6%, esto abaixo da mdia. Outros 23% dos processos superaram a mdia internacional, so eles: PO1, PO2, AI3, AI4, DS8, DS12, DS13 e M4.

Nvel de Maturidade - Domnio

0 1 2 3 4 5

Monitoramento

Entrega & Suporte

Aquisio & Implementao

Planejamento e Organizao

Correios Americas e Europa

(Figura 4 Adaptao: Diagnstico de Maturidade ECT BIGFIVE, 2005)

4. IMPLANTAO DA METODOLOGIA PADRONIZADA COBIT DE GESTO DE TI No obstante o Diagnstico de Maturidade, ter apresentado resultado superior ou

equivalente mdia internacional, a DITEC entendeu como necessrio atingir melhoria nos 26 processos identificados com nvel de maturidade 1 e 2, elevando-os para o nvel de maturidade 3. Conforme o CobiT 4.0 (2005), no nvel de maturidade 3 os processos devem ser padronizados, documentados e comunicados e, coube a uma equipe especfica da DITEC, que trabalha exclusivamente com Governana de TI, identificar os meios para elevao dos processos selecionados.

Para que houvesse a identificao dos processos mais crticos para efetivao de melhorias, foram realizados trabalhos de alinhamento dos objetivos de negcio da organizao, originados no BSC Corporativo, com os objetivos e processos de TI do CobiT 4.0. Tambm foram desenvolvidas atividades de anlise de riscos, que originaram vrias discusses de viabilidade de atuao dos departamentos da DITEC na estruturao de um Plano de Melhoria, bem como justificativas para sua realizao. Como resultado deste trabalho foram selecionados, inicialmente, 13 processos prioritrios baseados na metodologia CobiT 4.0.

A meta atual da DITEC que aps a implementao deste Plano de Melhoria dos 13 processos selecionados, haver um trabalho contnuo de acompanhamento e implementao de melhoria nos processos de TI da organizao, atravs de atividades de identificao de processos prioritrios, manuteno dos processos que j se encontram com nvel de maturidade considerado adequado organizao e realizao de Diagnstico de Maturidade atravs de consultoria externa de dois em dois anos. Criando, assim, um processo contnuo de melhoria, semelhante a um ciclo de melhoria PDCA dado ser reconhecido como um instrumento valioso de controle e melhoria de processos das organizaes, Souza & Mekbekian (1993).

A adaptao do mtodo PDCA em relao estrutura dos processos e controles do CobiT (Figura 6), com o intuito de efetivao de melhoria contnua dos processos pode ser verificada a seguir.

(Figura 6 Adaptao: CobiT 4.0)

5. PLANO DE MELHORIA

5.1. Premissas e Barreiras Premissa Impacto caso a Premissa no seja

verdadeira Apoio da DITEC no direcionamento do trabalho.

Perda de prioridade do projeto em relao organizao, com conseqente falta de apoio na sua concretizao.

Existncia de uma equipe interna da Coordenao de Arquitetura de Gesto de TI dedicada ao projeto de melhoria.

A falta de dedicao do grupo de melhoria ir trazer atrasos no cronograma ou a paralisao do projeto.

Alta competncia dos consultores externos no planejamento e execuo das atividades.

A inexistncia de tal premissa colocar em risco a qualidade final do trabalho.

Barreira Estratgia para Reduo da Barreira Falta de apoio dos departamentos em disponibilizar pessoal para apoiar a atividade de Diagnstico de Maturidade.

Ser elaborada uma iniciativa motivacional por parte da DITEC.

Falta de pessoal tcnico especializado nos departamentos para dar continuidade as atividades definidas no Plano de Melhoria.

Contratao e treinamento de novos funcionrios de acordo com as necessidades definidas no Plano de Melhoria.

5.2. Objetivos Os objetivos de negocio da ECT que direcionam o Plano de Melhoria so:

Financeiro: Reduo dos custos direcionados aos servios de TI; Melhorar a possibilidade de tomada de decises de investimentos em TI.

Cliente: Melhoria da satisfao com os servios prestados; Tecnologia da Informao: Melhoria dos processos abaixo.

Processo Objetivo PO3 DETERMINAR O DIRECIONAMENTO TECNOLGICO

Alinhar o Plano Diretor de TI ao Planejamento Estratgico da ECT. Devendo tratar sobre: Arquitetura de sistemas, direcionamento tecnolgico, estratgia de migrao e aspectos de contingncia de componentes de infra-estrutura.

PO6 - COMUNICAR DIRETIVAS E METAS GERENCIAIS

Conscientizar a empresa sobre a importncia do Plano de Infra-estrutura de TI.

