Avaliao da Capacidade dos Processos de Governana Corporativa de Ti Baseda no Cobit 5

Diana Leite Nunes Dos Santos diananunes@yahoo.com UCB Joo Souza Neto sznetoj@gmail.com UCB

Resumo:O COBIT 5 traz a separao dos processos de governana e gerenciamento e uma nova abordagem de avaliao com foco na capacidade dos processos. Esse artigo descreve a aplicao deste tipo de avaliao em uma instituio governamental brasileira, que resultou em 40% dos processos de governana no nvel 0 processo incompleto, e 60% no nvel 1 - processo executado. Dado o papel da governana, fragilidades em seus processos podem refletir negativamente no gerenciamento da TI da instituio e pesquisas adicionais devem incluir um aprofundamento neste relacionamento. Para esta instituio, em particular, esperado que todos os processos de governana passem a ser executados (nvel 1) nos prximos dois anos, que um objetivo no rumo de um sistema de governana eficiente e eficaz. As seguintes barreiras na aplicao desta auto-avaliao foram encontradas: falta de conhecimento dos processos do COBIT 5 por parte da instituio avaliada e extenso do questionrio, que chegou a 33 perguntas em sua verso final. Quando comparado com o modelo de avaliao do COBIT 4.1, os resultados foram inferiores, com a mesma organizao sendo classificada no nvel 2 repetvel mas intuitivo, . O modelo anterior tambm mais rpido e fcil de aplicar. Essa comparao deve ser feita com cuidado j que os modelos so muito diferentes em seu desenho e uso. Finalmente, os objetivos propostos foram alcanados: o mecanismo repetvel e pode ser usado futuramente para criar uma base histrica; ele pode ser aplicado como uma auto-avaliao e esperado que seja completado, numa instituio com uma rea de TI de mdio porte, em at quatro horas

Palavras Chave: Maturidade - Governana TI - Processo Governana - Avaliao - TI Governo

1. INTRODUO Segundo levantamento feito por Rodrigues (2010, p. 26), na essncia de vrias definies da Governana de Tecnologia da Informao (TI) possvel identificar objetivos como: alcanar vantagens competitivas, otimizar e melhorar processos de negcio e atingir os resultados de negcio desejados, contrariando a viso de TI como commodity postulada por Carr (2003), ou seja, comparvel ao fornecimento de gua ou gs de que todos precisam e que por isso no representa um diferencial para quem a administra. A ateno dada governana de TI tem crescido medida em que reformas para modernizao da gesto pblica, com a adoo de melhores prticas e padronizaes, so implementadas. Gastos e aquisies em TI crescem e reforam a dimenso estratgica da TI nesse setor (BERMEJO E TONELLI, 2011). Contudo, praticar governana de TI uma tarefa complexa, que envolve pessoas e competncias, processos, mecanismos de comunicao e controle, informao e conhecimento, estruturas organizacionais, comportamento, para citar alguns dos aspectos a serem considerados (ISACA-a, 2012). Uma rpida pesquisa sobre padres, frameworks e boas prticas nessa rea de conhecimento vai mostrar resultados como ABNT NBR ISO/IEC 38500:2009, Information Technology Infrastructure Library - ITIL, The Open Group Architecture Forum -TOGAF e COBIT. O conjunto de informaes disponveis volumoso e quando combinado com presses externas, como as exercidas pelo Tribunal de Contas da unio TCU, por meio de seus Acrdos com recomendaes, torna o trabalho gerencial e de direcionamento ainda mais difcil. Portanto, como proceder para aplicar e garantir uma governana de TI adequada em uma instituio pblica? Uma resposta seria comear por conhecer a situao atual, os objetivos estratgicos de negcio e os pontos de falha e de risco para, a partir da, tomar decises mais eficientes e eficazes. A recomendao de avaliar a situao atual um ponto comum entre as publicaes citadas, mas existem vrias maneiras e diferentes objetivos ao se fazer um diagnstico, o que remete a uma melhor definio do que, quando e como avaliar. Durante o desenvolvimento deste artigo sero aprofundados conceitos como Governana de TI e COBIT 5. Com este embasamento, ser ento mostrada uma proposta de avaliao da capacidade dos processos de governana corporativa de TI baseada no COBIT 5 aplicada a uma instituio da Administrao Pblica Federal (APF) pertencente ao Ministrio Pblico da Unio - MPU. Espera-se que este estudo possa contribuir com um mecanismo eficaz para medir a maturidade da capacidade dos processos de governana propostos pelo COBIT 5. Ele deve permitir a sua aplicao regular para formao de uma base histrica de tais processos. Este trabalho emprico poder auxiliar no entendimento da aceitabilidade e aplicabilidade dos referidos processos na esfera da Administrao Pblica Federal Brasileira. Assim como servir de base inicial para investigao da eficcia de avaliaes de maturidade da governana corporativa de TI, podendo ser futuramente ser comparado a propostas similares. 2. GOVERNANA DE TI Segundo o COBIT 5, A governana assegura que as necessidades, as condies, e as opes das partes interessadas so analisadas para determinar objetivos balanceados e de comum-acordo a serem alcanados, estabelecendo direo atravs de priorizao e tomada de

