Mnica Mancini e Edmir Parada Vasques Prado

CAPTULO 1. A IMPLANTAO DO COBIT COMO MODELO DE GOVERNANA DE TI: UM ESTUDO DE CASO EM UMA INSTITUIO FINANCEIRA DE MDIO PORTE
Mnica Mancini, Universidade Presbiteriana Mackenzie So Paulo Brasil, monmancini@hotmail.com Edmir Parada Vasques Prado, Universidade de So Paulo So Paulo Brasil, eprado@usp.br Pesquisa de Campo / Emprica, Estudo de Caso RESUMO As instituies financeiras buscam melhorias nos seus processos de TI atravs da Governana de TI, em virtude das normas aplicadas pelo Banco Central do Brasil, que imps controles rgidos nessas organizaes. Assim sendo, este artigo tem como objetivo mostrar a implantao do CobiT como um modelo de Governana de TI em uma instituio financeira de mdio porte. A investigao caracterizada como um estudo descritivo e exploratrio. A coleta de dados foi obtida atravs da observao participante e anlise de documentos entre 2004 e 2008. Os resultados da pesquisa apontaram que a mudana nos processos da gesto da TI foi lenta e morosa, e somente foi percebida pelas partes interessadas e pela organizao aps a implantao total do projeto, que durou cerca de trs anos. Como resultado, ocorreram mudanas significativas na cultura organizacional da empresa referente forma de gerir seus projetos, a fim de atender aos objetivos estratgicos organizacionais. PALAVRAS-CHAVE: CobiT, governana corporativa, governana de TI, instituio financeira, projetos ABSTRACT Financial institutions seek improvements in their operational processes through IT Governance, under the standards applied by the Central Bank of Brazil has imposed strict controls in these organizations. Therefore, this article aims to show the implementation of CobiT as an IT governance model in a mid-size financial institution. The research is characterized as a descriptive study. Data collection was obtained through participant observation and document analysis between 2004 and 2008. The survey results showed that the change in the processes of IT management was slow and sluggish, and was only perceived by stakeholders and the organization after the full implementation of the project, which lasted about three years. As a result, significant changes in organizational culture on the way to manage their projects in order to meet organizational strategic objectives. KEYWORDS: CobiT, corporate governance, IT governance, financial institution, projects

INTRODUO

Nos ltimos anos, as empresas tm-se preocupado em avaliar o retorno dos seus investimentos (ROI) obtidos na rea de tecnologia. Muitas dessas empresas buscam melhorar os seus processos operacionais a fim de alcanar uma maior agilidade e competitividade no mercado. Segundo Instituto Telecom (2011) e International Data Corporation (IDC), o mercado nacional de Tecnologia da informao (TI) crescer em 13,1% nos prximos anos, ou seja, o dobro da mdia mundial (7%). Algumas reas de TI tero um papel de detaque, como anlise de dados, mobilidade e terceirizao de TI. Os investimentos sero, na mdia, de US$ 39 bilhes, sendo que os bancos respondero por 25% desses investimentos. Neste contexto, as empresas necessitam implantar uma Governana de TI (GTI) eficaz, que permita o alinhamento estratgico organizacional com estratgia de TI vinculado as melhores prticas de gesto do mercado. Essas melhores prticas envolvem um conjunto de mecanismos como comits, processos oramentrios, aprovaes, metodologias de gesto de projetos, entre outros, que estimulam comportamentos desejveis e alinhados com a misso, viso, estratgia, valores, normas e cultura da organizao (WEILL; ROSS, 2006, p. 3). Atualmente, existem vrios modelos de GTI. Um dos modelos de GTI mais utilizados no setor bancrio o Control Objectives for Information and Related Technology (CobiT). Este modelo permite o alinhamento das estratgias de negcios com as estratgias de TI, desde o planejamento at o monitoramento de todas as atividades realizadas pela organizao, o que permite um melhor direcionamento dos investimentos em TI como prioridade estratgica. De acordo com Cantn (2008, p. 3), uma das grandes razes para o uso do CobiT pelas reas de TI das instituies financeiras no Brasil deve-se, ao fato, que o Banco Central utiliza este modelo como referncia tcnica para fiscalizar e auditar as reas de TI
ISSN 2179-2895 4

Rev. Inovao Tecnolgica, So Paulo, v. 1, n.2, p. 4-21, jul./dez. 2011

Mnica Mancini e Edmir Parada Vasques Prado

dessas instituies. O Banco Central tambm tem orientado as empresas e os bancos a adotarem o CobiT em suas organizaes (WEILL; ROSS, 2006). Sendo assim, o objetivo geral deste artigo mostrar o processo da implantao do CobiT como modelo de GTI em uma instituio financeira de mdio porte. Os objetivos especficos deste artigo so: 1. Conceituar Governana Corporativa 2. Conceituar Governana de TI 3. Analisar o uso do CobiT como um modelo de Governana de TI em uma instituio financeira de mdio porte 4. Mostrar os resultados alcanados no uso deste modelo Para atingir aos objetivos propostos, procurou-se responder s seguintes questes de pesquisa: 1. Quais foram as dificuldades encontradas no processo de implantao da GTI pela instituio financeira? 2. Quais foram os resultados obtidos com este projeto? Ao responder a essas perguntas, deseja-se melhorar o entendimento sobre o processo de implantao da GTI no setor financeiro brasileiro, seus benefcios e dificuldades. Desta forma, outras organizaes podero aprender, definir e aprimorar suas estratgias de implantao para este tipo de projeto. REVISO DE LITERATURA Governana Corporativa: conceitos e princpios Nos ltimos anos tm-se presenciado no contexto mundial e brasileiro uma onda de fraudes e crimes cometidos por empresas nacionais e estrangeiras, a fim de alcanar a maximizao dos seus lucros a qualquer custo, independente se suas aes desrespeitam as normas sociais, polticas e econmicas da sociedade. Alguns exemplos podem ser citados: empresas como Enron, Arthur Andersen, Wordcom, Tyco, entre outros (MELLO e SPOLADOR, 2007, p, 207). Diante desse cenrio, surgiu em 1999, o Cdigo das Melhores Prticas de Governana Corporativa, como resultado da necessidade de adoo das boas prticas de Governana

