LIVRO PROPRIETARIO - Governanca em tecnologia da informacao.pdf
Short Description
Download LIVRO PROPRIETARIO - Governanca em tecnologia da informacao.pdf...
Description
GOVERNANÇA EM TECNOLOGIA DA INFORMAÇÃO
autor
REGINALDO GOTARDO
1ª edição SESES rio de janeiro 2015
Conselho editorial regiane burger; roberto paes; gladis linhares; karen fernanda bortoloti; helcimara affonso de souza Autor do original reginaldo aparecido gotardo Projeto editorial roberto paes Coordenação de produção gladis linhares Coordenação de produção EaD karen fernanda bortoloti Projeto gráfico paulo vitor bastos Diagramação bfs media Revisão linguística amanda carla duarte aguiar Imagem de capa artur marciniec | dreamstime.com
Todos os direitos reservados. Nenhuma parte desta obra pode ser reproduzida ou transmitida por quaisquer meios (eletrônico ou mecânico, incluindo fotocópia e gravação) ou arquivada em qualquer sistema ou banco de dados sem permissão escrita da Editora. Copyright seses, 2015. Dados Internacionais de Catalogação na Publicação (cip) G683g Gotardo, Reginaldo
Governança em tecnologia da informação / Reginaldo Gotardo.
Rio de Janeiro : SESES, 2015.
144 p. : il.
ISBN 978-85-5548-027-0
1. Governança de TI. 2. Governança corporativa. 3. Tomada de decisão.
4. Gestão de TI. I. SESES. II. Estácio. CDD 658.004
Diretoria de Ensino — Fábrica de Conhecimento Rua do Bispo, 83, bloco F, Campus João Uchôa Rio Comprido — Rio de Janeiro — rj — cep 20261-063
Sumário Prefácio 7 1. Introdução à Governança Corporativa
9
Objetivos 10 1.1 Introdução à Governança Corporativa 11 1.2 A Organização Empresarial 14 1.3 Breve Histórico da Governança 16 1.4 Princípios, Conceitos e Responsabilidades 16 1.5 Lei Sarbanes-Oxley (SOX) 19 1.6 Modelos de Governança Corporativa 20 1.7 Alinhamento de TI à Governança Corporativa 21 1.8 Responsabilidades da Governança de TI 23 1.9 Ciclo da Governança de TI 25 1.10 Balanced Scorecard 26 Atividades 30 Reflexão 31 Referências bibliográficas 32
2. Processo de Decisão na Governança de Tecnologia da Informação
33
Objetivos 34 2.1 Tomada de Decisão na Governança de TI 35 2.2 Capacidades e Processos sobre Direitos Decisórios 38 2.3 Framework de Governança de TI 44 2.4 Controles para Governança de TI 49 2.5 Controle no Desenvolvimento de Sistemas 51 2.6 Controle de Operações 51 2.7 Segurança 52 2.8 Auditando Sistemas de Informação 53
Atividades 53 Reflexão 54 Referências bibliográficas 55
3. Introdução ao COBIT 5
57
Objetivos 58 3.1 Histórico e Apresentação 59 3.2 Governança Empresarial de TI 62 3.3 Princípios do COBIT 5 64 3.3.1 Princípio 1 – Atender às Necessidades das Partes Interessadas 67 3.3.2 Princípio 2 – Cobrir a Organização de Ponta a Ponta 75 3.3.3 Princípio 3 – Aplicar um Framework Único e Integrado 76 3.4 Princípio 4 – Permitir uma Abordagem Holística 77 3.5 Princípio 5 – Distinguir a Governança da Gestão 78 3.6 Modelo de Referência e Domínios de Processo no COBIT 5 85 3.6.1 Avaliar, Dirigir e Monitorar (EDM) 86 3.6.2 Alinhar, Planejar e Organizar (APO) 87 3.6.3 Construir, Adquirir e Implementar (BAI) 89 3.6.4 Entregar, Serviço e Suporte (DSS) 90 3.6.5 Monitorar, Avaliar e Analisar (MEA) 91 3.7 Implementação 91 3.8 Aceitação do Modelo 93 Atividades 93 Reflexão 95 Referências bibliográficas 95
4. Val IT, CMMI e ISO 27001 e 27002
97
Objetivos 98 4.1 Val IT 99 4.2 O Conceito de Valor 102 4.3 COBIT 5 e Val IT 102 4.4 CMMI 104
4.5 CMMI - Abordagem de Implementação por Estágios 106 4.6 CMMI - Abordagem de Implementação Contínua 108 4.7 Áreas dos Processos CMMI 110 4.8 ISO 27001 e 27002 112 Atividades 115 Reflexão 116 Referências bibliográficas 116
5. Seis Sigma e as Ferramentas de Qualidade
117
Objetivos 118 5.1 Breve História 119 5.2 Mas o que significa “sigma”? 120 5.3 O Six Sigma 120 5.4 Six Sigma – Papéis e Responsabilidades 123 5.5 DMAIC 124 5.6 DFSS 127 5.7 DMAVD 128 5.8 As 7 Ferramentas da Qualidade 129 5.8.1 Fluxograma 129 5.8.2 Diagramas de Dispersão 131 5.8.3 Folhas de Verificação 131 5.8.4 Gráficos de Pareto 133 5.8.5 Diagrama de Causa e Efeito 133 5.8.6 Histograma 134 5.8.7 Cartas de Controle 135 Atividades 139 Reflexão 140 Referências bibliográficas 140
Gabarito 141
Prefácio Prezados(as) alunos(as), Na disciplina de Governança em Tecnologia da Informação você aprenderá sobre os principais conceitos de Governança Corporativa, sobre a Governança em Tecnologia da Informação e sobre os modelos que podem ser usados para aplicação da mesma nas empresas. Na disciplina, nós começamos estudando a origem da Governança Corporativa, os conceitos envolvidos na sua definição e implantação. Depois estudamos a Governança de Tecnologia de Informação, sua aplicação nas empresas e os desafios envolvidos na tomada de decisão que envolve tecnologia. Na sequência falaremos de um framework, o COBIT, para alinhamento entre os objetivos de negócio e a tecnologia da informação. Falaremos também sobre frameworks para tecnologia propriamente e sobre processos de melhoria. Temos uma grande jornada pela frente. Aproveite o que preparamos, pesquise e estude outras fontes indicadas para se aperfeiçoar no tema. Bons estudos!
7
1 Introdução à Governança Corporativa
O termo Governança Corporativa é dominante em negócios atualmente, pois, nas últimas décadas tivemos uma série de casos envolvendo escândalos corporativos. A possibilidade de instabilidades financeiras nas empresas por falhas de gestão minou perspectivas de vários investidores, e isso causou muita desconfiança nos diversos setores de negócio. Basicamente, a preocupação é “Como as empresas podem proteger seus stakeholders?”. Os investimentos em Governança Corporativa refletem no valor da empresa. Possuir uma boa Governança (altos padrões de como fazê-la) pode fazer com que investidores aceitem pagar mais caro pelas ações da empresa. Isso ocorre, pois trata-se de: relação confiança. A melhor governança gera melhor confiança no mercado e gera melhor economia para empresa. Perceba que não estamos falando na produção e venda de produtos ou serviços, mas sim na capacidade de manter os processos funcionando adequadamente e entregando valor aos stakeholders.
OBJETIVOS Neste capítulo, os objetivos principais são: • Aprender o que é Governança Corporativa; • Saber por que a Governança Corporativa está sendo cada vez mais utilizada nas empresas; • Conhecer a Lei Sabarnes-Oxley (SOX) e seus impactos na área de TI; • Identificar os mecanismos da boa Governança Corporativa; • Relacionar a governança de TI com a Governança Corporativa. • Saber a importância do alinhamento entre estratégia corporativa e TI. • Conhecer a técnica do Balanced Scorecard (BSC). • Saber o que é Governança de TI. • Identificar as responsabilidades da Governança de TI. • Relacionar a Governança de TI com modelos e ferramentas utilizadas.
10 •
capítulo 1
1.1 Introdução à Governança Corporativa O uso do termo “governance” surgiu a partir de reflexões do Banco Mundial sobre as gestões públicas mundiais. Em 1992, foi apresentado um documento sobre o tema intitulado: Governance and Development. Já no prefácio do documento, encontramos a noções fundamentais desse tema, escrito, na época, pelo Presidente Lewis T. Preston, do Banco Mundial, em abril de 1992, onde lemos: A boa governança é um complemento essencial para a saúde das políticas econômicas. A gestão eficiente e responsável pelo setor público, um quadro político previsível e transparente são fundamentais para a eficiência dos mercados e governos, e, consequentemente, para o desenvolvimento econômico.
A definição de governança foi apresentada no documento em linhas gerais como: o uso da autoridade, controle, administração e o exercício do poder tendo em vista questões sociais e econômicas, visando seu legitimo desenvolvimento. A partir dessa vertente, a capacidade governativa não seria avaliada apenas pelos resultados das políticas governamentais, mas pela forma como o governo exerce o poder, essa visão mais abrangente envolvem as dimensões sociais do fazer político. Ultimamente, é comum o uso do termo governança nas áreas administrativa, constituindo o planejamento estratégico da Empresa, o uso do termo acontece, principalmente, pelo seu amplo conceito. Segundo definição apresentada pelo Guia do Instituto Brasileiro de Governança Corporativa (IBGC, página 19): Governança é o sistema pelo qual as organizações são dirigidas, monitoradas e incentivadas, envolvendo o relacionamento entre Conselho, equipe executiva e demais órgãos de controle. As boas práticas de governança convertem princípios em recomendações objetivas, alinhando interesses com a finalidade de preservar a reputação da organização e de otimizar seu valor social, facilitando seu acesso a recursos e contribuindo para sua longevidade.
capítulo 1
• 11
A Governança Corporativa define um conjunto de ações, normas, costumes, gestão e filosofia, que regulam a direção e gestão de uma empresa e sua relação com os diversos atores que a constitui: chamados de stakeholders. O termo stakeholders é formado pelas palavras inglesas: Stake que significa interesse, participação, risco, e Holder que significa aquele possui. Sendo assim, podemos definir como “aquele que possui participação” ou melhor “parte interessada”. Um dos princípios da Governança é promover a equidade, igualdade e justiça entre os membros, porém em empresas de capital aberto, os acionistas (shareholders), o conselho, e os executivos, são os stakeholders mais influentes. São também stakeholders os colaboradores, clientes, bancos, fornecedores, governo, a comunidade onde a empresa atua e a relação com o meio ambiente. Internal Stakeholders
External Stakeholders Suppliers Society
Employees Government Manager
Company Creditors
Owners
Shareholders Customers Figura 1.1 – Stakeholders da Empresa. Fonte: http://upload.wikimedia.org/wikipedia/commons/4/4c/Stakeholder_(en).png
Stakeholders Internos: • Empregados: • Gerentes: • Proprietários:
12 •
capítulo 1
Stakeholders Externos: • Fornecedores • Sociedade • Governo • Credores • Acionistas • Consumidores De maneira geral, os sistemas informartizados de governança corporativa e, claro, os princípios de governança devidamente aplicados, podem ajudar a evitar fracassos como abusos de poder (diretorias sobre acionistas, acionistas majoritários sobre minoritários), erros estratégicos (concentração de poder e decisões concentrados num executivo apenas) e fraudes (uso de informações privilegiadas em benefício próprio). O que nós veremos ao longo deste material são conceitos de Governança, modelos, frameworks, que visam alinhar a Tecnologia de Informação à Gestão Empresarial. Boas práticas de Governança Corporativa podem trazer benefícios qualitativos e quantitativos às organizações. Desde melhores decisões até redução de custos e impactos financeiros. Stakeholder refere-se às diversas partes interessadas em projetos, na administração
ou na governança das empresas. De maneira geral, refere-se aos envolvidos em processos (é duradouro, há recorrência) ou projetos (esforços temporários).
A relação com “as partes interessadas” faz parte de uma boa governança e tem que estar definido nos planejamentos estratégicos e táticos da corporação. Os stakeholders influenciam interna e externamente na empresa, podendo oferecer benefícios ou dificuldades para as corporações. Um exemplo de benefício são as parcerias empresariais, e um exemplo de dificuldade são as ações governamentais como excesso de burocracia, corrupção e impostos abusivos.
capítulo 1
• 13
1.2 A Organização Empresarial A globalização da economia baseada no capitalismo acirrou a concorrência entre as empresas e trouxe mercados cada vez mais dinâmicos ou turbulentos. Diariamente (ou em questão de segundos) as decisões impactam empresas e pessoas ao redor do mundo todo. Há a crescente necessidade de agir com rapidez perante este cenário. No entanto, as empresas, em geral grandes e médias, preconizam modelos de organizações pautados em estruturas de trabalhos e funções, ou seja, modelos baseados nos estudos de Frederick Taylor e Henri Fayol. O desempenho da empresa fica relacionado ao desempenho de suas unidades funcionais. De forma geral toda empresa precisará produzir algo, usando um conjunto de ferramentas, processos e pessoas. Esta produção pode resultar em produtos ou serviços (1). A empresa também precisará inserir o produto ou serviço no mercado e atrair clientes, além de possuir um controle no pós venda para melhoria de seus produtos/serviços (2). A empresa precisará da estimativa de custos e preços, prestação de contas e previsão de resultados (3). E, por fim, a empresa precisa de pessoas. Precisa treiná-las, adequá-las ao ambiente de trabalho, definir habilidades e tarefas (4).
Produção
Vendas e MKT
Produtos ou Serviços
Finanças e Contabilidade
Recursos Humanos
Figura 1.2 – Áreas funcionais de uma empresa. Fonte: Elaborado pelo autor.
14 •
capítulo 1
Assim, como visto na figura, uma empresa precisa de grupos de tarefas para funcionar. As proximidades das competências nestas tarefas geram as unidades funcionais (às vezes chamadas de silos funcionais). Uma organização pode ser vista como um conjunto de pessoas com um objetivo em comum. Normalmente essas pessoas se organizam de forma hierárquica e essa organização hierárquica gera o que já comentamos: unidades funcionais baseadas nas características em comum do trabalho a ser realizado. Níveis Hierárquicos ou de Responsabilidade Nível Estratégico
Nível Gerencial
Nível de Conhecimento
Nível Operacional
Stakeholders Gerentes Seniores
Gerentes Médios Trabalhadores do Conhecimento de Dados Gerentes Operacionais
Vendas e Recursos Áreas ou Fabricação Finanças Contabilidade Humanos Departamentos Marketing
Figura 1.3 – Áreas funcionais de uma empresa. Fonte: Adaptado de (LAUDON e LAUDON, 2007).
A gestão das áreas funcionais é baseada em hierarquia de níveis gerenciais. Como pode ser visto na figura anterior, existem vários níveis gerenciais que permeiam a estrutura funcional da empresa. Os gerentes operacionais atuam diretamente ligados aos processos que produzem o conhecimento diário da empresa, que atendem clientes, que entregam valor aos clientes externos da organização. Os demais níveis gerenciais atuam de forma tática e estratégica para o bom funcionamento da empresa, alinhando os interesses da organização à operacionalização dos resultados.
capítulo 1
• 15
1.3 Breve Histórico da Governança Quando o Banco Mundial redigiu o documento sobre Governança e Desenvolvimento, o cenário mundial vivia uma crise crescente de desconfiança, tanto nos setores públicos quanto privado. Entre os anos de 1990 e 2002, as crises na Ásia, o enfraquecimento econômico da Europa e escândalos em empresas americanas, culminaram na tentativa de que as relações comerciais e governamentais fossem pautadas por ações mais assertivas e honestas. A Governança Corporativa surgiu nesse cenário, e veio para atender também aos anseios sociais e ambientais, e não apenas aos ganhos financeiros. Na gestão privada, durante a Era Industrial, o planejamento estratégico era estabelecido, principalmente, por grandes investidores e acionistas (shareholders), as negociações e articulações aconteciam com portas fechadas. As questões sociais e ambientais não apareciam como parte do planejamento estratégicos das empresas. Outro fator que alavancou o conceito de governança foi a globalização. Com a era da Informação foi apresentado ao mundo situações e condições de governabilidade desumanas, ditatoriais e de alto impacto ambiental, a propagação das informações resultaram em demonstrações de repudio por todo o mundo. Sendo essas situações inaceitáveis e comprovadamente insustentáveis, acenava-se para a necessidade de as empresas criarem relações socioambientais mais justas.
1.4 Princípios, Conceitos e Responsabilidades Os preceitos da governança apontam para equidade e transparência com todos os stakeholders, criando o conceito de organização sustentável, que visa o equilíbrio social, a participação, a distribuição dos lucros, e o desenvolvimento de todos os envolvidos, isto é, num processo onde todos devam participar e ganhar. Esse novo modelo propõe além do retorno financeiro, retorno e desenvolvimento socioambiental. Os princípios que norteiam a governança tanto pública, tanto pública como corporativa, são: Transparência, Equidade, Prestação de contas, Responsabilidade, Participação, Decisões orientadas por consenso, Efetividade e eficiência.
16 •
capítulo 1
• O princípio de transparência propõe que a informação deva ocorrer espontaneamente e que sobrepondo ao conceito de “obrigação de informar” que deva haver na corporação um “desejo de informar.” Mais do que informar o que é imposto contratual e legalmente, é necessário que haja transparência nas relações e que todas as informações da empresa estejam disponíveis aos interessados. A atuação transparente desenvolve um clima de mútua confiança entre todos os envolvidos. Melhorando tanto as relações internas como externas.
CONEXÃO No Brasil, podemos ver ações como “A Transparência Brasil” que é uma organização independente e autônoma, fundada em 2000 por um grupo de indivíduos e organizações nãogovernamentais comprometidos com o combate à corrupção. Disponível em: http://www.transparencia.org.br/ Segundo o dicionário Houaiss, Equidade nos termos do Direito significa: “O respeito pelo direito de cada pessoa, adequando a norma ao caso concreto, pelo que se considera justo. É a apreciação e julgamento justo em virtude do senso de justiça imparcial, visando a igualdade no julgamento.” Dicionário Houaiss. Disponível em http://houaiss.uol.com.br/busca.jhtm.
• Sobre o Princípio da Equidade: A palavra equidade tem origem no latim aequitas que significa igualdade, simetria, retidão, imparcialidade, conformidade. Quando pensamos em equidade, devemos ter em mente os critérios de igualdade e justiça. Esse conceito revela equivalência entre os stakeholders, sugerindo imparcialidade ao reconhecer o direito de cada um. • No Princípio da Prestação de Contas (Accountability) os agentes de governança – associados, conselheiros, executivos, conselheiros fiscais e auditores – devem prestar contas de sua atuação, assumindo integralmente as consequências de seus atos e omissões. • Sobre a Responsabilidade a governança deve atender as questões de sustentabilidade, com ações no âmbito social e ambiental que resultarão em sustentabilidade e longevidade à organização, atendendo igualmente as expectativas dos stakeholders. capítulo 1
• 17
• O Princípio da Participação visa oferecer aos stakeholders, liberdade de expressão, de questionamentos, acesso a informações, possibilitando a participação direto ou indireta. • Nas Decisões Orientadas por Consenso deve-se considerar o consenso nas relações sociais, as decisões devem ser tomadas de forma participativa, clara e explicita, considerando os diferentes pontos de vistas. Assegurando a todos os membros que façam parte das decisões da corporação. Projetando ações que visam resultados a médio e longo prazo, para atingir o desenvolvimento sustentável. • Na Efetividade e Eficiência há a busca em garantir processos que produzam bons resultados fazendo o melhor uso possível dos recursos disponíveis. Garantindo a sustentabilidade. Como vemos, os princípios da governança estão pautados no compartilhamento e transparência de informações, na responsabilidade fiscal, social e ambiental. As empresas que aderem à Governança Corporativa têm ganhos de imagem e reputação, considerados ativos intangíveis, esses ganhos têm demonstrado o quanto pode-se criar valor através de boas ações mercadológicas. A governança tem como seus principais ativos: • Ativos Humanos: pessoas, treinamentos, planos de carreira; • Ativos Financeiros: dinheiro, investimentos, fluxo de caixa, etc; • Ativos Físicos: prédios, fábricas, equipamentos, manutenção, etc; • Ativos de Propriedade Intelectual: know-how de produtos, serviços, processo com patentes ou registros; • Ativos de relacionamento: interno à empresa, relacionamento com clientes, reputação, fornecedores, governo; • Tecnologia da Informação: dados, informações, sistemas de informação, dados dos processos, etc. Estes ativos devem ser protegidos e controlados pela governança através de estruturas gerenciais, processos, comitês, conselhos e auditores. A conformidade da gestão pode ser verificada com auditorias externas contratadas pela empresa ou por órgãos regulatórios como a ANATEL (telecomunicações no Brasil), ANEEL (energia elétrica), Banco Central do Brasil (financeiro), dentre outros. Alguns destes órgãos regulatórios causam forte impacto na área de TI, e isso deverá ser tratado no modelo de governança de TI e alinhado estrategicamente ao negócio.
18 •
capítulo 1
1.5 Lei Sarbanes-Oxley (SOX) O Sabarnes-Oxley Act (SARBANE e OXLEY, 2002) foi motivado pelos escândalos financeiros em companhias abertas nos Estados Unidos que determinaram a perda de confiança de investidores no mercado de capital americano. A bolsa de valores nos Estados Unidos é um dos principais meios de investimento das famílias norte-americanas. Assim, era importante manter a credibilidade das empresas e do funcionamento dos sistemas. A Lei foi sancionada pelo presidente dos Estados Unidos, George W. Bush em julho de 2002, e afetou a divulgação financeira de empresas que têm ações negociadas em bolsas dos Estados Unidos. A lei visa regular tanto empresas norte-americanas com ações nas bolsas americanas quanto empresas estrangeiras com ações nas bolsas americanas. Pela lei, CEO e o CFO das empresas estão sujeitos a sanções pecuniárias de US$ 1.000.000 a US$ 5.000.000 e/ou 10 a 20 anos de reclusão, caso não atendam aos requisitos da Securities and Exchange Commission (SEC). Para a TI, os requisitos do SOX que a afetam estão nas seções 302 e 404 da lei. A seção 302 especifica, dentre outros itens, que: • O CEO e CFO devem revisar os relatórios financeiros • O CEO e CFO declaram ter conhecimento dos resultados e atestam que os relatórios financeiros não contêm declaração falsa ou omissão de dados; • O CEO e CFO são responsáveis por manter e estabelecer controles e procedimentos sobre a emissão de relatórios financeiros e controles internos sobre eles. • As deficiências dos sistemas de controle interno que possam afetar a habilidade da empresa em registrar, processar, sumarizar, e comunicar informações financeiras devem ser comunicadas. • Qualquer fraude que envolva a gerência ou outros funcionários que tenham um papel significante nos registros do controle interno sobre relatório financeiro deve ser comunicada. A seção 404 especifica que: • A administração tem a responsabilidade de estabelecer e manter uma estrutura adequada de controles e procedimentos para emissão de relatórios financeiros. capítulo 1
• 19
• A administração deve avaliar a efetividade do sistema de controle interno para emissão de relatórios financeiros. • A administração deve realizar uma auditoria independente, para atestar e divulgar a avaliação feita pela administração sobre os controles e procedimentos internos para emissão de relatórios financeiros. Para atender aos requisitos do SOX as informações financeiras devem atender a alguns princípios: • O conteúdo da informação deve ser apropriado. • A informação deve estar disponível de acordo com a necessidade • A informação deve representar a última atualização, ou seja ser atual. • Os dados e informações devem estar corretos. • A informação é acessível aos usuários interessados autorizados • Deve haver um sistema de controle interno sobre relatórios financeiros para garantir a veracidade dos itens anteriores. As informações financeiras e os resultados da empresa são oriundos de processos de negócio. Há, neste caso, a geração de fatos contábeis e financeiros na empresa. Assim, os sistemas transacionais (geradores de informações na empresa e que estão no nível operacional – consulte a figura da seção 2) devem ser considerados quando se tratar da SOX.
1.6 Modelos de Governança Corporativa De acordo com o Instituto Brasileiro de Governança Corporativa (IBGC) cada país institui melhores práticas de governança corporativa com base em seus modelos econômicos, corporativos, regulatórios e seu ambiente social. O próprio IBGC afirma que torna-se impossível descrever de forma detalhada todos os modelos de governança vigentes no mundo. Mas, é possível observar os tipos de modelos de governança através da análise do que o mercado pratica. Há, segundo o IBGC, duas grandes categorias que compreendem os modelos adotados pelo mundo:
20 •
capítulo 1
• Outsider System: trata-se de um sistema de Governança anglo-saxão (Estados Unidos e Reino Unido) onde há muitos acionados (pulverização) e, normalmente, fora do comando diários das operações das empresas. Há também foco grande na maximização do retorno para acionistas. A propriedade fica dispersa, até por conta da natureza dos acionistas. • Insider System: trata-se de um sistema de Governança da Europa Continental e Japão onde há grandes acionistas relacionados ao comando das operações diárias das empresas ou pessoas indicadas por estes acionistas. A estrutura de propriedade é mais concentrada e há a presença de grandes grupos empresariais.