deciso. A governana tambm assegura o monitoramento e a conformidade do direcionamento e objetivos estabelecidos previamente de comum- acordo (ISACA-a, 2012). O carter geral dessa definio lembra que governana pode (e deve) ser aplicada em vrias reas da empresa, como a financeira, a de projetos e a de TI. Em qualquer dos casos, o papel dos diretores e da alta administrao o de direcionar e de prestar contas. Aos gerentes de TI cabe, ento, executar e planejar a gesto de TI alinhada aos direcionamentos recebidos. Sendo assim, assumimos que a TI no deve ser direcionada por si mesma. Entrega de valor, alinhamento de expectativas e objetivos e direo, ocorrem quando a governana de TI est estabelecida e bem executada (ISACA-a, 2012). Esses conceitos parecem estar mais claros em empresas privadas onde os donos das empresas so conhecidos e tm a expectativa de retorno financeiro dos seus investimentos. Porm, os objetivos estratgicos e a razo de ser das instituies pblicas so diferenciados. Uma de suas principais partes interessadas a sociedade: entidade difusa, complexa e que no tem um representante nico estabelecido. De uma maneira geral, podemos inferir que a entrega de valor para sociedade a prestao correta de servios considerando os princpios constitucionais da administrao pblica como: legalidade, impessoalidade, moralidade, publicidade, finalidade e eficincia (BRASIL-b, 1988). Ao invs da expectativa de lucro existe a expectativa de retorno na forma de benefcios ou servios ao cidado. Logo, estabelecer uma governana de TI adequada no Governo no se trata de simplesmente ter a melhor TI com tecnologia de ponta em todos os equipamentos, pois s isso no garante a entrega de valor desejada, j que esses investimentos podem no resultar e, benefcios sociedade ou a outras partes interessadas. O que fundamental seria, por exemplo, saber qual TI entregar mecanismos mais adequados para combater a criminalidade? O combate ao crime organizado amplamente apoiado por TI, com requisitos de segurana e confidencialidade, softwares especficos e necessidade de especialistas em determinadas reas tcnicas para fins de investigao. O papel da governana, neste caso, garantir a comunicao do direcionamento, estabelecendo e publicando diretrizes que permitam o alinhamento da TI com o negcio (defender os direitos da sociedade propriedade e segurana pessoal, entre outros) e entregando valor para a sociedade (criminalidade combatida com resultados satisfatrios). Decises de TI que invertem esse raciocnio e se preocupam, por exemplo, em comprar o melhor sistema de investigao sem considerar o que a sociedade ganha com isso (e muitas vezes sem saber onde instalar o novo software), indicam problemas de direcionamento. Da o grande desafio de entender, mapear e alinhar as decises de TI para atender o objetivo final e a razo de ser da instituio. Como assegurar que a sociedade est recebendo o esperado e que a TI no apenas um grande gasto pblico? H ainda outros complicadores para se direcionar a TI no mbito governamental. Pelo princpio da legalidade considera-se vlida a idia de que a Administrao s pode fazer o que a lei antecipadamente autoriza [...] no lhe sendo possvel, portanto, a inovao do ordenamento jurdico, mas to-s a concretizao de pressgios genricos e abstratos anteriormente firmados pelo executor da funo legislativa (SERESUELA, 2002). No mundo privado, por outro lado, o que no proibido permitido. Considerando o princpio da eficincia, que no um conceito jurdico, mas econmico, segundo Cardozo apud Seresuela:
Ser eficiente, portanto, exige primeiro da Administrao Pblica o aproveitamento mximo de tudo aquilo que a coletividade possui, em todos os nveis, ao longo da realizao de suas atividades. Significa racionalidade e aproveitamento mximo das potencialidades existentes. Mas no s. Em seu sentido jurdico, a expresso, que consideramos correta, tambm deve abarcar

a idia de eficcia da prestao, ou de resultados da atividade realizada. Uma atuao estatal s ser juridicamente eficiente quando seu resultado quantitativo e qualitativo for satisfatrio, levando-se em conta o universo possvel de atendimento das necessidades existentes e os meios disponveis.