pelas organizaes e elaborado pelo Instituto Brasileiro de Governana Corporativa (IBGC, 2010, p.19). Este cdigo define a Governana Corporativa (GC) como o sistema pelos quais organizaes so dirigidas, monitoradas e incentivadas, envolvendo os relacionamentos entre proprietrios, Conselho de Administrao, Diretoria e rgos de controles. Isso significa que as boas prticas propem alinhar os interesses dos acionistas agregando valor organizao. A GC envolve todas as pessoas da organizao, desde os executivos at as relaes externas na qual cada um executa as determinaes de boas prticas de gesto. Weill e Ross (2008, p. 4) enfatizam que uma boa GC importante para os investidores profissionais, pois grandes instituies atribuem o mesmo peso dado na anlise e decises de investimento governana corporativa. Os princpios da GC esto baseados em quatro pilares: a) Transparncia. Disponibilizar informaes para as partes interessadas e no somente aquelas impostas pela legislao; b) Equidade. Tratamento justo de todos os scios e demais partes interessadas; c) Prestao de contas. Os agentes de governana devem prestar contas de seus atos e assumi-los; d) Responsabilidade corporativa. Zelar pela sustentabilidade e longevidade da organizao, incorporando polticas de ordem social e ambiental nos processos de negcios. Atravs de uma boa GC, os proprietrios (acionistas ou cotistas) estaro providos de uma gesto estratgica de sua empresa e da efetiva monitorao da direo executiva. Por essa razo, uma boa GC deve: a) Alinhar os negcios da corporao, como medida para garantir retorno de investimentos e adio de melhorias nos processos empresariais; b) Possuir um relatrio anual com uma declarao a respeito de quais prticas de GC so cumpridas; c) Estar equilibrada, abordando tanto os aspectos positivos quanto os negativos, para facilitar a avaliao da empresa (LAMEIRA, 2001, p. 69); d) Ser preparada de acordo com os padres estabelecidos por rgos internacionais como
ISSN 2179-2895 5

Rev. Inovao Tecnolgica, So Paulo, v. 1, n.2, p. 4-21, jul./dez. 2011

Mnica Mancini e Edmir Parada Vasques Prado

International Acconting Standards (IAS). Toda informao que possa influenciar decises de investimento deve ser divulgada imediatamente e simultaneamente a todos os usurios (LODI, 2000, p. 46); e) Desenvolver um cdigo de tica suficientemente capaz de atender aos requisitos das partes interessadas. O executivo principal e a diretoria da empresa devem satisfao a estas partes e so responsveis pelo relacionamento com elas. Assim sendo, a organizao dever criar mecanismos eficientes de controle e incentivos para assegurar que o comportamento dos executivos esteja alinhado com o interesse dos acionistas, permitindo uma gesto estratgica eficaz, transparente e tico nos seus processos de negcio. Governana da Tecnologia da Informao (GTI): Conceitos e as melhores prticas Segundo o IT Governance Institute (2003), a Governana da Tecnologia da Informao (GTI) parte integrante da Governana Corporativa. Ela de responsabilidade da alta administrao - diretores e executivos- e consiste na liderana, nas estruturas organizacionais e nos processos que garantem a empresa seja sustentada pela TI em suas estratgias e objetivos organizacionais. Ainda de acordo com Weiss e Ross (2008, p. 8), a governana de TI : a especificao dos direitos decisrios e do framework de responsabilidades para estimular comportamentos desejveis na utilizao da TI. Isso significa que a GTI determina quem toma decises em relao aos investimentos de TI e tambm envolve as unidades de negcios na participao dessas decises de forma tica. A Governana de TI busca o compartilhamento de decises de TI e o alinhamento da tecnologia com os requisitos de negcios com todos os dirigentes da organizao, estabelecendo regras organizao e os processos envolvidos no uso da TI, a fim de prover produtos e servios com qualidade, agilidade e competitividade. Isso significa que a GTI est fundamentada em pessoas, processos e tecnologia e os seus princpios so: a) Direo e Controle. A direo orienta as