O modelo de governança corporativa no Brasil se aproxima mais do Insider System com propriedades mais concentradas e forte presença de empresas familiares ou empresas controladas pelo Estado. Algumas exigências legais e regulatórias devem ser cumpridas para a obtenção de uma boa governança corporativa. Isto deve ser feito pela criação de um conjunto de mecanismos externos e internos eficientes que assegurem o comportamento dos executivos alinhado aos interesses dos acionistas. Como mecanismos internos podem ser considerados o conselho de administração, a concentração acionária e a atuação de investidores institucionais. Os mecanismos externos pode ser a proteção legal aos investidores, o grau de competição do mercado, a fiscalização de agentes do mercado, e a própria estrutura de capital. O conselho de administração deve exercer seu papel com a elaboração de estratégias para a empresa e deve eleger (e destituir) o executivo principal, fiscalizar e avaliar o desempenho da gestão e executar auditorias de forma independente, refletindo, assim, as boas práticas da governança corporativa e tem como objetivo os princípios vistos na seção 4.
1.7 Alinhamento de TI à Governança Corporativa O fato ds organizações estarem enfrentando um mercado cada vez mais competitivo e globalizado, faz com que necessitem de informações sob demanda
capítulo 1
• 21
e personalizadas, para ajudar na sua gestão de forma mais inteligente. No entanto, para que isto se torne uma realidade é necessário que o planejamento estratégico da área de Tecnologia da Informação esteja alinhado ao planejamento estratégico do negócio de forma coerente. A área de TI deve trabalhar com seus esforços voltados para as ações que possam agregar valor ao negócio da empresa, sendo flexível para acomodar as frequentes mudanças, antecipar informações, simular cenários e avaliar tendências. O alinhamento da área de TI com a área de negócio é o ingrediente principal para a criação da governança de TI sob a guarda da governança corporativa. A Governança Corporativa nos apresenta a sua importância para a organização e para os investidores nas empresas e mostra que, em conjunto com o planejamento estratégico de TI alinhado ao negócio, influencia diretamente a estruturação da governança de TI. Várias práticas de governança em outras áreas, como a governança financeira, podem oferecer guias gerais na construção de uma governança de TI. Por exemplo, o Chief Financial Officer (CFO – Diretor Financeiro) delega autoridade e especifica quem pode assinar os cheques, os valores limites para cada função na empresa, quem pode realizar pagamentos, quais os valores, tudo isto para estabelecer uma governança financeira. Ele também administra o fluxo de caixa da empresa e avalia riscos. Este formato de delegação e controle, com distribuição de tarefas e responsabilidades pode e deve ser utilizado para modelos de governança de TI. A governança de TI pode ser definida como (WEILL e ROSS, 2006): “A especificação dos direitos decisórios e do framework de responsabilidades para estimular comportamentos desejáveis na utilização de TI”. Assim, a governança de TI determina os tomadores de decisão, como, por exemplo, quem decidirá sobre o investimento em TI e qual o valor do investimento. A governança de TI também deve abordar as seguintes questões (WEILL e ROSS, 2006): • Quais decisões devem ser tomadas para garantir a gestão e o uso eficazes de TI? • Quem deve tomar essas decisões? • Como essas decisões serão tomadas e monitoradas?
22 •
capítulo 1
O IT Governance Institute (ITGI) descreve a governança como: “Responsabilidade dos executivos e da alta direção que consiste na liderança, em aspectos estruturais organizacionais, em processos que garantam que a TI da organização fornece suporte e aprimore objetivos e estratégias da empresa.” Assim, outras questões devem ser debatidas e respondidas como: Como a empresa consegue implementar controles na área de TI de forma que TI entregue as informações que a empresa precisa? Como a empresa gerencia os riscos e garante a segurança dos recursos de TI dos quais é tão dependente? Como a empresa assegura que a área de TI atinja seus objetivos e atenda ao negócio? O ITGI é um Instituto criado em 1998 para melhoria e controle de padrões internacionais sobre tecnologia da informação nas empresas.
Por sua vez, a governança de TI deverá ser vista como parte da governança corporativa de forma que agregue valor ao negócio e vise: • Manter a TI ainhada ao negócio; • Implementar medidas para a continuidade do negócio em caso de falhas ou interrupções; • Incluir marcos regulatórios externos como o SOX, que já citamos. A ISO 38500:2009, fundamentada nos princípios de Responsabilidade, Estratégia, Aquisições, Desempenho, Conformidade e Comportamento Humano, é a norma da International Organization for Standardization (ISO – www.iso.org) voltada à Governança Corporativa para Tecnologia da Informação.
1.8 Responsabilidades da Governança de TI Os pilares (ou princípios) da Governança Cooporativa são: transparência, equidade, prestação de contas e responsabilidade corporativa. A transparência relaciona-se com a comunicação interna e externa de forma espontânea, direta e
capítulo 1
• 23
franca. A equidade reporta-se ao tratamento justo e igualitário entre os stakeholders. A prestação de contas (Accountability) remete a informação clara sobre todos os atos praticados pelos executivos; e a responsabilidade corporativa zela pela sustentabilidade da companhia e sua perpetuação. A Governança de TI tem como objetivo principal armazenar, processar e disponibilizar informações com qualidade e segurança, atendendo a tríade Confidencialidade, Integridade e Disponibilidade (CID). Com os princípios revistos, a implantação da governança deve estar articulada com a gestão estratégica e com os papeis e responsabilidades de cada entidade bem definidas. A definição de papeis, elenca o responsável (CEO) ou responsáveis (CIO e ou CFO) pelas tomadas de decisões, e a definição dos mecanismos que serão articulados. Uma das responsabilidades da Governança de TI é avaliar os valores dos stakeholders para o consenso, direcionando ações de valor para o negócio. Veja na imagem abaixo: Stakeholder
Responsabilidade da Governança de TI
Direciona valor Estratégia
Confirmam ou mudam
Direciona Recursos: • Desempenho • Informação • Capacidade Resultados • Desempenho • Resultado • Riscos
Utilizam Medem
Processos
Reportam Melhoram
Figura 1.4 – Responsabilidades da Governança de TI. Fonte: Material Estácio WebAula.
Utilizando as estratégias descritas acima, há um direcionamento na utilização dos processos com os resultados mensurados e analisados, é possível adequar ou confirmar o uso das estratégias disponíveis para o fluxo dos processos.
24 •
capítulo 1
1.9 Ciclo da Governança de TI O “Ciclo da Governança de TI”, é composto por 4 etapas: 1. 2. 3. 4.
Alinhamento estratégico e Compliance Decisão Estrutura e Processos Medição de desempenho da TI
Veja como o Ciclo é representado na imagem abaixo (FERNANDES e ABREU, 2008): Ciclo da Governança de TI 1
2
3
4
Alinhamento estratégico e compliance
Decisão, compromisso, priorização e alocação de recursos
Estrutura, processos operações e gestão
Medição do desempenho
Figura 1.5 – Ciclo da Governança e TI. Fonte: Material Estácio WebAula.
1. Alinhamento Estratégico e Compliance trata de que o planejamento estratégico da TI estejam alinhadas as estratégicas da organização considerando seus produtos e segmento de atuação, cumprindo as normas legais e regulamentares, as politicas e diretrizes estabelecidas evitando qualquer desvio ou inconformidade. 2. Decisão, Compromisso, priorização e alocação de recursos trata das responsabilidades pelas decisões envolvendo a TI, respondendo por quem, o que, como e onde as decisões serão tomadas, e diz respeito a investimentos, necessidades de aplicações, arquitetura de TI, serviços de infra-estrutura, etc. Estrutura, Processos, Operações e Gestão trata da estrutura organizacional e funcional de TI. São alinhadas as operações de sistemas, infra-estrutura, suporte técnico, segurança da informação, trata dos processos de gestão e operação dos produtos e serviços de TI. 3. Medição do Desempenho trata da seleção, coleta, e geração dos indicadores de resultados dos processos, produtos e serviços de TI e do seu impacto sobre as estratégias e objetivos do negócio. capítulo 1
• 25
1.10 Balanced Scorecard O Balanced Scorecard (BSC) é um método usado pelas organizações para a implantação das estratégias estabelecidas. Usando o BSC é possível desenhar um mapa estratégico para interpretar a missão e visão da organização e criar métricas de desempenho a partir desse alinhamento estratégico. O BSC tem sua métrica alinhada a quatro requisitos, relacionando-as, dessa forma, qualquer medida escolhida deve estar articulada a uma cadeia de relações de causa e efeito proporcionando melhoria no desempenho financeiro. Financeiro
Para ter sucesso financeiramente, como nós devemos aparecer para os nossos investidores? Cliente
Para alcançar nossa visão, como devemos ser vistos pelos clientes
Processos Internos Visão e Estratégia
Para satisfazer os clientes, em quais processos devemos nos sobressair?
Aprendizado e Crescimento
Para alcançar nossa visão, como sustentar a habilidade de mudar e progredir?
Figura 1.6 – Perspectivas do BSC. Fonte: Material Estácio WebAula
O objetivo no BSC é alcançado pelas seguintes ações e respostas às questões: • Integração da Visão: onde queremos chegar? Com a estratégia definida o que fazer para alcança-la? • Articular com o setor Financeiro: como ter e mostrar ter sucesso financeiro? • E com os clientes: Como devemos ser vistos pelo cliente? • Integração da Visão: onde queremos chegar? Com a estratégia definida o que fazer para alcança-la?
26 •
capítulo 1
• Articular com o setor Financeiro: como ter e mostrar ter sucesso financeiro? • E com os clientes: Como devemos ser vistos pelo cliente? • Revendo os processos internos: Quais processo/ações são mais atraentes aos clientes? • Usando o Aprendizado e crescimento: usar as experiências para mudar e progredir. • Esclarecer e traduzir a visão e a estratégia, esse método também contribui para a construção de consensos entre os gestores e sobre a visão e estratégia da organização.
Atender as demandas dos quatro requisitos possibilita o ajuste continuo da estratégia. A busca constante por resposta, permite levantar mensuras simultaneamente financeiras e não financeiras, inerentes ao sistema de informação tangível a todos os níveis da organização. Alinha os indicadores externos e os indicadores internos, compreendendo investimentos, processos, inovação, aprendizagem e crescimento; alinha os resultados do esforço passado e os indicadores dos desempenhos futuros; alinha indicadores quantificáveis e indicadores subjetivo de desempenho. Na perspectiva Financeira o que normalmente se vê é a estratégia de crescimento, rentabilidade e risco do negócio. Os objetivos financeiros servem de foco para as perspectivas seguintes do BSC. Na perspectiva do Cliente, buscase alinhamento de resultados, proporcionando satisfação, fidelidade, captação e lucratividade. Já na terceira perspectiva vem os Processos Internos, onde ocorre uma análise dos processos mais críticos, levando em consideração as duas primeiras perspectivas. A última perspectiva, denominada Aprendizado e Crescimento, oferece sustentação, suporte à mudança, e inovação e o crescimento organizacional para as três primeiras perspectivas alcançarem seus objetivos. Abaixo, segue um conjunto com alguns indicadores de desempenho relacionados à abordagem do FPNQ (Fundação Programa Nacional de Qualidade) e do BSC (Balanced Scorecard) baseados em (OLIVEIRA, 2007):
capítulo 1
• 27
Perspectivas do Mercado e dos Clientes: • Participação no Mercado: Qual a representatividade (%) das vendas da empresa no mercado. • Fidelidade: Percentual de clientes regulares. • Conquista de Novos Clientes: Número de clientes novos por segmento e quantidade de vendas a estes clientes. • Insatisfação: Quantidade (%) de clientes que apontaram itens que influenciaram negativamente em suas decisões de compra. • Satisfação: Percentual de clientes declarados satisfeitos. • Informação: Intensidade com que o mercado potencial recebe informações positivas da empresa. • Imagem: Percentual de pessoas com visão positiva da empresa. • Conhecimento: Lembrança da marca (ou produtos). Percentual. • Valor Relativo do Produto ou Serviço: Outros valores associados aos produtos/ serviços como pontualidade, qualidade, atendimento, etc. • Manifestações dos Clientes: Reclamações e devoluções registradas e procedentes. • Relacionamento: Prazo médio para solução dos problemas com os clientes.
Perspectivas Financeiras:
• Valor Econômico Agregado: Valor dos bens produzidos depois de deduzido o custo dos insumos (EVA – Economic Value Added). • Rentabilidade sobre Patrimônio Líquido: Lucro líquido dividido pelo Patrimônio líquido. Ou seja, é um indicador de atratividade, pois indica qual o retorno sobre o patrimônio investido. • Liquidez Corrente: Mede a capacidade da empresa de saldar seus compromissos imediatos. Ativo circulante dividido pelo passivo circulante. • Crescimento de Receita: Receita no período atual dividida pela receita no período anterior
28 •
capítulo 1
• Margem Bruta: Total das vendas menos o custo de produtos e serviços vendidos dividido pelo total das vendas. Equilibrio entre receita e despesa. • Geração de Caixa: Saldo médio de caixa dividido pelo Total das vendas. Equilíbrio entre contas a receber e a pagar. • Vendas: Capacidade de fazer previsões e concretizá-las. Médias das vendas reais (últimos 12 meses) dividido pela Média das Vendas Previstas (mesmo período).
Perspectivas dos Processos
• Conformidade do Produto em relação ao Padrão: Especificação determinada pelo cliente ou empresa, norma ou legislação. • Conformidade do serviço em relação ao padrão: Entrega de serviços no prazo previsto (%). • Produtividade: Custo real do processo dividido pelo custo ideal. • Eficiência Operacional: % utilizado da capacidade de produção da empresa. • Conformidade do Processo Crítico: Número de não conformidades que são críticas para o negócio.
• Desperdício: % de materiais perdidos no processo. • Qualidade do Planejamento: % realizado da programação de produção. • Flexibilidade: Prazo médio entre pedido e entrega. • Análise do Processo de Inovação: Tempo do ciclo do projeto e custos em pesquisa e desenvolvimento. • Análise do Processo de Operações: Tempo do ciclo do pedido do cliente, percentual de não-conformidades no processo, custo do processo e percentual de produtividade. • Análise do Serviço de Pós-Venda: Prazo médio para solução de problemas (reclamações) e custo desta assistência.
capítulo 1
• 29
Perspectivas de Aprendizado, Inovação e Crescimento
• Tempo para recuperar investimentos: Meses necessários para retorno. • Receita de novos produtos: % de receita obtida com novos produtos ou serviços. • Conformidade do Processo: Número de não-conformidades ou alterações. • Conformidade do Projeto: Idem anterior, mas por projeto. • Geração de Idéias: % de idéias de produtos ou serviços em relação as pessoas envolvidas nisso. • Aceitação de Novos Produtos ou Serviços: % de novos produtos/serviços vendidos em relação a venda prevista.
ATIVIDADES Com base no conteúdo apresentado neste capítulo e com base na figura abaixo, responda as seguintes questões: Mapa estratégico da empresa XPTO Perspectiva
Financeira
Mapa da estratégia Lucros
Receitas
Qualidade de serviço Cliente
Excelência no serviço
Objetivos - Crescimento do negócio; - Participação no mercado
Indicadores
Ações
Metas
- Lucro operacional - Market share
- Crescimento do negócio; - Participação no mercado
- Crescimento do negócio; - Participação no mercado
- Retenção do cliente; - Clientes novos
- Percentual de retenção cliente - Percentual de crescimento vendas - Quantidade de clientes novos
- 80% retenção clientes - ano - 10% crescimento vendas - ano - 10% clientes novos - ano
- Mudar agência de propaganda - Aumentar número de campanhas
Processos internos
Competências pessoais
- Melhorar o atendimento ao cliente;
- Quantidade de reclamações do clientes
- Máximo de 5% do número de clientes ativos (ano)
- Implantar novo software de atendimento - Rever processo de atendimento
Aprendizagem e Crescimento
Capacitação das pessoas
- Identificar necessidades de treinamento; - Treinar equipe;
- Produtividade individual
- Aumento de 15% na produtividade individual - ano
- Oferecer bolsas de estudo - Oferecer treinamentos in company - Incentivar participação em congressos
Figura 1.7 – Mapa Estratégico da Empresa XPTO. Fonte: Material Estácio WebAula.
01. Estabeleça a relação entre a Estratégia de Geração Receitas e Lucros e os indicadores apresentados. 02. Disserte como as metas possuem relação com os objetivos na figura.
30 •
capítulo 1
REFLEXÃO Como vimos neste capítulo, a Governança Corporativa é um conceito e reúne práticas para melhor atender os interesses das partes interessadas da empresa. Vimos também que a Tecnologia da Informação está intrinsicamente relacionada a isso. Neste contexto, faça uma reflexão sobre a seguinte questão: Como a Governança Corporativa e Governança de TI podem auxiliar na Gestão Empresarial e na tomada de decisões melhores?
LEITURA Para complementar seu aprendizado sobre Governança Corporativa e Governança de TI, visite esses sites: • COSO: http://www.coso.org • IBGC: http://www.ibgc.org.br • Basileia II: http://www.bis.org/publ/bcbsca.htm • http://www.bacen.gov.br/?BASILEIA2 • SOX: http://www.sec.gov/about/laws.shtml • http://www.sec.gov/about/laws/soa2002.pdf (texto original) • ITGI (governança de TI): http://www.itgi.org • ISACA: http://www.isaca.org Também sugiro a leitura de livros como: • Balanced Scorecard: KAPLAN, Robert S.; NORTON, David P. "Mapas Estratégicos: convertendo ativos intangíveis em resultados tangíveis". Rio de Janeiro. Editora campus, 4ª edição, 2004. E sugiro a visita ao site abaixo com informação histórica sobre Governança e uma linha do tempo: • www.ibgc.org.br/inter.php?id=18887
capítulo 1
• 31
REFERÊNCIAS BIBLIOGRÁFICAS LAUDON, K. C.; LAUDON, J. P. Sistemas de informação gerenciais. 7. ed. São Paulo: Pearson Prentice Hall, 2007. SARBANES, P.; OXLEY M. G. Sarbanes-Oxley Act of 2002. House of Representatives 107th Congress, 2nd session, Report 107-601. July 24th, 2002. WEILL P.; ROSS W. J. Governança de Tecnologia da Informação. Makron Books, São Paulo, 2006. IBGC, INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA. Guia das Melhores Práticas de Governança para Fundações e Institutos Empresariais. Acesso em 01/02/2015. Disponível em: http://www.institutocamargocorrea.org.br/Documents/guia_governanca.pdf FERNANDES A. A.; ABREU V. F. Implantando a Governança de TI: da estratégia à gestão dos processos e serviços. Brasport, 2008. MARANHÃO, M. e MACIEIRA, M. E. B. O processo nosso de cada dia: modelagem de processos de trabalho. Rio de Janeiro - RJ: Qualitymark. 2004. OLIVEIRA, D. D. P. R. D. Administração de Processos: conceitos, metodologia, práticas. São Paulo SP: Atlas. 2007.
32 •
capítulo 1
2 Processo de Decisão na Governança de Tecnologia da Informação
A tomada de decisão deve ser assertiva e em tempo hábil. A Governança de TI está principalmente envolvida com a tomada de decisão. Pesquisas apontam que empresas que possuem modelos eficazes de Governança de TI e com resultados melhores do que seus concorrentes executam de forma consistente as melhores decisões sobre a TI. As empresas sempre estão diante do desafio de acertar na decisão tomada. Um líder poderia decidir uma ação de formal informal, como dizem “bater o martelo”. Mas em uma organização essa questão é bem mais complexa, envolvem riscos e incertezas. Um arranjo organizacional eficiente conta com o parecer de vários colaboradores que contribuem com a análise da decisão, apresentando seu ponto de vista e as projeções de impacto nas áreas que atuam. É necessário a presença de lideres hábeis, aberto as criticas e sugestões, e empáticos para entender a dimensão que cada membro traz de sua vivência dentro da empresa. A tomada de decisão pode também ter a ajuda de pesquisas realizadas entre os membros internos e externos da organização. É importante que haja um escopo, um mapeamento de ações com levantamento de questões que devem ser respondidas prospectando ambiente interno, externo, relações entre os stakeholders e impactos presentes e futuros. Nesse aspecto, algumas questões são levantadas como você pode ver nos seus objetivos sobre aprendizagem.
OBJETIVOS Neste capítulo, você irá tomar conhecimento sobre: 1. As principais decisões que devem ser tomadas na Governança de TI. 2. O conjunto de mecanismos de Governança de TI adotados pelas empresas. 3. Quais os principais arquétipos de Governança de TI utilizados por diferentes tipos de decisão. 4. Quais os requisitos importantes para a implementação da Governança de TI. 5. Quais componentes são necessários para executar a gestão do ciclo de vida operacional da Governança de TI. 6. Os mecanismos de controles de uma forma geral. 7. A importância de controle no ambiente operacional de TI, comércio eletrônico, na Internet e no desenvolvimento de sistemas.
34 •
capítulo 2
2.1 Tomada de Decisão na Governança de TI A governança de TI aborda um conjunto de práticas que destinam o gerenciamento, o controle e a qualidade dos processos com foco em aumento de valor para o negócio. Além das abordagens de controle de risco, as ações estratégicas envolvem toda a gestão da organização. Viabilizando ações de melhoria, buscando a eficiência e eficácia, integrando a tecnologia e o fluxo de informações ao objetivo de negócio da organização. Para que a Governança de TI atue em toda a extensão da empresa, é preciso estabelecer os mecanismos de processo de decisão e o alinhamento estratégico com o negócio. A seguir, quais capacidades devam estar disponíveis: • Estruturas formais de integração: definição dos executivos e as áreas de atuação, institucionalizar os comitês e conselhos. • Processos formais de integração: Alinhar e documentar os procedimentos de tomada de decisão estratégica de TI. • Integração: Envolve o momento de tomada de decisões da TI. E acontece de várias maneiras como: integrando a área administrativa e a TI em relação ao compartilhamento do cronograma e orçamento. De maneira sequencial: as decisões de negócio endereçam as tomadas de decisão de TI; De maneira reciproca, quando as decisões de negocio e TI articulam-se mutuamente, e integralmente quando as decisões de negócio e TI caminham num mesmo processo.
A norma NBR ISO/IEC 38500 (2009), trata da Governança Corporativa de Tecnologia da Informação e oferece princípios para orientar os dirigentes das organizações (incluindo proprietários, membros do conselho de administração, diretores, parceiros, executivos seniores ou similares) sobre o uso eficaz, eficiente e aceitável da Tecnologia de Informação (TI) dentro de suas organizações. Essa norma em especial, enfatiza a importância das relações humanas para o desenvolvimento integral das Governanças. Também auxilia a alta administração das organizações no entendimento e cumprimento das obrigações legais, regulamentares e éticas com relação ao uso da Tecnologia da Informação.
capítulo 2
• 35
A norma fundamenta-se em seis princípios que oferecem as diretrizes para a implantação e manutenção de Governança de TI, veja a seguir: 1. Responsabilidade: Todos os participantes da organização devem ter clareza sobre suas responsabilidades na procura e fornecimento de informações na TI. A ética e a distribuição de responsabilidades devem estar claras. 2. Estratégia: Diz respeito a como será realizada a abordagem na busca por mudanças de comportamentos da equipe que beneficiarão a organização. As mudanças de comportamento têm que trazer motivação ao grupo e estar integrada ao cotidiano da organização. 3. Aquisição: Definidas as responsabilidades e adotadas as estratégias, o 3º item, a Aquisição, busca identificar o que será necessário adquirir para dar andamento às estratégias em busca do comportamento almejado, pode ser através de workshops, treinamentos, vivencias, consultorias, etc. A análise e medição dos processos são importantes, pois indicam os objetivos alcançados, ou não. 4. Desempenho: Deve ser medido e monitorado, com metas e métricas bem definidas, para que a gestão possa avaliar os resultados obtidos e se necessário, realize ações corretivas necessárias. 5. Conformidade: a adoção de comportamento ético é imprescindível para o sucesso da Governança. É fundamental atuar de forma irrepreensível em relação aos aspectos legais, estatutários, contratuais, regulatórios que envolvem a organização, alinhando esses preceitos a adoção de uma postura transparente e adequada para com o mercado, a sociedade e a sustentabilidade. 6. Comportamento Humano: a busca pela melhora nas relações e no comportamento é enfatizado nesse 6º principio, ficam evidentes a importância do capital humano e da integração dos grupos para o pleno desenvolvimento da Governança. Veja que todos os princípios que compõe a ISO/IEC 38500:2008 priorizam a mudança comportamental daqueles que representam a organização, a TI e por conseqüência a própria organização.
36 •
capítulo 2
Como pode ser visto na figura abaixo, a norma apresentada sugere que a Governança de TI seja pautada na implementação de planos e políticas que alinhem a TI aos objetivos do negócio e ficando em monitoramento do desempenho para avaliação da conformidade das ações com o que foi planejado e propostas que avaliem constantemente as ações implementadas.
Pressões do negócio
Necessidades do negócio
Governança corporativa de TI Avaliar
Planos Políticas
Processos do Negócio Projetos TI
Desempenho Conformidade
Monitorar Propostas
Dirigir
Operações TI
Figura 2.1 – A Governança de TI e a relação com as ações da Empresa. Fonte: Material Estácio WebAula.