Desta forma, instituies pblicas devem se preocupar com governana de TI ou corre o risco de no atender legislao vigente que j instituiu e comunicou alguns princpios importantes de governana. 3. COBIT 5 O COBIT foi desenvolvido pela Information Systems Audit and Control Association ISACA e tem sido internacionalmente aceito como boa prtica para controle de TI, estabelecendo um modelo de domnios e processos com a apresentao de atividades em uma estrutura lgica e gerencivel, com foco no controle e no na execuo. Em sua verso mais recente, COBIT 5, algumas mudanas importantes foram introduzidas. Em especial no sentido de aumentar o foco na utilizao corporativa deste framework, ressaltando o papel fundamental da diretoria ou alta administrao nas tomadas de decises sobre a TI. Neste novo framework, so apresentados novos princpios de governana corporativa de TI e um maior foco nos habilitadores, que so fatores que individualmente ou coletivamente influenciam o funcionamento da governana e da gesto. Tambm oferecido um novo modelo de referncia de processos com alguns processos novos e modificados, a introduo de prticas e atividades, metas e mtricas, entradas e sadas com um modelo de tabela RACI (Responsible, Accountable, Consulted, Informed) revisado e ampliado. O modelo de avaliao foi alterado para medir a maturidade da capacidade dos processos. Foi ampliada a viso Bussiness Score Card (BSC), integrando-o viso dos objetivos corporativos e de TI. Outros aspectos, como o cascateamento de objetivos, apesar de no ser uma novidade, ganharam destaque com um maior detalhamento e exemplos (ISACA-a, 2012). Inicialmente foram lanadas quatro publicaes, todas na lngua inglesa: COBIT 5 A Bussiness Framework for the Governance and Management of Enterprise IT, COBIT 5 Enabling Process, COBIT 5 Implementation, COBIT 5 for Information Security. Outras trs foram divulgadas para publicao em breve: COBIT 5 Enabling Information, COBIT 5 for Risk, COBIT 5 for Assurance. Vale ressaltar que, apesar de ter incorporado processos e prticas existentes em outras publicaes da ISACA como Val-IT e Risk IT, o COBIT 5 no se prope a substituir esses trabalhos com o COBIT 5 Enabling Process, mas sim evolu-los no futuro. A figura 1 apresenta os cinco princpios do COBIT 5, que, junto aos sete habilitadores, servem como base para a construo de um framework que otimiza o investimento na tecnologia de informao e o seu uso para o benefcio das partes interessadas.

Figura 1: os cinco princpios do COBIT 5 (adaptado de ISACA-a, 2012, traduo livre dos autores).

O quinto princpio, que traz explicitamente a diferenciao entre a governana e a gesto, refletido diretamente no modelo de referncia dos processos, que subdivide as prticas e atividades relacionadas a TI em dois domnios principais: governana (Analisar, Dirigir e Monitorar ou Evaluate, Direct and Monitor EDM) com cinco processos definidos, e, gesto (Planejar, Construir, Executar e Monitorar ou Plan, Build, Run and Monitor PBRM), sendo este subividido novamente para agrupamento dos 32 processos restantes, a saber: Alinhar, Planejar e Organizar (Align, Plan and Organise APO), Construir, Adquirir e Implemntar (Build, Acquire and Implement BAI), Entregar, Servir e Suportar (Deliver, Service and Support) e, Monitorar, Avaliar e Aferir (Monitor, Evaluate and Assess - DSS). A figura 2 apresenta, simplificadamente, o relacionamento entre os domnios.

Figura 2: Relacionamento entre os domnios do COBIT 5 (adaptado de ISACA-a, 2012, traduo livre dos autores).