mudanas necessrias, fornecendo uma direo efetiva, e servindo como um guia para outras pessoas executarem as mudanas. O controle visa assegurar que os objetivos definidos sero alcanados e que nenhum incidente indesejado ocorra; b) Responsabilidade. A gerncia executiva a responsvel pelo controle interno. A diretoria determina as responsabilidades para o estabelecimento de um controle interno especfico ao pessoal responsvel pelas unidades funcionais, que so os departamentos. Porm o controle interno de responsabilidade de todos em uma organizao e pode ser uma funo explcita ou implcita; c) Prestao de Contas. Todos os colaboradores tm a obrigao de prestar contas, fornecer relatrios ou explicar suas aes sobre o uso de recursos que so transmitidos; d) Atividades. As atividades de TI so eficientes quando existe uma boa GTI. A GTI no somente a implantao das melhores prticas, tais como o CobiT, ITIL, CMMI, Val IT, ISO, PRINCE2, PMBOK, modelos de Outsourcing (eSCM-SP e eSCMCL), entre outros, mas uma boa gesto de GTI envolve o alinhamento da TI ao negcio em suas aplicaes e infraestrutura, a continuidade de negcios contra interrupes e falhas e o alinhamento s regulaes externas, Basilia II, normas e resolues (FERNANDES; ABREU, 2008, p. 14). Com o ritmo acelerado nos negcios e do aumento da concorrncia, as empresas precisam de uma infraestrutura de TI adequada para apoiar seus negcios e fornecer informaes atualizadas para tomada de deciso estratgica. Desta forma, a GTI assume um papel importante, pois contribui que a informao seja governada com qualidade e confiabilidade pela organizao. Modelo de Governana de TI: CobiT O CobiT foi elaborado pelo Information Systems Audit and Control Association (ISACA). A ISACA uma organizao global de profissionais de governana de TI, controle, segurana e auditoria. Os padres de auditoria de sistemas e controles so seguidos por profissionais no mundo todo, e suas pesquisas

Rev. Inovao Tecnolgica, So Paulo, v. 1, n.2, p. 4-21, jul./dez. 2011

ISSN 2179-2895

Mnica Mancini e Edmir Parada Vasques Prado

destacam as questes profissionais que desafiam as organizaes (ISACA, 2011). O Control Objectives for Information and Related Technology (CobiT) um guia para a gesto de TI voltado para processos e controles. O CobiT utiliza um modelo (framework) que fornece as melhores prticas para o gerenciamento de processos de tecnologia da informao de uma forma estruturada, gerencivel e lgica. Sua estrutura foi idealizada para atender as necessidades de controle relacionadas Governana Corporativa, tendo como foco nos requisitos de negcio, abordagem de processos, utilizao de mecanismos de controle e anlise das medies e indicadores de desempenho. Este modelo poder ser utilizado por qualquer empresa e independe da sua plataforma tecnolgica (ISACA, 2010, p. 7-8). O modelo do CobiT pressupe que as informaes devam atender aos critrios de informao, como eficincia, eficcia, confidencialidade, integridade, disponibilidade, conformidade com regulaes e confiabilidade para atender as metas de negcio. Alm disso, os servios de TI so disponibilizados atravs de um conjunto de processos que utilizam os recursos de TI, como: pessoas (habilidades, conhecimentos, ndice de produtividade); infraestrutura (hardware, software sistemas operacionais, banco de dados, redes, telecomunicaes, etc.) para executar aplicaes (automatizadas ou manuais) que processam as informaes do negcio, o que permitir melhorias no atendimento do negcio e sero refletidas no resultado financeiro e estratgico da organizao. De acordo com o ISACA (2010, p. 14-15), o CobiT define as atividades de TI em 34 processos divididos em quatro domnios: 1) Planejar e Organizar (PO). Trata os aspectos estratgicos e tticos da organizao, e como a TI pode contribuir para atingir os objetivos de negcio. 2) Adquirir e Implementar (AI). Este domnio cobre as solues de TI. Para executar a estratgia de TI, necessrio identificar a necessidade na busca de novas solues de TI ou realizar mudanas em sistemas j existentes.

3) Entregar e Suportar (DS). Relaciona-se com a entrega dos servios requeridos, compreendendo os aspectos de segurana, continuidade do negcio, treinamento e suporte. 4) Monitorar e Avaliar (ME). Monitora e avalia os controles internos existentes, assegura o cumprimento dos regulamentos e da Governana de TI. A seguir, o Quadro 1 mostra o modelo do CobiT , seus 4 domnios e os 34 processos relacionados Quadro 1 Modelo do CobiT

Fonte: ISACA (2010, p. 28) Um dos pontos fortes do CobiT o controle das atividades de TI atravs de objetivos. De acordo com o ISACA (2010, p. 15), controle definido como polticas, procedimentos, prticas e estruturas organizacionais criadas para prover uma razovel garantia de que os objetivos de negcios sero atingidos e que eventos indesejveis sero evitados ou detectados e corrigidos. Cada processo de TI do CobiT tem vrios objetivos de controle que podem ser: a) Genricos. Aplica-se a todos os processos. Como exemplo tem-se a Tabela RACI, que representa as atividades e orientaes sobre papis e responsabilidades que indica quem responsvel, responsabilizado, consultado e informado sobre um determinado processo.
ISSN 2179-2895 7