Sobre os princípios da boa governança de TI, a empresa precisa abordar algumas questões para obtê-la (WEILL e ROSS, 2006): • Quais decisões devem ser tomadas para garantir a gestão e o uso eficazes da TI? • Quem deve tomar essas decisões? • Como essas decisões serão tomadas e monitoradas?
capítulo 2
• 37
2.2 Capacidades e Processos sobre Direitos Decisórios Cada decisão deve considerar Investimentos em TI, Princípios da TI, Arquitetura, Necessidades de Aplicações de Negócios e Estratégias de Infraestrutura de TI: • Investimentos em TI: Escolhendo quais iniciativas financiar e quanto gastar. Weill e Ross (2006) apresentam três dilemas enfrentados nas decisões sobre investimentos em TI: quanto gastar, em que gastar e como conciliar as necessidades de diferentes grupos de interesse. Nenhum framework ou análise substitui uma direção estratégica clara. Uma vez entendidos os objetivos de negócio, investimentos em TI costumam gerar retornos significativos. • Princípios da TI: Uma vez definidos, os princípios de TI tornam-se parte do vocabulário da empresa e podem ser discutidos, apoiados, aprimorados ou recusados. Assim, para saber se a TI e a administração estão em acordo é só analisar a integração entre os setores e a fluidez das atividades. A TI é uma boa ferramenta para exercitar a organização das tarefas e educar os executivos sobre as estratégias tecnológicas e as decisões de investimento em tecnologia. Os princípios trazidos pela TI estabelecem uma cultura empresarial voltada para as politicas, normas e diretrizes. Algumas ações estimuladas pela TI são habilitar o negócio, assegurar a integridade das informações, criar uma visão comum entre os clientes, administrar a TI como investimento. Os princípios de TI devem refletir um comportamento adequado tanto para os profissionais quanto para os usuários de TI. Os princípios de TI devem esclarecer pelo menos três expectativas para a TI na empresa (WEILL e ROSS, 2006): – Qual é o modelo operacional desejado na empresa? – Como a TI dará suporte ao modelo desejado? – Como a TI será financiada? Veja que as duas primeiras questões são para esclarecer o formato que a empresa deve desenvolver produtos e serviços, antecipando ações futuras. Já a terceira questão busca estabelecer as regras direcionadas aos investimentos em TI. • Arquitetura: Para que a arquitetura de TI seja eficiente e responda as demandas do projeto, é necessário: – A definição dos requisitos de intergração e padronização dos processos na empresa.
38 •
capítulo 2
– Adotar a organização lógica dos dados, aplicações de infraestrutura, definida a partir de um conjunto de politícas, relacionamentos e opções técnicas adotadas para obter padronização e integração do negócio almejado. – As decisões sobre a arquitetura de TI são fundamentais tanto para a gestão quanto para a boa utilização de Tecnologia da Informação. – A integração e a padronização moldam a capacidade de TI. • Necessidades de aplicações de negócios: Mesmo que todas as decisões de TI envolvam o valor de negócio da Tecnologia da Informação, são as necessidades de aplicações desse negócio que geram valor diretamente. Para articular essas necessidades é preciso uma boa dose de criatividade aliada à disciplina. Enquanto que a criatividade busca inovação, a disciplina sustenta que a inovação pretendida, não irá contrariar os princípios da arquitetura adotados pela empresa. • Estratégias de infraestrutura de TI: A base do planejamento de TI esta em determinar os serviços compartilhados e os serviços de suporte. Tanto a parte técnica quanto à humana devem estar disponíveis para que os serviços sejam compartilhados e confiáveis. Investimentos excessivos ou errados aparecem como desperdício humanos e não humanos, causando atrasos e imcompatibilidades entre sistemas. Já a empresa com investimento reduzido, abaixo do que seria necessário, trabalha com implantações apressadas a fim de atender prazos, por exemplo automação local sem integração com o restante da empresa, e compartilhamento restrito de recursos. Esses exemplos ajudam a ilustrar a responsabilidade que o gestor de TI tem em mãos, pois a falta de requisitos e recursos comprometem todo o trabalho e principalmente a imagem da equipe de TI, mesmo que essa equipe tenha se esforçado para atender o que lhes foi pedido, não souberam impor seu conhecimento e análise para argumentar sobre as melhores decisões. Em contrapartida a organização que entende e é convencida das reais necessidades de investimento em infraestrutura, terá seu investimento retornado em forma de valor, imagem e agilidade.
capítulo 2
• 39
A tabela a seguir resume os pontos vistos.
PRINCIPAIS DECISÕES SOBRE A GOVERNANÇA DE TI Decisões sobre os princípios de TI Declarações de alto nível sobre como a TI é utilizada no negócio
Decisões sobre a
Decisões sobre a
Decisões sobre os
arquitetura de TI
infraestrutura de TI
investimentos e a
Organização lógica de
Servições de TI coorde-
dados, aplicações e in-
nados de maneira cen-
Decisões sobre quanto
fraestruturas, definidas a
tralizada e compartilha-
e onde investir em TI, in-
partir de um conjunto de
dos, que promove a base
cluindo a aprovação de
políticas, relacionamen-
para a capacidade de TI
projetos e as técnicas de
tos e opções técnicas
da empresa.
justificativas.
prioridade da TI
adotadas para obter a padronização e a integração técnica e de negócio desejadas.
Necessidades de aplicações de negócio Especificação da necessidade de negócio de aplicações de TI, adquiridas no mercado ou desenvolvida internamente.
Tabela 2.1 – Decisões sobre a Governança de TI. Fonte: Material Estácio WebAula.
40 •
capítulo 2
O uso de arquétipos identifica o tipo de cada função envolvida na tomada de decisões de TI:
• Monarquia de Negócios: Altos executivos de negócio tomam as decisões de TI que afetarão toda a empresa. • Monarquia de TI: A decisão é tomada pelos especilistas de TI. • Feudalismo: As decisões são tomadas pelas unidades de negócio da empresa de forma independente. • Federalismo: Há uma combinação das unidades de negócio com uma central corporativa podendo ou não haver envolvimento do pessoal de TI. • Duopólio de TI: A decisão envolve dois grupos, sendo um deles os especialistas de TI e outro grupo pode ser formado por líderes da unidade de negócio ou gerentes executivos. • Anarquia: A tomada de decisão é individual ou feita de forma isolada por pequenos grupos com base em necessidades locais.
Assim, através de uma matriz de relacionamento entre as decisões e os arquétipos é possível enumerar quem deve tomar a decisão de TI em diferentes situações. No entanto, há o constante desafio das empresas em identificar quem será o responsável por cada tipo de decisão de governança. Essa matriz recebe o nome de Matriz de Arranjos de Governança (WEILL e ROSS, 2006). No artigo intitulado “Governança de Tecnologia da Informação: um estudo do processo decisório em organizações públicas e privadas” foi desenvolvida uma pesquisa com 44 gestores da área de TI da cidade de Natal. Eram gestores de organizações públicas e privadas. Pelo quadro é possível observar que as decisões envolvem o Arquétipo Monarquia de TI tanto em instituições públicas quanto privadas, exceto quando o tema é investimento em TI. Abaixo, há o desenho da Matriz de Arranjos obtida após este survey. Ou seja, de acordo com a opinião dos próprios pesquisadores: “Os resultados sugerem que os gestores de TI são os principais atores do processo decisório tanto nas organizações públicas quanto privadas, sobretudo para as decisões-chave que envolvem os princípios, arquitetura e estratégias de infraestrutura de TI.”
capítulo 2
• 41
42 •
capítulo 2 Princípios de TI
Arquitetura de TI negócio
de TI
Necessidades de aplicação de
Estratégia de Infraestrutura
Tabela 2.2 – Matriz de Arranjos de Governança em TI. Fonte: Material Estácio WebAula.
Não se sabe
Duopólio
Federalismo
Feudalismo
Monarquia de TI
Monarquia de negócio
Arquétipo
Decisão
MATRIZ DE ARRANJOS DE GOVERNANÇA – QUAIS ARQUÉTIPOS DE GOVERNANÇA SÃO USADOS POR DIFERENTES TIPOS DE DECISÃO?
em TI
Investimentos
capítulo 2
• 43
50,0%
5,6%
5,6%
27,8%
11,1%
Monarquia de TI
Feudalismo
Federalismo
Duopólio
Anarquia 8,0%
32,0%
8,0%
8,0%
40,0%
12,0%
Privado
16,7%
5,6%
0,0%
5,6%
72,2%
0,0%
Público
4,0%
12,0%
0,0%
8,0%
60,0%
6,0%
Privado
Arquitetura de TI
16,7%
11,1%
5,6%
0,0%
61,1%
5,6%
Público
4,0%
12,0%
0,0%
4,0%
68,0%
12,0%
Privado
infraestrutura
Estratégias de
11,1%
33,3%
5,6%
0,0%
44,4%
5,6%
Público
8,0%
28,0%
0,0%
12,0%
32,0%
20,0%
Privado
de negócio
de aplicações
Necessidades
16,7%
38,9%
0,0%
0,0%
33,3%
11,1%
Público
v47n2/a08qua03.jpg
Tabela 2.3 – Matriz de Arranjos de Governança em TI numa pesquisa com gestores em Natal. Fonte: http://www.scielo.br/img/revistas/rap/
Padrão observado na pesquisa
16,0%
28,0%
4,0%
4,0%
16,0%
32,0%
Privado
em TI
Investimentos
Padrões de decisão comuns em todas as empresas pesquisadas segundo Weill e Ross (2006)
0,0%
Público
Princípios de TI
Monarquia de Negócio
Arquétipo
Decisão
Veja a tabela a seguir e analise você também.
2.3 Framework de Governança de TI A todo o momento a alta gerência das empresas precisa avaliar o valor dos investimentos em TI e há muitas dúvidas sobre o ROI (retorno sobre investimento) gerado. Muitos sistemas implementados não geram retorno compatível, ou não aprimoram os processos, gerando apenas aumento de despesas anuais sem justificativas. Muitas vezes, ocorrem até interrupções nas operações por sistemas mal implementados. O que vemos com frequência no mercado, atualmente, é a terceirização da área de TI adotando modelos de Cloud Computing como: • HaaS: Hardware as a Service (Hardware como Serviço) é uma forma de disponibilizar recursos de hardware para que emrpesas possam contratá-los via locação, sem se preocupar em tê-los disponíveis localmente. • SaaS: Software as a Service (Software como Serviço) é quando o cliente não precisa se preocupar com instalação de softwares, configurações de rede, servidores, licenças de programas. O fornecedor do serviço cobra uma taxa de uso para disponibilizar o serviço e dar o suporte necessário. O software pode funcionar 100% pela Internet ou ter alguma instalação local. Exemplos disto são Webmails como Gmail, Ymail ou pacotes como o Office 365. • PaaS: Platform as a Service (Plataforma como Serviço) é um ambiente de computação em camadas e soluções como serviço. É parecido com o SaaS, mas ao invés de software entregue pela Internet oferece um ambiente para criação, hospedagem e controle de software. Possui uma série de recursos para escalabilidade, segurança integrada e integração com outros serviços Web. Exemplos são o Google AppEngine e o Force.com da SalesForce. • IaaS: Infrastructure as a Service (Infraestrutura como Serviço) é uma forma de entregar toda infraestrutura de servidores, armazenamento, serviços de backup, e outros, numa combinação entre nuvens públicas e privadas. Possui alta escalabilidade e ferramentas com monitoramento avançado. Exemplos são o EC2 da Amazon e o Azure da Microsoft.
No entanto, muitas vezes, a grande questão da empresa são mecanismos de governança mal concebidos ou mal gerenciados e não necessariamente questões isoladas de Tecnologia da Informação.
44 •
capítulo 2
Como pode ser visto na figura, um framework de governança deve buscar a harmonização entre a estratégia e a organização da empresa, os arranjos de Governança de TI e as metas de desempenho de negócio. A estratégia e a organização da empresa definem comportamentos esperados que motivam a governança. As empresas criam arranjos de governança para cada um de seus ativos, habilitando e influenciando a estratégia. Os arranjos de governança atribuem direitos decisórios para as decisões de cada ativo. O desempenho das ações é medido por métricas obtidas nos sistemas e gerenciamento de TI e alinhados às decisões de governança. Estratégia e Organização da Empresa Organização de TI e comportamentos desejáveis
Governança de Relacionamentos Governança de Ativos Físicos Governança de PI Propriedade Intelectual
Metas de Desempenho do Negócio Métricas e responsabilidades de TI
Governança de RH Governança Financeira Arranjos de Governança TI Mecanismos de Governança de TI
Decisões de TI
Figura 2.2 – Framework de Governança em TI. Fonte: Material Estácio WebAula
A implementação da Governança de TI é pautada em três aspectos: • Abordagens de Comunicação: visa disseminar os princípios e políticas de governança de TI, além dos resultados dos processos decisórios. É feita por comunicados e canais internos diversos. • Estruturas de Tomada de Decisão: compreende as unidades e papéis organizacionais que visam a tomada de decisão de TI como os comitês, as equipes executivas e os gerentes de relacionamento entre negócio e TI. • Processos de Alinhamento: refletem a organização das atividades da empresa e sua execução cotidiana. Devem estar consistentes com as políticas de TI, respeitar acordos de níveis de serviço (definem as entregas), métricas, e consumo de recurso.
capítulo 2
• 45
De acordo com (FERNANDES e ABREU, 2008) o planejamento do Programa de Governança de TI deve adotar conceitos de Gestão de Projetos e Programas contendo: • Escopo do Programa com a lista de processos a serem implementados; • Sequência de implantação dos processos, considerando precedência dos processos; • Cronograma para implantação dos processos; • Plano de recursos estimado para o Programa; • Serviços a serem adquiridos; • Orçamento estimado para os projetos e o Programa; • Benefícios esperados; • O formato de gerenciamento do Programa; • Riscos; • A estratégia para gerenciamento de mudança; • Modelo de comunicação. A implementação do Programa de Governança de TI necessita do emprego de uma série de técnicas baseadas nos modelos considerados como os melhores do mercado. Para inicio das atividades é comum a escolha pelo COBIT (Control Objectives for Information and Related Technology), como referência global para os processos de TI, após a identificação dos processos através do COBIT, deve-se escolher modelos específicos para cada processo e adaptá-los as necessidades da empresa. Segue a tabela que apresenta as principais ferramentas utilizadas na Governança de TI. Já falamos sobre algumas dessas ferramentas. A Tecnologia da Informação passa agora a fazer parte de um modelo mais amplo de gestão e governança. Diversos são os modelos e frameworks existentes no mercado para as diversas funções da TI.
46 •
capítulo 2
ISO 38500
CONTEXTUALIZAÇÃO COBIT
controle
SOX
Arquitetura
Qualidade
Plan. e Estrat.
Contratações
Projetos
ISO 17799 PMBOK ISO 27000 PRINCE2
Val IT Risk IT
TOGAF
ISO 9000
Gestãode TI
CMMI MPS.BR ISO 15504
Segurança
Aplicações
Serviços
ITIL ISO 20000 BS 15000
valor
Governança de TI
Six Sigma eSCM-CL eSCM-SP
COBIT BSC-TI
Figura 2.3 – Os diversos Modelos e Frameworks para Governança e Gestão de TI nas Empresas. Fonte: Material Estácio WebAula
COBIT, SOX atuam com mecanismos de controle, enquanto VAL IT e Risk IT visam avaliação de valor. O alinhamento da Governança de TI à Gestão de TI vem pelo controle dos diversos aspectos da empresa, desde os serviços oferecidos, até a arquitetura empresarial. Podemos citar alguns dos modelos e frameworks existentes: • COBIT (Control Objectives for Information and related Technology): Governança e Controle; • VAL IT: Investimentos em TI; • ITIL e ISO 20000: Serviço; • CMMI e MPS BR: Engenharia de Software; • ISO 27000 a ISO 27008: Segurança da Informação; • BSC (Balanced Scorecard): Planejamento e desempenho da empresa; • PMBOK (Project Management Body of Knowledge): Projeto; • Six Sigma: Qualidade de processo; • eSCM-CL (The eSourcing Capability Model for Client): práticas de estratégia e gerenciamento de outsourcing de serviços de TI que o cliente utiliza; • eSCM-SP (The eSourcing Capability Model for Service Providers): práticas que o provedor de serviços de TI utiliza em outsourcing;
capítulo 2
• 47
• TOGAF (The Open Group Architecture Framework): framework de arquitetura de negócio, aplicações e tecnologia; • NBR ISO/IEC 38500: Governança Corporativa de Tecnologia da Informação • BPM (Business Process Management): Gerenciamento de Processos de Negócio; • SAS 70 (Statement on Auditing Standards No. 70 Service Organizations): Regras de auditoria para empresas de serviços. TOGAF é um framework de arquitetura corporativa. Sugiro que leia mais sobre ele: http://www.opengroup.org/togaf/
A Implementação da Governança de TI nas empresas é um processo de longo prazo e visa atender diversos requisitos, como (FERNANDES e ABREU, 2008): • Liderança para Mudança; • Instituição de um Programa de Governança de TI; • Envolvimento dos executivos da organização; • Abordagem de Gestão de Mudança Cultural; • Entendimento dos estágios de maturidade em que a organização de TI está; • Equipe qualificada; • Modelo de Governança de TI; • Verificação da satisfação aos objetivos pretendidos pela Governança de TI; • Atacar vulnerabilidades principais; • Implementar marketing interno para a TI. A recomendação para o fortalecimento das ações estratégicas em TI é que as equipes sejam permanentes, com funções bem distribuídas, em organizações de grande porte, normalmente, há uma área especifica para a Governança de TI, como um departamento ou Gerência. Já nas empresas de menor porte a Governança de TI tem suas atividades exercidas por uma equipe temporária, que se forma sob demanda, atuando em diferentes frentes, como medindo os benefícios alcançados, e em outro momento verificando as melhorias em processos.
48 •
capítulo 2
O apoio da alta gestão da organização é fundamental para o sucesso da Governança de TI. O desafio é conduzir as mudanças necessárias, fazendo entender que é preciso alterar a estrutura e a forma da atuação da TI. É importante que a empresa perceba a Governança de TI como um benefício e não uma burocracia. Não se consegue alcançar o sucesso na Governança de TI sem o amparo da alta gestão da empresa e sem a participação do corpo funcional.
CONEXÃO Veja, por exemplo, os Mecanismos de Governança de TI do Tribunal de Contas da União (TCU) – acesso em 05/02/2015: http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/governanca_ti/mecanismos_governanca_ti
2.4 Controles para Governança de TI Vamos analisar como funciona um sistema que serve como modelo para explicar o funcionamento de um controle de forma geral. Existe um padrão que é ajustado para o valor desejado como, por exemplo, um ar condicionado, a temperatura solicitada é de um ambiente em 22°, aciona-se 22°, um sensor fica verificando a temperatura real do ambiente. A temperatura desejada e a temperatura real são comparadas através de um dispositivo de comparação e, caso haja diferença significativa além da tolerável, o dispositivo de comparação envia um sinal para que alguma ação seja tomada. Este ciclo se repete até que alguma ação seja tomada de forma que o padrão e o sensor possam apresentar uma diferença insignificante para o dispositivo de comparação. Este conceito pode ser utilizado para a compreensão da lógica envolvida no funcionamento dos controles dentro de uma empresa. Sendo assim, nas empresas os administradores estabelecem padrões e vão acompanhando as variações que ocorrem no dia-a-dia da organização, usualmente, através de indicadores. Quando algum desses indicadores sai do padrão, a administração toma providências para que a organização volte para o controle.
capítulo 2
• 49
Na empresa os controles acontecem em todos os níveis da organização. A figura a seguir, apresenta algumas ferramentas de controle administrativo bastante usado:
- Estrutura organizacional - Comitês de estrutura - Gratificações
Administração superior
Gerência intermediária
- Orçamento - Hierarquia administrativa
- Procedimentos - Supervisão
- Supervisão - Comitês examinadores - Auditorias - Hierarquia administrativa
Gerência inferior
Figura 2.4 – Controle na Organização. Fonte: Material Estácio WebAula.
O Controle é realizado através dos cargos de supervisores, gerentes e administradores. Observe que na base da pirâmide aparece a gerência inferior com diversos procedimentos para indicar como as operações serão realizadas. As auditorias regulares estão presentes como forma importante de controle. E a hirerquia administrativa estão bem definida. Na 2ª camada da pirâmide, observe que os gerentes intermediários utilizam o orçamento como forma de controle. A gerência analisa os relatórios demonstrativos de orçamento, analisam o desempenho em relação às metas e em função dos resultados e controlam os gastos, exercem ainda supervisão sobre seus subordinados e sempre que necessitam utilizam dessa hierarquia para obter informações que não lhe estão acessíveis diretamente. Muitas vezes, os gerentes intermediários formam comitês organizadores para manter maior controle sobre a gestão. Como podemos ver, na camada mais alta da figura há Administração Superior que pode usar a estrutura da empresa para delegar as responsabilidades aos seus subordinados. Os subordinados delegam responsabilidades aos outros até envolver todos os níveis gerenciais. Esta forma de distribuição em pirâmide permite a distribuição de responsabilidades com cobrança direta a alguns poucos colaboradores.
50 •
capítulo 2
2.5 Controle no Desenvolvimento de Sistemas Em poucos anos assistimos uma evolução nos sistemas de controle, os sistemas de informação automatizados contribuíram significativamente para o aumento de controle. Principalmente, se considerarmos os dispositivos que trocam as informações em tempo real. Ainda é possível integrar vários sistemas através do conceito de Serviços (Web Services) Todas as facilidades criam possibilidades, mas também novos desafios, novos problemas de controle surgem, principalmente quando se trata de sistemas maiores. Os grandes sistemas dificilmente terão um responsável capaz de atuar de forma integral em todos os quesitos como sistemas e controles. Para esses grandes sistemas será preciso que se tenham novos controles como, por exemplo, a segregação de uso através da criação de perfis.
2.6 Controle de Operações Você se lembra do BUG do milênio? Aproximando-se do ano 2000 houve muitas especulações, não se sabia como os computadores iriam se comportar a partir de 01/01/2000. O fato é que na época haviam muitos sistemas antigos que, para economizar espaço (o custo de armazenamento de informação era caro), memorizavam apenas as duas posições finais do ano. Como exemplo, o ano de 1999 era lido apenas com os dois últimos dígitos 99. A lógica era bastante simples e toda vez que chegava o final do ano se adicionava 1 ao ano corrente para se obter o ano seguinte. Ou seja, para passar de 98 para 99 bastava adicionar 1 ao ano corrente. Tudo bem, até que chegasse o ano 2000. Se nada fosse feito nos programas, ao se somar 1 a 99 iria obter 00. E, na sequência da lógica antiga, ao se concatenar com 19 o ano passaria a ser 1900. Ou seja, passaria de 1999 para 1900. Imagine todos os desdobramentos que poderiam ocorrer por erro de conta se nada fosse feito. Como se comportariam os aviões e as torres de controle? E o que dizer dos sinais de trânsito? Como ficariam os rendimentos financeiros? E as bombas de abastecimento de combustível? Felizmente o
capítulo 2
• 51
mundo se mobilizou e com muito trabalho resolveram a tempo o que seria o o bug do milênio. Atualmente, as preocupações de controle, passam por políticas antivírus, monitoramento para evitar a invasão da rede e a segmentação de acesso são apenas alguns exemplos. Outra ajuda, foi a Lei SOX que também colaborou com as empresas para controlar melhor os seus processos.
Será que o BUG do Milênio vai atacar novamente? (Acesso em 05/02/2015) http://pt.wikipedia.org/wiki/Problema_do_ano_2000 http://www.tecmundo.com.br/historia/8795-2038-o-bug-do-milenio-atacara-novamente.htm
2.7 Segurança As trocas de informações entre pessoas e empresas crescem a cada dia. Empresas de todos os segmentos e portes utilizam como canal de comunicação, seu portal, seu Website, buscando novos negócios. Através desses novos canais as empresas passaram a trocar informações com outras empresas ou com pessoas físicas, muitas vezes confidenciais e de interesse de terceiros. Logo, programas maliciosos invadiram na mesma rapidez e se ocupam em monitorar uma rede e interceptar informações para serem utilizadas posteriormente e permitir o domínio dessa rede, ou usufruir de dados confidenciais como contas bancárias e cartões de crédito. Novas tecnologias, novos programas maliciosos, novas técnicas de controle! Para dar conta do recado foi aperfeiçoado novas técnicas de proteção, melhoraram o uso da criptografia e surgiram novos mercados especializados em Segurança da Informação. Os novos desafios exigiram novas especializações das empresas de Segurança da Informação já existentes. Programas de antivírus, programas de monitoração de ambiente, roteadores e firewalls são utilizados para proteger perímetros pré-estabelecidos, onde se configuram regras para permitir apenas os acessos autorizados e o controle sobre o uso de programas. Além disso, existe um serviço prestado pelas empresas especializadas que gera um relatório de
52 •
capítulo 2
vulnerabilidades envolvendo a rede, os servidores e as estações de trabalho, permitindo que a empresa analisada possa tratar esses pontos vulneráveis e ficar cada vez mais protegida.
2.8 Auditando Sistemas de Informação As empresas preocupam-se em saber se as informações que afetam as transações financeiras estão sob controle. É comum, seja por necessidade leiga, ou iniciativa própria que haja realização de auditorias nas empresas. O auditor analisa os processos, faz entrevistas, analisa banco de dados e apresenta um parecer sobre sua avaliação. É de praxe o auditor verificar se as informações estão corretas e disponíveis corretamente, se as informações estão protegidas contra fraudes; se existe auditoria para verificar os acessos de uma determinada transação; se o acesso às informações está segregado por perfis; se as instalações e os equipamentos estão protegidos; e, se existe um plano para situações emergenciais que permita a continuidade do negócio. Empresas maiores costumam ter áreas de auditoria para manter os sistemas sempre sob controle.