Ao trazer essa importante distino, o COBIT 5 tambm possibilitou a realizao de uma avaliao especfica para os processos relacionados ao domnio da governana. 4. AVALIAO DE GOVERNANA DE TI Weill e Ross (2006) colocam trs questes para a Governana de TI eficaz: 1) Quais decises de TI devem ser tomadas para garantir a gesto e o uso eficazes da TI? 2) Quem deve tomar essas decises? 3) Como decises sero tomadas e monitoradas? O TCU tem feito um trabalho avaliativo desde 2008 com publicaes de acrdos que tm efeito orientador e regulador nos rgos da Administrao Pblica Federal. No ano de 2010, o Levantamento de Governana de TI 2010 contou com a participao de duzentas e sessenta e cinco instituies incluindo ministrios, universidades federais, tribunais federais, ministrio pblico, agncias reguladoras e diversas autarquias, secretarias, departamentos e empresas estatais. Os principais insumos para a elaborao do questionrio desta avaliao foram: as recomendaes do Acrdo n 1.603/2008-TCU-Plenrio, o Gespblica, a legislao, modelos de boas prticas reconhecidos internacionalmente, tais como o COBIT 4.1, a ABNT NBR ISO/IEC 27002:2005 segurana da informao e a ABNT NBR ISO/IEC 38500:2009 governana corporativa de TI (BRASIL-a, 2010). Contudo, a criao de uma base histrica apoiada por esta avaliao fica prejudicada pois o instrumento tem sofrido alteraes considerveis a cada verso lanada. A organizao que desejar utiliz-lo tambm fica restrita periodicidade decidida exclusivamente pelo TCU. Existem tambm outras propostas de diagnsticos como a avaliao por atributos do COBIT 4.1 utilizada por Xavier (2010) na Mensurao da maturidade da governana de TI na administrao direta federal brasileira. E outras mais especficas como o Modelo de Maturidade para Planejamento Estratgico de SI/TI direcionado s Organizaes Governamentais Brasileiras MMPE-SI/TI (Gov) baseado em Melhores Prticas (TEIXEIRA FILHO, 2010) . Entretanto, estes mecanismos no abordam o domnio Governana separadamente ou em detalhe. necessrio considerar que avaliar implica no emprego de recursos de pessoal e financeiro. Mesmo havendo o interesse, questionrios longos, demorados ou complicados podem inviabilizar um levantamento de informaes, em especial se precisarem ser aplicados com tomadores de deciso, que ocupam nveis hierrquicos mais altos e tm pouca disponibilidade de tempo. Considerando o fator escopo e lembrando que no setor pblico necessrio se trabalhar com recursos escassos e a menor custo (princpio da eficincia), no vivel, na maioria das vezes, propor a melhoria ou a implantao de todos os processos de TI sugeridos nos guias de melhores prticas existentes de uma s vez. necessrio estabelecer um foco, restrito e praticvel, e isso vale tambm para avaliaes. Segundo Simosson e Johnson (2008), confiabilidade, validade e custo so importantes requisitos para uma avaliao de maturidade de governana de TI. A confiabilidade diz respeito capacidade de repetio com resultados consistentes a cada nova medio. Para validade considera-se o quanto uma medida reflete o conceito que ela pretende medir e o fator custo pode ser observado tanto na coleta dos dados quanto na anlise, sendo mantido preferencialmente no mnimo possvel. Desta forma, foi criada uma proposta de questionrio com os seguintes objetivos: Simplicidade no entendimento das questes e na aplicao: expectativa de aplicao em no mximo 4 horas.

 Possibilidade de auto-avaliao: a instituio pode executar a sua prpria avaliao, sem necessidade de consultoria ou avaliador externo. Foco restrito aos processos de governana corporativa de TI: governana como um todo inclui outros aspectos como cultura, informao, estruturas, etc, porm somente os processos foram considerados para elaborao do questionrio. Possibilidade de repetio: para criar uma base histrica e acompanhar o avano conforme metas definidas. Essa abordagem foi derivada da ISO/IEC 15504-4:2004 - Process assessment- Part 4: Guidance on use for process improvement and process capability determination (ISO, 2004). PROPOSTA BASEADA NO COBIT 5 O COBIT 5 oferece um guia de implementao, composto por sete fases, onde, na segunda fase Onde estamos agora?, reforada a importncia da realizao de uma avaliao do estado atual da TI (ISACA-c, 2012). 4.1 A proposta deste artigo tirar uma fotografia dos processos de governana de uma instituio da administrao pblica federal baseando-se no COBIT 5, que possa ser usada no planejamento estratgico de TI ou na melhoria contnua deste. Para isso, o instrumento deve ser rpido e prtico. Para uma avaliao mais detalhada, que pode ser usada para fins de auditoria por exemplo, existem outras opes como a contratao de auditorias externas instituio. O questionrio foi criado tendo por base a auto-avaliao do COBIT Process Assessment Model - PAM, publicado em outubro de 2011 para o COBIT 4.1, que, por sua vez, segue a ISO/IEC 15504 e, portanto, aplicvel ao COBIT 5 que tambm segue este padro internacional (ISACA-d, 2011). Foram elaboradas 33 questes baseadas nas sadas dos processos EDM01 Assegurar o Estabelecimento e Manuteno do Framework de Governana, EDM02 Assegurar a Entrega de Benefcios, EDM03 Assegurar a Otimizao de Riscos, EDM04 Assegurar a Otimizao de Recursos e EDM05 Assegurar a Transparncia para as Partes Interessadas. Um resumo geral do modelo apresentado da figura 3. Como explicado anteriormente, o passo 1 foi pr-definido como sendo os cinco processos de governana corporativa de TI. Apesar da recomendao de se definir o nvel desejado de maturidade para cada processo neste passo, pela falta de conhecimento dos avaliados sobre os novos processos de governana corporativa de TI do COBIT 5, decidiu-se realizar esta parte aps a aplicao do questionrio e antes da entrega dos resultados. Tambm foi considerado que alcanar o nvel de capacidade 1, mesmo numa escala de 5, j uma grande conquista para a instituio, e como cada organizao deve escolher um nvel desejado para cada processo e raramente ir acontecer de ser um dos mais altos, estabeleceu-se que esta avaliao medir somente at o nvel 1 Processo executado (ISACAa, p. 43). Sendo assim, os passos 3 e 5 no foram escopo deste trabalho, sendo, no entanto, fornecidas as informaes necessrias para sua realizao, com base nos resultados obtidos na pesquisa.