Rev. Inovao Tecnolgica, So Paulo, v. 1, n.2, p. 4-21, jul./dez. 2011

Mnica Mancini e Edmir Parada Vasques Prado

b) Especficos. Esto vinculados somente a um processo. Como exemplo tem-se a transferncia de conhecimento aos usurios finais (AI 4.3), vinculado ao Domnio Adquirir e Implementar. De acordo com Mansur (2009, p.311-312), as vantagens obtidas na adoo do CobiT so: participao da alta direo e TI na elaborao das estratgias de negcios, melhor alinhamento do negcio com TI, clara viso sobre o papel e a importncia da TI nos processos de negcios, melhor entendimento sobre a diviso das responsabilidades baseada na orientao de processos, aceitao geral por terceiros e rgos reguladores, cumprimento dos requisitos do COSO para controle do ambiente de TI e alinhamento com outros modelos de mercado como Information Technology Infrastructure Library (ITIL), ISO/IEC 1779:2000 - Segurana da Informao, Balanced Scorecard (BSC), entre outros. Por outro lado, algumas desvantagens so: o CobiT no incorpora plano de implementao, no detalha como definir e atribuir responsabilidades aos processos e sua implantao bastante trabalhosa, pois os processos operacionais de trabalho e de TI so modificados na organizao. Modelo de Maturidade do CobiT De acordo com Fernandes e Abreu (2008) e Bartie (2002, p. 8-9), o modelo de maturidade padro do CobiT foi derivado do SW-CMM (Capability Maturity Model). Este modelo estabelece nveis de maturidade para cada processo de TI para uma organizao ser medida e avaliada. Os nveis de maturidade so: Nvel 0 (Inexistente). A organizao no reconhece a existncia de um processo a ser gerenciado. Nvel 1 (Inicial). Processos so espordicos e desorganizados e o gerenciamento realizado caso a caso. Nvel 2 (Repetvel). Os processos so estruturados e procedimentos similares so seguidos por diferentes indivduos para a mesma tarefa. H forte dependncia do conhecimento individual e existe alguma documentao. Nvel 3 (Definido). Os processos so padronizados, documentados e comunicados.

Nvel 4 (Gerenciado e Mensurvel). Processos so monitorados e medidos quanto conformidade com os procedimentos, e aes so tomadas quando os resultados no so efetivos. Nvel 5 (Otimizado). As melhores prticas so adotadas e os processos automatizados. H preocupao com melhoria contnua. A Figura 1, a seguir mostra o Modelo de Maturidade utilizado pelo CobiT. Figura 1 Modelo de Maturidade do CobiT

Fonte: ISACA (2010, p.10) Atravs destes nveis de maturidade, os pontos de melhoria so melhores entendidos e explicados. Para alcanar o nvel desejado de maturidade, os objetivos estratgicos da organizao so a referncia, pois mostram se a empresa dependente de TI para gerar os seus negcios, alm de medir o nvel de maturidade dos processos de TI, de definir os processos fracos, e os que devem ser melhorados. Para medir um processo, o CobiT utiliza dois tipos de indicadores: (1) medies de resultados (outcome measures) ou lag indicators, que indica se um processo de TI atingiu os objetivos de negcios, e (2) indicadores de desempenho (performance indicators) ou lead indicators, que indica o quanto os processos de TI esto sendo bem executados no atendimento aos objetivos do negcio. METODOLOGIA DE PESQUISA Aspectos metodolgicos Para atender aos objetivos desta pesquisa, este estudo foi considerado um estudo descritivo e exploratrio. De acordo com Sampieri, Collado e Lucio (2006, p. 100), um estudo descritivo consiste em descrever situaes, fatos, acontecimentos ou coletar dados sobre diversos aspectos da realidade estudada. Por outro
ISSN 2179-2895 8

Rev. Inovao Tecnolgica, So Paulo, v. 1, n.2, p. 4-21, jul./dez. 2011

Mnica Mancini e Edmir Parada Vasques Prado

lado, os estudos exploratrios so realizados quando o objetivo consiste examinar um tema ou problema de pesquisa pouco estudado, do qual se tem muitas dvidas. A pesquisa exploratria tambm busca aumentar o conhecimento do pesquisador acerca do fenmeno investigado, para conseguir formular os problemas de pesquisa de forma mais consistente. (SELLTIZ et al, 1987). Neste artigo, o estudo de caso descrever como ocorreu a implantao da GTI em uma instituio financeira, e investigar como planejar e implantar um projeto deste porte, identificando suas dificuldades e resultados obtidos. Segundo o mtodo de investigao empregado, esta pesquisa pode ser classificada como um estudo de caso. O estudo de caso um mtodo de pesquisa emprica que investiga fenmenos contemporneos em seu contexto real, quando os limites entre o fenmeno e o contexto no esto claramente definidos e quando existem mais variveis de interesse do que pontos de dados (YIN, 2005). Em um estudo de caso, uma unidade de anlise corresponde a um caso. Pode ser um evento, uma entidade, um indivduo, ou at mesmo um processo de implantao em uma organizao. Ele se justifica quando o caso raro o bastante, ou quando o pesquisador tem a oportunidade de observar e analisar uma interveno previamente inacessvel investigao cientfica, um caso revelador (YIN, 2005). Este estudo de caso se enquadra nesta situao. Neste trabalho, a unidade de anlise uma instituio financeira, descreve o seu processo de implantao da GTI por vrios anos e rico de prticas gerenciais vivenciadas por um dos autores. Recomenda-se a identificao das pessoas e da organizao participantes do caso. Entretanto, so aceitas situaes em que esta identificao no possvel. Nesta pesquisa, por razes de sigilo e confidencialidade, a organizao e os participantes no so identificados. Porm, nenhuma informao relevante ao estudo foi omitida. Quanto ao enfoque metodolgico, o problema foi abordado atravs da pesquisa qualitativa. Segundo Richardson (1999), a pesquisa qualitativa adequada para descrever a complexidade de uma determinada situao e compreender seus processos dinmicos. Co-