PO7 - GERENCIAR OS RECURSOS HUMANOS DE TI

Definir um plano de gerenciamento de recursos humanos.

PO9 - AVALIAR E GERENCIAR RISCOS DE TI

Criar processo de identificao, avaliao e mensurao de riscos, evidenciando a probabilidade de ocorrncia e o impacto dos mesmos.

PO10 - GERENCIAR PROJETOS

Estabelecer, manter e divulgar a metodologia de Gerenciamento de Projetos. Definir estrutura de Gerenciamento de Portflio para os investimentos de TI.

AI4 - PERMITIR OPERAO E USO

Definir mtodo que trate sobre documentao e acesso aos manuais operacionais e materiais de treinamento.

AI6 GERENCIAR MUDANAS

Implantar procedimento formal de Gesto de Mudanas, que inclua categorizao, priorizao, procedimentos de emergncia, parmetros de sistemas, base da plataforma, autorizao de mudanas e gerncia de verso.

DS1 - DEFINIR E GERENCIAR NVEIS DE SERVIO

Definir processo para formalizar a gerncia de nvel de servio entre cliente e provedor de servio.

DS2 GERENCIAR SERVIOS TERCEIRIZADOS

Formalizar as polticas e procedimentos relacionados ao gerenciamento de terceiros.

DS6 - IDENTIFICAR E DESTINAR CUSTOS

Criar Modelo de custos de servios de informtica definido e documentado na organizao.

DS7 - EDUCAR E TREINAR USURIOS

Criar programa de treinamento bem institucionalizado, padronizado e comunicado. Os treinamentos devero ser monitorados.

DS11 GERENCIAR DADOS Definir e implementar procedimentos que assegurem a integridade e consistncia de todos os dados armazenados eletronicamente como bases de dados, DWs e arquivos;

ME4 PROVER GOVERNANA DE TI

Implementar modelo de Governana de TI na organizao atravs da criao de controles e procedimentos.

5.3. Atividades a serem realizadas durante o Plano de Melhoria:

Fase 1

Diagnstico do nvel de maturidade dos 13 processos de TI selecionados. Atribuio do nvel de maturidade em conformidade com as melhores prticas e comparao com a mdia de mercado. Nesta fase ser identificada como a TI gerencia seus processos e o quanto est integrada aos objetivos de negcio.

Fase 2

GAP Analysis Mapeamento do nvel de maturidade a ser atingido pela ECT (meta estratgica) e o nvel de maturidade baseado nas melhores prticas (quando disponvel).

Fase 3 Plano de melhoria Implementao dos controles detalhados para melhoria dos 13 processos de TI selecionados, segundo o CobiT 4.0.

5.4. Estrutura organizacional

(Figura 7 Escopo Organizacional)

5.5. Escopo de Processos O escopo do Plano de Melhoria est limitado aos seguintes processos baseados na metodologia CobiT 4.0:

DOMINIO Impacto caso a Premissa no seja verdadeira Planejamento e Organizao PO3 - Determinar o direcionamento tecnolgico

PO6 - Comunicar objetivos e metas gerenciais PO7 - Gerenciar os recursos humanos PO9 Avaliar e gerenciar riscos PO10 - Gerenciar projetos

Aquisio e implementao AI4 - Habilitar operao e uso AI6 - Gerenciar mudanas

Entrega e Suporte DS1 - Definir e gerenciar nveis de servio DS2 - Gerenciar servios terceirizados DS6 - Identificar e alocar custos DS7 - Educar e treinar usurios DS11 - Gerenciar dados

Monitoramento e Avaliao ME4 - Prover governana de TI

5.6. Produtos gerados no Plano de Melhoria Questionrio Script de Avaliao do Processo: usado no direcionamento das entrevistas (Figura 10) junto aos responsveis e envolvidos nos processos. O questionrio deve explorar as necessidades para avaliao do nvel de maturidade de cada objetivo de controle, pontuando conforme o modelo de nvel de maturidade (0 a 5). No final da avaliao dos objetivos de controles somar o nvel de maturidade encontrado em cada objetivo de controle e dividir pelo nmero de objetivos de controle existente no processo para identificar o nvel de maturidade do processo avaliado.

(Figura 10 Questionrio Script de Avaliao dos Processos)

Questionrio de Entendimento do Processo: usado durante as entrevistas para auxiliar na identificao do nvel de maturidade dos objetivos de controles (Figura 11).

(Figura 11 Questionrio de Entendimento do Processo)

Questionrio de Avaliao do Processo: Baseado no resultado obtido atravs da aplicao dos questionrios de script de avaliao do processo e o de entendimento do processo (Figura 12).

(Figura 12 Questionrio de Avaliao do Processo)

Relatrio de Diagnstico de Maturidade: abrangendo os 13 processos de TI selecionados.