CONEXÃO Leia mais sobre auditoria nos sistemas de informação – acesso em 05/02/2015: http://pt.wikipedia.org/wiki/Auditoria_de_sistemas http://www.profissionaisti.com.br/2012/04/auditoria-de-sistemas-de-informacao-conheca-mais-sobre-o-assunto/
ATIVIDADES Para complementar o seu conhecimento, responda as seguintes questões objetivas: 01. Quando os Altos Executivos tomam as decisões de TI que afetam toda a empresa nós temos um(a): a) Monarquia de Negócios
c) Feudalismo
b) Monarquia de TI
d) Federalismo
e) Duopólio de TI
capítulo 2
• 53
02. Quando uma empresa cobra apenas uma Taxa de Uso e suporte por seus softwares nós temos um: a) IaaS b) HaaS c) SaaS d) PaaS
REFLEXÃO A tomada de decisão é fator importante na Governança de Tecnologia da Informação. Para nos guiar nessa difícil tarefa existem conceitos e modelos que vimos neste capítulo. Seja nos sistemas que atuam em operações do dia a dia da empresa, no desenvolvimento de novos sistemas, na gestão da segurança e ativos da empresa, sempre teremos decisões complexas a serem tomadas.
LEITURA Como sugestão de leitura separei alguns modelos e frameworks para vocês: • VAL IT: Investimentos em TI • ISO 27000 a ISO 27008: Segurança da Informação ––
http://pt.wikipedia.org/wiki/ISO_/_IEC_27000 (Acesso em 05/02/2015)
––
http://www.itgovernance.co.uk/shop/p-730-iso27008-isoiec-27008-guide-
lines-for-auditors-on-information-security-controls.aspx#.VQA-Z_zF9WI
(Acesso em
05/02/2015) • TOGAF (The Open Group Architecture Framework): framework de arquitetura de negócio, aplicações e tecnologia ––
http://pt.wikipedia.org/wiki/TOGAF (Acesso em 05/02/2015)
––
https://www.ibm.com/developerworks/community/blogs/tlcbr/entry/togaf?lan-
g=en (Acesso em 05/02/2015) • BPM (Business Process Management): Gerenciamento de Processos de Negócio ––
http://pt.wikipedia.org/wiki/Gerenciamento_de_processos_de_neg%C3%B3cio
(Acesso em 05/02/2015)
54 •
capítulo 2
REFERÊNCIAS BIBLIOGRÁFICAS WEILL P.; ROSS W. J. Governança de Tecnologia da Informação. Makron Books, São Paulo, 2006. IBGC, INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA. Guia das Melhores Práticas de Governança para Fundações e Institutos Empresariais. Acesso em 01/02/2015. Disponível em: http://www.institutocamargocorrea.org.br/Documents/guia_governanca.pdf FERNANDES A. A.; ABREU V. F. Implantando a Governança de TI: da estratégia à gestão dos processos e serviços. Brasport, 2008.
capítulo 2
• 55
56 •
capítulo 2
3 Introdução ao COBIT 5
Neste capítulo, você aprenderá sobre o framework COBIT 5 e sobre como ele pode ser usado para a Governança Empresarial de TI. Também conhecerá um pouco sobre as mudanças envolvidas neste framework e o relacionamento com a empresa, outros modelos e frameworks do mercado.
OBJETIVOS Ao final deste capítulo você será capaz de: • Conhecer um resumo da história do modelo COBIT 5; • Entender os conceitos gerais do novo framework para Governança Empresarial; • Conhecer os preceitos do modelo de gestão e governança do COBIT 5; • Entender os 5 princípios do COBIT 5; • Conhecer seu modelo de Referência, seus Domínios e um Resumo de seus processos; • Conhecer as fases para a implementação do framework.
58 •
capítulo 3
3.1 Histórico e Apresentação O COBIT é um acrônimo para Control Objectives for Information and Related Technology. Em português Objetivos de Controle para Informação e Tecnologia Relacionada (tecnologia que provê informação que o negócio precisa). No COBIT 5 o termo COBIT passa a ser visto como marca e não mais acrônimo. Este modelo (ou framework) foi desenvolvido pela ISACA que é uma instituição sem fins lucrativos que desenvolve pesquisas, modelos e certificações para os profissionais de Auditoria de TI, Segurança, Governança, dentre outros. O COBIT tem como principais características: • Orientação a processos da TI: são 34 processos de TI no COBIT 4.1 e no COBIT 5 são 37 processos. Muitos processos são relacionados ao ITIL, CMMI, PMBOK, ISO 27001, dentre outros modelos do mercado. • Baseado em Controles: disponibiliza vários recursos para auditoria. • Fornece Indicadores: permite acompanhar os processos e visualizar os resultados. • Focado no Negócio: o COBIT parte da premissa de que a TI deve oferecer valor ao negócio e que deve se orientar pelo negócio.
É importante citar que o COBIT visa uma perfeita integração e cascateamento entre Processos da Empresa, Metas de TI e Metas de Negócio. Servindo para identificar o que a TI precisa melhorar para atender as metas da Organização. O COBIT não substitui ITIL, CMMI ou PMBOK, mas sim é utilizado em conjunto, como norteador estratégico do uso da TI e de como direcioná-la para atender os requisitos de negócio. COBIT também é um guia, um instrumento para diagnóstico e auditoria, mas não é usado para certificação, ou seja, uma empresa não será certificada COBIT. Há, contudo, as certificações para profissionais que falaremos mais adiante. O documento de referência contém os detalhes do COBIT, como você pode ver na figura do índice a seguir.
capítulo 3
• 59
ÍNDICE Agradecimentos........................................................................................................................................................................ 3 Índice.................................................................................................................................................................................................. 9 Lista de Figuras...................................................................................................................................................................... 11 COBIT 5: Um Modelo Corporativo para a Governança e Gestão de TI da Organização..... 13 Sumário Executivo................................................................................................................................................................ 15 Capítulo 1 – Visão Geral do COBIT 5................................................................................................................. 17 Visão Geral desta Publicação................................................................................................................................... 18 Capítulo 2: 1o Princípio: Atenderás às Nessecidades das Partes Interessadas............... 19 Introdução.................................................................................................................................................................................. 19 Cascata dos Objetivos do COBIT 5....................................................................................................................... 19 1o Passo: Os Direcionadores das Partes Interessadas em Objetivos Corporativos.............................................................................................................................................................................. 19 1o Passo: Desdobramento das Necesidades das Partes Interessadas em Objetivos Corporativos.............................................................................................................................................................................. 19 3o Passo: Cascata dos Objetivos Corporativos em Objetivos de TI............................................ 20 4o Passo: Cascata dos Objetivos de TI em Metas do Habilitador................................................ 20 Usando a Cascata de Objetivos do COBIT 5................................................................................................. 22 Usando a Cascata de Objetivos do COBIT 5 com Atenção.............................................................. 22 Usando a Cascata de Objetivos do COBIT 5 na Prática...................................................................... 22 Perguntas sobre Governança e Gestão de TI............................................................................................... 23 Figura 3.1 – Parte do índice do documento de referência do COBIT 5. Fonte: (ISACA, 2012).
CONEXÃO O download do modelo é gratuito e pode ser feito pelo site em: • http://www.isaca.org/COBIT/Pages/COBIT-5-portuguese.aspx Você pode baixar informando seus dados (não-membro).
60 •
capítulo 3
O COBIT é mundialmente adotado e utilizado. No Brasil, é utilizado pelo governo, por exemplo o Tribunal de Contas da União tem auditado as unidades de TI do Governo com base nos processos do COBIT. Bancos também são grandes usuários devido à grande complexidade de seus processos. • Veja um exemplo em: http://www.telesintese.com.br/tcu-recomenda-aos-correiosmelhoria-no-sistema-de-gestao/ Acesso em 01/01/2015
O framework provido pelo COBIT visa ajudar as organizações na entrega de valor por meio da boa governança e gestão da TI. Uma característica muito importante é a implementação de processos auditáveis que são dedicados a governança e ao gerenciamento de TI e o uso de métricas mensuráveis de desempenho. O COBIT é utilizado por diversos profissionais como gerente de processos, gerentes de TI, auditores e profissionais ligados a processos de negócio. Antes da existência do COBIT, antes de 1996, as empresas chamadas BIG FOUR (Pricewaterhouse Coopers, Deloitte Touch Tohmatsu, KPMG e Ernst Young), as quatro maiores empresas contábeis do mundo especializadas em auditoria e consultoria, tinham sua própria metodologia para auditar as empresas. O COBIT 1 teve foco em servir como instrumento para auditoria de TI. A primeira versão do COBIT data de 1996 e tratava de uma lista de verificação sobre auditoria em TI. Por isso, COBIT está fortemente ligado a controle, pois tem origem em checklist para auditoria. A segunda versão, em 1998, atualizou os itens de controle e ampliou a atuação do COBIT. Em 2000, com escândalos de Wall Street e empresas que forjavam dados, sobretudo contábeis e fiscais, escondendo informações de seus acionistas, foi criada a Lei Sarbanes & Oxley (SOX) e o COBIT incorporou princípios de gestão dessa lei. Neste ano, a versão 3 do COBIT trouxe os conceitos de Governança Corporativa. Já na quarta versão, em 2005, o COBIT 4 passou a ganhar a forma que possue hoje, no COBIT 5. O COBIT passou a ter foco em Governança de TI e não apenas em auditoria, que marcou a origem do COBIT. A ideia geral a partir do COBIT 4 era o uso do controle pelas medições de indicadores de TI.
capítulo 3
• 61
Em 2007 o COBIT recebeu uma atualização, com alguns refinamentos, e, por isto, sua versão foi chamada de COBIT 4.1. Em 2011 surgiu a versão COBIT 5 que é a base da nossa discussão sobre o modelo. Durante as discussões, faremos algumas referências à versão COBIT 4.1. Na figura a seguir vemos o resumo da evolução do COBIT.
Evolução do escopo
Governance of Enterprise IT Governança de TI Val IT 2.0 (2008)
Gerenciamento Controle
Risk IT (2009)
Auditoria COBIT 1
COBIT 2
COBIT 3
1996
1998
2000
COBIT 4.0/4.1 COBIT 5 2005/7
2012
Figura 3.2 – Versões COBIT.
O COBIT 5 também integra o conteúdo existente entre outros frameworks e publicações da ISACA como VAL IT e Risk IT, além do Business Model for Information Security (BMIS), IT Assurance Framework (ITAF), Taking Governance Foward (TGF) e Board Briefing on IT Governance. Ou seja, além de evoluir do COBIT 4.1 para o COBIT 5 o modelo se integra a perspectiva de Governança Empresarial de TI de forma mais completa.
3.2 Governança Empresarial de TI O COBIT é focado em Negócios, como já citamos, formado por um conjunto de princípios norteadores. Como podemos ver na figura o COBIT concentra-se em requisitos de negócio que direcionam os investimentos a serem feitos em recursos de TI. Os recursos de TI são usados pelas diversas áreas da empresa através dos processos de TI.
62 •
capítulo 3
Que responde a
Requisitos de Negócio
Direcionam investimentos em
Informação Organizacional
CobiT
Para Entregar
Para Entregar
Processos de TI
Que são usados por
Figura 3.3 – COBIT e o foco em Negócios. Fonte: Conteúdo Online Estácio
Esses processos suportam os processos de negócio, ou seja, os processos que envolvem tecnologia da informação suprem necessidades dos processos de trabalho da empresa. Os processos de negócio geram valor informacional, ou seja, geram ativos de conhecimento, também chamados de capital intelectual. Este capital está inserido no negócio, responderá e gerará novos requisitos de negócio, com novas necessidades de investimento e demandas de TI. Com o COBIT 5 a Governança de TI ganhou uma modificação e nova denominação: Governança Empresarial de TI A Governança Empresarial de TI (Enterprise Governance of IT) é o principal norteador do COBIT 5 e é o termo que a ISACA lançou com seu framework. A Governança Empresarial de TI incorpora outros termos: • Business Governance of IT: analisa e observa a TI como elemento incorporado aos objetivos de negócio. • Functional Governance of IT: analisa a TI como departamento dentro da estrutura organizacional e seus aspectos de eficiência e eficácia. • Corporate Governance: analisa a conformidade da empresa com requisitos e leis. TI manuseia informações de negócio e, por isto, terá requisitos que se referem a Governança Corporativa.
capítulo 3
• 63
Enterprise Governance of IT Corporate Governance (corporate, legal and regulatory compliance) Entity Governance
Asset Governance
Business Governance of IT All assets including: IT services, applications, infrastructure, facilities, resources, etc.
All lines of business, functions, etc., including: IT function
Functional Governance of IT
Figura 3.4 – Governança Empresarial da TI. Fonte: http://www.isaca.org/Journal/Past-Issues/2009/ Volume-1/Pages/In-Summary-The-Taking-Governance-Forward-Mapping-Initiative1.aspx
3.3 Princípios do COBIT 5 Na visão do COBIT 5 os princípios fornecem a informação que a empresa precisa para atingir seus objetivos de negócio. Para isso, são necessários investimentos, gerenciamento e controle de recursos de TI utilizados pelos processos da empresa para prover serviços que vão disponibilizar as informações necessárias para a organização. O COBIT 5 trouxe uma família de produtos que contém um modelo para Governança e Gestão de TI da organização. Está família de produtos traz publicações para profissionais de áreas distintas, como pode ser visto na figura a seguir. COBIT® 5 Guias de Habilitadores do COBIT® 5 COBIT® 5 Processos Habilitadores
COBIT® 5 Informações Habilitadoras
Outros Guias de Habilitadores
Guias Profissionais de Orientação do COBIT® 5 COBIT® 5 Implementação
COBIT® 5 Para Segurança da Informação
COBIT® 5 Para Garantia (Assurance)
COBIT® 5 Para Risco
Outros Guias Profissionais
Ambiente Colaborativo online do COBIT® 5
Figura 3.5 – Família de Produtos do COBIT 5. Fonte: (ISACA, 2012).
64 •
capítulo 3
Os guias profissionais ajudam em áreas distintas da empresa e facilitam a distribuição dos conteúdos entre as pessoas interessadas. Por exemplo, a publicação geral COBIT 5 Habilitador Processos possui um detalhamento prático de como lidar com ativos de informação. No guia COBIT 5 Implementação, há fases para implementação de um programa de governança. No guia COBIT 5 Assurance há uma guia para validação e auditoria de processos. O Guia Geral de Habilitadores pode ser baixado no site para ISACA para membros e não membros (via preenchimento de cadastros). Os demais podem ser baixados pelos membros. Para se tornar membro é preciso para a manutenção de uma taxa anual em torno de 100 dólares (o valor pode variar do momento da escrita deste material até quando você pesquisar no site, ok?). O modelo do COBIT 5 se baseia em cinco princípios básicos com ampla orientação sobre os habilitadores de Governança e Gestão de TI na organização. Habilitadores são fatores que, individualmente e coletivamente, influenciam o funcionamento da governança e do gerenciamento sobre a TI. Os princípios do COBIT 5 estão apresentados na figura a seguir e os descreveremos na sequência do texto. 1. Atender às necessidades das partes interessadas
5. Distinguir a governança da gestão
2. Cobrir a empresa de ponta a ponta Princípios do COBIT 5
4. Permitir uma abordagem holística
3. Aplicar um Framework único e integrado
Figura 3.6 – Princípios do COBIT 5. Fonte: (ISACA, 2012).
capítulo 3
• 65
No COBIT 5 Habilitadores, são fatores que influenciam o funcionamento de algo. Existem 7 categorias de habilitadores no COBIT 5, definidos à frente na figura 3.14.
O COBIT 5 nos fornece um modelo para que as organizações atinjam seus objetivos de Governança e Gestão de TI, através da criação de valor por meio da TI e da manutenção do equilíbrio de benefícios nos recursos. Na visão do COBIT 5 a TI pode ser governada e gerida de forma holística, sempre abrangendo o negócio de ponta a ponta e em todas as áreas e funções da TI. Cabe ressaltar que o modelo pode ser aplicado a empresas de todos os portes, sejam comerciais, sem fins lucrativos, ou empresas públicas. Os princípios são detalhados a seguir: 10. Atender às Necessidades das Partes Interessadas: criar e gerenciar valor para os Stakeholders é algo que já discutimos aqui. As empresas devem existir para isso e para busca entre os benefícios que vai oferecer e a otimização no uso dos recursos e nos riscos desta utilização e oferta de valor. 11. Cobrir a Organização de Ponta a Ponta: o COBIT 5 não se concentra apenas na função de TI, mas nas tecnologias relacionadas como ativos. 12. Aplicar um Framework Único e Integrado: o COBIT 5 se alinha a outros padrões e modelos, pois existem várias normas e modelos relacionadas à TI. 13. Permtir uma Abordagem Holística: na visão holística busca-se a interligação entre os diversos componentes e os resultados destas interligações. O melhor exemplo ilustrativo da visão holística que eu me lembro é a questão da água. Se você analisar a molécula da água ela é formada por dois átomos de hidrogênio e um átomo de oxigênio, ou seja, H2O. Se estudarmos o hidrogênio e o oxigênio veremos que são combustíveis (ao menos no formato gasoso, não?). Pois bem, quando juntos, na proporção 2 para 1, formando a molécula de água, esta propriedade de combustão muda (ou desaparece?). A grande questão é que a união das partes pode trazer à tona outras propriedades não observadas ou não existentes. Na visão holística é precioso observar as interligações das áreas de TI na empresa e nas áreas de negócio. 14. Distinguir a Governança da Gestão: a Governança visa garantir os interesses das partes interessadas (Stakeholders), avaliando os objetivos corporativos que foram acordados, priorizando metas, tomando decisões e monitorando
66 •
capítulo 3
o desempenho e conformidade desses objetivos. A Gestão precisa cuidar do planejamento, do projeto, da execução e do monitoramento das atividades de acordo com o que foi definido pela governança para atingir os objetivos estratégicos. Assim, em muitas organizações a Governança fica a cargo do conselho de administração sob a liderança do presidente. Já a Gestão é feita pela diretoria executiva liderada pelo Chief Executive Officer (CEO), ou diretor executivo.
3.3.1 Princípio 1 – Atender às Necessidades das Partes Interessadas As organizações existem para criar valor aos Stakeholders (partes interessadas). Stakeholders podem ter interesses diferentes. Proprietários querem que a empresa gere lucro e clientes querem o atendimento a uma necessidade. A criação de valor envolve geração de benefícios com riscos otimizados e custo adequado. Por exemplo, uma empresa de TV por assinatura gera valor aos seus clientes fornecendo meios de acesso (hardware e software) aos seus conteúdos licenciados e transmitidos. Órgãos públicos também devem oferecer valor à comunidade, por exemplo, entregando saneamento à população.
Direcionam
Necessidades das Partes Interessadas
Objetivo da Governança: Criação de Valor Realização de Benefícios
Otimização de Riscos
Otimização de Recursos
Figura 3.7 – Criação de Valor no COBIT 5. Fonte: (ISACA, 2012).
capítulo 3
• 67
Imagine agora que você seja usuário de um serviço de emissão de passagens por celular. Sem dúvidas é um benefício, evita filas, perda de tempo do cliente. Mas, o valor só será obtido se houver risco controlado e custo adequado. Imagine que este serviço seja muito vulnerável a falhas e você poderia ter suas compras canceladas. Ou seja, você perderia viagens marcadas. Por outro lado, imagine também que a empresa cobre de você uma taxa bem alta para usar o recurso de emissão de passagens por celular para compensar os custos operacionais. Assim, se o custo for alto para o cliente, o interesse irá baixar. Se o risco for alto, o mesmo ocorre. Há a necessidade de balanceamento destes itens. Em relação à TI, está instrinsecamente relacionado ao exemplo anterior. Ou seja, a emissão de passagens, o controle e o pagamento necessitam de infraestrutura e serviços de TI. E, o alinhamento adequado entre TI e requisitos de negócio pode ajudar na otimização do risco e no uso de recursos. Nas necessidades das partes interessadas são transformadas em ações estratégicas. O COBIT 5 tem mecanismos para tradução dessas necessidades em objetivos corporativos, objetivos de TI e objetivos habilitadores. Isto é chamado no COBIT de COBIT 5 Goals Cascade (Cascata dos Objetivos). Como pode ser visto na figura a seguir, os direcionadores dos Stakeholders influenciam suas necessidades: mudanças de estratégia, mudanças de tecnologias, mudanças de regulamentos, etc. As necessidades dos Stakeholders são desdobradas em objetivos corporativos usando o Balanced Scorecard (BSC) como apoio. Os objetivos corporativos são desdobrados em objetivos de TI com o BSC de TI.
68 •
capítulo 3
Direcionadores das partes interessadas (ambiente, evolução tecnológica etc.) Influência Necessidades das partes interessadas Realização de benefícios
Otimização do risco
Otimização dos recursos Desdobra em
Objetivos corporativos Desdobra em Objetivos de TI Desdobra em
Apêndice D Figura 5 Apêndice B Figura 6 Apêndice C
Objetivos de habilitador
Figura 3.8 – Cascata de Objetivos no COBIT 5. Fonte: (ISACA, 2012).
Por fim, os objetivos de TI são desdobrados em objetivos habilitadores. Habilitadores são os elementos tangíveis e intangíveis usados na governança e no gerenciamento. Este cascateamento do COBIT nos permite organizar e entender como a TI pode atender as metas da organização. O COBIT lista 17 objetivos empresariais genéricos, comuns às empresas e que possuem informações como a dimensão BSC sob a qual o objetivo corporativo se enquadra e a relação entre os três principais objetivos da governança: realização de benefícios, otimização do risco e otimização dos recursos. Na tabela, “P” representa uma relação primária e “S” relação secundária, ou seja, uma relação mais fraca.
capítulo 3
• 69
70 •
capítulo 3
Cliente
Financeira
DIMENSÃO DSC
Risco
Benefícios
P P P
8. Respostas rápidas para um ambiente de negócios em mudança
9. Tomada de decisão estratégica com base na informação
10. Otimização dos custos de prestação de serviços.
7. Continuidade e disponibilidade de serviço do negócio.
P
P
5. Transparência financeira
P
P
S
P
4. Conformidades com as leis e regulamentos externos
6. Cultura de serviço orientada ao cliente
P
P
P
de
de
F
Otimização
Realização
P
P
P
S
S
S
S
S
Recursos
de
Otimização
RELAÇÃO COM OBJETIVOS DA GOVERNANÇA
3. Gestão de risco do negócio (salvaguarda de ativos)
2. Portfólio de produtos e serviços competitivos.
interessadas.
1. Valor dos investimentos da organização percebidos pelas partes
OBJETIVO CORPORATIVO
capítulo 3
• 71
mento
e Cresci-
to
Treinamen-
Interna
DIMENSÃO DSC
P
S P
15. Conformidade com as políticas internas;
16. Pessoas qualificadas e motivadas.
17. Cultura de inovação de produtos e negócios
P
P
P
P
S
P
RELAÇÃO COM OBJETIVOS DA GOVERNANÇA
14. Produtividade operacional e da equipe.
P
P
12. Otimização dos custos do processo de negócio.
13. Gestão de programas de mudanças de negócios.
P
11. Otimização da funcionalidade do processo de negócio.
OBJETIVO CORPORATIVO
Estes objetivos empresariais genéricos já estavam presentes no COBIT 4.1. Na tabela a seguir estão os 17 objetivos de TI. Não há uma relação direta (um para um) entre os objetivos das duas tabelas. Mas, os objetivos de TI também se encaixam num BSC para enumerar o que a TI pode fazer, em termos de objetivos genéricos.
DIMENSÃO BSC DE TI
OBJETIVO DA INFORMAÇÃO E TECNOLOGIA RELACIONADA 01
02
03
Alinhamento da estratégia de negócios e de TI
Conformidade de TI e suporte para conformidade do negócio com as leis e regulamentos externos
Compromisso da gerência executiva com a tomada de decisões de TI
Financeira 04
05
06
07
Gestão de risco organizacional de TI
Benefícios obtidos pelo investimento de TI e portfólio de serviços
Transparência dos custos, benefícios e riscos de TI
Prestação de serviços de TI em consonância com os requisitos de negócio
Cliente 08
72 •
capítulo 3
Uso adequado de aplicativos, informações e soluções tecnológicas
DIMENSÃO BSC DE TI
OBJETIVO DA INFORMAÇÃO E TECNOLOGIA RELACIONADA 09
10
11
Interna
12
13
14
Agilidade de TI
Segurança de informações, infraestrutura de processamento e aplicativos
Otimização de ativos, recursos e capacidades de TI
Capacidade e apoio aos processos de negócios através da integração de aplicativos e tecnologias
Entrega de programas: fornecendo benefícios, dentro do prazo, orçamento e atendendo requisitos
Disponibilidade de informações úteis e confiáveis para a tomada de decisão
15
Conformidade de TI com as políticas internas
16
Equipes de TI e de negócios motivadas e qualificadas
Treinamento e Crescimento
17
Conhecimento, expertise e iniciativas para inovação dos negócios
Figura 3.2 – Objetivos de TI do COBIT 5. Fonte: (ISACA, 2012)
Como já mencionado, não há mapeamento direto entre as metas. Há no documento do Framework (página 52) uma tabela de mapeamento, como vista a seguir. Esta tabela define como os objetivos corporativos de TI são mapeados entre si. Com esta tabela é possível identificar o que a TI precisa fazer para atender objetivos corporativos. capítulo 3
• 73
1 2 3 4 5
Objetivo de TI 01
Alinhamento da estratégia de TI e de negócios
Cultura de inovação de produtos e negócios
Pessoas qualificadas e motivadas
Conformidade com as políticasinternas
Produtividade operacional e da equipe
Programa para gestão de mudanças no negócio
6 7 8 9 10 11 12 13 14 15 16 17
Financeira
Cliente
P P S
Otimização dos custos do processo de negócio
Otimização da funcionalidade do processo de negócio
Otimização dos custos da prestação de serviço
Tomadas de decisão estratégica baseada na informação
Respostas rápidas para um ambiente de negócios em mudança
Continuidade e disponibilidade do serviço de negócio
Cultura de serviço orientada ao cliente
Transparência financeira
Conformidade com as leis e regulamentos externos.