mo consequncia, essa pesquisa adequada a este trabalho, pois se busca melhorar a compreenso sobre os resultados e efeitos da implantao da GTI em uma instituio financeira de mdio porte. Coleta de Dados A coleta de dados foi realizada atravs de anlise de documentos e da observao participante. Os dados foram coletados no perodo de 2004 a 2008. Anlise de documentao: nessa fase foram consultados diversos documentos de fontes secundrias, como atas de reunies, relatrios da organizao e documentos de divulgao institucional sobre a implantao da Governana Corporativa. Observao participante: nessa fase um dos autores deste artigo atuou como facilitador na implantao da GTI nessa instituio financeira por um perodo de trs anos. Segundo Yin (2005, p. 122), a observao participante traz vantagens em facilitar o acesso a dados. Essa oportunidade foi utilizada para observar as implicaes positivas e negativas da implantao da GTI, a partir da vivncia direta. ANLISE E DISCUSSO DOS DADOS A instituio financeira Neste estudo, a empresa analisada uma instituio financeira do Brasil, denominada Banco Gama SA. Esta instituio financeira possui cerca de 1.500 colaboradores, opera no mercado financeiro brasileiro desde da dcada de 90 e tem uma rede, em mdia, de 25.000 pontos de venda. De acordo com Paula e Faria (2007, p. 8), os bancos brasileiros podem ser classificados em cinco tipos: grandes bancos varejistas, bancos varejistas regionais, bancos varejistas de alta renda, bancos atacadistas, e bancos especializados em crdito. O Banco Gama SA pode ser enquadrado com um banco varejista regional, ou seja, um banco de mdio porte, com ativos entre R$ 2,5 R$ 40 bilhes, com mais de 100 agncias com abrangncia regionalizada. O Banco Gama SA adotou um modelo baseado no cdigo de boas prticas de Governana Corporativa publicado pelo
ISSN 2179-2895 9

Rev. Inovao Tecnolgica, So Paulo, v. 1, n.2, p. 4-21, jul./dez. 2011

Mnica Mancini e Edmir Parada Vasques Prado

IBGC (2010), e que oferecem suporte a toda a empresa. Este modelo estruturado da seguinte forma: a) Estrutura de propriedade. Assegurar a distribuio do capital de forma transparente; b) Direitos de acionistas e as relaes com a instituio. Poltica clara e transparente entre a organizao e seus acionistas para defender os interesses; c) Conselho. Autoridade para definir a forma de sua interao com acionistas e diretores. Seu compromisso proteger os interesses de todos os acionistas e utilizar comisses para facilitar o acompanhamento das atividades da organizao; d) Gesto. O desempenho da gerncia snior medido com base nas habilidades, competncias e conhecimento sobre negcios da organizao e atividades; e) Comit de auditoria. Criao de unidades de organizao responsveis para controlar as atividades das empresas; f) Informao transparente e divulgao. Apresentao pblica de economia, finanas, informaes corporativas e contabilidade; g) Responsabilidade e tica. Ter uma poltica de relacionamento com a comunidade atravs de atividades com base em sustentabilidade e responsabilidade social. Situao do Departamento de Tecnologia da Informao (DTI) antes da implantao da GTI Em 2004, o Departamento de Tecnologia da Informao (DTI) estava sujeita ao VicePresidente do Banco Gama SA e no participava ativamente nas decises organizacionais. Ela era composta por uma equipe de 45 pessoas distribudas em trs reas: Desenvolvimento de Sistemas, Suporte Tcnico e Processos. Neste perodo, a maior reclamao das reas usurias era o gerenciamento dos projetos inadequado e no aderente s necessidades de negcios da organizao. O DTI estava totalmente defasado com as inovaes tecnolgicas do setor financeiro referente ao uso de softwares, hardwares, redes, infraestrutura, banco de dados, atendimento help desk, acor-

dos nvel de servios e no seu modelo de gerenciamento dos projetos, devido falta de investimentos em TI durante muitos anos. Em virtude disso, as reas de Auditoria, Compliance e Segurana tambm enfrentavam problemas em exercer os seus papis no DTI. Uma das maiores reclamaes dessas reas era a inexistncia de documentao dos projetos que formalizasse as solicitaes das reas usurias e suas prioridades, o que dificultava as atividades de auditoria de sistemas, verificao sobre as implantaes das legislaes vigentes nos sistemas e o controle de acesso das informaes pelos usurios. Portanto, os problemas no DTI eram diversos, entre os quais: o modelo de Governana Corporativa ainda no tinha sido implantado, a imagem da TI era muito ruim, o desempenho da TI era abaixo do esperado, existiam muitas falhas operacionais nas solues tecnolgicas, havia problemas de preenchimento de vagas, os projetos implantados apresentavam um alto custo com baixo retorno de investimento (ROI), o gerenciamento de projetos era ineficaz e no havia o alinhamento das estratgias de negcios com as estratgias de TI. O incio do projeto da GTI Em Janeiro de 2005, novos produtos bancrios foram desenvolvidos como estratgia de negcios para enfrentar a concorrncia, mas o DTI no estava sendo envolvido. Como resultado, eles contrataram um novo Diretor de TI que definiu uma nova estrutura organizacional, e desta forma, o DTI comeou a participar ativamente nas decises estratgicas da empresa, face tambm a implantao da Governana Corporativa. No incio de 2006, uma empresa de Consultoria especializada em GTI foi contratada para diagnosticar o nvel de maturidade do DTI e auxiliar na implantao da GTI na organizao. A empresa de Consultoria mapeou o nvel de maturidade do DTI atravs de entrevistas e questionrios realizados com os usurios e gerentes de TI. O resultado do diagnstico foi o Nvel 2 (Repetitvel) e a meta da empresa era atingir o Nvel 3 (Definido). Isto significa que o DTI buscava melhorar sua imagem na organizao e criar mecanismos de controISSN 2179-2895 10