Passo 1: Decidir os processos a serem avaliados - escopo

Passo 2: Determinar a capacidade nvel 1.

Passo 3: Determinar a capacidade para os nveis 2 a 5.

Passo 5: Planejar melhoria do Processo.

Passo 4: Gravar e resumir os nveis de capacidade.

Figura 3: O Modelo de Auto-Avaliao de Processos do COBIT 5

O framework de medio, com os nveis de capacidade, atributos de processo (Process Atribute PA) e sua relao com a escala de medio utilizados so apresentados no quadro 1. Essa escala favorece a otimizao da avaliao tendo em vista que para se avaliar um nvel superior, o nvel imediatamente anterior deve alcanar a escala de F (Completamente alcanado), por exemplo, para alcanar o nvel 1 o PA 1.1 deve alcanar pelo menos 50% ou L, porm para se iniciar a avaliao do nvel 2 necessrio que o PA 1.1 alcance o nvel F, ou seja, acima de 85%.
Nvel 3 - Estabelecido Nvel 2 - Gerenciado Nvel 0 - Incompleto Nvel 1 - Executado Nvel 5 - Otimizado F Nvel 4 - Previsvel 4 F

0 PA 5.2 Otimizao PA 5.1 Inovao PA 4.2 Controle PA 4.1 Medio PA 3.2 Desenvolivmento PA 3.1 Definio PA 2.2 Gerenciamento dos produtos de Trabalho PA 2.1 Gerenciamento da Execuo PA 1.1 Execuo do Processo

L ou F L ou F N ou P L ou F F

5 L ou F L ou F L ou F F L ou F L ou F F F L ou F F F F F

Quadro 1: Nveis de capacidade, atributos de processos e escala de medio

Cada atributo medido com base na escala padro da ISO/IEC 15504 que consiste em: N (No alcanado) - H pouca ou nenhuma evidncia de que os atributos definidos so alcanados no processo avaliado. Considera-se que entre 0 e 15% dos quesitos so atendidos. P (Parcialmente alcanado) H alguma evidncia do cumprimento dos atributos definidos no processo avaliado. Alguns aspectos podem ser imprevisveis. Considera-se que entre 15% e 50% dos quesitos so atendidos.

 L (Amplamente Largely - alcanado) H evidncia de uma abordagem sistemtica, com o alcance significativo dos atributos definidos no processo avaliado. Algumas falhas relacionadas aos atributos podem existir. Considera-se que entre 50% e 85% dos quesitos so atendidos. F (Completamente - Fully - alcanado) H evidncia de uma abordagem sistemtica completa, assim como o alcance completo dos atributos definidos para o processo avaliado. No existe falha significante relativa aos atributos. Considera-se que mais de 85% dos quesitos so atendidos. Como a escala no clara em relao aos valores limites, por exemplo, o atendimento de 50% classificaria o atributo de processo como P ou L? Admitiu-se para este estudo a seguinte adaptao: N 14% < P 49% < L 84% < F 100%. Para estabelecer as perguntas do Nvel 1- Processo Executado, o Process Assessment Model (PAM) baseado na ISO/IEC 15504 recomenda medir as sadas que o processo avaliado apresenta conforme o guia de processos habilitadores (ISACA-b, 2012). Identificou-se que utilizar diretamente as sadas descritas nos processos poderia dificultar o entendimento do que se pretende medir. Por exemplo, para o processo EDM01.01 Analisar o sistema de governana, uma das sadas o modelo de tomada de deciso. Porm, considerando as atividades, padres relacionados e a descrio do processo, fica clara a necessidade de se detalhar a questo. Pode haver dvida sobre em que consiste um modelo de tomada de decises de TI. Alm disso, pelo processo, o papel da alta administrao deve ficar claro j que o assunto governana. Na avaliao proposta, essa sada medida na forma do questionamento mostrado na figura 4.

Figura 4: Exemplo de pergunta do questionrio.

5. APLICAO DA AVALIAO Foi escolhida um uma instituio da administrao pblica federal pertencente ao Ministrio Pblico da Unio para a aplicao do questionrio para que fosse possvel a verificao dos objetivos propostos neste artigo. Espera-se evoluir futuramente este mecanismo avaliativo para estender seu alcance aos demais rgos pertencentes a essa esfera governamental. Vale ressaltar que a preocupao com o alinhamento estratgico e a agregao de valor que a TI pode trazer ao negcio vem sendo considerada, analisada e aplicada neste rgo, com pode ser evidenciado pela criao do Comit Estratgico de TI em 2009, o aumento dos investimentos em TI (crescimento constante desde 2008) e a re-estruturao da unidade de Tecnologia da Informao para comportar as mudanas de gesto com aplicao de melhores prticas. Um exemplo a criao de rea especfica para projetos de TI. Dando continuidade a esses esforos, a proposta de avaliao dos processos de governana corporativa de TI foi bem recebida com o propsito de avaliar se o nvel de