Gestão de risco organizacional (salvagarda de ativos)
Portfólio de produtos e serviços competitivos
Valor dos investimentos em negócios para as partes interesadas
Objetivo Corporativo
Interna
A&C
P S P P S P S P
S S
Financeira
Conformidade de TI e apoio para a
02 conformidade do negócio com as leis e
S P
P
regulamentos externos
03
Compromisso da gerência executiva com a tomada de decisões de TI
P S S
04 Gestão do risco organizacional de TI 05
Benefícios obtidos pelo investimento de TI e portfólio de serviços
06 Transparência dos custos e riscos de TI
S S
P S
P S
P P S
S S
P
S
S
P
P
S
S S P S P
S S S S S
S
P
Figura 3.3 – Mapeamento dos Objetivos Corporativos do COBIT 5 em Objetivos de TI (tratase de um recorte, a tabela completa está na página 50 do framework). Fonte: (ISACA, 2012).
Vejamos um exemplo, imagine que empresa quer aumentar sua participação no mercado. Para isto, foi decidido que o objetivo corporativo a ser atingido é o número 2: “Portifólio de Produtos e Serviços Competitivos”. Feito isto, quais seriam as metas de TI relacionadas a este objetivo corporativo? Bastaria olhar na tabela e ver que são os objetivos: • [P] 1 – Alinhamento da estratégia de TI e de negócios • [P] 3 – Compromisso da gerência executiva com a tomada de decisões de TI • [P] 5 – Benefícios obtidos pelo investimento de TI e porftólio de serviços • [S] 6 - Transparência dos custos, benefícios e riscos de TI • [P] 7 - Prestação de serviços de TI em consonância com os requisitos de negócio
74 •
capítulo 3
• [S] 8 - Uso adequado de aplicativos, informações e soluções Tecnológicas • [S] 9 - Agilidade de TI • [P] 11 - Otimização de ativos, recursos e capacidades de TI • [S] 12 - Capacitação e apoio dos processos de negócio através da integração de aplicativos e tecnologia nos processos de negócio • [P] 13 - Entregas de programas fornecendo benefícios, dentro do prazo, orçamento, e atendendo requisitos e padrões de qualidade • [S] 14 - Disponibilidade de informações úteis e confiáveis para a tomada de decisão • [S] 16 - Equipes de TI e de negócios motivadas e qualificadas • [S] 17 - Conhecimento, expertise e iniciativas para a inovação dos negócios Perceba que alguns dos objetivos são “Primários” enquanto outros sáo “Secundários”. Isso será considerado na implementação das ações da TI.
3.3.2 Princípio 2 – Cobrir a Organização de Ponta a Ponta O COBIT 5 integra a Governança Empresarial de TI dentro da Governança Empresarial. Uma organização pode ter Governança Financeira, Corporativa, Empresarial. A Governança de TI precisa se comunicar com essas outras estruturas da Empresa. Na documentação do COBIT cada um dos 37 processos possui uma matriz RACI com os papéis envolvidos em cada processo. Objetivo da Governança: criação de valor Realização de benefícios
Otimização de riscos
Habilitadores da governança
Otimização dos recursos
Escopo da governança
Funções, atividades e relacionamentos
Figura 3.9 – Governança e Gestão de TI no COBIT 5. Fonte: (ISACA, 2012)
capítulo 3
• 75
Como visto na figura anterior, a abordagem da Governança de Ponta a Ponta do COBIT 5 apresenta os Habilitadores de Governança que são recursos organizacionais usados como práticas, princípios e estruturas, o escopo da Governança que representa as áreas envolvidas da empresa e as funções, atividades e relações que definem envolvidos, suas responsabilidades e interação nos processos. Os Proprietários e Partes Interessadas delegam poderes e geram necessidades para os responsáveis pela Governança, o Conselho de Administração. Este Conselho define direções para o Corpo Diretivo que instrui e alinha o pessoal de Operações e Execução. O pessoal de Operações e Execução reporta ao Corpo Diretivo informações de monitoramento para que seja verificado se os objetivos de Governança estão sendo alcançados. Por sua vez, o Corpo Diretivo reporta ao Conselho de Administração que tem como função prestar contas aos Proprietários e Stakeholders. Essa abordagem é usada tanto na Governança Empresarial, quanto na Governança de TI. O COBIT 5 mapeia todos os papéis envolvidos no sistema de governança e não só papéis relacionados à TI. Funções, Atividades e Relacionamentos Proprietários e Partes Interessadas
Delegam Responsabiliza
Conselho de Administração
Define Orientação Monitora
Corpo Diretivo
Instrui e Alinha Reportam
Operações e Execução
Figura 3.10 – Governança e Gestão de TI no COBIT 5. Fonte: (ISACA, 2012)
3.3.3 Princípio 3 – Aplicar um Framework Único e Integrado Dentro do COBIT 5 vamos encontrar nos processos de TI práticas referindo-se ao VAL IT e ao RISK IT, outros frameworks da ISACA. O COBIT 5 também se alinha com as normas e frameworks mais relevantes usadas por empresas no mundo todo como ISO 9.000, TOGAF, CMMI, PMBOK, dentre outros. Assim, o COBIT 5 pode ser usado como um framework integrador. Esta é uma das principais diferenças em relação ao COBIT 4.1.
76 •
capítulo 3
3.4 Princípio 4 – Permitir uma Abordagem Holística O COBIT 5 tem habilitadores divididos em 7 categorias, como visto na figura a seguir.
2. Processos
3. Estruturas Organizacionais
4. Cultura, Ética e Comportamento
1. Princípios, Políticas e Frameworks
5. informação
6. Serviços, Infraestrutura e Aplicativos
7. Pessoas, Habilidades e Competências
Recursos
Figura 3.11 – Habilitadores Corporativos no COBIT 5. Fonte: (ISACA, 2012)
1. Princípios, Políticas e Frameworks: guias e direcionamentos para estabelecimento de arquiteturas, para lidar com as informações, a orientação das estruturas organizacionais. 2. Processos: Processos de TI usados para gerenciar as atividades de TI que geram saídas e resultados visando ao atendimento de objetivos de TI e, por conseguinte, objetivos empresariais. 3. Estruturas Organizacionais: comitês, estruturas de governança, ou seja, entidades que auxiliam a tomada de decisão. 4. Cultura, Ética e Comportamento: aquilo que as pessoas fazem, seus hábitos, influenciam a gestão e a governança e será preciso adaptar alguns desses hábitos.
capítulo 3
• 77
5. Informação: TI entrega informação (de clientes, financeiras) para o negócio. 6. Serviços, Infraestruturas e Aplicativos: TI oferece para gerenciamento de informação. 7. Pessoas, Habilidades e Competências: pessoas que realizarão as atividades precisarão ter algumas características para conseguir realizá-las.
3.5 Princípio 5 – Distinguir a Governança da Gestão O COBIT 5 divide os processos de governança e gestão de TI em duas principais áreas: Governança e Gestão, como vemos na figura a seguir. Necessidades do Negócio Governança Avaliar
Dirigir
Feedback da Gestão Monitorar
Gestão Planejar (APO)
Construir (BAI)
Entregar (DSS)
Monitorar (MEA)
Figura 3.12 – Divisão no COBIT 5. Fonte: (ISACA, 2012)
De acordo com o Framework do COBIT 5 a Governança assegura que os objetivos de negócio da empresa sejam alcançados de acordo com as necessidades das partes interessadas. O Gerenciamento planeja, constrói, entrega e monitora atividades alinhadas com a direção estabelecida com a equipe de governança e sob a liderança do Chief Executive Officer (CEO).
78 •
capítulo 3
Com isto, no COBIT 5 os processos abrangem toda a gama de negócios e atividades relacionadas à Governança e Gestão de TI das empresas, visando o modelo de processo para toda a organização. No COBIT 4 havia a perspectiva do Cubo onde existiam 4 recursos de TI. Agora, como vimos, o COBIT 5 tratam-nos como Habilitadores e são sete. Requisitos de Negócios
Informações
Processos
Aplicativos
Processos de TI
Domínios
Atividades
TI
o
urs
c Re
e sd
Pessoas
Infraestrutura
e ad e de lid e de a ad da i i e l c i d ida a lid d i i n a b a i m c b e d r a ri id on ên vid nfo onfi eti Efici Conf Integ Disp Co C Ef
Figura 3.13 – Domínios da Governança de TI. Fonte: http://www.joww.net/blog/wp-content/ uploads/2010/10/CuboCobit.png
Os habilitadores, ora Recursos de TI no COBIT 4.1, ao lado direito do Cubo, continham os seguintes recursos de TI: • Aplicativos • Informações
capítulo 3
• 79
• Infraestrutura • Pessoas Alguns princípios, políticas e frameworks eram mencionados no COBIT 4.1, em alguns processos. A estrutura organizacional estava implícita através dos papéis na matriz RACI (Responsible, Accountable, Consulted, Informed – Responsável, Cobrado, Consultado, Informado). • Domínios • Processos • Atividades Requisitos de Negócio: • Efetividade • Eficiência • Confidencialidade • Integridade • Disponibilidade • Conformidade • Confiabilidade
CONEXÃO O COBIT 4.1, apesar de agora substituído pelo COBIT 5 é de interessante leitura: http://www.isaca.org/Knowledge-Center/cobit/Documents/cobit41-portuguese.pdf
No COBIT 4.1 as atividades de TI eram definidas por um modelo de processos genéricos, conforme figura abaixo, com os quatro seguintes domínios: Planejar e Organizar; Adquirir e Implementar; Entregar e Suportar; e, Monitorar e Avaliar. Utilizando o ciclo tradicional de melhoria contínua (PDCA), esses domínios são distribuídos nos 34 processos mostrados na figura e mapeiam os agrupamentos usuais existentes em uma organização de TI.
80 •
capítulo 3
Objetivos de Negócio Objetivos de Governança
Critérios de Informação
ME Monitorar e Avaliar
Eficácia • Eficiência • Confidencialidade • Integridade • Disponibilidade • Conformidade • Confiabilidade
PO Planejar e Organizar
Recursos de TI • Aplicativos • Informações • Infraestrutura • Pessoas
DS Entregar e Suportar
AI Adquirir e Implementar
Figura 3.14 – Modelo do COBIT 4.1. Fonte: Material Online Estácio
Já o COBIT 5 traz uma organização diferente. A primeira mudança é na quantidade de processos e domínios. Na versão 4.1 eram 4 domínios e 34 processos. Na versão 5 agora são 5 domínios e 37 processos. Agora há os processos de Governança onde há um domínio Evaluate, Direct and Monitor (EDM – Avaliar, Dirigir e Acompanhar) que possui 5 processos. Os demais domínios do COBIT 4.1 sofreram algumas mudanças e se distribuem da forma a seguir:
capítulo 3
• 81
COBIT 4.1
COBIT 5
Plan and Organize (Planejar e Organizar) – 10 processos
Align, Plan and Organize (Alinhar, Planejar e Organizar) – 13 processos
Acquire and Implement (Adquirir e
Build,
Implementar)
(Construir, Adquirir e Implementar)
– 7 processos
– 10 processos
Deliver
and
Support
(Entregar
e
Acquire
and
Implement
Deliver, Service and Support (Entregar,
Suportar)
Servir e Suportar)
– 13 processos
– 6 processos
Monitor and Evaluate (Monitorar e
Monitor, Evaluate and Assess (Monito-
Avaliar)
rar, Avaliar e Analisar
– 4 processos
– 3 processos
Evaluate, Direct and Monitor (Avaliar, –
Dirigir e Acompanhar) – 5 processos
Total = 34 processos
82 •
capítulo 3
Total = 37 processos
A Maturidade do processo no COBIT 4.1 foi alterada para avaliação da capacidade (Capability Assessment) e esta foi baseada na ISO/IEC 15504 de Engenharia de Software, contendo uma escala de 0 a 5 e com significados diferentes do COBIT 4.1. Um dos maiores desafios da organização é o de conseguir entender o quanto de aprofundamento deve ser adotado pelos mecanismos de controle e medição de desempenho. É importante saber o que deve ser medido, como e onde obter os dados, como analisar os resultados e qual o caminho a ser percorrido mantendo a relação de custo versus benefício. Na figura a seguir podemos ver o resumo do modelo de capacidade do COBIT 5. Atributos Genéricos de Capacidade de Processo PA 2.2 PA 3.2 PA 5.2 PA 5.1 PA 4.2 PA 4.1 PA 3.1 Gestão PA 2.1 ImpleGestão Controle Inovação Otimização Definição dos Gestão mentação do do do do do produtos da do processo processo processo processo processo de execução processo trabalho
Atributos de execução (PA) 1.1 execução do processo
Processo Inexistente
Processo Executado
0
Modelo de avaliação de Processo COBIT 5 - indicadores de desempenho
Processo Gerenciado
Processo Estabelecido
2
3
1
Processo Previsível
Processo Otimizado 4
5
Modelo de Avaliação de Processos do COBIT 5 - Indicadores de Capacidade
Resultado do Processo Práticas Básicas (práticas de governança / gestão)
Produtos do trabalho (entradas / saídas)
Práticas Genéricas
Recursos Genéricos
Produtos de trabalho genéricos
Figura 3.15 – Modelo de Capacidade de Processo do COBIT 5. Fonte: (ISACA 2012)
A abordagem do COBIT 4.1 para essas questões era feita através de Modelos de maturidade, Metas e medições de desempenho e Objetivos de atividades. No COBIT 5 essa abordagem é feita pela Capacidade de Processo. Vejamos na comparação a seguir.
capítulo 3
• 83
COBIT 4.1 – NÍVEL DO MODELO DE MATURIDADE
CAPACIDADE DE PROCESSO NO COBIT 5, BASEADA NA ISO/IEC 15504
0 – Não existente: falta qualquer
Nível 0 – Processo Incompleto: processo
processo reconhecível.
não implementado ou não alcança seu propósito.
1 – Inicial / Ad hoc: a organização reco-
Nível 1 – Processo realizado: processo
nhece que há questões a serem tratadas,
alcança seu objetivo.
mas não há processos padronizados. Existem algumas abordagens aplicadas caso a caso e de forma desorganizada. 2 – Repetível, porém intuitivo: processos
Nível 2 – Processo Gerenciado: o nível
caminham para procedimentos similares,
1 é agora implementado de forma que
com repetição. Não há ainda treinamen-
possa ser planejado, monitorado e ajus-
tos ou comunicações formais. Há muita
tado com produtos estabelecidos em
confiança na responsabilidade individual,
seus resultados.
podendo ocasionar erros. 3 – Definido: procedimentos são padro-
Nível 3 – Processo Estabelecido: o nível
nizados e documentados. Os processos
2 agora tem um processo definido alcan-
devem ser seguidos e mesmo não sendo
çando resultados de processo.
sofisticados representam a formalização das práticas existentes. 4 – Gerenciado e Mensurável: há moni-
Nível 4 – Processo Previsível: o nível 3
toria da gerência e medições de confor-
opera nos limites de qualidade estabe-
midade. Processos são revisados para
lecidos.
melhorias e há alguma automação de tarefas. 5 – Otimizado: processos são refinados
Nível 5 – Processo em Otimização: o ní-
a níveis de boas práticas, a TI é usada de
vel 4 agora é melhorado continuamente.
forma integrada e automatiza fluxos de trabalho, fornece ferramentas para melhoria de qualidade.
84 •
capítulo 3
3.6 Modelo de Referência e Domínios de Processo no COBIT 5 Como podemos ver são 5 domínios de processo. Na parte em cinza há os processos relacionados à Governança: Avaliar, Dirigir e Monitorar (EDM). E na parte azul há mais 4 domínios relacionados ao Gerenciamento de TI: Alinhar, Planejar e Organizar (APO), Construir, Adquirir e Implementar (BAI), Entregar, Serviço e Suporte (DSS), Monitorar, Avaliar e Analisar (MEA). Os quatro domínios de Gerenciamento de TI são muito parecidos com os processos e domínios do COBIT 4.1. Já no COBIT 5 há os processos de Governança ao todo são 37 processos, ao invés dos 34 anteriores. Processos de Governança Corporativa de TI Avaliar, Dirigir e Monitorar EDM01 Garantir a definição e Manutenção do modelo de governança
EDM02 Garantir a realização de benefícios
EDM03 Garantir a otimização do risco
EDM04 Garantir a otimização dos recursos
EDM05 Garantir transparência para as partes interessadas
Alinhar, Planejar e Organizar APO01 Gerenciar a estrutura de gestão de TI
APO08 Gerenciar relacionamentos
APO02 Gerenciar a estratégia
APO02 Gerenciar arquitetura da organização
APO04 Gerenciar inovação
APO05 Gerenciar o portfólio
APO06 Gerenciar orçamento e custos
APO09 Gerenciar contratos de prestação de serviços
APO10 Gerenciar fornecedores
APO11 Gerenciar qualidade
APO11 Gerenciar riscos
APO13 Gerenciar segurança
BAI04 Gerenciar disponibilidade e capacidade
BAI05 Gerenciar capacidade de mudança organizacional
BAI06 Gerenciar mudanças
DSS04 Gerenciar continuidade
DSS05 Gerenciar serviços de segurança
DSS06 Gerenciar os controles do processo de negócio
APO07 Gerenciar recursos humanos
Monitorar, Avaliar e Analisar MEA01 Monitorar, avaliar e analisar desempenho e conformidade
Construir, Adquirir e Implementar BAI01 Gerenciar programas e projetos
BAI02 Gerenciar definição de requisitos
BAI03 Gerenciar identificação e desenvolvimento de soluções
BAI08 Gerenciar conhecimento
BAI02 Gerenciar ativos
BAI02 Gerenciar configuração
BAI07 Gerenciar aceitação e transição da mudança
MEA02 Monitorar, avaliar e analisar o sistema de controle interno
Entregar, Atender e Dar Suporte DSS01 Gerenciar operações
DSS02 Gerenciar solicitações e incidentes de serviços
DSS03 Gerenciar problemas
MEA03 Monitorar, avaliar e analisar conformidade com requisitos externos
Processos de gerenciamento de TI corporativa
Figura 3.16 – Modelo de Referência de Processo do COBIT 5. Fonte: (ISACA 2012)
Na figura a seguir nós podemos ver alguns dos frameworks mapeados e como os domínios de processos relacionam-se a eles.
capítulo 3
• 85
Avaliar, Dirigir e Monitorar ISO/IEC 38500
Alinhar, Planejar e Organizar
ISO/IEC 31000 TOGAF
ISO/IEC 27000
PRINCE2/PMBOK
CMMI
Construir, Adquirir e Implementar
ITIL V3 2011 and ISO/IEC 20000 Entregar, Serviço e Suporte
Monitorar, Avaliar e Analizar
Figura 3.17 – Cobertura de Outros Padrões e Modelos pelo COBIT 5. Fonte: (ISACA 2012)
A seguir vamos resumir as características dos principais processos nos domínios com base no conteúdo do material ISACA. Para mais detalhes consulte o framework e a publicação COBIT 5 Enabling Process.
3.6.1 Avaliar, Dirigir e Monitorar (EDM)
• EDM01 – Garantir a Definição e Manutenção do Modelo de Governança: visa analisar os requisitos para Governança de TI da organização e colocar em prática os princípios e processos, esclarecendo as responsabilidades e autoridades para alcance das missões, das metas e dos objetivos da organização. • EDM02 – Garantir a Realização de Benefícios: visa otimizar e entregar o valor ao negócio pelos serviços de TI, pelos ativos e pelos próprios processos de negócio. • EDM03 – Garantir a Otimização do Risco: visa assegurar o gerenciamento do risco, o entendimento do risco empresarial e a análise da tolerância do mesmo.
86 •
capítulo 3
• EDM04 – Garantir a Otimização dos Recursos: visa assegurar que as capacidades adequadas e suficientes relacionadas à TI (pessoas, processos e tecnologia) estão disponíveis para apoiar os objetivos da organização de forma eficaz a um custo ótimo. • EDM05 – Garantir a Transparência para as Partes Interessadas: visa assegurar que a medição e relatórios de desempenho e conformidade da TI corporativa sejam transparentes para os stakeholders aprovarem as metas, métricas e as ações corretivas necessárias.
Fonte: COBIT 5, Enabling Process
3.6.2 Alinhar, Planejar e Organizar (APO) • APO01 – Gerenciar a Estrutura de Gestão de TI: visa esclarecer e manter a missão e visão da Governança de TI da organização; implementar e manter mecanismos e autoridades para gerenciar a informação e o uso da TI na organização. • APO02 – Gerenciar a Estratégia: visa fornecer uma visão holística do negócio e ambiente de TI atual, a direção futura, e as iniciativas necessárias para migrar para o ambiente futuro desejado. • APO03 – Gerenciar a Arquitetura de Governança: visa estabelecer uma arquitetura comum que consiste em processos de negócios, informações, dados, aplicação e tecnologia para realizar de forma eficaz e eficiente as estratégias de negócio e de TI por meio da criação de modelos e práticas-chave que descrevem a arquitetura de linha de base. • APO04 – Gerenciar a Inovação: visa manter uma consciência de TI e tendências de serviços relacionados, identifica oportunidades de inovação e planeja como se beneficiar da inovação em relação às necessidades do negócio; influenciar o planejamento estratégico e as decisões de arquitetura corporativa. • APO05 – Gerenciar Portfólio: visa executar o conjunto de orientações estratégicas para os investimentos alinhados com a visão de arquitetura corporativa e as características desejadas do investimento e considerar as restrições de recursos e de orçamento; avaliar, priorizar programas e serviços, gerenciar demanda dentro das restrições de recursos e de orçamento, com base no seu alinhamento com os objetivos estratégicos e risco; mover programas selecionados para o
capítulo 3
• 87
portfólio de serviços para execução; monitorar o desempenho de todo o portfólio de serviços e programas, propondo os ajustes necessários em resposta ao programa e desempenho do serviço ou mudança de prioridades da organização. • APO06 – Gerenciar Orçamento e Custos: visa administrar as atividades financeiras relacionadas a TI tantos nas funções de negócios e de TI, abrangendo orçamento, gestão de custos e benefícios e priorização dos gastos com o uso de práticas formais de orçamento e de um sistema justo e equitativo de alocação de custos para a organização. • APO07 – Gerenciar Recursos Humanos: visa fornecer uma abordagem estruturada para garantir a estruturação ideal, colocação, direitos de decisão e as habilidades dos recursos humanos, incluindo a comunicação de papéis e responsabilidades definidas, planos de aprendizagem e de crescimento, e as expectativas de desempenho, com o apoio de pessoas competentes e motivadas. • APO08 – Gerenciar Relacionamentos: visa gerenciar o relacionamento entre o negócio e TI de uma maneira formal e transparente, que garanta foco na realização de um objetivo comum. • APO09 – Gerenciar Contratos de Prestação de Serviços: visa alinhar serviços de TI e níveis de serviço com as necessidades e expectativas da organização, incluindo identificação, especificação, projeto, publicação, acordo, e acompanhamento de serviços de TI, níveis de serviço e indicadores de desempenho. • APO10 – Gerenciar Fornecedores: visa gerenciar serviços relacionados a TI prestados por todos os tipos de fornecedores para atender às necessidades organizacionais, incluindo a seleção de fornecedores, gestão de relacionamentos, gestão de contratos e revisão e monitoramento de desempenho de fornecedores para a efetividade e conformidade. • APO11 – Gerenciar Qualidade: visa definir e comunicar os requisitos de qualidade em todos os processos, os procedimentos e os resultados das organizações, incluindo controles, monitoramento contínuo, e o uso de práticas comprovadas e padrões na melhoria contínua e esforços de eficiência. • APO12 – Gerenciar Riscos: visa identificar continuamente, avaliar e reduzir os riscos relacionados a TI dentro dos níveis de tolerância estabelecidos pela diretoria executiva da organização. • APO13 – Gerenciar Segurança: visa definir, operar e monitorar um sistema para a gestão de segurança da informação. Fonte: COBIT 5, Enabling Process
88 •
capítulo 3
3.6.3 Construir, Adquirir e Implementar (BAI) • BAI01 – Gerenciar Programas e Projetos: visa gerenciar todos os programas e projetos do portfólio de investimentos em alinhamento com a estratégia da organização e de forma coordenada; iniciar, planejar, controlar e executar programas e projetos, e finalizar com uma revisão pós-implementação. • BAI02 – Gerenciar Definição de Requisitos: visa identificar soluções e analisar os requisitos antes da aquisição ou criação para assegurar que eles estão em conformidade com os requisitos estratégicos corporativos que cobrem os processos de negócio, aplicações, informações/dados, infra-estrutura e serviços; coordenar com as partes interessadas afetadas a revisão de opções viáveis, incluindo custos e benefícios, análise de risco e aprovação de requisitos e soluções propostas. • BAI03 – Gerenciar Identificação e Desenvolvimento de Soluções: visa estabelecer e manter soluções identificadas em conformidade com os requisitos da organização abrangendo design, desenvolvimento, aquisição/terceirização e parcerias com fornecedores/vendedores; gerenciar configuração, teste de preparação, testes, requisitos de gestão e manutenção dos processos de negócio, aplicações, informações/dados, infraestrutura e serviços. • BAI04 – Gerenciar Disponibilidade e Capacidade: visa equilibrar as necessidades atuais e futuras de disponibilidade, desempenho e capacidade de prestação de serviços de baixo custo; incluir a avaliação de capacidades atuais, a previsão das necessidades futuras com base em requisitos de negócios, analisar impactos nos negócios e avaliação de risco para planejar e implementar ações para atender as necessidades identificadas. • BAI05 – Gerenciar Capacidade de Mudança Organizacional: maximizar a probabilidade de implementar com sucesso a mudança organizacional sustentável em toda a organização de forma rápida e com risco reduzido, cobrindo o ciclo de vida completo da mudança e todas as partes interessadas e afetadas no negócio e TI. • BAI06 – Gerenciar Mudanças: visa gerenciar todas as mudanças de uma maneira controlada, incluindo mudanças de padrão e de manutenção de emergência relacionadas com os processos de negócio, aplicações e infraestrutura, incluindo os padrões de mudança e procedimentos, avaliação de impacto, priorização e autorização, mudanças emergenciais, acompanhamento, elaboração de relatórios, encerramento e documentação.