Rev. Inovao Tecnolgica, So Paulo, v. 1, n.2, p. 4-21, jul./dez. 2011

Mnica Mancini e Edmir Parada Vasques Prado

le referente indisponibilidade de um servio de negcio, servio de TI e atendimento a requerimentos regulatrios. Aps o mapeamento da situao do Banco Gama SA, o DTI e a Consultoria elaboraram o Planejamento do Projeto da GTI com foco na simplificao dos processos de TI, de forma que no engessassem ou burocratizassem as atividades operacionais. Desta forma, os processos de TI seriam reestruturados com pontos de controle, padronizados, formalizados, mensurados e os desvios seriam detectados. A equipe do projeto definiu um perodo de trs anos para a implantao da GTI e adotou a seguinte estratgia: nove processos de alto risco seriam implantados em 2006, 14 processos de mdio risco seriam implantados em 2007 e 11 processos de baixo risco seriam implantados em 2008. As atividades da equipe do projeto compreendiam o entendimento das estratgias de negcios e dos processos de TI, identificao dos controles associados a cada etapa do processo, avaliao dos riscos associados e controles adotados em cada processo, e comparao entre o nvel de maturidade atual dos processos de TI com o nvel de maturidade padro de mercado. A equipe foi formada por 27 pessoas: 10 das reas de usurio, 12 da rea de TI e 5 consultores externos. Os resultados apurados na implantao da GTI A primeira fase do projeto ocorreu em 2006 e abrangeu a implantao dos processos de alto risco face sua urgncia no estabelecimento de objetivos de controle de TI. As reas usurias estavam sendo parcialmente atendidas, mas nenhuma rea de negcios e nem o DTI estavam seguindo os novos processos definidos, pois era moroso, complicado e burocrtico. O DTI tambm no estava utilizando a Metodologia de Desenvolvimento de Projetos (MDP) devido ao grande volume de documentao a ser confeccionada pelos lderes de projeto e analistas de sistemas. A segunda fase do projeto ocorreu em 2007 e abrangeu a implantao dos processos de mdio risco. O DTI ainda tinha problemas no seu modelo de gerenciamento de projetos, pois o

modelo implantado estava baseado na iniciativa nas melhores prticas e no nas reais necessidades do negcio da organizao. Os processos de TI estavam sendo parcialmente utilizados pela empresa. O DTI comeava a utilizar a MDP, mas com deficincia em atender a todos os requisitos impostos pela metodologia, em virtude da sobrecarga de trabalho das equipes de TI e do alto volume de documentao a ser elaborado durante o desenvolvimento dos projetos. A terceira e ltima fase do projeto ocorreu em 2008. As atividades do projeto abrangeram a implantao dos baixos riscos e a organizao comea a perceber os resultados alcanados com a implantao de todo o projeto de GTI neste ano. Nesta fase encerrou-se a reviso da MDP e dos processos do CobiT. Como resultado, o Banco Gama SA evoluiu no nvel de maturidade passando a ocupar o Nvel 3 Definido (processos estabelecidos e/ou padronizados). Essa evoluo foi constatada pela Consultoria de GTI novamente atravs de questionrios e entrevistas com gerentes de TI e das reas usurias envolvidas. No final de 2008, a instituio financeira percebeu mudanas na cultura organizacional da empresa, no modelo de gesto da TI, na comunicao entre as reas usurias e DTI e na forma no gerenciamento dos seus projetos. Finalmente, a organizao aderiu totalmente a todos os processos do CobiT, pois estes processos estavam aderentes as estratgias de negcios e com as estratgias de TI, e no somente nas melhores prticas da GTI. Essas mudanas somente foram possveis com o apoio total da Alta administrao durante o decorrer do projeto. Discusso dos dados A implantao do projeto da GTI foi analisada sob quatro dimenses: Metodologia, Processos, Medio de Desempenho e Agilidade operacional. As dimenses de Metodologia e Processos foram os dois nicos que tinham problemas no processo de evoluo. O MDP foi sendo parcialmente utilizado pelo DTI e h uma sobrecarga de atividades de melhoria de processos no relevante. Os resultados foram apenas plenamente realizados no final

Rev. Inovao Tecnolgica, So Paulo, v. 1, n.2, p. 4-21, jul./dez. 2011

ISSN 2179-2895

11

Mnica Mancini e Edmir Parada Vasques Prado

da terceira fase do projeto, conforme mostra o Quadro 2. Quadro 2 Resultados obtidos com a implantao da GTI Dimenses Primeira fase Segunda fase Terceira fase

Processos

Metodo logia (MD P)

O+ DTI aprovou o uso da MDP na gesto dos projetos.

A - A + auditoria derncia interna total do apontou DTI no que o uso da DTI esMDP. tava usando parcialmente a MDP.