capacidade 1 dos processos do COBIT 5 estava sendo alcanado, de forma que a instituio pudesse realizar ajustes e melhorias com embasamento em um padro de mercado amplamente reconhecido e atualizado. O questionrio foi aplicado em duas sesses presenciais com a participao dos principais tomadores de deciso de TI do rgo (nveis hierrquicos mais altos), que responderam livremente a todas as perguntas, sem a exigncia de apresentao de evidncias ao avaliador. Foram utilizadas trs horas para responder o questionrio e escolher os nveis de maturidade desejados para cada processo do domnio Governana. As dvidas foram prontamente esclarecidas durante as sesses, com consultas ao guia de processos habilitadores do COBIT 5. A escolha por aplicar o questionrio de governana com a TI e no com a alta administrao do rgo, deu-se principalmente por questes de disponibilidade e por ser uma auto-avaliao. Acredita-se que no houve prejuzo j que a alta administrao trata diretamente com o alto escalo da TI para questes de governana, logo estes tm conhecimento sobre a existncia ou no das sadas dos processos de governana propostos pelo COBIT 5. Tambm foi identificado que os participantes possuem um conhecimento bsico dos processos do COBIT 4.1 e dos conceitos de gesto e governana, facilitando a aplicao do questionrio. Alguns ajustes foram sugeridos pelos avaliados, como a mudana da traduo da palavra assure, presente nos nomes dos processos de governana, de garantir para assegurar. Tambm foram feitas consideraes acerca de diretrizes da governana corporativa que, em seu entendimento, j esto definidas em lei e so vlidas para qualquer rgo pblico, no se fazendo necessrio este questionamento. Esta interpretao pode ser questionada e precisa de mais estudos para uma concluso definitiva. Na avaliao do processo EDM02 Assegurar a Entrega de Benefcios, os avaliados argumentaram que perguntas sobre retorno dos investimentos remetem iniciativa privada e que existe grande dificuldade em avaliar este item no mbito governamental. Os resultados obtidos foram relacionados na tabela 1. Vale notar que, caso o Nivel 1 no houvesse obtido valores na faixa de F (completamente alcanado), no seria necessrio fazer a avaliao do prximo nvel. Ou seja, se fosse o caso de continuar a avaliao, apenas os processo EDM01 e EDM04 seguiriam adiante. Como a proposta deste estudo no incluiu avanar nos nveis com atributos genricos, esta informao apenas ilustrativa.
Tabela 1: Resultados obtidos. Processos COBIT 5 Avaliados
EDM01 EDM02 EDM03 EDM04 EDM05

Total de Sadas 6 6 8 8 5

N (0%14%)

P (15% -49%)

L (50% 84%)

F (85100%) 5 NVEL 1 NVEL 0 NVEL 0 8 NVEL 1 NVEL 1

Assegurar o estabelecimento e manuteno do framework de governana Assegurar a entrega de benefcios Assegurar a otimizao de riscos Assegurar a otimizao de recursos Assegurar a transparncia para as partes interessadas

0 1 2 3

Posteriormente aplicao do questionrio, no ltimo encontro presencial, foi solicitado que o nvel desejado de maturidade da capacidade de cada processo fosse definido, conforme o quadro 2, para posterior comparao com os resultados obtidos. O momento escolhido para este passo considerou a falta de conhecimento prvio dos avaliados em relao aos processos de governana do COBIT 5. Aps a aplicao do questionrio estes puderam opinar melhor sobre os nveis desejados para cada um dos processos.
Processo Nvel 5: Processo Otimizado Nvel 4: Processo Previsvel Nvel 3: Processo Estabelecido Nvel 2: Processo Gerenciado Descrio O processo melhorado continuamente de forma disciplinada. O processo executado dentro de limites de controle definidos e com medies detalhadas e analisadas. O processo executado e gerenciado com uma adaptao de um processo padro definido, eficaz e eficiente. O processo executado no nvel 1 agora gerenciado com planejamento, monitoramento e ajustes, e seus produtos de trabalho so apropriadamente estabelecidos, controlados e mantidos. Satisfaz os requisitos definidos de qualidade, prazo e custos. O processo implementado atinge os objetivos ( executado). Porm sem padro de qualidade e sem controle de prazos e custos. O processo no implementado ou falha em atingir seu propsito.

Nvel 1: Processo Executado Nvel 0: Processo Incompleto

Quadro 2: Nveis de Maturidade da Capacidade dos Processos COBIT 5.

De posse dos resultados completos e da figura 5, que relaciona os nveis desejados em comparao aos nveis alcanados para cada processo, ser possvel, futuramente, criar um roteiro de melhorias com aes para alcanar essas metas.

Figura 5: Nveis desejados X Nveis alcanados.