capítulo 3
• 89
• BAI07 – Gerenciar Aceitação e Transição da Mudança: visa aceitar e produzir formalmente novas soluções operacionais, incluindo planejamento de implementação do sistema, e conversão de dados, testes de aceitação, comunicação, preparação de liberação, promoção para produção de processos de negócios e serviços de TI novos ou alterados, suporte de produção e uma revisão pós-implementação. • BAI08 – Gerenciar Conhecimento: visa manter a disponibilidade de conhecimento relevante, atual, validado e confiável para suportar todas as atividades do processo e facilitar a tomada de decisão; também visa um plano para a identificação, coleta, organização, manutenção, utilização e retirada de conhecimento. • BAI09 – Gerenciar Ativos: visa gerenciar os ativos de TI através de seu ciclo de vida para assegurar que seu uso agregue valor a um custo ideal. • BAI10 – Gerenciar Configuração: visa definir e manter as descrições e as relações entre os principais recursos e as capacidades necessárias para prestar serviços de TI, incluindo a coleta de informações, de configuração, o estabelecimento de linhas de base, verificação e auditoria de informações de configuração e atualizar o repositório de configuração. Fonte: COBIT 5, Enabling Process
3.6.4 Entregar, Serviço e Suporte (DSS) • DSS01 – Gerenciar Operações: visa coordenar e executar as atividades e procedimentos operacionais necessários para entregar serviços de TI internos e terceirizados, incluindo a execução de procedimentos operacionais, padrões pré-definidos e as atividades exigidas. • DSS02 – Gerenciar Solicitações e Incidentes de Serviços: visa fornecer uma resposta rápida e eficaz às solicitações dos usuários e resolução de todos os tipos de incidentes; restaurar o serviço normal; reportar e atender às solicitações dos usuários e registro, investigar, diagnosticar, escalar e solucionar incidentes. • DSS03 – Gerenciar Problemas: visa identificar e classificar os problemas e suas causas raízes e fornece solução para prevenir incidentes recorrentes. Fornece recomendações de melhorias. • DSS04 – Gerenciar Continuidade: visa estabelecer e manter um plano para permitir ao negócio e a TI responder a incidentes e interrupções, a fim de continuar a operação de processos críticos de negócios e serviços de TI
90 •
capítulo 3
necessários, mantém a disponibilidade de informações em um nível aceitável para a organização. • DSS05 – Gerenciar Serviços de Segurança: visa proteger informações da organização para manter o nível de risco aceitável para a segurança da informação da organização, de acordo com a política de segurança. Estabelece e mantém as funções de segurança da informação e privilégios de acesso e realiza o monitoramento de segurança. • DSS06 – Gerenciar Controles do Processo de Negócio: visa definir e manter controles de processo de negócio apropriados para assegurar que as informações relacionadas e processadas satisfaçam todos os requisitos de controle de informações relevantes. Fonte: COBIT 5, Enabling Process
3.6.5 Monitorar, Avaliar e Analisar (MEA) • MEA01 – Monitorar, Avaliar e Analisar Desempenho e Conformidade: visa coletar, validar e avaliar os objetivos e métricas do processo de negócios e de TI; monitorar se os processos estão realizando conforme metas e métricas de desempenho e conformidade acordadas e fornece informação que é sistemática e oportuna. • MEA02 – Monitorar, Avaliar e Analisar o Sistema de Controle Interno: visa monitorar e avaliar continuamente o ambiente de controle, incluindo auto-avaliações e análises de avaliações independentes. • MEA03 – Monitorar, Avaliar e Analisar Conformidade com Requisitos Externos: visa avaliar se processos de TI e processos de negócios suportados pela TI estão em conformidade com as leis, regulamentos e exigências contratuais. Fonte: COBIT 5, Enabling Process
3.7 Implementação No capítulo 7 do framework há informações sobre a implementação do COBIT 5. Há, por exemplo, a indicação de reconhecimento de pontos de dor ou eventos de gatilho para serem usados como disparadores de mudança na organização.
capítulo 3
• 91
Alguns exemplos de pontos de dor seriam: fracassos em projetos de TI, falha no cumprimento de regulamentação, custos elevados de TI para resolver o negócio, dentre outros. Ou seja, quando a organização começa a ter problemas com a TI, pontos de dor, ela passa a se interessar com a governança de TI e isto pode ser usado como disparadores, argumentos para realização de melhorias. O Ciclo de vida de implementação do COBIT é uma forma das empresas usarem o COBIT 5 para lidar com os desafios encontrados ao longo da implementação da Governança de TI. Como podemos ver na figura a seguir há questões externas, motivadores (drivers) para nos orientar. Para cada questão há 3 níveis de ações em componentes. No ciclo de vida do COBIT 5 há a divisão em 3 componentes: • Gestão do Programa (Anel Externo) • Capacitação da Mudança (Anel Intermediário) • Ciclo de Vida de Melhoria Contínua (Anel Interno)
Monitorar e analisar
Reconhecer a necessidade de agir Avaliar o estado atual
Operar e Medir
Implementar melhorias Construir melhorias
Definir o estado alvo
Figura 3.18 – As Sete Fases do Ciclo de Vida da Implementação do COBIT 5. Fonte: (ISACA 2012)
92 •
capítulo 3
Os detalhes da implementação estão em outras documentações não gratuitas fornecidas pela ISACA.
3.8 Aceitação do Modelo O COBIT é baseado nas boas práticas que o mercado de TI possui e adequase aos princípios de Governança de TI visados e aceitos. Com isto, sua proposta influencia diferentes usuários: • Alta direção: foco na obtenção de valor dos investimentos de TI e no balanceamento de riscos com os investimentos; • Executivos de Negócios: foco na entrega da informação usando recursos econômicos e produtivos; • Executivos de TI: foco na promoção dos serviços de TI que o negócio precisa para suportar as estratégias definidas na empresa; • Auditores: foco na promoção de recomendações sobre controles internos para os executivos.
ATIVIDADES Com base no conteúdo apresentado neste capítulo, responda as seguintes questões objetivas: 01. Relacione as versões do COBIT com sua principal característica: A – COBIT 1
I – Governança de TI
B – COBIT 2
II – Auditoria
C – COBIT 3
III – Gerenciamento de TI
D – COBIT 4
IV – Controle
E – COBIT 5
V – Governança Empresarial de TI
a) A-II, B-IV, C-III, D-V, E-IV b) A-III, B-II, C-IV, D-I, E-V c) A-II, B-I, C-III, D-IV, E-V d) A-I, B-II, C-III, D-IV, E-V e) A-II, B-IV, C-III, D-I, E-V
capítulo 3
• 93
02. Quais são os prováveis públicos para uso do COBIT? I – Gerentes de Processos de TI II – Gestores de TI III – Executivos de Negócio IV – Auditores de TI a) I e IV b) I e III c) III e IV d) II, III, e IV e) I, II, III e IV 03. O COBIT provê um framework (modelo) de referência para a: a) Governança de TI e gerenciamento de TI b) Apenas Governança de TI c) Apenas Gerenciamento de TI 04. Responda Verdadeiro ou Falso nas Questões a seguir: a) O COBIT é de uso exclusivo do pessoal da TI? [
] Verdadeiro
[
] Falso
b) COBIT 5 é um acrônimo para Control Objectives for Information and Related Technology. [
] Verdadeiro
[
] Falso
c) O COBIT 5 também visa cobrir uma organização de ponta a ponta, definindo responsabilidades de estruturas fora da TI, mas relacionadas aos processos de TI. [
] Verdadeiro
[
] Falso
d) O COBIT 5 é um framework totalmente novo em relação ao COBIT 4.1. [
] Verdadeiro
[
] Falso
e) O COBIT 5 possui 4 habilitadores. [ f)
] Verdadeiro
[
] Falso
O COBIT 5 não se alinha a outras práticas de mercado e outros padrões e modelos, pois possui as suas próprias. [
94 •
] Verdadeiro
capítulo 3
[
] Falso
REFLEXÃO Nesse capítulo, nós vimos os conceitos iniciais de um Framework amplo para Governança de TI, o COBIT 5. Mesmo com todos os nossos estudos e discussões é possível observar que o COBIT 5 e a Governança possuem muitos detalhes a serem estudados, analisados e implementados. Quero que você pense nas diversas pessoas envolvidas num modelo de Governança de TI e tente imaginar como ficaria o dia a dia dessas pessoas antes, durante e depois da implantação de um modelo de Governança como o COBIT 5.
LEITURA Para esse capítulo eu recomendo uma ampla leitura da publicação gratuita do Framework disponível em: http://www.isaca.org/COBIT/Pages/COBIT-5-Portuguese.aspx (basta preencher o formulário e é possível fazer o download desta parte do framework sem custo – acesso em 01/02/2015) E também do material da ISACA que compara as versões 4.1 e 5 disponível em: http://www.isaca.org/COBIT/Documents/Compare-with-4.1.pdf
REFERÊNCIAS BIBLIOGRÁFICAS ISACA. COBIT 5 – Modelo Corporativo para Governança e Gestão de TI da Organização, 2012. Disponível para acesso pessoal em www.isaca.org. FERNANDES, A. A.; ABREU, V. F. Governança de TI: da Estratégia à Gestão dos Processos e Serviços. Rio de Janeiro: Editora Brasport, 2008. INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO/IEC 38500 – Corporate governance of information technology. ISO, 2008, 22p. COBIT 5: A Business Framework for the Governance and Management of Enterprise IT. USA, 2012 ISACA. COBIT 5: Enabling Process. USA, 2012.
capítulo 3
• 95
96 •
capítulo 3
4 Val IT, CMMI e ISO 27001 e 27002
Vimos conceitos sobre a Governança de Tecnologia de Informação nas empresas, o alinhamento destes conceitos com o negócio e um framework, o COBIT. Mas, existem outros frameworks e modelos no mercado, por exemplo, para o processo de desenvolvimento de software que permite as empresas acompanharem o aumento da competitividade do mercado com processos bem definidos e alinhados. Um destes exemplos é o CMMI (Capability Maturity Model Integration) que versa sobre modelos de maturidade/capacidade dos processos da empresa. Veremos um pouco mais dele nesta unidade. Já a ISO 27001, por exemplo, é um padrão para a Gestão de Segurança da Informação e para a criação dos SGSI (Sistemas de Gerenciamento de Segurança da Informação). Segurança da Informação é outro aspecto relacionado aos diversos processos de TI que devem dar suporte ao negócio. Também falaremos sobre o conceito de valor atrelado à TI e ao negócio e como o Val IT o especifica.
OBJETIVOS Ao final deste capítulo você será capaz de: 1. Conhecer o histórico e os objetivos do Val IT; 2. Aprender a relacionar o COBIT com o Val IT; 3. Aprender o conceito de valor; 4. Conhecer a dinâmica de funcionamento do Val IT; 5. Conhecer o histórico do CMMI; 6. Conhecer os objetivos do modelo CMMI; 7. Conhecer o conceito de constelação; 8. Conhecer os dois tipos de representação do CMMI; 9. Aprender a diferença entre níveis de capacidade e níveis de maturidade; 10. Conhecer as áreas de processo e os componentes de cada área; 11. Conhecer sobre a ISO 27001 e 27002
98 •
capítulo 4
4.1 Val IT O Val IT visa auxiliar os executivos em duas das quatro decisões fundamentais de TI: • Estamos fazendo as coisas certas? (a questão estratégica) • Estamos conseguindo benefícios? (a questão de valor). • O COBIT, por outro lado, ajuda os executivos a responder as questões: • Estamos fazendo de forma certa? (a questão da arquitetura) • Estamos conseguindo fazê-las bem? (a questão da entrega). Are we doing the right things?
Are we getting the benefits?
Estamos fazendo as coisas certas?
Estamos conseguindo benefícios?
Estamos fazendo de forma certa?
Estamos conseguindo fazê-las bem?
Are we doing the right way?
Are we getting them done well?
Figura 4.1 – Val IT e COBIT Relacionamento Sinérgico. Fonte: Material Estácio WebAula
O modelo acima ocorreu até a versão 4.1 do COBIT, como veremos. O COBIT 5 incorporou as práticas do Val IT. Face às exigências de ambientes de TI cada vez mais complexos, novas demandas de hardware e software e a rápida obsolescência destes, o IT Governance Institute (ITGI) iniciou o chamado Value of Information Technology (Val IT) para criar uma estrutura que auxilie gestores na avaliação, seleção, gestão e mensuração dos retornos sobre investimento (ROI) em Tecnologia da Informação. Na maior parte das vezes os executivos de negócio não conseguem visualizar esse retorno facilmente.
capítulo 4
• 99
A primeira versão do Val IT foi publicada em 2006 e a versão Val IT 2.0 em 2008. O Val IT foi desenhado para se complementar ao Modelo do COBIT e fornecer um ciclo completo de Governança de TI integrando os processos do COBIT à visão do portfólio de investimentos do Val IT que fornece princípios, processos e práticas de apoio para compreensão das atividades relacionadas aos investimentos em TI. O Relacionamento entre Val IT e COBIT pode ser visto da seguinte forma: Questão Estratégica: • O investimento está alinhado com nossa visão; • Está consistente com nossos princípios de negócio; • Está contribuindo para nossos objetivos estratégicos; • Está oferecendo valor, num custo razoável e em nível aceitável de risco. Questão de Valor: • Temos um entendimento claro e compartilhado dos benefícios esperados; • Temos elucidadas as responsabilidades pela realização dos benefícios; • Temos métricas relevantes; • Temos um processo efetivo de realização de benefícios. Questão de Arquitetura: • O investimento está alinhado com nossa arquitetura; • Está alinhado com outras iniciativas; • Está consistente com nossos princípios de arquitetura. Questão Estratégica: • Temos processos de gerenciamento efetivos de entrega e mudanças; • Temos recursos de negócio e técnicos disponíveis para entregar; • Temos as capacidades requeridas.
100 •
capítulo 4
de TI
Governança Entrega de serviço de TI
Implantação de TI
– Entrega de soluções de TI
de desempenho do portfólio
valor de todos os processos
de TI, ativos e outros recursos
sobre o desempenho dos serviços
– Fornecimento de informações
ativos e outros recursos
– Gerência dos serviços de TI,
nvestimento
e apoio ao programa de TI
– Gerência do portfólio de projetos
– Fornecimento de uma visão geral
– Investimento contínuo na gestão de
de TI na empresa
investimento
– Realização de Benefícios
– Gerência do portfólio de
FOCO NO PORTFÓLIO
Governança
– Concentração do programa e iniciação
FOCO NO PROCESSO
Tabela 4.1 – Val IT e COBIT 4.1. Fonte: Material Estácio WebAula.
COBIT
Val IT
FOCO NA GOVERNANÇA
O COBIT 4.1 visa entregar serviços de TI de alta qualidade, utilizando as melhores práticas do mercado e contribuir para o processo de criação de valor. O Val IT avalia o resultado final para que empresas possam medir, monitorar e otimizar o valor, financeiro e não financeiro, dos investimentos habilitados por TI.
capítulo 4
• 101
4.2 O Conceito de Valor Definir valor é complexo, específico ao contexto e dinâmico (ITGI, 2008). O resultado que se espera ao fazermos um investimento em TI é, em geral, financeiro. Mas pode ser uma combinação entre aspectos financeiros e aspectos não financeiros. Por exemplo, ter um servidor mais ágil e melhorar o tempo de resposta num processo de suporte podendo deixar o cliente mais satisfeito. Há um resultado financeiro indireto (satisfação do cliente). Mas, para alguns clientes isto não fará sentido algum (aqueles que não precisarem de suporte). Portanto, o conceito de valor relaciona-se ao atendimento de expectivativas dos stakeholders e os recursos que serão necessários para isso. A gestão de valor precisa otimizar o valor da conciliação das diferenças de interesses entre os diferentes stakeholders e permitir que a empresa: • Defina e comunique claramente a sua visão do que constitui valor e para quem; • Selecione e execute investimentos; • Gerencie seus ativos e otimize valor com a utilização de recursos de forma econômica e nível de risco aceitável.
4.3 COBIT 5 e Val IT Val IT e Risk IT são frameworks criados pela ISACA para gerenciamento de entrega de valor e mitigação de riscos, respectivamente. Eles possuiam suas próprias especificações e processos. No COBIT 5 a ISACA fez a incorporação destes frameworks, visando tornar-se mais completa e integradora.
102 •
capítulo 4
CONEXÃO Estude e compreenda mais sobre o Risk IT. Acesse o conteúdo oficial da ISACA em (Acesso em 28/01/2015): http://www.isaca.org/knowledge-center/risk-it-it-risk-management/pages/default.aspx
Orientação ISACA (COBIT, Val IT, Risk IT, BMIS, ...)
Novos Materiais de Orientação da ISACA
Outros Padrões e Frameworks
Base de Conhecimento do COBIT 5 • Orientação e conteúdo atuais • Estrutura para conteúdos futuros
Habilitadores do COBIT 5
Filtro de Conteúdo para a Base de Conhecimento
Família de produtos COBIT 5 COBIT 5 Guias de Habilitadores do COBIT Guias profissionais do COBIT 5 Ambiente Colaborativo On-line do COBIT 5
Figura 4.2 – Val IT e COBIT 5. Fonte: (ISACA 2012)
capítulo 4
• 103
Como vimos no capítulo 3, um dos princípios do COBIT 5, o 3º Princípio, trata sobre a aplicação de um modelo único integrado. Assim, o COBIT 5 alinha-se com outros padrões recentes para ser usado como principal modelo integrador. Ele integra o conhecimento de outros modelos como Val IT, Risk IT, BMIS e ITAF.
4.4 CMMI A história do CMMI tem seu início numa encomenda feita pelo DoD (Departamento de Defesa norte-americano) à Carnegie Mellon University (CMU), através do Software Engineering Institute (SEI). Esta encomenda era para a criação de um modelo de qualidade para o processo de engenharia de software. Em 1991 foi criado o Capability Maturity Model for Software (SW-CMM) (CMU/SEI, 2010; FERNANDES e ABREU, 2008). O CMMI pode ser definido como um modelo para melhoria de processo que fornece às empresas os elementos para obtenção de processos eficazes e melhoria de desempenho.
O CMMI combinava três modelos: o Capability Maturity Model for Software (SW-CMM), o Systems Engineering Capability Model (SECM) e o Integrated Product Development Capability Maturity Model (IPD-CMM). Atualmente, a versão 1.3, publicada em 2010, inclui melhorias significativas e refinamentos nos níveis de maturidade para aproximação de outros modelos. A versão 1.3 do CMMI apresenta as abordagens de implementação por Estágios ou Contínua. Ambas estão num mesmo documento e reunidas em escopos chamados Constelação. “Uma constelação é um conjunto de componentes CMMI utilizados para construir modelos, materiais de treinamento e documentos de avaliação relacionados a uma área de interesse.” (CMU/SEI 2010).
104 •
capítulo 4
Atualmente, existem três constelações: • CMMI para Desenvolvedores (CMMI-DEV): contém diretrizes para monitorar, mensuar e gerenciar processos de desenvolvimento; • CMMI para Serviços (CMMI-SVC): diretrizes para entrega de serviços dentro e fora das empresas; • CMMI para Aquisições (CMMI-ACQ): diretrizes para suporte às decisões relacionadas à aquisição de produtos e serviços.
O CMMI oferece duas opções para abordar a avaliação e melhoria dos processos: • Representação contínua – A organização escolhe uma determinada área de processo (ou grupo de áreas de processo) e trabalha na melhoria desses processos; • Representação por estágios – Utiliza conjuntos predefinidos de áreas de processo para estabelecer um caminho de melhoria para uma organização.
O progresso da melhoria de um processo é verificado pelos níveis de capacidade e níveis de maturidade. Os níveis de capacidade aplicam-se a áreas de processo individuais e servem para melhorar de forma incremental processos de uma determinada área. Existem seis níveis (0 a 5) de capacidade. Os níveis de maturidade são aplicados a áreas de processos e auxiliam na previsão dos resultados em projetos futuros. Existem cinco níveis de maturidade (1 a 5).
CONEXÃO Estude mais sobre os detalhes do CMMI em (Acesso em 28/01/2015): http://cmmiinstitute.com/ http://www.sei.cmu.edu/process/index.cfm
capítulo 4
• 105
4.5 CMMI - Abordagem de Implementação por Estágios De forma geral, as organizações começam com processos caóticos e sem organização, num ambiente sem estabilidade e vão caminhando, progredindo disciplinarmente até adquirirem padrões de repetição de processos e conseguir chegar num nível onde há melhoria contínua dos mesmos.
Otimizado Gerenciado
Organizações Previsíveis
Definido Repetível Inicial
Organizações com Melhoria Contínua
Organizações Padronizadas
Organizações Disciplinadas
Organizações Caóticas
Figura 4.3 – Implementação por Estágios. Fonte: Material Estácio WebAula.
Na abordagem de Implementação por Estágios o nível de maturidade é como um degrau de evolução na melhoria do processo organizacional da empresa e atende as áreas como um todo. Níveis de maturidade Áreas de processo Metas Específicas
Práticas Específicas
Metas Genéricas
Práticas Genéricas
Figura 4.4 – Implementação por Estágios. Fonte: Material Estácio WebAula.
106 •
capítulo 4
As características dos níveis de maturidade são: • Nível 5 – Otimizado: No nível de maturidade 5, uma organização melhora continuamente os seus processos com base num entendimento quantitativo das causas comuns de variações inerentes ao processo. • Nível 4 – Gerenciado Quantitativamente: No nível de maturidade 4, a organização e os projetos estabelecem objetivos quantitativos para qualidade e para desempenho de processo, utilizando-os como critérios na gestão de processos. Objetivos quantitativos baseiam-se nas necessidades dos clientes, dos usuários finais, da organização e dos responsáveis pela implementação de processos. A qualidade e o desempenho de processo são entendidos em termos estatísticos e gerenciados ao longo da vida dos processos. • Nível 3 – Definido: No nível de maturidade 3, os processos são bem caracterizados e entendidos, e são descritos em padrões, procedimentos, ferramentas e métodos. O conjunto de processos-padrão da organização, que é a base para o nível de maturidade 3, é estabelecido e melhorado ao longo do tempo. Estes processos-padrão são utilizados para estabelecer uniformidade no contexto da organização. Os projetos estabelecem seus processos definidos ao adaptar o conjunto de processos-padrão da organização de acordo com as diretrizes para adaptação. • Nível 2 – Gerenciado: No nível de maturidade 2, os projetos da organização têm a garantia de que os processos são planejados e executados de acordo com uma política; os projetos empregam pessoas experientes que possuem recursos adequados para produzir saídas controladas; envolvem partes interessadas relevantes; são monitorados, controlados e revisados; e são avaliados para verificar sua aderência em relação à descrição de processo. A disciplina de processo refletida pelo nível de maturidade 2 contribui para que as práticas existentes sejam mantidas durante períodos críticos. Quando essas práticas estão em vigor, os projetos são executados e gerenciados de acordo com seus planos documentados. • Nível 1 – Inicial: No nível de maturidade 1, geralmente os processos são ad hoc e caóticos. Esse tipo de organização não fornece um ambiente estável para apoiar os processos. O sucesso depende da competência e do heroísmo das pessoas e não do uso dos processos comprovados. Apesar deste caos, organizações no nível de maturidade 1 frequentemente produzem produtos e serviços que funcionam. Entretanto, com frequência, eles extrapolam seus orçamentos e não cumprem seus prazos. http://www.sei.cmu.edu/library/assets/whitepapers/ cmmi-dev_1-2_portuguese.pdf
capítulo 4
• 107
4.6 CMMI - Abordagem de Implementação Contínua Nessa abordagem, o CMMI permite que cada uma das áreas de processos sejam implementadas de forma evolutiva e independente. Áreas de processo Metas Específicas
Práticas Específicas
Níveis de maturidade
Metas Genéricas
Práticas Genéricas
Figura 4.5 – Abordagem de Implementação Contínua. Fonte: Material Estácio WebAula.