Medio de desem penho

Pro- + A + R + cessos auditoria eviso de alto do BAdos prorisco CEN cessos + foram apontou de risco defini- - melhora alto e + dos e nos promdio - tornanimcessos plantade condo-os dos. trole de menos TI. burocr Proticos e cessos P mais definirocessos operados de risco cionais. engesmdio saram foram N e budefiniova revirocrados e so dos tizaimplanprocesram a tados. sos performa mitiu S de maior obrecartrabaadernga do lhar o cia na DTI com DTI. gesto melhoride projeas de tos e na procesimplansos no tao de relevannovos tes ao negnegcio. cios. + N I I + o mplantamplantaforam o de o dos + imindicaindicaplantadores de dores de dos desembaixo indicapenho de risco. dores TI rela M de cionados elhoria desemaos pronos indipenho. cessos cadores de alto de derisco. sempenho de alto risco.

Rev. Inovao Tecnolgica, So Paulo, v. 1, n.2, p. 4-21, jul./dez. 2011

ISSN 2179-2895

12

Mnica Mancini e Edmir Parada Vasques Prado

A- P + S + imrimeira egunda plantareviso reviso o de da MDP da MDP novos para para negtorn-la torn-la cios mais mais era gil. gil. muito DiminuVolume mais iu a exide dogil da gncia cumencapade 20 tao cidade docudiminuiu do DTI mentos de 15 de para 15. para 10. suport-los. Fonte: elaborado pelos autores (2010). Legenda + resultado positivo - resultado negativo Agilidade operacio nal

As dimenses de mediao de desempenho (indicadores) e melhoria na agilidade operacional apresentaram evoluo semelhante. Ambas comearam com resultados negativos na primeira fase do projeto, mas apresentaram resultados positivos nas duas fases seguintes. Esta evoluo teve um comportamento esperado. A medio de desempenho requer tempo para alcanar os objetivos definidos, pois os indicadores so definidos pela organizao e, atravs do seu uso, identificam-se as necessidades de melhoria para aprimorar o processo de medio. Isso observado na terceira fase, quando os indicadores de desempenho dos processos de alto risco, definidos na segunda fase, foram aprimorados. Da mesma forma, agilidade operacional tanto na rea de negcio como no uso da MDP foram sendo aprimoradas durante as trs fases do projeto. CONSIDERAES FINAIS O objetivo deste estudo foi analisar o processo da implantao da GTI em uma instituio financeira. Este objetivo foi alcanado atravs de um estudo descritivo, exploratrio e qualitativo, usando um estudo de caso. Assim sendo, este estudo de caso teve como objetivo responder as seguintes questes de pesquisa:

1. Quais foram as dificuldades encontradas no processo de implantao da GTI pela instituio financeira? 2. Quais foram os resultados obtidos com este projeto? Como resultado da anlise da primeira questo, foi constatado que implantao da GTI revelou problemas em quatro dimenses examinadas: metodologia, processos, medio de desempenho e agilidade operacional. Verificou-se que, mesmo alcanando resultados nas dimenses metodologia e processos, ocorreram problemas durante a execuo do projeto. Pode-se deduzir que ambas as dimenses so atividades que consomem tempo e recursos, e que suas necessidades eram mais elevadas do que o previsto. Por outro lado, algumas lies aprendidas podem ser observadas. As atividades de melhoria de processos e metodologias em projetos de GTI exigem formalizao de procedimentos operacionais e processos, o que causa uma mudana significativa na operao da empresa. Este impacto deve ser avaliado durante o planejamento da GTI para no prejudicar as expectativas das partes interessadas, porque provoca uma sobrecarga de trabalho na equipe do projeto. No que diz respeito s dimenses de medio de desempenho e agilidade operacional, observamos uma tendncia positiva em todo o projeto. As dificuldades foram associadas fase inicial do projeto. Isso ocorre porque ambas as dimenses requerem tempo para alcanar seus resultados e atingir as expectativas das partes interessadas. Lies aprendidas tambm foram observadas na anlise destas dimenses. Uma medida de bom desempenho e melhoria na agilidade operacional da empresa so os resultados recuperados na implantao da MDP, mas seus resultados s foram percebidos no final do projeto. Isso requer uma boa gesto de expectativas das partes interessadas durante todo o projeto, especialmente em projetos longos. Em referncia a segunda questo, a implantao da GTI no Banco Gama SA alcanou os resultados esperados. Considerando as quatro dimenses analisadas: (1) o DTI respeitou totalmente o MDP; (2) os processos de mdio e alto risco foram definidos, implantados e divulgados na organizao; (3) os indicadores
ISSN 2179-2895 13

Rev. Inovao Tecnolgica, So Paulo, v. 1, n.2, p. 4-21, jul./dez. 2011

Mnica Mancini e Edmir Parada Vasques Prado

de desempenho foram estabelecidos e melhorados e (4) O DTI melhorou a sua agilidade operacional para dar suporte implantao de novos produtos e servios empresa. Para obter estes resultados, foi necessria a implantao da GC que provocou mudanas na cultura organizacional da instituio financeira. No geral, os resultados melhoraram o desempenho de gerenciamento do DTI e sua comunicao com as reas usurias. No entanto, as mudanas ocorreram gradualmente durante os trs anos da execuo do projeto. Vale a pena observar que o apoio da Alta Administrao foi essencial para o sucesso da sua implantao. Concluindo, a pesquisa examinou a implantao da GTI durante o perodo de trs anos. Apesar de seguir o procedimento metodolgico, o estudo de caso tem limitaes. Entre eles a incapacidade de fazer generalizaes cientficas e tambm a falta de outras fontes de informao que poderia reduzir o vis de investigadores e aumentar o rigor metodolgico (YIN, 1989). Assim sendo, qualquer generalizao dessas concluses pode no se aplicar realidade das demais instituies financeiras no Brasil. A despeito das limitaes deste estudo, inerente a qualquer processo de pesquisa na rea social, tem-se em mente que este artigo se constituiu em uma contribuio importante para ampliar o conjunto de publicaes de estudos e dados sobre o processo de implantao do CobiT nas empresas. Com essas informaes, espera-se que as organizaes possam aprender e implementar seu modelo de GTI aderente as necessidades de negcios organizacionais. 6.REFERNCIAS