Ao serem questionados em quanto tempo se esperava alcanar os nveis desejados, os respondentes indicaram os perodos informados na figura 5, que coincide com o perodo

eleitoral da alta administrao do rgo. Porm informaram que pretendem medir anualmente a situao de cada processo. Chama a ateno o processo EDM02, que foi avaliado nos dois extremos, o processo que no apresentou nenhuma sada resultando no nvel mais baixo de maturidade da capacidade, mas foi considerado to relevante que, como nvel desejado foi atribudo o nvel mais alto em comparao com os demais. Foi estabelecido tambm um perodo de 10 anos para o alcance do nvel 2 Processo Gerenciado, por considerarem que existiro perodos de mudana na alta administrao que podem impactar positivamente ou negativamente o alcance deste objetivo. Aps a avaliao dos nveis desejados, os participantes informaram algumas percepes e expectativas relacionadas ao COBIT 5, transcritas a seguir: Seria mais fcil responder sobre questes prticas do dia a dia da TI, falar de governana ainda parece algo abstrato e terico. O COBIT 5 parece mais difcil de entender que o COBIT 4.1 que era bem direto sobre o que TI precisa controlar. Este trabalho emprico tambm realizou uma comparao entre o nvel de maturidade para o processo ME4 Prover Governana de TI do COBIT 4.1 e os resultados encontrados na execuo da avaliao da capacidade dos processos do domnio de governana do COBIT 5. Pelo modelo de maturidade previsto no COBIT 4.1, a organizao alcanou o nvel 2 repetvel mas intuitivo. Apesar de gerenciamento de risco e entrega de valor serem objetivos de controle do ME4, o nvel 2 de maturidade deste modelo no aborda essas questes diretamente. apenas no nvel 4 que encontramos Todas as partes interessadas do processos esto cientes dos riscos... (ITGI, 2007). Com uma viso mais detalhada, a avaliao do COBIT 5 mostra que 40% dos processos esto em nvel 0 processo incompleto, e que os processos que abordam risco e entrega de valor so os que esto nesta situao. Essa uma informao importante para os tomadores de deciso que ficou encoberta na avaliao em alto nvel do COBIT 4.1. Seria tentador considerar a mdia dos resultados dos processos do COBIT 5 avaliados como o nvel de maturidade para o domnio de governana para comparar diretamente um nico processo do COBIT 4.1 com cinco processos do COBIT 5. Porm isso criaria uma distoro, j que o PAM no foi desenhado para avaliar um domnio e sim processos. Ao invs disso, pode-se observar que os nveis mais altos alcanados com a avaliao baseada no PAM ainda so todos menores que o nvel de maturidade do ME4. Isso era esperado e foi empiricamente confirmado (ISACA-a, p. 44). Existe uma diferena considervel entre esses modelos avaliativos. Apesar de ambos terem sido executados em alto nvel, medir a capacidade em nvel 1 no modelo do COBIT 5 requer mais detalhes j que as sadas dos processos de governana so revisadas. O modelo de maturidade previsto no COBIT 4.1 torna a avaliao relativamente rpida e fcil de aplicar, mas os resultados sero baseados em um consenso amplo ao invs de em componentes mensurveis como acontece no COBIT 5. Essa nova abordagem no prov um modelo de maturidade especfico por processo, mas define a informao dos produtos de trabalho, prticas base e descrio do processo que so usadas na avaliao de nvel 1. Por outro lado, leva-se mais tempo para aplicar.

6. CONCLUSO Mesmo procurando a simplicidade e a rapidez na aplicao, a prpria complexidade do assunto, e a falta de conhecimento sobre os processos, que foram publicados recentemente (um ms antes da redao deste artigo), tornaram o questionrio relativamente longo, porm, ainda dentro dos limites aceitveis de tamanho e complexidade. A avaliao resultou em 40% dos processos de governana no nvel 0 processo incompleto, e 60% no nvel 1 - processo executado, o que representa uma deficincia considervel dado o papel e importncia da governana. Fragilidades em seus processos podem refletir negativamente no gerenciamento sendo, portanto, preocupante ter processos de governana em nvel 0. Pesquisas adicionais devem incluir um aprofundamento sobre esse relacionamento para melhor entender as conseqncias e reflexos da maturidade da governana nos processos de gesto. A avaliao resultou de fatos que foram descritos, mas no observados, por isso, possvel que os respondentes tenham se inclinado para um lado mais positivo para alcanar resultados melhores e podem ter reportado o que eles gostariam ou alcanariam em breve, em contraposio ao que eles j alcanaram. Uma validao emprica seria necessria para verificar a veracidade dessa hiptese. Verificou-se que a abordagem oferecida pelo PAM bem detalhada, mesmo em seu nvel mais alto. Considerando apenas os cinco processos de governana do COIBT 5 obtevese um total de 33 questes. Ou seja, realizar uma avaliao incluindo os processos de gesto com essa metodologia, resultaria em um nmero de perguntas acima de 400, pois essa quantidade de sadas dos referidos processos. Dessa forma, se o objetivo for obter um panorama geral de vrias instituies com uma aplicao rpida e prtica, no recomendado seguir essa abordagem avaliativa. Os objetivos propostos com este estudo foram alcanados. Verificou-se a possibilidade de auto-avaliao, pois as intervenes do avaliador foram pequenas. A informatizao do questionrio permite fcil repetio e o foco restrito em processos de governana permite uma avaliao inicial rpida, possibilitando a extenso para uma avaliao mais completa somente para os processos identificados como carentes de melhorias. preciso considerar que existem outros aspectos relevantes no domnio da Governana, que tambm podem ser medidos e avaliados (figura 6) como: cultura, ambiente, informao. Estes devem ser levados em conta para se chegar a um resultado mais abrangente, em especial, pensando no relacionamento entre estes habilitadores. Medi-los individualmente ou em conjunto traria uma excelente contribuio s pesquisas na rea.