As características dos níveis de capacidade são: • Nível 0 – Incompleto: Um “processo incompleto” é um processo que não é executado ou é executado parcialmente. Uma ou mais metas específicas da área de processo não são satisfeitas e não existem metas genéricas para este nível, já que não há razão para institucionalizar um processo executado parcialmente. Nível 1 – Executado: Um processo de nível de capacidade 1 é caracterizado como um “processo executado”. É um processo que satisfaz às metas específicas da área de processo, apoiando e viabilizando o trabalho necessário para produzir os produtos de trabalho. • Nível 2 – Gerenciado: Um processo de nível de capacidade 2 é caracterizado como um “processo gerenciado”. É um processo executado (nível de capacidade 1) que dispõe de infraestrutura adequada para apoiar o processo; é planejado e executado de acordo com uma política; emprega pessoas experientes que possuem recursos adequados para produzir saídas controladas; envolve partes interessadas relevantes; é monitorado, controlado e revisado; e sua aderência em relação à descrição de processo é avaliada. A disciplina de processo refletida pelo nível de capacidade 2 contribui para assegurar que as práticas existentes sejam mantidas durante períodos críticos.
108 •
capítulo 4
• Nível 3 – Definido: Um processo de nível de capacidade 3 é caracterizado como um “processo definido”. É um processo gerenciado (nível de capacidade 2), adaptado a partir do conjunto de processos-padrão da organização de acordo com as diretrizes para adaptação da organização, e contribui com produtos de trabalho, medidas e outras informações de melhoria de processo para os ativos de processo da organização. http://www.sei.cmu.edu/library/assets/whitepapers/ cmmi-dev_1-2_portuguese.pdf
A versão CMMI 1.3 trouxe algumas alterações nos níveis de capacidade que antes eram 6 (CMMI 1.2) e agora são 4. Veja a comparação dos modelos de capacidade e maturidade no CMMI 1.3.
LEVEL
CONTINUOUS REPRESENTATION CAPABILITY LEVELS
LEVEL 0
Incomplete
LEVEL 1
Conformed
Initial
LEVEL 2
Managed
Managed
LEVEL 3
Defined
Defined
STAGED REPRESENTATION
LEVEL 4
Quantitatively
LEVEL 5
Optimizing
Managed
Tabela 4.3 – Níveis de Capacidade x Maturidade. Fonte: Especificação CMMI 1.3 - http:// www.sei.cmu.edu/reports/10tr033.pdf página 23.
capítulo 4
• 109
4.7 Áreas dos Processos CMMI De acordo com a estrutura de inter-relacionamento funcional na visão de melhoria corporativa de processos o CMMI sugere que as suas 22 áreas de processos sejam agrupadas em quatro categorias: Gestão do Processos, Gestão de Projeto, Engenharia e Suporte: • Gestão de Processos: Contêm atividades transversais aos projetos, relacionadas à definição, ao planejamento, à implantação, à implementação, ao monitoramento, ao controle, à avaliação, à medição e à melhoria de processo. Contém as áreas: – Foco nos Processos da Organização (OPF): Planejar, implementar e implantar melhorias nos processos organizacionais com base na compreensão dos pontos fortes e dos pontos fracos dos processos e dos ativos de processo da organização. – Definição dos Processos da Organização (OPD): Manter um conjunto de políticas, descrições de Processos, critérios, diretrizes, métricas e outras documentações num formato de biblioteca de componentes reutilizáveis. – Treinamento na Organização (OT): Identificar as necessidades estratégicas de treinamento da organização, assim como as necessidades táticas que são comuns aos projetos e grupos de suporte. – Desempenho dos Processos da Organização (OPP): Estabelecer objetivos quantitativos para qualidade e para desempenho de processo a partir dos objetivos estratégicos da organização. A organização fornece aos projetos e grupos de suporte: medidas comuns, baselines de desempenho de processo e modelos de desempenho de processos. – Gestão do Desempenho Organizacional: Gerenciar o desempenho da organização para alcance dos objetivos de negócio definidos. • Gestão de Projeto: Tratam das atividades de gestão relacionadas a planejamento, monitoramento e controle de projeto. Contém as áreas: – Planejamento de Projeto (PP): Elaborar o plano de projeto, o envolvimento apropriado das partes interessadas, a obtenção de comprometimento com o plano e sua manutenção. – Monitoramento e Controle de Projeto (PMC): Monitorar e implementar ações corretivas. As ações corretivas são implementadas (incluindo replanejamento) conforme apropriado, quando o status do projeto desvia significativamente dos valores esperados.
110 •
capítulo 4
– Gestão de Contrato com Fornecedores (SAM): Tratar das necessidades de aquisição de partes do trabalho que são produzidas por fornecedores. As fontes de produtos utilizadas para satisfazer aos requisitos de projetos são identificadas proativamente. O fornecedor é selecionado, e é estabelecido um contrato para que se possa gerenciá-lo. – Gestão Integrada de Projeto (IPM): Estabelecer e manter o processo definido para o projeto que é adaptado a partir do conjunto de processos-padrão da organização. – Gestão de Riscos (RSKM): Implementar uma abordagem proativa e em regime contínuo para a gestão de riscos por meio de atividades que incluem identificação de parâmetros para riscos, avaliação de riscos e mitigação de riscos. – Gestão Quantitativa de Projeto (QPM): Aplicar técnicas quantitativas e estatísticas para gerenciar o desempenho de processo e a qualidade de produto. Os objetivos para qualidade e desempenho de processo para o projeto são baseados nos objetivos estabelecidos pela organização. – Gestão de Requisitos (REQM): Gerenciar requisitos técnicos e não técnicos num projeto, checando inconsistências e tratando os impactos de mudança. • Engenharia: tratam de atividades de desenvolvimento e manutenção das diversas disciplinas de Engenharia. – Desenvolvimento de Requisitos (RD): Identificar as necessidades do cliente e traduzir essas necessidades em requisitos de produto. – Solução Técnica (TS): Desenvolver pacotes de dados técnicos para componentes de produto que serão utilizados pela área de processo Integração de Produto ou pela área de processo Gestão de Contrato com Fornecedores. Soluções alternativas são examinadas a fim de escolher o melhor projeto com base em critérios previamente estabelecidos. – Integração de Produto (PI): Utilizar as práticas específicas associadas à geração da melhor sequência de integração possível, envolvendo a integração de componentes de produto e a entrega do produto ao cliente. – Validação (VAL): Validar produtos, de forma incremental, relacionados às necessidades do cliente. A validação tanto pode ser realizada no ambiente real de operação quanto no ambiente operacional simulado. http://www.sei.cmu.edu/library/assets/whitepapers/ cmmi-dev_1-2_portuguese.pdf
capítulo 4
• 111
• Suporte: visa auxiliar nos demais processos qualificando os processos com atividades ao longo dos projetos de desenvolvimento ou manutenção de produtos. Contém as seguintes áreas: – Gestão da Configuração (CM): Controlar e manter a integridade dos produtos de trabalho. – Garantia da Qualidade do Processo e do Produto (PPQA): Fornecer visibilidade sobre andamento dos processos e produtos. – Medição e Análise (MA): Manter e desenvolver formas de medição para atender necessidades de informações gerenciais. – Análise de Decisões e Resolução (DAR): Usar processo de avaliação formal para tomar decisões. – Análise e Resolução de Causas (CAR): Identificar causas e corrigir defeitos além de ações de prevenção de novas ocorrências.
4.8 ISO 27001 e 27002 A gestão Segurança da Informação e a Gestão da Tecnologia da Informação compreendem áreas complexas, com normas exigentes para tratar de aspectos específicos. Adotar um Sistema de Gestão de Segurança da Informação (SGSI) e de Gestão da Tecnologia da Informação fazem parte da gestão estratégica da Governança Corporativa. A implementação do SGSI e do GTI devem ser guiadas pelas suas necessidades e objetivos, requisitos de segurança e estrutura da organização. A ISO 27001 e 27002 oferece normas com reconhecimento e certificação internacional para o desenvolvimento da SGSI e da GTI. A Governança trata em linha gerais da direção, controle e monitoramento, e pode ser implantada em vários eixos, como: • Governança Corporativa • Governança de Tecnologia da Informação • Governança de Segurança da Informação • Governança de Projetos
112 •
capítulo 4
• Governança de Indicadores Vamos trabalhar com os conceitos listados anteriormente, considerando que a Governança de Segurança da Informação e a Governança da Tecnologia da Informação, são eixos fundamentais para a gestão da Governança Corporativa. Bem, mas como a ISO pode colaborar com a Tecnologia da Informação e a Segurança da Informação? Criado em 1947, ISO é sigla para International Organization for Standardization – Organização Internacional para Normalização. Em língua francesa: "L'Organisation Internationale de Normalisation". Com sede em Genebra na Suíça, é uma entidade não governamental que congrega a padronização/normalização de 170 países. Tem como objetivo promover o desenvolvimento da normalização e atividades relacionadas com a intenção de facilitar o intercâmbio internacional de bens e serviços. Os membros da ISO são os representantes das entidades oficiais de normalização nos respectivos países como, por exemplo, ANSI (American National Standards Institute), BSI (British Standards Institute), DIN (Deutsches Institut für Norman). “No Brasil, sua representante é ABNT, Associação Brasileira de Normas e Técnicas. Fundada em 1940, a ABNT é uma entidade privada, sem fins lucrativos, é o órgão responsável pela normalização técnica no país, fornecendo a base necessária ao desenvolvimento tecnológico brasileiro. É membro fundador da ISO (International Organization for Standardization), da COPANT (Comissão Panamericana de Normas Técnicas) e da AMN (Associação MERCOSUL de Normalização).” Fontes: (Acesso em 05/02/2015) http://pt.wikipedia.org/wiki/Associa%C3%A7%C3%A3o_Brasileira_de_Normas_T%C3%A9cnicas http://www.absev.org.br/a-absev-ingressa-como-associada-mantenedora-da-abnt/
No Brasil, quando uma empresa segue as normas e padrões indicados pela ISO/ABNT a empresa convoca uma auditoria e recebe a certificação ISO. As certificações ISO.
capítulo 4
• 113
Sobre as certificações ISO, selecionamos algumas das normas mais utilizadas: • ISO 9000 Gestão de Qualidade: em ambientes de produção; • ISO 14000 - ISO 14064 Normas de Gestão do Ambiente: em ambientes de produção; • ISO/IEC 17799 Tecnologia da Informação: código de conduta para a Gestão da Segurança da Informação; • ISO/IEC 12207 Tecnologia da Informação: define processo de desenvolvimento de software; • ISO 26000 Responsabilidade Social; • ISO 50001 Gestão de Energia; • ISO 31000 Gestão de Risco; • ISO 22000 Gestão de Segurança Alimentar; • ISO 27001 Gestão da Segurança da Informação; • ISO 27002 Gestão da Tecnologia da Informação. A ISO 27002 (anteriormente chamado ISO 17799) trata-se de um código de práticas para a Segurança da Informação. Nesses códigos estão detalhados centenas de controles específicos que aplicados protegem informações e ativos relacionados. Já a ISO 27001 trata-se de um padrão de especificações para Sistema de Gestão de Segurança da Informação, SGSI, em inglês ISMS - Information Security Management System. Foi publicado em 2005 pela Organização Internacional de Normalização. Suas especificações fornecem estrutura para auditorias e certificação na área Segurança da Informação. A versão mais atual da ISO 27001 foi instituída em 2013. Aplicadas as normas e solicitado o selo de certificação pelo ABNT (no Brasil) fica certificado que a empresa segue todas as exigências legais e padrões internacionais. Seu uso reduz custos e riscos gerados por problemas na Segurança da Informação, pois além de analisar a estrutura da segurança, também incorpora em seus pré-requisitos a preocupação com os riscos do negócio. Ambas as normas destinam-se a todas as organizações, sejam elas comerciais, ou de serviços e auxilia na responsabilidade da Segurança da Informação. As ISO 27001 e ISO 27002 oferecem requisitos diferentes, mas ambas se complementam, a primeira cuida dos sistemas e recursos e a segunda dos controles de proteção.
114 •
capítulo 4
A Informação é um ativo estratégico essencial para as organizações e necessita de proteção adequada. Esta proteção precisa ser tanto física quanto técnica e organizacional. Lidar com a Segurança da Informação implica em manter as informações confidenciais, íntegras e disponíveis (Confidentiality, Integrity, Avaliability): • Confidencialidade: assegurar que a informação não seja divulgada (disclosed) a indivíduos ou grupos não autorizados; • Integridade: manter a informação, garantindo que essa não seja modificada por agentes desautorizados. Se houver autorização, os agentes devem apenas alterá-la de forma apropriada. • Disponibilidade: assegurar que a informação esteja sempre disponível (available) de forma ágil a todos os agentes autorizados.
ATIVIDADES Considerando o conteúdo apresentando neste capítulo, utilize as seguintes questões para avaliar o seu conhecimento: 01. Qual dos modelos abaixo apresenta o conceito de valor sobre o investimento em TI? a) COBIT 4.1 b) ISO 27001 c) Val IT d) Risk IT 02. Qual dos modelos refere-se à implementação de um Sistema de Gestão de Segurança da Informação? a) COBIT 4.1 b) ISO 27001 c) ISO 27002 d) Val IT e) Risk IT
capítulo 4
• 115
REFLEXÃO A Tecnologia da Informação tem diferentes processos em diferentes áreas. São diversos os modelos conhecidos para auxiliar a boa gestão e gerenciamento desses, nessa unidade apresentamos alguns entre os mais relevantes. Fica a dica para que você se aprofunde em outros modelos citados no material, aplicando o mais adequado nas situações necessárias.
LEITURA Como leituras sugiro que consulte as referências, sobretudo o site da ISACA (www.isaca. org), pois lá há ampla documentação dos Modelos COBIT 5, Val IT e Risk IT, além de muitos artigos interessantes. Sobre a ISO, neste link há um FAQ com perguntas mais frequentes sobre ISO 27001 (Acesso em 28/01/2015): http://www.vanzolini.org.br/areas/certificacao/auditores/pdf/PROCED/p.com.34.pdf
REFERÊNCIAS BIBLIOGRÁFICAS SEI. CMU/SEI-2010-TR-032 – CMMI for Acquisition, version 1.3, Novembro de 2010 (2010a). SEI. CMU/SEI-2010-TR-032 – CMMI for Development, version 1.3, Novembro de 2010 (2010b). SEI. CMU/SEI-2010-TR-032 – CMMI for Services, version 1.3, Novembro de 2010 (2010c). Appraisal Method for Process Improvement (SCAMPI) V1.2 -www.sei.cmu.edu/reports/06hb002.pdf CMMI Version 1.3 DEV / ACQ / SVC - www.sei.cmu.edu/cmmi ISACA. COBIT 5 - Modelo Corporativo para Governança e Gestão de TI da Organização, 2012. Disponível para acesso pessoal em www.isaca.org. FERNANDES, A. A.; ABREU, V. F. Governança de TI: da Estratégia à Gestão dos Processos e Serviços. Rio de Janeiro: Editora Brasport, 2008. INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO/IEC 38500 – Corporate governance of information technology. ISO, 2008, 22p. COBIT 5: A Business Framework for the Governance and Management of Enterprise IT. USA, 2012 ISACA. COBIT 5: Enabling Process. USA, 2012. ITGI. Enterprise Value: Governance of IT Investments – The Val IT Framework 2.0 Extract, 2008. Disponível em: http://www.isaca.org/Knowledge-Center/Val-IT-IT-Value-Delivery-/Documents/Val-ITFramework-2.0-Extract-Jul-2008.pdf acesso em 05/02/2015.
116 •
capítulo 4
5 Seis Sigma e as Ferramentas de Qualidade
Neste capítulo, veremos como o Six Sigma pode ajudar na melhoria de processos. Um dos aspectos fundamentais da Governança é justamente melhorar continuamente os processos existentes. Veremos também algumas ferramentas a serem utilizadas no Controle de Qualidade.
OBJETIVOS Neste capítulo os objetivos da sua aprendizagem são: • Conhecer o histórico e objetivos do Six Sigma; • Aprender a lógica de funcionamento do Six Sigma; • Saber quais são as ferramentas e técnicas utilizadas no Six Sigma; • Saber quais são os papéis e responsabilidades envolvidos no Six Sigma; • Saber qual é a colaboração da tecnologia da informação no Six Sigma; • Conhecer a aplicabilidade e alguns benefícios do modelo;
118 •
capítulo 5
5.1 Breve História As empresas, atualmente, concorrem com mercados do mundo todo. Com tantos concorrentes e a crescente rapidez nos processos e na comunicação, essas estão obrigadas a manterem os processos internos cada vez mais eficazes e eficientes. A gestão da qualidade tem ganhado destaque no cenário mundial, e a busca por melhorias tem garantido o bom desempenho e a sobrevivência de muitas empresas. Em meados de 1987, funcionários da Motorola buscando diminuir o número de fabricação de peças defeituosas, desenvolveram uma metodologia com padrões matemáticos para controle de qualidade nas peças. No ano seguinte, 1988, a empresa recebe o Prêmio Malcolm Baldrige de Qualidade, a implantação do programa chamado Six Sigma alavancou o crescimento da Motorola. A divulgação dos ganhos obtidos pela Motorola chamou a atenção de diversas empresas. Assim, várias empresas passaram a usar o Six Sigma, como: Texas Instruments (em 1988), IBM (em 1990), ABB - Asea Brown Boveri (em 1993), Allied Signal e Kodak (em 1994) e a General Electric (em 1996). Com a aplicação do Six Sigma, a General Electric (GE) ganhou notoriedade após a adoção do programa. A empresa alcançou notável crescimento na margem do lucro operacional. Três anos após a implantação, foi registrado uma economia de mais de US$ 1,5 bilhões, obtendo destaque entre as corporações de sucesso dos Estados Unidos. O sucesso alcançado por essa metodologia fez com que em 1991, a Motorola construísse uma indústria ao redor do Six Sigma, e introduzisse treinamentos para a formação de especialista em Six Sigma, chamados de Black Belts. Em 1992, a metodologia foi difundida para outras empresas. Em 2002 a Motorola voltou a ganhar o prêmio de qualidade MBNQA, Malcolm Baldrige National Quality Award, provando a eficácia do programa definitivamente, expandindo sua atuação nas indústrias e áreas funcionais. Estabelecendo-se como uma metodologia orientada para obtenção de resultados. Hoje, milhares de empresas utilizam o Six Sigma para otimizar os processos e consequentemente, aumentar os lucros. O Seis Sigma chegou ao Brasil em torno de 1997. O Grupo Brasmotor, adotou o programa em suas atividades e em 1999, apresentou ganhos em torno de de R$ 20 milhões (WERKEMA, 2002a).
capítulo 5
• 119
5.2 Mas o que significa “sigma”? A letra sigma Σ vem do alfabeto grego sendo sua 18ª letra ou caractere e corresponde ao nosso S.
É utilizada pela estatística para medir o desvio-padrão de uma população. Em qualidade, o sigma é uma medida de variabilidade usada para indicar quanto dos dados insere-se nos requisitos do cliente. Quanto maior o sigma do processo, melhores os produtos ou serviços ou menor o número de defeitos.
Na Matemática a letra Σ (sigma maiúscula) é utilizada como símbolo de um somatório (somas definidas em alguma sequência, como uma progressão aritmética), ou de variáveis estatísticas. Assim como a letra minúscula de sigma σ representa Desvio Padrão.
Portanto, os seis sigmas, usam variáveis estatísticas para controlar o desvio de padrão.
5.3 O Six Sigma O Six Sigma proporciona aperfeiçoamento dos processos através da diligência dos métodos aplicados e controlados. Para Pande, Neuman e Cavanagh (2001), Seis Sigma é: “[...] um sistema abrangente e flexível para alcançar, sustentar e maximizar o sucesso empresarial. Six Sigma é singularmente impulsionado por uma estreita compreensão das necessidades dos clientes, pelo uso disciplinado dos fatos, dados e análise estatística e pela atenção diligente à gestão, melhoria e reinvenção dos processos do negócio."
O Six Sigma também pode ser visto como uma metodologia estruturada que incrementa a qualidade por meio do aperfeiçoamento continuo dos processos
120 •
capítulo 5
de produção de bem ou serviço, da otimização das operações, da eliminação sistemática dos defeitos, falhas e erros, levando em consideração todos os aspectos importantes do negócio que possam diferenciar a empresa junto aos seus clientes. Smith & Adams (2000) consideram que “alcançar o Six Sigma significa reduzir a zero (praticamente) defeitos, erros e falhas de desempenho dos processos”. De certa forma, o objetivo prático é introduzir uma sistematização de redução de falhas e defeitos e diminuir a variabilidade dos processos. Isto é feito com a melhor organização da informação e dos processos e pode ser aplicado nos diversos setores econômicos, não apenas se restringindo às cadeias produtivas. Vemos que os autores citados enfatizam que a metodologia oferece a busca de padrão e a redução perto de zero de erros, falhas ou defeitos. Segundo considerações de Fernandes & Abreu (2008) a melhoria de desempenho do negócio através da melhoria de processos, tendo como meta um processo que apresente 3,4 defeitos por milhão de oportunidades (DPMO) ou Six Sigma, que equivale a um rendimento de 99,9997% de resultados dos processos isentos de defeitos”. Observando a escala Sigma, vamos pensar na aplicação da metodologia numa fabrica que produz peças para automóveis, vemos que com a aplicação de um sigma a qualidade aumenta 31%, mas os erros por milhão ainda são altos 690.000 defeitos. Pense no impacto que causam esses números de perdas de peças numa fábrica. Acompanhando a evolução dos sigmas, encontramos na adoção dos seis sigmas 3 ou 4 peças deituosas por milhão, o que corresponde a um padrão de qualidade de 99,9997%. O valor do sigma indica a variabilidade do processo, significando que, quanto maior o número de sigmas, a partir da média da distribuição (µ), torna-se menos provável que um processo produza defeitos. A tabela a seguir mostra o que significa o Six Sigma, em termos de qualidade e defeitos por milhão de oportunidades.
capítulo 5
• 121
ESCALA SIGMA
QUALIDADE
DEFEITOS POR MILHÃO DE OPORTUNIDADES (DPMO)
6s
99,9997%
3,4
5s
99,9767%
233
4s
99,379%
6210
Classe mundial
Média da indústria 3s
93,32%
66807
2s
69,1%
308537
1s
31%
690000
Não competitiva
Tabela 5.1 – Qualidade e defeitos Sigm. Fonte: Material Estácio WebAula.
A metodologia Six Sigma como falamos inicialmente pode ser aplicada para melhoria de produtos e serviços em empresas de portes pequenos, médio ou grande. Usando como referencial o quadro com os resultados obtidos a partir da implantação dos Sigmas, vamos pensar numa empresa de serviços, com contato direto com o cliente, usando os Seis Sigmas, a reprovação no atendimento atingiria os mesmos números, 3 ou 4 perdas de clientes por milhão atendidos. Contando com a satisfação de 99,9997% dos clientes.
122 •
capítulo 5
CONEXÃO Atualmente, muito tem se falado sobre o termo Lean Six Sigma. O Lean Six Sigma é uma integração entre Lean Manufacturing e Six Sigma. O Lean Manufacturing é a busca pela eliminação de desperdício enquanto o Six Sigma, como vemos, aumenta rendimento e a lucratividade pela melhoria de qualidade de processos e produtos. Veja mais em (Acesso em 02/02/2015): http://www.villanovau.com/resources/six-sigma/six-sigma-vs-lean-six-sigma/#. VQLOLfzF9WI
O Six Sigma difere dos programas de qualidade convencionais porque propõem através de dados estatísticos ações que solucionam problemas de forma organizada e sistemática, chegando a alcançar quase zero de erros ou falhas. Os programas de qualidade convencionais trabalhavam em torno da filosofia da qualidade, propondo treinamentos, a subjetividade dessas ações não resultava em dados tangíveis. Como vimos na tabela acima. Esses resultados são mensurados, contabilizados e previstos. Os resultados da aplicação da metodologia são tangiveis, representados pelo retorno financeiro. A Governança de TI, segundo (WEILL e ROSS, 2006), implica em conceder poderes a todos os funcionários da empresa. Os processos de alinhamento permitem que as decisões estratégicas orientem a ações cotidianas. Os processos de alinhamento proporcionam que experiências do dia a dia com a TI entregue feedback ao processo estratégico. Os mecanismos de tomada de decisões concentram-se em trabalhar estratégias de negócios.