Sero abordados: O nvel de maturidade atual de cada processo; Comparao com o padro de mercado, melhores prticas e definio da meta estratgica com base nos dados disponibilizados pela ISACA atravs do CobiT Online.

Relatrio de recomendaes de melhoria: apresentando os esforos e aes que devem ser implementados nos processos para atingir nvel de maturidade superior, se necessrios.

Plano de melhoria: contendo Mapeamento de processos de TI, formulrios, procedimentos e controles necessrios para implementao de melhoria nos processos avaliados.

Relatrio de implementao de melhoria: identificando a implementao de melhorias efetivadas.

5.7. Possveis riscos

Risco Potenciais formas de Mitigao e Contingncia 1. Falta de apoio da Diretoria Mitigao: Relatrios peridicos para a diretoria para informar os avanos do

Plano de Melhoria. Contingncia: Escalar a Diretoria em reunio mensal ou pontual.

2. Falta de interesse ou disponibilidade dos Departamentos envolvidos no Plano de Melhoria de Processos.

Mitigao: 1) Trabalho de conscientizao da importncia do Plano de Melhoria nos departamentos envolvidos; 2) Relatrios peridicos para os departamentos informando sobre os avanos no Plano de Melhoria. Contingncia: Escalar os Departamento em reunio mensal ou pontual.

3. Falta de proficincia dos consultores externos.

Mitigao: Informar contratada sobre o ocorrido, mostrar impacto no desenvolvimento dos trabalhos contratados e exigir melhorias. Contingncia: Levantar possibilidade de troca de consultores, medindo impacto da ocorrncia.

6. CONCLUSO A utilizao de um modelo de Governana de TI numa organizao, mais especificamente o CobiT, normalmente implementada com a expectativa de melhorar os processos de TI da organizao, para obteno do alinhamento da rea de TI com o negcio, alm da entrega de valor organizao, reduo de custos com a rea de TI, maior segurana, conformidade com normas regulatrias e manuteno e disponibilidade dos servios de TI.

O CobiT trata de todas essas iniciativas, alm de propiciar integrao com outros frameworks de Governana mais especficos, como a ISO 17799 (Segurana da Informao), ITIL (disponibilidade de servios) e CMM/CMMI (qualidade de software), entre outros. Porm, o anseio por alcanar sucesso na rea de TI com a utilizao de framework que dita O que fazer mas no O como fazer deve ser tratado com certa cautela. Primeiramente, preciso lembrar que o CobiT no um padro de mercado da rea de TI, mas sim, um sumrio de melhores prticas, necessitando que a empresa consiga identificar, dentro do seu contexto de atuao de mercado, cultura, objetivos estratgicos, conformidades com leis e regulamentos e estrutura da rea de TI, quais controles ditados pelo framework melhor atendem s necessidades e realidade da organizao. No caso da utilizao do CobiT na Empresa Brasileira de Correios e Telegrfos no foi diferente. A empresa procurou no pular etapas e desenvolveu pesquisas sobre as reais possibilidades de agregao de valor do framework ao negcio da organizao. E s agora, com maior entendimento e maturidade do resultado de todos os trabalhos efetuados, tem domnio em efetivar melhorias contnuas em seus processos, atravs de uma estrutura cclica e ordenada de melhoria.

A organizao entende que o CobiT, utilizado em conjunto com outros frameworks, padres e melhores prticas, est agregando valor aos variados negcios da ECT.

7. REFERNCIAS ITGI IT GOVERNANCE INSTITUTE. COBIT 4.0. Rolling Meadowns, IL 60008 USA

SOUZA, R. & MEKBEKIAN, G. Metodologia de gesto da qualidade em empresas construtoras. In: ENTAC93 ENCONTRO NACIONAL DE TECNOLOGIA DO AMBIENTE CONSTRUDO. So Paulo, 1993.

CAMPOS, V., F. Gerenciamento pelas Diretrizes. Belo Horizonte: Fundao Christiano Ottoni, da Universidade Federal de Minas Gerais, 1996.

FUSCO, CAMILA. Computerworld. Correios aderem verso 4.0 do CobiT. Disponvel em: . Acessado em 14/08/2006.

FUSCO, CAMILA. Computerworld. Verso 4.0 do framework ferramenta til para companhias que precisam se adequar a normas regulatrias como Sarbanes-Oxley. Disponvel em: http://computerworld.uol.com.br/governanca/2006/06/05/idgnoticia.2006-06-05.2040710799/IDGNoticia_view. Acessado em 08/08/2006

BIG FIVE CONSULTING Diagnstico de maturidade dos processos de TI da ECT com base no CobiT. Braslia, 2005.