Figura 6: Habilitadores para governana e gesto (adaptado de ISACA-a, 2012).

O questionrio proposto aponta para os principais processos que podem ou devem ser melhorados, conforme a necessidade do rgo. Um estudo mais detalhado das atividades e produtos de trabalho destes pode ajudar na construo de um plano de ao de melhoria. Como trabalhos futuros propem-se avaliar tambm os processos de gesto do COBIT 5 alm de ampliar o escopo da avaliao da governana. Tambm sugere-se a aplicao em outras instituies para um aprofundamento deste estudo emprico. 7. REFERNCIAS
BERMEJO, P. H. S.; TONELLI, A.O. Planning and Implementing IT Governance in Brazilian Public Organizations, Proceedings of the 44th Hawaii International Conference on System Sciences , 2011. BRASIL-a. Tribunal de Contas da Unio. Levantamento acerca da Governana de Tecnologia da Informao na Administrao Pblica Federal/Tribunal de Contas da Unio (Sumrio Executivo); Relator Ministro Aroldo Cedraz. Braslia: TCU, Secretaria de Fiscalizao de Tecnologia da Informao, 2010. BRASIL-b. Constituio (1988). Constituio [da] Repblica Federativa do Brasil. Braslia: Senado Federal, 1988. CARR, N. G. IT doesnt matter. Harvard Business Review, maio/2003. Disponvel em: http://hbr.org/2003/05/itdoesnt-matter/ar/1 Acesso em: 30/05/2012. ITGI, Information Technology Governance Institute. COBIT Control Objectives for Information and related Technology. 4.1. ed. (em portugus). Rolling Meadows: ITGI, 2007. Disponvel em: <http://www.isaca.org/Knowledge-Center/cobit/Documents/cobit41--portuguese.pdf>. Acesso em: 06 abril 2012. ISO, International Organization for Standardization. Information technology - Process assessment- Part 4: Guidance on use for process improvement and process capability determination: ISO/IEC 15504-4:2004. 2004, 33 p. ISACA-a. COBIT 5 A Business Framework for the Governance and Management of Enterprise IT (em ingls). Rolling Meadows, 2012, 94 p. ISACA.-b COBIT 5 Enabling Process (em ingls). Rolling Meadows, 2012, 230 p. ISACA-c. COBIT 5 Implementation (em ingls). Rolling Meadows, 2012, 78 p. ISACA-d. COBIT Process Assessment Model (PAM): Using COBIT 4.1 (em ingls). Rolling Meadows, 2011, 74 p. RODRIGUES, J. G. L. Diretrizes para implantao da governana de TI no setor pblico brasileiro luz da teoria institucional. 2010. 170f. Dissertao (mestrado) Universidade Catlica de Braslia, Braslia, 2010. SERESUELA, N. C. H. Princpios constitucionais da Administrao Pblica. Jus Navigandi, Teresina, ano 7, n. 60, 1 nov. 2002 . Disponvel em: http://jus.com.br/revista/texto/3489. Acesso em: 10 maio 2012. SIMOSSON, M.; JOHNSON, P. The IT organization modeling and assessment tool: Correlating IT governance maturity with the effect of IT. In: In: Hawaii International Conference on System Sciences , 41, Hava, 2008. TEIXEIRA FILHO, J. G. A. MMPE-SI/TI (Gov) - Modelo de Maturidade para Planejamento Estratgico de SI/TI direcionado s Organizaes Governamentais Brasileiras baseado em Melhores Prticas. 2010. Tese (doutorado) - Universidade Federal de Pernambuco, Recife, 2010. WEILL, P.; ROSS J. W. Governana de Tecnologia da Informao. So Paulo: M. Books do Brasil Editora LTDA, 2006. XAVIER, M. B. F. Mensurao da maturidade da governana de TI na administrao direta federal brasileira. 2010. 167f. Dissertao (mestrado) Universidade Catlica de Braslia, Braslia, 2010.

Powered by TCPDF (www.tcpdf.org)