FERNANDES, A. A.; V. F. Implantando a governana de TI: da estratgia gesto dos processos e servios. Rio de Janeiro: Brasport, 2008. FOINA, P. R. Tecnologia de informao: planejamento e gesto. So Paulo: Editora Atlas, 2006. FGV (2009). Recuperado em 11 de jan. 2010. Disponvel em: <http:// www.eaesp.fgvsp.br/subportais /interna/relacionad/gvciapesq2009.pdf.>. Acesso em: 11 jan. 2010. HARDY, G. Using IT governance and COBIT to deliver value with IT and respond to legal, regulatory and compliance challenges. Information Security Technical Report, Elsevier, 11(1), 55-61, 2006. IBGC. Cdigo das Melhores Prticas de Governana Corporativa. Disponvel em: < http://www.ibgc.org.br/CodigoMelhoresPratic as.aspx>. Acesso em: 19 abr. 2010. IT GOVERNANCE INSTITUTE. Board Briefing on IT Governance. EUA, abr. 2010. Disponvel em <http://www.itgi.org>. Acesso em: 02 abr. 2010. INSTITUTO TELECOM. TI no Brasil ter investimentos de US$ 39 bilhes em 2011. Disponvel em: < http://www.institutotelecom.com.br/index.php ?option=com_content&view=article&id=1763%3 Ati-no-brasil-tera-investimentos-de-us-39bilhoes-em-2011&catid=1%3Alatestnews&lang=pt>. Acesso em: 25 maio 2011. ISACA. CobiT 4.1: modelo, objetivos de controle, diretrizes de gerenciamento e modelos de maturidade. EUA, abr. 2010. Disponvel em: < http://www.isaca.org/Content/NavigationMen u/Members_and_Leaders1/COBIT6/Obtain_ COBIT/Obtain_COBIT.htm>. Acesso em: 01 abr. 2010. ISACA. Viso geral e histrico. Disponvel em:

BARTIE, A. Garantia da Qualidade de Software. Rio de Janeiro: Editora Elsevier, 2002. EISENHARDT K. M. Building Theories from Case Study Research. Academy of Management Review, vol. 14, n 4, p. 532-550, 1989.

Rev. Inovao Tecnolgica, So Paulo, v. 1, n.2, p. 4-21, jul./dez. 2011

ISSN 2179-2895

14

Mnica Mancini e Edmir Parada Vasques Prado

http://www.isaca.org.br/novoportal/modules/x t_conteudo/index.php?id=3. Acesso em: 25 maio 2011. LODI, J. B. Governana Corporativa: o governo e o conselho de administrao. Rio de Janeiro: Elsevier: 2000. MANSUR, V. A. Governana avanada de TI. Rio de Janeiro: Brasport, 2009. MELLO, P. C.; SPOLADOR, H. F. S. Crises financeiras: uma histria de quebras, pnicos e especulaes do mercado. So Paulo: Saint Paul Editora Ltda, 2007. PAULA, L. F; FARIA, J.A. Eficincia do setor bancrio brasileiro por segmento de mercado: uma avaliao recente. So Paulo, abr. 2010. Disponvel em: <http://www.anpec.org.br/encontro2007/artig os/A07A097.pdf>. Acesso em: 24 abr. 2010. PETERS, M. Implantando e gerenciando a Lei Sarbanes Oxley: governana corporativa agregando valor aos negcios. So Paulo: Editora Atlas, 2007. PICADA, R. C.; MAADA, A. C. G.; RIOS L. R.; SANTOS, A. M. Governana de Tecnologia de Informao baseado na Metodologia CobiT: O caso de um banco privado brasileiro. IN XXVI ENEGEP Brasil, Fortaleza, 2006. PUJOL, C. E. Governana de TI nas instituies financeiras no Brasil: uma avaliao de tendncias. So Paulo: CEETEPS, 2008. (Dissertao, Mestrado em Tecnologia). Centro Estadual de Educao Tecnolgica Paula Souza. So Paulo, 2008. RICHARDSON, R. J.; PERES, J. A. S.; WARDELEY, J. C. V.; CORREIA, L. M.; PERES, M. H. M. Pesquisa Social - Mtodos e Tcnicas. So Paulo: Atlas, 1999. SAMPIERI, R. H.; COLLADO, C. H.; LUCIO, P. B. Metodologia de pesquisa. 3 ed. So Paulo: Editora McGraw-Hill, 2006.

SELLTIZ, C, WRIGHTMAN, L. S; COOK, S. W. Mtodos de pesquisa nas relaes sociais. So Paulo: EPU, 1987. WEILL, P.; ROSS, J. Governana de TI. So Paulo: M. Books do Brasil Ltda., 2006.

Rev. Inovao Tecnolgica, So Paulo, v. 1, n.2, p. 4-21, jul./dez. 2011

ISSN 2179-2895

15