5.4 Six Sigma – Papéis e Responsabilidades O Six Sigma funciona sob o conhecimento técnico da metdologia aliado à operacionalização do trabalho feito pelas pessoas. Para a aplicação da Metodologia do Six Sigma é preciso definir papéis e responsabilidades:
capítulo 5
• 123
• Executivo Líder: representado pela alta gerência. Tem como responsabilidades a implantação do Six Sigm, o compromisso com o sucesso da implantação da estratégia de melhoria do processo e a condução das iniciativas. Além disto, incentiva e supervisiona tais iniciativas e verifica os benefícios financeiros alcançados. Também seleciona os executivos para desempenhar o papel de campeões; • Campeões: tem como responsabilidades a liderança dos executivos-chave, organizar e conduzir o começo, o desdobramento e a implementação do Six Sigma na organização. Campeões devem dominar o Six Sigma de forma prática e teórica e facilitar as mudanças necessárias. Serão os responsáveis por definir as pessoas que disseminarão o Six Sigma na empresa. • Master Black Belt: responsáveis pela conscientização e implantação do Six Sigma na empresa, além de ajudar com as mudanças na organização e ajudar os campeões nos projetos de melhoria. Devem dedicar 100% de seu tempo ao Six Sigma e estarem preparados para solução de problemas estatísticos, além de treinar e instruir Black Belts e Green Belts. • Black Belts: trabalham sob ordens do Master Black Belt e devem possuir algumas habilidades como bom relacionamento interpessoal e comunicação, devem buscar alcançar resultados e possuir influência no setor em que atuam, além de saber trabalhar em equipe. Black Belts devem possuir conhecimento técnico avançado na área de atuação, pois aplicarão as ferramentas e conhecimentos em projetos específicos. Normalmente, recebem treinamento amplo em técnicas estatísticas e treinam os Green Belts. • Green Belts: estão na chefia intermediária da organização. Os Green Belts executarão as tarefas do Six Sigma em seu cotidiano e auxiliarão os Black Belts na coleta de dados e experimentos.
5.5 DMAIC O ciclo DMAIC é a metodologia adotada na solução de problemas. A sigla representa: • D – Define (definir), • M – Measure (medir), • A – Analyse (analisar),
124 •
capítulo 5
• I – Improve (melhorar), • C – Control (controlar).
Com a utilização dessa sequência de ações é possível melhorar produtos, serviços e processos. Há semelhanças entre o DMAIC e o PDCA, alguns autores consideram que ambos oferecem métodos similares. Sendo assim, o método PDCA também trabalha com melhorias, criado na década de 30 por Walter A. Shewart, foi popularizado somente nos anos de 1950, por William Edward Deming. A metodologia ganhou reconhecimento mundial por ter sido aplicada no Japão após a devastação da segunda guerra mundial, sendo considerado junto com o Programa de Qualidade 5S, relevantes motriz para o desenvolvimento estratégico das empresas japonesas. A sigla PDCA refere-se a: • P – Plan (Planejar) • D – Do (Executar) • C – Check (Checar, verificar) • A – Act (Atuar, agir) Essa metodologia trabalha em ciclo contínuo e auxilia tanto na implantação de novos projetos como na solução de problemas. No DMAIC, Pande, Neuman e Cavanagh (2001) indicam estratégias na filosofia Seis Sigma: • Estratégia de melhoria do processo: que visa aplicar soluções que eliminem as causas-raiz dos problemas que afetam o desempenho de uma empresa, mantendo a estrutura básica do processo. • Estratégia de projeto/reprojeto: visa trocar parte ou todo o processo por outro reformulado.
A metodologia DMAIC (Define, Mesure, Analyse, Improve, Control) é uma interpretação do Seis Sigma baseada no ISO 9000 e no TQM (Teoria da Qualidade Total). Sua implantação está alicerçada nas análises estatísticas como ferramenta central, que integra outras várias ferramentas de controle de qualidade seguindo as cinco fases bem determinadas.
capítulo 5
• 125
Define (definir)
Control (Controlar)
Improve (Melhorar)
Measure (medir)
Analyse (Analisar)
Tabela 5.1 – Cinco fases DMAIC. Fonte: Material Estácio WebAula.
• Definição: são definidos processos cujos desempenhos podem comprometer consideravelmente a conquista das metas estratégicas e que perturbam as expectativas do consumidor. Devem ser identificadas qual o produto, quem é o cliente, e quais suas expectativas. • Medição: Escolhidos os processos que devam ser melhorados, analisa-se a capacidade dos processos atuais que serão melhorados, e suas condições de atender os produtos e processos de acordo com as exigências definidas. Acontece a execução do mapa de processo e a elaboração da matriz de causa e efeito. No término dessa etapa, percebe-se as fases críticas do processo e são elencados uma seleção de variáveis do processo que serão melhor analisadas. Essa fase define quais pontos críticos devem ser atacados primeiro. • Análise: Chegando a essa etapa já se tem definida o que e quais processos devem ter prioridade. Agora, são mapeados as causas raízes de defeitos e seus impactos. • Melhoria: Após, a identificação, medição e análise é hora de executar a melhoria, são desenvolvidas soluções para alterar o processo defeituoso e reduzir significativamente os níveis desses defeitos.
126 •
capítulo 5
• Controle: Essa etapa mantém a melhoria aplicada, pois é através do controle estatístico do processo com medições e monitoramento que mantem-se a performance do desempenho alcançado. • Considera-se que a melhoria contínua se dá pela aplicação do DMAIC para outros projetos ligados aos mesmo processos, e não ficar revisando projetos já concluídos. Outras ferramentas do Six Sigma como o Design for Six Sigma e o DMADV viabilizam sucessivos aperfeiçoamentos até que todas as correções e intervenções sejam aplicadas.
5.6 DFSS Enquanto que o ciclo DMAIC é a metodologia adotada na solução de problemas. A metodologia DFSS (Design for Six Sigma) trata da qualidade no projeto de novos produtos, sendo aplicável em processos produtivos ou de serviços e que ao estarem prontos atinjam o nível de excelência dos Seis Sigmas. O Design para seis Sigma também serve para a aplicação em processos que apresentam baixo nível de desempenho, e que a aplicação do DMAIC não seja possível pelo comprometimento do processo, sendo assim é necessário um novo design. O DFSS serve para projetar um novo produto ou serviço, ou reprojetar os já existentes. O diferencial do DFSS é que a metodologia traz valor ao produto ou serviço através da inovação e da satisfação das necessidades reais dos clientes. Além de também melhorar a qualidade e reduzir custo de produção ou serviço. Como o Design for Six Sigma atua em novos projetos o programa é visto como um facilitador no controle de qualidade.
capítulo 5
• 127
5.7 DMAVD A metodologia DMADV (Definição, Medição, Análise, Projeto e Verificação) também apresenta cinco fases bem determinadas: Identify functions. Generate and select concepts.
Define the project
D Define
M Measure
Determine customer requirements and wishes.
A Analyze
Verify design performance. Implement design.
D Design
V Verify
Develop, test/optimise design components and complete design.
Figura 5.2 – Metodologia DMADV. Fonte: http://cerasis.com/wp-content/uploads/2013/10/ what-is-lean-six-sigma-dmadv.png.
• Na “Definição” identifica-se o que será projetado e os objetivos almejados. A utilização de um quadro de projeto auxilia na execução do projeto mantendo o foco da equipe nas diretrizes estratégicas. • Na "Medição" analisa-se as expectativas e necessidades dos clientes relativas ao novo produto ou serviço, mapeando-as e definindo assim, os atributos que são críticos para a qualidade (CTQ – Controle Total de Qualidade) do projeto. Dessa forma, tem-se mapeados os requisitos gerais que a equipe desenvolverá, nas próximas etapas. • Na "Análise" usa-se a Matriz de Pugh para a definição do melhor conceito de design entre os disponíveis. • No "Design" é realizado o design de alto nível, detalhando cada fase. Fazem parte dessa etapa a descrição detalhada do conceito do produto ou serviço, mapas de processos e a execução das instalações com equipamentos e materiais ou suprimentos necessários. • A "Verificação" serve para testar e validar o projeto. Nessa etapa, a equipe irá acompanhar o desempenho dos CTQs (Controle Total de Qualidade) do produto ou serviço através das cartas de controle.
128 •
capítulo 5
O CTQ, Controle de Qualidade Total, busca atender as necessidades de consumo do mercado, definindo a finalidade de uso, o preço de venda, e a oferta do produto e serviços no mercado.
CONEXÃO Faça uma leitura com mais detalhes e comparações nas metodologias do Six Sigma: http://www.camilomarcelino.com/sixsigma.htm
5.8 As 7 Ferramentas da Qualidade Tratam-se de sete ferramentas básicas de qualidade para auxílio na resolução de problemas e melhoria de processos. Promovendo a identificação de problemas e obtenção da melhoria contínua nos processos. 1. Fluxograma 2. Diagrama de Dispersão 3. Folhas de Verificação 4. Gráficos de Pareto 5. Diagrama de Causa e Efeito 6. Histograma 7. Cartas de Controle
5.8.1 Fluxograma Utilizado para representar a execução das atividades num processo, trata-se de uma das técnicas mais antigas e mais utilizadas para documentação. É um um diagrama, uma representação esquemática de um processo, feito através de gráficos que ilustram a transição de informações entre os elementos que os compõem.
capítulo 5
• 129
Podemos dizer também que trata-se da documentação dos passos necessários para a execução de um processo. Por exemplo, a figura a seguir ilustra um fluxograma para representar as atividades realizadas na empresa ao longo da compra de um produto por um cliente.
Cliente
Dados do Cliente
Pedido Recebido
Cadastrar Cliente
Faturar Pedido
Estoque
Dados Financeiro
Registrar a baixa no estoque
Logística
Depto. Financeiro
Fazer Pedido
Depto. Comercial
Processo Compra de Produto pelo Cliente
Enviar para o Cliente
Fim
Tabela 5.3 – Exemplo de um Fluxgorama. Fluxograma são uteis para documentação, análise e primeiros passos para melhoria de processos de negócio e tecnologia da informação, pois permitem uma visão de como as atividades estão sendo executadas.
130 •
capítulo 5
5.8.2 Diagramas de Dispersão Diagramas de Dispersão ou Gráficos de Dispersão, ou ainda Correlação, são usados para comprovar relação entre causas e efeitos através de análise quantitativa.
7.500
Diagrama de Dispersão - Custo Real x Estimado
7.000 6.500 6.000 5.500 5.000 4.500 4.000 3.500 3.000 3.000 3.500 4.000 4.500 5.000 5.500 6.000 6.500 7.000 7.500 Custo Aparente Real Coef. Correlação = 0,94
Primeira Bissetriz
Figura 5.4 – Exemplo de Diagrama de Dispersão . Fonte: http://3.bp.blogspot.com/--VdwZf4jZbo/T_sGS8iMUKI/AAAAAAAAA4k/ardzWYe7xTE/s1600/imagem2.jpg
O gráfico permite identificar a correlação entre duas variáveis. Isso pode estar relacionado a um fator de causa e efeito e será usado na resolução de problemas.
5.8.3 Folhas de Verificação São formulários para coleta e registro de dados a serem verificados e definidos previamente. Visa facilitar a coleta de dados no processo de investigação de causas e efeitos. Além de ter como função dispor os dados de forma mais organizada.
capítulo 5
• 131
Tabela 5.2 – Exemplo de Folha de Verificação para Defeitos em Peças. Fonte: http://www.
lugli.com.br/wp-content/uploads/2008/02/pareto1.png
132 •
capítulo 5
///// ///// ///// ... ///// /
///// ///// ///// ... ///// //// ///// /////
///// /////
///// /
/
Sujeira
Riscos
Trinca
Rebarba
Bolha
Totais
///// ///// /////
Junção
solto
202
01
06
10
29
41
15
68
21
12
item
Frequ do
SEÇÃO: LINHA DE MONTAGEM DATA DA PRODUÇÃO: 30/03/05 INSPETOR:
///// ///// ///// ... ///// ///
///// ///// ///// ///// /
Solda
Parafuso
///// ///// //
Tabulação
Alinhamento
defeito
Tipo de
COMPONENTE: CONJUNTO ABC PROCESSO DE TRABALHO: MONTAGEM QUANTIDADE PRODUZIDA: 1.000 PEÇAS
–
9°
8°
7°
3°
2°
5°
1°
5°
6°
Class
%
100%
01%
03%
05%
14%
20%
07%
34%
10%
06%
individual
% acumulada
5.8.4 Gráficos de Pareto Gráficos de Pareto, propostos por Vilfredo Pareto, um economista e sociólogo italiano, estabelecem o princípio ou Regra 80-20. Os gráficos visam a análise dos problemas e identificação das causas essenciais, pois, de acordo com pesquisas: • 80% das causas triviais são responsáveis por cerca de 20% dos resultados mais importantes • 20% de causas essenciais são responsávies por 80% dos resultados mais importantes Causas/Ações
Efeitos/Resultados 20%
80% triviais 80%
20% triviais Figura 5.6 - Princípio de Pareto. Fonte: (MARANHÃO e MACIEIRA, p. 171,2004).
5.8.5 Diagrama de Causa e Efeito O Diagrama de Causa e Efeito foi criado por Kaoru Ishikawa na década de 1940. Também é chamado de Diagrama Ishikawa ou Espinha de Peixe. No diagrama, estabelece-se uma região de causas e uma região de efeitos. O trabalho de análise consiste em conectar uns aos outros e tentar identificar a origem, ou as origens do problema (efeito) em si.
capítulo 5
• 133
Atitude do garçom
Espera Longa espera para fechamento de conta Computador fora do ar
Rude Confusa
Apressado
Muitas mesas
Garçom inexperiente Treinamento inadequado
Mau atendimento nas mesas
Espera desconfortável por mesa Assentos na área de espera Efeito
Tapetes sujos Comida servida fria Garçons incertos sobre quando a comida esta pronta
Programa de limpeza inadequado
Treinamento da faxineira inadequado
Sala de jantar fria
Janelas abertas
Sistema de notificação do garçom inadequado Comida
Ambiente
Tabela 5.7 – Exemplo de Diagrama de Causa e Efeito para atendimento de Reclamações de clientes num restaurante. Fonte: www.ogerente.com.br/qual/dt/qualidade-dt-diagrama_causa_efeito.htm
Veja que as causas do exemplo foram organizadas em subsistemas lógicos (módulos) específicos para cada atividade do restaurante. Cada módulo possui as suas causas, como mostra a figura. O nível de detalhe depende da abrangência do problema.
5.8.6 Histograma O Histograma é uma ferramenta para a visualização gráfica da distribuição de freqüências ou probabilidades dos resultados da execução (no caso de freqüência) de um processo e análise de comportamento deste processo (usado em Cartas de Controle). Por exemplo, na figura a seguir é mostrada a distribuição do Índice de Massa Corporal de um grupo de pessoas que foi monitorado.
134 •
capítulo 5
Indivíduo “fora da curva”
16
18
Magreza
20
22
24 26 x = 25 “Normalidade”
28
LIE
30
32
34
34
36
40
Obesidade LSE
Legenda: LIE = Limite Inferior Especificado LSE = Limite Superior Especificado Figura 5.8 – Exemplo de Histograma . Fonte: (MARANHÃO e MACIEIRA, 2004) página 176
5.8.7 Cartas de Controle As cartas de controle são construídas baseadas em históricos do processo e possibilitam a supervisão do sistema. Através de amostragens registradas ao longo do processo podemos aferir resultados, com um conjunto de dados em mãos calculam-se as estatísticas (média, amplitude, variância) que devem estar de acordo com os limites definidos nas cartas ou gráficos. São usadas para mostrar as tendências observadas de um processo num período de tempo. Elas funcionam como informações de tendência com acréscimo de limites de controle. Os limites de controle são calculados aplicando-se fórmulas aos dados do processo. De maneira bem resumida, as cartas de controle referem-se a um conjunto de histogramas calculados sobre dados observados ao longo de um tempo.
capítulo 5
• 135
h
o ad
Lin
po
tem
10 h - Histograma das 9h 9 h - Histograma das 9h 8 h - Histograma das 8h Eixo da característica medida
Figura 5.9 – Compreensão das Cartas de Controle. Fonte: (MARANHÃO e MACIEIRA, p. 178, 2004).
O histograma, como vimos, reflete uma análise dos dados coletados. Imagine que estes dados são informações de um processo produtivo. Logo, de maneira estática, olhando para um histograma podemos ver o comportamento do processo e verificar se obedece a uma curva normal. Processos são dinâmicos, ou seja, seus resultados têm variações (mesmo que pequenas) ao longo do tempo. Ao verificar o histograma com dados do processo (indicadores) a partir de amostras de resultados é possível verificar se o processo encontra-se “Sob Controle” ou “Fora de Controle”: • Processo sob controle: causas especiais foram eliminadas e o processo permanece estável ao longo do tempo, ou seja, a média e a variabilidade permanecem estáveis ao longo do tempo. • Processo fora de controle: existe variação da média e da dispersão e isto ocorre devido à presença de causas especiais no processo.
136 •
capítulo 5
Controle do Processo
17h 16h po
ha
Lin
d
10h 9h 8h
15h
em oT
b) Sob controle (causas especiais eliminadas) a) Fora de Controle (presença de causas especiais)
Eixo dos Tamanhos das Peças
Figura 5.10 – Controle do Processo. Fonte: (MARANHÃO e MACIEIRA, p. 183, 2004).
Os processos de negócio são influenciados por dois tipos de causas ou fatores: as causas especiais e as causas comuns (ou determináveis). As causas especiais são fatores que não podem ser explicados facilmente e, normalmente, são imprevisíveis. São fatores que não fazem parte do sistema. Muitas vezes a presença de uma única causa entre as especiais provocará uma variação muito grande no processo, tornando-a facilmente detectável. Por exemplo, matéria-prima (insumo) ruim pode resultar num produto final de péssima qualidade (muitos itens não-conformes às normas estabelecidas). Já as causas comuns são variações que fazem parte do sistema. São causas também chamadas de aleatórias. Este tipo de causa está sempre presente e dificilmente desaparecem. No entanto, são causas facilmente detectáveis e que podem estar sob controle na execução do processo. As cartas de controle, usadas para verificar se um processo encontra-se sob controle estatístico são formadas por 3 linhas básicas: • LM = Linha Média – valor provável ou esperado do processo • LSC = Limite Superior de Controle – maiores resultados esperados do processo • LIC = Limite Inferior de Controle – menores resultados esperados do processo
capítulo 5
• 137
Podemos adicionar também 2 outras linhas que são o Limite Superior de Especificação (LSE) e Limite Inferior de Especificação (LIE). São valores impostos pela especificação do produto ou serviço e não medidos no processo. São usados para verificar se o processo está dentro da norma exigida. LSE LSC Média
Medições (Y)
LIC LIE Tempo (X)
Figura 5.11 – Limites para Verificação do Processo
Medida do Diâmetro – X
Um processo estará sob controle se todos os pontos medidos estiverem dentro dos limites estabelecidos e se a disposição dos pontos for aleatória. Um processo não estará sob controle se houver periodicidade em intervalos regulares de tempo, ou se houver tendências para cima ou para baixo, ou ainda se houver mudanças no desempenho do processo. Veja um exemplo de uma medição para um processo de produção de pistões automotivos. A medição leva em consideração o diâmetro das amostras. Veja que o processo está dentro dos limites estabelecidos. 74.0180 74.0135 74.0090 74.0045 74.0000 73.9955 73.9910 73.9865 73.9820
LSC = 74.0135
Limite Superior de Controle = LSC
LM LIC = 73.9865
Limite Inferior de Controle = LIC
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 Número da Amostra Carta de controle para o diâmetro de um pistão automotivo
Figura 5.12 – Processo sob Controle. Fonte: (MARANHÃO e MACIEIRA, p. 185, 2004)
138 •
capítulo 5
Como já comentamos, as cartas de controle apresentam de maneira dinâmica o comportamento do processo (ao longo do tempo, ou seja, a cada amostragem) e podemos, de maneira resumida, usá-las para: • Reduzir a variabilidade de um processo • Monitorar seu desempenho ao longo do tempo (amostragens) • Permitir a correção do processo • Detectar tendências e pontos fora de controle.
ATIVIDADES Nestas atividades separei algumas leituras e questões para vocês: Faça essas leituras (Acesso em 01/02/2015): http://www.producao.ufrgs.br/arquivos/disciplinas/388_apostilacep_2012.pdf http://redsang.ial.sp.gov.br/site/docs_leis/pd/pd11.pdf A) E responda: 01. Qual o objetivo das Cartas de Controle? 02. O que são causas comuns? E causas especiais? 03. O que é um processo estável? E um processo instável? 04. Como você definiria LC, LSC e LIC? B) Sobre o Six Sigma: 01. Qual a diferença entre DMAIC, DMAVD e DFSS? 02. Apresente de forma concisa os papéis e responsabilidades no Six Sigma. C) Faça o tutorial abaixo para criar histogramas no Excel: http://support.microsoft.com/kb/214269/pt-br
capítulo 5
• 139
REFLEXÃO A melhoria de processos é pilar fundamental da Governança. Práticas especiais são encontradas no Six Sigma. Como reflexão, sugiro que pense e investigue como as empresas tem adotado esses processos no Brasil tanto na gestão de empresas públicas quanto privadas. Comente sobre o desempenho de uma empresa brasileira que adotou o Six Sigma em relação a suas concorrentes.
LEITURA Para complementar os conhecimentos apresentados sugiro a leitura do texto: “Aplicação do programa Seis Sigma no Brasil: resultados de um levantamento tipo survey exploratório-descritivo e perspectivas para pesquisas futuras” disponível em: http://www.scielo.br/pdf/gp/v14n2/01.pdf com acesso em 01/02/2015. Trata-se de um trabalho sobre resultados de um estudo de campo para levantar práticas relativas à adoção do programa Six Sigma em empresas que o adotaram.
REFERÊNCIAS BIBLIOGRÁFICAS PANDE, P.; NEUMAN, R.; CAVANAGH, R. Estratégia Seis Sigma: como a GE, a Motorola e outras grandes empresas estão aguçando seu desempenho. Tradução: Cristina Bazán Tecnologia e Lingüística. Rio de Janeiro: Qualitymark, 2001. FERNANDES A. A.; ABREU V. F. Implantando a Governança de TI: da estratégia à gestão dos processos e serviços. Brasport, 2008. MARANHÃO, M.; MACIEIRA, M. E. B. O processo nosso de cada dia: modelagem de processos de trabalho. Rio de Janeiro - RJ: Qualitymark, 2004. SMITH, B.; ADAMS, E. LeanSigma: advanced quality. Proc. 54th Annual Quality Congress of the American Society for Quality, Indianapolis, Indiana, maio, 2000. WEILL P.; ROSS W. J. Governança de Tecnologia da Informação. Makron Books, São Paulo, 2006. WERKEMA, M. C. C. (2002). Criando a cultura Six Sigma. Série Six Sigma Volume 1. Rio de Janeiro: Qualitymark, 2002.
140 •
capítulo 5
GABARITO Capítulo 1 01. Os indicadores apresentados são Market Share e Lucro Operacional. Lucro é o retorno positivo sobre um investimento, no caso, a empresa. O Lucro Operacional é lucro sobre o funcionamento da empresa. O Market Share é a participação da empresa no mercado em que atua. Assim, no quadro, foram estabelecidas metas de aumento do lucro ao ano (em 15%) e aumento de 10% na participação de mercado. Isto, com ações como abertura de novos pontos de venda, opções de crédito. 02. As metas estão diretamente relacionadas aos objetivos, pois constituem as formas de alcança-los, através da estratégia. Por exemplo, melhorar o atendimento ao cliente foi traduzido em metas de máximo de 5% de reclamações por clientes atendidos.
Capítulo 2 01. a 02. c
Capítulo 3 01. e 02. e 03. a 04. a) falso b) falso c) verdadeiro d) falso e) falso f)
falso
capítulo 5
• 141
Capítulo 4 01. c 02. b
Capítulo 5 a) 01. É uma técnica estatística aplicada à produção para reduzir de forma sistemática a variabilidade nas características da qualidade e contribuir para melhorar a qualidade do resultado de um processo. 02. Causas Comuns são fontes de variação atuando de forma aleatória no processo. São tratadas como varialibidade inerente ao processo, um padrão natural decorrente do próprio processo em si. Causas Especiais não seguem padrão aleatórios e não são pequenas causas, consistindo em falhas de operação. 03. Processo Estável apresenta apenas Causas Comuns pois a variabilidade é a mesma ao longo do tempo; Processo Instável apresenta Causas Especiais. 04. Limites Superiores e Inferiores de Controle (LSC e LIC) são limitações impostas pelo padrão de qualidade exigido. O processo deverá atender tais limites. Limite de Controle (LC ou LM) é o limite da média do processo. b) 01. O DFSS é o design, a metodologia para ser aplicada em processos produtivos ou execução de serviços. DMAVD é o ciclo para criação de um novo design de produto ou processo e o DMAIC é usado para processos de negócio existente. 02. Executivo Líder implanta o Six Sigma, Campeões lideram os Master BB, Master Black Belts conscientizam a implantação ajudam campeões, Black Belts buscam os resultados, Green Belts executam tarefas cotidianas do Six Sigma.
142 •
capítulo 5
ANOTAÇÕES
capítulo 5
• 143
ANOTAÇÕES
144 •
capítulo 5
View more...
Comments
